Compliance-Funktion nach der MaRisk-Novelle 2012: Kleiner Abschnitt, große Wirkung?

Nachdem im April 2012 durch die BaFin mit dem Entwurf für eine Überarbeitung der Mindestanforderungen an das Risikomanagement (MaRisk) der Konsultationsprozess eingeleitet wurde, erwarteten die Marktteilnehmer die Veröffentlichung der neuen MaRisk noch vor dem nahenden Weihnachtsfest. Am 14. Dezember 2012 war es dann soweit, die BaFin hat die Überarbeitung mit dem Rundschreiben 10/2012 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk veröffentlicht.

Während bei der Veröffentlichung der Neufassung der MaRisk im Dezember 2010 überwiegend das Risikomanagement betroffen war, werden sich dieses Jahr auch insbesondere die Compliance-Officer intensiv mit den Neuerungen der MaRisk auseinandersetzen (müssen).

Die BaFin hat in AT 4.4.2 die Anforderungen an eine neue Compliance-Funktion dargestellt, die den Risiken, die sich aus der Nichteinhaltung der wesentlichen rechtlichen Regelungen und Vorgaben ergeben können, entgegenzuwirken hat. Die Compliance-Funktion wird damit erstmals als besondere Funktion i.S.d. MaRisk herausgestellt und gleichwertig neben die Bereiche Risikocontrolling und Interne Revision gestellt.

Die rege Diskussion um die Umsetzung der Anforderungen an diese neue Compliance-Funktion zeigte bereits im Rahmen des Konsultationsprozesses, dass damit ein erheblicher Aufwand verbunden sein könnte. In Gesprächen aufkommende Fragen wie

  • Muss Compliance zukünftig auch die Steuererklärung kontrollieren?
  • Prüfen Interne Revision und Compliance gleichberechtigt nebeneinander?
  • Müssen wir uns als Compliance um jede Vorschrift kümmern?
  • Was sind wesentliche Regelungen?
  • Was ändert sich für uns?

machen deutlich, dass hier eine große Unsicherheit hinsichtlich der Umsetzung und Ausgestaltung besteht.

Um diesen Unsicherheiten entgegenzuwirken, hat die BaFin im Anschreiben an die Verbände zur Veröffentlichung der Endfassung der MaRisk 2012 erläuternd Stellung genommen. Demnach zielen die neuen Anforderungen insbesondere auf eine angemessene Compliance-Kultur innerhalb der Institute ab, die sich auch in den Geschäftsbereichen wiederfinden muss. Die Geschäftsbereiche werden auch weiterhin für die Einhaltung der rechtlichen Regelungen und Vorgaben verantwortlich sein, während die neue Compliance-Funktion eine beratende und koordinierende Aufgabe übernehmen soll. Hinsichtlich des Umfangs der rechtlichen Regelungen und Vorgaben wurde in dem Anschreiben klargestellt, dass nicht alle relevanten Rechtsbereiche eines Instituts einbezogen werden müssen, sondern risikoorientiert die Bereiche, denen ein wesentliches Compliance-Risiko anhaftet.

Trotz der bestehenden Unsicherheiten und Interpretationsfragen sehen wir in der Neugestaltung der Compliance-Funktion auch die Chance, dass sich die Institute nachhaltig und umfassend mit ihren Compliance-Risiken auseinandersetzen und damit in der Lage sein werden, diese Risiken effizienter zu minimieren. Dass dies erforderlich ist, belegt leider auch die fortwährende Berichterstattung in den öffentlichen Medien (Falschberatung, Libor-Manipulation, Insiderhandel, Untreue-Tatbestände, Lustreisen, etc.).

Den bestehenden Interpretationsunsicherheiten zum Trotz werden sich im Markt entsprechende Standards entwickeln. Auch die BaFin beabsichtigt zusammen mit der Bundesbank nach Möglichkeit bereits im ersten Halbjahr 2013 im Fachgremium MaRisk mit der Praxis die Auslegungs- und Anwendungsfragen weiter zu diskutieren.

Unabhängig davon haben wir die folgenden Kernthesen für die neue Compliance-Funktion aufgestellt:

  • Compliance wird zukünftig eine weitergehende Rolle und Verantwortung als bisher im Institut wahrnehmen müssen.
  • Compliance wird als Frühwarnindikator für Geschäftsleitung und Aufsichtsorgan Risiken rechtzeitig erkennen müssen.
  • Compliance wird eine aktive Rolle in der Prävention von Risiken übernehmen.
  • Zur Umsetzung der neuen Compliance-Funktion wird ein kultureller Wandel in den Instituten erforderlich sein.

Die schwierigste Aufgabe am Anfang wird jedoch sein, wie die unter Risikogesichtspunkten zu bestimmenden wesentlichen rechtlichen Regelungen und Vorgaben identifiziert werden. Vor allem vor dem Hintergrund, dass in AT 4.4.2 diese Auswahl offen dargestellt wird, während in dem Anschreiben an die Verbände eine gewisse Vorauswahl mit den Bereichen Wertpapierdienstleistungen, Geldwäsche und Terrorismusfinanzierung, allgemeine Verbraucherschutzvorgaben, Datenschutzvorgaben und Fraud getroffen wurde. Diese Aufzählung ist aber nicht abschließend, da laut Anschreiben auch andere Bereiche, soweit als wesentlich eingestuft, zu beachten sind. Daher wird es an dieser Stelle entscheidend sein, eine transparente und für Dritte nachvollziehbare Vorgehensweise zur Identifikation der wesentlichen rechtlichen Regelungen und Vorgaben zu entwickeln. Dabei sollte die Konsistenz zu anderen Risikobewertungen (z.B. Operational Risk) berücksichtigt werden und eine effiziente Vorgehensweise durch Nutzung bestehender Prozesse zur Erhebung von Risiken gewählt werden.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */