Thorsten Pegelow, Bereichsleiter Revision, Hamburger Sparkasse AG
In dem derzeit hoch volatilen regulatorischen Umfeld lässt sich eine Konstante identifizieren, deren Existenz sowie der Umgang mit ihr sich wie ein roter Faden parallel zur Entwicklung der regulatorischen Historie zieht. Insbesondere zu Beginn des letzten Jahrzehnts hat es eine Vielzahl von Bestrebungen und Aktivitäten gegeben, die Notwendigkeit, Ausgestaltung und Intensität eines Internen Kontrollsystems unter der Maßgabe anderer geschäftlicher Fokussierungen in den Hintergrund treten zu lassen. Wie einige – in erster Linie international aufgestellte – Institute dann schmerzvoll realisieren mussten, hat dieser – aus heutiger Sicht – leichtfertige Umgang mit dem Instrumentarium des Internen Kontrollsystems zu den allseits bekannten Problemen der betroffenen Häuser geführt.
Die notwendige und in Teilen inzwischen leider auch überziehende regulatorische Antwort konnte nicht ausbleiben und musste zwangsläufig auch den Fokus deutlich stärker auf die Implementierung, Optimierung und Durchsetzung von angemessenen Kontrollen in einem sich wandelnden Umfeld legen. Nicht zuletzt ist dies auch an den beiden letzten Novellen der MaRisk sowie den Regelungen zum SREP deutlich erkennbar. Sowohl in den MaRisk finden sich Prozessanpassungen, die ohne ein entsprechendes Internes Kontrollsystem kaum sinnvoll beherrscht werden können und es finden sich im SREP im Rahmen eigener Darstellungen zum Kontrollumfeld im Bereich Governance-Anforderungen an das IKS per se. Über diesen SREP-Ansatz erlangt die Betrachtung der Funktionsfähigkeit des Internen Kontrollsystems noch weitere Bedeutung insofern, als dort nicht nur die grundlegenden Anforderungen an das Interne Kontrollsystem beschrieben sind, sondern eben auch konsequenterweise dahinterstehend das latente Risiko besteht, bei einer schlechten/unzureichenden Implementierung und Umsetzung eines Internen Kontrollsystems aufgrund des sich ergebenden schlechteren Scorewertes mit entsprechenden Kapitalzuschlägen bestraft zu werden.
Ein weiteres Themenfeld, auf das die verschärften Anforderungen bezüglich eines funktionsfähigen Internen Kontrollsystems einwirken, ist der Verbraucherschutz. Hier gebietet es sich für die Institute inzwischen (u. a. auch um in Zweifelsfällen in späteren Jahren im Rahmen von zivilrechtlichen Auseinandersetzungen beweis-/nachweisfähig zu sein) im Rahmen des Internen Kontrollsystems auch entsprechende Regelungen und Funktionsfähigkeitsüberprüfungen vorzuhalten, um die Einhaltung der dem Verbraucherschutz dienenden gesetzlichen Anforderungen stets nachweisen zu können. Wie stark hier auch der aufsichtliche „Überwachungsdruck“ inzwischen ist, zeigt sich beispielsweise auch darin, dass noch nicht einmal einen Monat nach Inkrafttreten der MiFID-II-Regelungen eine erste Abfrage der BaFin hinsichtlich des Umgangs und der Erfahrungen bei einigen exemplarisch ausgewählten Instituten erfolgt ist.
Was heißt das alles nur für die Interne Revision?
Zunächst ist herauszustellen, dass die Interne Revision ausdrücklich NICHT die Verantwortung für das Interne Kontrollsystem hat; nicht zuletzt hat auch die Aufsicht in diversen Guidelines diese Klarstellung auch und gerade in den letzten Jahren deutlich getroffen. Die Revision kann als 3.-Linien-Funktion allerdings einen wesentlichen Wertbeitrag zum Nachweis und qua Rolle zur Funktionsfähigkeit eines Internen Kontrollsystems leisten, indem sie hilft, Risiken im Institut zu begrenzen und auf das Institut gefährdende Entwicklungen aufgrund ihrer Erkenntnisse zum Funktionsstand des Internen Kontrollsystems hinzuweisen.
Regelmäßig in allen Prüfungen integrierte Betrachtungen der verschiedenen Kontrollinstrumente sowie der 1.- und 2.-Linien-Überwachung stellen sicher, dass auch in den Revisionsberichten die Funktionsfähigkeit, Wirksamkeit und Angemessenheit des Internen Kontrollsystems hinreichende Würdigung und Wahrnehmung sowohl der Geschäftsleitung als auch der Überwachungsorgane (AR/VR) findet.
SEMINARTIPP
IKS – im verschärften (!) Fokus der Bankenaufsicht, 20.–21.06.2018, Frankfurt/M.
Zusätzlich scheint es – unter Berücksichtigung der institutsindividuellen Machbarkeit – auch geboten, ergänzende ggf. auch übergreifende Aussagen bezüglich des Internen Kontrollsystems im Gesamtbericht der Internen Revision zu verankern. Mit diesen Berichts-/Dokumentationsmöglichkeiten schafft die Revisionsleitung quasi generisch auch einen Anknüpfungspunkt, um im mindestens jährlichen Termin im Aufsichts-/Verwaltungsrat über die, für das Interne Kontrollsystem aus Revisionssicht, relevanten Themen zu berichten. Sofern möglich, bieten dazu natürlich auch die Quartalstermine entsprechenden Raum.
Abschließend sei noch auf die Prüfungsdisposition (sowohl Jahresplanung als auch unterjährig) verwiesen. In diesem Kontext ist eine seitens der Revision systematische und nachvollziehbar dokumentierte Herleitung von Prüfungsthemen rund um das Interne Kontrollsystem ein wesentliches Asset zum Nachweis der Funktionsfähigkeit der Internen Revision aus Sicht des Abschlussprüfers oder der Aufsicht.
PRAXISTIPPS
- Wirken Sie als Revision auf eine systematische und planvolle Etablierung eines Internen Kontrollsystems hin.
- Vollziehen Sie die Funktionsfähigkeit, Wirksamkeit und Angemessenheit des Internen Kontrollsystems nach und schaffen Sie eine diesbezügliche Datengrundlage in den Revisionstools.
- Berichten Sie regelmäßig an die Gremien über das Interne Kontrollsystem aus Revisionssicht.
Beitragsnummer: 458