Compliance bei mittelgroßen Leasing-Instituten ein Muss?

Differenziertes Bild am Markt

Abbildung 1: Zentrale Rolle und Verantwortlichkeiten Quelle: EY

Jürgen Siegl, Dirk Brechfeld - Drei Jahre MaRisk-Compliance zeigen ein sehr differenziertes Bild am Markt der Finanzdienstleister. Bislang hat sich noch kein wirklicher Standard entwickelt. Wie soll die Geschäftsführung mit dem Thema Compliance umgehen? Dieser und weiteren Fragen gehen die Autoren in diesem Beitrag nach.

Mit Beginn der sogenannten "KWG light"-Pflicht für Leasing-Institute im Jahr 2009 wird ein kontinuierlicher Rückgang reiner Finanzierungsleasing-Institute durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) konstatiert.

Im Zeitraum 2010 bis 2014 fiel die Anzahl deutscher Leasing-Institute um 38 Prozent von 499 auf 362 durch die Einstellung des Geschäftsbetriebs beziehungsweise die Verschmelzung von Objekt- oder Vendorgesellschaften.1) Ein wesentlicher Grund hierfür ist der im Zusammenhang mit dem "KWG light" stetig zunehmende Kostendruck aufgrund komplexer aufsichtsrechtlicher Compliance-Vorgaben, welche die Institute nicht mehr bewältigten konnten.

Dabei ist Compliance für Leasing-Institute unabdingbar, um wirtschaftliche Schäden zu vermeiden, haftungsbegrenzend beziehungsweise -vermeidend zu handeln sowie Kosten und Risiken zu kontrollieren. Insbesondere für mittelgroße Leasing-Institute erweist sich eine klar definierte und etablierte Compliance-Funktion strategisch als vorteilhaft. Sie ermöglicht, dass alle rechtlichen und regulatorischen Anforderungen im Institut beachtet sowie auftretende Diskrepanzen im Sinne von Compliance-Risiken zeitnah erkannt und kommuniziert werden. Außerdem können kurz-, mittel- und langfristig negative Effekte auf den Erfolg frühzeitig erkannt und so vorgebeugt werden, zum Beispiel durch drohende Rechtsverfahren beziehungsweise Image- und Reputationsschäden.

Verpflichtung

Der Ursprung konkreter Compliance-Anforderungen für Institute liegt im Wertpapierdienstleistungsgeschäft, welcher durch die Mindestanforderungen an Compliance (MaComp) konkretisiert ist. Die 4. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) vom 14. Dezember 2012 schreibt die Einrichtung einer umfassenden Compliance-Funktion erstmals für Institute explizit aufsichtsrechtlich vor. Die gesetzliche Verankerung der Ma-Risk befindet sich in § 25a KWG.2) Diese Vorgaben erläutert außerdem das Protokoll zur Sitzung des Fachgremiums MaRisk am 24. April 2013 in Bonn, in welchem die konkreten Anforderungen an Compliance diskutiert und ausgelegt werden.

Am 18. Februar 2016 hat die BaFin einen Konsultationsentwurf für eine Neufassung der derzeitigen MaRisk vorgelegt, die neben Spezifizierungen im Zusammenhang mit der Compliance-Funktion explizit Öffnungsklauseln für kleinere und mittelgroße Institute beinhaltet. So soll die Compliance-Funktion grundsätzlich in einem von den Bereichen Markt und Handel unabhängigen Bereich angesiedelt werden. Bei Instituten mit zwei Geschäftsleitern ist die Wahrnehmung der Funktion des Compliance-Beauftragten im Ausnahmefall durch den für die Bereiche Markt und Handel zuständigen Geschäftsleiter möglich, sofern die Interne Revision dem anderen Geschäftsleiter untersteht. Ferner muss bei einem Wechsel in der Leitung der Compliance-Funktionen künftig das Aufsichtsorgan rechtzeitig vorab und unter Angabe von Gründen informiert werden.

Für Leasing-Institute im Allgemeinen ist voranzustellen: Die Compliance-Funktion fällt aufgrund der Anforderungen unter die Verantwortung des Geschäftsführers beziehungsweise der Geschäftsleitung. Sie treffen Entscheidungen, welche vor allem das Organisationsmodell der Compliance-Funktion determinieren (zentrale versus dezentrale Organisationseinheit, Compliance-Strategie, Zusammenarbeit zweier unabhängiger Organe - Compliance und Interne Revision, fokussierter versus umfassender Ansatz).

