Die Compliance-Management-Erklärung als Verhaltenskodex im Sinne der MaRisk 6.0

image_print

Dr. Henning v. Sethe, Leiter Stab Compliance/Geldwäsche Volksbank Ulm-Biberach eG

Die BaFin hat mit Schreiben vom 27.10.2017 (Rundschreiben 9/2017 BA) ihr Verständnis von Mindestanforderungen an das Risikomanagement überarbeitet und die Neufassung der MaRisk veröffentlicht. Sie hat die Kreditinstitute zugleich aufgefordert, die neuen Anforderungen bis zum 31.10.2018 umzusetzen.

In AT 4.4.2 (Compliance-Funktion) ergaben sich zwar keine Neuerungen. Nach wie vor heißt es dort nur recht allgemein, dass „die Compliance-Funktion (…) auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken“ hat. Neu ist aber eine zusätzliche Vorgabe für die internen Organisationsrichtlinien in AT 5:

AT 5 Tz. 3 Die Organisationsrichtlinien haben vor allem Folgendes zu beinhalten:

(…)

g. abhängig von der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten, einen Verhaltenskodex für die Mitarbeiter.

Was ist mit diesem Verhaltenskodex gemeint und kann eine evtl. schon bei der Bank im Einsatz befindliche Compliance-Management-Erklärung diesen Verhaltenskodex ersetzen?

Im Begleitschreiben zum Konsultationsentwurf für die neuen MaRisk hat die BaFin im Februar 2016 darauf hingewiesen, dass sie es als Teil der Gesamtverantwortung der Geschäftsleiter sehen für eine ordnungsgemäße Geschäftsorganisation zu sorgen sowie künftig eine angemessene Risikokultur innerhalb des Instituts zu entwickeln, zu integrieren und zu fördern. Sie hat daher in die neuen MaRisk auch in AT 3 Tz. 1 einen neuen Satz 4 zur Verantwortung der Geschäftsleiter aufgenommen: „Hierzu zählt auch die Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb des Instituts und der Gruppe.“ Diese Anforderung hat ihren Ursprung im Erwägungsgrund 54 der Capital Requirements Directive IV, wonach die Institute Grundsätze und Standards einführen sollen, die eine wirksame Kontrolle von Risiken durch die Leitungsorgane gewährleisten. Diese Grundsätze sollen, als Teil eines wirksamen Risikomanagements, eine solide Risikokultur auf allen Unternehmensebenen fördern. Auch die EBA Leitlinien zu gemeinsamen Verfahren und Methoden für den aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) erwarten eine Überprüfung der Risikokultur der Institute durch die zuständige Aufsichtsbehörde und setzen damit voraus, dass Institute eine angemessene Risikokultur als Teil ihres Risikomanagements implementiert haben. Vorfälle, wie die zahlreichen Verfehlungen im Investmentbanking der Deutschen Bank mit einem offenbar grundsätzlichen Moralproblem, werden der Aufsicht hierzu ausreichend Veranlassung gegeben haben.

Der BaFin ist es daher, wie sie im Anschreiben zur Veröffentlichung der neuen MaRisk im Oktober 2017 schreibt, wichtig, dass sich die Institute zukünftig stärker mit dieser Thematik auseinandersetzen und für sich definieren, welche Geschäfte, Verhaltensweisen und Praktiken letztlich als wünschenswert angesehen werden und welche nicht. Sie fordert deshalb die Führungsebenen in den Instituten auf, ihre Mitarbeiter auf gemeinsame Werte und Praktiken einzuschwören und den kritischen Dialog über die mit den Geschäften verbundenen Risiken zu fördern. In diesem Zusammenhang sieht die BaFin den in AT 5 geforderten Verhaltenskodex – neben dem „Vorleben“ dessen, was die Geschäftsleitung wünscht, durch diese selbst – als wertvollen Beitrag dazu sicherzustellen, dass tatsächlich nur solche Geschäfte abgeschlossen und nur solche Geschäftspraktiken an den Tag gelegt werden, die von der Geschäftsleitung als zulässig bzw. wünschenswert deklariert wurden.

 

Bei der Umsetzung dieser neuen Anforderung zur Aufstellung eines Verhaltenskodex kann von den Instituten je nach Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten unterschiedlich gehandelt werden. Die BaFin sieht selbst, dass ein Verhaltenskodex bei größeren Instituten mit weiter verzweigten Geschäftsaktivitäten, wie eben z. B. der Deutschen Bank, ein sinnvolles Instrument ist, bei kleineren Instituten jedoch oftmals die persönliche Ansprache der Mitarbeiter durch die Führungskräfte des Instituts das direktere und im Zweifel auch effektivere Mittel ist, die Mitarbeiter auf die gemeinsamen Werte und Ziele einzuschwören. Bei kleineren Instituten mit weniger komplexen Aktivitäten sieht sie sogar einen solchen Kodex für verzichtbar an. Die BaFin hat hier sogar überraschenderweise Verständnis für reale Praxisprobleme und äußert sich dahingehend, dass Institute dann, wenn sie sich auf die persönliche Ansprache beschränken, hierfür keine entsprechende Dokumentation vorhalten müssten.

Die BaFin erwartet also von den Banken, dass diese den kritischen Dialog innerhalb der Bank fördern und ein offenes und kollegiales Führungskonzept installieren. Mitarbeiter sollen dazu motiviert werden, sich entsprechend dem Wertesystem und dem Verhaltenskodex zu verhalten und innerhalb der festgelegten Risikotoleranzen zu agieren. Sie sollen aber auch Überzeugungsarbeit dafür leisten, dass ethisch und ökonomisch wünschenswertes Verhalten nicht nur durch finanzielle Anreize vermittelt wird.

Der Leitfaden MaRisk des BVR in der Version vom 21.02.2018 gibt hierzu wenig umsetzbare Empfehlungen ab. Handlungsbedarf wird den Verhaltenskodex betreffend nur für systemrelevante Banken gesehen. Wichtig sei, dass die in dem Institut gelebte Praxis der Geschäftstätigkeit und Managemententscheidungen die selbst definierte Risikokultur in konsistenter Weise widerspiegelt. Im Übrigen werden die Ausführungen der BaFin wiederholt. Inhaltlich wird nur darauf verwiesen, dass in einem Verhaltenskodex beschrieben werden sollte, welche Geschäfte, Verhaltensweisen und Praktiken letztlich als wünschenswert angesehen werden und welche nicht.

Wenn wir von diesem zentralen Satz in der BaFin-Verlautbarung ausgehen („welche Geschäfte, Verhaltensweisen und Praktiken sind wünschenswert“) und ihn darum ergänzen, was die BaFin zum Führungsstil innerhalb des Instituts geschrieben hat („Förderung des kritischen Dialogs“, „offenes und kollegiales Führungskonzept“) und auch ethische Werte verankert sehen möchte („Wertesystem“), so sind dies alles typische Gegenstände einer Compliance-Management-Erklärung (CME) mit den Bausteinen

  • Toleranz und Respekt
  • Verantwortung und Nachhaltigkeit
  • Risiko- und Fehlerkultur sowie offene Kommunikation
  • Integrität durch Einhalten von Bestimmungen
  • Offenlegung von Interessenkonflikten
  • Fairness

und lassen dann, wenn dies einmal so gelebt wird, zusätzliche Inhalte einer CME wie Hinweise auf das Hinweisgebersystem sowie Einhaltung von Datenschutz- und Geldwäschebestimmungen als bloße Formalia für die aufsichtliche Prüfung überflüssig werden:

Toleranz und Respekt sind für eine offene Führungskultur wie auch für eine moderne Fehlerkultur wesentlich. Wer anderen Wertschätzung entgegen bringt, macht es leicht, Fehlentwicklungen zu kommunizieren. Ein Klima der Angst dagegen und blinder Erfolgsdruck führt dagegen, wie man es wohl bei einem großen Autobauer annehmen kann, zu Kommunikationshindernissen, die für ein Unternehmen gefährlich werden können.

SEMINARTIPPS

 

 Compliance-Tagung 2018, 14.–15.11.2018, Berlin.

WpHG und MaComp AKTUELL!, 26.11.2018, Frankfurt/M.

 

Verantwortung und Nachhaltigkeit bedeuten, sich nicht auf kurzfristige Erfolge zu konzentrieren, sondern mit den Kunden und den Mitarbeitern langfristig zusammenzuarbeiten und für alle dauerhafte Mehrwerte zu schaffen. Hier kann unter Umständen auch gefordert werden, dass umweltpolitische und soziale Folgen von Handlungen bedacht werden.

