BaFin

Thema Risikomanagement Rundschreiben 5/2010 (WA) vom 30.06.2010 zu den Mindestanforderungen an das Risikomanagement für Investmentgesellschaften - InvMaRisk

Geschäftszeichen WA 41-Wp 2136-2008/0009Datum: 30.06.2010

Mindestanforderungen Risikomanagement

Auf dieser Seite:

1. Vorbemerkung

  1. Dieses Rundschreiben gibt auf der Grundlage des § 9a des Investmentgesetzes (InvG) einen flexiblen und praxisnahen Rahmen für die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation der Kapitalanlagegesellschaften und selbstverwaltenden Investmentaktiengesellschaften vor. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere:
    - Ein angemessenes Risikomanagementsystem
    - Geeignete Regelungen für die persönlichen Geschäfte der Mitarbeiter
    - Geeignete Regelungen für die Anlage des eigenen Vermögens in Finanzinstrumenten
    - Angemessene Kontroll- und Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung
    - Regelungen zu Verfahrensweisen bei Auslagerungen
    - Eine angemessene Dokumentation
    - Angemessene Kontrollverfahren (einschließlich der Internen Revision)

    Das Risikomanagementsystem und die übrigen Kontrollverfahren schaffen die Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktionen des Aufsichtsrats der Gesellschaft und beinhalten deshalb auch dessen angemessene Einbindung.

  2. Das Rundschreiben bezieht sich auf die zulässigen Geschäftstätigkeiten einer Kapitalanlagegesellschaft, mithin die Verwaltung von Investmentvermögen, die Erbringung von Dienstleistungen und Nebendienstleistungen im Sinne des § 7 Abs. 2 InvG sowie die Anlage des eigenen Vermögens der Kapitalanlagegesellschaft und die zulässigen Geschäftstätigkeiten einer selbstverwaltenden Investmentaktiengesellschaft.
  3. Als Konkretisierung des § 9a InvG setzt dieses Rundschreiben zugleich die Anforderungen der Art. 12 Abs. 1 Unterabsatz 2 Buchstabe a sowie Art. 51 Abs. 1 Unterabsatz 1 der Richtlinie 85/611 EWG vom 20. Dezember 1985, zuletzt geändert durch Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 (OGAW-IV-Richtlinie) in deutsches Recht um. Die Anforderungen des Rundschreibens gelten grundsätzlich für alle Arten von Investmentvermögen nach dem InvG. Das Rundschreiben berücksichtigt aber auch besondere Anforderungen für die Einrichtung eines geeigneten Risikomanagementsystems bei der Verwaltung eines Immobilien-Sondervermögens. Das Rundschreiben berücksichtigt zudem besondere Anforderungen an das Risikomanagement von richtlinienkonformen Investmentvermögen (CESR´s Risk management principles for UCITS, Ref. CESR/09-178) sowie von Sondervermögen mit zusätzlichen Risiken bzw. Dach-Sondervermögen mit zusätzlichen Risiken im Sinne der §§ 112 und 113 InvG. Bezüglich Dach-Sondervermögen mit zusätzlichen Risiken sind auch Anforderungen aus dem IOSCO Report vom September 2009 „Elements of International Regulatory Standards on Funds of Hedge Funds Related Issues Based on Best Market Practices“ in diesem Rundschreiben enthalten. Diese Ausführungen sind jedoch nicht als abschließende Regelung zu verstehen. Gesetzliche Regelungen (z.B. § 80b InvG) sind weiterhin zu berücksichtigen. Das Rundschreiben konkretisiert auch die organisatorischen Anforderungen an das Risikomanagement für Investmentvermögen, in denen Derivate enthalten sind, nach § 1 der Verordnung über Risikomanagement und Risikomessung beim Einsatz von Derivaten in Sondervermögen nach dem Investmentgesetz (DerivateV).
  4. Das Rundschreiben berücksichtigt die Organisationsanforderungen infolge der Umsetzung von Art. 13 der Richtlinie 2004/39/EG (Finanzmarktrichtlinie) in § 33 Abs. 1 des Gesetzes über den Wertpapierhandel (WpHG), soweit diese gemäß § 5 Abs. 3 InvG auf Dienstleistungen und Nebendienstleistungen von Kapitalanlagegesellschaften Anwendung finden. Dies betrifft die allgemeinen organisatorischen Anforderungen gemäß Art. 5, die Anforderungen an das Risikomanagement gemäß Art. 7, die Anforderungen zur Geschäftsleiterverantwortung gemäß Art. 9 sowie an Auslagerungen gemäß Art. 13 und 14 der Richtlinie 2006/73/EG (Durchführungsrichtlinie zur Finanzmarktrichtlinie). Die Organisationspflichten für Dienst- und Nebendienstleistungen einer Kapitalanlagegesellschaft gemäß § 5 Abs. 3 InvG i.V.m. § 33 Abs. 1 Satz 1 und Abs. 2 Wertpapierhandelsgesetz (WpHG) i.V.m. § 25a Abs. 1 und 2 des Gesetzes über das Kreditwesen (KWG) sind mit diesem Rundschreiben abschließend geregelt. Das Rundschreiben 15/2009 (BA) vom 14.08.2009 – Mindestanforderungen an das Risikomanagement (MaRisk BA) – findet keine Anwendung. Weitere Vorschriften, die sich aus den §§ 31 bis 31b, § 31d sowie §§ 33 bis 34a WpHG ergeben, bleiben hiervon unberührt. Allerdings sind die Vorschriften der Mindestanforderungen an Compliance (MaComp) AT 1 bis einschließlich BT 1 nicht für Kapitalanlagegesellschaften anwendbar, da entsprechende Organisationspflichten ausreichend durch dieses Rundschreiben geregelt sind.
  5. Die in dem Rundschreiben niedergelegten Anforderungen mit Ausnahme des Abschnitts 10 sind nach einer Übergangsfrist von sechs Monaten nach Veröffentlichung dieses Rundschreibens auf der Internetseite der Bundesanstalt für Finanzdienstleistungsaufsicht umzusetzen. Die Einhaltung der in Abschnitt 10 aufgeführten Anforderungen muss spätestens bis zum 30. Juni 2011 erfolgen. Der Abschlussprüfer hat die erfolgten Umsetzungsschritte in der nächsten Abschlussprüfung darzustellen.
  6. Das Rundschreiben ist prinzipienorientiert konzipiert und damit zugleich dem Grundsatz der Proportionalität verpflichtet. Es bleibt den Kapitalanlagegesellschaften bzw. selbstverwaltenden Investmentaktiengesellschaften überlassen, im Rahmen der einzuhaltenden Mindestanforderungen zu entscheiden, welche konkrete Ausgestaltung des Risikomanagementsystems für sie auf Grund der Art, Umfang, Komplexität und Risikogehalt ihrer Aktivitäten und der verwalteten Investmentvermögen angemessen ist. Zudem trägt das Rundschreiben der heterogenen Struktur der Kapitalanlagegesellschaften und der verwalteten Investmentvermögen bzw. der Investmentaktiengesellschaften auch durch zahlreiche Öffnungsklauseln Rechnung, die insbesondere kleineren Kapitalanlagegesellschaften und Investmentaktiengesellschaften eine vereinfachte Umsetzung ermöglichen. Das Rundschreiben ist gegenüber der laufenden Fortentwicklung der Prozesse und Verfahren im Risikomanagement offen, soweit diese im Einklang mit den Zielen des Rundschreibens stehen. Für diese Zwecke wird die Bundesanstalt für Finanzdienstleistungsaufsicht einen fortlaufenden Dialog mit der Praxis führen.
    7.Die Bundesanstalt für Finanzdienstleistungsaufsicht erwartet, dass der flexiblen Grundausrichtung des Rundschreibens im Rahmen von externen Prüfungen Rechnung getragen wird. Prüfungen sind daher auf der Basis eines risikoorientierten Prüfungsansatzes durchzuführen.

2. Anwenderkreis

Die Anforderungen des Rundschreibens sind von allen Kapitalanlagegesellschaften im Sinne von § 6 Abs. 1 InvG zu beachten. Die Anforderungen sind von selbstverwaltenden Investmentaktiengesellschaften im Sinne von § 96 InvG entsprechend umzusetzen. Aus Gründen der sprachlichen Vereinfachung benutzt dieses Rundschreiben fortan den Begriff „Gesellschaften“ für alle in den Anwendungsbereich fallenden Unternehmen. Die Anforderungen des Rundschreibens gelten auch für die Zweigniederlassungen deutscher Gesellschaften im Ausland. Auf Zweigniederlassungen von Verwaltungsgesellschaften mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 13 InvG finden sie keine Anwendung.

3. Gesamtverantwortung der Geschäftsleitung

Alle Geschäftsleiter (§ 2 Abs. 16 InvG) sind, unabhängig von der internen Zuständigkeitsregelung, für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich. Diese Verantwortung bezieht sich auch auf alle wesentlichen Elemente des Risikomanagementsystems und alle ausgelagerten Aufgaben im Sinne des Abschnitts 9. Die Geschäftsleiter werden dieser Verantwortung nur gerecht, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treffen.

