Die neue Messlatte für Compliance und Interne Revision

ESMA Final Report 2025 CSA on compliance and internal audit functions of fund managers

Policies sind vorhanden, Funktionen sind etabliert, Berichte werden erstellt und trotzdem identifiziert die ESMA in ihrem CSA-Schlussbericht eine Vielzahl an Schwachstellen, die genau dort beginnen, wo Dokumentation und gelebte Praxis auseinanderfallen. Für UCITS-KVGs und AIFMs bedeutet das: Die nächste Aufsichtsrunde wird sich weniger an Ordnern orientieren als an Wirksamkeit. Wir ordnen die zentralen Findings ein und zeigen, an welchen Stellen Sie jetzt sinnvoll ansetzen. 

Mit der Common Supervisory Action macht die ESMA explizit, was vorher implizit galt: Eine Kontrollfunktion ist erst dann angemessen, wenn ihre Methodik, ihre Anwendung und ihr Reporting in sich stimmig sind. Genau diese Stimmigkeit wird jetzt der Maßstab.

Der Kontext

Mit dem im Mai 2026 veröffentlichten Schlussbericht zur Common Supervisory Action (CSA) zu Compliance- und Interner Revisionsfunktion bei UCITS-KVGs und AIFMs (ESMA34-1436284137-2305) liegt eine konsolidierte, europaweite Bestandsaufnahme der beiden zentralen Kontrollfunktionen im Asset Management vor. Die ESMA und die nationalen Aufsichtsbehörden (NCAs) haben im Verlauf des Jahres 2025 Policies & Procedures, Ressourcen und Berichtswege in einer proportional zur jeweiligen Marktgröße gezogenen Stichprobe analysiert, ergänzt um Auswahlkriterien wie Retail-Relevanz, grenzüberschreitende Tätigkeit und Hinweise auf erhöhte Risiken. Sie zeichneten dabei ein Gesamtbild, das auf den ersten Blick beruhigt, auf den zweiten aber durchaus Handlungsbedarf signalisiert.

Die zentrale Botschaft des Berichts ist zweigeteilt: Die Mehrheit der NCAs bewertet das Compliance-Niveau in ihrer Jurisdiktion als „zufriedenstellend". Gleichzeitig benennt der Bericht eine Reihe wiederkehrender Schwachstellen, und die ESMA stellt unmissverständlich klar, dass die Aufsicht den identifizierten Defiziten in Einzelgesprächen, bilateralen Schreiben und Nachforderungen nachgehen wird. Wer als KVG unter den geprüften Häusern war, weiß das ohnehin. Wer es nicht war, sollte den Bericht trotzdem als Maßstab für die eigene Selbstüberprüfung nehmen, denn die in der CSA formulierten Erwartungen sind faktisch die neue aufsichtliche Messlatte.

Compliance-Funktion: Substanz schlägt Formalismus

Auffällig im Bericht ist, dass die NCAs Policies und Funktionen zwar überwiegend als vorhanden bewerten, die Qualität und praktische Umsetzung aber stark variieren. Policies werden vielfach nicht regelmäßig aktualisiert, nicht konsistent angewendet und führen oft nicht zu nachvollziehbaren Folgemaßnahmen. Damit verschiebt sich der Fokus der Aufsicht erkennbar weg von der reinen Dokumentenprüfung hin zur Frage, ob Compliance im Tagesgeschäft tatsächlich Wirkung entfaltet.

Besonders kritisch sehen die NCAs die Risikobewertungs-Methodik. In zahlreichen Fällen war diese nicht formal dokumentiert, wurde inkonsistent angewendet oder beruhte auf Konzernvorgaben, die die spezifischen Risiken des lokalen Managers nicht angemessen abbildeten. Der Bericht illustriert dies im Annex an einem Beispielfall eines UCITS-Managers innerhalb einer Gruppe, in dem konzernweite Vorgaben unter anderem Risikomanagement, Liquiditätsmanagement, Bewertung und Delegation auf Ebene des lokalen Managers nicht ausreichend erfassten. Der Bericht hebt für Tochtergesellschaften von Bankengruppen explizit hervor, dass diese nicht ausschließlich auf das Konzern-Risk-Assessment vertrauen, sondern eine eigene Risikobeurteilung entwickeln sollten, wenn das Konzern-Framework die relevanten Risiken des Managers nicht angemessen abbildet. Diese eigene Beurteilung soll mindestens Geschäftsbereiche, Produkt- und Dienstleistungsarten, Vertriebskanäle und Anlegerkategorien berücksichtigen und Grundlage des Compliance Monitoring Plans sein. Eine reine Übernahme der Group-Methodik reicht aufsichtlich nicht aus.