Kleine und mittelständische Leasing-Institute können jedoch aufgrund des den MaRisk zugrunde liegenden Proportionalitätsprinzips im Rahmen des § 31 Abs. 2 KWG nach Beantragung bei der BaFin von einer eigenständigen Compliance-Funktion befreit werden.3) Im Regelfall trifft das für Leasing-Institute mit zehn beziehungsweise 15 Mitarbeitern zu. Darüber hinaus - besonders bei Instituten in der Spanne bis zu 50 Beschäftigten - kommt es auf den jeweiligen Einzelfall an.4) Eine ausgesprochene Befreiung heißt jedoch nicht, dass diese Institute vollumfänglich von der Compliance-Verantwortung befreit sind. Diese wird dann (zwingend) durch einen Geschäftsführer als Teil seiner Verantwortung übernommen, um "compliant", das heißt gesetzes- und richtlinien konform zu handeln. Folglich ist der Nutzen einer eigenständigen Compliance-Funktion reduziert. Resultierend hieraus kann die Geschäftsführung speziell im Rahmen eines Gerichtsverfahrens nicht von einer möglichen Haftungsexkulpation beziehungsweise -reduzierung profitieren, wie dies die neuere Rechtssprechung belegt.

Die "zwei Hüte" der Compliance

Aus den regulatorischen Grundlagen sowie der Vorstandsnähe ergibt sich eine Vielzahl von Verantwortlichkeiten für die Compliance-Funktion von Leasing-Instituten. Diese sind in institutsinterne (Kommunikation und Beratung, Kontrolle, Koordination und Integration) sowie externe (Markt- und Kundenschutz sowie Zentrale Evidenzstelle) Zwecksetzungen und Verantwortlichkeiten zu unterscheiden (siehe Abbildung 1). Außerdem übernimmt die Compliance-Funktion eine wichtige Rolle im Rahmen des Monitorings bezüglich zukunftsweisender wesentlicher rechtlicher Änderungen.

Zu betonen ist jedoch: Compliance stellt bei Leasing-Instituten keine zweite Revision dar. Gemäß MaRisk muss Compliance im Rahmen ihrer Funktion ein zur Wahrung ihrer Aufgaben uneingeschränktes Kontroll- und Prüfungsrecht besitzen, es besteht jedoch keine explizite Prüfungsverpflichtung. Zudem ist Compliance Teil der sogenannten zweiten Verteidigungslinie. Dies spiegelt sich auch in der IT-Schnittstellenbetrachtung wider, welche für die Compliance-Funktion sowie die Interne Revision im Regelfall gleiche IT-Rechte unterstellt (uneingeschränkte Zugriffsrechte auf alle Systeme - Leserecht, jedoch kein Schreib- oder Änderungsrecht).

Relevante Organisationsmodelle

Erfahrungsgemäß haben sich drei Organisationsmodelle bei Instituten etabliert (siehe Tabelle, Seite 102). Es gilt jedoch zu beachten: Art und Umfang der Compliance-Organisation sollten an die Komplexität und Größe des Geschäftsbetriebs des Instituts gekoppelt sein. Eine Bündelung verschiedener Themenbereiche und Einheiten in einer Abteilung erweist sich bei kleineren Instituten als vorteilhaft. Er fahrungsgemäß haben sich mittelgroße Leasing-Institute primär für den "Aufsichtsrechtlichen Regelfall" - Organisationsmodell 1 - beziehungsweise für die kombinierte Variante - Organisationsmodell 3 - entschieden.

Das Organisationsmodell 1 (aufsichtsrechtlicher Regelfall) mit einem zentralisiert-integrierten Ansatz hat sich bei mittelgroßen Leasing-Instituten und anderen Finanzdienstleistern bewährt und gilt somit als Präferenzlösung. Die Compliance-Funktion ist hier als eigenständige Einheit mit direkter Berichtslinie an die Geschäftsführung etabliert und fungiert gemäß § 25h Abs. 9 KWG5) als "Zentrale Stelle" für unter anderem Geldwäscheprävention und zur Verhinderung von Terrorismusfinanzierung und sonstiger strafbarer Handlungen sowie im Sinne der MaRisk-Compliance.

