Versicherungswirtschaft-heute

          Mobilversion

 

- Anzeige -

Was bedeuten die MaGo für die interne Revision?

15.11.2017 – andreas_braun_talanxVon Andreas Braun. Die Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) wurden Anfang 2017 von der Bafin veröffentlicht. Mit den MaGo bündelt die BaFin ihre Erwartungen an die Ausgestaltung wesentlicher Bereiche der Geschäftsorganisation von Versicherungsunternehmen. Für Interne Revisionen ergibt sich mit den MaGo ein neuer Rahmen für ihre Prüfungstätigkeiten.

Aufgrund der intensiven langjährigen Vorbereitungsphase auf Solvency II durch die MaRisk (VA) und BaFin-Auslegungsentscheidungen zu Papieren auf EU-Ebene zur Erfüllung der aufsichtsrechtlichen Anforderungen, ist der Handlungsbedarf in Bezug auf neue Prüffelder/-objekte bzw. eine Erweiterung des “Audit Universe” für die Interne Revision insgesamt gesehen gering.

Die Prüffelder/-objekte in den Prüfbereichen Aufbau- und Ablauforganisation, schriftliche Leitlinien, Compliance-Funktion, unabhängige Risikocontrollingfunktion, versicherungsmathematische Funktion (VmF), Risikomanagementsystem (SII: PI, PII, PIII), internes Kontrollsystem und Outsourcing sind seit spätestens der Einführung von Solvency II Bestandteile von regelmäßigen/risikoorientierten Prüfungen durch die Interne Revision.

Eine neue Herausforderung für die Interne Revision befindet sich im Kapitel “Gesamtverantwortung der Geschäftsleitung”. In Tz. 21 wird gefordert, dass “die Geschäftsleiter auch eine für das Unternehmen angemessene Risikokultur entwickeln, die im Unternehmen gelebt und fortlaufend weiterentwickelt wird”. Eine gesunde Risikokultur beeinflusst maßgeblich das Risikobewusstsein im Unternehmen und trägt auch zu einem wirksamen Risikomanagement bei.

Wie oder was soll die Interne Revision zu diesem Thema prüfen?

Zum einen ist die Geschäftsleitung nicht Gegenstand von Revisionsprüfungen, zum anderen bezieht sich die Anforderung ausdrücklich auf die gesamte Geschäftsleitung, die ihre Verantwortung nicht delegieren kann. Hier könnte die Interne Revision u. a. das installierte Wertemanagement prüfen. Sind Verhaltensregeln/-grundsätze vorhanden, sind diese an alle Mitarbeiter kommuniziert, gibt es eine offene Kommunikationskultur oder eher eine “Angstkultur”, werden Risiken angemessen kommuniziert, inventarisiert?

Ein wichtiger Beitrag kommt der Internen Revision bei der “internen Überprüfung des Governance-Systems” zu. Hier werden die Erkenntnisse, die die Interne Revision bei den von ihr durchgeführten
Prüfungen der Geschäftsorganisation gewinnt, berücksichtigt (Tz. 45). Dadurch wird letztlich die Interne Revision im Governance-System gestärkt. Das bedeutet jedoch auch, dass diese Prüfungen mit größter Sorgfalt und professionellem Revisionshandwerkszeug durchgeführt werden müssen, da die Feststellungen eventuell auch Auswirkungen auf die Sorgfaltspflicht der Geschäftsleitung haben können.

Für Prüfungen der Schlüsselfunktionen sind die “Allgemeine Anforderungen und Stellung im Unternehmen” (Kapitel 9) eine nützliche Basis. Die Interne Revision, selbst Schlüsselfunktion, befindet sich im Three-Lines-of-Defense-Modell in der dritten Linie. Somit hat sie intern keine Prüfungsinstanz die sie prüft. Aufgrund dessen ist es enorm wichtig, dass die Interne Revision alle Anforderungen an die Funktion angemessen erfüllt, um bei einer Prüfung durch Externe (WP, BaFin, externes QA) wesentliche Feststellungen proaktiv zu vermeiden.

Eine weitere (neue) Herausforderung für die Interne Revision ist der definierte Prüfauftrag der IR unter Tz. 135, der sich auf die gesamte Geschäftsorganisation einschließlich ausgegliederter Bereiche und Prozesse bezieht. Im Kapitel 13 “Ausgliederung” wird unter Tz. 247 angefordert, dass die mit einer Ausgliederung verbundenen Risiken durch das Risikomanagement auch im Anschluss zu identifizieren, zu analysieren, zu bewerten und angemessen zu steuern seien. Somit erstreckt sich die Prüfungstätigkeit der Internen Revision auch auf die ausgelagerten Geschäftsbereiche, vorausgesetzt, dass die Interne Revision entsprechende Prüfungsrechte sowie der Dienstleister als Ganzes ein entsprechendes funktionierendes Governance-System installiert hat.

Dies hat zur Folge, dass Prüfungen ausgegliederter Prozesse sehr anspruchsvoll werden können und der Aufwand solcher Prüfungen erheblich steigen wird. Auch ist noch unklar, ob überhaupt ein Zugang zu großen Dienstleistern wie zum Beispiel IBM möglich ist.

Eine Alternative wäre, sofern der Dienstleister eine eigene Interne Revision besitzt, die Prüfungsberichte anzufordern. In der Praxis wird dieser Ansatz wahrscheinlich nicht funktionieren, da der Dienstleister dann exklusiv für den jeweiligen Kunden einen Bericht verfassen muss. Eine praktikable Möglichkeit wäre die Erstellung eines ISAE 3402-Report durch den Dienstleister. Hierbei handelt es sich um einen international anerkannten Standard für das Outsourcing von Dienstleistungen.

  • Die MaGo hat für die Prüftätigkeit einen Rahmen geschaffen, in dem sie noch mehr Gewicht auf die Prüfung der 2ndLoD legen, d. h. in der Überprüfung der Wirksamkeit der Schlüsselfunktionen.
  • Prüfungsschwerpunkte bleiben weiterhin das IKS und das Risikomanagement (inklusive der Risikokultur).
  • Durch das vermehrte outsourcen von wesentlichen Funktionen und Prozessen, ist die Interne Revision aufgefordert ihren Prüffokus entsprechend zu erweitern und noch stärker diese Bereiche zu prüfen.

Für diese anspruchsvollen neuen Anforderungen an die Interne Revision werden entsprechende Spezialisten benötigt, die mit Motivation und den notwendigen Kompetenzen ihren Job professionell erledigen.

Bild: Andreas Braun, Head of Group Auditing bei der Talanx AG, spricht heute zum Thema auf dem DIIR-Kongress 2017. (Quelle: Talanx AG)

- Anzeige -
- Anzeige -
- Anzeige -

 

VVW | Kontakt | AGB | Datenschutzerklärung | Impressum | Mediadaten