Sonntag, 8. April 2018

Die Bedeutung von Schlüsselkontrollen nimmt zu

„Es hängt vom Menschen ab, ob er die Technologie beherrscht oder sie ihn ...“ (John Naisbitt)

Gisela Conrads, Leiterin Interne Revision, Münchener Hypothekenbank eG

Wurde die Forderung nach der Einführung von „Schlüsselkontrollen“ noch vor wenigen Jahren belächelt und mit der Frage „Was verstehen Sie darunter?“ beantwortet, werden diese sowohl in nationalen Bankenaufsichten als auch der europäischen Bankaufsicht gefordert. Die Sicherstellung der Umsetzung ist somit unumgänglich. In den Mindestanforderungen an das Risikomanagement MaRisk werden u. a. in AT 4.3 bzw. BT 1 Anforderungen an ein Internes Kontrollsystem definiert. Dieses ist gemäß der Ausführungen des § 25a KWG auch Grundlage für eine ordnungsgemäße Geschäftsorganisation, die in der Verantwortung der Geschäftsführung liegt und vom Aufsichtsrat überwacht werden muss.

Wurde früher das „4-Augen-Prinzip“ in der Bankenwelt als die Kontrolle schlechthin z. B. für Kontoeröffnungen, Kreditvergaben und Bilanzauswertungen bewertet, wurde in den vergangenen Jahren ein Umdenkungsprozess eingeleitet. Nicht zuletzt die steigenden Vorgaben der nationalen und europäischen Aufsicht führen dazu, dass sich insbesondere Banken mit der Bedeutung und Funktionsfähigkeit von internen Kontrollsystemen auseinandersetzen müssen. Hierzu gehört jedoch nicht nur die Festlegung von Kontrollen im Sinne von Kompetenzen. Um wirksame Schlüsselkontrollen zu bestimmen ist es erforderlich, die wesentlichen Prozesse des eigenen Hauses sowie wesentliche Schnittstellen auch zu Dienstleistern zu kennen. Voraussetzung hierfür ist eine Zerlegung aller Geschäftsprozesse in Teilprozesse sowie eine Bewertung der einzelnen Prozesse/Prozessschritte in Bezug auf das potenzielle Gefährdungspotenzial. Die Bewertung der Prozesse und möglicher Kontrollen sollte dabei unternehmensabhängig in Einklang mit den erwarteten Risiken und den für die Kontrollen entstehenden Kosten stehen. Das klingt einfacher als es ist, denn vielfach wurden bestehende Prozesse und IT-Systeme in der Vergangenheit an aufsichtsrechtliche oder interne Anforderungen angepasst, ohne die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität vollumfänglich zu analysieren. Nicht ohne Grund fordern die MaRisk daher in AT 8.2 eine dokumentierte Analyse, in die auch die 2. und 3. Verteidigungslinie eingebunden werden.

Schlüsselkontrollen zeichnen sich durch ihre besondere Rolle innerhalb eines Prozesses aus und sollen dazu beitragen, unter Kosten-Nutzen-Aspekten, wesentliche Risiken zu vermeiden, zu vermindern oder aufzudecken. Dabei können der maßgeblichen Schlüsselkontrolle auch mehrere Einzelkontrollen vorausgehen.

SEMINARTIPP

Schlüsselkontrollen Spezial: Kreditprozesse, 27.09.2018, Frankfurt/Offenbach.

Im Zusammenhang mit der ab dem 30.06.2018 durch eine Vielzahl von Kreditinstituten zu erfüllenden EBA-Guideline „Leitlinien zur internen Governance“ 2017/11 werden Forderungen nach klaren Zuständigkeiten, Rollen und Kontrollprozessen gestellt. Gleichzeitig wird die Bedeutung der einzelnen Managementfunktionen hervorgehoben. Um diesen Forderungen nachkommen zu können, ist es aus Sicht der Autorin zwingend erforderlich, kurzfristig sicher zu stellen, dass die betroffenen Institute alle wesentlichen Prozesse identifizieren und entsprechende (wirksame) Schlüsselkontrollen implementiert werden. Dabei sollten über die Kreditgenehmigungsprozesse hinaus u. a. auch folgende Prozesse Berücksichtigung finden:

IT-Entwicklung
Berechtigungen (u. a. IT)
Aufbauorganisation
Ablauforganisation/Organisationsrichtlinien

Schlüsselkontrollen sind für jedes Geschäftsmodell individuell festzulegen und in strukturierter Form zu überwachen. Sie zeichnen sich dadurch aus, dass

ihr Einsatz restriktiv erfolgt (weniger ist mehr),
sie angemessen dokumentiert werden und ihre Ergebnisse jederzeit auswertbar sind,
auf sie i. d. R. nicht verzichtet werden kann,
sie finanzielle Risiken abdecken,
sie auch relevante Positionen auf Sub-Prozessebene abdecken,
sie neben rechnungslegungsbezogenen Prozessen auch alle anderen wesentlichen Prozesse abdecken sollten
und Schnittstellen zu Dienstleistern einzubeziehen sind.

Die Schlüsselkontrolle definiert somit Kontrollziele für einzelne Risiken (inkl. der operativen Strategieeinhaltung) und erfüllt aufsichtsrechtliche bzw. gesetzliche Anforderungen, ohne dass aktuell eine einheitliche Definition des Begriffs „Schlüsselkontrolle“ im Gesetz oder Aufsichtsrecht vorgegeben wird. Aus Sicht der Autorin sollten auch national überwachte Institute die Vorgaben aus der „Leitlinie zum einheitlichen Überprüfungs- und Bewertungsprozess (SREP)“ in Bezug auf das Interne Kontrollsystem umsetzen. Dabei nehmen funktionsfähige Schlüsselkontrollen eine zentrale Bedeutung im Rahmen der Überprüfung ein. Nur so können Risiken vermieden bzw. Prozessschwächen frühzeitig erkannt werden.

Für die Interne Revision des Unternehmens bedeutet das eine Anpassung der risikoorientierten Prüfungsplanung sowie der Prüfungsansätze, da die Prüfung der Schlüsselkontrollen eine neue Prüfungsmethodik darstellt. Zunächst muss sichergestellt werden, dass unter Wirtschaftlichkeitsgesichtspunkten erforderliche Kontrollen vorhanden sind und diese in die bestehenden Prozesse integriert wurden. Dazu gehört auch der Nachweis, dass diese Schlüsselkontrollen in der Organisation bekannt sind und gelebt werden. Die Bewertung der Kontrollergebnisse muss darüber hinaus sicherstellen, dass eventuell erforderlicher Handlungsbedarf abgeleitet und erforderliche Maßnahmen umgesetzt werden.

Eine stärker auf Schlüsselkontrollen fokussierte Prüfungsplanung und -durchführung sollte auch mit der jeweiligen Geschäftsführung sowie dem Aufsichtsgremium des Unternehmens diskutiert werden. Bereits heute werden Einschätzungen des Instituts zur Funktionsfähigkeit des IKS insbesondere von den Aufsichtsräten der Institute sowohl bei der Geschäftsführung, als auch beim Abschlussprüfer und der Internen Revision des Unternehmens abgefordert.

PRAXISTIPPS

Grundlage für funktionsfähige Schlüsselkontrollen ist die Schaffung eines einheitlichen Grundverständnisses für die Themen „wesentliche Prozesse“ und „Detailtiefe der Prozessschritte“.
Ausweitung der wesentlichen Prozesse auch auf Schnittstellen zu Dienstleistern.
Klare Schnittstellen und Service Level Agreements als Grundlage verlässlicher (erwarteter) (Daten-)Qualität für funktionsfähige Schlüsselkontrollen.
Die Anforderungen aus dem AT 8.2 MaRisk müssen ernst genommen werden.
Schlussfolgerungen aus den Kontrollergebnissen müssen dokumentiert und Handlungsbedarf abgeleitet werden.
Bei der Implementierung ist der Kosten/-Nutzeneffekt zu beachten.

Beitragsnummer: 625

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Prüfung des Internen Kontrollsystems durch die Interne Revision

Möglicher Lösungsansatz zu der Frage: „Wie lässt sich das Sachgebiet prüfen, wenn die Interne Revision doch selbst ein Teil davon ist?“

17.01.2023

Datenqualität(sprüfungen) im AWV-/AWG-Meldewesen

Datenqualität(-sprüfungen) im AWV-/AWG-Meldewesen und die verzahnte Betrachtung von Datenqualitäts- und Meldeprozessen

28.02.2024

Prüfung des Managements von Immobilienrisiken

Nach Zinswende 2022 und neuen Regulierungen müssen Banken Immobilienrisiken neu bewerten und managen für Zukunftssicherheit.

02.04.2024

Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024

Aufbau eines effizienten IKS im IT-Bereich

Kontrollaspekte auf Basis BAIT, mit besonderem Fokus auf Rezertifizierung und den „High Level Controls“ für die Administratoren

29.08.2023