Aufrufe
vor 4 Jahren

diebank 10 // 2019

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG 1 | Design-

REGULIERUNG 1 | Design- und Operating-Effectiveness Design-Effectiveness Operating-Effectiveness » Ausrichtung und Nützlichkeit im Hinblick auf das identifizierte Risiko » Anwendungshäufigkeit » Kontrollerfahrenheit » Aufgabentrennung im Prozess » Informationszuverlässigkeit » ... » Beschreibung des Tests » Stichprobenstrategie » Stichprobenauswahlstrategie » Umfang und Dauer » Umfasste zeitliche Periode » Weitere administrative Aspekte » ... Quelle: Vgl. https://www.grainscanada.gc.ca/en/about-us/reports/internal-audits-evaluations/2016-17/audit-design-operating.html - 6. Oktober 2019. ner selbst Kontrollen durchführt. Die entsprechende Berücksichtigung einer vergleichbaren Risiko- und Kontrollkultur sollte deshalb ebenfalls Gegenstand des Auswahlverfahrens sein. Betriebswirtschaftliche Erwägungen Sofern nicht ein regulatorisches Erfordernis für Kontrollen besteht oder Auswirkungen auf die Reputation zu befürchten sind, gilt es, neben einer Kontrolleffektivität auch wirtschaftliche Komponenten abzuwägen sowie eine Lenkung der verfügbaren Ressourcen auf die wesentlichen Erfordernisse und Risiken sicherzustellen. So sollten die Maßnahmenkosten niemals die potenziell zu erwartenden Schadenkosten übersteigen und der Risikoappetit einer Geschäftsleitung in das Gesamtsystem einfließen. Das Heranziehen von Erfahrungswerten und Simulationen kann hier fundierten Aufschluss geben. Effektivität des Systems Das gesamte Kontrollsystem sollte grundlegend dokumentiert werden, um ein einheitliches Verständnis zu schaffen und aufrechtzuerhalten. Im Rahmen der Untersuchung der BaFin hat sich gezeigt, dass erste Verteidigungslinien mit formalisierten Kontrollanforderungen und -durchführungen zuverlässiger agieren, als solche, die über keine klar definierten Anforderungen verfügen. 8 Ähnliche Erfahrungswerte können auch auf der zweiten Verteidigungslinie festgestellt werden. Durch eine strukturierte Formalisierung lassen sich Schwachstellen von vornherein besser identifizieren. Hierzu zählen z. B. Zuständigkeiten, valide unabhängige Datenbasen, Datenaufbereitungen, Kontrolleigenschaften, -abläufe und -ziele sowie die Vorabdefinition von Handlungsbedarfen. Nicht nur durch das im Jahr 2002 erlassene US-Bundesgesetz „Sarbanes Oxley Act“ wurden der Umgang mit und die Überprüfung von Kontrollen nochmals geschärft. Es entstand der Begriff und die Unterscheidung in Kontroll- Design- und -Operating-Effectiveness. Einige der Kriterien sind in ÿ 1 dargestellt. Basierend auf den definierten Parametern wird die Kontrolle durchgeführt, und die Feststellungen werden dokumentiert. Abhängig vom Ergebnis kann es erforderlich sein, die Kontrolleffektivität neu zu beurteilen und die Parameter zu optimieren oder einen neuen Kontrollansatz zu ermitteln. Die durchgängige Dokumentation und das Kontrollergebnis liefern die nachvollziehbare Begründung für etwaige Anpassungen. Zudem sind eine regelmäßige Überprüfung des vollständigen Systems unter Einbeziehung der gewonnenen Erfahrungswerte sowie interner und externer Veränderungsprozesse erforderlich. Auch lohnt es sich, regelmäßig und risikoadjustiert einen Kontrolltest durchzuführen, der die aufgeführten Parameter hinterfragt. Berichtswesen Wesentliche und gesetzesabweichende Feststellungen sollten von unabhängiger Stelle in einem Ad-hoc-Bericht im Zusammenhang mit Ursachen, Instrumenten und Maßnahmen berichtet werden. Hierbei sind auch Abweichungshäufungen oder Schwellenwertüber- schreitungen über längere Zeiträume zu beachten. Adressaten für den Bericht sind das Management und die jeweiligen Fach- und kontrollausführenden Bereiche. Im BaFin-Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk) BT 3.2 heißt es: „Die Risikocontrolling-Funktion hat regelmäßig, mindestens aber vierteljährlich, einen Gesamtrisikobericht über die als wesentlich eingestuften Risikoarten zu erstellen und der Geschäftsleitung vorzulegen. Mit Blick auf die einzelnen, als wesentlich eingestuften, Risikoarten kann in Abhängigkeit von der Risikoart, dem Umfang, der Komplexität, dem Risikogehalt und der Volatilität der jeweiligen Positionen sowie der Marktentwicklung auch eine monatliche, wöchentliche oder tägliche Berichterstattung über einzelne 56 10 // 2019

REGULIERUNG Risikoarten erforderlich sein.“ Der Bericht ist der gesamtverantwortlichen Geschäftsleitung zur Verfügung zu stellen und sollte – neben den Kontrollergebnissen – auch Implementierungsstände von Maßnahmen, Kontrollen und Informationen zu Anpassungen des Gesamtsystems beinhalten. So können in den jeweiligen Gremien, bspw. im Risiko-Komitee, Themenstellungen priorisiert und unterstützt sowie ggf. risikoadjustierte In- und Desinvestitionsentscheidungen getroffen werden. Besteht Dissens zur Handhabung oder weiteren Vorgehensweise, ist dieser zu protokollieren und dem Aufsichtsrat vorzulegen. Digitalisierung Die Durchführung von Kontrollen lässt sich heutzutage teilweise sinnvoll digitalisieren. Das gilt insbesondere für wenig komplexe und häufige Routinekontrollen und dem damit einhergehenden Ausschluss von menschlichen Fehlern. Teil- und vollautomatisierte regelbasierte oder intelligente artifizielle Systeme mit Berichts- und Antwortmodul finden immer häufiger Anwendung. Die Systeme sollten so ausgewählt werden, dass sie flexibel sowie transparent und die Anforderungen an sie ohne größeren Aufwand kontrollier- und adjustierbar sind. FAZIT Interne Kontrollsysteme sind ein von Regulatoren und Instituten fortwährend behandeltes Instrumentarium, um das Finanzgeschäft nicht nur zu betreiben, sondern auch zu beherrschen. Risiko- und Kontrollkultur sind wichtige Grundpfeiler und Voraussetzungen eines effektiven und effizienten Systems. Die Implementierung sowie fortwährende Optimierung von Systemen und vielschichtig eingesetzten Kontrollen sind wichtige Bestandteile der übergreifenden betrieblichen Überwachung und folgend des Kunden-, Unternehmens- und Standortschutzes. Im Fall von wesentlichen potenziellen Risiken sind ex-ante Lösungen essenziell. Überdies darf nicht vernachlässigt werden, dass ein weiterer risiko-reduzierender Maßnahmenmix zur Verfügung steht, um ehrliche oder unehrliche Fehler zu vermeiden bzw. zu begrenzen. Hierwzu zählen bspw. Personalauswahl, Weiterbildungen, Handbücher und Entlohnungssysteme. Autor Kai Gammelin ist Risikopräventionsund Compliance-Experte in leitender Position bei der LGT Bank AG, Fürstentum Liechtenstein und Gastdozent an der Vorarlberg University of Applied Science. 1 Konkrete Kontrollanforderungen werden bspw. in den MaComp, den MaRisk und im Wertpapierhandelsgesetz formuliert. 2 Vgl. Internes Kontrollsystem: Marktuntersuchung der BaFin bei Banken und Sparkassen - https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2018/fa_bj_1802_InternesKontrollsystem. html - 15. Februar 2018. 3 Vgl. Anton Burger/Anton Buchhart: Risikocontrolling, München/Wien, Oldenburg 2002, S. 21. 4 Vgl. Internes Kontrollsystem: Marktuntersuchung der BaFin bei Banken und Sparkassen, s. o. 5 Regelungsgegenstand § 25 c Abs. 1 Kreditwesengesetz (KWG). 6 Anforderungen definieren u. a. die Guidelines on internal Governance under directive 2013/36/EU, Market in Financial Instruments Directive II und Product Oversight and Governance Arrangements for Retail Banking Products. 7 Vgl. EBA Guidelines on outsourcing arrangements EBA/GL/2019/02, 25. Februar 2019. 8 Vgl. Internes Kontrollsystem: Marktuntersuchung der BaFin bei Banken und Sparkassen, s.o. 10 // 2019 57

die bank