Fachbeiträge & Kommentare zu Interne Revision

Rz. 30 Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für "definierte Zeiträume" ein "nicht mehr akzeptabler Schaden" für das Institut zu erwarten ist (→ AT 7.3 Tz. 1, Erläuterung). Insofern geht es für ein Institut darum, jene Aktivitäten und Prozesse zu ermitteln, bei denen eine Beeinträchtigung schon kurzfristig zu einem graviere...mehr

Rz. 67 Die Anpassungen des Moduls AT 9 aufgrund der EBA-Leitlinien zu Auslagerungen betrafen den gesamten Auslagerungszyklus. Zunächst wurde die Definition des Auslagerungstatbestandes durch die Aufnahme weiterer Beispiele für den sonstigen Fremdbezug von Leistungen geschärft (→ AT 9 Tz. 1, Erläuterung). Ein weiterer Schwerpunkt lag auf der Risikoanalyse, in der nunmehr auch...mehr

Rz. 5 Bei der Risikoidentifizierung geht es in erster Linie darum, herauszufinden, welchen wesentlichen Risiken das Institut ausgesetzt ist. Da die Erstellung des Gesamtrisikoprofils (→ AT 2.2 Tz. 1) den gleichen Zweck verfolgt, bietet es sich an, dass das Institut beide Aspekte gemeinsam behandelt. Die Identifizierung der wesentlichen Risiken ist die kritische Phase der Ris...mehr

Rz. 223 Modul AT umfasst in erster Linie übergeordnete Anforderungen an die Ausgestaltung des Risikomanagements, bei denen grundsätzlich kein konkreter Bezug zu bestimmten Geschäftsbereichen oder Risikoarten besteht. Viele Regelungen der "alten" Mindestanforderungen sind wegen ihres übergreifenden Charakters in diesem Modul "vor die Klammer" gezogen worden. Das betrifft z. B...mehr

Rz. 73 Mit dem CRD IV-Umsetzungsgesetz wurden auch Vorgaben zu einem Risikoausschuss als Gremium des Aufsichtsorgans in das KWG eingefügt. Diese Anforderung wurde zwischenzeitlich an neue europäische Vorgaben angepasst. Nach § 25d Abs. 7 Satz 1 KWG soll das Aufsichtsorgan eines Institutes, einer Finanzholding-Gesellschaft oder einer gemischten Finanzholding-Gesellschaft abhä...mehr

Rz. 377 Das Institut hat die Ausführung der ausgelagerten Aktivitäten und Prozesse durch den Dienstleister ordnungsgemäß zu überwachen. Die Überwachung erstreckt sich in erster Linie auf die Ergebniskontrolle und die für diese Zwecke eingerichteten Prozesse und Strukturen. Folgende Aufgaben spielen im Rahmen der Überwachung eine wichtige Rolle:[1] Soll-Ist-Vergleiche auf Basi...mehr

Rz. 383 Bei wesentlichen Auslagerungen ist die Leistung des Auslagerungsunternehmens laufend anhand vorzuhaltender Kriterien (z. B. "Key Performance Indicators", "Key Risk Indicators") und vertraglich vereinbarter Informationen des Auslagerungsunternehmens zu überwachen. Die Qualität der erbrachten Leistungen ist regelmäßig zu beurteilen. Durch diese Anforderung wird zunächs...mehr

Rz. 4 Konkrete methodische Vorgaben werden von der deutschen Aufsicht nicht gemacht. Insoweit kann auf eine ganze Palette infrage kommender Verfahren zurückgegriffen werden. Um einen Gleichlauf zwischen interner und externer Rechnungslegung sicherzustellen, der eine Unternehmenssteuerung erleichtert, erscheint es zweckmäßig, wenn jeweils identische Kriterien genutzt werden. ...mehr

Rz. 11 Hinsichtlich der Darstellung der Organisationsrichtlinien kommt es aus Sicht der deutschen Aufsicht in erster Linie darauf an, dass diese sachgerecht und für die Mitarbeiter des Institutes nachvollziehbar sind. Die konkrete Art und Weise der Darstellung bleibt daher den Instituten selbst überlassen (→ AT 5 Tz. 1, Erläuterung). Beispielhaft wird auf Handbücher, Arbeits...mehr

Rz. 18 Mit der fünften MaRisk-Novelle hat die deutsche Aufsicht ergänzend gefordert, beim Wechsel von Mitarbeitern der Handels- und Marktbereiche in nachgelagerte Bereiche und Kontrollbereiche für Tätigkeiten, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen, angemessene Übergangsfristen vorzusehen. Die Kontrollbereiche im Sinne dieser Textziffer sind die Ri...mehr

Rz. 26 Die Risikocontrolling-Funktion ist nach Maßgabe der MaRisk insbesondere für die angemessene unabhängige Überwachung und Kommunikation der wesentlichen Risiken unter Berücksichtigung der Auswirkungen von ESG-Risiken zuständig (→ AT 4.4.1 Tz. 1). Seit der vierten MaRisk-Novelle werden ihr ganz konkrete Aufgaben zugewiesen (→ AT 4.4.1 Tz. 2): Unterstützung der Geschäftsle...mehr

a) Gruppenbegriff nach KWG bzw. MaRisk Nach AT 2.1 Tz. 1 der MaRisk hat das übergeordnete Unternehmen bzw. übergeordnete Finanzkonglomeratsunternehmen einer Institutsgruppe, Finanzholdinggruppe oder eines Finanzkonglomerats ein Verfahren einzurichten, das "eine angemessene Steuerung und Überwachung der wesentlichen Risiken" auf Gruppenebene sicherstellt. Die jeweils maßgeblic...mehr

Rz. 41 Die Vergabe von Berechtigungen und Kompetenzen beinhaltet seit der vierten MaRisk-Novelle auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen. Rz. 42 Die regelmäßige Überprüfung muss innerhalb angemessener Fristen erfolgen. Diese Fristen sollen sich an der Bedeutung der Prozesse und,...mehr

Rz. 171 Die Definition und Abgrenzung der Begriffe "Risikoappetit", "Risikotragfähigkeit" und "Risikoprofil" wurde bereits an anderer Stelle ausführlich erläutert (→ AT 4, Einführung und Überblick). Demnach beschreibt der "Risikoappetit" ("risk appetite")[1] in qualitativer und quantitativer Weise die Art und das Niveau der Risiken, die ein Unternehmen angesichts seiner wirt...mehr

Rz. 158 Die Sicherstellung der Datenqualität ist eine unternehmensweite Aufgabe, die nicht nur von einer Organisationseinheit bewerkstelligt werden kann. Der Baseler Ausschuss für Bankenaufsicht erwartet, dass die zuständigen Mitarbeiter (Geschäftsbereiche und IT-Funktionen) gemeinsam mit den Risikomanagern sicherstellen, dass während des gesamten Datenzyklus und unter sämtl...mehr

Rz. 42 Bei der Entscheidung, ob es sich um neuartige Aktivitäten handelt, ist ein vom Markt bzw. vom Handel unabhängiger Bereich einzubinden. Es ist daher nicht möglich, dass z. B. ausschließlich der Handel oder der Markt darüber entscheiden, ob ein neues Produkt vorliegt oder nicht. Durch diese Einschränkung soll sichergestellt werden, dass bereits zu Beginn des NPP die Sic...mehr

Rz. 71 Die zuvor in BTR 3.1 Tz. 11 enthaltenen Berichtsanforderungen wurden von der deutschen Aufsicht im Rahmen der fünften MaRisk-Novelle deutlich erweitert. Gleichzeitig wurde der Turnus der regelmäßigen Berichterstattung über die Liquiditätsrisiken und die Liquiditätssituation verbindlich festgelegt. Allerdings war auch zuvor schon das Aufsichtsorgan vierteljährlich von ...mehr

Rz. 156 Die Erwartungshaltung der deutschen Aufsicht an ein angemessenes IT-Risikomanagement hat sie in den bisher geltenden BAIT näher ausgeführt. Die BAIT haben jedoch auch bisher keinen vollständigen Anforderungskatalog dargestellt. Sie sollen vielmehr einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsrisikos und der Informati...mehr

Rz. 39 Bei der Gestaltung der NPE-Abwicklungseinheiten sind die Besonderheiten der eigenen NPE-Portfolios zu berücksichtigen, also z. B. die Spezifikationen im Privat- oder Firmenkundengeschäft (→ BTO 1.2.5 Tz. 1, Erläuterung). Dabei sollte auch auf die verschiedenen Arten der jeweils hauptsächlich verwendeten Sicherheiten geachtet werden, die ggf. verwertet werden müssen. H...mehr

Rz. 14 Dem ersten Entwurf der vierten MaRisk-Novelle vom 26. April 2012 zufolge hatte die neu einzurichtende Compliance-Funktion die Aufgabe, die institutsinternen Regelungen, die die Einhaltung der gesetzlichen Bestimmungen oder sonstigen Vorgaben gewährleisten, zu bewerten und ihre Einhaltung zu überwachen. Ferner hatte sie die Risiken zu beurteilen, die sich aus der Nicht...mehr

Rz. 18 Die MaRisk enthalten eine Vielzahl von Öffnungsklauseln, die abhängig von der Größe des Institutes, den Geschäftsschwerpunkten und der Risikosituation individuelle Umsetzungslösungen möglich machen (→ AT 1 Tz. 5). Diese Öffnungsklauseln sind eng mit dem Proportionalitäts­prinzip verknüpft, das ein immanenter Bestandteil des aufsichtlichen Überprüfungs- und Bewertungsp...mehr

[…] ich lege Ihnen hiermit den angekündigten Entwurf der Neufassung des Rundschreibens 09/2017 (BA) für die Mindestanforderungen an das Risikomanagement (im folgenden MaRisk) zur Konsultation vor. Die Überarbeitung ist zuvorderst auf Änderungen der internationalen Regelsetzung zurückzuführen. Mit der aktuellen MaRisk-Novelle werden die Leitlinien der EBA zu notleidenden und g...mehr

Rz. 76 Die Geschäftsleitung ist für die Genehmigung des Stresstestprogramms und die Überwachung seiner Umsetzung und Durchführung verantwortlich. Sie muss deshalb die wesentlichen Aspekte des Stresstestprogramms verstehen, um sich aktiv an Diskussionen mit den für die Stresstests verantwortlichen Gremien bzw. Mitarbeitern oder externen Beratern zu beteiligen, wichtige Modell...mehr

Rz. 14 Durch den letzten Prozessschritt der Risikosteuerungs- und -controllingprozesse soll insbesondere sichergestellt werden, dass die Risikosituation mit den risikostrategischen Vorgaben der Geschäftsleitung vereinbar ist. Der Schritt der "Überwachung und Kommunikation" wird unter dem Begriff Risikocontrolling zusammengefasst. Die Funktion des Risikocontrollings ist zur V...mehr

Rz. 1 Bei Industrieunternehmen ist die Leistungserstellung das Ergebnis des Zusammenwirkens verschiedener Produktionsfaktoren. Für Kredit- und Finanzdienstleistungsinstitute gilt im Prinzip nichts anderes. Kapital, Arbeit und Betriebsmittel werden in einem bestimmten Verhältnis miteinander kombiniert, um auf diese Weise die Ziele des Institutes bestmöglich zu verwirklichen. ...mehr

Rz. 87 Sowohl Unstimmigkeiten als auch Auffälligkeiten sind zur Vermeidung von Interessenkonflikten unter der Federführung eines vom Handel unabhängigen Bereiches zu klären. Insoweit werden regelmäßig der Handel und die Abwicklung beteiligt sein. Da die Abwicklung die Unstimmigkeiten festgestellt hat, liegt es darüber hinaus nahe, dass sie auch die Federführung bei deren Klä...mehr

Rz. 96 Zur Risikoüberwachung zählt insbesondere das Verfahren zur Früherkennung der Risiken im Kreditgeschäft (→ BTO 1.3). Darüber hinaus kann eine ganze Reihe organisatorischer Vorschriften im Rahmen der Kreditprozesse im weiteren Sinne zu den Überwachungsmaßnahmen gerechnet werden, wie z. B. die mindestens jährliche Beurteilung der Adressenausfallrisiken (→ BTO 1.2.2 Tz. 2...mehr

Rz. 17 Die Abwicklung hat den unverzüglichen Eingang der Gegenbestätigungen zu überwachen. Dabei war die Unverzüglichkeit früher in Abhängigkeit von der jeweiligen Versandform durch den Kontrahenten zu interpretieren. Inzwischen sind jedoch die Fristvorgaben der Delegierten Verordnung (EU) Nr. 149/2013 zu beachten. Bei Verzögerungen des Eingangs der Gegenbestätigungen oder a...mehr

Rz. 19 Wenn Gegenbestätigungen bei Auslandsgeschäften nicht eingeholt werden können, hat das Institut auf andere geeignete Weise die Existenz und den Inhalt der Geschäfte zu verifizieren (→ BTO 2.2.2 Tz. 2, Erläuterung). Bis zur zweiten MaRisk-Novelle im August 2009 war die Einholung von Gegenbestätigungen im Auslandsgeschäft nur erforderlich, sofern dies den internationalen...mehr

Organisatorisch-strukturelle Fragen Im Hinblick auf die Kommunikation der Ergebnisse des MaRisk-Fachgremiums wird folgende Verfahrensweise vereinbart: es werden Protokolle zu jeder Sitzung erstellt, die auf den Internetseiten von BaFin und Bundesbank veröffentlicht werden. Da das MaRisk-Fachgremium an den "Arbeitskreis Basel II" angebunden ist, werden die Protokolle vorab dem ...mehr

Rz. 154 Ein angemessenes und wirksames Risikomanagement ist auch auf Gruppenebene sicherzustellen. Verantwortlich hierfür sind nach § 25a Abs. 3 KWG die Geschäftsleiter des jeweils übergeordneten Unternehmens der Gruppe.[1] Wie auf der Institutsebene erstreckt sich das gruppenbezogene Risikomanagement insbesondere auf die Aspekte Strategien, Risikotragfähigkeit, internes Kon...mehr

Eine bedeutende Neuerung stellen die Anforderungen an die Vergütungssysteme dar. Aggressive Vergütungssysteme haben – neben anderen Faktoren – mit zur Finanzmarktkrise beigetragen. Fehlanreize in den Vergütungssystemen führten teilweise zu extremen Ausweitungen von Risikopositionen. Vor diesem Hintergrund ist es nicht überraschend, dass sich auch die maßgeblichen internation...mehr

Rz. 1 Das Informationssicherheitsmanagement macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung (vgl. AT 7.2 Tz. 2 MaRisk). Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die inhaltlichen Berichtspflichten des Informa...mehr

Rz. 194 Der bei der Risikoanalyse zu betreibende Aufwand orientiert sich am Proportionalitätsprinzip. Die Intensität der Analyse hängt von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse ab (→ AT 9 Tz. 2, Erläuterung). Diese Vorgehensweise entspricht den Vorstellungen der EBA, die in ihren Leitlinien zu Auslagerungen den Grundsatz der Pro...mehr

Rz. 10 Nach § 25a Abs. 1 KWG muss ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen, die insbesondere ein angemessenes und wirksames Risikomanagement umfasst, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat. Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Institutes verantwortlich. Ein angemessene...mehr

Rz. 150 Da die relevanten Annahmen von grundsätzlicher Bedeutung für die Umsetzung der Strategie sind, müssen sie einer mindestens jährlichen und anlassbezogenen Überprüfung unterzogen werden. Auf diese Weise wird sichergestellt, dass das Institut zeitnah reagieren kann, wenn die Realität von den maßgeblichen Annahmen abweicht.[1] Eine anlassbezogene Überprüfung der Strategi...mehr

Rz. 450 Das Modul AT 9 enthielt bis zur sechsten MaRisk-Novelle keine speziellen Anforderungen an die Dokumentation im Hinblick auf die Auslagerungen von Aktivitäten und Prozessen auf andere Unternehmen. Es galten lediglich die allgemeinen Anforderungen an die Dokumentation, wonach die für die Einhaltung der MaRisk wesentlichen Handlungen und Festlegungen nachvollziehbar zu ...mehr

Rz. 267 Vor Veröffentlichung der ersten Fassung der MaRisk vom 20. Dezember 2005 wurde eine Debatte über die Reichweite der bankaufsichtlichen Anforderungen an die Strategien geführt (sogenannte "Strategiedebatte"). Insbesondere die Bezugnahme auf die Geschäftsstrategie löste in der Kreditwirtschaft die Befürchtung aus, dass im Rahmen von Prüfungshandlungen möglicherweise Ei...mehr

Rz. 466 Die Institute lagern zu einem erheblichen Anteil Aktivitäten und Prozesse innerhalb ihrer Gruppe aus. Einer Untersuchung der EZB zufolge entfallen über 50 Prozent der Auslagerungsaktivitäten von europäischen Banken auf "Intra-Group-Outsourcing", wobei die Auslagerungen auf Mutter-, Tochter- oder Schwestergesellschaften möglich sind.[1] Häufig werden Serviceprozesse, ...mehr

Rz. 70 Die zuständigen Behörden sollten im Rahmen des SREP auf Basis eines tiefgreifenden Verständnisses vom Geschäftsmodell, den Geschäften und der Risikokultur des Institutes sowie vom Umfeld, in dem das Institut operiert, die Quellen und die wesentlichen Treiber des operationellen Risikos sowie deren Wechselwirkungen ermitteln. Zudem sollten sie die Art und den Umfang des...mehr

Rz. 30 Gemäß der ursprünglich in BTR 1 Tz. 7 enthaltenen Anforderungen hält die deutsche Aufsicht eine mindestens vierteljährliche Berichtsfrequenz über die Adressenausfallrisiken grundsätzlich für erforderlich. Die Geschäftsleitung soll dadurch bereits frühzeitig in die Lage versetzt werden, auf bedrohliche oder den Bestand des Institutes gefährdende Risiken reagieren zu kö...mehr

