Rechtliche Regeln und Vorgaben sind nur sinnvoll, wenn sie auch richtig implementiert, beachtet, kontrolliert und eingehalten werden. In zahlreichen Gesetzen und rechtlichen Regelungen ist festgelegt, welcher Stellenwert Compliance in Unternehmen zukommen muss. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fordert in ihrem Rundschreiben zu den Mindestanforderungen an das Risikomanagement (MaRisk) vom September 2017 von den Finanzinstituten explizit die Einrichtung einer Compliance-Funktion. MaRisk-Compliance kommt eine Schlüsselfunktion zu, um Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können, entgegenzuwirken.
Lesen Sie im folgenden Beitrag, welche Bedeutung MaRisk-Compliance hat und wie die Funktion richtig ausgefüllt werden kann.
Aufgaben der MaRisk-Compliance
Die Tatsache, dass jedes Institut über eine Compliance-Funktion verfügen muss und der Compliance-Beauftragte der Geschäftsführung direkt unterstellt ist, zeigt die Bedeutung, die der MaRisk-Compliance zur Stabilität der Finanzmärkte insgesamt beigemessen wird. Ihre grundlegende Aufgabe ist es, auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regulierungen und Vorgaben hinzuwirken und entsprechende Kontrollen durchzuführen. MaRisk-Compliance hat eine überaus wichtige Funktion sowohl innerhalb des Instituts als auch gegenüber Aufsichtsbehörden.
Die BaFin erläutert in acht Punkten die Aufgaben und Pflichten der MaRisk-Compliance. So muss zum Beispiel jedes Institut über eine Compliance-Funktion verfügen und einen Compliance-Beauftragten ernennen, der mit entsprechenden Befugnissen ausgestattet ist. Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Gibt es einen Wechsel beim Compliance-Beauftragten, muss die Aufsichtsbehörde informiert werden. Systemrelevante Institute haben eine eigenständige Organisationseinheit zu bilden.
Zusammenarbeit mit Fachbereichen, Rechtsabteilungen und IT-Spezialisten
Bei der Identifizierung der rechtlichen Regelungen und Vorgaben, die das Finanzinstitut betreffen, ist die MaRisk-Compliance auf die Unterstützung des gesamten Teams angewiesen.
Verschiedene Regeln tangieren jede Abteilung eines Finanzinstituts in einer anderen Weise. Insofern muss die MaRisk-Compliance darüber im Bilde sein, welcher Handlungsbedarf aus Compliance-Sicht in welchem Bereich der Bank oder der Versicherung besteht.
In der Banken-IT müssen die rechtlichen Anforderungen der Gesetzgeber und Aufsichtsbehörden umgesetzt werden. Wie dies konkret zu geschehen hat, beispielsweise beim Datenmanagement, gibt die BaFin vor. Auch die Datenschutzgrundverordnung der EU (DSGVO) stellt an die IT der Finanzbranche hohe Anforderungen.
Insofern erfordert eine wirksame MaRisk-Compliance eine enge Zusammenarbeit sowohl mit den jeweiligen Fachbereichen und den Rechtsabteilungen der Institute als auch mit der Banken-IT. Bei Bedarf, beispielsweise bei Neuregelungen oder veränderter Rechtsprechung, sollten Projektteams gebildet werden, um die Implementierung und Umsetzung zu begleiten.
MaRisk Compliance © Photon photo / Shutterstock.com
Klare Zuständigkeiten erforderlich
Die BaFin stellt klar, dass die Implementierung von wirksamen Verfahren zur Einhaltung wesentlicher gesetzlicher Regelungen und Vorgaben in der Verantwortung der jeweils betroffenen Fachbereiche liegt und nicht automatisch bei der Compliance-Funktion. Diese wiederum hat darauf zu achten, dass die betroffenen Fachbereiche ihrer Verantwortung auch tatsächlich nachkommen. So gesehen hat die Compliance-Funktion auch einen koordinierenden Charakter. Wichtig ist, dass die Zuständigkeiten zwischen den Fachabteilungen Bank IT und der MaRisk-Compliance geklärt sind. Die Letztverantwortung für die Einhaltung rechtlicher Regelungen und Vorgaben im Institut trägt die Geschäftsführung.
MaRisk-Compliance braucht Ausstattung mit Kompetenzen
Bei den Aufgaben, die der MaRisk-Compliance zukommen, stellt sich natürlich die Frage, inwieweit die Compliance-Beauftragten Kontroll- oder Weisungsrechte gegenüber den Fachabteilungen haben. In einem Protokoll zur Sitzung des BaFin-Fachgremiums MaRisk zur Compliance-Funktion wird darauf hingewiesen, dass die Aufsichtsbehörde von der Compliance-Funktion Überwachungshandlungen erwartet. Auch hält die BaFin es für erforderlich, dass die Compliance-Funktion Kontrollhandlungen zumindest durchführen können muss und ihr entsprechende Kontrollrechte eingeräumt werden. Die konkrete Ausgestaltung der Kontrollhandlungen und auch Umfang und Inhalte der Weisungsberechtigung der MaRisk-Compliance gegenüber den Fachabteilungen werden von BaFin-Seite nicht vorgegeben, sondern liegen in der Eigenverantwortung der Institute. Allerdings wird die Ausstattung mit entsprechenden Kompetenzen erwartet, um wirksam arbeiten zu können.
Nicht zuletzt ist die Frage, wie die MaRisk-Compliance organisatorisch angebunden ist, wichtig für ihre erfolgreiche Tätigkeit. Die direkte Anbindung an die Geschäftsführung kann nur dann erfolgreich funktionieren, wenn sie nicht nur auf dem Papier steht, sondern auch gelebt wird.
Insgesamt haben die Finanzinstitute großen Gestaltungsspielraum bei der Ausgestaltung der MaRisk-Compliance. Letztlich kommt es darauf an, dass die Mindestanforderungen an das Risikomanagement erfüllt werden.
