Die strengen regulatorischen Anforderungen an Kreditinstitute erfordern eine neue Sichtweise auf das Thema Compliance. Die häufig isolierte Betrachtungsweise von Compliance- und Risikomanagement führt zu redundanten Prozessen, hohen Kosten und Lücken im Überwachungs- und Kontrollsystem. Eine aktuelle Umfrage unter deutschen Banken zeigt, dass die Problematik zwar bekannt, aber eine effektive Lösung noch in weiter Ferne ist. Der Ansatz des "Integrated Compliance & Risk Management" (ICRM) könnte hierbei Abhilfe schaffen.
Die Finanzbranche befindet sich aufgrund der globalen Wirtschaftskrise in einem tiefgreifenden, strukturellen Umbruch. Kreditinstitute stehen steigenden Anforderungen gegenüber: Die Märkte sollen transparenter, stärker standardisiert sowie regulierter werden und die Rahmenbedingungen umfangreicher. Durch die verschärfte Branchenaufsicht und die Globalisierung werden die Risiken vielschichtiger. Diese Situation zwingt Kreditinstitute dazu, ihre derzeitige Compliance-Funktion grundlegend zu überdenken. Eine Umfrage aus dem Jahr 2009 analysierte die aktuellen Compliance- und Risikomanagementsysteme deutscher Banken (Für die Umfrage wurden 163 Finanzinstitute aus den Sektoren Genossenschaftsbanken (G), Privatbanken (P) sowie öffentlichen Banken und Sparkassen (S) in Deutschland befragt. Die Bilanzsumme der Institute stellte das wichtigste Auswahlkriterium dar. Zum Sektor der öffentlichen Banken und Sparkassen werden auch Landes- und Förderbanken der Bundesländer zugeordnet. Die vollständige Deloitte-Studie "Compliance im Wandel" kann unter www.deloitte.de heruntergeladen werdend). Die Teilnehmer verteilten sich wie folgt: 23 Prozent öffentlichen Banken und Sparkassen, 32 Prozent Genossenschaftsbanken und 45 Prozent Privatbanken.
Die Umfrageergebnisse belegen, dass 90 Prozent der deutschen Kreditinstitute mittelfristig eine Qualitäts- und Komplexitätszunahme von Compliance erwarten. Die Instrumentarien waren in der Vergangenheit meist nicht in der Lage, sowohl bekannte als auch neue komplexe Risiken korrekt und vollständig zu erfassen und zu überwachen. Verstöße gegen regulatorische und aufsichtsrechtliche Anforderungen sowie Reputationsschäden sind häufig die Folge. Der neue unternehmensweite, risikobasierte Compliance-Ansatz soll nun die Effizienz der Funktion steigern und gleichzeitig die Kosten im Unternehmen senken. Die wesentlichen Compliance-relevanten regulatorischen Einflüsse der letzten zehn Jahre sind in Abbildung 1 zusammengefasst.
Abbildung 1: Zeitstrahl – Einige wesentliche Compliance-relevante regulatorische Einflüsse der letzten zehn Jahre
Compliance in deutschen Kreditinstituten
Die Funktion Compliance wird global stark differenziert. Eine eng ausgelegte Definition umschließt die Einhaltung von Gesetzen – wie WpHG, KWG, StGB und BGB – als auch Regelungen und Standards der Aufsichtsbehörden und Bundesministerien. Eine erweiterte Definition umfasst darüber hinaus die Einhaltung von unverbindlichen Branchenstandards (ZKA – Electronic Banking Internet Communication Standard (EBICS), IIF – Compensation in Financial Services) sowie Aspekte der Unternehmensethik zur Minimierung von Reputationsrisiken. Im weitesten Sinne überwacht Compliance auch die Einhaltung aller intern festgelegten Regelungen oder Abläufe und sichert die notwendige Funktionstrennung von Rollen und Verantwortlichkeiten.
Innerhalb des deutschen Bankensystems gibt es wichtige Unterschiede im Verständnis und damit auch bei der Compliance-Umsetzung. Der Großteil der befragten Institute versteht Compliance einzig als Pflicht zur Erfüllung der Wertpapierhandelsgesetzes-Vorgaben. Eine kleinere Gruppe definiert Compliance auch als Kontrollfunktion zur Einhaltung sämtlicher gesetzlicher und aufsichtsrechtlicher Vorgaben. Vereinzelt wurde die Einhaltung von betriebsinternen Vorgaben aufgezählt.
Eine enge Auslegung des Compliance-Begriffs kann Entwicklungen zu einer stärker integrierten Sicht behindern und vernachlässigt viele Aspekte einer erweiterten Funktion wie die vollumfängliche Risikobetrachtung, etablierte Branchenstandards oder MaRisk-Anforderungen. So sehen weniger als 50 Prozent der Sparkassen und Genossenschaftsbanken eine materielle Überschneidung zwischen den Prozessen von Compliance- und Risikomanagement.
Die strengen Bestimmungen sowie aktuelle Marktveränderungen begründen die Dringlichkeit, einen alternativen Management-Ansatz für Compliance zu definieren und anzuwenden.
Bislang wird die Funktion innerhalb eines Unternehmens meist in verschiedenen Bereichen abgebildet. Aus dieser Praxis resultieren redundante Prozesse, Überlappungen und zusätzlich belastete Geschäftsbereiche. Die Kosten steigen und können häufig nicht zugeordnet werden – 70 Prozent der befragten Banken konnten die Compliance-Kosten nicht vollständig angeben oder nicht korrekt ermitteln. Außerdem erhöht der "Siloansatz" die Gefahr von Non-Compliance und Reputationsschäden oder anderen kritischen aufsichtsrechtlichen Konsequenzen. Trotz dieser Nachteile decken Banken die Compliance-Maßnahmen typischerweise nach Geschäftsbereichen und nationalen Rechtsräumen separiert ab. Compliance wird häufig ohne kommunikative oder funktionale Anbindung an das traditionelle Risikomanagement betrieben. Diese Fragmentierung und Intransparenz führt trotz der großen inhaltlichen Überschneidungen bei Organisationsrisiken zu einem abgetrennten Ansatz von Compliance-Risiken.
Die wachsende Bedeutung von Compliance-Management
Die verbesserte Risikokontrolle und -steuerung hat derzeit höchste Priorität in der Finanzindustrie. Die Gründe weitreichender Veränderungen im Compliance- und Risikomanagement lassen sich hauptsächlich aus fünf Faktoren herleiten:
- Drastisches Wachstum von Anzahl und Komplexität der bekannten Risiken
- Konsolidierung und Diversifikation innerhalb des Bankensektors
- Fortschreitende Globalisierung im Bereich Financial Services
- Stärkere Aufsicht durch staatliche Stellen und Aufsichtsbehörden
- Diverse bilaterale geschäftliche Volatilitäten mit systemischen Implikationen
Diese Faktoren erschweren das Identifizieren und Messen von Risiken und vergrößern die Gefahr eines Compliance-Verstoßes. Dies ist den Banken durchaus bewusst (siehe Abbildung 2).
Abbildung 2: Erwartungen des Einflusses von Compliance innerhalb der nächsten 3 bis 5 Jahre
Hauptsächlich Privat- und Genossenschaftsbanken erwarten eine deutliche Zunahme der Bedeutung von Compliance – Sparkassen sehen sich weniger betroffen. Die Sektoren rechnen mit zunehmendem Druck der Öffentlichkeit hinsichtlich der Geschäfts- und Produkttransparenz; wachsende strafrechtliche Konsequenzen aus Compliance-Verstößen spielen ebenfalls eine wichtige Rolle.
Institute, die genannte Probleme lösen wollen, müssen sich bei den Initiativen zur Kostenkontrolle und Integration der Bereiche Compliance und Risikomanagement folgenden Herausforderungen stellen:
- Identifikation und Gruppierung von negativen (zum Werterhalt) und positiven (in Verbindung mit Chancen zur Wertvermehrung) Risiken
- Schaffung einer gemeinhin verständlichen und allgemein akzeptierten Risikodefinition
- Optimierung und Integration der IT-Infrastruktur für Compliance- und Risikomanagement
- Eliminierung redundanter funktionaler Tätigkeiten
- Automatisierung geeigneter Compliance-Aktivitäten
- Reduzierung der Compliance-Kosten
Diese vielfältigen und komplexen Aspekte können durch eine intelligente Lösung im Compliance-Management bewerkstelligt werden. Die Problematik erfordert ein integriertes System, das eine allumfassende, effiziente Messung und Behebung von Risiken ermöglicht. Um die erweitere Sicht auf Compliance darzustellen, muss es mit dem Risikomanagement in Verbindung gebracht werden. Die enge Verflechtung kann helfen, vorhandene Synergien zu heben und Informationsverluste sowie Zusatzkosten zu vermeiden. Das System braucht einen unternehmensweiten Ansatz und sollte verschlankt werden.
[Abbildung oben: iStockPhoto]
Kommentare zu diesem Beitrag
Um als Bank compliant zu sein müsste auch die schlecht bezahlte Servicekraft am Bankschalter mal eine Einführung in dieses Thema erhalten. Die kennen leider nur ihre Zielvorgaben für den Vertrieb. Und auch dem einen oder anderen von Staatsanwälten wegen Beihilfe zur Steuerhinterziehung verfolgen Privatkundenberater würde eine kleine Compliance-Einführung sicherlich nicht schaden :-)
Auch richtig: Die ganze Compliance-Lawine ist "alter Wein in neuen Schläuchen". Aber mit dem Thema können Anwälte sich eine goldene Nase verdienen. Völlig pervers wird es dann, wenn wir versuchen unsere Sicht von Compliance auf andere Kulturen und Länder zu übertragen. Dabei ist Compliance so einfach = eine gute, verantwortsbewusste Unternehmensführung (auch Corporate Governance genannt) bildet das Fundament. Was erwarten eigentlich Unternehmen von ihrer Unternehmenskultur und vom Verhalten ihrer Mitarbeiter, wenn sie sich selber die Taschen vollpacken (auch bei falschen Strategien und milliardenschweren Verlusten)?
Wenn es so einfach wäre, dann bräuchten wir auch keine Polizei und Staatsanwaltschaft und eigentlich auch gar keine Gesetze, denn die basieren auch auf allgemein anerkannten humanistisch / christlichen Grundsätzen (die 10 Gebote sagen doch eigentlich alles) Faktisch halten wir Menschen uns aber nicht an Gesetze und Vorschriften.
In Unternehmen ist dies nicht anders. Umso größer das Unternehmen, um so mehr muss dafür getan werden, dass sich tatsächlich alle an die Regeln halten. Eine gute Corporate Governance ist dafür natürlich Voraussetzung (tone of the top) Compliance Management sollte eben auch nie losgelöst betrachtet werden und schon gar nicht eine eigentständige, aus dem Risikomanagement ausgegliederte Einheit (unter Führung eines Juristen) sein. Vielmehr ist Compliance Management schlichtweg die Gesamtheit aller Anstrengungen im Unternehmen um die Compliance sicherzustellen. Juristen werden dabei hauptsächlich im Rahmen der Risikoidentifizierung und Bewertung benötigt (Es muss ja einer definieren was erlaubt und was verboten ist, Gesetze, gerade ausländische sind manchmal kompliziert). Das Setzen von Verhaltensregeln und die Einrichtung von Kontrollen erfordern aber mehr als juristischen Sachverstand.
Und zum Thema USA, auch hier hast Du ja durchaus Recht, aber wer in den USA Geschäfte macht (oder mit US-Firmen) muss (leider) mit den Wölfen heulen und die Spielregeln des dortigen Rechtssystems einhalten.