Was zeichnet ein wirksames internes Kontrollsystem (IKS) aus?
Obwohl sich ein verstärktes Bewusstsein für die Bedeutung eines wirksamen IKS etabliert hat und die regulatorischen Anforderungen stetig steigen, lassen sich in der Praxis eine Reihe von methodischen sowie organisatorischen Schwachstellen beobachten. Diese verdeutlichen, dass eine einmalige Implementierung eines IKS nicht ausreicht, um dessen Potenzial auszuschöpfen. Vielmehr erfordert ein effektives IKS eine kontinuierliche Weiterentwicklung und regelmäßige Überprüfung, um nachhaltig Wirkung zu entfalten und als strategischer – mitunter wettbewerbsdifferenzierender – Erfolgsfaktor zu dienen.
Informationen zu den regulatorischen Anforderungen an ein IKS können in dem Beitrag „Blackbox Internes Kontrollsystem“ unserer Kolleg:innen eingesehen werden. Die dort erläuterten Inhalte und insbesondere der skizzierte IKS-Regelkreis sowie die beschriebenen Verantwortlichkeiten bilden die Grundlage für unseren IKS-Fitnesscheck.
Warum ist eine regelmäßige Weiterentwicklung des IKS essenziell?
Eine regelmäßige Überprüfung des IKS ist essenziell, um die Stabilität und Effizienz von Prozessen sicherzustellen. Zudem trägt ein wirksames IKS dazu bei, Non-Financial Risks proaktiv zu managen und damit langfristig eine starke Vertrauensbasis gegenüber Kunden, Investor:innen und Aufsichtsbehörden zu schaffen.
In einem dynamischen Umfeld, das stetig neue Anforderungen durch Innovationen und die Regulatorik mit sich bringt, kann ein ineffektives IKS erhebliche Risiken bergen und zu hohen Bußgeldern oder Reputationsverlusten führen.
Welche Weiterentwicklungsmaßnahmen werden auf dem Markt beobachtet?
Im Rahmen von Projekten bei Kunden haben wir eine Reihe von Weiterentwicklungsmaßnahmen identifiziert, um das IKS sowohl effektiver als auch effizienter aufzustellen.
Verzahnung des OpRisk- und IKS-Assessments
In der Praxis werden eine Risikoanalyse basierend auf den Prozessen für das IKS und eine Risikoanalyse für operationelle Risiken auf Grundlage der aufsichtsrechtlichen Ereigniskategorien durchgeführt. Beide Instrumente haben das Ziel, operationelle Risiken oder im weiteren Sinne Non-Financial Risks zu identifizieren und zu bewerten.
Eine Abstimmung der Methodik zur Bewertung der Risiken in Form einer Risikomatrix und zur Bewertung von Brutto- und/oder Nettorisiken sowie der Normal- vs. Worst-Case-Betrachtung ist eine Voraussetzung dafür, dass keine redundante Bewertung der operationellen Risiken erfolgt. Darüber hinaus können basierend auf einer einheitlichen Risikobewertungsmethodik die Detail-Assessments von Non-Financial Risks/operationellen Risiken (z. B. Drittbezüge, Compliance, IKT-Risiken) integriert werden.
Klare Verantwortlichkeiten und Zusammenarbeit zwischen der 1st und 2nd Line
Für ein wirksames IKS sind die Verantwortlichkeiten der 1st und 2nd Line klar zu definieren und voneinander abzugrenzen. Die Verantwortlichkeit für die Definition der Prozesse sowie die Identifikation und Bewertung der Non-Financial Risks ist eine nicht delegierbare Aufgabe der 1st Line. Die 2nd Line hat die Einhaltung der eigens entwickelten Vorgaben und Methoden sicherzustellen und die Ergebnisse der 1st Line zu plausibilisieren.
Risikoorientierter Ansatz
In der Praxis nehmen wir in Teilen eine hohe Anzahl an Prozessen sowie Kontrollen in einem IKS wahr. Dies ist in der Regel darauf zurückzuführen, dass für die Beschreibung von Prozessen und die Bestimmung von Kontrollen kein risikoorientierter Ansatz erfolgt. So sollten alle relevanten Prozesse Bestandteil der Prozesslandkarte sein, jedoch kann sich der Detailgrad der Dokumentation der Prozesse und der Risikobewertung an der Bedeutsamkeit der Prozesse orientieren.
Ähnliches gilt für die Notwendigkeit von Kontrollen: Ist das Risiko ohne Kontrollen gering oder unterhalb der Risikotoleranzgrenze, können die Kontrollmaßnahmen oder die Durchführungsfrequenz reduziert werden.
IKS-Kontrolltestingkonzept
Ein IKS ohne systematisches IKS-Kontrolltesting kann seine Wirksamkeit nicht unter Beweis stellen. Es sind klare Vorgaben zu definieren, welche Kontrollen wie, durch wen und in welcher Frequenz getestet werden. Hierzu ist ein risikoorientierter und über mehrere Jahre verteilter IKS-Kontrollplan durch die 2nd Line aufzustellen.
Um potenzielle Fallstricke zu vermeiden und herauszufinden, wie weit Ihr internes Kontrollsystem entwickelt ist, haben wir ein IKS-Fitnessprogramm entworfen. Dieses ermöglicht es Ihnen, Ihren IKS-Reifegrad auch im Vergleich zum Markt zu bestimmen und konkrete Empfehlungen für die Weiterentwicklung Ihres IKS zu erhalten.
BankingHub-Newsletter
Analysen, Artikel sowie Interviews rund um Trends und Innovationen im Banking alle 2-3 Wochen direkt in Ihr Postfach
„(erforderlich)“ zeigt erforderliche Felder an
Was beinhaltet der zeb.IKS-Fitnesscheck?
Zur Entwicklung eines maßgeschneiderten Programms erfolgt zunächst eine Erhebung und Analyse der relevanten Vitalparameter des IKS, um den Status quo zu bestimmen. Auf Basis dieser Erkenntnisse wird in der zweiten Phase eine zielgerichtete Identifizierung der Schwachstellen vorgenommen.
Um eine langfristige und nachhaltige Optimierung des IKS sicherzustellen, wird das Programm abschließend durch die Ableitung und Priorisierung von Handlungsempfehlungen sowie konkreter Umsetzungspläne ergänzt, die eine kontinuierliche Weiterentwicklung des IKS und dessen Anpassung an zukünftige Anforderungen ermöglichen.
Phase I: Standortbestimmung
Das Ziel dieser ersten Phase besteht in der Schaffung von Transparenz hinsichtlich des IKS-Reifegrads. Zur strukturierten Erhebung und Bewertung wird ein standardisierter Fragenkatalog verwendet (siehe Abbildung 2). Dieser Fragenkatalog wurde unter Berücksichtigung eines IKS-Regelkreises entwickelt (siehe BankingHub-Artikel „Blackbox Internes Kontrollsystem“), der die bewährten Best Practices aus dem Markt enthält.
Für jede Frage wird eine Einschätzung dahingehend vorgenommen, wie hoch der Erfüllungsgrad der jeweiligen Anforderung im Finanzinstitut ist. Der Erfüllungsgrad ist entsprechend zu begründen.
Die Antworten und Begründungen werden von zeb analysiert und in einen Score übersetzt. Dieser Score stellt den IKS-Reifegrad des Instituts dar und ermöglicht zudem den Vergleich mit dem Markt.
Phase II: Identifizierung von IKS-Schwachstellen
Nach der Analyse des Reifegrads erfolgt eine Identifizierung der Weiterentwicklungspotenziale je Phase des IKS-Regelkreises. Diese dienen als Grundlage für die Ableitung von konkreten Handlungsempfehlungen zur spezifischen Weiterentwicklung des IKS.
Phase III: Ableitung von Handlungsempfehlungen
Auf Basis des im vorangegangenen Schritt analysierten Standorts und der definierten Ziele werden die identifizierten Handlungsempfehlungen gemäß der regulatorischen Anforderung und dem Implementierungsaufwand priorisiert (Abbildung 3).
Unter Berücksichtigung der priorisierten Handlungsempfehlungen werden gemeinsam individuelle Trainingspläne für die Umsetzung entwickelt. Der Fokus liegt hierbei auf dem „Train-the-trainer“-Prinzip. Unsere bisherigen Projekterfahrungen zeigen, dass die Einbindung und Unterstützung der Mitarbeitenden ein entscheidender Erfolgsfaktor für die Etablierung eines nachhaltigen IKS ist.
Die Trainingspläne werden passgenau auf die Bank zugeschnitten und beinhalten insbesondere:
- konkrete Handlungsmaßnahmen zugeordnet zur Phase des IKS-Regelkreises,
- klare Verantwortlichkeiten und realistische Zeitpläne,
- praxisorientierte Lern- und Umsetzungsformate (z. B. Workshops, Prozessreviews) sowie
- KPIs zur Fortschrittsmessung.
Ziel ist es, durch stetige Entwicklung und gezielte Trainingsmaßnahmen das IKS kontinuierlich weiterzuentwickeln und nachhaltig fit zu bekommen.
Was ist unsere zentrale Schlussfolgerung hinsichtlich der Stärkung des IKS?
Die Stärkung des IKS ist längst nicht mehr nur eine regulatorische Pflicht, vielmehr ist sie ein wesentlicher Bestandteil einer verantwortungsvollen Unternehmensführung. Mit dem zeb.IKS-Fitnesscheck besteht ein wirkungsvolles Instrument, das Banken systematisch dabei unterstützt, den Reifegrad ihres IKS zu analysieren, Schwächen gezielt zu adressieren, strukturiert in die Weiterentwicklung des IKS zu investieren und deren nachhaltige Umsetzung sicherzustellen.
Der zeb.IKS-Fitnesscheck liefert nicht nur eine Standortbestimmung, sondern ist Ausgangspunkt für eine nachhaltige Stärkung der Kontrollfunktionen in der Bank – und somit ein wirksamer Hebel für langfristigen Erfolg.

