AT 1 Vorbemerkung

Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements in den Kreditinstituten vor. Das Risikomanagement im Sinne dieses Rundschreibens umfasst die Festlegung angemessener Strategien sowie die Einrichtung angemessener interner Kontrollverfahren. Die internen Kontrollverfahren bestehen aus dem internen Kontrollsystem und der Internen Revision. Das interne Kontrollsystem umfasst insbesondere

• Regelungen zur Aufbau- und Ablauforganisation und
   
  
• Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie Kommunikation der Risiken (Risikosteuerungs- und controllingprozesse).

Das Rundschreiben zielt insofern vor allem auf die Einrichtung angemessener institutsinterner Leitungs-, Steuerungs- und Kontrollprozesse ab. Als Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktionen des Aufsichtsorgans beinhaltet dies auch dessen angemessene Einbindung.

Das Rundschreiben soll zudem einen qualitativen Rahmen für die Umsetzung der Art. 22 und 123 der Capital Requirements Directive (CRD) vorgeben. Danach sind von den Instituten angemessene Leitungs-, Steuerungs- und Kontrollprozesse ("Robust Governance Arrangements") sowie Strategien und Prozesse einzurichten, die gewährleisten, dass genügend internes Kapital zur Abdeckung aller wesentlichen Risiken vorhanden ist ("Internal Capital Adequacy Assessment Process"). Die Qualität dieser Prozesse soll von der Aufsicht gemäß Art. 124 der CRD regelmäßig beurteilt werden ("Supervisory Review and Evaluation Process"). Das Rundschreiben soll daher unter Berücksichtigung des Prinzips der doppelten Proportionalität der Regelungsrahmen für die neue qualitative Aufsicht in Deutschland sein ("Supervisory Review Process"). Im Hinblick auf die geplanten Methoden zur Berechnung der aufsichtsrechtlich erforderlichen Eigenmittel der CRD sind die Anforderungen des Rundschreibens insofern neutral konzipiert, als sie unabhängig von der gewählten Methode eingehalten werden können.

Das Rundschreiben trägt der heterogenen Institutsstruktur und der Vielfalt der Geschäftsaktivitäten Rechnung. Es enthält zahlreiche Öffnungsklauseln, die abhängig von der Größe der Kreditinstitute, den Geschäftsschwerpunkten und der Risikosituation eine vereinfachte Umsetzung ermöglichen. Insoweit kann es vor allem auch von kleineren Kreditinstituten flexibel umgesetzt werden. Das Rundschreiben ist gegenüber der laufenden Fortentwicklung der Prozesse und Verfahren im Risikomanagement offen, soweit diese im Einklang mit den Zielen des Rundschreibens stehen. Für diese Zwecke wird die Bundesanstalt für Finanzdienstleistungsaufsicht einen fortlaufenden Dialog mit der Praxis führen.

Die Bundesanstalt für Finanzdienstleistungsaufsicht erwartet, dass der flexiblen Grundausrichtung des Rundschreibens im Rahmen von Prüfungshandlungen Rechnung getragen wird. Prüfungen sind daher auf der Basis eines risikoorientierten Prüfungsansatzes durchzuführen.

Das Rundschreiben ist modular strukturiert, so dass notwendige Anpassungen in bestimmten Regelungsfeldern auf die zeitnahe Überarbeitung einzelner Module beschränkt werden können. In einem allgemeinen Teil (Modul AT) befinden sich grundsätzliche Prinzipien für die Ausgestaltung des Risikomanagements; spezifische Anforderungen an die Organisation des Kredit- und Handelsgeschäfts beziehungsweise die Identifizierung, Beurteilung, Steuerung sowie die Überwachung und Kommunikation von Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken sowie operationellen Risiken sind in einem besonderen Teil niedergelegt (Modul BT). Darüber hinaus wird in diesem Modul ein Rahmen für die Ausgestaltung der Internen Revision in den Kreditinstituten vorgegeben.

AT 2 Anwendungsbereich

AT 2.1 Anwenderkreis

Die Anforderungen des Rundschreibens sind von allen Kreditinstituten im Sinne von § 1 Abs. 1 KWG beziehungsweise im Sinne von § 53 Abs. 1 KWG zu beachten. Sie gelten auch für die Zweigniederlassungen deutscher Kreditinstitute im Ausland. Auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 53b KWG finden sie keine Anwendung. Das übergeordnete Unternehmen beziehungsweise übergeordnete Finanzkonglomeratsunternehmen einer Institutsgruppe, einer Finanzholdinggruppe oder eines Finanzkonglomerats hat ein Verfahren einzurichten, das eine angemessene Steuerung und Überwachung der wesentlichen Risiken auf Gruppenebene im Rahmen der gesellschaftsrechtlichen Möglichkeiten sicherstellt.

Finanzdienstleistungsinstitute und Wertpapierhandelsbanken haben die Anforderungen des Rundschreibens insoweit zu beachten, wie dies vor dem Hintergrund der Institutsgröße sowie von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten zur Einhaltung der gesetzlichen Pflichten aus § 25a KWG geboten erscheint.

Die Anforderungen des Rundschreibens gelten für Kapitalanlagegesellschaften im Sinne von § 2 Abs. 6 InvG mit der Maßgabe, dass

1. BTO 1 für Kapitalanlagegesellschaften keine Geltung beansprucht,
    
   
2. BTO 2 und BTR für Aktivitäten und Prozesse im Rahmen der Verwaltung von Sondervermögen und der individuellen Vermögensverwaltung nicht zur Anwendung kommen; für Aktivitäten und Prozesse im Rahmen des Eigengeschäfts der Kapitalanlagegesellschaften gelten die Anforderungen dieser Module lediglich sinngemäß,
    
   
3. die Anforderungen des AT nur insoweit anzuwenden sind, wie sie nicht explizit in speziellen Regelwerken für Kapitalanlagegesellschaften festgelegt sind.

AT 2.2 Risiken

Die Anforderungen des Rundschreibens beziehen sich auf das Management der für das Kreditinstitut wesentlichen Risiken sowie damit verbundener Risikokonzentrationen. Zur Beurteilung der Wesentlichkeit hat sich die Geschäftsleitung einen Überblick über das Gesamtrisikoprofil des Kreditinstituts zu verschaffen.

Zu den dabei zu berücksichtigenden Risikoarten zählen in der Regel:

1. Adressenausfallrisiken (einschließlich Länderrisiken),
    
   
2. Marktpreisrisiken,
    
   
3. Liquiditätsrisiken und
    
   
4. operationelle Risiken.

AT 2.3 Geschäfte

Kreditgeschäfte im Sinne des Rundschreibens sind grundsätzlich Geschäfte nach Maßgabe des § 19 Abs. 1 KWG (Bilanzaktiva und außerbilanzielle Geschäfte mit Adressenausfallrisiken).

Im Sinne dieses Rundschreibens gilt als Kreditentscheidung jede Entscheidung über Neukredite, Krediterhöhungen, Beteiligungen, Limitüberschreitungen, die Festlegung von kreditnehmerbezogenen Limiten sowie von Kontrahenten- und Emittentenlimiten, Prolongationen und Änderungen risikorelevanter Sachverhalte, die dem Kreditbeschluss zu Grunde lagen (z. B. Sicherheiten, Verwendungszweck). Dabei ist es unerheblich, ob diese Entscheidung ausschließlich vom Kreditinstitut selbst oder gemeinsam mit anderen Kreditinstituten getroffen wird (so genanntes Konsortialgeschäft).

Handelsgeschäfte sind grundsätzlich alle Abschlüsse, die ein

1. Geldmarktgeschäft,
    
   
2. Wertpapiergeschäft,
    
   
3. Devisengeschäft,
    
   
4. Geschäft in handelbaren Forderungen (z. B. Handel in Schuldscheinen),
    
   
5. Geschäft in Waren oder
    
   

6. Geschäft in Derivaten

zur Grundlage haben und die im eigenen Namen und für eigene Rechnung abgeschlossen werden. Als Wertpapiergeschäfte gelten auch Geschäfte mit Namensschuldverschreibungen sowie die Wertpapierleihe, nicht aber die Erstausgabe von Wertpapieren. Handelsgeschäfte sind auch, ungeachtet des Geschäftsgegenstandes, Vereinbarungen von Rückgabe- oder Rücknahmeverpflichtungen sowie Pensionsgeschäfte.

Zu den Geschäften in Derivaten gehören Termingeschäfte, deren Preis sich von einem zu Grunde liegenden Aktivum, von einem Referenzpreis, Referenzzins, Referenzindex oder einem im Voraus definierten Ereignis ableitet.

AT 3 Gesamtverantwortung der Geschäftsleitung

Alle Geschäftsleiter (§ 1 Abs. 2 KWG) sind, unabhängig von der internen Zuständigkeitsregelung, für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich. Diese Verantwortung umfasst für die Zwecke des Rundschreibens die Festlegung angemessener Strategien und die Einrichtung angemessener interner Kontrollverfahren und somit die Verantwortung für alle wesentlichen Elemente des Risikomanagements. Sie werden dieser Verantwortung nur gerecht, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treffen.

