Kategorie: Compliance Management

Bleiben Sie auf dem laufenden - der Compliance Management RSS-Feed

Das Modell der drei Verteidigungslinien im Kontext der MiFID II – Konzeption eines integrierten Kontrollansatzes zur Kostensenkung

Wertpapierdienstleitungsunternehmen bleiben durch Regulierungen wie MiFID II, die neuen MaRisk oder die 4. EU Geldwäscherichtlinien weiterhin unter regulatorischem Druck. Damit steigt das Risiko gegen regulatorische Vorgaben zu verstoßen und Schaden durch Strafzahlungen, Reputationsverluste sowie sinkenden Kundenzufriedenheit zu erleiden. Zu den geschäftlichen Risiken kommen ein persönliches Haftungsrisiko und ein strafrechtliches Risiko für Unternehmensorgane. Durch unsere Konzeption eines integrierten Kontrollansatzes, der eine Optimierung des Zusammenspiels der drei Verteidigungslinien aus operativen Fachbereichen, WpHG-Compliance-Funktion und Interner Revision im Rahmen des internen Kontrollsystems zum Ziel hat, kann diesen Herausforderungen begegnet und Kosten reduziert werden. Ein Ansatz, den auch der Regulator bereits aufgegriffen hat. So empfehlen die neuen MaComp in BT 1.2.1.2 Nr. 7, dass andere Kontrollfunktionen ihre Prüfungshandlungen mit den Überwachungshandlungen der Compliance-Funktion koordinieren. Des Weiteren berichtet das BaFinJournal 02/2018 über die Ergebnisse der Marktuntersuchung der BaFin zu den Internen Kontrollsystemen bei Banken und Sparkassen. Hier wird die Koordination der Kontrollhandlungen verschiedener Organisationseinheiten als Optimierungspotenzial identifiziert.

Das Ziel eines integrierten Kontrollansatzes ist es, Kostensenkungen durch einen wirtschaftlichen Ansatz bei der Reduzierung der regulatorischen Risiken zu erzielen. Dazu müssen die drei Verteidigungslinien so aufeinander abgestimmt werden, dass ein engmaschiges Netz von Kontrollen und Überwachungshandlungen entsteht, dass regulatorische Verstöße verhindert oder zeitnah aufdeckt (siehe Abbildung 1). So wird verhindert, dass keine vor dem Hintergrund des zugrundeliegenden Risikos und der bereits implementierten risikoreduzierenden Vorkehrungen überflüssigen Kontrollen und Überwachungshandlungen durchgeführt werden und somit unnötige Kosten entstehen.

Um Überwachungslücken und Redundanzen auszuschließen und das Sicherheitsniveau zu erhöhen müssen beim Zusammenwirken der drei Verteidigungslinien die folgenden Koordinationsparameter beachtet werden:

Als grundlegender Schritt muss eine integrierte Risikoanalyse eingeführt werden. Durch die Verwendung einer einheitlichen Systematik zur Risikoanalyse gehen alle drei Verteidigungslinien bei der Erhebung von Risiken einheitlich vor und betrachten die gleichen Analyseobjekte. Die Verwendung einheitlicher Bewertungskriterien ermöglicht es allen drei Verteidigungslinien ihre Risikoeinschätzungen zu vergleichen und zu validieren. In der Folge können die Bruttorisiken durch Prozessgestaltung und Kontrollen in den Fachbereichen sowie Kontrollen und präventive Maßnahmen wie Schulungen der Compliance-Funktion und der Internen Revision auf vertretbare Nettorisiken reduziert werden. Durch unseren modularen Ansatz ermöglichen wir eine reibungslose Einführung. Schon durch diesen grundlegenden Schritt werden Kostensenkungen erzielt.

Aufbauend auf der integrierten Risikoanalyse folgt als wichtigster Schritt der zwischen den drei Verteidigungslinien abgestimmte integrierte Kontrollansatz. Dieser ermöglicht ohne Reibungsverluste Kontrolltätigkeiten zu planen und durchzuführen. Hierdurch können die Kosten bei einer festgelegten Prüfungstiefe gesenkt werden oder bei stabilen Kosten eine höhere Prüfungstiefe erreicht werden. PwC hat dazu ein einen modularen Ansatz entwickelt, der es ermöglicht, anhand nur eines Prüfungsgebietes den Ansatz zu implementieren und diesen dann nach den Bedürfnissen des Kunden Zug um Zug auf andere Prüfungsgebiete zu übertragen.

