Regulatory Office
Die Komplexität beherrschen
 

Über die steigende, kaum noch überschaubare Komplexität der regulatorischen Anforderungen wird in Banken ebenso geklagt wie über die immensen Umsetzungskosten, die die Institute zu tragen haben. Dennoch scheint kein Ende der Regulierungsflut absehbar. Vor diesem Hintergrund wird es immer wichtiger, dass Banken – auch kleine und mittlere – sich darauf konzentrieren, einen adäquaten Managementansatz zu entwickeln, um mit der stetig wachsenden Fülle und Komplexität regulatorischer Anforderungen umzugehen. Der Königsweg zum effizienten und effektiven Management der Anforderungen hat drei Komponenten: eine wirkungsvolle Governance, einen integrierten Managementprozess und eine zentrale Koordinationsstelle – ein Regulatory Office.

Zahl, Umfang und Komplexität regulatorischer Anforderungen sind in den vergangenen Jahren kontinuierlich gestiegen und stellen alle Kreditinstitute vor massive Herausforderungen. Die umfangreichen Arbeitsprogramme von EBA, ESMA oder des Baseler Ausschusses sprechen eine klare Sprache: Auch in den kommenden Jahren wird es keine Regulierungspause geben. Aber nicht nur die Zahl der Regularien steigt, auch die Veränderungsgeschwindigkeit nimmt deutlich zu. Während Basel II noch fast zehn Jahre beraten wurde, bevor es zur Anwendung kam, müssen sich Banken und Bankaufseher heute auf wesentlich kürzere Vorlaufzeiten einstellen.

Verschärfte Konsequenzen
Zugleich haben Anzahl und Umfang externer Prüfungen deutlich zugenommen – was in hohem Maße Ressourcen bindet, die auch für die Umsetzung und Einhaltung der Anforderungen benötigt werden. Die hohen Strafzahlungen im Zuge der Finanzkrise, aber auch verschärfte strafrechtliche Regelungen (vgl. u. a. § 54a KWG)1 sowie die schärfere Auslegung der Straf- oder Bußgeldrahmen (vgl. u. a. die WpHG-Bußgeldleitlinien der BaFin) belegen ein insgesamt strikteres Vorgehen der Behörden. Compliance ist eine Leitungsaufgabe, die dem Vorstand obliegt. Die Geschäftsführung eines jeden Kreditinstituts hat daher ein massives Bedürfnis, eine jederzeitige Compliance mit regulatorischen Anforderungen sicherzustellen.

Reaktives Management
Nach wie vor ist es typisch, sich mit Regularien nur reaktiv und relativ spät zu befassen. Oft kommt es insbesondere im Nachgang von Prüfungen zu Ad-hoc-Maßnahmen und -Projekten. Solche Maßnahmen haben das Ziel, Strafen zu vermeiden, sie basieren nicht auf hinreichenden Analysen. Dieser reaktive Ansatz nutzt Ressourcen höchst ineffizient und führt langfristig zu höheren Umsetzungskosten – ohne strategischen Gewinn. Natürlich gilt es ebenso, eine Übererfüllung der Normen zu vermeiden – die oft durch Unsicherheit darüber verursacht wird, welche Interpretation und Umsetzung der Norm die Richtige ist.

Unklare Verantwortlichkeiten
In den wenigsten Häusern sind die Verantwortlichkeiten für die Umsetzung regulatorischer Vorgaben eindeutig festgelegt. Nicht selten führt dies zu zeit- und energieraubenden Streitigkeiten. Es gibt zwar oft zentrale Bereiche (Recht, Generalsekretariat, Vorstandsstab), die den Kontakt zu Aufsichtsorganen und Verbänden halten, aber meist verfügen diese Bereiche weder über das Know-how noch über die Ressourcen, um auch die Umsetzung zentral zu koordinieren.

Isolierte und unkoordinierte Bearbeitung und Umsetzung
In vielen Banken ist die isolierte Einzelbetrachtung regulatorischer Anforderungen die Regel. Wechselwirkungen mit anderen Projekten, anderen Regularien oder die Auswirkungen auf das Geschäft bleiben unbeachtet. Eine solch unkoordinierte Bearbeitung spiegelt sich in einer unzureichenden Dokumentation wider, in verstreuten Spreadsheets, Dokumenten und E-Mails. Aber auch manuelle Prozesse, unklare Abläufe und Ad-hoc-Projektgruppen sind an der Tagesordnung. Uneinheitliche Terminologie und mangelnde Kommunikation zwischen den betroffenen Bereichen führen zu ineffektiven, zeitraubenden Abstimmungsprozessen und Missverständnissen, zur Duplizierung von Aufwänden und Kontrollvorgängen. Die „Cost of Compliance“ wird unnötig hoch.

Unzureichende Ressourcen und Expertise
Die wachsende Regulierung führt zu einer operativen und finanziellen Belastung, die die Fähigkeiten der Organisation einschränkt, sich mit Anforderungen des Markts und dem Wachstum des Geschäfts zu beschäftigen. Die übliche isolierte Ad-hoc-Bearbeitung neuer Anforderungen und die unklaren Verantwortlichkeiten gestatten keine effiziente Nutzung der Ressourcen – meist sind es immer dieselben Bereiche und Mitarbeiter, die mit den Aufgaben betraut werden. Bei kleineren Banken kommt hinzu, dass sie gar nicht mehr in der Lage sind, für wirklich jedes relevante Thema die notwendige Expertise vorzuhalten.

Unzulängliches Berichtswesen
In kaum einer Bank gibt es ein standardisiertes Berichtswesen über den Umsetzungsstand regulatorischer Anforderungen und über die Compliance mit allen relevanten Regularien. Der Vorstand bekommt unterschiedliche Reports, mit teils widersprüchlichen Aussagen. Bei den Verantwortlichen stellt sich nicht selten ein Gefühl der Unsicherheit ein, ob alle Anforderungen rechtsicher erfüllt sind und die internen Kontrollmechanismen ausreichen.

Das integrierte Governance-Modell der drei Verteidigungslinien
Um regulatorische Anforderungen umfassend, nachhaltig und effizient umzusetzen und die Einhaltung zu überwachen, müssen diese Anforderungen den Organisationseinheiten und Prozessen zugeordnet werden, wo sie effizient gesteuert und umgesetzt werden können. Im Zusammenhang mit Risk Governance wird aktuell das „Three Lines of Defence“-Modell als Best Practice-Modell diskutiert. Als übergreifendes Governance-Rahmenwerk stellt es auch in dem hier diskutierten Zusammenhang den konzeptionellen Ausgangspunkt dar. Das Modell wird u. a. vom Basler Ausschuss im Zusammenhang mit den „Principles for the Sound Management of Operational Risk“3 sowie erneut im Konsultationspapier „Corporate Governance Principles for Banks“4 als Anforderung genannt. Das Modell der drei Verteidigungslinien liefert ein einfaches und effektives Grundgerüst, mit dem sich das Management der Risiken und der regulatorischen Anforderungen verbessern lässt. Es passt zu allen Organisationen, unabhängig von deren Größe und Komplexität.

Als erste Verteidigungslinie gilt in diesem Modell das operative Geschäft. Ihm weist das Modell die Aufgabe zu, Risiken zu identifizieren und zu managen, die unmittelbar mit den Produkten, Aktivitäten, Prozessen und Systemen in Zusammenhang stehen, für die die Geschäftsbereiche verantwortlich sind. Dazu gehört es auch, angemessene Management- und Kontrollprozesse als Teil des Tagesgeschäfts zu implementieren.

Die zweite Verteidigungslinie bilden die unabhängigen Überwachungsfunktionen: das Risikocontrolling und die Compliance-Funktion. Sie geben Methoden, interne Anweisungen und Prozesse vor, überwachen deren Einhaltung, berichten unabhängig an die Geschäftsleitung, sorgen im Rahmen von Schulungen für Wissenstransfer und stärken die Compliance- und Risikokultur.

Als dritte Verteidigungslinie fungiert die interne Revision, die sowohl die Geschäftseinheiten als auch die unabhängigen Überwachungsfunktionen prüft und überwacht. Beim Governance-Modell der drei Verteidigungslinien geht es um eine klare und adäquate Definition von Rollen, Verantwortlichkeiten und Rechenschaftspflichten. Eine effektive und effiziente Koordination und Kooperation der drei Ebenen sorgt dafür, dass weder Kontrolllücken noch Redundanzen entstehen. In den meisten Banken ist die erste Verteidigungslinie die Schwachstelle, weil das Geschäft nicht wirklich Eigner der Risiken ist und auch nicht die Verantwortung für die Veränderungsprozesse im eigenen Bereich trägt. Sowohl Risikomanagement als auch Compliance sind eben nicht nur Aufgaben der Organisationseinheiten mit dem entsprechenden Namen, sondern der Gesamtorganisation. Der vielbeschworene Kulturwandel und die Veränderungsprozesse in den Banken müssen deswegen vor allem bei den Geschäftseinheiten ansetzen. (...)

 

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
28.09.2015
Erschienen in Ausgabe:
09/2015
 Diese Ausgabe kaufen
 Diesen Artikel kaufen
Quelle(n):

Bildquelle: fotolia / ©Kaspars Grinvalds

Autor/in 
Martin Rohmann
Dr. Martin Rohmann, Geschäftsführer, ORO Services GmbH, Frankfurt am Main.
Weitere interessante Artikel 
Artikel abonnieren 
die bank | Newsfeed
Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Der Newsletter erscheint mindestens einmal im Monat und informiert Sie über aktuelle Beiträge und News.

 Anmeldung

 Newsletter-Archiv