Montag, 9. April 2018

Prüfungsergebnisse des Dienstleisters – Aufgaben der Internen Revision

Jan Meyer im Hagen, CIA, Direktor/Bereichsleiter Revision, Sparkasse Paderborn-Detmold

Im Fall wesentlicher Auslagerungen oder bei Mehrmandantendienstleistern erfolgen häufig die Revisionsprüfungen durch die Interne Revision des jeweiligen Auslagerungsunternehmens, welche dem auslagernden Institut die Prüfungsergebnisse zur Verfügung stellt.

Unabhängig von der notwendigen regelmäßigen Beurteilung, ob diese anderweitig durchgeführte Interne Revisionstätigkeit den Anforderungen der MaRisk genügt und einer sich daraus ggf. ergebenden Notwendigkeit, Ergänzungsprüfungen durchzuführen, stellen sich weiterhin viele Revisionsleiterinnen und -leiter der auslagernden Institute die Frage, wie genau mit den vorliegenden Prüfungsergebnissen, z. B. in Form von Prüfungsberichten oder speziell auf die Auslagerung zugeschnittenen Mandantenberichten, sachgerecht verfahren werden muss. In der Praxis der Internen Revision haben sich daher verschiedene Vorgehensweisen etabliert, die teilweise, ohne dass dies erforderlich wäre, deutlich über die Mindestanforderungen hinausgehen.

Dabei ist festzustellen, dass ein vollständiger Nachvollzug der Prüfungsergebnisse, einschließlich einer Überführung in die Mängelklassifizierungssystematik und eine Berichterstattung nach eigenem Berichtsmuster, ausdrücklich nicht gefordert wird. Gemäß MaRisk BT 2.1 kann die Interne Revision des Instituts im Fall wesentlicher Auslagerungen auf ein anderes Unternehmen vielmehr auf eigene Prüfungshandlungen verzichten, sofern die anderweitig durchgeführte Revisionstätigkeit den Anforderungen in den MaRisk AT 4.4 und BT 2 genügt. Insbesondere müssen die Prüfungsplanung und -durchführung sowie das Follow-up in diesem Fall nicht nachvollzogen werden.

Gleichwohl muss die Interne Revision des auslagernden Instituts die Prüfungsergebnisse im Rahmen ihres revisionsinternen Verfahrens zur Verarbeitung und Bewertung prüfungsrelevanter Informationen würdigen und daraus die richtigen Schlüsse für Fortentwicklung der risikoorientierten Prüfungsplanung bezüglich der relevanten eigengeprüften internen Prozesse des Instituts ziehen (vgl. Abb.).

Ein institutsinterner Prozess, auf den sich wesentliche Feststellungen der Internen Revision des Dienstleisters stets auswirken, ist die Dienstleistersteuerung bzw. das Auslagerungsmanagement. Nach der MaRisk-Novelle 2017 (MaRisk AT 9 Tz 12) hat jedes Institut abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten künftig ein solches zentrales Auslagerungsmanagement einzurichten. Aufgrund einer Zunahme von Häufigkeit und Komplexität der Auslagerungsbeziehungen werden daher auch mittelgroße, nicht systemrelevante Institute mit mehreren wesentlichen Auslagerungen künftig ein derartiges Auslagerungsmanagement einzurichten haben. Unabhängig von der veränderten Anforderung der BaFin, war eine derartige Organisationsform bei mittelgroßen und größeren Instituten bereits häufig anzutreffen.

Das zentrale Dienstleistermanagement fungiert dabei als zweite Verteidigungslinie nach einem dezentralen Dienstleistermanagement, das regelmäßig auf Ebene der operativen Fachbereiche bzw. der Prozessverantwortlichen angesiedelt ist. Nur auf Ebene des Dienstleistermanagements können sachgerechte Maßnahmen als Reaktion auf die Prüfungsergebnisse und -feststellungen abgeleitet werden. Diese können z. B. in der Einforderung der vereinbarten Leistung bzw. – wenn dies nicht möglich ist – in der Forderung von Vertragsstrafen bzw. der Initiierung der Beendigung des Auslagerungsverhältnisses bestehen.

 SEMINARTIPPS

Regelmäßig werden die Prüfungsergebnisse der anderweitig durchgeführten Revisionstätigkeit vom Dienstleister der Internen Revision des auslagernden Instituts zur Verfügung gestellt. An dieser Stelle ist revisionsseitig eine zeitnahe Weiterleitung an das Auslagerungsmanagement sicherzustellen. In der Praxis hat sich hier die Einrichtung von Informations- und Workflowsystemen, auf die alle Verantwortlichen (Prozessverantwortliche, Auslagerungsmanagement und Interne Revision) Zugriff haben, bewährt.

Der künftig nach MaRisk AT 9 Tz 13 mindestens jährlich zu erstattende Bericht des Auslagerungsmanagements konkretisiert sich im Fall einer wesentlichen oder schwerwiegenden Feststellung seitens der anderweitig durchgeführten Revisionstätigkeit zu einer Ad-hoc-Berichtspflicht des Auslagerungsmanagements gegenüber der Geschäftsleitung. Diese Aufgabe obliegt damit ausdrücklich der zweiten Verteidigungslinie, dem Auslagerungsmanagement, und nicht der dritten Verteidigungslinie, der Internen Revision des auslagernden Instituts.

Nur an einer Stelle muss die Interne Revision die wesentlichen Feststellungen bei wesentlichen Auslagerungen in die eigene Berichterstattung übernehmen: Da bezüglich der Auslagerungen ausschließlich die Interne Revision des Instituts über eine direkte Berichtslinie an das Aufsichtsorgan verfügt, sollte diese die Information über die wesentlichen Feststellungen bei den wesentlichen Auslagerungsunternehmen in ihre Quartals- bzw. Jahresberichte der Internen Revision aufnehmen. Diese Information kann optional auch um eine eigene Einschätzung der tatsächlichen Auswirkung auf das Institut bzw. den Bericht über die ergriffenen Maßnahmen und deren Status ergänzt werden. Ausschlaggebend für das Follow-up bleibt aber das Follow-up-System der anderweitig durchgeführten Revisionstätigkeit.

Abb.: Umgang mit den Prüfungsergebnissen des Dienstleisters

PRAXISTIPPS

  • Die Bewertung der Prüfungsergebnisse der anderweitig durchgeführten Revisionstätigkeit bei Dienstleistern obliegt vorrangig dem Auslagerungsmanagement. Der sachgerechte Umgang mit diesen Informationen, z. B. durch die Ableitung von Maßnahmen und die Ad-hoc-Information der Geschäftsleitung, ist wiederum Prüfungsgegenstand der Internen Revision im Prüffeld „Auslagerungsmanagement/Dienstleistersteuerung“.
  • Prüfungsergebnisse, die der Internen Revision vorgelegt werden, müssen zeitnah an das Auslagerungsmanagement weitergeleitet werden. Hierzu sollten geeignete Prozesse und Informationssysteme etabliert werden.
  • Die Interne Revision des auslagernden Instituts ist in der Verpflichtung, die Prüfungsergebnisse revisionsintern zu bewerten und daraus resultierende Auswirkungen auf die risikoorientierte Prüfungsplanung aller relevanten Prüffelder zu berücksichtigen.
  • Die Berichterstattung des Aufsichtsorgans über wesentliche oder schwerwiegende Feststellungen bei den wesentlichen Auslagerungen obliegt der Internen Revision des auslagernden Instituts aufgrund des direkten Berichtswegs lt. MaRisk.


Beitragsnummer: 488

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Revisionsstrategie nach GIAS: Pflicht, Potenzial und Praxisumsetzung

Mit den neuen GIAS rückt die strategische Ausrichtung der Internen Revision in den Mittelpunkt und wird zum wirksamen Führungsinstrument

24.04.2025

Beitragsicon
Auslagerungsmanagement - DORA konform & digital implementieren

Finanzunternehmen müssen umfangreiche Compliance- und Berichtspflichten erfüllen. Ein einheitliches, digitales Auslagerungsmanagement ist dafür unerlässlich.

16.09.2024

Beitragsicon
Projektbegleitung durch die Interne Revision in Kreditinstituten

Projektbegleitungen durch die Interne Revision werden oft als Pflichtaufgabe betrachtet. Eine moderne Projektbegleitung liefert jedoch spürbare Mehrwerte.

04.04.2025

Beitragsicon
Vergütungen: Chancen und Herausforderungen einer strengeren Aufsicht

Aufsichtsrechtliche Anforderungen machen eine ordnungsgemäße Organisation & Dokumentation unter Berücksichtigung der Vorgaben der IVV erforderlich.

31.07.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit dem Tool Matomo aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Matomo.