Artikel

Deutsche Banken stehen vor der Herausforderung, ein effektives Governance, Risk & Compliance (GRC) System zu implementieren und aufrechtzuerhalten. Trotz jahrelanger Erfahrung und Investitionen in diesem Bereich treten in nicht wenigen Banken ähnliche, typische Fehler auf, die die GRC-Reife der Institute beeinträchtigen.

Typische GRC-Reifestufen deutscher Banken sind:

Viele deutsche Banken bewegen sich derzeit zwischen der reaktiven und der technisierten Stufe und damit im unteren Bereich der Möglichkeiten. Dies zeigt, dass für den deutschen Bankenmarkt GRC-Potenzial besteht.

Im Folgenden werden 9 häufige Fehler und Lösungsansätze aufgezeigt. Diese Fehler multiplizieren sich in ihrer Wirkung auf das GRC-Gesamtsystem und reichen vom Silodenken, Reaktivität bis hin zur fehlenden GRC-Kultur.

Ein weit verbreiteter Fehler ist die isolierte Betrachtung von Governance, Risk und Compliance-Funktionen. Viele Banken behandeln diese Bereiche als separate Einheiten, was zu Ineffizienzen und Inkonsistenzen führt. Gleiches gilt für die Trennung von 1st und 2nd Line.

Auswirkungen: 

• Doppelarbeit und Ressourcenverschwendung
• Inkonsistente Risikobewertungen, unterschiedliche GRC-Qualitätsniveaus
• Lücken in der Kontrolle und Überwachung
• Fehlende GRC-Umsetzung im Tagesgeschäft

Lösungsansatz:
Die Integration von GRC-Funktionen in einem ganzheitlichen Modell ist entscheidend, ebenso wie die Einbettung von GRC in das Tagesgeschäft („Embedded GRC“). Dies erfordert eine übergreifende Strategie, einheitliche Datengrundlagen und abgestimmte Prozesse. Moderne GRC-Plattformen können diese Integration technologisch unterstützen.

Viele Institute agieren bei GRC-Themen immer noch reaktiv statt proaktiv. Sie passen ihre Systeme und Prozesse oft erst an, wenn regulatorische Änderungen oder Vorfälle dies erzwingen.

Auswirkungen:

• Erhöhtes Risiko von Compliance-Verstößen
• Ineffiziente Ad-hoc-Anpassungen
• Verpasste Chancen der Wertschöpfung durch GRC

Lösungsansatz:
Eine proaktive GRC-Strategie erfordert kontinuierliches Monitoring des regulatorischen Umfelds, regelmäßige Risikobewertungen und die Einbindung von GRC-Experten in strategische Entscheidungsprozesse. Szenarioanalysen und Frühwarnsysteme können dabei helfen, zukünftige Herausforderungen frühzeitig zu erkennen.

Trotz der Bedeutung einer soliden Risikokultur scheitern viele Banken daran, diese effektiv im gesamten Unternehmen zu verankern.

Auswirkungen:

• Mangelndes Risikobewusstsein bei Mitarbeitenden
• Fehlende Verantwortungsübernahme für Risiken
• Erhöhte Wahrscheinlichkeit von Fehlverhalten

Lösungsansatz:
Die Entwicklung einer starken Risikokultur muss von der Führungsebene vorgelebt werden. Regelmäßige Schulungen, klare Kommunikation von Risikoappetit und -toleranzen sowie die Integration von Risikomanagement in Leistungsbeurteilungen können die Risikokultur stärken.

Viele deutsche Banken kämpfen mit veralteten IT-Systemen, die eine effektive GRC-Steuerung erschweren.

Auswirkungen:

• Mangelnde Flexibilität bei der Anpassung an neue Anforderungen
• Schwierigkeiten bei der Datenintegration und -analyse
• Erhöhtes operationelles Risiko

Lösungsansatz:
Eine schrittweise Modernisierung der IT-Infrastruktur ist unerlässlich. Der Einsatz von Cloud-Lösungen, API-Schnittstellen und modularen Architekturen kann die Flexibilität erhöhen und die Integration von GRC-Funktionen erleichtern.

Die Qualität und Verfügbarkeit von Daten ist oft immer noch ein Schwachpunkt in GRC-Systemen deutscher Banken.

Auswirkungen:

• Fehlerhafte Risikoeinschätzungen und Compliance-Berichte
• Ineffiziente manuelle Nachbearbeitungen
• Mangelnde Transparenz für Aufsichtsbehörden

Lösungsansatz:
Die Implementierung einer umfassenden GRC Data Governance-Strategie ist entscheidend. Dies beinhaltet klare Datenverantwortlichkeiten, einheitliche Datendefinitionen und -qualitätsstandards sowie den Einsatz von Datenqualitätsmanagement-Tools.

Viele Banken unterschätzen die Bedeutung von Reputationsrisiken, die durch schnelle Informationsverbreitung über Soziale Medien exponentiell steigen können, im Rahmen ihres GRC-Managements.

Auswirkungen:

• Imageschäden durch ethisch fragwürdige Praktiken
• Verlust von Kundenvertrauen
• Negative Auswirkungen auf Geschäftsergebnisse

Lösungsansatz:
Die Integration von Reputationsrisiken in das Risikomanagement-Framework ist essenziell. Dies umfasst die Entwicklung von Frühwarnindikatoren, Stakeholder-Analysen und Krisenkommunikationsstrategien.

Viele GRC-Prozesse in deutschen Banken sind starr und wenig anpassungsfähig an sich ändernde Rahmenbedingungen.

Auswirkungen:

• Langsame Reaktion auf neue Risiken und regulatorische Anforderungen
• Ineffiziente Ressourcenallokation
• Wettbewerbsnachteile gegenüber agileren FinTech-Unternehmen

Lösungsansatz:
Die Einführung agiler Methoden in GRC-Prozesse kann die Flexibilität erhöhen. Dies beinhaltet kürzere Planungszyklen, cross-funktionale Teams und den Einsatz von Technologien für Routineaufgaben. Auch der bedachte Einsatz von Künstlicher Intelligenz wird GRC-Prozesse agiler machen.

Oft werden GRC-Themen in Schulungen nur oberflächlich behandelt, was zu mangelndem Verständnis und Engagement der Mitarbeitenden führt. Eine unternehmensweite GRC-Kultur wird nicht thematisiert. GRC ist prozessual häufig on top nicht integriert. Eine bewusste GRC-Journey der Mitarbeitenden im täglichen Bankgeschäft fehlt. GRC bleibt Fremdkörper.

Auswirkungen:

• Erhöhtes Risiko von unbeabsichtigten Compliance-Verstößen
• Geringe Akzeptanz von GRC-Maßnahmen
• Ineffektive erste Verteidigungslinie

Lösungsansatz:
Die Entwicklung umfassender, zielgruppenspezifischer Schulungsprogramme ist entscheidend. Der Einsatz interaktiver Lernformate, praxisnaher Fallstudien und regelmäßiger Auffrischungskurse kann die Effektivität der Schulungen erhöhen. Die bewusste Entwicklung einer GRC-Journey im Tagegeschäft garantiert die Umsetzung.

Viele Banken versäumen es, die Wirksamkeit ihrer GRC-Maßnahmen systematisch zu messen und zu bewerten.

Auswirkungen:

• Schwierigkeiten bei der Rechtfertigung von GRC-Investitionen
• Mangelnde Optimierung von GRC-Prozessen
• Fehlende Transparenz über den Reifegrad des GRC-Systems

Lösungsansatz:
Die Entwicklung eines umfassenden KPI-Systems für GRC ist notwendig. Dies sollte sowohl quantitative Metriken als auch qualitative Indikatoren umfassen. Regelmäßige Audits und Benchmarking-Vergleiche können zusätzliche Erkenntnisse liefern.

Die Vermeidung dieser häufigen 9 Fehler in Governance, Risk & Compliance erfordert von vielen deutschen Banken tatsächlich immer noch ein Umdenken und kontinuierliche Anstrengungen. Eine ganzheitliche, integrierte Herangehensweise an GRC, unterstützt durch moderne Technologien und eine starke Risikokultur, ist der Schlüssel zum Erfolg. Banken, die diese Herausforderungen meistern, können nicht nur regulatorische Anforderungen effektiver erfüllen, sondern auch Wettbewerbsvorteile erzielen und das Vertrauen von Kunden und Aufsichtsbehörden stärken. Die Transformation zu einem reifen GRC-System ist ein kontinuierlicher Prozess, der Engagement auf allen Ebenen des Unternehmens erfordert. Durch die Adressierung der genannten Schwachstellen können deutsche Banken ihre GRC-Reife signifikant verbessern und sich für zukünftige Herausforderungen in einem sich ständig wandelnden Finanzumfeld aufstellen.