Umsetzungsmöglichkeiten der Compliance-Funktion bei Instituten

Publiziert am 17. Mai 2013 von Thomas.Gutte

Spätestens seit der Einführung der Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG (MaComp) vom 07.06.2010 sollten auch kleine und mittelständische Banken und Finanzdienstleister sich Gedanken machen, wie sie die Compliance-Funktion in Ihrem Institut umsetzen.

Es bestehen hierfür folgende Lösungsansätze:

  • Aufbau einer internen Compliance Einheit
  • Auslagerung  der Compliance-Funktion auf einen spezialisierten Dienstleister
  • Kombination einer internen Lösung mit Unterstützung durch das Know-how eines externen Anbieters.

Welches dieser Lösungen für das jeweilige Institut die richtige Vorgehensweise darstellt ist genauso unterschiedlich zu beantworten, wie die Institute ebenso vielfältig aufgestellt sind.

Eines kristallisiert sich allerdings bei der genaueren Betrachtung bereits im Vorfeld heraus. Die Standardlösung gibt es nicht! Genauso wie viele der gesetzlichen und rechtlichen Vorgaben in den einzelnen Instituten auch nicht 1 zu 1 anwendbar und umsetzbar, da sie häufig vom zumeist europäischen Gesetzgeber auf die Besonderheiten der großen, systemrelevanten und international aufgestellten Instituten ausgerichtet sind. Gerade in Deutschland, wo wir mit Sparkassen, Volks- und Raiffeisenbanken, sowie mit kleineren und größeren Privatbanken, kleineren und größeren Vermögensverwaltern, etc. ein sehr heterogenes Umfeld in der Finanzdienstleistungsbranche haben, ist schnell erkennbar, dass Compliance in der Regel nur sehr individuell umgesetzt werden kann.

Für größere Institute wird vermutlich generell eine interne Umsetzung der Compliance-Funktion die meist sinnvollste Lösung darstellen. In diesen Häusern ist es für außenstehende häufig nicht einfach in die vielfältigen Kommunikationswege / -ebenen der großen Institute „einzutauchen“. Gerade aber Kommunikation ist der wesentliche Schlüssel für die Umsetzung einer erfolgreichen Compliance-Funktion. Nur wenn alle Mitarbeiter eines Instituts sensibilisiert und „abgeholt“ werden, bleiben Compliance-Ausarbeitungen bzw. –Anweisungen keine zahnlosen Papiertiger. Externe Anbieter können z. B. bei größeren Instituten als Berater bzgl. einzelner Projektumsetzungen bzgl. Gesetzesvorhaben auf Grund Ihres speziellen Fach-Know-hows eingesetzt werden.

Dagegen sieht es bei kleineren bzw. kleinsten Instituten häufig ganz anders aus. Auf Grund flacher Hierarchie-Ebenen stellt die Kommunikation in diesen Instituten für externe spezialisierte Dienstleister kein Problem mehr dar. Kleinere bzw. kleinste Institute verfügen des Weiteren auch häufig über keine Kapazitäten intern eine funktionierende Compliance-Funktion aufrecht zu erhalten – es ist ja nicht nur damit getan einmal ein Projekt aufzuziehen und abzuarbeiten. Compliance bedeutet ständige Verfügbarkeit! Prozesse müssen stets auf Compliance Konformität hin überprüft werden und Mitarbeiter benötigen für Ihre Arbeit auch sinnvollerweise ständig die Möglichkeit qualifizierten Compliance-Support zu bekommen. Wie soll dieses überhaupt noch intern in kleineren Instituten funktionieren? Hier bieten sich externe Lösungen an.

Allerdings auch nicht jede externe Lösung ist die richtige. Im Vorfeld des Einsatzes eines externen Compliance Offices müssen die individuellen Gegebenheiten des Institutes jedem klar kommuniziert und gegenwärtig sein. Standardisierte Compliance Prozesse von größeren Instituten sind definitiv nicht auf kleinere Häuser umsetzbar, da andernfalls der Kostenblock für die kleineren Institute auf Grund diverser Anpassungen der Geschäftsprozesse des kleineren Instituts auf die „großen“ Compliance Prozesse der großen Häuser aus den Rudern läuft.

Ein externes Compliance Offices bringt gerade häufig auch den Vorteil, dass die sogenannte „Betriebsblindheit“ bei dem Umgang mit Geschäftsprozessen nicht vorhanden ist. Die zumeist breitere Sicht des Externen bietet Chancen mögliche Risiken der vorhandenen Geschäftsprozesse zügiger zu erkennen und Verbesserungspotentiale zu nutzen. Des Weiteren bestehen bei den externen Dienstleister objektiv weniger Interessenkonflikte bei der Prüfung firmeninterner Prozesse. Gleichfalls nimmt ein externer Compliance-Officer oftmals bei Sonderprüfungen gemäß § 35 WpHG oder § 44 KWG eine ausgleichende Funktion ein, somit empfiehlt sich auch diesbezüglich sein Einsatz.

Damit gerade kleinere bzw. kleinste Institute sich auf das eigentliche Geschäft des Instituts konzentrieren können, bieten wir von der CDC Compliance und Datenschutz Consulting UG (haftungsbeschränkt) hier vielfältige kompetente Unterstützung an. Informationen können Sie direkt unter info@cdc-ug.de oder telefonisch unter 0611 – 267563-0 anfordern oder besuchen sie doch einfach unsere Webseite http://www.cdc-ug.de.

Hinweis: Es wird darauf hingewiesen, dass beim Folgen von Links auf andere Webseiten kleine Programme wie z. B. Cookies o. ä. auf Ihren Rechner installiert werden können. Mittels Ihrer Browsereinstellungen können Sie das Setzen dieser Programme verhindern.

Veröffentlicht unter News Compliance | Hinterlasse einen Kommentar

Videoüberwachung – Was ist zu beachten?

Publiziert am 7. Mai 2013 von Thomas.Gutte

Mittlerweile ist es üblich dass in vielen Bereichen unserer Gesellschaft (Staat als auch Privatwirtschaft) Videoüberwachungen mit dem Ziel der Verhinderung bzw. Aufklärung von Straftaten wie z. B. Einbruch oder Diebstahl durchgeführt werden. Dabei müssen die Aufsteller von Videoüberwachungsanlagen das bereits im Grundgesetz der Bundesrepublik Deutschland verankerte Persönlichkeitsrecht beachten. Konkret hat der Gesetzgeber hierfür im Bundesdatenschutzgesetz (BDSG) den §en 6b – „Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen“ Regelungen vorgegeben. Demnach ist nicht jeder Einsatz von Videoüberwachungsgeräte zulässig.

Daher sollte vor dem Einsatz einer solchen Videoüberwachung zunächst stets als Erstes abgeklärt werden, ob nicht auch andere Mittel zur Prävention von Straftaten geeignet sind. Falls dem nicht so ist, muss die Zulässigkeit des Einsatzes dringend überprüft werden. In § 6b Abs. 3 BDSG lautet es hierzu:

„Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen (Anmerkung des Autors: jegliche Personen, die von der Videoüberwachung erfasst werden) überwiegen. …“

Da die „schutzwürdigen Interessen der Betroffenen“ von vielseitiger Natur her bestehen können (z. B. bei Mitarbeitern – Vorgaben gem. Betriebsverfassungsgesetz, bei Passanten, die im öffentlichen Raum mit erfasst werden – das allgemeine Persönlichkeitsrecht, etc.) sind die Überlegungen zum Einsatz einer Videoüberwachung auch sorgfältig abzuwägen und auf jedem Fall zu dokumentieren. Es empfiehlt sich auf jedem Fall hier einen Experten (z. B. einen Datenschützer) in die Überlegungen mit einzubeziehen.

Weiterhin regelt § 6b Abs. 2 BDSG, dass der Umstand der Beobachtung durch erkennbare Maßnahmen, wie z. B. durch die Anbringung geeigneter Hinweise auf die Videoüberwachung, durch den Aufsteller der Videoüberwachung vorzunehmen ist.

Für ein negatives Beispiel – wie Videoüberwachung nicht durchzuführen ist, sorgte der erst kürzlich bekannt gewordene Skandal bei einem Lebensmittel-Discounter, der u.a. mit Hilfe von Überwachungskameras Informationen über das Privatleben bzw. die finanzielle Situation seiner Mitarbeiter gewinnen wollte.  Neuerdings kommt auch der vom ZDF aufgedeckte Spitzelskandal bei zwei großen Lebensmitteldiscountern hinzu (http://www.zdf.de/ZDFmediathek/beitrag/video/1892804/Das-Spitzelsystem-bei-Penny-und-REWE?bc=saz;saz1;kua460). Solche verdeckten Videoüberwachungen sind grundsätzlich verboten und sollen gemäß §32e Abs. 2 und 4 BDSG-E auch künftig nicht möglich sein (Ausnahme: konkret belegbarer Verdacht auf Straftaten). In letztgenanntem Fall wurden Mitarbeiter nicht nur an ihren Arbeitsplätzen bespitzelt, sondern auch in ihrem privaten Umfeld. Verdachtsgründe, die zu diesen Maßnahmen führten, waren unter anderen der Verdacht auf Pfandflaschendiebstahl bzw. die mögliche Alkoholkrankheit eines Mitarbeiters. Eine Videoüberwachung ist gemäß § 32f Abs. 1 BDSG-E nur möglich, wenn sie beispielsweise der Gewährleistung der Betriebs- bzw. Arbeitssicherheit, dem Schutz bedeutender Rechtsgüter, der Zutrittskontrolle bzw. der Sicherung von Betriebsanlagen dient.

Die Videoüberwachung ist generell unzulässig bei Sanitär- oder Schlafräumen als privaten Rückzugsräumen der Beschäftigten (§ 32f Abs. 2 BDSG-E).

Nicht nur in oben genannten Bereichen kommen Videokameras zum Einsatz, sondern auch in der Bundesverwaltung. Nach einer durch den Bundesbeauftragten für Datenschutz, Peter Schaar, durchgeführten Erhebung werden bei rund 615 öffentlichen Stellen des Bundes rund 17.500 Videokameras eingesetzt, die in erster Linie der Sicherung der Liegenschaften sowie der Zugangskontrolle dienen. In dieser Zahl nicht enthalten sind Kameras, die zwar von anderen Stellen betrieben, aber von Bundesbehörden mit genutzt werden.

Im Rahmen der Erhebung wurde vom Bundesbeauftragten für Datenschutz bemängelt, dass hierbei neben der oftmals fehlenden Hinweissituation auf eine Videoüberwachung (es wurde schlicht vergessen Hinweisschilder anzubringen) vor allem eine fehlende, durch den behördlichen Datenschutzbeauftragten durchzuführende Vorabkontrolle gem. § 4d BDSG sowie die Nicht-Aufnahme der Videoüberwachung in das jeweilige Verfahrensverzeichnis (d. h. in die beim Umgang mit personenbezogenen Daten notwendige Dokumentation) vorgenommen ist. Auch waren oftmals Verstöße gegen die Speicherungsdauer von Bilddaten zu verzeichnen. Gem. § 6b Abs. 5 BDSG müssen Daten, die zur Erreichung des Zwecks nicht mehr erforderlich sind unverzüglich (d. h. nach 24 bis spätestens 72 Stunden) gelöscht werden, so betrug in einigen Fällen die Speicherdauer mehr als einen Monat. Eklatantester Kritikpunkt waren allerdings die in vielen Fällen gar nicht oder nur unzureichenden Kenntnisse der für die Videoüberwachung erforderlichen Rechtsgrundlagen.

Hinweis: Es wird darauf hingewiesen, dass beim Folgen von Links auf andere Webseiten kleine Programme wie z. B. Cookies o. ä. auf Ihren Rechner installiert werden können. Mittels Ihrer Browsereinstellungen können Sie das Setzen dieser Programme verhindern.

Veröffentlicht unter News Datenschutz, Ratgeber Datenschutz | Hinterlasse einen Kommentar

CRD IV – Regulierungspaket zur Umsetzung von Basel III ist ab 2014 anzuwenden

Publiziert am 3. Mai 2013 von Thomas.Gutte

Wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihrem aktuellen Journal mitteilt sind die Regelungen von CRD IV und CRR nun vermutlich ab 01.01.2014 anzuwenden. Dafür ist es aber noch erforderlich dass das Regelungswerk im Amtsblatt der Europäischen Union bis zum 30. Juni 2013 veröffentlicht wird. Geschieht dies erst danach, so verschiebt sich der Start auf den 01.07.2014.

Das CRD-IV-Paket soll für eine quantitativ und vor allem qualitativ bessere Eigenmittelausstattung der Institute sorgen und wird erstmals EU-weit harmonisierte Liquiditätsanforderungen stellen. Mit CRD IV und CRR wird darüber hinaus ein “Single Rule Book” geschaffen. Es harmonisiert das europäische Bankenaufsichtsrecht, sorgt für einen einheitlichen Rechtsrahmen im europäischen Binnenmarkt und verhindert regulatorische Arbitrage.

Weitere Informationen zu diesem Thema können direkt bei CDC Compliance & Datenschutz Consulting UG (haftungsbeschränkt) unter info@cdc-ug.de erfragt werden. In den nächsten Monaten wird es an dieser Stelle zudem weitere Blogartikel zu CRD IV geben.

Zudem können Sie den vollständigen Artikel aus dem Journal unter  http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2013/fa_bj_2013_05_crd_iv.html  einsehen.

Hinweis: Es wird darauf hingewiesen, dass beim Folgen von Links auf andere Webseiten kleine Programme wie z. B. Cookies o. ä. auf Ihren Rechner installiert werden können. Mittels Ihrer Browsereinstellungen können Sie das Setzen dieser Programme verhindern.

Veröffentlicht unter News Compliance | Hinterlasse einen Kommentar

Compliance Circle FFM trifft sich am 28.05.2013 – Thema MaRisk 5.0

Publiziert am 19. April 2013 von Thomas.Gutte

Sehr geehrte Damen und Herren,

ich möchte Sie recht herzlich zu dem nächsten Treffen des Compliance Circles in Frankfurt einladen.

Der Compliance Circle FFM trifft sich am 28.05.2013 um 19:30 Uhr im Restaurant Fontana di Trevi, Mittelweg 60, 60318 Frankfurt am Main. Näher Informationen zur Örtlichkeit können Sie auf der Webseite http://www.fontana-ditrevi.de/index-1.htm ersehen.

Mit der MaRisk 5.0 haben wir nun die angelsächsische Definition von Compliance auch in Deutschland für den Finanzdienstleistungssektor umzusetzen. Neben der bisherigen Wertpapier-Compliance müssen die Institute nun die sogenannte MaRisk-Compliance umsetzen, zusätzlich ist ebenfalls ein Risikocontroller als Instanz im Institut zu implementieren. Was dieses nun konkret für die Institute bedeutet wollen wir im Rahmen eines kurzen Einführungsvortrages erörtern.

Im Anschluss besteht für die Teilnehmer die Möglichkeit in einer lockeren Runde aktuelle Compliance-Fragen aus ihrer tgl. Praxis zu erörtern und Kollegen aus dem Compliance-Bereich kennen zu lernen.

Über Ihre rege Teilnahme würde ich mich sehr freuen.

Seien Sie bitte so freundlich und melden sich über den folgenden Link zum Eventmanager von XING

https://www.xing.com/events/compliance-circle-ffm-1237580

an.

Ich freue mich, Sie persönlich an diesem Abend begrüßen zu dürfen.

Viele Grüße

Thomas Gutte
CDC Compliance & Datenschutz Consulting UG (haftungsbeschränkt)
Unter den Eichen 5 – Haus i -
65195 Wiesbaden
Tel.: + 49 611 267 563 – 0
FAX: +49 611 267 563 – 10
E-Mail: info@cdc-ug.de
WEB: http://www.cdc-ug.de

Veröffentlicht unter News Compliance | Hinterlasse einen Kommentar

Sind Sie gut für die nächste Geldwäsche-Prüfung vorbereitet?

Publiziert am 18. April 2013 von Thomas.Gutte

Eine Vielzahl gesetzlicher (hier sind u. a. zu nennen das GWPräOptG, BGBl. 2011, S. 2959 und GwGErgG, BGBl. 2013, S. 268) und aufsichtsrechtlicher Neuerungen hat in den letzten Jahren zu Veränderungen in der Aufbau- und Ablauforganisation (hier ist u. a. die Zentrale Stelle zu nennen) bezüglich der Prävention von Geldwäsche, Terrorismusfinanzierung und neu den sonstigen strafbaren Handlungen bei den Finanzdienstleistungsinstituten geführt. Die Umsetzung dieser Vorgaben stellt die Finanzdienstleistungsinstitute derzeit immer noch vor teilweise großen Herausforderungen, zumal anfangs keine Auslegungs- und Anwendungshinweise veröffentlicht waren. Mittlerweile liegen diese von der Deutschen Kreditwirtschaft (DK), dem Bundesministerium der Finanzen und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erarbeitet vor.

Gemäß Aussagen von PricewaterhouseCoopers Aktiengesellschaft – Wirtschaftsprüfungsgesellschaft (PwC) belegen die in den Jahren 2011/2012 durchgeführten Jahresabschluss- und Sonderprüfungen in diesem Bereich allerdings, dass bei den Instituten zum Teil noch erhebliche Mängel im Hinblick auf die Umsetzung der neuen Anforderungen bestehen. Die Prüfungen wurden mittels des BaFin-Fragebogens gem. § 21 Absatz 8 PrüfbV durchgeführt.

Damit Sie nicht in die Verlegenheit kommen, bei der nächsten Jahresabschlussprüfung oder eventuell einer Sonderprüfung hier Feststellungen zu bekommen, möchten wir Ihnen bei der Umsetzung behilflich sein. Wir bieten Ihnen pragmatische, einfach umsetzbare und bezahlbare Lösungen an. Hierfür spricht unsere langjährige Erfahrung im Bereich Compliance / AML bei kleineren und mittelständischen Finanzdienstleistungsinstituten. Wenden Sie sich am besten noch heute direkt an uns.

CDC Compliance & Datenschutz Consulting UG (haftungsbeschränkt)
Unter den Eichen 5 – Haus i -
65195 Wiesbaden
Tel.: +49 611 267 563 – 0
FAX: +49 611 267 563 – 10
E-Mail: info@cdc-ug.de
WEB: http://www.cdc-ug.de

Hinweis: Es wird darauf hingewiesen, dass beim Folgen von Links auf andere Webseiten kleine Programme wie z. B. Cookies o. ä. auf Ihren Rechner installiert werden können. Mittels Ihrer Browsereinstellungen können Sie das Setzen dieser Programme verhindern.

Veröffentlicht unter Geldwäsche/Fraud, News Fraud | Hinterlasse einen Kommentar

Vermeidbare Fehler von Unternehmen bei Prüfungen durch die Datenschutz-Aufsichtsbehörden

Publiziert am 11. April 2013 von Thomas.Gutte

Wie aus dem kürzlich veröffentlichten Jahresbericht 2012 des Berliner Datenschutzbeauftragten (http://www.datenschutz-berlin.de/content/nachrichten/datenschutznachrichten/27-maerz-2013)  hervorgeht, halten einige der vom Datenschutzbeauftragten kontrollierten Unternehmen nicht die vom Datenschutzrecht festgelegten Anforderungen ein. Ursache hierfür können entweder mangelnde Kenntnis der rechtlichen Regelungen sein  oder eine Organisation, die nicht den datenschutzrechtlichen Ansprüchen genügt. Betroffen sind vor allem die für Werbezwecke verarbeiteten und genutzten personenbezogenen Daten. Als weitere Fehlerquellen werden im genannten Bericht folgende genannt:

Entweder gar nicht vorhandene oder nur fehlerhaft geführte Verfahrensverzeichnisse (die zu führen nach § 4e BDSG jedes Unternehmen verpflichtet ist und die den Umgang mit personenbezogenen Daten dokumentieren): Das Fehlen eines solchen Verzeichnisses stellt aus Sicht der Aufsichtsbehörde eine erhebliche Behinderung der vom betrieblichen Datenschutzbeauftragten durchzuführenden Kontrolltätigkeiten dar. Mängel zeigen sich z. B. in nur unzureichenden Beschreibungen der Löschfristen hinsichtlich der betroffenen Personengruppen.

Mangelhaft bzw. tlw. ebenfalls nicht vorhanden sind oft Verträge über die Auftragsdatenverarbeitung: hier sind oftmals bestimmte, für den Abschluss eines Auftragsdatenverarbeitungsvertrages lt. § 11 Abs.2 Satz 2 BDSG erforderliche Mindestanforderungen nicht oder nur lückenhaft enthalten. Zu diesen zählen neben Umfang, Art und Zweck der vorgesehenen Erhebung und Nutzung von Daten auch deren Art, die für die Verarbeitung zu treffenden technischen und organisatorischen Maßnahmen, die Kontrollrechte des Auftraggebers sowie die Mitwirkungspflichten des Auftragnehmers. Eine unternehmensseitige Überprüfung der von ihnen abgeschlossenen Verträge sollte daher auf die schriftliche Festlegung der für eine Auftragsdatenverarbeitung notwendigen Mindestvertragsbestandteile abzielen.

Eine weitere Fehlerquelle stellt die fehlende Unabhängigkeit bzw. Fachkunde des/der bestellten Datenschutzbeauftragten dar. Um Interessenskonflikte zu vermeiden, darf der/die bestellte Datenschutzbeauftragte/r weder aus der Geschäftsführung, der EDV-Abteilung oder der Leitung der Personalabteilung kommen. Sollte der/die Datenschutzbeauftragte bei einer Überprüfung seines Wissens die technischen Grundkenntnisse bzw. Datenschutzrechtsgrundlagen betreffend kleinere Defizite aufweisen, so empfiehlt sich eine Nachschulung. Bei größeren Wissenslücken, die die interne Kontrolle hinsichtlich des Datenschutzes gefährden, kann dies gemäß § 35 Abs. 2 Satz BDSG zu einer evtl. Abberufung der entsprechenden Person führen.

Da eine unbegrenzte Speicherung personenbezogener Daten nicht gestattet ist, müssen diese unverzüglich gelöscht werden, sofern keine weitere Notwendigkeit der Verarbeitung für eigene geschäftliche Zwecke mehr besteht. Sollten gesetzliche bzw. vertragliche Aufbewahrungspflichten bestehen, sind diese Daten zu sperren und aus dem laufenden Geschäftsbetrieb zu entfernen, so dass ein Zugriff nur noch für die zur Aufbewahrung vorgesehenen Zwecke erlaubt ist. Ein fehlendes Lösch-und Sperrkonzept ist als erhebliche Pflichtverletzung anzusehen, wobei die unbefugte Speicherung von personenbezogenen Daten laut § 43 Abs. 2 Nr. 1 BDSG einen schweren Datenschutzverstoß darstellt, der mit einer Geldstrafe bis zu 300.000 Euro belegt werden kann. Unternehmensinterne Regelungen  sind deshalb unumgänglich.

Einen weiteren beobachteten Mangel stellt die Nichtbeachtung der Auskunftsrechte von Betroffenen dar. Wie aus dem Bericht hervorgeht, war einigen der kontrollierten Unternehmen der Auskunftsanspruch der Betroffenen darüber, welche Daten zu welchem Zweck über sie gespeichert bzw. weitergegeben worden sind, nicht bekannt. Auch über die Herkunft dieser Daten muss Auskunft gegeben werden.

Im Falle einer mangelhaften bzw. fehlenden Verpflichtung auf das Datengeheimnis von im Umgang mit personenbezogenen Daten tätigen Mitarbeitern sind strafrechtliche Konsequenzen möglich, auf die in den oftmals vorhandenen Mustererklärungen nicht hingewiesen wird.

Hinweis: Es wird darauf hingewiesen, dass beim Folgen von Links auf andere Webseiten kleine Programme wie z. B. Cookies o. ä. auf Ihren Rechner installiert werden können. Mittels Ihrer Browsereinstellungen können Sie das Setzen dieser Programme verhindern.

Veröffentlicht unter News Datenschutz | Hinterlasse einen Kommentar

Neue Anforderungen an die Interne Revision des Basel Committee on Banking Supervision

Publiziert am 15. März 2013 von Thomas.Gutte

Nachdem die Bedeutung der Internen Revision innerhalb der Corporate Governance bereits im August 2001 durch die BIS mittels 20 Grundsätze herausgestellt wurde, erfolgte im Juni 2012 eine Aktualisierung dieses Grundsatzpapieres. Dieses „neue“ Grundsatzpapier (http://www.bis.org/publ/bcbs223.html), dessen Darstellung allerdings in weiten Teilen auf dem angelsächsischen „One-Tier-System“ (d. h. keine Trennung von Geschäftsleitung und Überwachung) beruht und daher nur in eingeschränktem Maße auf das in Deutschland übliche „Two-Tier-System“ angewendet werden kann (M. Berndt/C. Raspe, Interne Revision – Die „First Line of Defence“ der Aufsicht? In: Bank-Praktiker 12-01/2013,461), verfolgt zwei Ziele: einerseits soll eine Stärkung der Funktion der Internen Revision durch Festlegung von Leitsätzen erfolgen, andererseits soll die Erwartungshaltung der Aufsichtsbehörden gegenüber der Internen Revision verdeutlicht werden. Die über die MaRisk hinausgehenden Neuerungen der Basler Empfehlungen beruhen auf den genannten 20 Grundsätzen, die ihrerseits wiederum in drei Abschnitte untergliedert werden können:

1)Erwartungen der Aufsicht an die Innenrevision /Interne Revision: Nicht alle in der aktualisierten Fassung des genannten Papiers aufgeführten Neuerungen sind auch tatsächlich neu: in Bezug auf  das „Three-Lines-of-Defense-Modell“ ist zu sagen, dass dieses zwar in Grundsatz 13 erstmals ausführlich mit Herausarbeitung der Verantwortlichkeiten zwischen operativen Einheiten, Risikomanagement und Compliance sowie interner Revision dargestellt wird, aber für die Praxis keine Neuerung darstellt. Die Basler Prinzipien stellen jetzt die Verantwortlichkeiten des Aufsichtsorgans für das Funktionieren der Internen Revision heraus: das Aufsichtsorgan sorgt nicht nur dafür, dass durch die Geschäftsführung ein wirksames und effizientes Kontrollsystem etabliert wird, sondern sie muss die Interne Revision auch dahingehend unterstützen, so dass diese die ihr zufallenden Aufgaben effektiv erfüllt. Zudem wird dem Aufsichtsorgan empfohlen, die Leistung der Internen Revision mindestens einmal jährlich zu überprüfen. Neu ist die Forderung nach einer „Geschäftsordnung“ für die Interne Revision (Grundsatz 5): In dieser sollen zum einen der Aufgabenbereich, zum anderen Sinn und Zweck bzw. Verantwortlichkeiten der unabhängigen Überwachungsinstanz festgelegt werden. Eine Mindestanforderung an die Interne Revision besteht an deren Unabhängigkeit bzw. Objektivität. Um diese zu erhalten wird jetzt durch das Baseler Papier die Einführung einer regelmäßig durchzuführenden Personalrotation sowohl innerhalb der Internen Revision als auch im Wechsel mit Mitarbeitern die aus anderen Bereichen der Bank kommen, empfohlen.

2) Beziehung zwischen Aufsicht und Interner Revision: Zu den wesentlichen inhaltlichen Neuerungen gehören die intensivierte Beziehung und eine direkte, auch ohne Einschaltung der Geschäftsleitung mögliche Kommunikation zwischen interner Überwachungs- und externer Überprüfungsinstanz. Sinn dieser direkten Kommunikation ist, das Aufsichtsorgan bei dessen Überwachungsfunktion gegenüber der Geschäftsleitung zu unterstützen (Grundsatz 1). Inhalt dieses möglichst regelmäßig durchgeführten Dialogs ist ein Vergleich der jeweils von Aufsicht bzw. Interner Revision festgestellten Risiken im Bankgeschäft des jeweiligen Instituts und wie mögliche Empfehlungen umgesetzt werden können. Die Aufsicht verfolgt hiermit zwei Ziele: zum einen eine Überprüfung der Qualität des internen Kontrollsystems, zum anderen der Erlangung eines besseren Verständnisses für die von Finanzinstitut ergriffenen Risikomanagement-Maßnahmen. Ein besseres Verständnis dient vor allem zur Identifizierung institutsspezifischer Schwächen.

3) Beurteilung der Innenrevision durch die Aufsichtsbehörde: Bedingt durch die wichtige Rolle der Internen Revision im bankinternen Kontrollsystem, ist eine regelmäßige aufsichtsseitige Beurteilung notwendig. Dies betrifft zum einen die Autorität bzw. das Durchsetzungsvermögen der Internen Revision innerhalb eines Instituts, zum anderen die Angemessenheit bzw. die Ordnungsmäßigkeit der durch sie durchgeführten Überwachungstätigkeiten. Diese Beurteilung kann u.a. durch einen Vergleich mit den in der Finanzindustrie üblichen „Best Practices“ erfolgen, wobei anschließend die Interne Revision in eine Bewertungssystematik eingeordnet wird. Wie eine Interne Revision beurteilt wird, ist u. a. auch von der Rolle abhängig, die der jeweilige Leiter der Internen Revision spielt: hier werden bei einem Wechsel bzw. einer Ernennung dessen jeweilige Erfahrung bzw. Qualifikation von der Aufsicht berücksichtigt. Je nachdem wie das Ergebnis der Beurteilung einer Internen Revision ausfällt, kann dieses sich negativ oder positiv auf das gesamte Risikoprofil einer Bank auswirken und damit zu einer Beeinflussung des Prüfungsansatzes durch die Aufsicht z. B. hinsichtlich Intensität und Aufwand der Prüfung, führen (Grundsatz 19). Die möglicherweise festgestellten Mängel müssen von der Aufsicht an die Geschäftsführung gemeldet werden, gleichzeitig erfolgt die Forderung nach Maßnahmen die zur Behebung dieser Mängel führen (Grundsatz 18). Sollten diese Mängel nicht innerhalb eines vorgegebenen Zeitraumes behoben werden, kann gemäß Grundsatz 20 die Aufsichtsbehörde öffentliche aufsichtsrechtliche Maßnahmen gegen die Bank einleiten.

Veröffentlicht unter News Audit | Hinterlasse einen Kommentar

Compliance Circle FFM trifft sich am 27.02.2013 – Thema: Hinweisgebersystem

Publiziert am 18. Februar 2013 von Thomas.Gutte

Sehr geehrte Damen und Herren,

ich möchte Sie recht herzlich zu dem  nächsten Treffen des Compliance Circles in Frankfurt einladen.

Der Compliance Circle FFM trifft sich am 27.02.2013 um 19:30 Uhr im Restaurant Portofino, Scheffelstraße 28, 60318 Frankfurt am Main statt. Nähere Informationen zur Örtlichkeit können Sie auf der Webseite http://www.portofino-frankfurt.de ersehen.

Wir wollen diesmal über Hinweisgebersysteme sprechen. Hierzu wird Herr RA Björn Rohde-Liebenau einen kleinen Vortrag vorbereiten. Im Anschluss werden wir auch aktuelle Themen der Teilnehmer in einer freien Runde diskutieren.

Über Ihre rege Teilnahme würde ich mich sehr freuen.

Seien Sie bitte so freundlich und melden sich über den  folgenden Link zum Eventmanager von XING

https://www.xing.com/events/compliance-circle-ffm-1202231

an.

Ich freue mich, Sie persönlich an diesem Abend begrüßen zu dürfen.

Viele Grüße

Thomas Gutte
CDC Compliance & Datenschutz Consulting UG (haftungsbeschränkt)
Unter den Eichen 5 – Haus i -
65195 Wiesbaden
Tel.: +49 611 267 563 0
FAX: +49 611 267 563 10
E-Mail: info@cdc-ug.de
WEB: http://www.cdc-ug.de

Veröffentlicht unter News Compliance | Hinterlasse einen Kommentar

MaRisk – Wir haben reagiert und bieten Ihnen unsere Unterstützung bzgl. Umsetzung an

Publiziert am 15. Februar 2013 von Thomas.Gutte

Wie bereits in unserem Blogbeitrag vom 31.12.2012 „Handlungsbedarf bei Finanzdienstleistungsunternehmen – Novellierung der MaRisk“ aufgeführt, hat die BaFin auf das vom The Institute of Internal Auditors (IIA) auf internationaler Ebene propagierte „Three Lines of Defence-Modell“  (siehe auch unseren Blogbeitrag vom 31.08.2012 „Three Lines of Defense Modell – Die Positionierung der internen Revision“) und den Vorgaben der europäischen Bankenaufsicht im Rahmen von Basel III, den CRD IV Vorgaben reagiert und zum 14.12.2012 die „Mindestanforderungen an das Risikomanagement (MaRisk)“ novelliert.

Es ist zu erkennen, dass der Umsetzungsaufwand an einigen Stellen hoch ist und die Institute im Jahr 2013 und ggf. darüber hinaus hiermit stark beschäftigen wird. Wir wollen die Gelegenheit ergreifen und den betroffenen Instituten nun folgendes Angebot unterbreiten:

Übernahme der neuen Funktion des Risikocontrollings gem. AT 4.4.1 MaRisk

Hierbei übernehmen wir für Sie vollumfänglich folgende in dem in der MaRisk genannten Punkt aufgeführten folgenden Aufgaben:

  • Unterstützung der Geschäftsleitung in allen risikopolitischen Fragen, insbesondere bei der Entwicklung und Umsetzung der Risikostrategie sowie bei der Ausgestaltung eines Systems zur Begrenzung der Risiken
  • Durchführung der Risikoinventur und Erstellung des Gesamtrisikoprofils
  • Unterstützung der Geschäftsleitung bei der Einrichtung und Weiterentwicklung der Risikosteuerungs- und –controllingprozesse
  • Einrichtung und Weiterentwicklung eines Systems von Risikokennzahlen und eines Risikofrüherkennungsverfahrens
  • Laufende Überwachung der Risikosituation des Instituts und der Risikotragfähigkeit sowie der Einhaltung der eingerichteten Risikolimite
  • Regelmäßige Erstellung der Risikoberichte für die Geschäftsleitung
  • Verantwortung für die Prozesse zur unverzüglichen Weitergabe von unter Risikogesichtspunkten wesentlichen Informationen an die Geschäftsleitung, die jeweiligen Verantwortlichen und gegebenenfalls die Interne Revision

Übernahme der erweiterten Compliance-Funktion gem. AT 4.4.2 MaRisk

Mit der Aufnahme von Compliance in die MaRisk vollzieht sich nun auch in Deutschland bei den Instituten die Erweiterung der Begrifflichkeit von Compliance. Bisher sprach man in den Instituten, wenn man von Compliance gesprochen hat, in der Regel von der Wertpapier-Compliance gemäß den Vorgaben des Wertpapierhandelsgesetzes (WpHG) und den „Mindestanforderungen an Compliance und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff WpHG (MaComp)“ vom 07.10.2010 zuletzt geändert am 07.12.2012. Nun müssen sich die Institute an der umfänglicheren angelsächsischen Auslegung des Begriffes Compliance gewöhnen, wobei hier generell von der Achtung auf Einhaltung von externen (wie z. B. Gesetzen, Verordnungen, etc.) als auch internen (wie z. B. Organisationsanweisungen, etc.) Vorgaben gesprochen wird.

Somit ergeben sich und folgende weitergehende Aufgaben für Compliance, die wir gerne für Sie übernehmen werden:

  • Compliance hat die institutsinternen Regelungen, die die Einhaltung der gesetzlichen Bestimmungen oder sonstigen Vorgaben zu gewährleisten, zu bewerten, deren Einhaltung zu überwachen sowie die Geschäftsleiter und die Geschäftsbereiche hinsichtlich der Einhaltung dieser Bestimmungen und Vorgaben zu unterstützen und zu beraten.
  • Ferner hat sie die Risiken, die sich aus der Nichteinhaltung gesetzlicher Bestimmungen und sonstigen Vorgaben ergeben können, zu beurteilen.

Auf Grund unserer langjährigen Erfahrung unserer Mitarbeiter und Partner im Finanzdienstleistungssektor in den Bereichen Compliance, Fraud Management, Geldwäscheprävention, Revision und Risikomanagement können wir gewährleisten, dass Sie sich um Ihr wesentliches Geschäft, der Kundenbetreuung kümmern können und wir für Sie die zuvor genannten Aufgaben kompetent und „ohne Sand ins Getriebe zu streuen“ übernehmen.

Informieren Sie sich doch am besten persönlich bei uns.

CDC Compliance & Datenschutz Consulting UG (haftungsbeschränkt)
Unter den Eichen 5 – Haus i -
65195 Wiesbaden
Tel.: +49 611 267 563 – 0
FAX: +49 611 267 563 – 10
E-Mail: info@cdc-ug.de
WEB: http://www.cdc-ug.de

Hinweis: Es wird darauf hingewiesen, dass beim Folgen von Links auf andere Webseiten kleine Programme wie z. B. Cookies o. ä. auf Ihren Rechner installiert werden können. Mittels Ihrer Browsereinstellungen können Sie das Setzen dieser Programme verhindern.

Veröffentlicht unter News Compliance | Hinterlasse einen Kommentar

Eine kleine Einführung in das Reputationsrisiko und -management

Publiziert am 21. Januar 2013 von Thomas.Gutte

Im Finanzsektor lässt sich der Begriff „Reputation“ eines Unternehmens als die Summe aller positiven (Vertrauen und Seriosität, Kompetenz) Wahrnehmungen durch seine Stakeholder (Anspruchsgruppen, z.B. Kunden, Mitarbeiter, Partner, Investoren etc.) definieren. Die Reputation als immaterieller Vermögenswert ist von großer Bedeutung für ein Finanzdienstleistungsunternehmen und muss, um den Unternehmenswert zu steigern bzw. Wettbewerbsvorteile zu erzielen, stetig verbessert werden. Der Begriff „Reputationsrisiko“ im weiteren Sinne bezeichnet ein negatives (Reputationsverlust > sinkender Marktwert) oder positives (Reputationsgewinn > steigender Marktwert) Abweichen von der erwarteten Reputation.

In Zusammenhang mit den großen Betrugsfällen der letzten Jahre (UBS, Société General, Barings) hat der Begriff des Reputationsrisikos zunehmend an Bedeutung gewonnen. In diesem Zusammenhang ist §25c KWG zu nennen, der die Finanzdienstleistungsinstitute dazu auffordert, Verfahren und Grundsätze in ihre Geschäftsorganisation einfließen zu lassen, die der Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen (Fraud) dienen. Voraussetzung zur Vermeidung von Fraud ist eine mängelfreie Aufbau- und Ablauforganisation die frei von Störungen durch menschliches oder technisches Versagen bzw. externer Ereignisse ist. Menschliches Fehlverhalten, wie es am Beispiel der USB demonstriert werden kann, ist als Primärrisiko zu bezeichnen: Hier liegt ein direkter Vermögensbezug vor, wobei der eintretende Verlust in einer finanziellen Größe ausgedrückt werden kann. Als Folgeerscheinung dieses Risikos ist das Reputationsrisiko (Sekundärrisiko) zu bewerten: dieses stellt, da hier keine Bewertung in Form von Kosten oder Erlösen erfolgen kann, das für Bankvorstände wohl problematischste Risiko dar. Reputationsrisiken können aber nicht nur durch Betrugsfälle entstehen, sondern auch durch Fehlberatung hervorgerufene Klagen. Eine weitere Definition sieht im Reputationsrisiko wiederum eine Risikoart per se, die negative Auswirkungen auf die GuV einer Bank haben kann, ausgelöst durch Einzeltransaktionen mit kritischem Hintergrund (z. B. Waffenfinanzierung).

Einen erheblichen Beitrag zur Vermeidung von Reputationsverlusten bzw. –steigerungen einer Bank erbringt das Reputationsmanagement (wozu maßgeblich auch das Compliancemanagement gehört). Seine Aufgabe ist die Identifizierung von Reputationsrisiken, die Vermeidung bzw. Begrenzung von Reputationsverlusten und die Entwicklung von Maßnahmen zur Erzielung von Reputationsgewinnen.

Erfahren Sie mehr über die CDC Compliance & Datenschutz Consulting UG (haftungsbeschränkt) unter info@cdc-ug.de oder direkt telefonisch unter +49 611 267 563 – 0. Kompetente Ansprechpartner geben Ihnen gerne Auskünfte.

Hinweis: Es wird darauf hingewiesen, dass beim Folgen von Links auf andere Webseiten kleine Programme wie z. B. Cookies o. ä. auf Ihren Rechner installiert werden können. Mittels Ihrer Browsereinstellungen können Sie das Setzen dieser Programme verhindern.

Veröffentlicht unter News Compliance | Hinterlasse einen Kommentar