Regulatorik nervt? Kosten ärgern? Internes Kontrollsystem (IKS) optimieren …
Es nervt! Die notwendigen Effizienzsteigerungen aus Prozessoptimierungen und der gleichzeitig steigende Aufwand aus den wachsenden aufsichtsrechtlichen Anforderungen sind nur schwer unter einen Hut zu bekommen. Viel zu häufig betrachtet das Management diese Aspekte gegenwärtiger Herausforderungen in der Finanzbranche separat und erkennt daher nicht die Chancen, beide Aspekte im Zusammenhang anzugehen. Am Beispiel des Internen Kontrollsystems (IKS) lässt sich dies unter Berücksichtigung des IT-Beitrages hierfür gut veranschaulichen.
von Sven Müller, Fincon
Bei Finanzdienstleistern ist der aufsichtsrechtliche Druck auf das Management zum Aufsetzen eines adäquaten IKS in den letzten Jahren enorm gewachsen.Das Zeitfenster, in dem Minimallösungen seitens der Aufsichtsbehörden akzeptiert wurden, schließt sich.”
Aber nicht diese Perspektive allein sollte Treiber dafür sein, sich mit dem Thema auseinanderzusetzen, denn im IKS liegen auch ein enormes Kosteneinsparungspotenzial und nicht gehobene Chancen für Finanzinstitute.
IKS: Es gibt keine Blitzeinführung
Die Einführung eines angemessenen IKS lässt sich nicht von heute auf morgen bewerkstelligen. Finanzinstitute müssen sich schließlich damit auseinandersetzen, welche Risiken von welcher Bedeutung in ihren Prozessen verborgen sind und welche Kontrollhandlungen hierfür angemessen sind. Nicht zuletzt geht es darum, wie diese Fragestellungen systematisch erfasst und auswertbar gemacht werden können, um dem Management sozusagen auf Knopfdruck eine Aussage über den Status quo geben zu können und die Basis für die notwendigen Steuerungshandlungen zu liefern. Je nach Reifegrad des Prozessmanagements ist hierbei auch die Frage nach notwendigen Prozessaufnahmen ggf. zu berücksichtigen.
Die notwendigen technischen Voraussetzungen müssen geschaffen werden.”
Es sollte dabei sondiert werden, inwieweit moderne Prozessmanagementtools und ihre Lösungsansätze in Sachen IKS zu einer zeitgemäßen und bedürfnisgerechten Herangehensweise beitragen können. Ferner sollte geklärt werden, inwieweit ein Customizing dieser Systeme auf die individuellen Anforderungen der Anwender die Nutzungsmöglichkeiten und die Einsatzeffizienz weiter steigern kann.
Ist ein IKS erst einmal systematisch erfasst und damit Transparenz über den gelebten Umgang mit Risiken und Kontrollen hergestellt, zeigt die Praxis, dass der größte Handlungsbedarf weniger die nicht erkannten Risiken darstellen, für die Kontrollen oder anderweitige Maßnahmen ergriffen werden müssen. Vielmehr ist es die große Anzahl an historisch gewachsenen Kontrollhandlungen, die hausinterne Ressourcen belasten, ohne dass ein konkreter Mehrwert entsteht.
Welches enorme Einsparungspotenzial in der systematischen Auseinandersetzung mit dem Themenfeld IKS liegt, liefern folgende Beispiele von aus dem IKS induzierten Prozessoptimierungen:
- Entbehrliche manuelle Kontrollen, da zwischenzeitlich technische Plausibilitätskontrollen implementiert werden können
- Kontrollen, die historisch bei der Neueinführung eines Themas oder nach Revisionsfeststellungen ihre Berechtigung hatten, weil die Prozesse fehleranfällig waren. Häufig lassen sich diese zwischenzeitlich jedoch zumindest in Stichprobenkontrollen verwandeln, weil die Eintrittswahrscheinlichkeit deutlich gesunken ist.
- Kontrollen ohne entsprechende Risiken oder mit Risiken, die Finanzinstitute nach einer validen Kosten-Nutzen-Überlegung bereit sind zu tragen
- Kontrollhandlungen, ohne dass das Kontrollziel, die Kontrollobjekte oder das -vorgehen hinreichend geklärt wären und die somit häufig ihr Ziel verfehlen
- Fehleinsatz von Führungskräften in Kontrollhandlungen
- Mangelndes institutsweites Lernen in Bezug auf Best Practice-Ansätze einzelner Bereiche im Kontrollvorgehen
- Suboptimales Zusammenspiel der Prozessbeteiligten in der Risikobetrachtung und im Kontrollvorgehen
Das IKS kann als wesentlicher Treiber zur Prozessoptimierung und besseren Ressourcenallokation in Finanzinstituten dienen und die Basis für weitere notwendige Kosteneinsparungen schaffen, ohne dass die Qualität der Dienstleistung leidet. Die IT stellt auf diesem Weg entweder die direkten Optimierungslösungen durch die Automatisierung der Kontrollhandlungen oder schafft die Transparenz, die prozessualen Optimierungsansätze zu erkennen.
Einbettung in das Prozessmanagement
Um ein IKS optimal aufzusetzen, ist es notwendig, dass die Prozesse bekannt sind oder, wenn dies noch nicht hinreichend gegeben ist, diese zu ermitteln und zu beschreiben. Dies beginnt bei den simplen Fragen: Welches sind überhaupt meine Prozesse, festgemacht an einer Prozesslandkarte und wer macht was wie und wann in den Prozessabläufen? Nur wenn bekannt ist, was prozessual passiert, lassen sich die damit verbundenen Risiken hinreichend genau abschätzen und hierbei auch die Frage nach der Risikohöhe und der -eintrittswahrscheinlichkeit klären. Hierfür ist eine Auseinandersetzung auf Prozessebene sehr ratsam. Natürlich spielt hierbei die Frage nach einer entsprechenden technologischen Untermauerung zur Zusammenführung der Prozessdokumentation mit all ihren Bestandteilen und den IKS-Komponenten, im Hinblick auf eine effiziente und zukunftsfähige Ausgestaltung eine entscheidende Rolle.
Das vielfach anzutreffende Risiko-Assessment aus dem OpRisk-Prozess stellt sich häufig als nur bedingt tauglich heraus, die Risiken komplett zu erfassen. Eine Auseinandersetzung auf Prozessebene bringt in der Regel Risiken ans Tageslicht, die von den Führungskräften nicht immer in ihrer Ganzheit erkannt werden.
Gleichzeitig zeigt eine Verzahnung des Themas IKS mit dem Thema OpRisk auch Synergiemöglichkeiten im Hinblick auf das Zusammenspiel mit dem Risikomanagement. So können zukünftig Doppelarbeiten vermieden werden. Hier bietet sich die Chance, Prozessverantwortliche von administrativen Tätigkeiten, insbesondere in der Doppelerfassung von Risikofragestellungen, zu entlasten.
Dauerhafte Optimierung des Kontrollvorgehens
Es empfiehlt sich, eine Risikokontrollmatrix zu erarbeiten und technisch umzusetzen, um zu erkennen, welche Kontrollen in Bezug auf welche Art von Risiken zur Anwendung kommen. Diese sollte dann zur dauerhaften Optimierung des Kontrollvorgehens dienen. Weitere technisch erfasste Attributierungen hinsichtlich der Klassifizierung von Risiken und Kontrollen sollten die Steuerung des IKS unterstützen.
Es gilt: Keine Kontrolle ohne Risiken, Technik und automatisierte Kontrollen und Stichproben anstelle von Vollkontrollen, wo immer möglich, einzusetzen und auf einen sinnvollen Einsatz der kontrollierenden Mitarbeiter gemäß ihrer Kompetenz und Hierarchiestufe zu achten. In jedem Fall ist risikoorientiert vorzugehen und das Kontrollkonzept darauf effizient auszurichten.
Häufig gibt es bereits gute Vorgehensansätze in den Unternehmen. Diese werden jedoch nur als Insellösungen praktiziert, ohne dass das Gesamtunternehmen davon profitiert, z.T. nicht einmal davon weiß. Daher sollte in der Konzeptionsphase eines IKS auch über ein Gremium im Sinne einer Evidenzstelle nachgedacht werden, welches sich dauerhaft mit der Weiterentwicklung und optimalen Ausgestaltung des IKS auseinandersetzt.
Bei Berücksichtigung dieser Faktoren und darauf aufbauender IT-Unterstützung ist die Erfüllung aufsichtsrechtlicher Anforderungen an ein Internes Kontrollsystem realisierbar, um sich somit prüfungssicher zu machen und gleichzeitig ein enormes Einsparungspotential zu heben.Sven Müller, Fincon
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/101261
Schreiben Sie einen Kommentar