Aufsätze

Compliance-Anforderungen für Finanzdienstleister - Aufbau und kontinuierliche Weiterentwicklung

Compliance kann frei mit Regelkonformität übersetzt werden. Obwohl regelkonformes Verhalten eigentlich eine Selbstverständlichkeit für jedes Institut sein sollte, hat sich in der Vergangenheit des Öfteren gezeigt, dass zur Erfüllung dieser Anforderung vielfach noch weitere Maßnahmen nötig sind. Die explizite Forderung zur organisatorischen Verankerung einer Compliance-Funktion wurde nun auch für Finanzdienstleister im AT 4.4.2. der Mindestanforderungen an das Risikomanagement (MaRisk) normiert. Hierbei wird auch deutlich, dass eine Compliance-Funktion weit mehr als lediglich eine funktionierende Geldwäscheprävention und ein internes Risikomanagement umfasst.

Compliance-Management

Compliance beinhaltet die Einhaltung aller für ein Unternehmen und für seine gesetzlichen Vertreter, Mitarbeiter sowie gegebenenfalls beauftragte Dritte relevanten rechtlichen und ethischen, branchenspezifischen und organisationsinternen Handlungs- und Verhaltensregeln.1) Compliance stellt einen systematischen Ansatz dar, dessen Ziel die Einhaltung gültigen Rechts durch Regeln und Prozessabläufe, durch die Schaffung und Anwendung einer Organisations-, Dokumentations- und Kommunikationsstruktur und -kultur ist. Das Ziel der Compliance-Tätigkeiten ist es, Ansätze zu erarbeiten, um einerseits Compliance-Risiken zu managen und andererseits Maßnahmen zu ergreifen, um das Verhalten und die innere Einstellung aller Mitarbeiter eines Unternehmens auf gesetzeskonformes Handeln auszurichten.

Entgegen der landläufigen Meinung beschränkt sich das Compliance-Management nicht nur auf Teilaspekte, wie beispielsweise auf die Verhinderung von Wirtschaftskriminalität oder Kartellverstößen. Wie Abbildung 1 zeigt, ist das Compliance-Management relativ umfassend. Es umfasst schlichtweg die Summe aller organisatorischen Vorkehrungen, die ein Institut trifft, um ständig und wirksam ein rechtskonformes Verhalten des Unternehmens sowie der für das Unternehmen handelnden Personen zu gewährleisten.

Compliance-Management sichert den nachhaltigen und regelkonformen Marktzugang eines Unternehmens, indem es auf die Aufdeckung, aber in erster Linie auch auf die Prävention aller illegalen und illegitimen Handlungen seiner Führungskräfte und Mitarbeiter, seiner Repräsentanten und Beauftragten und - soweit erforderlich und angemessen - auch seiner Geschäftspartner (zum Beispiel Lieferanten) zielt. Das Compliance-Management-System umfasst die Gesamtheit aller organisatorischen und kulturellen Strukturen und systematisch aufeinander bezogenen Maßnahmen zur effektiven und effizienten Aufdeckung und Prävention von Gesetzes- und Regelverstößen.

Motivation und Ziele

Die Sicherstellung der Integrität eines Unternehmens und die Wahrnehmung der damit einhergehenden Aufsichts- und Sorgfaltspflichten ist Aufgabe der Unternehmensleitung. Diese Aufgabe ist "Chefsache" und kann auch nicht ohne Weiteres delegiert werden. In der Praxis werden zwar regelmäßig Vorbereitungs- und Ausführungshandlungen auf Compliance-Beauftragte delegiert. Die Pflicht der Unternehmensleitung wandelt sich hierbei aber in eine umfassende Überwachungspflicht, das heißt, die jeweiligen Delegatare müssen sorgfältig ausgewählt, eingearbeitet und kontrolliert werden.

In der Regel gibt es zwei wesentliche Treiber für die Einführung eines Compliance-Managements. Zum einen rechtliche und regulatorische Anforderungen und zum anderen die Vermeidung von finanziellen Geldbußen und Reputationsschäden. Insbesondere drohende strafrechtliche Verfahren und wirtschaftskriminelle Vorfälle sowie strafrechtliche Haftungen schlagen sich unmittelbar im Periodenerfolg einer Finanzdienstleistungsgesellschaft nieder. Image- und Reputationsschäden sind hingegen regelmäßig deutlich langfristiger ausgelegt und gefährden nicht selten den nachhaltigen Erfolg einer Gesellschaft.

