Gisela Conrads, Leiterin Interne Revision, Münchener Hypothekenbank eG

„If you can’t measure it, you can’t manage it”  

(Robert S. Kaplan)

…aber messen allein reicht nicht, die Ergebnisse müssen auch in die Prozesse und das Risikomanagement integriert werden.

Waren Schlüsselkontrollen nach der „Enron-Pleite“ zu Beginn des 21. Jhd. stark auf eine prozessintegrierte interne Kontrolle wesentlicher Prozessschritte reduziert, kommt ihnen seit Jahren eine neue Bedeutung zu.

Verfolgt man die aufsichtsrechtlichen Vorgaben der letzten Jahre, – und hier neben MaRisk und BAIT insbesondere die EBA-Richtlinien – fällt auf, dass die Integration der Schlüsselkontrolle in die Managementprozesse und -überwachung erwartet wird. So wurde bereits mit dem Rundschreiben der MaRisk 10/2012 die Forderung nach einer „Compliance-Funktion“ (AT 4.4.2) als „Überwachungsinstanz“ für die Umsetzung wesentlicher aufsichtsrechtlicher Regelungen gefordert. Wesentliche Aufgabe dieser besonderen Funktion: Information des Aufsichtsorgans und des Vorstands über den Umsetzungsstand und die damit eventuell verbundenen Defizite finden sich auch heute noch in den MaRisk AT 4.4.2 z. B. in Tz. 7 „Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Darin ist auf die Angemessenheit und Wirksamkeit der Regelungen zur Einhaltung der wesentlichen rechtlichen Regelungen und Vorgaben einzugehen. Ferner hat der Bericht auch Angaben zu möglichen Defiziten sowie zu Maßnahmen zu deren Behebung zu enthalten. Die Berichte sind auch an das Aufsichtsorgan und die Interne Revision weiterzuleiten.“

FILMTIPP

IKS 2.0 Schlüsselkontrollkonzept

Neben dieser allgemeingültigen Anforderung finden sich aber auch Hinweise auf zentral einzuführende Schlüsselkontrollen, die Auswirkungen auf die Aufbau- und Ablauforganisation sowie die Kreditprozesse haben. Hierzu gehören das in den MaRisk AT 9 Tz. 13 geforderte zentrale Auslagerungsmanagement sowie die damit einhergehenden Anforderungen in der seit 30.09.2019 in Kraft getretenen EBA „Guidelines on outsourcing arrangements“. Aber auch die in Konsultation befindliche EBA „Guideline on loan origination and monitoring“ zielt auf eine stärkere Einbindung von Schlüsselkontrollen in das Management und die zentrale Überwachung von Kreditrisiken ab. Ziel all dieser „neuen“ Vorgaben ist nach Ansicht der Autorin, durchgeführte Kontrollen nicht nur im Sinne eines durchgeführten „4-Augen-Prinzips“ für Einzelentscheidungen zu betrachten, sondern die Ergebnisse – hier insbesondere negative – zu analysieren und daraus entsprechende Lessons Learnt für Prozesse oder Strukturen abzuleiten. Auch ist die Frage zu klären, inwieweit nicht funktionierende Kontrollen (u. a. fehlende Dokumentationen) zu der Erfassung von operationellen Risiken führen können.

INHOUSETIPP

Schlüsselkontrollen Spezial: Kreditprozesse

Zusammenfassend ist die Geschäftsleitung des Instituts für die ordnungsgemäße Geschäftsorganisation verantwortlich. Hierzu zählen ein angemessenes und wirksames Risikomanagement sowie die Einrichtung Interner Kontrollverfahren. 

Das Erfordernis, Schlüsselkontrollen zu implementieren, resultiert nicht zuletzt auch aus den Anforderungen der „Leitlinien zum einheitlichen Überprüfungs- und Bewertungsprozesses (SREP)“. Die demnach erwartete Re-Kalibrierung des Internen Kontrollsystems auf Basis von Schlüsselkontrollen, wonach das Interne Kontrollsystem auf das ganze Institut auszuweiten und die Prozesse entsprechend zu überwachen sind, sollte aus Sicht der Autorin auch bei national überwachten Instituten Beachtung finden. Gerade in den letzten Jahren häufen sich Pressemeldungen über „fehlende Schlüsselkontrollen“ oder unzureichende Überwachung gelebter Prozesse durch die Interne Revision bzw. Geschäftsführung und Aufsichtsorgane des Instituts.  Im Ergebnis führen diese Versäumnisse zu Vertrauensverlusten, die nur schwer zu heilen sind.  

SEMINARTIPPS

Zertifizierter IKS-Beauftragter, 04.–07.05.2020, Berlin.

17. Kreditrevisions-Tage 2020 in München, 11.–12.05.2020, München.

Schlüsselkontrollen Spezial: Kreditprozesse, 18.06.2020, Frankfurt/M.

Aktuelle Erfahrungen aus dem regelmäßigen Austausch mit anderen Revisoren sowie Prüfern zeigen, dass als unwirksam einzuschätzende Kontrollen (fehlende übergreifende Bewertung) u. U. zu F4-Feststellungen im Rahmen aufsichtlicher Prüfungen führen können. Dabei spielt es nur eine untergeordnete Rolle, ob tatsächlich Risiken aus der fehlenden bzw. unzureichenden Überwachung und Würdigung durch das Management resultieren. 

PRAXISTIPPS

• Grundlage für funktionsfähige Schlüsselkontrollen ist die Schaffung eines einheitlichen Grundverständnisses für die Themen “Prozess” und “Detailtiefe der Prozessschritte”. 
• Klare Schnittstellen und Service Level Agreements sind als Grundlage verlässlicher (erwarteter) Qualität erforderlich.
• Überwachung und Analyse implementierter Schlüsselkontrollen.
• Sicherstellung, dass aufsichtsrechtliche Überwachungspflichten (z. B. Strategie, Auslagerungen, Einhaltung §18 KWG, Meldepflichten) nicht nur für den Einzelfall, sondern jeweils Portfolio- und prozessbezogen überwacht und Ergebnisse berichtet werden.