Ausgabe 112 - Internes Kontrollsystem

Internes Kontrollsystem – Bürde oder Beitrag zum Geschäftserfolg

Auf einen Blick

• Im Vergleich zu unserer letzten Studie vor 5 Jahren ist das Thema IKS deutlich präsenter auf allen Führungsebenen.
• Die Sicherstellung der Wirksamkeit des IKS durch Führungskräfte im jeweiligen Fachbereich, die Überwachung einer fristgerechten Durchführung vorgesehener Kontrollmaßnahmen durch IKS-Verantwortliche und die Prüfung der Funktionsfähigkeit des IKS durch die Interne Revision ist überwiegend gelebte Praxis.
• Die Überwachung der Wirksamkeit des IKS konzentriert sich nicht mehr auf das Meldewesen und rechnungslegungsrelevante Bereiche und Prozesse. 
• Mängel im IKS werden durch verantwortliche Mitarbeiter aus den 3 Verteidigungslinien oder externe Parteien (Bankprüfer, Aufsicht) entdeckt und gemäß Maßnahmenplanung bereinigt.
• Kreditinstitute sind noch mit der Umsetzung aller Anforderungen der EBA-Leitlinien zur internen Governance (EBA/GL/2017/11) beschäftigt, bei der Umsetzung dieser Anforderungen in allen Organisationseinheiten gibt es noch Verbesserungspotential.
• Ein großer Teil der Kontrollen wird noch manuell durchgeführt, da vorhandene automatische Kontrollen in manchmal historisch gewachsenen Systemlandschaften noch fehlerbehaftet sind.
• Vergütungsmodelle oder Anreizsysteme für Führungskräfte enthalten erst in Ausnahmefällen auch IKS-Ziele (z.B. den jeweiligen Beitrag einer Führungskraft zur Wirksamkeit des IKS).

Überblick Gesamtergebnis

PwC hat erneut Verantwortliche für das Interne Kontrollsystem (IKS) in österreichischen Banken zu einer Selbsteinschätzung der Effektivität und Effizienz des IKS in ihrem Institut eingeladen, und Mitarbeiter von Banken aus allen Sektoren investierten ihre Zeit in die Teilnahme.                                                     

Insgesamt beurteilen die meisten Teilnehmer den Umsetzungsgrad von Anforderungen an das IKS als gut in die gelebte Praxis integriert (Score 3). Einige IKS-Verantwortliche bewerten zumindest einige Aspekte des IKS der Bank schon als optimiert (Score 4)

Langsame Fortschritte beim IT-Risikomanagement in Banken führten zu besonderen Schwerpunktsetzungen durch die Bankenaufsicht und eine Fülle expliziter Regelungen für die Informations- und Kommunikationstechnologie (IKT).  Noch immer liegt eines der größten Hindernisse für eine Reduktion einer Vielzahl von transaktionsbezogenen Kontrollen in Schwächen der Funktionsfähigkeit von automatischen Kontrollen. Viele Softwarelösungen in österreichischen Banken sind „historisch gewachsen“. Dabei wurde oft kein besonderes Augenmerk auf eine heute übliche Dokumentation oder die Notwendigkeit einer erfolgreichen Absolvierung eines Testbetriebes vor Einsatz einer neuen Anwendung gelegt. Leider sind diese Versäumnisse auch oft Hindernisse für eine geplante Digitalisierung von Abläufen und Prozessen. Häufig fehlen auch noch IKS-bezogene Anreize in den Zielvereinbarungen von Mitarbeitern und Führungskräften.

Im Detail ergibt sich aus unseren Gesprächen folgendes Bild:

Optimierung des IKS

Während die meisten Teilnehmer den Umfang der IKS-Dokumentation (IKS-Handbuch, Risiko-Kontroll-Matrizzen etc.) bereits als optimiert einstufen, sehen einige noch Potential bei der Konzentration auf das Wesentliche. Befürchtungen bestehen dabei vor allem hinsichtlich der Wartung bei notwendigen Aktualisierungen.

Ein ähnliches Bild ergibt sich bei den eingerichteten Kontrollmaßnahmen. Diese waren bei den meisten der teilnehmenden Banken zumindest für alle hohen Risiken definiert und werden aussagegemäß auch periodisch an geänderte Risiken angepasst. Optimierungspotential besteht jedenfalls noch bei Schlüsselkontrollen. In manchen Fällen fehlt eine klare Definition, über welche Attribute eine Schlüsselkontrolle („Key Control“) im Gegensatz zu einer „normalen“ Kontrolle verfügen muss. Damit wird eine Beurteilung der Angemessenheit der Anzahl von Schlüsselkontrollen, für die eine besondere Überwachung der ordnungsgemäßen Durchführung vorgesehen ist, schwer, wenn nicht gar unmöglich.  Banken, die das Konzept von Schlüsselkontrollen bereits seit längerem z.B. bei der Frequenz der Überwachung berücksichtigen, konnten im Lauf der Zeit historisch gewachsene Kontrollmaßnahmen deutlich reduzieren, ohne ihre Risiken zu erhöhen.

In den Interviews zur Studie wurde uns berichtet, dass auch Prozesse zur Bewertung und Beseitigung von festgestellten Mängeln im IKS nicht nur eingerichtet sind, sondern auch gut funktionieren. Interessant erscheint uns in diesem Zusammenhang jedoch der aktuell relativ große Aufwand für die Reorganisation der Abwicklung von Beschwerden. Gründe dafür liegen vermutlich nicht nur in begrifflichen Abgrenzungen. Zwischen Prozessen zur Erfassung, Dokumentation und Bearbeitung von VERA-relevanten Sachverhalten bei Kundenunzufriedenheit (§ 5 Abs. 1 Z 4 lit a VERA-V) und der funktionalen Zuordnung einer „Beschwerdemanagementfunktion“ sind in den meisten Banken derzeit Änderungen notwendig oder geplant.^[1] Für eine etwaige Reorganisation müssten auch operationelle Risiken aufgrund von „near misses“ bzw. die Ursachen von letztendlich eingetretenen Schadensfällen in Betracht gezogen werden.

Ein effektiver Prozess zur Mängelbeseitigung in der Bank setzt zusätzlich noch eine entsprechende „Fehlerkultur“ voraus. Die angeführten neuen Anforderungen an das Management von Beschwerden sollen nicht nur zu weiteren Dokumentationen führen, sondern auch den Kundenwünschen Rechnung tragen.  Damit der Zweck diverser neuer Normen, z.B. der Konsumentenschutz, überhaupt erreicht werden kann, muss letztendlich auch die Bereitschaft gegeben sein, etablierte Geschäftsmodelle zu hinterfragen.  Dafür müssen auch geeignete Schritte zur Behebung der ermittelten Mängel durch das Leitungsorgan der Bank in seiner Aufsichtsfunktion gesetzt werden.

Als größtes Hindernis für eine signifikante Steigerung der Effizienz der Durchführung von Kontrollmaßnahmen wurden fehlende Dokumentationen von automatischen Kontrollen genannt (vor allem bei Softwarelösungen, die im eigenen Haus oder Sektor in der Vergangenheit entwickelt wurden). Bei entdeckten Fehlern in Prozessen mit automatischen Kontrollen werden daher oft zusätzlich zu den in der Software vorgesehenen automatischen Kontrollen nachgelagerte manuelle Kontrollen eingerichtet, um das richtige Gesamtergebnis einer Verarbeitung sicherzustellen. Für die Fehlerbehebung in solchen „alten“ Softwarelösungen fehlen oft Mitarbeiter, oder die vorhandenen Mitarbeiter können mangels aussagekräftiger Systemdokumentation oder Unkenntnis von vor einigen Jahren verwendeten Programmiersprachen eine Korrektur fehlerhaft funktionierender automatischer Kontrollen nicht durchführen.  

In manchen Banken haben Führungskräfte im operativen Bankgeschäft noch die Erwartungshaltung, dass die Gestaltung, Einrichtung, Überwachung der Durchführung und Aktualisierung von Kontrollmaßnahmen bei wesentlichen Änderungen zur Begrenzung von Risiken in ihrem Zuständigkeitsbereich teilweise oder gänzlich an Mitarbeiter (z.B. interne Kontrollfunktionen) in der sogenannten 2. Verteidigungslinie^[2] delegiert werden können. Führungskräfte müssen neben einem tiefgehenden Verständnis darüber, welche Risiken in ihrem Verantwortungsbereich die übergeordneten (IKS-)Ziele der Bank gefährden könnten, über ein umfassendes und durchgängiges Verständnis der Prozessabläufe und von Zusammenhängen dieser Prozesse mit anderen Abteilungen verfügen, um bewusst Entscheidungen treffen zu können, welche Elemente eines IKS in ihrem Verantwortungsbereich verstärkt oder reduziert werden können.

[1] Leitlinie 2 in den Joint Committee Leitlinien zur Beschwerdeabwicklung für den Wertpapierhandel (ESMA) und das Bankwesen (EBA JC/2014/43 bzw JC/2018/35)
[2] The Three Lines of Defense in Effective Risk Management and Control, The Institute of Internal Auditors, January 2013

Auslagerungen wesentlicher bankbetrieblicher Aufgaben

Aufgrund neuer gesetzlicher Anforderungen (z.B. im § 25 BWG) haben die meisten Banken in der Zwischenzeit einen guten zentralen Überblick, welche bankbetrieblichen Aufgaben sie auslagern und wo sie für andere Banken solche Leistungen übernommen haben. Die Verantwortlichen für Auslagerungsverträge konzentrierten sich traditionell in Österreich auf die rechtlichen Fragen im Zusammenhang mit einer Auslagerung (z.B. den Schutz vertraulicher Informationen und das Bankgeheimnis, die Einräumung eines Zugangs für die Aufsichtsbehörde beim Outsourcing-Dienstleister („Insourcing-Unternehmen“), die Grenzen der Auslagerung). 

Genaue Anforderungen hinsichtlich:

• der Durchführung der Dienstleistung,
• einer Beurteilung der Fähigkeit des Outsourcing-Dienstleisters („Insourcing-Unternehmen“) zur Erfüllung der Leistungsanforderungen in quantitativer wie in qualitativer Hinsicht oder
• einer wirksamen Kündigungs- und Ausstiegsklausel verbunden mit
• vor Abschluss des Auslagerungsvertrages erhobenen Alternativen zur Übertragung an einen anderen Auslagerungsdienstleister

waren bisher in vielen Banken nicht verpflichtend vorgesehen und sind damit auch noch selten in Verträgen mit Outsourcing-Dienstleistern enthalten. Innerhalb von Sektoren oder zwischen Banken und ihren Rechenzentren sind solche Anforderungen auch noch nicht gängige Praxis.

Zusätzlich zu § 25 BWG gelten Anforderungen europäischer Behörden (CEBS-Leitlinien 2006 und EBA/GL/2019/02) ab dem 30. September 2019 für sämtliche Auslagerungsvereinbarungen, die an oder nach diesem Tag abgeschlossen, überprüft oder geändert werden. Für bestehende Auslagerungsvereinbarungen gelten Übergangsbestimmungen bis spätestens 31. Dezember 2021.

Ausblick

Unsere Studie zeigt, dass noch immer vor allem deutlich kommunizierte aufsichtsrechtliche Anforderungen die Geschwindigkeit von Veränderungen bestimmen, und das gilt auch für die Entwicklung des IKS der teilnehmenden Banken.

Aktuell betrifft das Anstrengungen zur Ergänzung interner Kontrollmaßnahmen oder Einrichtung interner Kontrollfunktionen für:

• die Umsetzung der Datenschutzgrundverordnung (DSGVO),
• die Beschwerdeabwicklung (§ 39 e BWG),
• organisatorische Anforderungen zur Beschränkung von Risiken einer etwaigen Missachtung gesetzlicher Normen (§ 39 Abs. 6 BWG),
• die Ein- und Auslagerung wesentlicher bankbetrieblicher Aufgaben (§ 25 BWG),
• die Beschränkung von IKT-Risiken (FMA-Leitfaden zur IKT-Sicherheit in Kreditinstituten), 
• die Umsetzung der Anforderungen der EBA/GL/2019/02 (Leitlinien zu Auslagerungen)

Dabei wird leider oft das Hauptaugenmerk auf die Erfüllung formaler Anforderungen gelegt, sobald diese Normen final relevant sind. Eine rechtzeitige Berücksichtigung kommender Anforderungen schon in der Diskussionsphase durch eine Betroffenheitsanalyse von davon betroffenen Elementen eines IKS (zumindest der Prozesse, Kontrollen inkl. automatischer Kontrollen) wird in der Praxis derzeit noch eher selten durchgeführt. Dadurch würden sich aber die Kosten der Umsetzung regulatorischer Anforderungen in endgültiger Fassung reduzieren und der Stellenwert des IKS in der Bank deutlich steigen. Vielleicht kann durch die Tätigkeit eines neu nominierten sogenannten „BWG Compliance Verantwortlichen“ gemäß den Anforderungen des § 39 Abs. 6 BWG den österreichischen Banken wieder ein zeitlicher Spielraum verschafft werden, der durch die Regulierungsflut nach 2008 verloren gegangen ist.

Medieninhaber und Herausgeber:
PwC Österreich GmbH Wirtschaftsprüfungsgesellschaft, DC Tower, Donau-City-Straße 7, 1220 Wien
Für den Inhalt verantwortlich: StB Mag. Thomas Strobach, thomas.strobach@pwc.com
Für Änderungen der Zustellung verantwortlich: Anna Ring, anna.x.ring@pwc.com, Tel.: +43 1 501 88-3705, Fax: +43 1 501 88-648

Der Inhalt dieses Newsletters wurde sorgfältig ausgearbeitet. Er enthält jedoch lediglich allgemeine Informationen und spiegelt die persönliche Meinung des Autors wider, daher kann er eine individuelle Beratung im Einzelfall nicht ersetzen. PwC übernimmt keine Haftung und Gewährleistung für die Vollständigkeit und Richtigkeit der enthaltenden Informationen und weist darauf hin, dass der Newsletter nicht als Entscheidungsgrundlage für konkrete Sachverhalte geeignet ist. PwC lehnt daher den Ersatz von Schäden welcher Art auch immer, die aus der Verwendung dieser Informationen resultieren, ab.

PwC“ bezeichnet das PwC-Netzwerk und/oder eine oder mehrere seiner Mitgliedsfirmen. Jedes Mitglied dieses Netzwerks ist ein selbstständiges Rechtssubjekt. Weitere Informationen finden Sie unter www.pwc.com/structure.