Fachbeiträge & Kommentare zu Interne Revision

Rz. 5 Prinzipien zur Ausgestaltung interner Kontrollstrukturen sind auch Gegenstand eines Dokumentes des Baseler Ausschusses für Bankenaufsicht (BCBS) aus dem Jahr 1998.[1] Gefördert werden soll damit die Entwicklung einer Kontrollkultur in den Instituten. Dafür werden Grundsätze zu (strukturellen) Voraussetzungen, Verantwortlichkeiten und Funktionen von internen Kontrollen ...mehr

Rz. 24 Für die Praxis der Erstellung der Revisionsberichte wird im Regelfall unterstellt, dass die Interne Revision und die jeweils geprüfte Organisationseinheit schon während der Prüfung oder spätestens an deren Ende zu einer Vereinbarung hinsichtlich der Beseitigung der aufgedeckten Mängel oder Schwachstellen kommen. Im Normalfall wird die Interne Revision die Prüfungserge...mehr

Rz. 7 Der Baseler Ausschuss für Bankenaufsicht (BCBS) hat im Juni 2012 seine Empfehlungen zur Internen Revision in Banken veröffentlicht.[1] In diesem Papier geht es ebenfalls um die Unabhängigkeit und das Aufgabengebiet der Internen Revision, wobei sich daraus kein Handlungsbedarf zur Überarbeitung der MaRisk ergeben hat. Allerdings wurde wiederholt die Diskussion über die ...mehr

Rz. 30 An die Inanspruchnahme der Alternativen sind verschiedene Voraussetzungen geknüpft. So hat die "anderweitig durchgeführte Revisionstätigkeit" den einschlägigen Anforderungen der MaRisk zu genügen (→ AT 4.4.3 und BT 2). Damit wird insbesondere klargestellt, dass eine Auslagerung der Aufgaben der Internen Revision grundsätzlich keine Aufweichung der damit verbundenen Mi...mehr

Rz. 60 Bei den bedeutenden Instituten gemäß Art. 6 SSM-Verordnung (→ AT 1 Tz. 3) hat sich in der Praxis zwischen dem Leiter der Internen Revision des Institutes und dem zuständigen Joint Supervisory Team (JST) der EZB ein regelmäßiger Informationsaustausch zu Revisionsthemen etabliert. Auch die BaFin oder die Deutsche Bundesbank können derartige Gespräche mit den von ihnen b...mehr

Rz. 78 Seit der vierten MaRisk-Novelle werden als Bestandteile des internen Kontrollsystems explizit auch eine Risikocontrolling-Funktion und eine Compliance-Funktion gefordert. Mit Blick auf den beschriebenen Aufgabenbereich der Compliance-Funktion könnten sich in der Praxis u. a. Abgrenzungsprobleme zur Internen Revision ergeben. So soll die Compliance-Funktion den Risiken...mehr

Rz. 20 Das Aufgabenfeld der Internen Revision erstreckt sich auf grundsätzlich alle Aktivitäten und Prozesse, unabhängig davon, ob diese ausgelagert sind oder nicht.[1] Für die Interne Revision sind ausgelagerte Aktivitäten und Prozesse regelmäßig von besonderem Interesse, da sie nur mittelbar vom Institut beeinflusst werden können und die Interne Revision nicht mehr den unm...mehr

Rz. 6 Inwiefern die Interne Revision auch für die Überwachung der Mängelbeseitigung zuständig ist, die nicht auf ihren eigenen Feststellungen basiert, wird in der Praxis unterschiedlich gehandhabt. Problematisch ist es für ein Institut, wenn die mit der Abarbeitung der Maßnahmen betraute Fachabteilung gegenüber der Aufsicht oder dem Wirtschaftsprüfer eine Erledigungsmeldung ...mehr

Rz. 24 Diese unterjährige Disposition erfolgt im Rahmen der operativen Planung, mit der die genehmigte Jahresplanung der Internen Revision verfeinert und "rollierend" fortgeschrieben wird. Dazu gehört u. a. die Festlegung eines Start- und Enddatums, wobei die erforderliche Zeit für die Planung, Vorbereitung, Durchführung, Berichterstattung und Abschlussarbeiten berücksichtig...mehr

Rz. 47 Von der Internen Revision sollte sichergestellt werden, dass die Qualität der Revisionsarbeit hohen Standards genügt. Dazu muss nicht nur die Qualität der zur Anwendung gebrachten Methoden überprüft werden. Die Mitarbeiter müssen abhängig von ihren Aufgaben, Kompetenzen und Verantwortlichkeiten auch über die erforderlichen Kenntnisse und Erfahrungen verfügen. Durch ge...mehr

Rz. 23 Das Institute of Internal Auditors (IIA) hat im Juli 2020 eine Weiterentwicklung des Modells der drei Verteidigungslinien hin zu einem "Drei-Linien-Modell" ("Three-Lines-Model") angestoßen (siehe Abbildung 40).[1] Dieses Modell verfolgt einen verstärkt prinzipienorientierten Ansatz, der den Bedürfnissen unterschiedlicher Unternehmen besser gerecht werden soll. Die sec...mehr

Rz. 32 Grundsätzlich liegt es nahe, dass die Interne Revision aufgrund ihres Charakters als Instrument der (gesamten) Geschäftsleitung nicht einem einzelnen Geschäftsleiter unterstellt ist, sondern dem gesamten Organ. Da dies aufgrund der üblicherweise vorgenommenen Aufteilung der Zuständigkeiten zwischen den einzelnen Geschäftsleitern als nicht besonders praktikabel angeseh...mehr

Rz. 68 Im Kontext der MaRisk erhält die Prüfung und Beurteilung der Wirksamkeit und Angemessenheit des "Risikomanagements im Allgemeinen" und des "internen Kontrollsystems im Besonderen" seitens der Internen Revision eine besondere Gewichtung. Für die Interne Revision geht es also insbesondere um die Prüfung und Beurteilung des internen Kontrollsystems, d. h. der Regelungen ...mehr

Rz. 82 Da umfangreiche Prüfungshandlungen der Revisionen der auslagernden Institute insbesondere bei Auslagerungen auf Mehrmandantendienstleister zu praktischen Problemen führen können, sehen die MaRisk bestimmte Erleichterungen vor.[1] So kann die Interne Revision des auslagernden Institutes auf eigene Prüfungshandlungen verzichten, wenn diese z. B. von der Internen Revisio...mehr

Rz. 3 Unter materiellen Gesichtspunkten brachten die Novellen der MaRisk aus den Jahren 2009, 2010 und 2012 keine einschneidenden Änderungen bei den revisionsspezifischen Regelungen mit sich. Bemerkenswert war bei diesen Anpassungen zum einen, dass der Internen Revision die Begleitung von wesentlichen Projekten verbindlich vorgegeben wurde (→ BT 2.1 Tz. 2). Zum anderen kommt...mehr

Rz. 60 Diese Anforderung ergibt sich im Grunde bereits daraus, dass die Interne Revision ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und berichtspflichtig ist (→ AT 4.4.3 Tz. 2). Die Genehmigung der Prüfungsplanung durch die Geschäftsleitung verschafft der Internen Revision die notwendige Durchsetzungskraft innerhalb des Institutes. Die genehmigte Planun...mehr

Rz. 56 Seit der Neuregelung der Anforderungen an die Aufsichtsorgane von Instituten im Rahmen des CRD IV-Umsetzungsgesetzes in § 25d KWG hat sich die Interne Revision zu einer zunehmend wichtigen Informationsquelle für dieses Gremium entwickelt. Es ist davon auszugehen, dass diese Funktion durch die Koordination der internen und externen Prüfung (mit Bezug auf deren Befassun...mehr

Rz. 7 Als ein weiteres Merkmal im Zusammenhang mit der Unabhängigkeit der Internen Revision wird hervorgehoben, dass sie bei der Berichterstattung und Wertung der Prüfungsergebnisse keinen Weisungen unterworfen sein darf. Damit wird das Unabhängigkeitsprinzip nochmals konkretisiert. Das Prüfungsurteil durch die Interne Revision soll also unparteiisch, neutral und sachbezogen...mehr

Rz. 102 Das Aufsichtsorgan ist auf Vorschlag des DIIR im MaRisk-Fachgremium seit der vierten MaRisk-Novelle bei einem Wechsel der Leitung der Revisionsfunktion zu informieren. Es ging dabei bisher nicht um eine Zustimmung des Aufsichtsorgans, sondern lediglich um dessen Kenntnisnahme, die mit seinen Pflichten der Unternehmensüberwachung im Einklang steht. Den Ausführungen de...mehr

Rz. 104 Die Konzernrevision ist – entsprechend der Anforderung auf Ebene des einzelnen Institutes – ein "Instrument" der Geschäftsleitung des übergeordneten Unternehmens. Die Konzernrevision hat im Rahmen des Risikomanagements der Gruppe ergänzend zur Internen Revision der gruppenangehörigen Unternehmen tätig zu werden. Sie kann dabei auf die Prüfungsergebnisse der Revisione...mehr

Rz. 91 Das Informationsrecht kann mündliche oder schriftliche Informationen betreffen. So kann sich z. B. ein konkreter (mündlicher) Erläuterungsbedarf zu den Inhalten der Organisationsrichtlinien ergeben. Die Mitarbeiter sind verpflichtet, hierzu jederzeit im notwendigen Umfang Auskunft zu geben. Informationsrechte umfassen natürlich auch den Einblick in Geschäftsbriefe und...mehr

Rz. 33 Die Interne Revision hat vierteljährlich einen Quartalsbericht über die von ihr seit dem Stichtag des letzten Quartalsberichtes durchgeführten Prüfungen zu erstellen. Empfänger des Quartalsberichtes sind die Geschäftsleitung und das Aufsichtsorgan. Der Bericht hat die folgenden Informationen zu enthalten: die festgestellten wesentlichen oder höher eingestuften Mängel, d...mehr

Rz. 34 Aus dem Umstand, dass die Interne Revision als Instrument der Geschäftsleitung agiert, ergibt sich grundsätzlich auch deren unmittelbare Anbindung an die Geschäftsleitung, z. B. in Form einer Stabsstelle. Dass diese organisatorische Anbindung eine direkte Berichtspflicht nach sich zieht, ist ebenfalls einsichtig und bedarf im Grunde keiner besonderen Erwähnung. Im Ein...mehr

Rz. 12 Mit der Einschränkung der Anforderung auf "wesentliche" Projekte wird zum einen dem Grundsatz der Risikoorientierung Rechnung getragen. Die Interne Revision muss nur bei Projekten begleitend tätig werden, die aus Risikosicht von Relevanz sind. Zu diesem Zweck müssen alle Organisationseinheiten die Interne Revision über neue Projekte informieren, damit sie die aus ihre...mehr

Rz. 37 Die Interne Revision hat ferner einen Jahresbericht über die von ihr im Laufe des Geschäftsjahres durchgeführten Prüfungen zu verfassen und der Geschäftsleitung sowie dem Aufsichtsorgan vorzulegen.[1] Dieser Jahresbericht hat die folgenden Informationen zu enthalten: die festgestellten schwerwiegenden und die noch nicht behobenen wesentlichen Mängel, die beschlossenen M...mehr

Rz. 27 Die Prüfungen haben in angemessenen Abständen zu erfolgen, wobei grundsätzlich ein Turnus von drei Jahren unterstellt wird. Um eine risikoorientierte Prüfung zu ermöglichen, werden Abweichungen in beide Richtungen zugelassen. Wenn "besondere Risiken" bestehen, ist jährlich zu prüfen.[1] Bei unter Risikogesichtspunkten nicht wesentlichen Aktivitäten und Prozessen kann ...mehr

Rz. 18 Gelegentlich kann es schwierig sein, zwischen der Projektbegleitung und einer lediglich beratenden Tätigkeit der Internen Revision zu unterscheiden. An die Interne Revision wird häufig die Bitte herangetragen, zu einzelnen Themen kurzfristig Stellung zu nehmen oder Gutachten zu erstellen.[1] Damit kann das Fachwissen der Internen Revision nutzbringend für das Institut...mehr

Rz. 43 Bis zum Inkrafttreten des Trennbankengesetzes bestanden die verschiedenen Berichtspflichten der Internen Revision grundsätzlich nur gegenüber der Geschäftsleitung. Wie bei der Risikoberichterstattung (→ AT 4.3.2 Tz. 3 und BT 3.1 Tz. 5) hatte die Geschäftsleitung das Aufsichtsorgan allerdings regelmäßig über die Ergebnisse der Revisionstätigkeit zu unterrichten. Die Ma...mehr

Rz. 4 Gegenstand der Prüfungstätigkeit der Internen Revision sind nicht nur alle internen Aktivitäten und Prozesse des Institutes, sondern auch jene Tätigkeiten, die auf andere Unternehmen ausgelagert sind (→ AT 4.4.3 Tz. 3). Die Prüfungstätigkeit der Internen Revision kann aufgrund dieses Abdeckungsgrades also durchaus als "umfassend" charakterisiert werden. Die Vollständig...mehr

Rz. 4 Für die Bankenaufsicht besteht nicht zuletzt vor dem Hintergrund des "Supervisory Review Process" (SRP) ein großes Interesse an einer funktionsfähigen Internen Revision.[1] Seit Mitte der neunziger Jahre haben zahlreiche nationale Bankenaufsichtsbehörden Dokumente veröffentlicht, die mittelbar oder unmittelbar auf die Interne Revision Bezug nehmen.[2] Inzwischen sind a...mehr

Rz. 69 Die Compliance-Funktion kann zur Erfüllung ihrer Aufgaben auf andere Funktionen und Stellen zurückgreifen. Diese Möglichkeit ist in den MaRisk nicht weiter eingeschränkt worden. Insofern ist es grundsätzlich möglich, dass die Compliance-Funktion bei der Planung und Durchführung ihrer Kontrolltätigkeit die Prüfungsplanung und Berichterstattung der Internen Revision ber...mehr

Rz. 58 Wegen der hohen Priorität der Sonderprüfungen muss die Interne Revision personell und sachlich in die Lage versetzt werden, diese kurzfristig umzusetzen. Gleichzeitig darf der übrige Prüfungsbetrieb, auch wenn Verschiebungen mancher Prüfungen erforderlich werden, nicht vollständig zum Erliegen kommen. Zwar kann im Einzelfall auf externe Spezialisten zurückgegriffen we...mehr

Rz. 11 Die EBA hat bereits in den Leitlinien zur internen Governance aus dem Jahr 2011 Anforderungen an die Ausgestaltung der Internen Revision formuliert.[1] Danach sollte die Interne Revision direkt der Geschäftsleitung und/oder dem Prüfungsausschuss (soweit vorhanden) ihre Erkenntnisse und Vorschläge für materielle Verbesserungen der internen Kontrollen berichten. Die Ges...mehr

Rz. 401 Bei einer Vollauslagerung der Internen Revision übernimmt der im Institut verbleibende Revisionsbeauftragte auch die Funktion des Adressaten für die Einholung von Auskünften durch den Vorsitzenden des Aufsichtsorgans bzw. der gebildeten Ausschüsse (→ AT 4.4.3 Tz. 2).[1] Vor diesem Hintergrund ist das Aufsichtsorgan bei einem Wechsel des Revisionsbeauftragten rechtzei...mehr

Rz. 8 An die Berichterstattung über "wesentliche" und "schwerwiegende" Mängel werden also besondere Anforderungen gestellt. Der Abstufung der Mängel kommt insofern eine wichtige Bedeutung zu. Die deutsche Aufsicht hat daher entsprechende Hinweise gegeben. In den MaRisk wird für die Zwecke der Revisionstätigkeit zwischen "wesentlichen", "schwerwiegenden" und "besonders schwer...mehr

Rz. 20 Die für die Einhaltung der MaRisk wesentlichen Handlungen und Festlegungen sind nachvollziehbar zu dokumentieren (→ AT 6 Tz. 2). Mit Bezug auf die Tätigkeit der Internen Revision betrifft diese Anforderung in erster Linie die relevanten Unterlagen zu den einzelnen Prüfungen. Konkret müssen aus den Arbeitsunterlagen die durchgeführten Prüfungshandlungen sowie die festg...mehr

Rz. 52 Die Institute haben im Hinblick auf die prozessuale Umsetzung des Auskunftsrechtes weitgehende Gestaltungsfreiheit. In der Praxis setzen viele Institute dabei weniger auf formale Vorschriften als vielmehr auf das allgemeine Verständnis für eine gute Governance. Es erscheint jedoch ratsam, in den Richtlinien oder Geschäftsordnungen der Beteiligten (Geschäftsleitung, Au...mehr

Rz. 11 Etwa zeitgleich mit der Veröffentlichung der EBA-Leitlinien zur internen Governance im Jahr 2011 hat sich der Baseler Ausschuss für Bankenaufsicht (BCBS) mit der Rolle der Internen Revision auseinandergesetzt.[1] Das im Dezember 2011 zur Konsultation gestellte Papier wurde im Juni 2012 in seiner endgültigen Fassung veröffentlicht. Darin beschreibt der BCBS das Verhält...mehr

Rz. 114 Neben der allgemeinen Ad-hoc-Berichterstattung existieren in den MaRisk noch weitere besondere Informationspflichten gegenüber der Geschäftsleitung bzw. einzelnen Geschäftsleitern. Bei diesen Berichtspflichten wird ebenfalls das Erfordernis der Unverzüglichkeit betont: Ein erheblicher Risikovorsorgebedarf ist der Geschäftsleitung unverzüglich mitzuteilen (→ BTO 1.2.6 ...mehr

Rz. 25 Einige Fachspezialisten haben sich seit dem Jahr 2010 mit einer Weiterentwicklung des traditionellen Modells der drei Verteidigungslinien aus einem anderen Blickwinkel beschäftigt.[1] Unter Berücksichtigung der identifizierten Schwachstellen dieses Modells sowie der Besonderheiten des Finanzsektors wurde z. B. die Erweiterung um eine vierte Verteidigungslinie vorgesch...mehr

