Home Newsletter Datenbank News Berater-Magazin Abo Bücher eBooks Veranstaltungen
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
 
 
CB 2020, 106
Müller/Gudat/Reich/Rinker 

CB-Beitrag

Markus Müller, Christian Gudat, Julia Reich und Dr. Carola Rinker

Der Compliance-Lifecycle und die Corporate-Compliance-Funktion nach MaRisk – Teil 1

Regulatorik ist für die Finanz- und Bankenwelt zu einem Multi-Stakeholder-Labyrinth im Spannungsfeld der Aufsicht(en) geworden. Der Beitrag skizziert, wie sich ein betroffenes Institut mit Hilfe des Compliance-Lifecycle und der Corporate-Compliance-Funktion den aktuellen regulatorischen Herausforderungen stellen kann. Im vorliegenden Teil 1 des Beitrags werden dazu die Aufgaben und die gesetzliche Legitimation der Compliance-Funktion nach MaRisk dargestellt und in einem Konzept der regulatorischen Überwachungs-Infrastruktur eingeordnet. Teil 2 erscheint in CB 5/2020 und beschäftigt sich mit konkreten Umsetzungsmaßnahmen, Digitalisierungsansätzen und der Übertragbarkeit hin zu einer branchenunabhängigen zentralen Corporate-Compliance-Funktion.

I. Einleitung

Es kommt mehr denn je darauf an, stets eine aktuelle Übersicht1 davon zu haben, was wirklich wichtig ist und worauf der institutsspezifische Fokus liegen sollte. Insbesondere für die Akteure im Finanz- und Bankenumfeld wuchs in der letzten Dekade seit der Finanzkriese (2008) immer mehr die Bedeutung, einen effizienten und sachgerechten Umgang mit den zahlreichen Vorschriften und Auslegungen sicher zu stellen. Hierzu ist das eigene Tun und Handeln systematisch, nachvollziehbar und nachweisfähig auszugestalten. Gleichzeitig sollte es aber auch nachhaltig, effizient sowie ressourcenschonend strukturiert werden.

In Deutschland wird dieses seitens der nationalen Aufsicht für Finanzdienstleistungen seit Ende 2017 in der fünften MaRisk-Novelle fixiert. Bereits mit der vierten MaRisk-Novelle, welche die Bundesanstalt für Finanzdienstleistungen (BaFin) im Dezember 2012 veröffentlicht hatte, wurde neben den beiden etablierten Compliance-Funktionen im Bankenumfeld (Geldwäsche- und Betrugsbekämpfung/ AML, sowie Compliance Kapitalmarkt) die Regulatorik als dritte Säule der Compliance-Funktionen geschaffen (Abb. 1). In diesem Zusammenhang wurde mit der MaRisk-Compliance eine generalistische Funktion zur Hinwirkung auf die Umsetzung und dauerhafte Einhaltung aller wesentlichen rechtlichen Regelungen und Vorgaben (Normen) fundamentiert. Im Oktober 2017 hat die deutsche Bankenaufsicht BaFin hierzu die fünfte MaRisk-Novelle veröffentlicht, die zusätzliche Anforderungen, u. a. an die Compliance-Funktion, beinhaltet.

Unter Wahrung des Proportionalitätsprinzips für die Institute wurde der MaRisk-Compliance-Funktion dabei ein risikobasierter Ansatz der Wesentlichkeitsbetrachtung zugestanden. Hierdurch ist es möglich, den Fokus auf die wesentlichen rechtlichen Regelungen und Vorgaben zu lenken und nicht Gefahr zu laufen, am aufsichtsrechtlichen Ziel vorbei, einen parallelen Selbstzweck zu entwickeln. Vor diesem Hintergrund des Regulierungszwecks zur Vermeidung oder zumindest Verminderung von Compliance-Risiken finden sich im damaligen Protokoll2 zur Sitzung des Fachgremiums MaRisk der BaFin am 24. 4. 2013 weitere Ausführungen zum grundlegenden Ansatz und der Ausgestaltung der MaRisk-Compliance-Funktion. Diese Ausführungen haben das ursprüngliche Fundament des neuen Compliance-Zweiges im Finanzumfeld begründet. Die Vorgaben aus dem Fachgremium MaRisk aus 2013 lassen sich jedoch nicht mehr unreflektiert von der vierten auf die fünfte MaRisk-Novelle übertragen. Gleichwohl bilden sie nach wie vor eine Fundamentalansicht ab, die sich beispielsweise in die Ausgestaltung des risikobasierten Ansatzes (Risk Based Approach) integrieren lässt.

II. Aufgabe der Compliance-Funktion nach MaRisk

Die MaRisk-Compliance-Funktion bezieht ihren gesetzlichen Auftrag und ihre damit verbundene Legitimation aus dem AT 4.4.2 der MaRisk3 und somit aus dem KWG. Entgegen eines möglicherweise naheliegenden Irrtums, die MaRisk-Compliance sei ausschließlich für die Einhaltung der Mindestanforderungen an das Risikomanagement (MaRisk) zuständig, ist ihr Aufgabenspektrum weit umfangreicher. Dieses umfasst als regulatorische Corporate-Compliance-Funktion vielmehr das gesamte Spektrum des Hinwirkens auf die Einhaltung der Regelkonfor-CB 2020 S. 106 (107)mität im Gesamtunternehmen. Die MaRisk-Compliance-Funktion hat dabei auf die Implementierung wirksamer Verfahren zur Einhaltung der für das jeweilige Institut wesentlichen rechtlichen Regelungen und Vorgaben (risikobasierter Ansatz/ Risk Based Approach) und entsprechender Kontrollen hinzuwirken. Zudem hat sie die Aufgabe die Geschäftsleitung hinsichtlich der Einhaltung der rechtlichen Regelungen und Vorgaben zu unterstützen und zu beraten (Tz. 1).

Abb. 1: Schaffung der MaRisk-Compliance-Funktion als generalistische Corporate-Compliance-Funktion im regulatorischen Umfeld (Historische Entwicklung der aufsichtsrechtlichen Anforderungen)

Abbildung 6

Die Kernaufgaben umfassen dabei u. a. die Elemente

  1. Bestimmung der konkreten Funktionsausgestaltung und des Filters für ein MaRisk-konformes Monitoring der rechtlichen Regelungen und Vorgaben (Design),

  2. Identifikation wesentlicher rechtlicher Regelungen und Vorgaben (Tz. 2, Legal Screening),

  3. Hinwirken auf die Umsetzung dieser wesentlichen rechtlichen Regelungen und Vorgaben, sowie die Etablierung entsprechender Kontrollen und die (risikobasierte) Sicherstellung deren dauerhafter Einhaltung (Tz. 1),

  4. Durchführung einer mindestens jährlich vorzunehmenden Compliance-Risikoanalyse (Tz. 2 i. V. m. Tz. 1) und

  5. Materialisierung der Ergebnisse der Funktionsausübung durch eine mindestens jährliche bzw. anlassbezogene direkte Berichterstattung zur Geschäftsleitung, zum Aufsichtsorgan und zur Internen Revision (Tz. 3 i. V. m. Tz. 7, Reporting).

Aus dem Anforderungspaket zur Kontrolle der Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben (Tz. 1) in Verbindung mit der Berichterstattungspflicht unter Beachtung einer Beurteilung von Angemessenheit und Wirksamkeit der umgesetzten Regelungen, lässt sich die Pflicht zur Durchführung von risikoorientierten Prüfungs- und Überwachungshandlungen (Review) ableiten.

III. Gesetzliche Legitimation der Compliance-Funktion nach MaRisk

Mit der fünften MaRisk-Novelle vom 27. 10. 2017 ergeben sich darüber hinaus zum Teil noch weitreichendere Anforderungen an die Finanzinstitute. So ist beispielsweise nach Tz. 8 bei einem Wechsel der Position des Compliance-Beauftragten das Aufsichtsorgan rechtzeitig vorab unter Angabe der Gründe zu informieren. Ebenso schreibt Tz. 4 für systemrelevante Institute seit 2017 verpflichtend vor, dass die MaRisk-Compliance-Funktion eine eigenständige Organisationseinheit zu sein hat.

Weitere Neuerungen4 sind darüberhinausgehend von Instituten, die direkt von der Europäischen Zentralbank (EZB) beaufsichtigt werden, bei der Ausgestaltung der Compliance-Funktion nach MaRisk zu beachten (Abb. 2). So liegen beispielsweise die „EBA Guideline on Internal Governance“ von 2017 seit Anfang 2018 in ihrer deutschen Fassung als „Leitlinien zur internen Governance“ vor.5 Mit Blick auf die Verlautbarung der BaFin, grundsätzlich alle Leitlinien sowie Fragen CB 2020 S. 106 (108)und Antworten (Q&A’s) in ihre Verwaltungspraxis zu übernehmen6, sollten jedoch auch kleinere Banken dieser Leitlinie eine höhere Beachtung schenken, da sich durch die veränderte Sichtweise der Aufsicht nun auch für kleinere Banken ein abgeschwächtes bzw. „bedingtes Proportionalitätsprinzip“ ergeben könnte.

Abb. 2: Regulatorische Beaufsichtigung (Überblick über den Regulierungsrahmen, gesetzliche Vorgaben und Anforderungen, sowie die nationalen und europäischen Aufsichten & Regulatoren)

Abbildung 7

Abb. 3: Mögliche Darstellung einer regulatorischen Überwachungs-Infrastruktur im Kontext eines integrierten CMS als Teil des IKS

Abbildung 8

Ergänzend hierzu stellte bereits 2017 ein höchstrichterliches Urteil des BGH7 ausdrücklich fest, dass der Aufbau sowie die wirksame Ausgestaltung eines Compliance Managements Systems (CMS) eine haftungsvermeidende bzw. -verringernde Wirkung für die Organe der Unternehmensleitung8 und somit eine Verringerung der damit verbundenen Bußgelder haben kann. Der Einbindung der Compliance-Funktion im Rahmen des internen Kontrollsystems (IKS) und der regulatorischen Überwachungs-Infrastruktur (Abb. 3) kommt hierbei eine besondere Bedeutung zu.

Die nachfolgende Darstellung (Abb. 4) gibt ihrerseits einen Überblick über eine mögliche Aufstellung der Compliance-Funktion in einem Kreditinstitut. Der vorliegende Ansatz verfolgt dabei das Ziel einer integrierten MaRisk-Compliance-Funktion im Sinne einer zentralen regulatorischen Corporate-Compliance-Funktion. Die gewählte Darstellung basiert ihrerseits auf dem KISS-Prinzip (keep it short and simple), das zu einem KISS-D Ansatz (keep it short, simple and dynamic) erweitert wurde. Diese Erweiterung bringt den Vorteil mit sich, dass Transformationsprozesse in gesetzlichen Anforderungen und in der internen Organisationsstruktur sowohl leichter als auch schneller berücksichtigt werden können.

Der Strukturansatz folgt dabei einem Cube-Team-Konzept und bringt eine Reihe positiver Handlungs- und Gestaltungsoptionen mit sich. Hierunter fallen unter anderem

  • große Flexibilität,

  • strategische Themen- und Aufgabenbündelung,

  • Festlegung von Verantwortlichkeiten,

  • Herauslösung und (Wieder-)Eingliederung von Beratungsthemen als Teams,

  • Vermeidung von Interessenskonflikten, sowie

  • dynamische Transformation innerhalb der Aufgabengebiete und Themenschwerpunkte.

Ein möglicher Ausgestaltungsansatz ist dabei die Etablierung als integrierte, generalistische dritte Säule (additives Integrationsmodell zur Komplexitätsreduktion im Change Prozess) der Compliance-Organisation.

Ein grundlegendes Element zur Bewältigung der Dynamik in der regulatorischen Compliance stellt das Modell des Compliance-Lifecycle nach MaRisk dar, das in Teil 2 des Beitrags (CB 5/2020) beschrieben wird.

IV. Zwischen-Fazit

Die MaRisk-Compliance-Funktion ist einerseits Spezialist im Compliance-Umfeld und andererseits Generalist im Finanz- und Bankenumfeld. Die ihr explizit durch die Aufsicht zugewiesene Aufgabe ist es, „weiße Flecken auf der regulatorischen Landkarte“ zu vermeiden und für ein gesetzeskonformes Verhalten des jeweiligen Unternehmens Sorge zu tragen. In Teil 2 des Beitrags wird dargestellt wie ein effizienter Umsetzungsansatz hierzu aussehen kann, welche Überlegungen in der konkreten Etablierung Berücksichtigung finden sollten und wie hierdurch eine Digitalisierung der Compliance-Funktion aktiv vorangetrieben werden kann.

CB 2020 S. 106 (109)

Abb. 4: Integrierte MaRisk-Compliance-Funktion mit Querschnittsaufgaben (Umsetzung einer Drei-Säulen-Compliance)

Abbildung 9

Der Beitrag gibt ausschließlich die persönliche Meinung der Autoren wieder und muss nicht der Auffassung der Institutionen entsprechen, in denen die Autoren beruflich tätig sind.

Autoren

Abbildung 10

Markus Müller, Dipl.–VWL, CCP, Referent MaRisk und Central Compliance, Landesbank Hessen-Thüringen (Helaba).

Abbildung 11

Christian Gudat, stellvertretender Compliance Beauftragter, Deutsche Hypothekenbank AG.

Abbildung 12

Julia Reich, Compliance Mitarbeiterin, Deutsche Hypothekenbank AG.

Abbildung 13

Dr. Carola Rinker (www.carolarinker.de), selbständige Unternehmensberaterin und Coach, studierte Volkswirtschaftslehre in Freiburg und Lyon. Seit 2019 ist sie Hauptversammlungssprecherin der Schutzgemeinschaft der Kapitalanleger e. V.

1

Normeninventar i. V. m. Risikoanalyse.

2

Siehe BaFin-Website: https://www.bafin.de/SharedDocs/Downloads/DE/Protokoll/dl_protokoll_130424_FG_marisk.pdf?__blob=publicationFile&v=3.

3

Siehe BaFin-Website: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs0917_marisk_Endfassung_2017_pdf_ba.pdf?__blob=publicationFile&v=5).

4

EBA Guideline on Internal Governance under Directive 2013/36/EU (EBA/GL/2017/11) vom 26. 9. 2017.

5

Siehe EBA-Website: https://www.eba.europa.eu/documents/10180/2164689/Guidelines+on+Internal+Governance+%28EBA-GL-2017 –11 %29_DE.pdf/411fdd9d-8174 –4366-ab36–3aa9b0a1d716).

6

Siehe BaFin-Website: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2018/meldung_180215_leitlinien_q_and_as_der_esas.html;jsessionid=02E3D176328569103F8FD746B8665D98.1_cid390).

7

BGH, 9. 5. 2017 – 1 StR 265/16.

8

Liability der Unternehmensleitung, sowie ggfs. die der jeweiligen Beauftragtenfunktionen.

 
stats