„Blackbox Internes Kontrollsystem“

Welchen strategischen Nutzen hat ein funktionsfähiges IKS?

Ein funktionsfähiges, wirkungsvolles internes Kontrollsystem („IKS“) muss primär eines sein: Bestandteil des Selbstverständnisses und der Risikokultur^[1] eines jeden Finanzinstituts. Kunden und Geschäftspartner setzen ihr Vertrauen nicht nur in Produkte und Leistungen, sondern auch in qualitativ hochwertige und (möglichst) fehlerfreie Abläufe dank funktionierender Kontrollen. Ein leistungsstarkes IKS dient somit nicht etwa einem Selbstzweck, sondern der Absicherung der strategischen Ziele der Geschäftsleitung.

Umso erstaunlicher ist die Erfahrung aus der Beratungspraxis, dass die Frage „Was ist ein IKS und wie setzt man es wirkungsvoll ein?“ selbst von Geschäftsleitern nicht trittsicher beantwortet werden kann. Besonders risikoträchtig sind hierbei die Fehlannahmen, dass die reine Existenz von Arbeitsanweisungen zur Risikovermeidung ausreichend sei, bzw. die IKS-Zuständigkeit außerhalb der Fachbereiche bei der Revision liege.

Solches Halbwissen bietet in einem nachfolgend beschriebenen zunehmend engmaschigen Regulatorik-Netz erfahrungsgemäß erhebliche Angriffsflächen für F4- und F3-Prüfungsfeststellungen.

IKS – Wo stehen die Anforderungen?

Die Notwendigkeit zur Einrichtung eines funktionsfähigen und wirkungsvollen IKS ergibt sich aus KWG und MaRisk. Da das IKS nicht in einer eigenständigen Norm kodifiziert ist, sind nachfolgende Einzelregelungen besonders hervorzuheben:

• KWG § 25a Abs. 1 Satz 3 („Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision …“).

• KWG § 25c Abs. 4a Satz 3 („Interne Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision …“). Die Verantwortung hierfür liegt nicht delegierbar bei der Geschäftsleitung.

• MaRisk AT 4.3 („Internes Kontrollsystem“) erfordert in jedem Institut entsprechend der Art, Umfang, der Komplexität und des Risikogehalts seiner Geschäftsaktivitäten Regelungen zur Aufbau- und Ablauforganisation (MaRisk AT 4.3.1), zu Risikosteuerungs- und Risikocontrollingprozessen inkl. Risikoreporting (MaRisk AT 4.3.2) sowie eine Risikocontrolling- und eine Compliance-Funktion (MaRisk AT 4.4.1 bzw. 4.4.2).

• Die Risikobetrachtung erfasst dabei die wesentlichen Risiken des Instituts, welche im Rahmen einer Risikoinventur zu prüfen sind (MaRisk AT 2.2).

• MaRisk BTO 1 und BTO 2 zur Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft, MaRisk BTR zu Risikosteuerungs- und Risikocontrollingprozessen sowie MaRisk BT 2 zur Ausgestaltung der Internen Revision.

Zudem sieht seit dem letzten Jahr der Bankenaufsichtsmechanismus SREP in seinem Bewertungsmodell ein Prüfungsfeld „Interne Governance und Kontrolle“ vor, sodass das Thema IKS aus der Aufsichtsperspektive deutlich an Bedeutung gewonnen hat.

Wie nähert man sich als verantwortliche Geschäftsleitung dem Thema IKS?

Im IDW Prüfungsstandard 261 n. F. sind Definitionen nachlesbar, die das IKS als die von der Geschäftsleitung eingeführten Grundsätze, Verfahren und Maßnahmen zur Sicherung der organisatorischen Umsetzung der Entscheidungen der Geschäftsleitung beschreiben. Dies bleibt, wenngleich korrekt, abstrakt und betont die Perspektive der Rechnungslegung. Auch das international anerkannte COSO-Modell bietet mit 17 Prinzipien und umfassenden Fragenkatalogen Aufklärung; aus diesem allumfassenden Ansatz heraus droht jedoch schnell Überforderung bei der IKS-Implementierung.

Anfassbar und konkret – gerade aus der Perspektive mittelgroßer Institute mit begrenzten Ressourcen – ist der Ansatz, in allen für das individuelle Geschäftsmodell^[2] wesentlichen(!) Abläufen Überwachungsmaßnahmen in Form von organisatorischen Sicherungsmaßnahmen (insbesondere Funktionstrennung und Zugriffsbeschränkung) sowie prozessintegrierten Kontrollen sicherzustellen.

Wie funktioniert die pragmatische Verbesserung des IKS?

Das erprobte Erfolgsrezept für die nachhaltig erfolgreiche IKS-Implementierung lautet:

• Die Verantwortung für die Ausführung geeigneter Kontrollen tragen primär die prozessverantwortlichen Fachbereiche. Je risikorelevantem Prozess werden Risiken und Fehlerauswirkungen (inkl. Kundenwahrnehmung) analysiert, hierzu passende Kontrollschritte inkl. Zuständigkeit und Nachweisführung festgelegt und in einer Risiko-Kontroll-Matrix dargestellt. IKS wird somit elementarer Bestandteil der Führungsverantwortung im Fachbereich (sog. „1. Verteidigungslinie“).

• Die gesamthafte Überwachung der Funktionsfähigkeit des institutsweiten IKS erfolgt in der „2. Verteidigungslinie“ aus Risikocontrolling und/oder Compliance mit klarer Aufgabenzuordnung.

• Da der operative Koordinationsaufwand für ein dauerhaft funktionsfähiges IKS nicht zu unterschätzen ist, übernimmt ein zentraler IKS-Koordinator die Unterstützungs-, aber auch Treiberfunktion gegenüber den vorgenannten Einheiten.

• Umsetzungsgrundlage ist ein verbindlicher IKS-Regelprozess, dessen Ablauf mit klar definierten Phasen, Instrumentarien und Verantwortlichkeiten in einem IKS-Methodenkonzept dokumentiert und veröffentlicht ist. Eine strategienahe Verankerung dieses Konzepts betont dessen Bedeutung für das Risikomanagement (auch gegenüber Prüfern). Seine Inhalte sind durch Schulungen und Training on the Job den Führungskräften und Mitarbeitern risikorelevanter Bereiche zu vermitteln.

• Zur Vermeidung bzw. Antizipation schwerwiegender bzw. erheblicher Prüfungsrisiken wird die Geschäftsleitung regelmäßig über identifizierte Schwachstellen und Gegenmaßnahmen im Rahmen des IKS unterrichtet. Zwecks zügiger Wirkungsentfaltung sollte dies über den Quartalsrisikobericht hinausgehen.

Der Weg zum Ziel: Wie setzt man ein IKS-Projekt auf?

Angesichts der in der Beratungspraxis anzutreffenden Unsicherheit im Umgang mit dem Thema IKS bei zugleich zunehmender Bedeutung als Prüfungsschwerpunkt empfiehlt sich ein vierstufiges Vorgehen zur Erzielung maximaler Wirkung bei begrenzten Ressourcen:

• Schritt 1: Workshop mit der Geschäftsleitung des Instituts (zur Herstellung des gemeinsamen Verständnisses, Ausräumen von Missverständnissen, Besprechung bereits identifizierter Schwachstellen)

• Schritt 2: IKS Compliance Check (checklistenbasierte Bestandsaufnahme mittels Interviews und Desk Research, hierauf basierend risikoorientierte Festlegung der Prioritäten für die Umsetzungsphasen)

• Schritt 3: Konzeptionelle Umsetzung (Erarbeitung „prüfungsfester“ Grundlagen, gemeinsam mit Führungskräften des Instituts)

• Schritte 4: Operative Umsetzung (IKS-Instrumentenentwicklung, Proof on Concept mit Führungskräften und Mitarbeitern, flächendeckende Einführung)

Fazit

Die Investition in die gezielte Weiterentwicklung des IKS mindert schwerwiegende Prüfungsstellungsrisiken und -kosten. Der IKS Compliance Check deckt diesen Handlungsbedarf schnell und schlank auf.

Weiterhin liefert ein leistungsstarkes IKS einen strategischen Vorteil. Qualitativ hochwertige, fehlerfreie Abläufe sind in der Kundenwahrnehmung ein Wettbewerbsfaktor, d. h. an dieser Stelle stiftet die Beschäftigung mit einer regulatorischen Anforderung – was nicht immer der Fall ist – einen greifbaren Nutzen und somit Return on Investment.