Interne Kontrollsysteme in Banken und Sparkassen. 2. Auflage. Helfer/Ullrich (Hrsg.)

Transkript

1 Helfer/Ullrich (Hrsg.) Interne Kontrollsysteme in Banken und Sparkassen 2. Auflage Vorgaben und Erwartungen der Bankenaufsicht Schlüsselkontrollen IKS-Dokumentationen für die Fachbereiche IKS-Prüfungen durch Interne Revision, Wirtschaftsprüfung und Aufsicht Finanz Colloquium Heidelberg, 2010

2 Inhaltsverzeichnis Vorwort der Herausgeber A. Entwicklung des Internen Kontrollsystems im Zeitablauf Status Quo des IKS Weiterentwicklung des IKS zum Risikomanagement Darstellung der Einflussfaktoren COSO-Modelle COSOI COSOIIERM COSO Guidance on Monitoring IKS Cobit Sarbanes-Oxley Act (SOA) EU-Richtlinie / BilMoG ISO Risikomanagement Prinzipien und Richtlinien IKS-Grundlagen im Rahmen von Basel/ EU- Recht / FSB / CEBS Bankaufsichdiche Anforderungen nach 25a KWG Einleitung Anforderungen an das Risikomanagement Anforderungen an eine angemessene, personelle Ausstattung Anforderungen an ein angemessenes, transparentes und nachhaltiges Vergütungssystem Anforderungen an eine angemessene. - technisch-organisatorische Ausstattung sowie an das Notfallkonzept Anforderungen an die Liquidität Anforderungen an die Dokumentation der Geschäftstätigkeit 60 VII

3 Anforderungen an die geschäfts- und kundenbezogenen Sicherungssysteme gegen Geldwäsche und gegen betrügerische Handlungen Anforderungen an die Auslagerung Weitere bankaufsichdiche Anforderungen Anforderungen an das Wertpapierdiensdeistungsgeschäft Anforderungen an das Depotgeschäft Anforderungen an den Außenwirtschaftsverkehr IKS/Risikomanagement als zentraler Baustein einer sachgerechten Corporate Governance Zwischenergebnis aus Praxissicht für eine institutsspezifische IKS-Definition 74 B. Gesamtverantwortung der Geschäftsleitung für eine ordnungsgemäße Geschäftsorganisation gemäß 25a Abs. 1 KWG Die ordnungsgemäße Geschäftsorganisation als zentraler Maßstab Wechselwirkungen mit den Strategien gemäß MaRisk Handlungspflichten in Bezug auf das Kontrollumfeld Rolle des IKS in zukünftigen internen und externen Prüfungen Externe Berichtspflichten aus Handels- und Aufsichtsrecht 89 C. Bedeutung des IKS für die Bankenaufsicht Neue»Philosophie«: mehr qualitative und präventive Bankenaufsicht Internes Kontrollsystem als»eckstein«der laufenden Beaufsichtigung von Instituten Bankgeschäftliche Prüfungen 101 VIII

4 4. Bankaufsichdiche Anforderungen an das IKS 104 D. Standardisierungshilfen für Risikomanagement-/ IKS-betroffene Fachbereiche Bereichsübergreifende Kontroll-Bausteine Kontrollbaustein 1: Internes Unternehmensumfeld/Kontröllumfeld Kontrollbaustein 2: < _Zielsetzungsprozess Kontrollbaustein 3: Information und Kommunikation Bereichsspezifische Kontroll-Bausteine Kontrollbaustein 4: Ereignisinventur Kontrollbaustein 5: Risikobeurteilungen Kontrollbaustein 6: Risiko-Maßnahmen Kontrollbaustein 7: Kontroll-und Steuerungsaktivitäten Kontrollbaustein 8: Überwachung (Monitoring) 124 E. Praxishilfen für den strukturierten Aufbau eines modernen Kontrollsystems Einführung 1.1. Vorbemerkung 1.2. Schlüsselkontrollen 1.3. Kontrollziele 1.4. Kontrollarten 1.5. Wirkungsgrad von Kontrollen 1.6. Anforderungen an Kontrollen 1.7. Einbindung des IKS in ein Prozessmanagement 1.8. Öffnungsklauseln Allgemeine Anforderungen an die Aufbau- und Ablauforganisation Adressenausfallrisiken 3.1. IKS-Relevanz IX

5 IKS-Anforderungen 3.3. Schlüsselkontrollen 3.4. Öffnungsklauseln 3.5. Organisatorische Handhabung Aufbauorganisation Ablauforganisation Marktpreisrisiken 4.1. IKS-Relevanz 4.2 IKS-Anforderungen 4.3. Schlüsselkontrollen 4.4. Öffnungsklauseln 4.5. Organisatorische Handhabung Aufbauorganisation Ablauforganisation Liquiditätsrisiken 5.1. IKS-Relevanz 5.2. IKS-Anforderungen 5.3. Schlüsselkontrollen 5.4. Öffnungsklauseln 5.5.' Organisatorische Handhabung 5.6. Risikomanagement im Zusammenhang mit dem Liquiditätsrisiko Operationelle Risiken (OpRisk) 6.1. IKS-Relevanz 6.2. IKS-Anforderungen 6.3. Schlüsselkontrollen 6.4. Organisatorische Handhabung Einleitung Personelle Risiken Risiken aus der technisch-organisatorischen Ausstattung Rechtsrisiken

6 7. Betrug IKS-Relevanz ' IKS-Anforderungen Schlüsselkontrollen Öffnungsklauseln Organisatorische Handhabung Geldwäsche IKS-Relevanz -* IKS-Anforderungen Schlüsselkontrollen Öffnungsklauseln Organisatorische Handhabung Depotgeschäft IKS-Relevanz IKS-Anforderungen Schlüsselkontrollen Organisatorische Handhabung Risiken im Kunden-Wertpapiergeschäft IKS-Relevanz IKS-Anforderungen Schlüsselkontrollen Öffnungsklauseln, Organisatorische Handhabung Außenwirtschaftsverkehr IKS-Relevanz IKS-Erfordernisse Schlüsselkontrollen Öffnungsklauseln Organisatorische Handhabung. 271 XI

7 12. Rechnungswesen IKS-Relevanz IKS-Anforderungen Schlüsselkontrollen ' Öffnungsklauseln Organisatorische Handhabung Auslagerungen IKS-Relevanz -* IKS-Anforderungen Schlüsselkontrollen Öffnungsklauseln Organisatorische Handhabung Datenschutz IKS-Relevanz IKS-Anforderungen Schlüsselkontrollen Öffnungsklauseln Organisatorische Handhabung Produktbezogenes IKS IKS-Relevanz IKS-Anforderungen Schlüsselkontrollen, Öffnungsklauseln Organisatorische Handhabung Risikocontrolling IKS-Relevanz IKS-Anforderungen Schlüsselkontrollen Öffnungsklauseln Funktion der Risikobegrenzung 322 XII

8 16.6. Funktion der Gesamtbanksteuerung Risikocontrolling als IKS-Bereich Berichtswesen des Controllings IKS-Erfordernisse innerhalb des Risikocontrollings Risikomanagement auf Gruppenebene 331 F. IKS als zentrales Prüffeld für die Interne Revision Strategische Positionierung der Internen Revision Aktuelle Handlungsfelder für die Interne Revision Risikoorientierung als maßgebliche Anforderung Erfolgsstorys für die Interne Revision Erfolgsstory 1: Einbindung von Vorstand und Key Playern in den Prozess der Jahresplanung und der Risikoanalyse Erfolgsstory 2: Verstärkung der ex ante- Maßnahmen Erfolgsstory 3: Aktives Anbieten von Beratung Erfolgsstory 4: Bekanntgabe der Jahresplanung Erfolgsstory 5: Beziehungsmanagement Erfolgsstory 6: Rollenbasiertes Verhalten der Internen Revision Erfolgsstory 7: Standardisierte Berichte (kurz und knapp!!) Erfolgsstory 8: Personalauswahl Erfolgsstory 9: Berichterstattung im Aufsichtsgremium Erfolgsstory 10: Kontinuierliche Verbesserung der Revisionsprozesse Beratung durch die Interne Revision Personelle Anforderungen Entwicklung einer Revisionsstrategie Blick in die Zukunft 365 XIII

9 3. Ganzheitlicher Revisionsprozess mit Fokussierung auf das IKS Prozessbezogenes Prüfungsuniversum als zentrale Grundlage Überblick über den Revisionsprozess Prozessorientierte Aufbauorganisation IKS-relevante Informationsgewinnung Einleitung InformationspTlichten an die Interne Revision Zusätzliche Informationsbeschaffung durch die Interne Revision Risk Control Seif Assessment (RCSA) als Planungsprozess revisionsunterstützendes Verfahren Dokumentation 3.1. Ablauf des Planungsprozesses 3.2. Jahresplanung - Einschätzung des IKS auf Institutsebene Allgemeine Anforderungen Inhärente Risiken Kontrollrisiken Entdeckungsrisiko Informationsquellen Beurteilung des Fehlerrisikos anhand des COSO II-Modells 3.3. Jahresplanung - Einschätzung des IKS auf Prüffeld- Ebene , Grundlagen für die Einschätzung durch die Interne Revision Festlegung von Risikofaktoren Planungsgespräche mit den verantwortlichen Führungskräften Real Time - Revision: Kontinuierliche Anpassung der Risikoeinschätzung Entwicklung einer IKS-Prüfungsstrategie XIV

10 4. Prüfungsprozess Prüfungsplan Prüfung der Schlüsselkontrollen und Öffnungsklauseln IKS-Prüfungs-Checkliste Prüfungsarten Prozess-/Systemprüfung Vorgehensweise bei einer Prozessprüfung Prozessorientierte Wirtschaftlichkeitsprüfungen Aussagebezogene Prüfungshandlungen Analytische Prüfungshandlungen Einzelfallprüfungen Stichproben als Grundlage für eine IKS- Angemessenheitsaussage Einzelengagementprüfungen zum Adressenausfallrisiko Prüfung der Führungswirkung als wesentlicher Teil einer IKS-Prüfung Ex ante-tätigkeiten/-prüfungen Vorbemerkung Begleitung wesentlicher Projekte Einleitung Fesdegung der Wesentlichkeit von Projekten Abgrenzung der Begrifflichkeiten: Projektbegleitung-Beratung-Prüfung v Projektbegleitung Beratung in Projekten Projektprüfung Aufgabenumfang im Rahmen von Projektbegleitungen Begleitung von Produkteinführungen Begleitung von Auslagerungen Mängelklassifizierung Berichterstattung Einführung 458 XV

11 6.2. Allgemeine Berichtsanforderungen Umgang mit wesentlichen und schwerwiegenden Mängeln während der Prüfung Hervorheben des IKS im Prüfungsbericht Darstellung im Berichtsteil Darstellung des IKS im Management Summary IKS-Darstellung im Jahresbericht Zusammenarbeit mit dem Aufsichtsorgan Follow up-prozess: Maßnahmenverfolger oder Veränderungsbegleiter? Dokumentation 475 G. Das Interne Kontrollsystem aus Sicht der Wirtschaftsprüfung Die Prüfung des Internen Kontrollsystems bei Jahresabschlussprüfungen Prüfungstechnik im Zusammenhang mit dem Internen Kontrollsystem Ausrichtung der Abschlussprüfung Das Prüfungsrisikomodell Das Interne Kontrollsystem als Grundlage der risikoorientierten Abschlussprüfung Das Interne Kontrollsystem aus Sicht der Wirtschaftsprüfung Risikoorientierte Abschlussprüfung Prüfungsplanung und Internes Kontrollsystem Feststellung und Beurteilung von Fehlerrisiken Feststellung von Fehlerrisiken Beurteilung der festgestellten Fehlerrisiken Reaktionen auf beurteilte Fehlerrisiken Allgemeine Reaktionen Funktionsprüfungen des Internen Kontrollsystems Aussagebezogene Prüfungshandlungen 524 XVI

12 Abschließende Beurteilung Verhältnis zur Prüfung des Risikofrüherkennungssystems Dokumentation Prüfungsergebnis Prüfungsbericht und Bestätigungsvermerk Erläuterungen zu den für Kreditinstitute geltenden ergänzenden Vorschriften zur Rechnungslegung und Prüfung als gesetzlicher Rahmen für die Beurteilung des Internen Kontrollsystems Einzelne Prüfungsstandards und Internes Kontrollsystem Überblick zu Prüfungsstandards und Internem Kontrollsystem im Unternehmen Die Beurteilung des Risikomanägements von Kreditinstituten im Rahmen der Abschlussprüfung (IDW PS 525) Die Prüfung des Risikofrüherkennungssystems als Teilbereich des Internen Kontrollsystems (IDW PS 340) Feststellung und Beurteilung von Fehlerrisiken einschließlich Verständnis vom Internen Kontrollsystem sowie Reaktionen des Abschlussprüfers (IDW PS 261) Internes Kontrollsystem und Fraud: Aufdeckung von Unregelmäßigkeiten im Rahmen der Abschlussprüfung (IDW PS 210) Interne Revision als wesentlicher Bestandteil des Internen Kontrollsystems und Abschlussprüfung (IDW PS 321) Prüfungsnachweise zum Internen Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 300) Internes Kontrollsystem bei der Prüfung der Adressenausfallrisiken und des Kreditgeschäfts von Kreditinstituten (IDW PS 522) Prüfung von Compliance Management Systemen (IDW E-PS 980) 562 XVII

13 2.10. Die Prüfung des Internen Kontrollsystems beim Diensdeistungsunternehmen für auf das Diensdeistungsunternehmen ausgelagerte Funktionen (IDW PS 951) Prüfungsgrundsätze mit der Beurteilung des Internen Kontrollsystems beim Einsatz von Informationstechnologie Abschlussprüfung und Internes Kontrollsystem bei Einsatz vonjnformationstechnologie (IDW PS 330) Abschlussprüfung und Beurteilung des Internen Kontrollsystems bei teilweiser Auslagerung der Rechnungslegung auf Diensdeistungsunternehmen (IDW PS 331) Die neue Prüfungsberichtsverordnung (PrüfbV) in Verbindung mit Abschlussprüfung und Internem Kontrollsystem 582 H. Das Interne Kontrollsystem im Zusammenhang mit den Mindestanforderungen an Compliance (MaComp) Compliance im Wandel - aktuelle regulatorische Herausforderungen Compliance verschieden definiert und interpretiert Internes Kontrollsystem und COSO - Best Practice Methodenmodell IKS und Compliance»post MiFID«- Risiko- und Kontrollorientierung IKS und Compliance»post MaComp«weitere Aufwertung und Stärkung der Compliance-Funktion Compliance als Bestandteil des Internen Kontrollsystems Allgemeine Anforderungen Besondere Anforderungen Das Compliance Business Modell 608 XVIII

14 7.1. Rolle der Geschäftsbereiche Aufgabe von Compliance Prüfungen durch die Interne Revision Risikoorientierte Ausgestaltung des IKS zur Effizienzsteigerung Zusammenarbeit zwischen Compliance und Interner Revision Gemeinsamkeiten und Unterschiede Nutzung von Synergien Zusammenfassung 622 I. Unterstützungsmöglichkeiten des Wirtschaftsprüfers bei der Weiterentwicklung des IKS Einführung Interne Kontrollsysteme als komparativer Konkurrenzvorteil Diensdeistungen des Wirtschaftsprüfers innerhalb eines Unternehmens Prüfung als externe Diensdeistung System- bzw. Aufbauprüfungen Funküonsprüfungen Optimierung als externe Diensdeistung Unterstützung als externe Diensdeistung Technische Unterstützung Personelle Unterstützung Outsourcing als externe Diensdeistung Unternehmensübergreifende Diensdeistungen des Wirtschaftsprüfers Zusammenfassung 647 J. Effiziente Unterstützung für Interne Kontrollsysteme mittels einer GRC Software Plattform Externe Komplexität treibt interne Komplexität 651 XIX

15 2. Herausforderungen bei der Umsetzung interner Kontrollsysteme p Integration von Risikomanagement und interner Kontrolle Von der projektgetriebenen zur prozessgesteuerten Compliance Einsatz einer generischen, prozessorientierten GRC Plattform zur Effizienzsteigerung Erfassung und Dokumentarien (Modellierung) der Elemente eines internen Kontrollsystems (IKS) Implementierung eines strukturierten Versionsmanagements (Release Cycle Management) Implementierung des internen Assessmentprozesses inklusive des Issue & Deficiency Managements Regelmäßiges Bewerten der Risiko Situation und Erfassen von Verlusten und Vorfällen Nachweis der Wirksamkeit des internen Kontrollsystems, des Risikomanagements und der internen Revision gegenüber externen Auditoren Analyse und Auswertung der Aktivitäten innerhalb des internen Kontrollsystems Kontinuierliche Überwachung von Kontrollen (Continuous Controls Monitoring) Ausblick: Automatisierung der Abläufe und Datensammlung Zusammenfassung 675 K. IKS im Kontext der Mindestanforderungen an das Risikomanagement Einleitung Relevante Herausforderungen an IKS in der zweiten MaRisk- Novelle Ausgestaltung der Aufbau-und Ablauforganisation (AT Tz. 1) 683 XX

16 2.2. Prozesse (AT Tz. 2) Risikosteuerungs- und -Controllingprozesse (AT Tz. 1) Auslagerung von Prozessen (AT Tz. 2) Angemessene Stresstests (AT Tz. 3) Historische und hypothetische Szenarien (AT Tz. 4) Überprüfung der Annahmen der Stresstests (AT Tz. 5) Ergebnisse der Stresstests (AT Tz. 6) Neues Modul für Stresstests (AT 4.3.3) Risikoreporting (AT Tz. 7) Wesentliche Informationen (AT Tz. 8) Einbindung des Aufsichtsorgans (AT Tz. 9) Anspruch an die Informationsversorgung durch das Reporting Risikosteuerungs- und -Controllingprozesse (AT Tz. 10) Ausblick 709 L. Autorenverzeichnis 713 M. Literaturverzeichnis 717 N. Stichwortverzeichnis 731 XXI