Compliance-Anforderungen für Leasing-Gesellschaften - Aufbau und kontinuierliche Weiterentwicklung

Compliance kann frei mit Regelkonformität übersetzt werden. Obwohl regelkonformes Verhalten eigentlich eine Selbstverständlichkeit für jedes Institut sein sollte, hat sich in der Vergangenheit des Öfteren gezeigt, dass zur Erfüllung dieser Anforderung vielfach noch weitere Maßnahmen nötig sind. Die explizite Forderung zur organisatorischen Verankerung einer Compliance-Funktion wurde für Finanzdienstleister und damit auch speziell für Leasing-Gesellschaften im AT 4.4.2. der Mindestanforderungen an das Risikomanagement (MaRisk) normiert. Hierdurch wird auch deutlich, dass eine Compliance-Funktion weit mehr als lediglich eine funktionierende Geldwäscheprävention und ein internes Risikomanagement umfasst.

Definition von Compliance

Compliance beinhaltet die Einhaltung aller für ein Unternehmen und für seine gesetzlichen Vertreter, Mitarbeiter sowie gegebenenfalls beauftragte Dritte relevanten rechtlichen und ethischen, branchenspezifischen und organisationsinternen Handlungs- und Verhaltensregeln.[1] Compliance stellt einen systematischen Ansatz dar, dessen Ziel die Einhaltung gültigen Rechts durch Regeln und Prozessabläufe, durch die Schaffung und Anwendung einer Organisations-, Dokumentations- und Kommunikationsstruktur und -kultur ist. Das Ziel der Compliance-Tätigkeiten ist es, Ansätze zu erarbeiten, um einerseits Compliance-Risiken zu managen und andererseits Maßnahmen zu ergreifen, um das Verhalten und die innere Einstellung aller Mitarbeiter eines Unternehmens auf gesetzeskonformes Handeln auszurichten.

Compliance-Management

Entgegen der landläufigen Meinung, beschränkt sich das Compliance-Management nicht nur auf Teilaspekte, wie beispielsweise auf die Verhinderung von Wirtschaftskriminalität oder Kartellverstößen. Wie Abbildung 1 zeigt, ist das Compliance-Management relativ umfassend. Compliance-Management umfasst schlichtweg die Summe aller organisatorischen Vorkehrungen, die ein Institut trifft, um ständig und wirksam ein rechtskonformes Verhalten des Unternehmens sowie der für das Unternehmen handelnden Personen zu gewährleisten.

Abb.1: Ausgewählte Einflussgrößen für das Compliance-Management einer Leasing-Gesellschaft (Quelle: eigene Darstellung.)

Compliance-Management sichert den nachhaltigen und regelkonformen Marktzugang eines Unternehmens, indem es auf die Aufdeckung, aber in erster Linie auch auf die Prävention aller illegalen und illegitimen Handlungen seiner Führungskräfte und Mitarbeiter, seiner Repräsentanten und Beauftragten und - soweit erforderlich und angemessen - auch seiner Geschäftspartner (zum Beispiel Lieferanten) zielt. Das Compliance-Management-System umfasst die Gesamtheit aller organisatorischen und kulturellen Strukturen und systematisch aufeinander bezogenen Maßnahmen zur effektiven und effizienten Aufdeckung und Prävention von Gesetzes- und Regelverstößen.

Aufgabe der Unternehmensleitung

Die Sicherstellung der Integrität eines Unternehmens und die Wahrnehmung der damit einhergehenden Aufsichts- und Sorgfaltspflichten ist Aufgabe der Unternehmensleitung. Diese Aufgabe ist "Chefsache" und kann auch nicht ohne weiteres delegiert werden. In der Praxis werden zwar regelmäßig Vorbereitungs- und Ausführungshandlungen auf Compliance-Beauftragte delegiert. Die Pflicht der Unternehmensleitung wandelt sich hierbei aber in eine umfassende Überwachungspflicht, das heißt, die jeweiligen Delegatare müssen sorgfältig ausgewählt, eingearbeitet und kontrolliert werden.

Ziele von/Motivation für Compliance

In der Regel gibt es zwei wesentliche Treiber für die Einführung eines Compliance-Managements. Zum einen rechtliche und regulatorische Anforderungen und zum anderen die Vermeidung von finanziellen Geldbußen und Reputationsschäden. Insbesondere drohende strafrechtliche Verfahren und wirtschaftskriminelle Vorfälle sowie strafrechtliche Haftungen schlagen sich unmittelbar im Periodenerfolg einer Leasing-Gesellschaft nieder. Image- und Reputationsschäden sind hingegen regelmäßig deutlich langfristiger ausgelegt und gefährden nicht selten den nachhaltigen Erfolg einer Gesellschaft.

Compliance-Officer

Die Aufgabe des Compliance-Beauftragten ist es, die Einhaltung von gesetzlichen und internen Regeln und Vorgaben sicherzustellen. Um seine Aufgabe fachgerecht ausüben zu können, benötigt er aber insbesondere eine tiefgreifenden Sachkunde und detaillierte rechtliche Kenntnisse über die zugrunde liegenden Vorschriften und Bestimmungen, das eigene Geschäftsmodell sowie auch mögliche Interessenskonflikte. Außerdem sind ein hohes Maß an Integrität beziehungsweise Zuverlässigkeit und kommunikativen Fähigkeiten sehr wichtig. Für die Unabhängigkeit der Compliance-Mitarbeiter ist es nach Vorstellung der BaFin weiterhin erforderlich, dass diese grundsätzlich nicht an den überwachten Geschäften beteiligt sind. Dies bedeutet freilich nur eine Trennung vom operativen Geschäft. Daneben muss es möglich sein, bestimmte Compliance-Aufgaben auf operativ tätige Mitarbeiter zu delegieren, sofern dies zur Erschließung geschäftsnaher Kenntnisse erforderlich ist. Auch eine Anbindung an andere Organisations- und Stabsbereiche soll grundsätzlich nicht erfolgen.

Garantenpflicht

Mit der Entscheidung des BGH vom 17.7.2009 trifft den Compliance-Officer aufgrund der gegenüber der Unternehmensleitung übernommenen Pflicht zur Verhinderung von Straftaten regelmäßig eine Garantenpflicht im Sinne des § 13 I StGB. Hierdurch wird ihm ausdrücklich eine persönliche strafrechtliche Verantwortlichkeit zugewiesen. Der BGH begründet diese Verantwortlichkeit mit dem Aufgabengebiet des Compliance Officers, das gerade in der Verhinderung von Rechtsverstößen bestehe, insbesondere von Straftaten, die aus dem Unternehmen heraus begangen werden. Für den redlichen Compliance Officer einer Leasing-Gesellschaft dürfte das Strafverfolgungsrisiko auf Fahrlässigkeitstaten beschränkt sein, etwa im Bereich der leichtfertigen Geldwäsche (§ 26 1 Abs. 5 StGB). Der überwiegende Teil der typischen Straftaten, die durch eine Compliance-Organisation verhindert werden sollen, wie Korruptionsdelikte (§§ 299 ff., 331 ff. StGB), Betrug (§ 263 StGB) oder Untreue (§ 266 StGB), sind regelmäßig nicht fahrlässig begehbar, sodass nur der sich unredlich verhaltende Compliance Officer ernsthaft einem Strafverfolgungsrisiko ausgesetzt sein dürfte.

Organisatorische Verankerung

Der Compliance-Officer sollte der Unternehmensleitung direkt unterstellt sein. Er ist damit Ansprechpartner der Unternehmensleitung einerseits, andererseits aber auch Vertrauensperson der Mitarbeiter. Neben der reinen Kontroll- beziehungsweise Überwachungsfunktion ist insbesondere auch die Beratung des Vorstands oder der Geschäftsleitung in Compliance-relevanten Bereichen ein weiterer wesentlicher Aufgabenbereich. Der Compliance-Officer macht dem Vorstand konkrete Vorschläge für das einzurichtende Compliance-System und sorgt für dessen Dokumentation und Weiterentwicklung. Darüber hinaus ist er zudem sowohl gegenüber der Geschäftsleitung als auch gegenüber dem Aufsichtsorgan berichtspflichtig. Die Kontrollprozesse, beispielsweise das Vier-Augen-Prinzip, nehmen eine sehr wichtige Rolle im gesamten Compliance-Management ein. Gleiches gilt für Compliance-Reviews, bei denen untersucht wird, ob die Kontrollprozesse entsprechend den Vorgaben in den Fachbereichen implementiert sind und auch effektiv funktionieren. Neben den Kontrollprozessen kommt in der operativen Compliance-Steuerung insbesondere auch der Beratung eine sehr wichtige Rolle zu. Je besser und frühzeitiger beraten wird, umso weniger detailliert und umfassend muss tendenziell auch in einem späteren Schritt kontrolliert werden. Einen weiteren wichtigen Bestandteil der Compliance-Funktion nimmt die regelmäßige und anlassbezogene Schulung der Mitarbeiter in Bezug auf neue (aufsichts-)rechtliche Anforderungen, Organisations- und Arbeitsanweisungen, ein. Außerdem ist mindestens einmal jährlich ein Bericht über die Angemessenheit und Wirksamkeit der implementierten Grundsätze, Mittel und Verfahren an die Geschäftsleitung zu übermitteln.

Abb.2 Wichtige Bestandteile eines Compliance-Berichts (Quelle: eigene Darstellung)

Praktische Umsetzung

Richtlinien und schriftliche Fixierung

Die Anforderungen an das Compliance-System und die erforderlichen Systemänderungen resultieren überwiegend aus Vorgaben und Änderungen im rechtlichen Unternehmensumfeld, etwa durch Gesetze, aktuelle Rechtsprechungen oder gängige Aufsichtspraxis. Bewährt hat sich deshalb insbesondere eine schriftliche Fixierung der Compliance-Regelungen, etwa in Form von Verhaltensanweisungen wie einem Code of Conduct sowie Compliance-Richtlinien. Eine solche schriftliche Fixierung wird im Zweifelsfall vielfach auch strafmildernd berücksichtigt, sofern die entsprechenden Rahmenbedingungen geschaffen wurden. Für die meisten Leasing-Gesellschaften dürften insbesondere Richtlinien zur Annahme von Geschenken (Gift Policy), zum Datenschutz und zur Vertraulichkeit sowie zur Korruption und Bestechlichkeit et cetera wesentlich sein.

Compliance Landscape

Analog zum Risikoinventar im Risikomanagement hat sich für den Compliance-Bereich eine "Compliance Landscape" etabliert. Hierin werden alle für ein Institut relevanten Compliance-Themen definiert und strukturiert aufbereitet, um anschließend die risikogefährdeten Arbeitsbereiche entsprechend zu bewerten. Besonders wichtig ist insbesondere, dass für jedes als wesentlich eingestufte Risiko ein Compliance-Owner, also ein Verantwortlicher, der die Einführung und Etablierung der notwendigen Systeme, Regeln und Kontrollen sicherstellen muss, festgelegt wird. Die Schaffung größtmöglicher Transparenz und die direkte Verantwortlichkeit reduziert Komplexität. Aufgrund der zahlreichen gesetzlichen Vorschriften steigt für die meisten Institute die Wahrscheinlichkeit, den Überblick zu verlieren und (unbewusst) gegen Vorschriften zu verstoßen. Ein direkter Ansprechpartner soll dies verhindern. Sobald die Verantwortlichen im Rahmen der Landscape festgelegt wurden, muss der Compliance-Officer bei diesen hinterfragen, welche Konzepte vorliegen, um in den jeweiligen Bereichen die Compliance sicherzustellen. Sind solche Konzepte noch nicht vorhanden, sollte der Compliance-Officer bei der Entwicklung und dem Aufbau unterstützend eingreifen. Sind Konzepte bereits etabliert, muss der Compliance-Officer diese auf ihre Funktionsfähigkeit und Wirksamkeit prüfen.

Abbildung 3: Ausschnitt und beispielhafter Aufbau einer Compliance-Landscape (Quelle: eigene Darstellung)

Compliance-Risikoanalyse

Der Compliance-Beauftragte muss im Rahmeneiner Compliance-Risikoanalyse die Risiken der einzelnen Geschäftsbereiche zunächst erheben, um einen Überwachungsplan ableiten zu können, der sich an dem tatsächlichen Risikogehalt der Geschäftsbereiche orientiert. Der Compliance-Beauftragte muss zunächst eigene Kriterien definieren, anhand derer er die Compliance-Risiken bewerten kann. Anhand der Compliance-Risikoanalyse sind die Compliance-Risiken zu definieren und die entsprechenden Kontrollen und Maßnahmen unter Berücksichtigung der Compliance-Risikostrategie festzulegen. Der Überwachungsplan der Compliance-Funktion konzentriert sich hierbei im Sinne einer risikobasierten Überwachung auf besonders risikobehaftete Themen. Neben eigenen Überwachungshandlungen sind hierbei allerdings auch alle bestehenden Kontrollen, etwa durch die Interne Revision, aber auch durch externe Prüfungen, wie etwa die Jahresabschlussprüfung oder externe Audits, zu berücksichtigen.

Abbildung 4: Ausprägungsformen beispielhafter Compliance-Risiken (Quelle: eigene Darstellung)

Dreistufige Umsetzung der Compliance-Anforderungen

In der Praxis hat es sich vielfach bewährt, die Compliance-Anforderungen in drei Stufen umzusetzen. Die erste Stufe bildet die Prävention von Compliance-Verstößen, in der zweiten Stufe kommt insbesondere dem Risikomanagement und der laufenden Überwachung eine zentrale Rolle zu und in der dritten Stufe wird regelmäßig die interne Revision herangezogen.

Prävention

In der Stufe der Prävention geht es darum, Regel- und Gesetzesverstöße zu verhindern oder zumindest zu reduzieren. Es wird verlangt, dass sich der jeweilige Verantwortliche über Entwicklungen und Trends auf dem Laufenden hält und diese in seinen Handlungen berücksichtigt. Es wird eine proaktive Haltung erwartet, um mögliche Schäden erst gar nicht entstehen zu lassen. Wesentlicher Bestandteil der Prävention sind insbesondere prozessintegrierte Kontrollen, etwa auf EDV-Basis oder aber im Rahmen des Vier-Augen-Prinzips. Besonders wichtig sind zudem die Gewährleistung von Transparenz und die Vermeidung von potenziellen Interessenskonflikten. Im Falle von Verstößen oder ungewöhnlichen Sachverhalten erhält die Compliance-Funktion unmittelbar eine Information und kann die entsprechenden Vorgänge kritisch prüfen. Besonders wichtig im Rahmen der Prävention ist zudem die feste Verankerung des Compliance-Managements in der Unternehmenskultur. So beeinflussen insbesondere auch die Vorgesetzten als wichtige Multiplikatoren die Bedeutung, welche die Mitarbeiter der Beachtung von Regeln beimessen und damit ihre Bereitschaft zu regelkonformem Verhalten. Je positiver die Unternehmenskultur, etwa in Form einer guten Teamatmosphäre oder einer offenen Fehlerkommunikation mit einer geringen Regelverstoß-Toleranz, ist, desto größer ist regelmäßig auch die Akzeptanz der Compliance-Vorgaben.

Laufende Überwachung

Die Art und Weise sowie die Intensität erforderlicher Überwachungsmaßnahmen sind einzelfallabhängig. Sie richten sich insbesondere an der potenziellen Verlustschwere von Verstößen und der Gefahr ihrer Entdeckung sowie möglichen Verdachtsmomenten. Die regelmäßigen Compliance-Kontrollen fokussieren damit besonders auf Geschäfte mit einem erhöhten Risikopotenzial. Gleichzeitig muss aber auch bei sich ändernden Rahmenbedingungen eine flexible Anpassung der Kontrollen gewährleistet sein. In den Berichten der Compliance-Funktion an die Geschäftsleitung wird insbesondere hierauf eingegangen. Durch die Adressierung der Ergebnisse des Monitorings und der durchgeführten eigenen Kontrollen soll eine höchstmögliche Transparenz über die bestehenden Compliance-Risiken geschaffen werden. Außerdem soll ein Urteil über die Wirksamkeit der durchgeführten Maßnahmen und Kontrollmaßnahmen im Verhältnis zum definierten Risikopotenzial getroffen werden. Im Falle identifizierter Schwachstellen ist es besonders wichtig, dass die Compliance-Funktion beratend tätig wird. Außerdem sollten die entsprechenden Bereiche geschult oder gecoacht werden, sofern Bedarf besteht.

Interne Revision

Die Aufgabe der Compliance nähert sich immer mehr der der Internen Revision an. So müssen beide als neutrale und unabhängige Stellen das Vorhandensein notwendiger Anweisungen sowie deren Angemessenheit und Wirksamkeit prüfen. Der wesentliche Unterschied besteht allerdings darin, dass die Prüfung durch die Interne Revision grundsätzlich prozessunabhängig sowie teilweise nachgelagert ist, während die Prüfung im Compliance-Bereich eher proaktiv und idealerweise bereits präventiv ansetzt. Aufgrund der teilweise angrenzenden Aufgabenbereiche zwischen der Compliance-Funktion und der Internen Revision gibt es auch gewisse Synergiepotenziale. So kann die Interne Revision bei Prüfungen auf Ergebnisse von Stichproben und Feststellungen der Compliance-Funktion zurückgreifen. Umgekehrt kann beziehungsweise sollte die Revision der Compliance-Funktion die Berichte überlassen. Hierdurch können die Überwachungs- und Prüfungspläne der Compliance und der Revision abgesprochen werden, um zum einen erhöhte Belastungen in den Fachbereichen, aber insbesondere auch Doppelprüfungen zu vermeiden. Gleichzeitig sollte aber auch berücksichtigt werden, dass die Compliance-Funktion sich in Ihrer Tätigkeit nicht allein auf Feststellungen der Revision verlassen sollte. Die Compliance-Tätigkeit ist umfassender und sollte insbesondere auch antizipatorisch und präventiv tätig werden.

Zusammenarbeit mit anderen Bereichen

Die Compliance-Aufgabe ist eng verbunden mit dem Risikomanagementsystem und dem internen Kontrollsystem nach § 25a Abs. 1 Satz 2 Nr. 1 KWG eines Instituts. So ist es ebenfalls eine wichtige Aufgabe des Compliance-Systems, den Fortbestand des Instituts gefährdende Risiken frühzeitig zu entdecken. Die Compliance-Risiken sind nahezu deckungsgleich mit den operationellen Risiken, wobei lediglich die vielfach auftretenden Reputationsrisiken explizit nicht zu den operationellen Risiken gezählt werden. Die Compliance-Funktion verfügt bei der Ermittlung eines Sachverhalts über ein uneingeschränktes Auskunfts-, Einsichts- und Zugangsrecht zu allen für ihre Aufgabe relevanten Informationsquellen. Unterstützt werden kann der Compliance-Officer bei seiner Tätigkeit durch das Compliance-Committee, in dem wichtige Verantwortliche für ein Compliance-Management-System sitzen sollten (z. B. Leiter Revision, Leiter Recht, Leiter Sicherheit, Leiter Personal). Teilweise kann dem Compliance-Officer auch ein Veto-Recht eingeräumt werden, etwa im Rahmen von Neu-Produkt-Prozessen. In der operativen Steuerung kommt der Zusammenarbeit mit anderen Bereichen ebenfalls eine sehr zentrale Rolle zu. So ist beispielsweise häufig schon im Einstellungsprozess kriminelles Potenzial von Mitarbeitern ersichtlich. Im Bereich des Geldwäschegesetzes ist unter anderem gemäß §9 Abs.2 Nr.4 GwG eine Zuverlässigkeitsprüfung der Mitarbeiter vorzunehmen. Wenn der Bewerber in den letzten fünf Jahren vor Beginn der zu besetzenden Tätigkeit wegen eines Verbrechens oder wegen Diebstahls, Unterschlagung, Erpressung, Betrug, Untreue, Geldwäsche, Urkundenfälschung, Hehlerei, Wuchers, einer Insolvenzstraftat, einer Steuerhinterziehung oder aufgrund des § 38 WpHG rechtskräftig verurteilt wurde, ist vielfach keine ausreichende Zuverlässigkeit gegeben. Sicherlich kommt es aber auch auf die zu besetzende Tätigkeit darauf an, wie tiefgreifend diese Untersuchungen vorzunehmen sind. Eine weitere wichtige Rolle für die laufende Überwachung kommt dem Controlling zu. Im Controlling lassen sich vielfach relativ schnell Unregelmäßigkeiten erkennen, die wiederum vom Compliance Officer näher untersucht werden können. Großes Konfliktpotential ergibt sich in der Durchführung der Compliance-Aufgabe insbesondere hinsichtlich des Datenschutzes. Deshalb kommt der Zusammenarbeit mit dem jeweiligen Datenschutzbeauftragten ebenfalls eine wichtige Bedeutung zu. So ist immer zu untersuchen, ob das (berechtigte) Interesse an den Daten im Zuge der Aufdeckung von Straftaten oder aber die schutzwürdigen Interessen des Beschäftigten überwiegen. Es ist also im Idealfall neben der Intensität des Verdachts insbesondere auch die Schwere des vorgeworfenen Regelverstoßes zu würdigen.

Fazit

In vielen Unternehmen ist Compliance unbeliebt und die Einführung beziehungsweise die Umsetzung von Compliance-Systemen stößt auf Widerstände, da regelmäßig gewohnte Geschäftspraktiken auf den Prüfstand gestellt werden und vielfach ein zunehmender bürokratischer Aufwand entsteht. Gleichzeitig entsteht durch die institutsindividuelle Umsetzung sehr schnell ein deutlich messbarer betriebswirtschaftlicher Mehrnutzen. So führt gute Compliance regelmäßig dazu, dass die Institute bei den nachgelagerten Kontrollen, etwa der Internen Revision und beim Einsatz externer Wirtschaftsprüfer, Kosten sparen können, da die Compliance-Funktion bereits prozessimmanente Kontrollen vorgenommen hat. Außerdem werden die Einführung verbindlicher Standards und die Transparenz der Abläufe im Unternehmen besonders gefördert.

Der Autor

Christian Glaser ist Assistent der Konzernführung der Würth-Gruppe, sowie Leiter Risikomanagement bei der Würth Leasing GmbH & Co. KG. Er ist nebenberuflicher Dozent zum Thema Risikomanagement, Mitglied des Arbeitskreises "Strategie und Stresstests" vom Bundesverband Deutscher Leasing-Unternehmen e.V. (BDL) und Autor zahlreicher Fachpublikationen. Außerdem sind von ihm Fachbücher beim Springer-Verlag erschienen.

 

 

[1] Definition des Arbeitskreises Externe und Interne Überwachung der Unternehmung der Schmalenbach-Gesellschaft für Betriebswirtschaft

© 2019 Creditreform Compliance Services GmbH

Allgemeines Kontaktformular

allgemeineskontaktformular

Kontaktdaten
Kontakt