Jan Meyer im Hagen, CIA, Direktor/Bereichsleiter Revision, Sparkasse Paderborn-Detmold
Die Besetzung von Positionen im Bereich der Internen Revision stellt viele Institute vor große Herausforderungen. Vor dem Hintergrund umfangreicher institutsinterner Projekte zur Umsetzung der Anforderungen an die Risikodatenaggregation sowie die Einhaltung der Datenschutzvorschriften gelingt es vor allen Dingen im Bereich der IT-Revision nicht immer, das geeignete Personal zu vertretbaren Kosten zu beschaffen bzw. zu halten. Der zunehmende Kostendruck aufgrund der anhaltenden Niedrigzinsphase führt zu einer massiven Beschleunigung der Digitalisierung und der Verbreitung von Robot-process-automation (RPA) in den Instituten. Dadurch werden einerseits die fachlichen Anforderungen an alle Revisionsmitarbeiter steigen, da sie diese komplexen Zusammenhänge verstehen und folgerichtig beurteilen müssen. Andererseits werden künftig Revisionsaufgaben zunehmend durch Instrumente der Massendatenanalyse unterstützt – das führt zu einer rückläufigen quantitativen Personalausstattung der Internen Revision. Auch die Anforderungen an die Leitung der Internen Revision unterliegen in diesem Zusammenhang einem Wandel.
BUCHTIPPS
Daumann/Leicht (Hrsg.), Arbeitsbuch Regulatorische Compliance, 2. Aufl. 2018.
Kuhn/Thaler (Hrsg.), BankPersonaler-Handbuch, 2016.
Lindner, Erfolgsfaktor Humankapital bei der Fusion von Banken, 2018.
Nach den internationalen Standards für die berufliche Praxis der Internen Revision (vgl. www.diir.de) ist definiert, dass die Interne Revision unabhängige und objektive Prüfungs- und Beratungsdienstleistungen erbringt, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese zu verbessern hilft. Durch das Voranschreiten der Digitalisierung aller Prozesse ändert sich auch der Anspruch an die Prozessoptimierung. Die Interne Revision schlüpft dabei in die Rolle des „vertrauenswürdigen Beraters“ für die Unternehmensleitung. Zur Erfüllung dieses Auftrags soll sich die Interne Revision stets an den strategischen und operativen Vorgaben der Unternehmensleitung orientieren. Insbesondere der Leiter der Internen Revision sollte in diesem Zusammenhang die Rolle eines strategischen Beraters für die Geschäftsleitung übernehmen.
Daraus lässt sich ableiten, dass auch die Anforderungen an die Mitarbeiter und die Leitung der Internen Revision mit der Komplexität und dem Geschäftsumfang zunehmen müssen. Kaum eine andere Funktion unterhalb der Geschäftsleiterebene steht derart im Fokus der Bankenaufsicht und der externen Prüfer, wie die Interne Revision und deren Leitung. Hinsichtlich der Anforderungen an die Formalqualifikation für den Leiter der Internen Revision in einem Institut bestehen allerdings keine eindeutigen Anforderungen. Das Studium der Betriebswirtschaftslehre mit dem Schwerpunkt Banking and Finance oder der Rechtswissenschaften mit dem Schwerpunkt Bankrecht allein reicht natürlich nicht aus. Auch internationale revisionsspezifische Abschlüsse, wie CIA oder CISA, befähigen – ohne spezifische Fachkenntnisse des Risikomanagements in Instituten – nicht alleine zur Leitung einer entsprechenden Revisionseinheit. Hier bedarf es der Definition weiterer Kriterien für die Auswahl geeigneter Kandidaten.
Auch die Bankenaufsicht hat die Bedeutung und den Einfluss von Schlüsselpositionen für und auf eine wirksame Banksteuerung erkannt. Nach den EBA-Leitlinien zur Internen Governance (EBA GL 44) sind das Risikomanagement und das interne Überwachungssystem in Instituten nach dem Modell der drei Verteidigungslinien zu organisieren. Während die Compliance- und Risikomanagement-Funktionen die prozessintegrierten Kontrollen in den Fachbereichen auf der zweiten Linie prozessnah überprüfen, stellen die prozessunabhängigen Prüfungen der Internen Revision die dritte Verteidigungslinie dar.
SEMINARTIPPS
Prüfung der Internen Revision durch die Bankenaufsicht, 08.–09.11.2018, Hamburg.
Fit & Proper in deutschen Banken – Eignungsprüfung für Schlüsselposition, 04.12.2018, Frankfurt/M.
FCH Fit & Proper VORSTAND: Aufsichts-Reporting, 07.05.2019, Berlin.
FCH Fit & Proper VORSTAND: Haftung, 08.05.2019, Berlin.
FCH #nextstep Revision: Effektive Kommunikation im Revisionsalltag, 05.–06.06.2019, Würzburg.
6. Fachtagung IT-Revision, 05.–06.06.2019, Frankfurt/M.
Insbesondere die Funktionen auf der zweiten und dritten Verteidigungslinie sind für eine wirksame Unternehmensführung von hoher Bedeutung. Aus diesem Grund müssen nach der ab dem 30.06.2018 gültigen EBA-Richtline zur Beurteilung der Eignung der Mitglieder des Leitungsorgans und der Inhaber von Schlüsselfunktionen (EBA/GL/2017/12) bei EZB-beaufsichtigten Instituten (LSI) neben den Mitgliedern des Leitungsorgans auch alle wichtigen Funktionsträger (Inhaber von Schlüsselfunktionen), die unterhalb der Gesamtverantwortung des Leitungsorgans einen wesentlichen Einfluss auf die Leitung des Instituts haben, hinsichtlich der Eignung ihrer fachlichen Qualifikation und persönlichen Zuverlässigkeit bewertet werden. Die Inhaber von Schlüsselfunktionen sind u. a. die Leiter der Funktionen „Risikocontrolling“, „Compliance“ und „Interne Revision“. Die Bewertung der Eignung soll vor Bestellung sowie laufend überwacht bzw. jährlich kontrolliert werden und richtet sich an den im Jahr 2016 von der EZB herausgegebenen Fragen („Fit-and-proper-questionaire“) aus. Diese Fragen wurden auch inhaltlich in die im Jahr 2018 geänderte Anzeigeverordnung (AnzV) übernommen.
Auch für die weniger bedeutenden Institute (LSI), die der direkten Aufsicht durch die BaFin bzw. Bundesbank unterliegen und für welche die Fit-and-proper-Anforderungen nicht direkt gelten, werden in den MaRisk AT 7.1 Tz 2 Rahmenbedingungen für die Ressourcenausstattung festgelegt. Danach ist durch geeignete Maßnahmen zu gewährleisten, dass das Qualifikationsniveau der Mitarbeiter angemessen ist. Die mit der Leitung der Risikocontrolling-Funktion und der Leitung der Internen Revision betrauten Personen sowie der Compliance-Beauftragte haben besonderen qualitativen Anforderungen entsprechend ihres Aufgabengebietes zu genügen.
Sofern die Position des Leiters der Internen Revision neu zu besetzen ist, sollte abhängig von der Größe und Bedeutung des Instituts die Frage gestellt werden, welche Anforderungen in das Stellenprofil aufgenommen werden sollten und ob damit die oben genannten besonderen Anforderungen des Aufgabengebiets erfüllt werden.
Abb.: Anwendung der EBA-Leitlinie (EBA/GL/2017/12) auf die Interne Revision
Die Fit-and-proper-Anforderungen der EBA lassen sich in fünf Bereiche unterteilen:
- Kenntnisse, Fähigkeiten und Erfahrung
- Leumund
- Interessenkonflikte
- Zeitaufwand
- Eignung des Leitungsorgans insgesamt
Die Abbildung zeigt, dass für eine Fit-and-proper-Beurteilung des Leiters der Internen Revision für alle Bereiche tiefergehende Regelungen der MaRisk bzw. der beruflichen Standards für die Interne Revision herangezogen werden können.
Der Schwerpunkt der Anforderungen an die Leitung und damit auch an alle Mitarbeiter der Internen Revision liegt eindeutig im Bereich der Kenntnisse, Fähigkeiten und Erfahrungen. Der Revisionsleiter sollte über fundierte Kenntnisse über das Bankgeschäft im Allgemeinen und der rechtlichen Anforderungen sowie des Regulierungsrahmens im Besonderen verfügen. Gerade in diesem Bereich hat sich die Komplexität der Bankprozesse durch die zunehmende Regulierung und die voranschreitende Digitalisierung deutlich gesteigert. Vernetzte Datenbestände, integrierte Risikomanagementsysteme, automatisierte bzw. robotergesteuerte Sachbearbeitungsprozesse sowie eine gleichzeitige Null-Fehler-Toleranz hinsichtlich der Datenqualität und Güte des Meldewesens müssen sich in Anforderungsprofilen der Revisoren wiederfinden. Der Revisor sollte aufgrund seiner ausgeprägten Methodenkompetenz in der Lage sein, sich anhand geeigneter Informationsquellen mit einem überschaubaren zeitlichen Aufwand einen Eindruck über die Risikosituation des Instituts zu verschaffen. Detaillierte Kenntnisse der Bankprozesse sollten dem Kandidaten bzw. dem Stelleninhaber zudem ermöglichen, die Angemessenheit und Funktion der wesentlichen Kontrollen zu beurteilen.
Der IIA Standard 1230 fordert eine regelmäßige Fortbildung der Internen Revisoren. Regelmäßig sollte der Umfang der Fortbildung für einen Internen Revisor 40 Stunden pro Kalenderjahr nicht unterschreiten. Neben dem Besuch externer Seminare und Kongresse kann diese Anforderung auch durch Webinare, interne Schulungsveranstaltungen, Eigenstudium bzw. durch eigene Referenten- bzw. Autorentätigkeit erfüllt werden. Jedes Institut sollte die regelmäßige Fortbildung der Personen mit besonderen Funktionen dokumentieren und auf die Einhaltung einer regelmäßigen Fortbildung drängen.
Der Leiter der Internen Revision hat im Rahmen seiner Gesamtplanung sicherzustellen, dass grundsätzlich alle Geschäftsprozesse und Aktivitäten einer risikoorientierten Prüfung unterzogen werden. In Abhängigkeit von Art, Umfang und Komplexität des Geschäftsumfangs greift der Revisionsleiter dabei auf ein entsprechend qualifiziertes Mitarbeiter-Team zurück bzw. muss entsprechende Ressourcen extern einkaufen. Die gestiegenen fachlichen Anforderungen haben auch Auswirkungen auf die Organisation und die Anforderungsprofile der Stellen in der Internen Revision. Während hier bisher üblicherweise eine Spartenorientierung (Kreditrevisor, WP-Revisor) vorherrschte, ist aktuell zunehmend eine Entwicklung zu einem universellen Revisorenprofil mit fachlichem Schwerpunkt erkennbar. Fachliche Expertise tritt hinter prozessbezogenem und technischem Know-how zurück. Der Bank-Revisor der Zukunft beherrscht die Anforderungen der Bankenaufsicht im Bereich des Risikomanagements und kann deren Implementierung begleiten sowie deren Einhaltung beurteilen. Dabei ist er stark IT-affin und kann komplexe Datenverknüpfungen aufgrund seines ausgeprägten Prozessverständnisses durchschauen, analysieren und beschreiben. Dabei gilt, dass nicht jeder Revisor ein IT-Revisor sein muss. Allerdings sollte jeder Mitarbeiter der Internen Revision künftig mit den Möglichkeiten der Massendatenanalyse vertraut sein.
Der Leiter der Internen Revision eines Instituts muss darüber hinaus über ausgezeichnete Führungsqualitäten verfügen. Tiefgreifende Veränderungen der Prozesse und Arbeitsmethoden bedürfen eines gesteuerten Change-Prozesses. Die Führungskraft sollte dabei auch mit dem Einsatz agiler Arbeits- und Projektmethoden vertraut sein. Da die Digitalisierung jeden Prozess und damit jeden Mitarbeiter betrifft, sollte eine gute Führung die Mitarbeiter der Internen Revision in das digitale Zeitalter mitnehmen und gleichzeitig deren Eigenverantwortlichkeit durch kurze Entscheidungswege und flache Hierarchien stärken.
Auch wenn die quantitative Personalausstattung der Revision der Zukunft in Instituten sicher rückläufig sein wird, bleibt festzuhalten, dass diese Entwicklung nicht zum Nulltarif zu bekommen ist: Es bedarf der gleichzeitigen Investition in Technik (z. B. Software zur Massendatenanalyse) und in Know-how bzw. Mitarbeiterqualifikation, um den Anforderungen der Bankenaufsicht zu entsprechen.
PRAXISTIPPS
- Die Fit-and-proper-Anforderungen der EBA gelten auch für den Leiter der Internen Revision von bedeutenden Instituten (SI).
- Die Anforderungen der EBA werden durch die Bestimmungen der MaRisk und der IIA-Standards vollständig abgedeckt.
- Die regelmäßige Fortbildung für Interne Revisoren sollte 40 Stunden pro Kalenderjahr nicht unterschreiten und sollte auch Aspekte der Digitalisierung und Massendatenanalyse umfassen.
- Die Stellen- und Anforderungsprofile für Revisoren sollten nicht nach Sparten eingeteilt werden – die Zukunft liegt dabei in einem universellen Revisorenprofil mit fachlichem Schwerpunkt und ausgeprüfter IT-Affinität.
- Der Leiter der Internen Revision sollte den Changeprozess im Bereich der Digitalisierung durch den Einsatz agiler Methoden unterstützen.
Beitragsnummer: 863