Das Leitungsorgan sollte für die Festlegung und Überwachung der Angemessenheit und Wirksamkeit der internen Kontrollrichtlinien, der entsprechenden Verfahren und Mechanismen sowie für die Überwachung aller Geschäftsfbereiche und interner Einheiten, einschließlich der internen Kontrollfunktionen (wie das Risikomanagement, die Compliance-Funktion und die interneRevision), zuständig sein. Die Institute sollten angemessene schriftliche Richtlinien, Mechanismen und Verfahren für dieinterne Kontrolle, die vom Leitungsorgan genehmigt werden sollten, einrichten, pflegen und regelmäßig aktualisieren.
Ein Institut sollte über einen klaren, transparenten und dokumentierten Entscheidungsprozess sowie eine eindeutige Aufgabenverteilung und Kompetenzregelung innerhalb seiner internen Kontrollrichtlinien verfügen, einschließlich seiner Geschäftsbereiche, internen Einheiten und internen Kontrollfunktionen.
Die Institute sollten diese Richtlinien, Mechanismen und Verfahren allen Mitarbeitern und immer mitteilen, wenn wesentliche Änderungen vorgenommen wurden.
Bei der Einführung der internen Kontrollrichtliniensollten die Institute eine angemessene Aufgabentrennung einrichten – z. B. die Übertragung konfligierender Tätigkeiten im Rahmen der Abwicklung von Transaktionen oder bei der Erbringung von Dienstleistungen an unterschiedliche Personen oder die Übertragung von Aufsichts- und Meldepflichten für konfligierende Tätigkeiten an unterschiedliche Personen – und Informationssperren vorsehen, z. B. durch die physische Trennung bestimmter Abteilungen.
Die internen Kontrollfunktionen sollten überprüfen, ob die in den internen Kontrollrichtlinien festgelegten Vorgaben, Mechanismen und Verfahren in ihren jeweiligen Zuständigkeitsbereichen richtig umgesetzt werden.
Die internen Kontrollfunktionen sollten dem Leitungsorgan regelmäßig schriftliche Berichte über ermittelte größere Mängel vorlegen. Diese Berichte sollten unter anderem für jeden neu festgestellten wesentlichen Mangel, die maßgeblich damit verbundenen Risiken, eine Folgenabschätzung, Empfehlungen und die einzuleitenden Abhilfemaßnahmen enthalten. Das Leitungsorgan sollte zeitnah und wirksam die Feststellungen der internen Kontrollfunktionen weiterverfolgen und angemessene Maßnahmen zur Mängelbeseitigung einfordern. Es sollte ein formelles Mängelbeseitigungsverfahren für die Feststellungen und und ergriffenen Abhilfemaßnahmen vorgesehen werden.