Montag, 22. Februar 2021

Anpassungsprozesse im Continuous Auditing der Internen Revision

Claaßen, Michael, Bereichsleiter Interne Revision, Volksbank Marl-Recklinghausen eG

 

Im Rahmen der Bankprozesse ergeben sich teilweise sehr komplexe Strukturen mit den verschiedensten Schnittstellen. Diese Prozesse unterliegen regelmäßigen Anpassungprozessen. Neue bzw. veränderte Vorgaben sind in das vorhandene Risikomanagement und in das Interne Kontrollsystem einzubinden. Gegenüber unseren Kunden sollen/müssen diese Prozesse jedoch einfach, verständlich und nicht komplex erscheinen. Insofern ergeben sich die verschiedensten Anforderungen. Die Anpassungen werden häufig in Projekten nach AT 8.2 der MaRisk umgesetzt. Diese neu implementierten Prozesse sind im audit universe der Internen Revision zeitnah abzubilden. Die Prüfungsplanung basiert grundsätzlich eher auf ex post-Größen, da die Planung i. d. R. am Jahresende des Vorjahres der Prüfung erstellt wurde. Ex ante Gesichtspunkte sind dabei soweit erkennbar bereits zu berücksichtigen. Eine dynamische Planung mit ex ante-Aspekten ist zwingend geboten. Dies kann im Rahmen eines Continuous Auditing-Ansatzes erfolgen. Aufgrund begrenzter Ressourcen sind schlanke effiziente Prozesse in der Revision notwendig, um diese Anpassungen in die Revisions- und Prüfungsprozesse zu überführen.

Umgang mit Anpassungsprozessen

Die Interne Revision muss einen aktuellen Überblick über anstehende Projekte und Aktivitäten haben. Treiber sind dabei veränderte oder neue externe Anforderungen als auch interne oder Verbundanforderungen. Veränderungsprozesse sind durch die Risikoträger und Prozessverantwortlichen der first line umzusetzen. Im Rahmen ihrer Aufgaben ist auch die second line einzubinden. 


 


Die Maßnahmen im Rahmen der Anpassungen sind durch die Interne Revision zu „sammeln” und in der Planung zu berücksichtigen. Diese können z. B. in einer Datenbank oder Excelsheet nach bestimmten Parametern aufbereitet werden (z. B. betroffener Prozess, prozessuale Auswirkungen, Schnittstellen zu anderen Prozessen, Kontrollanpassungen, Auswirkungen auf das Kontrollziel, usw.).

 

Seminartipps


Dabei ist zu prüfen, ob alle externen neuen Änderungen in Anpassungsprozessen durch die Verantwortlichen aufgegriffen wurden.   Hierbei sind neben den „offiziellen Projekten” auch alle sonstigen Aktivitäten zu erheben. Die Einstufung des Anpassungsprozesses ist durch die Interne Revision zu bewerten und zu prüfen, ob bankseitig eine richtige Einstufung im Sinne des AT 8.2 der MaRisk erfolgte. Die Funktionsträger könnten zu einer falschen Einschätzung gekommen sein.  

Das größte Problem kann dabei die Beurteilung der Anpassung des Kontrollrahmens sein. Fehlte eine korrekte risikoorientierte Ableitung der Kontrollen seinerzeit vor der Anpassung, ist eine Fehleinschätzung im Rahmen des Anpassungsprozesses wieder möglich. Dies zeigt auch die Notwendigkeit einer Risiko-Kontroll-Matrix mit der Formulierung von Kontrollzielen. Ein besonderes Augenmerk sollte dabei auf IT-Projekte gelegt werden. Diese werden ggf. ohne Beurteilung im Sinne des AT 8.2 der MaRisk erledigt.

Revisionsziel ist dabei ein permanent aktueller Blick auf notwendige Anpassungsprozesse.  Die Erkenntnisse sind permanent in den Prüfungen und der Revisionsplanung zu berücksichtigen. Ein regelmäßiges Agieren der Internen Revision führt dazu, dass eine notwendige Prüfung ggf. zeitnah und nicht erst zum Zeitpunkt der seinerzeitigen Prüfungsplanung erfolgt. Der Aufwand in den Prüfungen wird durch diese Vorgehensweise der Internen Revision reduziert. Dies führt im Rahmen eines Continuous Auditings letztlich zu schlankeren Prüfungsprozessen und erhöht die Prüfungssicherheit.

 

PRAXISTIPPS

  • Installieren Sie ein System, so dass Sie einen jeweils aktuellen Überblick über alle Veränderungsprozesse im Risikomanagement und Internen Kontrollsystem haben.
  • Erheben Sie die Anpassungsprozesse in der first und die dazu erlangten Erkenntnisse in der second line. Dadurch erlangen Sie auch Erkenntnisse, ob die second line angemessen eingebunden wurde.
  • Bewerten Sie zeitnah die Einstufung der Projekte und Aktivitäten durch die Bank in Bezug auf den AT 8.2 der MaRisk.
  • Überführen Sie die Erkenntnisse zu den Anpassungsprozessen in eine dynamische Planung, so dass sie ggf. zeitnah eine Prüfung durchführen können.
  • Binden Sie die Informationsbeschaffung bei Anpassungsprozessen in ein Contiuous Auditung-System ein. Über definierte Alerts kann eine zeitnahe Prüfung angestoßen werden.
  • Wirken Sie darauf hin, dass der Kontrollrahmen in einer Risiko-Kontroll-Matrix mit risikoorientiert abgeleiteten Kontrollen abgebildet wird.

 

 

 


Beitragsnummer: 17083

Produkte zum Thema:

Produkticon
Schlanke Revisionsprozesse

299,00 € exkl. 19 %

19.04.2021

Produkticon
Agile Revisions-Prüfungen/-Methoden & Einsatz von Remote-Audits

299,00 € exkl. 19 %

14.06.2021

Produkticon
Wirtschaftlichkeitsprüfungen durch die Interne Revision

299,00 € exkl. 19 %

07.12.2021

Beiträge zum Thema:

Beitragsicon
Continuous Auditing der Internen Revision

Claaßen, Michael, Bereichsleiter Interne Revision, Volksbank Marl-Recklinghausen eGGemäß BT 2.3 Tz.1 der MaRisk hat die Tätigkeit der Internen Revision auf

01.02.2018

Beitragsicon
Sonderprüfungen durch die Interne Revision

Im Rahmen von Sonderprüfungen sind im Rahmen von Datenauswertungen die Bestimmungen des Datenschutzes und der Mitbestimmung zu beachten.

14.06.2021

Beitragsicon
Compliance-Management geht auch einfach

Ein neues Compliance-Management-System macht erstmalig revisionssichere Dokumentation aller Compliance-Funktionen möglich

29.07.2021

Beitragsicon
Auswirkungen der Corona-Pandemie auf die Prüfungsplanung der Revision

Corona hält die Welt in Atem, natürlich auch die Bankenwelt. Es ist eine Situation entstanden, die die meisten von uns noch nicht annährend so erlebt haben und ein Ende ist erstmal nicht absehbar. Durch die Krisenlage rückt die Tätigkeit der Internen Revision ein Stück weit in den Hintergrund und die Fachbereiche, die gerade mit reduziertem Personal, teilweise aus dem Home-Office, versuchen, den Betrieb einigermaßen am Laufen halten, sind wenig begeistert, wenn dann auch noch die Revision auftaucht und ihre planmäßigen Prüfungen abarbeiten möchte. Es gilt für die Revision also Wege zu finden, wie sie ihren aufsichtsrechtlichen Pflichten nachkommen kann, ohne den Krisenmodus in der Bank allzu sehr durcheinander zu bringen.

28.04.2020


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.