IKS ist alles

Und genau das ist das Problem

Kaum ein Begriff wird im Bankenumfeld so selbstverständlich verwendet und gleichzeitig so missverstanden wie das „Interne Kontrollsystem“ (IKS).

Wenn Bankenaufsicht, Wirtschaftsprüfer und Verantwortliche in Instituten über das IKS sprechen, scheint auf den ersten Blick alles klar. Doch tatsächlich reden sie zumeist über etwas anderes.

Das Ergebnis: Ein Begriff, der im Zentrum des aufsichtsrechtlichen Risikomanagements steht, ist in der Praxis zu einem Container geworden – mit erheblichen Konsequenzen für Rollen, Zuständigkeiten und Erwartungen.

Der aufsichtsrechtliche IKS-Begriff – weiter als gedacht

MaRisk AT 1 Tz. 1 subsumiert unter dem IKS alle Regelungen zur Aufbau- und Ablauforganisation sowie Elemente der Risiko- und Compliance-Funktion (inkl. deren Prozesse). In der Kommentierung der Aufsicht wird dieser ganzheitliche Anspruch durch den Verweis auf MaRisk AT 4.3.1 noch deutlicher: Dort wird die Aufbau- und Ablauforganisation als Gesamtheit aller Regelungen im Unternehmen beschrieben. Wer den Begriff also streng nach MaRisk liest, landet bei nichts Geringerem als dem gesamten Ordnungsrahmen des Instituts – kurz: bei allem.

Damit ist das IKS im Sinne der MaRisk kein Kontroll-, sondern ein Organisationssystem. Das „K“ im IKS: keine Kontrollen im eigentlichen Sinne, vielmehr Komplexität.

Ein IKS-Verantwortlicher, gar -Beauftragter, wäre folglich zuständig für Strukturen, Prozesse, Funktionen, Governance-Regelungen und die dazugehörigen Kontrollmechanismen – nochmal: also für alles. Praktisch unmöglich.

Systembrüche innerhalb der MaRisk

Innerhalb von MaRisk AT 1 Tz. 1 wird das IKS gleichzeitig ablauforganisatorisch und funktional beschrieben. Die Aufsicht hebt einzelne Funktionen – Risikocontrolling und Compliance – hervor, ohne eine klare Systematik herzustellen. Eine gesonderte Hervorhebung der zugehörigen Prozesse: unnütz, da bereits unter a) „Regelungen zur Aufbau- und Ablauforganisation“ erfasst.

So wird das IKS zu einem Mischbegriff, der Elemente des Risikocontrollings, der Organisation und der Compliance in sich vereint. Das Detailniveau der untergeordneten Elemente variiert stark. Das „S“ – das Systematische – bleibt unsichtbar. Die logische Hierarchie: durchbrochen.

IDW vs. Aufsicht: zwei Definitionen, ein Missverständnis

Das IKS im Sinne des IDW PS 261 ist der übergreifende Governance-Rahmen, der neben Überwachungs- auch Steuerungsinstrumente umfasst. Eine historische Übersetzungsschwäche: „Internal Control Framework“… to control… eigentlich „steuern“, alter Hut: das „Interne Kontrollsystem“ ist eigentlich ein „Interner Steuerungsrahmen“.

Dem unbenommen ordnet das IDW Kontrollen formal den prozessintegrierten Überwachungsmaßnahmen zu – gemeinsam mit weiteren Maßnahmen.

Im Ergebnis hilft das IDW mit seinem Prüfungsstandard auch nicht weiter, wenn man die Sichtweise auf Kontrollverfahren bzw. Kontrollen schärfen möchte.

Die „Praktiker-Sichtweise“ auf das IKS

In der Praxis versteht man unter IKS meist etwas ganz anderes: die Definition, Dokumentation und Überwachung der Wirksamkeit von Kontrollen in Geschäftsprozessen – also konkrete Kontrollpunkte, Vier-Augen-Prinzipien, Kontrollschritte und Nachweise.

Dieses „kleine IKS“ ist jedoch nur ein Bruchteil des Begriffs nach MaRisk oder IDW.

Beide Verständnisse werden im Alltag unreflektiert nebeneinander verwendet und genau daraus entsteht Verwirrung.

Viele Institute versuchen, diese Unschärfe durch neue Rollen zu lösen: IKS-Beauftragte, IKS-Koordinatoren usw. Doch das ist nicht leistbar.

Legt man den MaRisk-Begriff zugrunde, müsste der IKS-Beauftragte zugleich die Aufbauorganisation, die Risiko- und Compliance-Funktionen, das Prozessmanagement und jede operative Kontrolle im Blick behalten – also faktisch die Gesamtorganisation steuern.

Eine eierlegende Wollmilchsau, die auch noch Honig sammelt. Diese Erwartung ist nicht erfüllbar.

Vom Ergebnis her gedacht: Das „K“ im IKS

Das „K“ im IKS sollte ernst genommen werden – zumindest, wenn man kontrollieren und nicht steuern meint.

Fragen Sie sich: sprechen Sie gerade über Kontrollen oder über Maßnahmen? Warum das wichtig ist? Weil genau hier eine weitere semantische Schieflage besteht.

Maßnahmen und Kontrollen sind gemäß IDW jeweils prozessabhängige Überwachungsmaßnahmen.

Maßnahmen wirken aber, anders als Kontrollen, nicht im Prozess. Sie wirken am Prozess. Maßnahmen, einmal umgesetzt, ändern den Umweltzustand, in dem ein Prozess durchgeführt wird. Sie verändern damit, Wirksamkeit vorausgesetzt, das Umwelt- bzw. das inhärente Risiko.

Kontrollen sind ebenfalls Bestandteil der prozessabhängigen Überwachungsmaßnahmen. Aber: sie wirken im Prozess. Sie verändern das inhärente Risiko nicht, sondern treten ihm entgegen.

Ein paar Beispiele:

Das Rollen- und Rechtekonzept – gern als Kontrolle verkauft – ist tatsächlich eine Maßnahme. Es ist Ausdruck der Aufbauorganisation und zugleich Umsetzung von Funktionstrennungsgrundsätzen. Aber: Ein Rollen- und Rechtekonzept kontrolliert nichts im Prozess. Es sorgt lediglich dafür, dass der Prozessablauf von vornherein funktionsgetrennt gestaltet ist. (Tipp: Einfach mal in Swimlanes denken.)
Eine gehärtete Firewall ist ebenfalls keine Kontrolle, sondern eine Maßnahme. Sie schützt Daten und Systeme quer über viele Prozesse hinweg – sie überprüft aber nicht, ob im jeweiligen Prozess die Schutzziele eingehalten werden. Sie hebt das Schutzniveau einmalig an – Punkt.

Kontrollen dagegen sind situativ, prozessintegriert und unmittelbar wirksam:

Klassisches Vier-Augen-Prinzip. Person A führt eine Handlung aus, Person B kontrolliert, ob sie korrekt war – im Prozess.

Und was heißt das jetzt für die Funktionen?

Nachdem wir diese Trennung einmal sauber gezogen haben, lohnt der Blick auf die Rollen selbst. Stellen wir uns also die zentrale Frage:

Kennen wir zufällig Funktionen oder Beauftragte, die in aller Regel mit Maßnahmen hantieren?

Ja – zum Beispiel den Datenschutzbeauftragten oder den Informationssicherheitsbeauftragten. Beide sichern ihre Schutzobjekte primär durch technische oder organisatorische Maßnahmen (TOMs).

Das zeigt: das IKS im Sinne von MaRisk AT 1 Tz. 1 ist kein eigenständiges, großes System, sondern die Summe vieler einzelner, miteinander verzahnter (Risiko-)Subsysteme. Es zeigt, dass ein „IKS-Beauftragter“ im großen Sinne gedacht weder sinnvoll noch notwendig ist – weil die Verantwortung längst verteilt ist. Für nahezu jedes (Risiko-)Subsystem gibt es bereits Fachfunktionen, Beauftragte und etablierte Steuerungsinstrumente.

Wer also ernsthaft glaubt, jemand könne das alles zentral verantworten, übersieht den eigentlichen Punkt: das IKS lebt von der Zusammenarbeit dieser Teilfunktionen – nicht von ihrer Zusammenfassung. Ein IKS-Verantwortlicher kann in der Praxis deshalb nur dort ansetzen, wo keine andere Rolle greift: bei den echten Kontrollen, im Prozess, an der Schnittstelle zwischen Steuerung und Überwachung.

… und die Revision

Kennen wir Revisionisten das nicht? Eifrig prüfend und wortgewaltig im Bericht – da nimmt man schnell mal die Abkürzung „IKS“ in den Mund.

Wenn eine Interne Revision etwa schreibt, sie habe „Schwächen im IKS im Kreditbereich“ festgestellt, ist das formal falsch.

Es gibt kein IKS im Kreditbereich. Der Kreditbereich wird mit den Instrumenten des IKS im Sinne von MaRisk AT 1 gesteuert, aber das IKS selbst ist übergeordnet – es existiert nicht als Bereichssystem.

Oder – und das ist meist der Fall – die Revision meint „nur“ die Kontrollen innerhalb der Kreditprozesse: das kleine, das geschäftsprozessbezogene IKS.

Fazit

Das IKS ist die Summe aller Steuerungs- und Überwachungselemente einer Organisation.

Wer diesen Unterschied versteht, befreit sich von der Illusion der „IKS-Verantwortung für alles“ – und schafft vielleicht genau das, was die Aufsicht wirklich will: ein wirksames, funktionsfähiges und integriertes System, in dem jede Governance-Funktion ihren Beitrag leistet.

Und wenn so viele Funktionen auf das IKS im Sinne der Aufsicht „einzahlen“ (müssen) – warum sprechen wir dann alle so unreflektiert vom IKS-Beauftragten?