Gisela Conrads, Leiterin Interne Revision, Münchener Hypothekenbank eG
Die Definition der Schlüsselkontrolle beschränkte sich lange Zeit im Wesentlichen auf die Beurteilung der Wirksamkeit des IKS für die Rechnungslegung. Aufgrund erweiterter aufsichtsrechtlicher und gesetzlicher Anforderungen (u. a. MaRisk AT 4.4 und BT 2; § 25a Abs. 1 KWG, EBA Guidelines) erlangte die „Schlüsselkontrolle“ in den letzten Jahren eine neue Bedeutung für die Überwachung des gesamten Unternehmens und hielt Einzug in den Sprachgebrauch aller Internen Kontrollsysteme. Die in § 25a KWG geregelten organisatorischen Pflichten betonen, dass die Geschäftsleitung des Instituts für die ordnungsgemäße Geschäftsorganisation verantwortlich ist. Hierzu zählen ein angemessenes und wirksames Risikomanagement sowie die Einrichtung Interner Kontrollverfahren.
Kontrollen sind i. d. R.:
- 4-Augen-Prinzip (z. B. Kompetenzen)
- Einzelkontrollen (z. B. Stichproben)
- Systemkontrollen (z. B. Plausibilitätskontrollen).
Wenn man der Frage nachgeht, um welche Kontrolle es sich bei der Schlüsselkontrolle handelt, wird man schnell feststellen, dass es sich nicht um eine neue Art der Kontrolle handelt.
Die Schlüsselkontrolle definiert Kontrollziele für einzelne Risiken (inkl. der operativen Strategieeinhaltung) und erfüllt aufsichtsrechtliche bzw. gesetzliche Anforderungen, ohne dass aktuell eine einheitliche Definition des Begriffs „Schlüsselkontrolle“ im Gesetz oder Aufsichtsrecht vorgegeben wird. Schlüsselkontrollen zeichnen sich daher durch ihre besondere Rolle innerhalb eines Prozesses aus und sollen dazu beitragen, unter Kosten-Nutzen-Aspekten wesentliche Risiken zu vermeiden, vermindern oder aufdecken. Dabei können der maßgeblichen Schlüsselkontrolle auch mehrere Einzelkontrollen vorausgehen. Schlüsselkontrollen sind individuell für jedes Geschäftsmodell festzulegen und in strukturierter Form zu überwachen.
Um entsprechende Schlüsselkontrollen implementieren zu können, ist eine Zerlegung aller Geschäftsprozesse in Teilprozesse sowie eine Bewertung der einzelnen Prozesse erforderlich. Die Bewertung der Prozesse und möglicher Kontrollen sollte dabei unternehmensabhängig in Einklang mit den erwarteten Risiken und den für die Kontrollen entstehenden Kosten stehen. Nicht jede teure Kontrolle vermindert auch hohe Risiken.
Auch aus den Anforderungen der „Leitlinien zum einheitlichen Überprüfungs- und Bewertungsprozesses (SREP)“ geht das Erfordernis, Schlüsselkontrollen zu implementieren, hervor. Die demnach erwartete Re-Kalibrierung des Internen Kontrollsystems auf Basis von Schlüsselkontrollen, wonach das Interne Kontrollsystem auf das ganze Institut auszuweiten und die Prozesse entsprechend zu überwachen sind, betrifft auch die Überwachung der „Risikokultur“. Eine nicht vorhandene oder nicht gelebte Risikokultur kann zu strategisch nicht gewünschten Risikobeiträgen, hohen Kosten bzw. Verlusten führen. Nach Ansicht der Autorin sollten die Institute daher auch „Schlüsselkontrollen“ zur Überwachung einer Risikokultur implementieren, um einen angemessenen Nachweis über die zugrunde liegenden Faktoren und deren Wirksamkeit erbringen zu können. Nur so kann sichergestellt werden, dass die Geschäftsleitung die eingangs erwähnte Verantwortung für die ordnungsgemäße Geschäftsorganisation ernst nimmt.
SEMINARTIPPS
Schlüsselkontrollen Spezial: Kreditprozesse, 09.10.2019, Berlin.IKS-Prüfungen durch die Bundesbank, 06.11.2019, Hamburg.
IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen, 20.11.2019, Berlin.Prozessorientierte Schlüsselkontrollen im Fokus der Aufsicht, 03.12.2019, Frankfurt/M.
Zunächst muss sichergestellt werden, dass unter Wirtschaftlichkeitsgesichtspunkten erforderliche Kontrollen nicht nur vorhanden sind, sondern in die bestehenden Prozesse integriert wurden und in der Organisation bekannt sind. Die Funktionsfähigkeit dieser Kontrollen ist durch die Interne Revision regelmäßig zu überprüfen. Da die Prüfung der Schlüsselkontrollen eine neue Prüfungsmethodik darstellt, bedeutet dies für die Interne Revision des Unternehmens eine Anpassung der risikoorientierten Prüfungsplanung sowie der Prüfungsansätze.
PRAXISTIPPS
- Grundlage für funktionsfähige Schlüsselkontrollen ist die Schaffung eines einheitlichen Grundverständnisses für die Themen “Prozess” und “Detailtiefe der Prozessschritte”.
- Klare Schnittstellen und Service Level Agreements sind als Grundlage verlässlicher (erwarteter) Qualität erforderlich.
- Kommunikation von „Schlüsselkontrollen“.
- So viel wie nötig, so wenig wie möglich – die Kontrollergebnisse müssen auch beachtet werden.
- Bei der Implementierung der Schlüsselkontrollen ist der Kosten-Nutzeneffekt zu beachten.
- Die Implementierung einer angemessen Risikokultur kann mittels entsprechender „Schlüsselkontrollen“ nachgewiesen werden.
Beitragsnummer: 1962