Mit der 4. MaRisk-Novelle hat die deutsche Bankenaufsicht BaFin eine zusätzliche Compliance-Funktion neben der bisherigen Wertpapier- und Geldwäsche-Compliance eingeführt.
Basis für diese Entscheidung waren die Erfahrungen der Finanzmarktkrise, die den Kreditinstituten hohe Schäden durch Kundenklagen in der Beratung und dem Verkauf von Anlageprodukten eingebracht hat. Hinzu kamen Verluste durch Entschädigungsleistungen im Kreditgeschäft, die zu einem großen Teil durch vertragliche Schwächen der Kreditverträge verursacht wurden („Compliance-Risiko“). Diese Schäden resultierten u.a. dadurch, dass die Institute Normenänderungen nicht oder nicht rechtzeitig vertraglich berücksichtigt haben. Mit der Einführung der neuen MaRisk-Compliance-Funktion sollen in den Instituten Normenänderungen frühzeitig erkannt und deren wirksame Umsetzung sichergestellt werden. Dieser Beitrag stellt die Herausforderung der MaRisk gemäß AT 4.4.2 in Bezug auf die Identifizierung und die Wesentlichkeitsbeurteilung von Normen und deren Verzahnung mit dem IKS dar und schlägt einen potenziellen Umsetzungsweg vor.
Die Compliance-Funktion nach den MaRisk
Es sind die Bereiche und Normen zu identifizieren, die unter Compliance-Gesichtspunkten mit besonderen Risiken behaftet sind, d.h. dass ein Compliance-Risiko schlagend werden kann. Über die klassischen Compliance-Themen hinaus sind hierunter weitere Regelungen zu subsumieren, die insbesondere den Verbraucherschutz (z.B. im Kreditgeschäft) im Fokus haben. Diese Regelungen sind in der Regel nicht in den direkten bankaufsichtsrechtlichen Normen zu finden sondern sind z.B. im Bürgerlichen Gesetzbuch geregelt. Auf dieser Basis haben die Institute eigenverantwortlich zu prüfen, in welchen Bereichen weitere Compliance-Risiken existieren, die zu materiellen Verlusten führen können. Dies sind in der Regel Verluste, die auch im Rahmen einer Verlustdatensammlung für operationelle Risiken enthalten sind bzw. sein müssen.
Grundsätzlich ist es den Kreditinstituten freigestellt, wo die neue Compliance-Funktion angesiedelt ist und ob eine zentrale oder dezentrale Aufstellung gewählt wird. In der Praxis zeigt sich, dass die ursprüngliche Compliance-Funktion um diese Aufgaben erweitert wird oder die Rechtsabteilung diese Aufgabe wahrnehmen soll. In kleineren Instituten obliegt dem Head of Risk Control oftmals auch die Verantwortung für Compliance und wäre somit ebenfalls in Personalunion MaRisk-Compliance-Beauftragter. Von besonderer Bedeutung ist die Schaffung einer „Three-lines-of-defence“-Struktur, bei der die operative Verantwortung für die Umsetzung der Normen bei den Fachbereichen im Front- und Back-Office verbleibt. Die Compliance-Funktion agiert als Second Line und führt die Themen aus der „Vogelperspektive“ zusammen. Um dieser Aufgabe gerecht werden zu können, benötigt sie einen äußerst praktikablen „Werkzeugkasten“, welcher Ihnen in der nächsten Ausgabe dargestellt wird.
