General Counsel Zürcher Kantonalbank · • Beispiel für eine integrierte Funktion "Recht" (ZKB) ... der für sie geltenden Normen des Rechts und der Ethik. Diese Unterstüt-zung

Referent:

RechtsanwaltProf. Dr. Othmar Strasser

General Counsel Zürcher Kantonalbank

2© Prof. Dr. Othmar Strasser 4. März 2011

InhaltsübersichtInstitut für Bankrecht

• Zum traditionellen Verständnis von Compliance.................................................... 4-5

• Kernelemente des traditionellen Verständnisses von Compliance........................ 6

• Fragestellungen..................................................................................................... 7

• Rechtsgrundlagen für Compliance (Auswahl)........................................................ 8-10

• Antithese zum überholten, herkömmlichen Verständnis von Compliance............. 11

• Einige wichtige Definitionen und Unterscheidungen.............................................. 12-21

• Compliance als Management von Compliance Risiken......................................... 22

• Zur primären Verantwortung für das Management der Compliance Risiken......... 23-24

• Zur Unterstützungsfunktion der Compliance Funktion........................................... 25-26

• Compliance Funktion als integrierte Funktion "Recht"........................................... 27-29

• Gründe für integrierte Funktion "Recht"................................................................. 30-31

• Zu den einzelnen Aufgaben der integrierten Funktion "Recht".............................. 32-35

• Zum Erfordernis der Unabhängigkeit der Compliance Funktion............................ 36-39

Folien


InhaltsübersichtInstitut für Bankrecht

• Weitere Anforderungen an die integrierte Funktion "Recht".................................. 40

• Beispiel für eine integrierte Funktion "Recht" (ZKB).............................................. 41-42

• Beispiel für mögliche Einbindung der Compliance Funktion in die Risiko-organisation einer Bank (ZKB)............................................................................... 43

• Dysfunktionalitäten beim Management von Compliance Risiken.......................... 44-46

• Abgrenzung zur internen Revision......................................................................... 47-50

• Fazit....................................................................................................................... 51

Folien


Zum traditionellen Verständnis von ComplianceInstitut für Bankrecht

• Compliance = Kontrolle• Compliance = Überwachung• Compliance = Sicherstellung der Einhaltung von Gesetzen etc.• Compliance bezieht sich je nach Art, Grösse, Struktur und Ge-

schäftskreis einer Bank immer nur auf bestimmte (Rechts-)Gebiete:�� Geldwäscherei- und Terrorismusfinanzierungsbekämpfung�� Insider Trading�� Korruption�� Kartellverstösse�� Einhaltung ausländischen Rechts im Crossborder Business (inkl. Steuerrecht)�� Embargomassnahmen�� VSB�� Datenschutz�� Interessenkollisionen�� Eigengeschäfte von Mitarbeitern�� Dokumentation

Vgl. auch Ziff. 4 der Basler Empfehlungen "Compliance and the compliance function in banks"


Institut für Bankrecht

• Compliance ist die alleinige Verantwortlichkeit des Compliance Officers.

• Compliance muss unzulässige Geschäfte verhindern.

• Bei Rechtsverletzungen und Reputationsschäden ist Compliance verantwortlich.

• Compliance und Legal sind zwei völlig verschiedene Funktionen und demnach unterschiedlich zu unterstellen.

• Legal macht Rechtsberatung und Compliance schreibt Weisungen und identifiziert Risiken.

• etc.

Zum traditionellen Verständnis von Compliance



• Compliance fokussiert auf ein bestimmtes Rechtsgebiet (gesetzliche Organisationspflichten), auf ein bestimmtes Geschäftsfeld oder einen bestimmten Problemkreis (mit besonders hohen Risiken für das Unternehmen).

• Compliance zielt auf (fokussierte) Rechtsdurchsetzung innerhalb des Unternehmens/Konzerns ab.

• Compliance ist eine "höhere Instanz" mit Entscheidungskompetenz und entsprechender straf-, zivil- und aufsichtsrechtlicher Verantwor-tung innerhalb des Unternehmens/Konzerns.

• Compliance ist innerhalb des Unternehmens/Konzerns willkommen für unbequeme Entscheidungen und ideales Sammelbecken für unbeliebte und unangenehme Aufgaben.

• Compliance ist der nötige Rettungsanker für Straf- und Haftungsbe-freiung oder -reduktion.

Kernelemente des traditionellen Verständnisses von Compliance


FragestellungenInstitut für Bankrecht

• Entspricht ein solches (traditionelles) Verständnis von Compliance der (jüngeren) Rechtsentwicklung ?

• Entspricht ein solches Verständnis einer zeitgemässen Unternehmensverfassung einer Bank ?

Oder anders gefragt:

• Welchen Anforderungen muss Compliance genügen, um künftig einen wirksameren Beitrag zur Verhinderung von Unternehmens- und eventuell Finanzkrisen zu leisten ?


Rechtsgrundlagen für Compliance (Auswahl)Institut für Bankrecht

• 1974: Art. 6 VStrR (Deliktverhinderungspflicht für Vorgesetzte)

• 1987/1991: US-Sentencing Guidelines des amerikanischen Kongresses

• 1988: Art. 161 StGB (Insider-Strafnorm)

• 1990: Art. 305bis und 305ter StGB (Geldwäscherei-Strafnorm)

• 1991: Art. 716a Abs. 1 Ziff. 5 OR

• 1993: Börsengesetz (Österreich) mit Compliance Code für den Wertpapierhandel

• 1994: Wertpapierhandelsgesetz (Deutschland)

• 1995: Börsengesetz Schweiz



• 1996: BGE 122 IV 103 (Von Roll-Entscheid betreffend Ver-letzung von Organisationspflichten zur Verhinderung von Straftaten im Konzern)

• 1997: Geldwäschereigesetz (Schweiz)

• 1997: Art. 9 Abs. 2 Bankenverordnung betreffend Risiko-management der Banken

• 2002: Swiss Code of Best Practice for Corporate Governance

• 2003: Art. 102 StGB (Unternehmensstrafrecht)

• 2003: GwV EBK, heute integriert in GwV-FINMA vom 8.12.2010, in Kraft seit 1.1.2011

• 2005: Empfehlungen des Basler Ausschusses betreffend"Compliance and the compliance function in banks"

Rechtsgrundlagen für Compliance (Auswahl)



• 2006: EBK-Rundschreiben "Überwachung und interne Kontrolle Banken", heute FINMA-RS 08/24 vom 20.11.2008

• 2007: Art. 29 lit. c StGB

• 2009: Urteil des BGH vom 17.7.2009 (Bestrafung des Chefs der Rechtsabteilung der Berliner Stadtreinigungsbetriebewegen Gehilfenschaft zum Betrug, begangen durch Unter-lassung)

• 2010: BaFin-Rundschreiben 4/2010 betreffend Mindestanforde-rungen an die Compliance Funktion vom 7.6.2010 (MaComp)

Rechtsgrundlagen für Compliance (Auswahl)


Antithese zum überholten, herkömmlichen Verständnis von Compliance


• umfassende und

• eigenständige

Compliance ist eine

• Aufgabe des Managements von Risiken , finanzieller Verluste, rechtlicher Sanktionen und Reputations-schäden, die aus der Verletzung von rechtlichen Vorgaben (inkl. codifizierte Ethik) durch die Bank bzw. deren Organe und Mitarbeitende entstehen, die in der

• primären Verantwortung des Managements und aller Mit-arbeitenden liegt, welche durch eine

• unabhängige und

• integrierte

• Compliance Funktion unterstützt werden.


Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht

• Definition Compliance (§ 1 Compliance Reglement der Zürcher Kantonalbank vom 27.10.2005; Rz 97 FINMA-RS 08/24)

"Compliance ist einerseits die Übereinstimmung des Verhal-tens und der Handlungen der Bank und der Mitarbeitenden mit den für sie geltenden Normen des Rechts und der Ethik und andererseits die Gesamtheit aller organisatorischen Massnahmen zur Verhinderung von Gesetzesverletzungen und Verstössen gegen Regeln und Normen der Ethik durch die Bank, deren Organe und deren Mitarbeitende."

Compliance im umfassenden Sinne muss sich auf alle für eine Bank relevanten Normen beziehen, nicht nur auf einzelne Rechtsbereiche (vgl. vorn Folie 4).

(Kodifizierte) Ethik im Sinne der unternehmerischen Selbstverpflichtung (Integrity Compliance)



• Definition der Compliance Funktion (besser "Funktion Recht")(§ 2 Compliance Reglement der Zürcher Kantonalbank vom 27.10.2005; Rz 100-112 FINMA-RS 08/24)

" Als unabhängige Funktion innerhalb der Bank unterstützt Compliance die Geschäftsleitung und die Mitarbeitenden der Bank bei der Einhaltung der für sie geltenden Normen des Rechts und der Ethik. Diese Unterstüt-zung besteht in der Regel aus Identifikation, Beurteilung, Beratung, Überwachung und Berichterstattung in Bezug auf jene Rechts-, Reputa-tions- und Verlustrisiken, die aus der Verletzung von Normen des Rechts und der Ethik resultieren (Compliance Risiken)."

Compliance darf nicht mit Compliance Funktion gleichgesetzt werden !

Die Compliance Funktion ist eine eigenständige und von ertragsorien-tierten Geschäftseinheiten unabhängige Funktion, die neben der Risikokontrolle (Rz 113-125 FINMA-RS 08/24) und dem Risikomana-gement (Rz 126 FINMA-RS 08/24) besteht und separat geregelt ist.



• Definition der Compliance Risiken gemäss Ziff. 3 der Empfehlungen des Basler Ausschusses

" The expression "compliance risk" is defined in this paper as the risk of legal or regulatory sanctions, material financial loss, or loss to reputation a bank may suffer as a result of its failure to comply with laws, regulations, rules, related self-regulatory organisation standards, and codes of conduct applicable to its banking activities (together,"compliance laws, rules and standards")."



• Definition der Compliance Risiken gemäss Rz 98 FINMA-RS 08/24 Überwachung und interne Kontrolle Banken vom 20.11.2008

" Als Compliance-Risiko gilt das Risiko von Verstössengegen Vorschriften, Standards und Standesregeln und entsprechenden rechtlichen und regulatorischen Sanktionen, finanziellen Verlusten oder Reputationsschäden."

Beide Definitionen erwähnen die Verletzung von ver-traglichen Bestimmungen nicht !



Definition der Compliance Risiken

Ursache

Folgen(Gemengelage)

Verhalten des Menschen/Mitarbeitenden

• Aktives Tun• Passives Unterlassen• Vorsätzlich

(mit Wissen und Willen)• Fahrlässig

(sorgfalts- bzw. pflichtwidrig)

Rechtsverletzunginkl. Vertragsverletzung

Rechtliche Sanktionen

• Bussen• Freiheitsstrafen• Kündigungen• Lizenzverlust• Bewilligungsentzug• etc.

Finanzielle Verluste

• Abschreibung von Forderungen• Schadenersatz• Verlust von Kreditsicherheiten• etc.

Hinweis: Management bzw. Steuerung von Compliance Risiken als Verhaltensrisiken muss demzufolge beim Verhalten bzw. Verhindern von Rechtsverletzungen ansetzen !

Reputationsschäden

• Keine neuen Kunden• Verlust von bestehenden Kunden• Verlust von Marktanteilen• etc.



Unterscheidung Compliance Risiken und Rechtsrisiken

• Rechtliche Risiken haben wie die Compliance Risiken ihre Ursache in einer Rechtsverletzung (inkl. Vertragsver-letzung), die zu rechtlichen Sanktionen führt (Schadener-satz, Freiheitsstrafen, Bussen etc.).

• Von den Compliance- und Rechtsrisiken als Verhaltens -risiken sind die Prozess- und Verfahrensrisiken einer Bank zu unterscheiden.



Unterscheidung Compliance Risiken und operationelle Risiken

Risiko von Verlusten aus Ungenügen oder Versagen interner Verfahren, von Menschen und von Systemen sowie aus exter-nen Ereignissen (nach Basel II sind rechtliche Risiken aus-drücklich eingeschlossen und strategische und Reputations-risiken ausgenommen) (vgl. auch Art. 77 der Eigenmittelver-ordnung vom 29.9.2006 [ERV; SR 952.03] und Rz 2 FINMA-RS 08/21 Operationelle Risiken Banken vom 20.11.2008, wonach die Definition sämtliche rechtliche Risiken umfasst, inkl. Bussen durch Aufsichtsbehörden und Vergleiche).

• Operationelle Risiken (nach Basel II)



Unterscheidung Compliance Risiken und operationelle Risiken

Rechtliche Risiken bzw. Rechtsverletzungen, die zu anderen (finanziell nicht erfassbaren) Rechtsnachteilen und zu Reputationsschäden führen (Bewilligungsentzug, Entfernung von Gewährsträgern, Kündigungen durch Kunden, Gefängnisstrafen, Ausschluss aus Vertragsgemeinschaf-ten etc.), sind offensichtlich nicht erfasst.

Die inkonsistenten Definitionen des Regulators der operationellen Risiken einerseits und der Compliance Risiken andererseits, welche die EBK 2006 fast gleichzeitig erlassen hatte, führen in der Praxis zu schwierigen Abgrenzungsfragen.

