Frank Biedermann, Michael Hauer und Marco Jantzen, Spezialistenteam IT und Bankenanwendungsverfahren, AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft
Einleitung
Der berufliche Alltag in einer Bank ist deutlich durch aufsichtsrechtliche Vorgaben geprägt – der Bereich der Datenkontrolle ist dabei keine Ausnahme. Neben dem unternehmenseigenen Anspruch, ordnungsgemäße und korrekte Daten zu erfassen, zu pflegen, um mögliche Vertriebsansätze richtig nutzen zu können, bestehen auch (aufsichsrechtliche) Mindestanforderungen, die eingehalten werden müssen.
Die Datenkontrolle als Teil des internen Kontrollsystems steht hierzu als Führungsaufgabe im Spannungsfeld zwischen Kostenminimierung, Vertriebserfolg und Kosten-/Nutzen-Faktor.
Ziele und Anforderungen
Ziel der Datenkontrolle
Eine Datenkontrolle ist erforderlich, um ein ordnungsgemäßes Internes Kontrollsystem (IKS) abbilden zu können.
Mit einer vollumfänglich wirksam vorhandenen Datenkontrolle wird das Ziel verfolgt, das vorhandene Risiko zu minimieren und zu managen, das aus Themen wie Datenschutz, Aufsichtsrecht, Verbraucherrecht u. v. m. resultiert. Daneben ist als weiteres Hauptziel aufzuführen, dass mit der Datenkontrolle die Umsetzung einer hochwertigen Datenqualität erreicht werden soll.
Gesetzliche Anforderungen
Welche Daten zu erheben sind, ist in einer Vielzahl gesetzlicher und aufsichtsrechtlicher Vorgaben enthalten. Die zu erhebenden Daten bilden die Grundlage der Datenkontrolle.
Die Ausgestaltung des IKS/der Datenkontrolle bestimmt der Gesetzgeber i. V. m. den Aufsichtsbehörden in verschiedenen gesetzlichen und aufsichtsrechtlichen Vorgaben. Die grundsätzlichen Anforderungen sind in der MaRisk AT 4.3, 5, 6 und 8.2 geregelt, demnach muss jedes Institut über ein internes Kontrollsystem verfügen. Ausgangspunkt sind dabei Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten.
Weitere wesentliche Grundlagen ergeben sich aus den Anforderungen des § 238 Abs. 1 HGB, dem § 239 Abs. 2 HGB, dem § 146 AO, dem § 25a Abs. 1 KWG und dem IDW RS FAIT 1[1].
Nach MaRisk AT 7.2 müssen IT-Systeme und IT-Prozesse die Integrität, die Verfügbarkeit, die Authentizität und die Vertraulichkeit von Daten sicherstellen. Dabei ist zur Erreichung dieser Sicherheitsanforderungen grundsätzlich auf gängige Standards abzustellen. Aus dem gewählten Standard können sich weitere Anforderungen ergeben, wie beispielweise ein Datenerfassungskonzept.
Weitere Anforderungen
Darüber hinaus gibt es die Möglichkeit ergänzender unternehmensinterner Vorgaben. Dabei spielen die Unternehmensstrategie sowie die Risikokultur des Unternehmens eine tragende Rolle.
Der Unternehmensaufbau sowie die aktuelle Datenstruktur und aktuelle Datenqualität stellen bei der Ausgestaltung der Datenkontrolle und deren Umfang eine zentrale Grundlage dar.
Aufbau und Durchführung der Datenkontrolle
Regelungen, was, wann, von wem, in welchem Umfang und anhand welcher Unterlagen kontrolliert werden soll und wie die vorgenommene Kontrollhandlungen dokumentiert werden sollen, ist durch das Unternehmen zu beurteilen und schriftlich zu fixieren. Das hieraus resultierende Kontrollkonzept sollte dann alle relevanten Daten (Vorgänge, Prozesse, Eingaben etc.) beinhalten. Ziel ist dabei die Sicherstellung eines angemessenen Verhältnisses zwischen Kontrollaufwand und Risikogehalt unter der Berücksichtigung automatisierter EDV-Kontrollen und/oder manueller Kontrollen.
Die Festlegung der einzelnen Kontrollhandlungen und Parameter des Kontrollkonzeptes sollten regelmäßig überprüft werden. Die Analyse umfasst auch die Ergebnisse zur Identifizierung von Fehlerschwerpunkten und deren Kommunikation sowie Festlegung eines etwaigen Handlungsbedarfs. Im Ergebnis sollte die regelmäßige Überprüfung des Kontrollkonzeptes die Sicherheit der Geschäftsprozesse erhöhen und die Effizienz der Kontrollhandlungen steigern.
Die Prüfung der erfassten und zu erhebenden Daten erfolgt stetig und dauerhaft in jedem einzelnen Schritt, indem die Daten erhoben und verarbeitet werden. Alle drei Verteidigungslinien einer Bank[2] sind eingebunden und gefordert. Angefangen von dem Mitarbeiter, der die Daten erfasst, weiter mit möglichen systemseitigen Hilfestellungen und Plausibilitätskontrollen und letztlich auch durch den Kunden, der im Rahmen seiner Vertragsunterzeichnung die Daten bestätigt.
Im Weiteren erfolgen nachgelagerte Kontrollen durch mit der Datenkontrolle beauftragte Mitarbeiter und später durch Prüfungshandlungen der internen Revision.
Die Durchführung erfolgt somit fortlaufend sowohl innerhalb eines Prozesses sowie nachgelagert durch interne Bereiche, die im Prozess nicht eingebunden waren. Dabei werden die Mitarbeiter durch maschinelle Datenkontrollen so gut wie möglich unterstützt, soweit diese unternehmensseitig implementiert sind.
Die Datenkontrolle ist somit ein Kreislauf, der beginnend mit der Dateneingabe bis zur Ausgabe der Prozessergebnisse von internen Qualitätssicherungsmaßnahmen begleitet wird.
Herausforderungen/Schwierigkeiten der Datenkontrolle
Bei der Vielzahl an Anforderungen und zu erhebenden Daten/Unterlagen passieren Fehler. Diese Fehler sind dabei u. a. auf den Faktor Mensch zurückzuführen – was man nicht vollständig verhindern kann.
Auch haben systemseitige Unterstützungen und maschinelle Kontrollen Grenzen.
Zusätzlich bedingen der stetige Wandel – mit den täglich neuen Herausforderungen – und die sich verändernden gesetzlichen Anforderungen Fehler.
Bei der Bereinigung möglicher Fehler kommen Faktoren wie Termintreue, Zeitdruck oder die notwendige Unterstützung durch den Kunden hinzu.
Die Datenkontrolle spielt im Rahmen der Führungsaufgabe eine wichtige Rolle, vor allem im Spannungsfeld zwischen der Anforderung zur Kostenminimierung und dem vertrieblichen Erfolg.
Die Qualität der Datenkontrolle kann durch verschiedene Möglichkeiten erhöht werden. Neben der Schulung der Mitarbeiter, kann der Einsatz von Software zur systemseitigen Fehlerminimierung durch mögliche Pflichtfelder und Plausibilitätskontrollen hilfreich sein. Auch kann ein (externer) Dienstleister im Bereich des Aufbaus eines Kontrollkonzeptes unterstützend tätig werden.
Alle getroffenen Maßnahmen tragen zur Erhöhung der Qualität in der Datenkontrolle und damit des internen Kontrollsystems bei. Eine zentrale Aufgabe des Managements ist die Schaffung eines Bewusstseins für die Notwendigkeit der Datenkontrolle als Basis für den vertrieblichen Erfolg bei allen Mitarbeitern.
Eigenverantwortung/-schutz
Die Akzeptanz der Datenkontrolle innerhalb des Gesamtunternehmens ist grundlegend für die Effizienz vertrieblicher Aktivitäten. Dabei ist es wichtig, den Mitarbeitern die Tragweite und den Sinn der Datenkontrolle bewusst zu machen. Vorrangiges Ziel sollte es dabei sein, die Transparenz und Sinnhaftigkeit der notwendigen Datenkontrolle für alle Mitarbeiter zu vermitteln.
Teil einer Fehlerkultur im Unternehmen sollte sein, dass festgestellte Hinweise, Fehler oder Korrekturbedarfe den Mitarbeitern nicht als Fehler auszulegen, sondern beispielsweise als Hilfestellung zur Erfüllung der gesetzlichen und aufsichtsrechtlichen Anforderungen zu verstehen sind. Hierdurch sollen mögliche rechtliche und persönliche Verantwortungen, Streitigkeiten und Haftungen reduziert, verhindert oder vermieden werden.
PRAXISTIPPS
Der Aufbau und die Qualität der Datenkontrolle haben eine besondere Bedeutung. Werfen Sie daher regelmäßig einen genaueren Blick darauf, wie diese in Ihrem Unternehmen ausgestaltet sind.
Sehr wahrscheinlich werden Sie dabei feststellen, dass der Aufbau und die Qualität der Datenkontrolle nie vollkommen ausgereift sind und eine vollständige Zufriedenheit ein letztlich utopisches Ziel bleibt. Nehmen Sie das sportlich: festgestellte Hinweise oder Korrekturbedarfe sind nicht als Fehler, sondern als Hilfestellung zu verstehen – und „besser geht immer“.
Denken Sie ggf. darüber nach, externe Dienstleister einzubinden, um das Unternehmen, die Führungskräfte, die Interne Revision und die Mitarbeiter bestmöglichst zu unterstützen und gesetzliche sowie aufsichtsrechtliche Anforderungen einzuhalten. Wichtig ist dies gerade in besonderen Situationen wie beispielsweise dem Wechsel des Bankenanwendungsverfahrens.
Das alles immer mit dem Ziel, den Ansprüchen einer ressourcenschonenden Erfüllung des internen Kontrollsystems und den rechnungslegungsrelevanten Anforderungen nachzukommen. Dazu benötigen Sie ein maßgeschneidertes strukturiertes Vorgehensmodell, welches unter Einbindung des Top-Managements, der Internen Revision und der mitverantwortlichen Fachbereiche, den verantwortlichen Datenkontrolleuren den notwendigen Rückenwind gibt, dieses – oft so unbeliebte – Thema effizient nach vorne zu bringen. Immer nach dem Motto „so viel wie nötig, so wenig wie möglich“.
[1] Institut der Wirtschaftsprüfer in Deutschland e.V., Rechnungslegungsstandard des Fachausschusses für Informationstechnologie „Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“.
[2] Vergleiche „Modell der drei Verteidigungslinien“: 1. Linie: operative Kontrollen, 2. Linie: Risikocontrolling, Compliance, 3. Linie: Interne Revision.