Compliance-Officer und Garantenpflicht

Die Aufgabe des Compliance-Beauftragten ist es, die Einhaltung von gesetzlichen und internen Regeln und Vorgaben sicherzustellen. Um seine Aufgabe fachgerecht ausüben zu können, benötigt er aber insbesondere eine tief greifende Sachkunde und detaillierte rechtliche Kenntnisse über die zugrunde liegenden Vorschriften und Bestimmungen, das eigene Geschäftsmodell sowie auch mögliche Interessenskonflikte. Außerdem sind ein hohes Maß an Integrität beziehungsweise Zuverlässigkeit und kommunikativen Fähigkeiten sehr wichtig.

Für die Unabhängigkeit der Compliance-Mitarbeiter ist es nach Vorstellung der BaFin weiterhin erforderlich, dass diese grundsätzlich nicht an den überwachten Geschäften beteiligt sind. Dies bedeutet freilich nur eine Trennung vom operativen Geschäft. Daneben muss es möglich sein, bestimmte Compliance-Aufgaben auf operativ tätige Mitarbeiter zu delegieren, sofern dies zur Erschließung geschäftsnaher Kenntnisse erforderlich ist. Auch eine Anbindung an andere Organisations- und Stabsbereiche soll grundsätzlich nicht erfolgen.

Mit der Entscheidung des BGH vom 17. Juli 2009 trifft den Compliance-Officer aufgrund der gegenüber der Unternehmensleitung übernommenen Pflicht zur Verhinderung von Straftaten regelmäßig eine Garantenpflicht im Sinne des §13 I StGB. Hierdurch wird ihm ausdrücklich eine persönliche strafrechtliche Verantwortlichkeit zugewiesen. Der BGH begründet diese Verantwortlichkeit mit dem Aufgabengebiet des Compliance-Officers, das gerade in der Verhinderung von Rechtsverstößen bestehe, insbesondere von Straftaten, die aus dem Unternehmen heraus begangen werden.

Organisatorische Verankerung

Für den redlichen Compliance-Officer eines Finanzdienstleisters dürfte das Strafverfolgungsrisiko auf Fahrlässigkeitstaten beschränkt sein, etwa im Bereich der leichtfertigen Geldwäsche (§ 261 Abs. 5 StGB). Der überwiegende Teil der typischen Straftaten, die durch eine Compliance-Organisation verhindert werden sollen, wie Korruptionsdelikte (§§299 ff., 331 ff. StGB), Betrug (§ 263 StGB) oder Untreue (§266 StGB), sind regelmäßig nicht fahrlässig begehbar, sodass nur der sich unredlich verhaltende Compliance-Officer ernsthaft einem Strafverfolgungsrisiko ausgesetzt sein dürfte.

Der Compliance-Officer sollte der Unternehmensleitung direkt unterstellt sein. Er ist damit Ansprechpartner der Unternehmensleitung einerseits, andererseits aber auch Vertrauensperson der Mitarbeiter. Neben der reinen Kontroll- beziehungsweise Überwachungsfunktion ist insbesondere auch die Beratung des Vorstands oder der Geschäftsleitung in compliancerelevanten Bereichen ein weiterer wesentlicher Auf gabenbereich. Der Compliance-Officer macht dem Vorstand konkrete Vorschläge für das einzurichtende Compliance-System und sorgt für dessen Dokumentation und Weiterentwicklung. Darüber hinaus ist er zudem sowohl gegenüber der Geschäftsleitung als auch gegenüber dem Aufsichtsorgan berichtspflichtig.

Die Kontrollprozesse, beispielsweise das Vier-Augen-Prinzip, nehmen eine sehr wichtige Rolle im gesamten Compliance-Management ein. Gleiches gilt für Compliance-Reviews, bei denen untersucht wird, ob die Kontrollprozesse entsprechend den Vorgaben in den Fachbereichen implementiert sind und auch effektiv funktionieren. Neben den Kontrollprozessen kommt in der operativen Compliance-Steuerung insbesondere auch der Beratung eine sehr wichtige Rolle zu. Je besser und frühzeitiger beraten wird, umso weniger detailliert und umfassend muss tendenziell auch in einem späteren Schritt kontrolliert werden.

Ein weiterer wichtiger Bestandteil der Compliance-Funktion ist die regelmäßige und anlassbezogene Schulung der Mitarbeiter in Bezug auf neue (aufsichts-)rechtliche Anforderungen, Organisations- und Arbeitsanweisungen. Außerdem ist mindestens einmal jährlich ein Bericht über die Angemessenheit und Wirksamkeit der implementierten Grundsätze, Mittel und Verfahren an die Geschäftsleitung zu übermitteln. Abbildung 2 zeigt wichtige Bestandteile eines regelmäßigen sowie anlassbezogenen Compliance-Berichts.

Praktische Umsetzung

Richtlinien und schriftliche Fixierung: Die Anforderungen an das Compliance-System und die erforderlichen Systemänderungen resultieren überwiegend aus Vorgaben und Änderungen im rechtlichen Unternehmensumfeld, etwa durch Gesetze, aktuelle Rechtsprechungen oder gängige Aufsichtspraxis. Bewährt hat sich deshalb ins besondere eine schriftliche Fixierung der Compliance-Regelungen, etwa in Form von Verhaltensanweisungen wie einem Code of Conduct, sowie Compliance-Richtlinien. Eine solche schriftliche Fixierung wird im Zweifelsfall vielfach auch strafmildernd berücksichtigt, sofern die entsprechenden Rahmenbedingungen geschaffen wurden. Für die meisten Finanzdienstleistungsinstitute dürften insbesondere Richtlinien zur Annahme von Geschenken (Gift Policy), zum Datenschutz und zur Vertraulichkeit sowie zur Korruption und Bestechlichkeit et cetera wesentlich sein.

Compliance-Landscape: Analog zum Risikoinventar im Risikomanagement hat sich für den Compliance-Bereich eine "Compliance-Landscape" etabliert. Hierin werden alle für ein Institut relevanten Compliance-Themen definiert und strukturiert aufbereitet, um anschließend die risikogefährdeten Arbeitsbereiche entsprechend zu bewerten. Besonders wichtig ist insbesondere, dass für jedes als wesentlich eingestufte Risiko ein Compliance-Owner festgelegt wird, also ein Verantwortlicher, der die Einführung und Etablierung der notwendigen Systeme, Regeln und Kontrollen sicherstellen muss. Die Schaffung größtmöglicher Transparenz und die direkte Verantwortlichkeit reduzieren Komplexität.

Aufgrund der zahlreichen gesetzlichen Vorschriften steigt für die meisten Institute die Wahrscheinlichkeit, den Überblick zu verlieren und (unbewusst) gegen Vorschriften zu verstoßen. Ein direkter Ansprechpartner soll dies verhindern. Sobald die Verantwortlichen im Rahmen der Landscape festgelegt wurden, muss der Compliance-Officer bei diesen hinterfragen, welche Konzepte vorliegen, um in den jeweiligen Bereichen die Compliance sicherzustellen.

Sind solche Konzepte noch nicht vorhanden, sollte der Compliance-Officer bei der Entwicklung und dem Aufbau unterstützend eingreifen. Sind Konzepte bereits etabliert, muss er diese auf ihre Funktionsfähigkeit und Wirksamkeit prüfen. Abbildung 3 zeigt einen exemplarischen Aufbau einer Compliance-Landscape.

Compliance-Risikoanalyse: Der Compliance-Beauftragte muss im Rahmen einer Risikoanalyse die Risiken der einzelnen Geschäftsbereiche zunächst erheben, um einen Überwachungsplan ableiten zu können, der sich an dem tatsächlichen Risikogehalt der Geschäftsbereiche orientiert. Er muss zunächst eigene Kriterien definieren, anhand derer er die Compliance-Risiken bewerten kann. Anhand dieser Analyse sind die Compliance-Risiken zu definieren und die entsprechenden Kontrollen und Maßnahmen unter Berücksichtigung der Risikostrategie festzulegen. Der Überwachungsplan der Compliance-Funktion konzentriert sich hierbei im Sinne einer risikobasierten Überwachung auf besonders risikobehaftete Themen. Neben eigenen Überwachungshandlungen sind hierbei allerdings auch alle bestehenden Kontrollen, etwa durch die Interne Revision, aber auch durch externe Prüfungen, wie etwa die Jahresabschlussprüfung oder externe Audits, zu berücksichtigen. Abbildung 4 zeigt Ausprägungsformen von exemplarischen Compliance-Risiken einer Finanzdienstleistungsgesellschaft.

Dreistufig

In der Praxis hat es sich vielfach bewährt, die Compliance-Anforderungen in drei Stufen umzusetzen. Die erste Stufe bildet die Prävention von Compliance-Verstößen. In der zweiten Stufe kommt insbesondere dem Risikomanagement und der laufenden Überwachung eine zentrale Rolle zu, und in der dritten Stufe wird regelmäßig die interne Revision herangezogen.

Prävention: In der Stufe der Prävention geht es darum, Regel- und Gesetzesverstöße zu verhindern oder zumindest zu reduzieren. Es wird verlangt, dass sich der jeweilige Verantwortliche über Entwicklungen und Trends auf dem Laufenden hält und diese in seinen Handlungen berücksichtigt. Es wird eine proaktive Haltung erwartet, um mögliche Schäden erst gar nicht entstehen zu lassen. Wesentlicher Bestandteil der Prävention sind insbesondere prozessintegrierte Kontrollen, etwa auf EDV-Basis oder aber im Rahmen des Vier-Augen-Prinzips. Besonders wichtig sind zudem die Gewährleistung von Transparenz und die Vermeidung von potenziellen Interessenskonflikten. Im Falle von Verstößen oder ungewöhnlichen Sachverhalten erhält die Compliance-Funktion unmittelbar eine Information und kann die entsprechenden Vorgänge kritisch prüfen.

Besonders wichtig im Rahmen der Prävention ist zudem die feste Verankerung des Compliance-Managements in der Unternehmenskultur. So beeinflussen insbesondere auch die Vorgesetzten als wichtige Multiplikatoren die Bedeutung, welche die Mitarbeiter der Beachtung von Regeln beimessen, und damit ihre Bereitschaft zu regelkonformem Verhalten. Je positiver die Unternehmenskultur ist, etwa in Form einer guten Team-Atmosphäre oder einer offenen Fehlerkommunikation mit einer geringen Regelverstoß-Toleranz, umso grö ßer ist regelmäßig auch die Akzeptanz der Compliance-Vorgaben.

Laufende Überwachung: Die Art und Weise sowie die Intensität erforderlicher Überwachungsmaßnahmen sind einzelfallabhängig. Sie richten sich insbesondere an der potenziellen Verlustschwere von Verstößen und der Gefahr ihrer Entdeckung sowie möglichen Verdachtsmomenten. Die regelmäßigen Compliance-Kontrollen fokussieren damit besonders auf Geschäfte mit einem erhöhten Risikopotenzial. Gleichzeitig muss aber auch bei sich ändernden Rahmenbedingungen eine flexible Anpassung der Kontrollen gewährleistet sein. In den Berichten der Compliance-Funktion an die Geschäftsleitung wird insbesondere hierauf eingegangen. Durch die Adressierung der Ergebnisse des Monitorings und der durchgeführten eigenen Kontrollen soll eine höchstmögliche Transparenz über die bestehenden Compliance-Risiken geschaffen werden. Außerdem soll ein Urteil über die Wirksamkeit der durchgeführten Maßnahmen und Kontrollmaßnahmen im Verhältnis zum definierten Risikopotenzial getroffen werden. Im Falle identifizierter Schwachstellen ist es besonders wichtig, dass die Compliance-Funktion beratend tätig wird. Außerdem sollten die entsprechenden Bereiche geschult oder gecoacht werden, sofern Bedarf besteht.

Interne Revision: Die Aufgabe der Compliance nähert sich immer mehr der der Internen Revision an. So müssen beide als neutrale und unabhängige Stellen das Vorhandensein notwendiger Anweisungen sowie deren Angemessenheit und Wirksamkeit prüfen. Der wesentliche Unterschied besteht allerdings darin, dass die Prüfung durch die Interne Revision grundsätzlich prozessunabhängig sowie teilweise nachgelagert ist, während die Prüfung im Compliance-Bereich eher proaktiv und idealerweise bereits präventiv ansetzt. Aufgrund der teilweise angrenzenden Aufgabenbereiche zwischen der Compliance-Funktion und der Internen Revision gibt es auch gewisse Synergiepotenziale. So kann die Interne Revision bei Prüfungen auf Ergebnisse von Stichproben und Feststellungen der Compliance-Funktion zurückgreifen. Umgekehrt kann beziehungsweise sollte die Revision der Compliance-Funktion die Berichte überlassen. Hierdurch können die Überwachungs- und Prüfungspläne der Compliance und der Revision abgesprochen werden, um zum einen erhöhte Belastungen in den Fachbereichen, aber insbesondere auch Doppelprüfungen zu vermeiden. Gleichzeitig sollte aber auch berücksichtigt werden, dass die Compliance-Funktion sich in ihrer Tätigkeit nicht allein auf Feststellungen der Revision verlassen sollte. Die Compliance-Tätigkeit ist umfassender und sollte insbesondere auch antizipatorisch und präventiv tätig werden.

Zusammenarbeit mit anderen Bereichen

Die Compliance-Aufgabe ist eng verbunden mit dem Risikomanagementsystem und dem internen Kontrollsystem nach §25 a Abs. 1 Satz 2 Nr. 1 KWG eines Instituts. So ist es ebenfalls eine wichtige Aufgabe des Compliance-Systems, den Fortbestand des Instituts gefährdende Risiken frühzeitig zu entdecken. Die Compliance-Risiken sind nahezu deckungsgleich mit den operationellen Risiken, wobei lediglich die vielfach auftretenden Reputationsrisiken explizit nicht zu den operationellen Risiken gezählt werden.

Die Compliance-Funktion verfügt bei der Ermittlung eines Sachverhalts über ein uneingeschränktes Auskunfts-, Einsichts- und Zugangsrecht zu allen für ihre Aufgabe relevanten Informationsquellen. Unterstützt werden kann der Compliance-Officer bei seiner Tätigkeit durch das Compliance-Committee, in dem wichtige Verantwortliche für ein Compliance-Management-System sitzen sollten (zum Beispiel Leiter Revision, Leiter Recht, Leiter Sicherheit, Leiter Personal). Teilweise kann dem Officer auch ein Veto-Recht eingeräumt werden, etwa im Rahmen von Neu-Produkt-Prozessen.

In der operativen Steuerung kommt der Zusammenarbeit mit anderen Bereichen ebenfalls eine sehr zentrale Rolle zu. So ist beispielsweise häufig schon im Einstellungsprozess kriminelles Potenzial von Mitarbeitern ersichtlich. Im Bereich des Geldwäschegesetzes ist unter anderem gemäß § 9 Abs. 2 Nr. 4 GwG eine Zuverlässigkeitsprüfung der Mitarbeiter vorzunehmen. Wenn der Bewerber in den letzten fünf Jahren vor Beginn der zu besetzenden Tätigkeit wegen eines Verbrechens oder wegen Diebstahls, Unterschlagung, Erpressung, Betrug, Untreue, Geldwäsche, Urkundenfälschung, Hehlerei, Wuchers, einer Insolvenzstraftat, einer Steuerhinterziehung oder aufgrund des § 38 WpHG rechtskräftig verurteilt wurde, ist vielfach keine ausreichende Zuverlässigkeit gegeben. Sicherlich kommt es aber auch auf die zu besetzende Tätigkeit an, wie tief greifend diese Untersuchungen vorzunehmen sind. Eine weitere wichtige Rolle für die laufende Überwachung kommt dem Controlling zu. Im Controlling lassen sich vielfach relativ schnell Unregelmäßigkeiten erkennen, die wiederum vom Compliance-Officer näher untersucht werden können.

Großes Konfliktpotenzial ergibt sich in der Durchführung der Compliance-Aufgabe insbesondere hinsichtlich des Datenschutzes. Deshalb kommt der Zusammenarbeit mit dem jeweiligen Datenschutzbeauftragten ebenfalls eine wichtige Bedeutung zu. So ist immer zu untersuchen, ob das (berechtigte) Interesse an den Daten im Zuge der Aufdeckung von Straftaten oder aber die schutzwürdigen Interessen des Beschäftigten überwiegen. Es ist also im Idealfall neben der Intensität des Verdachts insbesondere auch die Schwere des vorgeworfenen Regelverstoßes zu würdigen.

Kosteneinsparungen möglich

In vielen Unternehmen ist Compliance unbeliebt, und die Einführung beziehungsweise die Umsetzung von Compliance-Systemen stößt auf Widerstände, da regelmäßig gewohnte Geschäftspraktiken auf den Prüfstand gestellt werden und vielfach ein zunehmender bürokratischer Aufwand entsteht. Gleichzeitig entsteht durch die institutsindividuelle Umsetzung sehr schnell ein deutlich messbarer betriebswirtschaftlicher Mehrnutzen. So führt gute Compliance regelmäßig dazu, dass die Institute bei den nachgelagerten Kontrollen, etwa der Internen Revision und beim Einsatz externer Wirtschaftsprüfer, Kosten sparen können, da die Compliance-Funktion bereits prozessimmanente Kontrollen vorgenommen hat. Außerdem werden die Einführung verbindlicher Standards und die Transparenz der Abläufe im Unternehmen besonders gefördert.

Fußnote

1) Definition des Arbeitskreises Externe und Interne Überwachung der Unternehmung der Schmalenbach-Gesellschaft für Betriebswirtschaft.

Dr. Christian Glaser , Geschäftsführer , Kazenmaier Leasing GmbH, Karlsruhe
Noch keine Bewertungen vorhanden


X