• Mangel dieser Definition

Ursache für die unklare Definition des Regulators war wohl dessen For-derung an die Banken, für operationelle Risiken entsprechend Risikoka-pital zu allozieren (zur Dysfunktionalität eines Anreizsystems durch Allo-kation von Risikokapital zur Steuerung von Compliance Risiken bei gleich-zeitiger Vorgabe eines [zu ambitiösen] ROE vgl. hinten Folie 46).



Abgrenzung der Compliance Risiken von anderen Risiko arten

• Nach Rz 97 FINMA-RS 08/24 gilt als Compliance auch das Ein-halten von internen Vorschriften. Bankinterne Vorschriften über die Bewirtschaftung von Markt-, Kredit- oder etwa Liquiditäts-risiken beispielsweise sind vom Anwendungsbereich der Compliance sinnvollerweise auszunehmen, ansonsten der Begriff Compliance konturlos wird.

• Das gleiche Abgrenzungsproblem stellt sich übrigens auch bei den operationellen Risiken.



Abgrenzung der Compliance Risiken von anderen Risiko arten

Conclusio: Anderslautende Vorschriften des Gesetzgebers und/oder des Regu-lators (FINMA) vorbehalten, ist für die Zuordnung von Verstössen gegen Regeln für die verschiedensten Berufsbilder innerhalb einer Bank jeweils auf die Kernaufgabe der in Frage stehenden Berufsgat-tung abzustellen und das entsprechende Risiko demgemäss den Markt-, Kredit- oder Liquiditätsrisiken oder subsidiär den operationel-len Risiken zuzuweisen (Stichwort: berufliches Unvermögen !).

Für die Abgrenzung der sog. übrigen Risiken von den operationellen Risiken einerseits sowie von den Compliance Risiken andererseits sind inhaltliche Kriterien massgebend !

Für die Abgrenzung der operationellen von den Compliance Risiken besteht auf Stufe Unternehmen bzw. Bank durchaus ein Spielraum.

Kriterium der Wirksamkeit der Steuerung für die Abgrenzung Op-Risk – Compliance Risk.


Compliance als Management von Compliance Risiken


• Art. 9 Abs. 2 BankV

• Prinzip 7 und Ziff. 18, 37-41 der Empfehlungen des Basler Ausschusses

• Rz 109, 111, 112 FINMA-RS 08/24

• Vgl. auch die Definitionen für Compliance Risiken in Ziff. 3 der Empfehlungen des Basler Ausschusses und in Rz 98 FINMA-RS 08/24 (Folien 14 und 15)

Folgende Regeln definieren Compliance als Aufgabe des Risk Managements (von Compliance Risiken):


Zur primären Verantwortung für das Management der Compliance Risiken


• Prinzip 2 der Empfehlungen des Basler Ausschusses bestimmt Folgendes:

"The bank's senior management is responsible for the effective management of the bank's compliance risk."

• Prinzip 7 der Empfehlungen des Basler Ausschusses lautet wie folgt:

"The responsibilities of the bank's compliance function should be to assist senior management in managing effectively the compliance risks faced by the bank. ..."


Zur primären Verantwortung für das Management der Compliance Risiken


• Rz 99 FINMA-RS 08/24:

"Die Geschäftsführung trägt die Verantwortung für die Umsetzung... zur Gewährleistung der Compliance im Institut. Sie trifft die entsprechenden betrieblichen Massnahmen und Vorkehrungen, sorgt insbesondere für ein zweckmässiges Weisungswesen und ordnet die stufengerechte Einbindung aller Mitarbeiter in die Aufrechterhaltung der Compliance an. ..."

• Rz 108 FINMA-RS 08/24:

"Die Aufgaben der Compliance-Funktion umfassen in der Regel:

• Unterstützung und Beratung der Geschäftsführung sowie der Mitarbeiter bei der Durchsetzung und Überwachung der Compliance;..."


Zur Unterstützungsfunktion der Compliance Funktion


Mit der Unterstützungsfunktion der Compliance Funktion ist nicht vereinbar eine

• Anordnung skompetenz im operativen Geschäft�� Die Compliance Funktion hat nur Empfehlungskompetenz

(also keine Befugnisse, "um den Tätigkeiten der Risiken ein-gehenden Akteure/Händler Einhalt zu gebieten", vgl. dazu EU-Grünbuch, S. 8). Für ein Beispiel einer möglichen Aus-nahme von dieser Regel vgl. Folie 27.

• originäre Überwachungs- und Kontrollpflicht�� Überwachungsaufgaben sind der Compliance Funktion

ausdrücklich zuzuweisen bzw. von der Geschäftsführung zu delegieren.

