Aufsichts- oder Verwaltungsrat in Finanzinstituten: Warum Weiterbildung unerläßlich ist

Dr. Gunter Dunkel, ehem. Vorstandsvorsitzender der Norddeutsche Landesbank Girozentrale (Nord/LB), ehem. Präsident des Bundesverband Öffentlicher Banken Deutschlands (VOEB)

MaRisk aktuell – zentraler Auslagerungsbeauftragter

Henning Riediger, Prüfungsleiter im Referat Bankgeschäftliche Prüfung, Deutsche Bundesbank, Hannover[1]

Neuregelung und (teilweise) gelebte Praxis

Es ist doch immer wieder interessant zu beobachten, was in einigen Instituten vor sich geht, wenn (vermeintlich) neue Regelungen in Kraft treten. Ein sehr schönes Beispiel bietet hier die Funktion des zentralen Auslagerungsbeauftragten gemäß AT 9 Tz. 12 der MaRisk. Die ausdrückliche Benennung ist in der Tat eine „Neu“-Regelung. Die dieser Funktion obliegenden Aufgaben und Funktionen sind es hingegen nicht.

Es mag ja auch im Jahr 2018 immer noch Institute geben, die der Meinung sind, dass wenn alles ausgelagert ist, man keine Risiken habe. Diese Institute stellen dann beim Lesen der neuen MaRisk fest: „Hey, eine neue Funktion! Wir können einen neuen Hut verteilen.” In der direkten Folge des Lesens wird dann eine Person auserwählt, welche den „Hut” bekommt. Aber wie im wahren Leben reicht ein Hut nicht aus – da muss es noch etwas mehr geben, z. B. einen angemessenen Auslagerungsprozess im Gesamthaus. Und richtig unangenehm wird es dann, wenn man nur mit Hut bekleidet in eine § 44er-Prüfung der Bankenaufsicht gehen muss.

Der zentrale Auslagerungsbeauftragte – kein Avanti Dilettanti!

Im Entwurf für die 5. MaRisk-Novelle war bereits ein Auslagerungsbeauftragter vorgesehen. In der endgültigen Novelle fällt diese Aufgabe dem zentralen Auslagerungsmanagement gemäß AT 9 Tz. 12 der MaRisk zu. Dieser wird erwartungsgemäß den Überwachungsfunktionen zugewiesen werden. Die Auslagerungssteuerung und -überwachung ist unzweifelhaft bereits auch heute dem Internen Kontrollsystem zuzuordnen. Eine erfolgreiche Integration von ausgelagerten Aktivtäten in die Steuerungs- und -überwachungskomponenten setzt jedoch voraus, dass das Interne Kontrollsystem im Institut unabhängig von der Existenz aus Auslagerungen sauber aufgesetzt ist.

Eine strukturelle Neuerung der aktuellen MaRisk-Novelle ergibt sich aus den Tzn. 10 und 12:

  • Tz. 10 – Zur Steuerung und Überwachung von Auslagerungen von besonderen Funktionen und Kernbereichen des Instituts sind klare Verantwortlichkeiten festzulegen und
  • Tz. 12 – Es ist ein zentrales Auslagerungsmanagement für sämtliche ausgelagerten Aktivitäten zu implementieren.

Eine der Tz. 10 vergleichbare Tätigkeit bzw. Aufgabe gab es in der vorherigen Novelle nur für den Fall der Auslagerung der internen Revision.

Zu den Tätigkeiten des zentralen Auslagerungsmanagements gehören ausweislich der Tz. 12 des AT 9 der MaRisk mindestens folgende Aufgaben:

  • die Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements einschließlich entsprechend angemessener Kontroll- und Überwachungsprozesse,
  • die Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen inklusive von Weiterverlagerungen,
  • die Unterstützung von Fachbereichen bezüglich der Beurteilung bzw. Einhaltung gesetzlicher und institutsinterner Vorgaben bei Auslagerungen und
  • die Koordination und Überprüfung der durch die zuständigen bzw. auslagernden Fachbereiche (z. B. Dateneigentümer) vorzunehmenden Risikoanalysen.

Gerade die beiden letztgenannten Punkte erfordern umfassende Kenntnisse von gesetzlichen Normen und internen Vorgaben. Somit bietet sich eine Kombination bzw. Zusammenarbeit mit der Compliance-Funktion an. Wichtig ist in diesem Zusammenhang die Kontrollfunktion an dieser Stelle! In der Praxis neigen auslagernde Fachbereiche zur Unterschätzung oder gar Negation von risikorelevanten Aspekten. Diese möglichen Prozessschwächen müssen durch das zentrale Auslagerungsmanagement aufgefangen werden. Das zentrale Auslagerungsmanagement ist somit je nach Art, Umfang und Komplexität eine bedeutende Komponente des Internen Kontrollsystems in einem Institut.

Die Funktion ist keine ausschließliche Dokumenten-Sammelstelle, sondern integraler Bestandteil des Auslagerungsprozesses. Selbstverständlich bietet es sich für den zentralen Auslagerungsbeauftragten an, durch die inhaltliche Einbindung einen strukturierten und reproduzierbaren Prozess (Stichwort: Erfolg muss wiederholbar sein!) im Institut mitzugestalten. Für die Risikoanalyse ist es von enormer Wichtigkeit, dass alle Prozessbeteiligten einbezogen sind, um die bestehenden Risikopotenziale zu erkennen und einschätzen zu können. Nur durch das gemeinsame Agieren von auslagernder Fachabteilung (IT-Abteilung, Organisationsabteilung usw.) und überwachendenden Einheiten (IT-Sicherheitsbeauftragte, Compliance, Risiko-Controlling) kann die Vollständigkeit sichergestellt werden. Eine lediglich „im stillen Kämmerlein“ von einer Abteilung getroffene Festlegung (z. B. allein durch eine auslagernde Fachabteilung) greift in der Praxis zu kurz. Es ist auch gerade die Aufgabe des zentralen Auslagerungsbeauftragten, den auslagernden Fachabteilungen auf die Finger zu schauen bzw. diese zu einem risikoorientiert angemessenen Verhalten zu bewegen. Mit einem reinen Abheften von Risikoanalysen ist es nicht getan! Ziel sollte es sein, als Kompetenzzentrum für Auslagerungen anerkannt zu werden. Werfen Sie also beständig ihren Hut in den Ring!

PRAXISTIPPS

  • Stellen Sie sicher, dass alle relevanten Fachabteilungen eingebunden sind.
  • Wählen Sie objektiv überprüfbare Kriterien für die Risikoanalyse von Auslagerungen.
  • Implementieren sie eine sinnvolle Bewertungssystematik.
  • Achten Sie darauf, dass die Verfahren von allen Abteilungen eingehalten werden.
  • Bitte erfragen Sie Risikoeinschätzungen kritisch (Stichwort: gesunder Menschenverstand).
  1. Disclaimer: Der Beitrag gibt die persönliche Sicht des Autors wieder und diese muss nicht zwingend mit der Deutschen Bundesbank übereinstimmen.