Es sollte Aufgabe aller Führungskräfte sein, eine Leitkultur zu schaffen, die eine offene Kommunikation und einen kritischen Dialog ermöglicht, klare Verantwortlichkeiten der Mitarbeiter festlegt, Verstöße konsequent ahndet und angemessene Anreizstrukturen schafft. Dann sind die Grundlagen für eine gesunde Risiko- und Fehlerkultur geschaffen.

Integrität bedeutet das Einhalten von externen wie internen Bestimmungen und zwar auch dann, wenn ein Verstoß für die Bank von wirtschaftlichem Vorteil sein könnte, aber auch die Abkehr von persönlicher Bereicherung oder Nutzung von Informationen zum eigenen privaten Vorteil.

Die Offenlegung von Interessenkonflikten hängt mit der Integrität zusammen, fordert aber zusätzlich aktives Handeln und die Anzeige von solchen Konflikten gegenüber Compliance oder einer anderen benannten Stelle in der Bank, und sollte auch so formuliert werden, dass bereits der Anschein eines Interessenkonflikts vermieden werden sollte.

Fairness ist gegenüber Kunden wie gegenüber Mitarbeitern zu wahren und geht über das Erfordernis der Integrität insoweit hinaus, als ein ethisches Verhalten gefordert wird. Es geht um partnerschaftliches Verhalten anderen gegenüber in der Geschäftsverbindung wie in der Führung von Mitarbeitern oder Mitarbeitern untereinander.

Zu ergänzen wäre eine entsprechende CME ggf. um konkretere Aussagen zur Risikostrategie, da die BaFin ausdrücklich angesprochen hat, dass die Mitarbeiter „innerhalb der festgelegten Risikotoleranzen agieren“ sollen. Hier sollte nicht nur zusätzlich auf die internen Richtlinien zum Kredit- bzw. Eigengeschäft verwiesen werden, sondern auch auf die Risikostrategie des Instituts. Damit werden beide Leitplanken, die ein Institut für das Handeln der Mitarbeiter im unmittelbaren banktypischen Risikobereich vorhält, ausdrücklich hervorgehoben.

Eine im Unternehmen bereits vorhandene Compliance-Management-Erklärung kann daher – eventuell nach Ergänzung um Punkte zur Risikokultur – zugleich den von der BaFin mit der MaRisk-Novelle geforderten Verhaltenskodex darstellen. Die Schaffung einer solchen CME empfiehlt sich auch für kleinere Banken. Bei diesen muss sie zwar nicht schriftlich vorliegen, aber allein die Befassung mit der Formulierung einer entsprechenden Erklärung wird der Geschäftsleitung oft erst verdeutlichen, welche Werte und Verhaltensweisen sie wünscht, welche Geschäfte und Praktiken sie von sich und den Mitarbeitern fordern will und darüber nachdenken lassen, ob der Führungsstil innerhalb des Instituts dem entspricht, was die BaFin erwartet. Und dann kann sie dazu dienen, bei der Kommunikation in das Institut hinein behilflich zu sein und auch später wieder als Leitfaden herangezogen werden. Bei mittelgroßen Banken kann sie wiederum – im Sinne der hier von der BaFin zugelassenen Differenzierung – so eingesetzt werden, dass die Führungskräfte sich auf die CME verpflichten müssen und anschließend an ihre Mitarbeiter im Wege der persönlichen Ansprache weitergeben.

PRAXISTIPPS

  • Haben Sie bisher weder einen Verhaltenskodex noch eine Compliance-Management-Erklärung sollten Sie in Diskussion mit Ihrer Geschäftsleitung ein solches Papier formulieren, auch wenn hierfür nach Ihrer Unternehmensgröße und/oder dem Risikogehalt der Geschäfte Ihres Hauses dafür keine zwingende Notwendigkeit besteht.
  • Haben Sie bereits eine Compliance-Management-Erklärung, dann ergänzen Sie diese ggf. um Verweise auf die hohe Bedeutung der Einhaltung der internen Richtlinien zum Kredit- bzw. Eigengeschäft und die Risikostrategie des Instituts und bezeichnen Sie die Erklärung zugleich als Verhaltenskodex im Sinne von MaRisk AT 5.
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.