Fachbeiträge & Kommentare zu Interne Revision

Rz. 143 Regelungen zum Risikomanagement können nicht am grünen Tisch des Aufsehers entwickelt werden. Schon bei der Entwicklung der Mindestanforderungen an das Kreditgeschäft (MaK) und ihrer weiteren Auslegung hat die BaFin auf die Kooperation mit der Praxis gesetzt. An diesem Ansatz wurde bei der Ausarbeitung und Überarbeitung der MaRisk konsequent festgehalten. Das MaRisk-...mehr

Rz. 78 Informationen über eine Risikoerhöhung sind unverzüglich an alle einzubindenden Organisationseinheiten weiterzuleiten. Bei risikorelevanten Kreditgeschäften sind dies regelmäßig die Kompetenzträger aus den Bereichen Markt und Marktfolge. Bei Ereignissen von wesentlicher Bedeutung ist darüber hinaus die gesamte Geschäftsleitung zu informieren. Diese Anforderung ergibt ...mehr

Rz. 25 2 Die Risikocontrolling-Funktion hat insbesondere die folgenden Aufgaben:mehr

Rz. 145 Wesentliche Rechtsrisiken sind grundsätzlich in einer vom Markt und Handel unabhängigen Stelle zu überprüfen (→ BTO Tz. 8). Hierfür kommt in erster Linie die Rechtsabteilung infrage. Werden durch die Fachabteilungen wesentliche operationelle Risiken identifiziert, bei denen die Gefahr von Verlusten aufgrund der Verletzung geltender rechtlicher Bestimmungen etc. beste...mehr

Rz. 21 Ähnlich wie im Kreditgeschäft sollen zur Überwachung der Immobilien bzw. der Immobilienprojekte alle dem Institut vorliegenden Informationen herangezogen werden, die Einfluss auf deren Wertentwicklung oder Rendite haben können. Dabei spielt es keine Rolle, ob diese Informationen aus internen oder externen Quellen stammen, solange sie valide sind. Von besonderem Intere...mehr

Rz. 52 Das Institut hat bei Handelsgeschäften grundsätzlich eine Testphase durchzuführen. Die Wahl des Begriffes "grundsätzlich" lässt im Hinblick auf die Durchführung der Testphase Ausnahmen zu. So kann darauf verzichtet werden, wenn der Verzicht unter Risikogesichtspunkten vertretbar erscheint und von vornherein mit großer Sicherheit davon auszugehen ist, dass sich aus der...mehr

Rz. 47 5 Ergeben sich im Rahmen der Prüfungen schwerwiegende Feststellungen gegen Geschäftsleiter, so ist der Geschäftsleitung unverzüglich Bericht zu erstatten. Diese hat unverzüglich den Vorsitzenden des Aufsichtsorgans sowie die Aufsichtsinstitutionen (Bundesanstalt für Finanzdienstleistungsaufsicht, Deutsche Bundesbank) zu informieren. Kommt die Geschäftsleitung ihrer Be...mehr

Rz. 6 Die Institute müssen angemessene Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken und der damit verbundenen Risikokonzentrationen (Risikosteuerungs- und -controllingprozesse) einrichten. Diese Prozesse sollten nicht für sich betrachtet werden, sondern in eine gemeinsame Ertrags- und Risikosteuerung ("Gesa...mehr

Rz. 166 2 Das Institut muss anhand einer Risikoanalyse bewerten, welche Risiken mit einer Auslagerung verbunden sind. Ausgehend von dieser Risikoanalyse ist eigenverantwortlich festzulegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen). Diese ist auf der Grundlage von institutsweit bzw. gruppenweit ...mehr

Rz. 1 Der allgemeine Teil der MaRisk enthält Anforderungen, die grundsätzlich für alle Geschäfts- und Risikoarten Gültigkeit besitzen. Er umfasst auch die relevanten Definitionen und Abgrenzungen. Das Modul AT ist aufgrund seines allgemeingültigen Charakters insoweit von den spezifischen Anforderungen des Moduls BT abzugrenzen, das besondere Anforderungen an die Aufbau- und ...mehr

Rz. 56 Da Sonderprüfungen i. d. R. sehr kurzfristig durchzuführen sind, kommt ihnen automatisch eine hohe Priorität zu. In der Praxis wird daher für Sonderprüfungen teilweise aufgrund von Erfahrungswerten von vornherein ein bestimmtes Zeitbudget als "Platzhalter" in der Planung vorgesehen. Auch wenn die Interne Revision speziell für solche Anlässe entsprechende Kapazitäten f...mehr

Rz. 105 Im Zuge der fünften MaRisk-Novelle wurde eine neue Textziffer ergänzt, wonach jeder Geschäftsleiter für die Einrichtung angemessener Kontroll- und Überwachungsmaßnahmen in seinem jeweiligen Verantwortungsbereich verantwortlich ist. Es handelt sich lediglich um eine Klarstellung, dass ein Geschäftsleiter für den ihm nach der Geschäftsverteilung zugewiesenen Geschäftsb...mehr

Rz. 28 Die EBA hat im Jahr 2012 Leitlinien zur Beurteilung der Eignung von Geschäftsleitern, Mitgliedern der Aufsichtsorgane und sogenannten "Inhabern von Schlüsselfunktionen" ("Key Function Holders") in Instituten veröffentlicht[1] und fünf Jahre später gemeinsam mit der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) grundlegend überarbeitet.[2] Mit diesen im Jah...mehr

Rz. 289 Auch die EBA betont im Zusammenhang mit der Umsetzung der Strategie am Beispiel der Strategie für Informations- und Kommunikationstechnologie (IKT-Strategie) besonders den Prozesscharakter. Insbesondere in jenen Fällen, in denen die IKT-Strategie des Institutes die Umsetzung wichtiger und komplexer IKT-Anpassungen oder Änderungen mit erheblichen Auswirkungen auf das ...mehr

Rz. 1 Das Modul AT 4 ist das Herzstück des allgemeinen Teils der MaRisk. Einige wesentliche Elemente des Risikomanagements werden in strenger terminologischer Anlehnung an § 25a Abs. 1 Satz 3 Nr. 1 bis 3 und Abs. 3 KWG präzisiert und im Sinne eines übergeordneten Regelkreislaufes miteinander in Beziehung gesetzt (→ AT 4.1 Tz. 3). Der allgemeine Charakter dieses Moduls spiege...mehr

Rz. 105 Dezentrale OpRisk-Stellen stehen in der Praxis als Ansprechpartner für die Mitarbeiter in ihrer Organisationseinheit zur Verfügung und sind dafür zuständig, dass die Meldungen von Schadensfällen an die OpRisk-Einheit sämtliche Ereignisse in der vorgeschriebenen Weise berücksichtigen. Sie sind i. d. R. auch diejenigen, die anlassbezogen unter Risikogesichtspunkten wes...mehr

Rz. 23 Im Zuge der fünften MaRisk-Novelle wurde klarstellend ergänzt, dass die Risikoeinstufung der Aktivitäten und Prozesse regelmäßig überprüft werden muss. Da mit den Bewertungsverfahren das Risikopotenzial der Aktivitäten und Prozesse "unter Berücksichtigung absehbarer Veränderungen" analysiert werden soll (→ BT 2.3 Tz. 2), muss die Interne Revision dafür geeignete Annah...mehr

Rz. 9 Geschäfts-, Kontroll- und Überwachungsunterlagen sind systematisch und für sachkundige Dritte nachvollziehbar abzufassen. Diese Anforderung bezieht sich jedoch, soweit dem nicht übergeordnete Normen entgegenstehen (insbesondere HGB und KWG), nur auf wesentliche Unterlagen (→ AT 6 Tz. 2). Rz. 10 Geschäfts-, Kontroll- und Überwachungsunterlagen lassen sich wie folgt unter...mehr

Rz. 49 Vor allem Industrieunternehmen aus dem Konsumgüterbereich bedienen sich häufig sogenannter Markttests, um die Erfolgschancen neuer Produkte besser einschätzen zu können. Der probeweise Verkauf von Erzeugnissen unter kontrollierten Bedingungen in einem begrenzten Markt unter Einsatz ausgewählter oder sämtlicher Marketinginstrumente dient dazu, "allgemeine Erfahrungen b...mehr

Rz. 96 Neben dem Rahmenwerk zur Berichterstattung wurde eine Hilfestellung für die Überprüfung erstellt. Diese richtet sich an die Interne Revision, externe Experten oder Assurance-Dienstleister. Ziel der Assurance Guidance ist, eine wirksame Überprüfung zu ermöglichen, um so die Risikoprozesse der Unternehmen in Bezug auf Menschenrechte zu verbessern. Das Dokument enthält p...mehr

Rz. 20 Die Einbeziehung der Geschäftsleiter in das Risikomanagement kann in Abhängigkeit von der Größe des Institutes sowie von der Art und dem Umfang der betriebenen Geschäfte unterschiedlich ausgeprägt sein. So ist es bei kleinen Instituten mit überschaubaren Geschäftsaktivitäten möglich, dass sich die einzelnen Geschäftsleiter einen vertieften Einblick in alle übrigen Res...mehr

Rz. 104 Die jeweiligen Verantwortlichen müssen über die Existenz und die möglichen Auswirkungen von rechtlichen Risiken, die für die Beurteilung der Risikosituation des Institutes bedeutsam sind, aufgeklärt werden. Dieses Erfordernis ergibt sich auf natürliche Weise aus der Notwendigkeit der Risikosteuerung. Schon in der Vergangenheit bestand die Verpflichtung, Rechtsrisiken...mehr

Rz. 22 In den vergangenen Jahren ist viel darüber diskutiert worden, welche praktischen Probleme mit dem Modell der drei Verteidigungslinien verbunden sein können. Genannt wurden u. a. die strenge Regulierung, darauf basierend teilweise zu enge Vorgaben zur Abgrenzung der ersten und zweiten Verteidigungslinie, ein oftmals vorherrschendes "Silodenken", ein mangelndes Verständ...mehr

Rz. 12 Die Notwendigkeit zur Anwendung von Risikoklassifizierungsverfahren für die Beurteilung des Adressenausfallrisikos ist grundsätzlich vom Risikogehalt der Kreditgeschäfte abhängig (→ BTO 1.2 Tz. 6). Diese Erleichterung ist insbesondere für jene Geschäftsarten hilfreich, in denen die Beschaffung der für die Anwendung eines derartigen Verfahrens notwendigen umfangreichen...mehr

Rz. 101 Zur Sicherstellung angemessener Abstimmungsprozesse "kann es notwendig sein", dass das Institut Prozesse und Verfahren etabliert, die eine jederzeitige Verifizierung der Entstehungshistorie von Positionen und Zahlungsströmen ("Cashflows") gewährleisten (→ BTO 2.2.2 Tz. 7, Erläuterung). Trotz dieser weichen Formulierung sollte davon ausgegangen werden, dass es sich um...mehr

Rz. 337 Bei der umfassenden Validierung ist eine angemessene Unabhängigkeit zwischen Methodenentwicklung und Validierung zu gewährleisten. Diese Anforderung ist darauf ausgerichtet, die Selbstkontrolle des Modellentwicklers zu verhindern. Zur Ausgestaltung dieser Unabhängigkeit werden von der deutschen Aufsicht keine weiteren Vorgaben gemacht. In den MaRisk wird nicht weiter...mehr

Rz. 1 Die Institute müssen angemessene Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken und der damit verbundenen Risikokonzentrationen (Risikosteuerungs- und -controllingprozesse) einrichten (→ AT 4.3.2 Tz. 1). Die letzten Prozessschritte der "Überwachung und Kommunikation" der wesentlichen Risiken werden häuf...mehr

Rz. 22 Auf europäischer Ebene war in diesem Zusammenhang die am 28. September 2005 vom Europäischen Parlament verabschiedete "Capital Requirements Directive" (CRD) von entscheidender Bedeutung. Mit deren Hilfe hat die EU-Kommission die Anforderungen von Basel II in europäisches Recht transformiert. Dieser Umsetzungsprozess betraf die Neufassung der Bankenrichtlinie[1] sowie ...mehr

Rz. 52 Auch die mit Nachhaltigkeitsrisiken bzw. Umwelt-, Sozial- und Unternehmensführungsrisiken (ESG-Risiken) verbundenen Aufgaben und Verantwortlichkeiten sollten unter Berücksichtigung von deren Einflussnahme auf andere Risikoarten klar definiert werden.[1] Dabei sollte von den Instituten geprüft werden, inwiefern die bestehenden Prozesse geeignet sind, die Besonderheiten...mehr

Rz. 48 Für die Analyse der jeweiligen NPE-Portfolios sind auf die NPE-Abwicklung spezialisierte und hinreichend qualifizierte Mitarbeiter heranzuziehen (→ BTO 1.2.5 Tz. 1, Erläuterung). In allgemeiner Form ist eine angemessene Personalausstattung bereits an anderer Stelle gefordert. So hat sich die quantitative und qualitative Personalausstattung des Institutes insbesondere ...mehr

Rz. 147 Gesetzliche Grundlage der MaRisk und Anknüpfungspunkt für die Umsetzung des "Supervisory Review Process" (SRP) ist § 25a Abs. 1 KWG, der von den Instituten eine "ordnungsgemäße Geschäftsorganisation" fordert. Das KWG zielt diesbezüglich in erster Linie auf ein aus qualitativer Sicht angemessenes Risikoumfeld in den Instituten ab, das zur Stärkung des Risikobewusstsei...mehr

Rz. 20 Die Prüfungsplanung ist jährlich fortzuschreiben. Das bedeutet zunächst einmal nur, dass jedes Jahr eine neue Planung aufgestellt werden muss, die auf der Planung des Vorjahres aufbaut und insbesondere mit der Dreijahresplanung im Einklang steht. Schließlich kann die grundsätzliche Prüfung aller Aktivitäten und Prozesse innerhalb von drei Jahren schlecht sichergestell...mehr

3.5.1 Vereinbarung von Informations- und Prüfungsrechten Rz. 80 Das Aufgabenspektrum der Internen Revision erstreckt sich auch auf die ausgelagerten Aktivitäten und Prozesse des Institutes.[1] Für die Revision sind ausgelagerte Aktivitäten und Prozesse regelmäßig von besonderem Interesse, da sie nur mittelbar vom Institut beeinflusst werden können und die Revision nicht mehr ...mehr

Rz. 169 Die modulare Struktur der MaRisk hat gegenüber dem Aufbau der alten Mindestanforderungen erhebliche Vorteile für Institute, Prüfer, Verbände, Aufsicht und andere Betroffene. Anpassungen des Regelwerkes führen nicht mehr automatisch zu weiteren Rundschreiben der BaFin. Ein zusätzlicher Vorteil besteht darin, dass im Bedarfsfall vollkommen neue Regelungsbereiche in die...mehr

Rz. 35 2 Die Risikobewertungsverfahren der Internen Revision haben eine Analyse des Risikopotenzials der Aktivitäten und Prozesse unter Berücksichtigung absehbarer Veränderungen zu beinhalten. Dabei sind die verschiedenen Risikoquellen und die Manipulationsanfälligkeit der Prozesse durch Mitarbeiter angemessen zu berücksichtigen. 2.1 Erfordernis einer Risikobewertung Rz. 36 Di...mehr

Rz. 295 Aufgrund der Bedeutung des Auslagerungsvertrages für das Management auslagerungsspezifischer Risiken (→ BTR 4) ist es nicht überraschend, dass diverse Vertragselemente aufgezählt werden, die das auslagernde Institut mit dem Auslagerungsunternehmen im Auslagerungsvertrag zu vereinbaren hat. Die Anforderungen sind eher allgemeiner Natur und berücksichtigen natürlich in...mehr

Rz. 448 Der Adressat der jährlichen bzw. anlassbezogenen Berichte des Auslagerungsbeauftragten bzw. des Auslagerungsmanagements ist ausschließlich die Geschäftsleitung des Institutes. Anders als z. B. bei den Berichten der Compliance-Funktion (→ AT 4.4.2 Tz. 7) oder den Berichten der Internen Revision (→ BT 2.4 Tz. 4) sind die Berichte über die wesentlichen Auslagerungen nic...mehr

Rz. 7 Die Geschäftsaktivitäten müssen auf der Grundlage von Organisationsrichtlinien betrieben werden. Diese Anforderung war bereits Gegenstand der MaK und MaH.[1] Auch aus den MaIR konnte mittelbar bereits das Erfordernis einer schriftlich fixierten Ordnung bzw. von Organisationsrichtlinien abgeleitet werden.[2] Für die Institute gehört die Erstellung von Organisationsricht...mehr

Rz. 260 Die Anzeige einer Auslagerung der Risikocontrolling- und Compliance-Funktion sowie der Internen Revision bei der Aufsicht war seit der Streichung des § 25a Abs. 2 Satz 3 KWG a. F. durch das Finanzmarktrichtlinie-Umsetzungsgesetz (FRUG) zum 1. November 2007 nicht mehr erforderlich. Anders als bei der Auslagerung von internen Sicherungsmaßnahmen zur Verhinderung von Ge...mehr

Rz. 55 4 Die Ausgestaltung der Organisationsrichtlinien muss es der Internen Revision ermöglichen, in die Sachprüfung einzutreten. 5.1 Prüfung durch die Interne Revision Rz. 56 Die Interne Revision hat als Instrument der Geschäftsleitung risikoorientiert und prozessunabhängig die Wirksamkeit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen so...mehr

Nach den bisherigen Regelungen ergaben sich hinsichtlich der Vereinbarung von Weisungsrechten (AT 9 Tz. 6d-E), Prüfungsrechten der Internen Revision (AT 9 Tz. 6b-E) sowie Zustimmungsvorbehalten bei Weiterverlagerungen (AT 9 Tz. 6g-E) insbesondere bei Auslagerungen auf Mehrmandantendienstleister häufig praktische Probleme. Die eingefügten Flexibilisierungen sollten dazu beitr...mehr

Rz. 108 Trotz der großen Unterschiede zwischen den Aufgabenbereichen der besonderen Funktionen bestehen auch zahlreiche Gemeinsamkeiten, die auf ihre jeweilige Bedeutung für die internen Kontrollverfahren zurückzuführen sind (siehe Abbildung 49). Abb. 49: Allgemeine Anforderungen an die besonderen Funktionenmehr

Rz. 8 2 Werden die wesentlichen Mängel nicht in einer angemessenen Zeit beseitigt, so hat der Leiter der Internen Revision darüber zunächst den fachlich zuständigen Geschäftsleiter schriftlich zu informieren. Erfolgt die Mängelbeseitigung nicht, so ist die Geschäftsleitung spätestens im Rahmen des nächsten Gesamtberichtes schriftlich über die noch nicht beseitigten Mängel zu...mehr

Rz. 1 1 Die Prüfungstätigkeit der Internen Revision hat sich auf der Grundlage eines risikoori­entierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse des Institutes zu erstrecken. 1.1 Umfassendes Aufgabenspektrum und Risikoorientierung Rz. 2 Gegenstand von Revisionshandlungen sind auf der Basis eines risikoorientierten Prüfungsansatzes grundsätzlich alle Ak...mehr

Rz. 34 Die Konzernrevision kann bei ihrer Tätigkeit die Prüfungsergebnisse der Internen Revisionen der gruppenangehörigen Unternehmen berücksichtigen. Für die Konzernrevision und die Internen Revisionen der gruppenangehörigen Unternehmen sollten Revisionsgrundsätze und Prüfungsstandards gelten, die eine Vergleichbarkeit der Prüfungsergebnisse gewährleisten. Außerdem müssen d...mehr

Rz. 82 Unter anderem wird ein sogenanntes "Silodenken" als einer der Gründe für die Finanzmarktkrise angeführt. Der Baseler Ausschuss für Bankenaufsicht erwartet daher, dass die Institute organisatorische "Silos" vermeiden, die eine effektive Weitergabe von Informationen erschweren und zu Entscheidungen führen, die isoliert vom Rest der Bank getroffen werden.[1] Die zum groß...mehr

Rz. 324 Die zunehmende Bedeutung von Auslagerungen hat natürlich auch Einfluss auf die Prüfer. Bei Kredit- und Finanzdienstleistungsinstituten ist der Abschlussprüfer aufgrund gesetzlicher Regelungen dazu verpflichtet, sich mit dem Thema Auslagerung zu befassen. Der in § 29 Abs. 1 KWG adressierte (besondere) Pflichtenkatalog des Abschlussprüfers umfasst auch § 25b KWG. Grund...mehr

Rz. 71 Die Aufsicht macht die Sicherstellung der Datenqualität zu einer Managementaufgabe und nimmt die Geschäftsleitung sehr stark in die Verantwortung. Sowohl der Baseler Ausschuss für Bankenaufsicht (BCBS) als auch die EZB[1] haben betont, dass eine intensive Einbindung der Geschäftsleitung[2] unerlässlich für die Verbesserung der Risikodatenaggregation und der Risikoberi...mehr

Rz. 29 Bei der am 23. Oktober 1995 veröffentlichten Verlautbarung über die Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH) handelte es sich um das erste qualitative Rahmenwerk der deutschen Bankenaufsicht, das sich mit dem "Handelsgeschäft" auf einen kompletten Geschäftsbereich bezog. Allerdings hatten auch die MaH ihre Vorläufer. Dazu zählten die "Mindesta...mehr

Rz. 308 Die Risikosteuerungs- und -controllingprozesse sowie die zur Risikoquantifizierung eingesetzten Methoden und Verfahren sind regelmäßig sowie bei sich ändernden Bedingungen auf ihre Angemessenheit zu überprüfen und ggf. anzupassen. Dies betrifft insbesondere auch die Plausibilisierung der ermittelten Ergebnisse und der zugrunde liegenden Daten (→ AT 4.3.2 Tz. 5). Konk...mehr