Das Unternehmen legt offen, welche Maßnahmen, Standards, Systeme und Prozesse zur Vermeidung von rechtswidrigem Verhalten und insbesondere von Korruption existieren, wie sie geprüft werden, welche Ergebnisse hierzu vorliegen und wo Risiken liegen. Es stellt dar, wie Korruption und andere Gesetzesverstöße im Unternehmen verhindert, aufgedeckt und sanktioniert werden.
Die apoBank hat ein Compliance Management System (CMS) als integralen Bestandteil ihrer Corporate Governance und mit dem Ziel der Einhaltung von Regeln durch die Mitarbeitenden der Bank implementiert. Unter dem CMS werden die auf der Grundlage der Compliance-Ziele eingeführten Grundsätze und Maßnahmen der apoBank verstanden, die auf die Sicherstellung regelkonformen Verhaltens der gesetzlichen Vertreter und Mitarbeitenden der apoBank beziehungsweise auf die Verhinderung von Regelverstößen abzielen.
Der Verhaltenskodex der apoBank ist der ethisch-moralische Standard für jegliches Handeln sowohl im Außenverhältnis als auch im Innenverhältnis. Alle Führungskräfte und andere Mitarbeitenden sind verpflichtet, in jeglichen geschäftlichen Angelegenheiten sämtliche anwendbaren Gesetze, Rechtsverordnungen und internen Bestimmungen, insbesondere auch zur Vermeidung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen, wie zum Beispiel Betrug, Unterschlagung, Bestechung und Vorteilsgewährung, sowie die Regelungen des CMS stets zu beachten. Von den Führungskräften der apoBank wird erwartet, dass sie sich jederzeit ihrer Vorbildfunktion bewusst sind.
Ziel der Compliance-Funktionen ist es, durch angemessene institutsindividuelle und prozessorientierte sowie einzelfallbezogene Tätigkeiten
- die Einhaltung der relevanten rechtlichen Bestimmungen und internen Anweisungen zu fördern und so
- den Compliance-Risiken (bestehende oder künftige Ertrags- oder Kapitalrisiken infolge von Verletzungen oder der Nichteinhaltung von Gesetzen, Vorschriften, Rechtsvorschriften, Vereinbarungen, vorgeschriebenen Praktiken oder ethischen Standards) entgegen zu treten, insbesondere sie zu identifizieren, zu überwachen, über sie zu berichten und auf ihre Vermeidung beziehungsweise Verminderung hinzuwirken.
Die apoBank hat ihre vorgenannten Ziele im Geschäftsjahr 2020 erreicht.
Die apoBank wirkt mit einem umfassenden Compliance-Programm (Grundsätze und Maßnahmen) proaktiv auf regelkonformes Verhalten hin, um ihre Compliance-Risiken zu begrenzen.
Bei den Compliance-Grundsätzen handelt es sich um Regelungen, mit denen die Führungskräfte und weitere Mitarbeitende der apoBank sowie die vertraglich gebundenen Vermittler der apoBank zu regelkonformem Verhalten angehalten werden. Sie enthalten klare Festlegungen zur Zulässigkeit beziehungsweise Unzulässigkeit bestimmter Aktivitäten sowie zu den Maßnahmen des Compliance-Programms, die zur Sicherstellung der Compliance zu beachten sind.
Die Compliance-Maßnahmen des apoBank-CMS zielen zum einen auf die Verhinderung von Regelverstößen ab. Sie dienen zum anderen aber auch der (Früh-) Erkennung von Fehlverhalten. Sich anschließende Maßnahmen sind die Reaktion auf individuelles Fehlverhalten und die Abstellung eventueller Schwachstellen.
Verhinderung von Regelverstößen:
- Wichtig sind zunächst die prozessintegrierten und prozessunabhängigen Überwachungsmaßnahmen des internen Kontrollsystems.
- Darüber hinaus wirken die initiale, ebenso wie die regelmäßige und anlassbezogene Zuverlässigkeitsbeurteilung von Mitarbeitenden sowie zu deren Qualifizierung bestehende initiale und turnusmäßige compliance- und funktionsspezifische Schulungsmaßnahmen präventiv.
- Bedeutung haben ferner die Maßnahmen zum Management von Interessenkonflikten, einschließlich der Vorschriften zur Annahme und Gewährung von Sachgeschenken und -zuwendungen sowie Einladungen jeglicher Art und das Verbot von Geldgeschenken.
Abschließend sind auf die beratenden, unterstützenden und schulenden Aktivitäten der Compliance-Funktionen sowie die Verpflichtung aller Mitarbeitenden hinzuweisen, die Compliance-Funktionen in alle relevanten Informationen rechtzeitig einzubinden, sie an relevanten strategischen Entscheidungen und wesentlichen organisatorischen Änderungen zu beteiligen und ihnen Anhaltspunkte für mögliche wesentliche Feststellungen und schwerwiegende Verstöße unverzüglich mitzuteilen. Die von allen Mitarbeitenden zu beachtenden Regelungen ergeben sich aus der schriftlich fixierten Ordnung. Soweit darüber hinaus erforderlich, wird über veränderte beziehungsweise neue Regelungen zeitnah informiert und gegebenenfalls diesbezüglich geschult.
Früherkennung von Fehlverhalten und Gesetzesverstößen:
- An erster Stelle sind die Kontrollen und Überwachungshandlungen der Compliance-Funktionen zu nennen. Hierzu gehören ebenso spezifische systemgestützte Screenings zur Aufdeckung von Anhaltspunkten für mögliche Geldwäsche, Terrorismusfinanzierung und sonstige strafbare Handlungen, wie risikobasierte und anlassbezogene Kontrollen und Untersuchungen.
- Wichtiger Faktor ist zudem das Beschwerdemanagementsystem der Bank, das auch von den Compliance-Funktionen zur risikoorientierten Fundierung eigener Aktivitäten herangezogen wird.
- Weitere Erkenntnisquelle möglichen Fehlverhaltens ist das seit Jahren etablierte und mit dem Gesamtbetriebsrat abgestimmte Hinweisgeberverfahren, das den Mitarbeitenden der Bank ebenso wie den Kunden, Geschäftspartnern und Dritten erlaubt, einem externen Vertrauensanwalt potenzielle Gesetzesverstöße unter Wahrung der Vertraulichkeit ihrer Identität mitzuteilen.
Reaktion auf individuelles Fehlverhalten:
- Für die apoBank ist die Reaktion auf mögliches Fehlerverhalten selbstverständlich. Bei Missachtung des Verhaltenskodex, der Geschäfts- und Risikostrategie sowie der weiteren Regelungen der schriftlich fixierten Ordnung ist jede Führungskraft verpflichtet, auf Regelverstöße stets konsequent und angemessen sowie konsistent zu reagieren und keinesfalls wegzusehen.
Das Spektrum möglicher Reaktionen reicht von der einfachen Ansprache eines Mitarbeitenden bis zur Strafanzeige.
Abstellung eventueller Schwachstellen:
- Soweit sich Anhaltspunkte für Fehler oder Schwachstellen im internen Kontrollsystem der apoBank ergeben, werden diese unter Vorgabe angemessener Fristen zur Beseitigung an die zuständigen Fachbereiche adressiert. Grundsätzlich stehen die Compliance-Funktionen bei der Beseitigung prozessualer Schwachstellen beratend/unterstützend zur Verfügung. Die Beseitigung der Fehler und Schwachstellen sind den Compliance-Funktionen innerhalb der vorgesehenen Fristen nachzuweisen.
Die Compliance-Organisation folgt dem Konzept der
three lines of defense.
- 1st-line sind die (Mitarbeitenden der) Markt- und Marktfolge-Einheiten sowie Bereiche beziehungsweise (Teil-)Einheiten in der Zentrale, die nicht zur zweiten oder dritten Verteidigungslinie gehören.
Die erste Verteidigungslinie ist für das strategische/operative Bankgeschäft inkl. Arbeitsergebnisse verantwortlich. Aufgrund der im Rahmen ihrer Geschäftsaktivitäten eingegangenen banküblichen Risiken ist sie für die laufende und transaktionsbasierte, angemessene Identifizierung, Beurteilung, Steuerung und Verminderung der Risiken in den ihr zugeordneten Prozessen verantwortlich und rechenschaftspflichtig. Die durch die 1st-line-Funktionen definierten Kontrollhandlungen sind integraler Bestandteil der Prozesse.
- 2nd-line sind die (Mitarbeitenden der) Compliance-Funktionen.
Die zweite Verteidigungslinie überwacht im Rahmen ihrer 2nd-line-Funktion die Einhaltung gesetzlicher/regulatorischer Regelungen, die die 1st-lines zu berücksichtigen haben.
Die 2nd-line unterstützt und berät die erste Verteidigungslinie hinsichtlich der laufenden beziehungsweise anlassbezogenen angemessenen Identifizierung, Beurteilung, Steuerung und Verminderung ihrer Risiken. Sie setzt den 1st-line-Einheiten gegebenenfalls übergeordnete Vorgaben für risikobegrenzende Mechanismen, Systeme oder Kontrollhandlungen und überwacht deren Angemessenheit und Wirksamkeit.
- 3rd-line ist die Interne Revision mit ihren Mitarbeitenden.
Der Revision obliegt insbesondere Prüfung aller Aktivitäten und Prozesse des Hauses mit anhand von Risikoprofilen gewichteten Schwerpunkten.
Die Compliance-Beauftragten, der Geldwäschebeauftragte und die Zentrale Stelle sowie weitere 2nd-line-Officer berichten direkt an den Vorstand.
Alle Compliance-Funktionen sind dauerhaft eingerichtet. Für jede Compliance-Funktion sind hinreichende Vertretungsregelungen vorgesehen. Zudem ist vorgesehen, die Compliance-Funktionen personell, sachlich und mit sonstigen Mitteln angemessen auszustatten. Die Compliance-Funktionen müssen ihre Aufgaben unabhängig von den anderen Fachbereichen und Filialen der apoBank erfüllen.
Die Compliance-Funktionen haben ein uneingeschränktes Auskunfts-, Zugangs- und Einsichtsrecht insbesondere hinsichtlich aller einschlägigen Unterlagen, Bücher, Aufzeichnungen, Datenbanken und IT-Systeme der Bank.
Die Berichterstattung der Compliance-Funktionen an den Gesamtvorstand erfolgt schriftlich und in angemessenen Zeitabständen. Sie enthält Informationen über die Umsetzung und Wirksamkeit des Kontrollumfelds hinsichtlich der zu überwachenden Dienstleistungen und Tätigkeiten, über die ermittelten Risiken sowie über die ergriffenen oder zu ergreifenden Abhilfemaßnahmen. Bei erheblichen Feststellungen und damit (besonders) schwerwiegenden Feststellungen ist ad hoc an den Vorstand zu berichten. Hierbei sind zu ergreifende Abhilfemaßnahmen vorzuschlagen.
Die Berichte der Compliance-Funktionen werden auch dem Aufsichtsrat übermittelt.
Das CMS der apoBank wird von der Revision geprüft. Gegebenenfalls erkanntem Weiterentwicklungsbedarf wird in angemessener Zeit Rechnung getragen.
Wesentliche Risiken aus der Geschäftstätigkeit, den Geschäftsbeziehungen oder den Produkten und Dienstleistungen der apoBank, die wahrscheinlich negative Auswirkungen auf die Bekämpfung von Korruption und Bestechung haben, bestehen nicht.