- Entwicklung und Durchsetzung von Standards für einen wirksamen Risikomediationsprozess (z. B. Ursachenanalyse und Leistungsverfolgung), um sicherzustellen, dass die Grundursachen von Compliance-Problemen angegangen werden und nicht nur „die Symptome behandelt“ werden.
- Festlegung von Standards für Schulungsprogramme und Anreize, die auf die Realität jeder Art von Job oder Arbeitsumgebung zugeschnitten sind
- Sicherstellen, dass die Frontline Prozesse und Tools, die von Compliance entwickelt wurden, effektiv anwendet
- Genehmigen von Kunden, Transaktionen und Produkten basierend auf vordefinierten risikobasierten Regeln
- Durchführung einer regelmäßigen Bewertung des Zustands des gesamten Compliance-Programms
- Verständnis der Risikokultur der Bank und ihrer Stärken sowie potenziellen Mängel
Die Risikokultur nimmt im Compliance-Playbook einen besonderen Platz ein. Tatsächlich haben die meisten schwerwiegenden Ausfälle bei Finanzinstituten in jüngster Zeit eine kulturelle Ursache, die zu erhöhten regulatorischen Erwartungen führt. Elemente einer „starken“ Risikokultur sind relativ klar (wenn auch nicht immer explizit artikuliert) und umfassen den rechtzeitigen Informationsaustausch, die rasche Erhöhung neu auftretender Risiken und die Bereitschaft, Praktiken in Frage zu stellen; Sie sind jedoch schwer objektiv zu messen. Der Einsatz von Tools wie strukturierten Risikokultur-Umfragen kann ein tieferes Verständnis der Nuancen der Risikokultur im gesamten Unternehmen ermöglichen und ihre Ergebnisse können mit denen anderer Institutionen verglichen werden, um kritische Lücken aufzudecken. Dadurch kann die Risikokultur durch engagierte Führungskräfte und Organisationen aktiv gestaltet, überwacht und aufrechterhalten werden.
Die effektive Umsetzung dieser erweiterten Verantwortlichkeiten erfordert ein viel tieferes Verständnis der Geschäftsprozesse durch Compliance. Es gibt einige praktische Möglichkeiten, dies zu erreichen:
- Einbindung von Prozessbegehungen in die regelmäßigen Compliance-Risikobewertungen von Unternehmen (z. B. moderierte Workshops mit First Line und Second Line zur Bewertung inhärenter Risiken und deren Auswirkungen auf Geschäftsprozesse)
- Implementierung eines formellen Business-Change-Management-Prozesses, der alle wesentlichen betrieblichen Änderungen (z. B. Mengen, Produkte, Arbeitsabläufe, Footprint und Systeme) in der zweiten Zeile anzeigt
- Entwicklung eines robusten Toolkits zur objektiven Messung von Risiken (z. B. quantitative Messung für messbare Risiken, Risikomarker für schwieriger zu quantifizierende Risiken, gemeinsame Bestandsaufnahme riskanter Ergebnisse sowie Szenarioanalysen und zukunftsgerichtete Bewertungen)
Schließlich gewinnt die Gestaltung des Betriebsmodells der Compliance-Funktion zunehmend an Bedeutung. Daher ist ein Übergang von einer isolierten, auf Geschäftseinheiten basierenden Abdeckung zu einem Modell erforderlich, bei dem die Abdeckung von Geschäftseinheiten mit horizontalem Fachwissen in wichtigen Compliance-Bereichen wie BSA/AML kombiniert wird. unfaire, irreführende oder missbräuchliche Handlungen oder Praktiken (UDAAP); Hypothek (über alle Hypothekengeschäfte hinweg); Dritte und andere.
Transparenz über Restrisikoexposition und Kontrollwirksamkeit
Eine der traditionellen Branchenpraktiken für die Zusammenarbeit der zweiten Ebene mit dem Unternehmen besteht darin, „Prozesse mit hohem Risiko“ zu identifizieren und dann „alle Risiken“ und „alle Kontrollen“ zu identifizieren, die sich auf jeden einzelnen Prozess beziehen. Dieser Ansatz reicht jedoch nicht aus, um eine echte und umfassende Transparenz über wesentliche Risikoexpositionen zu schaffen, und wird oft zu einer rein mechanischen Übung.
Erstens überlässt das Fehlen einer objektiven und klaren Definition eines „Prozesses mit hohem Risiko“ diese Entscheidung häufig dem Ermessen der Geschäftsbereiche, was dazu führen kann, dass Risiken ausgelassen werden, die unter Compliance-Risikogesichtspunkten zwar kritisch, aber als weniger bedeutsam gelten aus geschäftlicher Sicht (z. B. kann ein Inkassoprozess mit geringem Volumen als unbedeutender Teil des gesamten Geschäftsportfolios erscheinen, kann aber ein kritischer Bereich für die Einhaltung gesetzlicher Vorschriften sein). Auch dieser Ansatz weist Inkonsistenzen auf. Beispielsweise kann ein Kontoeröffnungsprozess in einigen Einzelhandelsgeschäften als risikoreich eingestuft werden, in anderen jedoch nicht.
Zweitens erfordert das Streben nach der Dokumentation praktisch „aller Risiken“ und „aller Kontrollen“ einen erheblichen Arbeitsaufwand und schränkt tatsächlich die Fähigkeit der ersten Führungsebene ein, sich eingehend mit den wirklich wichtigen Themen zu befassen, indem sie langwierige qualitative Bestandsaufnahmen von Risiken und Kontrollen erstellt, anstatt Material zu identifizieren Risikoexpositionen und Analyse der entsprechenden Prozess- und Kontrollhaltepunkte und Grundursachen.
Der neue Ansatz, der sich auf Restrisiken und kritische Prozessbruchpunkte konzentriert, stellt sicher, dass kein wesentliches Risiko unbeaufsichtigt bleibt, und bietet die Grundlage für wirklich risikobasierte, effiziente Überwachungs- und Abhilfemaßnahmen. Diese Herausforderungen werden angegangen, indem regulatorische Anforderungen direkt mit Prozessen und Kontrollen verknüpft werden (d. h. durch die Zuordnung von Risiken zu Produkten und Prozessen), indem wesentliche Risiken auf systematische und wirklich risikobasierte Weise an die Frontlinie kaskadiert werden und indem Ziele definiert werden (und wann immer möglich quantitative) Schlüsselrisikoindikatoren (KRIs) in den Bereichen, in denen der Prozess „abbricht“ und zu einer Gefährdung durch ein bestimmtes Risiko führt.
Daher gibt es, wie dargestellt, typischerweise zahlreiche Kontrollen, die mit jeder behördlichen Anforderung während eines bestimmten Geschäftsprozesses verbunden sind. Das Testen all dieser Kontrollen nimmt enorme organisatorische Zeit und Ressourcen in Anspruch. Jede Kontrolle wird dokumentiert und der Grad ihrer Wirksamkeit qualitativ bewertet (obwohl die Definition von „Wirksamkeit“ oft mehrdeutig ist und von Person zu Person unterschiedlich ist). Leider korreliert die aus dieser Übung resultierende Gesamtpunktzahl der Kontrollwirksamkeit nur schwach mit dem Ergebnis. Es ist nicht ungewöhnlich, dass in Bereichen, in denen die Mehrheit der Kontrollen als wirksam erachtet wurde, kritische Prüfungsfeststellungen vorliegen.
Im Gegensatz dazu beginnt der neue Ansatz damit, zu definieren, welche Risiken für einen bestimmten Geschäftsprozess gelten, und zu identifizieren, wo genau im Prozess sie auftreten (bekannt als „Breakpoint-Analyse“). Auf der Grundlage der identifizierten Prozess-Breakpoints kann man dann KRIs entwerfen, die den Restwert direkt messen Risikoexposition. Dieser Ansatz führt dazu, dass weitaus weniger Elemente getestet werden müssen (in unserem Beispiel zwei KRIs gegenüber sieben Kontrollen) und wesentlich fundiertere Einblicke in die Kernprobleme erhalten. Darüber hinaus liefert er die wesentliche Faktenbasis, um den Sanierungsprozess und die Ressourcenzuweisung zu steuern und zu beschleunigen.
Integration in die gesamte Risikomanagement-Governance, regulatorische Angelegenheiten und den Issue-Management-Prozess
Compliance-Risiken werden durch dieselben zugrunde liegenden Faktoren bestimmt wie andere Bankrisiken, ihr Risiko ist jedoch höher, wenn negative Folgen eintreten (z. B. regulatorische Maßnahmen, die zu einer Einschränkung der Geschäftstätigkeit und hohen Geldstrafen führen können). Daher ist es nur passend, dass ein modernes Compliance-Rahmenwerk vollständig in die Sicht der Bank auf die Welt der operationellen Risiken integriert werden muss.
Die Integration des Managements dieser Risiken bietet konkrete Vorteile. Erstens stellt es sicher, dass das Unternehmen einen wirklich umfassenden Überblick über sein Risikoportfolio und Einblick in alle systemischen Probleme (z. B. produkt- oder prozessübergreifend) hat und dass kein wesentliches Risiko unbeachtet bleibt.