Die Interne Revision in Kreditinstituten

Inhaltsverzeichnis

Abkürzungsverzeichnis

Tabellenverzeichnis

Abbildungsverzeichnis

Verzeichnis der Anhänge

1. Einleitung
1.1. Themenwahl
1.2. Aufbau und Zielsetzung der Arbeit

2. Begriffliche Abgrenzungen und Grundlagen
2.1. Vorstellung der Kreditinstitute in Deutschland
2.1.1. Definition Kreditinstitut
2.1.2. Volkswirtschaftliche Bedeutung von Kreditinstituten
2.1.3. Bankenaufsicht
2.1.3.1. Deutsche Bundesbank
2.1.3.2. Bundesanstalt für Finanzdienstleistungsaufsicht
2.1.4. Überblick über das Bankensystem in Deutschland
2.1.5. Entwicklungstendenzen im deutschen Bankwesen
2.2. Vorstellung der Internen Revision
2.2.1. Definition Interne Revision
2.2.2. Notwendigkeit und organisatorische Eingliederung
2.2.3. Interne Revision als zentrales Element der
Corporate Governance
2.2.3.1. Einordnung in das System der
Corporate Governance
2.2.3.2. Einordnung in das Risikomanagementsystem
2.2.3.2.1. Internes Überwachungssystem
2.2.3.2.2. Controlling
2.2.3.2.3. Frühwarnsystem
2.2.4. Aufgaben der Internen Revision
2.2.4.1. Prüfungsaufgaben
2.2.4.2. Beratung
2.2.5. Grundsätze der Berufsausübung
2.2.5.1. Kodex der Berufsethik
2.2.5.2. Standards für die berufliche Praxis
2.2.5.3. IIR – Revisionsstandards
2.3. Zwischenfazit

3. Bankenaufsichtsrechtliche Vorgaben durch
die MaRisk an die Interne Revision
3.1. Vorstellung der MaRisk
3.1.1. Anwenderkreis
3.1.2. Ziele
3.1.3. Begrifflichkeiten
3.1.4. Struktur
3.2. Generelle bankinterne Voraussetzungen für die
Interne Revision
3.2.1. Organisationsrichtlinien
3.2.2. Ressourcen
3.3. Rahmenvorgaben für die Ausgestaltung der
Internen Revision
3.3.1. Aufgabenerfüllung
3.3.1.1. Tätigkeitsbereiche
3.3.1.2. Risikoorientierter Prüfungsansatz
3.3.2. Grundsätze
3.3.3. Prüfungsdurchführung
3.3.3.1. Prüfungsplanung
3.3.3.2. Sonderprüfungen
3.3.3.3. Prüfungspflicht bei Auslagerungen
3.3.3.4. Berichtspflicht
3.3.3.5. Reaktion auf festgestellte Mängel
3.3.3.6. Dokumentation und Aufbewahrung der
Revisionsunterlagen
3.3.4. Outsourcing
3.3.5. Konzernrevision
3.4. Zwischenfazit

4. Anregungen für eine effiziente und effektive Interne
Revision im deutschen Bankgewerbe
4.1. Vorbemerkungen
4.2. Ausgewählte Ansatzpunkte für eine zeitgemäße
Prüfungstätigkeit
4.2.1. Prozessorientierung in der Revisionstätigkeit
4.2.1.1. Verbindung von risikoorientiertem Prüfungsansatz
und Prozessorientierung
4.2.1.2. Praxisrelevante Aspekte der Prüfungsplanung
4.2.1.2.1. Praxisbeispiel: Risiko- und
prozessorientierte Prüfungsplanung
4.2.1.2.2. Planung des Revisionsablaufs
4.2.1.3. Systemprüfungen im Rahmen des risiko- und
prozessorientierten Prüfungsansatzes
4.2.1.3.1. Begriff der Systemprüfung
4.2.1.3.2. Aufbau einer Systemprüfung
4.2.1.3.3. Ablauf von Systemprüfungen
am Beispiel des Kreditgeschäfts
4.2.2. Self-Auditing als Prüfungsinstrument
4.2.2.1. Phasen eines Self-Audit
4.2.2.2. Ziele und Einschränkungen
4.2.3. Einsatz revisionsunterstützender Software
4.2.3.1. Effizienzpotenzial
4.2.3.2. Anforderungen
4.2.3.2.1. Allgemeine Anforderungen
4.2.3.2.2. Anforderungen aus der Praxis
4.2.4. Erfolgsorientierte Kommunikation
4.2.4.1. Kommunikation zwischen Prüfer und Geprüftem
4.2.4.1.1. Darstellung des bestehenden
Spannungsfeldes
4.2.4.1.2. Aufbau eines Vertrauensverhältnisses
4.2.4.1.3. Schaffung eines positiven
Gesprächsklimas
4.2.4.1.4. Partnerorientierte Gesprächsführung
4.2.4.2. Berichterstattung
4.3. Erbringung interner Beratungsleistungen
4.3.1. Allgemeine Betrachtung der Beratungsfunktion
4.3.2. Voraussetzungen
4.3.3. Beratungspotenzial der Internen Revision
4.3.3.1. Nutzeneffekte interner Beratungsleistungen
4.3.3.2. Vorteile gegenüber externen Beratern
4.3.4. Problemfelder bei der Übernahme interner
Beratungsaufgaben
4.3.5. Integratives Prüfungs- und Beratungskonzept
4.3.6. Praxisbeispiel: Landesbank Baden-Württemberg
4.4. Zusammenarbeit mit internen und externen Institutionen
4.4.1. Vorüberlegungen
4.4.2. Mögliche Kooperationen
4.4.3. Kooperation mit dem Controlling am Beispiel
operationeller Risiken
4.4.3.1. Bankinterne Bedeutung der operationellen
Risiken
4.4.3.2. Praktische Aspekte der Zusammenarbeit
4.5. Qualitätsmanagement
4.6. Wissensmanagement
4.6.1. Begriffsbestimmungen und notwendige
Voraussetzungen
4.6.2. Zielsetzungen
4.6.3. Möglichkeiten der Realisierung und praktischer
Nutzen
4.7. Outsourcing von Innenrevisionsleistungen
4.7.1. Kritische Betrachtung des Outsourcings
4.7.2. Überlegungen zur Realisierung in der Bankpraxis
4.7.3. Erfahrungsbericht
4.8. Weitere innovative Möglichkeiten
4.8.1. Revisionsmarketing
4.8.2. Einbindung in die innerbetriebliche
Aus- und Fortbildung
4.8.3. Interne Revision als kompetenter Ansprechpartner
4.8.4. Intranet-Auftritt der Internen Revision
4.8.5. Peer Review
4.9. Zwischenfazit

5. Fazit

6. Schlussbetrachtung

Anhänge

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Tabellenverzeichnis

Tabelle 1: Mögliche Prüfungsfragen zur Abdeckung der
Prüfungsaufgaben

Tabelle 2: Self-Audit Unterlagen

Tabelle 3: Selbstwertgefühl des Revisionspartners

Tabelle 4: Grundregeln der Gesprächsführung

Tabelle 5: Darstellung der ‚Verständlichmacher’

Tabelle 6: Anforderungen an die Durchführung von
Beratungsprojekten

Tabelle 7: Beispielhafte Regelungen im Rahmen eines Handbuchs

Tabelle 8: Zusammenarbeit von Innenrevision und Controlling
am Beispiel operationeller Risiken

Tabelle 9: Praktischer Nutzen des Wissensmanagements

Abbildungsverzeichnis

Abbildung 1: Corporate Governance

Abbildung 2: Risikomanagementsystem und Überwachungssystem

Abbildung 3: Internes Überwachungssystem

Abbildung 4: Einheitliche Risikosicht durch die MaRisk

Abbildung 5: Hierarchie der Begriffe in den MaRisk

Abbildung 6: Modularer Aufbau der MaRisk

Abbildung 7: Systemprüfungen versus aussagebezogene
Prüfungshandlungen

Abbildung 8: Beispiel für eine Aufnahme der Prozesse im
Kreditgeschäft

Abbildung 9: Zielsetzung von Self-Auditing

Abbildung 10: Das integrative Prüfungs- und Beratungskonzept

Verzeichnis der Anhänge

Anhang 1

1. Einleitung

Die vorliegende Ausarbeitung wurde von mir, Clemens-Matthias Groß, im Rahmen meines Studiums der Betriebswirtschaftslehre an der Fachhochschule Kiel am 26.Mai 2006 als Diplomarbeit eingereicht. Einleitend folgen einige Schilderungen zur Themenwahl sowie eine kurze Skizzierung des Aufbaus und der Zielsetzung dieser Abschlussarbeit.

1.1. Themenwahl

Bei der Wahl eines geeigneten Themas habe ich neben dem während meines Studiums erworbenen Fachwissen auch die Kenntnisse und Erfahrungen aus meiner Ausbildung zum Bankkaufmann und aus einem sechsmonatigen Praktikum berücksichtigt. Dieses Praktikum absolvierte ich bei einer großen Wirtschaftsprüfungsgesellschaft im Bereich der internen und externen Prüfung von Kreditinstituten. Mein theoretisches Wissen und die gewonnenen Eindrücke aus meinen bisherigen praktischen Tätigkeiten erschienen mir durch das Thema ‚Interne Revision in Kreditinstituten’ ideal miteinander verknüpft zu werden. Zur näheren Beleuchtung dieses Themas ist es meines Erachtens besonders hilfreich gewesen, dass ich die praktische Revisionstätigkeit in Kreditinstituten bisher aus verschiedenen Perspektiven miterleben konnte. Während der Ausbildung habe ich diese aus der Sicht der zu prüfenden Fachabteilungen wahrgenommen und während des Praktikums habe ich selbst bei der Internen Revision in kleineren Banken mitgeholfen. Darüber hinaus konnte ich während dieses Praxissemesters die interne Prüfungsinstanz bei weiteren Mandanten aus der Perspektive des Abschlussprüfers betrachten. Diese verschiedenen Sichtweisen haben mich bei der Bearbeitung dieses Themas maßgeblich beeinflusst, so dass insbesondere die Ideen für die von mir gegebenen Anregungen für eine effiziente und effektive Revisionsfunktion aus meinen praktischen Erfahrungen resultieren.

1.2. Aufbau und Zielsetzung der Arbeit

Im Anschluss an die einleitenden Worte werden in Kapitel 2 die beiden Begriffe ‚Kreditinstitut’ und ‚Interne Revision’ definiert und jeweils die wesentlichen theoretischen Grundlagen erläutert. Darauf folgend dient das Kapitel 3 der Darstellung der aufsichtsrechtlichen Vorgaben durch die ‚Mindestanforderungen an das Risikomanagement’ an die Interne Revision in Kreditinstituten. Auf der Basis dieser Vorschriften werden in Kapitel 4, das den Hauptteil dieser Abschlussarbeit darstellt, zahlreiche Möglichkeiten zur Erreichung einer effizienten und effektiven Internen Revision im deutschen Bankgewerbe aufgezeigt. Neben der Realisierung einer zeitgemäßen Prüfungstätigkeit sind auch die interne Beratung und die Zusammenarbeit mit anderen internen und externen Institutionen elementare Bestandteile dieses Kapitels. Diese und andere Anregungen werden auf einer theoretischen Grundlage erörtert und anhand ausgewählter Beispiele veranschaulicht. Die Schlussfolgerungen aus den gerade kurz umschriebenen Abschnitten werden anschließend zu einem Fazit zusammengefasst. Am Ende dieser Ausarbeitung erfolgt eine letzte abschließende Betrachtung.

Die Zielsetzung dieser Abschlussarbeit besteht im Wesentlichen darin, im Rahmen der aufsichtsrechtlichen Möglichkeiten Anregungen zu liefern, welche die Interne Revision in Kreditinstituten in der Praxis umsetzen sollte. Die Darstellungen dienen dabei sowohl der Realisierung einer möglichst wirtschaftlichen Prüfungstätigkeit als auch der Erzielung eines über diese primäre Aufgabe hinausgehenden Mehrwertes für das gesamte Unternehmen. Demzufolge werden im Hauptteil der Arbeit nicht nur ausgewählte Aspekte erläutert, die sich darauf beziehen wie die Innenrevision^[1] bei Prüfungen vorgehen sollte, sondern auch was sie darüber hinaus tun kann, um für das gesamte Kreditinstitut einen möglichst großen Nutzen zu erzielen.

2. Begriffliche Abgrenzungen und Grundlagen

Zur Einführung in das Thema dieser Arbeit werden in diesem Kapitel zunächst wesentliche theoretische Grundlagen erörtert. Zu diesem Zweck werden die beiden Begriffe ‚Kreditinstitut’ und ‚Interne Revision’ definiert und darüber hinaus einige wichtige Aspekte zum besseren Verständnis der gesamten Abhandlung erläutert.

2.1. Vorstellung der Kreditinstitute in Deutschland

2.1.1. Definition Kreditinstitut

Gemäß §1 Abs.1 S.1 KWG^[2] sind Kreditinstitute Unternehmen, die Bankgeschäfte^[3] gewerbsmäßig oder in einem Umfang betreiben, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert.

Keine Kreditinstitute im Sinne des Kreditwesengesetzes sind die Deutsche Bundesbank, die Kreditanstalt für Wiederaufbau, die Sozialversicherungsträger und die Bundesagentur für Arbeit sowie weitere in §2 Abs.1 KWG aufgezählte Unternehmen. Diese Institutionen und Unternehmen unterliegen aber teilweise bestimmten Einzelvorschriften des KWG.

Von den Kreditinstituten abzugrenzen sind darüber hinaus Finanzdienstleistungsinstitute gem. §1 Abs.1a KWG und Finanzunternehmen nach §1 Abs.3 KWG.^[4]

2.1.2. Volkswirtschaftliche Bedeutung von Kreditinstituten

Aus der heutigen komplexen und arbeitsteilig organisierten Wirtschaft sind Kreditinstitute nicht mehr wegzudenken.^[5] Zu ihren wesentlichen Aufgaben in einer Volkswirtschaft gehören die Versorgung der Wirtschaft mit Geld durch Kreditgewährung, die Bereitstellung von Geldanlagemöglichkeiten, der Handel mit Geld und Kapital, die Durchführung des Zahlungsverkehrs sowie die Erbringung weiterer Dienstleistungen, wie z.B. die Vermögensberatung und
-verwaltung und der Edelmetallhandel.^[6] Somit sind kaum noch wirtschaftliche Handlungen denkbar, an denen Kreditinstitute nicht in irgendeiner Form beteiligt sind.^[7]

Weiterhin ist zu beachten, dass Banken^[8] wesentliche Machtpositionen innerhalb der Wirtschaft einnehmen. Diese resultieren aus ihrer Mittlerstellung und dem von ihnen verwalteten umfangreichen Kapital. Aus diesem Grunde bieten sie für die Wirtschaftspolitik einen der wichtigsten Ansatzpunkte, insbesondere über die Geldpolitik der Europäischen Zentralbank. Kreditinstitute können aber auch direkt Einfluss auf die Wirtschaftspolitik nehmen. Dies zeigt sich beispielsweise durch zum Teil enge Verbindungen zu Industrie- und Handelsunternehmen über Beteiligungen und Funktionen (z.B. Aufsichtsratsmandate).^[9]

2.1.3. Bankenaufsicht

Aufgrund der zentralen Stellung der Kreditinstitute im Wirtschaftskreislauf ist eine gut funktionierende Bankenaufsicht unerlässlich. Sie hat die Aufgabe ein stabiles Finanzsystem langfristig zu gewährleisten, damit dieses seine gesamtwirtschaftliche Funktion der effizienten sowie kostengünstigen Transformation und Bereitstellung finanzieller Mittel erfüllen kann.^[10]

Die rechtliche Grundlage für die Beaufsichtigung von Bankgeschäften und Finanzdienstleistungen bildet das Gesetz über das Kreditwesen (KWG). Durch dieses Gesetz wird das Ziel verfolgt, die Funktionsfähigkeit des Finanzsektors durch Gläubigerschutz zu sichern. Dafür wird die alleinige Verantwortung für die geschäftspolitischen Entscheidungen bei den Geschäftsleitern der Kredit- und Finanzdienstleistungsinstitute^[11] belassen. Eine Einschränkung erfährt die Tätigkeit der Institute allerdings durch die Vorgabe qualitativer und quantitativer Rahmenbestimmungen und die Pflicht, gegenüber den Aufsichtsbehörden die geführten Bücher offen zu legen. Die Intensität der Beaufsichtigung hängt von Art und Umfang der jeweils angebotenen Finanzdienstleistungen ab. Ein direkter Eingriff in einzelne Geschäfte der Kreditinstitute wird durch die Bankenaufsicht nicht vorgenommen.^[12]

Im Bereich der Beaufsichtigung der Institute arbeiten die Bundesanstalt für Finanzdienstleistungsaufsicht (nachstehend BaFin genannt) und die Deutsche Bundesbank (nachstehend Bundesbank genannt) zusammen. Grundlage dieser Zusammenarbeit ist das Gesetz über die integrierte Finanzdienstleistungsaufsicht vom 22.April 2002. Durch die dort getroffene eingehende Regelung in §7 KWG hat der Gesetzgeber die Arbeitsteilung zwischen den beiden Organisationen konkretisiert und eine klare Zuordnung der Aufgaben vorgenommen.^[13] Dieser gesetzliche Rahmen wird ausgefüllt durch die zwischen den beiden Aufsichtsinstitutionen getroffene ‚Vereinbarung über die Zusammenarbeit zwischen der Bundesanstalt für Finanzdienstleistungsaufsicht und der Deutschen Bundesbank bei der Beaufsichtigung der Kredit- und Finanzdienstleistungsinstitute’^[14] vom 30.Oktober 2002 sowie die vom Bundesministerium der Finanzen erlassene Aufsichtsrichtlinie vom 10.Oktober 2003.^[15]

Im Folgenden werden die beiden Aufsichtsinstitutionen und deren Rolle in der deutschen Bankenaufsicht kurz beschrieben.

2.1.3.1. Deutsche Bundesbank

Die Deutsche Bundesbank ist als Zentralbank der Bundesrepublik Deutschland integraler Bestandteil des Europäischen Systems der Zentralbanken (ESZB).^[16] Sie wurde im Jahr 1957 als einheitliche Notenbank errichtet. Der Sitz der Zentrale befindet sich in Frankfurt am Main. Die Bundesbank untergliedert sich in neun Hauptverwaltungen^[17], denen zusätzlich noch 61 Filialen nachgeordnet sind.^[18]

Seit 1999 ist die Bundesbank zusammen mit der Europäischen Zentralbank und den anderen Euro-Notenbanken für die Geldpolitik in Europa und somit für die Stabilität des Euro verantwortlich.^[19] Neben der Erfüllung der ihr im Rahmen des Euro-Systems zugewiesenen Aufgaben nimmt die Bundesbank eine Reihe historisch gewachsener Funktionen wahr. Dazu gehören beispielsweise die Beratung der Bundesregierung in währungspolitischen Angelegenheiten, die Aufbereitung und Veröffentlichung von Wirtschaftsstatistiken und die Wahrnehmung der deutschen Mitgliedschaft im IWF. Neben einer Reihe weiterer nationaler und internationaler Aufgaben gehört auch die Mitwirkung bei der Bankenaufsicht zu den Obliegenheiten der Bundesbank.^[20]

Durch die Regelungen in §7 KWG ist die Bundesbank umfassend in die laufende Überwachung der Kredit- und Finanzdienstleistungsinstitute eingebunden. Diese Überwachung erfolgt in der Regel durch die Hauptverwaltungen.^[21] Die Bundesbank übernimmt zum überwiegenden Teil die operative Bankenaufsicht. Dazu gehören vor allem die Auswertungen der von den Instituten eingereichten Unterlagen, Meldungen, Jahresabschlüsse und Prüfungsberichte sowie regelmäßige bankgeschäftliche Prüfungen^[22]. Weiterhin führt die Bundesbank routinemäßig, gegebenenfalls auch bei Bedarf, Aufsichtsgespräche mit den Instituten. Maßgeblich beteiligt ist sie auch beim Erlass bankenaufsichtlich relevanter allgemeiner Regeln (z.B. Grundsätze und Verordnungen).^[23]

2.1.3.2. Bundesanstalt für Finanzdienstleistungsaufsicht

Die BaFin wurde zum 1.Mai 2002 gegründet. Die Grundlage ihrer Entstehung ist das ‚Gesetz über die Bundesanstalt für Finanzdienstleistungsaufsicht’ vom 22.April 2002. Unter dem Dach der BaFin wurden die drei ehemaligen Bundesaufsichtsämter für das Kreditwesen (BAKred), für das Versicherungswesen (BAV) und für den Wertpapierhandel (BAWe) vereinigt. Seit diesem Zusammenschluss gibt es in Deutschland eine einheitliche staatliche Allfinanzaufsicht über Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen und den Wertpapierhandel.^[24]

Die BaFin ist eine bundesunmittelbare, rechtsfähige Anstalt des öffentlichen Rechts. Sie unterliegt der Rechts- und Fachaufsicht des Bundesministeriums der Finanzen und hat die Dienstsitze in Bonn und Frankfurt am Main. Ihr Hauptziel liegt in der Sicherung der Funktionsfähigkeit, der Stabilität und der Integrität des gesamten deutschen Finanzsystems. Daraus ableitbar lassen sich zwei weitere wesentliche Ziele benennen. Dazu gehört einerseits die Zahlungsfähigkeit von Banken, Finanzdienstleistungsinstituten und Versicherungsunternehmen sicherzustellen (Solvenzaufsicht). Andererseits gilt es, die Kunden und Anleger in ihrer Gesamtheit zu schützen und Verhaltensstandards durchzusetzen, die das Vertrauen der Anleger in die Finanzmärkte wahren.^[25]

