Post on 06-Mar-2018
Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht
Damit steht es auch stark im Fokus der internen und externen Revision. Ein IKS versteht sich als Gesamtheit aller Grundsätze, Verfahren und Maßnahmen, zur kontrollierten Umsetzung von unternehmerischen Entscheidungen.
Anders ausgedrückt besteht es aus Regeln zur Steuerung der Unternehmensaktivitäten und aus Überwachungsmechanismen, die die Einhaltung dieser Regeln kontrollieren. Insbesondere regelt es Aufbau- und Ablauforganisation sowie die Prozesse des Risikomanagements: Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken.
Ein modernes IKS basiert auf einem risikoorientierten Kontrollkonzept zur laufenden Überprüfung von Angemessenheit und Wirksamkeit der Kontrollen, einer effizienten IKS-Organisation sowie einer revisionssicheren Dokumentation.
Seine wesentlichen Merkmale sind die dokumentierten Organisationsanweisungen, die Definition und Einhaltung einer angemessenen Funktionstrennung, die Zugriffs-beschränkungen im Rahmen eines IT-Berechtigungskonzeptes und nicht zuletzt das automatisierte Continuous Business Monitoring.
Die konsequente Fokussierung der Funktionen und Prozesse auf Schlüsselkontrollen ermöglicht einen 360°-Blick auf die Risiken im Unternehmen. Dies gilt insbesondere für die Kontrollen in den operativen Fachbereichen der „1. Verteidigungslinie“, die Überwachung des IKS in der „2. Verteidigungslinie“ durch Risikocontrolling und Compliance sowie für die Prüfung des IKS durch die Innenrevision, die „3. Verteidigungslinie“.
Den rechtlichen Rahmen für das IKS bilden das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Zusammenwirken mit § 91 II AktG, das BilMoG, die IDW Prüfungs-
standards PS 261 und 951 und der Deutsche Corporate Governance Kodex.
Die Mindestanforderungen an das Risikomanagement (MaRisk) und der § 25a KWG runden den Rahmen ab.
§
IKS, Compliance, Risikomanagement2
Auch von kleineren Dienstleistungsunternehmen wird ein IKS gefordert
Dienstleistungsunternehmen kennen es seit Jahren: Auftraggeber senden ihre Revision zur Prüfung des IKS aus. Nicht nur für die Dienstleistungsunternehmen ist es wirtschaftlich sinnvoll, der mehrfachen Prüfung ihres IKS durch unterschiedliche Revisionen ihrer Kunden vorzubeugen, indem sie gezielt ein wirksames, dienstleistungsbezogenes IKS implementieren und dokumentieren. Der Prüfstandard IDW PS 9511 sieht hier die Möglichkeit der Berichterstattung durch einen vom Dienstleister beauftragten Prüfer ausdrücklich vor und hilft dabei, Zeit und Kosten zu sparen.
Die ausgestellte Prüfbescheinigung vom Typ A dient dem Dienstleister als Nachweis für das Vorhandensein eines IKS, sie dokumentiert die eingerichteten Komponenten und bewertet deren Angemessenheit. Typ B bescheinigt die Angemessenheit und Wirksamkeit eines dienstleistungsbezogenen IKS und kann damit die Abschlussprüfung des auslagernden Unternehmens ersetzen. Immer mehr auslagernde Unternehmen erwarten von Ihren Auftragnehmern einen Nachweis über das vorhandene IKS und sparen sich dadurch hohe Prüfungskosten.
• Implementierung eines Risikokatalogs
• Kategorisierung prozessbezogener Risiken
• Klare Fixierung von Verantwortlichkeiten innerhalb eines Rollenkonzepts
• Zentral angesiedelte IKS-Evidenz stellt die einheitliche Anwendung der Methoden und Instrumente sowie das Reporting sicher
• Ermöglicht die Nach-weisführung bezüglich eines funktionierendes IKS
• Standards für Kontrollbe-schreibungen und Kontroll-dokumentationen sowie die Dokumentation erfolgter Kontrollen.
