Die strengen regulatorischen Anforderungen an Kreditinstitute erfordern eine neue Sichtweise auf das Thema Compliance. Die häufig isolierte Betrachtungsweise von Compliance- und Risikomanagement führt zu redundanten Prozessen, hohen Kosten und Lücken im Überwachungs- und Kontrollsystem. Eine aktuelle Umfrage unter deutschen Banken zeigt, dass die Problematik zwar bekannt, aber eine effektive Lösung noch in weiter Ferne ist. Der Ansatz des "Integrated Compliance & Risk Management" (ICRM) könnte hierbei Abhilfe schaffen.  

Die Finanzbranche befindet sich aufgrund der globalen Wirtschaftskrise in einem tiefgreifenden, strukturellen Umbruch. Kreditinstitute stehen steigenden Anforderungen gegenüber: Die Märkte sollen transparenter, stärker standardisiert sowie regulierter werden und die Rahmenbedingungen umfangreicher. Durch die verschärfte Branchenaufsicht und die Globalisierung werden die Risiken vielschichtiger. Diese Situation zwingt Kreditinstitute dazu, ihre derzeitige Compliance-Funktion grundlegend zu überdenken. Eine Umfrage aus dem Jahr 2009 analysierte die aktuellen Compliance- und Risikomanagementsysteme deutscher Banken (Für die Umfrage wurden 163 Finanzinstitute aus den Sektoren Genossenschaftsbanken (G), Privatbanken (P) sowie öffentlichen Banken und Sparkassen (S) in Deutschland befragt. Die Bilanzsumme der Institute stellte das wichtigste Auswahlkriterium dar. Zum Sektor der öffentlichen Banken und Sparkassen werden auch Landes- und Förderbanken der Bundesländer zugeordnet. Die vollständige Deloitte-Studie "Compliance im Wandel" kann unter  www.deloitte.de heruntergeladen werdend). Die Teilnehmer verteilten sich wie folgt: 23 Prozent öffentlichen Banken und Sparkassen, 32 Prozent Genossenschaftsbanken und 45 Prozent Privatbanken.

Die Umfrageergebnisse belegen, dass 90 Prozent der deutschen Kreditinstitute mittelfristig eine Qualitäts- und Komplexitätszunahme von Compliance erwarten. Die Instrumentarien waren in der Vergangenheit meist nicht in der Lage, sowohl bekannte als auch neue komplexe Risiken korrekt und vollständig zu erfassen und zu überwachen. Verstöße gegen regulatorische und aufsichtsrechtliche Anforderungen sowie Reputationsschäden sind häufig die Folge. Der neue unternehmensweite, risikobasierte Compliance-Ansatz soll nun die Effizienz der Funktion steigern und gleichzeitig die Kosten im Unternehmen senken. Die wesentlichen Compliance-relevanten regulatorischen Einflüsse der letzten zehn Jahre sind in Abbildung 1 zusammengefasst.

 
Abbildung 1: Zeitstrahl – Einige wesentliche Compliance-relevante regulatorische Einflüsse der letzten zehn Jahre


Compliance in deutschen Kreditinstituten

Die Funktion Compliance wird global stark differenziert. Eine eng ausgelegte Definition umschließt die Einhaltung von Gesetzen – wie WpHG, KWG, StGB und BGB – als auch Regelungen und Standards der Aufsichtsbehörden und Bundesministerien. Eine erweiterte Definition umfasst darüber hinaus die Einhaltung von unverbindlichen Branchenstandards (ZKA – Electronic Banking Internet Communication Standard (EBICS), IIF – Compensation in Financial Services) sowie Aspekte der Unternehmensethik zur Minimierung von Reputationsrisiken. Im weitesten Sinne überwacht Compliance auch die Einhaltung aller intern festgelegten Regelungen oder Abläufe und sichert die notwendige Funktionstrennung von Rollen und Verantwortlichkeiten.

Innerhalb des deutschen Bankensystems gibt es wichtige Unterschiede im Verständnis und damit auch bei der Compliance-Umsetzung. Der Großteil der befragten Institute versteht Compliance einzig als Pflicht zur Erfüllung der Wertpapierhandelsgesetzes-Vorgaben. Eine kleinere Gruppe definiert Compliance auch als Kontrollfunktion zur Einhaltung sämtlicher gesetzlicher und aufsichtsrechtlicher Vorgaben. Vereinzelt wurde die Einhaltung von betriebsinternen Vorgaben aufgezählt.  

Eine enge Auslegung des Compliance-Begriffs kann Entwicklungen zu einer stärker integrierten Sicht behindern und vernachlässigt viele Aspekte einer erweiterten Funktion wie die vollumfängliche Risikobetrachtung, etablierte Branchenstandards oder MaRisk-Anforderungen. So sehen weniger als 50 Prozent der Sparkassen und Genossenschaftsbanken eine materielle Überschneidung zwischen den Prozessen von Compliance- und Risikomanagement.

Die strengen Bestimmungen sowie aktuelle Marktveränderungen begründen die Dringlichkeit, einen alternativen Management-Ansatz für Compliance zu definieren und anzuwenden.

Bislang wird die Funktion innerhalb eines Unternehmens meist in verschiedenen Bereichen abgebildet. Aus dieser Praxis resultieren redundante Prozesse, Überlappungen und zusätzlich belastete Geschäftsbereiche. Die Kosten steigen und können häufig nicht zugeordnet werden – 70 Prozent der befragten Banken konnten die Compliance-Kosten nicht vollständig angeben oder nicht korrekt ermitteln. Außerdem erhöht der "Siloansatz" die Gefahr von Non-Compliance und Reputationsschäden oder anderen kritischen aufsichtsrechtlichen Konsequenzen. Trotz dieser Nachteile decken Banken die Compliance-Maßnahmen typischerweise nach Geschäftsbereichen und nationalen Rechtsräumen separiert ab. Compliance wird häufig ohne kommunikative oder funktionale Anbindung an das traditionelle Risikomanagement betrieben. Diese Fragmentierung und Intransparenz führt trotz der großen inhaltlichen Überschneidungen bei Organisationsrisiken zu einem abgetrennten Ansatz von Compliance-Risiken.

Die wachsende Bedeutung von Compliance-Management

Die verbesserte Risikokontrolle und -steuerung hat derzeit höchste Priorität in der Finanzindustrie. Die Gründe weitreichender Veränderungen im Compliance- und Risikomanagement lassen sich hauptsächlich aus fünf Faktoren herleiten:

• Drastisches Wachstum von Anzahl und Komplexität der bekannten Risiken
• Konsolidierung und Diversifikation innerhalb des Bankensektors
• Fortschreitende Globalisierung im Bereich Financial Services
• Stärkere Aufsicht durch staatliche Stellen und Aufsichtsbehörden
• Diverse bilaterale geschäftliche Volatilitäten mit systemischen Implikationen

Diese Faktoren erschweren das Identifizieren und Messen von Risiken und vergrößern die Gefahr eines Compliance-Verstoßes. Dies ist den Banken durchaus bewusst (siehe Abbildung 2).

 
Abbildung 2: Erwartungen des Einflusses von Compliance innerhalb der nächsten 3 bis 5 Jahre


Hauptsächlich Privat- und Genossenschaftsbanken erwarten eine deutliche Zunahme der Bedeutung von Compliance – Sparkassen sehen sich weniger betroffen. Die Sektoren rechnen mit zunehmendem Druck der Öffentlichkeit hinsichtlich der Geschäfts- und Produkttransparenz; wachsende strafrechtliche Konsequenzen aus Compliance-Verstößen spielen ebenfalls eine wichtige Rolle.

Institute, die genannte Probleme lösen wollen, müssen sich bei den Initiativen zur Kostenkontrolle und Integration der Bereiche Compliance und Risikomanagement folgenden Herausforderungen stellen:

• Identifikation und Gruppierung von negativen (zum Werterhalt) und positiven (in Verbindung mit Chancen zur Wertvermehrung) Risiken
• Schaffung einer gemeinhin verständlichen und allgemein akzeptierten Risikodefinition
• Optimierung und Integration der IT-Infrastruktur für Compliance- und Risikomanagement
• Eliminierung redundanter funktionaler Tätigkeiten
• Automatisierung geeigneter Compliance-Aktivitäten
• Reduzierung der Compliance-Kosten

Diese vielfältigen und komplexen Aspekte können durch eine intelligente Lösung im Compliance-Management bewerkstelligt werden. Die Problematik erfordert ein integriertes System, das eine allumfassende, effiziente Messung und Behebung von Risiken ermöglicht. Um die erweitere Sicht auf Compliance darzustellen, muss es mit dem Risikomanagement in Verbindung gebracht werden. Die enge Verflechtung kann helfen, vorhandene Synergien zu heben und Informationsverluste sowie Zusatzkosten zu vermeiden. Das System braucht einen unternehmensweiten Ansatz und sollte verschlankt werden.


[Abbildung oben: iStockPhoto]