Unsere Konzeption eines integrierten Kontrollansatzes ermöglicht Ihnen somit:

  • eine einfache und reibungslose Einführung durch unseren modularen Ansatz,
  • Kostensenkungen schon ab der Phase der integrierten Risikoanalyse und
  • Kostenoptimierung bei einem gewährleisteten Sicherheitsniveau.

Gerne unterstützen wir Sie dabei, der zunehmenden Regulierung in einem komplexen Geschäftsumfeld wirtschaftlich zu begegnen.

Governanceanforderungen könnten für Banken weiter steigen – Outsourcing arrangements sind Gegenstand des neuen Konsultationspapiers der EBA (EBA/CP/2018/11)

Nicht zuletzt motiviert durch die sich in der CRD (2013/36/EU), sowie den in MiFID II (2014/65/EU) und PSD2 (2015/2366/EU) Direktiven konkretisierten Anforderungen hinsichtlich Outsourcing, überarbeitet die EBA mit dem Konsultationspapier die bestehenden CEBS Guidelines aus dem Jahre 2006.

Die Anforderungen an ein transparentes und risikoorientiertes Outsourcingmanagement sind bereits seit vielen Jahren in Deutschland in den MaRisk geregelt. Diese wurden zuletzt im letzten Jahr überarbeitet und geschärft. Nichts desto trotz konkretisiert die EBA mit dem Konsultationspapier ihre Anforderungen weiter. So enthält das Papier weitere, aus Sicht der nationalen Regulation in weiten Teilen formalen Anforderungen, die ab Juni 2019 gelten sollen.

Neben vielen Aspekten die bereits aus der MaRisk in Deutschland bekannt sind (Risikoanalyse, aktive Steuerung, Transparenz über Outsourcingvorhaben, zentrales Auslagerungsmanagement, etc.), werden auch Aspekte adressiert, die bisher in dieser Ausdrücklichkeit der nationalen Regulation nicht zu entnehmen waren. So wird beispielsweise ein einheitliches Auslagerungsregister (inkl. formeller Vorgaben) und die Berücksichtigung der eigenen Werte und des Codes of Conducts bei der Beurteilung von potentiellen Dienstleistern genannt.

Wo es sich beim Thema Auslagerungsregister potentiell für Anwender der MaRisk eher um ein formales Thema handeln wird (eine Vorlage zum Register ist im Annex des Konsultationspapieres enthalten), könnten die Anforderungen an die Berücksichtigung der eigenen Werte und des Code of Conducts durch den Dienstleister bzw. bei Weiterverlagerungen auch durch die Weiterverlagerungsunternehmen, eine Erweiterung der aktuellen Beurteilungspraxis darstellen.

Im Rahmen der Konsultation wird es unseres Erachtens zu weiteren Konkretisierungen hinsichtlich der Integration der Anforderungen in die täglichen Arbeitsabläufe geben müssen. Wir empfehlen Ihnen daher, die Konsultation weiter zu beobachten. Wir werden Sie hier über neue Erkenntnisse zeitnah informieren.

Gerne stehen wir Ihnen für einen weiterführenden Austausch zur Verfügung.

Susanne Schneider                                                           Michael Ilg

Susanne.Schneider@pwc.com                                         Michael.Ilg@pwc.com

Neue MaRisk veröffentlicht

Vermutlich hat es sich schon herumgesprochen: Als Wochenendlektüre hat die BaFin heute die neuen MaRisk veröffentlicht:

https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1709_marisk_ba.html

In Bezug auf die Compliance-Funktion gem. AT 4.4.2 ergeben sich folgende Anpassungen:
– Die Compliance-Funktion kann auch an andere Kontrolleinheiten angebunden werden, sofern eine direkte Berichtslinie zur Geschäftsleitung existiert.
– Die Compliance-Funktion ist abhängig von der Größe des Instituts sowie der Art, des Umfangs, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten in einem von den Bereichen Markt und Handel unabhängigen Bereich anzusiedeln.
– Systemrelevante Institute haben für die Compliance-Funktion eine eigenständige Organisationseinheit einzurichten.
– Das Aufsichtsorgan ist rechtzeitig und unter Angabe der Gründe über den Wechsel der Position des Compliance-Beauftragten zu informieren.

Haben Sie Fragen? Sprechen Sie uns gerne hierzu oder zu weiteren Compliance-Themen an. Wir freuen uns auf Sie!

