Automatisierung des internen Kontrollsystems: MaRisk und Three Lines im Fokus

Gemäß § 25a Kreditwesengesetz (KWG) sowie AT 4.3 MaRisk sind Banken verpflichtet, eine angemessene Geschäftsorganisation und wirksame interne Kontrollverfahren einzurichten. Das IKS sorgt für eine wirksame, ordnungsgemäße und mit dem Supervisory Review and Evaluation Process (SREP) konforme Geschäfts- und Prozessorganisation. Das IKS erhöht die Sicherheit, die Effektivität und die Effizienz bankbetrieblicher Wertschöpfungsprozesse.

Die spezifischen Kontroll- und Überwachungsfunktionen lassen sich sehr wirksam und unternehmensspezifisch über die Kontrollhierarchie im Three-Lines-Modell (früher bekannt als Three-Lines-of-Defense, TLoD-Modell) abbilden. Dieser Ansatz beschreibt drei aufeinander aufbauende Verantwortungsebenen. Sie agieren unabhängig voneinander und erhöhen im Unternehmen die Sicherheit bei gleichzeitiger stufenweiser Minderung operationeller Risiken (= Kontrollziel).

• Die erste Ebene ist direkt im operativen Geschäftsprozess integriert. Hier werden die internen Prozesse, Verfahren und Methoden zur Erreichung der strategischen Geschäftsziele und der damit verbundenen Risiken etabliert und verantwortet. Die erste Ebene definiert interne Kontrolle und die damit verbundenen Kontrollziele. Voraussetzung dafür ist die Identifikation relevanter Kontrollrisiken und deren Beurteilung im Rahmen der turnusmäßigen bzw. fortlaufenden Risiko(kontroll)inventur. Das Ergebnis ist die Risk Map bzw. Risiko-Kontroll-Matrix (RKM).
• Die prozessübergreifende Überwachung bzw. Kontrolle ist in der zweiten Ebene verortet. In den meisten Instituten werden die Aufgaben von Risikocontrolling und Compliance als bedeutende Funktionen gemäß MaRisk wahrgenommen. Speziell in Bezug auf Digitalisierung werden auch Funktionen der IT-Sicherheit und Informationssicherheit einbezogen. Die zweite Ebene ist für die Überprüfung und Sicherstellung der Angemessenheit der Kontrollen zur Erreichung der Kontrollziele durch die erste Ebene verantwortlich. Die zweite Ebene nimmt direkten Einfluss auf das IKS im Hinblick auf Weiterentwicklung, Berichtsformate, Bewertungen und Risikostrategie. Je nach Reifegradmodell des IKS werden Kontrollschwächen beurteilt und Kontrollrisiken (VaR _Control) qualitativ wie auch quantitativ unter Nutzung szenariobasierter Verfahren des OpRisk-Managements bewertet.

• Die interne Revision agiert als dritte Ebene übergreifend und prozessunabhängig. Ziel ist es, das Residualrisiko ein weiteres Mal zu reduzieren. Als unabhängiges Prüfungsorgan berichtet die Revision über die Angemessenheit und Wirksamkeit des Risikomanagements zur Erreichung der Kontrollziele im IKS an die Geschäftsleitung und den Aufsichtsrat und nimmt maßgeblichen Einfluss auf die Risikopolitik.

Ein wirksames IKS wird im Rahmen des SREP von der Aufsicht evaluiert und ist daher für eine kapitalschonende Risikoprofilnote maßgeblich.

Da die Überwachung der Wirksamkeit des IKS und der Risikomanagementsysteme zu den Kernaufgaben und Kompetenzen von Aufsichtsorganen zählt, sind Themen zur Sicherstellung der finanziellen und operationalen Resilienz von strategischer Bedeutung. Durch die fortschreitende Digitalisierung bankgeschäftlicher Wertschöpfungsprozesse durch Nutzung der IKT wächst auch deren Bedeutung und Einsatz im Rahmen des IKS zur Stärkung der Governance.

Welchen Mehrwert bietet die Digitalisierung des IKS zur Verbesserung interner Kontrollsysteme, ohne dabei selbst zum Risikofaktor zu werden?

