Vorgangssteuerung und Kontrollrahmen nach SREP

Claaßen, Michael, Bereichsleiter Interne Revision, Volksbank Marl-Recklinghausen eG

Grundsätzlich kann eine Prüfung einen Sachverhalt, z. B. die Erfüllung einer aufsichtsrechtlichen Obliegenheit auf Basis der Beurteilung einzelner Anforderungen oder einen Kundenprozess, der diese aufsichtsrechtlichen Obliegenheiten beinhaltet, betreffen. Die Beurteilung des Kontrollkonzeptes stellt innerhalb einer Prozessprüfung eine wesentliche Prüfungsaktivität dar. Dabei wird das generelle System der Kontrollen als risikomanagementgestaltende Aktivität für den definierten Prozess (im Rahmen der Aufbauprüfung) als auch die gelebte Kontrolle (z. B. Aufgabenträger, Verzweigen, Entscheidungen im Prozess) bei der Beurteilung der Prozesskette geprüft. Zusätzlich werden die Schnittstellen innerhalb des Prozesses zu weiteren Prozessen, z. B. im Rahmen des 4-Augen-Prinzipes (Trennung Markt und Marktfolge) sowie zu weiteren Steuerungsprozessen (z. B. Notfallmanagement) betrachtet. Durch die Einbindung der Schnittstellen wird die Prüfungstiefe erhöht.

Grundlagen

Die Beurteilung der Wirksamkeit eines Kontrollrahmens stellt eine wesentliche Prüfungsaufgabe dar. Innerhalb der SRP-Leitlinie 2018 werden unter dem Punkt 5.6.1 die wesentlichen Kriterien zum Kontrollrahmen dargestellt. Hierzu gehören u. a. nachfolgende Kriterien:

  • Definierte interne Kontrollrichtlinien mit einem Kontrollrahmen
  • Klarer Entscheidungsfindungsprozess für die Kontrollen mit aufbauorganisatorischer Zuständigkeit für die Umsetzung der Kontrollen
  • Beachtung von möglichen Interessenskonflikten in Bezug auf miteinander in Konflikt stehende Tätigkeiten.

Kontrollrahmen und Prozesse

Innerhalb der genossenschaftlichen Bankengruppe werden derzeit die Banken, die in der Vergangenheit das Kernbankverfahren bank21 genutzt haben, auf das neue Kernbankverfahren agree21 migriert. Das neue Kernbankverfahren führt u. a. zur Implementierung neuer Kundenprozesse.

SEMINARTIPPS

IKS-Prüfungen durch die Aufsicht, 06.11.2019, Hamburg.

IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen, 20.11.2019, Berlin.

Zwingender Einbezug der SREP-Anforderungen in die Revisionsarbeit, 21.11.2019, Berlin.

Eine der wesentlichen Stärken des neuen Systems stellt der softwarebasierte Workflow von Prozessen unter agree21 dar. Für die einzelnen Geschäftsaktivitäten können Vorgangsvorlagen genutzt werden. Es können Vorgänge selber gebaut oder Mustervorlagen genutzt werden. Diese sind Prüfungsgegenstand der Internen Revision. Entsprechendes Know-how zum Prozessmanagement und zur „agree21 Vorgangssteuerung“ ist in der Internen Revision zwingend notwendig. Die Vorgänge können dabei einfache sowie komplexe Prozesse betreffen. Diese können diverse Verzweigungen und verschiedene Aufgabenträger und somit Verantwortungsbereiche umfassen. Dadurch können im Rahmen der Prüfung auch Schnittstellen mit geprüft und eine höhere Prüfungsdichte erzielt werden, die ansonsten bei einer funktionalen Prüfung erst bei einer anderen Prüfung Gegenstand wären.

Die Prüfung der implementierten Vorgänge stellt somit eine wesentliche Aufgabe der Internen Revision dar. Die im Vorgang implementierten Kontrollstrukturen sind dabei zu berücksichtigen.

Unter Berücksichtigung der unter 5.6.1 in der SREP-Leitlinie dargestellten Obliegenheiten sind dies in Bezug auf einen Vorgang u. a. nachstehende Sachverhalte.

  • Aufsichtsrechtliche Funktionstrennungen können implementiert und miteinander nicht vereinbare Tätigkeiten getrennt werden.
  • Der Vorgang kann automatische und manuelle Kontrollen vorgeben.
  • Alle im Prozess betroffenen Bereiche werden eingebunden.
  • Interessenskonflikte können durch Vorgaben im Workflow vermieden werden.
  • Über Schnittstellen können weitere notwendige Kontrollen angestoßen werden.

Fazit

Mit einer softwarebasierten Vorgangsssteuerung kann ein angemessener Kontrollrahmen im Rahmen einer Vielzahl von Geschäftsprozessen vorgegeben werden. Die Interne Revison muss entsprechendes Know-how erwerben und kann dadurch den Kontrollrahmen und das Risikomanagement des Prüffeldes umfassend prüfen.

PRAXISTIPPS

  • Angemessene Prozesse mit einem wirksamen Kontrollrahmen können in einer Vielzahl von Geschäftaktivitäten durch eine softwarebasierte Vorgangssteuerung implementiert werden.
  • Achten Sie auf Standardisierung. Der Mitarbeiter darf ausschließlich nur diesen Prozess nutzen.
  • Erwerben Sie umfassendes Know-how, das Sie befähigt, diese Prozessketten, Kontrollen und Funktionstrennungen mit den gesetzlichen, aufsichtsrechtlichen und internen Anforderungen abzugleichen.

Beitragsnummer: 77425

Ausreißererkennung im Data Mining



Ausreißer in Datensätzen mit Hilfe von Techniken und Algorithmen aus dem Data Mining einfach identifizieren.

Holger Fullriede, Spezialist, Revision Models, NORD/LB Norddeutsche Landesbank.

I. Einleitung

Im Zuge der fortschreitenden Digitalisierung fallen immer größeren Datenmengen an. Traditionelle, stichprobenbasierte Prüfungstechniken stoßen dabei an ihre Grenzen. Zudem sind Methoden des maschinellen Lernens als Teil des Hypes um die Künstliche Intelligenz in aller Munde. Die Möglichkeit, einfach Erkenntnisse aus der Analyse großer Datenmengen zu gewinnen, scheint in greifbare Nähe gerückt. Es stellt sich die Frage, wie in der Internen Revision ein einfacher, kostengünstiger Einstieg in diese Techniken gelingen kann und was dabei zu beachten ist.

Für den Einstieg in die Datenanalyse eignen sich z. B. Methoden des Data Mining. Unter Data Mining versteht man die Entdeckung unbekannter Muster in bekannten Daten. Dabei sollen die Muster interessant sein, was an den Kriterien Neuheit, Allgemeingültigkeit, Nichttrivialität, Nützlichkeit sowie Verständlichkeit gemessen wird. Üblicherweise ist das Data Mining in einen vollständigen Prozess mit vorheriger Datenselektion, Datenvorverarbeitung und Datentransformation, sowie anschließender Interpretation der Ergebnisse eingebettet, welcher auch als Wissensgewinnung in Datenbanken („Knowledge Discovery in Databases“) bezeichnet wird[1].

Ein Teilgebiet des Data Mining beschäftigt sich mit der Erkennung von Ausreißern ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Vergütungscompliance



Die Rolle der Compliance-Funktion nach MaRisk und MaComp in den Vergütungssystemen nach KWG/WpHG.

Hendrik Schwedewsky, Senior Referent Compliance, IKB Deutsche Industriebank AG[1].

I. Einleitung

Im vorliegenden Beitrag werden potentielle Aufgaben der Compliance-Funktion nach MaRisk und der Compliance-Funktion nach Art. 22 DelVO 2017/565[2] dargestellt. Zunächst wird auf die wesentlichen rechtlichen Grundlagen eingegangen. Anschließend werden die Notwendigkeit des institutsinternen fachlichen Austausches dargestellt sowie potentielle Tätigkeiten, jeweils der Compliance-Funktion nach MaRisk und der Compliance-Funktion nach MaComp, auf Basis der InstitutsVergV bzw. der DelVO 2017/565 beschrieben.

II. Rechtliche Grundlagen

Die allgemeinen Anforderungen jeweils zur Compliance-Funktion nach MaRisk und Compliance-Funktion nach MaComp sind in AT 4.4.2 MaRisk[3] bzw. Art. 22 DelVO 2017/565 sowie BT 1 MaComp[4] geregelt. Im Hinblick auf die Vergütungssysteme ergeben sich die Aufgaben der Compliance-Funktionen im Wesentlichen aus der InstitutsVergV, DelVO 2017/565 sowie den MaComp[5]. Für die Auslegung der genannten Anforderungen können die unterschiedlichen Schutzzwecke zugrunde gelegt werden. MiFID II[6] und die konkretisierende DelVO 2017/565 zielen vorrangig auf den Kundenschutz (z. B. Anlegerschutz) bei der Erbringung von Wertpapier(neben)dienstleistungen[7]. Die InstitutsVergV dient hingegen vorrangig dem Schutz des Instituts[8]. Mit der nationalen ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Das Tool-Set der WpHG-Compliance-Funktion im Fokus der Internen Revision



Effektive Verzahnung von Risikoanalyse, Überwachungsplan und Überwachungshandlungen.

Ralf Barsch, FCH Consult GmbH, Geschäftsführer, CIA und Prüfer für Interne Revisionssysteme sowie WpHG-Compliance-Beauftragter.

I. Einheitliches Risikoverständnis und Risikobewertung als Basis erfolgreicher Compliance-Arbeit

Ein einheitliches Risikoverständnis – aller Kontrollebenen in einem Institut – erleichtert nicht nur die Arbeit der Betroffenen, sondern ist eine wesentliche Voraussetzung zur Homogenisierung unterschiedlicher Risikoparamenter und damit einher gehender Bewertungen. Umso erstaunlicher ist es, dass dieser Punkt in der Praxis vieler Institute teilweise nicht die Aufmerksamkeit und letztendlich die Umsetzung erfährt, die seitens der Aufsicht immer wieder eingefordert wird.

Fakt ist, dass in der Praxis nach wie vor eine Vielzahl unterschiedlicher Risikoanalysen bestehen, u. a. für die Entscheidungsprozesse nach MaRisk AT 8.1 (Neu-Produkt-Prozess) und AT 8.2 (Änderungen betrieblicher Prozesse und Strukturen), Auslagerungen, Risikomodell Revision, Risikomodell Geldwäsche/sonstige strafbare Handlungen, Risikomodell MaRisk-Compliance, etc.

Die Auswirkungen sind so vielfältig wie fatal: Die Entscheider in den Unternehmen erhalten unterschiedliche Ergebnisse, es existieren unterschiedliche Schwellenwerte. In der Summe findet kein wirkliches Zusammenarbeiten statt und schließlich wird die Steuerung des Instituts durch die entsprechenden Top-Entscheider deutlich erschwert.

Die Anforderungen zur Ausgestaltung der Risikokultur im Allgemeinen Teil 3 der aktuellen MaRisk können hier i. V. ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Projekte begleiten – im Spannungsverhältnis zwischen Anspruch und Wirklichkeit



Die Begleitung von wesentlichen Projekten als Chance und Herausforderung für die Revisionsarbeit – wie kann die Innenrevision dem (selbst) gesetzten Anspruch gerecht werden?

Thomas Christoph Roth, CIA CCSA, Abteilungsleiter, Innenrevision, Vertriebs- & Sonderprüfungen/Grundsatzfragen, TARGOBANK AG.

I. Einleitung

Das Berufsbild des Revisors[1] hat sich durch verschiedene Kräfte gewandelt. Das Unternehmen möchte zeitnah und präventiv über Risikoentwicklungen und -treiber informiert werden. Das Wettbewerbsumfeld in der Finanzindustrie erfordert eine schnelle und effiziente Prozessarchitektur mit attraktiven Produktlösungen in einem weitestgehend verteilten Markt. Die Aufsichtsbehörden und der Gesetzgeber bilden ein Netz aus Regeln, Verlautbarungen, konkretisierenden Verwaltungsvorschriften und Empfehlungen, die das Wissen der Innenrevision als eine Stütze eines aktiven und wirksamen Risikomanagements ansehen.

Insoweit ist es naheliegend, die Tätigkeit einer Innenrevision auf die Begleitung von Projekten zu fokussieren, so geschehen mit BT 2.1 Tz. 2 der Mindestanforderungen an das Risikomanagement (MaRisk). Die Innenrevision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenskonflikten bei wesentlichen Projekten begleitend tätig zu sein.

Aber wie stellt es sich dar, wenn der Revisor außerhalb seiner Prüfroutine vorausschauend wesentliche Projekte begleitet und kein fertiges „Produkt“ vorfindet, sondern eine bewegliche Projektstruktur? Welchen Anspruch sollte die Innenrevision verfolgen, einerseits vor dem Hintergrund der ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Interne Revision und externer Abschlussprüfer

Möglichkeiten und Grenzen einer nutzenbringenden Zusammenarbeit

Katja Hampe, Fachreferentin der Geschäftsführung, Wirtschaftsprüferin, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft.

I. Vergangenheit – Gegenwart – Zukunft

Eine (wie auch immer ausgestaltete) Zusammenarbeit von Interner Revision und externem Abschlussprüfer hat für alle Seiten ganz klar das Ziel, Synergien zu heben und alle Beteiligten dabei zu unterstützen, ihre jeweiligen Zielsetzungen bestmöglich zu erreichen.

Eine solche Zusammenarbeit hat eine jahrzehntelange Tradition und spiegelt gelebte Praxis wider. Der Berufsstand der Wirtschaftsprüfer beschäftigt sich bereits seit seinem Bestehen (1931) mit dieser Thematik. Dies belegen bspw. das IDW-Fachgutachten 6/1934 „Heranziehung vorhandener Prüfungseinrichtungen des geprüften Unternehmens durch den Wirtschaftsprüfer“ sowie die gemeinsame Erklärung des IDW[1] und des DIIR[2] „Erläuterung der Grundsätze für die Zusammenarbeit der Wirtschaftsprüfer mit der Internen Revision“ aus dem Jahr 1966.

Aktuell tragen die beiden genannten berufsständischen Organisationen der Verbindung von Interner Revision und Abschlussprüfer durch Standards zur Zusammenarbeit der beiden Prüfungsinstanzen Rechnung: Das IDW legt die Auffassung des Berufsstands der Wirtschaftsprüfer in IDW PS 321 „Interne Revision und Abschlussprüfung“ dar, während sich das DIIR im DIIR-Revisionsstandard Nr. 1 „Zusammenarbeit von Interner Revision und Abschlussprüfer“ dieser Thematik widmet.

Und wenn wir einen Blick in die Zukunft wagen, dann lassen einige Faktoren bzw. Entwicklungen darauf schließen, dass sich die Zusammenarbeit zwischen Interner Revision und Abschlussprüfer weiter intensivieren wird:

  • Ausdehnung der Prüfungsinhalte sowie zunehmende Komplexität der Prüfungsaufgaben bspw. aufgrund der Internationalisierung der Wirtschaft.
  • Bedeutungsgewinn und weitere Professionalisierung der Internen Revision.
  • Zunehmende Bedeutung von Prüfungsausschüssen des Aufsichtsrats, die sowohl mit dem Abschlussprüfer als auch der Internen Revision zusammenarbeiten.
  • Vergleichsweise umfangreiche Zusammenarbeit zwischen Interner Revision und Abschluss-prüfer im Ausland (insbesondere in den USA), die eine Vorbildfunktion für das Verhältnis der Prüfungsinstanzen in Deutschland entfaltet.

Lassen Sie uns also gemeinsam herausfinden, wie eine nutzenbringende Zusammenarbeit zwischen Interner Revision und externem Abschlussprüfer aussehen kann und die Grenzen, vor allem aber die Möglichkeiten, ausloten.

II. Die Protagonisten

Zunächst aber eine Vorstellung der Protagonisten:

Kreditinstitute und auch alle anderen prüfungspflichtigen Unternehmen werden jährlich einer normierten (Jahresabschluss)Prüfung[3] unterzogen. Die entsprechenden Prüfungshandlungen sind von qualifizierten Prüfern – in der Regel durch Wirtschaftsprüfungsgesellschaften oder im Falle der Volks- und Raiffeisenbanken sowie der Sparkassen durch die zuständigen Prüfungsverbände, im Folgenden insgesamt allgemein als (externe) Abschlussprüfer bezeichnet – eigenverantwortlich durchzuführen.

Was macht nun unser erster Protagonist, der Abschlussprüfer? Klar: Er prüft den Jahresabschluss, aber viel spannender ist, wie er dabei vorgeht und was das für Sie als Interne Revision bedeutet.

Der Abschlussprüfer befasst sich eingangs seiner Prüfung mit der Geschäftstätigkeit und dem Internen Kontrollsystem[4] des von ihm zu prüfenden Unternehmens (also Ihrer Bank), um dann anschließend beurteilen zu können, ob dieses vorgefundene System angemessen ist und kontinuierlich angewendet wird. Auf Basis der getroffenen Feststellungen legt er dann den Umfang seiner Prüfungshandlungen fest. Dieser Umfang ist natürlich auch für das zu prüfenden Unternehmen nicht ganz unerheblich – Stichwort „Prüfungskosten“.

An dieser Stelle betritt der zweite Protagonist die Bühne: Die Interne Revision ist ein wesentlicher Bestandteil des Internen Kontrollsystems – und zwar ein ganz besonderer:

Denn die Interne Revision

  • … ist Teil des Internen Kontrollsystems
  • … ist Prüfer der anderen Bestandteile des Internen Kontrollsystems
  • … trägt insbesondere durch frühzeitige Einschaltung zur Organisation bei

Die Interne Revision ist für den Abschlussprüfer also einerseits „Prüfungsobjekt“ und andererseits „Zuarbeiter“/„Mitstreiter“.

III. Zusammenwirken trotz strikter Trennung – geht das?

Es gilt das Prinzip einer strikten Trennung von Abschlussprüfung und Interner Revision: Mitarbeiter der Internen Revision sind Arbeitnehmer des zu prüfenden Unternehmens und dürfen gem. § 319 Abs. 3 Satz 1 Nr. 2 HGB nicht in das Prüfungsteam des Abschlussprüfers integriert werden. Auch ist eine vollumfängliche Übernahme der Aufgaben der Internen Revision durch den Abschlussprüfer nicht zulässig.[5]

Heißt das nun, dass jegliche Zusammenarbeit per se verboten ist? Natürlich nicht!

Sie als Interne Revision sind ein wichtiges Bindeglied zwischen Abschlussprüfer und geprüftem Unternehmen. Der Abschlussprüfer kann und wird Ihre Revisionsergebnisse (angemessene Qualität natürlich vorausgesetzt) in gewissem Umfang für seine eigene Tätigkeit verwerten, wenn Sie als Interne Revision folgende Voraussetzungen[6] erfüllen:

  • freie Kommunikation mit dem Abschlussprüfer
  • objektives und weisungsfreies Agieren
  • Freistellung von operativen Tätigkeiten
  • ordnungsgemäße Planung, Durchführung, Überwachung und Dokumentation Ihrer Prüfungshandlungen
  • nachvollziehbare Dokumentation der Umsetzung bzw. Nichtumsetzung von Ihrerseits gemachten Verbesserungsvorschlägen
  • von Ihnen aufgezeigte Schwachstellen werden von der Geschäftsführung abgestellt
  • Nachweis Ihrer fachlichen Kompetenz und Erfahrung

Hier haben Sie also quasi den Anforderungskatalog des Abschlussprüfers für sein „Prüfungsobjekt Interne Revision“.

IV. Best-Case-Szenario für den Abschlussprüfer: Zusammenarbeit mit einem (nahezu) allwissenden Insider

Der Abschlussprüfer hat Anspruch auf Aufklärung und Nachweise. Dies ergibt sich bereits aus § 320 Abs. 2 HGB („Der Abschlussprüfer kann von den gesetzlichen Vertretern alle Aufklärungen und Nachweise verlangen, die für eine sorgfältige Prüfung notwendig sind“). Durch wen konkret er diese erhält, wird durch die Geschäftsleitung festgelegt. Einerseits werden die jeweiligen Ansprechpartner im Rahmen der Vollständigkeitserklärung[7] abgefragt, andererseits können diese auch Gegenstand der „Erbetenen Informationen“[8] im Allgemeinen und des jeweiligen Prüffeldes im Speziellen sein. Dass die „generelle“ Zuarbeit der externen Prüfung durch die Interne Revision und nicht durch eine andere Organisationseinheit erfolgt, ist gelebte Praxis. Für eine effektive Zusammenarbeit bedarf es seitens des Abschlussprüfers eines (nahezu) „allwissenden“ Insiders bzw. Ansprechpartners und den findet er in der Internen Revision.

