Die Vielzahl komplexer neuer Regularien wie u. a. Neue MaRisk, MiFID II, BAIT sowie die steigende Zahl der Dokumentationsanforderungen der Aufsicht in allen Fach- und Stabsbereichen haben zu einem unübersichtlichen Anweisungswesen geführt. Im Ergebnis können Arbeitsanweisungen kaum noch aktuell gehalten werden und sind von den Mitarbeitern nicht mehr „lebbar“. Die § 44 KWG-Sonderprüfungen offenbaren immer wieder erheblichen Prüfungsrisiken, sie berührt direkt die Geschäftsleitung gemäß § 25a KWG.
Zusätzliche Schwierigkeiten bestehen darin, dass die Umsetzung vieler neuer Vorgaben:
- zunehmend vernetzt zu erfolgt und
- zahlreiche Schnittstellen zu berücksichtigen hat (z. B. Datenqualitätsanforderungen);
- dass sie an das Vorhandensein einer institutsweiten Prozesslandkarte bzw. eines funktionierenden Prozessmanagements geknüpft ist sowie
- dass das alle Häuser umtreibende Thema Kostensenkung/Effizienzgewinne ohne eine Prozesskostentransparenz systematisch zielführend nicht möglich ist.
Weitreichende Anforderungen an die Personalausstattung und Sachkunde (Fit & Proper) konterkarieren die Kostensenkungsmaßnahmen, weshalb Auslagerungen nach wie vor einen hohen Stellenwert haben. Bei Auslagerungen sind jedoch zentrale Vorschriften des KWG und deutlich erweiterte operative Vorgaben in den neuen MaRisk zu beachten – insbesondere, dass die Gesamtverantwortung für sachgerechte Kontrollen immer beim auslagernden Institut verbleibt. Risiken und Schwachstellen sind frühzeitig durch entsprechende IKS-Kontrollen und Prüfungsmaßnahmen aufzudecken. Dabei stehen die Risikoanalysen sowie die organisatorische Umsetzung der Dienstleistersteuerung zunehmend im Fokus von Sonderprüfungen der Aufsicht.
Banken müssen über ein sachgerechtes Notfallkonzept (technisch und organisatorisch) sowie daraus resultierende stringente Notfallprozesse verfügen (AT 7.3). Geschäftsunterbrechungen können Institute wirtschaftlich und aufsichtsrechtlich empfindlich treffen. Festgelegte Maßnahmen müssen gewährleisten, das Schadensausmaß und die Geschäftsunterbrechungen zu einem Minimum zu reduzieren (BCM). Die Wirksamkeit und damit die Aktualität des Notfallkonzeptes müssen regelmäßig und sachgerecht überprüft werden und sich nicht nur auf die IT-bezogenen Aspekte konzentrieren.
Ich wünsche Ihnen viel Spaß beim durchstöbern unserer Themenwolke Organisation.
Sascha Sychov, Bereichsleiter Digitalisierung und IT, Finanz Colloquium Heidelberg