Rz. 226 Die Auslagerung von Leitungsaufgaben, die aufgrund gesellschaftsrechtlicher oder bankaufsichtsrechtlicher Vorgaben der Geschäftsleitung vorbehalten bleiben, ist unzulässig. Unter Leitungsaufgaben versteht man der einschlägigen Fachliteratur zum Aktiengesetz zufolge die "Unternehmensplanung, -koordination, -kontrolle und Besetzung der Führungsstellen" durch den Vorsta...mehr

Rz. 57 Gemäß § 2a Abs. 2 KWG kann die Aufsichtsbehörde auf Antrag ein Institut von bestimmten Anforderungen an das Management von Risiken nach § 25a Abs. 1 Satz 3 KWG – mit Ausnahme des Liquiditätsrisikos und der Compliance-Funktion – weitgehend freistellen, sofern die Voraussetzungen für den Waiver nach Art. 7 CRR vorliegen. Die Freistellung erstreckt sich auf die Festlegung...mehr

Rz. 35 Mit dem CRD IV-Umsetzungsgesetz wurden zum 1. Januar 2014 die Anforderungen an die Aufsichtsorgane der Institute grundlegend neu geregelt (§ 25d KWG) und dabei deutlich erweitert.[1] Die sehr umfangreichen Regelungen dienen der Stärkung der internen Governance-Strukturen und gehen zum großen Teil auf Vorgaben der CRD IV[2] sowie Leitlinien der EBA[3] bzw. ihres Vorgän...mehr

[…] nachdem ich im Anschreiben zur Veröffentlichung der MaRisk vom 20.12.2005 eine grundlegende Modernisierung bestehender Outsourcing-Regelungen und deren Integration in die MaRisk ­angekündigt hatte, kann ich Ihnen nunmehr einen ersten Entwurf vorlegen. Der Entwurf wurde von Mitarbeitern der Deutschen Bundesbank und meiner Behörde ausgearbeitet. Die neuen Passagen zur Ausla...mehr

Rz. 26 Nach § 25a Abs. 1 Satz 3 KWG i. V. m. § 25a Abs. 3 KWG müssen Institutsgruppen, Finanzholding-Gruppen, gemischte Finanzholding-Gruppen und Unterkonsolidierungsgruppen gemäß Art. 22 CRR über eine funktionsfähige Konzernrevision verfügen. Verantwortlich für deren Errichtung ist die Geschäftsleitung des übergeordneten Unternehmens. Die Anforderungen an die Konzernrevisio...mehr

Rz. 127 Bei Arbeitsüberlassungen, d. h. Leih- oder Zeitarbeitnehmern, handelt es sich um Mitarbeiter, die bei einem Leiharbeitsunternehmen, wie z. B. einer Zeitarbeitsfirma, angestellt und nur für eine begrenzte Zeit aufgrund eines Arbeitnehmerüberlassungsvertrages zwischen dem Institut und dem Leiharbeitsunternehmen im Institut tätig sind. Sie erhalten ihre Vergütung sowie ...mehr

Rz. 46 Nach den Anforderungen an die Konzernrevision (→ AT 4.5 Tz. 6) hat sie im Rahmen des Risikomanagements auf Gruppenebene ergänzend zur Internen Revision der gruppenangehörigen Unternehmen tätig zu werden. Die Konzernrevision ist ein "Instrument der Geschäftsleitung des übergeordneten Unternehmens". Im Zuge der fünften MaRisk-Novelle wurde explizit aufgenommen, dass die...mehr

Rz. 9 Im Modul BTO finden sich noch weitere Öffnungsklauseln, die den Instituten einen angemessenen Spielraum für die Umsetzung der MaRisk einräumen. Zusätzliche Freiräume ergeben sich zudem aus der Vielzahl von unbestimmten Rechtsbegriffen, wie "angemessen", "sachgerecht" oder "wesentlich". Aus Teilen der Kreditwirtschaft wurde aufgrund der Erfahrungen mit den qualitativ au...mehr

Rz. 25 In erster Linie geht es der deutschen Aufsicht um die von Vertriebsinteressen unbeeinflusste Wahrnehmung der Methodenverantwortung. Sofern der hierfür zuständige marktunabhängige Geschäftsleiter gleichzeitig die Verantwortung für die Vertriebsorganisation im nicht-risikorelevanten Kreditgeschäft übernimmt, könnten theoretisch Interessenkonflikte auftreten. Ein ähnlich...mehr