Mit der 4. MaRisk-Novelle hat die deutsche Bankenaufsicht BaFin eine zusätzliche Compliance-Funktion neben der bisherigen Wertpapier- und Geldwäsche-Compliance eingeführt.
Einer besonderen Aufmerksamkeit unterliegt die Regelung der Tz. 2 des MaRisk AT 4.4.2. Hier wird „die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann, … unter Berücksichtigung von Risikogesichtspunkten …“ gefordert.
Erstellung einer Normenliste erfordert hohe Eigenleistung der Häuser
Eine Bedingung für die Prüfung der wesentlichen rechtlichen Regelungen und Vorgaben (=Normen) ist zunächst eine verfügbare Übersicht der für die Bank gültigen Normen (Bestandsliste oder „legal inventory“). Da die wenigsten Institute vor der 4. MaRisk-Novelle über solch eine Liste verfügt haben, stellt die Erstellung in Eigenleistung einen hohen Aufwand dar, der durch geeignete, am Markt verfügbare Lösungen verringert werden kann.
Visualisierung durch eine Ampelsystematik
Diese „Nettoliste“ dient dann der Prüfung der Wesentlichkeit. Hier hat sich die Definition und Implementierung ex ante definierter Parameter zur Sicherstellung einer möglichst objektivierten und standardisierten Darstellung bewährt. Diese können institutsspezifisch gewichtet, zu einer Kennzahl verdichtet und in Form einer einfachen Ampelsystematik visualisiert werden. Die Bestandsliste ist regelmäßig durch neue Normen und Normänderungen zu ergänzen.
Um neue Normen und aktuelle Entwicklungen (z.B. Konsultationen, Entwürfe) frühzeitig erkennen und adressieren zu können, stellt die VÖB-Service GmbH in Kooperation mit der SKS Unternehmensberatung GmbH & Co. KG einen web-basierten Informationsdienst zur Verfügung. Ziel ist es, Unternehmen des Finanzsektors frühzeitig über regulatorische Neuerungen und Änderungen zu informieren. Darüber hinaus bietet dieser Datendienst inhaltliche Zusammenfassungen und eine Einschätzung der Auswirkungen auf die Organisations- und IT-Struktur einer Bank.
Die Identifizierung der relevanten Normen erfolgt einerseits als Bestandsliste für die zu einem Stichtag gültigen Normen und andererseits über die Änderungen bestehender oder neu zu erfüllender Normen anhand der beispielhaft oben skizzierten Lösung. Damit werden die Anforderungen der Tz. 2 der MaRisk AT 4.4.2 erfüllt.
Im Zuge der Herausbildung einer Best Practice ist zu erwarten, dass letztlich alle Institute eine Bestandsliste vorhalten und ein Verfahren zur Wesentlichkeitsanalyse eingeführt haben müssen, welches über die digitale Aussage „wesentlich ja/nein“ hinausgeht.
Best Practice geht über die intedierte Zielrichtung hinaus
Es folgt dann eine Verknüpfung der Überwachungs- und der Bestandsliste mit den Kernprozessen, den entsprechenden Schlüsselkontrollen und damit mit dem IKS des Institutes. Ein Mapping der Normenwelt auf die Prozesswelt ist erforderlich. Hierzu ist es notwendig, Normen sinnvoll zu untergliedern, um überhaupt die Möglichkeit einer sinnvollen Zuordnung erreichen zu können. Das führt zu einer Erhöhung der Komplexität bzw. des Umfangs der Bestandsliste.
Fazit
Die sich entwickelnde Best Practice stellt einen Standard dar, der deutlich über die ursprünglich intendierte Zielrichtung der Aufsicht („Compliance-Schäden der Bank vermeiden“) hinausgeht.