Fachbeiträge & Kommentare zu Compliance

[…] ich lege Ihnen hiermit den angekündigten Entwurf der Neufassung des Rundschreibens 09/2017 (BA) für die Mindestanforderungen an das Risikomanagement (im folgenden MaRisk) zur Konsultation vor. Die Überarbeitung ist zuvorderst auf Änderungen der internationalen Regelsetzung zurückzuführen. Mit der aktuellen MaRisk-Novelle werden die Leitlinien der EBA zu notleidenden und g...mehr

Rz. 169 Die modulare Struktur der MaRisk hat gegenüber dem Aufbau der alten Mindestanforderungen erhebliche Vorteile für Institute, Prüfer, Verbände, Aufsicht und andere Betroffene. Anpassungen des Regelwerkes führen nicht mehr automatisch zu weiteren Rundschreiben der BaFin. Ein zusätzlicher Vorteil besteht darin, dass im Bedarfsfall vollkommen neue Regelungsbereiche in die...mehr

Rz. 73 Bereits die älteren Vorschläge vom BCBS sowie von CEBS[1] fanden über die Bankenrichtlinie auf europäischer Ebene zu einem großen Teil Eingang in die nationalen Regularien. Von den nationalen Aufsichtsbehörden wurde ausdrücklich gefordert, das Ausmaß, in dem die Institute Liquiditätsrisiken ausgesetzt sind, sowie die Messung und Steuerung dieser Risiken, einschließlic...mehr

Rz. 14 Durch den letzten Prozessschritt der Risikosteuerungs- und -controllingprozesse soll insbesondere sichergestellt werden, dass die Risikosituation mit den risikostrategischen Vorgaben der Geschäftsleitung vereinbar ist. Der Schritt der "Überwachung und Kommunikation" wird unter dem Begriff Risikocontrolling zusammengefasst. Die Funktion des Risikocontrollings ist zur V...mehr

Rz. 34 Wenn es um die Nachhaltigkeitsberichterstattung geht, ist der Kapitalmarkt neben dem Gesetzgeber wohl der wichtigste Adressat von Informationen innerhalb der erstellten Nachhaltigkeitsberichte von Unternehmen. Steht für den Gesetzgeber v. a. die Compliance/Erfüllung der Offenlegungspflichten im Vordergrund, hat der Kapitalmarkt auch ein hohes Interesse an den eigentli...mehr

Rz. 9 Die Finanzmarktkrise im Jahr 2008 hat eindrucksvoll gezeigt, dass Unternehmenskrisen im Banken- und Versicherungssektor zu erheblichen Verwerfungen auf den Finanzmärkten führen können – mit entsprechend negativen Auswirkungen auf die Unternehmen des Finanzsektors sowie die Realwirtschaft. Darüber hinaus haben die notwendig gewordenen staatlichen Stützungsmaßnahmen die ...mehr

Rz. 235 Ursprünglich galten die MaRisk in abgestufter Form auch für Investmentgesellschaften. Nachdem diese jedoch im Jahr 2007 durch das Investmentänderungsgesetz ihre Institutseigenschaft verloren haben, ergab sich – zumindest formal gesehen – eine Lücke. Vor diesem Hintergrund entwickelte die deutsche Aufsicht zunächst separate "Mindestanforderungen an das Risikomanagemen...mehr

Rz. 106 Die Institute sind nicht verpflichtet, die Bestellung, einen Wechsel oder das Ausscheiden des Leiters der Internen Revision der Aufsichtsbehörde anzuzeigen, anders als bspw. beim Compliance-Beauftragten nach § 87 Abs. 5 WpHG oder beim Geldwäschebeauftragten nach § 7 Abs. 4 Satz 1 GwG. Nach den Vorstellungen der EBA sollten CRD-Institute von erheblicher Bedeutung die ...mehr

Rz. 7 Das grundlegende Prinzip besteht darin, zunächst das Institut nach bestimmten Kriterien in verschiedene Prüfungsobjekte aufzuteilen und anschließend deren Risikogehalt und Relevanz zu analysieren und zu bewerten, um auf dieser Basis eine risikoorientierte Prüfungsplanung aufzustellen. Die Einteilung der Prüfungsobjekte kann sich in Abhängigkeit vom verwendeten (prozess...mehr

Rz. 255 Die BaFin hat erstmals am 4. Januar 2016 ihre Merkblätter zu den fachlichen und persönlichen Anforderungen an Geschäftsleiter[1] und Mitglieder des Aufsichtsorgans[2] von Instituten veröffentlicht. Nach verschiedenen Anpassungen in den Vorjahren sind die Merkblätter im Juni 2020 erneut überarbeitet worden, um die gemeinsamen Leitlinien der EBA und der ESMA zur Beurte...mehr

Rz. 10 Gemäß den einschlägigen Leitlinien der EBA sollten die zuständigen Behörden im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (Supervisory Review and Evaluation Process, SREP) bei der Bewertung der internen Governance und der institutsweiten Kontrollen im Einklang mit Vorgaben aus den EBA-Leitlinien zur internen Governance u. a. bewerten, ob im Instit...mehr

Rz. 13 Der Gesetzgeber räumt der Notwendigkeit von Strategien einen hohen Stellenwert ein. So hat der Vorstand nach § 90 Abs. 1 AktG dem Aufsichtsrat u. a. über die beabsichtigte Geschäftspolitik und andere grundsätzliche Fragen der Unternehmensplanung zu berichten. Dabei ist auch auf Abweichungen der tatsächlichen Entwicklung von früher berichteten Zielen unter Angabe von G...mehr

Rz. 111 Nach den Auslagerungsregelungen der MaRisk können Aktivitäten und Prozesse grundsätzlich ausgelagert werden, solange die Ordnungsmäßigkeit der Geschäftsorganisation nicht beeinträchtigt wird. Die teilweise oder vollständige Auslagerung der Internen Revision ist daher – unabhängig von der Größe des auslagernden Institutes – grundsätzlich möglich. Ob und ggf. inwieweit...mehr

Rz. 23 Das Institute of Internal Auditors (IIA) hat im Juli 2020 eine Weiterentwicklung des Modells der drei Verteidigungslinien hin zu einem "Drei-Linien-Modell" ("Three-Lines-Model") angestoßen (siehe Abbildung 40).[1] Dieses Modell verfolgt einen verstärkt prinzipienorientierten Ansatz, der den Bedürfnissen unterschiedlicher Unternehmen besser gerecht werden soll. Die sec...mehr

Rz. 7 Die Geschäftsaktivitäten müssen auf der Grundlage von Organisationsrichtlinien betrieben werden. Diese Anforderung war bereits Gegenstand der MaK und MaH.[1] Auch aus den MaIR konnte mittelbar bereits das Erfordernis einer schriftlich fixierten Ordnung bzw. von Organisationsrichtlinien abgeleitet werden.[2] Für die Institute gehört die Erstellung von Organisationsricht...mehr

Rz. 169 Die MaRisk enthalten im Hinblick auf die Risikoanalyse keine konkreten Vorgaben. Es gilt der Grundsatz der Proportionalität. Die Intensität der Analyse hängt von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse ab. Die MaRisk verlangen lediglich, dass die maßgeblichen Organisationseinheiten bei der Erstellung der Risikoanalyse einz...mehr

Rz. 117 Mit der Errichtung des Einheitlichen Aufsichtsmechanismus ("Single Supervisory Mechanism", SSM) am 4. November 2014 hat die EZB die direkte Aufsicht über die bedeutenden Institute ("Significant Institutions", SI) der teilnehmenden Mitgliedstaaten der Eurozone übernommen. Diese bedeutenden Institute unterliegen in der Aufsichtspraxis zum Teil deutlich strengeren Anfor...mehr

Rz. 10 Nach § 25a Abs. 1 KWG muss ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen, die insbesondere ein angemessenes und wirksames Risikomanagement umfasst, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat. Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Institutes verantwortlich. Ein angemessene...mehr

Rz. 161 Zu den Anforderungen an die Geschäftsleiter nach § 25c KWG besteht eine enge Verbindung. Diese Anforderungen beziehen sich in Abs. 3 zunächst auf die Gesamtverantwortung für die ordnungsgemäße Geschäftsorganisation, die in Abs. 4 durch die Forderung nach angemessenen personellen und finanziellen Ressourcen zur Bewältigung dieser Aufgabe sowie in Abs. 4a bzw. Abs. 4b ...mehr

Rz. 302 Die Spezifizierung der vom Auslagerungsunternehmen zu erbringenden Leistung ist ein zentraler Bestandteil des Auslagerungsvertrages, dessen Bedeutung allerdings in der Praxis häufig unterschätzt wird.[1] Die zu erbringende Leistung sollte so exakt wie möglich mit dem Auslagerungsunternehmen abgestimmt und in einer Leistungsbeschreibung fixiert werden. Um nachträglich...mehr

Rz. 38 Nach dem in Deutschland vorherrschenden dualistischen System der Verwaltungsorgane wird zwischen der Geschäftsleitung gemäß § 25c KWG und dem Aufsichtsorgan gemäß § 25d KWG unterschieden. Die Anforderungen der EBA an Geschäftsleiter und Aufsichtsorgane decken vor dem Hintergrund unterschiedlicher Unternehmensführungsstrukturen in den EU-Mitgliedstaaten dagegen sowohl ...mehr

Rz. 2 Auf Basis ihres Gesamtrisikoprofils müssen die Institute sicherstellen, dass ihre wesentlichen Risiken – unter Berücksichtigung der Auswirkungen von ESG-Risiken – laufend durch das Risikodeckungspotenzial bzw. die Risikodeckungsmasse[1] abgedeckt sind und damit die Risikotragfähigkeit gegeben ist (→ AT 4.1 Tz. 1). Damit wird die Fortführung der Geschäftstätigkeit ermög...mehr

Rz. 6 Für sogenannte "interne Handelsgeschäfte" ist eine sinngemäße Einhaltung der Anforderungen an externe Handelsgeschäfte sicherzustellen. Interne Handelsgeschäfte im Sinne der MaRisk sind Geschäfte innerhalb einer Rechtseinheit ("legal entity", juristische Person), die dazu dienen, Risiken zwischen einzelnen Niederlassungen, Organisationseinheiten oder (Teil-)Portfolios ...mehr

Rz. 5 Eine wesentliche Voraussetzung für ein risikoorientiertes Vorgehen der Internen Revision ist die Analyse aller Prozesse und Aktivitäten im Hinblick auf ihren jeweiligen Risikogehalt. Die konkrete Ausgestaltung dieser Analysetätigkeit bleibt dabei der Internen Revision überlassen. Allerdings benötigt sie dafür einen vollständigen Überblick über die Aktivitäten und Proze...mehr

Rz. 13 Bei der Projektbegleitung stellt sich stets die Frage nach der Unabhängigkeit der Revision, die mit dem zweiten Teil des allgemeinen Grundsatzes zur Tätigkeit der Internen Revision verbunden ist, nämlich ihrer "Prozessunabhängigkeit" (→ AT 4.4.3 Tz. 3). Schließlich werden die als Ergebnis der Projektarbeit entwickelten Strukturen, Tätigkeiten oder Prozesse zu gegebene...mehr

Rz. 75 Um den operationellen Risiken durch ein angemessenes Risikomanagement Rechnung tragen zu können, muss im Institut zunächst Klarheit darüber herrschen, was unter dieser Risikoart genau zu verstehen ist. Insofern beginnt das Management operationeller Risiken mit deren Definition. Grundsätzlich werden diesbezüglich von der deutschen Aufsicht keine Vorgaben gemacht. Aller...mehr

Rz. 45 Sofern das Institut einen "Prüfungsausschuss" ("Audit Committee")[1] eingerichtet hat, kann das Auskunftsrecht gegenüber der Internen Revision alternativ auf den Vorsitzenden des Prüfungsausschusses übertragen werden (→ AT 4.4.3 Tz. 2, Erläuterung). Die Einbeziehung der Geschäftsleitung ist auch in diesem Falle sicherzustellen. Mit dieser Erläuterung wird der Praxis i...mehr

Rz. 308 Seit der sechsten MaRisk-Novelle haben die Vertragsparteien bei wesentlichen Auslagerungen mit Auslandsbezug im Auslagerungsvertrag die Standorte (d. h. Regionen oder Länder) festzulegen, in denen die Durchführung der Dienstleistung erfolgt und/oder maßgebliche Daten gespeichert und verarbeitet werden. Darüber hinaus ist vertraglich zu vereinbaren, dass das Institut ...mehr

Rz. 23 Viele Unternehmen investieren bereits über viele Jahre und Jahrzehnte in ihre IT-Landschaften, insbes. in ihre ERP-Systeme und deren Integration mit Satellitensystemen. In der Vergangenheit lag der Fokus auf der Digitalisierung und Optimierung von Geschäftsprozessen und der Automatisierung von zeitaufwändigen innerbetrieblichen Abläufen. Zunehmend liegt der Fokus nun ...mehr

Rz. 2 Die Institute haben sich bei wesentlichen Veränderungen in der Aufbau- und Ablauforganisation mit deren Auswirkungen auf ihre internen Kontrollverfahren und -prozesse sorgfältig auseinanderzusetzen. Wegen der besonderen Bedeutung für nahezu sämtliche Risikomanagementprozesse erwartet die Aufsicht eine vergleichbare Analyse auch bei wesentlichen Veränderungen in den IT-...mehr

Rz. 308 Die Risikosteuerungs- und -controllingprozesse sowie die zur Risikoquantifizierung eingesetzten Methoden und Verfahren sind regelmäßig sowie bei sich ändernden Bedingungen auf ihre Angemessenheit zu überprüfen und ggf. anzupassen. Dies betrifft insbesondere auch die Plausibilisierung der ermittelten Ergebnisse und der zugrunde liegenden Daten (→ AT 4.3.2 Tz. 5). Konk...mehr

Rz. 63 Die Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter des Institutes im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen). Sie soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen, dass Entscheidungsprozesse zu Ergebnissen führen, die auch unter Risikogesichtspunkten ausgewogen sind. Die Risikokultur stellt somit...mehr

Rz. 86 Um eine angemessene Risikokultur sicherzustellen, sollten die Mitarbeiter dazu motiviert werden, sich entsprechend dem Wertesystem zu verhalten und innerhalb der festgelegten Risikotoleranzen zu agieren.[1] Die Institutsvergütungsverordnung (InstitutsVergV) enthält umfassende Vorgaben für die Ausgestaltung der Vergütungssysteme in den Instituten, die auf angemessene f...mehr

Rz. 205 Prinzipienorientierte Regulierung sichert für Institute und Aufsicht die gerade im heterogenen deutschen Bankenmarkt notwendigen Handlungs- und Gestaltungsspielräume. Es liegt auf der Hand, dass das Risikomanagement von international tätigen Großbanken ganz andere Herausforderungen bewältigen muss als das einer kleineren Genossenschaftsbank mit regionalem Geschäftssc...mehr

Rz. 466 Die Institute lagern zu einem erheblichen Anteil Aktivitäten und Prozesse innerhalb ihrer Gruppe aus. Einer Untersuchung der EZB zufolge entfallen über 50 Prozent der Auslagerungsaktivitäten von europäischen Banken auf "Intra-Group-Outsourcing", wobei die Auslagerungen auf Mutter-, Tochter- oder Schwestergesellschaften möglich sind.[1] Häufig werden Serviceprozesse, ...mehr

Rz. 7 Die Einführung einer ESG-Software kann sehr unterschiedlich gestaltet sein, v.a. auch aufgrund standardisierter interner Beschaffungsprozesse, Freigabeprozesse oder IT-Sicherheitsprozesse. Praxis-Tipp Ganzheitlicher Ansatz Bevor Sie eine ESG-Software auf dem Markt suchen, prüfen Sie, welche Softwarelösungen Sie bereits im Gebrauch haben. Einige ERP- und Controlling-Syste...mehr

Rz. 292 Die konkrete Ausgestaltung des Vertrages ist insbesondere bei komplexen Auslagerungsmaßnahmen alles andere als ein leichtes Unterfangen. Abstrakt gehaltene Formulierungen können sich dabei im Nachhinein als genauso problematisch erweisen wie ein zu hoher Detaillierungsgrad. Auslagerungsverträge haben typischerweise eine mehrjährige Laufzeit, so dass Anpassungen, die ...mehr

Rz. 426 Die Institute haben für die Dokumentation, Steuerung und die Überwachung wesentlicher Auslagerungen klare Verantwortlichkeiten festzulegen (→ AT 9 Tz. 10). Dabei sind im Hinblick auf die organisatorische Ausgestaltung der Auslagerungsüberwachung grundsätzlich sowohl zentrale als auch dezentrale Lösungen denkbar. Die Institute mit einem zentralen Ansatz weisen dem Aus...mehr

Rz. 147 Mit der fünften MaRisk-Novelle wurden in das Rundschreiben besonders anspruchsvolle aufsichtliche Anforderungen aufgenommen, die sich zunächst nur an systemrelevante Institute gerichtet haben. Bei den systemrelevanten Instituten handelt es sich um global systemrelevante Institute im Sinne von § 10f KWG (G-SRI) und um anderweitig systemrelevante Institute im Sinne von...mehr

Rz. 51 Die sogenannte "Waiver-Regelung" gewährt ein nationales Wahlrecht, das der deutsche Gesetzgeber zugunsten der deutschen Kreditwirtschaft zunächst in § 2a KWG umgesetzt hatte.[1] Seit Inkrafttreten der CRR am 1. Januar 2014 sind die materiellen Voraussetzungen an den Waiver für die Eigenmittelanforderungen, die Großkreditregelungen, die Offenlegungsanforderungen und da...mehr

Rz. 20 Die für die Einhaltung der MaRisk wesentlichen Handlungen und Festlegungen sind nachvollziehbar zu dokumentieren (→ AT 6 Tz. 2). Mit Bezug auf die Tätigkeit der Internen Revision betrifft diese Anforderung in erster Linie die relevanten Unterlagen zu den einzelnen Prüfungen. Konkret müssen aus den Arbeitsunterlagen die durchgeführten Prüfungshandlungen sowie die festg...mehr

Rz. 226 Die Auslagerung von Leitungsaufgaben, die aufgrund gesellschaftsrechtlicher oder bankaufsichtsrechtlicher Vorgaben der Geschäftsleitung vorbehalten bleiben, ist unzulässig. Unter Leitungsaufgaben versteht man der einschlägigen Fachliteratur zum Aktiengesetz zufolge die "Unternehmensplanung, -koordination, -kontrolle und Besetzung der Führungsstellen" durch den Vorsta...mehr

Rz. 119 Die wesentlichen operationellen Risiken, d. h. die bedeutenden potenziellen Schadensfälle, müssen identifiziert und beurteilt werden. Für die Identifizierung potenzieller Schadensfälle und zur Beurteilung ihrer möglichen negativen Auswirkungen auf die Ertrags- oder Vermögenslage des Institutes kann u. a. auf die in der Vergangenheit beobachteten Verluste abgestellt w...mehr

Rz. 35 Mit dem CRD IV-Umsetzungsgesetz wurden zum 1. Januar 2014 die Anforderungen an die Aufsichtsorgane der Institute grundlegend neu geregelt (§ 25d KWG) und dabei deutlich erweitert.[1] Die sehr umfangreichen Regelungen dienen der Stärkung der internen Governance-Strukturen und gehen zum großen Teil auf Vorgaben der CRD IV[2] sowie Leitlinien der EBA[3] bzw. ihres Vorgän...mehr

Rz. 5 Die Rolle des Kapitalmarkts bei der Transformation der Wirtschaft in Richtung nachhaltige Entwicklung hat in den letzten Jahren zunehmend an Bedeutung gewonnen. Kapitalgeber wie Großinvestor BlackRock mit Larry Fink geben mit Visionen und CEO-Aufforderungen die Richtung vor. Auch Politik und Gesetzgeber haben die Handlungsnotwendigkeit für den europäischen Kontinent er...mehr

Rz. 47 Im Zuge der siebten MaRisk-Novelle wurden mit Blick auf die Organisationsrichtlinien – wie auch an zahlreichen anderen Textstellen der MaRisk – Anforderungen an den Einbezug von ESG-Risiken ergänzt. So haben die Organisationsrichtlinien nunmehr auch Regelungen zur Berücksichtigung der Auswirkungen von ESG-Risiken zu beinhalten. Dabei spezifizieren die MaRisk keine wei...mehr

Rz. 67 Die Anpassungen des Moduls AT 9 aufgrund der EBA-Leitlinien zu Auslagerungen betrafen den gesamten Auslagerungszyklus. Zunächst wurde die Definition des Auslagerungstatbestandes durch die Aufnahme weiterer Beispiele für den sonstigen Fremdbezug von Leistungen geschärft (→ AT 9 Tz. 1, Erläuterung). Ein weiterer Schwerpunkt lag auf der Risikoanalyse, in der nunmehr auch...mehr

Rz. 9 Auf der Grundlage der Risikotragfähigkeit ist ein System von Limiten zur Begrenzung der Marktpreisrisiken einzurichten, auf dessen mögliche Ausgestaltung an anderer Stelle ausführlich eingegangen wird (→ BTR 2.1 Tz. 1). Rz. 10 Zur Vermeidung von Limitüberschreitungen aufgrund zwischenzeitlicher Veränderungen der Risikopositionen des Anlagebuches sollte vor allem die Ent...mehr

Rz. 177 Zu den Aufgaben der internen Validierung zählt die Überprüfung sowohl der Angemessenheit des Rahmenwerkes für Risikodatenaggregation und Risikoberichterstattung als auch dessen faktische Umsetzung im Institut bzw. in der Gruppe. Die interne Validierungsfunktion sollte sich in erster Linie mit dem "BCBS-239-Zielbild" des Institutes bzw. der Gruppe beschäftigen und die...mehr

Rz. 223 Modul AT umfasst in erster Linie übergeordnete Anforderungen an die Ausgestaltung des Risikomanagements, bei denen grundsätzlich kein konkreter Bezug zu bestimmten Geschäftsbereichen oder Risikoarten besteht. Viele Regelungen der "alten" Mindestanforderungen sind wegen ihres übergreifenden Charakters in diesem Modul "vor die Klammer" gezogen worden. Das betrifft z. B...mehr