Fachbeiträge & Kommentare zu Interne Revision

Rz. 4 § 25a Abs. 1 KWG kann als zentraler gesetzlicher Anknüpfungspunkt der qualitativen Bankenaufsicht auf eine etwas längere Geschichte zurückblicken. Die gesetzliche Regelung wurde seit ihrer Einfügung in das KWG im Rahmen der 6. KWG-Novelle mehrmals angepasst und terminologisch geschärft. In ihrer ursprünglichen Fassung aus dem Jahr 1998 forderte die Bestimmung u. a. "ge...mehr

Rz. 20 Um eine nachvollziehbare und konsistente Beurteilung der jeweiligen Einzelfälle zu ermöglichen, könnte die Interne Revision bestimmte Kriterien zur Nutzung von Spezialwissen aufstellen, die sich z. B. darauf beziehen, für welche Bereiche revisionsfremdes Spezialwissen herangezogen werden soll, welchen Zeitraum die unterstützende Tätigkeit von Mitarbeitern anderer Organi...mehr

Rz. 53 Primärer Auslöser für Sonderprüfungen sind vermutete oder festgestellte Mängel in bestimmten Bereichen oder Abläufen, denen eine gewisse Bedeutung zukommt. Regelmäßig wird es sich daher um risikorelevante Schwachstellen handeln, die kurzfristig aufgetreten sind oder erkannt wurden. Die Durchführung von Sonderprüfungen kann aus unterschiedlichen Gründen erforderlich se...mehr

Rz. 17 3 Mitarbeiter, die in anderen Organisationseinheiten des Institutes beschäftigt sind, dürfen grundsätzlich nicht mit Aufgaben der Internen Revision betraut werden. Das schließt jedoch nicht aus, dass in begründeten Einzelfällen andere Mitarbeiter aufgrund ihres Spezialwissens zeitweise für die Interne Revision tätig werden. Beim Wechsel von Mitarbeitern anderer Organi...mehr

Rz. 7 Die Interne Revision hat ggf. auch die Möglichkeit, im Rahmen ihrer Prüfungen "Empfehlungen" auszusprechen, die ausdrücklich nicht als Feststellungen einzustufen sind. Zwar wird im Vergleich zu den MaIR nicht mehr explizit gefordert, die Umsetzung dieser Empfehlungen aktenkundig zu machen.[1] Allerdings muss das Vorgehen der Internen Revision nachvollziehbar bleiben, s...mehr

mehr

Rz. 19 Allerdings zeigt die Praxis, dass die Interne Revision zu bestimmten Anlässen zeitweise auf das ausgewiesene Spezialwissen von Mitarbeitern anderer Organisationseinheiten zurückgreifen muss. Die zunehmende Komplexität der Geschäftsaktivitäten und die damit einhergehenden steigenden Anforderungen an das Risikomanagement erfordern in nahezu allen relevanten Bereichen de...mehr

Rz. 2 Die Prüfungstätigkeit der Internen Revision hat sich auf der Grundlage eines risikoorientierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse des Institutes zu erstrecken (→ BT 2.1 Tz. 1). Um diese Aufgabe zu erfüllen, ist zunächst eine sorgfältige Planung erforderlich, die umfassend sein und insbesondere auch die ausgelagerten Aktivitäten und Prozess...mehr

Rz. 51 Über die regelmäßige risikoorientierte Prüfungsplanung hinaus, die eine sachgerechte Schwerpunktbildung bei den Prüfungen sicherstellen soll, kann im Einzelfall ein ad hoc auftretender Prüfungsbedarf entstehen. Er resultiert regelmäßig aus einem kurzfristig zu befriedigenden Informationsbedarf hinsichtlich bestimmter Prüfungsobjekte. So haben die Fachbereiche unter Ri...mehr

Rz. 197 Die Geschäftsleitung ist mindestens jährlich über die bedeutenden Schadensfälle und die wesentlichen operationellen Risiken zu unterrichten. Die Berichterstattung hat die Art des Schadens bzw. Risikos, die Ursachen, das Ausmaß des Schadens bzw. Risikos und initiierte sowie bereits getroffene Gegenmaßnahmen zu umfassen. Darüber hinaus hat die Risikocontrolling-Funktio...mehr

