Interne Kontrollsysteme im Wandel: Herausforderungen, Erfolgsfaktoren und Zukunftsperspektiven für Finanzinstitute.

sof iks mixdown

In "Sound of Finance" erörtern Dr. Saskia Hohe und Jessica Pietschmann die zentrale

Rolle interner Kontrollsysteme (IKS) in Finanzinstituten, einschließlich Herausforderungen, Compliance und die Zukunft in der digitalen Ära.

Automatic Shownotes

Chapters

0:14 Einführung in interne Kontrollsysteme

4:47 Blick in die Praxis

6:44 Prozesse und Effizienz

15:21 Workshops und Zusammenarbeit

25:58 Zentrale IKS-Stelle und ihre Aufgaben

34:27 Zukunft des IKS

42:49 Zusammenfassung und Ausblick

Long Summary

In dieser Episode von "Sound of Finance" widmen wir uns dem zentralen Thema der internen

Kontrollsysteme (IKS) in Finanzinstituten. Die aktuellen Herausforderungen, die mit steigenden und veränderten Risiken sowie regulatorischen Anforderungen einhergehen, führen dazu, dass das IKS mehr denn je in den Fokus rückt. Wir beleuchten, warum ein effektives IKS nicht nur ein unverzichtbarer Bestandteil des Managements von Non-Financial Risks ist, sondern auch für eine angemessene Geschäftsorganisation unerlässlich ist. Unser Gesprächspartner Dr. Saskia Hohe, Partnerin bei zeb und Expertin für Non-Financial Risks, erläutert die Methoden eines internen Kontrollsystems. Der Blick auf die praktische Anwendung zeigt, dass ein IKS in Verbindung mit einem prozessorientierten Ansatz und einer Risikobewertung betrachtet werden muss. Jessica Pietschmann, Leiterin der zentralen IKS-Stelle der Frankfurter Bankgesellschaft Deutschland, der Privatbank der Sparkassen, schildert die Treiber hinter der Weiterentwicklung von IKS in ihrem Haus. Der Fokus liegt auf der Schaffung einer ganzheitlichen Übersicht über die Prozesse und Risiken. Diese Struktur ermöglicht nicht nur eine bessere Akzeptanz und Umsetzung innerhalb der Bank, sondern verbessert auch die Effizienz des Risikomanagements. Im Verlauf des Gesprächs wird die Rolle einer zentralen IKS-Stelle betont. Diese Funktion ist entscheidend für die Qualitätssicherung, die Überwachung der Einhaltung von Vorgaben und die Unterstützung der Prozessverantwortlichen in den einzelnen Fachbereichen. Wir diskutieren die Herausforderungen, die bei der Implementierung eines IKS auftreten können, und betonen, wie wichtig die Kommunikation und das gemeinsame Arbeiten an Prozessen sind. Das zeb-IKS-Framework, das in der Praxis Anwendung findet, wird als strukturierte Herangehensweise zur

Status-Quo-Analyse und zur Ableitung von Handlungsmaßnahmen vorgestellt. Die

Risikoorientierung spielt dabei eine zentrale Rolle, um zu verhindern, dass das IKS die Organisation überfordert. In der abschließenden Diskussion blicken wir in die Zukunft der internen Kontrollsysteme und halten fest, dass Automatisierung und Digitalisierung bedeutende Schritte für ein effektives IKS sind. Insgesamt zeigt unsere Episode, dass ein gut funktionierendes IKS einen wesentlichen Mehrwert bietet und für alle Fachbereiche von Relevanz ist.

Brief Summary

In dieser Episode von "Sound of Finance" erforschen wir die Bedeutung interner

Kontrollsysteme (IKS) in Finanzinstituten, insbesondere angesichts steigender Risiken und regulatorischer Anforderungen. Dr. Saskia Hohe, Partnerin beim zeb, erklärt die Grundlagen eines effektiven IKS und deren unverzichtbare Rolle für eine angemessene

Geschäftsorganisation. Jessica Pietschmann von der Frankfurter Bankgesellschaft beschreibt die Herausforderungen und Treiber bei der Entwicklung eines zentralen IKS in der Frankfurter Bankgesellschaft Deutschland, wo eine integrierte

Übersicht über Prozesse und Risiken umgesetzt wurde. Wir diskutieren die zentrale Funktion der

IKS-Stelle für Qualitätssicherung,

Mitarbeiterschulung und die Bedeutung der Kommunikation. Abschließend wird die Zukunft der IKS in der Ära von Automatisierung und Digitalisierung beleuchtet, wobei aufgezeigt wird, wie moderne Tools Effizienzgewinne und eine verbesserte interne Kommunikation ermöglichen können.

Tags

internes Kontrollsystem, Finanzinstitute, operationelle Risiken, Risikobewertung, regulatorische Anforderungen, MaRisk, Non-Financial Risks, Geschäftsorganisation, Frankfurter Bankgesellschaft AG, zentrale IKS-Stelle, Mitarbeiterschulung, Digitalisierung, Prozessmanagement, Prozessmodellierung, IKS-Regelkreis, Workflow

Transcript

Einführung in interne Kontrollsysteme

[0:00] Music.

Jonna (0:06-1:57):

[0:06] Herzlich willkommen zu einer neuen Folge von Sound of Finance,

[0:10] dem Podcast von ZEB, der Unternehmensberatung für Finanzdienstleister. Interne Kontrollsysteme, kurz auch IKFs bei Banken, stehen derzeit wieder stärker im Fokus als je zuvor. Dies liegt insbesondere an den steigenden Risiken, der Zunahme regulatorischer Anforderungen und an einem verstärkten Bewusstsein der Institute, dass ein funktionsfähiges IKS ein fester Bestandteil im Management von Non-Financial Risk ist und darüber hinaus auch zu einer sicheren und ordnungsgemäßen Geschäftsorganisation beiträgt. Dies haben wir uns heute zum Anlass genommenum in diesem Podcast intensiv über interne Kontrollsysteme zu sprechen. Das heißt, wir wollen heute insbesondere die Fragen tangieren, warum ist ein IKS wichtig, Welchen Mehrwert stiftet ein IKS für Institute und wie geht man eigentlich konkret bei der Implementierung oder auch der Weiterentwicklung von internen Kontrollsystemen vor? Mein Name ist Jonna Budelmann. Ich bin Beraterin bei ZEB und freue mich für die Diskussion und den Erfahrungsaustausch heute Jessica Pitschmann und Dr. Saskia Hohe in unserem Podcast begrüßen zu dürfen.

[1:17] Jessica ist die zentrale IKS-Stelle bei der Frankfurter Bankgesellschaft Deutschland und Saskia ist Partnerin im ZEB und Expertin im Bereich Non-Financial-Risk. Unsere Wege haben sich vor circa zwei Jahren gekreuzt, als wir ZEB-seitig ein Projekt bei der Frankfurter Bankgesellschaft begreitet haben. Und das Thema war die Weiterentwicklung des internen Kontrollsystems durch den Rollout einer neu entwickelten IKS-Methodik. Liebe Jessica, liebe Saskia, ich freue mich, dass wir uns heute hier zusammengefunden haben und dass wir heute gemeinsam in diesem Podcast über interne Kontrollsysteme im Allgemeinen und über unsere gemeinsamen Erfahrungen sprechen.

Jessica (1:57-2:00):

Hallo, vielen lieben Dank für die Einladung. Ich freue mich sehr.

Saskia (2:00-2:04):

Auch hallo von meiner Seite und ich freue mich auf den Austausch heute.

Jonna (2:04-2:17):

Sehr gut, dann lass uns doch gerne direkt rein starten, ganz zu Beginn. Saskia, magst du uns einmal ganz kurz erläutern, was ein internes Kontrollsystem eigentlich ist und warum es derzeit aus deiner Sicht wieder verstärkt in den Fokus gerät?

Saskia (2:17-4:41):

Ja, sehr gerne, Jonna.

[2:19] Also erstmal, was ist ein internes Kontrollsystem überhaupt? Allgemein gesprochen sind das ja Regeln und Maßnahmen, die sicherstellen sollen,d8] ass auch die Aktivitäten in einer Bank ohne ungewünschte Vorfälle funktionieren und auch angemessen umgesetzt sind. Das ist erstmal so eine formale Definition. Wie sehen wir das in der Praxis und wie verstehen wir im ZEB das IKS? Wir sehen es nämlich etwas weitreichender und auch immer eine Verknüpfung zusammen mit dem Prozessmanagement. Das heißt, wo werden die Prozesse modelliert? Wie sind sie definiert? Wie können wir auch in den Prozessen Risiken definieren? Also das heißt für uns ist auch ein internes Kontrollsystem immer das Zusammenspiel mit dem klassischen Prozessmanagement und einer Risikobewertung mit dem Fokus auf den operationellen Risiken beziehungsweise auch weitergefasst auf die Non-Financial Risk. Deine zweite Frage, warum ist es gerade so aktuell? Und das sehen wir auch in den vergangenen Jahren, eine verstärkte Nachfrage zum Thema internes Kontrollsystem, weil natürlich erstmal ein internes Kontrollsystem.

[3:22] Es gab ja auch den ein oder anderen Vorfall in der Finanzwirtschaft, dass so ein internes Kontrollsystem das Vertrauen in die Bank steigert und kann eben auch bei einem Nicht-Funktionieren auch das Vertrauen in eine Bank sehr schwer erschüttern. Und darüber hinaus hilft es natürlich, wir haben es gerade gesagt, wir sehen es eher bei ZEB gesamtheitlich auf die Risikobewertung, hilft es darüber hinaus auch sämtliche Risiken einer Bank zu identifizieren und damit auch gezielt Maßnahmen abzuleiten, um diese Risiken zu steuern und dann in der Folge den Eintritt dieser Risiken eben zu verhindern oder zumindest

abzuschwächen. Vielleicht ein weiterer Punkt, den ich noch gerne nennen möchte, ist auch die Digitalisierung hat einen großen Einfluss auf das interne Kontrollsystem.

[4:03] Weil wir sehen durch die Digitalisierung, dass sich einerseits erheblich die Prozesse verändern von vielen manuellen Tätigkeiten, die wir in der Vergangenheit in so einem internen Kontrollsystem gesehen haben, hin zu automatisierten Prozessen, aber dann entsprechend sich ja auch das Risikoprofil verändert. Das heißt, das menschliche Versagen, was wir sehr häufig im IKS sehen bei einer Risikoidentifizierung, ändert sich im Sinne von Verlässlichkeit der Systeme. Sind sie angemessen getestet? Wie ist sichergestellt, dass sie richtig funktionieren? Das heißt, hier sehen wir auch die Verschiebung Risikoprofil, die eben auch in der Vergangenheit auch immer wieder zu Anpassungen im internen Kontrollsystem geführt haben.

Jonna (4:41-4:55):

Da hast du jetzt auf jeden Fall schon sehr viele wichtige Punkte genannt.

Blick in die Praxis

[4:44] Jetzt interessiert uns natürlich auch direkt der Blick in die Praxis, Jessica. Was war denn damals für euch im Haus die Treiber zu sagen, wir wollen jetzt unser internes Kontrollsystem weiterentwickeln?

Jessica (4:55-6:36):

[4:55] Die Saskia hat eben schon ganz viele Punkte angesprochen, die tatsächlich auch bei uns im Haus die Treiber waren. Vielleicht mal grundsätzlich, interne Kontrollsysteme sind ja jetzt für Banken nicht neu und auch bei uns im Haus gibt es natürlich schon ein internes Kontrollsystem, was die ganze Zeit auch schon da war. Aber bei uns ging es tatsächlich jetzt um die Weiterentwicklung. Wie können wir hier noch besser werden und wie können wir auch die Bank weiterentwickeln? Und da war ein ganz großer Punkt für uns das Thema ganzheitlicher Überblick.

[5:26] Weil bisher, wir kommen ja von den Prozessen und die Prozesse waren bisher auch schon in verschiedenen Richtlinien, in verschiedenen Handbüchern. Sie waren alle schon da, aber sie waren nicht zentralisiert in einem Punkt oder in einer Stelle zusammengeführt. Und das war ein Hauptpunkt für uns, um da einfach nochmal einen zentralen Überblick zu schaffen und mehr oder weniger auf Knopfdruck sagen zu können, was sind unsere wesentlichen Prozesse, wo sind innerhalb dieser wesentlichen Prozesse unsere wesentlichen Risiken und werden diese Risiken adäquat gemanagt, um dann auch sagen zu können, wo können wir mit dem Effizienzgedanken reingehen, wo finden wir Anknüpfungspunkte für das Thema

Prozessoptimierung, aber auch natürlich, wo können wir noch anknüpfen, um unser

Risikomanagement noch effizienter und noch besser zu machen. Und auf der anderen Seite ist es natürlich auch ganz klar ein Instrument, beispielsweise für den Vorstand, um das ganze Thema Risikomanagement noch besser steuern und auch überwachen zu können.

Jonna (6:36-07:23):

[6:36] Ja, das heißt, ich glaube, das wird ganz deutlich, dass mit dem internen Kontrollsystem,

Prozesse und Effizienz

[6:40] auch wie Saskia anfangs erwähnt hat, einfach wahnsinnig viel mit verbunden ist. Jessica, du hattest gerade das Thema Prozesse angesprochen, ist natürlich vielleicht auch noch ein wichtiger Punkt, das hier zu erwähnen, dass das natürlich auch alles mit einem

Prozessmodellierungstool entsprechend erfolgt ist, um wirklich diese

Transparenz über die Prozesse und natürlich damit auch verbunden über die Risiken und

Kontrollen herzustellen. Saskia, wie ist denn deine Einschätzung? Siehst du andere

Treiber, dass andere Institute vielleicht mit anderen Gründen auch auf uns zukommen, den Austausch suchen? Oder würdest du sagen, das, was Jessica auch gerade skizziert hat, ist weiterhin eigentlich so der große Treiber dahinter?

Saskia (07:23-9:53)

[7:23] Ja, absolut. Also wir sehen nach wie vor als zwei große Treiber diesen gesamtheitlichen Überblick und auch das, was Jessica insbesondere auch erwähnt hat, die Effizienz

sicherzustellen oder die Effizienz zu heben, eher zu sagen an diesem Punkt. Und da würde ich gerne noch anknüpfen an dem von Jessica, Effizienz im Sinne kann man ja auch bei dem Thema internen Kontrollsystem schaffen, wenn man die verschiedenen Risikobewertungen, die es eben im Haus gibt, auch entsprechend mit der IKS-Risikobewertung verknüpft. Also zu sagen, ich habe heutzutage ein Op-Risk-Assessment, was beispielsweise auf Ereigniskategorien funktioniert, kann ich das nicht mit meiner sehr detaillierten, auf einzelnen Prozessschritten identifizierten Risiken und bewerteten Risiken ersetzen? Wie gehe ich denn mit den Risikoanalysen aus anderen Disziplinen um, wie eine Auslagerungsrisikoanalyse? Passe ich diese Risiken erneut in meinem IKS-Assessment oder habe ich hier auch eine Idee zu

sagen, ich erfasse sie nur einmal und zwar vielleicht in den Risikoanalysen für Auslagerung und ich lasse es aus meinem IKS-Assessment weg. Also hier sehen wir auch noch sehr viele Stellhebel für Effizienzen in den Häusern und das ist einer der treibenden Punkte. Was wir jetzt auch neuerdings sehen, ist auch der Fokus auf das IKS-Kontrolltesting.

[8:36] Das heißt, neben dem Thema zu sagen, ich schaffe mir eine Transparenz über die Prozesse, ich schaue mir auch an, wie ist denn die Ausgestaltung oder die Beschreibung der Prozesse im Vergleich zu den Arbeitsanweisungen, Beispiel, also kann ich hier auch nochmal in Richtung Effizienz schauen, brauche ich Prozessbeschreibung und Arbeitsanweisung, ist jetzt eben auch der neue Fokus, das IKS-Kontrolltesting. Das heißt, hier zu sagen, wie kann ich denn methodisch das aufsetzen? Welche Kontrollen sollen getestet werden? Wie erfolgt ein Testing? Mache ich Interviews? Mache ich klassische Walkthroughs? Oder ziehe ich mir auch Stichproben, um die Kontrollen zu testen? Bis hin auch zu der Frage, naja, kann ich auch meine Testdurchführung irgendwie automatisieren? Geht das irgendwie in die Richtung zu sagen, kann ich mir die Dokumente automatisiert anschauen? werden die auch schon in einem Tool direkt abgelegt, sodass ich auch diesen Aufwand der Unterlagenbesorgung irgendwie reduzieren kann.

[9:31] Das heißt, das sind auch jetzt nochmal so die neuen Fokuspunkte, die wir sehen und auch nochmal der Punkt der Digitalisierung. Wie kann ich denn die Prozesse automatisiert durchführen, vielleicht zumindest anhand eines Workflows, um dann auch immer die

Kontrollunterlagen abzulegen, bis hin aber auch wirklich inhand eines

Prozessautomatisierungstools. Das sind so die Themen, die wir auch noch am Markt wahrnehmen.

Jessica (9:53-10:22):

Ja, also ich glaube, das sind tatsächlich auch genau die spannenden Punkte. Und das zeigt einfach, Saskia, wie du es schon gesagt hast, dass das IKS eigentlich viel mehr ist als nur das Aufnehmen von Prozessen, sondern kann daraus echt ein Mehrwert gewonnen werden. Und das gilt es, glaube ich, herauszuarbeiten und auch gerade für die Fachbereiche, dass denen... Ja, zu verdeutlichen, dass das auch so als Mehrwert wahrgenommen wird, finde ich einen ganz ausschlaggebenden Punkt.

Saskia (10:22-11:40):

[10:22] Absolut. Das ist auch ein ganz wichtiger Punkt, den wir auch mal sehen, wenn wir in Projekten sind. Wie nehme ich denn gesamtheitlich die Organisation mit? Weil wir wissen natürlich alle, wie das ist. In den einzelnen Fachbereichen ist sehr viel Aufwand betrieben, um Arbeitsanweisungen zu erstellen. Dann kommt ein IKS-Projekt und dann heißt es, oh, jetzt müssen aber auch die Prozesse nochmal aufgenommen werden, beschrieben werden, vielleicht sogar modelliert werden mit entsprechenden Modellierungsvorgaben. Das heißt, es ist erst mal ein zusätzlicher Aufwand, der auf die Fachbereiche kommt und das sind ja Tätigkeiten, die irgendwie on top gemacht werden, jetzt nicht wirklich in der Stellenbeschreibung eingepreist sind mit entsprechenden Kapazitäten. Das heißt, hier ist ganz wichtig zu sagen, okay, was bringt euch das denn am Ende? Genau wie du, Jessica, gesagt hast, was ja auch bei euch die Herausforderung war, zu sagen, wir haben aber eine große Transparenz. Stellt euch vor, es kommen neue Mitarbeiter hinein, die sehen den Prozess-Flowchart. Das ist viel deutlicher und auf den Punkt gebracht als eine länglich beschriebene Arbeitsanweisung. Wir wissen natürlich auch, es gibt sehr viele Prüfer noch am Markt, die sagen, ich möchte es aber verbal beschrieben haben. Also wie kann man denn diesen Zielkonflikt am besten auflösen, zu sagen, ich habe hier meinen Prozessflow versus was steht noch zukünftig in der Arbeitsanweisung? Und das ist eine der großen Herausforderungen, die es dann immer auch hausindividuell zu lösen gibt.

Jessica (11:40-13:57):

[11:40] Ja, da sprichst du genau den richtigen Punkt an. Das war tatsächlich auch bei uns die Herausforderung. Ohne das jetzt nochmal eins zu eins wiederzugeben, wir kommen jetzt als nächste Second-Line-Kontrollfunktion. Da ist es tatsächlich so, man kann es den Kollegen auch, glaube ich, gar nicht verübeln, da wird jetzt erstmal nicht vor Freude in Luftsprung gewacht, dass wir schon wiederkommen und on top in Workshops die Sachen nochmal neu aufnehmen, obwohl sie ja schon in sämtlichen Dokumenten in Prosa niedergeschrieben sind. Aber ich muss gestehen, das hat bei der FBG D super schnell, super gut funktioniert. Ich weiß nicht, ob ihr das auch so wahrgenommen habt, aber ich habe das sehr, sehr positiv wahrgenommen, dass die Kolleginnen und Kollegen wirklich nach einer ersten Einführung durch uns und auch durch euch direkt gesehen haben, dass es einen Mehrwert bringt. Und dann waren diese Workshops, die haben tatsächlich Spaß gemacht. Also das muss man sagen, wir haben es geschafft,[12:36] dass die Kolleginnen und Kollegen da mitgemacht haben, das nicht als Last vielleicht am Anfang, okay gut, das mag schon sein, aber dann im zweiten, dritten Workshop auch den Mehrwert gesehen haben. Und auch jetzt wird auf uns zukommen und es wird gesagt, den und den Prozess haben wir jetzt auch noch gesehen, der steht aktuell noch nur in der schriftlich fixierten Ordnung und wir möchten den jetzt gerne auch ins Tool bringen, weil wir einfach sehen, dann haben wir einen klaren Blick, wir haben alle Einheiten abgeholt, die drin sind. Es führt auch zu mehr Kommunikation und auch zu Klarstellung. Auch was machen die Einheiten, die verschiedenen Einheiten innerhalb des Prozesses? Weil bisher hat ja jede Einheit nur ihren eigenen Teil gesehen. Von eins bis zwei und dann war fertig. Jetzt auf einmal ist ein Verständnis da, ah, der Kollege XYZ, der ruft mich immer an und sagt, er braucht den Punkt jetzt und jetzt weiß ich aber auch warum.

[13:29] Weil ich sehe, in meinem Tool sehe ich als nächsten Punkt, ist der Kollege dran. Und jetzt weiß ich auch, deshalb kommt er auf mich zu. Also auch dieses tatsächliche Wahrnehmen, warum, wieso, weshalb, das fand ich auch einen richtig guten Punkt. Und du hast vorhin auch schon gesagt, für neue Kolleginnen und Kollegen.

[13:47] Glaube ich, ist es auch einfacher, sich in ein Tool einzuwählen, den Prozess anzuschauen, als in Prosa 40-seitige Dokumente lesen zu müssen.

Saskia (13:57-15:14):

Und ich denke, den Punkt, den du gerade genannt hast mit den Workshops, das war doch einer der Erfolgsfaktoren in dem Projekt. Klar haben wir sehr, sehr viele Workshops gehabt und man sieht erst mal, oh, drei Stunden Workshop habe ich jetzt wieder in meinem Kalender. Aber den Mehrwert am Ende zu sehen, was habe ich damit erreicht? Und wie wir auch gesehen haben, wir haben ja auch erst mal die Prozesse vormodelliert, schon basierend auf dem wir haben. Und auch da haben wir ja noch mal den einen oder anderen Unterschied gesehen. Was steht in der Arbeitsanweisung? Ach, so steht das drin, so könnte man das verstehen. So habt ihr das verstanden? Oh, interessant, so habe ich das noch gar nicht gesehen. Und dann entsprechend auch die Prozesse so aufzuschreiben, wie sie auch wirklich gelebt werden am Ende. Und dieses Workshops-Konzept, klar kann man auch sagen, hier, ihr habt eure Arbeitsanweisung, bitte modelliert das bis zum Termin X und dann komme ich wieder und dann schaue ich es mir an. Den haben wir ja genau nicht gewählt im Projekt, sondern gesagt, wir machen mit jedem Bereich mehrere Workshops ebenso viel, wie es braucht, bis wir die wesentlichen Prozesse, das war ja auch nochmal so ein Ansatz zu sagen, wir haben auch einen risikoorientierten Ansatz und wir brauchen nicht jeden Prozess. Unser Beispiel war ja immer die Keksbestellung für die Kundenmeetings. Den brauchen wir natürlich nicht aufzunehmen, aber wir fokussieren uns wirklich risikoorientiert auf die wesentlichen Prozesse und die haben wir auch in der Zeit in Workshops mit allen Ansprechpartnern aufgenommen.

Jonna (15:14-16:05):

[15:14] Und hier ist es, glaube ich, aber auch nochmal spannend, dann zu erwähnen,

Workshops und Zusammenarbeit

[15:17] dass wir in den Workshops ja auch tatsächlich die End-to-End-Prozesse aufgenommen haben. Also, dass wir wirklich geschaut haben, wo beginnt der Prozess, wo hört der Prozess auf und das heißt, wir sind fachbereichsübergreifend vorgegangen und haben die verschiedenen Stakeholder und Ansprechpartner an einen Tisch bekommen und haben geschaut, wo gibt es eigentlich Schnittstellen und wie ist es tatsächlich, so wie du, Jessica, das auch gerade erwähnt hast, Und das ist genau das, was uns, glaube ich, auch wirklich in Erinnerung geblieben ist am Ende, diese Wertschätzung und diese Erkenntnis, dass wirklich dann auch gesehen wurde, das macht total Sinn hier und das ist total schön, diese Transparenz und diese Übersicht auch zu haben.

Jessica (16:05-16:41):

Ja, also das kann ich auch nur jetzt von interner Sicht eins zu eins widerspiegeln. Und ich glaube, das ist auch einer der Erfolgsfaktoren. Es geht immer um Kommunikation. Wir arbeiten immer mit Menschen und wir arbeiten zusammen.

[16:19] Und das ist einfach einer der Key Facts und auch in diesen Workshops war das genau der Punkt. Gut, ihr seid nicht reingekommen und habt jetzt gesagt, wir sind die externen, wir sind die Berater, wir machen das jetzt so. Es war wirklich ein Zusammenhörigkeitsgefühl dann da und dann war es so, dann möchte man natürlich mitmachen. Und dann führt das Ganze auch zu einem Erfolg.

Jonna (16:41-17:38):

Ich glaube, wir haben jetzt schon sehr, sehr viele gute Punkte auch hier tangiert. Und jetzt ist natürlich die Frage, wir haben über Prozesse gesprochen, wir haben über Risiken gesprochen, Kontrollen, auch diese Verknüpfung oder Verzahnung mit anderen Risikobewertungsmethodiken. Ich kann mir vorstellen, dass man vielleicht erst mal auch gerade, wenn man überlegt, sein IKS weiterzuentwickeln, davor steht und sich denkt, oh Gott, wo fange ich denn hier eigentlich an, weil es eben so umfassend ist und irgendwie eine Ausstrahlung in ganz viele verschiedene Bereiche hat. Deswegen ist es natürlich wichtig, dann auch zu schauen, okay, wo startet man eigentlich genau und wo setzt man auch vielleicht seinen Fokus. Und wir bei ZEB haben dafür auch tatsächlich ein IKS-Framework entwickelt, mit dem wir auch in diese IKS-Projekte starten.

[17:23] Saskia, magst du vielleicht einmal ganz kurz skizzieren, wie dieses Framework aussieht und was in diesen einzelnen Phasenaus denen das ZEB-Framework besteht, was da tatsächlich auch der Fokus ist.

Saskia (17:38-23:27):

Ja, Jonna, das mache ich natürlich sehr gerne. Also klassischerweise starten wir mit einer Status-Quo-Analyse. Das heißt, wir schauen uns erstmal an, wie ist das interne Kontrollsystem in dem jeweiligen Haus aufgesetzt. Das heißt, wir gucken uns

Methodendokumentation an zu dem IKS-Kreislauf, wie werden die Prozesse modelliert, Wie werden die Prozesse aufgenommen? Wie werden dann im nächsten Schritt die Risiken identifiziert? Wie komme ich dazu, welche Kontrollen zu implementieren sind? Bis dann eben hintendrin zum Kontrolltesting und auch zur Berichterstattung und wie wird das Ganze auch gelebt im Sinne eines Veränderungs- und Anpassungsprozesses im Zusammenspiel mit den regulatorischen Anforderungen nach AT 8.2 MRISC. Das heißt, wir starten erst mal mit einer Bestandsaufnahme. Wie sieht das Soll-Konzept aus?

[18:27] Das vergleichen wir erst mal gegen die regulatorischen Anforderungen und aber auch im zweiten Schritt nachdenken. Weil wir eben auch die Erfahrung gesammelt haben, Papier ist geduldig, da schreibt man auch mal einiges auf. Wie sieht es denn in der Praxis aus? Das heißt, wir suchen uns in der Regel eine Reihe von Prozessen heraus, gemeinsam mit dem Kunden, weil der Kunde natürlich schon ein Gespür hat, was sind Prozesse, die sind vielleicht besser aufgeschrieben und was sind Prozesse, die vielleicht nicht ganz so gut dokumentiert sind. Das heißt, wir nehmen da auch immer so eine Stichprobe von einer Reihe von Prozessen an Good and Bad Examples und schauen uns dann die Umsetzung dieser SollVorgaben wirklich im Ist an.

[19:17] Basierend auf diesem Ergebnis der Bestandsaufnahme leiten wir Handlungsmaßnahmen ab. Und die haben eben das Ziel, einerseits das IKS, wenn notwendig, regulatorisch konform aufzustellen, aber auch, und da legen wir einen sehr starken Fokus drauf in den Projekten, auch es effizient zu machen. Weil so ein IKS kann auch ganz schnell eine Organisation umwerfen im Sinne, man muss jeden einzelnen Prozess dokumentieren, jeder muss in der gleichen Granularität oder sogar sehr, sehr granular aufgenommen werden. Die Risikobewertung kann sehr stark ausatmen Und deshalb schauen wir dann auch immer gemeinsam mit dem Kunden.

[19:55] Welche der Handlungsmaßnahmen sollen am Ende auch wirklich umgesetzt werden. Also gehen wir einen risikoorientierten Ansatz und sagen beispielsweise, es gibt Prozesse, die kann ich modellieren und die kann ich risikobewerten. Andererseits wird es eben Prozesse geben, die entsprechende Muss-Vorgaben haben, zu sagen, die müssen aber auf Ebene 3 beispielsweise modelliert werden und da brauche ich auch eine sehr detaillierte

Risikobewertung. Das heißt, auch diese Risikoorientierung ist uns in diesen Projekten immer sehr wichtig.

[20:25] Und dann entsprechend in den nächsten Schritt dann auch gemeinsam in die Umsetzung zu gehen. Und das ist für uns auch eben so ein wichtiger Erfolgsfaktor zu sehen, dass wir bei den Kunden auch immer einen Ansprechpartner brauchen, der das IKS vorantreibt. Was sind so Beispiele, was wir vielleicht bei dem einen oder anderen Haus mal umgesetzt haben? Wir sehen häufig, dass wir nochmal an den Kriterien von Schlüsselkontrollen ein bisschen arbeiten können. Wir sehen sehr, sehr viele oder eine sehr hohe Anzahl an Schlüsselkontrollen und Kontrollen generell in den Häusern. Wir sehen auch teilweise sehr viele Prozesse in den Häusern, wo wir eben dann diesen risikoorientierten Ansatz diskutieren und die Möglichkeiten der Umsetzung bis hin eben auch zu einer Vereinheitlichung der Risikomatrix. Das war ja ein Punkt, den wir schon mal anfangs angesprochen hatten. Viele Risikobewertungen im Haus. Jeder fragt mit einer anderen Risikomatrix ab.

[21:28] Unterschiedliche Kategorien für Eintrittswahrscheinlichkeit, Schadenshöhe, aber vielleicht sogar auch komplett eine andere Skala verwendet wird. Oder Brutto-Netto-Betrachtung versus einer Worst-Case- und Normal-Betrachtung. Also es gibt sehr, sehr viele Dimensionen einer Risikobewertung, die es dann auch erstmal zu vereinheitlichen gibt. Und dann entsprechend auch zu sagen, okay, macht es denn vielleicht Sinn für das Haus, Prozesse zu modellieren? Gibt sehr viele Häuser, die auch sagen, mir reicht eine Prozessauflistung im Sinne einer Prozesslandkarte in einem Tool oder auch in einem Excel? Oder geht man wirklich so weit, Jessica, wie wir es ja auch bei euch gemacht haben, zu sagen, wir modellieren, wir suchen uns ein Tool aus, und das ist auch so einer der Erfolgsfaktoren, das Tool muss auch angenommen werden von den Mitarbeitern, Suchen wir uns so ein Tool aus, wo wir dann entsprechend die Prozesse modellieren können? Oder ist es vielleicht wirklich noch einfach die Auflistung, die ja auch schon mal für Transparenz sorgt?

[22:35] Oder eben, wir haben es gesagt, gerade in letzter Zeit der Fokus sehr stark auf das IKS-Testing. Hier gibt es natürlich auch das ein oder andere Haus, wo wir sagen, wir unterstützen gerne beim erstmaligen Setup des IKS-Testings. Wir schauen uns die Methodik an, wir definieren vielleicht die Methodik. Wir entwickeln gemeinsam auch einen Prüfungsplan, weil auch bei dem IKS-Kontrolltesting, bei der großen Anzahl an Schlüsselkontrollen, die wir in den Häusern sehen, ist es gar nicht möglich, dass alle Schlüsselkontrollen jedes Jahr durch eine unabhängige Funktion getestet werden. Das heißt, auch hier kann man sich risikoorientiert an so eine Prüfungsplanung, eine Revision orientieren, die das Ganze ja auch im Dreijahreszyklus legt und zu sagen, welche Kontrollen teste ich denn in welchem Jahr. Also das sind so Ergebnisse, die wir schon in dem einen oder anderen Haus, gerade jetzt in der jüngsten Vergangenheit umgesetzt haben, wie dann so ein Projekt dann am Ende auch laufen wird.

Jonna (23:27-23:55)

Jessica, wir hatten auch gerade schon gehört von dir, dass bei euch ja insbesondere die Erfolgsfaktoren oder der Fokus auch erstmal auf den Prozessmodellierungen lag, eben weil es vorher relativ verteilt in den verschiedenen Arbeitsanweisungen war und gar nicht einmal visualisiert, so wie Saskia das gerade erwähnt hatte. Würdest du sagen, ihr hattet aber auch oder beziehungsweise wo lag in dem Projekt, in welcher Phase noch weiter der Fokus bei euch?

Jessica (23:55-25:59):

Also da sage ich ganz gern was zu. Der Fokus mit den Prozess-Flow-Charts, ich glaube, das haben wir jetzt schon klar gemacht.

[24:03] Aber die Saskia hatte das eben auch schon mal angesprochen. Ich glaube, es ist wichtig und das hat die Bank erkannt, es muss auch eine zentrale Stelle geben. Weil da kommt so viel dann zusammen. Erstens mal die ganze Koordination und dann auch, dass es natürlich weiterlebt. Weil ja nur durch die Prozessflowcharts, die dienen ja der Grundlage quasi. Das ist ja dann der Startpunkt, um weiterzumachen, um dann die Transparenz zu schaffen und dann aufzeigen zu können, durch diese Transparenz, wo sind meine wesentlichen Risiken. Und das war ein Fokus der Bank. Ganz klar herauszuarbeiten, auch wie die Saskia das auch schon gerade angesprochen hat, auch zu sagen, was will die Bank? Wie ist der Risikoappetit der Bank? Sind wir bereit, sehr geringe und geringe Risiken anders zu steuern und zu managen als Das Wesentliche, also hohe, sehr hohe. Und das ist, glaube ich, auch ein Fokus, den die Bank gesetzt hat, sich um die Risiken zu kümmern, wo es, wenn was passiert, tatsächlich brennt. Dass die adäquat gemanagt und gesteuert werden. Und dass man aber auch durch, auch wieder ein Punkt, den ich das ja gerade schon angesprochen hatte, an der Stelle.

[25:22] Durch die einheitliche Risikomatrix, dass man ein einheitliches Verständnis in der Bank schafft, welche Kriterien müssen erfüllt sein, dass es für mich ein wesentliches Risiko ist. Dass nicht der eine von dem spricht und der andere von dem spricht und am Ende weiß auch der Fachbereich überhaupt gar nicht mehr, ist es jetzt für die Bank was Essentielles oder ist es ein geringes Risiko. Also, dass man da durch die Bank weg ein Verständnis schafft. Und das war einer unserer Fokusthemen oder mehrere Fokusthemen.

Zentrale IKS-Stelle und ihre Aufgaben

Jonna (25:59-26:27):

[25:59] Aber ein Thema, was du gerade noch angesprochen hast, ist eben die Etablierung der zentralen IKS-Stelle. Magst du denn vielleicht einmal Einblicke geben, was deine Tätigkeiten sind? Gerade weil du auch gesagt hast, es ist so wichtig, eine zentrale Funktion zu haben, dass man da vielleicht nochmal den Einblick bekommt, wie sieht denn eigentlich diese zentrale Funktion aus?

Jessica (26:27-28:59)

Ja, sehr, sehr gerne, Jonna. Wir haben, oder die Bank hat vor... Knapp über einem Jahr eine Abteilung gegründet, die heißt zentrale IKS-Stelle und Non-Financial-RiskManagement.

[26:42] Es ist eine klassische Second-Line-Funktion im Risikomanagement-Bereich und die Hauptthemen sind das komplette Management der Prozesslandkarte. Also wenn jemand von extern oder auch von intern quasi kommt und sagt, was sind überhaupt die Prozesse der Bank, dann kommt er zu uns und wir können direkt mittlerweile per Knopfdruck eine Prozessdarstellung auswerten. Also wir können eine komplette Prozessdarstellung im Überblick geben über sämtliche Prozesse, über sämtliche Risiken in der entsprechenden Einwertung im Tool und wir können auch direkt sagen, ob diese Risiken durch entsprechende

Kontrollmaßnahmen und durch Schlüsselkontrollen gecheckt werden. Das ist der eine Punkt, dieses Managen. Das andere ist das Nachhalten, das Weiterentwickeln dieser Prozesse. Da haben wir auch einen klaren Fokus drauf. Wir möchten Effizienzen heben und wir möchten auch Prozesse, hatte vorhin auch schon die Saskia angeschnitten, von vielen manuellen Tätigkeiten auf automatisierte Tätigkeiten heben. Also wir möchten die

Automatisierung der Prozesse mit dem Effizienzgedanken und dem Prozessoptimierungsgedanken noch vorantreiben. Und dann haben wir natürlich als dritten großen Punkt auch das Thema Funktionstesting.

[28:03] Dass wir als Second-Line-Funktion uns Prozesse, die eben spezielle

Risiken bergen, nochmal in einem eigenen Testing anschauen und da Feedback geben. Und was auch noch ein großer Punkt ist, das Zusammenspiel zwischen den verschiedenen Risikoeinheiten. Weil auch hier können wir noch dieses ganze Silo-Denken ein bisschen aufbrechen und auch voneinander profitieren.

[28:31] Weil es wäre wahrscheinlich ein bisschen unglücklich, wenn jede Risikoeinheit einzeln losläuft und wir zum Fachbereich kommen und der Fachbereich dann sagt, ja aber das wurde doch von Compliance schon getestet, da war schon die Risikoeinheit da und die Risikoeinheit war auch schon da und jetzt sagen wir euch das zum vierten Mal.

Saskia (29:00-29:34):

Wir haben ja auch gerade im Projekt uns bewusst dafür entschieden, die zentrale IKS-Stelle in eine Second-Line-Funktion anzusiedeln. Und wir haben ja aber auch Prozessverantwortliche definiert, die in den jeweiligen Fachbereichen sitzen. Und aus unserer Erfahrung stellt sich immer so am Markt die Frage, was mache ich zentral und dezentral? Vielleicht, Jessica, kannst du nochmal ganz kurz beschreiben, was macht ihr bei dem Thema Prozessmodellierung, Risikoidentifizierung, Ableitung, Notwendigkeit von Kontrollen zentral und was habt ihr dezentral in den jeweiligen Fachbereichen?

Jessica (29:34-31:39):

Also, wie du es gerade schon angesprochen hast, es gibt verschiedene Rollen und wir haben das so aufgesetzt, für jeden Prozess gibt es einen Prozess-Owner und der ist im Fachbereich. Der liegt nicht bei der zentralen IKS-Stelle. Und aus dem Fachbereich heraus werden auch die Prozesse modelliert.

[29:55] Da gab es entsprechende Schulungen für die Mitarbeiter, was ein ganz, ganz wichtiger Punkt ist

[30:14] Dann

werden Risiken aufgenommen und auch schon Kontrollen aufgenommen. In der IKS Stelle ist dann der Punkt Qualitätssicherung. Es gibt einen methodischen Check-up, den wir durchführen, weil wir nach BPMN 2.0 modellieren. Das heißt, es gibt ganz klare

Modellierungsvorgaben. Und da ist das erste Quality-Gate. Wir schauen, als zentrale

Einheit wurde die Methodik eingehalten. Und dann schauen wir auch, wie ist die Risikoeinstufung und wenn die Risikoeinstufung ab einer gewissen Höhe ist, muss auch zwingend eine Schlüsselkontrolle vorhanden sein. Sollte die nicht da sein, haken wir im Rahmen unseres Quality Gates natürlich nach und sagen, hier per Definition, du hast das Risiko als wesentlich eingewertet, was ist mit der Kontrolle? Und dann gibt es auch einen ersten AhaEffekt. Entweder das Risiko ist falsch eingewertet oder ich muss mir bewusst werden, ich brauche hier zwingend eine Kontrolle, weil das Risiko für die Bank wesentlich ist. Und das ist quasi das erste Quality-Gate und das zweite Quality-Gate liegt dann nochmal bei dem Prozessverantwortlichen, der auch nochmal die Prozesse checkt und sie dann freigibt.

[31:27] Dann gibt es natürlich einen Kontrollplan auch von unserer Seite, auf das Jahr aufgeteilt, risikoorientiert und dann führen wir Kontrollen durch als typische Second-Line-Funktion.

Saskia (31:39-32:29):

Gerade der Punkt der Kontrollen, Jessica, den du gerade erwähnt hattest, zu sagen, ist es wirklich eine Schlüsselkontrolle, passt die Risikobewertung, ist eben in der Praxis sogar ja noch weiter auch zu fassen und zu sagen, naja, ich habe da ein Risiko, ich nenne das mal ein Beispiel, 1000 Euro im Brutto, das heißt vor Kontrollen. Ist ja auch dann die Frage, braucht es diese Kontrolle überhaupt oder ist es eben in meinem Risikoappetit des Hauses implementiert zu sagen, 1000 Euro liegt unterhalb unserer Toleranzgrenze. Wir können hier auch Kontrollen einsparen und müssen eben nicht jeden Kleinstbetrag kontrollieren. Also auch in diese Richtung immer wieder beim Setup zu denken, ist ja auch genau das, was wir bei euch im Haus gemacht haben, zu sagen, okay, welche Art von Kontrollen braucht es oder braucht es überhaupt eine Kontrolle, um da auch wieder diesen Effizienzgedanken mit reinzubringen.

Jessica (32:29-

[32:29] Ja, genau, vollkommen richtig, weil du hattest ja auch schon mal anfangs erwähnt, das ist auch euer Eindruck, es gibt einfach super viele Kontrollen und super viele Risiken, die einfach in den Häusern vorhanden sind, aber nicht jedes Risiko hat einen entsprechenden Wert. Und das haben wir auch bei uns im Haus festgestellt. Und da liegt einfach dann nochmal unsere Aufgabe drauf zu schauen, ist das jetzt ein wesentliches Risiko, ja oder nein? Und dann auch schon mal einen kleinen Check-up zu machen, hier ist jetzt eine Kontrolle, passt die, um das Risiko zu mitigieren? Weil wir nehmen ja immer, wie du auch schon gesagt hast, die Brutto-Sicht erstmal des Risikos auf. Und dann sehe ich schon direkt beim ersten Durchschauen, ist die Kontrolle im Design überhaupt angemessen, um dieses Risiko zu mitigieren. Und das sind tatsächlich gute Checks nochmal, die man dann macht, um zu sagen, passt oder passt eben nicht.

Jonna (33:22-34:48):

Ich glaube, hier ist auch nochmal wichtig dann zu erwähnen, Bruttosicht ist eben die Risikobewertung ohne Kontrollen. Also, dass man davon ausgeht, dass die Kontrollen nicht funktionieren oder dass es keine gibt und daraus abgeleitet dann eben die Nettosicht. Also, dass man dann eben schaut, wie verhält sich das Risiko dann eben unter Berücksichtigung von Kontrollen. Das vielleicht noch einmal als kleiner Einschub hier an der Stelle. Aber ich finde es total spannend zu sehen. Wir sind jetzt so ein bisschen aus diesem ganzen Thema Initierung des Projektes. Woher kamt ihr eigentlich? Was war eigentlich euer Antritt?

[33:56] Über zum, wie sind wir im Projekt vorgegangen?. Jetzt ist natürlich nochmal ein wichtiger Punkt, wie entwickelt sich das IKS dann aber eigentlich auch in Zukunft? Habt ihr konkrete Fokusthemen, auf die ihr schaut? Also wie wird sich euer IKS in Zukunft vermutlich weiterentwickeln? Ihr hattet gerade schon tangiert Automatisierung, Digitalisierung.

Jessica (34:48-37:04):

Ja, tatsächlich ist ein Hauptpunkt das Thema Workflow-basierte Automatisierung von Prozessen, weil dann wird es auch, glaube ich, für jeden Mitarbeiter und jede Mitarbeiterin erlebbar. Wenn ich es hinbekomme, dass ich den Prozess so gut modelliert habe, dass ich mir dann beispielsweise E-Mail-Pingpong bei Abstimmung einfach sparen kann, weil ich den Prozess starte und er automatisiert diese ganzen Wege abläuft mit Entscheidungen, mit Rückfragen, mit Quality Gates. Das kann ich tatsächlich mittlerweile alles super machen, wenn die Basis der Modellierung einfach stimmt. Und da möchten wir hinkommen, um dann auch wieder die Effizienz zu heben und auch Zeiten für die Mitarbeiter freizumachen. Jeder kennt das, der Tisch ist immer voll.

[35:33] Und mit so Prozessen, die dann automatisiert durchlaufen, kann ich mir einfach Zeiten einsparen und habe dann wieder Zeit für andere Themen, die ja auch noch auf dem Tisch liegen. Das ist natürlich der eine Punkt. Der andere Punkt ist aber tatsächlich auch die Verschlankung unserer schriftlich fixierten Ordnung.

[35:57] Da möchten wir hin, dass wir sagen, alles, was prozessorientiert ist, kommt aus der SFO raus und ist künftig im Tool. Und was wir auch noch im Fokus haben und was ich jetzt auch schon sehe, wir können einfach durch die Visualisierung viel schneller auf Veränderungen innerhalb der Prozesse reagieren. Wenn beispielsweise eine regulatorische Änderung kommt, kann ich, weil ich das vorher in den Prozess eingegeben habe, dass Paragraf XYZ relevant ist, kann ich sofort per Knopfdruck sehen, welcher Prozess ist von der Änderung betroffen.

[36:36] Ich muss nicht mehr zehn Arbeitsanweisungen, zehn Richtlinien durchschauen, weil ich im Kopf habe, irgendwo müsste da drin was stummern. Ich kann per Knopfdruck automatisiert mir ausspucken lassen aus dem System, Welche Sachen muss ich anpassen? Und habe ich dann Prozesse mit wesentlichen Risiken? Und das finde ich auch einen super Mehrwertpunkt.

Saskia (37:04-39:57):

Das sind ja auch schon eine Reihe von Themen, die ja auch mal nicht von heute auf morgen umsetzbar sind. Wir sehen es ja auch in anderen Häusern gerade, der Fokus auf Automatisierung von Prozessen oder Workflowbasierte Unterstützung. Den Punkt, Jessica, den du gerade erwähnt hattest, dieses E-MailPingpong, das ist so ein großer Aufwandstreiber, den man mit so einer Tool-Unterstützung und dann auch die Ablage der Kontrolldokumentation, das kommt ja dann noch dazu, wenn das IKSKontrolltesting implementiert ist, die man einfach dann auch verschlanken kann bis hin zur Auflösung. Man lädt das hoch, die zentrale IKS-Stelle lädt sich die Dokumente runter.

[37:35] Ich muss nicht noch sagen, ich möchte zu dem Datum, zu dem Datum, zu dem Datum mir das anschauen, sondern die Unterlagen liegen einfach vor und man spart sich da extrem viel Zeit und auch das Thema mit der Verschlankung der SFO, das ist auch ein Punkt, den wir am Markt sehr, sehr stark im Moment wahrnehmen. Ich hatte es eingangs gesagt, es gibt noch so einen Zielkonflikt.

[37:53] Prüfer möchten noch sehr viele Unterlagen in einer Prosa-Form haben. Auch hier muss sich, denke ich, mal die Prüfer auch anpassen zu sagen, okay, wir kommen auch mit einem Prozessflow klar. Und der beinhaltet ja gerade, wenn man es ordentlich dokumentiert, alle Informationen auch zu den Kontrollen, zu den Arbeitsschritten, die notwendig sind, um das Prozessverständnis zu erzielen bei dem Thema. Ich würde gerne noch einen Punkt ergänzen, was aus unserer Sicht noch sehr, sehr wichtig ist, ist einfach eine ganz starke Eine IKS-Stelle, eine zentrale IKS-Stelle, die nämlich wirklich die Umsetzung der Vorgaben überwacht und auch aktiv einfordert, wenn es eben nicht passiert. Du hattest vorhin die Beispiele genannt, als du uns über die Aufgaben informiert hast, was ihr so macht, auch wirklich nachzufragen und zu challengen, was ausgefüllt worden ist. Passt diese Risikobewertung und wir haben es vielleicht gesehen, XY Schadenswelle in der Vergangenheit oder es gibt die und die Revisionsfeststellung, habt ihr euch das mal daneben gelegt, wenn ihr die Risikobewertung macht und würdet ihr dann auch noch auf das Ergebnis kommen? Klar dürfen wir nicht vergessen, es geht hier um operationelle Risiken oder größer gesprochen um Non-Financial Risks. Da sind wir in einer subjektiven Risikobewertung. Da können wir nicht zählen, messen, wiegen. Wir können es nur plausibilisieren und entsprechend challengen.

[39:12] Aber wichtig ist hier wirklich dieses Dranbleiben, weil wir haben auch schon in einzelnen Häusern gesehen, es gibt ein Projekt, HauruckAktionsmäßig, jetzt machen wir alle Prozesse, alle Risikobewertungen und dann schläft das wieder so langsam ein und dann muss man wieder in zehn Jahren diesen Aufwand betreiben und das sind ja dann auch größere Projekte im Sinne, ich muss wieder die Prozesse aktualisieren. Wenn ich das dann wieder on block machen muss, dann kommt ja auch wieder der große Aufwand zu. Also das auch nochmal so aus unserer Praxissicht, dieses Wichtige, diese zentrale Funktion zu haben, dass man immer hinterher ist, die Vorgaben einzuhalten, nachzuhalten, aktuell zu halten. Das ist wirklich ein sehr lohnender Aufwand und aus unserer Sicht auch wirklich wichtig, dass so ein IKS akzeptiert wird und auch entsprechend gelebt wird in den Häusern.

Jessica (39:57-40:49):

Ja, ich möchte nochmal einen Punkt aufgreifen, weil du das jetzt auch gesagt hast, dass verschiedene Prüfer noch oft an den gut bekannten, schriftlich fixierten Ordnungsdokumenten festhalten. In Proza-Version. In Rosabel, so genau. Da kann ich auch schon ein bisschen aus dem Nähkästchen plaudern.

[40:14] Also bei uns kam es bisher tatsächlich immer super gut an, wenn wir aus dem Tool... Die Prozesse rausziehen konnten und die vorlegen konnten. Also ich kann jetzt aus der Erfahrung hier nur sagen, es kam bei jedem total gut an. Weil wie du auch schon gerade gesagt hast, du hast den Prozess direkt im Prozess, das Risiko mit entsprechender Einwertung und kannst direkt sehen, gibt es dazu eine Kontrolle. Ja, nein, ist die angemessen, ist die wirksam, kann ich direkt checken. Also eigentlich für jeden Prüfer das, was er sich wünscht, ja, auf den ersten Blick.

Saskia (40:49-41:31):

[40:49] Und es ist halt definitiv klarer als ein geschriebener Text. Und wir haben es in den Workshops ja auch gesehen, wir sehen das immer, zu sagen, ach so kann man das sehen. Und ach das, so versteht ihr diesen Text. Und weil natürlich schreibt das jemand, der so in dem Prozess drin ist und schreibt da so seine Gedanken auf, dass es eben auch für einen Dritten dann nicht nachvollziehbar oder zumindest interpretierfähig ist. Und das schafft dann natürlich die Transparenz, die du ja auch schon erwähnt hast, Jessica, bei euch im Haus und auch wirklich die Klarheit, wie läuft der Prozess. Ja, total.

Jonna (41:33-43:57):

[41:33] Ja, sehr schön. Ich glaube, das war doch jetzt ein ganz gutes Schlusswort auf jeden Fall, weil das sehr perfekt zum Anfang passt, wo wir auch die Vorteile von den

Prozessmodulierungen nochmal hervorgerufen haben. Von daher haben wir, glaube ich, sehr, sehr gut den inhaltlichen Rahmen geschafft und ich bedanke mich ganz doll bei euch beiden für das interessante Gespräch und die spannenden Einblicke. Natürlich auch insbesondere an dich, Jessica, dass du uns die Insights von unserem Projekt der Frankfurter Bankgesellschaft hier mitgeben konntest und ein bisschen aus dem Nähkästchen geplaudert hast. Ich glaube, das ist sehr, sehr hilfreich, ja auch für andere Institute und natürlich auch immer durch Saskia nochmal diesen Marktblick und auch diese Einschätzung zu haben. Und ich glaube, dadurch können wir sehen, dass IKS gerade ein Thema ist, was sehr bewegt und was sich aber auch fortläufig weiterentwickelt

[42:36] Aber darf man natürlich auch nicht vergessen, ist es auch immer mit Herausforderungen verbunden. Aber im Endeffekt würde ich sagen, dass wir ganz gut die Mehrwerte eines funktionierenden

Zusammenfassung und Ausblick

[42:48] IKS hier auch darstellen konnten. Beginnt von der Transparenz und der zentralen Steuerung durch die zentrale IKS-Stelle bis hin zum verstärkten Aufbau einer Risikokultur und natürlich durch die Prozess-Flow-Charts, auch die vereinfachte Einarbeitung von Mitarbeitenden. Deswegen nochmal vielen Dank an euch beiden für eure Einschätzungen. Sehr, sehr gerne. Vielen Dank, dass ich da sein durfte. Ja, vielen Dank auch von meiner Seite nochmal an dich, Jessica, für die interessanten Einblicke und Jonna für die Moderation. Und wie ihr wisst, freuen wir uns immer sehr über eure Meinungen zu dem Thema, zum Beispiel per Mail oder auch per Social Media. und wenn euch die Folge gefallen hat, dann abonniert sehr gerne den Podcast, lasst uns eine Bewertung da und empfiehlt ihn auch gerne in eurem Netzwerk weiter. Ja, an der Stelle bleibt uns nur noch zu sagen, vielen Dank fürs Zuhören und bis zum nächsten Mal bei unserem Podcast Sound of Finance.

[43:50] Music.