Es dürfte schwer fallen, im Bankaufsichtsrecht ein Themengebiet zu finden, dass sich in den letzten Jahren kontinuierlich so dynamisch entwickelt hat wie der Bereich "Compliance". Nicht zuletzt ausgelöst durch spektakuläre Unternehmensskandale in den USA, wurden bereits zu Beginn dieses Jahrzehnts immer neue regulatorische Rahmenbedingungen für ein aktives Management von Normeinhaltungen entwickelt, die längst zu einer eigenen Disziplin erwachsen sind. Die in der Wirtschaftspresse behandelten Fälle hatten aufgezeigt, dass fehlende Risikoüberwachungsstrukturen nicht nur zu hohen Bußgeldzahlungen und zu Mittelabflüssen beim Unternehmen führen können, sondern auch den Unternehmenswert aufgrund des massiven Vertrauensverlustes der Anleger verringern, was im Einzelfall Unternehmen sogar in die Insolvenz führen kann.
Art, Ausmaß und Umfang der derzeitigen Finanzkrise, sowie Korruptions- und Betrugsfälle der jüngeren Vergangenheit in Deutschland legen die Vermutung nahe, dass diese Entwicklung auch in Zukunft nicht an Dynamik verlieren wird. Die Belastung der deutschen Finanzbranche durch immer neue aufsichtsrechtliche Anforderungen hält damit unvermindert an. Hieraus resultieren nicht nur erhebliche Gefahren für das Unternehmen selbst, wie etwa mögliche Bußgelder oder die Gefahr erheblicher Reputationsschäden. Vielmehr stellt die Verletzung einschlägiger Compliance-Vorgaben vor dem Hintergrund der zunehmenden Verschärfung der Haftungsbestimmungen auch ein persönliches Risiko für Vorstände, Geschäftsführer und anderer Organe, neuerdings – worauf noch einzugehen ist - auch des Compliance Beauftragten dar.
Veröffentlichung der Mindestanforderungen an die Compliance-Funktion
Ganz auf dieser Linie hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 7. Juni 2010 ihr Rundschreiben "4/2010 (WA) - Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für Wertpapierdienstleistungsunternehmen (MaComp)" veröffentlicht. Der Entwurf des Rundschreibens wurde von Dezember 2009 bis Mitte Februar 2010 schriftlich konsultiert. Eine mündliche Anhörung fand Anfang März in den Geschäftsräumen der BaFin in Frankfurt am Main statt. Als Anlass für das Rundschreiben benannte die BaFin die Feststellung, dass die Compliance-Funktion in den Instituten heute noch häufig nicht ihrer Bedeutung entsprechend ausgestaltet ist und die Compliance-Beauftragten somit oft nicht in ausreichendem Maße sicherstellen können, dass die Unternehmen die Vorgaben des WpHG einhalten. Dies hatte die BaFin in zahlreichen Gesprächen mit Compliance-Beauftragten verschiedener Institute, welche die BaFin anlässlich der Finanzkrise durchgeführt hatte, festgestellt.
Das Rundschreiben präzisiert darüber hinaus einzelne Regelungen des 6. Abschnitts des WpHG (§§ 31 ff. WpHG) sowie weitere, auf der Grundlage dieser Bestimmungen erlassenen Verordnungen (insb. die der WpDVerOV). Analog zu den Mindestanforderungen an das Risikomanagement (MaRisk), veröffentlicht die BaFin damit erstmals ein Kompendium, das sämtliche bisher zu diesem Abschnitt ergangenen Rundschreiben und die diesbezügliche Verwaltungspraxis der BaFin zusammen fasst.
Im Vordergrund steht die Aufwertung der Compliance-Funktion und ein risikobasierter Überwachungsansatz, der je nach Institutsgröße, Geschäftsschwerpunkten und Risikosituation die Inanspruchnahme von Ermessensspielräumen bei der Ausgestaltung der Compliance-Funktion ermöglicht. Die seit langem geforderte besondere absolute arbeitsrechtliche Schutzposition der Compliance-Beauftragen können die MaComp freilich nicht schaffen. Im Vergleich zu anderen Wächtern des öffentlichen Interessen genießen die Compliance-Beauftragten auch aufgrund der neuen MaComp mit einer Mindestkündigungsfrist von 12 Monaten nur einen indirekten besonderen arbeitsrechtlichen Schutz. Eine allgemeine formale Aufwertung der Position der Compliance-Beauftragten durch die MaComp ist jedoch auch über diese Reflexwirkung des Bankaufsichtsrechts in das Arbeitsrecht unverkennbar.
Neue Strukturen und Prozesse in der Folge der MaComp
Auf die Institute kommen mit den MaComp neue Herausforderungen im Rahmen der Wertpapier-Compliance zu. Einige dieser Neuerungen geben der Compliance-Funktion mehr Einwirkungsmöglichkeiten als bisher. So ist beispielsweise zukünftig eine Einbindung der Compliance-Funktion in die Festlegung der Grundsätze für Vertriebsziele und Bonuszahlungen vorgesehen. Auch mit der Einführung neuer Produkte oder der Erschließung neuer Geschäftsfelder werden jetzt seitens der BaFin Prozesse benannt, in die die Compliance-Funktion nunmehr auch regelmäßig einzubeziehen ist, sog. "NPAP"-Prozess (New Product Approval Process).
Es ist zu erwarten, dass das Rundschreiben zu neuen Strukturen und Prozessen, insbesondere zu einer Intensivierung und Neuausrichtung derjenigen Prozesse führen wird, an denen Compliance bisher mitgewirkt hat. Dies wird trotz der bis Ende des Jahres bestehenden Umsetzungsfrist unmittelbare Auswirkungen auf künftige Abschluss- und Prüfungen nach § 36 WpHG haben. In einigen Unternehmen dürfte sicherlich auch eine Aufstockung des Personals der Compliance Funktion erforderlich sein.
Modularer Aufbau der MaComp
Das Rundschreiben ist - vergleichbar den etablierten MaRisk für Banken und Versicherungen - modular aufgebaut, so dass notwendige Anpassungen bei Bedarf in bestimmten Regelungsfeldern vernünftigerweise auf die zeitnahe Überarbeitung einzelner Module beschränkt werden können.
Es beinhaltet einen Allgemeinen (AT1-AT9) und einen Besonderen Teil (BT1-BT5). Im Allgemeiner Teil finden sich grundsätzliche Prinzipien zu den im 6. Abschnitt des WpHG geregelten Organisations- und Verhaltenspflichten von Wertpapierdienstleistungsunternehmen. Es werden unter anderem der Anwendungsbereich und die Ziele der MaComp dargestellt sowie einzelne, im 6. Abschnitt des WpHG geregelte allgemeine Organisationspflichten, erläutert. Im Besonderen Teil des Rundschreibens werden dann einzelne konkrete Regelungen der §§ 31 ff. WpHG näher erläutert.
Abschnitt BT 1 enthält dabei sehr ausführliche Anforderungen, die sich speziell an die Compliance-Funktion der Unternehmen richten. Ferner wurden neben einem eigenen Abschnitt zum Thema Best Execution (BT 4), die folgenden, bereits bestehenden Rundschreiben integriert:
- Rundschreiben – "RS 8/2008 Überwachung von Mitarbeitergeschäften gemäß § 33b WpHG und § 25a KWG" vom 18. August 2008 (nunmehr MaComp BT 2; beachte: Die dort ehemals unter Abschnitt 3. des Rundschreibens enthaltene Liste der compliance-relevanten Informationen wurde gestrichen, da jetzt unter AT 6.1 des Rundschreibens eine direkte Verlinkung zur Liste im Emittentenleitfaden der BaFin, Stand: 28. April 2009, Kapitel IV 2.2.4., Seite 56-57, enthalten ist).
- Rundschreiben – "RS 1/2010 (WA) zur Auslegung der Vorschriften des Wertpapierhandelsgesetzes über Informationen einschließlich Werbung von Wertpapierdienstleistungsunternehmen an Kunden" vom 11. Februar 2010, nunmehr MaComp BT 3.
- "Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht zur Auslegung einzelner Begriffe der §§ 31 Abs. 2 Satz 4, 34b Wertpapierhandelsgesetz in Verbindung mit der Verordnung über die Analyse von Finanzinstrumenten (Finanzanalyseverordnung)" vom 21. Dezember 2007, nunmehr BT 5 .
Aufsichtsrechtliche Anforderungen an Vergütungssysteme
Unter BT 1.1.1. Ziff. 9 des Rundschreibens hat die BaFin ferner etwas versteckt, ("im Übrigen") die Anforderungen des Rundschreibens 22/2009 "Aufsichtsrechtliche Anforderungen an Vergütungssysteme von Instituten" vom 21. Dezember 2009 verlinkt (beachte: Nach den derzeitigen Planungen der Bundesregierung werden die Regelungen dieses Rundschreibens vollumfänglich durch eine Rechtsverordnung ersetzt. Die Bundesregierung hat diesbezüglich im Frühjahr einen Gesetzesentwurf eingebracht ("Referentenentwurf zum "Gesetz über die aufsichtsrechtlichen Anforderungen an die Vergütungssysteme von Instituten und Versicherungsunternehmen"). Mit dem Abschluss des Gesetzgebungsverfahrens ist frühestens Ende des Jahres zu rechnen sein (vgl. hierzu i. Ü. auch die Pressemitteilung – Nr.: 55/2009 – des Bundesministeriums der Finanzen vom 11. Dezember 2009, "Fehlanreize verhindern – Nachhaltige Vergütungsstrukturen schaffen; Mit Selbstverpflichtungserklärung des Finanzsektors erfolgt weiterer Schritt zur nationalen Umsetzung der G20-Standards".