Aktionsplan der EU Kommission zur Intensivierung der Bekämpfung der Terrorismusfinanzierung

Die terroristisch motivierten Anschläge in den vergangenen Monaten haben die EU Kommission auf den Plan gerufen. Die EU hat sich auf ein entschlossenes und koordiniertes Vorgehen verständigt, um dem Terrorismus den Kampf anzusagen. Bereits im Dezember 2015 schlug die EU Kommission eine Richtlinie zur Terrorismusbekämpfung vor. Im Februar 2016 wurde der Aktionsplan zur Intensivierung der Bekämpfung der Terrorismusfinanzierung von der EU Kommission vorgestellt.

Neben der Identifizierung der Art und Weise der Finanzierung terroristischer Netzwerke muss die Austrocknung der Finanzströme und Entziehung der finanziellen Mittel Ziel im Kampf gegen den Terrorismus sein. Den Terroristen müssen die Optionen für die Finanzierung ihrer Aktivitäten entzogen werden.

Ferner fordert die EU Kommission die Mitgliedstaaten auf, die vierte EU Geldwäsche Richtlinie bis Ende 2016 umzusetzen, da diese effizienter als bisher gegen die Geldwäsche von Erlösen aus Straftaten und die Terrorismusfinanzierung vorgeht.

Gemäß dem EU Aktionsplan ist in den kommenden Monaten geplant, EU-Vorschriften und -Instrumente zu aktualisieren und weiterzuentwickeln. Auch sind gezielte Änderungen an der vierten EU Geldwäsche Richtlinie geplant. Diese Änderungen sollen bis spätestens zum Ende des II. Quartals 2016 in Angriff genommen werden. Hierzu gehören:

  • Erhöhte Sorgfaltspflichten/Gegenmaßnahmen in Bezug auf für Finanztransaktionen aus Hochrisikoländern
  • Zentrale Register für Bank- und Zahlungskonten und zentrale Datenauffindungssysteme in allen Mitgliedstaaten
  • Bekämpfung der Risiken von Terrorismusfinanzierung im Zusammenhang mit virtuellen Währungen
  • Bekämpfung der Risiken im Zusammenhang mit Zahlungsinstrumenten auf Guthabenbasis (z.B. Guthabenkarten)
  • Stärkung der Befugnisse der Zentralstellen für Geldwäsche-Verdachtsanzeigen der EU (FIU) und Förderung der Zusammenarbeit

Des Weiteren sind folgende Maßnahmen geplant:

  • Effiziente Umsetzung der Maßnahmen der Vereinten Nationen zur Sicherstellung von Vermögenswerten auf EU-Ebene
  • Einführung der Straftatbestandes der Geldwäsche im EU-Recht
  • Eingrenzung der Risiken im Zusammenhang mit Barzahlungen
  • Prüfung zusätzlicher Maßnahmen zum Aufspüren der Finanzierung von Terrorismus

Den Zeitplan der EU Kommission zur Umsetzung der geplanten Maßnahmen ist dem Factsheet zu entnehmen.

Die regulatorischen Anforderungen werden weiter wachsen und müssen stetig an eine sich ändernde Umwelt angepasst werden. Die Themen Terrorismusfinanzierung und Steueroasen (die vermutlich einen nicht unbedeutenden Teil im Puzzle der Terrorismusfinanzierung darstellen) werden die Finanzwelt in den kommenden Monaten noch viel beschäftigen.

Sprechen Sie uns gerne an und diskutieren Sie mit uns die Auswirkungen auf Ihr Institut.

Regierungsentwurf für die nationale Umsetzung europäischer Rechtsakte veröffentlicht

Am 6. Januar 2016 hat das Bundeskabinett den Regierungsentwurf eines Ersten Finanzmarktnovellierungsgesetzes beschlossen.

Mit dem Gesetz werden vier europäische Rechtsakte in deutsches Recht umgesetzt bzw. darin verankert:

Die Europäische Kommission plant das Inkrafttreten der überarbeiteten Finanzmarktrichtlinie MiFID II, Richtlinie 2014/65/EU, zu verschieben. Vor diesem Hintergrund erfolgt eine Aufteilung des ursprünglichen Finanzmarktnovellierungsgesetzes. Die überarbeitete Finanzmarktrichtlinie wird durch ein Zweites Finanzmarktnovellierungsgesetz zu einem späteren Zeitpunkt in nationales Recht umgesetzt und zusammen mit den Vorgaben der Finanzmarktverordnung (Verordnung (EU) Nr. 600/2014 im deutschen Recht verankert.

