Ein Best-Practice-Modell für Banken-Compliance

Strengere Compliance-Vorschriften stellen Finanzinstitute in vielerlei Hinsicht vor Herausforderungen. Doch diejenigen, die sich am besten anpassen, können einen deutlichen Wettbewerbsvorteil genießen.

Compliance-Risiken sind für Führungskräfte von Finanzinstituten zu einer der größten Sorgen geworden. Seit 2009 sind die Regulierungsgebühren im Verhältnis zu den Erträgen und Kreditverlusten der Banken dramatisch gestiegen. Darüber hinaus erweitert sich der Umfang des Regulierungsschwerpunkts weiter. Die Hypothekenverwaltung war eine Lernmöglichkeit für die US-Aufsichtsbehörden, die nach der Krise zu einer immer strengeren Kontrolle in vielen anderen Bereichen führte (z. B. Hypothekenabwicklung, Einlagen und Karten). Es tauchen immer wieder neue Themen auf, wie zum Beispiel Verhaltensrisiken, das Bankgeheimnisgesetz der nächsten Generation und das Risiko der Geldwäschebekämpfung (BSA/AML), Risikokultur sowie das Risiko Dritter und Vierter (d. h. Subunternehmer) und andere. Auch wenn viel Arbeit geleistet wurde, um auf den unmittelbaren Druck zu reagieren, benötigt die Branche eine strukturellere Antwort, die es den Banken ermöglicht, ihre Risiko- und Kontrollrahmen effektiv und effizient weiterzuentwickeln, um sie im Laufe der Zeit robuster und nachhaltiger zu machen.


Das traditionelle Compliance-Modell wurde in einer anderen Zeit und mit einem anderen Zweck entwickelt, hauptsächlich als Durchsetzungsinstrument für die Rechtsfunktion. Früher erließen Compliance-Organisationen Vorschriften und interne Bankrichtlinien weitgehend in beratender Funktion und konzentrierten sich nur begrenzt auf die tatsächliche Risikoerkennung und -steuerung. Allerdings bietet dieses Modell ein begrenztes Verständnis der Geschäftsabläufe und der zugrunde liegenden Risikoexpositionen sowie der praktischen Umsetzung regulatorischer Anforderungen in Managementmaßnahmen. Selbst wenn ein Compliance-Testprogramm eingerichtet wurde, lehnte es sich häufig stark an das Operational-Risk-Playbook des späten 20. Jahrhunderts an, indem es einen Bottom-up-, subjektiven Prozess der Kontrolltests gegenüber einer objektiveren, risikobasierten Überwachung wesentlicher Restrisiken betonte. Häufig sind Unternehmensleiter sich selbst überlassen, herauszufinden, welche spezifischen Kontrollen erforderlich sind, um regulatorische Anforderungen zu erfüllen, was in der Regel zu einer Anhäufung arbeitsintensiver Kontrollaktivitäten mit ungewisser Wirksamkeit führt. Viele Banken kämpfen immer noch mit den grundlegenden Problemen des Kontrollumfelds in der ersten Verteidigungslinie wie Compliance-Kompetenz, Rechenschaftspflicht, Leistungsanreizen und Risikokultur. Schließlich sind Compliance-Aktivitäten tendenziell isoliert und es mangelt ihnen an einer klaren Verbindung zum umfassenderen Risikomanagementrahmen, der Governance und den Prozessen (z. B. Betriebsrisikomanagement, Risikoappetiterklärung sowie Risikoberichterstattung und -analyse). Das Nettoergebnis ist in den meisten Fällen in erster Linie ein dramatischer Anstieg der Compliance- und Kontrollausgaben mit begrenzten oder unbewiesenen Auswirkungen auf das Restrisikoprofil einer Bank.

Since 2019, regulatory fees have increased dramatically relative to banks’ earnings and credit losses.  

Performance of 20 large US and EU universal banks,1 2019–23, indexed to 2019 value (ie, value in 2019 = 100)
Total operating income   Credit impairment    
        4467
        2023
      3612

91

24
    2754 2022
  1062 2021

91

37
490 2020

90

44
2019

99

45

100

64

• Operating income has decreased by 10% over this period of time

• Credit-impairment costs have decreased steadily over same time horizon

• Meanwhile, regulatory ones and settlements increased by almost 45x

Ein neu entstehendes Best-Practice-Modell für Compliance im Bankwesen muss sich auf drei Grundprinzipien stützen, um diese Herausforderungen zu bewältigen.

Eine erweiterte Rolle der Compliance und der aktiven Verantwortung für das Risiko- und Kontrollrahmenwerk

In den meisten Fällen müssen Banken die Rolle ihrer Compliance-Abteilungen von der eines Beraters zu einer Rolle umgestalten, die mehr Wert auf aktives Risikomanagement und -überwachung legt. In der Praxis bedeutet dies, dass wir über die Beratung zu gesetzlichen Regeln, Vorschriften und Gesetzen hinausgehen und ein aktiver Miteigentümer von Risiken werden, um eine unabhängige Überwachung des Kontrollrahmens zu gewährleisten.


Angesichts dieser Entwicklung erweitern sich die Verantwortlichkeiten der Compliance-Funktion rasch und umfassen Folgendes:

  • Generierung praktischer Perspektiven zur Anwendbarkeit von Gesetzen, Regeln und Vorschriften in allen Unternehmen und Prozessen und deren Umsetzung in betriebliche Anforderungen
  • Erstellen von Standards für die Risikowesentlichkeit (z. B. Definition des materiellen Risikos, Toleranzniveaus und Verknüpfung mit der Risikobereitschaft)
  • Entwicklung und Verwaltung eines robusten Prozesses/Toolkits zur Risikoidentifizierung und -bewertung (z. B. umfassende Risikoinventur, objektive Risikobewertungs-Scorecards und Risikomessmethodik)
Compliance is now expected to provide practical perspectives on how regulations translate into specific operational requirements.
Example: Numerous TILA1 subparts can be distilled into 7 major operational requirements

Contents of TILA (Reg Z):

• Subpart A: General information—purpose, coverage, exemptions, etc.

• Subpart B: Requirements for open-end credit lines, including credit-card accounts and HELOCs2

• Subpart C: Requirements for closed-end credit, including home-purchase loans and motorvehicle loans with a fixed-loan term

• Subpart D: Contains rules on oral disclosures,  Spanish-language disclosure in Puerto Rico, record retention, effect on state laws, state exemptions (which only apply to states that had TILA-type laws prior to the Federal Act), and rate limitations

• Subpart E: Contains special rules for mortgage transactions: – § 1026.32 Requirements for certain closed-end home mortgages – § 1026.33 Requirements for reverse mortgages, including the total annual loan cost rate and transaction disclosures

forward

Operational requirements:

1. Provide accurate and timely disclosures to customers

2. Provide accurate and timely redisclosures to customers

3. Ensure that annual percentage rates and fees are within tolerance

4. Ensure advertising and solicitation practices and materials are within policy

5. Ensure that customers are aware and able to exercise the right to rescind

6. Ensure that document records are retained per guidelines

7. Ensure originator incentives meet requirements
  • Entwicklung und Durchsetzung von Standards für einen wirksamen Risikomediationsprozess (z. B. Ursachenanalyse und Leistungsverfolgung), um sicherzustellen, dass die Grundursachen von Compliance-Problemen angegangen werden und nicht nur „die Symptome behandelt“ werden.
  • Festlegung von Standards für Schulungsprogramme und Anreize, die auf die Realität jeder Art von Job oder Arbeitsumgebung zugeschnitten sind
  • Sicherstellen, dass die Frontline Prozesse und Tools, die von Compliance entwickelt wurden, effektiv anwendet
  • Genehmigen von Kunden, Transaktionen und Produkten basierend auf vordefinierten risikobasierten Regeln
  • Durchführung einer regelmäßigen Bewertung des Zustands des gesamten Compliance-Programms
  • Verständnis der Risikokultur der Bank und ihrer Stärken sowie potenziellen Mängel

