Fachbeiträge & Kommentare zu Compliance

Rz. 67 Die Compliance-Funktion ist grundsätzlich in einem von den Bereichen Markt und Handel unabhängigen Bereich anzusiedeln. Zwischenzeitlich waren im Rahmen der Konsultationsphase zur fünften MaRisk-Novelle Ausnahmen für Institute mit zwei Geschäftsleitern durch eine entsprechende Erläuterung vorgesehen. Bei diesen Instituten sollte die Wahrnehmung der Funktion des Compli...mehr

Anknüpfend an den einleitenden Ausführungen zeigt die BaFin auf, welche rechtlichen Regelungen und Vorgaben in jedem Fall in den Anwendungsbereich der Compliance-Funktion fallen. Hierzu gehören zunächst die Vorgaben des WpHG, die schon Gegenstand der MaComp sind, weiterhin die Vorgaben zur Vermeidung von Geldwäsche und Terrorismusfinanzierung; Vorgaben zur Vermeidung sonstig...mehr

Hinweis zur Benutzung des Literaturverzeichnisses: Sofern es sich bei den Autoren bzw. Herausgebern um Organisationen handelt, sind die aufgeführten Werke i. d. R. auf der Internetseite der jeweiligen Organisation verfügbar. Achtelik, Olaf, in: Herzog, Felix (Hrsg.), Geldwäschegesetz, 5. Auflage, München, 2023, § 24c KWG, § 25h KWG und § 6 GwG. ACI Deutschland e. V. – Arbeitsg...mehr

Rz. 123 Soweit die Compliance-Funktion auch für die Identifizierung und das Monitoring zukünftiger rechtlicher Regelungen und Vorgaben verantwortlich ist (→ AT 4.4.2 Tz. 1), kann sich die regelmäßige oder anlassbezogene Berichterstattung der Compliance-Funktion an die Geschäftsleitung auch auf das regulatorische Monitoring einschließlich etwaiger regulatorischer Risiken erst...mehr

Rz. 116 Die Geschäftsleitung ist für die Einhaltung der allgemeinen Compliance im Sinne einer ordnungsgemäßen Geschäftsorganisation nach § 25a Abs. 1 KWG zuständig. Daher wird auch die Berichterstattung an das Aufsichtsorgan regelmäßig durch die Geschäftsleitung erfolgen. Unabhängig davon sind die Berichte des Compliance-Beauftragten an das Aufsichtsorgan und die Interne Rev...mehr

Rz. 248 Grundsätzlich können alle Aktivitäten und Prozesse ausgelagert werden, solange die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird (→ AT 9 Tz. 4). Im Zuge der fünften MaRisk-Novelle hat die BaFin die Anforderungen an die Auslagerung der Risikocontrolling-Funktion, der Compliance-Funktion und der Internen Revision aufgrund ...mehr

Rz. 11 Etwa zeitgleich mit der Veröffentlichung der EBA-Leitlinien zur internen Governance im Jahr 2011 hat sich der Baseler Ausschuss für Bankenaufsicht (BCBS) mit der Rolle der Internen Revision auseinandergesetzt.[1] Das im Dezember 2011 zur Konsultation gestellte Papier wurde im Juni 2012 in seiner endgültigen Fassung veröffentlicht. Darin beschreibt der BCBS das Verhält...mehr

Rz. 101 Die Institute sind nicht verpflichtet, die Bestellung, einen Wechsel oder das Ausscheiden des Compliance-Beauftragten der Aufsichtsbehörde anzuzeigen, anders als bspw. beim Compliance-Beauftragten gemäß MaComp nach § 87 Abs. 5 WpHG [1] oder beim Geldwäschebeauftragten nach § 7 Abs. 4 Satz 1 GwG. Beim Geldwäschebeauftragten sind der Aufsichtsbehörde zudem im Fall einer...mehr

Rz. 18 Mit der fünften MaRisk-Novelle hat die deutsche Aufsicht ergänzend gefordert, beim Wechsel von Mitarbeitern der Handels- und Marktbereiche in nachgelagerte Bereiche und Kontrollbereiche für Tätigkeiten, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen, angemessene Übergangsfristen vorzusehen. Die Kontrollbereiche im Sinne dieser Textziffer sind die Ri...mehr

Rz. 41 Mit der Überarbeitung des Bankenpaketes ist auch Art. 76 CRD IV geändert worden. Nach Art. 76 Abs. 5 CRD IV müssen die Institute interne Kontrollfunktionen besitzen, die vom operativen Geschäft unabhängig sind und über ausreichende Autorität, ausreichendes Gewicht, ausreichende Ressourcen und einen ausreichenden Zugang zum Leitungsorgan verfügen. Insbesondere muss sic...mehr