Es ist daher zu vermuten, dass auch zukünftige relevante Rundschreiben in die MaComp integriert werden, was im Sinne einer einheitlichen Lesbarkeit natürlich zu begrüßen ist. Seitens der Bundesanstalt ist eine kontinuierliche Erweiterung des Rundschreibens um neue Themen geplant Mit den MaComp zielt die BaFin auf die Einführung angemessener organisatorischer Maßnahmen. Das Rundschreiben setzt daher – analog zu dem vergleichbar stark risikobasierten Ansatz der MaRisk ("Rundschreiben - 15/2009 (BA) "Mindestanforderungen an das Risikomanagement", letzte Novelle veröffentlicht am 15. August 2009) – einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der Geschäftsorganisation des Wertpapiergeschäfts.
Proportionalitätsgrundsatz als Fundament der MaComp
Zu begrüßen ist, dass das Rundschreiben eine Reihe von Öffnungsklauseln enthält, die insbesondere abhängig von der Größe der Institute, den Geschäftsschwerpunkten und der Risikosituation eine vereinfachte Umsetzung ermöglichen. Dies erscheint aufgrund der großen Zahl kleiner bis mittelgroßer Wertpapierdienstleister in Deutschland mit eher geringem Geschäftsumfang und Risikogehalt sehr sinnvoll. Das Rundschreiben trägt damit der heterogenen Institutsstruktur und Vielfalt der Geschäftsaktivitäten der Wertpapierdienstleistungsunternehmen im Aufsichtsbereich der Bundesanstalt Rechnung. Das Rundschreiben wird insbesondere für diese kleineren Unternehmen eine gute Orientierungshilfe bieten können. An verschiedenen Stellen enthält das Rundschreiben eine beispielhafte Auflistung möglicher Maßnahmen, die aus Sicht der BaFin geeignet sind, den Anforderungen der genannten Regelungen nachzukommen.
Bei Ermittlung der jeweils "angemessenen" Vorkehrungen sind daher immer Art, Umfang, Komplexität und Risikogehalt des jeweiligen Geschäfts sowie Art und Spektrum der angebotenen Wertpapierdienstleistungen und Wertpapiernebendienstleistungen zu berücksichtigen (Proportionalitätsgrundsatz).
Risikobasierte "Soll-Ist"- bzw. "Gap"-Analyse
Um einen möglichst praxisnahen Rahmen für die Ausgestaltung der eigenen Compliance Funktion zu schaffen, dürfte es sich daher empfehlen, auf Seiten des Compliance Office initiativ zu werden und gemeinsam mit der Geschäftsleitung und den maßgeblichen Geschäftsbereichen eine risikobasierte "Soll-Ist"- bzw. "Gap"-Analyse unter Einbeziehung des jeweiligen Geschäftsmodells des Unternehmens vorzunehmen. Durch eine detaillierte Auswirkungsanalyse kann der konkrete Änderungsbedarf für die Organisation und die einzelnen Prozesse ermittelt und damit die Grundlage für die Entwicklung eines ggf. erforderlichen Maßnahmenkataloges (beispielsweise die Anpassung von Organisations- und Arbeitsanweisungen) geschaffen werden. Auf Basis der im folgenden Betrachtungszeitraum gemachten Erfahrungen kann dann der gewählte Risikoansatz überprüft und ggf. verbessert werden; ein typischer "Risikozyklus" entsteht.
Diese Risikoanalyse sollte deshalb schriftlich dokumentiert und zumindest jährlich überprüft ("Annual Review"), bei entsprechenden regulatorisch oder gesetzlich indizierten Entwicklungen auch ad hoc aktualisiert werden. Mit dem ausdrücklichen Verweis des Gesetzgebers in § 33 Abs.1 Satz 1 WpHG auf § 25a KWG stellt dieser ferner klar, dass die grundsätzlichen Anforderungen nach § 25a Abs. 1 und Abs. 4 KWG im Hinblick auf das Kontroll- und Risikomanagement der Institute auch für die Erbringung von Wertpapierdienstleistungen Anwendung finden. Für den Bereich der Wertpapierdienstleistungen gelten die Vorgaben in § 33 Abs. 1 WpHG und § 12 WpDVerOV daher neben den Vorgaben in § 25a Abs. 1 KWG, nunmehr konkretisiert durch die MaRisk. Die Compliance-Funktion ist daher Bestandteil des internen Kontrollsystems nach § 25a Abs. 1 Satz 3 Nr. 1 KWG.
