Seit der Veröffentlichung der letzten MaRisk - Novelle 2012 vom 14.12.2012 sind alle Institute verpflichtet, eine Compliance-Funktion in ihrer Organisation zu implementieren, um Regelungslücken zu vermeiden.

Seitdem ist ein Zeitraum von fast drei Jahren vergangen, der den betroffenen Kredit- und Finanzdienstleistungsinstituten ausreichend Gelegenheit gegeben haben sollte, die Vorschrift nicht nur aufbauorganisatorisch umzusetzen, sondern auch die Erwartungen der BaFin entsprechend zu leben.

Verstärkt durch die Schlagzeilen in der Presse über Compliance-Verstöße und den damit verbundenen Rechtskostenrückstellungen für ausstehende Prozesse, entsteht der Eindruck, dass ein ausgereiftes Compliance-Management-System immer noch nicht lückenlos in den einzelnen Instituten gegeben ist.

Das ist der Grund, warum Seminare und Networking Plattformen mit Titeln wie "Ausgestaltung und Umsetzung der MaRisk-Compliance-Funktion" nach wie vor einen entsprechenden Zulauf erleben und somit im Fokus der betroffenen Abteilungen der Institute stehen.

Grundlagen der MaRisk-Compliance-Funktion

Durch die erstmalige Fixierung der Compliance-Funktion in den MaRisk (AT 4.4.2) sind die Institute verpflichtet, diese Funktion mit gezielten Aufgaben und Tätigkeiten auszustatten. Dabei sind u. a. folgende Punkte zu berücksichtigen:

• Angemessene Compliance-Kultur
• Beratende und koordinierende Funktion in Verbindung mit den Fachbereichen
• Wesentliche rechtliche Regelungen und deren Einhaltung
• Monitoring und Kontrolle

Im "Three Line of defense Modell" ist die Compliance-Funktion ein Bestandteil der zweiten Verteidigungslinie, die auch das Risikomanagement und die Controlling-Funktion beinhaltet. Ziel ist die Überwachung und der Ausbau der in der ersten "Verteidigungslinie" konzipierten Kontrollen. Die Geschäftsleitung implementiert diese Funktionen, um sicherzustellen, dass die erste "Verteidigungslinie" ordnungsgemäß aufgebaut ist und effektiv funktioniert.

Diskussionspunkte 

1. Wie kann sichergestellt werden, jederzeit auf eine aktuelle Übersicht mit allen relevanten Rechtsnormen zugreifen zu können, die für das Unternehmen verbindlich zu beachten sind (Legal Inventory)?
   
   In der Praxis werden hierzu bereits Tools angeboten (wie das Informationsportal für Banken, www.Regupedia.de), die es erlauben, unterstützend tätig zu werden. Jedoch kommt man zumindest im Rahmen der Erstanalyse, nicht daran vorbei, ein komplettes Universum an Rechtsgebieten der Wesentlichkeitsanalyse zu unterziehen.
   
   Auch Vertreter der Priorisierung einer Teilerhebung aus Kosten- und Aufwandsgründen sind immer wieder anzutreffen. Hier ist ein individuelles Abwägen der Vor- und Nachteile des ausgewählten Verfahrens (Voll- oder Teilerhebung) vorab zu klären. Ebenso ist zu ermitteln, inwieweit ggf. auf Vorinventarisierungen aufgesetzt werden kann.
   
   Im Ergebnis folgt die Generierung einer Liste mit identifizierten Rechtsnormen, die Auswirkungen auf die Geschäftsfelder des jeweiligen Instituts haben. Oftmals wird unter Mithilfe von externen Beratern die rechtliche Bestandsanalyse einer Risikobewertung unterzogen, die auf die strategischen Geschäftsfelder des jeweiligen Instituts ausgerichtet sein muss.
   
   
2. Wie ist die Compliance-Funktion im Unternehmen zu integrieren?
   
   Diskutiert wird auch immer wieder die aufbauorganisatorische Einbindung der Compliance-Funktion. Unstrittig ist, die Funktion unmittelbar der Geschäftsleitung zu unterstellen. Damit einher geht die direkte Berichtspflicht. Jedoch gibt es Spielraum für die Anbindung an andere Kontrolleinheiten wie das Risikocontrolling, den Vorstandsstab, den Geldwäschebeauftragten oder die Rechtsabteilung (nicht jedoch die interne Revision). Die Diskussion mit Marktteilnehmern zeigt, dass es hier keine präferierte Lösung gibt. Die Vor- und Nachteile sind individuell abzuwägen. Begründbar ist dieser Zustand auch durch die unterschiedlichen Organisationsstrukturen, die in den jeweiligen Instituten vorliegen Das Proportionalitätsprinzip der MaRisk unterstützt eine individuelle Einbindung der Compliance-Funktion. Jedoch sollten die von der BaFin als systemrelevante KIs eine eigenständige Organisationseinheit für die Compliance-Funktion vorsehen.
   
   
3. Was sind die bisherigen Erfahrungen aus den Jahresabschlussprüfungen 2014?

• Angemessenheit der Risikoanalyse
  Die Bandbreite ist sehr groß, Dokumentation oftmals nicht ausreichend.
• Ressourcenausstattung in Abhängigkeit des Aufgabenbereichs
  Innerhalb eines Hauses bestehen unterschiedliche Vorstellungen (Vorstand, Compliance, Fachbereiche); Aufgaben sind nicht klar zugeordnet.
• Rechtsnormenmonitoring
  Mangelhafter bzw. fehlender Prozess zum Monitoring neuer/geänderter Rechtsnomen. Als Best Practices hat sich die Nutzung externer Research-Leistungen erwiesen.

Fazit

Die Erwartungshaltung der BaFin hat anhand bereits durchgeführter Prüfungen aufgezeigt, dass bei weitem mehr verlangt wird, als nur die Errichtung und aufbauorganisatorische Eingliederung einer MaRisk-Compliance-Funktion.

Im Zuge der immensen Sanktionen und Haftungsregelungen, die mit der Compliance-Funktion verbunden sind, bedarf es eines integrierenden Compliance-Management-Systems im Unternehmen, damit durch Präventivmaßnahmen möglichst keine vermögens- und/oder ertragsmindernden Umstände ihre Auswirkungen entfalten können. Jedoch wird es niemals die "Standardlösung" geben.