Allgemeine Anforderungen an das Risikomanagement

Allgemeine Anforderungen an das Risikomanagement

AT 4.1 Risikotragfähigkeit

  1. Auf der Grundlage des Gesamtrisikoprofils ist sicherzustellen, dass die wesentlichen Risiken des Instituts durch das Risikodeckungspotenzial, unter Berücksichtigung von Risikokonzentrationen, laufend abgedeckt sind und damit die Risikotragfähigkeit gegeben ist. Die Auswirkungen von ESG-Risiken i.S. von AT 2.2 Tz. 1 sind angemessen und explizit zu berücksichtigen.
  2. Das Institut hat einen internen Prozess zur Sicherstellung der Risikotragfähigkeit einzurichten. Die hierzu eingesetzten Verfahren haben sowohl das Ziel der Fortführung des Instituts als auch den Schutz der Gläubiger vor Verlusten aus ökonomischer Sicht angemessen zu berücksichtigen. Zur Erfüllung dieser Ziele sind Verfahren zur Sicherstellung der Risikotragfähigkeit zum einen aus der normativen Perspektive und zum anderen aus der ökonomischen Perspektive einzurichten.
  3. Die Risikotragfähigkeit ist bei der Festlegung der Strategien (AT 4.2) sowie bei deren Anpassung zu berücksichtigen. Zur Umsetzung der Strategien bzw. zur Gewährleistung der Risikotragfähigkeit sind ferner geeignete Risikosteuerungs- und -controllingprozesse (AT 4.3.2) einzurichten.
  4. Wesentliche Risiken, die nicht in das Risikotragfähigkeitskonzept einbezogen werden, sind festzulegen. Ihre Nichtberücksichtigung ist nachvollziehbar zu begründen und nur dann möglich, wenn das jeweilige Risiko aufgrund seiner Eigenart nicht sinnvoll durch Risikodeckungspotenzial begrenzt werden kann (z. B. das Zahlungsunfähigkeitsrisiko). Es ist sicherzustellen, dass solche Risiken angemessen in den Risikosteuerungs- und -controllingprozessen berücksichtigt werden.
  5. Verfügt ein Institut über keine geeigneten Verfahren zur Quantifizierung einzelner Risiken, die in das Risikotragfähigkeitskonzept einbezogen werden sollen, so ist für diese auf der Basis einer Plausibilisierung ein Risikobetrag festzulegen. Die Plausibilisierung kann auf der Basis einer qualifizierten Expertenschätzung durchgeführt werden.
  6. Fließen beobachtete Entwicklungen aus der Vergangenheit in die Verfahren zur Risikoquantifizierung ein, und beinhaltet der Beobachtungszeitraum ausschließlich oder überwiegend Zeiten geordneter und ruhiger Marktverhältnisse, so sind auch die Aus-wirkungen von stärkeren Parameterveränderungen bei der Risikoquantifizierung angemessen zu berücksichtigen.
  7. Soweit ein Institut innerhalb oder zwischen Risikoarten risikomindernde Diversifikationseffekte im Risikotragfähigkeitskonzept berücksichtigt, müssen die zugrundeliegenden Annahmen anhand einer Analyse der institutsindividuellen Verhältnisse getroffen werden und auf Daten basieren, die auf die individuelle Risikosituation des Instituts als übertragbar angesehen werden können. Diversifikationseffekte müssen so konservativ geschätzt werden, dass sie auch in konjunkturellen Abschwungphasen bzw. bei im Hinblick auf die Geschäfts- und Risikostruktur des Instituts ungünstigen Marktverhältnissen als ausreichend stabil angenommen werden können. Die Verlässlichkeit und die Stabilität der Diversifikationsannahmen sind regelmäßig und ggf. anlassbezogen zu überprüfen.
  8. Die Wahl der Methoden und Verfahren zur Beurteilung der Risikotragfähigkeit liegt in der Verantwortung des Instituts. Die den Methoden und Verfahren zugrunde liegen-den Annahmen sind nachvollziehbar zu begründen. Die Festlegung wesentlicher Elemente der Risikotragfähigkeitssteuerung sowie wesentlicher zugrunde liegender Annahmen ist von der Geschäftsleitung zu genehmigen.
  9. Die Angemessenheit der Methoden und Verfahren ist zumindest jährlich durch die fachlich zuständigen Mitarbeiter zu überprüfen. Im Rahmen der Überprüfung ist den Grenzen und Beschränkungen, die sich aus den eingesetzten Methoden und Verfahren, den ihnen zugrunde liegenden Annahmen und den in die Risikoquantifizierung einfließenden Daten ergeben, hinreichend Rechnung zu tragen. Die Stabilität und Konsistenz der Methoden und Verfahren sowie die Aussagekraft der damit ermittelten Risiken sind insofern kritisch zu analysieren.
  10. Ist aufgrund der vergleichsweisen Komplexität der Verfahren und Methoden, der zugrunde liegenden Annahmen oder der einfließenden Daten eine umfassende Validierung dieser Komponenten gemäß Tz. 9 durchzuführen, ist hierbei eine angemessene Unabhängigkeit zwischen Methodenentwicklung und Validierung zu gewährleisten. Die wesentlichen Ergebnisse der Validierung und ggf. Vorschläge für Maßnahmen zum Umgang mit bekannten Grenzen und Beschränkungen der Methoden und Verfahren sind der Geschäftsleitung vorzulegen.
  11. Jedes Institut muss über einen in die Ertrags- und Risikosteuerung eingebundenen Prozess zur Planung des zukünftigen Kapitalbedarfs und des zur Deckung dieses Kapitalbedarfs verfügbaren Kapitals verfügen. Der Planungshorizont muss einen angemessen langen, mehrjährigen Zeitraum umfassen. Dabei ist zu berücksichtigen, wie sich in diesem Zeitraum Veränderungen der eigenen Geschäftstätigkeit oder der strategischen Ziele sowie Veränderungen des wirtschaftlichen Umfelds auf den Kapitalbedarf und auf den Kapitalbestand auswirken. Möglichen adversen Entwicklungen, die von den Erwartungen abweichen, ist bei der Planung angemessen Rechnung zu tragen.

AT 4.2 Strategien

  1. Die Geschäftsleitung hat eine ökonomisch nachhaltige Geschäftsstrategie festzulegen, in der die Ziele des Instituts für jede wesentliche Geschäftsaktivität sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. Diese Strategieentwicklung setzt daher eine eingehende, zukunftsgerichtete Analyse des Geschäftsmodells voraus. Bei der Festlegung und Anpassung der Geschäftsstrategie sind sowohl externe Einflussfaktoren (z. B. Marktentwicklung, Wettbewerbssituation, regulatorisches Umfeld, veränderte Umweltbedingungen und Transition zu einer nachhaltigen Wirtschaft unter Berücksichtigung möglicher Entwicklungen über einen angemessen langen Zeitraum) als auch interne Einflussfaktoren (z. B. Risikotragfähigkeit, Liquidität, Ertragslage, personelle und technisch-organisatorische Ressourcen) zu berücksichtigen. Im Hinblick auf die zukünftige Entwicklung der relevanten Einflussfaktoren sind Annahmen zu treffen. Die Annahmen sind einer mindestens jährlichen und anlassbezogenen Überprüfung zu unterziehen; erforderlichenfalls ist die Geschäftsstrategie anzupassen.
  2. Die Geschäftsleitung hat eine mit der Geschäftsstrategie und den daraus resultierenden Risiken konsistente Risikostrategie festzulegen. Die Risikostrategie hat, ggf. unterteilt in Teilstrategien für die wesentlichen Risiken unter expliziter und angemessener Berücksichtigung der Auswirkungen von ESG-Risiken, die Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten sowie die Maßnahmen zur Erreichung dieser Ziele zu umfassen. Insbesondere ist, unter Berücksichtigung von Risikokonzentrationen, für alle wesentlichen Risiken der Risikoappetit des Instituts festzulegen. Risikokonzentrationen sind dabei auch mit Blick auf die Ertragssituation des Instituts (Ertragskonzentrationen) zu berücksichtigen. Dies setzt voraus, dass das Institut seine Erfolgsquellen voneinander abgrenzen und diese quantifizieren kann (z. B. im Hinblick auf den Konditionen- und den Strukturbeitrag im Zinsbuch).
  3. Institute mit hohem NPL-Bestand haben eine Strategie für notleidende Risikopositionen einzuführen, um eine Reduzierung auf ein vorab festgelegtes NPE-Ziel (sofern es nicht das originäre Geschäftsmodell ist) über einen realistischen, aber hinreichend ambitionierten Zeithorizont vorzunehmen.

    Die folgenden Schritte bilden dabei die zentralen Bausteine für die Entwicklung und Umsetzung dieser Strategie:

    – Beurteilung des operativen Geschäftsumfelds und der externen Bedingungen;
    – Entwicklung einer Strategie mit kurz-, mittel- und langfristigen Zielen und
    – Umsetzung des Implementierungsplans.
  4. Die Geschäftsleitung ist verantwortlich für die Festlegung und Anpassung der Strategien; diese Verantwortung ist nicht delegierbar. Die Geschäftsleitung muss für die Umsetzung der Strategien Sorge tragen. Der Detaillierungsgrad der Strategien ist abhängig von Umfang und Komplexität sowie dem Risikogehalt der geplanten Geschäftsaktivitäten. Es bleibt dem Institut überlassen, die Risikostrategie in die Geschäftsstrategie zu integrieren.
  5. Die Geschäftsleitung hat einen Strategieprozess einzurichten, der sich insbesondere auf die Prozessschritte Planung, Umsetzung, Beurteilung und Anpassung der Strategien erstreckt. Für die Zwecke der Beurteilung sind die in den Strategien niedergelegten Ziele so zu formulieren, dass eine sinnvolle Überprüfung der Zielerreichung möglich ist. Die Ursachen für etwaige Abweichungen sind zu analysieren.
  6. Die Strategien sowie ggf. erforderliche Anpassungen der Strategien sind dem Aufsichtsorgan des Instituts zur Kenntnis zu geben und mit diesem zu erörtern. Die Erörterung erstreckt sich auch auf die Ursachenanalyse nach AT 4.2 Tz. 5 im Falle von Zielabweichungen.
  7. Die Inhalte sowie Änderungen der Strategien sind innerhalb des Instituts in geeigneter Weise zu kommunizieren.

AT 4.3 Internes Kontrollsystem

  1. In jedem Institut sind entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten
    1. Regelungen zur Aufbau- und Ablauforganisation zu treffen,
    2. Risikosteuerungs- und -controllingprozesse einzurichten und
    3. eine Risikocontrolling-Funktion und eine Compliance-Funktion zu implementieren.

AT 4.3.1 Aufbau- und Ablauforganisation

  1. Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt und auch bei Arbeitsplatzwechseln Interessenkonflikte vermieden werden. Beim Wechsel von Mitarbeitern der Handels- und Marktbereiche in nachgelagerte Bereiche und Kontrollbereiche sind für Tätigkeiten, die gegen das Verbot der Selbstprüfung und –überprüfung verstoßen, angemessene Übergangsfristen vorzusehen.
  2. Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrund-satz (Need-to-know-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen. Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen innerhalb angemessener Fristen. Die Fristen orientieren sich dabei an der Bedeutung der Prozesse und, bei IT-Berechtigungen, dem Schutzbedarf verarbeiteter Informationen. Das gilt auch bezüglich der Schnittstellen zu wesentlichen Auslagerungen.

AT 4.3.2 Risikosteuerungs- und -controllingprozesse

  1. Das Institut hat angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die eine
    1. Identifizierung,
    2. Beurteilung,
    3. Steuerung sowie
    4. Überwachung und Kommunikation
    der wesentlichen Risiken und explizit der Auswirkungen von ESG-Risiken und damit verbundener Risikokonzentrationen gewährleisten. Diese Prozesse sind in eine gemeinsame Ertrags- und Risikosteuerung („Gesamtbanksteuerung“) einzubinden. Durch geeignete Maßnahmen ist zu gewährleisten, dass die Risiken und die damit verbundenen Risikokonzentrationen unter Berücksichtigung der Risikotragfähigkeit und des Risikoappetits wirksam begrenzt und überwacht werden.
  2. Die Risikosteuerungs- und -controllingprozesse müssen gewährleisten, dass die wesentlichen Risiken – auch aus ausgelagerten Aktivitäten und Prozessen – frühzeitig erkannt, vollständig erfasst und in angemessener Weise dargestellt werden können. Hierzu hat das Institut geeignete Indikatoren für die frühzeitige Identifizierung von Risiken sowie von risikoartenübergreifenden Effekten abzuleiten, die je nach Risikoart auf quantitativen und/oder qualitativen Risikomerkmalen basieren.
  3. Die Geschäftsleitung hat sich in angemessenen Abständen über die Geschäftslage und die Risikosituation einschließlich vorhandener Risikokonzentrationen berichten zu lassen. Zudem hat die Geschäftsleitung das Aufsichtsorgan mindestens vierteljährlich über die Geschäftslage und die Risikosituation einschließlich vorhandener Risikokonzentrationen in angemessener Weise schriftlich zu informieren. Einzelheiten zur Geschäfts- und zur Risikoberichterstattung an die Geschäftsleitung und an das Aufsichtsorgan sind in BT 3 geregelt.
  4. Unter Risikogesichtspunkten wesentliche Informationen sind unverzüglich an die Geschäftsleitung, die jeweiligen Verantwortlichen und ggf. die Interne Revision weiterzuleiten, so dass geeignete Maßnahmen bzw. Prüfungshandlungen frühzeitig eingeleitet werden können. Hierfür ist ein geeignetes Verfahren festzulegen.
  5. Die Risikosteuerungs- und -controllingprozesse sowie die zur Risikoquantifizierung eingesetzten Methoden und Verfahren sind regelmäßig sowie bei sich ändernden Bedingungen auf ihre Angemessenheit zu überprüfen und ggf. anzupassen. Dies betrifft insbesondere auch die Plausibilisierung der ermittelten Ergebnisse und der zugrunde liegenden Daten. AT 4.1 Tz. 9 ist entsprechend anzuwenden.

AT 4.3.3 Stresstests

  1. Es sind regelmäßig sowie anlassbezogen angemessene Stresstests für die wesentlichen Risiken durchzuführen, die Art, Umfang, Komplexität und den Risikogehalt der Geschäftsaktivitäten widerspiegeln. Hierfür sind die für die jeweiligen Risiken wesentlichen Risikofaktoren zu identifizieren und die Auswirkungen von ESG-Risiken zu berücksichtigen. Die Stresstests haben sich auch auf die angenommenen Risikokonzentrationen und Diversifikationseffekte innerhalb und zwischen den Risikoarten zu erstrecken. Risiken aus außerbilanziellen Gesellschaftskonstruktionen und Verbriefungstransaktionen sind im Rahmen der Stresstests zu berücksichtigen.
  2. Regelmäßige und ggf. anlassbezogene Stresstests sind auch für das Gesamtrisikoprofil des Instituts durchzuführen. Dazu sind ausgehend von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten geeignete übergeordnete Szenarien zu definieren, die sowohl institutseigene als auch marktweite Ursachen berücksichtigen. Deren potenzielle Auswirkungen auf die wesentlichen Risikoarten sind kombiniert in einer Weise abzubilden, die die Wechselwirkungen zwischen den Risikoarten berücksichtigt.
  3. Die Stresstests haben auch außergewöhnliche, aber plausibel mögliche Ereignisse abzubilden. Dabei sind geeignete historische und hypothetische Szenarien darzustellen. Anhand der Stresstests sind dabei auch die Auswirkungen eines schweren konjunkturellen Abschwungs auf Gesamtinstitutsebene zu analysieren. Bei der Festlegung der Szenarien sind die strategische Ausrichtung des Instituts und sein wirtschaftliches Umfeld zu berücksichtigen.
  4. Das Institut hat auch sogenannte „inverse Stresstests“ durchzuführen. Die Ausgestaltung und Durchführung ist abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten und kann qualitativ oder quantitativ erfolgen.
  5. Die Angemessenheit der Stresstests sowie deren zugrunde liegende Annahmen sind in regelmäßigen Abständen, mindestens aber jährlich, zu überprüfen.
  6. Die Ergebnisse der Stresstests sind kritisch zu reflektieren. Dabei ist zu ergründen, inwieweit, und wenn ja, welcher Handlungsbedarf besteht. Die Ergebnisse der Stresstests sind auch bei der Beurteilung der Risikotragfähigkeit angemessen zu berücksichtigen. Dabei ist den Auswirkungen eines schweren konjunkturellen Abschwungs besondere Aufmerksamkeit zu schenken.

AT 4.3.4 Datenmanagement, Datenqualität, und Aggregation von Risikodaten

  1. Die Anforderungen dieses Moduls richten sich an bedeutende Institute und gelten sowohl auf Gruppenebene als auch auf der Ebene der wesentlichen gruppenangehörigen Einzelinstitute. Das Institut hat institutsweit und gruppenweit geltende Grundsätze für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten festzulegen, die von der Geschäftsleitung zu genehmigen und in Kraft zu setzen sind.
  2. Datenstruktur und Datenhierarchie müssen gewährleisten, dass Daten zweifelsfrei identifiziert, zusammengeführt und ausgewertet werden können sowie zeitnah zur Verfügung stehen. Hierfür sind, soweit möglich, einheitliche Namenskonventionen und Kennzeichnungen von Daten festzulegen und innerhalb des Instituts zu kommunizieren. Bei unterschiedlichen Namenskonventionen und Kennzeichnungen hat das Institut sicherzustellen, dass Daten automatisiert ineinander überleitbar sind.
  3. Das Institut hat zu gewährleisten, dass Risikodaten genau und vollständig sind. Daten müssen nach unterschiedlichen Kategorien auswertbar sein und sollten, soweit möglich und sinnvoll, automatisiert aggregiert werden können. Der Einsatz und der Umfang manueller Prozesse und Eingriffe sind zu begründen und zu dokumentieren und auf das notwendige Maß zu beschränken. Die Datenqualität und die Datenvollständigkeit sind anhand geeigneter Kriterien zu überwachen. Hierfür hat das Institut interne Anforderungen an die Genauigkeit und Vollständigkeit der Daten zu formulieren.
  4. Die Risikodaten sind mit anderen im Institut vorhandenen Informationen abzugleichen und zu plausibilisieren. Es sind Verfahren und Prozesse zum Abgleich der Risikodaten und der Daten in den Risikoberichten einzurichten, mittels derer Datenfehler und Schwachstellen in der Datenqualität identifiziert werden können.
  5. Die Datenaggregationskapazitäten müssen gewährleisten, dass aggregierte Risikodaten, sowohl unter gewöhnlichen Umständen als auch in Stressphasen, zeitnah zur Verfügung stehen. Das Institut hat unter Berücksichtigung der Häufigkeit von Risikoberichten den zeitlichen Rahmen zu definieren, innerhalb dessen die aggregierten Risikodaten vorliegen müssen.
  6. Die Datenaggregationskapazitäten müssen hinreichend flexibel sein, um Informationen ad hoc nach unterschiedlichen Kategorien ausweisen und analysieren zu können. Dazu gehört auch die Möglichkeit, Risikopositionen auf den unterschiedlichsten Ebenen (Geschäftsfelder, Portfolios, ggf. Einzelgeschäfte) auszuweisen und zu analysieren.
  7. Für alle Prozessschritte sind Verantwortlichkeiten festzulegen und entsprechende prozessabhängige Kontrollen einzurichten. Daneben ist regelmäßig zu überprüfen, ob die institutsinternen Regelungen, Verfahren, Methoden und Prozesse von den Mitarbeitern eingehalten werden. Die Überprüfung ist von einer von den geschäftsinitiierenden bzw. geschäftsabschließenden Organisationseinheiten unabhängigen Stelle wahrzunehmen.

AT 4.3.5 Verwendung von Modellen

  1. Die Anforderungen dieses Moduls gelten für Modelle, die für die in diesem Rundschreiben geregelten Prozesse eingesetzt werden. Sie finden auch Anwendung bei automatisierten Modellen, technologiegestützter Innovation und künstlicher Intelligenz.
  2. Die Wahl der Modelle liegt in der Verantwortung des Instituts. Die zugrundeliegenden Annahmen sind nachvollziehbar zu begründen. Die Angemessenheit und Eignung sind vor dem Einsatz eines Modells zu bewerten und regelmäßig zu überprüfen. Das setzt hinreichende Kenntnisse über die Modell-Konzeption, insbesondere zu wesentlichen Annahmen und Parametern sowie den darin einfließenden Daten, voraus.
  3. Das Institut hat geeignete Verfahren, die die Qualität der zugrundeliegenden Daten sicherstellen, zu implementieren. Insbesondere sollen Qualitätsschwächen in den zugrundeliegenden Daten erkannt und bereinigt werden.
  4. Das Institut hat angemessene Regelungen zur Verwendung der Modellergebnisse zu treffen. Soweit relevant, müssen diese auch Ausführungen zu Überschreibungen beinhalten.
  5. Das Institut hat sich mit den Grenzen und Beschränkungen, die sich aus den eingesetzten Modellen, den ihnen zugrundeliegenden Annahmen und den darin einfließenden Daten ergeben, kritisch auseinanderzusetzen und eine regelmäßige Validierung der Modelle vorzunehmen. Dabei sind die sachgerechte Handhabung der Modellergebnisse und die Genauigkeit des Modells in Bezug auf dessen Verwendung angemessen zu überprüfen. Die Qualität der Modellergebnisse, insbesondere die Genauigkeit, Stabilität und Konsistenz der Verfahren, ist regelmäßig zu analysieren.
  6. Neben der angestrebten Genauigkeit ist auch auf eine hinreichende Erklärbarkeit zu achten. Dies gilt insbesondere für Modelle, die Charakteristika von technologiegestützter Innovation und künstlicher Intelligenz aufweisen.

AT 4.4 Besondere Funktionen

AT 4.4.1 Risikocontrolling-Funktion

  1. Jedes Institut muss über eine unabhängige Risikocontrolling-Funktion verfügen, die für die angemessene Überwachung und Kommunikation der wesentlichen Risiken unter Berücksichtigung der Auswirkungen von ESG-Risiken zuständig ist. Die Risikocontrolling-Funktion ist aufbauorganisatorisch bis einschließlich der Ebene der Geschäftsleitung von den Bereichen zu trennen, die für die Initiierung bzw. den Abschluss von Geschäften zuständig sind.
  2. Die Risikocontrolling-Funktion hat insbesondere die folgenden Aufgaben:
    • Unterstützung der Geschäftsleitung in allen risikopolitischen Fragen, insbesondere bei der Entwicklung und Umsetzung der Risikostrategie sowie bei der Ausgestaltung eines Systems zur Begrenzung der Risiken;
    • Durchführung der Risikoinventur und Erstellung des Gesamtrisikoprofils;
    • Unterstützung der Geschäftsleitung bei der Einrichtung und Weiterentwicklung der Risikosteuerungs- und –controllingprozesse;
    • Einrichtung und Weiterentwicklung eines Systems von Risikokennzahlen und eines Risikofrüherkennungsverfahrens;
    • Laufende Überwachung der Risikosituation des Instituts und der Risikotragfähigkeit sowie der Einhaltung der eingerichteten Risikolimite;
    • Regelmäßige Erstellung der Risikoberichte für die Geschäftsleitung;
    • Verantwortung für die Prozesse zur unverzüglichen Weitergabe von unter Risikogesichtspunkten wesentlichen Informationen an die Geschäftsleitung, die jeweiligen Verantwortlichen und ggf. die Interne Revision.
  3. Den Mitarbeitern der Risikocontrolling-Funktion sind alle notwendigen Befugnisse und ein uneingeschränkter Zugang zu allen Informationen einzuräumen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Hierzu gehört insbesondere auch ein uneingeschränkter und jederzeitiger Zugang zu den Risikodaten des Instituts.
  4. Die Leitung der Risikocontrolling-Funktion ist bei wichtigen risikopolitischen Entscheidungen der Geschäftsleitung zu beteiligen. Diese Aufgabe ist einer Person auf einer ausreichend hohen Führungsebene zu übertragen. Sie hat ihre Aufgaben in Abhängigkeit von der Größe des Instituts sowie Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten grundsätzlich in exklusiver Weise auszufüllen.
  5. Bei bedeutenden Instituten und Instituten gemäß § 2 Abs. 9i Satz 2 KWG, welche die in Satz 2 dieser Vorschrift gesetzte Bilanzschwelle überschreiten hat die exklusive Wahrnehmung der Leitung der Risikocontrolling-Funktion grundsätzlich durch einen Geschäftsleiter zu erfolgen. Er kann auch für die Marktfolge zuständig sein, sofern eine klare aufbauorganisatorische Trennung von Risikocontrolling-Funktion und Marktfolge bis unterhalb der Geschäftsleiterebene erfolgt. Dieser Geschäftsleiter darf weder für den Bereich Finanzen/Rechnungswesen noch für den Bereich Organisation/IT verantwortlich sein. Ausnahmen hiervon sind lediglich im Vertretungsfall möglich.
  6. Wechselt die Leitung der Risikocontrolling-Funktion, ist das Aufsichtsorgan rechtzeitig vorab unter Angabe der Gründe für den Wechsel zu informieren.

AT 4.4.2 Compliance-Funktion

  1. Jedes Institut muss über eine Compliance-Funktion verfügen, um den Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können, entgegenzuwirken. Die Compliance-Funktion hat auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken. Ferner hat die Compliance-Funktion die Geschäftsleitung hinsichtlich der Einhaltung dieser rechtlichen Regelungen und Vorgaben zu unterstützen und zu beraten.
  2. Die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann, erfolgt unter Berücksichtigung von Risikogesichtspunkten in regelmäßigen Abständen durch die Compliance-Funktion.
  3. Grundsätzlich ist die Compliance-Funktion unmittelbar der Geschäftsleitung unterstellt und berichtspflichtig. Sie kann auch an andere Kontrolleinheiten angebunden werden, sofern eine direkte Berichtslinie zur Geschäftsleitung existiert. Zur Erfüllung ihrer Aufgaben kann die Compliance-Funktion auch auf andere Funktionen und Stellen zurückgreifen. Die Compliance-Funktion ist abhängig von der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten in einem von den Bereichen Markt und Handel unabhängigen Bereich anzusiedeln.
  4. Bedeutende Institute und Institute gemäß § 2 Abs. 9i Satz 2 KWG, welche die in Satz 2 dieser Vorschrift gesetzte Bilanzschwelle überschreiten haben für die Compliance-Funktion grundsätzlich eine eigenständige Organisationseinheit einzurichten.
  5. Das Institut hat einen Compliance-Beauftragten zu benennen, der für die Erfüllung der Aufgaben der Compliance-Funktion verantwortlich ist. Abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten sowie der Größe des Instituts kann im Ausnahmefall die Funktion des Compliance-Beauftragten auch einem Geschäftsleiter übertragen werden.
  6. Den Mitarbeitern der Compliance-Funktion sind ausreichende Befugnisse und ein uneingeschränkter Zugang zu allen Informationen einzuräumen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Weisungen und Beschlüsse der Geschäftsleitung, die für die Compliance-Funktion wesentlich sind, sind ihr bekanntzugeben. Über wesentliche Änderungen der Regelungen, die die Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben gewährleisten sollen, sind die Mitarbeiter der Compliance-Funktion rechtzeitig zu informieren.
  7. Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu möglichen Defiziten sowie zu Maßnahmen zu deren Behebung zu enthalten. Die Berichte sind auch an das Aufsichtsorgan und die Interne Revision weiterzuleiten.
  8. Wechselt die Position des Compliance-Beauftragten, ist das Aufsichtsorgan rechtzeitig vorab unter Angabe der Gründe für den Wechsel zu informieren.

AT 4.4.3 Interne Revision

  1. Jedes Institut muss über eine funktionsfähige Interne Revision verfügen. Bei Instituten, bei denen aus Gründen der Betriebsgröße die Einrichtung einer Revisionseinheit unverhältnismäßig ist, können die Aufgaben der Internen Revision von einem Geschäftsleiter erfüllt werden.
  2. Die Interne Revision ist ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und berichtspflichtig. Sie kann auch einem Mitglied der Geschäftsleitung, nach Möglichkeit dem Vorsitzenden, unterstellt sein. Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsorgans unter Einbeziehung der Geschäftsleitung direkt bei dem Leiter der Internen Revision Auskünfte einholen kann.
  3. Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht. BT 2.1 Tz. 3 bleibt hiervon unberührt.
  4. Zur Wahrnehmung ihrer Aufgaben ist der Internen Revision ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. Dieses Recht ist jederzeit zu gewährleisten. Der Internen Revision sind insoweit unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie die IT-Systeme des Instituts zu gewähren.
  5. Weisungen und Beschlüsse der Geschäftsleitung, die für die Interne Revision von Bedeutung sein können, sind ihr bekannt zu geben. Über wesentliche Änderungen im Risikomanagement ist die Interne Revision rechtzeitig zu informieren.
  6. Wechselt die Leitung der Internen Revision, ist das Aufsichtsorgan rechtzeitig vorab unter Angabe der Gründe für den Wechsel zu informieren.

AT 4.5 Risikomanagement auf Gruppenebene

  1. Nach § 25a Abs. 3 KWG sind die Geschäftsleiter des übergeordneten Unternehmens einer Institutsgruppe oder Finanzholding-Gruppe sowie die Geschäftsleiter des über-geordneten Finanzkonglomeratsunternehmens eines Finanzkonglomerats für die Einrichtung eines angemessenen und wirksamen Risikomanagements auf Gruppenebene verantwortlich. Die Reichweite des Risikomanagements auf Gruppenebene erstreckt sich auf alle wesentlichen Risiken der Gruppe, unabhängig davon, ob diese von konsolidierungspflichtigen Unternehmen begründet werden oder nicht (z. B. Risiken aus nicht konsolidierungspflichtigen Zweckgesellschaften). Die eingesetzten Methoden und Verfahren (z. B. IT-Systeme) dürfen der Wirksamkeit des Risikomanagements auf Gruppenebene nicht entgegenstehen. Besondere Maßstäbe für das Risikomanagement auf Gruppenebene können sich aus spezialgesetzlichen Regelungen ergeben, wie z. B. bei Bausparkassen hinsichtlich der Kollektivsteuerung oder bei Pfandbriefbanken.
  2. Die Geschäftsleitung des übergeordneten Unternehmens hat eine Geschäftsstrategie sowie eine dazu konsistente Risikostrategie festzulegen („gruppenweite Strategien“). Die strategische Ausrichtung der gruppenangehörigen Unternehmen ist mit den gruppenweiten Strategien abzustimmen. Die Geschäftsleitung des übergeordneten Unternehmens muss für die Umsetzung der gruppenweiten Strategien Sorge tragen.
  3. Das übergeordnete Unternehmen hat auf der Grundlage des Gesamtrisikoprofils der Gruppe einen internen Prozess zur Sicherstellung der Risikotragfähigkeit auf Gruppenebene einzurichten (AT 4.1 Tz. 2). Die Risikotragfähigkeit der Gruppe ist laufend sicherzustellen.
  4. Es sind angemessene ablauforganisatorische Vorkehrungen auf Gruppenebene zu treffen. Das heißt, dass Prozesse sowie damit verbundene Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege innerhalb der Gruppe klar zu definieren und aufeinander abzustimmen sind. An die Geschäftsleiter des übergeordneten Unternehmens ist zeitnah Bericht zu erstatten.
  5. 5 Das übergeordnete Unternehmen hat angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die die gruppenangehörigen Unternehmen einbeziehen. Für die wesentlichen Risiken auf Gruppenebene sind regelmäßig angemessene Stresstests durchzuführen. Hierfür sind die für die jeweiligen Risiken wesentlichen Risikofaktoren zu identifizieren und die Auswirkungen von ESG-Risiken explizit zu berücksichtigen. Regelmäßige und ggf. anlassbezogene Stresstests sind auch für das Gesamtrisikoprofil auf Gruppenebene durchzuführen. Das übergeordnete Unternehmen hat sich in angemessenen Abständen über die Risikosituation der Gruppe zu informieren.
  6. Die Konzernrevision hat im Rahmen des Risikomanagements auf Gruppenebene ergänzend zur Internen Revision der gruppenangehörigen Unternehmen tätig zu werden. Dabei kann die Konzernrevision auch die Prüfungsergebnisse der Internen Revisionen der gruppenangehörigen Unternehmen berücksichtigen. Es ist sicherzustellen, dass für die Konzernrevision und die Internen Revisionen der gruppenangehörigen Unternehmen Revisionsgrundsätze und Prüfungsstandards gelten, die eine Vergleichbarkeit der Prüfungsergebnisse gewährleisten. Des Weiteren sind die Prüfungsplanungen sowie die Verfahren zur Überwachung der fristgerechten Beseitigung von Mängeln aufeinander abzustimmen. Die Konzernrevision hat in angemessenen Abständen, mindestens aber vierteljährlich, an die Geschäftsleitung und das Aufsichtsorgan des übergeordneten Unternehmens über ihre Tätigkeit auf Gruppenebene in analoger Anwendung von BT 2.4 Tz. 4 zu berichten.