Fachbeiträge & Kommentare zu Interne Revision

Rz. 37 Im Rahmen der fünften MaRisk-Novelle wurden Anforderungen an die Risikobewertungsverfahren ergänzt. Danach haben die Risikobewertungsverfahren der Internen Revision eine Analyse des "Risikopotenzials" der Aktivitäten und Prozesse "unter Berücksichtigung absehbarer Veränderungen" zu beinhalten, wobei die verschiedenen Risikoquellen und die Manipulationsanfälligkeit der...mehr

Rz. 230 Die prominenteste Schwester der MaRisk für Banken und Finanzdienstleistungsinstitute waren die im Januar 2009 von der BaFin veröffentlichten "Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen" (MaRisk VA).[1] Die MaRisk VA gaben auf der Basis des damaligen § 64a des Gesetzes über die Beaufsichtigung der Versicherungsunternehmen (VAG) einen Rah...mehr

Rz. 63 Gemäß Tz. 2.2 BAIT ist die Geschäftsleitung dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass diese Regelungen wirksam umgesetzt werden. Rz. 64 Laut Tz. 4.4 BAIT hat die Geschäftsleitung die Fun...mehr

Rz. 9 Auch das mit Einführung von Basel III weiterhin gültige Baseler Rahmenwerk weist der Internen Revision bestimmte Aufgaben zu. Bereits den Vorgaben von Basel II zufolge hat sie oder eine vergleichbar unabhängige Einheit mindestens jährlich das interne Ratingsystem und die damit verbundenen Funktionen zu überprüfen.[1] Die Vorgaben wurden auf europäischer Ebene in Art. 1...mehr

Rz. 2 Zur Beseitigung der festgestellten Mängel kann die Interne Revision geeignete Maßnahmen festlegen, die im Normalfall mit der betroffenen Organisationseinheit abgestimmt werden (→ BT 2.4 Tz. 1 und 3). Diese enthalten regelmäßig auch entsprechende Fristen. Die fristgerechte Umsetzung dieser Maßnahmen durch die betroffenen Organisationseinheiten muss von der Internen Revi...mehr

Rz. 45 Die geforderte jährliche Fortschreibung der Prüfungsplanung (→ BT 2.3 Tz. 1) muss damit einhergehen, dass sie regelmäßig und anlassbezogen überprüft und im Bedarfsfall weiterentwickelt wird. Gleiches gilt für die Prüfungsmethoden und insgesamt für die Qualität der Prüfungen. Damit wird dem raschen Wandel der Geschäftsaktivitäten Rechnung getragen, der sich zwangsläufi...mehr

Rz. 31 Neben den einzelnen Revisionsberichten, die sich regelmäßig an die geprüften Bereiche sowie deren fachlich zuständige Geschäftsleiter richten (→ BT 2.4 Tz. 1), hat die Interne Revision der gesamten Geschäftsleitung und dem Aufsichtsorgan prüfungsübergreifende Berichte vorzulegen, wobei zwischen den vier Quartalsberichten und einem Jahresbericht unterschieden wird. Der...mehr

Rz. 35 Ob und ggf. inwieweit sich die Interne Revision des auslagernden Institutes auf die Ergebnisse Dritter stützen kann, hängt allerdings nicht nur von praktischen Erwägungen ab, sondern insbesondere auch von der Bedeutung und der Risikorelevanz der ausgelagerten Aktivitäten und Prozesse für das Institut. Aus der Risikoanalyse können auch im Hinblick auf diese Frage wicht...mehr

Rz. 52 Die EBA verlangt von den Instituten die Erarbeitung eines Rahmenwerkes für die interne Governance, wobei für die jeweiligen Anforderungen (z. B. organisatorische und operative Struktur des Institutes, Auslagerungen, Risikokultur, Verhaltenskodex, Umgang mit Interessenkonflikten, Whistleblowing-Verfahren) Richtlinien vorgehalten werden sollen.[1] In den von der EBA im ...mehr

Rz. 9 Die Risikocontrolling- und die Compliance-Funktion gehören ebenfalls zum internen Kontrollsystem. Diese beiden Funktionen werden seit der vierten MaRisk-Novelle explizit genannt (→ AT 4.4.1 und AT 4.4.2). Die Risikocontrolling-Funktion ist vorrangig für die Überwachung der Risiken und die damit verbundene Berichterstattung zuständig. Die Compliance-Funktion muss in ers...mehr

Rz. 23 Wenngleich die Regelung lediglich auf "Mitarbeiter" abzielt, ist grundsätzlich auch ein Rückgriff auf externe Spezialisten möglich. In diesen Fällen kann danach unterschieden werden, ob diese Spezialisten lediglich beratend oder auch prüferisch tätig werden. Handelt es sich dabei um eine Auslagerung von Tätigkeiten der Internen Revision, sind die entsprechenden Vorgab...mehr

Um die Governance-Strukturen der Institute weiter zu stärken, habe ich bestehende Pflichten der Geschäftsleitung gegenüber dem Aufsichtsorgan weiter ausgebaut. Insbesondere haben die Geschäftsleiter dem Aufsichtsorgan ein direktes Auskunftsrecht gegenüber der Internen Revision einzuräumen, damit es seine Überwachungsfunktion noch effektiver wahrnehmen kann. Da das Aufsichtso...mehr

Rz. 62 Mit der vierten MaRisk-Novelle wurde die bisherige Formulierung auf Vorschlag des Deutschen Institutes für Interne Revision insoweit angepasst, als zukünftig auch die Compliance- und die Risikocontrolling-Funktion "im Rahmen ihrer Aufgaben" zu beteiligen sind. Die Deutsche Kreditwirtschaft hatte eine Streichung vorgeschlagen, weil die gleichzeitige Nennung anderer Fun...mehr

Rz. 392 Im Zuge der fünften MaRisk-Novelle wurden die Grenzen für die vollständige Auslagerung der Risikocontrolling- und der Compliance-Funktion sowie der Internen Revision konkretisiert. Aus Sicht der Aufsicht sind diese besonderen Funktionen (→ AT 4.4) als Steuerungs- und Kontrollinstrumente für die Geschäftsleitung besonders wichtig und sollen daher zukünftig möglichst i...mehr

Rz. 50 Wird die Geschäftsleitung von der Internen Revision über schwerwiegende Feststellungen gegen Geschäftsleiter in Kenntnis gesetzt, hat sie neben der Information des Aufsichtsorgans und der Aufsichtsinstitutionen auch sachgerechte Maßnahmen zu beschließen, um die Missstände abzustellen. Beides muss von der Internen Revision auf geeignete Weise überwacht werden. Insofern...mehr

Rz. 167 Bei den Anforderungen an das Aufsichtsorgan geht es in § 25d Abs. 2 KWG u. a. darum, dass das Aufsichtsorgan in seiner Gesamtheit über die Kenntnisse, Fähigkeiten und Erfahrungen verfügen muss, die zur Wahrnehmung der Kontrollfunktion sowie zur Beurteilung und Überwachung der Geschäftsleitung des Institutes oder der Gruppe notwendig sind. Nach § 25d Abs. 4 KWG müssen...mehr

Rz. 1 Der Begriff "besondere Funktionen" geht ursprünglich auf die EBA-Leitlinien zur internen Governance aus dem Jahr 2011 zurück, in denen die Einrichtung einer Risikocontrolling-Funktion, einer Compliance-Funktion und einer Internen Revision als "interne Kontrollfunktionen" verlangt wurde. Gleichzeitig wurden u. a. die Leiter dieser Funktionen als "Inhaber von Schlüsselfu...mehr

Rz. 109 Ob und ggf. inwieweit die Konzernrevision ihre oben genannten Aufgaben in angemessener Weise ausüben kann, hängt nicht unerheblich von der Kooperationsbereitschaft der Geschäftsleiter der gruppenangehörigen Unternehmen ab, deren Recht zur eigenverantwortlichen Leitung der Gesellschaft gemäß § 76 Abs. 1 AktG durch bankaufsichtliche Regelungen grundsätzlich nicht einge...mehr

Rz. 30 4 Die Interne Revision hat zeitnah einen Quartalsbericht über die von ihr seit dem Stichtag des letzten Quartalsberichtes durchgeführten Prüfungen zu verfassen und zeitnah der Geschäftsleitung und dem Aufsichtsorgan vorzulegen. Der Quartalsbericht muss über die wesentlichen oder höher eingestuften Mängel, die beschlossenen Maßnahmen sowie den Status dieser Maßnahmen i...mehr

Rz. 6 Aus dem risikoorientierten Prüfungsansatz folgt unmittelbar, dass auch eine risikoorientierte Berichterstattung erforderlich ist.[1] Damit geht eine entsprechende Beurteilung der Prüfungsergebnisse einher. Die MaRisk verlangen dabei keine zusammenfassende Bewertung des gesamten Prüfungsergebnisses, sondern lediglich eine Beurteilung der einzelnen festgestellten Mängel....mehr