Rz. 16 Die zugrunde liegende Philosophie dieser drei Verteidigungslinien ist nicht neu[1] und entspricht auch dem Verständnis der MaRisk. Zum operativen Management in den Geschäftsbereichen, also der ersten Verteidigungslinie mit dem "Markt" und dem "Handel", gehören insbesondere die prozessabhängigen Kontrollen und Funktionstrennungen. Die Zuordnung der in den MaRisk aufgef...mehr

Rz. 17 Auf Basis der geschilderten Analysetätigkeiten erfolgt eine Zuordnung der Prüfungsobjekte zu bestimmten Bewertungsstufen (Priorisierung). Diese Zuordnung kann wiederum auf verschiedenen Verfahren basieren, die von der einfachen qualitativen Einschätzung bis hin zu komplexen mathematischen Verfahren reichen. In der Praxis hat es sich als sinnvoll erwiesen, die Zahl der...mehr

a) Gesamtverantwortung der Geschäftsleitung Gemäß AT 3 Tz. 1 sind alle Geschäftsleiter für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich. Diese Verantwortung umfasst alle wesentlichen Elemente des Risikomanagements. Die Geschäftsleiter werden dieser Verantwortung nur gerecht, wenn sie die Risiken beurteilen können und die erforderlichen M...mehr

Rz. 28 2 Die Interne Revision ist ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und berichtspflichtig. Sie kann auch einem Mitglied der Geschäftsleitung, nach Möglichkeit dem Vorsitzenden, unterstellt sein. Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsorgans unter Einbeziehung der Geschäftsleitung direkt bei dem Leiter der Inte...mehr

Rz. 185 In Deutschland haben sich die von BaFin und Bundesbank im Jahr 2005 erstmals veröffentlichten MaRisk zur Konkretisierung der gesetzlichen Anforderungen gemäß § 25a Abs. 1 KWG und § 25b KWG bewährt. Bei dem Rundschreiben handelt es sich um norminterpretierende Verwaltungsvorschriften, die für die Institute rechtlich nicht verbindlich sind. Sie tragen jedoch als "Bench...mehr

Rz. 63 Die MaRisk-Novelle konkretisierte auch die Anforderungen an die Auslagerung von Prozessen und Aktivitäten. Die besonderen Funktionen Risikocontrolling, Compliance und Interne Revision stellen für die Geschäftsleitung wichtige Steuerungsinstrumente dar. Eine vollständige Auslagerung dieser Funktionen ist daher nur in bestimmten Ausnahmefällen möglich.[1] Die Institute ...mehr

Rz. 118 Grundsätzlich kann bezüglich der auslösenden Momente für die Ad-hoc-Berichterstattung die Vereinbarung von Kriterien sinnvoll sein (z. B. drohende Verluste in bestimmter Höhe, Insolvenz wichtiger Kreditnehmer, Umwälzungen auf bestimmten Märkten, in denen das Institut aktiv ist, sich abzeichnende gravierende Leistungsstörungen bei ausgelagerten Aktivitäten und Prozess...mehr

Rz. 47 Die allgemeine Zuständigkeit der Risikocontrolling-Funktion für die unabhängige Kommunikation der Risiken (→ AT 4.4.1 Tz. 1) wird an dieser Stelle gleich in zweifacher Hinsicht konkretisiert. So ist sie einerseits für die regelmäßige Erstellung der Risikoberichte an die Geschäftsleitung zuständig. Andererseits trägt sie die Verantwortung für die Prozesse zur unverzügl...mehr

Rz. 233 Im Zuge der fünften MaRisk-Novelle wurden besondere Maßstäbe für Auslagerungsmaßnahmen bei der vollständigen oder teilweisen Auslagerung der besonderen Funktionen (→ AT 4.4) sowohl im Hinblick auf die Auslagerungsfähigkeit als auch den Umfang der Auslagerung aufgenommen. Aus Sicht der Aufsicht sind die Risikocontrolling- und die Compliance-Funktion sowie die Interne ...mehr

Rz. 1 Im besonderen Teil der MaRisk werden die geschäfts- und risikoartenübergreifenden Prinzipien des allgemeinen Teils für einzelne Themenbereiche konkretisiert und zum Teil deutlich ergänzt. Das betrifft die Anforderungen an die internen Kontrollverfahren, also das interne Kontrollsystem (→ BT 1) und die Interne Revision (→ BT 2). Die Vorgaben zur Risikoberichterstattung ...mehr

Rz. 99 Der Anwendungsbereich der Anforderung ist schon aufgrund seiner Relevanz für die tägliche Arbeit der Internen Revision umfassend zu verstehen. So geht es zum einen um wesentliche Änderungen des Risikomanagements und zum anderen allgemein um Beschlüsse und Weisungen der Geschäftsleitung, die für die Revision von Bedeutung sein können. Wesentliche Änderungen des Risikom...mehr

mehr

Rz. 41 Mit der Überarbeitung des Bankenpaketes ist auch Art. 76 CRD IV geändert worden. Nach Art. 76 Abs. 5 CRD IV müssen die Institute interne Kontrollfunktionen besitzen, die vom operativen Geschäft unabhängig sind und über ausreichende Autorität, ausreichendes Gewicht, ausreichende Ressourcen und einen ausreichenden Zugang zum Leitungsorgan verfügen. Insbesondere muss sic...mehr

Rz. 94 Die Interne Revision erhält darüber hinaus wichtige Erkenntnisse für ihre spätere Prüfungstätigkeit durch die aufsichtsrechtlich verlangte Einbindung in bestimmte institutsinterne Prozesse, wobei ihre Unabhängigkeit stets gewährleistet sein muss. So ist die Interne Revision in den Neu-Produkt-Prozess und in die von den Instituten bei wesentlichen Veränderungen betrieb...mehr

Rz. 60 Die Institute sollten die Zuständigkeiten für die Entwicklung, Umsetzung und Überwachung der Übergangspläne eindeutig festlegen und zuweisen. Bei der Zuweisung der Rollen und Zuständigkeiten auf einer angemessenen Führungsebene sollten die Institute die Wechselwirkungen und den Einfluss berücksichtigen, den der Prozess der Übergangsplanung auf andere Prozesse, wie die...mehr

Rz. 22 Ein angemessenes und wirksames Risikomanagement nach § 25a Abs. 1 Satz 3 Nr. 3 KWG beinhaltet die Errichtung interner Kontrollverfahren, die sich wiederum aus dem internen Kontrollsystem und der Internen Revision zusammensetzen. Das interne Kontrollsystem (IKS) umfasst insbesondere Regelungen zur Aufbau- und Ablauforganisation mit klarer Abgrenzung der Verantwortungsbe...mehr

Rz. 1 Nach § 25a Abs. 1 Satz 3 Nr. 3 KWG umfasst das "interne Kontrollsystem" insbesondere die aufbau- und ablauforganisatorischen Regelungen mit klarer Abgrenzung der Verantwortungsbereiche, die Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken entsprechend den in Art. 76 bis 87 CRD IV niedergelegten technischen Kriterien, ...mehr

Rz. 52 Geschäfts-, Kontroll- und Überwachungsunterlagen sind, vorbehaltlich gesetzlicher Regelungen, grundsätzlich fünf Jahre aufzubewahren (→ AT 6 Tz. 1). Die bis zum Jahr 2017 in den MaRisk enthaltenen Aufbewahrungspflichten von zwei Jahren wurden im Zuge der fünften MaRisk-Novelle auf fünf Jahre angepasst und ergeben sich zudem aus § 25a Abs. 1 Satz 6 Nr. 2 KWG. Rz. 53 Hin...mehr

Rz. 22 Der Wortlaut der Regelung macht deutlich, dass die Heranziehung anderer Mitarbeiter keine permanente Lösung sein kann. Vielmehr soll diese Lösung zeitlich begrenzt werden, wobei die Dauer des Einsatzes von den Gegebenheiten des jeweiligen Einzelfalles abhängt. Falls jedoch der Rückgriff auf revisionsfremde Experten für bestimmte Bereiche längerfristig, regelmäßig und ...mehr

Rz. 22 In den MaRisk werden verschiedene Aspekte besonders betont, die den einzelnen Geschäftsleitern bzw. der Geschäftsleitung insgesamt im Zusammenhang mit ihrer Verantwortung für das Risikomanagement als unmittelbare Pflichten auferlegt werden. Dazu gehören insbesondere folgende Anforderungen: Die Geschäftsleitung hat sich zur Beurteilung der Wesentlichkeit regelmäßig und ...mehr

Rz. 2 Nach jeder Revisionsprüfung ist zeitnah ein schriftlicher Bericht zu erstellen. Der Prüfungsbericht ist somit das zentrale Informationsinstrument der Internen Revision. Zudem werden von der Aufsicht gewisse Vorgaben zur Gliederung bzw. zu den Mindestinhalten des Berichtes gemacht, die sich auf folgende Punkte beziehen: eine Darstellung des Prüfungsgegenstandes, eine Dars...mehr

Rz. 41 Das Aufsichtsorgan eines Institutes hat grundsätzlich aus seiner Mitte einen Risikoausschuss, einen Prüfungsausschuss, einen Nominierungsausschuss und einen Vergütungskontrollausschuss zu bilden, die es bei seinen Aufgaben beraten und unterstützen sollen (§ 25d Abs. 7 KWG).[1] Bei bedeutenden Instituten gemäß § 1 Abs. 3c KWG ist die Bestellung eines Risiko-, eines Prü...mehr

Rz. 106 Die Institute sind nicht verpflichtet, die Bestellung, einen Wechsel oder das Ausscheiden des Leiters der Internen Revision der Aufsichtsbehörde anzuzeigen, anders als bspw. beim Compliance-Beauftragten nach § 87 Abs. 5 WpHG oder beim Geldwäschebeauftragten nach § 7 Abs. 4 Satz 1 GwG. Nach den Vorstellungen der EBA sollten CRD-Institute von erheblicher Bedeutung die ...mehr

Rz. 188 Die Risikoanalyse muss grundsätzlich alle relevanten Aspekte umfassen, die für die angemessene Einbindung der ausgelagerten Aktivitäten und Prozesse in das Risikomanagement von Bedeutung sind. Um dies zu gewährleisten, sind die von der Auslagerung maßgeblich betroffenen Organisationseinheiten bei der Risikoanalyse zu beteiligen. Welche Organisationseinheiten bei der ...mehr

Rz. 177 Zu den Aufgaben der internen Validierung zählt die Überprüfung sowohl der Angemessenheit des Rahmenwerkes für Risikodatenaggregation und Risikoberichterstattung als auch dessen faktische Umsetzung im Institut bzw. in der Gruppe. Die interne Validierungsfunktion sollte sich in erster Linie mit dem "BCBS-239-Zielbild" des Institutes bzw. der Gruppe beschäftigen und die...mehr

Erfahrungen aus der Aufsichtspraxis, die wiederholt Unklarheiten, aber auch Mängel in der Anwendung der aufsichtlichen Anforderungen bei Auslagerungsverhältnissen zu Tage gefördert haben, haben mich bewogen, einige Ergänzungen und Konkretisierungen im AT 9 vorzunehmen. Zunächst wird klargestellt, dass die Frage des Auslagerungstatbestands unabhängig von möglichen zivilrechtl...mehr

Rz. 36 Die Prüfungstätigkeit der Internen Revision muss sich auf der Grundlage eines risikoorientierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse des Institutes erstrecken (→ BT 2.1 Tz. 1). In der Konsequenz soll der Prüfungsturnus vom Risikogehalt der Prüfungsobjekte abhängig gemacht werden (→ BT 2.3 Tz. 1). Daraus folgt, dass der Risikogehalt der Akt...mehr

Rz. 10 Als Indizien zur Unterscheidung zwischen unterschiedlich relevanten Mängeln können die verschiedenen Informationsadressaten und die zeitliche Abfolge der Berichtspflichten herangezogen werden. Je schneller Feststellungen an die gesamte Geschäftsleitung zu geben sind, desto bedeutender sind sie im Regelfall für das Institut. Eine herausgehobene Berichtspflicht könnte s...mehr

Rz. 486 Die im Zuge der sechsten MaRisk-Novelle eingefügten Erleichterungen für gruppeninterne Auslagerungen sind in Tz. 15 nicht abschließend geregelt. Seit der fünften MaRisk-Novelle können die Institute bereits Erleichterungen für Auslagerungen der besonderen Funktionen innerhalb einer Institutsgruppe in Anspruch nehmen. Eine vollständige Auslagerung der Risikocontrolling...mehr

Rz. 254 Das Institut hat auf der Grundlage einer Risikoanalyse eigenverantwortlich festzustellen, ob die Auslagerung unter Risikogesichtspunkten wesentlich ist. Im Zuge der fünften MaRisk-Novelle wurde der Begriff "Auslagerung von erheblicher Tragweite" eingeführt. Der Begriff stellt neben der "wesentlichen" und der "unwesentlichen Auslagerung" keine dritte Kategorie einer A...mehr

Rz. 247 5 Eine Auslagerung von Aktivitäten und Prozessen in Kontrollbereichen und Kernbankbereichen kann unter Beachtung der in Tz. 4 genannten Anforderungen in einem Umfang vorgenommen werden, der gewährleistet, dass hierdurch das Institut weiterhin über Kenntnisse und Erfahrungen verfügt, die eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistu...mehr

Rz. 85 Seit der sechsten MaRisk-Novelle ist das Modul AT 9 ("Auslagerung") in 15 Textziffern gegliedert. Im Einzelnen sind insbesondere die folgenden Elemente von Bedeutung: Definition des Auslagerungstatbestandes (→ AT 9 Tz. 1), Bestimmung der Wesentlichkeit einer Auslagerung und (implizite) Berücksichtigung der Ergebnisse der Risikoanalyse im institutsinternen Risikomanageme...mehr

Rz. 67 Die Compliance-Funktion ist grundsätzlich in einem von den Bereichen Markt und Handel unabhängigen Bereich anzusiedeln. Zwischenzeitlich waren im Rahmen der Konsultationsphase zur fünften MaRisk-Novelle Ausnahmen für Institute mit zwei Geschäftsleitern durch eine entsprechende Erläuterung vorgesehen. Bei diesen Instituten sollte die Wahrnehmung der Funktion des Compli...mehr

Rz. 42 Im Unterschied zu den älteren MaIR, die dezidiert die Vorlage des Gesamtberichtes zum Ende des Geschäftsjahres vorsahen[1], erfordern die MaRisk eine "zeitnahe" Erstellung der Quartalsberichte. Eine entsprechende Vorgabe im Hinblick auf den Jahresbericht fehlt. Hintergrund ist vermutlich, dass damit für die Adressaten des Jahresberichtes, im Fall seiner verzögerten Üb...mehr

Rz. 87 Neben bedeutenden Schadensfällen hat ein Institut auch über wesentliche Schwächen sowie wesentliche potenzielle Ereignisse aus operationellen Risiken zu berichten. Diese spezifische Berichtspflicht geht auf eine Ergänzung im Rahmen der sechsten MaRisk-Novelle zurück, wonach die Verfahren zur Beurteilung der operationellen Risiken deren "wesentliche Ausprägungen" erfas...mehr

Rz. 139 Gestaltungsmöglichkeiten ergeben sich auch aus unbestimmten Rechtsbegriffen (z. B. "wesentlich" oder "angemessen"), deren Präzisierung für allgemeingültige Zwecke weder möglich noch zweckmäßig ist. Auch hier müssen Institute – innerhalb des ihnen zustehenden Beurteilungsspielraumes – eine sachgerechte, einzelfallabhängige Lösung zur Auslegung und Umsetzung der entspr...mehr

Rz. 172 Der Baseler Ausschuss für Bankenaufsicht (BCBS) erwartet, dass die Kapazitäten zur Risikodatenaggregation und die Verfahren zur Risikoberichterstattung eines Institutes hohen Validierungsstandards unterliegen. Diese Validierung[1] ist unabhängig durchzuführen und soll die Einhaltung der aufgeführten Grundsätze im Institut überprüfen. Der vorrangige Zweck der unabhäng...mehr

Rz. 235 Ursprünglich galten die MaRisk in abgestufter Form auch für Investmentgesellschaften. Nachdem diese jedoch im Jahr 2007 durch das Investmentänderungsgesetz ihre Institutseigenschaft verloren haben, ergab sich – zumindest formal gesehen – eine Lücke. Vor diesem Hintergrund entwickelte die deutsche Aufsicht zunächst separate "Mindestanforderungen an das Risikomanagemen...mehr

Rz. 161 Zu den Anforderungen an die Geschäftsleiter nach § 25c KWG besteht eine enge Verbindung. Diese Anforderungen beziehen sich in Abs. 3 zunächst auf die Gesamtverantwortung für die ordnungsgemäße Geschäftsorganisation, die in Abs. 4 durch die Forderung nach angemessenen personellen und finanziellen Ressourcen zur Bewältigung dieser Aufgabe sowie in Abs. 4a bzw. Abs. 4b ...mehr

Rz. 160 Die EBA fordert eine vorherige Zustimmung des Aufsichtsorgans, sofern der CRO ersetzt werden soll. Ihren Vorstellungen zufolge sollten sogar die Aufsichtsbehörden über die Genehmigung durch das Aufsichtsorgan und die wichtigsten Gründe für die Abberufung eines CRO in "Instituten von erheblicher Bedeutung" informiert werden.[1] Der Baseler Ausschuss für Bankenaufsicht...mehr