Die automatisierte bzw. digitale Überwachung von Kontrollen erhöht die Compliance und reduziert Fehler erheblich im Vergleich zu manuellen Prozessen. Digitale Kontrollen ermöglichen somit eine präzisere Berichterstattung und tragen zur rechtlichen Absicherung bei.

Die Implementierung digitaler Kontrollprozesse führt zu signifikanten Kostensenkungen durch verminderten manuellen Aufwand. Die Effizienz der Prozesse wird gesteigert, wodurch Ressourcen besser genutzt werden können.

Automatisierte Kontrollsysteme ermöglichen die kontinuierliche Überwachung von Transaktionen und Prozessen, wodurch Fehler oder Risiken schneller erkannt werden können und zur Erreichung der Kontrollziele – der Mitigation operationeller Risiken – beitragen.

Durch den Einsatz von Analysetools können große Datenmengen nicht nur in Echtzeit ausgewertet werden, um potenzielle Risiken oder Schwachstellen im Kontrollsystem zu identifizieren. Je nach Reifegrad im Rahmen der Prozessautomatisierung des Instituts lassen sich folgende Ergebnisformate bei fortschrittlicher Nutzung von IKT und KI im IKS für das IKS-Reporting generieren:

1. Descriptiv – Evidenz und Validität zur Erreichung der Kontrollziele
   Deskriptive Analysen (ex-post) ermöglichen die systematische Auswertung historischer Daten, um vergangene Ereignisse, Muster und Kontrollabweichungen sichtbar zu machen. Sie schaffen Transparenz über bisherige Entwicklungen und dienen als Grundlage für weiterführende Analysen.
2. Predictiv – zukunftsgerichtet/szenarioorientiert unter Nutzung von AI und ML
   Neben tradierten zukunftsgerichteten, szenariobasierten Risikoanalysen kann sich der Einsatz von AI und ML zur prediktiven Risikoanalyse bzw. Vermeidung von Kontrollversagen lohnen. Potenzielle Gefährdungen lassen sich antizipieren und geeignete Maßnahmen rechtzeitig planen.
3. Präskriptiv – Entscheidungs- und handlungsorientiert
   Die Entwicklung präskriptiver Verfahren geht über die reine Risikoerkennung hinaus, indem sie auf Basis der vorhandenen Daten konkrete Handlungsempfehlungen zur Risikominimierung bzw. Prozessoptimierung ableitet. Diese Analyseform unterstützt gezielt die Berichtsformate und das MIS zur Entscheidungsfindung im Risikomanagement und in der strategischen Steuerung.

Automatisierte Kontrollsysteme können – prozess- bzw. workflowintegriert – alle Aktivitäten und Änderungen protokollieren, was die Nachverfolgbarkeit und Transparenz sowie die Einhaltung von Berichtsvorschriften (IKS-Reporting) erleichtert.

Digitale Kontrollen lassen sich leicht anpassen und auf verschiedene Geschäftsbereiche und Funktionen im Rahmen der Kontrollhierarchie des Three-Lines-Modells anwenden. Diese Skalierbarkeit ermöglicht es, flexibel auf Veränderungen im Prozess zu reagieren.

PPI bietet hierzu institutsindividuelle Lösungen und je nach Komplexität und Reifegrad vorhandener IKS einen stufenweisen Modellansatz zur Weiterentwicklung und Digitalisierung des IKS:

1. Einsatz einer digitalisierten RKM für die prozessbegleitende Durchführung und Dokumentation von Kontrollen.
2. Die Integration von Kontrollen und Kontrollprozessen in den Workflow. Dies eignet sich zunächst für rein regelbasierte Kontrollen bzw. bei hoher Kontrolldichte/-frequenz.
3. Einsatz fortschrittlicher Verfahren (AI und ML) zur präskriptiven Risikosteuerung.

In einem weiteren Blockbeitrag werden unsere Kollegen auf die spezifischen Anforderungen des vorgenannten 3-Stufen- und Reifegradmodells zur Prozessautomatisierung eingehen. Bleiben Sie neugierig und gespannt.