BaFin - Navigation & Service

Erscheinung:15.02.2018 Internes Kontrollsystem: Marktuntersuchung der BaFin bei Banken und Sparkassen

2017 hat die BaFin eine Marktuntersuchung über die bei Banken und Sparkassen bestehenden Strukturen und Systeme des sogenannten Internen Kontrollsystems (IKS) durchgeführt. Derartige Kontrollsysteme sollen aufsichtsrechtliche Verstöße rechtzeitig identifizieren und analysieren, um innerhalb des Instituts möglichst frühzeitig Gegenmaßnahmen einleiten zu können. Sie bestehen in der Regel aus den eigenverantwortlichen Kontrollen der Geschäftsprozesse durch die Geschäftsbereiche der Institute (First-Level-Kontrollen), der Überwachung durch die Compliance-Funktion (Second-Level-Kontrollen) und den Prüfungen durch die Interne Revision (Third-Level-Kontrollen).

Die Marktuntersuchung konzentrierte sich auf die erste Kontrollebene. Ziel war es, ein Bild von den derzeit in den Instituten praktizierten Verfahren zur Erfüllung der Verpflichtungen des Wertpapierhandelsgesetzes (WpHG) hinsichtlich des IKS zu erlangen. Zudem sollten Erkenntnisse gewonnen werden, wie die Kontrollen der Geschäftsbereiche von der Compliance-Funktion überwacht werden.

Das Ergebnis: Insgesamt verfügen alle befragten Institute über ein funktionierendes Internes Kontrollsystem. Allerdings gibt es in einzelnen Bereichen noch Optimierungspotenzial.

Rechtliche Grundlagen

Rechtliche Grundlage für die Einrichtung eines Internen Kontrollsystems in den Instituten ist § 25a Absatz 1 Satz 1 Kreditwesengesetz (KWG). Dieser besagt, dass ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen muss. Hierzu gehört nach § 25a Absatz 1 Satz 3 Nr. 3 KWG neben einem angemessenen und wirksamen Risikomanagement auch die Einrichtung interner Kontrollverfahren mit einem Internen Kontrollsystem und einer Internen Revision. Wertpapierdienstleistungsunternehmen müssen diese organisatorischen Pflichten gemäß § 80 Absatz 1 WpHG ebenfalls einhalten.

Die Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten für Wertpapierdienstleistungsunternehmen (MaComp) greifen das Thema von internen Kontrollen der operativen Geschäftsbereiche an mehreren Stellen ebenfalls auf. Hierbei sind zunächst die operativen Bereiche für die Einhaltung der Vorschriften und die Durchführung von Kontrollen – in Form von Selbstkontrollen – verantwortlich (AT 6 Nr. 2 MaComp). Die besonderen Anforderungen der MaComp übertragen der Compliance-Funktion dann unter anderem eine Überprüfungspflicht, ob die Fachabteilungen die in den Organisations- und Arbeitsanweisungen aufgeführten Kontrollhandlungen regelmäßig und ordnungsgemäß ausführen. Hierzu berücksichtigt die Compliance-Funktion auch die Prüfungen der Risikomanagementfunktion, der Internen Revision, des Controllings und anderer Kontrollfunktionen im Bereich der Wertpapierdienstleistungen (BT 1.2.1.2 Nr. 6 MaComp).

Strukturierung des IKS

Bei der Marktuntersuchung zum IKS stieß die BaFin sowohl auf zentrale als auch auf dezentrale Modelle. Beim zentralen Modell finden Kontrollhandlungen in zentralisierten Einheiten statt, beispielsweise in Marktservice- oder Marktfolge-Abteilungen. In einer zentral installierten Kontrolleinheit sind die Mitarbeiter eigens für die Durchführung von Kontrollhandlungen zuständig und entsprechend geschult. Bei den dezentralen Modellen werden die Kontrollhandlungen auf die Geschäftsstellen beziehungsweise deren Leiter oder auf Marktbereiche und deren Leiter übertragen. Bei diesen Modellen werden die Kontrollhandlungen also von Mitarbeitern der operativen Organisationseinheiten durchgeführt, und zwar zusätzlich zu deren originären Vertriebsaufgaben.

Daneben fanden sich auch Mischformen aus zentralen und dezentralen Kontrolleinheiten, die häufig eine kombinierte Kontrollorganisation bilden. Teilweise werden hier identische Kontrollen parallel durchgeführt, so dass sich die Arbeitsteilung nur auf quantitative Parameter wie Umfang und Turnus der Kontrollhandlungen auswirkt. Es fanden sich aber auch aufgefächerte Kontrolltätigkeiten in einer qualitativen Arbeitsteilung mit unterschiedlichen Schwerpunkten, beispielsweise mit einer formellen Prüfung einzelner Vertragsbestandteile und einer inhaltlichen Prüfung hinsichtlich Angemessenheit und Geeignetheit der dem Verbraucher empfohlenen Finanzinstrumente.

Besondere Erkenntnisse

Von besonderem Interesse bei der Marktuntersuchung war die konkrete prozessuale Ausgestaltung der Kontrollhandlungen sowie das Ineinandergreifen der einzelnen Durchführungskomponenten und der sich daraus ergebenden systemischen Wirkung des IKS. Für die Analyse dieser Prozesse untersuchte die BaFin schwerpunktmäßig die Kontrollhandlungen im Zusammenhang mit den Aufzeichnungs- und Aufbewahrungspflichten, die sich aus den Verhaltenspflichten des WpHG ergeben. So werden in vielen Instituten beispielsweise Kundenkontakte der Mitarbeiter von der Führungskraft regelmäßig auf Inhalt und Ergebnis überprüft, etwa über einen Abgleich von Kalendereinträgen der Mitarbeiter und Transaktionslisten.

Die Durchführung der Kontrollhandlungen stellte sich bei der Marktuntersuchung sehr heterogen dar. Ihr Umfang reichte von Vollkontrollen (100 Prozent der Beratungsdokumentationen) bis hin zu Stichprobenkontrollen, welche jeweils auch eine ganz unterschiedliche qualitative Ausrichtung hatten. Der Turnus war fortlaufend oder intervallartig. Meistens wurden die Kontrollhandlungen zu einem bestimmten Stichtag durchgeführt. Vereinzelt war es den kontrollierenden Mitarbeitern aber auch freigestellt, diese eigenverantwortlich innerhalb eines Zeitraums vorzunehmen, beispielsweise innerhalb des jeweiligen Quartals.

Während zentralisierte, dem Vertrieb nachgelagerte Bereiche ohne direkten Kundenkontakt in der Regel einen hohen Stichprobenumfang von 50 Prozent und mehr und einen zeitnahen Turnus – fortlaufend bis wöchentlich – aufwiesen, führten dezentrale Bereiche, die etwa direkt im operativen Wertpapiergeschäft tätig sind, die Kontrollhandlungen weniger intensiv aus. Der Stichprobenumfang lag hier in der Regel bei zehn bis 25 Prozent bei monatlichen bis quartalsweisen Kontrollen.

Auch bei der Kontrolldokumentation stellte die BaFin erhebliche Unterschiede fest. Die Bandbreite reichte von formalisierten Checklisten und systemseitigen Bearbeitungsvermerken über formalisierte Ergebnisprotokolle bis hin zu individuellen Kontrollvermerken.

Die Rückspiegelung der festgestellten Fehler an die verursachende Stelle erfolgte in den meisten Fällen unmittelbar und zeitnah. Der Formalisierungsgrad unterschied sich hier ebenfalls deutlich. Die persönliche Ansprache kam ebenso vor wie manuell oder systemgesteuert ausgelöste E-Mail-Benachrichtigungen. Bei einzelnen Instituten wurden die Kontrollergebnisse zunächst nur dem verursachenden Mitarbeiter mitgeteilt mit der Auflage, entsprechend nachzubessern. Nur bei einer nicht fristgerechten Bearbeitung oder einer besonderen Relevanz des Mangels wurden Vorgesetzte und weitere interne Stellen in den Berichtsweg involviert. Die meisten Institute hatten jedoch kein derartiges Eskalationsverfahren implementiert.

Die Compliance-Funktion kontrollierte in allen Instituten die Arbeit der Erstkontrollinstanzen. Sie griff hier teilweise auf die Ergebnisse systematischer Auswertungen (Reportings) zurück.

Identifiziertes Optimierungspotenzial

Die Funktionalität und Wirksamkeit des Internen Kontrollsystems lässt sich in der Regel nur institutsspezifisch bewerten. Jedoch ließen sich bei der Marktuntersuchung einige Komponenten und Schnittstellen identifizieren, deren Ausgestaltung mit dem Ziel eines effizienten IKS durchaus optimiert werden kann.

Mit der Überprüfung der Kundenkontakte der Mitarbeiter durch die Führungskraft könnte effizient sichergestellt werden, dass alle Kundenkontakte, die beispielsweise eine Pflicht zur Abgabe einer Geeignetheitserklärung auslösen, richtig dokumentiert werden. Des Weiteren ergäbe sich durch eine Vergleichs-Quotierung von Kundenkontakten mit und ohne Geschäftsabschluss zwischen den jeweiligen Vertriebseinheiten ein weiteres Instrument der Plausibilisierung für nachgelagerte Kontrollinstanzen, also die Compliance-Funktion und die Innenrevision.

Darüber hinaus hat sich gezeigt, dass die Erstkontrollinstanzen in Instituten mit hohem Formalisierungsgrad der Kontrollhandlungen sicherer funktionieren als in Instituten, in denen die Kontrollen „freihändig“ ausgeführt und dokumentiert werden und die konkrete Durchführung im Ermessen der Kontrollperson liegt. Als zielführend erwiesen sich dabei die Vorgabe der einzelnen Kontrollpositionen anhand von Checklisten, eine aussagekräftige Dokumentation sowie eine stichtagsbezogene Durchführung. Weniger gewinnbringend waren hingegen Fälle, in denen ohne konkrete Vorgabe und Strukturierung der Kontrollhandlungen bestimmte Pflichten gar nicht überprüft wurden oder man aufgrund bekannter Fachkompetenz des Geprüften die Pflichterfüllung grundsätzlich als gegeben annahm.

Wie berichtet, werden Kontrollhandlungen in manchen Instituten von verschiedenen Organisationseinheiten parallel durchgeführt. Umfang und Turnus der Kontrollhandlungen variierten dabei häufig. Zu bemerken war außerdem, dass in den zentralen Bereichen eher formale Kontrollen erfolgten, während die dezentralen Kontrollen eher inhaltlich-qualitativ fokussiert waren. Es ist daher sehr wichtig, auf eine ausreichend engmaschige und ausgeglichene Ausgestaltung der Komponenten Umfang und Turnus sowie der inhaltlich-qualitativen und formalen Aspekte in den Kontrollhandlungen zu achten.

Die Rückspiegelung der Kontrollergebnisse erfolgt in der Regel unmittelbar nach deren Feststellung. Auch hier ist festzustellen, dass durch einen hohen technischen Formalisierungsgrad, etwa durch ein elektronisches Aufgabensystem, Folgebearbeitungen sicherer und systematischer veranlasst werden.

Bei einigen Instituten war es bei den Rückspiegelungen der Kontrollergebnisse mitunter schwierig, die Eskalationsstadien nachzuvollziehen – sei es persönlich, telefonisch oder per E-Mail. Es ist daher sinnvoll, Eskalationsverfahren zu implementieren, die auch für die Mitarbeiter transparent und nachvollziehbar sind.

Ausblick

Mit der Zweiten Finanzmarktrichtlinie (Markets in Financial Instruments Directive II – MiFID II) gehen viele umfangreiche Neuerungen und Verpflichtungen einher, die für eine ordnungsgemäße Geschäftsorganisation bei Wertpapierdienstleistungsunternehmen relevant sind (siehe unter anderem BaFinJournal Dezember 2017 und Januar 2018).

Deshalb wird die BaFin auch in Zukunft bei ihren Vor-Ort-Besuchen bei Banken und Sparkassen besonders darauf achten, dass diese ein wirksames Internes Kontrollsystem implementiert haben.

Hinweis

Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.

Zusatzinformationen

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback