Die Re-Kalibrierung des IKS eine komplexe Anforderung aus SREP

Transkript

1 Die Re-Kalibrierung des IKS eine komplexe Anforderung aus SREP Andreas Bruckner Die Beurteilung des Internen Kontrollsystems (IKS) ist ein zen t- raler Baustein der Leitlinien zum einheitlichen Überprüfungsund Bewertungsprozess (SREP). Obwohl viele Elemente des IKS bereits in der Finance-Abteilung etabliert sind, sollten sich Banken nicht täuschen lassen. SREP erfordert es, das IKS auf das gesamte Institut auszuweiten und die Schlüsselprozesse und Schlüsselkontrollen allen Stakeholdern transparent zu m a- chen. Nur so lässt sich eine hohe Akzeptanz für das IKS e r- zeugen. Dies ist ein zentraler Faktor für eine erfolgreiche G e- samtbeurteilung im SREP. So können Maßnahmen der Aufsicht wie höhere Eigenkapitalanforderungen vermieden werden. Das Ziel der SREP-konformen Re-Kalibrierung des IKS kann in vier Schritten erreicht werden.

2 Abbildung 1: Europäische Bankenaufsicht im SSM (Quelle: PPI AG, Bundesbank) Aufgrund der enormen Komplexität wird die Umsetzung von SREP- Anforderung hoch priorisiert Der Single Supervisory Mechanism (SSM) stellt die global systemrelevanten Banken (G-SIBs) unter die Aufsicht der EZB. Die Aufsicht übernehmen die Joint Supervisory Teams (JST), die sich aus Vertretern der EZB sowie den Nationalen Aufsichtsbehörden (NCA) zusammensetzen. Abbildung 1 stellt die Aufteilung der neu geordneten Bankenaufsicht im SSM dar. Die SREP-Leitlinien im SSM hat die EBA am 19. Dezember 2014 veröffentlicht (EBA/GL/ 2014/13). Die Leitlinien richten sich zwar primär an die Aufsicht, sind jedoch indirekt für Banken relevant, da die Leitlinien die Prüfungspraxis bestimmen werden. Bereits im Jahr 2015 waren die Konzepte zur Umsetzung von SREP ein Bestandteil der Jahresabschlussprüfungen. Da die EZB auch die nicht direkt beaufsichtigten Banken direkt prüfen kann, ist die Umsetzung von SREP eine relevante Herausforderung für alle Banken. Im SREP werden die Strategie, das Geschäftsmodell, die Governance und das Interne Kontrollsystem (IKS) sowie Eigenkapital und Liquiditätsausstattung beurteilt. Die Institute erhalten eine Note von 1 bis 4 oder F: 1 ist die Bestnote, bei F wird das Institut der Abwicklungsbehörde übergeben. Bei einer Benotung ab 3 kann die Aufsicht zusätzliche Maßnahmen, wie höhere Eigenkapitalquoten oder geringere Fristentransformation durchsetzen. In einer Studie des Beratungshauses Bain & Company vom Mai 2015 gaben Bankenvertreter an, dass SREP aufgrund seiner großen operativen Komplexität in Kombination mit den enormen strategischen und finanziellen Auswirkungen eine hohe Relevanz für Institute hat 1. 1 vgl. Anonym (2015), Regulierung zwingt Banken zu strategischer Neuausrichtung, Die Bank Newsletter, Mai 2015, S. 1-3, online: /.. Seite 2 von 8

3 Beurteilung der Internal Governance im Rahmen von SREP (Kapitel 5) Note Kategorie / Kriterium Internal control framework The internal control framework and internal controls are appropriate The internal control framework and internal controls are largely appropriate There are doubts about the appropriateness of the internal control framework and internal controls The internal control framework and internal controls are inappropriate The institution has an internal control framework with established independent control functions operating within a clear decision-making process with a clear allocation of responsibilities for implementation of the framework and its components The internal control framework is implemented in all areas of the institution, with business and support units being responsible in the first instance for establishing and maintaining adequate internal control policies and procedures The institution has put in place policies and procedures to identify, measure, monitor, mitigate and report risk and associated risk concentrations and whether these are approved by the management body The institution has established an independent risk control function that is actively involved in drawing up the institution s risk strategy and all material risk management decisions, and that provides the management body and senior management with all relevant risk-related information The independent risk control function ensures that the institution s risk measurement, assessment and monitoring processes are appropriate 6 7 The institution has a chief risk officer with a sufficient mandate and independence from risk-taking, and exclusive responsibility for the risk control function and the monitoring of the risk management framework The institution has a compliance policy and a permanent and effective compliance function that reports to the management body 8 9 The institution has a new product approval policy and process with a clearly specified role for the independent risk control function, approved by the management body The institution has the capacity to produce risk reports and uses them for management purposes and such risk reports are (i) accurate, comprehensive, clear and useful and (ii) produced and communicated to the relevant parties with the appropriate frequency Abbildung 2: Mindestanforderungen an das IKS durch SREP Der Bereich Governance und IKS nimmt bei der SREP-Beurteilung eine zentrale Rolle ein. Für eine erfolgreiche Benotung im SREP sollten Banken ihre Governance und das IKS auf den Prüfstand stellen. So können schmerzhafte Maßnahmen der Aufsicht wie zusätzliche Eigenkapitalanforderungen vermieden werden. Im Folgenden werden zuerst die konkreten SREP-Anforderungen an das IKS dargestellt. Anschließend wird anhand eines Risikorahmens beschrieben, wie das IKS institutsweit rekalibriert werden kann. Die vorgeschlagene vierstufige Re-Kalibrierung bildet die Basis für eine erfolgreiche SREP-Gesamtbewertung. Zum Abschluss wird aufgezeigt, welche bekannten IKS-Elemente aus der Finanzberichterstattung als Grundlage für die Umsetzung taugen. Zentrales Element der SREP-Anforderungen ist die Re-Kalibrierung des IKS Das IKS ist für die Aufsicht ein zentrales Element der SREP-Beurteilung. Die neun Kriterien für die Beurteilung des IKS sowie die Ausprägung der Noten 1 bis 4 sind in Abbildung 2 dargestellt. Die Aufsicht stützt ihre SREP-Beurteilung des IKS vor allem darauf, wie Banken den Risikorahmen inklusive Policies, Richtlinien und Arbeitsanweisungen gestalten und die Schlüsselprozesse anhand von Schlüsselkontrollen überwachen. Darüber hinaus ist im dokumentierten Risikorahmen auch der Risikoappetit des Instituts herzuleiten. Dabei muss das Institut Rollen und Verantwortlichkeiten für IKS- Prozesse definieren und institutsweit verankern. /.. Seite 3 von 8

4 Risk-Appetite-Framework Policies, Richtlinien, Arbeitsanweisungen Prozesse und Kontrollen Rollen und Verantwortlichkeiten Transparenz für alle Stakeholder Risk-Appetite-Statement Adressatengerechte Aufbereitung Darstellung und Herleitung von Annahmen Handlungsalternativen für Risikoarten darstellenqualitative und Quantitative Aspekte Relation zu Ertrag, Kapital und Liquidität (KPIs) Risiko Strategie Kapital-Planung Szenario-Analysen Stress-Tests Geschäfts Strategie Abbildung 3: Risikorahmen (Quelle: Eigene Darstellung, Financial Stability Board) Der Risikorahmen ist die Basis für eine erfolgreiche Re-Kalibrierung des IKS Das IKS muss in einen Risikorahmen eingebettet sein. Grundlage dafür ist das vom Financial Stability Board vorgeschlagene Risk-Appetite- Framework 2. Darauf aufbauend und damit konsistent leitet sich die Risiko- und die Geschäftsstrategie ab. Der Risikorahmen, das IKS sowie die Geschäfts- und Risikostrategie werden in iterativen Prozessen immer wieder aneinander angeglichen. Ausgehend von diesen Elementen kann die Bank Limite definieren und überwachen. Das Zusammenspiel der Elemente des Risikorahmens (Abbildung 3) bildet die Governance der Bank. Mit Hilfe des institutsweit etablierten IKS steuert und kontrolliert die Bank die Governance- Elemente. Die Ausgestaltung (Design) sowie die laufende Überwachung (Operational Effectiveness) der IKS-Prozesse sind der Schlüssel für eine erfolgreiche SREP-Bewertung. 2 vgl. Anonym (2013), Principles for an effective Risk Appetite Framework, Financial Stabilty Board, online: Die SREP-konforme Re-Kalibrierung des IKS betrifft alle Stakeholder der Bank Für die Finanzberichterstattung sind bei allen Instituten Kontrollen und Schlüsselkontrollen im Rechnungswesen definiert. Den Standard für die Umsetzung eines IKS lieferte im Jahr 1992 das Committee of Sponsoring Organizations of the Treadway Commission (COSO). Durch die Prüfungspraxis von Jahresabschlüssen ist in Deutschland das Bewusstsein für das IKS bereits im Rechnungswesen etabliert. Der Jahresabschlussprüfer beurteilt gemäß IDW PS 261, inwiefern das IKS dazu beiträgt, die Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit zu sichern. Die Anforderungen von SREP an die Ausgestaltung des IKS erfordern es, die im Rechnungswesen etablierten Methoden auf alle Bereiche und Stakeholder der Bank auszuweiten. Die Bedeutung der Ausweitung sollte aufgrund der Komplexität der Anforderungen aus SREP nicht unterschätzt werden. Eine gute SREP- Gesamtbeurteilung wird erreicht, indem die wirtschaftliche Tragfähigkeit der Bank nachhaltig sichergestellt wird. Für die Aufsicht ist ein institutsweit etabliertes IKS dafür ein Eckpfeiler. Die Re-Kalibrierung des IKS auf die Gesamtbank ist daher ein wesentlicher Baustein auf dem Weg zu einer guten SREP-Beurteilung. /.. Seite 4 von 8

5 Legende: R - Responsible: Verantwortlich für die Durchführung A - Accountable: Entscheider / Kostenveranwortlicher C - Consult: Konsultiert I - Inform: Zu Informieren Konsolidierung der vorhanden Richtlinen und Arbeitsanweiseungen Prüfung der Richtlinien und Arbeitsanweisungen auf Konsistenz Durchführung Self-Assessment Auswertung Self-Assessment Information / Diskussion Ergebnisse Self-Assessment Identifikation von Schlüsselprozessen Identifikation von Schlüsselkontrollen Dokumentation der Prozesse Erstellung der Risiko- und Kontrolllandkarte Durchführung Schlüsselkontrolle Überwachung der Schlüsselkontrollen - Test of Design Überwachung der Schlüsselkontrollen - Test of Operational Effectivness Überarbeitung der Schlüsselkontrollen Erstellung Risk Appetite Statement Vorstand 4. Verlinkung und Konsistenzprüfung der Dokumente Risiko-Controlling- Funktion Interne Revision Abteilungsleiter Abbildung 4: Dokumentation von Rollen und Verantwortlichkeiten durch RACI-Matrix (Quelle: PPI AG, Eigen Darstellung) A A C A I C A A R I I A R C C A R C C A R C C A R C I A I R A I R A I R A I R I A R C C C I Allen Stakeholdern muss bewusst sein, wie wichtig ein institutsweit etabliertes IKS ist. Nur wenn alle Mitarbeitern und Mitglieder des Aufsichtsgremiums diesen Prozess akzeptieren, kann die Re-Kalibrierung erfolgreich sein. In 4 Schritten zur erfolgreichen Re- Kalibrierung des IKS Die vom COSO vorgeschlagenen Methodik, ist die Grundlage um das IKS fit für SREP zu machen. Das Ziel, ein IKS zu etablieren, das in den Augen der Aufsicht angemessen ist, kann mit den folgenden vier Schritten erreicht werden. Schritt 1: interne Anweisungen überarbeiten 1. Arbeitsanweisungen, Richtlinien und Policies konsolidieren 2. Dokumente in Bereichen bereitstellen, die für alle Mitarbeiter zugänglich sind (z. B. Intranet) 3. Prozess zur mindestens jährlichen Überarbeitung der Dokumente einrichten Schritt 2: Rollen und Verantwortlichkeiten organisatorisch verankern 1. Rollen und Verantwortlichkeiten für die Durchführung und Überwachung des IKS mit Hilfe einer RACI-Matrix regeln (Abbildung 4) /.. Seite 5 von 8

