CIA ERFA Tagung vom 12.4.2017

Jörg Dössekker, der  Leiter der ERFA-Tagung, erklärte eingangs das Konzept der ERFA-Tagung und stellte das Thema der aktuellen Veranstaltung, Conduct Risk, vor. Er gab im Weiteren bekannt, dass die nächste Veranstaltung am 29.11.2017 in den Räumlichkeiten des Hallenstadions Zürich stattfinden wird. Anschliessend wurde das Thema der nächsten Tagung „IA 2020 – Trends im Internal Audit“ unter Mitwirkung der Teilnehmer gewählt.

Denis Neukomm Geschäftsführer des Schweizerischen Verbands für Interne Revision (SVIR) präsentierte im Folgenden Neuigkeiten aus dem SVIR, namentlich personelle Änderungen, die Überarbeitung des Q-SATs, neue Implementation und Supplemental Guides des IIA und neue Seminarangebote des SVIR. Er berichtete auch, dass 2016 die Marke von 1000 CIAs in der Schweiz überschritten wurde und beendete seinen Vortrag mit einem Appell zur Teilnahme an der diesjährigen die ECIIA-Konferenz in Basel.

Die Präsentation von Marco Lechthaler, BDO AG Financial Services, setzte sich mit der Thematik „Conduct Risk & Culture“ aus der Perspektive von Banken und Vermögensverwaltern auseinander. Ausgehend von den regulatorischen Vorgaben zum Management von Verhaltensrisiken und deren Anwendung überlegte er, was deren Einfluss auf die Tätigkeit der Internen Revision ist. Die Rolle der Internen Revision sieht er vor allem in einer fortlaufenden Analyse der Prozesse, Verantwortlichkeiten und Kontrollen, der (selbst-) kritischen Einschätzung in welchen Bereichen Verhaltensrisiken auftreten können, der Thematisierung von Verhaltensrisiken und des Hinterfragens von Regelungen und Prozessen.

Andrea Sidler berichtete in ihrem Vortrag zum Thema „Prüfziele eines Risk Culture Framework Audits über Ihre Erfahrungen mit einem solchen Audit. Als Prüfziele legte sie adäquate Umsetzung und Kommunikation des Risikoappetit-Rahmenwerks, die robuste Einbettung von Elementen der Risikokultur mit dem Ziel der Erreichung des gewünschten Risikoverhaltens und die Übereinstimmung des Rahmenwerks mit den Vorgaben des (US) Financial Stability Board. Wesentliche Erkenntnisse aus der Revision waren die Wichtigkeit einer bewussten Entscheidung zur geprüften Stelle (2. Oder 3. „Verteidigungslinie“, als Ausgangspunkt die bestehenden Vorgaben und Erwartungen zu nehmen und zu versuchen, mittels Datenanalyse das Nichtgreifbare greifbar zu machen.

Andreas Scherer stellte einen „Ansatz zum erfolgreichen Umsetzen von Risikoverhalten (Conduct Risk) und Pflege von Risiko-Kultur (Risk Culture)“ am Beispiel von Finanzinstituten vor. Das Risikoverhalten beschränkt sich dabei nicht nur auf einen Bereich oder eine Funktion, sondern umfasst das gesamte Unternehmen. Zur Erreichung einer adäquaten Umsetzung sollten die Institute einen umfassenden Ansatz wählen, welcher:

  1. Die Definition einer Risikoverhaltens-Strategie
  2. Die Umsetzung der Risikoverhaltens-Strategie
  3. Die Festlegung des Risikoverhaltens-Appetits 
  4. Die Einführung einer Risikoverhaltens-Politik umfasst

Dabei ist das „Three Lines of Defense“-Modell ein zentraler Erfolgsfaktor zur effektiven Umsetzung.

Ausgehend von einem konkreten Betrugsfall bei Gategroup stellte Fabienne Sonderegger die Wesentlichkeit von internen Kontrollen in den Vordergrund. Dabei ist es zentral, dass die Kontrollen:

  1. Klar sind
  2. Sinnvoll sind
  3. In einen grössen Zusammenhang gestellt werden
  4. Konsistent sind
  5. Über die Zeit unterhalten und durchgesetzt werden

Dabei ist auch zu beachten, dass zusätzliche Kontrollen ab einem gewissen Punkt an Effektivität verlieren. Anschliessend stellte sie das Modell der KPMG zur Messung des ethischen Klimas in einer Unternehmung anhand einer kurzen Umfrage bei den Anwesenden vor.

Michele Poffo berichtete in seinem Vortrag über die „Auswirkung der Unternehmenskultur auf das Kontrollumfeld“, ebenfalls auf der Basis von Betrugsfällen. Er verortet die Ursache für eine falsche Unternehmenskultur bei unrealistischen Vorgaben, welche unter anderem zu weniger Loyalität, Fahrlässigkeit und ein gefährliches Verhältnis zu Compliance (meine Ziele um jeden Preis) führen. Auch extremer Konformitätsdruck, das Nicht-Zulassen abweichender Ansichten und die Beschönigung schlechter Entscheidungen können einen negativen Einfluss auf die Unternehmenskultur haben. Damit d  ie Inte  rne Revision kulturelle Themen effektiv anpacken kann, braucht es die Bereitschaft des Verwaltungsrats, die Kooperation mit anderen Abteilungen zu fördern, nicht nur Fakten zu diskutieren sondern auch „Bauchgefühle“  und bestehende Gleichgewichte in Frage zu stellen. Der Internen Revision empfiehlt er angesichts der meist „weichen Faktoren“ keine separate Einschätzung der Unternehmenskultur vorzunehmen, sondern immer im Zusammenhang mit dem IKS und im Rahmen einer konkreten Feststellung.

Ihr Referat zum Thema „“Embedded Conduct Risk framework and role of Internal Audit in Conduct Risk Strategy” begann Simone Obernöder mit Beispielen zu Verurteilungen der (britischen) Financial Conduct Authority aufgrund mangelnder Verhaltenskultur. Sie zeigte anschliessend Ansatzpunkte zur Einbettung von Verhaltenskultur-Strategien auf und stellte ein Modell zu Klassifizierung der Maturität eines Conduct Risk-Rahmenwerks vor. Bei der Prüfung eines Conduct Risk-Rahmenwerks sollte die Interne Revision ihrer Meinung nach die folgenden fünf Punkte abdecken:

1. Bewertung des Conduct Risk-Appetits der Unternehmung

2. Analyse der Kontrollen zur Überwachung der Einhaltung der Risikotoleranz-Schwellenwerte

3. Berichterstattung an die relevanten Gremien und die Identifizierung des Managements mit „ihrem“ Conduct Risk

4. Wirksamkeit der Risikoindikatoren und Managementinformation zur Messung von Verhaltensrisiken

5. Umsetzung von Massnahmen zur Erreichung der gewünschten Verhaltensweisen.

Zum Abschluss der Veranstaltung erfolgte ein kurzes Podiumsgespräch zwischen den Referenten unter der Leitung von Jörg Dössekker.

Zusammengefasst von Martin Haeny