Interne Revision

Interne Revision

AT 4.4.3 Interne Revision

1 Jedes Institut muss über eine funktionsfähige Interne Revision verfügen. Bei Instituten, bei denen aus Gründen der Betriebsgröße die Einrichtung einer Revisionseinheit unverhältnismäßig ist, können die Aufgaben der Internen Revision von einem Geschäftsleiter erfüllt werden.
2 Die Interne Revision ist ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und berichtspflichtig. Sie kann auch einem Mitglied der Geschäftsleitung, nach Möglichkeit dem Vorsitzen- den, unterstellt sein. Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsorgans – soweit vorhanden – unter Einbeziehung der Geschäftsleitung direkt bei dem Leiter der Internen Revision Auskünfte einholen kann.Einholung von Auskünften durch den Vorsitzenden des Aufsichtsorgans
Wenn das Institut einen Prüfungsausschuss eingerichtet hat, kann alternativ sichergestellt werden, dass der Vorsitzende des Prüfungsausschusses Auskünfte beim Leiter der Internen Revision ein- holen kann.
3 Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessen- heit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen so- wie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht. BT 2.1 Tz. 3 bleibt hiervon unberührt.
4 Zur Wahrnehmung ihrer Aufgaben ist der Internen Revision ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. Dieses Recht ist jederzeit zu gewährleisten. Der Internen Revision sind insoweit unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie die IT-Systeme des Instituts zu gewähren.
5 Weisungen und Beschlüsse der Geschäftsleitung, die für die Interne Revision von Bedeutung sein können, sind ihr bekannt zu geben. Über wesentliche Änderungen im Risikomanagement ist die Interne Revision rechtzeitig zu informieren.
6 Wechselt die Leitung der Internen Revision, ist das Aufsichtsorgan – soweit vorhanden – rechtzeitig vorab unter Angabe der Gründe für den Wechsel zu informieren.

BT 2 Besondere Anforderungen an die Ausgestaltung der Internen Revision

BT 2.1 Aufgaben der Internen Revision

1 Die Prüfungstätigkeit der Internen Revision hat sich auf der Grundlage eines risikoorientierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse des Instituts zu erstrecken.
2 Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten bei wesentlichen Projekten begleitend tätig zu sein.
3 Im Fall von Auslagerungen auf ein anderes Unternehmen kann die Interne Revision des Instituts auf eigene Prüfungshandlungen verzichten, sofern die anderweitig durchgeführte Revisionstätigkeit den Anforderungen in AT 4.4.3 und BT 2 genügt. Die Interne Revision des auslagernden Instituts hat sich von der Einhaltung dieser Voraussetzungen regelmäßig zu überzeugen. Die für das Institut relevanten Prüfungsergebnisse sind an die Interne Revision des auslagernden Instituts weiterzuleiten.Anderweitige Durchführung der Revisionstätigkeit
Die Revisionstätigkeit kann übernommen werden durch:
die Interne Revision des Auslagerungsunternehmens, die Interne Revision eines oder mehrerer der auslagernden Institute im Auftrag der auslagernden Institute, einen vom Auslagerungsunternehmen beauftragten Dritten odereinen von den auslagernden Instituten beauftragten Dritten.

Im Rahmen ihrer Revisionshandlungen kann die Interne Revision auch auf Nachweise/Zertifikate auf Basis gängiger Standards zurückgreifen. Hierbei sind sowohl die Detailtiefe, Aktualität und Eignung der Nachweise/Zertifikate und der zugehörigen Prüfberichte als auch die Eignung des Zertifizierers oder Prüfers zu berücksichtigen. Allerdings darf sich ein beaufsichtigtes Unternehmen bei wesentlichen Auslagerungen bei der Ausübung seiner Revisionstätigkeit nicht allein hierauf stützen.

