Aktuelle Diskussionen zur Rolle von Compliance

Transkript

1 Aktuelle Diskussionen zur Rolle von Compliance Bernd Michael Lindner Partner, Financial Services KPMG AG Wirtschaftsprüfungsgesellschaft LexisNexis Compliance Solutions Day München, 24. Juni 2015

2 Agenda Was bedeutet Compliance? Compliance als Unternehmensaufgabe Exkurs: Schnittstellen zu den Schlüsselfunktionen Aufgaben der Compliance-Funktion Compliance Management System (CMS) zur Effektivität und Effizienz der Compliance-Funktion Exkurs: Elemente eines Compliance Management Systems nach IDW Prüfungsstandard 980 und ISO Aktuelle Herausforderungen in der Umsetzung von Compliance-Maßnahmen 1

3 Was bedeutet Compliance? Definition Historisch gewachsen, verstand man in Deutschland unter Compliance die Einhaltung des WpHG. Compliance umfasst die Einhaltung aller Gesetze und Verordnungen, interner Richtlinien sowie vertraglichen Verpflichtungen und freiwillig eingegangenen Selbstverpflichtungen. COMPLIANCE IST DAMIT EINE UMFASSENDE AUFGABE MIT BEZUG ZU: allen Gesellschaften (konzernweit) allen Bereichen und Prozessen (bereichsübergreifend) allen Rechtsordnungen (länderübergreifend) allen Leitungs- und Mitarbeiterebenen (personalübergreifend) allen Rechtsgebieten (rechtsgebietsübergreifend) Das heutige Compliance-Verständnis bezieht sich nicht nur auf die Einhaltung von rechtlichen Vorgaben, sondern auch auf die Vermeidung von Risiken, insbesondere von Reputationsrisiken. Die Compliance-Kultur sollte das angestrebte Compliance-Verständnis des Unternehmens widerspiegeln. Eines der zentralen Elemente einer erfolgreichen Compliance-Kultur ist das wiederholte und unternehmensweite Engagement des Vorstands und aller Führungskräfte ( tone from the top ). 2

4 Compliance als Unternehmensaufgabe Eindeutige Abgrenzung der Three Lines of Defence Das Modell der drei Verteidigungslinien zielt auf die dauerhafte Sicherstellung der Funktionsfähigkeit des Governance-Systems ab. Compliance wird als Disziplin des gesamten Unternehmens gesehen, basierend auf den Vorgaben aus der Compliance-Funktion. Three Lines of Defence aufeinander aufbauende, sich in ihrer Ausrichtung ergänzende Kontroll-, Überwachungs- und Prüfungsfunktionen. Internes Kontrollsystem Vorstand Interne Revision Geschäftsbereich Risikocontrolling- Funktion Compliance- Funktion Interne Revision Verantwortung für die bereichsweite Identifikation, Meldung, Bewertung und Steuerung von Risiken Risikoübernahme im Rahmen vorgegebener Limite Bereichsinterne Maßnahmen (z.b. Funktionstrennung, Vier- Augen-Prinzip) Hauptaufgabe: Überwachung und Kommunikation der wesentlichen Risiken des Compliance- Risikos Risiko, das sich aus Nichteinhaltung gesetzlicher und regulatorischer Vorgaben ergeben kann Prozessunabhängige Prüfung und Beurteilung der Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen (risikoorientiert, regelmäßig) Risikomanagement (1st line of defence) Risikocontrolling (2nd line of defence) Revision (3rd line of defence) Kontrolle Überwachung Prüfung 3

5 Exkurs: Schnittstellen zu den Schlüsselfunktionen 2 Risikomanagement 1. Compliance Fachbereich: Compliance-Funktion überwacht die ordnungsgemäße Ausgestaltung der Prozesse in den jeweiligen Fachbereichen Fachbereich Compliance 3 1 Interne Revision 2. Compliance Risikomanagement: Compliance-Funktion überwacht die ordnungsgemäße Einrichtung der Risikomanagement-Funktion Risikoprävention als gemeinsames Ziel Risikomanagement-Funktion betrachtet und erfasst die wesentlichen Unternehmensrisiken, während die Compliance-Funktion für die Compliance-Risiken zuständig ist (Schnittstelle im OpRisk und ggf. RepRisk) Austausch und Berücksichtigung über jeweils erhobene Risiken 3. Compliance Interne Revision: Interne Revision prüft die Angemessenheit und Wirksamkeit der Compliance-Funktion Überwachung/ Überprüfung der Einhaltung verbindlicher Vorgaben im Unternehmen als gemeinsames Ziel Gegenseitige Unterstützung der Compliance-Funktion und der Internen Revision (z.b. bei der Sachverhaltsaufklärung) 4

6 Aufgaben der Compliance-Funktion Ziel Erreichung einer angemessenen Compliance-Kultur neben dem Vorgenannten durch Wahrnehmung der Kernaufgaben auf Basis informativer Einbindung, notwendiger Kompetenzen und einer angemessenen Aufbauund Ablauforganisation. Die Compliance-Funktion soll die Einhaltung der rechtlichen Regelungen und Vorgaben überwachen: Identifizierung relevanter rechtlicher Neuerungen und Änderungen sowie Beurteilungen von deren Auswirkung Frühwarnfunktion Beratung über Einhaltung und Übereinstimmung erlassener und transformierter Vorschriften Identifizierung und Beurteilung von relevanten Compliance- Risiken (Rechtliche oder aufsichtsbehördlicher Sanktionen, Risiko wesentlicher finanzieller Verluste, Risiko von Reputationsverlusten) Überwachungsfunktion Compliance- Risiko- Funktion Compliance- Funktion Beratungsfunktion Überwachung der Einhaltung der rechtlichen Regelungen und Vorgaben als wesentliche Säule im Modell der drei Verteidigungslinien 5

7 Wesentliche Rechtsgebiete Kultur (Code of Conduct, tone from the top, ) Ziele Organisation (Aufbau- und Ablauforganisation, Schnittstellen, Kompetenzen) Risiken (Gefährdungsanalyse) Programm (Standards, Dokumentation, Sanktionen & Anreize) Kommunikation (Schulungen ) Überwachung/ Verbesserung (Kontrollen, Monitoring, Reporting) Compliance Management System (CMS) zur Effektivität und Effizienz der Compliance-Funktion Die Rolle von Compliance in der Unternehmensstruktur Die Festlegung der organisatorischen Zuständigkeiten in den Bereichen muss die Einhaltung aller Gesetze und Verordnungen, interner Richtlinien und vertraglicher Verpflichtungen umfassen. Zentrales CMS zur Vereinheitlichung der Themen Kern-Compliance-Themen Elemente eines Compliance Management Systems* Geldwäscheprävention Finanzsanktionen / Embargo Sonstige strafbare Handlungen WpHG-Compliance Vertriebs-Compliance Weitere Compliance-Themen Datenschutz Kartellrecht Arbeitsrecht Bilanzierungsrecht * basierend auf dem Prüfstandard IDW PS 980 = Compliance, = Fachbereich 6

8 Exkurs: Elemente eines Compliance Management Systems nach IDW Prüfungsstandard 980 und ISO Grundelemente Der IDW Prüfungsstandard 980 beschreibt Grundelemente für die Ausgestaltung und Prüfung eines Compliance Management Systems (CMS). Der ISO soll als anerkannter Compliance-Standard mehr Einheitlichkeit in die Compliance-Umsetzung bringen; ist jedoch lediglich ein Leitfaden. IDW PS 980 ISO Der IDW PS 980 stellt sieben Grundelemente eines CMS dar und kann als Rahmenkonzept für die unternehmensindividuelle Einrichtung eines CMS zugrunde gelegt werden In erster Linie dient der Prüfungsstandard der Beurteilung eines CMS im Hinblick auf seine Angemessenheit und Wirksamkeit CMS-Grundelemente des IDW PS 980: Compliance-Kultur Compliance-Ziele Compliance-Organisation Compliance-Risiken Compliance-Programm Compliance-Kommunikation Compliance-Überwachung/- Verbesserung Die Operationalisierung des CMS ist zwingend erforderlich Bei ISO handelt es sich ebenfalls um einen Einrichtungsstandard für CMS (flexibler Leitfaden) mit dem Ziel international einheitliche Leitlinien für die Ausgestaltung zur Verfügung zu stellen Die CMS-Grundelemente des IDW PS 980 werden durch den ISO-Standard abgedeckt CMS-Grundelemente des ISO 19600: Context or organization Leadership Planning Support Operation Performance Evaluation Improvement ISO und IDW PS 980 stehen nicht in Widerspruch zueinander, sondern ergänzen sich gegenseitig. 7

9 Operative Detaillierung Fachbereiche Compliance Interne Revision Aktuelle Herausforderungen in der Umsetzung von Compliance- Maßnahmen Herausforderungen Nur ein gelebtes Compliance schützt vor Risiken. Doch die Umsetzung ist eine nicht zu unterschätzende Aufgabe. Verständnis zwischen 1st und 2nd line of defence (unternehmensweites Verständnis und Anwendung von Compliance-Vorgaben in den Fachbereichen) Geschäftsmodell des Unternehmens Code of Conduct Compliance- Richtlinien Definition und Ausgestaltung von Schnittstellen zwischen den relevanten Bereichen Mindestanforderungen Gruppenweite Umsetzung von risikoorientierten Compliance- Maßnahmen Etc. Verarbeitung von Lessons Learned zur Weiterentwicklung der Standards Arbeitsanweisungen und gelebte Prozesse 8

10 Bernd Michael Lindner Partner Consulting Financial Services 2015 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Der Name KPMG, das Logo und "cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative. T M blindner@kpmg.com