Kontrolltests durch die Compliance-Funktion – die MaRisk-CoF im Fokus

Marc Stränger, Abteilungsleiter Compliance, Sparkasse Krefeld

In Bezug zu den Anforderungen an die Compliance-Funktion ergibt sich seit Jahren ein einheitlicher Trend: Immer weitgehender rücken die Kontrollhandlungen der zweiten Verteidigungslinie in den Fokus der Aufsichtsbehörden und der Internen Revision. Zudem werden die Themen in den Kreditinstituten immer vielschichtiger, der Überwachungsaufwand steigt seit Jahren kontinuierlich im Gleichschritt mit der Regulierung. Hierbei ist nicht nur die Begleitung von Projekten eine Herausforderung, sondern in der Regel dann vordergründig das aus diesen Ergebnissen abzuleitende Maßnahmenpaket für die Compliance-Funktion. Diesbezüglich hielten der Gesetzgeber und die Aufsichtsbehörde in 2018 ausreichende Themenstellungen vor, die mit den Neuerungen der MaRisk, der Umsetzung von MiFID II, der 4. und nun auch schon 5. EU-Geldwäscherichtlinie, der Versicherungsvertriebsrichtlinie (IDD), des Steuerumgehungsbekämpfungsgesetzes, der Datenschutzgrundverordnung (DSGVO) und AnaCredit/FinRep sowohl für das Kreditinstitut als auch für die Compliance-Funktion eine große Herausforderungen darstellte. Neuerungen in Bezug zu Auslegungs- und Anwendungshinweisen, Ergebnissen aus Prüfungsrunden, etc. sind hierbei noch explizit ausgenommen. Die Compliance-Funktion steht in einem stetigen Wandel und in einer Zeit der Weiterentwicklung, um den aufsichtsrechtlichen Vorgaben gerecht zu werden.

Eine hinreichende Flexibilität ist gefragt. Die Compliance-Funktion von heute ist mehr denn je darauf angewiesen, hinreichend in den Informationsfluss eingebunden zu sein, um sicherstellen zu können, aus den unterschiedlichen Zuständigkeiten der Compliance-Funktion (MaRisk, WpHG, GwG) auf die Implementierung wirksamer Kontrollen und Verfahren hinwirken zu können und diese als Teil der zweiten Verteidigungslinie im Institut im Internen Kontrollsystem (IKS) durch eigene Kontrolltätigkeiten zu bestätigen. Nur hieraus kann eine wirkungsvolle Wahrnehmung der Aufgaben abgeleitet werden. Zudem dienen die Dokumentationen der Kontrollen als Nachweis gegenüber der Aufsicht, dass die Wirksamkeit des IKS gewährleistet ist.

SEMINARTIPPS

MaRisk-Compliance Kompakt, 03.04.2019, Frankfurt/M.

Effektive IKS-Kontrolltests, 11.04.2019, Frankfurt/M.

 

 

Während sich diese Vorgehensweise in den Bereichen Geldwäsche und WpHG seit Jahren bzw. seit Jahrzehnten weitestgehend verfestigt hat, gerät nunmehr auch immer mehr die MaRisk-Compliance-Funktion in den Fokus der Aufsicht. Beispielhaft wurde dies für den Regelungsbereich der Datenqualität (§ 25c (3) Nr. 5 KWG, AT 4.3.4/BT 3.1/AT 7.2 MaRisk, CRR/IST on Reporting, HGB/IFRS) im Rahmen von 44er-Prüfungen deutlich. In diesen Prüfungen werden die Anforderungen an die MaRisk-CoF im Vergleich zu den bislang durch Verbände, etc. propagierten Überwachungshandlungen deutlich ausgeweitet. Hiernach muss die MaRisk-CoF nunmehr die Fortentwicklung des Compliance-Programmes nachweisen, eigene Kontrollhandlungen und Stichproben aufzeigen, die dazugehörige Dokumentation in aussagekräftiger Form liefern, Maßnahmen bei Mängelhinweisen ergreifen bzw. begründen, warum z. B. auf Maßnahmen verzichtet wurde. Und dies ist nur ein kleiner
Teil der von der Aufsicht erwarteten Tätigkeiten. Die MaRisk-CoF wird sich zukünftig auf dieser Basis mit einem umfangreicheren Überwachungskosmos auseinander setzten müssen.

Ausgangspunkt für derartige Kontrollen ist immer die Risiko-/Gefährdungsanalyse der Compliance-Funktion. Gerade diese sind zeitnah auf die neuen Anforderungen hin zu aktualisieren. Basierend auf den durch die Analysen gewonnen Erkenntnissen ist ein stringenter Kontrollplan zu erstellen, der unterjährig entsprechend abzuarbeiten ist. Der Fokus sollte hierbei vor allem auch auf einem risikobasierten Ansatz liegen. Dieser risikobasierte Ansatz dient dazu, hieraus letztlich einen angemessenen Kontrollumfang abzuleiten, der sich auch an der tatsächlichen Risikolage orientiert. Sinnvoll ist es zudem, die Kontrollen auch als eine Art „Vor-Ort-Kontrolle“ durchzuführen. Bei dieser Kontrolle sollten bereits im Vorfeld adäquate Kontrollziele und -fragen herausgearbeitet werden, um möglichst eine effektive Vorgehensweise der Compliance-Funktion zu gewährleisten und die Belastung für den kontrollierten Bereich so gering wie möglich zu halten. Bei einer Vor-Ort-Kontrolle können zudem mehrere Themenstellungen in Kombination abgearbeitet werden, um einen entsprechenden Synergieeffekt zu erzielen.

