Aktuelles aus der Welt der Corporate Governance. Köln,

Transkript

1 Aktuelles aus der Welt der Corporate Governance Köln,

2 Disclaimer Diese Präsentation ist von der Roland Eller Consulting GmbH erstellt worden. Eine Garantie für die Richtigkeit oder Vollständigkeit der Angaben kann die Roland Eller Consulting GmbH, trotz sorgfältiger Prüfung, nicht übernehmen und keine Aussage in dieser Präsentation ist als solche Garantie zu verstehen. Alle Meinungen geben die aktuelle Einschätzung des Verfassers wieder. Roland Eller Consulting GmbH haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit. Für einfache Fahrlässigkeit haftet Roland Eller Consulting GmbH außer im Falle der Verletzung des Lebens, des Körpers oder der Gesundheit nur, sofern wesentliche Vertragspflichten (Kardinalpflichten) verletzt werden. Die Haftung ist begrenzt auf den vertragstypischen und vorhersehbaren Schaden. Die Haftung für mittelbare und unvorhergesehene Schäden, entgangenen Gewinn, ausgebliebene Einsparungen und Vermögensschaden wegen Ansprüchen Dritter, ist im Falle einfacher Fahrlässigkeit außer im Falle der Verletzung des Lebens, des Körpers oder der Gesundheit ausgeschlossen. Soweit die Haftung ausgeschlossen oder beschränkt ist, gilt dies auch für die persönliche Haftung der Angestellten, Vertreter, Organe und Erfüllungsgehilfen der Roland Eller Consulting GmbH. Die vorliegend veröffentlichten Inhalte unterliegen dem deutschen Urheber- und Leistungsschutzrecht. Jede vom deutschen Urheber- und Leistungsschutzrecht nicht zugelassene Verwertung bedarf der vorherigen schriftlichen Zustimmung der Roland Eller Consulting GmbH. Dies gilt insbesondere für Vervielfältigung, Bearbeitung, Übersetzung, Einspeicherung, Verarbeitung bzw. Wiedergabe von Inhalten in Datenbanken oder anderen elektronischen Medien und Systemen. Inhalte und Rechte Dritter sind dabei als solche gekennzeichnet. 2

3 Roland Eller Consulting Training Roland Eller Training bietet seit mehr als 20 Jahren Seminare für Vorstände und Spezialisten zu den Themen Gesamtbanksteuerung und Risikomanagement an. Die Trainings und Workshops sind auf hohe Praxisnähe und Aktualität angelegt. Consulting Das Roland-Eller-Team unterstützt seine Kunden bei betriebswirtschaftlichen und aufsichtsrechtlichen Fragestellungen gleichermaßen. Hierbei kommt den Kunden ein umfangreicher Erfahrungsschatz aus zahlreichen Projekten und einem engen Kontakt zur Bankenaufsicht zugute. Asset Management Die Gesellschaft verwaltet erfolgreich seit 2002 für Kunden, die überwiegend aus dem Sparkassensektor kommen, Spezial- Sondervermögen, Zertifikate sowie Direktanlagen als Advisor. Das Management setzt bei der Verwaltung der ihm anvertrauten Vermögen auf einen systematisierten Investmentprozess Die Roland Eller Asset Management Consulting GmbH ist von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zugelassen. 3

4 Übersicht EU-Grünbuch zur Corporate Governance in Finanzinstituten Rahmenwerk einer guten Corporate Governance Vom IKS über die Schaffung einer Risikokultur bis zur effizienten Aufsichtsorganarbeit Gute Corporate Governance Formalismus oder echter Mehrwert? 4

5 Zum Einstieg Viele Banken und Sparkassen haben das Gefühl, dass sich etwas zusammenbraut 5

6 Zum Einstieg Was ist ein Grünbuch? Quelle: Wikipedia 6

7 Zum Einstieg Einige Grünbücher zur Corporate Governance der Europäischen Kommission Das Kommuniqué der G20-Finanzminister und Zentralbankgouverneure vom betonte, dass Maßnahmen ergriffen werden sollten, um nachhaltiges Wachstum zu gewährleisten und ein solideres internationalen Finanzsystem aufzubauen Corporate Governance in Finanzinstituten und Vergütungspolitik Brüssel am , KOM(2010) 284 endgültig Europäischer Corporate Governance-Rahmen Brüssel, KOM(2011) 164/3 Bei der Corporate Governance handelt es sich um ein Mittel, mit dem schädliches kurzfristiges Denken und das Eingehen allzu großer Risiken eingedämmt werden können Unter Corporate Governance versteht man in der Regel das System, nach dem Unternehmen geführt und kontrolliert werden, sowie eine Reihe definierter Beziehungen zwischen der Führung und dem Leitungsorgan Leitungsorgan eines Unternehmens sowie zu seinen Aktionären und sonstigen Akteuren 7

8 Das System der Corporate Governance. und nun die konkrete Umsetzung Gravierende Pflichtverletzungen können strafrechtliche Folgen haben Quelle: Handelsblatt,

9 Das System der Corporate Governance Gravierende Pflichtverletzungen können strafrechtliche Folgen haben 48b Bestands- und Systemgefährdung Quelle: Gesetzentwurf der Bundesregierung Quelle: Gesetzesbegründung (1) Bestandsgefährdung ist die Gefahr eines insolvenzbedingten Zusammenbruchs des Kreditinstituts für den Fall des Unterbleibens korrigierender Maßnahmen. Eine Bestandsgefährdung wird vermutet, wenn 1. das verfügbare Kernkapital das nach 10 Absatz 1 erforderliche Kernkapital zu weniger als 90 v. H. deckt; 2. das modifizierte verfügbare Eigenkapital die nach 10 Absatz 1 erforderlichen Eigenmittel zu weniger als 90 v. H. deckt; 3. die Zahlungsmittel, die dem Institut in einem durch die Rechtsverordnung nach 11 Absatz 1 Satz 2 definierten Laufzeitband zur Verfügung stehen, die in demselben Laufzeitband abrufbaren Zahlungsverpflichtungen zu weniger als 90 v. H. decken oder 4. Tatsachen die Annahme rechtfertigen, dass eine Unterdeckung nach den Nummern 1, 2 oder 3 eintreten wird, wenn keine korrigierenden Maßnahmen ergriffen werden; dies ist insbesondere der Fall, wenn nach der Ertragslage des Instituts mit einem Verlust zu rechnen ist, infolgedessen die Voraussetzungen der Nummern 1, 2 oder 3 eintreten würden. 9

