Post on 08-Aug-2019
Referent: Rechtsanwalt Prof. Dr. Othmar Strasser
Titularprofessor für Privat- und Wirtschaftsrecht an der Universität St. Gallen (HSG)
General Counsel Zürcher Kantonalbank
Vom Risk Management zur Risk Governance – Erwartungen der FINMA im Bankenbereich
Dienstag, 22. November 2016 Convention Point, Zürich
Executive School of Management,
Technology and Law (ES-HSG)
St. Galler Tagung
zur Finanzmarktregulierung
Aktuelle Rechtsprobleme
Pressemitteilung der FINMA vom 1.11.2016
• Neues Rundschreiben 2017/1 'Corporate Governance – Banken',
Corporate Governance, Risikomanagement und interne Kontrolle bei
Banken, vom 22. September 2016 (in Kraft ab 1.7.2017)
• Revision des Rundschreibens 2008/21 'Operationelle Risiken – Banken'
vom 22. September 2016 (in Kraft ab 1.7.2017)
• Revision des Rundschreibens 2010/1 'Vergütungssysteme' vom
22. September 2016 (in Kraft ab 1.7.2017)
Executive School of Management,
Technology and Law (ES-HSG)
3
Neue Leitplanken der FINMA zur Corporate Governance für
das interne Kontrollsystem und das Risikomanagement
© Prof. Dr. Othmar Strasser | 22.11.2016
• Anpassung an die neuen Standards des Basler Ausschusses
«Guidelines Corporate governance principles for banks», July 2015
• Anpassung aufgrund jüngster Erkenntnisse aus der Finanzkrise
• Prinzipienbasierte Regulierung
• Neue Anforderungen an die Corporate Governance
Angemessenes und effektives Risikomanagement
Minimalanforderungen betreffend Bankverwaltungsräte und Ausgestaltung
des bankinternen Kontrollsystems
• Revision des Rundschreibens 2008/21 'Operationelle Risiken – Banken'
Neue Grundsätze zum Management von IT- und Cyberrisiken
Integration der Prinzipien aus dem FINMA-Positionspapier «Rechts- und
Reputationsrisiken im grenzüberschreitenden Finanzdienstleistungs-
verkehr»
Executive School of Management,
Technology and Law (ES-HSG)
4
Neues FINMA-RS 2017/1 'Corporate Governance – Banken'
© Prof. Dr. Othmar Strasser | 22.11.2016
• Hintergrund und Grundstruktur der neuen Risiko-Governance
• Schwerpunkt bei den Compliance-Risiken und der Compliance-
Funktion im Besonderen
• Kritische Würdigung
Executive School of Management,
Technology and Law (ES-HSG)
5
Gegenstand des Referats
© Prof. Dr. Othmar Strasser | 22.11.2016
Executive School of Management,
Technology and Law (ES-HSG)
6
Sündenfälle in der Finanzbranche
© Prof. Dr. Othmar Strasser | 22.11.2016
2007 Citibank, Filiale Zürich: Verurteilung der Chefin des Private Banking
wegen Betrugs und weiterer Delikte im Betrag von rund CHF 115 Mio.
2008 Bank Leumi Zürich/Ernst Imfeld, Deliktssumme weit über CHF 100 Mio.,
Tages-Anzeiger vom 2.7.2008
2008-10 Finanzkrise
2008-16 US-Steuerstreit
2011 Fall Adoboli/UBS London, Deliktsbetrag USD 2,3 Mrd. (Medienmitteilung
der FINMA vom 26.11.2012; NZZ vom 21.11.2012, Nr. 272, S. 23)
2012 Geldwäscherei (UBS / HSBC, USD 1,9 Mrd. Busse)
2012 ASE, Anlagebetrugsfall mit rund 500 geschädigten Anlegern im
Deliktsbetrag von ca. CHF 300 Mio. (NZZ vom 25.10.2012)
2012 Libor-Skandal: Einziehung des Gewinns in der Höhe von CHF 59 Mio.
bei der UBS durch die FINMA (Medienmitteilung der FINMA vom
19.12.2012; NZZ am Sonntag vom 10.2.2013, S. 31)
Executive School of Management,
Technology and Law (ES-HSG)
7
Sündenfälle in der Finanzbranche
© Prof. Dr. Othmar Strasser | 22.11.2016
2013 US-Hypotheken (Bank of America): USD 11 Mrd. Busse im Zusammen-
hang mit Fannie Mae; J.P. Morgan Chase/Bank of America/Wells Fargo:
USD 8,5 Mrd. Busse; Royal Bank of Scotland; Barclays; Deutsche Bank
Betrifft auch UBS und CS (NZZ vom 17.9.2016, S. 31)
2013 Devisenmanipulationen (international tätige Investmentbanken involviert)
2015 Die UBS im Visier der Weko wegen vermuteten Absprachen im
Edelmetallhandel (NZZ vom 29.9.2015, S. 25)
2015 Fall Petrobras
2015 Fifa
2016 24.5.2016: Medienmitteilung der FINMA:
«BSI verletzt Geldwäschereibestimmungen schwer»
2016 Panama Papers
2016 Schliessung der Niederlassung der Falcon Bank in Singapur und Be-
schränkung der Geschäftstätigkeit der Falcon Bank Schweiz AG wegen
Verwicklung in den 1MDB-Skandal, Busse gegen die UBS von 1,3 Mio.
Executive School of Management,
Technology and Law (ES-HSG)
8
Reaktionen der FINMA
© Prof. Dr. Othmar Strasser | 22.11.2016
Zitat von Mark Branson, Direktor der FINMA, anlässlich der Jahres-
medienkonferenz vom 17.6.2014
• «Die Unternehmen müssen rigoros kontrollieren, dass die Weisungen
konsequent befolgt werden.
• Die Compliance-Abteilung muss eine wichtige und durchsetzungsfähige
Kontrollfunktion sein, nicht eine interne Beratungsstelle.»
Frage: Erfasst diese «wichtige und durchsetzungsfähige Kontroll-
funktion» auch die Geschäftsleitung (Art. 716a Abs. 1 Ziff. 5 OR)?
Executive School of Management,
Technology and Law (ES-HSG)
9
Reaktionen der FINMA
© P
rof.
Dr.
Oth
ma
r S
tra
sse
r | 2
2.1
1.2
01
6
Mark Branson zum Thema «Corporate Governance / Compliance und
Kontrollfunktionen» (12. Aktienrechtstagung vom 18.3.2015)
Feststellungen zu den Devisenhandelsmanipulationen bei der UBS:
«Die UBS verfügte über keine angemessenen Kontrollinstrumente, um Verstösse
gegen Marktverhaltensregeln oder manipulatives Verhalten zu erkennen. Es
existierten auch keine ausreichenden, auf den Devisenhandel zugeschnittenen
internen Richtlinien. Die zuständigen Desk-Supervisor ignorierten ihre Über-
wachungsfunktionen. Die Compliance innerhalb des Devisenhandels war nicht
angemessen ausgestaltet. Ihr wurde durchwegs zu wenig Gewicht beigemessen,
sowohl bei internen Schulungen wie auch bei Mitarbeiterbeurteilungen. Die Mit-
arbeitenden waren daher weder hinreichend sensibilisiert noch bestanden Kon-
trollen, um die Compliance an den Handels-Desks sicherzustellen...
Die Compliance-Abteilung ist ein überaus wichtiger Teil der Risikokontrolle von
Finanzinstituten. In der Vergangenheit wurde die Compliance zu oft als
Beratungsstelle gesehen. Anstatt zu fragen, ob ein Geschäft getätigt werden
soll, stand häufig die Frage nach dem wie können wir dieses Geschäft machen
im Zentrum.»
Grundzüge der Risk Governance
• Umsetzung internationaler Standards
Guidelines 'Corporate governance principles for banks', Basel Committee
on Banking Supervision, July 2015
(verfügbar unter www.bis.org/bcbs/publ/d328.htm)
Principles for enhancing corporate governance, Basel Committee on
Banking Supervision, October 2010
Empfehlungen des Basler Ausschusses 'Compliance and the compliance
function in banks', April 2005
Compliance Charter des Basler Ausschusses vom 9.5.2005, revidiert am
8.1.2007
Implementation of the compliance principles, survey, Basel Committee on
Banking Supervision, August 2008
Executive School of Management,
Technology and Law (ES-HSG)
10
Antwort der FINMA durch neue Rundschreiben 2017/1
und 2008/21
© Prof. Dr. Othmar Strasser | 22.11.2016
Grundzüge der Risk Governance
• Nur Minimalanforderungen an die Corporate Governance und das Risk
Management
• Prinzipienbasierte Regulierung
Reduktion des Detaillierungsgrades
Streichung vieler (auch nützlicher) einzelner Bestimmungen
(z.B. Definition der Compliance-Risiken)
Executive School of Management,
Technology and Law (ES-HSG)
11
Antwort der FINMA durch neue Rundschreiben 2017/1 und
2008/21
© Prof. Dr. Othmar Strasser | 22.11.2016
Grundzüge der Risk Governance
• Beibehaltung des Proportionalitätsprinzips
Grösse, Komplexität, Struktur und Risikoprofil des Instituts als mass-
gebende Kriterien für die Ausgestaltung der Corporate Governance und
der internen Kontrolle (Rz 6 und 8 FINMA-RS 2017/1)
Institutspezifische Umsetzung der Vorgaben erforderlich
Nachteil: Viele offene Fragen
Überwiegend grosser Vorteil: Grosser Ermessensspielraum des einzelnen
Instituts bei der Umsetzung
Executive School of Management,
Technology and Law (ES-HSG)
12
Antwort der FINMA durch neue Rundschreiben 2017/1 und
2008/21
© Prof. Dr. Othmar Strasser | 22.11.2016
Executive School of Management,
Technology and Law (ES-HSG)
13
Compliance-Funktion als Element des
internen Kontrollsystems (IKS)
Internes Kontrollsystem (Rz 60 FINMA-RS 2017/1)
Ertragsorientierte Einheiten (Rz 61 FINMA-RS 2017/1)
Unabhängige Kontrollinstanzen (Rz. 62-68 FINMA-RS 2017/1)
Die ertragsorientierten
Geschäftseinheiten nehmen ihre
Kontrollfunktion im Rahmen des
Tagesgeschäfts durch die
Bewirtschaftung der Risiken,
insbesondere durch deren
direkte Überwachung,
Steuerung und Berichterstattung
wahr.
Risikokontrolle (Rz 69-76 FINMA-RS 2017/1)
Compliance-Funktion (Rz 77-81 FINMA-RS 2017/1)
Ev. weitere (Rz 62 FINMA-
RS 2017/1)
Überwachung der Risiken und der Einhaltung gesetzlicher,
regulatorischer und interner Vorschriften
• Risikoprofil
• Risikopositionen
• Risikolimiten
• Risikodaten
• Berichterstattung
• Jährliche Einschätzung des Compliance-
Risikos mit Tätigkeitsplan
• Jährliche Berichterstattung an das
Oberleitungsorgan
• Zeitgerechte Berichterstattung über
Veränderungen an die Geschäftsleitung
• Zeitgerechte Berichterstattung an das
Oberleitungsorgan und die Geschäfts-
leitung bei schweren Verletzungen der
Compliance
• Risikoüberwachungssysteme Bedeutung für die Compliance-Funktion?
• Beizugspflicht gemäss
Rz 73 FINMA-RS 2017/1 Bedeutung für die Compliance-Funktion?
• Überwachung der
Risikotoleranz Bedeutung für die Compliance-Funktion?
© Prof. Dr. Othmar Strasser | 22.11.2016
Bedeutung des Rahmenkonzepts für das institutsweite Risikomanagement,
insbesondere die Compliance-Funktion
• Ausarbeitung durch die Geschäftsleitung und Verabschiedung durch
das Oberleitungsorgan (Rz 52)
• Inhalt (Rz 53)
Risikopolitik
Risikotoleranz
Risikolimiten in allen wesentlichen Risikokategorien
Executive School of Management,
Technology and Law (ES-HSG)
14
Compliance-Funktion als Element des
internen Kontrollsystems (IKS)
© Prof. Dr. Othmar Strasser | 22.11.2016
Bedeutung des Rahmenkonzepts für das institutsweite Risikomanagement,
insbesondere die Compliance-Funktion
• Wesentliche Aspekte des Rahmenkonzeptes (Rz 54-59)
Einheitliche Kategorisierung in Anlehnung an die ERV
Definition der Compliance-Risiken?
Präzisierung möglicher Verluste aus wesentlichen Risikokategorien
Nur quantifizierbare Compliance-Risiken relevant (Rz 2 FINMA-RS 2008/21)
Definition und Einsatz der Instrumente sowie der organisatorischen
Strukturen zur Identifikation, Analyse, Bewertung, Bewirtschaftung und
Überwachung der wesentlichen Risikokategorien und der Berichterstattung
Inhärenz- versus Restrisikomethode (Inhärenzmethode für Compliance-
Risiken nicht praktikabel)
Überprüfung der Risikotoleranz
Festlegung der Risikotoleranz bei Compliance-Risiken?
Risikodaten (Aggregation und Berichterstattung)
Erforderliche Compliance-Daten gemäss Rz 132 FINMA-RS 2008/21
Executive School of Management,
Technology and Law (ES-HSG)
15
Compliance-Funktion als Element des
internen Kontrollsystems (IKS)
© P
rof.
