Claudia Himpel, Innenrevision;
Tobias Ströbele, Leiter Innenrevision, beide Hohenzollerische Landesbank Kreissparkasse Sigmaringen
Aus den MaRisk, BT 2.4, ergibt sich die Berichtspflicht der Internen Revision über jede Prüfung zeitnah einen schriftlichen Bericht anzufertigen und diesen den fachlich zuständigen Mitgliedern der Geschäftsleitung vorzulegen. Des Weiteren stellen die MaRisk grundlegende Anforderungen an dessen Ausgestaltung.
Die Berichte müssen insbesondere eine Darstellung des Prüfungsgegenstandes, der Prüfungsfeststellungen und ggf. vorgesehenen Maßnahmen enthalten. In den weiteren Ausführungen fordern die MaRisk, dass die Prüfungen so durch Arbeitsunterlagen zu dokumentieren bzw. unterlegen sind, dass die durchgeführten Arbeiten sowie die festgestellten Mängel und Schlussfolgerungen für sachkundige Dritte nachvollziehbar hervorgehen (vgl. BT 2.4, Tz. 2 MaRisk).
Ausgehend von diesen grundlegenden und auch darüber hinausgehenden Anforderungen stehen alle Häuser vor der Herausforderung, ein einheitliches Berichtswesen mit gleichbleibend hoher Datenqualität zu schaffen.
SEMINARTIPPS
Datenrisiken im Meldewesen, 08.04.2019, Frankfurt/M.Prüfung Risikoberichtswesen & Reporting, 09.04.2019, Frankfurt/M.
Prüfung neue interne Governance-Vorgaben, 16.05.2019, Hamburg.
Prüfung Datenqualität, 21.05.2019, Frankfurt/M.
Datenrisiken im Kreditgeschäft, 06.06.2019, Düsseldorf.
Wir haben uns darüber Gedanken gemacht, wie dies gelingen kann. Daraus ist folgender Denkansatz entstanden, welcher entsprechende Impulse liefern soll.
Am Anfang unserer Überlegung stand die grundlegende Frage, was wir denn außerhalb der gesetzlichen Anforderungen der Berichtspflicht mit unseren Berichten erreichen wollen, bzw. wem wir berichtspflichtig sind. Letztendlich geht es ja nicht nur darum, über die durchgeführten Prüfungen zu berichten, sondern mit den getroffenen Feststellungen notwendige Veränderungen herbeizuführen.
In erster Linie ist deshalb als Berichtsempfänger der Vorstand zu nennen. Er ist die Instanz, die letztendlich entsprechenden Handlungsbedarf anweisen kann/darf. Erst in zweiter Linie sind der Verwaltungs- oder Aufsichtsrat, die externe Revision oder die Aufsichtsbehörden die Berichtsempfänger. Somit sollte vorab mit dem Vorstand, als primärem Berichtsempfänger, geklärt werden, was dieser will: Wo liegen zum Beispiel seine Prioritäten? Welche Ziele verfolgt er mit den Prüfungen zzgl. zu den gesetzlichen Prüfungsanforderungen (IKS)? ... Weitere Prüfungsziele könnten hier evtl. Prüfungen hinsichtlich Wirtschaftlichkeit oder Prüfungen bzgl. hausinterner Themen sein. Weiterhin ist abzuklären, wie der Berichtsempfänger die Berichte liest. Kurz gesagt: Es ist vorab eine Abstimmung mit der Geschäftsleitung erforderlich.
Darauf aufbauend sollten zur Vereinheitlichung der Prüfungsberichte und zur Einhaltung der aufsichtsrechtlichen sowie der mit der Geschäftsleitung abgestimmten Anforderungen einheitliche Berichtsvorlagen eingesetzt werden. Die Berichte sollten so aufgebaut sein, dass die Berichtsempfänger alles Wesentliche in kurzer Zeit erfassen können und eine eindeutige Struktur bzw. ein Orientierungsrahmen für die Berichtserstellung vorgegeben wird.
Wichtige Punkte bzw. Mindestinhalte sind dabei:
- Prüfungsgegenstand (inkl. Prüfungsziele, -schwerpunkte und -umfang)
- Berichtszeitraum und Prüfungsstichtag
- ggf. Management-Summary
- Prüfungsgrundlagen, ggf. Prüfungsstrategie und -programm
- Prüfungsfeststellungen inkl. Wertung und ggf. vorgesehene Maßnahmen
- Beurteilung des Internen Kontrollsystems
Gleichzeitig sollte die
Unterlegung der Berichtsinhalte definiert werden.
Hierzu sind:
- eindeutige Anforderungen an die Unterlagen zu stellen
- klare Aussagen hinsichtlich der Dokumentation bzw. dahingehend wie die Dokumentation der Prüfungshandlungen in den Unterlagen zu erfolgen hat, zu treffen
- Vorgaben zu definieren, wie die Aussagen des Berichts mit den Arbeitsunterlagen verknüpft werden sollen.
Bzgl. der Dokumentation der Prüfungshandlungen sollte einheitlich vorgegeben werden, welche Kennzeichnungen zu verwenden sind (z. B. geprüft am, = gesehen i. O., = fehlerhaft usw.).
Für die Verweise bzw. die Aussagen zum Bericht ist eine Art Checkliste hilfreich, in die die Feststellungen aufgenommen und dahingehend gekennzeichnet werden, ob diese berichtsrelevant sind oder nicht. Auf jeden Fall müssen die Unterlagen konsistent zu den Berichtsinhalten sein und diese entsprechend widerspiegeln. Einheitliche Ablagestrukturen ermöglichen eine weitere Erhöhung der Transparenz.
Wenn hier klare Regelungen geschaffen wurden, sind unseres Erachtens die Standards und Grundlagen für eine hohe und durchgängige Datenqualität gelegt. Um dies dauerhaft zu gewährleisten, ist im Anschluss an die Prüfung eine entsprechende Qualitätssicherung unerlässlich.
Auch hier empfiehlt es sich deshalb, entsprechende Regelungen für die Qualitätssicherung zu treffen. Um die Qualität entsprechend nachzuhalten, sollten die Anforderungen klar angewiesen und den Prüfern entsprechend bekannt sein. Dies kann über das Revisionshandbuch erfolgen und daraus abgeleitet in der Revisionssoftware abgebildet werden. Darüber hinaus sollte die jeweilige Führungskraft die notwendige Verbindlichkeit der Einhaltung schaffen.
PRAXISTIPPS
- Stimmen Sie mit der Geschäftsleitung ab, welche über die aufsichtsrechtlichen Anforderungen hinausgehenden Ansprüche diese an das Prüfungsberichtswesen hat.
- Geben Sie anhand von Berichtsvorlagen eine Struktur bzw. einen Orientierungsrahmen für die Berichterstellung vor.
- Schaffen Sie entsprechende Regelungen im Revisionshandbuch, auch hinsichtlich der Unterlegung von Berichtsinhalten.
- Integrieren Sie die Anforderungen in Ihre Qualitätssicherung.
Beitragsnummer: 990