IKS neu gedacht – Schlüsselkontrollkonzept 3.0

Michael Helfer, Geschäftsführer, FCH Consult GmbH

I. Der regulatorische Leidensdruck in der Praxis steigt weiter an

Kommt Ihnen das bekannt vor: Alle reden über die „Small Banking Box“, aber nichts passiert? Wie wäre es aber mit Ihrer eigenen Small Regulatory Box? Gibt es so etwas? Schauen wir uns doch die deutsche Regulatorik (insbesondere die MaRisk) etwas näher an. Diese hat sich seit 2005 deutlich im Umfang erweitert und ist zudem immer mehr regelbasierend ausgerichtet worden. Ergänzend hinzu kommt die europäische Regulatorik (EU, EBA, EZB), welche regelbasierend (z. B. CRR) und prinzipienorientiert ist (z. B. EBA-Richtlinien zur „Internen Governance“). Die Verantwortlichen in den Banken und Sparkassen stöhnen zu Recht (?) unter der Regulatorik. In der Tat, die Regulatorik ist umfangreich und auch deutlich in der Breite gewachsen (u. a. durch Bereiche, für die es früher keine Anforderungen gab, z. B. MaBesch für das Beschwerdemanagement). Vieles davon ist durchaus sinnvoll – sofern es denn sachgerecht umgesetzt wird (vgl. MaRisk: „Art, Umfang, Risikogehalt und Komplexität des Geschäftsmodells“). Jedoch ist dies in den Instituten leider nicht immer gelungen. Statt sich aus prozessualer Sicht mit den Themen zu beschäftigen wurden die regulatorischen Anforderungen in der Vergangenheit „immer nur draufgesattelt“.

Bereits in der Erstfassung der MaRisk (2005) hatte die BaFin ihre Erwartungshaltung bezüglich der Aufgabenwahrnehmung innerhalb der Bankorganisation klar artikuliert. Danach heißt es: „Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen“ (AT 4.3.1, Tz. 2 Satz 1 MaRisk). Mit den MaRisk 5.0 (2012) wurden zudem – induziert durch die EBA-Leitlinien zur Internen Governance – die internen Kontrollbausteine um zwei weitere wichtige Bausteine erweitert (Risikocontrolling und Compliance).

 

 Filmtipps 

IKS 2.0 Schlüsselkontrollkonzept.

MaRisk-Novelle 2017

 

 

Grundlage der in der MaRisk dokumentierten Erwartungshaltung sind zum einen Aspekte der Ordnung der Aufbau- und Ablauforganisation nach betriebswirtschaftlichen Grundsätzen, aber auch negative Erfahrungen aus der Vergangenheit. Insbesondere in Prüfungen nach § 44 KWG wurde vielfach festgestellt, dass eindeutig abgestimmte (und dokumentierte) Vorgaben in den Instituten fehlten, mit der Folge, dass formelle und materielle Kontrollschwächen schlagend wurden. Damit die Organisation in Banken aber einwandfrei funktioniert, stellt die Umsetzung der vorgenannten MaRisk-Vorgabe daher einen zentralen Baustein innerhalb der ordnungsgemäßen Geschäftsorganisation dar.

Nach wie vor ist in den Häusern aber zu beobachten bzw. festzustellen, dass allumfassende Prozessdokumentationen (zumindest für alle wesentlichen Prozesse der Bank) nicht bzw. nur rudimentär oder zu granular (als Fließtext) existieren. Erschwerend kommt hinzu, dass es oftmals noch nicht gelungen ist, eine so genannte „Prozess-Denke“ in der Kultur der Häuser zu verankern. Die Gründe dafür sind vielfältig. Zum einen liegt dies daran, dass keine transparente Prozesslandkarte über alle Prozesse vorhanden ist, zum anderen werden nach wie vor (überwiegend bankaufsichtlich getriebene) isolierte Maßnahmen durchgeführt, welche nicht die Gesamtauswirkung auf den kompletten Prozess berücksichtigen (vgl. AT 8.2 MaRisk).

 

II. Implementierung eines Schlüsselkontrollkonzepts als praktikable Lösung

Grundvoraussetzung ist u. a., dass die Prozesse nicht nur aus Dokumentationen in schriftlicher Form bestehen, sondern aus dem Zusammenspiel der schriftlich fixierten Vorgaben im Kontext mit den dafür verwendeten IT-Verfahren und den in den Prozessen arbeitenden Mitarbeitern. Jedes Institut muss ganz individuell sicherstellen, dass alle relevanten gesetzlichen und regulatorischen Vorgaben im Internen Kontrollsystem (IKS) seinen Niederschlag finden. Entscheidend für eine schlanke Umsetzung der Regulatorik ist dabei ein abgestimmtes und dokumentiertes Rollenverständnis aller Beteiligten der sog. „ersten, zweiten und dritten Verteidigungslinie“ (sog. „Three-Lines-of-Defence-Modell“ oder auch „3 LoD“). Die Bereiche der ersten Verteidigungslinie sind nach den MaRisk für die Implementierung und Durchführung des IKS im zugeordneten Prozess verantwortlich. Dazu gehören u. a. die Bewertung der operationellen Risiken, das Sicherstellen einer angemessenen Implementierung von Kontrollen im Prozess (diese müssen auf die Risiken „einzahlen“) nebst der erforderlichen aufbauorganisatorischen Kontrollen, die Verantwortung für Durchführung und Qualität der der angewiesenen Kontrollen, die Verantwortung für die Richtigkeit und Vollständigkeit der Daten, das Initiieren und Mitwirken an Verbesserungen der Kontrollen sowie die Verantwortung für die Umsetzung von regulatorischen Änderungen und Neuerungen (insbesondere der wesentlichen) in der Aufbau- und Ablauforganisation (inkl. IT). Zu den Bereichen der zweiten Verteidigungslinie gehören u. a. Compliance, Geldwäsche, Organisation, Prozessmanagement, IKS-Steuerung, Auslagerungsstelle, IT-Sicherheit, Datenschutz, FRAUD-Prävention, Marktfolge aktiv (risikorelevantes Kreditgeschäft) und Risikocontrolling. Ihre Aufgabe besteht im Wesentlichen darin, die ordnungsgemäße Aufgabenwahrnehmung der ersten Verteidigungslinie zu überwachen sowie gegebenenfalls qualitätssichernden Maßnahmen durchzuführen. Die dritte Verteidigungslinie wird durch die Interne Revision wahrgenommen, welche das IKS risikoorientiert zu prüfen hat.