6 Schadenspotenzial Die Re-Kalibrierung des IKS eine komplexe Anforderung aus SREP Risiko Landkarte 9 4, ,5 9 Eintrittswahrscheinlichkeit Abbildung 5: Risiko Landkarte (Quelle: PPI AG, Eigene Darstellung) 2. zentrale Koordinationsstelle einrichten, die auch die Kommunikation mit der Aufsicht verantwortet 5. Ergebnisse auswerten und an die Fachabteilungen kommunizieren. Am Ende dieses Schrittes kann es nötig sein, die Schlüsselkontrollen anzupassen. Ursache hierfür können neue oder andere Schlüsselprozesse, aber auch ineffektive Kontrollen sein. Schritt 3: bankweite Schlüsselkontrollen identifizieren und IKS auf alle Stakeholder ausweiten 1. Self-Assessments zur Identifikation von Schlüsselrisiken durchführen Schritt 4: Kontrollhandbuch aufbauen und IKS institutsweit verankern 1. Schlüsselkontrollen im Kontrollhandbuch zusammenfassen und in das Risikohandbuch integrieren 2. Ergebnisse des Self-Assessments veröffentlichen und diskutieren 3. Ergebnisse des Risk-Self-Assessments in die Risikolandkarte überführen (Abbildung 5). Für die Schlüsselrisiken im Quadranten rechts oben (hohe Eintrittswahrscheinlichkeit und hohes Schadenspotenzial) werden Schlüsselkontrollen definiert. 2. Dokumentation und Kommunikation auch in englischer Sprache, aufgrund der multinationalen Zusammensetzung der JSTs 3. Handbuch im Intranet veröffentlichen und Schulungen durchführen, um die Kontrollziele und Schlüsselkontrollen an alle Stakeholder zu kommunizieren und die Akzeptanz für das IKS bei allen Beteiligten zu steigern. 4. Schlüsselkontrollen regelmäßig überprüfen (Test of Design und Test of Operational Effectiveness). 4. Ergebnisse der Überprüfung der Schlüsselkontrollen für den jeweiligen Fachbereich veröffentlichen. Die Diskussion der Ergebnisse erhöht bei allen Stakeholdern die Wahrnehmung, wie wichtig das IKS ist. Dieser Schritt legt den Grundstein, um das IKS für SREP zu etablieren. /.. Seite 6 von 8

7 Es empfiehlt sich, die vier Schritte durch die Interne Revision begleiten zu lassen. Dies gewährleistet die Einhaltung der SREP-Anforderungen von Beginn an. Bei der Umsetzung kann auf die Erfahrungen aus der Finanzberichterstattung zurückgegriffen werden Viele Elemente der hier beschriebenen Schritte sind bereits in den Prozessen im Rechnungswesen und bei der Erstellung des Jahresabschusses implementiert. Zentrale Aufgabe unter SREP ist es, diese Prozesse auf die gesamte Bank auszuweiten. Um das IKS erfolgreich auf alle Stakeholder auszuweiten, sollte die Umsetzung von vier zentralen Fragen 3 ausgehen: 1. Was sind die Schlüsselrisiken der identifizierten Schlüsselprozesse? 2. Welche Schlüsselkontrollen sind für die Schlüsselrisiken bereits implementiert? 3. Wie werden die Schlüsselkontrollen überprüft (Test of Design und Test of Operative Effectiveness)? 4. Wie wird mit identifizierten Schwachstellen bei Schlüsselkontrollen umgegangen? Ein Teil der SREP-Anforderungen an das IKS ist bereits durch die MaRisk bekannt. Die besonderen Funktionen, wie Risiko-Controlling- Funktion oder Compliance-Funktion oder Interne Kontrollprozesse in der Finanzberichterstattung wurden bereits in den vergangen Jahren organisatorisch verankert. Auf Basis der genannten Fragen können viele der im Rechnungswesen etablierten Anforderungen auf das gesamte Institut ausgeweitet werden. 3 Vgl. Kredl, T. (2015) Praxisbericht Kontrolltests als Grundlage für die Bewertung der Angemessenheit und Effektivität des IKS, in Banken-Times Spezial, Juni 2015, S Fazit SREP kommt mit großen Schritten auf alle Banken zu. Bereits 2015 wurden die Umsetzungskonzepte in der Jahresabschlussprüfung beurteilt. Für die Aufsicht ist ein institutsweit etabliertes IKS ein zentrales Element, um die Wirtschaftlichkeit und Überlebensfähigkeit der Bank nachhaltig zu sichern. Aus diesem Grund ist die Re-Kalibrierung des IKS auf Ebene der Gesamtbank ein Schlüsselelement zur erfolgreichen SREP-Beurteilung. Ein Self-Assessment identifiziert die notwendigen Schlüsselkontrollen. Die Ergebnisse des Self-Assessments sollten in einer Risikolandkarte aufbereitet und an die betroffenen Abteilungen kommuniziert werden. Dies macht den Prozess transparent und steigert die Akzeptanz für das IKS. Kernelement ist die Verzahnung der einzelnen IKS-Elemente in einem Handbuch und die regelmäßige Überprüfung des IKS-Prozesses. Die Aufsicht wird vor allem auf die Dokumentation der Kontrollen, Rollen und Verantwortlichkeiten in einem zentralen Handbuch achten. Dies rückt die inhaltliche Konsistenz in den Vordergrund. Um diese zu gewährleisten kann beispielsweise eine zentrale Koordinationsstelle geschaffen werden, die auch mit der Aufsicht kommuniziert. Die Transparenz der Rollen und Verantwortlichkeiten im überarbeiteten IKS sowie deren revisionssichere Dokumentation kann mit Hilfe der RACI-Matrix sichergestellt werden Da viele SREP-Anforderungen an das IKS bereits aus der Finanzberichterstattung bekannt sind, können Banken auf die Erfahrungen der Finance-Abteilung zurückgreifen. Diese vordergründige Sicherheit darf nicht über die Komplexität einer institutsweiten Re-Kalibrierung des IKS hinwegtäuschen. Die Verzahnung des IKS mit allen Bereichen der Bank ist eine enorme /.. Seite 7 von 8

8 Herausforderung. Die aktive Kommunikation der Ergebnisse des Risk-Self-Assessment sowie der Überwachung der Schlüsselkontrollen gewährleisten, dass alle Mitarbeiter und alle Vertreter des Aufsichtsgremiums das IKS akzeptieren. Mit dem hier gezeigten vierstufigen Vorgehen können die SREP-Anforderungen an das IKS erfolgreich umgesetzt werden. Da das IKS der Grundstein zu einer guten SREP-Beurteilung ist, können Maßnahmen aufgrund einer schlechten SREP-Beurteilung, wie etwa höhere Eigenkapitalanforderungen, vermieden werden. Ihre Ansprechpartner Dr. Selvam Dhamotharan Senior Manager Andreas Bruckner Consultant Wilhelm-Leuschner-Str Frankfurt Telefon: Mobil: Wilhelm-Leuschner-Str Frankfurt Telefon: Mobil: PPI AG Die PPI AG ist seit 1984 erfolgreich für die Finanzbranche tätig in den Geschäftsfeldern Consulting, Software Factory und Electronic-Banking-Produkte. Im ebanking bietet PPI wirtschaftliche Standardprodukte für die sichere Kommunikation zwischen Kunde und Bank. Das Consulting umfasst strategische, bankfachliche und IT-Beratung. In der Software Factory stellt PPI durch professionelle Vorgehensweise eine hohe Qualität und absolute Budgettreue sicher. Kontaktinformationen PPI AG Informationstechnologie Moorfuhrtweg 13 D Hamburg Tel.: Fax: Seite 8 von 8