§ 25a Absatz 1 Satz 3 KWG
3Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; das Risikomanagement umfasst insbesondere
1.
die Festlegung von Strategien, insbesondere die Festlegung einer auf die nachhaltige Entwicklung des Instituts gerichteten Geschäftsstrategie und einer damit konsistenten Risikostrategie, sowie die Einrichtung von Prozessen zur Planung, Umsetzung, Beurteilung und Anpassung der Strategien;
2.
Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit, wobei eine vorsichtige Ermittlung der Risiken, der potentiellen Verluste, die sich auf Grund von Stressszenarien ergeben, einschließlich derjenigen, die nach dem aufsichtlichen Stresstest nach § 6b Absatz 3 ermittelt werden, und des zu ihrer Abdeckung verfügbaren Risikodeckungspotenzials zugrunde zu legen ist;
3.
die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision, wobei das interne Kontrollsystem insbesondere
a)
aufbau- und ablauforganisatorische Regelungen mit klarer Abgrenzung der Verantwortungsbereiche,
b)
Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken entsprechend den in Titel VII Kapitel 2 Abschnitt 2 Unterabschnitt II der Richtlinie 2013/36/EU niedergelegten Kriterien und
c)
eine Risikocontrolling-Funktion und eine Compliance-Funktion umfasst;
4.
eine angemessene personelle und technischorganisatorische Ausstattung des Instituts;
5.
die Festlegung eines angemessenen Notfallmanagements, insbesondere für IT-Systeme, und
6.
angemessene, transparente und auf eine nachhaltige Entwicklung des Instituts ausgerichtete Vergütungssysteme für Geschäftsleiter und Mitarbeiter unter Berücksichtigung von Absatz 5; dies gilt mit Ausnahme der Pflicht zur Offenlegung vergütungsbezogener Informationen nicht, soweit die Vergütung durch Tarifvertrag oder in seinem Geltungsbereich durch Vereinbarung der Arbeitsvertragsparteien über die Anwendung der tarifvertraglichen Regelungen oder auf Grund eines Tarifvertrags in einer Betriebs- oder Dienstvereinbarung vereinbart ist.