Die Risikokultur nimmt im Compliance-Playbook einen besonderen Platz ein. Tatsächlich haben die meisten schwerwiegenden Ausfälle bei Finanzinstituten in jüngster Zeit eine kulturelle Ursache, die zu erhöhten regulatorischen Erwartungen führt. Elemente einer „starken“ Risikokultur sind relativ klar (wenn auch nicht immer explizit artikuliert) und umfassen den rechtzeitigen Informationsaustausch, die rasche Erhöhung neu auftretender Risiken und die Bereitschaft, Praktiken in Frage zu stellen; Sie sind jedoch schwer objektiv zu messen. Der Einsatz von Tools wie strukturierten Risikokultur-Umfragen kann ein tieferes Verständnis der Nuancen der Risikokultur im gesamten Unternehmen ermöglichen und ihre Ergebnisse können mit denen anderer Institutionen verglichen werden, um kritische Lücken aufzudecken. Dadurch kann die Risikokultur durch engagierte Führungskräfte und Organisationen aktiv gestaltet, überwacht und aufrechterhalten werden.

Die effektive Umsetzung dieser erweiterten Verantwortlichkeiten erfordert ein viel tieferes Verständnis der Geschäftsprozesse durch Compliance. Es gibt einige praktische Möglichkeiten, dies zu erreichen:

  • Einbindung von Prozessbegehungen in die regelmäßigen Compliance-Risikobewertungen von Unternehmen (z. B. moderierte Workshops mit First Line und Second Line zur Bewertung inhärenter Risiken und deren Auswirkungen auf Geschäftsprozesse)
  • Implementierung eines formellen Business-Change-Management-Prozesses, der alle wesentlichen betrieblichen Änderungen (z. B. Mengen, Produkte, Arbeitsabläufe, Footprint und Systeme) in der zweiten Zeile anzeigt
  • Entwicklung eines robusten Toolkits zur objektiven Messung von Risiken (z. B. quantitative Messung für messbare Risiken, Risikomarker für schwieriger zu quantifizierende Risiken, gemeinsame Bestandsaufnahme riskanter Ergebnisse sowie Szenarioanalysen und zukunftsgerichtete Bewertungen)

Schließlich gewinnt die Gestaltung des Betriebsmodells der Compliance-Funktion zunehmend an Bedeutung. Daher ist ein Übergang von einer isolierten, auf Geschäftseinheiten basierenden Abdeckung zu einem Modell erforderlich, bei dem die Abdeckung von Geschäftseinheiten mit horizontalem Fachwissen in wichtigen Compliance-Bereichen wie BSA/AML kombiniert wird. unfaire, irreführende oder missbräuchliche Handlungen oder Praktiken (UDAAP); Hypothek (über alle Hypothekengeschäfte hinweg); Dritte und andere.

Transparenz über Restrisikoexposition und Kontrollwirksamkeit

Eine der traditionellen Branchenpraktiken für die Zusammenarbeit der zweiten Ebene mit dem Unternehmen besteht darin, „Prozesse mit hohem Risiko“ zu identifizieren und dann „alle Risiken“ und „alle Kontrollen“ zu identifizieren, die sich auf jeden einzelnen Prozess beziehen. Dieser Ansatz reicht jedoch nicht aus, um eine echte und umfassende Transparenz über wesentliche Risikoexpositionen zu schaffen, und wird oft zu einer rein mechanischen Übung.

Erstens überlässt das Fehlen einer objektiven und klaren Definition eines „Prozesses mit hohem Risiko“ diese Entscheidung häufig dem Ermessen der Geschäftsbereiche, was dazu führen kann, dass Risiken ausgelassen werden, die unter Compliance-Risikogesichtspunkten zwar kritisch, aber als weniger bedeutsam gelten aus geschäftlicher Sicht (z. B. kann ein Inkassoprozess mit geringem Volumen als unbedeutender Teil des gesamten Geschäftsportfolios erscheinen, kann aber ein kritischer Bereich für die Einhaltung gesetzlicher Vorschriften sein). Auch dieser Ansatz weist Inkonsistenzen auf. Beispielsweise kann ein Kontoeröffnungsprozess in einigen Einzelhandelsgeschäften als risikoreich eingestuft werden, in anderen jedoch nicht.

