Fitnesscheck internes Kontrollsystem (IKS) – das IKS ganzheitlich fit für die Zukunft machen

Ein funktionsfähiges und wirkungsvolles internes Kontrollsystem (IKS) ist ein fester Bestandteil im Management der Non-Financial Risks einer Bank und trägt zu einer sicheren und ordnungsgemäßen Geschäftsorganisation bei.

Was zeichnet ein wirksames internes Kontrollsystem (IKS) aus?

Obwohl sich ein verstärktes Bewusstsein für die Bedeutung eines wirksamen IKS etabliert hat und die regulatorischen Anforderungen stetig steigen, lassen sich in der Praxis eine Reihe von methodischen sowie organisatorischen Schwachstellen beobachten. Diese verdeutlichen, dass eine einmalige Implementierung eines IKS nicht ausreicht, um dessen Potenzial auszuschöpfen. Vielmehr erfordert ein effektives IKS eine kontinuierliche Weiterentwicklung und regelmäßige Überprüfung, um nachhaltig Wirkung zu entfalten und als strategischer – mitunter wettbewerbsdifferenzierender – Erfolgsfaktor zu dienen.

Informationen zu den regulatorischen Anforderungen an ein IKS können in dem Beitrag „Blackbox Internes Kontrollsystem“ unserer Kolleg:innen eingesehen werden. Die dort erläuterten Inhalte und insbesondere der skizzierte IKS-Regelkreis sowie die beschriebenen Verantwortlichkeiten bilden die Grundlage für unseren IKS-Fitnesscheck.

Warum ist eine regelmäßige Weiterentwicklung des IKS essenziell?

Eine regelmäßige Überprüfung des IKS ist essenziell, um die Stabilität und Effizienz von Prozessen sicherzustellen. Zudem trägt ein wirksames IKS dazu bei, Non-Financial Risks proaktiv zu managen und damit langfristig eine starke Vertrauensbasis gegenüber Kunden, Investor:innen und Aufsichtsbehörden zu schaffen.

In einem dynamischen Umfeld, das stetig neue Anforderungen durch Innovationen und die Regulatorik mit sich bringt, kann ein ineffektives IKS erhebliche Risiken bergen und zu hohen Bußgeldern oder Reputationsverlusten führen.

Welche Weiterentwicklungsmaßnahmen werden auf dem Markt beobachtet?

Im Rahmen von Projekten bei Kunden haben wir eine Reihe von Weiterentwicklungsmaßnahmen identifiziert, um das IKS sowohl effektiver als auch effizienter aufzustellen.

Verzahnung des OpRisk- und IKS-Assessments

In der Praxis werden eine Risikoanalyse basierend auf den Prozessen für das IKS und eine Risikoanalyse für operationelle Risiken auf Grundlage der aufsichtsrechtlichen Ereigniskategorien durchgeführt. Beide Instrumente haben das Ziel, operationelle Risiken oder im weiteren Sinne Non-Financial Risks zu identifizieren und zu bewerten.

Eine Abstimmung der Methodik zur Bewertung der Risiken in Form einer Risikomatrix und zur Bewertung von Brutto- und/oder Nettorisiken sowie der Normal- vs. Worst-Case-Betrachtung ist eine Voraussetzung dafür, dass keine redundante Bewertung der operationellen Risiken erfolgt. Darüber hinaus können basierend auf einer einheitlichen Risikobewertungsmethodik die Detail-Assessments von Non-Financial Risks/operationellen Risiken (z. B. Drittbezüge, Compliance, IKT-Risiken) integriert werden.

Klare Verantwortlichkeiten und Zusammenarbeit zwischen der 1st und 2nd Line

Für ein wirksames IKS sind die Verantwortlichkeiten der 1st und 2nd Line klar zu definieren und voneinander abzugrenzen. Die Verantwortlichkeit für die Definition der Prozesse sowie die Identifikation und Bewertung der Non-Financial Risks ist eine nicht delegierbare Aufgabe der 1st Line. Die 2nd Line hat die Einhaltung der eigens entwickelten Vorgaben und Methoden sicherzustellen und die Ergebnisse der 1st Line zu plausibilisieren.

Risikoorientierter Ansatz

In der Praxis nehmen wir in Teilen eine hohe Anzahl an Prozessen sowie Kontrollen in einem IKS wahr. Dies ist in der Regel darauf zurückzuführen, dass für die Beschreibung von Prozessen und die Bestimmung von Kontrollen kein risikoorientierter Ansatz erfolgt. So sollten alle relevanten Prozesse Bestandteil der Prozesslandkarte sein, jedoch kann sich der Detailgrad der Dokumentation der Prozesse und der Risikobewertung an der Bedeutsamkeit der Prozesse orientieren.

Ähnliches gilt für die Notwendigkeit von Kontrollen: Ist das Risiko ohne Kontrollen gering oder unterhalb der Risikotoleranzgrenze, können die Kontrollmaßnahmen oder die Durchführungsfrequenz reduziert werden.

IKS-Kontrolltestingkonzept

Ein IKS ohne systematisches IKS-Kontrolltesting kann seine Wirksamkeit nicht unter Beweis stellen. Es sind klare Vorgaben zu definieren, welche Kontrollen wie, durch wen und in welcher Frequenz getestet werden. Hierzu ist ein risikoorientierter und über mehrere Jahre verteilter IKS-Kontrollplan durch die 2nd Line aufzustellen.

Um potenzielle Fallstricke zu vermeiden und herauszufinden, wie weit Ihr internes Kontrollsystem entwickelt ist, haben wir ein IKS-Fitnessprogramm entworfen. Dieses ermöglicht es Ihnen, Ihren IKS-Reifegrad auch im Vergleich zum Markt zu bestimmen und konkrete Empfehlungen für die Weiterentwicklung Ihres IKS zu erhalten.

Was beinhaltet der zeb.IKS-Fitnesscheck?

Zur Entwicklung eines maßgeschneiderten Programms erfolgt zunächst eine Erhebung und Analyse der relevanten Vitalparameter des IKS, um den Status quo zu bestimmen. Auf Basis dieser Erkenntnisse wird in der zweiten Phase eine zielgerichtete Identifizierung der Schwachstellen vorgenommen.

Um eine langfristige und nachhaltige Optimierung des IKS sicherzustellen, wird das Programm abschließend durch die Ableitung und Priorisierung von Handlungsempfehlungen sowie konkreter Umsetzungspläne ergänzt, die eine kontinuierliche Weiterentwicklung des IKS und dessen Anpassung an zukünftige Anforderungen ermöglichen.

Internes Kontrollsystem: zeb.IKS-FitnesscheckAbbildung 1: zeb.IKS-Fitnesscheck

Phase I: Standortbestimmung

Das Ziel dieser ersten Phase besteht in der Schaffung von Transparenz hinsichtlich des IKS-Reifegrads. Zur strukturierten Erhebung und Bewertung wird ein standardisierter Fragenkatalog verwendet (siehe Abbildung 2). Dieser Fragenkatalog wurde unter Berücksichtigung eines IKS-Regelkreises entwickelt (siehe BankingHub-Artikel „Blackbox Internes Kontrollsystem“), der die bewährten Best Practices aus dem Markt enthält.

Für jede Frage wird eine Einschätzung dahingehend vorgenommen, wie hoch der Erfüllungsgrad der jeweiligen Anforderung im Finanzinstitut ist. Der Erfüllungsgrad ist entsprechend zu begründen.

zeb.IKS-Fitnesscheck: Auszug aus dem FragenkatalogAbbildung 2: Auszug aus dem Fragenkatalog

Die Antworten und Begründungen werden von zeb analysiert und in einen Score übersetzt. Dieser Score stellt den IKS-Reifegrad des Instituts dar und ermöglicht zudem den Vergleich mit dem Markt.

Phase II: Identifizierung von IKS-Schwachstellen

Nach der Analyse des Reifegrads erfolgt eine Identifizierung der Weiterentwicklungspotenziale je Phase des IKS-Regelkreises. Diese dienen als Grundlage für die Ableitung von konkreten Handlungsempfehlungen zur spezifischen Weiterentwicklung des IKS.

Phase III: Ableitung von Handlungsempfehlungen

Auf Basis des im vorangegangenen Schritt analysierten Standorts und der definierten Ziele werden die identifizierten Handlungsempfehlungen gemäß der regulatorischen Anforderung und dem Implementierungsaufwand priorisiert (Abbildung 3).

zeb.IKS-Fitnesscheck: Beispielhafte Priorisierung der Handlungsempfehlungen / Internes Kontrollsystem Abbildung 3: Beispielhafte Priorisierung der Handlungsempfehlungen

Unter Berücksichtigung der priorisierten Handlungsempfehlungen werden gemeinsam individuelle Trainingspläne für die Umsetzung entwickelt. Der Fokus liegt hierbei auf dem „Train-the-trainer“-Prinzip. Unsere bisherigen Projekterfahrungen zeigen, dass die Einbindung und Unterstützung der Mitarbeitenden ein entscheidender Erfolgsfaktor für die Etablierung eines nachhaltigen IKS ist.

Die Trainingspläne werden passgenau auf die Bank zugeschnitten und beinhalten insbesondere:

  • konkrete Handlungsmaßnahmen zugeordnet zur Phase des IKS-Regelkreises,
  • klare Verantwortlichkeiten und realistische Zeitpläne,
  • praxisorientierte Lern- und Umsetzungsformate (z. B. Workshops, Prozessreviews) sowie
  • KPIs zur Fortschrittsmessung.

