Point of Compliance. Mit Prozessintelligenz zur regulatorischen Souveränität. Gastbeitrag: Ernst & Young zum Auslagerungscontrolling

Transkript

1 Ausgabe 1/ 2015 Point of Compliance Das Risikomanagement-Magazin für unsere Kunden und Geschäftspartner Regulatorische Souveränität durch Prozessintelligenz Seite 4 Gastbeitrag: Ernst & Young zum Auslagerungscontrolling Seite 9 Verdachtsmeldungen Geldwäsche Anmerkungen aus der Praxis Seite 12 Mit Prozessintelligenz zur regulatorischen Souveränität

2 IMPRESSUM Point of Compliance Das Risikomanagement-Magazin für unsere Kunden und Geschäftspartner, Ausgabe 10, 1/2015 ISSN: Herausgeber: GenoTec GmbH, Wilhelm-Haas-Platz, Neu-Isenburg, Telefon , Telefax , Handelsregister HRB 11105, Amtsgericht Offenbach, USt.-IdNr.: DE Geschäftsführung: Jens Saenger (Sprecher), Andreas Marbeiter Verantwortlich i. S. d. P. : Jens Saenger Redaktion: Gabriele Seifert, M. A. Leitung (red.) Redaktionsanschrift: GenoTec GmbH, Redaktion Point of Compliance, Wilhelm-Haas-Platz, Neu-Isenburg, Telefon , Telefax , poc@geno-tec.de Weitere Autoren dieser Ausgabe: Florian Fuhrig, Dr. Indranil Ganguli, Martin Hierlemann, Markus Krug, Andreas Marbeiter, Michael Plaumann-Ewerdwalbesloh, Peter Uherr, Dr. Max Weber Bildnachweise: GenoTec GmbH, EGENOLF DESIGN Gestaltung und Titelillustration: EGENOLF DESIGN, Wiesbaden studio@egenolf-design.de Druck: odd GmbH & Co. KG Print und Medien Redaktioneller Hinweis: Nachdruck, auch auszugsweise, nur mit ausdrücklicher Genehmigung der Redaktion sowie mit Quellenangabe und gegen Belegexemplar. Die Beiträge sind urheberrechtlich geschützt. Zitate sind mit Quellenangabe zu versehen. Jede darüber hinausgehende Nutzung, wie die Vervielfältigung, Verbreitung, Veröffentlichung und Onlinezugänglichmachung des Magazins oder einzelner Beiträge aus dem Magazin, stellt eine zustimmungsbedürftige Nutzungshandlung dar. Namentlich gekennzeichnete Beiträge geben nicht in jedem Fall die Meinung des Herausgebers wieder. Die GenoTec GmbH übernimmt keinerlei Haftung für die Richtigkeit des Inhalts. Redaktionsschluss: 15. März 2015 Auflage: Exemplare Die aktuellen Mediadaten finden Sie im Internet unter 2 Point of Compliance 1/2015 GenoTec GmbH

3 STARTPUNKT INHALT Jens Saenger Sprecher der Geschäftsführung Nähe ist in Zeiten der Globalisierung und Big Data wichtiger denn je. Sie ist Orientierungspunkt und Leitbild zugleich. Sie ist die Brücke zwischen Kunde und Dienstleister, zwischen Maschine und Mensch. Sie ist die Basis für ein vertrauensvolles Miteinander, schlicht die Voraussetzung für nachhaltige Geschäftstätigkeit. Und da nichts gut wird, außer man tut es, ist Nähe eines unserer ersten Prinzipien. Wir gehen dicht. Unsere Auslagerungsangebote beginnen mit einer bankspezifischen, individuellen Gefährdungsanalyse. Bei unseren Kontrollhandlungen legen wir Wert darauf, uns selbst vor Ort ein Bild von der Wirksamkeit beschlossener Maßnahmen zu machen. Und wir sind in der Region präsent sei es beim Kunden oder beim Regionalverband. Wir wollen ansprechbar sein. Wir wollen Ihre Bedürfnisse und Erwartungen an uns als Dienstleister, aber auch an uns als Spezialisten im Beauftragtenwesen innerhalb der Genossenschaftlichen FinanzGruppe aus erster Hand hören und verstehen. Impressum 2 STARTPUNKT 3 Mit Prozessintelligenz 4 zur regulatorischen Souveränität Outsourcing im Blick der 9 Aufsicht und Prüfung Kritische Anmerkungen 12 aus der Praxis Entwurf IT-Sicherheits- 15 gesetz: für Banken relevant? PUNKTUM Näher dran 17 Wie erkennen Sie ein 18 Mitarbeitergeschäft? Rechtlich-regulatives 20 Monitoring Hinweisgebersystem 21 Berichterstattung GenoTec: Interne Revision 22 Wirtschaftliche Lage 23 Und wie schaffen wir das? Wir können es, weil wir als Mehrmandantenanbieter die Prozesse im Hintergrund hochgradig standardisiert und damit Zeit gewonnen haben Zeit, die wir nutzen für den Austausch mit Ihnen. Bei Kundenterminen, in Arbeitsgruppen, bei Messen, auf der Fachebene ebenso wie in politischen Netzwerken. Und eben auch hier in der Point of Compliance. In diesem Sinne wünsche ich Ihnen eine anregende Lektüre. Ihr Jens Saenger Point of Compliance 1/2015 GenoTec GmbH 3

4 Beauftragtenwesen Mit Prozessintelligenz zur regulatorischen Souveränität Gefangen im Regulierungsdickicht, das verzwickte Labyrinth des Aufsichtsrechts, Wahnsinn mit Methode oder einfach: Lost in Regulation die Klage über die Bankenregulierung kennt viele Bilder. Und doch nutzt alles Jammern nichts. Am Ende zählt, die Chancen der Regulatorik zu erkennen und für sich nutzbar zu machen. Das Beauftragtenwesen, neudeutsch Compliance, zielt auf regelkonformes Verhalten ab. Es ist die kodifizierte Aufforderung zur Einhaltung der Regeln. So weit, so gut. Die Überwachung und Einhaltung wird von einem Beauftragten als Wächter der Konformität bestätigt. Das ist durchaus zweckmäßig, denn die Regeln sollen helfen, ein konstruktives Miteinander zu gestalten, Legalität zu definieren und durch deren Einhaltung gemeinsames Vertrauen zu schaffen bzw. zu festigen. Compliance im geschäftlichen Miteinander mit den operativen Einheiten macht daher absolut Sinn. Und trotzdem wird die Umsetzung der Compliance immer wieder als Last empfunden, die man reflexartig abschütteln möchte. Warum ist das so? a. Aufwand Da ist zunächst die Fülle an aufsichtsrechtlichen Anforderungen, die sich beständig ändern und die eine immer stärkere europäische Ausprägung fernab der deutschen Bankenrealität haben. Sie implizieren einen unverhältnismäßig hohen Aufwand. Auf der organisatorischen Ebene stellt sich die Frage: Wie soll eine durchschnittliche genossenschaftliche Bank mit knapp 160 Mitarbeitern, ganz zu schweigen von den vielen kleineren Instituten, alle sechs Beauftragtenfunktionen plus Stellvertreter abbilden können? b. Anforderungen Jede der sechs Schutzrichtungen ist für sich genommen anspruchsvoll. Man denke allein an die Qualifizierungsvoraussetzungen in der WpHG-Compliance, die erforderliche Sensibilität, z. B. beim Hinweisgebersystem, oder auch an die technischen Anforderungen an ein Monitoring-System in der Geldwäsche- und Betrugsprävention. Im Zeitalter von Big Data steigt zudem die Relevanz einzelner Themen, wie z. B. der IT-Sicherheit und des Datenschutzes immer weiter an. Hier lautet die Frage: Wie kann eine einzelne Bank gewährleisten, dass das Know-how bei den Mitarbeitern vorhanden ist? Und wie kann sie sichere Prozesse etablieren und die Kontinuität an Kontrollhandlungen sicherstellen? c. Komplexität Die Aufsicht unterstreicht immer wieder die Bedeutung eines umfassenden und integrierten Ansatzes des regulatorischen Beauftragtenwesens. In Ergänzung dazu verfolgen Aufsicht und Ministerium den Gedanken, regulatorische Effektivität durch effiziente Lösungen zu erreichen. Regulatorische Effektivität meint, z. B. durch sogenannte Schadensfall- oder Erkenntnisdatenbanken Präventionsvorteile zu erzielen. Und zwar ohne direkt selbst negative Erfahrungen 4 Point of Compliance 1/2015 GenoTec GmbH