Im Rahmen der Zusammenarbeit bei der Bankenaufsicht mit der Bundesbank übernimmt die BaFin insbesondere die alleinige Verantwortung für hoheitliche Maßnahmen. Weiterhin beteiligt sich die BaFin an den von der Bundesbank routinemäßig durchgeführten Aufsichtsgesprächen mit den Instituten. Ferner nimmt sie eigene bankgeschäftliche Prüfungen im Bedarfsfall vor. Die BaFin kann bei bankenaufsichtlichen Maßnahmen auf Prüfungsfeststellungen und Bewertungen der Bundesbank aufbauen.^[26]

2.1.4. Überblick über das Bankensystem in Deutschland

Das Bankensystem in Deutschland wird als Universalbanksystem bezeichnet, da es hauptsächlich von Universalbanken getragen wird. Diese sind in allen oder zumindest in sehr vielen Sparten des Bankgeschäfts^[27] aktiv.^[28] Da somit eine Vielzahl von Kreditinstituten in einer ganzen Reihe von Marktsegmenten tätig ist, ergeben sich daraus zwangsläufig zahlreiche Interessensüberschneidungen, die einen starken Wettbewerb zur Folge haben.^[29]

Die Universalbanken lassen sich grob in die Kreditbanken^[30], die Sparkassen und ihre Zentralinstitute (Landesbanken und Girozentralen) sowie die Kreditgenossenschaften und ihre Zentralinstitute unterteilen.^[31] Diese Einteilung
orientiert sich neben der Rechtsform (privatrechtlich, öffentlich-rechtlich und genossenschaftlich) auch an der historischen Zielsetzung (erwerbswirtschaftlich, gemeinnützig und nach Förderauftrag), wobei Letztere in der Vergangenheit durch die zunehmende Gewinnerzielungsabsicht der Sparkassen und Kreditgenossenschaften in den Hintergrund getreten ist. Die Universalbanken lassen sich weiterhin nach ihrer geographischen Ausrichtung unterscheiden. Die Großbanken, Landesbanken und die DZ Bank als genossenschaftliches Zentralinstitut agieren weltweit. Dagegen sind Regionalbanken, Privatbankiers, Sparkassen und Kreditgenossenschaften meist nur regional tätig.^[32]

Neben den Universalbanken gibt es auch die auf nur wenige Bankleistungen begrenzten Spezialbanken. Zu diesen gehören insbesondere die Realkreditinstitute^[33] und die Banken mit Sonderaufgaben^[34].^[35]

2.1.5. Entwicklungstendenzen im deutschen Bankwesen

Im Bankwesen war in der Vergangenheit ein Wandel vom Verkäufermarkt zum Käufermarkt zu beobachten. Die Bemühungen um Kunden führten zunächst zu der Gründung einer Vielzahl von Zweigstellen, da die räumliche Nähe ein wichtiges Entscheidungskriterium bei der Wahl der Bankverbindung darstellte. Die kostenintensiven Filialen zahlten sich solange aus, wie die Margen im Kundengeschäft groß genug waren. Seit geraumer Zeit ist das allerdings nicht mehr der Fall.

Dieser Umstand ist insbesondere darauf zurückzuführen, dass der Wettbewerb verstärkt über den Preis geführt wird, was vorrangig durch eine höhere Preissensibilität und eine abnehmende Loyalität der Bankkundschaft ermöglicht wird. Hinzu kommen neue Wettbewerber aus dem Near- und Non-Bank-Bereich, die den Konsumenten klassische Bankprodukte zu günstigen Konditionen anbieten^[36].^[37] Der Konkurrenzdruck ist zudem durch die Kreditinstitute anderer europäischer Länder^[38] und die auf dem Markt mittlerweile stark vertretenen Direktbanken größer geworden. Letztere wurden ursprünglich gegründet, um Kunden anderer Kreditinstitute zu akquirieren. Dieses Konzept war zwar zum Teil erfolgreich, ging aber insgesamt auch zu Lasten des traditionellen Geschäfts. Ein wesentlicher Grund für die Verringerung der Margen im Kundengeschäft ist die Verengung der Zinsspanne. Spürbare Auswirkungen hatte hierbei insbesondere die Zulassung von Geldmarktfonds durch die Bundesbank. Viele Kreditinstitute brachten aufgrund dessen derartige Produkte auf den Markt, so dass ein Großteil der Kunden Festgelder und Spareinlagen auf das neue Angebot umstellte. Die Folge war eine Verteuerung der Passivseite^[39] und somit eine Verringerung der erzielbaren Margen.^[40]

Zusammenfassend ist feststellbar, dass sich die Situation für die Kreditinstitute in Deutschland infolge veränderter Marktbedingungen und eines veränderten Kundenverhaltens grundlegend gewandelt hat.^[41] Eine wesentliche Folge dieser Entwicklung liegt in der geringen Ertragskraft der deutschen Kreditinstitute im internationalen Vergleich.^[42] Die Auswirkungen des starken Wettbewerbsdrucks zeigen sich einerseits in der Gewichtsverlagerung vom klassischen Bankgeschäft zum Investment Banking, andererseits ist in der Vergangenheit ein verstärkter Konzentrationsprozess in Form von Fusionen

und Übernahmen zu beobachten^[43].^[44] Die Bildung größerer Einheiten ist notwendig, um auf dem nationalen und internationalen Bankenmarkt besser agieren zu können, und um Synergieeffekte in Form von Kosteneinsparungen zu nutzen.^[45] Daraus resultiert eine Erhöhung der Wettbewerbsfähigkeit.

2.2. Vorstellung der Internen Revision

2.2.1. Definition Interne Revision

Die Interne Revision ist eine unabhängige Funktion, die innerhalb einer Unternehmung Strukturen und Tätigkeiten sowohl prüft als auch beurteilt. Zugleich stellt die Innenrevision eine prozessunabhängige Institution dar, die unternehmensintern umfassende Prüfungen^[46] vornimmt und über die geprüften Strukturen und Aktivitäten ausführliche Analysen, Bewertungen, Empfehlungen und Informationen bereitstellt. Darüber hinaus werden die Mitarbeiter einer Unternehmung von der Innenrevision durch partnerschaftliche Beratungen^[47] unterstützt.^[48]

2.2.2. Notwendigkeit und organisatorische Eingliederung

Die Prüfung des Unternehmens ist auf den ersten Blick Sache der Unternehmensleitung. Allerdings muss bei den Führungsaufgaben zwischen solchen, die unabdingbar dem Management obliegen (z.B. Willensentscheidungen, die auf die Existenz und die Zielsetzungen des Unternehmens gerichtet sind), und den delegierbaren unterschieden werden. In diesem Kontext gehört die Prüfungsfunktion zu den Letzteren.^[49]

Aufgrund der immer komplizierter und komplexer werdenden Umweltverhältnisse erfordert die Führungsfunktion in Unternehmen die Konzentration des Managements auf strategische Tätigkeiten. Der Einsatz der automatisierten Datenverarbeitung und die Einführung neuer Organisationsformen haben Änderungen der Organisationsstrukturen und -abläufe zur Folge gehabt. Aufgrund derer ist es für die zentrale Unternehmensführung immer schwieriger, die Gesamtübersicht zu behalten. Neben diesem liegt ein weiterer Grund dafür, dass die Prüfungsfunktion nicht mehr von der Unternehmensleitung selbst vorgenommen wird, aber dennoch ein großes Interesse an diesbezüglichen Informationen besteht, in der räumlichen und entscheidungsmäßigen Dezentralisation. Aber auch der immer größer werdende Wettbewerbsdruck^[50] verlangt die Realisierung von Rationalisierungen in allen denkbaren Unternehmensbereichen. Insbesondere im Bereich der operativen Tätigkeiten fehlt der Führungsebene oftmals die genaue Sachkenntnis, um durch gezielte Prüfungen Verbesserungsmöglichkeiten aufzuzeigen.^[51]

Aus den genannten Gründen wird die Prüfungsaufgabe in Abhängigkeit von der Betriebsgröße, den Prüfungsaufgaben, der Fähigkeit des eigenen Personals und der Einstellung der Unternehmensführung externen Beratern, einer Person im Unternehmen oder einer Abteilung übertragen. Erfolgt die Übertragung der Prüfungsfunktion an eine betriebliche Stelle, wird von der Institution Interne Revision gesprochen.^[52]

Die Interne Revision wird somit zum Instrument der Unternehmensführung und trägt durch die stetige Vornahme gründlicher Überwachungsmaßnahmen zur nachhaltigen Sicherung des Unternehmenserfolges bei.^[53] Der Schutz des Unternehmensvermögens und -bestandes bildet folglich den zentralen Aufgabenschwerpunkt dieser Prüfungsinstanz.^[54] Da dies wie eingangs erwähnt eine Führungsaufgabe darstellt und die Interne Revision keine Weisungsaufgaben gegenüber anderen Stellen wahrzunehmen hat, wird sie i.d.R. als Stabsstelle eingerichtet und der Unternehmensleitung unmittelbar unterstellt. Da die Interne Revision somit vom Prozess der betrieblichen Leistungserstellung und Leistungsverwertung unabhängig ist, sind dadurch die organisatorischen Voraussetzungen für eine leistungsfähige Interne Revision erfüllt.^[55] Sie hat infolgedessen, zumindest theoretisch, freien Zugang zu allen Unternehmensbereichen und prüfungsrelevanten Informationsquellen. Außerdem können Prüfungsfeststellungen unmittelbar an die zentrale Instanz im Unternehmen weitergegeben und Änderungsvorschläge effizient durchgesetzt werden.^[56]

2.2.3. Interne Revision als zentrales Element der Corporate Governance

Durch das im Jahre 1998 verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)^[57] sind die allgemeine Leitungsaufgabe und die Sorgfaltspflicht des Vorstands erstmals auch für die Teilbereiche Risikomanagement und Überwachung^[58] gesetzlich besonders hervorgehoben worden. Der Gesetzgeber greift durch dieses Gesetz somit in die Corporate Governance, d.h. in die Führung, Verwaltung und Überwachung des Unternehmens, ein.^[59] Die nicht unerhebliche Rolle, die der Internen Revision in diesem System zukommt, soll durch diesen Abschnitt verdeutlicht werden.

