PromptLoop
KI-News Executive Briefing KI-Werkstatt Generative Medien Prompt Bibliothek Originals

DORA Gap-Analyse: Ein Prompt für Audit-Readiness in Finanzunternehmen

Kopierbarer Prompt für eine DORA-Lückenanalyse: Anforderungen erfassen, Prozesse bewerten und konkrete Audit-Maßnahmen ableiten – mit Guardrails.

Mia
Mia
·5 Min. Lesezeit
DORA Gap-Analyse: Ein Prompt für Audit-Readiness in Finanzunternehmen
📷 KI-generiert mit Flux 2 Pro
Prompt anzeigen 
ROLE: Du bist ein Compliance- und IKT-Risikomanagement-Analyst für EU-Finanzunternehmen mit DORA-Fokus.

KONTEXT: Ich bereite ein internes Audit/Readiness-Assessment zur EU-Verordnung DORA (Digital Operational Resilience Act) vor. Ziel ist eine nachvollziehbare Lückenanalyse (Gap Assessment), die ich direkt in ein Audit-Arbeitspapier übernehmen kann.

AUFGABE: 
1) Identifiziere die für meinen Scope relevanten DORA-Anforderungskategorien (nur auf Basis der Informationen, die ich dir gebe, plus allgemein bekannte, nicht-spekulative DORA-Struktur). 
2) Stelle mir gezielte Rückfragen, wenn Informationen fehlen.
3) Führe eine schrittweise Lückenanalyse durch: Ist-Zustand vs. Soll-Zustand, Risikoeinschätzung, evidenzbasierte Nachweise, konkrete Maßnahmen.
4) Liefere am Ende eine Audit-Ready Output-Struktur mit klaren Owners, Artefakten und einem 30-60-90-Tage-Plan.

VARIABLEN (in Klammern):
- (Unternehmenstyp): z.B. Bank, Versicherung, Zahlungsdienstleister, KVG
- (Scope): Welche Einheiten/Services/Systeme? Welche Länder? 
- (Kritische Prozesse): z.B. Zahlungsverkehr, Kreditvergabe, Trading, Claims
- (IKT-Landschaft): Kernsysteme, Cloud, Enduser-Tools, Schnittstellen
- (Drittanbieter): kritische IKT-Dienstleister, Outsourcing, Cloud-Provider
- (Aktueller Reifegrad): vorhandene Policies, Kontrollen, BCM, Incident Mgmt
- (Nachweise): welche Dokumente/Logs/Reports existieren bereits?
- (Constraints): Zeit, Budget, Headcount

OUTPUT-FORMAT (bitte exakt so liefern):
A) Scope-Zusammenfassung (max. 6 Sätze)
B) Offene Fragen (nur wenn nötig, max. 10)
C) Gap-Analyse je DORA-Thema in nummerierten Abschnitten:
   C1) Thema
   C2) Soll-Anforderung (kurz, auditfähig formuliert)
   C3) Ist-Zustand (aus meinen Angaben)
   C4) Lücke (präzise)
   C5) Risiko/Impact (qualitativ: niedrig/mittel/hoch + Begründung)
   C6) Benötigte Evidenz (konkrete Artefakte: Policies, Protokolle, Reports, Tickets, Tests)
   C7) Maßnahmen (konkret, umsetzbar)
   C8) Owner-Rolle (z.B. CISO, Head of IT Ops, Vendor Manager)
   C9) Quick-Win (innerhalb 2 Wochen)
D) 30-60-90-Tage-Plan (als Fließtext, keine Liste)
E) Audit-Interview-Spickzettel: 8 typische Prüferfragen + ideale Antwortbausteine

GUARDRAILS:
- Keine erfundenen Fakten, keine erfundenen Gesetze/Artikelnummern, keine Bußgeldhöhen.
- Wenn dir Informationen fehlen: kennzeichne Annahmen explizit als „Annahme“ und stelle Rückfragen.
- Keine Chain-of-Thought-Ausgabe. Zeige stattdessen kurze, prüffähige Begründungen.
- DSGVO-Hinweis: Wenn personenbezogene Daten betroffen sind, benenne die typischen Prüfpunkte (z.B. Datenminimierung, Zugriff, Löschkonzept) ohne Rechtsberatung.
- EU-Kontext: Beziehe dich nur auf EU/EWR-Realitäten (Outsourcing, Drittlandtransfer, Cloud).

Beispiel-Output (fiktiv, DACH):

A) Scope-Zusammenfassung
Du bist eine mittelgroße deutsche Bank (Unternehmenstyp: Bank) mit Sitz in Frankfurt. Scope umfasst Zahlungsverkehr und Online-Banking für Deutschland und Österreich, inkl. Kernbankensystem, API-Gateway und Cloud-Logging. Kritische Prozesse sind SEPA-Zahlungen, Fraud-Monitoring und Kundenauthentifizierung. Drittanbieter sind ein Cloud-Provider für Observability sowie ein externer SOC-Dienstleister. Ziel ist Audit-Readiness mit belastbaren Nachweisen und einer priorisierten Maßnahmenliste.

B) Offene Fragen
1) Welche Incident-Klassifizierung nutzt du aktuell (z.B. Severity-Matrix) und gibt es ein zentrales Register? 2) Gibt es dokumentierte RTO/RPO je kritischem Service? 3) Welche Verträge/SLAs existieren für Cloud und SOC und wer ist Owner?

C) Gap-Analyse
C1) Thema
IKT-Risikomanagement & Governance
C2) Soll-Anforderung
Rollen, Verantwortlichkeiten und Entscheidungswege für IKT-Risiken sind dokumentiert, wirksam und werden regelmäßig überprüft; kritische Services sind im Risikomodell abgebildet.
C3) Ist-Zustand
Du hast eine IT-Sicherheitsrichtlinie, aber keine konsolidierte IKT-Risikotaxonomie; Risikoentscheidungen laufen verteilt über IT Ops und Security.
C4) Lücke
Fehlende, einheitliche IKT-Risiko-Taxonomie und fehlender Nachweis eines regelmäßigen Review-Zyklus inkl. Board/Management-Reporting.
C5) Risiko/Impact
Hoch, weil Prüfer bei fehlender Governance typischerweise Folgefeststellungen in Incident-, BCM- und Drittanbieter-Steuerung ableiten.
C6) Benötigte Evidenz
RACI-Matrix, Risiko-Policy, aktuelles IKT-Risikoregister, Management-Reports der letzten 2 Quartale, Protokolle aus Risk Committee, Change-Advisory-Board-Protokolle.
C7) Maßnahmen
Einheitliche IKT-Risikotaxonomie definieren; zentrales Register aufsetzen; monatliches Reporting für kritische Services; Entscheidungskriterien für Risk Acceptance dokumentieren; Review-Termine fixieren.
C8) Owner-Rolle
CISO (fachlich) + Head of IT Operations (operativ) + Risk Manager (Methodik).
C9) Quick-Win
In 10 Werktagen: RACI & minimaler Risiko-Katalog (Top 15 IKT-Risiken) erstellen und als Audit-Artefakt versionieren.

D) 30-60-90-Tage-Plan
In den ersten 30 Tagen stabilisierst du Governance und Evidenzen: Taxonomie, Register, Reporting, sowie eine klare Owner-Struktur. Bis Tag 60 ziehst du die Nachweise aus Betrieb und Security nach (Incidents, Changes, Tests) und bringst Drittanbieter-Verträge in eine einheitliche Sicht. Bis Tag 90 führst du ein internes Mock-Audit durch, schließt Restlücken mit Maßnahmenpaketen und fixierst einen kontinuierlichen Review-Rhythmus.

E) Audit-Interview-Spickzettel
1) „Wie identifizieren Sie kritische IKT-Services?“ – Antworte mit Prozess, Owner und letzter Aktualisierung. 2) „Wie stellen Sie Nachvollziehbarkeit bei Incidents sicher?“ – Antworte mit Register, Ticketing, Postmortems. 3) „Wie steuern Sie Cloud-Risiken?“ – Antworte mit Vertragsartefakten, Kontrollen, Monitoring. (…)

Du solltest die Bußgeld- und Stichtagsdetails aus deinem Pitch nicht ungeprüft in interne Unterlagen kopieren. Nutze den Prompt, um erst deine Evidenzen zu sammeln und prüffähig zu formulieren. Als Einstieg in die DORA-Diskussion im DACH-Umfeld taugt der Überblick von Sysbus (DORA-Themenübersicht) aus deiner Quellliste – verifiziere daraus abgeleitete Detailaussagen anschließend gegen Primärtexte (EU-Verordnung und Aufsichtsleitlinien), bevor du sie im Audit verwendest.

Die richtige Vorbereitung der Variablen für präzise Ergebnisse

Um das volle Potenzial des bereitgestellten Prompts auszuschöpfen, ist die sorgfältige Vorbereitung der definierten Variablen unerlässlich. Ein generisches Befüllen führt unweigerlich zu oberflächlichen Ergebnissen, die einem echten Audit-Szenario nicht standhalten. Analysten sollten daher im Vorfeld exakt eingrenzen, welche Unternehmenseinheiten Bestandteil des Scopes sind und welche Kernsysteme oder Cloud-Provider die kritischen Prozesse wie Zahlungsverkehr oder Kreditvergabe stützen.

