Für regulierte Unternehmen wie Kreditinstitute oder Wertpapierinstitute definieren entsprechende gesetzliche oder verwaltungsrechtliche Vorgaben den Aufbau einer Compliance-Funktion. So sind Kreditinstitute nach § 25a KWG verpflichtet, eine Compliance-Funktion einzurichten. Die Mindestanforderungen an das Risikomanagement (MaRisk) konkretisieren die gesetzlichen Vorgaben verbindlich. So legen die MaRisk fest, dass die Compliance-Funktion unmittelbar der Geschäftsleitung unterstellt ist und berichtspflichtig zu sein hat. Nur ausnahmsweise und nur bei kleinen Instituten kann die Compliance-Funktion von einem Geschäftsleiter wahrgenommen werden.
Vorgaben zum Aufbau einer Compliance-Funktion: Kreditinstitute und Wertpapierdienstleistungsunternehmen
Für Wertpapierdienstleistungsunternehmen legen die §§ 63 ff. WpHG die Einrichtung einer Compliance-Funktion fest. Die Anforderungen werden in den Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 63 ff. WpHG für Wertpapierdienstleistungsunternehmen (MaComp) festgelegt. So legen die MaComp fest, dass Mitarbeiter der Compliance-Funktion nicht an den Wertpapierdienstleistungen beteiligt sein dürfen, die sie überwachen. Im Unterschied zu den insoweit strengeren MaRisk weichen die MaComp aber ausnahmsweise die strikte Trennung zwischen First Line of Defence und Second Line auf. So gestatten die MaComp kleinen
Wertpapierdienstleistungsunternehmen die Übertragung der Compliance-Funktion auf Mitarbeiter der First Line wenn die Einrichtung einer separaten Compliance Funktion „aufgrund der Größe des Unternehmens oder Art, Umfang, Komplexität oder Risikogehalt der Geschäftstätigkeit des Unternehmens oder Art und Spektrum der angebotenen Dienstleistungen“ unverhältnismäßig wäre.
Eine solche Zuordnung setzt aber voraus, dass die Wirksamkeit der Compliance-Funktion dadurch nicht beeinträchtigt wird. Die MaComp nennen dazu Kriterien, die in die Abwägung der Verhältnismäßigkeit einzubeziehen sind, wie etwa: Komplexität und Umfang der angebotenen (Wertpapier-) Dienstleistungen, Art der angebotenen Finanzinstrumente, Anzahl der Kunden bzw. Anzahl der Mitarbeiter, grenzüberschreitende Angebote, u.ä.
Die MaComp setzen damit eine Risikoanalyse voraus, bevor ein Wertpapierdienstleistungsunternehmen ausnahmsweise auf die Einrichtung einer separaten Compliance-Funktion verzichten kann. Des Weiteren haben Wertpapierdienstleistungsunternehmen, die von der Ausnahme Gebrauch machen, zusätzliche Kontrollen einzuführen. So sind sie verpflichtet, eine gegenseitige Überwachung der Mitarbeiter in der First Line sicherzustellen. Die Durchführung der Überwachungshandlungen ist dann zu dokumentieren und damit überprüfbar zu machen.
Übertragen auf die Branchenstandards des VdK könnte überlegt werden, ob eine Ausnahme vom (strengen) Three Lines of Defence-Modells analog der in den MaComp enthaltenen Vorgaben für kleine Unternehmen mit wenig komplexen Produkten eingeführt wird. Empfehlenswert wäre es in diesen Fällen, in denen ein Unternehmen von einer Ausnahme Gebrauch machen will, Vorkehrungen zu verankern, die Interessenkonflikte verhindern, wie sie sich beim Fehlen eines Three Lines of Defence-Modells ergeben können.
Folgen für die Zuordnung anderer Funktion (Geldwäschebeauftragter, Auslagerungsmanagement)
Die Praxis, weitere Kontrollfunktionen wie die des Geldwäschebeauftragten oder den Auslagerungsbeauftragten mit der Compliance-Funktion zu kombinieren, ist üblich und im Finanzsektor quasi die Regel. Gleichwohl folgt daraus noch keine Verpflichtung der Kombination der Compliance-Funktion mit der Funktion des Geldwäschebeauftragten oder des Auslagerungsbeauftragten. Beim Auslagerungsmanagement kann eine Zuordnung zur First Line Vorteile haben, da die Funktion des Auslagerungsbeauftragten gerade darin liegt, das Auslagerungsunternehmen fachlich zu überwachen. Damit soll in erster Linie den Risiken begegnet werden, die sich aus einer Übertragung ergeben. Diese Aufgabe kann durch die Fachabteilungen in der Regel besser erfüllt werden als durch eine reine Kontrolleinheit wie die Compliance-Funktion im Three Lines of Defence-Modell.
Der Geldwäschebeauftragte ist nach den gesetzlichen Vorgaben des GwG auf der Führungsebene anzusiedeln. Er untersteht unmittelbar der Geschäftsleitung und berichtet unmittelbar an sie. Damit ist nicht notwendigerweise verbunden, dass der Geldwäschebeauftragte auch disziplinarisch unmittelbar der Geschäftsleitung untersteht. Lediglich die unmittelbare Berichtspflicht an die Geschäftsleitung muss in jedem Fall sichergestellt sein. In Unternehmen außerhalb des Finanz-sektors ist verbreitet, die Funktion des Geldwäschebeauftragten einem Mitarbeiter der Rechtsabteilung zuzuordnen (wenn eine solche besteht). Ausnahmsweise ist auch eine Bestellung eines Geschäftsleiters als Geldwäschebeauftragten zulässig. Lediglich die Kombination der Innenrevision mit der Funktion des Geldwäschebeauftragten scheidet aus, da der sich daraus ergebende Konflikt nicht auflösen ließe.
Ergebnis
Außerhalb der strengen Vorgaben der MaRisk ergeben sich gewisse Spielräume für Abweichungen vom Three Lines of Defence-Modell. Sofern davon Gebrauch gemacht werden soll, sind dafür ausreichende Kontrollmechanismen zur Vermeidung von Interessenkonflikten zu implementieren.
Den Artikel als PDF zum Download finden Sie hier.