Das Vorgehen bei Prüfungs- und Überwachungshandlungen durch die Compliance-Funktion nach MaRisk in der Praxis.
Markus Müller, MaRisk-Compliance-Officer, Corporate Compliance, Landesbank Hessen-Thürigen Girozentrale (Helaba)
Simone Richter, MaRisk-Compliance-Officer, Corporate Compliance, Landesbank Hessen-Thürigen Girozentrale (Helaba).
I. Einleitung
Die gesetzliche Grundlage für die Durchführung von Überwachungshandlungen der MaRisk-Compliance-Funktion ist in AT 4.4.2 MaRisk[1] verankert worden. Hier sind in wenigen Kernaussagen die Erwartungen der Aufsicht an diese besondere regulatorische Corporate-Compliance-Funktion formuliert:
- Die MaRisk-Compliance-Funktion hat auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken.
- Die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann, hat in regelmäßigen Abständen unter Berücksichtigung von Risikogesichtspunkten zu erfolgen.
- In ihren Berichten hat die Compliance-Funktion auf die Angemessenheit und Wirksamkeit dieser Regelungen und Vorgaben einzugehen und Angaben zu möglichen Defiziten sowie zu Maßnahmen zu deren Behebung zu machen.
Hieraus lässt sich allerdings noch nicht explizite die formale Pflicht zur Durchführung von Überwachungshandlungen ableiten. In ihrem Protokoll des Fachgremiums MaRisk[2] stellt die BaFin jedoch ergänzend klar, dass gerade mit Hinblick auf andere fundamentale regulatorische Grundlagen, wie beispielsweise die Vorgaben der EBA Guidelines on Internal Governance[3] und die Regelungen der MaComp zum Compliance-Überwachungsprogramm, ein solches Vorgehen auch von einer MaRisk-Compliance-Funktion erwartet wird. Hierzu wurde der MaRisk-Compliance-Funktion ein uneingeschränktes Zugriffsrecht auf alle erforderlichen Informationen eingeräumt. Explizite Vorgabe zum Umfang der Überwachungshandlungen hat die BaFin mit Verweis auf die Eigenverantwortung der Institute, einen institutsspezifischen risikobasierten Ansatz zu etablieren, nicht gemacht.

[...]
Beitragsnummer: 9547