Contents
Risikomanagement – Fundament zur Verhinderung, Aufdeckung und Reaktion auf strafbare Handlungen
Ein wirksames Risikomanagement ist für Kreditinstitute und Finanzdienstleister unverzichtbar, um strafbare Handlungen von innen und außen frühzeitig zu erkennen und angemessen zu steuern. Aufbauend auf den Anforderungen des § 25h KWG und gängigen Best Practices besteht ein integrativer Schutzansatz aus Controlling- und Risikomanagement-Systemen, einem soliden Internen Kontrollsystem (IKS) sowie einer institutsspezifischen Gefährdungsanalyse.
Nachfolgend stellen wir die wichtigsten internen Sicherungsmaßnahmen im Bereich Risikomanagement im Detail vor:
1. Controlling- und Risikomanagement-System (RM-System)
Ein Controlling-/Risikomanagement-System (RM-System) bildet die zentrale Plattform zur Identifikation, Bewertung, Steuerung und Überwachung von Risiken – einschließlich der Risiken strafbarer Handlungen.
Wesentliche Bestandteile sind:
- Risikoidentifikation: Erfassung interner und externer Risiken, etwa durch operative Fehler, Betrug, Korruption oder IT-Manipulation.
- Risikobewertung: Quantitative und qualitative Einschätzung der Wahrscheinlichkeit und Schadenshöhe möglicher strafbarer Handlungen.
- Risikosteuerung: Umsetzung von Risikominderungsmaßnahmen, wie z. B. Zugangskontrollen, Vier-Augen-Prinzip oder Funktionstrennung.
- Risikoberichtswesen: Regelmäßige Berichterstattung an das Management, den Aufsichtsrat und ggf. die Aufsichtsbehörden (z. B. BaFin).
Ein etabliertes RM-System ermöglicht es, Entwicklungen frühzeitig zu erkennen, Maßnahmen gezielt einzuleiten und Reaktionszeiten im Ernstfall zu verkürzen.
2. Internes Kontrollsystem (IKS)
Das Interne Kontrollsystem (IKS) ist das Rückgrat der operativen Risikoüberwachung im Unternehmen. Es sorgt durch präventive, detektive und reaktive Kontrollen dafür, dass strafbare Handlungen bereits in den Prozessen verhindert oder schnell erkannt werden.
Kernbestandteile eines effektiven IKS sind:
- Prozessintegrierte Kontrollen: Implementierung des Vier-Augen-Prinzips, Funktionstrennung und klare Kompetenzregelungen.
- Kontrollmaßnahmen: Systematische Kontrollen, Stichprobenprüfungen, Überwachungsmechanismen in kritischen Prozessabschnitten.
- IKS-Dokumentation: Transparente Darstellung der Kontrolllandschaft (Kontrollpläne, Ablaufdiagramme, Verantwortlichkeitsmatrix).
- IKS-Überwachung: Regelmäßige Überprüfung der Kontrollwirksamkeit durch interne Revision oder unabhängige Kontrollinstanzen.
Ein starkes IKS bietet Schutz vor betrügerischen Handlungen, Datenabflüssen, unautorisierten Transaktionen und anderen Vermögensgefährdungen.
3. Institutsspezifische Gefährdungsanalyse (z. B. SironRAS)
Die institutsspezifische Gefährdungsanalyse, z. B. mithilfe spezialisierter Tools wie SironRAS, ist ein zentrales Instrument zur strukturierten Risikoerfassung und -bewertung.
Wesentliche Funktionen der Gefährdungsanalyse:
- Risikoerhebung: Systematische Erfassung von Risiken pro Geschäftsbereich, Produkt, Kunde oder Region.
- Gefährdungsbewertung: Einschätzung der Eintrittswahrscheinlichkeit und möglichen Auswirkungen strafbarer Handlungen.
- Risikoklassifizierung: Zuordnung der Risiken zu Ampelklassen (z. B. niedrig, mittel, hoch) auf Basis einheitlicher Bewertungsmaßstäbe.
- Maßnahmenableitung: Entwicklung risikoadäquater Präventions-, Detektions- und Reaktionsmaßnahmen.
SironRAS unterstützt eine gefährdungsbasierte Steuerung der Kontroll- und Präventionsmaßnahmen, wie sie § 25h KWG explizit fordert, und schafft damit die Grundlage für ein wirksames, kontinuierlich verbessertes Compliance- und Sicherheitsmanagement.
Fazit
Ein durchdachtes Risikomanagement – bestehend aus einem funktionierenden RM-System, einem wirksamen IKS und einer belastbaren Gefährdungsanalyse – ermöglicht es Kreditinstituten und Finanzdienstleistern, strafbare Handlungen proaktiv zu verhindern, frühzeitig aufzudecken und im Ernstfall schnell zu reagieren. Es ist die entscheidende Verteidigungslinie, um das Vermögen des Instituts, das Vertrauen der Kunden und die eigene Reputation nachhaltig zu schützen.