Rz. 11 Die Funktionstrennung ist eine unmittelbar notwendige Voraussetzung für die Umsetzung des Prinzips der Unabhängigkeit. Die Interne Revision kann nur dann unabhängig arbeiten, wenn für deren Mitarbeiter sichergestellt ist, dass sie über eine angemessene Distanz zu den einzelnen Prüfungsobjekten bzw. Prüffeldern verfügen. Andernfalls besteht das Risiko, dass Mitarbeiter...mehr

Rz. 9 Werden als wesentlich oder höher kategorisierte Mängel nicht in einer angemessenen Zeit beseitigt, besteht Handlungsbedarf. Die "angemessene Zeit" wird primär durch den in der Maßnahmenplanung festgelegten Zeitplan definiert.[1] Nicht jede Zeitüberschreitung wird in der Praxis sofort einen Bericht an den verantwortlichen Geschäftsleiter zur Folge haben. Je nach Verlauf...mehr

Rz. 63 Auf die Notwendigkeit "risikoorientierter Prüfungshandlungen" hat die Bankenaufsicht schon in der Vergangenheit in einschlägigen qualitativen Regelwerken hingewiesen. In den MaIR und den MaK war der Grundsatz der Risikoorientierung fest verankert, in den etwas älteren MaH aus dem Jahr 1995 allerdings noch nicht. Diese sahen bestimmte Prüfungsfelder vor, die von der In...mehr

Rz. 2 Eine funktionsfähige Interne Revision ist elementarer Bestandteil der institutsinternen Organisation. Sie prüft und beurteilt im Auftrag der Geschäftsleitung risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivit...mehr

Rz. 3 Die in den EBA-Leitlinien formulierten Anforderungen an das Risikocontrolling waren bereits vor der vierten MaRisk-Novelle im Jahr 2012 im Rundschreiben enthalten und stellten daher grundsätzlich keine neuen Vorgaben für die Institute dar. Im Rahmen der vierten MaRisk-Novelle wurde die Risikocontrolling-Funktion jedoch nach den Vorstellungen der EBA ausgerichtet und ih...mehr

Rz. 27 Nicht in jedem Fall wird hinsichtlich der zur Erledigung der Feststellungen zu ergreifenden Maßnahmen zwischen geprüfter Organisationseinheit und Interner Revision Einigkeit bestehen. Probleme können z. B. dann auftreten, wenn bestimmte Sachverhalte unterschiedlich bewertet werden, zur Erledigung der Feststellungen von der geprüften Einheit alternative Maßnahmen bevor...mehr

Rz. 12 Über jede Prüfung ist ein schriftlicher Prüfungsbericht zu erstellen, der den Vorstellungen des DIIR zufolge richtig, objektiv, prägnant, klar, konstruktiv und vollständig sein muss. Die Prüfungsberichte enthalten regelmäßig den Prüfungsauftrag und die Auftragsdurchführung (Prüfungsziel, Prüfungsumfang, Prüfungsteam, Prüfungszeitraum, Prüfungsort, Prüfungsanlass und A...mehr

Rz. 248 Grundsätzlich können alle Aktivitäten und Prozesse ausgelagert werden, solange die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird (→ AT 9 Tz. 4). Im Zuge der fünften MaRisk-Novelle hat die BaFin die Anforderungen an die Auslagerung der Risikocontrolling-Funktion, der Compliance-Funktion und der Internen Revision aufgrund ...mehr

Rz. 110 Empfänger der Ad-hoc-Berichterstattung ist zunächst die gesamte Geschäftsleitung. Darüber hinaus sind die jeweiligen Verantwortlichen zu informieren. In der Regel wird es sich dabei um die direkt betroffenen leitenden Mitarbeiter oder Kompetenzträger handeln, also z. B. Bereichs-, Abteilungs- oder Gruppenleiter. Je nachdem, auf welcher Hierarchieebene der Absender de...mehr

Rz. 31 Im Rahmen der Prüfungsplanung muss sich die Interne Revision über die Art der eingesetzten Prüfungsmethoden im Klaren sein, die unterschiedlich aufwendig sein können. Konkrete Vorgaben werden hierzu nicht gemacht, so dass grundsätzlich Methodenfreiheit besteht. Die Entscheidung über das konkrete Vorgehen hängt im Wesentlichen vom jeweiligen Prüfungsobjekt ab. Die Inte...mehr