Inhalte
Allgemeine Anforderungen an das Risikomanagement
AT 4.1 Abschirmung von Risiken
| 1 Auf der Grundlage des Gesamtrisikoprofils ist sicherzustellen, dass die wesentlichen Risiken des In- stituts durch Risikodeckungspotenzial, unter Berücksichtigung von Risikokonzentrationen, ausrei- chend abgeschirmt sind. Die Auswirkungen von ESG-Risiken i.S. von AT 2.2 Tz. 1 sind angemessen und explizit zu berücksichtigen. | Begrenzung und Überwachung von Risiken und damit verbundenen Risikokonzentrationen Geeignete Maßnahmen zur Begrenzung von Risiken und damit verbundenen Risikokonzentrationen können qualitative Instrumente (z. B. regelmäßige Risikoanalysen und Vorkehrungen zur Risikomitigation) bzw. quantitative Instrumente (z. B. Szenarioansätze, Ampel- systeme oder – soweit sinnvoll – Limitsysteme,) umfassen. |
| 2 Die Angemessenheit der Methoden und Verfahren ist zumindest jährlich durch die fachlich zustän- digen Mitarbeiter zu überprüfen. |
AT 4.2 Strategien
| 1 Die Geschäftsleitung hat eine ökonomisch nachhaltige Geschäftsstrategie festzulegen, in der die Ziele des Instituts für jede wesentliche Geschäftsaktivität sowie die Maßnahmen zur Erreichung die- ser Ziele dargestellt werden. Diese Strategieentwicklung setzt daher eine eingehende, zukunftsge- richtete Analyse des Geschäftsmodells voraus. Bei der Festlegung und Anpassung der Geschäfts- strategie sind sowohl externe Einflussfaktoren (z. B. Marktentwicklung, Wettbewerbssituation, regu- latorisches Umfeld, veränderte Umweltbedingungen und Transition zu einer nachhaltigen Wirt- schaft unter Berücksichtigung möglicher Entwicklungen über einen angemessen langen Zeitraum) als auch interne Einflussfaktoren (z. B. Liquidität, Ertragslage, personelle und technisch-organisatori- sche Ressourcen) zu berücksichtigen. Im Hinblick auf die zukünftige Entwicklung der relevanten Ein- flussfaktoren sind Annahmen zu treffen. Die Annahmen sind einer mindestens jährlichen und an- lassbezogenen Überprüfung zu unterziehen; erforderlichenfalls ist die Geschäftsstrategie anzupas- sen. | Prüfungshandlungen durch Jahresabschlussprüfer oder die Interne Revision Der Inhalt der Geschäftsstrategie liegt allein in der Verantwortung der Geschäftsleitung und ist nicht Gegenstand von Prüfungshandlungen durch Jahresabschlussprüfer oder die Interne Revision. Bei der Überprüfung der Risikostrategie ist die Geschäftsstrategie heranzuziehen, um die Konsistenz zwischen beiden Strategien nachvollziehen zu können. Gegenstand der Prüfung ist außerdem der Strategieprozess nach AT 4.2 Tz. 5. Strategische Ziele sowie Maßnahmen zu deren Erreichung Die Darstellung der strategischen Ziele sowie der Maßnahmen zur Erreichung dieser Ziele stecken die Eckpunkte für die operative Pla- nung ab und müssen daher hinreichend konkret formuliert sein, um plausibel in die operative Unternehmensplanung überführt werden zu können. Analyse des Geschäftsmodells Mithilfe der Geschäftsmodellanalyse soll das Institut beurteilen, ob sich das eigene Geschäftsmodell über einen angemessen langen, mehrjährigen Zeitraum aufrechterhalten lässt. Dazu ist es erforderlich, dass die für den betreffenden Zeitraum getroffenen strategischen Vorgaben und die daraus abgeleiteten Geschäftsplanungen das angestrebte Geschäftsmodell umsetzen. Das Institut soll dadurch in die Lage versetzt werden, Anpassungsbedarf am Ge- schäftsmodell frühzeitig zu erkennen und erforderliche strategische Steuerungsmaßnahmen zu ergreifen. Besondere strategische Aspekte Aufgrund der Bedeutung für das Funktionieren der Prozesse im Institut hat das Institut in Abhängigkeit von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten auch Aussagen zur zu- künftig geplanten Ausgestaltung der IT-Systeme zu treffen. Im Falle umfangreicher Auslagerungen sind auch entsprechende Ausführun- gen hierzu erforderlich. |
| 2 Die Geschäftsleitung hat eine mit der Geschäftsstrategie und den daraus resultierenden Risiken konsistente Risikostrategie festzulegen. Die Risikostrategie hat, ggf. unterteilt in Teilstrategien für die wesentlichen Risiken, unter expliziter und angemessener Berücksichtigung der Auswirkungen von ESG-Risiken, die Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten sowie die Maßnahmen zur Erreichung dieser Ziele zu umfassen. Risikokonzentrationen sind dabei auch mit Blick auf die Ertragssituation des Instituts (Ertragskonzentrationen) zu berücksichtigen. Dies setzt voraus, dass das Institut seine Erfolgsquellen voneinander abgrenzen und diese quantifizieren kann. | Risikoappetit Mit der Festlegung des Risikoappetits trifft die Geschäftsleitung eine bewusste Entscheidung darüber, in welchem Umfang sie bereit ist, Risiken einzugehen. Der Risikoappetit kann in vielfacher Weise zum Ausdruck gebracht werden. Neben rein quantitativen Vorgaben kann der Risikoappetit auch in der Festlegung von qualitativen Vor- gaben zur Geltung kommen. Basierend auf geeigneten Risikoindikatoren sind bei der Festlegung des Risikoappetits ebenfalls die Auswirkungen von ESG-Risiken explizit zu berücksichtigen. Insbesondere ist, unter Berücksichtigung von Risikokonzentrationen, für alle we- sentlichen Risiken der Risikoappetit des Instituts festzulegen. |
| 3 Nutzt das Institut die Möglichkeit der Anlage in sichere, liquide Aktiva mit niedrigem Risiko nach§ 17 Abs. 1 S. 2 Nr. 1. b) ZAG, hat die Geschäftsleitung zudem eine nachhaltige Investitionsstrategie und Anlagepolitik festzulegen, in der die Ziele der Investitionsstrategie sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. | |
| 4 Die Geschäftsleitung ist verantwortlich für die Festlegung und Anpassung der Strategien; diese Ver- antwortung ist nicht delegierbar. Die Geschäftsleitung muss für die Umsetzung der Strategien Sorge tragen. Der Detaillierungsgrad der Strategien ist abhängig von Umfang und Komplexität so- wie dem Risikogehalt der geplanten Geschäftsaktivitäten. Es bleibt dem Institut überlassen, die Risi- kostrategie in die Geschäftsstrategie zu integrieren. | |
| 5 Die Geschäftsleitung hat einen Strategieprozess einzurichten, der sich insbesondere auf die Pro- zessschritte Planung, Umsetzung, Beurteilung und Anpassung der Strategien erstreckt. Für die Zwe- cke der Beurteilung sind die in den Strategien niedergelegten Ziele so zu formulieren, dass eine sinnvolle Überprüfung der Zielerreichung möglich ist. Die Ursachen für etwaige Abweichungen sind zu analysieren. | |
| 6 Die Strategien sowie ggf. erforderliche Anpassungen der Strategien sind dem Aufsichtsorgan – so- weit vorhanden – des Instituts zur Kenntnis zu geben und mit diesem zu erörtern. Die Erörterung erstreckt sich auch auf die Ursachenanalyse nach AT 4.2 Tz. 5 im Falle von Zielabweichungen. | Ausschüsse des Aufsichtsorgans Soweit ein Aufsichtsorgan vorhanden ist, sollte Adressat der Strate- gien grundsätzlich jedes Mitglied des Aufsichtsorgans sein. Soweit das Aufsichtsorgan Ausschüsse gebildet hat, können die Strategien auch an einen Ausschuss weitergeleitet und mit diesem erörtert wer-den. Voraussetzung dafür ist, dass ein entsprechender Beschluss über die Einrichtung des Ausschusses besteht und der Vorsitzende des Ausschusses regelmäßig das gesamte Aufsichtsorgan informiert. Zudem ist jedem Mitglied des Aufsichtsorgans weiterhin das Recht einzuräumen, die an den Ausschuss geleiteten Strategien einsehen zu können. |
| 7 Die Inhalte sowie Änderungen der Strategien sind innerhalb des Instituts in geeigneter Weise zu kommunizieren. |
AT 4.3 Internes Kontrollsystem
| 1 In jedem Institut sind entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten Regelungen zur Aufbau- und Ablauforganisation zu treffen, Risikosteuerungs- und -controllingprozesse einzurichten und eine Risikocontrolling-Funktion und eine Compliance-Funktion zu implementieren. |
AT 4.3.1 Aufbau- und Ablauforganisation
| 1 Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt und auch bei Arbeitsplatz- wechseln Interessenkonflikte vermieden werden. Beim Wechsel von Mitarbeitern in die Risikocontrolling- und Compliance-Funktion sind für Tätigkeiten, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen, angemessene Übergangsfristen vorzusehen. | |
