Die Compliance-Funktion nach MaRisk und ihr Compliance-Life-Cycle

Die BaFin hat mit der 4. Novelle der MaRisk die Implementierung einer neuen Compliance-Funktion vorgeschrieben. Ein nachhaltig wirksamer MaRisk-Compliance-Life-Cycle, welcher einen ganzheitlichen Ansatz verfolgt, kann hierbei zahlreiche Vorteile bieten. Von Markus M├╝ller, Christian Gudat, Sascha Alpers und Johannes Engels


Damit sich Compliance-Beauftragte nicht im Labyrinth aus Regulatorik verlaufen, ist es wichtig, die ├ťbersicht ├╝ber die Lage zu behalten. Bildnachweis: iStock.com/erhui1979

Regulatorik ist wie ein Labyrinth: Wenn man hindurch gehen will oder sogar darin leben muss, ist es wichtig, immer einen aktuellen Plan des Labyrinths zu haben. Mit der 4. MaRisk-Novelle, welche die Bundesanstalt f├╝r Finanzdienstleistungen (BaFin) im Dezember 2012 ver├Âffentlicht hat, wurde neben den beiden etablierten Compliance-Funktionen im Bankenumfeld (Kapitalmarkt sowie Geldw├Ąsche- und Betrugsbek├Ąmpfung) eine dritte Compliance-S├Ąule geschaffen ÔÇô die der Regulatorik.

In diesem Zusammenhang wurde mit der MaRisk-Compliance eine generalistische Funktion zur Hinwirkung auf die Umsetzung und Einhaltung aller wesentlichen gesetzlichen und regulatorischen Anforderungen fundamentiert. Unter Wahrung des Proportionalit├Ątsprinzips f├╝r die Institute selbst wurde der MaRisk-Compliance-Funktion ein risikobasierter Aspekt der Wesentlichkeit zugestanden. Vor dem Hintergrund des Regulierungszwecks zur Vermeidung oder zumindest Verminderung von Compliance-Risiken finden sich im damaligen Protokoll zur Sitzung des Fachgremiums MaRisk der BaFin am 24. April 2013 weitere Ausf├╝hrungen zur Ausgestaltung der MaRisk-Compliance-Funktion, die das urspr├╝ngliche Fundament des neuen Compliance-Zweiges im Finanzumfeld begr├╝nden.

Aufgabe und gesetzliche Legitimation

Die MaRisk-Compliance-Funktion bezieht ihren gesetzlichen Auftrag und ihre damit verbundene Legitimation aus dem AT 4.4.2 der MaRisk und somit aus dem KWG. Entgegen eines naheliegenden m├Âglichen Irrtums, die MaRisk-Compliance sei ausschlie├člich f├╝r die Einhaltung der Mindestanforderungen an das Risikomanagement zust├Ąndig, umfasst sie als Corporate-Compliance-Funktion vielmehr das gesamte Spektrum des Hinwirkens auf die Einhaltung der Regelkonformit├Ąt im Gesamtunternehmen. Die MaRisk-Compliance-Funktion hat dabei auf die Implementierung wirksamer Verfahren zur Einhaltung der f├╝r das jeweilige Institut wesentlichen rechtlichen Regelungen und Vorgaben (risikobasierter Ansatz) und entsprechender Kontrollen hinzuwirken sowie die Gesch├Ąftsleitung hinsichtlich dieser zu beraten (Tz.1).

Die Kernaufgaben umfassen die Identifikation wesentlicher rechtlicher Regelungen und Vorgaben (Tz.2) [Legal Screening] und die mindestens j├Ąhrliche bzw. anlassbezogene, direkte Berichterstattung zur Gesch├Ąftsleitung, zum Aufsichtsorgan und zur Internen Revision (Tz.3 i.V.m. Tz.7) [Reporting]. Aus dem Anforderungspaket zur Kontrolle der Einhaltung der f├╝r das Institut wesentlichen rechtlichen Regelungen und Vorgaben (Tz.1) in Verbindung mit der Berichterstattungspflicht unter Beachtung einer Beurteilung von Angemessenheit und Wirksamkeit der umgesetzten Regelungen l├Ąsst sich die Pflicht zur Durchf├╝hrung von risikoorientierten ├ťberwachungshandlungen [Review] ableiten.

