Quo Vadis IKS

Das richtige Ziel ist entscheidend für ein erfolgreiches und lebbares IKS.

Nachdem uns verstärkt Anfragen von verbändeorganisierten Instituten zu deren IKS-Konzepten erreichten, haben wir uns mit unserem Kooperationspartner hub GmbH intensiv ausgetauscht und für Sie Antworten auf die zwei vordringlichsten Fragen gegeben:

 

  1. Gibt es einen Unterschied zwischen dem IKS im Sinne des IDW PS 261 bzw. MaRisk AT 1 Tz. 1 und dem geschäftsprozessbezogenen IKS“ – und wenn ja, welche?
  2. Wie wirtschaftlich darf bzw. muss ein (geschäftsprozessbezogenes) IKS sein und welche Rolle spielt hierbei die Verzahnung mit den anderen risikoorientierten Funktionen und Beauftragten?

Vorbemerkung

Kreditinstitute befassen sich seit geraumer Zeit mit der Optimierung ihrer Geschäftsprozesse und in diesem Kontext auch mit den für die Geschäfts-prozesse relevanten Kontrollen. Innerhalb der verbändeorganisierten Institute ist diese Fokussierung seit ca. 2015 festzustellen, nachdem diverse Prüfungsverbände erstmals Leitfäden zur Einrichtung und Weiter-entwicklung von Internen Kontrollsystemen („IKS“) erstellt hatten. Flankiert werden diese Leitfäden regelmäßig von umfassenden Prozessmodellen bzw. Projekten zur Einführung einheitlicher, konsistenter Prozesslandkarten.

Im Kontext der Erfüllung der Anforderungen an die Ausgestaltung eines IKS ergeben sich in vielen Instituten immer wieder offene, praxisrelevante Fragen – insbesondere im Hinblick auf fehlende Konsistenz zu den Methoden der Banksteuerung, der Verzahnung mit bereits bestehenden Funktionen (Informationssicherheit, Notfallmanagement, Auslagerungs-management), aber auch schlichtweg zu Wirtschaftlichkeitsaspekten.


Aus unserer Sicht ist es daher Zeit, zwei der relevantesten Fragen aufzugreifen und zu beantworten:

  • Welche Anforderungen an ein IKS bzw. ein geschäftsprozessbezogenes IKS existieren und wie sind diese im Kontext operationeller Risiken (OpRisk) zu erfüllen?
  • Wie wirtschaftlich darf, vielleicht sogar muss, ein IKS sein?

Grundlagen

Ein angemessenes und wirksames Risikomanagement im Sinne von § 25a KWG i.V.m. MaRisk AT 1 Tz. 1 umfasst unter Berücksichtigung der Risikotragfähigkeit insbesondere die Festlegung von Strategien sowie die Einrichtung interner Kontrollverfahren; letztere bestehen aus dem Internen Kontrollsystem und der Internen Revision. Das Interne Kontrollsystem umfasst insbesondere Regelungen zur Aufbau- und Ablauforganisation, Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie Kommunikation der Risiken (Risikosteuerungs- und -controllingprozesse) sowie eine Risikocontrolling-Funktion und eine Compliance-Funktion.

Der IDW PS 261 n.F., definiert das IKS als „die „von dem Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) …, die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements

  • zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (…),
  • zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie
  • zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.“


Diese Regelungen beziehen sich sowohl auf das interne Steuerungssystem als auch das interne Überwachungssystem, welches prozessintegrierte (organisatorische Sicherungsmaßnahmen und Kontrollen) und prozess-unabhängige Überwachungsmaßnahmen beinhaltet.

Abb. 1: IKS gemäß IDW PS 261 n.F.

