Regulatorik ist wie ein Labyrinth: Wenn man hindurch gehen will oder sogar darin leben muss, ist es wichtig, immer einen aktuellen Plan des Labyrinths zu haben. Mit der 4. MaRisk-Novelle, welche die Bundesanstalt für Finanzdienstleistungen (BaFin) im Dezember 2012 veröffentlicht hat, wurde neben den beiden etablierten Compliance-Funktionen im Bankenumfeld (Kapitalmarkt sowie Geldwäsche- und Betrugsbekämpfung) eine dritte Compliance-Säule geschaffen – die der Regulatorik.
In diesem Zusammenhang wurde mit der MaRisk-Compliance eine generalistische Funktion zur Hinwirkung auf die Umsetzung und Einhaltung aller wesentlichen gesetzlichen und regulatorischen Anforderungen fundamentiert. Unter Wahrung des Proportionalitätsprinzips für die Institute selbst wurde der MaRisk-Compliance-Funktion ein risikobasierter Aspekt der Wesentlichkeit zugestanden. Vor dem Hintergrund des Regulierungszwecks zur Vermeidung oder zumindest Verminderung von Compliance-Risiken finden sich im damaligen Protokoll zur Sitzung des Fachgremiums MaRisk der BaFin am 24. April 2013 weitere Ausführungen zur Ausgestaltung der MaRisk-Compliance-Funktion, die das ursprüngliche Fundament des neuen Compliance-Zweiges im Finanzumfeld begründen.
Aufgabe und gesetzliche Legitimation
Die MaRisk-Compliance-Funktion bezieht ihren gesetzlichen Auftrag und ihre damit verbundene Legitimation aus dem AT 4.4.2 der MaRisk und somit aus dem KWG. Entgegen eines naheliegenden möglichen Irrtums, die MaRisk-Compliance sei ausschließlich für die Einhaltung der Mindestanforderungen an das Risikomanagement zuständig, umfasst sie als Corporate-Compliance-Funktion vielmehr das gesamte Spektrum des Hinwirkens auf die Einhaltung der Regelkonformität im Gesamtunternehmen. Die MaRisk-Compliance-Funktion hat dabei auf die Implementierung wirksamer Verfahren zur Einhaltung der für das jeweilige Institut wesentlichen rechtlichen Regelungen und Vorgaben (risikobasierter Ansatz) und entsprechender Kontrollen hinzuwirken sowie die Geschäftsleitung hinsichtlich dieser zu beraten (Tz.1).
Die Kernaufgaben umfassen die Identifikation wesentlicher rechtlicher Regelungen und Vorgaben (Tz.2) [Legal Screening] und die mindestens jährliche bzw. anlassbezogene, direkte Berichterstattung zur Geschäftsleitung, zum Aufsichtsorgan und zur Internen Revision (Tz.3 i.V.m. Tz.7) [Reporting]. Aus dem Anforderungspaket zur Kontrolle der Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben (Tz.1) in Verbindung mit der Berichterstattungspflicht unter Beachtung einer Beurteilung von Angemessenheit und Wirksamkeit der umgesetzten Regelungen lässt sich die Pflicht zur Durchführung von risikoorientierten Überwachungshandlungen [Review] ableiten.
Mit der 5. MaRisk-Novelle vom 27. Oktober 2017 ergeben sich weitere Anforderungen, die in den meisten Instituten wahrscheinlich bereits umgesetzt sein dürften. So ist nach Tz.8 bei einem Wechsel der Position des Compliance-Beauftragten das Aufsichtsorgan rechtzeitig vorab unter Angabe der Gründe zu informieren. Ebenso schreibt Tz.4 für systemrelevante Institute nunmehr verpflichtend vor, dass die MaRisk-Compliance-Funktion eine eigenständige Organisationseinheit zu sein hat. Weitere Neuerungen sind darüberhinausgehend von Instituten, die direkt von der Europäischen Zentralbank beaufsichtigt werden, bei der Ausgestaltung der Compliance-Funktion nach MaRisk zu beachten. Die „EBA Guideline on Internal Governance“ liegt seit 2018 ebenfalls in ihrer deutschen Fassung als „Leitlinien zur internen Governance“ vor. Mit Blick auf die Verlautbarung der BaFin, grundsätzlich alle Leitlinien sowie Fragen und Antworten (Q&A) in ihre Verwaltungspraxis zu übernehmen, sollten jedoch auch kleinere Banken dieser Leitlinie besondere Beachtung schenken.
Ergänzend weisen die Autoren auf das höchstrichterliche Urteil des BGH (BGH, 09.05.2017 – 1 StR 265/16) hin, welcher bereits 2017 erstmals ausdrücklich festgestellt hatte, dass der Aufbau und die wirksame Ausgestaltung eines Compliance-Management-Systems (CMS) eine haftungsvermeidende bzw. -verringernde Wirkung für die Organe der Unternehmensleitung und somit eine Verringerung der damit verbundenen Bußgelder haben kann.
Die oben stehende Abbildung gibt ihrerseits einen Überblick über eine mögliche Aufstellung der Compliance-Funktion in einem Kreditinstitut. Der vorliegende Ansatz verfolgt dabei das Ziel einer integrierten MaRisk-Compliance-Funktion im Sinne einer zentralen Regulatory- bzw. Corporate-Compliance-Funktion. Die gewählte Darstellung basiert ihrerseits auf dem KISS-Prinzip (keep it short and simple), welches zu einem KISS-D Ansatz (keep it short, simple and dynamic) erweitert wurde. Diese Erweiterung bringt den Vorteil mit sich, dass Transformationsprozesse in gesetzlichen Anforderungen und in der internen Organisationsstruktur leichter und schneller berücksichtigt werden können.
Der Strukturansatz folgt einem Cube-Team-Konzept und bringt eine Reihe von Vorteilen mit sich. Hierunter fallen unter anderem die Flexibilität, strategische Themen- und Aufgabenbündelungen vorzunehmen, Verantwortlichkeiten festzulegen, Beratungsthemen als Teams herauszuziehen und wieder einzugliedern, sowie die Vermeidung von Interessenkonflikten und eine dynamische Transformation innerhalb der Aufgabengebiete und Themenschwerpunkte. Ein möglicher Ausgestaltungsansatz ist dabei die Etablierung als integrierte, generalistische dritte Säule der Compliance.
Die Umsetzung einer Drei-Säulen-Compliance
Ein grundlegendes Element zum Handling der Dynamik in der regulatorischen Compliance stellt das nachfolgend beschriebene Modell des MaRisk-Compliance-Life-Cycle dar. Dieses Modell wurde 2018 erstmals als Ausblick im Arbeitsbuch regulatorische Compliance (Frankfurter Arbeitskreis Compliance & Governance) beschrieben und wird nachfolgend in erweiterter Form wiedergegeben.
Ansatz:
Die Etablierung eines nachhaltig wirksamen MaRisk-Compliance-Life-Cycle stellt in erster Linie einen ganzheitlichen Ansatz der Erkennung, Hinwirkung, Umsetzungsbegleitung und -kontrolle dar. Er dient der Überwachung und Berichterstattung in Verbindung mit einem kontinuierlichen Anpassungs- und Selbstkontrollprozess, der dynamische mit statischen Elementen verbindet. Der Life-Cycle an sich bildet dabei den Informations-, Handlungs- und Kontrollfluss ab.
Dieser repräsentiert einen in sich selbst geschlossenen, fortlaufenden Prozesskreislauf und stellt dabei unter Berücksichtigung externer Faktoren, wie neuer gesetzlicher Anforderungen, Ad-hoc-Sachverhalten etc., einen fortlaufenden und sich selbst verbessernden Workflow sicher. In seiner erweiterten Form bindet dieser Prozess sukzessive weitere Quellen an. Diese folgen als interne oder externe Quelle dem Prinzip einer single source of truth (SST) und können beispielsweise gewichtet in einen quantitativen oder beurteilt in einen qualitativen Teil der Compliance(risiko)analyse einbezogen werden oder als Trigger-Event für Ad-hoc-Themen dienen.
Risikoprofil wesentlicher rechtlicher Regelungen und Vorgaben
Das Risikoprofil wird auf Basis von Relevanz, Wesentlichkeit und Risiko der (wesentlichen) rechtlichen Regelungen und Vorgaben in Verbindung mit weiteren Kriterien (z.B. 2nd-Level-Controls, Anwendungsdatum bzw. Umsetzungsfrist etc.) ermittelt. Darüber hinaus sollten alle relevanten Quellen, wie beispielsweise die Ergebnisse bisheriger risikobasierter Überwachungshandlungen (auch Vor-Ort-Kontrollen), durch die MaRisk-Compliance-Funktion, die Prüfergebnisse der internen Revision, neue und geänderte regulatorische Anforderungen, Erkenntnisse aus dem Whistleblowing, Implikationen aus dem Beschwerdemanagement (siehe Neuerung zu BT 12 MaComp und BaFin-Rundschreiben 06/2018: Mindestanforderungen an das Beschwerdemanagement) sowie alle sonstigen relevanten Informationsquellen (z.B. OpRisk) entsprechend berücksichtigt werden.
Die Risikoanalyse bewertet dabei einerseits Risiken aus der Nichteinhaltung der wesentlichen rechtlichen Regelungen und Vorgaben, andererseits stellt sie den entsprechenden Risiken die bereits bestehenden Verfahren zur Sicherstellung der Einhaltung dieser Rechtsnormen in der Bank gegenüber. Die Risiken aus der Nichteinhaltung der einzelnen wesentlichen rechtlichen Regelungen und Vorgaben werden dabei auf Basis weiterer Risikokriterien bewertet. Die Risikoanalyse bildet damit eine valide, systematische und reproduzierbare Grundlage für die Überwachungshandlungen der MaRisk-Compliance-Funktion. Dabei müssen nicht alle internen Verfahren zur Einhaltung der Rechtsnormen gleichermaßen in die Überwachungshandlungen der Compliance-Funktion einbezogen werden.
Aus Sicht der BaFin (Rundschreiben 47/13 des Bankenfachverbandes vom 28. August 2013) kommt es darauf an, die den abzuleitenden Maßnahmen vorgelagerte Risikoanalyse auf alle Bereiche des Instituts auszudehnen, um so mögliche Compliance-Risiken vollständig zu erfassen. Dabei sollen vom Grundsatz her auch jene Rechtsbereiche eingeschlossen werden, die in weiteren Analyseschritten aufgrund geringer Relevanz wieder aus dem Kontroll-/Tätigkeitsfeld der MaRisk-Compliance-Funktion ausgeklammert werden können. Analog zu diesem inhaltlichen Ansatz basiert der Umfang der Risikoanalyse auf dem vollumfänglichen Mengenansatz eines ggf. additiven Normen-Inventars. Auf Grundlage dieser Parameter wird der jährliche Überwachungsplan erstellt.
Quantitativ-Qualitativer-Bewertungsansatz
Die Festlegung eines wirksamen Überwachungsplans erfolgt jährlich auf Grundlage der Ergebnisse der Risikoanalyse und berücksichtigt sowohl festgelegte Bewertungskriterien (quantitativer Teil) als auch einen Ermessensspielraum der MaRisk-Compliance-Funktion (qualitativer Teil). Hierzu werden Brutto- und Netto-Risiken ermittelt und ordinal bewertet. Die qualitative Bewertungskomponente ermöglicht es der MaRisk-Compliance-Funktion, einen anlassbezogenen Überwachungsfokus festzulegen und auf neue oder veränderte Compliance-Risiken zeitnah zu reagieren. Grundlage bildet dabei immer die Überwachung der Umsetzung und Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben in enger Verbindung mit den Geschäftsaktivitäten und Märkten, auf denen sich das jeweilige Finanzinstitut bewegt (Rundschreiben 47/13 des Bankenfachverbandes vom 28. August 2013).
Prozess & Relevanz-Wesentlichkeit-Risiko-Analyse (RWR-Analyse)
Die von der MaRisk-Compliance-Funktion durchzuführenden Kontroll- und Überwachungshandlungen basieren dabei auf dem MaRisk-Lifecycle. Dieser verbindet die Compliance-Komponenten Relevanz (a), Wesentlichkeit (b) und Risiko (c) mit den daraus abgeleiteten Überwachungshandlungen.
Der Überwachungsplan (d) mit den entsprechenden Überwachungshandlungen (e) ergibt sich dabei als Folgeschritt der RWR-Analyse in den Schritten (a), (b) und (c) des MaRisk-Compliance-Lifecycle. Diese folgt auf die Bestandsaufnahme bzw. -aktualisierung (x) und geht in die Berichterstattung des Jahresberichts (f) bzw. anlassbezogener Ad-hoc-Berichte (g) über, welche wiederum zumeist auf auf Ad-hoc-Informationen und -Ereignissen (y) beruhen.
Verantwortlichkeiten, Kommunikation und Innen-/Außenwirkung
Die MaRisk-Compliance-Funktion steht fachlich sowohl innerhalb des Instituts (Innenwirkung) gegenüber Leitungs- und Fachfunktionen als auch in der Außenwirkung gegenüber Aufsichtsbehörden, (Banken-)Prüfern und dem Jahresabschlussprüfer im Scope. Im inhaltlichen Fokus stehen dabei unter anderem folgende Themenbereiche: Normen und Prozess (Rechtsmonitoring, Abstimmung, Beurteilung der Wesentlichkeit, Zuweisung primärer und sekundärer Verantwortlichkeiten, Umsetzungsüberwachung etc.), Risikoanalyse (Durchführung und Weiterentwicklung des risikobasierten Ansatzes etc.), Erstellung des Überwachungsplans, Durchführung von Überwachungshandlungen und Erstellung von Überwachungsvermerken (Auftaktgespräche und Durchführung, Vor-Ort-Prüfungen, Abstimmung mit der Internen Revision, Beurteilung von Angemessenheit und Wirksamkeit und verfassen des Prüfungsberichtes, Eröffnung von Feststellungen und Maßnahmen etc.), Berichterstattung an den Vorstand (Quartalsberichterstattung, Jahresbericht, Ad-hoc-Bericht etc.), Einbindung (z.B. gemäß AT 8.1 und AT 8.2 MaRisk, Whistleblowing, OpRisk, BCM, Auslagerungen, zentrale Projektbeantragung etc.), Konsolidierung regulatorischer Verstöße.
Reporting
Das Reporting der MaRisk-Compliance-Funktion hat sowohl in Form einer mindestens jährlich durchzuführenden Regelberichterstattung (z.B. Jahresbericht, Quartalsbericht etc.) als auch durch eine anlassbezogene Ad-hoc-Berichterstattung zu erfolgen. Beide Berichtsarten basieren dabei auf einer validen Sachverhaltsklärung in Form von Überwachungshandlungen durch die MaRisk-Compliance-Funktion, die somit im Bedarfsfall auch ad hoc erforderlich sein können. Daher bilden sowohl der Überwachungsplan als auch Ad-hoc-Ereignisse und -Informationen einen Ausgangspunkt für entsprechende Überwachungs- und Berichtserfordernisse.
Basierend auf AT 4.4.2 Tz. 7 MaRisk hat die MaRisk-Compliance-Funktion mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu möglichen Defiziten sowie zu Maßnahmen zu deren Behebung zu enthalten. Die Berichte sind auch an das Aufsichtsorgan und die Interne Revision weiterzuleiten.
Fazit
Die MaRisk-Compliance-Funktion ist einerseits Spezialist im Compliance-Umfeld und andererseits Generalist in der Bank. Anders als bisherige Compliance-Funktionen bildet sie eine breite Klammerfunktion über alle Teilbereiche der Finanzinstitutionen ab und geht im Gruppenansatz weit darüber hinaus. Kurz gesagt, die regulatorische Corporate-Compliance ist eine neue Säule der Compliance, die einerseits sehr dynamisch ist, andererseits die Langfristbetrachtung einer soliden Etablierung und nachhaltigen Einhaltung wesentlicher rechtlicher Regelungen und Vorgaben im Fokus hat. Dabei ist sie eine Zentralfunktion, die sich in der letzten halben Dekade sehr schnell entwickelte und zum Teil erst einmal selbst finden musste.
Der Artikel gibt ausschließlich die persönliche Meinung der Autoren wieder und muss nicht der Auffassung der Institutionen entsprechen, in denen die Autoren beruflich tätig sind.
Die weiteren Autoren: