Regulatorik ist wie ein Labyrinth: Wenn man hindurch gehen will oder sogar darin leben muss, ist es wichtig, immer einen aktuellen Plan des Labyrinths zu haben. Mit der 4. MaRisk-Novelle, welche die Bundesanstalt fรผr Finanzdienstleistungen (BaFin) im Dezember 2012 verรถffentlicht hat, wurde neben den beiden etablierten Compliance-Funktionen im Bankenumfeld (Kapitalmarkt sowie Geldwรคsche- und Betrugsbekรคmpfung) eine dritte Compliance-Sรคule geschaffen โ die der Regulatorik.
In diesem Zusammenhang wurde mit der MaRisk-Compliance eine generalistische Funktion zur Hinwirkung auf die Umsetzung und Einhaltung aller wesentlichen gesetzlichen und regulatorischen Anforderungen fundamentiert. Unter Wahrung des Proportionalitรคtsprinzips fรผr die Institute selbst wurde der MaRisk-Compliance-Funktion ein risikobasierter Aspekt der Wesentlichkeit zugestanden. Vor dem Hintergrund des Regulierungszwecks zur Vermeidung oder zumindest Verminderung von Compliance-Risiken finden sich im damaligen Protokoll zur Sitzung des Fachgremiums MaRisk der BaFin am 24. April 2013 weitere Ausfรผhrungen zur Ausgestaltung der MaRisk-Compliance-Funktion, die das ursprรผngliche Fundament des neuen Compliance-Zweiges im Finanzumfeld begrรผnden.
Aufgabe und gesetzliche Legitimation
Die MaRisk-Compliance-Funktion bezieht ihren gesetzlichen Auftrag und ihre damit verbundene Legitimation aus dem AT 4.4.2 der MaRisk und somit aus dem KWG. Entgegen eines naheliegenden mรถglichen Irrtums, die MaRisk-Compliance sei ausschlieรlich fรผr die Einhaltung der Mindestanforderungen an das Risikomanagement zustรคndig, umfasst sie als Corporate-Compliance-Funktion vielmehr das gesamte Spektrum des Hinwirkens auf die Einhaltung der Regelkonformitรคt im Gesamtunternehmen. Die MaRisk-Compliance-Funktion hat dabei auf die Implementierung wirksamer Verfahren zur Einhaltung der fรผr das jeweilige Institut wesentlichen rechtlichen Regelungen und Vorgaben (risikobasierter Ansatz) und entsprechender Kontrollen hinzuwirken sowie die Geschรคftsleitung hinsichtlich dieser zu beraten (Tz.1).
Die Kernaufgaben umfassen die Identifikation wesentlicher rechtlicher Regelungen und Vorgaben (Tz.2) [Legal Screening] und die mindestens jรคhrliche bzw. anlassbezogene, direkte Berichterstattung zur Geschรคftsleitung, zum Aufsichtsorgan und zur Internen Revision (Tz.3 i.V.m. Tz.7) [Reporting]. Aus dem Anforderungspaket zur Kontrolle der Einhaltung der fรผr das Institut wesentlichen rechtlichen Regelungen und Vorgaben (Tz.1) in Verbindung mit der Berichterstattungspflicht unter Beachtung einer Beurteilung von Angemessenheit und Wirksamkeit der umgesetzten Regelungen lรคsst sich die Pflicht zur Durchfรผhrung von risikoorientierten รberwachungshandlungen [Review] ableiten.
Mit der 5. MaRisk-Novelle vom 27. Oktober 2017 ergeben sich weitere Anforderungen, die in den meisten Instituten wahrscheinlich bereits umgesetzt sein dรผrften. So ist nach Tz.8 bei einem Wechsel der Position des Compliance-Beauftragten das Aufsichtsorgan rechtzeitig vorab unter Angabe der Grรผnde zu informieren. Ebenso schreibt Tz.4 fรผr systemrelevante Institute nunmehr verpflichtend vor, dass die MaRisk-Compliance-Funktion eine eigenstรคndige Organisationseinheit zu sein hat. Weitere Neuerungen sind darรผberhinausgehend von Instituten, die direkt von der Europรคischen Zentralbank beaufsichtigt werden, bei der Ausgestaltung der Compliance-Funktion nach MaRisk zu beachten. Die โEBA Guideline on Internal Governanceโ liegt seit 2018 ebenfalls in ihrer deutschen Fassung als โLeitlinien zur internen Governanceโ vor. Mit Blick auf die Verlautbarung der BaFin, grundsรคtzlich alle Leitlinien sowie Fragen und Antworten (Q&A) in ihre Verwaltungspraxis zu รผbernehmen, sollten jedoch auch kleinere Banken dieser Leitlinie besondere Beachtung schenken.
Ergรคnzend weisen die Autoren auf das hรถchstrichterliche Urteil des BGH (BGH, 09.05.2017 – 1 StR 265/16) hin, welcher bereits 2017 erstmals ausdrรผcklich festgestellt hatte, dass der Aufbau und die wirksame Ausgestaltung eines Compliance-Management-Systems (CMS) eine haftungsvermeidende bzw. -verringernde Wirkung fรผr die Organe der Unternehmensleitung und somit eine Verringerung der damit verbundenen Buรgelder haben kann.
Die oben stehende Abbildung gibt ihrerseits einen รberblick รผber eine mรถgliche Aufstellung der Compliance-Funktion in einem Kreditinstitut. Der vorliegende Ansatz verfolgt dabei das Ziel einer integrierten MaRisk-Compliance-Funktion im Sinne einer zentralen Regulatory- bzw. Corporate-Compliance-Funktion. Die gewรคhlte Darstellung basiert ihrerseits auf dem KISS-Prinzip (keep it short and simple), welches zu einem KISS-D Ansatz (keep it short, simple and dynamic) erweitert wurde. Diese Erweiterung bringt den Vorteil mit sich, dass Transformationsprozesse in gesetzlichen Anforderungen und in der internen Organisationsstruktur leichter und schneller berรผcksichtigt werden kรถnnen.
Der Strukturansatz folgt einem Cube-Team-Konzept und bringt eine Reihe von Vorteilen mit sich. Hierunter fallen unter anderem die Flexibilitรคt, strategische Themen- und Aufgabenbรผndelungen vorzunehmen, Verantwortlichkeiten festzulegen, Beratungsthemen als Teams herauszuziehen und wieder einzugliedern, sowie die Vermeidung von Interessenkonflikten und eine dynamische Transformation innerhalb der Aufgabengebiete und Themenschwerpunkte. Ein mรถglicher Ausgestaltungsansatz ist dabei die Etablierung als integrierte, generalistische dritte Sรคule der Compliance.
Die Umsetzung einer Drei-Sรคulen-Compliance
Ein grundlegendes Element zum Handling der Dynamik in der regulatorischen Compliance stellt das nachfolgend beschriebene Modell des MaRisk-Compliance-Life-Cycle dar. Dieses Modell wurde 2018 erstmals als Ausblick im Arbeitsbuch regulatorische Compliance (Frankfurter Arbeitskreis Compliance & Governance) beschrieben und wird nachfolgend in erweiterter Form wiedergegeben.
Ansatz:
Die Etablierung eines nachhaltig wirksamen MaRisk-Compliance-Life-Cycle stellt in erster Linie einen ganzheitlichen Ansatz der Erkennung, Hinwirkung, Umsetzungsbegleitung und -kontrolle dar. Er dient der รberwachung und Berichterstattung in Verbindung mit einem kontinuierlichen Anpassungs- und Selbstkontrollprozess, der dynamische mit statischen Elementen verbindet. Der Life-Cycle an sich bildet dabei den Informations-, Handlungs- und Kontrollfluss ab.
Dieser reprรคsentiert einen in sich selbst geschlossenen, fortlaufenden Prozesskreislauf und stellt dabei unter Berรผcksichtigung externer Faktoren, wie neuer gesetzlicher Anforderungen, Ad-hoc-Sachverhalten etc., einen fortlaufenden und sich selbst verbessernden Workflow sicher. In seiner erweiterten Form bindet dieser Prozess sukzessive weitere Quellen an. Diese folgen als interne oder externe Quelle dem Prinzip einer single source of truth (SST) und kรถnnen beispielsweise gewichtet in einen quantitativen oder beurteilt in einen qualitativen Teil der Compliance(risiko)analyse einbezogen werden oder als Trigger-Event fรผr Ad-hoc-Themen dienen.
Risikoprofil wesentlicher rechtlicher Regelungen und Vorgaben
Das Risikoprofil wird auf Basis von Relevanz, Wesentlichkeit und Risiko der (wesentlichen) rechtlichen Regelungen und Vorgaben in Verbindung mit weiteren Kriterien (z.B. 2nd-Level-Controls, Anwendungsdatum bzw. Umsetzungsfrist etc.) ermittelt. Darรผber hinaus sollten alle relevanten Quellen, wie beispielsweise die Ergebnisse bisheriger risikobasierter รberwachungshandlungen (auch Vor-Ort-Kontrollen), durch die MaRisk-Compliance-Funktion, die Prรผfergebnisse der internen Revision, neue und geรคnderte regulatorische Anforderungen, Erkenntnisse aus dem Whistleblowing, Implikationen aus dem Beschwerdemanagement (siehe Neuerung zu BT 12 MaComp und BaFin-Rundschreiben 06/2018: Mindestanforderungen an das Beschwerdemanagement) sowie alle sonstigen relevanten Informationsquellen (z.B. OpRisk) entsprechend berรผcksichtigt werden.
Die Risikoanalyse bewertet dabei einerseits Risiken aus der Nichteinhaltung der wesentlichen rechtlichen Regelungen und Vorgaben, andererseits stellt sie den entsprechenden Risiken die bereits bestehenden Verfahren zur Sicherstellung der Einhaltung dieser Rechtsnormen in der Bank gegenรผber. Die Risiken aus der Nichteinhaltung der einzelnen wesentlichen rechtlichen Regelungen und Vorgaben werden dabei auf Basis weiterer Risikokriterien bewertet. Die Risikoanalyse bildet damit eine valide, systematische und reproduzierbare Grundlage fรผr die รberwachungshandlungen der MaRisk-Compliance-Funktion. Dabei mรผssen nicht alle internen Verfahren zur Einhaltung der Rechtsnormen gleichermaรen in die รberwachungshandlungen der Compliance-Funktion einbezogen werden.
Aus Sicht der BaFin (Rundschreiben 47/13 des Bankenfachverbandes vom 28. August 2013) kommt es darauf an, die den abzuleitenden Maรnahmen vorgelagerte Risikoanalyse auf alle Bereiche des Instituts auszudehnen, um so mรถgliche Compliance-Risiken vollstรคndig zu erfassen. Dabei sollen vom Grundsatz her auch jene Rechtsbereiche eingeschlossen werden, die in weiteren Analyseschritten aufgrund geringer Relevanz wieder aus dem Kontroll-/Tรคtigkeitsfeld der MaRisk-Compliance-Funktion ausgeklammert werden kรถnnen. Analog zu diesem inhaltlichen Ansatz basiert der Umfang der Risikoanalyse auf dem vollumfรคnglichen Mengenansatz eines ggf. additiven Normen-Inventars. Auf Grundlage dieser Parameter wird der jรคhrliche รberwachungsplan erstellt.
Quantitativ-Qualitativer-Bewertungsansatz
Die Festlegung eines wirksamen รberwachungsplans erfolgt jรคhrlich auf Grundlage der Ergebnisse der Risikoanalyse und berรผcksichtigt sowohl festgelegte Bewertungskriterien (quantitativer Teil) als auch einen Ermessensspielraum der MaRisk-Compliance-Funktion (qualitativer Teil). Hierzu werden Brutto- und Netto-Risiken ermittelt und ordinal bewertet. Die qualitative Bewertungskomponente ermรถglicht es der MaRisk-Compliance-Funktion, einen anlassbezogenen รberwachungsfokus festzulegen und auf neue oder verรคnderte Compliance-Risiken zeitnah zu reagieren. Grundlage bildet dabei immer die รberwachung der Umsetzung und Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben in enger Verbindung mit den Geschรคftsaktivitรคten und Mรคrkten, auf denen sich das jeweilige Finanzinstitut bewegt (Rundschreiben 47/13 des Bankenfachverbandes vom 28. August 2013).
Prozess & Relevanz-Wesentlichkeit-Risiko-Analyse (RWR-Analyse)
Die von der MaRisk-Compliance-Funktion durchzufรผhrenden Kontroll- und รberwachungshandlungen basieren dabei auf dem MaRisk-Lifecycle. Dieser verbindet die Compliance-Komponenten Relevanz (a), Wesentlichkeit (b) und Risiko (c) mit den daraus abgeleiteten รberwachungshandlungen.
Der รberwachungsplan (d) mit den entsprechenden รberwachungshandlungen (e) ergibt sich dabei als Folgeschritt der RWR-Analyse in den Schritten (a), (b) und (c) des MaRisk-Compliance-Lifecycle. Diese folgt auf die Bestandsaufnahme bzw. -aktualisierung (x) und geht in die Berichterstattung des Jahresberichts (f) bzw. anlassbezogener Ad-hoc-Berichte (g) รผber, welche wiederum zumeist auf auf Ad-hoc-Informationen und -Ereignissen (y) beruhen.
Verantwortlichkeiten, Kommunikation und Innen-/Auรenwirkung
Die MaRisk-Compliance-Funktion steht fachlich sowohl innerhalb des Instituts (Innenwirkung) gegenรผber Leitungs- und Fachfunktionen als auch in der Auรenwirkung gegenรผber Aufsichtsbehรถrden, (Banken-)Prรผfern und dem Jahresabschlussprรผfer im Scope. Im inhaltlichen Fokus stehen dabei unter anderem folgende Themenbereiche: Normen und Prozess (Rechtsmonitoring, Abstimmung, Beurteilung der Wesentlichkeit, Zuweisung primรคrer und sekundรคrer Verantwortlichkeiten, Umsetzungsรผberwachung etc.), Risikoanalyse (Durchfรผhrung und Weiterentwicklung des risikobasierten Ansatzes etc.), Erstellung des รberwachungsplans, Durchfรผhrung von รberwachungshandlungen und Erstellung von รberwachungsvermerken (Auftaktgesprรคche und Durchfรผhrung, Vor-Ort-Prรผfungen, Abstimmung mit der Internen Revision, Beurteilung von Angemessenheit und Wirksamkeit und verfassen des Prรผfungsberichtes, Erรถffnung von Feststellungen und Maรnahmen etc.), Berichterstattung an den Vorstand (Quartalsberichterstattung, Jahresbericht, Ad-hoc-Bericht etc.), Einbindung (z.B. gemรคร AT 8.1 und AT 8.2 MaRisk, Whistleblowing, OpRisk, BCM, Auslagerungen, zentrale Projektbeantragung etc.), Konsolidierung regulatorischer Verstรถรe.
