Das interne Kontrollsystem – für Finanzdienstleister Pflicht, für IT-Dienstleister Kür
Im Banken- und Versicherungsumfeld ist ein internes Kontrollsystem Pflicht – jedoch bringt es auch zahlreiche Vorteile, wenn nicht nur das Institut selbst, sondern auch der IT-Dienstleister eines vorweisen kann. In diesem Beitrag möchte ich Ihnen zeigen, welche Vorteile dieser Case für Sie bringt und worauf Sie speziell bei diesem Thema achten sollten. Doch zunächst schauen wir uns noch einmal an, was ein internes Kontrollsystem (IKS) überhaupt ist und warum es so wertvoll für Ihr Institut ist.
Begriff und Aufgaben eines IKS
Das Institut der Wirtschaftsprüfer in Deutschland (IDW) definiert ein Internes Kontrollsystem als die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements…
- … zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen),
- … zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie
- … zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.
Dabei beschränkt sich ein IKS nicht nur auf das Rechnungswesen, sondern erstreckt sich über die Gesamtheit aller Geschäftsprozesse. Je nach Ausrichtung können diese auf Wirksamkeit oder Wirtschaftlichkeit geprüft werden. Daher hat ein IKS in der Regel folgende Bestandteile:
- Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und
- Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem).
In der reinen Lehre beinhaltet das IKS prozessintegrierte (organisatorische Sicherungsmaßnahmen und Kontrollen) und prozessunabhängige Überwachungsmaßnahmen (durch Dritte).
Organisatorische Sicherungsmaßnahmen können automatisiert durch Maßnahmen erfolgen, die sowohl in die Aufbau- als auch die Ablauforganisation eines Unternehmens integriert sind und ein bestimmtes Sicherheitsniveau gewährleisten sollen (z.B. Funktionstrennung, Zugriffsbeschränkungen im IT-Bereich und Zahlungsrichtlinien).
Kontrollen erfolgen durch Maßnahmen, die in den Arbeitsablauf integriert sind. Erfolgen die Kontrollen durch Überwachungsträger, so können diese sowohl für das Ergebnis des überwachten Prozesses als auch für das Ergebnis der Überwachung verantwortlich sein. Kontrollen sollen vor allem die Wahrscheinlichkeit für das Auftreten von Fehlern in den Arbeitsabläufen vermindern bzw. aufgetretene Fehler aufdecken (z.B. Überprüfung der Vollständigkeit und Richtigkeit von empfangenen und weitergereichten Daten, manuelle Soll-Ist-Vergleiche und programmierte Plausibilitätsprüfungen).
Prozessunabhängige Maßnahmen können beispielsweise durch die interne Revision erfolgen, die innerhalb eines Unternehmens Strukturen und Aktivitäten prüft und beurteilt. Dieser unternehmensinterne Überwachungsträger ist weder in den Arbeitsablauf integriert noch für das Ergebnis des überwachten Prozesses verantwortlich.
Vorschriften für ein IKS im regulierten Banken- und Versicherungsumfeld
Die wohl bekannteste Vorgabe zum IKS ist im Sarbanes-Oxley Act (SOX) zu finden. Innerhalb der EU sind viele Elemente dieser US-amerikanischen gesetzlichen Regelung in EU-Vorgaben eingeflossen und mit der 4., 7. und 8. EU-Richtlinie umgesetzt worden. Diese Harmonisierung macht auch vor dem Hintergrund Sinn, dass sich alle europäischen Unternehmen, die an einer US-Börse gelistet sind, den SOX-Regeln unterwerfen müssen.
Zum IKS schreibt die BaFin in einem Artikel aus 2018: „Auf nationaler Ebene lässt sich die Verpflichtung zur sorgfältigen und ordnungsgemäßen schriftlichen Dokumentation aller geschäftswesentlichen Vorgänge einschließlich des rechnungslegungsbezogenen IKS bereits aus der allgemeinen Sorgfaltspflicht und Verantwortlichkeit der gesetzlichen Vertreter nach § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG herleiten, wobei es sich dabei noch nicht einmal um Neuerungen des KonTraG oder anderer aktueller Gesetzesreformen handelt. Die Tendenz zum IKS verstärkt sich weiter durch die Transformation von europarechtlichen Vorgaben wie zuletzt das Bilanzrechtsmodernisierungsgesetz (BilMoG)."
Interne Kontrollsysteme sollen aufsichtsrechtliche Verstöße rechtzeitig identifizieren und analysieren, um innerhalb des Instituts möglichst frühzeitig Gegenmaßnahmen einleiten zu können. Sie bestehen in der Regel aus den eigenverantwortlichen Kontrollen der Geschäftsprozesse durch die Geschäftsbereiche der Institute (First-Level-Kontrollen), der Überwachung durch die Compliance-Funktion (Second-Level-Kontrollen) und den Prüfungen durch die Interne Revision (Third-Level-Kontrollen).
Rechtliche Grundlagen
"Rechtliche Grundlage für die Einrichtung eines internen Kontrollsystems in den Instituten ist § 25a Absatz 1 Satz 1 Kreditwesengesetz (KWG). Dieser besagt, dass ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen muss. Hierzu gehört nach § 25a Absatz 1 Satz 3 Nr. 3 KWG neben einem angemessenen und wirksamen Risikomanagement auch die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision. Wertpapierdienstleistungsunternehmen müssen diese organisatorischen Pflichten gemäß § 80 Absatz 1 WpHG ebenfalls einhalten.
Die Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten für Wertpapierdienstleistungsunternehmen (MaComp) greifen das Thema von internen Kontrollen der operativen Geschäftsbereiche an mehreren Stellen ebenfalls auf. Hierbei sind zunächst die operativen Bereiche für die Einhaltung der Vorschriften und die Durchführung von Kontrollen – in Form von Selbstkontrollen – verantwortlich (AT 6 Nr. 2 MaComp). Die besonderen Anforderungen der MaComp übertragen der Compliance-Funktion dann unter anderem eine Überprüfungspflicht, ob die Fachabteilungen die in den Organisations- und Arbeitsanweisungen aufgeführten Kontrollhandlungen regelmäßig und ordnungsgemäß ausführen. Hierzu berücksichtigt die Compliance-Funktion auch die Prüfungen der Risikomanagementfunktion, der Internen Revision, des Controllings und anderer Kontrollfunktionen im Bereich der Wertpapierdienstleistungen (BT 1.2.1.2 Nr. 6 MaComp).“ (BAFIN / Publikationen & Daten vom 15.02.2018 / Jakobi, Krische und Manns)
Mehrwert und Grenzen eines IKS für IT-Dienstleister von Kunden aus dem regulierten Umfeld
Während ein IKS für regulierte Unternehmen verpflichtend ist, ist es für deren Dienstleister zunächst optional. Die Institute sind jedoch verpflichtet, ihre Dienstleister zu kontrollieren. Dafür haben sie Kriterienkataloge entwickelt, die die Dienstleistung auf Auslagerung / Ausgliederung (wichtig / wesentlich) bewertet und risikoorientierte Prüfungshandlungen definiert. Hat ein IT-Dienstleister mehrere regulierte Kunden, würden diese durch ihre vorgeschriebenen Prüfungshandlungen aus Dienstleistersicht den Dienstleistungsbetrieb unverhältnismäßig oft durch Kontrollen und Audits beeinträchtigen.
Daher bietet es sich auch für den Dienstleister an, ein IKS aufzusetzen, mit dessen Hilfe er den ordnungsgemäßen Betrieb nachweisen kann. Als Prüfungsnachweis gegenüber dem regulierten Kunden genügt der oben beschriebene Dreiklang aus First-, Second- und Third-Line jedoch nicht. Vielmehr muss das IKS durch eine unabhängige Prüfinstanz testiert werden. Diese erstellt einen Prüfbericht, der an das regulierte Institut versendet und von diesem dem eigenen Wirtschaftsprüfer durch Feststellung eines ordnungsgemäßen Jahresabschlusses zur Verfügung gestellt wird. Diese Prüfungstestate entbinden das regulierte Institut nicht vollständig von der Verpflichtung, den Dienstleister zu kontrollieren, kann (und soll) aber als Grundlage dafür dienen, die Prüfungshandlungen auf ein verträgliches Maß zu reduzieren.
