Fachbeiträge & Kommentare zu Compliance

Rz. 38 Über § 91 Abs. 2, 3 AktG und das LkSG hinaus stellt sich ebenfalls die Frage, inwiefern eine regulative Ausdehnung des betrieblichen Risikomanagementsystems (RMS) um Nachhaltigkeitsaspekte notwendig erscheint. Dies impliziert, dass das unternehmerische RMS auf eine Steuerung nicht nur von finanziellen Risiken, sondern zusätzlich von Umwelt- und Sozialrisiken abzielen ...mehr

Rz. 194 Der bei der Risikoanalyse zu betreibende Aufwand orientiert sich am Proportionalitätsprinzip. Die Intensität der Analyse hängt von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse ab (→ AT 9 Tz. 2, Erläuterung). Diese Vorgehensweise entspricht den Vorstellungen der EBA, die in ihren Leitlinien zu Auslagerungen den Grundsatz der Pro...mehr

Rz. 92 Zunächst kann sich ein Institut bewusst dafür entscheiden, bestimmte Risiken zu tragen, weil sich z. B. entsprechende Gegensteuerungsmaßnahmen aus betriebswirtschaftlichen Überlegungen als unbrauchbar erweisen. Dies wird insbesondere dann der Fall sein, wenn die Erträge aus der jeweiligen Geschäftstätigkeit die potenziellen Verluste aus damit verbundenen operationelle...mehr

Rz. 8 Über die Jahre hat sich eine Vielzahl an Rating-Agenturen und ESG-Ratings entwickelt. Gleichzeitig haben sich, besonders in der letzten Dekade, einige Akteure fest im Feld der ESG-Ratings etabliert und werden von einer großen Anzahl an Unternehmen genutzt. Diese Rating-Agenturen (bspw. EcoVadis und CDP) konnten das Vertrauen der Anwender in die Qualität und Nützlichkei...mehr

Rz. 19 An dieser Stelle wird mit Blick auf den Wortlaut von § 25a Abs. 1 Satz 3 Nr. 3 KWG lediglich zum Ausdruck gebracht, dass alle Institute über die wesentlichen Komponenten des internen Kontrollsystems verfügen müssen, d. h. über aufbau- und ablauforganisatorische Regelungen mit klarer Abgrenzung der Verantwortungsbereiche (→ AT 4.3.1), Risikosteuerungs- und -controllingpr...mehr

Rz. 57 5 Sowohl in die Erstellung des Konzeptes als auch in die Testphase sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Im Rahmen ihrer Aufgaben sind auch die Risikocontrolling-Funktion, die Compliance-Funktion und die Interne Revision zu beteiligen. 5.1 Einschaltung der betroffenen Organisationseinheiten Rz. 58 Die Anforderungen des...mehr

Rz. 88 Die Aufsicht schreibt den Instituten keine bestimmte Risikokultur vor.[1] Die individuelle Risikokultur eines Institutes ist vielmehr abhängig von seinem Geschäftsmodell, den Produkten und Märkten sowie den damit verbundenen Risiken, der Kundenstruktur, der (inter-)nationalen oder regionalen Ausrichtung, der Eigentümerstruktur sowie einer möglichen Gruppen- oder Verbu...mehr

Rz. 78 4 Bedeutende Institute und Institute gemäß § 2 Abs. 9i Satz 2 KWG, welche die in Satz 2 dieser Vorschrift gesetzte Bilanzschwelle überschreiten, haben für die Compliance-Funktion grundsätzlich eine eigenständige Organisationseinheit einzurichten. 5.1 Eigenständige Compliance-Funktion Rz. 79 Die Institute haben im Hinblick auf die aufbauorganisatorische Ausgestaltung der...mehr

Rz. 50 Die erneute Anpassung und Ergänzung der MaRisk [1] war u. a. auf die umfassende Überarbeitung der Eigenkapitalvorschriften und die Ausarbeitung der Liquiditätsvorschriften zurückzuführen, die zunächst auf internationaler Ebene erfolgte (Basel III)[2] und anschließend in Europa nachvollzogen wurde – unter Berücksichtigung einiger Besonderheiten des europäischen Finanzma...mehr

In der Aufsichtspraxis sind bei Auslagerungsverhältnissen vielfach nicht nur Unklarheiten, sondern auch Mängel in der Anwendung des AT 9 sichtbar geworden, die mich dazu bewogen haben, Neuerungen, Konkretisierungen und Klarstellungen in diesem Modul vorzunehmen. An einigen Stellen wird die schon existierende aufsichtliche Verwaltungspraxis stärker betont, vor allem aber wird...mehr

Vor dem Hintergrund der schon erwähnten EBA-Guidelines on Internal Governance ist das Modul AT 4.4 umfassender gestaltet worden und beinhaltet mit dem Risikocontrolling und der Compliance-Funktion nun zwei weitere wichtige Bausteine der internen Kontrollverfahren.mehr

Rz. 63 Die MaRisk-Novelle konkretisierte auch die Anforderungen an die Auslagerung von Prozessen und Aktivitäten. Die besonderen Funktionen Risikocontrolling, Compliance und Interne Revision stellen für die Geschäftsleitung wichtige Steuerungsinstrumente dar. Eine vollständige Auslagerung dieser Funktionen ist daher nur in bestimmten Ausnahmefällen möglich.[1] Die Institute ...mehr

Rz. 1 1 Vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen hat das Institut die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren. In diese Analysen sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Im Rahmen ihrer Aufgaben sind auch d...mehr

Rz. 60 Die Institute sollten die Zuständigkeiten für die Entwicklung, Umsetzung und Überwachung der Übergangspläne eindeutig festlegen und zuweisen. Bei der Zuweisung der Rollen und Zuständigkeiten auf einer angemessenen Führungsebene sollten die Institute die Wechselwirkungen und den Einfluss berücksichtigen, den der Prozess der Übergangsplanung auf andere Prozesse, wie die...mehr

Rz. 1 Der Begriff "besondere Funktionen" geht ursprünglich auf die EBA-Leitlinien zur internen Governance aus dem Jahr 2011 zurück, in denen die Einrichtung einer Risikocontrolling-Funktion, einer Compliance-Funktion und einer Internen Revision als "interne Kontrollfunktionen" verlangt wurde. Gleichzeitig wurden u. a. die Leiter dieser Funktionen als "Inhaber von Schlüsselfu...mehr

Rz. 260 Die Anzeige einer Auslagerung der Risikocontrolling- und Compliance-Funktion sowie der Internen Revision bei der Aufsicht war seit der Streichung des § 25a Abs. 2 Satz 3 KWG a. F. durch das Finanzmarktrichtlinie-Umsetzungsgesetz (FRUG) zum 1. November 2007 nicht mehr erforderlich. Anders als bei der Auslagerung von internen Sicherungsmaßnahmen zur Verhinderung von Ge...mehr

[…] in der Anlage übersende ich Ihnen die offizielle Endfassung der überarbeiteten MaRisk, die den Schlusspunkt einer mehrmonatigen Konsultation mit der Kreditwirtschaft bildet. Vorangegangen waren intensive Diskussionen mit Verbänden und Praxisvertretern zum Entwurf der MaRisk, aus der eine Reihe von konstruktiven Lösungsansätzen hervorgingen, die demgemäß auch in die End­fa...mehr

Rz. 85 Der Baseler Ausschuss für Bankenaufsicht erwartet, dass die Risikodatenaggregationskapazitäten und die Verfahren zur Risikoberichterstattung vollumfänglich schriftlich niedergelegt werden.[1] Gefordert werden sogar eine Dokumentation und Erläuterung sämtlicher Prozesse der Risikodatenaggregation.[2] Das Institut muss einen Überblick über die Systemlandschaft und die D...mehr

Rz. 50 Die "Ordnungsmäßigkeit der Geschäftsorganisation" ist gemäß § 25a Abs. 3 KWG auch auf Gruppenebene sicherzustellen: Die Geschäftsleiter des übergeordneten Unternehmens oder zur Unterkonsolidierung verpflichteten Unternehmens sind für die ordnungsgemäße Geschäftsorganisation der Institutsgruppe, der Finanzholding-Gruppe, der gemischten Finanzholding-Gruppe oder der Unt...mehr

Rz. 18 1 In jedem Institut sind entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten 2.1 Ausgestaltung des internen Kontrollsystems Rz. 19 An dieser St...mehr

Rz. 44 Im Januar 2024 hat die EBA in Umsetzung ihres Mandates aus Art. 87a Abs. 5 CRD VI ein Konsultationspapier mit Leitlinien zum Management von ESG-Risiken veröffentlicht, die bis Ende 2024 in ihrer endgültigen Fassung vorliegen sollen und insofern ggf. ein Thema für die neunte MaRisk-Novelle sein könnten. Damit werden viele der neuen Vorgaben in den MaRisk näher ausformu...mehr

Rz. 448 Der Adressat der jährlichen bzw. anlassbezogenen Berichte des Auslagerungsbeauftragten bzw. des Auslagerungsmanagements ist ausschließlich die Geschäftsleitung des Institutes. Anders als z. B. bei den Berichten der Compliance-Funktion (→ AT 4.4.2 Tz. 7) oder den Berichten der Internen Revision (→ BT 2.4 Tz. 4) sind die Berichte über die wesentlichen Auslagerungen nic...mehr

Rz. 92 Das Postulat der Vollständigkeit hängt eng mit der Identifizierung der wesentlichen Risiken zusammen. Werden im Zuge der Risikoidentifizierung, z. B. wegen methodischer Schwächen oder einer ungenügenden Datenbasis, bestimmte wesentliche Risiken nicht bzw. nicht vollständig erfasst, können sie folglich auch nicht bzw. nicht in angemessener Weise im Rahmen der folgenden...mehr

Rz. 56 Seit der Neuregelung der Anforderungen an die Aufsichtsorgane von Instituten im Rahmen des CRD IV-Umsetzungsgesetzes in § 25d KWG hat sich die Interne Revision zu einer zunehmend wichtigen Informationsquelle für dieses Gremium entwickelt. Es ist davon auszugehen, dass diese Funktion durch die Koordination der internen und externen Prüfung (mit Bezug auf deren Befassun...mehr

Rz. 219 Die deutsche Aufsicht hat den Spielraum für Auslagerungen mit der Überführung des alten Rundschreibens 11/2001 in das Modul AT 9 insgesamt ausgedehnt. So sind grundsätzlich alle Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation nach § 25a Abs. 1 KWG nicht beeinträchtigt wird. Diese grundsätzliche Schranke für die Zu...mehr

Rz. 406 Der Revisionsbeauftragte bzw. die Beauftragten, die von der Geschäftsleitung im Fall einer vollständigen Auslagerung der Risikocontrolling- oder Compliance-Funktion zu benennen sind und eine ordnungsgemäße Durchführung der jeweiligen Aufgaben gewährleisten müssen, sind vom zentralen Auslagerungsbeauftragten zu unterscheiden. Die Aufgaben des Auslagerungsbeauftragten,...mehr

Rz. 57 Gemäß § 2a Abs. 2 KWG kann die Aufsichtsbehörde auf Antrag ein Institut von bestimmten Anforderungen an das Management von Risiken nach § 25a Abs. 1 Satz 3 KWG – mit Ausnahme des Liquiditätsrisikos und der Compliance-Funktion – weitgehend freistellen, sofern die Voraussetzungen für den Waiver nach Art. 7 CRR vorliegen. Die Freistellung erstreckt sich auf die Festlegung...mehr

Rz. 72 Auch bei der sechsten MaRisk-Novelle hat die BaFin Anpassungen vorgenommen, die aus der laufenden Aufsichtspraxis resultieren. Darüber hinaus handelte es sich teilweise lediglich um Klarstellungen, die keine neuen Regelungsinhalte mit sich brachten, sondern die existierende Verwaltungspraxis widerspiegelten.[1] Rz. 73 Im Rahmen der Konsultation wurde zwischen den Aufsi...mehr

Rz. 13 Wie beim Neu-Produkt-Prozess (→ AT 8.1 Tz. 5) sind in die Analysen zu den Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Aus Effizienzgründen empfiehlt sich ein vergleichbares Vorgehen wie beim Neu-Produkt-Prozess (NPP), indem die zuständ...mehr

Rz. 160 Die EBA fordert eine vorherige Zustimmung des Aufsichtsorgans, sofern der CRO ersetzt werden soll. Ihren Vorstellungen zufolge sollten sogar die Aufsichtsbehörden über die Genehmigung durch das Aufsichtsorgan und die wichtigsten Gründe für die Abberufung eines CRO in "Instituten von erheblicher Bedeutung" informiert werden.[1] Der Baseler Ausschuss für Bankenaufsicht...mehr

Rz. 39 In manchen Instituten erstellt die Compliance-Funktion einen Verhaltenskodex ("Code of Conduct") oder Rahmenwerke für die Vermeidung bzw. den Umgang mit Interessenkonflikten. Allerdings kommen auch andere Lösungen in Betracht. Mit einem Verhaltenskodex oder Rahmenvorgaben werden die Anforderungen der EBA umgesetzt, die wirksame Richtlinien zur Ermittlung, Bewertung, S...mehr

Rz. 87 Neben bedeutenden Schadensfällen hat ein Institut auch über wesentliche Schwächen sowie wesentliche potenzielle Ereignisse aus operationellen Risiken zu berichten. Diese spezifische Berichtspflicht geht auf eine Ergänzung im Rahmen der sechsten MaRisk-Novelle zurück, wonach die Verfahren zur Beurteilung der operationellen Risiken deren "wesentliche Ausprägungen" erfas...mehr

Rz. 27 Die Geschäftsleiter werden ihrer Verantwortung für alle wesentlichen Elemente des Risikoma­nagements nur gerecht, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung entsprechend treffen. Die Beurteilung der Risiken setzt hierbei nicht notwendigerweise umfassende methodische Kenntnisse im Bereich einzelner Risikomanagementinstru...mehr

Rz. 16 Bereits mit der europäischen Finanzmarktrichtlinie (Markets in Financial Instruments Directive, MiFID)[1] wurden die Erhöhung der Markttransparenz sowie die Stärkung des Wettbewerbes unter Anbietern von Finanzdienstleistungen und damit die Verbesserung des Anlegerschutzes angestrebt. Die MiFID hat außerdem den Börsenhandel liberalisiert, indem mit den "Multilateralen ...mehr

Rz. 9 Die Bankenaufsicht muss ebenfalls ihre Lehren aus den jeweils relevanten Ereignissen der Vergangenheit ziehen. Um den grenzüberschreitenden Aktivitäten vieler Institute gerecht zu werden, muss auch die Zusammenarbeit der Aufsichtsbehörden weiter vorangetrieben werden. Ferner werden seit einigen Jahren makroökonomische Entwicklungen bei der Beaufsichtigung der Institute...mehr

Rz. 49 Vor allem Industrieunternehmen aus dem Konsumgüterbereich bedienen sich häufig sogenannter Markttests, um die Erfolgschancen neuer Produkte besser einschätzen zu können. Der probeweise Verkauf von Erzeugnissen unter kontrollierten Bedingungen in einem begrenzten Markt unter Einsatz ausgewählter oder sämtlicher Marketinginstrumente dient dazu, "allgemeine Erfahrungen b...mehr

Rz. 61 Sowohl der Baseler Ausschuss für Bankenaufsicht (BCBS) als auch die EZB haben konkrete Empfehlungen hinsichtlich der Inhalte von Grundsätzen für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten abgegeben, die die Basis für eine angemessene Governance bilden sollen.[1] Von den Instituten wird erwartet, dass sie ein effektives Rahmenwerk zur Da...mehr

Rz. 3 1 Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikoma­nagements der Institute vor. Es präzisiert ferner die Anforderungen des § 25a Abs. 3 KWG (Risikomanagement auf Gruppenebene) sowie des § 25b KWG (Auslagerung). Ein angemessenes und wirksames Risikomanagem...mehr

Rz. 8 Die Auswahl einer (oder mehrerer) zweckdienlicher ESG-Software kann herausfordernd sein. Um sich im unübersichtlichen ESG-Softwaremarkt nicht zu verlieren, ist die Identifikation der eigenen Use Cases und Anforderungen unumgänglich. Nur so kann sichergestellt werden, dass die ESG-Software das abbildet, was das Unternehmen wirklich braucht und sich die neue Software nah...mehr

Rz. 203 Die EBA unterscheidet in ihren Leitlinien zu Auslagerungen zwischen der Auslagerung von kritischen oder wesentlichen Funktionen ("critical or important functions") und sonstigen Auslagerungen.[1] Der Begriff "kritische oder wesentliche" Funktion ist als Einheit zu verstehen, so dass zwischen der Auslagerung von kritischen/wesentlichen Funktionen einerseits und nicht ...mehr

Rz. 218 4 Grundsätzlich sind Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird. Die Auslagerung darf nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen. Die Leitungsaufgaben der Geschäftsleitung sind nicht auslagerbar. Beson...mehr

Rz. 10 Als Indizien zur Unterscheidung zwischen unterschiedlich relevanten Mängeln können die verschiedenen Informationsadressaten und die zeitliche Abfolge der Berichtspflichten herangezogen werden. Je schneller Feststellungen an die gesamte Geschäftsleitung zu geben sind, desto bedeutender sind sie im Regelfall für das Institut. Eine herausgehobene Berichtspflicht könnte s...mehr

Rz. 185 In Deutschland haben sich die von BaFin und Bundesbank im Jahr 2005 erstmals veröffentlichten MaRisk zur Konkretisierung der gesetzlichen Anforderungen gemäß § 25a Abs. 1 KWG und § 25b KWG bewährt. Bei dem Rundschreiben handelt es sich um norminterpretierende Verwaltungsvorschriften, die für die Institute rechtlich nicht verbindlich sind. Sie tragen jedoch als "Bench...mehr

Rz. 22 3 Die Organisationsrichtlinien haben vor allem Folgendes zu beinhalten:mehr

Rz. 19 Die zuständigen Behörden prüfen im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (Supervisory Review and Evaluation Process, SREP), ob das Institut über institutsinterne Vorgaben für den NPP ("new product approval policy") und einen entsprechenden Prozess verfügt, einschließlich eines Verfahrens für wesentliche Änderungen, die von der Geschäftsleitun...mehr

Rz. 125 Eine Auslagerung liegt vor, wenn ein Auslagerungsunternehmen mit der Wahrnehmung bestimmter Aktivitäten und Prozesse "beauftragt" wird. Eine Auslagerung von Aktivitäten oder Prozessen kann neben dem genannten Auftragsverhältnis auch auf der Grundlage anderer vertraglicher Vereinbarungen erfolgen, z. B. eines Dienst- oder Werkvertrages oder eines Geschäftsbesorgungsve...mehr

Rz. 12 Die integrierten ESG-Kriterien im aktuellen Credit-Rating-Prozess spiegeln weitestgehend die Überprüfung der Legal-Compliance-Anforderungen wider. I. d. R. sind die ESG-Kriterien ohne direkte Auswirkungen auf die Credit-Ratings. Es wird in der finanziellen Bewertung von Unternehmen aber zunehmend versucht, einen Sustainability Impact auf das Credit-Rating abzubilden. ...mehr

Rz. 1 Operationelle Risiken werden im Gegensatz zu Adressenausfallrisiken oder Marktpreisrisiken vom Institut zwar grundsätzlich nicht bewusst eingegangen, um daraus Erträge zu generieren. Allerdings müssen sich die Institute z. B. bei der Einführung neuer (komplexer) Produkte oder bei Änderungen betrieblicher Prozesse und Strukturen der damit verbundenen prozessualen, recht...mehr

Rz. 3 Eine weitere Abweichung gegenüber dem Wortlaut der MaH hat konkrete Auswirkungen auf die Zuordnung bestimmter Funktionen im handelsunabhängigen Bereich. Nach den MaH war der Handel von den anderen "Bereichen" bis einschließlich der Ebene der Geschäftsleitung zu trennen.[1] Durch die Verwendung des Begriffes "Bereich" wurde deutlich, dass die handelsunabhängigen Funktio...mehr

Rz. 96 Jene Weisungen und Beschlüsse der Geschäftsleitung, die für die Tätigkeit der Internen Revision von Bedeutung sein können, müssen ihr bekannt gegeben werden. Diese Anforderung ergänzt das allgemeine Informationsrecht der Internen Revision um Informationspflichten der Geschäftsleitung gegenüber der Revision. Die Interne Revision kann ihre Aufgabe nur effektiv wahrnehme...mehr