§ 25a Absatz 1 KWG
(1) 1Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. 2Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich; sie haben die erforderlichen Maßnahmen für die Ausarbeitung der entsprechenden institutsinternen Vorgaben zu ergreifen, sofern nicht das Verwaltungs- oder Aufsichtsorgan entscheidet. 3Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; das Risikomanagement umfasst insbesondere
1.
die Festlegung von Strategien, insbesondere die Festlegung einer auf die nachhaltige Entwicklung des Instituts gerichteten Geschäftsstrategie und einer damit konsistenten Risikostrategie, sowie die Einrichtung von Prozessen zur Planung, Umsetzung, Beurteilung und Anpassung der Strategien;
2.
Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit, wobei eine vorsichtige Ermittlung der Risiken, der potentiellen Verluste, die sich auf Grund von Stressszenarien ergeben, einschließlich derjenigen, die nach dem aufsichtlichen Stresstest nach § 6b Absatz 3 ermittelt werden, und des zu ihrer Abdeckung verfügbaren Risikodeckungspotenzials zugrunde zu legen ist;
3.
die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision, wobei das interne Kontrollsystem insbesondere
a)
aufbau- und ablauforganisatorische Regelungen mit klarer Abgrenzung der Verantwortungsbereiche,
b)
Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken entsprechend den in Titel VII Kapitel 2 Abschnitt 2 Unterabschnitt II der Richtlinie 2013/36/EU niedergelegten Kriterien und
c)
eine Risikocontrolling-Funktion und eine Compliance-Funktion umfasst;
4.
eine angemessene personelle und technischorganisatorische Ausstattung des Instituts;
5.
die Festlegung eines angemessenen Notfallmanagements, insbesondere für IT-Systeme, und
6.
angemessene, transparente und auf eine nachhaltige Entwicklung des Instituts ausgerichtete Vergütungssysteme für Geschäftsleiter und Mitarbeiter unter Berücksichtigung von Absatz 5; dies gilt mit Ausnahme der Pflicht zur Offenlegung vergütungsbezogener Informationen nicht, soweit die Vergütung durch Tarifvertrag oder in seinem Geltungsbereich durch Vereinbarung der Arbeitsvertragsparteien über die Anwendung der tarifvertraglichen Regelungen oder auf Grund eines Tarifvertrags in einer Betriebs- oder Dienstvereinbarung vereinbart ist.
4Die Ausgestaltung des Risikomanagements hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab. 5Seine Angemessenheit und Wirksamkeit ist vom Institut regelmäßig zu überprüfen. 6Eine ordnungsgemäße Geschäftsorganisation umfasst darüber hinaus
1.
angemessene Regelungen, anhand derer sich die finanzielle Lage des Instituts jederzeit mit hinreichender Genauigkeit bestimmen lässt;
2.
eine vollständige Dokumentation der Geschäftstätigkeit, die eine lückenlose Überwachung durch die Bundesanstalt für ihren Zuständigkeitsbereich gewährleistet; erforderliche Aufzeichnungen sind mindestens fünf Jahre aufzubewahren; § 257 Absatz 4 des Handelsgesetzbuchs bleibt unberührt, § 257 Absatz 3 und 5 des Handelsgesetzbuchs gilt entsprechend;
3.
einen Prozess, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Verstöße gegen die Verordnung (EU) Nr. 575/2013, die Verordnung (EU) Nr. 596/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über Marktmissbrauch (Marktmissbrauchsverordnung) und zur Aufhebung der Richtlinie 2003/6/EG des Europäischen Parlaments und des Rates und der Richtlinien 2003/124/EG, 2003/125/EG und 2004/72/EG der Kommission (ABl. L 173 vom 12.6.2014, S. 1; L 287 vom 21.10.2016, S. 320; L 306 vom 15.11.2016, S. 43; L 348 vom 21.12.2016, S. 83), die zuletzt durch die Verordnung (EU) 2016/1033 (ABl. L 175 vom 30.6.2016, S. 1) geändert worden ist, die Verordnung (EU) Nr. 600/2014, die Verordnung (EU) Nr. 1286/2014 oder die Verordnung (EU) 2017/1129 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über den Prospekt, der beim öffentlichen Angebot von Wertpapieren oder bei deren Zulassung zum Handel an einem geregelten Markt zu veröffentlichen ist und zur Aufhebung der Richtlinie 2003/71/EG (ABl. L 168 vom 30.6.2017, S. 12) oder gegen dieses Gesetz oder gegen die auf Grund dieses Gesetzes erlassenen Rechtsverordnungen oder gegen das Wertpapierhandelsgesetz oder gegen die auf Grund des Wertpapierhandelsgesetzes erlassenen Rechtsverordnungen sowie etwaige strafbare Handlungen innerhalb des Unternehmens an geeignete Stellen zu berichten.