Freitag, 31. August 2018

Prüfungserfahrungen zu AT 8.2 MaRisk

Dr. Karsten Geiersbach (CIA), Bereichsdirektor Interne Revision, Kasseler Sparkasse

Wie ein Prozess zur Umsetzung der Anforderungen des AT 8.2 MaRisk (Änderungen betrieblicher Prozesse oder Strukturen) gestaltet werden kann, wird anhand eines Beispiels aus der Praxis vorgestellt.

IKS-Beschreibung: Grundlage für Kontrollplan und Schlüsselkontrollen

Eine Voraussetzung für eine Prüfung der wesentlichen Veränderungen bildet die Definition eines Standards bzw. Ausgangspunktes, um die Wesentlichkeit von Veränderungen der Aufbau- und Ablauforganisation sowie der IT-Systeme frühzeitig identifizieren und bewerten zu können. D. h., in den Organisationsrichtlinien ist ein System für ein wirksames und angemessenes Internes Kontrollsystem (IKS) – die Aufbau- und Ablauforganisation nach AT 4.3.1 MaRisk ist Teil des IKS (AT 4.3) – zu definieren. Dies gilt analog für die IT-Systeme, zu denen auch IT-Berechtigungen zählen, denn auch für IT-Risiken sind nach AT 7.2 Tz. 4 „angemessene Überwachungs- und Steuerungsprozesse einzurichten“; letztere somit verstanden als Teil einer funktionsfähigen Internal Governance (Überwachungs-, Steuerungs- und Führungssysteme). Eine solche IKS-Beschreibung dient auch als Voraussetzung für einen Kontrollplan und für die Ableitung von Schlüsselkontrollen. In der Praxis wird die Struktur der IKS-Ausgestaltung häufig in Anlehnung an das COSO II-Modell aufgebaut

Definition der Wesentlichkeit

Als Kriterien für die Existenz einer wesentlichen Veränderung sind neuartige oder komplexe Themengebiete, strategische Relevanz oder aufsichtliche bzw. gesetzliche Rahmenbedingungen in unserem Fall definiert. Des Weiteren müssen ein angemessenes Verfahren und Indizien für die Prüfung einer wesentlichen Veränderung in die Organisationsrichtlinien aufgenommen werden. Wie in unserem Praxisfall etabliert, können als Beispiele für wesentliche Veränderungen z. B. dienen:

Projektumfang/-intensität
Einbindung von Externen (Beratern, WP-Gesellschaft …)
Änderung in der strategischen Ausrichtung und/oder der Vertriebsstruktur
Umfangreiche Administrationstätigkeiten und/oder Schulungsmaßnahmen
Deutliche Veränderung(en) in der Kontrollstruktur und/oder in den IT-Systemen
Kompetenzveränderungen/-aufbau
Veränderungen der Organisationsstruktur
Veränderungen bei den (wesentlichen) Auslagerungen (AT 9 MaRisk)
Übernahmen und Fusionen (AT 8.3 MaRisk) etc.

Der verantwortliche Fachbereich hat die Beachtung der zuvor genannten Indizien und ihre potenziellen Auswirkungen auf das IKS und die Kontrollintensität zu analysieren und nachvollziehbar zu dokumentieren. Lautet das Ergebnis, dass eine wesentliche Veränderung in der Aufbau- und Ablauforganisation vorliegt, so ist eine Auswirkungsanalyse vor der Umsetzung durchzuführen. Federführend ist der zuständige Fachbereich (Impulsgeber), der hierfür die weiteren betroffenen Fachbereiche sowie – soweit erforderlich – die Risikocontrolling-Funktion, die Compliance-Funktionen und die Interne Revision hinzuziehen muss (analog dem Neu-Produkt-Prozess nach AT 8.1 MaRisk). Der Personenkreis sollte auch um den Informationssicherheits-Beauftragten, falls Regelungen mit Bezug zur Informationssicherheit betroffen sind, und/oder den Datenschutz-Beauftragten, falls Regelungen mit Bezug zum Datenschutz tangiert sind, erweitert werden. Dies spiegelt die Struktur des Three Lines of Defense-Modells wider.

In einem Vordruck sollten von dem verantwortlichen Fachbereich folgende Punkte hinsichtlich der geplanten Veränderung(en) dokumentiert werden:

Beschreibung/Inhalt
Projekt oder Linientätigkeit
Kategorisierung (Gesetz, Komplexität, Strategie …)
Konkretisierung (Aufbau-, Ablauforganisation, Kompetenzen)
IT-System: bankfachliche Anwendung, Release, Rechtesystem …
Ablauforganisation: Aufsicht, Verbraucher-/Datenschutz, Schnittstellen …

Für die Beurteilung der Wesentlichkeitseinschätzung der geplanten Veränderungen wird in dem Praxisfall auf die folgenden gewichteten Kriterien zurückgegriffen:

Notwendigkeit eines erheblichen Kompetenzaufbaus?
Auswirkungen auf die Risikosituation (Vermögens-/Ertragslage, Eigenmittel-
anforderungen, Risikotragfähigkeitskonzept)?
Auswirkungen auf die Verfügbarkeit von IT-Systemen?
Erhöhte Auswirkungen auf operationelle Risiken?

Handelt es sich um eine wesentliche Veränderung, so ist die Auswirkungsanalyse auf einem Vordruck zu dokumentieren. Hierbei müssen die folgenden Auswirkungen analysiert und ggf. beschrieben werden, die auf die im Folgenden aufgeführten Aspekte ausstrahlen. Abschließend ist der Anpassungsbedarf durch diese Veränderungen auf die bestehenden Kontroll- und Risikomanagementsysteme zu untersuchen und ebenfalls festzuhalten:

Risikomanagement inkl. Reporting und Datenqualität
Managementinformationssysteme
Compliance-relevante Kontrollverfahren
Handels- und Abwicklungsprozesse
Meldewesen
Ressourcenausstattung (AT 7 MaRisk)
Auslagerungen (§ 25b KWG i. V. m. AT 9 MaRisk).

Die jeweilige Risikokennzahl wird mittels der Risikobedeutung (Klassen 1–4) dieser einzelnen Kriterien ermittelt, die sich an die Systematik in der Risikoinventur anlehnt. Die Klasseneinteilung gliedert sich von unwesentlich (1) bis wesentlich (4) und orientiert sich – je Klasse prozentual ansteigend – an dem freien Risikodeckungspotenzial. D. h., jeder Klasse wird eine Bandbreite in absoluten Euro-Beträgen zugeordnet, um die Risikobedeutung eingrenzen zu können. Unter Berücksichtigung der Gewichtungsfaktoren wird anschließend die Gesamtrisikokennzahl berechnet, mit deren Hilfe die Veränderung als wesentlich oder nicht wesentlich eingestuft wird.

Die Auswirkungsanalyse ist vom initiierenden Bereich – im Sinne des Three Lines of Defense-Modells – an den Leiter der Risikocontrolling-Funktion, den Compliance-Beauftragten, den Informationssicherheits- und Datenschutzbeauftragten sowie die Interne Revision weiterzuleiten, die diese plausibilisieren und bewerten.

PRAXISTIPPS

Klare Prozesse und Verfahren sowie Zuständigkeiten für ein Internes Kontrollsystem und für den Anpassungsprozess für Änderungen bei Prozessen und Strukturen definieren.
Ziel ist die frühzeitige Identifizierung und Analyse der Veränderung auf ihre Wesentlichkeit – vor der operativen Umsetzung.
Beherrschbarkeit und Eintrittswahrscheinlichkeit sind keine geeigneten Kriterien für die Ermittlung der Risikokennzahl.
Verzahnung des Systems mit der Risikoinventur (Einheitlichkeit bei der Risikobedeutung).
Der Internen Revision sollten alle Wesentlichkeitseinschätzungen vorgelegt werden, also auch die der nicht wesentlichen Veränderungen.

Beitragsnummer: 956

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Herausgeberinterview mit Henning Riediger

Interview mit Buchherausgeber Henning Riediger zur Neuerscheinung MaRisk-Berichtswesen

05.04.2024

HR-Prozesse in der Prüfung

Die Personalarbeit rückt weiter in den Fokus der Aufsicht. Die Mitarbeitenden sind u.a. die Grundlage für ein wirksames IKS.

04.03.2024