Fachbeiträge & Kommentare zu Compliance

Rz. 16 Der deutsche Gesetzgeber hat erstmals im Rahmen der sechsten KWG-Novelle im Jahr 1998 in § 25a Abs. 2 KWG a. F. für Institute Anforderungen an die Zulässigkeit und Ausgestaltung der Auslagerung von Aktivitäten und Prozessen auf andere Unternehmen festgelegt. Die Aufnahme der Regelung in das KWG stellte zugleich klar, dass die Auslagerung von Aktivitäten und Prozessen ...mehr

Rz. 182 Die EZB erwartet, dass die Interne Revision unabhängig von den Aktivitäten der internen Validierungsfunktion Prüfungen der Validierungsfunktion, des Data-Governance-Rahmenwerkes, der Risikodatenaggregationskapazitäten und der Risikoberichterstattung sowie der Qualität der für die Risikoquantifizierung verwendeten Daten durchführt.[1] Diese Anforderung resultiert bere...mehr

Rz. 71 Die Aufsicht macht die Sicherstellung der Datenqualität zu einer Managementaufgabe und nimmt die Geschäftsleitung sehr stark in die Verantwortung. Sowohl der Baseler Ausschuss für Bankenaufsicht (BCBS) als auch die EZB[1] haben betont, dass eine intensive Einbindung der Geschäftsleitung[2] unerlässlich für die Verbesserung der Risikodatenaggregation und der Risikoberi...mehr

Rz. 34 Die Etablierung des Nachhaltigkeitsmanagements und der dazugehörigen Nachhaltigkeitsberichterstattung ist eine herausfordernde Aufgabe, in deren Umsetzung Unternehmen auf einen reichen Fundus an internem Wissen zurückgreifen aus ganz verschiedenen Abteilungen, z. B. Personalabteilung, Steuern, Compliance, Rechtsabteilung, Finanz-Bereichen, Technik und Produktion, Umwe...mehr

Rz. 22 In den MaRisk werden verschiedene Aspekte besonders betont, die den einzelnen Geschäftsleitern bzw. der Geschäftsleitung insgesamt im Zusammenhang mit ihrer Verantwortung für das Risikomanagement als unmittelbare Pflichten auferlegt werden. Dazu gehören insbesondere folgende Anforderungen: Die Geschäftsleitung hat sich zur Beurteilung der Wesentlichkeit regelmäßig und ...mehr

Rz. 195 Legt man die Erläuterungen zugrunde, die zu dieser Anforderung formuliert wurden, zielt die Aufsicht auch auf die zeitlichen Dimensionen der operationellen Risiken ab. So sind bei der Beurteilung der wesentlichen Ausprägungen historische Erkenntnisse, worunter insbesondere die Schadensfälle zu verstehen sind, und potenzielle Ereignisse zu berücksichtigen. Zur Identif...mehr

Rz. 143 Die Leitung der Risikocontrolling-Funktion ist einer Person auf einer ausreichend hohen Führungsebene zu übertragen. Sie hat ihre Aufgaben in Abhängigkeit von der Größe des Institutes sowie von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten grundsätzlich in exklusiver Weise auszufüllen (→ AT 4.4.1 Tz. 4). Die exklusive Wahrnehmung der Leitung der ...mehr

Die in dem neuen Untermodul AT 4.4.1 enthaltenen Anforderungen an das Risikocontrolling stellen in weiten Teilen nichts Neues dar. Vor dem Hintergrund der EBA-Guidelines on Internal Governance erschien es jedoch sinnvoll, diese Anforderungen in gebündelter Form in einem gesonderten Modul niederzulegen und insbesondere den Aufgabenzuschnitt des Risikocontrollings im Geiste de...mehr

AT 1 Tz. 6: Einführung des Begriffs "bedeutende Institute" An dem Begriff "bedeutende Institute" wird die Aufsicht festhalten. Allerdings sollen erläuternde Ausführungen in das Übersendungsschreiben zur MaRisk-Novelle aufgenommen werden. Hinsichtlich der einzelnen Themen, für die die Änderung "bedeutendes Institut" relevant ist, wird auf die Erläuterungen zu den jeweiligen Mod...mehr

Rz. 2 Die technisch-organisatorische Ausstattung umfasst die Gesamtheit der Einrichtungen und Anlagen zur Leistungserstellung eines Institutes. Hierzu zählen z. B. Grundstücke, Gebäude, Büromaterial oder Aufbewahrungsmöglichkeiten. Es ist evident, dass sich z. B. hinsichtlich der Gebäude bei einem Institut mit weit verzweigtem Filialnetz andere Fragen ergeben als bei einem I...mehr