Länderrisiken – ein weites Feld

Zur Ermittlung von Länderrisiken in Bezug auf Geldwäsche, Terrorismusfinanzierung und Betrug steht den Instituten eine Vielzahl von unterschiedlichen internationalen und nationalen Quellen zur Verfügung: Veröffentlichungen der FATF, Veröffentlichungen der BaFin, der FIU, der EU, der OECD, EU- und UN-Sanktionslisten für bestimmte Länder und Territorien, Einstufungen von Ländern und Territorien zum Thema Korruption (u.a. CPI von Transparency International).

Insbesondere bei global agierenden Instituten spielt die Betrachtung von Länderrisiken bei der Prävention von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen eine wichtige Rolle, so z.B. im Rahmen der Erstellung der institutsspezifischen Risikoanalyse, der Ermittlung des Kundenrisikos, bei der Ausgestaltung des Kundenannahmeprozesses sowie der Durchführung von Monitoring-Maßnahmen.

Neben konkreten, allgemeinverbindlichen Vorgaben, wie z.B. von der FATF über Hoch-Risiko-Jurisdiktionen, obliegt die Risikoeinstufung eines Landes dem jeweiligen Institut weitestgehend selbst.

Die im Rahmen unserer Prüfungen gesammelten Erfahrungen haben gezeigt, dass die Einstufung von Länderrisiken in Einzelfällen deutlich voneinander abweichen. Dies kann zum einen auf den unterschiedlichen Risikoappetit der Institute und zum anderen auf die Verwendung unterschiedlicher Informationsquellen zurückgeführt werden. Ferner ist eine unterschiedliche Granularität bei der Analyse der verschiedenen Risiken, d.h. gesonderte Betrachtung von Geldwäsche-, Terrorismusfinanzierungs- und Betrugsrisiken zu beobachten.

Eine einmal vorgenommene Risikoeinstufung sollte einer regelmäßigen Überprüfung unterzogen werden und aktuellen, internationalen Erkenntnissen in Bezug auf Geldwäsche, Terrorismusfinanzierung und Betrug Rechnung tragen. So sollten die Institute beispielsweise auch die Einstufung von Ländern, die zu sogenannten Steueroasen zählen, und solchen, die in der Vergangenheit durch die Ausgestaltung ihres rechtlichen und steuerlichen Rahmenwerks zur Gewährleistung einer gewissen Anonymität von Vermögenswerten aufgefallen sind, kritisch hinterfragen.

Bei Fragen zu diesem Themenkomplex sprechen Sie Oliver Eis (069/9585-3935) gerne an.

FIU veröffentlicht Jahresbericht 2013

Die Financial Intelligence Unit (FIU) Deutschland hat am 26. November 2014 ihren Jahresbericht 2013 veröffentlicht.

Der Jahresbericht 2013 der FIU Deutschland gibt einen Überblick über das Hinweisaufkommen, die Rückmeldungen der Staatsanwaltschaften gemäß § 11 Abs. 8 GwG und die Ergebnisse aus der Analyse von Verdachtsmeldungen. Ferner ist der Umfang der nationalen und internationalen Zusammenarbeit der FIU Deutschland beschrieben.

Demnach war das Hinweisaufkommen 2013 im Wesentlichen von zwei Kernentwicklungen geprägt:

Mit 19.095 Verdachtsmeldungen nach den §§ 11 und 14 GwG wurde ein neuer Höchststand seit Bestehen der FIU markiert. Dieser entspricht einem Anstieg von 33% gegenüber dem Vorjahr. Die FIU führt dieses erhöhte Hinweisaufkommen im Wesentlichen auf das Gesetz zur Optimierung der Geldwäscheprävention vom 22. Dezember 2011 zurück, wonach unter anderem die Verdachtsschwelle konkretisiert und der Begriff der „Verdachtsanzeige“ durch den der „Verdachtsmeldung“ ersetzt wurde.

Zugleich stellte die FIU fest, dass die Qualität der Verdachtsmeldungen aufgrund der niedrigeren Verdachtsschwellen für die Erstattung einer Meldung gegenüber den Vorjahren gesunken ist. So ergab zum Beispiel die Auswertung der insgesamt 11.868 bei der FIU Deutschland eingegangenen staatsanwaltschaftlichen Rückmeldungen gemäß § 11 Abs. 8 GwG, dass es sich bei 10.771 und somit ca. 91% um Einstellungsverfügungen handelt. Aus der detaillierten Fallanalyse aller Verdachtsmeldungen konnte die FIU Deutschland weder neue Entwicklungen bei den unter Beobachtung stehenden Trends und Typologien noch neue Methoden der Geldwäsche identifizieren.

Als Konsequenz dieser Kernentwicklungen sieht die FIU für die Zukunft die Herausforderung für alle beteiligten Stellen „eine angemessene Balance zwischen den Faktoren der effizienten Bearbeitung von immer höheren Fallzahlen, begrenzten personellen Ressourcen und Erkennung aller gehaltvollen, herausragenden und sensiblen Sachverhalte unter Beachtung der nationalen und internationalen (rechtlichen) Rahmenbedingungen zu finden“.

 

Bei Fragen zu diesen oder anderen Themen im Bereich Prävention von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sprechen Sie gerne Herrn Oliver Eis (+49 69 9585 3935, oliver.eis@de.pwc.com) an.

Auslagerung der Compliance-Aufgaben: BaFin konsultiert MaComp

Die BaFin hat am 11. April 2014 mit der Konsultation 03/2014 einen Entwurf konkretisierender Anforderungen hinsichtlich der Auslagerung der Compliance-Aufgaben veröffentlicht. Der Entwurf enthält Konkretisierungen u.a. zu den folgenden Punkten:

  • Kreis möglicher Compliance-Beauftragter bei Auslagerungen
  • Möglichkeiten sowie Anforderungen zur Gestaltung einer Compliance-Organisation
  • Spezifizierung der bei einer Auslagerung zu beachtenden aufsichtsrechtlichen Regelungen

Die BaFin nimmt Stellungnahmen bis zum Ende der Konsultationsfrist am 11. Juni 2014 entgegen.

BaFin veröffentlicht neues MaComp-Modul

Mit Schreiben vom 7. Januar 2014 hat die BaFin das neue MaComp-Modul BT 8 zum Thema Vergütung veröffentlicht. Infolge dieser Ergänzung haben sich auch einige Änderungen im AT und BT 1 der MaComp ergeben.

Die neuen Vorgaben treten zum 30. Januar 2014 in Kraft. Die BaFin räumt jedoch eine Umsetzungsfrist ein, um die unternehmensinternen Regelwerke an die Neuregelungen anzupassen. Sie fordert dazu auf, zeitnah nach Inkrafttreten mit der Umsetzung zu beginnen. Bei Kapitalverwaltungsgesellschaften können entsprechend der für sie geltenden Übergangsvorschriften die Anpassungen im Laufe des Jahres 2014 vorgenommen werden.

Pflicht zur Einrichtung eines Hinweisgebersystems

Infolge des CRD IV- Umsetzungsgesetz vom 28. August 2013 wird gemäß § 25a Absatz 1 Satz 6 Nr. 3 KWG (neue Fassung, gültig ab 1. Januar 2014) die Einführung eines Prozesses, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Verstöße gegen die Verordnung (EU) Nr. 575/2013  oder gegen dieses Gesetz oder die auf Grund dieses Gesetzes erlassenen Rechtsverordnungen sowie etwaige strafbare Handlungen innerhalb des Unternehmens an geeignete Stellen zu berichten, vorgeschrieben.

Gemäß § 25a KWG umfasst eine ordnungsgemäße Geschäftsorganisation u.a. einen oben beschriebenen Prozess zur Verarbeitung anonymer Hinweise von Mitarbeitern (Whistleblowing). Die Ausgestaltung dieses Prozesses hängt gemäß § 25a Abs. 1 Satz 6 Nr. 3 KWG von Art, Umfang, Komplexität und Risikogehalt  der Geschäftstätigkeit ab.

Das Institut kann eine geeignete Stelle sowohl innerhalb als auch außerhalb des Instituts einrichten. Beauftragt das Institut eine Stelle außerhalb des Instituts, so gelten die allgemeinen Anforderungen dieses Gesetzes zur Auslagerung. Bei einer solchen Auslagerung ist dafür Sorge zu tragen, dass die Vertraulichkeit der Identität der berichtenden Mitarbeiter gewahrt bleibt.

Die Angemessenheit und Wirksamkeit des vom Institut implementierten Prozesses ist vom Institut regelmäßig zu überprüfen.

Bei Fragen sprechen Sie Oliver Eis (069 9585 3935) gerne an.