Gelebte Compliance-Kultur dank strukturierter Prozesse

Dr. Martin Rohmann
Dr. Martin Rohmann

Gastbeitrag von Martin Rohmann, ORO Services GmbH

Die wachsenden Anforderungen in der Finanzmarktregulierung stellen die Branche derzeit vor hohe Herausforderungen. Nicht nur bestehende Geschäftsmodelle stehen auf dem Prüfstand – mit der zunehmenden Komplexität steigt auch die Verantwortung an Geschäftsleiter, die rechtlichen Vorgaben einzuhalten.

Da häufig der Gesamtüberblick über verbindliche Normen fehlt, ist das Management der Risiken aus nicht eingehaltenen Gesetzesvorgaben eine kaum zu bewältigende Aufgabe. Die Konsequenzen reichen von direkten Vermögensschäden über Reputations- und Kundenverluste bis hin zu Strafzahlungen oder gar Sanktionen.

Mit ihrem Entwurf der überarbeiteten InvMaRisk, die künftig Mindestanforderungen an das Risikomanagement für Kapitalverwaltungsgesellschaften (KAMaRisk) heißen soll, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im November unter anderem die Mindestanforderungen an das Risikomanagement von AIF-KVGen festgelegt. In diesem Zusammenhang betont sie, dass Kapitalverwaltungsgesellschaften verpflichtet sind, eine dauerhafte und wirksame Compliance-Funktion zu etablieren. Diese soll nicht nur anlassbezogen, sondern regelmäßig Überwachungshandlungen durchführen, in der alle wesentlichen Bereiche unter Berücksichtigung ihres Risikogehalts einzubeziehen sind. Um die Fülle und Komplexität regulatorischer Vorgaben zu steuern und damit die geforderte Compliance-Funktion zu erfüllen, ist ein systematischer Ansatz erforderlich, der sich in sechs Schritte gliedern lässt:

Schritt 1: Laufendes Legal Monitoring als Basis
Das kontinuierliche Regulatory Monitoring, das täglich alle aufsichtsrechtlich relevanten Quellen – von der Bundesregierung über die EZB bis zum Baseler Ausschuss – prüft und wichtige Dokumente in einem Legal Inventory erfasst, bindet erhebliche Ressourcen. Regupedia.de, das Recherche- und Analysetool für Finanzmarktregulierung, hat derzeit weit mehr als 400 verbindliche Rechtsnormen und mehr als 800 ergänzende Dokumente und Gesetzesinitiativen identifiziert, die im deutschen Rechtsraum für Kapitalverwaltungsgesellschaften relevant sind.

Schritt 2: Wichtigste Rechtsnormen bestimmen
Die Einschätzung, welche Rechtsnormen für eine Organisation wesentlich sind, kann nur anhand des Geschäftsmodells erfolgen und berücksichtigt die potenziellen Risiken, die sich aus der Nichteinhaltung von Normen und Standards ergeben. Die Verantwortlichen müssen daher eine individuelle Risikoeinschätzung vornehmen, um zu bestimmen, welche Vermögens- und Reputationsschäden oder disziplinarische Maßnahmen die Folge sein könnten.

Schritt 3: Compliance-Risk-Assessment
In diesem Schritt werden die Risiken aus den als wesentlich identifizierten Normen und Standards anhand definierter Kriterien, beispielsweise bisherige Auffälligkeiten aus Prüfungsergebnissen, geprüft. Die jeweiligen Informationen werden nach einem Scoring-Verfahren mit Punkten bewertet, um so einen vorläufigen Risikowert zu erhalten. Das Compliance-Risiko kann danach zu jeder wesentlichen Rechtsnorm sowohl mit einem Risikowert als auch qualitativ bewertet werden.

Schritt 4: Analyse und Implementierung
Dabei müssen Organisationen zwischen etablierten Rechtsnormen, die in Kraft sind, und neuen Rechtsnormen unterscheiden, bei denen eventuell Handlungsbedarf besteht. Da bereits mit dem laufenden Regulatory Monitoring (Schritt 1) Rechtsnormen im Entwurfsstadium erfasst werden, stehen hier bereits die Informationen zur Erstellung von Auswirkungsanalysen auf Geschäftsbereiche und IT-Systeme zur Verfügung. Generische Auswirkungsanalysen, wie sie Regupedia.de bietet, sind dabei die Ausgangsbasis für weitere interne Analysen.

Schritt 5: Laufende Überwachung mittels Compliance-Kontrollplan
Eine der wichtigsten Aufgaben - und gleichzeitig die komplexeste - im regulatorischen Risikomanagement besteht darin, die Einhaltung der Rechtsnormen zu überwachen. Da anhand von isolierten Kontrollplänen in einzelnen Bereichen der Organisation häufig nur Kennzahlen abgefragt werden, treten die wirklichen Risiken häufig nicht zum Vorschein. Unternehmen sollten daher abteilungsübergreifend prüfen, ob die internen Verfahren mit Blick auf die wichtigsten Rechtsnormen angemessen und wirksam sind.

Schritt 6: Berichterstattung zur Compliance-Risikosituation
Für eine effektive Steuerung des Compliance-Prozesses ist ein vollständiger Überblick über den Status der wesentlichen Rechtsnormen und der Risikosituation erforderlich. Nur so sind Geschäftsleiter und Compliance-Verantwortliche in der Lage, alle relevanten Normen zu identifizieren, Prozesse und Verantwortlichkeiten zuzuweisen und deren Einhaltung regelmäßig zu prüfen und zu kommunizieren.

Fazit: Einen strukturierten und kontinuierlichen Compliance-Prozess wie das regulatorische Risikomanagement zu etablieren, stellt mehr als nur die Erfüllung der Vorgaben an die Compliance-Funktion sicher. Damit lassen sich nicht nur aktuelle Gesetze und künftige Vorhaben bündeln und priorisieren, sondern auch Kontroll- und Berichtsprozesse verbessern. Last but not least fördert dies auch eine gelebte Compliance-Kultur in Organisationen.

Dr. Martin Rohmann, Geschäftsführer der Frankfurter ORO Services GmbH, ist Experte für die Umsetzung regulatorischer Vorgaben. Der Beitrag ist zuerst erschienen in EXXECNEWS Ausgabe 26/2016.

www.regupedia.de

Zurück

Gastbeiträge
Christian Scherrmann
Christian Scherrmann

Kommentar von Christian Scherrmann (DWS) im Anschluss an die Fed-Sitzung am 1. ...

Franck Dixmier
Franck Dixmier

Kommentar von Franck Dixmier (Allianz Global Investors) im Vorfeld der ...

Datenschutzeinstellungen

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.
In dieser Übersicht können Sie, einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Essenziell
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen . Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Essenziell
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Gruppe Analyse
Name Google Analytics
Technischer Name _gat,_ga_gid
Anbieter Google
Ablauf in Tagen 1
Datenschutz https://policies.google.com/privacy
Zweck Tracking
Erlaubt
Gruppe Essenziell
Name Contao HTTPS CSRF Token
Technischer Name csrf_https-contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Essenziell
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt