Compliance in der Finanzindustrie
Transcription
Compliance in der Finanzindustrie
Compliance in der Finanzindustrie „Das Problem zu erkennen ist wichtiger, als die Lösung zu erkennen, denn die genaue Darstellung des Problems führt zur Lösung.“ Albert Einstein (1879–1955) Albert Einstein, Bundesarchiv, Bild 12-10447, Wikimedia Commons, lizenziert unter CreativeCommons-Lizenz by-sa-3.0-de, URL: http://creativecommons. org/licenses/by-sa/3.0/de/legalcode Inhalt 4 Compliance in der Finanzindustrie 6 Das Compliance-Zielbild Grundmodell einer ordnungsgemäßen Geschäftsorganisation 8 Organisatorische Ausgestaltung 10 Aufgaben und Instrumentarium 12 Wie wir Sie unterstützen können 15 Ansprechpartner Compliance in der Finanzindustrie | 3 Compliance in der Finanzindustrie Am 14. Dezember 2012 veröffentlichte die BaFin die Neufassung der Mindestanforderungen an das Risikomanagement (MaRisk), in der u. a. die Einrichtung einer umfassenden Compliance-Funktion vorgeschrieben wird (AT 4.4.2 MaRisk). Die daraus resultierenden und bis Ende 2013 umzusetzenden Anforderungen an die „neue Compliance-Funktion“ stellen viele Institute vor große organisatorische Herausforderungen. Hierzu zählt insbesondere die Tatsache, dass das bisherige, traditionelle Compliance-Verständnis einer begrenzten Funktion, die vorrangig die Verantwortung für die Sicherstellung der Vorgaben zur Kapitalmarkt- bzw. Wertpapier-Compliance (insbesondere WpHG und MaComp) hat, zunehmend dem Verständnis einer umfassenden, integrierten und systemischen Verantwortung als „Hüter des Compliance–Management-Systems“ weicht. Der Schwerpunkt bei der Umsetzung der Neuerungen, die sich aus der 4. MaRisk-Novelle ergeben, liegt demnach auf der Einrichtung einer Compliance-Funktion, die nicht nur die traditionellen Themen wie die Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie die Kapitalmarkt-Compliance abdeckt, sondern sich auch den neuen Themen der „Regulatory Compliance“ widmet. Die MaRisk-Compliance-Funktion wird Verantwortung bei Aufsichtsrechtsthemen mittragen. Ihre generelle Aufgabenstellung lässt sich am Beispiel der MaRisk-Novellen gut darstellen. Werden zukünftig neue regulatorische Anforderungen beispielsweise im Rahmen einer weiteren MaRisk-Novelle veröffentlicht, so steht zunächst die Compliance in der Verantwortung, die jeweiligen rechtlichen Neuerungen zu identifizieren. In einer — vorläufig groben — Analyse soll dabei abgeschätzt werden, welche zusätzlichen Anforderungen sich ergeben und welche Organisationseinheiten innerhalb des Instituts betroffen sind. Danach obliegt es der Compliance, Maßnahmen zur Umsetzung der neuen Anforderungen zu initiieren und die Umsetzung beispielsweise durch die Fachabteilungen entsprechend zu „begleiten“ und zu beobachten. 4 | Compliance in der Finanzindustrie Embargo Risik en Korruption (Compliance i. e. S.) er Op at en tsc hut z n te Da sc hu tz na nc e WpHGCompliance at ion elle er ov te G Corpora Betrug chtliches Meld ew tsre h es sic f e u wäsche Geld Um we n A ht ec r r ht ec ltr St eu e Traditionelles Compliance-Verständnis in Deutschland (WpHG/MaComp-Compliance) inkl. angrenzender Compliancenaher Themenfelder. / re eb Urh P Compliance in der Finanzindustrie | 5 Das Compliance-Zielbild Grundmodell einer ordnungsgemäßen Geschäftsorganisation Elemente des Compliance-Zielbildes In dieser Rolle hat die Compliance nicht nur das Interesse des Instituts zu berücksichtigen, sondern aus Gesetzgebersicht (wie alle gesetzlichen Beauftragtenfunktionen) zusätzlich im Sinne der Öffentlichkeit hinsichtlich Markt- und Kundenschutz zu handeln. Überdies ergibt sich aus aufsichtsrechtlicher Perspektive mutmaßlich die zweite zentrale Funktion als zentrale Evidenzstelle für die Bankenaufsicht. Um diese Funktionen angemessen zu erfüllen, bedarf es eines umfassenden Compliance-Zielbildes, basierend auf einer Reihe ineinandergreifender Elemente. Dazu gehört primär eine klare Definition der Rolle der Compliance, z. B. als überwachenden Berater. Im Weiteren beinhaltet das Zielbild neben Rechten, Pflichten und Zuständigkeiten der Compliance-Funktion auch ein effektives Compliance-Management-System (CMS; als Anhaltspunkt kann hier insb. der IDW PS 980 dienen). Ein solches besteht aus einer zweckangemessenen Aufbauorganisation, deren Ausgestaltung in mehreren Varianten erfolgen kann, sowie einer Ablauforganisation aus prozessualen Aspekten, angemessenen Methoden und einem umfassenden Instrumentarium. Im Rahmen der Entwicklung eines individuell passenden Zielbildes gilt es, insbesondere folgende Herausforderungen zu meistern: • Institutsspezifische Bestimmung der Rolle der Compliance, niedergelegt in der Teilstrategie Compliance und im Leitbild • Orientierung der Compliance andenFunktionenVerbraucherschutz und Evidenzstelle • Abgrenzung/Zusammenspiel mit anderen Stabs- und Fachbereichen • Identifizierung relevanter Rechtsgebiete/Anforderungen • Analyse der Auswirkungen und Anforderungen (neuer) Regularien und Vorschriften • Unterstützung bei der Umsetzung der Anforderungen (neuer) Regularien und Vorschriften 6 | Compliance in der Finanzindustrie Herausforderungen Die MaRisk enthalten in AT 4.4.2 Anforderungen an die einzurichtende Compliance-Funktion und sehen sie zukünftig als zentralen Bestandteil der ordnungsgemäßen Geschäftsorganisation und des internen Kontrollsystems auf vergleichbarer Funktions- und Bedeutungsebene wie das Risikocontrolling und die Interne Revision. Dadurch wird eine zusätzliche Beratungs- und Kontrollfunktion etabliert, deren Aufgabenspektrum — die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben — eine Ergänzung der bereits bestehenden Kontrollfunktionen darstellt. In diesem Sinne entwickelt sich die Rolle der Compliance-Funktion in Richtung eines „überwachenden Beraters“. Umfassendes Compliance-Zielbild notwendig Vorstand § 25a Abs. 1 KWG I. V. m. MaRisk Ordnungsgemäße Geschäftsorganisation Risikomanagement Compliance Geschäfts- und Risikostrategien Risikotragfähigkeit Interne Kontrollverfahren Teilstrategie Compliance Interes Kontrollsystem Intere Revision (prozessanhängige Überwachung) (risikoorientierte prozessunabhängige Überwachung) Rechte und Pflichten Aufbau- und Ablauforganisation CMS • Compliance Kultur • Compliance Ziele • Compliance Risiken • Compliance Programm Risikosteuerungsund Controllingprozesse Aufbau Zentral vs. Dezentral Personelle und technisch-organisatorische Ausstattung Notfallkonzept Zuständigkeiten • Compliance Organisation • Compliance Kommunikation • Compliance Überwachung /Verbesserung Ablauf Prozessuale Aspekte Compliance-Framework-Instrumentarium Organisationsmodelle Methoden Vergütungssystem Dokumentation Compliance in der Finanzindustrie | 7 Organisatorische Ausgestaltung Organisation Basierend auf den beiden zentralen aufsichtsrechtlichen Funktionen von Compliance — Markt- und Kundenschutz sowie zentrale Evidenzstelle — lassen sich einige grundlegende organisatorische Folgerungen ableiten. Eine weitere Folgerung ist eine ausreichend hohe Ansiedlung der ComplianceFunktion innerhalb der Organisationsstruktur, sodass die Compliance ihre Schutz- und Evidenzstellenfunktion entsprechend wirkungsvoll ausführen kann. So dient eine organisatorische Abgrenzung von anderen Organisationseinheiten der Vermeidung von Interessenkonflikten zwischen den „quasi“ hoheitlichen Aufgaben des Markt- und Kundenschutzes und den unternehmensinternen Aufgaben und Zielen. Durch diese Abgrenzung wird dem Thema Compliance zudem eine höhere Bedeutung beigemessen, was in der Außenwirkung dahin gehend interpretiert werden kann, dass „to be compliant“ höchste Priorität bei allen Geschäftsaktivitäten hat. Als grundsätzliche organisatorische Maxime gilt, dass Entscheidungen im Verantwortungsbereich des ComplianceBeauftragten — theoretisch — nur durch den Vorstand revidiert werden können und Organisation und Prozesse eine Überstimmung bzw. Aufhebung durch andere Funktionsträger ausschließen müssen. Die funktionale Berichtslinie des ComplianceBeauftragten an den Vorstand muss dementsprechend auch bei der organisatorischen Anbindung an andere Kontrolleinheiten gewährleistet sein. Ansonsten übernimmt de facto die überstimmende Einheit die Rolle des Compliance-Beauftragten mit allen rechtlichen Folgen und Haftungswirkungen. Zwar sehen die MaRisk grundsätzlich eine unabhängige und eigenständige Organisationseinheit vor, jedoch sind v. a. bei kleineren, überschaubaren Instituten auch Abweichungen von diesem „Regelfall“ möglich, etwa die Anbindung an andere Kontrolleinheiten wie beispielsweise das Risikocontrolling oder den Geldwäschebeauftragten. Damit sind jeweils Vor- und Nachteile verbunden, weshalb eine gute Begründung und Dokumentation notwendig ist. Im Rahmen der Sitzung des Fachgremiums MaRisk vom 24. April 2013 wurde auch eine dezentrale Lösung als mögliche Variante erwähnt. Dies würde bedeuten, dass entsprechende Verantwortlichkeiten und Bereiche nicht unter einem Dach gebündelt werden müssten. Aufsichtsrechtlicher Regelfall sieht eigenständige Organisationseinheit vor Vorstand Compliance CCO Recht GwB DCO HR Org/IT DCO DCO Steuer DCO … DCO Reporting/zentral-dezentrales „Zusammenspiel“ Zentrale Stelle GwB • Geldwäsche, Fraud KMC CCO WP Regulary Compliance … 8 | Compliance in der Finanzindustrie Direkte Berichtslinie an den Vorstand (funktionaler Berichtsweg) als Alternative zum GwB in Personalunion mit dem CCO Kapitalmarkt-/WP-Compliance KMC (nach MaComp) CCO Chief Compliance Officer DCO Dezentrale Compliance Officer GwB Geldwäsche-Beauftragter Herausforderungen Bezüglich der ComplianceOrganisation sind folgende Themen im Rahmen der Umsetzung besonders relevant: • organisatorische Einbettung des Chief Compliance Officer (CCO) Zentrale bzw. dezentrale Verantwortung Wesentliche Zielsetzung der ComplianceFunktion nach MaRisk ist, dass die Institute „compliant“ über alle unter ComplianceGesichtspunkten wesentlichen Rechtsgebiete und Vorgaben sind. Die Sicherstellung dieser Anforderung obliegt der Compliance-Funktion als „Hüter des CMS“. Bestehende Zuständigkeiten über einzelne Rechtsgebiete bleiben auch unter den neuen MaRisk-Anforderungen unberührt und können über sog. dezentrale Compliance Officer (DCOs) eingebunden werden. Dazu gehören beispielsweise das Arbeitsrecht, das grundsätzlich weiterhin in der Verantwortung der Organisationseinheit Personal/Human Resources verbleiben sollte, sowie das Gesellschafts- (Recht/ Legal) und das IT-Recht (Org/IT). Die Übernahme der Aufgaben des DCO erfordert i. d. R. keine neu zu schaffenden Stellen. Die Aufgaben sind idealerweise von einem Mitarbeiter zu übernehmen, der im Rahmen seines Fachbereichs bereits heute für das Thema verantwortlich ist. Da die Compliance-Funktion in eine bereits bestehende Organisationsstruktur mit gewachsenen Verantwortlichkeiten zu verankern ist, führt dies im Idealfall zur Kombination aus zentraler und dezentraler Ausrichtung. Vor allem durch die Verknüpfung von zentraler und dezentraler Verantwortung ist die Compliance-Funktion in der Lage, der Verantwortung als „Hüter des CMS“ über alle wesentlichen Rechtsgebiete und Themen hinweg nachzukommen. • Organisation des CMS (zentral vs. dezentral) • Einbindung und Zusammenspiel mit MaComp–Compliance, zentraler Stelle etc. • prozessuale Ausgestaltung der Compliance-Organisation • Outsourcing/Compliance in Gruppenstrukturen • Einbindung bzw. Ausgestaltung von Hinweisgebersystemen • Organisation von Compliance in Gruppenstrukturen und bei grenzüberschreitenden Aktivitäten Compliance in der Finanzindustrie | 9 Aufgaben und Instrumentarium Aufgaben Instrumentarium Um eine wirksame Verankerung des Themas Compliance zu erreichen, bedarf es der uneingeschränkten Unterstützung des oberen Managements. Somit ist der „Tone from the Top“ entscheidend für die Ausgestaltung der Rolle der Compliance, und die Compliance-Funktion hat im Rahmen der zuvor aufgezeigten Organisationsmodelle primär die für das Institut wesentlichen rechtlichen Regelungen und Vorgaben zu identifizieren. Stellt sich im Rahmen der Identifizierung heraus, dass Regelungen und Vorgaben mit Bezug zu anderen Organisationseinheiten für das Institut wesentlich sind, so muss die Compliance-Funktion auf die Einhaltung dieser Regelungen und Vorgaben „hinwirken“. Die Compliance bedient sich eines umfassenden Instrumentariums, um all diese Aufgaben zu erfüllen und eine fortwährende Sensibilisierung der Mitarbeiter zu bewirken. Aus den MaRisk und weiteren Standards wie dem IDW PS 980 lässt sich das Aufgabenspektrum der Compliance-Funktion herleiten und in verschiedene Aufgabenfelder einteilen. Hierzu gehören u. a. Rechte und Pflichten, denen die Compliance-Funktion nachkommen muss, sowie Zuständigkeiten wie beispielsweise Regulatory Compliance und traditionelle Themen wie Kapitalmarkt-Compliance. Die Umsetzung und Einhaltung der Regelungen und Vorgaben erfolgt durch die jeweilige Organisationseinheit selbst (erste Verteidigungslinie im Rahmen der ordnungsgemäßen Geschäftsorganisation nach § 25a KWG) und sollte durch einen dezentralen Compliance-Officer überwacht werden (zweite Verteidigungslinie). In dritter Instanz folgt die Interne Revision mit der prozessunabhängigen Prüfung (dritte Verteidigungslinie). 10 | Compliance in der Finanzindustrie Zu den grundlegenden Bestandteilen des Compliance-Instrumentariums gehören ein Code of Conduct/Code of Ethics, spezifische Unternehmensrichtlinien sowie ein umfassendes ComplianceProgramm. Dieses ist Ausgangspunkt und Grundlage für ein angemessenes und wirksames Compliance-Management-System. Um eine Compliance-Kultur im Institut zu etablieren und damit regelkonformes Verhalten der Mitarbeiter zu fördern, ist es unabdingbar, die institutsinternen Regeln und regulatorischen Vorgaben schriftlich festzuhalten und den Mitarbeitern zugänglich zu machen. Weitere wesentliche Elemente sind ein entsprechendes Compliance-Reporting und der Compliance-Jahresbericht. Das Ergebnis der Identifizierung wesentlicher rechtlicher Regelungen und Vorgaben im Sinne des AT 4.4.2 Tz. 2 MaRisk findet sich in einer sogenannten Risikolandkarte wieder. Diese wird auf der Basis eines Soll-Anforderungskatalogs mithilfe von Compliance Risk Assessments mit den Verantwortlichen der entsprechenden Bereiche erstellt. Die Ausgestaltung der Vorgehensweise kann sich an der Vorgehensweise für die Bestimmung der operationellen Risiken orientieren. Grundlegendes Ziel des Self Assessment/ Risk Mapping im Rahmen der Compliance-Funktion ist, sowohl das Bewusstsein für Compliance-Risiken zu schärfen als auch eine systematische Bestandsaufnahme aller als wesentlich einzustufenden gesetzlichen Vorgaben und der daraus hervorgehenden Compliance-Risiken durchzuführen. Des Weiteren stellen Schulungen und Informationen die wichtigsten präventiven Werkzeuge der Compliance-Funktion dar. Zu unterscheiden ist dabei zwischen Maßnahmen, die das Unternehmen insgesamt betreffen, und solchen, die geschäftsspezifisch ausgerichtet sind. Die hier dargestellten zentralen Themen bringen insbesondere folgende Herausforderungen in der Umsetzung mit sich: • „Tone from the Top“ als Basis für die Ausgestaltung der Compliance-Rolle • Zusammenspiel von internem Kontrollsystem (IKS), Risiko-Management-System (RMS) und Compliance-Management-System • Vereinheitlichung der im Institut bereits existierenden und ggf. neu zu erstellenden Instrumentarien • Reporting und Kommunikation mit Vorstand, Aufsichtsrat, dem gesamten Haus und der Aufsicht • Ausgestaltung des Risk Mapping/Risk Assessment Herausforderungen Methodik • auf dem Risk Mapping/Risk Assessment basierende (dezentrale) Maßnahmenplanung und -umsetzung Compliance in der Finanzindustrie | 11 Wie wir Sie unterstützen können Im Bereich Risk und Compliance beschäftigen wir uns inhaltlich mit den Themen der organisatorischen bzw. strategischen Rahmensetzung für sämtliche Kontroll- und Risikofunktionen eines Instituts. Dazu zählen das Risikomanagement, das interne Kontrollsystem, die Interne Revision und die Compliance-Funktion. Aufgrund der Vielschichtigkeit der Aufgaben und der Vielzahl an potenziellen Organisationsmodellen erweist sich die Umsetzung der Compliance-Funktion als eine anspruchsvolle Aufgabe. Wir stehen Ihnen bei der Umsetzung tatkräftig zur Seite und bewerten in diesem Rahmen, ob Ihr Compliance-ManagementSystem den derzeitigen Anforderungen entspricht. Wir arbeiten dabei in interdisziplinären Teams, um Ihnen einen ganzheitlichen Blick auf Ihre spezifischen Compliance-Anforderungen inkl. einer effizienten Umsetzung bieten zu können oder die Effektivität aller bestehenden Maßnahmen zu erproben. 12 | Compliance in der Finanzindustrie Das Leistungsportfolio von EY erstreckt sich hierbei über alle compliance-relevanten Themenfelder: von der Entwicklung eines ganzheitlichen Zielbildes, eines auf die individuellen Gegebenheiten Ihres Instituts abgestimmten Organisationsmodells, des erforderlichen Instrumentariums und der passenden Methodik, der Durchführung von Compliance-Risk Mapping bzw. ComplianceRisk Assessment bis hin zur Maßnahmenplanung und -umsetzung. Das Leistungsportfolio von EY erstreckt sich über alle compliance-relevanten Themenfelder Entwicklung Zielbild • Verankerung der Gap-Analyse Compliance hinsichtlich Veraucherschutzfunktion und Evidenzstelle • Identifizierung relevanter Konzeption Rechtsgebiete/Anforderungen • Risikolandkarte Compliance Umsetzung/ Implementierung • Compliance