Aufrufe
vor 6 Jahren

RISIKO MANAGER 18.2015

  • Text
  • Versicherungswirtschaft
  • Marisk
  • Risiken
  • Unternehmen
  • Deutschen
  • Insbesondere
  • Deutschland
  • Anforderungen
  • Compliance
  • Zudem
RISIKO MANAGER ist die führende Fachzeitschrift für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen.

16 Ausgabe 18/2015

16 Ausgabe 18/2015 gleichzeitig ein operationelles Risiko, wenngleich das umgekehrt nicht der Fall ist. Ohne inhaltlich tiefer in diese Möglichkeit der Risikodefinition einzusteigen, zeigt sich an dieser Stelle bereits das Effizienzpotenzial einer eleganten und konsistenten Definition des Compliance-Risikos. Zum einen kann dort, wo bereits Rahmenwerke zur Identifikation, Beurteilung und Steuerung von operationellen Risiken definiert sind – insbesondere in den AMA- Instituten –, im Rahmen der neuen Compliance-Funktion auf diese zurückgegriffen werden. Zum anderen sollten operationelle Risiken heute bereits in allen Instituten prüfungssicher auf historischen Daten beruhend mit Risikodeckungsmasse unterlegt sein. Dass nunmehr – als eine Teilmenge – Compliance-Risiken besonders prominent diskutiert werden, tut der Tatsache keinen Abbruch, ist aber durch das Institut im Zweifel explizit festzuhalten. Ergänzend sei zudem auf die Definition des Konsolidierungskreises verwiesen. Während diesbezüglich zunächst Forderungen nach einer Art Maximallösung als Summe des aufsichtlichen und ökonomischen Konsolidierungskreises im Raum standen, lässt sich die Lösung auf Basis der vorgenannten Risikodefinition möglicherweise unschwer analytisch ableiten. Verkürzt gesprochen: Wenn Compliance-Risiken immer operationelle Risiken sind, dann kann sich der Konsolidierungskreis für die Compliance-Funktion gemäß MaRisk auf diejenigen Unternehmen beschränken, denen wesentliche operationelle Risiken im Sinne der Risikotragfähigkeit innewohnen. Der Konsolidierungskreis für Compliance gemäß MaRisk stellt dann einen Ausschnitt des Säule-II-Konsolidierungskreises dar. Es existieren andere Varianten zur Definition des Compliance-Risikos, die in den jeweiligen Häusern ihre spezifischen Vorteile haben können und ebenso zulässig sein mögen. In vielen Fällen wird die anfänglich vereinbarte Definition des Compliance-Risikos im Laufe der Umsetzung ergänzt und verfeinert werden, ohne deshalb ihre Rolle als konzeptionelles Fundament und Orientierungspunkt einzubüßen. Methodischer Ansatz Für diejenigen Institute, die Compliance gemäß MaRisk konsequent weiterdenken, fallen der neuen Funktion eine Reihe interessanter Aufgaben zu. So wird sie nicht nur Compliance-Risiken hinsichtlich der wesentlichen gültigen Gesetze verfolgen, sondern u. a. auch wesentliche neue Regulierungen im Haus begleiten, größere Projekte sowie neue Produkte und Märkte unter die Lupe nehmen und die relevanten Töchter einbinden. Zuvor stellt sich aber die Aufgabe der Entwicklung eines grundlegenden methodischen Ansatzes und damit in Anlehnung an die o. g. Kernaufgaben der Compliance-Funktion gemäß Ma- Risk der Beantwortung der folgenden Fragen: – Welche rechtlichen Regelungen und Vorgaben sind für das Institut wesentlich? – Wie werden wesentliche Compliance- Risiken des Instituts identifiziert und beurteilt? – Worin bestehen wirksame Verfahren zur Einhaltung der Regelungen und Vorgaben? Dabei geht die Beantwortung der letzten Frage leicht von der Hand, zumal die Compliance-Bereiche idealerweise bereits über Regelwerke zu Prozessen, First- und Second-Level-Kontrollen etc. verfügen. Spannender geraten dagegen die ersten beiden Fragen: Zur Klärung der Frage nach den wesentlichen Regelungen liegt es anscheinend nahe, einfach ein Set an rechtlichen Regelungen und Vorgaben schriftlich zu fixieren und in der Folge zu behaupten, diese Regelungen seien nun mal die wesentlichen Gesetze. Dazu ziehen die Protagonisten üblicherweise das Anschreiben der BaFin zur Veröffentlichung der MaRisk sowie weitere Einlassungen und Veröffentlichungen der diversen Verbände sowie Prüfungs- und Beratungsgesellschaften heran, welche die eigene Behauptung mehr oder weniger zu bestätigen scheinen. Ergänzend dokumentiert gegebenenfalls ein Workshop mit den Experten des Hauses, dass die Berücksichtigung weiterer Gesetze nicht angezeigt ist. Jedoch mag dieses Vorgehen nach dem Motto „Lieber eine starke Behauptung als ein schwacher Beweis!“ nicht weit tragen. Schnell hebelt ein externer Prüfer die enumerative Gesetzesliste mit einfachen Beispielen und gezielten Nachfragen, sei es zum Arbeits-, Außenwirtschafts- oder auch Insolvenzrecht, aus. Eine sachlogische Bestimmung der wesentlichen rechtlichen Regelungen und Vorgaben muss also her. Erneut hilft dabei eine belastbare Definition des Compliance- Risikos. Es sei zur Illustration von der oben beschriebenen Anlehnung an das operationelle Risiko im Sinne eines in Euro messbaren finanziellen Schadens einschließlich einer festgelegten Wesentlichkeitsgrenze ausgegangen. Die Frage nach den wesentlichen Gesetzen konkretisiert sich sodann als Frage nach denjenigen Gesetzen, aus denen überhaupt Sanktionen entsprechender finanzieller Schwere resultieren können – sei es durch Geldstrafen, aufsichtliche Eingriffe, Schadenersatz u. a. m. Erfolgt diese Analyse nicht nur abstrakt mit Blick auf das Gesetz, sondern unter Einbeziehung des spezifischen Geschäftsmodells des jeweiligen Instituts, schließt sich eine große Menge aus dem Kreis der potenziell wesentlichen Gesetze auf diesem Wege logisch aus oder öffnet sich zumindest für eine wenig aufwendige Risikobeurteilung. Weitere Gesetze bzw. -teile werden zudem bereits an anderer Stelle erschöpfend betrachtet, etwa in der Gefährdungsanalyse zu sonstigen strafbaren Handlungen. Die Compliance-Risikodefinition dient auf diesem Weg als Schablone zur Identifikation der wesentlichen rechtlichen Regelungen und Vorgaben. Gleichzeitig schärft das Vorgehen den Blick auf die unterschiedlichen Sanktionsmechanismen und erhöht das Verständnis für die tatsächlichen Compliance-Risiken, die nicht dort bestehen mögen, wo sie intuitiv vermutet werden. Zur Beantwortung der zweiten Frage – Wie werden wesentliche Compliance-Risiken des Instituts identifiziert und beurteilt? – scheinen derzeit in der Praxis mindestens drei verschiedene Ansätze in unterschiedlichen Spielarten und Kombinationen zu bestehen. Eine Gruppe von Ansätzen berechnet dabei das Compliance-Risiko insgesamt mit statistischen Modellen, wie sie in ähnlicher Weise aus dem operationellen Risiko bekannt sind, und drückt es als Value-at-Risk oder in Form anderer Risikomaße aus. Die berechnete Größe zeigt die möglicherweise erforderliche Unterlegung mit Risikodeckungsmasse an und ermöglicht einen Rückschluss auf die Bedeutung des Compliance-Risikos im Vergleich zu den anderen Risikoarten im Rahmen der Risikotragfähigkeitssteuerung. Allerdings werden die meisten Häuser gerade keine gesonderte Unterlegung anstreben und daher keine mathematisch-statistische Größe berechnen wollen, die ebendies nahelegt. Zudem liefern derartige Ansätze nicht per se aus-

