Montag, 5. Februar 2018

Prüfungsergebnisse des Dienstleisters – Aufgaben der Internen Revision

Jan Meyer im Hagen, CIA, Direktor/Bereichsleiter Revision, Sparkasse Paderborn-Detmold

Im Fall wesentlicher Auslagerungen oder bei Mehrmandantendienstleistern erfolgen häufig die Revisionsprüfungen durch die Interne Revision des jeweiligen Auslagerungsunternehmens, welche dem auslagernden Institut die Prüfungsergebnisse zur Verfügung stellt.

Unabhängig von der notwendigen regelmäßigen Beurteilung, ob diese anderweitig durchgeführte Interne Revisionstätigkeit den Anforderungen der MaRisk genügt und einer sich daraus ggf. ergebenden Notwendigkeit, Ergänzungsprüfungen durchzuführen, stellen sich weiterhin viele Revisionsleiterinnen und -leiter der auslagernden Institute die Frage, wie genau mit den vorliegenden Prüfungsergebnissen, z. B. in Form von Prüfungsberichten oder speziell auf die Auslagerung zugeschnittenen Mandantenberichten, sachgerecht verfahren werden muss. In der Praxis der Internen Revision haben sich daher verschiedene Vorgehensweisen etabliert, die teilweise, ohne dass dies erforderlich wäre, deutlich über die Mindestanforderungen hinausgehen.

Dabei ist festzustellen, dass ein vollständiger Nachvollzug der Prüfungsergebnisse, einschließlich einer Überführung in die Mängelklassifizierungssystematik und eine Berichterstattung nach eigenem Berichtsmuster, ausdrücklich nicht gefordert wird. Gemäß MaRisk BT 2.1 kann die Interne Revision des Instituts im Fall wesentlicher Auslagerungen auf ein anderes Unternehmen vielmehr auf eigene Prüfungshandlungen verzichten, sofern die anderweitig durchgeführte Revisionstätigkeit den Anforderungen in den MaRisk AT 4.4 und BT 2 genügt. Insbesondere müssen die Prüfungsplanung und -durchführung sowie das Follow-up in diesem Fall nicht nachvollzogen werden.

Gleichwohl muss die Interne Revision des auslagernden Instituts die Prüfungsergebnisse im Rahmen ihres revisionsinternen Verfahrens zur Verarbeitung und Bewertung prüfungsrelevanter Informationen würdigen und daraus die richtigen Schlüsse für Fortentwicklung der risikoorientierten Prüfungsplanung bezüglich der relevanten eigengeprüften internen Prozesse des Instituts ziehen (vgl. Abb.).

Ein institutsinterner Prozess, auf den sich wesentliche Feststellungen der Internen Revision des Dienstleisters stets auswirken, ist die Dienstleistersteuerung bzw. das Auslagerungsmanagement. Nach der MaRisk-Novelle 2017 (MaRisk AT 9 Tz 12) hat jedes Institut abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten künftig ein solches zentrales Auslagerungsmanagement einzurichten. Aufgrund einer Zunahme von Häufigkeit und Komplexität der Auslagerungsbeziehungen werden daher auch mittelgroße, nicht systemrelevante Institute mit mehreren wesentlichen Auslagerungen künftig ein derartiges Auslagerungsmanagement einzurichten haben. Unabhängig von der veränderten Anforderung der BaFin, war eine derartige Organisationsform bei mittelgroßen und größeren Instituten bereits häufig anzutreffen.

Das zentrale Dienstleistermanagement fungiert dabei als zweite Verteidigungslinie nach einem dezentralen Dienstleistermanagement, das regelmäßig auf Ebene der operativen Fachbereiche bzw. der Prozessverantwortlichen angesiedelt ist. Nur auf Ebene des Dienstleistermanagements können sachgerechte Maßnahmen als Reaktion auf die Prüfungsergebnisse und -feststellungen abgeleitet werden. Diese können z. B. in der Einforderung der vereinbarten Leistung bzw. – wenn dies nicht möglich ist – in der Forderung von Vertragsstrafen bzw. der Initiierung der Beendigung des Auslagerungsverhältnisses bestehen.

 SEMINARTIPPS

Regelmäßig werden die Prüfungsergebnisse der anderweitig durchgeführten Revisionstätigkeit vom Dienstleister der Internen Revision des auslagernden Instituts zur Verfügung gestellt. An dieser Stelle ist revisionsseitig eine zeitnahe Weiterleitung an das Auslagerungsmanagement sicherzustellen. In der Praxis hat sich hier die Einrichtung von Informations- und Workflowsystemen, auf die alle Verantwortlichen (Prozessverantwortliche, Auslagerungsmanagement und Interne Revision) Zugriff haben, bewährt.

Der künftig nach MaRisk AT 9 Tz 13 mindestens jährlich zu erstattende Bericht des Auslagerungsmanagements konkretisiert sich im Fall einer wesentlichen oder schwerwiegenden Feststellung seitens der anderweitig durchgeführten Revisionstätigkeit zu einer Ad-hoc-Berichtspflicht des Auslagerungsmanagements gegenüber der Geschäftsleitung. Diese Aufgabe obliegt damit ausdrücklich der zweiten Verteidigungslinie, dem Auslagerungsmanagement, und nicht der dritten Verteidigungslinie, der Internen Revision des auslagernden Instituts.

Nur an einer Stelle muss die Interne Revision die wesentlichen Feststellungen bei wesentlichen Auslagerungen in die eigene Berichterstattung übernehmen: Da bezüglich der Auslagerungen ausschließlich die Interne Revision des Instituts über eine direkte Berichtslinie an das Aufsichtsorgan verfügt, sollte diese die Information über die wesentlichen Feststellungen bei den wesentlichen Auslagerungsunternehmen in ihre Quartals- bzw. Jahresberichte der Internen Revision aufnehmen. Diese Information kann optional auch um eine eigene Einschätzung der tatsächlichen Auswirkung auf das Institut bzw. den Bericht über die ergriffenen Maßnahmen und deren Status ergänzt werden. Ausschlaggebend für das Follow-up bleibt aber das Follow-up-System der anderweitig durchgeführten Revisionstätigkeit.

Abb.: Umgang mit den Prüfungsergebnissen des Dienstleisters

PRAXISTIPPS

  • Die Bewertung der Prüfungsergebnisse der anderweitig durchgeführten Revisionstätigkeit bei Dienstleistern obliegt vorrangig dem Auslagerungsmanagement. Der sachgerechte Umgang mit diesen Informationen, z. B. durch die Ableitung von Maßnahmen und die Ad-hoc-Information der Geschäftsleitung, ist wiederum Prüfungsgegenstand der Internen Revision im Prüffeld „Auslagerungsmanagement/Dienstleistersteuerung“.
  • Prüfungsergebnisse, die der Internen Revision vorgelegt werden, müssen zeitnah an das Auslagerungsmanagement weitergeleitet werden. Hierzu sollten geeignete Prozesse und Informationssysteme etabliert werden.
  • Die Interne Revision des auslagernden Instituts ist in der Verpflichtung, die Prüfungsergebnisse revisionsintern zu bewerten und daraus resultierende Auswirkungen auf die risikoorientierte Prüfungsplanung aller relevanten Prüffelder zu berücksichtigen.
  • Die Berichterstattung des Aufsichtsorgans über wesentliche oder schwerwiegende Feststellungen bei den wesentlichen Auslagerungen obliegt der Internen Revision des auslagernden Instituts aufgrund des direkten Berichtswegs lt. MaRisk.


Beitragsnummer: 488

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Prüfung des Managements von Immobilienrisiken

Nach Zinswende 2022 und neuen Regulierungen müssen Banken Immobilienrisiken neu bewerten und managen für Zukunftssicherheit.

02.04.2024

Beitragsicon
Auslagerungsrisiken aktiv managen

Als Kontrollbereich der 2. Linie im Drei-Linien-Modell ist eine aktive Wahrnehmung der Aufgaben im Auslagerungsmanagement erforderlich

24.06.2022

Beitragsicon
Mehrwertbilanz der Internen Revision – Pflicht oder Kür?

Die Prüfungshandlungen der Revision erstrecken sich auch auf die Wirtschaftlichkeit der Geschäftsprozesse. Mit der Mehrwertwertbilanz wird das transparent.

05.01.2023

Beitragsicon
HR-Prozesse in der Prüfung

Die Personalarbeit rückt weiter in den Fokus der Aufsicht. Die Mitarbeitenden sind u.a. die Grundlage für ein wirksames IKS.

04.03.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.