Mit der 5. MaRisk-Novelle vom 27. Oktober 2017 ergeben sich weitere Anforderungen, die in den meisten Instituten wahrscheinlich bereits umgesetzt sein d├╝rften. So ist nach Tz.8 bei einem Wechsel der Position des Compliance-Beauftragten das Aufsichtsorgan rechtzeitig vorab unter Angabe der Gr├╝nde zu informieren. Ebenso schreibt Tz.4 f├╝r systemrelevante Institute nunmehr verpflichtend vor, dass die MaRisk-Compliance-Funktion eine eigenst├Ąndige Organisationseinheit zu sein hat. Weitere Neuerungen sind dar├╝berhinausgehend von Instituten, die direkt von der Europ├Ąischen Zentralbank beaufsichtigt werden, bei der Ausgestaltung der Compliance-Funktion nach MaRisk zu beachten. Die ÔÇ×EBA Guideline on Internal GovernanceÔÇť liegt seit 2018 ebenfalls in ihrer deutschen Fassung als ÔÇ×Leitlinien zur internen GovernanceÔÇť vor. Mit Blick auf die Verlautbarung der BaFin, grunds├Ątzlich alle Leitlinien sowie Fragen und Antworten (Q&A) in ihre Verwaltungspraxis zu ├╝bernehmen, sollten jedoch auch kleinere Banken dieser Leitlinie besondere Beachtung schenken.

Erg├Ąnzend weisen die Autoren auf das h├Âchstrichterliche Urteil des BGH (BGH, 09.05.2017 – 1 StR 265/16) hin, welcher bereits 2017 erstmals ausdr├╝cklich festgestellt hatte, dass der Aufbau und die wirksame Ausgestaltung eines Compliance-Management-Systems (CMS) eine haftungsvermeidende bzw. -verringernde Wirkung f├╝r die Organe der Unternehmensleitung und somit eine Verringerung der damit verbundenen Bu├čgelder haben kann.

Die oben stehende Abbildung gibt ihrerseits einen ├ťberblick ├╝ber eine m├Âgliche Aufstellung der Compliance-Funktion in einem Kreditinstitut. Der vorliegende Ansatz verfolgt dabei das Ziel einer integrierten MaRisk-Compliance-Funktion im Sinne einer zentralen Regulatory- bzw. Corporate-Compliance-Funktion. Die gew├Ąhlte Darstellung basiert ihrerseits auf dem KISS-Prinzip (keep it short and simple), welches zu einem KISS-D Ansatz (keep it short, simple and dynamic) erweitert wurde. Diese Erweiterung bringt den Vorteil mit sich, dass Transformationsprozesse in gesetzlichen Anforderungen und in der internen Organisationsstruktur leichter und schneller ber├╝cksichtigt werden k├Ânnen.

Der Strukturansatz folgt einem Cube-Team-Konzept und bringt eine Reihe von Vorteilen mit sich. Hierunter fallen unter anderem die Flexibilit├Ąt, strategische Themen- und Aufgabenb├╝ndelungen vorzunehmen, Verantwortlichkeiten festzulegen, Beratungsthemen als Teams herauszuziehen und wieder einzugliedern, sowie die Vermeidung von Interessenkonflikten und eine dynamische Transformation innerhalb der Aufgabengebiete und Themenschwerpunkte. Ein m├Âglicher Ausgestaltungsansatz ist dabei die Etablierung als integrierte, generalistische dritte S├Ąule der Compliance.

Die Umsetzung einer Drei-S├Ąulen-Compliance

Abb. 1: Integrierte MaRisk-Compliance-Funktion mit Querschnittsaufgaben. Daumann, M, & Leicht, S. (Hrsg.), (2018) Arbeitsbuch regulatorische Compliance: Muster, Vorlagen, Checklisten aus der Praxis, 2. Auflage, Finanz Colloquium Heidelberg; M├╝ller, M. (2018), S. 179-185

Ein grundlegendes Element zum Handling der Dynamik in der regulatorischen Compliance stellt das nachfolgend beschriebene Modell des MaRisk-Compliance-Life-Cycle dar. Dieses Modell wurde 2018 erstmals als Ausblick im Arbeitsbuch regulatorische Compliance (Frankfurter Arbeitskreis Compliance & Governance) beschrieben und wird nachfolgend in erweiterter Form wiedergegeben.

Ansatz:

Die Etablierung eines nachhaltig wirksamen MaRisk-Compliance-Life-Cycle stellt in erster Linie einen ganzheitlichen Ansatz der Erkennung, Hinwirkung, Umsetzungsbegleitung und -kontrolle dar. Er dient der ├ťberwachung und Berichterstattung in Verbindung mit einem kontinuierlichen Anpassungs- und Selbstkontrollprozess, der dynamische mit statischen Elementen verbindet. Der Life-Cycle an sich bildet dabei den Informations-, Handlungs- und Kontrollfluss ab.

Dieser repr├Ąsentiert einen in sich selbst geschlossenen, fortlaufenden Prozesskreislauf und stellt dabei unter Ber├╝cksichtigung externer Faktoren, wie neuer gesetzlicher Anforderungen, Ad-hoc-Sachverhalten etc., einen fortlaufenden und sich selbst verbessernden Workflow sicher. In seiner erweiterten Form bindet dieser Prozess sukzessive weitere Quellen an. Diese folgen als interne oder externe Quelle dem Prinzip einer single source of truth (SST) und k├Ânnen beispielsweise gewichtet in einen quantitativen oder beurteilt in einen qualitativen Teil der Compliance(risiko)analyse einbezogen werden oder als Trigger-Event f├╝r Ad-hoc-Themen dienen.

Risikoprofil wesentlicher rechtlicher Regelungen und Vorgaben

Das Risikoprofil wird auf Basis von Relevanz, Wesentlichkeit und Risiko der (wesentlichen) rechtlichen Regelungen und Vorgaben in Verbindung mit weiteren Kriterien (z.B. 2nd-Level-Controls, Anwendungsdatum bzw. Umsetzungsfrist etc.) ermittelt. Dar├╝ber hinaus sollten alle relevanten Quellen, wie beispielsweise die Ergebnisse bisheriger risikobasierter ├ťberwachungshandlungen (auch Vor-Ort-Kontrollen), durch die MaRisk-Compliance-Funktion, die Pr├╝fergebnisse der internen Revision, neue und ge├Ąnderte regulatorische Anforderungen, Erkenntnisse aus dem Whistleblowing, Implikationen aus dem Beschwerdemanagement (siehe Neuerung zu BT 12 MaComp und BaFin-Rundschreiben 06/2018: Mindestanforderungen an das Beschwerdemanagement) sowie alle sonstigen relevanten Informationsquellen (z.B. OpRisk) entsprechend ber├╝cksichtigt werden.

Die Risikoanalyse bewertet dabei einerseits Risiken aus der Nichteinhaltung der wesentlichen rechtlichen Regelungen und Vorgaben, andererseits stellt sie den entsprechenden Risiken die bereits bestehenden Verfahren zur Sicherstellung der Einhaltung dieser Rechtsnormen in der Bank gegen├╝ber. Die Risiken aus der Nichteinhaltung der einzelnen wesentlichen rechtlichen Regelungen und Vorgaben werden dabei auf Basis weiterer Risikokriterien bewertet. Die Risikoanalyse bildet damit eine valide, systematische und reproduzierbare Grundlage f├╝r die ├ťberwachungshandlungen der MaRisk-Compliance-Funktion. Dabei m├╝ssen nicht alle internen Verfahren zur Einhaltung der Rechtsnormen gleicherma├čen in die ├ťberwachungshandlungen der Compliance-Funktion einbezogen werden.

Aus Sicht der BaFin (Rundschreiben 47/13 des Bankenfachverbandes vom 28. August 2013) kommt es darauf an, die den abzuleitenden Ma├čnahmen vorgelagerte Risikoanalyse auf alle Bereiche des Instituts auszudehnen, um so m├Âgliche Compliance-Risiken vollst├Ąndig zu erfassen. Dabei sollen vom Grundsatz her auch jene Rechtsbereiche eingeschlossen werden, die in weiteren Analyseschritten aufgrund geringer Relevanz wieder aus dem Kontroll-/T├Ątigkeitsfeld der MaRisk-Compliance-Funktion ausgeklammert werden k├Ânnen. Analog zu diesem inhaltlichen Ansatz basiert der Umfang der Risikoanalyse auf dem vollumf├Ąnglichen Mengenansatz eines ggf. additiven Normen-Inventars. Auf Grundlage dieser Parameter wird der j├Ąhrliche ├ťberwachungsplan erstellt.

Quantitativ-Qualitativer-Bewertungsansatz

Die Festlegung eines wirksamen ├ťberwachungsplans erfolgt j├Ąhrlich auf Grundlage der Ergebnisse der Risikoanalyse und ber├╝cksichtigt sowohl festgelegte Bewertungskriterien (quantitativer Teil) als auch einen Ermessensspielraum der MaRisk-Compliance-Funktion (qualitativer Teil). Hierzu werden Brutto- und Netto-Risiken ermittelt und ordinal bewertet. Die qualitative Bewertungskomponente erm├Âglicht es der MaRisk-Compliance-Funktion, einen anlassbezogenen ├ťberwachungsfokus festzulegen und auf neue oder ver├Ąnderte Compliance-Risiken zeitnah zu reagieren. Grundlage bildet dabei immer die ├ťberwachung der Umsetzung und Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben in enger Verbindung mit den Gesch├Ąftsaktivit├Ąten und M├Ąrkten, auf denen sich das jeweilige Finanzinstitut bewegt (Rundschreiben 47/13 des Bankenfachverbandes vom 28. August 2013).

Prozess & Relevanz-Wesentlichkeit-Risiko-Analyse (RWR-Analyse)

Die von der MaRisk-Compliance-Funktion durchzuf├╝hrenden Kontroll- und ├ťberwachungshandlungen basieren dabei auf dem MaRisk-Lifecycle. Dieser verbindet die Compliance-Komponenten Relevanz (a), Wesentlichkeit (b) und Risiko (c) mit den daraus abgeleiteten ├ťberwachungshandlungen.

Der ├ťberwachungsplan (d) mit den entsprechenden ├ťberwachungshandlungen (e) ergibt sich dabei als Folgeschritt der RWR-Analyse in den Schritten (a), (b) und (c) des MaRisk-Compliance-Lifecycle. Diese folgt auf die Bestandsaufnahme bzw. -aktualisierung (x) und geht in die Berichterstattung des Jahresberichts (f) bzw. anlassbezogener Ad-hoc-Berichte (g) ├╝ber, welche wiederum zumeist auf auf Ad-hoc-Informationen und -Ereignissen (y) beruhen.

Abb. 2: erweitertes Modell des MaRisk-Compliance-Lifecycle

Verantwortlichkeiten, Kommunikation und Innen-/Au├čenwirkung

Die MaRisk-Compliance-Funktion steht fachlich sowohl innerhalb des Instituts (Innenwirkung) gegen├╝ber Leitungs- und Fachfunktionen als auch in der Au├čenwirkung gegen├╝ber Aufsichtsbeh├Ârden, (Banken-)Pr├╝fern und dem Jahresabschlusspr├╝fer im Scope. Im inhaltlichen Fokus stehen dabei unter anderem folgende Themenbereiche: Normen und Prozess (Rechtsmonitoring, Abstimmung, Beurteilung der Wesentlichkeit, Zuweisung prim├Ąrer und sekund├Ąrer Verantwortlichkeiten, Umsetzungs├╝berwachung etc.), Risikoanalyse (Durchf├╝hrung und Weiterentwicklung des risikobasierten Ansatzes etc.), Erstellung des ├ťberwachungsplans, Durchf├╝hrung von ├ťberwachungshandlungen und Erstellung von ├ťberwachungsvermerken (Auftaktgespr├Ąche und Durchf├╝hrung, Vor-Ort-Pr├╝fungen, Abstimmung mit der Internen Revision, Beurteilung von Angemessenheit und Wirksamkeit und verfassen des Pr├╝fungsberichtes, Er├Âffnung von Feststellungen und Ma├čnahmen etc.), Berichterstattung an den Vorstand (Quartalsberichterstattung, Jahresbericht, Ad-hoc-Bericht etc.), Einbindung (z.B. gem├Ą├č AT 8.1 und AT 8.2 MaRisk, Whistleblowing, OpRisk, BCM, Auslagerungen, zentrale Projektbeantragung etc.), Konsolidierung regulatorischer Verst├Â├če.

Reporting

Das Reporting der MaRisk-Compliance-Funktion hat sowohl in Form einer mindestens j├Ąhrlich durchzuf├╝hrenden Regelberichterstattung (z.B. Jahresbericht, Quartalsbericht etc.) als auch durch eine anlassbezogene Ad-hoc-Berichterstattung zu erfolgen. Beide Berichtsarten basieren dabei auf einer validen Sachverhaltskl├Ąrung in Form von ├ťberwachungshandlungen durch die MaRisk-Compliance-Funktion, die somit im Bedarfsfall auch ad hoc erforderlich sein k├Ânnen. Daher bilden sowohl der ├ťberwachungsplan als auch Ad-hoc-Ereignisse und -Informationen einen Ausgangspunkt f├╝r entsprechende ├ťberwachungs- und Berichtserfordernisse.

Abb. 3: MaRisk-Reporting-Line

Basierend auf AT 4.4.2 Tz. 7 MaRisk hat die MaRisk-Compliance-Funktion mindestens j├Ąhrlich sowie anlassbezogen der Gesch├Ąftsleitung ├╝ber ihre T├Ątigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu m├Âglichen Defiziten sowie zu Ma├čnahmen zu deren Behebung zu enthalten. Die Berichte sind auch an das Aufsichtsorgan und die Interne Revision weiterzuleiten.

Fazit

Die MaRisk-Compliance-Funktion ist einerseits Spezialist im Compliance-Umfeld und andererseits Generalist in der Bank. Anders als bisherige Compliance-Funktionen bildet sie eine breite Klammerfunktion ├╝ber alle Teilbereiche der Finanzinstitutionen ab und geht im Gruppenansatz weit dar├╝ber hinaus. Kurz gesagt, die regulatorische Corporate-Compliance ist eine neue S├Ąule der Compliance, die einerseits sehr dynamisch ist, andererseits die Langfristbetrachtung einer soliden Etablierung und nachhaltigen Einhaltung wesentlicher rechtlicher Regelungen und Vorgaben im Fokus hat. Dabei ist sie eine Zentralfunktion, die sich in der letzten halben Dekade sehr schnell entwickelte und zum Teil erst einmal selbst finden musste.

Der Artikel gibt ausschlie├člich die pers├Ânliche Meinung der Autoren wieder und muss nicht der Auffassung der Institutionen entsprechen, in denen die Autoren beruflich t├Ątig sind.

Die weiteren Autoren:

Dr. Johannes Engels, Diplom-Volkswirt und Lehrbeauftragter an mehreren Hochschulen in Rheinland-Pfalz.
Sascha Alpers, Deputy Head of Compliance Wealth Management DE bei UBS Europe SE.
Christian Gudat, Regulatory Officer in der Abteilung Compliance und Sicherheit bei der Deutschen Hypothekenbank.