Risikomanagement auf Gruppenebene

Risikomanagement auf Gruppenebene

  1. Nach § 25a Abs. 3 KWG sind die Geschäftsleiter des übergeordneten Unternehmens einer Institutsgruppe oder Finanzholding-Gruppe sowie die Geschäftsleiter des über-geordneten Finanzkonglomeratsunternehmens eines Finanzkonglomerats für die Einrichtung eines angemessenen und wirksamen Risikomanagements auf Gruppenebene verantwortlich. Die Reichweite des Risikomanagements auf Gruppenebene erstreckt sich auf alle wesentlichen Risiken der Gruppe, unabhängig davon, ob diese von konsolidierungspflichtigen Unternehmen begründet werden oder nicht (z. B. Risiken aus nicht konsolidierungspflichtigen Zweckgesellschaften). Die eingesetzten Methoden und Verfahren (z. B. IT-Systeme) dürfen der Wirksamkeit des Risikomanagements auf Gruppenebene nicht entgegenstehen. Besondere Maßstäbe für das Risikomanagement auf Gruppenebene können sich aus spezialgesetzlichen Regelungen ergeben, wie z. B. bei Bausparkassen hinsichtlich der Kollektivsteuerung oder bei Pfandbriefbanken.
  2. Die Geschäftsleitung des übergeordneten Unternehmens hat eine Geschäftsstrategie sowie eine dazu konsistente Risikostrategie festzulegen („gruppenweite Strategien“). Die strategische Ausrichtung der gruppenangehörigen Unternehmen ist mit den gruppenweiten Strategien abzustimmen. Die Geschäftsleitung des übergeordneten Unternehmens muss für die Umsetzung der gruppenweiten Strategien Sorge tragen.
  3. Das übergeordnete Unternehmen hat auf der Grundlage des Gesamtrisikoprofils der Gruppe einen internen Prozess zur Sicherstellung der Risikotragfähigkeit auf Gruppenebene einzurichten (AT 4.1 Tz. 2). Die Risikotragfähigkeit der Gruppe ist laufend sicherzustellen.
  4. Es sind angemessene ablauforganisatorische Vorkehrungen auf Gruppenebene zu treffen. Das heißt, dass Prozesse sowie damit verbundene Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege innerhalb der Gruppe klar zu definieren und aufeinander abzustimmen sind. An die Geschäftsleiter des übergeordneten Unternehmens ist zeitnah Bericht zu erstatten.
  5. 5 Das übergeordnete Unternehmen hat angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die die gruppenangehörigen Unternehmen einbeziehen. Für die wesentlichen Risiken auf Gruppenebene sind regelmäßig angemessene Stresstests durchzuführen. Hierfür sind die für die jeweiligen Risiken wesentlichen Risikofaktoren zu identifizieren und die Auswirkungen von ESG-Risiken explizit zu berücksichtigen. Regelmäßige und ggf. anlassbezogene Stresstests sind auch für das Gesamtrisikoprofil auf Gruppenebene durchzuführen. Das übergeordnete Unternehmen hat sich in angemessenen Abständen über die Risikosituation der Gruppe zu informieren.
  6. Die Konzernrevision hat im Rahmen des Risikomanagements auf Gruppenebene ergänzend zur Internen Revision der gruppenangehörigen Unternehmen tätig zu werden. Dabei kann die Konzernrevision auch die Prüfungsergebnisse der Internen Revisionen der gruppenangehörigen Unternehmen berücksichtigen. Es ist sicherzustellen, dass für die Konzernrevision und die Internen Revisionen der gruppenangehörigen Unternehmen Revisionsgrundsätze und Prüfungsstandards gelten, die eine Vergleichbarkeit der Prüfungsergebnisse gewährleisten. Des Weiteren sind die Prüfungsplanungen sowie die Verfahren zur Überwachung der fristgerechten Beseitigung von Mängeln aufeinander abzustimmen. Die Konzernrevision hat in angemessenen Abständen, mindestens aber vierteljährlich, an die Geschäftsleitung und das Aufsichtsorgan des übergeordneten Unternehmens über ihre Tätigkeit auf Gruppenebene in analoger Anwendung von BT 2.4 Tz. 4 zu berichten.