Kolumne

"Cost of Compliance" reduzieren

Regulatorische Anforderungen effektiv managen

Martin Rohmann [ORO Services]05.07.2016, 12:00

Über die steigende, kaum noch überschaubare Komplexität der regulatorischen Anforderungen wird in Banken ebenso geklagt wie über die immensen Umsetzungskosten, die die Institute zu tragen haben. Dennoch ist kein Ende der Regulierungsflut absehbar. Vor diesem Hintergrund wird es immer wichtiger, dass Banken – auch kleine und mittlere – sich darauf konzentrieren, einen adäquaten Managementansatz zu entwickeln, um mit der stetig wachsenden Fülle und Komplexität regulatorischer Anforderungen umzugehen. Der Weg zum effizienten und effektiven Management der Anforderungen umfasst eine wirkungsvolle Governance, einen integrierten Managementprozess und eine zentrale Koordinationsstelle – ein Regulatory Office.

Proaktives Management erforderlich

Zahl, Umfang und Komplexität regulatorischer Anforderungen sind in den vergangenen Jahren kontinuierlich gestiegen und stellen alle Kreditinstitute vor massive Herausforderungen. Die umfangreichen Arbeitsprogramme von EBA, ESMA oder des Baseler Ausschuss sprechen eine klare Sprache: Auch in den kommenden Jahren wird es keine Regulierungspause geben. Aber nicht nur die Zahl der Regularien steigt, auch die Veränderungsgeschwindigkeit nimmt deutlich zu.  Zugleich haben Anzahl und Umfang externer Prüfungen deutlich zugenommen und strafrechtliche Regelungen wurden verschärft.

Nach wie vor ist es typisch, sich mit Regularien nur reaktiv und relativ spät zu befassen. Oft kommt es insbesondere im Nachgang von Prüfungen zu Ad-hoc-Maßnahmen und -Projekten. Weiterhin sind in vielen Häusern die Verantwortlichkeiten für die Umsetzung regulatorischer Vorgaben nicht eindeutig festgelegt. Anforderungen werden isoliert betrachtet und Wechselwirkungen mit anderen Projekten vernachlässigt. Uneinheitliche Terminologie und mangelnde Kommunikation zwischen den betroffenen Bereichen führen zu ineffektiven, zeitraubenden Abstimmungsprozessen und Missverständnissen. Die "Cost of Compliance" werden unnötig hoch. Sehr häufig fehlt ein standardisiertes Berichtswesen über den Umsetzungsstand regulatorischer Anforderungen und über die Compliance mit allen relevanten Regularien. Bei den Verantwortlichen stellt sich nicht selten ein Gefühl der Unsicherheit ein, ob alle Anforderungen rechtsicher erfüllt sind und die internen Kontrollmechanismen ausreichen.

Um regulatorische Anforderungen umfassend, nachhaltig und effizient umzusetzen und die Einhaltung zu überwachen, müssen diese Anforderungen den Organisationseinheiten und Prozessen zugeordnet werden, wo sie effizient gesteuert und umgesetzt werden können. Im Zusammenhang mit Risk Governance wird aktuell das "Three Lines of Defence"-Modell als Best Practice-Modell diskutiert.  Beim Governance-Modell der drei Verteidigungslinien geht es um eine klare und adäquate Definition von Rollen, Verantwortlichkeiten und Rechenschaftspflichten. Eine effektive und effiziente Koordination und Kooperation der drei Ebenen sorgt dafür, dass weder Kontrolllücken noch Redundanzen entstehen.

Umfassendes Monitoring regulatorischen Veränderungen

Ausreichende Transparenz über alle für das jeweilige Institut relevanten regulatorischen Anforderungen zu schaffen, ist angesichts der Fülle von Regularien aus unterschiedlichen Quellen eine immense Herausforderung. Allein für deutsche Kreditinstitute und nur bezogen auf regulatorische Auflagen gibt es gegenwärtig mehr als tausend Gesetzestexte, Verordnungen, Rundschreiben und Leitlinien. Zusätzlich gilt es, über zukünftige Entwicklungen auf dem Laufenden zu bleiben. In der Praxis lässt sich die Übersicht über die Regulierungsflut nur durch den Einsatz einer umfassenden und strukturierten Datenbank herstellen.

Die Basis für einen durchgängigen Managementprozess für regulatorische Veränderungen bildet neben einem umfassenden Inventar aller relevanten Regularien eine systematische Taxonomie regulatorischer Themenbereiche, die die Organisation beeinflussen. Dafür werden Regularien zum einen kategorisiert und logisch gruppiert (beispielsweise Compliance, Geldwäschebekämpfung, Honorarberatung, Kapitalanforderungen) und zum anderen den Organisationseinheiten, Geschäftsprozessen, internen Regularien sowie Systemen oder Datenkategorien zugeordnet.

Die Analyse, ob die Bank durch eine regulatorische Norm betroffen ist, kann zunächst allgemein auf Ebene der betroffenen Organisationseinheiten erfolgen. In einem zweiten Schritt findet eine fundierte Auswirkungs- und Betroffenheitsanalyse anhand detaillierter Checklisten statt.

