Aufrufe
vor 2 Jahren

RISIKO MANAGER 18.2015

  • Text
  • Versicherungswirtschaft
  • Marisk
  • Risiken
  • Unternehmen
  • Deutschen
  • Insbesondere
  • Deutschland
  • Anforderungen
  • Compliance
  • Zudem
RISIKO MANAGER ist die führende Fachzeitschrift für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen.

14 Ausgabe 18/2015

14 Ausgabe 18/2015 dürften insofern dauerhaft kaum ohne einen umfassenden und detaillierten Ansatz zur Identifizierung, Bewertung und Steuerung von Compliance-Risiken auskommen. Umsetzungsziele Vor diesem Hintergrund empfiehlt sich im Rahmen der Umsetzung die Festlegung von Projektzielen, die gegebenenfalls über eine reine Erlangung kurzfristiger Prüfungssicherheit der Compliance-Funktion gemäß MaRisk bei möglichst geringen Kosten hinausgehen. Dazu zählen insbesondere: – Mittel- und langfristige Prüfungssicherheit: Eine gute Ausgangssituation in Prüfungsgesprächen haben diejenigen Institute, die ihren Ansatz vor dem Hintergrund im Haus verankerter und erfolgreich geprüfter Compliance- und Risikomanagementstandards schlüssig begründen und verteidigen können. Selbst wenn sich das Verständnis und die Anforderungen der Prüfer weiterentwickeln, behalten derart fundierte Ansätze zumeist im Wesentlichen ihre Gültigkeit. Regelmäßige Anpassungen an veränderte externe Anforderungen reduzieren sich damit auf ein Mindestmaß, sparen somit künftige Kosten und schonen die Nerven. – Vermeidung zusätzlicher Kapitalunterlegung: Viele Häuser dürften tatsächlich wesentliche Compliance-Risiken aufweisen, die – wenn schon nicht durch Eigenantrieb befeuert, dann getrieben von immer gezielteren externen Prüfungshandlungen – zunehmend transparent werden. Für diese Risiken liegt sodann eine Unterlegung mit Eigenkapital im Sinne der MaRisk AT 4.1 Tz 1 nahe. Elegante Konzepte zur Umsetzung der Compliance-Funktion gemäß MaRisk können nicht nur behaupten, sondern idealerweise nachvollziehbar argumentieren, warum diese Risiken bereits im Rahmen der implementierten Risikotragfähigkeit unterlegt sind. – Ökologie bestehender Steuerungsinstrumente: Die MaRisk positionieren die neuen Anforderungen an eine Compliance-Funktion an der Schnittstelle zwischen der klassischen Compliance und dem Risikomanagement. Sachkundige Prüfer werden bei Prüfungen einer dieser Funktionen Unterlagen aus allen drei Bereichen, d. h. der klassischen Compliance, der Compliance gemäß MaRisk und dem Risikomanagement, heranziehen. Logische Brüche lassen sich auf diese Weise sogar ohne eigene Konzeptidee aufdecken, kosten das Institut Glaubwürdigkeit und münden in Feststellungen. Statt einer isolierten Umsetzung der Anforderungen an die Compliance gemäß MaRisk drängt sich insofern ein umsichtiges und im Haus vernetztes Vorgehen auf. – Entscheidungsfähigkeit des Managements: Je bedeutender Compliance-Risiken für ein Institut in Relation zu seinen sonstigen Risiken, Kosten und Ressourcen sind, desto wichtiger wird die diesbezügliche Entscheidungs- und damit Handlungsfähigkeit des Managements. Dabei geht es nicht nur um die Minimierung der Folgen bereits eingetretener Risiken, sondern auch um das proaktive Steuern identifizierter Compliance-Risiken im eigentlichen Sinne. Zu diesem Zweck benötigen die berichtenden Funktionsbereiche nicht in allem eine einheitliche Meinung – ganz im Gegenteil mag die Geschäftsführung eine unabhängige und gegebenenfalls abweichende Meinung der neuen Compliance-Funktion explizit einfordern. Die Beteiligten sollten als Teil der konzeptionellen Abstimmung allerdings eine gemeinsame Sprache sowie abgestimmte Reporting-Formate und -linien finden, die dem Management ein stimmiges Bild der Situation zeichnen anstatt mit Erklärungslücken und Widersprüchlichkeiten zu verwirren. – Motivation der Mitarbeiter der neuen Compliance-Funktion: Sofern ein Institut von Compliance gemäß MaRisk als einer dauerhaften Aufgabe ausgeht, weil die Aufsicht das Thema weiter verfolgen wird und/oder Compliance-Risiken im Institut eine wesentliche Rolle spielen, sollte das Haus auf die Initiative der beteiligen Mitarbeiter setzen können. Letztere entwickeln selbige in aller Regel jedoch nicht für eine Lösung, die lediglich den Prüfer befriedigt und ansonsten für das Haus ausschließlich Kosten produziert. Vielmehr bedarf es vor allem der konsequenten Einbindung der Geschäftsführung, um von vornherein sicherzustellen, dass die produzierten Ergebnisse eben nicht eine rein formale Natur aufweisen, sondern für die Entscheider systematisch Mehrwert stiften und sie mithin interessieren. Selbstverständlich treten diese und weitere Ziele von Haus zu Haus in unterschiedlicher Betonung auf. Und selbst die möglichst billige kurzfristige Prüfungssicherheit mag im Einzelfall eine – zwar nicht aufsichtlich intendierte – aber dennoch nachvollziehbare Zielsetzung darstellen. Aber: Die grundsätzliche Marschrichtung sollte bewusst gewählt und für alle beteiligten Einheiten im Haus transparent sein. Risikodefinition Wie sich in der Praxis zeigt, spielt die gewissenhafte Definition des Begriffs „Compliance-Risiko“ eine herausragende Rolle zur Erreichung der vorgenannten Ziele. Umso erstaunlicher ist es, dass einige Berater, aber auch Mitarbeiter in den Banken anscheinend fertige Konzepte zur Umsetzung der Compliance-Funktion gemäß MaRisk in der Hinterhand haben, auf konkrete Nachfrage aber nur erste Ideen als Puzzleteile des Risikobegriffs anstatt einer schlüssigen Definition anbieten können. Das mag daran liegen, dass Diskussionen rund um den abstrakten Compliance-Risikobegriff auf den ersten Blick praxisfern und mithin wenig effizient wirken. Dennoch bildet die Definition des Compliance-Risikos – das konzeptionelle Fundament des gesamten Umsetzungsprojekts als eine Art Referenzgröße: Entscheidungen bezüglich einzelner Teilkonzepte – seien es beispielsweise die relevanten Gesetze, die einzubindenden Töchter oder methodische Details der Risikobeurteilung – können unter Rückbesinnung auf die Risikodefinition oft für alle Beteiligten nachvollziehbar entschieden werden. Ohne klare Risikodefinition drohen dagegen ständig wiederkehrende Diskussionen zu Inkonsistenzen zwischen einzelnen Projektbausteinen, weil es zu vielen Entscheidungen an einem klaren Fixpunkt fehlt. – den Ausgangspunkt der konzeptionellen und organisatorischen Integration zwischen der Compliance-Funktion gemäß MaRisk, der klassischen Compliance- Funktion und dem Risikomanagement: Eine gewissenhafte Risikodefinition legt mithin den Grundstein zur Vermeidung einer zusätzlichen Kapitalunterlegung von Compliance-Risiken und reduziert unliebsame Diskussionen mit internen und externen Prüfern an der Schnittstel-

15 le zwischen Compliance und Risikomanagement. – die Grundlage für die frühzeitige Einbindung der Geschäftsleitung im Sinne eines Erwartungsmanagements hinsichtlich der künftig zu produzierenden Ergebnisse: Dabei ergeben sich unter Umständen grundlegend andere konzeptionelle Anforderungen an das Projekt, wenn das Top-Management beispielsweise primär die Absicherung der Straffreiheit der eigenen Person bzw. der Mitarbeiter, die Vermeidung jeglicher Reputationsschäden oder eben die Vermeidung von finanziellen Konsequenzen ab einer bestimmten Größenordnung für das Institut anstrebt. Diese und möglicherweise andere Anforderungen sollten vor dem Hintergrund der Risikodefinition diskutiert und in dieser verarbeitet werden. – eine wichtige Orientierungsgröße für die Mitarbeiter: Innerhalb der neuen Compliance-Funktion bietet sie eine Möglichkeit zur Identifikation und ist sinnvollerweise letzter Maßstab täglicher Entscheidungen, die nicht alle bis ins letzte Detail in den Konzepten vorhergesehen werden können. Im Verhältnis zu anderen Bereichen der Bank schafft die Risikodefinition dagegen Klarheit über die neue Aufgabe und hilft, Ängste gegenüber der möglicherweise neu geschaffenen Kontrollfunktion abzubauen. Es lohnt sich also, hinreichend Zeit in die Definition des Compliance-Risikos zu investieren. Einen möglichen Ausgangspunkt neben den im Haus bereits vorhandenen Risikodefinitionen, die selbstverständlich zu berücksichtigen sind, stellt der Leitfaden der BaFin zur „Auf sichtliche[n] Beurteilung bankinterner Risikotragfähigkeitskonzepte“ vom 12. Dezember 2011 dar, in dem die Aufsicht ehedem ihre Sicht in der Bankpraxis anzutreffender Systeme zur Steuerung der Risikotragfähigkeit systematisiert hatte [vgl. BaFin 2011]. Der Leitfaden und darauf basierende aufsichtliche Prüfungen gereichten vielen Banken zum Anlass, die eigenen Konzepte unter Zuhilfenahme der darin beschriebenen Konsistenzüberlegungen zu hinterfragen und wo erforderlich anzupassen. Aus praktischer Sicht bieten sich vor diesem Hintergrund insbesondere die folgenden Eckpunkte für den ersten Entwurf einer Definition des Compliance- Risikos an: Anzeige Die Compliance-Funktion nach MaRisk – Going- versus Gone-Concern-Ansatz: Ist das Management des Compliance-Risikos sowie der Risikotragfähigkeit insgesamt primär auf das Szenario der Fortführung des Instituts oder auf ein mögliches Liquidationsszenario ausgerichtet? – Bilanz-/GuV- versus Wertorientierung: Orientieren sich das Compliance-Risiko sowie die Risikotragfähigkeit insgesamt an bilanziellen Ansatz- und Bewertungsregeln oder findet eine Bewertung aus rein ökonomischer Perspektive in einer barwertigen Welt statt? – Maßeinheit und Wesentlichkeitsgrenze: Welche Maßeinheit haben das Compliance-Risiko oder eventuell die unterschiedlichen Komponenten des Compliance-Risikos, und ab wann wird ein einzelnes Compliance-Risiko als wesentlich angesehen? – Risikobetrachtungshorizont: Für welchen einheitlich festzulegenden künftigen Zeitraum werden Compliance-Risiken identifiziert und beurteilt? Welche Rolle spielen mögliche Gesetzesübertretungen in vergangenen Zeiträumen für die Ermittlung bestehender und künftiger Compliance-Risiken? – Interne versus externe Compliance: Resultieren Compliance-Risiken nur aus dem potenziellen Fehlverhalten des Instituts und seiner Mitarbeiter in Ausübung ihrer Aufgaben oder auch aus der Non-Compliance von Kunden, Lieferanten oder sonstigen Dritten? – Unmittelbare versus Begleitverluste: Besteht das Compliance-Risiko ausschließlich in den unmittelbaren Folgen der Non-Compliance, d. h. den entsprechenden Sanktionen, oder werden auch solche Verluste als Compliance-Risiko angesehen, die sich ohne Sanktionierung einstellen? Beispiel: Ein Institut verfügt über keine angemessene IT-Ausstattung und wird deshalb von der Aufsicht sanktioniert. Gleichzeitig fallen aufgrund der schwachen IT erhebliche Mehrkosten durch Abwicklungsfehler an. – Wahrscheinlichkeit der Verluste: Für welches Konfidenzniveau werden Compliance-Risiken berechnet bzw. geschätzt, d. h. wie (un)wahrscheinlich müssen Verluste sein, um gerade (nicht) als Risiko in die Betrachtung einbezogen zu werden? – Abgrenzung zu anderen Risikoarten: Wie grenzt sich das Compliance-Risiko beispielsweise vom operationellen Risiko, vom Reputationsrisiko, aber auch von Rechts-, Geschäfts- und anderen Risiken ab? In der Praxis scheint sich insbesondere dort, wo Compliance-Bereich und Risikomanagement konstruktiv interagieren, eine Interpretation des Compliance-Risikos als besondere Form des operationellen Risikos im Sinne der Risikotragfähigkeit durchzusetzen. Das liegt nahe, da die CRR das operationelle Risiko als „…Risiko von Verlusten, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen und Systemen oder durch externe Ereignisse verursacht werden,…“ definiert, in vielen Häusern der Begriff des operationellen Risikos in Säule I und II identisch ist und der Verstoß gegen Recht und Gesetz zweifellos als unangemessen und insofern als menschliches bzw. Prozess- und/oder Systemversagen bezeichnet werden kann [vgl. EU 2013]. Danach wäre jedes Compliance-Risiko Die Compliance-Funktion nach MaRisk 49,00 Euro www.bank-verlag-shop.de

RISIKO MANAGER

RISIKO MANAGER 01.2019
RISIKO MANAGER 02.2019
RISIKO MANAGER 03.2019
RISIKOMANAGER_04.2019
RISIKO MANAGER 05.2019
RISIKO MANAGER 06.2019
RISIKO MANAGER_07.2019
RISIKO MANAGER 08.2019
RISIKO MANAGER 09.2019
RISIKO MANAGER 10.2019
RISIKO MANAGER 01.2018
RISIKO MANAGER 02.2018
RISIKO MANAGER 03.2018
RISIKO MANAGER 04.2018
RISIKO MANAGER 05.2018
RISIKO MANAGER 06.2018
RISIKO MANAGER 07.2018
RISIKO MANAGER 08.2018
RISIKO MANAGER 09.2018
RISIKO MANAGER 10.2018
RISIKO MANAGER 01.2017
RISIKO MANAGER 02.2017
RISIKO MANAGER 03.2017
RISIKO MANAGER 04.2017
RISIKO MANAGER 05.2017
RISIKO MANAGER 06.2017
RISIKO MANAGER 07.2017
RISIKO MANAGER 08.2017
RISIKO MANAGER 09.2017
RISIKO MANAGER 10.2017
RISIKO MANAGER 01.2016
RISIKO MANAGER 02.2016
RISIKO MANAGER 03.2016
RISIKO MANAGER 04.2016
RISIKO MANAGER 05.2016
RISIKO MANAGER 06.2016
RISIKO MANAGER 07.2016
RISIKO MANAGER 08.2016
RISIKO MANAGER 09.2016
RISIKO MANAGER 10.2016
RISIKO MANAGER 01.2015
RISIKO MANAGER 02.2015
RISIKO MANAGER 03.2015
RISIKO MANAGER 04.2015
RISIKO MANAGER 05.2015
RISIKO MANAGER 06.2015
RISIKO MANAGER 07.2015
RISIKO MANAGER 08.2015
RISIKO MANAGER 09.2015
RISIKO MANAGER 10.2015
RISIKO MANAGER 11.2015
RISIKO MANAGER 12.2015
RISIKO MANAGER 13.2015
RISIKO MANAGER 15-16.2015
RISIKO MANAGER 17.2015
RISIKO MANAGER 18.2015
RISIKO MANAGER 19.2015
RISIKO MANAGER 20.2015
RISIKO MANAGER 21.2015
RISIKO MANAGER 22.2015
RISIKO MANAGER 23.2015
RISIKO MANAGER 24.2015
RISIKO MANAGER 25-26.2015
 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.