Sonderprüfung nach § 44 Kreditwesengesetz

Vor dem Hintergrund der Banken- und Finanzkrise (ab 2007) besitzt die Einhaltung der Mindestanforderungen an das Risikomanagement (Ma-Risk) eine besondere Relevanz. Denn ihre Mithilfe soll die unternehmerische Existenz von Finanzdienstleistungsunternehmen sicherstellen. So liegt ein wesentlicher Schwerpunkt von bankaufsichtsrechtlichen Sonderprüfungen bei den MaRisk. Mit Blick auf das Jahr 2013 waren ungefähr 60 Prozent beziehungsweise 182 von 305 durchgeführten Prüfungen auf die MaRisk fokussiert (siehe Abbildung 1, Seite 23).

Dabei gilt das Prinzip der doppelten Proportionalität, wonach sich die Komplexität der Ausgestaltung der Ma-Risk sowie die Häufigkeit und Intensität deren Prüfung an der Institutsgröße und dem jeweiligen Geschäftsmodell orientiert. Diese Schwerpunktsetzung auf unternehmensindividuelle Risiken trägt den heterogenen Unternehmensstrukturen bei Finanzdienstleistungsunternehmen Rechnung. Allerdings impliziert dies auch das Fehlen eines eindeutigen Praxisleitfadens, der die Angemessenheit der Organisationsstandards sowie die erforderlichen Instrumente zur Einhaltung der MaRisk benennt. Zur Vermeidung von Risiken ist es daher erforderlich die eigene Organisation frühzeitig auf Schwachstellen zu durchleuchten und Gegenmaßnahmen zu ergreifen. Dieser Beitrag stellt mögliche Vorgehensschritte zur Vorbereitung hinsichtlich einer Sonderprüfung nach § 44 Kreditwesengesetz (KWG) vor.

Am Anfang der vorbereitenden Maßnahmen für eine solche Sonderprüfung steht die unternehmensindividuelle Entscheidung für einen Überprüfungsschwerpunkt. Dies geschieht in Abhängigkeit von der Kenntnis einer nahenden Sonderprüfung oder mit dem generellen Bestreben, den regulatorischen Anforderungen zu genügen. Mit Blick auf die Themenfelder der MaRisk (siehe Abbildung 2, Seite 23) kann der Fokus zum Beispiel bei der Aufbau- und Ablauforganisation (unter anderem AT 4.3.1), der Dokumentation von Prozessen/Methoden (AT 6) oder dem Themenfeld "Outsourcing" (AT 9) liegen.

Zur Festlegung des Überprüfungsschwerpunktes bieten sich im Wesentlichen zwei Orientierungshilfen an, wodurch sich sogenannte Modethemen definieren lassen:

- Themenstellungen, die für die Bankenaufsicht in der Vergangenheit von besonderem Interesse waren und daher eine erstmalige Überprüfung beziehungsweise Nachkontrolle wahrscheinlich machen.

- Änderungen/Ergänzungen der MaRisk, die mit der neuen Novelle aus 2012 veröffentlicht wurden (zum Beispiel die besondere Funktion "Compliance" und "Risikocontrolling" oder auch das Thema "Change Management bei wesentlichen Veränderungen in Prozessen, Aufbauorganisation und IT").

Aktuelle politische und ökonomische Ereignisse wie die Finanzkrise, die bestimmte Themenstellungen in den Betrachtungsfokus rücken, ergänzen diese beiden Orientierungshilfen. Idealerweise werden dann die identifizierten Modethemen mit einer Selbsteinschätzung der Stärken und Schwächen des jeweiligen Finanzinstituts verprobt. Daneben macht es auch Sinn auf unternehmensindividuelle Themenstellungen abzustellen, wo Unsicherheiten beispielsweise aufgrund fehlenden Know-hows oder infolge einer unzureichenden Personalausstattung existieren. Davon ausgehend umfasst das weitere Vorgehen eine GAP-Analyse (Lückenanalyse) sowie die Zuordnung von Arbeitspaketen, um identifizierte Schwachstellen zu beseitigen.

Im August 2013 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine Vergleichsanalyse der Auslagerungsaktivitäten bei Finanzdienstleistungsinstituten. Ein relevantes Ergebnis für eine zukünftige Sonderprüfung bezieht sich in dem Kontext auf die von der MaRisk geforderte Beteiligung der Internen Revision bei der Risikoanalyse (vgl. AT 9 Tz. 2).

Denn nur wenige der untersuchten Institute hatten zum Untersuchungszeitpunkt die entsprechende regulatorische Anforderung umgesetzt. Vor diesem Hintergrund lässt sich das Thema "Funktions- oder Dienstleistungsauslagerung" (= Outsourcing) als ein Modethema identifizieren und als Beispiel für die Vorbereitung einer Sonderprüfung heranziehen.1)

Das Vorgehensmodell für die GAP-Analyse besteht dabei aus fünf wesentlichen Schritten (Abbildung 3, Seite 24), wobei deren Bearbeitungsumfang vom festgelegten Schwerpunkt abhängt. Nachfolgend werden allgemeingültige Beispiele betrachtet, sofern für das identifizierte Modethema "Outsourcing" keine Konkretisierung möglich erscheint.

Prüfung der Öffnungsklauseln

Schritt 1: Am Anfang einer GAP-Analyse steht die Ermittlung, inwiefern Öffnungsklauseln und damit Erleichterungen bei der Umsetzung von regulatorischen Anforderungen zur Anwendung kommen können. Diese Öffnungsklauseln stellen ein Instrument der deutschen Bankenaufsicht zur Gewährleistung des doppelten Proportionalitätsprinzips dar. Ihre Anwendbarkeit geht einher mit der Erfüllung beziehungsweise Nichterfüllung bestimmter unternehmensindividueller Merkmale, wie beispielsweise der Institutsgröße und dem Geschäftsmodell.

Das Merkmal "Institutsgröße" bezieht sich sowohl auf die absolute als auch die relative Größe eines Finanzdienstleistungsunternehmens und umfasst damit unter anderem die Kriterien Bilanzsumme (§ 17 Inst-VergV.), Grad der internationalen Verflechtung, beispielsweise durch Halten von Verbindlichkeiten von anderen Unternehmen des Finanzsektors (§ 47 Abs. 1 KWG unter anderem), sowie der Personalausstattung.

Mit Blick auf diese Ausprägungskriterien der Institutsgröße lassen sich beispielsweise Erleichterungen bei den nachstehenden MaRisk-Anforderungen in Anspruch nehmen:2)

- AT 4.4.3 Tz. 1: Interne Revision

- BTO Tz. 1: Anforderungen an die Aufbau- und Ablauforganisation

- BTO 1.1 Tz. 1 Funktionstrennung und Votierung

Das Geschäftsmodell stellt ein Institutsmerkmal dar, das auf die unternehmensindividuellen Geschäftsaktivitäten und die damit einhergehenden Risiken für das jeweilige Institut fokussiert ist, um dessen Insolvenzwahrscheinlichkeit zu minimieren. Entsprechende Öffnungsklauseln der MaRisk beziehen sich daher im Wesentlichen auf die Aufbau- und Ablauforganisation der Finanzdienstleistungsunternehmen:3)

- AT 5 Tz. 1: Organisationsrichtlinien

- BTO 1.1 Tz. 2: Funktionstrennung und Votierung

- BTR 3.1 Tz. 5: Allgemeine Anforderungen (Liquiditätsrisiken)

Prüfung der SFO

Schritt 2: Bei der schriftlich fixierten Ordnung handelt es sich um die für Dritte nachvollziehbare Dokumentation von Geschäftsprozessen und Arbeitsabläufen beziehungsweise um Geschäfts-, Vertrags- und Überwachungsunterlagen (Vgl. AT 6 Tz. 1).