BT 2.2 Grundsätze für die Interne Revision

1 Die Interne Revision hat ihre Aufgaben selbständig und unabhängig wahrzunehmen. Insbesondere ist zu gewährleisten, dass sie bei der Berichterstattung und der Wertung der Prüfungsergebnisse keinen Weisungen unterworfen ist. Das Direktionsrecht der Geschäftsleitung zur Anordnung zusätzlicher Prüfungen steht der Selbständigkeit und Unabhängigkeit der Internen Revision nicht entgegen.
2 Die in der Internen Revision beschäftigten Mitarbeiter dürfen grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden. Sie dürfen insbesondere keine Aufgaben wahrnehmen, die mit der Prüfungstätigkeit nicht im Einklang stehen. Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie im Rahmen ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten des Instituts beratend tätig sein.
3 Mitarbeiter, die in anderen Organisationseinheiten des Instituts beschäftigt sind, dürfen grundsätzlich nicht mit Aufgaben der Internen Revision betraut werden. Das schließt jedoch nicht aus, dass in begründeten Einzelfällen andere Mitarbeiter aufgrund ihres Spezialwissens zeitweise für die Interne Revision tätig werden. Beim Wechsel von Mitarbeitern anderer Organisationseinheiten zur Internen Revision sind angemessene Übergangsfristen von in der Regel mindestens einem Jahr vorzusehen, innerhalb derer diese Mitarbeiter keine Tätigkeiten prüfen dürfen, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen. Erleichterungen hinsichtlich der Übergangsfristen sind für Institute in Abhängigkeit von der Art, dem Umfang, der Komplexität und dem Risikogehalt der betriebenen Geschäftsaktivitäten möglich.

BT 2.3 Prüfungsplanung und -durchführung

1 Die Tätigkeit der Internen Revision muss auf einem umfassenden und jährlich fortzuschreibenden Prüfungsplan basieren. Die Prüfungsplanung hat risikoorientiert zu erfolgen. Die Aktivitäten und Prozesse des Instituts sind, auch wenn diese ausgelagert sind, in angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen. Wenn besondere Risiken bestehen, ist jährlich zu prüfen. Bei unter Risikogesichtspunkten nicht wesentlichen Aktivitäten und Prozessen kann vom drei- jährigen Turnus abgewichen werden. Die Risikoeinstufung der Aktivitäten und Prozesse ist regelmäßig zu überprüfen.Unter Risikogesichtspunkten nicht wesentliche Aktivitäten und Prozesse
Ein Abweichen vom dreijährigen Prüfungsturnus für unter Risikogesichtspunkten nicht wesentliche Aktivitäten und Prozesse ist nicht gleichbedeutend mit einem weitgehenden Verzicht von Prüfungshandlungen in diesen Bereichen. Auch diese sind in die Prüfungsplanung zu integrieren und in angemessenen Abständen zu prüfen.
2 Die Risikobewertungsverfahren der Internen Revision haben eine Analyse des Risikopotenzials der Aktivitäten und Prozesse unter Berücksichtigung absehbarer Veränderungen zu beinhalten. Dabei sind die verschiedenen Risikoquellen und die Manipulationsanfälligkeit der Prozesse durch Mitarbeiter angemessen zu berücksichtigen.
3 Die Prüfungsplanung, -methoden und -qualität sind regelmäßig und anlassbezogen auf Angemessenheit zu überprüfen und weiterzuentwickeln.
4 Es muss sichergestellt sein, dass kurzfristig notwendige Sonderprüfungen, z. B. anlässlich deutlich gewordener Mängel oder bestimmter Informationsbedürfnisse, jederzeit durchgeführt werden können.
5 Die Prüfungsplanung sowie wesentliche Anpassungen sind von der Geschäftsleitung zu genehmigen.

BT 2.4 Berichtspflicht

1 Über jede Prüfung muss von der Internen Revision zeitnah ein schriftlicher Bericht angefertigt und grundsätzlich den fachlich zuständigen Mitgliedern der Geschäftsleitung vorgelegt werden. Der Bericht muss insbesondere eine Darstellung des Prüfungsgegenstandes und der Prüfungsfeststellungen, ggf. einschließlich der vorgesehenen Maßnahmen, enthalten. Wesentliche Mängel sind besonders herauszustellen. Dabei sind die Prüfungsergebnisse zu beurteilen. Bei schwerwiegenden Mängeln muss der Bericht unverzüglich der Geschäftsleitung vorgelegt werden.Abstufung der Mängel
Das Rundschreiben unterscheidet in BT 2 zwischen „wesentlichen“,„schwerwiegenden“ und „besonders schwerwiegenden“ Mängeln.

Damit wird eine ordinale Abstufung hinsichtlich der (potenziellen) Bedeutung der unter Risikogesichtspunkten relevanten festgestellten Mängel erreicht.

Die genaue Abgrenzung der einzelnen Stufen bleibt dem jeweiligen Institut überlassen. Es liegt im Ermessen des Instituts, für unter Risikogesichtspunkten weniger relevante festgestellte Mängel eigene Festlegungen zu treffen.
2 Die Prüfungen sind durch Arbeitsunterlagen zu dokumentieren. Aus ihnen müssen die durchgeführten Arbeiten sowie die festgestellten Mängel und Schlussfolgerungen für sachkundige Dritte nach- vollziehbar hervorgehen.
3 Besteht hinsichtlich der zur Erledigung der Feststellungen zu ergreifenden Maßnahmen keine Einigkeit zwischen geprüfter Organisationseinheit und Interner Revision, so ist von der geprüften Organisationseinheit eine Stellungnahme hierzu abzugeben.
4 Die Interne Revision hat über die im Jahresablauf festgestellten schwerwiegenden sowie über die noch nicht behobenen wesentlichen Mängel in inhaltlich prägnanter Form an die Geschäftsleitung und das Aufsichtsorgan – soweit vorhanden – zu berichten (Jahresbericht). Es ist ferner darzulegen, ob und inwieweit die Vorgaben des Prüfungsplans eingehalten wurden. Die aufgedeckten schwer- wiegenden Mängel, die beschlossenen Maßnahmen sowie der Status dieser Maßnahmen sind dabei besonders hervorzuheben. Über besonders schwerwiegende Mängel hat die Interne Revision unverzüglich zu berichten.Darstellung von Feststellungen im Jahresbericht
Die Darstellung kann dabei akzentuiert vorgenommen werden. Gleichartige Einzelfeststellungen sowie der Stand der beschlossenen Umsetzungsmaßnahmen können inhaltlich zusammengefasst wer- den.

Berichterstattung an das Aufsichtsorgan
Die Berichterstattung an das Aufsichtsorgan kann auch über die Geschäftsleitung erfolgen, sofern dadurch keine nennenswerte Verzögerung der Information des Aufsichtsorgans verbunden und der Inhalt der Berichterstattung an Geschäftsleitung und Aufsichtsorgan deckungsgleich ist.
Aufsichtsorgans – soweit vorhanden – sowie die Aufsichtsinstitutionen (Bundesanstalt für Finanzdienstleistungsaufsicht, Deutsche Bundesbank) zu informieren. Kommt die Geschäftsleitung ihrer Berichtspflicht nicht nach oder beschließt sie keine sachgerechten Maßnahmen, so hat die Interne Revision den Vorsitzenden des Aufsichtsorgans zu unterrichten.
6 Revisionsberichte und Arbeitsunterlagen sind sechs Jahre aufzubewahren.

BT 2.5 Reaktion auf festgestellte Mängel

1 Die Interne Revision hat die fristgerechte Beseitigung der bei der Prüfung festgestellten Mängel in geeigneter Form zu überwachen. Gegebenenfalls ist hierzu eine Nachschauprüfung anzusetzen.
2 Werden die wesentlichen Mängel nicht in einer angemessenen Zeit beseitigt, so hat der Leiter der Internen Revision darüber zunächst den fachlich zuständigen Geschäftsleiter schriftlich zu informieren. Erfolgt die Mängelbeseitigung nicht, so ist die Geschäftsleitung spätestens im Rahmen des nächsten Gesamtberichts schriftlich über die noch nicht beseitigten Mängel zu unterrichten.