§ 25c Absatz 4a KWG
(4a) Im Rahmen ihrer Gesamtverantwortung für die ordnungsgemäße Geschäftsorganisation des Instituts nach § 25a Absatz 1 Satz 2 haben die Geschäftsleiter eines Instituts dafür Sorge zu tragen, dass das Institut über folgende Strategien, Prozesse, Verfahren, Funktionen und Konzepte verfügt:
1.
eine auf die nachhaltige Entwicklung des Instituts gerichtete Geschäftsstrategie und eine damit konsistente Risikostrategie sowie Prozesse zur Planung, Umsetzung, Beurteilung und Anpassung der Strategien nach § 25a Absatz 1 Satz 3 Nummer 1, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass
a)
jederzeit das Gesamtziel, die Ziele des Instituts für jede wesentliche Geschäftsaktivität sowie die Maßnahmen zur Erreichung dieser Ziele dokumentiert werden;
b)
die Risikostrategie jederzeit die Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten sowie die Maßnahmen zur Erreichung dieser Ziele umfasst;
2.
Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit nach § 25a Absatz 1 Satz 3 Nummer 2, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass
a)
die wesentlichen Risiken des Instituts, insbesondere Adressenausfall-, Marktpreis-, Liquiditäts- und operationelle Risiken, regelmäßig und anlassbezogen im Rahmen einer Risikoinventur identifiziert und definiert werden (Gesamtrisikoprofil);
b)
im Rahmen der Risikoinventur Risikokonzentrationen berücksichtigt sowie mögliche wesentliche Beeinträchtigungen der Vermögenslage, der Ertragslage oder der Liquiditätslage geprüft werden;
3.
interne Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision nach § 25a Absatz 1 Satz 3 Nummer 3 Buchstabe a bis c, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass
a)
im Rahmen der Aufbau- und Ablauforganisation Verantwortungsbereiche klar abgegrenzt werden, wobei wesentliche Prozesse und damit verbundene Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege klar zu definieren sind und sicherzustellen ist, dass Mitarbeiter keine miteinander unvereinbaren Tätigkeiten ausüben;
b)
eine grundsätzliche Trennung zwischen dem Bereich, der Kreditgeschäfte initiiert und bei den Kreditentscheidungen über ein Votum verfügt (Markt), sowie dem Bereich Handel einerseits und dem Bereich, der bei den Kreditentscheidungen über ein weiteres Votum verfügt (Marktfolge), und den Funktionen, die dem Risikocontrolling und die der Abwicklung und Kontrolle der Handelsgeschäfte dienen, andererseits besteht;
c)
das interne Kontrollsystem Risikosteuerungs- und -controllingprozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der wesentlichen Risiken und damit verbundener Risikokonzentrationen sowie eine Risikocontrolling-Funktion und eine Compliance-Funktion umfasst;
d)
in angemessenen Abständen, mindestens aber vierteljährlich, gegenüber der Geschäftsleitung über die Risikosituation einschließlich einer Beurteilung der Risiken berichtet wird;
e)
in angemessenen Abständen, mindestens aber vierteljährlich, seitens der Geschäftsleitung gegenüber dem Verwaltungs- oder Aufsichtsorgan über die Risikosituation einschließlich einer Beurteilung der Risiken berichtet wird;
f)
regelmäßig angemessene Stresstests für die wesentlichen Risiken sowie das Gesamtrisikoprofil des Instituts durchgeführt werden und auf Grundlage der Ergebnisse möglicher Handlungsbedarf geprüft wird;
g)
die interne Revision in angemessenen Abständen, mindestens aber vierteljährlich, an die Geschäftsleitung und an das Aufsichts- oder Verwaltungsorgan berichtet;
4.
eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts nach § 25a Absatz 1 Satz 3 Nummer 4, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass die quantitative und qualitative Personalausstattung und der Umfang und die Qualität der technisch-organisatorischen Ausstattung die betriebsinternen Erfordernisse, die Geschäftsaktivitäten und die Risikosituation berücksichtigen;
5.
für Notfälle in zeitkritischen Aktivitäten und Prozessen angemessene Notfallkonzepte nach § 25a Absatz 1 Satz 3 Nummer 5, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass regelmäßig Notfalltests zur Überprüfung der Angemessenheit und Wirksamkeit des Notfallkonzeptes durchgeführt werden und über die Ergebnisse den jeweils Verantwortlichen berichtet wird;
6.
im Fall einer Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen nach § 25b Absatz 1 Satz 1 mindestens angemessene Verfahren und Konzepte, um übermäßige zusätzliche Risiken sowie eine Beeinträchtigung der Ordnungsmäßigkeit der Geschäfte, Dienstleistungen und der Geschäftsorganisation im Sinne des § 25a Absatz 1 zu vermeiden.
§ 25c Absatz 4b Satz 2 KWG
2Im Rahmen ihrer Gesamtverantwortung für die ordnungsgemäße Geschäftsorganisation der Gruppe nach Satz 1 haben die Geschäftsleiter des übergeordneten Unternehmens dafür Sorge zu tragen, dass die Gruppe über folgende Strategien, Prozesse, Verfahren, Funktionen und Konzepte verfügt:
1.
eine auf die nachhaltige Entwicklung der Gruppe gerichtete gruppenweite Geschäftsstrategie und eine damit konsistente gruppenweite Risikostrategie sowie Prozesse zur Planung, Umsetzung, Beurteilung und Anpassung der Strategien nach § 25a Absatz 1 Satz 3 Nummer 1, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass
a)
jederzeit das Gesamtziel der Gruppe, die Ziele der Gruppe für jede wesentliche Geschäftsaktivität sowie die Maßnahmen zur Erreichung dieser Ziele dokumentiert werden;
b)
die Risikostrategie der Gruppe jederzeit die Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten sowie die Maßnahmen zur Erreichung dieser Ziele umfasst;
c)
die strategische Ausrichtung der gruppenangehörigen Unternehmen mit den gruppenweiten Geschäfts- und Risikostrategien abgestimmt wird;
2.
Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit der Gruppe nach § 25a Absatz 1 Satz 3 Nummer 2, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass
a)
die wesentlichen Risiken der Gruppe, insbesondere Adressenausfall-, Marktpreis-, Liquiditäts- und operationelle Risiken, regelmäßig und anlassbezogen im Rahmen einer Risikoinventur identifiziert und definiert werden (Gesamtrisikoprofil der Gruppe);
b)
im Rahmen der Risikoinventur Risikokonzentrationen innerhalb der Gruppe berücksichtigt sowie mögliche wesentliche Beeinträchtigungen der Vermögenslage, der Ertragslage oder der Liquiditätslage der Gruppe geprüft werden;
3.
interne Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision nach § 25a Absatz 1 Satz 3 Nummer 3 Buchstabe a bis c, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass
a)
im Rahmen der Aufbau- und Ablauforganisation der Gruppe Verantwortungsbereiche klar abgegrenzt werden, wobei wesentliche Prozesse und damit verbundene Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege innerhalb der Gruppe klar zu definieren sind und sicherzustellen ist, dass Mitarbeiter keine miteinander unvereinbaren Tätigkeiten ausüben;
b)
bei den gruppenangehörigen Unternehmen eine grundsätzliche Trennung zwischen dem Bereich, der Kreditgeschäfte initiiert und bei den Kreditentscheidungen über ein Votum verfügt (Markt), sowie dem Bereich Handel einerseits und dem Bereich, der bei den Kreditentscheidungen über ein weiteres Votum verfügt (Marktfolge), und den Funktionen, die dem Risikocontrolling und die der Abwicklung und Kontrolle der Handelsgeschäfte dienen, andererseits besteht;
c)
in angemessenen Abständen, mindestens aber vierteljährlich, gegenüber der Geschäftsleitung über die Risikosituation einschließlich einer Beurteilung der Risiken berichtet wird;
d)
in angemessenen Abständen, mindestens aber vierteljährlich, auf Gruppenebene seitens der Geschäftsleitung gegenüber dem Verwaltungs- oder Aufsichtsorgan über die Risikosituation der Gruppe einschließlich einer Beurteilung der Risiken berichtet wird;
e)
das interne Kontrollsystem der Gruppe eine Risikocontrolling-Funktion und eine Compliance-Funktion sowie Risikosteuerungs- und -controllingprozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der wesentlichen Risiken und damit verbundener Risikokonzentrationen umfasst;
f)
regelmäßig angemessene Stresstests für die wesentlichen Risiken und das Gesamtrisikoprofil auf Gruppenebene durchgeführt werden und auf Grundlage der Ergebnisse möglicher Handlungsbedarf geprüft wird;
g)
die Konzernrevision in angemessenen Abständen, mindestens aber vierteljährlich, an die Geschäftsleitung und an das Verwaltungs- oder Aufsichtsorgan berichtet;
4.
eine angemessene personelle und technisch-organisatorische Ausstattung der Gruppe nach § 25a Absatz 1 Satz 3 Nummer 4, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass die quantitative und qualitative Personalausstattung und der Umfang und die Qualität der technisch-organisatorischen Ausstattung der gruppenangehörigen Unternehmen die jeweiligen betriebsinternen Erfordernisse, die Geschäftsaktivitäten und die Risikosituation der gruppenangehörigen Unternehmen berücksichtigen;
5.
für Notfälle in zeitkritischen Aktivitäten und Prozessen angemessene Notfallkonzepte nach § 25a Absatz 1 Satz 3 Nummer 5 auf Gruppenebene, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass regelmäßig Notfalltests zur Überprüfung der Angemessenheit und Wirksamkeit des Notfallkonzeptes auf Gruppenebene durchgeführt werden und über die Ergebnisse den jeweils Verantwortlichen berichtet wird;
6.
im Fall einer Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen nach § 25b Absatz 1 Satz 1 mindestens angemessene Verfahren und Konzepte, um übermäßige zusätzliche Risiken sowie eine Beeinträchtigung der Ordnungsmäßigkeit der Geschäfte, Dienstleistungen und der Geschäftsorganisation im Sinne des § 25a Absatz 1 zu vermeiden.