Mindestanforderungen an das Risikomanagement 2023 / AT 4.4.2 Compliance-Funktion

1

Jedes Institut muss über eine Compliance-Funktion verfügen, um den Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können, entgegenzuwirken. Die Compliance-Funktion hat auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken. Ferner hat die Compliance-Funktion die Geschäftsleitung hinsichtlich der Einhaltung dieser rechtlichen Regelungen und Vorgaben zu unterstützen und zu beraten. Erläuterung: Verantwortung der Geschäftsleiter und der Geschäftsbereiche Unbeschadet der Aufgaben der Compliance-Funktion bleiben die Geschäftsleiter und die Geschäftsbereiche für die Einhaltung rechtlicher Regelungen und Vorgaben uneingeschränkt verantwortlich. Erläuterung: Verhältnis zu anderen aufsichtlichen Vorgaben Alle sonstigen Vorgaben zur Compliance-Funktion, die sich aus anderen Aufsichtsgesetzen ergeben (insbesondere § 80 Abs. 1 WpHG und Art. 22 Delegierte Verordnung (EU) 2017/565 in Verbindung mit dem Rundschreiben "MaComp"; § 25h KWG in Verbindung mit konkretisierenden Verwaltungsvorschriften), bleiben unberührt.

2	Die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann, erfolgt unter Berücksichtigung von Risikogesichtspunkten in regelmäßigen Abständen durch die Compliance-Funktion.

3

Grundsätzlich ist die Compliance-Funktion unmittelbar der Geschäftsleitung unterstellt und berichtspflichtig. Sie kann auch an andere Kontrolleinheiten angebunden werden, sofern eine direkte Berichtslinie zur Geschäftsleitung existiert. Zur Erfüllung ihrer Aufgaben kann die Compliance-Funktion auch auf andere Funktionen und Stellen zurückgreifen. Die Compliance-Funktion ist abhängig von der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten in einem von den Bereichen Markt und Handel unabhängigen Bereich anzusiedeln. Erläuterung: Anbindung an andere Kontrolleinheiten Andere Kontrolleinheiten können z. B. das Risikocontrolling oder der Geldwäschebeauftragte, nicht jedoch die Interne Revision sein.

4

Bedeutende Institute und Institute gemäß § 2 Abs. 9i Satz 2 KWG, welche die in Satz 2 dieser Vorschrift gesetzte Bilanzschwelle überschreiten haben für die Compliance-Funktion grundsätzlich eine eigenständige Organisationseinheit einzurichten. Erläuterung: Eigenständige Compliance-Einheit Die Kriterien der Verhältnismäßigkeit richten sich nach den Ausführungen in Tz. 206 sowie Titel I der EBA/GL/2021/05. In der eigenständigen Einheit für die Compliance-Funktion dürfen auch weitere Compliance-nahe Kontrolleinheiten angesiedelt sein (z. B. WpHG-Compliance, Geldwäschebeauftragter, Informationssicherheitsbeauftragter, Datenschutz).

5

Das Institut hat einen Compliance-Beauftragten zu benennen, der für die Erfüllung der Aufgaben der Compliance-Funktion verantwortlich ist. Abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten sowie der Größe des Instituts kann im Ausnahmefall die Funktion des Compliance-Beauftragten auch einem Geschäftsleiter übertragen werden.

6

Den Mitarbeitern der Compliance-Funktion sind ausreichende Befugnisse und ein uneingeschränkter Zugang zu allen Informationen einzuräumen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Weisungen und Beschlüsse der Geschäftsleitung, die für die Compliance-Funktion wesentlich sind, sind ihr bekanntzugeben. Über wesentliche Änderungen der Regelungen, die die Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben gewährleisten sollen, sind die Mitarbeiter der Compliance-Funktion rechtzeitig zu informieren.

7

Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu möglichen Defiziten sowie zu Maßnahmen zu deren Behebung zu enthalten. Die Berichte sind auch an das Aufsichtsorgan und die Interne Revision weiterzuleiten. Erläuterung: Ausschüsse des Aufsichtsorgans Adressat der Berichterstattung sollte grundsätzlich jedes Mitglied des Aufsichtsorgans sein. Soweit das Aufsichtsorgan Ausschüsse gebildet hat, kann die Weiterleitung der Informationen auch auf einen Ausschuss beschränkt werden. Voraussetzung dafür ist, dass ein entsprechender Beschluss über die Einrichtung des Ausschusses besteht und der Vorsitzende des Ausschusses regelmäßig das gesamte Aufsichtsorgan informiert. Zudem ist jedem Mitglied des Aufsichtsorgans weiterhin das Recht einzuräumen, die an den Ausschuss geleitete Berichterstattung einsehen zu können.

8	Wechselt die Position des Compliance-Beauftragten, ist das Aufsichtsorgan rechtzeitig vorab unter Angabe der Gründe für den Wechsel zu informieren.