Kontakt
Kontakt

Die Prüfungsberichtsverordnung (PrüfbV) – Inhalt und Bedeutung für DORA und IT-Prüfungen

News

Die Prüfungsberichtsverordnung (PrüfbV) konkretisiert die gesetzlichen Vorgaben aus dem Kreditwesengesetz (KWG) und weiteren aufsichtsrechtlichen Regelwerken hinsichtlich Umfang, Inhalt und Tiefe der Prüfung durch Wirtschaftsprüfer. Sie stellt sicher, dass die Jahresabschlussprüfung nicht nur finanzielle Sachverhalte, sondern auch die Ordnungsmäßigkeit der Geschäftsorganisation, des Risikomanagements und der internen Kontrollsysteme umfasst.

Mit dem Inkrafttreten von DORA gewinnt die PrüfbV eine neue praktische Relevanz: Die in DORA geforderten Systeme zur digitalen operationalen Resilienz unterliegen nun ebenfalls der verpflichtenden Angemessenheits- und Wirksamkeitsprüfung im Rahmen der aufsichtsrechtlichen Prüfung.

1. Geschäftsorganisation und Governance

Die PrüfbV verpflichtet den Wirtschaftsprüfer zur Beurteilung, ob die Geschäftsorganisation eines Instituts ordnungsgemäß ausgestaltet ist. Dabei geht es nicht allein um formale Organigramme oder Zuständigkeiten, sondern um die tatsächliche Funktionsfähigkeit der organisatorischen Strukturen.

Im Mittelpunkt steht die Frage, ob Verantwortlichkeiten klar geregelt, Entscheidungswege nachvollziehbar dokumentiert und Kontrollfunktionen unabhängig ausgestaltet sind. Das Leitungsorgan muss seine Steuerungs- und Überwachungsaufgaben nachweislich wahrnehmen können.

Zu prüfen sind insbesondere:

  • Aufbau- und Ablauforganisation
  • Verantwortlichkeiten und Funktionstrennung
  • Berichts- und Eskalationswege
  • Einbindung des Leitungsorgans in wesentliche Entscheidungen
  • Dokumentation von Managemententscheidungen

Diese Anforderungen bilden die Grundlage für die spätere Prüfung aller weiteren Systeme, insbesondere des IT- und Risikomanagements.

2. Risikomanagementsystem

Ein zentrales Kapitel der PrüfbV betrifft das Risikomanagementsystem. Der Wirtschaftsprüfer muss beurteilen, ob das Institut in der Lage ist, seine wesentlichen Risiken systematisch zu identifizieren, zu bewerten, zu steuern und zu überwachen.

Dabei ist nicht nur die Existenz eines Risikomanagementrahmens zu prüfen, sondern dessen tatsächliche Anwendung im laufenden Geschäftsbetrieb. Der Prüfer muss nachvollziehen können, ob Risiken regelmäßig erfasst, in Berichten aufbereitet und in Managemententscheidungen berücksichtigt werden.

Geprüft werden unter anderem:

  • Risikoidentifikations- und Bewertungsverfahren
  • Risikosteuerungsmaßnahmen
  • Integration in die Gesamtbanksteuerung
  • Berichterstattung an Geschäftsleitung und Aufsichtsorgane
  • Umgang mit neuen und veränderten Risiken (z. B. IKT- und Cyberrisiken)

Mit DORA wird das IKT-Risikomanagement ausdrücklich Teil dieses Prüfungsgegenstands.

3. Internes Kontrollsystem (IKS)

Die PrüfbV verlangt eine Prüfung des internen Kontrollsystems als zentrales Element der Geschäftsorganisation. Ziel ist die Beurteilung, ob Kontrollen geeignet sind, Fehler, Missbrauch und Risiken wirksam zu begrenzen.

Hierbei geht es sowohl um organisatorische Kontrollen (Vier-Augen-Prinzip, Funktionstrennung) als auch um technische Kontrollen innerhalb der IT-Systeme.

Im Rahmen der Prüfung werden insbesondere betrachtet:

  • Kontrollmechanismen in wesentlichen Prozessen
  • Dokumentation der Kontrollen
  • Durchführung und Überwachung der Kontrollen
  • Behandlung festgestellter Kontrollmängel
  • Wirksamkeit der Kontrollen in der Praxis

Die PrüfbV verlangt ausdrücklich eine Wirksamkeitsprüfung, nicht nur eine Beschreibung des Kontrollsystems.

4. IT-Systeme und Informationssicherheit

Ein besonders wichtiger Bereich der PrüfbV ist die Ordnungsmäßigkeit der IT-Systeme. Der Wirtschaftsprüfer muss beurteilen, ob die eingesetzten Systeme zuverlässig, sicher, verfügbar und nachvollziehbar betrieben werden.

Dieser Abschnitt gewinnt durch DORA massiv an Bedeutung, da die digitale operationale Resilienz nun unionsrechtlich geregelt ist. Die PrüfbV fungiert hier als Prüfungsvehikel für die DORA-Anforderungen.

Geprüft werden insbesondere:

  • IT-Governance und IT-Organisation
  • Zugriffs- und Berechtigungskonzepte
  • Änderungs- und Release-Management
  • Datensicherung und Wiederherstellung
  • Informationssicherheitskonzepte
  • Protokollierung und Überwachung
  • Umgang mit IT-Störungen und Sicherheitsvorfällen

Der Prüfer muss dabei nicht nur feststellen, dass Konzepte existieren, sondern dass sie praktisch umgesetzt und wirksam sind.

5. Notfallmanagement und Auslagerungen

Die PrüfbV verlangt außerdem eine Prüfung der Notfall- und Ausweichkonzepte sowie der Auslagerungen an externe Dienstleister. Ziel ist es sicherzustellen, dass auch bei Störungen der Geschäftsbetrieb aufrechterhalten werden kann und Risiken aus Auslagerungen angemessen gesteuert werden.

Hierbei stehen folgende Aspekte im Vordergrund:

  • Existenz und Aktualität von Notfallplänen
  • Durchführung und Dokumentation von Notfalltests
  • Wiederanlaufzeiten kritischer Prozesse
  • Steuerung und Überwachung ausgelagerter Aktivitäten
  • vertragliche Regelungen mit Dienstleistern
  • Zugriffsmöglichkeiten für Prüfer und Aufsicht

Diese Anforderungen decken sich inhaltlich weitgehend mit den DORA-Vorgaben zum Drittparteienrisiko.

6. Angemessenheits- und Wirksamkeitsprüfung als Kernprinzip

Ein zentrales Leitmotiv der PrüfbV ist die Prüfung von Angemessenheit und Wirksamkeit. Der Wirtschaftsprüfer muss nicht nur beurteilen, ob Regelungen formal vorhanden und sachgerecht ausgestaltet sind, sondern ob sie im täglichen Betrieb tatsächlich funktionieren.

Dies erfordert:

  • Walkthroughs realer Prozesse
  • Stichproben aus der operativen Umsetzung
  • Prüfung realer Vorfälle
  • Nachverfolgung von Maßnahmen
  • Interviews mit verantwortlichen Personen

Eine reine Dokumentensichtung genügt nicht mehr. Die PrüfbV zwingt den Prüfer zu einer funktionsbezogenen Prüfung der Systeme.

7. Berichterstattung und Kommunikation an die Aufsicht

Die PrüfbV verpflichtet den Wirtschaftsprüfer, festgestellte Mängel detailliert zu dokumentieren und im Prüfungsbericht darzustellen. Diese Berichte dienen nicht nur dem Institut selbst, sondern auch der Aufsicht (BaFin, EZB).

Berichtet werden müssen insbesondere:

  • wesentliche Mängel der Geschäftsorganisation
  • Schwächen im Risikomanagement
  • Defizite im internen Kontrollsystem
  • IT- und Sicherheitsmängel
  • nicht wirksame Notfallmaßnahmen
  • schwerwiegende Vorfälle

Damit wird der Prüfungsbericht zu einem zentralen aufsichtsrechtlichen Steuerungsinstrument.

8. Bedeutung der PrüfbV im Zusammenspiel mit DORA

DORA definiert, was Institute materiellrechtlich umsetzen müssen.
Die PrüfbV definiert, wie diese Umsetzung zu prüfen ist.

Gemeinsam führen beide Regelwerke zu einem Paradigmenwechsel:

  • von Papier-Compliance zu operativer Wirksamkeit,
  • von punktuellen IT-Prüfungen zu systematischer Resilienzprüfung,
  • von nationalen Anforderungen zu einem europäischen Standard.

Für Institute bedeutet dies, dass ihre DORA-Dokumentation nicht nur vollständig, sondern auch prüfbar und mit realen Prozessen verknüpft sein muss.

Das könnte Sie auch interessieren

IDW PS 861: Prüfung von KI-Systemen

BSI C5-Testierung wird Pflicht: Neue Anforderungen ab 1. Juli 2025 für Cloud-Dienste

IDW EPS 528 (08.2025): Aufsichtliche DORA-Prüfung im Rahmen der Abschlussprüfung

NIS 2 – Die neue EU-Richtlinie zur Erhöhung der Cybersicherheit

Meistgelesene Beiträge

DORA-Dokumentationsanforderungen – Leitfaden für Compliance Manager und Wirtschaftsprüfer

Der ISA [DE] 315 (2019 revised) ist für den Prüfungszeitraum 2023 anzuwenden – was ändert sich?

NIS 2 – Die neue EU-Richtlinie zur Erhöhung der Cybersicherheit

Informationssicherheit: Cybersecurity umsetzen – das MITRE Attack Framework