§ 26 Absatz 1 VAG
(1) 1Versicherungsunternehmen müssen über ein wirksames Risikomanagementsystem verfügen, das gut in die Organisationsstruktur und die Entscheidungsprozesse des Unternehmens integriert ist und dabei die Informationsbedürfnisse der Personen, die das Unternehmen tatsächlich leiten oder andere Schlüsselfunktionen innehaben, durch eine angemessene interne Berichterstattung gebührend berücksichtigt. 2Das Risikomanagementsystem muss die Strategien, Prozesse und internen Meldeverfahren umfassen, die erforderlich sind, um Risiken, denen das Unternehmen tatsächlich oder möglicherweise ausgesetzt ist, zu identifizieren, zu bewerten, zu überwachen und zu steuern sowie aussagefähig über diese Risiken zu berichten. 3Es muss einzeln und auf aggregierter Basis eine kontinuierliche Risikosteuerung unter Berücksichtigung der zwischen den Risiken bestehenden Interdependenzen ermöglichen. 4Auf Verlangen der Aufsichtsbehörde haben die Versicherungsunternehmen einen Sanierungsplan (allgemeiner Sanierungsplan) aufzustellen. 5Der allgemeine Sanierungsplan muss Szenarien beschreiben, die zu einer Gefährdung des Unternehmens führen können, und darlegen, mit welchen Maßnahmen diesen begegnet werden soll.