Die Angemessenheit des Internen Kontrollsystems eines Instituts ist im Kontext der bestehenden Soll-Anforderungen, sowie der Kontrollumgebung zu beurteilen. Soll-Anforderungen umfassen dabei insbesondere gesetzliche Vorgaben und darüberhinausgehende Anforderungen der Aufsichts-behörden. Im Gegensatz zu den Soll-Anforderungen, die auf Basis eines für alle Institute weitgehend einheitlichen Rahmenwerks abgeleitet werden, unterscheidet sich die Kontrollumgebung je Institut in Abhängigkeit von Art und Komplexität der Geschäftstätigkeit und den prozessual-organisatorischen Rahmenbedingungen des jeweiligen Instituts.

IKS im Kontext von OpRisk

Um ein IKS insbesondere auf Ebene der Geschäftsprozesse richtig und nutzenstiftend einzuführen, ist es für die Praxis der Institute wichtig, die Begriffe „IKS“ (siehe Abschnitt II) und „geschäftsprozessbezogenes IKS“ abzugrenzen. Das IKS im weiten Sinne umfasst u.a. nachfolgende, beispielhafte Elemente:

Abb. 2: IKS-Elemente; Auszug aus IDW PS 261 n.F.

Das geschäftsprozessbezogene IKS (gIKS) hingegen fokussiert ausschließlich auf prozessuale Aspekte (Tätigkeiten). Anders ausgedrückt: Das gIKS ist ein Element des IKS im weiten Sinne.

Ausgangspunkt für den Aufbau eines gIKS ist die Prozesslandkarte eines Instituts. Methodisch verankert ist das gIKS hinsichtlich Risikobewertungs-methodik und -parameter im OpRisk-Konzept eines Instituts. Betrachtet man die OpRisk-Landkarte eines Instituts mit ihren Unterkategorien beschränkt sich das gIKS etwas überspitzt formuliert auf den Bearbeitungsfehler.

Abb. 3: OpRisk-Landkarte mit Unterkategorien

Dieser – bei erster Betrachtung vielleicht zu enge – Fokus ist methodisch begründet und blendet unter Berücksichtigung der Begriffsabgrenzung „IKS“/“gIKS“ keine der anderen OpRisk-Kategorien aus. Im Gegenteil: Vielmehr ist die Fokussierung Ausdruck eines konsequent ausgerichteten „Integrated Governance“-Ansatzes, in dem jeder Funktionsträger seine jeweilige Fachverantwortung umfassend, aber zugleich klar abgegrenzt wahrnimmt, um ein überschneidungsfreien, konsistentes und vollständiges OpRisk-Controlling zu gewährleisten.

a. Ursachebezug der OpRisk-Kategorien


In den meisten Instituten umfassen die OpRisk-Kategorien eine Vielzahl von Ausprägungen, die nicht prozessual oder zumindest nicht auf Ebene aller Geschäftsprozesse abgegriffen werden können. Exemplarisch hierfür zwei Beispiele:

OpRisk-Kategorie „Verträge“
Jedes Institut hat eine Vielzahl von Vertragsrisiken. Aus diesem Grund gibt es in den meisten Instituten einen Vertragsmanagementprozess, an dessen Ende (= Prozessoutput) geprüfte Verträge/Vertragsmuster und dergleichen stehen. Der Vertragsmanagementprozess ist ein Unterstützungsprozess für Wertschöpfungs-/Kundenprozesse, in denen die geprüften Verträge Anwendung finden.


Werden in einem Kundenprozess fehlerhafte Verträge genutzt oder Verträge fehlerhaft verwendet, gibt es hierfür zwei Ursachen:

  1. Der Vertrag/das Vertragsmuster ist fehlerhaft
    (mangelhafter Prozessoutput des Vertragsmanagementprozess)
  2. Ein an sich richtiges Vertragsdokumente wird nicht bzw. fehlerhaft im Wertschöpfungs-/Kundenprozess verwendet
    (Anwendungsfehler)


In beiden Fällen liegen Bearbeitungsfehler (Ursache) vor, die zu Vertrags-risiken (Wirkung) führen. Daher werden sowohl Unterstützungsprozess als auch die Anzahl der betroffenen Kundenprozesse dem gIKS unterworfen:

  1. Im Vertragsmanagementprozess ist ein Vier-Augen-Prinzip vorgesehen, dass gewährleistet, dass Vertragsanforderungen korrekt umgesetzt werden.
  2. Im Kundenprozess ist eine Kontrolle vorgesehen, die die Verwendung des korrekten Vertragsmusters (z.B. aktuelle Version, keine manuellen Ergänzungen/Streichungen) gewährleistet.


