Vom Risk Management zur Risk Governance Erwartungen der ... · Nur quantifizierbare Compliance-Risiken relevant (Rz 2 FINMA-RS 2008/21) Definition und Einsatz der Instrumente sowie

Referent: Rechtsanwalt Prof. Dr. Othmar Strasser

Titularprofessor für Privat- und Wirtschaftsrecht an der Universität St. Gallen (HSG)

General Counsel Zürcher Kantonalbank

Vom Risk Management zur Risk Governance – Erwartungen der FINMA im Bankenbereich

Dienstag, 22. November 2016 Convention Point, Zürich

Executive School of Management,

Technology and Law (ES-HSG)

St. Galler Tagung

zur Finanzmarktregulierung

Aktuelle Rechtsprobleme

Pressemitteilung der FINMA vom 1.11.2016

• Neues Rundschreiben 2017/1 'Corporate Governance – Banken',

Corporate Governance, Risikomanagement und interne Kontrolle bei

Banken, vom 22. September 2016 (in Kraft ab 1.7.2017)

• Revision des Rundschreibens 2008/21 'Operationelle Risiken – Banken'

vom 22. September 2016 (in Kraft ab 1.7.2017)

• Revision des Rundschreibens 2010/1 'Vergütungssysteme' vom

22. September 2016 (in Kraft ab 1.7.2017)



3

Neue Leitplanken der FINMA zur Corporate Governance für

das interne Kontrollsystem und das Risikomanagement

© Prof. Dr. Othmar Strasser | 22.11.2016

• Anpassung an die neuen Standards des Basler Ausschusses

«Guidelines Corporate governance principles for banks», July 2015

• Anpassung aufgrund jüngster Erkenntnisse aus der Finanzkrise

• Prinzipienbasierte Regulierung

• Neue Anforderungen an die Corporate Governance

Angemessenes und effektives Risikomanagement

Minimalanforderungen betreffend Bankverwaltungsräte und Ausgestaltung

des bankinternen Kontrollsystems

• Revision des Rundschreibens 2008/21 'Operationelle Risiken – Banken'

Neue Grundsätze zum Management von IT- und Cyberrisiken

Integration der Prinzipien aus dem FINMA-Positionspapier «Rechts- und

Reputationsrisiken im grenzüberschreitenden Finanzdienstleistungs-

verkehr»



4

Neues FINMA-RS 2017/1 'Corporate Governance – Banken'


• Hintergrund und Grundstruktur der neuen Risiko-Governance

• Schwerpunkt bei den Compliance-Risiken und der Compliance-

Funktion im Besonderen

• Kritische Würdigung



5

Gegenstand des Referats




6

Sündenfälle in der Finanzbranche


2007 Citibank, Filiale Zürich: Verurteilung der Chefin des Private Banking

wegen Betrugs und weiterer Delikte im Betrag von rund CHF 115 Mio.

2008 Bank Leumi Zürich/Ernst Imfeld, Deliktssumme weit über CHF 100 Mio.,

Tages-Anzeiger vom 2.7.2008

2008-10 Finanzkrise

2008-16 US-Steuerstreit

2011 Fall Adoboli/UBS London, Deliktsbetrag USD 2,3 Mrd. (Medienmitteilung

der FINMA vom 26.11.2012; NZZ vom 21.11.2012, Nr. 272, S. 23)

2012 Geldwäscherei (UBS / HSBC, USD 1,9 Mrd. Busse)

2012 ASE, Anlagebetrugsfall mit rund 500 geschädigten Anlegern im

Deliktsbetrag von ca. CHF 300 Mio. (NZZ vom 25.10.2012)

2012 Libor-Skandal: Einziehung des Gewinns in der Höhe von CHF 59 Mio.

bei der UBS durch die FINMA (Medienmitteilung der FINMA vom

19.12.2012; NZZ am Sonntag vom 10.2.2013, S. 31)



7

Sündenfälle in der Finanzbranche


2013 US-Hypotheken (Bank of America): USD 11 Mrd. Busse im Zusammen-

hang mit Fannie Mae; J.P. Morgan Chase/Bank of America/Wells Fargo:

USD 8,5 Mrd. Busse; Royal Bank of Scotland; Barclays; Deutsche Bank

Betrifft auch UBS und CS (NZZ vom 17.9.2016, S. 31)

2013 Devisenmanipulationen (international tätige Investmentbanken involviert)

2015 Die UBS im Visier der Weko wegen vermuteten Absprachen im

Edelmetallhandel (NZZ vom 29.9.2015, S. 25)

2015 Fall Petrobras

2015 Fifa

2016 24.5.2016: Medienmitteilung der FINMA:

«BSI verletzt Geldwäschereibestimmungen schwer»

2016 Panama Papers

2016 Schliessung der Niederlassung der Falcon Bank in Singapur und Be-

schränkung der Geschäftstätigkeit der Falcon Bank Schweiz AG wegen

Verwicklung in den 1MDB-Skandal, Busse gegen die UBS von 1,3 Mio.



8

Reaktionen der FINMA


Zitat von Mark Branson, Direktor der FINMA, anlässlich der Jahres-

medienkonferenz vom 17.6.2014

• «Die Unternehmen müssen rigoros kontrollieren, dass die Weisungen

konsequent befolgt werden.

• Die Compliance-Abteilung muss eine wichtige und durchsetzungsfähige

Kontrollfunktion sein, nicht eine interne Beratungsstelle.»

Frage: Erfasst diese «wichtige und durchsetzungsfähige Kontroll-

funktion» auch die Geschäftsleitung (Art. 716a Abs. 1 Ziff. 5 OR)?



9

Reaktionen der FINMA

© P

rof.

Dr.

Oth

ma

r S

tra

sse

r | 2

2.1

1.2

01

6

Mark Branson zum Thema «Corporate Governance / Compliance und

Kontrollfunktionen» (12. Aktienrechtstagung vom 18.3.2015)

Feststellungen zu den Devisenhandelsmanipulationen bei der UBS:

«Die UBS verfügte über keine angemessenen Kontrollinstrumente, um Verstösse

gegen Marktverhaltensregeln oder manipulatives Verhalten zu erkennen. Es

existierten auch keine ausreichenden, auf den Devisenhandel zugeschnittenen

internen Richtlinien. Die zuständigen Desk-Supervisor ignorierten ihre Über-

wachungsfunktionen. Die Compliance innerhalb des Devisenhandels war nicht

angemessen ausgestaltet. Ihr wurde durchwegs zu wenig Gewicht beigemessen,

sowohl bei internen Schulungen wie auch bei Mitarbeiterbeurteilungen. Die Mit-

arbeitenden waren daher weder hinreichend sensibilisiert noch bestanden Kon-

trollen, um die Compliance an den Handels-Desks sicherzustellen...

Die Compliance-Abteilung ist ein überaus wichtiger Teil der Risikokontrolle von

Finanzinstituten. In der Vergangenheit wurde die Compliance zu oft als

Beratungsstelle gesehen. Anstatt zu fragen, ob ein Geschäft getätigt werden

soll, stand häufig die Frage nach dem wie können wir dieses Geschäft machen

im Zentrum.»

Grundzüge der Risk Governance

• Umsetzung internationaler Standards

Guidelines 'Corporate governance principles for banks', Basel Committee

on Banking Supervision, July 2015

(verfügbar unter www.bis.org/bcbs/publ/d328.htm)

Principles for enhancing corporate governance, Basel Committee on

Banking Supervision, October 2010

Empfehlungen des Basler Ausschusses 'Compliance and the compliance

function in banks', April 2005

Compliance Charter des Basler Ausschusses vom 9.5.2005, revidiert am

8.1.2007

Implementation of the compliance principles, survey, Basel Committee on

Banking Supervision, August 2008



10

Antwort der FINMA durch neue Rundschreiben 2017/1

und 2008/21



• Nur Minimalanforderungen an die Corporate Governance und das Risk

Management

• Prinzipienbasierte Regulierung

Reduktion des Detaillierungsgrades

Streichung vieler (auch nützlicher) einzelner Bestimmungen

(z.B. Definition der Compliance-Risiken)



11

Antwort der FINMA durch neue Rundschreiben 2017/1 und

2008/21



• Beibehaltung des Proportionalitätsprinzips

Grösse, Komplexität, Struktur und Risikoprofil des Instituts als mass-

gebende Kriterien für die Ausgestaltung der Corporate Governance und

der internen Kontrolle (Rz 6 und 8 FINMA-RS 2017/1)

Institutspezifische Umsetzung der Vorgaben erforderlich

Nachteil: Viele offene Fragen

Überwiegend grosser Vorteil: Grosser Ermessensspielraum des einzelnen

Instituts bei der Umsetzung



12

Antwort der FINMA durch neue Rundschreiben 2017/1 und

2008/21




13

Compliance-Funktion als Element des

internen Kontrollsystems (IKS)

Internes Kontrollsystem (Rz 60 FINMA-RS 2017/1)

Ertragsorientierte Einheiten (Rz 61 FINMA-RS 2017/1)

Unabhängige Kontrollinstanzen (Rz. 62-68 FINMA-RS 2017/1)

Die ertragsorientierten

Geschäftseinheiten nehmen ihre

Kontrollfunktion im Rahmen des

Tagesgeschäfts durch die

Bewirtschaftung der Risiken,

insbesondere durch deren

direkte Überwachung,

Steuerung und Berichterstattung

wahr.

Risikokontrolle (Rz 69-76 FINMA-RS 2017/1)

Compliance-Funktion (Rz 77-81 FINMA-RS 2017/1)

Ev. weitere (Rz 62 FINMA-

RS 2017/1)

Überwachung der Risiken und der Einhaltung gesetzlicher,

regulatorischer und interner Vorschriften

• Risikoprofil

• Risikopositionen

• Risikolimiten

• Risikodaten

• Berichterstattung

• Jährliche Einschätzung des Compliance-

Risikos mit Tätigkeitsplan

• Jährliche Berichterstattung an das

Oberleitungsorgan

• Zeitgerechte Berichterstattung über

Veränderungen an die Geschäftsleitung

• Zeitgerechte Berichterstattung an das

Oberleitungsorgan und die Geschäfts-

leitung bei schweren Verletzungen der

Compliance

• Risikoüberwachungssysteme Bedeutung für die Compliance-Funktion?

• Beizugspflicht gemäss

Rz 73 FINMA-RS 2017/1 Bedeutung für die Compliance-Funktion?

• Überwachung der

Risikotoleranz Bedeutung für die Compliance-Funktion?


Bedeutung des Rahmenkonzepts für das institutsweite Risikomanagement,

insbesondere die Compliance-Funktion

• Ausarbeitung durch die Geschäftsleitung und Verabschiedung durch

das Oberleitungsorgan (Rz 52)

• Inhalt (Rz 53)

Risikopolitik

Risikotoleranz

Risikolimiten in allen wesentlichen Risikokategorien



14




Bedeutung des Rahmenkonzepts für das institutsweite Risikomanagement,

insbesondere die Compliance-Funktion

• Wesentliche Aspekte des Rahmenkonzeptes (Rz 54-59)

Einheitliche Kategorisierung in Anlehnung an die ERV

Definition der Compliance-Risiken?

Präzisierung möglicher Verluste aus wesentlichen Risikokategorien

Nur quantifizierbare Compliance-Risiken relevant (Rz 2 FINMA-RS 2008/21)

Definition und Einsatz der Instrumente sowie der organisatorischen

Strukturen zur Identifikation, Analyse, Bewertung, Bewirtschaftung und

Überwachung der wesentlichen Risikokategorien und der Berichterstattung

Inhärenz- versus Restrisikomethode (Inhärenzmethode für Compliance-

Risiken nicht praktikabel)

Überprüfung der Risikotoleranz

Festlegung der Risikotoleranz bei Compliance-Risiken?

Risikodaten (Aggregation und Berichterstattung)

Erforderliche Compliance-Daten gemäss Rz 132 FINMA-RS 2008/21



15



© P

rof.

Dr.

Oth

ma

r S

tra

sse

r | 2

2.1

1.2

01

6

• Verständnis der FINMA über die Funktion Compliance ganz generell

Unterstützungsfunktion?

(Überwiegend) Kontrollfunktion?

Managementfunktion

• Fehlende Definitionen

Compliance-Risiken

Compliance-Funktion

• Umschreibung und Abgrenzung der Aufgaben der verschiedenen

Kontrollinstanzen (vgl. Folie 13)

• Systematische Stellung der Compliance-Funktion im internen Kontroll-

system und Verhältnis zur Risikokontrolle

Bedeutung des Rahmenkonzeptes

Hierarchische und organisatorische Stellung



16

Offene Fragen in Bezug auf die Compliance-Funktion


• Bessere Verankerung der Unabhängigkeit der Compliance-Funktion

(Empfehlung des Basler Ausschusses betreffend 'Compliance and the

compliance function in banks' vom April 2005, Art. 716a Abs. 1 Ziff. 5 OR)

Regelung der Compliance-Funktion durch das Oberleitungsorgan

Wahl und Entlassung des General Counsels / Chief Compliance Officer durch

das Oberleitungsorgan

Eskalationsrecht an das und jederzeitiger Zugang zum Oberleitungsorgan

etc.

• Klarstellung der Verantwortlichkeit der Geschäftsleitung für die Norm-

einhaltung wie in Rz 99 des alten FINMA-RS 2008/24 (vgl. dazu Rz 48

FINMA-RS 2017/1)



17 © Prof. Dr. Othmar Strasser | 22.11.2016

Offene Fragen in Bezug auf die Compliance-Funktion

Rechtskonformität der Bank als Unternehmensziel besser wäre die

Bezeichnung: Funktion Recht



18

Modell einer umfassenden Compliance-Funktion


Sachlicher und geografischer Geschäftskreis

• Integrierte Funktion Recht

unter einheitlicher Leitung

(mit Rechtsexperten und

anderen Spezialisten)

• Unabhängigkeit nach innen

und nach aussen (arbeits-

rechtlich gegenüber der

Geschäftsleitung weisungs-

freie Berufsgruppen)

• Fachliche Spezialisierung

möglich und nötig

• Geografische und sachliche

Dezentralisation möglich

unter einheitlicher Leitung

(Reporting)

Definitionen Compliance und Compliance-Funktion gemäss §§ 2 und 3

Compliance-Reglement der Zürcher Kantonalbank



19

Modell einer umfassenden Compliance-Funktion


«Compliance ist einerseits die Übereinstimmung des Verhaltens und der

Handlungen der Zürcher Kantonalbank und der Mitarbeitenden mit den für sie

geltenden Normen des Rechts und der Ethik und andererseits die Gesamtheit

aller organisatorischen Massnahmen zur Verhinderung von Gesetzesver-

letzungen und Verstössen gegen Regeln und Normen der Ethik durch die

Zürcher Kantonalbank, deren Organe und deren Mitarbeitende.»

«Als unabhängige Funktion innerhalb der Zürcher Kantonalbank unterstützt

Compliance die Generaldirektion und die Mitarbeitenden bei der Einhaltung der

für sie geltenden Normen des Rechts und der Ethik. Diese Unterstützung

besteht in der Regel aus Identifikation, Beurteilung, Beratung, Überwachung und

Berichterstattung in Bezug auf jene Rechts-, Reputations- und Verlustrisiken, die

aus der Verletzung von Normen des Rechts und der Ethik resultieren

(Compliance Risiken).»



20

Compliance-Risiken


«The expression "compliance risk" is defined in this paper as the risk of

legal or regulatory sanctions, material financial loss, or loss to reputation a

bank may suffer as a result of its failure to comply with laws, regulations,

rules, related self-regulatory organisation standards, and codes of conduct

applicable to its banking activities (together, "compliance laws, rules and

standards").»

Definition der Compliance-Risiken gemäss Ziff. 3 der Empfehlungen des

Basler Ausschusses vom April 2005:

Hinweis: Die Definition in Rz 98 FINMA-RS 2008/24 basierte auf der

Empfehlung des Basler Ausschusses.



21

Compliance-Risiken


Was sind Compliance- bzw. Rechtsrisiken?

Vgl. auch § 3 Compliance-Reglement ZKB

Ursache

Folgen (Gemengelage)

Verhalten des

Menschen/Mitarbeitenden

• Aktives Tun

• Passives Unterlassen

• Vorsätzlich

(mit Wissen und Willen)

• Fahrlässig

(sorgfalts- bzw. pflichtwidrig)

Rechtsverletzung

inkl. Vertragsverletzung

Rechtliche Sanktionen

• Bussen

• Freiheitsstrafen

• Verlust der Lizenz bzw. der Bewilligung zum Betrieb einer

Bank

• Kündigung eines Vertrages als Folge eines Verfahrens gegen

die ZKB

• Verlust eines Patentes

• Verpflichtung zur Bezahlung von Schadenersatz

• Verlust vertraglicher Rechte und/oder Optionen

• Insolvenz/Konkurs/Berufsverbot

• etc.

Finanzielle Verluste

• Abschreibung von Forderungen

• Schadenersatz/Bussen

• Kosten für unternehmensinterne und -externe Untersuchungen

• Gerichts- und Verfahrenskosten/Anwaltskosten/Experten-

honorare

• Verlust von Kreditsicherheiten (Pfandrechte, Garantien etc.)

mit der Folge der ungenügenden Deckung von Forderungen

• etc.

Reputationsschäden* (weiterhin ausgeschlossen gemäss Definition Art. 89 ERV)

• Negative Berichterstattung in den Medien

• Verlust von bestehenden Kunden

• Verlust von Mitarbeitenden und erschwerte Rekrutierung

• Verlust von Lieferanten und anderen wichtigen Geschäfts-

partnern (mit gravierenden Folgen für die Aufrechterhaltung

des Geschäftsbetriebes)

• Reaktion von Anleihensgläubigern und Kanton

erschwerte Eigen- und Fremdmittelbeschaffung

• Ganz generell Vertrauensverlust auf verschiedenen Ebenen

mit negativen Folgen für geplante Vorhaben

• Negative Reaktion von Rating-Agenturen

• etc.

* Gemäss Art. 89 ERV sind Reputationsrisiken explizit von den operationellen

Risiken ausgeschlossen.

Operationelle Risiken

gemäss Rz 2 FINMA-RS

2008/21 vom 22.9.2016



22

Compliance-Risiken

© P

rof.

Dr.

Oth

ma

r S

tra

sse

r | 2

2.1

1.2

01

6

Frage: Ist mit diesen beiden Definitionen dem Erfordernis der Betriebstypizität wirklich Rechnung getragen

(vgl. Folie 18)?

Definition Basel

Definition FINMA

Regeln

Welche?

Regeln

Welche?

Ziff. 4:

«Compliance laws, rules and standards

generally cover matters such as observing

proper standards of market conduct, managing

conflicts of interest, treating customers fairly,

and ensuring the suitability of customer advice.

They typically include specific areas such as

the prevention of money laundering and

terrorist financing, and may extend to tax

laws... »

Rz 7 FINMA-RS 2017/1 sinngemäss

Gesetzliche, regulatorische und interne

Vorschriften sowie marktübliche Standards und

Standesregeln

Betriebstypizität als relevantes Merkmal für die Umschreibung der «Compliance-Regeln»

Nebeneinander von «Compliance-Risiken», «Rechtsrisiken» und

«Operationellen Risiken» in den Rundschreiben der FINMA

• Definition «Operationelle Risiken» gemäss Rz 2 FINMA-RS 2008/21

vom 22.9.2016

«Operationelle Risiken sind gemäss Art. 89 ERV definiert als die "Gefahr von

Verlusten, die in Folge der Unangemessenheit oder des Versagens von

internen Verfahren, Menschen oder Systemen oder in Folge von externen

Ereignissen eintreten." Die Definition umfasst sämtliche Rechts- bzw.

Compliance-Risiken, soweit sie einen direkten, finanziellen Verlust darstellen,

d.h. inklusive Bussen durch Aufsichtsbehörden und Vergleiche.»

Dass Compliance-Risiken mit messbaren finanziellen Verlusten gemäss Art. 89

ERV mit Eigenmitteln zu unterlegen sind, versteht sich eigentlich von selbst.

Aufgrund des expliziten Ausschlusses der Reputationsrisiken durch Art. 89 ERV

sind die Compliance-Risiken jedoch nicht eine blosse Teil- bzw. Untermenge der

operationellen Risiken.

Risikokontrolle (operationelle Risiken) und Compliance-Funktion (Compliance-

Risiken) sind gemäss FINMA-RS 2017/1 zwei verschiedene Kontrollinstanzen.



23

Compliance-Risiken


Nebeneinander von «Compliance-Risiken», «Rechtsrisiken» und

«Operationellen Risiken» in den Rundschreiben der FINMA

• Anhang 2 FINMA-RS 2008/21 kategorisiert eine Reihe von Ereignis-

typen, die Straftatbestände erfüllen (Diebstahl, interner Betrug,

Geldwäscherei, Veruntreuung, Steuerdelikte etc.). Die Lehre spricht in

diesem Zusammenhang von «Criminal Compliance».

• Die Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft

gemäss Rzn 136.2–136.5 FINMA-RS 2008/21 sind ebenfalls klassische

Compliance-Issues und daher Compliance-Risiken im materiellen

Sinne.



24

Compliance-Risiken


Echtes Nebeneinander von Compliance- und Operationellen Risiken



25

Compliance-Risiken


Mangelhafte Infrastruktur

(z.B. ungenügende

Maschine, fehlerhafte IT etc.)

Operationelles Risiko

Frage nach der Verantwortlichkeit

für die anstehende/unterlassene

Fehlerbehebung als Compliance-

Risiko



26

Compliance-Risiken

Verhaltensrisiken

Compliance-Risiken

nur Rechtsverletzungen

Operationelle Risiken • Expertenrisiken

• Ausführungsrisiken

(auch)

Rechtsverletzungen

Schwierige Abgrenzungsfragen in der Praxis




27

Compliance-Risiken

Schwierige Abgrenzungsfragen in der Praxis


Compliance-Regeln

(eher gesetzgeberische Erlasse)

• OR, ZGB, StGB, SchKG

• Aufsichtsrecht

• GwG, VSB

• Crossborder-Regeln

OpRisk-Regeln

(eher technische Regeln)

• Rechnungslegungsrecht

• Regeln des Kreditgeschäftes

• Regeln der kaufmännischen Anlageberatung

und Vermögensverwaltung

• Regeln der Baukunde

• Finanztechnische Regeln (z.B. Konzeption

eines strukturierten Produktes)

Abgrenzung zu den Prozessrisiken

• Compliance-Risiken sind Verhaltensrisiken.

• Prozessrisiken sind «Dispute Risks».

• Was sind nicht durchsetzbare Verträge?

Expertenrisiko (evtl. schlechte Rechtsberatung)

Dispute Risks

Mangelhafte Beratung bzw. schlechte Rechtsposition ≠ Rechtsverletzung



28

Compliance-Risiken


Bedeutung der definitorischen Klarheit

• Kategorisierung der Risiken gemäss Rz 55 FINMA-RS 2017/1

• Bedeutsam für die Umschreibung der Kontrollaufgabe der Compliance-

Funktion und der Risikokontrolle als unabhängige Kontrollinstanzen

gemäss Rz 62 FINMA-RS 2017/1 (vgl. Folie 13)

• Unterscheidung Rechtsrisiken einerseits und Compliance-Risiken

andererseits eigentlich obsolet

Einhaltung der Rechts durch die Bank als Ziel

Ausgangspunkt ist allemal das Recht.

Alle Aufgaben mit diesem Ziel unter einheitlicher Leitung

Schaffung einer Compliance- und Operational Risk Unit (vgl. dazu BIS

Compliance Charter vom 9.5.2005, revidiert am 8.1.2007) ist in bestimmten

Situationen denkbar, schafft aber neue Abgrenzungsprobleme.



29

Compliance-Risiken


Bedeutung der definitorischen Klarheit

• Beantwortung resp. Abgrenzungsfragen zur Risikokontrolle und zu den

operationellen Risiken. Vgl. dazu BIS Compliance Charter vom

9.5.2005, revidiert am 8.1.2007:

«The Compliance and Operational Risk Unit assists Management in identifying

and assessing potential compliance issues, guides and educates staff on

compliance laws, rules and standards, and performs a monitoring and

reporting role.»



30

Compliance-Risiken


Allgemeines



31

Compliance-Funktion als unabhängige Kontrollinstanz


• Kontrollaktivitäten haben im Risikomanagement einen bedeutenden

Platz (vgl. COSO-Würfel).

• Kontrollen sind im Risk Management notwendig, aber bei weitem nicht

die absolut bedeutendste Risikosteuerungsmassnahme (vgl. Folie 32)

• Klärung des Begriffs «Kontrolle» im Risk Management nötig

Sprachlich:

Kontrolle bedeutet Überwachung, Überprüfung, Aufsicht, aber auch

Steuerung (englisch: «Controlling»!).

Mögliche risikosteuernde Massnahmen



32


© P

rof.

Dr.

Oth

ma

r S

tra

sse

r | 2

2.1

1.2

01

6

Organisatorische

Massnahmen auf Stufe

Unternehmen und Konzern

Reglemente/

Weisungen

Definition von Geschäftsfeldern

und Anpassung der

Produktegestaltung

Umsetzung von Massnahmen

der internen Revision und der

externen Prüfgesellschaft

Lancierung von neuen

Produkten (Change

Management)

Ausbildung

IT-Lösungen

Anpassung von

Prozessen und Abläufen

Strategie/Entschei-

dungen der GL

Personalrekrutierung

und -überwachung

Überwachung und Kontrolle

von Geschäftsabläufen und

Transaktionen

Risikobegrenzung/

-vermeidung

* vgl. Folie 18

Aufgabenumschreibung der

Funktion Compliance bzw.

Recht *

Unterlegung von rechtlichen

Risiken mit Eigenmitteln

gemäss Art. 89 ff. ERV

Notwendigkeit einer institutspezifischen Kontrollordnung zur Umsetzung

von Rz 62 FINMA-RS 2017/1

• «Einhaltung gesetzlicher, regulatorischer und interner Vorschriften» ist

zu unbestimmt und zu allgemein und so direkt nicht umsetzbar.

• Inhalt und Umfang sind risikobasiert genau zu bezeichnen.

• Es ist genau zu definieren, wer, wen (auch die Geschäftsleitung?),

was und/oder woraufhin zu kontrollieren hat.

• Es ist klar zu definieren, was mit dem Kontrollergebnis zu geschehen

hat. Wer hat gestützt auf das Kontrollergebnis welche Handlungs-

pflichten?

Frage der Kompetenzen (Intervention durch Unterbindung einer

Transaktion, Abbruch einer Geschäftsbeziehung, Anordnung einer

Disziplinarstrafe, Kündigung des Arbeitsverhältnisses)



33



Notwendigkeit einer institutspezifischen Kontrollordnung zur Umsetzung

von Rz 62 FINMA-RS 2017/1

• Nicht nur ex post-, sondern vor allem ex ante-Kontrollen (Prävention)

Rechtsberatung im Rahmen von Konsultationspflichten

Pre-Deal-Verfahren

Clearance-Verfahren

Eskalationsrecht der Compliance-Funktion mit anschliessender

Konfliktentscheidung als wichtiges Element einer proaktiven Risk

Governance

• Zitat aus einer Verfügung der FINMA aus dem Jahre 2009 i.S. Sulzer:

«Die mehrfach zitierte Warnung von ... (Name des General Counsels) im Fall X entlastete

Compliance nicht davon, auch im Fall Z wieder zu intervenieren, nötigenfalls auch in Umgehung

der verantwortlichen Geschäftsleitungsmitglieder, die in diesem Fall offensichtlich andere

Interessen verfolgten.»



34



Hervorhebung der Aufgaben als unabhängige Kontrollinstanz kann

dysfunktional und kontraproduktiv sein

• Einhaltung gesetzlicher, regulatorischer und interner Vorschriften ist die

primäre Verantwortung der 1st Line of Defence und nicht alleinige Auf-

gabe der Kontrollinstanzen! Genaue Abgrenzung zwischen den

Kontrollinstanzen durch die Kontrollordnung nötig! (Lösungsansatz:

Enumeration kombiniert mit Generalklausel)

• Hervorhebung der Aufgaben als unabhängige Kontrollinstanz schafft

einen ineffizienten und (zu) teuren Kontrollapparat (recte: Moloch) für

ex post-Kontrollen. Scheinsicherheit

• Leaning back-Syndrom und Moral Hazard bei den ertragsorientierten

Geschäftseinheiten

• Verlagerung des strafrechtlichen Risikos auf Compliance Officer

(vgl. BGE 6B_901/2009 vom 3.11.2010 und 6B_907/2009 vom 3.11.2010)



35


© P

rof.

Dr.

Oth

ma

r S

tra

sse

r | 2

2.1

1.2

01

6

• Neue Risk Governance der FINMA ist zu minimalistisch ausgefallen.

• Forderung nach durchsetzungsfähiger Compliance (vgl. Folie 8) ruft

nach stärkeren institutionalisierten Garantien der Compliance-Funktion

(vgl. auch Art. 716a Abs. 1 Ziff. 5 OR).

• Die Hervorhebung bzw. Reduktion der Compliance-Funktion auf eine

Kontrollinstanz ist dysfunktional, zu teuer, ineffizient und letztlich auch

nicht effektiv.

• Die Empfehlungen des Basler Ausschusses 'Compliance and the

compliance function in banks' vom April 2005 sind nur unvollständig

umgesetzt.



36

Fazit


• Richtungsweisende Umschreibung der Compliance-Funktion im Urteil

des Bundesverwaltungsgerichts, II. Abteilung, vom 6.10.2015

(B-3625/2014, Erw. 6.3.1)

«Sodann ist das operationelle Führungsorgan für die Wahrnehmung und

Umsetzung der Compliance zuständig, wobei dem Verwaltungsrat gemäss

Aktienrecht eine oberste Verantwortung zukommt. Die Compliance unterscheidet

sich von herkömmlichen Kontroll- und Revisionsmitteln vor allem durch ihre

proaktive Ausrichtung. Sie umfasst einerseits die Rechtstreue der Bank bei

ihrer Geschäftstätigkeit, wozu das Befolgen der Selbstregulierung der Branche

gehört, anderseits die Selbstreflexion des eigenen Verhaltens unter Gesichts-

punkten von Ethik und Risiko.»

• Chance für die Banken

Ausschöpfung des grossen Ermessensspielraums

Wahrnehmbares Bekenntnis zur Rechtstreue der Bank notwendig



37

Fazit




38

Risikoorganisation der Zürcher Kantonalbank

© P

rof.

Dr.

Oth

ma

r S

tra

sse

r | 2

2.1

1.2

01

6

Quelle:

Geschäftsbericht der Zürcher Kantonalbank

zum Geschäftsjahr 2015, S. 104

Zahlreiche Publikationen und Referate zu diversen Themen sind auf der

MBL-Webseite der Universität St. Gallen abrufbar

Keyword Google: othmar strasser mbl



39

Weitere Literatur von Othmar Strasser


Documents

Vom Risk Management zur Risk Governance Erwartungen der ... · Nur quantifizierbare Compliance-Risiken relevant (Rz 2 FINMA-RS 2008/21) Definition und Einsatz der Instrumente sowie