Die Compliance-Funktion als Bestandteil des internen Risikomanagements

Transkript

1 SCHÄFER Einleitung Nur wenige Rechtsgebiete dürften sich ähnlich schnell entwickeln wie das Kapitalmarktrecht, dessen aufsichtsrechtliche Seite u. a. auf dem Wertpapierhandelsgesetz (WpHG) beruht. Einen wesentlichen Teil hiervon bilden die sog. Verhaltens- und Organisationspflichten als zentraler Bestandteil der 31 ff. WpHG. Eine besondere Rolle spielt hierbei die von den Wertpapierdienstleistungsunternehmen einzurichtende Compliance-Funktion Vor diesem Hintergrund stellt das vorliegende Werk die Anforderungen an die Compliance-Funktion, den Compliance-Beauftragten als deren Leiter und deren Einbindung in das interne Kontrollsystem eines Wertpapierdienstleistungsunternehmens dar. Gemeint ist hier insbesondere die sog. Wertpapier- Compliance, wenngleich diese in der Praxis nicht völlig isoliert von anderen Compliance-Tätigkeiten gesehen werden kann. Auch ein Großteil der Rechtsgebiete, mit denen Compliance sei es überwachend oder präventiv zu tun hat, wird behandelt. Hinzu kommen Ausführungen zur Prüfung der Wertpapierdienstleistungsunternehmen durch die Interne Revision. Das abschließende Kapitel widmet sich Fragestellungen des Kapitalmarktstrafrechts. Zahlreiche Praxisbeispiele belegen den Charakter des Buches als»praktiker- Buch«für alle, die sich in den Banken, Sparkassen und Finanzdienstleistungsunternehmen in irgendeiner Form mit den Verhaltens- und Organisationsregeln des WpHG und insbesondere Fragen der Compliance-Funktion beschäftigen. Die Autoren sind allesamt erfahrene Praktiker, die das Thema jeweils»von ihrer Warte«aus betrachten. Ihre Beiträge geben ihre private Meinung wieder. Für Anregungen, aber auch Kritik sind der Herausgeber und die Autoren offen und dankbar. Frankfurt am Main, Juni 2014 Holger Schäfer 1

2

3 A. Die Compliance-Funktion als Bestandteil des internen Risikomanagements

4

5 A. Die Compliance-Funktion als Bestandteil des internen Risikomanagements SCHÄPERS Die grundlegende Vorschrift für das interne Risikomanagement hat der Gesetzgeber mit 25a KWG geschaffen. Gemäß 25a KWG ist ein Kreditinstitut verpflichtet, ein geeignetes System zur Risikosteuerung und Risikoüberwachung einzurichten. Diese Vorschrift konkretisierend, hat die BaFin mit Rundschreiben 18/2005 Verwaltungsanweisungen veröffentlicht. 1 I. Verhältnis der Compliance zu den MaRisk Die»Mindestanforderungen an das Risikomanagement«(in der Folge»MaRisk«) sind zuletzt mit Rundschreiben 10/2012 vom 14. Dezember 2012 geändert worden. In den aktuellen MaRisk wird die Umsetzung von Basel III in der EU (CRD IV), die EBA Guidelines on Internal Governance (GL 44), die CEBS Guidelines on Liquidity Cost Benefit Allocation (GL 36) und zwei Empfehlungen des European Systemic Risk Board (ESRB) vor - genommen. Die MaRisk sind eine verbindliche Auslegung des 25a KWG. Die Einhaltung der MaRisk wird von den Jahresabschlussprüfern geprüft und kann auch Gegenstand von Sonderprüfungen nach 44 KWG sein. Gemäß 33 Abs. 1 Satz 1 WpHG gelten auch für die Erbringung von Wertpapierdienstleistungen die organisatorischen Anforderungen des 25a KWG Ordnungsgemäße Geschäftsorganisation Die maßgebliche Vorgabe des 25a KWG beinhaltet die Vorgabe einer ordnungsgemäßen Geschäftsorganisation, die insbesondere durch angemessenes und wirksames Risikomanagement zu erfolgen hat. Ein angemessenes und wirksames Risikomanagement kann nur dann gegeben sein, wenn die gesetzlichen Anforderungen des 25a KWG (konkretisiert in den MaRisk) erfüllt sind. Demnach muss die Festlegung von Strategien erfolgen, ein internes Kontrollverfahren inklusive der Etablierung eines Internen Kontrollsystems (IKS) und einer Internen Revision eingerichtet sein, eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts vorhanden sein und ein angemessenes Notfallkonzept festgelegt sein. Die MaRisk dienen den Instituten hierbei als verbindliche Auslegung der Vorgaben. Letztlich wird konkretisiert, wie z. B. die personelle und technisch-organisatorische Ausstattung des Instituts angelegt sein sollte, damit diese angemessen im Sinne des Gesetzes ist. Diese Zielrichtung verfolgen auch die MaComp (Veröffent - 3 5

6 INTERNES RISIKOMANAGEMENT lichung der ersten Fassung am ) Sowohl die MaComp als auch die MaRisk dienen letztlich vor allem dem Zweck, eine verbindliche Grundlage für die Institute zu setzen, um die Vorgaben des 25a KWG zu erfüllen. Die MaComp statuierten daher in AT 7 Nr. 1 erneut die Regelung des 33 WpHG (Geltung der organisatorischen Anforderungen des 25a KWG auch für Wertpapierdienstleistungen). Die Wortwahl und der Aufbau in den MaComp ist somit zwangsläufig aus Gründen der einheitlichen Auslegung des 25a KWG ähnlich der der MaRisk. Es erfolgt dementsprechend in den MaComp AT 7 der Verweis, dass die Vorgaben des 25a KWG einschließlich der Konkretisierungen der MaRisk gelten. Inhaltlich geben die MaComp verbindliche Auslegungen zu den gesetzlichen Vorgaben im Zusammenhang mit der Erbringung von Wertpapierdienstleistungen und somit zur ordnungsgemäßen Geschäftsorganisation bezogen auf den Teilbestandteil Wertpapierdienstleistungen, während die MaRisk Auslegungen im Hinblick auf die Gesamtorganisation des Instituts beinhaltet. Letztlich ist somit die Compliance-Funktion Teilbestandteil der Gesamtorganisation des Instituts zur Einhaltung der Vorgaben des 25a KWG. 2. Proportionalitätsgrundsatz 4 Die Ausgestaltung des Risikomanagements muss dem Proportionalitätsprinzip entsprechen, hängt also von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab. Dem Proportionalitätsprinzip tragen sowohl die MaComp als auch die MaRisk Rechnung. In den MaComp finden sich an zahlreichen Stellen Möglichkeiten für die Institute, die individuellen Regelungen und Maßnahmen auf die jeweilige Risikostruktur des Hauses bezogen zu treffen. Es handelt sich daher bei den Regelungen zumeist um grundsätzliche Vorgaben, deren Umsetzung letztlich immer unter die hausindividuellen Situationen zu subsumieren sind. Sofern die Risikosituation des Instituts begründet eine andere Organisation oder Maßnahme als in den MaComp vorgegeben erfordert, entspricht es gerade dem Proportionalitätsprinzip, dieser individuellen Risikosituation durch eine individuelle Organisation oder Maßnahmen Rechnung zu tragen. 6

7 SCHÄPERS Die Abbildung verdeutlicht die Umsetzung der MaComp in einem Institut. Der Kreis ist das individuelle Institut und die Umsetzung der Vorgaben. Es ist zu erkennen, dass die Schnittmenge mit den Vorgaben der MaComp nicht 1:1 übereinstimmt, aber dies ist nur auf den ersten Blick tatsächlich so. Auch an Stellen an denen scheinbar keine Schnittmenge besteht, ist die Umsetzung zu 100 % nach den Vorgaben den MaComp erfolgt. Da auch die MaComp dem Proportionalitätsprinzip entsprechend gestaltet sind, hat im Ergebnis jedes Institut die individuellen Besonderheiten zu berücksichtigen. Nur wenn dies erfolgt, ist die Organisation tatsächlich angemessen im Sinne des 25a KWG. Die Umsetzung der Vorgaben der MaComp ist schriftlich mit den entsprechenden Prüfungen und Begründungen zu dokumentieren. Zu berücksichtigen ist, dass die BaFin in ihrem Anschreiben zu den MaRisk deutlich macht, dass in der aktuellen MaRisk-Fassung dem Prinzip der sog.»proportionalität nach oben«ein stärkeres Gewicht als bisher eingeräumt wurde und ihr daran gelegen ist, dass»das in den MaRisk angelegte Proportionalitätsprinzip nicht ausschließlich im Zusammenhang mit einer weniger anspruchsvollen Anwendung bei weniger großen Instituten diskutiert wird«. Es ist davon auszugehen, dass dies gegebenenfalls auch bei Neufassungen der MaComp eine Rolle spielen wird. 5 7

8 INTERNES RISIKOMANAGEMENT 3. Die Compliance-Funktion in den MaRisk 6 7 Nach den aktuellen MaRisk müssen die Institute über eine Compliance-Funktion verfügen. Diese soll dazu dienen, den Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können, entgegenzuwirken. Die neue Compliance-Funktion muss nach den MaRisk (AT 4.4.2) auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hin wirken. Außerdem soll diese neue Compliance-Funktion die Geschäftsleitung hinsichtlich der Einhaltung dieser rechtlichen Regelungen und Vorgaben unterstützen und beraten. Teil der neuen Vorgaben ist auch die Pflicht, einen Compliance-Beauftragten zu benennen. Dieser ist für die Erfüllung der Aufgaben der Compliance-Funktion verantwortlich. Diese Regelung in den MaRisk schien zunächst damit zu kollidieren, dass die Kreditinstitute bereits einen Compliance-Beauftragten hatten, nämlich denjenigen, der nach WpHG und MaComp zu benennen ist. Dieser jedoch ist für die Einhaltung der Pflichten aus WpHG und MaComp zuständig, wohingegen der MaRisk- Compliance-Beauftragte bzw. die MaRisk-Compliance-Funktion für die Einhaltung rechtlicher Regelungen und Vorgaben, die im Zusammenhang mit der Compliance-Funktion nach MaRisk relevant sind, verantwortlich ist. In ihrem Anschreiben zur Veröffentlichung der aktuellen MaRisk beschreibt die BaFin, dass als solche diejenigen angesehen werden können, denen ein wesentliches Compliance-Risiko anhaftet. Klarstellend findet sich in den Erläuterungen zu den MaRisk die Aussage, dass alle sonstigen Vorgaben zur Compliance- Funktion, die sich aus anderen Aufsichtsgesetzen ergeben (insbesondere 33 WphG in Verbindung mit dem Rundschreiben»MaComp«; 25c KWG in Verbindung mit konkretisierenden Verwaltungsvorschriften), unberührt bleiben. Somit hat jedes Institut weiterhin einen (Wertpapier)-Compliance-Beauftragten und eine (Wertpapier)-Compliance-Funktion zu installieren. Dieser Beauftragte kann personengleich mit dem MaRisk-Compliance-Beauftragten sein. Sofern keine Personengleichheit besteht sind die Pflichten, insbesondere die Berichtspflichten im Institut festzulegen bzw. abzustimmen. Der MaRisk-Compliancebeauftragten kann zum Beispiel in seiner Risikoanalyse unter den Punkten»Regeln nach WpHG und MaComp«auf die Berichte und Analysen des Wertpapier-Compliance-Beauftragen verweisen bzw. die Ergebnisse und Maßnahmen heranziehen. 8

9 SCHÄPERS II. Die Compliance-Funktion im Verhältnis zu 25g KWG sonstige strafbare Handlungen Ein vergleichbarer Zusammenhang ist mit den Vorgaben zur zentralen Stelle bzw. den sonstigen strafbaren Handlungen in der aktuellen Fassung des 25g KWG gegeben. Von Bedeutung ist dabei, dass die Compliance-Funktion notwendige Voraussetzung für die Erfüllung der Vorgaben des 25a KWG ist, wiederum gleichzeitig aber ein gegenüber Maßnahmen zu sonstigen strafbaren Handlungen eigenes Gebiet abdeckt und nicht zwangsläufig organisatorisch in die zentralen Stellen des Instituts eingebunden ist. Die Compliance-Funktion leistet in dieser Hinsicht auf ihre Aufgaben bezogen die Präventions- und Maßnahmenarbeit zu strafbaren Handlungen. Deliktische Handlungen im Zusammenhang mit Wertpapierdienstleistungen werden vom Compliance-Beauftragten einer Risikoanalyse unterzogen. Die danach erforderlichen Maßnahmen werden getroffen. Am Beispiel der Interessenkonflikt-policy wird dies deutlich. Der Compliance-Beauftragte muss zur Erstellung dieser die möglichen Interessenkonflikte im Institut untersuchen und notwendige Maßnahmen ergreifen, Interessenkonflikte zu verhindern. Interessenkonflikte können gerade dadurch entstehen, dass z. B. ein Mitarbeiter durch den Verkauf eines bestimmten Wertpapieres sich oder einem anderen einen Vorteil verschaffen kann. In diesem Rahmen und im Rahmen der Mitwirkung an der Erstellung von Vergütungs- und Bonifikationsregelungen werden Straftaten wie z. B. Bestechung oder Bestechlichkeit analysiert und Maßnahmen zur Verhinderung getroffen. Die Analyse des Compliance- Beauftragten hinsichtlich dieser»strafbaren Handlungen«sollte der Vollständigkeit halber auch als Bestandteil der Gefährdungsanalyse der zentralen Stelle aufgenommen werden. Die BaFin hat in ihrem Rundschreiben 7/2011 die vom Zentralen Kreditausschuss erarbeiteten Auslegungs- und Anwendungshinweise anerkannt 1. Nach diesen Leitlinien gehören zu den sonstigen strafbaren Handlungen im Sinne des 25g Abs.1 KWG nicht der Insiderhandel und die Marktmanipulation. Ausdrücklich wird festgehalten, dass im Institut andere Stellen unter Beachtung der einschlägigen Regelungen für die Erkennung von Insiderhandel und Marktmanipulation zuständig und diese qualitativ einem anderen Risiko-management unterworfen sind BaFin, Auslegungs- und Anwendungshinweise zu 25c KWG (»sonstige strafbare Handlungen«) stand Juni 2011, 2 BaFin, Auslegungs- und Anwendungshinweise zu 25c KWG (»sonstige strafbare Handlungen«) stand Juni 2011 S. 2, 9

10 INTERNES RISIKOMANAGEMENT III. IKS und interne Revision 9 10 Das gesamte Kontrollverfahren zur ordnungsgemäßen Geschäftsorganisation im Sinne des KWG besteht zum einen aus dem prozessintegriertem Kontrollsystem und zum anderen aus der prozessunabhängigen Internen Revision. 3 Die Compliance-Funktion ist nach den MaComp Teil des internen Kontrollsystems im Sinne des 25a KWG. 4 In den MaComp insbesondere in AT 6 aufgeführte erforderliche Grundsätze, Mittel und Verfahren sind somit ebenfalls Bestandteil des internen Kontrollsystems. Anders als die Interne Revision sind die Aufgaben, die mit der Wahrnehmung der Compliance-Funktion verbunden sind, jedoch in die Prozesse des Instituts integriert. Die Compliance- Funktion ist somit nicht als weitere oder zusätzliche»revision«zu betrachten. Sie nimmt ihre Aufgaben im Rahmen der Prozesse des internen Kontrollsystems des Wertpapierdienstleistungsunternehmens wahr. Diese Integration wird an vielen Vorgaben in den MaComp deutlich. So ist z. B. die Beratung der operativen Bereiche (BT 1.2 Ziffer 1 MaComp) nur im Rahmen einer prozessgestaltenden Zusammenarbeit mit den einzelnen Fachbereichen möglich. Ebenso dienen die Überwachungsmaßnahmen der Compliance-Funktion der Bewertung und der Anpassung der Prozesse. Neben den direkt durch den Compliance-Beauftragten vorzunehmenden bzw. überwachenden Aufgaben stellt die BaFin in den MaComp klar, dass der Compliance-Beauftragte zusätzlich prozessbegleitende und präventive Funktion hat. Damit ist offensichtlich, dass der Compliance-Beauftragte anders als die Revision in die Prozesse (so z. B. NPP) direkt eingebunden wird und die Arbeit im Unternehmen bereits im Entwicklungsstadium hinsichtlich der Einhaltung der gesetzlichen und aufsichtsrechtlichen Vorgaben beeinflussen soll. Dies bietet die Chance, bereits frühzeitig neue Prozesse auf Praktikabilität aus Compliance-Sicht zu prüfen und eventuell später erforderliche umfangreichere aus Compliance- Sicht zu treffende Maßnahmen zu vermeiden. Die Einbindung des Compliance-Beauftragten in relevante Prozesse und Neuerungen muss daher in den Dienst-/Arbeitsanweisungen enthalten sein. Durch Ausübung seiner Weisungsbefugnis, welche nur durch die Geschäftsleitung durchbrochen werden kann (dies sollte dann dokumentiert werden), kann der Complianc e- Beauftragte seine prozessbegleitenden und präventiven Aufgaben unmittelbar wahrnehmen. 3 Welsch/Foshag, in Renz/Hense(Hrsg),Wertpapier-Compliance in der Praxis, S. 73 Rn BaFin, MaComp, Rundschreiben4/2010, AT 7 Ziffer 2. 10

11 SCHÄPERS Die Interne Revision gestaltet aktiv keine Prozesse, sondern nimmt nachgelagerte Prüfungen der Ausgestaltung der Prozesse hinsichtlich ihrer Angemessenheit vor. Sie greift nicht aktiv in die Gestaltung der Prozesse ein und ist kein Bestandteil des prozessintegrierten Kontrollsystems. Auch wenn sich bei Prüfungen, die der Compliance-Beauftragte in Wahrnehmung der Compliance-Funktion hinsichtlich der Vorgabe, die Angemessenheit der Verfahren und Grundsätze sowie der Mittel durchführt, überschneiden können, so hat der Compliance-Beauftragte die Prüfungen unter der Zielrichtung vorzunehmen, welche Maßnahmen er selbst auf Grundlage der Ergebnisse seiner Prüfungen noch ergreifen muss, um die Angemessenheit der Ausgestaltung der Prozesse sicher zu stellen. Das Ergebnis von Prüfungen der Internen Revision führt nicht zu Veränderungen, die diese selbst vornimmt. Insgesamt gibt es somit folgende wesentliche Abläufe im Rahmen des IKS: In die Geschäftsabläufe und internen Systeme integrierte compliancespezifische Vorkehrungen und Maßnahmen in den operationellen Geschäftsbereichen unmittelbar, Analysen, Bewertungen und Kontrollen sowie Beratung durch den Compliance-Beauftragten unmittelbar und die turnusgemäße Überprüfung durch die Interne Revision hinsichtlich der Angemessenheit und Wirksamkeit hinsichtlich der vorgenannten Maßnahmen IV. Neue IDW PS 980 Im April 2011 hat das Institut der Wirtschaftsprüfer in Deutschland (IDW) den Prüfungsstandard»Grundsätze ordnungsgemäßer Prüfungen von Compliance Management Systemen«(IDW PS 980) veröffentlicht. Im Unterschied zu den MaComp bezieht sich dieser Standard bei der Verwendung des Begriffes auf die allgemeine Definition des Begriffes»Compliance«. Danach ist unter Compliance die Einhaltung von gesetzlichen Vorgaben und Richtlinien zu verstehen. Die IDW PS 980 soll eine Vorgabe sein, um in jeglichen Unternehmen das Compliance-Management-System zu prüfen, jedoch kann sie damit auch als Grundlage für die Installierung eines wirksamen Compliance-Management- Systems in Unternehmen dienen Welsch/Foshag, in Renz/Hense(Hrsg),Wertpapier-Compliance in der Praxis, S. 75 Rn m. w. N. 11