Rz. 16 Das interne Kontrollsystem umfasst alle Formen von Überwachungsmechanismen, die integraler Bestandteil der zu überwachenden Prozesse sind (prozessabhängige Überwachung). Die für derartige Überwachungsaufgaben zuständigen Mitarbeiter oder Stellen sind an den jeweiligen Arbeitsprozessen beteiligt und häufig auch für das Ergebnis der zu überwachenden Prozesse verantwortl...mehr

Die Diskussion im Fachgremium zeigt, dass die Thematik Compliance durchaus sehr unterschiedlich in den Instituten gehandhabt wird. Dies soll auch in Zukunft nicht per se in Frage gestellt werden, sofern die aufsichtlichen Vorgaben – auch auf Basis der speziellen aufsichtlichen Regelungen – weiterhin erfüllt werden. Aus den Diskussionen wird auch deutlich, dass unterschiedlic...mehr

Rz. 392 Im Zuge der fünften MaRisk-Novelle wurden die Grenzen für die vollständige Auslagerung der Risikocontrolling- und der Compliance-Funktion sowie der Internen Revision konkretisiert. Aus Sicht der Aufsicht sind diese besonderen Funktionen (→ AT 4.4) als Steuerungs- und Kontrollinstrumente für die Geschäftsleitung besonders wichtig und sollen daher zukünftig möglichst i...mehr

Rz. 33 Die Compliance-Funktion hat in erster Linie den Compliance-Risiken entgegenzuwirken, die sich aus der Nichteinhaltung bestehender rechtlicher Regelungen und Vorgaben ergeben können. Bei einem Verstoß gegen die geltenden gesetzlichen Regelungen und Vorgaben drohen dem Institut ggf. (Geld-)Strafen, Bußgelder sowie Schadensersatzansprüche und/oder die Nichtigkeit von Ver...mehr

Rz. 12 Die Anforderungen an die Funktionstrennung werden in Anbetracht des Bestehens spezifischer Interessenkonfliktpotenziale bei bestimmten Geschäftsarten im besonderen Teil der MaRisk enger gefasst. Insbesondere sind in bestimmten Konstellationen aufbauorganisatorische Trennungen verschiedener Organisationseinheiten (Bereiche, Stellen) erforderlich. Zunächst sind bestimmt...mehr

Rz. 129 Auch wenn die Institute nicht verpflichtet sind, die Bestellung, einen Wechsel oder das Ausscheiden des Compliance-Beauftragten der Aufsichtsbehörde anzuzeigen, sollten größere Institute die Aufsicht über personelle Veränderungen in der Person des Compliance-Beauftragten ggf. informieren bzw. mit der Aufsichtsbehörde die Vorgehensweise abstimmen (→ AT 4.4, Einführung...mehr

Rz. 7 Die sechste MaRisk-Novelle aus dem Jahr 2021 enthielt neue Anforderungen an die Risikocontrolling- und die Compliance-Funktion, die auf die Leitlinien der EBA zu notleidenden und gestundeten Risikopositionen[1] und die Aufsichtspraxis zurückgehen. Bei Instituten mit einem hohen NPL-Bestand (→ AT 2.1 Tz. 1, Erläuterung) hat die Risikocontrolling-Funktion seitdem explizi...mehr

Rz. 5 Eine Reihe von Anforderungen sollte vor jeder Evaluation von Softwarelösungen in Betracht gezogen werden. Im Folgenden finden sich 10 generell gültige Anforderungskategorien inkl. relevanter Fragestellungen: Benutzerfreundlichkeit: Die Software sollte ein intuitives User Interface (UI) aufweisen, das es den Usern ermöglicht, sich leicht zurechtzufinden und effizient zu ...mehr

[…] ich freue mich, Ihnen nunmehr die finale Fassung der MaRisk vorlegen zu können, wie sie sich nach Abschluss des im Oktober 2020 angestoßenen Konsultationsverfahrens darstellt. Im Ergebnis der Auswertung der Stellungnahmen sowie der Diskussionen in den drei Sitzungen des Fachgremiums MaRisk am 12. und 19.02. sowie am 04.03.2021 sind noch für eine Reihe von strittigen Punkt...mehr

Rz. 256 Das Institut hat für die Dokumentation, Steuerung und Überwachung wesentlicher Auslagerungen grundsätzlich klare Verantwortlichkeiten festzulegen. Erfolgt eine vollständige Auslagerung der Risikocontrolling-Funktion, der Compliance-Funktion oder der Internen Revision, hat die Geschäftsleitung einen Beauftragten zu benennen, der eine ordnungsgemäße Durchführung der je...mehr

Rz. 22 Unter dem Eindruck der Finanzmarktkrise hat der Gesetzgeber im Rahmen des Trennbankengesetzes Regelungen in das Kreditwesengesetz aufgenommen, die es ermöglichen, zukünftig Pflichtverletzungen im Risikomanagement auch von Geschäftsleitern auf Gruppenebene strafrechtlich zu sanktionieren (§ 54a KWG). Die Anforderungen an die Geschäftsleiter des übergeordneten Unternehm...mehr

Erfahrungen aus der Aufsichtspraxis, die wiederholt Unklarheiten, aber auch Mängel in der Anwendung der aufsichtlichen Anforderungen bei Auslagerungsverhältnissen zu Tage gefördert haben, haben mich bewogen, einige Ergänzungen und Konkretisierungen im AT 9 vorzunehmen. Zunächst wird klargestellt, dass die Frage des Auslagerungstatbestands unabhängig von möglichen zivilrechtl...mehr

AT 9 Tz. 5 MaRisk schränkt die Auslagerung der besonderen Funktionen anhand bestimmter Kriterien ein. Demnach ist "eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling‐Funktion, Compliance‐Funktion oder Interne Revision […] lediglich für Tochterinstitute innerhalb einer Institutsgruppe zulässig, sofern das übergeordnete Institut Auslagerungsunternehmen i...mehr

Rz. 6 Mit Blick auf § 25a Abs. 1 Satz 3 Nr. 3 KWG fällt auf, dass ein wesentlicher Begriff aus dem Gesetzestext, nämlich die "internen Kontrollverfahren", in der Gliederung dieses Moduls gar nicht auftaucht. Im KWG werden als Kernbestandteile eines angemessenen und wirksamen Risikomanagements an erster Stelle die Risikotragfähigkeit, die Strategien und die "internen Kontroll...mehr

Rz. 32 Die Organisationsrichtlinien haben Regelungen zu umfassen, die eine Einhaltung rechtlicher Regelungen und Vorgaben gewährleisten. Dass die Einhaltung rechtlicher Regelungen und Vorgaben notwendig ist, muss an dieser Stelle nicht weiter ausgeführt werden. Diese Notwendigkeit wird auch unmittelbar im KWG adressiert. Nach § 25a Abs. 1 Satz 1 KWG muss ein Institut über ei...mehr

Rz. 107 Der BCBS, dessen Empfehlungen sich grundsätzlich an große, international tätige Institute richten, betont die Bedeutung einer soliden internen Governance für ein effektives Management der operationellen Risiken. In diesem Zusammenhang äußert sich der BCBS auch zum Modell der drei Verteidigungslinien. Die Institute sollten insbesondere sicherstellen, dass die Funktion...mehr

Rz. 3 Die in den EBA-Leitlinien formulierten Anforderungen an das Risikocontrolling waren bereits vor der vierten MaRisk-Novelle im Jahr 2012 im Rundschreiben enthalten und stellten daher grundsätzlich keine neuen Vorgaben für die Institute dar. Im Rahmen der vierten MaRisk-Novelle wurde die Risikocontrolling-Funktion jedoch nach den Vorstellungen der EBA ausgerichtet und ih...mehr

Rz. 100 Auch für die sonstigen vom Institut als wesentlich identifizierten Risiken gelten zunächst die allgemeinen Anforderungen an die Inhalte der Berichterstattung über die wesentlichen Risiken (→ BT 3.1 Tz. 2 und BT 3.2 Tz. 2). Grundsätzlich bleibt es den Instituten überlassen, zu den erforderlichen Mindestinhalten der Risikoberichterstattung über die anderen wesentlichen...mehr

Rz. 16 Die zugrunde liegende Philosophie dieser drei Verteidigungslinien ist nicht neu[1] und entspricht auch dem Verständnis der MaRisk. Zum operativen Management in den Geschäftsbereichen, also der ersten Verteidigungslinie mit dem "Markt" und dem "Handel", gehören insbesondere die prozessabhängigen Kontrollen und Funktionstrennungen. Die Zuordnung der in den MaRisk aufgef...mehr

Rz. 38 Seit dem Inkrafttreten des CRD IV-Umsetzungsgesetzes umfasst eine ordnungsgemäße Geschäftsorganisation nach § 25a Abs. 1 Satz 6 Nr. 3 KWG auch einen Prozess, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Verstöße gegen die CRR, die Marktmissbrauchsverordnung ("Market Abuse Regulation", MAR)[1], die Verordnung über Märkte für Fin...mehr

Rz. 28 Die EBA hat im Jahr 2012 Leitlinien zur Beurteilung der Eignung von Geschäftsleitern, Mitgliedern der Aufsichtsorgane und sogenannten "Inhabern von Schlüsselfunktionen" ("Key Function Holders") in Instituten veröffentlicht[1] und fünf Jahre später gemeinsam mit der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) grundlegend überarbeitet.[2] Mit diesen im Jah...mehr

Rz. 37 Die mit der Leitung der Risikocontrolling-Funktion und der Leitung der Internen Revision betrauten Personen sowie der Compliance-Beauftragte haben besonderen qualitativen Anforderungen entsprechend ihres Aufgabengebietes zu genügen (→ AT 7.1 Tz. 2, Erläuterung). Im MaRisk-Fachgremium wurde ausgiebig darüber diskutiert, welche über das Gesetz hinausgehenden Anforderung...mehr

Rz. 233 Im Zuge der fünften MaRisk-Novelle wurden besondere Maßstäbe für Auslagerungsmaßnahmen bei der vollständigen oder teilweisen Auslagerung der besonderen Funktionen (→ AT 4.4) sowohl im Hinblick auf die Auslagerungsfähigkeit als auch den Umfang der Auslagerung aufgenommen. Aus Sicht der Aufsicht sind die Risikocontrolling- und die Compliance-Funktion sowie die Interne ...mehr

Rz. 48 Das Aufsichtsorgan spielt auch in den MaRisk eine wichtige Rolle. Allerdings sind die Anforderungen in erster Linie an die Geschäftsleitung des Institutes und nicht etwa unmittelbar an das Aufsichtsorgan selbst gerichtet. Nach den MaRisk wird die Geschäftsleitung dazu verpflichtet, "eine angemessene Einbindung des Aufsichtsorgans" sicherzustellen, damit dieses seine Ü...mehr

Rz. 230 Die prominenteste Schwester der MaRisk für Banken und Finanzdienstleistungsinstitute waren die im Januar 2009 von der BaFin veröffentlichten "Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen" (MaRisk VA).[1] Die MaRisk VA gaben auf der Basis des damaligen § 64a des Gesetzes über die Beaufsichtigung der Versicherungsunternehmen (VAG) einen Rah...mehr

Rz. 34 Gemäß § 2 Abs. 11 InstitutsVergV sind die Risikocontrolling- und die Compliance-Funktion sowie die Interne Revision als Kontrolleinheiten im Sinne der Institutsvergütungsverordnung einzustufen. Für die Vergütung der Leiter der besonderen Funktionen und ihrer Mitarbeiter gelten daher besondere Anforderungen. Gemäß § 5 Abs. 1 Nr. 2 InstitutsVergV dürfen die Vergütungssy...mehr

Rz. 486 Die im Zuge der sechsten MaRisk-Novelle eingefügten Erleichterungen für gruppeninterne Auslagerungen sind in Tz. 15 nicht abschließend geregelt. Seit der fünften MaRisk-Novelle können die Institute bereits Erleichterungen für Auslagerungen der besonderen Funktionen innerhalb einer Institutsgruppe in Anspruch nehmen. Eine vollständige Auslagerung der Risikocontrolling...mehr

Rz. 68 Im Kontext der MaRisk erhält die Prüfung und Beurteilung der Wirksamkeit und Angemessenheit des "Risikomanagements im Allgemeinen" und des "internen Kontrollsystems im Besonderen" seitens der Internen Revision eine besondere Gewichtung. Für die Interne Revision geht es also insbesondere um die Prüfung und Beurteilung des internen Kontrollsystems, d. h. der Regelungen ...mehr

Rz. 9 Die Risikocontrolling- und die Compliance-Funktion gehören ebenfalls zum internen Kontrollsystem. Diese beiden Funktionen werden seit der vierten MaRisk-Novelle explizit genannt (→ AT 4.4.1 und AT 4.4.2). Die Risikocontrolling-Funktion ist vorrangig für die Überwachung der Risiken und die damit verbundene Berichterstattung zuständig. Die Compliance-Funktion muss in ers...mehr

Rz. 145 Wesentliche Rechtsrisiken sind grundsätzlich in einer vom Markt und Handel unabhängigen Stelle zu überprüfen (→ BTO Tz. 8). Hierfür kommt in erster Linie die Rechtsabteilung infrage. Werden durch die Fachabteilungen wesentliche operationelle Risiken identifiziert, bei denen die Gefahr von Verlusten aufgrund der Verletzung geltender rechtlicher Bestimmungen etc. beste...mehr

Rz. 18 Ergänzend zur reasonable assurance für nachhaltigkeitsbezogene steuerungsrelevante Leistungsindikatoren lässt BASF sämtliche wesentlichen Nachhaltigkeitsinformationen im Lagebericht mit eingeschränkter Sicherheit (limited assurance) prüfen. Der Prüfprozess erstreckt sich auf einen ganzjährigen Austausch zwischen Prüfenden und Unternehmen, um neue Berichtsanforderungen...mehr

Rz. 254 Das Institut hat auf der Grundlage einer Risikoanalyse eigenverantwortlich festzustellen, ob die Auslagerung unter Risikogesichtspunkten wesentlich ist. Im Zuge der fünften MaRisk-Novelle wurde der Begriff "Auslagerung von erheblicher Tragweite" eingeführt. Der Begriff stellt neben der "wesentlichen" und der "unwesentlichen Auslagerung" keine dritte Kategorie einer A...mehr

Rz. 1 Nach § 25a Abs. 1 Satz 3 Nr. 3 KWG umfasst das "interne Kontrollsystem" insbesondere die aufbau- und ablauforganisatorischen Regelungen mit klarer Abgrenzung der Verantwortungsbereiche, die Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken entsprechend den in Art. 76 bis 87 CRD IV niedergelegten technischen Kriterien, ...mehr

Rz. 58 Die Anforderungen des Moduls AT 8.1 zielen darauf ab, dass die sich aus Aktivitäten in neuen Produkten oder auf neuen Märkten ergebenden Risiken vom Institut sachgerecht gehandhabt werden können (→ AT 8.1 Tz. 1 und 6). Diese Zielsetzung wird möglicherweise verfehlt, wenn von den neuartigen Aktivitäten betroffene Organisationseinheiten vollständig ausgeklammert werden....mehr

Rz. 247 5 Eine Auslagerung von Aktivitäten und Prozessen in Kontrollbereichen und Kernbankbereichen kann unter Beachtung der in Tz. 4 genannten Anforderungen in einem Umfang vorgenommen werden, der gewährleistet, dass hierdurch das Institut weiterhin über Kenntnisse und Erfahrungen verfügt, die eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistu...mehr

Rz. 36 Neben den besonderen Funktionen im Sinne des Moduls AT 4.4 bestehen in den Instituten regelmäßig weitere besondere Funktionen, die von den Instituten im Rahmen eines risikobasierten Ansatzes ermittelt werden oder sich aus anderen Vorgaben ergeben, wie z. B. die Compliance-Funktion mit dem Compliance-Beauftragten (Art. 22 Abs. 2 und 3 MiFID II-Durchführungsverordnung, §...mehr

Rz. 18 Die Compliance-Funktion kann zur Erfüllung ihrer Aufgaben auch auf andere Funktionen und Stellen zurückgreifen (→ AT 4.4.2 Tz. 3). In einigen Instituten erhält die Compliance-Funktion auch alle Prüfungsberichte der Internen Revision. Dasselbe gilt für die für operationelle Risiken zuständige Einheit, zumal die wesentlichen (offenen) Feststellungen der Internen Revisio...mehr

Rz. 2 Das interne Kontrollsystem (IKS) umfasst gemäß § 25a Abs. 1 Satz 3 Nr. 3 KWG als elementarer Bestandteil des Risikomanagements neben einer Risikocontrolling-Funktion (→ AT 4.4.1) und einer Compliance-Funktion (→ AT 4.4.2) insbesondere die Anforderungen an die Ausgestaltung der Aufbau- und Ablauforganisation mit klarer Abgrenzung der Verantwortungsbereiche (→ AT 4.3.1) ...mehr

Rz. 114 Neben der allgemeinen Ad-hoc-Berichterstattung existieren in den MaRisk noch weitere besondere Informationspflichten gegenüber der Geschäftsleitung bzw. einzelnen Geschäftsleitern. Bei diesen Berichtspflichten wird ebenfalls das Erfordernis der Unverzüglichkeit betont: Ein erheblicher Risikovorsorgebedarf ist der Geschäftsleitung unverzüglich mitzuteilen (→ BTO 1.2.6 ...mehr

Rz. 12 So unterschiedlich wie Unternehmen aufgebaut sind und agieren, so unterschiedlich sind die Verortung des Nachhaltigkeitsmanagements und die Festlegung dessen grundlegender Kompetenzen. Bislang hat sich nicht die eine Organisationsform herausgebildet. Die gewählte Verankerung reflektiert auch die Ambition und Motivation des Unternehmens, z. B. in der Frage, ob Nachhalt...mehr