Rz. 63 Die Institute sollten für eine sinnvolle und regelmäßige Zusammenarbeit und einen regelmäßigen Austausch auf allen Ebenen des Institutes sorgen, um zu gewährleisten, dass die Erkenntnisse und Rückmeldungen der internen Betroffenen bei der Ausarbeitung, Umsetzung und Überprüfung der Übergangspläne berücksichtigt werden (können). Dabei sollten die Institute zumindest di...mehr

Rz. 30 Die Institute haben vor der Wiederaufnahme der Geschäftstätigkeit mit den als inaktiv gekennzeichneten Produkten eine Bestätigung der in die Arbeitsabläufe eingebundenen Organisationseinheiten über das Fortbestehen der beim letztmaligen Geschäftsabschluss vorherrschenden Geschäftsprozesse einzuholen. Welche Organisationeinheiten dies im Einzelfall sind, hängt vom Prod...mehr

Rz. 5 Auf Basis der überarbeiteten EBA-Leitlinien zur internen Governance sowie entsprechender Erfahrungen aus der Aufsichtspraxis hat die deutsche Aufsicht die Anforderungen an die besonderen Funktionen im Zuge der fünften MaRisk-Novelle im Jahr 2017 an verschiedenen Stellen ergänzt. Für die Interne Revision waren mit der fünften MaRisk-Novelle vor allem Anpassungen im Hinb...mehr

Rz. 94 Die von der EBA im Februar 2019 veröffentlichten Leitlinien zu Auslagerungen[1] aktualisieren die CEBS-Leitlinien aus dem Jahr 2006 und integrieren die Empfehlungen der EBA zu Outsourcing an Cloud-Anbieter. Darüber hinaus konkretisieren sie die Anforderungen an die Überwachung der Auslagerungen im SREP. Ziel der Leitlinien ist es, die Anforderungen an Auslagerungen eu...mehr

Rz. 11 Der im Jahr 2010 gegründete International Integrated Reporting Council (IIRC) zielte in seinem Rahmenwerk v. a. auf die enge Verzahnung und die Zusammenhänge zwischen integrierter Berichterstattung und integrierter Unternehmenssteuerung ab. Unter der bildhaften Beschreibung "Breaking down the Silos"[1] wurde v. a. die notwendige cross-funktionale Zusammenarbeit zwisch...mehr

Rz. 247 Die BaFin beaufsichtigt Banken, Finanzdienstleister, private Versicherungsunternehmen und den Wertpapierhandel und ist in diesen Bereichen auch für den kollektiven Verbraucherschutz zuständig. Am 4. Mai 2018 hat die BaFin erstmals die Mindestanforderungen an das Beschwerdemanagement veröffentlicht, die im Jahr 2020 überarbeitet wurden.[1] Das Rundschreiben ergänzt di...mehr

Rz. 14 Seit der letzten Überarbeitung des Bankenpaketes im Jahr 2024 müssen die Institute gemäß Art. 76 Abs. 5 CRD IV interne Kontrollfunktionen besitzen, die vom operativen Geschäft unabhängig sind und über ausreichende Autorität, ausreichendes Gewicht, ausreichende Ressourcen und einen ausreichenden Zugang zum Leitungsorgan verfügen. Insbesondere muss sichergestellt sein, ...mehr

Rz. 9 Nachdem die Verantwortung für die Beaufsichtigung der "großen Förderbanken" durch die Anpassungen im Bankenpaket wieder an die deutsche Aufsicht übertragen wurde, hat die BaFin geprüft, welche der für bedeutende Institute geltenden Regeln auch auf diese Institute angewendet werden sollten. Im Ergebnis ihrer Überprüfung ist der Anwendungsbereich für die Vorgaben zur gru...mehr

Rz. 188 Die Risikoanalyse muss grundsätzlich alle relevanten Aspekte umfassen, die für die angemessene Einbindung der ausgelagerten Aktivitäten und Prozesse in das Risikomanagement von Bedeutung sind. Um dies zu gewährleisten, sind die von der Auslagerung maßgeblich betroffenen Organisationseinheiten bei der Risikoanalyse zu beteiligen. Welche Organisationseinheiten bei der ...mehr

Rz. 19 Die Übertragung von einzelnen Tätigkeiten der Internen Revision auf externe Personen oder gar deren vollständige Auslagerung kommt unter Berücksichtigung bestimmter Voraussetzungen grundsätzlich für alle Institute in Betracht (→ AT 9 Tz. 4, 5 und 10). Die Übernahme der Aufgaben der Internen Revision durch einen Geschäftsleiter ist hingegen nur Instituten gestattet, be...mehr

Rz. 102 Institute mit einem Portfolio an gehebelten Transaktionen ("Leveraged Transactions", LT) müssen bei der Festlegung ihrer Strategie die Anforderungen aus Abschnitt 4.3.2 der EBA-Leitlinien für die Kreditvergabe und Überwachung beachten (→ AT 4.2 Tz. 1, Erläuterung). Demnach wird von den Instituten insbesondere erwartet, dass sie eine für alle relevanten Geschäftsberei...mehr

Rz. 200 In allen genannten Varianten der Berichterstattung geht es letztlich darum, auf Schwachstellen hinzuweisen, um frühzeitig geeignete Maßnahmen zur Beseitigung der Ursachen zu treffen, angemessene Risikosteuerungsmaßnahmen zu ergreifen oder Prüfungshandlungen durch die Interne Revision einzuleiten. Auf diese Weise kann vom Institut weiterer Schaden abgewendet werden. D...mehr

Rz. 86 Beim IKT-Risiko sollte nicht nur nach den Vorstellungen des Baseler Ausschusses für Bankenaufsicht mit Verweis auf das Cyber-Lexikon des Financial Stability Boards (FSB) auch das "Cyberrisiko" berücksichtigt werden.[1] Der Definition des FSB zufolge wird die Kombination aus der Wahrscheinlichkeit des Auftretens von Cybervorfällen und deren Auswirkungen als "Cyberrisik...mehr

Rz. 3 Das Ziel ist bekannt, aber was ist der Ausgangspunkt des Unternehmens? Wo befindet sich das Unternehmen in der Maturity Roadmap? Bei dieser Ermittlung kann eine ESG-Readiness-Betrachtung unterstützen. Mit der Beantwortung z. B. nachfolgender Fragen kann sich ein Unternehmen einen Überblick zu seinem Fortschritt als auch ggf. Rückstand hinsichtlich grundlegender Nachhal...mehr

Rz. 2 Diverse Probleme während der Finanzmarktkrise waren darauf zurückzuführen, dass bestimmte Geschäftsaktivitäten und insbesondere die damit verbundenen Risiken nicht von allen Marktteilnehmern vollständig verstanden wurden. So wurde u. a. von einigen Instituten in großem Stil in strukturierte Produkte investiert, da diese von den maßgeblichen Agenturen lange Zeit mit aus...mehr

Rz. 147 Gesetzliche Grundlage der MaRisk und Anknüpfungspunkt für die Umsetzung des "Supervisory Review Process" (SRP) ist § 25a Abs. 1 KWG, der von den Instituten eine "ordnungsgemäße Geschäftsorganisation" fordert. Das KWG zielt diesbezüglich in erster Linie auf ein aus qualitativer Sicht angemessenes Risikoumfeld in den Instituten ab, das zur Stärkung des Risikobewusstsei...mehr

Rz. 71 Einer der wesentlichen Indikatoren für eine angemessene Risikokultur innerhalb eines Unternehmens ist die Leitungskultur ("Tone from the Top"). Denn Mitarbeiter beobachten das Verhalten ihrer Vorgesetzten häufig sehr genau und orientieren sich daran, indem sie ihr eigenes Handeln danach ausrichten. Rz. 72 Zunächst haben die Mitglieder der Geschäftsleitung die gewünscht...mehr

Rz. 39 Nach einschlägigen gesellschaftsrechtlichen Regelungen besteht die Hauptaufgabe des Aufsichtsorgans darin, die Geschäftsführung durch den Vorstand zu überwachen (AktG, Sparkassengesetze der Länder, GenG). Die Interne Revision hat als Instrument der Geschäftsleitung risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allge...mehr

Rz. 79 Die Aufsicht hat sich im Hinblick auf die Abgrenzung zwischen "neuartig" und "nicht-neuartig" in den MaRisk für eine pragmatische Verfahrensweise entschieden. Die Anforderungen des Moduls AT 8.1 zielen im Kern darauf ab, dass Ungewissheiten im Zusammenhang mit neuartigen ­Aktivitäten in kalkulierbare Risiken transformiert werden, die von den involvierten Organisations...mehr

Rz. 4 Nachhaltigkeitsmanagement muss gewollt werden. Und es ist wichtig, dass es als wichtig verstanden wird. Ohne den sog. "tone from the top", d. h. das klare Bekenntnis der Unternehmensleitung zu Nachhaltigkeit, wird es nicht gelingen, ein umfassendes Nachhaltigkeitsmanagement aufzubauen, das selbst ein Vehikel für ein nachhaltiges Wirtschaften ist. Denn Nachhaltigkeitsma...mehr

Rz. 16 Eine Finanzholding-Gruppe besteht aus einer an der Spitze stehenden Finanzholding-Gesellschaft, welcher ein oder mehrere Unternehmen nachgeordnet sind. Die Finanzholding-Gesellschaft ist gemäß Art. 4 Abs. 1 Nr. 20 CRR ein Finanzinstitut, das keine gemischte Finanzholding-Gesellschaft ist und dessen Tochterunternehmen ausschließlich oder hauptsächlich Institute oder Fi...mehr

Rz. 82 Unter anderem wird ein sogenanntes "Silodenken" als einer der Gründe für die Finanzmarktkrise angeführt. Der Baseler Ausschuss für Bankenaufsicht erwartet daher, dass die Institute organisatorische "Silos" vermeiden, die eine effektive Weitergabe von Informationen erschweren und zu Entscheidungen führen, die isoliert vom Rest der Bank getroffen werden.[1] Die zum groß...mehr

Rz. 6 Im Zusammenhang mit unternehmerischem ESG-Management gibt es verschiedene Use Cases, die durch Software gestützt werden können. Dazu zählen u. a. die doppelte Wesentlichkeitsanalyse, die KI-gestützte Analyse von Unternehmensdaten in Bezug auf die European Sustainability Reporting Standards (ESRS), die Identifikation von nachhaltigen Wirtschaftstätigkeiten entsprechend ...mehr

Rz. 93 Der notwendige Grad der Erklärbarkeit der Modellergebnisse hängt vom jeweiligen Adressaten ab. Mögliche Adressaten sind neben der Aufsicht vor allem die Modellentwicklung und -validierung, die Anwender, die internen Kontrollfunktionen und nicht zuletzt die Geschäftsleitung. Dabei haben die Adressaten einen unterschiedlichen fachlichen Hintergrund und verschiedene Info...mehr

Rz. 139 Gestaltungsmöglichkeiten ergeben sich auch aus unbestimmten Rechtsbegriffen (z. B. "wesentlich" oder "angemessen"), deren Präzisierung für allgemeingültige Zwecke weder möglich noch zweckmäßig ist. Auch hier müssen Institute – innerhalb des ihnen zustehenden Beurteilungsspielraumes – eine sachgerechte, einzelfallabhängige Lösung zur Auslegung und Umsetzung der entspr...mehr

Rz. 21 Ein Unternehmen, dessen Wirtschaftstätigkeit unter die Taxonomie-Verordnung fällt und die technischen Bewertungskriterien hinsichtlich wesentlichen Beitrags und erheblicher Beeinträchtigung erfüllt, hat zudem gem. Art. 3 und Art. 18 der Taxonomie-Verordnung sicherzustellen, dass bei der Ausübung dieser Wirtschaftstätigkeit ein entsprechender sozialer Mindestschutz bes...mehr

mehr

Rz. 18 Die geforderte Unabhängigkeit der Risikocontrolling-Funktion sollte allerdings nicht das immer wieder kritisierte "Silodenken" befördern. Nach den Vorstellungen der EBA sollte die Risikocontrolling-Funktion dadurch insbesondere nicht an einem Zusammenwirken mit den Geschäftsbereichen bzw. -einheiten[1], deren Risiken sie kontrolliert, gehindert sein. Das Zusammenwirke...mehr

Rz. 20 Die Prüfungsplanung ist jährlich fortzuschreiben. Das bedeutet zunächst einmal nur, dass jedes Jahr eine neue Planung aufgestellt werden muss, die auf der Planung des Vorjahres aufbaut und insbesondere mit der Dreijahresplanung im Einklang steht. Schließlich kann die grundsätzliche Prüfung aller Aktivitäten und Prozesse innerhalb von drei Jahren schlecht sichergestell...mehr

Rz. 80 Die Europäische Kommission (EU-Kommission) hat im Rahmen ihrer Strategie zur Finanzierung des Übergangs zu einer nachhaltigen Wirtschaft[1] am 22. November 2022 eine Anfrage an die Europäische Bankenaufsichtsbehörde (EBA) zur Definition und zu möglichen Unterstützungsmaßnahmen für grüne Kredite an Privatkunden sowie an kleine und mittlere Unternehmen (KMU) gerichtet.[...mehr

Rz. 41 Das Aufsichtsorgan eines Institutes hat grundsätzlich aus seiner Mitte einen Risikoausschuss, einen Prüfungsausschuss, einen Nominierungsausschuss und einen Vergütungskontrollausschuss zu bilden, die es bei seinen Aufgaben beraten und unterstützen sollen (§ 25d Abs. 7 KWG).[1] Bei bedeutenden Instituten gemäß § 1 Abs. 3c KWG ist die Bestellung eines Risiko-, eines Prü...mehr

Rz. 294 Nach einschlägigen gesetzlichen Vorgaben (z. B. AktG, GenG) besteht die Hauptaufgabe des Aufsichtsorgans darin, die durch den Vorstand ausgeübte Geschäftsführung des Unternehmens zu überwachen. Es versteht sich daher von selbst, dass sich das Aufsichtsorgan im Rahmen seiner Überwachungspflichten auch intensiv mit der strategischen Ausrichtung des Institutes und deren...mehr

Rz. 17 Die EBA fordert von den Instituten, ihre Kapazitäten zum Änderungsmanagement im Rahmen des allgemeinen Managements operationeller Risiken zu nutzen, um potenzielle Auswirkungen auf die Durchführung kritischer Operationen und auf deren Verbindungen und Abhängigkeiten untereinander zu bewerten.[1] Konkret erwartet die EBA von der Geschäftsleitung die Sicherstellung, das...mehr

Rz. 42 Bei der Entscheidung, ob es sich um neuartige Aktivitäten handelt, ist ein vom Markt bzw. vom Handel unabhängiger Bereich einzubinden. Es ist daher nicht möglich, dass z. B. ausschließlich der Handel oder der Markt darüber entscheiden, ob ein neues Produkt vorliegt oder nicht. Durch diese Einschränkung soll sichergestellt werden, dass bereits zu Beginn des NPP die Sic...mehr

Rz. 172 Der Baseler Ausschuss für Bankenaufsicht (BCBS) erwartet, dass die Kapazitäten zur Risikodatenaggregation und die Verfahren zur Risikoberichterstattung eines Institutes hohen Validierungsstandards unterliegen. Diese Validierung[1] ist unabhängig durchzuführen und soll die Einhaltung der aufgeführten Grundsätze im Institut überprüfen. Der vorrangige Zweck der unabhäng...mehr

Rz. 43 Bis zum Inkrafttreten des Trennbankengesetzes bestanden die verschiedenen Berichtspflichten der Internen Revision grundsätzlich nur gegenüber der Geschäftsleitung. Wie bei der Risikoberichterstattung (→ AT 4.3.2 Tz. 3 und BT 3.1 Tz. 5) hatte die Geschäftsleitung das Aufsichtsorgan allerdings regelmäßig über die Ergebnisse der Revisionstätigkeit zu unterrichten. Die Ma...mehr

Rz. 87 Ohne ausreichende Informationsbasis ist die effektive Durchführung von Prüfungshandlungen durch die Interne Revision schlichtweg unmöglich. Daher ist es essenziell, dass der Internen Revision von vornherein ein Informationsrecht eingeräumt wird, das die unmittelbare Einholung der notwendigen Informationen bei Mitarbeitern anderer Bereiche gewährleistet, ohne langwieri...mehr

Rz. 52 Die EBA verlangt von den Instituten die Erarbeitung eines Rahmenwerkes für die interne Governance, wobei für die jeweiligen Anforderungen (z. B. organisatorische und operative Struktur des Institutes, Auslagerungen, Risikokultur, Verhaltenskodex, Umgang mit Interessenkonflikten, Whistleblowing-Verfahren) Richtlinien vorgehalten werden sollen.[1] In den von der EBA im ...mehr

Rz. 18 Die MaRisk enthalten eine Vielzahl von Öffnungsklauseln, die abhängig von der Größe des Institutes, den Geschäftsschwerpunkten und der Risikosituation individuelle Umsetzungslösungen möglich machen (→ AT 1 Tz. 5). Diese Öffnungsklauseln sind eng mit dem Proportionalitäts­prinzip verknüpft, das ein immanenter Bestandteil des aufsichtlichen Überprüfungs- und Bewertungsp...mehr

Rz. 76 Die Geschäftsleitung ist für die Genehmigung des Stresstestprogramms und die Überwachung seiner Umsetzung und Durchführung verantwortlich. Sie muss deshalb die wesentlichen Aspekte des Stresstestprogramms verstehen, um sich aktiv an Diskussionen mit den für die Stresstests verantwortlichen Gremien bzw. Mitarbeitern oder externen Beratern zu beteiligen, wichtige Modell...mehr