Renaissance des Internen Risiko- und Kontrollsystems

Ergebnisse einer Benchmark Studie. Das Interne Risiko- und Kontrollsystem (IKS) ist

unersetzlich. Mit einer reinen Erfüllung von regulatorischen Anforderungen ist es im

Zeitalter der Digitalisierung jedoch nicht getan. Neben der Erhöhung der Eff ektivität

zur Reduktion von operationellen Risiken, stehen nun die Verbesserung der Wirtschaftlichkeit, der sinnvolle Einsatz einer GRC-Software, eine Erhöhung der Effizienz und Geschwindigkeit mit Robotic Process Automation und die Integration der GRC-Komponenten im Vordergrund. Den Status Quo der 8 IKS-Dimensionen zeigt eine aktuelle

Benchmark-Studie von STRANGE Consult in der Finanzdienstleistungsbranche.


Die Finanzdienstleistungsunternehmen haben erkannt, dass das Management von operationellen Risiken auch nach mehreren Jahren der Einführung eines IKS eine zentrale Bedeutung hat, um die Existenz und die Profitabilität eines Unternehmens sicherzustellen. Skandale in der Bankenbranche der vergangenen Jahre, wie Libor-Manipulationen oder Geldwäsche im großen Stil haben das Ansehen und Image beschädigt und hatten Strafzahlungen in Milliardenhöhe zur Folge.

Es ist ein smartes Zusammenspiel von OpRisk-Instrumenten und darüber hinaus von den Governance Risk und Compliance Disziplinen (kurz GRC-Disziplinen) erforderlich, um auf die immer komplexer werdenden Risiken zu reagieren, die insbesondere die Digitalisierung mit sich bringt. Eine große Herausforderung ist es zudem, z. B. Emerging- und Kumul-Risks rechtzeitig zu erkennen. Um diese Risiken effizient zu managen und den steigenden Kostendruck zu bewältigen, sind folgende Fragestellungen sehr interessant:

  • „Wie ist der Status quo meines Unternehmens bzgl. den 8 IKS-Dimensionen?“

  • „Was kann von anderen Branchen oder Unternehmen gelernt werden und wie können die Erkenntnisse daraus vorteilhaft für die eigene Wettbewerbsstärke genutzt werden?“

Aufschluss darüber gibt die branchenübergreifende IKS Benchmark-Studie von STRANGE Consult, die zusammen mit dem Institut für Compliance & Corporate

Governance der Rheinische Fachhochschule Köln – University of Applied Sciences – erstellt wurde. Dazu wurden Top-Führungskr.fte, wie Mitglieder der Geschäftsleitung, Chief Financial Officer, Chief Risk Officer zum Status quo ihres IKS und zu Best Practices anhand eines strukturierten IKS-Modells befragt.


Was in der Praxis jetzt schon möglich ist, sollten Best Practices in den Branchen Banken, Versicherungen, Kapitalanlagegesellschaften und Leasinggesellschaften zeigen. Mit den Ergebnissen werden Finanzdienstleister in die Lage versetzt, bestimmte IKS-Dimensionen zu optimieren, wenn diese nicht aktuellen Standards entsprechen und so das Versagen der

internen Kontrollen zu verhindern.


Strategische Bedeutung und Rentabilität von IKS

Im Folgenden wird kurz auf die strategische Bedeutung von IKS und seine Rentabilität eingegangen sowie das der Untersuchung zugrundeliegende IKS-Modell erläutert.


Strategisches IKS

Ein IKS wurde in vielen Fällen eingeführt mit dem Fokus, die relevanten regulatorischen

Anforderungen (z. B. MaRisk, MaRisk VA, Solvency II) zu erfüllen. Diese Projekte wurden häufig seitens Wirtschaftsprüfungsgesellschaften begleitet, die auch diese Sichtweise geprägt haben. Die Anforderungen an ein modernes internes Risikomanagement sind jedoch weitaus größer:

  • Das Erkennen und effiziente Mitigieren wesentlicher Risiken; Dies geschieht u. a. durch die Vernetzung zwischen den OpRisk-Instrumenten (z. B. Szenarioanalyse, Frühwarnsystem und Schadensdatenbanken), um die gesamte Risikodimension ganzheitlich zu erfassen.

  • Die Erhöhung der IKS-Wirtschaftlichkeit; Diese kann beispielsweise mit einer standardisierten und gleichzeitig flexiblen Software, automatisierten Kontrollen, um die Qualität und die Effizienz des Risikomanagements zu steigern, erreicht werden.

  • Die Reduzierung des Haftungsrisikos; Ein effizientes IKS kann auch einen strafvermeidenden bzw. strafmindernden Beitrag vor dem Hintergrund der persönlichen Haftung der Organvertreter (Aufsichtsrat, Vorstand) leisten, wie bereits diverse Gerichtsurteile gezeigt haben.

Rentabilität von IKS

Die Rentabilität von Risikomanagementbzw. IKS-Maßnahmen steigt, wenn diese auf der Grundlage einer integrierten Risikostrategie geplant werden, die die Interdependenzen der einzelnen Aktivitäten berücksichtigt. Es zeigte sich, dass eine integrierte Risikomanagementstrategie Voraussetzung für eine langfristige Sicherung von Vermögenswerten ist und deshalb positiv mit dem Unternehmenserfolg korreliert. Der Erfolg des IKS kann z. B. anhand des Rückgangs der eingetretenen OpRisk-Schäden oder -Vorfälle, der Vermeidung von Compliance-Verstößen und damit verbundenen Strafzahlungen sowie durch die Reduktion des vorgeschriebenen Risikokapitals gemessen werden. Das IKS kann demzufolge zu Einsparungen in Millionenhöhe, bei Großkonzernen in der Finanzwirtschaftsbranche sogar in Milliardenhöhe führen.


IKS-Modell

Ein umfassendes IKS-Modell bildet die Grundlage für die Analyse von Schwachstellen beim internen Risiko- und Kontrollsystem, die Entwicklung einer integrativen Risiko-Strategie und die Priorisierung von IKS-Projekten. Das folgend vorgestellte Modell war deshalb die methodische Grundlage für die branchenübergreifende IKS-Studie bei der der Umsetzungsstand und die Qualität des OpRisk-Managements dokumentiert und im Self-Assessment bewertet wurden. Die Benchmark-Studie von STRANGE Consult im Finanzdienstleistungssektor misst den Reifegrad des IKS bei 8 IKS-Dimensionen. Dabei liefert der weltweit akzeptierte Enterprise Risk Management (ERM) Standard COSO (2017)1 eine sehr solide Basis mit seinen 5 IKS-Dimensionen.


Jedoch bestand aus Sicht des Verfassers die Notwendigkeit diese Basis um die folgenden 3 zusätzlichen IKS-Dimensionen zu erweitern: IKS-Software, Integration OpRisk Instrumente und Wirtschaftlichkeit des IKS. Diese Erweiterung war erforderlich, um nicht nur die regulatorische Pflicht zu erfüllen, sondern auch im Sinne der Kür einen wirklichen Nutzen für das Unternehmen zu stiften. Es wurden folglich insgesamt 8 IKS-Dimensionen unterschieden, die sich zu einem ganzheitlichen und integrierten Ansatz ergänzen.


Die IKS-Dimensionen

Die 8 IKS-Dimensionen mit ihren Inhalten werden nachfolgend kurz beschrieben, um die Ergebnisse der Studie auf einer soliden Basis erläutern zu können.


Governance & Kultur

Diese IKS-Dimension beinhaltet die Definition von Verantwortlichkeiten und Strukturen, die Bestimmung und das Vorleben der gewünschten Risikokultur, ein klares Commitment zu den Unternehmenswerten und den Aufbau von IKS-Kompetenzen bei den Mitarbeitern im gesamten Unternehmen.


Strategie & Zieldefinition

Bei der Strategie und Zieldefinition sind folgende IKS-Themenbereiche zu beachten: Analyse des geschäftlichen Umfelds, eine schriftlich fixierte Risikostrategie, die Definition des Risikoappetits, die Überprüfung alternativer Risikostrategien und die Berücksichtigung von Risiken bei der Erreichung von Geschäftszielen.


Performance

Unter der Überschrift Performance ist der inhaltliche Fokus des IKS abgebildet. Dazu zählen die Risiko Identifikation, das Risiko Assessment, die Wirksamkeit von Kontrollen, die Priorisierung von Risiken, die systematische Implementierung von Risikomaßnahmen und die Entwicklung einer Portfolio-Sichtweise.


Review & Revision

Diese IKS-Dimension beschäftigt sich mit der Unterstützung des IKS mit Hilfe von Informationen & Technik, der Kommunikation von Risikoinformationen, den Reports bzgl. Verbesserungspotenzialen und Risiken und Kontrollen.


IKS-Software

Die Qualität der IKS-Software zeichnet sich vor allem durch ihren Abdeckungsgrad des gesamten IKS-Prozesses, ihrer Nutzerfreundlichkeit und Flexibilität aus, weshalb diese Aspekte untersucht wurden.


Integration OpRisk-Instrumente

Von Bedeutung ist die Berücksichtigung der vorhandenen Abhängigkeiten und Synergien zwischen den einzelnen OpRisk-Instrumenten, also v. a. zwischen IKS und Information Security Management, der internen Schadensdatenbank, Key Risk Indicators und Internal Audit. Hier geht es also um eine effektive und strukturierte interdisziplinäre Zusammenarbeit.


Wirtschaftlichkeit des IKS

Wie wirtschaftlich das IKS ist, zeigt sich schließlich am Automatisierungsgrad und dem Verhältnis Aufwand zu Nutzen.

Abb.1: Die einzelnen IKS-Dimensionen im Überblick


Überblick der Studienergebnisse

Die Ergebnisse der Benchmark Studie waren sehr aufschlussreich und bestätigen die gemachten Hypothesen eindrucksvoll. Betrachtet man alle 8 untersuchten IKS-Dimensionen zeigen sich durchweg Verbesserungspotenziale. 100 Prozent war die Messlatte für die teilnehmenden Unternehmen. Es wurde im Mittel jedoch nur ein Reifegrad von 68 Prozent

erreicht.

Während zumeist eine IKS-Strategie und IKS-Ziele vorhanden sind (78 Prozent), besteht bei den IKS-Dimensionen Wirtschaftlichkeit (61 Prozent), IKS-Software (62 Prozent) und Information, Kommunikation & Reporting (65 Prozent) sowie Integration der OpRisk Instrumente (67 Prozent) ein gravierender Nachholbedarf. Das waren im Wesentlich genau die Themen, die bisher noch nicht so sehr im Fokus standen, bei denen es sich jetzt lohnt aktiv zu werden. Zusätzlichen Aufschluss über die Hintergründe, Gaps und den Handlungsbedarf sowie Best Practices liefert die Analyse der einzelnen IKS- Dimensionen im Detail. Die Wirtschaftlichkeit des IKS ist das Thema mit dem größten Defizit (Reifegrad

61 Prozent). Hier drängt sich die Frage auf: „Woran liegt das und wie kann man dem begegnen?“. Ursächlich ist, dass das Verhältnis von Aufwand zu Nutzen schlecht ist und ein sehr geringer Automatisierungsgrad vorliegt. Der Aufwand des IKS kann gewiss durch schlanke Arbeitsabläufe, eine Fokussierung auf die wesentlichen Prozesse, Risiken und

Kontrollen reduziert werden. Es muss entschieden werden, welche komplexen Kontrollen vereinfacht werden müssen oder welche redundanten Kontrollhandlungen abgeschafft werden können. Zudem ist es ein wichtiger Erfolgsfaktor, einen möglichst hohen Automatisierungsgrad der Kontrollen zu erreichen und dabei die entstehenden Projekt kosten möglichst gering zu halten.


Abb.2: Ergebnisse - Reifegrad der IKS-Dimensionen


Je nach Kombination zwischen aufdeckenden oder präventiven und manuellen oder automatischen Kontrollen stellt man unterschiedliche Sicherheitsgrade im Sinne der Mitigation von Risiken her. Werden auf deckende Kontrollen automatisiert, erhöht sich die Sicherheit auf ein mittleres Niveau. Eine hohe Sicherheit wird erst durch automatisierte Präventivkontrollen erreicht, da diese eine sehr geringe Fehleranfälligkeit aufweisen. Ein weiterer Vorteil automatisierter Kontrollen ist das Messen der Wirksamkeit des IKS und das Reporting der Kontrollhandlungen. Denn automatisierte Kontrollen lassen sich sehr effizient auswerten. Die Automatisierung lässt sich teilweise durch eine Standard- IKS-Software erreichen, aber auch neue Wege sind hier möglich und empfehlenswert. Mit Robotic Process Automation (RPA) lassen sich Prozesse gerade im Bereich der IKS-Kontrollen effizient bearbeiten. Einfach ausgedrückt, handelt es sich bei RPA um digitale Roboter, die sich wiederholende, regelbasierte digitale Aufgaben rund um die Uhr, mit hoher Geschwindigkeit und mit geringer Fehleranfälligkeit vollständig autonom steuern und abwickeln können. Technisch gesehen sind die digitalen Roboter imstande, menschliche Interaktionen über User-Interfaces von IT-Systemen nachzuahmen. Vorteile dieser innovativen Technik sind, dass Kosten eingespart, Anpassungen sehr flexibel vorgenommen und der Grad der Sicherheit drastisch erhöht werden können. Ob deutlich teurere Artificial Intelligence Lösungen, die oft pauschal empfohlen werden, eingesetzt

werden sollten, hängt von den Entwicklungskosten und dem zu erwartenden Nutzen ab. Wichtig ist auf jeden Fall, das Thema Data Analytics und Realtime Alerts, die helfen, große Datenmengen in Echtzeit zu kontrollieren und mit anderen Automatisierungslösungen kombiniert werden können, im Auge zu behalten.


Das Thema Wirtschaftlichkeit steht in einem engen Zusammenhang mit der IKS-Software, die am zweitniedrigsten (62 Prozent) bewertet wurde. Dabei zeigen sich sowohl Schwächen beim Abdeckungsgrad des gesamten IKS-Prozesses als auch bei ihrer Flexibilität auf neue Anforderungen angepasst zu werden. Den schlechtesten Wert insgesamt über die gesamte Studie hatte der Teilbereich Benutzerfreundlichkeit der IKS-Software. Auch von einem Expertensystem kann

erwartet werden, dass es die User komfortabel bedienen können, sonst gibt es nicht nur Missmut bei der Anwendung der Software, sondern einen Überstrahleffekt. Dieser bewirkt, dass die Akzeptanz bei den Mitarbeitern bzgl. der gesamten IKS-Methode leidet.

Von zentraler Bedeutung ist es deshalb, bereits bei der Auswahl der Software auf die Nutzerführung und Workflows, die grafische Oberfläche und eine einfache Bedienbarkeit zu achten. Auch sollte die Software so programmiert sein, dass das Customizing mühelos und unkompliziert inhouse von den eigenen Experten vorgenommen werden kann. Bei der IKS-Software ist demzufolge insgesamt sicher der größte Handlungsbedarf und gleichzeitig ein großer Stellhebel zur Optimierung vorhanden.


Bei der IKS-Dimension Information, Kommunikation und Reporting sticht das Thema Reporting heraus. Sind die Reports in der Lage, Risiken und Kontrollen sowie deren Veränderungen regelmäßig und automatisch transparent zur Verfügung zu stellen? Eigentlich eine Basisanforderung. Die Teilnehmer der Studie erreichten aber nur einen durchschnittlichen Wert von 59 Prozent. Es bereitet den Finanzdienstleistern Probleme, die Veränderungen automatisch zu ermitteln. Oft liegt das daran, dass die Assessments nicht im geplanten Zeitrahmen abgeschlossen werden, unbemerkt Risiken hinzukommen oder wegfallen, die dann gar nicht identifiziert oder mühsam per Hand bearbeitet werden müssen. Auch werden Emerging Risks nicht oder zu spät bemerkt, da es keinen klaren Prozess des Scopings von Risiken gibt. So besteht die Gefahr, dass das Management auf Grund eines unzureichenden Reports suboptimale Entscheidungen trifft.


Ebenso wie die bisher diskutierten IKS-Dimensionen ist die Integration von Op-Risk Instrumenten mit einem Reifegrad von 68 Prozent noch unterdurchschnittlich gut ausgeprägt. So sind die Abhängigkeiten zwischen den einzelnen OpRisk Instrumenten nicht ausreichend transparent und ein gegenseitiges Verständnis bzgl. der genutzten Fachbegriffe und Methoden ist noch nicht vollständig vorhanden. Die Nutzung der IKS-Ergebnisse seitens Internal Audit für seine Prüfungsaufgaben funktioniert relativ gut. Die Schadensdatenbank wird hingegen noch nicht ausreichend zur Risikobewertung hinzugezogen oder auch Key Risk Indicators haben noch Lücken bei ihrer Nutzung zur Bewertung der im IKS definierten Maßnahmen. Die geringste Verzahnung wurde mit dem Information Security Management (ISM) festgestellt. Doch gerade bei diesem Themenumfeld gibt es momentan die größte Dynamik (z. B. Cyber Kriminalität mit Hilfe von Artificial Inteligence), folgerichtig ist zukünftig noch vermehrt mit Emerging und Kumul Risks zu rechnen.

Darüber hinaus sollten auch die Governance Risk und Compliance Instrumente immer weiter integriert werden. Beispielsweise kann die Business Impact Analyse von ISM sehr gut beim Business Continuity Management und umgekehrt genutzt werden, um systematisch die Prozesse mit hohem Schadenpotenzial bei Ausfall zu erheben. Auch die Kategorisierung und Bewertung der Informationen im Rahmen des ISM-Prozesses kann der Datenschutz wunderbar nutzen, was auch spiegelbildlich bestens funktioniert. In diesem

Zusammenhang muss konzeptionell erarbeitet werden, welche Stammdaten, welche Bewegungsdaten von den Nachbardisziplinen wie verwendet werden können. Dazu müssen natürlich einheitliche oder zumindest ineinander überführbare Methoden angewandt werden.


Die IKS-Dimension Review und Revision liegt mit 69 Prozent leicht über dem Durchschnitt. Es bestehen trotzdem Defizite bei der systematischen Identifizierung und Bewertung von Änderungen, die substantiell die Strategie und die Ziele des Unternehmens tangieren. Gleichsam gibt es Optimierungspotenzial bei der regelmäßigen Überprüfung der Unternehmensperformance unter Berücksichtigung der getroffenen Annahmen und verwendeten Methoden des IKS sowie beim kontinuierlichen Verbesserungsprozess. Dabei ist es Best Practice, wenn der Finanzdienstleister kontinuierlich auf allen Ebenen im gesamten Unternehmen sein IKS und Risikomanagement durch neue Technologien, Lernen aus Vorfällen, der Anpassung der Organisationsstruktur, des Risikoappetits und der Kommunikation verbessert.


Bei der Governance und Kultur (70 Prozent) liegen die Stärken unverkennbar

bei der Definition und Umsetzung von betrieblichen Strukturen und Verantwortlichkeiten.

Auch hat die Unternehmensleitung die erwartete Risikokultur überwiegend klar definiert. Herausforderungen bestehen jedoch, die Mitarbeiter mit den erforderlichen IKS-Kompetenzen zu rekrutieren, weiterzubilden und zu binden. Da es momentan tatsächlich schwierig ist, geeignete Experten am Arbeitsmarkt zu rekrutieren, sollten die oben

erwähnten Möglichkeiten der Automatisierung möglichst umfangreich ausgeschöpft

werden, um trotz einer dünnen Personaldecke leistungsfähig zu bleiben.


Die IKS-Dimension Performance ist ohne Zweifel das Herzstück des Internen Risiko- und Kontrollsystems. Die Bewertung über dem relativen Durchschnitt darf nicht darüber hinwegtäuschen, dass ein Reifegrad von 70 Prozent noch sehr viel Spielraum nach oben lässt. Deshalb sollte man sich hier an den Best Practices innerhalb der Branche der Finanzdienstleister orientieren, um Verbesserungspotenziale nicht ungenutzt zu lassen. Folgende Best Practice Beispiele sollten dabei eine Hilfestellung geben:

  • Nach der systematischen Risikoidentifikation liegt ein komplettes Inventar der wesentlichen Risiken vor. Bekannte Methoden wie Expertenworkshops werden effektiv eingesetzt und z. B. durch Cognitive Computing ergänzt. Dabei wird der Mensch beispielsweise mit Hilfe von selbstlernenden Algorithmen oder Mustererkennung unterstützt.

  • Die Wahrscheinlichkeit und das Ausmaß von Risken können nicht nur qualitativ z. B. mit einer Ampel, sondern quantitativ ermittelt werden. Dazu stehen effektive Methoden zur Verfügung. Es werden die Abhängigkeit zwischen den Risiken systematisch berücksichtigt.

  • Die Kontrollen sind wirksam. Die operationellen Risiken können nachweislich durch die eingeführten Maß nahmen auf ein akzeptables Niveau reduziert werden.

  • Es erfolgt eine Priorisierung der Risiken immer unter Berücksichtigung festgelegter Kriterien und des vom Management definierten Risikoappetits.

  • Die Implementierung von Maßnahmen erfolgt unter konsequenter Berücksichtigung der Priorität des Risikos, der Kosten, des Aufwands, des Nutzen, des Geschäftskontexts und der regulatorischen Vorgaben.

  • Zudem entwickelt das Unternehmen eine Portfoliosichtweise auf die Risiken und analysiert diese auf Portfolio-Ebene.

Eine erlesene Assessment-Methode zeichnet sich dadurch aus, dass sie die wichtigsten Risiken z. B. die Top 10 gemessen am potenziellen Schaden in Euro und die größten

Kontrollschwächen bei jedem Tochterunternehmen und im gesamten Konzern identifiziert, quantifiziert und Maßnahmen abgeleitet werden, die nachweislich das vorhandene Risiko mitigieren.

In Bezug auf die IKS-Dimension Strategie und Ziele, welche den höchsten Reifegrad von 78 Prozent aufweist, gibt es lediglich kleinere Defizite. Insofern werden hier die Best Practices beispielhaft aufgezählt, die als Anregung zur weiteren Optimierung herangezogen werden können:

  • Die Analyse des geschäftlichen Umfeldes, der externen Umwelt und der Stakeholder erfolgt umfassend.

  • Die Risikostrategie ist schriftlich fixiert und behandelt das IKS als integralen Bestandteil.

  • Der Risikoappetit spiegelt die Kultur des Unternehmens wider. Er ist eine optimale Balance zwischen Performance und Risiko.

Betrachtet man zusammenfassend einerseits die Ergebnisse der Unternehmen mit den besten Werten (Top 5) und vergleicht diese mit den restlichen Unternehmen zeigt sich eine sehr große Differenz zwischen diesen beiden Gruppen. Bei den Top 5 gibt es schon – mit Ausnahme der Wirtschaftlichkeit – ein sehr gutes IKS. Das zeigt sich auch darin, dass die Top 5 der untersuchten Unternehmen einen Durchschnittswert über alle IKS-Dimensionen von ca. 88 Prozent erreichen. Sieht man von diesen Unternehmen ab, liegen bei den restlichen Unternehmen alle IKS-Dimensionen im gelben bis dunkelgelben Bereich und bedürfen dringend einer Optimierung.


Abb. 3: Vergleich des IKS-Reifegrads der Top 5 mit den restlichen Unternehmen


Resümee

Die Entwicklung eines zukunftsfähigen IKS ist eine anspruchsvolle Aufgabe und wohl nur in Form eines evolutionären Prozesses erreichbar. Elegante IKS Methoden, eine konsequente Standardisierung, Automatisierung und Integration der OpRisk Instrumente sind die zwingende Basis, auf der mit Hilfe von Predictive Analytics Realtime Forecasts erstellt und so die Risken effizient mitigiert werden können. In einer Endausbaustufe treffen intelligente Systeme (Artificial Intelligence) die Entscheidungen im Risikomanagement der Zukunft.

IKS durchlebt gerade eine Renaissance und ist im Rahmen der Digitalisierung wichtiger denn je zuvor.


Unser Autor: Thomas Graf


#artificialintelligence