Kontrollrahmen

Aktuelles01.10.2020

Die Seite wurde neu gestaltet. Unter diesem Punkt wird künftig auf Neuerungen verwiesen.

Begriffsdefinition

Eine Kontrolle im Sinne der MaRisk stellt einen Prozess dar, der dazu beiträgt, dass die Anforderungen an das Risikomanagement beachtet und Risiken minimiert werden. Nach AT 4.3.1 Tz. 2 sind Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen,Verantwortlichkeiten, Kontrollen sowie Kommunikationswege klar zu definieren und aufeinander abzustimmen. Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen. Kontrollen sind somit nicht isoliert zu betrachten, sondern wesentlicher Teil des Internen Kontrollsystems (AT 4.3 der MaRisk) und Teil der Aufbau- und Ablauforganisation.

Aufgaben von Kontrollen

Kontrollen sollen dazu beitragen, dass Risiken im Risikomanagement reduziert werden.

Als Kontrollbereiche sind entsprechend AT 4.3.1 Tz 1 (Erläuterung) folgende Funktionen und Tätigkeiten anzusehen:

- Risikocontrolling-Funktion,
- Compliance-Funktion,
- Marktfolge,
- Abwicklung und Kontrolle.

Zu den einzelnen Bereichen erfolgen jeweils noch weitere Ausführungen. So heißt es unter dem AT 4.4.2 Tz 1, dass die Compliance-Funktion auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken hat.

Kontrollziele

Die Prüfung von Kontrollprozessen stellt ein wesentliches Beurteilungskriterium im Rahmen der Prüfung dar. Hierbei ist von Bedeutung, dass Kontrollen durch die Bank angewiesen werden müssen. Die Definition von Kontrollzielen ermöglichen eine klare Beurteilung der Kontrollen. Die Beachtung der Kontrollziele ist durch die Interne Revision zu prüfen. Innerhalb der MaRisk wird die Kontrolle an verschiedenen Stellen angesprochen. So heißt es unter dem AT 4.3.4 Tz 7. Kontrolltiefe und Kontrollart müssen vorgeben sein. Verantwortlichkeiten müssen definiert worden sein. Die Kontrolle kann innerhalb oder außerhalb des Prozesses definiert worden sein.

Beispiel für ein Kontrollziel
"Durch die Implementierung angemessener Auslagerungsprozesse entsprechend des AT 9 der MaRisk und der weiteren Vorgaben werden in der Praxis wirksame Prozesse unterhalten, die durch das zentrale Auslagerungsmanagement gesteuert werden."

Kontrollarten

4-Augen-Prinzip

Miteinander unvereinbare Tätigkeiten müssen im 4-Augen-Prinzip erfolgen. Es handelt sich nicht um eine nachgelagerte Kontrolle. Diese Kontrolle steht im direkten Zusammenhang mit dem Prozess (z.B. Erstellung der Risikotragfähigkeitsberechnung) oder wird aufgrund von notwendigen Funktionstrennungen durch zwei Mitarbeiter vorgenommen (Rechtevergabe z.B. unter VR Control).

Plausibilisierung
Das Ergebnis, das zu kontrollieren ist, muss plausibel sein. Dies kann z.B. durch den Vergleich mit Vorjahren oder durch überschlägige Berechnung eines Ergebnisses führen. Die Plausibilisierungsmaßnahmen sind im Einzelfall festzulegen. Kontrolltiefe- und Kontrollintensität Dieser Begriff bezieht sich auf den Umfang der Kontrolle und berücksichtigt auch die Frequenz.

Schlüsselkontrollen

Schlüsselkontrollen sind eine wesentliche Kontrolle, die in einer Vielzahl von Prozessen gleichartig sind und zu Risiken führen können. Wesentlichkeit und Zeitkritikalität sind voneinander dabei abzugrenzen. Neben dem allgemeinen Begriff der Kontrolle wird auch häufig von der sogenannten Schlüsselkontrolle gesprochen. Es handelt sich hierbei nicht um einen Begriff der MaRisk. In der Bank wurden verschiedene Kontrollen als Schlüsselkontrollen definiert. Diese stellen wesentliche Kontrollprozesse dar, die für die Aufrechterhaltung eines angemessenen Risikomanagementsystems unverzichtbar sind. Der Ausfall von Schlüsselkontrollen kann im Einzelfall zu wesentlichen Risiken oder der Nichterfüllung aufsichtsrechtlicher Pflichten/Vorgaben führen. Das Fehlen dieser Kontrolle kann somit zu einem aufsichtsrechtlichen Mangel oder zu einem monetären Risiko führen, dass Auswirkung auf die Risikotragfähigkeit nach sich ziehen kann und damit limitbelastend wird. Insoweit kann sich bei festgestellten Mängeln in diesem Kontrollprozess eine Berichterstattung an das Risikocontrolling und ggfls. an die Interne Revision ergeben. Kontrollen haben regelmäßig und nachvollziehbar zu erfolgen. Ziel ist die Reduzierung von Fehlerrisiken in der Bank. Kontrollen müssen dabei angemessen sein. Hierbei sind entsprechend des §25 a KWG betriebswirtschaftliche Notwendigkeiten zu berücksichtigen. Hierbei geht es um die Analyse und Bewertung der Kontrolltätigkeit. Festzulegen ist die Kontrolltiefe und Kontrollintensität So kommt im Einzelfall entsprechend AT 8.2 der MaRisk eine Risikoanalyse zum Einsatz. Die Prozesskosten und das mögliche Risiko sind dabei zu berücksichtigen. Kontrollen sind kein Selbstzweck. Die Kontrollintensität ist somit sorgsam abzuwägen. Bei der Erstellung und Veränderung von bestehenden Anweisungen ist darauf zu achten, dass notwendige Kontrollen außerhalb der Schlüsselkontrollen definiert und dokumentiert werden.

Kontrollturnus

Es geht um die Frequenz und Häufigkeit der Kontrolle Kontrollen unterliegen einem eigenem Kontroll- bzw. Überprüfungsprozess. So sind Kontrollen regelmäßig auf Angemessenheit und Wirksamkeit zu prüfen. Der angemessenen Kontrollintensität kommt dabei eine entscheidende Bedeutung zu.