Kaum ein anderes Thema beherrscht die Finanzindustrie derzeit ähnlich stark wie die stetig zunehmenden regulatorischen Anforderungen. Die regulatorische Reformagenda betrifft alle Banken und Finanzdienstleister - wenn auch in unterschiedlicher Intensität. Dabei stellt die inhaltliche Umsetzung der einzelnen Vorgaben nur eine Seite der Medaille dar. Ebenso entscheidend ist es, die Vielzahl der Regelungen in ihrer Gesamtheit im Blick zu behalten und die für das eigene Haus maßgeblichen Vorgaben zu identifizieren. Auch gilt es, Prioritäten aufgrund divergierender zeitlicher Vorgaben zu setzen. Diese Aufgaben stellen sich keineswegs trivial dar, denn sehr viele unterschiedliche Normengeber und Regelwerke wirken sich in unterschiedlicher Weise aus.
Anforderungen an die Compliance einer Bank
Viele Banken spüren, dass der Anpassungsdruck beispielsweise auf Prozesse, Systeme, Methoden, Produkte und Dienstleistungen steigt und die regulatorischen Reformagenda längst nicht nur die Erfüllung aufsichtsrechtlicher Pflichten umfasst - auch die eigene Wettbewerbsfähigkeit hängt in großem Maße davon ab. Oft beeinflussen die regulatorischen Vorgaben Vertriebskanäle, den Absatz oder die Refinanzierung und wirken sich zudem auf Werttreiber und Margen des Unternehmens aus. Aufgrund dieser Einflüsse verändern sich die Geschäftsmodelle im Finanzsektor grundlegend und viele unterschiedliche Akteure müssen den Wandel vorantreiben - einen mitunter sehr tiefgreifenden Wandel.
Diese umfassenden Auswirkungen verleihen dem Thema Aufsichtsrecht eine hohe strategische Bedeutung. Es gilt daher, die verschiedenen Stakeholder kurzfristig einzubinden, ihnen die relevanten Inhalte zu vermitteln und eine strukturierte sowie konsistente Vorgehensweise zu erarbeiten.
Dass Banken "compliant" sein müssen, also sicherzustellen haben, gesetzliche Anforderungen einzuhalten, ist zunächst eine aufsichtsrechtliche Pflicht, die sich aus § 25a Abs. 1 Satz 3 Nr. 3c) KWG i.V.m. AT 4.4.2 MaRisk ergibt. Demnach haben Banken eine Compliance-Funktion einzurichten, die auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken hat. Eine wirksame und effiziente Compliance-Organisation setzt voraus, dass rechtliche Regelungen a) frühzeitig erkannt, b) hinsichtlich Relevanz und Wesentlichkeit klassifiziert und c) zielgerichtet im Unternehmen adressiert werden. Letzteres lässt sich aus AT 4.4.2 MaRisk nicht zwingend entnehmen und die Praxis zeigt, dass sich nicht selten gleich mehrere Organisationseinheiten mit ein und derselben rechtlichen Neuerung beziehungsweise Regulierungsinitiative befassen. Dies führt zu Ineffizienzen, höheren Umsetzungskosten und der Gefahr, dass neue rechtliche Anforderungen nicht sachgerecht umgesetzt werden.
Zeitnahe Informationen und eine strukturierte Vorgehensweise
Neben der aufsichtsrechtlichen Funktion ist der Compliance aber zunehmend auch eine strategische Bedeutung beizumessen. Diese ergibt sich zwangsläufig aus den eingangs erwähnten Auswirkungen der aufsichtsrechtlichen Entwicklungen auf die Organisation und das Geschäftsmodell der Banken. Nur wenn aufsichtsrechtliche Entwicklungen frühzeitig erkannt und bewertet werden, kann das Management auf diese strategisch reagieren. Ferner können Verstöße gegen aufsichtsrechtliche Anforderungen durchaus zu existenziellen Schieflagen und gegebenenfalls zu schwerwiegenden Maßnahmen beziehungsweise Auflagen durch die Bankenaufsicht führen, bis hin zu "gezwungenen" Änderungen in der Organisation und im Geschäftsmodell. Hier wie da kann eine über die gesetzlichen und aufsichtsrechtlichen Anforderungen an die Compliance-Funktion hinausgehende Compliance-Organisation einen (strategischen) Mehrwert leisten und nicht nur als "Kostenverursacher" abgestempelt werden.