Zweitens erfordert das Streben nach der Dokumentation praktisch „aller Risiken“ und „aller Kontrollen“ einen erheblichen Arbeitsaufwand und schränkt tatsächlich die Fähigkeit der ersten Führungsebene ein, sich eingehend mit den wirklich wichtigen Themen zu befassen, indem sie langwierige qualitative Bestandsaufnahmen von Risiken und Kontrollen erstellt, anstatt Material zu identifizieren Risikoexpositionen und Analyse der entsprechenden Prozess- und Kontrollhaltepunkte und Grundursachen.

Der neue Ansatz, der sich auf Restrisiken und kritische Prozessbruchpunkte konzentriert, stellt sicher, dass kein wesentliches Risiko unbeaufsichtigt bleibt, und bietet die Grundlage für wirklich risikobasierte, effiziente Überwachungs- und Abhilfemaßnahmen. Diese Herausforderungen werden angegangen, indem regulatorische Anforderungen direkt mit Prozessen und Kontrollen verknüpft werden (d. h. durch die Zuordnung von Risiken zu Produkten und Prozessen), indem wesentliche Risiken auf systematische und wirklich risikobasierte Weise an die Frontlinie kaskadiert werden und indem Ziele definiert werden (und wann immer möglich quantitative) Schlüsselrisikoindikatoren (KRIs) in den Bereichen, in denen der Prozess „abbricht“ und zu einer Gefährdung durch ein bestimmtes Risiko führt.

Daher gibt es, wie dargestellt, typischerweise zahlreiche Kontrollen, die mit jeder behördlichen Anforderung während eines bestimmten Geschäftsprozesses verbunden sind. Das Testen all dieser Kontrollen nimmt enorme organisatorische Zeit und Ressourcen in Anspruch. Jede Kontrolle wird dokumentiert und der Grad ihrer Wirksamkeit qualitativ bewertet (obwohl die Definition von „Wirksamkeit“ oft mehrdeutig ist und von Person zu Person unterschiedlich ist). Leider korreliert die aus dieser Übung resultierende Gesamtpunktzahl der Kontrollwirksamkeit nur schwach mit dem Ergebnis. Es ist nicht ungewöhnlich, dass in Bereichen, in denen die Mehrheit der Kontrollen als wirksam erachtet wurde, kritische Prüfungsfeststellungen vorliegen.

Im Gegensatz dazu beginnt der neue Ansatz damit, zu definieren, welche Risiken für einen bestimmten Geschäftsprozess gelten, und zu identifizieren, wo genau im Prozess sie auftreten (bekannt als „Breakpoint-Analyse“). Auf der Grundlage der identifizierten Prozess-Breakpoints kann man dann KRIs entwerfen, die den Restwert direkt messen Risikoexposition. Dieser Ansatz führt dazu, dass weitaus weniger Elemente getestet werden müssen (in unserem Beispiel zwei KRIs gegenüber sieben Kontrollen) und wesentlich fundiertere Einblicke in die Kernprobleme erhalten. Darüber hinaus liefert er die wesentliche Faktenbasis, um den Sanierungsprozess und die Ressourcenzuweisung zu steuern und zu beschleunigen.

Integration in die gesamte Risikomanagement-Governance, regulatorische Angelegenheiten und den Issue-Management-Prozess

Compliance-Risiken werden durch dieselben zugrunde liegenden Faktoren bestimmt wie andere Bankrisiken, ihr Risiko ist jedoch höher, wenn negative Folgen eintreten (z. B. regulatorische Maßnahmen, die zu einer Einschränkung der Geschäftstätigkeit und hohen Geldstrafen führen können). Daher ist es nur passend, dass ein modernes Compliance-Rahmenwerk vollständig in die Sicht der Bank auf die Welt der operationellen Risiken integriert werden muss.

Die Integration des Managements dieser Risiken bietet konkrete Vorteile. Erstens stellt es sicher, dass das Unternehmen einen wirklich umfassenden Überblick über sein Risikoportfolio und Einblick in alle systemischen Probleme (z. B. produkt- oder prozessübergreifend) hat und dass kein wesentliches Risiko unbeachtet bleibt.

Zweitens verringert es die Belastung für das Unternehmen (z. B. keine doppelten Risikobewertungen und Abhilfemaßnahmen) sowie für die Kontrollfunktionen (z. B. keine separaten oder doppelten Berichts-, Schulungs- und Kommunikationsaktivitäten). Drittens erleichtert es eine risikobasierte Lokalisierung von Unternehmensressourcen und Managementmaßnahmen zur Risikobehebung und Investitionen in bereichsübergreifende Kontrollen.

Die folgenden praktischen Maßnahmen können der Bank dabei helfen, Compliance fest in die gesamte Risikomanagement-Governance, regulatorische Angelegenheiten und den Issue-Management-Prozess zu integrieren:

  • Entwickeln Sie eine einzige integrierte Bestandsaufnahme der Betriebs- und Compliance-Risiken
  • Entwickeln und verwalten Sie zentral standardisierte Risiko-, Prozess-, Produkt- und Kontrolltaxonomien
  • Koordinieren Sie Risikobewertungs-, Behebungs- und Berichtsmethoden und -kalender (stellen Sie beispielsweise einen Satz von Bewertungen in übergreifenden Themenbereichen wie dem Risikomanagement Dritter sicher; stellen Sie die Konsistenz der Compliance-Überwachungs- und Testaktivitäten mit Qualitätssicherungs-/Qualitätskontrollaktivitäten sicher im operationellen Risiko)
  • Definieren Sie klare Rollen und Verantwortlichkeiten zwischen Risiko- und Kontrollfunktionen auf individueller Risikoebene, um sicherzustellen, dass es keine Lücken oder Überschneidungen gibt, insbesondere in „Grauzonen“, in denen Disziplinen zusammenlaufen (z. B. Risikomanagement Dritter, Datenschutzrisiken, AML und Betrug). )
  • Entwickeln und verwalten Sie gemeinsam integrierte Schulungs- und Kommunikationsprogramme
  • Richten Sie klare Governance-Prozesse (z. B. Eskalation) und Strukturen (z. B. Risikoausschüsse) ein, deren Mandate sich über alle Risiko- und Unterstützungsfunktionen (z. B. Technologie) erstrecken und die ausreichende Verantwortlichkeit, Eigenverantwortung und Beteiligung aller Beteiligten gewährleisten wenn Probleme mehrere Funktionen betreffen
  • Beziehen Sie hochrangige Compliance-Stakeholder konsequent ein und koordinieren Sie sie rechtzeitig bei der Festlegung von Aktionsplänen, angestrebten Enddaten und der Priorisierung von Problemen und Angelegenheiten, die Ihrer Aufmerksamkeit bedürfen
  • Stellen Sie eine formelle Verbindung und Koordinierungsprozesse mit Regierungsangelegenheiten her

Um diese Integration effektiv anzugehen, erwägen Finanzinstitute auch Änderungen an der Organisationsstruktur und der Platzierung der Compliance-Funktion. stellt die drei Archetypen von Compliance-Organisationen in Banken vor. Die Migration der Compliance zur Risikoorganisation (Archetyp B) ist ein aktueller Trend bei globalen Banken, deren Compliance-Berichte zuvor an die Rechtsabteilung (Archetyp A) gingen. Diese neue Struktur stärkt die Sichtweise von Compliance als Risiko ähnlich dem operationellen Risiko und als Kontroll- statt Beratungsfunktion und soll eine integrierte Betrachtung aller Risikoarten ermöglichen. Einige Bankinstitute haben die Compliance zu einer eigenständigen Funktion erhoben (d. h. Archetyp C) und sie ähnlich der internen Revision positioniert, mit klarer Trennung vom Geschäft, wodurch ihr Profil deutlich geschärft wird, aber auch die Notwendigkeit einer stärkeren Koordination mit dem operativen Bereich entsteht -Risikofunktion.

Messen von Fortschrittsergebnissen, die wichtig sind

Die drei oben skizzierten Prinzipien implizieren eine vielschichtige Transformation der Compliance-Funktion. Der Umfang und die Komplexität dieser Transformation bergen die reale Gefahr, „den Wald vor lauter Bäumen zu verpassen“. Wir fanden es hilfreich, die folgende Zehn-Punkte-Scorecard anzuwenden, um den Fortschritt auf diesem Weg zu messen:

1. Nachgewiesener Fokus auf die Rolle der Compliance und ihren Stellenwert innerhalb der Organisation

2. Integrierte Betrachtung von Marktrisiken mit operationellem Risiko

3. Klarer Ton von der Spitze und starke Risikokultur, einschließlich Nachweis der Beteiligung der Geschäftsleitung und aktiver Aufsicht durch den Vorstand

4. Risikoverantwortung und unabhängige Herausforderung durch Compliance (im Gegensatz zu „Beratung und Beratung“)

5. Compliance-Betriebsmodell mit gemeinsamer horizontaler Abdeckung wichtiger Themen und einer klaren Rollendefinition gegenüber der ersten Verteidigungslinie

There are several common archetypes for compliance organizations.
 

A.

Legal-led organization: Compliance as part of legal

B.

Risk-led organization: Compliance as part of risk

C.

Stand-alone compliance function
Key features

• Head of compliance reports to general counsel

• Historically most common reporting structure

• Compliance considered as a specialized unit within legal department

• Legal and compliance staff often cover issues/ cases jointly with an unclear separation of work

• Fosters independence from business divisions

• Facilitates synergies sharing of legal/ regulatory expertise

• Head of compliance reports to chief risk officer

• Compliance considered a risk similar to operational risk— generates an integrated view across all risk types

• Facilitates business alignment established in risk function (internal control unit and first level of control)

• Recent trend among global banks, which previously had compliance reporting to legal

• Compliance acts as control function, while legal advises business

• Head of compliance reports to CEO or COO (or directly to board of directors)

• Positioning of compliance similar to internal audit with clear separation from business

• Significantly raises compliance-function profile

• Ensures independence of compliance from other support functions (but requires coordination with risk function)

• Usually focuses on control activities

6. Umfassende Bestandsaufnahme aller geltenden Gesetze, Regeln und Vorschriften, um ein risikobasiertes Compliance-Risikobewertungsprogramm voranzutreiben

7. Verwendung quantitativer Kennzahlen und spezifischer qualitativer Risikomarker zur Messung des Compliance-Risikos

8. Compliance-Management-Informationssysteme, die eine integrierte Sicht auf Risiken bieten und eine gemeinsame Risikotaxonomie widerspiegeln

9. Nachweis, dass die erste Verteidigungslinie Maßnahmen ergreift und sich mit Compliance- und Kontrollproblemen befasst

10. Ausreichende Talente und Fähigkeiten zur Bewältigung wichtiger Risikobereiche (z. B. BSA/AML, Treuhandrisiko) und praktische Kenntnisse der Kerngeschäftsprozesse (z. B. Hypothekenverwaltung).

Geht man von einem Punkt für jede dieser Anforderungen aus, könnte eine Bank mit einer niedrigen Punktzahl (z. B. vier bis fünf Punkte) eine erhebliche Transformation erfordern. Banken können die Wirkung der Transformation maximieren, indem sie den Fortschritt streng anhand der gewünschten Ergebnisse messen. Die Prüfung sollte in diesem Prozess eine wichtige Rolle spielen und einen unabhängigen Überblick über den Status und die Wirksamkeit des Programms im Hinblick auf gemeinsam vereinbarte Transformationsziele bieten.

Die Einhaltung gesetzlicher Vorschriften hat Banken zweifellos in vielerlei Hinsicht vor Herausforderungen gestellt, indem sie die Servicekosten erhöht und manchmal die Bereitstellung großartiger Kundenerlebnisse erschwert hat. Da sich das regulatorische Umfeld jedoch weiterentwickelt, sehen wir eine große Chance für die Compliance-Funktion, durch die Umsetzung gezielter Änderungen an ihrem Betriebsmodell und ihren Prozessen der Konkurrenz einen Schritt voraus zu sein und so eine bessere Aufsichtsqualität zu gewährleisten und gleichzeitig ihre Effizienz zu steigern . Banken, die diesen Wandel erfolgreich vollziehen, werden in absehbarer Zukunft über einen entscheidenden Wettbewerbsvorteil verfügen, da sie in der Lage sind, einen besseren Service zu bieten, die Strukturkosten zu senken und das Risiko ihrer Geschäftstätigkeit erheblich zu verringern.

Ein Treffen planen