Im Folgenden nehmen wir drei zentrale Aspekte dieser Zusammenarbeit unter die Lupe: vorher, während und nach der Abschlussprüfung vor Ort.

1. „Vorher“: Erstellung bzw. Vorbereitung der Erbetenen Informationen

Die korrekte und zeitnahe Erstellung bzw. Vorbereitung der Erbetenen Informationen ist für den wirtschaftlichen Auftakt/Verlauf der Prüfungshandlungen vor Ort aus Sicht des Abschlussprüfers unerlässlich. Die Praxis hat gezeigt, dass die Einbindung der Internen Revision für einen reibungslosen Ablauf der Erhebung der Erbetenen Informationen stets sinnvoll ist. Neben der geballten Zurverfügungstellung der Erbetenen Informationen für die einzelnen Bereiche umfasst dies (im Vorfeld) auch die Terminierung der Bearbeitung, die Kontrolle des Rücklaufs, die Kontrolle der Vollständigkeit sowie ggf. die Kontrolle bzw. Verplausibilisierung der Antworten und Nachweise. Hier kann es sonst zu Reibungsverlusten kommen, die durch die konsequente Einbeziehung der Internen Revision reduziert werden.

Bedenken Sie: Alles, was dem Abschlussprüfer den Prüfungsstart erschwert, verschlechtert nicht nur das Klima, sondern kostet schlicht und ergreifend die Zeit des Prüfers – und „Zeit ist Geld“.

Hier zur Abwechslung einmal eine Art „Black List“, also Punkte, die den Prüfungsstart des Abschlussprüfers erschweren können und die es tunlichst zu vermeiden gilt:

  • keine (ausreichende) Kontrolle des Rücklaufs, so dass die Erbetenen Informationen zu Beginn der Prüfungshandlungen nicht vollständig vorliegen
  • keine vollständige Bearbeitung von Fragen bzw. Zurverfügungstellung von angeforderten Nachweisen und/oder (offensichtliche) Unplausibilitäten bei den Antworten und Nachweisen, die zu vermeidbaren Rückfragen führen
  • Verweise darauf, dass die Unterlagen bei der entsprechenden Organisationseinheit selbständig anzufordern seien

2. „Während“: Die Interne Revision als (erster) Ansprechpartner für alle Belange des Abschlussprüfers

Die Ausgestaltung der Funktion als Ansprechpartner für den Abschlussprüfer kann vielfältig sein. Am unteren Ende der Skala sind Sie ausschließlich Ansprechpartner bezüglich ihrer eigenen Berichte/Protokolle bzw. Prüfungsergebnisse am oberen Ende dagegen permanent einzubeziehende Verbindungsperson zwischen Abschlussprüfer und jeweils zu prüfender Organisationseinheit (= erster Ansprechpartner). Für eine effektive Zusammenarbeit ist sicherlich letzteres hilfreich.

Hier gilt es zu bedenken: Die Tätigkeit als Ansprechpartner kostet Zeit. Deshalb sollten Sie im Rahmen der Jahresplanung der Internen Revision die für diese Aufgabe notwendigen Kapazitäten (nicht zu knapp) bemessen und sich dabei bspw. an den (durchschnittlichen) Ist-Zeiten der letzten drei bis fünf Jahre orientieren.

3. „Nachher“: Follow-Up oder „nach der Prüfung ist vor der Prüfung“

Eine weitere betriebswirtschaftlich sinnvolle Zuarbeit der Internen Revision besteht in der Nachschau/Nachprüfung der Feststellungen des Abschlussprüfers, welche im Rahmen der letzten Prüfung(en) aufgetreten waren und schriftlich kommuniziert wurden.

Für Sie als Interne Revision besteht dieses Follow-Up darin, die Abarbeitung der kommunizierten Feststellungen durch die Fachbereiche sicherzustellen. Einerseits bedarf es einer Fristsetzung der Abarbeitung und eines entsprechenden Monitorings sowie andererseits einer sachgerechten und personellen Zuweisung der Überwachung der Abarbeitung (z. B. Mängel im Bereich IT durch den IT-Revisor) sowie der anschließenden Kontrolle/Verplausibilisierung der Ergebnisse und deren Kommunikation gegenüber der Geschäftsleitung. Wichtig ist auch, die entsprechenden Ergebnisse in einem Bericht nachvollziehbar für den Abschlussprüfer (des nächsten Jahres) darzulegen.

PRÜFUNGSTIPPS

  • Klären Sie vor Prüfungsbeginn mit der Geschäftsleitung, welche Zuarbeiten durch Sie geleistet werden sollen bzw. welche durch die zu prüfenden Organisationsbereiche. Dem eigenen Mehraufwand sollten immer – zumindest gedanklich – die zusätzlichen Kosten des Abschlussprüfers gegenübergestellt werden.
  • Stimmen Sie frühzeitig mit dem Abschlussprüfer ab, was für einen betriebswirtschaftlich effektiven Start für die Prüfung zu Beginn der Prüfungshandlungen vor Ort vorzulegen ist (Stichwort: „Erbetene Informationen“).
  • Planen Sie – beruhend auf den Erfahrungen der Vorjahre – genügend Zeit für die Zuarbeit/Begleitung des Abschlussprüfers ein.
  • Tragen Sie dafür Sorge, dass die Nachschau der Feststellungen der letzten Prüfung zu Beginn der Prüfungshandlungen des Abschlussprüfers vor Ort abschließend bearbeitet ist.
  • Seien sich dessen bewusst, dass Ihre Zuarbeit die Prüfungskosten in die eine oder andere Richtung beeinflussen wird. Eine gute Zusammenarbeit wirkt sich – wie die Praxis schon vielfach gezeigt hat – positiv auf das Prüfungsklima und damit auch auf die Prüfungseffektivität auf beiden Seiten aus.
  1. Institut der Wirtschaftsprüfer in Deutschland e.V.
  2. Deutsches Institut für Interne Revision e.V.
  3. Im Wesentlichen gem. Handelsgesetzbuch; bei Kreditinstituten und Finanzdienstleistungsinstituten auch gem. Kreditwesengesetz und Prüfungsberichtsverordnung.
  4. „Unter einem Internen Kontrollsystem werden die von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidun-gen des Managements […]”, Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 261 n.F. „Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken“, Tz.19.
  5. Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 321 „Interne Revision und Abschlussprüfung“, Tz. 27 und 28.
  6. Diese Voraussetzungen sind so oder aus ihrem Kontext heraus auch Bestandteil der MaRisk.
  7. Vgl. Vollständigkeitserklärung Prüfung Jahresabschluss M1, herausgegeben vom Institut der Wirtschaftsprüfer, Düsseldorf.
  8. Erbetene Informationen werden den Mandanten rechtzeitig durch den Abschlussprüfer mit der Bitte zur Verfügung gestellt, diese bis zum Beginn der Prüfungshandlungen vor Ort vorzubereiten. Mit Hilfe der angefragten Unterlagen und den beantworteten Fragen wird dem Abschlussprüfer ein unkomplizierter Start in die Prüfungsplanung ermöglicht, ohne dass diese Informationen geballt am ersten Tag der Prüfung vor Ort erfragt bzw. angefordert werden müssen.

 

Beitragsnummer: 74946

 

Prüfung der Begründung von Auftragsverarbeitungsverhältnissen



Schutz der Betroffenenrechte bei der Verarbeitung personenbezogener Daten durch Dritte hat höchste Priorität.

Pascal Ritz, Geschäftsführer, Justo Unternehmensberatung GmbH.

I. Auftrags(daten)verarbeitung – „eigentlich“ nicht unbekannt

„Das ist ja ein toller Service. Die Firma druckt sogar die Unterlagen nach unseren Vorgaben und versendet sie dann an unsere Kunden. Was mich besonders freut, es ist keine Auslagerung. Es entfällt somit sogar der Aufwand für eine Risikoanalyse und die Dienstleistersteuerung.”

Nicht selten endet mit dieser Erkenntnis die Sachverhaltsprüfung durch die erste Verteidigungs-linie. Auch wenn es erfreulich ist, wenn ein Dienstleister genau das Ergebnis liefert, welches man von ihm erwartet. Weniger erfreulich ist allerdings, wenn die Nutzung dieser Serviceleistung die Risiken im Kreditinstitut erhöht; insbesondere durch Unkenntnis von rechtlichen Anforderungen.

Eine Sensibilität für die Erfassung von Sachverhalten gem. AT 9 der MaRisk ist in der Zwischenzeit in den Kreditinstituten spürbar. Allerdings scheint die Verarbeitung personenbezogener Daten noch eine Quelle für operationelle Risiken zu sein. Insbesondere die aus dem alten Bundesdatenschutzgesetz bekannte Auftragsdatenverarbeitung scheint eine Herausforderung dar-zustellen. Konkret geht es hier um die Verarbeitung von personenbezogenen Daten im Auftrag und auf Weisung eines Verantwortlichen. Die Verarbeitung wird hingegen durch einen Dritten durchgeführt. Die Erstellung von Druckerzeugnissen ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Nerd Alert in der Internen Revision



Welche IT-Kenntnisse benötigen Revisoren heute?

Diplom-Wirtschaftsmathematiker, Diplom-Kaufmann Thomas Gossens, CIA CISA CRISC ACDA, Abteilungsleiter Revision, Zentrale Aufgaben und Steuerung, Stadtsparkasse Düsseldorf.

I. Einleitung

1. Veränderte Risikosituation durch neue Technologien und Dienstleistungsmodelle

Digitalisierung und Agilität sind in aller Munde. Branchenübergreifend werden Chancen und Risiken, die sich aus neuen Technologien ergeben, diskutiert und geprüft. Wie die Entwicklung weiter geht, lässt sich aktuell kaum voraussagen. Eins scheint aber klar zu sein: Es wird sich viel verändern. Exemplarisch sollen diese Veränderungen kurz am Beispiel der Finanzdienstleistungsbranche verdeutlicht werden. Hier sind Blockchain-Technologie, Big Data, Künstliche Intelligenz und neue Dienstleistungsmodelle wie Cloud-Dienste die aktuellen Themen, mit denen sich Unternehmen, Dienstleister, Regulierer und Gesetzgeber intensiv beschäftigen. Blockchain-Technologie bietet die Möglichkeit, Vermögenswerte wie z. B. Geld so digital abzubilden, dass diese nicht kopier- oder manipulierbar sind und dann sicher zwischen Personen übertragen werden können. Big Data und Künstliche Intelligenz haben das Potenzial, die Finanzbranche tiefgreifend zu verändern. Eine Beobachtung der Wettbewerbssituation lässt den Schluss zu, dass viele Unternehmen vermehrt auf die Auswertung und Nutzung von Daten setzen, um ihre Geschäftsmodelle und -prozesse zu optimieren. Im Finanzsystem entstehen Produkt- und Prozessinnovationen, bestehende Wertschöpfungsprozesse wandeln sich. Neue Technologien fördern neue Dienstleistungsmodelle. Cloud-Dienste, ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

SREP-Ansätze in der Internen Revision



Michael Claaßen, Bereichsleiter, Interne Revision, Volksbank Marl-Recklinghausen eG.

I. Grundlagen

Erstmals wurde die SREP-Leitlinie am 19.12.2014 veröffentlicht. Es handelte sich seinerzeit um die „Leitlinien zu gemeinsamen Verfahren und Methoden für den aufsichtlichen Überprüfungs- und Bewertungsprozess“. SREP ist dabei die Abkürzung für die Bezeichnung „Supervisory Review and Evaluation Process (SREP)“. Die Leitlinie konkretisiert die Ansicht der EBA im Hinblick auf angemessene Aufsichtspraktiken innerhalb des Europäischen Finanzaufsichtssystems oder stellt dar, welche Anforderungen an einzelne Prozesse gestellt werden (z. B. an eine Geschäftsmodellanalyse in den Instituten).

Im vierten Quartal 2017 wurde eine überarbeitete SREP-Leitlinie zur Konsultation gestellt. Die finalen Leitlinien wurden im Juli 2018 veröffentlicht. Die SREP-Leitlinie trägt nun den Namen „Guidelines on common procedures and methodologies for the supervisory review and evaluation process (SREP) and supervisory stresstesting“. Hierzu erschien eine finale deutsche Übersetzung mit dem Titel „Überarbeitete Leitlinien zu gemeinsamen Verfahren und Methoden für den aufsichtlichen Überprüfungs- und Bewertungsprozess (Supervisory Review and Evaluation Process, SREP) sowie für die aufsichtlichen Stresstests, zur Änderung der EBA/GL/2014/13 vom 19. Dezember 2014“. Deren Umfang beträgt 88 S. und referenziert auf die Änderungen gegenüber der Leitlinie aus dem Jahr 2014. Nur mit letzterem Dokument zusammen erschließt sich der gesamte Text. Die ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Geschäftsmodellprüfung als Aufgabe der Revision?

Die Rolle der Revision in der Vorbereitung der Geschäftsmodellanalyse nach SREP.

Dr. Guido Drewes, GC&C Audit

Qualitative und quantitative Analyse des Geschäftsmodells zunehmend im Fokus der Aufsicht

Die Analyse und Bewertung des Geschäftsmodells ist Ausgangspunkt für den neuen Aufsichtsprozess (SREP – Supervisory Review and Evaluation Process). Zunächst beginnend mit den systemrelevanten Instituten, hält das von der Europäischen Bankenaufsicht umfangreich beschriebene Vorgehen zunehmend Einzug in die Prüfpraxis auch bei kleineren Instituten. Zwar ist die Analysehäufigkeit und -tiefe aufgrund des Proportionalitätsansatzes bei diesen geringer – andererseits hat die Aufsicht jedoch bereits vielfach deutliche Kritik an weit verbreiteten zinsbasierten Geschäftsmodellen geäußert, so dass der Geschäftsmodellanalyse bei den hiervon betroffenen Instituten wiederum eine höhere Bedeutung zukommt.

SEMINARTIPPS

Prüfung von Liquiditäts-/Refinanzierungsrisiken nach neuem ILAAP, 13.05.2019, Hamburg.

Gesamtbanksteuerung im Fokus von Aufsicht & Revision, 14.05.2019, Hamburg.

Prüfung & Beurteilung des Geschäftsmodells durch Aufsicht und Revision, 15.05.2019, Hamburg.

Aufsichtsgespräche 2019: Fokus Geschäftsmodell-Analyse & Risikoprofil, 05.06.2019, Köln.

Prüfung Kapitalplanungsprozess & ICAAP, 09.10.2019, Frankfurt/M.

Die Aufsicht erwartet als Basis für die Bewertung eine detaillierte Beschreibung von Strategie, Geschäftsmodell und Planung auf Geschäftsfeldebene. Das Geschäftsmodell wird dann sowohl quantitativ als auch qualitativ auf Schwachstellen und mögliche Risiken analysiert. Dazu nimmt die Aufsicht eine Bewertung interner ebenso wie externer Rahmenbedingungen vor, stellt Markt- und Wettbewerbstrends gegenüber und führt Peer-Group-Vergleiche durch. Die Analyse der bisherigen Entwicklung inklusive Plan-Ist-Abweichungen bei Annahmen und Ergebnissen macht dabei die kritischen Aspekte im Geschäftsmodell meist bereits offenkundig.

Qualität des Strategie- und Planungsprozesses als Ausgangspunkt für interne und externe Bewertung ausreichend?

Die strategische und operative Planung der Institute erfüllt im Idealfall bereits alle Anforderungen der Aufsicht: Ausgehend von der Strategie darin wird unter Berücksichtigung von Markt-, Kunden- und Wettbewerbstrends eine integrierte Planung für Kapital, Risiko, Liquidität und Erträge entwickelt, die ihrerseits mit der Ressourcen- und Kostenplanung konsistent ist und in Stress-Szenarien auf Belastbarkeit getestet wird.

In der Praxis beruht die strategische Planung vielfach auf einer Trendfortschreibung, die aufgrund strategischer oder operativer Initiativen und Vorgaben modifiziert wird. Ein kritisches In-Frage-Stellen bewährter Geschäftsmodelle und Geschäftsfelder, eine fundierte SWOT-Analyse oder eine Reflektion der bisherigen Planungs-Treffsicherheit erfolgen nicht immer im ausreichenden Maße. Dabei wäre gerade im aktuellen äußerst dynamischen Markt-, Kunden- und Technologieumfeld eine „Greenfield-Betrachtung“ oftmals sinnvoller als eine Trendfortschreibung.

Es ist daher davon auszugehen, dass nicht nur die Konsistenz der Einzelplanungen, sondern vor allem auch die Qualität der strategischen Analyse von den Prüfern kritisch beleuchtet wird.

Revision als „Advocatus Diaboli“ zu Strategie und Geschäftsmodell gefordert

Die Prüfung des Strategie- und Planungsprozesses ist standardmäßig Aufgabe der Internen Revision. Die Einhaltung des definierten Prozesses und die Konsistenz von Daten und Planungsannahmen sowie die Validität von Planungs- und Simulationsmodellen stehen im Fokus. Die inhaltliche Prüfung konzentriert sich meist eher auf die quantitative Modellierung, beginnend mit der Risikostrategie. Oftmals wird die eigentliche strategische Betrachtung ausgeklammert.

Diese Fokussierung reflektiert zutreffend die Verantwortlichkeit von Geschäftsleitung und Aufsichtsorgan für Strategie und Geschäftsmodell – die Revision hat keinen Strategieauftrag. Vielmehr liegt die Qualität der strategischen Betrachtung primär in der Verantwortung der einzelnen Geschäftsbereiche. Die Gesamtplanung wird auf Institutsebene z. B. von der Unternehmensentwicklung oder dem Vorstandsstab zusammengeführt, vom Vorstand finalisiert und dem Aufsichtsorgan vorgelegt.

Die Frage nach der Rolle der Revision ist jedoch aus zwei Gründen neu zu stellen:

  • Nachdem die Geschäftsmodellanalyse nunmehr Gegenstand der aufsichtlichen Prüfung wird, sollte dieser externen nicht auch eine interne Prüfung gegenüberstehen – schon allein, um unangenehme Überraschungen zu vermeiden?
  • Wie kann sichergestellt werden, dass Vorstand und Aufsichtsorgan bei der Erstellung bzw. Würdigung der Planung über eine qualitätsgesicherte Grundlage verfügen?

Neue Anforderungen an Revisionstätigkeit

Entwickelt sich die Revision damit vom „Hakelmacher“ zum „Sparringspartner“ der Geschäftsverantwortlichen? An dieser Stelle muss keine „Lanze“ mehr für die Revision gebrochen werden – schon längst nimmt diese auch materielle Prüfungen, wie z. B. die Wirtschaftlichkeit von Vorhaben, als Teil ihres Auftrages vor und sie benötigt für ihre Aufgaben auch heute schon ein strategisches Verständnis und eine Gesamthaus-Perspektive.

Mit ihrem Verständnis für das prüferische Vorgehen der Aufsicht ist die Revision vielmehr in der Lage, die richtigen (kritischen) Fragen zu stellen, Inkonsistenzen und Schwachstellen in der Planung aufzuzeigen und damit die Geschäftsleitung auf die Prüfung vorzubereiten, ohne dadurch eine Strategiezuständigkeit zu beanspruchen.

Gleichwohl erfährt die Revision damit eine Auftragserweiterung, für die sie unter Umständen eine Erweiterung der fachlichen Kompetenzen benötigt. Exemplarisch sei die hohe Anforderung an die kommunikative Kompetenz gegenüber Geschäftsleitung und Geschäftsfeldverantwortlichen genannt – die notwendige kritisch-konstruktive Grundhaltung wird nicht von Anfang an auf einhellige Akzeptanz stoßen. Aber eine solche Positionierung hilft nicht nur bei der übrigen Revisionstätigkeit, sondern stellt auch eine interessante Aufgabenanreicherung für die Mitarbeiter dar.

 

 

 

 

PRAXISTIPPS

  • Stellen Sie sicher, dass Geschäftsleitung und Geschäftsfeld-Verantwortliche den Inhalt und das Vorgehen des SREP kennen.
  • Machen Sie die Bedeutung und die Anforderungen an die Geschäftsmodellanalyse deutlich – bei der Geschäftsleitung und im Aufsichtsorgan.
  • Lassen Sie sich für den kritischen Blick auf die Strategie von der Geschäftsleitung ausdrücklich mandatieren.
  • Wählen Sie für kritische Aspekte eine informelle Kommunikation auf Management-Level, um Akzeptanz zu schaffen.
  • Beanspruchen Sie keine Strategiehoheit, sondern leiten Sie kritische Fragen stets aus „unsicheren“ Planungsannahmen, aus der Qualitätssicherung der Daten, aus „zu harmlosen“ Stress-Szenarien, etc. ab.

 

 

Beitragsnummer: 60343