Compliance-Funktion nach MaRisk


Text der MaRisk    Fachgremium MaRisk zur Compliance-Funktion    Prüfung der MaRisk-Compliance26.02.2014 Entwurf BT 1.3.4 der MaComp04.05.2014
Die Compliance-Funktion-Funktion gehört zu den "Besonderen Funktionen" nach MaRisk. Sie gehört wie die Interne Revision zu den "Three line of defense".An dieser Stelle wird über diese Funktion entsprechend der MaRisk berichtet. Beabsichtigt sind Hinweise zur Vorgehensweise in der Praxis, auch in Bezug zu den anderen "Besonderen Funktionen" nach AT 4.4 der MaRisk.

Eine wirksame Compliance-Organisation stellt ein wesentliches Kriterium für wirksame Risikomanagementsysteme dar. Im Rahmen funktionsfähiger Kontrollprozesse über nimmt die CF eine wesentliche Aufgabe und trägt dazu bei, dass ein Organisationsverschulden minimiert bzw. im Einzelfall ausgeschlossen werden kann.

Nachstehende Compliance-Bereiche sind hierbei insbesondere von Bedeutung:
  • MaRisk-Compliance
  • WpHG-Compliance
  • IT Compliance
  • Tax-Compliance

  • Aktuelles zum Thema Tax Compliance

    01.01.2017

    Im Rahmen eines angemessenen Risikomanagement ist auch die Einhaltung steuerlicher Vorschriften von wesentlicher Bedeutung. Insoweit kommt der Einrichtung eines wirksamen Tax-Compliance-Systems eine wesentliche Bedeutung zu. Die Einhaltung steuerlicher Vorschriften bedarf eines wirksamen Risikomanagementsystems, welches einer Compliance Kontrolle unterliegen muss.

    Insbesondere vor dem Hintergrund des Anwendungserlasses zum § 153 AO muss die Geschäftsführung eines Instituts dafür Sorge tragen, dass wirksame Prozesse vorhanden sind. Der Anwendungserlass zum § 153 AO stellt die Notwendigkeit eines innerbetrieblichen Kontrollsystems dar.
    Insoweit sind angemessene und detaillierte Vorgaben nach AT 5 und 6 der MaRisk notwendig. Bei Einsatz von Informationstechnologie müssen in Anwendung der GoBD die Systembeschreibungen vorliegen und die Korrektheit der Verarbeitung der Daten nachgewiesen sein. Die Geschäftsvorfälle sind zeitnah zu erfassen und müssen vor nachträglicher Änderung geschützt sein. Berichtigungen sind dann gesondert zu behandeln. Durch entsprechende Kontrollen, z.B. im 4-Augen Prinzip, ist die Richtigkeit der Angaben zu prüfen. Leichtfertigkeit im Rahmen einer unrichtigen oder unvollständigen Erklärung müsssen verhindert werden. Vorsätzliches und leichtfertigendes Handeln (auch durch Unterlassen)müssen durch wirksame und angemessene Prozesse somit begegnet werden.

    Das Thema stellt ein bedeutsames/besonderes Prüfungsfeld dar und ist als Teil des audit universe jährlich zu prüfen. Es betrifft alle Steuerarten, die in einer Bank vorkommen. Zu nennen sind hier z.B.die Lohnsteuer, Umsatzsteuer, Gewerbesteuer, Körperschaftssteuer und weiteren Steuerarten im Kundengeschäft.


    Wesentliche aufsichtsrechtliche Grundlagen entsprechend der MaRisk

    AT 1 Tz 1
    Das interne Kontrollsystem umfasst insbesondere Regelungen zur Aufbau- und Ablauforganisation, Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie Kommunikation der Risiken (Risikosteuerungs- und -controllingprozesse) und eine Risikocontrolling-Funktion und eine Compliance-Funktion.

    AT 4.3.1 Tz 1
    In jedem Institut sind entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten
    a) Regelungen zur Aufbau- und Ablauforganisation zu treffen,
    b) Risikosteuerungs- und -controllingprozesse einzurichten und
    c) eine Risikocontrolling-Funktion und eine Compliance-Funktion zu implementieren.

    AT 4.4.2 Compliance-Funktion
    1 Jedes Institut muss über eine Compliance-Funktion verfügen, um den Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können, entgegenzuwirken. Die Compliance-Funktion hat auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken. Ferner hat die Compliance-Funktion die Geschäftsleitung hinsichtlich der Einhaltung dieser rechtlichen Regelungen und Vorgaben zu unterstützen und zu beraten.

    Verantwortung der Geschäftsleiter und der Geschäftsbereiche
    Unbeschadet der Aufgaben der Compliance-Funktion bleiben die Geschäftsleiter und die Geschäftsbereiche für die Einhaltung rechtlicher Regelungen und Vorgaben uneingeschränkt verantwortlich.