10 Das System der Corporate Governance Gravierende Pflichtverletzungen können strafrechtliche Folgen haben Quelle: FAZ

11 Von Basel über Brüssel nach Berlin - Eine erste Einordnung Das 3-Säulen-Konzept der Bankenaufsicht Bundestag / BaFin (maßgeblich für alle deutschen Institute) MaRisk KWG EU-Parlament / EBA (maßgeblich für alle Institute in der EU) CRR (unmittelbar in den Instituten der Mitgliedsländer anzuwenden) Technische Regulierungsstandards, technische Durchführungsstandards, Leitlinien (unmittelbar in den Instituten der Mitgliedsländer anzuwenden) CRD IV CRR (unmittelbar in den Instituten der Mitgliedsländer anzuwenden) Baseler Ausschuss (maßgeblich für international tätige Institute) Säule 1 Mindestkapitalausstattung / Liquiditätsausstattung Säule 2 Bankaufsichtlicher Überprüfungsprozess (SRP) Säule 3 Offenlegung Quantität Qualität Transparenz Gesellschaften reagieren auf Krisen durch Steigerung ihrer Komplexität und versucht dadurch ihre Probleme zu bewältigen (z.b. MaRisk, Basel III) Jede Investition in Form von Ressourcen meist Energie oder Geld erzielt weniger Ergebnis als die vorherige Investition 11

12 Von Basel über Brüssel nach Berlin - Eine erste Einordnung Banken-Regulierung im Focus der Presse 12

13 Basel III Gesamte Eigenkapitalanforderungen Die neue Welt in der EU Quelle: Deka-Bank, Basel III, Umsetzung in der EU über CRD IV/CRR, 03. April

14 14 Basel III

15 Bankenaufsicht: Fristentransformation 15% des Gesamtergebnisses aus Fristentrafo hält die Bundesbank für zu hoch. Alternative der Bundesbank: Kosten sparen, um im Kerngeschäft mehr zu verdienen Fragestellung betrifft offensichtlich nicht nur Sparkassen, sondern auch genossenschaftliche Institute (Aussage wurde bei einer Sparkassen- Konferenz getroffen, insofern Bezug auf die Sparkassen) Quelle: FTD

16 Das Eigenanlagenmanagement Produkte und Strategien Die Zinsentwicklung Quelle: 16

17 Das Eigenanlagenmanagement Situation an den Finanzmärkten Aktuelle Wirtschaftssituation Situation Zinsmarkt Möglicher Zielkorridor für einen kurzfristigen Renditeanstieg! Stand:

18 Der Erklärungsversuch. Kalte Enteignung Quelle: 18

19 Herausforderungen im Überblick Risiken Risiken Risiken Risiken Risiken Risiken Erträge Erträge Erträge Erträge Erträge Erträge hek hek hek hek hek hek freie RDM freie RDM freie RDM freie RDM freie RDM freie RDM EK-Puffer Basel II Zinsschock (Rundschreiben BaFin) Anforderungen an RTF- Konzepte (Leitfaden BaFin) Qualitative Bankenaufsicht Reduzierung Fristentransformation (Rede S. Lautenschläger) Mindestkapitalanforderungen Basel III Herausforderungen für Banken und Sparkassen Japan-Szenario 19

20 Übersicht EU-Grünbuch zur Corporate Governance in Finanzinstituten Rahmenwerk einer guten Corporate Governance Vom IKS über die Schaffung einer Risikokultur bis zur effizienten Aufsichtsorganarbeit Gute Corporate Governance Formalismus oder echter Mehrwert? 20

21 Das System der Corporate Governance Was ist Corporate Governance? Corporate Governance ist ein Ordnungsrahmen für die Leitung und Überwachung von Unternehmen eine Grundordnung der allgemeinen Unternehmensverfassung die umfassende Verhaltenssteuerung aller diekt oder indirekt mit dem Unternehmen verbundenen Personen Ausdruck einer verantwortungsvollen Unternehmensführung, die sich u. a. durch eine funktionsfähige Leitung, das Wahren der Interessen verschiedener Gruppen (Eigentümer, Kunden, ), die zielgerichtete Zusammenarbeit der Unternehmensleitung und -überwachung, Transparenz in der Kommunikation, einen angemessenen Umgang mit Risiken und der Ausrichtung der Managemententscheidungen auf eine langfristige Wertschöpfung auszeichnet 21

