Was ist der Sinn und Zweck des „Internen Kontrollsystems“ innerhalb eines Unternehmens?
Vorstand und Aufsichtsrat eines Unternehmens benötigen transparente und verlässliche Informationen über die Wirksamkeit des Internen Kontrollsystems, um strategische Risiken zu erkennen und adäquat durch die Hinterlegung von Maßnahmen steuern zu können. Zu diesem Zweck wird innerhalb des jeweiligen Unternehmens ein institutionalisiertes und systematisches Verfahren eingeführt (Überwachungsprozess für das Interne Kontrollsystem).
Bezogen auf Kreditinstitute lassen sich sowohl die Notwendigkeit zur Einrichtung eines Internen Kontrollsystems, als auch die daraus resultierenden Anforderungen an dessen Wirksamkeit, im Wesentlichen aus dem Kreditwesengesetz (KWG), den
© Fotolia / Melpomene
Mindestanforderungen an das Risikomanagement (MaRisk) sowie dem Bilanzrechtsmodernisierungsgesetz (BilMoG) ableiten.
Was genau wird unter einem „Internen Kontrollsystem“ verstanden?
Das Interne Kontrollsystem hat als Zielsetzung die Sicherstellung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen) sowie die Einhaltung der maßgeblichen rechtlichen Vorschriften.
Das Interne Kontrollsystem umfasst somit alle Grundsätze, Verfahren und Maßnahmen, die auf dieses Ziel hinwirken. Da sich das Interne Kontrollsystem auf alle Geschäftsprozesse des Unternehmens richtet, trägt es zur Einhaltung der unternehmerischen Ziele bei.
Was bedeutet das Three Lines of Defence-Modell und welche Funktion haben dabei die einzelnen Verteidigungslinien?
Der Überwachungsprozess für das IKS eines Kreditinstitutes besteht aus 3 Säulen und orientiert sich an dem Modell der „Drei Verteidigungslinien einer ordnungsgemäßen Geschäftsorganisation“. Die jeweiligen Verteidigungslinien haben dabei folgende Aufgaben und Verantwortungsbereiche:
Säule 1 (1. Verteidigungslinie), Fachbereich:
Die erste Verteidigungslinie ist unmittelbar bei den operativ tätigen Geschäftsbereichen angesiedelt. Diese sind im Rahmen ihres bereichsinternen Kontrollsystems (IKS) dafür verantwortlich, ihre Risiken zu identifizieren und zu dokumentieren. Sie haben hierfür angemessene Prozesse und Maßnahmen zu implementieren (z. B. Arbeitsanweisungen, Schulung der Mitarbeiter, Kontrollen), um die bestehenden Risiken zu minimieren bzw. auszuschalten.
Säule 2 (2. Verteidigungslinie), IKS-Management:
Der zweiten Verteidigungslinie – hierzu gehört beispielsweise im Rahmen seiner Zuständigkeiten unter anderem auch Compliance – obliegt es, die operativ tätigen Geschäftsbereiche zu beraten und zu überwachen. Ebenso etabliert Compliance regelmäßige und anlassbezogene Kontrollen, hierzu gehören insbesondere die Überwachung der Selbstkontrollen der 1st Line of Defence.
Säule 3 (3. Verteidigungslinie), Unabhängige Dritte:
Die dritte Verteidigungslinie besteht aus der internen Revision eines Unternehmens. Ihre Aufgabe als prozessunabhängige Einheit ist es, die Aufsichtsgremien bei der Überwachung und Kontrolle bestehender und potenzieller Risiken durch eine unabhängige Bewertung des Risikomanagements und des Kontrollsystems zu unterstützen. Sie bewertet unabhängig die Wirksamkeit der Steuerungs- und Überwachungsprozesse und prüft unabhängig von den Bereichen die Wirksamkeit des IKS.
Das folgende Schaubild verdeutlicht das Zusammenspiel der einzelnen Säulen und Verantwortungsbereiche:
Was bedeutet das für die Mitarbeiter eines Kreditinstituts bei der Ausübung Ihrer operativen Tätigkeit?
Innerhalb des jeweiligen operativen Arbeitsumfeldes bestehen unterschiedlich stark ausgeprägte Prozessrisiken. Sofern diese Risiken bzw. prozessuale Schwachstellen als ‚wesentlich‘ eingestuft werden, müssen ausreichend ausgestaltete, wirksame Kontrollhandlungen (sogenannte Schlüsselkontrollen) definiert werden. Als Wesentlichkeitskriterien können u. a. Transaktionsvolumen, Anzahl aufgetretener Schadensfälle und die zum konkreten Prozessschritt zugeordnete Risikokategorie herangezogen werden. Diese wesentlichen Risiken und Kontrollhandlungen sind Bestandteil des IKS-Überwachungs-prozesses einer Bank. Alle wesentlichen und unwesentlichen Risiken mit den dazugehörigen Kontrollhandlungen bilden insgesamt das Interne Kontrollsystem der Unternehmung.
Ziel ist es, das wesentliche Risiko zu minimieren bzw. komplett zu mitigieren. Die darauf ausgerichteten Kontrollhandlungen sind in Verantwortung der zuständigen Organisationseinheit (d.h. durch den Prozessowner) durch diese direkt zu integrieren. Nicht ausreichend ausgestaltete Kontrollhandlungen haben zur Folge, dass Risiken nicht oder nur teilweise beherrscht werden.
Kontrollaktivitäten treten innerhalb des Unternehmens auf allen Ebenen und in allen Funktionen auf. Neben der Funktionstrennung bzw. dem Vier-Augen-Prinzip werden Kontrollaktivitäten im Wesentlichen durch Eingabe- und Freigabesysteme, Schnittstellenüberwachungen und manuelle Kontrollen in Form von Plausibilisierungen und Vergleichen auf Prozessebene durchgeführt. Wichtig in diesem Zusammenhang ist die für einen sachverständigen Dritten nachvollziehbare Dokumentation.
Wann ist eine Kontrollhandlung wirksam?
Eine Kontrollhandlung ist dann wirksam, wenn sie angemessen und funktionsfähig ist.
• Angemessen ist eine Kontrolle, wenn durch sie der angestrebte Zweck erreicht werden kann und ihre Intensität dem Risikogehalt des Vorgangs entspricht.
• Funktionsfähig ist eine Kontrolle, wenn sie entsprechend der Kontrollbeschreibung durchgeführt wird.
Warum kommen auf die jeweiligen IKS-Verantwortlichen der Fachbereiche im Zuge der Durchführung bestimmter Kontrollhandlungen erhöhte Dokumentationspflichten zu?
Die Grundlage für die Selbsteinschätzung der Fachbereiche eines Unternehmens (das sog. Self Assessment) bilden die den Anforderungen des IKS-Überwachungsprozesses entsprechend dokumentierten Kontrollhandlungen.
In einer Stichprobenziehung erfolgt durch einen über die Fachbereichsleitung beauftragten Management Tester eine Aussage zur Wirksamkeit des fachbereichsinternen Kontrollsystems. Diese Wirksamkeitsaussagen werden durch die zweite Verteidigungslinie, die zum Beispiel IKS-Management genannt werden kann gemeinsam mit dem zuständigen Fachbereich plausibilisiert.
Das Ergebnis dieser Plausibilisierung ist die Basis für die jährliche IKS-Berichterstattung an den Prüfungsausschuss und den Vorstand. Das IKS-Management ist der Ansprechpartner (Beratung und Überwachung) in Sachen IKS.
In welchem Zusammenhang stehen die verschiedenen Ansätze zur Risikobetrachtung?
In einem Unternehmen befassen sich verschiedene Einheiten mit unterschiedlichen Risiken. Diese Risiken werden in getrennten Prozessen erfasst und ausgewertet. Alle existierenden Risikoarten und deren Kontrollen sind Bestandteil des Internen Kontrollsystems. Die innerhalb des IKS als prozessuale Risiken dokumentierten Risiken lassen sich daher in die einzelnen Risikoarten, u.a. in operationelle Risiken oder strategische Risiken aufteilen. Das Prozessrisiko kann sich somit aus unterschiedlichen Risikoarten zusammensetzen. Ziel des IKS-Über-wachungsprozesses ist es dabei, die angemessene Kontrolle aller wesentlichen Risiken sicherzustellen. Hierzu gehört auch, transparent zu machen, welche unterschiedlichen Risiken bzw. Risikoarten mit einem Prozess verbunden sind.
Wie wird der IKS-Prozess an die zukünftigen unternehmensexternen und –internen Entwicklungen angepasst?
Eine ständige Verbesserung und Optimierung des Internen Kontrollsystems und des IKS-Überwachungsprozesses ist für das IKS-Management von zentraler Bedeutung. Die Digitalisierung wird zukünftig auch im IKS-Überwachungsprozess über die Einführung von DV-Lösungen in den Unternehmen Einzug halten. Das bedeutet eine spürbare Veränderung im Prozess der Kontrollhandlungen (bei der Kontrolldefinition – durchführung, -dokumentation), d.h. in der Arbeitsumgebung der Kontrollverantwortlichen, beispielsweise über eine papierlose Kontrolldokumentation.
Eine weitere Entwicklung in Bezug auf den IKS-Überwachungsprozess ist eine zunehmende Verzahnung innerhalb der einzelnen Risikomanagement-Systeme, z.B. die Verlinkung von prozessualen Risiken, die im IKS identifiziert, bewertet und gesteuert werden, mit operationellen Risiken aus dem Risikocontrolling-Prozess des Unternehmens.
(RA Hartmut T. Renz, Group Chief Compliance Officer, Direktor / Managing Director Compliance, Landesbank Baden-Württemberg | Djordje Kristijan Sirca MSc., IKS- Management: Beratung und Überwachung der Organisationseinheiten zum Themenkomplex Internes Kontrollsystem, Landesbank Baden-Württemberg | Diplom- Betriebswirt (FH) Markus Wurster, IKS-Management: Beratung und Überwachung der
Organisationseinheiten zum Themenkomplex Internes Kontrollsystem, Landesbank Baden-Württemberg)