AT 4 Allgemeine Anforderungen an das Risikomanagement

AT 4.1 Risikotragfähigkeit

Auf der Grundlage des Gesamtrisikoprofils ist sicherzustellen, dass die wesentlichen Risiken des Kreditinstituts durch das Risikodeckungspotenzial, gegebenenfalls unter Berücksichtigung von Wechselwirkungen, laufend abgedeckt sind und damit die Risikotragfähigkeit gegeben ist.

Die Risikotragfähigkeit ist im Rahmen der Festlegung der Strategien (AT 4.2) sowie bei deren Anpassung zu berücksichtigen. Zur Umsetzung der Strategien beziehungsweise zur Gewährleistung der Risikotragfähigkeit sind geeignete Risikosteuerungs- und controllingprozesse (AT 4.3.2) einzurichten.

Wesentliche Risiken, die nicht in das Risikotragfähigkeitskonzept einbezogen werden, sind festzulegen (z. B. Liquiditätsrisiken); ihre Nichtberücksichtigung ist nachvollziehbar zu begründen. Es ist sicherzustellen, dass solche Risiken angemessen in den Risikosteuerungs- und controllingprozessen berücksichtigt werden.

Die Wahl der Methoden zur Beurteilung der Risikotragfähigkeit liegt in der Verantwortung des Kreditinstituts. Die den Methoden zu Grunde liegenden Annahmen sind nachvollziehbar zu begründen. Die Angemessenheit der Methoden ist zumindest jährlich durch die fachlich zuständigen Mitarbeiter zu überprüfen.

AT 4.2 Strategien

Die Geschäftsleitung hat eine Geschäftsstrategie und eine dazu konsistente Risikostrategie festzulegen. Bei der Ausarbeitung der Risikostrategie sind die in der Geschäftsstrategie niederzulegenden Ziele und Planungen der wesentlichen Geschäftsaktivitäten zu berücksichtigen. Die Verantwortung für die Festlegung der Strategien ist nicht delegierbar. Die Geschäftsleitung muss für die Umsetzung der Strategien Sorge tragen. Der Detaillierungsgrad der Strategien ist abhängig von Umfang und Komplexität sowie dem Risikogehalt der geplanten Geschäftsaktivitäten.

Die Risikostrategie hat, gegebenenfalls unterteilt in Teilstrategien (z. B. eine Strategie hinsichtlich der Adressenausfallrisiken), die Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten zu umfassen. Der Detaillierungsgrad der Teilstrategien kann unterschiedlich sein. Der Begrenzung von Risikokonzentrationen ist im Rahmen der Festlegung der Risikostrategie angemessen Rechnung zu tragen.

Die Geschäftsleitung hat die Strategien mindestens jährlich zu überprüfen und gegebenenfalls anzupassen; sie sind dem Aufsichtsorgan des Kreditinstituts zur Kenntnis zu geben und mit diesem zu erörtern.

Die Inhalte sowie Änderungen der Risikostrategie sind, gegebenenfalls zusammen mit der Geschäftsstrategie, innerhalb des Kreditinstituts in geeigneter Weise zu kommunizieren.

AT 4.3 Internes Kontrollsystem

In jedem Kreditinstitut sind entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten

1. Regelungen zur Aufbau- und Ablauforganisation zu treffen sowie
    
   
2. Risikosteuerungs- und -controllingprozesse einzurichten.

AT 4.3.1 Aufbau- und Ablauforganisation

Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt werden.

Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen.

AT 4.3.2 Risikosteuerungs- und -controllingprozesse

Das Kreditinstitut hat angemessene Risikosteuerungs- und controllingprozesse einzurichten, die eine

1. Identifizierung,
    
   
2. Beurteilung,
    
   
3. Steuerung sowie
    
   
4. Überwachung und Kommunikation

der wesentlichen Risiken gewährleisten. Diese Prozesse sollten in ein integriertes System zur Ertrags- und Risikosteuerung ("Gesamtbanksteuerung") eingebunden werden.

Die Risikosteuerungs- und controllingprozesse müssen gewährleisten, dass die wesentlichen Risiken frühzeitig erkannt, vollständig erfasst und in angemessener Weise dargestellt werden können. Wechselwirkungen zwischen den unterschiedlichen Risikoarten sollten berücksichtigt werden.

Für die im Rahmen der Risikotragfähigkeit berücksichtigten Risiken sind regelmäßig angemessene Szenariobetrachtungen anzustellen.

Die Geschäftsleitung hat sich in angemessenen Abständen über die Risikosituation und die Ergebnisse der Szenariobetrachtungen berichten zu lassen. Die Risikoberichterstattung ist in nachvollziehbarer, aussagefähiger Art und Weise zu verfassen. Sie hat neben einer Darstellung auch eine Beurteilung der Risikosituation zu enthalten. In die Risikoberichterstattung sind bei Bedarf auch Handlungsvorschläge, z. B. zur Risikoreduzierung, aufzunehmen. Einzelheiten zur Risikoberichterstattung sind in BTR 1 bis BTR 4 geregelt.

Unter Risikogesichtspunkten wesentliche Informationen sind unverzüglich an die Geschäftsleitung, die jeweiligen Verantwortlichen und gegebenenfalls die Interne Revision weiterzuleiten, so dass geeignete Maßnahmen beziehungsweise Prüfungshandlungen frühzeitig eingeleitet werden können.

Die Geschäftsleitung hat das Aufsichtsorgan vierteljährlich über die Risikosituation in angemessener Weise schriftlich zu informieren.

Die Risikosteuerungs- und controllingprozesse sind zeitnah an sich ändernde Bedingungen anzupassen.
 

AT 4.4 Interne Revision

Jedes Kreditinstitut muss über eine funktionsfähige Interne Revision verfügen.

Die Interne Revision ist ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und berichtspflichtig. Sie kann auch einem Mitglied der Geschäftsleitung, nach Möglichkeit dem Vorsitzenden, unterstellt sein.

Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen.

Zur Wahrnehmung ihrer Aufgaben ist der Internen Revision ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. Dieses Recht ist jederzeit zu gewährleisten. Der Internen Revision sind insoweit unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie die IT-Systeme des Kreditinstituts zu gewähren.

Weisungen und Beschlüsse der Geschäftsleitung, die für die Interne Revision von Bedeutung sein können, sind ihr bekannt zu geben. Über wesentliche Änderungen im Risikomanagement ist die Interne Revision rechtzeitig zu informieren.

AT 5 Organisationsrichtlinien

Das Kreditinstitut hat sicherzustellen, dass die Geschäftsaktivitäten auf der Grundlage von Organisationsrichtlinien betrieben werden (z. B. Handbücher, Arbeitsanweisungen oder Arbeitsablaufbeschreibungen). Der Detaillierungsgrad der Organisationsrichtlinien hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten ab.

Die Organisationsrichtlinien müssen schriftlich fixiert und den betroffenen Mitarbeitern in geeigneter Weise bekannt gemacht werden. Es ist sicherzustellen, dass sie den Mitarbeitern in der jeweils aktuellen Fassung zur Verfügung stehen. Die Richtlinien sind bei Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen.

Die Organisationsrichtlinien haben vor allem Folgendes zu beinhalten:

1. Regelungen für die Aufbau- und Ablauforganisation sowie zur Aufgabenzuweisung, Kompetenzordnung und den Verantwortlichkeiten,
    
   
2. Regelungen hinsichtlich der Ausgestaltung der Risikosteuerungs- und controllingprozesse,
    
   
3. Regelungen zur Internen Revision sowie
    
   
4. Regelungen, die die Einhaltung gesetzlicher Bestimmungen sowie sonstiger Vorgaben (z. B. Datenschutz, Compliance) gewährleisten.

Die Ausgestaltung der Organisationsrichtlinien muss es der Internen Revision ermöglichen, in die Sachprüfung einzutreten.

AT 6 Dokumentation

Geschäfts-, Kontroll- und Überwachungsunterlagen sind systematisch und für sachkundige Dritte nachvollziehbar abzufassen und, vorbehaltlich gesetzlicher Regelungen, grundsätzlich zwei Jahre aufzubewahren. Die Aktualität und Vollständigkeit der Aktenführung ist sicherzustellen.

Die für die Einhaltung dieses Rundschreibens wesentlichen Handlungen und Festlegungen sind nachvollziehbar zu dokumentieren. Dies beinhaltet auch Festlegungen hinsichtlich von Inanspruchnahmen wesentlicher Öffnungsklauseln, die gegebenenfalls zu begründen sind.

AT 7 Ressourcen

AT 7.1 Personal

Die quantitative und qualitative Personalausstattung des Kreditinstituts hat sich insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation zu orientieren.

Die Mitarbeiter sowie deren Vertreter müssen abhängig von ihren Aufgaben, Kompetenzen und Verantwortlichkeiten über die erforderlichen Kenntnisse und Erfahrungen verfügen. Durch geeignete Maßnahmen ist zu gewährleisten, dass das Qualifikationsniveau der Mitarbeiter angemessen ist.

Die Abwesenheit oder das Ausscheiden von Mitarbeitern sollte nicht zu nachhaltigen Störungen der Betriebsabläufe führen.

Die Ausgestaltung der Vergütungs- und Anreizsysteme darf den in den Strategien niedergelegten Zielen nicht widersprechen.

AT 7.2 Technisch-organisatorische Ausstattung

Umfang und Qualität der technisch-organisatorischen Ausstattung haben sich insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation zu orientieren.

Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Ihre Eignung ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.

Die IT-Systeme sind vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Produktions- und Testumgebung sind dabei grundsätzlich voneinander zu trennen.

Die Entwicklung und Änderung programmtechnischer Vorgaben (z. B. Parameteranpassungen) sind unter Beteiligung der fachlich und technisch zuständigen Mitarbeiter durchzuführen. Die programmtechnische Freigabe hat grundsätzlich unabhängig vom Anwender zu erfolgen.

AT 7.3 Notfallkonzept

Für Notfälle in kritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen.

Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen.

AT 8 Aktivitäten in neuen Produkten oder auf neuen Märkten

Für die Aufnahme von Geschäftsaktivitäten in neuen Produkten oder auf neuen Märkten (einschließlich neuer Vertriebswege) ist vorab ein Konzept auszuarbeiten. Grundlage des Konzeptes muss das Ergebnis der Analyse des Risikogehalts dieser neuen Geschäftsaktivitäten sein. In dem Konzept sind die sich daraus ergebenden wesentlichen Konsequenzen für das Management der Risiken darzustellen.

Bei der Entscheidung, ob es sich um Geschäftsaktivitäten in neuen Produkten oder auf neuen Märkten handelt, ist ein vom Markt beziehungsweise vom Handel unabhängiger Bereich einzubinden.

Bei Handelsgeschäften ist vor dem laufenden Handel in neuen Produkten oder auf neuen Märkten grundsätzlich eine Testphase durchzuführen. Während der Testphase dürfen Handelsgeschäfte nur in überschaubarem Umfang durchgeführt werden. Es ist sicherzustellen, dass der laufende Handel erst beginnt, wenn die Testphase erfolgreich abgeschlossen ist und geeignete Risikosteuerungs- und controllingprozesse vorhanden sind.

Sowohl in die Erstellung des Konzeptes als auch in die Testphase sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten; im Rahmen ihrer Aufgaben ist auch die Interne Revision zu beteiligen.

Das Konzept und die Aufnahme der laufenden Geschäftstätigkeit sind von den zuständigen Geschäftsleitern unter Einbeziehung der für die Überwachung der Geschäfte verantwortlichen Geschäftsleiter zu genehmigen. Diese Genehmigungen können delegiert werden, sofern dafür klare Vorgaben erlassen wurden und die Geschäftsleitung zeitnah über die Entscheidungen informiert wird.

Soweit nach Einschätzung der in die Arbeitsabläufe eingebundenen Organisationseinheiten Aktivitäten in einem neuen Produkt oder auf einem neuen Markt sachgerecht gehandhabt werden können, ist die Anwendung des AT 8 nicht erforderlich.

AT 9 Outsourcing

Die teilweise oder vollständige Auslagerung von Aktivitäten und Prozessen darf nur unter der Maßgabe der im § 25a Abs. 2 KWG niedergelegten Grundsätze sowie der Einhaltung diesbezüglich erlassener Regelungen erfolgen. Hinsichtlich der Auslagerung der Internen Revision auf externe Personen oder auf die Konzernrevision sind ferner die Module BT 2.4 und 2.5 dieses Rundschreibens zu beachten.

BT 1 Besondere Anforderungen an das interne Kontrollsystem

In diesem Modul werden besondere Anforderungen an die Ausgestaltung des internen Kontrollsystems gestellt. Die Anforderungen beziehen sich vor allem auf die Ausgestaltung der Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft (BTO) sowie die Risikosteuerungs- und -controllingprozesse für Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken (BTR).

BTO Anforderungen an die Aufbau- und Ablauforganisation

Dieses Modul stellt vor allem Anforderungen an die Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft. Abhängig von der Größe der Kreditinstitute, den Geschäftsschwerpunkten und der Risikosituation ist eine vereinfachte Umsetzung der Anforderungen in BTO möglich.

Für die Zwecke des Rundschreibens werden folgende Bereiche unterschieden:

1. Der Bereich, der Kreditgeschäfte initiiert und bei den Kreditentscheidungen über ein Votum verfügt (Markt),
    
   
2. der Bereich, der bei den Kreditentscheidungen über ein weiteres Votum verfügt (Marktfolge) sowie
    
   
3. der Bereich Handel.

Darüber hinaus werden folgende Funktionen unterschieden:

1. Die Funktionen, die der Überwachung und Kommunikation der Risiken (Risikocontrolling) dienen und
    
   
2. die Funktionen, die der Abwicklung und Kontrolle der Handelsgeschäfte dienen.

Grundsätzlich ist bei der Ausgestaltung der Aufbauorganisation sicherzustellen, dass die Bereiche Markt und Handel bis einschließlich der Ebene der Geschäftsleitung von denen in Tz. 2 unter b), d) und e) sowie den in BTO 1.1 Tz. 7, BTO 1.2 Tz. 1, BTO 1.2.4 Tz. 1, BTO 1.2.5 Tz. 1 und BTO 1.4 Tz. 2 genannten Bereichen oder Funktionen getrennt sind.

Funktionen des Marktpreisrisikocontrollings sind bis einschließlich der Ebene der Geschäftsleitung von Bereichen zu trennen, die die Positionsverantwortung tragen.

Die Funktionstrennungen sind auch im Vertretungsfall zu beachten. Die Vertretung kann dabei grundsätzlich auch von einem geeigneten Mitarbeiter unterhalb der Ebene der Geschäftsleitung wahrgenommen werden.

Die Mitwirkung des für die Funktionen des Risikocontrollings zuständigen Geschäftsleiters in einem von der Geschäftsleitung mit der Steuerung der Risiken betrauten Ausschuss steht dem Grundsatz der Funktionstrennung nicht entgegen.

Das Rechnungswesen, insbesondere die Aufstellung der Kontierungsregeln sowie die Entwicklung der Buchungssystematik, ist in einer vom Markt und Handel unabhängigen Stelle anzusiedeln.

Wesentliche Rechtsrisiken sind grundsätzlich in einer vom Markt und Handel unabhängigen Stelle (z. B. der Rechtsabteilung) zu überprüfen.

Bei IT-gestützter Bearbeitung ist die Funktionstrennung durch entsprechende Verfahren und Schutzmaßnahmen sicherzustellen.

BTO 1 Kreditgeschäft

Dieses Modul stellt Anforderungen an die Ausgestaltung der Aufbau- und Ablauforganisation, die Verfahren zur Früherkennung von Risiken und die Verfahren zur Klassifizierung der Risiken im Kreditgeschäft. Bei Handelsgeschäften und Beteiligungen kann von der Umsetzung einzelner Anforderungen dieses Moduls abgesehen werden, soweit deren Umsetzung vor dem Hintergrund der Besonderheiten dieser Geschäftsarten nicht zweckmäßig ist (z. B. die Anforderungen zur Kreditverwendungskontrolle unter BTO 1.2.2 Tz. 1).

BTO 1.1 Funktionstrennung und Votierung

Maßgeblicher Grundsatz für die Ausgestaltung der Prozesse im Kreditgeschäft ist die klare aufbauorganisatorische Trennung der Bereiche Markt und Marktfolge bis einschließlich der Ebene der Geschäftsleitung. Bei kleinen Kreditinstituten sind unter bestimmten Voraussetzungen Ausnahmen hinsichtlich der Funktionstrennung möglich.

Abhängig von Art, Umfang, Komplexität und Risikogehalt des Kreditengagements erfordert eine Kreditentscheidung zwei zustimmende Voten der Bereiche Markt und Marktfolge. Weitergehende Beschlussfassungsvorschriften (z. B. KWG, Satzung) bleiben hiervon unberührt. Soweit die Entscheidungen von einem Ausschuss getroffen werden, sind die Mehrheitsverhältnisse innerhalb eines Ausschusses so festzulegen, dass der Bereich Marktfolge nicht überstimmt werden kann.

Bei Handelsgeschäften sind Kontrahenten- und Emittentenlimite durch eine Votierung aus dem Bereich Marktfolge festzulegen.

Für Kreditentscheidungen bei Geschäften, die unter Risikogesichtspunkten als nicht wesentlich einzustufen sind, kann das Kreditinstitut bestimmen, dass nur ein Votum erforderlich ist ("nicht-risikorelevante Kreditgeschäfte"). Vereinfachungen sind auch dann möglich, wenn Kreditgeschäfte von Dritten initiiert werden. Insoweit ist die aufbauorganisatorische Trennung zwischen Markt und Marktfolge nur für Kreditgeschäfte maßgeblich, bei denen zwei Voten erforderlich sind. Falls ein zweites Votum nicht erforderlich sein sollte, ist eine angemessene Umsetzung der Anforderungen in BTO 1.2 sicherzustellen.

Jeder Geschäftsleiter kann im Rahmen seiner Krediteinzelkompetenz eigenständig Kreditentscheidungen treffen und auch Kundenkontakte wahrnehmen; die aufbauorganisatorische Trennung der Bereiche Markt und Marktfolge bleibt davon unberührt. Zudem sind zwei Voten einzuholen, soweit dies unter Risikogesichtspunkten erforderlich sein sollte. Falls die im Rahmen einer Krediteinzelkompetenz getroffenen Entscheidungen von den Voten abweichen oder wenn sie vom Geschäftsleiter getroffen werden, der für den Bereich Marktfolge zuständig ist, sind sie im Risikobericht besonders hervorzuheben (BTR 1 Tz. 7).

Das Kreditinstitut hat eine klare und konsistente Kompetenzordnung für Entscheidungen im Kreditgeschäft festzulegen. Für den Fall voneinander abweichender Voten sind in der Kompetenzordnung Entscheidungsregeln zu treffen: Der Kredit ist in diesen Fällen abzulehnen oder zur Entscheidung auf eine höhere Kompetenzstufe zu verlagern (Eskalationsverfahren).

Die Überprüfung bestimmter, unter Risikogesichtspunkten festzulegender Sicherheiten ist außerhalb des Bereichs Markt durchzuführen. Diese Zuordnung gilt auch für Vorschläge über die Risikovorsorge bei bedeutenden Engagements. Die Zuordnung aller anderen in BTO 1.2 genannten Prozesse beziehungsweise Teilprozesse liegt, soweit dieses Rundschreiben nichts anderes vorsieht, im Ermessen der Kreditinstitute (z. B. die Kreditbearbeitung oder Teilprozesse der Kreditbearbeitung).

BTO 1.2 Anforderungen an die Prozesse im Kreditgeschäft

Das Kreditinstitut hat Prozesse für die Kreditbearbeitung (Kreditgewährung und Kreditweiterbearbeitung), die Kreditbearbeitungskontrolle, die Intensivbetreuung, die Problemkreditbearbeitung und die Risikovorsorge einzurichten. Die Verantwortung für deren Entwicklung und Qualität muss außerhalb des Bereichs Markt angesiedelt sein.

Das Kreditinstitut hat Bearbeitungsgrundsätze für die Prozesse im Kreditgeschäft zu formulieren, die, soweit erforderlich, in geeigneter Weise zu differenzieren sind (z. B. nach Kreditarten). Darüber hinaus sind die Verfahren zur Überprüfung, Verwaltung und Verwertung gestellter Sicherheiten festzulegen.

Die für das Adressenausfallrisiko eines Kreditengagements bedeutsamen Aspekte sind herauszuarbeiten und zu beurteilen, wobei die Intensität dieser Tätigkeiten vom Risikogehalt des Engagements abhängt. Bei der Beurteilung der Adressenausfallrisiken kann auch auf externe Quellen zurückgegriffen werden. Branchen und gegebenenfalls Länderrisiken sind in angemessener Weise zu berücksichtigen. Kritische Punkte eines Engagements sind hervorzuheben und gegebenenfalls unter der Annahme verschiedener Szenarien darzustellen.

Bei Objekt-/Projektfinanzierungen ist im Rahmen der Kreditbearbeitung sicherzustellen, dass neben der wirtschaftlichen Betrachtung insbesondere auch die technische Machbarkeit und Entwicklung sowie die mit dem Objekt/Projekt verbundenen rechtlichen Risiken in die Beurteilung einbezogen werden. Dabei kann auch auf die Expertise einer vom Kreditnehmer unabhängigen sach- und fachkundigen Organisationseinheit zurückgegriffen werden. Soweit externe Personen für diese Zwecke herangezogen werden, ist vorher deren Eignung zu überprüfen.

Abhängig vom Risikogehalt der Kreditgeschäfte sind sowohl im Rahmen der Kreditentscheidung als auch bei turnusmäßigen oder anlassbezogenen Beurteilungen die Risiken eines Engagements mit Hilfe eines Risikoklassifizierungsverfahrens zu bewerten. Eine Überprüfung der Risikoeinstufung ist jährlich durchzuführen.

Zwischen der Einstufung im Risikoklassifizierungsverfahren und der Konditionengestaltung sollte ein sachlich nachvollziehbarer Zusammenhang bestehen.

Das Kreditinstitut hat ein der Kompetenzordnung entsprechendes Verfahren einzurichten, in dem festgelegt ist, wie Überschreitungen von Limiten zu behandeln sind. Soweit unter Risikogesichtspunkten vertretbar, ist für Limitüberschreitungen und Prolongationen auf der Grundlage klarer Vorgaben eine vereinfachte Umsetzung der Anforderungen in BTO 1.1 sowie BTO 1.2 möglich.

Im Hinblick auf die erforderlichen Kreditunterlagen ist ein Verfahren einzurichten, das deren zeitnahe Einreichung überwacht und eine zeitnahe Auswertung gewährleistet. Für ausstehende Unterlagen ist ein entsprechendes Mahnverfahren einzurichten.

Jedes Kreditinstitut hat standardisierte Kreditvorlagen zu verwenden, soweit dies in Anbetracht der jeweiligen Geschäftsarten möglich und zweckmäßig ist, wobei die Ausgestaltung der Kreditvorlagen von Art, Umfang, Komplexität und Risikogehalt der Kreditgeschäfte abhängt.

Vertragliche Vereinbarungen im Kreditgeschäft sind auf der Grundlage rechtlich geprüfter Unterlagen abzuschließen.

Für die einzelnen Kreditverträge sind rechtlich geprüfte Standardtexte zu verwenden, die laufend zu aktualisieren sind. Falls bei einem Engagement (z. B. im Rahmen von Individualvereinbarungen) von den Standardtexten abgewichen werden soll, ist, soweit unter Risikogesichtspunkten erforderlich, vor Abschluss des Vertrages die rechtliche Prüfung durch eine vom Bereich Markt unabhängige Stelle notwendig.

BTO 1.2.1 Kreditgewährung

Der Prozess der Kreditgewährung umfasst die bis zur Bereitstellung des Kredites erforderlichen Arbeitsabläufe. Dabei sind die für die Beurteilung des Risikos wichtigen Faktoren unter besonderer Berücksichtigung der Kapitaldienstfähigkeit des Kreditnehmers beziehungsweise des Objektes/Projektes zu analysieren und zu beurteilen, wobei die Intensität der Beurteilung vom Risikogehalt der Engagements abhängt (z. B. Kreditwürdigkeitsprüfung, Risikoeinstufung im Risikoklassifizierungsverfahren oder eine Beurteilung auf der Grundlage eines vereinfachten Verfahrens).

Die Werthaltigkeit und der rechtliche Bestand von Sicherheiten sind grundsätzlich vor der Kreditvergabe zu überprüfen. Bei der Überprüfung der Werthaltigkeit kann auf bereits vorhandene Sicherheitenwerte zurückgegriffen werden, sofern keine Anhaltspunkte für Wertveränderungen vorliegen.

Hängt der Sicherheitenwert maßgeblich von den Verhältnissen eines Dritten ab (z. B. Bürgschaft), so ist eine angemessene Überprüfung der Adressenausfallrisiken des Dritten durchzuführen.

Das Kreditinstitut hat die akzeptierten Sicherheitenarten und die Verfahren zur Wertermittlung dieser Sicherheiten festzulegen.

BTO 1.2.2 Kreditweiterbearbeitung

Im Rahmen der Kreditweiterbearbeitung ist zu überwachen, ob die vertraglichen Vereinbarungen vom Kreditnehmer eingehalten werden. Bei zweckgebundenIm Rahmen der Kreditweiterbearbeitung ist zu überwachen, ob die vertraglichen Vereinbarungen vom Kreditnehmer eingehalten werden. Bei zweckgebundenen Kreditvergaben ist zu kontrollieren, ob die valutierten Mittel der vereinbarten Verwendung zukommen (Kreditverwendungskontrolle).en Kreditvergaben ist zu kontrollieren, ob die valutierten Mittel der vereinbarten Verwendung zukommen (Kreditverwendungskontrolle).

Eine Beurteilung der Adressenausfallrisiken ist jährlich durchzuführen, wobei die Intensität der laufenden Beurteilungen vom Risikogehalt der Engagements abhängt (z. B. Kreditwürdigkeitsprüfung, Risikoeinstufung im Risikoklassifizierungsverfahren oder eine Beurteilung auf der Grundlage eines vereinfachten Verfahrens).

Die Werthaltigkeit und der rechtliche Bestand von Sicherheiten sind im Rahmen der Kreditweiterbearbeitung in Abhängigkeit von der Sicherheitenart ab einer vom Kreditinstitut unter Risikogesichtspunkten festzulegenden Grenze in angemessenen Abständen zu überprüfen.

Außerordentliche Überprüfungen von Engagements einschließlich der Sicherheiten sind zumindest dann unverzüglich durchzuführen, wenn dem Kreditinstitut aus externen oder internen Quellen Informationen bekannt werden, die auf eine wesentliche negative Änderung der Risikoeinschätzung der Engagements oder der Sicherheiten hindeuten. Derartige Informationen sind unverzüglich an alle einzubindenden Organisationseinheiten weiterzuleiten.

BTO 1.2.3 Kreditbearbeitungskontrolle

Für die Kreditbearbeitung sind prozessabhängige Kontrollen einzurichten, die gewährleisten, dass die Vorgaben der Organisationsrichtlinien eingehalten werden. Die Kontrollen können auch im Rahmen des üblichen Vier-Augen-Prinzips erfolgen.

Insbesondere ist zu kontrollieren, ob die Kreditentscheidung entsprechend der festgelegten Kompetenzordnung erfolgte und ob vor der Valutierung die Voraussetzungen beziehungsweise Auflagen aus dem Kreditvertrag erfüllt sind.

BTO 1.2.4 Intensivbetreuung

Das Kreditinstitut hat Kriterien festzulegen, wann ein Engagement einer gesonderten Beobachtung (Intensivbetreuung) zu unterziehen ist. Die Verantwortung für die Entwicklung und Qualität dieser Kriterien sowie deren regelmäßige Überprüfung muss außerhalb des Bereichs Markt angesiedelt sein.

Die einer Intensivbetreuung unterliegenden Engagements sind nach einem festzulegenden Turnus auf ihre weitere Behandlung hin zu überprüfen (weitere Intensivbetreuung, Rückführung in die Normalbetreuung, Abgabe an die Abwicklung oder die Sanierung).

BTO 1.2.5 Behandlung von Problemkrediten

Das Kreditinstitut hat Kriterien festzulegen, die die Abgabe eines Engagements an die auf die Sanierung beziehungsweise Abwicklung spezialisierten Mitarbeiter oder Bereiche beziehungsweise deren Einschaltung regeln. Die Verantwortung für die Entwicklung und die Qualität dieser Kriterien sowie deren regelmäßige Überprüfung muss außerhalb des Bereichs Markt angesiedelt sein. Die Federführung für den Sanierungs- beziehungsweise den Abwicklungsprozess oder die Überwachung dieser Prozesse ist außerhalb des Bereichs Markt wahrzunehmen.

Sofern die Kriterien erfüllt sind, ist die Prüfung der Sanierungswürdigkeit beziehungsweise -fähigkeit des Kreditnehmers durchzuführen.

Entscheidet sich das Kreditinstitut für die Begleitung einer Sanierung, hat es sich ein Sanierungskonzept vorlegen zu lassen. Die Umsetzung des Sanierungskonzeptes sowie die Auswirkungen der Maßnahmen sind vom Kreditinstitut zu überwachen.

Die zuständigen Geschäftsleiter sind bei bedeutenden Engagements regelmäßig über den Stand der Sanierung zu informieren. Erforderlichenfalls kann bei dem Sanierungsprozess auf externe Spezialisten mit entsprechenden Kenntnissen zurückgegriffen werden.

Für den Fall der Abwicklung eines Engagements ist ein Abwicklungskonzept zu erstellen. In den Prozess der Verwertung der Sicherheiten sind Mitarbeiter oder gegebenenfalls externe Spezialisten mit entsprechenden Kenntnissen einzubeziehen.

BTO 1.2.6 Risikovorsorge

Das Kreditinstitut hat Kriterien festzulegen, auf deren Grundlage unter Beachtung der angewandten Rechnungslegungsnormen Wertberichtigungen, Abschreibungen und Rückstellungen für das Kreditgeschäft (einschließlich der Länderrisikovorsorge) zu bilden sind (z. B. ein institutsinternes Forderungsbewertungsverfahren).

Die erforderliche Risikovorsorge ist zeitnah zu ermitteln und fortzuschreiben. Ein erheblicher Risikovorsorgebedarf ist der Geschäftsleitung unverzüglich mitzuteilen.

BTO 1.3 Verfahren zur Früherkennung von Risiken

Das Verfahren zur Früherkennung von Risiken dient insbesondere der rechtzeitigen Identifizierung von Kreditnehmern, bei deren Engagements sich erhöhte Risiken abzuzeichnen beginnen. Damit soll das Kreditinstitut in die Lage versetzt werden, in einem möglichst frühen Stadium Gegenmaßnahmen einleiten zu können (z. B. Intensivbetreuung von Engagements).

Für diese Zwecke hat das Kreditinstitut auf der Basis quantitativer und qualitativer Risikomerkmale Indikatoren für eine frühzeitige Risikoidentifizierung zu entwickeln.

Das Kreditinstitut kann bestimmte, unter Risikogesichtspunkten festzulegende Arten von Kreditgeschäften oder Kreditgeschäfte unterhalb bestimmter Größenordnungen von der Anwendung des Verfahrens zur Früherkennung von Risiken ausnehmen. Die Funktion der Früherkennung von Risiken kann auch von einem Risikoklassifizierungsverfahren wahrgenommen werden, soweit es eine Früherkennung von Risiken ermöglicht.

BTO 1.4 Risikoklassifizierungsverfahren

In jedem Kreditinstitut sind aussagekräftige Risikoklassifizierungsverfahren für die erstmalige beziehungsweise die turnusmäßige oder anlassbezogene Beurteilung der Adressenausfallrisiken sowie gegebenenfalls der Objekt-/Projektrisiken einzurichten. Es sind Kriterien festzulegen, die im Rahmen der Beurteilung der Risiken eine nachvollziehbare Zuweisung in eine Risikoklasse gewährleisten.

Die Verantwortung für Entwicklung, Qualität und Überwachung der Anwendung der Risikoklassifizierungsverfahren muss außerhalb des Bereichs Markt angesiedelt sein.

Maßgebliche Indikatoren für die Bestimmung der Adressenausfallrisiken im Risikoklassifizierungsverfahren müssen neben quantitativen auch, soweit möglich, qualitative Kriterien sein. Es ist insbesondere zu berücksichtigen, inwieweit der Kreditnehmer in der Lage ist, künftig Erträge zu erwirtschaften, um den ausgereichten Kredit zurückzuführen.

Die Klassifizierungsverfahren sind in angemessener Weise in die Prozesse des Kreditgeschäfts und gegebenenfalls die Kompetenzordnung einzubinden.

BTO 2 Handelsgeschäft

Dieses Modul stellt Anforderungen an die Ausgestaltung der Aufbau- und Ablauforganisation im Handelsgeschäft.

BTO 2.1 Funktionstrennung

Maßgeblicher Grundsatz für die Ausgestaltung der Prozesse im Handelsgeschäft ist die klare aufbauorganisatorische Trennung des Bereichs Handel von den Funktionen des Risikocontrollings sowie der Abwicklung und Kontrolle bis einschließlich der Ebene der Geschäftsleitung.

Von der Trennung bis einschließlich der Ebene der Geschäftsleitung kann abge-sehen werden, wenn sich die Handelsaktivitäten in ihrer Gesamtheit auf Handelsgeschäfte konzentrieren, die unter Risikogesichtspunkten als nicht wesentlich einzustufen sind ("nicht-risikorelevante Handelsaktivitäten").

BTO 2.2 Anforderungen an die Prozesse im Handelsgeschäft

BTO 2.2.1 Handel

Bei Abschluss von Handelsgeschäften müssen die Konditionen einschließlich der Nebenabreden vollständig vereinbart werden.

Handelsgeschäfte zu nicht marktgerechten Bedingungen sind grundsätzlich unzulässig. Ausnahmen hiervon sind im Einzelfall möglich, wenn

1. sie auf Kundenwunsch erfolgen, sachlich begründet sind und die Abweichung von den marktgerechten Bedingungen aus den Geschäftsunterlagen deutlich ersichtlich ist,
    
   
2. sie aufgrund von internen Vorgaben erfolgen, die die Geschäftsarten, den Kundenkreis, den Umfang und die Ausgestaltung dieser Handelsgeschäfte festlegen,
    
   
3. die Abweichung von den marktgerechten Bedingungen gegenüber dem Kunden in der Geschäftsbestätigung offengelegt wird und
    
   
4. sie bei entsprechender Bedeutung an die Geschäftsleitung berichtet werden.

Geschäftsabschlüsse außerhalb der Geschäftsräume sind nur im Rahmen interner Vorgaben zulässig; dabei sind insbesondere die Berechtigten, der Zweck, der Umfang und die Erfassung festzulegen. Für solche Handelsgeschäfte ist vom Kontrahenten eine unverzügliche fernschriftliche Bestätigung zu verlangen. Diese Handelsgeschäfte sind vom Händler unverzüglich in geeigneter Form dem eigenen Kreditinstitut anzuzeigen, besonders zu kennzeichnen und dem zuständigen Geschäftsleiter beziehungsweise einer von ihm autorisierten Organisationseinheit zur Kenntnis zu bringen.

Die Geschäftsgespräche der Händler sollten grundsätzlich auf Tonträger aufgezeichnet werden und sind mindestens drei Monate aufzubewahren.

Handelsgeschäfte sind unverzüglich nach Geschäftsabschluss mit allen maßgeblichen Abschlussdaten zu erfassen, bei der Ermittlung der jeweiligen Position zu berücksichtigen (Fortschreibung der Bestände) und mit allen Unterlagen an die Abwicklung weiterzuleiten. Die Weiterleitung der Abschlussdaten kann auch automatisiert über ein Abwicklungssystem erfolgen.

Bei Direkterfassung in den IT-Systemen muss sichergestellt sein, dass ein Händler nur unter seiner eigenen Händleridentifikation Handelsgeschäfte eingeben kann. Erfassungstag und -uhrzeit sowie fortlaufende Geschäftsnummern müssen automatisch vorgegeben werden und dürfen vom Händler nicht veränderbar sein.

Handelsgeschäfte, die nach Erfassungsschluss der Abwicklung abgeschlossen werden (Spätgeschäfte), sind als solche zu kennzeichnen und bei den Positionen des Abschlusstages (einschließlich der Nacherfassung) zu berücksichtigen, wenn sie zu wesentlichen Veränderungen führen. Abschlussdaten und Unterlagen über Spätgeschäfte sind unverzüglich an einen Bereich außerhalb des Handels weiterzuleiten.

Vor Abschluss von Verträgen im Zusammenhang mit Handelsgeschäften, insbesondere bei Rahmenvereinbarungen, Nettingabreden und Sicherheitenbestellungen, ist durch eine vom Handel unabhängige Stelle zu prüfen, ob und inwieweit sie rechtlich durchsetzbar sind.

Organisatorisch dem Handelsbereich zugeordnete Mitarbeiter dürfen nur gemeinsam mit Mitarbeitern eines handelsunabhängigen Bereichs über Zeichnungsberechtigungen für Zahlungsverkehrskonten verfügen.

BTO 2.2.2 Abwicklung und Kontrolle

Im Rahmen der Abwicklung sind auf Basis der vom Handel erhaltenen Abschlussdaten die Geschäftsbestätigungen beziehungsweise die Abrechnungen auszufertigen sowie daran anschließende Abwicklungsaufgaben durchzuführen.

Grundsätzlich sind Handelsgeschäfte unverzüglich schriftlich oder in gleichwertiger Form zu bestätigen. Die Bestätigung muss die erforderlichen Abschlussdaten enthalten. Bei Handelsgeschäften über Makler muss der Makler benannt werden. Der unverzügliche Eingang der Gegenbestätigungen ist zu überwachen, wobei sichergestellt sein muss, dass die eingehenden Gegenbestätigungen zuerst und direkt in die Abwicklung gelangen und nicht an den Handel adressiert sind. Fehlende beziehungsweise unvollständige Gegenbestätigungen sind unverzüglich zu reklamieren, es sei denn, es handelt sich um ein Handelsgeschäft, das in allen Teilen ordnungsgemäß erfüllt ist.

Bei Handelsgeschäften, die über ein Abwicklungssystem abgerechnet werden, das einen automatischen Abgleich der maßgeblichen Abschlussdaten gewährleistet (so genanntes Matching) und Handelsgeschäfte nur bei Übereinstimmung der Daten durchführt, kann auf das Bestätigungsverfahren verzichtet werden. Sofern kein automatischer Abgleich der maßgeblichen Abschlussdaten erfolgt, kann auf das Bestätigungsverfahren verzichtet werden, wenn das Abwicklungssystem beiden Kontrahenten den jederzeitigen Abruf der Abschlussdaten ermöglicht und eine Kontrolle dieser Daten vorgenommen wird.

Die Handelsgeschäfte sind einer laufenden Kontrolle zu unterziehen. Dabei ist insbesondere zu kontrollieren, ob

1. die Geschäftsunterlagen vollständig und zeitnah vorliegen,
    
   
2. die Angaben der Händler richtig, vollständig und, soweit vorhanden, mit den Angaben auf Maklerbestätigungen, Ausdrucken aus Handelssystemen oder Ähnlichem übereinstimmen,
    
   
3. die Abschlüsse sich hinsichtlich Art und Umfang im Rahmen der festgesetzten Limite bewegen,
    
   
4. marktgerechte Bedingungen vereinbart sind und
    
   
5. Abweichungen von vorgegebenen Standards (z. B. Stammdaten, Anschaffungswege, Zahlungswege) vereinbart sind.

Änderungen und Stornierungen der Abschlussdaten oder Buchungen sind von einer Stelle außerhalb des Bereichs Handel zu kontrollieren.

Für die Kontrolle der Marktgerechtigkeit von Geschäftsabschlüssen sind geeignete Verfahren, gegebenenfalls differenziert nach Handelsgeschäftsarten, einzurichten. Der für die Marktgerechtigkeitskontrolle zuständige Geschäftsleiter ist unverzüglich zu unterrichten, wenn abweichend von BTO 2.2.1 Tz. 2 Handelsgeschäfte zu nicht marktgerechten Bedingungen abgeschlossen werden.

Unstimmigkeiten, die im Rahmen der Abwicklung und Kontrolle festgestellt wurden, sind unter der Federführung eines vom Handel unabhängigen Bereichs unverzüglich zu klären.

Die im Handel ermittelten Positionen sind regelmäßig mit den in den nachgelagerten Prozessen und Funktionen (z. B. Abwicklung, Rechnungswesen) geführten Positionen abzustimmen.

BTO 2.2.3 Abbildung im Risikocontrolling

Handelsgeschäfte einschließlich solcher Nebenabreden, die zu Positionen führen, sind unverzüglich im Risikocontrolling abzubilden.

BTR Anforderungen an die Risikosteuerungs- und controllingprozesse

Dieses Modul enthält besondere Anforderungen an die Ausgestaltung der Risikosteuerungs- und -controllingprozesse (AT 4.3.2) für

1. Adressenausfallrisiken (BTR 1),
    
   
2. Marktpreisrisiken (BTR 2),
    
   
3. Liquiditätsrisiken (BTR 3) und
    
   
4. operationelle Risiken (BTR 4).

BTR 1 Adressenausfallrisiken

Das Kreditinstitut hat durch geeignete Maßnahmen sicherzustellen, dass die Adressenausfallrisiken unter Berücksichtigung der Risikotragfähigkeit begrenzt werden können.

Ohne kreditnehmerbezogenes Limit (Kreditnehmerlimit, Kreditnehmereinheitenlimit), also einen Kreditbeschluss, darf kein Kreditgeschäft abgeschlossen werden.

Handelsgeschäfte dürfen grundsätzlich nur mit Vertragspartnern getätigt werden, für die Kontrahentenlimite eingeräumt wurden. Auf das einzelne Limit sind alle Handelsgeschäfte mit einer bestimmten Gegenpartei anzurechnen. Bei der Ermittlung der Auslastung der Kontrahentenlimite sind Wiedereindeckungsrisiken und Erfüllungsrisiken zu berücksichtigen. Die Positionsverantwortlichen sind über die für sie relevanten Limite und ihre aktuelle Ausnutzung zeitnah zu informieren.

Darüber hinaus sind bei Handelsgeschäften grundsätzlich auch Emittentenlimite einzurichten. Soweit im Bereich Handel für Emittenten noch keine Limitierungen vorliegen, können auf der Grundlage klarer Vorgaben Emittentenlimite kurzfristig zu Zwecken des Handels eingeräumt werden, ohne dass vorab der jeweils unter Risikogesichtspunkten festgelegte Bearbeitungsprozess vollständig durchlaufen werden muss. Der jeweils festgelegte Bearbeitungsprozess ist spätestens nach drei Monaten durchzuführen.

Die Geschäfte sind unverzüglich auf die kreditnehmerbezogenen Limite anzurechnen. Die Einhaltung der Limite ist zu überwachen. Limitüberschreitungen und die deswegen gegebenenfalls getroffenen Maßnahmen sind festzuhalten. Ab einer unter Risikogesichtspunkten festgelegten Höhe sind Überschreitungen von Kontrahenten- und Emittentenlimiten den zuständigen Geschäftsleitern täglich anzuzeigen.

Durch geeignete Maßnahmen ist sicherzustellen, dass wesentliche gesamtgeschäftsbezogene Risiken (z. B. Branchenrisiken, die Verteilungen der Engagements auf Größenklassen und Risikoklassen sowie gegebenenfalls Länderrisiken und sonstige Konzentrationsrisiken) gesteuert und überwacht werden können.

In regelmäßigen Abständen, mindestens aber vierteljährlich, ist ein Risikobericht, in dem die wesentlichen strukturellen Merkmale des Kreditgeschäfts enthalten sind, zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Der Risikobericht hat die folgenden Informationen zu umfassen:

1. die Entwicklung des Kreditportfolios z. B. nach Branchen, Ländern, Risikoklassen und Größenklassen oder Sicherheitenkategorien,
    
   
2. den Umfang der vergebenen Limite und externen Linien; ferner sind Großkredite und sonstige bemerkenswerte Engagements (z. B. Problemkredite von wesentlicher Bedeutung) aufzuführen und gegebenenfalls zu kommentieren,
    
   
3. gegebenenfalls eine gesonderte Darstellung der Länderrisiken,
    
   
4. bedeutende Limitüberschreitungen (einschließlich einer Begründung),
    
   
5. den Umfang und die Entwicklung des Neugeschäfts,
    
   
6. die Entwicklung der Risikovorsorge des Kreditinstituts,
    
   
7. getroffene Kreditentscheidungen von wesentlicher Bedeutung, die von den Strategien abweichen und
    
   
8. Kreditentscheidungen, die Geschäftsleiter im Rahmen ihrer Krediteinzelkompetenz beschlossen haben, soweit diese von den Voten abweichen oder wenn sie von einem Geschäftsleiter getroffen werden, der für den Bereich Marktfolge zuständig ist.

BTR 2 Marktpreisrisiken

BTR 2.1 Allgemeine Anforderungen

Auf der Grundlage der Risikotragfähigkeit ist ein System von Limiten zur Begrenzung der Marktpreisrisiken einzurichten.

Ohne Marktpreisrisikolimit darf kein mit Marktpreisrisiken behaftetes Geschäft abgeschlossen werden.

Die Verfahren zur Beurteilung der Marktpreisrisiken sind regelmäßig zu überprüfen.

Die im Rechnungswesen und Risikocontrolling ermittelten Ergebnisse sind regelmäßig zu plausibilisieren.

In regelmäßigen Abständen, mindestens aber vierteljährlich, ist ein Risikobericht über die vom Kreditinstitut eingegangenen Marktpreisrisiken zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Der Bericht hat folgende Informationen zu umfassen:

1. einen Überblick über die Risiko- und Ergebnisentwicklung der mit Marktpreisrisiken behafteten Positionen,
    
   
2. bedeutende Limitüberschreitungen und
    
   
3. Änderungen der wesentlichen Annahmen oder Parameter, die den Verfahren zur Beurteilung der Marktpreisrisiken zu Grunde liegen.

BTR 2.2 Marktpreisrisiken des Handelsbuches

Es ist sicherzustellen, dass die mit Marktpreisrisiken behafteten Geschäfte des Handelsbuches unverzüglich auf die einschlägigen Limite angerechnet werden und der Positionsverantwortliche über die für ihn relevanten Limite und ihre aktuelle Ausnutzung zeitnah informiert ist. Bei Limitüberschreitungen sind geeignete Maßnahmen zu treffen; gegebenenfalls ist ein Eskalationsverfahren einzuleiten.

Die mit Marktpreisrisiken behafteten Positionen des Handelsbuches sind täglich zu bewerten.

Es ist täglich ein Ergebnis für das Handelsbuch zu ermitteln. Die bestehenden Risikopositionen sind mindestens einmal täglich zum Geschäftsschluss zu Gesamtrisikopositionen zusammenzufassen. Die Gesamtrisikopositionen, Ergebnisse und Limitauslastungen sind zeitnah am nächsten Geschäftstag dem für das Risikocontrolling zuständigen Geschäftsleiter zu berichten. Die Meldung ist mit den Handelsbereichen abzustimmen.

Die modellmäßig ermittelten Risikowerte sind fortlaufend mit der tatsächlichen Entwicklung zu vergleichen.

BTR 2.3 Marktpreisrisiken des Anlagebuches (einschließlich Zinsänderungsrisiken)

Die mit Marktpreisrisiken behafteten Positionen des Anlagebuches sind mindestens vierteljährlich zu bewerten.

Ebenfalls mindestens vierteljährlich ist ein Ergebnis für das Anlagebuch zu ermitteln.

Durch geeignete Maßnahmen ist sicherzustellen, dass Limitüberschreitungen aufgrund zwischenzeitlicher Veränderungen der Risikopositionen vermieden werden können.

Abhängig von Art, Umfang, Komplexität und Risikogehalt der Positionen im Anlagebuch kann auch eine tägliche, wöchentliche oder monatliche Bewertung, Ergebnisermittlung und Kommunikation der Risiken erforderlich sein.

Die Verfahren zur Beurteilung der Zinsänderungsrisiken des Anlagebuches müssen die wesentlichen Ausprägungen der Zinsänderungsrisiken erfassen.

Bei der Bestimmung der Zinsänderungsrisiken kann entweder auf die Auswirkungen von Zinsänderungen auf das handelsrechtliche Ergebnis des Kreditinstituts oder die Markt- beziehungsweise Barwerte der betroffenen Positionen abgestellt werden. Bei einer Bestimmung über die Auswirkungen auf das handelsrechtliche Ergebnis ist eine angemessene Betrachtung über den Bilanzstichtag hinaus erforderlich.

Hinsichtlich der Berücksichtigung von Positionen mit unbestimmter Kapital- oder Zinsbindung sind geeignete Annahmen festzulegen.

Kreditinstitute, die wesentliche Zinsänderungsrisiken in verschiedenen Währungen eingegangen sind, müssen die Zinsänderungsrisiken in jeder dieser Währungen ermitteln.

BTR 3 Liquiditätsrisiken

Das Kreditinstitut hat sicherzustellen, dass es seine Zahlungsverpflichtungen jederzeit erfüllen kann. Dabei ist eine ausreichende Diversifikation, vor allem im Hinblick auf die Vermögens- und Kapitalstruktur, zu gewährleisten.

Das Kreditinstitut hat für einen geeigneten Zeitraum eine Liquiditätsübersicht zu erstellen, in der die erwarteten Mittelzuflüsse den erwarteten Mittelabflüssen gegenübergestellt werden. Die Annahmen, die den erwarteten Mittelzuflüssen und -abflüssen zu Grunde liegen, sind festzulegen. Bei der Erstellung der Liquiditätsübersicht sind regelmäßig angemessene Szenariobetrachtungen anzustellen.

Es ist laufend zu überprüfen, inwieweit das Kreditinstitut in der Lage ist, einen auftretenden Liquiditätsbedarf zu decken. Dabei ist insbesondere auf den Liquiditätsgrad der Vermögenswerte abzustellen.

Das Kreditinstitut muss darlegen, welche Maßnahmen im Fall eines Liquiditätsengpasses ergriffen werden sollen. Dazu gehört die Darstellung der zur Verfügung stehenden Liquiditätsquellen unter Berücksichtigung etwaiger Mindererlöse. Die im Fall eines Liquiditätsengpasses zu verwendenden Kommunikationswege sind festzulegen.

Der Geschäftsleitung ist regelmäßig über die Liquiditätssituation Bericht zu erstatten.

BTR 4 Operationelle Risiken

Das Kreditinstitut hat den operationellen Risiken durch angemessene Maßnahmen Rechnung zu tragen.

Es muss gewährleistet sein, dass wesentliche operationelle Risiken zumindest jährlich identifiziert und beurteilt werden.

Bedeutende Schadensfälle sind unverzüglich hinsichtlich ihrer Ursachen zu analysieren.

Die Geschäftsleitung ist mindestens jährlich über bedeutende Schadensfälle und wesentliche operationelle Risiken zu unterrichten. Die Berichterstattung hat die Art des Schadens beziehungsweise Risikos, die Ursachen, das Ausmaß des Schadens beziehungsweise Risikos und gegebenenfalls bereits getroffene Gegenmaßnahmen zu umfassen.

Auf Basis der Berichterstattung ist zu entscheiden, ob und welche Maßnahmen zur Beseitigung der Ursachen zu treffen oder welche Risikosteuerungsmaßnahmen (z. B. Versicherungen, Ersatzverfahren, Neuausrichtung von Geschäftsaktivitäten, Katastrophenschutzmaßnahmen) zu ergreifen sind. Die Umsetzung der zu treffenden Maßnahmen ist zu überwachen.

BT 2 Besondere Anforderungen an die Ausgestaltung der Internen Revision

BT 2.1 Aufgaben der Internen Revision

Die Prüfungstätigkeit der Internen Revision hat sich auf der Grundlage eines risikoorientierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse des Kreditinstituts zu erstrecken.

Die Interne Revision sollte unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten bei wesentlichen Projekten begleitend tätig sein.

BT 2.2 Grundsätze für die Interne Revision

Die Aufgaben, Verantwortung, organisatorische Einbindung, Befugnisse sowie Berichtspflichten der Internen Revision sind unter Beachtung der nachfolgenden Grundsätze festzulegen.

BT 2.2.1 Unabhängigkeit

Die Interne Revision hat ihre Aufgaben selbständig und unabhängig wahrzunehmen. Insbesondere ist zu gewährleisten, dass sie bei der Berichterstattung und der Wertung der Prüfungsergebnisse keinen Weisungen unterworfen ist. Das Direktionsrecht der Geschäftsleitung zur Anordnung zusätzlicher Prüfungen steht der Selbständigkeit und Unabhängigkeit der Internen Revision nicht entgegen.

BT 2.2.2 Funktionstrennung

Die in der Internen Revision beschäftigten Mitarbeiter dürfen grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden. Auf keinen Fall dürfen sie Aufgaben wahrnehmen, die mit der Prüfungstätigkeit nicht im Einklang stehen. Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie im Rahmen ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten des Kreditinstituts beratend tätig sein.

Mitarbeiter, die in anderen Organisationseinheiten des Kreditinstituts beschäftigt sind, dürfen grundsätzlich nicht mit Aufgaben der Internen Revision betraut werden. Das schließt jedoch nicht aus, dass in begründeten Einzelfällen andere Mitarbeiter aufgrund ihres Spezialwissens zeitweise für die Interne Revision tätig werden.

BT 2.3 Prüfungsdurchführung

BT 2.3.1 Prüfungsplanung

Die Tätigkeit der Internen Revision muss auf einem umfassenden und jährlich fortzuschreibenden Prüfungsplan basieren. Die Prüfungsplanung hat risikoorientiert zu erfolgen. Die Aktivitäten und Prozesse des Kreditinstituts sind, auch wenn diese ausgelagert sind, in angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen. Wenn besondere Risiken bestehen, ist jährlich zu prüfen.

Die Prüfungsplanung, -methoden und -qualität sind laufend zu überprüfen und weiterzuentwickeln.

Die Prüfungsplanung sowie wesentliche Anpassungen sind von der Geschäftsleitung zu genehmigen.

BT 2.3.2 Sonderprüfungen

Es muss sichergestellt sein, dass kurzfristig notwendige Sonderprüfungen, z. B. anlässlich deutlich gewordener Mängel oder bestimmter Informationsbedürfnisse, jederzeit durchgeführt werden können.

BT 2.3.3 Prüfungspflicht bei Auslagerungen

Die Prüfungshandlungen der Internen Revision haben sich auch auf die Aktivitäten und Prozesse zu beziehen, die auf andere Unternehmen ausgelagert sind. Zu diesen Unternehmen gehören auch Auslagerungsunternehmen, die für mehr als ein Kreditinstitut Dienstleistungen im Sinne des § 25a Abs. 2 KWG erbringen (so genannte Mehrmandantendienstleister).

Im Fall der Auslagerung von Aktivitäten und Prozessen auf andere Unternehmen oder Mehrmandantendienstleister und Übernahme der Revisionstätigkeit durch den Dienstleister hat sich die Interne Revision des auslagernden Kreditinstituts von der Funktionsfähigkeit der Internen Revision des Dienstleisters regelmäßig zu überzeugen. Die maßgeblichen Prüfungsergebnisse sind an die Interne Revision des auslagernden Kreditinstituts weiterzuleiten. Bei Mehrmandantendienstleistern kann die Interne Revision durch eines oder mehrere der auslagernden Kreditinstitute im Auftrag der auslagernden Kreditinstitute wahrgenommen werden. Die Prüfungsergebnisse der Revisionen sind jeweils allen angeschlossenen Kreditinstituten mitzuteilen.

BT 2.3.4 Berichtspflicht

Über jede Prüfung muss von der Internen Revision zeitnah ein schriftlicher Bericht angefertigt und grundsätzlich den fachlich zuständigen Mitgliedern der Geschäftsleitung vorgelegt werden. Der Bericht muss insbesondere eine Darstellung des Prüfungsgegenstandes und der Prüfungsfeststellungen, gegebenenfalls einschließlich der vorgesehenen Maßnahmen, enthalten; wesentliche Mängel sind besonders herauszustellen. Dabei sind die Prüfungsergebnisse zu beurteilen. Bei schwerwiegenden Mängeln muss der Bericht unverzüglich der Geschäftsleitung vorgelegt werden.

Besteht hinsichtlich der zur Erledigung der Feststellungen zu ergreifenden Maßnahmen keine Einigkeit zwischen geprüfter Organisationseinheit und Interner Revision, so ist von der geprüften Organisationseinheit eine Stellungsnahme hierzu abzugeben.

Die Interne Revision hat zeitnah einen Gesamtbericht über die von ihr im Laufe des Geschäftsjahres durchgeführten Prüfungen zu verfassen und zeitnah der Geschäftsleitung vorzulegen. Der Gesamtbericht muss über die wesentlichen Mängel und die ergriffenen Maßnahmen informieren. Es ist ferner darzulegen, ob und inwieweit die Vorgaben des Prüfungsplans eingehalten wurden.

Ergeben sich im Rahmen der Prüfungen schwerwiegende Feststellungen gegen Geschäftsleiter, so ist der Geschäftsleitung unverzüglich Bericht zu erstatten. Diese hat unverzüglich den Vorsitzenden des Aufsichtsorgans sowie die Aufsichtsinstitutionen (Bundesanstalt für Finanzdienstleistungsaufsicht, Deutsche Bundesbank) zu informieren. Kommt die Geschäftsleitung ihrer Berichtspflicht nicht nach oder beschließt sie keine sachgerechten Maßnahmen, so hat die Interne Revision den Vorsitzenden des Aufsichtsorgans zu unterrichten.

Die Geschäftsleitung hat das Aufsichtsorgan mindestens einmal jährlich über die von der Internen Revision festgestellten schwerwiegenden sowie über die noch nicht behobenen wesentlichen Mängel in inhaltlich prägnanter Form zu unterrichten. Die aufgedeckten schwerwiegenden Mängel, die beschlossenen Maßnahmen zu deren Behebung sowie die Umsetzung der Maßnahmen sind dabei besonders hervorzuheben. Über besonders schwerwiegende Mängel ist das Aufsichtsorgan unverzüglich durch die Geschäftsleitung in Kenntnis zu setzen.

BT 2.3.5 Reaktion auf festgestellte Mängel

Die Interne Revision hat die fristgerechte Beseitigung der bei der Prüfung festgestellten Mängel in geeigneter Form zu überwachen. Gegebenenfalls ist hierzu eine Nachschauprüfung anzusetzen.

Werden die wesentlichen Mängel nicht in einer angemessenen Zeit beseitigt, so hat der Leiter der Internen Revision darüber zunächst den fachlich zuständigen Geschäftsleiter schriftlich zu informieren. Erfolgt die Mängelbeseitigung nicht, so ist die Geschäftsleitung spätestens im Rahmen des nächsten Gesamtberichts schriftlich über die noch nicht beseitigten Mängel zu unterrichten.

BT 2.3.6 Dokumentation und Aufbewahrung der Revisionsunterlagen

Die Prüfungen sind durch Arbeitsunterlagen zu dokumentieren. Aus ihnen müssen die durchgeführten Arbeiten sowie die festgestellten Mängel und Schlussfolgerungen für sachkundige Dritte nachvollziehbar hervorgehen.

Revisionsberichte und Arbeitsunterlagen sind sechs Jahre aufzubewahren.

BT 2.4 Auslagerung der Internen Revision

Die Aufgaben der Internen Revision sind in der Regel von Mitarbeitern wahrzunehmen. Eine Übertragung auf externe Personen kommt für einzelne Tätigkeiten der Internen Revision, soweit dies unter Risikogesichtspunkten vertretbar ist, in Betracht.

Bei Kreditinstituten, bei denen aus Gründen der Betriebsgröße die Einrichtung einer Revisionseinheit unverhältnismäßig ist, können die Aufgaben der Internen Revision von einem Geschäftsleiter erfüllt oder vollständig auf externe Personen (z. B. Gemeinschaftseinrichtungen oder externe Prüfer) übertragen werden. Das gilt auch für Neugründungen während der ersten zwei Geschäftsjahre, wenn der Geschäftsplan einen geringen Geschäftsumfang und eine behutsame Geschäftsausweitung erkennen lässt.

Tätigkeiten der Internen Revision sind nur auf der Grundlage eines schriftlichen Prüfungsauftrages, der die Umsetzung von AT 4.4 und BT 2 gewährleistet, zu übertragen. Das Kreditinstitut hat sich davon zu überzeugen, dass die externe Person über ausreichende Kenntnisse sowie über genügend Kapazitäten verfügt, um eine ordnungsgemäße Revisionstätigkeit zu gewährleisten.

Die Geschäftsleitung hat im Fall einer vollständigen Auslagerung einen Revisionsbeauftragten zu benennen, der eine ordnungsgemäße Durchführung der Internen Revision gewährleisten muss. Der Revisionsbeauftragte kann entweder ein Geschäftsleiter oder ein Mitarbeiter mit ausreichenden Kenntnissen und der erforderlichen Unabhängigkeit sein.

Der Prüfungsplan ist gemeinsam vom Revisionsbeauftragten mit der externen Person zu erstellen. Der Revisionsbeauftragte hat, gegebenenfalls gemeinsam mit der externen Person, zudem den Gesamtbericht nach BT 2.3.4 Tz. 3 zu verfassen und nach Maßgabe von BT 2.3.5 zu prüfen, ob die festgestellten Mängel beseitigt wurden.

BT 2.5 Konzernrevision

Wenn eine Konzernrevision existiert, kann diese zur Unterstützung der Funktionsfähigkeit und Wirksamkeit der internen Kontrollverfahren in der Gruppe ergänzend zur Internen Revision des Tochterunternehmens tätig werden. Dabei kann die Konzernrevision auch die Prüfungsergebnisse der Internen Revisionen der nachgeordneten Unternehmen verwenden.

Soweit einzelne Tätigkeiten der Internen Revision ausschließlich durch die Konzernrevision wahrgenommen werden sollen, sind die Anforderungen in AT 4.4 und BT 2 entsprechend zu beachten.

Eine vollständige Auslagerung der Tätigkeit der Internen Revision auf die Konzernrevision ist unter den in BT 2.4 Tz. 2 genannten Voraussetzungen möglich, sofern die Konzernrevision der Geschäftsleitung des Mutterunternehmens unterstellt ist und sich der Sitz des Mutterunternehmens innerhalb des Europäischen Wirtschaftsraums befindet.