Compliance in Banken neu denken

Vom Pflichtprogramm zum Wachstumstreiber und Steuerungssystem

DORA, Basel IV, MiCAR, ESG – der regulatorische Druck auf Banken steigt. Viele Institute agieren allerdings eher reaktiv und ohne ganzheitliches, wirksames Konzept. Governance, Risk & Compliance (GRC) wird als Pflichtprogramm gesehen anstatt als strategisches Führungs- und Steuerungsinstrument oder gar als Hebel für Wachstum und Wettbewerbsdifferenzierung. Dadurch verschenken Kreditinstitute erhebliches Potenzial: für bessere Steuerung, resilientere Strukturen und gestärktes Vertrauen bei Kunden, Mitarbeitenden und Aufsichtsbehörden. Dabei liegen die Vorteile eines integrierten GRC-Ansatzes auf der Hand:

Reduktion manueller Kontrollen durch automatisierte risikoorientierte Steuerung
Minimierung von Audit-Feststellungen durch klar definierte Rollen und Standards
Verkürzung der Umsetzung regulatorischer Anforderungen durch integrierte Prozesse

Ein Beispiel aus der Praxis

Ein Kreditinstitut treibt sein digitales Kreditgeschäft voran, inklusive Cloud-Dienstleister. Die Umsetzung erfolgt agil, allerdings ohne genaue Risikoanalyse. Auch Verträge bleiben lückenhaft und Notfallkonzepte werden nicht entwickelt oder angepasst. Die Folge sind unter anderem Nachforderungen seitens der Aufsicht, die publik gemacht werden, wodurch die Reputation leidet oder Kunden zögern, Neugeschäftsprojekte abzuschließen. Was fehlt, ist eine wirksame Governance, die frühzeitig Compliance, IT und Fachbereiche einbindet und Schnittstellen bildet.

Viele Banken verfügen zwar über formale GRC-Strukturen, in der Praxis greifen diese jedoch nicht oder nicht ausreichend. Die Gründe sind vielfältig und liegen beispielsweise in unklaren Zuständigkeiten und doppelten Kontrollen, einer nicht ausreichenden Integration von GRC in operative Prozesse, mehreren Datenquellen und manuellen Schnittstellen sowie in Kontrollinstanzen ohne Führungseinbindung.

Ein weiterer Grund liegt oft in einer Kommunikation im Anordnungsstil, die Mitarbeitende ausschließlich auf Regeln und Dokumente hinweist. Gerade GRC-Vorgaben erzeugen aber oft operative Hürden, kulturelle Widerstände und Veränderungsmüdigkeit. Der Nutzen erschließt sich nicht immer direkt – weder für das Unternehmen noch für Mitarbeitende. Es braucht deshalb Sinnstiftung, klare Kommunikation, Training und Vorbilder. Zu Letzteren gehört nicht nur der direkte Vorgesetzte, sondern auch und gerade der Vorstand. Und in puncto Kommunikation gilt: Je mehr sie auf Einsicht abzielt, also Hintergründe beispielsweise für Geschäftsrisiken erklärt, desto eher wird Verantwortung gespürt und gelebt, was eine starke Integritätskultur fördert.

Um GRC schließlich als wirksame Führungs- und Steuerungsfunktion in der Bank zu etablieren und damit zu einem Differenzierungsfaktor und Wachstumshebel zu machen, sind fünf Prinzipien entscheidend:

Integration statt Silos: GRC folgt einem gemeinsamen Zielbild. Rollen, Daten, Prozesse und Entscheidungswege sind aufeinander abgestimmt – über alle Verteidigungslinien hinweg. Plus: Die Steuerung erfolgt entlang verbindlicher Standards.
Verankerung im Alltag: GRC ist in operative Prozesse integriert und Standards werden nicht nur zentral definiert, sondern von den Mitarbeitenden gelebt. Compliance ist nicht nur Prüfinstanz, sondern sie begleitet und befähigt. Als Business-Enabler ist Governance Teil der Unternehmensstrategie.
Datenorientierung: Die Steuerung geschieht auf Basis konsistenter, aktueller, entscheidungsrelevanter Informationen. Governance-Entscheidungen erfolgen damit faktenbasiert und auf allen Ebenen – vom Fachbereich bis zum Vorstand.
Messbarkeit: GRC-Wirkung wird sichtbar und nachvollziehbar: über KPIs, Audit-Ergebnisse, kulturelle Indikatoren. So wird die Steuerung wirksam und überprüfbar.
Führungswirksamkeit: GRC entsteht nicht durch Dokumente, sondern durch Verhalten – und das beginnt bei den Führungskräften aus dem Top-Management. Sie sind es, die als Vorbilder agieren und Orientierung geben. Sie verankern Governance einerseits durch Kommunikation, andererseits durch nachvollziehbare Entscheidungen und Steuerung.

Der Weg dorthin entwickelt entlang eines strukturierten Prozesses mit folgenden vier Phasen:

Standortbestimmung: Analyse bestehender Strukturen, Prozesse, Technologien und kultureller Verankerung. Interviews und Vorfallanalysen zeigen Lücken auf.
Zielbildentwicklung: Definition eines integrierten GRC-Modells mit klaren Rollen, optimierten Abläufen, Tools und Erwartungen – gemeinsam mit Fachbereichen.
Transformation: Ableitung und Umsetzung einer priorisierter Maßnahmen-Roadmap in crossfunktionalen Teams, Quick-Wins schaffen früh sichtbare Wirkung.
(Kulturelle) Verankerung: Verankerung von GRC in der Unternehmensstrategie, Führungskräfte werden zu Multiplikatoren und schaffen ein Umfeld, in dem Integrität gelebt wird. Kommunikation und Change-Maßnahmen, Schulungen und KPIs sichern langfristige Wirksamkeit.

Beispielhafte Maßnahmen zur Transformation entlang dreier Dimensionen:

Strukturell

Einführung funktionsübergreifender Steuerungsgremien
Gestaltung durchgängiger Kontrollarchitektur mit klarer Zielsystematik
Optimierung und Harmonisierung risikokritischer Kernprozesse

Technologisch

Entwicklung einer Datenarchitektur zur Bündelung relevanter Daten
Aufbau einer integrierten GRC-Plattform als Single-Point-of-Truth
Einsatz KI-gestützter Tools, z. B. zur Analyse regulatorischer Anforderungen

Kulturell

Definition von Zielbild und Analyse des aktuellen Reifegrads der Compliance-Kultur
Entwicklung und Umsetzung von Engagement-Maßnahmen zur Förderung der Compliance-Kultur
Etablierung regelmäßiger Messpunkte zur kontinuierlichen Verbesserung

Fazit: Von der Kontrolle zur Steuerung – GRC neu gedacht

Governance ist mehr als ein regulatorisches Kontrollsystem. Richtig verankert, wird sie zur strategischen Steuerungsfunktion. Banken, die GRC integriert, datenbasiert und kulturell verankert umsetzen, erhöhen ihre Handlungsfähigkeit, Vertrauenswürdigkeit und Resilienz.