| 2 Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen. Dies beinhaltet auch die regelmäßige und anlassbezogene Überprü- fung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompeten- zen innerhalb angemessener Fristen. Die Fristen orientieren sich dabei an der Bedeutung der Pro- zesse und, bei IT-Berechtigungen, dem Schutzbedarf verarbeiteter Informationen. Das gilt auch be- züglich der Schnittstellen zu wesentlichen Auslagerungen. | Überprüfung von Berechtigungen und Kompetenzen Zeichnungsberechtigungen in Verbindung mit Zahlungsverkehrskonten und wesentliche IT-Berechtigungen sind mindestens jährlich zu überprüfen, alle anderen mindestens alle drei Jahre. Be- sonders kritische IT-Berechtigungen, wie sie bspw. Administratoren aufweisen, sind mindestens halbjährlich zu überprüfen. |
AT 4.3.2 Risikosteuerungs- und -controllingprozesse
| 1 Das Institut hat angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die eine Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken und explizit der Auswirkungen von ESG-Risiken und damit verbundener Risikokonzentrationen gewährleisten. Diese Prozesse sind in eine gemeinsame Ertrags- und Risikosteuerung („Gesamtinstitutsteuerung“) einzubinden. | Intragruppenforderungen Intragruppenforderungen sind in den Risikosteuerungs- und –controllingprozessen angemessen abzubilden. Berücksichtigung von ESG-Risiken Das Institut untersucht und dokumentiert vor dem Hintergrund der Besonderheiten seiner Risikopositionen umfassend und, soweit sinn- voll und möglich, auch quantitativ die Auswirkungen wesentlicher ESG-Risiken auf die in AT 2.2 Tz. 1 a) bis d) aufgeführten sowie weitere wesentliche Risikoarten. |
| 2 Die Risikosteuerungs- und -controllingprozesse müssen gewährleisten, dass die wesentlichen Risi- ken – auch aus ausgelagerten Aktivitäten und Prozessen – frühzeitig erkannt, vollständig erfasst und in angemessener Weise dargestellt werden können. Hierzu hat das Institut geeignete Indikatoren für die frühzeitige Identifizierung von Risiken sowie von risikoartenübergreifenden Effekten abzulei- ten, die je nach Risikoart auf quantitativen und/oder qualitativen Risikomerkmalen basieren. | |
| 3 Die Geschäftsleitung hat sich in angemessenen Abständen über die Geschäftslage und die Risikosi- tuation einschließlich vorhandener Risikokonzentrationen berichten zu lassen. Zudem hat die Ge- schäftsleitung das Aufsichtsorgan – soweit vorhanden – mindestens jährlich über die Geschäftslage und Risikosituation einschließlich vorhandener Risikokonzentrationen in angemessener Weise schriftlich zu informieren. Einzelheiten zur Geschäfts- und Risikoberichterstattung an die Geschäfts- leitung und an das Aufsichtsorgan sind in BT 3 geregelt. | |
| 4 Unter Risikogesichtspunkten wesentliche Informationen sind unverzüglich an die Geschäftsleitung, die jeweiligen Verantwortlichen und ggf. die Interne Revision weiterzuleiten, so dass geeignete Maßnahmen bzw. Prüfungshandlungen frühzeitig eingeleitet werden können. Hierfür ist ein geeig- netes Verfahren festzulegen. | Informationspflicht gegenüber der Internen Revision Eine Informationspflicht gegenüber der Internen Revision besteht dann, wenn nach Einschätzung der Fachbereiche unter Risikogesichtspunkten relevante Mängel zu erkennen oder bedeutende Schadensfälle aufgetreten sind oder ein konkreter Verdacht auf Unregelmäßigkeiten besteht. |
| 5 Die Risikosteuerungs- und -controllingprozesse sowie die zur Risikoabschirmung eingesetzten Me- thoden und Verfahren sind regelmäßig sowie bei sich ändernden Bedingungen auf ihre Angemes- senheit zu überprüfen und ggf. anzupassen. Dies betrifft insbesondere auch die Plausibilisierung der ermittelten Ergebnisse und der zugrundeliegenden Daten. |
AT 4.3.3 Stresstests
| 1 Es sind regelmäßig sowie anlassbezogen angemessene Stresstests für die wesentlichen Risiken durchzuführen, die Art, Umfang, Komplexität und den Risikogehalt der Geschäftsaktivitäten wider-spiegeln. Hierfür sind die für die jeweiligen Risiken wesentlichen Risikofaktoren zu identifizieren und gegebenenfalls die Auswirkungen von ESG-Risiken zu berücksichtigen. Die Stresstests haben auch außergewöhnliche, aber plausibel mögliche Ereignisse abzubilden. Bei der Festlegung der Szenarien sind die strategische Ausrichtung des Instituts und sein wirtschaftliches Umfeld zu be- rücksichtigen. Die Stresstests haben sich auch auf die angenommenen Risikokonzentrationen zu erstrecken. |
| 2 Die Angemessenheit der Stresstests sowie deren zugrunde liegende Annahmen sind in regelmäßi- gen Abständen, mindestens aber jährlich, zu überprüfen. |
| 3 Die Ergebnisse der Stresstests sind kritisch zu reflektieren. Dabei ist zu ergründen, inwieweit und, wenn ja, welcher Handlungsbedarf besteht. |
AT 4.4 Besondere Funktionen
AT 4.4.1 Risikocontrolling-Funktion
| 1 Jedes Institut muss über eine unabhängige Risikocontrolling-Funktion verfügen, die für die ange- messene Überwachung und Kommunikation der wesentlichen Risiken unter Berücksichtigung der Auswirkungen von ESG-Risiken zuständig ist. Die Risikocontrolling-Funktion ist aufbauorganisato- risch bis einschließlich der Ebene der Geschäftsleitung von den operativen Geschäftsbereichen zu trennen. | Operative Geschäftsbereiche Die operativen Geschäftsbereiche sind die Bereiche im Institut, die die wesentlichen Risiken eingehen. |
| 2 Die Risikocontrolling-Funktion hat insbesondere die folgenden Aufgaben:Unterstützung der Geschäftsleitung in allen risikopolitischen Fragen, insbesondere bei der Entwicklung und Umsetzung der Risikostrategie sowie bei der Ausgestaltung ei- nes Systems zur Begrenzung der Risiken,Durchführung der Risikoinventur und Erstellung des Gesamtrisikoprofils,Unterstützung der Geschäftsleitung bei der Einrichtung und Weiterentwicklung der Risikosteuerungs- und -controllingprozesse,Einrichtung und Weiterentwicklung eines Systems von Risikokennzahlen und eines Risikofrüherkennungsverfahrens,Laufende Überwachung der Risikosituation des Instituts und der RisikoabschirmungRegelmäßige Erstellung der Risikoberichte für die Geschäftsleitung,Verantwortung für die Prozesse zur unverzüglichen Weitergabe von unter Risikoge- sichtspunkten wesentlichen Informationen an die Geschäftsleitung, die jeweiligen Verantwortlichen und ggf. die Interne Revision. | |
| 3 Den Mitarbeitern der Risikocontrolling-Funktion sind alle notwendigen Befugnisse und ein unein- geschränkter Zugang zu allen Informationen einzuräumen, die für die Erfüllung ihrer Aufgaben er- forderlich sind. Hierzu gehört insbesondere auch ein uneingeschränkter und jederzeitiger Zugangzu den Risikodaten des Instituts. | |
| Person auf einer ausreichend hohen Führungs- ebene zu übertragen. Sie hat ihre Aufgaben in Abhängigkeit von der Größe des Instituts sowie Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten grundsätzlich in exklusiver Weise auszufüllen. | |
| 5 Wechselt die Leitung der Risikocontrolling-Funktion, ist das Aufsichtsorgan – soweit vorhanden – rechtzeitig vorab unter Angabe der Gründe für den Wechsel zu informieren. |
AT 4.4.2 Compliance-Funktion
| 1 Jedes Institut muss über eine Compliance-Funktion verfügen, um den Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können, entgegenzuwirken. Die Compliance-Funktion hat auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzu- wirken. Ferner hat die Compliance-Funktion die Geschäftsleitung hinsichtlich der Einhaltung dieser rechtlichen Regelungen und Vorgaben zu unterstützen und zu beraten. | Verantwortung der Geschäftsleiter und der Geschäftsbereiche Unbeschadet der Aufgaben der Compliance-Funktion bleiben die Geschäftsleiter und die Geschäftsbereiche für die Einhaltung rechtlicher Regelungen und Vorgaben uneingeschränkt verantwortlich. Verhältnis zu anderen aufsichtlichen Vorgaben Alle sonstigen Vorgaben zur Compliance-Funktion, die sich aus anderen Aufsichtsgesetzen ergeben , bleiben unberührt. |
| 2 Die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann, erfolgt unter Berücksichtigung von Risikogesichtspunkten in regelmäßigen Abständen durch die Compliance-Funktion. | |
| 3 Grundsätzlich ist die Compliance-Funktion unmittelbar der Geschäftsleitung unterstellt und berichtspflichtig. Sie kann auch an andere Kontrolleinheiten angebunden werden, sofern eine direkte Berichtslinie zur Geschäftsleitung existiert. Zur Erfüllung ihrer Aufgaben kann die Compliance- Funktion auch auf andere Funktionen und Stellen zurückgreifen. Die Compliance-Funktion ist ab- hängig von der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten in einem von den operativen Geschäftsbereichen unabhängigen Bereich anzusiedeln. | Anbindung an andere Kontrolleinheiten Andere Kontrolleinheiten können z. B. das Risikocontrolling oder der Geldwäschebeauftragte, nicht jedoch die Interne Revision sein. |
| 4 Das Institut hat einen Compliance-Beauftragten zu benennen, der für die Erfüllung der Aufgaben der Compliance-Funktion verantwortlich ist. Abhängig von Art, Umfang, Komplexität und Risiko- gehalt der Geschäftsaktivitäten des Instituts kann im Ausnahmefall die Funktion des Compliance- Beauftragten auch einem Geschäftsleiter übertragen werden. | |
| 5 Den Mitarbeitern der Compliance-Funktion sind ausreichende Befugnisse und ein uneingeschränkter Zugang zu allen Informationen einzuräumen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Weisungen und Beschlüsse der Geschäftsleitung, die für die Compliance-Funktion wesentlich sind, sind ihr bekanntzugeben. Über wesentliche Änderungen der Regelungen, die die Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben gewährleisten sollen, sind die Mitarbeiter der Compliance-Funktion rechtzeitig zu informieren. | |
| 6 Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu möglichen Defiziten sowie zu Maßnahmen zu deren Behebung zu enthalten. Die Berichte sind auch an das Aufsichtsorgan – soweit vorhanden – und die Interne Revision weiterzuleiten. | Ausschüsse des Aufsichtsorgans Adressat der Berichterstattung sollte grundsätzlich jedes Mitglied des Aufsichtsorgans sein. Soweit das Aufsichtsorgan Ausschüsse gebildet hat, kann die Weiterleitung der Informationen auch auf einen Ausschuss beschränkt werden. Voraussetzung dafür ist, dass ein entsprechender Beschluss über die Einrichtung des Ausschusses besteht und der Vorsitzende des Ausschusses regelmäßig das gesamte Aufsichtsorgan informiert. Zudem ist jedem Mitglied des Aufsichtsorgans weiterhin das Recht einzuräumen, die an den Ausschuss geleitete Berichterstattung einsehen zu können. |
| 7 Wechselt die Position des Compliance-Beauftragten, ist das Aufsichtsorgan – soweit vorhanden – rechtzeitig vorab unter Angabe der Gründe für den Wechsel zu informieren. |
AT 4.4.3 Interne Revision
| 1 Jedes Institut muss über eine funktionsfähige Interne Revision verfügen. Bei Instituten, bei denen aus Gründen der Betriebsgröße die Einrichtung einer Revisionseinheit unverhältnismäßig ist, kön- nen die Aufgaben der Internen Revision von einem Geschäftsleiter erfüllt werden. | |
| 2 Die Interne Revision ist ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und be- richtspflichtig. Sie kann auch einem Mitglied der Geschäftsleitung, nach Möglichkeit dem Vorsitzen- den, unterstellt sein. Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsor- gans – soweit vorhanden – unter Einbeziehung der Geschäftsleitung direkt bei dem Leiter der Inter- nen Revision Auskünfte einholen kann. | Einholung von Auskünften durch den Vorsitzenden des Aufsichtsorgans Wenn das Institut einen Prüfungsausschuss eingerichtet hat, kann alternativ sichergestellt werden, dass der Vorsitzende des Prüfungsausschusses Auskünfte beim Leiter der Internen Revision ein- holen kann. |
| 3 Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessen- heit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen so- wie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht. BT 2.1 Tz. 3 bleibt hiervon unberührt. | |
| 4 Zur Wahrnehmung ihrer Aufgaben ist der Internen Revision ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. Dieses Recht ist jederzeit zu gewährleisten. Der Internen Revision sind insoweit unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie die IT-Systeme des Instituts zu gewähren. | |
| 5 Weisungen und Beschlüsse der Geschäftsleitung, die für die Interne Revision von Bedeutung sein können, sind ihr bekannt zu geben. Über wesentliche Änderungen im Risikomanagement ist die Interne Revision rechtzeitig zu informieren. | |
| 6 Wechselt die Leitung der Internen Revision, ist das Aufsichtsorgan – soweit vorhanden – rechtzeitig vorab unter Angabe der Gründe für den Wechsel zu informieren. |