Die zunehmende Herausforderung für die Compliance-Organisation in Finanzinstituten durch stetig steigende Anforderungen

Erfordernis einer aktiven Begleitung der Veränderung für die Aufbau- und Ablauforganisation


Masterarbeit, 2015
84 Seiten, Note: 1,8

Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Grundlagendefinitionen im Rahmen der Arbeit
2.1 Die Compliance Organisation in einer Finanzinstitution
2.1.1 Der Begriff der Compliance
2.1.2 Die rechtlichen Grundlagen
2.1.2.1 Nationale Sicht
2.1.2.2 Internationale Sicht
2.1.3 Die aufbau- und ablauforganisatorische Implementierung von Compliance in einer Institution
2.1.3.1 Möglichkeiten der aufbauorganisatorischen Integration der Compliance- Funktion
2.1.3.2 Die ablauforganisatorische Einbindung von Compliance
2.1.4 Die Bestandteile eines Compliance-Management-Systems nach Institut der Wirtschaft PS 980
2.2 Die Anwendung von Change Management zur Umsetzung von Veränderungen
2.2.1 Das 3-Phasen Modell von Kurt Lewin
2.2.2 Die emotionale Reaktion in Change Management Prozessen nach Streich
2.3 Das Workforce Management als Begriff des bedarfsoptimierten Personaleinsatzes

3 Die Wirkungsbereiche der zunehmenden Regelungsdichte, die Reaktion der Finanzinstitute und der Einsatz von Change Management Methoden
3.1 Handlungsbedarf für die Compliance-Organisation ergibt sich in verschiedenen Bereichen
3.1.1 Die Bewertung der Compliance-Organisation in Finanzinstituten - eine Analyse der extern verfügbaren Informationen
3.1.2 Der steigende Anspruch an die personelle Ressourcenplanung
3.1.3 Die Anpassung der Organisationsstrukturen
3.1.4 Die Notwendigkeit des Kulturwandels
3.2 Die Herausforderungen in der Durchführung von Veränderungsprozessen
3.2.1 Die Anwendung des Drei Phasen Modells von Lewin
3.2.2 Wesentliche Aufgaben zur Realisierung des Kulturwandels
3.2.3 Die Merkmale eines erfolgreichen Veränderungsprozesses

4 Fazit

Literaturverzeichnis

A Übersicht über die Sanktionsliste der OFAC Behörde

Kurzfassung

In Folge der Wirtschafts- und Finanzkrise und der zunehmenden Globalisierung steigt der Druck auf die Bankenbranche. Finanzinstitute stehen verstärkt im Fokus der Auf- sichtsbehörden, aber auch der Öffentlichkeit. Zahlreiche Negativmeldungen sowie die aufkommende regulatorische Themenvielfalt verlangen eine flexible, schnelle Reaktion der Institute zur Umsetzung dieser und zur Verbesserung defizitärer Prozesse innerhalb der Compliance-Abteilungen. Für die organisatorische Veränderung bedarf es der An- wendung von Change Management Methoden, wie bspw. nach Lewin und Streich. Hierbei ist besonders auf eine stufenweise Integration der Neuerungen und die Einbe- ziehung der Mitarbeiter über Kommunikationsinstrumente zu achten. Darüber hinaus besteht aus interner und externer Sicht die Notwendigkeit des Wandels der Compliance- Kultur auf Seiten der Unternehmensmitglieder. Das Management übt enormen Einfluss auf die Verankerung neuer Werte und Verhaltensweisen durch ein starkes Commitment und der Ausstrahlung einer Vorbildfunktion aus. Zudem sind regelmäßige Schulungen auf Mitarbeiterebene eine effektive Maßnahme zur Festigung der Änderungen. Durch das Zusammenspiel des kulturellen und organisatorischen Wandels kann verloren ge- gangenes Kundenvertrauen gestärkt werden. Darüber hinaus wird intern der Schutz des Finanzinstituts und deren Personal vor potenziellen Verstößen und folglich resultieren- den Reputations- und Finanzschäden erreicht. Aus diesem Grund ist ein aktives Forcie- ren von Veränderungen in der Bankenbranche erforderlich.

Abstract

As a result of the economic and financial crisis and ongoing globalization, the pressure on the banking sector is growing. Financial institutions are increasingly found in the focus of supervisory authorities, as well as the general public. Frequent negative reports and the emerging regulatory variety require a flexible and fast response of institutions to implement these and to improve deficient processes within the compliance departments. For the implementation of organizational change, the use of change management meth- ods, such as those set by Lewin and Streich, become necessary. It is important to pay attention, in particular, to a gradual integration of the innovations and the involvement of employees by communication tools. In addition, from both, an internal and external perspective, there is a need for change of compliance culture by members of the corpo- ration. The Management, showing strong commitment and functioning as a role model, has an extensive impact on the internalization of new values and behavioral patterns. Furthermore, regular trainings at employee level are an effective measure to consolidate the changes. Lost customer confidence can be strengthened through the interaction of cultural and organizational change. Moreover, within the company, the protection of financial institutions and their staff against potential violations can be ensured, hence preventing reputational and financial damage. For this reason, an active forcing of changes is required in the banking sector.

Abbildungsverzeichnis

Abbildung 1: Mögliche Formen der Ablauforganisation

Abbildung 2: Die Drei Verteidigungslinien im Überblick

Abbildung 3: Darstellung der Bestandteile eines Compliance-Management-Systems

Abbildung 4: Das 3-Phasen-Modell nach K. Lewin

Abbildung 5: Das 7-Phasen Modell nach R. Streich

Tabellenverzeichnis

Tabelle 1: Übersicht der Strafzahlungen der Commerzbank AG

Tabelle 2: Darstellung der Sanktionsliste von OFAC

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Die Weltwirtschafts- und Finanzkrise 20071 führte weltweit zu Verschärfungen der Re- gulierungen im Bankensektor und steht unter kritischer Beobachtung der Öffentlichkeit sowie internationaler Aufsichtsbehörden. Seit der Krise ist die Reputation der Branche noch nicht vollständig wiederhergestellt, sodass Banken mit einer abnehmenden Kun- denloyalität zu kämpfen haben. Zusätzlich erhöht sich der Druck auf die Finanzinstitute auch durch den demografischen Wandel sowie den Fachkräftemangel auf dem Arbeits- markt. Die zunehmende Digitalisierung trägt ebenfalls ihren Beitrag zur Beschleuni- gung der Wirtschaft bei und stellt eine weitere Herausforderung dar. Als Konsequenz der Bewegungen innerhalb der Branche lassen sich Umbrüche in der Finanzwelt ver- zeichnen.2

