Prüfung Neu-Produkte-Prozess & Produktkatalog

Erweiterte Prüfungsanforderungen für die Interne Revision

Thomas Maurer, Leiter Interne Revision, Münchner Bank eG

Der Ertragsdruck durch die massiv sinkenden Zinserträge und die fortschreitende Digitalisierung zwingen die Kreditinstitute dazu, ihre Geschäftsmodelle auf den Prüfstand zu stellen und im Sinne der Zukunftssicherung deutlich zu modifizieren. In diesem Zusammenhang bleibt es nicht aus, dass Geschäfte in neuen Produkten, auf neuen Märkten oder über neue Vertriebswege deutlich zunehmen werden. Vor diesem Hintergrund kommen auch auf die Interne Revision erweiterte Anforderungen hinsichtlich der Begleitung und Prüfung der entsprechenden Prozesse zu.

Aufsichtsrechtliche Anforderungen

Die Aufnahme von Geschäftsaktivitäten in neuen Produkten oder auf neuen Märkten (einschließlich neuer Vertriebswege) ist zunächst mit erhöhten Risiken behaftet. Jedes Institut muss die von ihm betriebenen Geschäftsaktivitäten verstehen (alle betroffenen Fachbereiche und Mitarbeiter). Produkte, für die die erforderlichen Kenntnisse im Unternehmen nicht vorhanden sind, dürfen nicht erworben bzw. vertrieben werden. Ein immerwährender Diskussionspunkt in den meistern Häusern ist die Frage, ob es sich überhaupt um ein neues Produkt, einen neuen Markt oder neuen Vertriebsweg handelt.

Vielleicht hilft hier die folgende Definition weiter: Neue Produkte, Märkte oder Vertriebswege sind alle Veränderungen (auch von Usancen eines bislang eingeführten Produktes), sofern die neuen Aktivitäten zu Änderungen in der Handhabung bei den beteiligten Organisationseinheiten, der IT-Ausstattung, der Qualität der Mitarbeiter, der Arbeitsabläufe, der Ausgestaltung der Risikosteuerungs- und -controllingprozesse sowie der Vertriebskanäle führen.

SEMINARTIPPS

Prüfung Neue-Produkte-Prozess (NPP) & Produktkatalog, 03.12.2019, Frankfurt/M.

Umsetzung und (Über-)Prüfung einer angemessenen Risikokultur, 16.03.2020, Frankfurt/M.

Neue MaRisk 2020, 17.03.2020, Frankfurt/M.

Neu-Produkte-Prozess (NPP), 30.03.2020, Köln.

Im Rahmen der MaRisk-Novelle 2017 wurden die aufsichtsrechtlichen Anforderungen erweitert. AT 8.1, Tz. 2 der MaRisk verlangt explizit das Vorhalten eines Produkte-Märkte-Katalogs (PMK). Hinzu kommt eine Überprüfung in angemessenem Turnus, ob die im PMK genannten Produkte noch verwendet werden. Produkte, die über einen längeren Zeitraum nicht mehr Gegenstand der Geschäftstätigkeit waren, sind zu kennzeichnen. Vor Wiederaufnahme der Geschäftstätigkeit in diesen Produkten ist die Bestätigung der in die Abläufe eingebundenen Organisationseinheiten einzuholen, dass die Prozesse noch funktionsfähig sind. Bei Veränderungen ist zu prüfen, ob der NPP erneut zu durchlaufen ist.

In AT 8.1 Tz. 8 wurde neu geregelt, dass eine anlassbezogene Überprüfung und ggf. Anpassung des NPP bei einer Häufung von Fällen erforderlich ist, in denen die in den Konzepten getroffenen Annahmen und Analysen des Risikogehalts der Aktivitäten in neuen Produkten/auf neuen Märkten im Wesentlichen unzutreffend waren, in denen die in den Konzepten und aus den Testphasen gezogenen Konsequenzen im Wesentlichen unzutreffend waren oder in denen gem. AT 8.1 Tz. 7 getroffene Einschätzungen, dass Aktivitäten in neuen Produkten oder auf neuen Märkten sachgerecht gehandhabt werden können, sich als unzutreffend erwiesen haben.

Grundsätzlicher Ablauf eines Neuproduktprozesses

Zunächst ist durch den Initiator ein Konzept zu erstellen, das die wesentlichen Aspekte des neuen Produktes und dessen Auswirkungen auf die relevanten Bereiche der Bank darstellt. Bereits in die Erstellung dieses Konzeptes sind die Compliance-Funktion und die Interne Revision einzubinden. Die häufig praktizierte Vorgehensweise, dass der Internen Revision das fertige Konzept vorgelegt wird, entspricht somit nicht den aufsichtsrechtlichen Vorgaben. Weiter ist sicherzustellen, dass das neue Produkt in Übereinstimmung mit den Strategien der Bank steht. Alle von der Neuerung betroffenen Fachbereiche sind im Hinblick auf die sachgerechte Handhabung des neuen Produktes frühzeitig einzubinden. Dabei sind sowohl die personellen als auch die sachlichen Voraussetzungen detailliert zu untersuchen. Auch die Auswirkungen auf die IT-Prozesse, das IKS, die Rechnungslegung und das Meldewesen sind zu analysieren. Vor Einführung empfiehlt sich eine Bestätigung der Fachbereiche über die ausreichende Qualifikation der Mitarbeiter und die adäquate technische Ausstattung (z. B. für Bepreisung, Risikocontrolling, Überwachung, Meldewesen, Bilanzierung und Marktinformationen). Je nach Ausprägung des neuen Produktes, Marktes oder Vertriebswegs ist zu entscheiden, ob eine Testphase erforderlich ist, innerhalb derer Geschäfte nur in überschaubarem Umfang getätigt werden.

BUCHTIPP

Handbuch Neu-Produkt-Prozess, 2018.

 

 

Prüfungsansätze für die Interne Revision

Wichtig ist ein klarer Prozess für die finale Festlegung, wann ein NPP erforderlich ist. Auch der Umgang mit Produktvarianten sollte eindeutig geregelt sein. Besondere Aufmerksamkeit sollte herrschen, wenn wiederholt ein hoher Zeitdruck beim Durchlauf des NPP festgestellt wird. Auch vorweggenommene Entscheidungen des Vorstandes und damit die Degradierung des NPP zu einer „Alibifunktion“ sollten hinterfragt werden. Bei der Frage, ob ein Fachbereich in der Lage ist, das neue Produkt/den Markt/Vertriebsweg sachgerecht zu handhaben, wird nicht selten ein gewisser psychologischer Druck aufgebaut, so dass kein Bereich als „Verhinderer“ dastehen möchte und vielleicht bestätigt, dass das Produkt sachgerecht gehandhabt werden kann, obwohl nicht alle Aspekte betrachtet werden konnten.

In diesem Zusammenhang ist auch wichtig, dass die Anforderungen des AT 8.2 der MaRisk stets mit betrachtet werden. Demnach ist zu prüfen, ob aus dem NPP eine wesentliche Veränderung der Aufbau- oder Ablauforganisation oder der IT-Systeme resultiert. In diesem Fall sind vor Umsetzung die Auswirkungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren.

Fazit

Die zu erwartende Zunahme von Neuproduktprozessen wird in der Internen Revision zusätzliche Kapazitäten binden. Vor diesem Hintergrund ist es erforderlich, dass die Revision frühzeitig in alle diesbezüglichen Aktivitäten eingebunden wird und im Rahmen der Begleitung der Neuproduktprozesse falls erforderlich Hinweise zur Einhaltung der aufsichtsrechtlichen Vorgaben geben kann. Dass dabei streng auf die Neutralität der Internen Revision zu achten ist, versteht sich von selbst. In der Planung 2020 sollten die hierfür voraussichtlich benötigten Ressourcen angemessen berücksichtigt werden.

PRAXISTIPPS

  • Rechnen Sie mit einer zunehmenden Zahl von Neuproduktprozessen.
  • Achten Sie auf eine frühzeitige Einbindung der Revision bereits in die Konzeption.
  • Beachten Sie bei Neuproduktprozessen immer auch die Anforderungen aus AT 8.2.
  • Stellen Sie sicher, dass in die Entscheidung, ob ein NPP erforderlich ist, immer eine neutrale Stelle einbezogen wird.

Beitragsnummer: 85044

Rechtsupdate Compliance – Regulatoriküberblick

Behalten Sie den (aufsichts-)rechtlichen Überblick – über den Dächern von Berlin!

Sandra Leicht, Geschäftsführerin FCH Compliance und Vorstand FCH Gruppe AG

Ob Beauftragter, Prüfer oder Entscheider, die regulatorischen Neuerungen zwingen uns in den Instituten dazu, unser Know-how stetig zu erweitern. Als Basis für ein effektives rechtliches Monitoring, die saubere Implementierung neuer Vorgaben und die Anpassung von Prozessen ist es essenziell, Neuerungen zeitnah zu erfassen und Änderungsbedarf (mit) zu erkennen.

Denn insbesondere Compliance-Beauftragte, Mitarbeiter der Compliance-Funktion sowie die Revision als wichtiger Sparringspartner für die erste und zweite Verteidigungslinie sind mit Fachwissen gefragt. Dabei ist es häufig nicht einfach, im gesamten Bereich der institutsübergreifenden Compliance-Funktion einen rechtlichen/regulatorischen Überblick zu behalten, denn die Neuerungen kommen teilweise schnell und mit nur wenig Zeit zur Umsetzung.

SEMINARTIPP

Rechtsupdate Compliance – Regulatoriküberblick, 11.11.2019, Berlin.

 

 

Compliance-Verantwortliche und Prüfer zwischen PSD II, MaDepot und aktuellen EBA-Guidelines (und mehr)

Der zeitliche Aufwand zur Informationsgewinnung ist daher enorm, insbesondere wenn auch die höchstrichterliche Rechtsprechung mitverfolgt werden soll.

Für Ihren kompakten regulatorischen Überblick haben wir folgende Neuerungen für Sie ausgewählt:

(Aufsichtliche) Anforderungen an das rechtliche Monitoring – mit Blick auf die regulatorische (übergeordnete) Compliance-Funktion

– Vorgaben der Funktion und Erwartungshaltung an die Ausgestaltung

  • regelmäßiges Monitoring (mögliche Quellen)
  • prozessuale Umsetzung
  • Dokumentation
  • Umsetzungscontrolling
  • „Verantwortung“ der MaRisk-Compliance-Funktion (?)
  • Notwendigkeit eigener Umsetzungskontrollen und eigener Dokumentationen?
  • Vorzuhaltende Sachkunde zur effektiven Umsetzungsberatung?

Möglicher „Unterbau“

Rechtskonforme Umsetzung relevanter Neuerungen …

… aus Sicht des Anwalts und des Beauftragten

  • Säulenunabhängiges rechtliches Monitoring – Ansätze und Gegensätze
  • Momentane Abmahnfallen, Risiken von neuen Abmahnwellen; Themen und Bereiche im Fokus möglicher Abmahnungen
  • Neue Projekte/ertragreiche Geschäftsmodelle mit Blick auf Verbraucherschutz und weitere rechtliche Fallstricke
  • Prozessoptimierung in Folge von Anpassungsnotwendigkeiten
  • Revision rechtlicher Neuerungen – Impulse aus laufenden Prüfungen

(Aufsichts-)rechtlicher Ausblick – Konsultationen und zu erwartende Neuerungen 2020

Rechtlicher „Überbau“

  • Prägnante Neuerungen 2019
  • Ursache der Neuerungen ⇔ (Aus-)Wirkungen auf die Bank
  • Relevante Neuerungen aus MaRisk-Compliance; WpHG-Compliance; Geldwäsche/Zentrale Stelle; Datenschutz und Informationssicherheit streng nach Praxisrelevanz, u. a.:
  • Änderungen aus der 5 EU-Geldwäscherichtlinie.
  • Auswirkung des Urteils im Zusammenhang mit der Kohl-Witwe auf die Geldwäsche-Praxis.
  • Umsetzungen zur MaDepot.
  • Neuerungen aus den BAIT.
  • ePrivacy-Verordnung.
  • Prüfungserkenntnisse aus der Dienstleistersteuerung.
  • Folgen von (?) Beschwerdemeldungen.
  • Auswirkungen der „unmittelbaren“ EBA-Geltung auf die Aufgaben von Beauftragten in kleinen und mittelgroßen Banken.
  • Brexit und die Schweiz – Handlungsbedarf aus Sicht des Datenschutzes.
  • Interessenkonflikte in der Aufbauorganisation (CF- und AL-Problemkredit, GWB und DS-Koordinator etc.).
  • Mögliche, weitere zentrale Anpassungen zwischen Prospekterstellung und Veranstaltung.

… aus Sicht des Anwalts und des Beauftragten

  • Aktuelle Neuerungen mit Compliance-Relevanz und Umsetzungsfristen.
  • Europäische Vorgaben und die Erwartungshaltung der Bankenaufsicht, insbesondere das Warten auf Übersetzungen und/oder Umsetzungshilfen.
  • (Un-?) Sinn und Zweck der Neuerungen mit Blick auf die interne Implementierung.
  • Aktuelle höchstrichterliche Rechtsprechung mit Compliance-Relevanz, mögliche richtungsweisende Urteile (beispielsweise Haftung des GWB).

Unsere Referenten:

Sind erfahrene Praktiker aus den Bereichen Compliance, Recht und Aufsicht.

Das sagen Teilnehmer aus Compliance und Revision zu unseren Compliance-Veranstaltungen: 

“Theoretische Grundlagen der FCH-Compliance-Seminare ergänzen sich sehr gut mit direktem Praxisaustausch. Zusätzlich bieten die FCH-Compliance-Seminare eine Plattform zur Erweiterung des Netzwerks unter Teilnehmern und Referenten.” 

Manuel Regent, Compliance-Beauftragter, Internationales Bankhaus Bodensee AG

„Immer auf der Suche von fachlichen Informationen, die mir bei der Erfüllung meiner Pflichten als Referentin in der Marktrevision für das Kundenwertpapier-/Depotgeschäft sowie Auslandssteuer (u. a. CRS, FATCA, US-Quellensteuer) weiterhelfen, werde ich beim Finanz Colloquium Heidelberg fündig. Die Seminare sind sehr gut organisiert, informativ und praxisnah. Die Inhalte sind aktuell und die jeweiligen Referenten gehen auf individuelle Fragestellungen ein. Des Weiteren gibt es zu meinen Themen Fachbücher, die aufgrund von gesetzlichen Änderungen, zeitnah angepasst wurden. Insofern: Kompliment, weiter so und ich freue mich schon auf künftige Seminare!“

Ulrike Ünal, Interne Revision, Berliner Volksbank eG

Chance statt Pflicht? Das Seminar bietet einen rechtlichen sowie prozessualen Überblick über aktuelle, relevante Compliance-Themen sowie einen Ausblick auf anstehende Neuerungen. Es richtet sich an Entscheider, Führungskräfte, Beauftragte sowie Prüfer, die Ihr Wissen in den Bereichen Regulatorik und Rechtsprechung aktualisieren oder festigen wollen.

Das Hotel, das aus einem ehemaligen Bankgebäude entstanden ist, bietet den optimalen Rahmen für fachlichen Austausch. Wetterabhängig kann der regulatorische Überblick in Gesprächen auf der Dachterrasse mit Blick über Berlin gefestigt werden.

Durch die Teilnahme an der Veranstaltung erhalten Sie 7 CPE-Punkte als Weiterbildungsnachweis für Ihre Compliance-Hochschulzertifizierung!

Beitragsnummer: 82153

Prüfung des Prozessmanagements

Praxisorientierte Prüfungsansätze für die Interne Revision

Thomas Maurer, Leiter Interne Revision, Münchner Bank eG

Die Bankenbranche befindet sich auf Grund der andauernden Niedrigzinsphase, des veränderten Kundenverhaltens und der fortschreitenden Digitalisierung in einer massiven Umbruchphase. Es gilt, neue Geschäftsmodelle zu entwickeln und diese mit effizienten Prozessen kostengünstig umzusetzen. Vor diesem Hintergrund sollte auch das Prozessmanagement im Prüfungsuniversum der Internen Revision eine größere Rolle spielen.

SEMINARTIPP

Prozessorientierte Schlüsselkontrollen im Fokus der Aufsicht, 03.12.2019, Frankfurt/M.

 

Ausgangslage

In vielen Instituten haben sich die aktuellen Geschäftsprozesse über Jahre und Jahrzehnte entwickelt. Die Verantwortlichkeiten für die Prozesse sind oft nicht klar definiert, Prozessziele und Kennzahlen, mit denen die Prozessleistung gemessen werden kann, fehlen häufig. Ein kontinuierlicher Verbesserungsprozess zur laufenden Optimierung der Prozesse und der konsequenten Ausrichtung auf die Kundenbedürfnisse ist ebenfalls noch eher selten anzutreffen. Auch die zur Verfügung stehende Technik ist oft nicht mehr zeitgemäß. Um sich für die Herausforderungen der Umwälzungen zu wappnen, sollten sich die Institute verstärkt mit ihren Prozessen und deren Optimierung beschäftigen.

Ziele des Prozessmanagements

Ein integriertes Prozessmanagementsystem ermöglicht eine End-to-End-Betrachtung der Geschäftsprozesse und damit eine Ausrichtung auf die Kundenbedürfnisse. Die Anzahl der Verantwortlichkeiten kann auf wenige Key-Player reduziert werden. Damit kann mittelfristig eine deutliche Verkürzung der Bearbeitungs- und Durchlaufzeiten erreicht werden. Die Schnittstellen werden transparent und können mit verbindlichen Service-Level-Agreements hinsichtlich der Lieferantenqualität gesteuert werden. Klar definierte Ziele für jeden Prozess sind ein weiterer wichtiger Bestandteil des Prozessmanagements. Auf dieser Basis kann dann ein zielgerichtetes Prozesscontrolling stattfinden, um die Gesamtleistung eines Prozesses deutlich zu machen.

BUCHTIPP

Meier (Hrsg.), Praxisleitfaden Prozessmanagement, 2017.

 

 

Aufgaben der Prozesseigner

Für jeden Prozess kann es nur einen Prozessverantwortlichen geben, den Prozesseigner. Dies Funktion sollte auf einer ausreichend hohen Hierarchieebene angesiedelt werden, um die Notwendige Entscheidungs- und Durchsetzungsfähigkeit des Prozesseigners zu gewährleisten. Die Prozesseigner modellieren den Prozess, vereinbaren die Prozessleistung mit Zulieferern und Abnehmern und planen die Zielwerte des Prozesses. Sie überwachen die Zielerreichung anhand definierter Kennzahlen und analysieren auf dieser Basis die Schwachstellen des Prozesses. Die Ergebnisse dieser Analyse ermöglichen die Einleitung von Maßnahmen zur kontinuierlichen Prozessverbesserung.

BERATUNGSANGEBOT

Prozessmanagement im Fokus von MaRisk & BAIT: Aufbau/Bewertung & Auditierung.

 

Prüfungsansätze für die Interne Revision

Unverzichtbare Prüfungsgrundlage bildet eine Prozesslandkarte, aus der die Kernprozesse des Instituts hervorgehen müssen. Zu Beginn der Prüfung sollten die Risiken des Prozesses seitens der Revision analysiert und bewertet werden, um eine risikoorientierte Vorgehensweise zu gewährleisten. Wichtige Anhaltspunkte für die Beurteilung der Prozessrisiken sind die Personalsituation (Fluktuation, Qualifikation), die zur Verfügung stehende Technologie, die Datenqualität, das im Prozess implementierte interne Kontrollsystem sowie externe Einflüsse wie das rechtliche Umfeld und die Anfälligkeit für dolose Handlungen.

Auf Basis der Risikobewertung ist die Dokumentation des Prozesses und der Prozessziele zu prüfen. Zunächst sind die Prozesse auf Transparenz und Aktualität, auch hinsichtlich der Schnittstellen zu untersuchen. Hinsichtlich der Prozesskennzahlen sollte auf einen angemessenen Bezug zur Strategie des Hauses sowie auf die Definition von Zielwerten geachtet werden. Die Steuerung des Prozesses kann anhand der vorliegenden Prozessanalysen des Prozesseigners sowie der Umsetzung und Wirksamkeit der eingeleiteten Verbesserungsmaßnahmen geprüft werden. Hinsichtlich der Wirksamkeit des Prozesses ist die Entwicklung der Prozesskennzahlen ein wichtiger Indikator. Auch die Prozesskosten und deren Entwicklung sollten Gegenstand der Prüfungshandlungen der Internen Revision sein.

Auf Basis der Kennzahlen zur Prozessperformance, kann ein Prozessportfolio gebildet werden, welches die Leistungsfähigkeit der einzelnen Prozesse auch im Vergleich untereinander transparent macht. Das wiederum gibt der Revision wertvolle Hinweise, welche Prozesse einer intensiveren Prüfung bedürfen.

INHOUSETIPP

Im Prüfungsfokus: Wesentliche Prozesse & AT 8.2-Handhabung.

 

 

Fazit

Die Prüfung des Prozessmanagements ist für die Revision unverzichtbar, um den in den MaRisk verankerten Auftrag zu erfüllen, grundsätzlich innerhalb von drei Jahren alle Aktivitäten und Prozesse zu prüfen. Auch für die Wesentlichkeitsbeurteilung nach BT 2.3 der MaRisk können wertvolle Impulse gewonnen werden.

PRAXISTIPPS

  • Wirken Sie darauf hin, dass Ihr Haus eine Prozesslandkarte erstellt, eine Risiko-Kontrollmatrix sollte diese ergänzen.
  • Prüfen Sie, ob Ihr Haus ein integriertes Prozessmanagementsystem aufgebaut hat.
  • Analysieren Sie regelmäßig das Prozessportfolio Ihrer Bank, um eventuelle Prozessschwächen frühzeitig zu erkennen.
  • Analysieren Sie auch den eigenen Revisionsprozess kritisch hinsichtlich der Prozessleistung und der Wirksamkeit von Verbesserungsmaßnahmen.

Beitragsnummer: 81659

Vorgangssteuerung und Kontrollrahmen nach SREP

Claaßen, Michael, Bereichsleiter Interne Revision, Volksbank Marl-Recklinghausen eG

Grundsätzlich kann eine Prüfung einen Sachverhalt, z. B. die Erfüllung einer aufsichtsrechtlichen Obliegenheit auf Basis der Beurteilung einzelner Anforderungen oder einen Kundenprozess, der diese aufsichtsrechtlichen Obliegenheiten beinhaltet, betreffen. Die Beurteilung des Kontrollkonzeptes stellt innerhalb einer Prozessprüfung eine wesentliche Prüfungsaktivität dar. Dabei wird das generelle System der Kontrollen als risikomanagementgestaltende Aktivität für den definierten Prozess (im Rahmen der Aufbauprüfung) als auch die gelebte Kontrolle (z. B. Aufgabenträger, Verzweigen, Entscheidungen im Prozess) bei der Beurteilung der Prozesskette geprüft. Zusätzlich werden die Schnittstellen innerhalb des Prozesses zu weiteren Prozessen, z. B. im Rahmen des 4-Augen-Prinzipes (Trennung Markt und Marktfolge) sowie zu weiteren Steuerungsprozessen (z. B. Notfallmanagement) betrachtet. Durch die Einbindung der Schnittstellen wird die Prüfungstiefe erhöht.

Grundlagen

Die Beurteilung der Wirksamkeit eines Kontrollrahmens stellt eine wesentliche Prüfungsaufgabe dar. Innerhalb der SRP-Leitlinie 2018 werden unter dem Punkt 5.6.1 die wesentlichen Kriterien zum Kontrollrahmen dargestellt. Hierzu gehören u. a. nachfolgende Kriterien:

  • Definierte interne Kontrollrichtlinien mit einem Kontrollrahmen
  • Klarer Entscheidungsfindungsprozess für die Kontrollen mit aufbauorganisatorischer Zuständigkeit für die Umsetzung der Kontrollen
  • Beachtung von möglichen Interessenskonflikten in Bezug auf miteinander in Konflikt stehende Tätigkeiten.

Kontrollrahmen und Prozesse

Innerhalb der genossenschaftlichen Bankengruppe werden derzeit die Banken, die in der Vergangenheit das Kernbankverfahren bank21 genutzt haben, auf das neue Kernbankverfahren agree21 migriert. Das neue Kernbankverfahren führt u. a. zur Implementierung neuer Kundenprozesse.

SEMINARTIPPS

IKS-Prüfungen durch die Aufsicht, 06.11.2019, Hamburg.

IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen, 20.11.2019, Berlin.

Zwingender Einbezug der SREP-Anforderungen in die Revisionsarbeit, 21.11.2019, Berlin.

Eine der wesentlichen Stärken des neuen Systems stellt der softwarebasierte Workflow von Prozessen unter agree21 dar. Für die einzelnen Geschäftsaktivitäten können Vorgangsvorlagen genutzt werden. Es können Vorgänge selber gebaut oder Mustervorlagen genutzt werden. Diese sind Prüfungsgegenstand der Internen Revision. Entsprechendes Know-how zum Prozessmanagement und zur „agree21 Vorgangssteuerung“ ist in der Internen Revision zwingend notwendig. Die Vorgänge können dabei einfache sowie komplexe Prozesse betreffen. Diese können diverse Verzweigungen und verschiedene Aufgabenträger und somit Verantwortungsbereiche umfassen. Dadurch können im Rahmen der Prüfung auch Schnittstellen mit geprüft und eine höhere Prüfungsdichte erzielt werden, die ansonsten bei einer funktionalen Prüfung erst bei einer anderen Prüfung Gegenstand wären.

Die Prüfung der implementierten Vorgänge stellt somit eine wesentliche Aufgabe der Internen Revision dar. Die im Vorgang implementierten Kontrollstrukturen sind dabei zu berücksichtigen.

Unter Berücksichtigung der unter 5.6.1 in der SREP-Leitlinie dargestellten Obliegenheiten sind dies in Bezug auf einen Vorgang u. a. nachstehende Sachverhalte.

  • Aufsichtsrechtliche Funktionstrennungen können implementiert und miteinander nicht vereinbare Tätigkeiten getrennt werden.
  • Der Vorgang kann automatische und manuelle Kontrollen vorgeben.
  • Alle im Prozess betroffenen Bereiche werden eingebunden.
  • Interessenskonflikte können durch Vorgaben im Workflow vermieden werden.
  • Über Schnittstellen können weitere notwendige Kontrollen angestoßen werden.

Fazit

Mit einer softwarebasierten Vorgangsssteuerung kann ein angemessener Kontrollrahmen im Rahmen einer Vielzahl von Geschäftsprozessen vorgegeben werden. Die Interne Revison muss entsprechendes Know-how erwerben und kann dadurch den Kontrollrahmen und das Risikomanagement des Prüffeldes umfassend prüfen.

PRAXISTIPPS

  • Angemessene Prozesse mit einem wirksamen Kontrollrahmen können in einer Vielzahl von Geschäftaktivitäten durch eine softwarebasierte Vorgangssteuerung implementiert werden.
  • Achten Sie auf Standardisierung. Der Mitarbeiter darf ausschließlich nur diesen Prozess nutzen.
  • Erwerben Sie umfassendes Know-how, das Sie befähigt, diese Prozessketten, Kontrollen und Funktionstrennungen mit den gesetzlichen, aufsichtsrechtlichen und internen Anforderungen abzugleichen.

 

Beitragsnummer: 77425

 

Ausreißererkennung im Data Mining



Ausreißer in Datensätzen mit Hilfe von Techniken und Algorithmen aus dem Data Mining einfach identifizieren.

Holger Fullriede, Spezialist, Revision Models, NORD/LB Norddeutsche Landesbank.

I. Einleitung

Im Zuge der fortschreitenden Digitalisierung fallen immer größeren Datenmengen an. Traditionelle, stichprobenbasierte Prüfungstechniken stoßen dabei an ihre Grenzen. Zudem sind Methoden des maschinellen Lernens als Teil des Hypes um die Künstliche Intelligenz in aller Munde. Die Möglichkeit, einfach Erkenntnisse aus der Analyse großer Datenmengen zu gewinnen, scheint in greifbare Nähe gerückt. Es stellt sich die Frage, wie in der Internen Revision ein einfacher, kostengünstiger Einstieg in diese Techniken gelingen kann und was dabei zu beachten ist.

Für den Einstieg in die Datenanalyse eignen sich z. B. Methoden des Data Mining. Unter Data Mining versteht man die Entdeckung unbekannter Muster in bekannten Daten. Dabei sollen die Muster interessant sein, was an den Kriterien Neuheit, Allgemeingültigkeit, Nichttrivialität, Nützlichkeit sowie Verständlichkeit gemessen wird. Üblicherweise ist das Data Mining in einen vollständigen Prozess mit vorheriger Datenselektion, Datenvorverarbeitung und Datentransformation, sowie anschließender Interpretation der Ergebnisse eingebettet, welcher auch als Wissensgewinnung in Datenbanken („Knowledge Discovery in Databases“) bezeichnet wird[1].

Ein Teilgebiet des Data Mining beschäftigt sich mit der Erkennung von Ausreißern ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Vergütungscompliance



Die Rolle der Compliance-Funktion nach MaRisk und MaComp in den Vergütungssystemen nach KWG/WpHG.

Hendrik Schwedewsky, Senior Referent Compliance, IKB Deutsche Industriebank AG[1].

I. Einleitung

Im vorliegenden Beitrag werden potentielle Aufgaben der Compliance-Funktion nach MaRisk und der Compliance-Funktion nach Art. 22 DelVO 2017/565[2] dargestellt. Zunächst wird auf die wesentlichen rechtlichen Grundlagen eingegangen. Anschließend werden die Notwendigkeit des institutsinternen fachlichen Austausches dargestellt sowie potentielle Tätigkeiten, jeweils der Compliance-Funktion nach MaRisk und der Compliance-Funktion nach MaComp, auf Basis der InstitutsVergV bzw. der DelVO 2017/565 beschrieben.

II. Rechtliche Grundlagen

Die allgemeinen Anforderungen jeweils zur Compliance-Funktion nach MaRisk und Compliance-Funktion nach MaComp sind in AT 4.4.2 MaRisk[3] bzw. Art. 22 DelVO 2017/565 sowie BT 1 MaComp[4] geregelt. Im Hinblick auf die Vergütungssysteme ergeben sich die Aufgaben der Compliance-Funktionen im Wesentlichen aus der InstitutsVergV, DelVO 2017/565 sowie den MaComp[5]. Für die Auslegung der genannten Anforderungen können die unterschiedlichen Schutzzwecke zugrunde gelegt werden. MiFID II[6] und die konkretisierende DelVO 2017/565 zielen vorrangig auf den Kundenschutz (z. B. Anlegerschutz) bei der Erbringung von Wertpapier(neben)dienstleistungen[7]. Die InstitutsVergV dient hingegen vorrangig dem Schutz des Instituts[8]. Mit der nationalen ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Das Tool-Set der WpHG-Compliance-Funktion im Fokus der Internen Revision



Effektive Verzahnung von Risikoanalyse, Überwachungsplan und Überwachungshandlungen.

Ralf Barsch, FCH Consult GmbH, Geschäftsführer, CIA und Prüfer für Interne Revisionssysteme sowie WpHG-Compliance-Beauftragter.

I. Einheitliches Risikoverständnis und Risikobewertung als Basis erfolgreicher Compliance-Arbeit

Ein einheitliches Risikoverständnis – aller Kontrollebenen in einem Institut – erleichtert nicht nur die Arbeit der Betroffenen, sondern ist eine wesentliche Voraussetzung zur Homogenisierung unterschiedlicher Risikoparamenter und damit einher gehender Bewertungen. Umso erstaunlicher ist es, dass dieser Punkt in der Praxis vieler Institute teilweise nicht die Aufmerksamkeit und letztendlich die Umsetzung erfährt, die seitens der Aufsicht immer wieder eingefordert wird.

Fakt ist, dass in der Praxis nach wie vor eine Vielzahl unterschiedlicher Risikoanalysen bestehen, u. a. für die Entscheidungsprozesse nach MaRisk AT 8.1 (Neu-Produkt-Prozess) und AT 8.2 (Änderungen betrieblicher Prozesse und Strukturen), Auslagerungen, Risikomodell Revision, Risikomodell Geldwäsche/sonstige strafbare Handlungen, Risikomodell MaRisk-Compliance, etc.

Die Auswirkungen sind so vielfältig wie fatal: Die Entscheider in den Unternehmen erhalten unterschiedliche Ergebnisse, es existieren unterschiedliche Schwellenwerte. In der Summe findet kein wirkliches Zusammenarbeiten statt und schließlich wird die Steuerung des Instituts durch die entsprechenden Top-Entscheider deutlich erschwert.

Die Anforderungen zur Ausgestaltung der Risikokultur im Allgemeinen Teil 3 der aktuellen MaRisk können hier i. V. ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Projekte begleiten – im Spannungsverhältnis zwischen Anspruch und Wirklichkeit



Die Begleitung von wesentlichen Projekten als Chance und Herausforderung für die Revisionsarbeit – wie kann die Innenrevision dem (selbst) gesetzten Anspruch gerecht werden?

Thomas Christoph Roth, CIA CCSA, Abteilungsleiter, Innenrevision, Vertriebs- & Sonderprüfungen/Grundsatzfragen, TARGOBANK AG.

I. Einleitung

Das Berufsbild des Revisors[1] hat sich durch verschiedene Kräfte gewandelt. Das Unternehmen möchte zeitnah und präventiv über Risikoentwicklungen und -treiber informiert werden. Das Wettbewerbsumfeld in der Finanzindustrie erfordert eine schnelle und effiziente Prozessarchitektur mit attraktiven Produktlösungen in einem weitestgehend verteilten Markt. Die Aufsichtsbehörden und der Gesetzgeber bilden ein Netz aus Regeln, Verlautbarungen, konkretisierenden Verwaltungsvorschriften und Empfehlungen, die das Wissen der Innenrevision als eine Stütze eines aktiven und wirksamen Risikomanagements ansehen.

Insoweit ist es naheliegend, die Tätigkeit einer Innenrevision auf die Begleitung von Projekten zu fokussieren, so geschehen mit BT 2.1 Tz. 2 der Mindestanforderungen an das Risikomanagement (MaRisk). Die Innenrevision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenskonflikten bei wesentlichen Projekten begleitend tätig zu sein.

Aber wie stellt es sich dar, wenn der Revisor außerhalb seiner Prüfroutine vorausschauend wesentliche Projekte begleitet und kein fertiges „Produkt“ vorfindet, sondern eine bewegliche Projektstruktur? Welchen Anspruch sollte die Innenrevision verfolgen, einerseits vor dem Hintergrund der ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Interne Revision und externer Abschlussprüfer

Möglichkeiten und Grenzen einer nutzenbringenden Zusammenarbeit

Katja Hampe, Fachreferentin der Geschäftsführung, Wirtschaftsprüferin, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft.

I. Vergangenheit – Gegenwart – Zukunft

Eine (wie auch immer ausgestaltete) Zusammenarbeit von Interner Revision und externem Abschlussprüfer hat für alle Seiten ganz klar das Ziel, Synergien zu heben und alle Beteiligten dabei zu unterstützen, ihre jeweiligen Zielsetzungen bestmöglich zu erreichen.

Eine solche Zusammenarbeit hat eine jahrzehntelange Tradition und spiegelt gelebte Praxis wider. Der Berufsstand der Wirtschaftsprüfer beschäftigt sich bereits seit seinem Bestehen (1931) mit dieser Thematik. Dies belegen bspw. das IDW-Fachgutachten 6/1934 „Heranziehung vorhandener Prüfungseinrichtungen des geprüften Unternehmens durch den Wirtschaftsprüfer“ sowie die gemeinsame Erklärung des IDW[1] und des DIIR[2] „Erläuterung der Grundsätze für die Zusammenarbeit der Wirtschaftsprüfer mit der Internen Revision“ aus dem Jahr 1966.

Aktuell tragen die beiden genannten berufsständischen Organisationen der Verbindung von Interner Revision und Abschlussprüfer durch Standards zur Zusammenarbeit der beiden Prüfungsinstanzen Rechnung: Das IDW legt die Auffassung des Berufsstands der Wirtschaftsprüfer in IDW PS 321 „Interne Revision und Abschlussprüfung“ dar, während sich das DIIR im DIIR-Revisionsstandard Nr. 1 „Zusammenarbeit von Interner Revision und Abschlussprüfer“ dieser Thematik widmet.

Und wenn wir einen Blick in die Zukunft wagen, dann lassen einige Faktoren bzw. Entwicklungen darauf schließen, dass sich die Zusammenarbeit zwischen Interner Revision und Abschlussprüfer weiter intensivieren wird:

  • Ausdehnung der Prüfungsinhalte sowie zunehmende Komplexität der Prüfungsaufgaben bspw. aufgrund der Internationalisierung der Wirtschaft.
  • Bedeutungsgewinn und weitere Professionalisierung der Internen Revision.
  • Zunehmende Bedeutung von Prüfungsausschüssen des Aufsichtsrats, die sowohl mit dem Abschlussprüfer als auch der Internen Revision zusammenarbeiten.
  • Vergleichsweise umfangreiche Zusammenarbeit zwischen Interner Revision und Abschluss-prüfer im Ausland (insbesondere in den USA), die eine Vorbildfunktion für das Verhältnis der Prüfungsinstanzen in Deutschland entfaltet.

Lassen Sie uns also gemeinsam herausfinden, wie eine nutzenbringende Zusammenarbeit zwischen Interner Revision und externem Abschlussprüfer aussehen kann und die Grenzen, vor allem aber die Möglichkeiten, ausloten.

II. Die Protagonisten

Zunächst aber eine Vorstellung der Protagonisten:

Kreditinstitute und auch alle anderen prüfungspflichtigen Unternehmen werden jährlich einer normierten (Jahresabschluss)Prüfung[3] unterzogen. Die entsprechenden Prüfungshandlungen sind von qualifizierten Prüfern – in der Regel durch Wirtschaftsprüfungsgesellschaften oder im Falle der Volks- und Raiffeisenbanken sowie der Sparkassen durch die zuständigen Prüfungsverbände, im Folgenden insgesamt allgemein als (externe) Abschlussprüfer bezeichnet – eigenverantwortlich durchzuführen.

Was macht nun unser erster Protagonist, der Abschlussprüfer? Klar: Er prüft den Jahresabschluss, aber viel spannender ist, wie er dabei vorgeht und was das für Sie als Interne Revision bedeutet.