Bei der Durchführung von Kontrolltests durch die Compliance-Funktion sind alle relevanten Sachverhalte in die Vorbereitung der Kontrolle einzubeziehen. Hierbei stellt sich vorweg immer die Frage nach Art, Umfang und Komplexität der eingezogenen Kontrollen im jeweiligen Fachbereich sowie der bisherigen Einstufung der Tätigkeiten in der Risiko-/Gefährdungsanalyse und möglicher vorheriger Feststellungen. Hierbei sollten auch die Feststellungen der Internen und externen Revision berücksichtigt werden. Darüber hinaus ist wichtig zu erheben, welche Selbstkontrollen (z. B. Vier-Augen-Prinzip, nachgeschaltete Kontrollen, Betriebsüberwachung, etc.) der Fachbereich durchführt und wie diese protokolliert und dokumentiert werden (ggf. existieren Kontrollen durch Dritte, diese müssen ebenso betrachtet werden). Auf Basis der Erhebungen lässt sich auch der erforderliche Umfang der zentral durchführbaren Kontrollen und ggf. erforderlicher „Vor-Ort-Kontrollen“ ableiten.

Sinnvoll ist gerade bei Fachbereichskontrollen die Wirksamkeit einer Kontrolle durch eine (repräsentative) Stichprobe zu bewerten. Dies bringt u. a. gegenüber einer „100 %-Kontrolle” die Vorteile mit sich, dass hierbei geringere Kontrollkosten entstehen, die Prüfzeiten deutlich verkürzt werden und die Akzeptanz im zu kontrollierenden Bereich somit auch höher ist. Dem möglichen Risiko, dass ggf. existierende Schwachstellen im Internen Kontrollsystem nicht erkannt werden, kann man u. a. mit statistischen Methoden begegnen, um ein aussagekräftiges Kontrollergebnis zu produzieren.

Die Ergebnisse der Kontrolle sind interpretationsfrei zu dokumentieren und mit dem Fachbereich abschließend zu besprechen. Diese Dokumentationen sollten sich an den hauseigenen und vor allem aufsichtsrechtlichen Standards orientieren. Bei getroffenen Feststellungen ist es sinnvoll, dass diese sich in einem Defizitmanagement wiederfinden, um die Beseitigung von Mängeln adäquat zu begleiten und deren Beseitigung abschließend zu dokumentieren. Die Ergebnisse sollten hierbei bereits unterjährig in die Risiko-/Gefährdungsanalyse eingearbeitet werden. Mögliche Auswirkungen auf den Kontrollrhythmus (monatlich/jährlich/Zwei-Jahres-Rhythmus) sind festzuhalten und zu begründen.

Aufgrund des deutlich gestiegenen Überwachungs-/Kontrollumfangs in den Fachbereichen sind die Kontroll- und Prüfungstätigkeiten zwischen Compliance und Revision bereits im Vorfeld (sofern möglich) abzustimmen, um Doppelarbeiten und noch stärkere Belastungen der Fachbereiche zu vermeiden. Hierbei gilt es auch, mögliche Synergien für beide Bereiche zu heben.

PRAXISTIPPS

  • Die zunehmende Regulierung bedarf einer erhöhten Flexibilität der Compliance-Funktion.
  • Die Compliance-Funktion ist in den Informationsfluss im Institut einzubinden.
  • Die MaRisk-CoF steht im Fokus der Aufsicht. Maßnahmen sind ausreichend zu begründen, ebenso wenn keine Maßnahmen eingeleitet werden.
  • Bei der Durchführung der Fachbereichskontrollen sollte immer die Risiko-/Gefährdungsanalyse Ausgangspunkt sein.
  • Die aus der Analyse gewonnenen Erkenntnisse sind in einen Kontrollplan zu überführen.
  • Sofern möglich, sollten Stichprobenkontrollen bevorzugt werden.
  • Vor-Ort-Kontrollen sollten Bestandteil der Compliance-Funktion sein. Diese können auch mit unterschiedlichen Themenstellungen kombiniert werden, um Synergien zu heben.
  • Die Ergebnisse sollten unmittelbar in die Risiko-/Gefährdungsanalyse sowie in den Kontrollplan einfließen.
  • Feststellungen sollten in einem Defizitmanagement festgehalten werden.
  • Die Dokumentation der Kontrollen sollte sich an hauseigenen und aufsichtsrechtlichen Standards orientieren.
  • Um Synergien zu heben, ist eine Abstimmung zwischen Compliance und Revision empfehlenswert.

 

 

Beitragsnummer: 55370



0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.