Skip to main content
main-content

10.11.2016 | MaRisk | Im Fokus | Onlineartikel

Wie Banken aufsichtsrechtliche Anforderungen richtig steuern

Autoren:
Dr. Martin Rohmann, Norman Nehls

Die wachsenden regulatorischen Anforderungen haben Auswirkungen auf die Geschäftsmodelle der Geldinstitute. Ein strukturierter Ansatz in der Banksteuerung hilft bei der Umsetzung der komplexen Vorgaben. 

Durch die zunehmend komplexe Finanzmarktregulierung steigt die Verantwortung der Geschäftsleiter und Risiko- oder Compliance-Manager, die entsprechenden Vorgaben zu erfüllen. Häufig erschwert in Kreditinstituten jedoch ein fehlender Gesamtüberblick das Management der wesentlichen Risiken, die aus unzureichend eingehaltenen Regularien drohen. Die Konsequenzen sind vielfältig und reichen von direkten Vermögensschäden über Image- und Kundenverluste bis hin zu Strafzahlungen oder gar Sanktionen. Um der Fülle der regulatorischen Anforderungen Herr zu werden, ist ein systematischer und strukturierter Ansatz erforderlich, in dem alle relevanten Normen identifiziert, Prozessen und Verantwortlichen zugewiesen werden und die Einhaltung regelmäßig überprüft und kommuniziert wird. Während große Institute hierzu teilweise bereits eigene Stabsabteilungen für ein regulatorisches Monitoring aufgebaut haben, sind meist die notwendigen Prozesse für eine lückenlose Erfüllung der regulatorischen Vorgaben nur unzureichend vorhanden und viele Institute stehen noch am Beginn eines umfassenden regulatorischen Compliance Managements. Mit dem Neuentwurf der MaRisk wird das Compliance Management zur Chefsache erklärt und die geforderte Compliance-Funktion zumindest für große Institute direkt der Geschäftsleitung unterstellt.

Effektives Regulatory Risk Management gefragt

Um das regulatorische Risikomanagement wirksam zu implementieren, ist ein strukturierter und kontinuierlicher Prozess als wesentlicher Bestandteil des internen Compliance Managements erforderlich. Dieser lässt sich in sechs Schritte zerlegen.

Empfehlung der Redaktion

2016 | OriginalPaper | Buchkapitel

Regulierung systemrelevanter Finanzinstitute in der Europäischen Union

Die Verkettung der (Finanz-)Krisen seit dem Jahr 2007 zwang weltweit Regierungen zur Rettung von Banken. Die Hälfte der dreißig, als global systemrelevant bezeichneten, Banken und fast die Hälfte der zehn, als global systemrelevant bezeichneten …

  • Schritt 1: Laufendes Legal Monitoring als Basis

Mit zunehmender Harmonisierung der Aufsichtspraxis in Europa erhöht sich gleichermaßen die Anzahl an Rechtsquellen, das heißt Behörden und Organisationen, die Rechtsakte erlassen oder Umsetzungsempfehlungen definieren. Mittlerweile umfassen diese mehr als 30 aufsichtsrechtliche Institutionen, darunter neben der Bundesregierung die

  • Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin),
  • Bundesbank,
  • europäische Einrichtungen wie zum Beispiel die Europäische Zentralbank (EZB),
  • European Banking Authority (EBA),
  • European Security and Markets Authority (ESMA),
  • Single Resolution Board (SRB),
  • internationale Organisationen wie der Baseler Ausschuss,
  • die Internationale Organisation der Wertpapieraufsichtsbehörden (Iosco) und
  • die Finanzbehördliche Eingreiftruppe für Geldwäsche (Fatf).

​Die Konsolidierung der relevanten Rechtsnormen erfolgt in einem Legal Inventory mit allen bankspezifischen Regelungen (Bankenregulierung), ergänzt um weitere nicht-bankspezifische Rechtsgebiete, beispielsweise Arbeitsrecht und Steuerrecht. In Banken werden erhebliche Anstrengungen unternommen, um ein derartiges kontinuierliches Regulatory Monitoring zu etablieren, ein umfassendes Legal Inventory aufzubauen und dieses dauerhaft zu pflegen. Allein für den Rechtsraum Deutschland lassen sich mehr als 600 verbindliche Rechtsnormen identifizieren und mehr als 2.500 ergänzende Dokumente, welche derzeit potenziell von Banken zu beachten sind – eine Menge, deren Sichtung die für kleine Institute mit begrenzten Kapazitäten kaum noch zu bewältigen ist.

