Auswirkungen auf Prüfungsplanung und Prüfungstätigkeit der Internen Revision
Andreas Freßmann, Leiter Produktions- und Steuerungsrevision, Sparkasse Münsterland Ost
Bankaufsichtliche Anforderungen
Der weiter steigende quantitative Umfang der bankaufsichtlichen Meldeprozesse und die deutlich erweiterten bankaufsichtlichen qualitativen Anforderungen und Erwartungen an die Meldeweseninfrastruktur und die Datenqualität sowie das Datenmanagement beeinflussen auch die Führungskräfte und Mitarbeiter der Internen Revision im Hinblick auf Prüfungsplanung und Prüfungstätigkeit.
Auswirkungen auf die Prüfungsplanung der Internen Revision
Die risikoorientierte, mehrjährige Prüfungsplanung wird weiterhin ein wichtiges Standbein des Revisions-Managements bleiben. Die Interne Revision muss sich bereits seit vielen Jahren dem sich beschleunigenden Wandel in der Bankenwelt bei knapper bemessenen personellen Ressourcen stellen. Vor diesem Hintergrund wird auch die Technik des Continuous Auditing implementiert, die als automatisierter Prüfansatz die Leistungsfähigkeit der Internen Revision verbessern kann. So hat die Interne Revision gerade auch im Hinblick auf die Prüffelder des Meldewesens die Möglichkeit, ihren Prüfungsansatz effizienter zu gestalten: Indem sie ergänzend zu ad-hoc-Datenanalysen und anderen Prüfungstechniken ein Continuous Auditing als Prüfungsmethodik etabliert, erreicht sie durch unterjährig wiederkehrende oder kontinuierliche Datenanalysen und durch die Auswertung digitaler Schlüsselkontrollen mit gleichen Ressourcen eine höhere Prüfungsfrequenz und damit einen insgesamt höheren Wirkungsgrad. Revisionsseitige Analysen nach institutsinternen Indikationen oder externen Informationen, die auf wesentliche Prozessänderungen oder unzureichende Schlüsselkontrollen hindeuten, erlauben eine fokussierte Prüfung der Auffälligkeiten. Potentiell wesentliche Risiken können zeitnah durch die Interne Revision untersucht werden und im Ergebnis kann so das Kontroll- und Qualitätsniveau verbessert werden.
SEMINARTIPPS
§ 44er Sonderprüfungen im Meldewesen, 03.12.2018, Frankfurt/M.
Aktuelle Offenlegung von Finanz- & Risikodaten, 06.12.2018, Frankfurt/M.
Spätestens in diesem Zusammenhang ist auch eine Vereinheitlichung zuweilen noch verschiedener interner Verfahren zur Risikobewertung zu erreichen. So muss zum Beispiel gewährleistet sein, dass u. a. sowohl Risikocontrolling, MaRisk-Compliance, Zentrale Stelle gemäß § 25 h KWG einen einheitlichen Wesentlichkeitsbegriff und identische Wesentlichkeitsgrenzen zur Grundlage ihrer Arbeit machen.
Auch die in den letzten Jahren evidente Schwerpunktverlagerung der Aufsichtspraxis von der prinzipienbasierten qualitativen Aufsicht hin zu einer datenbasierten quantitativen Aufsicht kann im Ressourceneinsatz der Internen Revision nicht ohne Auswirkungen bleiben. So ist es folgerichtig, wenn den Prüfungen in den unterschiedlichen Meldewesenprozessen sukzessive ein absolut und relativ größeres Quantum an Revisionsressourcen zugeordnet wird, bis eine mindestens gleichwertige Berücksichtigung der Themenfelder „Anforderungen der quantitativen Regulierung“ und „Anforderungen der qualitativen Regulierung“ in der Prüfungsplanung erreicht ist.
BUCHTIPPS
Bearbeitungs- und Prüfungsleitfaden: Meldewesen, 2017.
Klopf/Kasprowicz (Hrsg.), Neue regulatorische Offenlegungspflichten für Kreditinstitute, 2. Aufl. 2016.
Auswirkungen auf die Prüfungstätigkeit der Internen Revision
Auch in der täglichen Prüfungstätigkeit führen die gestiegenen Anforderungen im Meldewesen zu vielfältigen Auswirkungen. Exemplarisch können nachfolgende Implikationen genannt werden:
Das verstärkt IT-gestützte Meldewesen und die ggfs. bestehende Notwendigkeit zur Durchführung von eigenen Datenanalysen im Rahmen von Prüfungen führt zur immer stärkeren Vernetzung von IT- und Fachprüfern. Diese Entwicklung geht bis hin zur Bildung von agilen und multifunktional einsetzbaren Prüferteams.
Der Anteil von Aufbau- und komplexen Prozessprüfungen wird sich tendenziell erhöhen. Die Berücksichtigung und Bewertung der Aktivitäten der 2. Verteidigungslinie im zu prüfenden Bereich ist u. a. zur Vermeidung von Doppeltätigkeiten zu forcieren. Die Einführung einer Feststellungskategorie „Datenqualität“ zur Sensibilisierung bei den Berichtsempfängern und zur aggregierten Auswertbarkeit ist zielführend.
Die Identifikation von Schlüsselkontrollen ist weiterhin als zentraler Bestandteil der Aufbauprüfung zu betrachten. Die Risiko-Kontroll-Matrix ist im Rahmen der Prüfungstätigkeit auf Funktionsfähigkeit und Wirksamkeit hin zu überprüfen.
Zusammenfassend sollten Fachbereiche und Interne Revision den veränderten regulatorischen Fokus auf das Meldewesen nicht in erster Linie als Problem, sondern als Chance sehen, Prozesse mit Datenbezug im Hause so zu modellieren bzw. modifizieren, dass ein hoher „Industrialisierungsgrad“ und somit ein hoher Sicherheitsgrad bezüglich der Generierung von Datenqualität erzielt wird.
PRAXISTIPPS
Die gestiegenen Anforderungen im Meldewesen wirken sich auch auf die Aktivitäten der Internen Revision aus:
Prüfungsplanung
- Zusätzlich zur mehrjährigen Prüfungsplanung sind Voraussetzungen und ausreichende Ressourcen für ein Continuous Auditing zu schaffen.
- Institutseinheitliche Verfahren zur Risikobewertung sind zu erreichen.
- Gleichwertige Berücksichtigung der Themenfelder „Anforderungen der quantitativen Regulierung“ und „Anforderungen der qualitativen Regulierung“ in der Prüfungsplanung.
Prüfungstätigkeit
- Vernetzung von IT- und Fachprüfern.
- Erhöhung des Anteils von Aufbau- und Prozessprüfungen.
- Berücksichtigung und Bewertung von Aktivitäten der Funktionen der 2. Verteidigungslinie.
- Einführung einer Feststellungskategorie „Datenqualität“.
- Identifikation von Schlüsselkontrollen und Bewertung der Risiko-Kontroll-Matrix.
Beitragsnummer: 805