Freitag, 23. Dezember 2016

Risikokultur und IT-Steuerung

Operationelle IT-Risiken und deren aufsichtsrechtliche Behandlung im Rahmen von Prüfungen nach § 44 KWG haben deutlich an Bedeutung gewonnen, wobei im Fokus ein handhabbares und risikobegrenzendes System des Managements operationeller IT-Risiken steht. Bei richtiger Umsetzung kann aber auch eine stärkere Fokussierung der jeweiligen Bank auf straffe, klar definierte und revolvierend optimierte Geschäftsprozesse folgen, die durch die IT optimal unterstützt werden. Die Bank kann so trotz des mit der Umsetzung oder Nachjustierung der IT-Risikomanagementsysteme verbundenen Aufwands auch betriebswirtschaftlich gewinnen.

Wie lassen sich aufsichtsrechtliche Vorgaben mit betriebswirtschaftlichem Sinn umsetzen?

I. Grundregeln der IT-Steuerung

Die IT-Steuerung bildet einen Teil der Corporate Steuerung eines Unternehmens und muss in diese integriert sein. Neben der Einhaltung der aufsichtsrechtlichen Anforderungen umfasst IT-Steuerung auch die Steuerung der Werthaltigkeit des IT-Engagements und die Erreichung des erhofften Wertbeitrags für die Unternehmenszielsetzungen insgesamt.

Hier darf es keine Werte- oder Strukturbrüche geben. Die IT muss in ein einheitliches Rahmenwerk eingebunden sein, das sich am Geschäftszweck des Unternehmens orientiert. Dies erfordert einen gesamthaften Ansatz zur wirksamen Steuerung des IT-Einsatzes von der IT-Strategie und IT-Architektur über eine konsistente Daten-Steuerung und einem Daten-Qualitätsmanagement bis hin zum ordnungsgemäßen Betrieb und zur Notfallvorsorge. Diesem gesamthaften Ansatz aber muss neben klaren Vorgaben etwa der Geschäfts- und Risikostrategie, klaren Regelungen, einer Vielzahl von Methoden, Konzepten und Umsetzungshilfen auch ein gemeinsamer Geist mit Blick auf den Umfang mit Risiken zu Grunde liegen.

In den Regelungen der schriftlich fixierten Ordnung sind bewusst Handlungsspielräume vorzusehen, die jeder Einzelne mit seinem individuellen Können und Erfahrungshorizont einsetzen kann. Außerdem können nicht alle möglichen Konstellationen in den Regelungen Berücksichtigung finden, was Einzelentscheidungen erforderlich macht. Für diese aber sind keine Regelungen nötig, sondern Rollenklarheit, Personalentwicklung und Wertschätzung für das „Mitdenken“ der Mitarbeiter auch im Sinne des Risikomanagements. Jeder Beschäftigte hat dann verankert in der Risikokultur nicht nur auf dem Papier, sondern real die Verantwortung, die Fähigkeiten, Erfahrungen und das eigene Verhalten zu reflektieren – und gleichzeitig das Recht dazu.

Damit aber ist Risikokultur nicht an einzelne Stellen, ans Risikocontrolling oder an die Beauftragten und die Revision delegierbar. Risikokultur fängt insbesondere in den Marktbereichen an – das ist etwa im Kreditgeschäft keine neue Erkenntnis.


II. Risikokultur im Aufsichtsrecht


1. Supervisory Review and Evaluation Process (SREP)

Die Regelungen des SREP auf Basis Artikel 97 der Bankenrichtlinie CRD IV sehen grundsätzlich Governancemängel, zu denen auch Mängel in der Risikokultur gehören, als „sonstige Aspekte“ bei der Beurteilung der Risiken an, die insbesondere die klassischen „Säule I“-Risiken ergänzen.

Für die Einstufung von Instituten und die Festlegung der Intensität der Überwachungsmaßnahmen ist damit jedoch auch die Risikokultur und die Einstufung der Aufsicht hierzu von relevanter Bedeutung – auch ohne eine eigenständige direkte Prüfung etwa durch die Abschlussprüfer. Insbesondere bei der Festlegung der SREP-Zuschläge ergänzend zu den Säule I-Werten in den Kapitalanforderungen können sich deutliche Niederschläge u.a. auch dieser Einschätzung ergeben.

2. Mindestanforderungen an das Risikomanagement (MaRisk)

In den MaRisk wird der Begriff Risikokultur nach dem bei Verfassung dieses Artikels aktuellen Stand des Zwischenentwurfs der MaRisk in der Fassung vom 23. Juni 2016 gültigen Stand nun entgegen des ersten Konsultationsentwurfs nicht in einem eigenen Abschnitt, sondern innerhalb der AT 3 adressiert werden.

Folgende Kernelemente sind es, die zu betonen sich derzeit lohnt.

  • Risikokultur will die in den MaRisk stark betonte formale, dokumentierende Seite abrunden um die Erkenntnis und Erfordernis, dass erst die „gelebte Haltung“ eigentliches Risikomanagement bedeutet. So ist es eben nicht damit getan, ein erkanntes IT-Risiko zu behandeln, indem „wir eben eine Risikoanalyse“ machen, sondern indem wir überlegen, ob es sich um ein Risiko handelt, das tatsächlich getragen werden soll und kann, wie sich dieses zur Gesamtsituation der Bank verhält und wie es in der Gesamtbank wirkt.
  • Risikokultur hat insoweit engen Bezug zur Gesamtsteuerungsphilosophie eines Hauses, aber auch eine starke Komponente von Führungsgrundsätzen, angefangen vom „Tone from the top“.
  • Die betriebswirtschaftlich oder juristisch geprägte Ausbildung der meisten Entscheidungsträger in Banken führt dazu, dass das Risiko in IT-Systemen unbeschadet der stark sensibilisierenden Wirkungen sowohl von Aufsichtsprüfungen als auch von tatsächlichen Schäden und Sicherheitsvorfällen teilweise immer noch nicht als „Chefsache“ angesehen, sondern an die operativ zuständigen Abteilungen oder an die Rechenzentren z.B. der Finanzverbünde delegiert wird. Bestehende Verantwortung wird demnach zwar formal akzeptiert, aber nach wie vor teilweise nicht materiell angemessen wahrgenommen. Dies äußert sich in Prüfungen nach § 44 KWG dann z.B. in der Feststellung unzureichender Reportings, unzureichender Auswertung dieser Reportings bzw. unzureichender  Rückkopplung in die Banksteuerung und das Risikomanagement. 
  • Zugleich fehlt – gerade vor diesem Hintergrund an sich verwunderlich – oft die in allen gängigen IT-Standards geforderte Anbindung der IT an die Geschäftsprozesse („Business-Alignment“). Leider spielt der wichtigste Erfolgsfaktor, nämlich gesunder Menschenverstand, Sensibilisierung der Mitarbeiter, Schulung der Mitarbeiter und Schaffung eines stringenten und auf die Bank und ihre Prozesse passenden organisatorischen Rahmens, dabei viel zu oft eine zu geringe Rolle. Die wirksamsten und effizientesten Maßnahmen aber werden daher oft nicht ergriffen. Die fehlende ganzheitliche Systematik ist ebenfalls eines der häufig anzutreffenden wesentlichen Probleme.
  • Sehr weit verbreitet ist, dass für unterschiedlichste Risikobehandlungskontexte einer Bank, etwa das Risikomanagement für operationelle Risiken, das Informationssicherheitsmanagement, die Dienstleistersteuerung, die Compliance-Funktionen etc. unterschiedliche Regelkreise, unterschiedliche Risikomessmethoden, unterschiedliche Schwellenwerte etc. existieren, ohne dass dies bankfachlich anders begründbar wäre als damit, dass es eben keine bekannte Risikoneigung des Vorstands, keine klaren Risikokommunikationswege und keine Kultur der kontinuierlichen Verbesserung gibt, die das Identifizieren und Melden von Fehlern und/oder Risiken und/oder Schäden belohnt. Das aber steht eindeutig im Widerspruch zum betriebswirtschaftlichen Eigeninteresse der Bank wie zu den MaRisk. Hier gilt es, eine bewusste Risikokultur durch Methodenklärung, -bereinigung und -vereinfachung zu unterstützen soweit eben methodisch und aufsichtsrechtlich möglich.

Prof. Dr. Ralf Kühn, WP/StB, Geschäftsführer der Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft

Kontaktdaten:
Fon: 0711 222 13-14 83

Mittwoch, 21. Dezember 2016

Ein modernes Internes Kontrollsystem (IKS) erfordert Prozessorientierung

Nach dem IDW PS 261 besteht das IKS aus „Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem)“. Das interne Überwachungssystem umfasst prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) sowie prozessunabhängige Überwachungsmaßnahmen. 

In der Praxis wird oft eine engere Auslegung des IKS-Begriffs gewählt und IKS gleichgesetzt mit „Kontrollen“. Es darf dabei allerdings nicht so weit gegangen werden, dass nur technisch abgegriffene Geschäftsvorfälle als IKS betrachtet werden. Die dort vorgesehenen und ggf. dokumentierten Kontrollen sind zwar Bestandteil des IKS, allerdings bestehen in jedem Institut noch weitere prozessintegrierte Kontrollen wie beispielsweise ein Vier-Augen-Prinzip, die ebenfalls Bestanteil des IKS sind.

Das IKS im engeren Sinne stellt ein Subsystem des unternehmensweiten Risikomanagementsystems, genauer gesagt des operationellen Risikomanagements dar. Hierbei stellen operationelle Risiken inhärente, mit nahezu allen Unternehmensprozessen verbundene Risiken dar. Die Durchführung von Kontrollaktivitäten folgt in der Theorie der Durchführung einer Risikobeurteilung. Kontrollaktivitäten sind demnach Maßnahmen im Hinblick auf vorher identifizierte und beurteilte Risiken.

Der Prozessorientierung folgend begegnet man operationellen Risiken idealerweise mit Instrumenten des Prozessmanagements, welche in Kombination mit Techniken des Risikomanagements ein praktisch anwendbares IKS im engeren Sinne ergeben.

Eine Dokumentation zumindest wesentlicher Geschäftsprozesse stellt somit nicht nur die Grundlage der Ablauforganisation dar, sie bildet auch die Basis für die Errichtung und Dokumentation eines funktionsfähigen IKS. Dabei darf der Begriff Prozess nicht mit der technischen Steuerung von Teilprozessen bzw. der technischen Flankierung einzelner Prozessschritte gleichgesetzt werden. Die technische Steuerung dient der Führung des jeweiligen Nutzers; sie stellt regelmäßig eine prozessintegrierte Kontrolle dar, deren Einrichtung vielmehr fundierte Prozesskenntnis voraussetzt.  

Die Prüfungspraxis zeigt, dass in der deutschen Bankenlandschaft zunehmend Prozesslandkarten auf Gesamtbankebene erstellt werden, welche auch zur Darstellung von Risiken, denen Schlüsselkontrollen gegenüberstehen müssen, verwendet werden. Zunehmend werden auch sogenannte zentrale IKS-Instanzen bzw. IKS-Beauftragte installiert um ein bankweit konsistentes System sicherzustellen.

Sarah Horn, Rechtsanwältin, Prokuristin, Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft

Kontaktdaten:
Fon: 0711 222 13-14 16

Auslagerungs-Risikoanalyse

Aufgrund der erhöhten Anforderungen im Bereich Auslagerungen im Konsultationsentwurf der MaRisk (Stand: 02/2016) sowie erheblichen Feststellungen in Sonderprüfungen der Aufsicht zu diesem Themenkomplex, sind viele Institute verunsichert. Neben aufbauorganisatorischen Fragen, herrscht Unsicherheit hinsichtlich der benötigten Unterlagen und der zu ergreifenden Maßnahmen. Die verbreitete Praxis, nur diejenigen Unterlagen kursorisch auszuwerten, die ohnehin vom Dienstleister zur Verfügung gestellt werden, wird zu Recht kritisch betrachtet. Es ist jedoch auch der umgekehrte Fall durchaus vorhanden, bei dem die Institute vorsorglich so viele Unterlagen wie möglich anfordern und auswerten. Nicht nur erlaubt, sondern gerade gewünscht, ist demgegenüber ein risikoorientiertes Vorgehen, wobei es im Ermessen der Institute liegt, Vorgaben zur Dienstleistersteuerung zu machen. In diesem Zusammenhang kommen der Auslagerungs-Risikoanalyse verschiedene Funktionen zu:


Risikoanalyse als Entscheidungsgrundlage

Zunächst dient eine erstmalige Risikoanalyse als Grundlage zur Entscheidung über die jeweilige Auslagerung. Als wesentliche Inhalte bieten sich an:

Beweggründe zur Auslagerung
Unterscheidung „Auslagerung vs. sonstiger Fremdbezug“ nach MaRisk AT 9 Tz. 1
Zulässigkeit der Auslagerung nach § 25b Abs. 2 KWG und MaRisk AT 9 Tz. 4
zahlreiche Dokumentationserfordernisse nach MaRisk AT 9 (z.B. als Checkliste)
Kern der Risikoanalyse: Risiken der Auslagerung

Die enge Verzahnung im Sinne einer einheitlichen Risikokultur aller wesentlichen Risikoarten des Institutes ist hierbei erforderlich, wobei insbesondere die Steuerungslogik der operationellen Risiken in der Auslagerungs-Risikoanalyse aufgegriffen werden sollte.


Ableitung der Wesentlichkeit aus der Risikoanalyse

Die Definition für eine wesentliche Auslagerung nach MaRisk AT 9 Tz. 2 muss jedes Institut individuell festlegen. Die festgelegten Kriterien sollen eine eindeutige Ableitung der Wesentlichkeit ermöglichen. Insbesondere soll es nicht möglich sein, ein sehr hohes Risiko durch mehrere sehr geringe Risiken aufgrund einer Durchschnittswertbetrachtung zu nivellieren.

Risikoanalyse als Grundlage der Kontrollhandlungen

Da bei einer risikoorientierten Vorgehensweise nur für die identifizierten Bruttorisiken Kontroll-handlungen erforderlich sind, sollte eine Unterscheidung nach Brutto- und Nettorisiko erfolgen. Als Kontrollhandlungen können sein:

Auswertung der entsprechenden Berichte des Dienstleisters
Ersatzunterlagen, sofern keine Berichte vorliegen
regelmäßige Gesprächstermine
Kontrollen der Compliance-Einheit bzw. der entsprechenden Beauftragten
Prüfungen der Internen Revision vor Ort

Durch die entsprechenden Kontrollen kann das Risiko in der Nettobetrachtung ggf. reduziert werden.


Im Ergebnis werden die Weichen für eine aufsichtsrechtlich ausreichende und betriebswirtschaftlich sinnvolle Dienstleistersteuerung oft bereits bei der Gestaltung der Risikoanalyse gestellt.

Sarah Horn, Rechtsanwältin, Prokuristin, Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft

Kontaktdaten:
sarah.horn@audit-wpg.com
Fon: 0711 222 13-14 16