RevisionsPraktiker 04-05/2016

Cover RevisionsPraktikerLiebe Leserinnen und Leser,

der „Einheitliche Aufsichtsmechanismus“ (Single Supervisory Mechanism – SSM) stellt seit November 2014 das „neue System“ der Bankenaufsicht mit dem Ziel, eine einheitliche Aufsicht in Europa sicherzustellen, dar. Hierzu wurde die Aufsicht über signifikante Institute direkt bei der EZB und die über die übrigen Institute bei den nationalen Aufsichtsbehörden, in enger Zusammenarbeit mit der EZB, angesiedelt. Die grundlegenden Ziele der neuen Bankenaufsichtsstruktur sind in neun Grundprinzipien – wie Homogenität, risikobasiertem Ansatz, Verhältnismäßigkeit und Angemessenheit – niedergelegt.

Um dies zu gewährleisten, verfügt der SSM über eine eigens dafür geschaffene Funktion (Quality Assurance (QA)), deren Hauptaufgabe es ist, in Zusammenarbeit mit den operativ verantwortlich handelnden Personen und Organisationseinheiten innerhalb des SSM zu garantieren, dass diese Grundsätze bei allen Tätigkeiten angemessen – im Sinne von „Best Practices“ – umgesetzt werden. Die Abteilung QA wurde innerhalb der Generaldirektion Mikroprudenzielle Aufsicht IV angesiedelt.

Die Aufsicht über die Institute erfordert es, übergreifende Verfahren zu etablieren, die gewährleisten, dass sämtliche aufsichtliche Aktivitäten im SSM entsprechend der höchsten Qualitätsstandards erfolgen. Ziel der Qualitätssicherung ist es, die Anwendung der aufsichtlichen Vorgaben im Sinne der neun Prinzipien sicherzustellen. Hierzu kann sich die Abteilung QA verschiedener ex ante als auch ex post ausgerichteter Instrumente und Methoden bedienen. Die Tätigkeit basiert dabei sowohl auf einer umfassende Methodologie als auch einem klar definierten QA-Universum. Kernaufgabe der Abteilung QA ist es daher, die laufende Qualität der Aufsichtstätigkeit zu begleiten und auf eine stetige Weiterentwicklung und Verbesserung der aufsichtlichen Standards, Methoden und Prozesse hinzuwirken.

Die QA kann als eine sogenannte „zweite Verteidigungslinie“ verstanden werden. Die Qualitätskontrolle der JSTs z. B. erfolgt dabei – wie die der horizontalen Funktionen – auf Basis detaillierter querschnitts- und ergebnisorientierter Analysen. Hierzu können spezielle (Benchmark- oder Key Risk-) Indikatoren oder auch ex post-Reviews zielorientiert als zentrale Instrumente der QA eingesetzt werden.

Dieser Instrumentarien-Kasten versetzt die QA in die Lage, entsprechend der neuen bankaufsichtlichen Prinzipen, alle Tätigkeiten effizient und effektiv zu überprüfen, um gezielt Verbesserungsvorschläge zur Organisation, den Tätigkeiten und Prozessen sowie der Systeme zu unterbreiten. Mit dieser neuen Funktion schlägt die Aufsicht in Europa einen neuen richtungsweisenden Weg ein, um die Qualität der Prozesse zur Steuerung, Identifizierung und Überwachung der Risiken bei Kreditinstituten zu gewährleisten.

Wäre eine Art Qualitätssicherung in den Instituten selbst ebenfalls ein wirkvolles Instrument, um die Prozesse in den Instituten nachhaltig zu verbessern, damit die Institute frühzeitig, effektiv und angemessen auf Schwächen in den Prozessen zur Steuerung, Identifizierung, Überwachung und dem Reporting der Risiken reagieren können?
Ihr Kai Kreische,
Leiter Quality Assurance Review Section, Europäische Zentralbank


 

Systematische Analyse sämtlicher Projektanträge als Continuous Auditing-Instrument der Internen Revision

Mit den in abgelehnten Projektanträgen enthaltenen Informationen die Prüfungsplanung als auch die Identifizierung wesentlicher Projekte sachgerecht optimieren

Setzt sich die Interne Revision nicht intensiv mit sämtlichen von den Fachbereichen als notwendig erachteten Veränderungen (egal ob intern oder extern getrieben) auseinander, verpasst sie die Chance, ihre eigene Effizienz zu steigern und ihren Pflichten gem. MaRisk bestmöglich nachzukommen.

PRAXISTIPPS

  • Wenn man ein abgelehntes Projekt identifiziert, das sich als „wesentlich“ herausstellt, ist man dann einem Mangel im Genehmigungsprozess auf der Spur?
  • Durch „Spielen“ mit der Lage der Schwelle lässt sich beobachten, wie viele Projekte jeweils auf der „falschen“ Seite der Schwelle liegen. Ist ein Optimierungskriterium definiert und anhand dessen der Schwellenwert festgelegt, kann dieser eine Weile verwendet werden, muss aber bei jeder Modelländerung bzw. jährlich neu bestimmt werden, um sich immer am aktuellen Projektgeschehen auszurichten; man nimmt also die neuen genehmigten und abgelehnten Projekte zur betrachteten Projekthistorie hinzu und entfernt ggf. die Projekte des ältesten Jahres der Historie.
  • Als Kennzahlen kommen je nach Design des Scoring-Verfahrens absolute und relative (also „echte“) Kennzahlen in Betracht sowie qualitative Kriterien, denen dann ein numerischer Wert zugeordnet werden muss. Beispiele für relative Kennzahlen:
    • relativer Budget-Puffer= Budget-Puffer/geplantes Budget.
    • relatives Budget= geplantes Budget/Gesamt-Jahres-Projektportfolio-Budget.
    • relativer Personentage-Puffer= Personentage-Puffer/geplante Personentage.
    • Anzahl extern geleisteter Personentage/insgesamt geplante Personentage.

Autoren:
Sebastian Kahl
, Senior Prüfungsleiter, Interne Revision HSH Nordbank AG
Dr. Reinhard Prange, Data Analytics Audit Specialist, Interne Revision, HSH Nordbank AG


 

Revisionsprüfung der Anti-Geldwäsche-Organisation

Prüfungsansätze der Internen Revision

Aufgabe der Internen Revision ist u. a. die Bewertung der Eignung des Geldwäschebeauftragten sowie die Kontrolle von Verfahren und Grundsätzen zur Geldwäscheprävention. Die Prüfungshandlungen basieren grundsätzlich auf der aktuellen Qualifikation des Geldwäschebeauftragten sowie auf der Qualität der von ihm durchgeführten Tätigkeiten. Der Beitrag soll helfen, geeignete Prüfungsansätze für den Bereich der Anti-Geldwäsche-Organisation zu wählen.

PRAXISTIPPS

  • Der Geldwäschebeauftragte und sein Stellvertreter müssen die zur Erfüllung ihrer Funktion erforderliche Sachkunde besitzen. Als Prüfungsansätze für die Überprüfung der Eignung des Geldwäschebeauftragten kann u. a. der berufliche Lebenslauf herangezogen werden. Des Weiteren bietet es sich an, die Weiterbildungsaktivitäten, die Dauer der Tätigkeit, Feststellungen aus vorangegangenen Prüfungen, Erkenntnisse aus externer und eigener Prüfungstätigkeit, das Mitwirken in Arbeitskreisen sowie die Umsetzung von Neuerungen (z. B. Neuproduktprozess) in die Prüfungshandlungen mit einzubeziehen. Extrem wichtig ist hierbei ebenso die Überprüfung, ob ein Geldwäschebeauftragter bzw. ein Stellvertreter während der Geschäftszeiten der Bank immer erreichbar ist bzw. war.
  • Abstimmung von Prüfungs- und Kontrollschwerpunkten zwischen Revision und Compliance zur Vermeidung doppelter Kontrolltests.
  • Einbeziehung von Kontrollergebnissen des Geldwäschebeauftragten in die Auswahl der Prüfungsschwerpunkte der Internen Revision.
  • Bewertung und Dokumentation der vom Geldwäschebeauftragten durchgeführten Kontrollhandlungen.
  • Für die Prüfung sind alle relevanten Sachverhalte einzubeziehen. Hierbei sind die existierenden Regelungen im Fachbereich zu beachten. Sind die Regelungen in den entsprechenden Arbeitsanweisungen umgesetzt und sind diese den Mitarbeitern bekannt und werden eingehalten?
  • Festlegung einer Mindest-Stichprobengröße zur Überprüfung der Kontrollwirksamkeit.
  • Wurden festgestellte Mängel und Schwachstellen aus vorangehenden Prüfungen abgestellt?

Autor: Peter Keller, Bereichsleiter Zentrale Stelle, FCH Compliance GmbH


 

Ausgewählte Aspekte zur Durchführung und Prüfung einer Risikoinventur in Banken

Die Risikoinventur ist das Fundament des ICAAP und ermöglicht, dass die wesentlichen Risiken eines Instituts in der Risikostrategie adressiert werden können. Die Risikoinventur sollte daher ein Schwerpunktthema bei der Prüfung durch die Interne Revision sein.

PRAXISTIPPS

  • Stellen Sie bei der Beurteilung methodischer/konzeptioneller Aspekte einer MaRisk-konformen Risikoinventur die Angemessenheit der institutsspezifischen Umsetzung des Begriffs der „Wesentlichkeit“ der nicht per se (vgl. AT 2.2 Abs. 1 MaRisk) als kapitalisierungsrelevant einzustufenden Risikoarten in den Mittelpunkt Ihrer Prüfungshandlungen. Um die ansonsten stark von den Ergebnissen subjektiver Experten(ein)schätzungen abhängenden Ergebnisse der Risikoinventur zu objektivieren, sollten bereits vor der Durchführung der Risikoinventur klar definierte Wesentlichkeitskriterien sowie diesbezügliche Schwellenwerte definiert sein.
  • Kapital- und/ oder ertragsbezogene Schwellwerte dieser Wesentlichkeitskriterien könnten auf die nach AT 4.2 Abs. 2 MaRisk festzulegenden Risikotoleranzen abgestellt werden. Durch die Festlegung von Risikotoleranzen werden die Geschäftsstrategie auf messbare kurz- und mittelfristige Ziele heruntergebrochen und Grenzwerte (Limits) für die wesentlichen Risikoarten festgelegt.
  • Die Prüfung der Ordnungsmäßigkeit der Prozesse zur Erfassung möglicher kapitalisierungsrelevanter Risikoarten („Risikolandkarte“) sollte einen Schwerpunkt der prozessbezogenen Prüfungshandlungen bilden. Prüfen Sie in diesem Zusammenhang, ob Transparenz darüber besteht, auf welcher Grundlage (z. B. Geschäftsmodell, (Risiko-)Strategien, Treiber der Risikodeckungsmasse) und durch welche Experten eine vollständige Liste möglicherweise wesentlicher Risikoarten erarbeitet wurde. In diesem Zusammenhang ist auch auf eine überschneidungsfreie Definition dieser Risikoarten zu achten.
  • Ein weiterer Schwerpunkt der prozessbezogenen Prüfungshandlungen sollte hinterfragen, ob die festgelegten Wesentlichkeitskriterien ordnungsgemäß auf sämtliche in der „Risikolandkarte“ erfassten Risikoarten angewendet wurden. Wichtig ist in diesem Zusammenhang, dass die Ergebnisse der Wesentlichkeitseinstufung für Dritte nachvollziehbar dokumentiert wurden und dass hieraus insbesondere klar hervorgeht, welche Vorkehrungen zur angemessenen Berücksichtigung der als unwesentlich eingestuften Risikoarten getroffen wurden.
  • Zur Kommunikation der Ergebnisse der Risikoinventur gegenüber dem Senior Management ist eine geordnete Darstellung der als wesentlich identifizierten Risikoarten im Sinne eines Gesamtrisikoprofils hilfreich. Auf der Grundlage einer derartigen und aussagekräftigen Zusammenfassung der Ergebnisse der Risikoinventur sollte ein diesbezüglicher Beschluss durch die Geschäftsleitung herbeigeführt worden sein.

Autoren:
Steffen Balthasar
, Revision Bank- und Risikosteuerung, DZ BANK AG
Matthias Göttsche, Risikomanagement und -controlling, KfW Bankengruppe


 

Prüfung des Kapitalplanungsprozesses

Ansätze zur zielgerichteten und ressourcenschonenden Prüfung des Kapitalplanungsprozesses durch die Interne Revision

Mit der letzten Novellierung der MaRisk im Jahr 2012 hat die Aufsicht den Kreditinstituten auferlegt, einen zukunftsgerichteten Kapitalplanungsprozess zu implementieren. In diesem Beitrag soll ein pragmatischer und ressourcenschonender Prüfungsansatz vorgestellt werden, mit dem der Komplexität des Themas angemessen Rechnung getragen werden kann.

PRAXISTIPPS

  • Machen Sie den Kapitalplanungsprozess zu einer jährlichen Pflichtprüfung.
  • Nehmen Sie jährlich eine ganzheitliche Betrachtung des Prozesses vor.
  • Begleiten Sie den Strategieprozess und den Kapitalplanungsprozess Ihres Hauses aktiv.
  • Nehmen Sie sich im Rahmen der Prüfungsvorbereitung ausreichend Zeit zur Analyse sämtlicher relevanter Aspekte.
  • Achten Sie auf vorsichtige und realistische Annahmen.
  • Hinterfragen Sie konkurrierende Ziele.

Autor: Thomas Maurer, Direktor Revision, Münchner Bank eG


 

Prüfung Risikoreporting

Empfängerorientierte Berichterstattung als Herausforderung für eine sachgerechte Erfüllung der Anforderungen an das Risikomanagement in Kreditinstituten

Risikoreports haben einen Auftrag, einen „Informationsauftrag“. Aufgrund ihrer starken Ausrichtung auf Spezialistenwissen geht dieser Auftrag jedoch manchmal verloren. Damit Überwachungsorgan und Entscheidungsträger entscheidungsrelevante Reports erhalten, um ihren Auftrag ausführen zu können, müssen die Informationen zielgruppenorientiert auf die Bedürfnisse der Empfänger ausgerichtet sein. Wie sehen Theorie und Praxis aus?

PRAXISTIPPS

  • Ein Usability Testing für die Evaluierung des Berichtswesens sollte implementiert werden.
  • Regelmäßige Workshops von Berichtserstellern und -empfängern sowie weiteren Kommunikationsexperten zum Abgleich der Erwartungen und Entwicklung eines informationsadjustierten Reportings sollten organisiert werden.
  • Risikokommunikation als eigenständiger Auftrag im Prüfungsplan der Revision.
  • Beurteilung der Datagovernance im Risikomanagement.
  • Bewertung der qualitativen Ebene der Risikokommunikation: Verstehen die Berichtsempfänger den Inhalt „ihres“ Risikoberichtes?
  • Ein notwendiges Kriterium für eine angemessene Risikokommunikation ist die Interpretierbarkeit der Ergebnisse durch die Berichtsempfänger.
  • Im Rahmen der Berichterstattung wird neben einer reinen Darstellung der Risikosituation auch eine entsprechende Bewertung erwartet.
  • Berichtsrhythmen und -inhalte sind nachvollziehbar festzulegen.

Autoren:
Dr. Karsten Geiersbach
(CIA und registrierter Quality Assessor), Bereichsdirektor Interne Revision, Kasseler Sparkasse
Stefan Prasser (CIA), Dipl.-Math., Referent in der Revision für Gesamtbanksteuerung, Kasseler Sparkasse


Die obigen Themen erscheinen ausführlich im RevisionsPraktiker, Ausgabe 04-05/2016 
Weitere Infos unter http://www.revisionspraktiker.de/


2 Antworten auf "RevisionsPraktiker 04-05/2016"

  • Doris Stiermann sagt:

    In den Beitrag „Prüfung Risikoreporting“ heißt es unter Pkt. 2 „Berichterstattung an das Überwachungsorgan“, dass „…,und die Berichte sind durch den Leiter der Risikocontrolling-Funktion im Ausschuss vorzutragen und mit diesem zu erörtern.“
    Auf welche (Rechts-) Quelle bezieht sich diese Aussage?

  • Geiersbach / Prasser sagt:

    Die Anforderung der Berichterstattung an das Überwachungsorgan leitet sich aus § 25c Abs. 4a Nr. 3 KWG ab, welche eine Konkretisierung des § 25a Absatz 1 Satz 3 Nummer 3 Buchstabe a bis c KWG ist. Zur Stärkung der Internal Governance ist es aus unserer Sicht good practice, den Leiter der Risikocontrolling-Funktion in die Berichterstattung gegenüber dem Verwaltungs- oder Aufsichtsorgan zur Darstellung der Risikosituation einschließlich einer Beurteilung der Risiken seitens der Geschäftsleitung einzubinden. Deshalb auch die Formulierung „z.B.“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>