Kontrollen der MaRisk-Compliance-Funktion

21. Juni 2017 in Kategorie Compliance

von
Ralf Bacher
Leiter Compliance/ Geldwäsche, SÜDWESTBANK AG


Hintergrund

Mit der Überarbeitung der MaRisk im Jahr 2012 wurden von der BaFin Vorgaben zur Ma-Risk-Compliance-Funktion gemacht (AT 4.4.2). Definierte Aufgaben sind beispielsweise die jährliche Berichterstattung oder das Hinwirken auf die Implementierung wirksamer Verfahren und entsprechender Kontrollen. Aussagen zur Notwendigkeit eigener Kontrollen durch die Compliance-Funktion finden sich in den MaRisk nicht. Im Protokoll des Fachgremiums MaRisk vom 24.04.2013 stellte die BaFin deshalb klar, dass die Compliance- Funktion Kontrollhandlungen zumindest durchführen können muss und insoweit auch entsprechende Kontrollrechte eingeräumt werden müssen. Der Umfang vorzunehmender Kontrollen verbleibt aber in der Eigenverantwortung der Institute. Die seit 2016 laufende Konsultation der überarbeiteten MaRisk lässt keine wesentlichen Änderungen bei den Aufgaben erkennen. Offen ist damit weiterhin die Frage, wie die MaRisk-Compliance-Funktion sich zur Frage der Kontrollhandlungen positionieren soll.

Sind Kontrollen notwendig?

Eine wichtige Formulierung in den MaRisk bildet die Grundlage für weitergehende Überlegungen zu Kontrollhandlungen: im Compliance-Bericht ist laut MaRisk auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Wie soll dies ohne entsprechende Kontrollhandlungen funktio-nieren? Ein anderer Aspekt ist die oben erwähnte Hinwirkungspflicht. Macht es nicht Sinn, zu prüfen, ob das Hinwirken auch funktioniert?

Wie können sinnvolle Kontrollen aussehen?

Im Rahmen der Wesentlichkeits- und Risikoanalyse werden die Normen identifiziert, die mit einem erhöhten Compliance-Risiko (finanzielle Schäden, Reputationsschäden oder Sanktionen) behaftet sind. Für die Umsetzung der Normen sind konkrete Fachbereiche verantwortlich. Die Kontrolle

der Angemessenheit der Umsetzung kann beispielsweise mit Hilfe eines Fragebogens bei diesen wesentlichen Normen durchgeführt werden. Erhoben werden hier interne Grundsätze, Kontrollen, Schulungen, Ergebnisse von Revisionsprüfungen oder das Vorgehen beim Rechtsmonitoring. Die Antworten werden analysiert und bewertet.

Die Kontrolle der Wirksamkeit kann beispielsweise durch die Auswertung diverser Informationsquellen erfolgen. Dies sind Berichte der Internen Revision, Einträge in der Schadensfalldatenbank, Erkenntnisse aus dem Beschwerdemanagement oder den Berichten von Beauftragten (Datenschutz, Informationssicherheit, Zentrale Stelle etc.) sowie Prüfungsberichte externer Prüfer (auch bei Tochtergesellschaften). Eine mögliche Kontrolle im Hinblick auf die Hinwirkungspflicht ist die Abfrage über den Umsetzungsstand im Zusammenhang mit kommenden Rechtsvorschriften bzw. die Analyse sonstiger Berichte (Bsp.: Projektberichte).

Wie sollen Kontrollen dokumentiert werden?

Für die Dokumentation der Kontrollen bietet sich ein standardisiertes Prüfblatt an, in dem die Kontrollhandlung und die Ergebnisse beschrieben werden. Stichworte sind hierbei: Prüfungsthema, betroffener Bereich, Prüfungsziel, Prüfungsumfang, Prüfungshandlungen und das Prüfungsergebnis.

Ergänzend ist ein Kontrollplan sinnvoll, der zum Jahresbeginn erstellt wird, aber auch unterjährig angepasst werden kann.

Fazit

Eine Compliance-Funktion nach MaRisk, die keine Kontrolltätigkeiten vornimmt, ist schwer vorstellbar. Die Frage des Umfangs der Kontrollen muss von jedem Institut separat beantwortet werden. Insbesondere bei wesentlichen Regelungen sollten hier Kontrolltätigkeiten durchgeführt werden.

PRAXISTIPPS

  • Analysieren Sie die wesentlichen Normen und die Verantwortlichkeit und führen Sie bei den zuständigen Bereichen Abfragen im Hinblick auf die Angemessenheit der Regelungen durch.
  • Werten Sie Berichte der internen Revision, der externen Prüfer oder diverser Beauftragter aus, um Hinweise auf die Wirksamkeit von Regelungen zu erhalten.
  • Bei Projekten mit größeren Auswirkungen (z. B. auf die Aufbau- oder Ablauforganisation) sollte der Umsetzungsstand von der Projektleitung abgefragt werden.

 

SEMINARTIPP

______________________________________________________________________________________

Dieser Beitrag ist erschienen im Newsletter Banken-Times SPEZIAL Compliance/Marktfolge Passiv,
Ausgabe Juni 2017
.
(Kostenlose) Bestellung möglich unter http://www.fc-heidelberg.de/bankentimes
_______________________________________________________________________________________

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>