Aufrufe
vor 5 Jahren

die bank 11 // 2015

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BETRIEBSWIRTSCHAFT

ó BETRIEBSWIRTSCHAFT Zur Erreichung dieses Ziels bzw. zur Minimierung und Steuerung von Compliance-Risiken, die der Zielerreichung entgegenstehen können, ist die Einrichtung einer Compliance-Funktion als solche regelmäßig nicht ausreichend. Vielmehr müssen im Rahmen eines angemessenen und wirksamen Risikomanagementsystems, das insbesondere ein geeignetes internes Kontrollsystem (IKS) umfasst, geeignete Verfahren eingerichtet werden, die insgesamt der Minderung und Steuerung von Compliance-Risiken dienen. 13 Compliance aus Sicht des COSO-Modells Das COSO-Modell beschreibt die Komponenten, Prinzipien und Faktoren die notwendig sind, damit eine Organisation ihre Risiken durch die Einrichtung eines IKS effektiv steuern kann. 14 Ausgangspunkt ist dabei der sogenannte COSO-Würfel mit den Dimensionen Zielebene, Komponenten und Unternehmensbereiche. 15 Die fünf Komponenten werden dabei anhand von 17 Prinzipien zur Zielerreichung weiter konkretisiert. Compliance bzw. die Einhaltung von sonstigen Gesetzen und Vorschriften stellt eine der drei Zielebenen des COSO-Modells mit Ausstrahlungswirkung auf alle Unternehmensbereiche und Komponenten des IKS dar. Das COSO-Modell definiert Compliance somit nicht als einzelne Funktion, sondern als Ziel, das nur durch eine Vielzahl von Aktivitäten auf unterschiedlichsten Ebenen des Unternehmens erreicht werden kann. Eine Zuordnung der sich aus dem IKS ergebenden Aktivitäten und deren Verantwortlichkeiten zu einzelnen Unternehmensbereichen ist hingegen nicht Gegenstand des COSO-Modells. Diese Zuordnung kann mithilfe des 3LoD-Modells vorgenommen werden. Das Three-Lines-of-Defence-Modell Das 3LoD-Modell wird allgemein als mögliches Konzept für die Einrichtung eines wirksamen und effizienten IKS verstanden, das unabhängig von Art, Struktur und Komplexität der Organisation anwendbar ist. Insbesondere der Basler Ausschuss empfiehlt in seinen Corporate-Governance-Prinzipien die Umsetzung des 3LoD-Modells, um eine angemessene Zuordnung von Verantwortlichkeiten zu erreichen. 16 Die dem 3LoD -Modell zugrunde liegende Überlegung ist, dass innerhalb des Unternehmens – unter der Leitung der Geschäftsleitung und ggf. des Aufsichtsorgans 17 2 Interne Kontrollverfahren gemäß KWG Reporting 1 st -, 2 nd -, 3 rd -Line Verwaltungs-/Aufsichtsorgan Geschäftsleitung Risikomanagementsystem (§ 25a Abs. 1 Satz 3 KWG) Risikotrafähigkeit Ressourcen Strategien § 25a Abs. 1, S. 3, Nr. 3 KWG Notfallkonzept Vergütungssystem interne Kontrollverfahren externe Prüfer Aufsicht internes Kontrollsystem (IKS) interne Revision Aufbau-/Ablauforganisation Risiko- management- Prozesse Risiko-Controlling-Funktion Compliance-Funktion ... prüft das IKS auf Angemessenheit und Wirksamkeit. 1 st -Line 2 nd -Line 3 rd -Line Risikoeigner / Risikosteuerung / Kontrolleigner Kontrollfunktionen zur Risikoüberwachung Prüfung der Aufgabenerfüllung besondere Funktionen nach AT 4.4 MaRisk 36 diebank 11.2015

BETRIEBSWIRTSCHAFT ó – drei separate Gruppen (drei Verteidigungslinien) notwendig sind, um effektive Risiko- und Kontrollprozesse zu ermöglichen. 18 In der ersten Verteidigungslinie (1 st -Line – Kontrolle) stehen die Geschäftsbereiche als Risiko- und Kontrolleigner, die im Rahmen des Tagesgeschäfts mit dem operativen Management (d. h. Identifizierung, Bewertung, Kontrollaktivitäten) zur Verminderung der jeweiligen inhärenten Risiken betraut sind ” 1. Art und Ausmaß ihrer Aktivitäten richten sich hierbei nach den in der Geschäfts- und Risikostrategie durch die Geschäftsleitung festgelegten Unternehmenszielen. Die zweite Verteidigungslinie (2 nd -Line – Überwachung) umfasst grundsätzlich alle Funktionen, die der Überwachung von Risikominimierungsaktivitäten der ersten Linie dienen. Hierzu zählen insbesondere die Risikomanagement-, Risiko-Controlling- und Compliance-Funktion, aber auch Financial Controlling, Legal, IT Security und andere vergleichbare Backoffice-Bereiche. Ihre Aufgabe liegt schwerpunktmäßig in der Beratung und Unterstützung der Geschäftsbereiche bei der Implementierung geeigneter Kontrollmaßnahmen sowie in der Beurteilung der Wirksamkeit der bestehenden Kontrollen. Darüber hinaus obliegen ihnen auch Tätigkeiten, für die sie selbst als Risiko- und Kontrollverantwortlicher fungieren. Die Interne Revision schließlich stellt als objektive und unabhängige Prüfungs- und Beratungsinstanz die dritte Verteidigungslinie (3 rd -Line – Revision) dar. Hierbei unterstützt sie die Geschäftsleitung, Führungskräfte der Geschäftsbereiche und Überwachungsinstanzen und gibt mithilfe ihrer Prüfungsergebnisse Sicherheit über die Angemessenheit und Wirksamkeit der Risikomanagement-, Kontroll- und Überwachungsstrukturen innerhalb der ersten beiden Verteidigungslinien, die zusammen das IKS des Unternehmens bilden. Der Unabhängigkeit der Internen Revision wird dabei im 3LoD-Modell wie auch in den MaRisk 19 ein erheblicher Stellenwert zugerechnet. 20 Dies schließt jedoch eine Koordination mit der 2 nd -Line nicht aus. So ist es durchaus zielführend, dass die Interne Revision die seitens der 2 nd -Line durchgeführten Kontrollen bei der Ausgestaltung ihrer eigenen Prüfungshandlungen berücksichtigt. 21 Eine aktive Unterstützung der Internen Revision durch Kontrolleinheiten der 2 nd -Linie ist jedoch weder mit dem 3LoD-Modell noch mit den MaRisk vereinbar. Nicht immer lässt sich ein Unternehmensbereich bzw. ein Fachbereich eindeutig einer der beiden ersten Linien zuordnen. So ist es z. B. eine wesentliche Aufgabe der WpHG-Compliance- Funktion, die mit dem Wertpapiergeschäft verbundenen Aktivitäten in den Vertriebsbereichen zu überwachen und somit Aufgaben der zweiten Verteidigungslinie wahrzunehmen. Für bestimmte Anforderungen des WpHG (z. B. Überwachung der Mitarbeitergeschäfte) ist die WpHG-Compliance-Funktion jedoch selbst Aufgabenträger und erbringt Kontrollhandlungen als fl Ein Compliance-Verstoß entsteht häufig durch Unkenntnis einer geltenden Regelung. 1 st -Line. 22 Das 3LoD -Modell spiegelt sich dabei auch in den Vorgaben zur Ausgestaltung der internen Kontrollverfahren gemäß § 25a Abs. 1 KWG i. V. m. den MaRisk wider ” 2. Zusammenspiel zwischen COSO und 3LoD am Beispiel von Compliance-Risiken Ein wirksames und effizientes IKS zeichnet sich dadurch aus, dass es weder Kontrolllücken noch unnötige Kontrolldopplungen gibt. Voraussetzung für ein wirksames und effizientes IKS ist somit zum einen eine vollständige Kenntnis aller relevanten Abläufe in einer Unternehmung und der damit verbundenen Risiken und zum anderen eine klare und eindeutige Zuordnung von Verantwortlichkeiten für die Steuerung der Risiken. Wie bereits dargestellt schweigt sich das COSO-Modell zu der Frage der Zuordnung von Verantwortlichkeiten innerhalb des IKS weitestgehend aus. 23 Die Festlegung von Verantwortlichkeiten innerhalb des IKS ist jedoch ein Kernpunkt des 3LoD-Modells, sodass eine Verknüpfung beider Modelle sinnvoll und zielführend ist. Diese Verknüpfung soll anhand der Zielkomponente Compliance nachfolgend näher dargestellt werden. Ausgehend von der Compliance-Zielkomponente des COSO-Modells kann ein wirksames IKS im Hinblick auf Compliance-Risiken nur dann erreicht werden, wenn alle Komponenten des COSO-Modells und alle Unternehmensbereiche erfasst werden. Die Festlegung von Unternehmenszielen und Strategien zur Zielerreichung sowie die Einrichtung und Ausgestaltung eines IKS liegt in der Verantwortlichkeit der Geschäftsleitung. Hieraus leitet sich ab, dass die erste der fünf COSO-Komponenten, das Control Environment, durch die Grundeinstellungen, das Problembewusstsein und das Verhalten der Geschäftsleitung geprägt wird („tone from the top“). Dies gilt sowohl im Allgemeinen als auch im Besonderen für Compliance-Risiken. 11.2015 diebank 37

die bank