Anzeige
| Compliance-Tools

Radar für die Regulatorik

Die europäische Bankenregulierung umfasst 4000 Regeln auf über 34 000 Druckseiten. Und jährlich werden es mehr. Den Überblick behalten Verantwortliche in Banken und Versicherungen nur durch datenbankgestützte Informationssysteme.

Anzeige

Alle Unternehmen der Finanzindustrie benötigen digitale Werkzeuge für die regulatorische Compliance, um stets einen Überblick über die kredit- und versicherungswirtschaftlich relevanten Regulierungsvorhaben auf nationaler, europäischer und internationaler Ebene zu haben.

Die Mindestanforderungen an das Risikomanagement (MaRisk) sowie die Mindestanforderungen an die Geschäftsorganisation von Versicherungsunter­nehmen (MaGo) der Finanzaufsicht Bafin schreiben vor, dass Banken und Versicherer über eine Compliance-Funktion verfügen müssen. Sie hat auf die Implementierung wirksamer Verfahren zur Einhaltung von Gesetzen, Verwaltungsvorschriften sowie entsprechender Kontrollen hinzuwirken. Dies gilt für Banken, Versicherungsunternehmen und Kapitalverwaltungsgesell­schaften gleichermaßen.

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) weist seine angeschlossenen Versicherungsunternehmen darauf hin, dass die Assekuranz zur Erfüllung und Überwachung der regulatorischen Vorgaben mehr Ressourcen zur Verfügung stellen muss, um der hohen Regulierungsin­tensität in einer der am stärksten regulierten Branchen gerecht zu werden. Die im Versicherungsaufsichtsgesetz (VAG) und der Solvency-II-Richtlinie festgelegte Organisation der Compliance-Funktion wird durch die Delegierte Verordnung (EU) 2015/35 (Solvabilität II) und das MaGo-Rundschreiben der Bafin konkretisiert.

Demnach gibt es einen gewissen Gestaltungsspielraum sowie die Möglich­keit, eine dezentrale oder integrierte Lösung einzubinden, aber an der regu­latorischen Compliance als Stabsstellendisziplin führt kein Weg vorbei. Für Banken und Sparkassen wurde bereits mit der vierten MaRisk-Novelle der Bafin im Dezember 2012 neben den beiden etablierten Compliance-Funktionen im Bankenumfeld (Kapitalmarkt sowie Geldwäsche- und Betrugsbekämpfung) eine dritte Compliance-Säule geschaffen – die der Regulatorik.

Regulierungsflut mit nicht beabsichtigten Nebeneffekten

 
© BBL
Jährlich müssen Finanzdienstleister eine Vielzahl regulatorischer Anforder­ungen im Blick behalten. Allein 2018 sind über 650 neue finanzwirtschaftlich relevante Vorhaben zur Anwendung gekommen (s. Abb. 1). Manuell ist das Normenmonitoring schon lange nicht mehr zu bewerkstelligen. Und mehr noch: 32 Jahre würde es dauern, allein die komplette europäische Bankenre­gulierung (4000 Regeln auf über 34.000 Druckseiten) zu lesen bei einer Lesegeschwindigkeit von 50 Wörtern pro Minute und einer Stunde Lesezeit pro Tag.

Angesichts dieser Regulierungsflut drohen nicht beabsichtigte Nebeneffekte. Jedenfalls sollte es niemanden mehr wundern, wenn Banken und Versiche­rungs­unternehmen in Zeiten überzogener Regulierung, fortschreitender Digitalisierung und zu niedrigerer Zinsen kaum mehr Geld verdienen können. Das ist aber unbedingt notwendig, um die Wirtschaft zu finanzieren und notwendige Investitionen tätigen zu können. Gewinn zu machen, ist auch für Finanzdienstleister kein Luxus, sondern überlebenswichtig. Denn nur ertragsstarke Unternehmen sind auch stabile Unternehmen, dieser Zusammenhang gerät zunehmend in Vergessenheit. Personelle Entlastung und Kostenreduktion sind also vordringliche Aufgaben aller Finanzinstitute.

Im Kern ist es für die Banken und Versicherer in Deutschland am wichtigsten, wieder Wettbewerbsfähigkeit zu erlangen. Dabei sind regulatorische Themen enorm wichtig. Beispielsweise ist Basel IV nur eine von zahlreichen regulato­ri­schen Anforderungen – wenngleich das umfassendste Änderungspaket der gesamten Aufsichtsgeschichte. Für die Versicherungsunternehmen stellt Solvency II eine kaum mindere Mammutaufgabe dar. Die Regulierung nimmt einen immer größeren Raum in der Bankpraxis ein, bindet Personal und Ressourcen. Das ist ein riesiger Kostenblock.

Regulierung bindet Personal und Ressourcen

Im Alltag bieten Informationssysteme für die regulatorische Compliance deshalb über die reine Datenbasis hinaus auch workflowgestützte Weiterverarbeitungen der regulatorischen Informationen ohne Medienbrüche und leisten damit einen wesentlichen Beitrag zur Prozesseffizienz. Dabei erfolgt die Bewertung von Relevanz und Wesentlichkeit einer Norm durch verschiedene Abteilungen, denen die Norm durch die verantwortliche Compliance-Funktion zugespielt wird.

Es können unternehmensspezifische Informationen zum Umsetzungsgrad abgerufen sowie die Bildung von Normenclustern zur Bündelung zusammen­hängender regulatorischer Anforderungen bewerkstelligt werden. Gewähr­leistet wird über das Prozedere die prüfungsfähige Ablage aller erfassten Informationen durch Historisierung sowie die Einbindung standardisierter Reports für unterschiedliche Interessensgruppen.

In der Konsequenz lässt sich das unternehmenseigene Compliance-Management der regulatorischen Informationen gemäß MaRisk oder MaGo wesentlich effektiver und kostengünstiger abarbeiten und revisionstauglich dokumentieren.

Neben Gesetzen wie dem Betriebsrentenstärkungsgesetz und dem Lebens­versi­che­rungsreformgesetz, werden Versicherer auch bei der Suche nach der PRIIPs-Verordnung bis hin zur umstrittenen EU-Versicherungsvertriebs­richt­linie fündig. Zudem stellen Normen-Informationsdienste neben Rundschrei­ben und Merkblättern der Bafin sowohl alle relevanten höchstrichterlichen Rechtsprechungen als auch unverbindliche Leitlinien, Empfehlungen und Technische Standards zur Verfügung.

Alle EU-weiten sowie national relevanten Normen werden im zentralen Datenhaushalt ab dem ersten Entwurf beziehungsweise mit Beginn der Konsultation unter einem eigenen Datensatz abgebildet, der bis zur finalen Veröffentlichung fortgeschrieben wird. Somit haben die Anwender stets alle wesentlichen Neuerungen für ihre Compliance-Funktion im Blick.

Der regulatorische Informationsdienst RADAR als Normenmonitor, ein Gemeinschaftsprodukt von VÖB-Service, SKS Unternehmensberatung und Deloitte, bietet sowohl wesentliche Informationen über die neuesten Entwürfe und Änderungen im Normgebungsprozess sowie zu vorhandenen regulato­rischen Anforderungen im Finanzbereich (Bestandsnormen).1 

Mit Radar können rund 4000 regulatorische Anforderungen mit rund 20.000 zugrunde liegenden Quelldokumenten eingesehen und systematisch bearbeitet werden. Es ist damit gemäß einer Studie der wissenschaftlichen Dienste des Deutschen Bundestags das umfangreichste und detaillierteste Datenmaterial, das im Markt verfügbar ist und Unternehmen der Finanz­branche einen umfassenden Überblick über die geplanten regulatorischen Vorhaben sowie die konkret umzusetzenden Vorgaben auf nationaler, europäischer und supranationaler Ebene bietet.2

Best Practice: MaRisk-Compliance-Life-Cycle

In der MaRisk-Compliance führende und fortschrittliche Banken wie die Landesbank Hessen-Thüringen Girozentrale (Helaba) haben vor diesem Hintergrund einen nachhaltig wirksamen MaRisk-Compliance-Life-Cycle etabliert, der in erster Linie einen ganzheitlichen Ansatz der Erkennung, Hinwirkung, Umsetzungsbegleitung und -kontrolle darstellt.

 
© BBL
Er dient der Überwachung und Berichterstattung in Verbindung mit einem kontinuierlichen Anpassungs- und Selbstkontrollprozess, der dynamische mit statischen Elementen verbindet. Der Life-Cycle an sich bildet dabei den Informations-, Handlungs- und Kontrollfluss ab.3 Betroffen sind alle CRR-Rechtsbereiche (s. Abb. 2).

Dieser repräsentiert einen in sich selbst geschlossenen, fortlaufenden Prozesskreislauf und stellt dabei unter Berücksichtigung externer Faktoren, etwa neuer gesetzlicher Anforderungen und Ad-hoc-Sachverhalten, einen fortlaufenden und sich selbst verbessernden Workflow sicher. In seiner erweiterten Form bindet dieser Prozess sukzessive weitere Quellen an. Diese folgen als interne oder externe Quelle dem Prinzip einer „Single Source of Truth“ (SST) und können beispielsweise gewichtet in einen quantitativen oder beurteilt in einen qualitativen Teil der Compliance-Risiko-Analyse einbezogen werden oder als Trigger-Event für Ad-hoc-Themen dienen.

Das Risikoprofil wird auf Grundlage von Relevanz, Wesentlichkeit und Risiko der relevanten Normen und Vorgaben ermittelt. Zudem werden zusätzliche Quellen wie Ergebnisse bisheriger risikobasierter Überwachungshand­lungen oder Vor-Ort-Prüfungen durch die regulatorische Compliance-Funktion, Prüfergebnisse der internen Revision, neue regulatorische Anforderungen, Erkenntnisse aus dem Whistleblowing-Prozess oder Implikationen aus dem Beschwerdemanagement berücksichtigt.

Die Risikoanalyse bewertet dabei einerseits Risiken aus der Nichteinhaltung der wesentlichen rechtlichen Regelungen und Vorgaben, andererseits stellt sie den entsprechenden Risiken die bereits bestehenden Verfahren zur Sicherstellung der Einhaltung dieser Rechtsnormen in der Bank gegenüber. Die Risiken aus der Nichteinhaltung der einzelnen wesentlichen rechtlichen Regelungen und Vorgaben werden dabei auf Basis weiterer Risikokriterien bewertet. Die Risikoanalyse bildet somit eine valide, systematische und reproduzierbare Grundlage für die Überwachungshandlungen der regulatorischen Compliance-Funktion. Dabei müssen nicht alle internen Verfahren zur Einhaltung der Rechtsnormen gleichermaßen in die Überwachungshandlungen der Compliance-Funktion einbezogen werden.

Risikoanalyse und Überwachungsplan

Vordergründig kommt es darauf an, die vorgelagerte Risikoanalyse auf alle Bereiche des Unternehmens auszudehnen, um mögliche Compliance-Risiken zu identifizieren. Dabei sollen nach Möglichkeit auch jene risikotangierten Bereiche eingeschlossen werden, die in weiteren Analyseschritten aufgrund geringer Relevanz wieder aus dem Kontroll- und Tätigkeitsfeld der Compliance-Funktion ausgeklammert werden können.

Analog zu diesem inhaltlichen Ansatz basiert der Umfang der Risikoanalyse auf dem vollumfänglichen Mengenansatz eines gegebenenfalls additiven Normen-Inventars. Auf Grundlage dieser Parameter wird der jährliche Überwachungsplan erstellt.

Die Festlegung eines wirksamen Überwachungsplans erfolgt jährlich auf Grundlage der Ergebnisse der Risikoanalyse und berücksichtigt sowohl festgelegte Bewertungskriterien (quantitativer Teil) als auch einen Ermessensspielraum der regulatorischen Compliance-Funktion (qualitativer Teil). Dazu werden Brutto- und Netto-Risiken ermittelt und bewertet.

Die qualitative Bewertungskomponente ermöglicht es der Compliance-Funktion, einen anlassbezogenen Überwachungsfokus festzulegen und auf neue oder veränderte Compliance-Risiken zeitnah zu reagieren. Grundlage bildet dabei immer die Überwachung der Umsetzung und Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben in enger Verbindung mit den Geschäftsaktivitäten und Märkten, auf denen sich das jeweilige Finanzunternehmen bewegt.

Fazit

Angesichts einer Vielzahl regulatorischen Änderungen im Bank- und Versicherungsgeschäft ist die adäquate Handhabung von Komplexität und das Management von Rechtsrisiken unterschiedlicher Dimensionen eine neue Disziplin und somit eine neue Normalität geworden. Nicht ganz zufällig hat sich in der Kreditwirtschaft parallel der Begriff der „neuen Normalität“ breitgemacht – „The New Normal“. Die These des „New Normal“ im Finanzgeschäft stammt von US-amerikanischen Investmentbankern aus dem Jahr 2009, deren Kernaussage war: Nach der Lehman-Insolvenz im Herbst 2008 würde die Finanzwelt nie mehr zu dem Zustand zurückkehren, in dem sie am Vorabend der Krise gewesen war. Mit einem Blick auf die aktuellen Aufgaben in der regulatorischen Compliance lassen sich durchaus Anhaltspunkte für diese These finden.

Autor
Patrick Jendro ist Produktmanager in der Abteilung Bankenaufsicht der VÖB-Service GmbH in Bonn, einer Tochtergesellschaft des Bundesverbands Öffentlicher Banken Deutschlands.

  • 1Über RADAR siehe https://www.voeb-service.de/informationsdienste/RADAR (abgerufen am 06.12.2019).
  • 2Deutscher Bundestag (WD 4 - 3000 - 030/17), Regulierungsvorschriften für Kreditinstitute in den Jahren 2005, 2007, 2010, 2013, 2016, S. 6. Online abrufbar unter https://www.bundestag.de/resource/blob/514208/2184df396a837a23904d25bfe67251dc/WD-4-030-17-pdf-data.pdf (abgerufen am 06.12.2019).
  • 3Vgl. Markus Müller et al.: Die Compliance-Funktion nach MaRisk und ihr Compliance-Life-Cycle, in: Banking News vom 27.11.2018. Online abrufbar unter https://www.bankingclub.de/news/compliance/die-compliance-funktion-nach-marisk-und-ihr-compliance-life-cycle (abgerufen am 06.12.2019).