Interne Revision
Contents
- 1 Rundschreiben 10/2021 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk
- 2 Rundschreiben 2/2017 (VA) – Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo)
- 3 Mindestanforderungen an das Risikomanagement vonKapitalverwaltungsgesellschaften – KAMaRisk
Rundschreiben 10/2021 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk
AT 4.4.3 Interne Revision
- Jedes Institut muss über eine funktionsfähige Interne Revision verfügen. Bei Instituten, bei denen aus Gründen der Betriebsgröße die Einrichtung einer Revisionseinheit unverhältnismäßig ist, können die Aufgaben der Internen Revision von einem Geschäftsleiter erfüllt werden.
- Die Interne Revision ist ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und berichtspflichtig. Sie kann auch einem Mitglied der Geschäftsleitung, nach Möglichkeit dem Vorsitzenden, unterstellt sein. Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsorgans unter Einbeziehung der Geschäftsleitung direkt bei dem Leiter der Internen Revision Auskünfte einholen kann.
- Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht. BT 2.1 Tz. 3 bleibt hiervon unberührt.
- Zur Wahrnehmung ihrer Aufgaben ist der Internen Revision ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. Dieses Recht ist jederzeit zu gewährleisten. Der Internen Revision sind insoweit unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie die IT-Systeme des Instituts zu gewähren.
- Weisungen und Beschlüsse der Geschäftsleitung, die für die Interne Revision von Bedeutung sein können, sind ihr bekannt zu geben. Über wesentliche Änderungen im Risikomanagement ist die Interne Revision rechtzeitig zu informieren.
- Wechselt die Leitung der Internen Revision, ist das Aufsichtsorgan rechtzeitig vorab unter Angabe der Gründe für den Wechsel zu informieren.
BT 2 Besondere Anforderungen an die Ausgestaltung der Internen Revision
BT 2.1 Aufgaben der Internen Revision
- Die Prüfungstätigkeit der Internen Revision hat sich auf der Grundlage eines risikoorientierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse des Instituts zu erstrecken.
- Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten bei wesentlichen Projekten begleitend tätig zu sein.
- Im Fall von Auslagerungen auf ein anderes Unternehmen kann die Interne Revision des Instituts auf eigene Prüfungshandlungen verzichten, sofern die anderweitig durchgeführte Revisionstätigkeit den Anforderungen in AT 4.4.3 und BT 2 genügt. Die Interne Revision des auslagernden Instituts hat sich von der Einhaltung dieser Voraussetzungen regelmäßig zu überzeugen. Die für das Institut relevanten Prüfungsergebnisse sind an die Interne Revision des auslagernden Instituts weiterzuleiten.
BT 2.2 Grundsätze für die Interne Revision
- Die Interne Revision hat ihre Aufgaben selbständig und unabhängig wahrzunehmen. Insbesondere ist zu gewährleisten, dass sie bei der Berichterstattung und der Wertung der Prüfungsergebnisse keinen Weisungen unterworfen ist. Das Direktionsrecht der Geschäftsleitung zur Anordnung zusätzlicher Prüfungen steht der Selbständigkeit und Unabhängigkeit der Internen Revision nicht entgegen.
- Die in der Internen Revision beschäftigten Mitarbeiter dürfen grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden. Sie dürfen insbesondere keine Aufgaben wahrnehmen, die mit der Prüfungstätigkeit nicht im Einklang stehen. Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie im Rahmen ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten des Instituts beratend tätig sein.
- Mitarbeiter, die in anderen Organisationseinheiten des Instituts beschäftigt sind, dürfen grundsätzlich nicht mit Aufgaben der Internen Revision betraut werden. Das schließt jedoch nicht aus, dass in begründeten Einzelfällen andere Mitarbeiter aufgrund ihres Spezialwissens zeitweise für die Interne Revision tätig werden. Beim Wechsel von Mitarbeitern anderer Organisationseinheiten zur Internen Revision sind angemessene Übergangsfristen von in der Regel mindestens einem Jahr vorzusehen, innerhalb derer diese Mitarbeiter keine Tätigkeiten prüfen dürfen, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen. Erleichterungen hinsichtlich der Übergangsfristen sind für Institute in Abhängigkeit von der Art, dem Umfang, der Komplexität und dem Risikogehalt der betriebenen Geschäftsaktivitäten möglich.
BT 2.3 Prüfungsplanung und -durchführung
- Die Tätigkeit der Internen Revision muss auf einem umfassenden und jährlich fortzuschreibenden Prüfungsplan basieren. Die Prüfungsplanung hat risikoorientiert zu erfolgen. Die Aktivitäten und Prozesse des Instituts sind, auch wenn diese ausgelagert sind, in angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen. Wenn besondere Risiken bestehen, ist jährlich zu prüfen. Bei unter Risikogesichtspunkten nicht wesentlichen Aktivitäten und Prozessen kann vom dreijährigen Turnus abgewichen werden. Die Risikoeinstufung der Aktivitäten und Prozesse ist regelmäßig zu überprüfen.
- Die Risikobewertungsverfahren der Internen Revision haben eine Analyse des Risikopotenzials der Aktivitäten und Prozesse unter Berücksichtigung absehbarer Veränderungen zu beinhalten. Dabei sind die verschiedenen Risikoquellen und die Manipulationsanfälligkeit der Prozesse durch Mitarbeiter angemessen zu berücksichtigen.
- Die Prüfungsplanung, -methoden und -qualität sind regelmäßig und anlassbezogen auf Angemessenheit zu überprüfen und weiterzuentwickeln.
- Es muss sichergestellt sein, dass kurzfristig notwendige Sonderprüfungen, z. B. anlässlich deutlich gewordener Mängel oder bestimmter Informationsbedürfnisse, jederzeit durchgeführt werden können.
- Die Prüfungsplanung sowie wesentliche Anpassungen sind von der Geschäftsleitung zu genehmigen.
BT 2.4 Berichtspflicht
- Über jede Prüfung muss von der Internen Revision zeitnah ein schriftlicher Bericht an-gefertigt und grundsätzlich den fachlich zuständigen Mitgliedern der Geschäftsleitung vorgelegt werden. Der Bericht muss insbesondere eine Darstellung des Prüfungsgegenstandes und der Prüfungsfeststellungen, ggf. einschließlich der vorgesehenen Maßnahmen, enthalten. Wesentliche Mängel sind besonders herauszustellen. Dabei sind die Prüfungsergebnisse zu beurteilen. Bei schwerwiegenden Mängeln muss der Bericht unverzüglich der Geschäftsleitung vorgelegt werden.
- Die Prüfungen sind durch Arbeitsunterlagen zu dokumentieren. Aus ihnen müssen die durchgeführten Arbeiten sowie die festgestellten Mängel und Schlussfolgerungen für sachkundige Dritte nachvollziehbar hervorgehen.
- Besteht hinsichtlich der zur Erledigung der Feststellungen zu ergreifenden Maßnahmen keine Einigkeit zwischen geprüfter Organisationseinheit und Interner Revision, so ist von der geprüften Organisationseinheit eine Stellungnahme hierzu abzugeben.
- Die Interne Revision hat zeitnah einen Quartalsberichtbericht über die von ihr seit dem Stichtag des letzten Quartalsberichts durchgeführten Prüfungen zu verfassen und zeitnah der Geschäftsleitung und dem Aufsichtsorgan vorzulegen. Der Quartalsbericht muss über die wesentlichen oder höher eingestuften Mängel, die beschlossenen Maßnahmen sowie den Status dieser Maßnahmen informieren. Es ist ferner darzulegen, ob und inwieweit die Vorgaben des Prüfungsplans eingehalten wurden. Die Interne Revision hat außerdem über die im Jahresablauf festgestellten schwerwiegenden sowie über die noch nicht behobenen wesentlichen Mängel in inhaltlich prägnanter Form an die Geschäftsleitung und das Aufsichtsorgan zu berichten (Jahresbericht). Die aufgedeckten schwerwiegenden Mängel, die beschlossenen Maßnahmen sowie der Status dieser Maßnahmen sind dabei besonders hervorzuheben. Über besonders schwerwiegende Mängel hat die Interne Revision unverzüglich zu berichten.
- Ergeben sich im Rahmen der Prüfungen schwerwiegende Feststellungen gegen Geschäftsleiter, so ist der Geschäftsleitung unverzüglich Bericht zu erstatten. Diese hat unverzüglich den Vorsitzenden des Aufsichtsorgans sowie die Aufsichtsinstitutionen (Bundesanstalt für Finanzdienstleistungsaufsicht, Deutsche Bundesbank) zu informieren. Kommt die Geschäftsleitung ihrer Berichtspflicht nicht nach oder beschließt sie keine sachgerechten Maßnahmen, so hat die Interne Revision den Vorsitzenden des Aufsichtsorgans zu unterrichten.
- Revisionsberichte und Arbeitsunterlagen sind sechs Jahre aufzubewahren.
BT 2.5 Reaktion auf festgestellte Mängel
- Die Interne Revision hat die fristgerechte Beseitigung der bei der Prüfung festgestellten Mängel in geeigneter Form zu überwachen. Gegebenenfalls ist hierzu eine Nachschauprüfung anzusetzen.
- Werden die wesentlichen Mängel nicht in einer angemessenen Zeit beseitigt, so hat der Leiter der Internen Revision darüber zunächst den fachlich zuständigen Geschäftsleiter schriftlich zu informieren. Erfolgt die Mängelbeseitigung nicht, so ist die Geschäftsleitung spätestens im Rahmen des nächsten Gesamtberichts schriftlich über die noch nicht beseitigten Mängel zu unterrichten.
Rundschreiben 2/2017 (VA) – Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo)
9 Schlüsselfunktionen
9.4 Funktion der internen Revision
134 Alle Unternehmen müssen eine interne Revision einrichten. Ausnahmen hiervon sind nicht möglich.
135 Der Prüfungsauftrag der internen Revision bezieht sich auf die gesamte Geschäftsorganisation einschließlich ausgegliederter Bereiche und Prozesse.
136 Die Einhaltung des Prüfungsplans, also die Erfüllung der Prüffunktion, geht der Beratungsfunktion vor. Die interne Revision schränkt insofern die Beratungstätigkeit gegebenenfalls ein.
137 Die interne Revision unterliegt keinen Einflüssen (Kontrollen, Einschränkungen oder sonstigen Einflüssen), die ihre Unabhängigkeit und Unparteilichkeit bei der Erledigung ihrer Aufgaben beeinträchtigen könnten (= unangemessene Einflüsse).
138 Die interne Revision muss von allen Stellen im Unternehmen unabhängig sein. Dies gilt für die verantwortliche Person für die Funktion der internen Revision und für alle Personen, die für die interne Revision tätig sind.
139 Die interne Revision darf insbesondere bei der Prüfungsdurchführung, der Wertung der Prüfungsergebnisse und der Berichterstattung über diese Ergebnisse nicht, auch nicht mittelbar, beeinträchtigt sein. Die interne Revision muss in der Lage sein, der gesamten Geschäftsleitung ihre Ergebnisse, Erkenntnisse, Bedenken, Verbesserungsempfehlungen etc. unmittelbar mitzuteilen, ohne vorherige ändernde Einflussnahme.
140 Das Weisungsrecht der Geschäftsleitung in Bezug auf die Prüfungsplanung der internen Revision steht der Unabhängigkeit der internen Revision nicht entgegen. Artikel 271 Abs. 3 Satz 2 DVO bleibt unberührt.
141 Die interne Revision darf keine operativen Funktionen oder Tätigkeiten übernehmen (§ 30 Abs. 2 Satz 1 VAG). Dies gilt für alle Unternehmen gleichermaßen; Proportionalitätsaspekte spielen insoweit keine Rolle.
142 Eine Kooperation der anderen Schlüsselfunktionen mit der internen Revision ist zulässig. Unangemessene Einflüsse der anderen Schlüsselfunktionen sind unter anderem durch Festlegung klarer Zuständigkeiten auszuschließen.
143 Die für die Funktion der internen Revision intern verantwortliche Person kann zugleich intern verantwortliche Person für andere Schlüsselfunktionen sein, wenn die in Artikel 271 Abs. 2 DVO genannten Bedingungen kumulativ erfüllt sind. Je mehr Schlüsselfunktionen betroffen sind, desto genauer müssen die Unternehmen darlegen, dass diese Gestaltung ihrem Risikoprofil angemessen ist und dass die Unabhängigkeit der internen Revision nicht beeinträchtigt werden kann. Außerdem ist Artikel 258 Abs. 1 Buchstabe g DVO anwendbar (siehe hierzu 9.1.1).
Mindestanforderungen an das Risikomanagement von
Kapitalverwaltungsgesellschaften – KAMaRisk
12. Interne Revision
12.1 Allgemeine Anforderungen
1. Nach Artikel 62 Absatz 1 AIFM-Level 2 VO haben AIF-Verwaltungsgesellschaften – soweit dies angesichts der Art, des Umfangs und der Komplexität ihrer Geschäfte sowie der Art und des Spektrums der im Zuge dieser Geschäfte erbrachten kollektiven Vermögensverwaltung angemessen und verhältnismäßig ist – eine von den übrigen Funktionen und Tätigkeiten der AIF-Verwaltungsgesellschaft getrennte und unabhängige Innenrevisionsfunktion einzurichten und aufrechtzuerhalten. Dies gilt für Kapitalverwaltungsgesellschaften, die OGAW oder Publikums-AIF verwalten, entsprechend, § 28 Absatz 4 KAGB i.V.m § 4 Absatz 1 KAVerOV. Bei Gesellschaften, bei denen aus Gründen des Proportionalitätsgrundsatzes die Einrichtung einer Revisionseinheit unverhältnismäßig ist, können die Aufgaben der Internen Revision von einem Geschäftsleiter erfüllt werden.
2. Die Interne Revision ist ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und berichtspflichtig. Sie kann auch einem Mitglied der Geschäftsleitung, nach Möglichkeit dem Vorsitzenden, unterstellt sein. Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsrats unter Einbeziehung der Geschäftsleitung direkt bei dem Leiter der Internen Revision Auskünfte einholen kann.
3. Zur Wahrnehmung ihrer Aufgaben ist der Internen Revision ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. Dieses Recht ist jederzeit zu gewährleisten. Der Internen Revision sind insoweit unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie die IT-Systeme der Gesellschaft zu gewähren.
4. Weisungen und Beschlüsse der Geschäftsleitung, die für die Interne Revision von Bedeutung sein können, sind ihr bekannt zu geben. Über wesentliche Änderungen im Risikomanagement ist die Interne Revision rechtzeitig zu informieren.
12.2 Aufgaben der Internen Revision
1. Nach Artikel 62 Absatz 2 AIFM-Level 2 VO hat die Interne Revision folgende Aufgaben:
a) Erstellung, Umsetzung und Aufrechterhaltung eines Revisionsprogramms mit dem Ziel, die Angemessenheit und Wirksamkeit der Systeme, internen Kontrollmechanismen und Vorkehrungen der AIF-Verwaltungsgesellschaft zu prüfen und zu bewerten;
b) Ausgabe von Empfehlungen auf der Grundlage der Ergebnisse der gemäß Buchstabe a ausgeführten Arbeiten;
c) Überprüfung der Einhaltung der Empfehlungen im Sinne von Buchstabe b;
d) Berichterstattung zu Fragen der Internen Revision.
Dies gilt nach § 29 Absatz 6 KAGB i.V.m. § 4 Absatz 1 KAVerOV entsprechend für OGAW-Kapitalverwaltungsgesellschaften.
2. Die Prüfungstätigkeit der Internen Revision hat sich auf der Grundlage eines risikoorientierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse der Gesellschaft zu erstrecken, unabhängig davon, ob diese ausgelagert sind oder nicht. Tz. 4 bleibt hiervon unberührt
3. Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten bei wesentlichen Projekten begleitend tätig zu sein. Die Wesentlichkeit von Projekten ist anhand objektiver Kriterien von der Geschäftsleitung festzulegen.
4. Bei Auslagerungen im Sinne des Abschnitts 10 auf ein anderes Unternehmen kann die Interne Revision der auslagernden Gesellschaft auf eigene Prüfungshandlungen verzichten, sofern die anderweitig durchgeführte Revisionstätigkeit den hier beschriebenen Anforderungen genügt. Die Interne Revision der Gesellschaft hat sich von der Einhaltung dieser Voraussetzungen regelmäßig zu überzeugen. Die für das Auslagerungsunternehmen relevanten Prüfungsergebnisse sind an die Interne Revision der Gesellschaft weiterzuleiten.
12.3 Grundsätze für die Interne Revision
1. Die Interne Revision hat ihre Aufgaben selbständig und unabhängig wahrzunehmen. Insbesondere ist zu gewährleisten, dass sie bei der Berichterstattung und der Wertung der Prüfungsergebnisse keinen Weisungen unterworfen ist. Das Direktionsrecht der Geschäftsleitung zur Anordnung zusätzlicher Prüfungen steht der Selbständigkeit und Unabhängigkeit der Internen Revision nicht entgegen.
2. Die in der Internen Revision beschäftigten Mitarbeiter dürfen grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden. Sie dürfen insbesondere keine Aufgaben wahrnehmen, die mit der Prüfungstätigkeit nicht im Einklang stehen. Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie im Rahmen ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten der Gesellschaft beratend tätig sein.
3. Mitarbeiter, die in anderen Organisationseinheiten der Gesellschaft beschäftigt sind, dürfen grundsätzlich nicht mit Aufgaben der Internen Revision betraut werden. Das schließt jedoch nicht aus, dass in begründeten Einzelfällen andere Mitarbeiter aufgrund ihres Spezialwissens zeitweise für die Interne Revision tätig werden. 12.4 Prüfungsplanung und -durchführung 1 Eine der Aufgaben der Internen Revision (vgl. 12.2 Tz. 1) ist die Erstellung eines Prüfungsprogrammes.
2. Diese Aufgabe beinhaltet, dass die Interne Revision einen umfassenden und jährlich fortzuschreibenden Prüfungsplan festlegt. Die Prüfungsplanung hat risikoorientiert zu erfolgen. Die Aktivitäten und Prozesse der Gesellschaft sind, auch wenn diese ausgelagert sind, in angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen. Wenn besondere Risiken bestehen, ist jährlich zu prüfen. Bei unter Risikogesichtspunkten nicht wesentlichen Aktivitäten und Prozessen kann vom dreijährigen Turnus abgewichen werden.
3. Die Prüfungsplanung, -methoden und -qualität sind regelmäßig und anlassbezogen zu überprüfen und weiterzuentwickeln.
4. Es muss sichergestellt sein, dass kurzfristig notwendige Sonderprüfungen, z.B. anlässlich deutlich gewordener Mängel oder bestimmter Informationsbedürfnisse, jederzeit durchgeführt werden können.
5. Die Prüfungsplanung sowie wesentliche Anpassungen sind von der Geschäftsleitung zu genehmigen.
12.4 Prüfungsplanung und -durchführung
1. Eine der Aufgaben der Internen Revision (vgl. 12.2 Tz. 1) ist die Erstellung eines Prüfungsprogrammes.
2. Diese Aufgabe beinhaltet, dass die Interne Revision einen umfassenden und jährlich fortzuschreibenden Prüfungsplan festlegt. Die Prüfungsplanung hat risikoorientiert zu erfolgen. Die Aktivitäten und Prozesse der Gesellschaft sind, auch wenn diese ausgelagert sind, in angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen. Wenn besondere Risiken bestehen, ist jährlich zu prüfen. Bei unter Risikogesichtspunkten nicht wesentlichen Aktivitäten und Prozessen kann vom dreijährigen Turnus abgewichen werden.
3. Die Prüfungsplanung, -methoden und -qualität sind regelmäßig und anlassbezogen zu überprüfen und weiterzuentwickeln.
4. Es muss sichergestellt sein, dass kurzfristig notwendige Sonderprüfungen, z.B. anlässlich deutlich gewordener Mängel oder bestimmter Informationsbedürfnisse, jederzeit durchgeführt werden können.
5. Die Prüfungsplanung sowie wesentliche Anpassungen sind von der Geschäftsleitung zu genehmigen.
12.5 Berichtspflicht
1. Darüber hinaus hat die Interne Revision eine Pflicht zur Berichterstattung, Artikel 62 Absatz 2 Buchst. d der AIFM Level 2-VO. Diese Aufgabe beinhaltet, dass die Interne Revision über jede Prüfung zeitnah einen schriftlichen Bericht anfertigt und grundsätzlich den fachlich zuständigen Mitgliedern der Geschäftsleitung vorlegt. Der Bericht muss insbesondere eine Darstellung des Prüfungsgegenstandes und der Prüfungsfeststellungen, gegebenenfalls einschließlich der vorgesehenen Maßnahmen, enthalten. Wesentliche Mängel sind besonders herauszustellen. Dabei sind die Prüfungsergebnisse zu beurteilen. Bei schwerwiegenden Mängeln muss der Bericht unverzüglich der Geschäftsleitung vorgelegt werden.
2. Die Prüfungen sind durch Arbeitsunterlagen zu dokumentieren. Aus ihnen müssen die durchgeführten Arbeiten sowie die festgestellten Mängel und Schlussfolgerungen für sachkundige Dritte nachvollziehbar hervorgehen.
3. Besteht hinsichtlich der zur Erledigung der Feststellungen zu ergreifenden Maßnahmen keine Einigkeit zwischen geprüfter Organisationseinheit und Interner Revision, so ist von der geprüften Organisationseinheit eine Stellungnahme hierzu abzugeben.
4. Die Interne Revision hat zeitnah einen Gesamtbericht über die von ihr im Laufe des Geschäftsjahres durchgeführten Prüfungen zu verfassen und zeitnah der Geschäftsleitung vorzulegen. Der Gesamtbericht muss über die wesentlichen Mängel und die ergriffenen Maßnahmen informieren. Es ist ferner darzulegen, ob und inwieweit die Vorgaben des Prüfungsplans eingehalten wurden.
Darstellung von Feststellungen
Die Darstellung kann dabei akzentuiert vorgenommen werden. Gleichartige Einzelfeststellungen sowie der Stand der beschlossenen Umsetzungsmaßnahmen können inhaltlich zusammengefasst werden. 5 Ergeben sich im Rahmen der Prüfungen schwerwiegende Feststellungen gegen Geschäftsleiter, so ist der Geschäftsleitung unverzüglich Bericht zu erstatten. Diese hat unverzüglich den Vorsitzenden des Aufsichtsrats sowie die Aufsichtsinstitution (Bundesanstalt für Finanzdienstleistungsaufsicht) zu informieren. Kommt die Geschäftsleitung ihrer Berichtspflicht nicht nach oder beschließt sie keine sachgerechten Maßnahmen, so hat die Interne Revision den Vorsitzenden des Aufsichtsrats zu unterrichten.
6. Die Geschäftsleitung hat den Aufsichtsrat mindestens einmal jährlich über die von der Internen Revision festgestellten schwerwiegenden sowie über die noch nicht behobenen wesentlichen Mängel in inhaltlich prägnanter Form zu unterrichten. Die aufgedeckten schwerwiegenden Mängel, die beschlossenen Maßnahmen zu deren Behebung sowie die Umsetzung der Maßnahmen sind dabei besonders hervorzuheben. Über besonders schwerwiegende Mängel ist der Aufsichtsrat unverzüglich durch die Geschäftsleitung in Kenntnis zu setzen.
7. Revisionsberichte und Arbeitsunterlagen sind sechs Jahre aufzubewahren.
12.6 Reaktion auf festgestellte Mängel
1. Die Interne Revision hat die fristgerechte Beseitigung der bei der Prüfung festgestellten Mängel in geeigneter Form zu überwachen. Gegebenenfalls ist hierzu eine Nachschauprüfung anzusetzen.
2. Werden die wesentlichen Mängel nicht in einer angemessenen Zeit beseitigt, so hat der Leiter der Internen Revision darüber zunächst den fachlich zuständigen Geschäftsleiter schriftlich zu informieren. Erfolgt die Mängelbeseitigung nicht, so ist die Geschäftsleitung spätestens im Rahmen des nächsten Gesamtberichts schriftlich über die noch nicht beseitigtenMängel zu unterrichten.