- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

MaRisk: Angemessene Risikokultur gefordert


Fünfte Novelle der MaRisk und BAIT: Wesentliche Änderungen und Auswirkungen auf die Interne Revision
Als Indikatoren für die erforderliche Risikokultur gelten unter anderem eine ausgeprägte Leitungskultur (Tone from the Top), die Ausrichtung des Handelns an einem Wertesystem, eine offene und konstruktiv-kritische Risikokommunikation sowie angemessene finanzielle und nicht-finanzielle Anreizstrukturen

- Anzeigen -





Prof. Dr. Niels Olaf Angermüller, Thomas Ramke

Am 27. Oktober 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nach unerwartet langer Konsultation die 5. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Am 06. November 2017 veröffentlichte die BaFin darüber hinaus Bankenaufsichtliche Anforderungen an die IT (BAIT). Die BAIT stellen eine Konkretisierung der MaRisk mit Blick auf den Bereich der IT dar. Mit ihnen reagierte die BaFin auf die erheblich gestiegenen Risiken des IT-Bereichs, beispielsweise in Form sogenannter Cyber-Attacken. Diese Anforderungen führen zu erheblichen Herausforderungen für Kreditinstitute und auch für deren Interne Revisionen.

Der vorliegende Beitrag gibt einen Überblick über die Änderungen der 5. MaRisk-Novelle sowie über die BAIT. Insbesondere werden die Bereiche Risikodatenaggregation und -berichterstattung, Risikokultur, Auslagerungen, Liquiditätsrisiken, operationelle Risiken und IT-Risiken behandelt. In diesem Rahmen werden auch die jeweiligen Herausforderungen für die Interne Revision diskutiert. Es folgt eine Zusammenfassung der Ergebnisse mit Blick auf die Arbeit der Internen Revision.

Die letzte Fassung der MaRisk wurde im Jahr 2012 veröffentlicht und stellte den Kapitalplanungsprozess, die Risikocontrolling- und Compliance-Funktion sowie das Verrechnungssystem für Liquiditätskosten in den Vordergrund. Das Risikomanagement hat sich allerdings seitdem in wichtigen Bereichen weiterentwickelt. Der Basler Ausschuss für Bankenaufsicht (BCBS) hat mit dem Papier zur Risikodatenaggregation und Risikoberichterstattung (BCBS 239) einen wichtigen neuen Standard gesetzt, der nun eine Ergänzung der MaRisk erforderlich machte. Einen ähnlichen Hintergrund hat das zweite, wichtige Thema der 5. MaRisk-Novelle: das Erfordernis einer angemessenen Risikokultur.

Dieser Beitrag aus der Zeitschrift für Interne Revision (ZIR) (Ausgabe 3, 2018, Seite 121 bis 126) wurde von der Redaktion von Compliance-Magazin.de gekürzt.

In voller Länge können Sie ihn und weitere hier nicht veröffentliche Artikel im ZIR lesen.


Zeitschrift Interne Revision - Fachzeitschrift für Wissenschaft und Praxis

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Probe-Abo
Hier geht's zum Normal-Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [108 KB]
Hier geht's zum pdf-Bestellformular (Probe-Abo) [106 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [40 KB]
Hier geht's zum Word-Bestellformular (Probe-Abo) [39 KB]

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Im Überblick

Zeitschrift Interne Revision (ZIR)

  • Herausforderungen bei der Prüfung des PMO

    Die Prüfung des Projektmanagement Office (PMO) stellt Prüfer vor viele Herausforderungen. Es gibt zahllose Projektmanagementstandards sowie zugehörige klassische und agile Projektmanagementmethoden, die individuell oder in Kombination angewendet werden können. Die Begrifflichkeit des PMO, wie auch die darin enthaltenen Rollen und Aufgaben, differieren stark zwischen Organisationen. Der Artikel soll diese und weitere Herausforderungen aufgreifen und neben allgemeinen Prüfempfehlungen ein Prüfprogramm zur Prüfung von PMO-Aufgaben und Funktionen ableiten, das als Hilfestellung in der Praxis verwendet werden kann.

  • RPA ein Prüfobjekt für die Revision

    Durch die technologische Entwicklung ist die Automatisierung von einzelnen Prozessschritten oder ganzen Prozessen eine mittlerweile gängige Möglichkeit zur Effizienz- und Effektivitätsverbesserung in Unternehmen. Vor diesem Hintergrund ist Robotic Process Automation (RPA) häufig das Mittel der Wahl. Auch wenn die Vorteile aus Unternehmens sicht vielfältig sind, ist aus Kontroll- und Überwachungssicht zu hinterfragen, welche Besonderheiten RPA als Prüfobjekt mit sich bringt. Der vorliegende Beitrag widmet sich daher der Frage, wie RPA aus Sicht der Revision - beziehungsweise eines Prüfers - bestmöglich zu prüfen ist und welche Chancen und Risiken hieraus entstehen.

  • Erkenntnisse für den Audit Lifecycle

    In den vorherigen drei Artikeln dieser Veröffentlichungsreihe konnte gezeigt werden, dass sich durch den Einsatz von Continuous Auditing in jeder Phase des Audit Lifecycle (von der Prüfungsplanung bis zum Follow-up) Mehrwerte für die Interne Revision und somit für das Gesamtunternehmen erzielen lassen. Mehrwert kann bereits mit einfachen Methoden und relativ wenig technischem Aufwand erzielt werden. Allerdings lässt er sich erheblich steigern, wenn verschiedene Rahmenbedingungen geschaffen worden sind. Für die Interne Revision stellt die Schaffung eines idealen Continuous Auditing Framework eine erhebliche Herausforderung dar und ist tendenziell mit höheren initialen personellen und finanziellen Aufwendungen verbunden. Die Chance auf Steigerung des Mehrwerts durch einen Continuous-Auditing-Betrieb unter optimierten Bedingungen ist mehrfach begründet: qualitativ höherwertige Erkenntnisse, eine damit verbundene höhere Validität der gezogenen Schlussfolgerungen und eine größere Akzeptanz im Fachbereich.

  • Zum Umgang mit REMIT

    Im Nachgang zur Finanzkrise aus dem Jahre 2008 hat die Europäische Union sowohl den Finanz- als auch den Energiesektor mit einer Reihe von neuen Verordnungen und Richtlinien und deren Überwachung durch die EU-Agenturen ESMA und ACER verstärkt reguliert. Die hier behandelte EU-Verordnung REMIT zielt auf die physischen Strom- und Gasgroßhandelsmärkte ab. REMIT legt branchenspezifische Verhaltensregeln mit dem Ziel fest, einen offenen und fairen Wettbewerb auf diesen Märkten zum Nutzen der Endverbraucher von Energie zu fördern. Die Vorgaben sollen insbesondere missbräuchliches Verhalten von Markteilnehmern unterbinden.

  • Übergang nach SAP-HANA

    In zahlreichen Unternehmen stützen sich betriebliche Prozesse auf SAP-Verfahren. Dort sind sie gleichermaßen Informationslieferant für kaufmännischen Audits und Prüfungsobjekt der IT-Revision. Die bisher vorherrschenden Installationsumgebungen (R/3- oder ERP-Business-Suite) haben sich im Laufe der Jahre mit ihren Abläufen, Datenstrukturen und technischen Sicherheitseinstellungen zu einem vertrauten Revisionsumfeld entwickelt. Dieses kann nur begrenzt auf neue SAP-HANA-Systeme übertragen werden. Viele Migrationsszenarien sind vielmehr mit erheblichen Rückwirkungen auf alle Aspekte betrieblicher Prüfung verbunden.