Dr.
Oth
ma
r S
tra
sse
r | 2
2.1
1.2
01
6
• Verständnis der FINMA über die Funktion Compliance ganz generell
Unterstützungsfunktion?
(Überwiegend) Kontrollfunktion?
Managementfunktion
• Fehlende Definitionen
Compliance-Risiken
Compliance-Funktion
• Umschreibung und Abgrenzung der Aufgaben der verschiedenen
Kontrollinstanzen (vgl. Folie 13)
• Systematische Stellung der Compliance-Funktion im internen Kontroll-
system und Verhältnis zur Risikokontrolle
Bedeutung des Rahmenkonzeptes
Hierarchische und organisatorische Stellung
Executive School of Management,
Technology and Law (ES-HSG)
16
Offene Fragen in Bezug auf die Compliance-Funktion
© Prof. Dr. Othmar Strasser | 22.11.2016
• Bessere Verankerung der Unabhängigkeit der Compliance-Funktion
(Empfehlung des Basler Ausschusses betreffend 'Compliance and the
compliance function in banks' vom April 2005, Art. 716a Abs. 1 Ziff. 5 OR)
Regelung der Compliance-Funktion durch das Oberleitungsorgan
Wahl und Entlassung des General Counsels / Chief Compliance Officer durch
das Oberleitungsorgan
Eskalationsrecht an das und jederzeitiger Zugang zum Oberleitungsorgan
etc.
• Klarstellung der Verantwortlichkeit der Geschäftsleitung für die Norm-
einhaltung wie in Rz 99 des alten FINMA-RS 2008/24 (vgl. dazu Rz 48
FINMA-RS 2017/1)
Executive School of Management,
Technology and Law (ES-HSG)
17 © Prof. Dr. Othmar Strasser | 22.11.2016
Offene Fragen in Bezug auf die Compliance-Funktion
Rechtskonformität der Bank als Unternehmensziel besser wäre die
Bezeichnung: Funktion Recht
Executive School of Management,
Technology and Law (ES-HSG)
18
Modell einer umfassenden Compliance-Funktion
© Prof. Dr. Othmar Strasser | 22.11.2016
Sachlicher und geografischer Geschäftskreis
• Integrierte Funktion Recht
unter einheitlicher Leitung
(mit Rechtsexperten und
anderen Spezialisten)
• Unabhängigkeit nach innen
und nach aussen (arbeits-
rechtlich gegenüber der
Geschäftsleitung weisungs-
freie Berufsgruppen)
• Fachliche Spezialisierung
möglich und nötig
• Geografische und sachliche
Dezentralisation möglich
unter einheitlicher Leitung
(Reporting)
Definitionen Compliance und Compliance-Funktion gemäss §§ 2 und 3
Compliance-Reglement der Zürcher Kantonalbank
Executive School of Management,
Technology and Law (ES-HSG)
19
Modell einer umfassenden Compliance-Funktion
© Prof. Dr. Othmar Strasser | 22.11.2016
«Compliance ist einerseits die Übereinstimmung des Verhaltens und der
Handlungen der Zürcher Kantonalbank und der Mitarbeitenden mit den für sie
geltenden Normen des Rechts und der Ethik und andererseits die Gesamtheit
aller organisatorischen Massnahmen zur Verhinderung von Gesetzesver-
letzungen und Verstössen gegen Regeln und Normen der Ethik durch die
Zürcher Kantonalbank, deren Organe und deren Mitarbeitende.»
«Als unabhängige Funktion innerhalb der Zürcher Kantonalbank unterstützt
Compliance die Generaldirektion und die Mitarbeitenden bei der Einhaltung der
für sie geltenden Normen des Rechts und der Ethik. Diese Unterstützung
besteht in der Regel aus Identifikation, Beurteilung, Beratung, Überwachung und
Berichterstattung in Bezug auf jene Rechts-, Reputations- und Verlustrisiken, die
aus der Verletzung von Normen des Rechts und der Ethik resultieren
(Compliance Risiken).»
Executive School of Management,
Technology and Law (ES-HSG)
20
Compliance-Risiken
© Prof. Dr. Othmar Strasser | 22.11.2016
«The expression "compliance risk" is defined in this paper as the risk of
legal or regulatory sanctions, material financial loss, or loss to reputation a
bank may suffer as a result of its failure to comply with laws, regulations,
rules, related self-regulatory organisation standards, and codes of conduct
applicable to its banking activities (together, "compliance laws, rules and
standards").»
