FIRM

Compliance Risk Roundtable

Compliance-Risiken sind in den vergangenen Jahren mehr und mehr in den Fokus von Finanzinstituten gerückt. Ereignisse wie die Libor-Manipulationen, Geldwäsche, Embargo-Umgehungen und Kundenrechtsverletzungen resultierten, laut Reuters, für die weltweit 20 größten Banken in Strafzahlungen von insgesamt rund 235 Mrd. USD allein seit Beginn der Finanzkrise 2008. FIRM hat diesen Risiken, die meist der Compliance- und nicht der Risikofunktion zugeordnet sind, im zurückliegenden Jahr mehrere Roundtable-Diskussionen gewidmet.

Der Compliance-Risk-Roundtable wurde am 20. April 2015 ins Leben gerufen und tagte bis zum Jahresende viermal. Ziel des Roundtables ist es:

  • Ideen zur Verbesserung des Compliance-Risk-Managements in den Instituten zu entwickeln;
  • Einen offenen Austausch zu allen relevanten Compliance-Risk-Fragen des Finanzsektors unter Wissenschaftlern, Beratern und den Verantwortlichen in den Banken zu ermöglichen;
  • Das Wissen zum Thema durch Einladung von Spezialisten zu vertiefen;
  • Eine Plattform zum Networking mit Kollegen aus anderen Banken sowie Beratern und Wissenschaftlern zu bieten;
  • Die Compliance-Risk-Expertise in die von FIRM unterstützten Forschungs- und Lehraktivitäten zu integrieren.

Am Roundtable beteiligt sind Vertreter der Compliance-Funktion deutscher Finanzinstitute sowie Unternehmensberater und Wissenschaftler, die in diesem Bereich arbeiten. Die Koordination übernahmen im ersten Jahr Andreas  Müller (KfW) und Anke  Raufuß (McKinsey).

Schwerpunktthemen

Beim ersten Treffen einigten sich die Teilnehmer auf sechs Fokusthemen mit jeweils offenen Fragen für die Diskussion:

  1. Compliance-Mandat: Was sind die typischen Aufgaben und Verantwortlichkeiten der Compliance-Funktion? Welche Rolle spielt Compliance bei Geschäftsentscheidungen?
  2. Compliance-Governance: Wie lässt sich eine effektive Governance  für  Compliance-Themen  sicherstellen?
  3. Compliance-Organisation: Wie sieht die ideale Organisation aus? Wie ist die Abgrenzung anderen Funktionen? Wie viele Mit- arbeiter sollte der Bereich haben? Und wie können Talente für das Thema gewonnen werden?
  4. Compliance-Kultur: Wie sieht eine gute Compliance-Kultur aus? Wie lässt sich der Kulturwandel in der Organisation herbeiführen?
  5. Compliance-Risiken:  Für  welche  Risiken  ist  Compliance  als "2nd Line of Defense" Verteidigungslinie verantwortlich? Wie können diese Risiken in das Gesamtrisikomanagement der Bank eingebunden werden? Wie sind Compliance-Risiken zu bewerten (quantitativ versus qualitativ) – kann man sich etwas von den Methodiken zur Bewertung der finanziellen Risiken abschauen?
  6. Compliance-Regulierung: Wie wirken sich Regulierungen (unter anderem MaRisk, MaComp) auf die Organisation der Compliance aus? Wie lassen sich sämtliche relevanten Regulierungen und insbesondere deren Änderungen verfolgen?

Im Vordergrund der Diskussionen standen die Themen Compliance-Mandat, Compliance-Kultur und -Risiken, zu denen auch ein Survey innerhalb des Roundtables durchgeführt wurde.

Compliance-Mandat

Für die Compliance-Funktion sehen die meisten Teilnehmer drei Kernaufgaben: Festlegung der Compliance-Strategie, Aufbau der Compliance-Organisation und Entwicklung einer Compliance-Kultur. Nur wenige Institute binden die Compliance-Funktion bereits in Kreditentscheidungen ein. Die Erarbeitung/Einführung detaillierter Leitfäden, die Bewertung der Risiken sowie der Kontakt zum Regulator liegen häufig in der Verantwortung des jeweiligen Geschäftsbereichs. Die größten Herausforderungen für die Compliance-Funktion sind die:

  • Stärkung des Präventionsgedankens;
  • Harmonisierung von Risikoanalysen;
  • Entwicklung einer Compliance-Kultur innerhalb der Organisation;
  • Neuen Regulierungen und immer häufigere Rechtsänderungen.

Eine weitere Herausforderung – die die Teilnehmer allerdings sehr unterschiedlich bewerten – liegt in der Abgrenzung der Compliance-Funktion zu anderen Kontrollfunktionen, insbesondere zum Operationellen Risiko, zu Risiko-Controlling und Governance-Funktion. Manche Institute gestalten ihre Compliance-Funktion eng aus, während andere sie im Sinne der MaRisk als übergreifende Funktion einsetzen, die sämtliche Kontrollfunktionen koordiniert.

Compliance-Kultur

In fast jeder Sitzung kam die Compliance-Kultur zur Sprache: Der Compliance-Gedanke müsse über die Papierform hinaus "gelebt“ werden. Eingebettet in eine Bankkultur, die vom Topmanagement vorbildhaft verkörpert wird, könne sie von den Mitarbeitern in die "DNA" der Bank aufgenommen werden. Compliance-Kultur habe eine operative Ebene im Sinne der effektiven Einhaltung von Vorschriften, aber auch eine ethische Komponente, die sehr eindrücklich durch das Idealbild des "ehrbaren Kaufmanns" beschrieben werden könne. Viele Teilnehmer beobachten in der Branche eine Rückbesinnung hierauf. Vor diesem Hintergrund wurde auch diskutiert, ob sich die Institute an den regulatorischen Mindestanforderungen orientieren oder darüber hinausgehen sollten.

Compliance-Risiken

Einigkeit besteht unter den Teilnehmern darin, dass die Compliance-Funktion für einen Großteil der nicht-finanziellen Risiken als "2nd Line of Defense" verantwortlich ist (siehe auch  Abbildung unten). So ergab die Umfrage, dass die  Funktion  bei  mehr  als  70  Prozent der Teilnehmer externe und interne Betrugsrisiken sowie bei mehr als 50 Prozent Geschäfts- und Produktrisiken als "2nd Line of Defense" verantwortet. Bei einigen Instituten obliegen diese Risiken der Geldwäsche-Funktion beziehungsweise den jeweiligen Geschäftsbereichen (also der "1st  Line  of  Defense").  Derweil  ist die Compliance, wenig überraschend, meist nicht zuständig für die Überwachung von arbeitsrechtlichen und prozessualen Risiken oder Risiken im Zusammenhang mit Geschäftsunterbrechungen und Systemausfällen. Eine Kernherausforderung bei nicht-finanziellen Risiken ist deren Quantifizierung, insbesondere  der  Compliance- und Reputationsrisiken. Eine vertiefende Diskussion über aktuelle Ansätze zur Risikoquantifizierung steht noch aus.

Ausblick auf 2016

Auch im kommenden Jahr wird der Compliance Risk Roundtable viermal tagen. Die Koordination übernimmt die DZ Bank gemeinsam mit der Boston Consulting Group. Folgende Fokusthemen sind für das Jahr 2016 vorgesehen:

  • Wissenschaft: Erarbeitung einer einheitlichen Taxonomie zu Compliance-Risiken und Definition einer Schnittstelle zu anderen das Risiko steuernden Einheiten;
  • Organisation: Grundverständnis zu Kernaufgaben, "Best-Practice"- Ansätzen und institutsspezifischen Annahmen bei der Ausgestaltung von Compliance-Organisationen;
  • Aktuelle Themen: Auswirkungen von SREP (Säule 2) auf die Ausgestaltung der Rolle des Chief-Compliance-Officers.

Die Teilnehmer des Compliance-Risk Roundtables freuen sich schon auf anregende und interessante Diskussionen in 2016.

Koordinatoren in 2016:

  • Kai-Hendrik Friese, DZ BANK AG
  • Norbert Gittfried, The Boston Consulting Group