Prof. Dr. Svend Reuse, MBA, Mitglied des Vorstandes, Kreissparkasse Düsseldorf. Zudem Honorarprofessor an der FOM Hochschule für Oekonomie und Management, Fachbeirat im isf – Institute for Strategic Finance.^[1]

Einleitende Worte

Nicht nur am Beispiel der MaRisk 8.0 mit mittlerweile 126 Seiten (vgl. BaFin 2023) wird deutlich, dass sich die Regulatorik im Bankenbereich exponentiell erhöht. Es wird zunehmend schwerer, die Umsetzung sicherzustellen, da die Komplexität steigt und auch die Umsetzungsfristen kürzer werden. Verschärfend kommt zudem hinzu, dass sich auch die BaFin mittlerweile der Verweistechnik bedient. So verweisen die aktuellen MaRisk auf die EBA/GL/2020/06 (vgl. EBA 2020), was durchaus kritisch zu sehen ist (vgl. Reuse/Frère 2023, S. 330).

Folglich kommt den entsprechenden Beauftragten bzw. Funktionen, insbesondere der MaRisk-Compliance-Funktion, eine besondere Bedeutung zu. Der vorliegende Beitrag gibt die Sicht auf diese Funktionen aus Vorstandssicht wieder und offeriert Handlungsempfehlungen zur Umsetzung einer funktionierenden Compliance-Funktion.

Beauftragte und Funktionen einer Bank

Im Kontext des Bankgeschäftes sind mehrere Beauftragte zu nennen, die Überwachungsfunktionen in der Second Line of Defence wahrnehmen. Hierbei handelt es sich u. a. um:

• Compliance-Funktion nach MaRisk
• WpHG-Compliance Funktion
• Single Officer
• Geldwäschebeauftragter
• Informationssicherheitsbeauftragter
• Datenschutzbeauftragter
• Notfallbeauftragter
• Hinweisgeberstelle / „Whistleblowing“
• zentraler Auslagerungsbeauftragter 

Die Compliance-Funktion ist neben der Risikocontrolling-Funktion und der Revisions-Funktion eine der drei zentralen Funktionen nach MaRisk. Sie stellt sicher, dass Gesetze eingehalten werden und analysiert „Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können“ (BaFin 2023, AT 4.4.2, Tz. 1). Letztlich ist sie, wie die anderen Funktionen bzw. Beauftragten auch, eine Schutzfunktion für den Vorstand. Sie hat die Aufgabe, den Vorstand „zu unterstützen und zu beraten“ (BaFin 2023, AT 4.4.2, Tz. 1).

Aber auch die anderen Funktionen erfüllen ähnliche Aufgaben. Ein Vorstand ist folglich gut beraten, sie als Unterstützung und nicht als lästiges Übel zu empfinden. Die Stelleninhaber müssen gut ausgebildet sein und über eine ausgeprägte Persönlichkeit verfügen, damit sie beispielsweise auch auftretende Konflikte im Sinne des Hauses lösen können.

Strukturierung der Beauftragten

Aus Sicht des Autors bietet sich die Zusammenfassung aller Beauftragten in einer zentralen Einheit an, die neben dem Rechtsbereich auch das Beschwerdemanagement umfasst. Abbildung 1 verdeutlicht eine mögliche Aufstellung.

Abbildung 1: Strukturierung der Beauftragten in einem Bereich

Diese Struktur ist auch in kleineren Häusern umsetzbar. Sie erleichtert Vertretungsregelungen und ermöglicht eine gute Kommunikation zwischen den einzelnen Beauftragten. Letztlich erheben diese für ihre Berichte oftmals ähnliche oder dieselben Informationen. Im Idealfall lassen sich die Teilberichte der Beauftragten auch zu einem vollumfänglichen Bericht des Bereiches zusammenfassen. Dies erhöht die Lesbarkeit für den Vorstand und vermeidet redundante Informationen.

Es bietet sich an, das Beschwerdemanagement und den Bereich Recht ebenfalls hier anzusiedeln, da die benötigten Informationen oft aus diesen Bereichen kommen. Zudem sind die Wege so kürzer, was Wechselwirkungen eher erkennen lässt und die Geschwindigkeit erhöht.

Zum Umgang mit Beauftragten im Kontext der Unternehmenskultur

Wie bereits erwähnt, stellen die Beauftragten wertvolle Unterstützungs- und Risikovermeidungsfunktionen dar, die den Vorstand beraten und unterstützen sollen. Dementsprechend sollten sie auch als hochqualifizierte Sparringspartner behandelt werden, die helfen, das Institut rechtssicher aufzustellen

Damit dies funktionieren kann, muss die Unternehmenskultur so aufgebaut sein, dass Beauftragte sich adäquat entfalten können. Insbesondere ist die Fehlerkultur zu nennen. In einer Welt mit sich ständig ändernden Rahmenbedingungen bleibt es bei einer immer höheren Veränderungsgeschwindigkeit nicht aus, dass Fehler passieren. Mitarbeiter müssen in einer Kultur leben, die dies nicht sanktionieren, sondern das Lernen aus Fehlern fördert. Nur so entwickeln sich Menschen und Organisationen weiter, nur so nehmen Mitarbeiter auch aktiv Kontakt zu den Beauftragten auf.

Oftmals wird in diesem Zusammenhang auch vom Tone from the Top gesprochen. Auch der Vorstand muss eigene Fehler zugestehen und dass, was er als Rahmenwerk setzt, auch gegen sich gelten lassen. Zudem muss er klare Statements setzen, welche ethischen Grundsätze, Verhaltensnormen und Werte gewünscht sind. Letztlich ist dies ein Zusammenspiel aus Unternehmenskultur, Risikokultur (vgl. BaFin 2023, AT 3, Tz. 1) und Compliance-Kultur (vgl. Birker 2021). Kultur entsteht nur durch Vorleben und Verlässlichkeit von oben – mit einer Arbeitsanweisung ist es nicht getan.

Fazit und Ausblick auf die Zukunft

In den letzten Jahren haben sich die Anforderungen an die Beauftragten geändert. Früher arbeiteten dort oft reine Sachbearbeiter, die die gesetzlichen Minimalanforderungen erfüllten. Heutzutage müssen dort gut ausgebildete und kommunikativ starke Personen eingesetzt werden, die es schaffen, Widerständen adäquat zu begegnen und im Sinne der Bank und des Vorstands zu agieren.

Ein Vorstand ist gut beraten, sich dieser Themen ernsthaft anzunehmen – jüngste Beispiele wie Cyberangriffe auf Banken (vgl. exemplarisch Stöckel 2023) lassen zudem erkennen, wie wichtig es ist, Risiken zu steuern, bevor sie eintreten.

PRAXISTIPPS

• Reden Sie auf Augenhöhe mit Ihren Beauftragten.
• Stellen Sie eine adäquate Vernetzung Ihrer Beauftragten sicher.
• Sorgen Sie dafür, dass die Beauftragten genug Durchschlagskraft im Unternehmen haben.
• Tone from the Top und Unternehmenskultur sind essentiell für eine funktionierende Compliance. Dies ist originäre Vorstandsaufgabe.

LITERATURHINWEISE

BaFin (2023): Anlage 1: Mindestanforderungen an das Risikomanagement – MaRisk: Erläuterungen zum Rundschreiben 05/2023 (BA), 29.06.2023, erhältlich auf:            https://www.bafin.de/SharedDocs/Downloads/DE/Anlage/dl_Anlage_1_2023-06-29-erlaeuterungen_pdf_BA.pdf?__blob=publicationFile&v=3, Abfrage vom 28.10.2023.

Birker, A.-K. (2021): Compliance Kultur einführen, 29.10.2021, erhältlich auf: https://www.haufe.de/compliance/management-praxis/compliance/compliance-kultur-kommunikation-und-prozesse_230130_472324.html, Abfrage vom 28.10.2023.

EBA (2020): Leitlinien für die Kreditvergabe und Überwachung, EBA/GL/2020/06, 29.05.2020, erhältlich auf: https://www.fma.gv.at/download.php?d=4797, Abfrage vom 28.10.2023.

Reuse, S. / Frère, E. (2023): MaRisk 8.0: Umsetzungshinweise und Folgen für die Banksteuerung, in: Bankpraktiker, 18. Jg., Oktober 2023, Ausgabe 10/2023, Heidelberg, S. 330–337.

Stöckel, M. (2023): Deutsche Bank und ING veranlassen weitere Untersuchungen – Ein Cyberangriff auf IT-Systeme von Majorel betrifft Kunden der Deutschen Bank, ING, Postbank und Comdirect – Nun folgen weitere Untersuchungen, 23.10.2023, erhältlich auf: https://www.golem.de/news/cyberangriff-auf-majorel-deutsche-bank-und-ing-veranlassen-weitere-untersuchungen-2310-178716.html, Abfrage vom 28.10.2023.