17 reichende Einblicke in das „Wo? und Wie?“ der Risikoentstehung, die Voraussetzungen für die gezielte Implementierung entsprechender Maßnahmen darstellen. Insofern ist offen, ob derartige Annäherungsversuche die Akzeptanz des Managements finden und sich dauerhaft etablieren. Eine zweite Gruppe von Ansätzen verzichtet auf jegliches mathematisch-statistisches Modell und greift stattdessen die Frage nach dem „Wo?“ auf, indem einzelne Gesetze bzw. in bedeutenden Einzelfällen auch Unterabschnitte von Gesetzen einzelnen aufbauorganisatorischen Einheiten zugeordnet werden. Für diese Einheiten verantwortliche Mitarbeiter mit besonderem Expertenwissen nehmen dann die Risikobeurteilung pro Gesetz als Schätzung entweder in Euro oder auf einer Ordinalskala vor. Die Compliance-Funktion gemäß MaRisk steuert als zentrale Stelle den Prozess, hinterfragt möglicherweise einzelne Teilergebnisse und sorgt für eine abschließende Berichterstattung sowie Dokumentation. Für einen derartigen unkomplizierten Ansatz spricht die Möglichkeit der schnellen Realisierung mit geringem Personaleinsatz. Auf der anderen Seite dürfen keine allzu neuen oder detaillierten Erkenntnisse erwartet werden, da die Mitarbeiter mangels Ressourcen für eine weitergehende Analyse teils abstrakte Fragen der Art „Wie hoch ist das Compliance-Risiko aus dem Aktiengesetz?“ beantworten. Vielmehr werden in aller Regel diejenigen Probleme zu Protokoll gegeben, die ohnehin bereits bekannt waren. Überdies betreffen einzelne Gesetze und sogar einzelne Paragraphen eine Mehrzahl von aufbauorganisatorischen Einheiten, sodass die angestrebte 1:1-Zuordnung schwerlich zu belastbaren Ergebnissen führt. Deutlich granularer versucht sich eine dritte Gruppe von Ansätzen, die ergänzend die Frage nach dem „Wie?“ aufgreift. Dafür erfolgt eine Zuordnung als m:n-Beziehung der Gesetze auf Ebene einzelner Paragraphen zu sämtlichen (Teil-) Prozessen, die zur Erfüllung der gesetzlichen Vorgaben aus dem jeweiligen Paragraphen erforderlich sind. Ergebnis ist eine explizite Verknüpfung der abstrakten Gesetzgebung mit dem operationalisierten Geschäftsmodell des Instituts, die zugleich bestehende Prozesslücken aufdecken kann. Die (Teil-) Prozesse sind ihrerseits einzelnen Stellenbeschreibungen zugeordnet, sodass sich einzelne Compliance-Risiken aus dem (Self-) Assessment aller relevanten Mitarbeiter ableiten und verdichten lassen. Als Grundidee entsteht damit Transparenz hinsichtlich der Ursachen für prospektive und bereits schlagend gewordene Compliance-Risiken, die konsequent gesteuert und sogar systematisch im Vergütungssystem berücksichtigt werden könnten. Allerdings produzieren diese Ansätze schnell einen prohibitiv hohen Aufwand, wenn die Zahl der Paragraphen und Prozesse mehrere Hundert oder Tausend beträgt und die entsprechende Matrix schnell wächst, zumal nur wenige Institute über ausreichend aktuelle, vollständige und formalisierte Prozesse als Voraussetzung für einen solchen Ansatz verfügen. Tatsächlich könnten viele Häuser bei der Wahl des methodischen Ansatzes der Versuchung erliegen, das Thema Compliance- Risiko, dessen noch unerforschte Schattierungen gelegentlich überraschen, vorab in eine inhaltliche und formale Totallösung zu pressen und diese im Haus oder der gesamten Gruppe auszurollen – schließlich muss dem Prüfer etwas präsentiert werden! Im Zuge dessen entsteht schnell hoher administrativer Aufwand, der in der Folge mindestens jährlich anfällt, dabei kaum wieder einzufangen ist und aus Managementsicht keinen wesentlichen Erkenntnisgewinn einbringt. Zielführender dürfte sich demgegenüber zunächst die Arbeit mit einem kleinen, aber schlagkräftigen Team herausstellen, das im ersten Schritt zwar ein Grundkonzept des methodischen Ansatzes entwickelt, diesen im zweiten Schritt aber nicht mechanisch auf das Unternehmen stülpt, sondern im kleinen Rahmen ergebnisverantwortlich, unabhängig und mit großer Flexibilität vorantreibt und dabei weiterentwickelt. Schnell scheiden sich auf diesem Weg die tatsächlichen Risiken von denjenigen, die zuvor intuitiv vermutet werden. Vor allem aber gelingt eine sinnvolle Strukturierung des Vorgehens in den Folgejahren, indem sich für viele Probleme sehr pragmatische und gleichwohl ausreichende Lösungen finden und die vorhandenen Ressourcen effizient genutzt werden. Dazu abschließend zwei Beispiele: – Warum sollte die Compliance-Funktion gemäß MaRisk Themenbereiche untersuchen, die erst kürzlich von einem unabhängigen Dritten geprüft wurden? Ein entsprechender Aufwand ist der Organisation regelmäßig nicht zuzumuten. Stattdessen könnte die Beurteilung des Compliance-Risikos auf dem betreffenden Prüfungsbericht aufsetzen. Eine Abstimmung mit der internen Revision und dem Wirtschaftsprüfer zur Prüfungsplanung liegt nahe. – Einige Sanktionen entfalten ihre Wirkung erst dann, wenn das Institut faktisch in einem Gone-Concern-Szenario angekommen ist. Unter Umständen können diese Sanktionen in einem Going-Concern-Ansatz weitgehend außer Acht gelassen werden, soweit dies für die Erfüllung der MaRisk ansonsten unschädlich ist. q Fazit Die Aufsicht hat die Institute mit Vorgaben für eine Compliance-Funktion gemäß Ma- Risk vor interessante Herausforderungen gestellt. Die Institute müssen nunmehr liefern und dürften mittelfristig kaum ohne einen konsistenten und umfassenden Ansatz auskommen, der nicht nur die Prüfer zufrieden stellt, sondern auch aus Sicht des Managements sinnvolle Ergebnisse erbringt. Gleichzeitig steigen die Anforderungen an eine Vernetzung zwischen Unternehmensbereichen, die bislang oft wenig interagiert haben. Klare Projektziele, eine belastbare Definition des Compliance-Risikos und ein inhaltlich elegantes sowie organisatorisch geschicktes Vorgehen in der Umsetzung stellen dabei zentrale Erfolgsfaktoren dar. Quellenverzeichnis: BaFin (2011): Bundesanstalt für Finanzdienstleistungsaufsicht: Leitfaden – Aufsichtliche Beurteilung bankinterner Risikotragfähigkeitskonzepte. Web: http://www.bafin.de/ SharedDocs/Downloads/DE/Leitfaden/BA/lf_111212_risikotragfaehigkeit.html. BaFin (2012a): Bundesanstalt für Finanzdienstleistungsaufsicht: Anschreiben an die Verbände. Web: https://www. bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/rs_1210_anschreiben_ba.html?nn=2818068. BaFin (2012b): Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 10/2012 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk. Web: https:// www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/rs_1210_marisk_ba.html;jsessionid=BD6AA9A2 3AD0A06BBB6822A7E87BD78C.1_cid390?nn=2818068. EU (2013): Das Europäische Parlament und der Rat der Europäischen Union: Verordnung (EU) Nr. 575/2013 […] über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012. Web: http://eur-lex.europa.eu/legal-content/ DE/TXT/HTML/?uri=CELEX:32013R0575&from=DE. Autor: Dr. Stefan Götz, Management Consultant, impavidi.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.