Gelebte Compliance-Kultur dank strukturierter Prozesse
Gastbeitrag von Martin Rohmann, ORO Services GmbH
Die wachsenden Anforderungen in der Finanzmarktregulierung stellen die Branche derzeit vor hohe Herausforderungen. Nicht nur bestehende Geschäftsmodelle stehen auf dem Prüfstand – mit der zunehmenden Komplexität steigt auch die Verantwortung an Geschäftsleiter, die rechtlichen Vorgaben einzuhalten.
Da häufig der Gesamtüberblick über verbindliche Normen fehlt, ist das Management der Risiken aus nicht eingehaltenen Gesetzesvorgaben eine kaum zu bewältigende Aufgabe. Die Konsequenzen reichen von direkten Vermögensschäden über Reputations- und Kundenverluste bis hin zu Strafzahlungen oder gar Sanktionen.
Mit ihrem Entwurf der überarbeiteten InvMaRisk, die künftig Mindestanforderungen an das Risikomanagement für Kapitalverwaltungsgesellschaften (KAMaRisk) heißen soll, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im November unter anderem die Mindestanforderungen an das Risikomanagement von AIF-KVGen festgelegt. In diesem Zusammenhang betont sie, dass Kapitalverwaltungsgesellschaften verpflichtet sind, eine dauerhafte und wirksame Compliance-Funktion zu etablieren. Diese soll nicht nur anlassbezogen, sondern regelmäßig Überwachungshandlungen durchführen, in der alle wesentlichen Bereiche unter Berücksichtigung ihres Risikogehalts einzubeziehen sind. Um die Fülle und Komplexität regulatorischer Vorgaben zu steuern und damit die geforderte Compliance-Funktion zu erfüllen, ist ein systematischer Ansatz erforderlich, der sich in sechs Schritte gliedern lässt:
Schritt 1: Laufendes Legal Monitoring als Basis
Das kontinuierliche Regulatory Monitoring, das täglich alle aufsichtsrechtlich relevanten Quellen – von der Bundesregierung über die EZB bis zum Baseler Ausschuss – prüft und wichtige Dokumente in einem Legal Inventory erfasst, bindet erhebliche Ressourcen. Regupedia.de, das Recherche- und Analysetool für Finanzmarktregulierung, hat derzeit weit mehr als 400 verbindliche Rechtsnormen und mehr als 800 ergänzende Dokumente und Gesetzesinitiativen identifiziert, die im deutschen Rechtsraum für Kapitalverwaltungsgesellschaften relevant sind.
Schritt 2: Wichtigste Rechtsnormen bestimmen
Die Einschätzung, welche Rechtsnormen für eine Organisation wesentlich sind, kann nur anhand des Geschäftsmodells erfolgen und berücksichtigt die potenziellen Risiken, die sich aus der Nichteinhaltung von Normen und Standards ergeben. Die Verantwortlichen müssen daher eine individuelle Risikoeinschätzung vornehmen, um zu bestimmen, welche Vermögens- und Reputationsschäden oder disziplinarische Maßnahmen die Folge sein könnten.
Schritt 3: Compliance-Risk-Assessment
In diesem Schritt werden die Risiken aus den als wesentlich identifizierten Normen und Standards anhand definierter Kriterien, beispielsweise bisherige Auffälligkeiten aus Prüfungsergebnissen, geprüft. Die jeweiligen Informationen werden nach einem Scoring-Verfahren mit Punkten bewertet, um so einen vorläufigen Risikowert zu erhalten. Das Compliance-Risiko kann danach zu jeder wesentlichen Rechtsnorm sowohl mit einem Risikowert als auch qualitativ bewertet werden.
Schritt 4: Analyse und Implementierung
Dabei müssen Organisationen zwischen etablierten Rechtsnormen, die in Kraft sind, und neuen Rechtsnormen unterscheiden, bei denen eventuell Handlungsbedarf besteht. Da bereits mit dem laufenden Regulatory Monitoring (Schritt 1) Rechtsnormen im Entwurfsstadium erfasst werden, stehen hier bereits die Informationen zur Erstellung von Auswirkungsanalysen auf Geschäftsbereiche und IT-Systeme zur Verfügung. Generische Auswirkungsanalysen, wie sie Regupedia.de bietet, sind dabei die Ausgangsbasis für weitere interne Analysen.
Schritt 5: Laufende Überwachung mittels Compliance-Kontrollplan
Eine der wichtigsten Aufgaben - und gleichzeitig die komplexeste - im regulatorischen Risikomanagement besteht darin, die Einhaltung der Rechtsnormen zu überwachen. Da anhand von isolierten Kontrollplänen in einzelnen Bereichen der Organisation häufig nur Kennzahlen abgefragt werden, treten die wirklichen Risiken häufig nicht zum Vorschein. Unternehmen sollten daher abteilungsübergreifend prüfen, ob die internen Verfahren mit Blick auf die wichtigsten Rechtsnormen angemessen und wirksam sind.
Schritt 6: Berichterstattung zur Compliance-Risikosituation
Für eine effektive Steuerung des Compliance-Prozesses ist ein vollständiger Überblick über den Status der wesentlichen Rechtsnormen und der Risikosituation erforderlich. Nur so sind Geschäftsleiter und Compliance-Verantwortliche in der Lage, alle relevanten Normen zu identifizieren, Prozesse und Verantwortlichkeiten zuzuweisen und deren Einhaltung regelmäßig zu prüfen und zu kommunizieren.
Fazit: Einen strukturierten und kontinuierlichen Compliance-Prozess wie das regulatorische Risikomanagement zu etablieren, stellt mehr als nur die Erfüllung der Vorgaben an die Compliance-Funktion sicher. Damit lassen sich nicht nur aktuelle Gesetze und künftige Vorhaben bündeln und priorisieren, sondern auch Kontroll- und Berichtsprozesse verbessern. Last but not least fördert dies auch eine gelebte Compliance-Kultur in Organisationen.
Dr. Martin Rohmann, Geschäftsführer der Frankfurter ORO Services GmbH, ist Experte für die Umsetzung regulatorischer Vorgaben. Der Beitrag ist zuerst erschienen in EXXECNEWS Ausgabe 26/2016.