5 gemacht haben zu müssen. Die Idee ist, dass Banken von den Erkenntnissen Dritter profitieren. Anders formuliert: Die Bank berücksichtigt bei der Risikoanalyse nicht nur die hausinternen Erkenntnisse und Voraussetzungen, sondern sie zieht bestenfalls auch Erfahrungen anderer Banken heran. Die Bank vor Ort steht vor der Herausforderung: Wo liegen meine Risiken und wie kann ich bei der Beurteilung die Erfahrungen anderer Banken einfließen lassen? Kann ich, z. B. als Bank im Breisgau, von den Erkenntnissen einer anderen Bank, bspw. in Mecklenburg, profitieren? d. Unternehmerische Grenzen Regeln setzen nun einmal Grenzen, viele Regeln bedeuten viele Grenzen und viele Grenzen schränken individuelle Freiheiten zunächst einmal ein. Unternehmertum erfordert aber Freiheiten. Ohne Freiheiten kein Erfolg. Regeln und die Kontrollen zur Einhaltung der Regeln fordern also den unternehmerischen Spielraum heraus. Regulatorischer Aufwand zahlt zudem nicht direkt auf die Unternehmenserlöse ein, belastet somit die Geschäftstätigkeit. Doch: Kann es eine Bank schaffen, dass sich die Kosten für die Regulatorik bis zu einem gewissen Grad amortisieren und sogar auf den Erfolg des Kerngeschäfts einzahlen? Wahnsinn mit Methode? Ungeachtet des Verursacherprinzips treffen die Umsetzungsaufwände alle Institute gleichermaßen. Auch dem Proportionalitätsgrundsatz werden immer engere Grenzen gesetzt. In dem sich immer stärker europäisierenden Markt des Aufsichtsrechts spielt es nämlich kaum mehr eine Rolle, welche Institute mit welchen Geschäftsmodellen für die sich ständig verschärfende Gesetzgebung den Anlass liefern. Alle Häuser sind ohne Ausnahme zur Umsetzung und Kontrolle verpflichtet. Dazu zählen operative Selbstkontrollen, die Prüfungen der internen Revisoren und von Prüfungsgesellschaften bisweilen in Verbindung mit der Aufsicht selbst sowie auch die sogenannten regulatorischen Beauftragten (Geldwäsche- und Betrugsprävention, WpHG- und Ma- Risk-Compliance, IT-Sicherheit und Datenschutz). Bezahlt werden müssen all diese Kontrollen durch die Unternehmen selbst. Ein Verzicht darauf ist selbst dann nicht möglich, wenn aufgrund geschäftspolitischer Profile risikobasierte Eintrittswahrscheinlichkeiten gen null tendieren. Was aber kann eine Bank tun angesichts einer scheinbar überbordenden Regulatorik? Hat sie Handlungsspielräume? Wie kann die Bank diese erkennen und kann sie daraus nicht sogar einen strategischen Nutzen generieren? Point of Compliance 1/2015 GenoTec GmbH 5

6 Tatsache ist: Die Banken haben es in der Hand. Die unternehmensinterne Compliance und damit das Beauftragtenwesen werden trotz regulatorischer Leitplanken noch immer von den Unternehmen selbst gestaltet. Die Beauftragten sind eben nicht der verlängerte Arm der Aufsicht oder eine unternehmensinterne Polizei, sondern sie sind Partner der operativen Einheiten. Compliance als Gütesiegel Ein alter Leitspruch lautet: Good compliance is good business Gute Compliance bedeutet gutes Geschäft. Was steckt dahinter? Das Vertrauen der Verbraucher lässt sich nicht einfach verordnen und der Hinweis sei erlaubt das ist auch nicht notwendig: Würden Kunden ihrer AUTOR UND ANSPRECHPARTNER Andreas Marbeiter Geschäftsführung, geno-tec.de Bank misstrauen, würden die wenigsten Beratungsgespräche überhaupt zustande kommen. Es gibt noch immer ein grundsätzliches Vertrauen zwischen Bankkunde und Bank allen Unkenrufen zum Trotz. Die Frage lautet also, wie eine Bank auch mit Hilfe von Compliance erfolgreicher sein kann als ihre Wettbewerber. Man kann sicherlich Compliance buchstabengetreu auslegen, buchstabengetreue Kontrollen etablieren und nach Schema F abarbeiten. Doch das ist aufwendig und mit Blick auf die Revision bisweilen redundant. Es fördert das augenblicklich weit verbreitete Missverständnis über Compliance und darüber hinaus geht damit die eigentliche Intention von Compliance nämlich präventiv zu wirken verloren. Und damit auch jede Chance, Compliance im Sinne des Unternehmens wertschöpfend, z. B. verkaufsfördernd, zu nutzen. Dabei sind Pflicht und Kür durchaus miteinander zu verbinden. Während die Revision in erster Linie detektivisch Schwachstellen in bestehenden bzw. angewiesenen Prozessen zu erkennen sucht, ist die Compliance durch eine bewusste Einbeziehung in operative Vorgänge vorausschauend tätig. Beides zusammen genommen lässt sich zu einem Wettbewerbsvorteil ausweiten. Eine gute Compliance wird bereits vor Durchführung operativer Geschäftsaktivitäten mögliche Schwachstellen antizipieren und Lösungen vorschlagen. Und dies nicht nur einmalig, sondern fortlaufend. Ein guter Beauftragter sagt einem Vorstand nicht, was er nicht darf, sondern zeigt Wege und Handlungsalternativen auf. Er erkennt prozess- oder verhaltensinduzierte Schwachstellen und nutzt die vorhandenen Freiräume bei der Umsetzungsgestaltung. In der Praxis heißt das z. B.: Nichtssagende, weil zu standardisierte Beratungsdokumentationen, versteckte Risikohinweise, intransparente Anreizsysteme für Berater oder ungeeignete Produktempfehlungen sollten nicht nur vermieden werden, weil sie gegen Gesetze verstoßen, sondern weil sie Kundeninteressen schädigen und damit gleichzeitig gegen Unternehmensinteressen verstoßen: Sie schädigen die Vertrauensbasis und die Qualität in der Kundenbeziehung. Daher möchte die BaFin z. B. über die MaComp die aktive Einbeziehung der Compliance in diese Prozesse erreichen. Die Bank hat die Wahl nicht ob, aber wie intensiv sie die Compliance einbringen möchte. Eine aktiv und präventiv verstandene Compliance in Verbindung mit den prozessunabhängigen Kontrollen der Internen Revision wirkt wie ein TÜV-Siegel, sie ist ein Qualitätsausweis für die Aufsicht, für die Bank selbst und damit natürlich auch für die Kunden der Bank. Ein Versprechen könnte z. B. der Wahlspruch sein: Wir reden nicht mehr über Verbraucherschutz, wir leben ihn. Analysiert, aktiv begleitet und unabhängig geprüft im besten Sinne der Funktion. Was einer alleine nicht schafft Zur Bündelung der Kräfte, zur Festigung einheitlicher und überregionaler Positionen bieten die Regionalverbände (Baden-Württembergischer Genossenschaftsverband e. V., Genossenschaftsverband e. V. Frankfurt und Genossenschaftsverband Weser-Ems e. V.) und die Fiducia IT AG der genossenschaftlichen Idee folgend subsidiär über deren Tochtergesellschaft GenoTec eine bank- und auch verbandsübergreifende Lösung an. Das hat folgende Vorteile: 6 Point of Compliance 1/2015 GenoTec GmbH