Rz. 107 Die turnusmäßige Berichterstattung verfehlt ggf. ihren Zweck, wenn zwischen den Berichtsintervallen Ereignisse eintreten, die für das Institut von erheblicher Relevanz sind. Nach den MaRisk sind daher unter Risikogesichtspunkten wesentliche Informationen unverzüglich an die Geschäftsleitung, die jeweiligen Verantwortlichen und ggf. die Interne Revision weiterzuleiten...mehr

Rz. 19 3 Im Fall von Auslagerungen auf ein anderes Unternehmen kann die Interne Revision des Institutes auf eigene Prüfungshandlungen verzichten, sofern die anderweitig durchgeführte Revisionstätigkeit den Anforderungen in AT 4.4.3 und BT 2 genügt. Die Interne Revision des auslagernden Institutes hat sich von der Einhaltung dieser Voraussetzungen regelmäßig zu überzeugen. Di...mehr

Rz. 37 Die mit der Leitung der Risikocontrolling-Funktion und der Leitung der Internen Revision betrauten Personen sowie der Compliance-Beauftragte haben besonderen qualitativen Anforderungen entsprechend ihres Aufgabengebietes zu genügen (→ AT 7.1 Tz. 2, Erläuterung). Im MaRisk-Fachgremium wurde ausgiebig darüber diskutiert, welche über das Gesetz hinausgehenden Anforderung...mehr

Rz. 48 Das Aufsichtsorgan spielt auch in den MaRisk eine wichtige Rolle. Allerdings sind die Anforderungen in erster Linie an die Geschäftsleitung des Institutes und nicht etwa unmittelbar an das Aufsichtsorgan selbst gerichtet. Nach den MaRisk wird die Geschäftsleitung dazu verpflichtet, "eine angemessene Einbindung des Aufsichtsorgans" sicherzustellen, damit dieses seine Ü...mehr

Rz. 97 Die frühzeitige Unterrichtung der Internen Revision erlaubt es ihr, die Informationen der Geschäftsleitung unmittelbar für ihre tägliche Prüfungstätigkeit oder ihre sonstigen Arbeiten zu nutzen. Somit ist gewährleistet, dass nicht nur die jeweils betroffenen Organisationseinheiten über die Weisungen oder Beschlüsse der Geschäftsleitung informiert sind (z. B. bedeutend...mehr

Rz. 96 Jene Weisungen und Beschlüsse der Geschäftsleitung, die für die Tätigkeit der Internen Revision von Bedeutung sein können, müssen ihr bekannt gegeben werden. Diese Anforderung ergänzt das allgemeine Informationsrecht der Internen Revision um Informationspflichten der Geschäftsleitung gegenüber der Revision. Die Interne Revision kann ihre Aufgabe nur effektiv wahrnehme...mehr

Rz. 24 Nach § 25a Abs. 3 KWG i. V. m. § 25a Abs. 1 Satz 3 Nr. 3 KWG müssen Institutsgruppen, Finanzholding-Gruppen, gemischte Finanzholding-Gruppen und Unterkonsolidierungsgruppen nach Art. 22 CRR über eine funktionsfähige Konzernrevision verfügen. Die Konzernrevision ist Teil des gruppenweiten Risikomanagements und unterstützt die Geschäftsleitung des übergeordneten Unterne...mehr

Rz. 165 Die MaRisk sind im Unterschied zu älteren qualitativen Regelwerken der Bankenaufsicht modular strukturiert (→ Teil I, Kapitel 7). Allgemeine Anforderungen, die grundsätzlich nicht zwischen bestimmten Geschäfts- oder Risikoarten unterscheiden, sind in einen allgemeinen Teil vorgezogen worden. Spezifische Anforderungen an das interne Kontrollsystem sowie die Interne Re...mehr

Berichterstattung für das Handelsbuch Nach BTR 2.2 Tz. 3 der MaRisk ist der für das Risikocontrolling zuständige Geschäftsleiter täglich über die Risikopositionen im Handelsbuch zu unterrichten. Bei Nicht-Handelsbuchinstituten mit unter Risikogesichtspunkten überschaubaren Positionen im Handelsbuch ist an die tägliche Berichterstattung regelmäßig kein nennenswerter Informatio...mehr

Rz. 4 Mithilfe der Sachstandsberichte erhält die Interne Revision einen ersten Überblick über den Fortschritt der Umsetzung der vereinbarten Maßnahmen. Im Einzelfall kann es je nach Arbeitsfortschritt erforderlich sein, eine Nachschauprüfung anzusetzen. Bei den bedeutenden Instituten scheint es in dieser Hinsicht noch Defizite zu geben. Zuletzt hat die EZB angemahnt, dass ei...mehr

Rz. 45 Sofern das Institut einen "Prüfungsausschuss" ("Audit Committee")[1] eingerichtet hat, kann das Auskunftsrecht gegenüber der Internen Revision alternativ auf den Vorsitzenden des Prüfungsausschusses übertragen werden (→ AT 4.4.3 Tz. 2, Erläuterung). Die Einbeziehung der Geschäftsleitung ist auch in diesem Falle sicherzustellen. Mit dieser Erläuterung wird der Praxis i...mehr

Rz. 74 Ein Institut kann die Compliance-Funktion oder einzelne Teilbereiche daraus grundsätzlich auf ein anderes Unternehmen auslagern. Die Geschäftsleitung bzw. die zuständigen Geschäftsbereiche bleiben im Fall der Auslagerung für die Einhaltung der rechtlichen Regelungen und Vorgaben verantwortlich. Das Institut hat auf der Grundlage einer Risikoanalyse eigenverantwortlich...mehr

Rz. 5 Auf Basis der überarbeiteten EBA-Leitlinien zur internen Governance sowie entsprechender Erfahrungen aus der Aufsichtspraxis hat die deutsche Aufsicht die Anforderungen an die besonderen Funktionen im Zuge der fünften MaRisk-Novelle im Jahr 2017 an verschiedenen Stellen ergänzt. Für die Interne Revision waren mit der fünften MaRisk-Novelle vor allem Anpassungen im Hinb...mehr

Rz. 63 Änderungen der Prüfungsplanung sind zumindest dann erneut der Geschäftsleitung vorzulegen, wenn es sich um wesentliche Anpassungen handelt. Dadurch wird der Internen Revision ein gewisser Spielraum bei der Ausgestaltung und Umsetzung des Prüfungsplanes eingeräumt. In diesem Zusammenhang wird erneut die Notwendigkeit einer systematischen, risikoorientierten Prüfungspla...mehr

Rz. 398 Da das Thema "Vollauslagerung der Internen Revision" einen sensiblen Bereich im Institut berührt, hat die BaFin daran weitere Anforderungen geknüpft. So hat die Geschäftsleitung in diesem Fall z. B. einen Revisionsbeauftragten zu benennen, der die Ordnungsmäßigkeit der Revision unter Berücksichtigung der einschlägigen Anforderungen der MaRisk gewährleisten muss (→ AT...mehr

Rz. 80 Das Aufgabenspektrum der Internen Revision erstreckt sich auch auf die ausgelagerten Aktivitäten und Prozesse des Institutes.[1] Für die Revision sind ausgelagerte Aktivitäten und Prozesse regelmäßig von besonderem Interesse, da sie nur mittelbar vom Institut beeinflusst werden können und die Revision nicht mehr den unmittelbaren Zugriff auf alle für das Institut rele...mehr

Rz. 100 Vor allem bei großen, komplex strukturierten Gruppen, die in ihren einzelnen Unternehmenseinheiten Geschäfte mit hohem Spezialisierungsgrad betreiben, muss die Konzernrevision die Prozesse in diesen Einheiten im täglichen Geschäft auf ihre Angemessenheit und Wirksamkeit für die Gruppe als Ganzes beurteilen. Sie stiftet daher einen hohen Mehrwert für die gesamte Grupp...mehr

Rz. 5 Eine wesentliche Voraussetzung für ein risikoorientiertes Vorgehen der Internen Revision ist die Analyse aller Prozesse und Aktivitäten im Hinblick auf ihren jeweiligen Risikogehalt. Die konkrete Ausgestaltung dieser Analysetätigkeit bleibt dabei der Internen Revision überlassen. Allerdings benötigt sie dafür einen vollständigen Überblick über die Aktivitäten und Proze...mehr

Rz. 18 Wie bereits ausgeführt, dürfen die in der Internen Revision beschäftigten Mitarbeiter grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden (→ BT 2.2 Tz. 2), um die Unabhängigkeit der Internen Revision zu gewährleisten. Diese Unabhängigkeit ist erforderlich, um die Prüfungen objektiv und frei von Interessenkonflikten durchzuführen. Konsequenterweise können ...mehr

Rz. 9 Schließlich wird klargestellt, dass das Direktionsrecht der Geschäftsleitung zur Anordnung zusätzlicher Prüfungen der Unabhängigkeit und Selbständigkeit der Internen Revision selbstverständlich nicht entgegensteht. Zum einen verlangt es schon der Aufgabenbereich der Revision, jederzeit Sonderprüfungen, durch wen auch immer angestoßen, durchführen zu können (→ BT 2.3 Tz...mehr

Rz. 48 Eine unverzügliche Berichtspflicht gegenüber der Geschäftsleitung wird ausgelöst, wenn im Rahmen der Prüfungen durch die Interne Revision schwerwiegende Feststellungen gegenüber einzelnen Geschäftsleitern getroffen werden. Anhand der vorgegebenen Mängelkategorisierung wird bereits deutlich, dass es sich in diesen Fällen um gravierende Sachverhalte handeln muss. Insbes...mehr

Rz. 15 Eine papierhafte Vorlage der Prüfungsberichte beim fachlich zuständigen Mitglied der Geschäftsleitung ist grundsätzlich nicht erforderlich. In den meisten Instituten erfolgt die Übermittlung nur auf elektronische Weise, entweder per E-Mail oder über ein entsprechendes Tool. Auch die Kenntnisnahme durch den betroffenen Geschäftsleiter kann auf elektronischem Weg sicher...mehr

Rz. 44 Im Januar 2024 hat die EBA in Umsetzung ihres Mandates aus Art. 87a Abs. 5 CRD VI ein Konsultationspapier mit Leitlinien zum Management von ESG-Risiken veröffentlicht, die bis Ende 2024 in ihrer endgültigen Fassung vorliegen sollen und insofern ggf. ein Thema für die neunte MaRisk-Novelle sein könnten. Damit werden viele der neuen Vorgaben in den MaRisk näher ausformu...mehr

Rz. 27 Die Geschäftsleiter werden ihrer Verantwortung für alle wesentlichen Elemente des Risikoma­nagements nur gerecht, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung entsprechend treffen. Die Beurteilung der Risiken setzt hierbei nicht notwendigerweise umfassende methodische Kenntnisse im Bereich einzelner Risikomanagementinstru...mehr

Rz. 14 Seit der letzten Überarbeitung des Bankenpaketes im Jahr 2024 müssen die Institute gemäß Art. 76 Abs. 5 CRD IV interne Kontrollfunktionen besitzen, die vom operativen Geschäft unabhängig sind und über ausreichende Autorität, ausreichendes Gewicht, ausreichende Ressourcen und einen ausreichenden Zugang zum Leitungsorgan verfügen. Insbesondere muss sichergestellt sein, ...mehr

Rz. 13 Wie beim Neu-Produkt-Prozess (→ AT 8.1 Tz. 5) sind in die Analysen zu den Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Aus Effizienzgründen empfiehlt sich ein vergleichbares Vorgehen wie beim Neu-Produkt-Prozess (NPP), indem die zuständ...mehr

Rz. 107 Der BCBS, dessen Empfehlungen sich grundsätzlich an große, international tätige Institute richten, betont die Bedeutung einer soliden internen Governance für ein effektives Management der operationellen Risiken. In diesem Zusammenhang äußert sich der BCBS auch zum Modell der drei Verteidigungslinien. Die Institute sollten insbesondere sicherstellen, dass die Funktion...mehr

Rz. 123 Soweit die Compliance-Funktion auch für die Identifizierung und das Monitoring zukünftiger rechtlicher Regelungen und Vorgaben verantwortlich ist (→ AT 4.4.2 Tz. 1), kann sich die regelmäßige oder anlassbezogene Berichterstattung der Compliance-Funktion an die Geschäftsleitung auch auf das regulatorische Monitoring einschließlich etwaiger regulatorischer Risiken erst...mehr

Terminologisch orientieren sich die MaRisk weitgehend am § 25a Abs. 1 KWG, der im Zuge der Umsetzung der Finanzkonglomeraterichtlinie in deutsches Recht präzisiert wurde (Bundesgesetzblatt, Jahrgang 2004, Teil I, Nr. 72, 27.12.2004). Gemäß seiner Neufassung sind die Geschäftsleiter eines Institutes u. a. für die Festlegung einer angemessenen Strategie sowie die Einrichtung a...mehr

Rz. 9 Die Finanzmarktkrise im Jahr 2008 hat eindrucksvoll gezeigt, dass Unternehmenskrisen im Banken- und Versicherungssektor zu erheblichen Verwerfungen auf den Finanzmärkten führen können – mit entsprechend negativen Auswirkungen auf die Unternehmen des Finanzsektors sowie die Realwirtschaft. Darüber hinaus haben die notwendig gewordenen staatlichen Stützungsmaßnahmen die ...mehr