Anzeige
GRUNDLAGE4. März 2016

MaRisk 6.0: Die Compliance-Funktion der MaRisk im Licht der 5. MaRisk-Novellierung

Sascha Hansen, Consultant bei Sopra Steria ConsultingSopra Steria Consulting
Sascha Hansen, Consultant bei Sopra Steria Consulting Sopra Steria Consulting

Anforderungen an das Risikomanagement werden seit 2005 durch norminterpretierende Verwaltungsanweisungen in Form der MaRisk konkretisiert. Mit der 4. MaRisk-Novelle wurde die Compliance-Funktion als verpflichtende Organisationseinheit innerhalb des Internen Kontrollsystems integriert. Im Zuge der europäischen Rechtssetzung stehen die MaRisk vor einer normhierarchischen Veränderung – im Raum steht die Transformation zu einer verbindlichen Rechtsverordnung.

von Sascha Hansen, Consultant bei Sopra Steria Consulting

Seit Jahren steigen die Compliance-Anforderungen für Unternehmen des Finanzsektors sowohl in Quantität als auch in Qualität. Dies ist mittlerweile nicht mehr unter die direkten Auswirkungen der Finanzkrise zu subsumieren.

Dennoch bleibt diese als auslösendes historisches Moment für die Compliance-Entwicklung maßgebend.

Als zentraler gesetzlicher Anknüpfungspunkt der qualitativen Bankenaufsicht ermächtigt §25a KWG die Finanzaufsicht dazu, den unbestimmten Rechtsbegriff der ordnungsgemäßen Geschäftsorganisation auszufüllen. Dies geschieht durch die seit 2005 existierenden Mindestanforderungen an das Risikomanagement (MaRisk). Diese norminterpretierenden Verwaltungsanweisungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) dienen den Instituten als wegweisende Leitlinien und ermöglichen den Aufsichtsbehörden transparentes und konsistentes Handeln.

Ohne den Rechtscharakter der MaRisk formaljuristisch zu untersuchen, war es aus Compliance-Gesichtspunkten immer geboten, entsprechend den MaRisk zu handeln. Mit der 4. MaRisk-Novelle[1] hat das Thema Compliance in den MaRisk jedoch nochmals eine signifikante Aufwertung erfahren. So müssen Institute seit dem 31. Dezember 2013 eine Compliance-Funktion implementiert haben, deren Aufgabe es ist, „jenen Risiken entgegenzuwirken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können.“[2] Neben neuen und konkretisierten Pflichten für Institute soll die Compliance-Funktion vor allem ein Treiber für eine einheitliche Compliance-Kultur sein[3] – im Gegensatz zu anderen Compliance-Quellen wie den MaComp oder dem WpHG ist die Compliance-Funktion nicht auf Wertpapierdienstleistungen beschränkt[4].

Als prozessabhängige Instanz ist die Compliance-Funktion zusammen mit der Risikocontrolling-Funktion Teil des Internen Kontrollsystems, welches mit der prozessunabhängigen Internen Revision das Risikomanagement bildet.[5]

Ohne einen vollumfänglichen Pflichtenkatalog zu formulieren – ohnehin sind dezidierte Compliance-Pflichten immer auch ein Ergebnis aus der in der Praxis gelebten und von der Aufsicht entwickelten Wirklichkeit – kann man der Compliance-Funktion die Rolle einer koordinativen Beratungsfunktion zuschreiben. Mithin besteht die Hauptpflicht darin, auf die Implementierung wirksamer Verfahren hinzuwirken. Insbesondere ist eine scharfe Trennung gegenüber der Implementierungsverantwortung der Geschäftsbereiche zu sehen. Die Compliance-Funktion hat eine (nicht ausschließliche) Beobachterrolle inne und identifiziert Regelungslücken, koordiniert und führt Überwachungshandlungen durch (u.a.).[6]

Aufbauorganisatorisch ist die Compliance-Funktion institutsspezifisch einzubinden, wobei sie der Geschäftsleitung unmittelbar berichtspflichtig ist und dieser folgerichtig auch organisatorisch unmittelbar zu unterstellen ist. In der Ausgestaltung – ob als Compliance Komitee, durch Ausübung der Geschäftsleitung, Implementierung einer Stab-Stelle oder anders – sind die Institute insoweit frei, als sie oben genannte Maxime erfüllen.[7]

Der Bericht an die Geschäftsleitung hat mindestens einmal jährlich sowie ad hoc zu erfolgen und umfasst die Tätigkeiten der Compliance-Funktion, die Einschätzung der Angemessenheit und Wirksamkeit getroffener Maßnahmen, Verfahren und Kontrollen sowie Angaben zu Defiziten und Maßnahmen.[8]

Umsetzung wirft Fragen auf

Obwohl die Umsetzung der Compliance-Funktion zuweilen immer noch Fragen aufwirft – z.B. über den Konsolidierungsgrad des Compliance-Berichts bei dezentralen Organisationsformen – erwartet die Branche bereits die nächste Novellierung der MaRisk, bekannt unter der 5. MaRisk-Novelle oder auch unter MaRisk 6.0. Im Zuge der Schaffung eines Einheitlichen Europäischen Abwicklungsmechanismus – welcher mit Wirkung zum 1.1.2016 in Kraft getreten ist – und den damit einhergehenden Veränderungen des institutionellen Bankengefüges, wurden neben der unmittelbaren Geltung der EU SRM-VO[9] auch nationale Gesetze angepasst. Nicht zuletzt zur Bereinigung redaktioneller Inkonsistenzen bildet der deutsche Gesetzgeber die europäischen Vorgaben durch das Abwicklungsmechanismusgesetz (AbwMechG)[10] ab, welches im Referentenentwurf auch als „SRM-Anpassungsgesetz“ bezeichnet wird. Das Gesetz enthält Anpassungen zu betroffenen nationalen Regelungen, von denen in diesem Zusammenhang die Anpassungen des Kreditwesensgesetzes einschlägig sind.

Essentiell, da mit einer normhierarchischen Aufwertung verbunden, ist die Anpassung des §25a KWG, welcher mit Absatz IV fortan

… das Bundesministerium der Finanzen […] ermächtigt, durch Rechtsverordnung […]nähere Bestimmungen über die Ausgestaltung eines angemessenen und wirksamen Risikomanagements […] und der jeweils zugehörigen Tätigkeiten und Prozesse zu erlassen.“

Für das Erlassen einer Verordnung wird im Kern die Erhöhung der Rechtssicherheit vorgebracht; sie erleichtere der Aufsicht, auf Verletzungen mit aufsichtsrechtlichen Maßnahmen und Sanktionen zu reagieren.[11] Zudem werde die Akzeptanz auf internationaler Ebene gestärkt. Diese Feststellung ist juristisch zunächst richtig, erübrigt sich schlicht der Rückgriff auf die Gesetzesgrundlage im KWG.

Anknüpfend an die Verordnungsermächtigung sieht der Referentenentwurf diversen Änderungsbedarf in den MaRisk vor.[12] Zwar würde die Compliance-Funktion von diesen Anpassungen nicht direkt tangiert; gleichwohl schlüge sich (z.B.) eine explizite Pflicht der Geschäftsleitung zur Förderung der Risikokultur zumindest mittelbar auf die Compliance-Einheiten des Unternehmens nieder. So indiziert die ureigenste Aufgabe der Compliance-Funktion, dass jede zusätzliche Verpflichtung im Anwendungsbereich der MaRisk auch in den Wirkungskreis der Compliance-Funktion mit ihrer koordinativen Beobachterrolle spielt. Fraglich wäre mitunter, inwieweit die Compliance-Funktion auf Verfahren hinwirken müsste, die der Pflicht zur Förderung der Risikokultur entsprächen und wie solche Verfahren praktisch auszugestalten wären.

Indes bleibt festzuhalten, dass es sich um eine Ermächtigung zum Erlass einer Verordnung handelt, die nach nationalem Recht keinesfalls in Anspruch genommen werden muss. Entgegen der durchaus verbreiteten Meinung, dass die nächste MaRisk-Novelle in Form einer Rechtsverordnung daherkommt, gibt es Signale, die die Abkehr von der bisher gängigen Praxis norminterpretierender Verwaltungsvorschriften in Form von Rundschreiben nicht bestätigen. So umfasst eine Stellungnahme zu einem Gesetzesentwurf der EZB vom 26. Juni 2015 Bedenken hinsichtlich der normhierarchischen Anpassung zu einer Rechtsverordnung. Demgemäß verhindern nationale, verbindliche Rechtsakte gerade die EU-weit einheitliche Anwendung der EBA-Leitlinien, indem sie entgegen dem Geist der Bankenunion die fragmentierte Rechtsordnung festigen. Dass national verbindliche Ausgestaltungen der Einzelstaaten Schwierigkeiten hinsichtlich der Rechtsharmonisierung brächten, wäre die logische Konsequenz.[13]

Auch andere Stellungnahmen attestieren den MaRisk in der heutigen Form „einen bewährten und flexiblen Rahmen für qualitative Bankenaufsicht“[14] und warnen vor dem Gebrauch der Verordnungsermächtigung, da sie unter anderem den Proportionalitätsgrundsatz und die Kongruenz zur gesellschaftsrechtlichen Pflichtenlage gefährdet sehen.

Es scheint, als habe der Gesetzgeber versucht, im Zuge der Regulierung des Abwicklungsmechanismus eine mittlerweile turnusmäßig anmutende Verschärfung von (Compliance-)Vorschriften durchzusetzen. Weder ist die Verordnungsermächtigung unter die Beweggründe des Abwicklungsmechanismus zu subsumieren, noch scheint diese notwendig, um die ohnehin zumeist praktikable und flexible Durchsetzung von Recht zu erreichen.

Unter Compliance-Gesichtspunkten bliebe die normhierarchische Aufwertung wohl letztlich ein Signal für die Akzeptanz von Compliance-Vorgaben. Dabei sei darauf hingewiesen, dass sich gerade der zuweilen erschwert eingrenzbare Bereich Compliance hinsichtlich Akzeptanz vermehrt durch eine von innen entwickelte und gelebte Compliance-Kultur definiert. Eine regulatorisch getriebene Aufwertung wäre dem Prozess nicht zwangsläufig abträglich. Jedoch darf bezweifelt werden, inwieweit die hierarchische Aufwertung einer Norm, den kulturellen Compliance-Wandel vorantreiben kann; geht es bei Compliance-Kultur doch um die tatsächlich (vor-)gelebte Kultur, die durch institutsinterne Überzeugungsarbeit geschaffen werden muss.[15]

Bei einer angemessenen Konsultationszeit ist mit einer MaRisk-Novellierung vor Ende 2016 nicht zu rechnen.”

Es bleibt abzuwarten, inwieweit der Regulator Gebrauch von der Verordnungsermächtigung macht oder ob er der altbewährten Form der Rundschreiben treu bleibt. In jedem Fall ist eine Abkehr von zunehmenden Compliance-Verpflichtungen nicht ersichtlich und Unternehmen tun gut daran, ihre Compliance-Kultur proaktiv voranzutreiben.Sascha Hansen

Literaturnachweis:

[1] Rundschreiben 10/2012 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk vom 14. Dezember 2012.

[2] MaRisk AT 4.4.2, Nr. 1.

[3] Vgl. Hanneman/Schneider/Weigl in: Mindestanforderungen an das Risikomanagement (Marisk), 4. Auflage, 2013, S. 40.

[4] Vgl. Best-Practice-Leitlinien für Wertpapier-Compliance, 2011.

[5] Vgl. Peggy Scharf in: Compliance in Kredit- und Finanzdienstleistungsinstituten: Grundlagen der Compliance-Funktion, 2014, S. 54.

[6] Vgl. Jörg Gogam, Handbuch MaRisk: Hinweise zu einer konformen Ausgestaltung, Kapitel 6: Besondere Funktionen, die Risikocontrolling-Funktion und die Compliance-Funktion.

[7] Vgl. BaFin, Protokoll zur Sitzung des MaRisk Fachgremiums am 24. April 2013.

[8] Vgl. Hanneman/Schneider/Weigl in: Mindestanforderungen an das Risikomanagement (MaRisk), 4. Auflage, 2013, S. 413.

[9] VERORDNUNG (EU) Nr. 806/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 15. Juli 2014 zur Festlegung einheitlicher Vorschriften und eines einheitlichen Verfahrens für die Abwicklung von Kreditinstituten und bestimmten Wertpapierfirmen im Rahmen eines einheitlichen Abwicklungsmechanismus und eines einheitlichen Abwicklungsfonds sowie zur Änderung der Verordnung (EU) Nr. 1093/2010.

[10] Gesetz zur Anpassung des nationalen Bankenabwicklungsrechts an den Einheitlichen Abwicklungsmechanismus und die europäischen Vorgaben zur Bankenabgabe (Abwicklungsmechanismusgesetz – AbwMechG) vom 2. November 2015 (BGBl. I S. 1864).

[11] Referentenentwurf

[12] Eine ausführliche Auflistung der

[13] Vgl. Sabine Lautenschläger, Stellungnahme zum Gesetzesentwurf der Europäischen Zentralbank (EZB) vom 26. Juni 2015.

[14] Vgl. Die Deutsche Kreditwirtschaft, Stellungnahme Referentenentwurf SRM-Anpassungsgesetz (SRM-AnpG) vom 27. März 2015.

[15] Vgl. Ira Steinbrecher, Risikokultur: Anforderungen an eine verantwortungsvolle Unternehmensführung, BaFin Journal August 2015.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert