Fachbeiträge & Kommentare zu Interne Revision

Rz. 12 Die Notwendigkeit zur Anwendung von Risikoklassifizierungsverfahren für die Beurteilung des Adressenausfallrisikos ist grundsätzlich vom Risikogehalt der Kreditgeschäfte abhängig (→ BTO 1.2 Tz. 6). Diese Erleichterung ist insbesondere für jene Geschäftsarten hilfreich, in denen die Beschaffung der für die Anwendung eines derartigen Verfahrens notwendigen umfangreichen...mehr

Rz. 218 4 Grundsätzlich sind Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird. Die Auslagerung darf nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen. Die Leitungsaufgaben der Geschäftsleitung sind nicht auslagerbar. Beson...mehr

Rz. 95 Bei den Prozessen zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken wird grundsätzlich nicht zwischen den Prozessen und Aktivitäten differenziert, die im Institut ablaufen oder ausgelagert sind. In ähnlicher Weise hat die Interne Revision risikoorientiert und prozessunabhängig die Ordnungsmäßigkeit grundsätzlich a...mehr

Rz. 13 Die Gründe für die noch nicht abgeschlossenen Umsetzungsmaßnahmen sollten im Rahmen des Quartalsberichtes näher erläutert werden. Dabei geht es nicht um jene wesentlichen oder höher eingestuften Mängel, bei denen der vereinbarte Erledigungstermin noch gar nicht erreicht ist. Über diese Mängel, die beschlossenen Maßnahmen und den Status dieser Maßnahmen muss die Intern...mehr

Rz. 131 Die relevanten Vorgaben der MiFID bzw. MiFID-Durchführungsrichtlinie decken die folgenden Inhalte ab: In Art. 5 MiFID-Durchführungsrichtlinie werden allgemeine organisatorische Anforderungen an Wertpapierfirmen gestellt. Dazu gehören z. B. die Einrichtung klarer Entscheidungsprozesse und Organisationsstrukturen, die Implementierung angemessener Kontrollmechanismen und...mehr

Rz. 143 Regelungen zum Risikomanagement können nicht am grünen Tisch des Aufsehers entwickelt werden. Schon bei der Entwicklung der Mindestanforderungen an das Kreditgeschäft (MaK) und ihrer weiteren Auslegung hat die BaFin auf die Kooperation mit der Praxis gesetzt. An diesem Ansatz wurde bei der Ausarbeitung und Überarbeitung der MaRisk konsequent festgehalten. Das MaRisk-...mehr

Rz. 78 Informationen über eine Risikoerhöhung sind unverzüglich an alle einzubindenden Organisationseinheiten weiterzuleiten. Bei risikorelevanten Kreditgeschäften sind dies regelmäßig die Kompetenzträger aus den Bereichen Markt und Marktfolge. Bei Ereignissen von wesentlicher Bedeutung ist darüber hinaus die gesamte Geschäftsleitung zu informieren. Diese Anforderung ergibt ...mehr

Rz. 145 Wesentliche Rechtsrisiken sind grundsätzlich in einer vom Markt und Handel unabhängigen Stelle zu überprüfen (→ BTO Tz. 8). Hierfür kommt in erster Linie die Rechtsabteilung infrage. Werden durch die Fachabteilungen wesentliche operationelle Risiken identifiziert, bei denen die Gefahr von Verlusten aufgrund der Verletzung geltender rechtlicher Bestimmungen etc. beste...mehr

Rz. 25 2 Die Risikocontrolling-Funktion hat insbesondere die folgenden Aufgaben:mehr

Rz. 21 Ähnlich wie im Kreditgeschäft sollen zur Überwachung der Immobilien bzw. der Immobilienprojekte alle dem Institut vorliegenden Informationen herangezogen werden, die Einfluss auf deren Wertentwicklung oder Rendite haben können. Dabei spielt es keine Rolle, ob diese Informationen aus internen oder externen Quellen stammen, solange sie valide sind. Von besonderem Intere...mehr

Rz. 52 Das Institut hat bei Handelsgeschäften grundsätzlich eine Testphase durchzuführen. Die Wahl des Begriffes "grundsätzlich" lässt im Hinblick auf die Durchführung der Testphase Ausnahmen zu. So kann darauf verzichtet werden, wenn der Verzicht unter Risikogesichtspunkten vertretbar erscheint und von vornherein mit großer Sicherheit davon auszugehen ist, dass sich aus der...mehr