Ausgelöst durch die Finanzkrise und den globalen Wandel steigen stetig die regulatori- schen Anforderungen an die Bankenbranche, die Auswirkungen auf das Institut, speziell auf Prozesse, die technische Ausstattung und die Mitarbeiter, haben. Die Umsetzung dieser Herausforderungen fällt in den Zuständigkeitsbereich der Compliance-Abteilung, die das Handeln im Einklang mit geltendem Recht innerhalb eines Unternehmens über- prüft. Hierzu ist eine nachhaltige Implementierung einer Compliance-Struktur in die Geschäftstätigkeit sowie die Verankerung einer Compliance-Kultur auf Seiten der Un- ternehmensmitglieder notwendig.3 Auf Grund der Verwirklichung neuer Regularien entstehen neue Aufgabenpakte, die qualitativ und quantitativ von geeignetem Personal umzusetzen sind. Gleichermaßen bedeutend ist die Verankerung neuer Regelungen und Prozesse in der Aufbau- und Ablauforganisation der Compliance-Einheit. Ausschlagge- bend für einen erfolgreichen Wandel ist zudem die Modifikation der Unternehmenswer- te, die eine Änderung der kulturellen Einstellung auf Mitarbeiterebene erfordert.

Die Implementierung einer effektiven Compliance-Funktion ist besonders vor dem Hin- tergrund der Folgen der Finanzkrise, der verstärken globalen Vernetzung der Wirtschaft,

1. Einleitung

aber auch der zunehmenden Popularisierung relevant. Finanzinstitute sehen sich seit 2007 mit immer wieder neuen Anforderungen, in Form von neuen Normen, konfrontiert, die zum Schutze des Instituts und ihrer Mitarbeiter zu realisieren sind. Um dem stetigen Wandel gerecht zu werden und die Einführung neuer Themen adäquat zu gestalten, ist die Anwendung von Change Prozessen und die Gestaltung einer einheitlichen Compliance-Kultur zur Generierung von Nachhaltigkeit zielführend. Hierbei kommt jedem Unternehmensmitglied eine bedeutende Rolle zu.

Als Finanzinstitute werden in dieser Ausarbeitung diejenigen Institutionen verstanden, die gemäß § 1 Abs. 1 des Kreditwesengesetzes (KWG) folgendermaßen definiert sind: „Kreditinstitute sind Unternehmen, die Bankgeschäfte gewerbsmäßig oder in einem Umfang betreiben, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert.“4 Die Master Thesis beginnt einleitend mit der Vorstellung der Problemstel- lung, der Ziele, einer thematischen Abgrenzung und der Vorgehensweise der Arbeit. Folgende Thesen sollen während der Ausarbeitung geprüft und kritisch hinterfragt wer- den:

Die weiterhin zunehmende Regulierungsvielfalt fordert Ver ä nderungen in vielen Berei- chen der Finanzinstitute, einer der wesentlich betroffenen Bereiche ist die Compliance- Abteilung.

Die Vielfalt stellt die Compliance-Einheit vor die Herausforderung die Ver ä nderungen ad ä quat zu realisieren, was den Einsatz von Change Management Methoden erfordert.

Die Entwicklung hin zu einer anderen Wahrnehmung von Compliance, aber auch der zunehmende Umfang an zu verantwortenden Themen, ergeben die Notwendigkeit des Wandels der Compliance-Kultur sowie der Anpassung der Aufbau- und Ablauforganisa- tion.

Der zweite Abschnitt dieser Thesis erläutert Grundlagendefinitionen die im Rahmen der Ausarbeitung relevant sind. Hierzu gehören die Bestimmung des Compliance-Begriffs, der wesentlichen rechtlichen Grundlagen und Anforderungen, der aufbau- sowie ablauforganisatorischen Integration der Compliance-Funktion und die Erläuterung der Bestandteile eines Compliance-Management-Systems nach dem Institut der Wirtschaftsprüfer Prüfungsstandard 980 (IDW PS 980). Weiterhin werden Modelle des Change Managements, u. a. von Kurt Lewin, ebenso wie das Workforce Management zur bedarfsoptimierten Personaleinsatzplanung vorgestellt.

Zu Beginn des dritten Kapitels werden zunächst extern verfügbare Informationen aus- gewählter Finanzinstitute mit Hinblick auf die Umsetzung regulatorischer Anforderun- gen analysiert. Der daraus resultierende Handlungsbedarf, wie eine adäquate Ressour- cenplanung, die organisatorische Anpassung der Compliance-Struktur und das Erfor- dernis einer kulturellen Umstrukturierung wird nachfolgend diskutiert. Anschließend soll eine mögliche Umsetzung der Veränderungen in den ausgewählten Banken durch die Anwendung von Change Management aufgezeigt und die Aufgaben zur Erreichung eines Kulturwandels beschrieben werden. Zuletzt sind die Merkmale eines erfolgreichen Veränderungsprozesses aufgeführt.

Die Thesis findet ihren Abschluss in einem Fazit durch Zusammenfassung und kritischer Würdigung der Kernaussagen. Darüber hinaus werden Handlungsempfehlungen für Institute, auf Basis der Analyse der extern verfügbaren Informationen und den gewonnenen Erkenntnissen der Arbeit, formuliert.

2 Grundlagendefinitionen im Rahmen der Arbeit

Das Kapitel zwei dieser Arbeit umfasst Grundlagendefinitionen, die f ü r die Ausarbei tung des dritten Abschnitts notwendig werden und dem Leser ein fundiertes Basiswissen liefern. Es findet eine Einf ü hrung in die Compliance- und Change Management Thematik sowie die Personalplanung statt.

2.1 Die Compliance Organisation in einer Finanzinstitution

2.1.1 Der Begriff der Compliance

Der Begriff Compliance ist der angelsächsischen Rechtsterminologie entnommen.5 Von „to comply with“ abgeleitet bedeutet dies Handeln im Einklang mit geltendem Recht.6 Compliance als schlichte Gesetzestreue zu übersetzen, und somit auf die juristische Sichtweise zu beschränken, greift jedoch zu kurz.7 Zusätzlich deckt der Begriff die Ma- nagementfunktion ab, die das Ergreifen von präventiven Maßnahmen zur Minderung von Haftungsrisiken durch Rechtsverletzungen beinhaltet.8 Grundsätzlich ist es ent- scheidend innerhalb des Unternehmens ein rechtskonformes Verhalten durch organisa- torische Maßnahmen und entsprechende Prozesse und Strukturen sicherzustellen.9

Den Ursprung findet Compliance für deutsche Unternehmen in der angloamerikani- schen Banken- und Finanzwelt Ende der 1980er Jahre.10 Compliance wurde dort als Konzept zur Sicherstellung eines regelkonformen Verhaltens in den klassischen Risiko- bereichen der Banken verwendet. Diese Bestimmung entspricht weitgehend dem heuti- gen Verständnis von Compliance. Das unternehmerische Haftungsrisiko, als Folge von Gesetzesübertretungen, soll durch entsprechende Strukturen im Unternehmen vermie- den bzw. reduziert werden.11

Es gibt keine einheitliche Definition von Compliance. In dieser Arbeit umfasst das Compliance-Verständnis die beiden folgenden Aspekte: Compliance lässt sich in eine regelorientierte und werteorientierte Compliance unterteilen. Die regelorientierte Kom- ponente fokussiert das formale Regelwerk und die Verhinderung von Fehlverhalten im Unternehmen. Sie konzentriert sich auf die Legalität unternehmerischen Handelns eben- so wie auf die Konformität des Verhaltens von Management und Mitarbeitern ab. Hier- zu ist die Einhaltung der Gesetze für alle Mitarbeiter Pflicht. Darüber hinaus sollten Verhaltensrichtlinien, Verbote und Regelungen eingeführt und umgesetzt, aber auch Kontrollmechanismen in Strukturen und Prozesse implementiert werden. Eine regelori- entierte Compliance fördert eine schnelle Umsetzung und eine gute Überprüfbarkeit und Steuerbarkeit der Anforderungen. Sie ist hingegen nur gering flexibel, es besteht die Gefahr der Misstrauenskultur und Geschäftsprozesse könnten sich verkomplizieren.12

Die wertorientierte Compliance wird auf der anderen Seite durch ein umfassendes Wertemanagement bestimmt. Hierbei liegt der Schwerpunkt auf der Unternehmenskultur und auf ethischer Integrität. Stakeholder-Anforderungen, die gesetzliche Anforderungen überschreiten, werden berücksichtigt. Des Weiteren zielt das wertorientierte Compliance-Management auf eine Internalisierung von Normen ab. Die Orientierung in formal nicht geregelten Bereichen und Grauzonen, der Reputationsgewinn sowie das Vertrauen und die Motivation der Mitarbeiter sind hier vorteilhaft.13

Ziel von Compliance ist die Verhinderung von Rechtsverstößen und der Haftung, indem gesetzliche und unternehmensindividuelle Regularien festgelegt, umgesetzt, kontrolliert und überprüft werden.14 Aus dem § 33 Abs. 1 Satz 2 des Wertpapierhandelsgesetzes (WpHG), der besagt, dass die Implementierung einer Compliance-Struktur für Unter- nehmen der Finanzbranche verpflichtend ist, lässt sich eine Rechtspflicht zur Installati- on geeigneter Maßnahmen und Instrumente ableiten. Weiterhin stützt diese Aussage der Deutsche Corporate Governance Kodex für börsennotierte Unternehmen, da hier der Vorstand für die Einhaltung von internen Regelungen und deren unternehmensweite Beachtung Sorge zu tragen hat.15 Darüber hinaus ergibt sich für international agierende Unternehmen infolge der Globalisierung und der Entwicklung einer übergreifenden Wirksamkeit internationaler Rechtspflichten (Exterritorialität) die Pflicht zur Einrichtung von Compliance-Systemen.16

2.1.2 Die rechtlichen Grundlagen

2.1.2.1 Nationale Sicht

Im deutschen Recht schreiben Sorgfaltspflichten die Einführung einer Compliance- Struktur vor. So heißt es in § 76 Abs. 1 Aktiengesetz (AktG), dass die Leitung der Ge- sellschaft der Verantwortung des Vorstands obliegt und er unter eigener Verantwortung agiert.17 Ergänzend hierzu hat er, laut § 93 Abs. 1 AktG, bei der „Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden“18. Aus diesen Paragrafen lassen sich allgemeine Pflichten des Vorstands zur Legalitätskontrolle der dem Unternehmen angehörigen Mitarbeiter sowie zur Einrichtung von Maßnahmen induzieren. Intern ist dies die Einhaltung der Satzung der Geschäftsordnung und nach außengerichtet die Befolgung weiterer Rechtsvorschriften neben dem Aktienrecht.19 Analog zum § 93 Abs. 1 AktG gilt für GmbH Vorstände § 43 Abs. 1 GmbH Gesetz (GmbHG). Konkreter gestaltet sich der § 91 Abs. 2 AktG, der die Einrichtung eines Überwachungssystems vorgibt, damit eine Gefährdung frühzeitig bekannt wird. Des Weiteren erschließt sich für das Geschäftsleitungsorgan indirekt aus den §§ 9, 30 und 130 Ordnungswidrigkeiten Gesetz (OWiG) ein Erfordernis zur Errichtung einer Compliance-Funktion. Dort heißt es, dass Organmitglieder bei Pflichtverletzungen her- angezogen werden, sofern diese sich aus einer Verletzung von Aufsichtspflichten herlei- ten lassen.20

Die Einrichtung einer Compliance-Funktion ist allgemein von der Institutsgröße, der Komplexität, des Geschäftszweigs sowie von der Risikostruktur abhängig. Es ist Auf- gabe des Vorstandes den Umfang der Funktion zu definieren sowie die Rechtstreue und Maßnahmen zur Vermeidung von Rechtsverstößen zu organisieren. In diesem Schritt ist es bedeutend, die Risiken des Unternehmens und dessen Reichweite zu identifizieren und zu erfassen, um ein individuelles maßgeschneidertes Compliance-Programm zu entwickeln.21

Branchenspezifische Regelungen bestehen gemäß § 25 KWG gegenüber Kreditinstituten, die die Gestaltung einer Organisation zur Einhaltung der gesetzlichen Anforderungen erwarten.22 Der § 25a des KWG „Besondere organisatorische Pflichten“ besagt: „Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen […]“23. Dieser Umstand verlangt im Rahmen des Risikomanagements die Einrichtung eines internen Kontrollsystems, dass eine Risikocontrolling- und vor allem eine Compliance-Funktion einschließt.24

Das Gesetz zum Aufspüren von Gewinnen aus schweren Straftaten - Geldwäschegesetz (GwG) verpflichtet zur Befolgung von Sorgfaltspflichten und internen Sicherungsmaß- nahmen. Ziel dieser Vorschrift ist die Verhinderung und Aufdeckung bzw. Bekämpfung illegaler Handlungen aus Geldwäsche und Terrorfinanzierung.25 Zu den „Allgemeinen Sorgfaltspflichten“ nach § 3 GwG haben Finanzinstitute Vertragspartner zu identifizie- ren, Informationen über die Absicht der Geschäftsbeziehung einzuholen und wirtschaft- lich Berechtigte zu erfassen. Ebenfalls sind Transaktionsverläufe regelmäßig auf Plausi- bilität zu überprüfen. Die Identifizierung umfasst bei natürlichen Personen die Angabe der Personaldaten, bei einer juristischen Person Unternehmensdaten wie Firma, Nieder- lassung, Mitgliedsorgane etc.26 Der § 5 GwG der „Vereinfachten Sorgfaltspflichten“ ist auf Geschäftsbeziehungen anzuwenden, von denen ein geringes Risiko ausgeht. Bei der vereinfachten Form sind die allgemeinen Pflichten in einem angemessenen Rahmen zu erfüllen.27 Ist bei einer Beziehung von einem erhöhten Risiko, bspw. bei politisch expo- nierten Personen, auszugehen, gelten „Verstärkte Sorgfaltspflichten“ § 6 GwG. Ein Vorgesetzter des Finanzinstituts entscheidet in diesem Fall über die Fortführung der Geschäftsbeziehung. Entweder ist das Risiko für das Institut nicht tragbar und die Be- ziehung wird beendet oder sie kann, ggf. unter Auflage zusätzlicher Überwachungs- maßnahmen, beibehalten werden. Für diese Entscheidung sind detailliertere Informatio- nen über Herkunft und Zweck der Vermögenswerte, die eine Hoch-Risiko Transaktion ausgelöst haben, einzuholen.28

In einem Rundschreiben von Mai 201029 veröffentlicht die Bundesanstalt für Finanz- dienstleistungsaufsicht (BaFin) die MaComp - Mindestanforderungen an die Compliance-Funktion sowie weitere Verhaltens-, Organisations- und Transparenz- pflichten nach den §§ 31 ff. WpHG. Mit dem Rundschreiben konkretisiert die BaFin einzelne Regelungen des WpHG zur Errichtung einer ordnungsgemäßen Geschäftsorga- nisation. Die MaComp unterstützt die Verankerung der Compliance-Funktion ebenso wie die Stärkung des Anlegervertrauens. Die Eintrittswahrscheinlichkeit für negative Konsequenzen, wie aufsichtsrechtliche Maßnahmen, Schadensersatzansprüche und Re- putationsschäden, sind zu senken.30 Generell sollen Risiken durch die Compliance- Funktion eines Instituts reduziert, vermieden oder zumindest steuerbar gestaltet wer- den.31

Die Mindestanforderungen an das Risikomanagement (MaRisk) ist ebenfalls ein Rund- schreiben der BaFin basierend auf dem § 25a Abs. 1 KWG. Es dient den Finanzinstitu- ten als Leitfaden für die adäquate Ausgestaltung des Risikomanagements durch die Im- plementierung von Strategien und Kontrollverfahren auch für besondere Funktionen wie der Compliance-Einheit (4.4.2 MaRisk).32

2.1.2.2 Internationale Sicht

Auf Grund der Exterritorialität sind für international agierende Finanzinstitute nicht nur deutsche Gesetze und Regelungen ausschlaggebend. Sobald ein deutsches Institut bspw. über die amerikanische Börse handelt, sind U.S. Normen einzuhalten.33 Daher werden zusätzlich das “Bank Secrecy Act/Anti-Money Laundering Examination Manual” (BSA/AML) der Federal Financial Institutions Examination Council (FFIEC)34 und das “OFAC Compliance-Program” des Office of Foreign Assets Control (OFAC) in dieser Arbeit relevant.35

Der Bank Secrecy Act ist aus der Zusammenarbeit der FFIEC, Financial Crimes En- forcement Network (FinCen), U. S. Department of the Treasury (Finanzamt), Board of Governors of the Federal Reserve Systeme (FED), National Credit Union Administra- tion (NCUA) und dem Office of the Comptroller of the Currency (OCC) entstanden.36 Das Resultat der Kooperation ist die Vereinheitlichung der Vorschriften zur Verhinde- rung von Geldwäsche- und Terrorfinanzierung, die für alle Finanzinstitute in den Verei- nigten Staaten Gültigkeit hat. Das Manual setzt die Einführung eines Compliance- Programms voraus, das mit Hilfe eines adäquaten Risikomanagements, Risiken der Geldwäsche und Terrorfinanzierung identifiziert und steuert. Anforderungen sowie In- formationen zur Gestaltung von Maßnahmen und Prüfverfahren für das Compliance- Programm ergeben sich aus der Richtlinie.37 Gemäß dem BSA/AML unterliegt das Compliance-Programm vollständig der Oblie- genheit des Vorstands und ist dem Risikoprofil des Finanzinstituts anzupassen. Bei der Implementierung des Programms ist die Übereinstimmung des Handelns im Einklang mit den Richtlinien, Prozessen und Verfahren der Bank maßgebend. Ebenfalls bedarf es adäquater Systeme zur internen Kontrolle, einer unabhängigen Prüfung und eine ange- messene Schulung der Mitarbeiter. Zudem ist ein Compliance-Officer zu benennen.38

Der Vorstand, der durch das Management agiert, ist verantwortlich für die Implementie- rung interner Kontrollsysteme, die verdächtige Aktivitäten überwachen und ggf. mel- den. Hierzu ist eine Compliance-Kultur zu entwickeln, die die Bereitschaft auf Seiten der Mitarbeiter zur Einhaltung der BSA/AML Richtlinien und Prozesse schafft. Interne Kontrollen umfassen Maßnahmen und Systeme die Risiken reduzieren und kontrollie- ren, um im Einklang mit geltendem Recht zu handeln. Die Komplexität der Kontrollen hängt dabei von der Größe und Struktur der Bank und den Risiken ab. Allgemein sollten interne Kontrollen Bankgeschäfte/Transaktionen und Kundendaten identifizieren, die zum Waschen von inkriminierten Geldern verwendet werden. Diese Daten sind mit Hil- fe entsprechender Systeme (Currency Transaction Reports - CTR, CTR Exemptions, Suspicious Activity Report - SAR) zu überprüfen, zu melden und langfristig zu verhin- dern. Der Vorstand sowie das Management sind über identifizierte Gefahren, eingeleite- te Gegenmaßnahmen und den Vorgang der Anzeige verdächtiger Aktivitäten zu infor- mieren. Der Bank Secrecy Act schreibt weiterhin die Implementierung von Richtlinien und Verfahren für Sorgfaltspflichten (Customer Due Diligence - CDD) vor. Für die Ausübung der Überwachungsaufgaben bedarf es geeignetes Personal, dass einem konti- nuierlichen Schulungsprozess unterzogen wird. Des Weiteren ist die Verantwortung für das BSA/AML Compliance-System einer Person (Compliance-Officer) zu übertragen. Zuletzt erfordert die Integration interner Kontrollen die grundlegende Verfassung von Regelungen und Prozessbeschreibungen, die turnusmäßig auf Aktualität überprüft und ggf. angepasst werden müssen.39

Die Interne Revision ist für die Durchführung unabhängiger Prüfungen zuständig und wird durch externe Wirtschaftsprüfer und Berater unterstützt. Sie überprüfen die Effek- tivität des Compliance-Programms und der Monitoring- und Transaktionsüberwa- chungssysteme, die Angemessenheit des Risikomanagements, kontrollieren die Inhalte der Schulungsmaßnahmen ebenso wie die Prozesse zur Identifizierung verdächtiger Aktivitäten und bewerten den Aufwand des Managements zur Lösung von Defiziten. Die Frequenz solcher Prüfungen beträgt in der Praxis, abhängig vom Risikoprofil der Bank, zwölf bis 18 Monate. Die Ergebnisse hieraus sind direkt an den Vorstand zu kommunizieren und unterstützen bei der Identifizierung von Bereichen die strengere Kontrollen oder Verbesserungen erfordern.40

Der Compliance-Officer koordiniert und überwacht die Compliance-Funktion, ebenso wie die Durchführung und Einhaltung der BSA Bestimmungen durch die Mitarbeiter. Die Verantwortung hierfür trägt als letzte Instanz der Vorstand des Finanzinstituts, der den Officer mit ausreichend Ressourcen und Kompetenzen ausstattet, damit er das Compliance-Programm präzise auf das Risikoprofil der Bank ausrichten kann. Aus die- sem Grund ist es essentiell, dass der Officer vollumfassende Kenntnisse über Regula- rien, Produkte, Kunden, die Organisation und die Risikoanfälligkeit für Geldwäsche und Terrorismusfinanzierung verfügt. Die Unternehmensstrukturen sollten so gestaltet sein, dass der Compliance-Officer auf direktem Wege den Vorstand oder einem entsprechen- den Komitee regelmäßig über laufende Aktivitäten und Verstöße im Rahmen einer Be- richterstattung informieren kann.41

Ebenfalls Bestandteil des BSA/AML Compliance-Programms ist die Schulung des Per- sonals zu Compliance Themen. Die Trainingsmaßnahmen sollten den regulatorischen Anforderungen der Bank entsprechen sowie Informationen über Regelwerke, Prozesse und Verfahren beinhalten. Um diese Maßnahme so effektiv wie möglich zu gestalten, ist es notwendig, die Trainings auf die Aufgabe der Mitarbeiter zu spezifizieren. Über Än- derungen des Risikoprofils oder der regulatorischen Umgebung sind alle Mitarbeiter, das Management und die Geschäftsleitung zur konformen Umsetzung dieser zu informieren, Schulungsmaterialien sind entsprechend zu überarbeiten.42

