Anforderungen aus den neuen MaRisk
Frank Grunau, Direktor Interne Revision, Sparkasse Wilhelmshaven
Einleitung
Die Bankenaufsicht hat in den MaRisk verschiedene Mindestanforderungen an das Risikomanagement für die Finanzbranche festgelegt.
Zu den wesentlichen Anforderungen gehören hiernach:
Funktionsfähigkeit der Risikomanagementprozesse
Die Interne Revision muss die Funktionsfähigkeit der Risikomanagementprozesse beurteilen und zu deren Verbesserung beitragen (International Professional Practices Framework). Ausgangsbasis für alle Prüfungshandlungen der Internen Revision sollte deshalb die Geschäfts- und Risikostrategie der Geschäftsleitung sein.
SEMINARTIPPS
Dabei ist auch die Risikoinventur des Instituts als Ausgangspunkt für die Risikosteuerung kritisch zu analysieren. Denn für die ordnungsgemäße Durchführung der Risikoinventur ist ein exakt definierter und dokumentierter Prozess zwingend erforderlich. Die Zielsetzung der Risikoinventur ist die Erstellung eines Gesamtrisikoprofils gemäß MaRisk auf Grundlage der Differenzierung der einzelnen Risikoarten nach ihrer Wesentlichkeit. Ausgangspunkt für die Erstellung des Profils ist die Identifizierung der verschiedenen Risikokategorien insbesondere auf Grundlage der maßgeblichen Geschäftsaktivitäten des Instituts.
Für die Prüfungstätigkeit der Internen Revision gilt die prozessorientierte Prüfung als “state of the art” und ist eine konsequente Fortführung des risikoorientierten Prüfungsansatzes nach den MaRisk. Bei dieser Prüfungsart werden nicht nur die Methoden beurteilt, sondern auch die hiermit verbundenen Risiken. Die Nachvollziehbarkeit der zu Grunde liegenden Annahmen und Parameter im Risikomanagement ist deshalb immer mit zu berücksichtigen.
Die Risikolage vieler Institute hat sich in der Vergangenheit gerade durch die aufsichtsrechtlichen Anforderungen und die wirtschaftlichen Herausforderungen deutlich verschlechtert. Deshalb ist es wichtig, dass die Interne Revision Risikofaktoren im Risikomanagement frühzeitig feststellt und Hinweise zur Minimierung aufzeigt. Beispielsweise beim operationellen Risiko als wesentlichen Risikotreiber liegen die Risiken in den Prozessen.
Zunehmende Komplexität von Prüfungsplanung und Risikobewertung
In der risikoorientierten Prüfungsplanung sind zuerst die wesentlichen Risikomanagementprozesse zu dokumentieren und in die Mehrjahresplanung zu integrieren. Grundlage für die Ermittlung können die Prozesslandkarte des Instituts, aber auch die Organisationsrichtlinien sein.
BUCHTIPPS
Bei der anschließenden Risikobewertung der Risikosteuerungs- und -controllingprozesse geht es vor allem um das inhärente Risiko, das sich grundsätzlich aus der Prozessdurchführung ergibt. Eine effiziente Interne Revision wird hier gerade zwangsläufig einen prozessorientierten Prüfungsansatz anwenden müssen, wenn sie ihrer Aufgabe zukünftig gerecht werden möchte.
Die Komplexität der Risikosteuerungs- und -controllingprozesse hat aufgrund der aufsichtlichen Anforderungen in den letzten Jahren deutlich zugenommen. Allein die Themen Risikotragfähigkeit, Kapitalplanungsprozess, Strategieprozess und Risikoreporting haben zu einer merklichen Steigerung der Komplexität beigetragen.
PRAXISTIPPS
- Die Basis für Prüfungshandlungen in den Risikosteuerungs- und -controllingprozessen ist die Geschäfts- und Risikostrategie der Geschäftsleitung.
- Nutzen Sie die prozessorientierte Prüfung im Risikomanagement als konsequente Fortführung des risikoorientierten Prüfungsansatzes nach den MaRisk.
- In der Mehrjahresplanung sind die wesentlichen Risikomanagementprozesse zu dokumentieren und regelmäßig zu überprüfen (continuous auditing).
Beitragsnummer: 626