Fachbeiträge & Kommentare zu Interne Revision

Rz. 86 4 Zur Wahrnehmung ihrer Aufgaben ist der Internen Revision ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. Dieses Recht ist jederzeit zu gewährleisten. Der Internen Revision sind insoweit unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sow...mehr

Rz. 402 Bei der Auslagerung der Internen Revision auf Wirtschaftsprüfer sind die Ausschlussgründe des § 319 Abs. 2 i. V. m. Abs. 3 Satz 1 Nr. 3b HGB zu berücksichtigen. So sind Wirtschaftsprüfer oder vereidigte Buchprüfer als Abschlussprüfer gemäß § 319 Abs. 2 HGB ausgeschlossen, wenn Gründe, insbesondere Beziehungen geschäftlicher, finanzieller oder persönlicher Art, vorlie...mehr

Rz. 4 Der Einschub "grundsätzlich" macht deutlich, dass im Hinblick auf den Aufgabenumfang gewisse Spielräume bestehen und insofern die für die tägliche Arbeit der Internen Revision erforderliche Flexibilität erhalten bleibt. Solche Spielräume sind notwendig, um das grundsätzliche Erfordernis einer Vollprüfung mit der Risikoorientierung der Internen Revision in Einklang zu b...mehr

Nach AT 1 Tz. 1 der MaRisk umfasst ein angemessenes und wirksames Risikomanagement auch eine angemessene Einbindung des Aufsichtsorgans. Um die Überwachungsfunktion durch das Aufsichtsorgan zu stärken, habe ich an verschiedenen Stellen Ergänzungen eingefügt. Dabei geht es zum einen um Berichtspflichten der Geschäftsleitung an das Aufsichtsorgan (AT 4.3.2 Tz. 6) und zum ander...mehr

Rz. 111 7 Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu möglichen Defiziten sowie zu Maßnahmen zu deren Beheb...mehr

Rz. 106 4 Unter Risikogesichtspunkten wesentliche Informationen sind unverzüglich an die Geschäftsleitung, die jeweiligen Verantwortlichen und ggf. die Interne Revision weiterzuleiten, so dass geeignete Maßnahmen bzw. Prüfungshandlungen frühzeitig eingeleitet werden können. Hierfür ist ein geeignetes Verfahren festzulegen. 4.1 Grenzen der turnusmäßigen Berichterstattung Rz. 1...mehr

Rz. 57 5 Sowohl in die Erstellung des Konzeptes als auch in die Testphase sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Im Rahmen ihrer Aufgaben sind auch die Risikocontrolling-Funktion, die Compliance-Funktion und die Interne Revision zu beteiligen. 5.1 Einschaltung der betroffenen Organisationseinheiten Rz. 58 Die Anforderungen des...mehr

Rz. 7 2 Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten bei wesentlichen Projekten begleitend tätig zu sein. 2.1 Projektbegleitung Rz. 8 Notwendige Anpassungen der institutsinternen Strukturen (z. B. aufgrund veränderter Marktbedingungen oder eines Strategiewechsels) lassen sich in vielen Fällen nicht auf der Basis etab...mehr

Rz. 1 1 Vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen hat das Institut die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren. In diese Analysen sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Im Rahmen ihrer Aufgaben sind auch d...mehr

Rz. 84 Die operative Umsetzung der Vorgaben aus dem Implementierungsplan obliegt in erster Linie den darauf spezialisierten "NPE-Abwicklungseinheiten" ("NPE-Workout Units" bzw. "NPE-WU"). Diese Einheiten müssen grundsätzlich vom Kreditvergabeprozess getrennt und in einem Bereich außerhalb des Marktes angesiedelt sein. Wenn Überschneidungen mit den an der Kreditvergabe beteil...mehr

Rz. 1 1 Die Interne Revision hat die fristgerechte Beseitigung der bei der Prüfung festgestellten Mängel in geeigneter Form zu überwachen. Gegebenenfalls ist hierzu eine Nachschauprüfung anzusetzen. 1.1 Sicherstellung der Mängelbeseitigung Rz. 2 Zur Beseitigung der festgestellten Mängel kann die Interne Revision geeignete Maßnahmen festlegen, die im Normalfall mit der betroffe...mehr

AT 9 Tz. 5 MaRisk schränkt die Auslagerung der besonderen Funktionen anhand bestimmter Kriterien ein. Demnach ist "eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling‐Funktion, Compliance‐Funktion oder Interne Revision […] lediglich für Tochterinstitute innerhalb einer Institutsgruppe zulässig, sofern das übergeordnete Institut Auslagerungsunternehmen i...mehr

Rz. 256 Das Institut hat für die Dokumentation, Steuerung und Überwachung wesentlicher Auslagerungen grundsätzlich klare Verantwortlichkeiten festzulegen. Erfolgt eine vollständige Auslagerung der Risikocontrolling-Funktion, der Compliance-Funktion oder der Internen Revision, hat die Geschäftsleitung einen Beauftragten zu benennen, der eine ordnungsgemäße Durchführung der je...mehr

Rz. 247 Die BaFin beaufsichtigt Banken, Finanzdienstleister, private Versicherungsunternehmen und den Wertpapierhandel und ist in diesen Bereichen auch für den kollektiven Verbraucherschutz zuständig. Am 4. Mai 2018 hat die BaFin erstmals die Mindestanforderungen an das Beschwerdemanagement veröffentlicht, die im Jahr 2020 überarbeitet wurden.[1] Das Rundschreiben ergänzt di...mehr

Rz. 224 Das Modul BT besteht aus drei Hauptteilen, in denen besondere Anforderungen an die internen Kontrollverfahren, d. h. das interne Kontrollsystem (→ BT 1) und die Interne Revision (→ BT 2), sowie die Risikoberichterstattung (→ BT 3) abgehandelt werden. Dieser Unterteilung liegt die vom Gesetzgeber vorgegebene Differenzierung zwischen prozessabhängigen und prozessunabhä...mehr

Rz. 2 In den MaRisk werden im Anschluss an die Kreditvergabe grundsätzlich drei Phasen unterschieden, die ein Engagement durchlaufen kann: die Normalbetreuung (→ BTO 1.2.2), die Intensivbetreuung und die Problemkreditbearbeitung (→ BTO 1.2.5). Die Intensivbetreuung, also die gesonderte Beobachtung von Engagements, stellt eine Zwischenstation in dieser Prozesskette dar. Ihr s...mehr

Rz. 119 Die wesentlichen operationellen Risiken, d. h. die bedeutenden potenziellen Schadensfälle, müssen identifiziert und beurteilt werden. Für die Identifizierung potenzieller Schadensfälle und zur Beurteilung ihrer möglichen negativen Auswirkungen auf die Ertrags- oder Vermögenslage des Institutes kann u. a. auf die in der Vergangenheit beobachteten Verluste abgestellt w...mehr

Rz. 94 Die von der EBA im Februar 2019 veröffentlichten Leitlinien zu Auslagerungen[1] aktualisieren die CEBS-Leitlinien aus dem Jahr 2006 und integrieren die Empfehlungen der EBA zu Outsourcing an Cloud-Anbieter. Darüber hinaus konkretisieren sie die Anforderungen an die Überwachung der Auslagerungen im SREP. Ziel der Leitlinien ist es, die Anforderungen an Auslagerungen eu...mehr

Rz. 108 Mit dem Trennbankengesetz wurde eine regelmäßige quartalsweise Berichterstattung der Konzernrevision an die Geschäftsleitung des übergeordneten Unternehmens verpflichtend eingeführt. Seitdem haben die Geschäftsleiter im Rahmen ihrer Gesamtverantwortung für die ordnungsgemäße Geschäftsorganisation der Gruppe gemäß § 25c Abs. 4b Satz 2 Nr. 3 lit. g KWG dafür Sorge zu t...mehr

Rz. 34 Gemäß § 2 Abs. 11 InstitutsVergV sind die Risikocontrolling- und die Compliance-Funktion sowie die Interne Revision als Kontrolleinheiten im Sinne der Institutsvergütungsverordnung einzustufen. Für die Vergütung der Leiter der besonderen Funktionen und ihrer Mitarbeiter gelten daher besondere Anforderungen. Gemäß § 5 Abs. 1 Nr. 2 InstitutsVergV dürfen die Vergütungssy...mehr

In der Aufsichtspraxis sind bei Auslagerungsverhältnissen vielfach nicht nur Unklarheiten, sondern auch Mängel in der Anwendung des AT 9 sichtbar geworden, die mich dazu bewogen haben, Neuerungen, Konkretisierungen und Klarstellungen in diesem Modul vorzunehmen. An einigen Stellen wird die schon existierende aufsichtliche Verwaltungspraxis stärker betont, vor allem aber wird...mehr

[…] in den letzten Wochen sind mehrere Vertreter der Industrie und der Verbände an mich herangetreten und haben um weitere Informationen zu dem mittlerweile von mir in Angriff genommenen Projekt "Mindestanforderungen an das Risikomanagement" (MaRisk) gebeten. Diesem Informationsbedürfnis trage ich gerne Rechnung. Lassen Sie mich zunächst näher auf die Gründe eingehen, die mich...mehr

Rz. 72 Auch bei der sechsten MaRisk-Novelle hat die BaFin Anpassungen vorgenommen, die aus der laufenden Aufsichtspraxis resultieren. Darüber hinaus handelte es sich teilweise lediglich um Klarstellungen, die keine neuen Regelungsinhalte mit sich brachten, sondern die existierende Verwaltungspraxis widerspiegelten.[1] Rz. 73 Im Rahmen der Konsultation wurde zwischen den Aufsi...mehr

Rz. 73 Die EBA hat am 18. Januar 2024 gemäß Art. 87a Abs. 5 CRD VI Leitlinien zu Mindeststandards und Referenzmethoden für die Ermittlung, Messung, Steuerung und Überwachung von ESG-Risiken durch die Institute für drei Monate zur Konsultation gestellt. Bis Ende 2024 sollen die endgültigen Leitlinien vorliegen, so dass dann mit neuen bzw. ergänzenden Vorgaben zu rechnen ist. ...mehr

Rz. 200 In allen genannten Varianten der Berichterstattung geht es letztlich darum, auf Schwachstellen hinzuweisen, um frühzeitig geeignete Maßnahmen zur Beseitigung der Ursachen zu treffen, angemessene Risikosteuerungsmaßnahmen zu ergreifen oder Prüfungshandlungen durch die Interne Revision einzuleiten. Auf diese Weise kann vom Institut weiterer Schaden abgewendet werden. D...mehr

Rz. 27 Die Art. 22 und 123 der Bankenrichtlinie wurden in Deutschland durch eine Präzisierung des § 25a Abs. 1 KWG umgesetzt. Auf der "untergesetzlichen Ebene" wurden ferner Anforderungen an ein gesamtbankbezogenes holistisches Risikomanagement entwickelt. Ergebnis waren die MaRisk in der Fassung vom 20. Dezember 2005, die auf der Basis des § 25a KWG einen qualitativen Rahme...mehr

Rz. 55 Die Compliance-Funktion ist grundsätzlich unmittelbar der Geschäftsleitung unterstellt und berichtspflichtig. Dem Vorschlag der Deutschen Kreditwirtschaft im Rahmen der Konsultation der vierten MaRisk-Novelle, nur den Compliance-Beauftragten unmittelbar der Geschäftsleitung zu unterstellen[1], ist die Aufsicht nicht gefolgt. Die hervorgehobene hierarchische Position d...mehr

Rz. 34 Unter Kontrolle versteht man die Überprüfung oder Nachprüfung bestimmter Sachverhalte. Kontrollen sind als Bestandteil des internen Kontrollsystems den prozessabhängigen Überwachungsmechanismen (→ AT 1 Tz. 1) zuzurechnen. Demzufolge sind die für die Kontrollaufgaben zuständigen Mitarbeiter oder Organisationseinheiten an den jeweiligen Arbeitsprozessen beteiligt und hä...mehr

Nach dem Entwurf sollen, mit Ausnahme der Wahrnehmung der Verantwortung der Geschäftsleitung und deren Leitungsaufgaben, grundsätzlich alle Aktivitäten und Prozesse auslagerbar sein, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation nicht beeinträchtigt wird (AT 9 Tz. 4-E). Dieser Ansatz hat gegenüber den bestehenden Outsourcing-Regelungen nicht nur klarstellen...mehr

Rz. 2 In den Instituten werden für die Prozesse im Immobiliengeschäft Bearbeitungsgrundsätze formuliert (→ BTO 3.2 Tz. 1), die in den Organisationsrichtlinien niedergelegt sind (→ AT 5 Tz. 3 lit. a). Um zu gewährleisten, dass die Vorgaben aus den Organisationsrichtlinien von den betroffenen Mitarbeitern auch eingehalten werden, müssen die Institute prozessabhängige Kontrolle...mehr

Rz. 403 Bei einer vollständigen Auslagerung der Compliance-Funktion hat im Institut ein Beauftragter für die Compliance-Funktion zu verbleiben. Anders als für den Revisionsbeauftragten enthalten die MaRisk keine ausdrücklichen Anforderungen an den Beauftragten für die Compliance-Funktion. Für den im Institut verbleibenden Compliance-Beauftragten dürften jedoch die aufbauorga...mehr

Folgende Rundschreiben, Verlautbarungen, sonstigen Schreiben und Protokolle werden von den Mindestanforderungen an das Risikomanagement (MaRisk) abgelöst: Mindestanforderungen an das Kreditgeschäft der Kreditinstitute Mindestanforderungen an das Kreditgeschäft der Kreditinstitute (MaK), Rundschreiben 34/2002 (BA) vom 20.12.2002 Anschreiben zur Endfassung der MaK vom 20.12.2002 A...mehr

Rz. 105 Damit die Compliance-Funktion ihre Aufgaben effektiv und im Interesse des Institutes wahrnehmen kann, sind dem Compliance-Beauftragten bzw. seinen Mitarbeitern ausreichende Befugnisse und ein uneingeschränkter Zugang zu allen für ihre Tätigkeit relevanten Informationen einzuräumen. Entsprechende Regelungen enthalten die MaRisk auch bei der Risikocontrolling-Funktion ...mehr

Rz. 18 Die Compliance-Funktion kann zur Erfüllung ihrer Aufgaben auch auf andere Funktionen und Stellen zurückgreifen (→ AT 4.4.2 Tz. 3). In einigen Instituten erhält die Compliance-Funktion auch alle Prüfungsberichte der Internen Revision. Dasselbe gilt für die für operationelle Risiken zuständige Einheit, zumal die wesentlichen (offenen) Feststellungen der Internen Revisio...mehr

Die Diskussionen während der Konsultation bezüglich des neuen Untermoduls AT 4.4.2 haben gezeigt, dass in der Praxis noch viel Unsicherheit hinsichtlich der aufsichtlichen Erwartungshaltung herrscht. Dies betrifft sowohl den Umfang der rechtlichen Regelungen und Vorgaben, die diese Funktion im Fokus haben soll, als auch die organisatorische Einordnung und den konkreten Aufga...mehr

Rz. 121 Mit dem CRD IV-Umsetzungsgesetz wurde ergänzt, dass eine ordnungsgemäße Geschäftsorganisation gemäß § 25a Abs. 1 Satz 6 Nr. 3 KWG auch einen Prozess umfasst, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Verstöße gegen die CRR, die Marktmissbrauchsverordnung [1], die Verordnung über Märkte für Finanzinstrumente ("Markets in Fina...mehr

Rz. 8 Sobald die Themen priorisiert wurden, ist zu bestimmen, welche Leistungsinformationen die sinnvollsten Aussagen über die Art und Weise sowie die Effektivität des Managements des betreffenden Themas treffen.[1] Idealerweise sollte eine Deckungsgleichheit zwischen dem, was innerhalb eines Themenfelds durch definierte Leistungsindikatoren gemessen wird, und den daraus abg...mehr

Rz. 85 Die Anforderungen der MaRisk beziehen sich auf das Management der für das Institut wesentlichen Risiken. Zur Beurteilung der Wesentlichkeit hat sich die Geschäftsleitung regelmäßig und anlassbezogen im Rahmen einer Risikoinventur einen Überblick über die Risiken auf der Ebene des gesamten Institutes (Gesamtrisikoprofil) zu verschaffen (→ AT 2.2 Tz. 1). Hinsichtlich de...mehr

Rz. 337 Bei der umfassenden Validierung ist eine angemessene Unabhängigkeit zwischen Methodenentwicklung und Validierung zu gewährleisten. Diese Anforderung ist darauf ausgerichtet, die Selbstkontrolle des Modellentwicklers zu verhindern. Zur Ausgestaltung dieser Unabhängigkeit werden von der deutschen Aufsicht keine weiteren Vorgaben gemacht. In den MaRisk wird nicht weiter...mehr

Rz. 1 Der allgemeine Teil der MaRisk enthält Anforderungen, die grundsätzlich für alle Geschäfts- und Risikoarten Gültigkeit besitzen. Er umfasst auch die relevanten Definitionen und Abgrenzungen. Das Modul AT ist aufgrund seines allgemeingültigen Charakters insoweit von den spezifischen Anforderungen des Moduls BT abzugrenzen, das besondere Anforderungen an die Aufbau- und ...mehr