Cave: Strafrechtliche Garantenstellung

Cave: Art. 29 lit. c StGB, Art. 6 Abs. 2 VStrR


Zur Unterstützungsfunktion der Compliance Funktion


Mit der Unterstützungsfunktion der Compliance Funktion ist nicht vereinbar eine

• originäre Untersuchungspflicht (vgl. Rz 111 FINMA-RS 08/24)

�� Feststellung und Untersuchung von schweren Verstössen gegen die Compliance sind Aufgaben der Compliance Funk-tion, jedoch nur nach Rücksprache mit dem zuständigen Ge-schäftsführungsmitglied (in aller Regel CEO).

�� Recht zur Eskalation an den Verwaltungsrat als Korrektiv (vgl. dazu hinten Folie 39).


Compliance Funktion als integrierte Funktion "Recht"


Übersicht über mögliche Aufgaben der solchermassen verstandenen Funktion

Information über die massgeblichen rechtlichen Rahmenbedingungen für die Bank

Rechtsberatung im Einzelfall (Identifikation und Beurteilung von Risiken im Einzelfall sowie Rechtsgestaltung)

Prozessführung (Litigation)

Schulung von Mitarbeitenden

Umsetzung von Erlassen (Redaktion von Weisungen)

Generelle Einschätzung der Compliance Risiken (Identifikation, Beurteilung, Vorschlag und Beurteilung von Massnahmen � Risikoprofil mit risikoorientiertem Tätigkeitsplan)

Berichterstattung

Überwachung von Transaktionen und Geschäften

Kontrollen

Ermittlungen/Abklärungen

Wahrnehmung von Management-Aufgaben im Ausnahmefall (vgl. vorn Folien 25 und 44; z.B. Meldung gemäss Art. 10 GwG)

Einflussnahme auf die Gesetzgebung/regulatory affairs



• Aufteilung dieser Aufgaben auf eine Rechtsabteilung und eine Compliance Abteilung möglich mit klarer Regelung der Verant-wortlichkeiten (vgl. Ziff. 34 der Empfehlungen des Basler Aus-schusses) � Zusammenführung unter einheitlicher Leitung erforderlich (Beispiele: UBS, CS).

• Dezentrale Compliance Funktionen innerhalb des selben Unter-nehmens bzw. im Konzern (� integrierte Berichterstattung, solid versus dotted line; Organisationspflicht für Compliance im Kon-zern bei der Konzernspitze gemäss BGE 122 IV 103; Einschrei-ten der Konzernspitze bei der Tochtergesellschaft gestützt auf strafrechtliche Garantenstellung).


Ausgangspunkt für sämtliche Aufgaben ist das Recht



• Aufteilung von Aufgaben der Compliance Funktion auf die Funktion Compliance einerseits und das Management anderer-seits möglich für Aufgaben wie z.B.: �� Ausbildung�� Dokumentation

�� Fehlende Rechtskenntnisse�� Fehlende Unabhängigkeit mangels Integration in die

Compliance Funktion


Ausgangspunkt für sämtliche Aufgaben ist das Recht

• Schranken dieser "Rückdelegation an das Management":



• Komplexität der Fragestellungen

• Erfordernis der Koordination zwischen den einzelnen Rechtsdisziplinen

• Effizienz und Effektivität

• Tempo/Pace

• Kein Lawyer's shopping

• Aber one stop shopping möglich

Gründe für integrierte Funktion "Recht"



Gründe für integrierte Funktion "Recht"

Beispiel für eine komplexe Fragestellung: Crossborder Private Banking

Rechts-gebiete

Länder

Themen/Problem-bereiche

Marktzugang/Akquisition

Kundenbetreuung/-segmentierung

Produkte

Vertrieb(onshore / offshore / eVV / Vermittler)

Konzernführung

Gesetzesmonitoring/Update

Ertrag/Volumen/Kosten


Institut für Bankrecht Zu den einzelnen Aufgabender integrierten Funktion "Recht"

• Rechtsberatung (als Schwerpunktaufgabe)

�� Rechtsberatungskonzept zur Sicherstellung des erteilten Rechtsrates (Predeal Consultation; Konsultationspflicht; Rechtsberatung mit Information des jeweiligen Vorgesetz-ten zur Überwachung)

• Generelle Einschätzung der Compliance Risiken ohne Input aus der Rechtsberatung im Einzelfall unmöglich (eine reine "Kontroll-Compliance" ist dazu nicht in der Lage !)

• Kontroll- und Überwachungsaufgaben aufgrund konkreter und klarer Zuweisung

Cave: Strafrechtliche Garantenstellung !



• Produktezulassung durch Rechtsberatung im Einzelfall im Rahmen einer Predeal Consultation (unter Einbezug des gan-zen Risk Managements)

�� Die Compliance Funktion hat nach Massgabe des Rechts die Unternehmensinteressen der Bank zu wahren.

�� Kundeninteressen und öffentliche Interessen können sich mit den Unternehmensinteressen überschneiden (kein Schutz von privaten Drittinteressen ausserhalb solch weit-gefasster Unternehmensinteressen durch den Compliance Officer !).

• Compliance Officer als Konsumentenschützer ?



Strategie

Politik

Ver-sprechen

Integrity Compliance als anerkanntes Ziel der Produ kte-entwicklung in einer Bank (Prudential Corporate Gov ernance)

Quelle: Wolfgang Jenewein, Unterlagen Führungs-Workshop ZKB vom 25./26.10.2010

"Unser Produkt ist gut"

Produkt-Orientierung

1980er Jahre

Null-Fehler-Strategie Neuproduktentwicklung

Top Content

Quality ManagementAkkreditierungen

Kunden-Orientierung

"Wir schaffen Abhilfe"

1990er Jahre

Customer RelationManagement

KundenwertKundenbindung

Kundensegmente

Marken-Orientierung

"Wir sind wie Du"

Ende 1990er

MarkenpersönlichkeitMarkenidentität

EmotionalisierungDifferenzierung

Präsenz

SozialeOrientierung

"Du gehörst zu uns"

2000-2005

Community Management

MeinungsführungSoziale Identität

PeergroupsFanclubs

EthischeOrientierung

"Wir tun das Richtige"

Responsible Leadership

Unternehmensethik

NachhaltigkeitAllgemeinwohl

Werteorientierung

ab ca. 2005



• Risk Assessment und Risk Management durch die Compliance Funktion als Kommunikationsaufgabe.

• Risk Assessment als Expertengutachten der Compliance Funk-tion mit anschliessender Vernehmlassung bei den adressierten Organisationseinheiten (Topdown-Ansatz mit Dialog).

• Risikoorientierter Tätigkeitsplan gemäss Rz 110 FINMA-RS 08/24 mit Fokus auf Massnahmen des Managements, das von der Compliance Funktion unterstützt wird.

• Massnahmen-Tracking durch die Compliance Funktion(zu unterscheiden von der Überwachung einzelner Geschäfts-vorfälle und -transaktionen).


Zum Erfordernis derUnabhängigkeit der Compliance Funktion


• Erfordernis der Grundlage in der Unternehmensverfassung (Verankerung in den Statuten und/oder im Organisationsreglement und zusätzlich separater Ausführungserlass des Verwaltungsrates)

• Keine Interessenkollisionen (� Auswirkung auf das Salärsystem)

• Ausstattung mit genügend Personal und ausreichenden finanziel-len Mitteln (inkl. IT-Systeme für das Risk Management)

• Unabhängigkeit von einer ertragsorientierten Geschäftseinheit

• Direkte Berichterstattungslinie an den Verwaltungsrat und parallel an die Geschäftsführung (kein Informationsfilter !)

• Uneingeschränktes Auskunfts-, Zugangs- und Einsichtsrecht

• Institutionelle und organisatorische Sicherstellung der Unabhängig-keit des Head of Compliance/General Counsels im Besonderen



• Wahl und Entlassung durch ein der Geschäftsführung übergeord-netes Organ (auch wenn Head of Compliance/General Counsel nicht Mitglied der Geschäftsführung ist) � Unabhängigkeit von der Geschäftsführung

• Evtl. Mitglied der Geschäftsführung

• Wenn nicht Mitglied der Geschäftsführung: Unterstellung unter ein Geschäftsführungsmitglied ohne Ergebnis- und Ertragsver-antwortung (CEO, CRO, CFO)

Institutionelle und organisatorische Sicherstellung der Unabhängigkeit des General Counsels




• Jederzeitiger direkter Zugang zum Verwaltungsrat/Verwaltungs-ratspräsidenten bzw. Audit Committee oder zum CEO, sofern diesem nicht direkt unterstellt, nötigenfalls

• unter Umgehung des Dienstweges (Interventionsrecht/evtl. Inter-ventionspflicht)

• Fachliche Unabhängigkeit (Anwalt als fachlich weisungsfreie Berufsgattung nach Schweizer Arbeitsrecht)





• Eskalationsrecht an den CEO und Verwaltungsrat

• Mitwirkung und Teilnahme an Sitzungen des Verwaltungsrates, der Geschäftsführung sowie spezieller Gremien für das Manage-ment von Compliance Risiken (z.B. Conflict Committee oder Risikoausschuss), jeweils mit beratender Stimme

Cave: Art. 29 lit. c StGBArt. 6 Abs. 2 VStrR





• Notwendigkeit eines entsprechenden Führungsinformationssystems zur Sicherstellung der Vernetzung

• Berufsbilder einer integrierten Funktion Recht

Weitere Anforderungenan die integrierte Funktion "Recht"

�� Anwälte/Anwältinnen, Juristen/Juristinnen als Generalisten und Spezialisten

�� Betriebswirte/innen

�� Informatiker/innen

�� Mathematiker/innen

�� Banquiers

�� Professionals für Dokumentation und Informationsmanagement

�� Paralegals für weitere Hilfsfunktionen



Beispiel für eine integrierte Funktion "Recht" (ZKB)

Organisation der Zürcher Kantonalbank per 31.12.200 9



Beispiel für eine integrierte Funktion "Recht" (ZKB)

CEO

General Counsel

Grosskredite(Multi-nationals)

AGB-Projekte

KonzernGovernance

Risikomgt un-abhängig vom

Einzelfall

Dienste(Sekretariat)

RegionenKreditfach-

führung

Private BankingFondsgeschäft

ArbeitsrechtDatenschutz

GeldwäschereiEmbargo-

massnahmenKorruption

Steuern(Corporate Tax)

InvestmentBanking

• Asset Mgt• Handel• Kapitalmarkt

Back-OfficeIT

Amts- und Rechtshilfe

VollstreckungBasisprodukte

Wettbewerbsrecht

Personalbestand per 31.01.2011:

42 Juristinnen/Juristen1 Betriebswirtin8 Studierende der Rechtswissenschaft6 Para-Legal

(kaufmännische Grundausbildung)7 Assistentinnen/Sekretariat 64 Total


Beispiel für mögliche Einbindung der Compliance Funktion in die Risikoorganisation einer Bank (ZKB)


Linienorganisation Risikomanagement Ausschüsse und Komitees

1. LoDRisikobewirtschafter

Risiko- und Compliance-Funktion

Compliance-LinieCRO-Linie

2. LoD

3. LoD

Präventives Risiko-management

Risikokontrolle

Generaldirektion

Bankrat und Bankpräsidium

CEO

Risikomanagement-Ausschuss

Prüfungsausschuss

Konfliktausschuss 1)

CRO CROGD 1. LoD

CEO CRO

CEOCFO

General Counsel General Counsel

Risikoausschuss 2)

Vertreter

CRO-Linie

Komitees

Vertreter

CRO-LinieCompliance-Linie

VertreterRisikobewirtschafter

VertreterRisikobewirtschafter

General Counsel

Risikoinventar undRisikosteuerungs-

tools

PräventivesManagement vonCompliance-Risiken

im Einzelfall

1) Eskalationsorgan ist das Bankpräsidium 2) Eskalationsorgan ist die Generaldirektion

Risikomgt losgelöst vom

Einzelfall


Dysfunktionalitäten beim Management vonCompliance Risiken


• Moral Hazard in der 1. Line of Defence bei Bestehen eines Predeal Consultation-Verfahrens

• Leaning back Syndrom bei der 1. Line of Defence bei zuneh-mender Zuweisung von Entscheidungsaufgaben (sog. Clea-rence) und Überwachungsaufgaben an die Compliance Funktion

• Umkehrung der Hierarchie und Verschiebung der eigentlichen Verantwortlichkeiten durch Begründung von Interventions-pflichten zulasten des General Counsels/Head of Compliance (vgl. Urteil BGH vom 17.7.2009 betreffend Bestrafung des Chefs einer Rechtsabteilung) oder durch Zuweisung von An-ordnungsbefugnissen, "um den Tätigkeiten der Risiken einge-henden Akteure/Händler Einhalt zu gebieten" (EU-Grünbuch, S. 8)




Praxis der FINMA im Zusammenhang mit einer Untersuchung betreffend Verletzung der Meldepflicht nach Art. 20 BEHG:

"Die mehrfach zitierte Warnung von ... (Name des General Counsels)im Fall X entlastete Compliance nicht davon, auch im Fall Z wieder zu intervenieren, nötigenfalls auch in Umgehung der verantwortlichen Geschäftsleitungsmitglieder, die in diesem Fall offensichtlich andere Interessen verfolgten."

• "Informationsfilter" in der Berichterstattung der Compliance Funktion an die Geschäftsführung und an den Verwaltungsrat zufolge hoher Komplexität der Materie � Verständnis der Be-schreibung des Risikoprofils und der dazu vorgeschlagenen Massnahmen ist für die Genehmigung des risikoorientierten Tätigkeitsplans nach Rz 109 FINMA-RS 08/24 erforderlich !




• What you can't measure - you can't manage !�� Bei gleichbleibendem (ambitiösem) ROE und gleichbleiben-

dem Ertrag Verbesserung der Performance nur möglich über Reduktion des Risikokapitals

�� Zusätzliche Risikokapitalallokation für Compliance Risiken ist ein untaugliches Instrument für die Steuerung von Compliance Risiken !

• Verfehlte Anreizsysteme sowohl für die Mitarbeitenden als auch für die Angehörigen der Compliance Funktion

• Verfehlte Abstrafung von sog. Compliance-Sündern durch Bonusreduktion, weil die Zuordnung von Erfolg und damit auch von Fehlern an eine einzelne Person oft sehr schwierig ist !�� Monetäre Anreize (positive wie negative) sind kein probates

Mittel zur Steuerung von Compliance Risiken (To be ethical for profit, is not ethical !).


Abgrenzung zur internen Revision Institut für Bankrecht

• Die interne Revision ist nicht Bestandteil des IKS, sondern prüft dieses (Rz 2 FINMA-RS 08/24; Ziff. 44 und 45 der Empfehlungen des Basler Ausschusses).

• Die interne Revision ist direkt dem Verwaltungsrat unterstellt und wird von diesem überwacht (Rz 16/60 FINMA-RS 08/24).Dadurch völlige Unabhängigkeit der internen Revision von der Geschäftsführung.

• Die interne Revision arbeitet unabhängig von den täglichen Geschäftsprozessen (Rz 63 FINMA-RS 08/24).

Unterschiede



• Jährliche Risikobeurteilung gemäss Rz 70/71 FINMA-RS 08/24)

• Uneingeschränktes Einsichts- und Akteneditionsrecht (Rz 64 FINMA-RS 08/24)

Aber:

"prüfen" ≠≠≠≠ "kontrollieren"

"prüfen" ==== erarbeiten von aufsichtsrechtlich relevanten Grund-lagen letztlich für die Aufsichtsbehörde (Art. 24 FINMAG, Art. 18 BankG, Art. 19 FINMA-PV)

Gemeinsamkeiten



Zusammenarbeit/Schnittstellen

• Die interne Revision verwendet das Risikoinventar der Compliance Funktion zur jährlichen Beurteilung der Risiken der Gesamtbank.

• Die Compliance Funktion kann zur Identifikation von Compliance Risiken und Feststellung von Verstössen gegen die Compliance auf Revisionsberichte abstellen.

• Mögliche Zusammenarbeit bei der Risikobeurteilung sowie bei Kontroll- und Überwachungstätigkeiten (Ziff. 45 der Empfehlungen des Basler Ausschusses).



Entwicklungstendenzen

• Aufgrund der zeitlichen und sachlichen Nähe zum Tagesge-schäft, der intensiven Begleitung sowie des dadurch entste-henden Informationsvorsprungs wächst die Bedeutung der Compliance Funktion für die Oberleitungs-, Kontroll- und Auf-sichtsfunktion des Verwaltungsrates einerseits und für die Prüftätigkeit der internen Revision andererseits.

• Doppelte Bedeutung der Compliance Funktion für Verwal-tungsrat und Geschäftsführung (Art. 716a Abs. 1 Ziff. 5 OR; Ziffn. 20 u. 24 Swiss Code of Best Practice for Corporate Governance).


Fazit Institut für Bankrecht

• Die Verantwortung für die Compliance liegt bei der Geschäfts-führung und den Mitarbeitenden .

• Die Compliance Funktion unterstützt die Geschäftsführung und die Mitarbeitenden.

• Die Compliance Funktion ist eine organisatorisch und sachlich integrierte Funktion "Recht" .

• Die Compliance Funktion und der Head of Compliance/General Counsel müssen unabhängig sein.

• Die Compliance Funktion nimmt die Interessen des Unter-nehmens (Bank) , nicht nur jene der Eigner wahr.

• Eine Compliance Funktion allein ist keine Garantin gegen künftiges Fehlverhalten von Managern und Banken !

Documents

General Counsel Zürcher Kantonalbank · • Beispiel für eine integrierte Funktion "Recht" (ZKB) ... der für sie geltenden Normen des Rechts und der Ethik. Diese Unterstüt-zung