Compliance-Funktion
Rundschreiben 10/2021 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk
AT 4.4.2 Compliance-Funktion
- Jedes Institut muss über eine Compliance-Funktion verfügen, um den Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können, entgegenzuwirken. Die Compliance-Funktion hat auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken. Ferner hat die Compliance-Funktion die Geschäftsleitung hinsichtlich der Einhaltung dieser rechtlichen Regelungen und Vorgaben zu unterstützen und zu beraten.
- Die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann, erfolgt unter Berücksichtigung von Risikogesichtspunkten in regelmäßigen Abständen durch die Compliance-Funktion.
- Grundsätzlich ist die Compliance-Funktion unmittelbar der Geschäftsleitung unterstellt und berichtspflichtig. Sie kann auch an andere Kontrolleinheiten angebunden werden, sofern eine direkte Berichtslinie zur Geschäftsleitung existiert. Zur Erfüllung ihrer Aufgaben kann die Compliance-Funktion auch auf andere Funktionen und Stellen zurückgreifen. Die Compliance-Funktion ist abhängig von der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten in einem von den Bereichen Markt und Handel unabhängigen Bereich anzusiedeln.
- Bedeutende Institute haben für die Compliance-Funktion grundsätzlich eine eigenständige Organisationseinheit einzurichten.
- Das Institut hat einen Compliance-Beauftragten zu benennen, der für die Erfüllung der Aufgaben der Compliance-Funktion verantwortlich ist. Abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten sowie der Größe des Instituts kann im Ausnahmefall die Funktion des Compliance-Beauftragten auch einem Geschäftsleiter übertragen werden.
- Den Mitarbeitern der Compliance-Funktion sind ausreichende Befugnisse und ein uneingeschränkter Zugang zu allen Informationen einzuräumen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Weisungen und Beschlüsse der Geschäftsleitung, die für die Compliance-Funktion wesentlich sind, sind ihr bekanntzugeben. Über wesentliche Änderungen der Regelungen, die die Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben gewährleisten sollen, sind die Mitarbeiter der Compliance-Funktion rechtzeitig zu informieren.
- Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu möglichen Defiziten sowie zu Maßnahmen zu deren Behebung zu enthalten. Die Berichte sind auch an das Aufsichtsorgan und die Interne Revision weiterzuleiten.
- Wechselt die Position des Compliance-Beauftragten, ist das Aufsichtsorgan rechtzeitig vorab unter Angabe der Gründe für den Wechsel zu informieren.
Rundschreiben 2/2017 (VA) – Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen – MaGo
9.2 Compliance-Funktion
86 Die Compliance-Funktion überwacht nach Maßgabe der folgenden Absätze die Einhaltung der zu beachtenden Gesetze und Verordnungen, aufsichtsbehördlichen Anforderungen sowie sonstigen externen Vorgaben und Standards (im Folgenden: externe Anforderungen).
87 Die Compliance-Funktion überwacht insbesondere, ob die Einhaltung der externen Anforderungen durch angemessene und wirksame interne Verfahren sichergestellt wird. Dabei ist nicht zwingend erforderlich, dass die Compliance-Funktion selbst solche Verfahren implementiert. Vielmehr hat die Compliance-Funktion gegebenenfalls zu überwachen, ob die betroffenen Bereiche angemessene und wirksame Verfahren eigenverantwortlich einrichten. Für die Überwachung müssen der Compliance-Funktion die internen Vorgaben bekannt sein, welche die Einhaltung der externen Anforderungen sicherstellen sollen. Soweit andere Stellen prüfen, ob diese internen Vorgaben ihrerseits eingehalten werden, muss die Compliance-Funktion mindestens Art, Umfang und Ergebnisse der Prüfung kennen und unter Compliance-Gesichtspunkten bewerten.
88 Die Überwachung umfasst mindestens die Rechtsbereiche, die mit wesentlichen Risiken verbunden sind. Dies sind zumindest die für den Betrieb des Versicherungsgeschäftes geltenden Gesetze, Verordnungen und aufsichtsbehördlichen Anforderungen.
89 Die Verantwortlichkeit und der Aufgabenkatalog eines gesetzlich vorgeschriebenen Unternehmensbeauftragten bleiben unberührt. Gesetzlich vorgeschriebene Unternehmensbeauftragte führen jedoch nicht dazu, dass die betreffenden Rechtsbereiche vollständig aus der Verantwortung der Compliance-Funktion herausfallen. Die Compliance-Funktion muss bei Rechtsbereichen, die mit wesentlichen Risiken verbunden sind, dann mindestens überwachen, ob die Unternehmensbeauftragten ihre gesetzlich vorgeschriebenen Aufgaben wahrnehmen.
90 Die Compliance-Funktion berät die Geschäftsleitung in Bezug auf die Einhaltung der für den Betrieb des Versicherungsgeschäftes geltenden Gesetze, Verordnungen und aufsichtsbehördlichen Anforderungen. Die Compliance-Funktion kann die Geschäftsleitung unter anderem dabei unterstützen, der Mitarbeiterschaft die Compliance-Themen bewusst zu machen und darauf hinzuwirken, dass diese in der täglichen Arbeit beachtet werden.
91 Die Compliance-Funktion beurteilt mögliche Auswirkungen von Änderungen des Rechtsumfeldes. Dafür muss sie Entwicklungen des Rechtsumfeldes frühzeitig beobachten und analysieren. Die gesamte Geschäftsleitung ist so zeitnah über die Folgen wesentlicher Änderungen des Rechtsumfeldes zu informieren, dass sie entsprechende Vorkehrungen und Maßnahmen ergreifen kann.
92 Die Compliance-Funktion identifiziert und beurteilt die Compliance-Risiken. Zu den Compliance-Risiken gehören alle Risiken, die aus der Nichteinhaltung externer Anforderungen resultieren.
93 Die Identifikation und Beurteilung der Compliance-Risiken erfolgt unter Risikogesichtspunkten in regelmäßigen Abständen durch die Compliance-Funktion.
94 Die Aktivitäten der Compliance-Funktion erfolgen auf Basis eines Compliance-Planes. Der Compliance-Plan berücksichtigt alle relevanten Geschäftsbereiche. Die Auswahl der Aktivitäten erfolgt risikoorientiert. Die Aktualität des Compliance-Planes ist regelmäßig zu überprüfen.
95 Die Compliance-Funktion berichtet der gesamten Geschäftsleitung regelmäßig über aktuelle Compliance-Themen. Dazu erstellt sie in angemessenen Zeitabständen, mindestens jährlich, einen Bericht. Zur Ad-hoc-Berichtspflicht der Compliance-Funktion gemäß Artikel 268 Abs. 3 DVO siehe unter 9.1.2.
96 Der Bericht erläutert zumindest die wesentlichen Compliance-Risiken und die diese Risiken mindernden Maßnahmen und gibt der Geschäftsleitung einen Überblick über die Angemessenheit und Wirksamkeit der implementierten Verfahren zur Einhaltung der externen Anforderungen.