Liebe Leserinnen und Leser,

Transkript

1 Editorial HERAUSGEBER Holger Aurisch, Bereichsleiter Interne Revision, Volksbank Breisgau Nord eg Axel Becker, Bereichsleiter Revision, Südwestbank AG Rainer Eckart, Leiter Revision, Deutsche WertpapierService Bank AG Detlef Hayn, Abteilungsleiter Kreditrevision, Sparkasse Essen Heimo Heimann, Wirtschaftsprüfer, Steuerberater, Partner, CASIS Heimann Buchholz Espinoza Partnerschaft Wirtschaftsprüfungsgesellschaft Kai Kreische, Bundesbankdirektor, Hauptgruppenleiter Bankgeschäftliche Prüfungen, Deutsche Bundesbank Helge Lauterbach, Managing Director Business and Regulatory Development CE & Change Management, Group Audit, Deutsche Bank AG Klaus Ott, Wirtschaftsprüfer, Steuerberater, Partner, Financial Services, Regulatory & Compliance, KPMG AG Wirtschaftsprüfungsgesellschaft Thorsten Pegelow, Leiter Unternehmensbereich Revision, Hamburger Sparkasse AG Thomas Ramke, Leiter Revision Risk, Finance & Support, Volkswagen Financial Services AG Andreas Reimann, Bereichsleiter Revision, Deutsche Postbank AG Dr. Michael Schiwietz, stv. Bereichsleiter Revision, Leiter Steuerungsrevision, UniCredit Bank AG Dr. Gebhard Zemke, Wirtschaftsprüfer, Steuerberater, Leiter Banken und Finanzdienstleister, BDO AG Wirtschaftsprüfungsgesellschaft REDAKTION Michael Helfer, Chefredakteur und VisdP Dr. Patrick Rösler, stellv. Chefredakteur Corinna van der Eerden, stellv. Chefredakteurin Dr. Christian Göbes Frank Sator Marcus Michel Jürgen Blatz Christine Glemser Thomas Göhrig Jörg Wehmeyer Liebe Leserinnen und Leser, ein sich immer schneller änderndes (nicht nur) regulatorisches Umfeld und damit einhergehend kontinuierlich gestiegene Anforderun- Andreas Reimann gen an die Interne Revision definieren das Anforderungsprofil für Revisoren. In Verbindung mit dem unveränderten Anspruch, auf Augenhöhe Sparringspartner der Fachbereiche zu sein und das Richtige in der richtigen Tiefe zu prüfen, stellt sich die Frage, ob wir Handeln und unsere Einschätzungen wirklich kritisch und regelmäßig hinterfragen. Ganz zu schweigen von der Frage, ob wir angemessen darauf reagieren! Haben wir dabei neben den eher formal getriebenen oder in konkreten, z. B. gesetzlichen Veränderungen begründeten Anpassungen unserer Prüfungen auch die sich ändernde Einstellung der Gesellschaft zu bestimmten Themen auf dem Radarschirm? Stichwort Reputation: Das, was in der Vergangenheit akzeptiert oder zumindest hingenommen war (z. B. Intransparenzen in der Produktgestaltung, bestimmte Verkaufspraktiken oder Anreizsysteme bis hin zum Hinterfragen von ganzen Geschäftsfeldern), kann schon heute oder morgen als inakzeptabel in der breiten Öffentlichkeit negativ diskutiert werden und entsprechend negative Auswirkungen auf die Reputation und ggf. den geschäftlichen Erfolg Ihres Instituts haben. Die Medien liefern uns hierzu regelmäßig Anschauungsmaterial. Als Interne Revision sehen wir viele dieser Dinge. Aber, erkennen, hinterfragen und werten wir sie auch? Regen wir eine kritische Auseinandersetzung des Managements mit diesen Sachverhalten an? Wenn auch vielleicht in Bezug auf konkrete Auswirkungen schwieriger abschätzbar als ein kalkulatorisch ermittelbares Verlustpotenzial eines Portfolios, so ist die systematische, unternehmerische Auseinandersetzung mit solchen Themen im Rahmen des Risikomanagements nicht weniger wichtig. Auch insofern gilt also für die Revision unverändert: das Richtige in der richtigen Tiefe prüfen. Herzliche Grüße und viel Spaß bei der Lektüre dieser Ausgabe des RevisionsPraktiker. Andreas Reimann, Bereichsleiter Revision, Deutsche Postbank AG 97

2 Inhalt AKTUELL BEITRÄGE 100 Monitoring der Veränderung externer Rahmenbedingungen 101 Veranstaltungsbericht: 10. Heidel berger Kredit revisionstage 102 Reputationsrisikomanagement in Banken: Neues Themengebiet für die Interne Revision Prof. Dr. Thomas Kaiser, KPMG AG Wirtschaftsprüfungsgesellschaft ww Reputationsrisiken sind als neue Risikoart in vielen Banken in den Fokus gerückt. Hieraus ergibt sich das Erfordernis für die Interne Revision, sich mit dem Thema zu beschäftigen und in Prüfungshandlungen einzubeziehen. Impressum RevisionsPraktiker Aktuelle Fachinformationen Innovative Prüfungsansätze Effiziente Revisionsprozesse Titelfoto Montafon Tourismus ISSN Redaktion Michael Helfer, Chefredakteur und VisdP Dr. Patrick Rösler, stellv. Chefredakteur Corinna van der Eerden, stellv. Chefredakteurin Dr. Christian Göbes Frank Sator Marcus Michel Jürgen Blatz Christine Glemser Thomas Göhrig Jörg Wehmeyer 109 Prüfung des Risikocontrolling im Prüfungsplan 2013: Aktuelle Entwicklungen und Hinweise auf Prüfungsschwerpunkte Heimo Heimann, CASIS Wirtschaftsprüfungsgesellschaft, Hamburg ww Das Prüffeld Risikocontrolling stellt die Interne Revision auch in diesem Jahr vor besondere Herausforderungen. Der Beitrag greift neben den aktuellen Entwicklungen auch bestehende risiko behaftete Prüfungsfelder auf, um im Ergebnis Hinweise auf Prüfungsschwerpunkte 2013 im Risikocontrolling zu geben. 114 Management-Audit: Prüfung von Führungswirkung als neue Herausforderung für die Interne Revision Thomas Maurer, Münchner Bank eg ww Eine Bank kann ihre Existenz nur dann dauerhaft sichern, wenn es dem Management und den Führungskräften gelingt, die strategischen und operativen Ziele nachhaltig zu verfolgen. Eine zielgerichtete Führungskultur ist dabei von entscheidender Bedeutung. In diesem Beitrag werden Ansätze aufgezeigt, wie die Interne Revision die Führungswirkung im Rahmen einer Prüfung bewerten kann. 120 Deckungsprüfungen der BaFin: Ausnahmezustand für Marktfolge und Treuhänderbüro Dr. Wolfgang Frank, PricewaterhouseCoopers AG ww Deckungsprüfungen der BaFin sind gefürchtet, da sie nicht selten zu einer Vielzahl von Beanstan- Koordination/Korrektorat Sponsoring/Anzeigenleitung Leiterin Kunden-/Aboservice Rezensionen Produktionsleitung 98

3 Vorschau Demnächst im Heft dungen führen. Der Beitrag zeigt auf, warum dies so ist, wie man sich darauf vorbereiten kann und wo häufige Fehlerquellen zu finden sind. 126 Risikovorsorge: Die Prüfung von EWB- Prozessen Andreas Gertz, Sparkasse Essen ww Analyse und Prüfungshandlungen akut ausfallgefährdeter und bereits ausgefallener Kreditengage ments anhand ausgewählter Checklisten bei der Ermittlung und Fortschreibung der Risikovorsorge. 132 Interne Revision in der Schweiz: Ein Modell für Deutschland Jean Philipp Schumacher, Zürcher Kantonalbank ww Der Artikel beschreibt die Einbettung der Internen Revision in Schweizer Banken und stellt einen Vergleich an mit der Situation in Deutschland unter Berücksichtigung der Vorgaben des aktuellen BIS- Papiers The internal audit function in banks. Performance Management in der Internen Revision Stephan F. Gomolka, Stadtsparkasse Augsburg Ralf Barsch, Advanced Audit Solutions wwdie Interne Revision gewinnt immer mehr an Bedeutung und steht mehr denn je vor neuen Herausforderungen: Erweiterter Prüfungsumfang durch neue gesetzliche Anforderungen, Positionsbestimmung an den Schnittstellen zum Risiko- und Compliance-Management, Aufdeckung doloser Handlungen u. v. m. Um all diese Herausforderungen erfolgreich zu meistern, muss die Interne Revision sich optimal aufstellen, Qualitäts- und Performancemessungen durchführen und ihre Leistungsfähigkeit erhöhen. Der Beitrag gibt hier eine Vielzahl an Praxistipps, sowohl für Führungskräfte als auch für Mitarbeiter in der Internen Revision. 137 Auf dem Prüfstand: Institutszwangsverwaltung Harald Groël, COREALCREDIT BANK AG ww Der Beitrag zeigt auf, dass es unter wirtschaftlichen Gesichtspunkten sinnvoll sein kann, die Zwangsverwaltung von Beleihungsobjekten durch eigene Mitarbeiter im Wege der Institutszwangsverwaltung durchzuführen. Leitfäden für die Interne Revision zum Vorgehen oder Darstellungen potenzieller Prüfungsfelder existieren in der Praxis nicht. Die rechtlichen Grundlagen der Institutszwangsverwaltung sowie potenzielle Prüfungsfelder im Rahmen der Prüfung durch die Interne Revision werden aus der Sicht eines Praktikers dargestellt. SERVICE 144 RevisionsPartner Satz MetaLexis, Niedernhausen Druck best response GmbH, Bruchsal Preise Jahresabonnement Inland: 99, inkl. USt., zzgl. 9, Versand. Erscheinung: 6x jährlich. Einzelheft: 20, inkl. USt., zzgl. 1,45 Versand. Abonnementkündigung nur mit Frist von 4 Wochen vor Ende des Bezugszeitraums möglich. Geschäftsführung Dr. Christian Göbes Frank Sator Dr. Patrick Rösler Marcus Michel Michael Helfer Sitz der Gesellschaft ist Heidelberg Amtsgericht Mannheim HRB Nr Umsatz-Identifikationsnummer gemäß 27a Umsatzsteuergesetz: DE Firmenanschrift & inhaltliche Verantwortung Finanz Colloquium Heidelberg GmbH Plöck 32a Heidelberg Telefon: info@fc-heidelberg.de Internet: 99

4 Aktuell Revisionsorganisation Monitoring der Veränderung externer Rahmenbedingungen w In diesem Folgebeitrag (Erstausgabe vgl. RevisionsPraktiker nebst weiteren Erläuterungen) wurde ein Auswertungszeitraum vom bis gewählt. Die Einschätzung der voraussichtlich betroffenen Revisionseinheiten und eine Priorisierung (Relevanz) sind unverändert. Aufgrund der auszugsweisen Darstellung der tabellarischen Übersicht besteht kein Anspruch auf Vollständigkeit sowie zutreffende Beurteilung der Relevanz im konkreten institutsbezogenen Einzelfall. Heimo Heimann, Partner/Wirtschaftsprüfer, Prüfung und Beratung von Banken und Finanzdienstleistern, CASIS Wirtschaftsprüfungsgesellschaft, Hamburg ( Abbildung 1: Normänderungen Nr. Normenänderung Revision Relevanz 36. IDW EPS 951 n.f.: Prüfung des IKS bei Dienstleistungsunternehmen A Auswirkungen Rechnungslegungserleichterungen für Kleinstkapitalgesellschaften durch das MicroBilG (Richtlinie EU über den Jahresabschluss von Kleinstbetrieben) auf die Kreditprozesse 38. Gesetz zur Änderungen des BGB zum besseren Schutz der Verbraucher vor Kostenfallen im elektronischen Geschäftsverkehr (BGBl I, 1084) K 2 A, IT IDW EPS 810: Prüfung der Substanzwertrechnung von Leasingunternehmen K IDW S 6: Anforderungen an die Erstellung von Sanierungskonzepten K Baseler Ausschuss: Basel III: Liquidity Coverage Ratio und Überwachungs-werkzeuge für das Liquiditätsrisiko A, H Entwurf eines Gesetzes zur Umsetzung der Richtlinie 2011/61/EU über die Verwalter alternativer Investmentfonds (AIFM-Umsetzungsgesetz) H Verordnung über die Prüfung von Bargeld (Bargeldprüfungsverordnung) A Dritte Verordnung zur Änderung der Wertpapierdienstleistungs-Prüfungsverordnung (WpDPV) H BaFin-Rundschreiben 8/2012 (WA) organisatorische Anforderungen bei Betrieb multilateraler Handelssysteme nach 31 f und 31 g WpHG (MaComp II) 46. EBA: Leitlinien zur Prüfung der Eignung von Mitgliedern der Geschäftsleitung und Inhabern von Schlüsselfunktionen (EBA/GL/2012/06) H 2 A Baseler Ausschuss: Eigenkapitalerfordernisse für Exposures gegenüber zentralen Kontrahenten A BaFin-Rundschreiben 9/2012 (GW) und 01/2013 (GW) - Verlängerung der Nichtsanktionierungsfrist A Zweite Verordnung zur Änderung der Solvabilitätsverordnung A EMIR-Ausführungsgesetz zur Verordnung (EU) Nr. 648/2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister sowie diverse (Durchführungs-)Verordnungen (EU) Nr. 148, 150, 151/2013 der Kommission zur Festlegung technischer Standards betreffend Transaktionsregister 51. Entwurf eines Gesetzes zur Verbesserung der steuerlichen Förderung der privaten Altersvorsorge (Altersvorsorge-Verbesserungsgesetz) 52. Verordnung zur Konkretisierung der Mitteilungs- und Veröffentlichungspflichten für Netto-Leerverkaufspositionsverordnung (NLPosV) H, IT 2 A 3 H Gesetz zur Stärkung der deutschen Finanzaufsicht A Diverse Verordnungen und Durchführungsverordnungen (EU) Nr. 1099, 1100, 1117, 1155, 1244, 1245, 1250, 1251, 1264/2012, 9, 49, 206, 291, 298, 325, 363, 364, 370, 401, 431, 432, 439, 451/2013 über restriktive Maßnahmen A Gesetz zur Ergänzung des Geldwäschegesetzes (GwGErgG) A Gesetz zur Verordnung (EU) Nr. 260/2012 zur Festlegung technischer Vor-schriften u. Geschäftsanforderungen für Überweisungen u. Lastschriften in Euro und zur Änderung der Verordnung (EG) Nr. 924/2009 (SEPA-Begleitgesetz) 57. Gesetz zur Vermeidung von Gefahren und Missbräuchen im Hochfrequenz-handel (Hochfrequenzhandelsgesetz) A, IT 3 H BaFin: Konsultation 09/2013 Entwurf einer Kapitalanlage-Verhaltens- und Organisationsverordnung (KAVerOV) H 2 Legende Revision: A = Allgemeine Revision; G = Grundsatzabteilung ; H = Handels-/ Steuerungsrevision; I = IT Revision; K = Kreditrevision 100

5 Aktuell Kreditrevision Veranstaltungsbericht: 10. Heidelberger Kreditrevisionstage w Vom fanden in Heidelberg die 10. Heidelberger Kreditrevisionstage statt. Diese nunmehr schon traditionelle Veranstaltung feierte ihr 10. Jubiläum in der sehr schön gelegenen Molkenkur oberhalb des Heidelberger Schlosses. Passend zu diesem Rahmen referierte Sabine Lautenschläger (Vizepräsidentin der Deutschen Bundesbank) zur Erwartungshaltung der Bankenaufsicht im Lichte des Baseler Papiers zur Internen Revision. Der spezielle Zuschnitt der Themen und auch die Vorträge der anderen Referenten aus der Revisionspraxis bzw. externen Prüfung wurden von den Teilnehmern wieder sehr positiv bewertet. Wie es sich für eine Tagung gehört, fand auch die Abendveranstaltung im romantischen Ambiente des Schlosses Heidelberg statt. Sternekoch Martin Scharff verwöhnte seine Gäste im Backhaus mit einer Auswahl erlesener Speisen (Spontanaussagen von Teilnehmern: Das beste Essen in der 10-jährigen Geschichte der Kreditrevisionstage ). Das schöne Wetter trug seinen Teil zum Gelingen bei und so werden viele neue und aufgefrischte Kontakte zwischen Teilnehmern und Referenten im Zusammenhang mit diesem Event in guter Erinnerung bleiben. Abbildung 1: Sabine Lautenschläger, Vizepräsidentin der Deutschen Bundesbank, Referentin auf den Heidelberger Kreditrevisionstagen 101

6 Revisionsorganisation Kreditrevision Steuerungsrevision Filialrevision IT-Revision Allgemeinrevision Deliktrevision Reputationsrisikomanagement in Banken Neues Themengebiet für die Interne Revision. Autor: Prof. Dr. Thomas Kaiser, Director, Operational & Reputational Risk Management, KPMG AG Wirtschaftsprüfungsgesellschaft. Diskutieren Sie zum Thema dieses Beitrags mit anderen BankPraktikern in unserem FCH Blog: blog.fc-heidelberg.de Diesen Beitrag finden Sie dort unter der Rubrik: Bereichsübergreifende Themen (u. a. Revision, Vorstand, Personal).» Die Bankenaufsicht hat bei einzelnen Banken meist im Rahmen von 44 KWG- Prüfungen zur MaRisk die Methoden und Prozesse zum Management und Controlling der Reputationsrisiken geprüft. «I. Einleitung w Das Geschäftsmodell von Banken ist seit jeher von einer guten Reputation abhängig. Spätestens seit Beginn der Finanzmarktkrise haben zahlreiche Banken erkannt, dass eine gezielte Steuerung der hiermit verbundenen Risiken erforderlich ist. Auch die Bankenaufsicht hat bei einzelnen Banken meist im Rahmen von 44 KWG-Prüfungen zur MaRisk die Methoden und Prozesse zum Management und Controlling der Reputationsrisiken geprüft. Somit ist es auch für die Interne Revision erforderlich, sich mit diesem neuen Thema auseinanderzusetzen und geeignete Prüfungshandlungen zu definieren. Reputationsrisiko kann als das Risiko eines unerwarteten Verlusts aufgrund von Reaktionen von Stakeholdern durch veränderte Wahrnehmung des Unternehmens definiert werden. Zu den Stakeholdern zählen u. a. Kunden, Mitarbeiter, Geschäftspartner, Aktionäre oder auch Aufsichtsbehörden. Reputationsrisiken entstehen, wenn Erwartungen einzelner Stakeholder nicht erfüllt werden. Dabei werden bestimmte Geschäfte häufig von verschiedenen Stake holdern sehr unterschiedlich aufgenommen. Zum Beispiel kann eine aus betriebswirt schaft licher Sicht lukrative Finanzierung eines Kraftwerks zu einer positiven Resonanz bei Investoren führen, gleichzeitig aber zu starker Ablehnung in der Öffentlichkeit. Im Vergleich zu anderen Risikoarten stellt die Differenzierung nach Stakeholdern eine bedeutsame Betrachtungsdimension dar. Zur Priorisierung der Steuerung von Reputationsrisiken sollten Stakeholder klar definiert werden und deren Wichtigkeit im Sinne tatsächlicher Einflüsse auf das Reputationsrisiko (idealerweise aus Sicht der geschätzten Auswirkung auf die Gewinn- und Verlustrechnung) untersucht werden. Dabei ist zu beachten, dass Institute je nach Rechtsform, Geschäftsmodell und weiteren Faktoren zu unterschiedlichen Priorisierungen von Stakeholdern kommen können. Das Reputationsrisikomanagement beschäftigt sich mit der systematischen Identifikation und Bewertung von Ereignissen, welche das Erreichen bzw. Aufrechterhalten einer Ziel- Reputation gefährden, sowie der Ableitung entsprechender Risikomanagementmaßnahmen. Dabei ist zu beachten, dass Reputationsrisiken in allen Bereichen eines Finanzinstituts entstehen können, und dass somit die Managementprozesse auch die Organisation in Gänze abdecken sollten. In diversen aufsichtsrechtlichen Papieren wird teilweise von Reputationsrisiken als Folgerisiken anderer Risikoarten, als Auslöser von weiteren Risiken, selten jedoch als Risikoart per se gesprochen. Dabei ist zu betonen, dass sich diese drei Sichtweisen keinesfalls gegenseitig ausschließen, denn für jede der drei Alternativen existieren nachvollziehbare Beispiele. Unangemessene Vorstandsaussagen z. B. sind nicht als Folge einer Primärrisikoart zu verstehen und sollten somit als eigenständiges bzw. originäres Reputationsrisiko betrachtet werden. Aus einer z. B. in der Öffentlichkeit als kritisch wahrgenommenen Aussage wiederum kann dann ein Geschäftsrückgang resultieren und das Reputationsrisiko somit gleichzeitig als Ursache anderer Risiken (hier: Geschäftsrisiko) gesehen werden. Das Reputationsrisiko ist immer dann als Folge risiko zu definieren, wenn dem Reputationsverlust ein entsprechender Verlust aus einer anderen Risikoart zugrunde liegt. Insofern sind Reputationsrisiken durch das Abstellen der Ursache einer anderen Risikoart vorzubeugen (z. B. Vermeidung von Fehlberatungen durch Vertriebsschulungen). Die wohl am häufigsten vorkommende Variante bei Folgerisiken sind Verluste aus operationellen Risiken wie etwa Betrugsfälle, Klagen wegen Fehlberatung 102

7 oder IT-Ausfälle. Doch auch andere Risikoarten wie Kreditrisiken, Marktrisiken, Liquiditätsrisiken, strategische Risiken oder Geschäftsrisiken können als Auslöser von Reputationsverlusten wirken. Häufig kann man beobachten, wie sich das Reputationsrisiko dann im zeitlichen Verlauf wiederum als Ursache anderer Risiken herausstellt (vgl. Abb. 1 Ursache und Wirkungen von Reputationsrisiken ). II. Grundlegende Bestandteile eines Reputationsrisikomanagements für die Prüfung durch die Interne Revision lichten Befragung zum Status quo der Umsetzung des Managements und Controllings der Reputationsrisiken zurückzugreifen. Die in einer KPMG-Studie aufgearbeiteten Antworten geben nicht nur Hinweise auf aktuelle Trends und Umsetzungsvarianten im Reputationsrisikomanagement, sondern beleuchten auch praxis relevante Lösungsalternativen und Perspektiven der Weiterentwicklung im Finanzsektor Wesentlichkeit, Governance und Risikostrategie Ein zentraler Punkt für die Behandlung der Reputationsrisiken ist ihre Wesentlichkeit. Seit Bislang existieren im Thema Reputationsrisiko (im Folgenden RepRisk ) über Basler der Novellierung der Mindestanforderungen an das Risikomanagement vom Empfehlungen und die Rahmenbedingungen (aktuelle Fassung BaFin-Rundschreiben der MaRisk hinaus weder spezifische regulatorische Anforderungen noch entsprechende Marktstandards. Darüber hinaus gibt es bisher auch noch keinen Konsens, wie Reputationsrisiken im Einzelnen inhaltlich definiert werden sollten. Strittig ist hierbei insbesondere, ob die Öffentlichkeitswirksamkeit von Ereignissen im Vordergrund stehen sollte, oder ob der tatsächliche Einfluss auf die Gewinn- und Verlustrechnung der Bank ein zentraler Punkt der Definition sein sollte. 10/2012 BA MaRisk ) müssen Finanzinstitute eine Risikoinventur durchführen, in welcher die Wesentlichkeit aller das Institut betreffenden Risikoarten festgelegt wird. AT 2.2 legt hierzu fest: Zur Beurteilung der Wesentlichkeit hat sich die Geschäftsleitung regelmäßig und anlassbezogen im Rahmen einer Risiko inventur einen Überblick über die Risiken des Instituts zu verschaffen (Gesamtrisiko profil). [ ] Das Institut hat im Rahmen der Risiko inventur zu prüfen, welche Risiken die Vermögenslage (inklusive Kapitalausstattung), die Ertragslage Um hier auf dem mittlerweile erreichten Stand der Diskussion aufbauen zu können, erscheint oder die Liquiditätslage wesentlich beeinträchtigen können. In den Erläuterungen heißt es es deshalb Reputationsrisiken hilfreich, auf einige der Risikolandschaft exemplarische dazu: Abhängig vom konkreten Gesamtrisikoprofil des Instituts sind ggf. auch sonstige Ergebnisse Ursachen einer und im Wirkungen Sommer 2012 von Reputationsrisiken veröffent- Risi-» Für das Reputationsrisikomanage ment haben sich bislang weder spezifische regulatorische Anforderungen noch einheitliche Marktstandards etabliert. «Abbildung 1: Ursache und Wirkungen von Reputationsrisiken Kreditrisiko/Konzentrationsrisiko Marktrisiko Operationelle Risiken Liquiditätsrisiko Strategisches Risiko Reputationsrisiko Quelle: KPMG 2013 Kreditausfall Handelsverlust Verlust aus Operationellen Risiken Verlust von Kreditlinien Verlust von Kunden/Umsatz Reputationsverlust Folgerisiken aus Reputationsrisiken, insbesondere Liquiditäts- und Geschäftsrisiken 1 KPMG, Reputationsrisiken Management und Controlling. Status quo und Perspektiven der Weiterentwicklung im Finanzsektor, Frankfurt Vgl. zum gesamten Themenkomplex auch Kaiser, Th. Reputationsrisikomanagement in Banken, Zeitschrift für das gesamte Kreditwesen, , ders. The rules of honour, OpRisk & Compliance, June 2008, ders. (Hrsg.), Wettbewerbsvorteil Risikomanagement. Erfolgreiche Steuerung der Strategie-, Reputationsund operationellen Risiken, Berlin

8 » Governance, Methoden und Prozesse im Reputationsrisikomanagement rücken zunehmend ins aufsichtliche Augenmerk. «ken, wie etwa Reputationsrisiken, als wesentlich einzustufen. Diese Wesentlichkeitseinschätzung hat einen signifikanten Einfluss auf die weitere Umsetzung des Risikomanagementprozesses sowie die Erwartungshaltung von Aufsichtsbehörden und Wirtschaftsprüfern. In der Praxis lässt sich häufig eine Unsicherheit im Zusammenhang mit der Entscheidung, ob man das Reputationsrisiko als wesentlich einstuft, beobachten. Die Gründe dafür liegen nicht etwa im Zweifel an der enormen Bedeutung der Reputation für das Institut, sondern vielmehr in mangelnden Quantifizierungsmöglichkeiten und einer Komplexität in der Zuordnung von Verlusten zu Reputationsrisikoereignissen, die kaum überschneidungsfrei von daran gekoppelten Risikoarten abzugrenzen sind. Zudem geht die Einschätzung, dass es sich um ein wesentliches Risiko handelt, aufgrund der MaRisk mit höheren regulatorischen Anforderungen an das Risikomanagement einher. Doch selbst wenn die negativen Auswirkungen von Reputationsverlusten auf den Unternehmenserfolg schwer zu quantifizieren sind, spricht vor dem Hintergrund der diskutierten Wechselwirkungen mit anderen Risikoarten v. a. bei großen Instituten einiges dafür, das Reputationsrisiko als wesentlich einzustufen. Außerdem kann davon ausgegangen werden, dass angesichts aktueller Entwicklungen eine Einschätzung als nicht wesentlich gegenüber der Aufsicht mittelfristig schwierig zu vertreten sein wird insbesondere bei großen, international tätigen Instituten mit hoher Kapitalmarktorientierung. In Bezug auf die Governance sollten Reputationsrisiken im Sinne eines Three Lines of Defence -Modells behandelt werden, d. h., es sollte eine klare Trennung in Risikomanagement, Risikocontrolling und Interne Revision geben. Die Risikonahme bzw. aktive Risikovermeidung sind in der ersten Verteidigungslinie angesiedelt und erfordern die Mitwirkung des Linienmanagements aller Geschäfts- und Infrastrukturbereiche. Die organisatorische Verankerung des RepRisk-Controlling als zweiter Linie sollte einerseits die Wechselwirkungen mit anderen Risikoarten berücksichtigen, andererseits Synergieeffekte zu bestehenden Strukturen, insbesondere im Hinblick auf operationelle Risiken ( OpRisk ), aber auch die Zusammenarbeit mit weiteren Einheiten des Risikomanagements, nutzen (vgl. Abb. 2 Organisatorische Verankerung des RepRisk-Controlling ). Ähnlich wie operationelle Risiken sind auch Reputationsrisiken von institutsweiter Bedeutung. Ein regelmäßiger Austausch einzelner Bereiche über schlagend gewordene Reputationsrisiken, potenzielle Risiken sowie mögliche Steuerungsmaßnahmen ist daher hilfreich. Durch die Wirkungszusammenhänge Frage: Wie haben Sie das RepRisk-Controlling organisatorisch verankert? Abbildung 2: Organisatorische Verankerung des RepRisk-Controlling 60% Frage: Wie haben Sie das RepRisk-Controlling organisatorisch verankert? 50% 40% 30% 20% 10% 0% durch eigenständige Einheit in Verbindung mit OpRisk in der Unternehmenskommunikation in Verbindung mit anderen Themen bislang nicht etabliert Vorhanden Konkret geplant Quelle: KPMG

