Thorsten Pegelow, Bereichsleiter Revision, Hamburger Sparkasse AG
Die Anforderungen an die Interne Revision bezüglich des Prüfungsumfanges richten sich generell nach AT 4.4.3 Tz. 3 der MaRisk. Dort ist folgendes festgelegt:
„Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht.“
Mithin ist es sowohl aufsichtlich als auch im wohlverstandenen eigenen Interesse der Internen Revision und damit des Instituts unabdingbar, dass die Gestaltung des Prüfungsuniversums alle Aktivitäten – also auch die ausgelagerten – umfassen muss. Dies bedeutet, dass die üblichen Prozesse zur Beurteilung der Kritikalität von Prüfungsfeststellungen sowie die Qualitätssicherung von Prüfungshandlungen nicht ausschließlich auf die von der Internen Revision direkt verantworteten und durchgeführten Prüfungsthemen zu erfolgen hat, sondern – unter Berücksichtigung diverser Spezifika – auch auf die ausgelagerten Funktionen zu beziehen ist.
Dabei ist immer auch seitens der Revision zu berücksichtigen, wie kritisch bzw. relevant die ausgelagerten Funktionen für das auslagernde Institut sind. Eine abgestuft die Kritikalität bzw. Relevanz der Auslagerung berücksichtigende Revisionsbefassung entspricht dabei der in den MaRisk vorgegebenen Risikoorientierung der Tätigkeiten der Internen Revision (vgl. BT 2.1 Tz. 1: „Die Prüfungstätigkeit der Internen Revision hat sich auf der Grundlage eines risikoorientierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse des Instituts zu erstrecken.“
Welche Aspekte sind nun praxisrelevant bei der Betrachtung von Prüfungsberichten ausgelagerter Funktionen. Zunächst ist – dies ergibt sich aus der vorgenannten Darstellung – sicherzustellen, dass über alle für das Institut hinreichend relevanten Prozesse entsprechende Revisionsprozesse gespannt sind, die letztlich in eine entsprechende Berichterstattung münden. Damit ist verbunden, dass es durchaus Aktivitäten geben kann, die nicht mehr im Institut selbst durchgeführt, sondern an einen Drittdienstleister ausgelagert sind, gleichwohl keiner regelmäßigen Revisionsprüfung unterliegen. Dies wird immer dann der Fall sein, wenn es sich um für das Institut unwesentliche Aktivitäten handelt, die auch bei defizitärer Leistungserstellung kein relevantes Risiko für das Institut verursachen. Aus der vorstehenden Formulierung ist zu entnehmen, dass der Autor die Auffassung vertritt, dass es durchaus auch Funktionen gibt, die nicht institutsspezifisch im Sinne des KWG sind, gleichwohl einer intensiven ggf. auch revisorischen Überwachung unterliegen sollten. Dies wird immer dann der Fall sein, wenn beispielsweise indirekt Auswirkungen (z. B. auch im Bereich der Reputation) zu erwarten sein werden, sofern die Leistung nicht angemessen an den Kunden/Markt gebracht wird.
SEMINARTIPPS
Risikoanalysen bei Auslagerungen, 20.06.2018, Köln
Kritische Analyse/Plausibilisierung von Dienstleister-Prüfungsberichten, 21.06.2018, Köln
Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.
Betrachten wir nun die aus Sicht des Instituts relevanten Prozesse, dann sind die Kernaufgaben der Internen Revision folgende:
- Überwachung der Integration der Prozesse in das Prüfungsgeschehen
- Abgleich der Kritikalitätsbewertung der Prüfungsobjekte mit der Einschätzung der Revision des Dienstleisters
- Überwachung der Vorlage der Prüfungs- und turnusmäßigen Berichterstattung sowie Auswertung derselben.
In Bezug auf 3. ist zu beachten, dass üblicherweise eine den Quartalen sowie dem Gesamtjahr folgende Berichterstattung bei Dienstleistern die Regel sein sollte. Diese Rhythmik der Berichterstellung ist revisionsseitig zu überwachen und ggf. sind fehlende Berichte zu angemessener Zeit (bspw. innerhalb von vier Wochen nach Quartalsende) eigenständig anzufordern. Fehlende bzw. nicht vorliegende Berichte werden regelmäßig den Internen Revisionen der auslagernden Institute angelastet, da dort die Überwachungsverantwortung liegt.
In einem nächsten Schritt ist des Weiteren sicherzustellen, dass die vorliegenden Berichte qualitativ den zuständigen Revisoren zugeordnet werden, die inhaltlich eine Bewertung der Berichte vornehmen können.
Dabei empfiehlt es sich, einen Standard (ggf. mittels einer Checkliste) zu definieren, wie und nach welcher Logik die vorgelegten Berichte auszuwerten sind. Dies umfasst dabei auch Regelungen zum Umgang mit den Feststellungen in den Berichten inkl. einer Einschätzung/Auswertung bezüglich der Auswirkungen auf das auslagernde Institut.
Außerdem ist zu regeln, ob und wie die Feststellungen, dann auch der eigenen Bewertungslogik folgend, in die eigene Mängelverfolgung zu übernehmen sind.
Außerdem ist anhand der Bewertungsschwere sowie grundsätzlich zu regeln, wie die Geschäftsleitung in Kenntnis über die Prüfungsergebnisse ausgelagerter Funktionen aus Revisionssicht gesetzt wird.
PRAXISTIPPS
- Berücksichtigen Sie die ausgelagerten Prozesse in Ihrem Prüfungsuniversum inkl. der Risikobewertung
- Überwachen Sie die Berichtsvorlage
- Schaffen Sie Auswertungsregeln bezüglich vorgelegten Prüfungsberichten bei ausgelagerten Funktionen
Beitragsnummer: 432