HERAUSGEBER Liebe Leserinnen Holger Aurisch, und Leser, Axel … · 2018. 8. 28. · Thomas Liebe,...

145

Editorial

Liebe Leserinnenund Leser,„Focus on the user and all else will follow“.

Dieser Satz steht bei den Firmengrundsätzen von Google, dem erfolgreichen Internetriesen aus Mountain View, USA, als Ziel ganz vorne. Es wird betont, dass alle zur Verfügung gestellten Maßnahmen und Dienste dem Nutzer dienen sollen. Ist dies nicht auch der Grundsatz für die Interne Revision, der in jedem Revisionshandbuch ganz vorne, also „auf der ersten Seite“ stehen müsste?

Wer ist denn eigentlich Nutzer bzw. Kunde von der Internen Revi-sion? Unterstellt man eine weite Stakeholderdefinition, so sind dies insbesondere Vorstand, Aufsichtsorgan und die geprüften Fachab-teilungen. Des Weiteren fallen unter diese Definition auch noch die Compliance-Funktionen, diverse Beauftragte und die externe Revision. Allen gemein sind jedoch unterschiedliche Erwartungen an die Interne Revision. Ein „one size fits all“ kann es aufgrund der heterogenen Erwartungen genau so wenig geben wie ein einheitliches Bewer-tungs- und Beurteilungsschema für die Revisionsdienstleistungen, die die Eigenschaft eines „Vertrauensgutes“ haben.

Auftraggeber der Internen Revision im dualistischen System ist die Geschäftsleitung. Im Rahmen der Verbesserungen der Internal Gover-nance erfolgt zwar auch ein stärkerer Informationstransfer mit dem Aufsichtsorgan und seinen Ausschüssen, aber dies ist nicht mit dem monistischen System zu vergleichen. Auf einer anderen Ebene stehen die geprüften Fachbereiche sowie die zuvor genannten Compliance-Funktionen, Beauftragten und die externe Revision. Hier sollte jedoch nicht von Kunden, sondern eher von (Revisions-)Partnern gesprochen werden: Dies bringt einen wertschätzenden Umgang zum Ausdruck und vermeidet einen Zusammenarbeits-Trade off. Ein Zufriedenheits-index auf Ebene der geprüften Fachbereiche setzt negative Anreize für die Interne Revision und würde somit zu einer Fehlsteuerung füh-ren, beispielsweise im Rahmen einer BSC. Das Ergebnis wäre nicht nur eine geschwächte Interne Revision, sondern letztendlich eine geschwächte Internal Governance.

Kunden der Internen Revision sind die Geschäftsleitung und das Überwachungsorgan, einschließlich seiner Ausschüsse. Ihre Erwar-tungen müssen analysiert und erfüllt werden, damit diese Institu-tionen mit Prüfungs- und Beratungsdienstleistungen unterstützt werden, so dass letztendlich die strategischen Unternehmensziele erreicht werden können. Vonnöten ist in diesem Zusammenhang auch eine klare, unabhängige und objektive Wertung und Kommuni-kation der Prüfungs feststellungen. Als Leitsatz kann hierbei die Aus-sage von M. Draghi helfen:

„Wenn du deinen Mut verlierst, hast du alles verloren.“ (M. Draghi, Die Zeit, 03/2015)

Viele Grüße,

Ihr Dr. Karsten Geiersbach, Bereichsdirektor Interne Revision, Kasseler Sparkasse

Dr. Karsten Geiersbach

HERAUSGEBER

Holger Aurisch, Bereichsleiter Interne Revision,Volksbank Breisgau Nord eGAxel Becker, Bereichsleiter Revision, Südwestbank AGJürgen Büschelberger, Bundesbankdirektor, Referatsleiter Laufende Aufsicht, Deutsche Bundesbank, Hauptverwaltung in BayernRainer Eckart, Leiter Revision, Deutsche WertpapierService Bank AGDetlef Hayn, Abteilungsleiter Kreditrevision, Sparkasse EssenHeimo Heimann, Wirtschaftsprüfer, Steuerberater, Partner,CASIS Heimann Buchholz Espinoza Partnerschaft WirtschaftsprüfungsgesellschaftKai Kreische, Leiter der Quality Assurance Review Section, Europäische ZentralbankDr. Ralf Kühn, Geschäftsführer, Wirtschaftsprüfer, Audit GmbH KarlsruheStuttgart WirtschaftsprüfungsgesellschaftDr. Stephan R. Lauer, Direktor Revision IT und KonzernangelegenheitenLandesbank Baden-WürttembergHelge Lautenbach, Managing Director | Business and RegulatoryDevelopment CE & Change Management, Group Audit, Deutsche Bank AGKlaus Ott, Wirtschaftsprüfer, Steuerberater, Partner, Financial Services,Regulatory & Compliance, KPMG AG WirtschaftsprüfungsgesellschaftThorsten Pegelow, Leiter Unternehmensbereich Revision,Hamburger Sparkasse AGThomas Ramke, Leiter Revision Risk, Finance & Support,Volkswagen Financial Services AGAndreas Reimann, Bereichsleiter Revision, Deutsche Postbank AGDr. Michael Schiwietz, Leiter Kreditrevision, UniCredit Bank AGJan B. Töppe, Geschäftsführer, Wirtschaftsprüfer, AWADO DeutscheAudit GmbHDr. Gebhard Zemke, Wirtschaftsprüfer, Steuerberater,Leiter Banken und Finanzdienstleister,BDO AG Wirtschaftsprüfungsgesellschaft

REDAKTION

Michael Helfer, Chefredakteur und ViSdPDr. Patrick Rösler, stellv. ChefredakteurJanin Stärker, stellv. ChefredakteurinDr. Christian GöbesFrank SatorMarcus MichelJürgen BlatzThomas GöhrigJörg WehmeyerBjörn WehlingSabine WarnerSandra LeichtPeter KellerJörg Thorwarth

08–09 / 2015 RevisionsPraktiker

RevisionsPraktiker● AKTUELLE FACHINFORMATIONEN ● ● INNOVATIVE PRÜFUNGSANSÄTZE ● ● EFFIZIENTE REVISIONSPROZESSE ●www.RevisionsPraktiker.de [email protected]

TitelfotoManfred Schlatter – www.foto-schlatter.atMehr im Buch: „Of Weg im Muntafu“

ISSN 2195-5883

RedaktionMichael Helfer, Chefredakteur und ViSdPDr. Patrick Rösler, stellv. ChefredakteurJanin Stärker, stellv. ChefredakteurinDr. Christian Göbes, Frank Sator,Marcus Michel, Michael Helfer,Thomas Göhrig, Jürgen Blatz, Jörg Wehmeyer, Björn Wehling, Sabine Warner, Sandra Leicht, Peter Keller, Jörg Thorwarth

Koordination/[email protected]/[email protected]/[email protected]@FC-Heidelberg.deProduktionsleitungJanin.Staerker@FC-Heidelberg.de

Impressum

146 08–09 / 2015 RevisionsPraktiker

Inhalt148-149 150-190

BEITRÄGE

150 Stresstests: Prüfung der Angemessen-heit, (k)eine leichte AufgabeOliver-Norbert Baron I Hartmut Rinne, beide AWADO Deutsche Audit GmbH

w Die Bank muss die Anforderungen hinsicht-lich angemessener Stresstests nach AT 4.3.3 der MaRisk erfüllen. Aber welche Stresstests sind vor-zunehmen und was ist angemessen? Hier wird in diesem Beitrag weiter auf das Thema eingegangen.

156 Business Continuity Management: Ganzheitliche Betrachtung durch Verantwortliche und PrüferAndreas Kolb, WGZ BANK AG

w Richtig verstandene Notfallplanung in einem Kreditinstitut erfordert einen ganzheitlichen Ansatz. Dieser darf keine reine IT-Beschäftigung sein, son-dern muss von den Geschäftsbereichen gesteu-ert werden. BCM benötigt somit eine ganzheitli-che Betrachtung durch die Verantwortlichen und die Prüfer.

162 Prozess-/Strukturänderungen: Wesent-liche Projekte im Wirkungskreis der Internen RevisionThomas Hassel I Markus Hoß, beide Westerwald Bank eG, Hachenburg

w Wie wirken sich die aufsichtsrechtlichen Anfor-derungen aus AT 8.2 der MaRisk auf die des BT 2.1 Tz. 2 der MaRisk aus? Was sind wesentliche Ände-rungen betrieblicher Prozesse oder Strukturen, und was sind in Abgrenzung dazu wesentliche Projekte, bei denen die Interne Revision beglei-tend tätig zu sein hat?

168 Risikobewertung: Grundlagen und praktische Umsetzung von Risikobe-wertungsmodellenHolger Aurisch, Volksbank Breisgau Nord eG

w In den MaRisk wird gefordert, dass die Interne Revision ihre Tätigkeit risikoorientiert durchführt. Der Beitrag zeigt Grundlagen von Risikobewer-tungsmodellen auf und illustriert die praktische Umsetzung am Beispiel der Volksbank Breisgau Nord eG.

AKTUELL

148 Monitoring der Veränderung externer Rahmenbedingungen

Transparency Deutschland fordert Unabhängigkeit und Schutz von Internen Revisoren

SatzSilberberg GmbH, Montafon. www.SilberbergMontafon.at

Druckbest response GmbH, Bruchsal

PreiseJahresabonnement Inland: € 135 zzgl. USt., und € 10,20 Versand zzgl. USt. Erscheinung: 6x jährlich. Einzelheft: € 25 zzgl. USt., und € 1,70 Versand zzgl. USt. Abonnementkün-digung nur mit Frist von 4 Wochen vor Ende des Bezugsraums möglich.

GeschäftsführungDr. Christian GöbesFrank SatorDr. Patrick RöslerMarcus MichelMichael HelferThomas Göhrig

Sitz der Gesellschaft ist HeidelbergAmtsgericht Mannheim HRB Nr. 335598Umsatz-Identifikationsnummer gemäß § 27aUmsatzsteuergesetz: DE 184391372

Firmenanschrift & inhaltliche VerantwortungFinanz Colloquium Heidelberg GmbHPlöck 32a ● 69117 HeidelbergTelefon: +49 6221 99898-0E-Mail: [email protected]: www.FC-Heidelberg.de

Der RevisonsPraktiker wird auf FSC-zertifi-ziertem Papier produziert.


Vorschau150-190IDW PS 302: Bestätigungen DritterJens Klinzing, BDO AG Wirtschaftsprüfungsgesell-schaft

w Mit der Neufassung des IDW PS 302 ist eine wei-tere Anpassung an die einschlägigen ISA 505 „Exter-nal Confirmations“ sowie ISA 501 „Audit Evidence – Specific Considerations for Selected Items“ erfolgt. Der Abschlussprüfer hat gemeinsam mit der Inter-nen Revision abzuwägen, ob Bestätigungen Dritter als aussagebezogene Prüfungshandlungen einzu-holen sind; dieser Entscheidung liegt die Beurtei-lung der Fehlerrisiken zugrunde.

Im Fokus der Revision: Anti-Geldwäsche-OrganisationUlli Stanke, Nassauische Sparkasse Wiesbaden

w Gesetzliche Änderungen und Vorgabenanpas-sungen sind für die Anti-Geldwäsche-Organisation eine ständige Herausforderung und zwingen zur Wei-terentwicklung. Wer das prüfen und bewerten will, benötigt vertiefte Fach- und Prozesskenntnisse. In diesem Beitrag erhalten Sie einen Einblick über ein alternatives, prozessorientiertes Prüfungsvorgehen.

CRR: Prüfung der UmsetzungSimon Hirzel, Volksbank Breisgau Nord eG

w Die CRR betrifft viele verschiedene Bereiche in der Banksteuerung wie auch im Kreditgeschäft und dem Meldewesen und hat hier teilweise komplett neue Prozesse erforderlich gemacht. Im Beitrag werden die geänderten Rahmenbedingungen und ihr Ein-fluss auf die Prüfungshandlungen sowie die Prü-fungsplanung beleuchtet.

175 Individuelle Datenverarbeitung: Von der Geschäftsstrategie bis zur ProgrammierungThomas Liebe, Landesbank Baden-Württemberg

w Die Softwareentwicklung in den Fachbereichen außerhalb der zentralen IT verheißt Flexibilität und Agilität, hat aber auch erhebliches Risiko-potenzial. Ein Prüfungsansatz, der von der Strate-gieebene des Unternehmens bis zur Realisierung in den Fachbereichen reicht, kann zur Ermittlung und Behebung der Ursache von Fehlentwicklun-gen beitragen.

181 Report Writing: Zielführendes Formulieren klarer, leserorientierter RevisionsberichteDr. Michael Schiwietz, UniCredit Bank AG, München

w Der Revisionsbericht ist wesentlicher Infor-mationsträger von Prüfungsergebnissen. Seine Klarheit und Transparenz ist entscheidend für die Wahrnehmung und Wirksamkeit der Internen Revi-sion. Klare und prägnante Botschaften sowie ein leserorientierter Berichtsstil sind wesentliche Ele-mente eines effektiven Revisionsberichts und letzt-lich ein Spiegel der Kompetenz der Innenrevision. Der Beitrag gibt praktische Hinweise für den Per-spektivenwechsel.

SERVICE

191 RevisionsPartner

Hintere Cover-Innenseite Rezensionen

Demnächst im Heft

Aktuell

148 08–09 / 2015 RevisionsPraktiker

Abbildung Normenänderungen

Revisionsorganisation

Monitoring der Veränderung externer Rahmenbedingungen

wIn diesem Folgebeitrag wurde ein Aus-wertungszeitraum vom 12.05. bis 23.06.2015 gewählt. Aufgrund der auszugsweisen Dar-stellung der tabellarischen Übersicht besteht kein Anspruch auf Vollständigkeit sowie zutreffende Beurteilung der Relevanz im konkreten institutsbezogenen Einzelfall. £

Heimo Heimann, Partner/Wirtschafts-prüfer, Prüfung und Beratung von Banken und Finanzdienstleistern, CASIS Wirt-schaftsprüfungsgesellschaft, Hamburg; (www.casis-wp.de), [email protected]

Revisionsorganisation, Allgemein-revision, Deliktrevision

Transparency Deutschland fordert Unabhängigkeit und Schutz von Internen Revisoren

wDie Antikorruptionsorganisation Trans-parency International Deutschland e.V. führt eine Untersuchung zur Beeinträchtigung der Internen Revision und zum Schutz der Revisoren durch. Interne Revisoren haben die Pflicht, die Ordnungsmäßigkeit, Sicher-heit und Wirtschaftlichkeit unternehmens -interner Prozesse und Abläufe zu prüfen. Voraussetzung ist, dass die internen Revi-soren nicht durch unsachgemäße oder ille-gale Einflussnahme an der unabhängigen

und objektiven Erfüllung ihrer Tätigkeit gehindert werden.

Immer wieder werden interne Revisoren in ihrem Arbeitsumfeld massiv unter Druck gesetzt, damit sie unliebsame Prüfungs-ergebnisse nicht berichten oder nicht auf einer Beendigung regelwidriger Verhaltens-weisen bestehen. Handelt es sich hier um Einzelfälle oder um eine verbreitete Praxis? Dieser Frage will Transparency Deutsch-land mit einer anonymen Umfrage auf den Grund gehen.

Die Ergebnisse will Transparency Deutsch-land mit der Standesvertretung der Innenre-visoren, dem Deutschen Institut für interne Revision e.V. (DIIR) erörtern. Soweit sich ein

Legende Relevanz: 1= hohe Auswirkungen (auf Gesamtprüfungsplanung); 2= mittlere Auswirkung (Prüfungstätigkeiten mit Zeithorizont bis ein Jahr); 3= niedrige Auswirkungen (Berücksichtigung im Rahmen der normalen Regelprüfungen)

Nr. Normenänderung Revision Relevanz

28. BaFin Rundschreiben 5/2015 (BA) – Umsetzung der EBA-Leitlinien zur Offenlegung A 3

29. IASB: 2015 Änderungen am IFRS für kleine und mittelgroße Unternehmen A/K 3

30. Deutsche Bundesbank: Bankstatistische Meldungen und Anordnungen – Anordnung einer Geldmarktstatistik (Mitteilung der Deutschen Bundesbank Nr. 8001/2015)

A 3

31. ESMA: Leitlinienentwurf zu komplexen Schuldtiteln und strukturierten Einlagen – Konsultationspapier

H 3

32. Durchführungsverordnungen (EU) 2015/813/827/869/879/807 über restriktive Maßnahmen angesichts der Lage in Libyen, Syrien, der Ukraine und im Jemen sowie gegen bestimmte Personen und Organisationen, die mit dem Al-Qaida-Netzwerk in Verbindung stehen

A 3

33. Gesetz zur Umsetzung der Richtlinie 2014/49/EU des Europäischen Parlaments und des Rates über Einlagensicherungssysteme (DGSD-Umsetzungsgesetz, EinSiG)

A 3

34. Delegierte Verordnung (EU) Nr. 2015/850 der Kommission zur Änderung der Delegierten Verordnung (EU) Nr. 241/2014 zur Ergänzung der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates im Hinblick auf technische Regulierungsstandards für die Eigenmittelanforderungen an Institute

A 3

35. IASB: IFRS 9 Finanzinstrumente Phase I - Klassifizierung und Bewertung: Änderungen an IFRS 9 Phase II - Methoden der Wertminderung Phase III - Hedge Accounting

H 2

36. Verordnung über die Prüfung der Jahresabschlüsse der Kreditinstitute und Finanzdienstleistungsinstitute (Prüfungsberichtsverordnung)

A, H, G, I, K 1

37. BaFin: Umfrage zur Lage deutscher Kreditinstitute im Niedrigzinsumfeld H 1

Legende Revision: A= Allgemeine Revision; G= Grundsatzabteilung; H= Handels-/Steuerungsrevision; I= IT Revision; K= Kreditrevision

Aktuell

verbesserter vertraglicher oder gesetzlicher Schutz der internen Revisoren als notwen-dig erweist, will sich Transparency Deutsch-land gemeinsam mit dem DIIR dafür ein-setzen. Um ein aussagekräftiges Bild zu erhalten, hat Transparency Deutschland alle aktiven und ehemaligen Internen Revi-soren zur Teilnahme an dieser anonymen Befragung bis zum 30.06.2015 eingeladen. In Deutschland ist der Vorstand von Aktien-

gesellschaften verpflichtet, organisatorische Maßnahmen einzurichten, die es ihm erlau-ben, frühzeitig Gefahren zu erkennen, die den Fortbestand der Gesellschaft gefährden (AktG § 91 Abs. 2). Häufig wird zu diesem Zweck eine Interne Revision eingerichtet, in der Finanzbranche ist dies sogar nach dem Kreditwesengesetz (KWG), bzw. dem Gesetz über die Beaufsichtigung der Versiche-rungsunternehmen (VAG) vorgeschrieben.

Interne Revisoren unterliegen hohen berufsständischen Anforderungen, die sich aus dem entsprechenden Ethik-Kodex und dem Standard des Institute of internal audi-tors (IIA) ableiten.

Einen besonderen Schutz – beispielsweise einen Kündigungsschutz, wie er etwa für Datenschutzbeauftragte gilt – genießen sie aber bisher nicht. £

Wir sind ein auf die Zielgruppe Banken/Sparkassen sowie bank- und insolvenz-rechtlich orientierte Rechtsanwälte spezialisierter Seminaranbieter und Verlag.

Weitere Informationen unter www.FC-Heidelberg.de

Für den seminar- und buchseitigen Ausbau unseres Portfolios sowie für die Übernahme von Redaktionsaufgaben suchen wir einen

Projektleiter Revision Kreditwirtschaft (m/w)zum frühestmöglichen Zeitpunkt. Schwerpunkte und Erfahrungen aus den Bereichen

Revision, Kredit, WpHG und Controlling sind erwünscht. Mehrjährige Bank-/Revisions-erfahrung ist zwingend. Wir erwarten eine sehr engagierte, fachlich ausgerichtete Betreuung

dieses ausbaufähigen Bereichs. Der Aufstieg bis zum Geschäftsführer ist möglich und erwünscht, da dies unserer fachlichen und teamorientierten Struktur entspricht.

Wenn Sie belastbar sind, freundlich-dynamisch auftreten und mit uns gemeinsam unser Unternehmen engagiert weiter nach vorn bringen wollen,

freuen wir uns auf Ihre Bewerbung an:

Finanz Colloquium Heidelberg GmbHDr. Patrick Rösler, Plöck 32a, 69117 Heidelberg

Beitrag

08–09 / 2015 RevisionsPraktiker150

Revisionsorganisation Kreditrevision Steuerungsrevision Filialrevision

IT-Revision Allgemeinrevision Deliktrevision

I. Einleitung

w Das Stresstesting gewinnt zunehmend an Relevanz. Aufgrund der aufsichtsrechtlich hohen Bedeutung wurde in die MaRisk-Novelle 2010 vom 15.12.2010 ein eigenes Kapitel (AT 4.3.3 der MaRisk) diesbezüglich integriert. Kern-ziel des Stresstestings ist es, dass sich die Bank mit ihrem individuellen Gefährdungspoten-zial kritisch auseinander gesetzt hat. Im Mittel-punkt stehen dabei die möglichen Auswirkun-gen auf das Risikodeckungspotenzial. Dies soll der Geschäftsleitung Anhaltspunkte liefern, wie sich außergewöhnliche, aber plausibel mögliche Ereignisse auf das Kapital oder die Liquidität des Kreditinstituts auswirken könnten.

Dabei besteht generell Methodenfreiheit. Das System der Stresstests kann sowohl quan-titative als auch qualitative Elemente umfas-sen. Der reine Einsatz mathematisch-statisti-

scher Verfahren ist darunter nicht zu verstehen. Eine Erhöhung des Konfidenzniveaus in einem bereits eingesetzten Modell allein ist für einen angemessenen Stresstest nicht ausreichend. Ebenso gibt es keine Mindest- und keine Maxi-mal-Anzahl an Stresstests.

Die Arten der Stresstests sind dabei mittler-weile umfangreich. Die Stresstests müssen angemessen sein, und die Angemessenheit der zugrundeliegenden Annahmen ist nach AT 4.3.3 Tz. 4 der MaRisk in regelmäßigen Abständen, mind. aber jährlich, zu überprüfen.

II. Was ist unter Angemessenheit zu verstehen?

Soll die Angemessenheit von Stresstests geprüft werden, muss erst einmal geklärt werden welche Dimensionen das Thema Ange-

Prüfung der Angemessenheit von Stresstests (k)eine leichte Aufgabe

Autoren:

Oliver-Norbert Baron, Bereich Prüfung/Betreuung Banken

in Nordhessen und Mitarbeiter im Spezialistenteam Gesamtbanksteuerung

und

Hartmut Rinne, Fachlicher Leiter

Spezialistenteam Gesamtbanksteuerung, beide AWADO Deutsche Audit GmbH.

Welche Stresstests in welchem Turnus? Was gilt hier als angemessen? Und welche Aspekte sind im Rahmen der Prüfung zu berücksichtigen?

Abbildung 1: Arten von Stresstests

Diskutieren Sie zum Thema dieses Beitrags mit anderen BankPraktikern in unserem

FCH Blog: blog.fc-heidelberg.de

Diesen Beitrag finden Sie dort unter der Rubrik: Vorstand/Revision/IT.

Beitrag


messenheit überhaupt umfasst. Die MaRisk geben hierbei verschiedene Aspekte vor. In AT 4.3.3 Tz. 1 der MaRisk werden regelmäßige und anlassbezogene Stresstest gefordert.

Was unter regelmäßig zu verstehen ist, klären die MaRisk an verschiedenen Stellen:

� AT 4.3.2 Tz. 6: Die Geschäftsleitung hat das Aufsichtsorgan vierteljährlich über die Risiko situation in angemessener Weise schriftlich zu informieren.� BTR 1 Tz. 7: Mind. vierteljährlicher Adress-

risikobericht.� BTR 2.1 Tz. 5: Mind. vierteljährlicher Markt-

preisrisikobericht.� BTR 2.3 Tzn. 1 und 2: Mind. vierteljährliche

Analyse Risiken und Ergebnisse Anlagebuch.

Hieraus ergibt sich, dass die Stresstests als Bestandteile des Risikoreportings der Bank grundsätzlich mind. vierteljährlich durchzufüh-ren sind. Sollte das Risikoreporting aufgrund der Risikolage der Bank monatlich durchge-führt werden, sind auch die Stresstests monat-lich vorzunehmen. Eine Ausnahme gilt für die inversen Stresstests. Im Anschreiben zur Ver-öffentlichung der MaRisk in der Fassung vom 15.12.2010 wird bis auf weiteres eine jähr-liche Durchführung akzeptiert. Die Integra-tion der Stresstests in das regelmäßige Risiko-berichtswesen wird auch durch entsprechende

Prüfungs feststellungen aus Sonderprüfungen unterstrichen.

Was unter anlassbezogen zu verstehen ist, hat die Bank eigenverantwortlich festzulegen. Neben dem aktuellen Ermessen könnte man sich hier auf die Kriterien der AdHoc-Bericht-erstattung an Vorstand und Aufsichtsrat bezie-hen. Typisch für solche Anlässe sind z. B. eine plötzliche und wesentliche Veränderung der Risikosituation in Form eines bemerkenswer-ten Kreditausfalls, besondere Entwicklungen bei den Eigenanlagen, Verschlechterung der Geschäftsentwicklung oder besondere Vor-kommnisse im agierenden Markt der Bank.

Die Stresstests haben nach AT 4.3.3 Tz. 1 der MaRisk, Art, Umfang, Komplexität und den Risi-kogehalt der Geschäftsaktivitäten widerzuspie-geln. Hierfür sind die für die jeweiligen Risiken wesentlichen Risikofaktoren zu identifizieren.

Dies bedeutet, dass innerhalb einer Risiko-inventur die wesentlichen Risikoarten und für alle wesentlichen Risiken die entsprechenden Risikotreiber zu identifizieren sind. Darüber hinaus fordern die MaRisk im gleichen Absatz die Berücksichtigung der wesentlichen Risiko-konzentrationen und Diversifikationseffekte. Die Risikoinventur stellt also eine wichtige Grundlage für die Ausgestaltung des Systems der Stresstests dar.

» Das Stresstesting gewinnt zunehmend an Relevanz – Kernziel ist eine kritische Auseinander setzung mit dem individuellen Gefährdungspotenzial. «

Abbildung 2: Beispiele für Risikofaktoren

Beitrag


Für jeden bedeutenden Risikotreiber einer wesentlichen Risikoart ist ein Stresstest durch-zuführen. Die Ableitung und Ausgestaltung der jeweiligen Stresstests aus der Risikoinven-tur heraus ist zu dokumentieren. In diesem Zusammenhang ist auch auf erkannte Risi-kokonzentrationen einzugehen. Diese sind entweder über eigene Stresstests oder über andere geeignete Maßnahmen, z. B. Struktur-limite zu berücksichtigen.

Als mögliche Risikofaktoren kommen die in Abb. 2 dargestellten Beispiele z. B. in Frage.

Auch wesentliche Diversifikationseffekte sind zu stressen. Hierbei ist insbesondere an die Diversifikationen aus Portfoliomodellen sowie an Diversifikationen in Fonds zu denken. Im Rahmen der Stresstestprogramme ist die Risiko lage unter Aufhebung der Diversifikati-onseffekte zu prüfen.

Die Stresstests haben nach AT 4.3.3 Tz. 2 der MaRisk außergewöhnliche, aber plausibel mög-liche Ereignisse abzubilden. Dabei sind geeig-nete historische und hypothetische Szena-rien darzustellen. Die historischen Szenarien sollten nach bisheriger Auslegung dabei auf bereits realisierten Ergebnissen der Vergan-genheit basieren. Sofern allerdings bankindi-viduell keine angemessenen historischen Sze-narien vorhanden sind, kann auf historische Szenarien für die betreffende Risikoart ver-zichtet werden. Allerdings ist zu dokumentie-ren, welche historischen Sachverhalte betrach-tet wurden und warum diese nicht geeignet sind. In diesen Fällen sind mind. angemessene hypothetische Szenarien zu analysieren. Hier gilt es, sich unabhängig von der Vergangenheit mit einer möglichen, künftigen (Fehl-)Entwick-lung auseinanderzusetzen.

Es ist zu beachten, dass eine alleinige Erhöhung des Konfidenzniveaus bei einem bereits einge-setzten Modell in aller Regel nicht ausreicht, um den Anforderungen der MaRisk vollständig zu entsprechen.

In jedem Fall ist die Angemessenheit der gewählten Stresstests zu begründen. Hier-bei ist sowohl auf die Relevanz des gewähl-ten Risikotreibers aufgrund der Risikoinven-tur zu achten, als auch die Art bzw. Höhe der Auslenkung des Risikotreibers zu begründen.

Hinsichtlich der Begründung zur Angemessen-heit der Höhe der Auslenkung können univa-riate Stresstests genutzt werden. Hierbei wird, im Rahmen eines inversen Stresstests, unter-sucht welche Aus lenkung des Risikotreibers zu einem Aufzehren der Risikotragfähigkeit führen würde. Vor diesem Hintergrund kann die gewählte Auslenkung hinsichtlich ihrer Ange-messenheit begründet werden.

Innerhalb des gewählten Stresstestsets sind auch die Auswirkungen eines schweren kon-junkturellen Abschwungs zu analysieren. Aus der Formulierung „hierbei“ in AT 4.3.3 Tz. 2 der MaRisk ist abzuleiten, dass eine jähr-liche Betrachtung dieser Auswirkungen nicht ausreicht. Sollte die Bank die Parameter des schweren konjunkturellen Abschwungs jedoch nur jährlich festlegen, z. B. weil die Definition der Parameter auf externe Partner ausgela-gert wurde, und sollten die zugrunde geleg-ten Geschäftsdaten wenig volatil sein, ist dieser Sachverhalt zu dokumentieren. Vor diesem Hin-tergrund kann die Bank begründen, warum sie diesen Stresstest im Widerspruch zu den auf-sichtsrechtlichen Anforderungen, aufgrund mangelnder Steuerungsrelevanz doch nur jähr-lich durchführt.

III. Inverse Stresstests

In AT 4.3.3 Tz. 3 der MaRisk ist die Durch -führung inverser Stresstest gefordert. Gemäß den entsprechenden Erläuterungen ist bei inver-sen Stresstests zu untersuchen, welche Ereig-nisse das Institut in seiner Überlebensfähigkeit gefährden könnten. Die Überlebensfähigkeit ist dann als gefährdet anzunehmen, wenn sich das ursprüngliche Geschäfts modell als nicht mehr durchführbar bzw. tragbar erweist. Dabei ist der Begriff des „Geschäfts modells“ weit zu interpretieren.

Es geht hier weniger um das Geschäftsmodell der Bank an sich (z. B. regional agierend, Inter-netbank oder Spezialkreditinstitut), sondern vielmehr um die nicht mehr länger gege-bene Risikotragfähigkeit. Dafür beginnt die Bank damit, dass sie individuell eine Mindest-schwelle definiert, deren Unterschreiten für den Verlust der Überlebensfähigkeit herange-zogen wird. Daneben kann genauso auch auf die Liquiditätssituation z. B. in Form von Ver-

» Eine sachgerechte Risikoinventur ist die

Grundlage für die Ausgestaltung eines

zutreffenden Sets an Stresstests. «

Beitrag


» Eine kri tische Reflexion der Ergebnisse der Stresstests hinsichtlich zweier Dimensionen steht im Vordergrund. «

lust der Zahlungsfähigkeit abgestellt werden. Somit steht beim inversen Stresstest das Ergeb-nis bereits am Anfang der Analyse, und es ist durch rekursives Vorgehen zu ermitteln, welche möglichen Szenarien die gegebene Risikotrag-fähigkeit aufzehren könnten.

Die Durchführung eines inversen Stresstests kann grundsätzlich auch auf Sensitivitäts-analysen einzelner Risikoarten basieren (z. B. wie viele der größten Kreditnehmer dürften ausfallen), jedoch sollten alle anderen Risiko-arten dann nicht im Planfall sondern auch im Stressfall betrachtet werden, denn einfache Sensitivitätsanalyse ohne Berücksichtigung von Auswirkungen auf andere Risikoarten genügt den Ansprüchen der Aufsicht an einen inver-sen Stresstest nicht.

Vorzugsweise entwickelt die Bank (auch) ein Stresstestszenario mit einer „Story“, welches alle wesentlichen Risikoarten bzw. Risikokonzentra-tionen zusammenhängend betrachtet. Neben der Erkenntnis zur möglichen Gefährdung des Geschäftsmodells liegt der Mehrwert der inver-sen Stresstests v. a. in der Analyse von Zusam-menhängen und Wirkungsketten zwischen einem externen Ereignis und seinen Wirkungen auf die risikorelevanten Rahmenbedingungen

der Bank, die Risikotreiber und die Höhe der Risikowirkung(en).

Die Vorgehensweise dazu könnte, wie in Abb. 3 dargestellt, aussehen.

IV. Ergebnisse von Stresstests

Die Ergebnisse der Stresstests sollen der Geschäftsleitung als ergänzender Orientie-rungsmaßstab dienen. Der Umgang mit den Ergebnissen wird vornehmlich im AT 4.3.3 Tz. 5 der MaRisk geregelt. Demnach steht die kritische Reflexion der Ergebnisse im Vorder-grund. Kritische Reflexion umfasst hier zwei Dimensionen. Erstens ist die materielle Aus-wirkung des Stresstests vor dem Hintergrund der Risikotragfähigkeit zu bewerten. Zweitens ist die Eintrittswahrscheinlichkeit des jeweili-gen Stresstests in die Reflexion einzube ziehen. Insofern ergibt sich kein Automatismus, die Ergebnisse aus den Stresstest-Ergebnissen mit Risiko deckungsmasse oder gar Risikolimiten zu unterlegen.

Sofern aus den Ergebnissen der Reflexion Handlungsbedarfe identifiziert werden, sind der Handlungsbedarf und die getroffenen

Abbildung 3: Vorgehensmodell inverse Stresstests

Beitrag


Maßnahmen zu dokumentieren. Operativer Handlungsbedarf wird jedoch nicht automa-tisch ausgelöst. Ebenso ergibt sich kein Auto-matismus, die Ergebnisse aus den Stresstest-Ergebnissen mit Risikodeckungsmasse zu unterlegen.

Die Geschäftsleitung ist gem. AT 4.3.2 Tz. 3 und 4 der MaRisk in angemessenen Abstän-

den über die Risikosituation und die Ergeb-nisse der Stresstests zu unterrichten. Der Turnus sollte sich an den regelmäßigen, in den Modu-len BTR 1 bis BTR 4 der MaRisk geregelten, Risikoberichterstattungen orientieren und ist bankindividuell zu dokumentieren.

Daneben sollten Kriterien für eine anlass be-zogene Berichterstattung definiert sein. £

PRÜFUNGSTIPPS

� Prüfen Sie, ob die vorgenommenen Stresstests alle wesentlichen Risikoarten bzw. Risikofaktoren umfassen. Sind diese plausibel zur Risikoinventur?

� Sind die Stresstests ausreichend beschrieben und die außergewöhnlichen Ereignisse tatsächlich möglich?

� Die Annahmen und Parameter sind sorgfältig zu dokumentieren, damit die hinreichende Nachvollziehbarkeit gegeben ist (Berichterstattung).

� Die alleinige Erhöhung des Konfidenzniveaus ist nicht ausreichend.

� Es sind geeignete historische und hypothetische Szenarien darzustellen.

� Wurde auch ein konjunktureller Abschwung berücksichtigt?

� Hat die Bank eine Ausgangsbasis für inverse Stresstests definiert, bei der sie „die Gefährdung der Überlebensfähigkeit“ sieht?

� Dabei sind insbesondere kombinierte Szenarien zu entwickeln. Univariate Stresstests, die nur eine Risikoart alleine stressen, genügen den Anforderungen i. d. R. nicht.

� Sind die Ergebnisse der Stresstests kritisch reflektiert? Besteht Handlungsbedarf?

� Sind die Berichtsturni eingehalten?

� Ist die Geschäftsleitung über das Ergebnis aus den Stresstests unterrichtet worden?

� Hat die Geschäftsleitung das Aufsichtsorgan über die Risikosituation ausreichend unterrichtet?

� Hat die Bank nachvollziehbare Auslöser für anlassbezogene Stresstests definiert?

� Steht dies auch im Einklang mit der Definition einer möglichen ad hoc-Informationspflicht an die Organe?

» Die alleinige Erhöhung des

K onfidenzniveaus ist in aller Regel nicht

ausreichend. «

– I –

NEUERSCHEINUNG

Stand: 01.05.2015Erscheinungstermin: 15.06.2015Umfang: ca. 225 SeitenPreis: € 119,–ISBN: 978-3-943170-95-5

ArbeitsbuchMaRisk-ComplianceMuster, Vorlagen und Checklisten aus der Praxis

Mit dem 31.12.2013 ist die sank-tionsfreie Frist zur Implementie-rung der MaRisk-Compliance-Funktion nach MaRisk AT 4.4.2 bereits einige Zeit abgelaufen. Nach wie vor bestehen jedoch er-hebliche Unsicherheiten und De-tailfragen, wie die umfangreichen Vorgaben dieser Funktion im Konkreten umzusetzen sind. Hin-zu kommen der Umfang und die Dynamik der rechtlichen Entwick-lungen, auf die sich die Verpflich-tungen der Funktion beziehen. Die Empfehlungen auf Semina-ren und in Fachartikeln reichen im Extremen von abwartenden Minimal-Lösungen bis hin zu um-fangreichen, beratungsintensiven Komfort-Lösungen. Nach ersten erfolgreichen Jah-resabschlussprüfungen stellen im vorliegenden Buch Autoren unterschiedlicher Säulen des Bankgeschäfts ihre bewährten Lösungen und Erfahrungen aus der tatsächlichen Umsetzung der neuen Funktion vor.

Die ausgewiesenen Praktiker mit langjähriger Berufserfahrung im Compliance- und Organisations-umfeld von Banken und Finanz-dienstleistern legen dabei den Schwerpunkt nicht auf Theorien-streitigkeiten oder dogmatische Abgrenzungen.

Vielmehr werden Muster, Vorla-gen und Checklisten entwickelt, vorgestellt und erläutert, um mit diesen tatsächlich klar struktu-riert und systematisch das Tages-geschäft zu bestreiten und Prü-fungen erfolgreich zu bestehen: Aus der Praxis für die Praxis.

Inhalt im Überblick:Bestandsaufnahme/Risikoanalyse Legal InventoryMaRisk-AssessmentOverruling/Finales Votum MaRisk-Compliance-Funktion Aktualisierung/AnpassungRechts-Monitoring (Gesetze/Urteile/Newsletter, etc.)Organisations-Monitoring (Prozesse & Strukturen AT 8.2, NPP AT 8.1)Wesentliche Arbeitsanweisungen Schnittstellen Muster-Arbeitsanweisung MaRisk-ComplianceKontroll- & ÜberwachungsplanRisikoorientierte Planung (sachlich, zeitlich, personell)Konkrete Kontrollen und ÜberwachungshandlungenTagesgeschäft Hinwirken auf Verfahren und KontrollenStellenbeschreibung/AnforderungsprofilMusterbericht und PrüfungsdokumentationWeitere Verzahnung des IKSAuslagerung

Formulare: MaRisk AT 8.2 Wesentliche Änderungen Aufbau- & Ablauforganisation, MaRisk AT 9.2 Risikoanalyse vor Auslagerung MaRisk AT 9.7 Dienstleistersteuerung/Leistungsmessung MaRisk-Compliance

Daumann/Leicht (Hrsg.)

Com

plia

nce /

Wer

tpap

ier /

Bea

uftra

gte

Bestellen Sie direkt bei: Finanz Colloquium Heidelberg GmbH • [email protected] • www.FCH-Heidelberg.de

Beitrag




I. Vorbemerkung

w Sicherlich gibt es eine beachtliche Anzahl von Banken, insbesondere große/system-relevante Institute, die sich bereits intensiv mit dem Thema Notfallplanung bzw. Business Continuity Management beschäftigen. Viele davon werden dies auch mit einem ganzheit-lichen Ansatz planen und ausführen. Da neben wird aber vermutlich in kleineren und mitt-leren Instituten noch eine sehr pragmati-sche Sicht auf dieses Thema vorherrschen, in Kombination mit sehr punktuell organisierten Maßnahmen zur Notfallplanung. Zielsetzung dieses Beitrags ist es, die IT-Brille beim Blick auf BCM abzusetzen und einen, an fachlichen Prozessen orientierten, ganzheitlichen Ansatz, in das Bewusstsein der Verantwortlichen und der Prüfer zu rücken.

II. Grundlagen

1. Rahmenbedingungen

Folgende Zitate aus verschiedenen Quellen sollen für das Thema motivieren:

� „(1) Ein Institut muss über eine ordnungs-gemäße Geschäftsorganisation verfü-gen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestim-mungen und der betriebswirtschaft-lichen Notwendigkeiten gewährleistet... 5. die Festlegung eines angemessenen Not-fallkonzepts, insbesondere für IT-Systeme, …“ (§25a KWG)1.� “AT 7.3 Notfallkonzept – 1 Für Notfälle in

zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). … – 2 Das Notfallkonzept muss Geschäftsfort-führungs- sowie Wiederanlaufpläne umfas-sen.” (MaRisk)2.� „…Strategie zur Verbesserung der Internet-

sicherheit in Europa und für einen besseren Schutz vor Cyberangriffen. “ (Strategische Ziele der EU – Digitale Agenda)3.

� „Die von den Zahlungsdienstleistern zu ergreifenden Maßnahmen müssen den jeweiligen Sicherheitsrisiken angemes-sen sein.“ (Strategische Ziele der EU Vor-schlag für eine Richtlinie über Zahlungs-dienste - ZDR II)4.

2. Entwicklung

Auch im KWG wird insofern bereits von einem (allgemeinen) “Notfallkonzept” gesprochen, nur anschließend ist die Bedeutung für IT System besonders herausgehoben. Wieso stolpert man also heute immer noch über die angenommene Identität “Notfallplanung = IT Notfallplanung”?

Historisch geht der Ursprung der Notfall-planung in der Industrie auf die IT zurück. In den 70er Jahren entstanden in den USA die ersten Back-Up Standorte (Disaster Recovery Standorte). Die grundsätzliche Problematik war es bereits damals dem Management zu vermitteln, Vorsorge für Fälle zu treffen, die kaum eintreten werden.

Um diese Problematik zu verdeutlichen und zu erklären entwickelte sich eine Methodik zur Analyse von Geschäftsprozessen und auch die Business Impact Analysis als erster Bau-stein zur ganzheitlichen Betrachtung einer Notfallvorsorge.

Auch durch die Britische Norm zur Informati-onssicherheit (später ISO 17799 bzw. ISO 27xxx Familie) in der die Verfügbarkeit ein wesentli-cher Baustein war (Vertraulichkeit/Inte grität/Verfügbarkeit) wurde die „Geschäftsfortfüh-rung” als Teil der Informationssicherheit, zuge-hörig zur IT, gesehen.

Im Kontext der sog. Jahr 2000 Umstellung ent-wickelte sich dann ein ganzheitlicher Ansatz der über das Disaster Recovery Planning (DRP) das Business Continuity Management stellte. Diese Betrachtung findet inzwischen auch ihre Kodifizierung in der ISO-Norm 223015.

Business Continuity Management

Autor:

Andreas Kolb, Abteilungsleiter Allgemeine &

IT-Revision, WGZ BANK AG.

Plädoyer für einen ganzheitlichen (Prüfungs-)Ansatz.




1 Gesetz über das Kreditwesen (KWG): „Kredit-wesengesetz in der Fassung der Bekanntma-chung vom 09.09.1998 (BGBl. I S. 2.776), das zu-letzt durch Art. 2 des Gesetzes vom 10.12.2014 (BGBl. I S. 2.091) geändert worden ist“.

2 Mindestanforderungen an das Risikomanage-ment (MaRisk), Rundschreiben 10/2012 (BA) vom 14.12.2012.

3 Europäische Kommission, Digitale Agenda für Europa, November 2014.

4 Proposal for a directive of the European Parlia-ment and of the Council on payment services in the internal market and amending Directives 2002/65/EC, 2013/36/EU and 2009/110/EC and repealing Directive 2007/64/EC (COM(2013)0547 – C7-0230/2013 – 2013/0264(COD)).

5 ISO 22301:2012 – Societal security – Business con-tinuity management systems – Requirements.

http://ec.europa.eu/prelex/liste_resultats.cfm?CL=en&ReqId=0&DocType=COM&DocYear=2013&DocNum=0547

http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=en&reference=2013/0264%28COD%29

https://www.risknet.de/wissen/glossar/iso-22301/ebf73464ec507a4ed89091d9f4472864/?tx_contagged%5Bsource%5D=default

https://www.risknet.de/wissen/glossar/bcm/c31a5c83dbdacb0a8c81e9a0553584ca/?tx_contagged%5Bsource%5D=default

https://www.risknet.de/wissen/glossar/bcm/c31a5c83dbdacb0a8c81e9a0553584ca/?tx_contagged%5Bsource%5D=default

Beitrag


III. Bausteine für die Entwicklung eines ganzheitlichen Ansatzes zum BCM

1. „Trendsetter“

Folgende drei Grundlagen bzw. die dahinter stehenden Institutionen können als maßgeb-lich für die Entwicklung des Business Continuity Managements bzw. des Notfallmanagements in Deutschland gesehen werden:

� Good Practice Guidelines (Business Conti-nuity Institute, Gründung 1994)6,� ISO Norm 22301 (s. o.) sowie� Standard 100-4 – Notfallmanagement (BSI)7.

2. Geschäftsfortführung oder Notfallmanagement

Grundsätzlich stehen sich zwei Begrifflich-keiten gegenüber: Das BSI spricht in seinem Standard vom Notfallmanagement, das BCI vom Business Continuity Management. In der deutschen Übersetzung der aktuellen Good Practice Guidelines wird auch gelegentlich der Terminus „betriebliche Kontinuität“ verwendet. Interessanterweise lautet der Titel der Buchver-öffentlichung des BSI zu seinem Standard: „BSI-Standard 100-4 zur Business Continuity”.