Definition der Compliance-Risiken gemäss Ziff. 3 der Empfehlungen des
Basler Ausschusses vom April 2005:
Hinweis: Die Definition in Rz 98 FINMA-RS 2008/24 basierte auf der
Empfehlung des Basler Ausschusses.
Executive School of Management,
Technology and Law (ES-HSG)
21
Compliance-Risiken
© Prof. Dr. Othmar Strasser | 22.11.2016
Was sind Compliance- bzw. Rechtsrisiken?
Vgl. auch § 3 Compliance-Reglement ZKB
Ursache
Folgen (Gemengelage)
Verhalten des
Menschen/Mitarbeitenden
• Aktives Tun
• Passives Unterlassen
• Vorsätzlich
(mit Wissen und Willen)
• Fahrlässig
(sorgfalts- bzw. pflichtwidrig)
Rechtsverletzung
inkl. Vertragsverletzung
Rechtliche Sanktionen
• Bussen
• Freiheitsstrafen
• Verlust der Lizenz bzw. der Bewilligung zum Betrieb einer
Bank
• Kündigung eines Vertrages als Folge eines Verfahrens gegen
die ZKB
• Verlust eines Patentes
• Verpflichtung zur Bezahlung von Schadenersatz
• Verlust vertraglicher Rechte und/oder Optionen
• Insolvenz/Konkurs/Berufsverbot
• etc.
Finanzielle Verluste
• Abschreibung von Forderungen
• Schadenersatz/Bussen
• Kosten für unternehmensinterne und -externe Untersuchungen
• Gerichts- und Verfahrenskosten/Anwaltskosten/Experten-
honorare
• Verlust von Kreditsicherheiten (Pfandrechte, Garantien etc.)
mit der Folge der ungenügenden Deckung von Forderungen
• etc.
Reputationsschäden* (weiterhin ausgeschlossen gemäss Definition Art. 89 ERV)
• Negative Berichterstattung in den Medien
• Verlust von bestehenden Kunden
• Verlust von Mitarbeitenden und erschwerte Rekrutierung
• Verlust von Lieferanten und anderen wichtigen Geschäfts-
partnern (mit gravierenden Folgen für die Aufrechterhaltung
des Geschäftsbetriebes)
• Reaktion von Anleihensgläubigern und Kanton
erschwerte Eigen- und Fremdmittelbeschaffung
• Ganz generell Vertrauensverlust auf verschiedenen Ebenen
mit negativen Folgen für geplante Vorhaben
• Negative Reaktion von Rating-Agenturen
• etc.
* Gemäss Art. 89 ERV sind Reputationsrisiken explizit von den operationellen
Risiken ausgeschlossen.
Operationelle Risiken
gemäss Rz 2 FINMA-RS
2008/21 vom 22.9.2016
Executive School of Management,
Technology and Law (ES-HSG)
22
Compliance-Risiken
© P
rof.
Dr.
Oth
ma
r S
tra
sse
r | 2
2.1
1.2
01
6
Frage: Ist mit diesen beiden Definitionen dem Erfordernis der Betriebstypizität wirklich Rechnung getragen
(vgl. Folie 18)?
Definition Basel
Definition FINMA
Regeln
Welche?
Regeln
Welche?
Ziff. 4:
«Compliance laws, rules and standards
generally cover matters such as observing
proper standards of market conduct, managing
conflicts of interest, treating customers fairly,
and ensuring the suitability of customer advice.
They typically include specific areas such as
the prevention of money laundering and
terrorist financing, and may extend to tax
laws... »
Rz 7 FINMA-RS 2017/1 sinngemäss
Gesetzliche, regulatorische und interne
Vorschriften sowie marktübliche Standards und
Standesregeln
Betriebstypizität als relevantes Merkmal für die Umschreibung der «Compliance-Regeln»
Nebeneinander von «Compliance-Risiken», «Rechtsrisiken» und
«Operationellen Risiken» in den Rundschreiben der FINMA
• Definition «Operationelle Risiken» gemäss Rz 2 FINMA-RS 2008/21
vom 22.9.2016
«Operationelle Risiken sind gemäss Art. 89 ERV definiert als die "Gefahr von
Verlusten, die in Folge der Unangemessenheit oder des Versagens von
internen Verfahren, Menschen oder Systemen oder in Folge von externen
Ereignissen eintreten." Die Definition umfasst sämtliche Rechts- bzw.
Compliance-Risiken, soweit sie einen direkten, finanziellen Verlust darstellen,
d.h. inklusive Bussen durch Aufsichtsbehörden und Vergleiche.»
Dass Compliance-Risiken mit messbaren finanziellen Verlusten gemäss Art. 89
ERV mit Eigenmitteln zu unterlegen sind, versteht sich eigentlich von selbst.
Aufgrund des expliziten Ausschlusses der Reputationsrisiken durch Art. 89 ERV
sind die Compliance-Risiken jedoch nicht eine blosse Teil- bzw. Untermenge der
operationellen Risiken.
Risikokontrolle (operationelle Risiken) und Compliance-Funktion (Compliance-
Risiken) sind gemäss FINMA-RS 2017/1 zwei verschiedene Kontrollinstanzen.
Executive School of Management,
Technology and Law (ES-HSG)
23
Compliance-Risiken
© Prof. Dr. Othmar Strasser | 22.11.2016
Nebeneinander von «Compliance-Risiken», «Rechtsrisiken» und
«Operationellen Risiken» in den Rundschreiben der FINMA
• Anhang 2 FINMA-RS 2008/21 kategorisiert eine Reihe von Ereignis-
typen, die Straftatbestände erfüllen (Diebstahl, interner Betrug,
Geldwäscherei, Veruntreuung, Steuerdelikte etc.). Die Lehre spricht in
diesem Zusammenhang von «Criminal Compliance».
• Die Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft
gemäss Rzn 136.2–136.5 FINMA-RS 2008/21 sind ebenfalls klassische
Compliance-Issues und daher Compliance-Risiken im materiellen
Sinne.
Executive School of Management,
Technology and Law (ES-HSG)
24
Compliance-Risiken
© Prof. Dr. Othmar Strasser | 22.11.2016
Echtes Nebeneinander von Compliance- und Operationellen Risiken
Executive School of Management,
Technology and Law (ES-HSG)
25
Compliance-Risiken
© Prof. Dr. Othmar Strasser | 22.11.2016
Mangelhafte Infrastruktur
(z.B. ungenügende
Maschine, fehlerhafte IT etc.)
Operationelles Risiko
Frage nach der Verantwortlichkeit
für die anstehende/unterlassene
Fehlerbehebung als Compliance-
Risiko
Executive School of Management,
Technology and Law (ES-HSG)
26
Compliance-Risiken
Verhaltensrisiken
Compliance-Risiken
nur Rechtsverletzungen
Operationelle Risiken • Expertenrisiken
• Ausführungsrisiken
(auch)
Rechtsverletzungen
Schwierige Abgrenzungsfragen in der Praxis
© Prof. Dr. Othmar Strasser | 22.11.2016
Executive School of Management,
Technology and Law (ES-HSG)
27
Compliance-Risiken
Schwierige Abgrenzungsfragen in der Praxis
© Prof. Dr. Othmar Strasser | 22.11.2016
Compliance-Regeln
(eher gesetzgeberische Erlasse)
• OR, ZGB, StGB, SchKG
• Aufsichtsrecht
• GwG, VSB
• Crossborder-Regeln
OpRisk-Regeln
(eher technische Regeln)
• Rechnungslegungsrecht
• Regeln des Kreditgeschäftes
• Regeln der kaufmännischen Anlageberatung
und Vermögensverwaltung
• Regeln der Baukunde
• Finanztechnische Regeln (z.B. Konzeption
eines strukturierten Produktes)
Abgrenzung zu den Prozessrisiken
• Compliance-Risiken sind Verhaltensrisiken.
• Prozessrisiken sind «Dispute Risks».
• Was sind nicht durchsetzbare Verträge?
Expertenrisiko (evtl. schlechte Rechtsberatung)
Dispute Risks
Mangelhafte Beratung bzw. schlechte Rechtsposition ≠ Rechtsverletzung
Executive School of Management,
Technology and Law (ES-HSG)
28
Compliance-Risiken
© Prof. Dr. Othmar Strasser | 22.11.2016
Bedeutung der definitorischen Klarheit
• Kategorisierung der Risiken gemäss Rz 55 FINMA-RS 2017/1
• Bedeutsam für die Umschreibung der Kontrollaufgabe der Compliance-
Funktion und der Risikokontrolle als unabhängige Kontrollinstanzen
gemäss Rz 62 FINMA-RS 2017/1 (vgl. Folie 13)
• Unterscheidung Rechtsrisiken einerseits und Compliance-Risiken
andererseits eigentlich obsolet
Einhaltung der Rechts durch die Bank als Ziel
Ausgangspunkt ist allemal das Recht.