Aufsichtsrechtlicher Regelfall

Bewährte Verantwortlichkeiten in unter Compliance-Gesichtspunkten wesentlichen Rechtsgebieten können durch Dezentrale Compliance Officer (DCO) wahrgenommen werden. Dies betrifft beispielsweise das Thema Arbeitsrecht in der Zuständigkeit von Personal/Human Resources (HR) oder das Gesellschafts-/Vertragsrecht bei Recht/Legal. Die DCOs fungieren als Schnittstelle zur zentralen Compliance-Funktion und tragen Verantwortung für die Beratung des Instituts und der Organisationseinheiten bezüglich der Umsetzung "ihrer" Rechtsnormen.

Es ist festzuhalten: Das Organisationsmodell schafft keine neuen Arbeitsplätze. Die Stellen und Funktionen werden idealerweise von Beschäftigten innerhalb eines Fachbereichs übernommen beziehungsweise von einer Person, die diesen schon verantwortet. Das heißt, die DCOs bleiben Mitarbeiter der Fachbereiche und sind nicht der Compliance-Abteilung unterstellt. Der Informationsaustausch findet häufig im Rahmen einer Institutionalisierung über eine Komiteelösung statt. Das Komitee bestehend aus Compliance-Beauftragten sowie DCOs, trifft sich dabei regelmäßig zwei- bis viermal jährlich, um verschiedene aktuelle Compliance-Themen und Entwicklungen zu diskutieren.

Angemessener Regelfall

Im Gegensatz zum zentralisiertintegrierten Organisationsmodell ist das als "angemessener Regelfall"6) bezeichnete Modell 2 dezentral ausgerichtet. Diese schlanke Modellvariante integriert eine (neue) Untereinheit "Regulatory- oder Ma-Risk-Compliance", welche unabhängig von der meist schon vorhandenen "Zentralen Stelle" fungiert. Insbesondere bereits etablierte Verantwortlichkeiten bleiben gewahrt.

Gegenüber Modell 1 fehlt es an der bedeutenden Stellung einer integrierten Variante, was jedoch - je nach Perspektive - nicht unbedingt als unzweckmäßig zu werten ist.

Weitere Aspekte

Außerdem besteht die Möglichkeit einer gemeinsamen Organisationseinheit Risikocontrolling und Compliance für kleine bis mittelgroße Leasing-Institute (Modell 3). Hier wird die Compliance-Funktion mit einer direkten Berichtslinie an den Vorstand in der Einheit Risikocontrolling eingebunden, um die Eigenständigkeit sowie Unabhängigkeit der Funktion zu wahren. Gerade dieses Modell eignet sich als schlanke Variante gut, um Synergien und Effizienzen im Institut zu etablieren. Dieses Modell fördert hauptsächlich ein enges Zusammenspiel zwischen Risikocontrolling und Compliance. Der zumeist ähnliche Risikoanalyseansatz sowie eine vergleichbare Methodik können innerhalb dieses Modells nicht unwesentliche Synergien im Institut schaffen.

In Ausnahmefällen, nach Beantragung und Bestätigung durch die BaFin, wird für kleine Institute keine eigenständige Compliance-Funktion gesetzlich gefordert. In diesem Fall muss die Geschäftsführung die Compliance-Funktion im Rahmen ihrer Ressortzuständigkeit übernehmen. Idealerweise werden dann die Aufgaben der "Zentralen Stelle" in Personalunion mit denen der Compliance-Funktion wahrgenommen. In sämtlichen Organisationsvarianten gilt es, stets mögliche Interessenkonflikte zwischen den Aufgaben des Geldwäschebeauftragten - Stichwort "permanentes Daten-Screening" - und des Datenschutzes - Stichwort "Datensparsamkeitsprinzip" - zu vermeiden und Konfliktsituationen frühzeitig entgegenzusteuern. Mithin sollte es eine Wahrnehmung dieser Aufgaben in Personalunion grundsätzlich nicht geben.

Unabhängig von der gewählten Organisationseinheit, ist die Größe in Bezug auf die quantitative Zahl der Beschäftigten der Compliance-Funktion von erheblicher Bedeutung für Leasing-Institute. Hier gibt es weder eine Rechtsgrundlage noch einen klaren Marktstandard. In jedem Fall sollte die personelle Ausstattung nicht in einem gravierenden Missverhältnis im Abgleich zur Ausstattung der anderen Kontrolleinheiten stehen, der "2. und 3. Verteidigungslinie", Risikocontrolling und Interne Revision.