Ein zweiter Schwerpunkt liegt auf der Berichterstattung an Management und Aufsicht. Die NCAs bemängeln, dass Berichte zwar regelmäßig erstellt werden, häufig aber ohne klare Empfehlungen, ohne verbindliche Fristen und ohne systematisches Tracking offener Maßnahmen. Aus Aufsichtssicht entwertet das den Berichtsprozess: Ein Board, das Feststellungen zur Kenntnis nimmt, ohne Maßnahmenfortschritt nachzuhalten, kann seine Aufsichtsfunktion nicht nachweisen. Die ESMA verweist als Good Practice auf mindestens halbjährliches, oder quartalsweises Reporting, ergänzt um anlassbezogene Ad-hoc-Berichte mit Fokus auf Anlegerschutzthemen, etwa zu Kosten, Product Governance, Marketing, Client Onboarding, Beschwerdemanagement und Investmentprozess.

Ressourcenseitig sind die Befunde differenziert. Insgesamt halten die NCAs die FTE-Ausstattung für angemessen, sehen aber dort kritische Schwellen, wo Compliance-Aufgaben weitgehend an Dritte oder Konzerngesellschaften ausgelagert sind und die interne Restkapazität teils deutlich unter einem FTE liegt. Auch in größeren Häusern, in denen Compliance-Mitarbeitende ihre Zeit auf mehrere Funktionen aufteilen, wurden Engpässe identifiziert. In diesen Konstellationen stellt sich regelmäßig die Frage, ob die verbleibende interne Substanz ausreicht, um die nicht-delegierbare Verantwortung des Managers tatsächlich wahrnehmen zu können.

Interne Revision: Proportionalität ist kein Freifahrtschein

Bei der Internen Revision zeichnet der Final Report ein ähnliches Bild: Die Funktion ist in den meisten geprüften Häusern etabliert, und die Mehrheit der NCAs bewertet die Revisionsberichte insgesamt als zufriedenstellend. Qualität und Granularität variieren jedoch über die Stichprobe hinweg deutlich. Der Bericht listet „poor practice“ Fälle auf, in denen klare Beschreibungen von Prüfungsgegenstand, Zielsetzung und Scope fehlten, was dem Aufsichtsorgan eine fundierte Würdigung der Feststellungen erschwerte.

Auch die risikobasierte Prüfungsplanung war in mehreren Fällen nicht transparent: Methodik, Priorisierungslogik und die Zuordnung von Verantwortlichkeiten für die Planerstellung blieben unklar.

Besondere Aufmerksamkeit verdient die Diskussion um die Proportionalität. Einige geprüfte Häuser hatten ganz auf eine eigene Interne Revision verzichtet und sich auf eine Konzernrevision oder die direkte Wahrnehmung durch den Vorstand gestützt, mit Verweis auf Größe und Komplexität des Geschäftsmodells. Die ESMA weist darauf hin, dass Proportionalität ein zulässiges Argument ist, solche Konstellationen aber im Lichte von Größe, Art, Umfang und Komplexität der Funktionen kritisch durch die NCAs zu bewerten sind. In der Praxis bedeutet das: Wer sich auf Proportionalität beruft, muss nachweisen können, dass das gewählte Setup tatsächlich eine angemessene Prüfungstiefe gewährleistet. Eine pauschale Berufung auf Konzernstrukturen genügt nicht. 

Es muss insbesondere erkennbar sein, dass die Konzernrevision die Größe und Bedeutung des lokalen Hauses sowie die mit dem konkreten Geschäftsmodell verbundenen Risiken tatsächlich abdeckt. Übergreifend mahnt die ESMA in ihrem Final Report eine bessere Verzahnung von 2nd und 3rd-Line an. In mindestens einem Fall liefen Compliance Monitoring Plan und Audit-Plan ohne strukturellen Abgleich nebeneinander her. Das hat die Folge, dass Themen entweder doppelt geprüft oder ganz übersehen wurden. Die ESMA sieht daran nicht nur eine Effizienzfrage, sondern auch eine Schwächung des gesamten Kontrollrahmens. 

Auslagerung und Delegation: Verantwortung bleibt im Haus

Ein roter Faden durch den gesamten Final Report ist die Auslagerung von Aufgaben der Compliance- und Revisionsfunktion an Dritte oder an Konzerneinheiten. Die nationalen Praktiken weichen hier erheblich voneinander ab. Manche Jurisdiktionen behandeln solche Konstellationen als Auslagerung im Sinne der AIFMD bzw. der OGAW-Richtlinie, andere nicht. Unabhängig von dieser Einordnung bleibt der Befund der ESMA eindeutig: Die regulatorische Verantwortung verbleibt stets bei der KVG. Daraus folgen konkrete Erwartungen an Verträge, Service Level Agreements, KPIs, regelmäßige Oversight-Aktivitäten sowie an eine substanzielle interne Restkapazität, die die ausgelagerten Tätigkeiten steuern und kritisch hinterfragen kann. Wo diese interne Substanz fehlt, sehen die NCAs ein erhöhtes Aufsichtsrisiko. Aus unserer Sicht lässt sich hieraus schließen, dass daran auch ein professioneller externer Dienstleister nichts ändert.

Sieben Themenfelder für die eigene Standortbestimmung

Aus unserer Lektüre des CSA-Berichts haben wir einen kompakten Selbstcheck entwickelt, der die zentralen Erwartungen der Aufsicht in sieben Leitfragen übersetzt, entlang der folgenden Themenfelder

• Methodik und lokale Aussagekraft des Compliance Risk Assessments
• Risikoorientierung und Granularität des Compliance Monitoring Plans
• Wirksamkeit der Berichterstattung an Geschäftsleitung und Aufsichtsorgan
• Unabhängigkeit der Vergütungslogik der Kontrollfunktionen
• Tragfähigkeit des Outsourcing-Setups und interne Steuerungssubstanz
• Verzahnung von zweiter und dritter Linie
• Belastbare Begründung der Berufung auf den Proportionalitätsgrundsatz

Die Fragen inklusive unserer Beobachtungen aus unserem Marktüberblick teilen wir gerne im persönlichen Austausch. Erfahrungsgemäß entstehen die spannendsten Diskussionen ohnehin nicht beim Abhaken einer Liste, sondern in der Anwendung auf die konkrete Situation eines Hauses.

Fazit

Der CSA-Bericht ist kein dramatischer Befund, aber ein deutliches Signal. Die ESMA macht damit explizit, was in den vergangenen Jahren ohnehin spürbar war: Eine Kontrollfunktion wird nicht mehr danach beurteilt, ob sie existiert, sondern ob Methodik, Anwendung und Reporting tatsächlich zusammenpassen. Diese Stimmigkeit ist der eigentliche Maßstab des CSA-Berichts. Für KVGs bedeutet das, sich nicht auf bestehende Strukturen zu verlassen, sondern Methodik, Dokumentation und gelebte Praxis kritisch gegen die im Bericht genannten Erwartungen zu spiegeln.

Wir werden in den kommenden Wochen einzelne Aspekte in vertiefenden Beiträgen aufgreifen.

Wenn Sie den vollständigen Selbstcheck für Ihr Haus anwenden oder einzelne Findings des CSA-Berichts mit uns diskutieren möchten, freuen wir uns über den Austausch. 

Let’s talk

Als erfahrenes Team bringen wir frische Perspektiven in Risk & Regulation und schaffen echte Mehrwerte im Asset & Wealth Management. Ob auf C-Level oder Fachbereichsebene – wir verstehen Ihre Herausforderungen und liefern Lösungen, die Wirkung zeigen – präzise, effizient und zukunftssicher. Unser Ziel: Mehr Sicherheit, Klarheit und Handlungsspielraum für Ihr Kerngeschäft. Wir freuen uns auf den Austausch.

Weiterführende Links:

• Risk & Regulation im Asset & Wealth Management
• Über diesen Blog
• Mission IKS 2.0 - Ihr Flugplan in die Zukunft
• Aktuell und informativ – die PwC Blogs. Profitieren Sie vom Wissen unserer Fachleute: https://blogs.pwc.de/