22 Das System der Corporate Governance Einige Zitate aus dem Aktiengesetz. 107 Innere Ordnung des Aufsichtsrats (1) Der Aufsichtsrat hat nach näherer Bestimmung der Satzung aus seiner Mitte einen Vorsitzenden und mindestens einen Stellvertreter zu wählen. Der Vorstand hat zum Handelsregister anzumelden, wer gewählt ist. Der Stellvertreter hat nur dann die Rechte und Pflichten des Vorsitzenden, wenn dieser verhindert ist. (2) Über die Sitzungen des Aufsichtsrats ist eine Niederschrift anzufertigen, die der Vorsitzende zu unterzeichnen hat. In der Niederschrift sind der Ort und der Tag der Sitzung, die Teilnehmer, die Gegenstände der Tagesordnung, der wesentliche Inhalt der Verhandlungen und die Beschlüsse des Aufsichtsrats anzugeben. Ein Verstoß gegen Satz 1 oder Satz 2 macht einen Beschluß nicht unwirksam. Jedem Mitglied des Aufsichtsrats ist auf Verlangen eine Abschrift der Sitzungsniederschrift auszuhändigen. (3) Der Aufsichtsrat kann aus seiner Mitte einen oder mehrere Ausschüsse bestellen, namentlich, um seine Verhandlungen und Beschlüsse vorzubereiten oder die Ausführung seiner Beschlüsse zu überwachen. Er kann insbesondere einen Prüfungsausschuss bestellen, der sich mit der Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems sowie der Abschlussprüfung, hier insbesondere der Unabhängigkeit des Abschlussprüfers und der vom Abschlussprüfer zusätzlich erbrachten Leistungen, befasst. Die Aufgaben nach Absatz 1 Satz 1, 59 Abs. 3, 77 Abs. 2 Satz 1, 84 Abs. 1 Satz 1 und 3, Abs. 2 und Abs. 3 Satz 1, 87 Abs. 1 und Abs. 2 Satz 1 und 2, 111 Abs. 3, 171, 314 Abs. 2 und 3 sowie Beschlüsse, daß bestimmte Arten von Geschäften nur mit Zustimmung des Aufsichtsrats vorgenommen werden dürfen, können einem Ausschuß nicht an Stelle des Aufsichtsrats zur Beschlußfassung überwiesen werden. Dem Aufsichtsrat ist regelmäßig über die Arbeit der Ausschüsse zu berichten. (4) Richtet der Aufsichtsrat einer Gesellschaft im Sinn des 264d des Handelsgesetzbuchs einen Prüfungsausschuss im Sinn des Absatzes 3 Satz 2 ein, so muss mindestens ein Mitglied die Voraussetzungen des 100 Abs. 5 erfüllen. 22

23 Methodische Einführung früher heute Paradigmenwechsel im Risikomanagement partielle Sicht (MaH, MaK, MaIR ) quantitativer Fokus Berechnung der Mindestkapitalanforderungen Einhaltung Verlustobergrenze statistische Modelle kurzfristige Sichtweise (kurze Haltedauern & Empirien, Jahressicht ) ganzheitliche Sicht (integrativ, Gesamtbankbezug) qualitativer Fokus Denken in Prozessen Berücksichtigung zusätzlicher Informationen, eigene Wertungen und Einschätzungen (ggf. zusätzliche) Szenarien & hypothetische Betrachtungen Nachhaltigkeit gänzlich neue Anforderungen an Management und Experten MaRisk nicht nur als formelle Standards, sondern auch als kulturelle zentrale Frage in jeder Prüfung daher: Werden die MaRisk gelebt? 23

24 Qualitative Bankenaufsicht als permanente Herausforderung Anschreiben der BaFin.. entsprechen nach dem Urteil der Prüfer inzwischen ebenfalls den Erfordernissen und den Anforderungen der MaRisk.. Gleichwohl führte die Prüfung im Berichtsjahr insbesondere im Rahmen der vorgezogenen Prüfung des Risikomanagements und des Kreditgeschäfts wiederum zu einer Reihe von Feststellungen und Hinweisen, die nahezu alle geprüften Bereiche betreffen. und Defizite in der Organisation und Handhabung des Geschäftsbetriebs offenbaren. Ich nehme insbesondere die außergewöhnlich große Anzahl von Feststellungen und Anmerkungen in dem aktuellen Prüfungsbericht sowie die Tatsache, dass auch in den Vorjahren vom Jahresabschlussprüfer bzw. von den MaRisk-Prüfern Defizite in diesen Bereichen festgestellt und angemahnt worden sind zum Anlass, Sie nochmals nachdrücklich aufzufordern, den Bereichen Geschäftsorganisation und Risikomanagement die erforderliche Aufmerksamkeit zu widmen und durch geeignete Maßnahmen eine vollständige Einhaltung des 25a Abs. 1 KWG sowie der MaRisk umfassend und nachhaltig sicherzustellen..dabei bitte ich Sie, ausführlich auf die Maßnahmen im internen Kontrollsystem einzugehen. Soweit Sie einzelne Hinweise der Prüfer nicht aufgreifen, bitte ich dies kurz zu begründen. Anhand des nächsten Jahresabschlussberichts werde ich überprüfen, ob die im vorliegenden Prüfungsbericht aufgezeigten Mängel endgültig ausgeräumt worden sind und Ihr Institut ohne Einschränkungen über eine ordnungsgemäße Geschäftsführung im Sinne des 25a Abs. 1 KWG verfügt. 24

25 Feststellungen aus Prüfungsberichten der Deutschen Bundesbank Fünf Institute im Vergleich Institut 1 Institut 2 Institut 3 Institut 4 Institut 5 F F F F Beurteilung durch BaFin 25a KWG eingehalten 25a KWG eingehalten 25a KWG bei den F3- Feststellungen nicht eingehalten 25a KWG eingehalten 25a KWG nur bei Einschränkungen eingehalten und Missbilligung 25

26 Methodische Einführung Was beurteilt die Aufsicht? Standort Richtung 26

27 Das System der Corporate Governance Bausteine des Systems der Corporate Governance Im System der Corporate Governance gemäß MaRisk wirken mehrere Elemente zusammen: - die interne Revision und - das interne Kontrollsystem (IKS) mit seinen Bestandteilen o Aufbau- und Ablauforganisation, o Compliance-Funktion und o Risikocontrolling-Funktion. Die Interne Revision prüft prozessunabhängig die Wirksamkeit des IKS und seiner Bestandteile und achtet auf das reibungslose Zusammenwirken im Sinne einer guten Unternehmensführung. AT 1 Tz. 1 MaRisk: Das interne Kontrollsystem umfasst insbesondere eine Risikocontrolling-Funktion und eine Compliance-Funktion. 27

