Beobachtet man in den letzten Jahren die Entwicklungen von Compliance, könnte man glauben, dass der Gebrauch dieses Wortes eine Modeerscheinung ist. Recht war schon immer einzuhalten, warum wird nun diese neue Antrittsweise und diese neue Funktion gewählt und weiter ausgebaut? Anscheinend gab es trotz intensivster Bemühungen der Rechtsbereiche, der Risikomanagement-Funktion sowie der internen Revision immer noch Lücken in dem Governance-System von Kreditinstituten, die jetzt die sich stetig ausweitende Compliance-Funktion schließen soll.
Die in den letzten Jahren gestiegenen Anforderungen an die Compliance-Verantwortlichen sind vor allem im Banken- und Versicherungssektor ersichtlich. Banken und Versicherer sehen sich immer höher werdenden regulatorischen Druck ausgesetzt, der auch Einfluss auf Geschäftsprozesse, wie zum Beispiel die Anlageberatung hat. Mit der Einflussnahme der regulatorischen Vorgaben auf die Geschäftsmodelle von Banken wird die Entwicklung von Compliance-Strukturen, die mit verstärkter Beratung oder Überwachung, aber auch Schulungen zu einer adäquaten Compliance-Kultur führen können, weiter zunehmen. Damit steht die Entwicklung einer positiven Compliance-Kultur klar im Vordergrund.
Aufgaben der Compliance-Funktion
Die wesentlichen Aufgaben einer Compliance-Funktion bei der Verbesserung der bankspezifischen Compliance-Kultur sind dabei insbesondere ein proaktiv-präventiver Beratungsansatz, im Rahmen von internen Kontrollsystemen auf der zweiten Ebene stattfindende Monitoring- und Überwachungsaufgaben, eine Risikoevaluierung und -steuerung von Compliance-Risiken sowie eine Berichterstattung an Vorstand und Aufsichtsgremium. Auf diese vier Säulen baut die Compliance-Funktion auf. Verkannt wird dabei oft, dass verstärkte Compliance nicht unbedingt eine größere Compliance-Funktion erfordert. Vielmehr muss dafür gesorgt werden, dass in sämtlichen Bereichen eines Unternehmens Klarheit und Sicherheit darüber herrscht, welche regulatorischen Anforderungen und gesetzlichen Notwendigkeiten für das jeweilige Institut bestehen und dass ihnen Folge zu leisten ist. Dabei stehen in der Umsetzungsverantwortung nicht die Compliance-Funktion selbst, sondern die jeweiligen (Fach-)Bereiche eines Unternehmens beziehungsweise Kreditinstituts. Dies spiegelt sich insbesondere in den Vorgaben der MaComp für Compliance in Wertpapierdienstleistungsunternehmen wider, die in AT6.2 verankert sind. Dort heißt es, dass die Verantwortung für Compliance in erster Linie bei den Fachbereichen liegt.
Schaut man auf die europäische Ebene, erkennt man, dass die Gesetzgebungsinitiativen derzeit stark in die Geschäftsmodelle, aber auch in die Compliance-Strukturen eingreifen. Beispielhaft seien hier folgende Entwicklungen genannt:
1. MiFID II: Hier werden insbesondere aus Gründen des Verbraucherschutzes die Vorgaben für Produktinnovationen, -kreationen und -vertrieb, aber auch den Handel von Produkten an Börsen und geregelten Märkten neu vorgegeben.
2. Marktmissbrauchsrichtlinie II: Vereinheitlichung der Definition des strafrechtlich relevanten Manipulierens von Märkten auf europäischer Ebene; Gefahr, dass hierüber ein Unternehmensstrafrecht eingeführt wird sowie das Ausloben von Hinweisen im Rahmen von Hinweisgebersystemen mit entgeltlicher Belohnung.
3. Vierte EU-Geldwäscherichtlinie: Hier werden die Vorgaben an die Geldwäscheprävention innerhalb von Kreditinstituten nochmals deutlich verschärft.
4. CRD IV/CRR: Aufgrund der Finanzmarktkrise sind regulatorische Vorgaben gerade im Hinblick auf die Eigenkapitalsituation von Kreditinstituten nochmals deutlich erhöht und detaillierter formuliert worden.
5. Transparenzrichtlinie: Hier sollen Stimmrechtsmeldersystematiken, wie sie bereits im Wesentlichen in Deutschland vorherrschen, auf europäischer Ebene ebenfalls vorgegeben werden; Meldungen von Stimmrechten sollen mit einer Transparenzsystematik unterlegt werden, die verhindern soll, dass ein Anschleichen an die Eigentümerschaft von Unternehmen mit bestimmten Finanzinstrumenten, die vorher nicht der Stimmrechtsmeldersystematik unterlagen, jetzt auch gemeldet werden muss.
6. Solvency II: Auch bei Versicherungsunternehmen werden im Rahmen der Solvency II, was zunächst nach Regelungen für Eigenkapitalausstattungen bei Versicherungen klingt, Compliance-Strukturen nach dem Vorbild der Bankensäule nachgezogen. Hier wird die Compliance-Funktion, ebenso wie bei Wertpapierdienstleistungsunternehmen im Rahmen der MiFID I-Umsetzung, neben die interne Revision und die Risikocontrolling-Funktion sowie die versicherungsmathematische Funktion gestellt.
7. Aktionärsrichtlinie: Auch wenn keine bankenspezifische Regelung, lässt sich aus der Aktionärsrichtlinie deutlich die Tendenz herauslesen, Governance-Strukturen über die Aktionärsrichtlinien auch für Industrieunternehmen vorzuhalten.
Auf der nationalen Ebene sind bei den Banken insbesondere das Gesetz zum Hochfrequenzhandel sowie das Honoraranlageberatungsgesetz zu nennen, weil beide in die Compliance-Struktur massiv eingreifen.
- Gerade beim Gesetz über den Hochfrequenzhandel, dem auch sogenannte Algotrades unterliegen, sind enorme Datenströme vorhanden, die durch Compliance und die Risikokontrollfunktion überwacht werden müssen. Als Schlagwort gilt es hier festzuhalten, dass eine nahezu Echtzeitkontrolle gefordert ist, um marktmissbräuchliche Eingriffe in das Handelsgeschehen zu verhindern.
- Das Honoraranlageberatungsgesetz soll dagegen insbesondere die Unabhängigkeit von Anlageberatungen gegenüber den Endverbrauchern sicherstellen. Im Rahmen der Honoraranlageberatung dürfen keine Provisionen über Produkte fließen. Der Kunde soll hierbei insbesondere eine unabhängige Beratung wahrnehmen dürfen, für die er dann auch direkt bezahlt.
Anfang 2014 wurde im Kreditwesengesetz verankert, dass jedes Kreditinstitut ein Hinweisgebersystem (Whistleblowing-System) vorhalten muss. Dies soll zugunsten der Compliance-Funktion weiter sicherstellen, dass Hinweise auf fehlerhafte Prozesse oder Verfehlungen innerhalb des Hauses einer unabhängigen Stelle bekannt gegeben werden können, um diese fehlerhaften Prozesse unter Nutzung anonymisierter Informationskanäle beseitigen zu können.
MaRisk und MaComp
Geht man nun auf die Ebene des nationalen Regulators BaFin, stellt man auch hier fest, dass Compliance-Strukturen und Organisationen in den Kreditinstituten immer stärker verankert werden sollen. Als wesentliche Säule ist hierbei die MaRisk-Compliance-Funktion zu nennen. Diese soll alle wesentlichen rechtlichen Rahmenbedingungen im Auge haben und Risiken, die daraus entstehen können, als Klammerfunktion auch für andere Funktionen, aggregiert an den Vorstand übermitteln. Ziel ist dabei, dass der Vorstand aufgrund einer einheitlichen Berichterstattung über bestehende Compliance-Risiken informiert wird und schnell und effizient gegensteuern kann.
Aber auch die MaComp ist derzeit in der Diskussion. Anfang 2014 wurde MaComp BT8 eingeführt. Hierin sind Regelungen enthalten, welche die variablen Gehaltsbestandteile von Mitarbeitern in Wertpapierdienstleistungsunternehmen regeln sollen. Durch diese Regelungen sollen Interessenkonflikte vermieden werden, die wiederum zulasten von Anlegern und Verbrauchern wirken können. Dies bedeutet, dass man auch hier über die variablen Gehaltsbestandteile Interessenkonflikt-Management betreibt und somit Nachteile des oder für den Kunden vermeiden soll. MaComp BT8 ergänzt somit die Regelungen der InstVerg-VO für Risk Taker in Kreditinstituten, ein etwas anderer Fokus also.
Auch die Auslagerungsregelungen im Ma-Comp BT1.3.4 sind derzeit in der Diskussion. Hier werden Regelungen weiter detailliert, wie ganz oder teilweise ausgelagerte Compliance-Funktionen gehandhabt werden sollen. Der Fokus liegt aus Sicht der BaFin insbesondere darauf (so wörtlich die BaFin), dass Auslagerungen nicht einfach aus ökonomischen Gründen getätigt werden. Ausgelagerte Compliance-Funktionen müssen weiterhin unabhängig, dauerhaft und effizient (wirksam) sein. Insbesondere ist es der BaFin wichtig zu betonen, dass die Verantwortlichkeit für Compliance ungeteilt in einer Person liegen muss (egal, ob die Compliance-Funktion ausgelagert ist oder intern verbleibt). Auch hierin zeigt sich wieder, dass die BaFin eine verantwortliche Stelle innerhalb des Hauses verlangt, die für die Einhaltung von rechtlichen/regulatorischen Vorgaben sorgen soll.
Folgen der Entwicklungen für Kreditinstitute
1. Mit dem Trennbankengesetz wurde § 54 a KWG eingeführt. Dies zeigt den Trend auf, Vorstände persönlich in die Haftung nehmen zu wollen. § 54 a KWG stellt unter Strafe, wenn Prozesse nicht vorgehalten werden, die zum Schutz des Unternehmens dienen und dadurch eine erhebliche Gefährdung des Unternehmens herbeigeführt wird. Dies hat selbstverständlich Auswirkungen auf die vorzuhaltenden Compliance-Organisationen.
2. Auch das Neubürger Urteil des LG München I zu der Gesamtverantwortung des (Siemens-)Vorstands zeigt weiter diesen Trend auf. Alle Organmitglieder des Vorstandes sind für die Vorhaltung von Compliance-Systemen und die Einhaltung entsprechender Vorgaben verantwortlich, auch wenn sie in ihrer Dezernatshoheit die Compliance-Aufgabe nicht verantworten.
Auf der Bekämpfung von Steuerhinterziehung liegt mittlerweile auch ein starker Fokus. Derzeit wird ein Gesetz diskutiert, das zur Bekämpfung von Steuerstraftaten im Bankenbereich dienen soll. Hier kann es in der Folge dazu kommen, dass bei massiven Unterstützungen von Steuerhinterziehungen in dem Kreditinstitut beziehungsweise in einzelnen Teilbereichen davon die BaFin in die Lage versetzt wird, aufgrund dieser Verfehlungen die Geschäftsleiter abzuberufen oder auch Teilbereiche des Instituts zu schließen.
Geschäft, Produkte und Vertriebswege bis ins Detail verstehen
Bei der Komplexität der Aufgaben, denen sich Compliance gegenübersieht, kommt es immer stärker darauf an, dass Compliance-Organisation beziehungsweise -Funktion und Mitarbeiter das Geschäft und die Produkte beziehungsweise Vertriebswege bis ins Detail verstehen. Das heißt, eine gewisse Nähe zum Geschäft ist zwingend notwendig, um die für die Beurteilung notwendigen Details sowie die Geschäftsprozesse selber verstehen zu können.
Die sich entwickelnde und umzusetzende Regulatorik beziehungsweise die sich hieraus ergebenden spezifischen Compliance-Risiken sind ein wesentlicher Bestandteil der Vervollständigung des Know-how der verantwortlichen Mitarbeiter. Ohne dieses Wissen kann eine Compliance-Funktion nicht wirksam arbeiten.
Legitimitäts- statt Legalitätsprinzip
Dieses Know-how führt auch dazu, dass eine Compliance-Funktion (im Gegensatz zu einer Funktion des Rechtsbereichs) nicht nur nach den Maßstäben des sogenannten Legalitätsprinzips arbeitet. Dieses Prinzip bedeutet, dass zum Beispiel alle rechtlich relevanten Vorgaben eingehalten werden müssen, um Produkte an Kunden verkaufen zu können. Vielmehr agiert und operiert die Compliance-Funktion nach dem sogenannten Legitimitätsprinzip. Dies bedeutet, dass bei vollständiger Erfüllung rechtlich relevanter Vorschriften eine Compliance-Funktion aus Legitimitätsgründen immer noch sagen kann, dass ein bestimmtes Produkt nicht an bestimmte Kundenkreise verkauft wird, da dies nicht opportun (legitim) ist. Dieses Argument nutzt auch mittlerweile die BaFin selbst in eigenen Aussagen.
Das Agieren nach dem Legitimitätsprinzip ist ein uraltes Compliance-Prinzip, aufgrund dessen die Compliance-Funktion immer berücksichtigt, ob durch bestimmte Vorgehensweisen (Compliance-) Risiken für das Institut entstehen können. Um dies zu verankern (natürlich auf Fachbereichsebene) ist die Schaffung einer positiven Compliance-Kultur notwendig, das heißt das Verständnis für die entsprechenden Regularien ist zwingend notwendig. Hierbei ist die Compliance-Funktion zumindest mitgefordert. Schulungs- und Trainingsmaßnahmen sind intensiv für die relevanten Mitarbeitergruppen durchzuführen. Präsenztrainings sind hierzu zu bevorzugen, da hier intensiv Fragen mit der Compliance-Funktion diskutiert werden können. Sie bekommt ein Gesicht und kann als dauerhafter Ansprechpartner wahrgenommen werden.
Im Rahmen der MaRisk-Compliance dient die Compliance-Funktion als Klammerfunktion. Hierbei soll sie als Schnittstelle für ein zentrales Vorstandsreporting genutzt werden. Dadurch kann der Vorstand auf ein zentrales (Compliance-)Risikoreporting zurückgreifen. Compliance wird dazu immer stärker zum wichtigsten Instrument eines Vorstands. Die neutrale und auf dritter Verteidigungslinie agierende interne Revision rückt in der Entwicklung (so etwa bereits im Ausland zum Teil verankert) immer mehr in Richtung des Aufsichtsorgans und wird sich zum Instrument eines Aufsichtsorgans entwickeln.
Welche konkreten Auswirkungen hat dies nun auf Compliance?
- Compliance ist immer stärker einzubinden!
- Compliance benötigt immer mehr Informationen!
- Compliance benötigt immer mehr Daten (insbesondere, um die relevanten Überwachungsmechanismen vorhalten und durchführen zu können). Beispielhaft sei hier das oben genannte Thema der Überwachung des Algorithmushandels genannt.
Wachsende Datenmengen wollen überblickt werden
Zunehmende Regulierung steigert den Bedarf an Compliance-Maßnahmen. Je größer ein Unternehmen ist, desto mehr Dokumente und Vorgänge gilt es zu überblicken. Die Kontrolle darüber, ob unternehmensweit sämtliche Richtlinien regelkonform umgesetzt werden, ist Hauptaufgabe der Compliance-Verantwortlichen. Durch die richtige Analysesoftware gestaltet sich die Durchschau relevanter Dokumente und Dateien jedoch einfacher und effizienter. In größeren Unternehmen weiß manchmal der eine nicht, was der andere macht und es entstehen Räume für Regelverstöße. Mit der professionellen Analyse seiner Daten erhält ein Unternehmen den nötigen Durchblick und Sicherheit. E-Discovery-Lösungen ermöglichen eine erfolgreiche Kontrolle.