§ 23 Absatz 3 VAG
(3) 1Die Unternehmen müssen schriftliche interne Leitlinien aufstellen, die der vorherigen Zustimmung durch den Vorstand unterliegen und deren Umsetzung sicherzustellen ist. 2Die Leitlinien müssen mindestens Vorgaben zum Risikomanagement, zum internen Kontrollsystem, zur internen Revision und, soweit relevant, zur Ausgliederung von Funktionen und Tätigkeiten machen. 3Sie sind mindestens einmal jährlich zu überprüfen. 4Bei wesentlichen Änderungen der Bereiche oder Systeme, auf die sie sich beziehen, sind sie entsprechend anzupassen.