Im Zusammenhang mit der Einführung von Basel III werden vor allem die quantitativen Eigenkapital- und Liquiditätsvorschriften intensiv diskutiert.1) Demgegenüber bleiben die qualitativen Anforderungen, wie sie sich unter anderem aus den "Guidelines on Internal Governance" (GL 44 - im Folgenden: GoIG)2) der European Banking Authority (EBA) ableiten lassen, derzeit noch vergleichsweise unbeachtet.3)
Mängel in den internen Kontroll- und Überwachungsstrukturen
Motivation für die geplanten Neuerungen im Bereich der qualitativen Aufsicht ist die Erkenntnis, dass Mängel in den internen Kontroll- und Überwachungsstrukturen (Internal Governance) zwar nicht unmittelbar Ursache der Finanzmarktkrise waren, diese negativen Entwicklungen jedoch begünstigt haben.4)
Die GoIG beinhalten eine Zusammenfassung und Überarbeitung der bestehenden CEBS-Guidelines zum Outsourcing, zum Supervisory Review Process, zur Vergütung und zu den Grundsätzen des Risikomanagements.5) Sie umfassen im Überblick die nachfolgend dargestellten Regelungsbereiche. Änderungen auf europäischer Ebene entfalten in diesen Bereichen nach europäischem Recht keine unmittelbare Geltung, sondern müssen noch in die deutsche Regulierungslandschaft überführt werden.
Abbildung 1 zeigt, dass die meisten Änderungen die Regulierungsbereiche, die derzeit im Kreditwesengesetz (KWG) sowie in den Mindestanforderungen an das Risikomanagement (MaRisk) geregelt sind, betreffen. Insofern ist zu erwarten, dass die Anpassungen insbesondere in der nächsten, dann bereits vierten Novelle der MaRisk aufgegriffen werden. Die GoIG enthalten, ebenso wie die vorherigen MaRisk-Novellen, neben einigen materiellen Neuerungen auch eine Vielzahl an formellen Anforderungen, die die Institute und ihre Leitungsorgane einschließlich der Aufsichtsräte vor neue Herausforderungen stellen.
Materielle Neuerungen aus den GoIG
Die wesentlichen Neuregelungen, die durch die GoIG geschaffen werden, betreffen die in Abbildung 2 aufgezeigten Bereiche.
Die Neuerungen im Rahmen der Aufbau- und Ablauforganisation beziehen sich ausschließlich auf die Gruppenebene. In diesem Zusammenhang fordern die GoIG über die bestehenden Regelungen der MaRisk6) hinaus - eine Analyse der Auswirkungen von Änderungen der Gruppenstruktur auf deren Stabilität. Dies umfasst nicht nur klassische Mergers & Akquisi-tions-Aktivitäten, sondern auch den Verkauf einzelner Einheiten.7) In der Praxis kann dies unter anderem bereits dann Relevanz entfalten, wenn ein Gruppenunternehmen wesentliche Dienstleistungen für andere Einheiten der Gruppe erbringt und eine Veräußerung dieser Einheit eine entsprechende Neustrukturierung der Prozesse erfordert oder zum Beispiel zu deren Auslagerung führt.