In diesem Zusammenhang werden die tatsächlich vorhandenen Dokumente, wie etwa Arbeitsanweisungen, Rahmenrichtlinien, Formulare, Verträge et cetera, zusammengestellt und gesichtet und auf Vollständigkeit und angemessene Umsetzung der regulatorischen Anforderungen überprüft. Dies bedeutet für das ausgewählte Beispiel Outsourcing, dass folgende Dokumente zu erwarten sind: Generelle Arbeitsanweisung, Formulare zur Risikoanalyse, Prozessbeschreibung mit Verantwortlichkeiten und Beteiligten, Auslagerungsvertrag mit wesentlichen Inhalten und Reportinganforderungen.

Im Kontext Outsourcing haben Vertragsmuster, insbesondere folgende Aspekte zu berücksichtigen:

- Gegenstand des Outsourcings

- Weiterverlagerung auf Sub-Subunternehmen und die zugehörigen formalen Anforderungen

- Gewährleistung von Datenschutz, Datensicherheit, Bank- und Geschäftsgeheimnis

- Duldungserklärung für Prüfungen durch die Interne Revision des auslagernden Finanzinstituts

- Sicherstellung der Qualität und Kontinuität der ausgelagerten Tätigkeit nach Beendigung des Auslagerungsvertrages: Das heißt, die vollständige Fortführung der ausgelagerten Tätigkeit muss sichergestellt sein.

- Ermittlung operationeller Risiken unter Mitwirkung der Abteilungen "Risikomanagement, Recht, Interne Revision" sowie Formulierung eines Maßnahmenplanes gegen identifizierte Risiken

- Weisungsbefugnisse des auslagernden Unternehmens gemäß § 25 b Abs. 3 S. 3 KWG

- Festlegung der Auskunfts-, Einsichts-, Zutritts- und Zugangsrechte zu den Geschäftsräumen des Dienstleistungsunternehmens, sofern erforderlich.

- Sonstige Vertragsbedingungen wie die Haftungserklärung, Gerichtsstand et cetera

- Dokumentation der Prozessschnittstellen, insbesondere im Rahmen der Auftragsdatenverarbeitung

Nach der Sichtung der Dokumente liegen bereits erste Indikatoren für Regelungslücken beziehungsweise -schwächen vor. Diese können bereits zu Feststellungen durch die Aufsicht führen.

Abgleich der SFO mit der Praxis

Schritt 3: Der Abgleich mit der gelebten Praxis erfolgt mittels Interviews mit den Fach- und Führungskräften, wobei sich dieser Abgleich thematisch in drei Teile untergliedern kann:

- Klärung von Fragen, die sich direkt aus der Sichtung der SFO ergeben, insbesondere durch fehlende Inhalte oder Abweichungen vom erwarteten Standard

- Transferfragen, die weitere regulatorische Anforderungen abklären, wie beispielsweise die Gewährleistung des Datenschutzes beim Umgang mit personenbezogenen Daten.

- Checkliste, die sich direkt aus den regulatorische Anforderungen der MaRisk (siehe Abbildung 4, Seite 24) ergeben.

Dieses Vorgehen macht nachvollziehbar, wie die dokumentierten Prozesse tatsächlich im Unternehmen gelebt werden. Nicht selten kommt es hier zu Abweichungen mit der dokumentierten Welt. Damit ermöglicht es Schritt 3, sich ein ganzheitliches Bild über die tatsächlich vorhandenen Schwachstellen im Institut zu verschaffen, zu bewerten und schließlich in Schritt 4 zu dokumentieren.

Formulierung von Schwachstellen

Schritt 4: Mit Blick auf die bisherige GAP-Analyse kann man drei Kategorien von Schwachstellen unterscheiden:

- Die SFO ist unvollständig, aber in der Praxis werden alle regulatorischen Anforderungen berücksichtigt und gelebt.

- Die SFO ist vollständig, aber in der Praxis sind regulatorische Anforderungen nicht berücksichtigt.

- Beides ist unvollständig, widersprüchlich, inkonsistent oder gar nicht vorhanden.

Als Zwischenfazit lässt sich festhalten: Die Ergebnisrelevanz und damit der Handlungsdruck für das untersuchte Institut von den oben genannten drei Kategorien steigt an. Diese Kategorisierung liefert neben der Bewertung nach der Aufsichtslogik (Schritt 5) einen Anhaltspunkt für die spätere Priorisierung und damit Organisation der Maßnahmenplanung.

Bewertung der Schwachstellen

Schritt 5: Der vierte Schritt schließt die vorbeugende Untersuchung eines Finanzdienstleistungsinstituts ab, und alle wesentlichen Schwachstellen des Betrachtungsschwerpunktes sind identifiziert. Im Anschluss unterzieht man diese Schwachstellen einer unternehmensindividuellen Selbsteinschätzung, wobei eine Klassifizierung in leichte, mittlere und schwerwiegende Feststellungen vorgenommen werden kann. Im Outsourcing-Kontext sind zum Beispiel nachstehende Schwachstellen und entsprechende Einstufungen denkbar:

- Interne Revision ist nicht in die Risikoanalyse gemäß AT. 9 Tz. 2 einbezogen; Einstufung aus der Selbsteinschätzung: leichte Feststellung.

- Die Beurteilungskriterien für die Leistungsbeurteilung des Auslagerungsunternehmens sind nicht dokumentiert gemäß AT. 9 Tz. 7; Einstufung aus der Selbsteinschätzung: leichte Feststellung.

- Duldungserklärung für Prüfungen durch die Interne Revision des auslagernden Finanzinstituts liegt generell nicht vor (AT. 9 Tz. 6); Einstufung aus der Selbsteinschätzung: mittlere bis schwerwiegende Feststellung.

In einem finalen Schritt werden die identifizierten Schwachstellen in einen Maßnahmenplan zur Abarbeitung überführt. Im Rahmen einer Sonderprüfung hat es sich bewährt den Prüfern Abarbeitungspläne für im Institut bekannte Schwachstellen vorlegen zu können. Dies führt dann zwar noch immer zu einer Feststellung, jedoch wird diese in aller Regel als weniger kritisch eingestuft. Um die Maßnahmen und Arbeitspakete zur Abstellung der identifizierten Schwachstellen zu priorisieren, wird die definierte Klassifizierung in leichte, mittlere und schwere Feststellung heran gezogen. Die Eingruppierung erfolgt dabei nur näherungsweise und kann somit von der tatsächlichen Bewertung in einer Sonderprüfung durch die Aufsicht abweichen. Neben der Schwere der Feststellung ist auch der erforderliche Arbeitsaufwand für die Festlegung von Arbeitsintervallen und Deadlines relevant. Die Abbildung 5 zeigt beispielhaft wie eine solche Bewertung und Priorisierung aussehen kann.

Damit sorgt dieses Vorgehensmodell für eine institutsinterne Sensibilisierung hinsichtlich regulatorischer Anforderungen, generiert einen durchdachten Maßnahmen- und Zeitplan zur Beseitigung identifizierter Schwachstellen und schützt schließlich vor unangenehmen Überraschungen im Rahmen einer möglichen Sonderprüfung.

1) Konschalla, Th. (2013): Outsourcing - BaFin vergleicht Auslagerungen bei Instituten. In: BaFin Journal, Ausgabe August 2013: S. 22 ff.

2) Vgl. Deutscher Sparkassen- und Giroverband (2014, Hrsg.): Mindestanforderungen an das Risikomanagement - Interpretationsleitfaden, Version 5.1.

3) Vgl. ebenda.