Upload
vutruc
View
224
Download
0
Embed Size (px)
Citation preview
2© Prof. Dr. Othmar Strasser 4. März 2011
InhaltsübersichtInstitut für Bankrecht
• Zum traditionellen Verständnis von Compliance.................................................... 4-5
• Kernelemente des traditionellen Verständnisses von Compliance........................ 6
• Fragestellungen..................................................................................................... 7
• Rechtsgrundlagen für Compliance (Auswahl)........................................................ 8-10
• Antithese zum überholten, herkömmlichen Verständnis von Compliance............. 11
• Einige wichtige Definitionen und Unterscheidungen.............................................. 12-21
• Compliance als Management von Compliance Risiken......................................... 22
• Zur primären Verantwortung für das Management der Compliance Risiken......... 23-24
• Zur Unterstützungsfunktion der Compliance Funktion........................................... 25-26
• Compliance Funktion als integrierte Funktion "Recht"........................................... 27-29
• Gründe für integrierte Funktion "Recht"................................................................. 30-31
• Zu den einzelnen Aufgaben der integrierten Funktion "Recht".............................. 32-35
• Zum Erfordernis der Unabhängigkeit der Compliance Funktion............................ 36-39
Folien
3© Prof. Dr. Othmar Strasser 4. März 2011
InhaltsübersichtInstitut für Bankrecht
• Weitere Anforderungen an die integrierte Funktion "Recht".................................. 40
• Beispiel für eine integrierte Funktion "Recht" (ZKB).............................................. 41-42
• Beispiel für mögliche Einbindung der Compliance Funktion in die Risiko-organisation einer Bank (ZKB)............................................................................... 43
• Dysfunktionalitäten beim Management von Compliance Risiken.......................... 44-46
• Abgrenzung zur internen Revision......................................................................... 47-50
• Fazit....................................................................................................................... 51
Folien
4© Prof. Dr. Othmar Strasser 4. März 2011
Zum traditionellen Verständnis von ComplianceInstitut für Bankrecht
• Compliance = Kontrolle• Compliance = Überwachung• Compliance = Sicherstellung der Einhaltung von Gesetzen etc.• Compliance bezieht sich je nach Art, Grösse, Struktur und Ge-
schäftskreis einer Bank immer nur auf bestimmte (Rechts-)Gebiete:���� Geldwäscherei- und Terrorismusfinanzierungsbekämpfung���� Insider Trading���� Korruption���� Kartellverstösse���� Einhaltung ausländischen Rechts im Crossborder Business (inkl. Steuerrecht)���� Embargomassnahmen���� VSB���� Datenschutz���� Interessenkollisionen���� Eigengeschäfte von Mitarbeitern���� Dokumentation
Vgl. auch Ziff. 4 der Basler Empfehlungen "Compliance and the compliance function in banks"
5© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• Compliance ist die alleinige Verantwortlichkeit des Compliance Officers.
• Compliance muss unzulässige Geschäfte verhindern.
• Bei Rechtsverletzungen und Reputationsschäden ist Compliance verantwortlich.
• Compliance und Legal sind zwei völlig verschiedene Funktionen und demnach unterschiedlich zu unterstellen.
• Legal macht Rechtsberatung und Compliance schreibt Weisungen und identifiziert Risiken.
• etc.
Zum traditionellen Verständnis von Compliance
6© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• Compliance fokussiert auf ein bestimmtes Rechtsgebiet (gesetzliche Organisationspflichten), auf ein bestimmtes Geschäftsfeld oder einen bestimmten Problemkreis (mit besonders hohen Risiken für das Unternehmen).
• Compliance zielt auf (fokussierte) Rechtsdurchsetzung innerhalb des Unternehmens/Konzerns ab.
• Compliance ist eine "höhere Instanz" mit Entscheidungskompetenz und entsprechender straf-, zivil- und aufsichtsrechtlicher Verantwor-tung innerhalb des Unternehmens/Konzerns.
• Compliance ist innerhalb des Unternehmens/Konzerns willkommen für unbequeme Entscheidungen und ideales Sammelbecken für unbeliebte und unangenehme Aufgaben.
• Compliance ist der nötige Rettungsanker für Straf- und Haftungsbe-freiung oder -reduktion.
Kernelemente des traditionellen Verständnisses von Compliance
7© Prof. Dr. Othmar Strasser 4. März 2011
FragestellungenInstitut für Bankrecht
• Entspricht ein solches (traditionelles) Verständnis von Compliance der (jüngeren) Rechtsentwicklung ?
• Entspricht ein solches Verständnis einer zeitgemässen Unternehmensverfassung einer Bank ?
Oder anders gefragt:
• Welchen Anforderungen muss Compliance genügen, um künftig einen wirksameren Beitrag zur Verhinderung von Unternehmens- und eventuell Finanzkrisen zu leisten ?
8© Prof. Dr. Othmar Strasser 4. März 2011
Rechtsgrundlagen für Compliance (Auswahl)Institut für Bankrecht
• 1974: Art. 6 VStrR (Deliktverhinderungspflicht für Vorgesetzte)
• 1987/1991: US-Sentencing Guidelines des amerikanischen Kongresses
• 1988: Art. 161 StGB (Insider-Strafnorm)
• 1990: Art. 305bis und 305ter StGB (Geldwäscherei-Strafnorm)
• 1991: Art. 716a Abs. 1 Ziff. 5 OR
• 1993: Börsengesetz (Österreich) mit Compliance Code für den Wertpapierhandel
• 1994: Wertpapierhandelsgesetz (Deutschland)
• 1995: Börsengesetz Schweiz
9© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• 1996: BGE 122 IV 103 (Von Roll-Entscheid betreffend Ver-letzung von Organisationspflichten zur Verhinderung von Straftaten im Konzern)
• 1997: Geldwäschereigesetz (Schweiz)
• 1997: Art. 9 Abs. 2 Bankenverordnung betreffend Risiko-management der Banken
• 2002: Swiss Code of Best Practice for Corporate Governance
• 2003: Art. 102 StGB (Unternehmensstrafrecht)
• 2003: GwV EBK, heute integriert in GwV-FINMA vom 8.12.2010, in Kraft seit 1.1.2011
• 2005: Empfehlungen des Basler Ausschusses betreffend"Compliance and the compliance function in banks"
Rechtsgrundlagen für Compliance (Auswahl)
10© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• 2006: EBK-Rundschreiben "Überwachung und interne Kontrolle Banken", heute FINMA-RS 08/24 vom 20.11.2008
• 2007: Art. 29 lit. c StGB
• 2009: Urteil des BGH vom 17.7.2009 (Bestrafung des Chefs der Rechtsabteilung der Berliner Stadtreinigungsbetriebewegen Gehilfenschaft zum Betrug, begangen durch Unter-lassung)
• 2010: BaFin-Rundschreiben 4/2010 betreffend Mindestanforde-rungen an die Compliance Funktion vom 7.6.2010 (MaComp)
Rechtsgrundlagen für Compliance (Auswahl)
11© Prof. Dr. Othmar Strasser 4. März 2011
Antithese zum überholten, herkömmlichen Verständnis von Compliance
Institut für Bankrecht
• umfassende und
• eigenständige
Compliance ist eine
• Aufgabe des Managements von Risiken , finanzieller Verluste, rechtlicher Sanktionen und Reputations-schäden, die aus der Verletzung von rechtlichen Vorgaben (inkl. codifizierte Ethik) durch die Bank bzw. deren Organe und Mitarbeitende entstehen, die in der
• primären Verantwortung des Managements und aller Mit-arbeitenden liegt, welche durch eine
• unabhängige und
• integrierte
• Compliance Funktion unterstützt werden.
12© Prof. Dr. Othmar Strasser 4. März 2011
Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht
• Definition Compliance (§ 1 Compliance Reglement der Zürcher Kantonalbank vom 27.10.2005; Rz 97 FINMA-RS 08/24)
"Compliance ist einerseits die Übereinstimmung des Verhal-tens und der Handlungen der Bank und der Mitarbeitenden mit den für sie geltenden Normen des Rechts und der Ethik und andererseits die Gesamtheit aller organisatorischen Massnahmen zur Verhinderung von Gesetzesverletzungen und Verstössen gegen Regeln und Normen der Ethik durch die Bank, deren Organe und deren Mitarbeitende."
Compliance im umfassenden Sinne muss sich auf alle für eine Bank relevanten Normen beziehen, nicht nur auf einzelne Rechtsbereiche (vgl. vorn Folie 4).
(Kodifizierte) Ethik im Sinne der unternehmerischen Selbstverpflichtung (Integrity Compliance)
13© Prof. Dr. Othmar Strasser 4. März 2011
Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht
• Definition der Compliance Funktion (besser "Funktion Recht")(§ 2 Compliance Reglement der Zürcher Kantonalbank vom 27.10.2005; Rz 100-112 FINMA-RS 08/24)
" Als unabhängige Funktion innerhalb der Bank unterstützt Compliance die Geschäftsleitung und die Mitarbeitenden der Bank bei der Einhaltung der für sie geltenden Normen des Rechts und der Ethik. Diese Unterstüt-zung besteht in der Regel aus Identifikation, Beurteilung, Beratung, Überwachung und Berichterstattung in Bezug auf jene Rechts-, Reputa-tions- und Verlustrisiken, die aus der Verletzung von Normen des Rechts und der Ethik resultieren (Compliance Risiken)."
Compliance darf nicht mit Compliance Funktion gleichgesetzt werden !
Die Compliance Funktion ist eine eigenständige und von ertragsorien-tierten Geschäftseinheiten unabhängige Funktion, die neben der Risikokontrolle (Rz 113-125 FINMA-RS 08/24) und dem Risikomana-gement (Rz 126 FINMA-RS 08/24) besteht und separat geregelt ist.
14© Prof. Dr. Othmar Strasser 4. März 2011
Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht
• Definition der Compliance Risiken gemäss Ziff. 3 der Empfehlungen des Basler Ausschusses
" The expression "compliance risk" is defined in this paper as the risk of legal or regulatory sanctions, material financial loss, or loss to reputation a bank may suffer as a result of its failure to comply with laws, regulations, rules, related self-regulatory organisation standards, and codes of conduct applicable to its banking activities (together,"compliance laws, rules and standards")."
15© Prof. Dr. Othmar Strasser 4. März 2011
Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht
• Definition der Compliance Risiken gemäss Rz 98 FINMA-RS 08/24 Überwachung und interne Kontrolle Banken vom 20.11.2008
" Als Compliance-Risiko gilt das Risiko von Verstössengegen Vorschriften, Standards und Standesregeln und entsprechenden rechtlichen und regulatorischen Sanktionen, finanziellen Verlusten oder Reputationsschäden."
Beide Definitionen erwähnen die Verletzung von ver-traglichen Bestimmungen nicht !
16© Prof. Dr. Othmar Strasser 4. März 2011
Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht
Definition der Compliance Risiken
Ursache
Folgen(Gemengelage)
Verhalten des Menschen/Mitarbeitenden
• Aktives Tun• Passives Unterlassen• Vorsätzlich
(mit Wissen und Willen)• Fahrlässig
(sorgfalts- bzw. pflichtwidrig)
Rechtsverletzunginkl. Vertragsverletzung
Rechtliche Sanktionen
• Bussen• Freiheitsstrafen• Kündigungen• Lizenzverlust• Bewilligungsentzug• etc.
Finanzielle Verluste
• Abschreibung von Forderungen• Schadenersatz• Verlust von Kreditsicherheiten• etc.
Hinweis: Management bzw. Steuerung von Compliance Risiken als Verhaltensrisiken muss demzufolge beim Verhalten bzw. Verhindern von Rechtsverletzungen ansetzen !
Reputationsschäden
• Keine neuen Kunden• Verlust von bestehenden Kunden• Verlust von Marktanteilen• etc.
17© Prof. Dr. Othmar Strasser 4. März 2011
Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht
Unterscheidung Compliance Risiken und Rechtsrisiken
• Rechtliche Risiken haben wie die Compliance Risiken ihre Ursache in einer Rechtsverletzung (inkl. Vertragsver-letzung), die zu rechtlichen Sanktionen führt (Schadener-satz, Freiheitsstrafen, Bussen etc.).
• Von den Compliance- und Rechtsrisiken als Verhaltens -risiken sind die Prozess- und Verfahrensrisiken einer Bank zu unterscheiden.
18© Prof. Dr. Othmar Strasser 4. März 2011
Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht
Unterscheidung Compliance Risiken und operationelle Risiken
Risiko von Verlusten aus Ungenügen oder Versagen interner Verfahren, von Menschen und von Systemen sowie aus exter-nen Ereignissen (nach Basel II sind rechtliche Risiken aus-drücklich eingeschlossen und strategische und Reputations-risiken ausgenommen) (vgl. auch Art. 77 der Eigenmittelver-ordnung vom 29.9.2006 [ERV; SR 952.03] und Rz 2 FINMA-RS 08/21 Operationelle Risiken Banken vom 20.11.2008, wonach die Definition sämtliche rechtliche Risiken umfasst, inkl. Bussen durch Aufsichtsbehörden und Vergleiche).
• Operationelle Risiken (nach Basel II)
19© Prof. Dr. Othmar Strasser 4. März 2011
Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht
Unterscheidung Compliance Risiken und operationelle Risiken
Rechtliche Risiken bzw. Rechtsverletzungen, die zu anderen (finanziell nicht erfassbaren) Rechtsnachteilen und zu Reputationsschäden führen (Bewilligungsentzug, Entfernung von Gewährsträgern, Kündigungen durch Kunden, Gefängnisstrafen, Ausschluss aus Vertragsgemeinschaf-ten etc.), sind offensichtlich nicht erfasst.
Die inkonsistenten Definitionen des Regulators der operationellen Risiken einerseits und der Compliance Risiken andererseits, welche die EBK 2006 fast gleichzeitig erlassen hatte, führen in der Praxis zu schwierigen Abgrenzungsfragen.
• Mangel dieser Definition
Ursache für die unklare Definition des Regulators war wohl dessen For-derung an die Banken, für operationelle Risiken entsprechend Risikoka-pital zu allozieren (zur Dysfunktionalität eines Anreizsystems durch Allo-kation von Risikokapital zur Steuerung von Compliance Risiken bei gleich-zeitiger Vorgabe eines [zu ambitiösen] ROE vgl. hinten Folie 46).
