Dr. Michael Schiwietz, Direktor Innenrevision, Bayerische Landesbank
Revisionsfeststellungen haben nicht nur den Zweck, auf Mängel und Missstände im Institut hinzuweisen und diese transparent zu machen. Durch die damit verbundenen Maßnahmen trägt die Revision auch maßgeblich dazu bei, Schwachstellen nachhaltig abzustellen und die Bank und ihre Prozesse und Kontrollen zu verbessern und weiterzuentwickeln.
Entscheidend ist, dass die Prüfungshinweise der Revision durch die zuständigen Fachbereiche aktiv aufgegriffen und umgesetzt werden. Sind es doch die Fachfunktionen, – nicht die Revision – die für die Festlegung und Umsetzung unternehmerisch geeigneter und wirksamer Maßnahmen zuständig sind. Oft ist aber ein in seiner Konsequenz fatales Missverständnis zu beobachten, nämlich, dass man über „Maßnahmen der Revision“ spricht, nicht über solche der Fachbereiche. Hier ist ein kulturelles Umdenken im Sinne einer „Ownership“ der Fachfunktionen erforderlich. Handlungsbedarf besteht nicht, weil die Revision ihn fordert, sondern weil er für die Organisation sinnvoll und notwendig ist. Dieses Verständnis sollte die Revision bereits beim Formulieren von Maßnahmen bewusst fördern und einfordern.
SEMINARTIPPS
Mängel-Klassifizierung & Mängel-Verfolgung, 05.05.2020, Frankfurt/M.
9. Fachtagung Interne Revision, 28.–29.09.2020, Frankfurt/Offenbach.
Basiswissen Interne Revision, 05.10.2020, Frankfurt/M.
Schlanke Revisions- & Prüfungs-Prozesse, 06.10.2020, Frankfurt/M.
(Pool-)Audits bei Rechenzentren & anderen Mehrmandantendienstleistern, 20.10.2020, Frankfurt/M.
Die Maßnahmenkultur der Fachbereiche ist eine wichtige Kulturfrage. Verstehen und übernehmen diese Ownership im eigenen Verantwortungsbereich und im Sinne des Instituts? Werden Feststellungen der Revision als positive Hilfestellung gesehen, die eigenen Prozesse und Kontrollen zu verbessern? In diesem Kontext haben die Fachbereiche durchaus auch unternehmerische Freiheitsgrade, bewusst Risiken zu nehmen, d. h. unter Kosten/Nutzen-Aspekten auf aufwändige Maßnahmen zu verzichten, sofern eher unkritisch und vom Risiko her transparent und akzeptabel. Dies setzt aber eine entsprechende Kultur bei den Prüfern voraus, die sich mit den Fachbereichen über Art und Umfang erforderlicher Maßnahmen abstimmen.
Gleichzeitig ist es Aufgabe der Revision, zu festgestellten Schwachstellen und Mängeln den Governance-Funktionen des Instituts – i. d. R. Vorstand und Aufsichtsorgan – gegenüber transparent zu machen, wie und wieweit diese durch geeignete Maßnahmen gelöst werden und wurden. Dies gilt vor allem für wesentliche und schwerwiegende Feststellungen (gemäß MaRisk), die ein besonderes materielles Risiko darstellen und meist kurzfristigen und/oder umfassenden Handlungsbedarf zur Folge haben. Diese Transparenz ist ein wichtiges Element der Quartalsberichte sowie des Jahresberichts der Revision, ergänzt durch ad-hoc-Berichterstattungen beispielsweise bei Terminüberschreitungen oder materiellen Abweichungen vom ursprünglichen Erledigungsplan. Zunehmend gelebte Praxis ist es auch, Terminverlängerungen für wesentliche Maßnahmen nur mit expliziter Zustimmung des Vorstands zuzulassen. Damit kommt die letztliche Verantwortung des Vorstandes zum Ausdruck.
Revisionsprüfungen sind letztlich erst abgeschlossen, wenn auch der daraus resultierende Handlungsbedarf hinreichend adressiert und umgesetzt ist. Gerade bei wesentlichen Feststellungen verlangen auch die aufsichtlichen Vorgaben klare Berichts- und Kommunikationswege zu Vorstand und Aufsichtsorgan. Im Umkehrschluss unterstützt die bewusste und aktive Einbindung der Governance-Organe die Wirksamkeit des Follow-Up, liegt hier doch letztlich die Verantwortung für die institutsinterne Steuerung und Überwachung.
PRAXISTIPPS
- Setzen Sie sich bewusst damit auseinander, ob Ihr Follow-Up-Prozess wirksam und effizient organisiert ist.
- Hinterfragen Sie die Kultur der einzelnen Fachbereiche im Umgang mit Revisionsfeststellungen und setzen Sie revisionsseitig kulturfördernde Maßnahmen/Initiativen.
- Überprüfen Sie die Kriterien, nach denen Sie wesentliche und schwerwiegende Feststellungen kategorisieren. Stehen dabei die Materialität und das tatsächliche Risiko für das Institut im Vordergrund?
- Analysieren Sie, wie Ihr Follow-Up in der Praxis gelebt wird einschließlich dem Umgang mit Eskalationen und Terminverlängerungen sowie der Dokumentation des Schließens von Maßnahmen.
- Reflektieren Sie, ob Sie Vorstand und Aufsichtsorgan aktiv und transparent in den Follow-Up einbinden entsprechend deren jeweiliger Rolle und Verantwortung.
- Beurteilen Sie kritisch, ob das Thema Follow-Up in Ihren Quartalsberichten und Jahresberichten hinreichend und empfängerorientiert adressiert ist.
Beitragsnummer: 6183