Rz. 47 5 Ergeben sich im Rahmen der Prüfungen schwerwiegende Feststellungen gegen Geschäftsleiter, so ist der Geschäftsleitung unverzüglich Bericht zu erstatten. Diese hat unverzüglich den Vorsitzenden des Aufsichtsorgans sowie die Aufsichtsinstitutionen (Bundesanstalt für Finanzdienstleistungsaufsicht, Deutsche Bundesbank) zu informieren. Kommt die Geschäftsleitung ihrer Be...mehr

Rz. 6 Die Institute müssen angemessene Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken und der damit verbundenen Risikokonzentrationen (Risikosteuerungs- und -controllingprozesse) einrichten. Diese Prozesse sollten nicht für sich betrachtet werden, sondern in eine gemeinsame Ertrags- und Risikosteuerung ("Gesa...mehr

Rz. 28 Die EBA hat im Jahr 2012 Leitlinien zur Beurteilung der Eignung von Geschäftsleitern, Mitgliedern der Aufsichtsorgane und sogenannten "Inhabern von Schlüsselfunktionen" ("Key Function Holders") in Instituten veröffentlicht[1] und fünf Jahre später gemeinsam mit der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) grundlegend überarbeitet.[2] Mit diesen im Jah...mehr

Rz. 166 2 Das Institut muss anhand einer Risikoanalyse bewerten, welche Risiken mit einer Auslagerung verbunden sind. Ausgehend von dieser Risikoanalyse ist eigenverantwortlich festzulegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen). Diese ist auf der Grundlage von institutsweit bzw. gruppenweit ...mehr

Rz. 56 Da Sonderprüfungen i. d. R. sehr kurzfristig durchzuführen sind, kommt ihnen automatisch eine hohe Priorität zu. In der Praxis wird daher für Sonderprüfungen teilweise aufgrund von Erfahrungswerten von vornherein ein bestimmtes Zeitbudget als "Platzhalter" in der Planung vorgesehen. Auch wenn die Interne Revision speziell für solche Anlässe entsprechende Kapazitäten f...mehr

Rz. 105 Im Zuge der fünften MaRisk-Novelle wurde eine neue Textziffer ergänzt, wonach jeder Geschäftsleiter für die Einrichtung angemessener Kontroll- und Überwachungsmaßnahmen in seinem jeweiligen Verantwortungsbereich verantwortlich ist. Es handelt sich lediglich um eine Klarstellung, dass ein Geschäftsleiter für den ihm nach der Geschäftsverteilung zugewiesenen Geschäftsb...mehr

Rz. 1 Das Modul AT 4 ist das Herzstück des allgemeinen Teils der MaRisk. Einige wesentliche Elemente des Risikomanagements werden in strenger terminologischer Anlehnung an § 25a Abs. 1 Satz 3 Nr. 1 bis 3 und Abs. 3 KWG präzisiert und im Sinne eines übergeordneten Regelkreislaufes miteinander in Beziehung gesetzt (→ AT 4.1 Tz. 3). Der allgemeine Charakter dieses Moduls spiege...mehr

Rz. 23 Im Zuge der fünften MaRisk-Novelle wurde klarstellend ergänzt, dass die Risikoeinstufung der Aktivitäten und Prozesse regelmäßig überprüft werden muss. Da mit den Bewertungsverfahren das Risikopotenzial der Aktivitäten und Prozesse "unter Berücksichtigung absehbarer Veränderungen" analysiert werden soll (→ BT 2.3 Tz. 2), muss die Interne Revision dafür geeignete Annah...mehr

Rz. 101 Zur Sicherstellung angemessener Abstimmungsprozesse "kann es notwendig sein", dass das Institut Prozesse und Verfahren etabliert, die eine jederzeitige Verifizierung der Entstehungshistorie von Positionen und Zahlungsströmen ("Cashflows") gewährleisten (→ BTO 2.2.2 Tz. 7, Erläuterung). Trotz dieser weichen Formulierung sollte davon ausgegangen werden, dass es sich um...mehr

Rz. 52 Auch die mit Nachhaltigkeitsrisiken bzw. Umwelt-, Sozial- und Unternehmensführungsrisiken (ESG-Risiken) verbundenen Aufgaben und Verantwortlichkeiten sollten unter Berücksichtigung von deren Einflussnahme auf andere Risikoarten klar definiert werden.[1] Dabei sollte von den Instituten geprüft werden, inwiefern die bestehenden Prozesse geeignet sind, die Besonderheiten...mehr

Rz. 48 Für die Analyse der jeweiligen NPE-Portfolios sind auf die NPE-Abwicklung spezialisierte und hinreichend qualifizierte Mitarbeiter heranzuziehen (→ BTO 1.2.5 Tz. 1, Erläuterung). In allgemeiner Form ist eine angemessene Personalausstattung bereits an anderer Stelle gefordert. So hat sich die quantitative und qualitative Personalausstattung des Institutes insbesondere ...mehr

Rz. 1 Die Institute müssen angemessene Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken und der damit verbundenen Risikokonzentrationen (Risikosteuerungs- und -controllingprozesse) einrichten (→ AT 4.3.2 Tz. 1). Die letzten Prozessschritte der "Überwachung und Kommunikation" der wesentlichen Risiken werden häuf...mehr

Rz. 22 Auf europäischer Ebene war in diesem Zusammenhang die am 28. September 2005 vom Europäischen Parlament verabschiedete "Capital Requirements Directive" (CRD) von entscheidender Bedeutung. Mit deren Hilfe hat die EU-Kommission die Anforderungen von Basel II in europäisches Recht transformiert. Dieser Umsetzungsprozess betraf die Neufassung der Bankenrichtlinie[1] sowie ...mehr

Rz. 147 Gesetzliche Grundlage der MaRisk und Anknüpfungspunkt für die Umsetzung des "Supervisory Review Process" (SRP) ist § 25a Abs. 1 KWG, der von den Instituten eine "ordnungsgemäße Geschäftsorganisation" fordert. Das KWG zielt diesbezüglich in erster Linie auf ein aus qualitativer Sicht angemessenes Risikoumfeld in den Instituten ab, das zur Stärkung des Risikobewusstsei...mehr

Rz. 55 4 Die Ausgestaltung der Organisationsrichtlinien muss es der Internen Revision ermöglichen, in die Sachprüfung einzutreten. 5.1 Prüfung durch die Interne Revision Rz. 56 Die Interne Revision hat als Instrument der Geschäftsleitung risikoorientiert und prozessunabhängig die Wirksamkeit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen so...mehr

Nach den bisherigen Regelungen ergaben sich hinsichtlich der Vereinbarung von Weisungsrechten (AT 9 Tz. 6d-E), Prüfungsrechten der Internen Revision (AT 9 Tz. 6b-E) sowie Zustimmungsvorbehalten bei Weiterverlagerungen (AT 9 Tz. 6g-E) insbesondere bei Auslagerungen auf Mehrmandantendienstleister häufig praktische Probleme. Die eingefügten Flexibilisierungen sollten dazu beitr...mehr

Rz. 108 Trotz der großen Unterschiede zwischen den Aufgabenbereichen der besonderen Funktionen bestehen auch zahlreiche Gemeinsamkeiten, die auf ihre jeweilige Bedeutung für die internen Kontrollverfahren zurückzuführen sind (siehe Abbildung 49). Abb. 49: Allgemeine Anforderungen an die besonderen Funktionenmehr

Rz. 8 2 Werden die wesentlichen Mängel nicht in einer angemessenen Zeit beseitigt, so hat der Leiter der Internen Revision darüber zunächst den fachlich zuständigen Geschäftsleiter schriftlich zu informieren. Erfolgt die Mängelbeseitigung nicht, so ist die Geschäftsleitung spätestens im Rahmen des nächsten Gesamtberichtes schriftlich über die noch nicht beseitigten Mängel zu...mehr

Rz. 1 1 Die Prüfungstätigkeit der Internen Revision hat sich auf der Grundlage eines risikoori­entierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse des Institutes zu erstrecken. 1.1 Umfassendes Aufgabenspektrum und Risikoorientierung Rz. 2 Gegenstand von Revisionshandlungen sind auf der Basis eines risikoorientierten Prüfungsansatzes grundsätzlich alle Ak...mehr

Rz. 20 Die Prüfungsplanung ist jährlich fortzuschreiben. Das bedeutet zunächst einmal nur, dass jedes Jahr eine neue Planung aufgestellt werden muss, die auf der Planung des Vorjahres aufbaut und insbesondere mit der Dreijahresplanung im Einklang steht. Schließlich kann die grundsätzliche Prüfung aller Aktivitäten und Prozesse innerhalb von drei Jahren schlecht sichergestell...mehr

Rz. 169 Die modulare Struktur der MaRisk hat gegenüber dem Aufbau der alten Mindestanforderungen erhebliche Vorteile für Institute, Prüfer, Verbände, Aufsicht und andere Betroffene. Anpassungen des Regelwerkes führen nicht mehr automatisch zu weiteren Rundschreiben der BaFin. Ein zusätzlicher Vorteil besteht darin, dass im Bedarfsfall vollkommen neue Regelungsbereiche in die...mehr

Rz. 260 Die Anzeige einer Auslagerung der Risikocontrolling- und Compliance-Funktion sowie der Internen Revision bei der Aufsicht war seit der Streichung des § 25a Abs. 2 Satz 3 KWG a. F. durch das Finanzmarktrichtlinie-Umsetzungsgesetz (FRUG) zum 1. November 2007 nicht mehr erforderlich. Anders als bei der Auslagerung von internen Sicherungsmaßnahmen zur Verhinderung von Ge...mehr

3.5.1 Vereinbarung von Informations- und Prüfungsrechten Rz. 80 Das Aufgabenspektrum der Internen Revision erstreckt sich auch auf die ausgelagerten Aktivitäten und Prozesse des Institutes.[1] Für die Revision sind ausgelagerte Aktivitäten und Prozesse regelmäßig von besonderem Interesse, da sie nur mittelbar vom Institut beeinflusst werden können und die Revision nicht mehr ...mehr

Rz. 295 Aufgrund der Bedeutung des Auslagerungsvertrages für das Management auslagerungsspezifischer Risiken (→ BTR 4) ist es nicht überraschend, dass diverse Vertragselemente aufgezählt werden, die das auslagernde Institut mit dem Auslagerungsunternehmen im Auslagerungsvertrag zu vereinbaren hat. Die Anforderungen sind eher allgemeiner Natur und berücksichtigen natürlich in...mehr

Rz. 7 Die Geschäftsaktivitäten müssen auf der Grundlage von Organisationsrichtlinien betrieben werden. Diese Anforderung war bereits Gegenstand der MaK und MaH.[1] Auch aus den MaIR konnte mittelbar bereits das Erfordernis einer schriftlich fixierten Ordnung bzw. von Organisationsrichtlinien abgeleitet werden.[2] Für die Institute gehört die Erstellung von Organisationsricht...mehr

Rz. 35 2 Die Risikobewertungsverfahren der Internen Revision haben eine Analyse des Risikopotenzials der Aktivitäten und Prozesse unter Berücksichtigung absehbarer Veränderungen zu beinhalten. Dabei sind die verschiedenen Risikoquellen und die Manipulationsanfälligkeit der Prozesse durch Mitarbeiter angemessen zu berücksichtigen. 2.1 Erfordernis einer Risikobewertung Rz. 36 Di...mehr

Rz. 448 Der Adressat der jährlichen bzw. anlassbezogenen Berichte des Auslagerungsbeauftragten bzw. des Auslagerungsmanagements ist ausschließlich die Geschäftsleitung des Institutes. Anders als z. B. bei den Berichten der Compliance-Funktion (→ AT 4.4.2 Tz. 7) oder den Berichten der Internen Revision (→ BT 2.4 Tz. 4) sind die Berichte über die wesentlichen Auslagerungen nic...mehr

Rz. 96 Die Institute sollten die Leistung der Sachverständigen, die sich insbesondere in der Genauigkeit der vorgenommenen Bewertungen widerspiegelt, beurteilen. Die EBA nennt dafür beispielhaft Rückvergleiche im Hinblick auf den Wert der Sicherheiten anhand fortgeschrittener statistischer Modelle (→ BTO 1.2 Tz. 2).[1] Vorgeschrieben wird diese Verfahrensweise allerdings nic...mehr

Rz. 82 Unter anderem wird ein sogenanntes "Silodenken" als einer der Gründe für die Finanzmarktkrise angeführt. Der Baseler Ausschuss für Bankenaufsicht erwartet daher, dass die Institute organisatorische "Silos" vermeiden, die eine effektive Weitergabe von Informationen erschweren und zu Entscheidungen führen, die isoliert vom Rest der Bank getroffen werden.[1] Die zum groß...mehr

Rz. 324 Die zunehmende Bedeutung von Auslagerungen hat natürlich auch Einfluss auf die Prüfer. Bei Kredit- und Finanzdienstleistungsinstituten ist der Abschlussprüfer aufgrund gesetzlicher Regelungen dazu verpflichtet, sich mit dem Thema Auslagerung zu befassen. Der in § 29 Abs. 1 KWG adressierte (besondere) Pflichtenkatalog des Abschlussprüfers umfasst auch § 25b KWG. Grund...mehr

Rz. 71 Die Aufsicht macht die Sicherstellung der Datenqualität zu einer Managementaufgabe und nimmt die Geschäftsleitung sehr stark in die Verantwortung. Sowohl der Baseler Ausschuss für Bankenaufsicht (BCBS) als auch die EZB[1] haben betont, dass eine intensive Einbindung der Geschäftsleitung[2] unerlässlich für die Verbesserung der Risikodatenaggregation und der Risikoberi...mehr

Rz. 29 Bei der am 23. Oktober 1995 veröffentlichten Verlautbarung über die Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH) handelte es sich um das erste qualitative Rahmenwerk der deutschen Bankenaufsicht, das sich mit dem "Handelsgeschäft" auf einen kompletten Geschäftsbereich bezog. Allerdings hatten auch die MaH ihre Vorläufer. Dazu zählten die "Mindesta...mehr

Rz. 77 Für eine angemessene Risikokultur ist es wesentlich, dass die Mitglieder der Geschäftsleitung und die Mitarbeiter ihr eigenes Verhalten am Wertesystem des Institutes ausrichten und dabei die Vorgaben zum Risikoappetit und zu den Risikolimiten berücksichtigen. Sie sollten in der Lage sein, ihre Aufgaben wahrzunehmen, und sich bewusst sein, dass sie für ihre Handlungen ...mehr

Rz. 308 Die Risikosteuerungs- und -controllingprozesse sowie die zur Risikoquantifizierung eingesetzten Methoden und Verfahren sind regelmäßig sowie bei sich ändernden Bedingungen auf ihre Angemessenheit zu überprüfen und ggf. anzupassen. Dies betrifft insbesondere auch die Plausibilisierung der ermittelten Ergebnisse und der zugrunde liegenden Daten (→ AT 4.3.2 Tz. 5). Konk...mehr

Rz. 34 Die Konzernrevision kann bei ihrer Tätigkeit die Prüfungsergebnisse der Internen Revisionen der gruppenangehörigen Unternehmen berücksichtigen. Für die Konzernrevision und die Internen Revisionen der gruppenangehörigen Unternehmen sollten Revisionsgrundsätze und Prüfungsstandards gelten, die eine Vergleichbarkeit der Prüfungsergebnisse gewährleisten. Außerdem müssen d...mehr

Rz. 16 Der deutsche Gesetzgeber hat erstmals im Rahmen der sechsten KWG-Novelle im Jahr 1998 in § 25a Abs. 2 KWG a. F. für Institute Anforderungen an die Zulässigkeit und Ausgestaltung der Auslagerung von Aktivitäten und Prozessen auf andere Unternehmen festgelegt. Die Aufnahme der Regelung in das KWG stellte zugleich klar, dass die Auslagerung von Aktivitäten und Prozessen ...mehr

Rz. 143 Die Identifizierung und Beurteilung der wesentlichen operationellen Risiken müssen zumindest jährlich erfolgen, weil die Geschäftsleitung im selben Turnus über bedeutende Schadensfälle und wesentliche operationelle Risiken zu unterrichten ist (→ BT 3.2 Tz. 6). Problematisch am jährlichen Berichtsturnus ist allerdings, dass die Risikocontrolling-Funktion der Geschäfts...mehr

Rz. 98 Gemäß § 25a Abs. 1 Satz 4 KWG hängt die Ausgestaltung des Risikomanagements von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten eines Institutes ab. Das mit dem "Finanzmarktrichtlinie-Umsetzungsgesetz" (FRUG)[1] in das KWG aufgenommene Proportionalitätsprinzip ist die Grundlage für den prinzipienorientierten Ansatz der MaRisk. Der Grundsatz der Prop...mehr

Rz. 85 Diese ursprünglich in BTR 4 Tz. 5 enthaltene Anforderung hat die deutsche Aufsicht im Zuge der fünften MaRisk-Novelle hierher überführt. Die Institute müssen gewährleisten, dass wesentliche operationelle Risiken zumindest jährlich identifiziert und beurteilt werden (→ BTR 4 Tz. 2). Insofern liegt es nahe, die Geschäftsleitung im selben Turnus über die wesentlichen Sch...mehr