Die Gesetzgebung verpflichtet Banken zur angemessenen Risikoprävention. So gibt es in jedem Kreditinstitut jeweils einen Geldwäschebeauftragen und einen (WpHG-) Compliance-Beauftragten, der die Umsetzung von Vorschriften überwacht. Die Anforderungen an solche Positionen wurden per Gesetz aneinander angeglichen. Denn verlässlicher Schutz kann nur gewährleistet werden, wenn vorgegebene Schutzmaßnahmen in allen Abteilungen einheitlich und gruppenübergreifend durchgeführt werden. Doch im Alltag legt jedes Kreditinstitut - insbesondere jede Steuerungsabteilung für Kapitalmarkt-Compliance und Prävention von Geldwäsche und Fraud- die gesetzlichen Vorgaben unterschiedlich aus und wendet eigene Maßstäbe an. Solchen Eigenmächtigkeiten kann effektiv entgegen gewirkt werden.
Übergreifendes Arbeiten erforderlich
Gemeinsam stärker sein - lautet so manche Werbebotschaft. Im realen Arbeitsalltag ist oft jedoch das Gegenteil der Fall. Jede Abteilung fokussiert nur ihren eigenen Bereich, besonders in Geldhäusern, die stark von Konventionen geprägt sind. Der Blick über den Tellerrand zu anderen Kollegen entfällt, obwohl der Gesetzgeber schon seit einiger Zeit interdisziplinäres Arbeiten vorschreibt: Durch den § [25]a des Kreditwesengesetzes (KWG) werden alle Abteilungen eines Kreditinstituts zu einem angemessenen Risikomanagement verpflichtet. Seit dem vergangenen Jahr sieht der § [25]c KWG insbesondere eine engere Verbindung der Bereiche Geldwäsche- und Fraud-Prävention vor. Trotz ähnlicher gesetzlicher Anforderungen bezüglich gängiger Sicherungsmaßnahmen (Abbildung 1) findet ein interdisziplinärer Austausch nur selten statt. Es mangelt an einheitlichen Vorgehensweisen und Abstimmungen untereinander. Dabei könnten durch einen intensiven Austausch und die Schaffung eines gemeinsamen Rahmenwerks Synergien genutzt, Prozesse optimiert und Ressourcen effektiver eingesetzt werden.
Den jeweils Beauftragten kommt bei der Umsetzung von Mechanismen zur Einhaltung regulatorischer Anforderungen eine wesentliche Rolle zu. So wurde die Stellung des Compliance-Beauftragten 2010 durch die Macomp deutlich gestärkt und seine Aufgaben wesentlich erweitert. Als Instrument der Geschäftsleitung hat er die Angemessenheit und Wirksamkeit der zur Einhaltung der Vorschriften des Kapitalmarkts etablierten Grundsätze und Vorkehrungen zu überwachen und regelmäßig zu bewerten (§§33 Abs. 1 WpHG, 12 WpDVerOV).
Eine ähnliche Aufwertung der Stellung erfolgt nun im Rahmen des geänderten § [25]c KWG für den seit Jahren etablierten Geldwäschebeauftragten. Er soll unter anderem die Funktionen Geldwäsche- und Betrugsprävention in einer zentralen Stelle vereinen und ist dafür zuständig, dass die Vorschriften zur Bekämpfung und Verhinderung der Geldwäsche, Terrorismusfinanzierung und sonstiger strafbarer Handlungen ordnungsgemäß durchgeführt werden. Auch er ist der Geschäftsleitung direkt unterstellt und berichtet alle entsprechenden Vorkommnisse direkt und unmittelbar an die Geschäftsleitung. Trotz unterschiedlicher Vorschriften, die von diesen Funktionen überwacht werden, ähneln sich ihre unabhängige Stellung im Institut und ihre Aufgaben (Abbildung 2).
Unabhängig und eingebunden
Compliance-Beauftragte sollen sowohl unabhängig als auch eingebunden sein Grundsätzlich sollten der Geldwäsche- und der WpHG-Compliance-Beauftragte jeweils eine unabhängige Stellung im Institut einnehmen und an keine anderen Organisations- und Stabsbereiche angebunden sein. Der Geldwäsche- und der WpHG-Compli-ance-Beauftragte sind jeweils als Instrument der Geschäftsleitung dieser unmittelbar organisatorisch und auch fachlich direkt nachgeordnet. Haben beide Funktionen den gleichen Berichtsweg, können auch aus Managementsicht die Aktivitäten besser aufeinander abgestimmt werden. Darüber hinaus sind sie in sämtliche für ihre Aufgabenerfüllung relevanten Informationsflüsse mit einzubeziehen.
Viele Einbindungsformen sind dabei denkbar: Entweder sind sie ohnehin schon Mitglied in den Managementgremien. Oder sie arbeiten aktiv an relevanten Projekten mit, es werden feste Compliance-Ansprechpartner in allen Fachbereichen installiert oder sie werden nur über Tatsachen informiert. In jedem Fall sollte das über das gesamte Institut hinweg konsistent geschehen. Und je früher die Compliance-Beauftragten eingebunden sind, desto eher können wesentliche sicherheitsvorschriften berücksichtigt werden.
Um von der Einheitlichkeit profitieren zu können, sollte das Risikomanagement in allen Abteilungen nach dem gleichen Schema ablaufen (Abbildung 3): Je nach Themenfeld werden die spezifischen Risiken identifiziert und bewertet. Basis hierfür ist eine Sammlung interner und externer Schadenfalldaten sowie öffentliche Typologiepapiere. Die Beurteilung der Risikorelevanz könnte dann im Rahmen einer Gefährdungsanalyse erfolgen. Was zählt, sind die Art der Schäden (etwa Vermögensschäden, Reputationsschäden), die mögliche Schadenshöhe sowie die Eintrittswahrscheinlichkeit. Werden ähnliche Informationen von zwei Steuerungseinheiten jedoch mit unterschiedlicher Methodik und ohne Abstimmung durchgeführt, kann dies Missverständnisse, doppelte Arbeit und höhere Kosten nach sich ziehen. Wenn im Nachhinein die Ergebnisse nicht aufeinander abgestimmt werden, erhält der Vorstand beziehungsweise der Aufsichtsrat voneinander abweichende Prognosen. Dann werden möglicherweise unterschiedliche Maßnahmen für ein und dasselbe Problem getroffen.
Wesentliche Aufgabe der Compliance-Funktionen ist die Überwachung der Einhaltung der gesetzlichen und regulatorischen Vorschriften. Dies erfolgt über zwei verschiedene Kontrollarten: Zum einen werden in den Fachbereichen häufig eigene Überwachungen durchgeführt. Diese Ergebnisse sollten ausgewertet und regelmäßig an die Compliance-Leitung berichtet werden. Zum anderen führen die Compliance-Einheiten risikoorientiert eigene Kontrollen durch. In der Praxis hat sich etabliert, dass jede Compliance-Einheit hierfür einen Kontrollplan erstellt, in dem alle für das Jahr geplanten Überwachungen aufgeführt sind. Diese Kontrollpläne sollten zwischen WpHG-Compliance, dem Geldwäschebeauftragten und der internen Revision abgestimmt werden.
Klare Verantwortlichkeiten
Obwohl die Kontrollpläne einen anderen Fokus haben, können die Ergebnisse für andere Steuerungseinheiten ebenfalls relevant sein. So sind Insiderhandel und Marktmanipulation seit dem Schwarzgeldbekämpfungsgesetz vom 28. April 2011 Vortaten der Geldwäsche. Zudem können bei der Überprüfung der korrekten Handelsabwicklung Betrugstatbestände aufgedeckt werden, die vom Geldwäschebeauftragten als zentrale Stelle an die Strafverfolgungsbehörden gemeldet werden müssen. Ein Austausch über mögliche Berührungspunkte ist für ein effektives Risikomanagement somit unverzichtbar. Damit Defizite behoben werden, ist es auch wichtig, die Verantwortlichen klar zu benennen und feste Zeitpunkte für die Umsetzung entsprechender Maßnahmen zu definieren. Nur so entsteht eine zwingende Verbindlichkeit. Ein unternehmensweit integriertes Maßnahmentracking unterstützt dabei.
Regelmäßige Schulungen
Nicht nur die Compliance-Beauftragten haben die Aufgabe, die Einhaltung der Regelwerke sicherzustellen. Operativ sind auch die Fachbereiche selbst dafür verantwortlich. Doch ihnen fehlt meist das spezifische Wissen. Die Compliance-Beauftragten hingegen prüfen fortlaufend neue gesetzliche Anforderungen und tauschen sich auf Konferenzen und in Arbeitskreisen über Umsetzungsmöglichkeiten mit anderen Instituten aus. Sie können somit alle relevanten Informationen zielgerichtet an die betroffenen Bereiche weitergeben. Hierfür bieten sich regelmäßige Schulungen an - unter anderem über eine gemeinsame Online-Schulungsplattform. Zusätzlich sollten die Fachbereiche anlassbezogen beraten werden. Eine Möglichkeit ist die Einbindung der Compliance-Funktionen in Projekte zur Umsetzung gesetzlicher Anforderungen in die Unternehmensprozesse. Sie können mit ihrem Know-how Knackpunkte identifizieren und frühzeitig Lösungswege aufzeigen.
Sowohl der Geldwäsche- als auch der Compliance-Beauftragte haben der Geschäftsleitung jährlich über ihre Tätigkeiten, identifizierte Risiken und getroffene Maßnahmen zu berichten. Dieser Bericht wird ebenfalls an den Aufsichtsrat weitergeleitet. Eine einheitliche Darstellung der Erkenntnisse erleichtert es der Geschäftsleitung unternehmensübergreifend Steuerungsmaßnahmen zu ergreifen. Erfolgt bereits über regelmäßige Jour Fixes ein Austausch zwischen den Compliance-Einheiten, Vertretern vom Controlling operationeller Risiken, der Unternehmenssicherheit und der Internen Revision, können mögliche Synergien und übergreifende Risiken aufgedeckt und adressiert werden. Nur durch einen ganzheitlichen Blick auf die Risikosituation können Ressourcen effektiv zur Risikosteuerung eingesetzt und Schäden vermieden werden.