Compliance & Risk Newsletter

Transkript

1 Ausgabe 2/2014 Mai 2014 Inhaltsverzeichnis Rückblick 1. Compliance-Frühstück 2 Rückblick COMPLIANCEforBANKS Die neue Compliance-Organisation in Banken 3 Die 4. EU-Geldwäscherichtlinie kommt 15 Wozu braucht die Welt einen Inhouse Unternehmensjuristen? 17 Termine 20 Impressum 22

2 Rückblick 1. Compliance-Frühstück in Frankfurt Nach dem erfolgreichen Compliance- Stammtisch in München, hat die Creditreform Compliance Services zusammen mit der Creditreform Frankfurt Emil Vogt KG zum 1. Compliance-Frühstück in Frankfurt eingeladen. Hartmut T. Renz referierte in seinem Impulsvortrag über Aufgaben und Verantwortung einer modernen Compliance-Organisation. Anschließend hatten die Teilnehmer die Möglichkeit sich über Compliance-Themen in lockerer Runde auszutauschen. Compliance nimmt an Dynamik zu und wird immer wichtiger. Wir sind davon überzeugt, dass eine solche Veranstaltung mit Impulsvorträgen und einem fachlichen Austausch die Teilnehmer weiterbringt. Rückblick COMPLIANCEforBANKS 2014 Bereits zum 6. Mal fand die Fachtagung COMPLIANCEforBANKS in Köln statt. Zu den Themen gehörten u.a. Geldwäsche, Terrorismusfinanzierung, Betrug, Korruption, Risikound Unternehmenskultur, Regulatorische Rahmenbedingungen und Bekämpfung von Wirtschaftskriminalität in der Praxis. Creditreform Compliance Services war als Partner vertreten und stand den Teilnehmern als kompetenter Ansprechpartner rund um das Thema Compliance zur Verfügung. 2

3 Die neue Compliance-Organisation in Banken Die europäische Bankenregulierung befindet sich im starken Wandel. Die CRD IV (Capital Requirements Directive) greift in das deutsche Kreditwesengesetz (KWG) ein und schafft so über die MaRisk eine neue erweiterte Compliance-Funktion. In der MaRisk finden sich nun Compliance-relevante Regelungen, insbesondere in AT (Compliance-Funktion), AT 8.2 (Änderung betrieblicher Prozesse und Strukturen) und BTO Nr. 10 (Zwangsurlaub von Händlern mandatory block leave ). Sowohl der Begriff Compliance als auch die Funktion selbst sind das Ergebnis neuerer, rechtspolitischer Entwicklungen und daher im deutschen Unternehmensrecht noch nicht wirklich solide verankert. 1 Weder das Aktien-, das GmbH-Gesetz, das Recht der Personengesellschaften oder das Genossenschaftsgesetz kennen den Begriff Compliance. Die genannten Normkomplexe sind allerdings für die Installierung einer Compliance-Funktion offen. 2 Weiter ist für die Finanzindustrie das KWG ( 25a KWG; Management von Compliance- Risiken als Teil des Risikomanagements) für Kreditinstitute, als auch das WpHG (explicit in 33 Abs. 1 Satz 1 WpHG) für Wertpapierdienstleistungsunternehmen als zu beachtende Organisationsvorgaben zu nennen. Die MaRisk 1 siehe hierzu grundlegend Emde Das Pflichtenprogramm des Aktiengesetzes und des KWG in Renz/Hense, Wertpapier-Compliance in der Praxis, Berlin 2010, Seite 1, 5, 7 ff. 2 Emde Das Pflichtenprogramm des Aktiengesetzes und des KWG in Renz/Hense, Wertpapier-Compliance in der Praxis, Berlin 2010, Seite 157, 159. richten sich dabei an Kreditinstitute zur Konkretisierung der besonderen organisatorischen Pflichten des 25a KWG. Wesentliche Änderungen durch die Ma- Comp Die Wertpapier-Compliance-Funktion ist weiterhin geregelt in 33 Abs. 1, Satz 2, Nr. 1 WpHG (dauerhafte, wirksame und unabhängige Funktion 3 ) in Verbindung mit 12 WpDVerOV und den MaComp. Der 33 WpHG wird durch die neuen Regelungen des KWG bzw. der Ma- Risk nicht ersetzt, sodass es weiterhin eine unabhängige Wertpapier-Compliance-Funktion geben muss. Die BaFin hat in der MaComp 4, dort im BT 1 5, aus Sicht der zuständigen Aufsichtsbehörde geschrieben, wie die organisatorischen Anforderungen an die Aufgaben der Compliance- Funktion nach 33 Abs. 1 WpHG umzusetzen sind. 6 Die wesentlichen Aufgaben der Compliance-Funktionen nach der MaComp mit Bezug zum Risikomanagement sind insbesondere folgende:» Die Compliance-Funktion ist im Rahmen des Internen-Kontrollsystems (IKS) auf der zweiten Ebene (mit Ausnahme der Kern- Compliance-Aufgaben, wie z.b. Mitarbeitergeschäft-Überwachung, dann auf der ersten 3 siehe hierzu auf Basis der alten MaComp Russo in Renz/Hense, Organisation der Wertpapier-Compliance-Funktion, Stellung und Funktion des Compliance-Beauftragten und der Compliance-Funktion, Berlin 2012 Seite 137, 140 ff. 4 letztmalig geändert am 07. Dezember siehe hierzu grundlegend, noch auf Basis der alten MaComp Zingle/Foshag in Renz/Hense, Wertpapier-Compliance in der Praxis, Die Compliance-Funktion in den MaComp, S. 181, 191 ff 6 zum neuen BT 1 siehe Schäfer in Krimphove/Kruse, MaComp BT 1, Rdnr. 1 ff. 3

4 Ebene) angesiedelt und übernimmt neben der Beratungsfunktion wesentliche Überwachungsaufgaben. Die Überwachungshandlungen sollen risikobasiert erfolgen.» Zur Einordung der risikobasierten Beratungsund Überwachungsaufgaben der Compliance- Funktion ist eine umfassende Risikoanalyse der Produkte, Kunden und Geschäftsfelder des Wertpapierdienstleistungsunternehmens erforderlich.» Das Risikoprofil des Unternehmens wird somit auf Basis von Art, Umfang und Komplexität der Angebote von Wertpapierdienstleistungen und -nebendienstleistungen sowie der Arten der gehandelten und vertriebenen Finanzinstrumente bestimmt.» Die Mitarbeiter der Geschäftsbereiche, die Wertpapierdienstleistungen erbringen, müssen das notwendige Bewusstsein für Compliance-Risiken aufweisen. Die wesentlichen Compliance-Risiken des jeweiligen Unternehmens geben den Ausschlag dafür, welche erforderliche Sachkunde der Compliance- Beauftragte bzw. seine Mitarbeiter vorweisen müssen. Die den Wertpapierdienstleistungen bzw. -nebendienstleistungen immanenten Risiken und Komplexität geben den Ausschlag für die konkreten Fachkenntnisse der Mitarbeiter in Bezug auf die angebotenen Dienstleistungen und vertriebenen Produkte.» Die Compliance-Funktion ermittelt im Rahmen der regelmäßigen Risikoanalyse das Risikoprofil des Wertpapierdienstleistungsunternehmens im Hinblick auf bestehende Compliance-Risiken. Damit basieren Umfang und Schwerpunkt der Compliance-Tätigkeit auf dieser Risikoanalyse. In dieser Risikoanalyse werden u.a. die Ergebnisse bisheriger Überwachungshandlungen durch Compliance selbst, durch die interne Revision und die Prüfungsergebnisse externer Wirtschaftsprüfer sowie alle sonstigen relevanten Erkenntnisquellen (z.b. im Rahmen des Beschwerdemanagements) mit einbezogen.» Die durch die Compliance-Funktion identifizierten Risiken finden sich dann beschrieben im Compliance-Jahresbericht bzw. im regelmäßigen Reporting an Vorstand und Aufsichtsgremium wieder. Bei der organisatorischen Ansiedelung der Compliance-Funktion ist darauf zu achten, dass ein optimales Schnittstellenmanagement mit anderen Bereichen erfolgt. Die Interaktion mit der internen Revision, der Rechtsabteilung und den Risikomanagementfunktionen ist dabei ein wesentliches Element. 7 Dabei war schon frühzeitig erkennbar, dass Compliance und operationelles 7 Schmies in Renz/Hense, Organisation der Wertpapier-Compliance- Funktion, Die originären Organisationspflichten des 33 WpHG im Lichte der MaComp, Berlin 2012, S. 56, 71 ff.; Röh in Renz/Hense, Wertpapier-Compliance in der Praxis, Verhältnis von Compliance zu Risikomanagement, interne Revision und Rechtsabteilung, Berlin 2010 S. 951 ff. 4

5 Risikomanagement Bestandteil eines integrierten Risikomanagements sein müssen. 8 MaRisk-Novelle 2012 Die Ausgestaltung der Compliance-Funktion 9 folgt unmittelbar aus den bereits am in Kraft getretenen MaRisk 10 der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Der Hintergrund für die erneute Überarbeitung der Mindestanforderungen lag dabei schwerpunktmäßig in bis dahin noch nicht implementierten internationalen Regulierungsvorgaben. 11 Für die Compliance-Funktion haben diese Änderungen ihren Niederschlag vor allem in dem neuen Modul der MaRisk AT4.4.2 (Compliance- Funktion) gefunden. 12 Bereits im Rahmen der Konsultationsphase zur Novellierung der MaRisk wurde erkennbar, dass diese rechtlich unbestimmte Aufwertung der Compliance-Funktion zu erheblicher Unsicherheit in der Praxis hinsichtlich der aufsichtsrechtlichen Erwartungshaltung an die Compliance-Funktion führt. Weder in der MaRisk selbst, noch in den zugrunde liegenden interna- 8 Vergleiche Bank for International Settlements, Basel Committee on Banking Supervision - Compliance and the Compliance Function in Banks - April 2005, Introduction unter Ziffer 8; Vergleiche auch Steidle in Renz/Hense, Wertpapier-Compliance in der Praxis, Compliance und operationelle Risiken, Berlin 2010, S. 33, 42 ff. 9 zu Funktion und Aufbau von Compliance umfassend Hauschka, Corporate Compliance, 2. Auflage 2010, 1, Randnummer 1 ff. 10 Rundschreiben 10/2012 (BA) - Mindestanforderungen an das Risikomanagement - MaRisk vom , abrufbar unter 11 Neben der CRD IV, die bei der Novellierung der MaRisk bereits vorausschauend berücksichtigt wurde, sind hierbei insbesondere die IBA Guidelines on International Governance, die erweiterten Meldepflichten durch COREP und FINREP, sowie die CEBS Guidelines on Liquidity Cost Benefit Allocation zu nennen. Vergleiche auch, MaRisk Novelle Anschreiben an die Verbände (BA 54-FR /0002), abrufbar unter 12 Vergleiche insbesondere Kindermann/Bast, Compliance ein Ausblick auf CRD IV und MiFID II, Compliance-Berater 8/2013, S. 337, 338. tionalen Papieren wurde der genaue Aufgabenumfang der Compliance-Funktion festgelegt oder eine abschließende Definition von den relevanten Compliance-Risiken vorgenommen. Demnach sind auch auf den ersten Blick weder der Umfang der einzuhaltenden rechtlichen Regelungen und Vorgaben, noch die organisatorische Einordnung der MaRisk-Compliance ausdrücklich vorgegeben. 13 Die Compliance-Funktion wird nach den Ma- Risk unabdingbarer Bestandteil der Internal Governance gemäß dem EBA-Standard 14 bzw. zwingender Bestandteil des Risikomanagements und ist somit folgerichtig auf eine Stufe mit dem Risiko-Controlling und der internen Revision gestellt. 15 Die inhaltlichen, rechtlichen Themenbereiche der MaRisk-Compliance-Funktion sollen nach einem proportional angemessenen Ansatz umgesetzt werden. Einige Bereiche sind schon durch andere Kontroll- und Stabseinheiten abgedeckt. Wiederum andere Themengebiete werden bereits Gegenstand von speziellen Compliance-Vorgaben sein (WpHG / Geldwäsche / Betrugsbekämpfung etc.) Demnach sollen die MaRisk-Compliance-relevanten Bereiche und Aufgabengebiete stärker institutsspezifisch identifiziert werden. Dies erfolgt durch eine fortlaufende Bestandsaufnahme im Hinblick auf 13 Kindermann/Bast, Compliance ein Ausblick auf CRD IV und MiFID II, Compliance Berater 8/2013, S. 337, European Banking Authority, Leitlinien zur Internal Governance vom Oktober 2011, abzurufen unter 15 Kindermann/Bast, Compliance ein Ausblick auf CRD IV und MiFID II, Compliance Berater 8/2013, S. 337,338. 5

