Freitag, 26. Februar 2021

Anpassungsprozesse im Continuous Auditing der Internen Revision

Claaßen, Michael, Bereichsleiter Interne Revision, Volksbank Marl-Recklinghausen eG

 

Im Rahmen der Bankprozesse ergeben sich teilweise sehr komplexe Strukturen mit den verschiedensten Schnittstellen. Diese Prozesse unterliegen regelmäßigen Anpassungprozessen. Neue bzw. veränderte Vorgaben sind in das vorhandene Risikomanagement und in das Interne Kontrollsystem einzubinden. Gegenüber unseren Kunden sollen/müssen diese Prozesse jedoch einfach, verständlich und nicht komplex erscheinen. Insofern ergeben sich die verschiedensten Anforderungen. Die Anpassungen werden häufig in Projekten nach AT 8.2 der MaRisk umgesetzt. Diese neu implementierten Prozesse sind im audit universe der Internen Revision zeitnah abzubilden. Die Prüfungsplanung basiert grundsätzlich eher auf ex post-Größen, da die Planung i. d. R. am Jahresende des Vorjahres der Prüfung erstellt wurde. Ex ante Gesichtspunkte sind dabei soweit erkennbar bereits zu berücksichtigen. Eine dynamische Planung mit ex ante-Aspekten ist zwingend geboten. Dies kann im Rahmen eines Continuous Auditing-Ansatzes erfolgen. Aufgrund begrenzter Ressourcen sind schlanke effiziente Prozesse in der Revision notwendig, um diese Anpassungen in die Revisions- und Prüfungsprozesse zu überführen.

Umgang mit Anpassungsprozessen

Die Interne Revision muss einen aktuellen Überblick über anstehende Projekte und Aktivitäten haben. Treiber sind dabei veränderte oder neue externe Anforderungen als auch interne oder Verbundanforderungen. Veränderungsprozesse sind durch die Risikoträger und Prozessverantwortlichen der first line umzusetzen. Im Rahmen ihrer Aufgaben ist auch die second line einzubinden. 


 


Die Maßnahmen im Rahmen der Anpassungen sind durch die Interne Revision zu „sammeln” und in der Planung zu berücksichtigen. Diese können z. B. in einer Datenbank oder Excelsheet nach bestimmten Parametern aufbereitet werden (z. B. betroffener Prozess, prozessuale Auswirkungen, Schnittstellen zu anderen Prozessen, Kontrollanpassungen, Auswirkungen auf das Kontrollziel, usw.).

 

Seminartipps


Dabei ist zu prüfen, ob alle externen neuen Änderungen in Anpassungsprozessen durch die Verantwortlichen aufgegriffen wurden.   Hierbei sind neben den „offiziellen Projekten” auch alle sonstigen Aktivitäten zu erheben. Die Einstufung des Anpassungsprozesses ist durch die Interne Revision zu bewerten und zu prüfen, ob bankseitig eine richtige Einstufung im Sinne des AT 8.2 der MaRisk erfolgte. Die Funktionsträger könnten zu einer falschen Einschätzung gekommen sein.  

Das größte Problem kann dabei die Beurteilung der Anpassung des Kontrollrahmens sein. Fehlte eine korrekte risikoorientierte Ableitung der Kontrollen seinerzeit vor der Anpassung, ist eine Fehleinschätzung im Rahmen des Anpassungsprozesses wieder möglich. Dies zeigt auch die Notwendigkeit einer Risiko-Kontroll-Matrix mit der Formulierung von Kontrollzielen. Ein besonderes Augenmerk sollte dabei auf IT-Projekte gelegt werden. Diese werden ggf. ohne Beurteilung im Sinne des AT 8.2 der MaRisk erledigt.

Revisionsziel ist dabei ein permanent aktueller Blick auf notwendige Anpassungsprozesse.  Die Erkenntnisse sind permanent in den Prüfungen und der Revisionsplanung zu berücksichtigen. Ein regelmäßiges Agieren der Internen Revision führt dazu, dass eine notwendige Prüfung ggf. zeitnah und nicht erst zum Zeitpunkt der seinerzeitigen Prüfungsplanung erfolgt. Der Aufwand in den Prüfungen wird durch diese Vorgehensweise der Internen Revision reduziert. Dies führt im Rahmen eines Continuous Auditings letztlich zu schlankeren Prüfungsprozessen und erhöht die Prüfungssicherheit.

 

PRAXISTIPPS

  • Installieren Sie ein System, so dass Sie einen jeweils aktuellen Überblick über alle Veränderungsprozesse im Risikomanagement und Internen Kontrollsystem haben.
  • Erheben Sie die Anpassungsprozesse in der first und die dazu erlangten Erkenntnisse in der second line. Dadurch erlangen Sie auch Erkenntnisse, ob die second line angemessen eingebunden wurde.
  • Bewerten Sie zeitnah die Einstufung der Projekte und Aktivitäten durch die Bank in Bezug auf den AT 8.2 der MaRisk.
  • Überführen Sie die Erkenntnisse zu den Anpassungsprozessen in eine dynamische Planung, so dass sie ggf. zeitnah eine Prüfung durchführen können.
  • Binden Sie die Informationsbeschaffung bei Anpassungsprozessen in ein Contiuous Auditung-System ein. Über definierte Alerts kann eine zeitnahe Prüfung angestoßen werden.
  • Wirken Sie darauf hin, dass der Kontrollrahmen in einer Risiko-Kontroll-Matrix mit risikoorientiert abgeleiteten Kontrollen abgebildet wird.

 

 

 


Beitragsnummer: 17083

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Digitalisierung der Revision durch eine strukturierte Datenanalyse

Die Digitalisierung der Internen Revision durch eine strukturierte Datenanalyse in der Kreditrevision vorantreiben.

23.06.2023

Beitragsicon
Mehrwertbilanz der Internen Revision – Pflicht oder Kür?

Die Prüfungshandlungen der Revision erstrecken sich auch auf die Wirtschaftlichkeit der Geschäftsprozesse. Mit der Mehrwertwertbilanz wird das transparent.

05.01.2023

Beitragsicon
Prüfung des Managements von Immobilienrisiken

Nach Zinswende 2022 und neuen Regulierungen müssen Banken Immobilienrisiken neu bewerten und managen für Zukunftssicherheit.

02.04.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.