Ganzheitliche Sicht auf Compliance Organisation
Die BaFin weist ferner in diesem Zusammenhang nochmals darauf hin, dass die aufsichtsrechtlichen Anforderungen an die Auslagerung von Aktivitäten (Outsourcing), neben § 33 Abs. 2 WpHG, auch an § 25a Abs. 2 KWG auch anhand von AT 9 der MaRisk zu messen sind. Im Ergebnis macht die BaFin damit klar, dass eine effektive Compliance Organisation nicht völlig losgelöst von anderen bestehenden Unternehmensbereichen unterhalten werden kann. Sie stellt vielmehr eine Weiterentwicklung des bestehenden Risikomanagements eines Unternehmens dar.
Durch das hierdurch zwangsläufig erweiterte Tätigkeitsfeld ergeben sich für die Praxis Abgrenzungsfragen, die zu klären sind. Insbesondere erscheint eine Koordination im Verhältnis zu den Kontrollen durch die operativen Bereiche und zu den Prüfungen der Internen Revision und Risk Control erforderlich. Die MaComp bestimmen unter BT 1.2. Ziff. 7 nunmehr sogar explizit, dass die Überwachungshandlungen des Compliance-Office mit den Kontrollen der Geschäftsbereiche sowie den Prüfungshandlungen der internen Revision zu koordinieren sind.
Autoren:
Dr. Joachim Kaetzler, Partner, Banking & Finance, CMS Hasche Sigle
Dr. Joachim Natterer, Partner, Banking & Finance, CMS Hasche Sigle
Download der Publikation "Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für Wertpapierdienstleistungsunternehmen (MaComp)":
[Bildquelle: iStockPhoto]
Kommentare zu diesem Beitrag
"Neue Strukturen und Prozesse in der Folge der MaComp"
"Modularer Aufbau der MaComp"
"Aufsichtsrechtliche Anforderungen an Vergütungssysteme"
"Proportionalitätsgrundsatz als Fundament der MaComp"
"Risikobasierte "Soll-Ist"- bzw. "Gap"-Analyse"
"Ganzheitliche Sicht auf Compliance Organisation"
Ich sehe keinen Meilenstein bei der ganzen Thematik.....
Scheint so als hätten die Juristen nur aus der MaRisk abgeschrieben...
Was die Märkte, Akteure usw. brauchen sind KLARE Regeln...
Zwar klingen die ganzen Grundsätze seit der MaRisk-Novelle: Proportionalität-Wesentlichkeit ganz hübsch.
Trotzdem sollte man die Haftung in den Vordergrund stellen, gerade im Hinblick auf Compliance
Baut jemand im Unternehmen Mist, haftet er dafür, gerne auch der Vorgesetzte und gerne wandern beide ins Gefängnis.
Es ist nicht mehr vermittelbar, dass für Missmanagement und Fehler Einzelner (Frage: Wo war das Risikomanagemnet, achso, es gab keins) die Gemeinschaft zu haften hat.
Es hat einen unglaublich disziplinierenden Charakter wenn man dieses ins Gesetz schreibt.
Schützen kann man sich unteranderem mit mehr Eigenkapital (+25%), dann kann seine Bockmist selber ausbaden
Besonders hübsch finde ich das Bild der Risknet-Redaktion zum Thema
Corporate Governance:
http://www.risknet.de/RiskNET-eLibrary.152.0.html
Was man uns damit sagen will.....,
Verrückt ist in dem Kontext, dass die Haftung von Vorstand und Aufsichtsrat bzw. Geschäftsführer gesetzlich im AktG und GmbHG verankert ist, nur leider nicht gelebt wird. Und das hängt wohl vor allem damit zusammen, dass nicht selten die Kläger fehlen.
Wer glaubt, dass durch MaComp die gelebte Führungsverantwortung und persönliche Integrität gesteigert wird, täuscht sich. Das wusste bereits Tacitus: "Der korrupteste Staat hat die meisten Gesetze." ;-(
Ich habe mir die MaComp gerade ausführlich angeschaut und bin leider nicht so begeistert. Das ist nicht der große Wurf der angekündigt wurde!
Außerdem fehlt mir speziell zu Vorgehensweise der Qualitätssicherung bei den WPHG-Beratungen der Praxisbezug. Wie erfolgt diese Qualitätssicherung bei den Kreditinstituten?
Muss sich mein Chef jetzt einmal im Monat hinter mich setzen und meine Beratung mitverfolgen? Ich kann den Zusatznutzen dieser MaComp zu diesem Thema nicht finden. Das meiste dessen ist doch bereits im WPHG geregelt...