Verunsicherung durch Überregulierung: Und wie bitte geht’s weiter?

Es gibt kaum ein anderes Thema, das so dynamisch ist und derart weitreichende Auswirkungen auf Unternehmen und Banken hat, wie Compliance. Darüber können speziell die Verantwortlichen – zumindest in den komplexen Jurisdiktionen – ein Lied singen: Regulatorische Anforderungen und Strafen als Ausdruck einer durch Misstrauen geprägten Kultur multiplizieren sich innerhalb weniger Jahre. Banken und Unternehmen werden seitens der Regulatoren verstärkt angehalten, hoheitliche Aufgaben zu übernehmen. Würden Aufgaben, wie zum Beispiel die Bekämpfung von Geldwäsche und Terrorfinanzierung, Steuerhinterziehung oder Marktmissbrauch vom Staat und seinen Einrichtungen selbst erfüllt werden, wäre der Abdeckungsgrad auf diesem Gebiet vergleichbar mit anderen hoheitlichen Aufgaben, wie der Strafverfolgung, dem Zoll oder der Finanzverwaltung. Von den Banken und Unternehmen wird jedoch hundertprozentige Compliance im Sinne eines Null-Toleranz-Ansatzes erwartet. Nicht zuletzt dadurch steigen die Kosten für die Banken und Unternehmen aus diesen Verpflichtungen nahezu unkontrollierbar. Diese durch die Finanzkrise in den USA ausgelöste Entwicklung hat bereits jetzt ein Stadium der Machbarkeit überschritten.

Folgende weitreichende Auswirkungen sind festzustellen:

Die aktuelle Überregulierung führt zu einer erhöhten Rechtsunsicherheit bei gleichzeitig abnehmender Akzeptanz bei den Betroffenen. Ebenfalls begünstigt wird die zunehmende Anzahl behördlicher Individualentscheidungen, die nicht zwingend einer konsistenten Linie folgen. Dadurch werden Rechtsunsicherheit und mangelnde Akzeptanz weiter verstärkt. Politisch ist das mit dem Argument, die vermeintlichen Verursacher der Finanzkrise auch dafür bezahlen zu lassen, bequem zu rechtfertigen. Auch hier zeigen die USA Europa wieder einmal vor, wie das funktioniert: So betrugen die durch die US-Behörden gegenüber Banken verhängten Strafen im Jahr 2014 stolze 56 Mrd US-Dollar (Tendenz weiter steigend), während innerhalb des EWR die bestehenden Strafrahmen für Insider, Marktmanipulanten oder Geldwäscher im Zuge der in den kommenden Jahren neu in Kraft tretenden MAD II, MiFID II oder der 4. Geldwäsche-Richtlinie auf fünf Mio Euro im Einzelfall ausgeweitet werden.

Bemerkenswert ist hier allerdings das innerhalb der EU bereits stärker forcierte Fit & Proper-Regime, wonach die für das Unternehmen Verantwortlichen persönliche Konsequenzen bis hin zum Berufsverbot für die Nichteinhaltung der jeweiligen Sorgfaltspflichten zu tragen haben. Naturgemäß steigt damit die Angst vor Non-Compliance bei den Betroffenen, was in der Praxis vermehrt zu einer Delegation der Verantwortung an verantwortliche Beauftragte gemäß § 9 Abs 2 VStG führt. Richtiger wäre es, die Compliance-Risiken als integralen Bestandteil der Geschäftsentscheidung und somit der Geschäftstätigkeit an sich angemessen zu berücksichtigen. Der sogenannte Risikobasierte Ansatz wird allzu oft verwechselt mit dem Anspruch auf eine Risikovermeidung um jeden Preis. Dieses Verhalten kann dem Vorsichtsprinzip folgend paradoxerweise zu einer Übergewichtung der Compliance-Risiken führen, die abgesehen von der verheerenden wirtschaftlichen Auswirkung für das Unternehmen selbst auch weitreichende Kollateralschäden für Kunden, Geschäftsarten und selbst ganze Regionen bewirkt. So bieten einzelne Marktteilnehmer keine Konten mehr für ausländische Botschaften oder auch andere Kundengruppen an, die als besonders riskant eingestuft werden müssen. Es verschwinden aber auch ganze Produktkategorien vornehmlich im US-Dollar-Bereich, wie das grenzüberschreitende Scheckgeschäft oder auch Teile des Valutahandels. Auch Interbankgeschäfte mit Banken in Risikoregionen werden durch Erfüllung der geforderten Sorgfaltsmaßnahmen prohibitiv verteuert und sind damit wirtschaftlich oft nicht mehr vertretbar.

Jede einzelne regulatorische Anforderung führt zu einer – oftmals von teuren und umfangreichen internen Prozessen begleiteten – Speziallösung. Konsequenterweise sind jeweils eigene Zuständigkeiten und Experten notwendig, die das nötige Fachwissen vorrätig halten. Ebenso erforderlich sind unternehmensinterne Regeln und Prozesse mit verbindlichem Anweisungscharakter, die auch die Grundlage für die interne und externe Kontrolle darstellen. Die enormen Kosten der dazu erforderlichen IT-Lösungen sind hier nur der Vollständigkeit halber erwähnt, aber ebenfalls ein nicht außer Acht zu lassender Aspekt. Begleitet durch einen teilweise atemberaubenden Ressourcenaufbau führt diese Entwicklung zu Kostensteigerungen, die nur schwer in die Produkte und Leistungen einzupreisen sind und sich nachteilig auf die Profitabilität auswirken. Die wirklich schlechte Nachricht ist aber: Trotz aller möglichen Anstrengungen besteht keineswegs die hundertprozentige Sicherheit, überall und immer „compliant“ zu sein.

Aus diesem kritischen Befund lassen sich die folgenden wünschenswerten Entwicklungen ableiten:

1.  Strafen nur dort wo nötig: Die Marktteilnehmer und die Regulatoren werden zumindest mittelfristig umdenken und sich vom Ansatz der Null-Toleranz in Sachen Compliance verabschieden müssen. Künftig wird im Gemeininteresse mit hohem fachlichem Verständnis zu beurteilen sein, ob das konkrete Unternehmen alles zumutbar Mögliche unternommen hat, um die sich aus dem Geschäft ergebenden Risiken adäquat zu managen. Strafen sollten als ultima ratio dort verhängt werden, wo Probleme systemisch zu adressieren sind.

2.  Compliance-Verantwortung trifft alle: Eine funktionierende Compliance setzt eine Bestellung eines Compliance-Verantwortlichen und die Wahrnehmung der Verantwortung durch die Unternehmensführung voraus. Jedoch darf die Verantwortung des Einzelnen nicht übergewichtet werden. Vielmehr muss die Compliance-Fähigkeit der gesamten Organisation hergestellt und geprüft werden. Jeder Mitarbeiter muss den Stellenwert und die konkrete Auswirkung dieses Themas bei seiner täglichen Arbeit kennen und angemessen agieren.

3.  Ganzheitliches Risikomanagement: Compliance ist unausweichlich und permanent als integraler Bestandteil der gesamten Geschäftstätigkeit zu betrachten. Dies gelingt über die Einrichtung von wirksamen Kontrollmechanismen in sämtlichen relevanten Kernprozessen des Unternehmens und durch die konsequente Einbettung der Compliance in ein ganzheitliches Risikomanagementsystem, das alle operationalen Risiken abdeckt. Um auch bisher nicht leicht messbare Risiken berücksichtigen zu können – man denke dabei etwa an Reputationsrisiken – werden mögliche Kosten-/Ertragsauswirkungen strukturiert im Rahmen einer einheitlichen Methodologie beurteilt werden müssen. Der Basler Ausschuss merkt in einem „consultative document“ zu den „Corporate governance principles for banks“ an, dass Compliance sich speziell auf Bereiche fokussieren sollte, die ein hohes Reputationsrisiko kreieren, wie Bestechung, Geldwäsche, Sanktionen, Konsumentenschutz und ethische Konflikte. Ein ganzheitliches Risikomanagementsystem basiert idealerweise auf konsolidierten Kunden- bzw Transaktionsdaten. Die bisher eingesetzten IT-Einzellösungen werden sukzessive ersetzt, um dieser Anforderung gerecht werden zu können. Genauso wird eine Konsolidierung der unterschiedlichen regulatorischen Anforderungen inklusive der internen Regelungen, Prozesse und Zuständigkeiten wesentliche Synergien heben und den Kostendruck auf die Marktteilnehmer mindern.

Fazit

Will man Compliance künftig wirksam und effizient wahrnehmen, führt an einer ganzheitlichen Betrachtung und damit an einer Integration der Compliance-Themen in das Risikomanagement in den einzelnen Geschäftsfeldern kein Weg vorbei. Das Compliance-Risiko darf nicht isoliert betrachtet werden, sondern als Bestandteil der Risikolandschaft eines Unternehmens. Der bisher etablierte Umgang mit eng verwandten Risiken wie beispielsweise dem operationellen Risiko, den Rechts- und Sicherheitsrisiken oder den IT-Risiken zeigt auf, wie sich das Compliance-Risiko in das Risikomanagement eines Unternehmens fügen kann. Ein derartiger Zugang ermöglicht letztlich angemessene Geschäftsentscheidungen, in denen die wesentlichen Risiken berücksichtigt werden können. Eine richtige Prioritätensetzung dieser Risiken erscheint mir als eine taugliche Antwort auf die durch Angst erzeugte und teilweise stark übertriebene Vorsicht der Verantwortlichen im weiten Land der Compliance-Fallen.

Autoren

Mag. DDr. Peter Paul Prebil

Mag. DDr. Peter Paul Prebil ist der Leiter von Group NFR Governance & Operational Risk bei der Erste Group Bank AG. Zuvor war er seit 1997 in der RZB/RBI-Gruppe für die Compliance-Agenden verantwor...