Die umfassendsten Neuregelungen ergeben sich hinsichtlich der Anforderungen an die Leitungsorgane (Management Body). Während das angelsächsische Leitungsmodell hierbei von einem einstufigen Board geprägt ist, der sich aus operativ und nichtoperativ tätigen Mitgliedern zusammensetzt, umfasst dieser Begriff im deutschen zweistufigen System Geschäftsleitung und Aufsichtsrat. Dies führt bei der Umsetzung der Neuerungen zu Abgrenzungsfragen, die seitens des deutschen Gesetzgebers zu regeln sein werden. Der Schwerpunkt der Änderungen der GoIG liegt dabei auf der Aufsichtsratsfunktion, da ein Mangel an Überwachung als eine der wesentlichsten Schwachstellen im Rahmen der Finanzmarktkrise identifiziert wurde.8)
Die GoIG empfehlen für beaufsichtigte Tochterunternehmen einer Institutsgruppe, dass in deren Aufsichtsrat eine angemessene Anzahl an Mitgliedern vertreten sein soll, die vom Tochterunternehmen und dessen Gruppe sowie vom kontrollierenden Gesellschafter unabhängig sind.9) Diese Regelung war im Rahmen der Konsultation sehr umstritten.10) Sie wurde gleichwohl von der EBA mit der Begründung beibehalten, dass eine Überwachung möglicher Interessenkonflikte zwischen Mutter- und Tochterinstitut durch eine solche Regelung besser gewährleistet ist.11) In der Praxis wird hierdurch eine stringente, unter Risikogesichtspunkten begründete Gruppensteuerung - wie sie in den MaRisk (AT 4.5) gefordert ist - tendenziell erschwert. Die GoIG gehen mit dieser Regelung ferner über die allgemeinen Regelungen des Deutschen Corporate Governance Kodex12) hinaus. Dessen Änderungsentwurf zur Einführung beziehungsweise Konkretisierung der Unabhängigkeit von Mitgliedern des Aufsichtsorgans ist jüngst auf massiven Widerstand gestoßen.13)
Effektive Interaktion eingefordert
Um Aufsichtsorgane zukünftig besser in die Lage zu versetzen, Vorschläge, Erklärungen und Informationen der Geschäftsleitung kritisch zu hinterfragen, sehen die GoIG zwingend eine effektive Interaktion von Geschäftsleitung und Aufsichtsorgan vor.14) Wenngleich dies im deutschen Gesellschaftsrecht dem Grunde nach bereits seit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)15) verankert ist, so bleibt dennoch abzuwarten, inwieweit in Deutschland neue, konkrete Anforderungen an deren praktische Umsetzung gestellt werden beziehungsweise diese Anforderungen auch exekutiert werden. Die Festlegung von Maßnahmen bei einem Verstoß gegen diese Anforderung würde damit allerdings - anders als bisher - nicht mehr nur gesellschaftsrechtlich begründet werden, sondern auch unmittelbar durch die BaFin, als weitere Kronlltinstanz, erfolgen.
Der Kontrollumfang und die -tätigkeit der Organe und Organmitglieder wird in den GoIG ebenfalls weiter detailliert: So wird unter anderem explizit vorgeschrieben, dass Geschäftsleitungs- oder Aufsichtsratsmitglieder genügend Zeit und Anstrengung in ihre Aufgaben investieren müssen, um diese effektiv zu erfüllen. Hierfür sollte schriftlich eine Mindestzeit festgehalten werden.16) Wie hoch diese sein muss, wird in den GoIG nicht festgelegt; hier gilt insofern der Proportionalitätsgrundsatz. Zweckmäßigerweise ist die erforderliche Mindestzeit über ein Benchmarking mit vergleichbaren Instituten zu bestimmen.
Einen weiteren Schwerpunkt legen die GoIG auf die Bildung von Ausschüssen im Aufsichtsorgan. Wirklich neu ist in diesem Zusammenhang, dass ein Risikoausschuss empfohlen wird,17) der zwecks Beratung des Aufsichtsorgans zur Risikobereitschaft und -strategie regelmäßig direkt mit dem Risikocontrolling und dessen Leiter in Kontakt treten soll.18) Wenngleich ein ähnliches Auskunftsrecht in Bezug auf den Leiter der Internen Revision bereits in den MaRisk verankert ist,19) so sieht diese Regelung doch einen sehr umfangreichen Kontakt des Aufsichtsorgans mit operativen Einheiten des Instituts unter Umgehung der Geschäftsleitung vor.
Regelmäßige Beurteilung der Effizienz
Im Hinblick auf die Organisation in den Organen verlangen die GoIG eine regelmäßige Beurteilung der Effizienz und Effektivität der Aktivitäten, Überwachungspraktiken und -verfahren sowie der Funktionsfähigkeit der Ausschüsse des Aufsichtsorgans. Die Überprüfung kann durch externe Dritte erfolgen und soll sowohl den Aufsichtsrat als Ganzes als auch das einzelne Mitglied umfassen.20)
Eine weitere besondere Neuerung im Rahmen der GoIG ist als unmittelbare Reaktion auf die Finanzmarktkrise die Anforderung, dass Institute zukünftig einen Prozess einführen müssen, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Verstöße gegen Kontroll- und Überwachungsregelungen innerhalb des Instituts an geeignete Stellen berichten zu können. In Frage kommen hierfür beispielsweise die Bereiche Compliance oder die Interne Revision.21) Damit schaffen die GoIG erstmals auch für das Risikomanagement einen "Whistleblower-Prozess", wie ihn bislang nur das WpHG kennt. Entsprechend der Zielsetzung dieser Anforderung sollten solche Meldungen außerhalb des regulären Reportings erfolgen können. Hierfür sind Organisationsrichtlinien zu entwickeln, die allen Mitarbeitern bekannt zu machen sind.22) Durch eine entsprechende Sensibilisierung der Mitarbeiter soll dieser "Whis-tleblower-Prozess" mit Leben gefüllt und auch auf Ebene der Mitarbeiter ein entsprechendes Überwachungselement institutionalisiert werden.
Im Bereich der Internen Kontrollverfahren konkretisieren die GoIG auch erstmals die Rolle des Leiters des Risikocontrollings (Chief Risk Officer - CRO). Dieser hat zukünftig die alleinige Verantwortung für das Risikocontrolling und die Überwachung des Risikomanagement-Frameworks der gesamten Organisation, auch auf Gruppenebene.23) Die GoIG empfehlen, den CRO mit einem Veto-Recht auszustatten.24) Falls dies nicht erfolgt, sollte diese Entscheidung dokumentiert und begründet werden. Eine Entlassung des CRO sollte nur mit vorheriger Zustimmung des Aufsichtsorgans erfolgen können.25) Die Entscheidung muss veröffentlicht sowie der Aufsicht unter Angabe der Gründe angezeigt werden.26)
Eingriff in die Kompetenzen der Geschäftsleitung
Aus den GoIG wird nicht eindeutig klar, auf welcher Ebene der CRO einzuordnen ist. Die Wortwahl "CRO" der GoIG sowie die Alleinverantwortlichkeit lassen ein Geschäftsleitungsmitglied vermuten. Der deutsche Arbeitsentwurf des BMF zum CRD IV-Umsetzungsgesetz bezieht sich demgegenüber durch die Wortwahl "Leiter des Risikocontrollings" tendenziell auf eine Ebene unterhalb der Geschäftsleiterebene. Insofern stellt diese Regelung einen erheblichen Eingriff in die Kompetenzen der Geschäftsleitung dar.
Ein nicht ganz so starker Eingriff ist die Empfehlung, den (Mehr-)Jahresplan der Internen Revision durch den Prüfungsausschuss und/oder durch den Management Body - Geschäftsleitung und Aufsichtsorgan - zu genehmigen.27) Bislang lag dies in der Verantwortlichkeit der Geschäftsleitung.28)
Im Bereich Transparenz gibt es nur geringfügige Änderungen, denn eine mangelnde Offenlegung galt nicht als Ursache der Krise2.9) Eine Neuerung betrifft allerdings die Offenlegungspflicht für den Prozess der Strategieentwicklung30). Dies stellt allerdings einen wesentlichen Eingriff in die berechtigten Vertraulichkeitsinteressen der Institute dar. In welcher Detailtiefe Informationen zum Strategieprozess veröffentlicht werden, wird die Praxis zeigen. Erfahrungsgemäß werden die Institute versuchen, diese Offenlegungsanforderungen möglichst restriktiv umzusetzen und zunächst das Verhalten der Wettbewerber beobachten.
Formelle Änderungen
Neben den beschriebenen materiellen Neuerungen gibt es eine Vielzahl neuer beziehungsweise konkretisierender formeller Anforderungen. Diese machen gegenüber der geltenden Rechtslage beziehungsweise banküblicher Praxis zwar keine Änderungen in der Organisation oder den Prozessen erforderlich. Dennoch führen sie zu erhöhten Anforderungen an eine stringente Dokumentation, auch im Hinblick auf eine eventuelle Drittprüfung.
Im Rahmen der Anforderungen an Geschäftsleitung und Aufsichtsorgan sehen die GoIG unter anderem die Ergänzung interner Überwachungsgrundsätze um einen Verhaltenskodex vor.31) Darüber hinaus binden die GoIG die Compliance-Funktion formal in die Internen Kontrollverfahren ein. Wenngleich die Compliance-Funktion in den MaRisk bislang keine Erwähnung gefunden hat, dient sie im Grunde doch der Steuerung und Begrenzung operationeller Risiken und ist in den Banken aufgrund der Anforderungen des WpHG seit Jahren implementiert.
