Anzeige
| Internes Kontrollsystem

Effizienz und Sicherheit erhöhen

Die wirtschaftlichen und regulatorischen Anforderungen an das Interne Kontrollsystem im Banken- und Sparkassensektor wachsen stetig. Gleichzeitig ist der Grad der Ausgestaltung auf Grund unspezifischer und auslegungsbedürftiger externer Vorgaben in den einzelnen Instituten jedoch immer noch sehr unterschiedlich.

Anzeige

Für Banken wie für Sparkassen gibt es aufsichtsrechtliche Anforderungen, um ein Internes Kontrollsystem (IKS) zu implementieren und zu überwachen. Sie sehen vor, dass die Institute ein IKS mit einem angemessenen und wirksamen Risikomanagement implementieren müssen, um Risiken frühzeitig mit präventiven Maßnahmen zu minimieren. Ziel ist es, eine Balance zwischen der Risikostrategie des Hauses und einem angemessenen Reifegrad des IKS zu finden. Dadurch können Institute zielgerichteter und risikoorientierter agieren. Allerdings stellt sich an diesem Punkt die Frage nach dem notwendigen Ausgestaltungsgrad eines IKS. Externe Vorgaben bleiben diesbezüglich stets unspezifisch und auslegungsbedürftig.

Die Wirtschaftsprüfungsgesellschaft KPMG hat deshalb im zweiten Halbjahr 2018 erstmalig eine IKS-Studie im Sparkassensektor durchgeführt, um den Reifegrad in den Instituten zu ermitteln. An der Studie haben sich 18 Sparkassen unterschiedlicher Größe und Geschäftsmodelle beteiligt (unter anderem ein Drittel der 15 größten Sparkasseninstitute Deutschlands, gemessen an der Bilanzsumme 2017).

Übergreifende Fragestellungen zum IKS

Basierend auf einer sparkassenweiten Prozesslandkarte wird von nahezu allen befragten Instituten eine bereichsübergreifende End-to-End-Prozess­betrachtung vorgenommen. Das dient dazu, wesentliche Risiken und die dazugehörigen Schlüsselkontrollen zur Festlegung des sparkassenweiten IKS zu ermitteln.

Um einen institutsweit einheitlichen, konsistenten und zuverlässigen Umgang mit derartigen Themen sicherzustellen, wird zunehmend eine zentrale IKS-Instanz installiert. Allerdings ist eine IKS-Zentrale nur bei gut der Hälfte der teilnehmenden Institute eingerichtet. Gemäß den Antworten erfüllt sie primär die Rolle eines allgemeinen Ansprech­part­ners und Methodengebers hinsichtlich Ausgestaltung und Dokumen­tation von Kontrollen. Erst in knapp einem Viertel der teilnehmenden Institute nimmt die IKS-Zentrale die Rolle eines Koordinators für die Überwachung der Wirksamkeit sowie die Aggregation der Einschätzung der Wirksamkeit zum institutsweiten IKS ein.

Aus den Antworten lässt sich derzeit noch keine einheitliche Anwendung zur Abbildung von Prozessen, Risiken und Kontrollen ableiten. Die Abbildung findet in diversen Anwendungen statt, wobei die Mehrheit der Institute eine verbandsweite Prozesssoftware verwendet. Ein Drittel der Teilnehmer benutzen für die Abbildung eine eigene Lösung, wie beispielsweise eine Datenbank.

 
© BBL
IKS-Regelkreis
Die Beurteilung der Wirksamkeit von IKS-Schlüsselkontrollen (Control-Testing) wird als wesentliches Element des IKS-Regelkreises angese­hen und gut die Hälfte der befragten Institute führen eine solche Beurteilung bereits durch. Die Umsetzung des Control-Testings ist bislang sehr heterogen, vor allem im Hinblick auf Inhalt sowie Turnus (s. Abb. 1). Eine jährliche IKS-Gesamteinschätzung durch die Prozessverant­wortli­chen bzw. Bereichsleitung sowie die Einholung von Kontrollbestäti­gun­gen durch die Kontrollverantwortlichen wird bisher nur von knapp einem Fünftel verwendet. Im Vergleich dazu sind diese beiden Instrumente bei den größeren Geschäftsbanken deutlich häufiger anzufinden.

 
© BBL
Verzahnung mit anderen Kontrollfunktionen
Knapp 70 Prozent der befragten Institute wenden ein sparkassenweit übergreifendes Modell an, um Prozessrisiken zu bewerten. Eine einheitliche Methodik ist dabei eine gute Basis für Verzahnungsaktivi­täten zwischen den Kontrollfunktionen. Hingegen erfolgt nur bei einem Drittel der befragten Sparkassen eine Abstimmung der IKS-Berichter­stattung mit anderen Kontrollfunktionen (s. Abb. 2).

Überwachungsfunktion des IKS
Bei über der Hälfte der befragten Institute erhalten die Aufsichts- bzw. Verwaltungsräte bereits ein regelmäßiges Reporting bezüglich der Wirksamkeit des sparkassenweiten IKS. Im Vergleich hierzu hat sich eine diesbezügliche Berichterstattung bei den größeren Geschäftsbanken bereits als Standard etabliert. Der Turnus, in dem sich der Prüfungsaus­schuss mit der Überwachung der Wirksamkeit des IKS befasst, ist gemäß den Antworten der Studienteilnehmer unterschiedlich geregelt. In den größeren Geschäftsbanken hat sich zwischenzeitlich eine jährliche IKS-Berichterstattung etabliert.

Entwicklungstendenzen
Aus den Studienergebnissen zeichnet sich bei den teilnehmenden Sparkassen in vier Bereichen ein wesentlicher Handlungsbedarf ab. Zum einen beschäftigt die Institute die Sicherstellung der Vollständigkeit und Aktualität der Prozess- und Kontrolldokumentation. Ein weiterer Punkt dreht sich um die Intensivierung der Zusammenarbeit und Verzahnung aller institutseigenen Kontrollfunktionen. Daneben sind auch die zunehmende Implementierung von IT-Lösungen zur Unterstützung der Dokumentation sowie die Steuerung des IKS-Regelkreises genannt worden. Und schließlich beschäftigen sich die Häuser im Zuge der Digitalisierung auch vermehrt mit dem Austausch manueller durch automatisierte Kontrollen.

Wesentliche Bausteine für ein strukturiert überwachtes IKS

 
© BBL
Welche Aspekte sind bei der Konzeption und Implementierung eines strukturiert überwachten IKS nun zu beachten? Aus Sicht der Autoren sind für ein effizientes und wirksames IKS im Wesentlichen der Aufbau und das Zusammenspiel zwischen drei Säulen von Bedeutung, wie Abbildung 3 detaillierter zeigt.

Risiko- und prozessbasiertes Kontrollkonzept
Eine prozessorientierte Abbildung gewährleistet eine prozessuale Be­trachtung von Risiken und Kontrollen über Bereichsgrenzen hinweg. Entlang der End-to-End-Prozesse können – auf Basis eines einheit­li­chen Risikokatalogs – wesentliche Risiken abgeleitet und risikominimierende Kontrollen eingerichtet werden. Um Effizienz und Transparenz zu erhö­hen, sollte die Bewertung der identifizierten Prozessrisiken anhand einer sparkassenweit einheitlichen Prozess-Risiko-Matrix erfolgen. Dazu gehört auch eine systematische Gegenüberstellung wesentlicher prozessinhärenter Risiken und Kontrollen. Sie soll sicherstellen, dass alle wesentlichen Risiken durch entsprechende risikominimierende Kontrollen abgedeckt sind.

Governance
Eindeutige Verantwortlichkeiten für Prozesse und Kontrollen festzu­le­gen, ist ein wichtiger Bestandteil für eine funktionsfähige Aufbauorga­nisation. Im Markt hat sich eine zentrale IKS-Instanz zur Sicherstellung der einheitlichen Anwendung von Methoden und Instrumenten rund um das IKS als Standard etabliert. Die IKS-Zentrale wird häufig in der sogenannten „2nd Line of Defence“ verankert und ist Ansprechpartner rund um alle Fragestellungen des institutsweiten IKS. Daneben sollte ein entsprechendes Rollenkonzept rund um das IKS definiert werden. Die Institute müssen darin festlegen, welche Tätigkeiten im Zusammenhang mit Prozessen und Kontrollen dezentral durch die Fachbereiche beziehungsweise zentral durch die IKS-Zentrale durchgeführt werden.

IKS-Methodik
Das Einrichten einer einheitlichen IKS-Methodik ist letztlich die dritte Säule für ein wirksames, überwachtes IKS. Basierend auf sparkas­senweit gültigen Methoden und Standards sollten Kontrollbeschrei­bungen entlang der End-to-End Prozesse verortet und einheitlich dokumentiert werden, um das Verständnis für die Kontrolldurch­führen­den zu erleichtern. Zugleich lässt sich dadurch auch eine Nachvoll­ziehbarkeit für Dritte gewährleisten.

Ein Control-Testing – die Prüfung der wesentlichen Kontrollen auf ihre Angemessenheit und Wirksamkeit – ist ein zentraler Aspekt eines jeden IKS. Grundsätzlich wird bei einer Prüfung der Angemessenheit die Ausgestaltung der Kontrolle geprüft. Es wird hinterfragt, ob die Kontrolle geeignet ist, das zugrundliegende Risiko zu minimieren. Die Beurteilung der Wirksamkeit steht im Zusammenhang mit der Kontrollausführung. Fokus ist die stichprobenhafte Überprüfung, ob die wesentliche Kontrolle über den gesamten Beurteilungszeitraum wie beschrieben ausgeführt worden ist.

Um Aufsichtsgremien im Rahmen ihrer IKS-Überwachungsaufgabe zu unterstützen, sollte eine regelmäßige IKS-Berichterstattung etabliert werden. Ziel dieser Berichterstattung ist es, vor allem die im Rahmen des IKS-Regelkreises gewonnenen Aussagen zur Angemessenheit und Wirk­sam­keit des institutsweiten IKS darzustellen. Der IKS-Regelkreis ist daneben auch ein vielfach verwendetes Element, das initial aufgenom­mene und definierte IKS stets aktuell zu halten.

Fazit

Die Ergebnisse der IKS-Sparkassenstudie zeigen, dass sich die Institute in den vergangenen Jahren bereits vermehrt mit Themenstellungen zur Implementierung und Weiterentwicklung des IKS beschäftigt haben. Gleichwohl zeigen die Ergebnisse aber auch, dass einige zentrale Themen und Elemente (z. B. Kontrollkonzept, IKS-Einheit, Control-Testing, IKS-Berichterstattung) eines strukturiert überwachten IKS im Sparkassensektor bisher noch nicht so verbreitet sind. Auch gerade im Hinblick auf Effizienz wird der gesamthafte Blick auf das IKS und Bestre­bungen bezüglich einer intensiveren Verzahnung und Zusammen­arbeit der internen Kontrollfunktionen in den kommenden Jahren sicherlich eine spannende Herausforderung für die Sparkassen sein.

Autoren
Thorsten Janker ist Wirtschaftsprüfer und als Director bei der KPMG AG Wirtschaftsprüfungsgesellschaft in Frankfurt/M. verantwortlich für prüfungsnahe Dienstleistungen im Bereich Financial Services (u.a. zu Themenstellungen rund um das Interne Kontrollsystem von Finanzinstituten).
Matthias Dönges ist Assistant Manager bei der KPMG AG Wirtschaftsprüfungsgesellschaft in Frankfurt/M. und beschäftigt sich im Wesentlichen mit Themen rund um das Interne Kontrollsystem und die Interne Revision von Finanzinstituten.