Rz. 289 Auch die EBA betont im Zusammenhang mit der Umsetzung der Strategie am Beispiel der Strategie für Informations- und Kommunikationstechnologie (IKT-Strategie) besonders den Prozesscharakter. Insbesondere in jenen Fällen, in denen die IKT-Strategie des Institutes die Umsetzung wichtiger und komplexer IKT-Anpassungen oder Änderungen mit erheblichen Auswirkungen auf das ...mehr

Rz. 9 Geschäfts-, Kontroll- und Überwachungsunterlagen sind systematisch und für sachkundige Dritte nachvollziehbar abzufassen. Diese Anforderung bezieht sich jedoch, soweit dem nicht übergeordnete Normen entgegenstehen (insbesondere HGB und KWG), nur auf wesentliche Unterlagen (→ AT 6 Tz. 2). Rz. 10 Geschäfts-, Kontroll- und Überwachungsunterlagen lassen sich wie folgt unter...mehr

Rz. 105 Dezentrale OpRisk-Stellen stehen in der Praxis als Ansprechpartner für die Mitarbeiter in ihrer Organisationseinheit zur Verfügung und sind dafür zuständig, dass die Meldungen von Schadensfällen an die OpRisk-Einheit sämtliche Ereignisse in der vorgeschriebenen Weise berücksichtigen. Sie sind i. d. R. auch diejenigen, die anlassbezogen unter Risikogesichtspunkten wes...mehr

Rz. 96 Neben dem Rahmenwerk zur Berichterstattung wurde eine Hilfestellung für die Überprüfung erstellt. Diese richtet sich an die Interne Revision, externe Experten oder Assurance-Dienstleister. Ziel der Assurance Guidance ist, eine wirksame Überprüfung zu ermöglichen, um so die Risikoprozesse der Unternehmen in Bezug auf Menschenrechte zu verbessern. Das Dokument enthält p...mehr

Rz. 49 Vor allem Industrieunternehmen aus dem Konsumgüterbereich bedienen sich häufig sogenannter Markttests, um die Erfolgschancen neuer Produkte besser einschätzen zu können. Der probeweise Verkauf von Erzeugnissen unter kontrollierten Bedingungen in einem begrenzten Markt unter Einsatz ausgewählter oder sämtlicher Marketinginstrumente dient dazu, "allgemeine Erfahrungen b...mehr

Rz. 3 1 Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikoma­nagements der Institute vor. Es präzisiert ferner die Anforderungen des § 25a Abs. 3 KWG (Risikomanagement auf Gruppenebene) sowie des § 25b KWG (Auslagerung). Ein angemessenes und wirksames Risikomanagem...mehr

Rz. 20 Die Einbeziehung der Geschäftsleiter in das Risikomanagement kann in Abhängigkeit von der Größe des Institutes sowie von der Art und dem Umfang der betriebenen Geschäfte unterschiedlich ausgeprägt sein. So ist es bei kleinen Instituten mit überschaubaren Geschäftsaktivitäten möglich, dass sich die einzelnen Geschäftsleiter einen vertieften Einblick in alle übrigen Res...mehr

Rz. 128 4 Durch das Rundschreiben wird zudem über § 80 Abs. 1 des Gesetzes über den Wertpapierhandel (WpHG) in Verbindung mit § 25a Abs. 1 KWG Art. 16 der Richtlinie 2014/65/EU (Finanzmarktrichtlinie) umgesetzt, soweit diese auf Kreditinstitute und Finanzdienstleistungsinstitute gleichermaßen Anwendung findet. Dies betrifft die allgemeinen organisatorischen Anforderungen gem...mehr

Rz. 104 Die jeweiligen Verantwortlichen müssen über die Existenz und die möglichen Auswirkungen von rechtlichen Risiken, die für die Beurteilung der Risikosituation des Institutes bedeutsam sind, aufgeklärt werden. Dieses Erfordernis ergibt sich auf natürliche Weise aus der Notwendigkeit der Risikosteuerung. Schon in der Vergangenheit bestand die Verpflichtung, Rechtsrisiken...mehr

Rz. 22 In den vergangenen Jahren ist viel darüber diskutiert worden, welche praktischen Probleme mit dem Modell der drei Verteidigungslinien verbunden sein können. Genannt wurden u. a. die strenge Regulierung, darauf basierend teilweise zu enge Vorgaben zur Abgrenzung der ersten und zweiten Verteidigungslinie, ein oftmals vorherrschendes "Silodenken", ein mangelndes Verständ...mehr