Die Bedeutung eines effektiven Risikomanagements und der notwendigen Kontrollprozesse bei Banken hat in den letzten zwei Dekaden stetig zugenommen. Obwohl kleinere und mittelgrosse Banken ähnlich gelagerte Risiken haben, ist bisher kein standardisiertes bankenspezifisches Risiko- und Kontrollframework grossflächig bekannt. Unsere Erfahrung zeigt, dass die in einem Internen Kontrollsystem (IKS) vorhandenen Schlüsselkontrollen typischerweise aufgrund von Revisionshinweisen und sonstigen Vorfällen über die Zeit gewachsen sind.
Wir sind überzeugt, dass ein generisches Framework eine wesentliche Grundlage für die Entwicklung des IKS einer Bank liefern kann und unternehmerischen Mehrwert stiftet. Allerdings bewerten gemäss einer Studie 62% der befragten Schweizer Unternehmen ausserhalb des Finanzsektors die Investitionen in ein IKS als «notwendige Compliance Übung und nicht als mehrwertschaffendes Instrument zum Schutz des Unternehmens» (Ruud, T.F., Kyburz, A., Schramm, K. (2018), S. 18)1. Zudem ist anzunehmen, dass Organe von kleineren und mittleren Banken das IKS im engeren Sinne ähnlich beurteilen.
Auf Basis dieser Kenntnis haben wir uns zum Ziel gesetzt, ein fundiertes Framework zu entwickeln, das rund 80% der typischen Schlüsselrisiken und deren notwendigen Schlüsselkontrollen eines kleineren bis mittelgrossen Bankinstituts abdeckt. Dieser hohe Abdeckungsgrad kann erreicht werden, weil solche Banken über ähnliche Geschäftsmodelle verfügen. Das Framework ist dabei nicht an eine bestimmte Softwarelösung geknüpft, ist modular aufgebaut und kann somit in einem Institut leicht integriert und erweitert werden.
Das Risiko- und Kontrollframework besteht aus den vier hierarchischen Stufen Risikoarten, Schlüsselrisiken, Schlüsselkontrollen und Kontrollpunkte. Dabei bilden die sechs Risikoarten strategische Geschäftsrisiken, Kreditrisiken, Marktrisiken, Zinsänderungsrisiken, Liquiditätsrisiken und operationelle Risiken den hierarchischen Überbau für derzeit 35 Schlüsselrisiken und knapp 150 Schlüsselkontrollen.
Die sechs Risikoarten orientieren sich an der Bankbranche, insbesondere an Basel III und diversen FINMA-Rundschreiben. Bei der Identifikation der Schlüsselrisiken stand die finanzielle Auswirkung bei Eintritt des Risikos im Vordergrund. Zudem sind Dutzende von Gesetzen, Verordnungen, FINMA-Rundschreiben, Selbstregulierungen und weitere Standards bei der Selektion der Schlüsselrisiken und der Ausgestaltung der Schlüsselkontrollen eingeflossen.
Um die Rolle eines IKS von einer Kontrollaufgabe zu einer Führungsaufgabe zu entwickeln, sind wir der Meinung, dass bei der Ausgestaltung eines Risiko- und Kontrollframeworks vermehrt eine ganzheitliche «top-down»-Sicht und primär eine Risikooptik eingenommen werden muss. Das bedeutet, dass zwischen Schlüsselrisiken mit Relevanz auf Stufe Geschäftsleitung und Verwaltungsrat und deren Schlüsselkontrollen sowie weiteren Risiken und deren Managementkontrollen differenziert werden muss. Kontrollen, welche lediglich binäre Ergebnisse liefern, eignen sich nur bedingt als Führungsinstrument. Durch qualitative Beurteilungen im Rahmen der Schlüsselkontrollen kann der Reifegrad des Risiko- und Kontrollframeworks weiter gestärkt werden.
1 Ruud, T. F., Kyburz, A., Schramm, K. (2018). Das interne Kontrollsystem (IKS) in Schweizer Unternehmen ausserhalb des Finanzsektors – Einblicke in die aktuelle Praxis. Institut für Accounting, Controlling und Auditing der Universität St.Gallen, St.Gallen.