4. Elemente eines angemessenen Risikomanagementsystems

4.1 Grundlagen

  1. Das Risikomanagementsystem stellt die Gesamtheit aller Maßnahmen zur Erfassung, Messung, Steuerung, Überwachung und Kommunikation von Risiken (Risikocontrolling und Risikosteuerung) dar. Das Risikomanagementsystem ist nicht als abschließende Organisationseinheit aufzufassen, sondern als Gesamtheit von umfangreichen formalen Strukturen und Prozessen zu verstehen. Aufbau- und ablauforganisatorisch können sich Risikocontrolling- und Risikosteuerungsprozesse auf diverse Einheiten erstrecken. Die Funktionstrennung nach 4.3 und 4.4.2 ist dabei zu gewährleisten. Ein ganzheitliches Risikomanagementsystem umfasst insbesondere die in Abschnitt 4 genannten Elemente.
  2. Die Anforderungen des Rundschreibens beziehen sich auf das Management der für die Investmentvermögen und für die Gesellschaft wesentlichen Risiken. Zur Beurteilung der Wesentlichkeit hat sich die Geschäftsleitung regelmäßig und anlassbezogen einen Überblick über alle Risiken zu verschaffen. Die Risiken sind sowohl für jedes Investmentvermögen (Gesamtrisikoprofil des Investmentvermögens) als auch auf der Ebene der Gesellschaft (Gesamtrisikoprofil aller Investmentvermögen und der Gesellschaft) zu erfassen. Grundsätzlich sind zumindest die folgenden Risiken als wesentlich einzustufen:
    a) Adressenausfallrisiken,
    b) Marktpreisrisiken,
    c) Liquiditätsrisiken,
    d) operationelle Risiken (einschließlich Rechtsrisiken und Reputationsrisiken).

Mit den genannten Risiken verbundene Risikokonzentrationen sind zu berücksichtigen. Für Risiken, die als nicht wesentlich eingestuft werden, sind angemessene Vorkehrungen zu treffen.


4.2 Strategien

  1. Die Geschäftsleitung hat eine nachhaltige Geschäftsstrategie und eine dazu konsistente Risikostrategie festzulegen. Bei der Ausarbeitung der Risikostrategie sind die in der Geschäftsstrategie niederzulegenden Ziele und Planungen der wesentlichen Geschäftsaktivitäten sowie die Risiken von Auslagerungen im Sinne des Abschnitts 9 zu berücksichtigen. Die Verantwortung für die Festlegung der Strategien ist nicht delegierbar. Die Geschäftsleitung muss für die Umsetzung der Strategien Sorge tragen. Der Detaillierungsgrad der Strategien ist abhängig von Umfang und Komplexität sowie dem Risikogehalt der geplanten Geschäftsaktivitäten.
  2. Die Risikostrategie hat, gegebenenfalls unterteilt in Teilstrategien, die Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten zu umfassen. Risikokonzentrationen sind dabei auch mit Blick auf die Ertragssituation der Gesellschaft (Ertragskonzentrationen) zu berücksichtigen.
  3. Die Geschäftsleitung hat die Strategien mindestens jährlich zu überprüfen und gegebenenfalls anzupassen. Diese Maßnahmen hat die Geschäftsleitung zu dokumentieren. Die Strategien sind dem Aufsichtsrat der Gesellschaft zur Kenntnis zu geben und mit diesem zu erörtern.
  4. Die Inhalte sowie Änderungen der Risikostrategie sind, gegebenenfalls zusammen mit der Geschäftsstrategie, innerhalb der Gesellschaft in geeigneter Weise zu kommunizieren.

4.3 Allgemeine Anforderungen

  1. In jeder Gesellschaft sind entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten
    a) Regelungen zur Aufbau- und Ablauforganisation zu treffen sowie
    b) ein Risikomanagementsystem einzurichten.
  2. Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt werden.
  3. Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Das gilt auch bezüglich der Schnittstellen zur Depotbank, zu Auslagerungen im Sinne des Abschnitts 9 sowie zu Vertriebspartnern.
  4. Die Gesellschaft hat ein angemessenes Risikomanagementsystem einzurichten, das eine
    a) Erfassung,
    b) Messung,
    c) Steuerung sowie
    d) Überwachung und Kommunikation

    der wesentlichen Risiken und damit verbundener Risikokonzentrationen gewährleistet. Diese Prozesse können in ein integriertes System zur Ertrags- und Risikosteuerung eingebunden werden.

  5. Das Risikomanagementsystem muss gewährleisten, dass die wesentlichen Risiken – auch aus ausgelagerten Aufgaben – frühzeitig erkannt, vollständig erfasst und in angemessener Weise dargestellt werden können. Wechselwirkungen zwischen den unterschiedlichen Risikoarten sind zu berücksichtigen. Ebenfalls zu berücksichtigen sind Wechselwirkungen der Risiken auf Ebene der Gesellschaft und auf Ebene der Investmentvermögen sowie Individualportfolios.
  6. In regelmäßigen Abständen, mindestens jedoch vierteljährlich, ist das Risikodeckungspotenzial der Gesellschaft dem Gesamtrisikoprofil der Gesellschaft im Sinne von Abschnitt 4.1 Tz. 2 gegenüberzustellen. Das Risikodeckungspotenzial der Gesellschaft ist bei der Festlegung der Strategien (4.2) sowie bei deren Anpassung zu berücksichtigen. Alle wesentlichen und einer Limitierung zugänglichen Risiken sind (auch) unter Berücksichtigung des Risikodeckungspotentials zu limitieren. Die Limitierungen sind in der Risikostrategie (4.2) festzuhalten. Die Einhaltung der Limite ist zu gewährleisten.
  7. Das Risikomanagementsystem muss ein Verfahren zur Früherkennung von Risiken vorhalten, das der Gesellschaft die frühzeitige Einleitung von erforderlichen Gegenmaßnahmen ermöglicht. Das Verfahren muss die rechtzeitige Information der Entscheidungsträger beinhalten und periodisch sowie anlassbezogen den wechselnden Erfordernissen angepasst werden.
  8. Je nach Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten sind regelmäßig angemessene Stresstests für die wesentlichen Risiken durchzuführen. Dies hat auf der Basis der für die jeweiligen Risiken identifizierten wesentlichen Risikofaktoren zu geschehen. Die Stresstests haben insbesondere auch Risikokonzentrationen zu adressieren. Die Stresstests sind auch auf Gesellschaftsebene durchzuführen.
  9. Die Stresstests haben auch außergewöhnliche, aber plausibel mögliche Ereignisse abzubilden. Dabei sind geeignete historische oder hypothetische Szenarien darzustellen. Bei der Festlegung der Szenarien sind die strategische Ausrichtung der Gesellschaft und ihr wirtschaftliches Umfeld zu berücksichtigen.
  10. Die Angemessenheit der Stresstests sowie deren zugrunde liegenden Annahmen sind in regelmäßigen Abständen, mindestens aber jährlich zu überprüfen.
  11. Die Geschäftsleitung hat sich in angemessenen Abständen über die Risikosituation berichten zu lassen. Die Risikoberichterstattung ist in nachvollziehbarer, aussagefähiger Art und Weise zu verfassen. Sie hat neben einer Darstellung auch eine Beurteilung der Risikosituation zu enthalten. In die Risikoberichterstattung sind bei Bedarf auch Handlungsvorschläge, z. B. zur Risikoreduzierung, aufzunehmen.
  12. Unter Risikogesichtspunkten wesentliche Informationen sind unverzüglich an die Geschäftsleitung, die jeweiligen Verantwortlichen und gegebenenfalls die Interne Revision weiterzuleiten, so dass geeignete Maßnahmen beziehungsweise Prüfungshandlungen frühzeitig eingeleitet werden können. Hierfür ist ein geeignetes Verfahren festzulegen.
  13. Die Geschäftsleitung hat den Aufsichtsrat vierteljährlich über die Risikosituation in angemessener Weise schriftlich zu informieren. Die Berichterstattung ist in nachvollziehbarer, aussagefähiger Art und Weise zu verfassen und hat neben der Darstellung auch eine Beurteilung der Risikosituation zu enthalten. Auf besondere Risiken für die Geschäftsentwicklung und geplante Maßnahmen der Geschäftsleitung ist gesondert einzugehen. Unter Risikogesichtspunkten kritische Informationen sind von der Geschäftsleitung unverzüglich an den Aufsichtsrat weiterzuleiten. Hierfür hat die Geschäftsleitung gemeinsam mit dem Aufsichtsrat ein geeignetes Verfahren festzulegen.
  14. Das Risikomanagementsystem ist zeitnah an sich ändernde Bedingungen anzupassen.
  15. Die Gesellschaft hat auch den operationellen Risiken durch angemessene Maßnahmen Rechnung zu tragen. Wesentliche operationelle Risiken müssen zumindest vierteljährlich identifiziert und beurteilt werden.
  16. Bedeutende Schadensfälle sind unverzüglich hinsichtlich ihrer Ursachen zu analysieren und nachvollziehbar zu dokumentieren. Die Geschäftsleitung ist regelmäßig über bedeutende Schadensfälle und wesentliche operationelle Risiken zu unterrichten. Die Berichterstattung hat die Art des Schadens beziehungsweise Risikos, die Ursachen, das Ausmaß des Schadens beziehungsweise Risikos und gegebenenfalls bereits getroffene Gegenmaßnahmen zu umfassen.


4.4 Besondere Anforderungen im Zusammenhang mit der Verwaltung von Investmentvermögen


Die folgenden Anforderungen gelten im Zusammenhang mit der Verwaltung von Investmentvermögen. Bei der Ausgestaltung des Risikomanagementsystems bezüglich der Individualportfolios wird eine sinngemäße Anwendung vor dem Hintergrund von Art, Umfang, Komplexität und Risikogehalt der Aktivitäten erwartet. Insgesamt sind für Dienst- und Nebendienstleistungen im Sinne des 7 Abs. 2 InvG sowie für die Anlage des eigenen Vermögens in Finanzinstrumenten entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäfte geeignete Regelungen zu treffen und die allgemeinen Anforderungen nach 4.3 zu beachten.

4.4.1 Risk Management Policy

  1. Die Gesellschaft muss angemessene Risikomanagement-Grundsätze (Risk Management Policy) festlegen, umsetzen und aufrechterhalten. Die Gesellschaft hat für jedes ihrer Investmentvermögen angemessene Risikosteuerungs- und -controllingprozesse (Risikomanagementprozesse) einzurichten, die unter Verwendung von hinreichend fortgeschrittenen Techniken eine fortlaufende Erfassung, Messung, Steuerung und Überwachung der wesentlichen Risiken eines Investmentvermögens gewährleisten. Dabei sind sowohl die Risiken der einzelnen Vermögensgegenstände eines Investmentvermögens als auch deren jeweilige Wirkung auf das Gesamtrisikoprofil des Investmentvermögens zu beachten. Die angewendeten Risikomanagementtechniken haben sich am aktuellen Stand der Entwicklung zu orientieren. Die Angemessenheit der Risikomanagementprozesse und der Risk Management Policy sowie deren Einhaltung sind regelmäßig zu überprüfen.
  2. Risiken aus der Verwahrung von Wertpapieren, die von der Depotbank offengelegt wurden oder der Gesellschaft durch andere Weise bekannt wurden, sind im Rahmen der Anlagetätigkeit und der Portfoliosteuerung zu berücksichtigen.
  3. Die Gesellschaft hat die Risk Management Policy schriftlich darzulegen. Die Risk Management Policy muss insbesondere die folgenden Punkte behandeln:
    a) Die Methoden, Mittel und Vorkehrungen zum Risikomanagementprozess spezifizieren;
    b) Die Techniken spezifizieren, die für die Messung der wesentlichen Risiken als geeignet erachtet werden;
    c) Soweit anwendbar, die Methoden gemäß DerivateV zur Bestimmung der Auslastung der in § 51 Abs. 1 InvG festgelegten Grenze für das Marktrisiko aufzeigen;
    d) Die Aufgabenverteilung bzw. Verantwortungsbereiche der verschiedenen Einheiten bzw. Personen, die in den Risikomanagementprozess involviert sind, darlegen;
    e) Die Kommunikationswege bzw. Interaktionen zwischen Fondsmanagement und Risikocontrollingfunktion, die insbesondere zur Risikosteuerung notwendig sind, aufzeigen;
    f) Die Berichterstattung an die Geschäftsleitung sowie den Aufsichtsrat definieren (insbesondere Inhalt und Häufigkeit).

4.4.2 Funktionstrennung

  1. Die Erfassung, Messung und Überwachung der Risiken, die Entwicklung und Pflege der dazu erforderlichen Methoden und Verfahren sowie die Erstellung der zugehörigen Richtlinien und Dokumentationen ist einer von dem Bereich Fondsmanagement organisatorisch unabhängigen Stelle zu übertragen (Risikocontrollingfunktion). Die Unabhängigkeit ist bis auf die Ebene der Geschäftsleitung sicherzustellen. Die Funktionstrennung ist auch im Vertretungsfall zu beachten. Die Vertretung kann dabei grundsätzlich auch von einem geeigneten Mitarbeiter unterhalb der Ebene der Geschäftsleitung wahrgenommen werden.
  2. Die Risikocontrollingfunktion ist insbesondere für die Erfassung, laufende Messung und Überwachung der Risiken (einschließlich der Überwachung und Sicherstellung der Einhaltung der Risikolimite), die Implementierung der Risk Management Policy und für die Risikoberichterstattung an die Geschäftsleitung und den Aufsichtsrat zuständig. Darüber hinaus unterstützt die Risikocontrollingfunktion die Geschäftsleitung bei der Identifizierung, der Definition und bei Revisionen des Risikoprofils der einzelnen Investmentvermögen.
  3. Die Risikocontrollingfunktion ist bei der Festlegung des Risikoprofils der einzelnen Investmentvermögen und somit bei der Festlegung der grundsätzlichen Anlagestrategie einzubeziehen.
  4. Ebenso sollte die Risikocontrollingfunktion, sofern angemessen und unter Berücksichtigung der Zuständigkeit nach § 36 Abs. 1 Satz 2 InvG, den Bewertungsprozess von komplexen und illiquiden Vermögensgegenständen unterstützen.
  5. Wesentliche Rechtsrisiken sind in einer vom Fondsmanagement unabhängigen Stelle (z.B. Rechtsabteilung) zu beurteilen.
  6. Bei IT-gestützter Bearbeitung ist die Funktionstrennung durch entsprechende Verfahren und Schutzmaßnahmen sicherzustellen.


4.4.3 Fondsmanagement

  1. Das Fondsmanagement beinhaltet die Organisationseinheit bzw. die Personen, die Anlageentscheidungen für die Investmentvermögen treffen. Wird dem „Trading Desk“ bei der Platzierung von Aufträgen für das Investmentvermögen Entscheidungsspielraum eingeräumt, ist es ebenfalls dem Bereich Fondsmanagement zuzuordnen.
  2. Die Gesellschaft hat angemessene Vorkehrungen zu treffen, die sicherstellen, dass das Vermögen der von der Gesellschaft verwalteten Investmentvermögen in Übereinstimmung mit dem festgelegten Risikoprofil, der Anlagestrategie, den Vertragsbedingungen sowie den im ausführlichen und vereinfachten Verkaufsprospekt beschriebenen Anlagecharakter des Investmentvermögens und den jeweils geltenden rechtlichen Bestimmungen angelegt wird.
  3. Hierzu ist insbesondere erforderlich, dass der jeweilige Fondsmanager vor jedem Geschäftsabschluss für ein Investmentvermögen in angemessener Weise Kenntnis von der Auslastung von relevanten Anlagegrenzen (gesetzliche und vertragliche) hat (ex-ante Anlagegrenzprüfung).
  4. Es ist hierzu auch erforderlich, dass der jeweilige Fondsmanager vor jedem Geschäftsabschluss für ein Investmentvermögen in angemessener Weise Kenntnis von der Auslastung der internen Limitvorgaben nach Abschnitt 4.4.5 hat.
  5. Die Gesellschaft hat auch angemessene Vorkehrungen zu treffen, die ihr die Einhaltung insbesondere folgender gesetzlicher Pflichten ermöglichen bzw. Verstöße gegen insbesondere folgende gesetzliche Regelungen verhindern, soweit sich aus der Art des Investmentvermögens oder aus dem Gesetz nichts anderes ergibt:
    a) Verbot der Gewährung von Gelddarlehen und des Abschlusses von Bürgschafts- und Garantiegeschäften nach § 31 Abs. 4 des Investmentgesetzes;
    b) Verbot der Verpfändung, Belastung, Sicherheitsabtretung und Sicherheitsübereignung von Vermögensgegenständen, die zum Sondervermögen gehören, nach § 31 Abs. 5 des Investmentgesetzes;
    c) Aufrechnungsverbot nach § 31 Abs. 6 des Investmentgesetzes;
    d) Einhaltung der Kreditaufnahmegrenzen des Investmentgesetzes;
    e) Leerverkaufsverbot nach § 59 des Investmentgesetzes;
    f) Vergabe von Wertpapier-Darlehen nach §§ 54 bis 56 des Investmentgesetzes;
    g) Pensionsgeschäfte nach § 57 des Investmentgesetzes.
  6. Bei Abschluss von Geschäften für Investmentvermögen müssen die Konditionen einschließlich der wesentlichen Nebenabreden vollständig vereinbart werden.
  7. Vor jedem Geschäftsabschluss hat die Gesellschaft festzulegen, für welches Investmentvermögen das Geschäft abgeschlossen werden soll. Nachträgliche Dispositionsänderungen sind nur in begründeten und dokumentierten Einzelfällen zulässig.
  8. Interne Geschäfte dürfen nur auf der Basis klarer Regelungen und bei Fehlen von Interessenkonflikten abgeschlossen werden. Auf Basis der Regelungen für externe Geschäfte ist eine sinngemäße Einhaltung der Anforderungen an interne Geschäfte sicherzustellen (z.B. dürfen die vereinbarten Bedingungen nicht von denen abweichen, die voneinander unabhängige Dritte unter gleichen oder ähnlichen Verhältnissen vereinbart hätten).
  9. Die Gesellschaft hat Verfahren einzurichten, die die Ausführung von Geschäften im besten Interesse der Anleger gewährleisten (bestmögliche Ausführung).
  10. Geschäftsabschlüsse für das Investmentvermögen zu nicht marktgerechten Bedingungen sind grundsätzlich unzulässig.
  11. Geschäftsabschlüsse für das Investmentvermögen außerhalb der Geschäftsräume sind nur im Rahmen interner Vorgaben zulässig. Dabei sind insbesondere die Berechtigten, der Zweck, der Umfang und die Erfassung festzulegen. Für solche Geschäfte ist vom Kontrahenten eine unverzügliche fernschriftliche Bestätigung zu verlangen. Diese Geschäfte sind vom Fondsmanager unverzüglich in geeigneter Form der eigenen Gesellschaft anzuzeigen, besonders zu kennzeichnen und dem zuständigen Geschäftsleiter beziehungsweise einer von ihm autorisierten Organisationseinheit zur Kenntnis zu bringen.
  12. Geschäftsgespräche für das Investmentvermögen sollten grundsätzlich auf Tonträger aufgezeichnet werden und sind mindestens 3 Monate aufzubewahren.
  13. Jedes das Investmentvermögen betreffende Geschäft ist unverzüglich nach Geschäftsabschluss mit allen maßgeblichen Abschlussdaten zu erfassen, bei der Ermittlung der jeweiligen Position zu berücksichtigen (Fortschreibung der Bestände) und mit allen Unterlagen an die verantwortliche Abteilung zwecks Abwicklung weiterzuleiten. Die Weiterleitung der Abschlussdaten kann auch automatisiert über ein Abwicklungssystem erfolgen.
  14. Bei Direkterfassung in den IT-Systemen muss sichergestellt sein, dass ein Fondsmanager nur unter seiner eigenen Identifikation Geschäfte eingeben kann. Erfassungstag und -uhrzeit sowie fortlaufende Geschäftsnummern müssen automatisch vorgegeben werden und dürfen vom Fondsmanager nicht veränderbar sein.
  15. Geschäfte für das Investmentvermögen, die nach Erfassungsschluss der Abwicklung abgeschlossen werden (Spätgeschäfte), sind als solche zu kennzeichnen und bei den Positionen des Abschlusstages (einschließlich der Nacherfassung) zu berücksichtigen, wenn sie zu wesentlichen Veränderungen führen. Abschlussdaten und Unterlagen über Spätgeschäfte sind unverzüglich an einen Bereich außerhalb des Fondsmanagements weiterzuleiten.
  16. Vor Abschluss von Verträgen im Zusammenhang mit Geschäften für das Investmentvermögen, insbesondere bei Rahmenvereinbarungen, Nettingabreden und Sicherheitenbestellungen, ist durch eine vom Fondsmanagement unabhängige Stelle zu prüfen, ob und inwieweit sie rechtlich durchsetzbar sind.
  17. Organisatorisch dem Fondsmanagement zugeordnete Mitarbeiter dürfen nur gemeinsam mit Mitarbeitern eines vom Fondsmanagement unabhängigen Bereichs über Zeichnungsberechtigungen für Zahlungsverkehrskonten verfügen.


4.4.4 Abwicklung und Kontrolle

  1. Die vom Fondsmanagement dokumentierten Geschäftsabschlüsse sind unmittelbar im Abwicklungssystem zu erfassen sowie daran anschließende Abwicklungsaufgaben durchzuführen.
  2. Die im Abwicklungssystem zu erfassenden Geschäftsabschlüsse müssen die erforderlichen Abschlussdaten enthalten. Wurden die Aufträge für Geschäftsabschlüsse an Makler weitergeleitet, muss der Makler benannt werden. Die Gesellschaft hat dafür Sorge zu tragen, dass sie vom Makler eine Bestätigung des ausgeführten Auftrages erhält. Der unverzügliche Eingang der Bestätigung des ausgeführten Auftrages ist zu überwachen, wobei sichergestellt sein muss, dass die eingehenden Bestätigungen zuerst und direkt in die Abwicklung gelangen und nicht an das Fondsmanagement adressiert sind. Fehlende beziehungsweise unvollständige Bestätigungen sind unverzüglich zu reklamieren, es sei denn, es handelt sich um ein Geschäft, das in allen Teilen ordnungsgemäß erfüllt ist.
  3. Bei Geschäften für das Investmentvermögen, die über ein Abwicklungssystem abgerechnet werden, das einen automatischen Abgleich der maßgeblichen Abschlussdaten gewährleistet (so genanntes Matching) und Geschäfte nur bei Übereinstimmung der Daten durchführt, kann auf das Bestätigungsverfahren verzichtet werden. Sofern kein automatischer Abgleich der maßgeblichen Abschlussdaten erfolgt, kann auf das Bestätigungsverfahren verzichtet werden, wenn das Abwicklungssystem beiden Kontrahenten den jederzeitigen Abruf der Abschlussdaten ermöglicht und eine Kontrolle dieser Daten vorgenommen wird.
  4. Geschäftsabschlüsse für das Investmentvermögen sind einer laufenden Kontrolle zu unterziehen. Dabei ist insbesondere zu kontrollieren, ob
    a) die Geschäftsunterlagen vollständig und zeitnah vorliegen,
    b) die Angaben der Fondsmanager richtig und vollständig sind und, soweit vorhanden, mit den Angaben auf Maklerbestätigungen, Ausdrucken aus Handelssystemen oder Ähnlichem übereinstimmen,
    c) es sich um für das Investmentvermögen zulässige Geschäfte handelt,
    d) relevante Anlagegrundsätze bzw. Anlagegrenzen erfüllt sind (ex-post Anlagegrenzprüfung) sowie die Abschlüsse den sonstigen gesetzlichen Regelungen (siehe insbesondere Abschnitt 4.4.3 Tz. 3) entsprechen.
    e) die Abschlüsse sich hinsichtlich Art und Umfang im Rahmen der festgesetzten Limite bewegen,
    f) marktgerechte Bedingungen vereinbart sind
    g) die Ausführungswege den vorgegebenen Grundsätzen entsprechen und
    h) Abweichungen von vorgegebenen Standards (z. B. Stammdaten, Anschaffungswege, Zahlungswege) vereinbart sind.

    Änderungen und Stornierungen der Abschlussdaten oder Buchungen sind außerhalb des Bereichs Fondsmanagement zu kontrollieren.

  5. Für die Kontrolle der Marktgerechtigkeit von Geschäftsabschlüssen sind geeignete Verfahren, gegebenenfalls differenziert nach Geschäftsarten, einzurichten. Der für die Marktgerechtigkeitskontrolle zuständige Geschäftsleiter ist unverzüglich zu unterrichten, wenn Geschäfte für das Investmentvermögen zu nicht marktgerechten Bedingungen abgeschlossen werden.
  6. Unstimmigkeiten, die im Rahmen der Abwicklung und Kontrolle festgestellt wurden, sind unter der Federführung eines vom Fondsmanagement unabhängigen Bereichs unverzüglich zu klären.
  7. Die im Fondsmanagement ermittelten Positionen sind regelmäßig mit den in den nachgelagerten Prozessen und Funktionen (z. B. Abwicklung, Fondsbuchhaltung) und bei der Depotbank geführten Positionen abzustimmen.
  8. Geschäfte für das Investmentvermögen einschließlich solcher Nebenabreden, die zu Positionen führen, sind unverzüglich im Risikocontrolling abzubilden.


4.4.5 Risikocontrolling

  1. Aufbauend auf den Regelungen in 4.4.1 und 4.4.2 ist im Risikocontrolling eine fortlaufende Erfassung, Messung und Überwachung der wesentlichen Risiken eines Investmentvermögens unter Verwendung von hinreichend fortgeschrittenen Risikomesstechniken zu gewährleisten. Dabei sind sowohl die Risiken der einzelnen Vermögensgegenstände eines Investmentvermögens als auch deren jeweilige Wirkung auf das Gesamtrisikoprofil des Investmentvermögens zu beachten. Die angewendeten Risikomesstechniken haben sich am aktuellen Stand der Entwicklung zu orientieren.
  2. Das Risikocontrolling muss auch die Erfassung von Konzentrationen und Interaktionen von wesentlichen Risiken ermöglichen. Die Messung der Positionsrisiken und deren Wirkung auf das Risikoprofil des Investmentvermögens müssen auf der Basis fehlerfreier und verlässlicher Daten erfolgen.
  3. Die Verfahren zur Risikomessung sind regelmäßig zu überprüfen. Es ist zu überprüfen, ob die Verfahren auch bei schwerwiegenden Marktstörungen zu verwertbaren Ergebnissen führen. Für Fälle fehlender, veralteter oder verzerrter Marktpreise sind alternative Bewertungsmethoden festzulegen.
  4. Soweit angemessen, sind die modellmäßig ermittelten Risikowerte regelmäßig mit der tatsächlichen Entwicklung zu vergleichen (Back-testing).
  5. Die Gesellschaft hat für jedes ihrer Investmentvermögen unter Berücksichtigung des Risikoprofils ein Limitsystem zu erstellen und zu beachten. Alle wesentlichen und einer Limitierung zugänglichen Risiken sind hierbei einzubeziehen. Die Einhaltung der Limite ist zu gewährleisten.
  6. Geschäfte für Rechnung eines Investmentvermögens sind unverzüglich auf die einschlägigen Limite anzurechnen und der Fondsmanager ist über die für ihn relevanten Limite und ihre aktuelle Ausnutzung zeitnah zu informieren.
  7. Für den Fall von eingetretenen oder erwarteten Limitüberschreitungen sind Prozesse zu definieren und in den unter 4.4.1 Tz. 5 genannten Richtlinien darzulegen, die geeignete Gegenmaßnahmen im Interesse der Anleger gewährleisten.
  8. Das Limitsystem muss nachvollziehbar dokumentiert sein. Überschreitungen der Limite und Reaktionen darauf sind gleichfalls zu dokumentieren.
  9. Die Gesellschaft hat für jedes Investmentvermögen regelmäßig risikoadäquat angemessene Stresstests nach 4.3 Tz. 8-10 durchzuführen.
  10. Die Gesellschaft hat auch einen angemessenen Liquiditätsrisikomanagementprozess für die Investmentvermögen zu installieren. Dieser soll, entsprechend der Vorgaben dieses Abschnittes, geeignet sein, Liquiditätsrisiken zu erfassen, messen, überwachen und zu steuern. Die Liquidität der einzelnen Vermögensgegenstände sowie die Auswirkungen auf die Liquidität des Investmentvermögens sind zu überwachen.
  11. Die Liquidität des Investmentvermögens muss grundsätzlich mit den Rücknahmeverpflichtungen sowie sonstigen Liefer- und Zahlungsverpflichtungen übereinstimmen.
  12. Die Gesellschaft hat Verfahren einzurichten, die gewährleisten, dass ein sich abzeichnender erhöhter Liquiditätsbedarf frühzeitig erkannt wird. Bei der Einrichtung eines solchen Frühwarnsystems sollten verfügbare Informationen über die Anlegerstruktur Berücksichtigung finden.
  13. Die Gesellschaft hat Verfahren für den Fall eines Liquiditätsengpasses festzulegen. Hierbei sind mögliche Handlungsalternativen zur Aussetzung der Anteilrücknahme zu bestimmen und Kommunikationswege zu definieren. Die Verfahren sind regelmäßig zu überprüfen und gegebenenfalls anzupassen.


4.4.4 Berichterstattung

  1. Die Geschäftsleitung und der Aufsichtsrat ist über die Ergebnisse aus den Kontrolltätigkeiten (Abschnitt 4.4.4 Tz. 4) in regelmäßigen Abständen zu informieren. Bei kritischen Sachverhalten erfolgt eine unverzügliche Information.
  2. In regelmäßigen Abständen ist ein Risikobericht zu erstellen und der Geschäftsleitung und dem Aufsichtsrat zur Verfügung zu stellen. Der Bericht hat insbesondere folgende Informationen zu umfassen:
    a) Einen Überblick über das aktuelle Risiko, insbesondere die Koheränz zwischen aktuellem Risikoniveau und vereinbartem Risikoprofil der jeweiligen Investmentvermögen;
    b) Einhaltung der Limite bzw. Limitüberschreitungen;
    c) Die Angemessenheit bzw. Effektivität des Risikomanagementprozesses, insbesondere inwiefern angemessene Maßnahmen zur Mängelbeseitigung ergriffen wurden;
    d) Änderungen der wesentlichen Annahmen oder Parameter, die den Verfahren zur Beurteilung bzw. Messung der Risiken zu Grunde liegen.

    Bei kritischen Sachverhalten erfolgt eine unverzügliche Information.

5. Organisationsrichtlinien

  1. Die Gesellschaft hat sicherzustellen, dass die Geschäftsaktivitäten auf der Grundlage von Organisationsrichtlinien betrieben werden (z. B. Handbücher, Arbeitsanweisungen oder Arbeitsablaufbeschreibungen). Der Detaillierungsgrad der Organisationsrichtlinien hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten ab.
  2. Die Organisationsrichtlinien müssen schriftlich fixiert und den betroffenen Mitarbeitern in geeigneter Weise bekannt gemacht werden. Es ist sicherzustellen, dass sie den Mitarbeitern in der jeweils aktuellen Fassung zur Verfügung stehen. Die Richtlinien sind bei Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen.
  3. Die Organisationsrichtlinien haben vor allem Folgendes zu beinhalten:
    a) Regelungen für die Aufbau- und Ablauforganisation sowie zur Aufgabenzuweisung, Kompetenzordnung und zu den Verantwortlichkeiten, Festlegung und Dokumentierung von Arbeitsabläufen, Zuweisungen von Kontrollfunktionen, Schnittstellen zur Depotbank und zu auslagernden und Auslagerungsunternehmen sowie Vertriebspartnern,
    b) Regelungen hinsichtlich der Ausgestaltung des Risikomanagementsystems, Erfassung und Messung der Risiken sowie die Entwicklung und Pflege der dazu erforderlichen Methoden und Verfahren,
    c) Regelungen zur Definition der Zulässigkeitsvoraussetzungen des Abschlusses bestimmter Geschäfte (z. B. Derivategeschäfte, Swaps, Wertpapierdarlehen, Anlagen in Anteilen an anderen Investmentvermögen),
    d) Regelungen über die Erbringung von Dienstleistungen und Nebendienstleistungen im Sinne des § 7 Abs. 2 InvG,
    e) Regelungen über die persönlichen Geschäfte der Mitarbeiter,
    f) Regelungen zur Internen Revision,
    g) Regelungen für die Anlage des eigenen Vermögens der Gesellschaft in Finanzinstrumenten,
    h) Regelungen für den Einsatz der elektronischen Datenverarbeitung
    i) Bewertungsrichtlinien, die die Verfahren nach §§ 22-30 Investment-Rechnungslegungs- und Bewertungsverordnung (InvRBV) konkretisieren,
    j) Regelungen für angemessene Maßnahmen und Verfahren zur Vermeidung von Interessenkonflikten (Interessenkonfliktmanagement), wobei die möglichen Interessenkonflikte zu benennen sind,
    k) Regelungen, die die Einhaltung gesetzlicher Bestimmungen sowie sonstiger Vorgaben (z. B. Datenschutz, Compliance) gewährleisten,
    l) Regelungen zu Verfahrensweisen bei Auslagerungen im Sinne des Abschnitts 9,
    m) Grundsätze zu den Vergütungssystemen,
    n) Geeignete Maßnahmen gegen Zeitzonenarbitrage,
    o) Detaillierte Grundsätze zur sorgfältigen Auswahl des Ausführungswegs und der Gegenpartei und Verfahren, die die Ausführung aller Transaktionen nach Maßgabe dieser Grundsätze gewährleisten,
    p) Verfahren bezüglich Geschäften zwischen Gesellschaft, Investmentvermögen und/oder Individualportfolios,
    q) Verfahren und Maßnahmen zur Vermeidung einer unangemessenen Beeinträchtigung von Anlegerinteressen durch Transaktionskosten,
    r) Festlegung der Zuteilungsgrundsätze von im Rahmen der Zusammenfassung mehrerer Aufträge erworbenen Vermögensgegenständen zu verschiedenen Investmentvermögen, Individualportfolios bzw. der Gesellschaft,
    s) Regelungen in Bezug auf die Vereinnahmung sonstiger geldwerter Vorteile,
    t) Maßnahmen zur Vermeidung von „window dressing“,
    u) Grundsätze zur Politik der Stimmrechtsausübung durch die Gesellschaft und Regelungen zur Auswahl, Instruktion und Überwachung der Tätigkeit der Stimmrechtsvertreter sowie
    v) Regelungen zu Beschwerde- und Kommunikationsmanagement.
  4. Die Ausgestaltung der Organisationsrichtlinien muss es der Internen Revision und dem Abschlussprüfer ermöglichen, in die Sachprüfung einzutreten.
  5. Diese Richtlinien sind fortlaufend an sich ändernde Bedingungen anzupassen und mindestens jährlich zu überprüfen.

6. Dokumentation

  1. Geschäfts-, Kontroll- und Überwachungsunterlagen sind systematisch und für sachkundige Dritte nachvollziehbar abzufassen und, vorbehaltlich gesetzlicher Regelungen, grundsätzlich zwei Jahre aufzubewahren. Die Aktualität und Vollständigkeit der Aktenführung ist sicherzustellen.
  2. Die für die Einhaltung dieses Rundschreibens wesentlichen Handlungen und Festlegungen sind nachvollziehbar zu dokumentieren. Dies beinhaltet auch Festlegungen hinsichtlich der Inanspruchnahme wesentlicher Öffnungsklauseln, die gegebenenfalls zu begründen ist.

7. Ressourcen

7.1 Personal und Anreizsysteme

  1. Die quantitative und qualitative Personalausstattung der Gesellschaft hat sich insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation zu orientieren. Dies gilt auch beim Rückgriff auf Leiharbeitnehmer.
  2. Die Mitarbeiter sowie deren Vertreter müssen abhängig von ihren Aufgaben, Kompetenzen und Verantwortlichkeiten über die erforderlichen Kenntnisse und Erfahrungen verfügen. Durch geeignete Maßnahmen ist zu gewährleisten, dass das Qualifikationsniveau der Mitarbeiter angemessen ist.
  3. Die Abwesenheit oder das Ausscheiden von Mitarbeitern sollte nicht zu nachhaltigen Störungen der Betriebsabläufe führen.
  4. Die Ausgestaltung der Anreizsysteme der Gesellschaft, insbesondere der Vergütungssysteme, muss mit den in den Strategien niedergelegten Zielen im Einklang stehen; Änderungen der Strategien sind zu berücksichtigen. Die Vergütungssysteme müssen so ausgerichtet sein, dass schädliche Anreize mit Auswirkung auf die Gesellschaft bzw. die Investmentvermögen und Individualportfolios vermieden werden.
  5. Bei der variablen Vergütung von Geschäftsleitern und solchen Mitarbeitern, deren Aktivitäten aufgrund der Kompetenzordnung das Risikoprofil der Gesellschaft bzw. der verwalteten Investmentvermögen und Individualportfolios wesentlich beeinflussen können, sind neben dem individuellen Erfolgsbeitrag auch der Erfolgsbeitrag der Organisationseinheit des jeweiligen Mitarbeiters sowie der Gesamterfolg der Gesellschaft bzw. der Wertentwicklung der einzelnen Investmentvermögen oder der Individualportfolios zu berücksichtigen. Zudem müssen sich zukünftige negative Entwicklungen bei der variablen Vergütung widerspiegeln. Für diese Zwecke ist der Messzeitraum für die variable Vergütung und der Leistungszeitraum für die Vergütung unter Berücksichtigung der Laufzeit der Risiken hinreichend langfristig zu gestalten.
  6. Die Mitarbeiter der nicht geschäftsinitiierenden Bereiche müssen ihrer Verantwortung und Aufgabe entsprechend angemessen vergütet werden.
  7. Die Gesellschaft hat die Angemessenheit der Vergütungssysteme zumindest jährlich zu überprüfen.
  8. Abhängig von Art, Umfang, Komplexität und Risikogehalt der Aktivitäten und der Vergütungsstruktur hat die Geschäftsleitung für die Ausgestaltung und Weiterentwicklung der Vergütungssysteme einen Ausschuss einzurichten (Vergütungsausschuss). In dem Vergütungsausschuss müssen neben Mitarbeitern der Personalabteilung auch Mitarbeiter vertreten sein, die mit der Initiierung von Geschäften und deren Überwachung betraut sind (z.B. Mitarbeiter aus dem Fondsmanagement sowie Risikocontrolling). Die Interne Revision kann im Rahmen ihrer Aufgaben einbezogen werden.
  9. Der Aufsichtsrat ist über die Vergütungssysteme zu informieren. Dem Vorsitzenden des Aufsichtsrats ist zudem ein entsprechendes Auskunftsrecht gegenüber der Geschäftsleitung beziehungsweise dem Vergütungsausschuss einzuräumen, soweit ein solcher Ausschuss existiert.
  10. Soweit die Gesellschaft Teil eines Konzerns ist und eine der Konzerngesellschaften die Regelungen der Vergütungsrundschreiben 22/2009 und 23/2009 vom 21.12.2009 anzuwenden hat, kann auf bereits aufgesetzte und zentrale Prozesse (z.B. Verwendung eines zentralen Vergütungsausschusses) zurückgegriffen werden.


7.2 Technisch-organisatorische Ausstattung

  1. Die Gesellschaft hat angemessene Kontroll- und Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung einzurichten.
  2. Umfang und Qualität der technisch-organisatorischen Ausstattung haben sich insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation zu orientieren.
  3. Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem hinreichend differenzierten Rollenmodell ist möglich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.
  4. Die IT-Systeme sind vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Produktions- und Testumgebung sind dabei grundsätzlich voneinander zu trennen.
  5. Die Entwicklung und Änderung programmtechnischer Vorgaben (z. B. Parameteranpassungen) sind unter Beteiligung der fachlich und technisch zuständigen Mitarbeiter durchzuführen. Die programmtechnische Freigabe hat grundsätzlich unabhängig vom Anwender zu erfolgen.


7.3 Notfallkonzept

  1. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben die auslagernde Gesellschaft und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen.
  3. Das Notfallkonzept muss auch Pläne für den Fall umfassen, dass die Depotbank ihre Depotbankfunktionen nicht bzw. nur noch sehr eingeschränkt wahrnehmen kann. Das Notfallkonzept muss hierzu Maßnahmen vorsehen, die die unverzügliche Einleitung eines Depotbankwechsels ermöglichen.

8. Aktivitäten in neuen Produkten oder auf neuen Märkten

  1. Jede Gesellschaft muss die von ihr betriebenen Geschäftsaktivitäten verstehen. Für die Aufnahme von Geschäftsaktivitäten in neuen Produkten oder auf neuen Märkten (einschließlich neuer Vertriebswege) ist vorab ein Konzept auszuarbeiten. Grundlage des Konzeptes muss das Ergebnis der Analyse des Risikogehalts dieser neuen Geschäftsaktivitäten sein. In dem Konzept sind die sich daraus ergebenden wesentlichen Konsequenzen für das Management der Risiken darzustellen.
  2. Vor einer Aufnahme von Geschäftsaktivitäten in neuen Produkten oder auf neuen Märkten einschließlich des Erwerbs von Vermögensgegenständen muss sichergestellt sein, dass die damit verbundenen Risiken und die Auswirkungen auf das Gesamtrisikoprofil (des Investmentvermögens, Individualportfolios bzw. der Gesellschaft) angemessen erfasst, gemessen, überwacht und gesteuert werden können.
  3. Bei einer Investition in komplexe Produkte muss sichergestellt sein, dass die Risiken der einzelnen Komponenten angemessen erfasst, gemessen, überwacht und gesteuert werden können. Einer Investition in komplexe Produkte sollte eine angemessene Ordnungsmäßigkeitsprüfung (due diligence Prüfung) vorausgehen, in dem die Struktur und das vollständige Risikoprofil des Produktes sowie die Charakteristiken des zugrunde liegenden Basiswertes analysiert werden.
  4. Auch bei der Verwaltung von Dach-Investmentvermögen, insbesondere bei Investitionen in Investmentvermögen mit zusätzlichen Risiken, sind Prozesse für angemessene due diligence Prüfungen zu definieren und zu implementieren.
  5. Bei der Entscheidung, ob es sich um Geschäftsaktivitäten in neuen Produkten oder auf neuen Märkten handelt, ist ein vom Markt (insbesondere Fondsmanagement, Anlage des eigenen Vermögens und Individualportfolioverwaltung) unabhängiger Bereich einzubinden.
  6. Ebenso ist die Depotbank in angemessener Weise einzubeziehen.
  7. Bei Geschäften für ein Investmentvermögen in neuen Produkten oder auf neuen Märkten ist grundsätzlich eine Testphase durchzuführen. Während der Testphase dürfen Geschäfte für das Investmentvermögen nur in überschaubarem Umfang durchgeführt werden. Es ist sicherzustellen, dass die laufende Geschäftsaktivität erst beginnt, wenn die Testphase erfolgreich abgeschlossen ist und ein geeignetes Risikomanagementsystem vorhanden ist.
  8. Sowohl in die Erstellung des Konzeptes als auch in die Testphase sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Im Rahmen ihrer Aufgaben ist auch die Interne Revision zu beteiligen.
  9. Das Konzept und die Aufnahme der laufenden Geschäftstätigkeit sind von den zuständigen Geschäftsleitern unter Einbeziehung der für die Überwachung der Geschäfte verantwortlichen Geschäftsleiter zu genehmigen. Diese Genehmigungen können delegiert werden, sofern dafür klare Vorgaben erlassen wurden und die Geschäftsleitung zeitnah über die Entscheidungen informiert wird.
  10. Soweit keine organisatorischen und/oder technischen Anpassungen seitens der Depotbank, keine Anpassungen der vertraglichen Beziehungen (z.B. Depotbankvertrag, Service Level Agreements) mit der Depotbank erforderlich sind sowie nach Einschätzung der in die Arbeitsabläufe eingebundenen Organisationseinheiten Aktivitäten in einem neuen Produkt oder auf einem neuen Markt sachgerecht gehandhabt und in das Risikomanagementsystem einbezogen werden können, ist die Anwendung dieses Abschnittes nicht erforderlich.

9. Outsourcing

  1. Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung von Aufgaben beauftragt wird (Auslagerungsunternehmen), die zur Durchführung der Geschäfte der Gesellschaft wesentlich sind und die ansonsten von der Gesellschaft selbst erbracht würden.
  2. Die Gesellschaft muss auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Aufgaben unter Risikogesichtspunkten überhaupt ausgelagert werden können. Auf dieser Basis soll über eine Auslagerung beschlossen werden. Die maßgeblichen Organisationseinheiten sind bei der Erstellung der Risikoanalyse einzubeziehen. Im Rahmen ihrer Aufgaben ist auch die Interne Revision zu beteiligen. Soweit sich wesentliche Änderungen der Risikosituation ergeben, ist die Risikoanalyse anzupassen und die Auslagerung ggf. zu beenden.
  3. Grundsätzlich sind unter den Voraussetzungen des § 16 InvG alle Aufgaben auslagerungsfähig. Die Auslagerung muss zum Zweck einer effizienteren Geschäftsführung erfolgen. Die Gesellschaft hat die Auslagerung nachvollziehbar zu begründen (z.B. Qualitätsverbesserung oder Einsparung von Kosten) sowie zu dokumentieren. Ferner muss das Auslagerungsunternehmen unter Berücksichtigung der ihm übertragenen Aufgaben über die entsprechende Qualifikation verfügen und in der Lage sein, die übernommenen Aufgaben ordnungsgemäß wahrzunehmen. Da die Gesellschaft die erfolgten Auslagerungen erst nach Beendigung des Geschäftsjahres der Bundesanstalt für Finanzdienstleistungsaufsicht anzuzeigen hat (§ 16 Abs. 5 InvG), wird empfohlen in Zweifelsfällen bereits im Vorfeld fachlichen Rat einzuholen (z.B. Berater hinzuzuziehen oder den Abschlussprüfer in Zweifelsfällen bei der Planung der Auslagerung mit einzubeziehen), um die Gefahr der Rückabwicklung der Auslagerung wegen Nichtvereinbarkeit mit § 16 InvG zu vermeiden. Die Auslagerung darf nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen. Die Leitungsaufgaben der Geschäftsleitung sind nicht auslagerungsfähig. Schließlich darf die Gesellschaft ihre Aufgaben nicht in einem Umfang übertragen, der sie zu einer Briefkastenfirma werden lässt. Das Vorliegen einer solchen Briefkastenfirma ist jedenfalls dann zu bejahen, wenn die Gesellschaft nicht über eine ausreichende technische und personelle Ausstattung mit entsprechender Expertise verfügt, um die Tätigkeiten des Auslagerungsunternehmens laufend zu überwachen.
  4. Soweit die Auslagerung die Portfolioverwaltung betrifft, dürfen damit nach § 16 Abs. 2 Satz 1 InvG nur Unternehmen betraut werden, die für die Zwecke der Vermögensverwaltung zugelassen sind und einer wirksamen öffentlichen Aufsicht unterliegen; § 2 Abs. 6 Satz 1 Nr. 5 des KWG findet insoweit keine Anwendung. Soweit die Verwaltung von Immobilien für ein Sondervermögen ausgelagert werden soll, kann die Verwaltung auch auf Unternehmen ausgelagert werden, die keine entsprechende Zulassung haben. Allerdings ist bei der Auslagerung der Verwaltung von Immobilien zu beachten, dass der Gesellschaft stets das Letztentscheidungsrecht im Hinblick auf den Erwerb und die Veräußerung von Immobilien vorzubehalten ist, da diese Dispositionsbefugnis als Kernkompetenz der Gesellschaft nicht auslagerungsfähig ist.
  5. Die Gesellschaft hat bei Auslagerungen im Fall der Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Aufgaben auch nach Beendigung zu gewährleisten. Dies kann dadurch erfolgen, dass die Gesellschaft nach Beendigung des Auslagerungsverhältnisses entweder den ausgelagerten Bereich auf ein anderes Unternehmen überträgt oder ihn wieder in die Gesellschaft eingliedert.
  6. Bei Auslagerungen ist im Auslagerungsvertrag insbesondere Folgendes zu vereinbaren:
    a) Spezifizierung und gegebenenfalls Abgrenzung der vom Auslagerungsunternehmen zu erbringenden Leistung,
    b) Festlegung von Informations- und Prüfungsrechten der Internen Revision sowie externer Prüfer,
    c) Sicherstellung der Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der Bundesanstalt für Finanzdienstleistungsaufsicht,
    d) soweit erforderlich Weisungsrechte,
    e) Regelungen, die sicherstellen, dass datenschutzrechtliche Bestimmungen beachtet werden,
    f) Kündigungsrechte und angemessene Kündigungsfristen,
    g) Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung, die sicherstellen, dass die Gesellschaft die aufsichtsrechtlichen Anforderungen weiterhin einhält,
    h) Verpflichtung des Auslagerungsunternehmens, die Gesellschaft über Entwicklungen zu informieren, die die ordnungsgemäße Erledigung der ausgelagerten Aufgaben beeinträchtigen können.
  7. Die Gesellschaft hat die mit den Auslagerungen verbundenen Risiken zu identifizieren, zu bewerten und angemessen zu steuern und die Ausführung der ausgelagerten Aufgaben ordnungsgemäß zu überwachen (Auslagerungscontrolling). Dies umfasst auch die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien. Für die Steuerung und Überwachung hat die Gesellschaft klare Verantwortlichkeiten festzulegen.
  8. Eine Auslagerung von Aufgaben auf die Depotbank, die diese nach dem InvG zu kontrollieren hat oder mit diesen in Zusammenhang stehen ist aufgrund der damit unter Umständen verbundenen Interessenkonflikte nur zulässig, wenn die Gesellschaft und die Depotbank vereinbaren, dass
    • die Depotbank zur Vermeidung von Interessenkonflikten entsprechende organisatorische Vorkehrungen schafft (sog. Divisionslösung) und
    • die Depotbank einen Eskalationsprozess festlegt.

    Darüber hinaus sorgen die Parteien dafür, dass die von ihnen getroffenen Vereinbarungen sowohl im Hinblick auf die Ausgestaltung der Divisionslösung als auch auf den Eskalationsprozess den in meinem Depotbank-Rundschreiben gestellten Anforderungen Rechnung tragen.

  9. Sofern erforderlich, hat die Gesellschaft den Abschlussprüfer zu beauftragen, eigene Prüfungshandlungen in dem Auslagerungsunternehmen vorzunehmen. Dies gilt insbesondere für den Fall, dass der Abschlussprüfer der Gesellschaft oder der Investmentvermögen anhand des Prüfungsberichts des Abschlussprüfers des Auslagerungsunternehmens nicht oder nicht vollständig beurteilen kann, ob die erbrachten Dienstleistungen ordnungsgemäß im Sinne des Aufsichtsrechts durchgeführt wurden.
  10. Soweit die Interne Revision vollständig ausgelagert wird, hat die Geschäftsleitung – zusätzlich zu den Anforderungen in Tz. 7 dieses Abschnitts - einen Revisionsbeauftragten zu benennen, der eine ordnungsgemäße Interne Revision gewährleisten muss. Die Anforderungen unter Abschnitt 12. sind entsprechend zu beachten.
  11. Die Anforderungen an die Auslagerung von Aufgaben sind auch bei der Weiterverlagerung ausgelagerter Aufgaben zu beachten.

10. Compliance

  1. Die Gesellschaft hat angemessene Grundsätze aufzustellen, Mittel vorzuhalten und Verfahren einzurichten und auf Dauer einzuhalten, die darauf ausgelegt sind, jedes Risiko der Nichteinhaltung der im InvG oder im WpHG festgelegten Pflichten sowie die damit verbundenen Risiken aufzudecken. Ferner hat die Gesellschaft angemessene Maßnahmen und Verfahren zu ergreifen, um dieses Risiko auf ein Minimum zu begrenzen und die Bundesanstalt für Finanzdienstleistungsaufsicht in die Lage zu versetzen, ihre Befugnisse wirksam auszuüben.
  2. Die Gesellschaft hat dabei der Art, dem Umfang und der Komplexität ihrer Geschäfte sowie der Art und dem Spektrum der im Zuge dieser Geschäfte erbrachten Dienstleistungen und Tätigkeiten Rechnung zu tragen. Die Vorkehrungen haben sich auch daran zu orientieren, ob die Gesellschaft und die Mitarbeiter einem Interessenkonflikt unterliegen können oder ob diese regelmäßig Zugang zu compliance-relevanten Informationen haben.
  3. Die Mittel und Verfahren beinhalten auch Maßnahmen, um Interessenkonflikte bei der Verwaltung von Investmentvermögen und der Erbringung von Dienstleistungen und Nebendienstleistungen zwischen der Gesellschaft einschließlich der Mitarbeiter und verbundenen Personen und Anlegern oder sonstiger Kunden zu erkennen und eine Beeinträchtigung der Anleger- bzw. Kundeninteressen zu vermeiden. Des Weiteren zählen hierzu wirksame und transparente Verfahren für eine angemessene und unverzügliche Bearbeitung von Beschwerden durch Anleger oder sonstige Privatkunden. Soweit relevant sind auch Maßnahmen zur Überwachung der Weitergabe compliance-relevanter Informationen zu treffen.
  4. Die Gesellschaft hat eine dauerhafte und wirksame Compliance-Funktion einzurichten und aufrechtzuerhalten, die unabhängig ist und folgende Aufgaben wahrnimmt:
    a) Überwachung und regelmäßige Bewertung von Angemessenheit und Wirksamkeit der (oben in Tz. 1 - 3) eingeleiteten Maßnahmen, Grundsätzen und Verfahren, sowie der Schritte, die zur Behebung etwaiger Defizite der Gesellschaft bei der Einhaltung ihrer Pflichten unternommen wurden;
    b) Beratung und Unterstützung der für die Dienstleistungen und Tätigkeiten zuständigen relevanten Personen im Hinblick auf die Einhaltung der im InvG und WpHG für die Gesellschaft festgelegten Pflichten.
  5. Damit die mit der Compliance-Funktion betrauten Personen ihre Aufgaben ordnungsgemäß und unabhängig wahrnehmen können, hat die Gesellschaft Folgendes zu gewährleisten:
    a) Die Compliance-Funktion muss über die notwendigen Befugnisse, Ressourcen und Fachkenntnisse verfügen und zu allen für sie relevanten Informationen Zugang haben;
    b) Es muss ein Compliance-Beauftragter benannt werden, der für die Compliance-Funktion und die Erstellung der Compliance-Berichte verantwortlich ist, die der Geschäftsleitung regelmäßig, mindestens aber einmal jährlich, zu Fragen der Rechtsbefolgung vorgelegt werden und in denen insbesondere angegeben wird, ob die zur Beseitigung etwaiger Mängel erforderlichen Abhilfemaßnahmen getroffen wurden. Die Berichte sind ebenfalls dem Aufsichtsrat zu übergeben;
    c) Relevante Personen, die in diese Funktion eingebunden sind, dürfen nicht in die Dienstleistungen oder Tätigkeiten eingebunden werden, die sie überwachen;
    d) Das Verfahren, nach dem die Vergütung der in diese Funktion eingebundenen relevanten Personen bestimmt wird, darf weder deren Objektivität beeinträchtigen noch dies wahrscheinlich erscheinen lassen.
  6. Kann eine Gesellschaft jedoch nachweisen, dass die unter Tz. 5 Buchstabe c oder d genannten Anforderungen aufgrund der Art, des Umfangs und der Komplexität ihrer Geschäfte sowie der Art und des Spektrums ihrer Dienstleistungen und Tätigkeiten unverhältnismäßig sind und die Funktion weiterhin ihre Aufgabe erfüllt, ist sie diesen Anforderungen enthoben. Hierzu sind Tätigkeiten, die von den Mitarbeitern der Compliance-Funktion ausgeübt werden, nachvollziehbar zu dokumentieren.
  7. Die Compliance-Funktion ist ein Instrument der Geschäftsleitung. Sie kann auch einem Mitglied der Geschäftsleitung unterstellt sein. Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsrats unter Einbeziehung der Geschäftsleitung direkt beim Compliance-Beauftragten Auskünfte einholen kann.Dieses Modul erläutert die Anforderungen an Stellung und Aufgaben der Compliance-Funktion aus § 33 Abs. 1 WpHG und § 12 WpDVerOV.

11. Persönliche Geschäfte

Die Gesellschaft muss angemessene Regelungen zur Zulässigkeit, zur Vermeidung von Interessenkonflikten, zur Abwicklung und zur Dokumentation von persönlichen Geschäften aufstellen. Diese Regelungen sind den Mitarbeiten in geeigneter Form bekanntzumachen und zur Verfügung zu stellen. Persönliche Geschäfte dürfen nicht gegen das Interesse der Anleger, sonstiger Kunden oder das der Gesellschaft verstoßen. Bei Interessenkollision genießen die Anleger- oder Kundeninteressen und die Eigeninteressen der Gesellschaft den Vorrang.

12. Interne Revision

12.1 Allgemeine Anforderungen

  1. Jede Gesellschaft muss über eine funktionsfähige Interne Revision verfügen. Bei Gesellschaften, bei denen aus Gründen der Größe die Einrichtung einer Revisionseinheit unverhältnismäßig ist, können die Aufgaben der Internen Revision von einem Geschäftsleiter erfüllt werden.
  2. Die Interne Revision ist ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und berichtspflichtig. Sie kann auch einem Mitglied der Geschäftsleitung, nach Möglichkeit dem Vorsitzenden, unterstellt sein. Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsrats unter Einbeziehung der Geschäftsleitung direkt bei dem Leiter der Internen Revision Auskünfte einholen kann.
  3. Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht. 12.2 Tz. 3 bleibt hiervon unberührt.
  4. Zur Wahrnehmung ihrer Aufgaben ist der Internen Revision ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. Dieses Recht ist jederzeit zu gewährleisten. Der Internen Revision sind insoweit unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie die IT-Systeme der Gesellschaft zu gewähren.
  5. Weisungen und Beschlüsse der Geschäftsleitung, die für die Interne Revision von Bedeutung sein können, sind ihr bekannt zu geben. Über wesentliche Änderungen im Risikomanagement ist die Interne Revision rechtzeitig zu informieren.


12.2 Aufgaben der Internen Revision

  1. Die Prüfungstätigkeit der Internen Revision hat sich auf der Grundlage eines risikoorientierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse der Gesellschaft zu erstrecken.
  2. Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten bei wesentlichen Projekten begleitend tätig zu sein. Die Wesentlichkeit von Projekten ist anhand objektiver Kriterien von der Geschäftsleitung festzulegen.
  3. Bei Auslagerungen im Sinne des Abschnitts 9 auf ein anderes Unternehmen kann die Interne Revision der auslagernden Gesellschaft auf eigene Prüfungshandlungen verzichten, sofern die anderweitig durchgeführte Revisionstätigkeit den hier beschriebenen Anforderungen genügt. Die Interne Revision der Gesellschaft hat sich von der Einhaltung dieser Voraussetzungen regelmäßig zu überzeugen. Die für das Auslagerungsunternehmen relevanten Prüfungsergebnisse sind an die Interne Revision der Gesellschaft weiterzuleiten.

12.3 Grundsätze für die Interne Revision

  1. Die Interne Revision hat ihre Aufgaben selbständig und unabhängig wahrzunehmen. Insbesondere ist zu gewährleisten, dass sie bei der Berichterstattung und der Wertung der Prüfungsergebnisse keinen Weisungen unterworfen ist. Das Direktionsrecht der Geschäftsleitung zur Anordnung zusätzlicher Prüfungen steht der Selbständigkeit und Unabhängigkeit der Internen Revision nicht entgegen.
  2. Die in der Internen Revision beschäftigten Mitarbeiter dürfen grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden. Sie dürfen insbesondere keine Aufgaben wahrnehmen, die mit der Prüfungstätigkeit nicht im Einklang stehen. Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie im Rahmen ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten der Gesellschaft beratend tätig sein.
  3. Mitarbeiter, die in anderen Organisationseinheiten der Gesellschaft beschäftigt sind, dürfen grundsätzlich nicht mit Aufgaben der Internen Revision betraut werden. Das schließt jedoch nicht aus, dass in begründeten Einzelfällen andere Mitarbeiter aufgrund ihres Spezialwissens zeitweise für die Interne Revision tätig werden.

12.4 Prüfungsplanung und -durchführung

  1. Die Tätigkeit der Internen Revision muss auf einem umfassenden und jährlich fortzuschreibenden Prüfungsplan basieren. Die Prüfungsplanung hat risikoorientiert zu erfolgen. Die Aktivitäten und Prozesse der Gesellschaft sind, auch wenn diese ausgelagert sind, in angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen. Wenn besondere Risiken bestehen, ist jährlich zu prüfen. Bei unter Risikogesichtspunkten nicht wesentlichen Aktivitäten und Prozessen kann vom dreijährigen Turnus abgewichen werden.
  2. Die Prüfungsplanung, -methoden und -qualität sind regelmäßig und anlassbezogen zu überprüfen und weiterzuentwickeln.
  3. Es muss sichergestellt sein, dass kurzfristig notwendige Sonderprüfungen, z. B. anlässlich deutlich gewordener Mängel oder bestimmter Informationsbedürfnisse, jederzeit durchgeführt werden können.
  4. Die Prüfungsplanung sowie wesentliche Anpassungen sind von der Geschäftsleitung zu genehmigen.

12.5 Berichtspflicht

  1. Über jede Prüfung muss von der Internen Revision zeitnah ein schriftlicher Bericht angefertigt und grundsätzlich den fachlich zuständigen Mitgliedern der Geschäftsleitung vorgelegt werden. Der Bericht muss insbesondere eine Darstellung des Prüfungsgegenstandes und der Prüfungsfeststellungen, gegebenenfalls einschließlich der vorgesehenen Maßnahmen, enthalten. Wesentliche Mängel sind besonders herauszustellen. Dabei sind die Prüfungsergebnisse zu beurteilen. Bei schwerwiegenden Mängeln muss der Bericht unverzüglich der Geschäftsleitung vorgelegt werden.
  2. Die Prüfungen sind durch Arbeitsunterlagen zu dokumentieren. Aus ihnen müssen die durchgeführten Arbeiten sowie die festgestellten Mängel und Schlussfolgerungen für sachkundige Dritte nachvollziehbar hervorgehen.
  3. Besteht hinsichtlich der zur Erledigung der Feststellungen zu ergreifenden Maßnahmen keine Einigkeit zwischen geprüfter Organisationseinheit und Interner Revision, so ist von der geprüften Organisationseinheit eine Stellungnahme hierzu abzugeben.
  4. Die Interne Revision hat zeitnah einen Gesamtbericht über die von ihr im Laufe des Geschäftsjahres durchgeführten Prüfungen zu verfassen und zeitnah der Geschäftsleitung vorzulegen. Der Gesamtbericht muss über die wesentlichen Mängel und die ergriffenen Maßnahmen informieren. Es ist ferner darzulegen, ob und inwieweit die Vorgaben des Prüfungsplans eingehalten wurden.
  5. Ergeben sich im Rahmen der Prüfungen schwerwiegende Feststellungen gegen Geschäftsleiter, so ist der Geschäftsleitung unverzüglich Bericht zu erstatten. Diese hat unverzüglich den Vorsitzenden des Aufsichtsrats sowie die Aufsichtsinstitution (Bundesanstalt für Finanzdienstleistungsaufsicht) zu informieren. Kommt die Geschäftsleitung ihrer Berichtspflicht nicht nach oder beschließt sie keine sachgerechten Maßnahmen, so hat die Interne Revision den Vorsitzenden des Aufsichtsrats zu unterrichten.
  6. Die Geschäftsleitung hat den Aufsichtsrat mindestens einmal jährlich über die von der Internen Revision festgestellten schwerwiegenden sowie über die noch nicht behobenen wesentlichen Mängel in inhaltlich prägnanter Form zu unterrichten. Die aufgedeckten schwerwiegenden Mängel, die beschlossenen Maßnahmen zu deren Behebung sowie die Umsetzung der Maßnahmen sind dabei besonders hervorzuheben. Über besonders schwerwiegende Mängel ist der Aufsichtsrat unverzüglich durch die Geschäftsleitung in Kenntnis zu setzen.
  7. Revisionsberichte und Arbeitsunterlagen sind sechs Jahre aufzubewahren.

12.6 Reaktion auf festgestellte Mängel

  1. Die Interne Revision hat die fristgerechte Beseitigung der bei der Prüfung festgestellten Mängel in geeigneter Form zu überwachen. Gegebenenfalls ist hierzu eine Nachschauprüfung anzusetzen.
  2. Werden die wesentlichen Mängel nicht in einer angemessenen Zeit beseitigt, so hat der Leiter der Internen Revision darüber zunächst den fachlich zuständigen Geschäftsleiter schriftlich zu informieren. Erfolgt die Mängelbeseitigung nicht, so ist die Geschäftsleitung spätestens im Rahmen des nächsten Gesamtberichts schriftlich über die noch nicht beseitigten Mängel zu unterrichten.