Michael Maria Claaßen, Bereichsleiter Interne Revision der Volksbank Marl-Recklinghausen eG, seit 1988 in der Internen Revision leitend tätig
Aktivitäten und Prozesse sind entsprechend der MaRisk auf Basis einer Mehrjahresplanung zu prüfen. Es erfolgen somit zeitraumbezogene Betrachtungen zu einem festgelegten Stichtag. Dieser eher statische Ansatz muss durch einen dynamischen Ansatz ergänzt werden. Der Zeitraum zwischen den geplanten Prüfungsterminen ist durch dynamische Prüffeldkonzepte zu ergänzen. In Ansätzen wird dies in den MaRisk, z. B. durch die Beteiligung an Anpassungsprozessen oder der Weiterleitung von ad-hoc Mitteilungen bereits umgesetzt. Eine Art „Screening“ der Prüfungsfelder muss zwischen den Prüfungen unter Berücksichtigung des Risikogehaltes gewährleistet sein.
I. Aufsichtsrechtliche Vorgaben
Entsprechend BT 2.3 Tz. 1 der MaRisk[1] hat die Tätigkeit der Internen Revision auf einem umfassenden und jährlich fortzuschreibenden Prüfungsplan zu basieren. Die Prüfungsplanung muss dabei risikoorientiert erfolgen. Die Aktivitäten und Prozesse des Instituts sind, auch wenn diese ausgelagert wurden, in angemessenen Abständen grundsätzlich innerhalb von drei Jahren zu prüfen. Wenn besondere Risiken bestehen, ist jährlich zu prüfen. In der Praxis wird häufig ein 3-jähriger Mehrjahresplan erstellt und fortgeschrieben, der um einen Prüfungszeitplan auf Basis eines Jahreshorizontes ergänzt wird. Der Zeitplan verteilt die Prüfungen auf die einzelnen Monate bzw. Quartale des Jahres. Basis bildet die Risikobewertung und der Turnus der einzelnen Prüfungsfelder sowie die Prüfungsstrategie zum Zeitpunkt der Planerstellung. Risikobetrachtungen erfolgen somit grundsätzlich stichtagsbezogen im Rahmen einer ex Post Betrachtung. Die Anforderungen zur Risikobewertung werden im BT 2.3. Tz 2 der MaRisk erläutert. Die Risikobewertungsverfahren der Internen Revision haben eine Analyse des Risikopotenzials der Aktivitäten und Prozesse unter Berücksichtigung absehbarer Veränderungen zu beinhalten. Diese Anpassungen sind bei der zeitlichen Zuordnung der Prüfungsfelder zu berücksichtigen. Die verschiedenen Risikoquellen und die Manipulationsanfälligkeit der Prozesse durch Mitarbeiter sind angemessen zu berücksichtigen. Diese Anforderungen werden auch in den MaRisk Stand 2023 weiter Bestand haben.
In diesem Kontext sind dann auch die Prüfungsplanung, -methoden und -qualität regelmäßig und anlassbezogen auf Angemessenheit zu überprüfen und weiterzuentwickeln. Diese Qualitätssicherung erfolgt im Hause der Volksbank Marl-Recklinghausen eG durch definierte Validierungsprozesse.
Ergänzt werden die Planungen durch die Einbindung der Internen Revision in Anpassungsprozesse oder in beabsichtigte Auslagerungen. Die Einbindung erfolgt auf Basis definierter Regelprozesse. Risikobehaftete Erkenntnisse der Bank sind im Rahmen von ad-hoc Meldungen auch der Internen Revision bekanntzugeben.
Kommt es im Rahmen der Internen Kontrollverfahren oder Risikomanagementaktivitäten zu Risiken, die der „Organismus IKS“ nicht erkennt, werden diese grundsätzlich nur im Rahmen der Prüfungstätigkeit der Internen Revision festgestellt. Ursache können insoweit auch Defizite in der Tätigkeit der first und second line sein, die Risiken im Vorfeld erkennen müssten. Das Risiko kann durch eine dynamische Betrachtung der Prüfungsfelder minimiert werden. Dies erfolgt auf Basis der Aufgabenstellung der Internen Revision und darf nicht notwendige Prozesse der first und second line ersetzen. [...]
Beitragsnummer: 21915