Mit der Implementierung der neuen Compliance-Funktion im Rahmen der MaRisk-Novellierung vom Dezember 2012 und den zu Beginn diesen Jahres erfolgten umfangreichen Änderungen des Kreditwesengesetzes sind einschneidende Veränderungen in den Kreditinstituten in Gang gesetzt worden. Was bisher nur aus dem Wertpapierumfeld bekannt war, muss sich nun auch in einer umfassenden Compliance-Funktion niederschlagen. Vor allem die im KWG definierte persönliche Haftung der Geschäftsleiter untermauert die besondere Bedeutung der neuen Anforderungen.
Was ist passiert? In der Vergangenheit lag der Schwerpunkt der Compliancearbeit im weitesten Sinne in der Gesetzeskonformität. Compliance-Mitarbeitern fiel die Rolle von Beratern und Überwachern zu: Auf der einen Seite der Wertpapier-Compliancebeauftragte, der auf die Einhaltung der wertpapierrelevanten Normen zu achten hatte. Auf der anderen der Geldwäschebeauftrage mit dem Fokus der Verhinderung von Geldwäsche, Terrorismusfinanzierung und der Vermeidung von strafbaren Handlungen. Weitere Funktionen, wie Datenschutz- oder IT-Sicherheitsbeauftragte, ergänzen diese Auflistung – wenn auch nicht abschließend. Fand bisher nur eine von der Gesamtsicht isolierte, fachspezifische Betrachtung statt, besteht nun eine neue globale Anforderung mit dem Ziel, eine Gesamtübersicht aller wesentlichen Compliancesachverhalte in einem Haus zu bekommen. Neben der Nutzung von Synergien soll vor allem die Geschäftsleitung in die Lage versetzt werden, die Risikolage des Institutes kompetent überblicken zu können.
Eine jahrzehntelange Organisation wird zerbrochen – und muss neu aufgebaut werden
Wie kann aber nun die neue „große“ Compliance-Funktion am effektivsten und effizientesten implementiert werden? Welche Synergien und Potenziale können sich hieraus ergeben? Wohin kann die neue Funktion führen, und welche Rolle, welches Selbstverständnis kann sie einnehmen? Diese Fragen lassen sich zwar nicht pauschal beantworten, jedoch sollte sich jedes Institut darauf einstellen, dass die jahrzehntelange Aufbauorganisation von Fachbereichen, Vorstand und Revision durch die neue Funktion zerbrochen und in den nächsten Jahren neu definiert werden muss.
In diesem Zusammenhang müssen zudem die Anforderungen an das Risikomanagement betrachtet werden: Sämtliche der genannten Compliance-Funktionen beschäftigen sich letztlich intensiv mit Risiken, sei es in Form der Risikoanalyse nach MaComp, GWG und MaRisk oder den hieraus abgeleiteten Maßnahmen. Die MaRisk fordern schließlich auch ein funktionierendes Management der operationellen Risiken. Diese Tatsachen bergen übrigens ein enormes Synergiepotenzial.
Compliance erhält wesentliche Rolle im fachlichen Risikomanagement
Fast jedes Compliance-Risiko, mit denen sich die hier beschriebenen Funktionen auseinandersetzen müssen, ist ein operationelles Risiko. Eine globale Compliance-Funktion sollte daher eine wesentliche Rolle im Rahmen des fachlichen Risikomanagements einnehmen. Was bedeutet das konkret? Sieht man die auf der neuen MaRisk basierende Compliance als eine übergeordnete, also vor die Klammer gezogene, Compliance-Funktion, kann bzw. muss diese in ihrer Eigenschaft als zweite Verteidigungslinie wesentlich dafür Sorge tragen, dass das definierte Risikopotential erreicht wird. Dies können Risiken in Bezug auf Vermögensschäden, Reputationsschäden, Prüfungsfeststellungen der Wirtschaftsprüfer, aufsichtsrechtliche Sanktionen oder strafrechtliche Konsequenzen sein. Compliance wäre somit die unabhängige Überwachungsinstanz zwischen den umsetzungsverantwortlichen Fachbereichen und dem Vorstand. Durch die Einbindung in das Beschwerdemanagement, die OP-Risk-Schadensdatenbank, das neue Hinweisgebersystem und in die mit MaRisk in Einklang stehenden Veränderungsprozesse kann hier eine stetige Überwachung und Bewertung von Risiken und ein Abgleich mit schlagend gewordenen Schäden erfolgen.
Compliance fungiert somit als unabhängiger Berater, Überwacher, Defizit- und Risikomanager eines angemessenen bankweiten und durch die Geschäftsleitung akzeptierten Risikos.
