Donnerstag, 9. September 2021

Prozessorientierte Risikosteuerung – Erfahrungen mit Sparkassen

Prozessorientiertes IKS –Wirkung mit dem PPS-IKS-Umsetzungsleitfaden erzielen

Dr. Benjamin Frommann, Geschäftsführer, tekko Informationssysteme GmbH & Co. KG

I.          Einleitung

Aufsichtsrechtliche Anforderungen, Risikosteuerung, Kontrolloptimierungen, prozessbezogene interne Kontrollsysteme sind Stichworte, die in Banken und Sparkassen allgegenwärtig sind. Auffällig in der praktischen Umsetzung der Institute ist, dass Kontrollen häufig singulär nebeneinanderstehen. Sie erscheinen als Antworten der Fachbereiche auf Feststellungen oder Fehler ohne eine end-to-end Betrachtung der betreffenden Prozesse unter Risikogesichtspunkten erfahren zu haben. Dabei ist die end-to-end Betrachtung notwendig, um Kontrollstrukturen zum Prozessrisiko anstatt singulär gegenüber Fehlern auszugestalten und Prozesse ganzheitlich zu hinterfragen. Neben einer Vielzahl von Quick-Wins entstehen damit Strukturverbesserungen, die Prozesse einer ganzheitlichen Optimierung aus Sicht der Geschäfts- und Risikostrategie öffnen. Damit verbessert sich die Grundlage für eine effektive Risikosteuerung, die den Risikoappetit der Sparkasse explizit in der Prozessteuerung berücksichtigt und robuste sowie effiziente Kontrollstrukturen im Verhältnis zu den Risiken begründet. Damit einher geht regelmäßig eine Konsolidierung bestehender Steuerungsmechanismen, welche Komplexität und Steuerungsaufwände in den Prozessen senken. 

Die Frage ist, warum sind end-to-end Betrachtungen und Optimierungen nicht längst vollzogen worden, wenn sie vermeintlich naheliegend sind? Dafür gibt es eine ganze Reihe an Erklärungen.[1] Plausibel ist, dass die Strategie des additiven Kontrolleinsatzes die einfachste Lösung mit der geringsten Anpassungsreaktion darstellte, da sie unmittelbare Antworten auf Fehler liefert. Gleichzeitig ist der negative Effekt einer zusätzlichen Einzelkontrolle, die singulär betrachtet wird, zumeist klein genug, um die daraus resultierende herabgesetzte Prozessgeschwindigkeiten und -flexibilität nicht spürbar werden zu lassen. Mit anderen Worten: Was gestern funktioniert hat und bis heute erfolgreich gemacht hat, kann als Antwort für morgen nicht falsch sein. Diese Art des Umgangs mit Anforderungen beruht auf der Idee, die Leistung im Rahmen bestehender Strukturen zu erhöhen. So zeigt sich bereits in Alltagsexperimenten, dass auf eine Veränderung in aller Regel eine Verstärkung der alten Verhaltensweise erfolgt. Erst wenn die Verstärkung nicht (mehr) die gewünschte Reaktion hervorbringt, entsteht die Bereitschaft für einen Musterwechsel. Beispiel: Wird eine sonst offene Tür abgeschlossen, so ist zu erleben, dass nach dem ersten Versuch die Tür zu öffnen, verstärktes Rütteln an der Klinke wahrgenommen werden kann. Mit einem Mehr vom Gleichen, wird versucht die Leistung im bestehenden Rahmen zu erhöhen, bevor Hinterfragen ausgelöst wird. In einer großen Zahl von Kontexten wird dieses Verhalten zu gewünschten Ergebnissen führen, wohingegen es bei neuen Anforderungen oder benötigten großen Leistungssprüngen behindernd wirkt.[2] 

Mit steigenden aufsichtsrechtlichen Anforderungen und einem Umfeld für Kreditinstitute, in dem Kunden Geschwindigkeit und Flexibilität beanspruchen und Wettbewerber diese vorleben, werden Leistungssprünge benötigt, zu denen die angesprochenen Vorgehensweisen nicht länger passen. Vielmehr treten Prozessstrukturen in den Vordergrund, die die Risikosteuerung auf prozessinhärente Risiken fokussieren und dafür passgenaue Steuerungsfunktionalitäten benötigen. Damit werden gleichzeitig weitere Strukturthemen transparent, wie die Beurteilung ausreichender Qualifizierung der Prozessbeteiligten.

Die übergreifende Frage lautet:

  • Was braucht es, um unter Risikogesichtspunkten optimierte end-to-end Strukturen zu entwickeln?

Dieser Beitrag ist das Protokoll von Erfahrungen aus der praktischen Umsetzung mit Sparkassen. Im Jahr 2015 wurde begonnen, interne Kontrollstrukturen auf ihre end-to-end Betrachtung im Prozesskontext zu hinterfragen und zu optimieren. Im Fokus standen notwendige prozessuale Grundlagen und benötigte organisatorische Strukturen, um die risikoorientierte end-to-end Optimierung der Prozessstrukturen zu erreichen. Die Veröffentlichung des Umsetzungsleitfadens zum prozessorientierten internen Kontrollsystem der verbandsübergreifenden Initiative ProzessPlus für Sparkassen hat diesem Thema seit Mitte 2020 neuen Anschub gegeben. Der Schwerpunkt dieses Beitrags liegt – wie der Umsetzungsleitfaden auch – auf Aspekten des praktischen Zusammenwirkens in der Linie 1.[3]

 

II.         Ausgangssituation in der Sparkassen Finanzgruppe

Die vorgefundenen Ausgangssituationen der Sparkassen charakterisieren sich bei der Risikosteuerung von Prozessen häufig durch die formale Sicherstellung aufsichtsrechtlicher Belange. Prozessdokumentationen werden dabei fürsorglich auf Vollständigkeit gepflegt. Die Optimierung der tatsächlichen Umsetzung von Prozessen sowie verstetigte Rückkopplungen der Ergebnisse stehen hingegen, auch bedingt durch weiter abnehmende Ressourcen, weniger im Blickpunkt.

Die Sparkassenorganisation bietet mit der verbandsübergreifenden Initiative ProzessPlus für Sparkassen (PPS) Unterstützung, indem Prozesse, Prozessdokumentationen und Kontrollstrukturen konsistent vorgedacht und regelmäßig aktualisiert werden. Darüber hinaus bietet PPS den Sparkassen – als Hilfestellung zur Standardisierung im Prozessmanagement –die bundeseinheitliche PPS-Prozesslandkarte (PPS-PLK) zur Abbildung des Unternehmensprozessmodells an. Die PPS-PLK wirkt in Verbindung mit PPS-Prozessen und der Modellorganisation des Deutschen Sparkassen und Giroverbands (DSGV) „Modell S- Organisation“ als Dreh und Angelpunkt des Prozessmanagements in der Sparkasse. Diese Position nimmt sie zunehmend auch in der gesamten Sparkassen-Finanzgruppe (SFG) ein.

Mitte 2020 wurde der bundeseinheitliche PPS-IKS-Umsetzungsleitfaden (PPS-IKS-ULF) für das prozessorientierte IKS der Sparkassen bereitgestellt. Er bietet den konzeptionellen Rahmen, um effiziente Steuerung und Optimierung von Prozessen unter Risikogesichtspunkten zu ermöglichen. Dabei stehen neben aufbauorganisatorischen Grundlagen und dem Zusammenspiel der Linien 1–3 sowohl Risikoermittlungsverfahren als auch weitere organisatorische Rahmenbedingungen (von Überwachungszyklen bis hin zur Risikokultur) im Mittelpunkt. Der Aspekt der risikoorientierten Umsetzung, Steuerung und Optimierung von Prozessen wird damit in den Fokus gerückt. Aktuell finden dazu Erstanwendungen der Institute statt.

Die Herausforderungen der Institute zeigen sich in der Umsetzung der Organisationsstrukturen (z. B. Rollenanpassungen) und dem Vorgehen Prozesse end-to-end unter Risikogesichtspunkten zu beurteilen. Wesentliche Verfahrensschritte dabei sind der Abgleich der Geschäfts- und Risikostrategie, die Risikoeinwertungen vorzunehmen und die Risikosteuerung an diesen Ergebnissen passgenau auszurichten. Der Reifegrad des Prozessmanagements ist eine entscheidende Rahmenbedingung für auftretende Anpassungsaufwände. Es zeigt sich:

  • In einem bereits bestehenden Prozessmanagementsystem stehen fast durchgehend reine Entlastungen bereit.
  • Sich im Aufbau befindliche Systeme erhalten durch PPS eine Benchmark, die es erst zu erreichen gilt.

In der Praxis ist es von Vorteil, – insbesondere in der zweiten Situation – zunächst die strategische Entscheidung für die zukünftige Ausgestaltung der Prozessorganisation und Standardisierung zu treffen. Diese Richtungsentscheidung wirkt als Voraussetzung für die prozessorientierte Risikosteuerung. Als wesentliche Treiber, um Leistungssteigerung mit der end-to-end Betrachtung zu heben, haben sich gezeigt: 

  • Transparenz über vorhandene Kontrollen herstellen und diese risikoorientiert optimieren,
  • standardisierte Prozesse und Kontrollempfehlungen einsetzen, den steigenden aufsichtsrechtlichen Anforderungen und abnehmenden Ressourcen effektiv begegnen und
  • Rückkopplungen institutionalisieren, um Regelkreise für die Optimierung sicherzustellen und die Entwicklung der Risikokultur zu unterstützen.

