Rahmenbedingungen
Das Interne Kontrollsystem bezeichnet die Gesamtheit aller organisatorischen und technischen Grundsätze, Verfahren und Maßnahmen zur Sicherstellung der Funktionsfähigkeit, der Wirtschaftlichkeit, der Einhaltung von Regelungen und Richtlinien sowie zur Abwehr von Schäden. Es ist damit wesentliche Säule der Governance und Instrument der Compliance.
Die regulatorischen Grundlagen sind zunächst im Wesentlichen das KWG (Ordnungsmäßigkeit der Geschäftsorganisation) sowie konkretisierend die MaRisk. Weitere spezifische Regelungen ergänzen und konkretisieren die Anforderungen, so etwa die Mindestanforderungen an die Compliance-Funktion oder das BilMoG bei kapitalmarktorientierten Unternehmen im Hinblick auf die Finanzberichterstattung.
Das IKS ist als System integriert zu entwickeln und in seiner Gesamtheit zu betrachten. Es basiert daher oft auf praxiserprobten Kontrollmodellen. Wesentliche Gestaltungsprinzipien eines IKS sind Funktionstrennung, 4-Augen-Prinzip, Transparenz (im Hinblick auf Soll-Anforderungen und Kontrollfähigkeit) sowie die Beschränkung des System- und Informationszugangs auf individuell benötigte Inhalte („Need to know“).
Das IKS liegt in der Gesamtverantwortung der Geschäftsleitung, nimmt aber auch die Aufsichtsorgane sowie die Interne Revision ausdrücklich mit in die Pflicht.
Anforderungen
Unabhängig von einer zentralen, dezentralen oder gemischten Implementierung hat sich das Lines-of-Defenses-Modell als marktüblich etabliert. Entsprechend sind zunächst die Aufgaben zwischen den operativ verantwortlichen Fachbereichen (first line), dem IKS-Management (second line) und der Internen Revision (third line) klar zuzuweisen, Schlüsselkontrollen zu identifizieren, Kontroll- und Stichprobenumfänge zu definieren.
Der Dokumentation der Kontrollanforderungen sowie der Kontrollergebnisse kommt dabei nicht nur aus Sicht der Aufsicht eine besondere Bedeutung bei. Bei der Ausgestaltung ist damit der schmale Grat zwischen Formalisierung und Pragmatismus zu beschreiten. Ein „vorauseilender Gehorsam“, der sich etwa in der Einführung prozessualer 4-Augen-Kontrollen auch für unwesentliche Prozess-Schritte oder im flächendeckenden Einsatz IT-basierter „Kontroll-Radare“ niederschlägt, ist jedenfalls weder gefordert noch angemessen.
Zur Vermeidung eines im Einzelfall unangemessenen Kontrollaufwandes sind dabei sowohl das Geschäftsmodell eines Institutes insgesamt als auch Spezifika der einzelnen Geschäftsbereiche zu berücksichtigen. Die Verzahnung der verschiedenen Elemente, Instrumente und vor allem organisatorischen Zuständigkeiten für Kontrollen ist entscheidend für die Effizienz des IKS.
Prüfungsgegenstand
Unsere Prüfungen zum Internen Kontrollsystem umfassen im Regelfall:
- Grundstruktur des IKS, d.h. konzeptionelle und praktische Gestaltungsprinzipien, organisatorische Verankerung und Verantwortlichkeiten;
- Konsistenz der Verfahren und Instrumente auf den unterschiedlichen Kontrollebenen (IT- und prozessuale Kontrollen, lines of defenses);
- Angemessenheit der Kriterien und Verfahren zur Definition von Schlüsselkontrollen und Kontrollumfängen sowie zur Berücksichtigung von Kontrollen in der Ausgestaltung und IT-Abbildung der operativen Prozesse;
- Effektivität und Effizienz der Kontrollprozesse, der Dokumentationsverfahren und der Instrumente zur Rückkopplung an die Fachbereiche;
- Kriterien und Verfahren zur Implementierung prozessualer 4-Augen-Kontrollen sowie zum Einsatz IT-basierter Kontrollinstrumente, jeweils vor dem Hintergrund von Risikogehalt und Prozesseffizienz.