Wichtig und daher noch einmal: Ein Institut hat unzweifelhaft Vertragsrisiken; diese können bei strikter Prozessbetrachtung allerdings nicht ursächlich sein. Das Vertrags-risiko ist das Resultat eines oder mehrerer Bearbeitungsfehler.

OpRisk-Kategorie „Fähigkeiten, Verfügbarkeiten“
Fähigkeiten und Verfügbarkeiten werden innerhalb der Institute in aller Regel durch hierfür definierte Personalprozesse (Recruiting, Einstellung) sowie Schulungs- und Weiterbildungsprozesse gewährleistet.


Fehler im Einstellungsprozess, die zu einer qualitativ oder quantitativ unzureichenden Besetzung einer Stellen führen, sind Ausprägungen eines Bearbeitungsfehlers (Fehler bei der Personalauswahl). Das Folgerisiko aufgrund mangelnder Qualifikation tritt innerhalb der Wertschöpfungs-prozesse regelmäßig in Form von Bearbeitungsfehlern zu Tage.


An dieser Stelle lohnt sich zudem der Hinweis, Maßnahmen und Kontrollen zu unterscheiden, da im Hinblick auf die OpRisk-Kategorie „Fähigkeiten …“ regelmäßig nur Maßnahmen zur Anwendung kommen:
Eine Kontrolle ist ein risikoreduzierender Vorgang, welcher die Eintrittswahrscheinlichkeit (Häufigkeit) eines unerwünschten Ereignisses und/oder dessen potenzielle Verlusthöhe (Bedeutung) reduziert. Kontrollen wirken über einen längeren Zeitraum, durch regelmäßige Ausführung (Wiederholung) im zugrundeliegenden Geschäftsprozess. Hiervon abzugrenzen sind Maßnahmen, die zwar ebenfalls risikoreduzierend wirken, jedoch einen zeitpunktbezogenen Vorgang darstellen (keine Wiederholung): So stellen Schulungen keine Kontrolle im Sine des gIKS dar; Schulungen sind Maßnahmen. Allerdings können innerhalb von Schulungs- und Sensibilisierungsprozessen Kontrollen definiert sein, z.B. Durchführungskontrollen in Form von Teilnehmerlisten.


Diese Unterscheidung ist insbesondere für den späteren Einbezug von Kontrollen, nicht Maßnahmen, in das Kontrolltestverfahren von Bedeutung. Maßnahmen können hinsichtlich ihrer Wirksamkeit beurteilt werden, allerdings erfolgt diese Beurteilung aufgrund ihrer Einmaligkeit außerhalb des „klassischen“ Kontrolltestverfahrens, welches rollierend durchgeführt wird.

Abb. 4: Wirkung von Kontrollen und Maßnahmen

b. Verzahnung der risikoorientierten Funktionen / Zuständigkeiten für spezielle OpRisk-Kategorien


Das gIKS stellt eine Ergänzung zu bereits bestehenden Risikomanagement (-sub-)systemen dar, die bereits eine Vielzahl der OpRisk-Risikokategorien adressieren. Diese Risikomanagement(-sub-)systeme sind i.W.

  • das Informationssicherheitsmanagement,
  • das Notfallmanagement sowie
  • das Auslagerungsmanagement.