 

III.        Praktische Umsetzung

Institute verfügen sicher über eine Vielzahl von Kontrollen, aber haben sie ein System?[4] 

 

Abbildung 1: Sinnbild eines nicht wirksamen Systems[5]

 

Ein konsistentes System im Sinne des prozessorientierten IKS ist mehr, als die Funktionsfähigkeit einzelner Kontrollen zu leisten vermögen. Praktisch bemisst es sich daran, dass relevante Beteiligte (u. a. Prozessverantwortliche) Prozesse ganzheitlich beurteilen, prozessintegrierte Kontrollstrukturen bemessen und im Gesamtzusammenhang der Leistungserstellung end-to-end mit Prozessausführenden optimieren. Dabei werden aufsichtsrechtliche Erwartungen in die eigene Prozesswelt übersetzt und die Umsetzung durch Rückkopplungsschleifen stetig verbessert. Rückkopplungsschleifen erlauben Verarbeitungen systemgerecht zu gestalten, d. h. anstatt durchzusetzen wird moderiert. Im Ergebnis stellen aufsichtsrechtliche Anforderungen dann zwar immer noch Impulse für Veränderung dar, sie sind gleichwohl nicht länger die alleinige Motivation einer Anpassung. 

Der Aufbau solcher Systeme wird in der Praxis der Institute durch prozessuale Grundlagen gefördert, die im Windschatten geeigneter Optimierungsstrukturen (weiter-)entwickelt werden. 

 

1.         Prozessuale Grundlagen

 

Abbildung 2: Grundlagen für die prozessuale Risikosteuerung (eigene Darstellung)

 

Prozesse bilden das Fundament für die Vorgehensweisen in der Organisation. Unter dem Aspekt der Prozessrisikosteuerung zeigen sich eine einheitliche Gliederungsstruktur (Prozesslandkarte), risikoorientierte Bewertungen (Prozessrisiken) und Effizienzbetrachtungen (Wirtschaftlichkeitskriterien) als die Basisdisziplinen, um die risikoorientierte end-to-end Optimierung zu ermöglichen. Die Gesamtstruktur der Abläufe ermöglicht es, Prozessrisiken den Prozessen zuzuordnen und abzugrenzen. In Kombination mit der Wirtschaftlichkeitsbetrachtung werden darauf aufbauend die Grundlagen für die Risikosteuerung und Optimierung gelegt.  

a)         Prozesslandkarte

Mit der Prozesslandkarte werden Aufgaben abgebildet, thematische Cluster definiert, Abhängigkeiten in Form von Teilprozessen aufgezeigt und Verantwortlichkeiten zugeordnet.[6] Neben den Herausforderungen der Prozessaufnahme hat es sich bei der (Neu-)Zuordnung von potenziellen Aufgabenverschiebungen zwischen Organisationseinheiten bewährt, zunächst eine vollständige Grobanalyse auf Ebene der Hauptprozesse vorzunehmen, anschließend potenzielle Aufgabenverschiebungen als Wanderungsmatrix mit einer Bedarfsschätzung zu hinterlegen und diese zu entscheiden.  

b)        Prozessrisiken

Aufbauend auf der Struktur der Prozesslandkarte werden Prozessrisiken ermittelt, um in Übereinstimmung mit aufsichtsrechtlichen Vorgaben passende Vorgehen (inkl. Kontrollen/Schlüsselkontrollen) aufzustellen.[7] Dabei erfahren Prozesse mit identifizierten wesentlichen Risiken eine intensivere Betrachtung, was den Umgang z. B. im Rahmen der Risikosteuerung und korrespondierender risikoreduzierender Maßnahmen angeht.[8] An dieser Stelle hat sich in der Praxis bewährt, zunächst einen strukturierten Überblick über Risikopositionen auf Hauptprozessebene (also nicht auf Ebene der Einzelprozesse) vorzunehmen und zuzuordnen. Die Risikoermittlung erhält damit Fokus und Prozessmanager sowie -verantwortliche bekommen eine Ausgangsposition für die granulare Beurteilung von Einzelprozessen. Effektivität gewinnt das Verfahren dann, wenn Funktionsträger mit Risikobewertungserfahrung im Rahmen OpRisk gemeinsam für die Erstbewertung rekrutiert werden (z. B. Prozessmanager, Organisation, Compliance, Risiko/Controlling inkl. OpRisk-Verantwortliche, Notfallmanager). Praxishinweis: Die Priorisierung der Prozesse unter Risikogesichtspunkten wird regelmäßig keine Deckungsgleichheit zur Priorisierung und dem Blickwinkel der Prozessziele (und damit auf die Bedeutung der Verfolgung strategischer Ziele des Instituts) ergeben. So kann ein Prozess im Meldewesen unter Risikogesichtspunkten von hoher Priorität sein und unter geschäftspolitischer Weiterentwicklung gleichfalls weniger.

c)         Wirtschaftlichkeitskriterien

Im Sinne der Risikosteuerung und Kontrolloptimierung werden unter Wirtschaftlichkeitskriterien Maßnahmen bewertet, die Prozessrisiken und aufsichtsrechtliche Belange abstützen. Die Bewertung analysiert Kontrollen und Risikosteuerungsinstrumente dahingehend, ob sie selbst oder andere Maßnahmen betriebswirtschaftlich nachhaltiger wirken. Im Mittelpunkt stehen hier Qualifikation, High Level Controls oder weitere Prozessrahmenbedingungen (z. B. Ausgestaltung von technischen Systemen). Alle Strukturen werden risikoorientiert hinsichtlich ihrer Wirksamkeit unter betriebswirtschaftlichen Kriterien beurteilt. Dazu lassen sich in der Praxis der Institute Leistungsindikatoren im Sinne der Input-/Output-Beziehung definieren, d. h. Aufwände werden per anno in Bezug zu durchschnittlichen Personalkostensätzen oder Versicherungsbeträgen in Relation zum erreichten Nettorisiko (Residualrisiko nach Einsatz risikoreduzierender Maßnahmen, wie z. B. Kontrollen) bewertet. 

d)        Praxishinweis

Die Anzahl der granular zu steuernden Prozesse sollte adäquat reduziert werden. Im Rahmen von detaillierten Prozesslandkarten ist es in der Praxis nicht ungewöhnlich über 800 im Einsatz befindlichen Einzelprozessen zu begegnen, die in über 150 Prozesshauptkategorien sortiert sind.[9] Hier ist eine gleichverteilte granulare Steuerung jedes Einzelprozesses regelmäßig nicht zielführend. Über die angesprochenen Herangehensweisen und Priorisierungsvorgehen können relevante Teilmengen identifiziert werden. 


2.         Strukturen


 Abbildung 3: Grundlagen nachhaltiger end-to-end Strukturen (eigene Darstellung)

 

Für die dauerhafte Optimierung und Leistungsfähigkeit des Systems hat sich in der Praxis gezeigt, dass Strukturen gebraucht werden, die die end-to-end Optimierung von Prozessen unter Risikoaspekten über die Erst-Analyse hinaus ins Wirken bringen.[10] Das Nutzeninkasso kommt dort zustande, wo Systeme selbst Engpässe und Anpassungsbedarfe identifizieren, einordnen, bewerten, zur Entscheidung bringen und nachhalten. Als wirkungsvoll haben sich dabei folgende Elemente gezeigt:

  • Aufstellen eines Zielsystems, dass die Optimierung motiviert. 
  • Austarierte Rollenstrukturen zwischen Prozessmanager und -verantwortlichen.
  • Vernetzung, die die Entwicklung und Optimierung unterstützt.

a)         Zielsystem

Geeignete Zielsysteme machen dadurch auf sich aufmerksam, dass sie Wirkung entfalten. End-to-end optimierte Strukturen der Risikosteuerung benötigen dafür das Eigeninteresse der prozessverantwortenden und insbesondere prozessausführenden Bereiche, um die Prozessentwicklung voranzutreiben. Je nach aktueller Organisationsform stellt sich für die Institutsleitung die Frage, was Motivation bei den genannten Protagonisten auslöst:

  • In stärker agilen Strukturen ist die Blickrichtung auf die Aufgabenherkunft zu legen. Beispielweise ist im Rahmen eines SCRUM Systems der Product Owner als Bindeglied zwischen Kunden-/Stakeholderinteressen und dem Team damit im Fokus. Seine Verantwortung für Storys und die Priorisierung des Backlogs sind hier die entscheidenden Einflussgrößen.[11] 
  • In stärker hierarchiegeprägten Systemen bietet die Priorisierung entsprechend der Top-Down Logik Ansatzpunkte. Leistungsorientierte Vergütungssysteme, die die Optimierung von Prozessen berücksichtigen, zeigen hier Wirkung. 

Beide Situationen profitieren davon, die Beteiligten in den Prozess einzubeziehen. Ein bewährtes Vorgehen dazu ist 

 

Abbildung 4: Vorgehen zur systemischen Weiterentwicklung (eigene Darstellung)[12]

 

  • Leitplanken setzen, insbesondere mit Vorstand/Personal/Betriebs- oder Personalrat,
  • mit einer Auswahl Betroffener im Zukunftsszenario anonym Stolpersteine, Erfolgsfaktoren und Verbesserungsvorschläge erheben,
  • eine Clusterung der Lösungsideen vornehmen und mögliche Zielszenarien mit Betroffenen moderiert entwickeln,
  • diesen durch die Betroffenen nach vorher festgelegten Kriterien (z. B. Risiko, Kosten, Nutzen) bewerten lassen und
  • anschließend in einen moderierten Entscheidungsprozess die Operationalisierung festlegen.

Die Resonanz mit dem Zielsystem und der Gedanke iterativer Vorgehen stehen im Vordergrund. Zentrales Interesse ist, herauszufinden wo Push-/Pull-Effekte im Kontext des Instituts entwickelt werden können und welche Distanzen dafür zurückzulegen sind. Vorteile zeigen sich in dem Vorgehen darin, dass keine Lehrbuchkonzepte unreflektiert übertragen werden. Vielmehr stehen aktuelle Knoten im Fokus und werden transparent, was im Rahmen der Erstellung eigener, passgenauer Antworten mehr Commitment erwirkt. Herausforderungen ergeben sich dort, wo nicht vorhergesehene Möglichkeiten zutage treten, die einen Unterschied für das Zielsystem machen (sollten). Nach unserer Erfahrung zeigt sich darin der einzig richtige Weg, um die Betroffenen an Bord zu holen und Wirkung zu erzielen. Der Hintergrund ist, dass der Lösungsraum qualitativ erweitert wird und treffendere Alternativen zutage treten, die effizientere sowie verlustfreiere Zielsysteme anbieten. 

b)        Rollenstruktur

Im Rahmen der Rollenstrukturen ist die passgenaue Zuordnung der Verantwortlichkeiten zwischen dem Prozessmanager, den Prozessverantwortlichen, den Prozessbeteiligten und dem Zusammenspiel der Linien 1–3 erfolgskritisch für die Entwicklung.[13] Für die Risikosteuerung und Kontrolloptimierung ist entscheidend, wer welche Teil- und übergreifenden Verantwortlichkeiten besitzt und damit Impulse für die end-to-end Optimierung setzen kann.[14] Erhält der Prozessmanager als übergreifende Instanz die Gesamtkoordination und Methodenhoheit im Sinne der Risikobewertung und Maßnahmenausgestaltung (im Sinne eines IKS-Koordinators), zeigen sich praktische Vorteile: 

  • Die Anwendung einheitlicher Maßstäbe der Risikobewertung ist sichergestellt.
  • Benötigte Qualifikationen der Prozessverantwortlichen können fachgerecht initiiert werden.
  • Die Risikosteuerung und -optimierung, wird übergreifend priorisiert.
  • Reaktionen auf Auffälligkeiten oder sich realisierende Risiken werden im Gesamtkontext überwacht.
  • Regelkreise und Wirtschaftlichkeitsbetrachtungen werden sichergestellt und verantwortet.

Prozessverantwortliche nehmen als Pendant die Risikobewertung und Maßnahmenausgestaltung am Einzelprozess vor, sodass

  • Risikosteuerung – z. B. im Sinne der Kontrollintensität – adäquat zum Risiko und unter Wirtschaftlichkeitsaspekten ausgestaltet wird,
  • Auffälligkeiten am Einzelprozess aufgenommen und bewertet werden,
  • regelmäßige Überprüfungen und Neubewertungen – z. B. bei realisierenden Risiken – stattfinden und
  • die Schnittstelle zu den Prozessausführenden als zentraler Ansprechpartner sichergestellt ist.

Entsprechend der Ausgestaltung des Prozessmanagement-Ansatzes der Institute sind in der Zusammenarbeit zwischen Prozessverantwortlichen und Fachbereich Besonderheiten zu beachten. In dezentralen Ansätzen zeigen sich Prozessverantwortliche in der Praxis häufig mit einem Schwergewicht auf die fachinhaltliche Prozesskompetenz. Hier zahlt sich eine Kombination im Prozessteam mit einem Methodiker schnell aus, der z. B. Risikobewertungserfahrungen einbringt. Vice versa zeigen sich in zentralen Ansätzen Kombinationen mit Mitarbeitern aus den Fachbereichen im Prozessteam als vorteilhaft, um mit dem „Ohr an der Schiene“ Impulse für die risikoorientierte Prozessentwicklung aufzunehmen. 

Die Zusammenarbeit mit Beauftragten (Linie 2) und der internen Revision (Linie 3) integriert sich im Sinne des 3-Linien-Modells dahingehend, dass diese – auch neben AT 8.2 Fällen – insbesondere bei Neubewertungen oder aufgetretenen nicht vorhergesehenen Risiken (temporäres) Mitglied von Prozessteams werden. Gerade in erfahrungsjungen Konstellationen ist es sinnvoll, die Zusammenarbeit mit erfahrenen Mitarbeitern der Linie 2 und 3 aufbauend auf dem prinzipienbasierten Ansatz des IIA (Institute of Internal Auditors) zu intensivieren, um die Entwicklung der Beteiligten und des Prozesses selbst zu fördern.

c)         Vernetzung

Die Qualität des Systems, unter Risikogesichtspunkten Einschätzungen vorzunehmen und zu optimierten Ergebnissen zu kommen, wird durch den tatsächlichen Grad der Vernetzung beeinflusst. Arbeitsergebnisse, Prozesse und Risiken sind voneinander abhängig. Die Kombination von Betrachtungen der Beteiligten macht hier einen entscheidenden Qualitätsunterschied, da Betrachtungen und Beobachtungen von Prozessausführenden und Prozessverantwortlichkeiten zu einem Gesamtbild führen und die Risikokultur erlebbar machen.[15] Diese Kombination wird in der Praxis wesentlich durch Feedbackprozesse im Prozessteam und zum Prozessmanager gesteuert. 