Die Bank der Zukunft ist eine Softwareschmiede

Jakob Freund, Spezialist Banking und Geschäftsführer Camunda services GmbH
Giesbert Beckmann, Geschäftsführer Procedera Consult GmbH

Banken verlieren ihre Rolle als reine Organisatoren des Bankgeschäfts. Künftig ginge es darum, innovative Produkte zu verbreiten, eigenständige Ökosysteme zu entwickeln und Partner darin einzubinden, prognostiziert IBM in einer Studie. Dafür brauchen die Institute ein tiefes Verständnis digitaler Technologien. Sie müssen sich selbst neu erfinden, als Softwareunternehmen, die Bankservices anbieten.

„You better spend a lot of time there“, sagt Lloyd Blankfein, CEO von Goldman Sachs, über das Silicon Valley in Kalifornien. Seit fast zehn Jahren schon investiert die wohl mächtigste Bank der Welt in Technologie-Startups. Vom Volumen her spielt das Geldhaus in einer Liga mit den größten Venture Capital Gesellschaften im Tech-Sektor. Goldman-Doller stecken in Einhörnern wie Uber, Pinterest, Dropbox – Startups, die in kürzester Zeit eine Marktkapitalisierung von mehr als einer Milliarde USD erreicht haben. „We are a technology company“, erklärt Blankfein in einem Podcast auf der Unternehmenswebseite das strategische Selbstverständnis der Bank. Jeder vierte Angestellte arbeitet inzwischen in der IT-Abteilung.

Vom Geldhaus zum Softwareunternehmen

Auf den ersten Blick sieht es so aus, als ob Goldman Sachs bloß dem eigenen Geschäftsmodell folgt und Geld investiert, um Geld zu verdienen. Tatsächlich ging es darum, Kunden und deren Wünsche sowie die technisch vermittelte Kunde-Anbieter-Interaktion besser zu verstehen. Heute steht das bislang vor allem für Investmentbanking bekannte Institut kurz davor, groß ins Consumer Banking einzusteigen – und zwar über die bereits 2016 gestartete Plattform Marcus. „We’re working to build an open architecture storefront that allows us to work with consumers to help them spend, borrow, save and protect in an integrated, coordinated way“,erklärt David Salomon, Präsident und COO bei Goldman Sachs.

Entscheidend ist das Wörtchen ‚help‘, das den Kunden als handelnde Person anerkennt. Nicht die Bank führt für den Kunden Überweisungen aus, kauft Wertpapiere und legt Rentenpläne an. All das macht der Kunde selbst und die Bank hilft nur noch dabei. Die Smartphone-Bank N26 ist deshalb so gefährlich für etablierte Institute geworden, weil sie genau das verstanden hat. Über das Telefon können Kunden Karten sperren, Überweisungen tätigen und die Einsatzfunktionen der Kreditkarte beispielsweise beim Online-Shoppen oder für Einkäufe im Ausland mit einem Fingerwisch selbst einstellen. Sogar das tägliche Zahlungslimit lässt sich über einen Schieberegler festlegen.

Von den größeren europäischen Instituten stechen bezeichnenderweise vor allem Direktbanken wie die ING DiBa – bald nur noch ING, das DiBa verschwindet – hervor, die umdenken. Statt ein bestimmtes Finanzprodukt über alle möglichen Kanäle an die Kunden zu verteilen (alte Welt), sollen künftig Services um den Kunden herum organisiert sein. Praktisch bedeutet das eine Veränderung zur Echtzeit-Bank. Die schon vor Jahren totgesagten Batchläufe, die über Nacht laufen, sind nicht tot, nur weil sie technisch überholt sind, sondern weil sie organisatorisch überholt sind und mit den Kundenanforderungen nicht mehr mithalten.

Megatrend: Microservices

Vielen Banken fällt jetzt auf die Füße, dass sie in den vergangenen Jahren verstärkt IT-Know-how ausgesourct haben. Die MaRisk zwingt die Institute jedoch, ausgelagerte Prozesse zu überwachen – das ist die Chance, diese Entwicklung umzukehren und den wichtigsten Wertschöpfungsrohstoff wieder ins Unternehmen zu integrieren: IT. Denn wenn das Kerngeschäft auf IT basiert, muss IT zur Kernkompetenz werden. Nur in Verbindung mit passgenauer Software eignet sich ein Geschäftsmodell heutzutage für eine strategische Differenzierung im Wettbewerb.

Die Fintech-Konkurrenz macht es vor: häufig gestartet mit nur einer Kernfunktion, erweitern die erfolgreichen Anbieter bestehende Services um weitere. Die als reine Smartphone-Bank gestartete N26 beispielsweise hat jetzt damit begonnen, das „easy-to-use“-Konzept auf die Webanwendung für den heimischen Computer zu übertragen. Möglich ist das durch Microservices, die dezentral und jeweils weitgehend autonom entwickelt und in die Servicelandschaft „eingehängt“ werden können. Der entscheidende Vorteil: Entwickler müssen keine Rücksicht auf bestehende Kernbankensysteme oder andere Monolithen nehmen, die an Releasezyklen gekoppelt sind. Vereinfacht ausgedrückt, entsprechen Microservices der IT-technischen Umsetzung eines kontinuierlichen Verbesserungsprozesses.

Die Herausforderung: dezentralisierte Systeme können dazu führen, dass Entwickler das bekannte Silo-Denken reproduzieren und den Blick für das große Ganze verlieren. Netflix hat daher eine Open Source Orchestration Engine entwickelt mit dem Ziel, Hunderte von Microservices entlang der Kerngeschäftsprozesse zu integrieren und zu steuern. Sowohl Uber als auch die ING Bank haben ähnliche Projekte veröffentlicht, die allesamt moderne Varianten klassischer Workflow Engines zur Prozessautomatisierung sind.

Die Nutzung und auch Teilnahme an Open Source-Projekten ist eine klare Absage an Out-of-the-Box-Softwareprodukte und langfristige Bindungen an Legacy-Systeme, deren Ablösung später teuer und langwierig wäre. Das haben inzwischen auch Global Player wie Microsoft erkannt. Das für seinen Monolithen Windows bekannte Unternehmen hat jüngst die Open Source Kollaborationsplattform Github gekauft. In der Pressemitteilung heißt es: „Today, every company is becoming a software company and developers are at the center of digital transformation.“

Brückentechnologie RPA

Diese entwickler- und IT-getriebene Philosophie droht jedoch zu scheitern, wenn Banken sich nicht trauen, ihre IT-Schwergewichte radikal zu verschlanken und stattdessen auf Heftpflaster wie Robotic Process Automation setzen. RPA ist eine Brückentechnologie, um Legacy-Anwendungen ohne eigene API zu integrieren. Automatisiert werden dabei etwa Klickpfade auf einer Benutzeroberfläche. Dadurch kann RPA dem Menschen zwar viel Arbeit ersparen, weil die zu automatisierenden Aktivitäten in der Regel stumpf und massenhaft durchzuführen sind (vgl. Abb. 1). Dabei besteht aber die Gefahr, dass RPA als vollwertige Middleware missverstanden und dessen Einsatz als Dauerlösung empfunden wird.

Abb. 1.: RPA als automatisiertes Eingabetool im CRM- und ERP-System.

Heterogene Systemlandschaften benötigen eine leistungsstarke Integrationsplattform, die RPA weder leisten kann noch leisten soll. Denn sobald sich etwas an den zu bedienenden Feldern ändert, muss der vermeintlich automatisierte Arbeitsschritt umprogrammiert werden. RPA ist keine intelligente Verknüpfung verschiedener Systeme, sondern ein Ersatz für manuelle Arbeitsschritte. Erst recht bietet RPA keine langfristigen Perspektiven, wenn es darum geht, Geschäftsprozesse oder Workflows zu automatisieren. Banken können sich durch RPA nur Zeit kaufen, um parallel die digitale Transformation voranzutreiben – und die erfordert zwingend die Ablösung genau jener Legacy-Systeme, die nur über RPA überhaupt integriert werden können.

Ein typischer Anwendungsfall ist eine RPA-Lösung im Verbund mit einem Workflow-System. Sofern dieser Workflow auf ein Legacy-System angewiesen ist, kann das Workflow-System via API an ein RPA-Tool angebunden werden, das wiederum die Benutzeroberfläche des Legacy-Systems steuert. Alle übrigen Anwendungen sind entweder über eine API angebunden oder liefern die zu erledigenden Arbeitsschritte an einen Mitarbeiter, der seinerseits den nötigen Input erzeugt, damit der Prozess weiterlaufen kann.

Process Mining: Zitronen ausquetschen

Process Mining bietet auf lange Sicht einen ähnlich eingeschränkten Mehrwert. Die Idee: Digitale Spuren in IT-Systemen zu verfolgen, um Geschäftsprozesse zu rekonstruieren und diese zu analysieren. Jeder einzelne Schritt des Prozesses wird zusammengefügt und visualisiert. Mit Hilfe dieser Technik wollen Unternehmen Abläufen auf die Spur kommen, die derzeit noch unstrukturiert ablaufen und künftig effizienter erledigt werden sollen. Häufig werden dafür die Logfiles von Legacy-Systemen durchleuchtet und die Erkenntnisse in einem Prozessmanagement-Tool dargestellt. Der Nutzen ist jedoch begrenzt auf kurzfristige Verbesserung in einer bestehenden Prozesslandschaft. Genau wie RPA taugt Process Mining nicht dafür, einer Bank langfristig auf die digitalen Sprünge zu helfen, kann aber wertvolle Hinweise für Automatisierungspotentiale liefern.

 SEMINARTIPP

Prozessmanagement 2.0 – Sicherheit in der regulatorischen Gestaltung, 13.–14.09.2018, Berlin.

Eine substantielle digitale Transformation gelingt nur mit einer klaren Strategie, die eine grundsätzliche Erneuerung der Softwarelandschaft beinhaltet und beispielsweise auf Microservices aufbaut. Dem gegenüber stehen mit RPA und Process Mining zwei Trends, die zwar einfach und schnell umzusetzen sind – und eine unmittelbare Lösung für das aktuelle Geschäft bieten – aber keine nachhaltige digitale Transformation bedeuten, die der Endkunde tatsächlich spürt. Dazu gehören Flexibilität, Schnelligkeit und Innovationen, alles Kriterien, die sich mit der heutigen Kernbank-IT nicht bewerkstelligen lassen.

Spätestens dann, wenn eine entwickelte Lösung skaliert werden muss, weil tatsächlich immer mehr Kunden gut finden, was die Bank gerade macht, droht Schachmatt. Der Grund: Selbst wenn es gelingt, durch Process Mining bestehende Legacy-Systeme wie eine Zitrone auszuquetschen – die Infrastruktur bleibt veraltet und langsam. Dezentral organisierte Microservices dagegen lassen sich bedarfsweise skalieren, je nachdem, welche Funktionen und Dienste die Kunden im Augenblick abrufen. Das Prinzip ist vergleichbar mit einer App, die besonders häufig installiert und geöffnet wird. Dabei verbraucht jeder Microservice, genau wie eine App, im Vergleich zum Gesamtsystem nur einen Bruchteil der IT-technischen Ressourcen.

PRAXISTIPPS

  • Ohne eine IT-Revolution und ein verändertes Selbstverständnis der Banken stehen der Branche stürmische Zeiten bevor.
  • Vorstände brauchen eine Transitionsstrategie, die das Institut von einem reinen Geldverwalter zu einem Softwarehaus weiterentwickelt und sich traut, dabei die Altsysteme über Bord zu werfen.
  • Im VUCA-Zeitalter (Volatility, Uncertainty, Complexity, Ambiguity) gewinnt das wendige Schnellboot gegen den trägen Supertanker. Eine dezentrale IT-Architektur, die auf Microservices aufbaut und diese entlang der Geschäftsprozesse integriert, ist ein valides Modell für die digitale Transformation.
  • Einzelne Trends wie RPA oder Process Mining herauszugreifen und darauf eine Strategie aufzubauen, wird dagegen nur kurzfristige Erfolge zeitigen – und langfristig für erheblich größere Herausforderungen sorgen. Die Zeit zu handeln ist jetzt.

Intuition und Meditation als Führungskompetenzen der Zukunft

Dr. Reinhard Lindner, MBA, Reinhard Lindner Trainings- und Managementberatungs GmbH

Eine Studie der Harvard Business School führt zum Ergebnis, dass die wichtigsten Führungskompetenzen in der Zukunft Intuition und Meditation sein werden. Das mag so manche, stark rationell geprägte Führungskraft überraschen, doch wie kommt es zu diesem Ergebnis?

Die Führungskompetenz bekommt künftig in den Unternehmen eine völlig neue Bedeutung. Gründe dafür sind:

  • die Geschwindigkeit der Veränderung
  • die Komplexität der Themen
  • die Transparenz aufgrund sozialer Medien
  • die Unberechenbarkeit der Märkte und
  • die massiv veränderten Ansprüche der Mitarbeiter

Um das gesamte Wissen der Menschheit zu verdoppeln, brauchten wir im 19 Jahrhundert exakt 100 Jahre. Im 20. Jahrhundert benötigten wir immerhin noch 30 Jahre. Aktuell verdoppeln wir unser Wissen auf unserem Globus alle 13 Monate. Die Veränderungen passieren in einer Geschwindigkeit, welche die Menschheit so nie zuvor erlebt hat. Die Digitalisierung beschleunigt diesen Prozess noch zusätzlich. Das enorme Tempo verursacht Stress. Hier gilt es einen Ausgleich zu finden, der entschleunigt und die innere Balance wieder herstellt. Unsere Herausforderungen sind so komplex geworden, dass der Chef alleine diese nicht bewältigen kann.

Die Informationsflut über verschiedenste Kommunikationskanäle macht Führungskräfte gläsern. Methoden, die in der Vergangenheit Erfolgsgaranten waren, greifen plötzlich nicht mehr, weil die Märkte und Trends immer weniger vorhersehbar sind. Langfristige Planung ist unmöglich geworden und mittelfristige Planung funktioniert auch nur mehr bedingt. Konnte man die Generation „Y“ noch mit einer ansehnlichen Dotierung und mit einer gehörigen Portion Verantwortung begeistern, tickt die Generation „Z“ völlig anders und legt viel mehr Wert auf eine komfortable Work-Life-Balance.

All diese Tatsachen erfordern ein radikales Umdenken im Führungsverhalten. „Wir können die Probleme nicht auf derselben Ebene lösen von der sie kommen“ (Albert Einstein), dieser Spruch ist aktueller denn je. Die Führungskompetenzen, und hier vor allem die „Soft Skills“, von Managern stehen hart am Prüfstand. Integre Leader sind gefragt, wo spürbar wird, dass die Gedanken kongruent sind mit dem Gesagten und den Worten entsprechende Taten folgen. Nur so entsteht Vertrauen in Vorgesetze, denen Mitarbeiter gerne folgen, auch wenn sie nicht müssen. „Die Unternehmenskultur frisst die Strategie zum Frühstück“ war einer der Leitsprüche des großen Vordenkers Peter Drucker. Jede Strategie wird und kann auch nur von Menschen umgesetzt werden. In welcher Qualität und mit welchem Resultat Unternehmensstrategien verwirklicht werden, hängt wiederum sehr stark vom Engagement jedes einzelnen Mitarbeiters ab. Gelingt es nicht diese ins Boot zu holen, hilft die beste Strategie nichts.

 BUCHTIPPS

Daumann/Leicht (Hrsg.): Arbeitsbuch Regulatorische Compliance, 2. Aufl. 2018.

Erfolgsfaktor Humankapital bei der Fusion von Banken, 2018.

BankPersonaler-Handbuch, 2016

Doch warum sind gerade Intuition und Meditation die Treiber, einen solchen Prozess in Gang zu setzen? Mit Meditation ist die Fähigkeit gemeint, sich voll und ganz auf das Hier und Jetzt zu konzentrieren. Dem Moment die volle Aufmerksamkeit und damit Qualität geben. Hohe Präsenz ohne Ablenkung z. B. bei einem Mitarbeitergespräch oder in einem Meeting, aber auch ein großes Maß an Fokussierung bei einer schwierigen Aufgabe abrufen zu können, ist eine erstrebenswerte Fähigkeit einer Führungskraft. Intuition wiederum ist die Kunst, zum richtigen Zeitpunkt die richtigen Entscheidungen zu treffen, ohne diese rational begründen zu können. Wir sprechen hier von einer Vorahnung oder auch dem richtigen Bauchgefühl. Zu jeder Studie gibt es eine Gegenstudie und zu jedem noch so teurem Gutachten gibt es ein Gegengutachten. Viele komplexe Themen lassen sich mit der Vernunft allein nicht lösen. Hier gilt es aus einem breiteren Portfolio an Kompetenzen zu schöpfen. Die Intuition ist ein geeignetes Mittel dafür.

 SEMINARTIPPS

Der Samurai Manager®, 10.-13. Oktober 2018 – GreenWell – The Centre for Business Fitness, Österreich.

Fit & Proper in deutschen Banken – Eignungsprüfung für Schlüsselposition, 04.12.2018, Frankfurt/M.

 

Doch wie bin ich in der Lage, meine Intuition zu trainieren? Wie kann ich diese offensichtlich erfolgsentscheidende Fähigkeit kontinuierlich verbessern? Voraussetzung hierfür ist Flexibilität im Denken und Mut, Dinge auszuprobieren, ganz nach dem Motto „Mistake is my teacher“. Wenn wir immer nur den sichereren Weg gehen, kann nichts Neues entstehen. Deshalb müssen in einer Organisation Rahmenbedingungen geschaffen werden, wo den Mitarbeitern auch Fehler verziehen werden, sonst werden selbst die hellsten Köpfe ihre Potentiale nicht ausschöpfen. Das Ergebnis ist, dass sich Mitarbeiter weiterentwickeln und daraus entsteht Selbstvertrauen. Selbstvertrauen führt zur Gelassenheit und die Gelassenheit ist das Tor zur Intuition.

Im Führungskräfteprogramm Der Samurai Manager® werden diese Fähigkeiten auf eine sehr pragmatische Weise geübt und trainiert und letztlich in die unbewusste Kompetenz gebracht. Künftig geht es nicht mehr darum, wie viel Wissen hat eine Führungskraft (das gilt eher noch für eine Fachkraft) in Zeiten von Google und Wikipedia angehäuft, sondern welche Soft Skills können in einer Stresssituation authentisch abgerufen werden, um richtig zu handeln oder klug zu entscheiden. Westliche und fernöstliche Verhandlungs- und Führungsinstrumente werden miteinander verglichen und es entsteht ein „best of“ aus beiden Kulturen. Ziel ist es, eine neue Generation von Führungskräften, ausgestattet mit den nötigen Kompetenzen, zu entwickeln, welche ihr Team und das Unternehmen in eine erfolgreiche Zukunft tragen.

PRAXISTIPPS

  • Vertrauen Sie Ihren Mitarbeitern und Sie werden staunen, welche Ergebnisse Sie Ihnen liefern.
  • Schließen Sie die Augen und zählen Sie bis zwanzig. Schaffen Sie es, ohne dass Ihre Gedanken abschweifen, dann sind Sie schon ein kleiner Meister in der Meditation.
  • Überlegen Sie, wie oft Sie mit Ihrer Intuition/Bauchgefühl schon Recht hatten, obwohl Ihnen der Kopf etwas anderes gesagt hat?
  • Geben Sie einer Beschäftigung Raum, wo Ihr Herz aufgeht und werden Sie darin jeden Tag ein bisschen besser. So trainieren Sie Ihre Intuition.
  • Schaffen Sie ein Arbeitsumfeld, in dem Mitarbeiter auch Fehler machen dürfen!

 

 

 

 

Dynamisierung der Risikobewertungsverfahren der Internen Revision

Claaßen, Michael, Bereichsleiter Interne Revision, Volksbank Marl-Recklinghausen eG

Historische Kernkompetenz einer Revision stellt die Prüfung der Qualität bereits abgeschlossener Aktivitäten und Geschäftsprozesse dar. Seit Jahren hat sich jedoch gezeigt, dass diese ex post-Betrachtung nicht ausreicht, um eine angemessene Revisionstätigkeit zu gewährleisten. Neben der Projektbegleitung und Beratung, die auf der Initiative Dritter durch Einbindung der Internen Revision erfolgt, ist ein aktives Agieren der Internen Revision auf Basis eigener Initiative notwendig. Dies erfolgt grundsätzlich im Rahmen eines Continuous Auditing-Ansatzes. Umgangssprachlich kann man diese Aktivitäten mit dem Satz „Am Puls der Zeit sein” umschreiben. Im Folgenden einige Betrachtungen zu einer möglichen Vorgehensweise.

Grundlagen

Grundsätzlich erfolgt eine Beteiligung der Internen Revision, z. B. im Rahmen von Anpassungsprozessen. Dies hat aus Sicht der Internen Revision ex ante-Charakter. Hierbei hat das Institut zu erheben, ob die Anpassung wesentlich oder unwesentlich ist. Im Rahmen wesentlicher Anpassungen ist die Beteiligung der Internen Revision obligatorisch. Diese Beteiligung der Internen Revision erfolgt unter Berücksichtigung der Aufgabenstellung der Internen Revision, damit z. B. ihre Unabhängigkeit nicht beeinträchtigt wird oder keine Interessenskonflikte entstehen. Auf Basis der MaRisk ergeben sich zusätzlich weitere Aktivitäten, die der Einbindung der Internen Revision, z. B. im Rahmen von Auslagerungen nach AT 9 der MaRisk, bedürfen. Diese in den MaRisk dargestellten Mindestanforderungen an eine Interne Revision auf Basis der MaRisk tragen dazu bei, dass die Interne Revision einen weitgehend angemessenen Überblick über aktuelle und künftige Aktivitäten im Risikomanagement erhält, um diese Erkenntnisse in ihren künftigen Prüfungsprozessen zu berücksichtigen. Diese vorausschauende Sicht kann auch dazu führen, dass die Risikobewertung der Internen Revision auf Basis des BT 2.3 Tz 2 der MaRisk eine unmittelbare Neubewertung für das Prüfungsfeld erfährt. Im Anschluss daran können eine Anpassung der Prüfungsplanung und eine zeitnahe Prüfung notwendig sein.

Anzumerken ist, dass neben der Beteiligung der Internen Revision als third line of defense auch die second line of defense im Rahmen vorgenannter Prozesse beteiligt wird. Dies betrifft insbesondere die Compliance- und Risikocontrolling-Funktion. Um die gegenseitigen Prozesse der second und third line zu stärken, ergeben sich untereinander auch Informations- und Berichtspflichten, z. B. im Rahmen von adhoc-Mitteilungen der Risikocontrolling-Funktion an die Interne Revision.

Vorgenannte Anforderungen betreffen die Ausprägungen der Risikomanagementsysteme in der Bank. Eine weitere Differenzierung und Erweiterung der relevanten Systeme in einer Bank kann im Rahmen eines Continuous Auditing-Ansatzes erfolgen, um aus Sicht der Internen Revision weitere „Verteidigungslinien” bzw. „Systeme” zu beteiligen. Insofern steht bei diesem Ansatz nicht das audit universe im Vordergrund.

Continuous Auditing auf Basis der relevanten Systeme

Nach Wikipedia (siehe genaue Definition https://de.wikipedia.org) wird als System allgemein eine Gesamtheit von Elementen bezeichnet, die miteinander verbunden sind und dadurch als eine aufgaben-, sinn- oder zweckgebundene Einheit angesehen werden können. Es stellt sich die Frage, welche Systeme aus Sicht der Internen Revision im Fokus einer ex ante-Betrachtung relevant sein können. Relevante Systeme sind das Risikomanagementsystem mit der Compliance- und Risikokontrolling-Funktion. In der neuen Leitlinie zur Internen Governance (EBA/GL/2017/11) wird von den Internen Kontrollfunktionen geschrieben. Diese sollten entsprechend der Leitlinie eine Risikomanagementfunktion, eine Compliance-Funktion und eine interne Revision umfassen. Diese Begrifflichkeiten lassen sich aber auch als Systeme auffassen, z. B. das Compliance(-Management)-System. Ein gängiger Begriff in diesem Zusammenhang ist bekanntlich das Interne Kontrollsystem entsprechend des AT 4.3 der MaRisk.

Zur Beurteilung des Systems ergibt sich die Annahme, dass nicht wirksame Systeme zu einer wesentlichen Belastung bestimmter Prozesse und somit der Risikotragfähigkeit führen könnten. Das inhärente Risiko ist insoweit hoch.

Nachfolgende Systeme werden hier gesehen:

  • Risikomanagementsystem
  • Internes Kontrollsystem (Kontrollrahmen nach SREP)
  • Informationssicherheitsmanagementsystem
  • Compliance Management-System
  • Datenschutz-Management-System
  • Tax-Compliance-System
  • Anti-FRAUD-Managementsystem
  • Geldwäsche-Management-System
  • Rechnungslegungssystem
  • Vertriebsmanagementsysteme

Im Fokus stehen nicht nur die wesentlichen Anpassungen der Systeme, also die „großen Schrauben”, die das System verändern, sondern auch die „kleinen Schrauben”, denn diese können in der Praxis wesentliche Auswirkungen haben. Auch die Schnittstellen der Systeme untereinander sind durch die Interne Revision zu würdigen. Auch nicht wesentliche Anpassungen der Systeme sollten somit zeitnah im Fokus der Betrachtungen der Internen Revision stehen (Erkenntnishorizont).

 SEMINARTIPP

Reduzierte Prüfungsrisiken für die Interne Revision durch SREP-basierte Prüfungsansätze, 07.11.2018, Hamburg.

 

Den Erkenntnishorizont betreffen u. a.:

  • Aufbau- und ablauforganisatorische Veränderungen
  • Anpassungen im Berichtswesen
  • Updates von Softwaresystemen, die genutzt werden (z. B. Releasemanagement, Parameteranpassungen)
  • sicherheitsrelevante Vorfälle (z. B. IT-Management, Zahlungsverkehrsvorfälle)
  • erkannte bedeutsame Schwachstellen aus der first line of defense innerhalb der Systeme (Eskalationen im Kontrollrahmen)
  • aufsichtsrechtliche oder gesetzliche Anpassungen innerhalb der Systeme auf nationaler und EU-Ebene (z. B. neue Guidelines, die sich in der Konsultation befinden)
  • Erkenntnisse aus Validierungen
  • Anpassungen in der Methodik.

Fazit

Erkenntnisse aus diesen Systemen sind im Continuous Auditing-Ansatz somit zu berücksichtigen. Anders ausgedrückt führt dieser Ansatz zu einer Art ex ante-Systemprüfungscheck außerhalb der ex post-Systemprüfung in den ex post-Prüfungen gemäß Prüfungsplanung. Im Rahmen dieser Vorgehensweise können die absehbaren Veränderungen, die im BT 2.3 Tz 2 der MaRisk (Risikobewertungsverfahren) angesprochen werden, umgesetzt werden. Insofern kann der Continuous Auditing-Ansatz als das System angesehen werden, das einen wesentlichen Teil der Umsetzung des BT 2.3 Tz 2 darstellt.

PRAXISTIPPS

  • Definieren Sie zu überwachende Systeme, die Sie in der ex ante-Betrachtung auf Veränderungen prüfen.
  • Nutzen Sie den Continuous Auditing-Ansatz, um die Anforderung des BT 2.3 Tz 2 der MaRisk zu erfüllen.

Neue MaRisk-/SREP-bezogene Aufsichtsgespräche

Hinweise zur Vorbereitung und Praxistipps aus Sicht einer Sparkasse

Frank Dehnke, Vorstandsvorsitzender der Stadtsparkasse Remscheid[1]

1. Motivation für diesen Beitrag

Aufsichtsgespräche an sich sind nicht neu, allerdings sind sie zunehmend ein Mittel für die laufende Aufsicht geworden, den aktuellen Stand in einem Institut zu hinterfragen und vor allem die Noten des Risikoprofils mit den Instituten zu erörtern. Doch wie bereitet man sich am besten auf ein solches Gespräch vor? Der vorliegende Aufsatz gibt erste Umsetzungshinweise aus Sicht eines Sparkassenvorstandes.

2. Ablauf eines Aufsichtsgespräches

Letztlich folgen die Gespräche immer einem strukturierten Ablauf, wie Abb. 1 zeigt.

Abbildung 1: Ablauf eines Aufsichtsgespräches

Im ersten Schritt erfolgt das Anschreiben der Aufsicht, in welchem eine umfassende Datenlieferung angefordert wird. Hier bietet es sich an, bei Unklarheiten im Vorfeld mit der Aufsicht zu sprechen: „Der Wurm muss schließlich dem Fisch schmecken und nicht dem Angler.“ Manchmal ist weniger hier mehr, wichtig ist, dass die Aufsicht die notwendigen Informationen in der richtigen Tiefe erhält.

Im Nachgang zur Datenlieferung gilt es, die Teilnehmer an einem solchen Aufsichtsgespräch zu bestimmen. Unser Haus ist gut damit gefahren, neben dem Gesamtvorstand auch den Leiter Risikocontrolling und den Leiter Revision hinzuzuziehen. Letztlich ist es so auch für die Aufsicht auch möglich, die Funktionsfähigkeit dieser nach MaRisk wesentlichen Funktionen und das Zusammenspiel der Führungsmannschaft zu prüfen.

 SEMINARTIPPS

11. Hamburger Bankenaufsicht-Tage, 05.–06.11.2018, Hamburg.

Neue SREP- und Meldewesen-basierte Aufsichtsgespräche 2019, 07.11.2018, Hamburg.

Vergleichende Bankenaufsicht: Identifizierung von „Ausreißer-Instituten“, 08.11.2018, Hamburg.

Im Gespräch selber gilt es, die Fragen der Aufsicht klar und präzise zu beantworten. Sollte trotz guter Vorbereitung eine Antwort nicht direkt erfolgen können, so ist es besser, diese nachzureichen, als sich im Gespräch, was durchaus 2–3 h dauern kann, um „Kopf und Kragen“ zu reden.

3. Risikoprofilnoten

Zum Schluss des Gespräches verkündet die Aufsicht im Rahmen eines strukturierten Bogens die Risikoprofilnoten und damit auch SREP-relevanten Aspekte. Abb. 2 zeigt die Struktur des Bogens und offeriert mögliche Fragen, die die Teilnehmer der Aufsicht stellen sollten, um Klarheit in den einzelnen Punkten zu erhalten.

Abbildung 2: Aufbau des Risikoprofilnotenbogens und Praxistipps

4. Fazit und Ausblick auf die Zukunft

Im Nachgang zum Gespräch bietet es sich an, die wesentlichen Inhalte auch für sich selbst zu protokollieren. Die Aufsicht übersendet nach 2–4 Wochen ebenfalls ein Schreiben, in welchem sie die wesentlichen Inhalte festhält. Es ist empfehlenswert, dieses Schreiben und auch den Ablauf des Gespräches mit dem Aufsichtsorgan zu diskutieren, um hier die nötige Transparenz walten zu lassen.

Zusammenfassend lässt sich sagen, dass Aufsichtsgespräche in Zukunft an Bedeutung gewinnen werden. Die bisher nur teilweise erfolgte Umsetzung des SREP wird in den nächsten Jahren fortschreiten – wenn die EZB nicht selbst entsprechende Verfahren europaweit ausrollt. Dies wird Auswirkungen auf die Aufsichtsgespräche der Institute haben. Die Wechselwirkungen zu neuen RTF-Konzepten und „Fit & Proper“-Anforderungen an Geschäftsleiter sind heute noch nicht vollumfänglich absehbar, Verschärfungen sind hier aber zu erwarten.

Fakt ist: Es wird ambitionierter und aufwendiger – allerdings bietet ein Aufsichtsgespräch immer die Möglichkeit, das Institut gut zu repräsentieren und Dinge auch aus Sicht eines Geschäftsleiters klarzustellen.

PRAXISTIPPS

  • Planen Sie genug Zeit für die Datenbereitstellung ein.
  • Pflegen Sie den direkten Kontakt zur laufenden Aufsicht.
  • Zentraler Punkt ist die Geschäftsmodellanalyse – bereiten Sie sich hier auf wichtige Fragen zu den „Achillesfersen“ Ihrer Kapitalplanung vor.
  • Ergebnisse der NZU als Vergleich helfen, mögliche Fragen der Aufsicht zu erkennen.
  • Kontaktieren Sie auch hier aktiv die laufende Aufsicht, um hier für beide Seiten einen optimalen Prozess zu gestalten.
  • Datenlieferung per sicherer E-Mail zu bevorzugen.
  • Sichten Sie auch andere Meldungen, um zu wissen, was die Aufsicht an Daten vorliegen hat.
  • Beantworten Sie Fragen klar und präzise – zu weitschweifige Ausführungen, die den Kern der Frage nicht treffen, sind eher kontraproduktiv.
  • Beurteilen Sie vorher für sich: Ist mein Geschäftsmodell tragbar? Welche Schwachstellen hat es?
  • Die Möglichkeit der Nachlieferung von Informationen ist immer vorhanden.
  • Reichen Sie Fragen ein – oft bekommen Sie hier eine konkrete Antwort!
  1. Dieser Beitrag stellt die persönliche Meinung des Verfassers dar, die nicht notwendigerweise mit der der Stadtsparkasse Remscheid übereinstimmen muss.

 

Aufsichtsrat in Finanzinstituten – Aufsichtsrat in sonstigen Gesellschaften: Unterschiede?

Dr. Gunter Dunkel, ehem. Vorstandsvorsitzender der Norddeutsche Landesbank Girozentrale (Nord/LB), ehem. Präsident des Bundesverband Öffentlicher Banken Deutschlands (VOEB)

Aufhebungsverträge

Tobias Grambow, Rechtsanwalt und Fachanwalt für Arbeitsrecht, Buse Heberer Fromm Rechtsanwälte Steuerberater PartG mbB

Auch im Bankensektor stellen Aufhebungsverträge eine Alternative zu Kündigungen dar. Ein paar wichtige Punkte sollten dabei unbedingt geregelt werden.

Freistellung

Regelmäßig von hoher Relevanz ist die Frage, ob der Arbeitnehmer bis zur tatsächlichen Beendigung des Arbeitsverhältnisses weiterarbeiten soll, oder eine Freistellung erfolgt. Da aber der Arbeitgeber nicht noch zusätzlich Urlaub abgelten möchte, gleichwohl aber gegebenenfalls in der Freistellung anderweitig erzielten Erwerb anrechnen, gleichzeitig jedoch nicht auf das vertragliche Konkurrenzverbot verzichten möchte, bedarf es einer durchdachten und ausführlichen Regelung zum Thema Freistellung.

Im Aufhebungsvertrag sollte daher stets klargestellt werden, dass anderweitiger Erwerb vollständig auf die während der Freistellung weiterhin gewährte Vergütung angerechnet wird. Aber auch dabei ist Vorsicht geboten. Regelt die Freistellungsvereinbarung nämlich nur, dass anderweitiger Erwerb anzurechnen ist, kann darin ein Verzicht des Arbeitgebers auf die Einhaltung des Konkurrenzverbots während der Freistellung liegen, so jedenfalls das BAG. Es sollte also auch klargestellt werden, ob während der Freistellung das Konkurrenzverbot weiterhin gelten soll oder der Arbeitgeber darauf verzichtet. Eine pauschale Anrechnung der Freistellung auf Urlaubsansprüche ist allerdings in Kombination mit einer Klausel zur Anrechnung anderweitigen Erwerbs nicht zulässig. Der Urlaub muss konkret gewährt werden, zum Beispiel der Freistellung vorangestellt.

Formulierungsvorschlag:

Der Arbeitgeber gewährt dem Arbeitnehmer hiermit antragsgemäß den ihm noch zustehenden Erholungsurlaub beginnend ab dem … Sollte die Gewährung von Erholungsurlaub ab dem … nicht möglich sein, wird der Erholungsurlaub ab dem Zeitpunkt des Wegfalls des Hinderungsgrundes gewährt. Im Anschluss an den gewährten Erholungsurlaub wird der Arbeitnehmer unter Fortzahlung der Vergütung bis zum Beendigungstag von der Erbringung seiner Arbeitsleistung freigestellt.

Vom Arbeitnehmer während der Freistellung durch anderweitige Verwendung seiner Arbeitskraft erzielter Erwerb ist vollständig auf den Vergütungsanspruch anzurechnen. Überzahlte Vergütung ist vom Arbeitnehmer zurückzuzahlen; die Einrede der Entreicherung ist ausgeschlossen. Der Arbeitnehmer ist verpflichtet, unaufgefordert bzw. auf Nachfrage des Arbeitgebers ordnungsgemäße Auskunft über anderweitig erzielen Erwerb gemäß Satz 1 zu erteilen. Die Ausübung einer Konkurrenztätigkeit durch den Arbeitnehmer während der Freistellung ist nicht gestattet.

Abfindung

Aufhebungsverträge ohne Abfindung sind in der Praxis die absolute Ausnahme und kommen faktisch nur vor, wenn das Arbeitsverhältnis auf Wunsch des Arbeitnehmers endet oder Hintergrund eine erhebliche Pflichtverletzung des Arbeitnehmers ist. Einen gesetzlichen Anspruch auf eine Abfindung in einem Aufhebungsvertrag gibt es nicht. Tarifverträge können aber abstrakte Regelungen zur Abfindungshöhe enthalten. Zu nennen wäre hier beispielsweise das Rationalisierungsschutzabkommen (RSA) für Beschäftigte privater Banken. Ferner sind Sozialpläne etc. zu beachten. Außerhalb solcher tariflichen oder betrieblichen Regelungen hat sich die (unverbindliche) Formel etabliert:

0,5 x Bruttomonatsgehalt x Beschäftigungsjahr.

Formulierungsvorschlag:

Der Arbeitgeber zahlt an den Arbeitnehmer als Ausgleich für den Verlust seines Arbeitsplatzes eine Abfindung entsprechend §§ 9, 10 KSchG in Höhe von … € brutto. Die Abfindung ist fällig zum letzten Werktag des Monats, in dem das Arbeitsverhältnis tatsächlich endet. Der Anspruch auf die Abfindung ist bereits entstanden und vererblich.

Abfindungen unterliegen der Lohnsteuer sind aber sozialversicherungsbeitragsfrei.

Ausgleichklausel

Wichtig ist auch, dass nach Abschluss des Aufhebungsvertrags weitere, nicht geregelte Ansprüche geltend gemacht werden können. Es sollte daher eine Ausgleichsklausel aufgenommen werden. Diese betrifft aber Ansprüche beider Seiten. Auf Ansprüche aus einem normativ geltenden Tarifvertrag oder einer Betriebsvereinbarung (einschließlich Sozialplan) kann ein Arbeitnehmer ohne Zustimmung der Gewerkschaft bzw. des Betriebsrats aber nicht verzichten. Ferner werden unverfallbare Anwartschaften auf betriebliche Altersversorgung und Ansprüche bis zur Höhe des gesetzlichen Mindestlohns nicht erfasst. Gleichwohl sollten aber Ansprüche aus betrieblicher Altersversorgung mit einer ausdrücklichen Regelung bedacht werden.

Formulierungsvorschlag:

Mit Erfüllung der oben stehenden Verpflichtungen sind sämtliche Ansprüche der Parteien gegen einander aus dem Arbeitsverhältnis und dessen Beendigung, soweit sie nicht auf einer unerlaubten Handlung beruhen, ausgeglichen.

PRAXISTIPPS

  • Der Aufhebungsvertrag und sein Inhalt sollten gut überlegt und durchdacht werden.
  • Vorrangig geltende Tarifverträge und Betriebsvereinbarungen (inkl. Sozialpläne) müssen berücksichtigt werden.
  • Für Arbeitnehmer relevant ist die Gefahr einer Sperrzeit und eines Ruhens des Arbeitslosengeldanspruchs. Hierüber muss er sich regelmäßig selbst informieren.

(Effiziente) Dokumentation von MaRisk-Öffnungsklauseln

Endphase der Umsetzung der neuen MaRisk 6.0

Andreas Richter, Bereichsleiter Innenrevision, VR Bank Enz plus eG

Bis 31.10.2018 sind neue MaRisk-Anforderungen umzusetzen. Der größte Aufwand besteht sicherlich darin, die Umsetzung der einzelnen MaRisk-Anforderungen aufzuarbeiten und zu entscheiden. Weiterer Aufwand besteht jedoch nachhaltig in der Dokumentation der Nutzung der Öffnungsklauseln und es gibt keinen besseren Zeitpunkt als aktuell, diese Nutzung effizient zu dokumentieren. Welche Effizienz kann hierbei gehoben werden? Welche Anforderung besteht überhaupt an die Dokumentation der Öffnungsklauseln?

  1. Es gibt keine aufsichtsrechtliche Anforderung, dass ein zentrales Verzeichnis aller genutzten Öffnungsklauseln vorgehalten wird (AT 1 Tz 5 und AT 6 Tz 2).
  2. Jedoch ist es erforderlich, dass in einer Arbeitsanweisung klar geregelt ist, wie die Bank eine MaRisk-Anforderung umsetzt (eine Öffnungsklausel nutzt), inwiefern sie also eine nach dem Proportionalitätsprinzip (AT 1 Tz 2 und 3) angemessene Umsetzung vorgenommen hat.
  3. In einer separaten Dokumentation sollte die Herleitung der Angemessenheit der Umsetzung einer MaRisk-Anforderung (Nutzung Öffnungsklausel) nachvollzogen werden können.
  4. Separat deshalb, weil es effizient ist, die Adressaten einer Arbeitsanweisung gezielt (nur) mit den notwendigsten Informationen zu versorgen statt zusätzlich mit der Herleitung z. B. der Risikorelevanzgrenze (BTO 1.1 Tz 4) oder der Herleitung und Begründung, weshalb die Bank kein zentrales Auslagerungsmanagement vorhält (AT 9 Tz 12) und daher keinen ausführlichen Jahresbericht erstellt sondern z. B. nur einen Überblick der Qualität der erbrachten Dienstleistungen und der Erfüllung der Überwachung in einer Ampelsystematik (AT 9 Tz 13).
  5. Die separate Dokumentation der Herleitung einer Öffnungsklausel hat außerdem den Vorteil, dass deren regelmäßige (z. B. jährliche) Überprüfung unabhängig von einer Aktualisierung der Arbeitsanweisung erfolgen kann. Die Arbeitsanweisung für sich bleibt für die Anwender unverändert, vorausgesetzt, die Anwendung der Öffnungsklausel bleibt unverändert.
  6. Die z. B. mindestens jährlich erforderliche Überprüfung der Risikorelevanzgrenze oder der Kriterien für die Risikofrüherkennung nach (BT 1.2.4 Tz 1) dürfte sich im Detail mit Datenanalysen beschäftigen. Außerdem dürften Dateianhänge mit Tabellenkalkulationen erforderlich sein, um Grundgesamtheiten und Trennschärfen zu dokumentieren. Solche Details wären in einer Arbeitsanweisung nicht zielführend.
  7. Die Effizienz kann noch verbessert werden, wenn in einer weiteren Dokumentation fortlaufend die Nutzung der Öffnungsklauseln explizit begründet ist. Zur Abgrenzung:

7.1. Adressat einer Arbeitsanweisung sind die Mitarbeiter, die am Prozess beteiligt sind. Hier steht die Klarheit von Zuständigkeiten, die Beschreibung von Kontrollhandlungen usw. im Vordergrund. Die Nutzung einer Öffnungsklausel ergibt sich in der Arbeitsanweisung quasi zwischen den Zeilen.

7.2. In einer weiteren Dokumentation, der Herleitung der Nutzung der einzelnen Öffnungsklausel, steht als Adressat das Risikomanagement im Vordergrund. Hier sind z. B. die (neuen) Anforderungen an die Risikokultur relevant. D.h. das Risikomanagement muss die Nutzung von Öffnungsklauseln im Quervergleich der Prozesse der Bank nachvollziehen können.

7.3. Auch wenn – wie eingangs erwähnt – von der Aufsicht kein Gesamtwerk von genutzten Öffnungsklauseln gefordert wird, ist es betriebswirtschaftlich mit einem hohen Mehrwert verbunden (Effizienz), wenn zumindest die wesentlichen Öffnungsklauseln zentral in einer Übersicht verfügbar sind. Denn banktypisch sind für die verschiedenen Prozesse unterschiedliche Fachbereiche (und Ressort-Vorstände) für die Nutzung der Öffnungsklauseln verantwortlich. Wie soll ohne Übersicht ansonsten …

=> die Angemessenheit der jeweiligen Nutzung beurteilt werden können, wenn es keine Verbindung zwischen den einzelnen Öffnungsklauseln gibt?
=> entsprechend das betriebswirtschaftliche Potential sichergestellt werden können?

=> ein näherungsweise gleichgelagerter Umgang mit inhärenten Risiken und Kontrollrisiken auf Gesamtbankebene gewährleistet werden?

SEMINARTIPPS

 Prüfungsvorbereitende Dokumentation von MaRisk-Öffnungsklauseln, 08.10.2018, Berlin.

Prüfung § 18/18a KWG- & Bonitätsanalyse-Prozesse, 09.10.2018, Berlin.

Überprüfung der Wertpapier-Sachkunde durch Vor-Ort-Prüfungen von Aufsicht, Compliance & Revision, 10.10.2018, Berlin.

Methodisch ist für ein solches Gesamtwerk eine einheitliche Verwendung einer Tabelle zu empfehlen. Deren Bestandteile (Spalten) können sein:

  • Textziffer der MaRisk.
  • Beschreibung der Anforderung in wenigen Worten.
  • Beschreibung des betriebswirtschaftlichen Potentials, gegebenenfalls mit Schätzung des Einsparpotentials in EUR.
  • Auslegung der Öffnungsklausel.
  • Verantwortlicher Bereich.
  • Verweis, in welcher/welchen Arbeitsanweisung(en) die Umsetzung geregelt ist.
  • Verweis auf die Quelle der Herleitung der Nutzung der Öffnungsklausel.
  • Datum der letzten Überprüfung der Öffnungsklauseln durch den Fachbereich.
  • Datum und Ergebnis der letzten Prüfung durch a) Interne Revision und b) externe Revision im zugehörigen Prozess.
  • Verweis auf externe Quellen, wie z. B. Verbandsrundschreiben.

PRAXISTIPPS

  • Interne Revision: Nehmen Sie die Nutzung der Öffnungsklauseln als festen Bestandteil in Ihre Prüfungsberichte auf. Tragen Sie dadurch Ihren Beitrag zur Risikokultur bei. Nehmen Sie Bezug zu Ihrer Risikobeurteilung des Prüffelds. Stellen Sie eine Verbindung zwischen der Bewertung des inhärenten Risikos des zu prüfenden Prozesses und des Umfangs der Nutzung der Öffnungsklausel her. Erzielen Sie hierdurch die Beurteilung der Angemessenheit Fach-übergreifend und damit einen Steuerungsimpuls.
  • Interne Revision: Moderieren Sie zwischen den Fachbereichen die Dokumentation der Herleitung der Öffnungsklauseln. Heben Sie die Effizienz, indem die beste Lösung der Dokumentation von anderen Fachbereichen von der Grundlogik und vom Umfang her übernommen wird.
  • Zuständiger Fachbereich: Kommunizieren Sie die Dokumentation der Herleitung offen mit der externen Revision und erhalten Sie hierdurch ggf. neue Impulse von externer Stelle.