Alle Aufgaben mit diesem Ziel unter einheitlicher Leitung
Schaffung einer Compliance- und Operational Risk Unit (vgl. dazu BIS
Compliance Charter vom 9.5.2005, revidiert am 8.1.2007) ist in bestimmten
Situationen denkbar, schafft aber neue Abgrenzungsprobleme.
Executive School of Management,
Technology and Law (ES-HSG)
29
Compliance-Risiken
© Prof. Dr. Othmar Strasser | 22.11.2016
Bedeutung der definitorischen Klarheit
• Beantwortung resp. Abgrenzungsfragen zur Risikokontrolle und zu den
operationellen Risiken. Vgl. dazu BIS Compliance Charter vom
9.5.2005, revidiert am 8.1.2007:
«The Compliance and Operational Risk Unit assists Management in identifying
and assessing potential compliance issues, guides and educates staff on
compliance laws, rules and standards, and performs a monitoring and
reporting role.»
Executive School of Management,
Technology and Law (ES-HSG)
30
Compliance-Risiken
© Prof. Dr. Othmar Strasser | 22.11.2016
Allgemeines
Executive School of Management,
Technology and Law (ES-HSG)
31
Compliance-Funktion als unabhängige Kontrollinstanz
© Prof. Dr. Othmar Strasser | 22.11.2016
• Kontrollaktivitäten haben im Risikomanagement einen bedeutenden
Platz (vgl. COSO-Würfel).
• Kontrollen sind im Risk Management notwendig, aber bei weitem nicht
die absolut bedeutendste Risikosteuerungsmassnahme (vgl. Folie 32)
• Klärung des Begriffs «Kontrolle» im Risk Management nötig
Sprachlich:
Kontrolle bedeutet Überwachung, Überprüfung, Aufsicht, aber auch
Steuerung (englisch: «Controlling»!).
Mögliche risikosteuernde Massnahmen
Executive School of Management,
Technology and Law (ES-HSG)
32
Compliance-Funktion als unabhängige Kontrollinstanz
© P
rof.
Dr.
Oth
ma
r S
tra
sse
r | 2
2.1
1.2
01
6
Organisatorische
Massnahmen auf Stufe
Unternehmen und Konzern
Reglemente/
Weisungen
Definition von Geschäftsfeldern
und Anpassung der
Produktegestaltung
Umsetzung von Massnahmen
der internen Revision und der
externen Prüfgesellschaft
Lancierung von neuen
Produkten (Change
Management)
Ausbildung
IT-Lösungen
Anpassung von
Prozessen und Abläufen
Strategie/Entschei-
dungen der GL
Personalrekrutierung
und -überwachung
Überwachung und Kontrolle
von Geschäftsabläufen und
Transaktionen
Risikobegrenzung/
-vermeidung
* vgl. Folie 18
Aufgabenumschreibung der
Funktion Compliance bzw.
Recht *
Unterlegung von rechtlichen
Risiken mit Eigenmitteln
gemäss Art. 89 ff. ERV
Notwendigkeit einer institutspezifischen Kontrollordnung zur Umsetzung
von Rz 62 FINMA-RS 2017/1
• «Einhaltung gesetzlicher, regulatorischer und interner Vorschriften» ist
zu unbestimmt und zu allgemein und so direkt nicht umsetzbar.
• Inhalt und Umfang sind risikobasiert genau zu bezeichnen.
• Es ist genau zu definieren, wer, wen (auch die Geschäftsleitung?),
was und/oder woraufhin zu kontrollieren hat.
• Es ist klar zu definieren, was mit dem Kontrollergebnis zu geschehen
hat. Wer hat gestützt auf das Kontrollergebnis welche Handlungs-
pflichten?
Frage der Kompetenzen (Intervention durch Unterbindung einer
Transaktion, Abbruch einer Geschäftsbeziehung, Anordnung einer
Disziplinarstrafe, Kündigung des Arbeitsverhältnisses)
Executive School of Management,
Technology and Law (ES-HSG)
33
Compliance-Funktion als unabhängige Kontrollinstanz
© Prof. Dr. Othmar Strasser | 22.11.2016
Notwendigkeit einer institutspezifischen Kontrollordnung zur Umsetzung
von Rz 62 FINMA-RS 2017/1
• Nicht nur ex post-, sondern vor allem ex ante-Kontrollen (Prävention)
Rechtsberatung im Rahmen von Konsultationspflichten
Pre-Deal-Verfahren
Clearance-Verfahren
Eskalationsrecht der Compliance-Funktion mit anschliessender
Konfliktentscheidung als wichtiges Element einer proaktiven Risk
Governance
• Zitat aus einer Verfügung der FINMA aus dem Jahre 2009 i.S. Sulzer:
«Die mehrfach zitierte Warnung von ... (Name des General Counsels) im Fall X entlastete
Compliance nicht davon, auch im Fall Z wieder zu intervenieren, nötigenfalls auch in Umgehung
der verantwortlichen Geschäftsleitungsmitglieder, die in diesem Fall offensichtlich andere
Interessen verfolgten.»
Executive School of Management,
Technology and Law (ES-HSG)
34
Compliance-Funktion als unabhängige Kontrollinstanz
© Prof. Dr. Othmar Strasser | 22.11.2016
Hervorhebung der Aufgaben als unabhängige Kontrollinstanz kann
dysfunktional und kontraproduktiv sein
• Einhaltung gesetzlicher, regulatorischer und interner Vorschriften ist die
primäre Verantwortung der 1st Line of Defence und nicht alleinige Auf-
gabe der Kontrollinstanzen! Genaue Abgrenzung zwischen den
Kontrollinstanzen durch die Kontrollordnung nötig! (Lösungsansatz:
Enumeration kombiniert mit Generalklausel)
• Hervorhebung der Aufgaben als unabhängige Kontrollinstanz schafft
einen ineffizienten und (zu) teuren Kontrollapparat (recte: Moloch) für
ex post-Kontrollen. Scheinsicherheit
• Leaning back-Syndrom und Moral Hazard bei den ertragsorientierten
Geschäftseinheiten
• Verlagerung des strafrechtlichen Risikos auf Compliance Officer
(vgl. BGE 6B_901/2009 vom 3.11.2010 und 6B_907/2009 vom 3.11.2010)
Executive School of Management,
Technology and Law (ES-HSG)
35
Compliance-Funktion als unabhängige Kontrollinstanz
© P
rof.
Dr.
Oth
ma
r S
tra
sse
r | 2
2.1
1.2
01
6
• Neue Risk Governance der FINMA ist zu minimalistisch ausgefallen.
• Forderung nach durchsetzungsfähiger Compliance (vgl. Folie 8) ruft
nach stärkeren institutionalisierten Garantien der Compliance-Funktion
(vgl. auch Art. 716a Abs. 1 Ziff. 5 OR).
• Die Hervorhebung bzw. Reduktion der Compliance-Funktion auf eine
Kontrollinstanz ist dysfunktional, zu teuer, ineffizient und letztlich auch
nicht effektiv.
• Die Empfehlungen des Basler Ausschusses 'Compliance and the
compliance function in banks' vom April 2005 sind nur unvollständig
umgesetzt.
Executive School of Management,
Technology and Law (ES-HSG)
36
Fazit
© Prof. Dr. Othmar Strasser | 22.11.2016
• Richtungsweisende Umschreibung der Compliance-Funktion im Urteil
des Bundesverwaltungsgerichts, II. Abteilung, vom 6.10.2015
(B-3625/2014, Erw. 6.3.1)
«Sodann ist das operationelle Führungsorgan für die Wahrnehmung und
Umsetzung der Compliance zuständig, wobei dem Verwaltungsrat gemäss
Aktienrecht eine oberste Verantwortung zukommt. Die Compliance unterscheidet
sich von herkömmlichen Kontroll- und Revisionsmitteln vor allem durch ihre
proaktive Ausrichtung. Sie umfasst einerseits die Rechtstreue der Bank bei
ihrer Geschäftstätigkeit, wozu das Befolgen der Selbstregulierung der Branche
gehört, anderseits die Selbstreflexion des eigenen Verhaltens unter Gesichts-
punkten von Ethik und Risiko.»
• Chance für die Banken
Ausschöpfung des grossen Ermessensspielraums
Wahrnehmbares Bekenntnis zur Rechtstreue der Bank notwendig
Executive School of Management,
Technology and Law (ES-HSG)
37
Fazit
© Prof. Dr. Othmar Strasser | 22.11.2016
Executive School of Management,
Technology and Law (ES-HSG)
38
Risikoorganisation der Zürcher Kantonalbank
© P
rof.
Dr.
Oth
ma
r S
tra
sse
r | 2
2.1
1.2
01
6
Quelle:
Geschäftsbericht der Zürcher Kantonalbank
zum Geschäftsjahr 2015, S. 104