Audit von Banken: Im Netz der Regularien

Die Prüfung von Banken ist vielseitig, vielschichtig und komplex – gerade das macht sie in den Augen von Katharina Thomas und Marvin Strache so spannend. Im Interview erzählen die Wirtschaftsprüfer*innen, welche Herausforderungen sich bei der Prüfung stellen.

Geht es um Banker, hat man schnell einen bestimmten Typ Mensch im Kopf. Welchen Leuten begegnen Sie bei der Arbeit mit Ihren Mandant*innen?

Katharina Thomas: In einer Bank findet man grundsätzlich jeden „Typ Mensch“ – genau das ist es, was die tagtägliche Arbeit mit unseren Mandant*innen so abwechslungsreich macht. Gerade bei ausländischen Zweigstellen oder auch internationalen Großbanken begegnet man Menschen aus zahlreichen Ländern mit unterschiedlichsten kulturellen Hintergründen, was die Zusammenarbeit natürlich entsprechend beeinflusst. Gleichzeitig lernt man hierbei einiges über die verschiedenen Kulturen und Arbeitsweisen in anderen Ländern.

Was unterscheidet Banken von anderen Mandantengruppen?

Marvin Strache: Aufgrund verschiedener Unternehmensmodelle und ihrer zum Teil globalen Ausrichtung ist die Prüfung von Banken sehr vielseitig, vielschichtig und komplex. Und eben deshalb auch so spannend. Banken kreieren mitunter neue Finanzprodukte und Geschäftsmodelle oder entwickeln die bestehenden weiter. Das erfordert von Prüfer*innen ein hohes Maß an Fachexpertise und Know-how. Gleichzeitig ist Flexibilität bei Aufbau und Umsetzung der notwendigen Prüfungshandlungen gefragt.

Banken unterliegen zudem zahlreichen Spezialgesetzen und der europaweiten Regulatorik. Zum einen beschäftigen wir uns mit der Prüfung des rechnungslegungsbezogenen Teils, also mit dem Jahresabschluss aus Bilanz, Gewinn- und Verlustrechnung und Anhang, dem Lagebericht sowie gegebenenfalls mit der Kapitalflussrechnung und dem Eigenkapitalspiegel.

Zum anderen prüfen wir aber auch die Einhaltung der Spezialgesetze und der regulatorischen Vorgaben. Die Ergebnisse der Prüfung stellen wir in unserem Prüfungsbericht dar, dessen bankspezifische Inhalte sich maßgeblich an einer speziellen Prüfungsberichtsverordnung orientieren. Selbst bei kleineren Banken überschreitet der Bericht schnell einen Umfang von 150 Seiten und nimmt entsprechend viel Zeit bei der Erstellung in Anspruch.

Katharina Thomas: Eine weitere Besonderheit ist die gesetzliche Vorgabe, dass die Abschlussprüfung bei Banken bis zum Ablauf des fünften Monats nach Geschäftsjahresende abzuschließen ist. Bei kalendergleichem Geschäftsjahr müssen wir unsere Prüfungen damit bis zum 31. Mai des Folgejahres beenden und den Prüfungsbericht im Anschluss unverzüglich bei der Aufsicht einreichen.

Apropos Aufsicht. Auch die bankenaufsichtliche Struktur ist sicherlich eine Besonderheit. Der einheitliche Bankenaufsichtsmechanismus, kurz SSM oder auch Single Supervisory Mechanism, besteht aus der EZB und nationalen Aufsichtsbehörden – in Deutschland der BaFin und der Bundesbank. In Abhängigkeit der Bedeutsamkeit der Bank wird diese entweder direkt von der EZB oder der BaFin in Zusammenarbeit mit der Bundesbank beaufsichtigt. Das sogenannte „Single Rulebook“, ein einheitliches Regelwerk, harmonisiert das europäische Bankenaufsichtsrecht; es besteht aus einer Vielzahl an Rechtsakten, die für alle Finanzinstitute verbindlich sind. Ziele des SSM beziehungsweise des Single Rulebooks sind die Gewährleistung eines sicheren und stabilen Bankensystems sowie die Verbesserung der finanziellen Integration und Stabilität in Europa.

Gesetze, Vorgaben und Spezialregularien bestimmen den Audit

Welche der angesprochenen Spezialregelungen und regulatorischen Vorgaben sind denn besonders relevant?

Marvin Strache: Einen Rahmen geben das Handelsgesetzbuch, die Kreditinstituts-Rechnungslegungsverordnung, kurz RechKredV, und das KWG vor, also das Kreditwesengesetz. Das KWG enthält Spezialregelungen für Banken, die teilweise durch weitere Veröffentlichungen der deutschen Bankenaufsicht konkretisiert werden. Hier sind allen voran die sogenannten Mindestanforderungen an das Risikomanagement, kurz MaRisk, zu nennen. Die RechKredV definiert unter anderem die Struktur und den inhaltlichen Aufbau der Bilanz und der Gewinn- und Verlustrechnung. Darüber hinaus müssen Banken weitere regulatorische Vorschriften beachten, beispielsweise die Capital Requirements Regulation der EU, kurz CRR, sowie Spezialgesetze wie das Geldwäschegesetz. Und natürlich steht die regulatorische Entwicklung niemals still.

Gibt es denn bei der Vielzahl an Gesetzen und Spezialregelungen auch Faktoren, die speziell die Prüfung von Banken erleichtern?

Katharina Thomas: Interessanterweise sind es gerade die regulatorischen Vorgaben der Banken, welche die Arbeit der Prüfer*innen auch erleichtern können. Denn aufgrund der Regularien verfügen Banken oft über ein stark ausgeprägtes internes Kontrollsystem. Gerade beim kontrollbasierten Prüfungsansatz kann das ein großer Vorteil sein, da dieser darauf abzielt, einen Teil der Prüfungssicherheit mittels der von der Bank eingerichteten Kontrollen zu erlangen. Im Gegensatz zum produzierenden Gewerbe spielen zudem Vorräte und Sachanlagevermögen bei Banken im Normalfall keine oder nur eine untergeordnete Rolle. Prüfer*innen können somit auf die sonst oft üblichen Inventurbeobachtungen verzichten.

Marvin Strache: Die Prüfung von Banken bringt zusätzlich einige ganz praktische Erleichterungen mit sich. So haben Banken ihren Sitz meistens in den großen Ballungszentren, was für viele Prüfer*innen kurze Wege zum Mandanten bedeutet. Aber auch Remote-Prüfungen sind bei Banken oft leichter umzusetzen als bei Unternehmen anderer Branchen, da die Geschäftsprozesse der Banken überwiegend stark digitalisiert sind.

Warum werden einige Banken als Public Interest Entitys, kurz PIEs, eingestuft?

Katharina Thomas: Grundsätzlich unterliegen Banken einem übergeordneten öffentlichen Interesse, da sie nicht nur Einlagen von Kunden entgegennehmen, sondern mittels ihrer Kreditvergabe auch einen wichtigen gesamtwirtschaftlichen Beitrag leisten. Wie die Vergangenheit gezeigt hat, kann die finanzielle Schieflage einer einzelnen Bank eine negative Kettenreaktion auslösen und realwirtschaftliche Konsequenzen haben. Umso wichtiger ist es, dass Banken verlässliche Abschlüsse veröffentlichen, um damit die Transparenz für die Öffentlichkeit zu gewährleisten und für ein Grundvertrauen in das Finanzsystem zu sorgen.

Anzumerken ist jedoch, dass Banken nicht pauschal als PIEs eingestuft werden; hier ist es vielmehr relevant, um welche „Art von Bank“ es sich handelt. Während sogenannte CRR-Kreditinstitute stets als PIEs gelten, sind zum Beispiel Zweigstellen ausländischer Institute keine PIEs. Eine Übersicht über die in Deutschland ansässigen Institute bietet übrigens die BaFin-Unternehmensdatenbank.

Wie sich Stolperfallen vermeiden lassen

Wo lauert aus Ihrer Sicht die größte Stolperfalle, wenn es darum geht, Banken zu prüfen – und wie lässt sie sich vermeiden?

Marvin Strache: Bei Banken haben wir es regelmäßig mit Geschäftsvorfällen in Form von Massentransaktionen zu tun, beispielsweise im Zusammenhang mit dem Provisionsgeschäft oder der Vergabe von Konsumentenkrediten. Die Prüfung einzelner Transaktionen ist in solchen Fällen wenig zielführend, da so meistens keine hinreichende Prüfungssicherheit erlangt werden kann. Stattdessen sollten Prüfer*innen bereits im Rahmen ihrer Planung überlegen, inwieweit sie einen kontrollbasierten Prüfungsansatz anwenden können. Dabei sind zum Beispiel automatische Kontrollen in den IT-Systemen der Bank auf ihre Funktionsfähigkeit zu beurteilen. Dies ist oftmals effizienter und effektiver als die rein aussagebezogene Prüfung ausgewählter Geschäftsvorfälle, erfordert aber auch eine enge Abstimmung mit unseren IT-Spezialisten.

Welchen Fehler sollte man bei Ihren Mandanten auf keinen Fall machen?

Katharina Thomas: Soweit sich im Rahmen der regulatorischen Prüfung Feststellungen ergeben, sollten Prüfer*innen diese nicht erst kurz vor Ende der Prüfung an den Mandanten kommunizieren, um Überraschungen zu vermeiden. Da neben den Gremien der Bank auch die für die Bank zuständigen Aufsichtsbehörden eine Ausfertigung des Prüfungsberichts erhalten, möchten die Banken eine möglichst geringe Anzahl an Feststellungen vorweisen können und frühzeitig informiert werden, falls wir in einzelnen Bereichen Defizite identifiziert haben. Daneben sollten Prüfer*innen keine branchenspezifischen Neuerungen in Bezug auf Rechnungslegung und Regulatorik verpassen, um den Mandant*innen gegenüber jederzeit sprechfähig zu sein und mögliche Risiken frühzeitig zu erkennen.

Welche Tipps haben Sie, damit Wirtschaftsprüfer*innen bei ihrer Mandantengruppe der Banken nicht ins Haftungsrisiko laufen?

Marvin Strache: Wie bei allen Abschlussprüfungen bedarf es eines hohen Maßes an Sorgfalt in sämtlichen Phasen der Prüfung. Das schließt einen ganzjährigen Dialog mit den Mandant*innen ein, um über die aktuellen Entwicklungen im Unternehmen auf dem Laufenden zu bleiben und risikobehaftete Sachverhalte frühzeitig zu erkennen.  

Katharina Thomas: Darüber hinaus gilt hier wie bei anderen Mandantengruppen auch: Ein gutes Verhältnis zwischen Abschlussprüfer*in und Mandant*in kann zwar hilfreich sein, die Prüfer*innen müssen ihre kritische Grundhaltung aber auch bei langjährigen Mandantenbeziehungen stets beibehalten.

Vielen Dank für das Gespräch.

Dieses Interview ist Teil einer Serie über verschiedene Mandantengruppen in der Wirtschaftsprüfung. Expert*innen von Mazars berichten in diesem Rahmen über die speziellen Anforderungen der Mandanten, prüferische Besonderheiten und ihre Erfahrungen mit den jeweiligen Persönlichkeiten. Bisher erschienen:

Private Equity Audit: Vom Deal zum Exit

Audit von EU-PIEs: Die Königsdisziplin der Wirtschaftsprüfung

Inhabergeführte Unternehmen: Auf das große Ganze kommt es an

Audit von Versicherungen: Teamwork wird großgeschrieben

Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, X und XING.