Wie auch der aktuelle Entwurf einer MaRisk-Novelle zeigt, sieht die Aufsicht eine Auslagerung von Kontrolleinheiten, zu denen die Compliance-Funktion gehört, zunehmend kritisch an. Bei mittelgroßen und großen Leasing-Instituten stellt die Compliance-Funktion eine "Zentrale Stelle" dar, die sich im Institut etabliert vorfinden sollte. Bei kleinen Leasing-Instituten wiederum ist eine Auslagerung aus Kosten- sowie Effizienzgründen nicht immer vorteilhaft. Denn eine Auslagerung der generellen Verantwortung für Compliance ist, wie schon aufgezeigt, nicht möglich. Dies bedeutet: Im Falle einer Auslagerung muss der externe Serviceprovider überwacht und gesteuert werden, und das Institut hat zu diesem Zweck ein entsprechendes Know-how in Form eines Auslagerungsbeauftragten vorzuhalten.

Fokussierter versus umfassender Ansatz

Neben der aufbauorganisatorischen Verankerung der Compliance-Funktion hat die Geschäftsführung eine weitere Grundsatzfrage im Rahmen des Compliance-Ansatzes zu beantworten. Hier bestimmt die Geschäftsführung die Trag- und Reichweite der Compliance-Funktion und Abdeckung im Institut. Etabliert haben sich zwei Vorgehensweisen.

Eine fokussierte Variante mit Schwerpunkt auf die Themenbereiche MaRisk-Compliance, Geldwäsche, Terrorismusfinanzierung und Fraud-Prävention. Diese Variante fokussiert sich auf den Nukleus der Compliance-Themen und wirkt nur auf diese Themengebiete begrenzt haftungsentlastend.

Im Gegensatz dazu steht der umfassende Ansatz, der gezielt alle wesentlichen Rechtsgebiete eines Instituts abdeckt und somit - vorrangig aus Sicht der gesamten Unternehmens- und Geschäftsführung - eine deutlich weiter reichende haftungsreduzierende beziehungsweise -exkulpierende Wirkung entfaltet. Die Ab bildung 2, Seite 103, stellt den umfassenden Ansatz exemplarisch dar.

Schnittstellenmanagement: Compliance ...

Aus den Grundsatzentscheidungen der Geschäftsführung bezüglich der Compliance-Funktion resultiert eine Vielzahl organisatorischer und fachlicher Überschneidungen der Compliance-Funktion mit anderen Unternehmensbereichen. Daher ist es für jedes Institut unabdingbar, adäquate Schnittstellen sowie klare Abgrenzungen zu definieren, um Ineffizienzen, Doppelarbeiten sowie Interessenkonflikte zu vermeiden. Dabei stehen sich der Anspruch einer strikten Trennung unterschiedlicher Funktionen einerseits und die Zweckmäßigkeit einer engen und vertrauensvollen Zusammenarbeit andererseits nicht konfliktfrei gegenüber.

Dem Grunde nach ist auch die konkrete Ausprägung der Abgrenzung und Zusammenarbeit ein Thema auf Geschäftsleiterebene. In der Praxis scheint dies jedoch nicht unbedingt die Regel zu sein, sodass letztlich die handelnden Akteure dies in Eigenregie ausprägen.

... mit Risikocontrolling ...

Die Überwachung der Risiken eines Leasing-Instituts obliegt vornehmlich der Abteilung Risikocontrolling. Gerade im Bereich des Leasing-Geschäftes besitzt das operationelle Risiko (OpRisk) eine relativ hohe Bedeutung. Per Definition gehören Rechtsrisiken zu den OpRisk. In einer praktisch orientierten Auslegung gibt es im Grunde keinen Unterschied zwischen der OpRisk-Unterkategorie der Rechtsrisiken und der in Verantwortung von Compliance stehenden Compliance-Risiken. Damit ist allein schon thematisch-inhaltlich ein abgestimmtes Vorgehen sinnvoll. Bewährt hat sich, wenn Compliance bei der Identifizierung und Bewertung der Compliance-Risiken auf die aus dem OpRisk-Bereich etablierte Methodik des Risk Assessment zurückgreift.

Zumindest sollten die Methodik und das zugrunde liegende Bewertungsschema (Risikobewertungsmatrix) abgestimmt und miteinander synchronisiert sein. Auch spricht an dieser Stelle nichts gegen ein gemeinsames Agieren, da beide Seiten über die Risk Assessments wertvolle Hinweise jeweils für ihren Verantwortungsbereich erhalten können. In der Praxis trifft man dies dennoch eher selten an. Verständlich, da das Schnittstellenthema häufig nicht explizit auf Ebene der Geschäftsleitung diskutiert und entschieden wurde oder wird.

Im mildesten Fall führen unterschiedliche Perspektiven auf die Risikosteuerung und "silomäßiges" Agieren unter Verwendung ungleicher - nicht abgestimmter/synchronisierter - Instrumentarien, wie beispielsweise Checklisten und Fragebögen, zu Unverständnis und damit schwindender Akzeptanz bei den Mitarbeitern.

Ein weiteres, zukunftsgerichtetes und bis dato selbst bei größeren Häusern noch nicht wirklich gelöstes (Schnittstellen-)Thema betrifft die Fragestellung, wie die Ergebnisse der Compliance-Risikobewertung angemessen in die Gesamtrisikolandkarte eines Instituts einfließen können.

... mit Interner Revision ...

Eine funktionierende Schnittstelle zwischen den Einheiten Compliance und Interne Revision ist für eine angemessene Institutsführung unter Kontrollgesichtspunkten von besonderer Bedeutung. Die Interne Revision als "3. Verteidigungslinie" ist zuständig für die gesamthafte, prozessunabhängige und in der Regel den Geschäftsaktivitäten zeitlich deutlich nach gelagerten Prüfungen im Sinne einer "ordnungsgemäßen Geschäftsorganisation". Damit steht unzweifelhaft auch die Tätigkeit von Compliance auf dem Prüfungsplan der Internen Revision. Compliance ist hingegen in der "2. Verteidigungslinie" zentral für die Funktionsfähigkeit des etablierten Compliance Management Systems (CMS) verantwortlich und kann - muss per MaRisk aber nicht - im Rahmen ihres Verantwortungsbereichs ähnlich wie die Interne Revision Kontrollen und Prüfungen durchführen.

In dieser Hinsicht spricht nichts gegen eine enge und vertrauensvolle Zusammenarbeit beider Einheiten bei Themenüberschneidungen, selbstredend unter Wahrung der jeweiligen Unabhängigkeit, angefangen von einem intensiven Informationsaustausch, der auch die jeweiligen Prüfungs-/ Überwachungspläne einbezieht, die Durchführung gemeinsamer Prüfungen inklusive Berichterstattung und die Abstimmung über notwendige Maßnahmen bei Lücken oder Vorkommnissen. In der Praxis scheint dies aber weiterhin eher Ausnahme als Regel zu sein. In den Fällen, in denen dies intensiv gelebt wird, liegt dem erfahrungsgemäß häufig ein bewusster Geschäftsleitungswunsch oder -entscheid zugrunde.

... mit Legal/Recht ...

Ein zentraler Nutzen beider Einheiten liegt in der Minderung, idealerweise Vermeidung von Folgen und Schäden aus Rechtsverstößen durch entsprechende präventive Maßnahmen (Risikoidentifikationen, Vertragsgestaltung, rechtssichere Produkte et cetera), überwachende Aufgaben wie auch nachgelagerte Aktivitäten bei beispielsweise entsprechenden Vorkommnissen (Sachverhaltsaufklärung, Ableitung von Maßnahmen und so weiter). Insoweit ist die Interessenlage gleich, und sie verlangt gegenseitige Unterstützung und engen Austausch.

Dennoch unterstellen der Gesetzgeber und die Aufsicht ein mögliches Interessenskonfliktpotenzial im Verhältnis der beiden Einheiten. Dies liegt darin begründet, dass Legal/ Recht als Einheit ohne den besonderen Status einer Beauftragtenfunktion im Grunde nur dem Unternehmensinteresse "als Anwalt des Instituts" verpflichtet ist, und dass das Dritt- beziehungsweise Kundeninteresse zumindest nicht im Vordergrund steht. Compliance hat dem Gesetzeszweck folgend hingegen auch den "Hut der Markt- und Kundenschutz-Funktion" auf, ähnlich wie beim Datenschutz beauftragten.

In der Konsequenz wird eine gemeinsame Einheit aus Recht und Compliance dem aufsichtsrechtlichen Proportionalitätsprinzip folgend seitens der BaFin nur noch bei kleinen Instituten geduldet und als insoweit angemessen eingeschätzt.

Ergo zeigt sich hier ebenso die Notwendigkeit einer eindeutigen Abgrenzung der Tätigkeitsbereiche beider Organisationseinheiten einerseits sowie einer engen, vertrauensvollen Zusammenarbeit andererseits.