• Systematische Gegenüberstellung von Risiken und Kontrollen in der Risiko-Kontroll-Matrix
• Regelmäßige Analyse der Schlüsselkontrollen bzgl. Angemessenheit und Wirksamkeit
Kontrollkonzept IKS-Organisation IKS-Dokumentation
Aufsichtsrechtliche Anforderungen
(MaRisk – KonTraG – IDW Prüfungsstandards – § 25 a KWG …)
Internes Kontrollsystem
©Capgemini 2015
Die Säulen des IKS
1Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen
3
the way we see itFinancial Services
Bewertung der Funktionsfähigkeit des IKS
Ausgehend von der Relevanz der Kontrollen, wird zwischen primären und sekundären Kontrollen unterschieden. Primäre Kontrollen, auch Schlüsselkontrollen genannt, fokussieren darauf, Risiken entscheidend zu begegnen. Sekundäre Kontrollen sind hingegen selten, da sie nicht entscheidend genug sind.
Schlüsselkontrollen sind die mindestens notwendigen internen Kontrollen. Sie dienen dazu, Risiken im Geschäftsprozess abzuwägen, Fehler zu vermeiden und Fehler zeitnah aufzudecken. Somit sind sie wichtig für die Zielerreichung. Schlüsselkontrollen können entweder manuell oder vollständig bzw. teilweise automatisiert erfolgen.
Die Prozessanalyse fokussiert zunächst darauf, die notwendigen wesentlichen Kontrollpunkte in der Prozesslandkarte festzustellen und die implementierten Schlüsselkontrollen zu bewerten. Diese Schlüsselkontrollen dienen der Fehlervermeidung bzw. der Fehleraufdeckung. Besonders kritische Abläufe müssen durch solche Schlüsselkontrollen überwacht werden. Bei erkannten Kontrollschwächen sind Maßnahmen einzuleiten. Dabei sollten die Schlüsselkontrollen sinnvoll auf die Geschäftsprozesse abgestimmt sein, denn diese stehen immer im Mittelpunkt. Somit steht am Anfang der Bewertung immer eine detaillierte Aufnahme der Prozesse und der bestehenden Kontrollen.
Das IKS ist von wesentlicher Bedeutung für das Risikomanagement
Ein angemessenes Risikomanagement ermöglicht das eigenständige Erkennen und das Steuern von Risiken. Kontrollen, die auf die Wirksamkeit des IKS und Wirtschaftlichkeit der Prozesse bzw. auf die Einhaltung regulatorischer Anforderungen fokussieren, sind von erheblicher Bedeutung für das Risikomanagement der Institute. Ein funktionsfähiges IKS ist wesentlicher Bestandteil der Risikofrüherkennung. Die Risikoeinschätzung erfolgt auf der Grundlage detaillierter Informationen aus den Fachbereichen, ohne die eine Bewertung der Angemessenheit von Kontrollen nicht erfolgen kann.
Ein IKS lässt sich in seine Bestandteile zerlegen.
(1) wesentliche bzw. geschäftskritische Anwendungen und damit verbundene Business-Prozesse
(2) Leitungs- und Überwachungsfunktionen
(3) Risikoerkennung & Risikobeurteilung
(4) Kontrollen / Monitoring / Reporting
(5) Überwachung und Bewertung der Kontrollen
In der Praxis zeigen bestehende Kontrollsysteme häufig Defizite: Interne Richtlinien sind nicht ausreichend dokumentiert und kommuniziert und gewachsene Prozesskontrollen machen die Überwachung schwer. Nicht selten sind Kontrollen unwirksam, da sie bewusst umgangen werden oder bei Prozessänderungen nicht angepasst wurden.
Proaktive Institute werden in der Beurteilung durch die Revision besser abschneiden als Institute, deren Kontrollschwächen erst durch die externe Prüfung festgestellt werden und die dann schnell reagieren müssen.
IKS, Compliance, Risikomanagement4
©Capgemini 2015
Prozesse, Kontrollen und Continuous Business Monitoring
RisikoManagement definieren
Riskenanalysieren
Risiko-inventar pflegen
Maßnahmenverfolgen
Prozesseinführen & betreuen
Wirksamkeitbewerten
Maßnahmenzur Prozess-verbesserung umsetzen
Prozess-Kontrollpunkte identifizieren und Überwachung sicherstellen
Risikomanagement sichert Compliance Prozesse
Prozesse stehen im Fokus des Continuous Business Monitoring
Die Ergebnisanalyse bzgl. der Kontrollpunktesteht im Fokus des Risiko Reporting
Businness-Prozess
Risiken aus den Kontrollpunkten werdenim Risikomanagement behandelt
©Capgemini 2015
Ziel: 3600 Blick auf die Risiken
Priorisierungder Prozesse
Analyse der Prozesse
Identifizierung von Schlüsselrisiken
Identifizierung undDokumentation
von Schlüsselkontrollen
Überprüfung der Angemessenheit der Schlüsselkontrollen
Ableitung von Maßnahmen
Risikokontroll Matrix
360o Blick aufdie Risiken
Die Überprüfung des IKS ist wichtig und trägt zur Kostenre-duzierung bei
Eine strukturierte Überprüfung des IKS deckt Optimierungspotential in den betrachteten Prozessabläufen auf und trägt so zur Steigerung der Prozessqualität bei. Schließlich führen die Optimierung der Verfahrensdokumentation und die aus der Überprüfung gewonnenen Erkenntnisse zu erkannten Kontrollschwächen - und am Ende zur Erhöhung der Wirtschaftlichkeit.
5
the way we see itFinancial Services
Ein Capgemini-Projekt zur Überprüfung des IKS folgt einer vorgedachten Methode: An den Anfang stellt sie die Aufnahme der institutsspezifischen Situation sowie der aktuell bestehenden Aufbau- und Ablauforganisation. Auf dieser Grundlage erstellen praxiserfahrene Berater mit bankfachlichem Know-how eine Risiko-Kontroll-Matrix – sie stimmen sich dabei eng mit den Experten des Institutes ab.
Diese Matrix stellt die für das IKS-relevanten Prozesse und die identifizierten Risiken dar und ordnet angemessener Kontrollpunkte klar zu.
Warum ist Capgemini der richtige Partner für Ihre aktuellen IKS-Fragestellungen?
• Capgemini bietet eine einzigartige Kombination aus Fach-, Branchen- und Methodenkompetenz und kann seine Kunden gezielt beraten.
• Institute profitieren von der langjährigen Praxiserfahrung im Umfeld von Informationstechnologie, Daten- und Prozessmanagement und bei der Umsetzung regulatorischer Anforderungen. Damit ist ein schneller Einstieg möglich und Aufwand sowie Risiken werden minimiert.
• Wir greifen auf umfangreiche Erfahrungen aus IKS-Beratungsprojekten für diverse lokal und global agierende Banken und Versicherungsunternehmen zurück und unsere Kunden erhalten eine in einschlägigen Projekten erprobte Übersicht Ihres IKS auf der Basis einer Risiko-Kontroll-Matrix.
• Capgemini hat ein tiefes Wissen rund um Bankfachlichkeit und Informations-technologie und versteht die damit verbundenen Herausforderungen. Durch unsere ausgeprägte Erfahrung mit organisatorischen Veränderungen in Banken sind wir fähig, erarbeitete Lösungen und neue Prozesse im gesamten Institut zu verankern.
• Sie erhalten von der Analyse über die Konzeptionierung bis zur Implementierung der Maßnahmen in IT, Banking Operations und Organisation alles aus einer Hand.
IKS, Compliance, Risikomanagement6
Die in diesem Dokument enthaltenen Informationen sind geschützt.Copyright ©2015 Capgemini. Alle Rechte vorbehalten.
Kontakt
Stefan WillSenior Managing ConsultantRiskmanagement & Compliance+49 69 9515 2243
Über CapgeminiMit mehr als 145.000 Mitarbeitern in über 40 Ländern ist Capgemini einer der weltweit führenden Anbieter von Management- und IT-Beratung, Technologie-Services sowie Outsourcing-Dienstleistungen. Im Jahr 2014 betrug der Umsatz der Capgemini-Gruppe 10,573 Milliarden Euro. Gemeinsam mit seinen Kunden erstellt Capgemini Geschäfts- wie auch Technologielösungen, die passgenau auf die individuellen Anforderungen zugeschnitten sind. Auf der Grundlage seines weltweiten Liefermodells Rightshore® zeichnet sich Capgemini als multinationale Organisation durch seine besondere Art der Zusammenarbeit aus – die Collaborative Business ExperienceTM.
Erfahren Sie mehr unter
www.de.capgemini.com
Rightshore® ist eine eingetragene Marke von Capgemini