Anforderungen an die Unabhängigkeit des Aufsichtsorgans
Im Hinblick auf die Organbesetzung fordern die GoIG explizit dokumentierte Grundsätze für die Auswahl, Überwachung und Nachfolgeplanung der Organmitglieder, um eine ausreichende Expertise in dokumentierter Form zu gewährleisten. Die Nachfolge soll so geplant werden, dass nicht mehrere Organmitglieder gleichzeitig rotieren.32) Die Organmitglieder müssen ergänzend zu den Regelungen des KWG33) - regelmäßige Trainings absolvieren34), um ihrer Verpflichtung zum Erhalt und zur Vertiefung des Know-hows35) nachzukommen. Neben der Qualifikation werden auch Anforderungen an die Unabhängigkeit der Mitglieder des Aufsichtsorgans gestellt.36) Hierzu verlangen die GoIG schriftliche Grundsätze für den Umgang mit Interessenkonflikten von Mitgliedern der Geschäftsleitung und vor allem des Aufsichtsorgans.37) Diese müssen unter anderem die Verpflichtung zur Vermeidung von Interessenkonflikten, einen Genehmigungsprozess für bestimmte (Neben-)Tätigkeiten sowie die Folgen einer Nichteinhaltung dieser Grundsätze umfassen. Die GoIG erweitern bei Risikosteuerungs- und -controllingprozessen die einzubeziehenden Risiken (Adressenausfall-, Markt-preis-, Liquiditäts- und operationelle Risiken) explizit um Konzentrations-, Reputations-, Compliance- und strategische Risikoausprägungen.38) Während Risikokonzentrationen sowie fakultativ Reputationsrisiken in den MaRisk bereits verankert sind und strategische Risiken zumindest stets im Fokus der Diskussion waren, ist die explizite Nennung von Compliance Risiken formal neu. In der Praxis wurden sie jedoch seit jeher als Bestandteil der operationellen Risiken grundsätzlich berücksichtigt. Die Kontrollfunktionen im Sinne der MaRisk, die insbesondere aus dem Risikocontrolling und der Internen Revision bestehen, werden durch die GoIG um die Compliance-Funktion erweitert. In kleineren Instituten kann dies auch mit dem Risikocontrolling kombiniert werden.39) Diese Funktionen müssen sowohl von den zu überwachenden Einheiten als auch voneinander unabhängig sein.40) Für Institutsgruppen wird klargestellt, dass die Kontrollfunktionen des übergeordneten Unternehmens die der nachgeordneten überwachen sollen.41)
Alle Kontrollfunktionen sollen regelmäßig Berichte über wesentliche identifizierte Mängel an die Geschäftsleitung und/oder das Aufsichtsorgan erstatten, verbunden mit einem Follow Up früherer Beanstandungen. Die Berichte müssen neben einer Darstellung der relevanten Risiken auch eine Auswirkungsanalyse und Handlungsempfehlungen enthalten.42)
Keine Pause
Durch die europäischen Regulierungsbestrebungen ist zu erwarten, dass die daraus resultierende Änderungsgeschwindigkeit der MaRisk als zentrales Medium der Umsetzung weiter hoch bleiben wird. Nachdem die dritte Novelle im Wesentlichen bis Jahresende 2011 umzusetzen war, gönnt die Aufsicht den Instituten derzeit nur eine kleinere Pause. Die BaFin ist gehalten, die Guidelines zeitnah umzusetzen, was insbesondere im Rahmen einer vierten MaRisk-Novelle zu erwarten sein wird.
Über eine entsprechende Umsetzungsfrist für die Institute kann aktuell nur spekuliert werden. Viel deutet darauf hin, dass, ähnlich wie bei vorherigen MaRisk-Novellen, viele Aspekte lediglich als Konkretisierung bereits bestehender Regelungen angesehen und damit unmittelbar Gültigkeit entfalten werden. Für die wesentlichen Neuerungen, insbesondere hinsichtlich der Anforderungen an das Aufsichtsorgan, der Implementierung eines Whistleblower-Prozesses im Risikomanagement sowie der Rolle des CRO, ist analog der früheren Novellen eine Übergangszeit bis Ende 2012 zu erwarten.
Mit diesen Neuregelungen entfernt sich die (internationale) Aufsicht in Teilen weiter von ihrem ursprünglich prinzipien- und risikoorientierten Best-Practice-Ansatz, zugunsten einer stärkeren Detaillierung der Einzelregelungen. Dies verwundert umso mehr, als die EBA auf Basis der Antworten im Rahmen der Konsultation selbst konstatiert hat,43) dass die identifizierten Schwächen oft die Folge einer lückenhaften Umsetzung der bereits existierenden Regelungen, insbesondere der MaRisk, waren - und nicht etwa einer mangelnden Regulierung.
Fußnoten
1) Vgl. beispielhaft Schimansky/Bunte/Lwowski, Bank-rechts-Handbuch, 4. Auflage 2011, § 133 a. Basel III: Neukonzeption des Eigenkapital und Liquiditätsregimes; Loeper, Erich, Basel III und weitere Regulierungsvorhaben des Baseler Ausschusses, in: ZfgK 11/2011, 550-553; Becker, Böttger, Ergün, Müller: Basel III und die möglichen Auswirkungen auf die Unternehmensfinanzierung, in: DStR 2011, 375-380
2)Vgl. http://www.eba.europa.eu/cebs/media/Publications/Standards%20and%20Guidelines/2011/EBA-BS-2011-116-final-(EBA-Guidelines-on-Inter-nal-Governance)-(2)_1.pdf
3) So hat sich nach Informationen auf der EBA-Homepage von Seiten deutscher Bankenverbände lediglich der Verband der Auslandsbanken in Deutschland e. V. an der Konsultation beteiligt.
4) GoIG, I. Executive Summary, Tz. 3.
5) Alle Guidelines sind abrufbar unter http://www. eba.europa.eu/Publications/Standards-Guidelines. aspx
6) MaRisk, AT 8 Tz. 7.
7) GoIG, S. 17, Titel II. A.4, Tz. 4 und Explanatory Note.
8) GoIG, I. Executive Summary, Tz. 6.
9) GoIG, S. 18, Titel II. A.5, Tz. 6.
10) GoIG, S. 64 (Feedback Table).
11) GoIG, S. 64 (Feedback Table).
12) Vgl. Deutscher Corporate Governance Kodex i.d. F.v. 26.5.2010, Abschnitt 5.4.2.
13) Fockenbrock, Dieter, Allianz gegen neue Kodex-Regeln, in: Handelsblatt vom 19. März 2012, S. 22; Deutscher Corporate Governance Kodex i.d. F.v. 26. Mai 2010 mit Vorschlägen vom 17. Januar 2012, Abschnitt 5.4.2.
14) GoIG, Titel II. B. B.1.10.
15) Vgl. beispielsweise Lingemann, Stefan, Wasmann, Dirk, Mehr Kontrolle und Transparenz im Aktienrecht: Das KonTraG tritt in Kraft, in: Betriebsberater 1998, 857 ff., Abschnitt VII.4.; Lutter, Marcus, Professionalisierung des Aufsichtsrats, in: Der Betrieb 2009, 775-779.
16) GoIG, Titel II. B. B.2.12, Tz. 4.
17) GoIG, Titel II. B. B.2.14, Tz. 6.
18) GoIG, Titel II. B. B.2.14, Tz. 12.
19) MaRisk, Erläuterungen zu AT 4.4 Tz. 2.
20) GoIG, Titel II. B. B.2.14, Tz. 3.
21) GoIG, Titel II. B. B.3.17.
22) GoIG, Titel II. B. B.3.17, Tz. 2.
23) GoIG, Titel II. D.27, Tz. 1f.
24) GoIG, Titel II. D.27, Tz. 3.
25) GoIG, Titel II. D.27, Tz. 6.
26) GoIG, Titel II. D.27, Tz. 6.
27) GoIG, Titel II. D.29, Tz. 5.
28) Vgl. MaRisk, BT 2.3 Tz. 4.
29) GoIG, I. Executive Summary, S. 5, Tz. 10.
30) GoIG, Titel II. F.33, Tz. 2.
31) GoIG, Titel II. B. B.1.8, Tz. 2.
32) GoIG, Titel II. B. B.2.11.
33) Vgl. §§ 32, 36 KWG, Merkblatt der BaFin zur Kontrolle von Mitgliedern von Verwaltungs- und Aufsichtsorganen gemäß KWG und VAG vom 22. Februar 2010.
34) In Frage kommt hier beispielsweise die Board Academy (vgl. http://board-academy.com/cms/front_content.php)
35) GoIG, Titel II. B. B.2.13.
36) GoIG, Titel II. B. B.2.12, Tz. 2, 5.
37) GoIG, Titel II. B. B.2.12, Tz. 6.
38) GoIG, Titel II. C.20, Tz. 4.
39) GoIG, Titel II. D.24, Tz. 4.
40) GoIG, Titel II. D.24, Tz. 5.
41) GoIG, Titel II. D.24, Tz. 5.
42) GoIG, Titel II. D.24, Tz. 8.
43)GoIB, I. Executive Summary, Tz. 12.
