Die Compliance-Funktion nach MaRisk ist seit Jahren in den Kreditinstituten etabliert. Da es keine nennenswerten neuen Anforderungen zur Umsetzung gibt, sollte man meinen, dass keine Notwendigkeit besteht, sich damit weiter auseinandersetzen zu müssen. Weit gefehlt!
Obgleich sich die Compliance-Funktion in den Finanzinstituten im letzten Jahrzehnt fest und mit stabilen Vorgaben etabliert hat, bleiben in vielen Unternehmen einige Fragen offen. Deren baldige Beantwortung ist für die innerbetrieblichen Entwicklungen in den kommenden Jahren unabdingbar. Wichtig ist es vor allem, zu verstehen, wie der tatsächliche Mehrwert durch die Compliance-Funktion nach MaRisk und deren effiziente Ausgestaltung entsteht.
Unterschiede beim Status quo der Compliance-Umsetzung
Institute bzw. deren Compliance-Funktion haben in den vergangenen Jahren einiges unternommen, um den normierten Anforderungen der MaRisk, deren erwarteter Umsetzung durch die Aufsichtsbehörden und der Auslegung der MaRisk durch die verschiedenen Prüfer gerecht zu werden. Dabei ist auffällig, dass noch immer nicht alle Verpflichteten mit den bisherigen Umsetzungen zufrieden sind. Es zeigen sich in vielen Häusern ähnliche Muster, die letztlich dazu führen, dass die übergeordnete Zielstellung der Compliance-Funktion nach MaRisk nicht immer oder auch nicht mit den gewünschten Aufwänden erreicht wird.
Drei typische Probleme und ihre Stellschrauben
Letztlich sind drei Fragen zu beantworten:
- Frage 1: Welche Regelungen und Vorgaben wirken auf mein Institut?
- Frage 2: Wer kümmert sich um die zu beachtenden Regelungen und Vorgaben?
- Frage 3: Wie gut wurden diese umgesetzt?
Die typischen Probleme lassen sich diesen drei Fragen zuordnen und betreffen einerseits den Mehrwert, andererseits – insbesondere die Fragen zwei und drei – die Aufwände.
1. Welche Regelungen und Vorgaben wirken auf mein Institut?
Oft wird nur eine eingeschränkte Anzahl an Rechtsgebieten in der Analyse berücksichtigt. Daher besteht gar nicht die Möglichkeit, auf Institutsebene einen zentralen Überblick über relevante und wesentliche Regelungen und Vorgaben zu erhalten. Die Auswahl der Rechtsgebiete basiert zudem oft weniger auf einer transparenten Ableitung aus relevanten Kriterien wie Rechtsform, Geschäftsmodell, Kunden- und Produktstruktur oder Geschäftsbetrieb, als vielmehr aus der Übernahme der erwähnten Themengebiete durch die BaFin.
Darüber hinaus ist oft nicht ausreichend geklärt, welche Art von Vorgaben Berücksichtigung finden sollen: Sind es beispielsweise „nur“ Verordnungen, Gesetze und Vorgaben durch Aufsichtsbehörden, oder auch Rechtsprechung und Industriestandards? In diesem Zusammenhang ist zudem nicht immer geregelt, ab welchem Zeitpunkt die Regelungen und Vorgaben betrachtet und bewertet werden. Hier ist von einer ersten öffentlichen Mitteilung, über Konsultationspapiere bis hin zur Veröffentlichung im Bundesanzeiger alles zu sehen – was die Vergleichbarkeit enorm erschwert.
2. Wer kümmert sich um die zu beachtenden Regelungen und Vorgaben?
Hohe Aufwände entstehen in Teilen dadurch, dass Verantwortlichkeiten auf Ebene einzelner Regelungen wie Gesetze oder sogar Gesetzesabschnitte verteilt werden. Das können mitunter tausende Einträge in Listen umfassen. Einzelne Regelungen können aber auch übergreifenden Rechtsgebieten zugeordnet werden, für die die Klärung der Verantwortlichkeiten oft leichter geregelt werden kann.
Ein anderes typisches Muster zeigt genau das Gegenteil: Hier führen fehlende klare Zuordnungen von Verantwortlichkeiten, sowohl auf Rechtsgebiets- als auch auf einzelner Gesetzesebene dazu, dass sich entweder keiner um die Themen kümmert und damit Risiken verursacht – oder auch mehrere Parteien unabhängig voneinander daran arbeiten. Hier bestände jeweils die Möglichkeit, signifikant Effizienzen zu heben.
3. Wie gut wurden die Regelungen und Vorgaben umgesetzt?
Um einschätzen zu können, wie gut Vorgaben umgesetzt werden, wird es kaum für einen Mitarbeiter der Compliance-Funktion möglich sein, fachlich einzuschätzen, ob die Verantwortlichen für die fachlich breit gefächerten Vorgaben alle Facetten berücksichtigt. Compliance kann aber anhand der mit der Verantwortung für die Vorgabe einhergehenden Aufgaben einschätzen, wie die Verantwortlichen ihrer Rolle nachkommen.
Zu den Aufgaben können beispielweise das Rechtsmonitoring an sich, die Definition und Pflege von internen Anweisungen, Schulungen oder auch Kontrollhandlungen gehören. Das erleichtert die Bewertung der Qualität der Umsetzung von Vorgaben ungemein. Für die Compliance-Funktion ist es möglich zu analysieren, ob wesentliche (neue) Regelungen und Vorgaben in den Anweisungen oder Schulungen berücksichtigt sind, oder ob die Verantwortlichen eigene Kontrollhandlungen durchgeführt haben.
Es bestehen zusätzlich bereits häufig Informationen an anderen Stellen hinsichtlich der inhaltlichen Qualität der Umsetzung. Im einfachsten Fall sind es Berichte der Internen Revision oder – bei gänzlich neuen Vorgaben – Statusberichte der Projekte. Oft reicht die Konsolidierung des vorhandenen Wissens aus, um einen guten Überblick zu erhalten.
Nichtsdestotrotz wird vielfach eine aufwändige zusätzliche Befragung durchgeführt, ohne dass bereits vorhandene Wissen in Gänze zu nutzen. Auch hier liegt ein signifikanter und oft noch ungenutzter Hebel, um Aufwände sowohl in der Compliance-Funktion als auch bei den für die Regelungen und Vorgaben verantwortlichen Bereichen zu reduzieren.
Fazit: Balance zwischen Effizienz und Effektivität
Letztlich ist es eine Frage der Balance zwischen Effizienz und Effektivität, die auch mit Blick auf die Zukunft immer wieder neu austariert werden muss. Denn einerseits besteht der Wunsch nach mehr Effizienz in den umgesetzten Prozessen, zum anderen soll aber auch der Mehrwert durch die von der Compliance-Funktion nach MaRisk übernommenen Aufgaben stärker herausgearbeitet bzw. mehr geschärft werden. Beide Ziele stehen nicht im Widerspruch zueinander, sondern ergänzen sich im Idealfall.
Dr. Daniel Coppi ist Koautor des Beitrags. Er ist Senior Manager bei Deloitte im Bereich Risk Advisory mit langjähriger Erfahrung im Bereich Risikoanalysen and Compliance Management in unterschiedlichsten Branchen und Ländern.
E-Book „#Banking2025“ zum Download
Der Artikel ist Teil einer Serie zu den mittelfristigen Perspektiven und Chancen für Finanzinstitute. Alle Beiträge sind in einem umfangreichen E-Book zusammengefasst. Abonnenten von Der Bank Blog Premium können das E-Book direkt herunterladen.
Wenn Sie kein Abonnent sind können Sie das E-Book auch einzeln kaufen. Zum Bestellformular geht es hier.
Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.
>>> Hier anmelden <<<
Bislang sind folgende Beiträge in der Serie erschienen:
- Commerzbank-Chef Knof: „Die Bancassurance ist viel besser als ihr Ruf“ - Zur Zukunft der Partnerschaft zwischen Banken und Versicherungen
- Die Sparkasse der Zukunft - Ein Ratgeber zur langfristigen Relevanz und Überlebensfähigkeit
- Firmenkundengeschäft als letzter großer Ertragsbringer - Drei Handlungsfelder für traditionelle Banken
- Das „Big Picture“ für Compliance
- Die Veränderung der Bankaufsicht
- Die Zukunft des Bank-CFOs
- Vorsorge wird digital
- 10 Trends, Herausforderungen und Chancen für das Asset Management
- Im Mittelpunkt steht das Kundenerlebnis
- Banken haben eine Schlüsselrolle bei der ESG Transformation
- Die drei größten Herausforderungen im Firmenkundengeschäft
- Vorboten einer Revolution in der Finanzbranche
- Zehn Handlungsimplikationen für den digitalen Euro
- Wie die Sparda-Bank Nürnberg auf den Wandel reagiert
- Die sieben Treiber der privaten Baufinanzierung
- Vom Verhinderer zum Enabler
- Drei Mega-Trends verändern die Immobilienbranche
- „Qualität hat einen Preis“
- Wie sich die VR Bank Metropolregion Nürnberg für die Zukunft rüstet
- „Wohin steuern kleine und mittlere GenoBanken?“
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.