2.2.3.1. Einordnung in das System der Corporate Governance

Nach einem sehr weiten und international akzeptierten Begriffsverständnis umfasst ‚Corporate Governance’ sowohl die grundsätzlichen Ausgestaltungen als auch die speziellen Rahmenbedingungen für die Strukturen und Prozesse der Führung, Verwaltung und Überwachung von Unternehmen.^[60] Im Mittelpunkt der Corporate Governance steht der Schutz berechtigter Lenkungs- und Sicherungsinteressen von unternehmensexternen Anspruchsgruppen^[61] im Verhältnis zur Unternehmensleitung.^[62] Zu diesem Zweck wurde hierzulande der Deutsche Corporate Governance Kodex (DCGK) von der gleichnamigen Regierungskommission erlassen. Die dort enthaltenen Vorschriften richten sich zwar in erster Linie an börsennotierte Publikumsgesellschaften, allerdings wird die Einhaltung der wesentlichen Regelungen auch nicht börsennotierten Unternehmen empfohlen.^[63] Auch wenn die Interne Revision in dem DCGK nicht explizit erwähnt wird, so stellt sie dennoch ein zentrales Element im Rahmen des Corporate Governance-Systems dar, um die Funktionsfähigkeit und Effizienz der internen Steuerungs- und Überwachungssysteme sowie Überwachungsprozesse sicherzustellen.^[64]

Abbildung 1: Corporate Governance

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Lück und Henke 2004: 6

2.2.3.2. Einordnung in das Risikomanagementsystem

Um die bereits erwähnten Interessen unternehmensexterner Anspruchsgruppen zu schützen, hat der Vorstand einer Aktiengesellschaft nach §91 Abs.2 AktG geeignete Maßnahmen zu treffen, wozu insbesondere die Einrichtung eines Überwachungssystems gehört, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden (Risikomanagement- bzw. Risikofrüherkennungssystem).^[65] Die genannte Vorschrift gilt nach der sog. Ausstrahlungswirkung in Abhängigkeit von der jeweiligen Größe und Komplexität der Unternehmensstruktur auch für die Leitungsorgane von Unternehmen in anderen Rechtsformen.^[66]

Das Risikomanagement wird im IIR^[67] Revisionsstandard Nr.2, der die Prüfung des Risikomanagements durch die Interne Revision zum Gegenstand hat, wie folgt definiert:

„Risikomanagement ist ein nachvollziehbares, alle Unternehmens-aktivitäten umfassendes Regelungssystem, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation, Analyse, Bewertung, Steuerung, Dokumentation und Kommunikation sowie die Überwachung dieser Aktivitäten. Risikomanagement ist integraler Bestandteil der Geschäftsprozesse sowie der Planungs- und Kontrollprozesse.“^[68]

Grundsätzlich kann somit die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken^[69] unternehmerischer Betätigung als Risikomanagement bezeichnet werden.^[70]

Die Zusammensetzung eines einzurichtenden Risikomanagementsystems (RMS) lässt sich aus der Formulierung des §91 Abs.2 AktG und aus der Begründung zu dieser Vorschrift sowie aus der allgemeinen Begründung zum KonTraG schlussfolgern. Demnach besteht dieses aus einem internen Überwachungssystem, aus einem Controlling und aus einem Frühwarnsystem.^[71] Die nachfolgende Abbildung verdeutlicht diesen Sachverhalt.

Abbildung 2: Risikomanagementsystem und Überwachungssystem

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Lück et al. 2002: 229

2.2.3.2.1. Internes Überwachungssystem

Das Interne Überwachungssystem (nachstehend IÜS genannt) hat die Aufgabe, die Zuverlässigkeit aller betrieblichen Prozesse unter Berücksichtigung des Wirtschaftlichkeitsprinzips zu gewährleisten.^[72]

Zu den Bestandteilen des IÜS gehören organisatorische Sicherungsmaßnahmen, interne Kontrollen und interne Prüfungen. Abbildung 3 illustriert diesen Zusammenhang.

Abbildung 3: Internes Überwachungssystem

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Lück und Henke 2004: 9

Die unternehmensspezifische Ausgestaltung des IÜS hängt dabei zum überwiegenden Teil von der Unternehmensgröße, den vorhandenen Vermögensgegenständen und der Branche ab.^[73]

Unter den o.g. organisatorischen Sicherungsmaßnahmen sind die Überwachungsmaßnahmen zu verstehen, die durch laufende, automatische Einrichtungen vorgenommen werden.^[74] Sie dienen dazu, Fehler zu verhindern und eine vorgegebene Sicherheit zu gewährleisten.^[75] Zur Erreichung dieses Ziels werden sie sowohl in die Aufbau- als auch in die Ablauforganisation des Unternehmens integriert.^[76]

Charakteristisch für die internen Kontrollen ist, dass der Überwachungsträger in den Arbeitsablauf integriert ist. Er ist dabei sowohl für das Ergebnis des überwachten Prozesses als auch für das Ergebnis der Überwachung verantwortlich. Aus diesem Grunde werden die internen Kontrollen auch als prozessabhängige Überwachungsmaßnahmen^[77] bezeichnet.^[78]

Zusammenfassend bilden die organisatorischen Sicherungsmaßnahmen und die internen Kontrollen das prozessabhängige Kontrollsystem, das auch als Internes Kontrollsystem (IKS)^[79] bezeichnet wird.^[80]

Kennzeichnend für die internen Prüfungen ist, dass diese Überwachungsmaßnahmen von einer unternehmensinternen Person durchgeführt werden, die weder in den Arbeitsablauf integriert noch für das Ergebnis des überwachten Prozesses verantwortlich ist. Der wichtigste Bestandteil dieser prozessunabhängigen Überwachung ist die Interne Revision.

2.2.3.2.2. Controlling

Zur Überwachung der Unternehmensabläufe dient der Unternehmensleitung neben dem IÜS auch das Controlling.^[81] Aufgrund dessen sind diese beiden Bestandteile des RMS voneinander abzugrenzen.

„Controlling umfasst die zielorientierte Koordination von Planung, Informationsversorgung, Kontrolle und Steuerung (sog. Aktivitäten-Viereck).“^[82] Wie Abbildung 2 auf Seite 17 verdeutlicht, ist die Kontrolle ein wesentlicher Bestandteil sowohl des IÜS als auch des Controllingsystems.^[83] Somit kann Controlling also nicht mit Kontrolle gleichgesetzt werden. Die im Rahmen des Controllings vorgenommenen Kontrolltätigkeiten bilden die Basis für eine zielorientierte Steuerung des Unternehmens.^[84] In diesem Zusammenhang wird klassischerweise zwischen operativem und strategischem Controlling unterschieden. Das strategische Controlling hat die Zielsetzung, neue Erfolgspotenziale zu schaffen. Im Gegensatz dazu ist das operative Controlling darauf ausgerichtet, die bestehenden Erfolgspotenziale optimal zu nutzen.^[85]

2.2.3.2.3. Frühwarnsystem

Ein Frühwarnsystem ist eine spezielle Art von Informationssystem, das es ermöglicht, frühzeitig Risiken für die weitere Entwicklung eines Unternehmens zu erkennen. Somit besteht die Gelegenheit, rechtzeitig Gegensteuerungsmaßnahmen zur Abwehr der Risiken einzuleiten.

Die Frühwarnsysteme spielen in der heutigen Wirtschaft eine große Rolle. Dafür spricht zum einen, dass durch die ständige Änderung der Rahmenbedingungen für die Unternehmen eine rechtzeitige Anpassungsfähigkeit als unerlässlich erscheint. Zum anderen zeigt sich, dass die vergangenheitsbezogenen Daten aus dem Rechnungswesen nur eingeschränkt zur Planung geeignet sind.^[86]

2.2.4. Aufgaben der Internen Revision

Das Deutsche Institut für Interne Revision e.V. (IIR) hat in Anlehnung an die Festlegung des US-amerikanischen IIA (The Institute of Internal Auditors) die Aufgabenstellung der Internen Revision wie folgt definiert:^[87]

„Die Interne Revision erbringt unabhängige und objektive Prüfungs- (‚assurance’-) und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.“^[88]

Zu dieser Definition ist anzumerken, dass die Interne Revision im Vergleich zu früheren Auslegungen nicht nur die Unternehmensführung, sondern die gesamte Einheit unterstützt. Außerdem ist neben der reinen Prüfung auch die Beratung zum Gegenstand der Tätigkeit geworden.^[89]

2.2.4.1. Prüfungsaufgaben

Traditionell werden die Prüfungsaufgaben der Internen Revision in verschiedene Bereiche eingeteilt. Das Financial Auditing umfasst dabei formelle und materielle Prüfungen im Finanz- und Rechnungswesen.^[90] Der Zweck dieser Prüfungen liegt in der Beurteilung der Angemessenheit, Korrektheit und Verlässlichkeit der Daten, in der Sicherung des Unternehmensvermögens sowie der Beurteilung der Funktionsfähigkeit des IKS.^[91] In das Operational Auditing werden über das Finanz- und Rechnungswesen hinausgehend die Prüfung und Verbesserung der Aufbau- und Ablauforganisation eines Unternehmens einbezogen. Im Gegensatz zu der Vergangenheitsorientierung des Financial Auditing sind die Prüfungshandlungen in diesem Bereich weitestgehend gegenwarts- und zukunftsorientiert.^[92] Im Rahmen des letzten traditionellen Prüfungsbereichs wird die Geschäftsführung unter betriebswirtschaftlichen Aspekten geprüft. Die unternehmerische Zielsetzung einschließlich des zugehörigen Führungssystems ist Gegenstand dieses sog. Management Auditing.^[93]

Die Abgrenzungsproblematik der vorgenannten drei Prüfungsbereiche hat in der jüngeren Vergangenheit zu einer neuen Systematisierung der Prüfungsaufgaben der Internen Revision geführt.^[94] Die Prüfungen der Internen Revision werden demnach heutzutage nach folgenden Kriterien durchgeführt:

I. Durch Ordnungsmäßigkeitsprüfungen wird festgestellt, ob Zustände oder Vorgänge einer durch Gesetz oder durch betriebliche Vorschriften vorgegebenen Norm entsprechen bzw. normgerecht durchgeführt werden.^[95]
II. Die Prüfungshandlungen der Internen Revision werden immer stärker risikoorientiert durchgeführt (Risikoprüfungen). Durch ein risikoorientiertes Prüfungsvorgehen^[96] wird den mit der Planung, Durchführung und Überwachung der Prüfung einhergehenden Risiken in angemessener Weise Rechnung getragen.^[97]
III. Die Unternehmensleitung bekommt vom Gesetzgeber immer mehr Verantwortung übertragen und auch seitens des Marktes werden immer mehr Gewährleistungen erwartet. Diese beiden Faktoren, die zu Haftungsansprüchen führen können, müssen zur Erreichung eines ausreichenden Sicherheitsniveaus in unternehmensinterne Richtlinien umgesetzt werden. Diese Richtlinien müssen wirksam sein und eingehalten werden. Durch die Sicherheitsprüfungen werden diese beiden Aspekte berücksichtigt.^[98] Vor allem sind Prüfungen in der Datenverarbeitung erforderlich, wie beispielsweise der Datenschutz der Kunden.
IV. Im Rahmen von Wirtschaftlichkeits- und Zweckmäßigkeitsprüfungen werden die Führungsaufgaben auf allen Ebenen des Unternehmens und das Zusammenwirken sämtlicher Systeme der Unternehmung im Hinblick auf die Wirtschaftlichkeit und die Zweckmäßigkeit geprüft. Hierfür ist es notwendig, zunächst geeignete Sollwerte zu erarbeiten.^[99]
V. Seit Inkrafttreten des KonTraG führt die Interne Revision vermehrt Prüfungen der Zukunftssicherung durch. Aufgrund des §91 Abs.2 AktG hat der Vorstand geeignete Maßnahmen zu ergreifen, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt werden. Der Internen Revision obliegt somit die Aufgabe zu überprüfen, ob ein funktionsfähiges RMS eingerichtet wurde, und damit auch ein wirkungsvolles IÜS.^[100]

In der Praxis ist eine strikte Aufspaltung der Prüfungshandlungen nach den erläuterten Kriterien in der Regel kaum möglich. Daher werden Prüfungen oftmals unter Zugrundelegung mehrerer Gesichtspunkte durchgeführt, wobei allerdings meist ein Kriterium schwerpunktmäßig betrachtet wird.^[101]

An dieser Stelle sei zusätzlich erwähnt, dass die Vornahme jeglicher Überwachungsmaßnahmen in den laufenden Arbeitspapieren und in der Dauerakte zu dokumentieren ist. Hat sich der Prüfer ein abschließendes Urteil über jegliche Prüffelder gebildet, so teilt er dieses im Revisionsbericht und in der Schlussbesprechung mit.^[102]

2.2.4.2. Beratung

Internal Consulting (interne Beratung) gehört neben den im vorigen Gliederungspunkt erläuterten drei traditionellen Prüfungsaufgaben zu den insgesamt vier klassischen Aufgabenbereichen der Internen Revision.^[103]

Kurz umrissen ist unter Internal Consulting neben der Beratung und Begutachtung auch die Ausarbeitung von Verbesserungsvorschlägen zu verstehen.^[104] Im Rahmen dieser Tätigkeit gibt die Interne Revision Verhaltens- und Verfahrensempfehlungen ab. Diese dienen der Unterstützung und Erleichterung von Entscheidungsprozessen und der Lösung bestimmter Probleme.^[105]

Zur Durchführung innerbetrieblicher Beratungsleistungen ist die Interne Revision aufgrund der durch ihre Prüfungstätigkeit erworbenen tiefen und umfassenden Einblicke in alle denkbaren Unternehmensbereiche geradezu prädestiniert. Allerdings darf die Erbringung von Beratungsleistungen^[106] nicht zur Folge haben, dass die zeitnahe und sorgfältige Durchführung der notwendigen Prüfungshandlungen in jeglicher Art und Weise gefährdet wird.^[107]

2.2.5. Grundsätze der Berufsausübung

Der Kodex der Berufsethik in Verbindung mit den Standards für die berufliche Praxis und einigen ergänzenden Verlautbarungen des IIR dient den internen Revisoren^[108] als elementare Anleitung bei ihrer beruflichen Tätigkeit.^[109]

Nachfolgend soll auf diese einzelnen Elemente, aus denen sich die wichtigsten Berufsgrundsätze ableiten lassen, kurz eingegangen werden.

2.2.5.1. Kodex der Berufsethik

Mit dem Kodex der Berufsethik (nachstehend Berufsethik genannt) wird das Ziel verfolgt, das Vertrauen in die objektiven Prüfungshandlungen der Internen Revision zu fördern. Die in diesem Zusammenhang vorgegebenen vier ethischen Grundsätze betreffen den Berufsstand insgesamt und stellen dar, wie sich Prüfer zu verhalten haben.^[110]

Durch den Grundsatz der Rechtschaffenheit wird das den internen Revisoren entgegengebrachte Vertrauen begründet. Sie haben demnach ihre Aufgaben korrekt, sorgfältig und verantwortungsbewusst wahrzunehmen und dürfen nicht gegen geltendes Recht verstoßen. Somit wird die Grundlage für die Zuverlässigkeit des abgegebenen Urteils geschaffen.

Weiterhin zeichnen sich interne Revisoren bei ihrer Tätigkeit durch ein Höchstmaß an sachverständiger Objektivität aus. Die abgegebenen Urteile über geprüfte Sachverhalte sind stets ausgewogen und nicht durch die Interessen des Revisors oder eines Dritten beeinflusst. Demzufolge dürfen Prüfer nicht an Aktivitäten beteiligt sein oder Beziehungen unterhalten, die die Erbringung eines unparteiischen Urteils gefährden könnten.

Nach dem Grundsatz der Vertraulichkeit legen interne Revisoren erhaltene Informationen nicht ohne entsprechende Befugnis offen, es sei denn, sie sind rechtlich oder beruflich dazu verpflichtet.

Ferner dürfen interne Revisoren nur solche Aufgaben übernehmen, für die sie auch die notwendige Fachkompetenz besitzen. Die Revisionstätigkeit ist in diesem Zusammenhang in Übereinstimmung mit den Standards für die berufliche Praxis der Internen Revision durchzuführen. Außerdem besteht die Verpflichtung, die eigenen Fachkenntnisse sowie die Qualität der Arbeit ständig zu verbessern.^[111]

2.2.5.2. Standards für die berufliche Praxis

Die bereits im Rahmen des letzten ethischen Grundsatzes angesprochenen Standards für die berufliche Praxis der Internen Revision (nachstehend Standards genannt) wurden ursprünglich vom IIA herausgegeben. Die deutsche Übersetzung gilt seit dem 1.Januar 2002. Die Standards regeln die praktische

Arbeit der Internen Revision und nennen Forderungen für deren Ausgestaltung^[112].^[113]

Die hier enthaltenen Attribute Standards beziehen sich auf die Organisation der Internen Revision und die Personen, die Prüfungshandlungen vornehmen.^[114] Im Einzelnen lassen sich hier Regelungen zur Unabhängigkeit und Objektivität, zur Fachkompetenz und beruflicher Sorgfaltspflicht sowie zur Qualitätssicherung und -verbesserung finden.

Den zweiten Bestandteil der Standards bilden die Performance Standards. Hier finden sich Erläuterungen zu der Leitung der Internen Revision, zu der Art der zu erbringenden Arbeiten, zur Planung und Durchführung einzelner Aufträge, zur Berichterstattung, zur kontinuierlichen Überwachung sowie zur Risikoübernahme durch das Management.

Auf Einzelheiten der geregelten Sachverhalte soll aus Gründen der Übersichtlichkeit an dieser Stelle nicht weiter eingegangen werden.

2.2.5.3. IIR – Revisionsstandards

Zu den o.g. Verlautbarungen des IIR gehören die herausgegebenen drei Revisionsstandards. In diesen finden sich Erörterungen zu wesentlichen Themenschwerpunkten der Internen Revision. Im Einzelnen geht es um die Zusammenarbeit mit dem Abschlussprüfer, die Prüfung des Risikomanagements und das Qualitätsmanagement. Diese in Deutschland herausgegebenen Revisionsstandards sind als Ergänzungen zu den vorher erläuterten weltweit gültigen Regelungen anzusehen. Im Gegensatz zur Berufsethik und den Standards stellen diese lediglich unverbindliche Anleitungen dar. Sie werden allerdings als Best Practice betrachtet und finden deshalb große Beachtung in der Praxis.^[115]

Auch hierbei soll auf die Darstellung von Details verzichtet werden.

2.3. Zwischenfazit

Die bisherigen Ausführungen veranschaulichen, dass sowohl die Kreditinstitute als auch die Interne Revision in ihren jeweiligen Wirkungskreisen eine herausragende Stellung einnehmen. Deutlich wird dies einerseits durch eine umfangreiche Bankenaufsicht, welche die Sicherung eines stabilen Finanzsystems zum Ziel hat. Andererseits bestehen für die Ausübung der Revisionsfunktion umfassende Grundsätze und Vorschriften, durch die eine hohe Qualität der zu erbringenden Leistungen gewährleistet werden soll.

Neben dieser besonderen Bedeutung kommt durch die in der jüngeren Vergangenheit stattgefundenen Entwicklungen weiterhin die Änderung der jeweiligen Rahmenbedingungen zum Ausdruck. Im Finanzsektor haben sich die Marktgegebenheiten dergestalt geändert, dass die Wettbewerbsintensität national und international zugenommen hat. Deshalb gewinnen die Größe einer Bank und ein gesteigertes Kostenbewusstsein zunehmend an Bedeutung, um auf dem Markt zu überleben. Auf der Ebene des einzelnen Unternehmens hat der Be-griff ‚Risikomanagement’ durch das Inkrafttreten des KonTraG besondere Geltung erlangt. Da der Internen Revision bei der gesamten Überwachung einer Unternehmung eine gewichtige Rolle zukommt, wurde die Funktion dieser unternehmensinternen Prüfungsinstanz deutlich aufgewertet.

Nach der separaten Betrachtung der Kreditinstitute und der Innenrevision ist es im Rahmen dieser Arbeit von besonderem Interesse, die interne Prüfungsinstanz speziell im Bankengewerbe näher zu beleuchten. Zu diesem Zweck werden nachfolgend die diesbezüglichen bankenaufsichtsrechtlichen Vorgaben durch die MaRisk erläutert.

3. Bankenaufsichtsrechtliche Vorgaben durch die MaRisk an die Interne Revision

Im Jahr 2004 wurde zur Erarbeitung eines ersten Entwurfs der Mindestanforderungen an das Risikomanagement (nachstehend MaRisk genannt) eine gemeinsame Arbeitsgruppe von den für die Bankenaufsicht in Deutschland zuständigen Einrichtungen (Bundesbank und BaFin) geschaffen. Dieser Entwurf wurde in der Folge im neu gegründeten Fachgremium MaRisk mit Vertretern der Kreditinstitute, Verbänden und Wirtschaftsprüfern diskutiert.^[116] Nach einem eingehenden Konsultationsprozess im Jahr 2005 wurde die endgültige Version der MaRisk am 20.Dezember 2005 verabschiedet. Abgesehen von den Anforderungen, die sich auf einzelne Elemente aus Basel II beziehen,^[117] traten die erlassenen Vorschriften mit ihrer Veröffentlichung sofort in Kraft.

Im Rahmen dieses Kapitels werden die MaRisk nachfolgend allgemein vorgestellt. Anschließend erfolgt eine eingehende Betrachtung der für die Interne Revision in Kreditinstituten geltenden Ausführungen.

3.1. Vorstellung der MaRisk

3.1.1. Anwenderkreis

Die Regelungen der MaRisk sind von allen Kreditinstituten im Sinne von §1 Abs.1 KWG bzw. im Sinne von §53 Abs.1 KWG^[118] einzuhalten. Außerdem gelten sie für die Zweigniederlassungen deutscher Kreditinstitute im Ausland. Dagegen finden die Regelungen auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums (§53b KWG) keine Anwendung.^[119]

An dieser Stelle sei erwähnt, dass die MaRisk der heterogenen Institutsstruktur und der Vielfalt der betriebenen Geschäfte durch zahlreiche Öffnungsklauseln Rechnung tragen. In Abhängigkeit von der Größe der Kreditinstitute, der Geschäftsschwerpunkte und der damit einhergehenden Risikosituation wird somit eine flexible Umsetzung der Regelungen ermöglicht. Insbesondere für kleinere Kreditinstitute ergeben sich zahlreiche Vereinfachungen.^[120]

3.1.2. Ziele

Die MaRisk stellen auf der Basis von §25a Abs.1 Nr.1 und Nr.2 KWG, wonach jedes Institut über ein Risikomanagement als Teil einer ordnungsgemäßen Geschäftsorganisation verfügen muss, ein konsistentes und umfassendes Gesamtwerk dar.^[121] Das Rundschreiben dient allerdings nicht nur der Konkretisierung der vorgenannten Bestimmungen, sondern auch der Umsetzung wesentlicher qualitativer Elemente der sich abzeichnenden neuen internationalen Eigenkapitalregelungen in das deutsche Bankenaufsichtsrecht.^[122] In diesem Zusammenhang wird durch die MaRisk insbesondere ein Rahmen für die Ausgestaltung des ‚Internal Capital Adequacy Assessment Process’ (ICAAP) vorgegeben. Demnach hat jedes Institut Prozesse einzurichten, die das Vorhandensein von ausreichend internem Kapital zur Abdeckung aller wesentlichen Risiken sicherstellen. Mithilfe des ‚Supervisory Review and Evaluation Process’ (SREP) wird die Qualität dieser Prozesse von der Bankenaufsicht beurteilt. Somit wird auf der Basis des Prinzips der doppelten Proportionalität^[123] ein Rahmen für die Ausgestaltung sowohl des ICAAP als auch des SREP vorgegeben. Anzumerken ist an dieser Stelle, dass im Hinblick auf die verschiedenen Methoden zur Berechnung der aufsichtsrechtlich erforderlichen Eigenmittel^[124] die Anforderungen der MaRisk aufgrund einer diesbezüglich neutralen Darstellung unabhängig von der gewählten Methode eingehalten werden können.^[125]

Als ein weiteres Ziel der MaRisk lässt sich eine ganzheitliche Risikobetrachtung auf Gesamtbankebene anführen, da in diesem neuen Regelungswerk nicht nur die Mindestanforderungen an das Kreditgeschäft (MaK), die Mindestanforderungen an die Ausgestaltung der Internen Revision (MaIR) und die Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH)^[126] zusammengefasst wurden,^[127] sondern auch eine Ergänzung um die Themengebiete Zinsänderungs-, Liquiditäts- sowie operationelle^[128] Risiken vorgenommen wurde. Vormals bestehende Redundanzen und Schnittstellenprobleme zwischen den MaH, MaK und MaIR treten somit zukünftig nicht mehr auf.^[129]

Die nachfolgende Grafik veranschaulicht die Zielsetzung der einheitlichen Risikosicht.

Abbildung 4: Einheitliche Risikosicht durch die MaRisk

Abbildung in dieser Leseprobe nicht enthalten

Quelle: http://www.ey.com (Anhang 1 [Seite 12])

Als weitere Ziele lassen sich noch die Schärfung des Risikobewusstseins sowie die Betonung der Qualität des Risikomanagements und der Gesamtheit der bankinternen Leitungs-, Steuerungs- und Kontrollprozesse nennen. Als abschließender Punkt dieser Aufzählung, die keinen Anspruch auf Vollständigkeit erhebt, lässt sich auch die Erstellung eines Risikotragfähigkeitskonzeptes anführen, das dem Risikodeckungspotenzial die bestehenden Risiken gegenüberstellt.^[130]

3.1.3. Begrifflichkeiten

Das Risikomanagement auf Basis der MaRisk^[131] stellt einen elementaren Bestandteil der institutsinternen Leitungs-, Steuerungs- und Kontrollprozesse dar. Unter Berücksichtigung der Risikotragfähigkeit umfasst es dabei als Teil einer

ordnungsgemäßen Geschäftsorganisation^[132] die Festlegung angemessener Strategien und die Einrichtung adäquater interner Kontrollverfahren.^[133]

Die Risikotragfähigkeit ist dann gegeben, wenn alle wesentlichen Risiken^[134] des Kreditinstituts durch das Risikodeckungspotenzial laufend abgedeckt sind.^[135] Bei der Festlegung der Strategien (Geschäftsstrategie und Risikostrategie) durch die Geschäftsleitung ist die Risikotragfähigkeit in angemessener Weise zu berücksichtigen.^[136] Den Ursprung für die Festsetzung der Risikostrategie bilden die in der Geschäftsstrategie niederzulegenden Ziele und Planungen. Nach dem Umfang und der Komplexität sowie dem Risikogehalt der geplanten Geschäftsaktivitäten bemisst sich der Detaillierungsgrad der Strategien.^[137]

Die bereits erwähnten internen Kontrollverfahren setzen sich aus dem Internen Kontrollsystem und der Internen Revision zusammen.^[138]

Zum Internen Kontrollsystem sind alle Überwachungsmaßnahmen zu zählen, die unmittelbar oder mittelbar in die zu überwachenden Arbeitsabläufe integriert sind.^[139] Dazu gehören prozessabhängige Überwachungsmechanismen, welche die Aufbau- und Ablauforganisation eines Kreditinstituts betreffen (z.B. Funktionstrennungen, prozessimmanente Kontrollen)^[140] sowie Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der wesentlichen Risiken (Risikosteuerungs- und -controllingprozesse)^[141].

Die Interne Revision ist, wie bereits im Grundlagenkapitel erläutert wurde, typischerweise nicht in die betrieblichen Arbeitsabläufe eingebunden. Sie ist als prozessunabhängige Stelle unmittelbar der Geschäftsleitung unterstellt und dieser berichtspflichtig.^[142]

Abbildung 5 visualisiert die aus den MaRisk hervorgehenden begrifflichen Verknüpfungen.

Abbildung 5: Hierarchie der Begriffe in den MaRisk

Abbildung in dieser Leseprobe nicht enthalten

Quelle: http://www.bafin.de (Anhang 1)

3.1.4. Struktur

Die MaRisk sind modular strukturiert, so dass erforderliche Angleichungen ausgewählter Regelungen auf die zeitnahe Überarbeitung einzelner Module beschränkt werden können.^[143] Derartige Anpassungen können beispielsweise durch die laufende Fortentwicklung von Prozessen und Verfahren im Risikomanagement notwendig werden.^[144]

Das Rundschreiben besteht aus einem allgemeinen Teil (AT) und einem besonderen Teil (BT). Im Ersteren finden sich grundsätzliche Prinzipien für die Ausgestaltung des Risikomanagements. Der besondere Teil untergliedert sich in zwei Abschnitte, in denen zum einen besondere Anforderungen an das Interne Kontrollsystem und zum anderen besondere Anforderungen an die Ausgestaltung der Internen Revision abgebildet werden. Einzelheiten zu den Elementen der MaRisk können der nachstehenden Grafik entnommen werden.

Abbildung 6: Modularer Aufbau der MaRisk

Abbildung in dieser Leseprobe nicht enthalten

Quelle: http://www.uni-koeln.de (Anhang 1 [Seite 5])

3.2. Generelle bankinterne Voraussetzungen für die Interne Revision

Wie bereits im vorangegangenen Gliederungspunkt beschrieben wurde und Abbildung 6 deutlich zum Ausdruck bringt, werden im allgemeinen Teil der MaRisk prinzipielle Anforderungen ohne einen speziellen Bezug auf bestimmte Geschäfte oder Risikoarten dargestellt. Auf die bedeutsamsten grundlegenden Aspekte, die auch für die Tätigkeit der Internen Revision relevant sind und im zweiten Abschnitt des besonderen Teils nicht weiter spezifiziert werden, soll an dieser Stelle kurz eingegangen werden.

3.2.1. Organisationsrichtlinien

Sämtliche Geschäftsaktivitäten innerhalb eines Kreditinstitutes müssen auf der Grundlage von Organisationsrichtlinien betrieben werden. Diese können beispielsweise in Form von Handbüchern, Arbeitsanweisungen und Arbeitsablaufbeschreibungen vorliegen.^[145] Die Organisationsrichtlinien müssen schriftlich niedergelegt und den jeweils betroffenen Mitarbeitern in zweckmäßiger Art und Weise kommuniziert werden. Ergeben sich Veränderungen bei den betrieblichen Aktivitäten und Prozessen, so sind die entsprechenden Richtlinien zeitnah auf den aktuellen Stand zu bringen.^[146] Im Rahmen der Organisationsrichtlinien sind Regelungen für die Aufbau- und Ablauforganisation sowie zur Aufgabenzuweisung, Kompetenzordnung und zu den bestehenden Verantwortlichkeiten zu erlassen.^[147] Weiterhin sind Normen hinsichtlich der Einrichtung der Risikosteuerungs- und -controllingprozesse sowie der Sicherstellung der Einhaltung gesetzlicher und sonstiger Bestimmungen festzusetzen. Es wird außerdem explizit darauf hingewiesen, dass die Organisationsrichtlinien Vorschriften zur Internen Revision zu beinhalten haben.^[148]

Eine weitere Bestimmung des Rundschreibens besagt, dass die Organisationsrichtlinien so zu gestalten sind, dass für die Interne Revision die Möglichkeit besteht, in die Sachprüfung einzutreten.^[149]

3.2.2. Ressourcen

Da Kreditinstitute Dienstleistungsunternehmen sind, ist bei den bankinternen Ressourcen insbesondere die Personalausstattung zu betrachten. Diese ist in Quantität und Qualität an den betriebsinternen Erfordernissen, an den Geschäftsaktivitäten und an der individuellen Risikosituation auszurichten.^[150] In Abhängigkeit von den Aufgaben, Kompetenzen und Verantwortlichkeiten haben neben den Mitarbeitern auch deren Vertreter über die notwendigen Kenntnisse und Erfahrungen zu verfügen. Es ist dafür Sorge zu tragen, dass das Qualifikationsniveau der Mitarbeiter stets angemessen ist.^[151] Die MaRisk fordern weiterhin, dass die Abwesenheit oder das Ausscheiden von Mitarbeitern nicht zu tief greifenden Störungen der Betriebsabläufe führen sollten.^[152] Ferner darf die Ausgestaltung der Vergütungs- und Anreizsysteme nicht den in den Strategien festgelegten Zielen entgegenstehen.^[153]

Neben der Personalausstattung ist für den Bankbetrieb auch die technisch-organisatorische Ausstattung von wesentlicher Bedeutung. In Umfang und Qualität hat sie sich nach den betriebsinternen Erfordernissen, den Geschäftsaktivitäten und der bankeigenen Risikosituation zu bemessen.^[154] Die MaRisk weisen an dieser Stelle ausdrücklich darauf hin, dass die IT-Systeme (Hardware- und Software-Komponenten) und die dazugehörenden IT-Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der

Daten zu gewährleisten haben.^[155] Die Eignung aller verwendeten IT-Komponenten ist regelmäßig zu überprüfen, insbesondere sind vor dem erstmaligen Gebrauch und nach erheblichen Veränderungen Tests durchzuführen. In diese Maßnahmen sind neben den technisch zuständigen Mitarbeitern auch die Mitarbeiter der jeweiligen Fachabteilung einzubeziehen.^[156] Entsprechendes gilt für die Entwicklung und Änderung programmtechnischer Vorgaben.^[157]

[...]

---

^[1] Die Begriffe ‚Interne Revision’ und ‚Innenrevision’ werden in dieser Arbeit synonym verwendet.

^[2] Das Gesetz über das Kreditwesen (kurz: Kreditwesengesetz (KWG)) stellt die rechtliche Grundlage für die Geschäftstätigkeit der Kreditinstitute dar (Vgl. Herbstritt und Klink 2004: 508).

^[3] Bankgeschäfte sind das Einlagengeschäft, das Pfandbriefgeschäft, das Kreditgeschäft, das Diskontgeschäft, das Finanzkommissionsgeschäft, das Depotgeschäft, das Investmentgeschäft, das Garantiegeschäft, das Girogeschäft, das Emissionsgeschäft, das E-Geld-Geschäft und die Eingehung der Verpflichtung, Darlehensforderungen vor Fälligkeit zu erwerben. Diese Bankgeschäfte werden in §1 Abs.1 KWG näher erläutert.

^[4] Vgl. Herbstritt und Klink 2004: 507.

^[5] Vgl. Lippe et al. 1998: 319.

^[6] Vgl. Herbstritt und Klink 2004: 508.

^[7] Vgl. Lippe et al. 1998: 319.

^[8] Die Begriffe ‚Bank’ und ‚Kreditinstitut’ werden in dieser Arbeit synonym verwendet.

^[9] Vgl. Lippe et al. 1998: 320.

^[10] Vgl. http://www.bundesbank.de (Anhang 1).

^[11] Kredit- und Finanzdienstleistungsinstitute werden gem. §1 Abs.1b KWG auch zusammenfassend als Institute bezeichnet.

^[12] Vgl. http://www.bundesbank.de (Anhang 1).

^[13] Vgl. DBB 2004: 1.

^[14] Der Zweck dieser Vereinbarung liegt in der praxisgerechten Konkretisierung des §7 KWG (BaFin und DBB 2002a: 1). Somit wird das Ziel der Vermeidung von Doppelarbeiten und der Erreichung einer höheren Kosteneffizienz erreicht (BaFin und DBB 2002b: 2).

^[15] Vgl. DBB 2004: 2.

^[16] Vgl. http://www.bundesbank.de (Anhang 1).

^[17] Die Hauptverwaltungen befinden sich in Berlin, Düsseldorf, Frankfurt am Main, Hamburg, Hannover, Leipzig, Mainz, München und Stuttgart.

^[18] Vgl. http://www.bundesbank.de (Anhang 1).

^[19] Vgl. ebenda (Anhang 1).

^[20] Vgl. ebenda (Anhang 1).

^[21] Vgl. ebenda (Anhang 1).

^[22] Mit diesen Prüfungen beurteilt die Bankenaufsicht die Angemessenheit der Eigenmittelausstattung und die Eignung der Risikosteuerungsverfahren.

^[23] Vgl. http://www.bundesbank.de (Anhang 1).

^[24] Vgl. http://www.bafin.de (Anhang 1).

^[25] Vgl. ebenda (Anhang 1).

^[26] Vgl. BaFin und DBB 2002b: 2.

^[27] Siehe hierzu auch Fn. 3.

^[28] Historisch gesehen gibt es mit dem kontinentaleuropäischen Universalbanksystem und dem angelsächsischen Trennbanksystem zwei verschiedene Banksysteme. Während es bei dem Ersteren keine Trennung zwischen Einlagen- und Kreditgeschäften einerseits und den Wertpapiergeschäften andererseits gibt, sind im Trennbanksystem alle Arten von Wertpapiergeschäften den Geschäftsbanken untersagt und nur den Wertpapierhandelsbanken erlaubt. Diese Strukturen sind gegenwärtig immer noch in Großbritannien und in den USA vorzufinden. Durch Lockerungen der rechtlichen Rahmenbedingungen ist hier allerdings ein Trend zur Universalbank festzustellen (Vgl. Abicht et al. 2004: Teil 4 Kap. 2.4 Seite 1).

^[29] Vgl. Abicht et al. 2004: Teil 4 Kap. 2.1 Seite 1.

^[30] Zu den Kreditbanken gehören Großbanken, Regionalbanken, Zweigstellen ausländischer Banken und Privatbankiers.

^[31] Vgl. Grill und Perczynski 1999: 43.

^[32] Vgl. Abicht et al. 2004: Teil 4 Kap. 2.1 Seite 2.

^[33] Realkreditinstitute betreiben das langfristige Kreditgeschäft und refinanzieren sich über den Kapitalmarkt durch die Emission von Schuldverschreibungen (Vgl. Grill und Perczynski 1999: 49).

^[34] Banken mit Sonderaufgaben sind beispielsweise die Kreditanstalt für Wiederaufbau (gem. §2 Abs.1 KWG kein Kreditinstitut) und die Deutsche Ausgleichsbank.

^[35] Vgl. Lippe et al. 1998: 330.

^[36] Beispielhaft kann hier die Fahrzeugfinanzierung angeführt werden, die heute für die Banken kaum noch einen Absatzmarkt darstellt, da die Fahrzeughersteller eigene Banken gegründet haben und den Autoabsatz durch zinsgünstige Finanzierungsmöglichkeiten fördern.

^[37] Vgl. Abicht et al. 2004: Teil 4 Kap. 2.5 Seite 1.

^[38] Vgl. Bundesverband deutscher Banken 2003: 14. Die deutschen Banken stehen mit diesen in unmittelbarer und immer intensiver werdender Konkurrenz. Dieser Umstand resultiert ganz wesentlich aus dem in einem Großteil gegebenen gemeinsamen Währungsraum.

^[39] Die Verteuerung der Passivseite ergibt sich, da für die vormaligen Festgelder und Spareinlagen in der Folge Geldmarktkonditionen bezahlt werden mussten. Dieser Umstand ist besonders in Hochzinsphasen von Bedeutung, da gerade die Sparzinsen in derartigen Zeiten nur sehr langsam der allgemeinen Zinsentwicklung angepasst werden.

^[40] Vgl. Abicht et al. 2004: Teil 4 Kap. 2.5 Seite 2.

^[41] Vgl. ebenda: Teil 4 Kap. 2.5 Seite 3.

^[42] Vgl. Bundesverband deutscher Banken 2003: 12.

^[43] Die Fusionswelle ist in Deutschland insbesondere bei den Genossenschaftsbanken und Sparkassen zu beobachten. Zwischen 1990 und 2004 gab es im Genossenschaftssektor mehr als 1600 Fusionen. Der Trend zu größeren Einheiten ist aber auch bei den privaten Instituten ungebrochen. Ein spektakuläres Beispiel ist der Zusammenschluss der Bayerischen Vereinsbank und der Bayerischen Hypotheken- und Wechselbank zur HypoVereinsbank (Vgl. Abicht et al. 2004: Teil 4 Kap. 2.5 Seiten 4/5).

^[44] Vgl. Krause 2001: 269.

^[45] Vgl. Abicht et al. 2004: Teil 4 Kap. 2.5 Seite 4.

^[46] Terminologisch ist der Begriff Prüfung in der Prüfungslehre dem Oberbegriff ‚Überwachung’ (siehe hierzu auch Fn.58) zuzuordnen. Unter Prüfungen werden die Überwachungsmaßnahmen subsumiert, die von prozessunabhängigen Personen oder Organen durchgeführt werden. Dabei werden die Begriffe Prüfung und Revision synonym verwendet (Vgl. Lück 2001j: 237/238).

^[47] Siehe hierzu auch die Gliederungspunkte 2.2.4.2. und 4.3.

^[48] Vgl. Lück 2004: 327.

^[49] Vgl. Peemöller 2004: 151.

^[50] Der Wettbewerbsdruck hat seit den 1990er Jahren sehr stark zugenommen. Für diese Entwicklung gibt es vielfältige Ursachen. In diesem Zusammenhang sind beispielsweise die Schnelllebigkeit der Markt- und Kundenanforderungen, die Innovationsdynamik bei den Produkten, der Wegfall von Marktschranken und der Markteintritt neuer Industrieländer zu nennen. Da diese Ursachen nach wie vor wirksam sind, ist auch in Zukunft mit einer Abschwächung der Wettbewerbsintensität kaum zu rechnen (Vgl. Peemöller und Richter 2000: 14).

^[51] Vgl. Peemöller 2004: 151.

^[52] Vgl. ebenda: 151.

^[53] Vgl. http://www.iir-ev.de (Anhang 1).

^[54] Vgl. Kreikebaum 2001: 217.

^[55] Vgl. Lück 2004: 328/329.

^[56] Vgl. Kreikebaum 2001: 217.

^[57] Das KonTraG ist rechtssystematisch ein Artikelgesetz. Derartige Gesetze führen zu Änderungen in mehreren Fachgesetzen (Vgl. http://www.lexexakt.de [Anhang 1]).

^[58] „ Überwachung ist ein mehrstufiger Informations- und Entscheidungsprozess, der alle Maßnahmen umfasst, durch die festgestellt werden soll, ob Zustände oder Vorgänge einer Norm entsprechen bzw. normgerecht durchgeführt werden.“ (Lück 1996: 771) ‚Überwachung’ ist dabei der Oberbegriff für prozessunabhängige Prüfungen (siehe Fn. 46) und prozessabhängige Kontrollen.

^[59] Vgl. Lück et al. 2002: 227.

^[60] Vgl. Lück und Henke 2004: 6.

^[61] Zu diesen unternehmensexternen Gruppen gehören neben den Anteilseignern (shareholder) auch sonstige Personen (stakeholder), wie beispielsweise Gläubiger und Kunden. In der Finanzdienstleistungsbranche wird zu den Letzteren auch noch die Bankenaufsicht (BaFin und Bundesbank) gezählt.

^[62] Vgl. Tanski 2003: 90.

^[63] Vgl. Regierungskommission DCGK 2005: 2.

^[64] Vgl. Buderath 2006: 107.

^[65] Neben §91 Abs.2 AktG leiten sich die gesetzlichen Grundlagen zur Organisation und zum Risikomanagement für Kreditinstitute als lex specialis zusätzlich und weitergehend aus §25a Abs.1 KWG ab (Vgl. Becker 2004: 413).

^[66] Vgl. IIR 2001b: 1; Rosner-Niemes 2005: 285.

^[67] Das Deutsche Institut für Interne Revision e.V. (IIR) ist ein im Jahre 1958 gegründetes gemeinnütziges Institut zur Förderung und Weiterentwicklung der Internen Revision in Deutschland. Zu den wesentlichen Aufgaben des IIR gehört u.a. die Veröffentlichung der in verschiedenen Arbeitskreisen erzielten Forschungsergebnisse auf allen wesentlichen Prüfungs- und Beratungsgebieten in der IIR-Schriftenreihe und in der Zeitschrift Interne Revision (ZIR).

^[68] IIR 2001b: 1.

^[69] Risiken können in diesem Zusammenhang ganz allgemein als gegenwärtig bekannte und aus zukünftigen Entwicklungen resultierende Gefährdungen, die darin bestehen, dass ein (zukünftiger) Ist-Wert von einem festgelegten Wert negativ abweicht, definiert werden (Vgl. Schwager et al. 2005: 8).

^[70] Vgl. IDW 2000: Tz. 4.

^[71] Vgl. Lück 1998: 8.

^[72] Vgl. Lück 2000: 53.

^[73] Vgl. Lück 1998: 9.

^[74] Vgl. Lück und Henke 2004: 9.

^[75] Vgl. Lück 1998: 9.

^[76] Beispielhaft lassen sich an dieser Stelle organisatorische Sicherungsmaßnahmen in der EDV (Zugriffsbeschränkungen, elektronische Unterschrift usw.) und organisatorische Sicherungsmaßnahmen durch Arbeitsanweisungen (Organisationspläne mit Festlegung der Kompetenz- und Verantwortungsverteilung, Zahlungsrichtlinien usw.) nennen (Vgl. Lück 1998: 10).

^[77] Die Kontrollen können sowohl von prozessabhängigen Personen als auch durch automatische Einrichtungen (EDV) durchgeführt werden. Für Erstere sind manuelle Soll/Ist-Vergleiche (z.B. Kontenabstimmung) und für Letztere programmierte Kontrollen innerhalb einer Software typisch (Vgl. Lück 1998: 10).

^[78] Vgl. Lück und Henke 2004: 9.

^[79] Laut der Definition des Instituts für Interne Revision Österreich – IIA Austria wird das IKS als Gesamtheit aller prozessbezogenen Überwachungsmaßnahmen einer Organisation bezeichnet (Vgl. IIA Austria 2004: 18).

^[80] Für das IÜS und das IKS ergibt sich aus dem IDW PS260 eine andere als die hier dargestellte Systematik (Vgl. IDW 2001b: Tz.6). Unter Zugrundelegung der in dieser Arbeit verwendeten Begriffsdefinitionen (siehe Fn.46 und Fn.58) ist allerdings nur der hier verwendete Zusammenhang sinnvoll.

^[81] Vgl. Lück 1998: 10.

^[82] Ebenda: 11.

^[83] Das Controlling hat somit innerhalb eines Unternehmens sehr starke Berührungspunkte mit dem IKS.

^[84] Vgl. Lück 1998: 11.

^[85] Vgl. IIA Austria 2004: 24.

^[86] Vgl. Lück 1998: 11.

^[87] Die nachfolgende deutsche Version der ursprünglich in englischer Sprache verfassten Definition ist mit der Arbeitsgemeinschaft Interne Revision in Österreich und dem Schweizerischen Verband für Interne Revision abgestimmt.

^[88] IIR 2001a: 1.

^[89] Vgl. Peemöller 2004: 153.

^[90] Vgl. ebenda: 155.

^[91] Vgl. Lück 2001a: 95.

^[92] Vgl. Lück 2001b: 212.

^[93] Vgl. Hein 2001: 190.

^[94] Vgl. Lück 2001a: 95.

^[95] Vgl. Lück 2001c: 212.

^[96] Nähere Erläuterungen zum risikoorientierten Prüfungsansatz finden sich auch im Gliederungspunkt 3.3.1.2.

^[97] Vgl. Lück 2001d: 291.

^[98] Vgl. Lück 2001e: 301.

^[99] Vgl. Lück 2001f: 366; Lück 2001h: 384.

^[100] Vgl. Lück 2001g: 380.

^[101] Vgl. Lück 2001i: 14.

^[102] Vgl. Lück 2004: 328.

^[103] Vgl. Lück 2001i: 12.

^[104] Vgl. ebenda: 12.

^[105] Vgl. Hunecke 2001: 133.

^[106] Die Erbringung interner Beratungsleistungen wird eingehend in Gliederungspunkt 4.3. problematisiert.

^[107] Vgl. Hunecke 2001: 133.

^[108] Als interne Revisoren gelten in diesem Zusammenhang die Mitglieder des IIR, die Inhaber des CIA-Zertifikats bzw. diesbezügliche Anwärter und andere, die der Definition der Internen Revision entsprechende Dienstleistungen erbringen.

^[109] Vgl. http://www.iir-ev.de (Anhang 1).

^[110] Vgl. Peemöller 2004: 164/165.

^[111] Vgl. http://www.iir-ev.de (Anhang 1).

^[112] Es bestehen auch noch zusätzliche Leitlinien, die sich mit der praktischen Umsetzung der Standards beschäftigen. Diese sind den Practice Advisories zu entnehmen, die vom Professional Issuers Committee herausgegeben werden.

^[113] Vgl. Peemöller 2004: 164/165.

^[114] Vgl. ebenda: 166.

^[115] Vgl. Bantleon 2005: 69.

^[116] Vgl. http://www.bundesbank.de (Anhang 1).

^[117] Die einzelnen Regelungen Basel II betreffend sind erst im diesbezüglichen Gesamtkontext umzusetzen. Daher kommen sie erst zum 1.1.2007 zum Tragen.

^[118] § 53 Abs. 1 KWG besagt, dass die von einem Unternehmen mit Sitz im Ausland betriebene Zweigstelle im Inland, die Bankgeschäfte betreibt oder Finanzdienstleistungen erbringt, als Kreditinstitut oder Finanzdienstleistungsinstitut gilt. Unterhält das Unternehmen mehrere Zweigstellen im Inland, so gelten diese als Institut.

^[119] Vgl. BaFin 2005a: AT 2.1 Tz. 1.

^[120] Vgl. ebenda: AT 1Tz.3; http://www.bundesbank.de (Anhang 1).

^[121] Vgl. BaFin 2005a: AT 1Tz.1.

^[122] Die qualitativen Elemente finden sich in der 2.Säule der neuen Baseler Eigenkapitalvereinbarung. Diese wird auch als ‚Supervisory Review Process’ (SRP) bezeichnet. Kernelemente des SRP sind der SREP und der ICAAP.

^[123] Die konkrete Ausgestaltung des ICAAP hängt insbesondere von der Größe des Instituts, der Art der betriebenen Geschäfte und der individuellen Risikosituation ab. Da das gleiche für die Intensität des Aufsichtshandelns im Rahmen des SREP gilt, wird in diesem Zusammenhang von einer doppelten Proportionalität gesprochen.

^[124] Details zu den unterschiedlichen Methoden zur Berechnung der erforderlichen Eigenmittel finden sich im Basel II Konsultationspapier, das z.B. unter http://kpmg.de (Anhang 1) zu finden ist.

^[125] Vgl. BaFin 2005a: AT 1 Tz. 2.

^[126] Während die MaH in einigen Bereichen angepasst und modernisiert wurden, wurden die MaK und die MaIR weitgehend unverändert in die MaRisk übernommen.

^[127] Eine Liste aller durch die MaRisk abgelösten Rundschreiben, Verlautbarungen, sonstigen Schreiben und Protokolle findet sich unter http://www.bafin.de
(Anhang 1).

^[128] Zum Thema operationelle Risiken siehe auch Gliederungspunkt 4.4.3.

^[129] Vgl. http://www.bundesbank.de (Anhang 1).

^[130] Vgl. http://www.ey.com (Anhang 1).

^[131] Die verwendeten Begriffe im Rahmen des Risikomanagements in Kreditinstituten unterscheiden sich nicht wesentlich von den allgemeinen Definitionen, die im Gliederungspunkt 2.2.3.2. verwendet wurden. Dennoch sollen die benutzten Ausdrücke der MaRisk an dieser Stelle genau voneinander abgegrenzt werden.

^[132] Da das Risikomanagement gem. §25a Abs.1 KWG als Teil einer ordnungsgemäßen Geschäftsorganisation zu betrachten ist, liegt die Gesamtverantwortung für alle wesentlichen Elemente des Risikomanagements unabhängig von der internen Zuständigkeitsregelung bei allen Geschäftsleitern (§1 Abs.2 KWG) (Vgl. BaFin 2005a: AT 3).

^[133] Vgl. http://www2.agens.com (Anhang 1 [Seite 2]); BaFin 2005a: AT 1 Tz. 1.

^[134] Neben den in Abbildung 4 auf Seite 31 dargestellten Risiken unterliegen Banken u.a. auch Reputationsrisiken, strategischen Risiken sowie Geschäfts- und Ertragsrisiken (Haake und Rosczyk 2005: 91/92).

^[135] Vgl. BaFin 2005a: AT 4.1 Tz. 1.

^[136] Vgl. ebenda: AT 4.1 Tz. 2.

^[137] Vgl. ebenda: AT 4.2 Tz. 1.

^[138] Vgl. ebenda: AT 1 Tz. 1.

^[139] Vgl. http://www2.agens.com (Anhang 1 [Seite 3]).

^[140] Vgl. BaFin 2005a: AT 4.3.1. Ein praktisches Beispiel ist in diesem Zusammenhang das in den Arbeitsprozess integrierte Vier-Augen-Prinzip bei der Freigabe von Zahlungsflüssen im Rahmen des Kreditprozesses oder des Zahlungsverkehrs.

^[141] Vgl. BaFin 2005a: AT 4.3.2.

^[142] Vgl. ebenda: AT 4.4 Tz. 2/3.

^[143] Vgl. ebenda: AT 1Tz.5.

^[144] Vgl. ebenda: AT 1Tz.3.

^[145] Vgl. ebenda: AT 5 Tz. 1.

^[146] Vgl. ebenda: AT 5 Tz. 2.

^[147] Die Standards für die berufliche Praxis der Internen Revision sprechen in diesem Zusammenhang von einer zu erlassenen Geschäftsordnung. In dieser sind die Aufgabenstellung, die Befugnisse und die Verantwortung der Internen Revision zu definieren und von der Unternehmensleitung zu genehmigen (Vgl. IIA 2004: Standard 1000).

^[148] Vgl. ebenda: AT 5 Tz. 3.

^[149] Vgl. ebenda: AT 5 Tz. 4.

^[150] Vgl. ebenda: AT 7.1 Tz. 1.

^[151] Vgl. ebenda: AT 7.1 Tz. 2.

^[152] Vgl. ebenda: AT 7.1 Tz. 3.

^[153] Vgl. ebenda: AT 7.1 Tz.4.

^[154] Vgl. ebenda: AT 7.2 Tz.1.

^[155] Vgl. ebenda: AT 7.2 Tz.2.

^[156] Vgl. ebenda: AT 7.2 Tz.2/3.

^[157] Vgl. ebenda: AT 7.2 Tz.4.