Das IKS und die Kontrollfunktionen entwickeln sich weiter

Governance, Risikomanagement und Compliance (GRC) sind für den Unternehmenserfolg von zentraler Bedeutung – vor allem in der Finanzbranche. Doch wie entwickelt sind die Themenstellungen der Unternehmen wirklich? Eine aktuelle Umfrage zeigt: Die GRC-Systeme haben sich positiv entwickelt – doch es gibt auch Optimierungsbedarf.

Für die Unternehmen sind wirksame und stabile Kontrollsysteme unerlässlich. Ihr Aufgabenkatalog ist dabei äußerst vielfältig: Unter anderem sollen sie Risiken identifizieren, bewerten und mindern; sie sollen vor Betrug schützen; sie sollen dafür sorgen, dass die Unternehmen Gesetze und Regulatorik beachten; und sie sollen prozessuale Fehler im System detektieren und abstellen. Die Ausgestaltung und Reife der implementierten Überwachungs- und Kontrollmaßnahmen sind zudem auch für Abschlussprüfer*innen von hoher Bedeutung, denn sie haben oftmals einen wichtigen Einfluss auf die Risikobewertung und die Prüfstrategie.

Umfragedesign: Fokus auf Kreditinstitute und Finanzdienstleister

Wie sind die Kontrollfunktionen derzeit in der Finanzindustrie ausgestaltet und miteinander verzahnt? Ist es den Finanzunternehmen gelungen, die entsprechenden Prozesse und Systeme zu einer ausreichenden Reife zu führen und damit die erhofften Stabilitätserwartungen zu erfüllen? In welchen Bereichen liegen die Finanzunternehmen auf Kurs und wo besteht noch Optimierungsbedarf? Antworten darauf gibt eine aktuelle Benchmark-Umfrage von Forvis Mazars. Die Wirtschaftsprüfungs- und Beratungsgesellschaft hat dafür im Jahr 2025 über 20 Finanzunternehmen unterschiedlicher Größenordnung zu den Themenkomplexen Organisation und Dokumentation, Kontrollfunktionen, Interne Revision sowie zu deren Verzahnung befragt. Abschließend sollten die GRC-Expert*innen der Unternehmen aufzeigen, vor welchen Herausforderungen sie stehen, um die Kontrollsysteme weiterzuentwickeln.

Organisation und Dokumentation: Klare Prozesse, undeutliche Begriffe

Zwei Drittel der befragten Institute organisieren ihre Abläufe auf der Basis einer unternehmensweiten Prozesslandkarte. Hierbei handelt es sich um eine grafische Übersicht der wesentlichen Geschäftsabläufe eines Unternehmens. Die prozessuale Perspektive ist sehr wichtig für die Akzeptanz und Transparenz der GRC-Strukturen und hilft bei der Verortung von Risiken und Kontrollen.

Weniger etabliert, so zeigen die Umfrageergebnisse, ist die Vereinheitlichung von GRC-Begriffsdefinitionen. Nur etwas mehr als die Hälfte der Häuser hat hier eine institutsweite Terminologie festgelegt. Das ist wichtig, damit sichergestellt werden kann, dass alle im Unternehmen auch wirklich vom Gleichen sprechen, wenn über Themen aus dem GRC-Spektrum diskutiert wird.

Kontrollfunktionen: Zentrale IKS-Stellen weitestgehend Standard

Weit verbreitet in der Finanzbranche sind laut Umfrage zentrale IKS-Stellen: Zwei Drittel der Institute haben sogenannte „IKS-Kümmerer“ geschaffen, meistens in der Organisationseinheit, im Compliance-Bereich oder im Risikomanagement.

Nicht alle Überwachungshandlungen innerhalb eines Unternehmens sind gleichermaßen wichtig für die Risikominimierung. Es ist daher sinnvoll, Schlüsselkontrollen zu definieren, welche die wesentlichen Risiken in den kritischen Geschäftsprozessen adressieren. Die Umfrage zeigt, dass sechs von zehn Instituten über ein Konzept zur Definition von Schlüsselkontrollen verfügen. Hierbei zeigt sich, dass die Anzahl der Schlüsselkontrollen stark von der Unternehmensgröße und dem Geschäftsmodell abhängig ist.

Einen hohen Stellenwert in der Branche genießen IKS-Regelkreise – rund 85 Prozent der Befragten geben an, in ihren Häusern ein solches System zur Sicherstellung der Aktualität ihres Internen Kontrollsystems installiert zu haben. Sie stellen damit sicher, dass diese nicht nur einmalig aufgesetzt werden, sondern dynamisch bleiben und sich an veränderte interne und externe Gegebenheiten anpassen. Die Umfrage-Ergebnisse zeigen aber auch, dass die Ausgestaltung der Regelkreise ein hohes Maß an Heterogenität aufweist: Nur etwa die Hälfte der Unternehmen nutzt sie bislang auch dazu, die Angemessenheit und Wirksamkeit der Kontrollen zu prüfen.

Interne Revision: Vermehrter Austausch mit Kontrollfunktionen

Die Interne Revision gilt als die dritte und unabhängige Verteidigungslinie. Es zeigt sich, dass die Interne Revision vermehrt im Austausch mit den Kontrollfunktionen ist. 75 Prozent der Umfrage-Teilnehmer*innen gaben einen regelmäßigen Dialog an. Ein Viertel davon kommuniziert sogar monatlich.

Herausforderungen: Dokumentation, Unternehmenskultur, Tool-Landschaft

Die Institute haben bei der Etablierung ihrer GRC-Strukturen bereits viel erreicht. Die Umfrage zeigt aber auch: Die Weiterentwicklung und Verzahnung der Systeme stellt die Expert*innen vor Herausforderungen. Vor allem in drei Bereichen ergeben sich aus ihrer Sicht noch Handlungsbedarfe:

Dokumentation: Fehlende und abweichende Begriffsdefinitionen führen zu uneinheitlichem Verständnis und heterogener Dokumentation innerhalb des Unternehmens.

Risikobewusstsein: Unterschiedliches Risikobewusstsein sowie mangelndes IKS-Verständnis erschweren ganzheitliches, risikoorientiertes Handeln im Unternehmen.

Tool-Landschaft: Eigene, autarke Tools in den Kontrollfunktionen führen zu technischer Fragmentierung, Intransparenz und Ineffizienz.

Optimierungsstrategien erfordern individuellen Fokus

Die Umfrageergebnisse lassen insgesamt auf weiterentwickelte GRC-Systeme der Unternehmen im Finanzsektor schließen. Gleichzeitig machen sie aber auch deutlich, in welchen Bereichen die Branche Optimierungsbedarf hat.

Für weitere Themen rund um die Wirtschaftsprüfung und Forvis Mazars folgen Sie uns auch auf LinkedIn.

Mehr zum Thema: Internes Kontrollsystem: Worauf kommt es an?