28 MaRisk-Anforderungen an das Compliance-Management Rolle und Bedeutung des IKS Unter IKS versteht man die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen, mit folgenden Aufgaben: Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art Bereitstellung vollständiger, genauer und aussagefähiger sowie zeitnaher Aufzeichnungen Förderung der betrieblichen Effizienz durch die Auswertung und Kontrolle der Aufzeichnungen Unterstützung der Befolgung der vorgeschriebenen Geschäftspolitik Die Risikocontrolling- und Compliance-Funktionen sind gemäß AT 1 Tz. 1 MaRisk Teil des IKS. Daher darf die Compliance-Funktion auch nicht in der Internen Revision angesiedelt werden. Die prozess- und tätigkeitsbezogenen Kontrollen als erste Verteidigungslinie im Three Lines of Defence -Modell sind nunmehr durch Aspekte der Compliance-Funktion zu erweitern und auf die übergreifende Abstimmung der Risiko- und Compliance-Kontrollinstanzen auszurichten. Damit nimmt die Compliance-Funktion direkten Einfluss auf die Gestaltung des IKS und ist daher bei der Neugestaltung von Geschäftsprozessen zu beteiligen (vgl. AT Tz. 1 und AT 8.2 MaRisk). 28

29 MaRisk-Anforderungen an das Compliance-Management Rolle und Bedeutung der Compliance-Funktion Die Compliance-Funktion wirkt Risiken entgegen, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können. Zu den Aufgaben der Compliance-Funktion gehört gemäß MaRisk Sorge zu tragen für die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen, die Unterstützung und Beratung der Geschäftsleitung hinsichtlich der Einhaltung dieser rechtlichen Regelungen und Vorgaben die Erstellung einer regelmäßigen Gefährdungsanalyse zur Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann die Erstellung von jährlichen und anlassbezogenen Berichten an die Geschäftsleitung (Weiterleitung an die interne Revision und das Aufsichtsorgan) über die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben, mit Angaben zu möglichen Defiziten und mit Maßnahmenvorschlägen. 29

30 MaRisk-Anforderungen an das Compliance-Management Rolle und Bedeutung der Risikocontrolling-Funktion Die Risikocontrolling-Funktion ist für die unabhängige Überwachung und Kommunikation der Risiken zuständig. Aufgaben der Risikocontrolling-Funktion sind gemäß AT MaRisk: Unterstützung der Geschäftsleitung in allen risikopolitischen Fragen, insbesondere bei der Entwicklung und Umsetzung der Risikostrategie sowie bei der Ausgestaltung eines Systems zur Begrenzung der Risiken; Durchführung der Risikoinventur und Erstellung des Gesamtrisikoprofils; Unterstützung der Geschäftsleitung bei der Einrichtung und Weiterentwicklung der Risikosteuerungs- und controllingprozesse; Einrichtung und Weiterentwicklung eines Systems von Risikokennzahlen und eines Risikofrüherkennungsverfahrens; laufende Überwachung der Risikosituation des Instituts und der Risikotragfähigkeit sowie der Einhaltung der eingerichteten Risikolimite; Erstellung von Risikoberichten; Verantwortung für die Prozesse zur unverzüglichen Weitergabe von unter Risikogesichtspunkten wesentlichen Informationen. 30

31 MaRisk-Anforderungen an das Compliance-Management Schnittstellen zwischen Compliance- und Risikocontrolling-Funktion Strategie und Planung Risikocontrolling beurteilt die aus den wesentlichen Geschäftsaktivitäten resultierenden Risiken und berücksichtigt diese in den Risikostrategien Compliance beurteilt das aus den Geschäftsaktivitäten resultierende rechtliche Risiko sowie das Reputationsrisiko und berät die Geschäftsleitung. Anpassungsprozesse Risikocontrolling und Compliance sind in die Konzepterstellung und die Testphasen eines Neu-Produkt-Prozesses einzubinden. Vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen sind die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität unter Mitwirkung von beiden Funktionen zu analysieren. Risikoinventur Berücksichtigung der Ergebnisse aus der Risikoanalyse der Compliance bei der Erstellung des Gesamtrisikoprofils durch das RC Risikobewertung Berücksichtigung der wesentlichen Compliancerisiken bei der Quantifizierung der operationellen Risiken zur Abbildung in der Risikotragfähigkeitsberechnung Aufbauund Ablauforganisation 31

32 MaRisk-Anforderungen an das Compliance-Management Schnittstellen zwischen Compliance- und Risikocontrolling-Funktion Berichtswesen Berücksichtigung des mindestens jährlichen Berichts der Compliancefunktion an die Geschäftsleitung, das Aufsichtsorgan und die Interne Revision über die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben Angaben zu möglichen Defiziten sowie Maßnahmen zu deren Behebung im jährlichen oprisk-bericht des Risikocontrollings. Einbeziehung anlassbezogener Compliance-Berichte in die unter Risikogesichtspunkten wesentlichen Informationen an die Geschäftsleitung, die jeweiligen Verantwortlichen und gegebenenfalls die Interne Revision. Erfassung eingetretener Compliance-Risiken in der oprisk-schadensfalldatenbank. Aufbauund Ablauforganisation Risikosteuerung gemeinsame Ableitung von Steuerungsimpulsen und Maßnahmen zur Steuerung von Risiken, die aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben resultieren 32

33 MaRisk-Anforderungen an das Compliance-Management Schnittstellen zwischen Compliance- und Risikocontrolling-Funktion Berichtswesen Berücksichtigung des mindestens jährlichen Berichts der Compliancefunktion an die Geschäftsleitung, das Aufsichtsorgan und die Interne Revision über die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben Angaben zu möglichen Defiziten sowie Maßnahmen zu deren Behebung im jährlichen oprisk-bericht des Risikocontrollings. Einbeziehung anlassbezogener Compliance-Berichte in die unter Risikogesichtspunkten wesentlichen Informationen an die Geschäftsleitung, die jeweiligen Verantwortlichen und gegebenenfalls die Interne Revision. Erfassung eingetretener Compliance-Risiken in der oprisk-schadensfalldatenbank. Aufbauund Ablauforganisation Risikosteuerung gemeinsame Ableitung von Steuerungsimpulsen und Maßnahmen zur Steuerung von Risiken, die aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben resultieren 33

34 MaRisk-Anforderungen an das Compliance-Management Weitere MaRisk-Anforderungen an die Compliance-Funktion gemäß AT Tz. 5: Den Mitarbeitern der Compliance-Funktion sind ausreichende Befugnisse und ein uneingeschränkter Zugang zu allen Informationen einzuräumen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Weisungen und Beschlüsse der Geschäftsleitung, die für die Compliance-Funktion wesentlich sind, sind ihr bekanntzugeben. Über wesentliche Änderungen der Regelungen, die die Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben gewährleisten sollen, sind die Mitarbeiter der Compliance-Funktion rechtzeitig zu informieren. Tz. 6: Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu möglichen Defiziten sowie zu Maßnahmen zu deren Behebung zu enthalten. Die Berichte sind auch an das Aufsichtsorgan und die Interne Revision weiterzuleiten. Tz. 7: Wechselt die Position des Compliance-Beauftragten, ist das Aufsichtsorgan zu informieren. 34

35 MaRisk-Anforderungen an das Compliance-Management Weitere Regelungen der MaRisk mit Bezug zur Compliance-Funktion AT 8.1 Neu-Produkt-Prozess Tz. 4: Sowohl in die Erstellung des Konzeptes als auch in die Testphase sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Im Rahmen ihrer Aufgaben sind auch die Risikocontrolling-Funktion, die Compliance-Funktion und die Interne Revision zu beteiligen. AT 8.2 Änderungen betrieblicher Prozesse und Strukturen Tz. 1: Vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen hat das Institut die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren. In diese Analysen sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Im Rahmen ihrer Aufgaben sind auch die Risikocontrolling-Funktion, die Compliance-Funktion und die Interne Revision zu beteiligen. AT 7.1 Personal Tz. 2: Die Mitarbeiter sowie deren Vertreter müssen abhängig von ihren Aufgaben, Kompetenzen und Verantwortlichkeiten über die erforderlichen Kenntnisse und Erfahrungen verfügen. Durch geeignete Maßnahmen ist zu gewährleisten, dass das Qualifikationsniveau der Mitarbeiter angemessen ist. Amtliche Erläuterung: Anforderungen an die Qualifikation bei besonderen Funktionen: Die mit der Leitung der Risikocontrolling-Funktion und der Leitung der Internen Revision betrauten Personen sowie der Compliance-Beauftragte haben besonderen qualitativen Anforderungen entsprechend ihres Aufgabengebietes zu genügen. 35

36 Exkurs: Das Three Lines of Defence -Modell Quelle: ZIR 2/2012 Die MaRisk im Kontext des Three Lines of Defence -Modells Quelle: BaFin 36

37 Exkurs: Das Three Lines of Defence -Modell Erweiterung der 2. Verteidigungslinie durch neue Compliance- Anforderungen MaRisk-Anforderungen AT 4.3 AT 4.4.1/2 AT BTO BTR BT 2 Risikocontrolling (AT 4.4.1) unabhängige Überwachung und Kommunikation der Risiken Compliance (AT 4.4.2) Risiken entgegenwirken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können 37

38 MaRisk-Anforderungen an das Compliance-Management Was ist Whistle-Blowing? Gesetzliche Grundlage: Whistle-Blowing wird Bestandteil der ordnungsgemäßen Geschäftsorganisation gemäß 25a KWG werden: Quelle: Auszug aus 25a KWG (Entwurf des CRD IV-Umsetzungsgesetzes vom ) Ziel: Ziel jedes Hinweisgebersystems (Whistle-Blowing-Systems) ist, das intern und extern vorhandene Wissen der Mitarbeiter und Dienstleister (z. B. Lieferanten) zu nutzen, um Straftaten und Normverstöße frühzeitig zu entdecken und aufzuklären. 38

39 Organisatorische Gestaltungsmöglichkeiten Aufgabenteilung zwischen Compliance-Beauftragten, Revision und Vorstand Compliance Prävention Maßnahmen zur Vermeidung von Risiken aus der Nichteinhaltung rechtlicher Vorgaben Empfänger von Whistleblowing- Informationen Revision Deliktaufklärung Federführung bei der Aufklärung Vorstand Sanktionierung Durchführung personalrechtlicher Konsequenzen Änderung des betrieblichen Ordnungsrahmens ( lessons learned ) 39

40 Exkurs: Der neue 25c KWG 40

41 Überwachungsfunktion des Aufsichtsorgans Die Anforderungen steigen stetig an regelmäßig informieren ausreichend Zeit widmen sachkundig sein zuverlässig sein KWG-Novellen

42 Merkblatt zur Kontrolle der Mitglieder von Verwaltungs- und Aufsichtsorganen Anforderungen an die Sachkunde Bei den an Verwaltungs- und Aufsichtsorganmitglieder gestellten Anforderungen für die Ausübung der Tätigkeit werden insbesondere die Größe und systemische Relevanz des Unternehmens sowie Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten des Unternehmens berücksichtigt ( anzuwendende Kriterien ). Die Sachkunde der Mitglieder von Verwaltungs- und Aufsichtsorganen muss in einem angemessenen Verhältnis zu den anzuwendenden Kriterien stehen. höhere Anforderungen auch bei einem kleinen Unternehmen, wenn es komplexe oder höher risikobehaftete Geschäftsaktivitäten hat! Hintergrund: sachgerechte Erörterung der Strategien kompetente Überwachung der Risikoberichte und ad hoc-berichte zutreffende Beurteilung von Feststellungen der internen und externen Revision Bei kapitalmarktorientierten Kapitalgesellschaften im Sinne von 264d HGB muss gem. 100 Abs. 5 AktG mindestens ein unabhängiges Mitglied des Aufsichtsrats über Sachverstand auf den Gebieten Rechnungslegung oder Abschlussprüfung verfügen. Auch bei anderen Unternehmen muss die Zusammensetzung des Verwaltungs- oder Aufsichtsorgans gewährleisten, dass es seine Kontrollfunktion wahrnehmen kann. Aufsichtsorgan als Kollegialorgan, das seine Funktion in der Summe seiner Mitglieder wahrnimmt 42

43 Merkblatt zur Kontrolle der Mitglieder von Verwaltungs- und Aufsichtsorganen Erwartungen an den zeitlichen Einsatz Die Mitglieder von Verwaltungs- und Aufsichtsorganen müssen ihren Pflichten jederzeit nachkommen. Das erfordert insbesondere, dass sie die Geschäftsstrategie und Risikosituation des Unternehmens beobachten und sich ein Urteil darüber bilden. Das Mandat wird nicht nur während der Sitzung ausgeübt, sondern jederzeit Jeder Mandatsträger muss die Entwicklung selbst beobachten und sich selbst ein Urteil darüber bilden (u. a. Auswertung der Berichte über die Geschäfts- und Risikoentwicklung sowie Berichte der internen und externen Revision) Hieraus folgt, dass die Mandatsträger neben der Teilnahme an den Sitzungen und deren Vorbereitung das Unternehmen, insbesondere bei einer erheblichen Änderung der Risikosituation, auch zwischen den Sitzungen begleiten. Dazu sind insbesondere folgende Anforderungen der MaRisk maßgebend: AT 1 Tz. 1 (Generalnorm zur Einbindung des Aufsichtsorgans), AT 4.2 Tz. 5 (Erörterung der Strategien), AT Tz. 6 (Information über die Risikosituation), AT 4.4 Tz. 2 (Einholung von Auskünften bei der Internen Revision) und BT 2.4 Tzn. 5 und 6 (Information über schwerwiegende Feststellungen durch die Interne Revision). 43

44 Merkblatt zur Kontrolle der Mitglieder von Verwaltungs- und Aufsichtsorganen Erwartungen an den zeitlichen Einsatz Um sachgerechte Beschlüsse fassen zu können, müssen sich die Mitglieder von Verwaltungs- und Aufsichtsorganen beispielsweise mithilfe von Sitzungsunterlagen bereits vor einer Sitzung auf diese vorbereiten. Die Vorbereitung setzt sowohl einen zeitlich und örtlich angemessenen Rahmen als auch hierfür inhaltlich und mengenmäßig geeignete Unterlagen voraus. Insoweit bedürfen die Mitglieder von Verwaltungs- und Aufsichtsorganen der Unterstützung des von ihnen beaufsichtigten Unternehmens. Vorlagen sollen nur in begründeten Ausnahmefällen erst in der Sitzung selbst verteilt werden. die Vorbereitung auf die Sitzung wird vorausgesetzt hoher Informationsgehalt der Unterlagen rechtzeitige Bereitstellung der Unterlagen angemessener örtlicher Rahmen Unterlagenbereitstellung erst zum Sitzungsbeginn ist die absolute Ausnahme Die Vor- und Aufbereitung von Sitzungsunterlagen ausschließlich durch Mitarbeiter des Mandatsträgers ist nicht ausreichend. die Vorbereitung muss höchstpersönlich erfolgen Zuarbeiten durch Mitarbeiter des Mandatsträgers sind aber möglich 44

45 Merkblatt zur Kontrolle der Mitglieder von Verwaltungs- und Aufsichtsorganen Erwartungen an den zeitlichen Einsatz Der Mandatsträger muss den Anforderungen an jede einzelne Tätigkeit gerecht werden und die Funktion umfassend persönlich ausüben. Dies setzt sowohl einen ausreichenden zeitlichen Einsatz als auch anlassbezogen eine aktive Inanspruchnahme des Auskunftsrechts durch das Aufsichtsorgan gegenüber der Geschäftsleitung voraus. Entsprechend 36 Abs. 3 Satz 4 KWG haben Mitglieder von Verwaltungs- und Aufsichtsorganen ihre Überwachungs- und Kontrollfunktion sorgfältig auszuüben, um wesentliche Verstöße der Geschäftsleiter gegen die Grundsätze einer ordnungsgemäßen Geschäftsführung zu entdecken und zu beseitigen. sich für das Mandat genügend Zeit nehmen sofern bereitgestellte Informationen nicht ausreichen: Auskunft von der Geschäftsleitung verlangen, Entwicklungen und Erläuterungen hinterfragen wesentliche Verstöße gegen die Grundsätze einer ordnungsgemäßen Geschäftsführung müssen erkannt und beseitigt werden 45

46 Exkurs: Die aktuelle KWG-Novelle Der neue 25d KWG Allgemeine Anforderungen an Mitglieder und das Gremium 46

47 Exkurs: Die aktuelle KWG-Novelle Gemäß 25d KWG (n. F.) im Aufsichtsorgan zu bildende Ausschüsse 47

48 Anforderungen an den Verwaltungsrat Bausteine einer wirksamen Überwachung anforderungsgerechte und wirksame Überwachung der Geschäftsführung Verantwortung aktiv auf die Beseitigung von beanstandeten Fehlentwicklungen hinwirken Sachkunde Sorgfaltspflicht fehlende Überwachungsinformationen einfordern kritisches Nachfragen eigenständige Urteilsbildung Verständnis der wirtschaftlichen und rechtlichen Abläufe Risikomanagement Funktion und Verantwortung des Aufsichtsorgans in Abgrenzung zum Vorstand Grundzüge der Bilanzierung Grundzüge des Aufsichtsrechts 48

49 Festlegung, Erörterung und Überwachung der Strategien Strategie-Controlling im Überblick AT 1 Tz. 1 MaRisk: Das Risikomanagement schafft eine Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktionen des Aufsichtsorgans und beinhaltet deshalb auch dessen angemessene Einbindung. AT 4.2 Tz. 1: Die Geschäftsleitung hat eine nachhaltige Geschäftsstrategie festzulegen, in der die Ziele des Instituts für jede wesentliche Geschäftsaktivität sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. AT 4.2 Tz. 3: Die Geschäftsleitung muss für die Umsetzung der Strategien Sorge tragen. Vorstand Festlegung der Strategien Umsetzung der Strategien AT 4.2 Tz. 5: Die Strategien sowie gegebenenfalls erforderliche Anpassungen der Strategien sind dem Aufsichtsorgan des Instituts zur Kenntnis zu geben und mit diesem zu erörtern. Die Erörterung erstreckt sich auch auf die Ursachenanalyse nach AT 4.2 Tz. 4 im Falle von Zielabweichungen. Erörterung der Strategien Aufsichtsorgan Vollständig? Umfassend? Bericht über Strategieumsetzung regelmäßiger Soll-Ist-Abgleich der Strategieerreichung Erörterung der Ursachenanalyse für Strategieabweichungen mit dem Aufsichtsorgan Überwachung der Geschäftsführung 49

50 Festlegung, Erörterung und Überwachung der Strategien Überwachungsfunktion des Aufsichtsorgans Vorstand Überwachung der Geschäftsführung Beurteilung der Strategiekonformität von grundlegenden Beschlüssen Entscheidungen von großer Tragweite Entsprechen die Geschäfte dem Unternehmenszweck, der Satzung, der Vision, der Strategie,? Kommt der Vorstand seiner Pflicht zur ordnungsgemäßen Geschäftsführung nach? Erkennung von übergroßen, existenzbedrohenden Risiken Beanstandung einzelner Entscheidungen Aufsichtsor gan Spannungsfeld: eigene Zweckmäßigkeitsüberlegungen versus unzulässiger Eingriff in die Geschäftsführungsbefugnis des Vorstands nötigenfalls Änderungen in der Geschäftsführung durchsetzen 50

51 Exkurs: Das COSO-ERM-Modell Zusammenhang zwischen IKS und Risikomanagementsystem Quelle: Oliver Bungartz, Handbuch IKS, Seite

52 Übersicht EU-Grünbuch zur Corporate Governance in Finanzinstituten Rahmenwerk einer guten Corporate Governance Vom IKS über die Schaffung einer Risikokultur bis zur effizienten Aufsichtsorganarbeit Gute Corporate Governance Formalismus oder echter Mehrwert? 52

53 Gelebte Risikokultur im Fokus Außergewöhnliche Umstände außergewöhnliche Maßnahmen! 53

54 Gelebte Risikokultur im Fokus Eine häufige Aussage, die so oder so ähnlich immer wieder auftaucht Die Feststellungen der Bundesbank-Prüfung sind komplett anders ausgefallen als in einem befreundeten Institut. Obwohl wir fast alles genauso machen mangelhafte Objektivität? keine klare Linie bei der Aufsicht? unterschiedliches Vorgehen durch verschiedene Prüfungsteams? Willkür? Was steckt dahinter? 54

55 Gelebte Risikokultur im Fokus Rein formale Umsetzung von MaRisk und IKS nicht gewollt Nach meinem Eindruck reduziert sich die Anwendung der Anforderungen des Moduls AT4.2 nur auf eine rein formale Umsetzung, um den Anforderungen der Aufsicht zu genügen (Anschreiben der BaFin zur MaRisk Konsultation, Juli 2010) IKS Grundsatz 3 des Baseler Bankenausschusses: Das oberste Verwaltungsorgan und die Geschäftsleitung sind dafür verantwortlich, hohe moralische Standards zu fördern und eine Firmenkultur zu etablieren, die den Mitarbeiterinnen und Mitarbeitern auf allen Ebenen die Bedeutung interner Kontrollen klar macht; sie alle müssen ihre Rolle [ ] kennen und voll in den Prozess einbezogen sein. Eine ausschließlich formale Umsetzung der MaRisk und des IKS sind nicht gewünscht und deshalb auch nicht möglich! Die Prüfung des 25a (Abs. 1) KWG durch die Aufsicht geht über die Fragen der Formal-Erfüllung hinaus! Die Bewertung der Umsetzungsgüte bedarf daher zwangsläufig einer Anwendung von Auslegungs- bzw. Ermessensspielräumen. Die MaRisk im Allgemeinen und das IKS im Besonderen sollen von den Instituten neben der formellen Ebene auch auf einer moralischen & kulturellen Ebene ausgefüllt werden! 55

56 Gelebte Risikokultur im Fokus MaRisk-Erfüllung ist wie Eiskunstlauf: Es gibt eine A-Note für den formellen Inhalt und eine B-Note für den kulturellen Wert des Auftritts*. *Die Note für die dargebotene (Risiko-)Kultur [ wird dabei jedoch nicht gesondert ausgewiesen. ] Kultur: lat.: cultura, abgel. von lat. colere : pflegen urbar machen ausbilden indogerm. Wurzel: kuel- (sich) drehen (sich) wenden emsig beschäftigt sein 56

57 Gelebte Risikokultur im Fokus Vom Modus der Quantitäten zum Modus der Qualitäten: objektivierbar hard facts Was ist objektiv vorhanden? Prozesse, Instrumente, Systeme, technische Ressourcen, Dokumentation soft facts Wie wird es gelebt und gepflegt? personelle Qualitäten, Verhalten, Einstellungen, Risikobewusstsein, Werte schwer objektivierbar 57

58 Gelebte Risikokultur im Fokus Handlungsoptionen: Aufsicht kann nur formell reagieren, aber Ermessensspielräume nutzen Wahrnehmung durch die Aufsicht MaRisk werden nicht gelebt rein formelle Umsetzung Bereich im gesamten Finanzsystem (viele Institute) im einzelnen Institut Anhaltspunkte auf Basis breiter Prüfungs- Erfahrungen objektiv feststellbar Gesamt- Eindruck aus Gesprächen / Prüfung Handlungsoptionen der Aufsicht Erhöhung / Konkretisierung der Anforderungen harte Feststellungen enge Auslegung von Ermessensspielräumen Konsequenzen erhöhter formeller Aufwand für das einzelne Institut ggf. überdurchschnittlich enge Leitplanken 58

59 Gelebte Risikokultur im Fokus Was trägt die Risikokultur im Unternehmen? Gelebte Prozesse Strategieumsetzung Ergebnisse Funktionierende Systeme zeigen sich nach außen Einstellungen & Werte Wahrnehmung & Reflexion Problem- Lösungsfähigkeit Fachliches Know How Teamwork & Kommunikation Ressourcen tragen von unten 59

60 Gelebte Risikokultur im Fokus häufige Schwächen aus formeller Sicht (objektiv feststellbar), Beispiele: Risikoidentifikation Risikobewertung Risikosteuerung Risikokommunikation Einflussfaktoren werden nicht gesehen unzureichende Annahmen über Entwicklungen Risikokonzentrationen nicht als solche bewertet Gefahren falsch eingeschätzt zu unkonkrete Ziele zu spät reagiert überreagiert (Erg. volatil) Maßnahmen nicht konsequent umgesetzt Ursachen und erforderliche Kompetenzen aus kultureller Sicht Infos unzulänglich kommentiert Aufsichtsgremium nicht informiert gegensätzl. Aussagen im Team Risikowahrnehmung Risikoeinschätzung Risikoverhalten Risikokommunikation selektive Wahrnehmung von Einflüssen Schutzfunktion des Gehirns Informationen richtig filtern Reflektíeren können Beurteilung auf Basis des eigenen Erfahrungsspektrums Erkennen subjektiver Bewertungsmuster objektivierte Sicht einnehmen können unbewusste Handlungsbereiche kennen (z.b. Routinen ) angemessen reagieren gut dosiert sicher entscheiden Bewusstsein für Informationsstand im Team relevante Informationen erkennen Gegenseitig aufmerksam machen und absichern Info-Fluss sicherstellen 60

61 Etablierung einer Corporate Governance Kultur am Beispiel Compliance Compliance Ziel oder Managementaufgabe? Compliance = Konformität mit Gesetzen, Regeln und allgemeinen (auch freiwilligen) Verpflichtungen Ziel oder Managementaufgabe? erreichter Zustand oder ständige Herausforderung? 61

62 Etablierung einer Compliance-Kultur Anforderungen des IDW PS 980 an die Compliance-Kultur Quelle: IDW 62

63 Etablierung einer Compliance-Kultur Welche Bedeutung hat ein Verhaltenskodex? Der Verhaltenskodex hat die Funktion eines Leitbildes, das allen MitarbeiterInnen das erwartete Verhalten beschreibt. Er ist damit das das Herzstück des Compliance- Programms und beschreibt z. B. die ethischen Grundsätze der Geschäftsleitung das Verhalten gegenüber Kunden und Lieferanten das Verhalten der MitarbeiterInnen gegenüber dem Arbeitgeber das Verhalten der MitarbeiterInnen gegenüber den KollegInnen eine Selbstverpflichtung gegenüber der Gesellschaft. Der Kodex bindet gleichzeitig auch die Geschäftsleitung, da sie nur dann ein zum Kodex konformes Verhalten verlangen kann, wenn sie dies selbst vorlebt. Die Dokumentation aller wesentlichen Bestandteile der angestrebten Compliance Kultur und der dazugehörigen Maßnahmen im Verhaltenskodex ist von großer Bedeutung, da es erfahrungsgemäß schwierig ist, im Nachhinein generelle oder Einzelmaßnahmen durchzusetzen. Sobald jedoch Themenkreise bereits im Vorfeld verankert sind und die Mitarbeiter hierüber entsprechend geschult werden, ist die Akzeptanz, sich gemäß dem Code zu verhalten, wesentlich größer als bei punktuellen Nachbesserungen zu einem späteren Zeitpunkt. Der Verhaltenskodex ist in regelmäßigen Abständen zu aktualisieren und den veränderten rechtlichen und tatsächlichen Gegebenheiten anzupassen. 63

64 Etablierung einer Compliance-Kultur Beispiel für ein Mission Statement Quelle: Freidank/Velte (Hrsg.) Corporate Governance, Abschlussprüfung und Compliance, S

65 Etablierung einer Corporate Governance-Kultur Fazit: Corporate Governance wird zukünftig noch stärker in den Focus der Bankenaufsicht geraten (z.b. KWG, MaRisk) Damit wird Corporate Governance mehr als zuvor zu einer der wichtigsten Managementaufgaben und damit Teil der Strategischen Unternehmensführung Für Vorstände, Führungskräfte, Mitarbeiter und das Aufsichtsorgan bedeutet dies eine Erweiterung der Perspektive von Was müssen wir beachten? um die Perspektive Wie wollen wir unsere Bank oder Sparkasse im regulatorischen, wettbewerblichen und gesellschaftlichen Umfeld aufstellen? und Wie, d.h. mit welchen Instrumenten und unter welchem finanziellen Aufwand wollen wir Corporate Governance umsetzen? Spannungsfeld zwischen dem Vermeiden von Risiken und Einhalten und Leben von Gesetzen und Normen einerseits und ökonomischen Zielgrößen (z. B. Betriebsergebnis vor/nach Bewertung, CIR) andererseits Die neuen vertiefenden Anforderungen an die Corporate Governance sollten nicht als notwendiges Übel angesehen werden, sondern als Chance und Herausforderung zur langfristen und nachhaltigen Existenzsicherung in einem rauen Umfeld mit makroökonomischen Umfeld mit niedrigen Zinsen, geändertem Kundenverhalten und aufsichtsrechtlichen steigenden Anforderungen 65

66 Kontakt Unser Team Ihre Ansprechpartner Roland Eller Consulting GmbH Alleestraße Potsdam Telefon: 0331 / Telefax: 0331 / Roland Eller Geschäftsführer Telefon 0177 / roland.eller@rolandeller.de Markus Heinrich Geschäftsführer Telefon 0163 / markus.heinrich@rolandeller.de Matthias Kurfels Senior-Berater Telefon 0163 / matthias.kurfels@rolandeller.de Daniel Storch Senior-Berater Telefon 0178 / daniel.storch@rolandeller.de Audrey Benke Organisation Telefon 0331 / audrey.benke@rolandeller.de 66