OFAC spricht Wirtschafts- und Handelssanktionen basierend auf außenpolitischen und nationalen Normen gegen Länder und Regierungen aus, die eine Gefahr für die nationa- le Sicherheit, die Wirtschaft und die Außenpolitik bedeuten, da sie bspw. in Bezug zu Terroristen, internationalen Drogenhändlern oder zur Waffenindustrie stehen.43 Sanktio- nen werden demnach bei Zahlungstransfers mit bestimmten Ländern verhängt. Dabei können sich Strafen sowohl gegen ein Finanzinstitut als auch gegen involvierte Indivi- duen richten. Haft- und Geldstrafen, aber auch Zivilstrafen sind möglich.44 (Einen Über- blick über die Sanktionslisten der OFAC befindet sich im Anhang A auf Seite 75.) Dar- über hinaus überprüfen die Bankenaufsichtsbehörden das OFAC Compliance- Programm, um sicherzustellen, dass die Institute ihre Aufsichtspflicht gegenüber der Einhaltung der Sanktionen erfüllen.45 Allgemein sind die OFAC Anforderungen von den BSA/AML Anforderungen separiert zu betrachten, dennoch verfolgen beide das Ziel der Förderung der nationalen Sicherheit.46 Anders als der BSA gelten die OFAC Rege- lungen nicht nur für U.S. Banken, deren nationale Einheiten und internationale Bank- dienstleistungen, sondern auch für ausländische Niederlassungen und Tochtergesell- schaften. Das OFAC Compliance-Programm basiert auf einem risikoorientierten Ansatz und ermöglicht Banken Konten der sanktionierten Länder, Organisationen und Indivi- duen zu blockieren sowie nicht lizenzierte Handels- und Finanztransaktionen zu verhin- dern.47

Das OFAC Compliance-Programm sollte risikoreiche Bereiche identifizieren, Kon- trollmaßnahmen zur Überwachung und Berichterstattung sowie eine unabhängige Kon- trollinstanz einführen, einen Compliance-Officer ernennen und Personalweiterentwick- lungsmaßnahmen entwickeln.48 Eine fundamentale Aufgabe der Risikobewertung ist die Bewertung der Produkte, Kunden, Transaktionsarten des Instituts, aber auch die Identi- fizierung anfälliger Bereiche für Sanktionsrisiken. Zu Beginn einer Geschäftsbeziehung wird jedes Individuum im Rahmen des Customer Identification Program (CIP) und der CDD auf ihr Risikopotenzial getestet. Jedes neu eröffnete Konto und jeder Vertrags- partner wird einer Bewertung unterzogen, indem sie mit den OFAC Sanktionslisten (Specially Designated Nationals and Blocked Persons - SDN) abgeglichen werden. Für diesen Vorgang hat das Finanzinstitut angemessene Richtlinien und Prozessbeschrei- bungen zu verfassen und bei Änderung der Risikogrundlage entsprechend anzupassen. Des Weiteren sind bei der Bewertung des Risikos alle Indikatoren zu berücksichtigen. Beispiele für potenziell riskante Produkte, Dienstleistungen, Kunden und geografische Standorte sind u. a. Fremdwährungskonten, internationaler Zahlungsverkehr, Konten von Ausländern ohne festen Wohnsitz und Auslandskorrespondenten-Konten.49

Ein effektives Compliance-Programm benötigt interne Kontrollmaßnahmen, die, ähn- lich wie beim Bank Secrecy Act, verdächtige Konten und Transaktionen erkennen und Bericht über blockierte und verhinderte Transaktionen erstatten. Zur Identifizierung und Meldung verdächtiger Transaktionen sind vorab prozessbeschreibende Regeln zu defi- nieren, die auch Kriterien für ein Früherkennungsverfahren zum Abgleichen von Namen mit OFAC Sanktionslisten umfassen. Die Regeln sind regelmäßig zu aktualisieren, um Änderungen und Neuerungen der Sanktionslisten zu berücksichtigen.50 Jede Transaktion ist risikoorientiert zu analysieren, um kriminelle Handlungen in Form von Geldwäsche und Terrorismusfinanzierung frühzeitig zu erkennen und zu verhindern. Dabei erkennt das System bestimmte Transaktionsmuster, berücksichtigt die Herkunft der Transaktion sowie Kundeninformationen, die auf kriminelle Hintergründe schließen lassen. Gene- riert das System Treffer, sind diese zur Analyse weiterzuleiten. Bei erhöhtem Gefahren- potenzial hat die Bank Transaktionen zu blockieren bzw. nicht auszuführen. Ein Eskala- tionsprozess fördert die Meldung von Treffern an Aufsichtsbehörden und OFAC und informiert zugleich das Management. Die Trefferanalyse unterstützt ebenfalls die Er- kennung von Defiziten im Compliance-Programm, die entsprechend zu beseitigen sind.51

Jede Bank sollte eine unabhängige Kontrollinstanz zum Testen der OFAC Compliance- Maßnahmen installieren. Dies kann durch die Audit-Einheit, einen externen Berater oder Wirtschaftsprüfer durchgeführt werden.52 Eine effektive interne Kommunikations- struktur ist neben den Kontrollmechanismen ein weiterer wichtiger Aspekt der OFAC Bestimmungen, die den Informationstransfer, bspw. durch Newsletter, von Regularien und Erläuterungen fördert. Zuletzt prüfen und erweitern Schulungen der Mitarbeiter den Kenntnisstand über Compliance Normen und steigern die Sensibilisierung für die OFAC Compliance-Thematik.53

2.1.3 Die aufbau- und ablauforganisatorische Implementierung von Compliance in einer Institution

2.1.3.1 Möglichkeiten der aufbauorganisatorischen Integration der Compliance- Funktion

Die Aufbauorganisation der Compliance-Funktion ist individuell auf die Bank auszu- richten und orientiert sich an den drei Grundfunktionen Prävention, Aufdeckung und Reaktion. Die Ansiedlung der Funktion im Unternehmen kann auf Basis verschiedener Modelle unter Berücksichtigung der organisatorischen Trennung der Bereiche Compliance und der Internen Revision sowie einer angemessen personellen Ausstattung geschehen. Je nach Unternehmensgröße kann eine eigenständige Compliance-Abteilung als Stabsstelle angesiedelt werden. Alternativ ist die Integration in eine bestehende Ab- teilung, wie z. B. der Personal- oder Finanzabteilung, aber auch eine Auslagerung an externe Berater möglich.54

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Mögliche Formen der Ablauforganisation55

Der Vorstand jeden Instituts hat die Pflicht zur Ernennung eines Compliance-Officer, der für die Einhaltung und Durchführung der Compliance-Funktion verantwortlich ist.56 Der Officer ist als Funktionsträger des Instituts „ohne öffentlich-rechtliche Pflichten- stellung gegenüber einer Behörde“57 zu sehen und hat drei zentrale Aufgaben zu erfül- len. Die erste umfasst die Unterstützung der Mitarbeiter bei der Einhaltung rechtlicher Vorgaben, Regularien sowie der Ethik- und Verhaltensrichtlinien. Hierzu zählt gleich- ermaßen die Prävention vor wettbewerbswidrigen Absprachen und Bestechungshand- lungen. Liegen betrügerische Handlungen oder Rechtsverstöße vor, so hat der Compliance-Officer unverzüglich, auf Grund der Pflicht zur Eskalation, Meldung an die zuständige Aufsichtsbehörde und den Chief Compliance Officer, als Verantwortlichen der Compliance-Einheit (CCO), zu machen. Im Rahmen der zweiten Aufgabe sind die Compliance-Maßnahmen des Instituts zu bewerten und zu überwachen. Das Compliance-System ist in gleichen Abständen zu überprüfen und ggf. zu optimieren. Zuletzt erstattet der Officer in regelmäßigem Turnus, meist jährlich, Bericht, je nach Unternehmensgröße und -risiko auch häufiger. Die Adressaten des Reports sind, neben der Geschäftsleitung (CCO), der Aufsichtsrat und die Interne Revision.58 Allgemein sollte der Beauftrage fest in alle operativen Prozesse integriert und mit den Ge- schäftspraktiken vertraut sein.59 Er kann nur dann wirksam agieren, wenn er über genügend Informationen sowie über materielle und personelle Ressourcen verfügt. Der Compliance-Officer kann als „Garant“ strafrechtlich belangt werden, wenn ihm eine Unterlassung seiner Pflichten nachgewiesen werden kann, aber auch wenn Dritte gegen Rechtspflichten verstoßen.60

2.1.3.2 Die ablauforganisatorische Einbindung von Compliance

Das Modell der drei Verteidigungslinien (Three Lines of Defense) bildet die Grundlage für eine funktionierende Governance-Struktur und basiert auf den Baseler Papieren („Corporate governance principles for banks“ von 201461 ; „Principles for the sound ma- nagement of operational risk“ von 201162 ). Das Modell unterstützt den Identifikations- und Bearbeitungsprozess der Unternehmensrisiken. In den verschiedenen Organisati- onseinheiten werden Verantwortlichkeiten und Zuständigkeiten definiert. Anhand des- sen können Risiken effizient koordiniert und Kontrolllücken verhindert werden. Die Gesamtheit der einzelnen Kontrolleinheiten ergibt einen einheitlichen Governance- Rahmen.63

Abbildung 2: Die Drei Verteidigungslinien im Überblick64

Abbildung in dieser Leseprobe nicht enthalten

Für die erste Verteidigungslinie ist das operative Management verantwortlich. Es führt Steuerungs- und Kontrollmaßnahmen aus und installiert diese in den operativen Prozes- sen. Dies ist der Grundstein für die Prävention bzw. frühzeitige Erkennung und Verhin- derung von Risiken.65 Die zweite Linie beinhaltet die Risikomanagement-Funktion und somit die Aufgaben der Identifizierung, Messung, Überwachung und Meldung von Ri- siken. Die Compliance-Funktion bildet einen Teil der zweiten Verteidigungslinie.66 Die zweite Line of Defense übernimmt unter Beaufsichtigung des operativen Managements verschiedene Aufgaben zur Risikosteuerung. Somit werden Richtlinien verfasst, poten- zielle Gefahren aufgedeckt und das Personal weiterentwickelt. Da die ersten beiden Li- nien eng miteinander verknüpft sind bedarf es einer dritten Linie, die unabhängig mit dem notwendigen Abstand die Kontrollmaßnahmen beurteilen kann.67 Somit überprüft die Interne Revision die Wirksamkeit der Governance Strukturen und die konsequente Anwendung der Regelwerke. Sie pflegt einen direkten Berichtsweg an den Vorstand.68 Die drei Linien agieren parallel, sodass das Gesamtrisiko durch die Anwendung der Kontrollmaßnahmen auf ein für das Unternehmen angemessenes Restrisiko, im Rahmen des individuellen Risikoappetits, reduziert wird. Zusätzlich zu den Three Lines of De- fense agieren im Konzern eine externe Audit Instanz und die Regulierungsbehörde.69

2.1.4 Die Bestandteile eines Compliance-Management-Systems nach

Institut der Wirtschaft PS 980

Das Institut der Wirtschaftsprüfer in Deutschland e.V. verfasst im Prüfungsstandard 980 freiwillige Regelungen zum Compliance-Management-System.70 Compliance-Systeme dienen in der Unternehmenspraxis der Organisation und Überwachung von gesetzlichen und regulatorischen Pflichten, um Verstöße vorzubeugen, frühzeitig zu erkennen und zu beseitigen.71 Das Compliance-System oder auch Compliance-Management-System (CMS) ist angemessen gestaltet, „wenn es geeignet ist, mit hinreichender Sicherheit

[...]


[...]


1 Vgl. Bundeszentrale für politische Bildung 2010.

2 Vgl. Zillmann und Ströbele 2012, S. 7 f.; Dahm und Brückner 2014.

3 Vgl. Mair und Petsche 2012, S. 5.

4 Siehe Bundesministerium der Justiz und für Verbraucherschutz 01.01.1962.

5 Vgl. Eufinger 2012, S. 21 ff.

6 Vgl. Stanitzek 2013, S. 29.

7 Vgl. Eufinger 2012, S. 21 ff.

8 Vgl. Ohrtmann und Gimnich 2013, S. 8; Eufinger 2012, S. 21 ff.

9 Vgl. Eufinger 2012, S. 21 ff.

10 Vgl. Buffo und Brünjes 2008, S. 108 ff.; Behringer et al. 2010, S. 32.

11 Vgl. Lösler 2003, S. 11 ff.

12 Vgl. Fischer 2009, S. 38.

13 Vgl. Fischer 2009, S. 39.

14 Vgl. Stanitzek 2013, S. 30.

15 Vgl. Meyer 2013.

16 Vgl. Rathgeber 2012, S. 70.

17 Vgl. Wecker 2013, S. 5; Behringer et al. 2010, S. 49.

18 Siehe Bundesministerium der Justiz und für Verbraucherschutz 01.01.1966.

19 Vgl. Behringer et al. 2010, S. 49; Wecker 2013, S. 5.

20 Vgl. Wecker 2013, S. 5 f.; Besch et al. 2010, S. 9 f.

21 Vgl. Lösler 2008, S. 1101; Wecker 2013, S. 7.

22 Vgl. Wecker 2013, S. 6.

23 Siehe Bundesministerium der Justiz und für Verbraucherschutz 01.01.1962.

24 Vgl. Bundesministerium der Justiz und für Verbraucherschutz 01.01.1962; Schmidt und Kinzelbach 2014, S. 103.

25 Vgl. Bundesministerium der Justiz und für Verbraucherschutz 21.08.2008; Nipperdey 2014, Geldwä- schegesetz.

26 Vgl. Bundesministerium der Justiz und für Verbraucherschutz 21.08.2008.

27 Vgl. Bundesministerium der Justiz und für Verbraucherschutz 21.08.2008.

28 Vgl. Bundesministerium der Justiz und für Verbraucherschutz 21.08.2008.

29 Die letzte Aktualisierung der MaComp erfolgte im Jahr 2015.

30 Vgl. Becker und Wohler, S. 160.

31 Vgl. Becker et al. 2011, S. 5 f.

32 Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht 01.01.2013, S. 3.

33 Vgl. Huck 2015, S. 993 f.

34 FFIEC ist eine ressortübergreifende Behörde, die befugt ist Grundsätze und Standards zur Aufsicht der Finanzinstitute einzuführen (Vgl. Federal Financial Institutions Examination Council 2015).

35 Vgl. Federal Financial Institutions Examination Council 2014, S. 1.

36 U.S. amerikanische Behörden zur Bankenregulierung.

37 Vgl. Federal Financial Institutions Examination Council 2014, S.1.

38 Vgl. Federal Financial Institutions Examination Council 2014, S. 28 f.

39 Vgl. Federal Financial Institutions Examination Council 2014, S. 29 f.

40 Vgl. Federal Financial Institutions Examination Council 2014, S. 30 f.

41 Vgl. Federal Financial Institutions Examination Council 2014, S. 32.

42 Vgl. Federal Financial Institutions Examination Council 2014, S. 32 f.

43 Vgl. U.S. Department of the Treasury 2015.

44 Vgl. The Office of Foreign Assets Control of the Department, S. 2.

45 Vgl. Federal Financial Institutions Examination Council 2014, S. 142 f.

46 Vgl. Federal Financial Institutions Examination Council 2014, S. 7.

47 Vgl. Federal Financial Institutions Examination Council 2014, S. 142 f.

48 Vgl. Federal Financial Institutions Examination Council 2014, S. 145.

49 Vgl. Federal Financial Institutions Examination Council 2014, S. 145 ff.

50 Vgl. Federal Financial Institutions Examination Council 2014, S. 147 f.

51 Vgl. Federal Financial Institutions Examination Council 2014, S. 153; The Office of Foreign Assets Control of the Department, S. 3.

52 Vgl. Federal Financial Institutions Examination Council 2014, S.150.

53 Vgl. The Office of Foreign Assets Control of the Department, S. 3.

54 Vgl. Wieland et al. 2014, S. 117; Moosmayer 2012, S. 34 f.; Schmidt und Kinzelbach 2014, S. 103.

55 Eigene Darstellung in Anlehnung an Moosmayer 2012, S. 34 ff.

56 Vgl. Bundesministerium der Justiz und für Verbraucherschutz 2015; Lösler 2008, S. 1101; Schmidt und Kinzelbach 2014, S. 103.

57 Siehe Lösler 2008, S. 1102.

58 Vgl. Wieland et al. 2014, S. 300; Berwanger und Kullmann 2012, S. 95; Wieland et al. 2014, S. 274; Schmidt und Kinzelbach 2014, S. 104.

59 Vgl. Bannenberg et al. 2013, S. 121.

60 Vgl. Wieland et al. 2014, S. 274.

61 Vgl. Basel Committee on Banking Supervision 2010.

62 Vgl. Basel Committee on Banking Supervision 2011.

63 Vgl. Flemming Ruud und Kyburz 2014, S. 761 f.

64 Eigene Darstellung in Anlehnung an Bungartz 2015.

65 Vgl. Flemming Ruud und Kyburz 2014, S. 762.

66 Vgl. Basel Committee on Banking Supervision 2010, S. 4 f.

67 Vgl. Flemming Ruud und Kyburz 2014, S. 762.

68 Vgl. Basel Committee on Banking Supervision 2010, S. 4 f.

69 Vgl. Flemming Ruud und Kyburz 2014, S. 763.

70 Vgl. IDW PS 980, Tz 1.

71 Vgl. Ohrtmann und Gimnich 2013, S. 112.

Ende der Leseprobe aus 84 Seiten

Details

Titel
Die zunehmende Herausforderung für die Compliance-Organisation in Finanzinstituten durch stetig steigende Anforderungen
Untertitel
Erfordernis einer aktiven Begleitung der Veränderung für die Aufbau- und Ablauforganisation
Hochschule
Fachhochschule Dortmund
Note
1,8
Autor
Jahr
2015
Seiten
84
Katalognummer
V311618
ISBN (eBook)
9783668106093
ISBN (Buch)
9783668106109
Dateigröße
879 KB
Sprache
Deutsch
Schlagworte
herausforderung, compliance-organisation, finanzinstituten, anforderungen, erfordernis, begleitung, veränderung, aufbau-, ablauforganisation
Arbeit zitieren
Cornelia Schmitz (Autor), 2015, Die zunehmende Herausforderung für die Compliance-Organisation in Finanzinstituten durch stetig steigende Anforderungen, München, GRIN Verlag, https://www.grin.com/document/311618

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Die zunehmende Herausforderung für die Compliance-Organisation in Finanzinstituten durch stetig steigende Anforderungen


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden