10 Praxisnahe Beispiele für ein Internes Kontrollsystem (IKS) im Bankenumfeld:
Abkürzungsverzeichnis
| Abkürzung | Bedeutung / Erklärung (einfach erklärt) |
|---|---|
| AML | Anti-Money Laundering – Maßnahmen zur Geldwäscheprävention. Banken müssen verdächtige Transaktionen erkennen und melden. |
| BAFIN | Bundesanstalt für Finanzdienstleistungsaufsicht – deutsche Aufsichtsbehörde für Banken, Versicherungen und Wertpapierhandel. |
| BAIT | Bankaufsichtliche Anforderungen an die IT – nationale Regeln der BaFin zur IT-Sicherheit, Informationssicherheit und Auslagerungssteuerung. |
| CRR / CRD | Capital Requirements Regulation / Directive – EU-Regeln zur Eigenkapital- und Risikotragfähigkeit von Banken (Umsetzung von Basel III). |
| DORA | Digital Operational Resilience Act – EU-Verordnung (ab 2025) zu IT-Resilienz, Cybersecurity und Drittparteien-Risiken in der Finanzbranche. |
| FIU | Financial Intelligence Unit – nationale Zentralstelle zur Entgegennahme und Analyse von Geldwäsche-Verdachtsmeldungen. |
| GwG | Geldwäschegesetz – deutsches Gesetz zur Prävention von Geldwäsche und Terrorismusfinanzierung. |
| IKS | Internes Kontrollsystem – Gesamtheit aller Prozesse, Kontrollen und Richtlinien zur Risikosteuerung in einem Unternehmen. |
| IT | Information Technology – Informationstechnologie (z. B. Systeme, Netzwerke, Datenverarbeitung). |
| LCR | Liquidity Coverage Ratio – Liquiditätskennzahl, die sicherstellt, dass eine Bank genug kurzfristige liquide Mittel für 30 Tage Stressszenario hat. |
| NSFR | Net Stable Funding Ratio – Langfristige Refinanzierungsquote; soll sicherstellen, dass langfristige Kredite auch langfristig finanziert sind. |
| MaRisk | Mindestanforderungen an das Risikomanagement – zentrale BaFin-Regelung, die beschreibt, wie Banken Risiken steuern und kontrollieren müssen. |
| SAR / STR | Suspicious Activity Report / Suspicious Transaction Report – Verdachtsmeldung im Rahmen der Geldwäscheprävention (an FIU). |
| SLA | Service Level Agreement – vertragliche Vereinbarung mit Dienstleistern über Qualität, Leistung und Kontrollmechanismen. |
| TLod / 3LoD | Three Lines of Defense – Modell mit drei Verteidigungslinien im Risikomanagement: Operative Bereiche, Kontrollfunktionen, Interne Revision. |
| Treasury | Abteilung einer Bank, die Liquidität, Refinanzierung und Eigenanlagen steuert. |
| VaR | Value at Risk – statistisches Maß, das das mögliche Verlustpotenzial in einem bestimmten Zeitraum mit einer bestimmten Wahrscheinlichkeit angibt. |
| Prozess / Bereich | Risiko (was passieren kann) | Kontrolle (wer macht was, wie und warum) |
|---|---|---|
| 1. Kreditvergabeprozess | Kredit wird an zahlungsunfähigen Kunden vergeben → Adressenausfallrisiko | Vier-Augen-Prinzip: Kreditsachbearbeiter prüft Bonität (Scoring, Einkommen, Sicherheiten). Teamleiter oder zweiter Mitarbeiter kontrolliert Bewertung und genehmigt Kredit erst nach vollständiger Dokumentenprüfung. Warum: Verhindert Fehlentscheidungen oder Interessenkonflikte und sorgt für objektive Kreditwürdigkeitseinschätzungen. |
| 2. Handelsgeschäft (z. B. Wertpapierhandel) | Händler überschreitet Positions- oder Verlustlimits → Marktpreisrisiko / operationelles Risiko | Limitüberwachung: Handelsabteilung arbeitet mit systemisch hinterlegten Positionsgrenzen. Das Risikocontrolling überwacht in Echtzeit und prüft tägliche Reports. Warum: Begrenzung individueller Fehlentscheidungen und Schutz vor Marktverlusten. |
| 3. Zahlungsverkehr / Transaktionen | Betrug oder fehlerhafte Überweisungen → operationelles Risiko / Fraud Risk | Aufgabentrennung: Ein Mitarbeiter erfasst Zahlung, ein anderer gibt sie frei. Für Beträge über einer Schwelle greift eine zusätzliche Systemkontrolle (z. B. IBAN-Validierung). Warum: Trennung von Eingabe und Freigabe minimiert Betrugs- und Fehlerrisiken. |
| 4. Bargeldbestand in der Filiale | Unstimmigkeiten zwischen Kassen- und Buchbestand → operationelles Risiko / Diebstahl / Fehlbuchung | Kassenprüfung: Filialleiter oder zweiter Mitarbeiter vergleicht täglich oder wöchentlich den physischen Kassenbestand mit Buchführung. Differenzen werden sofort dokumentiert und untersucht. Warum: Stellt sicher, dass Bargeldbestände korrekt geführt sind und Unregelmäßigkeiten früh erkannt werden. |
| 5. Liquiditätsmanagement | Fehlende Mittel zur Erfüllung kurzfristiger Verpflichtungen → Liquiditätsrisiko | Tägliches Liquiditätsreporting: Treasury erstellt Liquiditätsübersicht, Leiter Treasury prüft Kennzahlen (LCR, NSFR) und leitet Gegenmaßnahmen ein. Warum: Gewährleistet Zahlungsfähigkeit und Einhaltung regulatorischer Mindeststandards. |
| 6. IT- und Zugriffskontrolle (Datenschutz) | Unbefugter Zugriff auf Kundendaten → IT- / Datenschutzrisiko | Access Reviews & Berechtigungskontrolle: Fachvorgesetzter beantragt Rechte (Need-to-know-Prinzip). IT-Abteilung vergibt Zugriff, ISB prüft quartalsweise Berechtigungslisten und deaktiviert inaktive Zugänge. Warum: Minimiert Missbrauchsrisiken und erfüllt Datenschutzvorgaben (z. B. DSGVO, BAIT). |
| 7. Outsourcing / Dienstleistersteuerung | Dienstleister hält Sicherheits- oder Qualitätsstandards nicht ein → operationelles / Reputationsrisiko | Dienstleister-Monitoring: Fachbereich führt jährliche Leistungsüberprüfung (SLA-Reports, Zertifikate, Audits) durch. Compliance prüft Risiken nach MaRisk/BAIT. Warum: Sichert, dass ausgelagerte Prozesse denselben Kontrollen unterliegen wie interne. |
| 8. Geldwäscheprävention (AML) | Verdächtige Transaktionen werden übersehen → Compliance- / Reputationsrisiko | Transaktionsmonitoring & Screening: Automatisches AML-System analysiert Kundentransaktionen; AML-Team prüft Auffälligkeiten manuell und meldet Verdachtsfälle an FIU. Warum: Erfüllt gesetzliche Pflichten (GwG) und verhindert Geldwäsche sowie Rufschäden. |
| 9. Meldewesen / regulatorisches Reporting | Fehlerhafte oder verspätete Meldungen an Aufsichtsbehörden → Compliance-Risiko | Vier-Augen-Kontrolle & Plausibilitätsprüfung: Fachbereich erstellt Meldung; Risikocontrolling prüft Datenquellen, Vollständigkeit und genehmigt vor Abgabe. Warum: Vermeidet Fehlinformationen gegenüber Aufsichtsbehörden und stellt regulatorische Konformität sicher. |
| 10. Reputationsmanagement / Öffentlichkeitsarbeit | Negative Berichterstattung oder Krisenkommunikation → Reputationsrisiko | Kommunikationsleitlinie & Freigabeprozess: Pressemitteilungen werden von der Kommunikationsabteilung erstellt, vom Compliance Officer geprüft und erst nach Vorstandsfreigabe veröffentlicht. Warum: Sichert konsistente Kommunikation und reduziert Risiko von Reputationsschäden. |
| 11. Kundenanlage / Know Your Customer (KYC) | Kundenstammdatensätze im System sind unvollständig oder veraltet -> Compliance-Risiko | Jährliche KYC-Überprüfung: Automatische Erinnerungen und verpflichtende jährliche Datenüberprüfung einführen. Warum: Verstoß gegen Geldwäschegesetz, Sanktionen durch Aufsicht. |