Insofern kann man für beide Dokumente die gleiche Intention annehmen. An dieser Stelle, um eine klare Abgrenzung zu unterstützen, wird der Begriff Business Continuity (BCM) ver-wendet. Damit wird auch eindeutig zum Aus-druck gebracht, dass die Betriebliche Kontinui-tät im Vordergrund steht, d. h. die Fortführung des Geschäftsbetriebs auch in Situationen, die diesen Geschäftsbetrieb gefährden bzw. stören. Dabei sind diese Gefährdungen im Wesentlichen den operationellen Risiken, nicht den geschäft-lichen Risiken (z. B. Adressrisiken) zuzuordnen.

Die prüferische Zuständigkeit sollte somit auch bei den Prüfern mit dem tiefsten Verständnis bzw. der intensivsten Beschäftigung mit opera-tionellen Risiken liegen, was aber nicht zwangs-läufig IT-Revision bedeutet.

3. Ansätze

Ein ganzzeitlicher Ansatz für ein BCM erfor-dert nun auch verschiedene Einstellungen,

Entscheidungen und Maßnahmen. Mit großer Bedeutung steht an erster Stelle die Manage-ment Awareness bzw. die Unterstützung eines ganzheitlichen Konzepts durch die Geschäfts-führung bzw. den Vorstand. Feststellungen durch die Revision oder sogar durch die Auf-sicht können nur Nadelstiche sein und punk-tuelle Veränderungen hervorrufen. Voraus-setzung zur werthaltigen Etablierung des BCM-Gedankens ist ein Treiber innerhalb der Organisation. Dieser sollte entweder in der Geschäftsführung selbst dieses Thema unter-stützen, oder zumindest die Unterstützung auf der Geschäftsführungsebene bekommen, ver-bunden mit entsprechenden finanziellen Mit-teln und organisatorischen Möglichkeiten. Eine Revision kann kein ganzheitliches BCM “ herbeiprüfen”, sehr wohl aber dazu beitragen, die notwendige Awareness zu fördern.

Der zweite wichtige und grundlegende Sach-verhalt, der damit verknüpft ist: BCM ist kein Projekt oder Plan, BCM ist ein Prozess. BCM kann nicht entwickelt und dann in die Ecke gestellt werden, BCM muss permanent gelebt werden. Ein dritter Baustein ist die Tatsache, dass es mit BCM um die Fortführung oder Auf-rechterhaltung des Geschäftsbetriebs geht. Das Wort Informationstechnologie taucht darin erst einmal nicht auf.

4. Geschäftsprozesse und BCM

Der Geschäftsbetrieb ist geprägt durch die Wertschöpfungsketten mit ihrer Kundenorien-tierung in Beratung, Handel, Abwicklung, Zah-lungsverkehr etc.

Damit einhergehen sollten die Definitionen von Kernprozessen und Unterstützungsprozessen (ggf. auch andere Kategorisierungen). Letztere sind in der Regel ohne direkte Kundenorientie-rung aber zur Durchführung der Kernprozesse unabdingbar, z. B. die IT-Prozesse. Auf diesen Prozessdefinitionen setzt das BCM auf.

Das BCM ist ein Management-System und dementsprechend ein Teil des Gesamt-Manage-mentsystems. Ein Managementsystem ist eine Menge zusammenhängender oder sich gegen-seitig beeinflussender Elemente einer Organi-sation, zur Festlegung von Leitlinien und Ziel-setzung sowie Prozessen zur Erreichung dieser Zielsetzungen. Es dient in diesem Fall der Ein-

6 GOOD PRACTICE GUIDELINES 2013, Deutsche Ausgabe, Leitfaden für die Umsetzung von Business Continuity.

7 Bundesamt für Sicherheit in der Informations-technik, BSI-Standard 100-4, 2008.

» Eine Revision kann kein ganzheitliches BCM „herbeiprüfen“. «

Beitrag


führung und Implementierung, den Betrieb sowie die Überwachung, Überprüfung, Ver-waltung und Verbesserung der Aufrechterhal-tung der Betriebsfähigkeit. (s. ISO 22301). Aus diesen Definitionen lässt sich erneut die Kom-plexität des Themas Geschäftsfortführung, aber auch dessen allgemeiner Anspruch ohne Fokussierung auf IT Prozesse erkennen. Als Management-System ist es somit auch immer ein revolvierender Prozess.

Nach dem BSI-Standard 100-4 stellt sich dieser wie in Abb. 1 dargestellt dar.

Dagegen entspricht der Ansatz des Business Continuity Instituts optisch deutlicher dem klas-sischen PDCA Konzept (Plan - Do - Check - Act).

Aus beiden Ansätzen wird jedoch der übergrei-fende Prozess deutlich. In der Norm (ISO 22301) und in den GPG wird daher auch vom BCMS gesprochen.

5. Revisionsunterstützung

Wie kann nun die Revision diesen Prozess unterstützen bzw. prüfen?

Der einfache Fall liegt sicher darin, dass ein BCMS etabliert ist, ein wirksamer Prozess mit internen Audits bzw. Qualitätssicherungsmaß-nahmen existiert und gelebt wird. Es existiert weiterhin eine Strategie und die Unterstüt-zung durch Geschäftsführung und Manage-ment ist hoch. In diesem Fall wird die Revision

» BCM ist ein Prozess. «

Abbildung 1: Der Notfallmanagement-Prozess, Quelle: BSI Standard 100-4

Beitrag


» Das Etablieren eines wirksamen BCMS fördert einen wirtschaftlichen Nutzen im Regelbetrieb. «

im Wesentlichen nur Feinjustierungen über Prüfungsergebnisse oder Beratungsleistun-gen bewirken (müssen).

Der wesentlich schwierigere Fall wäre es, wenn ein BCMS zwar theoretisch existiert aber nur rudimentär ausgeprägt ist. Dies zeigt sich z. B. in einer weiter bestehenden hohen Abhängig-keit zur IT-Notfallplanung oder sogar der Inter-pretation von BCM als IT-Continuity-Manage-ment (ITCM). In diesem Fall kann die Revision ihren Prüfungsauftrag (Soll-/Ist-Vergleich) kaum zufriedenstellend wahrnehmen. Die Revision ist gehalten, nach den MaRisk zumindest für die Notfallplanung der IT-Prozesse die Berück-sichtigung gängiger Standards zu prüfen. Im Sinne des ganzheitlichen Ansatzes kann man diese Berücksichtigung von Standards aber nicht nur für die IT-Notfallplanung (das Disas-ter Recovery Planning; DRP) vornehmen. Das DRP muss zweifelsfrei auch in die durch die Aufsicht geforderte geschäftsprozessbasierte Notfallplanung eingebettet – und somit ein Teil davon – sein.

Als bereits erwähnte Standards greifen der BSI Standard 100-4 und die GPG des BCI. Neben dem prüferischen Abgleich, in wie weit diese Standards in das BCM System des Instituts ein-

gearbeitet sind, wird zusätzlich auch ein hoher Anteil an Beratung erforderlich sein, um den Ausbau dieses erst punktuell umgesetzten Ansatzes als Managementprozess zu fördern. Dies kann auch durch Hinweise auf den Zusatz-nutzen erfolgen: Das Etablieren eines wirksa-men BCMS fördert auch ein tieferes Verständ-nis für die Prozesse, deren Verzahnung und Ab hängigkeit und ermöglicht auch eine Opti-mierung der Prozesse; und somit einen wirt-schaftlichen Nutzen im Regelbetrieb.

Ein BCM kann auch nur dann sinnvoll aufge-setzt werden, wenn eine Prozessorientierung der Organisation gegeben ist. Es muss eine Übersicht aller Prozesse des Instituts vorhan-den sein, einschließlich der Verzahnungen und Abhängigkeiten der Prozesse. Idealerweise sollte dies mit einer Aufstellung der Kontrol-len, insbesondere der Key Controls (Schlüssel-kontrollen) einhergehen.

Zum ganzheitlichen Ansatz ist auch die Betrachtung von Dienstleistern und Auftrag-gebern erforderlich. Diese müssen in das BCM einbezogen werden, Notfallpläne sind aufein-ander abzustimmen und Übungen ggf. zu ver-zahnen. Grundsätzlich sollte die Kette dabei vom Auftraggeber ausgehen. Dieser muss fest-

Abbildung 2: Der BCM-Lebenszyklus, Quelle: Good Practice Guidelines, BCI 2013

Beitrag


legen was seine Anforderungen bezüglich Auf-rechterhaltung des Betriebs sind. Anschließend erfolgt die Abstimmung mit den Möglichkei-ten des Dienstleisters. Sofern hier Diskrepan-zen, v. a. in der zeitlichen Bereitstellung von Leistungen im Notfall bestehen, sind Abstim-mungen ggf. unter Erhöhung der Service Levels und somit der Kosten erforderlich. Bei Abhän-gigkeiten von einem großen Service Provider (Rechenzentrum) besteht in der Regel ein ein-geschränkter Spielraum. Hier sind ggf. instituts-übergreifende Absprachen erforderlich.

6. Organisatorische Anforderungen

Während in großen Instituten BCM sinnvoller-weise eine eigenständige Organisationseinheit (bzw. Funktion) ist, kann es in kleineren Banken idealerweise „in der Nähe” des Informationssi-cherheitsmanagements angesiedelt werden. Damit können sich hier Synergieeffekte erge-ben. Aber auch wenn die Verfügbarkeit einen Baustein der Informationssicherheit darstellt, sollte BCM inzwischen als eigenständige Funk-tion betrachtet und gelebt werden. £

PRÜFUNGSTIPPS

� Planen Sie Prüfungen zur Geschäftsfortführung, nicht (nur) zur IT-Notfallplanung.

� Entwickeln Sie einen ganzheitlichen Ansatz zur Prüfung des BCMS, analog zur Prüfung des Information Security Management-Systems.

� Erkennen Sie den Prozess zum BCM, Einmalprojekte und Aktualisierungen des Notfallhandbuchs sind nicht ausreichend.

� Berücksichtigen Sie, dass die Prüfung zur Geschäftsfortführung bzw. Notfallplanung nicht das Hoheitsgebiet der IT-Revi-sion alleine ist – es sind alle Revisionssparten gefordert.

� Achten Sie auf echte Übungen zu geschäftlichen Notfällen mit realistischen Anforderungen.

� Begleiten Sie geänderte Übungsabläufe bzw. fachliche Tests intensiv. Bei IT-Backups oder RZ-Übungen haben Sie mehr Spielraum.

� Fragen Sie nach internen Audits zum BCM, diskutieren Sie die „lessons learned” aus Übungen und Audits.

� Prüfen Sie Aspekte der Wirtschaftlichkeit: Ist das BCM mit dem Information Security Management verzahnt? Wird es zur Prozessoptimierung genutzt?

� Beachten Sie auch in den Prüfungen Kosten/Nutzen-Aspekte; nicht jede Absicherung die möglich ist, ist auch sinnvoll.

� Seien Sie als Revisor geduldig, eine konzeptionelle Umstellung auf ein ganzheitliches BCMS erfordert Zeit und Unterstützung.

� Prüfen Sie die Abstimmung der BCM-Prozesse mit Auftraggebern und Dienstleistern. Achten Sie auf die Kongruenz der Wiederanlaufzeiten.

� Begleiten Sie gemeinsame bzw. abgestimmte Übungen mit Auftraggebern/Dienstleistern.

� Ja, ich bestelle 1 aktuelles Heft von RevisionsPraktiker kostenlos und unverbindlich zur Probe.

� Ja, ich bestelle RevisionsPraktiker im Abonnement und erhalte 10 Hefte im Jahr zum Jahresvorzugspreis von € 135,- zzgl. USt. und zzgl. € 10,20 Versand.

Fach-/Produktinformationen und DatenschutzDie Finanz Colloquium Heidelberg GmbH und ihre Dienstleister (z.B. Lettershop) verwenden Ihre personenbezogenen Daten für die Durchführung unserer Leistungen und um Ihnen ausgewählte Fach- und Produktinformationen per Post zukommen zu lassen. Sie können der Verwendung Ihrer Daten jederzeit durch eine Mitteilung per Post, E-Mail oder Telefon widersprechen.

RevisionsPraktiker ist die unabhängige Fachzeitschrift für Fach- und Führungs-kräfte aller Institutsgruppen der Kreditwirtschaft.

RevisionsPraktiker versorgt Sie monat-lich mit revisionsfesten, rechtssicheren und risikogerechten Fachinformationen.

RevisionsPraktiker steht für Autoren aus der Bankpraxis und eine kompe-tente Redaktion, unterstützt durch einen Fachbeirat von Bankspezia-listen und ein prominentes Heraus-gebergremium.

RevisionsPraktiker garantiert für aktuelle, kompakte Fachinformationen auf höchstem Niveau.

www.RevisionsPraktiker.de

Bestellen Sie jetzt per Fax:+49 6221 99898-99oder unterwww.RevisionsPraktiker.de

Firma:

Name, Vorname:

Funktion/Abteilung:

Straße, Nr.:

PLZ, Ort:

Telefon (für evtl. Rückfragen):

E-Mail: � Senden Sie mir bitte Fach- und Produktinformationen sowie die Banken-Times SPEZIAL für meinen Fachbereich kostenfrei an meine angegebene E-Mail Adresse (Abbestellung jederzeit möglich).

Von Praktikern. Für Praktiker.

Beitrag




I. Ausgangslage

1. Aufsichtsrechtliche Anforderungen der MaRisk

w Die Bundesanstalt für Finanzdienstleistungs-aufsicht (BaFin) stellt in BT 2.1 der Mindestanfor-derungen an das Risikomanagement (MaRisk), konkret in der Tz. 2, die klare Vorgabe, dass die Interne Revision bei wesentlichen Projekten begleitend tätig zu sein hat. Mit der Novelle der MaRisk vom 14.12.2012 wurde im Allgemeinen Teil der MaRisk ein neuer Abschnitt aufgenom-men. In AT 8.2 wird an die Institute die Anfor-derung gestellt, dass sie vor wesentlichen Veränderungen in der Aufbau- und Ablauf-organisation sowie in den IT- Systemen die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontroll-intensität zu analysieren haben. Zudem sind in die Analyse die später in die Arbeitsabläufe eingebundenen Organisationseinheiten zu involvieren. Des Weiteren besteht die Vorgabe, im Rahmen ihrer Aufgaben auch die Risiko-controlling-Funktion, die Compliance-Funk-tion und die Interne Revision einzubinden.

In welcher Beziehung stehen diese beiden Anforderungen und welche Auswirkungen ergeben sich daraus?

2. Auswirkungen auf die Interne Revision

Die Anforderung, bei wesentlichen Projek-ten begleitend tätig zu sein, stellt keine neue Herausforderung für die Interne Revision dar. Durch die MaRisk-Novelle vom 14.08.2009 hat sich lediglich geändert, dass aus der bis dahin geltenden Soll-Vorgabe eine Muss-Vorgabe geworden ist. Auch ist z. B. durch den DIIR1 Prüfungsstandard Nr. 4 „Standard zur Prüfung

von Projekten“ für die Interne Revision defi-niert, wie eine Begleitung und insbesondere eine Prüfung von (wesentlichen) Projekten zu erfolgen hat. Neben Beratungstätigkeiten der Internen Revision in Projekten, die im Rahmen der Grenzen der MaRisk erfolgen können (BT 2.2 Tz. 2 der MaRisk), erfolgt durch die Interne Revision die Prüfung von Arbeitsergebnissen aus Projekten oder die Prüfung der Projekt-grundlage, des Projektmanagements und der Projektorganisation. Bei der Prüfung der Arbeitsergebnisse aus Projekten verfolgt die Interne Revision einen überwiegend präventi-ven Prüfungsansatz, d. h. Fehler und Fehlent-wicklungen sollen frühzeitig erkannt und verhin-dert werden, bevor sie in die operativen Prozesse gelangen können und damit zu einem operatio-nellen Risiko für das Institut werden.

Insbesondere bei wesentlichen Projekten ist es zudem geboten, neben der Prüfung der Arbeits-ergebnisse aus dem Projekt auch das Projekt-management und die Projektorganisation an sich zu prüfen, da die Fehlsteuerung oder das Scheitern des Projekts ebenfalls ein enormes Risiko für das Institut darstellen können.

Neu hingegen ist die Anforderung, dass die Interne Revision bei wesentlichen Änderun-gen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen (AT 8.2 der MaRisk) im Rahmen ihrer Aufgaben einzubinden ist. Da in AT 8.2 der MaRisk im Weiteren nicht genau definiert ist, wie die Einbindung der Internen Revision erfolgen soll („Im Rahmen ihrer Auf-gaben...“), kann diese mit Blick auf den BT 2 der MaRisk nur beratend, projektbegleitend oder prüferisch sein.

Sowohl für Projekte, als auch für Änderungen in der Aufbau-, Ablauforganisation und den

Prozess-/Strukturänderungen und wesentliche Projekte im Wirkungs-kreis der Internen Revision

Autoren:

Thomas Hassel, Fachverantwortlicher

Organisationsentwicklung und

Markus Hoß, Bereichsleiter Revision,

beide Westerwald Bank eG, Hachenburg.

Aufsichtsrechtliche Anforderungen aus AT 8.2 MaRisk und Abgrenzung zu wesentlichen Projekten.




1 Deutsches Institut für Interne Revision e.V., Frankfurt/M., www.diir.de

Beitrag


IT-Systemen hat die BaFin in den MaRisk einen Wesentlichkeitsaspekt festgeschrieben. Völlig offen ist jedoch, wann ein Projekt oder eine Änderung in der Aufbau- und Ablauforganisa-tion sowie den IT-Systemen wesentlich ist und wie dieser Wesentlichkeitsaspekt auszufüllen ist, d. h. mit welchen Kriterien der Tatbestand der Wesentlichkeit zu beurteilen ist. Des Wei-teren stellt sich die Frage, mit welchen orga-nisatorischen Methoden („Werkzeugkasten“) wesentliche Änderungen umgesetzt werden und wer diese wesentlichen Änderungen in den Instituten initiiert.

Aus Sicht der Internen Revision sollten in einem Institut klare Kriterien vorhanden sein, anhand derer die Wesentlichkeit von Änderun-gen in betrieblichen Prozessen oder Struktu-ren zu beurteilen ist und damit die Anforde-rungen aus AT 8.2 der MaRisk zur Anwendung kommen. Dies gilt ebenso für die Frage der Wesentlichkeit von Projekten. Genau in der Definition und Anwendung dieser Kriterien und den daraus entstehenden Konsequenzen besteht eine enge Verbindung beider aufsichts-rechtlichen Anforderungen. Die nachfolgenden Ausführungen sollen diese Fragestellungen weiter er läutern und Lösungswege aufzeigen.

II. Praktische Umsetzung

1. Organisatorische Umsetzung von Veränderungen

Zunächst losgelöst von der Frage, ob eine Änderung in der Aufbau- und Ablauforgani-sation oder den IT-Systemen eines Instituts wesentlich ist oder nicht, stehen den Verant-wortlichen für die Organisation eines Instituts (also der Bereich oder die Abteilung „Organi-

sation“) mehrere Methoden bzw. Vorgehens-weisen zur Verfügung, mit denen erforderli-che Änderungen umgesetzt werden können. H ierbei kann zwischen organisatorischen Vor-haben und Projekten unterschieden werden. Die Vorhaben unterteilen sich zudem in sog. Anforderungen und Maßnahmen.

Welche Methode zur Anwendung kommt hängt davon ab, welche Bedeutung und Aus-wirkung die Änderung für das Institut hat und, ob es sich hierbei um wesentliche Änderungen nach AT 8.2 der MaRisk handelt. Je nach Wahl der Methode ergeben sich zudem die internen Vorgaben an die notwendige Dokumentation. Hierbei wir an das organisatorische Vorhaben der Anforderungen die geringste Dokumenta-tionsnotwendigkeiten gestellt, ein Projekt hin-gegen ist umfänglich vom Projektmanagement zu dokumentieren.

2. Initiierungen von Veränderungen

Änderungen in einem Institut, die die Aufbau- und Ablauforganisation oder die IT-Systeme betreffen, werden nicht ausschließlich durch die Organisationsabteilung selbst initiiert. Vielmehr können diese Veränderungen durch den Vorstand, die Führungskräfte, Prozess- und Teilprozessverantwortliche initiiert werden. Ist zudem im Institut noch ein betriebliches Vor-schlagswesen oder systematisiertes Ideenma-nagement, ein kontinuierlicher Verbesserungs-prozess (KVP) und ein Beschwerdemanagement eingerichtet, können auch hieraus Veränderun-gen initiiert werden. Basis für diese Verände-rung ist ein erkannter Handlungsbedarf, ein konkreter Anlass (Ideen, technische Neuerun-gen, Innovation, strategische Vorgaben, Neu-erungen oder Veränderungen in gesetzlichen und regulatorischen Vorgaben).

» Aus Sicht der Internen Revision sollten in einem Institut klare Kriterien vorhanden sein, anhand derer die Wesentlichkeit von Änderungen in betrieblichen Prozessen oder Strukturen zu beurteilen ist. «

Abbildung 1

Beitrag


Hierbei ist es unbedingt notwendig, dass die jeweils in Frage kommenden Initiatoren die aufsichtsrechtlichen Anforderungen kennen und die institutsinternen Prozesse zur Umset-zung von Veränderungen leben.

3. Kriterien zur Beurteilung der Wesentlichkeit

Wird nun durch einen Initiator eine Änderung angestoßen, ist anhand von definierten Krite-rien zu untersuchen und zu beurteilen, welche Auswirkungen die Änderungen haben können. Das Ergebnis hieraus entscheidet, ob die Ände-rungen wesentlich i. S. d. AT 8.2 der MaRisk sind und welche organisatorische Methode zur Umsetzung der Änderung zur Anwendung kommt. Hierzu können folgende Kriterien her-angezogen werden, die mit einer vierstufigen Ausprägung (stark/mittel/schwach/nicht rele-vant bzw. hoch/mittel/niedrig/nicht relevant – jeweils verbal ausgeführt) oder aber mit Zahlen bewertet werden.

� Auswirkungen auf die Geschäfts- und Risikostrategie(n).� Wirtschaftliche Bedeutung: - Kosten, - Ertragsverbesserung, - Nutzen/Notwendigkeiten, - Auswirkungen auf die Vermögens-/Finanz- und Ertragslage oder die Risikotragfähig- keit, Anzahl der betroffenen/involvierten Bereiche/Abteilungen und

- Aufwand in Mitarbeiterkapazitätstagen (Tagewerke).� Auswirkungen auf das Interne Kontrollsy-

stem (Kontrollverfahren und Kontrollinten-sität) und Auswirkungen auf die IT-Systeme.� Auswirkungen auf die Kundenverbin-

dungen.� Komplexität:

- Auswirkungen auf die bestehende Auf- bau- und Ablauforganisation. - Auswirkungen auf die vorhandene bzw. benötigte Qualifikation.� Veränderungen und Maßnahmen auf einer

„Black-List“:� Veränderungen, die auf der sog. „Black-List“

stehen, sind grundsätzlich als wesentliche Änderungen im Sinne von AT 8.2 der MaRisk einzustufen (institutsindividuell festzule-gen, z. B. Veränderung der Aufbauorga-nisation der Handelsgeschäfte oder dem

Kreditgeschäft, wesentliche Auslagerungen, Änderungen in der Geschäftsverteilungs-zuständigkeit des Vorstands etc.).

Aus dem Ergebnis der Bewertungen leitet sich ab, ob es sich bei der Umsetzung der Änderung um ein Projekt, eine Maßnahme oder um eine Anforderung handelt. Hierbei wird definiert, dass Projekte immer wesentlich im Sinne von AT 8.2 und BT 2.1 der MaRisk sind, Maß-nahmen ggf. relevant nach AT 8.2 der MaRisk sind, aber nicht relevant nach BT 2.1 der MaRisk und Anforderungen weder nach AT 8.2, noch nach BT.2.1 relevant sind. Damit wird dem Umstand Rechnung getragen, dass in Abhän-gigkeit der Bedeutung und den Auswirkungen der geplanten Änderung bestimmte organi-satorische Methoden und Dokumentationen zum Einsatz kommen. Auch wird bei den Pro-jekten bewusst nicht zwischen wesentlichen und unwesentlichen Projekten unterschieden, da diese organisatorische Methode überhaupt nur dann zum Tragen kommt, wenn sich nach der Bewertung der oben dargestellten Kri-terien eine starke bzw. hohe Bedeutung für das Institut ergibt. Die logische Konsequenz daraus ist dann auch, dass Projekte i. d. R. zu einer wesentlichen Änderung in der Aufbau- und Ablauforganisation sowie in den IT-Syste-men führen. Maßnahmen beinhalten durchaus die Umsetzung bedeutungsvoller Änderun-gen, diese sind jedoch noch nicht derart her-ausfordernd, dass diese die organisatorische Methode eines Projekts erfordern. Hier ist im Einzelfall jedoch festzulegen, ob die Maß-nahme unter den Abwendungsbereich des AT 8.2 der MaRisk fällt. Anforderungen haben hingegen nur eine geringe Bedeutung bzw. Auswirkung und sind weder unter AT 8.2 noch unter BT 2.1 relevant.

Die Beurteilung der Wesentlichkeit anhand der definierten Kriterien erfolgt ohne mathema-tische Unterlegung oder Gewichtung. Das bedeutet, dass hinter der Bewertung keine Formel steht, sondern, dass die Bewertung durch einen qualifizierten Mitarbeiter durchge-führt wird. Das bedeutet jedoch nicht, dass ver-schiedene Kriterien anhand von Zahlen bewer-tet werden, insbesondere wenn es hierbei um Kosten, Erträge und Risiken geht.

Wie in Tab. 1 dargestellt ergibt sich folgende Bewertungsmatrix2.

» Es ist unbedingt notwendig, dass

die jeweils in Frage kommenden

Initiatoren die aufsichtsrechtlichen

Anforderungen kennen und die

institutsinternen Prozesse zur

Umsetzung von Veränderungen

leben. «

2 Die dargestellten Beträge sind beispielhalft ge-nannt, in der praktischen Umsetzung sind bei der Festlegung die Größe, Struktur und Risiko-tragfähigkeit des Instituts sowie geschäftspoli-tische Vorgaben zu berücksichtigen.

Beitrag


» Aus dem Ergebnis der Bewertungen leitet sich ab, ob es sich bei der Umsetzung der Änderung um ein Projekt, eine Maßnahme oder um eine Anforderung handelt. «

Tabelle 1: Beispielhafte Bewertungsmatrix

stark mittel schwach nicht relevant

Bemerkungen

1. Auswirkungen auf Geschäfts-/Risikostrategie

Stark Mittel Schwach Auswirkungen auf die bestehenden Strategie/n, notwendige Änderungen

2. Wirtschaftliche BedeutungKosten >/=

20.000 €

>/= 5.000 €

< 5.000 € Direkte-/indirekte- und Folgekosten, laufende Verpflichtungen

Ertragsverbesserung >/= 20.000 €

>/= 5.000 €

< 5.000 € Erträge, die die einmaligen und laufenden Kosten übersteigen

Nutzen/Notwendigkeit Hoch Mittel Niedrig verbale Beschreibung des Nutzen, insbesondere bei nicht ausreichend quantifizierbarer Ertragsverbesserung, Notwendigkeit aus strategischen, geschäftspolitischen oder sonstigen Anforderungen

Auswirkungen auf Vermögens-/Finanz- und Ertragslage oder Risikotragfähigkeit

> 15%* > 10%* > 5%* *des (Plan-)Betriebsergebnisses vor Bewertung

Anzahl der betroffenen/involvierten Bereiche

>/= 5 >/= 3 >= 1 Anzahl der Bereiche (Organisationseinheiten), die von der Veränderung betroffen sind

Aufwand in Tagewerken >/= 15 >/= 3 < 3 Tagewerke zur Umsetzung

3. Auswirkungen auf Risikomanagement und das Interne Kontrollsystem, Auswirkungen auf die IT-Systeme

Stark Mittel Schwach Eingehen neuer Risiken oder Ausweitung bestehender Risiken, Risiko-/Chancen-Abwägung, Auswirkungen auf die bestehenden internen Kontrollen, Art, Umfang und Intensität der Kontrollen, präventive oder aufdeckende Kontrollen etc., Veränderungen in den eingesetzten IT-Systemen, neue Software/technische Systeme etc.

4. Auswirkungen auf Kundenverbindungen

Stark Mittel Schwach Auswirkungen auf die Kundenprozesse, Beurteilung möglicher Reputationsrisiken oder Vertriebsrisiken

5. KomplexitätAuswirkungen auf die bestehende Aufbau- und Ablauforganisation

Stark Mittel Schwach Auswirkungen auf die Struktur, Anzahl und Bedeutung der betroffenen Arbeitsanweisungen und Prozesse

Auswirkungen auf benötigte Qualifikationen

Hoch Mittel Niedrig bestehende Qualifikation der betroffenen Mitarbeiter ausreichend? zusätzlicher Qualifizierungsbedarf?

6. Black ListIst die Maßnahme in der Black List enthalten?

Ja Nein Nein z.B. Veränderung der Aufbauorganisation in Handel oder Kredit, wesentliche Auslagerungen etc.

Beitrag


Im Folgenden wird beschrieben, wie der eigent-liche Prozess von der Initiierung einer Verän-derung bis hin zu Entscheidung über Wesent-lichkeit, Methode und Einbindung weiterer Bereiche abläuft.

4. Prozess zur Umsetzung wesentlicher Änderungen betrieblicher Prozesse/Strukturen

Der Prozess startet mit einem Anlass, der eine Änderung erforderlich macht (s. h. II. 2.). Der Initiator greift den Anlass auf, ermittelt den notwendigen Handlungs- und Änderungsbe-darf, trägt die notwendigen Informationen und Unterlagen zusammen und leitet die Informati-onen an die Organisationsabteilung weiter. In der Organisationsabteilung wird anhand der zur Verfügung gestellten Informationen und Unterlagen die Bewertungsmatrix erstellt und entschieden, ob die anstehende Verän-derung als Projekt, Maßnahme oder Anfor-derung einzuordnen ist und sofern es sich um eine Maßnahme handelt, ob diese AT 8.2 rele-vant ist, oder nicht.

Eine zentrale Bewertung und Entscheidung in der Organisationsabteilung sichert ein einheit-liches Verständnis, die Vorgehensweise und die damit verbundene Qualität.

Wird im Ergebnis zur Umsetzung der Änderung ein Projekt erforderlich, wird aus der Organisa-tionsabteilung heraus die Projektinitiierung (separater Prozess) angestoßen. Im Rahmen des Projektauftrags sind die einzubeziehen-den Bereiche des Instituts, einschließlich der Risikocontrolling- und Compliance-Funktion im Rahmen ihrer Aufgaben festzulegen. Da Projekte per Definition wesentlich sind, ist die Interne Revision per se einzubinden. Handelt es sich um eine Maßnahme, die zu einer wesentli-chen Änderung der Aufbau- und Ablauforgani-sation sowie den IT-Systemen führt und damit unter die Anwendung von AT 8.2 der MaRisk fällt, wird durch die Organisationsabteilung sichergestellt, dass im weiteren Verlauf alle später in die Arbeitsabläufe eingebundenen Organisationseinheiten eingeschaltet werden und dass im Rahmen ihrer Aufgaben die Risiko-controlling-Funktion, die Compliance-Funktion

Abbildung 2- z.B. Idee, Anregung,

technische Neuerung,Innovation, gesetzl.Neuerung, etc.

- Initiator = Vorstand,Führungskraft, Fach- oderProzessverantwortliche (zumZweck der Vorfilterung)

- anhand Beurteilungsmatrix inAbstimmung mit relevantenFachabteilungen undbetroffenen Bereichen

- Auswirkungen derVeränderung alsEntscheidungsgrundlage fürden Vorstand dokumentieren

- mit Risikocontrolling, MaRisk-Compliance, Innenrevisionund den betroffenenBereichen

Anlass

INITIATORHandlungsbedarf ermitteln

ORGANISATIONWesentlichkeit MaRisk AT 8.2

beurteilen

Wesentlichkeit ist ...

ORGANISATIONVeränderung umsetzen

ORGANISATIONDokumentation erstellen

Auswirkungsanalyse

VORSTANDVeränderung auf Basis derAuswirkungen entscheiden

Soll Veränderung umgesetztwerden?

ORGANISATIONDokumentation abstimmen

Auswirkungsanalyse

INITIATORInformation weitergeben

nicht gegebengegeben

nein

ja

- z.B. Idee, Anregung,technische Neuerung,Innovation, gesetzl.Neuerung, etc.

- Initiator = Vorstand,Führungskraft, Fach- oderProzessverantwortliche (zumZweck der Vorfilterung)

- anhand Beurteilungsmatrix inAbstimmung mit relevantenFachabteilungen undbetroffenen Bereichen

- Auswirkungen derVeränderung alsEntscheidungsgrundlage fürden Vorstand dokumentieren

- mit Risikocontrolling, MaRisk-Compliance, Innenrevisionund den betroffenenBereichen

Anlass

INITIATORHandlungsbedarf ermitteln

ORGANISATIONWesentlichkeit MaRisk AT 8.2

beurteilen

Wesentlichkeit ist ...

ORGANISATIONVeränderung umsetzen

ORGANISATIONDokumentation erstellen

Auswirkungsanalyse

VORSTANDVeränderung auf Basis derAuswirkungen entscheiden

Soll Veränderung umgesetztwerden?

ORGANISATIONDokumentation abstimmen

Auswirkungsanalyse

INITIATORInformation weitergeben

nicht gegebengegeben

nein

ja

Beitrag


und die Interne Revision beteiligt bzw. einge-bunden werden.

Sowohl bei Projekten, als auch bei Maßnahmen, die unter die Anwendung des AT 8.2 der MaRisk fallen und damit wesentliche Änderungen in der Aufbau- und Ablauforganisation des Ins-tituts darstellen, sind als weiterer Schritt dann im Rahmen einer Analyse die Auswirkungen auf die Kontrollverfahren und die Kontrollin-tensität zu untersuchen und die Konsequen-zen daraus zu dokumentieren. Bevor nun diese Veränderungen letztlich umgesetzt werden, ist zu entscheiden, ob die Auswirkungen und die damit verbundenen Konsequenzen gewollt sind, jedenfalls immer dann, wenn es sich um geschäftspolitische Gestaltungsspielräume handelt. Dies ist insbesondere dann von beson-derer Brisanz, wenn z. B. Kontrollen abgeschafft werden oder Kontrollintensitäten geändert werden und damit ggf. die erste Verteidigungs-linie offener wird. Folglich liegt die Entschei-dung hierüber beim Vorstand der Bank, der gem. § 25a KWG die Verantwortung für eine ordnungsgemäße Geschäftsorganisation trägt.

Maßnahmen, die nicht unter die Anwen-dung von AT 8.2 der MaRisk fallen und Anfor-

derungen werden durch die Organisations-abteilung in Zusammenarbeit mit dem Initiator umgesetzt.

III. Fazit

Wesentliche Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen der Institute benötigen einen eigenständigen Prozess zur Umsetzung der Vorgaben der Auf-sicht aus AT 8.2 der MaRisk. Diese wesentlichen Veränderungen werden häufig durch Projek te umgesetzt, die dann, wenn die beabsichtigte Veränderung an sich wesentlich ist, selbst wesentlich i. S. d. BT 2 der MaRisk sein müssen. Hier ist ein Gleichklang des Begriffs „wesentlich“ geboten, aufsichtsrechtlich, wie auch betriebs-wirtschaftlich. Der umgekehrte Fall ist real kaum vorstellbar (Projekt ist wesentlich i. S. d. BT 2 der MaRisk, aber nicht wesentlich i. S. d. AT 8.2 der MaRisk). Ein Katalog von zu beur-teilenden Kriterien weist den Weg zu beiden Begriffen der „Wesentlichkeit“. Egal ob wesent-liches Projekt oder wesentliche Änderungen in der Aufbau- und Ablauforganisation bzw. den IT-Systemen, die Interne Revision ist einzubin-den: begleitend, beratend, prüferisch. £

PRÜFUNGSTIPPS

� Die Anforderungen aus AT 8.2 und BT 2.1 der MaRisk sollten vernetzt sein.

� Es sollten klare Kriterien definiert sein, anhand derer die Frage der Wesentlichkeit zu beurteilen ist.

� Unterschiedliche Änderungen in betrieblichen Prozessen und Strukturen brauchen zu ihrer Umsetzung unterschied-liche organisatorische Methoden.

� Veränderungen in betrieblichen Prozessen oder Strukturen werden durch unterschiedliche Stellen, Einrichtungen oder Personen im Unternehmen initiiert. Dieser Kreis muss die aufsichtsrechtlichen Vorgaben kennen und die internen Prozesse leben.

� Es sollte ein Prozess zur Umsetzung von Änderungen in betrieblichen Prozessen oder Strukturen und damit in der Aufbau- und Ablauforganisation sowie den IT-Systemen vorhanden sein.

� Der Begriff „wesentlich“ i. S. d. AT 8.2 der MaRisk und des BT 2.1 der MaRisk sollte einheitlich definiert und damit interpretiert werden.

Beitrag




I. Aufsichtsrechtliche Anforde-rungen an die Risikobewertung durch die Interne Revision

w Die Interne Revision hat gem. AT 4.4.3., Tz. 3 ihre Prüfungstätigkeit risikoorientiert durchzu-führen. Dabei erstreckt sich das Prüfungsuni-versum auf alle Aktivitäten und Prozesses des Instituts. Analog den Regelungen zur Bewer-tung der Risiken im Zuge der Risikotragfähig-keitsermittlung (AT 4.1, Tz. 8 der MaRisk) haben Banken auch bei der Risikobewertung durch die Interne Revision Methodenfreiheit. Um eine Risikoeinschätzung vorzunehmen, haben sich in der Praxis sowohl quantitative als auch qua-litative Bewertungsmodelle bewährt. Gleich welches Modell die Interne Revision verwendet empfiehlt es sich, auf die Konsistenz der wei-teren im Unternehmen eingesetzten Modelle zu achten, so dass bei Wahrung der Methoden-freiheit dennoch nicht der Vorwurf im Raum

steht, dass Risiken im Unternehmen deutlich abweichend bewertet werden. Im folgenden Beitrag werden zunächst die Grundlagen quan-titativer und qualitativer Modelle vorgestellt. Anschließend wird am praktischen Beispiel der Volksbank Breisgau Nord eG aufgezeigt, wie das Risikobewertungsmodell nach Einfüh-rung einer prozessorientierten Prüfungsland-karte ausgestaltet wurde und welche Schwer-punkte dabei gesetzt wurden.

II. Quantitative vs. qualitative Modelle

1. Quantitative Risikobewertungsmodelle

Quantitative Risikobewertungsmodelle zeich-nen sich durch eine mehrdimensionale Betrach-tung des möglichen Risikos aus. Gängige Modelle verlangen hierzu eine Einstufung der

Risikobewertung im Rahmen der Prüfungsplanung

Autor:

Holger Aurisch, MBA, Bereichsdirektor

Interne Revision/Prokurist, Volksbank Breisgau Nord eG.

Grundlagen und Praxisbericht über die Weiterentwicklung des Risikobewertungs-modells in der Volksbank Breisgau Nord eG.

Abbildung 1: Eintrittshäufigkeiten in VR-Control OpRisk




Abbildung 2: Schätzung der Verlusthöhe

Beitrag


Eintrittswahrscheinlichkeit (p) des Risikos. Die Skalierungen können dabei grundsätzlich frei gewählt werden. Tabelle 1 zeigt eine beispiel-hafte Unterteilung.

Neben der wesentlichen Frage, wie oft das Risiko eintreten kann stellt sich die gleichfalls bedeutende Frage der potenziellen Schadens-höhe (s) im Falle des Eintritts. Welche Klassen das Unternehmen hier wählt ist i. d. R. grö-ßenabhängig. So kann ein Schaden von über einer Mio. € für eine Bank mit einer Bilanz-summe von unter 100 Mio. € existenzbedro-hende Ausmaße annehmen, insb. dann wenn er mehrmals im Jahr auftreten kann, wohinge-gen Großbanken wie hier ganz andere Größen-ordnungen in den Fokus nehmen. Eine exemp-larische Darstellung zeigt Tab. 2.

Schließlich bleibt noch die Frage zu klären, ob es sich bei den ausgewiesenen Werten um Brut-toschäden, oder um Nettoschäden handelt. In einer rein betriebswirtschaftlichen Betrachtung

ist dies zur Beurteilung der Angemessenheit des Versicherungsschutzes notwendig. Auf-grund des i. d. R. sehr umfassenden Versiche-rungsschutzes bei Genossenschaftsbanken, auch bei externem und internem Betrug, wird i. d. R. auf einen verbleibenden Nettoschaden abgestellt.

Im Ergebnis ergibt sich aus der Multiplikation der beiden Werte der erwartete Verlust (EL):

EL = p x s

Die Höhe des erwarteten Verlusts wird dann in eine Beziehung zum Grad der Akzeptanz des jeweiligen Risikos gesetzt und entsprechend einer Risikoklasse zugeordnet. Auch hier kann die Skalierung frei gewählt werden, was sowohl die Anzahl der Klassen (z. B. 3, 4 oder 5) als auch die Verteilung der Klassen angeht. Je risikoa-verser das Unternehmen ist, desto stärker sind die Ausprägungen der höherstufigen Risiko-klassen zu erwarten. Diese Eingangsinforma-

» Achten Sie auf die Konsistenz der im Unternehmen eingesetzten Risikobewertungsmodelle. «

Abbildung 3: Risikolandkarte

Beitrag


tion ist für die Interne Revision insofern bedeu-tend, da sie die Risikoneigung des Instituts bei der eigenen Prüfungsplanung entsprechend berück sichtigen sollte.

Zur leichteren Erkennbarkeit bietet es sich an, die Risikolandkarte mit den gewählten Klassen (hier vier) grafisch darzustellen (s. Abb. 1). Wie innerhalb der Landkarte dann die vier Klassen verteilt werden, ist dem Institut methodisch wiederum freigestellt.

Wie eingangs angemerkt, sollte aber darauf geachtet werden, dass dies grundsätzlich im Einklang mit der Risikoinventur des Unter-nehmens steht, so dass dort nicht z. B. sehr hohe Risiken ausgewiesen werden, während die Interne Revision alle Risiken im grünen Bereich verortet1.

Auf den ersten Blick scheinen quantitative Bewertungsverfahren einen objektiven Maß-stab für die das Unternehmen bedrohen-den Risiken zu liefern. Unstrittig ist, dass die Ergebnisse des Bewertungsverfahrens in eine Bewertungsreihenfolge gebracht werden können. Damit stellen diese, je nach Anwen-dungsfeld, eine Basis für die Planung der weiteren Aktivitäten dar, z. B. eine Priorisie-rung im Rahmen der Prüfungsplanung. Aller-dings muss beachtet werden, dass der Grad der Objektivität der Werte sehr stark davon abhängt, wie unvoreingenommen die Ein-gangsfaktoren in der Bewertung gewählt wurden. Werden diese selbst wiederum nur von Experten geschätzt, geht die Objektivität zunehmend verloren, je weniger belastbare Daten als Grundlage zur Verfügung standen.

Selbst wenn die Datengrundlage valide ist, stellt diese wiederum nur die Vergangen-heit dar und bleibt mit der Unsicherheit über künftige Ereignisse behaftet. Diese System-schwäche ist immanent und war auch Anlass für die Bankenaufsicht die Anforderungen an die Banken bei der Risikotragfähigkeitsermitt-lung entsprechend zu formulieren2.

2. Qualitative Risikobewertungs-modelle

Bei den qualitativen Modellen, auch Exper-tenschätzungen genannt, wird auf die Exper-tise und den Sachverstand der beurteilenden

Mitarbeiter ein weit höherer Wert gelegt, als auf die zugrunde liegenden Datenquellen. Das Unternehmen verlässt sich dabei auf die analytischen Fähigkeiten von zumeist lang-jährig tätigen Mitarbeitern, in der Hoffnung, dass deren Zukunftsprognose bzgl. der erwar-teten Risikoeintritte für das Unternehmen halt-bar sein wird. Diesem Gedanken mag man sich in Fällen eines sehr eingespielten Geschäfts-modells ohne größere Modifikationen und bei stabilen Rahmenbedingungen noch anschlie-ßen. Findet die Entwicklung aber in einem turbulenten Umfeld statt, wobei disruptive Technologien Geschäftsmodelle kurzfristig auf den Kopf stellen können, sind solche Vor-gehensweisen nicht angemessen.

Für solche Fälle bietet sich wiederum der Ein-satz von Szenariotechniken an, wie dies z. B. Shell schon seit den 1970er Jahren anwendet und damit die Ölkrise im Jahr 1973 einfacher beherr-schen konnte, als die Unternehmen, welche die Krise unvorbereitet traf3. Der Vorteil von Szena-riotechniken ist darin zu sehen, dass diese auch das Undenkbare beinhalten, während Vorschau-rechnungen Wachstums- oder Schrumpfungs-quoten auf den Status quo anlegen.

Darüber hinaus werden in diesem Rahmen diejenigen Risiken berücksichtigt, die sich nur schwer einer Quantifizierung unterziehen lassen. Insbesondere ist dabei an Image- und Reputationsrisiken zu denken. Deren Folge-wirkung abzuschätzen ist oftmals nicht seriös möglich. Im Eintrittsfall können bei Schadens-fällen langfristig sowohl sehr positive Entwick-lungen als auch katastrophale Auswirkungen auftreten4.

Expertenschätzungen sind durch einen hohen Grad an Subjektivität geprägt. Ob der Experte mit seiner Einschätzung richtig liegt oder nicht kann im Vorfeld nicht deterministisch fest-gestellt werden. Der Experte kann genauso falsch liegen, wie ein quantitatives Verfahren und genauso richtig. Als Belastungsfaktor von Experten schätzungen kann noch die Gefahr von Gruppendenken hinzutreten. Schon vor über 60 Jahren wurde dieses Phänomen erst-mals beschrieben5. Im Kern geht es darum, dass Gruppen Gefahr laufen, schlechtere Ent-scheidungen zu treffen, da die Gruppenmit-glieder konformes Verhalten der Konfrontation vorziehen und die Eigenverantwortung des Ein-

» Quantitative Verfahren zeigen die

systemimmanente Schwäche der

Vergangenheitsorientierung auf. «

1 Dessen ungeachtet kann es natürlich sein, dass Risiken von den Fachbereichen anders einge-schätzt werden als von der Internen Revision. Insbesondere werden bei der Internen Revision auch Kontrollaspekte einbezogen, welche ggf. bei der reinen Risikopotenzialermittlung in der Risikoinventur teilweise außer Acht bleiben.

2 So weist die BaFin explizit auf die Unmöglichkeit einer vollständigen Realitätsabbildung durch Risikoquantifizierungsverfahren hin. Insbeson-dere dürfen die Institute nicht vernachlässigen, dass die Risiken hierdurch unterschätzt werden können und fordern, diesem Umstand bei der Beurteilung hinreichend Rechnung zu tragen.

3 http://s05.static-shell.com/content/dam/shell-new/local/corporate/corporate/downloads/pdf/shell-scenarios-40yearsbook080213.pdf

4 So kann letztlich der Umgang von Mercedes-Benz mit den Ergebnissen des Elchtests lang-fristig als Erfolg für das Unternehmen betrachtet werden, während die Auswirkungen der Reak-torkatastrophe in Fukushima für die deutschen Betreiber von Atomkraftwerken ohne eigenes Zutun deren nachhaltige wirtschaftliche Grund-lage in diesem Geschäftszweig vernichteten.

5 http://fortune.com/2012/07/22/groupthink-for-tune-1952/

Beitrag


» Risiken, die sich kaum der Quantifizierung unterziehen lassen, dürfen dennoch nicht außer Acht gelassen werden. «

zelnen beim Entscheidungsprozess in den Hin-tergrund tritt.

III. Weitere Bewertungsquellen

Als weitere Quellen für die Risikobewertung können die hausintern verwendeten Risikobe-wertungsverfahren herangezogen werden. Dies können z. B. Bewertungen bei der Ermittlung der für das Institut wesentlichen Geschäfts-prozesse, die Quantifizierung der operatio-nellen Risiken oder die Risikobewertung von mög lichen strafbaren Handlungen zu Lasten des Instituts durch die „Zentrale Stelle“ i. S. d. § 25h KWG sein6. Diese basieren i. d. R. auf einer quantitativen Einschätzung von Eintritts-wahrscheinlichkeit und Schadenshöhe, wie sie in Kapitel II. 1. bereits beschrieben wurden.

Hierbei sollten die Modelle im Unternehmen möglichst mit gleichen Maßstäben und Klassi-fizierungen angewendet werden. Weichen diese in zu starkem Maß voneinander ab, wird ein wirksames Risikomanagement im Unter-nehmen unnötig erschwert, da sich wider-sprechende Steuerungssignale die Folge sein können. Auch die Interne Revision sollte sich demnach bei Anwendung quantitativer Modelle möglichst an der unternehmenswei-ten Skalierung orientieren. Wie bereits aus-geführt, muss dann am Ende nicht immer die identische Risikoeinschätzung stehen, aber methodisch ist man zumindest weitgehend auf einer einheitlichen Linie unterwegs.

Im Bankenbereich ist über die quantitativen Risiken sowie die Reputationsrisiken hinaus

noch zu beachten, dass auch aufsichtsrechtli-che Normen eine gewichtige Rolle im Risikobe-wertungsprozess spielen können. So werden z. B. die Vorschriften zur Prävention gegen Geldwäsche und Terrorismusfinanzierung von Seiten der Aufsicht in starkem Maße nachge-halten. Ebenso legt die Bundesbank sehr hohen Wert auf die Einhaltung melderechtlicher Vor-schriften durch die Banken. Mit dem Geschäfts-modell und dem Geschäftserfolg haben diese Vorschriften gleichwohl sehr wenig zu tun. So erscheint ein Zusammenhang zwischen dem Absatzerfolg von Anlageprodukten mit der Erfüllung von geldwäscherechtlichen Pflich-ten ebenso weit hergeholt, wie die Vertriebs-erfolge im Kreditgeschäft mit der Erfüllung der Meldepflichten gem. KWG. Es drohen dem Ins-titut aber empfindliche Sanktionen, bei Nicht-einhaltung von aufsichtsrechtlich relevan-ten Normen. So kann die BaFin bei Verstößen gegen die Dokumentationspflichten bei der Wertpapierberatung Bußgelder bis zu 50.000 € im Einzelfall verhängen. Damit muss die Ein-haltung entsprechender Normen unbedingt in die Risikobewertung der Internen Revision ein-fließen, unabhängig von deren Quantifizierbar-keit. Wie intensiv diese dann später zu prüfen sind, hängt maßgeblich davon ab, in wie weit die 2. Verteidigungslinie die Normeneinhaltung in der Überwachung hat7.

IV. Praktische Umsetzung

Im Jahr 2013 hat die Volksbank Breisgau Nord eG damit begonnen, eine neue, auf das Unter-nehmen zugeschnittene Prüfungslandkarte zu entwickeln8. Hintergrund hierfür war die auf-

6 Im Sektor der Genossenschaftsbanken wurden dazu von den Verbänden sog. „Delikte-Organi-sations-Matrizen“ zur Verfügung gestellt, aus denen sich das potenzielle Delikt, die betrof-fene Organisationseinheit und der mögliche Schaden ableiten lassen.

7 Abgestellt wird hierbei auf das Three-Lines-of-Defense-Modell: https://na.theiia.org/stan-dards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf

8 Vgl. Hirzel, Simon: Einführung einer prozess-orientierten Prüfungslandkarte, in: Revisions-Praktiker 08-09/2013 S. 182-188.

Abbildung 4: Begriffshierarchie in der Prüfungslandkarte

Beitrag


grund der bis dahin verwendeten Prüfungs-landkarte fehlende Prozessorientierung9. Damit verbunden war die Absicht auch die bisherige Vorgehensweise der Risikobewer-tung auf den Prüfstand zu stellen. Im Zuge der Einführung der prozessorientier-ten Prüfungslandkarte wurde zunächst Klarheit über die zu verwendenden Begriffe geschaffen und dann die Ebene definiert, auf welcher die Risikobewertung vorgenommen werden soll. Abbildung 2 zeigt die geschaffene 4-stufige Begriffshierarchie.

Im Ergebnis ergaben sich elf Prüfungsbereiche, 34 Sachgebiete und 161 Teilsachgebiete. Die exakte Anzahl der Prüffelder wurde nicht erho-ben, diese dürfte aber deutlich über 500 liegen.

Es kristallisierte sich in der Konzeptionsphase schnell heraus, dass die frühere Handhabung der Risikobewertung auf Teilsachgebietsebene keine geeignete Ebene darstellen würde, da sich dort schon zu tiefgehende Fragestellun-gen auf Basis der darin abgebildeten Prüffel-der widerspiegeln würden. Damit liefe eine Planung auf Unternehmensebene Gefahr, von Einzelsachverhalten ggf. zu stark geprägt zu sein. Die Risikobewertung auf der Ebene des Prüfungsbereichs wurde wiederum als zu stark an der Oberfläche angesiedelt eingeschätzt, so dass schließlich die Sachgebietsebene als die geeignete ausgewählt wurde. Bei der Defini-tion der Sachgebiete wurde darauf geachtet, möglichst gleichgeartete Prozesse als Teilsach-gebiete aufzunehmen, so dass grundsätzlich eine Aussage über den Risikogehalt der bein-halteten Prozesse möglich erschien. In Fällen, wo die durchaus noch vorhandenen Prozess-unterschiede zu stark ausgeprägt sind, wird künftig zu entscheiden sein, ob die Risikobe-wertung auf Basis eines Mischwerts vorzuneh-men ist, oder ob es nicht sinnvoller ist, eigene Sachgebiete zu bilden. Dies werden die Praxis-erfahrungen zeigen müssen. Neben der Fest-legung der geeigneten Bewertungsebene wurden in diesem Zuge auch neue Fragen defi-niert, welche in die Risikobewertung einfließen sollten. Unverändert werden die Bewertungs-fragen auf einer Skala von 1-4 bewertet.

Die Erfahrungen mit der bisherigen Bewertung hatten aufgezeigt, dass die geringe Trennschärfe nicht nur durch die Bewertung auf der Teilsach-

gebietsebene bedingt war, sondern dass auch die Bewertungsfragen oftmals zu identischen Ergebnissen in der Mehrzahl der Fragen führ-ten. Dem sollte durch eine Weiterentwicklung der inhaltlichen Ausgestaltung Rechnung getra-gen werden. Folgende Fragen werden für die Risikobewertung in REDIS verwendet:

Bewertungsfragen in REDIS-ROPP (Risikoorientierte Prüfungsplanung)

1. Inhärentes Risiko – Bedeutung des Sach- gebiets

Dieses Kriterium beinhaltet die umfassende Beurteilung nach der gesamten Bedeutung des Sachgebiets, z. B. hinsichtlich der bein-halteten Risikoarten (Adressrisiken, Markt-preisrisiken etc.), der geschäftspolitischen Bedeutung und deren Abbildung in der Geschäftsstrategie, aber auch Themen wie Imagefragen oder die aufsichtsrechtliche Bedeutung.

2. Inhärentes Risiko – Risikogehalt des Sach - gebiets

In diesem Rahmen spielen die quantitativen Aspekte die wesentliche Rolle. Als Risikoquel-len sind die in der Risikostrategie definierte Risikoarten zu betrachten (z. B. Adressen-ausfallrisiken, Marktpreisrisiken, operatio-nelle Risiken). Neben der Betrachtung der bilanziellen Anteile, z. B. der geprüften Posi-tionen wird auch der Anteil an Erträgen und Aufwendungen ins Kalkül gezogen. Darü-ber hinaus kommt auch die eingangs auf-gezeigte Risikobetrachtung hinsichtlich Eintrittswahrscheinlichkeit und potenziel-lem Schaden zur Anwendung.

3. Inhärentes Risiko – Personal (Anforderun-gen an die qualitative und quantitative Aus- gestaltung)

Aufgrund des Geschäftsmodells einer regio-nal tätigen Universalbank kommt der Beur-teilung der qualitativen und quantitativen Personalausstattung (gem. MaRisk AT 7.1) eine hohe Bedeutung zu, insofern sollte auch dieser Aspekt in der Erfassung der Sollan-forderungen entsprechend berücksichtigt werden und Auswirkung auf die Prüfungs-intensität haben.

Die vorgenannten drei Kriterien waren schon im alten Modell der Bank enthalten. Die nach-

» Expertenschätzungen sind

durch einen hohen Grad an Subjektivität

geprägt. «

9 Die bisherige Prüfungslandkarte basierte auf dem Musterprüfungsplan des Deutschen Ge-nossenschaften- und Raiffeisenverbands. Dieser kann zwar als vollständig hinsichtlich der ent-haltenen Prüfungsgebiete betrachtet werden, jedoch ist dieser nicht prozessorientiert ausge-staltet, wie dies letztlich implizit in den MaRisk AT 4.4.3, Tz. 3 gefordert wird.

Beitrag


folgenden beiden Kriterien wurden neu aufgenommen.

4. Kontrollrisiko – Komplexität der Prozesse/Automatisierungsgrad der Prozesse

Da der Technisierungsgrad in den letzten Jahren stark zugenommen hat, wurde dieses Kriterium definiert um diesem Umstand Rechnung zu tragen. Zugleich zwingt es den Prüfer sich ein umfassendes Bild der einge-setzten Prozesse zu machen, was die Verzah-nung mit der prozessorientierten Prüfungs-landkarte entsprechend fördert. In Fällen, wo die Bewertung diametral verlaufen würde, z. B. bei sehr komplexen Prozessen, welche aber nahezu vollautomatisch abgewickelt werden, muss der Prüfer eine Entscheidung treffen, welcher Faktor schwerer wiegt und dies im Prüfungsprogramm dann entspre-chend berücksichtigen.

5. Kontrollrisiko – Verfahrensumstellung/ Per sonelle Veränderungen

Hier steht die Frage im Vordergrund, ob auf-grund der vorgekommenen Veränderun-gen zu erwarten ist, dass die Fehleranzahl im Prüfungs objekt anders ausfallen wird, als dies im Rahmen der letzten Prüfung der Fall war. Sofern die Interne Revision in den Verän-derungsprozess eingebunden war, kann hier ggf. eine reduzierte Risikobewertung vorge-nommen werden.

Diese fünf Fragen bilden den analytischen Rahmen zur Ausgestaltung der Aufbau- und Systemprüfung. Anhand dieser groben Risiko-einschätzung wird dann die vorläufige Prüfungs-strategie entwickelt und das geplante Arbeits-programm ausgestaltet.

6. Kontrollrisiko – Gesamtbeurteilung der Aus-gestaltung des internen Kontrollsystems

Dies stellt die komplexeste Fragestellung für den Prüfer dar, da er hier eine Gesamt-einschätzung aus der Aufbauprüfung geben muss. Dies beinhaltet u. a. die Beurteilung der Funktionstrennung und des Kompe-tenzsystems, die Ausgestaltung der schrift-lich fixierten Ordnung, die qualitative und quantitative Personalausstattung und ins-besondere die prozessspezifischen Kontroll-aktivitäten sowie deren Einbettung in den Risikomanagementprozess. Die besondere Herausforderung liegt darin, bei abweichen-

den Einschätzungen einzelner Bestandteile eine angemessene Gewichtung der einzel-nen Aspekte vorzunehmen und daraus die Gesamtbewertung abzuleiten.

Nach Beantwortung dieser Frage, kann der Prüfer eine Einschätzung des zu erwarte-ten Fehlerrisikos vornehmen und das vertret-bare Entdeckungsrisiko bestimmen. Dies stellt dann die Grundlage für die Finalisierung der Prüfungsstrategie und des Arbeitsprogramms dar. Die nächsten Fragestellungen zielen dann auf die konkrete Bewertung der Prüfungs-aspekte ab.

7. Prüfungsergebnis – Risikobehandlung (Methoden/Risikoverhalten)

Hier wird die angemessene Umsetzung der risikostrategischen Festlegungen beur-teilt. Dies schließt die eingesetzten Verfah-ren und Modelle ebenso ein, wie eine qua-litative Beurteilung des Risikoverhaltens der handelnden Personen.

8. Prüfungsergebnis – Wirksamkeit des Internen Kontrollsystems

Zielte die Frage 6 auf die aufbauorganisato-rische Ausgestaltung des IKS ab, so wird hier nun auf Basis der Funktions-/Einzelfallprü-fungen die tatsächliche Wirksamkeit der Kon-trollmaßnahmen evaluiert. Ebenso werden die Reportingstrukturen auf Angemessen-heit hin untersucht, also ob die Prozessver-antwortlichen angemessene Informationen über die Ergebnisse der Kontrollaktivitäten erhalten.

9. Prüfungsergebnis – Qualität der Arbeits- ergebnisse

Über die Wirksamkeitsfrage der internen Kontrollsysteme hinaus wird hier die Frage in den Raum gestellt, zu welchen Ergebnis-sen die Geschäftsaktivitäten geführt haben. Damit werden auch Wirtschaftlichkeitsas-pekte prüferisch abgedeckt und letztlich eine Aussage zur Umsetzung der Geschäftsstrate-gie getroffen.

Nach Beantwortung aller Fragen ergibt sich durch die Addition der Risikowerte letztlich ein Gesamtrisikoscore des Sachgebiets. Auf Unternehmensebene dient dieser dem Leiter der Internen Revision als Planungsgrund-lage. Gleichzeitig kann dieser im Rahmen der

Beitrag


PRÜFUNGSTIPPS

� Schaffen Sie über das Design der Prüfungslandkarte die Voraussetzungen dafür, eine konsistente und valide Risiko-bewertung einzuführen.

� Nehmen Sie die Bewertung auf einer geeigneten Ebene vor. Diese sollte nicht zu weit oben liegen, damit eine sinnvolle Abgrenzung der Prozesse vorliegt. Gleichwohl sollte der Ansatzpunkt nicht zu tief gewählt werden, damit das Modell handhabbar bleibt.

� Definieren Sie Risikoindikatoren, welche die Risikolage Ihrer Prüfungsgebiete möglichst gut abbilden. Hierbei ist weni ger oft mehr!

� Achten Sie auf Konsistenz zu anderen im Unternehmen verwendeten Modellen, um die Gefahr zu großer Abweichungen in der Risikoeinschätzung zu minimieren.

� Verproben Sie nach Einführung des Bewertungsmodells kontinuierlich die Ergebnisse, um Anpassungsbedarf früh zeitig zu erkennen.

Qualitätssicherung nachvollziehen, wie der Prüfer methodisch vorgegangen ist und ob die getroffenen Einschätzungen anhand der Arbeitspapiere hinreichend nachvollziehbar sind.

Im Zuge der Neuausrichtung des Risikobe-wertungsmodells hat sich die Gewichtung der Beurteilungsaspekte deutlich geändert. Lag diese in der Vergangenheit bei 50/50 was das Verhältnis von der Risikoanalyse zu Prüfungs-ergebnissen angeht, beträgt diese nun 1/3 zu 2/3 zu Gunsten der Prüfungsergebnisse. Damit ist beabsichtigt, die tatsächlich im Rahmen der Prüfung vorgefundene Risikolage stärker zu berücksichtigen. Für die Prüfungsplanung ergibt sich somit auch eine Planungsgrundlage, welche die Ist-Verhältnisse stärker berücksich-tigt, als potenzielle Risiken. Hier gilt es anhand des Rankings der Prüfungsobjekte zu beobach-

ten, ob die Ergebnisse in sich stimmig sind und als valide angesehen werden können, oder ob auch hier ggf. Nachjustierungsbedarf entsteht.

V. Fazit

Die Interne Revision muss ein konsistentes Modell zur Bewertung der Prüfungsobjekte vorweisen können, um die MaRisk-Anforde-rung der risikoorientierten Prüfungsplanung erfüllen zu können. Die Risikobewertung sollte dabei eine angemessene Trennschärfe zwischen den einzelnen Bewertungsobjekten herstellen, so dass ein angemessenes Ranking auf der gewählten Bewertungsebene möglich ist. Bei der Einführung eines neuen bzw. Weiter-entwicklung eines bestehenden Modells ist die Bewertungsmethodik zu validieren um even-tuellen Nachjustierungsbedarf zu erkennen. £

Beitrag


I. Spannungsfeld – Nutzen und Risiko der Individuellen Daten-verarbeitung

w Es gibt einige Konstanten, die bei Revi-sionsprüfungen regelmäßig in Erscheinung treten. Eine besonders ausgeprägte Präsenz haben Anwendungen, die außerhalb der zen-tralen Unternehmens-IT in den Fachberei-chen entwickelt werden und dort eine wich-tige Rolle einnehmen. Für diese Art der IT wird im Folgen den der gebräuchliche Begriff „Indi-viduelle Datenverarbeitung“ (IDV) verwendet. Die Leistungsfähigkeit der für die Fachbereiche verfügbaren Möglichkeiten zur Entwicklung von technischen Hilfsmitteln am Arbeitsplatz nimmt stetig zu. Waren es früher nur Tabel-lenkalkulationen mit einfachen Rechenfunk-tionen, die als Hilfsmittel zur Verfügung stan-den, bieten viele IT-Arbeitsplätze heute sehr viel weitergehende Möglichkeiten. Unter Ein-satz von Office-Programmen, Workflow-Syste-men und Anwendungen zur Datenanalyse ent-stehen oft sehr leistungsfähige und komplexe IT-Lösungen, welche die Fachbereiche wirk-sam unterstützen und schwer verzichtbar sind. Für die Fachbereiche stehen bei der Entschei-dung zwischen der Beauftragung der zentra-len Unternehmens-IT und der eigenen Entwick-lung zumeist die Vorteile der IDV (Flexibilität und Agilität) im Vordergrund, während mög-liche Nachteile (Risikokosten, Sicherheit oder Probleme der Wartung und Weiterentwicklung) vernachlässigt werden. Die zentrale Unterneh-mens-IT steht der Verbreitung von IDV oft kri-tisch gegenüber, da sie basierend auf ihrem Expertenwissen die Risiken klarer sieht und treffender einschätzen kann. In diesem Span-nungsfeld lassen sich bislang keine allgemein-gültigen Lösungen erkennen, die Nutzen und Risiko von IDV sicher in Einklang bringen.

Dieser Beitrag stellt einen Prüfungsansatz zur Diskussion, der auf die Untersuchung der Ur sachen eines zu weitgehenden Einsatzes von IDV zielt. Hierzu dient eine Top-Down-Betrach-tung von der Strategieebene des Unterneh-mens bis zur Programmierung im Fachbereich.

II. Ausgangssituation

Die mit der Nutzung von IDV einhergehenden Probleme und die damit verbundenen Risiken sind vielfältig und beschäftigen die Interne Revision besonders im Finanzumfeld seit vielen Jahren. In jüngerer Vergangenheit hat das Thema an Brisanz gewonnen, da IT- Risiken immer stärker in den Vordergrund treten. Auch wird deutlich, dass sich die Finanzaufsicht bei ihren Prüfungen der IDV mit großer Aufmerk-samkeit widmet.

Bevor die Aufmerksamkeit auf die Spezifika der IDV gerichtet werden sollen, ist es hilf-reich, sich die Vorzüge einer professionellen Entwicklung von Anwendungen mittels geord-neter Verfahren einer zentralen Unternehmens-IT vor Augen zu führen. Unabhängig auf wel-chen anerkannten Rahmenwerken, Standards oder Vorgaben die Entwicklung basiert (u. a. OPDV, IDW RS FAIT, IDW PS 330, GOB, GoBS, DIN 6623x) werden wichtige Aspekte zur Mini-mierung von Verarbeitungsfehlern und zur Gewährleistung der System- und Datensicher-heit berücksichtigt:

� Programmierung basierend auf qualitäts-gesicherten Fach- und IT-Konzepten.

� Geordnete und dokumentierte Tests der Pro-grammverarbeitung auf korrekte Funktion.� Programmierung nach definierten Verfah-

ren mit wirksamer Qualitätssicherung.� Produktionseinführung nur nach Freigabe

durch Fachbereich und IT.� Stringente Kontrollen bei allen risikorele-

vanten Prozessschritten.� Umfassende Dokumentation (z. B. für Kon-

zepte, Programmierung und Tests).� Strikte Trennung von Programm und Daten.

Zentralisierte Datenhaltung mit Vermei-dung unnötiger Redundanz.� Strikte Trennung von Entwicklungs-, Test-,

Abnahme- und Produktionsumgebungen.� Schutz von Systemen und Daten durch

Zugriffsschutzverfahren.� Gewährleistung der Trennung unverein-

barer Funktionen.

Individuelle Datenverarbeitung

Autor:

Thomas Liebe, Leiter Revision IT, Abteilung Revision IT und Konzern angelegenheiten, Tätigkeitsschwerpunkt: IT-Kernprozesse & IT-Betrieb, Landesbank Baden-Württemberg.

Von der Geschäftsstrategie bis zur Programmierung.






Beitrag


� Nachvollziehbarkeit von relevanten System-ereignissen (Ausfälle, Störungen, Zugriffs-verletzungen).� Betrieb in geschützten Umgebungen mit

definierter Verfügbarkeit und räumlichem Schutz.

Diese Liste kann noch fortgeführt werden, zeigt aber bereits in diesen wenigen Punkten die Anforderungshöhe. Allen großen Unter-nehmen der Finanzindustrie ist gemein, dass die Ordnungsmäßigkeit der Entwicklung und des Betriebs von Anwendungen eine hohe Bedeutung hat. Trotz der sehr unterschiedli-chen Situationen der einzelnen Unternehmen kann hier eine ausgeprägte Professionalität vor-ausgesetzt werden, die auch eine Standardisie-rung in den Prozessen und Verfahren in der IT zur Folge hat. Im Gegensatz zur geordneten Welt der zentralen Unternehmens-IT steht oft die Anwendungsentwicklung in den Fachbe-reichen. Auch hier sollen kurz einige Merkmale beispielhaft skizziert werden:

� Kein ausgeprägtes IT-Wissen: Besonders die Bedeutung der Verfahren einer zentralen IT (vom Anforderungsmanagement über Ent-wicklung und Test bis zum RZ-Betrieb) wird oft nicht ausreichend gewürdigt.� Fehlende Standards oder das unzurei-

chende Verständnis für deren sachge-rechte Anwendung führt in der Folge zu wenig wirksamen Qualitäts- und Kontroll-verfahren.� Eine geringe Unterstützung mit Verfah-

ren und Werkzeugen erfordert manuelle Hilfslösungen mit entsprechenden Ein-schränkungen im Hinblick auf Effizienz und Qualität.� Nutzung von Trägersystemen wie Office-

Anwendungen, die auf Grund ihrer grund-legenden Konzeption auf einfache Bedi-enbarkeit und schnelle Lösungsfindung ausgelegt sind und wenig Unterstützung für die Erfordernisse des Einsatzes in risi-kokritischen Umfeldern bieten.� Das gängige Einsatzumfeld von IDV-Anwen-

dungen ist die „übliche“ Umgebung eines PC-Arbeitsplatzes, welcher als Basis des Umgangs mit Geschäftsdaten aus einem Dateisystem besteht. Kennzeichnend für solche Arbeitsumgebungen sind deren umfassende Freiheitsgrade, welche in einem latenten Konflikt mit den Anfor-

derungen an eine ordnungsgemäße An wendungsentwicklung stehen.

Ein entscheidender Unterschied zwischen zent-raler IT und IDV besteht in der Wirksamkeit von Qualitätssicherungsverfahren und Kontrollen. Während die stringenten Prozesse einer zent-ralen IT Aspekte wie Qualität, Ordnungsmäßig-keit und Effizienz als Kernelement fest integriert haben, müssen diese in der Welt der IDV in ein loses Gefüge aus schwach definierten Prozes-sen und offenen Systemumgebungen mühsam integriert werden. In der Folge gewährleistet die zentrale IT Qualität und Ordnungsmäßig-keit fast zwangsläufig, während die IDV auf einer sehr viel volatileren Basis aufbaut. Der zugegebenermaßen unvollständige Vergleich der Spezifika zwischen zentraler, professionel-ler IT und dem Umfeld in den Fachbereichen macht den grundlegenden Konflikt deutlich: Es ist offensichtlich, dass für eine ordnungsge-mäße IDV schlechte Ausgangsvoraussetzungen bestehen. Die Prüfungserfahrungen der Inter-nen Revisionen und Erkenntnisse aus Prüfun-gen der Finanzaufsicht lassen erkennen, dass trotz vieler Bemühungen um eine Professiona-lisierung der IDV keine Hoffnung auf durchgrei-fende Besserung angebracht ist. Zusammenfas-send kann bereits hier konstatiert werden, dass die IDV noch immer ein ungelöstes Problem ist.

Bei Revisionsprüfungen liegt der Untersu-chungsschwerpunkt oft auf den o. g. Besonder-heiten der Trägersysteme und des Einsatzum-felds (d. h. den IT-Arbeitsplatzumgebungen in den Fachbereichen). Prüfungsinhalte wie Pro-grammiervorgaben, der Grundsatz der Tren-nung von Programm und Daten, Qualitätssi-cherung, Test, Versionierung, Berechtigungen, Schutz der Daten und sonstige Aspekte sind regelmäßig anzutreffen. Die Erfahrung aus der Prüfungspraxis zeigt, dass hier eine fast uner-schöpfliche Quelle von Mängeln auszumachen ist; kaum ist ein Problem gelöst, taucht bereits ein anderes auf. Offensichtlich sind auf der Ebene der Konzeption, Implementierung, Test und Betrieb im IDV-Umfeld keine Durchbrüche zum Besseren zu erwarten. Somit bietet sich hier eine Fragestellung an, die auf die Ursachen abzielt: Warum tritt IDV überhaupt in bedeu-tendem Umfang auf? Gibt es Möglichkeiten auf die Randbedingungen einzuwirken und damit die IDV in einem besser steuerbaren Rahmen zu halten?

» Während die stringenten Prozesse

einer zentralen IT Aspekte wie Qualität,

Ordnungsmäßigkeit und Effizienz

als Kernelement fest integriert haben,

müssen diese in der Welt der IDV in ein volatiles Gefüge aus schwach definierten

Prozessen, offenen Systemumgebungen

und eingeschränktem ITWissen eingepasst werden. «

Beitrag


III. Einflussfaktoren – was wirkt auf die IDV?

Auf Grund der oben angerissenen grundsätzli-chen Problematik der IDV und der Erfahrungs-situation aus der Prüfungspraxis bieten sich Prüfungsansätze an, die einen ausgeprägten Top-Down-Ansatz verwenden und die generel-len betrieblichen Besonderheiten in den Vor-dergrund stellen.

Zuerst ist es hilfreich, die wesentlichen Einfluss-faktoren für den Einsatz von IDV zu kennen. An dieser Stelle ist dies eine Sammlung von Stichworten die noch keiner engeren Kategori-sierung oder Wertung (z. B. einer Charakterisie-rung als Risiko) unterworfen werden. Auf einer sehr hohen Ebene sind die in Abb.1 aufgezeig-ten Faktoren festzumachen, die bei mittleren bis großen Unternehmen der Finanzindustrie regel mäßig Relevanz haben. Das Beispiel zeigt eine Sammlung generischer Einflüsse, die in die-ser Kombination oft in Erscheinung treten. Für eine konkrete Prüfung ergänzen die jeweiligen betriebsspezifischen Themen diese Sammlung.

� Leistungsangebot der IT: Die Motiva-tion der Fachbereiche, IDV in größerem Umfang zu betreiben, kann in der einge-schränkten Leistungsfähigkeit der zentra-len Unter nehmens-IT begründet sein. Je leistungsfähiger eine zentrale IT ist, d. h. je besser, schneller und effizienter sie fach-liche Lösungen bereitstellen kann, desto

weniger Bedarf werden die Fachbereiche an eigener Entwicklung haben.� Betriebliche Erfordernisse: Primärer Trei-

ber für die Nachfrage der Fachbereiche an IT-Lösungen sind deren Erfordernisse an die Prozessunterstützung. Die betrieblichen Erfordernisse sind hinsichtlich Umfang und Ausgestaltung eine variable Größe mit großer Schwankungsbreite. Regelmäßig for-dern die Fachbereiche eine hohe Agilität und Flexibilität von der IT. Zudem müssen die von der IT bereit gestellten Lösungen auch die fachlichen Anforderungen pass-genau erfüllen.� Strategie: Neben den spezifischen Anforde-

rungen der einzelnen Fachbereiche beste-hen übergreifende Unternehmenserforder-nisse in Form strategischer Festlegungen, welche ebenfalls Anforderungen an die IT-Erfordernisse der Fachbereiche zur Folge haben. Darüber hinaus stellt der Rahmen der schriftlich fixierten Ordnung formale Anforderungen.� Externe Einflussfaktoren: Seit der Finanz-

krise entwickelt sich das regulatorische Umfeld mit großer Dynamik. Dies betrifft sowohl die Stringenz der Anforderungen als auch die Häufigkeit von Änderungen. Neben gesetzlichen und aufsichtlichen Normen bestehen Standards (z. B. Anfor-derungen an den IT-Grundschutz durch das BSI), die zu berücksichtigen sind.� Best Practice: Einen schwer messbaren,

aber doch deutlichen Einfluss haben allge-

» Die Einflussfaktoren auf die IDV bieten einen Ausgangspunkt für einen TopDownPrüfungs ansatz, der die betrieblichen Besonder heiten in den Vordergrund stellt. «

Abbildung 1: Übersicht relevanter Einflussfaktoren

Beitrag


» Das immerwährende Korrigieren

von Fehlern auf der Ebene der IDV

Implementierung ist langfristig nicht ziel

führend und kann zu einem ständigen

„ Herumbasteln“ und „Pflaster kleben“ führen. Wichtig ist vielmehr die

Bereini gung der Ursachen eines zu

weit führenden IDVEinsatzes. «

mein akzeptierte Best-Practice-Verfahren. Diese können auf Rahmenwerken wie COBIT oder ITIL beruhen oder auch das Verhalten anderer Unternehmen im Markt. Derartige Einflüsse haben oft einen eher mittel- bis langfristigen Einfluss.

Diese generellen Einflussfaktoren bieten einen Ausgangspunkt für einen breiter gefassten Prüfungsansatz, der mehr die Ursachen der betrieblichen IDV in den Vordergrund stellt. Sind die Ursachen für eine über das vertretbare Maß gehende IDV ermittelt, können daraus Maßnahmen zur Problembehebung abge-leitet werden. Bedeutend ist der Prüfungsan-satz besonders für die Geschäftsleitung, da nur auf der oberen Ebene der Steuerung die Wei-chenstellungen für die Ursachenbehebung getroffen werden können. Das immerwäh-rende Korrigieren von Fehlern auf der unteren Detailebene ist langfristig nicht zielführend und kann leicht zu einem ständigen „Herum-basteln“ und „Pflaster kleben“ führen, ohne eine nachhaltige Verbesserung zu erreichen. Ergänzt werden kann dieser Top-Down Ansatz durch die Untersuchung der konkreten IDV-Situation in den Fachbereichen. Somit kann im Rahmen einer Systemprüfung der strategische und organisatorische Rahmen der IDV betrach-tet werden, während eine ergänzende Funkti-onsprüfung die tatsächliche Implementierung der IDV in den Fachbereichen untersucht und bewertet. Eine derartige Zweiteilung zwischen System- und Funktionsprüfung ist bei IDV von

besonderem Vorteil, da ermittelt werden kann, ob die Vorgaben zur IDV-Entwicklung (und die Unterstützungsleistung der zentralen IT) ange-messen und anwendbar sind.

IV. Prüfungsansatz – von der Stra-tegie bis zur Programmierung

Unter Berücksichtigung der Einflussfaktoren im Kontext der IDV, verbunden mit einem kom-binierten System- und Funktionsprüfungsan-satz, kann die Top-Down-Vorgehensweise wie in Abb. 2 festgelegt werden. Die hier gewählte Aufteilung zwischen Strategie, Konzeption, Steu-erung und Funktion ist nicht zwingend und kann variiert werden; so ist auch die Anlehnung an ein Rahmenwerk wie COBIT möglich. Grundle-gende Maßgaben sind den diversen Strategien vorbehalten. Auf Grund der Gewichtigkeit von IDV und der aus dem IDV-Einsatz stammenden Bedrohungen sollten sowohl die Geschäfts- als auch die IT-Strategie die Thematik konsistent behandeln. Für die zentrale IT und die einzelnen Fachbereiche sollte hier ein Rahmen gegeben werden, der als Ausgangspunkt für Konzeption und Steuerung dient. Derartig grundlegende Maßgaben sind wichtig, da sonst entstehende Unsicherheiten die Quelle von ständigen Rei-bungen zwischen zentraler IT und Fachberei-chen sind. Hier ist die Richtlinienkompetenz der zentralen Unternehmens-IT zu berücksichtigen – nur diese hat i. d. R. die IT-fachliche Kompetenz, die Möglichkeiten und Risiken zu bewerten und

Abbildung 2: Ebenen der Prüfung

Beitrag


ist durch ihre Stellung in der Betriebsorganisa-tion zudem auch für die Unterstützung der Fach-bereiche in Sachen IT zuständig.

Aus den Anforderungen der Strategien muss der entsprechende Rahmen für die Integra-tion der IDV in die Aufbau- und Ablauforgani-sation geschaffen werden. Dies beinhaltet u. a. eine zentrale Verantwortlichkeit für das Themen-gebiet mit entsprechender Richtlinienkompe-tenz. Es ist erfahrungsgemäß kritisch, die Ver-antwortlichkeit für das Themengebiet zwischen zentraler IT, Betriebsorganisation und den Fach-bereichen „schweben“ zu lassen. Steuerungs-instrumente zum IDV-Einsatz sollten mind. die Aspekte Risiko und Wirtschaftlichkeit bewerten. Die Beleuchtung der Risiken obliegt regelmäßig einer Schutzbedarfsanalyse. Die Wirtschaftlich-keitsbetrachtung kann mittels eines Business Case durchgeführt werden, in dessen Rahmen eine Abwägung von Kosten und Nutzen erfolgt. Kosten-Nutzen-Analysen sind nicht trivial, können aber zu einer realistischen Sicht auf die Entwicklung von IDV-Anwendungen führen. Besonders oft nicht berücksichtigte Kosten wie die langfristige Wartung und Weiterentwicklung können dann in das Bewusstsein treten.

Strategien, Konzepte und die Werkzeuge der Steuerung geben damit den Soll-Zustand vor und sind Teile der Systemprüfung. Die Anwen-dung der IDV in den Fachbereichen zeigt prü-ferisch den Ist-Zustand und bildet damit den Funktionsteil der Prüfung. Aus den Erkenntnis-sen der Funktionsprüfung ist der Rückschluss auf die Tauglichkeit des steuernden Rahmens mög-lich. Die Funktionsprüfung folgt bewährten Prü-fungsmethoden und bewertet letztendlich die Anwendung der Vorgaben und die tatsächliche Implementierung der IDV-Systeme. Eine oft anzu-treffende Komplikation ergibt sich aus der Unsi-cherheit, in welchem Umfang IDV überhaupt ein-gesetzt wird. Auch wenn eine „Meldepflicht“ für IDV-Anwendungen besteht und diese in einem zentralen Register geführt werden, ist es nicht zielführend, sich darauf zu verlassen. Durch die Freiheitsgrade in den Fachbereichen hinsichtlich des Einsatzes von Office-Anwendungen ist nicht zwingend davon auszugehen, dass tatsächlich eventuell bestehenden Registrier- und Melde-pflichten nachgekommen wird. Somit ist es bei einer Prüfung erforderlich, mittels technischer Maßnahmen potenziell risiko- oder geschäfts-kritische Anwendungen zu identifizieren.

V. Kernfragen – Inhalte der Berichterstattung

Mit den wichtigen Einflussfaktoren und deren Detaillierung (ggf. mit einer zusätzlichen Ge wichtung) lassen sich Kernfragen1 ableiten, welche die Berichterstattung an die Geschäfts-führung und die betroffenen Organisationsein-heiten beantworten sollten:

Entstehen aus der aktuellen Ausgestaltung der IT in den Fachbereichen unverhältnismäßige Risi-ken? Welcher Handlungsbedarf besteht?

Dies bildet die zentrale Aussage aus einer Unter-suchung der IDV – hier trifft die Prüfung eine geschlossene Aussage über das Prüffeld und nennt den Handlungsbedarf in komprimierter Form. Die Antworten auf die folgenden Kernfra-gen dienen dann zur Detaillierung der Aussage.

Ist sichergestellt, dass das von der IT bereitge-stellte Leistungsangebot geeignet ist, den Anfor-derungen der Fachbereiche zu genügen?

Der umfassende Einsatz von IT erfolgt nicht zufällig oder aus reiner Leichtfertigkeit der Fachbereiche. IDV in geringem Umfang ist nicht ungewöhnlich, da wenig komplexe oder trivi-ale Aufgabenstellungen eine Umsetzung durch die zentrale IT wenig sinnvoll erscheinen lassen. Wenn aber zunehmend komplexe oder risiko-behaftete Aufgabenstellungen mittels IDV rea-lisiert werden, kann dies auf Schwachstellen der zentralen IT hindeuten. Dies kann durch Lücken im aktuellen Anwendungsportfolio, Schwächen im Anforderungsmanagement oder durch mangelnde Agilität oder Qualitätsdefizite der Umsetzung verursacht sein. Da Schwächen der zentralen IT schwer wiegen, sollte dieser Aspekt intensiv untersucht werden.

Besteht eine definierte strategische Ausrichtung zur Aufstellung der IDV in den Fachbereichen, welche die betrieblichen Erfordernisse, das Leis-tungsangebot der IT, externe Anforderungen und die Risikolage in Einklang bringen?

IDV kann bei richtiger Anwendung von erhebli-chem Nutzen sein, und bei falscher Anwendung erhebliche Risiken zur Folge haben. Daher ist es erforderlich, den Einsatz von IDV bewusst zu steuern. Um hier einen klaren Ausgangspunkt für die Fachbereiche und die IT zu schaffen,

» Der Einsatz von IDV muss im Hinblick auf Risiken und Kosten vertretbar sein. Hilfs mittel zur Wertung sind daher Risikoanalyse und Business Case. «

1 Kernfragen sind der Ausgangspunkt für die zen-tralen Aussagen des Prüfungsberichts. Diese dienen der Prüfungsleitung als „virtueller Anker“ und sollen sicherstellen, dass die Richtung der Prüfung während der Durchführung und Be-richtserstellung im Fokus bleibt, die wichtigen Themen umfassend beleuchtet werden und der Bericht eine geschlossene Aussage über das ge-prüfte Themengebiet liefert.

Beitrag


muss der Umgang mit IDV in den Strategien des Unternehmens Berücksichtigung finden. Während die Geschäftsstrategie festlegt wo und in welchem Umfang IDV möglich ist, defi-niert die IT den Rahmen der Implementierung.

Sind die Regelungen und Rahmenbedingun-gen zur IDV geeignet sowohl die Entwicklung als auch den Betrieb von IDV so zu unterstützen, dass einerseits die Risikosituation beherrschbar bleibt und gleichzeitig die Erfordernisse der Fachberei-che unterstützt werden?

Die Freiheiten der Anwendungsentwicklung in den Fachbereichen sind der zentrale Vor-teil für die Fachbereiche und gleichzeitig die offensichtliche Risikoquelle. Um eine vernünf-tige Balance zwischen Freiheiten und Risiken zu finden, sind zwei Aspekte bedeutsam: Das Regelungs- und Steuerungsumfeld sowie die Tauglichkeit der den Fachbereichen zur Verfü-gung stehenden Hilfsmittel zur Entwicklung. Während das Regelungswesen geordnete Prozesse (mit entsprechenden Kontrollen) zur Sicherung der Ordnungsmäßigkeit, Qualität und Effizienz unterstützen soll, müssen tech-nische Hilfsmittel bereit stehen, die den Fach-bereichen eine geordnete Programmierung

und einen sicheren IT-Betrieb ermöglichen. Es ist definitiv nicht zielführend, den Fachberei-chen lediglich Vorgaben aufzuerlegen, ohne diese mit Hilfsmitteln auszustatten und geeig-nete Beratung bzw. Unterstützung anzubieten.

VI. Fazit

Die Ursachen von IDV sind vielfältig, daher ist eine alleinige Prüfung der IDV-Verwendung in den Fachbereichen oft nicht ausreichend. Erst ein weiter gefasster Prüfungsansatz zeigt die möglichen Ursachen auf und gibt der Geschäfts-leitung, der zentralen IT und den Fachberei-chen damit eine Handhabe, die Thematik so zu gestalten, dass ein vertretbarer Kompromiss zwi-schen den Vorteilen von IDV und deren Risiken gefunden werden kann. Eine Bereinigung der Gründe einer zu weitgehenden IDV, die Berück-sichtigung wirtschaftlicher Gesichtspunkte mit-tels realitätsnaher Business-Cases und die Unter-stützung der Fachbereiche durch die zentrale IT können die Risikosituation im Umfeld der IDV wirksam entschärfen. Die Interne Revision kann durch ihre Prüfungstätigkeit dazu beitra-gen, Verbesserungspotenziale aufzudecken und die Risiken des IDV-Einsatzes zu minimieren. £

PRÜFUNGSTIPPS

� Berücksichtigen Sie bei der Prüfungskonzeption einen weit gefassten Prüfungsansatz, der alle möglichen Ebenen der IDV-Nutzung einbezieht. Günstig ist ein Top-Down-Ansatz, der bei den Unternehmensstrategien beginnt und bis zur eigentlichen IDV-Nutzung in den Fachbereichen reicht.

� Die Themen der Strategie, Konzeption und Steuerung der IDV sind stark konzeptionell geprägt und eignen sich für eine Systemprüfung. Eine ergänzende Funktionsprüfungssicht, bei der die IDV-Verwendung in den Fachbereichen im Vorder-grund steht, kann diese Systemsicht ergänzen und dient zur Bewertung der Anwendbarkeit von Strategien und Vorgaben.

� Maßgeblich für die Bewertung der Nutzung von IDV sind eine Risikoanalyse und ein Business Case. Die Risikoanalyse muss zeigen, dass keine unvertretbaren Risiken entstehen, während der Business Case die wirtschaftliche Tragfähig-keit im Sinne einer Kosten-Nutzen-Analyse bewertet. Beide Bewertungsverfahren können sowohl im Einzelfall für eine konkrete Problemstellung (z. B. eine Anwendung) verwendet werden, als auch eine betrieblich übergreifende Gesamt-betrachtung auf strategischer Ebene (Unternehmensentscheidung der grundsätzlichen IDV-Nutzung) unterstützen.

� Der Einsatz von IDV-Anwendungen sollte in ein Life-Cycle-Management eingebunden sein. In diesem Rahmen sind regel-mäßige Reviews des IDV-Einsatzes notwendig, bei denen die einzelnen Anwendungen hinsichtlich Ordnungsmäßigkeit und Kosten (für Wartung, Weiterentwicklung, Risikokosten) bewertet werden. Es ist dann zu entscheiden, wie mit einzelnen Anwendungen weiter verfahren wird (Übergabe an IT, weitere Wartung im Fachbereich, Außerbetriebssetzung, Auslagerung).

� Bei der Untersuchung der Motive einer zu weitgehenden IDV-Nutzung sollte die Leistungsfähigkeit der zentralen Unter-nehmens-IT und deren Angebot an Anwendungslösungen berücksichtigt werden.

Beitrag


I. Einleitung

w Revisionsberichte sind wesentlicher Infor-mationsträger für Prüfungsergebnisse und damit entscheidend für die Wirksamkeit der Internen Revision und ihre Wahrnehmung bei internen und externen Stakeholdern. Sie lie-fern Transparenz und bringen die Kompetenz und Verlässlichkeit der Innenrevisionsfunktion zum Ausdruck. Klare und prägnante Botschaf-ten, leserorientierte Argumentationen, nach-vollziehbare Ursachen-Wirkungs-Zusammen-hänge sowie konsistente und verständliche Aussagen zu Materialität und Auswirkun-gen von Schwachstellen und deren Lösung sind wesentliche Elemente zielführender Revisionsberichte.

Die Art des Berichtschreibens und v. a. die Klar-heit und Prägnanz der Berichtsaussagen beein-flusst dabei wesentlich auch das Prüfungsvor-gehen selbst. Ein beschreibender, an Formalien

orientierter und von den Aussagen her vage formulierter Prüfungsbericht erlaubt es dem Prüfer, auch prüferisch an der Oberfläche zu bleiben. Punktuierte, interpretationsfreie und bewertende Aussagen erfordern es dagegen, dem Prüfungsgegenstand sowie möglichen Schwächen und deren Ursachen nachhaltig auf den Grund zu gehen. Berichtsvorgaben im Sinne dieses Beitrags können damit auch ein Hebel zur Steigerung der Effektivität und Nach-haltigkeit der Prüfungstätigkeit selbst sein.

Ziel des vorliegenden Beitrags sind konkrete Ansätze und Denkanstöße für das Schrei-ben von Revisionsberichten. Dies intendiert in keinster Weise, den persönlichen Schreib-stil erfahrener Prüfungsleiter in Frage zu stel-len. Allerdings macht der Autor selbst immer wieder die Erfahrung, wie wichtig es ist, sich gewisse Kernelemente der Berichtsschreibung immer wieder aktiv und bewusst ins Gedächt-nis zurück zu rufen.

Report Writing – mehr als nur eine Stilfrage

Autor:

Dr. Michael Schiwietz, Leiter Kreditrevision, UniCredit Bank AG, München. Täglich mit der Erstellung effektiver, zielgerichteter Revisions-berichte und damit verbundener Herausforderungen konfrontiert. Maßgeblich beteiligt an der Erarbeitung gemeinsamer gruppen- weiter Bericht standards in der UniCredit Gruppe.

Gedanken zum zielführenden Formulieren klarer, leserorientierter Revisionsberichte.

Abbildung 1: Von der Information zur Handlungsaufforderung






Beitrag


II. Zentrale Frage: Für wen schreibe ich?

Ausgangspunkt aller Überlegungen zum Berichtschreiben ist stets eines: der Leser, dessen Bedürfnisse und Erwartungen. Um zutreffend verstanden und wahrgenommen zu werden, ist es entscheidend, aus dem Blick-winkel des Lesers zu kommunizieren und dabei dessen subjektiven Kenntnis- und Erfahrungs-stand zu berücksichtigen. Für wen schreibe ich? Was benötigt und was erwartet der Leser? Kommen meine Botschaften an, und wie kommen sie an? Erwecke ich die erforderli-che Aufmerksamkeit für Problembereiche mit besonderem Handlungsbedarf? Diese zentra-len Fragen sollten im Fokus stehen. Andernfalls besteht das Risiko der Pseudokommunika-tion – „I write myself a letter“ – vorbei an den Bedürfnissen des Empfängers.

Ziel eines Revisionsberichts ist es, den Leser über die wesentlichen Prüfungsergebnisse zu informieren und – wo erforderlich – davon zu überzeugen, erforderliche Aktionen zu ergrei-fen. Klarheit und Transparenz über Materialität und potenzielle Auswirkungen von Schwach-stellen spricht den Leser auch auf der emoti-onalen Ebene an („oh wow!“ statt „so what?“). Information, Emotion, Handlungsaufforderung – die Kernelemente der Werbebranche gelten im Grundsatz auch bei Revisionsberichten (vgl.

Abb. 1). Ein in dieser Hinsicht überzeugend for-mulierter Bericht ist Auslöser zielführender, an den Problemursachen ansetzender Maßnah-men. Ein schlecht oder unklar formulierter Bericht resultiert dagegen oft in fehljustierten, oberflächlichen oder überhaupt keinen Maß-nahmen. Im Gegensatz zu literarischen Texten, die primär ein Objekt der Verwirklichung des Autors darstellen, liegen Sinn und Wert eines Revisionsberichts in der Klarheit der Informa-tion für den Leser sowie in dessen konkreter Aufforderung zum Handeln.

Die IIA Standards1 sehen vor, dass Revisions-berichte Beurteilungen, Schlussfolgerungen und Empfehlungen des Prüfers enthalten, die den Erfordernissen der leitenden Führungs-kräfte, der Geschäftsleitung, des Überwa-chungsorgans und anderer relevanter Inter-essensgruppen entsprechen. An erster Stelle stehen also die für den Leser tatsächlich rele-vanten Informationen in einer für ihn nachvoll-ziehbaren und verständlichen Art und Weise.

1. Relevanz für den Leser

Entscheidend dafür, was tatsächlich berichtens-wert ist, ist die Relevanz für den Leser: Was muss und was will der Leser wissen? Dies erfordert ein Gespür für Substanz und Prioritäten beim Schreiber. Ein mit unbedeutenden Prüfungs-

1 Vgl. Standard 2410 des Institute of Internal Auditors (IIA).

» Die IIA Standards sehen vor, dass

Revisions berichte Beurteilungen,

Schlussfolgerungen und Empfehlungen

des Prüfers enthalten, die den Erforder

nissen der leitenden Führungskräfte,

der Geschäftsleitung, des Über

wachungsorgans und anderer relevanter

Interessens gruppen entsprechen. «

Abbildung 2: Die IIA-Standards zu Revisionsberichten (Auszug)

IIA Standard

Anforderung an Revisionsberichte

2400 Die Berichterstattung muss Ziele und Umfang sowie Schlussfolgerungen, Empfehlungen und Aktionspläne enthalten.

2410 A1 Der Schlussbericht muss, soweit angebracht, die Beurteilung und/oder Schlussfolgerung des Revisors enthalten. Diese müssen die Erwartungen der leitenden Führungskräfte, der Geschäftsleitung und des Überwachungsorgans sowie von anderen Interessengruppen berücksichtigen.

2410 C1 Form und Inhalt der Berichterstattung können abhängig von der Art des Auftrags und den Bedürfnissen der Kunden variieren.

2420 Revisionsberichte müssen richtig, objektiv, klar, prägnant, konstruktiv und vollständig sein und zeitnah erstellt werden.

2440 Der Leiter der Internen Revision muss alle zweckmäßigen Parteien über die Ergebnisse informieren.

2450 Negative Beurteilungen müssen begründet werden.

Beitrag


beobachtungen und beschreibenden Details überfrachteter Revisionsbericht läuft Gefahr, den Blick auf das Wesentliche zu verstel-len. Weniger Umfang bedeutet oft mehr Klar-heit und Fokussierung im Inhalt. Substanz ent-scheidet, nicht Umfang. Wichtige Botschaften müssen deutlich, klar und selbsterklärend zum Ausdruck kommen einschließlich der für den Leser relevanten Hintergrundinformationen.

Zweifelsfrei bestehen gerade hinsichtlich der Berichtsdetails unterschiedliche Erwartungen abhängig von Funktion und Hierarchie der Berichtsempfänger. Allen gemeinsam ist aber in allererster Linie zu verstehen,

� ob es in den geprüften Bereichen relevante Problemfelder gibt, � was deren wesentliche Ursachen und poten-

zielle Auswirkungen und Risiken sind, und� ob und bis wann diese aus der Linie heraus

behoben werden können und werden, oder ob besondere Aktionen z. B. von Seiten der Geschäftsleitung erforderlich sind.

Berichtsrelevante Informationen sind v. a. Schwachstellen und Problemfelder. In der Regel korreliert daher der Umfang eines Revisions-berichts mit dem Prüfungsergebnis. Berichte mit positivem Prüfungsergebnis enthalten in diesem Sinne meist wenige oder keine berich-tenswerten Einzelthemen. Die Berichtsaussagen können knapp und zusammenfassend gehalten werden. Ein schlechtes Prüfungsergebnis erfor-dert dagegen i. d. R. tiefergehende erläuternde Aussagen zu Kernursachen, Auswirkungen und Risiken der Schwachstellen sowie Hintergrund-informationen zu Rahmenbedingungen, welche die Probleme begünstigen. Dies ist für denen Leser erforderlich, um das tatsächliche Issue im Kern zu verstehen und die Dringlichkeit der Lösung einschätzen zu können. Sofern nicht offensichtlich, sollte der Bericht konkrete Anga-ben dazu enthalten, welche Maßnahmen kon-kret erforderlich sind und umgesetzt werden. Dies ist v. a. dann unverzichtbar, wenn Aktio-nen seitens des Managements selbst notwen-dig sind, z. B. bei unklaren oder nicht zugeord-neten operativen Verantwortlichkeiten.

Es ist dagegen nicht die Aufgabe eines Prü-fungsberichts, Prozesse, Verantwortlichkeiten, Kontrollen, Datenflüsse oder Modelle inhalt-lich darzustellen und zu beschreiben. Auch

ist der Bericht nicht als Tätigkeitsnachweis des Prüfers zu verstehen. Dies ist Aufgabe der Prüfungsdokumentation.

2. Berücksichtigung des Leserverhaltens

Für die Art der Darstellung und die verwen-deten Stilelemente ist es wichtig zu verste-hen, wie der Leser einen Bericht liest. Wie sind somit wichtige Botschaften zu platzieren sind, um ins Auge zu fallen? Wissenschaftliche Stu-dien belegen: Senior Manager lesen Texte quer, nicht sequenziell. Komplexe, schwer verständliche Aussagen werden oft überlesen oder nicht hinreichend wahrgenommen. Glei-ches gilt für Botschaften, die in längere Fließ-textabsätze eingebettet sind, es sei denn, eine einführende Aussage weckt das Interesse zum detaillierten Weiterlesen. Struktur und Erschei-nungsbild eines Berichts sollten daher leser-freundlich sein und auf das intuitive Erkennen der für den Leser wesentlichen Informationen abzielen. Leicht verständliche inhaltliche Dar-stellungen und die Vermeidung sprachlicher Komplexität fördern darüber hinaus die Wahr-nehmung beim Leser. Das KISS-Prinzip („keep it short and simple“) sollte Grundprinzip der Berichtsschreibung sein.

Klarheit, Verständlichkeit und Interpretati-onsfreiheit sind Schlüsseleigenschaften eines Revisionsberichts. Der Leser liest konkret das, was er liest, und interpretiert dies vor dem Hin-tergrund des eigenen subjektiven Wissens- und Erfahrungsstands. Dies beinhaltet ein natürli-ches Potenzial für Missverständnisse. Die asyn-chrone Natur der Kommunikation in Berichts-form lässt dem Schreiber allein die Möglichkeit, durch eindeutige und verständliche Botschaf-ten die Interpretation des Lesers zu steuern und dessen Wahrnehmung zu objektivieren. Klare, substanzielle, nachvollziehbare und bewer-tende Aussagen, eine eindeutige, verbindliche und überzeugende Sprache und Argumenta-tion sowie einfache und kurz gehaltene Erläu-terungen vermindern das Risiko der Fehlinter-pretation. Hintergrundinformationen sind dann wichtig, wenn sie zum Verständnis der Berichts-aussagen beitragen oder hierfür gar erforderlich sind. Der Schreiber sollte stets daran denken: der Bericht kommt so an, wie er vom Leser spon-tan interpretiert wird. Eine zweite Möglichkeit, Inhalte zu erklären, gibt es meist nicht. Interpre-

» Berichtsrelevante Informationen sind v. a. Schwachstellen und Problemfelder. In der Regel korreliert daher der Umfang eines Revisionsberichts mit dem Prüfungsergebnis. «

Beitrag


» Die Berichtsstruktur am

Empfänger kreis auszurichten unterstützt

eine differenzierte, empfänger orientierte

Darstellung von Berichtsinhalten. «

tationsbedürftige Aussagen und implizite oder gar versteckte Botschaften entsprechen daher nicht den Anforderungen eines Revisionsbe-richts. Gemäß den IIA Standards sollen Revisi-onsberichte richtig, objektiv, klar, prägnant, kon-struktiv und vollständig sein.

Dies alles klingt in der Theorie logisch und einfach, erfordert aber einen Perspektiven-wechsel vom Schreiber hin zum Leser. Und die Erfahrungen in der Praxis zeigen, dass dies für einen Prüfer oder Prüfungsleiter, der sich über einen längeren Zeitraum intensiv mit Details des Prüfungsgegenstands beschäftigt hat, oft eine echte Herausforderung darstellt. Umso wichtiger ist es, ihm Elemente der Ori-entierung und ein konkretes Handwerkszeug an die Hand zu geben, das es ihm erlaubt, den eigenen Berichtsstil immer wieder zu reflektie-ren. Gleichzeitig kann dies dazu beitragen, ins-gesamt die Effizienz des Berichtsschreibens zu steigern und den Zeitbedarf für die Berichtser-stellung teilweise deutlich zu reduzieren.

III. Berichtsstruktur

Ein wichtiger Aspekt der Berichtsschreibung ist eine empfängerorientierte Berichtsstruktur.

Art, Inhalt und Granularität der Berichtsaussa-gen sind abhängig von Kenntnisbedarf und Kenntnisstand des Lesers. In der Praxis gibt es aber meist nicht den einen homogenen Leser-kreis. Revisionsberichte decken i. d. R. ein Spek-trum von Lesern ab, von operativen Linienver-antwortlichen über die Geschäftsleitung bis hin zum Aufsichtsorgan. Vorkenntnisse und Infor-mationsbedarf sind abhängig vom Leserkreis. So denken Linienverantwortliche meist in den Details von Organisation, Prozessen und Sys-temen und erwarten konkrete Aussagen und Beurteilungen auf operativer Ebene. Im Gegen-satz hierzu stehen gerade für das Aufsichtsor-gan v. a. die grundsätzliche Funktionsfähigkeit der Prozesse und Kontrollen sowie die Erfül-lung externer Anforderungen im Vordergrund.

Aus diesen Gründen ist es häufig gelebte Praxis, die Berichtsstruktur am Empfängerkreis aus-zurichten. Dies unterstützt eine differenzierte, empfängerorientierte Darstellung von Berichts-inhalten. Abhängig von der Praktikabilität nach Größe und Governance-Struktur eines Instituts könnte ein Revisionsbericht z. B. einer Struktur aus Gesamtsummary, Executive Summary, Detailbe-richt und Aktionsplan folgen (vgl. Abb. 3).

Der Schreiber eines Revisionsberichts sollte sich in diesem Falle stets dessen bewusst sein, in

Abbildung 3: Leserorientierte Struktur eines Revisionsberichts – ein Anwendungsbeispiel

Berichtsteil Empfängerkreis ZielsetzungGesamt-summary

Geschäftsleitung und Aufsichts-organ

Aggregierte, max. zehnzeilige Zusammenfassung und Erläuterung des Gesamtergebnisses der Prüfung sowie ggfs. des wesentlichen Handlungsbedarfs; Vermeidung von Einzelaspekten, sofern nicht unbedingt nötig

Executive Summary

Linien-management und Geschäftsleitung

Knappe, etwa einseitige Zusammenfassung der wesentlichen Prüfungsergebnisse nach Prüfungsfeldern, von wichtigen Schwachstellen/Top-Prioritäten, deren Ursachen und Auswirkungen sowie der wichtigsten hervorzuhebenden Maßnahmen; Sprache des Managements beachten

Detail-bericht

Linien-verantwortliche

Zusammenfassende Erläuterung der Prüfungsergebnisse auf Ebene von Prüfungselementen einschließlich identifizierter Schwachstellen, deren Materialität und potenziellen Auswirkungen sowie des erforderlichen und vereinbarten Handlungsbedarfs.

Aktions-/Empfehlungs-plan

Linien-management und Linien-verantwortliche

Darstellung der konkret identifizierten Schwachstellen mit Bewertung der damit verbundenen Risiken und dem konkret erforderlichen/vereinbarten Handlungsbedarf mit Verantwortlichkeiten und Terminen

Beitrag


welchem Berichtsteil er sich befindet und an welchen Leserkreis er somit seine Aussagen adressiert. Ein Kopieren von Berichtspassagen über die Berichtsebenen hinweg ist nur in Aus-nahmefällen angebracht. Während der Detail-bericht hauptsächlich an das Linienmanage-ment adressiert ist, also einen Personenkreis, der stark in die operativen Abläufe eingebun-den ist, richtet sich die Summary an einen weni-ger involvierten Leserkreis. Damit bestehen unterschiedliche Erwartungen an Argumen-tationstiefe und Ausdrucksweise. So erscheint eine Summary mit kryptischen Bezeichnun-gen von Organisationseinheiten, Namen von IT-Systemen oder nicht allgemein geläufi-gen Fachbegriffen als wenig leserorientiert. Dagegen können die entsprechenden Hinter-grundkenntnisse von einem Leser des Detail-berichts bis zu einem gewissen Grad voraus-gesetzt werden.

IV. Stilelemente des Berichts-schreibens

Die Klarheit und Verständlichkeit eines Berichts ist eng verbunden mit der gewählten Argu-mentationsstruktur und Berichtssprache. Geeignete linguistische Elemente und ein intu-itiv verständlicher Schreibstil sind elementar, um beim Leser Aufmerksamkeit zu erwecken und zutreffend verstanden zu werden.

1. Sprache des Managements

Ein Revisionsbericht richtet sich primär an Per-sonen, die – obwohl ganzheitlich für die Funk-tionsfähigkeit der Prozesse und des internen Kontrollsystems verantwortlich – meist nicht tagtäglich und tief in operative Details des Prü-fungsgegenstands eingebunden sind. Diese erwarten v. a. generelle, substanzielle und selbsterklärende Botschaften, nur dort mit detaillierten Informationen und Fakten unter-legt, wo zum Verständnis erforderlich.

Dies im Blick führt die Argumentationskette eines Revisionsberichts stets vom Generel-len zum Detail. Eine einleitende Schlussfol-gerung oder „Bottom-Line“-Aussage gibt einen zusammenfassenden, bewertenden Gesamteindruck. Wo erforderlich wird dieser in der Folge näher unterlegt und ergänzt, rela-tiviert oder eingeschränkt. Dies gilt über alle Ebenen der Berichtsstruktur hinweg, von der Summary bis hin zu den Ausführungen des Detailberichts. In der Summary fasst die Bot-tom-Line-Aussage knapp und prägnant das Prüfungsergebnis zusammen, konsistent zum Gesamturteil der Prüfung. Ist dieses positiv, so kann die Summary also in aller Regel nicht mit einer negativen Aussage beginnen, und umge-kehrt. Senior Manager denken i. d. R. ganzheit-lich und selektiv. Ihre zentrale Frage lautet: Gibt es nennenswerte Issues, und besteht besonde-rer Handlungsbedarf? Dies verleiht der unab-

Abbildung 4: Vom Symptom über die Ursache zur Maßnahme

Beitrag


hängigen Bewertung durch die Innenrevision einen besonderen Stellenwert. Revisionsbe-richte sollten daher grundsätzlich bewer-tende Aussagen enthalten. Bei nennenswer-ten Issues und Abweichungen von internen oder externen Vorgaben sind die Kernursachen und Verantwortlichen deutlich und punktge-nau herauszuarbeiten. Beschreibungen sind allenfalls im Zusammenhang mit relevanten Hintergrundinformationen angebracht. Sind diese nicht für das Problemverständnis erfor-derlich, oder ist deren Darstellung zu aus-ufernd, besteht die Gefahr, dass sie die tat-sächlich wichtigen Berichtsaussagen und deren Wahrnehmung beim Leser verwässern.

Die Berichtsargumentation sollte von der Ursa-che zum Issue und dessen Lösung führen. Stößt ein Prüfer im Rahmen der Prüfungshand-lungen – z. B. bei der Untersuchung von Ein-zelfällen einer Stichprobe – auf Fehler, so sind dies meist Symptome für ein Issue, aber nicht das Issue selbst. Zunächst stellt sich die Frage nach dem letztlichen „Warum?“. Wie konnte es zu den Fehlern kommen? Besteht eine Pro-zess- oder Anweisungsschwäche? Mangelt es an angemessener IT-Unterstützung? Sind die per-sonellen Ressourcen zu gering, oder die Mitar-beiter nicht hinreichend geschult? Oder han-delt es sich um ein isoliertes Fehlverhalten eines einzelnen Mitarbeiters? Unterschiedliche Ursa-

chen, die zu völlig anderen Maßnahmen führen. Stellt der Bericht alleine das Symptom dar – „20% Fehler bei der Sachbearbeitung“ – und vernach-lässigt die „Warum-Frage“, verbleibt dem Leser die Interpretation des zugrundeliegenden Issues und damit des zielgerichteten, ursachenorien-tierten Handlungsbedarfs (vgl. Abb. 4).

Ist die Ursache und das daraus resultierende Problem bekannt, stellt sich die Frage nach den Auswirkungen und dem damit verbunde-nen Risiko. So können simple Bearbeitungs-fehler rein formaler Natur ohne materielle Aus-wirkungen, aber auch ganz wesentlich für das Risikomanagement oder die Erfüllung interner und externer Compliance-Anforderungen sein. Um hinreichende Aufmerksamkeit und wenn erforderlich auch Emotion beim Leser hervor-zurufen, sollte der Revisionsbericht die Risiken und potenziellen Auswirkungen des Problems aggregiert und für den Leser verständlich zum Ausdruck bringen. Ursache – Issue – Risiko/Auswirkung – Lösung, das ist die logische Argumentationskette eines Revisionsberichts (vgl. Formulierungsbeispiel in Abb. 5).

2. Stilistische Berichtselemente

Für den Transport von Informationen in einer für den Leser leicht verständlichen und nach-

Abbildung 5: Formulierungsbeispiel

Beitrag


vollziehbaren Form sind eine klare und augen-fällige Absatzstruktur sowie kurze, einfach strukturierte, selbsterklärende und greif-bare Aussagen und Bewertungen das Stil-mittel der Wahl. Der Schreiber sollte bewusst darauf achten, unnötige sprachliche und inhaltliche Komplexität zu vermeiden. Dies gilt analog für technische Formulierungen und Sprache. Abkürzungen, die nicht zum allgemei-nen Sprachgebrauch zählen, Bezeichnungen von Organisationseinheiten oder Namen von IT-Systemen setzen inhaltliche Fachkenntnisse voraus und können das Lesen und Verständnis des Berichts deutlich erschweren. Sofern erfor-derlich, sollten solche Begriffe für den Leser ver-ständlich eingeführt oder in einem Berichts-glossar erläutert werden.

Zu lange Fließtextpassagen erschweren das Lesen, während logisch durch Absätze getrennte Gedanken für den Leser deutlich leichter zu erfassen sind. Absätze führen die Augen des Lesers und erleichtern damit das Verständnis des Berichts. Bei Aufzählungen von mehr als zwei Elementen können Bullet Points helfen, das Erscheinungsbild aufzulockern und damit die Transparenz zu erhöhen.

Primärer Stil eines Revisionsberichts sind ein-fache, aktivische Sätze mit konkretem und greifbarem Subjekt. Ein einfacher Satzbau

folgt dem Prinzip Subjekt – Prädikat – Objekt. Die Sätze sollten kurz und ohne Verschach-telungen sein und nur jeweils eine zentrale Aussage enthalten. Mögliche Daumenregel: kein Satz länger als zwei Zeilen. Nicht direkt miteinander verknüpfte Aussagen sollten auf zwei Sätze verteilt werden. Die Aktion – z. B. eine fehlende Kontrollhandlung, wie „über-wachen“, „abstimmen“ oder „abgleichen“, – sollte im Verb stehen. Eine Versubstantiie-rung von Kontrollverben („Überwachung“, „Abstimmung“, „Abgleich“) sollten dagegen vermieden werden. Beispiel: „Der Kreditleiter zeichnet die Kreditüberwachungslisten nicht ab.“ statt „Es gibt keine Evidenz für die Über-wachung der Kredite durch den Kreditleiter“. Komplizierte zusammengesetzte Begriffe, wie gerade im deutschen Sprachgebrauch üblich, sollten vermieden werden, da sie die intui-tive Verständlichkeit erschweren. Bei engli-scher Berichtssprache ist dies meist weniger ein Thema.

Die Erfahrung zeigt: Prüfer verwenden gerne und häufig Passivsätze, wie: „Die angewiesenen Transaktionskontrollen werden nicht durch-geführt.“ Revisoren denken naturgemäß stark kontrollorientiert. Somit ist nachvollziehbar, dass sie gedanklich die Kontrolle, deren Exis-tenz und Wirksamkeit in den Vordergrund ihrer Aussage stellen. Teilweise wird die Benennung

Abbildung 6: Das KISS-Prinzip von Revisionsberichten

Beitrag


der Verantwortlichen aber auch bewusst ver-mieden. In solchen Fällen ist die Verantwortlich-keit unklar – eine wichtige Berichtsbotschaft –, oder sie wurde in der Prüfung nicht final unter-sucht. Für den Leser grundsätzlich greifbarer sind Berichtsaussagen, die den Verantwortli-chen als Subjekt nennen: „Die Abwicklungs-einheit kontrolliert Transaktionen nicht wie angewiesen.“

Oft benutzen Prüfer Sätze wie: „Die Rahmen-bedingungen zeigen Schwächen“. Zwar ist der Satz aktiv formuliert, das Subjekt jedoch wenig greifbar. Was ist damit konkret gemeint? Was ist das Issue? Um Interpretationen zu vermeiden, sollte der Schreiber ein konkretes und greif-bares Subjekt verwenden oder darauf achten, dass ein Folgesatz die erforderlichen Erläute-rungen nachreicht. Gerne verwendete ein-schränkende Adjektive wie „im Wesentlichen“, „insgesamt“, „grundsätzlich“ oder „weitgehend“ erfordern eine Konkretisierung oder die expli-zite Aussage, dass die Einschränkungen gering-fügig und daher im Detail nicht erwähnenswert sind. Andernfalls verbleibt dem Leser ein sub-jektiver Interpretationsspielraum.

3. Sprachgebrauch und Wortwahl

Es ist unnötig zu betonen, dass Klarheit und Ausdrucksstärke stark auch von der Wortwahl abhängt. Diese sollte sorgsam, punktgenau und leserorientiert gewählt werden, die Prü-fungsergebnisse klar und selbsterklärend dar-stellen und gleichzeitig die Kompetenz und Zuverlässigkeit des Prüfers zum Ausdruck zu bringen.

In Prüfungsberichten trifft man immer wieder auf einen Audit Jargon, den es zu vermeiden gilt. Phrasen wie „wir haben festgestellt“, „unse-rer Meinung nach“ oder „wir wollen anmerken“ sind unnötig und verwässern die Verbindlich-keit der Aussagen. Dem Leser eines Revisions-berichts ist klar, dass sich die Berichtsaussa-gen aus Prüfungsbeobachtungen ableiten. Dies explizit zu betonen, ist redundant und bringt keinen Mehrwert. Überstrapaziert kann es sogar dazu führen, dass der Prüfer die eigene Beurteilungskompetenz in Frage stellt Solche Phrasen sollten also gestrichen, und die damit verknüpften Aussagen in ihrer Absolutheit dar-gestellt werden.

Allgemeine Phrasen wie „die Schwächen erfordern Handlungsbedarf“ füllen Raum, brin-gen aber keinen Mehrwert. Zwar ist es wich-tig, im Bericht bei relevanten Schwachstellen – sofern nicht offensichtlich – auf den verein-barten Handlungsbedarf oder Aktionsplan ein-zugehen. Dieser sollte dann aber inhaltlich prä-gnant zum Ausdruck kommen und die für die Umsetzung Verantwortlichen nennen.

Eindeutige Aussagen und klare Bewertun-gen entscheiden sich häufig an Kleinigkeiten. Besonders zu nennen sind hierbei qualifizie-rende Adjektive. Interpretierbare Adjektive, wie „angemessen“, „periodisch“ oder „zeitnah“, gewinnen an Klarheit, wenn sie ersetzt werden z. B. durch „den Vorgaben entsprechend“, „monatlich“ oder „unmittelbar“.

Im Sprachgebrauch der Innenrevision liebge-wonnene Begriffe sind „gewährleisten“ oder „sicherstellen“. Diese sind gut gemeint und von ihrer Intention verständlich. Der Prüfer macht sich aber oft keine Gedanken darüber, was dies in der Praxis bedeutet. Sowohl bei der Beurteilung der Ist-Situation wie auch bei der Formulierung einer Zielvorstellung sollte die Eignung dieser Begriffe hinterfragt werden. Ein vollkommener Sicherheitsanspruch ist meist unrealistisch oder unrentabel. Bei der Formulie-rung von Berichtspassagen ist es daher ratsam, bewusst realistisch, risiko- und kostenorientiert zu denken.

Mit besonderem Bedacht zu verwenden sind als „angabegemäß“ oder „auskunftsgemäß“ bezeichnete Berichtspassagen. Da es sich um nicht durch den Prüfer reflektierte Aussagen handelt, ist deren Objektivität eingeschränkt – üblicherweise das wichtigste Kriterium eines Revisionsberichts. Dies sollte die Ausnahme bleiben. Bei zentralen Berichtsbotschaften sind Angaben generell, soweit möglich, prüfe-risch zu verifizieren oder zumindest zu plausi-bilisieren. Grundsätzlich sollten daher „angabe-gemäße“ Botschaften nur dann in den Bericht aufgenommen werden, wenn diese

� im Gesamtzusammenhang wichtig, aber tatsächlich nicht überprüfbar sind, z. B. da nicht dokumentiert, oder� es unter Aufwands- und Risikogesichts-

punkten nicht erforderlich und sinnvoll ist, diese unabhängig zu überprüfen.

Beitrag


V. Maßnahmen und Aktionspläne – das SMART-Prinzip

Maßnahmen und Aktionspläne sind wichti-ges Instrument der Wirksamkeit der Innenre-vision. Allein das Aufzeigen von Problemen trägt nur bedingt zur Verbesserung von Pro-zessen und Kontrollen bei. Konkrete, effektive, auf Problemursachen abzielende und nachhal-tig lösungsorientierte Maßnahmen sind dage-gen Kennzeichen einer wirksamen Innenrevi-sion. Hierbei kommt das SMART-Prinzip zum Tragen. Maßnahmen sollten v. a. fünf Kriterien erfüllen: Konkreter Handlungsbedarf und Ver-antwortlichkeiten, realistische Umsetzbarkeit und Messbarkeit der Umsetzung, Nachhaltig-keit und zeitliche Terminierung (vgl. Abb. 7).

Unklare Verantwortlichkeiten und mangelnde Ownership sind eine häufige Problemquelle. Dies gilt auch für die Umsetzung von Revisi-onsmaßnahmen. Der Aktionsplan sollte daher eindeutige Verantwortlichkeiten vorsehen. Sind mehrere „Action Owner“ erforderlich, wie z. B. bei erforderlichen Anpassungen der IT, kann dies – wo sinnvoll – durch Teilmaßnah-men mit unterschiedlichen Verantwortlichen zum Ausdruck kommen. Sind die Aktivitäten allerdings zu sehr verknüpft oder voneinan-der abhängig, sollte die Revision bestrebt sein, stets einen Hauptverantwortlichen in die Pflicht zu nehmen. Sofern existent bietet sich häufig

der verantwortliche Process Owner gem. dem Organisationsmodell des Instituts an. Im Prü-fungsbericht adressierte Maßnahmen sollten vorab konkret mit den Verantwortlichen verein-bart sein, was sich auch in ihrer Formulierung wiederspiegelt („… wird etwas tun“ statt „… sollte etwas tun“ oder „… hat etwas zu tun“).

Die zeitliche Terminierung von Maßnahmen sollte dem zugrundeliegenden Risiko Rech-nung tragen, in jedem Fall aber in überschau-barem Rahmen bleiben. Als Daumenregel soll-ten sich Aktionspläne innerhalb der Jahresfrist bewegen. Bei strategischen Maßnahmen oder, wenn für die Umsetzung erst grundlegende Rahmenbedingungen zu schaffen sind, bietet es sich an, in Anlehnung an den Umsetzungs-plan konkrete Zwischenschritte als Teilmaß-nahmen zu vereinbaren. Diese erlauben es der Revision, Verzögerungen auf dem Lösungs-weg frühzeitig zu erkennen und transparent zu machen. Besonders kritische Issues erfordern ggfs. kurzfristige Workarounds, um die Kritika-lität zu mitigieren.

Durch Fokussierung auf Problemursachen gewinnen Maßnahmen an Nachhaltigkeit. Eine Maßnahme sollte so formuliert sein, dass sie erst dann geschlossen wird, wenn das zugrun-deliegende Issue tatsächlich beseitigt oder auf ein annehmbares Maß reduziert ist. Ein natür-liches „Backtesting“ der Effektivität und Nach-

Abbildung 7: Das SMART-Prinzip von Revisionsmaßnahmen

Beitrag


PRÜFUNGSTIPPS

� Als ihr wesentliches und wichtigstes Kommunikationselement sollte die Innenrevision besonderen Wert und Fokus auf das Formulieren von Prüfungsberichten legen.

� Indem sie einfache Grundprinzipien des Berichtschreibens berücksichtigt und internalisiert, steigert die Revision die Klar-heit, Transparenz und Wahrnehmung beim Leser und strahlt dadurch selbst eine höhere Kompetenz aus.

� Revisionsinterne Berichtsstruktur-, Argumentations- und Formulierungsstandards können es dem einzelnen Prüfer deut-lich erleichtern, einen Bericht zu schreiben. Dies führt als Nebeneffekt zu einem signifikanten Zeit- und Effizienzgewinn.

� Gut geschriebene Prüfungsberichte sind kurz, klar, prägnant und v. a. leserorientiert. Transparente Aussagen zu Problem-ursachen, Materialität und potenziellen Auswirkungen von Schwachstellen wecken die Emotion des Lesers und sensibi-lisieren ihn für die Relevanz des erforderlichen Handlungsbedarfs.

� Zusammenfassende, bewertende Bottom-Line-Aussagen zu Beginn von Berichtspassagen schaffen Interesse beim Leser und erleichtern ihm das Erkennen der für ihn relevanten Botschaften.

� Berichtsstruktur und Wortwahl sollten der Klarheit und Prägnanz des Berichts dienen. Beschreibungen, längliche Aus-führungen und Fließtextabsätze wie auch die Verwendung von Audit-Jargon und überflüssigen Phrasen erschweren den Blick für das Wesentliche.

� Maßnahmen und Aktionspläne nach dem SMART-Prinzip fördern die echte und nachhaltige Lösung von Issues.

haltigkeit von Maßnahmen liefert die Folgeprü-fung. Kommt diese bei unverändertem oder vergleichbarem Umfeld zu einem negativen Ergebnis, obwohl die Maßnahmen der Vorprü-fung wie vereinbart umgesetzt wurden, stellt dies die Wirksamkeit der Maßnahmen grund-sätzlich in Frage. Den Prüfer mit der Frage der Nachhaltigkeit und des Backtesting zu konfron-tieren, führt in der Praxis zum Nachdenken und bisweilen zu erstaunlichen Resultaten.

VI. Zusammenfassung und Fazit

Das Schreiben von Revisionsberichten ist ein wichtiger Teil der Prüfungstätigkeit und Aus-druck von Qualität und Mehrwert der Innen-revision. Dies im Blick, sollte sich jede Revision mit der eigenen gelebten Praxis des Berichts-schreibens aktiv auseinander setzen und kon-krete Standards und Guidelines etablieren – über die reinen Formalia des Berichtslayouts hinaus.

Wer ist der Leser, und was ist tatsächlich für den Leser relevant? Dies sind entscheidende Leit-gedanken eines Revisionsberichts. Prägnante, bewertende, selbsterklärende und auf Proble-mursachen und deren Auswirkungen abzie-lende Argumentationsketten fördern nicht nur die Wahrnehmung beim Leser, sie lenken auch die Prüfungstätigkeit selbst. Nur was hin-reichend prüferisch hinterfragt wurde, kann punktgenau und interpretationsfrei berich-tet werden. Maßnahmen und Aktionspläne sind wichtiger Bestandteil der Effektivität der Innenrevision. Das SMART-Prinzip unterstützt und fördert das Formulieren wirksamer und nachhaltiger Maßnahmen.

Vieles mag hier intuitiv erscheinen, die Erfah-rung zeigt jedoch, wie wichtig es ist, Prüfer im Schreiben von Berichten zu schulen und ihnen einfach umzusetzende Vorgaben und Guideli-nes an die Hand zu geben. Neben dem zeitli-chen Aufwand für die Berichtserstellung selbst reduzieren diese letztlich auch den Aufwand für die nachgelagerte Qualitätssicherung. £

» Prüfer mit der Frage der

Nachhaltig keit und des Backtesting

zu konfrontieren, führt in der Praxis zum Nachdenken

und bisweilen zu erstaunlichen

Resultaten. «

RevisionsPartner


Der RevisionsPartner bietet Ihnen einen Überblick über kompetente Dienstleister aus und für die Kredit- und Finanzbranche. Die Rubriken-Zuordnung hilft Ihnen bei der Suche nach dem gewünschten Partner.

Rubrik Firma Kontakt Profil

INTE

RNE

REVI

SION

/WIR

TSCH

AFTS

PRÜ

FUN

G/BE

RATU

NG

BDO AG

Wirtschaftsprüfungsgesellschaft

Fuhlentwiete 12

20355 Hamburg

Hanauer Landstraße 115

60314 Frankfurt/Main

Dr. Gebhard ZemkePartnerTel.: +49 40 39293135Tel.: +49 69 95941[email protected]

Wolfgang OttePartnerTel.: +49 69 95941[email protected]

BDO zählt zu den führenden Gesellschaften für Wirtschaftsprüfung und prüfungsnahe Dienstleistungen, Steuerberatung und wirtschaftsrechtliche Beratung sowie Advisory Services. Mit rund 1.900 Mitarbeitern an 25 Standorten in Deutschland stehen wir unseren national und international agierende Mandanten zur Seite und arbeiten an Lösungen die zu einer Optimierung der bestehenden Markt und Wettbewerbsposi tion beitragen. Unsere Dienstleistungspalette ist so umfassend angelegt, dass wir alle Leistungen aus einer Hand unter Einbindung interner Spezialisten anbieten können. Dies erleichtert Abstimmungs und Koordi na tions prozesse bei komplexen Fragestellungen. 150 Mitarbeiter im Bereich Banken & Finanzdienst leistungen unterstützen Sie in aktuellen Fragestellungen zu den Themen wie Basel III, MaComp, AIFMRichtlinie, FATCA, Interne Revision und ITRevision sowie Investment(steuer)recht .

INTE

RNE

REVI

SION

/WIR

TSCH

AFTS

PRÜ

FUN

G

CASIS Wirtschaftsprüfung

Esplanade 41

20354 Hamburg

Heimo HeimannPartnerTel.: +49 40 808011010Fax: +49 40 808011029h.heimann@casiswp.dewww.casiswp.de

Die CASIS Wirtschaftsprüfung ist eine mittelständische Wirtschaftsprüfungsgesellschaft mit ausschließlicher Spezialisierung auf Banken, Sparkassen und Finanzdienstleister im In und Ausland. Unsere umfassende Erfahrung, die berufliche Unabhängigkeit und Objektivität ermöglichen es uns, belastbare Aussagen zu treffen und Lösungen zu erarbeiten. Unsere Branchenkenntnisse, geringen Leitungsspannen, niedrige Fluktuationen und eine partnerschaftliche Ausrichtung lassen uns mit Ihnen auf Augenhöhe sprechen.

Wir bieten unseren Mandanten Jahresabschluss, Interne Revisions, Sonder sowie Selbstprüfungen nach § 153 SolvV sowie Unternehmensbewertungen, gutachterliche Stellungnahmen, Beratungsprojekte und Seminardurchführungen rund um das Thema Bank und Finanzdienstleister an.

INTE

RNE

REVI

SION

/WIR

TSCH

AFTS

PRÜ

FUN

G/BE

RATU

NG

AWADO Deutsche Audit GmbH

Wirtschaftsprüfungsgesellschaft,

Steuerberatungs gesellschaft

WilhelmHaasPlatz

63263 NeuIsenburg

Hannoversche Straße 149

30627 Hannover

Jan B. TöppeGeschäftsführerTel.: +49 511 95745281janb.toeppe@awadowpg.dewww.awadowpg.de

Die AWADO Deutsche Audit GmbH ist eine deutschlandweit tätige Wirtschaftsprüfungs und Steuerberatungsgesellschaft. Wir betreuen unsere Mandanten von neun Standorten aus und garantieren dadurch regionale Nähe.

Wir nutzen das fachliche Netzwerk eines großen Prüfungs und Beratungsunternehmens mit rund 1.200 Mitarbeitern, darunter 78 Wirtschaftsprüfer, 34 Steuerberater, 22 Rechtsanwälte. Im Bereich Kredit und Finanzdienstleistungsinstitute betreuen wir mit mehr als 300 Mitarbeitern unsere Mandanten bei gesetzlichen und regulatorischen Spezialthemen.

Neben der Übernahme und dem Coaching der Internen Revision sowie der Beratung bei aufsichtsrechtlichen Umsetzungsprojekten bereiten wir unsere Mandanten auf Sonderprüfungen nach § 44 KWG vor. Die Prüfung von Jahresabschlüssen sowie des internen Kontrollsystems bei Dienstleistungsunter nehmen (IDW PS 951 n.F.) runden unser Angebot für Sie ab.

RevisionsPartner

Rubrik Firma Kontakt Profil

INTE

RNE

REVI

SION

/WIR

TSCH

AFTS

PRÜ

FUN

G/BE

RATU

NG

Audit GmbH

Karlsruhe Stuttgart WPG

Heilbronner Straße 41

70191 Stuttgart

Lauterbergstraße 1

76137 Karlsruhe

Prof. Dr. Ralf KühnGeschäftsführerTel.: +49 171 56 30 06 3 oder +49 711 222 1314 16Fax: +49 711 222 1317 22ralf.kuehn@auditwpg.comwww.auditwpg.com

Unsere Kernkompetenz ist die Prüfung, Beratung und operative Unterstützung von Banken, Sparkassen und Finanzdienstleistern im deutschsprachigen Raum.

Mit unseren mehr als 200 hochqualifizierten Spezialisten können wir allen Institutsgruppen Dienstleistungen aus einer Hand bieten.

Zu unseren Leistungen zählen Vollauslagerungen der Internen Revision, dauerhafte oder einmalige Auslagerungen der internen Revision für alle Prüffelder, Coaching und Trainingonthejob für Revisoren von Banken, die nicht auslagern wollen, Auslagerung der Funktion des Datenschutzbeauftragten und des ITSicherheitsbeauftragten oder die Übernahme der MaRiskComplianceFunktion.

Unsere Kompetenzen im IKSManagement, in der Internen Revision und in der Compliance ermöglichen uns die erfolgreiche Lösung auch individueller, kurzfristiger Herausforderungen – etwa kurzfristige Übernahmen nur der Leitungsfunktion der Internen Revision.

Daneben unterstützen wir Finanzdienstleister u.a. durch die Durchführung von Immobilienbewertungen oder operative Unterstützungsleistungen etwa in der Marktfolge Aktiv oder bei der Jahresabschlusserstellung.

Infos unter www.FC-Heidelberg.de und unter www.FCH-Compliance.de oder kontaktieren Sie uns direkt über [email protected]

Banken-Times SPEZIAL AufsichtsEnglisch• Aktuelle Schreiben, Standards, Guidelines: lesen – verstehen – umsetzen• Erläuterung des fachspezi� schen Aufsichtsvokabulars aus dem Bereich der englischsprachigen europäischen Bankenaufsicht • Erscheinungstermin: ab 04/2015 alle 2 Monate als Newsletter kostenlos

Newsletter e-Learning AufsichtsEnglisch• Inhalte z. B. zu Spezialvokabular aus aktuellen englischsprachigen Aufsichtschreiben/Standards – zielgerichtete Kommunikation mit der Aufsicht auf Englisch – Praxisbeispiele und Übungen – Kontinuierliche Verbesserung Ihrer theoretischen und praktischen Kenntnisse zum Thema AufsichtsEnglisch• Erscheinungstermin: ab 05/2015 alle 2 Monate als Mail • Preis: EUR 95,00 p. a. zzgl. MwSt.

Praxiswörterbuch AufsichtsEnglisch mit Facherläuterungen• Spezialvokabular aus aktuellen engl. Aufsichstsschreiben und Regulatorien mit kurzen, verständlichen Facherläuterungen• Erscheinungstermin: 15.04.2015• Preis: EUR 119,00

Spezialseminare AufsichtsEnglisch• Englische Aufsichts-Schreiben verstehen & interpretieren (07.12.2015, Frankfurt/M.) • AufsichtsEnglisch – Kompaktkurs (08.-09.12.2015, Frankfurt/M.)

Inhouse-Seminar AufsichtsEnglisch• Individuelle Schulungen (sprachlich/inhaltlich) oder Vorträge zum Thema AufsichtsEnglisch – Ausgestaltung je nach KundenwunschDatenschutzerklärung:Die Finanz Colloquium Heidelberg GmbH und ihre Dienstleister (z. B. Lettershop) verwenden Ihre personenbezogenen Daten für die Durch-führung unserer Leistungen und um Ihnen ausgewählte Fach- und Produktinformationen per Post zukommen zu lassen. Sie können der Verwendung Ihrer Daten jederzeit durch eine Mitteilung per Post, E-Mail oder Telefon widersprechen.

Senden Sie mir bitte Fach- und Produktinformationen sowie die Banken-Times SPEZIAL für meinen Fachbereich kosten-frei an meine angegebene E-Mail Adresse (Abbestellung jederzeit möglich).

Die neue europäische Regulierung der Banken erfolgt überwiegend auf Englisch! Nutzen Sie unser breites Angebot zum Thema AufsichtsEnglisch:

Finanz ColloquiumHeidelberg

Name/Vorname:

Abteilung/Position:

Unternehmen:

Adresse:

PLZ/Ort:

Telefon:

Mail:

Unterschrift:

Ich möchte folgende Bestellung aufgeben:

Banken-Times SPEZIAL AufsichtsEnglisch

Newsletter e-Learning AufsichtsEnglisch

Praxiswörterbuch AufsichtsEnglisch

Infos zu den Spezialseminaren AufsichtsEnglisch

Inhouse-Seminar AufsichtsEnglisch

HERAUSGEBER Liebe Leserinnen Holger Aurisch, und Leser, Axel … · 2018. 8. 28. · Thomas Liebe,...

Documents

Transcript of HERAUSGEBER Liebe Leserinnen Holger Aurisch, und Leser, Axel … · 2018. 8. 28. · Thomas Liebe,...