Montag, 31. Dezember 2018

Kontrolltests durch die Compliance-Funktion – die MaRisk-CoF im Fokus

Marc Stränger, Abteilungsleiter Compliance, Sparkasse Krefeld

In Bezug zu den Anforderungen an die Compliance-Funktion ergibt sich seit Jahren ein einheitlicher Trend: Immer weitgehender rücken die Kontrollhandlungen der zweiten Verteidigungslinie in den Fokus der Aufsichtsbehörden und der Internen Revision. Zudem werden die Themen in den Kreditinstituten immer vielschichtiger, der Überwachungsaufwand steigt seit Jahren kontinuierlich im Gleichschritt mit der Regulierung. Hierbei ist nicht nur die Begleitung von Projekten eine Herausforderung, sondern in der Regel dann vordergründig das aus diesen Ergebnissen abzuleitende Maßnahmenpaket für die Compliance-Funktion. Diesbezüglich hielten der Gesetzgeber und die Aufsichtsbehörde in 2018 ausreichende Themenstellungen vor, die mit den Neuerungen der MaRisk, der Umsetzung von MiFID II, der 4. und nun auch schon 5. EU-Geldwäscherichtlinie, der Versicherungsvertriebsrichtlinie (IDD), des Steuerumgehungsbekämpfungsgesetzes, der Datenschutzgrundverordnung (DSGVO) und AnaCredit/FinRep sowohl für das Kreditinstitut als auch für die Compliance-Funktion eine große Herausforderungen darstellte. Neuerungen in Bezug zu Auslegungs- und Anwendungshinweisen, Ergebnissen aus Prüfungsrunden, etc. sind hierbei noch explizit ausgenommen. Die Compliance-Funktion steht in einem stetigen Wandel und in einer Zeit der Weiterentwicklung, um den aufsichtsrechtlichen Vorgaben gerecht zu werden.

Eine hinreichende Flexibilität ist gefragt. Die Compliance-Funktion von heute ist mehr denn je darauf angewiesen, hinreichend in den Informationsfluss eingebunden zu sein, um sicherstellen zu können, aus den unterschiedlichen Zuständigkeiten der Compliance-Funktion (MaRisk, WpHG, GwG) auf die Implementierung wirksamer Kontrollen und Verfahren hinwirken zu können und diese als Teil der zweiten Verteidigungslinie im Institut im Internen Kontrollsystem (IKS) durch eigene Kontrolltätigkeiten zu bestätigen. Nur hieraus kann eine wirkungsvolle Wahrnehmung der Aufgaben abgeleitet werden. Zudem dienen die Dokumentationen der Kontrollen als Nachweis gegenüber der Aufsicht, dass die Wirksamkeit des IKS gewährleistet ist.

SEMINARTIPPS

MaRisk-Compliance Kompakt, 03.04.2019, Frankfurt/M.

Effektive IKS-Kontrolltests, 11.04.2019, Frankfurt/M.

Während sich diese Vorgehensweise in den Bereichen Geldwäsche und WpHG seit Jahren bzw. seit Jahrzehnten weitestgehend verfestigt hat, gerät nunmehr auch immer mehr die MaRisk-Compliance-Funktion in den Fokus der Aufsicht. Beispielhaft wurde dies für den Regelungsbereich der Datenqualität (§ 25c (3) Nr. 5 KWG, AT 4.3.4/BT 3.1/AT 7.2 MaRisk, CRR/IST on Reporting, HGB/IFRS) im Rahmen von 44er-Prüfungen deutlich. In diesen Prüfungen werden die Anforderungen an die MaRisk-CoF im Vergleich zu den bislang durch Verbände, etc. propagierten Überwachungshandlungen deutlich ausgeweitet. Hiernach muss die MaRisk-CoF nunmehr die Fortentwicklung des Compliance-Programmes nachweisen, eigene Kontrollhandlungen und Stichproben aufzeigen, die dazugehörige Dokumentation in aussagekräftiger Form liefern, Maßnahmen bei Mängelhinweisen ergreifen bzw. begründen, warum z. B. auf Maßnahmen verzichtet wurde. Und dies ist nur ein kleiner

Teil der von der Aufsicht erwarteten Tätigkeiten. Die MaRisk-CoF wird sich zukünftig auf dieser Basis mit einem umfangreicheren Überwachungskosmos auseinander setzten müssen.

Ausgangspunkt für derartige Kontrollen ist immer die Risiko-/Gefährdungsanalyse der Compliance-Funktion. Gerade diese sind zeitnah auf die neuen Anforderungen hin zu aktualisieren. Basierend auf den durch die Analysen gewonnen Erkenntnissen ist ein stringenter Kontrollplan zu erstellen, der unterjährig entsprechend abzuarbeiten ist. Der Fokus sollte hierbei vor allem auch auf einem risikobasierten Ansatz liegen. Dieser risikobasierte Ansatz dient dazu, hieraus letztlich einen angemessenen Kontrollumfang abzuleiten, der sich auch an der tatsächlichen Risikolage orientiert. Sinnvoll ist es zudem, die Kontrollen auch als eine Art „Vor-Ort-Kontrolle“ durchzuführen. Bei dieser Kontrolle sollten bereits im Vorfeld adäquate Kontrollziele und -fragen herausgearbeitet werden, um möglichst eine effektive Vorgehensweise der Compliance-Funktion zu gewährleisten und die Belastung für den kontrollierten Bereich so gering wie möglich zu halten. Bei einer Vor-Ort-Kontrolle können zudem mehrere Themenstellungen in Kombination abgearbeitet werden, um einen entsprechenden Synergieeffekt zu erzielen.

Bei der Durchführung von Kontrolltests durch die Compliance-Funktion sind alle relevanten Sachverhalte in die Vorbereitung der Kontrolle einzubeziehen. Hierbei stellt sich vorweg immer die Frage nach Art, Umfang und Komplexität der eingezogenen Kontrollen im jeweiligen Fachbereich sowie der bisherigen Einstufung der Tätigkeiten in der Risiko-/Gefährdungsanalyse und möglicher vorheriger Feststellungen. Hierbei sollten auch die Feststellungen der Internen und externen Revision berücksichtigt werden. Darüber hinaus ist wichtig zu erheben, welche Selbstkontrollen (z. B. Vier-Augen-Prinzip, nachgeschaltete Kontrollen, Betriebsüberwachung, etc.) der Fachbereich durchführt und wie diese protokolliert und dokumentiert werden (ggf. existieren Kontrollen durch Dritte, diese müssen ebenso betrachtet werden). Auf Basis der Erhebungen lässt sich auch der erforderliche Umfang der zentral durchführbaren Kontrollen und ggf. erforderlicher „Vor-Ort-Kontrollen“ ableiten.

Sinnvoll ist gerade bei Fachbereichskontrollen die Wirksamkeit einer Kontrolle durch eine (repräsentative) Stichprobe zu bewerten. Dies bringt u. a. gegenüber einer „100 %-Kontrolle” die Vorteile mit sich, dass hierbei geringere Kontrollkosten entstehen, die Prüfzeiten deutlich verkürzt werden und die Akzeptanz im zu kontrollierenden Bereich somit auch höher ist. Dem möglichen Risiko, dass ggf. existierende Schwachstellen im Internen Kontrollsystem nicht erkannt werden, kann man u. a. mit statistischen Methoden begegnen, um ein aussagekräftiges Kontrollergebnis zu produzieren.

Die Ergebnisse der Kontrolle sind interpretationsfrei zu dokumentieren und mit dem Fachbereich abschließend zu besprechen. Diese Dokumentationen sollten sich an den hauseigenen und vor allem aufsichtsrechtlichen Standards orientieren. Bei getroffenen Feststellungen ist es sinnvoll, dass diese sich in einem Defizitmanagement wiederfinden, um die Beseitigung von Mängeln adäquat zu begleiten und deren Beseitigung abschließend zu dokumentieren. Die Ergebnisse sollten hierbei bereits unterjährig in die Risiko-/Gefährdungsanalyse eingearbeitet werden. Mögliche Auswirkungen auf den Kontrollrhythmus (monatlich/jährlich/Zwei-Jahres-Rhythmus) sind festzuhalten und zu begründen.

Aufgrund des deutlich gestiegenen Überwachungs-/Kontrollumfangs in den Fachbereichen sind die Kontroll- und Prüfungstätigkeiten zwischen Compliance und Revision bereits im Vorfeld (sofern möglich) abzustimmen, um Doppelarbeiten und noch stärkere Belastungen der Fachbereiche zu vermeiden. Hierbei gilt es auch, mögliche Synergien für beide Bereiche zu heben.

PRAXISTIPPS

Die zunehmende Regulierung bedarf einer erhöhten Flexibilität der Compliance-Funktion.
Die Compliance-Funktion ist in den Informationsfluss im Institut einzubinden.
Die MaRisk-CoF steht im Fokus der Aufsicht. Maßnahmen sind ausreichend zu begründen, ebenso wenn keine Maßnahmen eingeleitet werden.
Bei der Durchführung der Fachbereichskontrollen sollte immer die Risiko-/Gefährdungsanalyse Ausgangspunkt sein.
Die aus der Analyse gewonnenen Erkenntnisse sind in einen Kontrollplan zu überführen.
Sofern möglich, sollten Stichprobenkontrollen bevorzugt werden.
Vor-Ort-Kontrollen sollten Bestandteil der Compliance-Funktion sein. Diese können auch mit unterschiedlichen Themenstellungen kombiniert werden, um Synergien zu heben.
Die Ergebnisse sollten unmittelbar in die Risiko-/Gefährdungsanalyse sowie in den Kontrollplan einfließen.
Feststellungen sollten in einem Defizitmanagement festgehalten werden.
Die Dokumentation der Kontrollen sollte sich an hauseigenen und aufsichtsrechtlichen Standards orientieren.
Um Synergien zu heben, ist eine Abstimmung zwischen Compliance und Revision empfehlenswert.

Beitragsnummer: 1112

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Vergütungsregelungen durch die Hintertür? Der neue BT 8 MaComp

Die Überführung der Leitlinien in den BT 8 der MaComp hat verschiedene wesentliche Änderungen für diesen nach sich gezogen.

09.04.2024

Aufbau eines effizienten IKS im IT-Bereich

Kontrollaspekte auf Basis BAIT, mit besonderem Fokus auf Rezertifizierung und den „High Level Controls“ für die Administratoren

29.08.2023

Herausgeberinterview mit Henning Riediger

Interview mit Buchherausgeber Henning Riediger zur Neuerscheinung MaRisk-Berichtswesen

05.04.2024

8. MaRisk Novelle – Herausforderungen für Finanzinstitute

Die BaFin hat eine Neufassung der MaRisk vorgestellt, die insb. die Umsetzung der EBA-Leitlinien zu IRRBB und CSRBB in deutsches Aufsichtsrecht überführt.

01.03.2024