Einen wesentlichen Bestandteil eines integrierten Gesamtprozesses stellt ein integriertes IT-System für alle Informationen bzgl. Regulierung und Compliance dar. Dieses IT-System liefert die Informationsbasis mit allen relevanten regulatorischen Anforderungen, erfasst die offenen Schwachstellen und die definierten Maßnahmen inklusive Umsetzungsverantwortung und Rechenschaftspflichten und informiert über den Bearbeitungsstand. Das System sorgt dafür, dass alle betroffenen Stellen – von der Geschäftsführung bis hin zu Experten und Themenverantwortlichen – über relevante regulatorische Entwicklungen laufend informiert werden und in die Analyse und Überprüfung des Handlungsbedarfs eingebunden sind.

Das "Regulatory Office" als zentrale Koordinationsfunktion

Den regulatorischen Anforderungen wächst eine so zentrale Bedeutung zu, dass es nicht länger einem unkoordinierten Prozess überlassen werden kann, diese zu erfüllen. Die Menge und Komplexität der Regelungen erzwingt es geradezu: Banken müssen eine zentrale Stelle schaffen, die sich auf die Beobachtung und Analyse der Entwicklungen fokussiert – ein "Regulatory Office". Nur eine Bank, die zum Management regulatorischer Anforderungen über eine zentrale Projektsteuerung verfügt, stellt sicher, dass alle Anforderungen professionell und effizient abgearbeitet werden.

Ein Regulatory Office entlastet alle anderen Organisationseinheiten und ermöglicht es ihnen, sich auf ihre Kernaufgaben zu fokussieren. Da das Regulatory Office als zentrale Stelle alle regulatorischen Anforderungen lückenlos erfasst, gewährleistet es jederzeit Evidenz über die Compliance. Und weil es regelmäßigen Kontakt mit Bankaufsichtsbehörden hält und die regulatorischen Entwicklungen ständig beobachtet, fungiert es als Frühaufklärungssystem. Es kann Veränderungen und anstehende Neuerungen antizipieren und darum frühzeitig interne Diskussions- und Entscheidungsprozesse anstoßen – etwa bei geschäftsstrategischen Implikationen.

Das Regulatory Office berichtet unmittelbar an den Vorstand, unterhält zu nationalen und internationalen Aufsichtsbehörden Beziehungen und steht mit ihnen in regelmäßigem Austausch. Das Regulatory Office kann jederzeit zu allen regulatorisch wichtigen Projekten und Initiativen Auskunft geben. Zudem wird es ein gutes Verständnis für aufsichtsrechtliche Zusammenhänge und die Arbeitsweise der Bankaufsicht entwickeln – was die Kooperation mit den Behörden erleichtert. Die Aufsichtsbehörden wiederum profitieren davon, dass eine zentrale Stelle ihre Anfragen gezielter und schneller bearbeitet.

Der Herausforderung Regulierung proaktiv begegnen

Neben der Digitalisierung und dem Niedrigzinsumfeld ist Regulierung – und deren wachsender Umfang und steigende Komplexität – das Thema, das die Kreditwirtschaft derzeit dominiert. Für Banken gilt es jetzt, adäquate Strukturen und Instrumente aufzubauen, um die Anforderungen effizient und effektiv umzusetzen und die jederzeitige Compliance sicherzustellen. Eine effektive Lösung, wie sie hier beschrieben wurde, hat drei Komponenten: die wirkungsvolle Governance, den integrierten Managementprozess für regulatorische Veränderungen und – last but not least – die zentrale Koordinationsstelle in Form eines Regulatory Office. Banken können die Regulierungsflut beherrschen. Dies gilt auch für kleine und mittelgroße Institute. In Verbindung mit adäquaten technischen Tools sowie gegebenenfalls der gezielten Auslagerung von Aufgaben können auch sie nachhaltige Strukturen schaffen, um regulatorische Anforderungen zuverlässig umzusetzen und einzuhalten.

Autor:

Dr. Martin Rohmann, Geschäftsführer, ORO Services GmbH, Frankfurt am Main.

 

Hinweis: Der Beitrag ist im FIRM Jahrbuch 2016 erstmalig erschienen. Download des FIRM Jahrbuchs 2016 unter www.firm.fm

[ Bildquelle: © ra2 studio - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Blickpunkt

Digital, digitaler, am digitalsten

Redaktion RiskNET06.09.2017, 10:09

Als im Jahr 1761 das französische Schiff "Utile" vor der Insel Tromelin im indischen Ozean sank, rettete sich eine Gruppe von Sklaven auf das Eiland. Die nur rund 1,7 Kilometer lange und...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...

Kolumne

Struktur des Unternehmens-Risikomanagements

Synergien im Risikomanagement schaffen

Bruno Brühwiler01.08.2017, 07:30

Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses...

Studie

IDW PS 981: Benchmark-Studie 2017

Risikomanagement und Unternehmenssteuerung

Redaktion RiskNET10.07.2017, 09:11

Manchmal lohnt ein Blick zurück in die Vergangenheit, um den Blick für das Zukünftige zu schärfen. Als Odysseus, König von Ithaka, seine Fahrt vorbei an den liebreizenden aber zugleich gefährlichen...