    Verhältnis zu anderen aufsichtlichen Vorgaben
    Alle sonstigen Vorgaben zur Compliance-Funktion, die sich aus anderen Aufsichtsgesetzen ergeben (insbesondere § 33 WphG in Verbindung mit dem Rundschreiben „MaComp“; § 25c KWG in Verbindung mit konkretisierenden Verwaltungsvorschriften), bleiben unberührt.


    2 Die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann, erfolgt unter Berücksichtigung von Risikogesichtspunkten in regelmäßigen Abständen durch die Compliance-Funktion.

    3 Grundsätzlich ist die Compliance-Funktion unmittelbar der Geschäftsleitung unterstellt und berichtspflichtig. Sie kann auch an andere Kontrolleinheiten angebunden werden. Zur Erfüllung ihrer Aufgaben kann die Compliance- Funktion auch auf andere Funktionen und Stellen zurückgreifen.

    Anbindung an andere Kontrolleinheiten
    Andere Kontrolleinheiten können z. B. das Risikocontrolling oder der Geldwäschebeauftragte, nicht jedoch die Interne Revision sein. Unbeschadet dessen sollten größere Institute eine eigenständige Organisationseinheit für die Compliance-Funktion vorsehen.


    4 Das Institut hat einen Compliance-Beauftragten zu benennen, der für die Erfüllung der Aufgaben der Compliance-Funktion verantwortlich ist. Abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten sowie der Größe des Instituts kann im Ausnahmefall die Funktion des Compliance-Beauftragten auch einem Geschäftsleiter übertragen werden.

    5 Den Mitarbeitern der Compliance-Funktion sind ausreichende Befugnisse und ein uneingeschränkter Zugang zu allen Informationen einzuräumen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Weisungen und Beschlüsse der Geschäftsleitung, die für die Compliance-Funktion wesentlich sind, sind ihr bekanntzugeben. Über wesentliche Änderungen der Regelungen, die die Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben gewährleisten sollen, sind die Mitarbeiter der Compliance-Funktion rechtzeitig zu informieren.

    6 Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu möglichen Defiziten sowie zu Maßnahmen zu deren Behebung zu enthalten. Die Berichte sind auch an das Aufsichtsorgan und die Interne Revision weiterzuleiten.

    7 Wechselt die Position des Compliance-Beauftragten, ist das Aufsichtsorgan zu informieren.

    AT 5 Tz 3
    3 Die Organisationsrichtlinien haben vor allem Folgendes zu beinhalten:
    a) Regelungen für die Aufbau- und Ablauforganisation sowie zur Aufgabenzuweisung, Kompetenzordnung und zu den Verantwortlichkeiten,
    b) Regelungen hinsichtlich der Ausgestaltung der Risikosteuerungs- und -controllingprozesse,
    c) Regelungen zur Internen Revision,
    d) Regelungen, die die Einhaltung rechtlicher Regelungen und Vorgaben (z. B. Datenschutz, Compliance) gewährleisten, e) Regelungen zu Verfahrensweisen bei wesentlichen Auslagerungen.

    AT 7 Tz 2 Erläuterung
    Anforderungen an die Qualifikation bei besonderen Funktionen Die mit der Leitung der Risikocontrolling-Funktion und der Leitung der Internen Revision betrauten Personen sowie der Compliance-Beauftragte haben besonderen qualitativen Anforderungen entsprechend ihres Aufgabengebietes zu genügen.

    AT 8.1 Tz 4
    4 Sowohl in die Erstellung des Konzeptes als auch in die Testphase sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Im Rahmen ihrer Aufgaben sind auch die Risikocontrolling- Funktion, die Compliance-Funktion und die Interne Revision zu beteiligen.

    AT 8.2 TZ 1
    1 Vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen hat das Institut die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren. In diese Analysen sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Im Rahmen ihrer Aufgaben sind auch die Risikocontrolling-Funktion, die Compliance-Funktion und die Interne Revision zu beteiligen.


    Frühere Hinweise

    Unter dem Punkt Compliance wurde eine Unterlage eingestellt, die sich mit dem Entwurf der BaFin zum BT 1.3.4 beschäftigt.

    Auf der Internetseite der BaFin ist eine neue Konsultation zu den MaComp erschienen. Sie beschäftigt sich mit der Auslagerung von Compliance-Aufgaben.
    Eine Unterlage "Prüfungsprozesse Compliance-Funktion nach AT 4.4.2 der Marisk" wurde eingestellt.27.02.2014

    Handhabung der MaRisk-Pflichten in der Praxis - Berichtswesen der Compliance Funktion - Prüfpflichten entsprechend AT 8 der MaRisk - Umsetzung der Vorgaben des Fachgremiums MaRisk