... und mit IT

Weitere Schnittstellen befinden sich in den Bereichen Compliance und IT-Organisation. Dies betrifft unter anderem die Definition und Verankerung von Vertraulichkeitsbereichen und IT-Zugriffsrechten oder den Einsatz, die Entwicklung und Administration von IT-Systemen mit Compliance-Relevanz bis hin zum Thema Datenschutz.

Für Leasing-Institute bedeutet das, den Zugriff für die Compliance-Funktion auf alle zentralen Systeme des Instituts (nur Lese- und keine Schreibrechte) zu gewährleisten sowie die Entwicklung einer angemessenen Softwarelösung, die den Ansprüchen der Compliance-Funktion gemäß den MaRisk Anforderungen genügt.

Instrumentarium

Compliance bedient sich eines umfassenden Instrumentariums, um die Werte und Normen des Leasing-Instituts allgemein und die compliancespezifischen Vorgaben im Besonderen im Institut festzuschreiben und eine Awareness dafür zu schaffen. Die Abbildung 3, Seite 104, stellt das Instrumentarium in Form einer "Best-Practice-Pyramide" dar, die eine Vielzahl an Dokumenten aufführt.

In einem ersten Schritt essenziell für ein Leasing-Institut mittlerer Größe sind folgende Dokumente:

- Eine Compliance-Strategie beziehungsweise -Policy in Verantwortung der Geschäftsführung, welche den grundsätzlichen Umgang mit dem Thema definiert und als zentrale Leitlinie an alle Mitarbeiterinnen und Mitarbeiter kommuniziert wird und durch diese zu beachten ist.

- Ein Compliance-Handbuch als Verfahrensrichtlinie zur Compliance-Funktion in Verantwortung des Compliance Officers.

- Ein Compliance Reporting, insbesondere ein standardisierter Jahresbericht, als Dokumentationsnachweis über die Tätigkeit von Compliance.

Ziel des Compliance-Handbuchs ist es, als umfassendes Rahmenwerk der Aufgaben, Verantwortlichkeiten und organisatorischen Einordnung des Compliance-Beauftragten sowie der Mitarbeiter der Compliance-Funktion zu dienen. Regelmäßig deckt das Handbuch unter anderem folgende Inhalte ab:

- Definition der compliancerelevanten Begrifflichkeiten und Information über die Rechte und Pflichten der Compliance-Funktion.

- Eingrenzung des Aufgabenbereichs und Herausstellung von Verantwortlichkeiten.

- Darstellung der zugrunde liegenden Methodik der Compliance-Funktion, anhand welcher deren relevante Tätigkeiten durchzuführen sind.

- Darstellung des umfassenden Instrumentariums, mit welchem Compliance die Werte und Normen des Instituts allgemein und die compliancespezifischen Vorgaben im Speziellen festschreibt.

In Abhängigkeit von Konzeption und Inhalt der Compliance Policy kommen in einer Ausbaustufe auch für mittelgroße Leasing-Institute diverse, gesonderte Verhaltensanweisungen (Code of Conduct) zu Themen wie Geschenke, Vertraulichkeit, Korruption, Bestechlichkeit et cetera zum Tragen. Zweck und Nutzen der Einführung solch separater Dokumente sind unter anderem mit den Stichworten "Tone from the top", Risikokultur und Risikobewusstsein, Sanktionierungen bei Verstößen und so weiter verbunden.

Neben der Schaffung des aufgezeigten schriftlichen Rahmens bestehen die beiden zentralen Aufgaben entsprechend AT 4.4.2 MaRisk im

- Identifizieren und Bewerten wesentlicher Compliance-Risiken und

- Hinwirken auf eine Maßnahmenumsetzung (gemäß Risikobewertung beziehungsweise bei Lücken).

Compliance Risk Assessment

Am Markt haben sich hinsichtlich der Identifizierung der Risiken unterschiedliche Lösungen entwickelt. Eine reine Zusammenstellung von relevanten Rechtsthemen und -gebieten, die im Weiteren noch hinsichtlich Wesentlichkeit klassifiziert werden, ist zwar häufiger anzutreffen, greift aber - auch für ein kleines Institut - erfahrungsgemäß zu kurz.7)

Denn das Ziel liegt vorgabegemäß in der systematischen Identifizierung, Bewertung und Dokumentation der möglichen Situationen und Szenarien im Sinne von Compliance-Risiken in denen die für das jeweilige Institut relevanten gesetzlichen Pflichten, Vorschriften und Richtlinien nicht eingehalten werden könnten. Etabliert hat sich dazu die Methodik des Compliance Risk Assessments (CRA), die in einer gegebenenfalls auch recht schlanken Grundform von jedem Institut in Erwägung gezogen werden sollte.

Abbildung 4, Seite 105, stellt den Prozess als Best-Practice-Ansatz dar, welcher auf der Methodik eines mehrstufigen Compliance Risk Assessments sowie einem abgeleiteten Maßnahmenplan beruht und bereits auch bei einigen mittelgroßen Instituten verankert ist.

In einem ersten Schritt erfolgt eine Sammlung beziehungsweise ein Scoping, um die generelle Reichweite, Rechtsgebiete und Funktionsschichten zu bestimmen. Im zweiten Schritt folgt die Bestimmung der Relevanz und der Wesentlichkeit dieser Rechtsgebiete und Themen. Diese hängen unter anderem vom Geschäftsmodell sowie der Institutsstruktur ab. Daraufhin ist die Bewertung der Risiken in den einzelnen identifizierten wesentlichen Rechtsgebieten ein unerlässlicher Schritt im Compliance Risk Assessment, welcher das Nettorisiko anhand der Eintrittswahrscheinlichkeit und des Schadenspotenzials bewertet. Das bedeutet, zur Bestimmung des Nettorisikos werden risikomindernde Maßnahmen, wie zum Beispiel Richtlinien, Kommunikation, Trainings, Prozesse und Kontrollen sowie Monitoring und Audits, berücksichtigt. Die Maßnahmen führen zu einer Verminderung des Risikos, dem das Leasing-Institut ausgesetzt ist.

Das verbleibende Nettorisiko determiniert, ob dieses als akzeptabel eingeschätzt wird oder Maßnahmen zur Weiterentwicklung des CMS notwendig erscheinen. Das Risiko Assessment bildet insoweit die Basis für die Entwicklung des Compliance-Überwachungsplans und Ableitung von risikoreduzierenden Maßnahmen (Kontrollen, Richtlinien, Schulungen et cetera).

Herausforderungen an das CRA

Die grundsätzliche Methodik des Compliance Risk Assessments birgt einige, letztlich aber gut lösbare Herausforderungen:

- Reichweite und Detaillierungstiefe der relevanten Rechtsgebiete,

- zentraler (Risk Assessment) versus dezentraler (Self Assessment) Ansatz,

- Brutto- versus Nettorisikobewertung,

- grundsätzlicher Bewertungsmaßstab.

Generell werden Schadensergebnisse mangels einer eindeutigen Legaldefinition des Begriffs "Compliance" sehr unterschiedlich ausgelegt. Ma-Risk definiert die Risiken als "eine Gefährdung des Vermögens des Instituts" aus Nichteinhaltung rechtlicher Vorschriften, zum Beispiel Strafzahlungen, Schadensersatz, Prozesskosten oder Vermögensschäden aus Verstößen gegen Gesetze, Normen und Verträge. Im Hinblick auf einen möglichst umfassenden Ansatz des Compliance Risk Assessment können und sollten sowohl direkte als auch indirekte Verluste (Folgerisiken), Feststellungen der Internen Revision und Wirtschaftsprüfer sowie Reputationsrisiken aus der Nichteinhaltung von Selbst- und Branchenverpflichtungen und internen Regelungen berücksichtigt werden, wie zum Beispiel unethisches oder unmoralisches Verhalten.

Bewährt hat sich ein pragmatisch orientiertes, nicht allzu akademisches Vorgehen mit positiver Grundeinstellung aller Beteiligten. Denn systemimmanent ist und bleibt die generelle Subjektivität in der Bewertung; und methodisch zeigt sich bisher keine echte, also besser geeignete Alternative. Von daher kann gerade bei mittelgroßen Leasing-Instituten ein Assessment-Expertenzirkel sinnvoll sein, bei dem neben Compliance und den üblichen Bereichs-/Abteilungsleitern auch die Geschäftsleitung direkt in den Prozess einbezogen ist.

Entwicklung bleibt spannend

Drei Jahre MaRisk-Compliance zeigen ein grundsätzlich sehr differenziertes Bild am Markt der Finanzdienstleister, und es hat sich noch kein wirklicher Standard entwickelt. Als Entwicklungstendenz zeigen sich die integriert-umfassende Organisationsvariante (Modell 1), die zunehmende abgestimmte Zusammenarbeit der zweiten und dritten Verteidigungslinie, die fortschreitende Erweiterung des Compliance Frameworks und die Etablierung von Compliance Risk Assessments.

Zentral stellt sich dabei die Frage, wie die Geschäftsführung mit dem Thema Compliance umgeht. Soll Compliance im Sinne der Rechtschaffenheit die aufsichtlichen Mindestanforderungen erfüllen, bietet sich ein entsprechend schlanker Ansatz an, der jedoch nach wie vor mit einem höheren Risiko für das Institut und die Geschäftsführung einhergeht. Oder wird Compliance als nutzen stiftende Funktion zur Risiko- und Haftungsminimierung bewertet, deren Vorteile gerade aus Sicht der Geschäftsführung nur bei angemessener Kapazität und zweckmäßigem Instrumentarium voll zum Tragen kommen? Eine "One-Size-fits-all"-Lösung existiert jedenfalls nicht und wird es nicht geben. Die Marktentwicklung des Themas innerhalb der Branche wie auch übergreifend bleibt also äußerst spannend. -

1) BaFin Jahresbericht 2014. S. 112

2) KWG § 25a Abs. 1: "Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet" [...]

3) KWG § 31 Abs. 2: "Die Bundesanstalt kann einzelne Institute von Verpflichtungen nach § 13 Abs. 1 und 2, § 15 Abs. 1 Satz 1 Nr. 6 bis 11 und Abs. 2, § 24 Abs. 1 Nr. 1 bis 4, den §§ 25, 26 und 29 Abs. 2 Satz 2 sowie von der Verpflichtung nach § 15 Abs. 1 Satz 1, Kredite nur zu marktmäßigen Bedingungen zu gewähren, freistellen, wenn dies aus besonderen Gründen, insbesondere wegen der Art oder des Umfanges der betriebenen Geschäfte, angezeigt ist. Sie kann ferner Unternehmen, die ausschließlich Finanzdienstleistungen nach § 1 Absatz 1a Satz 2 Nummer 9 oder Nummer 10 erbringen, von den Verpflichtungen nach § 25a Absatz 1 Satz 3 Nummer 3 Buchstabe c freistellen, wenn dies aus besonderen Gründen, insbesondere auf Grund der Institutsgröße, angezeigt ist. Die Freistellung kann auf Antrag des Instituts oder von Amts wegen erfolgen."

4) Insoweit deutlicher die Stellungnahme des BDL Bundesverband Deutscher Leasing-Unternehmen e. V., die grundsätzlich von einer Befreiungsmöglichkeit bei Instituten bis 50 Mitarbeitern und einer Bilanzsumme bis 500 Millionen Euro ausgeht.

5) Die Funktion des Geldwäschebeauftragten im Sinne des Absatzes 4 und die Pflichten zur Verhinderung der sonstigen strafbaren Handlungen im Sinne des Absatzes 1 Satz 1 werden im Institut von einer Stelle wahrgenommen. Die Bundesanstalt kann auf Antrag des Instituts bestimmen, dass für die Verhinderung der sonstigen strafbaren Handlungen eine andere Stelle im Institut zuständig ist, soweit hierfür ein wichtiger Grund vorliegt.

6) "Angemessen" im Sinne der aufsichtsrechtlichen Konformität.

7) EY bietet in diesem Zusammenhang den Regulatory Radar an, um das Monitoring im Rahmen relevanter gesetzlicher Pflichten, Vorschriften und Richtlinien zu unterstützen.

DIE AUTOREN: Jürgen Siegl, München, arbeitet als Senior Manager für EY im Bereich Advisory, Financial Services. Seine Beratungsschwerpunkte liegen in der aufsichtsrechtlichen Beratung von nationalen und internationalen Kredit-, und Leasing-Instituten mit dem Fokus auf KWG und MaRisk sowie Institutsgründungen.E-Mail: juergen.siegl[at]de.ey[dot]comDirk Brechfeld, München, ist als Senior Manager für EY im Bereich Advisory, Financial Services in aktuellen aufsichtsrechtlichen Themenstellungen der Finanzindustrie tätig. Er verantwortet vorrangig Umsetzungsprojekte im Compliance-, Risiko- und Governance-Umfeld.E-Mail: dirk.brechfeld[at]de.ey[dot]com

Weitere Artikelbilder

Noch keine Bewertungen vorhanden


X