20© Prof. Dr. Othmar Strasser 4. März 2011
Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht
Abgrenzung der Compliance Risiken von anderen Risiko arten
• Nach Rz 97 FINMA-RS 08/24 gilt als Compliance auch das Ein-halten von internen Vorschriften. Bankinterne Vorschriften über die Bewirtschaftung von Markt-, Kredit- oder etwa Liquiditäts-risiken beispielsweise sind vom Anwendungsbereich der Compliance sinnvollerweise auszunehmen, ansonsten der Begriff Compliance konturlos wird.
• Das gleiche Abgrenzungsproblem stellt sich übrigens auch bei den operationellen Risiken.
21© Prof. Dr. Othmar Strasser 4. März 2011
Einige wichtige Definitionen und UnterscheidungenInstitut für Bankrecht
Abgrenzung der Compliance Risiken von anderen Risiko arten
Conclusio: Anderslautende Vorschriften des Gesetzgebers und/oder des Regu-lators (FINMA) vorbehalten, ist für die Zuordnung von Verstössen gegen Regeln für die verschiedensten Berufsbilder innerhalb einer Bank jeweils auf die Kernaufgabe der in Frage stehenden Berufsgat-tung abzustellen und das entsprechende Risiko demgemäss den Markt-, Kredit- oder Liquiditätsrisiken oder subsidiär den operationel-len Risiken zuzuweisen (Stichwort: berufliches Unvermögen !).
Für die Abgrenzung der sog. übrigen Risiken von den operationellen Risiken einerseits sowie von den Compliance Risiken andererseits sind inhaltliche Kriterien massgebend !
Für die Abgrenzung der operationellen von den Compliance Risiken besteht auf Stufe Unternehmen bzw. Bank durchaus ein Spielraum.
Kriterium der Wirksamkeit der Steuerung für die Abgrenzung Op-Risk – Compliance Risk.
22© Prof. Dr. Othmar Strasser 4. März 2011
Compliance als Management von Compliance Risiken
Institut für Bankrecht
• Art. 9 Abs. 2 BankV
• Prinzip 7 und Ziff. 18, 37-41 der Empfehlungen des Basler Ausschusses
• Rz 109, 111, 112 FINMA-RS 08/24
• Vgl. auch die Definitionen für Compliance Risiken in Ziff. 3 der Empfehlungen des Basler Ausschusses und in Rz 98 FINMA-RS 08/24 (Folien 14 und 15)
Folgende Regeln definieren Compliance als Aufgabe des Risk Managements (von Compliance Risiken):
23© Prof. Dr. Othmar Strasser 4. März 2011
Zur primären Verantwortung für das Management der Compliance Risiken
Institut für Bankrecht
• Prinzip 2 der Empfehlungen des Basler Ausschusses bestimmt Folgendes:
"The bank's senior management is responsible for the effective management of the bank's compliance risk."
• Prinzip 7 der Empfehlungen des Basler Ausschusses lautet wie folgt:
"The responsibilities of the bank's compliance function should be to assist senior management in managing effectively the compliance risks faced by the bank. ..."
24© Prof. Dr. Othmar Strasser 4. März 2011
Zur primären Verantwortung für das Management der Compliance Risiken
Institut für Bankrecht
• Rz 99 FINMA-RS 08/24:
"Die Geschäftsführung trägt die Verantwortung für die Umsetzung... zur Gewährleistung der Compliance im Institut. Sie trifft die entsprechenden betrieblichen Massnahmen und Vorkehrungen, sorgt insbesondere für ein zweckmässiges Weisungswesen und ordnet die stufengerechte Einbindung aller Mitarbeiter in die Aufrechterhaltung der Compliance an. ..."
• Rz 108 FINMA-RS 08/24:
"Die Aufgaben der Compliance-Funktion umfassen in der Regel:
• Unterstützung und Beratung der Geschäftsführung sowie der Mitarbeiter bei der Durchsetzung und Überwachung der Compliance;..."
25© Prof. Dr. Othmar Strasser 4. März 2011
Zur Unterstützungsfunktion der Compliance Funktion
Institut für Bankrecht
Mit der Unterstützungsfunktion der Compliance Funktion ist nicht vereinbar eine
• Anordnung skompetenz im operativen Geschäft���� Die Compliance Funktion hat nur Empfehlungskompetenz
(also keine Befugnisse, "um den Tätigkeiten der Risiken ein-gehenden Akteure/Händler Einhalt zu gebieten", vgl. dazu EU-Grünbuch, S. 8). Für ein Beispiel einer möglichen Aus-nahme von dieser Regel vgl. Folie 27.
• originäre Überwachungs- und Kontrollpflicht���� Überwachungsaufgaben sind der Compliance Funktion
ausdrücklich zuzuweisen bzw. von der Geschäftsführung zu delegieren.
Cave: Strafrechtliche Garantenstellung
Cave: Art. 29 lit. c StGB, Art. 6 Abs. 2 VStrR
26© Prof. Dr. Othmar Strasser 4. März 2011
Zur Unterstützungsfunktion der Compliance Funktion
Institut für Bankrecht
Mit der Unterstützungsfunktion der Compliance Funktion ist nicht vereinbar eine
• originäre Untersuchungspflicht (vgl. Rz 111 FINMA-RS 08/24)
���� Feststellung und Untersuchung von schweren Verstössen gegen die Compliance sind Aufgaben der Compliance Funk-tion, jedoch nur nach Rücksprache mit dem zuständigen Ge-schäftsführungsmitglied (in aller Regel CEO).
