Internes Kontrollsystem (IKS)

Überblick: Leistungsangebote rund um das Organisationshandbuch

Procedera bietet mit OHB-Check und OHB-Neukonzeption zwei Basisbausteine an, um aus einem Guss die Defitzite ihres IKS zu erkennen und ein prozessintegriertes Internes Kontrollsystem aufzubauen. Zusätzlich unterstützen fachlich versierte Berater sie  bei der IKS-Weiterentwicklung.

Die Kernleistungen von Procedera im Einzelnen:

  • Aufnahme der IST-Situation Interner Kontrollsysteme (COSO-Würfel)
  • Erarbeitung eines prozessorientierten Erfassungsmodells zur Aufnahme von Risiken und Kontrollen inklusive eines Zielbildes zur Überführung in eine Risikokontrollmatrix
  • Erstellung eines Kriterien- und Klassifizierungskatalogs zur Erfassung von Risiken und Kontrollen unter Berücksichtigung und Vereinheitlichung vorhandener Bankstandards
  • Falls erforderlich eine weitere Verzahnung mit den Anforderungen aus dem Notfallmanagement und dem Informationssicherheitsmanagement
  • IT-technische Unterstützung für das Interne Kontrollsystem sowie passende Toolauswahl
  • Durchführung von Workshops zur Bestandsaufnahme von Risiken und Kontrollen
  • Aufbau und Weiterentwicklung eines Steuerungskreislaufs für das Interne Kontrollsystem hinsichtlich der drei Verteidigungslinien
  • Integration des Internen Kontrollsystems in die Managementstrukturen der Bank
  • Entwicklung, Aufbau und Weiterentwicklung notwendiger Reporting-Mechanismen

Von der Blackbox zum Management-Werkzeug: das Interne Kontrollsystem (IKS) braucht eine Grundlage für einen Steuerungskreislauf und kontinuierliche Verbesserungen.

Auf den ersten Blick stellt sich das Interne Kontrollsystem vor allem als ein regulatorisches Thema für die Banken dar. Das Kreditwesengesetz schreibt vor, dass Banken interne Kontrollverfahren mit einer abteilungsseitigen Anbindung an die Interne Revision einzurichten haben (§25 KWG) und die Verantwortung dafür nicht delegierbar bei der Geschäftsleitung liegt. Die Mindestanforderungen an das Risikomanagement (MaRisk) präzisieren zudem, dass die zu schaffenden Kontrollregeln Art, Umfang sowie Komplexität der zu erwartenden Geschäftsrisiken angemessen berücksichtigen müssen (AT 4.3). Das wirkt sich auf die Aufbau- und Ablauforganisation sowie die Prozesse zur Risikosteuerung, zum Risikocontrolling und das Reporting aus. Zudem greifen diese Vorschriften in das Rollenmodell der Institute ein (Risikocontrolling-Funktion und Compliance-Funktion).

Die drei Verteidigungslinien des Internen Kontrollsystems

Die MaRisk schreiben zudem eine Risikoinventur vor (AT 2.2) und machen teils sehr klare Angaben zu Art und Güte von Kontrollen hinsichtlich Aufbau- und Ablauforganisation, speziell im Kredit- und Handelsgeschäft, sowie zur Ausgestaltung der Internen Revision selbst (BTO 1, BTO2, BT2). Seit 2016 greift zusätzlich der Bankenaufsichtsmechanismus SREP, der in seinem Bewertungsmodell das Prüfungsfeld „Interne Governance und Kontrolle“ vorsieht. Spätestens damit rückt das IKS in den Fokus aufsichtsrechtlicher Prüfungen, die zu schwerwiegenden Feststellungen führen können. Im schlimmsten Fall führt ein mangelhaftes Internes Kontrollsystem zu gravierenden Feststellungen der Aufsicht, bis hin zu einem (angedrohten) Entzug der Geschäftslizenz.

Trügerische Sicherheit vermittelt ein IKS, das als starres Gebilde konzipiert worden ist und seitdem Bestand hat. So ein Vorgehen unterschätzt die Komplexität wirksamer Kontrollinstrumente und die Notwendigkeit, sich flexibel an neue Gegebenheiten anzupassen. Procedera empfiehlt daher, die klassischen drei Verteidigungslinien für ein Internes Kontrollsystem nachhaltig auszugestalten:

  • Die 1. Verteidigungslinie besteht typischerweise aus den Prozessverantwortlichen, die sich mit den Risiken und Kontrollen in ihrem Verantwortungsbereich intensiv auseinandersetzen müssen, sowie den Mitarbeitern, die innerhalb des Prozessablaufs vorgesehenen Aufgaben befolgen. Vorgeschriebene Kontrollen führen sie selbst durch. Banken, die innerhalb der Fachbereiche bereits ein starkes Risikobewusstsein geweckt haben, sind in der Lage, bereits durch die Aufgabenwahrnehmung der ersten Verteidigungslinie viele der vorhandenen Risiken zu erkennen und maßgeblich zu reduzieren. Das geschieht idealerweise über ein prozessorientiert aufgebautes Organisationshandbuch, das sämtliche Prozessrisiken dokumentiert und zusätzlich die Verbindungen zwischen prozesshaften Risiken und mitigierenden Kontrollen sowie den verantwortlichen Rollen herstellt. Das ermöglicht schließlich einen kontinuierlichen Verbesserungsprozess, der auch Änderungen des Prozessmodells jederzeit berücksichtigt.
  • Die 2. Verteidigungslinie muss darüber hinaus sicherstellen, dass die selbst auferlegten bankeinheitlichen Standards zur regelmäßigen Risikobeurteilung und Risikosteuerung auch tatsächlich durch die erste Verteidigungslinie angewandt werden. Zudem müssen die Kontrollen daraufhin überwacht werden, ob sie den identifizierten Risiken gemäß überhaupt wirksam sind. Darüber hinaus sind die Erkenntnisse der zweiten Verteidigungslinie hinsichtlich einer Weiterentwicklung des IKS an die Prozessverantwortlichen rückzuspiegeln. Entscheidend ist das effiziente Zusammenspiel der besonderen Funktionen und der weiteren am IKS beteiligten steuernden Rollen. Dabei kommt der Organisationsabteilung eine besondere Verantwortung für die kontinuierliche Weiterentwicklung der Standards auf Basis von Best Practice Ansätzen zu.
  • Die 3. Verteidigungslinie bezieht sich vor allem auf die Interne Revision als Institution. Die erfahrungsgemäß besten Ergebnisse erzielen Banken, die der Internen Revision ermöglichen, durch ein aufgeräumtes Prozessmodell Risiken und Rollen über alle Verteidigungslinien hinweg nachzuverfolgen und auf den Erkenntnissen der zweiten Verteidigungslinie aufzusetzen.

Das Interne Kontrollsystem in der Unternehmensentwicklung

Procedera empfiehlt daher, ein IKS-Gremium innerhalb der Bank zu schaffen, das alle maßgeblichen Geschäftsfunktionen umfasst, um Prüfungserkenntnisse, aufsichtsrechtliche Änderungsbedarfe und Prozessoptimierungserfahrungen regelmäßig im Auge zu behalten. So entwickelt sich das Interne Kontrollsystem zu einem schlagkräftigen Managementinstrument. Denn ein solches Gremium erlaubt – verbunden mit einem prozessorientiert aufgebauten Anweisungswesen – schnelle Anpassungen an neue Anforderungen aus der Bankenumwelt. Regulatorik fungiert dann als ein verbindendes Glied, doch die alles bestimmenden Antriebskräfte zum Umgang mit Risiken kommen von innen heraus.

Es geht also nicht darum, sich durch möglichst exzellente Prüfungsergebnisse hervorzutun. Die entscheidende Frage lautet: Wenn wir ein Internes Kontrollsystem einführen müssen, wie kann es unseren Geschäftszielen dann am besten dienen? Die Philosophie von Procedera lautet: Eine Bankorganisation muss der Regulatorik zwar entsprechen, sie braucht ihr aber nicht zu dienen.