Aufrufe
vor 5 Jahren

die bank 09 // 2015

  • Text
  • Banken
  • Unternehmen
  • Diebank
  • Anforderungen
  • Kennzahlen
  • Bewerber
  • Mitarbeiter
  • Banking
  • Deutschland
  • Deutsche
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BANKING Unzureichende

ó BANKING Unzureichende Ressourcen und Expertise Die wachsende Regulierung führt zu einer operativen und finanziellen Belastung, die die Fähigkeiten der Organisation einschränkt, sich mit Anforderungen des Markts und dem Wachstum des Geschäfts zu beschäftigen. Die übliche isolierte Ad-hoc-Bearbeitung neuer Anforderungen und die unklaren Verantwortlichkeiten gestatten keine effiziente Nutzung der Ressourcen – meist sind es immer dieselben Bereiche und Mitarbeiter, die mit den Aufgaben betraut werden. Bei kleineren Banken kommt hinzu, dass sie gar nicht mehr in der Lage sind, für wirklich jedes relevante Thema die notwendige Expertise vorzuhalten. Unzulängliches Berichtswesen In kaum einer Bank gibt es ein standardisiertes Berichtswesen über den Umsetzungsstand regulatorischer Anforderungen und über die Compliance mit allen relevanten Regularien. Der Vorstand bekommt unterschiedliche Reports, mit teils widersprüchlichen Aussagen. Bei den Verantwortlichen stellt sich nicht selten ein Gefühl der Unsicherheit ein, ob alle Anforderungen rechtsicher erfüllt sind und die internen Kontrollmechanismen ausreichen. Das integrierte Governance-Modell der drei Verteidigungslinien Um regulatorische Anforderungen umfassend, nachhaltig und effizient umzusetzen und die Einhaltung zu überwachen, müssen diese Anforderungen den Organisationseinheiten und Prozessen zugeordnet werden, wo sie effizient gesteuert und umgesetzt werden können. Im Zusammenhang mit Risk Governance wird aktuell das „Three Lines of Defence“-Modell als Best Practice-Modell diskutiert. Als übergreifendes Governance-Rahmenwerk stellt es auch in dem hier diskutierten Zusammenhang den konzeptionellen Ausgangspunkt dar. Das Modell wird u. a. vom Basler Ausschuss im Zusammenhang mit den „Principles for the Sound Management of Operational Risk“ 3 sowie erneut im Konsultationspapier „Corporate Governance Principles for Banks“ 4 als Anforderung genannt. Das Modell der drei Verteidigungslinien liefert ein einfaches und effektives Grundgerüst, mit dem sich das Management der Risiken und der regulatorischen Anforderungen verbessern lässt. Es passt zu allen Organisationen, unabhängig von deren Größe und Komplexität. Als erste Verteidigungslinie gilt in diesem Modell das operative Geschäft. Ihm weist das Modell die Aufgabe zu, Risiken zu identifizieren und zu managen, die unmittelbar mit den Produkten, Aktivitäten, Prozessen und Systemen in Zusammenhang stehen, für die die Geschäftsbereiche verantwortlich sind. Dazu gehört es auch, angemessene Management- und Kontrollprozesse als Teil des Tagesgeschäfts zu implementieren. Die zweite Verteidigungslinie bilden die unabhängigen Überwachungsfunktionen: das Risikocontrolling und die Compliance- Funktion. 5 Sie geben Methoden, interne Anweisungen und Prozesse vor, überwachen deren Einhaltung, berichten unabhängig an die Geschäftsleitung, sorgen im Rahmen von Schulungen für Wissenstransfer und stärken die Compliance- und Risikokultur. Als dritte Verteidigungslinie fungiert die interne Revision, die sowohl die Geschäftseinheiten als auch die unabhängigen Überwachungsfunktionen prüft und überwacht. Beim Governance-Modell der drei Verteidigungslinien geht es um eine klare und adäquate Definition von Rollen, Verantwortlichkeiten und Rechenschaftspflichten. Eine effektive und effiziente Koordination und Kooperation der drei Ebenen sorgt dafür, dass weder Kontrolllücken noch Redundanzen entstehen. In den meisten Banken ist die erste Verteidigungslinie die Schwachstelle, weil das Geschäft nicht wirklich Eigner der Risiken ist und auch nicht die Verantwortung für die Veränderungsprozesse im eigenen Bereich trägt. Sowohl Risikomanagement als auch Compliance sind eben nicht nur Aufgaben der Organisationseinheiten mit dem entsprechenden Namen, sondern der Gesamtorganisation. Der vielbeschworene Kulturwandel und die Veränderungsprozesse in den Banken müssen deswegen vor allem bei den Geschäftseinheiten ansetzen. Beobachtung aller regulatorischen Neuerungen Schon nur Transparenz über alle für das jeweilige Institut relevanten regulatorischen Anforderungen zu schaffen, ist angesichts der Fülle von Regularien aus unterschiedlichen Quellen eine immense Herausforderung. Allein für deutsche Kreditinstitute und nur bezogen auf regulatorische Auflagen gibt es gegenwärtig mehr als siebenhundert relevante Gesetzestexte, Verordnungen, Rundschreiben und Leitlinien. Zusätzlich gilt es, über zukünftige Entwicklungen auf dem Laufenden zu bleiben. Allein das Arbeitsprogramm der EBA für 2015 umfasst 457 Punkte (Stand Mai 2015). Auch der Basler Ausschuss hat mit dem, was gemeinhin unter Basel IV subsummiert wird, bereits eine ausgedehnte Revision der Ansätze zur Bemessung der Kapitalanforderungen angekündigt. In der Praxis lässt sich die Übersicht über die Regulierungsflut nur durch den Einsatz einer umfassenden und strukturierten Datenbank herstellen. Veränderungsanforderungen systematisch identifizieren Die Basis für einen durchgängigen Managementprozess für regulatorische Veränderungen bildet neben einem umfassenden Inventar aller relevanten Regularien eine systematische Taxonomie regulatorischer Themenbereiche, die die Organisation beeinflussen. Dafür werden Regularien zum einen kategorisiert und logisch gruppiert (z. B. Compliance, Geldwäschebekämpfung, Honorarberatung, Kapitalanforderungen) und zum anderen den Organisati- 20 diebank 9.2015

BANKING ó onseinheiten, Geschäftsprozessen, internen Regularien sowie Systemen oder Datenkategorien zugeordnet. Auswirkungen auf Geschäftsmodell, Organisation, IT-Systeme, Daten und Prozesse Die Analyse, ob die Bank durch eine regulatorische Norm betroffen ist, kann zunächst allgemein auf Ebene der betroffenen Organisationseinheiten erfolgen. In einem zweiten Schritt findet eine fundierte Auswirkungs- und Betroffenheitsanalyse anhand detaillierter Checklisten statt. Auch wenn dabei kein Handlungsbedarf festgestellt wird, sollte dies klar dokumentiert werden. Auf Basis dieser Auswirkungsanalyse erfolgt die Maßnahmenplanung. Ein Abgleich mit bestehenden Maßnahmen nach Themenbereichen ermöglicht eine zielgerichtete Priorisierung und Ressourcenplanung. Zuweisung klarer Verantwortlichkeiten Weil grundsätzlich nahezu alle Bereiche einer Bank auf die eine oder andere Weise von Regulierung betroffen sind, ist es wichtig, klare Verantwortlichkeiten für die einzelnen Themenbereiche und Maßnahmen festzulegen. Die Basis dafür bilden eine einheitliche Terminologie sowie eine dokumentierende Abbildung der Geschäftsprozesse der gesamten Organisation ” 2. Integriertes Informationssystem Einen wesentlichen Bestandteil eines integrierten Gesamtprozesses, der in der Praxis in Stufen aufgebaut wird, stellt ein integriertes IT-System für alle Informationen bzgl. Regulierung und Compliance dar. Dieses IT-System liefert die Informationsbasis mit allen relevanten regulatorischen Anforderungen, erfasst die offenen Schwachstellen und die definierten Maßnahmen inklusive Umsetzungsverantwortung und Rechenschaftspflichten und informiert über den Bearbeitungsstand. Das System sorgt dafür, dass alle betroffenen Stellen – von der Geschäftsführung bis hin zu Experten und Themenverantwortlichen – über relevante regulatorische Entwicklungen laufend informiert werden und in die Analyse und Überprüfung des Handlungsbedarfs eingebunden sind. Aussagekräftiges Berichtswesen Ein umfassendes Management regulatorischer Veränderungen braucht einen Monitoring-Prozess und ein Berichtswesen. Sind die etabliert, erhält man einen schnellen Überblick über regulatorische Veränderungen, individuelle Verantwortlichkeiten für die Auswirkungsanalyse, den Status der Analyse, die Umsetzungsverantwortlichen, den Status der Umsetzung – und eine Risikoanalyse. Es ist sinnvoll, dies um konkrete Befunde aufsichtsrechtlicher Prüfungen und um Anforderungen externer Abschlussprüfer oder der Internen Revision zu ergänzen. Angesichts der regulatorischen Komplexität ist solch ein regelmäßiges, konsolidiertes Reporting allerdings nur mit geeigneten Compliance-Tools sinnvoll darstellbar. Das Ziel wäre z. B. ein „All Findings“-Bericht 6 , der ein Gesamtbild aller Feststellungen von Interner Revision, externen Prüfern und Aufsichtsbehörden umfasst und deren Feststellungen thematisch ordnet und gewichtet. 2 Kriterien eines effektiven regulatorischen Managements Ganzheitliche Betrachtung Systematische Identifikation des Veränderungsbedarfs Sichere und frühzeitige Identifizierung relevanter Regularien Abgestimmte Maßnahmenplanung Kriterien eines effizienten und effektiven Managements regulatorischer Anforderungen Eindeutige Verantwortlichkeiten und dokumentierter Audit Trail Zentrale Projektsteuerung Zentrale Kommunikation mit Aufsichtsbehörden und Stakeholdern Standardisiertes Reporting über Erfüllungsstand 9.2015 diebank 21

die bank