Lars Marcel Hansen, Wirtschaftsprüfer, Senior Manager, Mario Wagner, Certified Fraud Examiner, Manager Fachbereich Banken und Finanzdienstleister, BDO AG Wirtschaftsprüfungsgesellschaft, Frankfurt am Main
Einleitung
Die gesetzlichen und regulatorischen Anforderungen an die Angemessenheit der Ausgestaltung und die Überwachung des internen Kontrollsystems (IKS) basieren in ihrem Kern auf dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) vom 01.05.1998 sowie des Control Frameworks (COSO) vom 15.12.2014, die durch zahlreiche regulatorische Initiativen auf europäischer und nationaler Ebene in der jüngsten Vergangenheit fortentwickelt und verschärft wurden. Eine wichtige Grundlage hierfür bildet u. a. die VO (EU) 1093/2010 zur Errichtung einer europäischen Bankaufsichtsbehörde. Daneben sind die Ergänzungen durch die §§ 25a bis 25d und § 25f KWG von Bedeutung, die insbesondere durch die letzte Neufassung der Mindestanforderungen an das Risikomanagement vom 27.10.2017 von der BaFin weiterführend konkretisiert wurden.
Ferner hat die europäische Bankenaufsicht zahlreiche Leit- und Richtlinien veröffentlicht, die sich direkt auf die Anforderungen zur Ausgestaltung des IKS auswirken. Zu nennen sind hier insbesondere die Leitlinien zur Auslagerung (EBA/GL/2019/02) vom 25.02.2019, der EZB Leitfaden „bankinterner Prozess zur Sicherstellung einer angemessenen Kapitalausstattung (Internal Capital Adequacy Assessment Process – ICAAP)“ vom November 2018 sowie die „Guidelines on management of non-performing and forborne exposures“ der EBA vom 31.10.2018 (EBA/GL/2016/06) und die „Stress testing principles“ der BIS vom 17.10.2018.
BERATUNGSTIPP
IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen.
Verantwortung der Geschäftsleitung für das IKS
Die Verantwortung zur Ausgestaltung eines angemessenen und wirksamen internen Kontrollsystems liegt gem. § 25a Abs. 1 KWG bei der Geschäftsleitung und erstreckt sich von der Konzeption, Implementierung und Aufrechterhaltung bis hin zur Überwachung. Die Aufrechterhaltung des internen Kontrollsystems schließt dessen fortlaufende Anpassung und Weiterentwicklung mit ein. Die Ausgestaltung eines internen Kontrollsystems hängt von den verschiedensten Faktoren ab:
- Größe und Komplexität des Unternehmens,
- Rechtsform und Organisation des Unternehmens,
- Art der Geschäftstätigkeit des Unternehmens,
- Komplexität und Diversifikation der Geschäftstätigkeit,
- Methoden der Erfassung, Verarbeitung, Aufbewahrung und Sicherung von Informationen,
- Art und Umfang der zu beachtenden rechtlichen Vorschriften sowie
- Risikokultur und Risikoneigung (Risikoappetit).
Aufbau effektiver IKS-Kontrolltests
Der Prüfungsstandard des Instituts der Wirtschaftsprüfer Nr. 261 neue Fassung (IDW PS 261 n.F.) enthält Hinweise zur Beurteilung der Angemessenheit der Ausgestaltung des IKS eines Unternehmens. Das IKS besteht gem. Tz. 20 des IDW PS 261 n.F. aus Regelungen zur Steuerung der Unternehmensaktivitäten sowie Vorgaben zur Überwachung der Einhaltung dieser Regelungen. Effektive IKS-Kontrolltests setzen auf die Überwachung der Einhaltung dieser Regelungen durch die prozessimplementierten Kontrollen auf. Kernziel ist dabei die Aufdeckung sämtlicher wesentlicher Fehler innerhalb des Instituts (vgl. Erläuterungen zu AT 4.3.2 der MaRisk).
SEMINARTIPPS
Der (zukünftige) IKS-Beauftragte, 06.05.2020, Berlin.
(Neue) IKS-Kontrolltests im (LSI-)SREP, 25.06.2020, Frankfurt/M.
NEUE Compliance-Kontrollen im Wertpapier-IKS, 25.06.2020, Frankfurt/M.
Zwingender Einbezug der SREP-Anforderungen in die Revisionsarbeit, 03.11.2020, Hamburg.
Die grundlegenden Elemente bankaufsichtsrechtlicher Regelungen des KWG und der MaRisk verdeutlichen die Erwartungshaltung der Aufsicht an eine nachvollziehbare Dokumentation der Zusammenhänge zwischen (gelebter) Risikokultur und der Qualität der Geschäftsorganisation i. S. d. Angemessenheit und Funktionsfähigkeit des IKS. Dies erfordert eine klare Abgrenzung von Verantwortlichkeiten für Vorgaben, Abläufe, Kontrollen und deren Überwachung. Hierbei bietet das gängige Modell der drei Verteidigungslinien eine Möglichkeit, Unternehmen bei der Entwicklung und Implementierung einer angemessenen und wirksamen Geschäftsorganisation zu unterstützen. Es beschreibt Aufgaben und organisatorische Anforderungen der jeweiligen Verantwortungsbereiche, der Kontrollfunktionen (z. B. Risikomanagement-, Controlling- und Compliance-Funktionen) und der Überwachungsfunktion (Interne Revision). Im Vordergrund steht dabei das Handeln des Unternehmens und seiner Mitarbeiter im Einklang mit geltendem Recht (regelkonformes Verhalten; Risikokultur i. S. AT 3 Tz. 1 MaRisk). Dies erfordert die Überprüfung aller relevanten Kernkontrollen in regelmäßigen Zeitabständen sowie die Durchführung von Vor-Ort-Kontrolltests. Das IKS darf somit nicht nur auf die Rechnungslegung beschränkt sein, sondern muss alle wesentlichen Geschäftsprozesse in die Betrachtung einbeziehen und eine regelmäßige Berichterstattung an die Unternehmensleitung beinhalten.
Anforderungen bezüglich effektiver IKS-Kontrolltests an Interne Revision und Compliance
Zur Identifizierung von Schwachstellen und deren zeitnaher Behebung sind Kontrolltests für alle wesentlichen Geschäftsprozesse und Geschäftsfelder der Institute durchzuführen. Mit Kontrolltests hat unter anderem die Compliance-Funktion gem. AT 4.4.2 Tz. 1 der MaRisk den Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können, entgegenzuwirken. Dem gegenüber hat die Funktion der Internen Revision nach AT 4.4 Tz. 3 der MaRisk risikoorientiert und prozessunabhängig die Wirksamkeit des IKS zu prüfen und zu beurteilen. Dies erfolgt zumeist in Stichproben über statistische Verfahren oder im Rahmen einer bewussten Auswahl. Die bewusste Auswahl sollte anhand konkret nachvollziehbarer Kriterien (z. B. Risikoeinstufung und Fehlerrisiko, Wesentlichkeit in Bezug auf die Geschäftstätigkeit) erfolgen. Die unterschiedlichen Wirksamkeitsprüfungen der Kontrollen der Compliance-Funktion und der Funktion der Internen Revision sind unter Beachtung der verschiedenen Aufgabenstellungen der Funktionen und der Unabhängigkeit abzustimmen, um doppelte Kontrolltests zu vermeiden. Eine Zusammenarbeit zwischen der Funktion der Internen Revision und der Compliance-Funktion ist unverzichtbar – vor allem auch im Rahmen der mindestens jährlichen sowie anlassbezogenen Berichterstattung der Compliance-Funktion an die Interne Revision, wie auch an die Geschäftsleitung und das Aufsichtsorgan nach AT 4.4.2 Tz. 6 MaRisk. Dem Modellansatz der drei Verteidigungslinien folgend, muss die Compliance-Funktion zudem Gegenstand der regelmäßigen Prüfungen durch die Interne Revision sein.
PRAXISTIPPS
- Berücksichtigung des Tätigkeitsplans der Compliance-Funktion im Rahmen der Prüfungsplanung der Internen Revision einschließlich Verwertung der Ergebnisse.
- Fortlaufende Verständigung mit den Fachbereichen, um das ggf. entstehende Spannungsfeld prozessimplementierter Kontrollen und Kontrolltests durch die Compliance-Funktion sowie der Prüfungen der Internen Revision abzubauen.
- Bewertung und Dokumentation der Kontrolldurchführung und -ergebnisse der Internen Revision und der Compliance-Funktion in standardisierter Form.
- Auswahl der Schwerpunkte für die Kontrolltests der Internen Revision und der Compliance-Funktion auf Basis einer Risikoanalyse.
- Darstellung der festgelegten Kontrolltests der Internen Revision und der Compliance-Funktion in einer Risiko-/Kontroll-/Kontrolltest-Matrix.
Beitragsnummer: 3712