Vor diesem Hintergrund ist es naheliegend, dass die Compliance-Funktion neutral beratend, also dem Wohl der Bank und den Führungsgremien verpflichtet, und mit strategischem Weitblick in wichtige Entscheidungen eingebunden wird. Um dieser hohen strategischen Bedeutung ansatzweise gerecht zu werden, sind vor allem zeitnahe Informationen zu regulatorischen Änderungen und eine strukturierte Vorgehensweise beziehungsweise ein effizientes Regulatory Change Management erforderlich.
Die Notwendigkeit eines systematischen Regulatory Change Management lässt sich vor diesem Hintergrund mit folgenden Merkmalen charakterisieren:
- Steigende Anzahl neuer Regulierungen mit immer größerer Bedeutung für Prozesse, Organisation und Geschäftsmodell,
- erhöhte Komplexität bei der Einhaltung durch inkonsistente regulatorische Anforderungen in verschiedenen Regionen,
- stärkere Verfolgung durch Aufsicht und massive Strafen bis hin zu Gefängnisstrafen für verantwortliche Manager.
Die damit verbundenen Herausforderungen beziehungsweise Schwierigkeiten sind unter anderem:
- Unzureichende oder inkonsistente Positionierung in den Beziehungen zu den Aufsichtsbehörden,
- Beteiligung der relevanten Stakeholder (zum Beispiel Legal, Compliance, IT, Risk) mit unterschiedlichen Zielen erschwert das Design eines effizienten Rahmenwerks,
- frühzeitiges Erkennen von sich abzeichnenden neuen Regelungen, um diese rechtzeitig anzugehen und gegebenenfalls strategisch agieren zu können,
- bruchstückhafte und überlappende Verteilung von Zuständigkeiten und wenig Transparenz zu Rollen und Verantwortlichkeiten,
- kurzfristige Sichtweise zu Lasten einer langfristigen Perspektive durch hohe Dynamik neuer Vorschriften,
- fehlende oder inkonsistente Prozesse erschweren zeitnahe, effektive Umsetzung von neuen Vorschriften,
- uneinheitliche interne und externe Kommunikation sowie unvollständige Berichterstattung und Tools
Verfügbarkeit von Informationen und deren Priorisierung
Ein effizientes Regulatory Change Management basiert auf einem konsistenten unternehmensweiten Rahmenwerk für den einheitlichen Umgang mit neuen Regularien und erzeugt dadurch Mehrwert für das Unternehmen, insbesondere hinsichtlich folgender Aspekte:
- Strategische Beziehung zum Regulator erlaubt die Vorwegnahme und Mitwirkung bei neuen Trends und ermöglicht eine effiziente Umsetzung,
- systematische Allokation und zentrale Koordination durch eindeutig definierte Rollen und Verantwortlichkeiten,
- Einbindung aller relevanten Parteien und unternehmensweite Auswirkungsanalyse durch klar definierte Prozesse,
- Synergieeffekte und neue Erkenntnisse durch zentrale, einheitliche Informationsquellen,
- abgestimmte Berichtswege und adressatengerechte Berichte mit praxisrelevanten zentralen Inhalten.
Wesentliches Element eines effizienten Regulatory Change Management ist die Verfügbarkeit von Informationen und deren Priorisierung. Der Prozess des Regulatory Change Management beginnt in der Regel mit dem Bekanntwerden einer Information über aufsichtsrechtliche Änderungen. Daher ist es erforderlich, diese Informationen zu kennen und systematisch zu verwalten. Unterstützend wirken hierbei Instrumente beziehungsweise Tools, wie Datenbanken und Vorlagen.
Um diesen Anforderungen gerecht zu werden, sollten sich Informationstools unter anderem durch folgende Eigenschaften auszeichnen:
Information der richtigen Adressaten: Fast alle Bereiche des Finanzsektors und der internen Organisation der Banken sind von den regulatorischen Auflagen betroffen. Schon kleine Institute stehen daher vor der Herausforderung, die Bedeutung des Themas Regulatorik und die nötigen Schritte unternehmensweit zu verankern - etwa bei Controlling, IT, Organisation, Revision oder Risikomanagement. Banken müssen die Vorgaben so strukturieren und priorisieren, dass jeder Stakeholder die ihn betreffenden Aufgaben kennt und fristgerecht erfüllen kann.
Alle wichtigen Normensetzer im Blick: Um alle wichtigen und damit relevanten Neuerungen im Blick zu haben, muss ein Tool einen umfassenden und doch individuellen Informationsdienst zu internationalen, europäischen und nationalen Normensetzern, Aufsichtsbehörden und Gremien bieten. Der Informationsdienst führt die Neuerungen zusammen, bereitet sie inhaltlich strukturiert auf und ermöglicht die Analyse der Auswirkungen. Je nach Bedarf des jeweiligen Finanzinstitutes sollte sich der Datendienst sowohl hinsichtlich der zeitlichen Frequenz als auch des inhaltlichen Umfanges maßgeschneidert verändern lassen, damit jedes Institut genau die Informationen erhält, die es in besonderem Maße benötigt.
Praxisgerechte Aufbereitung der Themen: Um die praktischen Implikationen von neuen Vorgaben abschätzen sowie ihre Tragweite und Ansatzpunkte beurteilen zu können, ist sowohl eine systematische als auch eine praxisgerechte Aufbereitung der Themen erforderlich. Aus den gängigen Gliederungsvorgaben der Regulatoren lässt sich zum Beispiel eine Gliederung nach Prudential Regulation, Capital Markets, Consumer Protection und Structural Reform ableiten. Eine weitergehende Kategorisierung und gegebenenfalls eine Visualisierung wichtiger Veränderungen ermöglicht Entscheidungsträgern sehr schnell einen Überblick. Darüber hinaus zeichnet sich eine praxisgerechte Aufbereitung auch durch die adressatenorientierte Sprache von Entscheidungsträgern aus.
Analyse des Handlungsbedarfs: Neben der eigentlichen Information über die Neuerung beziehungsweise Publikation einer Neuerung, sollte ein Informationsdienst auch die wesentlichen Änderungen beinhalten, eine grobe Analyse der möglichen Auswirkungen auf die Bank und eine indikative Aussage zum Umsetzungs zeitpunkt. Diese Informationen ermög lichen es, dass aufsichtsrechtliche Neuerungen hinsichtlich des daraus resultierenden Handlungsbedarfes fundiert analysiert und rechtzeitig umgesetzt werden können.
Praxisbeispiel Südwestbank
Nachfolgend werden insbesondere der implementierte Regulatory-Change-Management-Prozess, dessen besonderen Herausforderungen bei der Südwestbank, die Verwendung eines Informationstools, die Etablierung eines Entscheidungsgremiums sowie der Ablauf des Management-Prozesses dargestellt.
Regulatory Change Management - Überblick: Ziel des Regulatory Change Management ist es, kommende wesentliche rechtliche Regelungen zu identifizieren und darauf hinzuwirken, dass notwendige Umsetzungsschritte vollzogen werden, um Compliance-Risiken auszuschließen beziehungsweise zu reduzieren. Notwendige Entscheidungen zur Bearbeitung und Umsetzung erfolgen in drei Schritten: erstens Informationsbeschaffung, zweitens Priorisierung der Themen, Allokation der Verantwortung und Initiierung erster Schritte und drittens Vorbereitung der Umsetzung.
Spezifische Herausforderungen: Grundsätzlich ist es Aufgabe sogenannter Themenverantwortlicher, sich selbst über rechtliche Änderungen bei den ihnen zugeordneten Themen zu informieren und gegebenenfalls notwendige Änderungen der Geschäftsprozesse anzustoßen und umzusetzen. Die Themenverantwortlichen beziehungsweise Fachbereiche stützen sich hierbei im Wesentlichen auf die Rundschreiben des Bankenverbands (BdB). Darüber hinaus stehen Fachseminare zur Verfügung. Ergänzende Informationen der BaFin und Newsletter diverser Wirtschaftsprüfungsgesellschaften beziehungsweise Fachverlage werden nach Eingang im Hinblick auf rechtliche Änderungen durch die MaRisk-Compliance-Funktion ebenfalls zur Plausibilisierung ausgewertet. Eine Aufstellung der ergänzenden Informationsquellen wird dort geführt. Gegebenenfalls werden zum Beispiel einzelne Fachartikel den Themenverantwortlichen zur Verfügung gestellt.
Einbindung der Internen Revision
Die Interne Revision hat aufgrund der neuen regulatorischen Anforderungen die Auswirkungen auf alle Prüfungsgebiete zu berücksichtigen. Denn in den einzelnen Prüffeldern können sich dadurch sowohl Inhalte als auch Schwerpunkte verändern, die im risikoorientierten Prüfungsansatz entsprechend berücksichtigt werden müssen. Von besonderer Bedeutung sind hierbei Veränderungen mit bedeutenden Auswirkungen wie zum Beispiel die Schwerpunkte der neuen MaRisk-Novelle im Bereich Risikodatenaggregation, Risikokultur und Outsourcing. In Einzelfällen ist gegebenenfalls eine Anpassung des Prüfungsplanes erforderlich, um neue Anforderungen prüfungstechnisch abzubilden. Da einige regulatorische Auswirkungen mittels institutsinterner Projekte umzu setzen sind, ist aus Sicht der Internen Revision zu entscheiden, ob eine Projektbegleitung erforderlich ist. Bei wesentlichen Projekten hat die Revision nach Tz. 2.1 Ma-Risk unter Wahrung ihrer Unabhängigkeit begleitend tätig zu sein.
Informationsbeschaffung mit Informationstool: Ergänzend zu den bereits vorhandenen Informationen hat die Südwestbank AG mithilfe der Ernst & Young GmbH (EY) einen Regulatory Radar implementiert. Das Informationstool informiert umfassend und strukturiert über neue regulatorische Änderungen. In zeitlicher Hinsicht ortientiert sich das Informationstool am Kalendermonat und informiert monatlich über die Neuerungen. Der Monatsturnus ist ausreichend kurz gewählt, da der Gesetz gebungsprozess erst mit der Publikation beginnt und die konkrete Anwendung der veröffentlichten Neuerungen häufig noch einige Monate beziehungsweise Jahre in der Zukunft liegt. Die Bereitstellung sämt licher aufsichtsrechtlichen Neuerungen beziehungsweise Entwicklungen erfolgt über einen webbasierten Share-Point. Das Informationstool unterstützt die Südwestbank AG bei der effizienten Identifikation der wichtigen und relevanten Themen; die Filterung der Themen ist individualisierbar.
Die Individualisierung basiert auf einem modularen Aufbau des Tools, welcher beispielsweise die Neuerungen verschiedener Länder, Branchen und Themen ermöglicht. Diese können nach verschiedenen Dimensionen (etwa Regelungsbereich, Behörde/ Standardsetter, Dokumententyp) ausgewertet werden. Vor der Verwendung wird im Rahmen eines gemeinsamen Workshops geklärt, welche Regelungen grundsätzlich für die Bank relevant sind. Die individualisierte Filterung berücksichtigt unter anderem das Geschäftsmodell, die Geschäftsaktivitäten, die regionale Aufstellung sowie die Bilanzsumme beziehungsweise den bankaufsichtlichen Status. Die Individualisierung für die Bank ermöglicht die gezielte Beschäftigung mit den relevanten Neuerungen und schont die knappen Ressourcen (Abbildung 1).
