[Vorspann]
AT 4.3.1 Aufbau- und Ablauforganisation
| 1 |
Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt und auch bei Arbeitsplatzwechseln Interessenkonflikte vermieden werden. Beim Wechsel von Mitarbeitern der Handels- und Marktbereiche in nachgelagerte Bereiche und Kontrollbereiche sind für Tätigkeiten, die gegen das Verbot der Selbstprüfung und –überprüfung verstoßen, angemessene Übergangsfristen vorzusehen. Erläuterung: Nachgelagerte Bereiche und Kontrollbereiche Als nachgelagerte Bereiche und Kontrollbereiche im Sinne dieser Tz. sind anzusehen:
Sofern die Übergangsfristen zu einer unverhältnismäßigen Verzögerung im Betriebsablauf führen, können kleinere, weniger komplexe Institute abweichend hiervon alternative angemessene Kontrollmechanismen einrichten. |
| 2 |
Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen. Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen innerhalb angemessener Fristen. Die Fristen orientieren sich dabei an der Bedeutung der Prozesse und, bei IT-Berechtigungen, dem Schutzbedarf verarbeiteter Informationen. Das gilt auch bezüglich der Schnittstellen zu wesentlichen Auslagerungen. |
Erläuterung: Überprüfung von Berechtigungen und Kompetenzen
Zeichnungsberechtigungen in Verbindung mit Zahlungsverkehrskonten und wesentliche IT-Berechtigungen sind mindestens jährlich zu überprüfen, alle anderen mindestens alle drei Jahre. Besonders kritische IT-Berechtigungen, wie sie bspw. Administratoren aufweisen, sind mindestens halbjährlich zu überprüfen.
AT 4.3.2 Risikosteuerungs- und -controllingprozesse
| 1 |
Das Institut hat angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die eine
der wesentlichen Risiken und damit verbundener Risikokonzentrationen gewährleisten. Diese Prozesse sind in eine gemeinsame Ertrags- und Risikosteuerung ("Gesamtbanksteuerung") einzubinden. Durch geeignete Maßnahmen ist zu gewährleisten, dass die Risiken und die damit verbundenen Risikokonzentrationen unter Berücksichtigung der Risikotragfähigkeit und des Risikoappetits wirksam begrenzt und überwacht werden. Erläuterung: Begrenzung und Überwachung von Risiken und damit verbundenen Risikokonzentrationen Geeignete Maßnahmen zur Begrenzung von Risiken und damit verbundenen Risikokonzentrationen können quantitative Instrumente (z. B. Limitsysteme, Ampelsysteme) und qualitative Instrumente (z. B. regelmäßige Risikoanalysen) umfassen. Die Begrenzung und Überwachung von im Risikotragfähigkeitskonzept einbezogenen Risiken erfolgt in der Regel, soweit sinnvoll, auf der Basis eines wirksamen Limitsystems. Bei Risiken, die nicht sinnvoll anhand einer Limitierung begrenzt und überwacht werden können, können auch andere, schwerpunktmäßig qualitative Instrumente eingesetzt werden. Erläuterung: Intragruppenforderungen Intragruppenforderungen sind in den Risikosteuerungs- und –controllingprozessen angemessen abzubilden. Erläuterung: Vorhalten von Daten zu Forderungen und deren Sicherheiten Das Institut sollte die für eine angemessene Beurteilung, Steuerung und Überwachung von Risiken und für die Bereitstellung von Informationen relevanten Daten vorhalten. Hierunter fallen insbesondere Daten zu Sicherheiten und zu der Beziehung zwischen Sicherheit und zugrunde liegender Transaktion. |
| 2 |
Die Risikosteuerungs- und -controllingprozesse müssen gewährleisten, dass die wesentlichen Risiken – auch aus ausgelagerten Aktivitäten und Prozessen – frühzeitig erkannt, vollständig erfasst und in angemessener Weise dargestellt werden können. Hierzu hat das Institut geeignete Indikatoren für die frühzeitige Identifizierung von Risiken sowie von risikoartenübergreifenden Effekten abzuleiten, die je nach Risikoart auf quantitativen und/oder qualitativen Risikomerkmalen basieren. |
| 3 |
Die Geschäftsleitung hat sich in angemessenen Abständen über die Risikosituation einschließlich vorhandener Risikokonzentrationen berichten zu lassen. Zudem hat die Geschäftsleitung das Aufsichtsorgan mindestens vierteljährlich über die Risikosituation einschließlich vorhandener Risikokonzentrationen in angemessener Weise schriftlich zu informieren. Einzelheiten zur Risikoberichterstattung an die Geschäftsleitung und an das... |
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen