Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes ( KWG ) einen flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements der Institute vor. Es präzisiert ferner die Anforderungen des § 25a Abs. 3 KWG (Risikomanagement auf Gruppenebene) sowie des § 25b KWG (Auslagerung). Ein angemessenes und wirksames Risikomanagement umfasst unter Berücksichtigung der Risikotragfähigkeit insbesondere die Festlegung von Strategien sowie die Einrichtung interner Kontrollverfahren. Die internen Kontrollverfahren bestehen aus dem internen Kontrollsystem und der Internen Revision. Das interne Kontrollsystem umfasst insbesondere Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie Kommunikation der Risiken (Risikosteuerungs- und controllingprozesse) und eine Risikocontrolling-Funktion und eine Compliance-Funktion. Das Risikomanagement schafft eine Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktionen des Aufsichtsorgans und beinhaltet deshalb auch dessen angemessene Einbindung. Das Rundschreiben gibt zudem einen qualitativen Rahmen für die Umsetzung maßgeblicher Artikel der Richtlinie 2013/36/EU (Bankenrichtlinie – „CRD IV“) zur Organisation und zum Risikomanagement der Institute vor. Danach sind von den Instituten insbesondere angemessene Leitungs-, Steuerungs- und Kontrollprozesse („Robust Governance Arrangements“), wirksame Verfahren zur Ermittlung, Steuerung, Überwachung und Kommunikation tatsächlicher oder potenzieller Risiken sowie angemessene interne Kontrollmechanismen einzurichten. Ferner müssen sie über wirksame und umfassende Verfahren und Methoden verfügen, die gewährleisten, dass genügend internes Kapital zur Abdeckung aller wesentlichen Risiken vorhanden ist (Interner Prozess zur Sicherstellung der Risikotragfähigkeit - „Internal Capital Adequacy Assessment Process“). Die Angemessenheit und Wirksamkeit dieser Verfahren, Methoden und Prozesse sind von der Aufsicht gemäß Art. 97 der Bankenrichtlinie im Rahmen des bankaufsichtlichen Überwachungsprozesses regelmäßig zu beurteilen („Supervisory Review and Evaluation Process“). Das Rundschreiben ist daher unter Berücksichtigung des Prinzips der doppelten Proportionalität der Regelungsrahmen für die qualitative Auf-sicht in Deutschland. Im Hinblick auf die Methoden zur Berechnung der aufsichts-rechtlich erforderlichen Eigenmittel der Bankenrichtlinie sind die Anforderungen des Rundschreibens insofern neutral konzipiert, als sie unabhängig von der gewählten Methode eingehalten werden können. Durch das Rundschreiben wird zudem über § 80 Abs. 1 des Gesetzes über den Wertpapierhandel ( WpHG ) in Verbindung mit § 25a Abs. 1 KWG Art. 16 der Richtlinie 2014/65/EU (Finanzmarktrichtlinie) umgesetzt, soweit diese auf Kreditinstitute und Finanzdienstleistungsinstitute gleichermaßen Anwendung findet. Dies betrifft die allgemeinen organisatorischen Anforderungen gemäß Art. 5, die Anforderungen an das Risikomanagement und die Interne Revision gemäß Art. 7 und 8, die Anforderungen zur Geschäftsleiterverantwortung gemäß Art. 9 sowie an Auslagerungen gemäß Art. 13 und 14 der Richtlinie 2006/73/EG (Durchführungsrichtlinie zur Finanzmarktrichtlinie). Diese Anforderungen dienen der Verwirklichung des Ziels der Finanzmarktrichtlinie, die Finanzmärkte in der Europäischen Union im Interesse des grenzüberschreitenden Finanzdienstleistungsverkehrs und einheitlicher Grundlagen für den Anlegerschutz zu harmonisieren. Die Anforderungen des Rundschreibens beziehen sich auf das Management der für das Institut wesentlichen Risiken. Zur Beurteilung der Wesentlichkeit hat sich die Geschäftsleitung regelmäßig und anlassbezogen im Rahmen einer Risikoinventur einen Überblick über die Risiken des Instituts zu verschaffen, wobei die Auswirkungen von ESG -Risiken angemessen und explizit einzubeziehen sind (Gesamtrisikoprofil). Die Risiken sind auf der Ebene des gesamten Instituts zu erfassen, unabhängig davon, in welcher Organisationseinheit die Risiken verursacht wurden. Grundsätzlich sind zumindest die folgenden Risiken als wesentlich einzustufen: a) Adressenausfallrisiken (einschließlich Länderrisiken), b) Marktpreisrisiken, c) Liquiditätsrisiken und d) operationelle Risiken. Mit wesentlichen Risiken verbundene Risikokonzentrationen sind zu berücksichtigen. Für Risiken, die als nicht wesentlich eingestuft werden, sind angemessene Vorkehrungen zu treffen. Handelsgeschäfte sind grundsätzlich alle Abschlüsse, die ein Finanzinstrument im Sinne des § 1 Abs. 11 KWG in Form eines zur Grundlage haben und die im eigenen Namen und für eigene Rechnung abgeschlossen werden. Als Wertpapiergeschäfte gelten auch Geschäfte mit Namensschuld-verschreibungen sowie die Wertpapierleihe, nicht aber die Erstausgabe von Wertpapieren. Handelsgeschäfte sind auch, ungeachtet des Geschäftsgegenstandes, Vereinbarungen von Rückgabe- oder Rücknahmeverpflichtungen sowie Pensionsgeschäfte. Immobiliengeschäfte im Sinne dieses Rundschreibens sind auf eigene Rechnung eines Instituts betriebene Geschäfte mit Immobilien, bei denen eine der folgenden Absichten verfolgt wird: a) Immobilienerwerb oder -errichtung zur Ertragsgenerierung durch Vermietung/Verpachtung, b) Immobilienerwerb oder -errichtung zur Weiterveräußerung ( z. B. Bauträgergeschäft) c) Bestandsimmobilien zur Ertragsgenerierung durch Vermietung/Verpachtung oder Weiterveräußerung Neben den direkten Immobiliengeschäften gelten auch auf eigene Rechnung betriebene Immobiliengeschäfte von Tochterunternehmen des Instituts i.S.v. § 290 HGB als Immobiliengeschäft des Instituts, sofern die Vermögensgegenstände des Tochterunternehmens ausschließlich oder überwiegend aus Immobiliengeschäften oder Beteiligungen an Immobiliengeschäften stammen. Den Tochterunternehmen sind insoweit Unternehmen gleichgestellt, auf die Institute gemeinschaftlich einen beherrschenden Einfluss ausüben können. Immobiliengeschäfte, die überwiegend dem eigenen Geschäftsbetrieb dienen, gelten nicht als Immobiliengeschäfte im Sinne dieses Rundschreibens. Auf der Grundlage des Gesamtrisikoprofils ist sicherzustellen, dass die wesentlichen Risiken des Instituts durch das Risikodeckungspotenzial, unter Berücksichtigung von Risikokonzentrationen, laufend abgedeckt sind und damit die Risikotragfähigkeit gegeben ist. Die Auswirkungen von ESG -Risiken i.S. von AT 2.2 Tz. 1 sind angemessen und explizit zu berücksichtigen. In jedem Institut sind entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten Das Institut hat angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die eine der wesentlichen Risiken und explizit der Auswirkungen von ESG -Risiken und damit verbundener Risikokonzentrationen gewährleisten. Diese Prozesse sind in eine gemeinsame Ertrags- und Risikosteuerung („Gesamtbanksteuerung“) einzubinden. Durch geeignete Maßnahmen ist zu gewährleisten, dass die Risiken und die damit verbundenen Risikokonzentrationen unter Berücksichtigung der Risikotragfähigkeit und des Risikoappetits wirksam begrenzt und überwacht werden. Die Risikocontrolling-Funktion hat insbesondere die folgenden Aufgaben: Die Organisationsrichtlinien haben vor allem Folgendes zu beinhalten: Die Organisationsrichtlinien haben auch Regelungen zur Berücksichtigung der Aus-wirkungen von ESG -Risiken zu beinhalten. Das Institut muss anhand einer Risikoanalyse bewerten, welche Risiken mit einer Aus-lagerung verbunden sind. Ausgehend von dieser Risikoanalyse ist eigenverantwortlich festzulegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen). Diese ist auf der Grund-lage von institutsweit bzw. gruppenweit einheitlichen Rahmenvorgaben sowohl regelmäßig als auch anlassbezogen durchzuführen. Die Ergebnisse der Risikoanalyse sind in der Auslagerungs- und Risikosteuerung zu beachten. Die maßgeblichen Organisationseinheiten sind bei der Erstellung der Risikoanalyse einzubeziehen. Im Rahmen ihrer Aufgaben ist auch die Interne Revision zu beteiligen. Bei wesentlichen Auslagerungen ist im in Textform dokumentierten Auslagerungsvertrag insbesondere Folgendes zu vereinbaren: Jedes Institut, das Auslagerungen vornimmt, hat einen zentralen Auslagerungsbeauftragten im Institut selbst einzurichten. Zusätzlich hat das Institut abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten ein zentrales Auslagerungsmanagement zur Unterstützung des zentralen Auslagerungsbeauftragten einzurichten. Zu den Aufgaben zählen insbesondere: Im Hinblick auf Gruppen gemäß AT 4.5 oder Finanzverbünde ergeben sich die folgenden Erleichterungen: Für die Zwecke des Rundschreibens werden folgende Bereiche unterschieden: der Bereich Handel. Darüber hinaus werden folgende Funktionen unterschieden: Im Hinblick auf die Forbearance-Maßnahmen hat eine Richtlinie implementiert zu sein, die mindestens folgende Punkte beinhaltet: Prozess und Messgrößen für die Überwachung der Wirksamkeit. Die Richtlinie ist regelmäßig vom Institut zu überprüfen. Von der Trennung bis einschließlich der Ebene der Geschäftsleitung kann abgesehen werden, wenn sich die Handelsaktivitäten in ihrer Gesamtheit auf Handelsgeschäfte konzentrieren, die unter Risikogesichtspunkten als nicht wesentlich einzustufen sind („nicht-risikorelevante Handelsaktivitäten“). Handelsgeschäfte zu nicht marktgerechten Bedingungen sind grundsätzlich unzuläs-sig. Ausnahmen hiervon sind im Einzelfall möglich, wenn Die Handelsgeschäfte sind einer laufenden Kontrolle zu unterziehen. Dabei ist insbesondere zu kontrollieren, ob Änderungen und Stornierungen der Abschlussdaten oder Buchungen sind außerhalb des Bereichs Handel zu kontrollieren. Dieses Modul enthält unter Berücksichtigung von Risikokonzentrationen besondere Anforderungen an die Ausgestaltung der Risikosteuerungs- und -controllingprozesse ( AT 4.3.2) für Dabei sind die Auswirkungen von ESG -Risiken angemessen zu berücksichtigen. Handelsgeschäfte dürfen grundsätzlich nur mit Vertragspartnern getätigt werden, für die Kontrahentenlimite eingeräumt wurden. Auf das einzelne Limit sind alle Handelsgeschäfte mit einer bestimmten Gegenpartei anzurechnen. Bei der Ermittlung der Auslastung der Kontrahentenlimite sind Wiedereindeckungsrisiken und Erfüllungsrisiken zu berücksichtigen. Die Positionsverantwortlichen sind über die für sie relevanten Limite und ihre aktuelle Ausnutzung zeitnah zu informieren. Das Institut hat eine angemessene Erfassung der Erlöse aus der Abwicklung von Kreditengagements sowie der zugehörigen historischen Werte der Kreditsicherheiten in einer Erlösquotensammlung zu gewährleisten. Die Erkenntnisse aus der Erlösquotensammlung sind bei der Steuerung der Adressenausfallrisiken angemessen zu berücksichtigen. Das Institut hat Stressszenarien zu betrachten, nach denen auch die Liquiditätspuffer gemäß Tz. 1 zu bemessen sind. Im Rahmen der Stresstests sind zum einen Stressszenarien zu betrachten, die auf institutseigenen Ursachen beruhen. Zum anderen sind getrennt davon Stressszenarien zu betrachten, die auf marktweite Ursachen zurückzuführen sind. Darüber hinaus sind beide Aspekte kombiniert zu betrachten. Ein Szenario, das auf institutseigenen Ursachen beruht, hat auch eine signifikante Ratingverschlechterung abzubilden, bei der mindestens folgende Annahmen zu berücksichtigen sind: Ferner sind für ein Szenario, das auf marktweiten Ursachen beruht, folgende Annahmen zu berücksichtigen: Werden die wesentlichen Mängel nicht in einer angemessenen Zeit beseitigt, so hat der Leiter der Internen Revision darüber zunächst den fachlich zuständigen Geschäftsleiter schriftlich zu informieren. Erfolgt die Mängelbeseitigung nicht, so ist die Geschäftsleitung spätestens im Rahmen des nächsten Gesamtberichts schriftlich über die noch nicht beseitigten Mängel zu unterrichten. In regelmäßigen Abständen, mindestens aber vierteljährlich, ist ein Risikobericht über die Adressenausfallrisiken, in dem die wesentlichen strukturellen Merkmale des Kreditgeschäfts enthalten sind, zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Der Risikobericht hat die folgenden Informationen zu umfassen: In regelmäßigen Abständen, mindestens aber vierteljährlich, ist ein Risikobericht über die vom Institut insgesamt eingegangenen Marktpreisrisiken einschließlich der Zinsänderungsrisiken zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Der Bericht hat unter Einbeziehung der internen Handelsgeschäfte folgende Informationen zu umfassen: