die Bank 09 // 2017

MANAGEMENT Risikolage

MANAGEMENT Risikolage des Unternehmens Nach den Vorgaben des DCGK hat der Vorstand für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen zu sorgen. Hierbei gilt es zunächst festzustellen, wie sich die Risikolage des Unternehmens darstellt bzw. wie diese zu ermitteln ist. Banken stehen – abhängig von Rahmenbedingungen wie der Unternehmensgröße und dem Geschäftsmodell – unterschiedlichsten Risiken gegenüber, die institutsspezifisch identifiziert und bewertet werden. Der DCGK nennt hinsichtlich der zu berücksichtigenden Risiken keine weiteren Einschränkungen. Hierbei ist fraglich, ob die zu ermittelnde Risikolage mit der Risikoidentifizierung verglichen oder gar gleichgesetzt werden kann, welche von der Compliance-Funktion nach Maßgabe des AT 4.4.2 MaRisk zur Erfüllung ihrer Aufgaben gefordert ist. Die Compliance-Funktion hat die für das Institut wesentlichen rechtlichen Regelungen und Vorgaben – deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann – unter Risikogesichtspunkten zu identifizieren. Als Basis dieser Identifizierung haben sich die sog. Compliance-Risiken (Sanktions-, Reputationsrisiko und sonstiges finanzielles Risiko) etabliert. 6 Basierend auf dem damit zusammenhängenden Risikomodell werden die wesentlichen rechtlichen Regelungen und Vorgaben abgeleitet, und die Compliance-Funktion wirkt auf angemessene und wirksame Verfahren für deren Einhaltung hin. Die Compliance-Funktion betrachtet damit „lediglich“ die Compliance-Risiken. In einer Bank werden jedoch in anderen Organisationseinheiten weitere Risiken identifiziert, z. B. durch die Risikocontrolling-Funktion. Im Vergleich zu solchen Funktionen findet sich bei der dargestellten Aufgabe der Compliance-Funktion und der Zielrichtung des DCGK eine wichtige Überschneidung: Der DCGK hat das Ziel eines guten Corporate- Governance-Systems, der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und muss auf deren Beachtung hinwirken. Damit scheint der Kodex bei der Risikolage des Unternehmens insbesondere auf solche Risiken abzustellen, die sich aus den rechtlichen Anforderungen ergeben. Die von der Compliance-Funktion identifizierten Risiken dürften sich somit als eine Teilmenge der Gesamtrisikolage der Bank darstellen. Wie die weiteren Risiken für die Ableitung von Compliance-Maßnahmen zu berücksichtigen sind, ist institutsspezifisch zu festzulegen. Angemessene Compliance-Maßnahmen Sowohl die Ausgestaltung eines CMS nach IDW PS 980 als auch Ziff. 4.1.3 des DCGK haben das Ergreifen von Maßnahmen zum Inhalt. Die Compliance-Funktion nach KWG / Ma- Risk hat auf die Implementierung von Verfahren (sprich Maßnahmen) und Kontrollen zur Einhaltung wesentlicher rechtlicher Regelungen und Vorgaben hinzuwirken. Dazu benötigt sie ein aufbau- und ablauforganisatorisches Rahmenwerk. Die jeweiligen Maßnahmen orientieren sich dabei an den vorher analysierten Risiken der Compliance-Funktion für wesentliche rechtliche Regelungen, die Maßnahmen des DCGK an der vorher bestimmten Risikolage. Somit werden nicht nur die Maßnahmen, sondern auch die diesen zugrunde liegenden rechtlichen Regelungen, auf welche die Compliance-Funktion hinwirkt, eine Teilmenge der Maßnahmen des DCGK sein. Ob und wie weit hier jedoch die Maßnahmen der Compliance- Funktion ergänzt werden müssen, ist institutsspezifisch zu entscheiden. Ein weiterer wichtiger Unterschied besteht darin, dass der Vorstand nach dem DCGK für angemessene Maßnahmen sorgen soll. Hingegen hat die Compliance-Funktion nach KWG / MaRisk neben der Angemessenheit auch die Wirksamkeit von Maßnahmen zur Einhaltung wesentlicher rechtlicher Regelungen und Vorgaben zu beurteilen. In diesem Zusammenhang ist festzuhalten, dass nur wirksame und somit funktionsfähige Maßnahmen zu einem Schutz des Unternehmens, der Vorstände und Mitarbeiter beitragen können. Offenlegung der Grundzüge eines CMS Durch die Offenlegung der Grundzüge des CMS soll sich die interessierte Öffentlichkeit über die Anstrengungen der Unternehmen informieren können. 7 Der Änderungsentwurf des DCGK, welcher Grundlage der Konsultationsphase war, sah vor, dass die Grundzüge des CMS im Corporate-Governance-Bericht veröffentlicht werden. Dies wurde in den Stellungnahmen durchaus kritisch gesehen. Zum einen ist der Corporate-Governance- Bericht ein gemeinsamer Bericht von Vorstand und Aufsichtsrat. Die Beschreibung des CMS liegt jedoch im alleinigen Verantwortungsbereich des Vorstands, sodass eine gemeinsame Erklärung nicht zielführend schien. Zum ande- 54 09 // 2017

MANAGEMENT ren wurde angemerkt, dass häufig bereits an anderer Stelle Erläuterungen des CMS erfolgen, wie z. B. im Geschäftsbericht des Unternehmens. Eine zusätzliche Aufnahme in den Corporate-Governance-Bericht würde damit keinen Mehrwert an Information schaffen. 8 Von der Empfehlung, die Grundzüge des CMS im Corporate-Governance-Bericht zu veröffentlichen, wurde abgesehen, sodass nunmehr andere Möglichkeiten in Betracht kommen, etwa die Veröffentlichung auf der Homepage des Unternehmens. Aufgrund der institutsspezifischen Ausgestaltung eines CMS ist eine allgemeingültige Aussage zum Umfang der Beschreibung nur schwer möglich und fehlt derzeit. Um den Vorgaben des DCGK gerecht zu werden und die Grundzüge offenzulegen, ist sicherlich eine Beschreibung der grundsätzlichen getroffenen Maßnahmen vorzunehmen. Aufgrund der weitreichenderen regulatorischen Anforderungen der Banken werden diese im Verhältnis zu anderen Branchen regelmäßig sehr weit fortgeschritten sein. Der Umfang sollte sich jedoch stets an der Zielsetzung orientieren, den Investoren und der interessierten Öffentlichkeit ein grundlegendes Bild über die Anstrengungen in Bezug auf eine gute Compliance der Bank zu vermitteln. Die Compliance- Funktion nach KWG / MaRisk wirkt auf die Umsetzung von rechtlichen Regelungen und Vorgaben in unterschiedlichen Organisationseinheiten hin und berichtet ihrerseits wiederum an den Vorstand und Aufsichtsrat. Dieser Bericht wird inhaltlich mit Sicherheit bedeutend umfangreicher sein als eine Offenlegung nach dem DCGK. Es kann jedoch überprüft werden, ob Aufbau und Struktur als Orientierungshilfe dienen können. FAZIT Der DCGK verlangt vom Vorstand die Einführung eines CMS. Für dessen Ausgestaltung wird wohl zumeist auf den IDW PS 980 zurückgegriffen. Für die Banken scheint aufgrund der bereits vorher geltenden regulatorischen Compliance-Anforderungen die Neuerung des DCGK eine vergleichsweise geringe Hürde darzustellen. Dennoch ist es notwendig, die einzelnen Anforderungen hinsichtlich der Risikolage, den abzuleitenden Maßnahmen sowie des Umfangs der Beschreibung der Grundzüge des CMS Aufmerksamkeit zu widmen. Die Arbeit der Compliance-Funktion nach KWG / MaRisk kann hier als Ausgangsbasis dienen. Dennoch muss institutsspezifisch analysiert werden, ob und inwieweit die bereits durchgeführten Tätigkeiten den Anforderungen des DCGK entsprechen und an welcher Stelle diese zu ergänzen sind. Autoren: Dorit Schroeren, Partnerin, und Edmund Blum, Senior Associate, beide bei der KPMG AG Wirtschaftsprüfungsgesellschaft mit Beratungsschwerpunkt Financial Services. 1 Vgl. Stellungnahme Deutsche Bank; Stellungnahme Commerzbank; Stellungnahme BVI. 2 Vgl. IDW PS 980, S. 3. 3 Baur, Holle, NZG, 171; Rack, CB 3/2017, 60. 4 Vgl. hierzu ausführlich Koch, in : Hüffer/Koch, Aktiengesetz Kommentar, 2016, § 76 Rn. 13. 5 Konkretisierung der Ausgestaltung im Wesentlichen durch AT 4.4.2 MaRisk. 6 In Teilen Anlage 1 zum Rundschreiben 47/13 des Bankenfachverbandes vom 28. August 2013.). 7 Vgl. Regierungskommission Deutscher Corporate Governance Kodex, Pressemitteilung, S. 3. 8 Vgl. Stellungnahme Commerzbank, S. 1; Stellungnahme Deutsche Bank, S. 2; Stellungnahme DAI, S. 5; Stellungnahme VGR, S. 5. 09 // 2017 55