Umfang und Tiefe von Kontrolltests durch die Compliance-Funktion

image_print

Marc Stränger, Abteilungsleiter Compliance, Sparkasse Krefeld

Die Anforderungen an die Kreditinstitute steigen auch in 2018 durch die unterschiedlichsten Umsetzungen von aufsichtsrechtlichen Themenstellungen immer weiter und (leider) immer schneller an. Gerade im Bereich der Neuerungen der MaRisk, der Umsetzung von MiFID II, der 4. EU-Geldwäscherichtlinie, der IDD (Versicherungen), des Steuerumgehungsbekämpfungsgesetzes und AnaCredit/FinRep (um hier nur einige zu nennen!) besteht für die Compliance-Funktion eine große Herausforderung, den aufsichtsrechtlichen Vorgaben in Form eigener Kontrolltest gerecht zu werden. In den unterschiedlichen Zuständigkeiten der Compliance-Funktion (MaRisk, WpHG, GwG) hat diese auf die Implementierung wirksamer Kontrollen hinzuwirken und als Teil der zweiten Verteidigungslinie im Institut im Internen Kontrollsystem (IKS) durch eigene Kontrolltätigkeiten zu bestätigen. Nur hieraus kann eine wirkungsvolle Wahrnehmung der Aufgaben abgeleitet werden. Zudem dienen die Dokumentationen der Kontrollen als Nachweis gegenüber der Aufsicht, dass die Wirksamkeit des IKS gewährleistet ist.

Ausgangspunkt für derartige Kontrollen ist immer die Risiko-/Gefährdungsanalyse der Compliance-Funktion. Gerade diese sind zeitnah auf die neuen Anforderungen hin zu aktualisieren. Basierend aus den durch die Analysen gewonnen Erkenntnissen ist ein stringenter Kontrollplan zu erstellen, der unterjährig entsprechend abzuarbeiten ist. Der Fokus sollte hierbei vor allem auch auf einem risikobasierten Ansatz liegen. Dieser risikobasierte Ansatz dient dazu, hieraus letztlich einen angemessenen Kontrollumfang abzuleiten, der sich auch an der tatsächlichen Risikolage orientiert. Sinnvoll ist es zudem, die Kontrollen auch als eine Art „Vor-Ort-Kontrolle“ durchzuführen. Bei dieser Kontrolle sollten bereits im Vorfeld adäquate Kontrollziele und -fragen herausgearbeitet werden, um möglichst eine effektive Vorgehensweise der Compliance-Funktion zu gewährleisten und die Belastung für den kontrollierten Bereich so gering wie möglich zu halten. Bei einer Vor-Ort-Kontrolle können zudem mehrere Themenstellungen in Kombination abgearbeitet werden, um einen entsprechenden Synergieeffekt zu erzielen.

Bei der Durchführung von Kontrolltests durch die Compliance-Funktion sind alle relevanten Sachverhalte in die Vorbereitung der Kontrolle einzubeziehen. Hierbei stellt sich vorweg immer die Frage nach Art, Umfang und Komplexität der eingezogenen Kontrollen im jeweiligen Fachbereich sowie der bisherigen Einstufung der Tätigkeiten in der Risiko-/Gefährdungsanalyse und möglicher vorheriger Feststellungen. Hierbei sollten auch die Feststellungen der internen und externen Revision berücksichtigt werden. Darüber hinaus ist wichtig zu erheben, welche Selbstkontrollen (z. B. 4-Augen-Prinzip, nachgeschaltete Kontrollen, Betriebsüberwachung, etc.) der Fachbereich durchführt und wie diese protokolliert und dokumentiert werden (ggf. existieren Kontrollen durch Dritte, diese müssen ebenso betrachtet werden). Auf Basis der Erhebungen lässt sich auch der erforderliche Umfang der zentral durchführbaren Kontrollen und ggf. erforderlicher „Vor-Ort-Kontrollen“ ableiten.

 SEMINARTIPP

Effektive IKS-Kontrolltests, 07.03.2018, Frankfurt/M.

Sinnvoll ist, gerade bei Fachbereichskontrollen, die Wirksamkeit einer Kontrolle durch eine (repräsentative) Stichprobe zu bewerten. Dies bringt u. a. gegenüber einer „100% – Kontrolle” die Vorteile mit sich, dass hierbei geringere Kontrollkosten entstehen, die Prüfzeiten deutlich verkürzt werden und die Akzeptanz im zu kontrollierenden Bereich somit auch höher ist. Dem möglichen Risiko, dass ggf. existierende Schwachstellen im Internen Kontrollsystem nicht erkannt werden, kann man u. a. mit statistischen Methoden begegnen, um ein aussagekräftiges Kontrollergebnis zu produzieren.

Die Ergebnisse der Kontrolle sind interpretationsfrei zu dokumentieren und mit dem Fachbereich abschließend zu besprechen. Diese Dokumentationen sollten sich an den hauseigenen und vor allem aufsichtsrechtlichen Standards orientieren. Bei getroffenen Feststellungen ist es sinnvoll, dass diese sich in einem Defizitmanagement wiederfinden, um die Beseitigung von Mängeln adäquat zu begleiten und deren Beseitigung abschließend zu dokumentieren. Die Ergebnisse sollten hierbei bereits unterjährig in die Risiko-/Gefährdungsanalyse eingearbeitet werden. Mögliche Auswirkungen auf den Kontrollrhythmus (monatlich/jährlich/ 2-Jahres-Rhythmus) sind festzuhalten und zu begründen.

Aufgrund des deutlich gestiegenen Überwachungs-/Kontrollumfangs in den Fachbereichen sind die Kontroll- und Prüfungstätigkeiten zwischen Compliance und Revision bereits im Vorfeld (sofern möglich) abzustimmen, um Doppelarbeiten und noch stärkere Belastungen der Fachbereiche zu vermeiden. Hierbei gilt es auch, mögliche Synergien für beide Bereiche zu heben.

PRAXISTIPPS

  • Bei der Durchführung der Fachbereichskontrollen sollte immer die Risiko-/Gefährdungsanalyse Ausgangspunkt sein.
  • Die aus der Analyse gewonnenen Erkenntnisse sind in einen Kontrollplan zu überführen.
  • Sofern möglich, sollten Stichprobenkontrollen bevorzugt werden. Vor-Ort-Kontrollen sollten Bestandteil der Compliance-Funktion sein. Diese können auch mit unterschiedlichen Themenstellungen kombiniert werden, um Synergien zu heben.
  • Die Ergebnisse sollten unmittelbar in die Risiko-/Gefährdungsanalyse sowie in den Kontrollplan einfließen.
  • Feststellungen sollten in einem Defizitmanagement festgehalten werden.
  • Die Dokumentation der Kontrollen sollte sich an hauseigenen und aufsichtsrechtlichen Standards orientieren.
  • Um Synergien zu heben, ist eine Abstimmung zwischen Compliance und Revision empfehlenswert.
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.