6 alle relevanten Regelungsbereiche und Vorgaben. Dadurch sollen die Compliance-Risiken eines Instituts erfasst werden. Eine konkrete Definition hierfür existiert nicht. Die Risiken lassen sich jedoch so kennzeichnen, dass sie sich insbesondere dadurch auszeichnen, dass bei einer Nichtbeachtung von rechtlichen Regelungen und Vorgaben vor allem Strafen (Bußgelder), Schadensersatzansprüche und/oder die Nichtigkeit von Verträgen drohen, die zu einer Gefährdung des Vermögens des Instituts führen können. 16 Vergleicht man die MaRisk Compliance- Funktion mit der Funktion der Wertpapier- Compliance MaComp, stellt man fest, dass insbesondere Verbraucherschutzregularien bei der MaRisk Compliance-Funktion im Vordergrund stehen sollen. Dabei sind nicht alle Themenfilter durch die MaRisk Compliance-Funktion selbst zu besetzen. Vielmehr hat die MaRisk Compliance-Funktion lediglich dafür Sorge zu tragen, dass es keinen Bereich gibt, für den zwar Handlungsbedarf besteht, der jedoch aufgrund fehlender eindeutiger Zuständigkeiten unangetastet bleibt. 17 Die MaRisk-Compliance- Funktion füllt damit eine Lücke und stellt als Klammerfunktion zu bereits bestehenden Compliance-Funktionen (z.b. zum WpHG- Compliance-Beauftragten oder auch zum Geldwäschebeauftragten sicher, dass die bislang in einer Bank noch nicht verorteten Themenfelder durch eine Risiko- oder Gefährdungsana- lyse einer Risikobetrachtung unterzogen werden und über diese auch an den Vorstand berichtet wird. AT4.4.2 MaRisk: Compliance-Funktion Mit der 4. MaRisk-Novelle hat ein aufsichtsrechtlicher Paradigmenwechsel stattgefunden und damit wandelt sich die Rolle der Compliance-Funktion zum überwachenden Berater. Die Frage nach der adäquaten Personalausstattung ist von besonderer Bedeutung. Konkrete bzw. verbindliche Vorgaben gibt es nicht. Allerdings muss gewährleistet sein, dass die Mitarbeiter der Compliance-Funktion hohe fachliche Kompetenzen im Bereich des Bank- und Finanzwesens und der in diesem Bereich anwendbaren Normen aufweisen und über eine adäquate berufliche Erfahrung verfügen. Abbildung 1: Anforderung an die Compliance-Funktion Das Dachgremium MaRisk, Mindestanforderungen an das Risikomanagement, Ziffer 2 (Fußnote 16) 17 Kindermann/Bast, Compliance ein Ausblick auf CRD IV und MiFID II, Compliance Berater 8/2013, S. 337, Quelle: Seminar MaRisk Compliance Creditreform Compliance Services GmbH 6

7 Sie müssen Rechtsnormen schnell verstehen und interpretieren. Neben diesem juristischen Wissen werden betriebswirtschaftliche Kenntnisse über die Prozesse im Unternehmen immer wichtiger. Hinzu kommen Branchenkenntnisse, denn nur so kann der Compliance- Beauftragte auf Augenhöhe mit den Fachabteilungen verhandeln. 19 Die wesentlichen Aufgaben der Compliance- Funktion sowie die konkreten Handlungsfelder und der Regelungsbedarf sind der nachstehenden Tabelle zu entnehmen. Aus den allgemeinen Aufgaben der Compliance- Funktion lassen sich aus Sicht der BaFin konkrete Aufgaben ableiten. Der Fokus soll nicht Abbildung 2: Handlungsfelder und Regelungsbedarf MaRisk 19 Dr. Andre Heerlein, Internal Auditor bei Vaillant; zitiert nach 7

8 ausschließlich auf den neuen Regelungen liegen, sondern auch auf bereits bestehenden rechtlichen Regelungen und Vorgaben, sofern diese einen Effekt für das Institut haben könnten. Grundsätzlich liegt die Implementierung wirksamer Verfahren zur Einhaltung der wesentlichen gesetzliche Regelungen und Vorgaben in der Verantwortung der betroffenen Fachbereiche im Institut und nicht zwangsläufig bei der Compliance-Funktion. Allerdings hat die Compliance-Funktion dafür Sorge zu tragen, dass die Fachbereiche ihren Pflichten nachkommen und keine rechtlichen Regelungsbereiche mit Handlungsbedarf unbehandelt bleiben. Die Compliance-Funktion ist unabhängig und hierarchisch direkt der Geschäftsleitung bzw. dem Vorstand unterstellt. Schwerpunktmäßig hat die Compliance-Funktion einen koordinierenden Charakter und eine beratende Funktion. Weiterhin muss sie ihre Aufgaben und Verantwortlichkeiten aus eigener Initiative ausüben können. Analog zu den MaComp, die explizit einen Überwachungsplan und daraus abgeleitete Überwachungshandlungen fordern, ist es unter MaRisk-Aspekten ebenfalls erforderlich, dass die Compliance-Funktion Kontrollhandlungen durchführt und dementsprechende Kontrollrechte eingeräumt werden. Zur Erfüllung ihrer Aufgaben kann die Compliance-Funktion auch auf andere Funktionen und Stellen zurückgreifen und deren Kontroll- und Prüfungsergebnisse verwenden, z. B. Interne Revision, Risikocontrolling. Ausrichtung der MaRisk Compliance- Funktion Die Einrichtung einer Compliance-Funktion gemäß MaRisk ist verpflichtend und soll die Institute vor Vermögensverlusten aufgrund der Nichteinhaltung rechtlicher Regelungen und Vorgaben schützen. Das A und O der Compliance-Funktion nach MaRisk ist, dass die Institute compliant über alle unter Compliance-Gesichtspunkten wesentlichen rechtlichen Regelungen und Vorgaben sind. Aus Sicht der Aufsicht hat Compliance zukünftig zwei zentrale Funktionen zu erfüllen.» Markt- und Kundenschutz» Funktion einer zentralen Evidenzstelle zum Zwecke der Bankenaufsicht Zunächst muss das Institut dafür Sorge tragen, dass die Compliance-Funktion zur Ausführung ihrer Aufgaben mit erforderlichem Personal ausstattet wird. Dabei muss die Größe der Compliance-Funktion die Größe des Instituts sowie an die Art und Komplexität der Tätigkeitsbereiche angemessen sein. Damit die Compliance-Funktion ihre Rolle zur nachhaltigen Sicherstellung der risiko- und wertorientierten, regelkonformen und ethischen Unternehmensführung erfüllen kann, ist es unerlässlich, die für das Institut wesentlichen rechtlichen Vorgaben zu kennen. Nur so kann sichergestellt werden, dass entsprechende Vorkehrungen zu deren Einhaltung getroffen werden. 8

9 Schon vor der Hinzufügung um den Teilbereich Compliance innerhalb der MaRisk gab es diverse rechtliche Anforderungen, die unabhängig vom Bestehen einer Compliance-Funktion umgesetzt werden mussten. Neu hingegen ist nun die Bündelung und zentrale Identifizierung aller geltenden Normen, denen das Unternehmen im Rahmen der Ausübung seiner verschiedenen Aufgaben auf unterschiedlichen Märkten unterliegt. Die BaFin hat die wesentlichen rechtlichen Regelungen beispielhaft in Bezug auf Vorgaben zu Wertpapierdienstleistungen (WpHG), Geldwäsche und Terrorismusfinanzierung, allgemeine Verbraucherschutzvorgaben, Datenschutzvorgaben und die Verhinderung doloser Handlungen zulasten des Instituts eingegrenzt. Die Ma- Risk Compliance-Funktion könnte damit (weitestgehend) auf eigene Prüfprozesse verzichten, da die genannten Funktionen bereits eigene Kontrollhandlungen vornehmen. Gemäß Anschreiben der BaFin (Dezember 2012) beinhalten die MaRisk jedoch auch weitere Regelungen und Vorgaben, die für das Institut unter Compliance-Aspekten als wesentlich einzustufen sind. Außer der großen Relevanz des Aufsichtsrechts können Rechtsgebiete wie beispielsweise Arbeitsrecht, Gesellschaftsrecht, Steuerrecht, Vertragsrecht (AGB) von Bedeutung sein. Auch Änderungen bzw. Neuerungen, die sich z. B. aus CRD IV ergeben können sind im Rahmen der Compliance-Risikoanalyse zu berücksichtigen. Zu den wesentlichen Rechtsvorschriften kann beispielsweise auch das Kartellrecht zählen, was in der Vergangenheit bei Kreditinstituten weniger im Fokus von Compliance, sondern vielmehr der Rechtsabteilung stand. Kartellrecht ist gerade bei Unternehmen der Realindustrie ein wesentlicher Fokus der dort vorhandenen Compliance-Funktion. Das Steuerrecht generell auszuklammern ist allerdings nicht zweckmäßig, da einzelne Anlageformen steuerinduziert sind und somit auch unter Verbraucherschutzgesichtspunkten in die Risikoanalyse mit einfließen sollten. Diese beispielhaft genannten Rechtsgebiete aus dem Tätigkeitsbereich der Compliance-Funktion nach MaRisk auszuklammern erscheint vor dem Hintergrund des Regulierungszwecks - Vermeidung oder zumindest Verminderung von Compliance-Risiken im beschriebenen Sinn - grundsätzlich nachvollziehbar. Die als wesentlich identifizierten Regelungen und Vorgaben legen den Rahmen und Aufgabenbereich der Compliance-Funktion fest und sind durch den Compliance-Beauftragten in die laufende Aufgabenerfüllung einzubeziehen. Mögliche Organisationsstrukturen der MaRisk Compliance-Funktion Organisationsmodell Aufsichtsrechtlicher Regelfall Die Rahmenbedingungen zur aufbauorganisatorischen Umsetzung der Compliance-Funktion können aus MaRisk abgeleitet werden. Generell sehen diese eine unabhängige und eigenständige Organisationseinheit vor. Allerdings sehen diese auch Ausnahmen, d. h. Abweichungen vom sogenannten Regelfall (vgl. Abbildung 3) vor. 9

10 Abbildung 3: aufsichtsrechtlicher Regelfall 20 Organisationsmodell Dezentrale Compliance Abbildung 4: Organisationsmodell Dezentrale Compliance 20 In Anlehnung an Compliance-Organisation und Hinweisgeberverfahren Praxisleitfaden des Bankenfachverband e.v., April

