Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement

Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht

Damit steht es auch stark im Fokus der internen und externen Revision. Ein IKS versteht sich als Gesamtheit aller Grundsätze, Verfahren und Maßnahmen, zur kontrollierten Umsetzung von unternehmerischen Entscheidungen.

Anders ausgedrückt besteht es aus Regeln zur Steuerung der Unternehmensaktivitäten und aus Überwachungsmechanismen, die die Einhaltung dieser Regeln kontrollieren. Insbesondere regelt es Aufbau- und Ablauforganisation sowie die Prozesse des Risikomanagements: Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken.

Ein modernes IKS basiert auf einem risikoorientierten Kontrollkonzept zur laufenden Überprüfung von Angemessenheit und Wirksamkeit der Kontrollen, einer effizienten IKS-Organisation sowie einer revisionssicheren Dokumentation.

Seine wesentlichen Merkmale sind die dokumentierten Organisationsanweisungen, die Definition und Einhaltung einer angemessenen Funktionstrennung, die Zugriffs-beschränkungen im Rahmen eines IT-Berechtigungskonzeptes und nicht zuletzt das automatisierte Continuous Business Monitoring.

Die konsequente Fokussierung der Funktionen und Prozesse auf Schlüsselkontrollen ermöglicht einen 360°-Blick auf die Risiken im Unternehmen. Dies gilt insbesondere für die Kontrollen in den operativen Fachbereichen der „1. Verteidigungslinie“, die Überwachung des IKS in der „2. Verteidigungslinie“ durch Risikocontrolling und Compliance sowie für die Prüfung des IKS durch die Innenrevision, die „3. Verteidigungslinie“.

Den rechtlichen Rahmen für das IKS bilden das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Zusammenwirken mit § 91 II AktG, das BilMoG, die IDW Prüfungs-

standards PS 261 und 951 und der Deutsche Corporate Governance Kodex.

Die Mindestanforderungen an das Risikomanagement (MaRisk) und der § 25a KWG runden den Rahmen ab.

§

IKS, Compliance, Risikomanagement2

Auch von kleineren Dienstleistungsunternehmen wird ein IKS gefordert

Dienstleistungsunternehmen kennen es seit Jahren: Auftraggeber senden ihre Revision zur Prüfung des IKS aus. Nicht nur für die Dienstleistungsunternehmen ist es wirtschaftlich sinnvoll, der mehrfachen Prüfung ihres IKS durch unterschiedliche Revisionen ihrer Kunden vorzubeugen, indem sie gezielt ein wirksames, dienstleistungsbezogenes IKS implementieren und dokumentieren. Der Prüfstandard IDW PS 9511 sieht hier die Möglichkeit der Berichterstattung durch einen vom Dienstleister beauftragten Prüfer ausdrücklich vor und hilft dabei, Zeit und Kosten zu sparen.

Die ausgestellte Prüfbescheinigung vom Typ A dient dem Dienstleister als Nachweis für das Vorhandensein eines IKS, sie dokumentiert die eingerichteten Komponenten und bewertet deren Angemessenheit. Typ B bescheinigt die Angemessenheit und Wirksamkeit eines dienstleistungsbezogenen IKS und kann damit die Abschlussprüfung des auslagernden Unternehmens ersetzen. Immer mehr auslagernde Unternehmen erwarten von Ihren Auftragnehmern einen Nachweis über das vorhandene IKS und sparen sich dadurch hohe Prüfungskosten.

• Implementierung eines Risikokatalogs

• Kategorisierung prozessbezogener Risiken

• Klare Fixierung von Verantwortlichkeiten innerhalb eines Rollenkonzepts

• Zentral angesiedelte IKS-Evidenz stellt die einheitliche Anwendung der Methoden und Instrumente sowie das Reporting sicher

• Ermöglicht die Nach-weisführung bezüglich eines funktionierendes IKS

• Standards für Kontrollbe-schreibungen und Kontroll-dokumentationen sowie die Dokumentation erfolgter Kontrollen.

• Systematische Gegenüberstellung von Risiken und Kontrollen in der Risiko-Kontroll-Matrix

• Regelmäßige Analyse der Schlüsselkontrollen bzgl. Angemessenheit und Wirksamkeit

Kontrollkonzept IKS-Organisation IKS-Dokumentation

Aufsichtsrechtliche Anforderungen

(MaRisk – KonTraG – IDW Prüfungsstandards – § 25 a KWG …)

Internes Kontrollsystem

©Capgemini 2015

Die Säulen des IKS

1Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen

3

the way we see itFinancial Services

Bewertung der Funktionsfähigkeit des IKS

Ausgehend von der Relevanz der Kontrollen, wird zwischen primären und sekundären Kontrollen unterschieden. Primäre Kontrollen, auch Schlüsselkontrollen genannt, fokussieren darauf, Risiken entscheidend zu begegnen. Sekundäre Kontrollen sind hingegen selten, da sie nicht entscheidend genug sind.

Schlüsselkontrollen sind die mindestens notwendigen internen Kontrollen. Sie dienen dazu, Risiken im Geschäftsprozess abzuwägen, Fehler zu vermeiden und Fehler zeitnah aufzudecken. Somit sind sie wichtig für die Zielerreichung. Schlüsselkontrollen können entweder manuell oder vollständig bzw. teilweise automatisiert erfolgen.

Die Prozessanalyse fokussiert zunächst darauf, die notwendigen wesentlichen Kontrollpunkte in der Prozesslandkarte festzustellen und die implementierten Schlüsselkontrollen zu bewerten. Diese Schlüsselkontrollen dienen der Fehlervermeidung bzw. der Fehleraufdeckung. Besonders kritische Abläufe müssen durch solche Schlüsselkontrollen überwacht werden. Bei erkannten Kontrollschwächen sind Maßnahmen einzuleiten. Dabei sollten die Schlüsselkontrollen sinnvoll auf die Geschäftsprozesse abgestimmt sein, denn diese stehen immer im Mittelpunkt. Somit steht am Anfang der Bewertung immer eine detaillierte Aufnahme der Prozesse und der bestehenden Kontrollen.

Das IKS ist von wesentlicher Bedeutung für das Risikomanagement

Ein angemessenes Risikomanagement ermöglicht das eigenständige Erkennen und das Steuern von Risiken. Kontrollen, die auf die Wirksamkeit des IKS und Wirtschaftlichkeit der Prozesse bzw. auf die Einhaltung regulatorischer Anforderungen fokussieren, sind von erheblicher Bedeutung für das Risikomanagement der Institute. Ein funktionsfähiges IKS ist wesentlicher Bestandteil der Risikofrüherkennung. Die Risikoeinschätzung erfolgt auf der Grundlage detaillierter Informationen aus den Fachbereichen, ohne die eine Bewertung der Angemessenheit von Kontrollen nicht erfolgen kann.

Ein IKS lässt sich in seine Bestandteile zerlegen.

(1) wesentliche bzw. geschäftskritische Anwendungen und damit verbundene Business-Prozesse

(2) Leitungs- und Überwachungsfunktionen

(3) Risikoerkennung & Risikobeurteilung

(4) Kontrollen / Monitoring / Reporting

(5) Überwachung und Bewertung der Kontrollen

In der Praxis zeigen bestehende Kontrollsysteme häufig Defizite: Interne Richtlinien sind nicht ausreichend dokumentiert und kommuniziert und gewachsene Prozesskontrollen machen die Überwachung schwer. Nicht selten sind Kontrollen unwirksam, da sie bewusst umgangen werden oder bei Prozessänderungen nicht angepasst wurden.

Proaktive Institute werden in der Beurteilung durch die Revision besser abschneiden als Institute, deren Kontrollschwächen erst durch die externe Prüfung festgestellt werden und die dann schnell reagieren müssen.

IKS, Compliance, Risikomanagement4

©Capgemini 2015

Prozesse, Kontrollen und Continuous Business Monitoring

RisikoManagement definieren

Riskenanalysieren

Risiko-inventar pflegen

Maßnahmenverfolgen

Prozesseinführen & betreuen

Wirksamkeitbewerten

Maßnahmenzur Prozess-verbesserung umsetzen

Prozess-Kontrollpunkte identifizieren und Überwachung sicherstellen

Risikomanagement sichert Compliance Prozesse

Prozesse stehen im Fokus des Continuous Business Monitoring

Die Ergebnisanalyse bzgl. der Kontrollpunktesteht im Fokus des Risiko Reporting

Businness-Prozess

Risiken aus den Kontrollpunkten werdenim Risikomanagement behandelt

©Capgemini 2015

Ziel: 3600 Blick auf die Risiken

Priorisierungder Prozesse

Analyse der Prozesse

Identifizierung von Schlüsselrisiken

Identifizierung undDokumentation

von Schlüsselkontrollen

Überprüfung der Angemessenheit der Schlüsselkontrollen

Ableitung von Maßnahmen

Risikokontroll Matrix

360o Blick aufdie Risiken

Die Überprüfung des IKS ist wichtig und trägt zur Kostenre-duzierung bei

Eine strukturierte Überprüfung des IKS deckt Optimierungspotential in den betrachteten Prozessabläufen auf und trägt so zur Steigerung der Prozessqualität bei. Schließlich führen die Optimierung der Verfahrensdokumentation und die aus der Überprüfung gewonnenen Erkenntnisse zu erkannten Kontrollschwächen - und am Ende zur Erhöhung der Wirtschaftlichkeit.

5

the way we see itFinancial Services

Ein Capgemini-Projekt zur Überprüfung des IKS folgt einer vorgedachten Methode: An den Anfang stellt sie die Aufnahme der institutsspezifischen Situation sowie der aktuell bestehenden Aufbau- und Ablauforganisation. Auf dieser Grundlage erstellen praxiserfahrene Berater mit bankfachlichem Know-how eine Risiko-Kontroll-Matrix – sie stimmen sich dabei eng mit den Experten des Institutes ab.

Diese Matrix stellt die für das IKS-relevanten Prozesse und die identifizierten Risiken dar und ordnet angemessener Kontrollpunkte klar zu.

Warum ist Capgemini der richtige Partner für Ihre aktuellen IKS-Fragestellungen?

• Capgemini bietet eine einzigartige Kombination aus Fach-, Branchen- und Methodenkompetenz und kann seine Kunden gezielt beraten.

• Institute profitieren von der langjährigen Praxiserfahrung im Umfeld von Informationstechnologie, Daten- und Prozessmanagement und bei der Umsetzung regulatorischer Anforderungen. Damit ist ein schneller Einstieg möglich und Aufwand sowie Risiken werden minimiert.

• Wir greifen auf umfangreiche Erfahrungen aus IKS-Beratungsprojekten für diverse lokal und global agierende Banken und Versicherungsunternehmen zurück und unsere Kunden erhalten eine in einschlägigen Projekten erprobte Übersicht Ihres IKS auf der Basis einer Risiko-Kontroll-Matrix.

• Capgemini hat ein tiefes Wissen rund um Bankfachlichkeit und Informations-technologie und versteht die damit verbundenen Herausforderungen. Durch unsere ausgeprägte Erfahrung mit organisatorischen Veränderungen in Banken sind wir fähig, erarbeitete Lösungen und neue Prozesse im gesamten Institut zu verankern.

• Sie erhalten von der Analyse über die Konzeptionierung bis zur Implementierung der Maßnahmen in IT, Banking Operations und Organisation alles aus einer Hand.

IKS, Compliance, Risikomanagement6

7

the way we see itFinancial Services

Die in diesem Dokument enthaltenen Informationen sind geschützt.Copyright ©2015 Capgemini. Alle Rechte vorbehalten.

Kontakt

Stefan WillSenior Managing ConsultantRiskmanagement & Compliance+49 69 9515 2243

Über CapgeminiMit mehr als 145.000 Mitarbeitern in über 40 Ländern ist Capgemini einer der weltweit führenden Anbieter von Management- und IT-Beratung, Technologie-Services sowie Outsourcing-Dienstleistungen. Im Jahr 2014 betrug der Umsatz der Capgemini-Gruppe 10,573 Milliarden Euro. Gemeinsam mit seinen Kunden erstellt Capgemini Geschäfts- wie auch Technologielösungen, die passgenau auf die individuellen Anforderungen zugeschnitten sind. Auf der Grundlage seines weltweiten Liefermodells Rightshore® zeichnet sich Capgemini als multinationale Organisation durch seine besondere Art der Zusammenarbeit aus – die Collaborative Business ExperienceTM.

Erfahren Sie mehr unter

www.de.capgemini.com

Rightshore® ist eine eingetragene Marke von Capgemini