04/09/19
Gemäß § 39 Abs 2 BWG haben Kreditinstitute für die Erfassung, Steuerung und Überwachung der bankgeschäftlichen und bankbetrieblichen Risiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen, die der Art, dem Umfang und der Komplexität der betriebenen Bankgeschäfte angemessen sind. In der aktuellen PwC Studie wurden IKS-Verantwortliche um eine Selbsteinschätzung der Effektivität und Effizienz des im jeweiligen Kreditinstitut eingerichteten Internen Kontrollsystems gebeten.
PwC hat erneut Verantwortliche für das Interne Kontrollsystem (IKS) in österreichischen Banken zu einer Selbsteinschätzung der Effektivität und Effizienz des IKS in ihrem Institut eingeladen, und Mitarbeiter von Banken aus allen Sektoren investierten ihre Zeit in die Teilnahme.
Insgesamt beurteilen die meisten Teilnehmer den Umsetzungsgrad von Anforderungen an das IKS als gut in die gelebte Praxis integriert (Score 3). Einige IKS-Verantwortliche bewerten zumindest einige Aspekte des IKS der Bank schon als optimiert (Score 4)
Abbildung 1: Effektivität und Effizienz des IKS
Ein Vergleich der aktuellen Selbsteinschätzungen mit jenen vor 5 Jahren zeigt im Durchschnitt vor allem Verbesserungen bei formalen Anforderungen an ein IKS:
Abbildung 2: positive Veränderung
Optimierungspotential besteht allerdings noch immer vor allem in jenen Bereichen, wo das IKS einen wesentlichen Beitrag zum langfristigen Geschäftserfolg leisten kann:
Abbildung 3: Bereiche mit Verbesserungspotential
Langsame Fortschritte beim IT-Risikomanagement in Banken führten zu besonderen Schwerpunktsetzungen durch die Bankenaufsicht und eine Fülle expliziter Regelungen für die Informations- und Kommunikationstechnologie (IKT). Noch immer liegt eines der größten Hindernisse für eine Reduktion einer Vielzahl von transaktionsbezogenen Kontrollen in Schwächen der Funktionsfähigkeit von automatischen Kontrollen. Viele Softwarelösungen in österreichischen Banken sind „historisch gewachsen“. Dabei wurde oft kein besonderes Augenmerk auf eine heute übliche Dokumentation oder die Notwendigkeit einer erfolgreichen Absolvierung eines Testbetriebes vor Einsatz einer neuen Anwendung gelegt. Leider sind diese Versäumnisse auch oft Hindernisse für eine geplante Digitalisierung von Abläufen und Prozessen. Häufig fehlen auch noch IKS-bezogene Anreize in den Zielvereinbarungen von Mitarbeitern und Führungskräften.
Im Detail ergibt sich aus unseren Gesprächen folgendes Bild:
Erstmals haben wir in unserer Studie auch nach internen Regelungen, Prozessen und Mechanismen für eine wirksame und umsichtige Führung eines Institutes (Internal Governance) gefragt. Die Selbsteinschätzungen dazu ergaben, dass die Anforderungen der Leitlinien zur internen Governance (EBA/GL/2017/11) bei vielen Teilnehmern bereits gelebte Praxis sind. Gleich viele Ansprechpartner bezeichnen den Ist-Zustand als zumindest funktionsfähig oder bereits als optimiert.
Während Mitarbeiter in internen Kontrollfunktionen und Inhaber von Schlüsselfunktionen ihre täglichen Aufgaben sehr viel wirksamer wahrnehmen können, besteht in manchen Banken auf Ebene des Leitungsorgans noch ein Nachholbedarf in seiner Aufsichtsfunktion. Ob dieser Nachholbedarf nur einer fehlenden Dokumentation der Überwachungstätigkeit des Aufsichtsrates geschuldet ist, oder die bereits begonnene stärkere „Professionalisierung“ der Tätigkeit von Aufsichtsräten einfach nur fortgesetzt werden muss, bleibt abzuwarten.
Bestehende Anreiz- und Vergütungssysteme für Mitarbeiter und Führungskräfte berücksichtigen erst in wenigen Banken explizit die Aufgaben und die Verantwortlichkeiten jeder einzelnen Person in der Bank für ein funktionsfähiges IKS.
Während die meisten Teilnehmer den Umfang der IKS-Dokumentation (IKS-Handbuch, Risiko-Kontroll-Matrizzen etc.) bereits als optimiert einstufen, sehen einige noch Potential bei der Konzentration auf das Wesentliche. Befürchtungen bestehen dabei vor allem hinsichtlich der Wartung bei notwendigen Aktualisierungen.
Ein ähnliches Bild ergibt sich bei den eingerichteten Kontrollmaßnahmen. Diese waren bei den meisten der teilnehmenden Banken zumindest für alle hohen Risiken definiert und werden aussagegemäß auch periodisch an geänderte Risiken angepasst. Optimierungspotential besteht jedenfalls noch bei Schlüsselkontrollen. In manchen Fällen fehlt eine klare Definition, über welche Attribute eine Schlüsselkontrolle („Key Control“) im Gegensatz zu einer „normalen“ Kontrolle verfügen muss. Damit wird eine Beurteilung der Angemessenheit der Anzahl von Schlüsselkontrollen, für die eine besondere Überwachung der ordnungsgemäßen Durchführung vorgesehen ist, schwer, wenn nicht gar unmöglich. Banken, die das Konzept von Schlüsselkontrollen bereits seit längerem z.B. bei der Frequenz der Überwachung berücksichtigen, konnten im Lauf der Zeit historisch gewachsene Kontrollmaßnahmen deutlich reduzieren, ohne ihre Risiken zu erhöhen.
In den Interviews zur Studie wurde uns berichtet, dass auch Prozesse zur Bewertung und Beseitigung von festgestellten Mängeln im IKS nicht nur eingerichtet sind, sondern auch gut funktionieren. Interessant erscheint uns in diesem Zusammenhang jedoch der aktuell relativ große Aufwand für die Reorganisation der Abwicklung von Beschwerden. Gründe dafür liegen vermutlich nicht nur in begrifflichen Abgrenzungen. Zwischen Prozessen zur Erfassung, Dokumentation und Bearbeitung von VERA-relevanten Sachverhalten bei Kundenunzufriedenheit (§ 5 Abs. 1 Z 4 lit a VERA-V) und der funktionalen Zuordnung einer „Beschwerdemanagementfunktion“ sind in den meisten Banken derzeit Änderungen notwendig oder geplant.[1] Für eine etwaige Reorganisation müssten auch operationelle Risiken aufgrund von „near misses“ bzw. die Ursachen von letztendlich eingetretenen Schadensfällen in Betracht gezogen werden.
Ein effektiver Prozess zur Mängelbeseitigung in der Bank setzt zusätzlich noch eine entsprechende „Fehlerkultur“ voraus. Die angeführten neuen Anforderungen an das Management von Beschwerden sollen nicht nur zu weiteren Dokumentationen führen, sondern auch den Kundenwünschen Rechnung tragen. Damit der Zweck diverser neuer Normen, z.B. der Konsumentenschutz, überhaupt erreicht werden kann, muss letztendlich auch die Bereitschaft gegeben sein, etablierte Geschäftsmodelle zu hinterfragen. Dafür müssen auch geeignete Schritte zur Behebung der ermittelten Mängel durch das Leitungsorgan der Bank in seiner Aufsichtsfunktion gesetzt werden.
Als größtes Hindernis für eine signifikante Steigerung der Effizienz der Durchführung von Kontrollmaßnahmen wurden fehlende Dokumentationen von automatischen Kontrollen genannt (vor allem bei Softwarelösungen, die im eigenen Haus oder Sektor in der Vergangenheit entwickelt wurden). Bei entdeckten Fehlern in Prozessen mit automatischen Kontrollen werden daher oft zusätzlich zu den in der Software vorgesehenen automatischen Kontrollen nachgelagerte manuelle Kontrollen eingerichtet, um das richtige Gesamtergebnis einer Verarbeitung sicherzustellen. Für die Fehlerbehebung in solchen „alten“ Softwarelösungen fehlen oft Mitarbeiter, oder die vorhandenen Mitarbeiter können mangels aussagekräftiger Systemdokumentation oder Unkenntnis von vor einigen Jahren verwendeten Programmiersprachen eine Korrektur fehlerhaft funktionierender automatischer Kontrollen nicht durchführen.
In manchen Banken haben Führungskräfte im operativen Bankgeschäft noch die Erwartungshaltung, dass die Gestaltung, Einrichtung, Überwachung der Durchführung und Aktualisierung von Kontrollmaßnahmen bei wesentlichen Änderungen zur Begrenzung von Risiken in ihrem Zuständigkeitsbereich teilweise oder gänzlich an Mitarbeiter (z.B. interne Kontrollfunktionen) in der sogenannten 2. Verteidigungslinie[2] delegiert werden können. Führungskräfte müssen neben einem tiefgehenden Verständnis darüber, welche Risiken in ihrem Verantwortungsbereich die übergeordneten (IKS-)Ziele der Bank gefährden könnten, über ein umfassendes und durchgängiges Verständnis der Prozessabläufe und von Zusammenhängen dieser Prozesse mit anderen Abteilungen verfügen, um bewusst Entscheidungen treffen zu können, welche Elemente eines IKS in ihrem Verantwortungsbereich verstärkt oder reduziert werden können.
[1] Leitlinie 2 in den Joint Committee Leitlinien zur Beschwerdeabwicklung für den Wertpapierhandel (ESMA) und das Bankwesen (EBA JC/2014/43 bzw JC/2018/35)
[2] The Three Lines of Defense in Effective Risk Management and Control, The Institute of Internal Auditors, January 2013
Aufgrund neuer gesetzlicher Anforderungen (z.B. im § 25 BWG) haben die meisten Banken in der Zwischenzeit einen guten zentralen Überblick, welche bankbetrieblichen Aufgaben sie auslagern und wo sie für andere Banken solche Leistungen übernommen haben. Die Verantwortlichen für Auslagerungsverträge konzentrierten sich traditionell in Österreich auf die rechtlichen Fragen im Zusammenhang mit einer Auslagerung (z.B. den Schutz vertraulicher Informationen und das Bankgeheimnis, die Einräumung eines Zugangs für die Aufsichtsbehörde beim Outsourcing-Dienstleister („Insourcing-Unternehmen“), die Grenzen der Auslagerung).
Genaue Anforderungen hinsichtlich:
waren bisher in vielen Banken nicht verpflichtend vorgesehen und sind damit auch noch selten in Verträgen mit Outsourcing-Dienstleistern enthalten. Innerhalb von Sektoren oder zwischen Banken und ihren Rechenzentren sind solche Anforderungen auch noch nicht gängige Praxis.
Zusätzlich zu § 25 BWG gelten Anforderungen europäischer Behörden (CEBS-Leitlinien 2006 und EBA/GL/2019/02) ab dem 30. September 2019 für sämtliche Auslagerungsvereinbarungen, die an oder nach diesem Tag abgeschlossen, überprüft oder geändert werden. Für bestehende Auslagerungsvereinbarungen gelten Übergangsbestimmungen bis spätestens 31. Dezember 2021.
Unsere Studie zeigt, dass noch immer vor allem deutlich kommunizierte aufsichtsrechtliche Anforderungen die Geschwindigkeit von Veränderungen bestimmen, und das gilt auch für die Entwicklung des IKS der teilnehmenden Banken.
Aktuell betrifft das Anstrengungen zur Ergänzung interner Kontrollmaßnahmen oder Einrichtung interner Kontrollfunktionen für:
Dabei wird leider oft das Hauptaugenmerk auf die Erfüllung formaler Anforderungen gelegt, sobald diese Normen final relevant sind. Eine rechtzeitige Berücksichtigung kommender Anforderungen schon in der Diskussionsphase durch eine Betroffenheitsanalyse von davon betroffenen Elementen eines IKS (zumindest der Prozesse, Kontrollen inkl. automatischer Kontrollen) wird in der Praxis derzeit noch eher selten durchgeführt. Dadurch würden sich aber die Kosten der Umsetzung regulatorischer Anforderungen in endgültiger Fassung reduzieren und der Stellenwert des IKS in der Bank deutlich steigen. Vielleicht kann durch die Tätigkeit eines neu nominierten sogenannten „BWG Compliance Verantwortlichen“ gemäß den Anforderungen des § 39 Abs. 6 BWG den österreichischen Banken wieder ein zeitlicher Spielraum verschafft werden, der durch die Regulierungsflut nach 2008 verloren gegangen ist.
Banken Breakfasts im November und Dezember
Diesen Herbst laden wir Sie erneut herzlich zu unseren Banken Breakfasts in Innsbruck, Klagenfurt, Wien und Salzburg ein. Neben den neuesten Entwicklungen und Herausforderungen im Bankensektor bietet sich die Veranstaltungsreihe ebenfalls zum fachlichen Austausch und Networking an.
Zur Anmeldung: aktuell.pwc.at/banken-breakfast
Die Compliance-Anforderungen an Unternehmen werden immer strenger. Dadurch nimmt auch die Verantwortung der Führungskräfte laufend zu. Um mögliche Risiken und Haftungen zu erkennen und zu vermeiden, müssen Sie stets am Ball bleiben. Wir laden Sie (und gerne auch Ihre interessierten Kollegen) herzlich zu unserem Corporate get2gether am 18. September 2019 über den Dächern Wiens im DC Tower ein.
Zur Anmeldung: aktuell.pwc.at/corporateget2gether
Medieninhaber und Herausgeber:
PwC Österreich GmbH Wirtschaftsprüfungsgesellschaft, DC Tower, Donau-City-Straße 7, 1220 Wien
Für den Inhalt verantwortlich: StB Mag. Thomas Strobach, thomas.strobach@pwc.com
Für Änderungen der Zustellung verantwortlich: Anna Ring, anna.x.ring@pwc.com, Tel.: +43 1 501 88-3705, Fax: +43 1 501 88-648
Der Inhalt dieses Newsletters wurde sorgfältig ausgearbeitet. Er enthält jedoch lediglich allgemeine Informationen und spiegelt die persönliche Meinung des Autors wider, daher kann er eine individuelle Beratung im Einzelfall nicht ersetzen. PwC übernimmt keine Haftung und Gewährleistung für die Vollständigkeit und Richtigkeit der enthaltenden Informationen und weist darauf hin, dass der Newsletter nicht als Entscheidungsgrundlage für konkrete Sachverhalte geeignet ist. PwC lehnt daher den Ersatz von Schäden welcher Art auch immer, die aus der Verwendung dieser Informationen resultieren, ab.
PwC“ bezeichnet das PwC-Netzwerk und/oder eine oder mehrere seiner Mitgliedsfirmen. Jedes Mitglied dieses Netzwerks ist ein selbstständiges Rechtssubjekt. Weitere Informationen finden Sie unter www.pwc.com/structure.
Partnerin, Leitung Banking & Capital Markets, PwC Austria
Tel: +43 699 101 496 81