Regulatory Risk Management: Vermögensschäden aus der mangelhaften Einhaltung von Rechtsnormen wirksam zu verhindern - dieser Herausforderung müssen sich alle Finanzinstitute regelmäßig stellen. Im vorhergehenden Blog-Beitrag "Keine Chance für Compliance-Risiken" wurden bereits die Schwierigkeiten im tagtäglichen Umgang mit regulatorischen Anforderungen deutlich. Die Vielzahl an geltenden Regelungen und Vorgaben auf der einen - und bislang lückenhafte interne Compliance Prozesse auf der anderen - Seite erfordern zunehmend ganzheitliche Lösungen.

Mit einem konsistenten "Regulatory Risk Management" schaffen Banken die notwendigen Strukturen, um Compliance- und Rechtsrisiken präventiv zu begegnen. Die hierfür notwendigen ersten Schritte sind bereits im vorherigen Beitrag beschrieben: Aufbauend auf einem kontinuierlichen Legal Monitoring erhalten Banken eine Übersicht der relevanten Rechtsnormen (Schritt 1). Die hieraus für das Institut wesentlichen Vorgaben sind abhängig vom Geschäftsmodell zu ermitteln (Schritt 2). Im Compliance-Risk-Assessment werden die wahren Risiken transparent und die Normen in Abhängigkeit vom Risikogehalt für das jeweilige Institut ermittelt (Schritt 3). Im Weiteren widmet sich dieser Blog den weiteren Schritten zur Etablierung eines effektiven Regulatory Risk Management.

Zentrale Koordination des regulatorischen Portfolios

Die nicht nachlassende Regulierung des Finanzmarktes erfordert eine robuste Organisation, um immer wieder auf neue regulatorische Anforderungen angemessen zu reagieren. Häufig jedoch ist genau das Gegenteil der Fall, da vielmehr unklare Verantwortlichkeiten und unkoordinierte Umsetzungsvorhaben die Regel sind. Die neuen Vorgaben werden anhand der subjektiven Wahrnehmung angegangen; interne Priorisierungskonflikte sind somit vorprogrammiert. Bereits die MaRisk fordern von jeder Compliance-Einheit, auf die "Implementierung angemessener Verfahren hinzuwirken". Die Vorteile einer zentralen Koordination liegen daher auf der Hand. Mit einem "Regulatory Office" lassen sich solche Aufgaben institutionalisieren und Synergieeffekte aus der Implementierung neuer Regularien und Umsetzung von Einzelmaßnahmen (Schritt 4) realisieren, bspw. aus der Behebung von festgestellten Mängeln aus internen oder externen Prüfungen.

Risikobasierte Kontrollen statt "Gießkannenprinzip"

Eine der wichtigsten Aufgaben - und gleichzeitig die komplexeste - im Regulatory Risk Management ist die laufende Überwachung der Einhaltung von Rechtsnormen. Während anhand von Kontrollplänen bislang häufig Kennzahlen abgefragt oder die Dokumentation von Sachverhalten strichprobenartig geprüft wird, bleiben die wirklichen Risiken im Verborgenen. Die Angemessenheit und Wirksamkeit interner Verfahren im Hinblick auf die als wesentlich eingeschätzten Rechtsnormen ist Gegenstand wirksamer Kontrollhandlungen (Schritt 5). Das Zusammenspiel zwischen "1st, 2nd und 3rd Level Controls" ist dabei maßgeblich für den Erfolg eines internen Kontrollsystems. Anhand der bewerteten Compliance-Risiken sind Kontrollen risikobasiert auf die Einhaltung von Regularien auszurichten - statt, wie häufig anzutreffen, nach dem "Gießkannenprinzip" über die gesamte Organisation zu verteilen.

Zentrale Steuerung als Managementkompetenz

Die laufende Versorgung von Geschäftsleitung und Aufsichtsorganen mit Informationen aus dem Compliance-Management ist derzeit häufig noch vergangenheitsorientiert und textlastig. Quantitative Aussagen zu Compliance-Risiken, der Wirksamkeit interner Verfahren oder gar Auswirkung von Regulierungstrends auf das eigene regulatorische Portfolio sind nur wenig transparent. Mehr und mehr steigt der Bedarf an einer zentralen Steuerung und dauerhaften Transparenz der Compliance-Prozesse und der Risikosituation. Mit Lösungen wie dem "Compliance Management Cockpit", die integraler Bestandteil eines Regulatory Risk Managements sind, können Verantwortliche den notwendigen Überblick behalten (Schritt 6). Informationen zum Umsetzungsstand der einzelnen Rechtsnormen und gemeldeten Risiken ermöglichen eine operative Steuerung der Einhaltung von Bankenregulierung.

Nachhaltige Compliance-Kultur schaffen

Die kontinuierlich steigende Anzahl an regulatorischen Vorgaben erfordert mehr denn je ein strukturiertes Vorgehen, um im Regulierungsdschungel den Überblick zu behalten. Ein konsistentes Regulatory Risk Management ist dabei mehr als nur die korrekte Ausübung der MaRisk-Compliance-Funktion. Vielmehr lassen sich damit die wirklichen Compliance- und Rechtsrisiken beherrschen und regulatorische Aktivitäten gezielt bündeln. Synergien werden geschaffen und die Überwachung auf die wirklich notwendigen Bereiche fokussiert. Nicht zuletzt unterstützt ein in der Organisation verankertes Regulatory Risk Management die gelebte Compliance-Kultur nachhaltig.

Während große Finanzinstitute bereits den Aufbau eines organisationsweiten "Regulatory Risk Management" vorantreiben, kämpfen kleine und mittelständische Banken noch mit den operativen Herausforderungen der täglichen Regulierung. Nutzen Sie die bisher gewonnen Erfahrungen und diskutieren Sie mit uns praxisbewährte und innovative Compliance Management-Lösungen. Das Factsheet Regulatory Risk Management finden Sie hier.