Timo Boldt Berlin, 7. Mai Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Transkript

1 Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v

2 Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und Diskussion 2

3 Agenda 1. Einleitung Kurzportrait der Fürstlich Castell schen Bank Entwicklung von Compliance 2. Umsetzung der MaRisk-Compliance 3. Ausblick und Diskussion 3

4 4

5 5

6 6

7 Compliance-Organisation Akzeptanz von Compliance Die Entwicklung von Compliance (1/2) Die Entwicklung vom Repräsentanten zum Diplomaten 1 Derzeitiger Marktstandard Zielbild 2014 ff. I II III IV Zeit Kostenminimierung Wenig Personal Ausschließlich repräsentative Aufgaben Vielzahl an Vorgaben und Richtlinien Kein Compliance- Bewusstsein im Unternehmen Überwachung Strikte Trennung vom Tagesgeschäft Risikomanagement / IKS Durchgriffsbefugnisse Starke Compliance-Kultur Hohes Ansehen und Akzeptanz Ausrichtung auf das gesamte Institut Hohe Transparenz im Management Gut informiert und vernetzt 1 Quelle und Begriffsdefinition in Anlehnung an Ernst & Young 7

8 Die Entwicklung von Compliance (2/2) Vor und nach der MaRisk-Novelle WpHG-Compliance GwG * Fraud ** Fraud ** Bisher GwG * Verbraucherschutz WpHG- Compliance... Neu seit (Pflicht seit ) Kredit- Compliance Datenschutz Nach Ansicht der BaFin zielen die neuen Anforderungen an die Compliance-Funktion im Kern auf eine angemessene Compliance-Kultur innerhalb des Instituts ab. Die MaRisk-Compliance-Funktion tritt neben die bestehende Compliance-Funktion und ersetzt diese nicht. * Verhinderung von Geldwäsche und Terrorismusfinanzierung ** Betrugsprävention und Verhinderung von sonstigen strafbaren Handlungen 8

9 Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance Der neue Aufgabenbereich der MaRisk-Compliance-Funktion Praktische Herausforderungen der MaRisk-Compliance Konzeption und Methodik Aufbauorganisatorische Umsetzung Kernaufgaben der MaRisk-Compliance Erste Erfahrungen aus der Praxis 3. Ausblick und Diskussion 9

10 Der neue Aufgabenbereich der MaRisk- Compliance-Funktion Zielsetzung Risiken entgegenwirken, die aus der Nichteinhaltung gesetzlicher Regelungen und Vorgaben resultieren Aufgaben Hinwirken auf die Implementierung wirksamer Verfahren zur Einhaltung der wesentlichen Regelungen, Vorgaben und Kontrollen Unterstützung und Beratung der Geschäftsleitung Regelmäßige (risikoorientierte) Identifikation wesentlicher Regelungen und Vorgaben Berichterstattung gegenüber Geschäftsleitung und Aufsichtsorgan Einbindung bzw. Beteiligung in NPPs und in Änderungen betrieblicher Prozesse und Strukturen Zentrales Ziel: Angemessene Compliance-Kultur Geschäftsbereiche bleiben für die Pflichterfüllung verantwortlich Enge Zusammenarbeit mit anderen Kontrolleinheiten 10

11 Praktische Herausforderungen der MaRisk- Compliance (1/2) Identifikation der wesentlichen rechtlichen Regelungen und Vorgaben Bewertung von Compliance- Risiken Organisation der Compliance- Funktion Ermittlung der notwendigen MAK Definition der Aufgaben, Rechte und Pflichten Wissens- Management Definition von Überwachungshandlungen Art und Umfang der Berichterstattung Zusammenspiel mit anderen Kontrolleinheiten (z. B. Interne Revision) Notwendige Prozesse und Dokumentationsmedien 11

12 Praktische Herausforderungen der MaRisk- Compliance (2/2) Definition Compliance-Risiko Beispielhafte Auflistung der einzelnen Risikoarten aus compliance-relevanter Sicht: Risiko eines Gesetzesverstoßes (allgemein) Risiko eines Gesetzesverstoßes WpHG (WpHG-Compliance) Risiko in Bezug auf Geldwäsche Risiko in Bezug auf Terrorismusfinanzierung Risiko in Bezug auf sonstige strafbare Handlungen Risiko eines Reputationsschadens Gesamtes operationelles Risiko 12

13 Konzeption und Methodik (1/6) 1 Inventarisierung der relevanten Regelungsbereiche und Vorgaben (1/4) Gesetz Prozess Initiale Bestandsaufnahme aller relevanten Regelungsbereiche und Vorgaben (Teilerhebung vs. Vollerhebung) Aussortierung branchenfremder oder aus Sicht der Aufsicht bereits gut organisierter Bereiche Definition von Kriterien zur Wesentlichkeitsbestimmung 13

14 Konzeption und Methodik (2/6) 1 Inventarisierung der relevanten Regelungsbereiche und Vorgaben (2/4) = compliance-relevant = nicht compliance-relevant Im Anschreiben der MaRisk genannte Rechtsbereiche Rechtsrisiken die bereits von anderen Organisationseinheiten bearbeitet werden (Recht, Risikocontrolling, IT, Personal, Finanzen etc.) Weitere mögliche compliance-relevante Regelungen und Vorgaben Entscheidung über eine Teil- oder Vollerhebung der rechtlichen Regelungen und Vorgaben Gesamtheit der rechtlichen Regelungen und Vorgaben in den Instituten bislang nicht verfügbar Risiko der Nichterkennung von wesentlichen Compliance-Risiken ist nicht einschätzbar Identifikation der wesentlichen Compliance-Risiken muss vollständig und nachvollziehbar erfolgen Umsetzung mit Hilfe von Wesentlichkeitsgrenzen 14

15 Konzeption und Methodik (3/6) 1 Inventarisierung der relevanten Regelungsbereiche und Vorgaben (3/4) Vorteile: Geringerer Aufwand Einsparung von Ressourcen Nachteile: Teilerhebung Keine vollständige Erfassung der das Institut betreffenden Rechts- und Compliance-Risiken Geringer Mehrwert Vorteile: Vollerhebung Grundgesamtheit für das Institut Vollständigkeit von Rechtsrisiken Einheitlichkeit der zu erhebenden Information Hohe Steuerungsmöglichkeit durch MaRisk Compliance Nachteile: intensivere Vor- und Nacharbeit Bindung von Ressourcen Hoher Aufwand interner Unterstützung 15

16 Konzeption und Methodik (4/6) 1 Inventarisierung der relevanten Regelungsbereiche und Vorgaben (4/4) Definition von Kriterien zur Wesentlichkeitsbestimmung Vermögensschaden Reputationsschaden Aufsichtsrechtliche Sanktionen Prüfungsfokus Komplexität Weitere Bewertungskriterien Volatilität des Rechtsbereiches Bankspezifisch oder nicht bankspezifische Regelungen und Vorgaben IKS-Bewertung und Anweisungswesen Potentielle Organhaftung / Sicherstellungspflichten 25c KWG 16

17 Compliance-Risiko 1 Compliance-Risiko 2 Compliance-Risiko 3 Konzeption und Methodik (5/6) 2 Durchführung einer Risikoanalyse (1/2) Gesetz Prozess Grundgesamtheit für die Risikoanalyse Bewertung der einzelnen Compliance-Risiken Ergebnis: wesentliche Regelungen und Vorgaben sind identifiziert Die Bewertung eines Risikos kann anhand der folgenden zwei Einflussfaktoren erfolgen: Eintrittswahrscheinlichkeit Schadenshöhe 17

18 Konzeption und Methodik (6/6) 2 Durchführung einer Risikoanalyse (2/2) Identifikation der Risiken Bewertung des inhärenten Risikos Bewertung der Maßnahmen (z. B. Kontrollen) Bewertung des Residualrisikos Festlegung Risiko- Verantwortlicher 18

19 Aufbauorganisatorische Umsetzung in der Fürstlich Castell schen Bank Integration in die bestehenden Compliance-Strukturen Vorstand Nicht-Handel Compliance-Beauftragter nach MaRisk und MaComp Geldwäschebeauftragter Leitung Compliance Datenschutz WpHG- Compliance Zentrale Stelle (GwG + Fraud) MaRisk- Compliance aufsichtsrechtliche Datenkontrolle Servicefunktion Verbraucherschutz 19

20 MaRisk-Compliance Kernaufgaben der MaRisk-Compliance Koordination und Aufbau Rechtsnormenmonitoring Anweisungen und Prozesse Abstimmung von relevanten Schnittstellen Reporting an Fachbereiche und Vorstand Tool- oder IT-Unterstützung (z. B. RADAR) Durchführung GFA und Regelüberwachung Wahrnehmung Beratungsansatz Identifizierung Regelungen Bestimmung Wesentlichkeit Analyse Compliance Risiko Kontrollen / Kontrollplan Abstimmung Interne Revision Maßnahmen und Maßnahmentracking Kontrollreporting und Protokollierung Beratung Vorstand und Fachbereiche Unterstützung Anweisungswesen und IKS Koordination und Beratung bei Anfragen der Aufsicht und den Wirtschaftsprüfern Einbindung Projekte und Änderungen gem. AT 8.2 MaRisk und in NPPs gem. AT 8.1 MaRisk Abstimmung und Zusammenarbeit mit Risikocontrolling Wirksamkeit MaRisk- Compliance Berichtswesen und Reportingfunktion Jährliches Reporting Ad hoc-reporting Quartals- Reporting Schnittstellen-Reporting 20

21 Erste Erfahrungen aus der Praxis Verantwortung für Normen unklar Abgrenzung zu Fachbereichen unklar langsamer Aufbau der Compliance- Kultur Ermittlung der notwendigen MAK Keine konkreten Aussagen der BaFin Kein einheitliches Risikoverständnis Bislang kein Track Record oder Best Practice Komplexität in Prozessen / Organisationen Mangelnder Informationsfluss Definition der Wesentlichkeit Fehlende praktische Erfahrung der Wirtschaftsprüfer Gesamtheit aller Normen nicht bekannt 21

22 Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und Diskussion 22

23 Ausblick und Diskussion Wo geht die Reise hin? 23

24 Vielen Dank für Ihre Aufmerksamkeit! Timo Boldt Leiter Compliance Marktplatz Würzburg Tel.: timo.boldt@castell-bank.de 24

25 v