Compliance und Überwachung in Banken

I Inhaltsverzeichnis

II Abkürzungsverzeichnis

III Abbildungsverzeichnis

1. Zielsetzung und Einordnung in das gesamte Seminarthema

2. Begriffliche Abgrenzungen
2.1 Der qualitative Ansatz
2.2 Der quantitative Ansatz

3. Qualitative Überwachung
3.1 Überwachung durch die Geschäftsleitung
3.1.1 Einbeziehung der Geschäftsleitung in das Risikomanagement
3.1.1.1 Internationale Institutionen
3.1.1.2 Nationale Gesetzgeber und deutsches Schrifttum
3.1.2 Unmittelbare Pflichten der Geschäftsleitung
3.2 Überwachung durch die interne Revision
3.2.1 Überwachung des Risikomanagementsystems
3.3 Überwachung durch das Aufsichtsorgan
3.4 Überwachung durch die Aufsichtsbehörden
3.4.1 Internationale Initiativen
3.5 Überwachung durch den Abschlussprüfer
3.5.1 Handelsrechtliche und bankrechtliche Prüfungspflichten
3.6 Überwachung durch Investoren, Einleger und Rating-Agenturen

4. Quantitative Überwachung
4.1 Pflichten der Geschäftsleitung bei der Quantifizierung operationeller Risiken
4.1.1 Offenlegung quantitativer Daten
4.2 Pflicht der internen Revision zur Prüfung der Quantifizierungsmethoden
4.3 Pflichten des Aufsichtsorgans bei der Quantifizierung operationeller Risiken
4.4 Pflicht der Aufsichtsinstanzen zur Überprüfung der Quantifizierungs-methoden
4.5 Pflichten des Abschlussprüfers zur Prüfung der Quantifizierungs-methoden
4.6 Beurteilung durch Investoren, Einleger und Rating-Agenturen

5. Fazit und Ausblick

IV. Literaturverzeichnis

II Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

III Abbildungsverzeichnis

Abbildung 1: Internal Control-Pyramide nach COSO

Abbildung 2: Das interne Kontrollsystem nach IDW PS 261

Abbildung 3: Prüfungsfelder der internen Revision im Zusammenhang mit den Mak/MaRisk von Kunze

Abbildung 4: Ablauf der Systemprüfung des risikoorientierten Prüfungsansatzes von Marten u.a

1. Zielsetzung und Einordnung in das gesamte Seminarthema

Ziel des vorliegenden Teiles der Gesamtarbeit ist die Analyse der qualitativen und quantitativen Überwachungsmaßnahmen in Banken. Dabei soll während der gesamten Ausarbeitung darauf eingegangen werden, welche spezifischen Aufgaben und Pflichten sich für die einzelnen Überwachungsträger im weitesten Sinne ergeben. Darüber hinaus stellt sich die Frage in welchem Verhältnis qualitative und quantitative Regelungen bzw. Überwachungsmaßnahmen zueinander stehen. Schließlich soll eine kritische Reflektion dieser Ausarbeitung vorgenommen werden und eine Überleitung zur Finanzmarktkrise inklusive Ausblick gefunden werden.

2. Begriffliche Abgrenzungen

In der Bankenpraxis gibt es verschiedene Methoden und Instrumente für einen wirkungsvollen Umgang mit operationellen Risiken. Grundsätzlich kann hier zwischen zwei idealtypischen Ansätzen differenziert werden, die im Kern gegensätzliche Auffassungen zum Umgang mit operationellen Risiken repräsentieren.^[1] „Der erste Ansatz ist der des quantitativ orientierten ’calculative idealism’ und der zweite ist der des qualitativ orientierten ’calculative pragmatism’. “^[2]

2.1 Der qualitative Ansatz

Bei dieser Methode verlangt das Management operationeller Risiken einen vielfältigen Ansatz, der Kotroll- und Prüfungselemente sowie Erkenntnisse des Organisations-, Prozess- und Personalmanagements vereint. Dabei wird die Messung operationeller Risiken (quantitativer Ansatz) mit Hilfe statistischer Verfahren lediglich als Hilfsmittel angesehen, um bestimmte Problempunkte zu steuern.^[3] Nach Auffassung der Befürworter des qualitativen Ansatzes hat die Organisation interner Überwachungssysteme Priorität vor der Quantifizierung zur Ermittlung der Höhe des Kapitalflusses. Somit gibt es beträchtliche Bedenken gegen die quantitativ orientierte Kapitalunterlegung, die nach Basel II ersichtlich konzeptionell dominiert.^[4]

2.2 Der quantitative Ansatz

Bei dieser Methode geht es um die Messung operationeller Risiken. Dabei wird das Ziel verfolgt, auf Basis von Verlustverteilungen eine realistische Abschätzung der Kosten und um Verluste aus operationellen Risiken abzufedern, das tatsächlich erforderliche ökonomische Kapital zu erhalten. Dabei wird überwiegend auf Messverfahren wie Value at Risk zurückgegriffen, die ursprünglich für die Messung von Marktrisiken entwickelt wurden. Nachteil des quantitativen Verfahrens ist eine begrenzte einseitige Sicht auf operationelle Risiken. Es geht hierbei primär um die Robustheit und Zuverlässigkeit der verwendeten Daten.^[5]

3. Qualitative Überwachung

3.1 Überwachung durch die Geschäftsleitung

„Alle Geschäftsleiter (§1 Abs. 2 KWG) sind, unabhängig von der internen Zuständigkeitsregelung, für die ordnungsmäßige Geschäftsorganisation verantwortlich. Diese Verantwortung bezieht sich unter Berücksichtigung ausgelagerter Aktivitäten und Prozesse auf alle wesentlichen Elemente des Risikomanagements.“^[6] Somit ist die Geschäftsleitung für die Einrichtung eines angemessenen Risikomanagements verantwortlich. Das wurde bereits in den Mak, den MaH und den MaIR betont und ergibt sich unmittelbar aus § 25a Abs. 1 KWG. Darüber hinaus ist es im Aktienrecht, §76 Abs. 1 AktG verankert.^[7]

3.1.1 Einbeziehung der Geschäftsleitung in das Risikomanagement

Die Integration der Geschäftsführung in das Risikomanagementsystem kann von der Größe der Unternehmung sowie von der Art und dem Umfang der Geschäftstätigkeit ausgeprägt sein. Bei größeren Unternehmen kann im Gegensatz zu kleinerem Unternehmungen, der Geschäftsleiter keine vertieften Einblicke in alle Ressortbereiche verschaffen. In solchen Fällen behilft man sich der Spezialisierung, die eine ausgeprägte Arbeitsteilung in der Geschäftsleitung mit sich bringt.^[8]

3.1.1.1 Internationale Institutionen

Das Committee of Sponsoring Organizations of the Treadway Commission (COSO) ist eine aus den USA kommende Organisation, die weltweit von großer Bedeutung für die Entwicklung von Konzepten zur Unternehmensüberwachung ist. Ihr Ziel ist es nach Möglichkeiten zu suchen, um die interne Überwachung von Unternehmen verbessern und deren Wirksamkeit besser überprüfen zu können.^[9]

Das Systemverständnis von Internal Control Management nach COSO

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Internal Control-Pyramide nach COSO^[10]

In der Abbildung 1 sind fünf „Internal Control- Components“ dargestellt. Das Kontrollumfeld als Fundament beinhaltet das Risikobewusstsein der Geschäftsführung und gibt die Struktur des Überwachungssystems vor. Die „Risikobeurteilung“ soll interne als auch externe Risikoquellen filtrieren. Das „Interne Kontrollsystem“ (IKS) gilt als die Voraussetzung für die Risikobeurteilung. Dabei sind gute „Informations- und Kommunikationssysteme“ erforderlich. Das „Monitoring“ als Rahmen überwacht laufend die Qualität der Internal Control und muss ggf. an ein verändertes Umfeld angepasst werden.

„Unter einem internen Kontrollsystem werden die von dem Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die auf die organisatorische Umsetzung der Entscheidungen des Managements gerichtet sind.

Das interne Kontrollsystem besteht aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem). Das interne Überwachungssystem beinhaltet prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) und prozessunabhängige Überwachungsmaßnahmen, die vor allem von der Internen Revision durchgeführt werden.“^[11]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Das interne Kontrollsystem nach IDW PS 261^[12]

Framework for Internal Control Systems in Banking Organisations des Baseler Ausschusses

Dabei handelt es sich um explizite Anforderungen an die Ausgestaltung der internen Überwachung der Kreditinstitute durch den Baseler Ausschuss. Das Ziel ist es, latent vorhandene Lücken in den Organisations- und Überwachungsstrukturen der Banken zu identifizieren und ggf. zu schließen. Die Grundsätze sind an diejenigen des COSO angelehnt, die in fünf Kategorien gegliedert sind und die Elemente der internen Überwachung reflektieren.

Die fünf Regelungsbereiche lauten: Verantwortung der Geschäftsleitung und Kontrollumfeld, Risikoerkennung und Einschätzung, Kontrollmaßnahmen und Aufgabentrennung, Information und Kommunikation sowie Überwachung und Mängelbehebung.^[13]

3.1.1.2 Nationale Gesetzgeber und deutsches Schrifttum

In den letzten Jahren sind durch die Neufassung und Konkretisierung einschlägiger Gesetzesvorschriften Systempflichten für die interne Überwachung deutscher Banken im nationalen Recht durch den deutschen Gesetzgeber und die BaFin verankert worden. Dabei sind für Banken zwei Entwicklungsströme von Bedeutung. Zum einen die allgemeinen Reformen des Handels- und Gesellschaftsrechts, zum anderen die spezifischen Fortentwicklungen des Bankenaufsichtsrechts. Konkretisiert wird dieses Vorhaben im § 91 Abs. 2 AktG, das im Zuge der Umsetzung des KonTraG betont worden ist.^[14] Darüber hinaus wurden von der BaFin isoliert nebeneinander stehende Schreiben und Anordnungen hinsichtlich der organisatorischen Pflichten von Kreditinstituten erlassen, um operationellen Risiken in Kreditinstituten entgegen zu wirken.^[15]

3.1.2 Unmittelbare Pflichten der Geschäftsleitung

Folgende Anforderungen sollen die Geschäftsleiter in die Lage versetzen ihrer Verantwortung für das Risikomanagementsystem gerecht zu werden:^[16]

- Zur Beurteilung der Wesentlichkeit muss sich die Geschäftsleitung einen Überblick über das Gesamtrisikoprofil des Institutes verschaffen
- Es ist eine Geschäftsstrategie und dazu eine konsistente Risikostrategie festzulegen. Darüber hinaus muss die Geschäftsleitung gewährleisten, dass die Strategien umgesetzt werden und mindestens jährlich überprüft werden
- Die Geschäftsleitung muss sich in adäquaten Abständen über die Risikosituation und für die im Rahmen der Risikotragfähigkeit berücksichtigten Risiken regelmäßig angemessene Szenariobetrachtungen anzustellen
- Das Aufsichtsorgan muss quartalsmäßig in angemessener Weise schriftlich von der Geschäftsleitung über die Risikosituation unterrichtet werden
- Die interne Revision muss über Weisungen und Beschlüsse die sie betreffen, zur Kenntnis gebracht werden
- Risikorelevante Kredite müssen bei kleinen Instituten von der Geschäftsleitung selbst freigegeben werden

3.2 Überwachung durch die interne Revision

Die Interne Revision wird als ein Teil des unternehmensinternen Überwachungsprozesses dargestellt. Dieser Überwachungsprozess setzt sich aus den Komponenten Prüfung, Revision und Kontrolle zusammen.^[17] Sie prüft und beurteilt als unabhängige Instanz im Auftrag von der Geschäftsleitung vor allem die Wirksamkeit und Angemessenheit wesentlicher Elemente des Risikomanagements.^[18]

3.2.1 Überwachung des Risikomanagementsystems

Die Anforderungen des Gesetzgebers und der Bankenaufsicht verpflichten die Interne Revision auf die Fokussierung von Systemprüfungen. Dieses Vorhaben dient dem Zweck der Systemverbesserung.^[19] Eine Systemprüfung stellt im Gegenteil zu einer Einzelfallprüfung auf die Einhaltung bestimmter aus dem Systemziel abgeleiteter Grundsätze ab.^[20] Dabei geht es um die Untersuchung von Zusammenhängen und Gesamtwirkungen von Verfahren im Hinblick auf deren Eignung, die den Unternehmenszielen dienen.^[21] Die Aufgabe der Internen Revision ist das Unternehmen bei der Realisierung seiner Ziele durch eine systematische und zielgerichtete Bewertung der Effektivität des Risikomanagements - inklusive aller Kontrollen sowie Führungs- und Überwachungsprozesse zu unterstützen und bei deren Verbesserung mitzuwirken.^[22] Auf der Grundlage des risikoorientierten Prüfungsansatzes erstreckt sich die Prüfungstätigkeit der Internen Revision ab.^[23] Dabei bezieht sich die Systemprüfung auf die Ordnungsmäßigkeit, Funktionsfähigkeit, Zweckmäßigkeit und Wirtschaftlichkeit des Risikomanagementsystems einer Bank. Im Zuge dessen gliedert sich das Vorgehen einer Systemprüfung in folgende Schritte: Systemerfassung, Systemanalyse (Aufbauprüfung) und Systemtest (Funktionsprüfung).^[24] Im ersten Schritt werden das Unternehmensumfeld, die Merkmale des Unternehmens und die Ziele und Strategien des Unternehmens untersucht.^[25] In der Systemanalyse ist das ‘Bank-Soll’ mit den gesetzlichen Vorgaben und Rahmenbedingungen zu vergleichen (Soll-Soll-Vergleich). Schlussendlich wird durch einen Systemtest die Übereinstimmung des tatsächlich vorgefundenen Ist-Zustands mit der Systemkonzeption bestätigt (Soll-Ist-Vergleich).^[26] Aus den Mindestanforderungen an das Kredit- und Handelsgeschäft sowie aus Basel II und Grundsatz I KWG ergeben sich detaillierte bankaufsichtliche Bestimmungen hinsichtlich einzelner Prüffelder.^[27]

[...]

^[1] Vgl. Power (2003), S.14f. und Hoffmann (2002), S. 42

^[2] Kunze (2006), S. 6

^[3] Vgl. Marshall (2001), S. 26f.

^[4] Vgl. Cagan (2001), S. 2

^[5] Vgl. Kunze (2006), S. 6

^[6] BaFin (2007), URL siehe Literaturverzeichnis

^[7] Vgl. Hannemann u.a. (2008), S. 119

^[8] Vgl. ebenda

^[9] Vgl. Kunze (2006), S. 108f.

^[10] Quelle: in Anlehnung an. COSO (1994), S. 17

^[11] IDW PS 261 (2006) Tz. 19f.

^[12] Quelle: in Anlehnung an Marten u.a. (2007), S. 270

^[13] Vgl. Kunze (2006), S. 115

^[14] Vgl. ebenda, S. 121f.

^[15] Vgl. ebenda, S. 133

^[16] Vgl. Hannemann u.a. (2008), S. 120f.

^[17] Vgl. Knapp (2005), S. 29

^[18] Vgl. Hannemann u.a. (2008), S. 125

^[19] Vgl. Lück (2001b), S. 212

^[20] Vgl. Leffson (1992), Sp.1927

^[21] Vgl. Lück (2001a), S.145 und Heinold u.a. (2002), S.1218 ff

^[22] Vgl. IIR (2002), S.2

^[23] Vgl. Hannemann u.a. (2008), S. 647.

^[24] Vgl. Kunze (2006), S. 193

^[25] Vgl. IDW (2006), PS 261, Tz. 8ff.

^[26] Vgl. Kunze (2006), S. 193

^[27] Vgl. ebenda, S. 197