Quiz-summary
0 of 30 questions completed
Questions:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
Information
Premium Practice Questions
You have already completed the quiz before. Hence you can not start it again.
Quiz is loading...
You must sign in or sign up to start the quiz.
You have to finish following quiz, to start this quiz:
Results
0 of 30 questions answered correctly
Your time:
Time has elapsed
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- Answered
- Review
-
Question 1 of 30
1. Question
Ein globales Finanzinstitut plant die Einführung eines neuen, hochkomplexen Systems zur automatisierten Sanktionsprüfung. Der Lenkungsausschuss des Projekts bittet den Leiter der Internen Revision, sich aktiv an der Gestaltung der Filterlogik und der Festlegung der Schwellenwerte zu beteiligen, um sicherzustellen, dass das System den regulatorischen Erwartungen entspricht. Welche Vorgehensweise ist für die Interne Revision am angemessensten, um ihre Rolle als dritte Verteidigungslinie korrekt wahrzunehmen?
Correct
Richtig: Die Interne Revision als dritte Verteidigungslinie muss ihre Unabhängigkeit und Objektivität wahren, um eine effektive Überwachungsfunktion auszuüben. Eine beratende Teilnahme an Projekten ist zulässig und oft wertvoll, sofern die Revision keine Managementverantwortung übernimmt oder operative Entscheidungen trifft. Durch die klare Trennung zwischen beratenden Tätigkeiten und der späteren Prüfungsdurchführung sowie die Beschränkung auf eine beobachtende oder beratende Rolle ohne Stimmrecht wird sichergestellt, dass die Revision das System zu einem späteren Zeitpunkt unvoreingenommen beurteilen kann. Dies entspricht den internationalen Standards für die berufliche Praxis der Internen Revision und den Erwartungen von Regulierungsbehörden an eine robuste Governance-Struktur.
Falsch: Die Übernahme der Projektleitung oder die aktive Mitgestaltung von Kontrollmechanismen würde dazu führen, dass die Interne Revision ihre eigenen Arbeitsergebnisse prüfen müsste, was einen klassischen Selbstprüfungs-Interessenkonflikt darstellt. Die Übernahme von Aufgaben der Qualitätssicherung ist ebenfalls nicht statthaft, da diese Funktion typischerweise in der ersten oder zweiten Verteidigungslinie angesiedelt ist und operative Kontrollcharakter hat. Eine strikte Ablehnung jeglicher Kommunikation bis nach der Implementierung ist zwar theoretisch möglich, widerspricht jedoch dem modernen Verständnis einer risikobasierten Revision, die durch frühzeitige Identifikation von Designschwächen zur Risikominimierung beitragen sollte, ohne dabei die Unabhängigkeit aufzugeben.
Kernaussage: Die Interne Revision darf beratend in Projekte einbezogen werden, muss jedoch strikt darauf achten, keine Managementverantwortung zu übernehmen, um ihre Unabhängigkeit für zukünftige Prüfungen zu bewahren.
Incorrect
Richtig: Die Interne Revision als dritte Verteidigungslinie muss ihre Unabhängigkeit und Objektivität wahren, um eine effektive Überwachungsfunktion auszuüben. Eine beratende Teilnahme an Projekten ist zulässig und oft wertvoll, sofern die Revision keine Managementverantwortung übernimmt oder operative Entscheidungen trifft. Durch die klare Trennung zwischen beratenden Tätigkeiten und der späteren Prüfungsdurchführung sowie die Beschränkung auf eine beobachtende oder beratende Rolle ohne Stimmrecht wird sichergestellt, dass die Revision das System zu einem späteren Zeitpunkt unvoreingenommen beurteilen kann. Dies entspricht den internationalen Standards für die berufliche Praxis der Internen Revision und den Erwartungen von Regulierungsbehörden an eine robuste Governance-Struktur.
Falsch: Die Übernahme der Projektleitung oder die aktive Mitgestaltung von Kontrollmechanismen würde dazu führen, dass die Interne Revision ihre eigenen Arbeitsergebnisse prüfen müsste, was einen klassischen Selbstprüfungs-Interessenkonflikt darstellt. Die Übernahme von Aufgaben der Qualitätssicherung ist ebenfalls nicht statthaft, da diese Funktion typischerweise in der ersten oder zweiten Verteidigungslinie angesiedelt ist und operative Kontrollcharakter hat. Eine strikte Ablehnung jeglicher Kommunikation bis nach der Implementierung ist zwar theoretisch möglich, widerspricht jedoch dem modernen Verständnis einer risikobasierten Revision, die durch frühzeitige Identifikation von Designschwächen zur Risikominimierung beitragen sollte, ohne dabei die Unabhängigkeit aufzugeben.
Kernaussage: Die Interne Revision darf beratend in Projekte einbezogen werden, muss jedoch strikt darauf achten, keine Managementverantwortung zu übernehmen, um ihre Unabhängigkeit für zukünftige Prüfungen zu bewahren.
-
Question 2 of 30
2. Question
Ein international tätiges Kreditinstitut führt eine umfassende Überprüfung seines AML-Rahmenwerks durch. Der Leiter der internen Revision plant die jährliche unabhängige Prüfung. Der Geldwäschebeauftragte (AML Officer) schlägt vor, dass die Revision zur Steigerung der Effizienz die detaillierten Berichte der Qualitätssicherung (Quality Assurance) aus der ersten Verteidigungslinie als primären Nachweis für die Wirksamkeit der Transaktionsüberwachung übernimmt, da diese bereits 100 Prozent der Warnmeldungen abdecken. Wie sollte die interne Revision unter Berücksichtigung der Anforderungen an die dritte Verteidigungslinie auf diesen Vorschlag reagieren?
Correct
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die interne Revision, muss ihre Unabhängigkeit und Objektivität wahren, indem sie eigene, risikobasierte Prüfungsverfahren anwendet. Während Ergebnisse aus der Qualitätssicherung der ersten oder zweiten Verteidigungslinie als Indikatoren für die Risikobewertung und die Prüfungsplanung dienen können, dürfen sie die eigenständige Prüfungstätigkeit nicht ersetzen. Gemäß internationalen Standards wie den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die AML-Prüfung eine unabhängige Bewertung der Wirksamkeit des Programms darstellen. Eine bloße Übernahme von QA-Daten ohne eigenständige Validierung und Stichprobenprüfung würde die Funktion der dritten Linie als letzte Kontrollinstanz untergraben.
Falsch: Der Vorschlag, die Prüfung auf die Bestätigung des Geldwäschebeauftragten zu stützen, widerspricht dem Kernkonzept der Unabhängigkeit, da die zu prüfende Funktion keinen direkten Einfluss auf die Prüfungstiefe nehmen darf. Die Beschränkung auf die Validierung vorhandener QA-Tests ohne eigene Transaktionstests ist unzureichend, da die Revision die operative Wirksamkeit der Kontrollen selbstständig verifizieren muss. Die Delegation der methodischen Entscheidung an den Vorstand oder Prüfungsausschuss ist ebenfalls nicht korrekt, da die interne Revision für ihre eigene Methodik und die Einhaltung beruflicher Standards selbst verantwortlich ist, um eine unvoreingenommene Berichterstattung an das Management und die Aufsichtsbehörden zu gewährleisten.
Kernaussage: Die Unabhängigkeit der dritten Verteidigungslinie erfordert zwingend eigenständige Prüfungshandlungen und Stichproben, unabhängig von den Kontrollaktivitäten der ersten und zweiten Linie.
Incorrect
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die interne Revision, muss ihre Unabhängigkeit und Objektivität wahren, indem sie eigene, risikobasierte Prüfungsverfahren anwendet. Während Ergebnisse aus der Qualitätssicherung der ersten oder zweiten Verteidigungslinie als Indikatoren für die Risikobewertung und die Prüfungsplanung dienen können, dürfen sie die eigenständige Prüfungstätigkeit nicht ersetzen. Gemäß internationalen Standards wie den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die AML-Prüfung eine unabhängige Bewertung der Wirksamkeit des Programms darstellen. Eine bloße Übernahme von QA-Daten ohne eigenständige Validierung und Stichprobenprüfung würde die Funktion der dritten Linie als letzte Kontrollinstanz untergraben.
Falsch: Der Vorschlag, die Prüfung auf die Bestätigung des Geldwäschebeauftragten zu stützen, widerspricht dem Kernkonzept der Unabhängigkeit, da die zu prüfende Funktion keinen direkten Einfluss auf die Prüfungstiefe nehmen darf. Die Beschränkung auf die Validierung vorhandener QA-Tests ohne eigene Transaktionstests ist unzureichend, da die Revision die operative Wirksamkeit der Kontrollen selbstständig verifizieren muss. Die Delegation der methodischen Entscheidung an den Vorstand oder Prüfungsausschuss ist ebenfalls nicht korrekt, da die interne Revision für ihre eigene Methodik und die Einhaltung beruflicher Standards selbst verantwortlich ist, um eine unvoreingenommene Berichterstattung an das Management und die Aufsichtsbehörden zu gewährleisten.
Kernaussage: Die Unabhängigkeit der dritten Verteidigungslinie erfordert zwingend eigenständige Prüfungshandlungen und Stichproben, unabhängig von den Kontrollaktivitäten der ersten und zweiten Linie.
-
Question 3 of 30
3. Question
Ein mittelgroßes Finanzinstitut hat vor sechs Monaten ein neues System zur Transaktionsüberwachung implementiert und verzeichnete im letzten Quartal einen Anstieg von 15 % bei politisch exponierten Personen (PEPs) im Kundenstamm. Die Compliance-Abteilung hat gerade ihre jährliche unternehmensweite Risikobewertung (EWRA) abgeschlossen und kommt zu dem Schluss, dass das Restrisiko im Bereich PEPs moderat ist. Der interne Revisionsleiter bereitet nun den risikobasierten Prüfungsplan für das kommende Jahr vor. Wie sollte die interne Revision die Ergebnisse der Risikobewertung der zweiten Verteidigungslinie bei der Festlegung des Prüfungsumfangs berücksichtigen?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) ist verpflichtet, einen risikobasierten Prüfungsansatz zu verfolgen. Dabei ist es fachlich geboten, die von der zweiten Verteidigungslinie (Compliance) erstellte unternehmensweite Risikobewertung (EWRA) als wesentliche Informationsquelle zu nutzen. Die Revision darf diese Ergebnisse jedoch nicht ungeprüft übernehmen, da dies ihre Unabhängigkeit und Objektivität gefährden würde. Stattdessen muss sie die Methodik, die Datenintegrität und die Schlussfolgerungen der zweiten Linie kritisch validieren. Auf dieser Basis kann die Revision ihre Ressourcen gezielt auf die Bereiche mit dem höchsten Restrisiko konzentrieren, wie in diesem Fall das neue Transaktionsüberwachungssystem und das Segment der politisch exponierten Personen (PEPs).
Falsch: Eine ungeprüfte Übernahme der Ergebnisse der zweiten Verteidigungslinie würde die notwendige Unabhängigkeit der Revision untergraben und dazu führen, dass potenzielle Fehler in der Risikobewertung der Compliance-Abteilung nicht aufgedeckt werden. Das vollständige Ignorieren der vorhandenen Risikobewertung hingegen wäre ineffizient und widerspricht den internationalen Standards für die interne Revision, die eine Koordination der Überwachungsfunktionen fordern. Eine ausschließliche Fokussierung auf die erste Verteidigungslinie (operativer Bereich) würde zudem die systemischen Kontrollen und die Überwachungsqualität der zweiten Linie vernachlässigen, was zu einem lückenhaften Prüfungsurteil über das gesamte AML-Programm führen könnte.
Kernaussage: Die interne Revision muss die Risikobewertungen der zweiten Verteidigungslinie als Grundlage für ihre Planung nutzen, diese jedoch unabhängig validieren, um die Objektivität zu wahren und Ressourcen risikoorientiert einzusetzen.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) ist verpflichtet, einen risikobasierten Prüfungsansatz zu verfolgen. Dabei ist es fachlich geboten, die von der zweiten Verteidigungslinie (Compliance) erstellte unternehmensweite Risikobewertung (EWRA) als wesentliche Informationsquelle zu nutzen. Die Revision darf diese Ergebnisse jedoch nicht ungeprüft übernehmen, da dies ihre Unabhängigkeit und Objektivität gefährden würde. Stattdessen muss sie die Methodik, die Datenintegrität und die Schlussfolgerungen der zweiten Linie kritisch validieren. Auf dieser Basis kann die Revision ihre Ressourcen gezielt auf die Bereiche mit dem höchsten Restrisiko konzentrieren, wie in diesem Fall das neue Transaktionsüberwachungssystem und das Segment der politisch exponierten Personen (PEPs).
Falsch: Eine ungeprüfte Übernahme der Ergebnisse der zweiten Verteidigungslinie würde die notwendige Unabhängigkeit der Revision untergraben und dazu führen, dass potenzielle Fehler in der Risikobewertung der Compliance-Abteilung nicht aufgedeckt werden. Das vollständige Ignorieren der vorhandenen Risikobewertung hingegen wäre ineffizient und widerspricht den internationalen Standards für die interne Revision, die eine Koordination der Überwachungsfunktionen fordern. Eine ausschließliche Fokussierung auf die erste Verteidigungslinie (operativer Bereich) würde zudem die systemischen Kontrollen und die Überwachungsqualität der zweiten Linie vernachlässigen, was zu einem lückenhaften Prüfungsurteil über das gesamte AML-Programm führen könnte.
Kernaussage: Die interne Revision muss die Risikobewertungen der zweiten Verteidigungslinie als Grundlage für ihre Planung nutzen, diese jedoch unabhängig validieren, um die Objektivität zu wahren und Ressourcen risikoorientiert einzusetzen.
-
Question 4 of 30
4. Question
Während einer jährlichen risikobasierten AML-Prüfung in einer international agierenden Großbank stellt der leitende interne Prüfer fest, dass der Geldwäschebeauftragte (MLRO) bereits detaillierte Prüfschritte und spezifische Testskripte für das Audit-Team vorbereitet hat. Der MLRO begründet dies damit, dass die Komplexität des neu implementierten, KI-gestützten Transaktionsüberwachungssystems so hoch sei, dass ohne diese Anleitung Fehlinterpretationen der Systemlogik und unnötige Feststellungen unvermeidbar wären. Das Audit-Team steht unter erheblichem Zeitdruck, die Feldarbeit innerhalb des geplanten Quartals abzuschließen. Wie sollte die interne Revision in dieser Situation vorgehen, um die regulatorischen Anforderungen an die Unabhängigkeit der dritten Verteidigungslinie zu erfüllen?
Correct
Richtig: Die Unabhängigkeit der dritten Verteidigungslinie ist ein Grundpfeiler effektiver Governance. Gemäß internationalen Standards wie den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die interne Revision (Audit) völlig unabhängig von den Funktionen agieren, die sie prüft. Wenn die zweite Verteidigungslinie (Compliance/MLRO) die Prüfmethodik oder die Testskripte vorgibt, wird die Objektivität der Prüfung untergraben. Die Revision muss ihren eigenen Prüfungsansatz, den Umfang und die Testverfahren basierend auf einer eigenständigen Risikobewertung festlegen. Informationen der zweiten Linie dürfen zwar zum Prozessverständnis herangezogen werden, die methodische Hoheit muss jedoch zwingend bei der Revision verbleiben, um eine kritische und unvoreingenommene Bewertung der Kontrollwirksamkeit zu gewährleisten.
Falsch: Die Einbeziehung externer Berater zur Validierung von durch die zweite Linie erstellten Prüfschritten heilt nicht den Mangel an ursprünglicher Unabhängigkeit der internen Revision. Die Delegation von Testphasen an die Compliance-Abteilung stellt einen direkten Verstoß gegen die Trennung der Verteidigungslinien dar, da die zu prüfende Einheit sich nicht selbst auditieren darf; dies wäre lediglich eine Form der Qualitätssicherung oder Selbstüberwachung, aber keine unabhängige Prüfung. Die bloße Offenlegung im Bericht, dass die Methodik von der zweiten Linie stammt, mindert zwar die Intransparenz, beseitigt aber nicht das strukturelle Risiko einer unzureichenden Prüfqualität und der mangelnden Objektivität, die durch die Einflussnahme der geprüften Stelle entsteht.
Kernaussage: Die dritte Verteidigungslinie muss ihre Prüfmethodik und den Umfang zwingend unabhängig von der ersten und zweiten Verteidigungslinie festlegen, um die Integrität und Objektivität des AML-Prüfungsprozesses zu wahren.