Reporting
Das Reporting der MaRisk-Compliance-Funktion hat sowohl in Form einer mindestens jรคhrlich durchzufรผhrenden Regelberichterstattung (z.B. Jahresbericht, Quartalsbericht etc.) als auch durch eine anlassbezogene Ad-hoc-Berichterstattung zu erfolgen. Beide Berichtsarten basieren dabei auf einer validen Sachverhaltsklรคrung in Form von รberwachungshandlungen durch die MaRisk-Compliance-Funktion, die somit im Bedarfsfall auch ad hoc erforderlich sein kรถnnen. Daher bilden sowohl der รberwachungsplan als auch Ad-hoc-Ereignisse und -Informationen einen Ausgangspunkt fรผr entsprechende รberwachungs- und Berichtserfordernisse.
Basierend auf AT 4.4.2 Tz. 7 MaRisk hat die MaRisk-Compliance-Funktion mindestens jรคhrlich sowie anlassbezogen der Geschรคftsleitung รผber ihre Tรคtigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu mรถglichen Defiziten sowie zu Maรnahmen zu deren Behebung zu enthalten. Die Berichte sind auch an das Aufsichtsorgan und die Interne Revision weiterzuleiten.
Fazit
Die MaRisk-Compliance-Funktion ist einerseits Spezialist im Compliance-Umfeld und andererseits Generalist in der Bank. Anders als bisherige Compliance-Funktionen bildet sie eine breite Klammerfunktion รผber alle Teilbereiche der Finanzinstitutionen ab und geht im Gruppenansatz weit darรผber hinaus. Kurz gesagt, die regulatorische Corporate-Compliance ist eine neue Sรคule der Compliance, die einerseits sehr dynamisch ist, andererseits die Langfristbetrachtung einer soliden Etablierung und nachhaltigen Einhaltung wesentlicher rechtlicher Regelungen und Vorgaben im Fokus hat. Dabei ist sie eine Zentralfunktion, die sich in der letzten halben Dekade sehr schnell entwickelte und zum Teil erst einmal selbst finden musste.
Der Artikel gibt ausschlieรlich die persรถnliche Meinung der Autoren wieder und muss nicht der Auffassung der Institutionen entsprechen, in denen die Autoren beruflich tรคtig sind.
Die weiteren Autoren:
und Lehrbeauftragter an mehreren
Hochschulen in Rheinland-Pfalz.
Compliance Wealth Management DE
bei UBS Europe SE.
in der Abteilung Compliance und Sicherheit bei der Deutschen Hypothekenbank.
Markus Mรผller, Diplom Volkswirt, Certified Compliance Professional (CCP) und Certified Compliance Officer (CCO), ist Director Compliance (Abteilungsleiter Compliance & Beauftragter ZAG-MaRisk-Compliance) bei PAYONE.
Zuvor war er als Deputy Head MaRisk-Compliance fรผr die Citigroup Global Markets Europe AG in Frankfurt am Main tรคtig, und als Compliance Risk Management Officer (VP) im Kerngebiet Independent Compliance Risk Management zustรคndig fรผr das Themengebiet Regulatory- & MaRisk-Compliance.
Bis September 2020 war er bei der Helaba als Referent im Bereich Compliance, MaRisk- und Central-Compliance zustรคndig fรผr den Aufbau und die Weiterentwicklung der MaRisk-Compliance-Funktion. Einen Schwerpunkt bildete die Entwicklung des Compliance-Lifecycles und der Risikoanalyse nach MaRisk. Vor seinem Wechsel in das Compliance-Umfeld war Herr Mรผller gut zehn Jahre im Bereich Konzern- und Risikocontrolling tรคtig und wirkte hier u.a. an der IT-Weiterentwicklung und dem integrierten Reporting mit.
Darรผber hinaus ist er seit 2015 als IHK-Prรผfer im Prรผfungsausschuss Bankkaufleute tรคtig. Aufgrund seiner exzellenten Fachkenntnisse im Bereich der MaRisk-Compliance hat Herr Mรผller in vielen Fachzeitschriften und Fachbรผchern rund um das Thema Compliance publiziert und ist zudem ein gefragter Referent auf Veranstaltungen und Fachkongressen.