Prüfungserfahrungen zu AT 8.2 MaRisk

image_print

Dr. Karsten Geiersbach (CIA), Bereichsdirektor Interne Revision, Kasseler Sparkasse

Wie ein Prozess zur Umsetzung der Anforderungen des AT 8.2 MaRisk (Änderungen betrieblicher Prozesse oder Strukturen) gestaltet werden kann, wird anhand eines Beispiels aus der Praxis vorgestellt.

IKS-Beschreibung: Grundlage für Kontrollplan und Schlüsselkontrollen

Eine Voraussetzung für eine Prüfung der wesentlichen Veränderungen bildet die Definition eines Standards bzw. Ausgangspunktes, um die Wesentlichkeit von Veränderungen der Aufbau- und Ablauforganisation sowie der IT-Systeme frühzeitig identifizieren und bewerten zu können. D. h., in den Organisationsrichtlinien ist ein System für ein wirksames und angemessenes Internes Kontrollsystem (IKS) – die Aufbau- und Ablauforganisation nach AT 4.3.1 MaRisk ist Teil des IKS (AT 4.3) – zu definieren. Dies gilt analog für die IT-Systeme, zu denen auch IT-Berechtigungen zählen, denn auch für IT-Risiken sind nach AT 7.2 Tz. 4 „angemessene Überwachungs- und Steuerungsprozesse einzurichten“; letztere somit verstanden als Teil einer funktionsfähigen Internal Governance (Überwachungs-, Steuerungs- und Führungssysteme). Eine solche IKS-Beschreibung dient auch als Voraussetzung für einen Kontrollplan und für die Ableitung von Schlüsselkontrollen. In der Praxis wird die Struktur der IKS-Ausgestaltung häufig in Anlehnung an das COSO II-Modell aufgebaut

Definition der Wesentlichkeit

Als Kriterien für die Existenz einer wesentlichen Veränderung sind neuartige oder komplexe Themengebiete, strategische Relevanz oder aufsichtliche bzw. gesetzliche Rahmenbedingungen in unserem Fall definiert. Des Weiteren müssen ein angemessenes Verfahren und Indizien für die Prüfung einer wesentlichen Veränderung in die Organisationsrichtlinien aufgenommen werden. Wie in unserem Praxisfall etabliert, können als Beispiele für wesentliche Veränderungen z. B. dienen:

  • Projektumfang/-intensität
  • Einbindung von Externen (Beratern, WP-Gesellschaft …)
  • Änderung in der strategischen Ausrichtung und/oder der Vertriebsstruktur
  • Umfangreiche Administrationstätigkeiten und/oder Schulungsmaßnahmen
  • Deutliche Veränderung(en) in der Kontrollstruktur und/oder in den IT-Systemen
  • Kompetenzveränderungen/-aufbau
  • Veränderungen der Organisationsstruktur
  • Veränderungen bei den (wesentlichen) Auslagerungen (AT 9 MaRisk)
  • Übernahmen und Fusionen (AT 8.3 MaRisk) etc.

Der verantwortliche Fachbereich hat die Beachtung der zuvor genannten Indizien und ihre potenziellen Auswirkungen auf das IKS und die Kontrollintensität zu analysieren und nachvollziehbar zu dokumentieren. Lautet das Ergebnis, dass eine wesentliche Veränderung in der Aufbau- und Ablauforganisation vorliegt, so ist eine Auswirkungsanalyse vor der Umsetzung durchzuführen. Federführend ist der zuständige Fachbereich (Impulsgeber), der hierfür die weiteren betroffenen Fachbereiche sowie – soweit erforderlich – die Risikocontrolling-Funktion, die Compliance-Funktionen und die Interne Revision hinzuziehen muss (analog dem Neu-Produkt-Prozess nach AT 8.1 MaRisk). Der Personenkreis sollte auch um den Informationssicherheits-Beauftragten, falls Regelungen mit Bezug zur Informationssicherheit betroffen sind, und/oder den Datenschutz-Beauftragten, falls Regelungen mit Bezug zum Datenschutz tangiert sind, erweitert werden. Dies spiegelt die Struktur des Three Lines of Defense-Modells wider.

In einem Vordruck sollten von dem verantwortlichen Fachbereich folgende Punkte hinsichtlich der geplanten Veränderung(en) dokumentiert werden:

  • Beschreibung/Inhalt
  • Projekt oder Linientätigkeit
  • Kategorisierung (Gesetz, Komplexität, Strategie …)
  • Konkretisierung (Aufbau-, Ablauforganisation, Kompetenzen)
  • IT-System: bankfachliche Anwendung, Release, Rechtesystem …
  • Ablauforganisation: Aufsicht, Verbraucher-/Datenschutz, Schnittstellen …

Für die Beurteilung der Wesentlichkeitseinschätzung der geplanten Veränderungen wird in dem Praxisfall auf die folgenden gewichteten Kriterien zurückgegriffen:

  • Notwendigkeit eines erheblichen Kompetenzaufbaus?
  • Auswirkungen auf die Risikosituation (Vermögens-/Ertragslage, Eigenmittel-
    anforderungen, Risikotragfähigkeitskonzept)?
  • Auswirkungen auf die Verfügbarkeit von IT-Systemen?
  • Erhöhte Auswirkungen auf operationelle Risiken?

Handelt es sich um eine wesentliche Veränderung, so ist die Auswirkungsanalyse auf einem Vordruck zu dokumentieren. Hierbei müssen die folgenden Auswirkungen analysiert und ggf. beschrieben werden, die auf die im Folgenden aufgeführten Aspekte ausstrahlen. Abschließend ist der Anpassungsbedarf durch diese Veränderungen auf die bestehenden Kontroll- und Risikomanagementsysteme zu untersuchen und ebenfalls festzuhalten:

  • Risikomanagement inkl. Reporting und Datenqualität
  • Managementinformationssysteme
  • Compliance-relevante Kontrollverfahren
  • Handels- und Abwicklungsprozesse
  • Meldewesen
  • Ressourcenausstattung (AT 7 MaRisk)
  • Auslagerungen (§ 25b KWG i. V. m. AT 9 MaRisk).

Die jeweilige Risikokennzahl wird mittels der Risikobedeutung (Klassen 1–4) dieser einzelnen Kriterien ermittelt, die sich an die Systematik in der Risikoinventur anlehnt. Die Klasseneinteilung gliedert sich von unwesentlich (1) bis wesentlich (4) und orientiert sich – je Klasse prozentual ansteigend – an dem freien Risikodeckungspotenzial. D. h., jeder Klasse wird eine Bandbreite in absoluten Euro-Beträgen zugeordnet, um die Risikobedeutung eingrenzen zu können. Unter Berücksichtigung der Gewichtungsfaktoren wird anschließend die Gesamtrisikokennzahl berechnet, mit deren Hilfe die Veränderung als wesentlich oder nicht wesentlich eingestuft wird.

Die Auswirkungsanalyse ist vom initiierenden Bereich – im Sinne des Three Lines of Defense-Modells – an den Leiter der Risikocontrolling-Funktion, den Compliance-Beauftragten, den Informationssicherheits- und Datenschutzbeauftragten sowie die Interne Revision weiterzuleiten, die diese plausibilisieren und bewerten.

PRAXISTIPPS

  • Klare Prozesse und Verfahren sowie Zuständigkeiten für ein Internes Kontrollsystem und für den Anpassungsprozess für Änderungen bei Prozessen und Strukturen definieren.
  • Ziel ist die frühzeitige Identifizierung und Analyse der Veränderung auf ihre Wesentlichkeit – vor der operativen Umsetzung.
  • Beherrschbarkeit und Eintrittswahrscheinlichkeit sind keine geeigneten Kriterien für die Ermittlung der Risikokennzahl.
  • Verzahnung des Systems mit der Risikoinventur (Einheitlichkeit bei der Risikobedeutung).
  • Der Internen Revision sollten alle Wesentlichkeitseinschätzungen vorgelegt werden, also auch die der nicht wesentlichen Veränderungen.
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.