Rahmenbedingungen
Die Komplexität der regulatorischen Anforderungen an Finanzdienstleister ist in den letzten Jahren erheblich gestiegen und steigt noch weiter. Die Sicherstellung der Erfüllung bedarf des besonderen Augenmerks des Top-Managements, zumal eventuelle Nichteinhaltungen unmittelbar der Verantwortlichkeit der Geschäftsleitung insgesamt zugeschrieben werden. Eigenständige Compliance-Organisationen dienen als Instrument des Top-Managements, die Einhaltung sicherzustellen und eine Gesamtsicht auf Status und Weiterentwicklungen von Anforderungen zu erhalten.
Der Compliance-Organisation regelmäßig als zugehörig oder zumindest nahestehend angesehen werden die mittlerweile zahlreichen Beauftragten, die in der Regel in direkter Berichtspflicht und Verantwortung gegenüber der Geschäftsleitung stehen, aber operativ in die hierarchische Organisation abzubilden sind. Die tatsächliche organisatorische Abbildung inklusive der Aufgabenabgrenzung zu Rechts-, IT- und anderen Stabsfunktionen ist weitgehend jedem Institut überlassen, so dass es hierzu keine einheitlichen Lösungen gibt. Gleichwohl hat die Aufsicht klare Mindestanforderungen an die Compliance-Funktion formuliert, die in jedem Falle unter Wahrung des Grundsatzes der Verhältnismäßigkeit von jedem Institut zu erfüllen sind.
Anforderungen
Bereits die Mindestanforderungen an die Compliance-Funktion formulieren umfangreiche Anforderungen an die Ausgestaltung, die organisatorische Einordnung und die laufenden Tätigkeiten der Funktion. Leitgedanke ist dabei die Unabhängigkeit, die sich in zahlreichen Einzelregelungen von der Berichtslinie, Rechten und Pflichten für eigene Prüfungen und Qualifikationsanforderungen bis hin zur Ressourcenausstattung erstreckt. Dabei eröffnen die Formulierungen fast durchgängig weite Interpretations- und Umsetzungsspielräume abhängig vom Geschäftsmodell des Finanzdienstleisters.
Ergänzende Anforderungen entstammen Spezialregelungen, aktuell insbesondere den überarbeiteten Regelungen zum Datenschutz und zur Geldwäsche, zur Institutsvergütungsverordnung oder den Bankaufsichtlichen Anforderungen an die IT inklusive der von der BaFin 2020 erneut als Prüfungsschwerpunkt ausgerufenen IT-Sicherheit.
Eine wirksame und zugleich effiziente Compliance-Organisation betrachtet die regulatorischen Anforderungen stets in ihrer Gesamtheit, vermeidet Redundanzen und kombiniert Verantwortlichkeiten im Rahmen des Zulässigen, um sinnvolle Ressourcenausstattungen zu ermöglichen und die Komplexität weitestmöglich zu reduzieren.
Prüfungsgegenstand
Unsere Prüfungen zur Complianceorganisation und zum Beauftragtenwesen umfassen im Regelfall:
- Formale Ordnungsmäßigkeit (Erfüllung der MAComp sowie weiterer einschlägiger Regelungen wie Geldwäsche, Datenschutz etc.), ausgehend von bereits vorliegenden internen und externen Prüfergebnissen;
- Tatsächliche Positionierung der Compliance-Funktion und der weiteren Beauftragten hinsichtlich Qualifikation, Wahrnehmung, Qualität der Berichte, Akzeptanz und Ressourcenausstattung;
- Aufgabenzuweisung zwischen den Instanzen im „lines of defense“-Konzept, und zwar hinsichtlich Vollständigkeit, Redundanzfreiheit und operativer Effizienz, etwa in Form der laufenden Abstimmung;
- Aufgabenverständnis der Compliance im Rahmen des Internen Kontrollsystems;
- Beurteilung der Compliance-Kultur;
- Gesamtbewertung der Wirksamkeit und Angemessenheit der Compliance-Organisation in Beziehung auf das Geschäftsmodell des Instituts.