Incorrect
Richtig: Die Unabhängigkeit der dritten Verteidigungslinie ist ein Grundpfeiler effektiver Governance. Gemäß internationalen Standards wie den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die interne Revision (Audit) völlig unabhängig von den Funktionen agieren, die sie prüft. Wenn die zweite Verteidigungslinie (Compliance/MLRO) die Prüfmethodik oder die Testskripte vorgibt, wird die Objektivität der Prüfung untergraben. Die Revision muss ihren eigenen Prüfungsansatz, den Umfang und die Testverfahren basierend auf einer eigenständigen Risikobewertung festlegen. Informationen der zweiten Linie dürfen zwar zum Prozessverständnis herangezogen werden, die methodische Hoheit muss jedoch zwingend bei der Revision verbleiben, um eine kritische und unvoreingenommene Bewertung der Kontrollwirksamkeit zu gewährleisten.
Falsch: Die Einbeziehung externer Berater zur Validierung von durch die zweite Linie erstellten Prüfschritten heilt nicht den Mangel an ursprünglicher Unabhängigkeit der internen Revision. Die Delegation von Testphasen an die Compliance-Abteilung stellt einen direkten Verstoß gegen die Trennung der Verteidigungslinien dar, da die zu prüfende Einheit sich nicht selbst auditieren darf; dies wäre lediglich eine Form der Qualitätssicherung oder Selbstüberwachung, aber keine unabhängige Prüfung. Die bloße Offenlegung im Bericht, dass die Methodik von der zweiten Linie stammt, mindert zwar die Intransparenz, beseitigt aber nicht das strukturelle Risiko einer unzureichenden Prüfqualität und der mangelnden Objektivität, die durch die Einflussnahme der geprüften Stelle entsteht.
Kernaussage: Die dritte Verteidigungslinie muss ihre Prüfmethodik und den Umfang zwingend unabhängig von der ersten und zweiten Verteidigungslinie festlegen, um die Integrität und Objektivität des AML-Prüfungsprozesses zu wahren.
-
Question 5 of 30
5. Question
Während einer jährlichen AML-Prüfung in einer mittelgroßen Universalbank schlägt der Geldwäschebeauftragte (MLRO) vor, dass das interne Revisionsteam die Ergebnisse der monatlichen Qualitätssicherungstests (Quality Assurance – QA) der Compliance-Abteilung als primäre Grundlage für die Bewertung der Wirksamkeit der Transaktionsüberwachung heranzieht. Der MLRO argumentiert, dass dies die Effizienz steigere und Doppelarbeit vermeide, da die QA-Prozesse bereits detaillierte Stichprobenprüfungen der Alarme beinhalten. Wie sollte der interne Revisionsleiter reagieren, um die Standards der dritten Verteidigungslinie und die Unabhängigkeit der Prüfung zu wahren?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) ist regulatorisch dazu verpflichtet, eine unabhängige und objektive Bewertung der Wirksamkeit des gesamten AML-Kontrollrahmens abzugeben. Dies schließt die Überprüfung der zweiten Verteidigungslinie (Compliance und Qualitätssicherung) ausdrücklich ein. Eine bloße Übernahme der Ergebnisse der Qualitätssicherung (QA) als primäre Prüfungsbasis würde die Unabhängigkeit untergraben und die Revision daran hindern, die Effektivität der QA selbst zu beurteilen. Unabhängige Stichproben und eigene Feldarbeit sind essenziell, um den Anforderungen internationaler Standards wie der FATF und nationaler Aufsichtsbehörden an eine funktionsfähige dritte Verteidigungslinie gerecht zu werden.
Falsch: Der Ansatz, die Prüfung nur auf nicht von der QA abgedeckte Bereiche zu beschränken, ist falsch, da gerade die risikoreichen Kernbereiche einer unabhängigen Validierung bedürfen. Eine begrenzte Validierung nur bei Unstimmigkeiten in den QA-Berichten reicht nicht aus, um ein eigenständiges Prüfungsurteil über die operative Wirksamkeit zu bilden. Die Integration von QA-Mitarbeitern in das Revisionsteam stellt einen direkten Interessenkonflikt dar, da die Unabhängigkeit der Prüfer gewahrt bleiben muss und Personen nicht ihre eigene Arbeit oder die Prozesse ihrer eigenen Abteilung (zweite Linie) im Rahmen einer Revisionsprüfung auditieren dürfen.
Kernaussage: Die Unabhängigkeit der dritten Verteidigungslinie erfordert eine eigenständige Validierung der Kontrollwirksamkeit durch eigene Tests, anstatt sich ausschließlich auf die Kontrollaktivitäten der zweiten Verteidigungslinie zu verlassen.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) ist regulatorisch dazu verpflichtet, eine unabhängige und objektive Bewertung der Wirksamkeit des gesamten AML-Kontrollrahmens abzugeben. Dies schließt die Überprüfung der zweiten Verteidigungslinie (Compliance und Qualitätssicherung) ausdrücklich ein. Eine bloße Übernahme der Ergebnisse der Qualitätssicherung (QA) als primäre Prüfungsbasis würde die Unabhängigkeit untergraben und die Revision daran hindern, die Effektivität der QA selbst zu beurteilen. Unabhängige Stichproben und eigene Feldarbeit sind essenziell, um den Anforderungen internationaler Standards wie der FATF und nationaler Aufsichtsbehörden an eine funktionsfähige dritte Verteidigungslinie gerecht zu werden.
Falsch: Der Ansatz, die Prüfung nur auf nicht von der QA abgedeckte Bereiche zu beschränken, ist falsch, da gerade die risikoreichen Kernbereiche einer unabhängigen Validierung bedürfen. Eine begrenzte Validierung nur bei Unstimmigkeiten in den QA-Berichten reicht nicht aus, um ein eigenständiges Prüfungsurteil über die operative Wirksamkeit zu bilden. Die Integration von QA-Mitarbeitern in das Revisionsteam stellt einen direkten Interessenkonflikt dar, da die Unabhängigkeit der Prüfer gewahrt bleiben muss und Personen nicht ihre eigene Arbeit oder die Prozesse ihrer eigenen Abteilung (zweite Linie) im Rahmen einer Revisionsprüfung auditieren dürfen.
Kernaussage: Die Unabhängigkeit der dritten Verteidigungslinie erfordert eine eigenständige Validierung der Kontrollwirksamkeit durch eigene Tests, anstatt sich ausschließlich auf die Kontrollaktivitäten der zweiten Verteidigungslinie zu verlassen.
-
Question 6 of 30
6. Question
Ein mittelgroßes Finanzinstitut hat vor sechs Monaten ein neues System zur Transaktionsüberwachung (TMS) implementiert. Die Compliance-Abteilung, die als zweite Verteidigungslinie fungiert, hat kürzlich eine umfassende Qualitätssicherung der Systemparametrisierung durchgeführt und einen Bericht vorgelegt, der die Wirksamkeit der Szenarien bestätigt. Im Rahmen der jährlichen AML-Prüfung plant die interne Revision nun die Evaluierung dieses Systems. Wie sollte der interne Prüfer vorgehen, um die Anforderungen an die Unabhängigkeit und die Wirksamkeit der dritten Verteidigungslinie gemäß den gängigen AML-Prüfungsstandards zu erfüllen?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) hat die Aufgabe, eine unabhängige und objektive Prüfung der Wirksamkeit der ersten und zweiten Verteidigungslinie durchzuführen. Während die Revision die Ergebnisse der Qualitätssicherung (QA) der zweiten Linie als Informationsquelle nutzen kann, muss sie dennoch eigene, unabhängige Stichproben und Tests durchführen, um die Angemessenheit und Wirksamkeit der Kontrollen zu validieren. Dies entspricht den internationalen Standards für die berufliche Praxis der Internen Revision und den Erwartungen der Regulierungsbehörden an eine funktionsfähige Governance-Struktur.
Falsch: Ein vollständiges Vertrauen auf die Berichte der zweiten Linie ohne eigene Prüfungshandlungen würde die Unabhängigkeit der dritten Linie untergraben und deren Funktion als letzte Kontrollinstanz wirkungslos machen. Die Übernahme operativer Aufgaben, wie die Feinabstimmung von Systemparametern, stellt eine Verletzung des Unabhängigkeitsprinzips dar, da die Revision später ihre eigene Arbeit prüfen müsste (Selbstprüfungsverbot). Die Einbindung von Mitarbeitern der zweiten Linie in die Leitung der Prüfung ihres eigenen Bereichs erzeugt einen direkten Interessenkonflikt und verhindert eine objektive Beurteilung der Kontrollumgebung.
Kernaussage: Die Interne Revision muss die Kontrollen der zweiten Verteidigungslinie zwar evaluieren, darf sich aber nicht ausschließlich auf deren Ergebnisse verlassen, sondern muss durch eigene unabhängige Tests die operative Wirksamkeit bestätigen.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) hat die Aufgabe, eine unabhängige und objektive Prüfung der Wirksamkeit der ersten und zweiten Verteidigungslinie durchzuführen. Während die Revision die Ergebnisse der Qualitätssicherung (QA) der zweiten Linie als Informationsquelle nutzen kann, muss sie dennoch eigene, unabhängige Stichproben und Tests durchführen, um die Angemessenheit und Wirksamkeit der Kontrollen zu validieren. Dies entspricht den internationalen Standards für die berufliche Praxis der Internen Revision und den Erwartungen der Regulierungsbehörden an eine funktionsfähige Governance-Struktur.
Falsch: Ein vollständiges Vertrauen auf die Berichte der zweiten Linie ohne eigene Prüfungshandlungen würde die Unabhängigkeit der dritten Linie untergraben und deren Funktion als letzte Kontrollinstanz wirkungslos machen. Die Übernahme operativer Aufgaben, wie die Feinabstimmung von Systemparametern, stellt eine Verletzung des Unabhängigkeitsprinzips dar, da die Revision später ihre eigene Arbeit prüfen müsste (Selbstprüfungsverbot). Die Einbindung von Mitarbeitern der zweiten Linie in die Leitung der Prüfung ihres eigenen Bereichs erzeugt einen direkten Interessenkonflikt und verhindert eine objektive Beurteilung der Kontrollumgebung.
Kernaussage: Die Interne Revision muss die Kontrollen der zweiten Verteidigungslinie zwar evaluieren, darf sich aber nicht ausschließlich auf deren Ergebnisse verlassen, sondern muss durch eigene unabhängige Tests die operative Wirksamkeit bestätigen.
-
Question 7 of 30
7. Question
Ein mittelgroßes Finanzinstitut bereitet sich auf die jährliche AML-Prüfung vor. Der Chief Compliance Officer (CCO) schlägt dem internen Revisionsleiter vor, die bestehenden Berichte der Qualitätssicherung (QA) aus der zweiten Verteidigungslinie als primäre Grundlage für die Wirksamkeitsprüfung der Transaktionsüberwachung zu verwenden, um Redundanzen zu vermeiden. Der Revisionsplan sieht vor, die Angemessenheit der Schwellenwerte innerhalb der nächsten sechs Monate zu validieren. Wie sollte der interne Prüfer reagieren, um die Anforderungen an die dritte Verteidigungslinie und die Unabhängigkeit zu wahren?
Correct
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die Interne Revision, ist verpflichtet, eine unabhängige und objektive Bewertung der Wirksamkeit des AML-Kontrollrahmens vorzunehmen. Obwohl die Ergebnisse der Qualitätssicherung aus der zweiten Verteidigungslinie als wertvolle Informationsquelle für die Risikobewertung und die Prüfungsplanung dienen können, darf die Revision diese nicht ungeprüft als Ersatz für eigene Tests übernehmen. Eine eigenständige Validierung durch unabhängige Stichproben und die Prüfung der zugrunde liegenden Daten ist notwendig, um die regulatorisch geforderte Unabhängigkeit und die Tiefe der Prüfung zu gewährleisten.
Falsch: Die vollständige Übernahme der Ergebnisse der zweiten Verteidigungslinie würde die Unabhängigkeit der Revision untergraben und die dritte Verteidigungslinie funktionslos machen, da keine eigenständige Verifizierung stattfindet. Eine bloße Bestätigung durch das Management oder eine rein prozessuale Durchsicht reicht nicht aus, um die operative Wirksamkeit von Kontrollen zu bestätigen. Die Einbindung von Mitarbeitern der zweiten Linie in das Revisionsteam stellt einen klaren Interessenkonflikt dar, da die Unabhängigkeit der Prüfer gefährdet wird, wenn Personen an der Prüfung von Prozessen beteiligt sind, für die sie oder ihre Abteilung operativ verantwortlich sind.
Kernaussage: Die Interne Revision muss als dritte Verteidigungslinie stets eine unabhängige Prüfung durchführen und darf die Kontrollaktivitäten der zweiten Verteidigungslinie zwar berücksichtigen, aber niemals als Ersatz für eigene, eigenständige Tests verwenden.
Incorrect
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die Interne Revision, ist verpflichtet, eine unabhängige und objektive Bewertung der Wirksamkeit des AML-Kontrollrahmens vorzunehmen. Obwohl die Ergebnisse der Qualitätssicherung aus der zweiten Verteidigungslinie als wertvolle Informationsquelle für die Risikobewertung und die Prüfungsplanung dienen können, darf die Revision diese nicht ungeprüft als Ersatz für eigene Tests übernehmen. Eine eigenständige Validierung durch unabhängige Stichproben und die Prüfung der zugrunde liegenden Daten ist notwendig, um die regulatorisch geforderte Unabhängigkeit und die Tiefe der Prüfung zu gewährleisten.
Falsch: Die vollständige Übernahme der Ergebnisse der zweiten Verteidigungslinie würde die Unabhängigkeit der Revision untergraben und die dritte Verteidigungslinie funktionslos machen, da keine eigenständige Verifizierung stattfindet. Eine bloße Bestätigung durch das Management oder eine rein prozessuale Durchsicht reicht nicht aus, um die operative Wirksamkeit von Kontrollen zu bestätigen. Die Einbindung von Mitarbeitern der zweiten Linie in das Revisionsteam stellt einen klaren Interessenkonflikt dar, da die Unabhängigkeit der Prüfer gefährdet wird, wenn Personen an der Prüfung von Prozessen beteiligt sind, für die sie oder ihre Abteilung operativ verantwortlich sind.
Kernaussage: Die Interne Revision muss als dritte Verteidigungslinie stets eine unabhängige Prüfung durchführen und darf die Kontrollaktivitäten der zweiten Verteidigungslinie zwar berücksichtigen, aber niemals als Ersatz für eigene, eigenständige Tests verwenden.
-
Question 8 of 30
8. Question
Ein leitender interner Revisor einer international tätigen Bank führt eine jährliche Prüfung des AML-Programms durch. Während der Planungsphase schlägt der Geldwäschebeauftragte (MLRO) vor, dass die Revision die detaillierten Berichte der Qualitätssicherung (Quality Assurance) der zweiten Verteidigungslinie als primäre Grundlage für die Wirksamkeitsprüfung heranzieht, um Redundanzen zu vermeiden und die Effizienz zu steigern. Die Qualitätssicherung hat im vergangenen Jahr bereits 15 % aller Onboarding-Akten geprüft. Wie sollte der interne Revisor reagieren, um die Anforderungen an die dritte Verteidigungslinie und die Unabhängigkeit der Prüfung gemäß internationalen Standards zu wahren?
Correct
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die Interne Revision, ist für die Bereitstellung einer unabhängigen und objektiven Sicherheit gegenüber dem Vorstand und der Geschäftsführung verantwortlich. Gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die Revision die Angemessenheit und Wirksamkeit des AML-Programms eigenständig validieren. Obwohl Berichte der zweiten Verteidigungslinie (wie die Qualitätssicherung der Compliance) als Informationsquelle für die risikobasierte Prüfungsplanung dienen können, darf die Revision ihre Schlussfolgerungen nicht ausschließlich auf diese verlassen. Eine unabhängige Stichprobenprüfung und die Validierung der Kontrolldesigns sind zwingend erforderlich, um die Unabhängigkeit zu wahren und sicherzustellen, dass keine blinden Flecken innerhalb der Überwachungsfunktionen der zweiten Linie bestehen.
Falsch: Der Ansatz, die Ergebnisse der Qualitätssicherung vollständig zu übernehmen, nur weil sie vom Vorstand genehmigt wurden, ist falsch, da die Genehmigung der Methodik nicht die Notwendigkeit einer unabhängigen Prüfung der tatsächlichen Durchführung ersetzt. Die Beschränkung des Prüfungsumfangs auf bereits identifizierte Mängel der zweiten Linie würde dazu führen, dass die Revision ihre Rolle als unabhängige Kontrollinstanz aufgibt und potenziell schwerwiegende Fehler in Bereichen übersieht, die von der Compliance fälschlicherweise als sicher eingestuft wurden. Die Delegation von Prüfungshandlungen an die Compliance-Abteilung selbst stellt einen fundamentalen Verstoß gegen das Prinzip der Funktionstrennung dar, da die zu prüfende Einheit niemals ihre eigene Wirksamkeit im Rahmen der dritten Verteidigungslinie validieren darf.
Kernaussage: Die Interne Revision muss als dritte Verteidigungslinie eine von der Geschäftsführung und der Compliance-Funktion unabhängige Prüfung durchführen, um die objektive Wirksamkeit des AML-Kontrollumfelds zu bestätigen.
Incorrect
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die Interne Revision, ist für die Bereitstellung einer unabhängigen und objektiven Sicherheit gegenüber dem Vorstand und der Geschäftsführung verantwortlich. Gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die Revision die Angemessenheit und Wirksamkeit des AML-Programms eigenständig validieren. Obwohl Berichte der zweiten Verteidigungslinie (wie die Qualitätssicherung der Compliance) als Informationsquelle für die risikobasierte Prüfungsplanung dienen können, darf die Revision ihre Schlussfolgerungen nicht ausschließlich auf diese verlassen. Eine unabhängige Stichprobenprüfung und die Validierung der Kontrolldesigns sind zwingend erforderlich, um die Unabhängigkeit zu wahren und sicherzustellen, dass keine blinden Flecken innerhalb der Überwachungsfunktionen der zweiten Linie bestehen.
Falsch: Der Ansatz, die Ergebnisse der Qualitätssicherung vollständig zu übernehmen, nur weil sie vom Vorstand genehmigt wurden, ist falsch, da die Genehmigung der Methodik nicht die Notwendigkeit einer unabhängigen Prüfung der tatsächlichen Durchführung ersetzt. Die Beschränkung des Prüfungsumfangs auf bereits identifizierte Mängel der zweiten Linie würde dazu führen, dass die Revision ihre Rolle als unabhängige Kontrollinstanz aufgibt und potenziell schwerwiegende Fehler in Bereichen übersieht, die von der Compliance fälschlicherweise als sicher eingestuft wurden. Die Delegation von Prüfungshandlungen an die Compliance-Abteilung selbst stellt einen fundamentalen Verstoß gegen das Prinzip der Funktionstrennung dar, da die zu prüfende Einheit niemals ihre eigene Wirksamkeit im Rahmen der dritten Verteidigungslinie validieren darf.
Kernaussage: Die Interne Revision muss als dritte Verteidigungslinie eine von der Geschäftsführung und der Compliance-Funktion unabhängige Prüfung durchführen, um die objektive Wirksamkeit des AML-Kontrollumfelds zu bestätigen.
-
Question 9 of 30
9. Question
Die Global Invest Bank AG hat vor sechs Monaten ein neues KI-basiertes Transaktionsüberwachungssystem implementiert. Die Compliance-Abteilung, die als zweite Verteidigungslinie agiert, führt seitdem monatliche Qualitätssicherungsprüfungen (Quality Assurance) durch, um die Genauigkeit der Alarmgenerierung und die Wirksamkeit der Szenarien zu validieren. Im Rahmen der jährlichen AML-Prüfungsplanung schlägt der Chief Compliance Officer vor, dass die interne Revision die Ergebnisse dieser Qualitätssicherung vollständig übernimmt. Er argumentiert, dass eine erneute Prüfung derselben Datensätze eine ineffiziente Ressourcennutzung darstelle und die Testmethodik der Compliance-Abteilung bereits mit externen Beratern abgestimmt wurde. Wie sollte die interne Revision reagieren, um ihre Rolle innerhalb der Governance-Struktur korrekt wahrzunehmen?
Correct
Richtig: Die interne Revision fungiert als dritte Verteidigungslinie und muss eine unabhängige sowie objektive Bewertung der Angemessenheit und Wirksamkeit des gesamten AML-Kontrollrahmens vornehmen. Dies schließt explizit die Überprüfung der Aktivitäten der zweiten Verteidigungslinie (Compliance und Qualitätssicherung) ein. Während die Revision die Daten und Berichte der Qualitätssicherung als Informationsgrundlage nutzen kann, darf sie diese nicht ungeprüft übernehmen, da sie sonst ihre eigene Unabhängigkeit aufgeben und die Wirksamkeit der Kontrollhierarchie untergraben würde. Eine eigenständige Validierung stellt sicher, dass auch Fehler oder Lücken in der Überwachungstätigkeit der zweiten Linie identifiziert werden können.
Falsch: Der Vorschlag, den Prüfungsumfang lediglich auf nicht durch die Qualitätssicherung abgedeckte Bereiche zu beschränken, ist falsch, da die Revision gerade die Aufgabe hat, die Verlässlichkeit der zweiten Linie zu beurteilen. Eine bloße Zertifizierung der Qualitätssicherung durch die Revision entspricht nicht dem Wesen einer risikobasierten Prüfung und vernachlässigt die notwendige Tiefe der Feldarbeit. Die Delegation von Prüfungshandlungen an die Compliance-Abteilung selbst stellt einen schwerwiegenden Interessenkonflikt dar, da die zu prüfende Einheit niemals ihre eigenen Kontrollen für die Zwecke der dritten Verteidigungslinie final bewerten darf, da dies die Objektivität des Revisionsberichts vollständig entwerten würde.
Kernaussage: Die interne Revision muss als dritte Verteidigungslinie die Wirksamkeit der zweiten Verteidigungslinie unabhängig validieren, anstatt deren Ergebnisse als Ersatz für eigene Prüfungshandlungen zu akzeptieren.
Incorrect
Richtig: Die interne Revision fungiert als dritte Verteidigungslinie und muss eine unabhängige sowie objektive Bewertung der Angemessenheit und Wirksamkeit des gesamten AML-Kontrollrahmens vornehmen. Dies schließt explizit die Überprüfung der Aktivitäten der zweiten Verteidigungslinie (Compliance und Qualitätssicherung) ein. Während die Revision die Daten und Berichte der Qualitätssicherung als Informationsgrundlage nutzen kann, darf sie diese nicht ungeprüft übernehmen, da sie sonst ihre eigene Unabhängigkeit aufgeben und die Wirksamkeit der Kontrollhierarchie untergraben würde. Eine eigenständige Validierung stellt sicher, dass auch Fehler oder Lücken in der Überwachungstätigkeit der zweiten Linie identifiziert werden können.
Falsch: Der Vorschlag, den Prüfungsumfang lediglich auf nicht durch die Qualitätssicherung abgedeckte Bereiche zu beschränken, ist falsch, da die Revision gerade die Aufgabe hat, die Verlässlichkeit der zweiten Linie zu beurteilen. Eine bloße Zertifizierung der Qualitätssicherung durch die Revision entspricht nicht dem Wesen einer risikobasierten Prüfung und vernachlässigt die notwendige Tiefe der Feldarbeit. Die Delegation von Prüfungshandlungen an die Compliance-Abteilung selbst stellt einen schwerwiegenden Interessenkonflikt dar, da die zu prüfende Einheit niemals ihre eigenen Kontrollen für die Zwecke der dritten Verteidigungslinie final bewerten darf, da dies die Objektivität des Revisionsberichts vollständig entwerten würde.
Kernaussage: Die interne Revision muss als dritte Verteidigungslinie die Wirksamkeit der zweiten Verteidigungslinie unabhängig validieren, anstatt deren Ergebnisse als Ersatz für eigene Prüfungshandlungen zu akzeptieren.
-
Question 10 of 30
10. Question
Während der Planungsphase für die jährliche AML-Prüfung tritt der Geldwäschebeauftragte (MLRO) an das interne Revisionsteam heran. Er schlägt vor, dass die Revision die Testskripte und Stichprobenmethodiken der Compliance-Qualitätssicherung (QA) übernimmt, die erst vor drei Monaten eine umfassende Überprüfung durchgeführt hat. Der MLRO argumentiert, dass dies Doppelarbeit vermeidet, Ressourcen schont und eine konsistente Bewertung der Kontrollumgebung sicherstellt. Wie sollte der Leiter der internen Revision reagieren, um die Integrität der dritten Verteidigungslinie zu wahren?
Correct
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die interne Revision, muss eine vollkommen unabhängige und objektive Bewertung der Wirksamkeit der ersten und zweiten Verteidigungslinie vornehmen. Eine Übernahme von Testskripten oder Stichprobenplänen der zweiten Linie (Compliance/Qualitätssicherung) würde die methodische Unabhängigkeit untergraben, da die Revision in diesem Fall lediglich die Prozesse der zweiten Linie repliziert, anstatt deren Angemessenheit und Wirksamkeit kritisch zu hinterfragen. Gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die unabhängige Prüfung in der Lage sein, Schwachstellen zu identifizieren, die von der Compliance-Funktion möglicherweise übersehen wurden.
Falsch: Die Beschränkung der Prüfung auf bereits von der Compliance-Abteilung identifizierte Mängel ist unzureichend, da die Revision das gesamte AML-Programm auf unentdeckte Risiken prüfen muss. Eine bloße Vergrößerung der Stichprobe unter Verwendung derselben Methodik der zweiten Linie löst nicht das Problem der mangelnden methodischen Unabhängigkeit; wenn die ursprüngliche Testlogik fehlerhaft war, bleibt sie es auch bei einer größeren Stichprobe. Die Sicherstellung der hierarchischen Berichterstattung an den Vorstand ist zwar eine strukturelle Voraussetzung für Unabhängigkeit, rechtfertigt jedoch nicht den Verzicht auf eine eigenständige operative Prüfungsplanung und Testdurchführung.
Kernaussage: Die interne Revision muss ihre Prüfungsansätze und Stichproben unabhängig von der zweiten Verteidigungslinie entwickeln, um eine objektive und kritische Überwachung des AML-Kontrollrahmens zu gewährleisten.
Incorrect
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die interne Revision, muss eine vollkommen unabhängige und objektive Bewertung der Wirksamkeit der ersten und zweiten Verteidigungslinie vornehmen. Eine Übernahme von Testskripten oder Stichprobenplänen der zweiten Linie (Compliance/Qualitätssicherung) würde die methodische Unabhängigkeit untergraben, da die Revision in diesem Fall lediglich die Prozesse der zweiten Linie repliziert, anstatt deren Angemessenheit und Wirksamkeit kritisch zu hinterfragen. Gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die unabhängige Prüfung in der Lage sein, Schwachstellen zu identifizieren, die von der Compliance-Funktion möglicherweise übersehen wurden.
Falsch: Die Beschränkung der Prüfung auf bereits von der Compliance-Abteilung identifizierte Mängel ist unzureichend, da die Revision das gesamte AML-Programm auf unentdeckte Risiken prüfen muss. Eine bloße Vergrößerung der Stichprobe unter Verwendung derselben Methodik der zweiten Linie löst nicht das Problem der mangelnden methodischen Unabhängigkeit; wenn die ursprüngliche Testlogik fehlerhaft war, bleibt sie es auch bei einer größeren Stichprobe. Die Sicherstellung der hierarchischen Berichterstattung an den Vorstand ist zwar eine strukturelle Voraussetzung für Unabhängigkeit, rechtfertigt jedoch nicht den Verzicht auf eine eigenständige operative Prüfungsplanung und Testdurchführung.
Kernaussage: Die interne Revision muss ihre Prüfungsansätze und Stichproben unabhängig von der zweiten Verteidigungslinie entwickeln, um eine objektive und kritische Überwachung des AML-Kontrollrahmens zu gewährleisten.
-
Question 11 of 30
11. Question
Ein global agierendes Kreditinstitut hat vor kurzem sein System zur Transaktionsüberwachung (TMS) aktualisiert. Die Compliance-Abteilung, die als zweite Verteidigungslinie fungiert, hat eine umfassende Qualitätssicherung (QA) durchgeführt, um die Kalibrierung der Überwachungsszenarien zu validieren. Im Rahmen der jährlichen AML-Prüfung schlägt der Geldwäschebeauftragte dem internen Revisionsleiter vor, die bereits vorhandenen Testskripte und Ergebnisse der QA-Abteilung zu übernehmen, um Doppelarbeit zu vermeiden und eine konsistente Bewertungsgrundlage zu schaffen. Welche Vorgehensweise entspricht am besten den Anforderungen an die Unabhängigkeit und die Rolle der dritten Verteidigungslinie?
Correct
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die interne Revision, hat die Aufgabe, eine unabhängige und objektive Prüfung der Wirksamkeit der ersten und zweiten Verteidigungslinie durchzuführen. Um diese Unabhängigkeit zu wahren, muss die Revision eigene Testmethoden und Prüfungsansätze definieren. Während die Ergebnisse der Qualitätssicherung der zweiten Linie als Kontext oder zur Risikoeinschätzung herangezogen werden können, darf die Revision diese nicht als Ersatz für eigene, unabhängige Stichproben und Validierungen verwenden. Dies stellt sicher, dass potenzielle blinde Flecken oder methodische Fehler innerhalb der zweiten Linie aufgedeckt werden können, was die Kernaufgabe der unabhängigen Prüfung gemäß internationaler Standards wie denen der FATF und der Wolfsberg-Gruppe ist.
Falsch: Die Übernahme der Testskripte der zweiten Linie würde die Objektivität der Prüfung untergraben, da die Revision damit dieselben Annahmen und potenziellen Fehler wie die zu prüfende Abteilung akzeptieren würde. Eine vollständige Delegation der technischen Prüfung an die Qualitätssicherung widerspricht dem Mandat der dritten Verteidigungslinie, die gesamte Kontrollstruktur zu validieren, und reduziert die Revision auf eine rein administrative Funktion. Ein reiner Review-of-Reviews-Ansatz ist bei kritischen Systemen wie der Transaktionsüberwachung unzureichend, da er keine direkte Sicherheit über die operative Wirksamkeit der Kontrollen bietet, sondern lediglich die Prozesskonformität der zweiten Linie bewertet.
Kernaussage: Die Unabhängigkeit der dritten Verteidigungslinie erfordert eine methodische Trennung von den Kontrollaktivitäten der zweiten Linie, um eine objektive und eigenständige Beurteilung der AML-Kontrollumgebung zu gewährleisten.
Incorrect
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die interne Revision, hat die Aufgabe, eine unabhängige und objektive Prüfung der Wirksamkeit der ersten und zweiten Verteidigungslinie durchzuführen. Um diese Unabhängigkeit zu wahren, muss die Revision eigene Testmethoden und Prüfungsansätze definieren. Während die Ergebnisse der Qualitätssicherung der zweiten Linie als Kontext oder zur Risikoeinschätzung herangezogen werden können, darf die Revision diese nicht als Ersatz für eigene, unabhängige Stichproben und Validierungen verwenden. Dies stellt sicher, dass potenzielle blinde Flecken oder methodische Fehler innerhalb der zweiten Linie aufgedeckt werden können, was die Kernaufgabe der unabhängigen Prüfung gemäß internationaler Standards wie denen der FATF und der Wolfsberg-Gruppe ist.
Falsch: Die Übernahme der Testskripte der zweiten Linie würde die Objektivität der Prüfung untergraben, da die Revision damit dieselben Annahmen und potenziellen Fehler wie die zu prüfende Abteilung akzeptieren würde. Eine vollständige Delegation der technischen Prüfung an die Qualitätssicherung widerspricht dem Mandat der dritten Verteidigungslinie, die gesamte Kontrollstruktur zu validieren, und reduziert die Revision auf eine rein administrative Funktion. Ein reiner Review-of-Reviews-Ansatz ist bei kritischen Systemen wie der Transaktionsüberwachung unzureichend, da er keine direkte Sicherheit über die operative Wirksamkeit der Kontrollen bietet, sondern lediglich die Prozesskonformität der zweiten Linie bewertet.
Kernaussage: Die Unabhängigkeit der dritten Verteidigungslinie erfordert eine methodische Trennung von den Kontrollaktivitäten der zweiten Linie, um eine objektive und eigenständige Beurteilung der AML-Kontrollumgebung zu gewährleisten.
-
Question 12 of 30
12. Question
Eine international tätige Universalbank überarbeitet derzeit ihre AML-Prüfungsrichtlinien im Rahmen der dritten Verteidigungslinie. Der Geldwäschebeauftragte (MLRO) schlägt dem Leiter der internen Revision vor, für die anstehende jährliche AML-Prüfung exakt dieselben Testskripte und Stichprobenmethoden zu verwenden, die bereits von der Quality Assurance (QA) der Compliance-Abteilung genutzt wurden. Dies solle die Konsistenz der Berichterstattung an den Vorstand erhöhen und die Belastung der operativen Einheiten verringern. Welche Vorgehensweise ist für den Leiter der internen Revision am angemessensten, um die Integrität der dritten Verteidigungslinie zu gewährleisten?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) ist für die unabhängige Bewertung der Angemessenheit und Wirksamkeit des gesamten AML-Kontrollrahmens verantwortlich. Um diese Unabhängigkeit zu wahren, muss die Revision ihre eigenen Prüfungsprogramme und Testmethoden entwickeln. Die Übernahme der Testskripte der zweiten Linie würde bedeuten, dass die Revision lediglich die Arbeit der Compliance-Abteilung repliziert, anstatt deren Methodik kritisch zu hinterfragen. Es ist jedoch fachlich korrekt und effizient, die Risikoanalysen der zweiten Linie als Basis für ein risikobasiertes Scoping zu verwenden, solange die eigentliche Prüfungshandlung unabhängig bleibt.
Falsch: Der Vorschlag, die Testskripte der zweiten Linie zu übernehmen und lediglich das Personal zu trennen, greift zu kurz, da die methodische Unabhängigkeit dadurch verloren geht; die Revision könnte so systemische Fehler in den Skripten der zweiten Linie nicht identifizieren. Eine vollständige Verweigerung der Kommunikation oder die Ignorierung der Risikoanalyse der zweiten Linie führt zu einer ineffizienten Prüfungsplanung, die wichtige Risikoschwerpunkte übersehen könnte. Die Delegation der methodischen Entscheidung an den Prüfungsausschuss des Aufsichtsrats ist ebenfalls nicht korrekt, da dieser eine Überwachungsfunktion ausübt und nicht in die operative Gestaltung von Prüfungsdetails eingreifen sollte, was zudem die fachliche Eigenverantwortung des Leiters der Revision untergraben würde.
Kernaussage: Die Unabhängigkeit der dritten Verteidigungslinie erfordert eine methodische Trennung von der zweiten Linie, wobei Risikoanalysen der Compliance-Abteilung zwar zur Planung informiert, aber nicht die Prüfungshandlungen diktiert werden dürfen.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) ist für die unabhängige Bewertung der Angemessenheit und Wirksamkeit des gesamten AML-Kontrollrahmens verantwortlich. Um diese Unabhängigkeit zu wahren, muss die Revision ihre eigenen Prüfungsprogramme und Testmethoden entwickeln. Die Übernahme der Testskripte der zweiten Linie würde bedeuten, dass die Revision lediglich die Arbeit der Compliance-Abteilung repliziert, anstatt deren Methodik kritisch zu hinterfragen. Es ist jedoch fachlich korrekt und effizient, die Risikoanalysen der zweiten Linie als Basis für ein risikobasiertes Scoping zu verwenden, solange die eigentliche Prüfungshandlung unabhängig bleibt.
Falsch: Der Vorschlag, die Testskripte der zweiten Linie zu übernehmen und lediglich das Personal zu trennen, greift zu kurz, da die methodische Unabhängigkeit dadurch verloren geht; die Revision könnte so systemische Fehler in den Skripten der zweiten Linie nicht identifizieren. Eine vollständige Verweigerung der Kommunikation oder die Ignorierung der Risikoanalyse der zweiten Linie führt zu einer ineffizienten Prüfungsplanung, die wichtige Risikoschwerpunkte übersehen könnte. Die Delegation der methodischen Entscheidung an den Prüfungsausschuss des Aufsichtsrats ist ebenfalls nicht korrekt, da dieser eine Überwachungsfunktion ausübt und nicht in die operative Gestaltung von Prüfungsdetails eingreifen sollte, was zudem die fachliche Eigenverantwortung des Leiters der Revision untergraben würde.
Kernaussage: Die Unabhängigkeit der dritten Verteidigungslinie erfordert eine methodische Trennung von der zweiten Linie, wobei Risikoanalysen der Compliance-Abteilung zwar zur Planung informiert, aber nicht die Prüfungshandlungen diktiert werden dürfen.
-
Question 13 of 30
13. Question
Während einer jährlichen AML-Prüfung in einer Universalbank stellt der Geldwäschebeauftragte (MLRO) fest, dass die interne Revision plant, die Wirksamkeit des vor sechs Monaten implementierten neuen Transaktionsüberwachungssystems (TMS) tiefgreifend zu testen. Der MLRO weist darauf hin, dass die Compliance-Abteilung bereits eine umfassende Qualitätssicherung (Quality Assurance) und Abnahmetests (UAT) durchgeführt hat, die lückenlos dokumentiert sind. Er schlägt vor, dass die Revision diese Ergebnisse übernimmt, um Doppelarbeit zu vermeiden und die Prüfungsressourcen stattdessen für neue regulatorische Anforderungen im Bereich Kryptowerte zu nutzen. Wie sollte die interne Revision reagieren, um die Standards der dritten Verteidigungslinie zu wahren?
Correct
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die interne Revision, hat die Aufgabe, eine unabhängige und objektive Beurteilung der Angemessenheit und Wirksamkeit des gesamten AML-Kontrollrahmens abzugeben. Obwohl die zweite Verteidigungslinie (Compliance) Qualitätssicherungsmaßnahmen (QA) und Tests durchführt, dienen diese der operativen Überwachung. Die Revision darf sich nicht ausschließlich auf die Arbeit der zu prüfenden Einheiten verlassen, da dies die Unabhängigkeit untergraben würde. Gemäß internationalen Standards wie denen der FATF und den Wolfsberg-Prinzipien muss die Prüfung der dritten Linie die Effektivität der Kontrollen der ersten und zweiten Linie eigenständig validieren, um dem Vorstand eine unvoreingenommene Sicherheit zu bieten.
Falsch: Der Ansatz, Berichte der zweiten Linie als primäre Nachweise zu akzeptieren, ist unzureichend, da die Revision eine eigenständige Verifizierungspflicht hat und die bloße Durchführung von Interviews keine ausreichende Prüfungstiefe bietet. Die Auslagerung an einen Dienstleister, der an den MLRO berichtet, verletzt grundlegende Governance-Prinzipien, da die Berichterstattung der dritten Linie immer direkt an den Prüfungsausschuss oder den Vorstand erfolgen muss, um Interessenkonflikte zu vermeiden. Eine Beschränkung der Prüfung auf die Governance-Struktur vernachlässigt die operative Wirksamkeit des Systems, was ein kritisches Risiko darstellt, falls die technische Kalibrierung des Transaktionsüberwachungssystems fehlerhaft ist.
Kernaussage: Die interne Revision muss als dritte Verteidigungslinie ihre Unabhängigkeit wahren, indem sie Kontrollen der zweiten Linie eigenständig validiert, anstatt deren Ergebnisse ungeprüft zu übernehmen.
Incorrect
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die interne Revision, hat die Aufgabe, eine unabhängige und objektive Beurteilung der Angemessenheit und Wirksamkeit des gesamten AML-Kontrollrahmens abzugeben. Obwohl die zweite Verteidigungslinie (Compliance) Qualitätssicherungsmaßnahmen (QA) und Tests durchführt, dienen diese der operativen Überwachung. Die Revision darf sich nicht ausschließlich auf die Arbeit der zu prüfenden Einheiten verlassen, da dies die Unabhängigkeit untergraben würde. Gemäß internationalen Standards wie denen der FATF und den Wolfsberg-Prinzipien muss die Prüfung der dritten Linie die Effektivität der Kontrollen der ersten und zweiten Linie eigenständig validieren, um dem Vorstand eine unvoreingenommene Sicherheit zu bieten.
Falsch: Der Ansatz, Berichte der zweiten Linie als primäre Nachweise zu akzeptieren, ist unzureichend, da die Revision eine eigenständige Verifizierungspflicht hat und die bloße Durchführung von Interviews keine ausreichende Prüfungstiefe bietet. Die Auslagerung an einen Dienstleister, der an den MLRO berichtet, verletzt grundlegende Governance-Prinzipien, da die Berichterstattung der dritten Linie immer direkt an den Prüfungsausschuss oder den Vorstand erfolgen muss, um Interessenkonflikte zu vermeiden. Eine Beschränkung der Prüfung auf die Governance-Struktur vernachlässigt die operative Wirksamkeit des Systems, was ein kritisches Risiko darstellt, falls die technische Kalibrierung des Transaktionsüberwachungssystems fehlerhaft ist.
Kernaussage: Die interne Revision muss als dritte Verteidigungslinie ihre Unabhängigkeit wahren, indem sie Kontrollen der zweiten Linie eigenständig validiert, anstatt deren Ergebnisse ungeprüft zu übernehmen.
-
Question 14 of 30
14. Question
Ein global agierendes Finanzinstitut implementiert derzeit ein neues KI-gestütztes Transaktionsüberwachungssystem (TMS), um die Effizienz der Geldwäscheprävention zu steigern. Der Geldwäschebeauftragte (MLRO) bittet die interne Revision in einer formellen Mitteilung, aktiv an der Gestaltung der Kontrolllogik und der Festlegung der Schwellenwerte teilzunehmen, um sicherzustellen, dass das System von Anfang an prüfungssicher ist. Das Projekt hat einen engen Zeitplan von sechs Monaten bis zum Go-Live. Wie sollte die interne Revision reagieren, um ihre Rolle als dritte Verteidigungslinie und ihre Unabhängigkeit gemäß internationalen Standards zu wahren?
Correct
Richtig: Die interne Revision fungiert als dritte Verteidigungslinie und muss ihre Unabhängigkeit und Objektivität wahren. Während sie beratend tätig sein kann, darf sie keine Managementverantwortung übernehmen oder Entscheidungen über das Design von Kontrollen treffen, die sie später prüfen muss. Eine beobachtende Rolle ermöglicht es der Revision, frühzeitig auf potenzielle Schwachstellen hinzuweisen, ohne einen Selbstprüfungskonflikt zu erzeugen. Die Klarstellung, dass eine spätere unabhängige Prüfung dennoch stattfindet, unterstreicht die Trennung zwischen Beratung und formeller Prüfung gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien.
Falsch: Die offizielle Genehmigung von Schwellenwerten oder der Kontrolllogik würde die Revision direkt in den Entscheidungsprozess einbinden und somit ihre Fähigkeit einschränken, diese Kontrollen später objektiv zu beurteilen. Eine strikte Ablehnung jeglicher Einbindung bis weit nach der Implementierung ist zwar theoretisch möglich, vernachlässigt jedoch die wertvolle beratende Funktion der Revision bei der Risikoprävention. Die Übernahme der Qualitätssicherung (Quality Assurance) ist eine operative Kontrolltätigkeit, die typischerweise der ersten oder zweiten Verteidigungslinie zugeordnet ist; die Revision darf diese Prozesse lediglich prüfen, aber nicht selbst ausführen.
Kernaussage: Die interne Revision wahrt ihre Unabhängigkeit in der dritten Verteidigungslinie, indem sie beratend unterstützt, ohne operative Entscheidungsbefugnis über das Design von AML-Kontrollen auszuüben.
Incorrect
Richtig: Die interne Revision fungiert als dritte Verteidigungslinie und muss ihre Unabhängigkeit und Objektivität wahren. Während sie beratend tätig sein kann, darf sie keine Managementverantwortung übernehmen oder Entscheidungen über das Design von Kontrollen treffen, die sie später prüfen muss. Eine beobachtende Rolle ermöglicht es der Revision, frühzeitig auf potenzielle Schwachstellen hinzuweisen, ohne einen Selbstprüfungskonflikt zu erzeugen. Die Klarstellung, dass eine spätere unabhängige Prüfung dennoch stattfindet, unterstreicht die Trennung zwischen Beratung und formeller Prüfung gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien.
Falsch: Die offizielle Genehmigung von Schwellenwerten oder der Kontrolllogik würde die Revision direkt in den Entscheidungsprozess einbinden und somit ihre Fähigkeit einschränken, diese Kontrollen später objektiv zu beurteilen. Eine strikte Ablehnung jeglicher Einbindung bis weit nach der Implementierung ist zwar theoretisch möglich, vernachlässigt jedoch die wertvolle beratende Funktion der Revision bei der Risikoprävention. Die Übernahme der Qualitätssicherung (Quality Assurance) ist eine operative Kontrolltätigkeit, die typischerweise der ersten oder zweiten Verteidigungslinie zugeordnet ist; die Revision darf diese Prozesse lediglich prüfen, aber nicht selbst ausführen.
Kernaussage: Die interne Revision wahrt ihre Unabhängigkeit in der dritten Verteidigungslinie, indem sie beratend unterstützt, ohne operative Entscheidungsbefugnis über das Design von AML-Kontrollen auszuüben.
-
Question 15 of 30
15. Question
Ein mittelgroßes Finanzinstitut bereitet sich auf seine jährliche AML-Prüfung vor. Während der Planungsphase stellt der Leiter der Internen Revision fest, dass der Vorstand vorgeschlagen hat, dass die Interne Revision künftig die abschließende Genehmigung für die Onboarding-Unterlagen von Hochrisikokunden übernimmt. Dies soll laut Vorstand die Unabhängigkeit des Prozesses stärken, da die Compliance-Abteilung derzeit mit erheblichen Ressourcenengpässen kämpft und eine zusätzliche Kontrollinstanz benötigt wird. Welches Vorgehen ist für den Leiter der Internen Revision am angemessensten, um die regulatorischen Standards und die Integrität des Drei-Linien-Modells zu wahren?
Correct
Richtig: Die dritte Verteidigungslinie, die Interne Revision, muss strikt unabhängig von den operativen Prozessen der ersten und zweiten Verteidigungslinie bleiben. Wenn die Revision operative Entscheidungen wie die Genehmigung von Kunden trifft, entsteht ein schwerwiegender Interessenkonflikt (Selbstprüfungsverbot). Die Revision könnte die Wirksamkeit der Kontrollen nicht mehr objektiv beurteilen, da sie selbst Teil des Kontrollprozesses geworden ist. Gemäß internationalen Standards wie den Wolfsberg-Prinzipien und den FATF-Empfehlungen ist die Trennung von Ausführung und unabhängiger Prüfung essenziell für ein wirksames AML-Governance-Modell.
Falsch: Die vorübergehende Übernahme operativer Aufgaben durch die Revision ist unzulässig, da auch eine zeitlich begrenzte Involvierung die Objektivität für den gesamten Prüfungszeitraum untergräbt. Eine interne Trennung innerhalb der Revisionsabteilung (Segregation) reicht nicht aus, um das strukturelle Risiko der Selbstprüfung zu eliminieren, da die Abteilung als Ganzes ihre Unabhängigkeit verliert. Die Auslagerung operativer Genehmigungsprozesse an externe Wirtschaftsprüfer ist ebenfalls nicht sachgerecht, da externe Prüfer eine Bestätigungsfunktion ausüben und nicht in das Tagesgeschäft der Institution eingreifen sollten, um ihre eigene Unabhängigkeit zu wahren.
Kernaussage: Die Interne Revision darf niemals operative Kontrollaufgaben der ersten oder zweiten Verteidigungslinie übernehmen, da dies die für eine objektive AML-Prüfung erforderliche Unabhängigkeit zerstört.
Incorrect
Richtig: Die dritte Verteidigungslinie, die Interne Revision, muss strikt unabhängig von den operativen Prozessen der ersten und zweiten Verteidigungslinie bleiben. Wenn die Revision operative Entscheidungen wie die Genehmigung von Kunden trifft, entsteht ein schwerwiegender Interessenkonflikt (Selbstprüfungsverbot). Die Revision könnte die Wirksamkeit der Kontrollen nicht mehr objektiv beurteilen, da sie selbst Teil des Kontrollprozesses geworden ist. Gemäß internationalen Standards wie den Wolfsberg-Prinzipien und den FATF-Empfehlungen ist die Trennung von Ausführung und unabhängiger Prüfung essenziell für ein wirksames AML-Governance-Modell.
Falsch: Die vorübergehende Übernahme operativer Aufgaben durch die Revision ist unzulässig, da auch eine zeitlich begrenzte Involvierung die Objektivität für den gesamten Prüfungszeitraum untergräbt. Eine interne Trennung innerhalb der Revisionsabteilung (Segregation) reicht nicht aus, um das strukturelle Risiko der Selbstprüfung zu eliminieren, da die Abteilung als Ganzes ihre Unabhängigkeit verliert. Die Auslagerung operativer Genehmigungsprozesse an externe Wirtschaftsprüfer ist ebenfalls nicht sachgerecht, da externe Prüfer eine Bestätigungsfunktion ausüben und nicht in das Tagesgeschäft der Institution eingreifen sollten, um ihre eigene Unabhängigkeit zu wahren.
Kernaussage: Die Interne Revision darf niemals operative Kontrollaufgaben der ersten oder zweiten Verteidigungslinie übernehmen, da dies die für eine objektive AML-Prüfung erforderliche Unabhängigkeit zerstört.
-
Question 16 of 30
16. Question
Ein global agierendes Finanzinstitut bereitet sich auf die jährliche unabhängige AML-Prüfung vor. Während der Planungsphase schlägt der Chief Compliance Officer (CCO) vor, dass die interne Revision die detaillierten Ergebnisse der monatlichen Qualitätssicherungstests der Compliance-Abteilung als primäre Grundlage für die Wirksamkeitsprüfung heranzieht. Der CCO argumentiert, dass dies die Effizienz steigere und Doppelarbeit vermeide. Wie sollte die interne Revision reagieren, um ihre Unabhängigkeit und die Integrität des Prüfprozesses gemäß den internationalen Standards zu wahren?
Correct
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die interne Revision, ist für die unabhängige und objektive Bewertung des gesamten AML-Rahmenwerks verantwortlich. Gemäß internationalen Standards wie den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die Prüfung unabhängig von den Funktionen erfolgen, die sie bewertet. Während die Ergebnisse der Qualitätssicherung (QA) aus der zweiten Verteidigungslinie wertvolle Hinweise für die risikobasierte Prüfungsplanung und das Scoping liefern können, darf die Revision diese nicht als Ersatz für eigene, unabhängige Stichproben und Tests der Kontrollwirksamkeit verwenden. Nur durch eigenständige Validierung kann die Revision dem Vorstand und den Regulierungsbehörden die notwendige Sicherheit über die Angemessenheit des Programms geben.
Falsch: Der Ansatz, die Prüfungsergebnisse der zweiten Linie vollständig zu übernehmen, würde die Unabhängigkeit der dritten Linie untergraben, da die Revision lediglich die Arbeit einer anderen Kontrollinstanz replizieren würde, anstatt eine eigenständige Bewertung vorzunehmen. Die Delegation von Testaktivitäten an die Compliance-Abteilung widerspricht dem Trennungsprinzip der Verteidigungslinien, da die zu prüfende Einheit nicht ihre eigenen Kontrollen für die Revisionsberichterstattung validieren darf. Eine sofortige Meldung an die Aufsichtsbehörden ist in diesem Stadium unangemessen, da fachliche Diskussionen über die Methodik zum Planungsprozess gehören; die Revision muss stattdessen ihre methodische Unabhängigkeit intern durchsetzen und den Prüfungsplan entsprechend festlegen.
Kernaussage: Die interne Revision muss ihre Unabhängigkeit wahren, indem sie eigene Tests durchführt und die Ergebnisse der zweiten Verteidigungslinie lediglich als unterstützende Information für die risikobasierte Planung nutzt.
Incorrect
Richtig: Die dritte Verteidigungslinie, repräsentiert durch die interne Revision, ist für die unabhängige und objektive Bewertung des gesamten AML-Rahmenwerks verantwortlich. Gemäß internationalen Standards wie den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die Prüfung unabhängig von den Funktionen erfolgen, die sie bewertet. Während die Ergebnisse der Qualitätssicherung (QA) aus der zweiten Verteidigungslinie wertvolle Hinweise für die risikobasierte Prüfungsplanung und das Scoping liefern können, darf die Revision diese nicht als Ersatz für eigene, unabhängige Stichproben und Tests der Kontrollwirksamkeit verwenden. Nur durch eigenständige Validierung kann die Revision dem Vorstand und den Regulierungsbehörden die notwendige Sicherheit über die Angemessenheit des Programms geben.
Falsch: Der Ansatz, die Prüfungsergebnisse der zweiten Linie vollständig zu übernehmen, würde die Unabhängigkeit der dritten Linie untergraben, da die Revision lediglich die Arbeit einer anderen Kontrollinstanz replizieren würde, anstatt eine eigenständige Bewertung vorzunehmen. Die Delegation von Testaktivitäten an die Compliance-Abteilung widerspricht dem Trennungsprinzip der Verteidigungslinien, da die zu prüfende Einheit nicht ihre eigenen Kontrollen für die Revisionsberichterstattung validieren darf. Eine sofortige Meldung an die Aufsichtsbehörden ist in diesem Stadium unangemessen, da fachliche Diskussionen über die Methodik zum Planungsprozess gehören; die Revision muss stattdessen ihre methodische Unabhängigkeit intern durchsetzen und den Prüfungsplan entsprechend festlegen.
Kernaussage: Die interne Revision muss ihre Unabhängigkeit wahren, indem sie eigene Tests durchführt und die Ergebnisse der zweiten Verteidigungslinie lediglich als unterstützende Information für die risikobasierte Planung nutzt.
-
Question 17 of 30
17. Question
Eine Universalbank plant die Einführung eines neuen KI-gestützten Systems zur Transaktionsüberwachung. Der Geldwäschebeauftragte bittet die Interne Revision, aktiv an der Projektgruppe teilzunehmen, um die Systemparameter mitzugestalten und sicherzustellen, dass die regulatorischen Anforderungen von Anfang an erfüllt werden. Die Bank möchte ihre internen Richtlinien zur Prüfungs-Governance aktualisieren, um die Unabhängigkeit der dritten Verteidigungslinie gemäß internationalen Standards sicherzustellen. Welcher Ansatz für die Einbindung der Internen Revision ist in diesem Szenario am angemessensten?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) muss ihre Unabhängigkeit und Objektivität wahren, um die Wirksamkeit der ersten und zweiten Verteidigungslinie unvoreingenommen beurteilen zu können. Eine beratende Rolle während der Projektphase ist zulässig und förderlich, sofern die Revision keine Managementverantwortung übernimmt oder operative Entscheidungen trifft. Durch die Bewertung des Kontrolldesigns ohne Übernahme der Umsetzungsverantwortung wird das Risiko einer Selbstprüfung vermieden, was den internationalen Standards des Institute of Internal Auditors (IIA) und den FATF-Leitlinien zur internen Kontrolle entspricht.
Falsch: Die Übernahme des Vorsitzes in einem Lenkungsausschuss oder die aktive Mitgestaltung von Systemparametern würde die Revision in operative Entscheidungsprozesse einbinden, was ihre Unabhängigkeit bei späteren Prüfungen untergräbt. Eine strikte Verweigerung jeglicher Kommunikation bis nach der Implementierung ist nicht zielführend, da die Revision auch eine beratende Funktion hat, um frühzeitig auf strukturelle Kontrollmängel hinzuweisen. Die Durchführung von Qualitätssicherungstests (QA) ist eine spezifische Funktion der zweiten Verteidigungslinie; wenn die Revision diese Aufgaben übernimmt, kommt es zu einer unzulässigen Vermischung der Verantwortlichkeiten zwischen der zweiten und dritten Verteidigungslinie.
Kernaussage: Die Interne Revision darf das Design von AML-Kontrollen beratend begleiten, muss aber operative Entscheidungen vermeiden, um die Unabhängigkeit für spätere objektive Prüfungen zu wahren.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) muss ihre Unabhängigkeit und Objektivität wahren, um die Wirksamkeit der ersten und zweiten Verteidigungslinie unvoreingenommen beurteilen zu können. Eine beratende Rolle während der Projektphase ist zulässig und förderlich, sofern die Revision keine Managementverantwortung übernimmt oder operative Entscheidungen trifft. Durch die Bewertung des Kontrolldesigns ohne Übernahme der Umsetzungsverantwortung wird das Risiko einer Selbstprüfung vermieden, was den internationalen Standards des Institute of Internal Auditors (IIA) und den FATF-Leitlinien zur internen Kontrolle entspricht.
Falsch: Die Übernahme des Vorsitzes in einem Lenkungsausschuss oder die aktive Mitgestaltung von Systemparametern würde die Revision in operative Entscheidungsprozesse einbinden, was ihre Unabhängigkeit bei späteren Prüfungen untergräbt. Eine strikte Verweigerung jeglicher Kommunikation bis nach der Implementierung ist nicht zielführend, da die Revision auch eine beratende Funktion hat, um frühzeitig auf strukturelle Kontrollmängel hinzuweisen. Die Durchführung von Qualitätssicherungstests (QA) ist eine spezifische Funktion der zweiten Verteidigungslinie; wenn die Revision diese Aufgaben übernimmt, kommt es zu einer unzulässigen Vermischung der Verantwortlichkeiten zwischen der zweiten und dritten Verteidigungslinie.
Kernaussage: Die Interne Revision darf das Design von AML-Kontrollen beratend begleiten, muss aber operative Entscheidungen vermeiden, um die Unabhängigkeit für spätere objektive Prüfungen zu wahren.
-
Question 18 of 30
18. Question
Eine mittelgroße Universalbank implementiert derzeit ein neues, KI-gestütztes Transaktionsüberwachungssystem, um den Anforderungen der aktuellen EU-Geldwäsche-Richtlinien gerecht zu werden. Der Geldwäschebeauftragte bittet die interne Revision, aktiv an der Gestaltung der Validierungstests und der Festlegung der Risikoschwellenwerte teilzunehmen, um sicherzustellen, dass das System bei der nächsten jährlichen Prüfung keine Mängel aufweist. Das Projekt steht unter hohem Zeitdruck durch die Aufsichtsbehörde. Wie sollte die interne Revision auf diese Anfrage reagieren, um die beruflichen Standards der dritten Verteidigungslinie zu erfüllen?
Correct
Richtig: Die Unabhängigkeit der dritten Verteidigungslinie ist ein Grundpfeiler der Corporate Governance. Wenn die interne Revision aktiv an der Gestaltung von Kontrollen, der Festlegung von Schwellenwerten oder der Programmierung von Überwachungslogiken mitwirkt, entsteht ein Selbstprüfungsverbot. Sie kann später nicht objektiv beurteilen, was sie selbst mitentworfen hat. Ein Pre-Implementation Review ist ein anerkanntes Instrument, bei dem die Revision das Projektvorgehen und die Kontrollkonzepte bewertet, ohne jedoch operative Entscheidungen zu treffen oder die Verantwortung für das Design zu übernehmen. Dies wahrt die notwendige Distanz für zukünftige Prüfungen.
Falsch: Die aktive Teilnahme an der Gestaltung der Kontrollen würde die Objektivität der Revision zerstören, da sie in einen Interessenkonflikt gerät, wenn sie ihre eigene Arbeit prüfen muss. Die Übernahme der Qualitätssicherung (Quality Assurance) ist ebenfalls nicht zulässig, da dies eine operative Kontrollfunktion der ersten oder zweiten Verteidigungslinie darstellt und nicht zur unabhängigen Prüfungsfunktion der dritten Linie gehört. Die Delegation der Systemkonfiguration an externe Wirtschaftsprüfer löst das Problem der internen Governance nicht und widerspricht zudem den Unabhängigkeitsregeln für externe Prüfer, die ebenfalls keine Managementaufgaben übernehmen dürfen.
Kernaussage: Die interne Revision muss ihre Unabhängigkeit wahren, indem sie beratend prüft, ohne jemals operative Verantwortung für das Design oder die Implementierung von AML-Kontrollen zu übernehmen.
Incorrect
Richtig: Die Unabhängigkeit der dritten Verteidigungslinie ist ein Grundpfeiler der Corporate Governance. Wenn die interne Revision aktiv an der Gestaltung von Kontrollen, der Festlegung von Schwellenwerten oder der Programmierung von Überwachungslogiken mitwirkt, entsteht ein Selbstprüfungsverbot. Sie kann später nicht objektiv beurteilen, was sie selbst mitentworfen hat. Ein Pre-Implementation Review ist ein anerkanntes Instrument, bei dem die Revision das Projektvorgehen und die Kontrollkonzepte bewertet, ohne jedoch operative Entscheidungen zu treffen oder die Verantwortung für das Design zu übernehmen. Dies wahrt die notwendige Distanz für zukünftige Prüfungen.
Falsch: Die aktive Teilnahme an der Gestaltung der Kontrollen würde die Objektivität der Revision zerstören, da sie in einen Interessenkonflikt gerät, wenn sie ihre eigene Arbeit prüfen muss. Die Übernahme der Qualitätssicherung (Quality Assurance) ist ebenfalls nicht zulässig, da dies eine operative Kontrollfunktion der ersten oder zweiten Verteidigungslinie darstellt und nicht zur unabhängigen Prüfungsfunktion der dritten Linie gehört. Die Delegation der Systemkonfiguration an externe Wirtschaftsprüfer löst das Problem der internen Governance nicht und widerspricht zudem den Unabhängigkeitsregeln für externe Prüfer, die ebenfalls keine Managementaufgaben übernehmen dürfen.
Kernaussage: Die interne Revision muss ihre Unabhängigkeit wahren, indem sie beratend prüft, ohne jemals operative Verantwortung für das Design oder die Implementierung von AML-Kontrollen zu übernehmen.
-
Question 19 of 30
19. Question
Ein internationales Finanzinstitut hat kürzlich sein Drei-Linien-Modell verstärkt, indem die Compliance-Abteilung (zweite Verteidigungslinie) ein spezialisiertes Team für Qualitätssicherung (QA) implementiert hat. Dieses Team führt detaillierte monatliche Kontrollen der KYC-Akten durch, die vom Onboarding-Team (erste Verteidigungslinie) erstellt wurden. Während der jährlichen AML-Prüfung muss das interne Revisionsteam (dritte Verteidigungslinie) den Umfang seiner Tests festlegen. Der Revisionsleiter wird mit der Frage konfrontiert, wie die Arbeit des neuen QA-Teams in den Prüfungsplan integriert werden soll, ohne die regulatorischen Anforderungen an die Unabhängigkeit zu verletzen. Welcher der folgenden Ansätze ist für die dritte Verteidigungslinie am angemessensten?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) hat die Aufgabe, eine unabhängige und objektive Prüfung des gesamten Risikomanagement-Rahmenwerks durchzuführen. Dies beinhaltet die Bewertung, ob die erste Linie (operative Einheiten) ihre Kontrollen ordnungsgemäß ausführt und ob die zweite Linie (Compliance/Qualitätssicherung) ihre Überwachungsfunktion effektiv wahrnimmt. Ein robuster Prüfungsansatz validiert beide Ebenen, um sicherzustellen, dass keine systemischen Lücken zwischen der Ausführung und der Überwachung bestehen. Gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die Prüfung unabhängig von den zu prüfenden Funktionen sein, was bedeutet, dass sie eigene Stichproben ziehen und die Methodik der zweiten Linie kritisch hinterfragen muss, anstatt deren Ergebnisse ungeprüft zu übernehmen.
Falsch: Ein Ansatz, der sich primär auf die Berichte der zweiten Linie verlässt, gefährdet die Unabhängigkeit der Prüfung, da die Revision keine eigenständige Validierung der Kontrollumgebung vornimmt. Die dauerhafte Einbindung eines Prüfers in operative Ausschüsse der zweiten Linie schafft einen Interessenkonflikt (Selbstprüfungsverbot), da der Prüfer später die Prozesse bewerten müsste, die er selbst mitgestaltet hat. Die vollständige Isolierung der Prüfung von den Aktivitäten der zweiten Linie ist ebenfalls nicht zielführend, da ein risikobasierter Prüfungsansatz erfordert, dass die Revision die Effektivität der Überwachungsfunktionen (wie QA) als Teil des gesamten Governance-Modells versteht und bewertet, anstatt sie zu ignorieren.
Kernaussage: Die Interne Revision muss sowohl die operativen Kontrollen der ersten Linie als auch die Überwachungsmechanismen der zweiten Linie unabhängig validieren, um die Integrität des Drei-Linien-Modells zu wahren.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) hat die Aufgabe, eine unabhängige und objektive Prüfung des gesamten Risikomanagement-Rahmenwerks durchzuführen. Dies beinhaltet die Bewertung, ob die erste Linie (operative Einheiten) ihre Kontrollen ordnungsgemäß ausführt und ob die zweite Linie (Compliance/Qualitätssicherung) ihre Überwachungsfunktion effektiv wahrnimmt. Ein robuster Prüfungsansatz validiert beide Ebenen, um sicherzustellen, dass keine systemischen Lücken zwischen der Ausführung und der Überwachung bestehen. Gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die Prüfung unabhängig von den zu prüfenden Funktionen sein, was bedeutet, dass sie eigene Stichproben ziehen und die Methodik der zweiten Linie kritisch hinterfragen muss, anstatt deren Ergebnisse ungeprüft zu übernehmen.
Falsch: Ein Ansatz, der sich primär auf die Berichte der zweiten Linie verlässt, gefährdet die Unabhängigkeit der Prüfung, da die Revision keine eigenständige Validierung der Kontrollumgebung vornimmt. Die dauerhafte Einbindung eines Prüfers in operative Ausschüsse der zweiten Linie schafft einen Interessenkonflikt (Selbstprüfungsverbot), da der Prüfer später die Prozesse bewerten müsste, die er selbst mitgestaltet hat. Die vollständige Isolierung der Prüfung von den Aktivitäten der zweiten Linie ist ebenfalls nicht zielführend, da ein risikobasierter Prüfungsansatz erfordert, dass die Revision die Effektivität der Überwachungsfunktionen (wie QA) als Teil des gesamten Governance-Modells versteht und bewertet, anstatt sie zu ignorieren.
Kernaussage: Die Interne Revision muss sowohl die operativen Kontrollen der ersten Linie als auch die Überwachungsmechanismen der zweiten Linie unabhängig validieren, um die Integrität des Drei-Linien-Modells zu wahren.
-
Question 20 of 30
20. Question
Eine international tätige Bank bereitet sich auf eine umfassende Prüfung durch die nationale Aufsichtsbehörde vor. Im vergangenen Geschäftsjahr wechselte der bisherige Geldwäschebeauftragte (AML Officer), der maßgeblich an der Implementierung des aktuellen Transaktionsüberwachungssystems beteiligt war, in die Abteilung für Interne Revision als Teamleiter für den Bereich Financial Crime Audit. In seinem neuen Prüfungsplan für das kommende Quartal hat er eine detaillierte Wirksamkeitsprüfung eben jenes AML-Programms vorgesehen, das er zuvor selbst geleitet hat. Welche Maßnahme ist aus Sicht der Regulierungsbehörden und internationaler Standards am ehesten erforderlich, um die Unabhängigkeit der dritten Verteidigungslinie zu gewährleisten?
Correct
Richtig: Die Unabhängigkeit der internen Revision ist ein fundamentaler Grundsatz der Corporate Governance und der dritten Verteidigungslinie. Wenn ein Mitarbeiter eine Funktion prüft, für die er in der jüngeren Vergangenheit operativ verantwortlich war, entsteht ein klassisches Selbstprüfungsrisiko. Gemäß internationalen Standards wie denen des Institute of Internal Auditors (IIA) und den Erwartungen von Regulierungsbehörden muss eine angemessene Karenzzeit (oft ein Jahr oder länger) eingehalten werden, bevor eine solche Person Prüfungsaufgaben in diesem Bereich übernimmt. Dies stellt sicher, dass die Objektivität gewahrt bleibt und keine Befangenheit bei der Bewertung von Mängeln besteht, die möglicherweise auf eigene frühere Entscheidungen zurückzuführen sind.
Falsch: Die Einbeziehung externer Berater zur Validierung kann zwar zusätzliche Sicherheit bieten, beseitigt jedoch nicht den grundlegenden Interessenkonflikt in der internen Leitung der Prüfung. Die Argumentation, dass Fachwissen eine Selbstprüfung rechtfertigt, widerspricht den Prinzipien der Gewaltenteilung zwischen der zweiten und dritten Verteidigungslinie; Fachkompetenz darf niemals auf Kosten der Unabhängigkeit gehen. Ein Vorstandsbeschluss zur Umgehung von Unabhängigkeitsstandards ist regulatorisch nicht zulässig, da die Unabhängigkeit der Revision eine zwingende Anforderung ist, die nicht durch interne Managemententscheidungen außer Kraft gesetzt werden kann.
Kernaussage: Um die Integrität der dritten Verteidigungslinie zu wahren, müssen Personen von Prüfungen ausgeschlossen werden, wenn sie innerhalb eines aktuellen Zeitraums operative Verantwortung für den zu prüfenden Bereich trugen.
Incorrect
Richtig: Die Unabhängigkeit der internen Revision ist ein fundamentaler Grundsatz der Corporate Governance und der dritten Verteidigungslinie. Wenn ein Mitarbeiter eine Funktion prüft, für die er in der jüngeren Vergangenheit operativ verantwortlich war, entsteht ein klassisches Selbstprüfungsrisiko. Gemäß internationalen Standards wie denen des Institute of Internal Auditors (IIA) und den Erwartungen von Regulierungsbehörden muss eine angemessene Karenzzeit (oft ein Jahr oder länger) eingehalten werden, bevor eine solche Person Prüfungsaufgaben in diesem Bereich übernimmt. Dies stellt sicher, dass die Objektivität gewahrt bleibt und keine Befangenheit bei der Bewertung von Mängeln besteht, die möglicherweise auf eigene frühere Entscheidungen zurückzuführen sind.
Falsch: Die Einbeziehung externer Berater zur Validierung kann zwar zusätzliche Sicherheit bieten, beseitigt jedoch nicht den grundlegenden Interessenkonflikt in der internen Leitung der Prüfung. Die Argumentation, dass Fachwissen eine Selbstprüfung rechtfertigt, widerspricht den Prinzipien der Gewaltenteilung zwischen der zweiten und dritten Verteidigungslinie; Fachkompetenz darf niemals auf Kosten der Unabhängigkeit gehen. Ein Vorstandsbeschluss zur Umgehung von Unabhängigkeitsstandards ist regulatorisch nicht zulässig, da die Unabhängigkeit der Revision eine zwingende Anforderung ist, die nicht durch interne Managemententscheidungen außer Kraft gesetzt werden kann.
Kernaussage: Um die Integrität der dritten Verteidigungslinie zu wahren, müssen Personen von Prüfungen ausgeschlossen werden, wenn sie innerhalb eines aktuellen Zeitraums operative Verantwortung für den zu prüfenden Bereich trugen.
-
Question 21 of 30
21. Question
Ein internationales Finanzinstitut hat vor kurzem sein System zur Transaktionsüberwachung (TMS) aktualisiert, um neue regulatorische Anforderungen an die Erkennung von Kryptowährungs-Typologien zu erfüllen. Während der jährlichen AML-Prüfung schlägt der Compliance-Beauftragte vor, dass die interne Revision eine Liste von 100 ‘best-practice’ bearbeiteten Alarmen verwendet, um die Effizienz der neuen Kontrollen zu testen. Das Revisionsteam stellt jedoch fest, dass es keine formale Abstimmung zwischen den IT-Spezialisten und der Compliance-Abteilung bei der Schwellenwertfestlegung gab. Welche Maßnahme sollte die interne Revision ergreifen, um eine effektive Prüfung der dritten Verteidigungslinie gemäß den internationalen Standards zu gewährleisten?
Correct
Richtig: Die Unabhängigkeit der dritten Verteidigungslinie (Internal Audit) ist ein Kernprinzip der AML-Governance. Um eine objektive Beurteilung abzugeben, muss die interne Revision ihre Stichproben autonom und auf Basis einer eigenen Risikobewertung ziehen. Die Einbeziehung von Rohdaten sowie die Untersuchung von sowohl eskalierten als auch abgeschlossenen Alarmen (einschließlich potenzieller False Positives) ist entscheidend, um die Wirksamkeit der Systemparameter und die Qualität der Entscheidungsfindung der zweiten Verteidigungslinie ohne Voreingenommenheit zu validieren.
Falsch: Die Annahme einer vom Fachbereich (2nd Line) vorselektierten Stichprobe stellt eine erhebliche Gefährdung der Prüfungsunabhängigkeit dar, da das Risiko besteht, dass nur unproblematische Fälle präsentiert werden. Eine reine Qualitätssicherung (Quality Assurance) ist zudem eine Kontrollfunktion der zweiten Linie und unterscheidet sich von der unabhängigen Prüfung der dritten Linie, die das gesamte Kontrollgerüst bewerten muss. Das Delegieren der Verantwortung an externe Prüfer oder die Einschränkung des Prüfungsumfangs durch das Management widerspricht den internationalen Standards (wie den FATF-Empfehlungen und Wolfsberg-Prinzipien), die eine eigenständige und umfassende interne Revisionsfunktion fordern.
Kernaussage: Die dritte Verteidigungslinie muss ihre Unabhängigkeit durch eine eigenständige, risikobasierte Stichprobenauswahl wahren und darf sich nicht auf die Vorauswahl der zu prüfenden Geschäftsbereiche verlassen.
Incorrect
Richtig: Die Unabhängigkeit der dritten Verteidigungslinie (Internal Audit) ist ein Kernprinzip der AML-Governance. Um eine objektive Beurteilung abzugeben, muss die interne Revision ihre Stichproben autonom und auf Basis einer eigenen Risikobewertung ziehen. Die Einbeziehung von Rohdaten sowie die Untersuchung von sowohl eskalierten als auch abgeschlossenen Alarmen (einschließlich potenzieller False Positives) ist entscheidend, um die Wirksamkeit der Systemparameter und die Qualität der Entscheidungsfindung der zweiten Verteidigungslinie ohne Voreingenommenheit zu validieren.
Falsch: Die Annahme einer vom Fachbereich (2nd Line) vorselektierten Stichprobe stellt eine erhebliche Gefährdung der Prüfungsunabhängigkeit dar, da das Risiko besteht, dass nur unproblematische Fälle präsentiert werden. Eine reine Qualitätssicherung (Quality Assurance) ist zudem eine Kontrollfunktion der zweiten Linie und unterscheidet sich von der unabhängigen Prüfung der dritten Linie, die das gesamte Kontrollgerüst bewerten muss. Das Delegieren der Verantwortung an externe Prüfer oder die Einschränkung des Prüfungsumfangs durch das Management widerspricht den internationalen Standards (wie den FATF-Empfehlungen und Wolfsberg-Prinzipien), die eine eigenständige und umfassende interne Revisionsfunktion fordern.
Kernaussage: Die dritte Verteidigungslinie muss ihre Unabhängigkeit durch eine eigenständige, risikobasierte Stichprobenauswahl wahren und darf sich nicht auf die Vorauswahl der zu prüfenden Geschäftsbereiche verlassen.
-
Question 22 of 30
22. Question
Ein leitender interner Prüfer einer Universalbank bereitet die jährliche AML-Prüfung vor. Die Compliance-Abteilung hat vor kurzem eine umfassende unternehmensweite Risikobewertung abgeschlossen, die signifikante Änderungen in der Risikolandschaft durch die Einführung eines neuen KI-basierten Transaktionsüberwachungssystems vor sechs Monaten aufzeigt. Der Prüfer muss nun den Umfang der Feldarbeit festlegen. Wie sollte der Prüfer bei der Planung vorgehen, um die Anforderungen an die Unabhängigkeit der dritten Verteidigungslinie zu erfüllen und gleichzeitig einen risikobasierten Ansatz zu verfolgen?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) muss ihre Unabhängigkeit wahren, indem sie die von der zweiten Verteidigungslinie (Compliance) bereitgestellten Risikobewertungen kritisch evaluiert, anstatt sie blind zu übernehmen. Gemäß den internationalen Standards für die interne Revision und den FATF-Empfehlungen dient die Risikobewertung der zweiten Linie als wesentliche Informationsquelle für die Prüfungsplanung. Der Prüfer nutzt diese Daten, um die Prüfungsressourcen auf die Bereiche mit dem höchsten Restrisiko zu konzentrieren, muss jedoch durch eigene Stichproben und Tests die tatsächliche operative Wirksamkeit der Kontrollen unabhängig bestätigen.
Falsch: Ein Ansatz, der sich ausschließlich auf die Ergebnisse der zweiten Linie verlässt, vernachlässigt die Pflicht der dritten Linie zur Erbringung einer unabhängigen Prüfungssicherheit und führt zu einer unzureichenden Validierung der Kontrollumgebung. Das vollständige Ignorieren der vorhandenen Risikobewertungen hingegen widerspricht dem risikobasierten Ansatz, da die Prüfung dadurch ineffizient wird und potenziell kritische Schwachstellen übersieht, die bereits von der Compliance identifiziert wurden. Eine reine Validierung der Methodik ohne eigenständige materielle Prüfungen (Substantive Testing) erfüllt nicht die Anforderungen an eine umfassende AML-Prüfung, da die operative Umsetzung der Prozesse im Tagesgeschäft unberücksichtigt bleibt.
Kernaussage: Die interne Revision muss die Risikobewertungen der zweiten Linie als Grundlage für eine risikoorientierte Prüfungsplanung nutzen, dabei jedoch durch eigenständige Tests die Unabhängigkeit und Objektivität der Prüfung gewährleisten.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) muss ihre Unabhängigkeit wahren, indem sie die von der zweiten Verteidigungslinie (Compliance) bereitgestellten Risikobewertungen kritisch evaluiert, anstatt sie blind zu übernehmen. Gemäß den internationalen Standards für die interne Revision und den FATF-Empfehlungen dient die Risikobewertung der zweiten Linie als wesentliche Informationsquelle für die Prüfungsplanung. Der Prüfer nutzt diese Daten, um die Prüfungsressourcen auf die Bereiche mit dem höchsten Restrisiko zu konzentrieren, muss jedoch durch eigene Stichproben und Tests die tatsächliche operative Wirksamkeit der Kontrollen unabhängig bestätigen.
Falsch: Ein Ansatz, der sich ausschließlich auf die Ergebnisse der zweiten Linie verlässt, vernachlässigt die Pflicht der dritten Linie zur Erbringung einer unabhängigen Prüfungssicherheit und führt zu einer unzureichenden Validierung der Kontrollumgebung. Das vollständige Ignorieren der vorhandenen Risikobewertungen hingegen widerspricht dem risikobasierten Ansatz, da die Prüfung dadurch ineffizient wird und potenziell kritische Schwachstellen übersieht, die bereits von der Compliance identifiziert wurden. Eine reine Validierung der Methodik ohne eigenständige materielle Prüfungen (Substantive Testing) erfüllt nicht die Anforderungen an eine umfassende AML-Prüfung, da die operative Umsetzung der Prozesse im Tagesgeschäft unberücksichtigt bleibt.
Kernaussage: Die interne Revision muss die Risikobewertungen der zweiten Linie als Grundlage für eine risikoorientierte Prüfungsplanung nutzen, dabei jedoch durch eigenständige Tests die Unabhängigkeit und Objektivität der Prüfung gewährleisten.
-
Question 23 of 30
23. Question
Ein mittelgroßes Finanzinstitut hat vor sechs Monaten ein neues System zur Transaktionsüberwachung (TMS) implementiert. Die Compliance-Abteilung, die als zweite Verteidigungslinie fungiert, hat kürzlich eine umfassende Qualitätssicherung der Systemparametrisierung durchgeführt und einen Bericht vorgelegt, der die Wirksamkeit der Szenarien bestätigt. Im Rahmen der jährlichen AML-Prüfung plant die interne Revision nun die Evaluierung dieses Systems. Wie sollte der interne Prüfer vorgehen, um die Anforderungen an die Unabhängigkeit und die Wirksamkeit der dritten Verteidigungslinie gemäß den gängigen AML-Prüfungsstandards zu erfüllen?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) hat die Aufgabe, eine unabhängige und objektive Prüfung der Wirksamkeit der ersten und zweiten Verteidigungslinie durchzuführen. Während die Revision die Ergebnisse der Qualitätssicherung (QA) der zweiten Linie als Informationsquelle nutzen kann, muss sie dennoch eigene, unabhängige Stichproben und Tests durchführen, um die Angemessenheit und Wirksamkeit der Kontrollen zu validieren. Dies entspricht den internationalen Standards für die berufliche Praxis der Internen Revision und den Erwartungen der Regulierungsbehörden an eine funktionsfähige Governance-Struktur.
Falsch: Ein vollständiges Vertrauen auf die Berichte der zweiten Linie ohne eigene Prüfungshandlungen würde die Unabhängigkeit der dritten Linie untergraben und deren Funktion als letzte Kontrollinstanz wirkungslos machen. Die Übernahme operativer Aufgaben, wie die Feinabstimmung von Systemparametern, stellt eine Verletzung des Unabhängigkeitsprinzips dar, da die Revision später ihre eigene Arbeit prüfen müsste (Selbstprüfungsverbot). Die Einbindung von Mitarbeitern der zweiten Linie in die Leitung der Prüfung ihres eigenen Bereichs erzeugt einen direkten Interessenkonflikt und verhindert eine objektive Beurteilung der Kontrollumgebung.
Kernaussage: Die Interne Revision muss die Kontrollen der zweiten Verteidigungslinie zwar evaluieren, darf sich aber nicht ausschließlich auf deren Ergebnisse verlassen, sondern muss durch eigene unabhängige Tests die operative Wirksamkeit bestätigen.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) hat die Aufgabe, eine unabhängige und objektive Prüfung der Wirksamkeit der ersten und zweiten Verteidigungslinie durchzuführen. Während die Revision die Ergebnisse der Qualitätssicherung (QA) der zweiten Linie als Informationsquelle nutzen kann, muss sie dennoch eigene, unabhängige Stichproben und Tests durchführen, um die Angemessenheit und Wirksamkeit der Kontrollen zu validieren. Dies entspricht den internationalen Standards für die berufliche Praxis der Internen Revision und den Erwartungen der Regulierungsbehörden an eine funktionsfähige Governance-Struktur.
Falsch: Ein vollständiges Vertrauen auf die Berichte der zweiten Linie ohne eigene Prüfungshandlungen würde die Unabhängigkeit der dritten Linie untergraben und deren Funktion als letzte Kontrollinstanz wirkungslos machen. Die Übernahme operativer Aufgaben, wie die Feinabstimmung von Systemparametern, stellt eine Verletzung des Unabhängigkeitsprinzips dar, da die Revision später ihre eigene Arbeit prüfen müsste (Selbstprüfungsverbot). Die Einbindung von Mitarbeitern der zweiten Linie in die Leitung der Prüfung ihres eigenen Bereichs erzeugt einen direkten Interessenkonflikt und verhindert eine objektive Beurteilung der Kontrollumgebung.
Kernaussage: Die Interne Revision muss die Kontrollen der zweiten Verteidigungslinie zwar evaluieren, darf sich aber nicht ausschließlich auf deren Ergebnisse verlassen, sondern muss durch eigene unabhängige Tests die operative Wirksamkeit bestätigen.
-
Question 24 of 30
24. Question
Während einer jährlichen risikobasierten AML-Prüfung in einer international tätigen Bank stellt das interne Revisionsteam fest, dass der Geldwäschebeauftragte (MLRO) bereits detaillierte Testskripte und Kontrollziele für die Prüfung der Transaktionsüberwachungssysteme erstellt hat. Der MLRO besteht darauf, dass diese Skripte verwendet werden, um sicherzustellen, dass die komplexen technischen Schwellenwerte des Systems korrekt interpretiert werden. Die Revision ist besorgt, dass dies die Anforderungen an eine unabhängige Prüfung gemäß der dritten Verteidigungslinie gefährden könnte. Wie sollte die interne Revision in dieser Situation vorgehen, um die Integrität der Prüfung zu gewährleisten?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) muss funktional und hierarchisch von den Bereichen getrennt sein, die sie prüft. Gemäß internationalen Standards wie den Wolfsberg-Prinzipien und FATF-Empfehlungen muss die Revision eine unabhängige und objektive Bewertung der Wirksamkeit des AML-Kontrollrahmens vornehmen. Während der Austausch technischer Informationen mit der zweiten Linie (Compliance) für das Verständnis komplexer Systeme notwendig ist, darf die Compliance-Funktion niemals die Testmethodik oder den Umfang der Prüfung diktieren. Die Revision muss ihre eigenen Prüfprogramme entwickeln, um sicherzustellen, dass sie nicht lediglich die Annahmen derjenigen validiert, die sie eigentlich kontrollieren soll.
Falsch: Die Übernahme von Testskripten direkt von der zweiten Linie würde die Prüfung in eine bloße Qualitätssicherung (Quality Assurance) umwandeln, die typischerweise eine Funktion der zweiten Linie ist, und damit die Unabhängigkeit der dritten Linie untergraben. Die Einbeziehung des Vorstands zur Genehmigung technischer Details ist nicht sachgerecht, da der Vorstand zwar die Revisionscharta genehmigt, aber nicht in die operative Gestaltung von Testskripten eingreifen sollte, um die Unabhängigkeit nicht zu politisieren. Ein sofortiger Abbruch der Prüfung und die Forderung nach einer externen Revision ist eine unverhältnismäßige Reaktion, da die interne Revision durch die eigenständige Überarbeitung der Methodik ihre Unabhängigkeit intern wiederherstellen kann, ohne dass zwingend externe Ressourcen erforderlich sind.
Kernaussage: Die Unabhängigkeit der dritten Verteidigungslinie wird dadurch gewahrt, dass die Revision die volle Kontrolle über die Prüfmethodik und den Umfang behält, unabhängig von der fachlichen Unterstützung durch die zweite Linie.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) muss funktional und hierarchisch von den Bereichen getrennt sein, die sie prüft. Gemäß internationalen Standards wie den Wolfsberg-Prinzipien und FATF-Empfehlungen muss die Revision eine unabhängige und objektive Bewertung der Wirksamkeit des AML-Kontrollrahmens vornehmen. Während der Austausch technischer Informationen mit der zweiten Linie (Compliance) für das Verständnis komplexer Systeme notwendig ist, darf die Compliance-Funktion niemals die Testmethodik oder den Umfang der Prüfung diktieren. Die Revision muss ihre eigenen Prüfprogramme entwickeln, um sicherzustellen, dass sie nicht lediglich die Annahmen derjenigen validiert, die sie eigentlich kontrollieren soll.
Falsch: Die Übernahme von Testskripten direkt von der zweiten Linie würde die Prüfung in eine bloße Qualitätssicherung (Quality Assurance) umwandeln, die typischerweise eine Funktion der zweiten Linie ist, und damit die Unabhängigkeit der dritten Linie untergraben. Die Einbeziehung des Vorstands zur Genehmigung technischer Details ist nicht sachgerecht, da der Vorstand zwar die Revisionscharta genehmigt, aber nicht in die operative Gestaltung von Testskripten eingreifen sollte, um die Unabhängigkeit nicht zu politisieren. Ein sofortiger Abbruch der Prüfung und die Forderung nach einer externen Revision ist eine unverhältnismäßige Reaktion, da die interne Revision durch die eigenständige Überarbeitung der Methodik ihre Unabhängigkeit intern wiederherstellen kann, ohne dass zwingend externe Ressourcen erforderlich sind.
Kernaussage: Die Unabhängigkeit der dritten Verteidigungslinie wird dadurch gewahrt, dass die Revision die volle Kontrolle über die Prüfmethodik und den Umfang behält, unabhängig von der fachlichen Unterstützung durch die zweite Linie.
-
Question 25 of 30
25. Question
Ein mittelgroßes Finanzinstitut hat vor acht Monaten ein neues automatisiertes System zur Transaktionsüberwachung (TMS) eingeführt. Im Rahmen der jährlichen AML-Prüfung stellt der leitende Revisor fest, dass der Geldwäschebeauftragte (MLRO) bereits eine umfassende interne Validierung der Systemlogik und der Schwellenwerte durchgeführt hat. Der MLRO, der vor seinem Wechsel in die Compliance-Funktion selbst zehn Jahre in der Internen Revision tätig war, schlägt vor, dass die Revision die Ergebnisse seiner Validierungstests übernimmt, um die Effizienz der Prüfung zu steigern und Ressourcen zu schonen. Wie sollte die Interne Revision unter Berücksichtigung der Anforderungen an die dritte Verteidigungslinie auf diesen Vorschlag reagieren?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) ist für die Bereitstellung einer unabhängigen und objektiven Sicherheit gegenüber dem Vorstand und der Geschäftsleitung verantwortlich. Gemäß den internationalen Standards und den FATF-Empfehlungen muss die Revision die Wirksamkeit des AML-Programms eigenständig bewerten. Obwohl die von der zweiten Verteidigungslinie (Compliance) durchgeführten Tests als Kontext oder zur Risikoorientierung herangezogen werden können, darf die Revision ihre Urteilsbildung nicht an die zu prüfende Einheit delegieren. Eine unabhängige Stichprobenprüfung und Validierung der Systemparameter sind essenziell, um die Integrität der dritten Verteidigungslinie zu wahren, insbesondere bei der Implementierung neuer, risikoreicher Technologien wie einem Transaktionsüberwachungssystem.
Falsch: Ein Ansatz, der die Tests der zweiten Linie ohne eigenständige Validierung übernimmt, verletzt das Prinzip der Unabhängigkeit und führt zu einer unzureichenden Prüfungsdichte. Die frühere Tätigkeit des MLRO in der Revision ist für die aktuelle Unabhängigkeit der Prüfungsfunktion irrelevant und darf nicht dazu führen, dass Kontrollen weniger streng durchgeführt werden. Die Verlagerung des Prüfungsschwerpunkts auf weniger kritische Bereiche wie Personalakten, während ein neues Kernsystem ungeprüft bleibt, widerspricht dem risikobasierten Prüfungsansatz. Zudem würde die Einbindung der Compliance-Abteilung in die Qualitätssicherung der Revision die notwendige Trennung der Verantwortlichkeiten (Segregation of Duties) aufheben und die Objektivität des Revisionsberichts untergraben.
Kernaussage: Die Interne Revision muss als dritte Verteidigungslinie stets eine eigenständige und von der zweiten Linie isolierte Prüfung durchführen, um die regulatorisch geforderte Unabhängigkeit und Objektivität zu gewährleisten.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) ist für die Bereitstellung einer unabhängigen und objektiven Sicherheit gegenüber dem Vorstand und der Geschäftsleitung verantwortlich. Gemäß den internationalen Standards und den FATF-Empfehlungen muss die Revision die Wirksamkeit des AML-Programms eigenständig bewerten. Obwohl die von der zweiten Verteidigungslinie (Compliance) durchgeführten Tests als Kontext oder zur Risikoorientierung herangezogen werden können, darf die Revision ihre Urteilsbildung nicht an die zu prüfende Einheit delegieren. Eine unabhängige Stichprobenprüfung und Validierung der Systemparameter sind essenziell, um die Integrität der dritten Verteidigungslinie zu wahren, insbesondere bei der Implementierung neuer, risikoreicher Technologien wie einem Transaktionsüberwachungssystem.
Falsch: Ein Ansatz, der die Tests der zweiten Linie ohne eigenständige Validierung übernimmt, verletzt das Prinzip der Unabhängigkeit und führt zu einer unzureichenden Prüfungsdichte. Die frühere Tätigkeit des MLRO in der Revision ist für die aktuelle Unabhängigkeit der Prüfungsfunktion irrelevant und darf nicht dazu führen, dass Kontrollen weniger streng durchgeführt werden. Die Verlagerung des Prüfungsschwerpunkts auf weniger kritische Bereiche wie Personalakten, während ein neues Kernsystem ungeprüft bleibt, widerspricht dem risikobasierten Prüfungsansatz. Zudem würde die Einbindung der Compliance-Abteilung in die Qualitätssicherung der Revision die notwendige Trennung der Verantwortlichkeiten (Segregation of Duties) aufheben und die Objektivität des Revisionsberichts untergraben.
Kernaussage: Die Interne Revision muss als dritte Verteidigungslinie stets eine eigenständige und von der zweiten Linie isolierte Prüfung durchführen, um die regulatorisch geforderte Unabhängigkeit und Objektivität zu gewährleisten.
-
Question 26 of 30
26. Question
Ein leitender Revisor der internen Revision führt eine umfassende Prüfung des Transaktionsüberwachungssystems (TMS) einer international agierenden Bank durch. Während der Scoping-Phase tritt der Geldwäschebeauftragte (MLRO) an das Revisionsteam heran und schlägt vor, dass die Revision die bereits validierten Datensätze und die spezifischen Testskripte der Compliance-Qualitätssicherung (QA) aus dem letzten Quartal verwendet. Der MLRO argumentiert, dass dies die Effizienz der Feldarbeit erheblich steigern und die operative Belastung der IT-Abteilung minimieren würde, während gleichzeitig konsistente Prüfergebnisse sichergestellt werden. Wie sollte die interne Revision unter Berücksichtigung der Anforderungen an die dritte Verteidigungslinie auf diesen Vorschlag reagieren?
Correct
Richtig: Die dritte Verteidigungslinie, vertreten durch die interne Revision, muss eine vollkommen unabhängige und objektive Bewertung der Wirksamkeit der Kontrollen der ersten und zweiten Verteidigungslinie vornehmen. Die Übernahme von Testskripten oder validierten Datensätzen der Compliance-Qualitätssicherung (zweite Linie) würde die Unabhängigkeit der Prüfung gefährden, da die Revision in diesem Fall die Kontrollmethodik der zu prüfenden Einheit übernimmt, anstatt diese kritisch zu hinterfragen. Gemäß internationalen Standards wie denen der FATF und den Wolfsberg-Prinzipien muss die Revision in der Lage sein, auch die Angemessenheit der Qualitätssicherungsprozesse selbst zu beurteilen, was nur durch eigenständige Testverfahren möglich ist.
Falsch: Der Ansatz, Testskripte zur Effizienzsteigerung zu übernehmen und nur Stichproben zu prüfen, ist unzureichend, da er die methodische Unabhängigkeit untergräbt und die Revision blind für systematische Fehler in der Logik der zweiten Linie macht. Die Akzeptanz von Daten unter der Bedingung einer externen Zertifizierung löst das Problem der funktionalen Trennung nicht, da die interne Revision dennoch verpflichtet bleibt, die Integrität der Datenherkunft eigenständig zu validieren. Eine gemeinsame Überarbeitung von Prüfstandards mit der Compliance-Abteilung führt zu einem Interessenkonflikt, da die Revision später eine Methodik bewerten müsste, an deren Erstellung sie selbst beteiligt war, was die Objektivität der dritten Verteidigungslinie zerstört.
Kernaussage: Die Unabhängigkeit der internen Revision erfordert eine strikte methodische Trennung von der zweiten Verteidigungslinie, um die Wirksamkeit der Compliance-Kontrollen ohne Vorbelastung objektiv validieren zu können.
Incorrect
Richtig: Die dritte Verteidigungslinie, vertreten durch die interne Revision, muss eine vollkommen unabhängige und objektive Bewertung der Wirksamkeit der Kontrollen der ersten und zweiten Verteidigungslinie vornehmen. Die Übernahme von Testskripten oder validierten Datensätzen der Compliance-Qualitätssicherung (zweite Linie) würde die Unabhängigkeit der Prüfung gefährden, da die Revision in diesem Fall die Kontrollmethodik der zu prüfenden Einheit übernimmt, anstatt diese kritisch zu hinterfragen. Gemäß internationalen Standards wie denen der FATF und den Wolfsberg-Prinzipien muss die Revision in der Lage sein, auch die Angemessenheit der Qualitätssicherungsprozesse selbst zu beurteilen, was nur durch eigenständige Testverfahren möglich ist.
Falsch: Der Ansatz, Testskripte zur Effizienzsteigerung zu übernehmen und nur Stichproben zu prüfen, ist unzureichend, da er die methodische Unabhängigkeit untergräbt und die Revision blind für systematische Fehler in der Logik der zweiten Linie macht. Die Akzeptanz von Daten unter der Bedingung einer externen Zertifizierung löst das Problem der funktionalen Trennung nicht, da die interne Revision dennoch verpflichtet bleibt, die Integrität der Datenherkunft eigenständig zu validieren. Eine gemeinsame Überarbeitung von Prüfstandards mit der Compliance-Abteilung führt zu einem Interessenkonflikt, da die Revision später eine Methodik bewerten müsste, an deren Erstellung sie selbst beteiligt war, was die Objektivität der dritten Verteidigungslinie zerstört.
Kernaussage: Die Unabhängigkeit der internen Revision erfordert eine strikte methodische Trennung von der zweiten Verteidigungslinie, um die Wirksamkeit der Compliance-Kontrollen ohne Vorbelastung objektiv validieren zu können.
-
Question 27 of 30
27. Question
Ein leitender interner Revisor einer international tätigen Bank führt eine unabhängige Prüfung des Transaktionsüberwachungssystems (TMS) durch, das vor neun Monaten umfassend aktualisiert wurde. Während der Scoping-Phase schlägt der Geldwäschebeauftragte (MLRO) vor, dass die Revision die detaillierten Testskripte und Validierungsergebnisse der Compliance-Qualitätssicherung (QA) verwendet. Der MLRO argumentiert, dass dies die Effizienz steigert, Doppelarbeit vermeidet und sicherstellt, dass keine widersprüchlichen Schlussfolgerungen über die Systemeffektivität gezogen werden. Welche Vorgehensweise ist für den Revisor am angemessensten, um die Integrität der dritten Verteidigungslinie zu gewährleisten?
Correct
Richtig: Die dritte Verteidigungslinie, die Interne Revision, ist für die Bereitstellung einer unabhängigen und objektiven Sicherheit gegenüber dem Vorstand und der Geschäftsführung verantwortlich. Um diese Unabhängigkeit zu wahren, muss die Revision eigene Testmethoden, Prüfprogramme und Stichprobenverfahren entwickeln. Die bloße Übernahme von Testskripten oder Ergebnissen der zweiten Verteidigungslinie (Compliance/Qualitätssicherung) würde die Objektivität untergraben, da die Revision dann lediglich die Arbeit validiert, die sie eigentlich kritisch hinterfragen sollte. Gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die unabhängige Prüfung die Wirksamkeit des AML-Programms durch eigenständige Tests der Kontrollen bestätigen.
Falsch: Der Ansatz, bestehende QA-Skripte zur Sicherstellung der Konsistenz zu übernehmen, ist falsch, da dies die notwendige Trennung zwischen der Überwachungsfunktion der zweiten Linie und der Prüfungsfunktion der dritten Linie aufhebt. Eine Beschränkung der Prüfung auf reine Governance-Aspekte und Berichterstattungswege ist unzureichend, da eine effektive AML-Prüfung auch die operative Wirksamkeit der technischen Kontrollen (Feldarbeit) umfassen muss. Die vollständige Auslagerung der technischen Validierung an externe Prüfer zur Vermeidung interner Konflikte ist nicht erforderlich und entbindet die interne Revision nicht von ihrer grundlegenden Pflicht, eine umfassende und eigenständige Beurteilung des gesamten AML-Kontrollrahmens vorzunehmen.
Kernaussage: Die Interne Revision muss als dritte Verteidigungslinie ihre Unabhängigkeit durch die Entwicklung und Anwendung eigener Prüfmethodiken wahren, anstatt sich auf die Kontrollaktivitäten der zweiten Verteidigungslinie zu verlassen.
Incorrect
Richtig: Die dritte Verteidigungslinie, die Interne Revision, ist für die Bereitstellung einer unabhängigen und objektiven Sicherheit gegenüber dem Vorstand und der Geschäftsführung verantwortlich. Um diese Unabhängigkeit zu wahren, muss die Revision eigene Testmethoden, Prüfprogramme und Stichprobenverfahren entwickeln. Die bloße Übernahme von Testskripten oder Ergebnissen der zweiten Verteidigungslinie (Compliance/Qualitätssicherung) würde die Objektivität untergraben, da die Revision dann lediglich die Arbeit validiert, die sie eigentlich kritisch hinterfragen sollte. Gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien muss die unabhängige Prüfung die Wirksamkeit des AML-Programms durch eigenständige Tests der Kontrollen bestätigen.
Falsch: Der Ansatz, bestehende QA-Skripte zur Sicherstellung der Konsistenz zu übernehmen, ist falsch, da dies die notwendige Trennung zwischen der Überwachungsfunktion der zweiten Linie und der Prüfungsfunktion der dritten Linie aufhebt. Eine Beschränkung der Prüfung auf reine Governance-Aspekte und Berichterstattungswege ist unzureichend, da eine effektive AML-Prüfung auch die operative Wirksamkeit der technischen Kontrollen (Feldarbeit) umfassen muss. Die vollständige Auslagerung der technischen Validierung an externe Prüfer zur Vermeidung interner Konflikte ist nicht erforderlich und entbindet die interne Revision nicht von ihrer grundlegenden Pflicht, eine umfassende und eigenständige Beurteilung des gesamten AML-Kontrollrahmens vorzunehmen.
Kernaussage: Die Interne Revision muss als dritte Verteidigungslinie ihre Unabhängigkeit durch die Entwicklung und Anwendung eigener Prüfmethodiken wahren, anstatt sich auf die Kontrollaktivitäten der zweiten Verteidigungslinie zu verlassen.
-
Question 28 of 30
28. Question
Eine mittelgroße Universalbank hat vor sechs Monaten ein neues automatisiertes Transaktionsüberwachungssystem implementiert. Die Compliance-Abteilung (zweite Verteidigungslinie) hat vor kurzem eine umfassende Qualitätssicherungsprüfung (Quality Assurance) der Systemkalibrierung und der generierten Warnmeldungen durchgeführt. Bei der Planung der jährlichen AML-Prüfung schlägt der Geldwäschebeauftragte vor, diesen Bereich aus dem Prüfungsumfang der internen Revision (dritte Verteidigungslinie) auszuschließen, um Doppelarbeit zu vermeiden und Ressourcen zu schonen. Wie sollte der interne Revisionsleiter reagieren, um die regulatorischen Erwartungen an die Unabhängigkeit und die Wirksamkeit der dritten Verteidigungslinie zu erfüllen?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) ist verpflichtet, eine vollkommen unabhängige und objektive Bewertung der Wirksamkeit des AML-Kontrollrahmens abzugeben. Obwohl die Qualitätssicherung (QA) der zweiten Verteidigungslinie wichtige Erkenntnisse liefert, handelt es sich dabei um eine Management-Kontrollfunktion und nicht um eine unabhängige Prüfung. Gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien darf die Unabhängigkeit der Revision nicht dadurch beeinträchtigt werden, dass die zu prüfende Einheit (in diesem Fall der Geldwäschebeauftragte) den Umfang der Prüfung diktiert oder einschränkt. Die Revision kann die Ergebnisse der zweiten Linie zur Information ihrer eigenen Risikobewertung nutzen, muss jedoch eigene Stichproben und Tests durchführen, um dem Vorstand eine unabhängige Sicherheit zu bieten.
Falsch: Der Ansatz, die Prüfung aufgrund der QA-Aktivitäten der zweiten Linie ganz zu streichen, verletzt das Prinzip der Trennung der Verteidigungslinien und lässt den Vorstand ohne unabhängige Bestätigung über die Wirksamkeit des neuen Systems. Eine Verschiebung der Prüfung ist bei einer Neuanlage eines Systems besonders riskant, da Kinderkrankheiten oder Fehlkonfigurationen sofortige Aufmerksamkeit erfordern. Die gemeinsame Festlegung des Prüfungsumfangs mit dem Geldwäschebeauftragten stellt einen schwerwiegenden Eingriff in die Unabhängigkeit der Revision dar, da die geprüfte Funktion niemals über den Umfang ihrer eigenen Überprüfung entscheiden darf.
Kernaussage: Die Interne Revision muss ihren Prüfungsumfang stets unabhängig und risikobasiert festlegen, da die Aktivitäten der zweiten Verteidigungslinie eine unabhängige Prüfung niemals ersetzen können.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) ist verpflichtet, eine vollkommen unabhängige und objektive Bewertung der Wirksamkeit des AML-Kontrollrahmens abzugeben. Obwohl die Qualitätssicherung (QA) der zweiten Verteidigungslinie wichtige Erkenntnisse liefert, handelt es sich dabei um eine Management-Kontrollfunktion und nicht um eine unabhängige Prüfung. Gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien darf die Unabhängigkeit der Revision nicht dadurch beeinträchtigt werden, dass die zu prüfende Einheit (in diesem Fall der Geldwäschebeauftragte) den Umfang der Prüfung diktiert oder einschränkt. Die Revision kann die Ergebnisse der zweiten Linie zur Information ihrer eigenen Risikobewertung nutzen, muss jedoch eigene Stichproben und Tests durchführen, um dem Vorstand eine unabhängige Sicherheit zu bieten.
Falsch: Der Ansatz, die Prüfung aufgrund der QA-Aktivitäten der zweiten Linie ganz zu streichen, verletzt das Prinzip der Trennung der Verteidigungslinien und lässt den Vorstand ohne unabhängige Bestätigung über die Wirksamkeit des neuen Systems. Eine Verschiebung der Prüfung ist bei einer Neuanlage eines Systems besonders riskant, da Kinderkrankheiten oder Fehlkonfigurationen sofortige Aufmerksamkeit erfordern. Die gemeinsame Festlegung des Prüfungsumfangs mit dem Geldwäschebeauftragten stellt einen schwerwiegenden Eingriff in die Unabhängigkeit der Revision dar, da die geprüfte Funktion niemals über den Umfang ihrer eigenen Überprüfung entscheiden darf.
Kernaussage: Die Interne Revision muss ihren Prüfungsumfang stets unabhängig und risikobasiert festlegen, da die Aktivitäten der zweiten Verteidigungslinie eine unabhängige Prüfung niemals ersetzen können.
-
Question 29 of 30
29. Question
Ein global agierendes Finanzinstitut implementiert derzeit ein neues KI-gestütztes Transaktionsüberwachungssystem (TMS), um die Effizienz der Geldwäscheprävention zu steigern. Der Geldwäschebeauftragte (MLRO) bittet die interne Revision in einer formellen Mitteilung, aktiv an der Gestaltung der Kontrolllogik und der Festlegung der Schwellenwerte teilzunehmen, um sicherzustellen, dass das System von Anfang an prüfungssicher ist. Das Projekt hat einen engen Zeitplan von sechs Monaten bis zum Go-Live. Wie sollte die interne Revision reagieren, um ihre Rolle als dritte Verteidigungslinie und ihre Unabhängigkeit gemäß internationalen Standards zu wahren?
Correct
Richtig: Die interne Revision fungiert als dritte Verteidigungslinie und muss ihre Unabhängigkeit und Objektivität wahren. Während sie beratend tätig sein kann, darf sie keine Managementverantwortung übernehmen oder Entscheidungen über das Design von Kontrollen treffen, die sie später prüfen muss. Eine beobachtende Rolle ermöglicht es der Revision, frühzeitig auf potenzielle Schwachstellen hinzuweisen, ohne einen Selbstprüfungskonflikt zu erzeugen. Die Klarstellung, dass eine spätere unabhängige Prüfung dennoch stattfindet, unterstreicht die Trennung zwischen Beratung und formeller Prüfung gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien.
Falsch: Die offizielle Genehmigung von Schwellenwerten oder der Kontrolllogik würde die Revision direkt in den Entscheidungsprozess einbinden und somit ihre Fähigkeit einschränken, diese Kontrollen später objektiv zu beurteilen. Eine strikte Ablehnung jeglicher Einbindung bis weit nach der Implementierung ist zwar theoretisch möglich, vernachlässigt jedoch die wertvolle beratende Funktion der Revision bei der Risikoprävention. Die Übernahme der Qualitätssicherung (Quality Assurance) ist eine operative Kontrolltätigkeit, die typischerweise der ersten oder zweiten Verteidigungslinie zugeordnet ist; die Revision darf diese Prozesse lediglich prüfen, aber nicht selbst ausführen.
Kernaussage: Die interne Revision wahrt ihre Unabhängigkeit in der dritten Verteidigungslinie, indem sie beratend unterstützt, ohne operative Entscheidungsbefugnis über das Design von AML-Kontrollen auszuüben.
Incorrect
Richtig: Die interne Revision fungiert als dritte Verteidigungslinie und muss ihre Unabhängigkeit und Objektivität wahren. Während sie beratend tätig sein kann, darf sie keine Managementverantwortung übernehmen oder Entscheidungen über das Design von Kontrollen treffen, die sie später prüfen muss. Eine beobachtende Rolle ermöglicht es der Revision, frühzeitig auf potenzielle Schwachstellen hinzuweisen, ohne einen Selbstprüfungskonflikt zu erzeugen. Die Klarstellung, dass eine spätere unabhängige Prüfung dennoch stattfindet, unterstreicht die Trennung zwischen Beratung und formeller Prüfung gemäß den FATF-Empfehlungen und den Wolfsberg-Prinzipien.
Falsch: Die offizielle Genehmigung von Schwellenwerten oder der Kontrolllogik würde die Revision direkt in den Entscheidungsprozess einbinden und somit ihre Fähigkeit einschränken, diese Kontrollen später objektiv zu beurteilen. Eine strikte Ablehnung jeglicher Einbindung bis weit nach der Implementierung ist zwar theoretisch möglich, vernachlässigt jedoch die wertvolle beratende Funktion der Revision bei der Risikoprävention. Die Übernahme der Qualitätssicherung (Quality Assurance) ist eine operative Kontrolltätigkeit, die typischerweise der ersten oder zweiten Verteidigungslinie zugeordnet ist; die Revision darf diese Prozesse lediglich prüfen, aber nicht selbst ausführen.
Kernaussage: Die interne Revision wahrt ihre Unabhängigkeit in der dritten Verteidigungslinie, indem sie beratend unterstützt, ohne operative Entscheidungsbefugnis über das Design von AML-Kontrollen auszuüben.
-
Question 30 of 30
30. Question
Ein mittelgrosses Finanzinstitut bereitet sich auf die jaehrliche unabhaengige AML-Pruefung vor. Waehrend der Planungsphase stellt der Leiter der Internen Revision fest, dass der Geldwaeschebeauftragte darum gebeten hat, dass das Revisionsteam vorab eine beratende Durchsicht der Onboarding-Prozesse durchfuehrt, um Maengel zu beheben, bevor der formelle Pruefungsbericht dem Vorstand vorgelegt wird. Der Vorstand unterstuetzt diesen Wunsch ausdruecklich, um die regulatorische Compliance kurzfristig zu verbessern. Was ist der beste naechste Schritt fuer den Leiter der Internen Revision, um die Integritaet der dritten Verteidigungslinie zu wahren?
Correct
Richtig: Die dritte Verteidigungslinie (Interne Revision) muss strikt unabhängig von der ersten und zweiten Linie agieren, um eine objektive Beurteilung des AML-Kontrollrahmens zu gewaehrleisten. Wenn die Revision aktiv an der Behebung von Maengeln mitwirkt oder vorab beratend eingreift, um Ergebnisse zu schoenen, entsteht ein Interessenkonflikt (Selbstpruefungsverbot). Gemaess den internationalen Standards und den Wolfsberg-Prinzipien ist es die Aufgabe der zweiten Linie (Compliance/AML-Team), die Qualitaetssicherung und operative Kontrollen durchzufuehren, waehrend die dritte Linie diese Prozesse unabhaengig validiert und direkt an den Vorstand oder den Pruefungsausschuss berichtet.
Falsch: Eine Beschraenkung der Beratung auf Hochrisikokunden beseitigt nicht den grundsaetzlichen Interessenkonflikt, da die Revision weiterhin Managemententscheidungen beeinflusst, die sie spaeter objektiv bewerten muesste. Die dauerhafte Uebernahme der Qualitaetssicherung durch die Revision wuerde die Grenzen zwischen der zweiten und dritten Verteidigungslinie dauerhaft aufheben und die Unabhaengigkeit der Pruefungsfunktion untergraben. Das Verschieben der Pruefung oder die ausschliessliche Pruefung bereits korrigierter Akten wuerde ein verzerrtes Bild der Wirksamkeit des AML-Programms vermitteln und den Aufsichtsbehoerden wesentliche Informationen ueber systemische Schwaechen vorenthalten.
Kernaussage: Die Unabhaengigkeit der dritten Verteidigungslinie ist nur gewaehrleistet, wenn eine strikte Trennung zwischen der operativen Qualitaetssicherung der zweiten Linie und der objektiven Pruefungsfunktion der Revision besteht.
Incorrect
Richtig: Die dritte Verteidigungslinie (Interne Revision) muss strikt unabhängig von der ersten und zweiten Linie agieren, um eine objektive Beurteilung des AML-Kontrollrahmens zu gewaehrleisten. Wenn die Revision aktiv an der Behebung von Maengeln mitwirkt oder vorab beratend eingreift, um Ergebnisse zu schoenen, entsteht ein Interessenkonflikt (Selbstpruefungsverbot). Gemaess den internationalen Standards und den Wolfsberg-Prinzipien ist es die Aufgabe der zweiten Linie (Compliance/AML-Team), die Qualitaetssicherung und operative Kontrollen durchzufuehren, waehrend die dritte Linie diese Prozesse unabhaengig validiert und direkt an den Vorstand oder den Pruefungsausschuss berichtet.
Falsch: Eine Beschraenkung der Beratung auf Hochrisikokunden beseitigt nicht den grundsaetzlichen Interessenkonflikt, da die Revision weiterhin Managemententscheidungen beeinflusst, die sie spaeter objektiv bewerten muesste. Die dauerhafte Uebernahme der Qualitaetssicherung durch die Revision wuerde die Grenzen zwischen der zweiten und dritten Verteidigungslinie dauerhaft aufheben und die Unabhaengigkeit der Pruefungsfunktion untergraben. Das Verschieben der Pruefung oder die ausschliessliche Pruefung bereits korrigierter Akten wuerde ein verzerrtes Bild der Wirksamkeit des AML-Programms vermitteln und den Aufsichtsbehoerden wesentliche Informationen ueber systemische Schwaechen vorenthalten.
Kernaussage: Die Unabhaengigkeit der dritten Verteidigungslinie ist nur gewaehrleistet, wenn eine strikte Trennung zwischen der operativen Qualitaetssicherung der zweiten Linie und der objektiven Pruefungsfunktion der Revision besteht.
