4    Standardrevisionsprozess

Der Standardrevisionsprozess beschreibt die wesentlichen Aspekte der Revisionsarbeit innerhalb des Unternehmens. Er soll als Richtlinie und Referenzmedium dienen, um eine kundenorientierte, effektive und effiziente Revisionsarbeit leisten zu können. Als solches ist er Teil der schriftlich fixierten Ordnung (SFO) der Internen Revision.

Der Standardrevisionsprozess ist in sechs Phasen aufgeteilt, welche für alle Prüfungsarten gelten:

  • Prüfungsplanung
  • Prüfungsvorbereitung
  • Prüfungsdurchführung
  • Berichterstattung
  • Prüfungsnacharbeit
  • Follow-Up


Diese Phasen und die hiermit korrespondierenden Aktivitäten werden auf den folgenden Seiten im Detail beschrieben.


4.1    Prüfungsplanung

Die aufsichtsrechtlichen Anforderungen an die Prüfungsplanung sind in den MaRisk (BT 2.3, Tz. 1) formuliert. Danach muss die Prüfungsplanung umfassend, jährlich fortschreibend und risikoorientiert erfolgen. Grundsätzlich sind alle internen und ausgelagerten Aktivitäten und Prozesse innerhalb von drei Jahren zu prüfen, bei besonderen Risiken jährlich. Bei unter Risikogesichtspunkten nicht wesentlichen Aktivitäten und Prozessen kann vom dreijährigen Turnus abgewichen werden.

Der standardisierte, risikoorientierte Planungsprozess gliedert sich wie folgt:

  • Rahmenplanung (strategisch, risikoorientiert)
    • Prüfungsprogrammplanung (Prüflandkarte, Audit Universe)
    • Risikobeurteilung (ausgerichtet an Organisationszielen)
  • Mehrjahresplanung (langfristig, nach Risiko, Umfang und Kapazität)
  • Jahresplanung (operativ, genehmigungspflichtig)
  • Operative Planung (zur unterjährigen dispositiven Steuerung)



4.1.1       Rahmenplanung
4.1.1.1    Prüfungsuniversum

  • Das Prüfungsuniversum bildet die Gesamtheit aller Prüfungsobjekte der Unternehmensgruppe ab.
  • Die Prüfungsobjekte müssen alle wesentlichen Prozesse und Wertschöpfungsketten, funktionalen und operativen Bereiche sowie Produkte und Systeme umfassen.
  • Alle Auslagerungstatbestände sowie Einlagerungen von Geschäftsaktivitäten, bei denen eine vertragliche Prüfungspflicht besteht, sind einzubeziehen.
  • Es sind alle gesetzlichen und aufsichtsrechtlichen Anforderungen sowie ggf. besondere Anforderungen der Geschäftsleitung zu berücksichtigen.
  • Komponenten von Ratingsystemen bzw. komplette Ratingsysteme gem. der SolvV sind ebenfalls angemessen zu berücksichtigen.
  • Prüfungsobjekte mit IRBA-Relevanz (Sec. 153 SolvV) sind als solche zu kennzeichnen.
  • Die Granularität der Prüfungsobjekte richtet sich nach dem jeweils gewählten Prüfungsansatz und ihrer Relevanz für das Institut.
  • Die Überprüfung der Prüfungsobjekte hinsichtlich Vollständigkeit, Relevanz und Konsistenz muss jährlich so rechtzeitig erfolgen, dass für die Jahresplanung aktuelle Daten vorliegen.
  • Die Überprüfung ist zu dokumentieren.
  • Eine nachvollziehbare Dokumentation und Genehmigung (Kompetenzträger sind zu definieren) ist notwendig für:
    • Strukturelle Veränderungen der Prüfungsobjekte
    • Ermittlung des ersten Prüfungsjahres für neu angelegte Prüfungsobjekte inkl. Begründung
    • Anpassung der Gewichtungsfaktoren im Risk Scoring Modell
    • Änderungen der Risk Scoring Methodik.



4.1.1.2    Risikobeurteilung

  • Die systematische Analyse des Risikopotentials aller Prüfungsobjekte hat nach einer einheitlichen Methodik zu erfolgen.
  • Die inhärenten und residualen Risiken von Prüfungsobjekten werden mit einem Risk Scoring-Modell anhand festgelegter Risikokategorien und Einflussfaktoren nach einem einheitlichen Ansatz bestimmt.
  • Neben den typischen bankgeschäftlichen Risikoarten gemäß MaRisk (Zinsänderungsrisiko, Markt- bzw. Liquiditätsrisiko, Adressenausfallrisiko) und der betriebswirtschaftlichen Bedeutung der Prüfungsobjekte sind insbesondere die operationellen Risiken zu bewerten (die Unangemessenheit oder das Versagen von internen Verfahren, Menschen, Systemen sowie externe Ereignisse).
  • Im Risk Scoring sind bei der Bewertung des operativen Risikos auch Verlustmöglichkeiten aus betrügerischen Handlungen (Fraud) zu berücksichtigen.
  • Bei der Risikobewertung muss eine schriftliche Begründung für die aktuelle Risikoeinschätzung eingefügt werden.
  • Bei dieser anfänglichen Risikobeurteilung sind z.B. das inhärente und das residuale Risiko bereits existierender vergleichbarer Prüfungsobjekte und die bereits gesammelten Erfahrungen/Kenntnisse durch Einbindung in "New Product Initiative"-Prozesse (NPI) oder in Projekte vor der Einführung von Produkten zu berücksichtigen.
  • „Besondere Risiken“ bedingen eine jährliche Prüfungsfrequenz. Sie sind wie folgt definiert:
    • Besondere Risiken sind dadurch gekennzeichnet, dass bei ihrem Eintreten die Gefahr einer deutlichen Verschlechterung der wirtschaftlichen Lage des Unternehmens besteht oder eine mögliche wirtschaftliche oder rechtliche Bestandsgefährdung vorliegt. Sie sind daher geeignet, Beurteilungen oder Entscheidungen von Stakeholdern zu verändern oder zu beeinflussen. Defizite im Risikomanagement, welche insbesondere durch unangemessene Risikostrategien, Regelungen zu Aufbau-/Ablauforganisation und Risikosteuerungs-/-controllingprozesse verursacht werden können, erhöhen die Eintrittswahrscheinlichkeit und das potenzielle Schadensausmaß von besonderen Risiken. Daneben können auch für das Institut wesentliche Projekte mit besonderen Risiken behaftet sein.
  • Das „Interne Kontrollsystem“ („Aufbau- und Ablauforganisation“ sowie „Risikosteuerungs- und Controllingprozesse“) ist gemäß MaRisk zentraler Prüfungsgegenstand der Internen Revision und sollte daher integraler Bestandteil möglichst jeder Prüfung sein.
  • Nach der Solvabilitätsverordnung (SolvV) ergibt sich die Prüfungsnotwendigkeit relevanter Teile der Ratingsysteme, wenn
    • sich hinsichtlich Prozessen, Methoden, IT-Systemen etc. wesentliche/bedeutende Veränderungen ergeben haben, oder
    • Hinweise über das Nicht-/Schlechtfunktionieren von Prozessen, IT-Systemen oder Methoden vorliegen.
  • Eine Prüfung des Ratingsystems bzw. der Komponenten von Ratingsystemen ist dabei unabhängig von der Größe des zugrundeliegenden Portfolios bzw. dem sich aus dem zugrundeliegenden Portfolio resultierenden Risiko durchzuführen.
  • Nach § 153 SolvV muss die Interne Revision Informationen über wesentliche Änderungen und Hinweise für das Nicht-/ Schlechtfunktionieren einholen. Mögliche Informationsquellen können dabei sein:
    • Laufende Gespräche mit den betroffenen Einheiten
    • „Reguläre“ Prüfungstätigkeit/Follow-Up Prozess
    • Informationen aus der Begleitung von Projekten, Komitees, Meetings
    • Ex-ante Arbeit
    • Information/Konsultation aufsichtsrechtlicher Regelungen bzw. deren Überarbeitung (z. B. über Verbände)
  • Alle im Risk Scoring erhaltenen und verwendeten Informationen sind angemessen zu dokumentieren.
  • Die im Risk Scoring jeweils ermittelte „generische“ Risikokennziffer bestimmt die Prüfungsdringlichkeit für das jeweilige Prüfungsobjekt.



4.1.2    Mehrjahresplanung

  • Alle Prüfungsobjekte werden zur Ermittlung eines Rahmen- bzw. Mehrjahresplanes vollständig abgebildet.
  • Grundsätzlich werden alle Prüfungsobjekte mindestens einmal innerhalb des definierten Prüfungsturnus (mindestens ein, maximal fünf Jahre) für die Prüfung vorgesehen.
  • Prüfungsobjekte mit aufsichtrechtlich vorgeschriebenem Intervall werden – unabhängig vom Scoringergebnis – im vorgeschriebenen Turnus zur Prüfung vorgesehen.
  • Eine weitere Jahrespflichtprüfung ergibt sich aus der Verlautbarung des Bundesaufsichtsamtes für das Kreditwesen (BaKred, heute BaFin) über „Maßnahmen der Kreditinstitute zur Bekämpfung und Verhinderung der Geldwäsche“.
  • Ergebnis der Mehrjahresplanung ist eine Prioritätenliste, welche die Prüfungsdringlichkeit für alle Prüfungsobjekte verteilt über fünf Folgejahre ausweist.
  • Die Prüfungsdringlichkeit ergibt sich dabei aus der „spezifischen“ Risikokennziffer, die sich aus der „generischen“ Risikokennziffer und objektbezogenen Faktoren (Datum der letzten Prüfung und entsprechendes Prüfungsergebnis) zusammen setzt bzw. aus den aufsichtsrechtlich vorgeschriebenen Prüfungsintervallen.
  • Für die „generische“ Risikokennziffer sind angemessene Grenzwerte für die jeweiligen Prüfungsintervalle risikoorientiert festzulegen und regelmäßig zu überprüfen.
  • In der Mehrjahresplanung sind objektbezogene Tagesvorgaben, welche dem notwendigen Zeitraum für eine Vollprüfung des Objektes entsprechen sollen, zu erfassen (Aufwand Prüfungsteam inkl. Steuerungs- und Unterstützungsfunktionen).
  • Damit entsprechend der Risikobewertung grundsätzlich alle Prozesse und Aktivitäten im vorgegebenen Prüfungsturnus angemessen bewältigt werden können, ist eine angemessene Personal- und Kapazitätsausstattung sicherzustellen. Etwaige Ressourcenbeschränkungen sind deutlich zu kommunizieren.
  • Nach der jährlichen Überprüfung der Prüfungsobjekte und dem Risk Scoring sind die wesentlichen Veränderungen zusammen mit der Prioritätenliste der Revisionsleitung zwecks jährlicher Genehmigung vorzustellen.



4.1.3    Jahresplanung

  • Die Jahresplanung zeigt alle Prüfungen auf, die für das Folgejahr geplant sind. Dabei werden auf Basis der Prioritätenliste - in der Prüfungsobjekte mit fälligem aufsichtsrechtlichem Prüfungsintervall besonders gekennzeichnet werden - und der bekannten Risikoindikatoren die Prüfungsobjekte ausgewählt und im Planungssystem zu Prüfungen zusammengefasst.
  • Daneben ist festzulegen, welche Prüfungsobjekte aufgrund ihrer jeweiligen IRBA-Relevanz (wesentliche Änderungen oder Nicht-/Schlechtfunktionieren von Ratingsystemen bzw. deren Komponenten) neben der risikoorientierten Planung zusätzlich in die Jahresplanung aufzunehmen sind.
  • Der Planungsprozess sollte auch Diskussionen und die Koordination mit dem Management des Instituts beinhalten.
  • Die Jahresplanung sollte möglichst einen Monat vor Beginn des neuen Geschäftsjahres erstellt werden. Für die Kapazitätsplanung sind dabei folgende Faktoren zu berücksichtigen:
    • Ausrichtung an dem der Internen Revision zur Verfügung stehenden Budget (Personal- und Sachkostenbudget) sowie an der Unternehmensplanung;
    • Vorhalten einer Reserve ("Puffer") für ex-ante Aktivitäten (Prüfung bzw. Begleitung wesentlicher Projekte, Beratung der Facheinheiten) sowie außerplanmäßig notwendig werdende Prüfungen bzw. Sonderuntersuchungen;
    • Aufnahme bereits bekannter und im Folgejahr fälliger Nachschauprüfungen;
    • Auslagerungen sowie Einlagerungen von Geschäftsaktivitäten, bei denen eine vertragliche Prüfungspflicht besteht;
    • Prüfungen als Konzernrevision und Prüfungsaktivitäten zur Unterstützung von angeschlossenen Unternehmen und/oder Tochtergesellschaften.
  • Die Prüfungen für die Planungsperiode werden systematisch zusammengestellt, im Planungssystem angelegt und der Revisionsleitung vorgelegt.
  • Für jede im Rahmen der Jahresplanung angelegte Prüfung, ist ein Planungsdokument mit den zu diesem Zeitpunkt vorliegenden/bekannten Informationen (insb. Prüfungsziel, -umfang, Risikobewertung) zu erstellen.
  • Prüfungsobjekte, die trotz ihrer Fälligkeit bzw. trotz der festgestellten Prüfungsnotwendigkeit aufgrund der zur Umsetzung des § 153 SolvV definierten Kriterien (siehe 4.1.1 Rahmenplanung) als prüfungsrelevant definiert wurden, aber aus nachvollziehbaren Gründen nicht in die Jahresplanung aufgenommen werden, sind inklusive einer Begründung und der kompetenten Genehmigung der Nichtaufnahme aufzulisten. Die Liste ist der Revisionsleitung mit der Planung zur Kenntnis zu bringen.
  • Die Jahresplanung sollte nicht später einen halben Monat vor Beginn des neuen Geschäftsjahres der Geschäftsleitung zur Genehmigung vorgelegt werden.
  • Aufbewahrung/ Archivierung der jeweiligen Jahresplanung/ Genehmigun­gen (inkl. der jeweiligen Prioritätenliste und der fälligen, nicht in die Jahresplanung integrierten Objekte) für 7 Jahre.



4.1.4    Operative Planung (unterjährige Disposition)

  • Auf Basis der genehmigten Jahresplanung wird die operative Planung unterjährig verfeinert und rollierend fortgeschrieben. Das Revisions-Management muss die Verfügbarkeit von Teammitgliedern sowie die insgesamt benötigten Personentage und notwendigen Fähigkeiten berücksichtigen.
  • Das geplante Start- und Enddatum der Prüfung muss die Zeiten für die Planung, Vorbereitung, Durchführung, Berichterstattung und Abschlussarbeiten berücksichtigen.
  • Die Prüfungsleiter und das Prüfungsteam sind spätestens zu Beginn der Prüfung zu benennen.
  • Innerhalb des laufenden Jahres sind die IRBA-relevanten Objekte, die nicht in die Jahresplanung für das aktuelle Jahr aufgenommen wurden, quartalsweise auf das Vorliegen von Informationen (siehe auch "Prüfungsobjekte mit aufsichtrechtlich vorgeschriebenem Intervall") zu wesentlichen Änderungen oder dem Nicht-/ Schlechtfunktionieren von Ratingsystemen/ Komponenten von Ratingsystemen zu untersuchen. Die Ergebnisse der Überprüfung und ggf. daraus resultierende Vorschläge zu Änderungen an der Jahresplanung sind zu dokumentieren und der Revisionsleitung zur Genehmigung vorzulegen.
  • Wesentliche nachträgliche Anpassungen der genehmigten Jahresplanung, die sich im weiteren Verlauf durch Änderung von Prioritäten, personellen oder organisatorischen Rahmenbedingungen ergeben, sind unterjährig vom Vorstand zu genehmigen. Dies betrifft insbesondere geplante, aber nicht mehr durchführbare Prüfungen.
  • Die Begründung für die Verschiebung/ Absage geplanter Prüfungen und deren Genehmigung sind zu dokumentieren.

 

4.2        Prüfungsvorbereitung
4.2.1    Prüfungsgrundlagen

Mit der Phase der Prüfungsvorbereitung beginnt die Prüfung. Zunächst sind Hintergrundinformationen zu den Prüfungsobjekten aus allen verfügbaren Quellen (z.B. Geschäftsstrategien, regulatorische Vorgaben, organisatorische Regelungen, IT-Systeme, Gespräche/Interviews, Dauerakten, Vorprüfungen, Informationen zu Auslagerungen, Reports, Datenanalysen, etc.) heranzuziehen, um eine fundierte Risikoeinschätzung vornehmen zu können. Sofern diese Unterlagen nicht direkt aus verfügbaren Systemen bzw. Dokumentationen zu beschaffen sind, ist ein Anforderungsverzeichnis zu erstellen. Dieses sollte spätestens zwei Wochen vor Beginn der Prüfungshandlungen an das Management der zu prüfenden Einheit/en (Ausnahme Sonderuntersuchungen) versandt werden (ggf. im Rahmen der Prüfungsankündigung, vgl. 4.2.6).

Zudem sind vor jeder Prüfung grundsätzlich alle offenen Feststellungen aus vorangegangen Prüfungen (interne und externe) zu identifizieren, um diese bei entsprechender Relevanz (Risikoorientierung) im Rahmen der anstehenden Prüfung erneut zu prüfen. Die Aufstellung der zu Prüfungsbeginn noch offenen Feststellungen ist in der Prüfungsdokumentation zu hinterlegen.


4.2.2    Risikoeinschätzung (Risk Assessment)

Aufbauend auf der im Rahmen der Jahresplanung erfolgten Risikoeinschätzung der inhärenten Risiken und der Kontrollrisiken hat zu Beginn der Prüfung insbesondere eine Hinterfragung der zum Zeitpunkt der Jahresprüfungsplanung getroffenen Annahmen - unter Berücksichtigung der Analyse der aktuellen Risikoeinschätzung - zu erfolgen. Im Rahmen dieser Risikoeinschätzung sind die gewonnenen aktuellen Informationen systematisch auf Risikosignale (inkl. Fraud-Risiken) zu untersuchen. Gesetzliche bzw. aufsichtsrechtliche Anforderungen und aktuelle Auslegungen von Regelungen sind dabei generell zu berücksichtigen. Das Ergebnis der Risikoanalyse ist dezidiert im „Prüfungsmemorandum“ (Prüfungsplan) zu dokumentieren.


4.2.3    Prüfungsziele

Basierend auf den analysierten bzw. vermuteten Risiken sind die Prüfungsziele festzulegen. Folgende grundsätzliche Prüfungsziele stehen dabei zur Auswahl (in Anlehnung an DIIR Revisionsstandard Nr. 1 Tz.1):

  • Risiken,
  • Ordnungsmäßigkeit,
  • Sicherheit,
  • Wirtschaftlichkeit,
  • Zukunftssicherung und
  • Zweckmäßigkeit.


Je nach Prüfungsobjekt kann ein Prüfungsziel bzw. können auch mehrere Prüfungsziele Gegenstand der Prüfung sein. Die MaRisk definieren den Prüfungsgegenstand der Internen Revision u.a. in AT 4.4. Tz. 3. Insbesondere ist dementsprechend „…die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen…“ zu prüfen. Ferner ist die Prüfungsstrategie so zu gestalten, dass die Prüfungshandlungen eine nachhaltige Aussage der festgestellten Prüfungsergebnisse im Kontext zu den Prüfungszielen ermöglichen.


4.2.4    Prüfungsumfang

Die Festlegung des Prüfungsumfangs erfolgt auf der Basis der bereits bekannten bzw. vermuteten Risiken und Schwachstellen. Bei der Festlegung des Prüfungsumfangs müssen auch relevante Systeme, Aufzeichnungen, Personalausstattung und Vermögensgegenstände einbezogen werden, einschließlich jener Aktivitäten, die sich unter der Kontrolle Dritter befinden (Auslagerungen).

Der Prüfungsumfang wird mit dem Management der geprüften Einheit zu Beginn der Prüfung besprochen. Zusätzliche im Prüfungsumfang aufzunehmende Hinweise oder Prüfungswünsche können ggf. berücksichtigt werden. Wesentliche Änderungen des Prüfungsumfangs während der Prüfung sind in den Arbeitspapieren und ggf. über eine Anpassung des Planungsdokuments zu dokumentieren.

Die Prüfungsschwerpunkte bzw. die Prüfungstiefe spiegeln sich in den Fragen der Prüfungsleitfäden bzw. strukturierten Checklisten wider. Bei Stichprobenprüfungen sind die Herleitung, die Art und der Umfang der Stichproben zu definieren.


4.2.5    Organisation der Prüfung

Entsprechend der Zielsetzung der Prüfung sind fachlich versierte Revisoren in das Prüfungsteam zu delegieren. Sofern die Durchführung der Prüfung mehr als einen Revisor erfordert sind die entsprechenden Aufgaben und Verantwortlichkeiten zuzuordnen, im Regelfall ist eine Prüfungsleitung festzulegen. Bei Prüfungen mit einem höheren zeitlichen Aufwand empfiehlt es sich zudem Meilensteine festzulegen. Ferner sind Beginn und Ende der Prüfung festzulegen. Darüber hinaus ist der geplante Aufwand für die Prüfung (in Prüfertagen in der Regel je Prüfungsteammitglied) zu dokumentieren.

Sofern mit der Prüfung Reisetätigkeiten bzw. Prüfungsphasen z.B in Niederlassungen des Instituts verbunden sind, sind rechtzeitig (mit Ankündigung der Prüfung) die entsprechenden organisatorischen Vorkehrungen zu treffen (auch z.B. die Sicherstellung der Infrastruktur für die Revisoren vor Ort).


4.2.6    Prüfungsankündigung

Vor Beginn einer Prüfung ist eine Prüfungsankündigung an das betroffene Management bzw. die betroffenen Organisationseinheiten zu versenden. Die Prüfungsankündigung informiert über das Prüfungsthema (ggf. auch den Prüfungsumfang und vorab zu übersendende Unterlagen, vgl. 4.2.1), über den Zeitraum der Prüfung vor Ort sowie die Namen der Mitglieder des Prüfungsteams und ggfs. der Prüfungsleitung. Der Versand sollte spätestens zwei Wochen vor Beginn der Prüfung erfolgen (Ausnahme: Sonderprüfungen). Bei kurzfristig angesetzten Prüfungen können die entsprechenden Informationen im Rahmen des „Prüfungs-Kick-Off“ erfolgen (vgl. 4.2.7).


4.2.7    Prüfungs-Kick-Off

Es empfiehlt sich, vor Beginn einer Prüfung ein „Kick-Off Meeting“ durchzuführen. Teilnehmer des Kick-Off Meetings sollten nach Relevanz und in Abhängigkeit zu den Prüfungszielen die Leitung bzw. Verantwortlichen der geprüften Einheit/en, das Prüfungsteam sowie die Prüfungsleitung (ggf. auch Revisionsleitung) sein.

Dieses Eröffnungsgespräch ermöglicht, die Ziele und den Umfang der Prüfung dem betroffenen Management darzulegen sowie zusätzliche Informationen von der geprüften Einheit zu erhalten. Außerdem geben sie den Geprüften die Möglichkeit, ihre Einschätzung über den Zustand des internen Kontrollsystems und des Risikomanagementsystems im Kontext mit dem Prüfungsgegenstand darzulegen. Die geprüften Einheiten sollen zudem ermutigt werden, die ihnen bekannten Schwächen während des Gesprächs offen anzusprechen. Das betroffene Management hat im Rahmen des Gesprächs auch die Möglichkeit, Prüfungswünsche (-themen) zu äußern. Es obliegt dann im Regelfall der Prüfungs- bzw. Revisionsleitung, darüber zu entscheiden, inwieweit diese Prüfungswünsche mit den Prüfungszielen vereinbar sind und berücksichtigt werden können.

Ziel des Kick-Off Meetings ist es insbesondere, ein gemeinsames Grundverständnis von Interner Revision und Geprüften zu schaffen und damit ein Vertrauensverhältnis zu fördern. Darüber hinaus werden organisatorische Fragestellungen geklärt (z.B. Ansprechpartner, Unterlagenbereitstellung usw.).


4.2.8    Dokumentation

Unmittelbar nach Abschluss des „Kick-Off Meetings“ erfolgt die Fertigstellung und Genehmigung des „Planungsmemorandums“, welches die Ergebnisse der zuvor beschriebenen Arbeitsschritte beinhaltet. Zur Dokumentation von Planung und Durchführung der Prüfung sind entsprechende elektronische Prüfungsverzeichnisse und -ordner anzulegen. Die MaRisk regeln die Anforderungen an die Dokumentation insbesondere in BT 2.4 Tz. 2: „Die Prüfungen sind durch Arbeitsunterlagen zu dokumentieren. Aus ihnen müssen die durchgeführten Arbeiten sowie die festgestellten Mängel und Schlussfolgerungen für sachkundige Dritte nachvollziehbar hervorgehen.“

 

4.3       Prüfung
4.3.1    Prüfungshandlungen in der geprüften Einheit

  • Den Mitgliedern des Prüfungsteams obliegt es, während der gesamten Prüfung ein konstruktives, offenes und von Fairness geprägtes Verhältnis zu den Führungskräften und Mitarbeitern der geprüften Einheit aufzubauen. Hierdurch wird der Informationsaustausch zwischen der Internen Revision und der geprüften Einheit gefördert und die Akzeptanz für die Prüfungshandlungen und -ergebnisse gesteigert.
  • Im Rahmen der Prüfungshandlungen in der geprüften Einheit wird der bei der Prüfungsvorbereitung festgelegte Prüfungsumfang im Wesentlichen auf Basis von Prüfungsleitfäden untersucht. Die Prüfungsleitfäden beinhalten die möglichen Prüfungsansätze und -handlungen und fungieren als Arbeitsanweisungen für den Prüfer. Die Prüfungsleitfäden sollen insbesondere eine einheitliche Vorgehensweise gewährleisten, damit die Prüfungsergebnisse vergleichbar sind.
  • Ziel der Prüfungshandlungen ist die Generierung, Sammlung, Bewertung und Dokumentation von Informationen auf deren Basis ein Prüfungsurteil gebildet und ggf. Prüfungsfeststellungen getroffen werden.
  • Nachweise für im Rahmen der Prüfungshandlungen getroffene Prüfungsfeststellungen müssen
    • eine sachlogische Beziehung zur Angelegenheit besitzen,
    • einen nachvollziehbaren Schluss auf die Prüfungsfeststellung für einen sachverständigen Dritten erlauben und
    • hinreichend gesichert sein.
  • Die Einhaltung dieser Anforderungen führt zu einer Unwiderlegbarkeit der Feststellung und einer höheren Akzeptanz durch die geprüfte Einheit.
  • Wesentliche Aspekte der Revisionsarbeit sind - neben der fachlichen Prüfung und dem entsprechenden Ergebnis - auch hierauf basierende Aussagen über das Führungsverhalten innerhalb der geprüften Einheit. Darüber hinaus ist auch die Berücksichtigung des möglichen Auftretens/des Risikos doloser Handlungen von zentraler Bedeutung.
  • Der Prüfungsleiter überprüft laufend, ob der im Vorfeld festgelegte Prüfungsumfang und die Prüfungsschwerpunkte noch sachgerecht und angemessen sind. Ist dies nicht der Fall, sind entsprechende Anpassungen vorzunehmen, zu begründen und in Abhängigkeit des Sachverhaltes kompetent zu genehmigen.
  • Zur Steuerung der Prüfung ist der Tageverbrauch durch den Prüfungsleiter zu überwachen. Dieser wird im Planungssystem erfasst. Sämtliche Zeiterfassungen haben zeitnah zu erfolgen und sind spätestens 2 Wochen nach Berichtsversand zu beenden. Die Angaben werden für künftige Planungen verwendet und bilden die Grundlage für eine ggf. erfolgende Kostenverrechnung.
  • Getroffene Feststellungen und die hieraus abgeleiteten Maßnahmen werden mit den verantwortlichen Mitarbeitern erörtert und in sinnvollen Abschnitten mit dem Prüfungsleiter sowie dem Management der geprüften Einheit besprochen. Unter Umständen empfiehlt sich die Vereinbarung eines Jour Fix des Prüfungsteams sowie zwischen Prüfungsleiter und Management der geprüften Einheit für den Prüfungszeitraum.
  • Die Einladung der zuständigen Kompetenzträger zur Schlussbesprechung nach Abschluss der Prüfungshandlungen ist frühzeitig zu koordinieren. Wird von  den geprüften Einheiten keine Schlussbesprechung gewünscht, so kann auf diese verzichtet werden. Zur Vorbereitung auf die Schlussbesprechung sollte der geprüften Einheit bereits ein Entwurf des Schlussberichtes zur Verfügung gestellt werden.


4.3.2    Dokumentation der Prüfungshandlungen

  • Prüfungshandlungen sind so zu dokumentieren, dass sie für einen sachverständigen Dritten ohne vorherigen Bezug zur Prüfung in angemessener Zeit verständlich sind. Die Arbeitspapiere sollen Art und Umfang der durchgeführten Prüfungshandlungen, die daraus resultierenden Ergebnisse, den Zeitraum der Durchführung und den Prüfer sowie, sofern zutreffend, den die Prüfungshandlungen Qualitätssichernden (z.B. Prüfungsleiter) ausweisen.
  • Insbesondere ist die Methode für Auswahl und Durchführung der Stichproben, ihr Umfang sowie Zweck und Ergebnis der Stichprobenprüfung zu dokumentieren.
  • Aus den Prüfungshandlungen resultierende Feststellungen müssen in jedem Fall belegbar und transparent sein. Grundsätzlich gilt, dass der Weg von der Prüfungshandlung zum Revisionsbericht (und umgekehrt) nachvollziehbar sein muss. Zu diesem Zweck ist für die Prüfungsunterlagen eine angemessene und nachvollziehbare Referenzierung vorzunehmen.
  • Änderungen des Prüfungsumfangs oder -schwerpunkts sind unter Angabe der Gründe zu dokumentieren und in Abhängigkeit vom Umfang der Änderungen kompetent zu genehmigen.
  • Die Arbeitspapiere sind nach vorgegebenen Regelungen und Strukturen in einer einheitlichen und sachlogisch nachvollziehbaren Form abzulegen.



4.3.3    Risikoeinstufung von Feststellungen und Revisionsergebnissen

  • Gemäß MaRisk, BT 2.4 Berichtspflicht, Tz. 1 muss die Interne Revision zeitnah einen schriftlichen Bericht anfertigen. Hierbei sind wesentliche Mängel besonders herauszustellen und die Prüfungsergebnisse zu beurteilen. Eine zusammenfassende Bewertung der Prüfungsergebnisse könnte sich hierbei an folgendem Praxisbeispiel orientieren:
    • Gut (1)
      • Keine oder nur geringe Prüfungsfeststellungen
      • Keine oder nur unwesentliche Verbesserungsmöglichkeiten hinsichtlich der Wirtschaftlichkeit innerhalb des Prüfungsgebietes sowie der Angemessenheit und Wirksamkeit des Internen Kontrollsystems
    • Zufrieden stellend (2)
      • Geringe Auswirkungen der Feststellungen auf das Prüfungsgebiet
      • Moderate Verbesserungsmöglichkeiten hinsichtlich der Wirtschaftlichkeit innerhalb des Prüfungsgebietes sowie der Angemessenheit und Wirksamkeit des Internen Kontrollsystems
    • Noch zufrieden stellend (3)
      • Wesentliche Auswirkungen der Feststellungen auf das Prüfungsgebiet
      • Keine wesentlichen Auswirkungen über das Prüfungsgebiet hinaus auf die Gesamtbank
      • Deutliche Verbesserungsmöglichkeiten hinsichtlich der Wirtschaftlichkeit innerhalb des Prüfungsgebietes sowie der Angemessenheit und Wirksamkeit des Internen Kontrollsystems
    • Nicht zufrieden stellend (4)
      • Wesentliche Auswirkungen der Feststellungen auf das Prüfungsgebiet
      • Wesentlichen Auswirkungen über das Prüfungsgebiet hinaus auf die Gesamtbank (z.B. durch Verstöße gegen Gesetze/aufsichtsrechtliche Vorgaben, dolose Handlungen)
      • Erhebliche, ggf. auch grundsätzliche Mängel hinsichtlich der Wirtschaftlichkeit sowie der Angemessenheit und Wirksamkeit des Internen Kontrollsystems innerhalb der Gesamtbank
    • Mangelhaft (5)
      • Wesentliche Auswirkungen der Feststellungen auf das Prüfungsgebiet
      • Signifikante Auswirkungen über das Prüfungsgebiet hinaus auf die Gesamtbank (z.B. Reputationsschäden, Reduktion der Eigenmittel, deutlich negative Auswirkungen auf die GuV)
      • Massive Mängel hinsichtlich der Wirtschaftlichkeit innerhalb des Prüfungsgebietes sowie der Angemessenheit und Wirksamkeit des Internen Kontrollsystems innerhalb der Gesamtbank
  • Zusätzliche Aspekte, welche bei der Vergabe des individuellen zusammengefassten Prüfungsergebnisses berücksichtigt werden können, sind:
    • Angemessenheit, mit der sich das Management der geprüften Einheit der Überwachung des Geschäftsbetriebes widmet,
    • das Kontrollbewusstsein des Managements,
    • die Umsetzung vereinbarter Maßnahmen und die Bereinigung der Feststellungen aus vorangegangenen Prüfungen, sowie
    • Ausmaß, Entwicklung und Management von Risiken.
  • Neben der zusammenfassenden Bewertung der Prüfungsergebnisse sollte auch eine gesonderte Beurteilung der einzelnen Prüfungsfeststellungen/Mängel vorgenommen werden. Als Maßstab für die Einstufung der Prüfungsfeststellungen/Mängel empfiehlt sich hierbei differenzierend zur zusammenfassenden Bewertung der Prüfungsergebnisse, dass für die Gesamtbank resultierende Risiko hervorzuheben. Neben den in den MaRisk vorgegeben Mängelkategorien („besonders schwerwiegend“, „schwerwiegend“, „wesentlich“) könnten Prüfungsfeststellungen/Mängel hierbei auch als „bemerkenswert“ oder „gering“ bewertet werden. Die konkreten Abstufungen von Prüfungsfeststellungen/Mängel könnten sich hierbei an folgendem Praxisbeispiel orientieren:
    • Besonders schwerwiegende Feststellung
      • Unter Berücksichtigung der Risikoarten der Bank (z.B. Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken, operationelle Risiken, Konzentrationsrisiken, Reputationsrisiken, Platzierungsrisiken) besteht ein existenzielles Gefährdungspotenzial für den Geschäftsbetrieb der Bank in der Gesamtbetrachtung.
      • Eine unverzügliche Berichterstattung durch die Geschäftsleitung an das Aufsichtsorgan ist erforderlich.
    • Schwerwiegende Feststellung
      • Unter Berücksichtigung der Risikoarten der Bank (Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken, operationelle Risiken, Konzentrationsrisiken, Reputationsrisiken, Platzierungsrisiken) besteht ein erhebliches Gefährdungspotenzial für den Geschäftsbetrieb der Bank in der Gesamtbetrachtung.
      • Eine unverzügliche Berichterstattung an die Geschäftsleitung ist erforderlich.
    • Wesentliche Feststellung
      • Unter Berücksichtigung der Risikoarten der Bank (Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken, operationelle Risiken, Konzentrationsrisiken, Reputationsrisiken, Platzierungsrisiken) besteht ein mittelbares Gefährdungspotenzial für den Geschäftsbetrieb der Bank in der Gesamtbetrachtung.
      • Eine Berichterstattung an die Geschäftsleitung sowie das Aufsichtsorgan ist im Rahmen der Jahresberichterstattung erforderlich.
    • Bemerkenswerte Feststellung
      • Unter Berücksichtigung der Risikoarten der Bank (Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken, operationelle Risiken, Konzentrationsrisiken, Reputationsrisiken, Platzierungsrisiken) besteht kein mittelbares Gefährdungspotenzial für den Geschäftsbetrieb der Bank in der Gesamtbetrachtung.
      • Es existieren deutliche Auswirkungen auf die geprüfte Einheit. Für die Gesamtbank sind die Auswirkungen gering.
      • Eine über den Prüfungsbericht hinausgehende gesonderte Berichterstattung ist nicht erforderlich.
    • Geringe Feststellung
      • Unter Berücksichtigung der Risikoarten der Bank (Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken, operationelle Risiken, Konzentrationsrisiken, Reputationsrisiken, Platzierungsrisiken) besteht kein mittelbares Gefährdungspotenzial für den Geschäftsbetrieb der Bank in der Gesamtbetrachtung.
      • Es existieren geringe Auswirkungen auf die geprüfte Einheit.
      • Eine über den Prüfungsbericht hinausgehende gesonderte Berichterstattung ist nicht erforderlich.
  • Es sollte weiterhin die Möglichkeit der revisionsseitigen Empfehlungen für die geprüften Einheiten/Prozesse vorgesehen werden. Revisionsseitige Empfehlungen erscheinen insbesondere dann angemessen, wenn aus einem geprüften Sachverhalt keine erwähnenswerten Risiken resultieren und insbesondere auf Potenziale zur Effizienz-/Effektivitätssteigerung hingewiesen wird.
  • Einen umfassenden Überblick und weitere Anregungen zur praktischen Umsetzung der MaRisk im Hinblick auf die Abstufung von Prüfungsfeststellungen nach Risikogehalt sowie die zusammenfassende Bewertung der Prüfungsergebnisse gibt der Aufsatz „MaRisk-konforme Klassifizierung von Prüfungsfeststellungen und Beurteilung der Prüfungsergebnisse durch die Interne Revision“ des DIIR-Arbeitskreises „MaRisk“ in der Ausgabe 03/09 der Zeitschrift Interne Revision (ZIR).



4.3.4    Verfassen des Prüfungsberichtes

  • Über jede Prüfung wird unverzüglich ein schriftlicher Prüfungsbericht erstellt, der richtig, objektiv, prägnant, klar, konstruktiv und vollständig sein muss (Gem. IIA-Standard 2420).
  • Der Prüfungsbericht zeigt den Prüfungsumfang und -inhalt sowie das Prüfungsergebnis, -feststellungen und den hieraus resultierenden Handlungsbedarf nebst vereinbarten Erledigungsterminen auf; dabei werden wesentliche Mängel sowie Gefahren und Risiken besonders herausgestellt. Alle Prüfungsberichte müssen nach einem verbindlichen Berichtskonzept erstellt werden, in welchem eine standardisierte Berichtsstruktur und formelle Merkmale vorgegeben werden. Für Sonderprüfungen und Nachschauprüfungen können separate Vorlagen verwendet werden.
  • Für die Prüfung sollte eine zusammenfassende Bewertung der Prüfungsergebnisse (inkl. einer Aussage zur Ordnungsmäßigkeit der Prozesse) in die Zusammenfassung für das Management aufgenommen werden.
  • Der abschließende Prüfungsbericht besteht aus einer max. zweiseitigen Zusammenfassung für das Management sowie unter Umständen einem umfassenden Hauptbericht und diversen Anlagen (u.a. Ausführungen zum Prüfungsauftrag und zur Prüfungsdurchführung, Geschäftszahlen, Prüfungsfeststellungen und Maßnahmen, Handlungsempfehlungen sowie risikoorientierte Erledigungstermine für die Umsetzung).
  • Soweit Auslagerungstatbestände (Outsourcing) bzw. Einlagerungen (Insourcing) geprüft worden sind, sind eventuelle Berichtspflichten an einzelne "Mandanten" (Einlagerer/Auslagerer) zu berücksichtigen.

 

Erneute Feststellungen

  • Durch die hier beschriebenen Verfahrensweisen soll vermieden werden, dass ein noch offener Handlungsbedarf aus einer vorangegangen Prüfung durch Erstellen einer neuen gleichartigen Feststellung/ Handlungsempfehlung (erneute Feststellung in einer neuen Prüfung) aus einer möglicherweise bereits erreichten Eskalationsstufe herausgenommen wird und das somit durch die erneute Feststellung/Handlungsempfehlung der Nachverfolgungszyklus von neuem beginnt. Ziel ist es somit, dass die ursprünglich vereinbarten Erledigungstermine weiterhin Gültigkeit besitzen und nicht durch neue Termine ersetzt werden.
  • Szenario 1: Eine noch offene Feststellung/Handlungsempfehlung liegt vor:
    • Nach Abschluss der Prüfungshandlungen wird eine inhaltlich aktualisierte Feststellung/Handlungsempfehlung erfasst. Im Text der Fest­stellung/Handlungsempfehlung ist darauf hinzuweisen, dass es sich hierbei um eine bislang noch nicht erledigte Feststellung/ Handlungsempfehlung aus einer vorherigen Prüfung handelt (Angabe der alten Prüfungsnummer).
    • Die Risikoeinstufung der neuen Feststellung/Handlungsempfehlung kann, wenn sachlich begründet, abweichend von der alten Feststellung/Handlungsempfehlung festgelegt werden.
    • Die neue Feststellung ist mit dem ursprünglichen Erledigungstermin aus der alten Prüfung zu versehen.
    • Sofern sich im Prüfungsverlauf ergibt, dass die alte Feststellung/ Hand­lungsempfehlung erledigt sein sollte, wird diese unter Angabe der Gründe geschlossen.
  • Szenario 2: Als erledigt gemeldete Feststellung/Handlungsempfehlung ist noch offen:
    • Falls sich zeigt, dass der Handlungsbedarf einer alten Feststellung entgegen den früheren Angaben der geprüften Einheit doch noch offen ist, wird eine neue Feststellung/Handlungsempfehlung mit neuem Erledigungstermin erfasst; auf den Tatbestand wird in der Feststellung und je nach Materialität auch in der Zusammenfassung für das Management hingewiesen.



4.3.5    Prüfung, Diskussion und Abstimmung des Prüfungsergebnisses

  • Die einzelnen Berichtsteile werden im Verlauf der Prüfung mit den zuständigen Managementebenen der geprüften Einheit(en) besprochen und abgestimmt. Die Koordination erfolgt durch die Prüfungsleitung (siehe 4.3.1 Prüfungshandlungen in der geprüften Einheit).
  • Vor der abschließenden Behandlung des gesamten Prüfungsberichtes mit der/den geprüften Einheit(en) erfolgt eine Qualitätssicherung des Prüfungsberichtes durch den verantwortlichen Vorgesetzten des Prüfungsleiters.
  • Der qualitätsgesicherte Revisionsbericht wird mit der Leitung der geprüften Einheit in einer Schlussbesprechung bzw. per Telefon oder E-Mail (falls seitens der geprüften Einheit auf eine Schlussbesprechung verzichtet wird) abschließend behandelt.
  • An der Schlussbesprechung nehmen revisionsseitig i.d.R. der Prüfungsleiter, dessen Vorgesetzter sowie der Revisions-Leiter (bei bedeutenden Prüfungsobjekten und -ergebnissen) teil. Ggf. sollten auch Mitglieder des Prüfungsteams an der Schlussbesprechung teilnehmen, falls deren Fachwissen für die Abstimmungen erforderlich ist. Die Vorlage des Berichtsentwurfes bei der/den geprüften Einheit(en) soll spätestens zwei Wochen vor der Schlussbesprechung erfolgen.
  • Durch die Schlussbesprechung wird sowohl der Internen Revision als auch der geprüften Einheit die Gelegenheit eingeräumt, abschließend zu Prüfungsfeststellungen Stellung zu beziehen.
  • Sofern über einzelne Berichtsaussagen keine Einigung erzielt werden kann, haben die geprüften Einheiten die Möglichkeit, hierzu separat Stellung zu nehmen. Der revisionsseitig unterschriebene Bericht wird dann zusammen mit dieser Stellungnahme an sämtliche Berichtsempfänger verteilt.
  • Der Berichtsversand soll zeitnah nach Abschluss der Prüfungshandlungen in der geprüften Einheit erfolgen.
  • Die revisionsinterne Durchsicht/Prüfung des Revisionsberichtes sowie die Abstimmungen mit der/den geprüften Einheit(en) sind zu dokumentieren; dies schließt die Nachvollziehbarkeit von Änderungen am Prüfungsbericht ein.
  • Die Aktualität der Prüfungsinhalte und des Prüfungsergebnisses ist durch eine zeitnahe Berichterstattung zu gewährleisten (gem. IIA-Standard 2420).

4.4    Berichterstattung

  • Die Qualität der Berichte ist vor Versand kompetent zu sichern; Berichte sind zu genehmigen.
  • Prüfungsberichte werden grundsätzlich per E-Mail verteilt. Bei elektronischem Versand ist der Bericht im PDF-Format zu verteilen.
  • Versand des besprochenen Berichts gemäß Berichtsverteiler - ggf. inklusive Stellungnahme - an sämtliche Adressaten unmittelbar nach abschließender Behandlung/ Schlussbesprechung.


Der Prüfungsbericht wird grundsätzlich wie folgt verteilt:

  • an die geprüften Einheiten,
  • an die für die geprüften Einheiten verantwortlichen Vorstandsmitglieder,
  • an das für die Interne Revision verantwortliche Vorstandsmitglied sowie dessen Stellvertreter,
  • an den Wirtschaftsprüfer der Bank.


Im Fall eines mangelhaften Prüfungsergebnisses bzw. ab Feststellungskategorie „wesentlich“:

  • Verteilung des Berichtes an den Gesamtvorstand.


Sofern die Prüfungshandlungen besonders schwerwiegende Mängel mit existenziellem Gefährdungspotenzial für den Geschäftsbetrieb der Bank in der Gesamtbetrachtung ergeben, informiert die Interne Revision

  • umgehend den Gesamtvorstand und
  • in Absprache mit dem Vorstandsvorsitzenden, ggf. den Aufsichtsratsvorsitzenden.


Bei Nachschauprüfungen:

  • Verteilung an alle Empfänger des ursprünglichen Berichtes,
  • bei einer unzureichenden Umsetzung des aufgezeigten Handlungsbedarfs grundsätzlich Verteilung an den Gesamtvorstand.


Schwerwiegende Feststellungen gegen ein Mitglied/Mitglieder des Vorstands

  • müssen unverzüglich schriftlich dem Gesamtvorstand berichtet werden.
  • Der Vorstand hat den Vorsitzenden des Aufsichtsorgans sowie die Aufsichtsinstitutionen (BaFin, Bundesbank) unverzüglich zu informieren. Kommt der Vorstand der Berichtspflicht nicht nach oder beschließt keine sachgerechten Maßnahmen, so hat der Revisions-Leiter den Vorsitzenden des Aufsichtsorgans zu unterrichten.


Versendung von Berichten an Mandanten:

  • Für alle nach §25a KWG relevanten Prüfungen ist ein Berichtsauszug gemäß dem bestehenden Insourcingvertrag zu erstellen und zeitgleich mit der Versendung des Originalberichtes an den Mandanten zu versenden.
  • Empfänger des an den Mandanten verschickten Berichtes sind das für die Revision zuständige Mitglied der Geschäftsleitung; Kopie an den Leiter der Revisionsabteilung des Mandanten.


Berichte über Sonderuntersuchungen

  • werden nur an einen eingeschränkten Adressatenkreis verteilt. Die elektronische Weitergabe ist im Vorfeld mit dem Leiter der Revision zu klären. Der informierte/involvierte Personenkreis ist zu dokumentieren.


Wenn der Bericht wesentliche Fehler/Auslassungen enthält,

  • so hat der Leiter der Revision allen Personen, die den ursprünglichen Bericht erhalten haben, die berichtigten Informationen zu übermitteln (gem. IIA-Standard 2421).



4.5       Prüfungsnacharbeit
4.5.1    Pflege der Dauerakte/Informationsweitergabe/administrative Tätigkeiten

  • Die während der Prüfung erzeugten Unterlagen werden abschließend noch einmal gesichtet; dabei werden die für die nächste Prüfung relevanten Dokumente für die Dauerakte kopiert. Die Dauerakte ist spätestens 4 Wochen nach den Prüfungshandlungen vor Ort zu aktualisieren.
  • Hinweise über Vorkommnisse und Besonderheiten sollten in der Dauerakte abgelegt werden, um auf die prüfungsspezifischen Informationen während der Vorbereitung der nächsten Prüfung direkt zugreifen zu können.
  • Für andere Einheiten der Internen Revision relevante Informationen sollten in angemessener Weise weitergeleitet werden.
  • Sich aus der Prüfung ergebende Vorschläge/Ideen für die Verbesserung von Prüfungsleitfäden sollten bis spätestens 4 Wochen nach den Prüfungshandlungen vor Ort besprochen werden. Dabei ist sicherzustellen, dass bei Abschluss der Prüfung eine Überprüfung/Aktualisierung der genutzten Prüfungsleitfäden auf Basis der in der Prüfung gemachten Erfahrungen erfolgt, so dass diese für spätere Prüfungen genutzt werden können. Dies ist insbesondere beim erstmaligen Einsatz eines Prüfungsleitfadens von Bedeutung.
  • Prüfungsleiter und Prüfer sollten sich in individuellen Gesprächen persönliches Feedback bzw. Feedback im Hinblick auf die Effektivität der Vorgehensweise geben. Auch ein Feedback des Prüfungsleiters an seinen Vorgesetzten über den Verlauf der Prüfung sollte erfolgen.
  • Eine neue Risikobewertung der Prüfungsobjekte ist durchzuführen.



4.5.2    Archivierung von Prüfungsunterlagen

  • Prüfungsunterlagen (papierhaft/elektronisch) müssen zeitnah nach Berichtsverteilung zur Archivierung bereit sein.
  • Die Revisionsunterlagen werden im Einklang mit den gesetzlichen Bestimmungen im In- und Ausland aufbewahrt und müssen in angemessener Zeit zugänglich bzw. reproduzierbar sein. Sowohl für papierhafte Unterlagen als auch für elektronische Dateien gelten folgende Aufbewahrungsfristen:
    • Arbeitsunterlagen: 6 Jahre; bei Sonderuntersuchungen 30 Jahre (wenn die Prüfung externe Ansprüche zum Gegenstand hatte, die nach § 197 BGB erst nach 30 Jahren verjähren)
    • Originale von Revisionsberichten für Standardprüfungen 10 Jahre; bei Sonderuntersuchungen: 30 Jahre (wenn die Prüfung externe Ansprüche zum Gegenstand hatte, die nach § 197 BGB erst nach 30 Jahren verjähren)
    • In Revisionsaußenstellen mit eigenem Archiv sind die lokalen, gesetzlichen Aufbewahrungsfristen zu beachten. Sofern diese kürzer als die oben angegebenen Perioden sind, sind die jeweils längeren Fristen zu beachten (Die Aufbewahrungsfristen beginnen mit Ablauf des Kalenderjahres der Prüfung).
  • Der unterschriebene Originalbericht wird archiviert.
  • Nach Abschluss der Prüfung verbleibt das Prüfungsverzeichnis auf den File-Servern und ist dort weiterhin verfügbar. Zusätzlich werden die elektr. Daten regelmäßig in die Langzeitsicherung überführt (wenn nötig, können diese auch auf CD-ROM gebrannt werden).

 

4.6    Follow-Up

In der Follow-Up Phase wird die fristgerechte Umsetzung der mit der geprüften Einheit vereinbarten korrigierenden Maßnahmen überwacht. Im Sinne einer Ausrichtung der Revisionsaktivitäten an den Unternehmenszielen gilt an dieser Stelle, dass sowohl die jeweilige geprüfte Einheit als auch die Interne Revision gemeinsame Ziele verfolgen. Schließlich ist es im Interesse aller, bestehende Kontrollschwächen und Prozessmängel zeitnah und effektiv zu beheben.

Die Verantwortung für den Follow-Up Prozess obliegt der Internen Revision. Sie ist dabei unter anderem zuständig für die Begleitung und Unterstützung der geprüften Einheit bei der Mängelbeseitigung durch Überwachung, Nachschauprüfung, Eskalation und Management-Reporting der umgesetzten Maßnahmen. Der Follow-Up Prozess umfasst die nachfolgenden Arbeitsschritte.


4.6.1    Überwachung des Handlungsbedarfs

  • Basierend auf den im Revisionsbericht vereinbarten Maßnahmen und Umsetzungsterminen überwacht die Interne Revision die fristgerechte Umsetzung des Handlungsbedarfs zur Beseitigung der Mängel und ist von den hierfür verantwortlichen Stellen entsprechend zu informieren. Dies wird im Idealfall durch ein IT-basiertes Follow-Up System unterstützt, worauf auch die geprüften Einheiten Zugriff haben um darin die durchgeführten Maßnahmen und den aktuellen Umsetzungsstand fristgerecht zu erfassen.
  • Die Interne Revision überwacht und beurteilt die sachgerechte und vollständige Umsetzung der Maßnahmen. Die Beurteilung erfolgt grundsätzlich anhand der erhaltenen Unterlagen bzw. Informationen. Von der Umsetzung aller Maßnahmen, unabhängig von der Risikoklasse, hat sich die Interne Revision spätestens im Rahmen der nächsten planmäßigen Prüfung des entsprechenden Prüfungsgebiets zu überzeugen (materielle / inhaltliche Prüfung).
  • Die Art und Weise der Überwachung durch die Interne Revision sollte nach Risikowertigkeit der zugrunde liegenden Feststellung in Umfang und Intensität unterschiedlich gehandhabt werden und kann sich an der Klassifizierung von Feststellungen gemäß Kapitel 4.3 orientieren. Insbesondere ist zu berücksichtigen, ob auf Basis der Feststellungen Mängel gemäß MaRisk gegeben sind (siehe 4.3.) bzw. ob besonders hohe Risiken bestehen. Die Ausgestaltung bzw. Intensität der Überwachungsmaßnahmen für die Beurteilung der ergriffenen Maßnahmen zur Erledigung kann dabei wie folgt abgestuft sein und ist risikoorientiert festzulegen:
    • Die Umsetzung der Maßnahmen wird bis hin zur vollständigen Behebung des Mangels von der Internen Revision in risikoorientiert unterschiedlicher Ausprägung überwacht:
      • es erfolgt eine zeitnahe Nachschauprüfung (vor Ort) aller relevanten Sachverhalte.
      • die Beurteilung erfolgt anhand der erhaltenen Unterlagen bzw. Informationen (Validierung / Plausibilitätsprüfung), ggf. erfolgt eine Nachschauprüfung (vor Ort) einzelner Sachverhalte bzw. in Stichproben.
      • die Beurteilung erfolgt anhand der erhaltenen Unterlagen bzw. Informationen (Validierung / Plausibilitätsprüfung).
      • es wird lediglich die zeitgerechte Erledigungsmeldung überwacht, die inhaltliche Beurteilung bzw. Validierung erfolgt erst im Rahmen der nächsten planmäßigen Prüfung des entsprechenden Prüfungsgebiets.
    • Die Umsetzung der Maßnahmen bis hin zur vollständigen Behebung des Mangels erfolgt in Verantwortung der geprüften Einheit; die inhaltliche Beurteilung bzw. Validierung seitens der Internen Revision erfolgt erst im Rahmen der nächsten planmäßigen Prüfung des entsprechenden Prüfungsgebiets.
  • Eine zeitnahe und effiziente Umsetzung der korrigierenden Maßnahmen ist unter anderem ein wesentliches Kennzeichen eines funktionierenden Internen Kontrollsystems, deshalb werden Terminverlängerungen grundsätzlich nicht eingeräumt. Daher sind bei der Terminierung der Maßnahmen von vornherein adäquate Fristen zu vereinbaren. Im Ausnahmefall sind notwendige Terminverlängerungen von der verantwortlichen Stelle frühzeitig zu beantragen und zu dokumentieren, sowie mit der Internen Revision abzustimmen, dabei ist eine unter Risikoaspekten angemessene Nachfrist zu vereinbaren. Der ursprünglich vereinbarte Erledigungstermin bleibt zwar prinzipiell erhalten, die Interne Revision berücksichtigt die vereinbarte Nachfrist jedoch bei Eskalation und Reporting.
  • Die Interne Revision gibt der geprüften Einheit Rückmeldung bezüglich der Beurteilung der berichteten ergriffenen Maßnahmen und deren Umsetzungsstand. Dies gilt insbesondere für Feststellungen mit höherem Risiko, als auch grundsätzlich für den Fall, dass die Interne Revision eine sach- und zeitgemäße Umsetzung für eine größere Anzahl von Maßnahmen als gefährdet ansieht. In diesen Fällen initiiert die Interne Revision gemeinsam mit dem verantwortlichen Management geeignete Maßnahmen zur Sicherstellung einer angemessenen Umsetzung und wendet dabei die Mittel „Nachfrist“ sowie „Eskalation“ risikoorientiert an.
  • Unabhängig von der Bewertung der Feststellungen und des aktuellen Umsetzungsstandes der Maßnahmen empfiehlt es sich, die zuständige Einheit in angemessener Zeit vor Fälligkeit an den baldigen Firstablauf zu erinnern, zum Beispiel via E-Mail (sofern nicht durch das IT-basierte Follow-Up-System automatisch Erinnerungen versandt werden bzw. eine selbständige Überwachung durch die zuständige Einheit ermöglicht ist).
  • Die Dokumentation der Mängelbeseitigung erfolgt schriftlich durch die geprüfte Einheit (sofern nicht durch das Follow-Up-System bereits sichergestellt). Die jeweilige Feststellung kann erst nach entsprechender Validierung durch die Interne Revision geschlossen werden, sofern eine solche Validierung (ggf. auch durch Nachschauprüfung) entsprechend der o.a. Intensitätsstufe der Überwachung bzw. Beurteilung durch die Interne Revision vorgesehen ist.



4.6.1.1        Feststellungen mit langfristigem Erledigungsdatum

Feststellungen mit langfristigem Erledigungsdatum (> 6 Monate) sind im Regelfall dadurch gekennzeichnet, dass ihre Umsetzung in mehreren Abschnitten erfolgt, für die jeweils einzeln abzuarbeitende Meilensteine festgelegt werden (vgl. Kapitel 4.4.2).

  • Für Feststellungen mit langfristigem Erledigungsdatum gelten die bereits genannten Grundsätze und sind auf jeden einzelnen vorher festgelegten Meilenstein sinngemäß anzuwenden. Die Dokumentation der Mängelbeseitigung, Eskalation bzw. das Reporting erfolgen somit einzeln mit Bezug auf den jeweils nächsten Meilenstein. Mit Erledigung eines Meilensteins wird der Termin des jeweils nächsten Meilensteins für Überwachung, Eskalation und Reporting berücksichtigt.
  • Nur die Erledigung des jeweils letzten Meilensteins führt zur Erledigung der Feststellung.
  • Bei diesen langfristigen Maßnahmen kann die verantwortliche Einheit alternativ auch verpflichtet werden, der Internen Revision im Turnus von max. sechs Monaten über den aktuellen Stand der Umsetzung zu berichten. Die Interne Revision behält sich dabei vor, bei einem unbefriedigenden Zwischenergebnis auch vor Ablauf des vereinbarten Umsetzungszeitpunktes, die Erledigung der Maßnahme zu eskalieren.



4.6.1.2        Follow-Up von Feststellungen aus Prüfungen zu Insourcing, Outsourcing und im Konzerninteresse

  • Sofern Einlagerungssachverhalte von der Internen Revision des Einlagerers geprüft worden sind, ist jedem Mandanten (Auslagerer) bzw. dessen Revisionsabteilung über den Status der Nachverfolgung zu berichten. Dies erfolgt mittels eines spätestens alle 6 Monate zu erstellenden Zwischenberichtes, der auf die festgestellten Mängel und deren Beseitigung in allgemeiner Form eingeht. Dies gilt analog auch für Feststellungen aus Prüfungen der Konzernrevision in Tochtergesellschaften (auch im Konzerninteresse).
  • Sofern Auslagerungssachverhalte von der Internen Revision des Einlagerers geprüft worden sind, hat die Interne Revision des Auslagerers Informationen zur Nachverfolgung einzuholen.



4.6.1.3        Nachverfolgung von Feststellungen des Wirtschaftsprüfers

  • Die Interne Revision sollte auch die Feststellungen externer Prüfer aufnehmen und einem zu Revisionsfeststellungen analogen Follow-Up-Prozess unterziehen.
  • Mit den verantwortlichen Einheiten sind in Abstimmung mit dem externen Prüfer die zu erledigenden Feststellungen und deren Risikoklassifizierung nach dem Bewertungsschema für eigene Feststellungen der Internen Revision und entsprechende Umsetzungsmaßnahmen und –termine zu vereinbaren und auf Erledigung zu überwachen.



4.6.1.4        Behandlung anderer externer Prüfungsberichte

  • Die Interne Revision sollte festlegen, welche Feststellungen aus anderen externen Prüfungen aufzunehmen und einem zu Revisionsfeststellungen analogen Follow-Up-Prozess zu unterziehen sind.



4.6.2    Nachschauprüfung

  • Bei insgesamt mangelhaften Revisionsergebnissen (vgl. Kapitel 4.3.3) wird die routinemäßige Überwachung der Mängelbeseitigung durch eine Nachschauprüfung unterstützt. Der Zeitpunkt und der Umfang der Nachschauprüfung kann in Abhängigkeit von der Risikobewertung der zugrunde liegenden Feststellungen individuell festgelegt werden, sie sollte jedoch grundsätzlich innerhalb eines halben Jahres nach Abschluss der ursprünglichen Prüfung beginnen.
  • Bei Prüfungen, in denen das Gesamtergebnis der geprüften Einheit zwar nicht mangelhaft ist, aber einzelne Abteilungen/ Bereiche bzw. Prozessschritte mangelhafte Revisionsergebnisse aufgewiesen haben, ist in Erwägung zu ziehen, für diese Teilbereiche eine Nachschauprüfung anzusetzen.
  • Berichte über Nachschauprüfungen mit unzureichender Umsetzung des aufgezeigten Handlungsbedarfs sollten nicht nur dem verantwortlichen Management, sondern zusätzlich der gesamten Geschäftsleitung vorgelegt werden. Die Revisionsleitung wird die Berichte mit dem jeweils zuständigen Mitglied der Geschäftsleitung behandeln und individuelle Maßnahmen veranlassen.



4.6.3    Eskalation

  • Für den Fall, dass zu den vereinbarten Fälligkeitsterminen keine Erledigung der Maßnahmen erfolgt ist, wird ein, dem zugrunde liegenden Risiko, dem tatsächlichen Erledigungsfortschritt und der Unternehmensstruktur Rechnung tragender, Eskalationsprozess angewandt. Je nach Unternehmensgröße und Risiko der Feststellung, kann bis zum fachlich zuständigen Mitglied der Geschäftsleitung eskaliert werden. Das Eskalationsverfahren gilt analog auch für nicht akzeptable Erledigungsmeldungen oder Stellungnahmen.



4.6.4    Management Reporting zum Umsetzungscontrolling/Follow-Up

  • Ein effektives Management Reporting basiert auf einem flächendeckenden und aktuellen Monitoring des Umsetzungsstands der Maßnahmen.
  • Die Revisionsleitung informiert die Geschäftsleitung regelmäßig zeitpunktbezogen über Anzahl und Erledigungsstand aller Maßnahmen, insbesondere über wesentliche, schwerwiegende und besonders schwerwiegende Mängel (Definition gem. MaRisk) sowie mit Fokus auf Feststellungen mit hohem Risiko.
  • Der Jahresbericht der Internen Revision muss ebenfalls Informationen zum Stand der Mängelbeseitigung enthalten. (vgl. MaRisk BT 2.5 Tz. 2)



4.7    Gremienberichterstattung

  • Je nach Struktur und gesellschaftsrechtlichem Hintergrund sind nicht nur die Geschäftsleitung sondern auch weitere Gremien bzw. Komitees in die Eskalation sowie das Managementreporting einzubeziehen. Hier kommen zunächst der Aufsichts- bzw. Verwaltungsrat sowie ggf. dessen Subkomitees in Betracht; darüber hinaus könnten z.B. Komitees im Risikomanagement/-controlling sowie in den Geschäftsbereichen hinzugezogen werden.
  • Innerhalb eines Konzerns sind auch Prüfungen bzw. Feststellungen in Tochtergesellschaften (sowohl von Revisionsabteilung der Tochtergesellschaft als auch von der Konzernrevision) zu beachten. Werden im Rahmen einer Prüfung bei Tochtergesellschaften Feststellungen getroffen, sind diese ebenfalls in den Follow-Up und Reportingprozess aufzunehmen.

Quellenverzeichnis

  • Leitfaden zur Durchführung eines Quality Assessments des DIIR, 2. Auflage 2007, www.diir.de
  • BaFin-Rundschreiben 11/2010 vom 15.12.2010
  • DIIR- Deutsches Institut für Interne Revision e.V., DIIR Revisionsstandard Nr. 1, Zusammenarbeit von Interner Revision und Abschlussprüfer; 2003