Aufrufe
vor 5 Jahren

die bank 03 // 2018

  • Text
  • Banken
  • Korruption
  • Unternehmen
  • Anforderungen
  • Compliance
  • Marisk
  • Regulierung
  • Insbesondere
  • Bcbs
  • Baseler
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

SCHWERPUNKT COMPLIANCE

SCHWERPUNKT COMPLIANCE tion – unabhängig von internen anderweitigen Berichtspflichten – direkt an das Aufsichts- bzw. Verwaltungsorgan herantreten kann, wenn materielle Risiken drohen (Ziff. 33 i). Eine komplementäre Regelung hierzu findet sich in den Bestimmungen zu den Leitern der Kontrollfunktionen, nach der u. a. der Leiter der Compliance-Funktion bei drohenden Risiken unbeschadet seiner Berichtspflichten an die Geschäftsleitung Zugang zum Aufsichts- bzw. Verwaltungsorgan haben soll (Ziff. 156). Darüber hinaus sollen dem Risikoausschuss des Aufsichts- bzw. Verwaltungsorgans sämtliche Compliance-relevanten Informationen für die Ausübung seiner Tätigkeit zur Verfügung gestellt werden. Dies umfasst auch die Weiterleitung des Compliance-Jahresberichts und etwaige Ad-hoc-Berichte, die der Leiter der Compliance-Funktion, etwa bei materiellen Verstößen, für erforderlich hält. Dies geht über die bisherige Verwaltungspraxis der BaFin hinaus, nach der lediglich die Berichte der Compliance-Funktion an das Aufsichts- bzw. Verwaltungsorgan unverändert weiterzuleiten sind (vgl. AT 4.2.2 Ziff. 7 S. 2 MaRisk). Allerdings ist in der Praxis zum Teil ein darüber hinausgehender Austausch zu beobachten, etwa auf Wunsch des Aufsichts- bzw. Verwaltungsorgans zur Erörterung des Jahresberichts durch den Compliance-Beauftragten. Überprüfung der Aufbau- und Ablauforganisation Unabhängig von neuen regulatorischen Entwicklungen beginnen Banken vereinzelt damit, ihre Aufbau- und Ablauforganisation des Compliance-Risiko-Managements im Hinblick auf Optimierungspotenzial zu überprüfen und Betriebsmodelle anzupassen. Die Gründe hierfür liegen auf der Hand. Die vergangenen Jahre nach der Finanzmarktkrise waren geprägt von einer Vielzahl gesetzlicher und regulatorischer Initiativen auf internationaler und nationaler Ebene. In kurzen Zeitabständen und zum Teil mit sehr kurzen Umsetzungsfristen mussten Maßnahmen von hoher Komplexität, die tief in die Aufbau- und Ablauforganisation von Banken eingreifen, implementiert werden. Überdies wurden im gleichen Zeitraum aufgrund von vergangenem Fehlverhalten Studien zufolge mehr als 260 Mrd. € an Bußgeldern und Strafen gezahlt. Dies sind nur zwei Faktoren, die insbesondere bei größeren und mittelgroßen Häusern dazu geführt haben, ihre Compliance-Management-Systeme (CMS) in Teilen signifikant auszubauen. Hinzu kommt, dass Banken seit der Finanzmarktkrise in einem herausfordernden wirtschaftlichen Umfeld damit beschäftigt sind, ihre Geschäftsmodelle grundlegend zu überarbeiten. Dies hat zum Teil Folgen für die Aufbau- und Ablauforganisation eines Instituts und damit auch für dessen Compliance-Prozesse. Die skizzierten Rahmenbedingungen ließen in der Vergangenheit oftmals nur ein reaktives und taktisches Handeln zu – zulasten einer proaktiven und strategischen, ausgewogenen und innovativen Lösung für das Compliance-Risikomanagement in Banken. Ein weiterer Druckpunkt geht vom Transformationsprozess von analogen zu digitalen bzw. zu gemischten Geschäftsmodellen aus, auch als Industrie 4.0 bezeichnet. So wie beispielsweise Robo Advice das Beratungsgeschäft bereits verändert, ist zu erwarten, dass weitere Produkte – etwa im Zahlungsverkehr – folgen werden. Derartige Veränderungen werden auch Auswirkungen auf das Beratungs- und Kontrolluniversum der Compliance-Funktion und auf die Compliance- Organisation einer Bank als Ganzes haben. Beispielsweise können Prozesse zur Geeignetheitsprüfung im Beratungsprozess technisch abgebildet werden. Dies hat zur Folge, dass Kontrollprozesse, die bislang noch auf Basis des Beratungsprotokolls analog und weitgehend papierhaft durchgeführt wurden, künftig zunehmend digital bzw. zumindest halbautomatisch durchgeführt werden. Denkbar ist auch, dass der Produkt-Governance-Prozess zunehmend technisch unterstützt wird, etwa durch Datenanalysen in dem obligatorisch durchzuführenden laufenden Zielmarktabgleich. Ein weiteres Beispiel ist der Kundenannahmeprozess mit Verpflichtung zum Know-Your-Customer (KYC)-Prinzip und zur Customer Due Diligence (CDD) als Teil der Geldwäsche- und Terrorismusfinanzierungsprävention. Hierbei geht es dem Grunde nach darum, den Kunden zu identifizieren, anhand von Dokumenten und Informationen aus verlässlichen Quellen zu verifizieren und in Abhängigkeit vom festgestellten Risiko für die Dauer der Geschäftsverbindung unter Einbeziehung des Transaktions- und Geschäftsgebarens mit unterschiedlicher Intensität laufend zu überwachen. Die Prozesse mögen noch effektiv sein, in dem Sinn, dass Banken als Ergebnis der durchgeführten Prüfungen und Überwachungshandlungen nur Kunden akzeptieren, deren Risiko im Einklang mit ihrem festgelegten Risikoappetit stehen. In der Praxis zeigt sich jedoch oft, dass im Kundengeschäft die Effizienz der Prozesse leidet. Banken entstehen im Rahmen des KYC-/CDD-Prozesses hohe Kosten, die Geschäftsmodelle infrage stellen. Ursache hierfür ist, dass der Prozess kleinteilig und dadurch sehr arbeitsintensiv ist, mit vielen Prüfschritten, Datenpunkten und Informationen, die aus unterschiedlichen 10 03 // 2018

SCHWERPUNKT COMPLIANCE Quellen stammen und die zu einer konsolidierten Risikosicht auf den Kunden zusammengeführt werden müssen. Erschwert wird der Prozess dadurch, dass Informationen teilweise nicht digital vorliegen oder aber fragmentiert aus verschiedenen Quellen stammen. Im internationalen Geschäft kommt hinzu, dass es je nach Jurisdiktion unterschiedliche Standards und Taxonomien für den KYC-/CDD-Prozess gibt. Auf der Kundenseite führt dies insbesondere im Firmenkundengeschäft oft dazu, dass sich der Prozess der Kundenannahme lange hinzieht. Banken beschäftigen sich daher zunehmend damit, den KYC-/CDD-Prozess zu optimieren. Es gehen Bemühungen dahin, Datensilos zugunsten sogenannter „Data Lakes“ zu überwinden. Vor allem im internationalen Kontext können sich hierbei Grenzen aus dem Datenschutz oder dem Bankgeheimnis ergeben. Denkbar ist auch, dass bisherige Teilprozesse des KYC-/CDD-Prozesses durch neue Technologien wie Robotics, Artificial Intelligence und Machine Learning ergänzt werden. Flankiert werden die Bemühungen der Banken durch regulatorische Initiativen nationaler Aufsichtsbehörden, bei denen es im Kern darum geht, Anwendungsmöglichkeiten neuer Technologien in Übereinstimmung mit regulatorischen Vorgaben zu prüfen. In diesem Zusammenhang haben die europäischen Aufsichtsbehörden am 23. Januar 2018 ein gemeinsames Papier 3 herausgegeben, das Aufsichtsbehörden und indirekt auch Banken als Leitlinie bei ihren Bemühungen dienen kann. Noch ein weiterer Aspekt lässt eine regelmäßige Überprüfung der Compliance-Organisation auf Effektivität und Effizienz sinnvoll erscheinen. Der BGH hat geurteilt, dass ein wirksames und damit ein effizientes und effektives CMS zur Verminderung von Bußgeldern führen kann. 4 Vergleichbare Entwicklungen sind auch im internationalen Kontext zu beobachten. Die britische Aufsicht FCA hat im Zusammenhang mit der Umsetzung der Bestimmungen zum UK Anti-Bribery and Corruption Act die bußgeldreduzierende Wirkung effektiver Vorkehrungen hervorgehoben. Die zunehmende Integration der Compliance-Funktion in die Governance- und Risikomanagement-Strukturen von Banken und die konkretisierten Pflichten der Geschäftsleiter einerseits sowie die durch die EBA-Leitlinien gegebene vertiefende Interaktion zwischen Aufsichts-/Verwaltungsorgan und Chief Compliance Officer andererseits könnte in letzter Konsequenz zu der Überlegung führen, den CCO künftig auf Vorstandsebene anzusiedeln. Dies würde über die in der Governance von Banken bereits geregelte Unabhängigkeit des CCO hinaus dessen Weisungsungebundenheit institutionalisieren. Ferner würde eine solche Konstellation unerwünschte Situationen entschärfen, die daraus entstehen können, dass der CCO künftig gehalten sein könnte, in einen engeren und faktisch von der Geschäftsleitung unabhängigeren Austausch zur Compliance-Risikosituation des Instituts mit dem Aufsichts-/Verwaltungsorgan zu treten, unbeschadet seiner Berichtspflichten an die Geschäftsleitung. Ein solches Modell würde die Effektivität und die Effizienz der Compliance-Arbeit weiter fördern und den Bedeutungszuwachs widerspiegeln. Es würde auch dem Aufsichts-/Verwaltungsorgan ermöglichen, noch unmittelbarer seinen Pflichten zur Überwachung der Geschäftsleitung in Bezug auf die Steuerung von Compliance-Risiken nachzukommen. FAZIT Compliance wird zunehmend als proaktiver Baustein der Wertschöpfungskette eine Rolle spielen. Eine stärkere Verzahnung der Compliance-Funktion im 3-Lines-of-Defence-Modell als integraler Bestandteil des Governance-Risiko- und Compliance-Rahmenwerks wird damit einhergehen. Die Compliance-Funktion wird im dualistischen System der Unternehmensführung als Berater und Kontrollinstanz weiter an Bedeutung gewinnen. Die Anpassung von Geschäftsmodellen von Banken einerseits (Stichwort: Industrie 4.0) und das Aufkommen neuer Technologien für Compliance-Prozesse andererseits werden auch einen Transformationsprozess von Compliance-Organisationen in Banken zur Folge haben: Compliance 4.0. Autor Rechtsanwalt Dr. Stephan Niermann, langjähriger Chief Compliance Officer bzw. stellvertretender Compliance-Beauftragter der WestLB- und Commerzbank-Gruppe. Er wirkt bei RegTech-Initiativen in Zusammenhang mit Compliance-relevanten Prozessen in Deutschland und UK mit, u.a. im Bereich KYC/CDD. 1 Damit sind sämtliche Compliance-Maßnahmen einer Bank gemeint. Der Begriff Compliance-Funktion bezieht sich hingegen regelmäßig auf einen personell und sachlich abgegrenzten Bereich als Teil der Ablauforganisation, die auf der 2. Verteidigungslinie Bestandteil des internen Kontrollsystems ist, ohne dass damit eine bestimmte Organisationsform gemeint ist. 2 EBA-GL-2017-11, Umsetzungsfrist: 30. Juni 2018. 3 Opinion on the use of innovative solutions by credit and financial institutions in the CDD process, JC 2017 81. 4 BGH 9.Mai 2017, 1. StR 265/16, Rn. 118. 03 // 2018 11

die bank