7 INtegrierte GefAEhrduNgsaNalyse BestaNdsaufNahme GefAehrduNgsaNalyse KoNtrollplaNuNg KoNtrollhaNdluNgeN UEberwachuNgshaNdluNgeN UEberprUEfuNg der Wirksamkeit und ANgemesseNheit KommuNikatioN einheitliche Berichtswege VorstaNdsiNformatioN VerdachtsmelduNgeN und ANzeigeN ANsprechpartNer fuer BaFiN und StrafverfolguNgsbehOErdeN OrgaNisatioNsgestaltuNg MitwirkeN bei der AusgestaltuNg der CompliaNce-OrgaNisatioN SchuluNg SchuluNg bzw. SchuluNgsuNterstUEtzuNg BeratuNg und UNterstUEtzuNg der Mitarbeiter MoNitoriNg, ForeNsic AufklAEruNg zweifelhafter oder ungewoehnlicher Sachverhalte Erfahrungs- und Wissenspool Unsere Beauftragten betreuen täglich über 300 Banken in ganz Deutschland in allen Fragen des Beauftragtenwesens. Sie tauschen sich untereinander aus sowohl fachspezifisch als auch themenübergreifend. Und sie werden zudem regelmäßig weitergebildet und zwar auf höchstem Niveau. Auf dieser Basis haben die Beauftragten der GenoTec mittlerweile einen Erfahrungs- und Wissenspool aufgebaut, der seinesgleichen sucht. Sie haben gemeinsam mit unseren Mandanten ein gutes Gespür entwickeln können, wie Compliance nicht nur regulativ, sondern wertschöpfend umgesetzt werden kann. Prozessintelligenz und Standardisierung Die Beauftragten der GenoTec werden in ihrer Arbeit prozessual und systemisch unterstützt. Die Prozesse sind aufsichtskonform und mit den Verbänden abgestimmt und weitgehend standardisiert bzw. IT-gestützt. Sie sind sicher, angemessen, nachvollziehbar und wirksam. Das Beauftragtenwesen kann somit in der Summe effektiver abgebildet werden, als das eine Bank für sich alleine könnte. Auch das zahlt auf das Konto Aufsichtsrechtlicher Nutzen ein. Kostensenkung Der augenblickliche Umbau der Geno- Tec zielt darauf ab, trotz der Wahrnehmung des Beauftragten durch eine natürliche Person seine Aufgaben in verschiedene Funktionen innerhalb einer Prozesskette abzubilden. Dadurch können Personalressourcen mit unterschiedlichem Fachwissen und Ausbildungsstand in unterschiedlichen Aufgabenpakete in die Prozesskette der Dienstleistungserbringung integriert werden. Point of Compliance 1/2015 GenoTec GmbH 7

8 Beauftragter Analyst Leitung QuALITAETS- MANAGEMENT GEFAEHRDUNGSANALYSE Kontrollen Organisation Monitoring Kommunikation Schulung ProzessOPTIMIERUNG, STANDARDPROZESSE RESSOURCENSTEUERUNG INTERNE DIENSTLEISTUNGSKONTROLLE, QUALITAETSPRUEFUNG Dies hat mehrere Effekte. Es diversifiziert das Personalrisiko, bietet den Mitarbeitern breitere Entwicklungsmöglichkeiten, fördert die Nachwuchsqualifizierung und ermöglicht vor allem auch die Hebung betriebswirtschaftlicher Skaleneffekte im Rahmen der Fixkostendegressionen. Die Kunden der GenoTec profitieren von einer umgekehrten Proportionalität zwischen Lernkurveneffekten und Gestellungskosten: Während die Lernkurve mit der Mehrmandantentätigkeit ansteigt, sinken gleichzeitig die Gestellungskosten je Kunde. Damit profitiert jede Bank gleich doppelt. Um das zu verdeutlichen, nachfolgend ein Beispiel aus der Praxis: Praxisbeispiel Kleinen Banken bis zu einer Bilanzsumme von 250 Mio. Euro kann die GenoTec ein Compliance-Kompakt- Paket anbieten für rund 27 TEuro im Jahr. Das Paket beinhaltet die Vollauslagerung von Geldwäsche- und Betrugsprävention sowie WpHG-Compliance und die unterstützende Betreuung in der MaRisk-Compliance. Zusammengefasst nimmt diese Lösung die Last von den kleineren Banken, indem sie die Beauftragtenthemen umfassend, verbindlich und sicher darstellt. Dabei ist diese Lösung signifikant bis zu 30 % Kosteneinsparung inkl. MwSt. günstiger im Vergleich zur singulären Eigenleistung. Zusammenfassung Um also sowohl einen kostengünstigen wie strategischen Nutzen des Beauftragtenwesens bzw. der Compliance realisieren zu können, bedarf es der intelligenten Interpretation der aufsichtsrechtlich möglichen, risikobasierten Kontrollansätze, eines Systems einer sich exponentiell erweiternden Expertise sowie einer ausgeprägten Kundenorientierung beim Compliance-Beauftragten. Hier hilft der genossenschaftliche Grundgedanke weiter. Gemeinsam erkennen wir die Freiräume der regulatorischen Grenzen schneller, besser und umfangreicher als im Alleingang. Intelligent und kostenbewusst in Prozesse gekleidet entsteht schlussendlich regulatorische Souveränität, weil wir in der Genossenschaftlichen Finanz- Gruppe auf diese Art zumindest im Beauftragtenwesen unsere Hausaufgaben gemacht haben. 8 Point of Compliance 1/2015 GenoTec GmbH

9 Auslagerungscontrolling Outsourcing im Blick der Aufsicht und Prüfung Die Auslagerung von Aktivitäten, Prozessen, Systemen und bestimmten Funktionen bzw. mit den Funktionen verbundenen Aufgaben stellt für Banken und andere Finanzdienstleister eine wichtige und wesentliche betriebswirtschaftliche Option dar, Kosten zu optimieren. Gerade für kleinere Häuser bestehen aufgrund der gestiegenen Anforderungen, aber auch aufgrund der Wettbewerbssituation und des damit verbundenen Margendrucks, kaum Alternativen zum Outsourcing. Im Vordergrund stehen dabei IT-Serviceleistungen und Prozesse der Wertpapierabwicklung, aber auch Abwicklungsprozesse im standardisierten Mengenkreditgeschäft. Weitere Beispiele für Auslagerungslösungen finden sich z. B. im Compliance-Umfeld, insbesondere zur Unterstützung der Pflichten aus dem Geldwäschegesetz. Im Rahmen der Auslagerungsentscheidung sowie bei der Ausgestaltung der Retained Organisation sind als strikte Nebenbedingung die aufsichtsrechtlichen Anforderungen an das Outsourcing zu berücksichtigen, die sich auch auf die Schnittstelle zum Insourcer auswirken und damit indirekt auch diesen treffen. Dabei ist zu berücksichtigen, dass diese Anforderungen gerade in den letzten Jahren verschärft wurden, z. B. durch die Einfügung des 25b KWG, und die Einhaltung der Anforderungen immer mehr ins Blickfeld der Aufsichtspraxis und damit auch stärker ins Blickfeld der internen und externen Revision rückt. Hierbei werden auch bislang tolerierte Altfallregelungen differenzierter betrachtet. Herausforderungen für den Outsourcer Unter Berücksichtigung der Prüfungsschwerpunkte im Rahmen von aufsichtlichen Sonderprüfungen zum Thema Outsourcing und im Rahmen von Prüfungen der inter- AUFSICHTSRECHTLICHE ANFORDERUNGEN AN DIE BANKEN KWG 25a Abs. 1 Ordnungsgemäße Geschäftsorganisation 25b Angemessene Vorkehrungen zur Vermeidung übermäßiger, zusätzlicher Risiken wirksames Risikomanagement Keine Übertragung der Verantwortung der Geschäftsleitung; Institut bleibt verantwortlich Ausreichende Auskunfts- und Prüfungsrechte sowie Kontrollmöglichkeiten für die Aufsicht und die Prüfer des Instituts auch beim Insourcer Schriftlicher Auslagerungsvertrag mit Mindestinhalten MaRisk Wesentliche MaRisk-Anforderungen beziehen ausgelagerte Aktivitäten und Prozesse explizit mit ein, z. B. Gesamtverantwortung Geschäftsleitung (AT 3) Strategien (AT 4.2) Aufbau- und Ablauforganisation (AT 4.3.1) Risikosteuerungs- und -controllingprozesse (AT 4.3.2) Interne Revision (AT 4.4.3) AT 9 Outsourcing Tz. 1 Auslagerungsbegriff Tz. 2 Risikoanalyse Tz. 3 nicht wesentliche Auslagerungen Tz. 4 Zulässigkeit von Auslagerungen Tz. 5 Beendigung/ Exit Tz. 6 Auslagerungsvertrag Tz. 7 Steuerung und Überwachung Tz. 8 Auslagerung der Internen Revision Tz. 9 Weiterverlagerung Point of Compliance 1/2015 GenoTec GmbH 9

10 AUTOREN UND ANSPRECHPARTNER nen und externen Revision stellen sich für Banken und andere Finanzdienstleister u. a. die im Folgenden dargestellten Herausforderungen. Die Auslagerungen müssen strategiekonform und wirtschaftlich sein. Das bedeutet zunächst, dass im Rahmen der nach AT 4.2, Tz. 1 MaRisk zu erstellenden Geschäftsstrategie dargestellt wird, welche Strategie die Bank in Bezug auf Auslagerungen verfolgt. Dabei gilt: Je umfangreicher die (geplanten) Auslagerungen, desto umfangreicher muss das Thema in der Strategie dargelegt werden. Ferner muss in der nach AT 4.2, Tz. 2 MaRisk zu erstellenden Risikostrategie das Thema aufgegriffen und dargestellt werden, welche spezifischen Risiken mit Auslagerungen verbunden sind und wie diesen begegnet wird. Für bestehende Auslagerungen sollte dies ggf. nachgeholt werden. Die MaRisk enthält zwar keine Aussagen dazu, dass Auslagerungen wirtschaftlich sein müssen, allerdings rückt die Analyse des Geschäftsmodells und damit verbunden die Frage nach der Nachhaltigkeit des Geschäftsmodells zunehmend in das Blickfeld der Aufsicht. Insbesondere die europäische Bankenaufsicht mit der European Banking Authority (EBA) hat hier mit der Guideline zum Supervisory Review and Evaluation Process (SREP) entsprechende Vorgaben gemacht. Besonders wenn strategisch umfangreiche Auslagerungen vorgenommen werden, ist dies Teil des Geschäftsmodells und beeinflusst damit die Nachhaltigkeit des Geschäftsmodells. In diesem Zusammenhang sind auch ex post Betrachtungen durchzuführen und die Bewertung der Wirtschaftlichkeit im Zeitverlauf hat auch mögliche zusätzliche Kosten durch eine potenzielle Schlechtleistung des Dienstleisters zu berücksichtigen. Es bedarf eindeutiger und konsistenter Prozesse zur Identifikation und Klassifikation von Auslagerungen. Hierbei ist zunächst darauf zu achten, dass es eine unternehmensweit einheitliche Begriffsdefinition der Begriffe Auslagerungen, wesentliche Auslagerungen, sonstiger Fremdbezug gibt. Im Rahmen dessen ist auch klar zu regeln, anhand Michael Plaumann- Ewerdwalbesloh Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft, michael.plaumann@ de.ey.com Dr. Max Weber Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft, max.weber@de.ey.com welcher Kriterien ein Fremdbezug als Auslagerung i. S. d. 25b KWG i. V. m. AT 9 MaRisk identifiziert bzw. klassifiziert wird und wie die Wesentlichkeit festgelegt wird. Hierbei gilt: Die Identifikation und Klassifizierung von Auslagerungen stellt die Weichen für den weiteren Umgang mit dem Leistungsbezug. Fehleinschätzungen wirken damit von der Vertragsgestaltung über die Auslagerungssteuerung bis hin zu den Exit-Strategien durch. Von entscheidender Bedeutung ist die Steuerung und Überwachung von Auslagerungen auch unter Risikogesichtspunkten unabhängig von dezidierten aufsichtsrechtlichen Vorgaben, wie sie AT 9, Tz. 7 MaRisk vorsieht. Hierzu ist zunächst ein übergreifendes und mit den Strategien konsistentes Überwachungskonzept zu entwickeln. Dieses muss konkrete Steuerungs- und Überwachungsindikatoren (Performance- und Risikoindikatoren) beinhalten, mit denen die ausgelagerten Leistungen und die Performance überwacht werden können. Damit wird klargestellt, dass es keine Aus den Augen, aus dem Sinn -Mentalität geben 10 Point of Compliance 1/2015 GenoTec GmbH

