Artikel

Ein typisches GRC-Bild besteht aus isolierten und eher reaktiven Einzeldisziplinen, die als „regulatorisch notwendiges Übel“ möglichst kostengünstig geführt werden mit entsprechend knapper, überlasteter Personaldecke und Bankgeschäften auf noch weit verbreiteten Legacy-IT-Systemen. Aber auch das Gegenteil ist bereits bei einigen Banken anzutreffen.

Die Governance, Risk & Compliance (GRC)-Reife deutscher Banken zeigt ein komplexes Bild von Stärken, Schwächen, Chancen und Risiken mit Ausblick auf das Jahr 2025. Eine detaillierte SWOT-Analyse offenbart die aktuelle Situation und mögliche Entwicklungspfade.

Die Stärken liegen vor allem in der grundsätzlichen Erfüllung regulatorischer Anforderungen als Grundbedingung der regulatorischen Zulassung am Markt.

1. Etablierte GRC-Strukturen und Expertise
Deutsche Banken verfügen über jahrelange Erfahrung im Umgang mit regulatorischen Anforderungen. Sie haben robuste Compliance-Systeme aufgebaut und gut ausgebildetes Personal in den Bereichen Governance, Risikomanagement und Compliance. Diese gewachsen-etablierten Strukturen bilden eine solide Grundlage für die GRC-Reife.

2. Technologische GRC-Unterstützung
Erste Institute haben in den letzten Jahren erheblich in ihre IT-Infrastruktur für GRC investiert. Moderne GRC-Plattformen ermöglichen eine bessere Integration von Daten und Prozessen, was zu effizienteren Entscheidungsfindungen führt.

3. Fachliche Stärken in den Kernbereichen
Deutsche Banken zeichnen sich durch besondere Expertise in spezifischen GRC-Bereichen aus. Dazu gehören Betrugsbekämpfung, Marktkonformität und Handelsüberwachung, Liquiditätsmanagement, die Einhaltung von Sanktionslisten und Embargos sowie Cyber-Security.

Regulatorische Anforderungen entwickeln sich häufig aus Einzelerfahrungen und verschiedenen Modellen. Sie beschreiben gewöhnlich jedoch keine Best Practice, schon gar nicht für das jeweilige Institut. Die Einzelumsetzung kann damit zur formalen Compliance führen, ohne das eigentliche Potenzial auszuschöpfen.

1. Silodenken und isolierte GRC-Funktionen
In vielen Instituten existieren noch immer getrennte „Abteilungen“ innerhalb von Governance, Risk und Compliance. Dies führt zu Doppelarbeit und ineffizienten Prozessen. Die praktische Isolation von erster Linie (Tagesgeschäft) und zweiter Linie (GRC) verstärkt dieses Problem.

2. Reaktive GRC-Steuerung
Viele Banken agieren eher reaktiv als proaktiv in Bezug auf GRC-Themen. Die langsame Reaktionsgeschwindigkeit und die geringe Trennung zwischen laufendem Betrieb (Run) und Veränderungsprozessen (Change) bei GRC behindern die agile Anpassung an neue Herausforderungen. Das Tagesgeschäft (Run) hat im Zweifel immer Vorrang.

3. Ressourcenintensive Prozesse
Die Einhaltung regulatorischer Vorgaben bindet erhebliche personelle und finanzielle Ressourcen. Dies kann Innovationen und die Weiterentwicklung des Kerngeschäfts behindern.

4. Komplexe Legacy-Systeme
Banken kämpfen oft mit der „geerbten Technologie“. Unübersichtliche, wenig agile Strukturen erschweren schnelle Anpassungen an neue Anforderungen.

Die Schwächen zeigen Chancen auf: Synergien durch Integration, Kosteneffizienz durch Digitalisierung, bessere Entscheidungen durch bessere Daten, verbesserte Preise und Margen durch GRC, bis hin zu umfassenden Wettbewerbsvorteilen.

1. Integrierte GRC-Ansätze
Die Zusammenführung von Governance, Risk und Compliance in einem ganzheitlichen Modell bietet erhebliches Optimierungspotenzial. Synergien können genutzt, Ressourcen effektiver eingesetzt und Doppelarbeit vermieden werden. Auch die verschiedenen Silo-Reifegrade können auf professionellem Niveau angeglichen werden. Die 2nd-Line muss sich in das Tagesgeschäft der 1st-Line integrieren.

2. Digitalisierung und Automatisierung
Der regulatorisch konforme Einsatz moderner Technologien wie künstliche Intelligenz und Machine Learning kann GRC-Prozesse effizienter gestalten. Automatisierte Compliance-Checks und Risikoanalysen ermöglichen eine proaktivere Herangehensweise.

3. Datengetriebene Entscheidungsfindung
Die Konsolidierung von GRC-Daten in zentralen Plattformen ermöglicht eine bessere Grundlage für strategische Entscheidungen. Risiken können frühzeitiger erkannt, vielleicht sogar prognostiziert und Chancen besser genutzt werden.

4. Optimierung des Pricings und der Marge
Eine verbesserte GRC-Reife kann zu einer präziseren Risikobewertung führen, was wiederum eine Optimierung des Pricings und der Margen ermöglicht. Stichwort: Dort Goldfische finden, wo andere sie nicht sehen.

5. Wettbewerbsvorteile durch GRC-Exzellenz
Banken mit fortschrittlichen GRC-Systemen können z.B. schnellere und präzisere Kreditentscheidungen treffen, was zu einem Wettbewerbsvorteil in bestimmten Geschäftsfeldern führen kann (z.B. near-prime).

Altbekannte Bedrohungen bleiben erhalten: Regulationsdichte, Cyberrisiken, non-banking Wettbewerber, Änderungen im Kundenverhalten und Komplexität.

1. Zunehmende regulatorische Komplexität
Anzahl und Komplexität regulatorischer Anforderungen steigen kontinuierlich. Dies erhöht den Druck auf Banken, ihre GRC-Systeme ständig anzupassen und zu erweitern und erhöht damit die Notwendigkeit von anpassungsfähigen GRC-Plattformen.

2. Cybersicherheitsrisiken
Mit der zunehmenden Digitalisierung steigen auch die Bedrohungen durch Cyberangriffe. Banken müssen weiterhin erhebliche Ressourcen in die Absicherung ihrer Systeme und Daten investieren.

3. Wettbewerbsdruck durch FinTechs und BigTechs
Agile FinTech-Startups und ressourcenstarke BigTech-Unternehmen können oft schneller auf regulatorische Änderungen reagieren und innovative GRC-Lösungen implementieren. Dies setzt etablierte Banken unter Druck, ihre Prozesse zu modernisieren.

4. Dynamische Kundenpräferenzen
Veränderte Kundenbedürfnisse, insbesondere in Bezug auf Datenschutz und ESG-Themen, erfordern eine ständige Anpassung der GRC-Strategien.

5. Risikofehleinschätzungen in einem komplexen Umfeld
Die zunehmende Komplexität des Geschäftsumfelds, geprägt von geopolitischen Spannungen und wirtschaftlichen Unsicherheiten, erhöht das Risiko von Fehleinschätzungen in der Risikobeurteilung.

Angesichts dieser SWOT-Analyse ergeben sich mehrere Handlungsempfehlungen für deutsche Banken, um ihre GRC-Reife zu verbessern:

1. Integration vorantreiben
Banken sollten verstärkt auf integrierte GRC-Modelle setzen. Die Zusammenführung von Governance, Risk und Compliance-Funktionen in einer zentralen Plattform sollte Synergien schaffen und die Effizienz steigern, die prozessuale Integration mit der 1st-Line wird die Schlagkraft vervielfachen.

2. Technologische Modernisierung
Investitionen in moderne GRC-Technologien sind unerlässlich. Flexible, skalierbare Lösungen ermöglichen eine bessere Anpassung an sich ändernde Anforderungen und unterstützen den Self-Service-Ansatz aller Prozessbeteiligten. AI kann menschliches Urteil vorbereiten und damit unterstützen.

3. Datenzentrierung
Die Schaffung eines einheitlichen Datenpools für alle GRC-relevanten Informationen sollte Priorität haben. Dies ermöglicht konsistente Risikoberichte und fundierte Managemententscheidungen.

4. Agilität fördern
Banken müssen Wege finden, ihre GRC-Prozesse agiler zu gestalten. Dies kann durch die Implementierung flexibler Organisationsstrukturen und die Förderung einer Kultur der kontinuierlichen Verbesserung erreicht werden – und als „Embedded GRC“ im Tagesgeschäft. Eine Trennung von Run und Change in GRC bleibt unverzichtbar.

5. Cybersicherheit priorisieren
Angesichts der wachsenden Bedrohungen durch Cyberangriffe müssen Banken ihre Investitionen in IT-Sicherheit weiter erhöhen. Dies umfasst sowohl technische Maßnahmen als auch die Schulung von Mitarbeitenden und die Integration in die Banking-IT-Systeme.

6. Kooperationen nutzen
Partnerschaften mit FinTechs oder spezialisierten GRC-Dienstleistern können helfen, Innovationslücken zu schließen und von neuen Technologien zu profitieren.

Die GRC-Reife deutscher Banken im Jahr 2025 zeigt ein differenziertes Bild. Während etablierte Strukturen und technologische Infrastrukturen Stärken darstellen, kämpfen viele Institute noch mit komplexen Legacy-Systemen und ineffizienten Prozessen. Die Chancen liegen vor allem in der Integration von GRC-Funktionen untereinander sowie mit dem Tagesgeschäft und der Nutzung moderner Technologien. Um den wachsenden regulatorischen Anforderungen und dem Wettbewerbsdruck standzuhalten, müssen Banken ihre GRC-Systeme kontinuierlich weiterentwickeln und flexibler gestalten, auch schon aus Kostengründen. GRC muss effizient sein.

Die erfolgreiche Transformation zu einem integrierten, datengetriebenen GRC-Ansatz wird ein entscheidender Faktor für die Zukunftsfähigkeit deutscher Banken sein. Institute, die es schaffen, ihre GRC-Prozesse zu optimieren und als strategischen Vorteil zu nutzen, werden in einem zunehmend komplexen und wettbewerbsintensiven Umfeld besser positioniert sein.