Der Abschlussprüfer befasst sich eingangs seiner Prüfung mit der Geschäftstätigkeit und dem Internen Kontrollsystem[4] des von ihm zu prüfenden Unternehmens (also Ihrer Bank), um dann anschließend beurteilen zu können, ob dieses vorgefundene System angemessen ist und kontinuierlich angewendet wird. Auf Basis der getroffenen Feststellungen legt er dann den Umfang seiner Prüfungshandlungen fest. Dieser Umfang ist natürlich auch für das zu prüfenden Unternehmen nicht ganz unerheblich – Stichwort „Prüfungskosten“.

An dieser Stelle betritt der zweite Protagonist die Bühne: Die Interne Revision ist ein wesentlicher Bestandteil des Internen Kontrollsystems – und zwar ein ganz besonderer:

Denn die Interne Revision

  • … ist Teil des Internen Kontrollsystems
  • … ist Prüfer der anderen Bestandteile des Internen Kontrollsystems
  • … trägt insbesondere durch frühzeitige Einschaltung zur Organisation bei

Die Interne Revision ist für den Abschlussprüfer also einerseits „Prüfungsobjekt“ und andererseits „Zuarbeiter“/„Mitstreiter“.

III. Zusammenwirken trotz strikter Trennung – geht das?

Es gilt das Prinzip einer strikten Trennung von Abschlussprüfung und Interner Revision: Mitarbeiter der Internen Revision sind Arbeitnehmer des zu prüfenden Unternehmens und dürfen gem. § 319 Abs. 3 Satz 1 Nr. 2 HGB nicht in das Prüfungsteam des Abschlussprüfers integriert werden. Auch ist eine vollumfängliche Übernahme der Aufgaben der Internen Revision durch den Abschlussprüfer nicht zulässig.[5]

Heißt das nun, dass jegliche Zusammenarbeit per se verboten ist? Natürlich nicht!

Sie als Interne Revision sind ein wichtiges Bindeglied zwischen Abschlussprüfer und geprüftem Unternehmen. Der Abschlussprüfer kann und wird Ihre Revisionsergebnisse (angemessene Qualität natürlich vorausgesetzt) in gewissem Umfang für seine eigene Tätigkeit verwerten, wenn Sie als Interne Revision folgende Voraussetzungen[6] erfüllen:

  • freie Kommunikation mit dem Abschlussprüfer
  • objektives und weisungsfreies Agieren
  • Freistellung von operativen Tätigkeiten
  • ordnungsgemäße Planung, Durchführung, Überwachung und Dokumentation Ihrer Prüfungshandlungen
  • nachvollziehbare Dokumentation der Umsetzung bzw. Nichtumsetzung von Ihrerseits gemachten Verbesserungsvorschlägen
  • von Ihnen aufgezeigte Schwachstellen werden von der Geschäftsführung abgestellt
  • Nachweis Ihrer fachlichen Kompetenz und Erfahrung

Hier haben Sie also quasi den Anforderungskatalog des Abschlussprüfers für sein „Prüfungsobjekt Interne Revision“.

IV. Best-Case-Szenario für den Abschlussprüfer: Zusammenarbeit mit einem (nahezu) allwissenden Insider

Der Abschlussprüfer hat Anspruch auf Aufklärung und Nachweise. Dies ergibt sich bereits aus § 320 Abs. 2 HGB („Der Abschlussprüfer kann von den gesetzlichen Vertretern alle Aufklärungen und Nachweise verlangen, die für eine sorgfältige Prüfung notwendig sind“). Durch wen konkret er diese erhält, wird durch die Geschäftsleitung festgelegt. Einerseits werden die jeweiligen Ansprechpartner im Rahmen der Vollständigkeitserklärung[7] abgefragt, andererseits können diese auch Gegenstand der „Erbetenen Informationen“[8] im Allgemeinen und des jeweiligen Prüffeldes im Speziellen sein. Dass die „generelle“ Zuarbeit der externen Prüfung durch die Interne Revision und nicht durch eine andere Organisationseinheit erfolgt, ist gelebte Praxis. Für eine effektive Zusammenarbeit bedarf es seitens des Abschlussprüfers eines (nahezu) „allwissenden“ Insiders bzw. Ansprechpartners und den findet er in der Internen Revision.

Im Folgenden nehmen wir drei zentrale Aspekte dieser Zusammenarbeit unter die Lupe: vorher, während und nach der Abschlussprüfung vor Ort.

1. „Vorher“: Erstellung bzw. Vorbereitung der Erbetenen Informationen

Die korrekte und zeitnahe Erstellung bzw. Vorbereitung der Erbetenen Informationen ist für den wirtschaftlichen Auftakt/Verlauf der Prüfungshandlungen vor Ort aus Sicht des Abschlussprüfers unerlässlich. Die Praxis hat gezeigt, dass die Einbindung der Internen Revision für einen reibungslosen Ablauf der Erhebung der Erbetenen Informationen stets sinnvoll ist. Neben der geballten Zurverfügungstellung der Erbetenen Informationen für die einzelnen Bereiche umfasst dies (im Vorfeld) auch die Terminierung der Bearbeitung, die Kontrolle des Rücklaufs, die Kontrolle der Vollständigkeit sowie ggf. die Kontrolle bzw. Verplausibilisierung der Antworten und Nachweise. Hier kann es sonst zu Reibungsverlusten kommen, die durch die konsequente Einbeziehung der Internen Revision reduziert werden.

Bedenken Sie: Alles, was dem Abschlussprüfer den Prüfungsstart erschwert, verschlechtert nicht nur das Klima, sondern kostet schlicht und ergreifend die Zeit des Prüfers – und „Zeit ist Geld“.

Hier zur Abwechslung einmal eine Art „Black List“, also Punkte, die den Prüfungsstart des Abschlussprüfers erschweren können und die es tunlichst zu vermeiden gilt:

  • keine (ausreichende) Kontrolle des Rücklaufs, so dass die Erbetenen Informationen zu Beginn der Prüfungshandlungen nicht vollständig vorliegen
  • keine vollständige Bearbeitung von Fragen bzw. Zurverfügungstellung von angeforderten Nachweisen und/oder (offensichtliche) Unplausibilitäten bei den Antworten und Nachweisen, die zu vermeidbaren Rückfragen führen
  • Verweise darauf, dass die Unterlagen bei der entsprechenden Organisationseinheit selbständig anzufordern seien

2. „Während“: Die Interne Revision als (erster) Ansprechpartner für alle Belange des Abschlussprüfers

Die Ausgestaltung der Funktion als Ansprechpartner für den Abschlussprüfer kann vielfältig sein. Am unteren Ende der Skala sind Sie ausschließlich Ansprechpartner bezüglich ihrer eigenen Berichte/Protokolle bzw. Prüfungsergebnisse am oberen Ende dagegen permanent einzubeziehende Verbindungsperson zwischen Abschlussprüfer und jeweils zu prüfender Organisationseinheit (= erster Ansprechpartner). Für eine effektive Zusammenarbeit ist sicherlich letzteres hilfreich.

Hier gilt es zu bedenken: Die Tätigkeit als Ansprechpartner kostet Zeit. Deshalb sollten Sie im Rahmen der Jahresplanung der Internen Revision die für diese Aufgabe notwendigen Kapazitäten (nicht zu knapp) bemessen und sich dabei bspw. an den (durchschnittlichen) Ist-Zeiten der letzten drei bis fünf Jahre orientieren.

3. „Nachher“: Follow-Up oder „nach der Prüfung ist vor der Prüfung“

Eine weitere betriebswirtschaftlich sinnvolle Zuarbeit der Internen Revision besteht in der Nachschau/Nachprüfung der Feststellungen des Abschlussprüfers, welche im Rahmen der letzten Prüfung(en) aufgetreten waren und schriftlich kommuniziert wurden.

Für Sie als Interne Revision besteht dieses Follow-Up darin, die Abarbeitung der kommunizierten Feststellungen durch die Fachbereiche sicherzustellen. Einerseits bedarf es einer Fristsetzung der Abarbeitung und eines entsprechenden Monitorings sowie andererseits einer sachgerechten und personellen Zuweisung der Überwachung der Abarbeitung (z. B. Mängel im Bereich IT durch den IT-Revisor) sowie der anschließenden Kontrolle/Verplausibilisierung der Ergebnisse und deren Kommunikation gegenüber der Geschäftsleitung. Wichtig ist auch, die entsprechenden Ergebnisse in einem Bericht nachvollziehbar für den Abschlussprüfer (des nächsten Jahres) darzulegen.

PRÜFUNGSTIPPS

  • Klären Sie vor Prüfungsbeginn mit der Geschäftsleitung, welche Zuarbeiten durch Sie geleistet werden sollen bzw. welche durch die zu prüfenden Organisationsbereiche. Dem eigenen Mehraufwand sollten immer – zumindest gedanklich – die zusätzlichen Kosten des Abschlussprüfers gegenübergestellt werden.
  • Stimmen Sie frühzeitig mit dem Abschlussprüfer ab, was für einen betriebswirtschaftlich effektiven Start für die Prüfung zu Beginn der Prüfungshandlungen vor Ort vorzulegen ist (Stichwort: „Erbetene Informationen“).
  • Planen Sie – beruhend auf den Erfahrungen der Vorjahre – genügend Zeit für die Zuarbeit/Begleitung des Abschlussprüfers ein.
  • Tragen Sie dafür Sorge, dass die Nachschau der Feststellungen der letzten Prüfung zu Beginn der Prüfungshandlungen des Abschlussprüfers vor Ort abschließend bearbeitet ist.
  • Seien sich dessen bewusst, dass Ihre Zuarbeit die Prüfungskosten in die eine oder andere Richtung beeinflussen wird. Eine gute Zusammenarbeit wirkt sich – wie die Praxis schon vielfach gezeigt hat – positiv auf das Prüfungsklima und damit auch auf die Prüfungseffektivität auf beiden Seiten aus.
  1. Institut der Wirtschaftsprüfer in Deutschland e.V.
  2. Deutsches Institut für Interne Revision e.V.
  3. Im Wesentlichen gem. Handelsgesetzbuch; bei Kreditinstituten und Finanzdienstleistungsinstituten auch gem. Kreditwesengesetz und Prüfungsberichtsverordnung.
  4. „Unter einem Internen Kontrollsystem werden die von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidun-gen des Managements […]”, Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 261 n.F. „Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken“, Tz.19.
  5. Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 321 „Interne Revision und Abschlussprüfung“, Tz. 27 und 28.
  6. Diese Voraussetzungen sind so oder aus ihrem Kontext heraus auch Bestandteil der MaRisk.
  7. Vgl. Vollständigkeitserklärung Prüfung Jahresabschluss M1, herausgegeben vom Institut der Wirtschaftsprüfer, Düsseldorf.
  8. Erbetene Informationen werden den Mandanten rechtzeitig durch den Abschlussprüfer mit der Bitte zur Verfügung gestellt, diese bis zum Beginn der Prüfungshandlungen vor Ort vorzubereiten. Mit Hilfe der angefragten Unterlagen und den beantworteten Fragen wird dem Abschlussprüfer ein unkomplizierter Start in die Prüfungsplanung ermöglicht, ohne dass diese Informationen geballt am ersten Tag der Prüfung vor Ort erfragt bzw. angefordert werden müssen.

 

Beitragsnummer: 74946

 

Prüfung der Begründung von Auftragsverarbeitungsverhältnissen



Schutz der Betroffenenrechte bei der Verarbeitung personenbezogener Daten durch Dritte hat höchste Priorität.

Pascal Ritz, Geschäftsführer, Justo Unternehmensberatung GmbH.

I. Auftrags(daten)verarbeitung – „eigentlich“ nicht unbekannt

„Das ist ja ein toller Service. Die Firma druckt sogar die Unterlagen nach unseren Vorgaben und versendet sie dann an unsere Kunden. Was mich besonders freut, es ist keine Auslagerung. Es entfällt somit sogar der Aufwand für eine Risikoanalyse und die Dienstleistersteuerung.”

Nicht selten endet mit dieser Erkenntnis die Sachverhaltsprüfung durch die erste Verteidigungs-linie. Auch wenn es erfreulich ist, wenn ein Dienstleister genau das Ergebnis liefert, welches man von ihm erwartet. Weniger erfreulich ist allerdings, wenn die Nutzung dieser Serviceleistung die Risiken im Kreditinstitut erhöht; insbesondere durch Unkenntnis von rechtlichen Anforderungen.

Eine Sensibilität für die Erfassung von Sachverhalten gem. AT 9 der MaRisk ist in der Zwischenzeit in den Kreditinstituten spürbar. Allerdings scheint die Verarbeitung personenbezogener Daten noch eine Quelle für operationelle Risiken zu sein. Insbesondere die aus dem alten Bundesdatenschutzgesetz bekannte Auftragsdatenverarbeitung scheint eine Herausforderung dar-zustellen. Konkret geht es hier um die Verarbeitung von personenbezogenen Daten im Auftrag und auf Weisung eines Verantwortlichen. Die Verarbeitung wird hingegen durch einen Dritten durchgeführt. Die Erstellung von Druckerzeugnissen ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.