Christoph Naucke, Dr. Christian Corell
Allgemeiner regulatorischer Rahmen: Zusammenhang zwischen Compliance-Management-System, Risikomanagementsystem und Internem Kontrollsystem (GRC-Systemen)
Naturgemäß stellt sich für die konkrete Aufbau- und der Ablauforganisation der GRC-Funktionen die Frage nach einer übergreifenden Ordnung, nach einer Hierarchisierung im Sinne eines "Big Picture". In der Praxis steht diese Überlegung im Zentrum, weil gerade kleine und mittlere Unternehmen entscheiden müssen, welche Funktionen bei dünner Personaldecke miteinander kombinierbar sind und wo dies auf Grund von Rollenkonflikten und Interessenkollisionen keinesfalls erfolgen sollte.
Weder auf Gesetzesebene noch im DCGK finden sich rechtssichere Aussagen über die materiellen Anforderungen an die sich überschneidenden GRC-Funktionen wie Compliance-Management-System, Risikomanagementsystem (RMS), Internes Kontrollsystem (IKS) und – mit Abstrichen, da ohnehin zu separieren – Internes Revisionssystem (IRS). Erst recht fehlen zumindest auf der Ebene der Rechnungslegungsvorschriften die Einordnung der GRC-Elemente in ein "Big Picture" sowie konkrete Hinweise auf Unvereinbarkeiten und Unabhängigkeitsanforderungen. In § 107 Abs. 3 Satz 2 AktG werden die Funktionen "internes Kontrollsystem", "Risikomanagementsystem" und "Internes Revisionssystem" lediglich als Aufgabenbereiche des Prüfungsausschusses des Aufsichtsrats gleichrangig aufgezählt.
Spezifika in GRC-Systemen von Banken und Versicherungen
Im Banken- und Versicherungsaufsichtsrecht finden sich demgegenüber sehr spezifische Anforderungen an Governance-Funktionstrennungen. Im Versicherungsaufsichtsrecht stehen RMS (§ 26 VAG) und IKS (§ 29 VAG) wie im AktG nebeneinander. Als allgemeine Anforderung an die Geschäftsorganisation einer Versicherung postuliert § 23 Abs. 1 Satz 3 VAG eine angemessene Trennung von Zuständigkeiten. Die Compliance-Funktion gilt nach § 29 Abs. 1 Satz 2 VAG als notwendiger Bestandteil des IKS. Hingegen wird die organisatorische Unabhängigkeit der Internen Revision (Grundverständnis des Drei-Linien-Modells, vgl. Abschnitt "Weitere Interpretationsangebote") in § 30 Abs. 2 Satz 1 VAG sowie in Tz. 138 der Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen der BaFin (MaGo) für Versicherungsunternehmen eindeutig festgelegt.
Die MaGo konstituieren faktisch die vollständige Unabhängigkeit aller vier sog. Schlüsselfunktionen: Interne Revision, Compliance-Funktion, Risikomanagementfunktion und versicherungsmathematische Funktion. Der Compliance-Funktion ist hierbei die Verantwortung für Identifikation und Beurteilung der Compliance-Risiken zugewiesen. Zugleich werden "Rechtsrisiken" mit hoher Überschneidung zu Compliance-Risiken als Teilmenge der operationellen Risiken definiert, die folglich durch das Risikomanagementsystem zu steuern sind. Die Ausführungen in Abschnitt 12 der MaGo lassen vermuten, dass die BaFin das IKS mit der Gesamtheit der Risikokontrollen zur Senkung des im RMS ermittelten Gefährdungspotenzials gleichsetzt und mithin ein auf Risikomanagement reduziertes Begriffsverständnis des IKS zeigt.
Im Bankensektor geben die Mindestanforderungen an das Risikomanagement (MaRisk) auf der Basis von § 25a KWG den Rahmen für das Management aller wesentlichen Risiken vor. Da die MaRisk auch Aussagen zum IKS, zur Compliance-Funktion und zum IRS treffen, werden die Komponenten des Governance-Systems faktisch der Unternehmensaufgabe des Risikomanagements untergeordnet. Aus AT 4.3 der MaRisk ergibt sich, dass die Bankenaufsicht unter einem IKS das Zusammenspiel aus Regelungen zur Aufbau- und Ablauforganisation, Risikosteuerungs- und -controllingprozessen, der Risikomanagementfunktion und der Compliance-Funktion versteht. Also wird hier der IKS-Begriff wesentlich umfassender als in der Versicherungsaufsicht definiert.
Zur Vereinbarkeit der einzelnen Governance-Elemente findet sich einerseits eine übergreifende Forderung nach Funktionstrennungen, die jedoch keine konkreten Unvereinbarkeiten benennt, sowie andererseits die absolute Unabhängigkeitsforderung für die Interne Revision. Entsprechende Forderungen für Risikocontrolling-Funktionen werden geschäftsbereichsbezogen formuliert, so beispielsweise im Kreditgeschäft für Markt und Marktfolge oder im Handelsgeschäft für das Verhältnis zwischen Handel und Risikocontrolling.
U.a. die Verwendung des Begriffs "Gesamtrisikoprofil" in AT 4.4.1 Ziff. 1 konstituiert auch für die Bankenaufsicht den universellen Berichtsauftrag des RMS (also einschl. der operationellen Risiken und damit auch der Compliance-Risiken). Als Grundsatz fordert die MaRisk die Unabhängigkeit der Compliance-Funktion, Abweichungen sind jedoch abhängig von Institutsgröße und Risikolage denkbar. Dem Compliance-Beauftragten weist sie das Risikomanagement der Compliance-Risiken zu.
Im Ergebnis liefern die Rahmendokumente der BaFin auf der Grundlage des Versicherungs- und Bankenrechts zwar konkretere, jedoch in weiten Teilen widersprüchliche un...