 

 Beratungstipps

IKS 3.0: Schlüsselkontrollkonzept

Prozessmanagement im Fokus von MaRisk & BAIT: Aufbau/Bewertung & Auditierung

Quick Check „Entschlacktes Organisationshandbuch“

Starter-Kit Risikokultur

Fit für die Sonderprüfung nach § 44 KWG

Fit für MaRisk-Prüfung Gesamtbanksteuerung

Fit für die BAIT und die Sonderprüfung-IT

Quality Assessment & Performance-Analyse der Internen Revision

Effektives & effizientes Zusammenspiel von Compliance & Interner Revision

Implementierung eines effizienten & wirksamen Auslagerungsmanagements

Quick-Check Beauftragtenwesen

Prüfung MaRisk Compliance

 

Wenn die Rollen geklärt sind und auch gelebt werden (was eine anstrengende und Disziplin erfordernde Daueraufgabe ist!) gilt es auf der Basis einer Prozesslandkarte (eine klassische Regionalbank sollte nicht mehr als 120–150 davon haben, damit diese auch wirksam gesteuert werden können) zunächst mal alle Kontrollen in den Prozessen zu identifizieren. In einem weiteren Schritt sind dann auf der Basis von Wesentlichkeitsfaktoren die wesentlichen Kontrollen (Schlüsselkontrollen) zu selektieren. Von hoher Bedeutung ist es hier, die Kontrollen mit den Risiken zu „verheiraten“ (Sie erinnern sich: Kontrollen müssen auf Risiken einzahlen). Wenn dieser Schritt erst einmal getan ist, sind zumeist schon zahlreiche Kontrollen entfallen, weil dafür keine zwingende Notwendigkeit mehr besteht (erfahrungsgemäß bis zu 25 % der aktuell bestehenden Kontrollen!; Anmerkung: eine klassische Regionalbank hat i. d. R. ca. 600–1000 manuelle Prozesskontrollen).

 

 Seminartipps

InformationsRisikoManagement: Zusammenspiel ISB, Compliance & Revision, 27.03.2019 Köln.

Steuerung von IT-Risiken im OpRisk-Management, 09.052019, Frankfurt/Offenbach.

Prozesse/Orga-Handbuch und IKS, 20.-21.05.2019, Berlin.

Im Prüfungsfokus: Wesentliche Prozesse & AT 8.2-Handhabung, 22.05.2019, Berlin.

Prozessorientierte Prüfungslandkarten & Berichte für die Revision, 24.09.2019, Köln.

Entschlackte Organisations-Richtlinien, 25.-26.09.2019, Köln.

Schlüsselkontrollen Spezial: Kreditprozesse, 09.10.2019, Berlin.

IKS-Prüfungen durch die Bundesbank, 06.11.2019. Hamburg.

Schlüsselkontrollkonzept 3.0: Aufbau & Prüfung, 20.11.2019, Berlin.

Prüfung Neue-Produkte-Prozess (NPP) & Produktkatalog, 03.12.2019, Frankfurt/M.

 

III. Fazit

Im Kern geht es darum, welche Funktion (Rolle) innerhalb eines Instituts welche konkreten Aufgaben insbesondere innerhalb des IKS wahrnimmt, und dass dies auf einer transparenten Basis passiert. Die mittlerweile zahlreichen IKS-Vorgaben wie z. B. eine geforderte IKS-Wirksamkeits-Überwachung und drohende Konsequenzen wie z. B. Kapitalzuschläge bei IKS-Mängeln erfordern eine Systematisierung und Dokumentation der oftmals in den Arbeitsanweisungen verstreuten Kontrollen. Die Aufnahme und Bewertung dieser Kontrollen ist bedingt durch häufig nicht prozessorientierte Ablaufbeschreibungen jedoch sehr mühselig und zeitraubend. Das Management der Regulatorik („Small Regulatory Box“) durch eine prüfungssichere Risiko-Kontroll-Matrix als zentrales IKS-Steuerungsinstrument (Basis: Prozesslandkarte) ist daher eine der aktuellen und wichtigen Herausforderungen für die deutschen Banken und Sparkassen. Auf dieser Basis können das IKS-Design, die Dokumentation, ein fortlaufendes Monitoring (inkl. Kontroll-Tests!) sowie die entsprechenden Elemente der Berichterstattung festgelegt werden.

 

Sie haben Fragen? Sie suchen praktikable Lösungen für Ihr IKS/Schlüsselkontrollkonzept?

Sprechen Sie mich gerne an:

Michael Helfer
Geschäftsführer
Tel.: +49 6221 99 89 8 – 0
E-Mail: Michael.Helfer@FC-Heidelberg.de

www.fchconsult.de
FCH Consult GmbH
Im Bosseldorn 30
D-69126 Heidelberg

 

 

Beitragsnummer: 58940

 



0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.