„Blackbox Internes Kontrollsystem“ Wie können Geschäftsleiter strategischen Nutzen aus den gestiegenen regulatorischen Anforderungen ziehen?

Welchen strategischen Nutzen hat ein funktionsfähiges IKS?

Ein funktionsfähiges, wirkungsvolles internes Kontrollsystem („IKS“) muss primär eines sein: Bestandteil des Selbstverständnisses und der Risikokultur[1] eines jeden Finanzinstituts. Kunden und Geschäftspartner setzen ihr Vertrauen nicht nur in Produkte und Leistungen, sondern auch in qualitativ hochwertige und (möglichst) fehlerfreie Abläufe dank funktionierender Kontrollen. Ein leistungsstarkes IKS dient somit nicht etwa einem Selbstzweck, sondern der Absicherung der strategischen Ziele der Geschäftsleitung.

Umso erstaunlicher ist die Erfahrung aus der Beratungspraxis, dass die Frage „Was ist ein IKS und wie setzt man es wirkungsvoll ein?“ selbst von Geschäftsleitern nicht trittsicher beantwortet werden kann. Besonders risikoträchtig sind hierbei die Fehlannahmen, dass die reine Existenz von Arbeitsanweisungen zur Risikovermeidung ausreichend sei, bzw. die IKS-Zuständigkeit außerhalb der Fachbereiche bei der Revision liege.

Solches Halbwissen bietet in einem nachfolgend beschriebenen zunehmend engmaschigen Regulatorik-Netz erfahrungsgemäß erhebliche Angriffsflächen für F4- und F3-Prüfungsfeststellungen.

IKS – Wo stehen die Anforderungen?

Die Notwendigkeit zur Einrichtung eines funktionsfähigen und wirkungsvollen IKS ergibt sich aus KWG und MaRisk. Da das IKS nicht in einer eigenständigen Norm kodifiziert ist, sind nachfolgende Einzelregelungen besonders hervorzuheben:

  • KWG § 25a Abs. 1 Satz 3 („Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision …“).
  • KWG § 25c Abs. 4a Satz 3 („Interne Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision …“). Die Verantwortung hierfür liegt nicht delegierbar bei der Geschäftsleitung.
  • MaRisk AT 4.3 („Internes Kontrollsystem“) erfordert in jedem Institut entsprechend der Art, Umfang, der Komplexität und des Risikogehalts seiner Geschäftsaktivitäten Regelungen zur Aufbau- und Ablauforganisation (MaRisk AT 4.3.1), zu Risikosteuerungs- und Risikocontrollingprozessen inkl. Risikoreporting (MaRisk AT 4.3.2) sowie eine Risikocontrolling- und eine Compliance-Funktion (MaRisk AT 4.4.1 bzw. 4.4.2).
  • Die Risikobetrachtung erfasst dabei die wesentlichen Risiken des Instituts, welche im Rahmen einer Risikoinventur zu prüfen sind (MaRisk AT 2.2).
  • MaRisk BTO 1 und BTO 2 zur Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft, MaRisk BTR zu Risikosteuerungs- und Risikocontrollingprozessen sowie MaRisk BT 2 zur Ausgestaltung der Internen Revision.

Zudem sieht seit dem letzten Jahr der Bankenaufsichtsmechanismus SREP in seinem Bewertungsmodell ein Prüfungsfeld „Interne Governance und Kontrolle“ vor, sodass das Thema IKS aus der Aufsichtsperspektive deutlich an Bedeutung gewonnen hat.

Wie nähert man sich als verantwortliche Geschäftsleitung dem Thema IKS?

Im IDW Prüfungsstandard 261 n. F. sind Definitionen nachlesbar, die das IKS als die von der Geschäftsleitung eingeführten Grundsätze, Verfahren und Maßnahmen zur Sicherung der organisatorischen Umsetzung der Entscheidungen der Geschäftsleitung beschreiben. Dies bleibt, wenngleich korrekt, abstrakt und betont die Perspektive der Rechnungslegung. Auch das international anerkannte COSO-Modell bietet mit 17 Prinzipien und umfassenden Fragenkatalogen Aufklärung; aus diesem allumfassenden Ansatz heraus droht jedoch schnell Überforderung bei der IKS-Implementierung.

Anfassbar und konkret – gerade aus der Perspektive mittelgroßer Institute mit begrenzten Ressourcen – ist der Ansatz, in allen für das individuelle Geschäftsmodell[2] wesentlichen(!) Abläufen Überwachungsmaßnahmen in Form von organisatorischen Sicherungsmaßnahmen (insbesondere Funktionstrennung und Zugriffsbeschränkung) sowie prozessintegrierten Kontrollen sicherzustellen.

Wie funktioniert die pragmatische Verbesserung des IKS?

Das erprobte Erfolgsrezept für die nachhaltig erfolgreiche IKS-Implementierung lautet:

  • Die Verantwortung für die Ausführung geeigneter Kontrollen tragen primär die prozessverantwortlichen Fachbereiche. Je risikorelevantem Prozess werden Risiken und Fehlerauswirkungen (inkl. Kundenwahrnehmung) analysiert, hierzu passende Kontrollschritte inkl. Zuständigkeit und Nachweisführung festgelegt und in einer Risiko-Kontroll-Matrix dargestellt. IKS wird somit elementarer Bestandteil der Führungsverantwortung im Fachbereich (sog. „1. Verteidigungslinie“).
  • Die gesamthafte Überwachung der Funktionsfähigkeit des institutsweiten IKS erfolgt in der „2. Verteidigungslinie“ aus Risikocontrolling und/oder Compliance mit klarer Aufgabenzuordnung.
  • Da der operative Koordinationsaufwand für ein dauerhaft funktionsfähiges IKS nicht zu unterschätzen ist, übernimmt ein zentraler IKS-Koordinator die Unterstützungs-, aber auch Treiberfunktion gegenüber den vorgenannten Einheiten.
  • Umsetzungsgrundlage ist ein verbindlicher IKS-Regelprozess, dessen Ablauf mit klar definierten Phasen, Instrumentarien und Verantwortlichkeiten in einem IKS-Methodenkonzept dokumentiert und veröffentlicht ist. Eine strategienahe Verankerung dieses Konzepts betont dessen Bedeutung für das Risikomanagement (auch gegenüber Prüfern). Seine Inhalte sind durch Schulungen und Training on the Job den Führungskräften und Mitarbeitern risikorelevanter Bereiche zu vermitteln.
  • Zur Vermeidung bzw. Antizipation schwerwiegender bzw. erheblicher Prüfungsrisiken wird die Geschäftsleitung regelmäßig über identifizierte Schwachstellen und Gegenmaßnahmen im Rahmen des IKS unterrichtet. Zwecks zügiger Wirkungsentfaltung sollte dies über den Quartalsrisikobericht hinausgehen.
Kontrollsystem

Der Weg zum Ziel: Wie setzt man ein IKS-Projekt auf?

Angesichts der in der Beratungspraxis anzutreffenden Unsicherheit im Umgang mit dem Thema IKS bei zugleich zunehmender Bedeutung als Prüfungsschwerpunkt empfiehlt sich ein vierstufiges Vorgehen zur Erzielung maximaler Wirkung bei begrenzten Ressourcen:

  • Schritt 1: Workshop mit der Geschäftsleitung des Instituts (zur Herstellung des gemeinsamen Verständnisses, Ausräumen von Missverständnissen, Besprechung bereits identifizierter Schwachstellen)
  • Schritt 2: IKS Compliance Check (checklistenbasierte Bestandsaufnahme mittels Interviews und Desk Research, hierauf basierend risikoorientierte Festlegung der Prioritäten für die Umsetzungsphasen)
  • Schritt 3: Konzeptionelle Umsetzung (Erarbeitung „prüfungsfester“ Grundlagen, gemeinsam mit Führungskräften des Instituts)
  • Schritte 4: Operative Umsetzung (IKS-Instrumentenentwicklung, Proof on Concept mit Führungskräften und Mitarbeitern, flächendeckende Einführung)

Fazit

Die Investition in die gezielte Weiterentwicklung des IKS mindert schwerwiegende Prüfungsstellungsrisiken und -kosten. Der IKS Compliance Check deckt diesen Handlungsbedarf schnell und schlank auf.

Weiterhin liefert ein leistungsstarkes IKS einen strategischen Vorteil. Qualitativ hochwertige, fehlerfreie Abläufe sind in der Kundenwahrnehmung ein Wettbewerbsfaktor, d. h. an dieser Stelle stiftet die Beschäftigung mit einer regulatorischen Anforderung – was nicht immer der Fall ist – einen greifbaren Nutzen und somit Return on Investment.

[1] Der MaRisk-Konsultationsentwurf 02/2016 betont in AT 3 die Gesamtverantwortung der Geschäftsleitung „für die Entwicklung, Förderung und Integration einer angemessenen Risikokultur“.
[2] Je nach Komplexität der Geschäftsaktivitäten gem. MaRisk.

Natalie Schneider

Partner Office München

Peter Laubach

Manager Office München

Autoren

2 Antworten auf “„Blackbox Internes Kontrollsystem“

  • Karolina Vidovic

    Hallo zusammen,

    vielen Dank für die Infos zum IKS. Hierzu habe ich eine explizite Frage aus der Praxis.
    Wenn bei der Kontrolle eines Vorgangs (z.B. bei einer Kontoeröffnung) auffällt, dass diese nicht vollumfänglich korrekt erfasst wurde und es hier Anpassungsbedarf gibt und im gleichen Zug nicht nachvollziehbar ist, wer die Kontoeröffnung nicht korrekt erfasst hat, durch denjenigen änderbar, der den Fehler entdeckt hat und die Vorgänge kontrolliert?

    Vielen Dank für die Unterstützung!

    Grüße Karolina Vidovic

    Antworten

    • peter laubach

      Hallo Frau Vidovic,
      das Kompetenzsystem bzw. die SFO des Institutes für den Fachbereich sollte diese Frage der Fehlerkorrektur eigentlich beantworten. Aus einer IKS-Sicht steckt die Hauptherausforderung jedoch darin, dass der Prozess im Fachbereich überhaupt eine Kontoeröffnung ohne Nachvollziehbarkeit des Bearbeiters ermöglicht. Derjenige in Ihrem Beispiel, der den Fehler entdeckt, sollte diese Schwachstelle im Interesse der Prozessverbesserung an zuständiger Stelle zur Kenntnis geben.

      Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mit BankingHub immer auf dem Laufenden!

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach.