EFFIZIENTES KONTROLLSYSTEM ALS INTEGRIERTER BESTANDTEIL DER CORPORATE GOVERNANCE. 7. November 2017 SWISS GRC DAY Daniel Fuchs, Leiter Risk Control

Größe: px

Ab Seite anzeigen:

Download "EFFIZIENTES KONTROLLSYSTEM ALS INTEGRIERTER BESTANDTEIL DER CORPORATE GOVERNANCE. 7. November 2017 SWISS GRC DAY Daniel Fuchs, Leiter Risk Control"

Hedwig Fertig
vor 6 Jahren
Abrufe

1 EFFIZIENTES KONTROLLSYSTEM ALS INTEGRIERTER BESTANDTEIL DER CORPORATE GOVERNANCE 7. November 2017 SWISS GRC DAY Daniel Fuchs, Leiter Risk Control

2 DIE STARKE BANK IM THURGAU FREUNDLICH UND SYMPATHISCH Seite 2

3 DIE STARKE BANK IM THURGAU FREUNDLICH UND SYMPATHISCH Gründung 1871 Kanton Thurgau Staatsgarantie Kantonalbanken Top 10 Kundinnen und Kunden Bilanzsumme Geschäftserfolg 180 Tsd Mrd Mio. Geschäftsstellen 29 Hauptsitz Weinfelden Seite 3

4 DIE STARKE BANK IM THURGAU DICHTE PRÄSENZ Seite 4

5 RISIKOMANAGEMENT UND IKS FRAMEWORK Seite 5

6 RISIKOMANAGEMENTPROZESS RISIKEN ERFASSEN UND STEUERN Seite 6

7 INTERNE KONTROLLEN COSO FRAMEWORK COSO (Committee of Sponsoring Organizations of the Treadway Commission) gilt als Standardmodell für ein Internes Kontrollsystem (IKS) im Finanzbereich. Ziele IKS-Prozess Risikobeurteilung Festlegung Kontrolle Durchführung Kontrolle Überwachung Berichterstattung Geschäftsbereich 1 Geschäftsbereich 2 Geschäftsbereich 3 Organisation Überprüfung Seite 7

8 INTERNE KONTROLLEN FRAMEWORK 3 VERTEIDIGUNGSLINIEN Internes Kontrollsystem (IKS) Risikomanagement Risikokontrolle Audit Führungskontrollen unabhängige Kontrollen Organisatorische Kontrollen Prozessbeschreibungen Checklisten Weisungen Funktionentrennung Instanzengliederung Stellvertretungen Technische Kontrollen automatisierte Berechnungen und Kontrollen systemunterstützte Funktionentrennung (Mehraugenprinzip) Sicherheitsvorrichtungen Controlling Accounting Management Reports Budget-Abweichungen Risk Control Risikoanalysen Limiten und Schwellen Führungskontrollen Compliance Einhaltung Weisungen und Regulatorien Interne Revision Externe Revision Externe Fachleute und Berater First Line of Defense Second Line of Defense Third Line of Defense Seite 8

9 RISIKOKONTROLLE UND IKS ALS INTEGRIERTER ANSATZ HERAUSFORDERUNGEN FÜR DAS REDESIGN BEI DER TKB Seite 9

10 AUSGANGSLAGE HERAUSFORDERUNGEN AN DAS FRAMEWORK IKS war durch die Revision geprägt viele punktuelle Führungskontrollen keine Fachverantwortung innerhalb TKB kein systematischer, risikobasierter Ansatz A Es wurden kaum Kontrollen gelöscht oder überarbeitet Per 2016 bestanden bei der TKB über Führungs-Kontrollen pro Jahr Ein Teil der Kontrollen war überaltert (nicht mehr durchführbar) Ein Teil der Kontrollen war weder wirksam noch angemessen B Seite 10

11 AUSGANGSLAGE HERAUSFORDERUNGEN AN DAS IT SYSTEM Prüfumfang und Dokumentation wurden unterschiedlich interpretiert Kontrollbeschreibungen waren teilweise wenig präzise Kontrollergebnis wurde teilweise nicht festgehalten Anforderung an Dokumentation wurde kaum beschrieben Fehlende Möglichkeit für systematische, elektronische Ablage C Überwachung und Kontrolle der Führungskontrollen schwierig Spezialistentool schwierig in der Anwendung Fehlende übersichtliche Dashboards und Listen Fehlende Eskalationsmöglichkeiten mit Workflows Überwachung und Mahnung bei Nicht-Durchführung manuell D Seite 11

12 RISIKOKONTROLLE UND IKS ALS INTEGRALER ANSATZ A Fachverantwortung für Framework Führungskontrollen (Überwachung IKS) seit 2016 bei Risk Control Risikobasierter Ansatz für neue Führungskontrollen Überprüfung Wirksamkeit und Angemessenheit im Rahmen der Risk Assessments jährlicher Prozess zur Überprüfung der Führungskontrollen bezüglich Durchführbarkeit Überwachung bei Nicht-Durchführung der Kontrollen Überwachung bei negativen Kontrollergebnissen Berichterstattung Beratung der Geschäftsleitung und der Kontrollverantwortlichen Tool-Verantwortung / Support Seite 12

13 RISIKOKONTROLLE UND IKS ZUSAMMENHANG RISIKO IKS - BCM A Inhärentes Risiko Massnahmen Kontrollen Rest-Risiko Reputations- Risiko Führungskontrollen BCM IKS Seite 13

14 RISIKOKONTROLLE UND IKS ÜBERPRÜFUNG FÜHRUNGSKONTROLLEN Task Force zur Überprüfung (2016/2017) B C sämtliche Führungskontrollen im Vertrieb wurden durch eine Expertengruppe überprüft und inhaltlich angepasst oder gelöscht Reduktion der Führungskontrollen von über p.a. auf rund p.a. Optimierung der Kontrolllisten wird angestrebt (Projekt 2018) Aussagekräftige übersichtliche Kontrolllisten Möglichkeiten zur elektronischen Verarbeitung der Listen (Reduktion Papier) Ständiger Prozess zur Überprüfung Überprüfung Wirksamkeit und Angemessenheit im Rahmen der Risk Assessments jährlicher Prozess zur Überprüfung der Führungskontrollen Vorschlagswesen bezüglich Änderungen von Führungskontrollen Seite 14

RISIKOKONTROLLE UND IKS ANSCHAFFUNG GRC TOOLBOX PRO Nutzung Modul IKS (seit Juni 2017) C D Übersichtliche Aufgaben / Dashboards / Listen Übersichtliche Kontrollaufgaben (Kontrollbeschrieb,

15 RISIKOKONTROLLE UND IKS ANSCHAFFUNG GRC TOOLBOX PRO Nutzung Modul IKS (seit Juni 2017) C D Übersichtliche Aufgaben / Dashboards / Listen Übersichtliche Kontrollaufgaben (Kontrollbeschrieb, Kontrollbewertung) Deutliche Erhöhung der Akzeptanz durch Anwender Möglichkeit für elektronische Dokumentation mit Anhängen Erinnerung / Mahnung durch Tool bei Nicht-Durchführung Eskalationsprozess bei negativen Kontrollergebnissen Revisionstauglichkeit durch Logeinträge Nutzung Modul Risikomanagement (seit 2017) Integration Risikoportfolio (Ablösung bisherige Access-DB) Seite 15

16 GRC TOOLBOX PRO SEIT JUNI 2017 BEI DER TKB Benutzerfreundliche Dashboards und Listen Automatisierte s (Aufforderung, Erinnerung, Mahnung) Kontrollbewertung Seite 16

17 GRC TOOLBOX ÜBERSICHTLICHER MIT DASHBOARDS Seite 17

18 GRC TOOLBOX AUTOMATISIERTE S 0 Der Kontrollbeauftragte erhält am Tag der Kontrolle ein Mail mit der Aufforderung die Kontrolle bis zum Tag X durchzuführen. X +2 Die Durchführung der Kontrolle muss spätestens am Tag X im Tool bestätigt werden. 2 Tage nach dem gesetzten Termin erhält der Kontrollbeauftragte eine Erinnerung, falls die Kontrolle nicht erledigt wurde. +7 Weitere 7 Tage später erhält der Kontrollbeauftragte, der Lininenvorgesetzte sowie Risk Control eine Mahnung per Mail Seite 18

19 GRC TOOLBOX KONTROLLBEWERTUNG 1 Kontrolle durchgeführt, keine Mängel festgestellt 2 Kontrolle durchgeführt, Mängel festgestellt, keine oder geringe Auswirkungen 3 Kontrolle durchgeführt, Mängel festgestellt, grössere Auswirkungen 4 Kontrolle durchgeführt, Mängel festgestellt, schwerwiegende Auswirkungen 0 Kontrolle nicht durchführbar Seite 19

20 GRC TOOLBOX ABLAUF KONTROLLBEWERTUNG Seite 20

21 EFFIZIENTES KONTROLLSYSTEM ALS INTEGRIERTER BESTANDTEIL DER CORPORATE GOVERNANCE Seite 21

Das Projekt der TKB hat dazu beigetragen, dass Führungskontrollen bewusster und mit höherer Qualität

22 EFFIZIENTES KONTROLLSYSTEM TEIL DES ERFOLGS DER Einfache, wirksame und angemessene IKS-Prozesse tragen zum Erfolg bei. IKS macht nicht wirklich Freude, verhindert aber manchen Schaden und Ärger. Das Projekt der TKB hat dazu beigetragen, dass Führungskontrollen bewusster und mit höherer Qualität durchgeführt werden. Die Führungskräfte setzen sich für den Verbesserungsprozess und ein gutes IKS ein. Seite 22

23 Kontaktdaten Thurgauer Kantonalbank Daniel Fuchs Leiter Risk Control

Ähnliche Dokumente

Integrierte und digitale Managementsysteme

MEET SWISS INFOSEC! 23. Juni 2016 Integrierte und digitale Managementsysteme Besfort Kuqi, Senior Consultant, Swiss Infosec AG Managementsysteme im Trendwechsel Integration Digitalisierung [Wieder]herstellung