9 mit anderen Risikoarten erscheint z. B. die Einbindung von RepRisk in bestehende Entscheidungsgremien (wie Komitees) durchaus naheliegend. Eine stärkere Berücksichtigung in den entsprechenden Entscheidungsgremien empfiehlt sich auch mit Blick auf die zunehmende Bedeutung von Risikokonzentrationen und Abhängigkeitsstrukturen in Modellen zum ökonomischen Kapital. Sofern dies im Rahmen bestehender Komitees geschieht, ist darauf zu achten, dass der Risikoart RepRisk dort hinreichend Raum und Aufmerksamkeit eingeräumt wird. Ausgangsbasis für ein effektives Management von Risiken ist eine klare Definition der zugrunde liegenden Risikostrategie, welche wiederum mit der Geschäftsstrategie eng verbunden sein sollte. Einzelne Risikoarten werden in der Risikostrategie entweder gesamthaft dargestellt oder in einzelnen Teilstrategien ausgeführt, wobei Zusammenhänge zu den anderen Risikoarten berücksichtigt werden sollten: Die Risikostrategie hat, ggf. unterteilt in Teilstrategien für die wesentlichen Risiken, die Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten sowie die Maßnahmen zur Erreichung dieser Ziele zu umfassen (MaRisk AT 4.2 Abs. 2). Ähnlich wie bei operationellen Risiken ist bei Reputationsrisiken die Verbindung zwischen dem Eingehen von Risiken und der Realisierung von Ertragspotenzialen eher indirekt. Es liegt jedoch auf der Hand, dass Geschäftsentscheidungen, die der Ertragssteigerung dienen sollen, möglicherweise gleichzeitig zu einer Erhöhung des Reputationsrisikos führen können. So kann sich z. B. eine aggressive Werbekampagne, die unbeabsichtigt zur Erschließung von in der öffentlichen Wahrnehmung eigentlich kritischen Kundengruppen führt, im Nachhinein als schädlich für die eigene Reputation erweisen. Dieser Zusammenhang und daraus abgeleitete qualitative oder quantitative Limite für die Risikonahme sollten in der Risikostrategie für Reputationsrisiken verankert und z. B. im Rahmen von Schulungen, Anweisungen oder Notfallplänen verinnerlicht werden. 2. Risikomanagementprozess Die MaRisk (AT 4.3.2) fordern die Einrichtung eines umfassenden Risikosteuerungs- und -controllingprozesses für alle wesentlichen Risiken. Die systematische Identifikation und Bewertung materieller Reputationsrisiken stellt die Grundlage für eine solche effektive Steuerung dar. Bislang gibt es allerdings noch keine standardisierten Methoden, um die dafür notwendigen Prozesse durchzuführen, genauso wie hier derzeit kaum konkrete Vorgaben seitens der Regulatoren bestehen. Trotzdem soll hier die Forderung nach der Gewährleistung einer möglichst vollständigen Identifikation materieller Reputationsrisiken besonders betont werden, da diese in der jüngeren Vergangenheit bereits explizit im Rahmen von regulatorischen Prüfungen (z. B. zur Angemessenheit der Risikotragfähigkeit) beanstandet wurde. Immerhin stehen den Instituten diverse Tools zur systematischen Risikoidentifikation zur Auswahl. In vielen Fällen war übrigens der Neuproduktprozess eine Keimzelle der Entwicklung von Reputationsrisikomanagementprozessen. Im Zusammenhang mit der Identifikation sind auch Materialitätsgrenzen zu nennen, da es offensichtlich effizienter ist, lediglich relevante Reputationsrisiken zu erfassen und zu bewerten. Gemäß MaRisk muss für alle wesentlichen Risiken ein Kapitalpuffer hinterlegt bzw. eine Nichthinterlegung entsprechend begründet werden. Im gleichen Zuge ist auch die Berücksichtigung von Reputationsrisiken im Stress Testing zu nennen. Selbstverständlich gehören zu einem umfassenden Reputationsrisikomanagement auch Aktivitäten im Bereich Reporting und Monitoring. Grundsätzlich sollten sowohl Risiken im laufenden Bankgeschäft als auch Risiken durch Veränderungen berücksichtigt werden 2. In den Ansatz zur Berücksichtigung von Veränderungsprozessen sollten geschäftliche Transaktionen und neue Aktivitäten wie Neuproduktprozess, Outsourcing, Projekte und besondere Investments einbezogen werden, bei Bedarf aber auch jede andere wesentliche neue Aktivität. Solche Transaktionen bzw. Aktivitäten sind durch die jeweiligen verantwortlichen Personen auf potenzielle Reputations risiken unter Berücksichtigung der bestehenden Richt linien zu überprüfen. Nach Identifikation eines Reputationsrisikos müssen die entsprechenden Spezialistenabteilungen (z. B. Compliance, Nachhaltigkeitsmanagement) hinzugezogen, das» Reputationsrisiken sollten sowohl im Bestands-/Tagesgeschäft als auch in Veränderungsprozessen aktiv gesteuert werden. «2 Beil, Th. / Merl, P. Reputationsrisiko-Management: Best Practice bei der HVB, Die Bank, und Sprengel, R. Einbindung des RepRisk in die Bankprozesse, Risikomanager,

10 Risiko qualitativ bewertet und eine Entscheidung herbeigeführt werden. Für die Sicht auf den laufenden Betrieb sollten die einzelnen Bereiche der Bank regelmäßig (mind. jährlich) auf bestehende bzw. latente Reputationsrisiken hin überprüft werden, indem z. B. RepRisk-Self Assessments oder Szenarioanalysen durchgeführt werden. Solche Verfahren zur Identifikation und Bewertung von Reputationsrisiken dienen dem primären Zweck der effektiven RepRisk-Steuerung. Hierzu sollten Informationen über RepRisk sowohl aus Veränderungsprozessen als auch aus dem laufenden Betrieb regel - mäßig (in dringenden Fällen auch ad-hoc) den Entscheidungsträgern auf Geschäftsbereichsund Vorstandsebene zur Verfügung gestellt werden. Obgleich hierbei die Anbindung an risikoartenübergreifende Reports im Sinne einer ganzheitlichen Risikobetrachtung prinzipiell sinnvoll erscheint, sollte darauf geachtet werden, dass das Thema RepRisk dort ausreichend Raum bekommt. Ferner sollte ein Ad-hoc-Reporting regelmäßige Reports lediglich ergänzen, nicht jedoch ersetzen. Während der reine Reputationsverlust bei bestimmten Stakeholdern gegenüber einer definierten Vorperiode oder auch gegenüber einer Peergroup meist noch bestimmt werden kann, ist ein isolierter Einfluss auf die Gewinnund Verlustrechnung derzeit meist nicht quantitativ zu ermitteln. Daher scheint zunächst ein qualitatives Assessment an dieser Stelle von Vorteil zu sein. Letztlich bleibt jedoch abzuwarten, welche methodischen Entwicklungen aber auch regulatorischen Anforderungen sich diesbezüglich herausbilden werden. Im Einzelfall ist bei einer Verknüpfung mit dem OpRisk-Controlling zu prüfen, wie weit die Analogien zwischen OpRisk und RepRisk wirklich gehen, sodass eine unreflektierte Übernahme von Methoden vermieden wird. Die MaRisk (AT Abs. 2) fordern zur Gewährleistung von angemessenen Risikosteuerungsund -controllingprozessen, dass die Institute geeignete Indikatoren für die frühzeitige Identifizierung von Risiken sowie von risikoartenübergreifenden Effekten abzuleiten haben, die je nach Risikoart auf quantitativen und/ oder qualitativen Risikomerkmalen basieren. Die Kenntnis über schlagend gewordene Reputationsrisiken ist eine wesentliche Einflussgröße für die Steuerung. Eine systematische Sammlung der Risikoereignisse ist aufgrund der zahlreichen Wechselwirkungen mit anderen Risikoarten schwierig. Nichtsdestotrotz ist es sinnvoll, eine derartige Datenbank aufzubauen und hier auch aus Ereignissen bei Wettbewerbern zu lernen. Hinsichtlich der Struktur der Erfassung kann auf den Erfahrungen bei der Sammlung von Verlustfällen aufgrund operationeller Risiken aufgebaut werden. Entsprechende Frühwarnsysteme für RepRisk Frage: Wie haben Sie RepRisk in die Steuerung eingebunden? Abbildung 3: Organisatorische Einbindung der RepRisk-Steuerung 60% Frage: Wie haben Sie RepRisk in die Steuerung eingebunden? (Mehrfachnennung möglich) 50% 40% 30% 20% 10% 0% durch definierte Rollen und Verantwortlichkeiten spezifischer Einheiten durch erweiterte Rolle dezentraler OpRisk-Manager durch Einbindung in Krisenmanagement bislang keine formalisierte Steuerung Vorhanden Konkret geplant Quelle: KPMG

11 sollten auf bestehenden Informationen (Self Assessments, Ereignisdatenbanken u. ä.) aufbauen. Sie sind ein wichtiger Baustein eines übergreifenden Risikomanagementansatzes, um schwerwiegende Reputationsrisiken vom Institut abzuwenden. Die Steuerung sollte, soweit möglich, präventiv und ursachenbasiert erfolgen, d. h. z. B. durch Modifikation von Produkten oder Änderung von Prozessabläufen. Dabei stehen die jeweiligen Risikoursachen im Fokus. Die reaktive Steuerung sollte insbesondere durch die für die jeweiligen Stakeholder zuständigen Einheiten (je nach primär betroffener Interessengruppe) erfolgen. Eine Einbindung in bestehende Krisenmanagementprozesse ist ebenfalls zielführend. Auch die Einbindung in die Steuerung sollte sowohl das Bestands-/Tagesgeschäft als auch Veränderungsprozesse sowie Krisenfälle berücksichtigen, wobei bestehende Strukturen (Unternehmenskommunikation, Krisenmanagement etc.) soweit sinnvoll zu nutzen sind. Die Steuerung von Reputationsrisiken sollte schrittweise in alle transaktionsbezogenen Vorhaben und Veränderungsprozesse soweit möglich integriert werden. Hier kann im Regelfall wieder an bestehende Prozesse des OpRisk-Managements angedockt werden (vgl. Abb. 3 Organisatorische Einbindung der RepRisk-Steuerung ). 3. Risikotragfähigkeit und Stresstests In Abhängigkeit von der Wesentlichkeitseinschätzung sollte geprüft werden, ob eine Betrachtung des RepRisk in der Risikotragfähigkeit zielführend ist und wie dies genau ausgestaltet werden könnte. Werden Reputationsrisiken explizit im Rahmen der Risikotragfähigkeit berücksichtigt, so müssen die verwendeten Verfahren mind. jährlich unabhängig überprüft werden (gem. MaRisk AT 4.1 Abs. 8). Während die MaRisk grundsätzlich die Einbeziehung aller wesentlichen Risiken in die Risikotragfähigkeit verlangen, ist eine zu begründende Nichtberücksichtigung von wesentlichen Risiken in der Risikotragfähigkeit möglich, sofern die Risiken weiterhin angemessen in die Risikosteuerungs- und -controllingprozesse eingebunden sind. Darüber hinaus ist zudem die Verwendung von pauschalen Anrechnungsbeträgen als Puffer gestattet: Verfügt ein Institut über keine geeigneten Verfahren zur Quantifizierung einzelner Risiken, die in das Risikotragfähigkeitskonzept einbezogen werden sollen, so ist für diese auf der Basis einer Plausibilisierung ein Risikobetrag festzulegen (AT 4.1). Eine derartige Plausibilisierung für RepRisk kann auf Basis von qualifizierten Expertenschätzungen durchgeführt werden, weil Reputationsrisiken implizit in den GuV-Effekten der betroffenen Risikoarten enthalten sind. So wirken sich Umsatzrückgänge aufgrund von RepRisk-Ereignissen auf die Erlöszeitreihen aus, die in einigen Banken zur Ermittlung des Geschäftsrisikos herangezogen werden; Einflüsse auf die Liquiditätslage und -beschaffungskosten durch RepRisk sind im Liquiditätsrisiko enthalten, und vermehrte OpRisk-Verluste durch RepRisk werden im OpRisk-Modell berücksichtigt (sofern dies auf internen Verlustdaten beruht, wie dies bei fortgeschrittenen AMA-Modellen der Fall ist). Spätestens seit der Finanzmarktkrise erhalten regelmäßige sowie anlassbezogene Stresstests, die Art, Umfang, Komplexität und den Risikogehalt der Geschäftsaktivitäten widerspiegeln, eine hohe Aufmerksamkeit durch die Aufsichtsbehörden. Hierfür sind die für die jeweiligen Risiken wesentlichen Risikofaktoren zu identifizieren (MaRisk AT 4.3.3). Dabei geht es darum, die Auswirkungen von übergreifenden makroökonomischen oder risikoartenspezifischen Stressszenarien auf den Eigenkapitalbedarf, die Gewinn- und Verlustrechnung sowie die Liquidität eines Instituts zu untersuchen. Reputationsrisiken sollten in diesem Sinne zumindest als Folgerisiken oder als Auslöser für weitere Risikoarten im Stress Testing eingebunden werden. Beeinflusst wird die Entscheidung von der institutsinternen Sichtweise von RepRisk: Je nachdem, ob man RepRisk als originäres Risiko, Folgerisiko oder als Ursache anderer Risiken sieht, sollte die entsprechende Berücksichtigung im Stress Testing erfolgen. Da sich die Auswirkungen von Reputationsrisiken üblicherweise in anderen Risikoarten manifestieren (Geschäftsrisiko, Liquiditätsrisiko, operationelle Risiken), erscheint eine Berück- 107

12 sichtigung des Reputationsrisikos in den Stresstest-Ansätzen für die jeweiligen Risikoarten zweckmäßig. III. Ausblick Bislang gibt es keinen Branchenstandard für das Management und Controlling von Reputationsrisiken in Banken. Die nachfolgenden Prüfungstipps bzw. Checklistenfragen sollen es der Internen Revision jedoch ermöglichen, die Angemessenheit der hierfür eingesetzten Methoden, Prozesse und Strukturen in Abhängigkeit von Größe, Komplexität und Geschäftsmodell des betrachteten Instituts bzw. in Abhängigkeit vom aktuellen Ausbau stadium des Reputationsrisikomanagements und -controllings zu beurteilen. Gleichzeitig sollte die Interne Revision die Weiterentwicklung des Themas in der Branche regelmäßig beobachten und Prüfungshandlungen sowie Erwartungshaltungen entsprechend anpassen. Hierzu gehören insbesondere die schriftlich fixierten bzw. sich aus der Prüfungspraxis der Aufsicht ergebenden regulatorischen Anforderungen. Prüfungstipps Wie ist das Reputationsrisiko definiert, und wie grenzt es sich von anderen Risikoarten ab? Ist das Reputationsrisiko im Rahmen der Risikoinventur als wesentlich klassifiziert worden? Ist die Begründung für die Klassifikation nachvollziehbar? Ist eine zentrale Stelle vorhanden, welche Aktivitäten zum Reputationsrisikomanagement initiiert und/oder koordiniert? Besteht eine hinreichend gute Verbindung bzw. ein regelmäßiger Austausch mit anderen Risikoarten (insbesondere operationelle Risiken, Geschäftsrisiken/strategische Risiken und Liquiditätsrisiken)? Gibt es dezidierte Verantwortlichkeiten in den Geschäftseinheiten und Infrastrukturfunktionen? Ist die Ressourcenausstattung angemessen? Gibt es einen funktionsfähigen Prozess zur regelmäßigen, systematischen Identifikation und zumindest qualitativen Bewertung von Reputationsrisiken im Bestand (z. B. im Rahmen einer Risikoinventur)? Gibt es einen funktionsfähigen Prozess zur anlassbezogenen, systematischen Identifikation und zumindest qualitativen Bewertung von Reputationsrisiken in wesentlichen Transaktionen und Veränderungsprozessen (Neuprodukt prozess, Projekte etc.)? Wie sind Reputationsrisiken in der Risikotragfähigkeit berücksichtigt? Falls sie nicht berücksichtigt werden, ist dieser Ausschluss nachvollziehbar begründet? Wie sind Reputationsrisiken im Stresstesting berücksichtigt? Falls sie nicht berücksichtigt werden, ist der Ausschluss nachvollziehbar begründet? Wird über Reputationsrisiken in regelmäßigen Abständen an die Geschäftsleitung berichtet? Gibt es Ad-hoc-Berichte für schwerwiegende Vorfälle? Sind die Verantwortlichkeiten für die Steuerung klar geregelt? Funktioniert die Steuerung im Einzelfall? Werden Risikosteuerungsmaßnahmen für Reputationsrisiken systematisch nachgehalten und auf ihre Wirksamkeit hin untersucht? Darüber hinaus sollte das Reputationsrisiko bei der risikoorientierten Prüfungsplanung der Internen Revision, neben z. B. dem Marktpreis- und Adressenausfallrisiko, als ein weiterer Bestandteil des Risk Assessment der Internen Revision berücksichtigt werden. 108

13 Revisionsorganisation Kreditrevision Steuerungsrevision Filialrevision IT-Revision Allgemeinrevision Deliktrevision Beitrag Prüfung des Risikocontrollings im Prüfungsplan 2013 Aktuelle Entwicklungen und Hinweise auf Prüfungsschwerpunkte. I. Entwicklung des Prüffelds Risikocontrolling w Der folgende Beitrag greift neben aktuellen Entwicklungen auch weiterhin bestehende risikobehaftete Prüfungsfelder auf, um im Ergebnis Hinweise auf Prüfungsschwerpunkte 2013 im Risikocontrolling zu geben. Er basiert auf Erkenntnissen aus der Prüfungspraxis (Sonderprüfungen, Abschlussprüfungen, Interne Revision von Banken aus allen Bankengruppen) ohne Anspruch auf Vollständigkeit und Repräsentativität. Folgende mögliche Prüfungsschwerpunkte werden dabei aufgeführt: Gesamtbanksteuerung, MaRisk 5.0/Leitfaden Risikotragfähigkeit, Ratingprüfungen sowie Risikokonzentrationen. Es ist zu beobachten, dass die jeweils neuen regulatorischen Anforderungen (z. B. MaRisk 5.0) in internen Bankprojekten mit Hochdruck umgesetzt und anschließend in die Linienorganisation überführt werden. Prüfungsschwerpunkte der internen und externen Revision bilden ebenfalls die Umsetzung der aktuellen gesetzlichen Änderungen. Dagegen ist die nachhaltige Umsetzung bereits bestehender aufsichtsrechtlicher Anforderungen bei der Einführung immer neuer regulatorischer Anforderungen und gleichzeitiger Beschränkung der personellen Kapazitäten in der Internen Revision häufig nicht sichergestellt. II. Gesamtbanksteuerung Banken haben nach AT Tz. 1 MaRisk angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die eine Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken und damit verbundener Risikokonzentrationen gewährleisten. Diese Prozesse sind in eine gemeinsame Ertrags- und Risikosteuerung ( Gesamtbanksteuerung ) einzubinden. Damit ist der Begriff Gesamtbanksteuerung aufsichtlich definiert. Es ist in der Fachliteratur und Prüfungspraxis zu beobachten, dass dabei die Risikoseite umfassend behandelt wird. Während sich z. B. die MaRisk zur Ableitung eines Soll- Objekts für die Interne Revision des Risikocontrollings sehr gut eignen, fehlt es aber an derartigen Standards auf der Ertragsseite. Hier ist ein Rückgriff auf betriebswirtschaft liche Literatur und Best-Practice-Erfahrungen bei der Prüfung erforderlich. Die anhaltende Niedrigzinsphase mit einer ausgeprägt flachen Zinsstrukturkurve führt in der gesamten Bankenbranche 2013 zu einem Weg brechen von Ertragspotenzialen, da seit nunmehr fünf Jahren der überwiegende Teil von Wiederanlagen in dieser perspektivlosen Zinslandschaft erfolgte. Damit sind erhebliche Ertrags- und Kostendruckpotenziale entstanden, die in der Folge die Prüfungsrisiken der Planungsinstrumente spürbar erhöhen. Die Interne Revision sollte daher nicht nur einseitig die Risikoseite entlang der MaRisk bzw. des Leitfadens Risikotragfähigkeit beurteilen, sondern auch die Instrumente der Ertragssteuerung mit in die Prüfung einbeziehen. Neben einer Erhebung der Instrumente zur Ertragssteuerung, der Beurteilung ihrer Angemessenheit und Wirksamkeit, ist insbesondere die Transparenz von Annahmen in zukunftsgerichteten Planungs- und Prognoseaussagen gegenüber den Entscheidungsträgern (i. d. R. Geschäftsleitung) ein möglicher Prüfungsschwerpunkt. III. MaRisk 5.0 und Leitfaden Risikotragfähigkeit Am hat die BaFin die finale Fassung der überarbeiteten Mindestanforderun- Autor: Heimo Heimann, Partner/Wirtschaftsprüfer, Prüfung und Beratung von Banken und Finanzdienstleistern, CASIS Wirtschaftsprüfungsgesellschaft, Hamburg. Diskutieren Sie zum Thema dieses Beitrags mit anderen BankPraktikern in unserem FCH Blog: blog.fc-heidelberg.de Diesen Beitrag finden Sie dort unter der Rubrik: Bereichsübergreifende Themen (u. a. Revision, Vorstand, Personal).» Die anhaltende Niedrigzinsphase mit einer ausgeprägt flachen Zinsstrukturkurve führt in der gesamten Bankenbranche 2013 zu einem Wegbrechen von Ertragspotenzialen. «109

14 Abbildung 1: Checkliste Für alle Institute zu beachtende Neuerungen AT 4.1 Risikotragfähigkeit Werden die Angemessenheit der Methoden und Verfahren sowie die Annahmen des Risikotragfähigkeitskonzepts durch einen fachlich geeigneten Mitarbeiter überprüft? Sind die wesentlichen Elemente der Risikotragfähigkeitssteuerung sowie die wesentlichen zugrunde liegenden Annahmen aktuell von der Geschäftsleitung genehmigt worden? Erfolgen eine kritische Analyse der Aussagekraft der quantifizierten Risiken und eine qualitative und quantitative Validierung komplexer Risikoquantifizierungsverfahren? Ist sichergestellt, dass die zur Risikotragfähigkeitssteuerung eingesetzten Verfahren sowohl das Ziel der Fortführung des Instituts als auch den Schutz der Gläubiger vor Verlusten aus ökonomischer Sicht berücksichtigen? Ist ein Prozess zur Planung des zukünftigen Kapitalbedarfs für die Komponenten Internes Kapital und Regulatorisches Kapital eingerichtet? Umfasst der Planungshorizont hierbei einen angemessen langen, mehrjährigen Zeitraum? Wird berücksichtigt, wie sich über den Risikobetrachtungshorizont des Risikotragfähigkeitskonzepts hinaus Veränderungen der eigenen Geschäftstätigkeit oder der strategischen Ziele sowie Veränderungen des wirtschaftlichen Umfelds auf den Kapitalbedarf auswirken? Wird hierbei auch adversen Entwicklungen angemessen Rechnung getragen? AT 4.3 Internes Kontrollsystem Hat das Institut im Rahmen der Risikosteuerungs- und -controllingprozesse geeignete Indikatoren für die frühzeitige Identifizierung von Risiken sowie von risikoartenübergreifenden Effekten abgeleitet? AT 4.4 Besondere Funktionen Hat das Institut eine unabhängige Risikocontrolling-Funktion auf ausreichender Führungsebene eingerichtet (inkl. notwendiger Befugnisse, Informationszugang und Einbindung in geschäftspolitische Entscheidungen)? AT 8.1 Neu-Produkt-Prozess Werden im Rahmen ihrer Aufgaben auch die Interne Revision, die Risikocontrolling-Funktion und die Compliance-Funktion bei der Erstellung des Konzepts und während der Testphase beteiligt? AT 8.2 Änderungen betrieblicher Prozesse oder Strukturen Werden vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität angemessen analysiert? Sind in diese Analysen die später in die Arbeitsabläufe eingebundenen Organisationseinheiten eingebunden? Werden im Rahmen ihrer Aufgaben auch die Risikocontrolling-Funktion, die Compliance-Funktion und die Interne Revision beteiligt? BTR 3.1 Liquiditätsrisiken Allgemeine Anforderungen Ist ein geeignetes Verrechnungssystem zur verursachungsgerechten internen Verrechnung der jeweiligen Liquiditätskosten, -nutzen und -risiken eingerichtet? Wurde das Verrechnungssystem von der Geschäftsleitung genehmigt? Für kapitalmarktorientierte Institute zusätzlich zu berücksichtigende Anforderungen BTR 3.2 Liquiditätsrisiken zusätzliche Anforderungen an kapitalmarktorientierte Institute Ist sichergestellt, dass zusätzlich erforderlicher Refinanzierungsbedarf gem. den Stressszenarien über den Zeithorizont von mindestens einem Monat vorzuhaltenden Liquiditätsreserven (hochliquide, unbelastete Vermögensgegenstände) gedeckt wird? Werden hierbei die Vorgaben aus BTR 3.2 berücksichtigt (Refinanzierungsbedarf von mindestens einer Woche gedeckt durch Geldmittel und zentralbankfähige, hochliquide Vermögensgegenstände, die jederzeit ohne signifikante Wertverluste in privaten Märkten liquidiert werden können, bis zum Ende des Zeithorizonts von mindestens einem Monat gedeckt durch andere Vermögensgegenstände, wenn diese ohne signifikante Wertverluste innerhalb des Zeithorizonts liquidiert werden können)? Für große Institute mit komplexen Geschäftsaktivitäten zu beachtende Neuerungen BTR 3.1 Liquiditätsrisiken Allgemeine Anforderungen Ist ein Liquiditätstransferpreissystem (Institutsinterne Transferierung von Kosten, Nutzen und Risiken mittels zentral gestellter Transferpreise) zur verursachungsgerechten internen Verrechnung der jeweiligen Liquiditätskosten, -nutzen und -risiken unter Berücksichtigung der Anforderungen der MaRisk gem. BTR 3.1 Tz. 6 eingerichtet? Besteht eine regelmäßige markt-/handelsunabhängige Überprüfung des Liquiditätstransferpreissystems? Für große, international tätige Institute mit komplexen Geschäftsaktivitäten zu beachtende Neuerungen AT 1 Vorbemerkung Ist sichergestellt, dass eine angemessene Einbeziehung von Inhalten einschlägiger Papiere zum Risikomanagement des Baseler Ausschusses für Bankenaufsicht und des Financial Stability Boards erfolgt? AT 4.4 Besondere Funktionen Wird die Leitung der Risikocontrolling-Funktion durch einen Geschäftsleiter wahrgenommen? 110

15 gen an das Risikomanagement (MaRisk 5.0) veröffentlicht. Nach Abschluss der Konsultationsphase erfolgte gem. der schon gewohnten Übung die Veröffentlichung der überarbeiteten MaRisk kurz vor dem Jahreswechsel. Die vor dem Hintergrund der internationalen Diskussionen und der von CEBS und dem Baseler Ausschuss veröffentlichten Papiere durch Bundesbank und BaFin aktualisierten MaRisk treten zum in Kraft. Gegenüber der Konsultationsfassung haben sich keine Überraschungen ergeben. Die Aufsicht hat für die Institute eine Übergangsfrist eingeräumt und eine Nichtsanktionsfrist für die Anforderungen, die im MaRisk-Kontext neu sind und nicht lediglich Klarstellungen bereits vorhandener Anforderungen darstellen, bis Ende 2013 bestimmt. Für die Umsetzung der neuen Anforderungen an Verrechnungssysteme für Liquiditätskosten, -nutzen und -risiken stellt die BaFin eine Auslegung der Nichtsanktionsfrist mit Augenmaß in Aussicht. Zur Unterstützung der Prüfung der Umsetzung der MaRisk 5.0 im Risikocontrolling soll die Checkliste in Abb. 1 dienen. Eine umfassende Darstellung der Anforderungen ist in der Fachliteratur vorhanden (vgl. u. a. BankPraktiker WIKI MaRisk, Abo-Beilage zum BankPraktiker 03/2013), so dass in diesem Beitrag keine weitergehenden Ausführungen der Anforderungen erfolgen. In vielen Umsetzungsprojekten ist die Umsetzung weitgehend unter Ausnutzung der Umsetzungsfristen vorgesehen, so dass die Prüfungstätigkeit der Internen Revision insbesondere in 2013 projektbegleitend oder nach Implementierung stattfinden wird. Neben den aufgezeigten Neuerungen im Risikocontrolling durch die MaRisk 5.0 bietet sich auch die Umsetzung des Leitfadens Aufsichtliche Beurteilung bank interner Risikotragfähigkeitskonzepte vom (kurz RTF- Leitfaden) als Prüfungsschwerpunkt an. In der Prüfungspraxis ist zu beobachten, dass die im RTF-Leitfaden aufgeführten Grundsätze nicht durchgängig umgesetzt werden. Zum Beispiel stellt die Analyse von Migrationsrisiken, deren Risikoquantifizierung und Risikokapitalunterlegung Banken vor besondere Herausforderungen und diese bedürfen einer mittelfristigen Umsetzungsperspektive. Die Prüfung der Umsetzung der Tz. 91 des RTF-Leitfadens erfordert daher vom Prüfer ein hohes Augenmaß. IV. Ratingprüfungen 1. Anwenderkreis Im Zuge der Einführung von Basel III werden die quantitativen und qualitativen Anforderungen an die Eigenmittelunterlegung für Kreditinstitute weiter erhöht. Vor diesem Hintergrund wird v. a. die Bedeutung des Ratings als zentrales Steuerungselement des Kreditgeschäfts insgesamt weiter zunehmen, und dies wiederum wird Auswirkungen in Form von höheren Anforderungen an die Validierung der Ratingsysteme sowie an die Prüfungen der Internen Revision haben. Die MaRisk sehen im Rahmen von BTR Tz. 2 vor, dass die eingesetzten Risikomethoden und -verfahren von allen Instituten regelmäßig zu validieren sind. IRBA-Institute sind hierzu durch 147 SolvV verpflichtet; KSA- Institute waren bisher von der Verpflichtung nach 147 SolvV ausgenommen. Gem. AT 4.1 Tz. 8 der neuen MaRisk 5.0 betreffen diese insbesondere die kritische Analyse der Risikoquantifizierungsverfahren im Rahmen der Risikotragfähigkeitssteuerung. Institute mit vergleichsweise einfachen, transparenten Verfahren und ermittelten Risikowerten im konservativen Bereich können auf solch eine weitergehende Analyse verzichten. Sind die Methoden und Verfahren, deren Annahmen, Parameter oder die einbezogenen Daten jedoch vergleichsweise komplex, so sind diese Komponenten und die Verwendung der Risikoergebnisse zukünftig, d. h. spätestens nach Ablauf der Umsetzungsfrist zum , einer quantitativen und qualitativen Validierung zu unterziehen. Während IRBA-Institute unmittelbar einer jährlichen Validierungs- und Prüfungsverpflichtung von Ratingsystemen nach der SolvV unterliegen, ist den KSA-Instituten eine analoge SolvV konforme jähr liche Validierung und Prüfung der Ratingsysteme aufgrund der wirtschaftlichen Bedeutung sowie der Neufassung der MaRisk 5.0 anzuraten. Regelmäßig basieren die Risikoquantifizierungsverfahren im Rahmen der Risikotragfähigkeitssteuerung auf komplexen Ratingsystemen, so dass die hohen Anforderungen an eine kritische Analyse greifen. Im Folgenden werden die Anforderungen an die Prüfung von Ratingsystemen nach der SolvV erläutert.» Während sich die MaRisk zur Ableitung eines Soll-Objekts für die Prüfung des Risikocontrollings sehr gut eignen, fehlt es an derartigen Standards auf der Ertragsseite. «111

16 » Jährliche Ratingprüfungen der Internen Revision analog 153 SolvV sind zunehmend auch für KSA-Institute erforderlich. «2. Anforderungen an bankinterne Ratingsysteme nach SolvV Seit Einführung von Basel II und deren Umsetzung in nationales Recht über die Solvabilitätsverordnung (SolvV) spielen insbesondere Ansätze für bankinterne Ratingverfahren (IRBA) zur Schätzung verschiedener Risikoparameter in vielen Kreditinstituten eine zentrale Rolle. Einen Hauptgrund dafür stellt insbesondere die Möglichkeit dar, diese für die Ermittlung einer risikogerechten und teilweise geringeren Eigenkapitalunterlegung nach SolvV einzusetzen. Dabei werden die gleichzeitig zahlreichen an die IRBA-Nutzung gestellten aufsichtsrechtlichen und ökonomischen Mindestanforderungen und damit einhergehenden Kosten häufig unterschätzt. Für die Nutzung der internen Ratingverfahren zur Eigenkapitalunterlegung nach SolvV müssen die vom Institut geschätzten Risikoparameter auch in die internen Prozesse der Institute integriert werden. Sie müssen wesentlicher Bestandteil des Risikomanagement und Entscheidungsfindungsprozesses und im Rahmen der Kreditgenehmigung integriert sowie in der internen Kapitalallokation und der Gesamtbanksteuerung berücksichtigt sein. Die Anwendung des IRBA geht somit auch stets mit einem Komplexitätsanstieg und erhöhten Kosten einher. Andererseits können weitere Vorteile als die geringeren Eigenkapitalkosten generiert werden. So können vor der Kreditentscheidung ermittelte Risikotreiber systematisch, einheitlich und vergleichbar zu einem Gesamturteil verdichtet und zusammen mit einer Vorkalkulation wichtige Steuerungsimpulse für das Neu und Bestandsgeschäft des Vertriebs erzeugt werden. Im Rahmen der Konditionengestaltung ermöglichen sie eine risikoadjustierte Margenermittlung über die Ermittlung der Standardrisikokosten und des ökonomischen Eigenkapitals. Zudem kann das Institut durch die Prozesseinbindung gegenüber der Aufsicht einen Nachweis erbringen, dass es Vertrauen in seine selbstgeschätzten Größen hat. Bereits vor Verwendung interner Ratingverfahren für Zwecke der SolvV müssen diese einer aufsichtlichen Zulassungsprüfung unterzogen werden. Die Interne Revision eines Kreditinstituts hat sich dazu im Rahmen einer vorangehenden Selbstprüfung von der Eignung eines Ratingsystems in Form der Einhaltung der umfassenden Mindestanforderungen zu überzeugen. 3. Jährliche Prüfung durch die Revision Gem. 153 SolvV hat die Interne Revision mind. jährlich die Einhaltung der an ein internes Ratingverfahren zu stellenden Mindestanforderungen zu überprüfen. Während die MaRisk nur wenige, i. d. R. allgemein gehaltene Vorgaben für die Ausgestaltung der Risikoklassifizierungsverfahren treffen, sind die Vorgaben der SolvV hinsichtlich der Mindestanforderungen an die IRBA-Nutzung deutlich umfangreicher und konkreter: Allgemeine Anforderungen ( 106 SolvV) an die Ratingverfahren, ihre Systeme und Prozesse (z. B. unabhängige Adress risikoüber wachungs einheit, Dokumentation der Daten und des Aufbaus des Ratingsystems). Ratingsysteme ( SolvV): Anforderungen an die Ratingsysteme im Detail (z. B. Anwendungsbereich, Aufbau, Verwendung von mathematisch-statistischen Verfahren). Schätzung der Risikoparameter ( SolvV): Präzisierung der Vorgaben für die eigenen Schätzungen der Risikoparameter Ausfallwahrscheinlichkeit (PD), Verlustquote bei Ausfall (LGD), Konversationsfaktor (CCF). Validierung eigener Schätzungen ( 147 SolvV): Anforderungen an die interne quantitative und qualitative Validierung der Risikoeinstufungs- und Risikoschätzsysteme Beteiligungen ( SolvV). Unternehmensführung und -aufsicht ( SolvV): Aufgaben der Unternehmensführung, der unabhängigen Adressrisikoüberwachungseinheit und der Internen Revision im Rahmen der IRBA-Anwendung. Ungeeignete Ratingsysteme und fehlerbehafte Anwendungen führen insbesondere zu unangemessenen Ratingergebnissen, Fehlsteuerungen von Risiken sowie einer adversen Selektion von Risiken. Prüfungsschwerpunkte können sein: Qualitative Validierung (nachvollziehbare und sachgerechte Dokumentation der Ratingsysteme [Modelldesign], die Qualität von Input- und Validierungsdaten [Datenqualität] sowie die sachgemäße Berücksichtigung der Ratingergebnisse in der Banksteuerung) und quantitative Validie 112

17 rung der Ratingsysteme (Prognosegüte der Ratingsysteme [Trennschärfe], die geeignete Modellierung der Beziehung zwischen den Risikofaktoren und der erklärenden Variable [Stabilität] sowie die Angemessenheit der Kalibrierung), Model Change Policy, Prozessanwendung, -integration, Ratingaktualität, Overruling, Datenanalysen (z. B. zutreffender Anwendungsbereich, Vollständigkeit Dateneingaben, Auffälligkeiten manueller Falsch- bzw. Phantasieeingaben mit Hilfe von Chi²- und Benfordtests) und IT Systeme (u. a. Entwicklung, Implementierung, Zugriffsberechtigungen). V. Risikokonzentrationen Risikokonzentrationen sind seit Jahrzehnten Ursache von Schieflagen der Banken und in deren Folge auch Ursache für die heutige Regulierungsdichte. Seit mehreren Dekaden hat sich das Aufsichtsrecht von den MaH, MaIR, MaK über die MaRisk 1.0 hin zu den MaRisk 5.0 entwickelt und immer wieder mittelbar oder unmittelbar Risikokonzentrationen bekämpft oder zumindest bekämpfen wollen. Gemessen an dem Anstieg der Regulierung und dem zunehmenden Grad der Mathematisierung der Risikoquantifizierungsverfahren ist die standardisierte Messung von Risikokonzentrationen jedoch in der Praxis unterdurchschnittlich ausgeprägt. Die Interne Revision kann als Prüfungsschwerpunkt daher auch die Messung von Risikokonzentrationen festlegen. Aufsichtlich wird z. B. der Hirschmann- Herfindahl-Index (HHI) genauer untersucht. Die Nutzungsmöglichkeiten von statistischen Kennzahlen zur standardisierten Messung von Risikokonzentrationen (z. B. HHI-Index) sind umfassend (z. B. Zeitvergleich, Portfoliovergleich, Plausibilitäten zur Planung und Wachstumsannahmen, externer Institutsvergleich). Zudem sind sie risikoartenneutral. Die Bezugsgrößen sind dabei vielfältig und je nach Erkenntnisziel wählbar. Ein HHI-Index zur Messung von Adressrisikokonzentrationen kann z. B. auf den Bezugsgrößen EAD, erwarteter Verlust, unerwarteter Verlust oder LGD basieren. Bei der Prüfung von Risikokonzentrationen sollten daher nicht nur traditionelle Instrumente (z. B. Verteilungen nach Größe, Branche, Länder etc.) berücksichtigt werden, sondern auch eine trennscharfe Definition von Risikokonzentrationen und ein angemessener Prozess zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation von Risikokonzentrationen untersucht werden.» Ratingprüfungen erfordern ein interdisziplinäres Revisionsteam von Kreditexperten, Finanzmathematikern und IT-Spezialisten. «Prüfungstipps Erhebung der Instrumente zur Ertragssteuerung, Beurteilung ihrer Angemessenheit und Wirksamkeit, Transparenz von Annahmen in zukunftsgerichteten Planungs- und Prognoseaussagen gegenüber den Entscheidungsträgern. Projektbegleitende Prüfungen der MaRisk 5.0 und die nachhaltige Umsetzung des RTF Leitfadens im Risikocontrolling erfordern hohe quantitative und qualitative Ressourcen in der Internen Revision. Jährliche Ratingprüfungen erfordern ein interdisziplinäres Revisionsteam und umfassen ein weites Spektrum von Prüfungsfeldern (Modelldesign, Datenqualität, Integration in Prozesse, Trennschärfe, Stabilität, Model Change Policy, Ratingaktualität, Overruling, Chi²- und Benfordtests). Nutzungspotenzial von Kennzahlen zur standardisierten Messung von Risikokonzentrationen (z. B. HHI-Index) hinterfragen. 113

18 Revisionsorganisation Kreditrevision Steuerungsrevision Filialrevision IT-Revision Allgemeinrevision Deliktrevision Management-Audit Prüfung von Führungswirkung als neue Herausforderung für die Interne Revision. Autor: Thomas Maurer, Direktor Bereich Revision, Münchner Bank eg. Diskutieren Sie zum Thema dieses Beitrags mit anderen BankPraktikern in unserem FCH Blog: blog.fc-heidelberg.de Diesen Beitrag finden Sie dort unter der Rubrik: Bereichsübergreifende Themen (u. a. Revision, Vorstand, Personal).» Es reift der Verdacht, dass die Führungsqualität und die Führungs wirkung auch Ursache für festgestellte Mängel sein könnten. «I. Einleitung w Bei der Durchführung der Prüfungshandlungen in den einzelnen Prüffeldern, bei der Formulierung und Beurteilung der Feststellungen und Empfehlungen sowie schließlich des zusammengefassten Prüfungsberichts bleibt gelegentlich außerhalb der rein sachbezogenen Feststellungen die Erkenntnis, dass man mit den angewendeten Methoden und Verfahren zwar die Symptome sauber herausarbeiten und Handlungsempfehlungen zur Beseitigung etwaiger Mängel geben konnte, aber die Problemlage im Prüffeld dennoch insgesamt nicht vollumfänglich erfasst wird. Insbesondere bei hohen Fehlerquoten und Mängeln in Systemen und Prozessen, die letztlich zu Risiken für das Institut führen können, reift der Verdacht, dass die Führungsqualität und die Führungswirkung auch Ursache für die Feststellungen sein könnten. Bislang behielt die Interne Revision ihren Verdacht meist für sich, max. fanden sich noch interne Notizen in den Arbeitspapieren. Dies hatte häufig auch seine Berechtigung, ist es doch bislang schwierig bis unmöglich, die Qualität der Führungskräfte im Unternehmen einer einigermaßen objektiven Prüfung zu unterziehen und die Feststellungen auch noch mit konkreten Fakten zu untermauern. Hinzu kommt die zwischenmenschliche Komponente, wird doch Kritik am Führungsverhalten häufig mit einem persönlichen Angriff gleichgesetzt. Auch die MaRisk bieten hier keine Hilfestellung an, denn das Thema Führung wird dort nicht explizit angesprochen. Vor diesem Hintergrund erscheint es unumgänglich, dass sich die Interne Revision intensiver mit der Prüfung der Führungswirkung auseinandersetzt. Einige Ansätze werden im Folgenden aufgezeigt. II. Begriffsbestimmungen und Abgrenzung 1. Management-Audit Ein Management-Audit bezeichnet allgemein ein i. d. R. von externen Beratungsfirmen durchgeführtes Verfahren zur Evaluation von Managern und Führungskräften. Dabei wird eine Mischform verschiedener Analyseund Beratungsmethoden eingesetzt. Ziel ist die konkrete Betrachtung individueller Managementfähigkeiten und Entwicklungspotenziale sowie des Zusammenspiels von Managementressourcen in Organisationsstrukturen und -einheiten. Grund für den Einsatz von Management-Audits ist die zentrale Annahme, dass das Management in einem Unternehmen einen zentralen Erfolgs- bzw. Risiko faktor darstellt. In diesem Beitrag soll eine abgewandelte Form des Management-Audits durch die Interne Revision näher betrachtet werden. Ziel ist hier die fundierte Beurteilung durch die Interne Revision, ob eine Führungskraft die Komplexität der Führungsaufgabe beherrscht und die Gesamtheit aller stellenbezogenen Aufgaben erfolgreich erfüllt. Basis hierfür ist die Stellen-/Aufgabenbeschreibung der jeweiligen Führungskraft. Die Wirkung von Führung wird durch verschiedenste Indikatoren sichtbar, die es im Vorfeld einer Prüfung herauszuarbeiten gilt. Um dem Prüfungsziel gerecht zu werden, ist es erforderlich, die bisher bereits im Rahmen der regulären Prüfungen untersuchten Teilaspekte zu einem Gesamtbild zusammenzufügen. Dabei ist die Individualität des Führungsstils und des Führungsverhaltens der Führungskräfte zu beachten, deshalb kann kein standardisiertes Verhaltensmodell für die Prüfung zu Grunde gelegt werden. 2. Führungskontrolle Die Pflicht zur Führungskontrolle ergibt sich aus der Dienstaufsichtspflicht des Vorgesetzten. 114

19 Diese ist keineswegs eine neue, zusätzliche Aufgabe, sondern seit jeher eine der Kernaufgaben einer Führungskraft. Führungsaufgabe aller Führungsebenen ist es, die Arbeitsergebnisse in den unterstellten Organisationseinheiten so zu überwachen, dass sie daraus ein fundiertes und zutreffendes Urteil über die Qualität ihrer Mitarbeiter abgeben können. Ziel ist eine Verbesserung des Kontrollbewusstseins im Haus insgesamt. Maßstab sind aber nicht die durchgeführten und dokumentierten Kontrollhandlungen, sondern das tatsächlich erreichte Arbeitsergebnis. Führungskontrolle ist nicht delegierbar. Diese ist immer eigenverantwortlich und persönlich durchzuführen. Prüfungshandlungen der internen Revision sind kein Ersatz für die Vorgesetztenkontrolle. Eine Führungskraft hat im Wesentlichen folgende Verantwortlichkeiten: Vermeidung von Vermögensschäden, Sicherstellung der Beachtung von Rechtsvorschriften, Personalentwicklung und -steuerung, Bereitstellung von Ressourcen sowie Verantwortung für den Geschäftserfolg und die optimale Kundenbetreuung. Dies bedeutet in der Praxis, dass sich die Führungskraft von der sachgerechten Ausübung der übertragenen Aufgaben und Kompetenzen, der Leistungsbereitschaft sowie der Leistungs- und Servicequalität der unterstellten Mitarbeiter permanent zu überzeugen hat. III. Prüfungsansätze für die Interne Revision 1. Voraussetzungen Da eine Prüfung der Führungswirkung durch die Interne Revision, wie bereits geschildert, gerade bei der erstmaligen Durchführung durchaus konfliktbeladen sein kann, ist es unabdingbar, dass die Geschäftsleitung diese Prüfung nachdrücklich und vorbehaltlos unterstützt und dies auch im Unternehmen kommuniziert. Nur dann besteht die Chance, dass die Erkenntnisse aus der Prüfung auch verwertet werden und das Institut voranbringen. Daneben ist es ebenfalls hilfreich, wenn im Unternehmen ein einheitliches Verständnis von Führung beststeht. Dies ist i. d. R. dann gegeben, wenn es bereits verankerte Führungsgrundsätze und idealerweise auch ein etabliertes Führungs-Feedback gibt. Natürlich muss sich auch die Interne Revision bei dieser Prüfung um größtmögliche Objektivität bemühen und nicht etwa alte Rechnungen aus vergangenen Prüfungen begleichen. Eine frühzeitige Einbindung der betroffenen Führungskräfte mit ausführlichen Eröffnungsgesprächen, in denen Ziel und Hintergrund der Prüfung erläutert wird, kann bereits im Vorfeld eine angenehme und konstruktive Prüfungsatmosphäre schaffen. Auch eine strengste Beachtung der Vertraulichkeit hinsichtlich der Prüfungsergebnisse ist Voraussetzung für eine Akzeptanz der Prüfung im Unternehmen. Nicht vergessen werden sollte auch die rechtzeitige Information des Betriebsrats. Dies kann helfen, nachträgliche Diskussionen und Verärgerungen zu vermeiden. 2. Aufbau eines Prüfungskonzepts Auf Grund der Komplexität des Themas und der Heterogenität der Strukturen und Persönlichkeiten kann eine Prüfung der Führungswirkung nur mittelfristig zum Erfolg führen. Mit einer einzigen Prüfung, in der ein Rundumschlag versucht wird, und der Einordnung in einen Drei-Jahres-Turnus wird die Interne Revision diesem anspruchsvollen Prüffeld sicher nicht gerecht. Somit ist es geboten, ein längerfristig angelegtes Prüfungskonzept zu entwickeln, um Veränderungen und Entwicklungen in der Führungswirkung im Zeitverlauf transparent zu machen. Das grundsätzliche Ziel dabei ist, eine fundierte Aussage über die Wirkung der einzelnen Führungsinstrumente zu treffen, nicht, ausschließlich die Instrumente selbst zu prüfen. Der erste Schritt sollte eine umfassende Bestandsaufnahme der aktuellen Situation und der Führungskultur im Hause sein. Dabei ist auch eine Aufstellung der bereits implementierten Führungssysteme zu erstellen. Außerdem sollten die Erkenntnisse aus bisher durchgeführten Prüfungen, z. B. im Personalwesen, aus denen Hinweise auf Schwachstellen in der Führungswirkung abgeleitet werden können, einer kritischen Würdigung unterzogen werden. Nach der Bestandsaufnahme und Analyse sollten dezidiert die unterschiedlichen Prüffelder und deren Prüfungs turnus, die im Rahmen eines Management-Audit durch die Interne Revision» Prüfungshandlungen der Internen Revision sind kein Ersatz für die Vorgesetztenkontrolle. «115

20 » Eine vorbehaltlose Unterstützung durch die Geschäftsleitung ist unabdingbare Voraussetzung für die Prüfung der Führungswirkung durch die Interne Revision. «untersucht werden sollen, definiert werden. Details hierzu werden im folgenden Abschnitt dargestellt. Abschließend gehört zum Prüfungskonzept auch die Festlegung eines (eingeschränkten) Empfängerkreises für den Prüfungsbericht und die Feststellungen, möglichst in Abstimmung mit der Geschäftsleitung. 3. Chancen und Risiken Die große Chance einer systematischen Prüfung von Führungswirkung durch die Interne Revision liegt sicher darin, dass mit den Ergebnissen die Geschäftsleitung, aber auch die einzelnen Führungskräfte selbst in die Lage versetzt werden, die Führungsarbeit im Unternehmen und im eigenen Fachbereich kritisch zu hinterfragen und eventuell vorhandene Schwachstellen gezielt anzugehen. Damit kann die in der Einleitung geschilderte Grauzone, in der immer ein ungutes Gefühl hinsichtlich der Führungsqualität blieb, aber letztlich nicht konkret benannt werden konnte, aufgelöst werden. Somit wird Transparenz über die Führungsfunktion im Unternehmen hergestellt, die mittelfristig zu einer Verbesserung der Führungsqualität im Unternehmen führen wird. Damit wird die konsequente Umsetzung der geschäftspolitischen Vorgaben nachhaltig unterstützt. Für die Interne Revision stellt diese Prüfung eine stringente Weiterentwicklung des risikoorientierten Prüfungsansatzes dar. Natürlich birgt eine solche Prüfung auch Risiken, die nicht aus den Augen verloren werden sollten. Eine mangelnde Unterstützung durch die Geschäftsleitung kann zu Akzeptanzproblemen führen. Aus diesen resultiert dann wieder ein verstärkter Aufbau von Konfliktpotenzialen, die die Arbeit der Internen Revision erheblich erschweren können. Aus den Diskussionen über die Erkenntnisse kann sich weiter die Gefahr ergeben, dass die Ergebnisse im Sinne einer Konsenskultur so weit verwässert werden, bis sie keinen wirklichen Mehrwert mehr bringen. Die größte Gefahr ist jedoch die des Missbrauchs der Ergebnisse durch die Geschäftsleitung oder einzelne Führungskräfte. Die Feststellungen können im Extremfall dazu benutzt werden, sich von unliebsamen oder leistungsschwachen Mitarbeitern ohne allzu große Kosten zu trennen. Bei einem solchen Vorgehen wird die Interne Revision in der Zukunft im Haus größte Akzeptanzprobleme haben und das Vertrauen der Fachbereiche nachhaltig verspielen. Vor diesem Hintergrund ist jede Revision gut beraten, die jeweiligen Verhältnisse im eigenen Haus hinsichtlich der Führungskultur und möglicher Reaktionen auf eine derartige Prüfung im Vorfeld sorgfältig abzuwägen und im Zweifel lieber noch mal ein Jahr auf die Prüfung zu verzichten und die Zeit in eine sorgfältige Vorbereitung durch Überzeugungsarbeit zu investieren. Bei der Prüfung der Führungswirkung hat die Revision meist nur einen Versuch. Wenn dieser misslingt, ist das Thema auf Jahre hinaus verbrannt. IV. Definition der Prüffelder 1. Allgemeine Führungsaufgaben Zu den allgemeinen Führungsaufgaben gehören u. a. folgende Punkte: Ressourcenmanagement, Steuerung der zugeordneten Prozesse, Budgetplanung, Termin- und Maßnahmenplanung, Umsetzung von Maßnahmen, Kontrolle der Maßnahmenumsetzung, Delegation von Aufgaben und Kontrollen sowie Qualitätsmanagement. Insbesondere der Steuerung der Prozesse sollte ein besonderes Augenmerk geschenkt werden. Diese kann nur sinnvoll umgesetzt werden, wenn die Prozesse und Prozesseigner sowie die Ziele der Prozesse klar definiert sind und möglichst anhand von Kennzahlen gezielt gesteuert werden. Ist ein derartiges Prozessmanagementsystem im Haus implementiert, so können die Prozesskennzahlen und deren Entwicklung für die Interne Revision wertvolle Hinweise auch auf die Führungswirkung in den jeweiligen Fachbereichen liefern kann. 2. Personalbezogene Führungsaufgaben Indikatoren für die Umsetzung der personalbezogenen Führungsaufgaben können sein: 116