Regulatory Risk Management: Immer höher, immer schneller, immer weiter - Die steigende Anzahl regulatorischer Anforderungen hat nicht nur Auswirkungen auf das Geschäftsmodell vieler Banken. Vielmehr wächst durch die Komplexität der Finanzmarktregulierung (Bankenregulierung) die Verantwortung, die geltenden Rechtsnormen jederzeit zu erfüllen. Nicht zuletzt der fehlende Gesamtüberblick erschwert die Erfassung der wesentlichen Risiken, die aus einer mangelhaften Einhaltung der Regularien drohen. Die Konsequenzen sind vielfältig und reichen von direkten Vermögensschäden über Image- und Kundenverlusten bis hin zu Strafzahlungen oder gar Sanktionen.

Zunehmend ist ein eher reaktives Management auf eingetretene Gefahren zu beobachten, welches häufig zu hohen Folgekosten führt. Eine frühzeitige Auseinandersetzung mit neuen regulatorischen Vorgaben ist mangels interner Ressourcen oder unklarer Verantwortlichkeiten nur selten zu erkennen. Ein unzulängliches oder lückenhaftes internes Berichtswesen verhindert außerdem die notwendige Transparenz und kann das Risiko erhöhen. Insgesamt ist Bankenregulierung eine Aufgabe, die Compliance-Beauftragte und Risikomanager täglich vor immer größere Herausforderungen stellt.

Effektives Regulatory Risk Management gefragt

Umso mehr ist daher ein strukturierter und konsistenter Compliance-Prozess zur Vermeidung von Risiken aus regulatorischen Anforderungen erforderlich. Ein effektives Regulatory Risk Management umfasst die Aufgaben der klassischen Compliance-Funktion nach MaRisk (vgl. MaRisk AT 4.4.2). Im Idealfall lässt sich der Prozess in sechs aufeinander aufbauende Schritte aufteilen:

1. Kontinuierliches Screening von Rechtsquellen und laufendes Legal Monitoring
2. Wesentlichkeitsbestimmung aller relevanten Rechtsnormen
3. Bewertung der wesentlichen Rechtsnormen hinsichtlich des Compliance- und Rechtsrisikos
4. Gap-Analyse und Implementierung neuer Rechtsnormen und Einzelmaßnahmen
5. Laufende Überwachung von Compliance-Risiken anhand Compliance-Kontrollplan
6. Regelmäßige und anlassbezogene Berichterstattung über Compliance-Risiken

Die Spitze des Eisbergs erkennen

Nur allzu häufig ist bereits der erste Schritt - das laufende Legal Monitoring - insbesondere für kleine und mittelständige Finanzinstitute eine Herausforderung. Diese verfügen nicht immer über ausreichend interne Mitarbeiter zum täglichen Screening von mittlerweile mehr als 30 nationalen und internationalen Rechtsquellen. Ein umfassendes "Legal Inventory" ist allerdings die Grundlage für eine konsistente Bewertung der für eine Bank relevanten Rechtsnormen und der daraus folgenden Risikosituation. Ein derartiges Rechtsinventar kann leicht mehr als 500 Rechtsnormen und Vorgaben umfassen. Lücken in der Inventarisierung erhöhen das Risiko - und womöglich sind diese nur die Spitze des Eisbergs.

Wesentlich oder nicht?

Aufbauend auf dem einmal konsolidierten Legal Inventory, das regelmäßig zu aktualisieren ist, stellt sich im zweiten Schritt die Frage, welche der relevanten Rechtsnormen wesentlich für das eigene Unternehmen sind. Grundsätzlich ist dabei die Ausrichtung des Geschäftsmodells, d.h. die bankeigenen Services und Produkte, entscheidend. Bietet bspw. ein Institut ohne eigene Handelsaktivitäten seine Dienstleistungen ausschließlich für Kunden an, so sind die Vorgaben für den Eigenhandel nicht wesentlich. Letztendlich ist für die Wesentlichkeitsbestimmung entscheidend, welche Gefahren sich aus der Nichteinhaltung regulatorischer Anforderungen für eine Organisation ergeben können. Sind Vermögensschäden, Reputationsverluste oder gar Sanktionen möglich, ist eine Rechtsnorm in jedem Fall wesentlich.

Alle Risiken im Griff

In einem dritten Schritt werden im Compliance-Risk-Assessment die Risiken identifiziert, die sich aus der mangelhaften Erfüllung der wesentlichen Rechtsnormen ergeben können. Um möglichst ein valides Bild des eher schwer greifbaren Compliance- oder auch Rechtsrisikos zu erhalten, genügt nicht allein die Bewertung des möglichen Schadenspotenzials. Vielmehr ist der Blick auch in Richtung Vergangenheit (bisherige Auffälligkeiten) und Gegenwart (Umfang und Qualität der Dokumentationen und Prozesse) zu richten. Hierfür eignet sich erfahrungsgemäß ein Self-Assessment, bei dem die Fachbereiche selbstständig oder in moderierten Workshops die Risikoeinschätzung vornehmen. Eine qualitative Würdigung oder zumindest eine Plausibilisierung durch die Compliance oder das Risikomanagement ist unerlässlich, um die Validität und Vergleichbarkeit der Ergebnisse zu bewerten. Ich möchte dabei noch einmal den Umfang des Legal Inventory von mehr als 500 Rechtsnormen in Erinnerung rufen, für die eine Risikobewertung der wesentlichen Normen erfolgt.

Die Gesamtbetrachtung verschiedener Kriterien ermöglicht somit risikobasierte Aussagen und die direkte Ableitung konkreter Handlungsempfehlungen für die Entscheidungsträger in Finanzunternehmen: eine gewonnene Transparenz, auf die sicherlich niemand mehr gern verzichten würde.

Erfahren Sie demnächst mehr über die Erfahrungen mit der Umsetzung der verbleibenden Schritte für ein effektives Regulatory Risk Management. Das entsprechende Factsheet finden Sie hier.