Welche unterschiedlichen Prüfungsstandards gibt es?
Die International Federation of Accountants (IFAC) hat mit ihrem International Standard of Assurance Engagements 3402 (ISAE 3402) den am weitest verbreiteten Prüfungsstandard veröffentlicht. Dieser beschreibt die Prüfung der internen Kontrollsysteme bei Dienstleistungsunternehmen und zielt darauf ab, das Prüfergebnis Abschlussprüfern von beauftragenden Unternehmen zur Verfügung zu stellen.
Der von deutschen Wirtschaftsprüfern oftmals angewandte Standard „Institut der deutschen Wirtschaftsprüfer Prüfungsstandard 951“ (IDW PS 951 basiert auf dem ISAE 3402 Standard und ist an diesen soweit angepasst, dass ein PS 951 Bericht auch als ISAE 3402 Bericht und umgekehrt verwendet werden kann).
Bei der Art der Prüfung unterscheidet man grundsätzlich zwischen einer Design- und einer Wirksamkeitsprüfung. Bei einer Design- oder auch Typ1- genannten Prüfung wird lediglich überprüft, ob die erforderlichen Kontrollen implementiert sind. Im Gegensatz dazu wird bei einer Wirksamkeits- oder Typ2-Prüfung zusätzlich nachvollzogen, ob die implementierten Kontrollen über den gesamten Prüfungszeitraum wirksam waren. Dies geschieht mit Nachweisen, die den Prüfern von den durchführenden Facheinheiten zur Verfügung gestellt werden. In der Regel werden die Institute eine Typ2-Prüfung vom Dienstleister einfordern, da diese Art der Prüfung wesentlich aussagekräftiger ist als eine Typ1-Prüfung.
Alle Prüfstandards haben gemeinsam, dass auch Forderungen an das Berichtswesen gestellt werden. So ist beispielsweise gefordert, dass Aussagen zu den einzelnen Kontrollzielen, den Kontrollen selbst sowie zu den im Rahmen der Prüfungstätigkeiten aufgedeckten Feststellungen getroffen werden.
Der Bericht über die Prüfung des internen Kontrollsystem des Dienstleisters wird den beauftragenden Organisationen und deren Wirtschaftsprüfern zur Verfügung gestellt und kann von diesen für deren ordnungsgemäßen Jahresabschluss verwendet werden. Dazu kombiniert der Wirtschaftsprüfer des beauftragenden Instituts die Ergebnisse des ausgelagerten Dienstleistungsanteils (den er über den Prüfbericht erhält) mit den Ergebnissen eigener Prüfungshandlungen (die er selbst im Institut vornimmt) und kann auf diese Weise den Aufsichtsbehörden gegenüber Compliance mit den einschlägigen Anforderungen nachweisen.
Dienstleistungsbezogenes IKS
Selbstverständlich verursachen die Einrichtung und der Betrieb eines internen Kontrollsystems nicht unerhebliche Aufwände bei den Dienstleistern. Kompensiert werden diese durch die Tatsache, dass ein ordnungsgemäß betriebenes IKS die einzige Möglichkeit darstellt, Prüfungsaktivitäten der beauftragenden Institute beim Dienstleister signifikant zu reduzieren. Darüber hinaus bietet ein gut geplantes und sinnvoll umgesetztes IKS erheblichen Mehrwert für den Dienstleister:
- Ein IKS mit sinnvollen Prüfpunkten kann auch zur Messung von Key Performance Indikatoren (KPIs) verwendet werden. Dadurch ergeben sich Potenziale für Prozessoptimierung und zur Identifizierung von operativen Schwachstellen.
- Ein gelebtes und sinnvoll gestaltetes IKS fördert das Qualitätsbewusstsein bei den Mitarbeitern und trägt dazu bei, dass Kontrollen nicht als Gängelung und Misstrauensvotum, sondern vielmehr als selbstverständliches Hilfsmittel zur Qualitätssicherung betrachtet werden.
- Ein regelkonformes IKS ist nicht nur elementare Voraussetzung dafür, überhaupt als Dienstleister für regulierte Unternehmen in Frage zu kommen, sondern kann auch eine Hilfe sein, wenn es darum geht, sich Mittel am Finanzmarkt zu besorgen.
- Ein sauber dokumentiertes IKS kann auch für die Dokumentation von Prozessen verwendet werden.
Wie sieht ein gutes IKS aus? Vertragliche Aspekte
In der Praxis sollten aus Dienstleistersicht zunächst einmal die vertraglichen Rahmenbedingungen mit dem beauftragenden Institut geklärt werden. Dabei geht es in erster Linie um den Leistungsumfang. Verbunden damit muss die Fragestellung sein, welche regulatorischen Rahmenbedingungen zur Anwendung kommen müssen. Eine Anforderung wie „Erfüllt alle gesetzlichen Anforderungen“ ist dabei nicht besonders hilfreich. Wesentlich zielführender. sind Formulierungen wie „Compliance mit MaRisk in Kombination mit BAIT und SOX“. Mit diesen Rahmenbedingungen wird es dem Dienstleister möglich, erforderliche IKS-Prüfpunkte in den geforderten Kontrollbereichen aufzusetzen.
Standardisierung
Bei den Prüfpunkten sollte sich der Dienstleister vom Kunden nicht zu viel Detailtiefe vorschreiben lassen, denn die betriebswirtschaftlich sinnvolle Variante ist immer diejenige, nur eine Version des IKS zu betreiben, die für alle Kunden des Dienstleisters gültig ist.
Automatisierung
Interne Kontrollsysteme, die nur auf Basis von gesetzlichen Vorgaben entwickelt wurden, aber die Praxis des Tagesbetriebs außer Acht lassen, verursachen immense Aufwände bei der Lieferung von Nachweisen und werden von den Fachbereichen als Belastung empfunden. Daher muss es das Ziel sein, die Nachweise auf Knopfdruck zur Verfügung stellen zu können. Das manuelle Erstellen von Nachweisdokumenten ist für alle Beteiligten zeitaufwändig, frustrierend und fehlerbehaftet. Moderne Toollösungen bieten oftmals per default bereits automatisiert erstellte Nachweise an. Wo dies nicht möglich ist, sollten Nachweise auf das notwendige Minimum beschränkt werden.
Prozessintegration und KPI-Kompatibilität
So abstrakt die gesetzlichen Vorgaben oftmals erscheinen mögen, so folgen sie genauso wie ITIL oder COBIT einem good practice Standard. Daher zieht deren Integration in die Prozesswelt eines IT-Dienstleisters, der nach ITIL-Prozessen arbeitet, keine signifikanten Änderungen, sondern vielmehr überschaubare Anpassungen nach sich. Prozesse, deren Qualität bisher über KPIs gemessen wurden, werden nun über KPIs plus IKS-Prüfpunkte gemessen. Im Idealfall sind KPIs und Prüfpunkte sogar identisch. Um KPIs zu messen, haben Unternehmen im Normalfall bereits Methoden zur automatisierten Bereitstellung von KPIs entwickelt. Diese können selbstverständlich auch für die Bereitstellung von IKS-Nachweisen genutzt werden. Sollte dies nicht möglich sein, ist es auf alle Fälle gut investierte Zeit, den Prozess vor Wirksamwerden des IKS zusammen mit einem Prozessarchitekten und allen Stakeholdern einer Überprüfung und Optimierung zu unterziehen. Nicht optimierte und in den Prozess integrierte IKS-Prüfpunkte verursachen wiederkehrende Mehraufwände, die auf der Zeitachse nur mit erheblichem Mehraufwand modifiziert werden können, da Anpassungen am IKS in der Regel nicht ohne Abstimmung mit den Kunden erfolgen dürfen.
Erfolgreiches IT-Outsourcing für regulierte Unternehmen
Ausschreibungsverfahren – Providerauswahl – Vertragswerke
Der Erfolg des Outsourcing-Vorhabens hängt maßgeblich von den Vereinbarungen ab, die während der Vertragsverhandlungen zwischen dem auslagernden Unternehmen und dem Service Provider geschlossen werden. Daher ist es von zentraler Bedeutung, dass Sie sich ausführlich über den richtigen Provider und die richtige Zusammenstellung der Vertragswerke informieren. Wir haben die wichtigsten Informationen für Sie in diesem Whitepaper zusammengestellt.