Organisationsrichtlinien

Das Institut hat sicherzustellen, dass die Geschäftsaktivitäten auf der Grundlage von Organisationsrichtlinien betrieben werden (z. B. Handbücher, Arbeitsanweisungen oder Arbeitsablaufbeschreibungen). Der Detaillierungsgrad der Organisationsrichtlinien hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten ab.
Die Organisationsrichtlinien müssen schriftlich fixiert und den betroffenen Mitarbeitern in geeigneter Weise bekannt gemacht werden. Es ist sicherzustellen, dass sie den Mitarbeitern in der jeweils aktuellen Fassung zur Verfügung stehen. Die Richtlinien sind bei Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen.
Die Organisationsrichtlinien haben vor allem Folgendes zu beinhalten:
1. Regelungen für die Aufbau- und Ablauforganisation sowie zur Aufgabenzuweisung, Kompetenzordnung und zu den Verantwortlichkeiten,
2. Regelungen hinsichtlich der Ausgestaltung der Risikosteuerungs- und -controllingprozesse,
3. Regelungen zu den Verfahren, Methoden und Prozessen der Aggregation von Risikodaten (bei bedeutenden Instituten),
4. Regelungen zur Internen Revision,
5. Regelungen, die die Einhaltung rechtlicher Regelungen und Vorgaben (z. B. Datenschutz, Compliance) gewährleisten,
6. Regelungen zu Verfahrensweisen bei Auslagerungen,
7. abhängig von der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten, einen Verhaltenskodex für die Mitarbeiter.
Die Organisationsrichtlinien haben auch Regelungen zur Berücksichtigung der Aus-wirkungen von ESG-Risiken zu beinhalten.
Die Ausgestaltung der Organisationsrichtlinien muss es der Internen Revision ermöglichen, in die Sachprüfung einzutreten.