Claaßen, Michael, Bereichsleiter Interne Revision, Volksbank Marl-Recklinghausen eG
Gemäß BT 2.3 Tz.1 der MaRisk hat die Tätigkeit der Internen Revision auf einem umfassenden und jährlich fortzuschreibenden Prüfungsplan zu basieren. In der Praxis erfolgt dies häufig zum Jahresende durch Fortschreibung einer Mehrjahresplanung, die auf Basis einer risikoorientierten Prüfungsstrategie erstellt und abschließend der Geschäftsleitung zur Genehmigung vorgelegt wird. Hierbei handelt es sich um wiederkehrende stichtagsbezogene Betrachtungen. Diese müssen zwingend durch dynamische Methoden ergänzt werden, um Risikoveränderungen und Anpassungsprozesse im audit universe zu berücksichtigen. Dies kann in der Praxis durch einen Continuous Auditing Ansatz erfolgen.
Risikobewertungsverfahren in der Internen Revision
Im Rahmen des three lines of defense models ist die Interne Revision als third line für die Prüfung der Aktivitäten und Geschäftsprozesse verantwortlich. Die Verfahren der Internen Revision sind dabei so auszugestalten, dass mit hinreichender Sicherheit zum Prüfungszeitpunkt X eine Prüfungsaussage zur Angemessenheit und Wirksamkeit der geprüften Prozesse erfolgen kann. Dies beinhaltet die Feststellung, ob die Risikomanagementvorgaben und Kontrollvorgaben zum Prozess wirksam sind oder aufgrund erkannter Qualitätsdefizite belastende ICAAP Sachverhalte enthalten. Ein sogenannter Black Swan kann jedoch auch im Rahmen von wirksamen Prozessen nicht ausgeschlossen werden. Insoweit hat jede Methodik ihre Grenzen bzw. beinhaltet Modellschwächen, die erkannt und bewertet werden müssen. Ein relevantes Problem in der Planungsmethodik der Internen Revision stellt der Zeitraum zwischen Planerstellung und tatsächlicher Prüfung dar. Sich ergebende Risiken oder Veränderungen der Prozesse müssten kontinuierlich ab Planerstellung bewertet und mit den Vorgaben der Planung gemappt werden. In der Praxis kann es dann vorkommen, das Veränderungsprozesse, z. B. aufgrund aufsichtsrechtlicher Veränderungen, nicht als solche beurteilt/erkannt werden und in der Planung unberücksichtigt bleiben. Auch nicht betrachtete IT-Anpassungen, z. B. innerhalb des Bankanwendungsverfahrens durch Releasewechsel, können zu Risiken führen. Ursache der Modellschwäche können insoweit Informationsdefizite sein.
Gemäß BT 2.3 Tz. 2 der MaRisk müssen das Planungsprogramm der Internen Revision und damit das Audit Universe kontinuierlich fortgeschrieben werden, um sich ergebende Veränderungen zu berücksichtigen. Diese Anforderung kann im Rahmen eines Continuous Auditing Ansatzes umgesetzt und somit die beschriebene Modellschwäche vermieden werden.
Continuous Auditing Ansatz
Der Begriff Continuous Auditing kann als kontinuierliche, permanente, laufende bzw. stetige Überwachung des Audit Universe bezeichnet werden. Permanent sind solche Überwachungsprozesse nur dann, wenn die gewünschten Verarbeitungsergebnisse in Echtzeit unmittelbar weitergeleitet bzw. zeitnah übermittelt und ausgewertert werden. Dies kann manuell oder automatisch erfolgen. Manuelle Prozesse stellen z. B. einen Informationstransfer dar, die aufgrund aufsichtsrechtlicher Anforderungen durch Mitarbeiter angestoßen werden (z. B. ad hoc-Berichterstattung nach AT 4.3.2 Tz. 4 der MaRisk). Auf der anderen Seite kann die Information bewusst angefordert werden, um deren Inhalte aus Revisionssicht zu analysieren (z. B. Risikoberichterstattung nach BT 3 der MaRisk). Letzteres kann als Revisionsresearch angesehen werden. Automatische Analysen können insbesondere im Rahmen von Datenanalysen erfolgen, deren Ergebnisse just in time zur Verfügung gestellt werden sollten. In der Praxis wird es aber wahrscheinlich so sein, dass die Ergebnisse erst mit einer Zeitverzögerung zur Verfügung gestellt werden. Grundlage ist, dass unter Risikogesichtspunkten „Beobachtungsfelder” und „Alerts” durch die Interne Revision definiert werden und erstellte Abfragen den Datenhaushalt des Systems, z. B. des Bankanwendungsverfahrens auf vorgenannte Alerts, untersuchen. Die Verarbeitungsergebnisse stellen dann den Risikosachverhalt dar. Diese unterliegen dem Risikobewertungsverfahren der Internen Revision und deren Ergebnisse werden in der Prüfungsplanung berücksichtigt. Dem gegenüber steht im Institut die Anforderung zum Continuous Monitoring.
SEMINARTIPP
Revisionsprüfungen 2019: Weniger – kürzer – automatisierter – verlagert an Fachbereiche, 26.04.2018, Berlin.
Vorgaben
In diesem Zusammenhang wird auf den neuen Entwurf zur Guidelines on common procedures and methodologies for the supervisory review and evaluation process (SREP) and supervisory stress testing vom 31.10.2017 verwiesen (z. B. Punkt 300 der Guideline „Risk identification, measurement, monitoring and reporting“). Ein continuous and effective monitoring wird an verschiedenen Stellen im SREP gefordert. Dieser Monitoring-Ansatz kann insoweit auch auf die Revisionprozesse im Rahmen eines Auditing übertragen werden. The Institute for internal auditors verweist im GTAG 3 auf den Continuous Auditing-Ansatz. Insbesondere nachstehende Vorgaben können somit direkt und im übertragenen Sinne herangezogen werden.
- Guidelines on comment procedures and methodologies for the supervisory review and evaluation process (SREP) and supervisory stress testing (31.10.2017),
- Global Technology Audit Guide (GTAG ) 3, Continuous Auditing: Coordinating Continuous Auditing and Monitoring to provide Continuous Assurance, 2nd Edition,
- MaRisk 09/2017.
PRAXISTIPPFordern Sie von der Internen Revision einen kontinuierlichen Auditprozess, um die Wirksamkeit der Revisionsprozesse im Rahmen der Internal Governance zu stärken.
Beitragsnummer: 380