RevisionsPraktiker 02-03/2017

24. Februar 2017 in Kategorie RevisionsPraktiker, Vorstand / Revision / IT

Liebe Leserinnen und Leser,

2017 wird wieder einmal ein sehr spannendes Jahr für die Banken und die Bankenaufsicht: Die neue MaRisk-Novelle, eine erneute Umfrage zum Niedrigzinsumfeld und im Rahmen des SREP Kapitalfestsetzungen für die Masse der Less Significant Institutions (LSI).

Hatten 2016 mehr als 300 LSI den individuellen SREP-Bescheid erhalten, sind 2017 die „restlichen“ über 1.300 LSI an der Reihe. Die flächendeckenden SREP-Kapitalfestsetzungen stellen einen Wendepunkt in der deutschen Aufsichtshistorie dar und spiegeln letztlich den neuen stark quantitativen Aufsichtsansatz der EZB wider.

Neu ist auch, dass erstmals qualitative Einstufungen im bankaufsichtlichen Risikoprofil – über einen bucket-Ansatz – unmittelbare Auswirkungen auf die Mindesteigenkapitalhöhe jedes LSI haben. Während sich die qualitative Komponente des Zinsänderungsrisikos im Anlagebuch noch gut von den Banken thematisch eingrenzen lässt, ist das bankaufsichtliche Betrachtungs- und Beurteilungsspektrum bei ICAAP und Internal Governance wesentlich breiter.

So werden bei Internal Governance im Wesentlichen die Organisations-, Kontroll- und Berichtsstrukturen der gesamten Bank (einschließlich Risikocontrolling- und Compliance-Funktion), das Zusammenwirken von Vorstand und Aufsichtsgremium sowie das Interne Kontrollsystem (einschließlich Interner Revision) von der Bankenaufsicht kritisch bewertet.

Dieser Fokus der Bankenaufsicht auf Internal Governance ist insoweit verständlich, zeigt doch die langjährige Erfahrung, dass Schieflagen bei Banken sich zunächst in den sog. „soft facts“ – hierzu gehört Internal Governance – abzeichnen.

Negativbeispiele sind: Nicht fristgerechte Bearbeitung von Überziehungslisten, fehlende zeitnahe Auswertung von neuen Kundendaten zur Bonitätsüberprüfung, nicht stringente Abarbeitung von Mängeln, die die Interne Revision oder der Jahresabschlussprüfer festgestellt haben. Erst mit zeitlicher Verzögerung zeigen sich die sog. „hard facts“ mit GuV-Wirkung (zum Beispiel: höhere Wertberichtigungsquoten bei Kundenkrediten).

Von daher sollten diese „soft facts“ von der Bankleitung nicht herunter gespielt werden („Es ist ja noch zu keinem Ausfall eines Kundenkredits gekommen!“), sondern vielmehr mit einer hohen „management attention“ wahrgenommen und diesbezügliche Mängel konsequent bearbeitet werden. Denn: Vorbeugen ist besser als in Schieflage zu geraten!

Viele Grüße und viel Freude beim Lesen dieser Ausgabe

Ihr Jürgen Büschelberger
Referatsleiter Bankenaufsicht, Deutsche Bundesbank, Hauptverwaltung München


Bankenaufsichtlicher Fokus: Daten- bzw. IT-Risiken

Anforderungen an die Institute aus MaRisk-Novelle und BAIT

Auch für kleine und mittlere Banken und Sparkassen bringt die fünfte MaRisk-Novelle im Jahr 2017 umfassende Veränderungen mit sich. Insbesondere die Umsetzung der Anforderungen nach BCBS 239 erfolgt – unterteilt nach Größe und Bedeutung des Instituts – durch die MaRisk-Novelle. Somit werden sinnvolle Prinzipien der BCBS 239 proportional in deutsche Vorgaben übertragen. Die Erwartungen an Sparkassen und Banken in Deutschland für die Risikodatenaggregation und -berichterstattung werden konkretisiert.

PRÜFUNGSTIPPS

  • Wie die Ausführungen in diesem Beitrag zeigen, sind IT- und Datenrisiken in den Fokus der Bankenaufsicht gerückt. Sinnvollerweise sollten sich Kreditinstitute auf diesen verstärkten bankenaufsichtlichen Blick einstellen. Somit gehört das Thema der Datensicherheit bzw. -ver­füg­barkeit auch zwingend ins Pflichtenheft der Internen Revision.
  • Die Interne Revision muss IT-Prozesse in ihre Prüfungsaktivitäten einbeziehen. Häufig fehlen der Fachrevision die notwendigen Detailkenntnisse hierfür. Somit müssen entsprechende Kenntnisse aufgebaut werden.
  • Oftmals ist das Bewusstsein in den Fachabteilungen sehr heterogen und insgesamt unzureichend ausgeprägt. Daten- bzw. IT-Risiken erkennt die IT-Abteilung eher; es müssen aber alle Mitarbeiter für die Risiken aus der Verwendung von Daten sensibilisiert werden. EDV- und IDV-Richtlinien sind kein lästiger Zusatzaufwand, auch wenn viele Mitarbeiter dies so empfinden.
  • Die Aufsicht wird zum Bereich IT weitere Klarstellungen veröffentlichen. So befindet sich aktuell die Ausarbeitung des Rundschreibens „Bankenaufsichtliche Anforderungen an die IT (BAIT)“ in Vorbereitung.

Autor: Dr. Stefan Scheve
Leiter des Sachgebiets Sparkassen, Regionalbereich Banken und Finanzaufsicht, Deutsche Bundesbank, Hauptverwaltung in Bremen, Niedersachsen und Sachsen-Anhalt, Hannover


Prüfung der Offenlegungspflichten: Neue Anforderungen im Fokus der Aufsichtsbehörden

Regulatorische Vorgaben im Überblick und praktische Hinweise zur Durchführung von Prüfungshandlungen der Internen Revision

Seit der Einführung der CRR im Jahr 2014 wird das Thema Offenlegung durch die Aufsichtsbehörden mehr und mehr in den Fokus genommen. Im Beitrag wird zum einen ein grundlegender Überblick über die regulatorischen Anforderungen an die Offenlegung gegeben, zum anderen werden Hinweise zur Prüfungsdurchführung mit Fokus auf die Prüfungshandlungen der Internen Revision gegeben.

PRÜFUNGSTIPPS

  • Erfolgte die Genehmigung der Offenlegungsprozesse durch das Leitungsorgan (z. B. durch die Freigabe der Arbeitsanweisungen)?
  • Bestehen im Institut eindeutige Zuständigkeiten und Verantwortlichkeiten für die einzelnen Offenlegungsvorschriften?
  • Wird der Offenlegungsprozess im Institut angemessen dokumentiert?
  • Gibt es Abweichungen zu ggf. vorhandenen Muster- oder Beispiel-Offenlegungsberichten der zentralen Verbände? Falls ja, sind diese sachgerecht und angemessen dokumentiert?
  • Verfügt der für die Offenlegung zuständige Fachbereich über angemessene personelle Ressourcen? Werden alle regulatorischen Anpassungen angemessen und zeitnah beachtet?
  • Wie erfolgt die Datenbereitstellung? Sind überdurchschnittlich viele manuelle Eingriffe erforderlich, kann dies ein Indiz für unzureichende Datenqualität sein.
  • Werden ggf. vorgenommene manuelle Eingriffe angemessen dokumentiert?
  • Wurde bzw. wird der Offenlegungsbericht fristgerecht erstellt und veröffentlicht?
  • Ist das Interne Kontrollsystem angemessen und wirksam? Erfolgt eine ausreichende Dokumentation? Wurden für den Prozess „Offenlegung“ in ausreichendem Maße Schlüsselkontrollen definiert und arbeitsanweislich dokumentiert?

Autor: Ingo Carvalho Nunninger
Abteilungsleiter Risikocontrolling (zuvor Interne Revision), Sparkasse Odenwaldkreis


Prozessorientierte Berichterstattung: Praxisansätze für die Interne Revision

Anpassung des Berichtswesens an die prozessorientierte Prüfungslandkarte

Gemäß Anforderungen der MaRisk hat die Interne Revision alle Aktivitäten und Prozesse in ihrem Prüfungsuniversum abzubilden. Wie sie konkret dabei vorgeht und wie darüber berichtet wird, verbleibt in der Methodenfreiheit der Internen Revision. In den letzten Jahren ist ein Wandel weg von einer isolierten Prüffeldorientierung hin zu einer prozessorientierten Prüfungslandkarte zu erkennen. Dies sollte sich zielgerichtet auch in der Art und Weise der Berichterstattung der Internen Revision widerspiegeln. Dieser Artikel zeigt einen praxiserprobten Ansatz der Berichterstattung auf und soll Anregungen geben, dass eigene Berichtswesen auf den Prüfstand zu stellen.

PRÜFUNGSTIPPS

  • Verschaffen Sie sich Klarheit über die Anforderungen der Berichtsempfänger an Ihr Produkt.
  • Stellen Sie transparente Qualitätskriterien auf, an denen sich die Revisionsmitarbeiter orientieren können. Der Prüfungsbericht ist Ihre Visitenkarte.
  • Stellen Sie klare Vorgaben bezüglich der Verwendung von Textbausteinen und Freitexten auf und sorgen Sie bei der Verwendung von Freitexten auf einen möglichst gleichlautenden Sprachgebrauch Ihrer Mitarbeiter.
  • Bilden Sie Ihre prozessorientierte Prüfungslandkarte in den Arbeitspapieren sowie im Berichtswesen ab und halten Sie die Struktur auch konsequent durch um redundante Prüfungshandlungen und damit auch redundante Berichtsinhalte zu vermeiden.
  • Halten Sie auch in der prozessorientierten Sicht den Bericht so schlank wie möglich.
  • Holen Sie regelmäßig Feedback der Berichtsempfänger zur Qualitätsüberprüfung Ihres Berichtswesens ein.

Autor: Holger Aurisch
MBA, Bereichsdirektor Interne Revision/Prokurist, Volksbank Breisgau Nord eG.


Prüfung der Dienstleistersteuerung: eine Herausforderung?

Die Sicht der Revision

Mit dem Konsultationsentwurf der MaRisk 2016 nimmt das Thema „Dienstleistersteuerung“ noch einmal Fahrt auf. Dort macht die BaFin konkrete Vorgaben, welche Bereiche überhaupt ausgelagert werden können. Gleichzeitig gibt sie detaillierte Hinweise, was für eine wirksame Dienstleistersteuerung notwendig ist.

PRÜFUNGSTIPPS

  • Die Prüfung der Dienstleistersteuerung ist kein Teufelszeug. Anhand der Vorgaben der MaRisk und des KWG lassen sich Prüfungsprozesse und Schemata entwickeln.
  • Hierbei kann auf bewährte Prüfungsschritte zurückgegriffen werden, die dann durch die dienstleistersteuerungstypischen Prüfelemente ergänzt werden und so eine ganzheitliche Prüfung ermöglichen.

Autor: Dennis Mosdzin
Wirtschaftsprüfer, Geschäftsführer, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft


Die Interne Revision: Prüfungsgegenstand nach § 44 KWG

Betrachtung und Erfüllung unter sich ständig wandelnden Anforderungen.

Die Einrichtung einer angemessenen und funktionsfähigen Internen Revision ist Bestandteil des nach § 25a KWG erforderlichen Risikomanagementsystems für Kreditinstitute und ist explizit in AT 4.4 MaRisk geregelt. Vor dem Hintergrund, dass sich die aufsichtlichen Anforderungen in den vergangenen Jahren stets fortentwickelt haben, ist jeder Geschäftsleiter in der Pflicht, die Interne Revision so auszugestalten, dass sie den sich ständig wandelnden Anforderungen der Aufsicht gerecht wird. Die Erfüllung der aufsichtlichen Anforderungen (auch im Bereich der Internen Revision) ist jedoch kein Selbstzweck. Eine starke und effiziente Interne Revision liegt vielmehr im ureigenen Interesse der Geschäftsleitung.

PRÜFUNGSTIPPS

  • Prüfen Sie kritisch, ob die bisher bestehenden revisionsinternen Regelungen mit den grundsätzlichen Anforderungen des DIIR in Einklang stehen.
  • Verfügen Sie über ein schriftliches Revisionshandbuch und wenn ja, genügt es den berufsüblichen Standards?
  • Verfügen Sie über einen definierten und standardisierten Prüfungsprozess?
  • Entspricht die tatsächliche Prüfungspraxis den revisionsinternen und berufsüblichen Standards?
  • Holen Sie Feedback innerhalb Ihres Hauses ein. Ergeben sich hieraus Impulse für Veränderungsbedarf?
  • Fragen Sie sich kritsch, ob Ihr Haus einen Quality Assessment gem. DIIR oder eine Prüfung nach IDW EPS 983 erfolgreich absolvieren könnte.
  • Ergeben sich aus der Berichterstattung des Abschlussprüfer zur Ordnungsmäßigkeit der Internen Revision oder aus dem Schriftverkehr mit den Aufsichtsbehörden Anmerkungen zur Internen Revision? Falls ja, handeln Sie!

Autor: Björn Reher
Diplom-Wirtschaftsjurist (FH), Wirtschaftsprüfer, Steuerberater, Partner, Roever Broenner Susat Mazars GmbH & Co. KG Wirtschaftsprüfungsgesellschaft


Risikomanagementprozesse: Prüfung durch die Interne Revision

Ansätze zur ganzheitlichen Betrachtung der Risikomanagementprozesse im Rahmen der Prüfung der Internen Revision

Die MaRisk verpflichten die Interne Revision dazu, die Wirksamkeit und Angemessenheit des Risikomanagements sowie die Ordnungsmäßigkeit aller Aktivitäten und Prozesse zu prüfen und zu beurteilen. Eine isolierte Betrachtung einzelner Bausteine des Risikomanagements, wie z. B. der Risikoarten oder des Reportings ist vor dem Hintergrund der Komplexität und Vernetzung der Themen nicht sinnvoll. Dieser Beitrag zeigt Wege der zielführenden Vernetzung der Prüfungsgebiete auf und erläutert, wo es auch sinnvoll sein kann, Themenbereiche abzugrenzen.

PRÜFUNGSTIPPS

  • Schaffen Sie eine klare, transparente Prüfungslandkarte mit den Teilbereichen der Risikomanagementprüfung.
  • Definieren Sie klare Schnittstellen zu anderen Prüfungsgebieten. Vermeiden Sie redundante Prüfungshandlungen sowie blinde Flecken im Prüfungsuniversum.
  • Sensibilisieren Sie alle Revisionsmitarbeiter, bei Prüfungen außerhalb des Themas Gesamtbanksteuerung sensibel für etwaige Schnittstellen zu sein und sich lieber einmal zu oft mit dem zuständigen Prüfungsleiter abzustimmen, als ein Prüfungsthema außen vorzulassen.
  • Passen Sie die Prüfungsintensität und den Prüfungsturnus konsequent an die objektive Risikoeinschätzung an. Nicht alle Teilprozesse müssen zwangsläufig jährlich geprüft werden.
  • Führen Sie eine konsequente Prüffeldbeobachtung durch und dokumentieren Sie die Ergebnisse, so dass Sie ad-hoc in der Lage sind, den Veränderungsstand der Risikoeinschätzung zeitnah zu ermitteln.
  • Prüfen Sie, ob eine stringente Ableitung der Risikostrategie in die einzelnen Risikotreiber erfolgt, ob deren Wesentlichkeit transparent ermittelt wurde und der darauf aufbauende Steuerungsprozess stimmig ist.
  • Achten Sie auf eine transparente, empfängerorientierte Risikoberichterstattung, welche dem Vorstand als sinnvolle Quelle für strategische Entscheidungen dient und sich nicht auf Zahlenfriedhöfe oder Bedienung externer Informationsbedürfnisse (Aufsicht, Prüfungsverbände/WP) beschränkt.
  • Identifizieren Sie die Schlüsselkontrollen in den Teilprozessen der Gesamtbanksteuerung und legen Sie Ihren Prüfungsfokus auf die Beurteilung der Angemessenheit und Wirksamkeit dieser Kontrollen, um eine hohe Prüfungseffektivität und -effizienz zu gewährleisten.

Autor: Holger Aurisch
MBA, Bereichsdirektor Interne Revision/Prokurist, Volksbank Breisgau Nord eG.


 

Antwort auf "RevisionsPraktiker 02-03/2017"

  • Heike Roland sagt:

    Frage zum Artikel „Die Interne Revision: Prüfungsgegenstand nach § 44 KWG“

    Unter Punkt V.4 „Kapazitätsauslastung“ sprechen Sie von einem deutlichen Ungleichgewicht zwischen originären und sekundären Tätigkeiten der Internen Revision (insbesondere bei verbandsgeprüften Instituten, wo die Prüfung des Jahresabschlusses zum Teil erhebliche Prüferkapazitäten bindet).

    Wie ist dieser Passus genau zu verstehen?

    Wird damit intendiert den Prüfungsumfang der Internen Revision im Jahresabschluss zu verringern, um Doppelarbeiten zu vermeiden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>