Dienstag, 31. Juli 2018

Umfang und Tiefe von Kontrolltests durch die Compliance-Funktion

Marc Stränger, Abteilungsleiter Compliance, Sparkasse Krefeld

Die Anforderungen an die Kreditinstitute steigen auch in 2018 durch die unterschiedlichsten Umsetzungen von aufsichtsrechtlichen Themenstellungen immer weiter und (leider) immer schneller an. Gerade im Bereich der Neuerungen der MaRisk, der Umsetzung von MiFID II, der 4. EU-Geldwäscherichtlinie, der IDD (Versicherungen), des Steuerumgehungsbekämpfungsgesetzes und AnaCredit/FinRep (um hier nur einige zu nennen!) besteht für die Compliance-Funktion eine große Herausforderung, den aufsichtsrechtlichen Vorgaben in Form eigener Kontrolltest gerecht zu werden. In den unterschiedlichen Zuständigkeiten der Compliance-Funktion (MaRisk, WpHG, GwG) hat diese auf die Implementierung wirksamer Kontrollen hinzuwirken und als Teil der zweiten Verteidigungslinie im Institut im Internen Kontrollsystem (IKS) durch eigene Kontrolltätigkeiten zu bestätigen. Nur hieraus kann eine wirkungsvolle Wahrnehmung der Aufgaben abgeleitet werden. Zudem dienen die Dokumentationen der Kontrollen als Nachweis gegenüber der Aufsicht, dass die Wirksamkeit des IKS gewährleistet ist.

Ausgangspunkt für derartige Kontrollen ist immer die Risiko-/Gefährdungsanalyse der Compliance-Funktion. Gerade diese sind zeitnah auf die neuen Anforderungen hin zu aktualisieren. Basierend aus den durch die Analysen gewonnen Erkenntnissen ist ein stringenter Kontrollplan zu erstellen, der unterjährig entsprechend abzuarbeiten ist. Der Fokus sollte hierbei vor allem auch auf einem risikobasierten Ansatz liegen. Dieser risikobasierte Ansatz dient dazu, hieraus letztlich einen angemessenen Kontrollumfang abzuleiten, der sich auch an der tatsächlichen Risikolage orientiert. Sinnvoll ist es zudem, die Kontrollen auch als eine Art „Vor-Ort-Kontrolle“ durchzuführen. Bei dieser Kontrolle sollten bereits im Vorfeld adäquate Kontrollziele und -fragen herausgearbeitet werden, um möglichst eine effektive Vorgehensweise der Compliance-Funktion zu gewährleisten und die Belastung für den kontrollierten Bereich so gering wie möglich zu halten. Bei einer Vor-Ort-Kontrolle können zudem mehrere Themenstellungen in Kombination abgearbeitet werden, um einen entsprechenden Synergieeffekt zu erzielen.

Bei der Durchführung von Kontrolltests durch die Compliance-Funktion sind alle relevanten Sachverhalte in die Vorbereitung der Kontrolle einzubeziehen. Hierbei stellt sich vorweg immer die Frage nach Art, Umfang und Komplexität der eingezogenen Kontrollen im jeweiligen Fachbereich sowie der bisherigen Einstufung der Tätigkeiten in der Risiko-/Gefährdungsanalyse und möglicher vorheriger Feststellungen. Hierbei sollten auch die Feststellungen der internen und externen Revision berücksichtigt werden. Darüber hinaus ist wichtig zu erheben, welche Selbstkontrollen (z. B. 4-Augen-Prinzip, nachgeschaltete Kontrollen, Betriebsüberwachung, etc.) der Fachbereich durchführt und wie diese protokolliert und dokumentiert werden (ggf. existieren Kontrollen durch Dritte, diese müssen ebenso betrachtet werden). Auf Basis der Erhebungen lässt sich auch der erforderliche Umfang der zentral durchführbaren Kontrollen und ggf. erforderlicher „Vor-Ort-Kontrollen“ ableiten.

SEMINARTIPP

Effektive IKS-Kontrolltests, 07.03.2018, Frankfurt/M.

Sinnvoll ist, gerade bei Fachbereichskontrollen, die Wirksamkeit einer Kontrolle durch eine (repräsentative) Stichprobe zu bewerten. Dies bringt u. a. gegenüber einer „100% - Kontrolle” die Vorteile mit sich, dass hierbei geringere Kontrollkosten entstehen, die Prüfzeiten deutlich verkürzt werden und die Akzeptanz im zu kontrollierenden Bereich somit auch höher ist. Dem möglichen Risiko, dass ggf. existierende Schwachstellen im Internen Kontrollsystem nicht erkannt werden, kann man u. a. mit statistischen Methoden begegnen, um ein aussagekräftiges Kontrollergebnis zu produzieren.

Die Ergebnisse der Kontrolle sind interpretationsfrei zu dokumentieren und mit dem Fachbereich abschließend zu besprechen. Diese Dokumentationen sollten sich an den hauseigenen und vor allem aufsichtsrechtlichen Standards orientieren. Bei getroffenen Feststellungen ist es sinnvoll, dass diese sich in einem Defizitmanagement wiederfinden, um die Beseitigung von Mängeln adäquat zu begleiten und deren Beseitigung abschließend zu dokumentieren. Die Ergebnisse sollten hierbei bereits unterjährig in die Risiko-/Gefährdungsanalyse eingearbeitet werden. Mögliche Auswirkungen auf den Kontrollrhythmus (monatlich/jährlich/ 2-Jahres-Rhythmus) sind festzuhalten und zu begründen.

Aufgrund des deutlich gestiegenen Überwachungs-/Kontrollumfangs in den Fachbereichen sind die Kontroll- und Prüfungstätigkeiten zwischen Compliance und Revision bereits im Vorfeld (sofern möglich) abzustimmen, um Doppelarbeiten und noch stärkere Belastungen der Fachbereiche zu vermeiden. Hierbei gilt es auch, mögliche Synergien für beide Bereiche zu heben.

PRAXISTIPPS

Bei der Durchführung der Fachbereichskontrollen sollte immer die Risiko-/Gefährdungsanalyse Ausgangspunkt sein.
Die aus der Analyse gewonnenen Erkenntnisse sind in einen Kontrollplan zu überführen.
Sofern möglich, sollten Stichprobenkontrollen bevorzugt werden. Vor-Ort-Kontrollen sollten Bestandteil der Compliance-Funktion sein. Diese können auch mit unterschiedlichen Themenstellungen kombiniert werden, um Synergien zu heben.
Die Ergebnisse sollten unmittelbar in die Risiko-/Gefährdungsanalyse sowie in den Kontrollplan einfließen.
Feststellungen sollten in einem Defizitmanagement festgehalten werden.
Die Dokumentation der Kontrollen sollte sich an hauseigenen und aufsichtsrechtlichen Standards orientieren.
Um Synergien zu heben, ist eine Abstimmung zwischen Compliance und Revision empfehlenswert.

Beitragsnummer: 385

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Aufbau eines effizienten IKS im IT-Bereich

Kontrollaspekte auf Basis BAIT, mit besonderem Fokus auf Rezertifizierung und den „High Level Controls“ für die Administratoren

29.08.2023

Vergütungsregelungen durch die Hintertür? Der neue BT 8 MaComp

Die Überführung der Leitlinien in den BT 8 der MaComp hat verschiedene wesentliche Änderungen für diesen nach sich gezogen.

09.04.2024

Kritische Würdigung des Zinsanstieges um 300 BP

Der VaR ist geeignet, der Geschäftsleitung die richtigen Steuerungsimpulse für die Zinsrisikosteuerung im Kontext der Risikotragfähigkeit zu offerieren.

22.04.2024

Geschäftsmodellanalyse und Liquiditätsmanagement

Das interne Liquiditätsmanagement muss mit den Folgen der jüngsten Bankenkrise proaktiv umgehen – ein Faktor der aufsichtlichen Geschäftsmodellanalyse.

08.11.2023