Ausgangslage: The AuditFactory wurde von der Geschäftsleitung einer Bank beauftragt, deren Innenrevision durch die Übernahme einer Prüfung des Risikomanagements zu unterstützen.

Die Bank hatte in 2009 ein schriftlich fixiertes Gesamtkonzept zum Risikomanagement unter Berück­sichtigung von Art, Umfang und Risikogehalt der Geschäftstätigkeit erstellt. In 2010 wurde dieses Gesamtkonzept erstmalig in der Praxis angewendet. Die Ergebnisse unserer Prüfung sollten auch in die bevorstehende Jahresabschlussprüfung einfließen und hierfür unterstützende Erkenntnisse liefern.

Prüfungsauftrag:

Im Rahmen unserer Prüfung sollten die Angemessenheit und Zweckmäßigkeit des Gesamt­konzepts zum Risikomanagements sowie die wirksame Umsetzung in der Praxis untersucht werden. Dabei waren auch die Vorgaben des § 25a Abs. 1 KWG sowie der MaRisk zu berücksichtigen.

Prüfungsziel:

Wir hatten zu ermitteln, ob ein fundiertes, von der Geschäftsleitung getragenes und aus­reichend dokumentiertes Risikomanagementsystem besteht, ob die tatsächlichen Abläufe dem definierten System entsprechen und ob die festgelegten Maßnahmen tatsächlich umgesetzt wurden. Darüber hinaus waren vor allem die Risikostrategie, Risikotragfähigkeit, Risikosteuerung, Risiko­überwachung und die Zweck­mäßigkeit der Maßnahmen inhaltlich zu beurteilen.

Prüfung:

Zunächst verschafften wir uns einen Überblick über Art und Umfang der Geschäftstätigkeit der Bank, z.B. anhand von Prüfungsberichten, aufbau-/ ablauforganisatorischen Regelungen sowie Interviews.

Danach haben wir die Rahmenbedingungen des Gesamtkonzepts zum Risikomanagement (u.a. Definition der Risikobewertungsmethoden und -verfahren, Defini­tion und Abgrenzung der Risikoarten, zugrunde liegende An­nahmen, Berichtswesen, Verant­wortlich­keiten, Schnittstellen, genutzte Tools / Systeme) analysiert.

Im nächsten Schritt prüften wir, ob in der Risikoinventur alle Risikofelder identifiziert wurden. Bei der Beurteilung der Risikobewertung ist die Prüfung des Risikotragfähigkeitskonzepts (Systematik, Berechnungs- und Messverfahren, Limitierungen und Eskalationsmechanismen) von großer Bedeu­tung. Bezüglich der Risikosteuerung war zu untersuchen, ob die vorgesehenen Instrumente zur Steuerung der Risiken geeignet sind. Bei der Prüfung der Risikoüberwachung war festzustellen, ob die vor­gegebenen Maßnahmen auch tat­sächlich umgesetzt wurden und ob die Maßnahmen zweckmäßig sind.

Des Weiteren war zu beurteilen, ob die integrierten Kontrollen (z.B. Funktions­trennungen, Limit- und Kompetenzregelungen, Vier-Augen-Prinzip) tatsächlich eingehalten werden. Bezüglich der Kommuni­kation von Risiken war u.a. zu prüfen, ob Wesentlichkeitsgrenzen für jede Berichts­ebene definiert werden und welche Risiken in welchen Abständen an die zuständigen Entscheidungs­träger zu berich­ten sind. Die Qualität des Risikoreporting beurteilten wir ins­besondere anhand der Kriterien Voll­ständigkeit, Zeitnähe, Verantwortlichkeiten, Adressaten und Ver­ständlichkeit. Über alle Teilprozesse hinweg verifizierten wir die Datenqualität und -integrität.

In die Prüfung haben wir auch die personelle und technisch-organisatorische Ausstattung des Instituts, das Notfallkonzept sowie die Outsourcing-Maßnahmen einbezogen. Hinsichtlich der Out­sourcing-Maßnahmen begutachteten wir u.a. den Risikoanalyse-Prozess zur Feststellung der Wesentlichkeit i.S. des § 25a Abs. 2 KWG, die Inhalte der Einzelverträge, die Schnittstellen sowie die regelmäßige Beurteilung der Leistung der Auslagerungs­unter­nehmen.