Die Entdeckungstour durch die regulatorischen Anforderungen in der Bankenlandschaft möchten wir mit der Thematik Sonderprüfungen gem. § 44 Abs.1 KWG eröffnen.
Wie bereits im einleitenden Blog-Artikel beschrieben stellen Sonderprüfungen keine separate regulatorische Anforderung dar. Sonderprüfungen unterstützen dabei, die Risikolage eines Instituts detailliert zu eruieren, um frühzeitig Maßnahmen zu formulieren. Innerhalb der Sonderprüfung kann dabei festgestellt werden, ob und auf welche Art und Weise die regulatorischen und gesetzlichen Anforderungen umgesetzt worden sind.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ordnet die Sonderprüfung an. Die Durchführung kann dabei über die Deutsche Bundesbank erfolgen. Sonderprüfungen unterscheiden sich nach drei Arten: Bei einer antragsgetriebenen Sonderprüfung prüft die BaFin auf Antrag eines Instituts mit Fokus auf Abnahmeprüfungen interner Risikomessverfahren des zu prüfenden Instituts. Diese können sich unter anderem auf Risiken im Kreditbereich, Marktrisikomodelle oder Verfahren zur Messung der Liquiditätsrisiken konzentrieren. Anlassbezogene Sonderprüfungen erfolgen auf Initiative der BaFin auf Basis eines konkreten Beweggrundes. Bei der dritten Art von Sonderprüfungen handelt es sich um turnusmäßige Sonderprüfungen. Diese erfolgen wiederkehrend in dem zugrundeliegenden Bereich nach einem gesetzlich festgelegten Rhythmus.
Die zugrundeliegenden gesetzlichen Grundlagen, die den notwendigen Rahmen für die aufsichtliche Arbeit bilden, sind in der folgenden Abbildung vereinfacht dargestellt:
Die Abbildung verdeutlicht, dass neben dem Kreditwesengesetz (KWG), die Mindestanforderungen an das Risikomanagement (MaRisk) und zukünftig auch die bankaufsichtlichen Anforderungen an die IT (BAIT) eine zentrale Rolle einnehmen. Geschäftsprozesse im Bankwesen sind aufgrund der omnipräsenten Digitalisierung in einem stetig wachsenden Verhältnis von der IT geprägt, sodass das IT-Sicherheitsgesetz eine ebenso wichtige Rolle einnimmt. Ziel des IT- Sicherheitsgesetzes ist es, die IT-Sicherheit zu verbessern und zu optimieren, um die „digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“ (Quelle: Bundesamt für Sicherheit in der Informationstechnik).
Darauf basierend kann der notwendige Rahmen für aufsichtliche Arbeit in zwei Segmente unterteilt werden: Das Aufsichtswissen in Form von KWG, MaRisk und BAIT ist vorrangig in der Verantwortung der BaFin während das technische Spezialwissen, i.e. das IT-Sicherheitsgesetz in der Verantwortung des Bundesamtes für Sicherheit in der Informationstechnik liegt. In ihrer Ganzheit repräsentieren alle vier Komponenten gemeinsam den notwendigen Rahmen für aufsichtliche Arbeit, der eine wichtige Grundlage für Sonderprüfungen darstellt.
In Bezug auf Sonderprüfungen bildet im Kreditwesengesetz vorrangig § 44 Abs. 1KWG die Grundlage: Gemäß § 44 Abs. 1 KWG sind die geprüften Institute verpflichtet, den Prüfern die erfragten Auskünfte zu erteilen und die angeforderten Unterlagen zur Verfügung zu stellen. So können auch die prüfenden Personen die Geschäftsräume betreten und besichtigen. Dies hat unabhängig vom Prüfungsanlass zu erfolgen und ist vom geprüften Unternehmen zu akzeptieren.
Die Mindestanforderungen an das Risikomanagement (MaRisk) sind ein Rundschreiben der BaFin und basieren vorrangig auf § 25a KWG. So werden in § 25a KWG die besonderen organisatorischen Pflichten von Kreditinstituten geregelt. Dazu gehört eine ordnungsgemäße Geschäftsorganisation, die die Geschäftsleiter zu verantworten haben. Die MaRisk ist in einen allgemeinen Teil und in einen besonderen Teil segmentiert. Im allgemeinen Teil der MaRisk sind Anforderungen an das interne Risikomanagement dargelegt. Zusätzlich dazu sind im besonderen Teil der MaRisk Anforderungen an spezielle Bereiche und an speziellen Risikoarten innerhalb des Instituts geregelt, die zur besseren Übersicht in einzelne Module gegliedert sind. Dies können allgemeine Anforderungen bspw. Organisationsrichtlinien sein, die im Allgemeinen Teil beschrieben sind, oder bspw. besondere Anforderungen an die Ausgestaltung der Internen Revision, die im Besonderen Teil ausgeführt sind.
Die Präsenz der IT-Thematik nimmt somit nicht nur im Bankwesen selbst sondern auch für die BaFin immer mehr zu. Im März 2017 ist der kurzfristige Konsultationsbeginn zur BAIT angekündigt worden. Die BAIT wird im Rahmen der Regulatory Roadmap extra betrachtet, sodass an dieser Stelle keine vertiefte Betrachtung dessen erfolgen wird. Kurz gesagt: Die BAIT präzisiert die gesetzlichen Grundlagen des KWGs aus § 25a Abs. 1 und § 25b und konkretisiert die MaRisk. Die BAIT ist dabei in acht Themenfelder über die drei Ebenen Governance, Steuerung und Operativ gegliedert - mehr dazu stellen wir Ihnen bald in einem separaten Blog-Artikel vor.
Sonderprüfungen in der Praxis können in die Bestandteile Aufbauprüfung und Funktionsprüfung unterteilt werden. Aufbauprüfungen können als Soll-Soll-Vergleich umschrieben werden, da an dieser Stelle ein Abgleich der aufsichtlichen Grundlagen und der institutsinternen Vorgaben erfolgt. Funktionsprüfungen können im Vergleich dazu als Soll-Ist-Vergleich umschrieben werden. Dabei handelt es sich um einen Abgleich der institutsinternen Vorgaben mit den operativen Prozessabläufen innerhalb des Instituts. In der Praxis haben Institute die Möglichkeit, präventive Maßnahmen zur Vorbereitung auf Sonderprüfungen zu treffen. Es ist empfehlenswert, auf regelmäßiger Basis Aufbauprüfungen und Funktionsprüfungen institutsintern durchzuführen. So kann unabhängig davon, ob eine Sonderprüfung angekündigt ist, ein Soll-Soll- und ein Soll-Ist-Vergleich vorbeugend durchgeführt werden. Instituten wird es somit ermöglicht, vorzeitige Maßnahmen zur Optimierung der eigenen Geschäftsprozesse zu formulieren und umzusetzen. Dies inkludiert auch, dass bestehende Dokumentationen in Anlehnung an den vorhandenen Vorgaben auf regelmäßiger Basis überprüft werden. So kann die Übereinstimmung der Dokumentationen mit den in der Praxis gelebten Verfahren überprüft und bei Bedarf angepasst werden. Transparente Kommunikation innerhalb des Instituts unterstützt die ganzheitliche und nachhaltige Betrachtung der Geschäftsprozesse und der nötigen Maßnahmen zur Optimierung der Geschäftsprozesse.
Nach Ankündigung einer Sonderprüfung und Erhalt des Anschreibens mit den angeforderten Unterlagen gilt es, diese zusammenzustellen und innerhalb der vordefinierten Frist zu übersenden. Die Errichtung eines zentralen Projektbüros unterstützt bei der Koordination und Durchführung der Prüfung mit allen prüfenden und mit allen geprüften Personen. Nach Beendigung der Prüfung vor Ort wird der Prüfungsbericht verfasst und dem geprüften Institut zur Prüfungsnachbereitung zugesendet, sodass das geprüfte Institut die dargelegten Punkte optimieren kann.
Unsere Empfehlung: Nachhaltiges Handeln bei täglichen Entscheidungen!
Durch nachhaltige Entscheidungen und ganzheitlicher Betrachtung im strategischen und operativen Alltag können Sie sich kontinuierlich auf eine Sonderprüfung vorbereiten. Transparente Kommunikation mit institutsinternen und institutsexternen Interessensgruppen ist dabei ein entscheidender Erfolgsfaktor, um im Dialog gemeinsame – eventuell bisher unbekannte – Themengebiete zu erkunden. Die stetige institutsinterne Umsetzung der einzelnen Themengebiete ermöglicht dabei eine nachhaltige Vorbereitung auf Sonderprüfungen.
Wir unterstützen Sie gern bei der erfolgreichen Umsetzung Ihrer Anforderungen!