  • Schritt 2: Wichtigste Rechtsnormen bestimmen

Im Sinne der MaRisk stellt der Gesetzgeber auf die für ein Institut wesentlichen rechtlichen Regelungen und Vorgaben ab. Die Einschätzung, welche Rechtsnormen für ein Institut wesentlich sind, erfolgt anhand des Geschäftsmodells der Bank und berücksichtigt die potenziellen Gefahren, die drohen, wenn Regelungen und Vorgaben nicht eingehalten werden. Im Ergebnis erhält die Bank ein Legal Inventory, das die für die Bank wesentlichen Rechtsnormen als Basis weiterführender Risikobewertungen und Kontrollhandlungen bietet.

  • Schritt 3: Compliance-Risk-Assessment

Etablierte Prüfungsstandards fordern die Feststellung von Compliance-Risiken wie auch deren Analyse im Hinblick auf die Wahrscheinlichkeit und die möglichen Folgen, die aus mangelhaften internen Verfahren oder Verstößen gegen einzuhaltende Regelungen resultieren. Daher ist es wichtig, die Risiken aus den wesentlichen bewerteten Regularien anhand definierter Kriterien zu bestimmen. Dabei werden sowohl Informationen aus der Vergangenheit, beispielsweise bisherige Auffälligkeiten aus Prüfungs- und Kontrollergebnissen, als auch Umfang und Qualität der gegenwärtigen Dokumentation, etwa schriftlich fixierte Sollprozesse, geprüft. Das Compliance-Risiko kann danach zu jeder wesentlichen Rechtsnorm sowohl mit einem Risikowert als auch qualitativ bewertet werden. Anhand des Compliance-Risk-Assessments lassen sich die wesentlichen Rechtsnormen ableiten, bei deren Einhaltung derzeit für die Bank ein erhöhtes Risiko besteht.

  • Schritt 4: Analyse und Implementierung

Dabei müssen Geldhäuser zwischen etablierten Rechtsnormen, die in Kraft sind und im täglichen Geschäftsbetrieb einzuhalten sind, und neuen Rechtsnormen unterscheiden, bei denen eventuell Handlungsbedarf besteht oder die durch Anpassung von Prozessen und Systemen umgesetzt werden müssen.

  • Schritt 5: Überwachung mittels Compliance-Kontrollplan

Eine der wichtigsten und gleichzeitig komplexesten Aufgaben im Regulatory Risk Management ist es, zu überwachen, dass die Rechtsnormen eingehalten werden. Kreditinstitute sollten hier überprüfen, ob die internen Verfahren im Hinblick auf die wichtigsten Rechtsnormen angemessen und wirksam sind. Das gelingt am besten durch das Zusammenspiel aus den Bereichen Markt, Risikocontrolling und Interne Revision.

  • Schritt 6: Berichterstattung zur Compliance-Risikosituation

Für eine effektive Steuerung des Regulatory-Risk-Management-Prozesses ist ein permanenter Überblick sowohl zum Status der wesentlichen Rechtsnormen als auch der Risikosituation erforderlich. Nicht zuletzt für die Geschäftsleitung und Aufsichtsorgane ist eine laufende Transparenz der Compliance des eigenen Instituts essenziell. Technische Unterstützung bieten dabei so genannte Management Cockpits, die helfen, den Überblick zu bewahren.

Nachhaltige Compliance-Kultur vorantreiben

Einen strukturierten und kontinuierlichen Compliance-Prozess wie das regulatorische Risiko Management zu etablieren, stellt mehr als nur die Erfüllung der Vorgaben an die Compliance-Funktion sicher. Mit einem integrierten Regulatory Risk Management lassen sich aufsichtsrechtlich getriebene Initiativen bündeln und Kontroll- sowie Berichtsprozesse risikoadjustiert ausgestalten. Nicht zuletzt wird so eine gelebte Compliance-Kultur in Organisationen unterstützt.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

01.11.2015 | Titel | Ausgabe 12/2015

Mehr Regeln schaffen keine bessere Bank

Das könnte Sie auch interessieren

08.08.2013 | Bankstrategie | Interview | Onlineartikel

„Compliance zu leben ist wie Zähneputzen“

Premium Partner

EIZOmicrom

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Zur B2B-Firmensuche

Whitepaper

- ANZEIGE -

Wie sich Banken effektiv vor DDoS-Attacken schützen

Distributed-Denial-of-Service-Angriffe (DDoS) gehören zu den beliebtesten Waffen im Arsenal von Cyberkriminellen. Sie zielen darauf ab, den Betrieb von Informationssystemen wie Websites oder Datenbanken lahmzulegen bzw. zu stören. Hinter dieser Art von Angriff können unterschiedliche Motive stehen, die vom Cyber-Vandalismus über unlautere Wettbewerbspraktiken bis hin zu Erpressung reichen.