Ziel ist es, durch stetige Entwicklung und gezielte Trainingsmaßnahmen das IKS kontinuierlich weiterzuentwickeln und nachhaltig fit zu bekommen.

Was ist unsere zentrale Schlussfolgerung hinsichtlich der Stärkung des IKS?

Die Stärkung des IKS ist längst nicht mehr nur eine regulatorische Pflicht, vielmehr ist sie ein wesentlicher Bestandteil einer verantwortungsvollen Unternehmensführung. Mit dem zeb.IKS-Fitnesscheck besteht ein wirkungsvolles Instrument, das Banken systematisch dabei unterstützt, den Reifegrad ihres IKS zu analysieren, Schwächen gezielt zu adressieren, strukturiert in die Weiterentwicklung des IKS zu investieren und deren nachhaltige Umsetzung sicherzustellen.

Der zeb.IKS-Fitnesscheck liefert nicht nur eine Standortbestimmung, sondern ist Ausgangspunkt für eine nachhaltige Stärkung der Kontrollfunktionen in der Bank – und somit ein wirksamer Hebel für langfristigen Erfolg.

Sie sollten nun in der Lage sein, über diese zentralen Punkte des Artikels zu sprechen:
  • Was ist die Hauptfunktion eines funktionstüchtigen und wirkungsvollen internen Kontrollsystems (IKS)? Ein funktionstüchtiges und wirkungsvolles internes Kontrollsystem (IKS) ist ein fester Bestandteil im Management der Non-Financial Risks einer Bank und trägt maßgeblich zu einer sicheren und ordnungsgemäßen Geschäftsorganisation bei. Die regelmäßige Überprüfung des IKS ist essenziell, um die Stabilität und Effizienz von Prozessen sicherzustellen. Ein wirksames IKS dient dazu, langfristig eine starke Vertrauensbasis gegenüber Kunden, Investor:innen und Aufsichtsbehörden zu schaffen.
  • Welche zentralen Weiterentwicklungsmaßnahmen werden aktuell im Markt beobachtet? Im Rahmen von Projekten zur effektiveren und effizienteren Aufstellung des IKS wurden eine Reihe von Weiterentwicklungsmaßnahmen identifiziert. Dazu gehören die Verzahnung des OpRisk- und IKS-Assessments, die klare Definition von Verantwortlichkeiten und die Zusammenarbeit zwischen der 1st und 2nd Line, die Anwendung eines risikoorientierten Ansatzes bei der Kontrollbestimmung sowie die Etablierung eines systematischen IKS-Kontrolltestingkonzepts.
  • Wie sind die Verantwortlichkeiten zwischen der 1st und 2nd Line im IKS typischerweise abgegrenzt? Für ein wirksames IKS müssen die Verantwortlichkeiten der 1st und 2nd Line klar definiert und voneinander abgegrenzt werden. Die 1st Line ist zuständig für die Definition der Prozesse sowie die Identifikation und Bewertung der Non-Financial Risks. Die 2nd Line hingegen stellt die Einhaltung der eigens entwickelten Vorgaben sicher und hat die Aufgabe, die Ergebnisse der 1st Line zu plausibilisieren.
  • Was beinhaltet der dreistufige zeb.IKS-Fitnesscheck? Der zeb.IKS-Fitnesscheck ist ein Programm, das entwickelt wurde, um den IKS-Reifegrad zu bestimmen und konkrete Empfehlungen zur Weiterentwicklung zu geben. Er gliedert sich in drei Phasen:
    • Phase I – Standortbestimmung: Hier erfolgen die Erhebung und Analyse der relevanten Vitalparameter des IKS, um Transparenz hinsichtlich des IKS-Reifegrads zu schaffen und den Status quo zu bestimmen.
    • Phase II – Identifizierung von IKS-Schwachstellen: Auf Grundlage der Erkenntnisse aus Phase I wird eine gezielte Identifizierung von Schwachstellen vorgenommen.
    • Phase III – Ableitung von Handlungsempfehlungen: Abschließend werden Handlungsempfehlungen abgeleitet und, basierend auf dem Implementierungsaufwand und der regulatorischen Anforderung, priorisiert.

Sprechen Sie uns gerne an!

Dr. Saskia Hohe / Autorin BankingHub

Dr. Saskia Hohe

Partnerin bei zeb Office Frankfurt
Emanuel Hierl / Autor BankingHub

Emanuel Hierl

Manager bei zeb Office Zürich
Jonna Budelmann / Autorin BankingHub

Jonna Budelmann

Autorin Budelmann Jonna

Artikel teilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach