Dienstag, 7. Juli 2020

Beziehungen zwischen Prozessen und Kontrollsystemen

Zusammenhänge erkennen und Orientierung gewinnen – Basis einer erfolgreichen Prüfungstätigkeit

Dr. Karsten Geiersbach, Bereichsdirektor Interne Revision der Kasseler Sparkasse[1]

 

I. Einleitung

Die institutsinternen Prozesse und Systeme, die IT, die Modellqualität und -parameter, die Datenqualität etc. haben einen entscheidenden Einfluss auf die Risikoquantifizierung, das Reporting und auf das Meldewesen. Diese Auswirkungskette lässt sich weiter fortsetzen. Deshalb ist es wichtig, sich bei einer Prüfung mit dem Ziel einer Systemanalyse zunächst mit diesen Rahmenbedingungen und Strukturen zu beschäftigen, um den Blick für das Ganze sowie Ableitung von risikoorientieren Prüffeldern (Prüfungsstrategie) zu erhalten. Dies ermöglicht ein gezieltes Eingehen auf die Risiken der Prozess- und (IT-)Systemlandschaft, einschließlich Parameter, Validierung und Daten.

 

SEMINARTIPPS

IKS-Bewertung & Festlegung wesentlicher Prozesse, 22.10.2020, Berlin.

Zertifizierter IKS-Beauftragter, 19.–22.10.2020, Berlin.


II. Interne Kontrollsysteme

Die Qualität des Internen Kontrollsystems kann ein IKS-Koordinator fördern. Dieser sollte die Qualität des IKS kontrollieren, er kann aber auch die Fachbereiche bei allen Fragen zum IKS unterstützen, übergreifende Aufgaben koordinieren oder eine Weiterentwicklung des Internen Kontrollsystems forcieren. Ein weiterer, wichtiger Impuls besteht auch in der Vermittlung eines bereichsübergreifenden, einheitlichen IKS-Verständnisses und IKS-Bewusstseins.

1. Risikoorientiertes IKS

Unter einem System ist ein gegenüber seiner Umwelt „abgegrenzter Bereich“ zu verstehen[2]. Bestandteile des Systems sind Elemente, die miteinander in einer Verbindung stehen. Besteht gegenüber der Umwelt eine Schnittstelle, so handelt es sich um ein offenes System. Nicht nur die Elemente können untereinander verbunden sein (interne Schnittstelle), sondern auch Systeme können mit anderen Systemen in Beziehung stehen. Prozesse werden definiert als die „Gesamtheit aufeinander einwirkender Vorgänge“ zwischen den Elementen eines Systems (Wechselwirkungen)[3]. Es findet eine Transformation eines Inputs in einen Output statt. Besteht eine Schnittstelle zu anderen Elementen, so erstreckt sich der Prozess über diese Elemente; liegt eine Schnittstelle zur Umwelt vor, so wirkt sich der Prozess auch auf mindestens ein weiteres System aus. Die Struktur eines Systems ist also gekennzeichnet durch die Anzahl der Elemente, die Abhängigkeit von Input und Output sowie die Schnittstellen der Elemente untereinander und ihrer Verbindungen (Prozesse).

 

BERATUNGSTIPPS

IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen.

Prozessmanagement in Banken & Finanzdienstleistungsinstituten.

Quality Assessment & Performance-Analyse der Internen Revision.

 

Ein prozessorientiertes Internes Kontrollsystem sollte auf der Basis einer Risikolandkarte/-inventur, einer aktuellen Prozesslandkarte und einem funktionsfähigen Prozessmanagement aufsetzen und Schlüsselkontrollen definieren. Die Prozesse sind risikoorientiert (und chancenorientiert) zu bewerten (Risiko-Kontroll-Matrix). Eine Orientierung bietet das Management der operationellen Risiken, um ursachenbasierende Risikokategorien, wie beispielsweise IT-Sicherheit, Bearbeitungsfehler, Mitarbeiterqualifikation oder dolose Handlungen, analysieren zu können und Prozessrisiken zu identifizieren.

Die Interne Revision sollte für die Prozessrisiken gewichtete Bewertungskriterien heranziehen, wie unser Beispiel aus der Praxis zeigt:

  • Strategische und wirtschaftliche Ausrichtung
  • Monetäre Schadenshöhe (potenzielle und tatsächliche Schäden)
  • IT-Governance
  • Data Governance
  • Inhärente Risiken
  • Kontrollrisiken
  • Personalrisiken sowie
  • Internes Umfeld (Risikokultur) und Compliance.

Die Wechselwirkungen zum Operationellen Risiko sind zu beachten. Ermöglicht werden soll eine Bewertung des Systems, inklusive seiner Elemente, deren Wechselwirkungen bzw. Prozesse, und der Schnittstellen – ggf. auch zu weiteren Systemen. Die Verantwortung für den einzelnen Prozess obliegt nicht einer zentralen Abteilung oder dem IKS-Koordinator, sondern sie trägt alleine der zuständige Fachbereich. Abteilungs- oder bereichsübergreifende Prozesse sollten einem Fachbereich, z. B. in dessen Zuständigkeit ein Großteil der Prozesskette fällt, zugewiesen werden. Die Gesamtverantwortung für die Einrichtung und Funktionsfähigkeit eines Internen Kontrollsystems tragen i. S. d. § 25a Abs. 1 KWG bekanntermaßen die Geschäftsleiter[4]

2. Prozessverlauf

Ein erster Schritt in der Praxis ist die Visualisierung der gesamten Prozesskette. Sie beginnt mit den Datenquellen und endet mit der Kommunikation (Reporting) bzw. der Archivierung. 

Die Internal Governance umfasst alle internen Maßnahmen und Mechanismen, welche direkt und indirekt die unternehmerische Führung und Überwachung prägen. In diesem Sinne umfasst die IT-Governance die Führungs- und Überwachungsprozesse der IT, die die Erreichung der strategischen Unternehmensziele unterstützen. Data Governance soll in diesem Kontext als ein systematischer Managementprozess verstanden werden, der insbesondere für das Risiko- und Informationssicherheitsmanagement Mechanismen, Verantwortlichkeiten und Awareness für die Überwachung und Führung hinsichtlich Datenqualität, -vertraulichkeit, -integrität und -verfügbarkeit fördert und fordert. Dies gilt für die komplette Prozesskette, also von den Datenquellen bis hin zur Kommunikation bzw. Risikoreporting sowie der Archivierung. Für einen systematischen Gesamtüberblick sollten die entsprechenden Risikomanagement- sowie IT-Systeme und IT-Anwendungen – inklusive der Schnittstellen und Daten – visuell aufbereitet und regelmäßig aktualisiert werden (Datenflussmodell).



Die eingesetzten Programme und IDV-Anwendungen auf Basis von Trägersystemen sowie der prozessuale Datenfluss, inklusive Schnittstellen und entsprechender (Schlüssel-)Kontrollen, sollten vom Fachbereich in Kooperation mit der Organisationsabteilung dokumentiert werden. Dies ist nicht nur für Aufbauprüfungen der Internen Revision sinnvoll. Bei der Verwendung von IDV-Anwendungen auf Basis von Trägersystemen sind die Anforderungen der BAIT zu beachten.

III. Fazit

Zusammenhänge erkennen und Orientierung gewinnen stehen zu Beginn einer erfolgreichen Prüfungstätigkeit. Dies bedeutet, dass die sich hieraus ergebenden Abhängigkeiten bzw. Beziehungen bereits vor den eigentlichen Prüfungshandlungen analysiert und graphisch aufbereitet werden sollten, um Interaktionen sowie strukturelle bzw. systemische Schwachstellen auf einen Blick zu erkennen. Diese Visualisierung sollte (Pflicht-)Bestandteil von Prüfungsberichten werden, damit auch die Empfänger Strukturen, Abhängigkeiten und folglich auch die Feststellungen effizienter einordnen können. 

 

PRAXISTIPPS

  • Das Three Lines of Defence-Modell ist zu implementieren und mit Leben zu füllen. Unterstützend wirkt die Schaffung eines IKS-Koordinators.
  • Datenflussmodelle mit IT-Systemen und IT-Anwendungen, insbesondere sog. IDV-Anwendungen auf der Basis von Trägersystemen, helfen bei der Zuordnung von Verantwortlichkeiten und unterstützen die Sicherstellung der notwendigen Datenqualität.
  • Erstellung von Repräsentativitätsnachweisen und/oder Sensitivitätsanalysen bei der Nutzung von Daten aus externen Quellen.
  • Angemessene Validierungsrichtlinien und Validierungsprozesse müssen vorliegen und Bestandteil von Prüfungen der Internen Revision sein.
  • Prozesse, Datenfluss und IT-Systeme sind zu Prüfungsbeginn strukturiert zu analysieren und visuell zu veranschaulichen.

[1] Certified Internal Auditor (CIA) und Prüfer für Interne Revisionssysteme (DIIR). Die Ausführungen geben die persönliche Auffassung wieder. Basis bildet mein Beitrag „Beziehungen zwischen Prozessen und Kontrollsystemen“, RevisionsPraktiker, 06-07/2019 S. 102–108.

[2] Vgl. ausführlicher Dieter Monjau: Was ist ein System?, WS 95/96, verfügbar unter: https://bit.ly/2TVkSsU (Stand: 17.02.2019).

[3] Vgl. Gabler Wirtschaftslexikon: Prozess, 02/2018, verfügbar unter: https://wirtschaftslexikon.gabler.de/definition/prozess-45614/version-268904 (Stand: 17.02.2019).

[4] Zu Bedeutung, Anforderung und Implementierung von internen Kontrollrichtlinien und internen Kontrollmechanismen wird auch auf die EBA-Leitlinien zur internen Governance (EBA/GL/2017/11 vom 15.03.2018), hier Abschnitt V, Nr. 15, Tz. 126 ff., verwiesen.


Beitragsnummer: 9260

Beitrag teilen:

Produkte zum Thema:

Produkticon
Externes Quality Assessment (QA) nach DIIR Standard Nr. 3
Produkticon
Implementierung End-to-End-Prozesse zur Risiko- und Kostenoptimierung

Beiträge zum Thema:

Beitragsicon
HR-Prozesse in der Prüfung

Die Personalarbeit rückt weiter in den Fokus der Aufsicht. Die Mitarbeitenden sind u.a. die Grundlage für ein wirksames IKS.

04.03.2024

Beitragsicon
Datenqualität(sprüfungen) im AWV-/AWG-Meldewesen

Datenqualität(-sprüfungen) im AWV-/AWG-Meldewesen und die verzahnte Betrachtung von Datenqualitäts- und Meldeprozessen

28.02.2024

Beitragsicon
Gesamtsanierungskapazität als neues Element der Sanierungsplanung

Die BaFin erwartet ab Anfang 2024 eine vollständige Umsetzung der EBA-Leitlinien zur Gesamtsanierungskapazität in den Sanierungsplänen der Kreditinstitute.

16.01.2024

Beitragsicon
Prüfung des Managements von Immobilienrisiken

Nach Zinswende 2022 und neuen Regulierungen müssen Banken Immobilienrisiken neu bewerten und managen für Zukunftssicherheit.

02.04.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.