Zur Navigation springen Zum Inhalt springen Zum Footer springen

Wirecard AG: MaRisk und BAIT waren erforderliche Teile der Prüfungsplanung

  • 4 Minuten Lesezeit
  • (19)

Die grundsätzliche Problemstellung, dass die Wirecard AG sowohl ein FinTech-Unternehmen als auch eine Bank war, war bekannt gewesen, so der Präsident des Bundesrechnungshofes, Kay Scheller zum "Spiegel" (Manager Magazin vom 16.07.2020, Schreierei an der Firmenspitze).

Die Einhaltung der MaRisk (Mindestanforderungen an das Risikomanagement) und der BAIT (Bankaufsichtsrechtlichen Anforderungen an die IT) mussten vom Management mit vertretbarem Aufwand beachtet und vom Abschlussprüfer im Rahmen der Jahresabschlussprüfung bei Wirecard AG praxisgerecht beurteilt werden. 

Die MaRisk und die BAIT waren erforderliche Teile der Prüfungsplanung und -handlungen nach den einschlägigen IDW-Standards bei der Wirecard AG gewesen.

Die bankaufsichtsrechtlichen Anforderungen an die IT (BAIT - BaFin-Rundschreiben 10/2017) konkretisierten die MaRisk um das Informationsrisikomanagement (hierfür hatte das Unternehmen angemessene Überwachungs- und Steuerungssysteme einzurichten (vgl. AT 7.2 Tz. 4 MaRisk), um das Informationssicherheitsmanagement (das Informationssicherheitsmanagement macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung (vgl. AT 7.2 Tz. 2 MaRisk) und weitere Module.

Die kompakten Anforderungen der MaRisk waren und sind von allen Instituten im Sinne von § 1 Abs. 1b KWG beziehungsweise im Sinne von § 53 Abs. 1 KWG zu beachten.

Durch die MaRisk werden über § 80 Abs. 1 WpHG (alt: § 33 Abs. 1 WpHG) in Verbindung mit § 25a Abs. 1 KWG Art. 13 der Richtlinie 2004/39/EG (Finanzmarktrichtlinie - MiFID) umgesetzt, soweit diese auf Kreditinstitute und Finanzdienstleistungsinstitute gleichermaßen Anwendung finden. Dies betrifft die allgemeinen organisatorischen Anforderungen gemäß Artikel 5, die Anforderungen an das Risikomanagement und die Interne Revision gemäß Artikel 7 und 8, die Anforderungen zur Geschäftsleiterverantwortung gemäß Artikel 9 sowie an Auslagerungen gemäß Artikel 13 und 14 der Richtlinie 2006/73/EG (Durchführungsrichtlinie zur Finanzmarktrichtlinie).

Gegenstände der Bewertung im Einzelnen mussten die Wirkungen des Internen Kontrollsystems (IKS), des Risikomanagementsystems (RMS), des Internen Revisionssystems (IRS) und des Compliance-Management-Systems (CMS) sein. Die gesetzlichen Vertreter trugen die primäre Verantwortung für die Errichtung  für das IKS, die IRS und das RMS. Gleiches galt das Informationsrisikomanagement und das Informationssicherheitsmanagement nach den BAIT.

Anforderungen an das Risikomanagement

Die MaRisk AT 4.1. beschreibt den internen Prozess zur Sicherstellung der Risikotragfähigkeit zur Fortführung des Unternehmens im Interesse des Gläubigerschutzes. Auf der Grundlage eines nachhaltigen Gefährdungsprofils war sicherzustellen, dass die wesentlichen Unsicherheiten des Unternehmens durch das Risikodeckungspotenzial, unter Berücksichtigung von Gefährdungszentrierungen, laufend abgedeckt waren und damit die Verlusttragfähigkeit gegeben war. Die Angemessenheit der Methoden und Abläufe waren zumindest jährlich durch die fachlich zuständigen Mitarbeiter zu bewerten. 

Verrechnungssystem zur verursachungsgerechten Verrechnung

Das Unternehmen hatte ein geeignetes Verrechnungssystem zur verursachungsgerechten internen Verrechnung der jeweiligen Liquiditätskosten und -nutzen einzurichten, MaRisk BTR 3 Liquiditätsrisiken, dort MaRisk BTR 3.1. Ziffer 5. Damit war zu gewährleisten, dass die jeweiligen Erträge den Kostenstellen zugerechnet werden konnten und somit kein Schneeballsystem entstehen würde.

Risikotragfähigkeit des Unternehmens

Hierzu mussten intern geeignete Controllingprogramme geschaffen werden. Wesentliche Gefährdungen, die nicht in das Verlusttragungsfähigkeitskonzept einbezogen werden sollten, hätten festgelegt werden müssen. Die Nichtberücksichtigung musste nachvollziehbar begründet werden. Die Organisation und Methoden der Risikoqualifizierung sollten ebenfalls einmal jährlich getestet worden sein.

Planungen zur Vermeidung von Risiken

Sich anbahnende Verluste ließen sich durch eine regelmäßige Einschätzung des Liquiditätsdeckungsgrades kontrollieren. Der Aufbau und die Unterhaltung einer Liquiditätsreserve war so hoch wie nötig und so gering wie möglich anzusetzen.

Operationelle Gefährdungen mussten durch das Interne Kontrollsystem wie auch durch regelmäßige, möglichst dreimonatige Complianceprüfungen gemindert werden. Personalrisiken konnten durch eine Vertrauensschadensversicherung begrenzt werden. Rechtlichen Unwägbarkeiten waren durch eine Vermögensschadenshaftpflichtversicherung und eine Rechtsschutzversicherung zu begegnen.

Eine erfolgversprechende Planung zur Vermeidung von Verlusten bestand in regelmäßiger Weiterentwicklung des Versicherungsmanagements.

Nachhaltige Geschäftsstrategie

Die Geschäftsleitung hatte eine nachhaltige Geschäftsstrategie festzulegen, in der die Ziele für jede wesentliche Geschäftsaktivität sowie die Maßnahmen zur Erreichung dieser Ziele darzustellen waren,  MaRisk, AT 4.2. Strategien. Die Risikostrategie musste auf der Geschäftsstrategie aufgebaut werden. Die Risikostrategie hatte, gegebenenfalls unterteilt in Teilplanungen, die Ziele der wesentlichen Geschäftsaktivitäten sowie die Maßnahmen zur Erreichung dieser Ziele zu umfassen, MaRisk, AT 4.2 Strategien.

Die Verantwortlichkeit für diese Planung konnte die Geschäftsleitung nicht delegieren. Die einzelnen Mechanismen erfassten die Planung, Umsetzung, Beurteilung und Anpassung der Planung. Die Überprüfung der Ziele war zu gewährleisten. Es bestand eine Berichtspflicht gegenüber den Aufsichtsorganen des Unternehmens mit einer Erörterungs- und Analysepflicht, MaRisk, AT 4.2. Ziffer 5.

Das Interne Kontrollsystem

Die Organisation der internen Kontrolle ergibt sich aus der Delegierten Verordnung (EU) VO 217/565 Art. 21, KWG 25 a, § 7 Geldwäschegesetz und MaRisk, AT 4.4.3. Erforderlich waren hiernach Regelungen zur Aufbauorganisation und zur Ablauforganisation. Auch hier waren Risikosteuerungsabläufe einzurichten. Ebenfalls war eine Risikocontrollingfunktion und eine Compliancefunktion zu implementieren (VO 2017/565, Art. 21 Abs. 1 lit. d, MaRisk 4.3 Abs. 1). Auszuschließen waren hier Interessenskonflikte, MaRisk 4.3.1 Abs. 1. Die Mechanismen sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege waren klar zu definieren und aufeinander abzustimmen (MaRisk AT 4.3 Internes Kontrollsystem).

Interne Revision

Die Rechtsquellen für die  internen Revision ergeben sich aus der Del. VO (EU) 2017/565 Art. 24 KWG 3 25 a, MaRisk.

Das Unternehmen musste über eine funktionsfähige Interne Revision verfügen. Die Interne Revision war ein Instrument der Geschäftsleitung und auch ihr gegenüber berichtspflichtig. Die Interne Revision hatte weisungsunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des Internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Verfahren zu beurteilen und zu würdigen, MaRisk AT 4.4.3 Interne Revision.

Risikosteuerungs- und –controllingsprozesse

Diese Mechanismen mussten gewährleisten, dass die wesentlichen Gefahren frühzeitig erkannt, vollständig dokumentiert und in angemessener Weise dargestellt werden konnten. Dazu gehörten auch ausgelagerter Aktivitäten. Hierzu hatte das Unternehmen geeignete Indikatoren für die frühzeitige Identifizierung von drohenden Schäden sowie von systemübergreifenden Effekten abzuleiten, MaRisk AT 4.3.2 Risiko- und -controllingprozesse.

Stresstests erfassen auch außerbilanzielle Geschäftskonstruktionen

Stresstests waren regelmäßig als auch anlassbezogen für die wesentlichen Gefahren durchzuführen. Die wesentlichen Faktoren waren hierfür zu identifizieren. Risiken aus außerbilanziellen Geschäftskonstruktionen waren im Rahmen des Stresstests zu berücksichtigen, MaRisk AT 4.3.3. Ziffer 1.

Damit waren diejenigen Unternehmen zu berücksichtigen, die im Rahmen einer Konzernbilanz nicht erfasst wurden. In dem Stresstest waren sie aber zu benennen.

Risikocontrolling

Die Überwachung und Kommunikation der Risiken ist in der MaRisk AT. 4.4.1 Abs. 1 -2 geregelt.

Das Unternehmen musste über eine unabhängige Risikocontrolling-Funktion verfügen, die für die Überwachung und Kommunikation der Risiken zuständig war. Die Durchführung der Risikoinventur und Erstellung des Gesamtrisikoprofils gehörte zu den Aufgaben der Risikocontrolling-Funktion. Sie war zuständig für die Einrichtung und Weiterentwicklung eines Systems von Risikokennzahlen und eines Risikofrüherkennungsverfahrens. Sie hatte regelmäßige Risikoberichte für die Geschäftsleitung zu erstellen. Sie war verantwortlich für das Procedere zur unverzüglichen Weitergabe von unter Risikogesichtspunkten wesentlichen Auskünften an die Geschäftsleitung, die jeweiligen Verantwortlichen und gegebenenfalls an die Interne Revision. Sie hatte also die Risikosituation zu überwachen, ferner die Risikotragfähigkeit und die Risikogrenzen. Ebenfalls musste sie vierteljährlich Risikoberichte für die Geschäftsleitung formulieren.

Die Compliance-Funktion

Die Rechtsquellen für die Compliance Funktion ergeben sich aus der Del. VO 2017/565 Art. 22, § 25 a KWG,  der MaComp und der MaRisk AT 4.4.2 Abs. 7.

Die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Unternehmens führen konnte, musste unter Berücksichtigung von Risikogesichtspunkten in regelmäßigen Abständen durch die Compliance-Funktion erfolgen, MaRisk AT 4.4.2 Ziffer 2.

Der Compliance-Prüfplan

Rechtsquellen für den Compliance-Prüfplan sind die Del. VO 2017/565 Art. 22 und die MaComp BT 1.3.2.1. Der Compliance-Prüfplan wird in der MaComp als Überwachungsplan bezeichnet.

Überwachungshandlungen hatten nicht nur anlassbezogen, sondern auf der Grundlage eines schriftlichen Überwachungsplans und regelmäßig (wiederkehrend oder fortlaufend) zu erfolgen, MaComp BT 1.3.2.1 Überwachungsplan.

Die regelbasierten Überwachungsprogramme mussten im Rahmen des Kontrollumfeldes darauf ausgerichtet sein, sicherzustellen, dass Compliancelücken umfassend identifiziert wurden. Sie mussten die Schwerpunkte für die Überwachungshandlungen nach Maßgabe der Gefahrenanalyse ausweisen.

Der Umfang, die Reichweite und der Turnus der im Überwachungsplan zu bestimmenden Festlegungen sowie die Auswahl der hierfür angemessenen Instrumente und Methoden hätten durch die Compliance-Funktion auf Basis der Gefährdungsanalyse bestimmt werden müssen. Die Compliance-Funktion hatte sicherzustellen, dass ihre Überwachungshandlungen nicht nur akten- oder computerbasiert, sondern auch durch Vor-Ort-Sichtungen erfolgen.

Fazit: Die MaRisk und BAIT waren erforderliche Teile der Prüfungsplanung bei der Wirecard AG gewesen. Der Prüfungsstandard ISA (DE) 240 ist geeignet, zukünftige Normabweichungen in den Rechnungslegungen frühzeitig zu identifizieren. Der „International Standard on Auditing“  ISA (DE) 240 betreffend die Verantwortlichkeiten des Abschlussprüfers bei dolosen Handlungen gilt erstmals für die Bewertung von Abschlüssen nach dem 15. Dezember 2020. Eine freiwillige vorzeitige Anwendung ist möglich. Die Untersuchung gilt für Bilanzen, die nach dem 15.12.2009 beginnen, ISA (DE) 240, Rdnr. 10. Der Standard ISA 240 ist im Hinblick auf Risiken wesentlicher falscher Darstellungen aufgrund von dolosen Handlungen anzuwenden (ISA (DE) 240, Anwendungsbereich, 1.1). Geregelt ist wegen der Schweigepflicht des Revisors ebenfalls der Umgang mit Meldepflichten.

 


Rechtstipp aus den Rechtsgebieten Bankrecht & Kapitalmarktrecht, Insolvenzrecht

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Rechtstipps-Newsletter abonnieren

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.

Newsletter jederzeit wieder abbestellbar.