Claaßen, Michael, Bereichsleiter Interne Revision, Volksbank Marl-Recklinghausen eG
Historische Kernkompetenz einer Revision stellt die Prüfung der Qualität bereits abgeschlossener Aktivitäten und Geschäftsprozesse dar. Seit Jahren hat sich jedoch gezeigt, dass diese ex post-Betrachtung nicht ausreicht, um eine angemessene Revisionstätigkeit zu gewährleisten. Neben der Projektbegleitung und Beratung, die auf der Initiative Dritter durch Einbindung der Internen Revision erfolgt, ist ein aktives Agieren der Internen Revision auf Basis eigener Initiative notwendig. Dies erfolgt grundsätzlich im Rahmen eines Continuous Auditing-Ansatzes. Umgangssprachlich kann man diese Aktivitäten mit dem Satz „Am Puls der Zeit sein” umschreiben. Im Folgenden einige Betrachtungen zu einer möglichen Vorgehensweise.
Grundlagen
Grundsätzlich erfolgt eine Beteiligung der Internen Revision, z. B. im Rahmen von Anpassungsprozessen. Dies hat aus Sicht der Internen Revision ex ante-Charakter. Hierbei hat das Institut zu erheben, ob die Anpassung wesentlich oder unwesentlich ist. Im Rahmen wesentlicher Anpassungen ist die Beteiligung der Internen Revision obligatorisch. Diese Beteiligung der Internen Revision erfolgt unter Berücksichtigung der Aufgabenstellung der Internen Revision, damit z. B. ihre Unabhängigkeit nicht beeinträchtigt wird oder keine Interessenskonflikte entstehen. Auf Basis der MaRisk ergeben sich zusätzlich weitere Aktivitäten, die der Einbindung der Internen Revision, z. B. im Rahmen von Auslagerungen nach AT 9 der MaRisk, bedürfen. Diese in den MaRisk dargestellten Mindestanforderungen an eine Interne Revision auf Basis der MaRisk tragen dazu bei, dass die Interne Revision einen weitgehend angemessenen Überblick über aktuelle und künftige Aktivitäten im Risikomanagement erhält, um diese Erkenntnisse in ihren künftigen Prüfungsprozessen zu berücksichtigen. Diese vorausschauende Sicht kann auch dazu führen, dass die Risikobewertung der Internen Revision auf Basis des BT 2.3 Tz 2 der MaRisk eine unmittelbare Neubewertung für das Prüfungsfeld erfährt. Im Anschluss daran können eine Anpassung der Prüfungsplanung und eine zeitnahe Prüfung notwendig sein.
Anzumerken ist, dass neben der Beteiligung der Internen Revision als third line of defense auch die second line of defense im Rahmen vorgenannter Prozesse beteiligt wird. Dies betrifft insbesondere die Compliance- und Risikocontrolling-Funktion. Um die gegenseitigen Prozesse der second und third line zu stärken, ergeben sich untereinander auch Informations- und Berichtspflichten, z. B. im Rahmen von adhoc-Mitteilungen der Risikocontrolling-Funktion an die Interne Revision.
Vorgenannte Anforderungen betreffen die Ausprägungen der Risikomanagementsysteme in der Bank. Eine weitere Differenzierung und Erweiterung der relevanten Systeme in einer Bank kann im Rahmen eines Continuous Auditing-Ansatzes erfolgen, um aus Sicht der Internen Revision weitere „Verteidigungslinien” bzw. „Systeme” zu beteiligen. Insofern steht bei diesem Ansatz nicht das audit universe im Vordergrund.
Continuous Auditing auf Basis der relevanten Systeme
Nach Wikipedia (siehe genaue Definition https://de.wikipedia.org) wird als System allgemein eine Gesamtheit von Elementen bezeichnet, die miteinander verbunden sind und dadurch als eine aufgaben-, sinn- oder zweckgebundene Einheit angesehen werden können. Es stellt sich die Frage, welche Systeme aus Sicht der Internen Revision im Fokus einer ex ante-Betrachtung relevant sein können. Relevante Systeme sind das Risikomanagementsystem mit der Compliance- und Risikokontrolling-Funktion. In der neuen Leitlinie zur Internen Governance (EBA/GL/2017/11) wird von den Internen Kontrollfunktionen geschrieben. Diese sollten entsprechend der Leitlinie eine Risikomanagementfunktion, eine Compliance-Funktion und eine interne Revision umfassen. Diese Begrifflichkeiten lassen sich aber auch als Systeme auffassen, z. B. das Compliance(-Management)-System. Ein gängiger Begriff in diesem Zusammenhang ist bekanntlich das Interne Kontrollsystem entsprechend des AT 4.3 der MaRisk.
Zur Beurteilung des Systems ergibt sich die Annahme, dass nicht wirksame Systeme zu einer wesentlichen Belastung bestimmter Prozesse und somit der Risikotragfähigkeit führen könnten. Das inhärente Risiko ist insoweit hoch.
Nachfolgende Systeme werden hier gesehen:
- Risikomanagementsystem
- Internes Kontrollsystem (Kontrollrahmen nach SREP)
- Informationssicherheitsmanagementsystem
- Compliance Management-System
- Datenschutz-Management-System
- Tax-Compliance-System
- Anti-FRAUD-Managementsystem
- Geldwäsche-Management-System
- Rechnungslegungssystem
- Vertriebsmanagementsysteme
Im Fokus stehen nicht nur die wesentlichen Anpassungen der Systeme, also die „großen Schrauben”, die das System verändern, sondern auch die „kleinen Schrauben”, denn diese können in der Praxis wesentliche Auswirkungen haben. Auch die Schnittstellen der Systeme untereinander sind durch die Interne Revision zu würdigen. Auch nicht wesentliche Anpassungen der Systeme sollten somit zeitnah im Fokus der Betrachtungen der Internen Revision stehen (Erkenntnishorizont).
SEMINARTIPP
Reduzierte Prüfungsrisiken für die Interne Revision durch SREP-basierte Prüfungsansätze, 07.11.2018, Hamburg.
Den Erkenntnishorizont betreffen u. a.:
- Aufbau- und ablauforganisatorische Veränderungen
- Anpassungen im Berichtswesen
- Updates von Softwaresystemen, die genutzt werden (z. B. Releasemanagement, Parameteranpassungen)
- sicherheitsrelevante Vorfälle (z. B. IT-Management, Zahlungsverkehrsvorfälle)
- erkannte bedeutsame Schwachstellen aus der first line of defense innerhalb der Systeme (Eskalationen im Kontrollrahmen)
- aufsichtsrechtliche oder gesetzliche Anpassungen innerhalb der Systeme auf nationaler und EU-Ebene (z. B. neue Guidelines, die sich in der Konsultation befinden)
- Erkenntnisse aus Validierungen
- Anpassungen in der Methodik.
Fazit
Erkenntnisse aus diesen Systemen sind im Continuous Auditing-Ansatz somit zu berücksichtigen. Anders ausgedrückt führt dieser Ansatz zu einer Art ex ante-Systemprüfungscheck außerhalb der ex post-Systemprüfung in den ex post-Prüfungen gemäß Prüfungsplanung. Im Rahmen dieser Vorgehensweise können die absehbaren Veränderungen, die im BT 2.3 Tz 2 der MaRisk (Risikobewertungsverfahren) angesprochen werden, umgesetzt werden. Insofern kann der Continuous Auditing-Ansatz als das System angesehen werden, das einen wesentlichen Teil der Umsetzung des BT 2.3 Tz 2 darstellt.
PRAXISTIPPS
- Definieren Sie zu überwachende Systeme, die Sie in der ex ante-Betrachtung auf Veränderungen prüfen.
- Nutzen Sie den Continuous Auditing-Ansatz, um die Anforderung des BT 2.3 Tz 2 der MaRisk zu erfüllen.
Beitragsnummer: 823