11 Aufbau zentrale oder dezentrale Compliance-Funktion? Der Aufbau einer zentralen Organisation ist generell für alle Institute geeignet. Als Vorteile einer zentralen Organisation sind u. a. folgende Punkte aufzuzählen:» Aufsichtsrechtlicher Regelfall kommt der Rolle von Compliance aus Sicht der BaFin am nächsten» Erzielbare Synergieeffekte durch Bündelung aller Beauftragten mit Compliance-Relevanz» Hohe Außenwirkung, da der Kunden- und Marktschutz betont und Interessenkonflikten vermieden werden, durch Trennung von Markt- und Kundenschutz von anderen internen Aufgaben und Zielen» Herausgehobene Bedeutung und hohe Glaubwürdigkeit (innen und außen, da Compliance als Top-Priorität wahrgenommen wird)» Einheitliche Methodik bei der Einschätzung vielfältiger Sachverhalte Als Nachteil können sich eventuell strukturelle Änderungen mit hohem Aufwand ergeben. Die dezentrale Organisation ist aufsichtsrechtlich nicht ausgeschlossen. Bei der dezentralen Organisation ist ein absoluter Vorteil die beratende Funktion der Compliance. Als Nachteile sind zu nennen:» Ineffizient durch Insellösungen, erzielt kaum Synergien» Rolle und Einfluss von Compliance ist eingeschränkt und nicht im Sinne der BaFin» Tendenziell erschwerter Informationsaustausch untereinander bzw. erhöhter Abstimmungsaufwand (z. B. muss dann die WpHG Compliance-Funktion nicht nur an den Vorstand, sondern parallel auch an die MaRisk Compliance-Funktion berichten) Im Sinne des Proportionalitätsgrundsatzes können Ausnahmen hinsichtlich der Größenordnung, des Umfangs der Geschäftstätigkeit sowie der Produkte, in denen das Institut tätig ist und im Rahmen der Größe und dem Aufgabenumfang der anderen Kontrolleinheiten können möglich und insbesondere kleinere Institute zweckmäßig sein. Organisationsmodell Anbindung an Risikocontrolling Die Anbindung an das Risikocontrolling ist eine gute Alternative zum aufsichtlichen Regelfall und vor allem für kleinere Institute geeignet. Vorteile sind u. a.» Schlankes Organisationsmodell» Stärkung der Evidenzfunktion von Compliance» Enger Informationsaustausch durch enge Zusammenarbeit von Compliance und Risikocontrolling» Zusätzliche Synergien durch Nutzung des gleichen Tools (z. B. Risk -Assessment)» Leiter Risikocontrolling ist für Compliance- Themen sensibilisiert 11

12 Abbildung 4: Organisationsmodel Anbindung an Risikocontrolling Nachteile:» Compliance ist organisatorisch und administrativ dem Risikocontrolling untergeordnet» Gefahr, dass die Unabhängigkeit und direkte Zuordnung der WpHG Compliance-Funktion zum Vorstand eingeschränkt ist» Compliance-Funktion ist in Compliance- Fragen nicht weisungsgebunden. Dies könnte einen Konflikt darstellen. Organisationsmodell Outsourcing Eine Auslagerung ist grundsätzlich zulässig, jedoch sind die Anforderungen des 25a II KWG/MaRisk AT 9 zu erfüllen. Vorab ist eine Wesentlichkeitsanalyse durchzuführen. Sofern diese als wesentliche Auslagerung qualifiziert wurde, sind besondere Anforderungen zu erfüllen, z. B. Vertragsgestaltung. Als Vorteile sind zu nennen:» Hohe Fachkompetenz des Auslagerungsunternehmens» Verlagerung von Verantwortung und ggf. Haftung» Planbare Kosten Nachteile können z. B. sein:» Umfangreiche Abstimmung und Überwachung erforderlich» Wenig unternehmensspezifisches Wissen 12

13 Abbildung 5: Organisationsmodell Outsourcing Auswirkungen auf die Bankorganisation: AT 8.2 wurde inhaltlich neu gefasst: Vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen hat das Institut die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren. Die BaFin fordert hier ausdrücklich Prüfungen, die entsprechend zu dokumentieren sind. Die Herausforderung hierbei ist, dass sich Veränderungen in der Aufbau- und Ablauforganisation an den verschiedensten Stellen ergeben und unterschiedliche Auslöser haben können. Umso wichtiger ist die enge Abstimmung und Kommunikation mit der Compliance-Funktion beim Neu-Produkt-Prozess (NPP) als auch bei Änderungen in der Aufbau- und Ablauforganisation sowie in IT-Systemen. Ausblick auf anstehende erneute MaRisk Novelle Die derzeitigen Diskussionen um die nächste MaRisk-Novelle behandeln auch die Vereinheitlichung des Risikoreportings. Dies würde bedeuten, dass die MaRisk Compliance-Funktion noch stärker in den Vordergrund rückt und im Rahmen ihrer Klammerfunktion die Compliancerelevante Risikoberichterstattung qualitativ weiter verbessern wird. Die weitere Diskussion sollte insbesondere auch unter dem oben genannten Aspekt verfolgt werden. 13

14 Die Autoren RA Hartmut T. Renz, Counsel, Kaye Scholer LLP, Frankfurt am Main Silvia Rohe, Geschäftsführerin, Creditreform Compliance Services GmbH, Neuss Der Beitrag ist zuerst erschienen in der Zeitschrift die bank 3/2014, S und im bank&compliance-newsletter 3/2014, S Quick Check: MaRisk-Compliance Mit der 4. Novelle der MaRisk vom 14. Dezember 2012 standen wichtige Änderungs- und Umsetzungsanforderungen an, die bis zum umzusetzen waren. Die neuen MaRisk stärken die Funktion des Risikomanagements und der Compliance im Unternehmen entscheidend und die Implementierung einer umfassenden Compliance-Funktion ist nunmehr ausdrücklich aufsichtsrechtlich vorgeschrieben. Doch hat Ihr Unternehmen die Anforderungen erfüllt? Machen Sie unseren MaRisk-Compliance Quick Check online! Weitere Informationen erhalten Sie bei: Stephanie Neumann Consultant Compliance Betriebswirtin (VWA) Tel.: + 49 (0) s.neumann@creditreform-compliance.de 14

15 Die 4. EU-Geldwäscherichtlinie kommt Die Financial Action Task Force (FATF) hat 2012 ihre 40 Empfehlungen zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung aktualisiert. Die EU ist dazu verpflichtet den regulatorischen Rahmen anzupassen und so legte die Europäische Kommission am 5. Februar 2013 Vorschläge für eine 4. Geldwäscherichtlinie vor. Darin sind allerdings auch gewonnene Erfahrungen der letzten Jahre und Bedrohungsszenarien durch Geldwäsche und Terrorismusfinanzierung enthalten. Nach der Verabschiedung der neuen Richtlinie, obliegt es den EU-Mitgliedsstaaten diese in nationale geldwäscherechtliche Regelungen umzusetzen. Die Schwerpunkte der 40 Empfehlungen der FATF» Allgemeine Änderungen, u.a.» Klarere Anforderungen und Neustrukturierung» Integration der 9 Sonderempfehlungen zur Terrorismusfinanzierung» Risikogestützter Ansatz» Erstellung einer Risikoanalyse (gilt auch für Nicht-Finanzunternehmen)» Einrichtung einer Koordinierungsstelle der nationalen Strategie zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung» Korruptionsverhinderung (Einbeziehung inländischer PEPs und PEPs internationaler Organisationen)» Erweiterung des Vortatenkatalogs der Geldwäsche um Steuerstraftaten» Erhöhung der Transparenz Wesentliche Neuerungen der 4. Geldwäscherichtlinie 1. Risikobasierter Ansatz Der risikobasierte Ansatz zielt auf die Identifizierung und Kategorisierung von Geldwäscheund Terrorismusfinanzierungsrisiken und die Adressierung der identifizierten Risiken durch Einrichtung angemessener Kontrollen ab. Er soll konsequent von allen Verpflichteten und in den Mitgliedsstaaten faktengestützt angewandt werden. Eine bessere Vernetzung der Einzelmaßnahmen soll durch einen gezielten Austausch von Informationen auf nationaler und internationaler Ebene sichergestellt werden. 2. Vereinfachte Sorgfaltspflichten Die Mindestvorgabe soll sein, dass Verpflichtete Transaktionen oder Geschäftsbeziehungen in einem Umfang überwachen müssen, der die Aufdeckung ungewöhnlicher oder verdächtiger Transaktionen ermöglicht. So eine Untersuchungspflicht besteht auch schon nach aktueller 15

16 Rechtsgrundlage in Deutschland für Kredit- und Finanzdienstleistungsinstitute ( 25h Abs. 3 KWG) bzw. auch für alle anderen Verpflichteten ( 6 Abs. 2 Nr. 3 GwG). 3. Ausweitung des Geltungsbereichs der Richtlinie Momentan werden Personen, die gewerblich mit Gütern handeln, von der Richtlinie erfasst, wenn sie Barzahlungen von oder mehr entgegennehmen. Nun sollen sie bereits ab den Identifizierungspflichten nachkommen. Künftig soll die gesamte Glücksspielindustrie erfasst werden, so müssen Anbieter von Glücksspieldiensten die Sorgfaltspflichten bei Transaktionen ab erfüllen. Außerdem unterliegen Makler im Bereich der Immobilienvermietung (nicht nur bei Kauf/Verkauf von Immobilien) ebenfalls der neuen Richtlinie. 4. Aufbewahrung von personenbezogenen Daten Bislang beziehen sich die Fristen zur Aufbewahrung von personenbezogenen Daten im Geldwäschegesetz lediglich auf eine Mindestaufbewahrungsdauer. Künftig soll eine maximale Aufbewahrungspflicht eingeführt werden, welche fünf Jahre nach Beendigung der Geschäftsbeziehung beträgt. Diese kann jedoch auf zehn Jahr verlängert werden, wenn sie zu Zwecken der Verhinderung, Aufdeckung und Untersuchung von Geldwäsche und Terrorismusfinanzierung dient. 5. Politisch exponierte Personen (PEP) Künftig sollen auch Personen, die bei einer internationalen Organisation ein wichtiges Amt bekleiden einen PEP-Status erhalten. Verpflichtete sollen über angemessene risikobasierte Verfahren verfügen, die es ihnen ermöglichen, den PEP-Status auch hinsichtlich des wirtschaftlich Berechtigten festzustellen. Außerdem soll die Aufrechterhaltung des PEP- Status nach Amtsniederlegung von einem Jahr auf 18 Monate verlängert werden. 6. Wirtschaftlich Berechtigter Neben den Verpflichteten sollen alle Unternehmen verpflichtet werden, angemessene, präzise und aktuelle Angaben zu den an ihnen wirtschaftlich Berechtigten (wb) vorzuhalten. Auf Anfrage sollen diese Informationen den zuständigen Aufsichtsbehörden rechtzeitig zur Verfügung gestellt werden. 7. Erweiterte Sanktionsbefugnisse Es ist vorgesehen, dass die verwaltungsrechtlichen Sanktionen im stärkeren Maße vereinheitlicht werden, deswegen enthält die Richtlinie einen Katalog von Sanktionen, die die Mitgliedsstaaten für systematische Verstöße gegen zentrale Vorschriften der Richtlinie vorsehen sollen. Zu den zentralen Vorschriften zählen u.a. Identifizierungs-, Berichts- und Meldepflichten, Aufzeichnungs- und Aufbewahrungspflichten. Einige dieser Änderungen wurden bereits durch das Gesetz zur Optimierung der Geldwäscheprävention (GwOpt) in nationales Recht umgesetzt. 16

17 Wozu braucht die Welt einen Inhouse Unternehmensjuristen? Das Schöne für Führungskräfte bei einem Inhouse Unternehmensjuristen ist, dass diese auf Lücken aktiv aufmerksam machen. Ohne Unternehmensjurist / Rechtsabteilung ist der Geschäftsführer verpflichtet alle rechtlichen Lücken selbst zu sehen und zu schließen. Das Dumme daran ist nur, dass er gar nicht weiß, wo all seine rechtlichen Lücken sind. Jura ist wie ein Mienenfeld, über das der Geschäftsführer jeden Tag hinweggeht, ohne zu wissen, was passieren könnte. Geht jedoch eine Miene hoch, haftet der Geschäftsführer mit seinem Privatvermögen. Unternehmensjuristen sind Spezialisten, die einerseits Juristen und andererseits Manager sind. Ihnen ist das wirtschaftliche Denken vertraut. Der gesamte Ablauf im Unternehmen wird durch diese Juristen gefiltert und sie gehen pro aktiv - als Manager - auf die Führungskräfte im Unternehmen zu und empfehlen Schutzmaßnahmen, einzuführende Prozesse und Schulungen (z.b. zum AGG, Kartellrecht, Vertragsrecht). Es macht Sinn, dass der Vertrieb den Unterschied zwischen Garantie und Gewährleistung kennt oder weiß, wie gefährlich kreuzende AGB sind. Lieferungen auf Zuruf dürfen nicht stattfinden. Der Geschäftsführer sollte 43 II GmbHG kennen, danach haften Geschäftsführer, welche ihre Obliegenheiten verletzen, solidarisch für den entstandenen Schaden. Man braucht Inhouse Unternehmensjuristen: 1. Um das Unternehmen vor Schäden zu bewahren (Existenz). 2. Um die Führungskräfte möglichst vor Haftung (ggf. mit ihrem privaten Vermögen) zu schützen. 3. Um die Führungskräfte möglichst vor dem Verlust ihrer Position zu bewahren. Das LG Berlin hat entschieden: Ein unzureichendes Risikomanagement ist bereits ein wichtiger Grund für die außerordentliche Kündigung eines Vorstandes. Compliance beschreibt die Verpflichtung, Regeln für die Überwachung eines Unternehmens zu etablieren ( Risikomanagementsystem ). Zum Aufbau einer Compliance-Struktur ist die Benennung eines Compliance-Officers erforderlich, dies ist meist der Unternehmensjurist oder der Finanzmanager. Haftungsprozesse gegen Organe waren früher selten, dies hat sich geändert u.a. bedingt durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). 17

18 Die Haftung eines Organmitgliedes bestimmt sich u.a. nach folgenden Kriterien:» Verantwortungsbewusstsein» Orientierung am Unternehmenswohl» Sorgfältige Ermittlung der Entscheidungsgrundlagen Eine Haftung wird von der Rechtsprechung z.b. auch angenommen, wenn aus der Sicht eines ordentlichen Geschäftsleiters ein hohes Risiko besteht und er es eingeht, ohne dafür vernünftige wirtschaftliche Gründe zu haben (s. BGH, ZIP 2005, 981 ff). Daraus resultiert ein gestiegenes Bedürfnis nach 1. Organmitglieder gegen eine Haftung durch eine D&O-Versicherung (Vermögenshaftpflicht für Geschäftsführer) abzusichern und 2. dem Aufbau einer Compliance-Organisation Vorsicht: Der Compliance-Officer haftet persönlich. Auch er sollte in eine D&O einbezogen sein und weitere Schutzmaßnahmen ergreifen. Compliance-Officers sollten sich hier - im eigenen Interessen - tunlichst kundig machen. Haftungsbeispiele sind z.b.:» Schäden wegen Mängeln bei der» Organisation des Unternehmens» Aufsichtspflicht der Mitarbeiter und Kollegen hinsichtlich ihrer Erfüllung rechtlicher Verpflichtungen» Produktherstellung (Produkthaftung). In China wurde bereits ein chinesischer Manager zur Todesstrafe aus Produkthaftung verurteilt. D&O übernimmt auch die Rechtskosten wie z.b.: Anwalts- und Gerichtskosten, Sachverständigengutachten, Wie sieht nun der Alltag in Unternehmen aus? Wie schön nun, wenn ein Unternehmen einen Unternehmensjuristen hat, an den alle Abteilungen ihre Rechtsfragen weiterleiten. Der Unternehmensjurist erarbeitet Entscheidungsvorlagen, informiert über neue Gesetzte, berät das Unternehmen hinsichtlich bestehender Gesetze (z.b. Datenschutz/ Datenschutzbeauftragter) usw. Bei Unternehmen ohne Unternehmensjuristen sieht das ganz anders aus: Alle Abteilungen leiten ihre Rechtsfragen an die Geschäftsführung weiter oder klären sie selber. Die Geschäftsführung leitet Fragen an einen externen Anwalt weiter oder nicht. Risiko: Wer initiiert hier Maßnahmen für Risiken, die nur ein pro-aktiver Unternehmensjurist, bei Ihnen vor Ort, sehen kann? 18

19 Wer schließt hier Lücken, z.b. unterschreibt Ihre Sekretärin wie ein Geschäftsführer, da eine Unterschriftsregelung fehlt? Wer erarbeitet Ihnen Entscheidungsvorlagen im Rechtsbereich? Unternehmensabläufe bilden ein Risiko: z.b. AGB werden zu spät - erst mit der Rechnung versandt. Geschenke an Dritte könnten laut 299 StGB eine Bestechung darstellen. Es gibt in einem kleinen Unternehmen grundsätzlich den gleichen Bedarf, wie in großen Unternehmen (nur in zeitlich kleinerem Umfang). Ein Geschäftsführer macht sich grundsätzlich bei Pflichtverletzungen (z.b. Verstoß gegen Treuepflichten, Missmanagement) schadensersatzpflichtig. Im Schadensfall wird durch die Beweislastumkehr sein Verschulden vermutet ( 43 II GmbHG:...Geschäftsführer...haften der Gesellschaft... ). Was tun? 1. Ein Rechts-Audit durchführen 2. Eine juristische Risiko-Check-Liste anlegen und abarbeiten. Einfach anfangen! Die Autorin Carmen Felsing ist Rechtsanwältin und berät Unternehmen bezüglich Zivil-, Handels-, Gesellschafts-, Internet-, Software-, Wettbewerbs-, Produkthaftungs-, Datenschutzund Insolvenzrecht. carmen.felsing@rechtundmanagement.de 19

20 Termine Seminar für Leasing- und Factoringinstitute: Compliance-Funktion nach MaRisk Herausforderungen & praktische Umsetzung (Zusatztermin) Mit der 4. Novelle der MaRisk vom 14. Dezember 2012 stehen wichtige Änderungs- und Umsetzungsanforderungen an, die bis zum umzusetzen sind. Die neuen MaRisk stärken die Funktion des Risikomanagements und der Compliance im Unternehmen entscheidend und die Implementierung einer umfassenden Compliance-Funktion wird nunmehr ausdrücklich aufsichtsrechtlich vorgeschrieben. Seminarziel Das Seminar zeigt Ihnen die Herausforderung und die praktische Umsetzung der neuen Ma- Risk Compliance-Funktion auf. Das Proportionalitätsprinzip der MaRisk gibt Ihnen einigen Spielraum bei der Umsetzung. Wir zeigen Ihnen konkret die Gestaltungsmöglichkeiten auf und geben Ihnen ein Instrumentarium an die Hand, das es ermöglicht die MaRisk Compliance-Funktion in Ihrem Hause praktisch umzusetzen. Seminarinhalte» Überblick 4. MaRisk Novelle: Rechtliche Grundlagen und Abgrenzung» Ausgestaltung und Aufgabenspektrum der Compliance-Funktion» Aufbau- und Ablauforganisation» Schaffung einer Compliance-Kultur» Praktische Umsetzung der Anforderungen (z.b. Risikoinventur) Den Seminarteilnehmern wird die Gelegenheit zu praxisnahen Übungen und zum Erfahrungsaustausch gegeben. Referenten Teilnahmegebühr 595,- zzgl. MwSt. Termin & Veranstaltungsort Datum: 08. Juli 2014 Uhrzeit: Uhr bis ca Uhr Anmeldeschluss: 27. Mai 2014 Veranstaltungsort: Düsseldorf Schriftliche Anmeldung Silvia Rohe ist Geschäftsführerin der Creditreform Compliance Services GmbH, Certified Compliance Professional (CCP) und Business Trainerin. Dr. Veronika Fischer ist seit 2009 Leiterin des Bereiches Risikomanagement sowie Prokuristin bei der Hannover Leasing Automotive GmbH. Seit 2010 doziert sie u.a. für die Themen MaRisk, und Risikomanagement Das Anmeldeformular und weitere Informationen finden Sie unter 20

21 Seminar Geldwäsche Aktuell (Zusatztermin) Momentan gibt es einige Änderungen im Bereich Geldwäscheprävention. So sind zum 01. Februar 2014 die neuen Auslegungs- und Anwendungshinweise der DK zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen erschienen. Außerdem hat das Bundesministerium der Finanzen in Zusammenarbeit mit der FIU Deutschland zum erstmals Auslegungshinweise zur Handhabung des Verdachtsmeldewesens ( 11 GwG) herausgegeben. Seminarziel Das Seminar bringt Sie auf den neusten Stand bezüglich Geldwäsche- und Betrugsprävention sowie Terrorismusfinanzierung. Wir informieren Sie über die aktuellen Entwicklungen und bieten Ihnen die Gelegenheit zu einem Erfahrungsaustausch. Seminarinhalte» Die neuen Auslegungs- und Anwendungshinweise der DK zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen» Zentrale Stelle für Geldwäsche- und Betrugsprävention» Ausführung durch Dritte» Verdachtsmeldung oder Strafanzeige» Abklärung von wirtschaftlich Berechtigten und PEP-Status» Die neuen Auslegungshinweise zur Handhabung des Verdachtsmeldewesens ( 11 GwG) des BMF» Sonstige strafbare Handlungen» Erkennungsmöglichkeiten von internem Betrug, Untreue und Korruption» Interne Recherchen» Vorbeugende Maßnahmen Die Teilnehmer können sich in einem offenen Forum untereinander austauschen. Referenten Teilnahmegebühr 595,- zzgl. MwSt. Termin & Veranstaltungsort Datum: 15. Juli 2014 Uhrzeit: Uhr bis ca Uhr Anmeldeschluss: 2. Juni 2014 Veranstaltungsort: Düsseldorf Schriftliche Anmeldung Silvia Rohe ist Geschäftsführerin der Creditreform Compliance Services GmbH, Certified Compliance Professional (CCP) und Business Trainerin. Ralf Inderwies ist seit Februar 2014 als Geldwäsche- Beauftragter der DI Deutsche Ingenico Holding GmbH u.a. zuständig für die easycash GmbH. Vorher war er über 13 Jahre Geldwäsche-Beauftragter einer Sparkasse. Das Anmeldeformular und weitere Informationen finden Sie unter 21

22 Impressum Herausgeber Hellersbergstraße Neuss Tel: Fax: Amtsgericht Neuss HRB 4213 USt-IdNr.: DE Geschäftsführung Silvia Rohe Redaktion, Layout und Satz Julia Mohr Weitere Autoren dieser Ausgabe Hartmut T. Renz, Silvia Rohe, Carmen Felsing Bildnachweis fotolia Redaktioneller Hinweis Die Beiträge sind urheberrechtlich geschützt und dürfen ohne ausdrückliche Genehmigung nicht verwendet oder vervielfältigt werden. Creditreform Compliance Services übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte. Namentlich gekennzeichnete Beiträge geben nicht unbedingt die Meinung des Herausgebers wieder. 22