Wozu braucht man einen IKS-Beauftragten?

Michael Helfer, Geschäftsführer, FCH Consult GmbH

I. Noch ein Beauftragter: Sinn oder Unsinn?

Es vergeht keine Woche, in der nicht eine wesentliche aufsichtsrechtliche Neuerung die Institute erreicht. Diese wird dann zumeist intern verteilt und im besten Fall einem Prozessverantwortlichen zugeordnet. Darüber hinaus müssen für wesentliche Prozessänderungen bestimmte Mechanismen vorhanden sein (z. B. MaRisk AT 8.2: Einbindung der diversen Compliance-Beauftragten, des Risikocontrollings und der Internen Revision). Oftmals funktionieren diese Prozeduren nur auf dem Papier (welches als Umlaufzettel durch die Bank geleitet wird), nicht aber materiell. In der Praxis ist auch zu beobachten, dass vielfach (auch aus der schieren Not der Vielzahl der Neuerungen) sogenannte Potemkinsche Dörfer errichtet werden (d. h. es werden Arbeitsrichtlinien und Arbeitsanweisungen erstellt, die jedoch materiell nicht greifen bzw. gelebt werden).

Ferner ist seit Einführung der MaRisk im Jahre 2005 eine wahre Inflation von entstandenen Kontrollen zu beobachten. Eine klassische Regionalbank hat in der Regel ca. 600–1.000 manuelle Kontrollen, welche mehr oder weniger regelmäßig ausgeführt werden. Da es keine zentrale Verantwortung für dieses Thema gibt, versuchen die verantwortlichen Fachbereiche die ihnen zugeordneten Kontrollen nach besten Wissen und Gewissen (in der zur Verfügung stehenden Zeit) zu managen. Die Problematik bei manuellen Kontrollen ist, dass diese händig ausgeführt werden müssen und damit Zeit (und Geld) kosten. Zudem ist die Fehleranfälligkeit für diese Kontrollprozesse, durch den Faktor Mensch bedingt, recht hoch. Bei in der Praxis durchgeführten Projekten ist regelmäßig zu beobachten, dass Hunderte von Kontrollen bestehen, welche nicht auf Risiken oder konkrete gesetzliche Vorgaben einzahlen (im Ergebnis also abgeschafft werden könnten).

SEMINARTIPPS

Zertifizierung

Zertifizierter IKS-Beauftragter, 04.–07.05.2020, Berlin.

IKS-Seminare

IKS KOMPAKT: Aufbau & Management einer IKS-Organisation, 04.05.2020, Berlin.

Praktische Vorgehensweisen zur Implementierung eines IKS, 05.05.2020, Berlin.

Der (zukünftige) IKS-Beauftragte, 06.05.2020, Berlin.

IKS-Bewertung & Festlegung wesentlicher Prozesse, 07.05.2020, Berlin.

(Neue) IKS-Kontrolltests im (LSI-)SREP, 25.06.2020, Frankfurt/M.

IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen, 07.10.2020, Frankfurt/M.

Weitere Seminarempfehlungen

Prozesse/Orga-Handbuch & IKS, 25.–26.03.2020, Köln.

Schlüsselkontrollen Spezial: Kreditprozesse, 18.06.2020, Frankfurt/M.

Im Prüfungsfokus: Wesentliche Prozesse & AT 8.2, 08.10.2020, Frankfurt/M.

Erschwerend kommt hinzu, dass es zahlreiche Bereiche in einer Bank gibt, die am Design und Test von Kontrollen bis hin zur Berichterstattung mitwirken, aber jeder aus seinem eigenen Blickwinkel bzw. auf der Basis seines Aufgabenprofils (z. B. Compliance-MaRisk, Compliance-WpHG, Geldwäschebeauftragter/Zentrale Stelle, Auslagerungsbeauftragter, Informationssicherheitsbeauftragter, Datenschutzbeauftragter etc.). Und hier besteht eine weitere Herausforderung: Im Kern geht es darum, welche Funktion (Rolle) innerhalb eines Instituts welche konkreten Aufgaben insbesondere innerhalb des IKS wahrnimmt und das dies auf einer transparenten Basis passiert (als wesentliche Voraussetzung dafür, dass keine Doppelarbeiten oder gar Kontrolllücken entstehen).

Neben einer ohnehin sinnvollen Überlegung, das Beauftragtenwesen besser zu koordinieren bzw. sogar zu zentralisieren, kann hier die Funktion des IKS-Beauftragten einen wesentlichen Mehrwert leisten, um sicherzustellen, dass für die Geschäftsleitung und den Aufsichtsrat eine proaktive Steuerung des internen Kontrollsystems (und damit des Managements der prozessinhärenten Risiken erfolgt).

II. Zentrale Koordinierung & Steuerung der IKS-Anforderungen

Grundvoraussetzung für eine schlanke Umsetzung der Regulatorik ist, wie zuvor ausgeführt, ein abgestimmtes und dokumentiertes Rollenverständnis aller Beteiligten der sog. „ersten, zweiten und dritten Verteidigungslinie“ (sog. „Three-Lines-of-Defence-Modell“ oder auch „3 LoD“). Die Bereiche der ersten Verteidigungslinie sind nach den MaRisk für die Implementierung und Durchführung des IKS im zugeordneten Prozess verantwortlich. Dazu gehören u. a. die Bewertung der operationellen Risiken, das Sicherstellen einer angemessenen Implementierung von Kontrollen im Prozess (diese müssen auf die Risiken „einzahlen“) nebst der erforderlichen aufbauorganisatorischen Kontrollen, die Verantwortung für Durchführung und Qualität der der angewiesenen Kontrollen, die Verantwortung für die Richtigkeit und Vollständigkeit der Daten, das Initiieren und Mitwirken an Verbesserungen der Kontrollen sowie die Verantwortung für die Umsetzung von regulatorischen Änderungen und Neuerungen (insbesondere der wesentlichen) in der Aufbau- und Ablauforganisation (inkl. IT). Zu den Bereichen der zweiten Verteidigungslinie gehören u. a. Compliance, Geldwäsche, Organisation, Prozessmanagement, IKS-Steuerung, Auslagerungsstelle, IT-Sicherheit, Datenschutz, FRAUD-Prävention, Marktfolge aktiv (risikorelevantes Kreditgeschäft), Risikocontrolling. Ihre Aufgabe besteht im Wesentlichen darin, die ordnungsgemäße Aufgabenwahrnehmung der ersten Verteidigungslinie zu überwachen sowie gegebenenfalls qualitätssichernden Maßnahmen durchzuführen. Die dritte Verteidigungslinie wird durch die Interne Revision wahrgenommen, welche das IKS risikoorientiert zu prüfen hat.

FILMTIPPS

IKS 2.0 Schlüsselkontrollkonzept

Auswirkungen der neuen Fit & Proper-Anforderungen

Film: OpRisk – Neue MaRisk & Neuer Standardansatz

Neuer AT 9 – Handlungsbedarf für die Orga

Risikokultur & Unternehmensethik

Vorstandshaftung

Der IKS-Beauftragte hat in diesem System die Aufgabe, die internen Kontrollen zu managen, d. h. einen wirksamen Managementkreislauf zu implementieren, angefangen bei einer vollständigen Kontrollinventarisierung, der Initiierung regelmäßiger Kontrolltests bis hin zur Berichterstattung an die Geschäftsleitung und gegebenenfalls das Monitoren etwaiger Verbesserungspotenziale (vgl. Schaubild).

3. Fachliches Know-how für den IKS-Beauftragten

Die mittlerweile zahlreichen IKS-Vorgaben, wie z. B. eine geforderte IKS-Wirksamkeits-Überwachung und drohende Konsequenzen, wie z. B. Kapitalzuschläge bei IKS-Mängeln, erfordern daher eine Systematisierung und Dokumentation des IKS, damit die Geschäftsleitung in regelmäßigen Abständen einen Bericht über den Zustand des internen Kontrollsystems erhalten kann. Diesbezüglich wird eine Koordinierungsfunktion im Institut benötigt, welche sich um die zuvor beschriebenen Erfordernisse kümmert. Je nach Größe des Hauses kann diese Funktion als separate Stelle oder auch angedockt an andere Beauftragten-Funktionen (oder auch dem Organisations-/Prozessmanagementbereich) zugeordnet werden.

Damit der IKS-Beauftragte die zugeordneten Aufgaben angemessen (und pragmatisch) umsetzen kann, empfiehlt sich der Erwerb bzw. das Update zu folgenden Themenbereichen:

  • Aufbau & Management einer IKS-Organisation (regulatorische Grundlagen, praxiserprobte Modelle, Aufgaben und Kompetenzen der jeweiligen Beauftragten, etc.)
  • Praktische Vorgehensweisen zur Implementierung eines professionalisierten IKS (prozessorientierte Ausrichtung, Verschlankung des Anweisungswesens, Schärfung der unterschiedlichen Rollenprofile im Institut)
  • Aufgaben, Kompetenzen und Verantwortlichkeiten eines IKS-Beauftragten (regelmäßige Aktivitäten und Abstimmungen mit anderen Beauftragten, Einbindung in interne Entscheidungsprozesse, Berichterstattung an die Geschäftsleitung)
  • Modelle zur IKS-Bewertung und Festlegung wesentlicher Prozesse (Einbindung der Methodik operationeller Risiken, Initiierung der Vereinheitlichung der im Institut unterschiedlichen Risikoanalysen).

BERATUNGSANGEBOTE

IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen

Prozessmanagement im Fokus von MaRisk & BAIT: Aufbau/Bewertung & Auditierung

Quick Check „Entschlacktes Organisationshandbuch“

Starter-Kit Risikokultur

Fit für die Sonderprüfung nach § 44 KWG

Fit für MaRisk-Prüfung Gesamtbanksteuerung

Fit für die BAIT und die Sonderprüfung-IT

Quality Assessment & Performance-Analyse der Internen Revision

Effektives & effizientes Zusammenspiel von Compliance & Interner Revision

Implementierung eines effizienten & wirksamen Auslagerungsmanagements

Quick-Check Beauftragtenwesen

Prüfung MaRisk-Compliance

Sie haben Fragen? Sprechen Sie mich gerne an:

Michael Helfer, Geschäftsführer

Tel.: +49 6221 99 89 8 – 0

E-Mail: Michael.Helfer@FC-Heidelberg.de

www.fchconsult.de

FCH Consult GmbH

Im Bosseldorn 30

D-69126 Heidelberg

Beitragsnummer: 84063


0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.