Michael Helfer, Geschäftsführer, FCH Consult GmbH
I. Nutzen Sie die Corona-Krise und entschlacken Sie jetzt Ihr Internes Kontrollsystem (IKS)
Die Corona-Krise bringt die Versäumnisse und Defizite der vergangenen Jahre in extremer Geschwindigkeit in unsere Wahrnehmung. In einem veränderten Arbeitsumfeld zeigen sich sehr schnell die Herausforderungen in unserer täglichen Arbeit: Insbesondere manuelle Kontrollprozesse lassen sich vielfach im Home Office nicht bewältigen. Unabhängig davon, wie lange uns diese Krise in ihrem Griff haben wird, ist nun der Zeitpunkt, darüber nachzudenken, wie nicht nur Vertriebsprozesse, sondern auch die Prozesse der 2. und 3. Verteidigungslinie (Kontrollbereiche und Revision) digitalisiert werden können.
Bereits vor der Krise hat die Bankenaufsicht europaweit (aber auch stark von der deutschen Aufsicht getrieben) das Thema „Small Banking Box“ in den Diskurs eingebracht, passiert ist jedoch bislang nichts. Und selbst wenn diese diskutierten Erleichterungen (wie z. B. Vereinfachung der Meldewesenanforderungen, Entfall von Offenlegungsberichten usw. für Kreditinstitute unter fünf Mrd. Bilanzsumme) evtl. kommen werden, bringt dies keine flächendeckende (und damit kostenmäßige) Erleichterung!
SEMINARTIPPS
(Neue) IKS-Kontrolltests im (LSI-)SREP, 25.06.2020, Frankfurt/M.
IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen, 07.10.2020, Frankfurt/M.
INHOUSETIPPS
Internes Kontrollsystem (IKS).
Quality-Check IKS.
In der Praxis der Institute ist nach wie vor eine Vielzahl von manuellen Kontrollen vorhanden (vielfach sogar zwischen 2.000 und 3.000 Kontrollen!). Dies bedeutet, dass einzelne Geschäftsvorfälle oder Prozessschritte vor oder nach Ausführung durch eine andere Person kontrolliert werden müssen. Das wiederum bindet Zeit und Personalkosten. Erschwerend kommt hinzu, dass nahezu alle manuellen Kontrollen oftmals zu 100 % (also jeder Einzelfall) kontrolliert werden, anstatt sich Gedanken darüber zu machen, ob nicht eine risikoorientierte Stichprobe ausreichend wäre. Ferner ist zu beobachten, dass eine Vielzahl der Kontrollen Sinn entleert sind, weil – bezogen auf den Geschäftsvorfall oder Prozessschritt – kein oder nur ein geringfügiges Risiko besteht.
BERATUNGSTIPPS
IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen.
Prozessmanagement in Banken/Finanzdienstleistungsinstituten – Basic.
Prozessmanagement in Banken & Finanzdienstleistungsinstituten.
Geschäftsprozesse mit steuerungsrelevanten Kennzahlen.
Prüfung der Organisationsrichtlinien (OHB-Check).
Fit für die Sonderprüfung nach § 44 KWG.
Fit für die BAIT und die Sonderprüfung-IT.
Fit & Proper Individual.
Fit & Proper für die Bankorganisation.
Quality Assessment & Performance-Analyse der Internen Revision.
Effektives & effizientes Zusammenspiel von Compliance & Interner Revision.
Implementierung eines effizienten & wirksamen Auslagerungsmanagements.
Starter-Kit Risikokultur.
Ferner stehen die Kontrollbereiche im Beauftragtenwesen und in der Internen Revision aktuell vor der Herausforderung, dass sie selber noch nicht ausreichend digitalisiert sind und, insbesondere in dieser Krise, geeignete prüfbare Unterlagen der Fachbereiche bekommen (weil die Mitarbeiter der Fachbereiche im Home Office arbeiten), da diese oftmals auch noch nicht digital zur Verfügung stehen.
II. Wenn nicht jetzt, wann dann? – Implementierung eines prozessbezogenen Internen Kontrollsystems!
Die zuvor ausgeführten Schwachstellen zeigen den Handlungsbedarf deutlich auf. In der Praxis hat es sich mittlerweile vielfach bewährt, das institutseigene Interne Kontrollsystem (IKS) prozessbezogenen auszugestalten. Jedoch greift hier eine ausschließliche Betrachtung der (manuellen) Kontrollen zu kurz. Wie wäre es stattdessen mit Ihrer eigenen Small Regulatory Box für Ihr IKS?
Hinter dieser Wortschöpfung versteckt sich ein Bündel von Maßnahmen, um sicherzustellen, dass Sie
- die materiell wichtigen Kontrollen (Schlüsselkontrollen) an den richtigen Stellen implementiert haben und
- keine unnötigen manuellen Kontrollen in den Prozessen vorhanden sind.
In der nachfolgenden Übersicht sind einige dieser zielführenden Maßnahmen kurz skizziert:
Nr. | Maßnahme | Zielsetzung |
1. | Bestandsaufnahme aller Kontrollmaßnahmen | Erstellung einer Kontroll-Matrix, um zu erheben, wie viel manuelle (und maschinelle) Kontrollen im Institut vorhanden sind. Dies ist erforderlich, um überflüssige Kontrollen zu erkennen und zu eliminieren. Des Weiteren können hieraus die sogenannten Schlüsselkontrollen (oder auch wesentliche Kontrollen genannt) abgeleitet werden. Dabei handelt es sich um die Kontrollen, die wesentlich sind für die Durchführung und den Erfolg Ihres Geschäftsmodells (auf der Basis Ihrer Produkte, Kunden und Märkte). |
2. | Überprüfung des Organisationshandbuches | Organisationshandbücher sind oftmals noch nicht prozessual dargestellt, sondern in vielen Fällen noch Text-basiert. Der Pflegeaufwand ist überdurchschnittlich hoch, der Nutzen meist sehr gering. Zudem sind Kontrollen in der Regel nur unzureichend und nicht einheitlich beschrieben. Aus der Überprüfung sollte ein Zielbild über die künftige Ausgestaltung erstellt werden, z. B. separate Darstellung von Richtlinien und aufbauorganisatorischen Regelungen (z. B. Organigramme, Kompetenzordnung) sowie einer prozessualen Darstellung der ablauforganisatorischen Vorgänge. |
3. | Erhebung der aktuellen Risiko-/Kontrollkultur | Auf der Basis eines MaRisk-konformen Evaluierungsmodells sollte der aktuelle Zustand erhoben werden, um etwaige Klarstellungen bzw. Verbesserungen in der Aufbau- und Ablauforganisation (hinsichtlich des IKS) zu bewirken. |
4. | Zusammenführung der im Institut bestehenden Risikoanalysen | In einer Bank oder Sparkasse bestehen zehn und mehr unterschiedliche Risikoanalysen. Die Herausforderung besteht darin, dass diese unterschiedlichen Messverfahren unterliegen. Letztlich sollte eine prozessuale Ausrichtung und Erhebung von Prozessrisiken ausschließlich auf der vorhandenen Methodik der operationellen Risiken erfolgen. Dies gelingt am besten mit einer prozessualen Darstellung der Ablauforganisation und Bewertung der Prozessrisiken auf der Basis der OpRisk-Methodik des Instituts. |
5. | Einführung eines Prozessmodells | Um es klar zu sagen: ein Abbau der administrativen Lasten, bedingt durch unnötige und komplexe Prozessvorfälle sowie nicht risikobasierten Kontrollen, gelingt ausschließlich mit einem nachvollziehbaren, transparenten und einfach handhabbaren Prozessmodell (auf der Basis einer Prozesslandkarte). |
6. | Ableitung von Schlüsselkontrollen und Erweiterung einer etwaigen Kontroll-Matrix in Richtung einer Risiko-Kontroll-Matrix | Die Identifizierung von Schlüsselkontrollen auf der Basis von Aufsichtsnormen und einheitlichen Bewertungskriterien (u. a. die operationellen Risiken des Instituts) sind ein wesentlicher Erfolgsfaktor für ein effizientes und effektives IKS! Der zentrale Aspekt ist hierbei, sich intensiv um die Schlüsselkontrollen „zu kümmern“, während andere (unwesentliche) Kontrollen weniger Management-Aufmerksamkeit erfordern. |
7. | Festlegung eines eindeutigen Rollenverständnisses | Sicher, in der Praxis hat nahezu jedes Institut Stellenbeschreibungen. Die Herausforderung besteht hier aber darin, dass diese isoliert für das eigene Silo erstellt wurden (und oftmals auch nicht aktuell gepflegt sind). Im modernen Verständnis der Bankenaufsicht haben aber die Kontrollbereiche, die Interne Revision und insbesondere die Prozessverantwortlichen insbesondere die Risiko- und die Kontrollverantwortung zugeordnet bekommen. Dies gilt es, anhand eines praktikablen Modells, maßgeschneidert im eigenen Institut umzusetzen. |
8. | Anpassung der Notfallprozesse | Die aktuelle Krise zeigt deutlich die Schwachstellen eines nicht integrierten Geschäftsfortführungsmanagements (BCM – Business Continuity Management). Ausgehend von einer implementierten Prozesslandkarte mit risikobasierten Kontrollen können (auch im Kontext ausgelagerter Prozessteile) effektive Notfallprozesse implementiert werden. |
Bei Umsetzung der zuvor ausgeführten Maßnahmen gelingt es relativ rasch, die administrativen Lasten deutlich zu reduzieren, und das zugunsten einer materiell sinnvollen und damit effektiven Vorgehensweise (vertiefende Ausführungen: Helfer/Geiersbach/Riediger/Hanenberg (Hrsg.): „Interne Kontrollsysteme in Banken und Sparkassen“, 3. Aufl. 2020).
III. Ihre nächsten Schritte
Im Kern geht es darum, das Rollenverständnis aller Beteiligten im IKS Ihres Hauses auf der Basis einer prozessorientierten Ablauforganisation zu optimieren. Das (proaktive) Management der Regulatorik („Small Regulatory Box“) durch eine prüfungssichere Risiko-Kontroll-Matrix als zentrales IKS-Steuerungsinstrument (Basis: Prozesslandkarte) ist daher eine der aktuellen und wichtigen Herausforderungen für die deutschen Banken und Sparkassen, um Kontrolllasten zu vermeiden und damit Zeit für wichtige Aufgaben zu gewinnen. Auf dieser Basis können das IKS-Design, die Dokumentation, ein fortlaufendes Monitoring (inkl. Kontroll-Tests!) sowie die entsprechenden Elemente der Berichterstattung festgelegt werden.
BUCHTIPP
Helfer/Geiersbach/Riediger/Hanenberg (Hrsg): Interne Kontrollsysteme in Banken und Sparkassen, 3. Aufl. 2020.
Beitragsnummer: 6788