Erneut bedienen wir uns zur Verdeutlichung dieses Sachverhalts der typischen OpRisk-Landkarte eines verbändeorganisierten Instituts:

OpRisk-Kategorie „Interne Infrastruktur“ sowie „Naturgewalten, Unfälle“
Die Ursachekategorie „Interne Infrastruktur“ und deren Unterpunkte werden in wesentlichen Zügen durch Informationen aus Risikoanalysen des Informationssicherheitsbeauftragten und des Notfallbeauftragen befüllt. Dies ist begründet in der Methodik des BSI, das fordert, dass ausgehend von den Geschäftsprozessen i.V.m. der Schutzbedarfs-bestimmung die Informationsrisiken des Instituts erhoben werden. Gefährdungen und Bedrohungen für die Informationssicherheit, welche stets auch die Informationssicherheit umfassen, werden folglich bereits in einem Subsystem neben dem gIKS erhoben.

Abb. 5: OpRisk-Teilmenge Informations-/Notfallrisiken

OpRisk-Kategorie „Outsourcing, Lieferanten“
Risiken aus Fremdbezügen und Outsourcings unterliegen einer prozessbezogenen Risikobetrachtung; diese ist vom Auslagerungsbeauftragten unter Einbezug der jeweiligen Prozessverantwortlichen zu koordinieren und zumindest qualitätszusichern. Ein zentrales Risikoreporting für diese Risiken an den Vorstand und das OpRisk-Controlling obliegt demnach dem Auslagerungsbeauftragten und ist nicht im gIKS zu verorten.

Abb. 6: OpRisk-Teilmenge Auslagerungsrisiken

Eine prozessorientierte und zugleich ursachebezogene Betrachtung dieser OpRisk-Kategorien führt bei unsachgerechter Ausgestaltung zu Überlappungen der Verantwortungsbereiche der jeweils etablierten Funktionen, schlimmstenfalls zu inkonsistenten und/oder Mehrfachmeldungen von Risiken, weshalb die eingangs formulierte Begrenzung des gIKS auf den Geschäftsprozess und darin begründete Risiken (Bearbeitungsfehler) begründet ist:

Abb. 7: OpRisk-Teilmenge Bearbeitungsfehler

Natürlich kann es immer vorkommen, dass in einem Risikomanagementsubsystem Risiken auffallen, die eigentlich einer anderen Disziplin zuzuordnen wären; für diese Fälle sollten die Konzepte aufeinander abgestimmt und „durchlässig“ sein.


Sämtliche nicht durch die prozessuale Betrachtung abgedeckten OpRisk-Kategorien sollten nicht aus der bottom up-Perspektive identifiziert und bewertet werden; in diesen Fällen schließt das Instrument der OpRisk-Risikoinventur die vermeintliche Lücke.

Wirtschaftlichkeit des gIKS

a. Prozesswesentlichkeit

Das gIKS umspannt grundsätzlich alle Geschäftsprozesse eines Instituts. Dabei sollten Wirtschaftlichkeitsaspekte ebenfalls berücksichtigt werden. Hierbei steht neben der Risikobetrachtung innerhalb des Geschäftsprozesses insbesondere dessen Wertbeitrag für die Erreichung der Institutsziele im Vordergrund; dieser Wertbeitrag kann übersetzt werden mit „Wesentlichkeit (des Prozesses)“.


Die Bestimmung der Wesentlichkeit der Geschäftsprozesse hat systematisch und dokumentiert zu erfolgen; hinsichtlich der Methodik zur Bestimmung der Wesentlichkeit bietet sich eine Anlehnung an die Bewertungsszenarien gemäß BSI-Standardreihe an:

 

Abb. 8: Kriterien zur Bestimmung der Prozesswesentlichkeit

Diese Empfehlung fußt auf einem in der Praxis häufig vorgefundenen Schema:

  • Wesentliche Prozesse sind i.d.R. zeitkritische Prozesse im Sinne des BSI 200-4 CD (alt: BSI 100-4).
  • Nicht-Wesentliche Prozesse sind i.d.R. nicht-zeitkritische Prozesse im Sinne des BSI 200-4 CD (alt: BSI 100-4).


Hierdurch wird gewährleistet, dass zumindest die Konzepte zum gIKS sowie zum Notfallmanagement konsistent gestaltet sind.


Zudem sollte in der Praxis vermieden werden, die Bestimmung der Prozesswesentlichkeit an den Schutzbedarf, der in den Prozessen ver-/ bearbeiteten Informationen zu koppeln oder bereits eine Risikosichtweise mit der Bestimmung der Wesentlichkeit zu vermischen. Im ersten Fall handelt es sich um zwei gänzlich unterschiedliche Bewertungsobjekte (Prozesse ≠ Informationen), im zweiten Fall wird ein wesentlicher Grundsatz der Risikotheorie verworfen: Die Wesentlichkeit eines Prozesses beschreibt dessen Zustand (= Wert); das Risiko innerhalb eines Prozesses stört diesen Zustand in negativer Art und Weise – es handelt sich beim Risiko um die dynamische Komponente, die das Wertbeitragspotenzial des Prozesses verringert. Am besten merken Sie sich dies am Beispiel „Gold“:


Gold bleibt Gold – egal wo es liegt. Liegt es im Tresor ist das Risiko für den mutmaßlich, für die meisten von uns wesentlichen Vermögenswert gering. Liegt es frei sichtbar für jedermann herum ist das Gold in seiner Wesentlichkeit als Vermögenswert nicht betroffen, es ist nur gefährdeter – vielmehr das Besitzverhältnis an diesem wesentlichen Vermögenswert.


Berücksichtigt man die Prozesswesentlichkeit im gIKS-Konzept, ergibt sich die Möglichkeit, Kontrollhandlungen begründet und in abgestufter Art und Weise zu definieren:

Abb. 9: Wirtschaftlichkeit des IKS

In wesentlichen Prozess mit hohen Bruttorisiken sind demzufolge die Kontrollen i.d.R. umfangreicher und in diesen Prozessen liegen i.d.R. auch die Schlüsselkontrollen des Instituts. In nicht wesentlichen Prozessen mit geringen Bruttorisiken kann hingegen die Kontrollintensität niedrig gehalten werden. Schlüsselkontrollen wären hier eher nicht zu erwarten.

Es besteht zudem die Möglichkeit, den in der Praxis häufig schwer greifbaren Begriff der „Schlüsselkontrolle“ durch die Verknüpfung der Prozesswesentlichkeit und in diesem Fall der risikoreduzierenden Wirkung einer Kontrolle zu definieren und auch hier Wirtschaftlichkeitsaspekte einfließen zu lassen: Denkbar ist, dass per Definition in unwesentlichen Prozessen keine Schlüsselkontrollen vorkommen können und diese nur auf wesentliche Prozesse beschränkt sind, deren Bruttorisiko einen Schwellenwert übersteigt und die Kontrollwirkung zu einer Risikoreduzierung größer x Stufen führt.

Kontakt

Ein unverbindlicher Austausch ist immer möglich. Unser Kontaktformular darf deshalb gerne genutzt werden. Sie können sich darauf verlassen, dass wir uns umgehend bei Ihnen melden. Selbstverständlich können Sie uns auch jederzeit telefonisch erreichen.

Kostenfreies Erstgespräch

Wir nehmen uns gerne Zeit für ein unverbindliches Erstgespräch – telefonisch oder per Teams. Senden Sie uns jetzt Ihre Daten und Sie erhalten in Kürze mögliche Terminvorschläge.

 

    *Pflichtfeld

    Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme zu, dass meine Angaben und Daten zur Beantwortung meiner Anfrage elektronisch erhoben und gespeichert werden. Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail widerrufen. Ich erkläre mich damit einverstanden, dass alle eingegebenen Daten und meine IP-Adresse nur zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden.
    Weitere Informationen zu Akismet und Widerrufsmöglichkeiten.

    Erstgespräch

    Firmenpräsentation

    Präsentation Graf Unternehmensberatung

    Newsletter