Aufrufe
vor 4 Jahren

diebank 10 // 2019

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG INTERNES

REGULIERUNG INTERNES KONTROLLSYSTEM IM RISIKOMANAGEMENT Vertrauen ist gut – Kontrolle ist Pflicht Sich materialisierende operationelle Risiken können die Finanzlage und Reputation von Kreditinstituten nachhaltig schädigen, deshalb müssen sie durch ein effektives und effizientes Internes Kontrollsystem möglichst eingegrenzt werden. Die Regulierungsbehörden formulieren immer weitläufigere Anforderungen 1 und führen Marktuntersuchungen 2 durch, die Optimierungspotenziale zutage fördern. Ein Institut muss sich jeden Tag aufs Neue verschiedenen Stakeholdern vorstellen. Hierzu zählen u. a. Kunden, Regulierungsbehörden und Geschäftspartner. Ein resilientes Internes Kontrollsystem ist ein wesentlicher Bestandteil zur Vertrauensbildung. Die Voraussetzung einer geeigneten Risiko- und Kontrollkultur sowie die damit einhergehenden innerbetrieblichen Wechselwirkungen werden häufig unterschätzt. Basisgebend stellt die gesamtverantwortliche Geschäftsleitung einen geeigneten „Tone from the top“ sowie die adäquate Implementierung eines übergreifenden Normen- und Wertegerüsts sicher. Dieses beinhaltet ein einheitliches Verständnis für den Umgang mit Risiken und zugleich eine Akzeptanz der Controlling- Systeme und -Instrumente zur Schadenprävention als strategischer Steuerungs- wie auch Optimierungsmöglichkeit. Eine Risikokultur und -politik darf dabei nicht nur top down vorgegeben werden, vielmehr müssen die betroffenen organisatorischen Bereiche in die Entwicklung dieser Thematik mit eingebunden werden. 3 Allgemeine und spezielle organisatorische Voraussetzungen Neben der Wahrnehmung der Verantwortung des Managements sind verschiedene Implementierungsvoraussetzungen sicherzustellen. Eine Implementierung gilt dann als vollzogen, wenn Weisungen, Prozesse und Kontrollbe- schreibungen etabliert sind und die erforderliche bestätigende Evidenz zur Prozess- und Kontrolldurchführung vorgewiesen werden kann. Im Fall von derart komplexen Themenstellungen, wie einem umfassenden Kontrollsystem, empfehlen sich Trainingsinitiativen. Zudem sind Prozesse der jeweils verantwortlichen Leitungsfunktion zuzuweisen. Während die Interne Revision auf der dritten Verteidigungslinie eine prozessexogene Überwachung des Gesamtsystems durchführt, nehmen die zweite und insbesondere die erste operativ tätige Verteidigungslinie prozessendogene Kontrollaufgaben wahr. Letztere ist für die risikopräventive Kontrolldurchführung – idealerweise ex-ante – primär verantwortlich. Die zweite Verteidigungslinie überprüft, ob die operativen Einheiten ihre Kontrolltätigkeiten gem. Kontrollplan adäquat durchführen. Ob eine formale ex-post Kontrolle genügt oder eine zusätzliche materielle exante Prüfung anzuwenden ist, muss auf Basis der regulatorischen Bestimmungen oder kann aufgrund des potenziellen inhärenten Risikos entschieden werden. Die Kontrollorganisation kann in zentralen, dezentralen oder in einer Mischform aus beiden Modellen erfolgen. Je nach Unternehmensstruktur und -größe bieten sich hier unterschiedliche Ansätze an. Weitere Entscheidungsparameter sind bspw. die Verfügbarkeit eines dezentralen Marktfolgebereichs oder einer zweiten Verteidigungslinie, das zu reduzierende Risiko sowie eine möglicherweise erforderliche Prozessnähe, um ein effektives Kontrollergebnis zu gewährleisten. Im Fall einer zentralisierten Kontrollfunktion sind die Mitarbeitenden für die jeweiligen Kontrolldurchführungen zuständig und entsprechend trainiert. 4 Geht es jedoch um komplexere oder wenig routinierte Kontrollhandlungen, kann sich eine fehlende Prozessnähe qualitativ und zeitlich nachteilig auswirken. Bestehen Bereiche mit ähnlichen Prozessprofilen nebeneinander und sind die Risiken 54 10 // 2019

REGULIERUNG und Kontrollen nicht von vornherein standardisiert, so lassen sich durch Vergleiche von unterschiedlichen Ansätzen und Erfahrungswerten ggf. die Kontrolleffektivität und -effizienz von Parallelbereichen verbessern. Dienen Kontrollen bspw. der Vermeidung interner sonstiger strafbarer Handlungen 5 , ist eine Verlagerung der Kontrolltätigkeiten auf die zweite Verteidigungslinie ratsam. Ebenso sollte eine Offenlegung der Kontrolldesigns gegenüber den operativen Bereichen unterbleiben. Einige Institute prüfen aus diesen Gründen auch Personalwechsel von der ersten auf die zweite Verteidigungslinie und versuchen, mitarbeiterorientierte Interessenkonflikte frühzeitig festzustellen und zu regulieren. Die Einführung neuer Produkte, die Erschließung neuer Märkte und die Umsetzung wesentlicher Veränderungen 6 sieht ebenfalls einen Kontrollprozess sowie die Einbindung der erforderlichen Fachbereiche vor. Bereits im Rahmen dieser Veränderungsprozesse (Change the Bank) ist es erforderlich, die Kontrollen für den späteren regulären Geschäftsablauf (Run the Bank) festzulegen oder anzupassen, um Abweichungen von Beginn an feststellen zu können. Diese können dann im späteren Tagesgeschäft adjustiert werden. Die neuen EBA-Anforderungen an das Outsourcing 7 haben die Aufgabenstellung an das Controlling von Auslagerungen nochmal insbesondere im Hinblick auf neue Technologien und Verfahren konkretisiert. Zum einen sind Kontrollen zu den Tätigkeiten des Auslagerungspartners durchzuführen, zum anderen wird vorausgesetzt, dass der Auslagerungspart- 10 // 2019 55

die bank