Regulatory Radar: Anhand einer Kurzübersicht wird erläutert, in welchen Bereichen EY für die Südwestbank Handlungsbedarf sieht und inwieweit es Veränderungen im Vergleich zum Vormonat gab (Abbildung 2). Folgende Legende wird hierzu verwendet:
Topthemen: Die einzelnen Themen werden beschrieben und die Auswirkungen beleuchtet. Die Darstellung erfolgt in Tabellenform.
Zeitstrahl: Anhand einer Zeitachse wird der (voraussichtliche) Anwendungszeitpunkt wiedergegeben.
Cluster: Bezogen auf die definierten Cluster erfolgt eine Detaildarstellung einzelner Regelungen. Vier Cluster stehen zur Verfügung: Prudential, Consumer Protection, Structural Reform und Capital Markets. Durch hinterlegte Links (siehe roter Kasten) kann die entsprechende Regelung einfach per Mausklick aufgerufen werden (Abbildung 3).
Themen-Priorisierung: Um von den Erstinformationen über aufsichtsrechtliche Neuerungen zu einer strukturierten und effizienten Umsetzung zu kommen, hat die Südwestbank AG ein zentrales Entscheidungsgremium eingerichtet. Das Entscheidungsgremiums tagt monatlich und hat die Aufgabe, die Betroffenheit des Instituts durch die einzelnen Neuerungen zu erörtern und darüber zu entscheiden. Über die Betroffenheit hinaus entscheidet das Gremium, welche Führungskraft sich verantwortlich mit dem Thema beschäftigen soll, welche Fachbereiche einzubinden und welche Maßnahmen als erste Schritte erforderlich sind. Das Entscheidungsgremium ist sehr senior besetzt und bildet die wesentlichen Funktionen des Instituts ab. Teilnehmer der monatlichen Sitzungen sind der Vorstand für Marktfolge sowie Mitarbeiter aus den Bereichen Unternehmenssteuerung, Compliance, Recht, Kreditcenter, Zentrale Dienstleistungen/IT und Revision. Darüber hinaus nimmt der Gesamtvorstand zweimal jährlich am Treffen teil. Nur so ist sichergestellt, dass die Themen umfassend und ganzheitlich angegangen werden. Die monatlichen Sitzungen des Entscheidungsgremiums werden von EY vorbereitet und moderiert.
Vorbereitung der Umsetzung: Die Umsetzung aufsichtsrechtlicher Neuerungen bedarf einer systematischen Vorbereitung, die mit einer stufenweisen Analyse des damit verbundenen Handlungsbedarfs beginnt. Die Analyse basiert auf den potenziellen Auswirkungen, die im Entscheidungsgremium erörtert wurden und wird durch den verantwortlichen Fachbereich erstellt. Die Analyse erfolgt in enger Abstimmung mit den anderen betroffenen Fachbereichen und den bereits laufenden Projekten. Im Hinblick auf die Klärung konkreter Umsetzungsmaßnahmen und der dafür erforderlichen beziehungsweise vorfügbaren Ressourcen ist insbesondere die Abstimmung mit laufenden Projekten wichtig. Sind der Handlungsbedarf und mögliche Umsetzungsmaßnahmen abgestimmt, bereitet der verantwortliche Fachbereich eine Entscheidungsvorlage auf. Die konkrete Entscheidung für die Umsetzungsmaßnahmen, wie zum Beispiel die Entscheidung für ein neues Projekt und/ oder die Unterstützung durch externe Ressourcen, erfolgt bei der Südwestbank AG für jedes Thema einzeln durch den Gesamtvorstand.
Dynamik der aufsichtsrechtlichen Neuerungen
Die Dynamik der aufsichtsrechtlichen Neuerungen ist eine große Herausforderung. Dies erfordert ein effizientes Regulatory Change Management und eine gezielte Versorgung mit den notwendigen Informationen. Wie am Beispiel ausgeführt, kann damit eine effiziente Bearbeitung und schnelle Entscheidungen sichergestellt und die vielfältigen Themen mit hoher Transparenz zwischen dem Vorstand und Fachbereichen kommuniziert werden.