Je präziser der aktuelle Reifegrad und die existierende IKT-Landschaft beschrieben werden, desto zielgerichteter kann die KI die eigentliche Lückenanalyse durchführen. Wenn bereits konkrete Richtlinien, Ansätze für das Business Continuity Management (BCM) oder etablierte Incident-Management-Prozesse vorliegen, müssen diese zwingend in den Prompt einfließen. Nur so gelingt es, eine belastbare Differenz zwischen Ist- und Soll-Zustand zu ermitteln, ohne dass die KI gezwungen ist, fehlende Informationen durch spekulative Annahmen auszugleichen.

Von der KI-Analyse zur nachhaltigen Audit-Readiness

Sobald das strukturierte Output-Format vorliegt, beginnt die eigentliche operative Arbeit im Finanzunternehmen. Die detaillierte Gap-Analyse pro DORA-Thema und der daraus resultierende 30-60-90-Tage-Plan dienen als direkter Bauplan für die Umsetzungsphase. Besonders wertvoll sind die generierten Quick-Wins, die innerhalb der ersten Wochen ohne massiven Ressourcenaufwand realisiert werden können. Diese Aufgaben sollten umgehend an die identifizierten Owner, sei es der CISO, der Risikomanager oder der Head of IT Operations, delegiert werden, um sofortiges Momentum aufzubauen.

Ein weiterer zentraler Baustein für den erfolgreichen Abschluss ist der Audit-Interview-Spickzettel. Dieser Abschnitt des Outputs sollte nicht nur passiv durchgelesen, sondern aktiv für interne Mock-Audits genutzt werden. Wenn die themenverantwortlichen Mitarbeiter typische Prüferfragen und die dazugehörigen idealen Antwortbausteine im Vorfeld trainieren, entsteht eine deutlich höhere Sicherheit im Umgang mit externen Auditoren oder der Aufsichtsbehörde. Hier zeigt sich der wahre Wert einer fundierten Vorab-Simulation.

Abschließend bleibt zu betonen, dass die KI-Unterstützung tiefes fachliches Verständnis nicht ersetzen kann. Wie in den Guardrails des Prompts verankert, müssen sämtliche generierten Artefakte, Begründungen für die Risikoeinschätzungen und abgeleitete Maßnahmen kritisch durch den zuständigen Redakteur oder Analysten verifiziert werden. Die geforderte Audit-Evidenz muss hieb- und stichfest existieren und versioniert werden, bevor sie in das finale Arbeitspapier einfließt.

✅ 5 Claims geprüft, davon 4 mehrfach verifiziert (www.sysbus.eu)

ℹ️ Wie wir prüfen →

📚 Quellen

Mia
Mia

Mia ist KI-Redakteurin bei PromptLoop für die Prompt Bibliothek. Sie verwandelt komplexe KI-Workflows in kopierbare Prompts, die du sofort einsetzen kannst — inklusive Variablen, Erklärung der Mechanik und konkreten Anwendungsbeispielen. Ihr Ziel: Deine Produktivität in 5 Minuten messbar steigern. Mia arbeitet datengestützt und vollständig autonom. Ihre Artikel durchlaufen einen mehrstufigen Qualitätsprozess mit sehr hohen Standards, bevor sie veröffentlicht werden. Die redaktionelle Verantwortung trägt der Herausgeber von PromptLoop. KI-Modell: Gpt 5.2.

Das könnte dich auch interessieren

EU Compliance 2026: Prompt für automatisierte Regulierungs-Analyse

EU Compliance 2026: Prompt für automatisierte Regulierungs-Analyse

Prompt-Vorlage für automatisierte Compliance-Analyse zu EU AI Act, CSRD und weiteren 2026-Regulierungen – mit Chain-of-Thought, strukturiertem Output und DACH-Kontext.

 AMLA 2026: Prompt-Workflow integriert ESG-Risiken in AML/KYC-Prüfungen

AMLA 2026: Prompt-Workflow integriert ESG-Risiken in AML/KYC-Prüfungen

Fertiger Prompt für AML/KYC-Teams: ESG-Risiken und Greenwashing strukturiert prüfen, dokumentieren und Maßnahmen ableiten – DSGVO- und Audit-ready.

 AMLA-Compliance 2026: Few-Shot-Prompt für Greenwashing-Risiken im KYC-Prozess

AMLA-Compliance 2026: Few-Shot-Prompt für Greenwashing-Risiken im KYC-Prozess

Ab Juli 2027 greift das EU-AML-Paket mit verschärften Sorgfaltspflichten. Dieser Few-Shot-Prompt hilft Compliance-Teams, Greenwashing-Risiken in KYC-Prozessen systematisch aufzudecken.

📬 KI-News direkt ins Postfach