The „Regulatory Change Risk” and how to handle it

Neue Aufgaben und ein neues Selbstverständnis: Compliance Officer Markus Müller (Certified Compliance Professional, CCP) berichtet über „Compliance als Change-Manager und Trusted Advisor“. Und er klärt auch auf, was wohl Wilhelm Busch gesagt haben würde – hätte es zu seiner Zeit bereits Compliance gegeben.


Abbildung Beitrag Regulatory Change Risk

Change-Management ist für die meisten Unternehmen und Manager vieles, aber sicher kein völliges Neuland. Ob es sich um Änderungen der Organisationsstruktur, der Geschäftsbereiche oder des Unternehmens selbst handelt: Veränderungsprozesse haben in vielen Unternehmen mittlerweile die Kontinuität einer Konstante erreicht. Zumeist ist es für Vorstand und Führungskräfte dann die Herausforderung, den Mitarbeitern die großen Veränderungen in geeigneter Weise zu kommunizieren. Vielfach werden Change-Projekte dabei durch externe oder interne Berater begleitet und moderiert.

Die Regulatory Changes

Eine Parallele hierzu weisen regulatorische Neuerungen, Veränderungen und Auslegungen, kurz gesagt „Regulatory Changes“, auf. Das mittlerweile in den meisten Unternehmen der Finanzbranche nicht mehr ganz so ungewohnte Gefühl hierbei ist jedoch, dass letzten Endes nicht mehr der Vorstand und damit das Unternehmen selbst die Zügel in der Hand hat, sondern ein staatlicher oder supranationaler Akteur wie beispielsweise BaFin, EBA oder EZB das (Unternehmens-)Steuerrad, mit gesetzlich legitimiertem Auftrag, in die Hand nimmt.

Diese Akteure machen nicht nur eigene Vorgaben und Empfehlungen, sondern sitzen damit plötzlich auch im Driver-Seat des Agenda-Setters und bestimmen die Rahmenbedingungen und Spielregeln für Unternehmen und ganze Branchen. Eine große Herausforderung ist dabei nicht nur, eine nicht vom Unternehmen selbst beschlossene Veränderung den Mitarbeitern, sondern vielmehr einen außerhalb des Unternehmens entschiedene Verpflichtung für das Unternehmen, etwa ein neues Gesetz zur Bankenregulierung, den eigenen Führungskräften im Unternehmen zu vermitteln. Diese Anforderung an Finanzinstitute ergibt sich dabei sowohl aus der unternehmerischen Notwendigkeit, wie auch aus der regulatorischen Beaufsichtigung (siehe Abbildung: Regulatorische Beaufsichtigung).

Abb.: Regulatorische Beaufsichtigung (Überblick über den Regulierungsrahmen, gesetzliche Vorgaben und Anforderungen, sowie die nationalen und europäischen Aufsichten und Regulatoren).

Hierbei liegt der Fokus im regulatorischen Screening vor allem auf den Veränderungen außerhalb des Unternehmens. Das hieraus besonders für Unternehmen in stark regulierten Branchen entstehende „Regulatory Change Risk“ kann beispielsweise die

  • Nichterkennung,
  • Nichtumsetzung,
  • Nichteinhaltung

 neuer oder veränderter wesentlicher rechtlicher Regelungen und Vorgaben (Normen), aber auch eine

  • fehlerhafte oder unvollständige Umsetzung und Einhaltung

umgesetzter Normen und Standards sein. Hierdurch ergibt sich faktorenkumulativ das regulatorische Compliance-Risiko der Nichtangemessenheit und/oder der Nichtwirksamkeit der Umsetzung und Einhaltung wesentlicher rechtlicher Regelungen und Vorgaben im Unternehmen. Neben der managementgerechten Aufbereitung dieser wesentlichen Normen gilt es hierbei die Verantwortlichkeiten im eigenen Unternehmen zu identifizieren.

Ferner müssen Unternehmen diese Zuständigkeiten und Verantwortlichkeiten nicht nur formal festlegen, sondern auch darauf hinwirken, dass die neuen Regelungen umgesetzt und dauerhaft eingehalten werden. Neben der Einhaltung sind auch wirksame Kontrollen entscheidend. Als ein Beispiel für neue oder (stark) geänderte gesetzliche Regelungen kann MiFID II genannt werden.

Dabei hat eine neue oder geänderte regulatorische Vorgabe nahezu immer einen negativen Externalitätseffekt auf der Kostenseite. Dieses Spannungsfeld zwischen

  • angespannter Ertragslage durch das Niedrigzinsumfeld,
  • Kostendruck durch Mitbewerber und internationale Banken,
  • Marktveränderung durch Fintechs und
  • hohe Kosten für die Umsetzung neuer Regulierungsanforderungen

hat gerade für deutsche Banken die Kosten- und Ertragsstruktur nach der Finanzkrise 2008 massiv verändert.

Der regulatorische Tsunami

„Erst kam die Finanzkrise, dann der regulatorische Tsunami“, so der Titel eines Vortrags von Andreas Gehrke beim BANKINGCLUB-Kongress COMPLIANCEforBANKS“ 2019. In dem Spannungsfeld zwischen notwendigen aufsichtsrechtlichen Anforderungen und nicht minder wichtigen unternehmerischen Freiheitsgraden kommt der Compliance-Funktion eine völlig neue Bedeutung zu. Dabei ist die Aufgabe der Compliance-Abteilung im Unternehmen sowohl die Beratung als auch die Unterstützung der Geschäftsleitung bei der Einhaltung der rechtlichen Regelungen und Vorgaben. Wie wichtig die Aufgaben der Compliance-Abteilung sind, zeigen verschiedenste Bilanzskandale.

Das Image der Compliance-Funktionen

Damit wandelt sich das Image der Compliance-Funktionen in Unternehmen, die diesen Mehrwert von Compliance als regulatorischen Inhouse Veränderungs-Manager erkannt haben, vom vermeintlichen Rule-Based „Geschäfts-Verhinderer“ hin zu einen Risked-Based „Trusted Advisor“. Compliance ist dabei eine besondere Form des Reputationsmanagements für den „Unternehmens-Lebenslauf“ und achtet darauf, dass das „polizeiliche Führungszeugnis“ der Firma sauber und „compliant“ bleibt.

Stakeholder der Compliance-Funktion sind dabei sowohl Vorstand und Aufsichtsrat, aber insbesondere auch Mitarbeiter, Geschäftspartner, Geldgeber und Aufsicht. Hierdurch ergibt sich der besondere Stellenwert, den die Compliance-Funktion zusammen mit dem Vorstand, als verbindlich gelebten „Tone from the Top“, bei der Etablierung der Governance- und Unternehmenskultur nicht nur formal umzusetzen, sondern mit Leben zu füllen hat.

Compliance muss hier zu einem „Selbstverständnis des partnerschaftlichen Enablers“ finden und gerade in den schwierigen Fahrwassern der Bankenregulierung mehr zu einem verlässlichen, aber zugleich auch kritischen Partner der Geschäftsbereiche werden. Man kann das Ganze natürlich auch kürzer auf den Punkt bringen: Compliance ist das gute Gewissen der Firma und Garant für ein sauberes unternehmerisches Verhalten (… und eben nicht das Feigenblatt eines sich selbst enthaften wollenden Vorstands).

Im Spannungsfeld der Regulatorik

Der falsche Weg wäre es, hieraus in „guter Absicht“ eine geschäftsverhindernde Compliance-Herrschaft ableiten zu wollen. Auf der anderen Seite wäre ein fahrlässiger Umgang mit der Einhaltung gesetzlicher Vorgaben und ethischer Standards ebenso kritisch zu sehen. Dieses regulatorische Change-Risiko sollte jedem Manager und Entscheidungsträger bewusst sein.

Die Kunst ist es, im Spannungsfeld der Regulatorik den richtigen, risikobasierten Ansatz zu finden, der Compliance-Risiken erkennt, die Umsetzung geschäftspolitischer Chancen ermöglicht und das Entstehen wesentlicher Compliance-Risiken verhindert oder zumindest begrenzt und den relevanten Entscheidungsträgern transparent macht.

Die neue Normalität der Regulatorik

Diese „neue Normalität“ einer Vielzahl regulatorischer Neuerungen und Veränderungen lässt sich dabei beispielsweise nach dem Best-Practice-Modell des Compliance-Lifecycles nach MaRisk abbilden, der auch für Corporates Anwendung finden kann (vgl. Compliance-Berater 4/2020 und 5/2020: Der Compliance-Lifecycle und die Corporate-Compliance-Funktion nach MaRisk – Teil 1 & 2. Tipp: Mehr Input dazu bekommen Sie auch auf unserem Fachkongress „COMPLIANCEforBANKS 2020“). Hierdurch entsteht die Prozesseffizienz, die zur Erfüllung eines Inhouse-Advisory-Ansatzes geschaffen werden muss. Denn manuell ist das Normenmonitoring in der regulatorischen Compliance vieler Unternehmen und Branchen schon lange nicht mehr zu bewerkstelligen.

Beispielsweise würde es bei einer Lesegeschwindigkeit von 50 Wörtern pro Minute und einer Stunde Lesezeit pro Tag etwa 32 Jahre dauern, allein die komplette europäische Bankenregulierung mit 4.000 Regeln auf über 34.000 Druckseiten zu lesen (vgl. Patrick Jendro: Radar für die Regulatorik, SparkassenZeitung vom 6. Januar 2020).

Im Kern ist es dabei für die Banken und Versicherer in Deutschland mittlerweile am wichtigsten, wieder eine nachhaltige Wettbewerbsfähigkeit zu erlangen. Dabei kann auch die effiziente Umsetzung regulatorischer Themen eine enorme Bedeutung erlangen und einen Wettbewerbsvorteil darstellen.

Im Arbeitsalltag bieten hierzu diverse Anbieter Informationssysteme für die regulatorische Compliance. Diese verfügen (nach Anpassung für ein Unternehmen) über die reine Datenbasis hinaus über workflowgestützte Weiterverarbeitungen der regulatorischen Informationen und leisten damit einen wesentlichen Beitrag zur systembruchfreien Prozesseffizienz und zur Handhabung des sonst nahezu unkalkulierbaren „Regulatory Change Risk“.

Bedingtes Proportionalitätsprinzip

Regulatorik ist dabei für die Finanz- und Bankenwelt zu einem Multi-Stakeholder-Labyrinth im Spannungsfeld der Aufsicht(en) geworden. Es kommt nun mehr denn je darauf an, stets eine aktuelle Übersicht (vgl. Normeninventar in Verbindung mit Risikoanalyse) davon zu haben, was wirklich wichtig ist und worauf der institutsspezifische Fokus liegen sollte.

Mit Blick auf die Verlautbarung der BaFin, grundsätzlich alle Leitlinien sowie Fragen und Antworten (Q&A) in ihre Verwaltungspraxis zu übernehmen, sollten auch kleinere Banken Leitlinien wie den „EBA Guidelines on Internal Governance“ eine höhere Beachtung beimessen, da sich durch die veränderte Sichtweise der Aufsicht auch für kleinere Institute ein abgeschwächtes oder „bedingtes Proportionalitätsprinzip“ ergeben könnte.

Compliance-Management-System

Ergänzend hierzu stellte bereits 2017 ein höchstrichterliches Urteil des BGH (vgl. BGH, 09.05.2017 – 1 StR 265/16) ausdrücklich fest, dass der Aufbau und die wirksame Ausgestaltung eines Compliance-Management-Systems (CMS) eine haftungsvermeidende beziehungsweise haftungsverringernde Wirkung für die Organe der Unternehmensleitung (Haftung der Unternehmensleitung, sowie gegebenenfalls die der jeweiligen Beauftragtenfunktionen) und somit eine Verringerung der damit verbundenen Bußgelder haben kann.

Die Einbindung der Compliance-Funktion im Rahmen des internen Kontrollsystems (IKS) und der regulatorischen Überwachungs-Infrastruktur (vgl. Compliance-Berater 4/2020 und 5/2020: Der Compliance-Lifecycle und die Corporate-Compliance-Funktion nach MaRisk – Teil 1 & 2) kommt hierbei eine besondere Bedeutung zu.

Besonders für die Akteure im Finanz- und Bankenumfeld wuchs damit in der letzten Dekade seit der Finanzkrise 2008/2009 immer mehr die Bedeutung, einen effizienten sowie sachgerechten Umgang mit den zahlreichen Vorschriften und Auslegungen sicher zu stellen. Hierzu ist sowohl das eigene Tun als auch das Handeln systematisch, nachvollziehbar und nachweisfähig auszugestalten. Gleichzeitig sollte es aber auch nachhaltig, effizient und ressourcenschonend strukturiert werden.

In Deutschland werden diese Vorgaben seitens der nationalen Aufsicht für Finanzdienstleistungen (BaFin) seit Ende 2017 in der fünften MaRisk-Novelle fixiert. Bereits mit der vierten MaRisk-Novelle wurde hierzu neben den beiden etablierten Compliance-Funktionen im Bankenumfeld (Geldwäsche- und Betrugsbekämpfung/AML sowie Compliance Kapitalmarkt) die Regulatorik als dritte Säule der Compliance-Funktionen geschaffen, sodass die Bankenregulierung der potenziell verschärften Regulierung der Large-Corporates gut eine Dekade voraus ist.

In diesem Zusammenhang wurde mit der MaRisk-Compliance eine generalistische Funktion zur Hinwirkung auf die Umsetzung und dauerhafte Einhaltung aller wesentlichen rechtlichen Regelungen und Vorgaben fundamentiert (vgl. Compliance-Berater 4/2020 und 5/2020: Der Compliance-Lifecycle und die Corporate-Compliance-Funktion nach MaRisk – Teil 1 & 2).

Nichts wissen ist auch keine Lösung

Spätestens in den letzten Jahren, in denen immer wieder spektakuläre Fälle von Gesetzesverstößen an die Öffentlichkeit gelangt sind, zeigt die öffentliche Diskussion um Themen wie die Einführung eines Unternehmensstrafrecht, dass Schutzbehauptungen wie „Davon habe ich nichts gewusst“ zunehmend an Glaubwürdigkeit verlieren oder als Organisationsversagen gewertet werden.

Hier stellt sich die Frage, warum Entscheidungsträger angeblich wenig gewusst haben. Diese Frage stellen sich interessierte Staatsbürger, Politiker, aber auch nationale und internationale Aufsichtsbehörden sowie Gerichte in den letzten Jahren immer häufiger.

Trotz der digitalen Möglichkeiten ist ein global agierendes Unternehmen sicherlich zu groß, um jedes Detail selbst steuern zu können. Dennoch deuten viele, „auf grün gestellte Ampeln“, tendenziell schon einmal auf ein systematischeres Problem hin (siehe „Be sensitive to compliance — „Davon habe ich nichts gewusst(!)“ oder „Warum Manager und Aufsichtsräte nur grüne Ampeln sehen wollen?“). Insbesondere bei den Bilanzskandalen der letzten Jahre ist es nicht glaubwürdig, dass entsprechende Warnsignale mehrheitlich übersehen wurden. Wie die Erfahrung zeigt: In den seltensten Fällen handelt es sich bei Bilanzfälschern um Einzeltäter.

Fehler- und Unternehmenskultur

Die eigentliche Hinterfragung sollte daher auf die Entscheidungs-, Fehler- und Risikokultur eines Unternehmens abzielen und Hand in Hand mit der Frage nach der gelebten Compliance-Kultur gestellt werden. Dabei sollten zum Beispiel folgende Fragen gestellt werden:

  1. Wie werden Fehler in der Unternehmenskultur gelebt?
  2. Ist die Unternehmenskultur eher formalistisch in Leitsätzen und Broschüren zur eigenen Gewissensberuhigung niedergeschrieben oder gelebter „Tone from the Top“ und „Tone from the Middle“?
  3. Wird der Überbringer einer schlechten Nachricht im Unternehmen ins Abseits gestellt und nicht ernst genommen oder wünscht man sich eine offene Fehler- und Kritikkultur im eigenen Hause?

Eins haben die Big-Player auf jeden Fall gemeinsam: In ihren Hochglanzbroschüren bekennt man sich freizügig zu Werten, Moral und der sozialen Verantwortung. Die Frage, die es sich immer zu stellen lohnt, ist daher nicht primär nach Kontrollen und theoretischer Firmenkultur, sondern vielmehr nach der Ausgestaltung der Anreizsysteme sowie der gelebten Unternehmenskultur.

Hier ist es wichtig, dass die Unternehmenskultur sowohl beim Setzen von (individuellen) Anreizsystemen, als auch beim internen Kontrollsystem (IKS) nicht auf die drei berühmten Affen (Nichts sehen, nichts hören, nichts sagen) setzt. Frei nach dem Motto „Davon habe ich nichts gewusst“ kann dies schnell dazu führen, dass man auf Managementebene, vielleicht sogar unbewusst, eigentlich nur noch grüne Ampeln sehen will oder eben (vor-)gezeigt bekommt.

Genau hier setzt die Unternehmenskultur an, die der Eigentümer (beispielsweise kurzfristige Renditeerwartung versus Nachhaltigkeit in der Geschäftspolitik) und das Management in das Unternehmen tragen. Hierzu zählt auch, welche Compliance- und Risikokultur etabliert wird und ob sie als Teil der Nachhaltigkeitsstrategie oder doch nur als Kostenfaktor gesehen wird.

Die Frage „Was wollt ihr eigentlich?“ müssen sich letztlich die Eigentümer und Entscheidungsträger eines Unternehmens gefallen lassen. Letztlich muss man sich oftmals also an die eigene Nase fassen und stellt fest, dass es allein durch das Gute im Menschen und ein Setzen von formalen Regeln – ohne unabhängige interne und externe Kontrollen – kaum möglich ist, einen gesellschaftlich wünschenswerten Zustand zu erreichen. Hier setzt zumeist die Regulierung an, da individueller Rationalismus schnell zu kollektivem Irrationalismus führen kann.

Dabei entscheidet der oftmals schmal gewordene Grad zwischen Stakeholder Value, unternehmerischem Gewinnstreben, Nachhaltigkeit, Compliance- und Risikokultur im Unternehmen einerseits und staatliche Regulierung und Wirtschaftsförderung andererseits, zwischen nachhaltigem Erfolg einzelner Unternehmen, ganzer Branchen und nationaler Volkswirtschaften (siehe „Be sensitive to compliance — „Davon habe ich nichts gewusst(!)“ oder „Warum Manager und Aufsichtsräte nur grüne Ampeln sehen wollen?“). Dieser Mammutaufgabe haben sich Unternehmen, Politik und Gesellschaft nun mehr denn je zu stellen um das „Regulatory Changes“ im Unternehmen effizient, effektiv und nachhaltig umzusetzen.

Und die Moral von der Geschichte: Mit Compliance verscherzt man‘s sich besser nicht. So zumindest würde es wohl Wilhelm Busch gesagt haben, hätte es zu seiner Zeit bereits Compliance gegeben.

Lesen Sie auch

Fachbeiräte