Erscheinung:04.03.2014 | Thema Governance Interne Revision: Erwartungen der Bankenaufsicht
Inhalt
Die Interne Revision ist ein wichtiger Baustein des Risikomanagements von Banken. Entsprechend hoch sind die Erwartungen, die die Bankenaufsicht an sie richtet. Der allgemeine rechtliche Rahmen für diese Erwartungen hat sich über die Jahre verändert. So ist die Corporate Governance durch verschiedene Anpassungen des Gesellschaftsrechts immer wieder gestärkt worden, beispielsweise durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) von 1998.
Zudem wurde der Deutsche Corporate Governance Kodex durch das Transparenz- und Publizitätsgesetz im Gesellschaftsrecht verankert und ist seither mehrfach fortentwickelt worden.
Für Kreditinstitute sind die Aufgaben und die Stellung der Internen Revision dezidiert im Aufsichtsrecht festgeschrieben. Da das Kreditwesengesetz (§ 25a) in diesem Punkt vage bleibt – es schreibt lediglich vor, dass eine Bank als Teil eines angemessenen und wirksamen Risikomanagements eine Interne Revision einzurichten hat –, hat die Bankenaufsicht diese Bestimmung in ihren Mindestanforderungen an das Risikomanagement (MaRisk, AT 4.4.3 und BT 2) konkretisiert.
Fortentwicklung der aufsichtlichen Anforderungen
Mit der zweiten MaRisk-Novelle von 2009 erhielt der Aufsichts- bzw. Verwaltungsratsvorsitzende ein direktes Auskunftsrecht gegenüber der Internen Revision. Diese Regelung wurde inzwischen durch das CRD-IV-Umsetzungsgesetz auf Gesetzesebene gehoben, das die Regelungen der europäischen Richtlinie CRD IV (Capital Requirements Directive IV) im Kreditwesengesetz umgesetzt hat. Seit der jüngsten MaRisk-Novelle aus dem Jahr 2012 müssen Banken außerdem den Aufsichtsrat informieren, wenn es einen Wechsel in der Leitung der Internen Revision gibt. Mit dem Trennbankengesetz wurde schließlich im Kreditwesengesetz verankert, dass die Geschäftsleiter dafür sorgen müssen, dass die Interne Revision dem Aufsichtsrat regelmäßig Bericht erstattet.
Jeder Vorstand hat die Pflicht, die Interne Revision so auszugestalten, dass sie den sich wandelnden Anforderungen der Aufsicht genügt. Dies setzt voraus, dass die Revision kompetent, souverän, selbstbewusst und unabhängig agieren kann. Die Erfüllung der aufsichtlichen Anforderungen ist aber kein Selbstzweck. Eine starke und effiziente Revision liegt vielmehr im ureigenen Interesse der Geschäftsleitung.
Beispiel: Interne Modelle
Dass das Interesse von Aufsicht und Geschäftsleitung grundsätzlich gleichgerichtet ist, wird beispielhaft anhand der mathematischen Modelle deutlich, die zur Risikoquantifizierung verwendet werden. Will eine Bank solche mathematischen Modelle für die aufsichtsrechtliche Eigenkapitalunterlegung nutzen, so sind sie zunächst durch die Interne Revision zu prüfen, bevor sie der Aufsicht zur Genehmigung vorgestellt werden.
Seitdem die europäische Capital Requirements Regulation (CRR) Anfang 2014 in Kraft getreten ist, stellt die Aufsicht außerdem detailliertere Anforderungen an die laufende Prüfung dieser Modelle. Wendet eine Bank ein Marktpreisrisikomodell zur Berechnung der Eigenkapitalanforderungen an, so muss die Interne Revision nun mindestens einmal jährlich das gesamte Risikomanagementsystem prüfen. Sie muss sich unter anderem ansehen, wie die Risikomessungen in das tägliche Risikomanagement einbezogen werden, ob die Daten richtig und vollständig und ob die Volatilitäts- und Korrelationsannahmen angemessen sind.
Die kompetente Prüfung der internen Modelle dient sowohl der Stabilität der Bank als auch zwei zentralen bankaufsichtlichen Zielen: der Stabilität und Funktionstüchtigkeit des gesamten Finanzsystems und dem Gläubigerschutz. Je besser die Modelle sind, mit denen die regulatorischen Eigenkapitalanforderungen ermittelt werden, desto eher ist davon auszugehen, dass das regulatorische Eigenkapital, mit dem die Banken ihre Risiken unterlegen müssen, diese Risiken auch tatsächlich angemessen abdeckt. Zugleich eignen sich die Modelle umso besser zur internen Steuerung einer Bank, je zuverlässiger und valider ihre Ergebnisse sind. Letzteres gilt selbstverständlich auch für Modelle, die nicht zur Berechnung der regulatorischen Eigenkapitalunterlegung genutzt werden, anhand derer eine Bank aber intern die Risikotragfähigkeit ermittelt und steuert.
Flexibilität
Das Umfeld und die Rahmenbedingungen des Bankgeschäfts sind einem ständigen Wandel unterworfen. Dies gilt nicht nur für die Marktstrukturen und -verhältnisse. Auch die Regulierung der Finanzmärkte entwickelt sich stetig weiter. Neue rechtliche Vorgaben, auch aus anderen Rechtsbereichen, führen dazu, dass Banken ihre Prozesse ändern, ihre Strukturen reformieren, neue Verfahren und Methoden einführen müssen – und das in immer kürzeren Zyklen.
Stetig die Fülle neuer Themen aufzunehmen und zu verarbeiten, stellt nicht nur für die Geschäftsleitung und die betroffenen Marktsegmente eine Herausforderung dar. Auch die Interne Revision muss diese intellektuelle Anpassungsleistung erbringen, also relevante Veränderungen erkennen und erfassen, deren Bedeutung analysieren und angemessen darauf reagieren. Dazu gehört auch, einmal getroffene Wertungen – beispielsweise die Einstufung eines Prüfungsgebiets – turnusmäßig, aber vor allem auch im Lichte neuer Entwicklungen und Ereignisse immer wieder kritisch zu hinterfragen und zu revidieren, wenn diese nicht mehr haltbar sind. Anlass hierfür können internationale Entwicklungen und Ereignisse sein, aber auch regionale oder unternehmensinterne Faktoren. Auch Probleme, die in anderen Häusern auftreten, können Anlass geben, bestimmten Themen im eigenen Institut nachzugehen. Um ihre Aufgabe sinnvoll erfüllen zu können, ist es wichtig, dass Revisoren nicht betriebsblind werden. Sie sollten ihr Haus aus unterschiedlichen Perspektiven beleuchten und etablierte Herangehensweisen immer wieder hinterfragen.
Informationen und Fachkenntnisse
Flexibel auf neue Entwicklungen reagieren kann nur, wer gut informiert ist. Die MaRisk verpflichten den Vorstand deshalb, der Internen Revision relevante Weisungen und Beschlüsse bekanntzugeben und sie rechtzeitig über wichtige Änderungen im Risikomanagement zu informieren. Sie muss aber auch das externe Umfeld vorausschauend beobachten und analysieren, um entsprechend reagieren zu können. Die Ergebnisse dieser Analysen sollten sich in einer zukunftsorientieren Prüfungsplanung niederschlagen.
Als „dritte Verteidigungslinie“1 hat die Interne Revision die Aufgabe, die prozessintegrierten Kontrollmechanismen und das Risikocontrolling wie auch die Compliance-Funktion zu prüfen. Um dazu in der Lage zu sein, muss die Revision über umfangreiche Fachkenntnisse verfügen. Sie muss die hochkomplexen Verfahren zur Bewertung der Positionen und ihrer Risiken, mit denen das Risikocontrolling arbeitet, verstehen und validieren können. Das umfasst auch die Berechnungslogik der schon erwähnten Modelle zur Risikoquantifizierung. Die Revision muss nachvollziehen können, wie die Risikowerte aus den einfließenden Daten generiert werden, welche Annahmen dem zugrunde liegen und welche Grenzen der Modellierung gesetzt sind. Selbstverständlich muss die Revision ihren Fokus auch auf die IT-technischen Aspekte der Risikomessung und -steuerung richten. Sie muss die Risikowerte, die mit den Modellen des Risikocontrollings ermittelt werden, unabhängig beurteilen können.
Um den Geschäftsbereichen auf Augenhöhe begegnen zu können, muss die Interne Revision wissen, nach welchen Gesichtspunkten diese ihre Entscheidungen treffen. Damit sie als „Sparringspartner“ wahr- und auch ernstgenommen wird, bedarf es zudem einer gewissen Seniorität auf Seiten der Revision.
Projektbegleitung
Ein Resultat der Dynamik, die die Finanzbranche derzeit erlebt, ist die Häufung von Projekten. Um sich zukunftsfähig aufzustellen, müssen die Banken Prozesse optimieren, Kosten reduzieren, Potenziale besser ausschöpfen sowie Marktauftritt und -durchdringung verbessern. Diese und andere Ziele versuchen die Institute mit Projekten zu erreichen. Die MaRisk schreiben ausdrücklich vor, dass die Interne Revision wesentliche Projekte begleitet. Sie hat dafür die erforderlichen Kapazitäten einzuplanen, sowohl was die Zahl der Personen angeht als auch deren Qualifikation.
Die Projektbegleitung hilft beiden Seiten. Einerseits profitieren die federführenden Bereiche vom Know-how der Revision, was die Gefahr mindert, dass sich Projektverantwortliche verrennen. Die Revision ihrerseits kann die Projekte in einem frühen Stadium beeinflussen, anstatt sie nachträglich stoppen zu müssen. Sie gewinnt zudem frühzeitig wertvolle Einblicke in geplante Strukturen und Abläufe.
Projektbegleitung ist für die Revision jedoch immer ein Spagat. Sie darf ihre Unabhängigkeit dabei keinesfalls aufs Spiel setzen. Die Verantwortung liegt bei den Einheiten, die das Projekt initiieren beziehungsweise umsetzen. Da die Interne Revision diese Einheiten nach der Projektrealisierung prüfen muss, darf sie in den Projekten keine leitenden oder entscheidungsrelevanten Funktionen übernehmen.
Rolle der Revision und interne Kommunikation
Das Rollenverständnis der Internen Revision hat sich in den vergangenen Jahren stetig gewandelt. Revision beschränkt sich heute nicht mehr darauf, Ideen und Entwicklungen zu stoppen. Sie gestaltet diese vielmehr konstruktiv mit. Dabei müssen die Revisoren nach den MaRisk sowohl gesetzliche Vorgaben im Blick haben als auch mögliche Risiken. Zusätzlich sollten sie die unternehmerische Perspektive einnehmen. Das verschafft ihr Respekt innerhalb des Hauses, stellt aber auch hohe Anforderungen an die Revisoren: Sie benötigen nicht nur fachliche, sondern auch persönliche Kompetenz.
Stellt die Interne Revision Mängel fest, so hat sie mit Nachdruck darauf hinzuwirken, dass diese beseitigt werden. Revisoren brauchen somit den Mut zu klaren Worten. Die interne Kommunikation, also die Vermittlung der Revisionsergebnisse, ist fast ebenso wichtig wie die eigentliche Prüfungsarbeit. Die Revision muss die Beteiligten davon überzeugen, dass ihre Erkenntnisse und Feststellungen das Institut voranbringen. Geht es darum, Schaden vom Unternehmen abzuwenden, ist dies meist gut vermittelbar. Mehr Überzeugungsarbeit kann bei Maßnahmen erforderlich werden, deren direkter Nutzen weniger greifbar ist, etwa wenn sie die Effizienz verbessern und helfen sollen, Potenziale besser auszuschöpfen.
Aufsichts- und Verwaltungsräte
Kommunikation ist auch von zunehmender Bedeutung, wenn es um die Beziehung zum Aufsichtsoder Verwaltungsrat geht. Dieser ist seit Ausbruch der Finanzkrise mehr und mehr in den Fokus von Aufsicht und Gesetzgeber gerückt. 2009 wurden erstmals Anforderungen an die Sachkunde und persönliche Zuverlässigkeit seiner Mitglieder im Kreditwesengesetz festgeschrieben. Weitere Neuerungen ergeben sich aus der CRD IV: Das Umsetzungsgesetz verlangt ausdrücklich, dass die Mitglieder des Aufsichtsorgans ihrer Aufgabe ausreichend Zeit widmen. Die Institute sind nun auch verpflichtet, angemessene personelle und finanzielle Ressourcen einzusetzen, um den Mitgliedern des Aufsichtsorgans zu ermöglichen, sich so fortzubilden, dass ihre Sachkunde immer auf dem neuesten Stand ist.
Anders als die Interne Revision ist der Aufsichts- beziehungsweise Verwaltungsrat nicht in die Organisation eines Instituts eingebunden. Um seine Aufgabe wahrnehmen zu können, ist er deshalb auf Informationen von innen angewiesen. Im dualen System der deutschen Unternehmensverfassung verläuft der Informationskanal grundsätzlich vom Vorstand zum Aufsichtsorgan. Wie erwähnt, räumt das Kreditwesengesetz aber dem Aufsichtsratsvorsitzenden auch gegenüber dem Leiter der Internen Revision ein direktes Informationsrecht ein. Hat der Aufsichtsrat einen Risiko- oder einen Prüfungsausschuss eingerichtet, so geht das Informationsrecht jeweils auf deren Vorsitzende über. Zusätzlich ist durch das Trennbankengesetz die Pflicht zur regelmäßigen Berichterstattung an den Aufsichtsrat hinzugekommen.
Vor dem Hintergrund der neuen, deutlich konkretisierten Anforderungen an die Aufsichtsräte ist davon auszugehen, dass sie den Informationskanal zur Internen Revision zunehmend nutzen werden. Die Aufsichtsräte benötigen klare, verständliche und ungeschönte Informationen und objektive, auch kritische Einschätzungen, um ihre Aufgabe zu erfüllen. Dazu sollten sie offen mit der Internen Revision kommunizieren – sowohl regelmäßig als auch anlassbezogen. Das Unternehmensrecht lässt dabei durchaus Spielraum, die Kommunikation über die Mindestanforderungen hinaus zu institutionalisieren.
Verhältnis zu Vorstand und Aufsichtsrat
Die Interne Revision sollte für die Unternehmensleitung und zunehmend auch für das Aufsichtsorgan ein kompetenter Sparringspartner sein. Das Dreieck Vorstand–Aufsichtsrat–Interne Revision funktioniert aber nur dann optimal, wenn in allen drei Einheiten gestandene Persönlichkeiten agieren, die ihre jeweilige Rolle in diesem Gefüge kennen und annehmen. Um die Rolle der Aufsichtsräte und der Internen Revision im Bankensektor zu stärken, hat das Aufsichtsrecht einige Meilensteine gesetzt.
Hinweis
Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.
Fußnote
- 1 Als erste Verteidigungslinie wird die (Selbst-)Kontrolle der Geschäftsbereiche angesehen, als Verteidigungslinie 2 die prozessbegleitenden Kontrollen durch nicht-operative Unternehmenseinheiten, insbesondere das Risikocontrolling und die Compliance-Funktion.