Strichgrafik_Paragraph
app_image

44er-Prüfung

„Wie ein Marathonlauf“

Ernüchternde Nachrichten gingen im Frühjahr 2019 bei der Fiducia & GAD ein: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) legte ihren Prüfbericht nach § 44 des Kreditwesengesetzes vor. Das Ergebnis: 15 sogenannte Feststellungen, davon drei schwerwiegende. Um diese schnellstmöglich abzuarbeiten, hatte die Fiducia & GAD bereits 2018 das Programm „audIT“ gestartet.

„Das war schon wie ein Schlag in die Magengrube“, erinnert sich Andreas Abel, Leiter des Bereichs Risiko-, Compliance-, Sicherheitsmanagement und Recht. Er verantwortet bei der Fiducia & GAD das Programm audIT, das im Spätherbst 2018 vom Vorstand aufgesetzt worden war. Das Ziel: Die Mängel, deren Feststellung zu diesem Zeitpunkt bereits absehbar war, zügig abzuarbeiten. Abel: „Aufgrund des engen Austauschs mit den Prüfern bekommt man einen recht klaren Blick dafür, was die kritischen Themen sein werden. Wir hatten also keine Zeit zu verlieren.“

Mit Vorlage des eigentlichen Prüfungsberichts war es dann offiziell: Von den 15 beanstandeten Feststellungen fielen drei unter die Kategorie F4, waren also als „schwerwiegend“ eingestuft worden. „Ein historisch schlechtes Ergebnis für uns“, kommentiert Abel, denn: „Eine Feststellung in dieser Kategorie gab es bei uns vorher noch nie.“

Im Kern ging es darum, dass die Behörde die Ordnungsmäßigkeit der im Rahmen des Auslagerungs- und Weiterverlagerungsverhältnisses erbrachten Aktivitäten und Prozesse in Frage stellte. Umso mehr galt es, die bereits eingeleiteten Maßnahmen zu forcieren. Das Programm audIT besteht mittlerweile aus acht Einzelprojekten und hat zum Ziel, alle notwendigen Maßnahmen zur Behebung der beanstandeten Mängel bis Ende 2021 weitgehend abzuschließen. Abel: „Ein ehrgeiziger Plan – aber machbar.“

Andreas Abel
Andreas Abel
Leiter des Bereichs Risiko-, Compliance-, Sicherheitsmanagement und Recht
„Die BaFin hat die Fortschritte bei der Abarbeitung der Feststellungen positiv zur Kenntnis genommen. Aber Entwarnung gibt es deshalb noch nicht.“
bto_paragraph

Enge Zusammenarbeit mit der FinanzGruppe

Die bisher erzielten Ergebnisse untermauern diese Einschätzung (siehe Kasten unten). Von Anfang an setzte die Fiducia & GAD auf die enge Zusammenarbeit mit der genossenschaftlichen FinanzGruppe. Die Banken wurden ausführlich über den mit der BaFin abgestimmten Abarbeitungsplan informiert. Beim Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR) wurde eigens ein Lenkungskreis mit Vorständen von Primärbanken und Prüfungsverbänden eingerichtet, in dem regelmäßig über die Fortschritte bei audIT berichtet wird und wichtige Impulse aus der FinanzGruppe einfließen.

Die Behebung der Mängelliste kann laut Abel nicht hoch genug eingeschätzt werden: „Unsere Kunden sind zu Recht beunruhigt, weil die Aufsicht die Ordnungsmäßigkeit unserer Leistungen in Frage gestellt hat.“ Kein Wunder also, dass das Programm für den Vorstand der Fiducia & GAD höchste Priorität hat. Dementsprechend haben der Vorstand und die zuständigen Bereichsleiter intern den audIT-Steuerungskreis ins Leben gerufen, um grundlegende Richtungsentscheidungen abzustimmen, finale Projektergebnisse und die regelmäßige Berichterstattung an die Aufsicht abzunehmen.

Erstes Zwischenergebnis: Die BaFin hat die Fortschritte bei der Abarbeitung der Feststellungen positiv zur Kenntnis genommen. Aber: „Entwarnung gibt es deshalb noch nicht“, so Abel. Die Aufsicht könne jederzeit eine erneute Prüfung vornehmen, um den aktuellen Status zu kontrollieren. „Das ist wie bei einem Marathonlauf – vor Erreichen der Ziellinie ist er nicht beendet, und man muss auf der Strecke auch mal die Zähne zusammenbeißen.“

44er-Prüfung: Was ist das?

Laut Paragraf 44 des Kreditwesengesetzes ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) berechtigt, jederzeit und ohne Anlass Einblick in sämtliche Vorgänge und Unterlagen einer Bank zu verlangen, um die Ordnungsmäßigkeit ihrer Geschäftsorganisation zu überprüfen. Dazu gehören auch die Aufgaben, die die Volksbanken und Raiffeisenbanken an die Fiducia & GAD auslagern. Deshalb waren auch die Fiducia & GAD und ihre Tochtergesellschaft parcIT von der mehrwöchigen 44er-Prüfung ab Spätsommer 2018 betroffen, obwohl diese eigentlich bei einer Volksbank vorgenommen wurde.

bto_dokument

audIT: Erste Meilensteine (Auswahl)

  • Aktualisierung von Berechtigungskonzepten und Rollenmodellierung auf produktiven IT-Systemen
  • Inbetriebnahme eines unternehmensweit einheitlichen Systems für die Erkennung von Sicherheitsereignissen
  • Definition eines Katalogs für die Identifizierung von Sicherheitsereignissen und Aufbau eines Teams im Security Operation Center zu deren Überwachung und Bearbeitung
  • Vierteljährliches Reporting an den Aufsichtsrat
  • Transparentere Berichterstattung zum Stand der Risiken gegenüber den Banken
bto_landschaft