Aufrufe
vor 5 Jahren

die bank 03 // 2015

  • Text
  • Banken
  • Unternehmen
  • Diebank
  • Anforderungen
  • Deutschland
  • Banking
  • Digitalisierung
  • Institute
  • Insbesondere
  • Regulatorischen
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BETRIEBSWIRTSCHAFT

ó BETRIEBSWIRTSCHAFT Bestimmung des Compliance-relevanten Konsolidierungskreises Maßstab für die zu betrachtenden untergeordneten Unternehmen ist ein zu definierender Konsolidierungskreis, der die wesentlichen gruppenweiten Compliance-Risiken abdeckt. Bei der Bestimmung des Compliance-relevanten Konsolidierungskreises kann es gruppenspezifisch notwendig sein, von bestehenden aufsichtsrechtlichen oder handelsrechtlichen Konsolidierungskreisen risikoorientiert abzuweichen. Infolgedessen kann es sinnvoll sein, auch ökonomische Faktoren und weitere Risikoindikationen bei der konkreten Ausgestaltung der gruppenweiten Compliance-Funktion einfließen zu lassen. Als ökonomische Faktoren können in diesem Zusammenhang beispielsweise die an Bruttoergebnissen gemessene Geschäftsrelevanz oder die strategische Signifikanz des untergeordneten Unternehmens bei der Erreichung der Konzern-Ziele gesehen werden. In die Reichweite des Compliance-relevanten Konsolidierungskreises sollten zur Wahrnehmung der gruppenweiten Compliance-Funktion ebenfalls bereits vorhandene Risikoindikationen aus dem operationellen Risikomanagement, der Internen Revision und den vorhandenen Compliance-Funktionen einfließen. fl Die Geschäftsleitung des übergeordneten Unternehmens ist für eine ordnungsgemäße Geschäftsorganisation der Institutsgruppe verantwortlich. Implementierung einer Konzern-Compliance Ist der zu betrachtende Konsolidierungskreis definiert, sollte für die Umsetzung einer konzernweiten MaRisk-Compliance-Funktion ein phasenweiser Projektplan konzeptioniert werden, der basierend auf Geschäftsrelevanz und Risikoprofil der untergeordneten Unternehmen stufenweise aufzubauen ist. Die Planung und Steuerung der Umsetzungsprojekte sollte dabei zentral durch die MaRisk-Compliance-Funktion des übergeordneten Unternehmens erfolgen. Gruppenindividuell sollten entsprechende Bewertungskriterien definiert werden. Zu berücksichtigen sind in diesem Zusammenhang u. a. folgende Faktoren: ó die Risikokategorie des Niederlassungslands, ó die strategischen Auswirkungen eines Compliance-Verstoßes auf den Konzern, ó die Anzahl an Mitarbeitern, ó der Gewinnanteil, ó vorherige finanzielle Sanktionen, ó das Geschäftsvolumen ó oder die Komplexität des Geschäfts. Nach dieser Voranalyse der untergeordneten Unternehmen ist eine Zuordnung der untergeordneten Unternehmen in sogenannte Risiko-Cluster mit der Abstufung je nach Compliance- Risiko sinnvoll. Je riskanter bzw. gewichtiger ein untergeordnetes Unternehmen für den Gesamtkonzern ist, desto früher sollte die Einrichtung oder der Ausbau einer angemessenen und wirksamen gruppenweiten MaRisk-Compliance-Funktion angestrebt werden. Ausgestaltung einer Konzern-Compliance Aufbauorganisatorisch sind im Rahmen der konkreten Ausgestaltung einer konzernweiten MaRisk-Compliance-Funktion unterschiedliche Ansätze denkbar. Abhängig von Aufbau und Struktur der Gruppe können zentrale bzw. dezentrale Lösungen sowie Kombinationsformen denkbar sein. Zentraler Ansatz Im Zuge des zentralen Ansatzes erfolgt die Ausgestaltung und Durchführung der konzernweiten MaRisk-Compliance-Funktion durch das übergeordnete Institut für den gesamten Compliance-relevanten Konsolidierungskreis. Dabei wird für alle untergeordneten Unternehmen eine einheitliche Methodik vorgegeben, wobei die im übergeordneten Institut erhobenen, bewerteten und analysierten rechtlichen Regelungen und Vorgaben um die spezifischen lokalen rechtlichen Regelungen und Vorgaben der jeweiligen Niederlassungen und Tochtergesellschaften erweitert werden. Die Ermittlung der wesentlichen Regelungen und Vorgaben, die Durchführung einer Compliance-Gefährdungsanalyse, das Reporting der jeweiligen lokalen bzw. unternehmensspezifischen Ergebnisse und das Hinwirken auf angemessene Verfahren und Kontrollen obliegt der Verantwortung der übergeordneten zentralen konzernweiten MaRisk- Compliance-Funktion. Die Erhebung der benötigten Informationen in den Tochtergesellschaften und (Auslands-) Niederlassungen sollte überwiegend im Rahmen von Workshops und Self-Assessments erfolgen. Die Verwendung eines zentralen Ansatzes ermöglicht aufgrund der konzernweit einheitlichen Vorgehensweise eine eindeutige Gegenüberstellung der Compliance-Risiken aller untergeordneten Unternehmen. Dadurch können in Abhängigkeit der ermittelten Compliance-Risiken notwendige Handlungsempfehlungen und Maßnahmen bei den betroffenen untergeordneten Unternehmen zielgerichtet durch das übergeordnete Unternehmen eingeleitet werden. Ein erheblicher Nachteil des zentralen Ansatzes ist allerdings der hohe Aufwand, der aus den ressourcenintensiven Aufgaben resultiert und für die MaRisk-Compliance-Funktion des übergeordneten Unternehmens eine hohe quantitative und qualitative Personalausstattung fordert. 40 diebank 3.2015

BETRIEBSWIRTSCHAFT ó Die Umsetzung einer gruppenweiten MaRisk-Compliance- Funktion durch einen zentralen Ansatz eignet sich insbesondere für Institutsgruppen mit einer geringen Anzahl an untergeordneten Unternehmen, die vergleichbare Geschäftsmodelle haben. Für komplexe Konzerngebilde mit weltweit vertretenen Töchterinstituten und Niederlassungen, unterschiedlichen Geschäftsmodellen, Strukturen und rechtlichen Anforderungen ist ein zentraler Ansatz aufgrund der oft fehlenden Ressourcen und des fehlenden Know-hows bzgl. der spezifischen rechtlichen Anforderungen in der Praxis häufig nur mit sehr hohem Aufwand darstellbar. Dezentraler Ansatz oder Insellösung Umgekehrt ist es denkbar, dass die untergeordneten Unternehmen des zu betrachtenden Konsolidierungskreises losgelöst vom übergeordneten Unternehmen eine individuelle Umsetzung der MaRisk-Compliance-Funktion durchführen. Mithilfe des dezentralen Ansatzes erfolgt eine individuelle Umsetzung der MaRisk-Compliance-Funktion in den untergeordneten Unternehmen, wobei die Erhebung der Compliance-Risiken nach der jeweiligen gesellschaftsspezifischen Methodik separat ermittelt wird und lokale bzw. institutsspezifische Merkmale in Betracht gezogen werden können. Die Aufgaben der MaRisk-Compliance-Funktion in den untergeordneten Unternehmen sind hierbei insbesondere durch die Definition von Regeln, Grundsätzen und IT-Anforderungen, eine eigenständige Durchführung der Compliance-Gefährdungsanalyse und die separate Berichterstattung der Ergebnisse an die Konzernmutter gekennzeichnet. Die Wahl eines dezentralen Ansatzes stellt das Mutterinstitut aber ebenso vor besondere Herausforderungen. Aufgrund tendenziell unterschiedlicher Vorgehensweisen und der fragmentierten Berichterstattung besteht die Gefahr, dass Compliance- Risiken unterschiedlich bewertet werden und risikominimierende Maßnahmen unterschiedliche Qualität aufweisen. Darüber hinaus ist die Wahl unterschiedlicher Ansätze für die Konzern-Unternehmen gegenüber den Aufsichtsbehörden gegebenenfalls gesondert zu begründen. Kombinationslösung Angesichts der oben dargestellten Vor- und Nachteile einer zentralen bzw. dezentralen Ausgestaltung einer gruppenweiten Ma- Risk-Compliance-Funktion könnte die Implementierung eines integrierten Ansatzes bzw. einer Kombinationslösung, insbesondere bei größeren Instituten, in Betracht kommen. Dabei wird, ähnlich wie bei dem zentralen Ansatz, für alle untergeordneten Unternehmen die Methodik des übergeordneten Unternehmens verwendet, wobei die konkrete prozessuale Umsetzung der Compliance-Funktionen den jeweiligen untergeordneten Unternehmen obliegt. fl Der zentrale Ansatz erfordert einen hohen Aufwand, eine quantitative und qualitative Personalausstattung sowie funktionierende Teamarbeit. Die konkrete Ausgestaltung und Umsetzung der MaRisk- Compliance-Funktion in den untergeordneten Unternehmen erfolgt durch die jeweiligen Gesellschaften bzw. den lokalen Compliance-Verantwortlichen. Die lokalen Compliance-Verantwortlichen führen die Wesentlichkeitsbestimmung und die Risikoanalyse in Ergänzung zu den bereits im übergeordneten Unternehmen durchgeführten Wesentlichkeitsbestimmungen und Risikoanalysen mit den jeweiligen lokalen Organisationseinheiten durch. Die konzernweite MaRisk-Compliance-Funktion des übergeordneten Instituts hat insbesondere die Aufgabe, die spezifischen Compliance-Anforderungen und generischen Strukturen und Prozesse für die untergeordneten Institute zu definieren und eine beratende und steuernde Funktion einzunehmen. Die Konsolidierung und Plausibilisierung der in den untergeordneten Unternehmen ermittelten Arbeitsergebnisse ist eine weitere Kerntätigkeit der MaRisk-Compliance-Funktion des übergeordneten Unternehmens. Dies beinhaltet u. a. die Pflege eines Konzern-Rechtsinventars, das die für den Gesamtkonzern wesentlichen, um die spezifischen lokalen rechtlichen Gegebenheiten erweiterten wesentlichen Regelungen und Vorgaben enthält. Darüber hinaus gehört die Konsolidierung bzw. Plausibilisierung der in den untergeordneten Unternehmen durchgeführten Gefährdungsanalysen zu den Kernaufgaben der Ma- Risk-Compliance-Funktion des übergeordneten Unternehmens. 3.2015 diebank 41

die bank