EDITORIAL
Liebe Leserinnen und Leser,
Datenkontrollkonzepte als Teil des IKS – Häufig werden Datenkontrollbereiche in Banken isoliert betrachtet. Dabei wird gerne übersehen, dass die Datenkontrolle Teil des kompletten IKS im Hause ist.
Sie sollten sich folgende Fragen stellen: Wo in Ihrem Haus finden zusätzliche Kontrollen statt? Dies können z. B. Kontrollen durch Führungskräfte im Markt sein. Wie ist bei Ihnen das Zusammenspiel mit der Second Line und der Third Line? Wie ergänzen sich diese Bereiche in den Kontrollen heute und wie können Sie das noch optimieren?
Gerade im Zusammenspiel der drei Linien zeigt sich häufig Optimierungsbedarf. Helfen kann dabei die Aufnahme und Dokumentation sämtlicher Kontrollhandlungen in einer Risiko-Kontroll-Matrix.
Eine aktuelle Umfrage zum Status quo von IKS-Systemen in Banken und Sparkassen zeigt, dass knapp die Hälfte aller Institute eine Risiko-Kontroll-Matrix erstellt haben. Nur etwa ein Drittel der Institute hat die Kontrollhandlungen der ersten, zweiten und dritten Ebene dokumentiert. Hier schlummert also noch Potential. Eine Übersicht kann Ihnen helfen, die Kontrollen dort einzusetzen, wo sie vom Risiko erforderlich sind und Doppelkontrollen sowie Kontrollen bei geringerem Risiko zu reduzieren.
Gleichzeitig lohnt es sich, die einzelnen operativen Kontrollen in Datenkontrollabteilungen immer wieder zu beleuchten. Ein Kontrollkonzept sollte „leben“ und immer wieder überprüft werden. Fragen Sie sich: In welcher Form werden von Ihren Mitarbeitenden die Kontrollen durchgeführt? Arbeitsweisen haben sich im Laufe der Jahre gebildet und häufig steht eine Weiterentwicklung der Kontrollkonzepte nicht im Fokus. Aber auch: Wie werden die Kontrollen durchgeführt? Werden manuell Listen kontrolliert oder werden diese maschinell ausgelesen und nur Fehlerhinweise ausgegeben? Werden alle Geschäftsvorfälle manuell geprüft oder werden auch hier nur technisch gefilterte Fehler angezeigt? Werden RPA-Systeme genutzt für die Unterstützung bei der Datenerfassung, Prüfung oder Bereinigung?
Nicht selten erlebt man bei der Optimierung Widerstände. Gerade wenn Kontrollen oder Arbeitsweisen abgeschafft werden, die man über mehrere Jahre „liebgewonnen“ hat. Dann braucht es eine Begleitung der Veränderung durch die Führungskraft. Die Vermittlung, dass die bisherige Tätigkeit wichtig war, aber sich Zeiten und auch Möglichkeiten im Laufe der Zeit ändern.
Interne Revision und ihre berufsethischen Standards
Wie schon beschrieben, ist auch die Third Line Teil des Internen Kontrollsystems. Hier im Bereich der Revision ergeben sich mit Einführung der neuen Global International Standards (GIAS) Neuerungen bei den berufsethischen Standards. Diese gelten nun seit Anfang Januar 2025. Die Revision ist eine der wenigen Berufsgruppen, die weltweit einen einheitlichen Berufsstandard besitzen. In dieser Ausgabe gehen wir auf die Herausforderungen ein, die nun vor den Internen Revisionen stehen.
Erstmals ist eine Revisionsstrategie gefordert. Auch die Einbeziehung des Aufsichtsgremiums einer Bank geht deutlich über die Anforderungen der bisherigen Berufsstandards und auch der MaRisk hinaus. Ganz neu ist die Festlegung von Kennzahlen, an denen sich die Interne Revision messen lässt. Es lohnt sich frühzeitig eine GAP-Analyse durchzuführen und die Anpassungen vorzunehmen. Denn auch hier gilt es, die Mitarbeitenden rechtzeitig bei den Veränderungen mitzunehmen.
Herzliche Grüße und viel Spaß beim Lesen
Ihr Markus Meier, Senior Consultant, FCH Consult GmbH