11 GENOTEC ERFÜLLT AUFSICHTSRECHTLICHE ANFORDERUNGEN 1. Die Dienstleistungsbezogenen Internen Kontrollsysteme werden auf Produktebene jährlich durch eine externe Prüfungsgesellschaft nach IDW PS 951, Typ 2 geprüft. Die Prüfung nach IDW PS 951 umfasst auch die Prüfung der Funktionsfähigkeit der IR. 2. Verträge der GenoTec erfüllen durchgängig die hohen Vorgaben aus MaRisk (AT 9.6). 3. Unterstützung bei der Rückabwicklung von Verträgen (ReSourcing) ist technisch verankert. 4. Durch die Zugehörigkeit zur Genossenschaftlichen FinanzGruppe und die Art der Dienstleistung hat die GenoTec viel Erfahrung mit Abschlussprüfungen der Institute und sie verfügt über eine eigene IR. 5. Sie führt jährliche IR-Prüfungen der wesentlichen Auslagerungstätigkeiten durch und erstellt IR- Quartals- und Jahresberichte, die den Kunden zur Verfügung gestellt werden. 6. Das Berichtswesen der Beauftragten basiert auf bankindividuellen Risikoanalysen. Die Berichte werden regelmäßig, bei Bedarf auch ad hoc durch den jeweiligen Beauftragten erstellt. 7. Hohe Standardisierung schafft verbindliche und prüfungssichere Qualität. 8. Die Vereinbarung von KPIs ist in den Verträgen etabliert. 9. Die GenoTec ist in beständiger Abstimmung mit den Verbänden bei aufsichtsrechtlichen Neuerungen oder Änderungen. 10. Sie unterliegt mittelbar durch Art der Dienstleistung (im aufsichtsrechtlichen Bereich) der Aufsicht. darf; es bedarf weiterhin einer Retained Organisation bzw. der Mitarbeiter im Haus, die fachlich-inhaltlich in der Lage sind, die Leistungen, die der Dienstleister erbringt, zu beurteilen. Zur Überwachung und Steuerung gehört auch, dass Auslagerungsketten und Auslagerungskonzentrationen ausreichend transparent und ggf. gesondert überwacht werden. Eine wirksame Steuerung und Überwachung erfordert auch ein konsistentes Rollenmodell mit klaren Verantwortlichkeiten, Aufgaben und Informationsflüssen. Ein besonderes Augenmerk legt die Aufsicht auch auf die Beendigung von Auslagerungen. Hier müssen sogenannte Exit-Strategien vorliegen, die sowohl beabsichtigte als auch unbeabsichtigte Beendigungen von Auslagerungen umfassen. Es müssen allgemeine und spezifische Exit-Kriterien festgelegt werden und die (strategischen) Handlungsoptionen für Dritte nachvollziehbar dokumentiert werden. In diesem Zusammenhang ist auch sicherzustellen, dass mögliche Exit-Szenarien Bestandteil der Notfallplanung der Bank sind. Herausforderungen für den Insourcer Nicht nur für den Outsourcer, sondern auch für den Insourcer sind die Anforderungen gestiegen. Damit der Outsourcer die regulatorischen Anforderungen einhalten kann, ist er auf die Mitwirkung des Insourcers angewiesen, z. B. indem dieser regelmäßige Reports über die Performance der Leistungserbringung erstellt und an den Outsourcer übermittelt. Auch die Aufsicht nimmt die Insourcer zunehmend ins Visier, indem sie direkt bei diesen Prüfungen durchführt. Insourcer sind also gut beraten, sich entsprechendes Know-how aufzubauen, um den regulatorischen Anforderungen gerecht zu werden, und sich regelmäßig freiwilligen Prüfungen z. B. nach IDW PS 951 zu unterziehen. Für Mehrmandantendienstleister ist die große Herausforderung sicherlich, den heterogenen Anforderungen und Belangen des jeweiligen auslagernden Unternehmens gerecht zu werden und trotzdem standardisiert aufgestellt zu sein. Point of Compliance 1/2015 GenoTec GmbH 11

12 Geldwäsche-Verdachtsmeldungen Kritische Anmerkungen aus der Praxis Ende 2014 veröffentlichte die beim Bundeskriminalamt (BKA) angesiedelte Financial Intelligence Unit (FIU) ihren Jahresbericht für Wie bereits von Insidern erwartet, verzeichnete die FIU erneut einen Rekord an Verdachtsmeldungen. Gleichzeitig fordert die FIU eine bessere Zusammenarbeit zwischen Behörden und Banken. Die Zahl der Verdachtsmeldungen stieg um ganze 33 % auf (2012: ). 2 Zum Hintergrund dieser signifikanten Steigerung sollte allerdings Folgendes klargestellt werden: Bereits im Dezember 2011 wurde durch eine Gesetzesnovellierung die Bezeichnung Verdachtsanzeige in Verdachtsmeldung geändert. 3 Damit wurde die Verdachtsschwelle bewusst vom Gesetzgeber herabgesetzt. Im Ergebnis führte dies, wie zu erwarten war, zu einem Anstieg der Meldungen; teilweise von geringer Qualität bzw. von sehr geringem Verdachtsgrad. Zum Verständnis der oben skizzierten Problematik sind an dieser Stelle einige Anmerkungen zum Prozess der Verdachtsmeldung angebracht: 4 Die nachfolgende Abbildung zeigt auf, welche Schritte von den beteiligten Behörden, u. a. BKA/FIU, Landeskriminalamt (LKA) bzw. -ämtern (LKÄ), Staatsanwaltschaft sowie der gebildeten Gemeinsamen Finanzermittlungsgruppe der Polizei und des Zolls (GFG), unternommen werden müssen, damit entschieden werden kann, ob ein Ermittlungsverfahren aufgrund einer Geldwäsche-Verdachtsmeldung eröffnet, fortgeführt, eingestellt oder an eine andere Fachdienststelle zur weiteren Bearbeitung abgegeben wird. Verbrecher flexibel Bemerkenswert ist, dass in 2013 wieder der Großteil (99 %) aller Verdachtsmeldungen aus dem Finanzsektor erstattet wurden. Aus dem genossenschaftlichen Bereich kamen (2012: 2.697) Meldungen. Wie bereits in den Vorjahren ist auch in 2013 das Meldeaufkommen der Verpflichteten aus dem Nichtfinanzsektor, unter Berücksichtigung der wirtschaftlichen Bedeutung, äußerst gering. In fast der Hälfte aller gemeldeten Fälle wurde das Verfahren an eine andere polizeiliche Fachdienststelle abgegeben. Bei 43 % der Verdachtsmeldungen wurde eine Einstellung des Verfahrens angeregt, bei 32 % dieser Anregungen zur Verfahrenseinstellung bestand ein Restverdacht. Bei fast einem Drittel der an andere polizeiliche Fachdienststellen weitergeleiteten Verdachtsmeldungen wurde in Bezug zum Deliktsbereich Betrug festgestellt. In 2012 wurde ein deutlicher Rückgang ( 30 %) von Meldungen in Bezug auf sogenannte Finanzagenten verzeichnet. Dieser Trend kehrte sich im Jahr 2013 ins Gegenteil (+ 26 %) um auf Meldungen. Es zeigt sich also wieder, dass Verbrecher ihr Vorgehen unglaublich schnell an die Gegebenheiten anpassen und so auch weiterhin eine Gefahr für die Gesellschaft darstellen. Die FIU bemängelte weiterhin, dass die Staatsanwaltschaf- 1 Bundeskriminalamt / FIU Deutschland (Hrsg.), Jahresbericht 2013, Wiesbaden 2014 (abgekürzt: FIU 2013). 2 FIU 2013, Seite 6 f. 3 Gesetz zur Optimierung der Geldwäscheprävention vom , BGBl. I 2011 Nr. 70, S Zu den nachfolgenden Ausführungen siehe auch Ganguli, Indranil, Smarte Finanzsanktionen der EU Eine politikwissenschaftliche und bankpraktische Effektivitätsanalyse ausgewählter Maßnahmen, Nomos Verlag, Baden Baden 2013 (abgekürzt: Ganguli 2013), Seite 252 ff. 12 Point of Compliance 1/2015 GenoTec GmbH

13 ERSTATTUNGS- UND BEARBEITUNGSWEG EINER VERDACHTSMELDUNG NACH DEM GWG Feedback optional Bank erstattet Verdachtsmeldung Original Kopie Staatsanwaltschaft LKA/Clearingstelle Anfrage BKA GFG/FIU Informationsgewinnung/ -verdichtung Ergebnis-Rückmeldung Informationserhebung/Analyse Ermittlungsverfahren fortgeführt (u. a. Gerichtsverfahren) eingestellt weitere Maßnahmen Abgabe an Fachdienststelle Interpol Europol Schengen FIU andere Dienststellen Quelle: Adaptiert auf Grundlage von Ganguli 2013, Abbildung 5, S ten in den seltensten Fällen qualitativ hochwertige Rückmeldungen gaben. Rückmeldeverpflichtung nicht optimal ausgestaltet Dabei wurde bereits im Jahre 2005 im Rahmen der Konsultationen zum Entwurf der Dritten Anti-Geldwäsche-Richtlinie der EU (3. AGwR 5 ) durch die deutsche und europäische Kreditwirtschaft die Forderung nach einer spezifischen und verbindlichen Rückmeldung bei erstatteten Verdachtsmeldungen mit Geldwäsche- oder Terrorismusfinanzierungshintergrund mehrfach vorgebracht. Die Rückmeldeverpflichtung wurde vom europäischen Richtliniengeber jedoch nicht als eine verbindliche, sondern als eine optionale Verpflichtung für die Behörden in Art. 35 Abs. 3 der 3. AGwR normiert und im Rahmen der nationalen Umsetzung ebenfalls im 11 GwG gespiegelt. Der optionalen Feedback-Klausel nach 11 Abs. 8 Satz 3 GwG zufolge kann eine zuständige Strafverfolgungsbehörde nunmehr dem anzeigeerstattenden Verpflichteten (u. a. einem 5 Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates v zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, in: EU-Amtsblatt L 309 v , S. 15 ff. Point of Compliance 1/2015 GenoTec GmbH 13

14 AUTOREN UND ANSPRECHPARTNER Florian Fuhrig Geldwäscheprävention, geno-tec.de Dr. Indranil Ganguli Leiter Zentrale Stelle, geno-tec.de Kreditinstitut) auf Antrag nach 475 Strafprozessordnung Aktenauskunft zur Überprüfung seines Anzeigeverhaltens erteilen. Dieses Ergebnis kann aus Sicht der Kreditwirtschaft kaum als zufriedenstellend bezeichnet werden. Erforderlich ist vielmehr ein verbindliches, aktuelles oder zumindest zeitnahes und spezifisches Feedback der Strafverfolgungsbehörden. Damit wäre gewährleistet, dass der Verpflichtete verlässliche Informationen erhält. Er wäre in die Lage versetzt, über den weiteren Umgang mit dem von der Meldung Betroffenen bzw. dem verdächtigen Kunden zu entscheiden und die Aufmerksamkeit auf diejenigen Sachverhalte zu konzentrieren, die nach dem Kenntnisstand der Strafverfolgungsbehörden auch wirklich geldwäscheträchtig sind. Verbindliches Feedback erforderlich Seitdem wird diese sehr bedeutsame Forderung von der deutschen und europäischen Kreditwirtschaft auf internationaler, europäischer und nationaler Ebene in den Konsultationen mit den für die Standardsetzung, Gesetzgebung und Regulierung zuständigen Organen, Gremien und Stellen regelmäßig vorgebracht. Es ist zu hoffen, dass der EU- Richtliniengeber die Feedback-Problematik bei Verdachtsmeldungen im Rahmen des Rechtssetzungsverfahrens für eine Vierte Anti-Geldwäsche-Richtlinie der EU angeht und zur Zufriedenheit der Verpflichteten regelt. Dem Wunsch nach verbindlichem und besserem Feedback können sich die Geldwäschebeauftragten der GenoTec nur anschließen. Für eine typologische Auswertung ist es unabdingbar. Andernfalls bestünde die Gefahr, dass die Institute letztlich ihr eigenes auf institutsintern eingerichtete EDV-Research-Systemen basierendes (und möglicherweise verzerrtes) Meldeverhalten lediglich perpetuieren bzw. konservieren und zementieren. Wichtig aber wäre, das Meldeverfahren auf Grundlage eines qualifizierten behördenseitigen Feedbacks zu verfeinern. Gleiches gilt für die ungleich schwieriger zu erkennenden Fälle der Terrorismusfinanzierung. Hier konnten zwar im Jahr 2013 in Einzelfällen neue Erkenntnisse gewonnen werden, daraus sind allerdings keine generellen Verdachtskriterien ableitbar. Die Bekämpfung der Geldwäsche und der Terrorismusfinanzierung ist eine sehr komplexe Aufgabe für die Verpflichteten, die sich ständig und auch immer schneller ändert. Auch in Zukunft wird die GenoTec bei der Umsetzung der Pflichten als kompetenter Partner an der Seite der von ihr betreuten Institute stehen. 14 Point of Compliance 1/2015 GenoTec GmbH

15 IT-Sicherheit Entwurf IT-Sicherheitsgesetz: für Banken relevant? Das Bundesministerium des Inneren hat Ende 2014 den Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme veröffentlicht. Im Fokus stehen die Kritischen IT-Infrastrukturen. Mit welchen Veränderungen müssen Banken rechnen? Die Erwartungen an das IT-Sicherheitsgesetz (IT- SiG) waren wohl weitaus umfassender, als sein Inhalt tatsächlich ist. Der aktuell vorliegende Entwurf zielt bislang nur auf den Schutz der für eine digitalisierte Gesellschaft Kritischen Infrastrukturen. Er definiert in seiner vorgelegten Form also ausschließlich Regelungen für Sicherheitsvorkehrungen im Rahmen der hierbei eingesetzten IT. Seitens der Bundesregierung wurde mit dem Entwurf darauf verzichtet, ein neues, eigenständiges Gesetz zu schaffen. Der Entwurf wurde als ein sogenanntes Artikelgesetz eingereicht. Dies bedeutet, dass das IT-Sicherheitsgesetz andere Gesetze ändern wird. In erster Linie sind hier wohl das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik sowie das Telekommunikationsund Telemediengesetz zu benennen. Ziele und Ansätze Folgende zwei Ansätze sollen Kritische IT-Infrastrukturen künftig besser schützen. Sie stellen zugleich die Kernziele des IT-Sicherheitsgesetzes dar. 1. Der Entwurf sieht vor, dass Maßnahmen zum Schutz der IT für Kritische Infrastrukturen gesetzliche Pflicht werden. 2. Darüber hinaus verpflichtet das Gesetz Unternehmen auch Kreditgenossenschaften, den Staat über Schwachstellen und Sicherheitsvorfälle zu informieren. Damit möchte der Staat unter Einbeziehung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ein Lagebild über die Sicherheits- und Gefährdungslage erhalten. Das BSI wird durch die Regelungen des IT-Sicherheitsgesetzes zur zentralen Behörde zum Schutz der IT-Sicherheit im Bereich sogenannter Kritischer Infrastrukturen. Mit dem Begriff Kritische Infrastruktur spricht der Gesetzgeber Betreiber solcher Infrastrukturen an, die in einer durch das Bundesministerium des Inneren (BMI) noch zu erlassenden Rechtsverordnung als systemrelevante Kritische Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzund Versicherungswesen festgelegt werden. Die Einschränkung auf systemrelevante Kritische Infrastrukturen lässt erwarten, dass wohl die Rechenzentrale, aber nicht jede Kreditgenossenschaft den Bereichen Kritischer Infrastruktur zugeordnet werden wird. Eine abschließende Beurteilung wird aber erst nach Verabschiedung der noch ausstehenden Rechtsverordnung vorgenommen werden können. Schutz Kritischer IT-Infrastrukturen Mit dem Schutz der Kritischen IT-Infrastrukturen will die Bundesregierung durch das IT-Sicherheitsgesetz den weitreichenden gesellschaftlichen Folgen eines Ausfalls solcher Infrastrukturen und ihrer besonderen Verantwortung für das Gemeinwohl Rechnung tragen. Eine Ausnahme wurde für sogenannte Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG vom 6. Mai 2003 geschaffen. Dies bedeutet, dass Unternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsätze bzw. Jahresbilanzen zwei Millionen Euro nicht Point of Compliance 1/2015 GenoTec GmbH 15

16 Die vom IT-Sicherheitsgesetz betroffenen Unternehmen müssen zukünftig im zweijährigen Turnus gegenüber dem BSI nachweisen, dass die Sicherheitsanforderungen erfüllt wurden. Hierzu muss eine Aufstellung der zu diesem Zweck durchgeführten Sicherheitsaudits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel zur Verfügung gestellt werden. Weiter wird durch die Neuregelung das BSI zur zentralen Meldestelle für IT-Sicherheitsvorfälle bei Kritischen Infrastrukturen. Ziel ist ein neues, detaillierteres Lagebild zur Cybersicherheit in Deutschland. Ausnahmen wurden für Betreiber Kritischer Infrastrukturen geschaffen, für die aus oder aufgrund von sonstigen Rechtsvorschriften des Bundes vergleichbare oder weitergehende Anforderungen im Sinne des IT-Sicherheitsgesetzes bestehen (z. B. Telekommunikationsdienstleister). Fazit überschreiten, vom Geltungsbereich des Gesetzes ausgenommen wurden. Als zentrale Regelung sind angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Es sind Kriterien festzulegen, nach denen die Angemessenheit der Vorkehrungen und Maßnahmen bewertet wird. Der Stand der Technik ist zu berücksichtigen, aber nicht zwingend umzusetzen. Zudem sieht das Gesetz die Möglichkeit vor, die Sicherheitsstandards branchenspezifisch zu konkretisieren. Sie sind dann allerdings erst nach einer Anerkennung durch das BSI verbindlich. Nachweis- und Meldepflicht Das Ziel des IT-Sicherheitsgesetzes ist zu begrüßen. Die Diskussion um das Gesetz wird für weitere Sensibilität für das Thema sorgen. Inwieweit das Gesetz für Kreditgenossenschaften von Relevanz sein wird, bleibt mit Blick auf die Definition einer noch ausstehenden Rechtsverordnung abzuwarten. Eine Detailbetrachtung der im Entwurf enthaltenen Regelungen zeigt, dass ggf. noch weitere Überarbeitungen erforderlich sind und der Gesetzgeber unter dem Aspekt der Verhältnismäßigkeit das Maß der Verpflichtung nochmals bewerten sollte. AUTOR UND ANSPRECHPARTNER Markus Krug Stv. Leiter IT-Sicherheit und Datenschutz, Leiter Regionalbereich Deutschland-Süd, 16 Point of Compliance 1/2015 GenoTec GmbH

17 PUNKTUM IT-Sicherheit und Datenschutz Näher dran Ihrem Wunsch nachkommend betreuen wir Sie in dem Bereich IT- Sicherheit & Datenschutz künftig von drei Regionalzentren aus. Wir werden so unserer subsidiären Position gegenüber Ihren Regionalverbänden noch stärker gerecht und können Ihre Interessen effektiver wahrnehmen. Die Banken im Norden Deutschlands werden künftig unter der fachlichen Leitung von Michael Switalla, die Banken in der Mitte Deutschlands von Thomas Grebe und die Banken im Süden Deutschlands von Markus Krug betreut werden. Dieses Trio wird auch die neue Führungsspitze des Bereiches bilden. Die Bereichsleitung wird durch Thomas Grebe wahrgenommen, der in enger Abstimmung mit seinen beiden Vertretern, Markus Krug und Michael Switalla, agieren wird. Ulrike Seip, bisherige Leiterin des Bereiches IT-Sicherheit & Datenschutz, hat unser Unternehmen auf eigenen Wunsch verlassen, um sich neuen beruflichen Herausforderungen zu stellen. Wir möchten Ulrike Seip auch auf diesem Weg für die lange, gute und vertrauensvolle Zusammenarbeit danken: Für ihre neue Tätigkeit wünschen wir ihr viel Erfolg und alles Gute. (red.) Für Sie im Einsatz, v. l. n. r.: Markus Krug (Region Süd), Thomas Grebe (Region Mitte), Michael Switalla (Region Nord) REGION NORD Michael Switalla Telefon: REGION MITTE Thomas Grebe Telefon: Nordrhein-Westfalen Hessen Rheinland-Pfalz Saarland Schleswig-Holstein Hamburg Bremen Niedersachsen Mecklenburg-Vorpommern Berlin/Brandenburg Sachsen-Anhalt REGION SÜD Markus Krug Telefon: Sachsen Thüringen Baden-Württemberg Bayern Point of Compliance 1/2015 GenoTec GmbH 17

18 PUNKTUM WpHG-Compliance Wie erkennen Sie ein Mitarbeitergeschäft? Überwachungslisten nach 33b WpHG von Martin Hierlemann Wie erkennen Sie, ob Ihre Mitarbeiter in Interessenkonflikte geraten könnten? Ob sie Zugang zu Insiderinformationen und anderen vertraulichen Informationen haben oder Kenntnis von Kundenaufträgen erlangen könnten, die für Eigengeschäfte missbraucht werden können? Der BaFin (RS 8/2008 (WA)) zufolge sind damit alle Geschäfte außerhalb des Aufgabenbereichs eines Mitarbeiters gemeint, die er für eigene oder fremde Rechnung tätigt. Diese Aktivitäten und Handlungen sind laufend im Sinne der genannten Anforderungen zu überwachen. Die Überwachung der Mitarbeitergeschäfte ist darüber hinaus schlüssig und transparent aufzubereiten und schlussendlich zu dokumentieren, damit auch ein Dritter dies ohne Schwierigkeiten nachvollziehen kann. Dazu muss der Compliance-Beauftragte eine Vielzahl von Informationen aus verschiedenen Quellen zusammenführen, auswerten und aufbereiten. Eine Tätigkeit, die erhebliche Zeit in Anspruch nimmt. Und nicht nur das. Durch die Nutzung heterogener Quellen sind Übertragungs- und Interpretationsfehler möglich. Wir können Sie hier unterstützen mit entsprechend aufbereiteten Mitarbeitergeschäft-Überwachungslisten. Sie weisen jedes Mitarbeiter- oder Eigengeschäft der Bank aus, setzen es in Beziehung zu den anderen Marktgeschäften und zeigen potenzielle Kollisionen auf. Wöchentlich erhält die Bank fünf Listen Mitarbeitergeschäfte, Depot-A-Geschäfte, Großorders, Beobachtungs- bzw. Sperrlisten sowie Front- bzw. Parallelrunning, mit denen sie alle Anforderungen des 33b WpHG einfach, schnell und präzise erledigen kann. Die fünf Überwachungslisten sind durch drei Merkmale gekennzeichnet (siehe auch nebenstehende Abbildung): überwachter Personenkreis, Überwachungsinhalt, Zweck und Nutzen. Die ersten beiden Listen sind die eigentlichen Überwachungslisten. Mit den drei zusätzlichen begleitenden Auswertungslisten kann der Compliance-Beauftragte beurteilen, ob mögliche Kollisionen bei den Mitarbeiter- oder Eigengeschäften der Bank auftreten. Neun Neuerungen und Verbesserungen zeichnen die runderneuerten Listen aus: die Verbesserung der Aussagekraft durch geändertes Layout und Übersetzung aller WP2-Schlüssel; alle Kollisionen sind auf einen Blick erkennbar; alle Beteiligten werden differenziert dargestellt: Mitarbeiter, Depotinhaber, Auftraggeber, Erfasser; die verschiedenen Rollen des Mitarbeiters werden ausgewiesen: Inhaber, Gemeinschaftskontoinhaber, Bevollmächtigter; die schnellere Prüfung der Selbstfreigaben durch Anzeige der Namen zur User-ID; die Großorderkennung nach individuell bestimmbaren Kriterien zu Mindestordergröße, Ausschluss von Geschäftsarten oder Börsenplatz ist wählbar; zusätzliche Wertpapierinformationen wie Gattungsgruppen und Index-Zugehörigkeit werden angezeigt; die gezieltere Insiderüberwachung durch Kennzeichnung von Vertraulichkeitsbereichen ist möglich; besondere Sachverhalte für den Compliance-Beauftragten, die Statistik und externe oder interne Prüfungen sind darstellbar. 18 Point of Compliance 1/2015 GenoTec GmbH

19 PUNKTUM DIE FÜNF ÜBERWACHUNGSLISTEN Überwachungspersonenkreis Untersuchungsinhalt Zweck/Nutzen Überwachungslisten für die Kontrollhandlung des Compliance-Beauftragten Überwachungsliste 1: Mitarbeitergeschäfte Mitarbeiter (inkl. Vollmachten) Überwachungsliste 2: Depot-A-Geschäfte Alle WP-Geschäfte plus Kollisionen: Großorders Haltefrist Häufigkeit Watch List/Restricted List Front-/Parallelrunning Transparenz über alle Mitarbeitergeschäfte und potenzielle Kollisionen Bank (Depot-A-Geschäfte) Alle WP-Geschäfte plus Kollisionen: Großorders Watch List/Restricted List Front-/Parallelrunning Transparenz über alle Depot-A- Geschäfte inkl. Anzeige aller Kollisionen Begleitende Auswertungen für die Beurteilung durch den Compliance-Beauftragten Überwachungsliste 3: Großorders Mitarbeiter, Bank, Kunden Alle Großorders und marktenge Werte (nach fest vorgegebenen sowie individuell definierbaren Kriterien) Welche Marktteilnehmer tätigen potenziell kursbeeinflussende Geschäfte? Überwachungsliste 4: Beobachtungs-/Sperrlisten Mitarbeiter, Bank, Kunden (gezielte Insiderüberwachung) Auffälligkeiten/Verstöße: Beobachtungsliste (Watch List) Sperrliste (Restricted List) Welche Marktteilnehmer tätigen Geschäfte innerhalb der Beobachtungs- und Sperrlisten? Überwachungsliste 5: Front-/Parallelrunning Mitarbeiter, Bank, Kunden Auffälligkeiten/Verstöße: Handel gleicher Wertpapiere innerhalb eines definierten Zeitfensters Wurde gegen das Verbot des Vor-, Mitund Gegenlaufens verstoßen? Durch diese neuen Funktionalitäten lässt sich die zeitaufwendige und arbeitsintensive Mitarbeiter- und Eigengeschäftsüberwachung einfacher, präziser und kostengünstiger lösen. Überzeugen Sie sich selbst und fordern Sie unsere neuen Mitarbeitergeschäft-Überwachungslisten an. Ansprechpartner: Martin Hierlemann, Leiter Vertrieb, Point of Compliance 1/2015 GenoTec GmbH 19

20 PUNKTUM MaRisk-Compliance Rechtlich-regulatives Monitoring Praktikabilität großgeschrieben von Peter Uherr Das rechtlich-regulative Monitoring der GenoTec informiert unsere Kunden über MaRisk-Compliance-relevante Änderungen und Neuerungen in komprimierter und verständlicher Form. Wir konzentrieren uns hierbei auf die vom BVR identifizierten, MaRisk-Compliancerelevanten Rechtsgebiete. Diese analysieren wir aber umso gewissenhafter. Sowohl auf der zeitlichen als auch auf der inhaltlichen Ebene geben wir Ihnen Hinweise zur Behandlung der einschlägigen gesetzlichen Änderungen und höchstrichterlichen Rechtsprechung. Auf eine Darstellung irrelevanter oder nach MaRisk-Compliance nicht notwendiger Informationen verzichten wir bewusst. Ziel ist, die von Ihnen für die Verarbeitung der bereitgestellten Informationen benötigten Ressourcen so gering wie möglich zu halten. Der Praxisbezug steht bei uns und unserer Dienstleistung damit eindeutig im Vordergrund. Wo es allerdings erforderlich ist, da geben wir tiefgehende und detaillierte Informationen mit direkten Verweisen zu weiteren Quellen und erste Einschätzungen und Handlungsempfehlungen. Unsere Übersicht berücksichtigt aktuelle Veröffentlichungen des Bundesministeriums der Justiz und für Verbraucherschutz, des Bundesfinanzministerium, der Financial Intelligence Unit, der deutschen Kreditwirtschaft, der BaFin, der Bundesbank, des BVR, der Verbände, BaFin-Rundschreiben etc. sowie die aktuelle Rechtsprechung. Sie alle Urteile, Gesetze, Auslegungshinweise und Rundschreiben werden nach der Ma- Risk-Compliance-Relevanz gefiltert. Dabei können wir nicht nur auf das gesamte Know-how der Genossenschaftlichen FinanzGruppe zugreifen, sondern auch auf das Know-how unserer eigenen Juristen sowie auf die Expertise von mehr als 60 Compliance- Beauftragten mit zusammen mehr als 300 Mandaten in allen Bereichen des regulatorischen Beauftragtenwesens. Schlussendlich haben wir uns des Know-hows von Ernst & Young versichert und können so eine zusätzliche (externe) Qualitätssicherung gewährleisten. Sofern die Bank die Funktion des MaRisk- Compliance-Beauftragten nicht ausgelagert hat, ist das rechtliche Monitoring eine kostengünstige Ergänzung der bankinternen Compliance-Funktion. Es gibt dem handelnden Beauftragten das notwendige Werkzeug an die Hand, das ihn in seiner Aufgabe optimal und praktikabel unterstützt. Er kann so jederzeit abgleichen, ob seine Bank die relevanten Änderungen und Neuerungen angemessen beachtet und die notwendigen Vorkehrungen zur Umsetzung der rechtlichen Vorgaben ergriffen hat. Compliance im besten Sinne eben. Gerne können Sie ein Muster des Monitorings unter anfordern. Ansprechpartner: Peter Uherr, stv. Leiter MaRisk-Compliance, geno-tec.de 20 Point of Compliance 1/2015 GenoTec GmbH