in der Rolle des überwachenden Beraters Organisation • Chief Compliance Officer (CCO) • Organisationsmodell • Zentrale/dezentrale Compliance • Schnittstellen • Prozesse • Outsourcing/Compliance in Gruppenstrukturen • Hinweisgebersystem Instrumentarium Methodik Erstellung, Überarbeitung und Erweiterung von: Durchführung von: • Risk Mapping • Risk Assessment • Reporting/Jahresbericht • Schulungen/Erstellung • Framework • Policies • Handbücher • Code of Conduct/Ethics • Richtlinien • Eskalations-, Ent- von Trainingsunterlagen scheidungs- und Kommunikationsprozessen Compliance Audits/ Effizienzprüfung (IDW PS 980) Projektmanagement/Qualitätssicherung/Change Management Compliance in der Finanzindustrie | 13 14 | Compliance in der Finanzindustrie Ansprechpartner Im Bereich Financial Services hat sich ein Team auf Fragen von Banken und Finanzdienstleistern spezialiisert. Unsere Mitarbeiter unterstützen Sie umfassend und kompetent. Wir von EY möchten etwas für Sie bewegen. Haben Sie Fragen zu den aufgeführten Leistungen, können Sie sich gerne direkt an folgende Ansprechpartner wenden: Dr. Max Weber Partner EMEIA Financial Services Advisory Telefon+49 711 9881 15494 [email protected] Michael Plaumann-Ewerdwalbesloh Partner EMEIA Financial Services Advisory Telefon+49 711 9881 15494 [email protected] Dr. Manfred Heemann Executive Direktor EMEIA Financial Services Advisory Telefon+49 6196 996 13030 [email protected] Dirk Brechfeld Senior Manager EMEIA Financial Services Advisory Telefon+49 89 14331 24542 [email protected] EY | Assurance | Tax | Transactions | Advisory Die globale EY-Organisation im Überblick Die globale EY-Organisation ist einer der Marktführer in der Wirtschafts prüfung, Steuerberatung, Transaktionsberatung und Managementberatung. Mit unserer Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und die Finanzmärkte. Dafür sind wir bestens gerüstet: mit hervorragend ausgebildeten Mitarbeitern, starken Teams, exzellenten Leistungen und einem sprichwörtlichen Kundenservice. Unser Ziel ist es, Dinge voranzubringen und entscheidend besser zu machen — für unsere Mitarbeiter, unsere Mandanten und die Gesellschaft, in der wir leben. Dafür steht unser weltweiter Anspruch „Building a better working world“. Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten. Weitere Informationen finden Sie unter www.ey.com. In Deutschland ist EY an 22 Standorten präsent. „EY“ und „wir“ beziehen sich in dieser Publikation auf alle deutschen Mitgliedsunternehmen von Ernst & Young Global Limited. © 2013 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft All Rights Reserved. BKL0913-066 ED None EY ist bestrebt, die Umwelt so wenig wie möglich zu belasten. Diese Publikation wurde daher auf FSC®-zertifiziertem Papier gedruckt, das zu 60 % aus Recycling-Fasern besteht. Diese Publikation ist lediglich als allgemeine, unverbindliche Information gedacht und kann daher nicht als Ersatz für eine detaillierte Recherche oder eine fachkundige Beratung oder Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität; insbesondere kann diese Publikation nicht den besonderen U mständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt damit in der eigenen Verantwortung des Lesers. Jegliche Haftung seitens der Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft und/oder anderer Mitgliedsunternehmen der globalen EY-Organisation wird ausgeschlossen. Bei jedem spezifischen Anliegen sollte ein geeigneter Berater zurate gezogen werden. www.de.ey.com