Wie es um die organisatorische Vernetzung gestellt ist, lässt sich mit zwei einfachen Fragen evaluieren:

  • Wie viel der MA-Kapazitäten sind für Aufgaben im Prozessmanagement allokiert?
  • Wie viel der MA-Kapazitäten wurden im vergangenen Jahr nachweislich dafür verwendet?[16]

Explizite Kapazitätszuordnungen und ein Controlling auf die verwendeten Ressourcen sind notwendig, um Feedbackprozessen benötigte Zeiten und Räume zu geben, da sie für die Risikosteuerung in zweifacher Weise Vorteile liefern: 

  • Sie steuern den Umgang mit Risikoeinschätzungen und erzeugen Transparenz bei Beteiligten, z. B. bei der gemeinsamen Bewertung einer Kreditrisikoentscheidung und zugrunde gelegten Beurteilungen.
  • Sie leiten eine Lernschleife bei sich realisierenden Risiken ein, z. B. im Rahmen von auftretenden Beratungsfehlern oder unautorisierten Handlungen.

Beide Kontexte zahlen auf die tatsächliche Optimierung der Risikosteuerung und Entwicklung der Risikokultur ein, dennoch unterscheidet sich die Wirkung in der Praxis deutlich:

  • Das gemeinsame Einüben und Reflektieren von Risikoeinschätzungen fokussiert die Kompetenzentwicklung der Beteiligten und stärkt die end-to-end Optimierung. 
  • Die Reaktion auf realisierte Risiken, wie einer unreflektierten Kontrollausweitung, zeigt Verhalten und Erwartungen der Organisation an die Mitarbeiter.

Der zweite Aspekt ist insbesondere zu Anfang eines risikoorientierten Anpassungsprozesses sensibel, da Veränderungen, z. B. im Umgang mit Prozessrisiken, kurz gesagt zunächst argwöhnisch auf ihre Glaubwürdigkeit hin überprüft werden. Diese Überprüfung findet im wahrgenommenen, vorgefundenen Verhalten statt. Die Kombination von Einschätzungen, um blinde Flecken – auch bei der Reaktion auf realisierende Risiken – zu reduzieren und Anpassungsreaktionen in ihrer Wirkung zunächst abzuschätzen, fördert die Entwicklung der Risikosteuerung und Risikokultur unmittelbar. 

Gleichzeitig bleibt zu konstatieren, dass Effekte einer Risikosteuerung auftreten können, die dazu neigen, außerhalb der Grenzen des Risikoappetits zu operieren. Diesen möglichen „Aufschaukelungseffekten“ wird in der Praxis einerseits durch Kompetenzregelungen und andererseits durch Berichtsstrukturen begegnet:

  • Kompetenzregelungen bieten sich zwischen Prozessmanagern und -verantwortlichen sowie übergeordneten Gremien (Vorstand, etc.) an. Entsprechend individuellen Risikoklassen[17] kann die Veränderung des Residualrisikos hier als Kriterium genutzt werden. Wird z. B. eine Veränderung ausgelöst, die einen Klassenwechsel zur Folge hat, greifen höhere Kompetenzen, die Genehmigungen auslösen und „Aufschaukelungseffekte“ frühzeitig transparent machen.
  • Regel-Berichterstattungen zeigen ordnende Wirkung, da Veränderungen für den Bericht bewertet und durch die Empfänger wahrgenommen werden. Als geeignete Ankerpunkte für die Berichterstattungen haben sich in der Praxis Erweiterungen bestehender Steuerungsberichte gezeigt (z. B. im Rahmen des Regel-Reports-OpRisk). Eine Ergänzung um die Entwicklung der Prozessrisikosteuerung ist attraktiv, da diese mittels der akzeptierten Formate wahrgenommen wird. 

d)        Praxishinweis

Die vorgestellten Elemente der Vorgehensweisen aus den Optimierungsstrukturen sind schlicht, konzentrieren sich auf organisatorische Wirkung und betten sich in das 3-Linien-Modell ein. Der wesentliche Punkt dabei besteht praktisch nicht in der Finesse von methodischen Rahmenwerken. Vielmehr steht die Beteiligung und Wiederholung von Strukturelementen im Vordergrund, die geeignet sind, Eigensteuerung im Rahmen fester (von der Aufsicht und dem Zielsystem der Organisation vorgegebener) Leitplanken herzustellen. Prozesse und Anforderungen erzielen in der Praxis dann Wirkung, wenn sie durch die Organisation selbst betrachtet und in Verhalten übertragen werden. Mit Mut zur Einbeziehung und iterativen Vorgehensweisen, die die organisatorische Beteiligung sicherstellen, steht und fällt die nachhaltige Optimierung risikoorientierter end-to-end Strukturen. 

 

IV.       Zusammenfassung 

Die Ausgangsfrage war, was es braucht, um Strukturen zu entwickeln, die unter Risikogesichtspunkten optimierte end-to-end Strukturen herstellen. Im Mittelpunkt für die Sparkassen steht dabei, was PPS mit dem PPS-IKS-Umsetzungsleitfaden den Sparkassen anbietet: Ein System zur Umsetzung des prozessorientierten IKS, welches relevante Elemente in den Fokus stellt und benötigte organisatorische Rahmenbedingungen aufzeigt. Die Sparkassen-Finanzgruppe begünstigt durch die weitere Bereitstellung von Konzeptionen, Prozessen, IT usw. ein Ökosystem, welches es den Sparkassen ermöglicht, Effizienz und Wettbewerbsorientierung auf dieser Basis zu steigern. Gleichwohl zeigt es sich in der Praxis als anspruchsvoll, die konzipierten organisatorischen Anpassungen zu vollziehen, um von risikoorientierten end-to-end Optimierungen zu profitieren. Je nach Distanz der Institute zu diesen Zielbildern sind dazu unterschiedliche und unterschiedlich weite Schritte zu gehen. In der Praxis zeigt sich schnell, dass über methodische Adjustierungen hinaus, praktische Anregungen und Anleitungen für die Herstellung der Rahmenbedingungen gebraucht werden. Mit der Betrachtung von Zielsystemen, Rollenmodellen und der Vernetzung wird explizit auf diese Rahmenbedingungen eingewirkt. 

Die vorgestellten praktischen Kniffe, um die Ausgestaltung zu vereinfachen und gleichzeitig Wirkung zu unterstützen zeigen: Es sind einerseits die Dinge, die getan werden sollten und andererseits die Dinge, die es zu vermeiden gilt.

 

PRAXISTIPPS

  • Als zentrale Voraussetzung für die prozessorientierte Risikosteuerung und optimierte end-to-end Strukturen wird die strategische Entscheidung für die Prozessorganisation gebraucht.
  • Die Anzahl der granular zu steuernden Prozesse sollte adäquat – über die berichteten Vorgehensweisen – reduziert werden, um Fokus und passgenaue Steuerung durch Priorisierung herzustellen.
  • Für die Herstellung der Eigensteuerung prozessorientierter Risiken zeigen transparente Leitplanken und organisatorische Beteiligung in Form von Zielsystemen, Rollenmodellen und Vernetzung nachhaltig Wirkung. 
  • Die Glaubwürdigkeit risikoorientierter Steuerung findet im vorgefundenen Verhalten statt. Mit der Kombination von Einschätzungen kann hier viel positive Wirkung erzielt werden, da blinde Flecken reduziert werden.


[1]           Als Erklärungshintergrund sei hier bspw. auf Pfadabhängigkeiten in sozialen Systemen verwiesen, Ackermann, R. (2003): Die Pfadabhängigkeitstheorie als Erklärungsansatz unternehmerischer Entwicklungsprozesse, In: Schreyögg/Sydow (Hrsg.), Strategische Prozesse und Pfade, 1. Aufl., Wiesbaden, S. 225–256.

[2]              Angesicht von Lernkurveneffekten ist dieses zunächst auch rational, gleichwohl folgt auf den am Beginn stehenden Leistungszuwachs ein „Deckeneffekt“. D. h. Leistungssteigerungen in diesem Muster brauchen einen immer höheren Invest, was den Schereneffekt vergrößert und den ROI sinken lässt, vgl. dazu beispielhaft Kruse, P. (2009), next practice – Erfolgreiches Management von Instabilität, Offenbach, S. 18 ff.

[3]              Für weiterführende Hinweise der praktischen Aufstellung und Optimierung des gesamten internen Kontrollsystems von Kreditinstituten, vgl. z. B. Helfer M./Geiersbach K./Riediger H./Hanenberg L. (Hrsg.), Interne Kontrollsysteme in Banken und Sparkassen, 3. Aufl. 2020, Heidelberg; sowie Helfer M./Schnüttgen M. (2014), Prozessmanagement in Regionalbanken, Heidelberg.

[4]           Ähnlich, Vgl. Helfer M. (2020), Aktuelle Entwicklungstendenzen und Standardisierungsmodelle, S. 233, In: Helfer M./Geiersbach K./Riediger H./Hanenberg L. (Hrsg.), Interne Kontrollsysteme in Banken und Sparkassen, 3. Aufl., Heidelberg.

[5]           http://www.spass.net/bilder/sinnvolle-schranke/; abgerufen: 05.08.2021.

[6]              Zur Prozessaufnahme vgl. beispielhaft Schnüttgen M. (2014), Best Practice: Prozessmanagement in den drei deutschen Banksäulen, S. 191 ff. In: Helfer M./Schnüttgen M. (Hrsg.), Prozessmanagement in Regionalbanken, Heidelberg.

[7]              Zu Schlüsselkontrollen vgl. Helfer M. (2020), Aktuelle Entwicklungstendenzen und Standardisierungsmodelle, S. 396 ff., In: Helfer M./Geiersbach K./Riediger H./Hanenberg L. (Hrsg.), Interne Kontrollsysteme in Banken und Sparkassen, 3. Aufl. 2020, Heidelberg.

[8]              Ermittlungsgegenstand sind dabei zunächst prozessinhärente (Brutto-)Risiken, d. h. das Prozessrisiko vor risikoreduzierenden Maßnahmen. Die Ermittlung sollte aus unterschiedlichen Blickwinkeln geschehen, z. B. aus den Positionen Fachlichkeit, Risikosteuerung, Beauftragtenfunktion, Interne Revision, usw.; vgl. Stanke U. (2014), Integration des OpRisk-Managements in das Prozessmanagement als Grundlage für Prüfungshandlungen der Internen Revision, S. 351 ff. In: Helfer M./Schnüttgen M. (Hrsg.), Prozessmanagement in Regionalbanken, Heidelberg. Dabei ist anzumerken, dass Bewertungsverfahren für die Ermittlung prozessinhärenter (Brutto-)Risiken mit den Verfahren des OpRisk-Managements synchronisiert werden sollten, sodass gleiche Bewertungsdimensionen erreicht werden.

[9]           Die PPS-Prozesslandkarte verfügt über ca. 1.250 Einzelprozesse in ihrer aktuellen Ausbaustufe. 

[10]         Für einen Überblick zu regulatorischen und aufsichtsrechtlichen Rahmen, vgl. z. B. Helfer M./Geiersbach K./Riediger H./Hanenberg L. (Hrsg.), Interne Kontrollsysteme in Banken und Sparkassen, 3. Aufl. 2020, Heidelberg; Hier wird eine dezidierte Aufarbeitung relevanter Inhalte vorgenommen, sodass in diesem Beitrag darauf verzichtet wird.

[11]         SCRUM in der vorgestellten Konfiguration stellt eine Möglichkeit der agilen Ausgestaltung dar. Je nach Rollenmodell und zugeordneten Verantwortlichkeiten ist dieses zu adjustieren.

[12]         Vgl. zu einem entsprechenden Vorgehen, Kruse, P. (2009), next practice – Erfolgreiches Management von Instabilität, Offenbach, S. 192 ff.

[13]         Vgl. IAA, DAS DREI-LINIEN-MODELL DES IAA – Eine Aktualisierung der Three Lines of Defense, Juli 2020, abgerufen 21.08.2021: https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwiM1oqAqcLyAhVmSPEDHaFLBu0QFnoECAIQAQ&url=https%3A%2F%2Fwww.diir.de%2Ffileadmin%2Ffachwissen%2Fdownloads%2FThree-Lines-Model-Updated-German.PDF&usg=AOvVaw2-a01VR2Xg20j4ha9lgdPg

[14]         Für die Sparkassenorganisation ergibt sich das weitere Aufgabenportfolio dieser und weiterer Rollen regelmäßig aus der Adaption des Umsetzungshandbuches Organisation (Modell O). 

[15] Zur weiteren Ausgestaltung und Abgrenzung der Risikokultur, vgl. Ritz P. (2020), Risikokultur als zentrale Grundlage für das IKS, S. 196 ff., in: Helfer M./Geiersbach K./Riediger H./Hanenberg L. (Hrsg.), Interne Kontrollsysteme in Banken und Sparkassen, 3. Aufl. 2020, Heidelberg.

[16] Dabei gilt das Zitat von Peter F. Drucker weiterhin „Was man nicht messen kann, kann man nicht lenken.“ 

[17] Vgl. beispielhaft Stanke, U. (2014), Integration des OpRisk-Managements in das Prozessmanagement als Grundlage für Prüfungshandlungen der Internen Revision, S. 349 ff., in: Helfer M./Schnüttgen M., Prozessmanagement in Regionalbanken, Heidelberg.


Beitragsnummer: 18171

Produkte zum Thema:

Produkticon
IKS KOMPAKT: Implementierung Kontrollkonzepte

299,00 € exkl. 19 %

18.11.2021

Produkticon
Schlüsselkontrollen zur IKS-Optimierung
Produkticon
ForumBCM: Ganzheitliches Business Continuity Management (BCM)
Produkticon
ForumISM: MaRisk- und BAIT- konformes Risiko- und Informationssicherheitsmanagement
Produkticon
ForumOSM: Wirksame Steuerung und Überwachung von Dienstleistern und Auslagerungen

Beiträge zum Thema:

Beitragsicon
Der risikobasierte Ansatz eröffnet Handlungsspielräume für Unternehmen

Die gesetzeskonforme Umsetzung des Geldwäschegesetzes mit dem Anspruch, die Risiken der Geldwäsche, der Terrorismusfinanzierung und den sonstigen strafbaren Handlungen zu bekämpfen, sorgt in der Unternehmenspraxis für Herausforderungen.

20.08.2020

Beitragsicon
Unternehmenskultur setzen und implementieren

Tone from the TopBernd Rummel, Senior Policy Expert bei der Europäischen Bankenaufsichtsbehörde (EBA), alle Inhalte sind die persönliche Meinung des Verfass

13.12.2019


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.