���� Recht zur Eskalation an den Verwaltungsrat als Korrektiv (vgl. dazu hinten Folie 39).
27© Prof. Dr. Othmar Strasser 4. März 2011
Compliance Funktion als integrierte Funktion "Recht"
Institut für Bankrecht
Übersicht über mögliche Aufgaben der solchermassen verstandenen Funktion
Information über die massgeblichen rechtlichen Rahmenbedingungen für die Bank
Rechtsberatung im Einzelfall (Identifikation und Beurteilung von Risiken im Einzelfall sowie Rechtsgestaltung)
Prozessführung (Litigation)
Schulung von Mitarbeitenden
Umsetzung von Erlassen (Redaktion von Weisungen)
Generelle Einschätzung der Compliance Risiken (Identifikation, Beurteilung, Vorschlag und Beurteilung von Massnahmen � Risikoprofil mit risikoorientiertem Tätigkeitsplan)
Berichterstattung
Überwachung von Transaktionen und Geschäften
Kontrollen
Ermittlungen/Abklärungen
Wahrnehmung von Management-Aufgaben im Ausnahmefall (vgl. vorn Folien 25 und 44; z.B. Meldung gemäss Art. 10 GwG)
Einflussnahme auf die Gesetzgebung/regulatory affairs
28© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• Aufteilung dieser Aufgaben auf eine Rechtsabteilung und eine Compliance Abteilung möglich mit klarer Regelung der Verant-wortlichkeiten (vgl. Ziff. 34 der Empfehlungen des Basler Aus-schusses) � Zusammenführung unter einheitlicher Leitung erforderlich (Beispiele: UBS, CS).
• Dezentrale Compliance Funktionen innerhalb des selben Unter-nehmens bzw. im Konzern (� integrierte Berichterstattung, solid versus dotted line; Organisationspflicht für Compliance im Kon-zern bei der Konzernspitze gemäss BGE 122 IV 103; Einschrei-ten der Konzernspitze bei der Tochtergesellschaft gestützt auf strafrechtliche Garantenstellung).
Compliance Funktion als integrierte Funktion "Recht"
Ausgangspunkt für sämtliche Aufgaben ist das Recht
29© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• Aufteilung von Aufgaben der Compliance Funktion auf die Funktion Compliance einerseits und das Management anderer-seits möglich für Aufgaben wie z.B.: ���� Ausbildung���� Dokumentation
���� Fehlende Rechtskenntnisse���� Fehlende Unabhängigkeit mangels Integration in die
Compliance Funktion
Compliance Funktion als integrierte Funktion "Recht"
Ausgangspunkt für sämtliche Aufgaben ist das Recht
• Schranken dieser "Rückdelegation an das Management":
30© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• Komplexität der Fragestellungen
• Erfordernis der Koordination zwischen den einzelnen Rechtsdisziplinen
• Effizienz und Effektivität
• Tempo/Pace
• Kein Lawyer's shopping
• Aber one stop shopping möglich
Gründe für integrierte Funktion "Recht"
31© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
Gründe für integrierte Funktion "Recht"
Beispiel für eine komplexe Fragestellung: Crossborder Private Banking
Rechts-gebiete
Länder
Themen/Problem-bereiche
Marktzugang/Akquisition
Kundenbetreuung/-segmentierung
Produkte
Vertrieb(onshore / offshore / eVV / Vermittler)
Konzernführung
Gesetzesmonitoring/Update
Ertrag/Volumen/Kosten
32© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht Zu den einzelnen Aufgabender integrierten Funktion "Recht"
• Rechtsberatung (als Schwerpunktaufgabe)
���� Rechtsberatungskonzept zur Sicherstellung des erteilten Rechtsrates (Predeal Consultation; Konsultationspflicht; Rechtsberatung mit Information des jeweiligen Vorgesetz-ten zur Überwachung)
• Generelle Einschätzung der Compliance Risiken ohne Input aus der Rechtsberatung im Einzelfall unmöglich (eine reine "Kontroll-Compliance" ist dazu nicht in der Lage !)
• Kontroll- und Überwachungsaufgaben aufgrund konkreter und klarer Zuweisung
Cave: Strafrechtliche Garantenstellung !
33© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht Zu den einzelnen Aufgabender integrierten Funktion "Recht"
• Produktezulassung durch Rechtsberatung im Einzelfall im Rahmen einer Predeal Consultation (unter Einbezug des gan-zen Risk Managements)
���� Die Compliance Funktion hat nach Massgabe des Rechts die Unternehmensinteressen der Bank zu wahren.
���� Kundeninteressen und öffentliche Interessen können sich mit den Unternehmensinteressen überschneiden (kein Schutz von privaten Drittinteressen ausserhalb solch weit-gefasster Unternehmensinteressen durch den Compliance Officer !).
• Compliance Officer als Konsumentenschützer ?
34© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht Zu den einzelnen Aufgabender integrierten Funktion "Recht"
Strategie
Politik
Ver-sprechen
Integrity Compliance als anerkanntes Ziel der Produ kte-entwicklung in einer Bank (Prudential Corporate Gov ernance)
Quelle: Wolfgang Jenewein, Unterlagen Führungs-Workshop ZKB vom 25./26.10.2010
"Unser Produkt ist gut"
Produkt-Orientierung
1980er Jahre
Null-Fehler-Strategie Neuproduktentwicklung
Top Content
Quality ManagementAkkreditierungen
Kunden-Orientierung
"Wir schaffen Abhilfe"
1990er Jahre
Customer RelationManagement
KundenwertKundenbindung
Kundensegmente
Marken-Orientierung
"Wir sind wie Du"
Ende 1990er
MarkenpersönlichkeitMarkenidentität
EmotionalisierungDifferenzierung
Präsenz
SozialeOrientierung
"Du gehörst zu uns"
2000-2005
Community Management
MeinungsführungSoziale Identität
PeergroupsFanclubs
EthischeOrientierung
"Wir tun das Richtige"
Responsible Leadership
Unternehmensethik
NachhaltigkeitAllgemeinwohl
Werteorientierung
ab ca. 2005
35© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht Zu den einzelnen Aufgabender integrierten Funktion "Recht"
• Risk Assessment und Risk Management durch die Compliance Funktion als Kommunikationsaufgabe.
• Risk Assessment als Expertengutachten der Compliance Funk-tion mit anschliessender Vernehmlassung bei den adressierten Organisationseinheiten (Topdown-Ansatz mit Dialog).
• Risikoorientierter Tätigkeitsplan gemäss Rz 110 FINMA-RS 08/24 mit Fokus auf Massnahmen des Managements, das von der Compliance Funktion unterstützt wird.
• Massnahmen-Tracking durch die Compliance Funktion(zu unterscheiden von der Überwachung einzelner Geschäfts-vorfälle und -transaktionen).
36© Prof. Dr. Othmar Strasser 4. März 2011
Zum Erfordernis derUnabhängigkeit der Compliance Funktion
Institut für Bankrecht
• Erfordernis der Grundlage in der Unternehmensverfassung (Verankerung in den Statuten und/oder im Organisationsreglement und zusätzlich separater Ausführungserlass des Verwaltungsrates)
• Keine Interessenkollisionen (� Auswirkung auf das Salärsystem)
• Ausstattung mit genügend Personal und ausreichenden finanziel-len Mitteln (inkl. IT-Systeme für das Risk Management)
• Unabhängigkeit von einer ertragsorientierten Geschäftseinheit
• Direkte Berichterstattungslinie an den Verwaltungsrat und parallel an die Geschäftsführung (kein Informationsfilter !)
• Uneingeschränktes Auskunfts-, Zugangs- und Einsichtsrecht
• Institutionelle und organisatorische Sicherstellung der Unabhängig-keit des Head of Compliance/General Counsels im Besonderen
37© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• Wahl und Entlassung durch ein der Geschäftsführung übergeord-netes Organ (auch wenn Head of Compliance/General Counsel nicht Mitglied der Geschäftsführung ist) � Unabhängigkeit von der Geschäftsführung
• Evtl. Mitglied der Geschäftsführung
• Wenn nicht Mitglied der Geschäftsführung: Unterstellung unter ein Geschäftsführungsmitglied ohne Ergebnis- und Ertragsver-antwortung (CEO, CRO, CFO)
Institutionelle und organisatorische Sicherstellung der Unabhängigkeit des General Counsels
Zum Erfordernis derUnabhängigkeit der Compliance Funktion
38© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• Jederzeitiger direkter Zugang zum Verwaltungsrat/Verwaltungs-ratspräsidenten bzw. Audit Committee oder zum CEO, sofern diesem nicht direkt unterstellt, nötigenfalls
• unter Umgehung des Dienstweges (Interventionsrecht/evtl. Inter-ventionspflicht)
• Fachliche Unabhängigkeit (Anwalt als fachlich weisungsfreie Berufsgattung nach Schweizer Arbeitsrecht)
Zum Erfordernis derUnabhängigkeit der Compliance Funktion
Institutionelle und organisatorische Sicherstellung der Unabhängigkeit des General Counsels
39© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• Eskalationsrecht an den CEO und Verwaltungsrat
• Mitwirkung und Teilnahme an Sitzungen des Verwaltungsrates, der Geschäftsführung sowie spezieller Gremien für das Manage-ment von Compliance Risiken (z.B. Conflict Committee oder Risikoausschuss), jeweils mit beratender Stimme
Cave: Art. 29 lit. c StGBArt. 6 Abs. 2 VStrR
Zum Erfordernis derUnabhängigkeit der Compliance Funktion
Institutionelle und organisatorische Sicherstellung der Unabhängigkeit des General Counsels
40© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
• Notwendigkeit eines entsprechenden Führungsinformationssystems zur Sicherstellung der Vernetzung
• Berufsbilder einer integrierten Funktion Recht
Weitere Anforderungenan die integrierte Funktion "Recht"
���� Anwälte/Anwältinnen, Juristen/Juristinnen als Generalisten und Spezialisten
���� Betriebswirte/innen
���� Informatiker/innen
���� Mathematiker/innen
���� Banquiers
���� Professionals für Dokumentation und Informationsmanagement
���� Paralegals für weitere Hilfsfunktionen
41© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
Beispiel für eine integrierte Funktion "Recht" (ZKB)
Organisation der Zürcher Kantonalbank per 31.12.200 9
42© Prof. Dr. Othmar Strasser 4. März 2011
Institut für Bankrecht
Beispiel für eine integrierte Funktion "Recht" (ZKB)
CEO
General Counsel
Grosskredite(Multi-nationals)
AGB-Projekte
KonzernGovernance
Risikomgt un-abhängig vom
Einzelfall
Dienste(Sekretariat)
RegionenKreditfach-
führung
Private BankingFondsgeschäft
ArbeitsrechtDatenschutz
GeldwäschereiEmbargo-
massnahmenKorruption
Steuern(Corporate Tax)
InvestmentBanking
• Asset Mgt• Handel• Kapitalmarkt
Back-OfficeIT
Amts- und Rechtshilfe
VollstreckungBasisprodukte
Wettbewerbsrecht
Personalbestand per 31.01.2011:
42 Juristinnen/Juristen1 Betriebswirtin8 Studierende der Rechtswissenschaft6 Para-Legal
(kaufmännische Grundausbildung)7 Assistentinnen/Sekretariat 64 Total
43© Prof. Dr. Othmar Strasser 4. März 2011
Beispiel für mögliche Einbindung der Compliance Funktion in die Risikoorganisation einer Bank (ZKB)
Institut für Bankrecht
Linienorganisation Risikomanagement Ausschüsse und Komitees
1. LoDRisikobewirtschafter
Risiko- und Compliance-Funktion
Compliance-LinieCRO-Linie
2. LoD
3. LoD
Präventives Risiko-management
Risikokontrolle
Generaldirektion
Bankrat und Bankpräsidium
CEO
Risikomanagement-Ausschuss
Prüfungsausschuss
Konfliktausschuss 1)
CRO CROGD 1. LoD
CEO CRO
CEOCFO
General Counsel General Counsel
Risikoausschuss 2)
Vertreter
CRO-Linie
Komitees
Vertreter
CRO-LinieCompliance-Linie
VertreterRisikobewirtschafter
VertreterRisikobewirtschafter
General Counsel
Risikoinventar undRisikosteuerungs-
tools
PräventivesManagement vonCompliance-Risiken
im Einzelfall
1) Eskalationsorgan ist das Bankpräsidium 2) Eskalationsorgan ist die Generaldirektion
Risikomgt losgelöst vom
Einzelfall
44© Prof. Dr. Othmar Strasser 4. März 2011
Dysfunktionalitäten beim Management vonCompliance Risiken
Institut für Bankrecht
• Moral Hazard in der 1. Line of Defence bei Bestehen eines Predeal Consultation-Verfahrens
• Leaning back Syndrom bei der 1. Line of Defence bei zuneh-mender Zuweisung von Entscheidungsaufgaben (sog. Clea-rence) und Überwachungsaufgaben an die Compliance Funktion
• Umkehrung der Hierarchie und Verschiebung der eigentlichen Verantwortlichkeiten durch Begründung von Interventions-pflichten zulasten des General Counsels/Head of Compliance (vgl. Urteil BGH vom 17.7.2009 betreffend Bestrafung des Chefs einer Rechtsabteilung) oder durch Zuweisung von An-ordnungsbefugnissen, "um den Tätigkeiten der Risiken einge-henden Akteure/Händler Einhalt zu gebieten" (EU-Grünbuch, S. 8)
45© Prof. Dr. Othmar Strasser 4. März 2011
Dysfunktionalitäten beim Management vonCompliance Risiken
Institut für Bankrecht
Praxis der FINMA im Zusammenhang mit einer Untersuchung betreffend Verletzung der Meldepflicht nach Art. 20 BEHG:
"Die mehrfach zitierte Warnung von ... (Name des General Counsels)im Fall X entlastete Compliance nicht davon, auch im Fall Z wieder zu intervenieren, nötigenfalls auch in Umgehung der verantwortlichen Geschäftsleitungsmitglieder, die in diesem Fall offensichtlich andere Interessen verfolgten."
• "Informationsfilter" in der Berichterstattung der Compliance Funktion an die Geschäftsführung und an den Verwaltungsrat zufolge hoher Komplexität der Materie � Verständnis der Be-schreibung des Risikoprofils und der dazu vorgeschlagenen Massnahmen ist für die Genehmigung des risikoorientierten Tätigkeitsplans nach Rz 109 FINMA-RS 08/24 erforderlich !
46© Prof. Dr. Othmar Strasser 4. März 2011
Dysfunktionalitäten beim Management vonCompliance Risiken
Institut für Bankrecht
• What you can't measure - you can't manage !���� Bei gleichbleibendem (ambitiösem) ROE und gleichbleiben-
dem Ertrag Verbesserung der Performance nur möglich über Reduktion des Risikokapitals
���� Zusätzliche Risikokapitalallokation für Compliance Risiken ist ein untaugliches Instrument für die Steuerung von Compliance Risiken !
• Verfehlte Anreizsysteme sowohl für die Mitarbeitenden als auch für die Angehörigen der Compliance Funktion
• Verfehlte Abstrafung von sog. Compliance-Sündern durch Bonusreduktion, weil die Zuordnung von Erfolg und damit auch von Fehlern an eine einzelne Person oft sehr schwierig ist !���� Monetäre Anreize (positive wie negative) sind kein probates
Mittel zur Steuerung von Compliance Risiken (To be ethical for profit, is not ethical !).
47© Prof. Dr. Othmar Strasser 4. März 2011
Abgrenzung zur internen Revision Institut für Bankrecht
• Die interne Revision ist nicht Bestandteil des IKS, sondern prüft dieses (Rz 2 FINMA-RS 08/24; Ziff. 44 und 45 der Empfehlungen des Basler Ausschusses).
• Die interne Revision ist direkt dem Verwaltungsrat unterstellt und wird von diesem überwacht (Rz 16/60 FINMA-RS 08/24).Dadurch völlige Unabhängigkeit der internen Revision von der Geschäftsführung.
• Die interne Revision arbeitet unabhängig von den täglichen Geschäftsprozessen (Rz 63 FINMA-RS 08/24).
Unterschiede
48© Prof. Dr. Othmar Strasser 4. März 2011
Abgrenzung zur internen Revision Institut für Bankrecht
• Jährliche Risikobeurteilung gemäss Rz 70/71 FINMA-RS 08/24)
• Uneingeschränktes Einsichts- und Akteneditionsrecht (Rz 64 FINMA-RS 08/24)
Aber:
"prüfen" ≠≠≠≠ "kontrollieren"
"prüfen" ==== erarbeiten von aufsichtsrechtlich relevanten Grund-lagen letztlich für die Aufsichtsbehörde (Art. 24 FINMAG, Art. 18 BankG, Art. 19 FINMA-PV)
Gemeinsamkeiten
49© Prof. Dr. Othmar Strasser 4. März 2011
Abgrenzung zur internen Revision Institut für Bankrecht
Zusammenarbeit/Schnittstellen
• Die interne Revision verwendet das Risikoinventar der Compliance Funktion zur jährlichen Beurteilung der Risiken der Gesamtbank.
• Die Compliance Funktion kann zur Identifikation von Compliance Risiken und Feststellung von Verstössen gegen die Compliance auf Revisionsberichte abstellen.
• Mögliche Zusammenarbeit bei der Risikobeurteilung sowie bei Kontroll- und Überwachungstätigkeiten (Ziff. 45 der Empfehlungen des Basler Ausschusses).
50© Prof. Dr. Othmar Strasser 4. März 2011
Abgrenzung zur internen Revision Institut für Bankrecht
Entwicklungstendenzen
• Aufgrund der zeitlichen und sachlichen Nähe zum Tagesge-schäft, der intensiven Begleitung sowie des dadurch entste-henden Informationsvorsprungs wächst die Bedeutung der Compliance Funktion für die Oberleitungs-, Kontroll- und Auf-sichtsfunktion des Verwaltungsrates einerseits und für die Prüftätigkeit der internen Revision andererseits.
• Doppelte Bedeutung der Compliance Funktion für Verwal-tungsrat und Geschäftsführung (Art. 716a Abs. 1 Ziff. 5 OR; Ziffn. 20 u. 24 Swiss Code of Best Practice for Corporate Governance).
51© Prof. Dr. Othmar Strasser 4. März 2011
Fazit Institut für Bankrecht
• Die Verantwortung für die Compliance liegt bei der Geschäfts-führung und den Mitarbeitenden .
• Die Compliance Funktion unterstützt die Geschäftsführung und die Mitarbeitenden.
• Die Compliance Funktion ist eine organisatorisch und sachlich integrierte Funktion "Recht" .
• Die Compliance Funktion und der Head of Compliance/General Counsel müssen unabhängig sein.
• Die Compliance Funktion nimmt die Interessen des Unter-nehmens (Bank) , nicht nur jene der Eigner wahr.
• Eine Compliance Funktion allein ist keine Garantin gegen künftiges Fehlverhalten von Managern und Banken !