2015 Ausgabe 4_6

A K T U E L LE S
Q_PERIOR
Audit & Risk
Newsletter
Ausgabe 04/2015
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
1
A K T U E L LE S
Liebe Audit & Risk Newsletter Leserinnen und Leser,
unser Team informiert Sie wie gewohnt über Neuigkeiten rund um die Themen Revision, Risikomanagement und Compliance.
In der aktuellen Ausgabe haben wir den Schwerpunkt auf Internal Audit gelegt. Wir
berichten über Identitäts- und Access-Management und sprechen über Grundsätze
ordnungsgemäßer Buchführung und des Datenzugriffs. Außerdem blicken wir auf die
Änderungen im Rahmen der Einführung des DGSD-Umsetzungsgesetzes und auf die
Datenverwaltung und das Reporting unter Solvency II.
Im Rahmen der Studie Digitale Transformation wurde deutlich, dass die Regulatorik
aktuell eine der größten Herausforderungen für Finanzunternehmen ist. In dem
Artikel Frühwarnsysteme nach Solvency II sprechen wir über die Implementierung von
KRIs. Des Weiteren blicken wir auf das Richtlinienmanagement 2.0 als Lösung für eine
effiziente und ganzheitliche Compliance und berichten über risikoorientiertes Testmanagement in der Praxis.
Ich wünsche Ihnen eine angenehme Lektüre.
Christof Merz
(Partner, Lead Audit & Risk)
Agenda
Schwerpunktthema ........................................................................................................................................... 4
Identitäts- und Access-Management (IAM) - Need to Know .................................................................. 4
Grundsätze ordnungsgemäßer Buchführung und des Datenzugriffs – „Alter Wein in neuen
Schläuchen“? ........................................................................................................................................... 6
Datenverwaltung und Reporting unter Solvency II ............................................................................... 10
Änderungen/Neuerungen im Rahmen der Einführung des DGSD-Umsetzungs
gesetzes/Einlagensicherungsgesetzes .................................................................................................. 12
Aktuelles .......................................................................................................................................................... 14
Studie Digitale Transformation: Regulatorik aktuell eine der größten Herausforderungen für
Finanzunternehmen .............................................................................................................................. 14
Risikoorientiertes Testmanagement in der Praxis ................................................................................ 15
Frühwarnsysteme nach Solvency II: Implementierung von KRIs .......................................................... 17
Richtlinienmanagement 2.0 als Lösung für eine effiziente und ganzheitliche Compliance.................. 21
Neuigkeiten zu Solvency II & Risikomanagement ................................................................................. 23
Neues Rundschreiben: Mindestanforderungen an die Sicherheit von Internetzahlungen .................. 24
Seminar „Prävention von wirtschaftskriminellen Handlungen - Aktuelles, Trends und Praxisbeiträge“
............................................................................................................................................................... 25
Vorankündigung: GRC-ROUNDTABLE - Von Teilnehmern für Teilnehmer ............................................ 26
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
2
A K T U E L LE S
Seminartermine ............................................................................................................................................... 27
Who is Who ..................................................................................................................................................... 29
Impressum ....................................................................................................................................................... 30
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
3
S C H W E R P UN K T T H E MA
Schwerpunktthema
Identitäts- und Access-Management (IAM) - Need to Know
Das sollte man wissen
Die Bankenaufsicht formuliert in den MaRsik BA den Anspruch, dass „Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten sind, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt,
die er für seine Tätigkeit benötigt“. Ferner soll eine regelmäßige und anlassbezogene Überprüfung von ITBerechtigungen erfolgen.
Die MaRisk VA sind da nicht so konkret, eher grundsätzlicher: „Die IT-Systeme … und die zugehörigen ITProzesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse
grundsätzlich auf gängige Standards abzustellen.“ Als ein Standard wird das IT-Grundschutzhandbuch des
Bundesamtes für Sicherheit in der Informationstechnik (BSI) angesprochen.
Das BSI formuliert wiederum klare Anforderungen: „Datenzugriffsmöglichkeiten sollten auf das erforderliche
Mindestmaß beschränkt werden. Eine der goldenen Regeln der Informationssicherheit ist das ‚Need-toKnow-Prinzip‘: Jeder Benutzer (und auch jeder Administrator) sollte nur auf die Datenbestände zugreifen und
die Programme ausführen dürfen, die er für seine tägliche Arbeit auch wirklich benötigt.“
Jede Prüfung ist ein Soll-Ist-Vergleich. Das Soll ist damit fixiert, der Anspruch konkret beschrieben. Wie sieht
nun das IST aus? Welche Prozesse gibt es, die die User mit den notwendigen Berechtigungen versorgen und
wie werden diese Berechtigungen validiert? Es geht hier um das Identitäts- und Access-Management (IAM)
im Unternehmen.
Wer hat die meisten Berechtigungen im Unternehmen? Die Auszubildenden!
Leider trifft das für viele Unternehmen auch heute noch zu. Wie kommt das? Ganz einfach: Wenn ein Azubi
in eine Abteilung kommt, dann soll er auch praxisnah arbeiten bzw. erleben, wie gearbeitet wird. Dazu
braucht er auch Zugriff auf die IT-Systeme. Die Berechtigungen sind in der Regel technisch orientiert und
schwer zu überblicken und zu verstehen. In der Fachabteilung verliert man schnell den Überblick und durchschaut die Zusammenhänge nur schwer. Die Lösung des Problems - der Referenzuser. Der Azubi soll
schließlich so arbeiten wie der Sachbearbeiter XY. Also teilt man der Administration mit, die Berechtigungen
für den Azubi soll eingerichtet werden, wie für den Sachbearbeiter XY. Die Berechtigungen werden in der
Regel unbefristet vergeben, ein Verfallsdatum ist selten zu finden. Dass der Sachbearbeiter XY aber auch
Berechtigungen hat, mit denen der Azubi nichts zu tun hat, wird dabei nicht bedacht und fällt auch nicht auf.
Wenn der Azubi nach einigen Wochen in die nächste Abteilung wechselt, beginnt der Prozess von vorn. So
sammelt der Azubi im Laufe seiner Ausbildung eine Vielzahl von Berechtigungen. Das mag sich antiquiert
anhören, ist aber in vielen Unternehmen noch immer gängige Praxis.
Nicht umsonst fordert die Aufsicht die regelmäßige Überprüfung der IT-Berechtigungen.
Wenn unter „regelmäßig“ einmal jährlich
verstanden wird, so ist dies als angemessen
zu beurteilen. Das klingt harmlos. Es ist aber
nicht damit getan, den Fachabteilungen Listen mit Berechtigungen und User zu geben,
wenn sie diese nicht verstehen. Es bedarf
also einer Übersetzung der fachlichen Anforderungen an IT-Zugriffen auf die IT-Berechtigungen.
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
4
S C H W E R P UN K T T H E MA
Das BSI beschreibt dieses Prinzip folgendermaßen: „Erforderliche Berechtigungen werden in passenden Berechtigungsprofilen zusammengefasst. Auf deren Grundlage werden dann wahlweise geeignete Benutzergruppen oder Rollen definiert. Die individuellen Rechte eines Systembenutzers lassen sich über dessen Gruppenzugehörigkeiten oder über die Rollen steuern, die der Benutzer annehmen darf. In regelmäßigen Abständen sollte überprüft werden, ob die von einer Person verfügbaren Zugriffsrechte noch deren Tätigkeitsprofil
entsprechen oder ob Einschränkungen zweckmäßig wären.“ Die MaRisk BA greifen diesen Ansatz auch auf,
indem sie zum oben beschriebenen Anspruch ergänzen: „die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich.“
Neben den Berechtigungen ist die Identitäten-Verwaltung ein wichtiges Thema. Um die Nachvollziehbarkeit
zu gewährleisten muss jeder User einer personifizierten Identität zugeordnet werden. Die Identitäten werden in der Regel von der Personalabteilung verwaltet und angeliefert. Es ist natürlich einfach, so genannte
Funktionsuser vorzuhalten (z. B. Azubi Abt. A), die dann alle notwendigen Berechtigungen haben und von
verschiedenen Mitarbeitern (Identitäten) genutzt werden. Es ist dann aber nicht mehr nachvollziehbar, wer
tatsächlich hinter dem Funktionsuser stand. Die Nutzung von Funktions- oder auch technischen Usern muss
sehr restriktiv und streng überwacht erfolgen.
Fragen, die bei einer Prüfung gestellt werden müssen sind also:









Wie sieht der Prozess für die Berechtigungsvergabe im Unternehmen aus?
Wird mit Referenzusern gearbeitet?
Werden Berechtigungen oder Rollen befristet?
Wie sieht der Freigabeprozess für die Zuweisung von Berechtigungen/Rollen aus? Wie werden die Freigaben archiviert? Sind sie nachvollziehbar?
Wie werden Berechtigungen oder Rollen validiert?
Wie erfolgt die Pflege der Berechtigungen/Rollen? Wie ist die Verantwortlichkeit geregelt?
Welche Arten von Usern gibt es? Wie werden sie generiert und überwacht?
Wie werden User aktiviert, deaktiviert und gelöscht?
Wie erfolgt die Archivierung von Berechtigungs- und User-Daten?
Das ist nur eine Auswahl von Fragen, die im Rahmen einer Prozessprüfung des IAM geklärt werden müssen.
Eine weitere Zielsetzung einer Prüfung könnte sein: Wie sehen die User und die Berechtigungen im Unternehmen aus? Wie ist die Berechtigungsstruktur aufgebaut, ist sie transparent und nachvollziehbar?
IT-Berechtigungen sind systemspezifisch. Jedes System bietet andere Möglichkeiten der Verwaltung und Vereinfachung, wie bspw. Vererbung und Verschachtelung. Administratoren nutzen gern solche Mechanismen,
weil es ihnen die Arbeit erleichtert. Zur Transparenz tragen sie in der Regel aber nicht bei. Die Administration
muss dafür sorgen, dass die User arbeiten können. Dass ausgeschiedene User nicht mehr arbeiten sollen,
steht nicht in ihrem Fokus. Im Lauf der Zeit sammelt sich erfahrungsgemäß immer Ballast an. User, die es
nicht mehr gibt oder Berechtigungen, die nicht mehr benötigt werden. Dieser Ballast verringert die Transparenz und führt u. U. auch zu erhöhten Lizenzkosten und Pflegeaufwand. User sollten daher nach ihrem Ausscheiden gelöscht werden, ebenso wie Berechtigungen, die nicht mehr benötigt werden.
Für viele IT-Systeme gibt es passende Tools, mit denen die User und Berechtigungen analysiert werden können, oft auch ohne zusätzliche Kosten. Es muss nur gemacht werden und Aufräumen gehört bekanntermaßen
nicht zu den Stärken der Administration. Daher bedarf es eines Anstoßes in Form einer Prüfung durch die ITRevision, die die Schwachstellen, Risiken und Probleme deutlich macht und so die IT motiviert, das Thema
IAM sauber zu halten.
Diese Anforderungen kommen nicht von der Internen Revision, sondern von der Aufsicht bzw. leiten sich aus
den Standards des BSI ab.
Ansprechpartner: Michael Schumann (Principal Consultant, Lead Internal Audit)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
5
S C H W E R P UN K T T H E MA
Grundsätze ordnungsgemäßer Buchführung und des Datenzugriffs – „Alter Wein in
neuen Schläuchen“?
Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
Was hat sich verändert? Welche Schlussfolgerungen sollten gezogen werden?
Die Ordnungsmäßigkeit ist das klassische Revisionsziel. Im Ursprung bezeichnet dieses Ziel die Prüfung und
Beurteilung, ob die Buchführung eines Unternehmens den für dieses Unternehmen geltenden gesetzlichen,
aufsichtsrechtlichen und sonstigen Anforderungen genügt und die geltenden Normen und Standards eingehalten werden. Die allgemeingültigsten Bestimmungen für Unternehmen mit Sitz in Deutschland sind diesbezüglich das Handelsgesetzbuch, die Abgabenordnung und die Grundsätze der ordnungsmäßigen Buchführung (GoB). Diese Anforderungen konnten bis Ende 2014 den Grundsätzen ordnungsgemäßer DV-gestützter
Buchführungssysteme (GoBS) in der Fassung vom 07.11.1995 entnommen werden. Über den Geltungsbereich des HGB hinaus wurden die GoBS auch in öffentlichen Verwaltungen oder anderen Bereichen des öffentlichen Lebens durch Referenzen auf die GoBS zur Basis ordnungsgemäßer Verwaltungs- und Geschäftstätigkeit.
Da es zahlreiche Schnittstellen der Buchführungsprozesse zu allen anderen Prozessen im Unternehmen gibt
und aus diesen Prozessen wesentliche Daten in die Buchführung münden, gelten die Grundsätze zur Ordnungsmäßigkeit für alle Bereiche und Ebenen des Unternehmens analog und sinngemäß. Neben der Einhaltung dieser externen Regelwerke wird aber auch die Übereinstimmung mit den internen Richtlinien, Anweisungen und sonstigen verbindlichen Vorgaben dem Ziel der Ordnungsmäßigkeit zugeordnet.
In der täglichen Unternehmenspraxis gewannen die GoBS nicht nur für die Buchführungspflichtigen und die
Interne Revision zunehmend an Bedeutung, sondern auch für die Verantwortlichen im Risikomanagement
für die Internen Kontrollsysteme (IKS) sowie für Compliance. Selbstverständlich stellten sie auch die solide
Basis für die Wirtschafts- und Steuerprüfer und andere externe Begutachter einer ordnungsgemäßen Geschäftstätigkeit der Unternehmen dar.
„Seit erstmaliger Veröffentlichung der Grundsätze ordnungsmäßiger Speicherbuchführung (GoS) im Jahre
1978 hat sich die Technik und Anwendung der DV weiterentwickelt und zu Veränderungen im Bereich des
kaufmännischen Rechnungswesens und seinen Arbeitsabläufen geführt.“ Dieses Zitat aus dem Vorwort der
GoBS vom 07.11.1995 begründete damals die Notwendigkeit der Weiterentwicklung der GoS zu den GoBS.
Rund 20 Jahre weiterer Entwicklung der Informationstechnologie und andere Veränderungen lassen es zu,
dieses Zitat erneut anzuwenden. Eine weitere Fortschreibung der Ordnungsmäßigkeitsanforderungen in den
„Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ war also erforderlich. Die GoBD stellen eine
Zusammenführung und Harmonisierung aller Anforderungen an die Ordnungsmäßigkeit dar und wurden den
veränderten organisatorischen und technischen Bedingungen der modernen Unternehmenswelten angepasst sowie verbal aktualisiert.
Die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)“ beinhalteten bisher
separat zusätzlich die Anforderungen an die IT-gestützte Buchführung der Unternehmen, die ebenfalls dem
Ziel der Ordnungsmäßigkeit zuzuordnen sind. In den GDPdU gab es Referenzen auf die GoBS, eigenständige
Anforderungen, aber auch zu den GoBS redundante Textpassagen.
Mit der Veröffentlichung und dem Inkrafttreten der GoBD wurden
 die Anforderungen der GoBS und der GDPdU zusammengeführt und harmonisiert
 die Realität der IT-Durchdringung aller Unternehmensabläufe inhaltlich und verbal umgesetzt
 die Inhalte des BMF-Schreibens stringent neu gegliedert, so dass dessen Handhabung in der Unternehmenspraxis sowohl für die Buchführungspflichtigen selbst, als auch für alle internen und externen Prüfungs- und Überwachungsorgane, erleichtert wird
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
6
S C H W E R P UN K T T H E MA
Der Geltungsbereich der GoBD wurde klar für alle Prozesse, Dokumentationen, Daten und Belege des Unternehmens definiert, wobei der Buchführungspflichtige diese Definition auf die konkrete Unternehmenssituation präzisieren muss.
Im 1. Kapitel werden die aktuellen Rahmenbedingungen beschrieben und begründet, unter denen die Buchführung erfolgt. Demzufolge sind die elektronisch vorhandenen Daten und Informationen auch für die unterschiedlichsten Zwecke und Berechtigten nutzbar zu machen (Buchführungspflichtiger, Interne Revision, Wirtschaftsprüfer, Steuerprüfer etc.).
Es werden
 die Nutzbarmachung steuerlicher und außersteuerlicher Buchführungs- und Aufzeichnungspflichten
 die Aufbewahrungspflichten
 die Ordnungsvorschriften und die Führung von Büchern und sonst erforderlichen Aufzeichnungen auf
Datenträgern
 die Begrifflichkeiten Aufzeichnungen, Bücher und Geschäftsvorfälle
 die Grundsätze ordnungsgemäßer Buchführung sowie
 die Einteilung der DV-Systeme in Haupt-, Vor- und Nebensysteme
hergeleitet.
Kapitel 2 regelt die Verantwortlichkeit für die ordnungsgemäße Buchführung. Unter den allgemeinen Anforderungen an die Buchführung (insbesondere an elektronische Bücher) des Kapitels 3 werden die zugrundeliegenden Rechtsvorschriften referenziert, die unverändert ihre Gültigkeit behalten (HGB, AO). Besonders
herausgehoben wird das klare Primat der Ordnungsmäßigkeit gegenüber der Wirtschaftlichkeit.
Im Rahmen des Kapitels werden explizit die Grundsätze
 der Nachvollziehbarkeit und Nachprüfbarkeit
 der Wahrheit, Klarheit und fortlaufenden Aufzeichnung (Vollständigkeit, Richtigkeit, zeitgerechte Buchungen und Aufzeichnungen, Ordnung und Unveränderbarkeit)
beschrieben.
Die Anforderungen an die Belegfunktion (Belegsicherung, Zuordnung zwischen Beleg und Grund(buch)aufzeichnung oder Buchung, Erfassungsgerechte Aufbereitung der Buchungsbelege sowie Besonderheiten) werden im 4. Kapitel beschrieben. Die dabei erfolgte klare und eindeutige Gleichstellung von Belegen in elektronischer Form oder Papierform ist hier herauszuheben.
Die Aufzeichnung der Geschäftsvorfälle in zeitlicher Reihenfolge und in sachlicher Ordnung (Grund(buch)aufzeichnungen, Journal- und Kontenfunktion) wird im 5. Kapitel behandelt (Erfassung in Grund(buch)aufzeichnungen, digitale Grund(buch)aufzeichnungen, Journalfunktion, Hauptbuch).
Die GoBD sind noch stärker und klarer als die Vorgängerdokumente auf die Vollständigkeit und Wirksamkeit
interner Kontrollen und damit des IKS gerichtet. Besonders herausgestellt werden die Anforderungen an ein
IKS in Kapitel 6. Darin wird die Pflicht des Buchführungspflichtigen herausgehoben, das konkrete IKS in seinem Verantwortungsbereich zu definieren, zu beschreiben und zu dokumentieren. Diese Dokumentation gilt
als Verfahrensdokumentation mit den dafür bereits hergeleiteten Anforderungen der GoBD. „Für die Einhaltung der Ordnungsvorschriften des § 146 AO (siehe unter 3.) hat der Steuerpflichtige Kontrollen einzurichten,
auszuüben und zu protokollieren.
Hierzu gehören beispielsweise
 Zugangs- und Zugriffsberechtigungskontrollen, auf Basis entsprechender Zugangs- und Zugriffsberechtigungskonzepte (z. B. spezifische Zugangs- und Zugriffsberechtigungen),
 Funktionstrennungen,
 Erfassungskontrollen (Fehlerhinweise, Plausibilitätsprüfungen),
 Abstimmungskontrollen bei der Dateneingabe,
 Verarbeitungskontrollen,
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
7
S C H W E R P UN K T T H E MA


Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten
und Dokumenten.
Die konkrete Ausgestaltung des Kontrollsystems ist abhängig von der Komplexität und Diversifikation der
Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV-Systems.“ (GoBD, Kap. 6, Tz.
100)
Leider ist die „Mutter der IKS-Definitionen“, wie sie in den GoBS bisher enthalten war, mit der Fortschreibung
der GoBD entfallen. Dies schafft größere Gestaltungsspielräume aller Verantwortlichen für die Umsetzung
der IKS-Anforderungen. Zu empfehlen ist, sowohl dem Buchführungspflichtigen, als auch den internen und
externen Prüfern des IKS, die klassische Definition weiterhin zu nutzen:
„Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen
Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben:
 Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller
Art;
 Bereitstellung vollständiger, genauer und aussagefähiger sowie zeitnaher Aufzeichnungen;
 Förderung der betrieblichen Effizienz durch Auswertung und Kontrolle der Aufzeichnungen und
 Unterstützung der Befolgung der vorgeschriebenen Geschäftspolitik.“ (GoBS, Kap. 4.1)
So kann die hohe Komplexität, das Systemische dieser internen Kontrollen, bei der Gestaltung und Prüfung
der Wirksamkeit des IKS angemessen berücksichtigt werden. Selbstverständlich sind die aktuell gültigen Definitionen anderer Quellen (z. B. IDW PS 261 bzw. 951) auch weiterhin angemessen zu nutzen.
Die Anforderungen zur Datensicherheit sowie zur Unveränderbarkeit und Protokollierung von Änderungen
sind in den Kapiteln 7 und 8 beschrieben. Zur Aufbewahrung werden die Anforderungen im Kapitel 9 beschrieben. Darin sind auch der maschinellen Auswertbarkeit, der elektronischen Aufbewahrung und Erfassung von Papierdokumenten (Scanvorgang) sowie der Auslagerung von Daten aus dem Produktivsystem und
dem Systemwechsel entsprechende Anforderungen an die Ordnungsmäßigkeit zugeordnet. Herausgehoben
werden muss, dass es im Gegensatz zu den GoBS, keine Nennung von Mindestfristen für die Aufbewahrung
mehr gibt. Demzufolge sind hier direkt die Festlegungen des HGB, der AO oder anderer gültiger Rechtsvorschriften anzuwenden.
Im Kapitel 10 werden die Anforderungen an die Ordnungsmäßigkeit bzgl. der Nachvollziehbarkeit und Nachprüfbarkeit, u. a. hinsichtlich der Verfahrensdokumentation oder der Lesbarmachung von elektronischen Unterlagen, formuliert. Der Datenzugriff wird hinsichtlich der Anforderungen an die Ordnungsmäßigkeit im Kapitel 11 inhaltlich im Wesentlichen so formuliert, wie es bisher in den GDPdU vorgegeben war. Dies betrifft
folglich besonders Steuerprüfungen und Rechte und Pflichten der Prüfer sowie der Geprüften im Rahmen
der Steuerprüfung (Umfang und Ausübung des Rechts auf Datenzugriff nach § 147 Absatz 6 AO bzw. Umfang
der Mitwirkungspflicht nach §§ 147 Absatz 6 und 200 Absatz 1 Satz 2 AO). Die Besonderheiten der Zertifizierung von Anwendungsprogrammen und von Software-Testaten werden im 12. Kapitel definiert.
Fazit
Aus Sicht der Internen Revision, der Verantwortlichen für das Risikomanagement, für IKS und Compliance
sowie der Wirtschaftsprüfer kann man die Aktualisierung und Vervollständigung der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer
Form sowie zum Datenzugriff nur begrüßen. Den Verantwortlichen und Prüfenden ist ein gemeinsames Instrumentarium in die Hand gegeben, welches ihnen die Gestaltung der Prozesse, aber auch die Vorbereitung
und Durchführung von Prüfungen hinsichtlich der Ziele Ordnungsmäßigkeit und Sicherheit, stark vereinfacht
und die Vergleichbarkeit und Transparenz von Prozessen untereinander verbessert.
Hervorzuheben ist die starke Betonung der GoBD, dass alle Unternehmensprozesse gleichermaßen den Anforderungen der Ordnungsmäßigkeit unterliegen, nicht nur die Buchführungs- oder Bilanzprozesse im engeren Sinne. Dies gilt besonders vor dem Hintergrund der starken Fokussierung jüngerer gesetzlicher Vorgaben
auf die Finanz- und Rechnungslegungsprozesse.
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
8
S C H W E R P UN K T T H E MA
Für jeden bedeutet es aber auch weiterhin Ordnungsmäßigkeitsgrundsätze auf die konkreten gesetzlichen
und aufsichtsrechtlichen sowie internen Anforderungen des Unternehmens bzw. des Marktes anzupassen
und diese kreativ zu ergänzen. Gleichzeitig sind die je Prüfung ausgewählten Grundsätze durch konkretere
Sollvorstellungen (Bewertungskriterien und -merkmale) zu verfeinern und mit angemessenen Methoden und
Verfahren sowie Hilfsmitteln zu erheben und zu bewerten.
Die kreative Nutzung der GoBD durch den Buchführungspflichtigen, den Prüfer und den Risikomanager bleibt
also unverändert gefragt. Das Primat der Ordnungsmäßigkeit gegenüber anderen Prüfungszielen, besonders aber dem der Wirtschaftlichkeit, lässt auch die Schlussfolgerung zu, dass man selbstverständlich seine
Prüfungen und Bewertungen explizit zu den Zielen Sicherheit oder Wirtschaftlichkeit durchführen kann bzw.
muss, in diesen aber die Ordnungsmäßigkeitsanforderungen immer und grundsätzlich mit bewerten muss.
Mindestens sind sie aber in der Bewertung des Ist-Zustandes hinsichtlich der Wirtschaftlichkeit und Sicherheit sowie in der Ableitung geeigneter Maßnahmen zur Verbesserung mit höchster Priorität zu berücksichtigen. Sie sind Basis aller Regelungen zum Risikomanagement und zur effektiven Gestaltung von Internen Kontrollsystemen.
Was ist zu tun?
Alle Buchführungspflichtigen, die Prüfenden, besonders die Interne Revision und das Risikomanagement,
aber auch das Compliance Management, sollten die neuen GoBD kreativ auf ihre Unternehmensrealitäten
anpassen und die bereits vorhandenen Grundsätze der Ordnungsmäßigkeit aktualisieren. Gleichzeitig sollten
die aktualisierten Anforderungen angemessen im Unternehmen veröffentlicht und zwischen den Buchführungspflichtigen sowie den Prüfungs- und Überwachungsfunktionen intensiv diskutiert werden, um daraus
angemessene Vorgehensweisen und Bewertungsmaßstäbe zur Ordnungsmäßigkeit ableiten zu können. Die
Ordnungsmäßigkeitsgrundsätze, genau wie Grundsätze zur Sicherheit und Wirtschaftlichkeit, sollten ggf. in
der Perspektive als Ergänzungen oder Anlagen zu bestehenden Handbüchern eine solide Basis für vergleichbare und transparente Bewertungen bilden.
Die GoBD sind also kein „alter Wein in neuen Schläuchen“, sondern eine gelungene Aktualisierung und Fortschreibung sowie Harmonisierung der früheren BMF-Schreiben zu den Anforderungen an die ordnungsgemäße Buchführung und Aufzeichnung.
Ansprechpartner: Dr. Peter Wesel (Managing Consultant Internal Audit)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
9
S C H W E R P UN K T T H E MA
Datenverwaltung und Reporting unter Solvency II
Unnötige Auflagen oder Wettbewerbsvorsprung durch Transparenz?
Die Erfüllung der Solvency II-Richtlinie ist derzeit eine der wichtigsten Anforderungen an die Versicherungslandschaft. In Bezug auf die Datenverwaltung muss die bestehende IT-Infrastruktur in Verbindung mit evtl.
externen Dienstleistern eine optimale Balance finden, um die Berichterstattungsanforderungen sowohl
quantitativ als auch qualitativ erfüllen zu können. Besonders im Fokus steht dabei die Datenbeschaffung zur
Identifizierung, Verwaltung und Überwachung der verschiedenen Risikostufen; hier sind unglaubliche Datenmengen in hoher Qualität erforderlich.
Insbesondere die Datenmenge und -komplexität in den Investmentprofilen, die durch die Solvency II-Risikogewichtung von Aktiva ausgelöst werden, führt zu einer besonderen Herausforderung. Die Erfassung dieser
detaillierten Asset-Daten teilweise aus verschiedenen Quellen kann sich als sehr schwierig und zeitaufwändig
erweisen.
Die Datenstruktur des Complementary Identification Code (CIC) ermöglicht dahingehend u. a. eine strukturierte Darstellung. So kann auf der einen Seite eine akkurate Berechnung der Markt- und Ausfallrisikokriterien gemäß Solvency II Säule 1 zur Solvenzkapitalanforderung (SCR) durchgeführt werden; auf der anderen
Seite werden über derartige Datenstrukturen die benötigten Asset-Daten für die QRT-Meldeformulare
(Quantitative Reporting Templates) bereitgestellt.
Der CIC ist ein verpflichtendes Asset-Klassifizierungsschema für das Solvency II Meldewesen, basierend auf
dem von der EIOPA (European Insurance and Occupational Pension Authority) veröffentlichten QRT’s (hier:
u. a. D1 und D2O). Zukünftig wird von den betroffenen Unternehmen erwartet, dass - bis auf derzeitige Ausnahmen wie z. B. Forderungen - die von ihnen gehaltenen Vermögensgegenstände und Finanzinstrumente
im Rahmen der aufsichtsrechtlichen Berichterstattung mit dem CIC versehen werden.
Bei dem CIC handelt es sich um einen vierstelligen alphanumerischen Code, der geografische und instrumentenspezifische Identifizierungsmerkmale beinhaltet. Die ersten beiden Stellen des vierstelligen CIC stehen für



das Land, z. B. DE, in dem der Vermögenswert notiert ist. Ein Vermögenswert gilt als notiert, wenn er auf
einem geregelten Markt oder in einem multilateralen Handelssystem nach Definition der SII- Richtlinie
gehandelt wird.
den Code XL; dieser beschreibet Vermögenswerte, die nicht auf einem geregelten Markt oder in einem
multilateralen Handelssystem gehandelt werden.
den Code XT; dieser Code bezieht sich auf Vermögenswerte, die ihrem Charakter nach nicht auf einem
regulierten Markt oder in einem multilateralen Handelssystem gehandelt werden können. Dies gilt normalerweise für Vermögenswerte wie Barmittel, Einlagen, Hypotheken und Immobilien.
Die Identifizierung der Instrumentenart wird durch die dritte und vierte Stelle des CICs erreicht. Hiermit werden die folgenden Kategorien angesprochen:










Staatsanleihen
Unternehmensanleihen
Eigenkapitalinstrumente
Investmentfonds
Strukturierte Schuldtitel
Besicherte Wertpapiere
Barmittel und Einlagen
Hypotheken und Darlehen
Immobilien
Derivate (Futures, Optionen, Swaps, Kreditderivate etc.)
Über die Ergänzung der Datensätze mit weiteren Datenstrukturen wie z. B. der Wirtschaftszweigkennziffer
NACE (Nomenclature Générale des Activités Economiques dans I’Union Européene) sowie einer Risiko- und
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
10
S C H W E R P UN K T T H E MA
Ratingzuordnung ergibt sich somit eine vollständige Nachvollziehbarkeit aller Zuordnungen und Berechnungen der Asset-übergreifenden Datenverwaltung und Reporting gemäß der Solvency II-Richtlinie der EU.
Dadurch wird den Versicherern durch die Bereitstellung hochgranularer Informationen zu Investitionen und
Emittenten eine rationellere Datenverwaltung geboten, die letztendlich auch zu einer gesteigerten Transparenz führen kann.
Ansprechpartner: Björn Regge (Managing Consultant Internal Audit)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
11
S C H W E R P UN K T T H E MA
Änderungen/Neuerungen im Rahmen der Einführung des DGSD-Umsetzungs
gesetzes/Einlagensicherungsgesetzes
Mit Wirkung zum 03.07.2015 ist das DGSD-Umsetzungsgesetz (Deposit Guarantee Schemes Directive) in Kraft
getreten, welches die Richtlinie 2014/49/EU vom 16. April 2014 über Einlagensicherungssysteme in deutsches Recht umsetzt. Kern des DGSG-Umsetzungsgesetzes ist das neue Einlagensicherungsgesetz
(EinSiG) und die Änderung des § 23a Absatz 1 KWG.
Die Inhalte des Einlagensicherungsgesetzes sind u. a. der gesetzliche Anspruch einer Entschädigung von
100.000 € (auch Konten, die auf die Währung eines Staates außerhalb des EWR lauten), eine schnellere und
einfachere Entschädigung innerhalb von 7 anstatt 20 Tagen (ab 01. Juni 2016), jährliche Informationspflichten
gegenüber den Kunden über das Einlagensicherungssystem und Vorgaben zum Mindestvermögen der anerkannten Sicherungssysteme (0,8 Prozent der Einlagen, die das EinSiG deckt).
Neben den gesetzlichen Entschädigungseinrichtungen, der EdB und der EdÖ, wurden von der BaFin die institutsbezogenen Sicherungssysteme des DSGV und des BVR als Einlagensicherungssysteme anerkannt. Diese
haben auch künftig das Ziel, die Solvenz und Liquidität der Mitgliedsinstitute zu gewährleisten. Durch die
Anerkennung dieser verfügen die Kreditgenossenschaften und Sparkassen über ein duales Sicherungssystem.
Deshalb sind von diesen Instituten die AGB, der Preisaushang und die vorvertraglichen Informationen an das
duale Sicherungssystem anzupassen.
Mit der Einführung des EinSiG sind diverse Kundeninformations- und einlagenbezogene Meldepflichten verbunden, deren Einhaltung überprüft werden müssen. Diese sollen im Folgenden erläutert werden.
Kundeninformationspflichten gem. § 23a Absatz 1 KWG (neu)
Informationsbogen für Einleger
Neukunden
Gem. § 23a Absatz 1 Sätze 2 und 3 KWG (neu) hat das Institut Kunden vor der Aufnahme der Geschäftsbeziehung in Textform und leicht verständlicher Form über die für die Sicherung geltenden Bestimmungen zu informieren. Der Inhalt und Wortlaut dieses Informationsbogens für Einleger ist vom Gesetzesgeber vorgeschrieben und darf nicht abgeändert werden. Die auf dem Informationsbogen vorhandene Empfangsbestätigung ist vom Neukunden zu unterschreiben und vom Institut zu archivieren. Dieser Anforderung ist auch
bei Onlineabschlüssen Rechnung zu tragen.
Bestandskunden
Zusätzlich ist der Informationsbogen den Einlegern gem. § 23a Absatz 1 Satz 6 KWG (neu) mindestens einmal
jährlich zur Verfügung zu stellen. Hierbei bedarf es keiner Empfangsbestätigung und der Versand kann auch
gemeinsam mit anderen Unterlagen erfolgen. Der Zeitpunkt kann durch die Institute selbst festgelegt werden.
Bestätigung der Entschädigungsfähigkeit von Einlagen auf Kontoauszügen
Ab dem 03. Juli 2015 ist auf den Kontoauszügen die Bestätigung, dass es sich bei den Einlagen um entschädigungsfähige Einlagen handelt und ein Verweis auf den Informationsbogen für Einleger, anzubringen. Die
Deutsche Kreditwirtschaft hat sich auf folgende Formulierung verständigt:
„Guthaben sind als Einlagen nach Maßgabe des Einlagensicherungsgesetzes entschädigungsfähig. Nähere Informationen können dem „Informationsbogen für den Einleger“ entnommen werden.“
Auf dem Papierauszug erfolgt die Bestätigung in der Regel über einen standardgemäßen Aufdruck auf der
Rückseite. Entsprechendes ist auch bei den Onlineauszügen sicherzustellen. Bestehende gebundene Sparbücher sollen durch einen Aufkleber mit der Bestätigung versehen werden.
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
12
S C H W E R P UN K T T H E MA
Einlagenbezogene Meldepflichten der CRR-Kreditinstitute
Basierend auf dem Einlagensicherungsgesetz ergaben sich für die Kreditinstitute unterschiedliche einlagebezogene Meldepflichten. Es ist zu unterscheiden zwischen der:


"Meldedatei" (§ 17 Absatz 4 Satz 1 EinSiG): regelt, dass bis zum 31. Januar eines jeden Jahres die Summe
der gedeckten Einlagen per 31.12. des Vorjahres an die Sicherungseinrichtung zu melden ist. Die Meldung
dient der Sicherungseinrichtung zur Feststellung der notwendigen Zielausstattung für die Besicherung
der Kreditinstitute.
"Einreicherdatei" (§ 7 Absatz 8 EinSiG): regelt, dass ein Kreditinstitut in der Lage sein muss, eine Datei zu
erstellen, die im Entschädigungsfall als Grundlage zur Auszahlung der gedeckten Einlagen zu Gunsten der
Kunden dient. Die entschädigungsfähigen Einlagen sind dabei so zu kennzeichnen, dass sie für jeden einzelnen Einleger sofort ermittelt werden können.
Die Datei wird im Insolvenzfall durch den Insolvenzverwalter angefordert. Darüber hinaus kann diese auch
durch die externe Revision im Rahmen der gesetzlichen Prüfung überprüft werden. Auch behält sich die Aufsicht vor, diese im Rahmen eines "Stresstests" anzufordern.
Zur Berechnung der Beiträge zum Abwicklungsfonds ist bis zum 01.09.2015 eine Erstmeldung der gedeckten
Einlagen per 31.07.2015 an die Bundesanstalt für Finanzmarktstabilisierung (FMSA) vorzunehmen (siehe Delegierten Verordnung (EU) 2015/63). In den Folgejahren (ab 2016) erfolgt die o. g. Meldung bis zum 31. Januar mit Stichtag 31. September gegenüber dem einheitlichen Abwicklungsausschuss "Single Resolution
Board" (SRB).
Um den Beitrag für die SSM-Aufsichtsgebühren zu bestimmen, ist einmal jährlich, bis zum 01.07 (Stichtag
31.12.), eine Datenerhebung durchzuführen. Die Meldung umfasst die Formulare Total Risk Exposure und
Total Assets. Auf Basis dieser Meldung wird die Gebühr durch die Aufsicht errechnet und der Gebührenbescheid versandt. Die Meldung erfolgt über das Extranet der Bundesbank.
Fazit
Mit den vorangegangenen Neuerungen sind die Ziele der Einlagensicherungsrichtlinie, nämlich die Harmonisierung der europäischen Einlagensicherungssysteme und die Stärkung des Vertrauens der Anleger auf Grund
der Leistungsfähigkeit und der Beschleunigung und Vereinfachung des Entschädigungsverfahrens, vollständig
umgesetzt.
Aufgrund der Einbindung des Informationsbogens für Einleger in den Neukundenprozess und der diversen
Änderungen/Neuerungen im Bereich der einlagenbezogenen Meldepflichten sollte eine gesonderte Prüfung
der Einführung des EinSiG erfolgen. Es ist sicherzustellen, dass jeder Neukunde den Informationsbogen für
Einleger erhält. Des Weiteren sind die organisatorischen Regelungen/Zuständigkeiten bezüglich des jährlichen Versandes des Informationsbogens und der Meldepflichten zu gewährleisten. Da die „Einreicherdatei“
Gegenstand der gesetzlichen Prüfung sein kann, ist sicherzustellen, dass diese korrekt erstellt wird. Die Abgabefristen der einzelnen Meldungen müssen eingehalten werden. Bezüglich der Bestätigung der Entschädigungsfähigkeit ist der Austausch des Kontoauszugspapiers sicherzustellen, ggf. auch durch beauftragte Unternehmen. Es darf nicht vergessen werden, den Umgang mit noch ausgegebenen gebundenen Sparbüchern
zu regeln.
Ansprechpartner: Michael Schumann (Principal Consultant, Lead Internal Audit) und Julia Stiefvater (Consultant Internal Audit)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
13
A K T U E L LE S
Aktuelles
Studie Digitale Transformation: Regulatorik aktuell eine der größten Herausforderungen für Finanzunternehmen
Die nationalen und internationalen Regulierungsbehörden reagieren auf die zunehmende Schnelligkeit und
Transparenz der digitalen Welt mit massiv steigenden regulatorischen Anforderungen. Diese zwingen Unternehmen zu Veränderungen, sprich bestehende Geschäftsmodelle müssen überprüft und unter Berücksichtigung der regulatorischen Rahmenbedingungen auf die digitale Zukunft ausgerichtet werden. Doch sind Unternehmen aktuell auf diese Veränderungen vorbereitet?
Q_PERIOR hat in Zusammenarbeit mit dem Institut für Wirtschaftsinformatik der Frankfurt School of
Finance & Management die Auswirkungen sowie den aktuellen Umsetzungsgrad der Digitalen Transformation bei Banken und Versicherungen untersucht. Dazu wurden im ersten Halbjahr 2015 zahlreiche Führungskräfte, darunter Geschäftsführer, Fachabteilungsleiter, IT-Leiter sowie leitende Angestellte aus den Bereichen Interne Revision, Risikomanagement und Compliance, befragt. Die Studienergebnisse sind eindeutig
ausgefallen: Neben den steigenden regulatorischen Anforderungen sind es vor allem die kulturellen Beharrungskräfte, die die Unternehmen bei der Digitalen Transformation bremsen. Ein umfassender Wandel der
Unternehmensstruktur und vor allem -kultur ist dringend erforderlich.
Im Rahmen der Studien wurde darüber hinaus untersucht, welche Themen innerhalb des Bereichs „Compliance“ Banken und Versicherungen gerade besonders beschäftigen. Mit großem Abstand wurde dabei dem
Datenschutz die größte Bedeutung für die erfolgreiche Realisierung der Digitalen Transformation beigemessen.
Auszug aus Studie „Die Digitale Transformation in der Versicherungsbranche“, Frage: Wie bewerten Sie die Bedeutung folgender Themen für die erfolgreiche Realisierung der Digitalen Transformation in Ihrem Unternehmen? (Angaben in %)
Diese und weitere Studienergebnisse können Sie unter folgenden Links kostenfrei anfordern:
 Studie „Die Digitale Transformation bei Banken“
 Studie „Die Digitale Transformation in der Versicherungsbranche“
Zusätzliche Informationen rund um das Thema Digitale Transformation erhalten Sie hier. Als Ansprechpartner
stehen Ihnen Anton Taubenberger (Partner, Market Lead Banking Solutions) und Walter Kuhlmann (Partner,
Market Lead Insurance Solutions) gerne zur Verfügung.
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
14
A K T U E L LE S
Risikoorientiertes Testmanagement in der Praxis
Prüffeld der Internen Revision bei der Prüfung von Projekten
Egal, mit welchem Thema wir uns heutzutage beschäftigen, wir sind immer mit der EDV und den dazugehörigen Programmen konfrontiert. Und natürlich gehen wir auch davon aus, dass all diese Programme fehlerfrei
funktionieren. Der Weg zu der Fehlerfreiheit dieser Programme (wobei es kaum 100% Fehlerfreiheit geben
wird!) ist aber mit vielen Stolperfallen und Hindernissen versehen!
Am Anfang steht die Idee, etwas, was vorher manuell gemacht wurde, jetzt mit Hilfe der EDV durchzuführen.
Hierzu wird ein Projekt gestartet, bei dem zu Beginn eine genaue Projektplanung durchgeführt wird. Dann
werden die Fachspezialisten beauftragt, die Fachkonzepte zu erstellen, die dann an die Entwickler gegeben
werden, welche die Anforderungen umsetzen. Im Idealfall sind kurze Zeit später die gewünschten Funktionalitäten in entsprechenden Programmen umgesetzt und sollen eingeführt werden. Wie aber wird sichergestellt, dass keine unberechtigten Personen auf diese Programme zugreifen können? Oder wie wird sichergestellt, dass die entwickelten Programme auch wirklich das machen, wofür sie gedacht sind? Hier muss ein
Testmanager eingesetzt werden, der die notwendige Testplanung und -dokumentation erstellt und diese
während der Testdurchführung überwacht und durchsetzt.
Im Rahmen der Teststrategie oder des Testhandbuches beschreibt der Testmanager in Abstimmung mit dem
Projektleiter auf abstrakter Ebene die geplanten Teststufen. Diese abstrakte Ebene wird in dem Testkonzept
näher beschrieben. Das Testkonzept beschreibt den Umfang, die Vorgehensweise, die Ressourcen und die
Zeitplanung mit allen Aktivitäten. Es identifiziert die Testobjekte, die zu testenden Merkmale und die Testaufgaben. In diesem Dokument ordnet der Testmanager die einzelnen Testaufgaben den Testern zu und beschreibt die Testumgebung. Ferner werden darin die Risiken beschrieben, die eine Planung für den Fall des
Eintretens erfordern. Ein Testkonzept ist somit die Aufzeichnung des gesamten Testplanungsprozesses. Zusammen mit dem Projektleiter muss der Testmanager sicherstellen, dass die erforderlichen Testzeiträume
und -ressourcen in der Projektplanung berücksichtigt werden.
Prinzipiell gilt, dass je später im Projektverlauf ein Fehler auftritt, desto teurer ist dessen Behebung. Alle
Arbeitsschritte - bis zur Feststellung des Fehlers - bei der Korrektur erneut überprüft (getestet) werden, um
sicherzustellen, dass die Modifikationen keine Auswirkungen auf bisher fehlerfreie Abläufe haben. Diese erneute Überprüfung kann je nach Fehler sehr umfangreich sein und dadurch den gesamten weiteren Terminplan gefährden.
Wenn Fehler erst beim Systemtest festgestellt werden, kann es erforderlich sein, das Prozessdesign, die Inhalte einzelner Prozessschritte und letztlich auch die Funktionsweise der darunter liegenden Programme
oder Einstellungen erneut zu überprüfen und zu testen.
Daher bedarf es einer Risikoanalyse, in der alle Risiken aus Testsicht bewertet werden. Dabei wird festgelegt,
was, wie und wann (in welcher Teststufe) zu testen ist. Ziel ist es dabei, die wichtigsten Module so früh wie
möglich zu testen, damit die Fehlerbehebungskosten möglichst gering gehalten werden. Für die Bezeichnung
der Produktrisiken sind hier z. B. die Risikoklassen A, B und C zu verwenden, wobei A die höchste Risikoklasse
und C die niedrigste Risikoklasse bezeichnet. Zusätzlich sind die Eintrittswahrscheinlichkeit und die Schadenhöhe bei der Aufstellung zu berücksichtigen. So muss beispielsweise ein Risiko mit einer geringen Eintrittswahrscheinlichkeit, jedoch einem hohen Schadenpotenzial, die Risikoklasse A erhalten und somit frühzeitig
getestet werden. Daher sollte eine Aufstellung aller Testobjekte angelegt werden und diese sind jeweils auf
Basis der Risikoanalyse zu bewerten.
Es stellt sich nun die Frage nach den erforderlichen Testfällen. Wer erstellt die Testfälle? Wo werden die
Testfälle dokumentiert? Die Testfälle sollten vom Fachbereich und nicht vom Entwickler erstellt werden. Welcher Entwickler kann seine eigene Software schon objektiv testen? Der Fachbereich bestätigt so die Richtigkeit und Fehlerfreiheit der umgesetzten Anforderungen. Im Normalfall beinhalten bereits die Fach- und DVKonzepte auch ein Kapitel mit den Testfällen. Oftmals werden diese aber gern „vergessen“ oder sind unvollständig. Dann muss der Testmanager zusammen mit seinem Team auf Basis der Fach- und DV-Konzepte die
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
15
A K T U E L LE S
erforderlichen Testfälle erstellen und sie in dem dafür vorgesehenen Testmanagementtool dokumentieren.
Dabei ist darauf zu achten, dass die Testfälle mit Ein- und Ausgangskriterien versehen sind. Auch die Testverfahren sind hierbei zu berücksichtigen. Diese umfassen die Gruppe der spezifikationsbasierten Tests, wie beispielsweise die Äquivalenzklassentests, die Grenzwertanalysen, den Entscheidungstabellentest oder den zustandsbasierten Test. Auf der anderen Seite stehen die Testspezifikationen mit dem Schwerpunkt der funktionalen und fachlichen Testfälle.
Alle Testfälle werden in einem Testmanagementtool erfasst und von dem Testmanager den einzelnen Testern und den zugehörigen Releases zugewiesen. Damit wird auch dokumentiert, wann diese Tests ausgeführt
werden sollen, da die Releaseplanung ein Bestandteil in dem Testmanagementtool ist. Hier werden auch
zentral alle Abweichungen (die Testergebnisse) dokumentiert, die die Tester im Rahmen ihrer Testes feststellen. Diese Fehler müssen in dem nächsten Schritt klassifiziert werden. Das reicht von einem geringen
Fehler (z. B. einem Tippfehler an der Oberfläche der Anwendung) bis zu einem produktionsverhindernden
Fehler, bei dem beispielsweise eine Prämie fehlerhaft berechnet wird. Anschließend werden die gemeldeten
Fehler durch eine Fehlerstatusänderung in dem Testmanagementtool an die Entwickler weitergegeben. Mit
der Nachbesserung durch die Entwickler wird eine neue Version der betreffenden Komponente erstellt und
es beginnt der Regressionstest. Auch dies wird in dem Testmanagementtool durch den Entwickler dokumentiert. Somit hat der Testmanager jederzeit einen Überblick über den Stand der Tests (wie viele sind bereits
durchgeführt worden, wie viele davon sind z. B. mit Abweichungen/Fehlern durchgeführt und welche Fehler
werden derzeit in der Entwicklungsabteilung beseitigt).
Wer führt aber wann welche Tests durch? Auch dies ist sehr oft in den Entwicklungsprojekten ein Problem.
Frei nach Murphy’s Law: Genau dann, wenn der betriebliche Abnahmetest durchgeführt werden soll, stehen
die betreffenden Fachspezialisten nicht zur Verfügung. Daher muss der Testmanager zusammen mit dem
Projektleiter eine Planung erstellen, welche Tests wann und durch wen durchgeführt werden sollen. Diese
Testplanung muss mit allen beteiligten Abteilungen abgestimmt sein.
Der Testmanager ist dabei durch die Verwendung eines Testmanagementtools in der Lage, jederzeit eine
genaue Auskunft über den Status des Tests zu geben. Dies berichtet er proaktiv an die Projektleitung in den
einzelnen Testphasen.
Erst wenn die Entwicklertests, Integrationstests, Systemtests und der betriebliche Abnahmetest durchgeführt wurden, erfolgt die Produktivsetzung des neuen Programmes und es erfolgt abschließend eine entsprechende Information an alle Anwender. Inhalt dieser Information sind die behobenen Fehler und neue Funktionalitäten, die der Anwender jetzt verwenden kann.
Fazit
Das Testmanagement ist ein wesentlicher Baustein für den Projekterfolg. Auch hier sollte die Fokussierung
risikoorientiert erfolgen und frühzeitig eingeplant werden. Der Versuch, die notwendige Qualität an Ende
reinzutesten, ist bisher immer gescheitert. Das risikoorientierte Testmanagement muss also von Beginn an
ausreichend berücksichtigt werden. Es ist kein notwendiges Übel, sondern leistet einen hohen Wertbeitrag
für den Projekterfolg.
Bei projektbegleitenden Prüfungen sollte hier von Anfang an besonders darauf geachtet werden, um frühzeitig Defizite aufzuzeigen. So kann die Interne Revision zum Projekterfolg beitragen.
Ansprechpartner: Jürgen Ehlers (Managing Consultant Project & Implementation Management)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
16
A K T U E L LE S
Frühwarnsysteme nach Solvency II: Implementierung von KRIs
Die Implementierung eines effektiven und effizienten Frühwarnsystems unter dem Einsatz von KRIs (Key Risk
Indikatoren) hat spätestens mit der Veröffentlichung der MaRisk VA für deutsche Versicherungsunternehmen an Bedeutung gewonnen. Gemäß den MaRisk1 ist die Geschäftsleitung verantwortlich für die laufende
Überwachung des Risikoprofils und die Einrichtung eines Frühwarnsystems sowie die Lösung wesentlicher
risikorelevanter Ad-hoc-Probleme (wie z. B. Limitüberschreitungen).
Im Rahmen der Vorbereitung auf Solvency II waren es oftmals andere Aufgaben und Instrumente des Risikomanagements - wie bspw. Modellrechnungen, ORSA und IKS -die für Versicherungsunternehmen im Fokus
standen. Frühwarn- oder auch Limit- und Schwellenwertsysteme sowie insbesondere die Verzahnung dieser
mit anderen bestehenden Risikomanagementinstrumenten sind bei den Umsetzungsarbeiten oft zu kurz gekommen. Dies verwundert, da sowohl die EIOPA2 als auch die BaFin3 im Rahmen von Solvency II von den
Unternehmen klar erwarten, dass diese Frühwarnsysteme und KRIs einführen, um wesentliche Risiken und
deren Treiber kontinuierlich und systematisch messen und überwachen zu können.
Eigenschaften, Ziele und Nutzen von KRIs in einem Frühwarnsystem
Unter KRIs sind wesentliche Risikoindikatoren zu verstehen. KRIs in einem Frühwarnsystem können sowohl
qualitativer als auch quantitativer Natur sein. Sie signalisieren mit einem zeitlichen Vorlauf die Entwicklung
eines Indikators und ermöglichen die Erfassung unternehmensrelevanter Phänomene (latente Gefahren), die
sich häufig einer Quantifizierung entziehen. KRIs beantworten somit die Fragen des Ist-Zustandes und der
Entwicklung und können so rechtzeitig maßgebliche Trends aufzeigen. Beispiele für KRIs sind:






Wesentliche Controlling-Zahlen (Rentabilitätskennzahlen, Liquiditätskennzahlen)
Sensitivitäten (Modified Duration, Volatilität, stochastische Indikatoren)
Risikokapital (Risikotragfähigkeit, Solvenz)
Aktienquote im Wertpapierportfolio
Krankenstandstage
Forderungsausfall in EUR
Die wesentlichen Ziele und Nutzen von KRIs in einem Frühwarnsystem lassen sich somit wie folgt zusammenfassen:







Rechtzeitiges Erkennen von möglichen Risiken (und Chancen)
Frühzeitige Entwicklung geeigneter Maßnahmen
Einbindung der KRIs in (strategische) Geschäftsentscheidungen
Effizientes und risikosensitives Risikomanagement aller Risikoarten
Mehrwert durch ständige, unterjährige Überwachungs- und Steuerungsmöglichkeiten
Kontrolle, Prävention und Verminderung von Risiken
Eskalationsverfahren innerhalb eines Limit- und Schwellenwertsystems
Herausforderungen bei der Implementierung von KRIs in Frühwarnsystemen
Die Erhebung von KRIs ist in der Regel mit erheblichem Aufwand verbunden, da bei der Erhebung sowohl
kausale als auch strukturelle Zusammenhänge bestimmt und berücksichtigt werden müssen. Dies gestaltet
1
MaRisk VA BaFin Rundschreiben 3/2009 – Gliederungspunkt 7.2.1 3a
2
Hinweistext zu Leitlinie 19 – Leitlinien zum Governance System EIOPA-CP-13/08 DE
3
BaFin Verlautbarung zur Vorbereitung auf Solvency II: Risikomanagement, Satz 41, 25.02.2015
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
17
A K T U E L LE S
sich in der Praxis oftmals sehr schwierig, da lediglich einemangelnde oder nicht ausreichende qualitätsgesicherte Datenbasis zur Verfügung steht.
Unter Berücksichtigung der Proportionalität sollten daher wesentliche Risiken bei der Bestimmung der KRIs
im Vordergrund stehen. Der Fokus auf wesentliche Risiken und KRIs stärkt die Überschaubarkeit und Effizienz
eines Frühwarnsystems. Die Auswahl geeigneter KRIs hat zudem immer auch auf Basis der gültigen Risikostrategie zu erfolgen. Die Risikostrategie ist wiederum aus der Geschäftsstrategie und Risikotragfähigkeit des
Unternehmens abzuleiten.
Effiziente Frühwarnsysteme setzen außerdem eine offene Risikokultur und eine adäquate Risikowahrnehmung der einzelnen Mitarbeiter voraus. In der Praxis fehlt es den Experten allerdings häufig an ausreichender
Erfahrung.
Schritte der Implementierung von KRIs in Frühwarnsystemen
Bei der Implementierung von KRIs sind zunächst die zugrundeliegenden Risiken ausschlaggebend. Die Identifikation, Analyse und Bewertung der in den wesentlichen Geschäftsprozessen und Tätigkeiten des Unternehmens inhärenten Risiken stellt die Basis für die Ableitung und Definition der KRIs dar.
Der Ableitung und Definition der
KRIs folgt die genauere Spezifikation sowie die Festlegung geeigneter KRI-Grenzweite, z. B. in Form
von Limit- und Schwellenwerten.
Für mögliche Grenzwertüberschreitungen ist ein geeigneter Eskalationsprozess festzulegen.
Die Grenzwerte dürfen über die
Zeit nicht starr sein, sondern sollten kontinuierlich überprüft und
an aktuelle Gegebenheiten angepasst werden.
Beispiel eines Eskalationsprozesses mit Limit- und Schwellenwerten
Die Überschreitung eines definierten Schwellenwerts wird durch eine gelbe Ampel im Frühwarnsystem signalisiert. Eine gelbe Ampel stellt somit eine „Frühwarnung“ vor einer kritischen Situation dar. Die Meldung
der gelben Ampel erfolgt automatisiert an den Risikoverantwortlichen im Fachbereich. Es folgt eine Ursachenanalyse im Fachbereich; ggf. werden vordefinierte (Gegen-)Maßnahmen eingeleitet.
Die Überschreitung eines definierten Limits wird durch eine rote Ampel im Frühwarnsystem signalisiert. Die
rote Ampel zeigt an, die kritische Situation ist eingetreten. Die Meldung der roten Ampel erfolgt automatisiert an den Risikoverantwortlichen im Fachbereich und ggf. zusätzlich an eine Führungskraft bzw. das Management. Es folgt die Ursachenanalyse im Fachbereich in Abstimmung mit der Führungskraft bzw. dem Management; ggf. werden wiederum vordefinierte (Gegen-)Maßnahmen eingeleitet. Hierbei ist es entscheidend, dass für unterschiedliche Indikatoren auch unterschiedliche Verantwortlichkeiten auf verschiedenen
Hierarchiestufen zu definieren sind.
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
18
A K T U E L LE S
Ausreichende Reaktionszeit entscheidend
Die Reaktionszeit zwischen der Überschreitung eines Grenzwertes und dem tatsächlichen Eintreten des Risikos muss so gesetzt sein, dass genügend Zeit für einzuleitende (Gegen-)Maßnahmen bleibt. Nur so ist eine
angemessene Risikosteuerung mit Hilfe der KRIs möglich. Durch eine regelmäßige Messung und eine kontinuierliche Überwachung können Trends erkannt und entsprechende Analysen durchgeführt werden. Zur Optimierung der Reaktionszeit ist eine Anbindung des Frühwarnsystems an ein firmeninternes DWH oder andere interne/externe Systeme für einen automatisierten KRI-Datenimport wünschenswert. Dadurch können
Grenzwert-Überschreitungen automatisch (autark) erkannt und vordefinierte Eskalationsmaßnahmen
ebenso automatisch ausgelöst werden.
Ganzheitliches Risikomanagement: Verknüpfung der KRIs mit anderen Risikomanagementinstrumenten
KRIs sollten eng mit anderen Instrumenten des Risikomanagements verknüpft werden, z. B mit der internen
Verlustdatenbank. Bei einer Limitüberschreitung kann dann die entsprechende Schadenfallkategorie, welche
in Bezug mit dem KRI steht, analysiert werden. Zudem können auf Basis von Verlustdaten KRI-, Limit- und
Schwellenwerte abgeleitet werden. Auch
kann überprüft werden, ob ein Anstieg
von Schadensfällen mit einem Anstieg des
jeweiligen KRI verbunden ist.
In Bezug auf ein Internes Kontrollsystem
(IKS) können KRIs zudem Aufschluss über
die Ausgestaltung und Wirksamkeit von
internen Kontrollen geben. Ein Anstieg eines KRIs kann ein Hinweis dafür sein, dass
die dem Risiko zugeordneten Kontrollen
ggf. nicht wie vorgesehen funktionieren.
Zusammenfassung der kritischen Erfolgsfaktoren für die Implementierung von KRIs im Frühwarnsystem






Identifikation bzw. Ableitung von risikosensitiven und leicht ermittelbaren KRIs
Langer Kalibrierungsprozess (z. B. für KRIs und Grenzwerte) notwendig
Reduktion auf wenige, risikosensitive KRIs erhöht die Aussagekraft des Frühwarnsystems
Nicht allen potenziellen Verlusten/Risiken sind KRIs zuzuordnen
Der Bezug zu einzelnen Prozessschritten unterstützt den Nutzen für die Anwender
Die Abstimmung mit Verlustdaten erhöht die Objektivität (Backtesting)
Lösungsansätze Q_PERIOR
Bei der Implementierung von KRIs nutzt Q_PERIOR typischerweise vorhandene Risikoindikatoren im Unternehmen als Ausgangspunkt. Ob bewusst oder nicht - jedes Unternehmen nutzt bereits Indikatoren in mehr
oder weniger ausgeprägter Form. Diese dienen als Basis für eine systematische Analyse und die Implementierung von KRIs. Unsere Vorgehensweise umfasst:





Analyse Risikostrategie und -tragfähigkeit sowie vorhandene Prozesse, Risiken und Indikatoren
Identifikation und Spezifikation der wesentlichen Risiken und KRIs
Festlegung KRI Grenzwerte (Limit- und Schwellenwerte) qualitativ und quantitativ
Definition KRI-Aggregation, Eskalationsverfahren und Einbindung in das Risikoberichtswesen
Verknüpfung KRIs mit anderen Instrumenten des Risikomanagements
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
19
A K T U E L LE S
Bei der Implementierung von KRIs setzen wir auf unsere funktionale Kompetenz und technische Expertise.
Neben unserer langjährigen Erfahrung bei Projekten zur Umsetzung von Frühwarnsystemen und KRIs bieten
wir software-gestützte Umsetzungsmöglichkeiten mit unserem Risikomanagement- und Kontrollsystem
„Q_Riskmanager“. Sprechen Sie uns gern dazu an.
Ansprechpartner: Jan-Hendrik Uhlenberg (Manager, Lead Regulatory & Risk Management) und Andreas
Mayer (Senior Consultant Regulatory & Risk Management)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
20
A K T U E L LE S
Richtlinienmanagement 2.0 als Lösung für eine effiziente und ganzheitliche Compliance
Die anhaltende Dynamik nationaler und internationaler Regelungen, Gesetzesvorgaben und Empfehlungen,
tangieren die Unternehmen auf dem globalen Markt. Bei der stetig zunehmenden Flut regulatorischer Veränderungen sehen sich viele Firmen mit einer aufwändigen Aufgabe konfrontiert, die an sie gerichteten Anforderungen effizient und kostengünstig umzusetzen. Diese Entwicklung trägt dazu bei, dass das Richtlinienmanagement zunehmend an Bedeutung gewinnt und effiziente Erstellungs-, Freigabe- und Richtlinienpflegeprozesse mittlerweile zum strategischen Erfolgsfaktor vieler Konzerne gehören.
Unzureichende Compliance-Systeme hatten zudem in den vergangenen Jahren zu Negativschlagzeilen, Freiheitsentzug, Reputationsverlusten und horrenden Geldstrafen in Millionenhöhe geführt. Gerichtlich begründet liegt die Sicherstellung der unternehmensweiten Einhaltung von Vorschriften bei den Leitungsorganen,
beispielsweise dem Vorstand einer AG. Aber auch jeder Compliance Officer kann für sämtliche Verstöße verantwortlich gemacht werden, die aus der Unternehmung heraus resultieren.
Mit Richtlinienmanagement 2.0 hat Q_PEROR eine nachhaltige Lösung auf der Basis von Microsoft SharePoint
geschaffen, welche maßgeschneidert auf die individuellen Unternehmensanforderungen angewendet werden kann. Die Stärke unserer Richtlinienmanagement-Lösung liegt in ihrem modularen Aufbau. Dieser gewährleistet, dass die fachlichen Prozesse einfach an die Erfordernisse angepasst werden können. Wenn Erweiterungen vorgenommen werden müssen, kann dies aufgrund bereits existierender interner Schnittstellen
ohne großen Mehraufwand erfolgen. Zudem kann die IT-Lösung ohne großen Aufwand in die bestehende
SharePoint Umgebung vieler Unternehmen integriert werden.
Bevor jedoch die eigentliche System-Lösung umgesetzt wird, ist eine sorgfältige Richtlinienbestandsermittlung im Fachbereich durchzuführen. Die Projekterfahrung zeigt, dass viele im Bestand befindliche Richtlinien
den unternehmensseitigen Anforderungen nicht genügen. Einerseits ist dies in den oft veralteten oder gar
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
21
A K T U E L LE S
falschen Regelungspapieren begründet. Andererseits haben diese Dokumente in dem zeitlichen Verlauf immer komplexere und widersprüchliche Strukturen angenommen, was keineswegs zu einer benutzerfreundlichen Darstellung beiträgt.
Widersprüchlichkeiten sowie Unstimmigkeiten in den Richtlinien sind zu identifizieren und zu bereinigen.
Zudem werden bei der Bestandsermittlung die Abhängigkeiten und hierarchischen Beziehungen einzelner
Richtlinien zueinander sichtbar dargestellt.
Das Gesamtergebnis ist eine optimale Lösung zur effizienten Gestaltung des Erstellungs-, Freigabe- und Publikationsprozesses sowie die Vereinfachung der Pflege bestehender Richtlinien. Die intuitive Benutzeroberfläche ermöglicht eine übersichtliche Darstellung aller für den User gültigen Regelungen zum Abrufzeitpunkt.
Umfangreiche und präzise Suchfunktionen erleichtern die Recherche nach relevanten Informationen. Hierzu
gehören die integrierte Volltext-, Schlagwort- und Rubriksuche, die auch in mehreren Sprachen die gewünschte Richtlinie umgehend findet.
Durch eine standardisierte Struktur und Ablage von Gesetzen, Regelungen, Richtlinien und Beschlüssen wird
somit mehr Transparenz für alle Mitarbeiter geschaffen. Kommt es aufgrund gesetzlicher oder interner Vorgaben zu Änderungen im aktuellen Richtlinienbestand, werden die Mitarbeiter schnell und zuverlässig über
die für Sie relevanten Anpassungen informiert. Im System hinterlegte richtlinienverantwortliche Personen
erhalten in vordefinierten Abständen die Aufforderungen per Mail, die Aktualität der Richtlinien zu überprüfen und diese gemäß dem Richtlinienlebenszyklus anzupassen. Somit deckt die auf SharePoint basierte ITLösung die ganze Prozessbandbreite des Richtlinienmanagements inklusive des Richtlinien LifeCycle ab.
Q_PEROR AG steht Ihnen mit unseren Experten sowie dem praxiserprobten Richtlinienmanagementsystem
als zuverlässiger Partner zur Seite und begleitet Sie bei dem Umsetzungsprozess. Sie profitieren von der Erfahrung und Fachexpertise unserer Mitarbeiter im Richtlinienmanagement, dieses Know-how haben wir bereits in zahlreichen Projekten unter Beweis gestellt. Wir bieten nicht nur ein IT-System, sondern zusammen
mit unseren Fachexperten eine ganzheitliche Lösung für Ihr Unternehmen. Dieses Lösungskonzept beinhaltet: Analyse, Planung, Design, Implementierung sowie Schulung – und das alles aus einer Hand!
Ansprechpartner: Jan-Hendrik Uhlenberg (Manager, Lead Regulatory & Risk Management) und Tarik Heder
(Consultant Regulatory & Risk Management)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
22
A K T U E L LE S
Neuigkeiten zu Solvency II & Risikomanagement
EIOPA veröffentlicht das zweite Paket (Set 2) der Solvency II Technical Standards und Guidelines
EIOPA hat am 6. Juli 2015 das zweite Paket (Set 2) der Implementing Technical Standards (ITS) und Solvency
II Guidelines veröffentlicht. Das zweite Paket umfasst Bereiche aus allen drei Säulen. Zu Säule 1 (quantitative
Anforderungen), Säule 2 (qualitative Anforderungen) und Säule 3 (Anforderungen an das Berichtswesen). Die
ITS und die Guidelines wurden nach über 4.500 eingegangenen Anmerkungen während der Konsultationsphase finalisiert. Am 7. August und 11. August 2015 gab es zu einigen Dokumenten der Säule 3 Updates.
→ Link zu EIOPA – Solvency II Implementing Technical Standards und Solvency II Guidelines
Ansprechpartner: Jan-Hendrik Uhlenberg (Manager, Lead Regulatory & Risk Management) und Tobias Schulz
(Consultant Regulatory & Risk Management)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
23
A K T U E L LE S
Neues Rundschreiben: Mindestanforderungen an die Sicherheit von Internetzahlungen
Die BaFin hat am 05.05.2015 das Rundschreiben zu den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) veröffentlicht. Ziel ist es, ganzheitlichen Schutz vor Cyber-Kriminalität zu gewährleisten
und das Vertrauen der Verbraucher in Internetzahlungsdienste zu festigen. Mit dem Rundschreiben werden
wesentliche Aspekte der Sicherheit im Retail Zahlungsverkehr abgedeckt, insbesondere die Governance und
das Risikomanagement sowie die Überwachung, Überprüfung und Dokumentation von Internetzahlungsvorgängen. Die weiteren Anforderungen der MaSI sind die Einführung einer starken Kundenauthentifizierung,
der Schutz sensibler Zahlungsdaten und die Verbesserung des Kundenschutzes.
Die Anforderungen sind innerhalb von nur sechs Monaten umzusetzen. Wir empfehlen daher eine frühzeitige
Auseinandersetzung und Umsetzung mit den Anforderungen und Pflichten im digitalen Zahlungsverkehr.
Q_PERIOR bringt Sie bei der Sicherheit von Internetzahlungen einen deutlichen Schritt voran und sorgt dafür,
dass Sie die Mindestanforderungen problemlos erfüllen! Gern unterstützen wir Sie bei der detaillierten Risikoidentifikation, der Schwachstellenanalyse sowie der Einführung eines Informationssicherheitsmanagementsystems (ISMS).
Weiterführende Informationen und Anforderungen finden Sie in unserem Flyer.
Ansprechpartner: Jörg Wöhler (Principal Consultant, Lead IT Audit & Security) und Thomas Ortseifen (Consultant Regulatory & Risk Management)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
24
A K T U E L LE S
Seminar „Prävention von wirtschaftskriminellen Handlungen - Aktuelles, Trends
und Praxisbeiträge“
am 25. November 2015 in München
Die nationalen und internationalen Entwicklungen im Bereich Corporate Governance, MaRisk BA und VA sowie aktuelle Fälle messen dem Internen Kontrollsystem zur Verhinderung wirtschaftskrimineller Handlungen
immer größere Bedeutung zu. Nicht zuletzt aufgrund der in jüngster Zeit verstärkten Berichterstattung in den
Medien zum Thema Fraud ist eine besondere Sensibilisierung der Mitarbeiter, die Analyse des Gefährdungspotenzials und ein verstärkter Fokus der Internen Revision auf diese Themen notwendig. Parallel dazu wachsen aber auch die Erfahrungen zur erfolgreichen Bekämpfung und Aufdeckung wirtschaftskrimineller Handlungen. Daher möchten wir Ihnen einen Einblick in die aktuellen Entwicklungen geben und aufzeigen, wie
sich durch die Verstärkung der Internen Kontrollen Fraud-Risiken erkennen und ggf. vermeiden lassen. Wir
stellen Ihnen erfolgreiche Methoden und wirksame Werkzeuge zur Erkennung doloser Handlungen vor.
Bild: Q_PERIOR Academy
Bild: Teilnehmerkreis
Um den Anspruch der Veranstaltung an die Praxisorientierung zu unterstreichen, freut es uns besonders,
dass wir mit Akif Mert von der Allianz SE einen ausgewiesenen Experten als Referenten gewinnen konnten.
Er ist Compliance Officer in der Abteilung Group Legal & Compliance der Allianz SE. Seit 2014 verantwortet
er als Global Anti-Fraud Koordinator das weltweite Anti-Fraud Programm innerhalb der Allianz Gruppe. Sein
Praxisvortrag wird den Teilnehmern des Seminars sicherlich wertvolle Hinweise und Denkanstöße für Ihre
eigene Arbeit geben.
Darüber hinaus konnten wir Robert von Winter als Referenten gewinnen. Er trat 1984 als Revisor bei einer
grossen Erstversicherungsgesellschaft ein. Er war dort im Laufe seiner Tätigkeit für verschiedene Revisionsbereiche verantwortlich, war Stellvertreter des Leiters der Konzernrevision und als Fraud Prevention Officer
tätig. Im Jahre 2007 wechselte er zu einer Rückversicherungsgesellschaft und war dort als Fraud Prevention
Officer und Revisionsleiter für die versicherungstechnische Revision einschliesslich der Revisionsabteilung
der Auslandstöchter verantwortlich. Er verfügt über langjährige Revisionserfahrung und praktische Erfahrung
im Umgang mit Fraudfällen im In- und Ausland. In seinem Praxisvortrag „Sensibilisierung für betrügerische
Handlungen und Vorgehen bei Deliktrevisionen“ wird er spannende Einblicke aus seiner langjährigen Erfahrung bieten.
Wir würden uns freuen, Sie bei unserer nächsten Veranstaltung am 25. November 2015 in München begrüssen zu dürfen. Näheres zur Agenda und die Möglichkeit zur Anmeldung erhalten Sie hier.
Wir bieten dieses Seminar auch als individualisierte Inhouse-Schulung an. Sprechen Sie uns gern dazu an.
Ansprechpartner: Christof Merz (Partner, Lead Audit & Risk)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
25
A K T U E L LE S
Vorankündigung: GRC-ROUNDTABLE - Von Teilnehmern für Teilnehmer
am 24. November 2015 in München
Gemeinsam mit Nasdaq BWise bieten wir einen ROUNDTABLE für einen Erfahrungsaustausch zum Thema
GRC-Initiativen an.
Hier haben die Fachkollegen aus den Bereichen IKS, Interne Revision, Compliance, Risikomanagement, Finanz und IT-Security im Rahmen eines ROUNDTABLE die Möglichkeit, sich über ihre Erfahrungen, Herausforderungen, Methoden und Ansätze auszutauschen und zu erfahren, wie andere Unternehmen GRC umsetzen.
Als Referent wird u.a. Herr Jochen Derrer, Senior Risk Manager bei der adidas AG mit an Bord sein.
Richard Jansen, Managing Director bei Nasdaq BWise und Christof Merz, Partner bei der Q_PERIOR und Business Line Lead Audit & Risk werden den ROUNDTABLE moderieren.
Wir würden uns freuen, Sie am 24. November 2015 bei dieser Veranstaltung in München begrüßen zu dürfen.
Weitere Informationen und die Möglichkeit zur Anmeldung erhalten Sie hier.
Ansprechpartner: Christof Merz (Partner)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
26
S E MI N A R T E R M IN E
Seminartermine
Im Folgenden möchten wir Ihnen ausgewählte Seminare bei Q_PERIOR vorstellen
September bis November 2015
Der professionelle Revisionsbericht – Haub + Partner (Mehr...)
01. – 02.09.2015
Interne Kontrollsysteme prüfen und gestalten (IKS I) – DIIR (Mehr...)
07. – 09.09.2015
IT-Revision in Versicherungsunternehmen – DVA (Mehr...)
Prozesscontrolling - Vertiefungsmodul: Ziel- und kennzahlenbezogene Steuerung
von Prozessen – DVA (Mehr...)
14. – 16.09.2015
Interne Kontrollsysteme prüfen und gestalten (IKS II) – DIIR (Mehr...)
14. – 16.09.2015
Prüfung der Wirtschaftlichkeit von Geschäftsprozessen – DIIR (Mehr...)
14. – 16.09.2015
Projekte prüfen aus Sicht der Internen Revision – DIIR (Mehr...)
16. – 18.09.2015
Schulung der AR zur Erlangung der erforderlichen Sachkunde nach § 7a Abs. 4 VAG
– DVA (Mehr...)
21. – 23.09.2015
Beurteilung von Risikokapitalmodellen und aktuarielle Funktion aus Sicht von MaRisk – DVA (Mehr...)
21. – 22.09.2015
Einführung in die Interne Revision – DIIR (Mehr...)
21. – 24.09.2015
Neu! Intensivseminar Managementreporting – DVA (Mehr...)
21. – 22.09.2015
Neu! Mehrwertkonzepte erfolgreich gestalten, einführen und bewerten
– DVA (Mehr...)
28. – 29.09.2015
Effizientes Richtlinienmanagement
– FORUM Institut für Management (Mehr...)
28.09.2015
Interne Kontrollsysteme prüfen und gestalten (IKS I) – DIIR (Mehr...)
12. – 14.10.2015
Einführung in die Interne Revision – DIIR (Mehr...)
12. – 15.10.2015
Strategische Kostensenkung in der IT
– FORUM Institut für Management (Mehr...)
15.10.2015
Einführung in die IT-Revision – DIIR (Mehr...)
19. – 22.10.2015
Neu! Systemisch prüfen – DIIR (Mehr...)
19. – 20.10.2015
Neu! Risikoorientierte Revisionsplanung
– FORUM Institut für Management (Mehr...)
20. – 21.10.2015
Der Faktor Mensch im Prozess – AIR (Mehr...)
21. – 22.10.2015
Aufbau einer modernen Revisionsabteilung im Unternehmen – DIIR (Mehr...)
26. – 27.10.2015
Berichterstattung der Internen Revision – DIIR (Mehr...)
27. – 29.10.2015
Workshop: Prüfung der Risikostrategie nach MaRisk VA – DVA (Mehr...)
09.11.2015
Beschwerdemanagement in Versicherungsunternehmen – DVA (Mehr...)
09. – 10.11.2015
Prüfung von IT-Dienstleistern – DIIR (Mehr...)
09. – 10.11.2015
Gestaltung eines Frühwarnsystems mittels Indikatoren (IKS unter MaRisk)
– DVA (Mehr...)
10.11.2015
14. – 15.09.2015
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
27
S E MI N A R T E R M IN E
Geprüftes Prozessmanagement (DVA), Modul 1: Grundlagen und übergreifende
Konzepte – DVA (Mehr...)
10. – 11.10.2015
Rechnungslegung und Abschlussprüfung für AR (Vertiefungsseminar)
– DVA (Mehr...)
10.11.2015
Einführung in die Interne Revision – DIIR (Mehr...)
10. – 13.11.2015
Einführung in die Facharchitektur – DVA (Mehr...)
11. – 13.11.2015
Projekte prüfen aus Sicht der Internen Revision – DIIR (Mehr...)
18. – 20.11.2015
Neu! Aufbau eines IKS unter Solvency II – DVA (Mehr...)
19. – 20.11.2015
Schulung der AR zur Erlangung der erforderlichen Sachkunde nach § 7a Abs. 4 VAG
– DVA (Mehr...)
23. – 25.11.2015
Neu! Kapitalanlagen Management für AR (Vertiefungsseminar) – DVA (Mehr...)
23.11.2015
FRAUD nachhaltig vermeiden – DIIR (Mehr...)
23. – 24.11.2015
Neu! Digitaler Wandel in der Versicherungswirtschaft - Herausforderungen und
Lösungsansätze (Pilotseminar) – DVA (Mehr...)
23. – 24.11.2015
Einführungsseminar "Grundlagen Interne Revision" – SVIR (Mehr...)
24. – 27.11.2015
Prävention von wirtschaftskriminellen Handlungen – Q_PERIOR (Mehr...)
25.11.2015
Haben Sie Interesse an einer Inhouse-Schulung? Sprechen Sie uns gern direkt an!
Ansprechpartner: Dr. Peter Wesel (Managing Consultant Internal Audit)
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
28
WHO IS WHO
Who is Who
Julia Stiefvater
In jeder Ausgabe stellen wir Ihnen Mitglieder unseres Teams bzw. Kollegen, die der Revision oder dem Risikomanagement nahestehen, vor. Diesmal Julia Stiefvater, Consultant Internal Audit.
Was gefällt Ihnen bei Q_PERIOR am besten?
Die freundliche Aufnahme im Kreis der Kollegen
Julia Stiefvater
Consultant
Was treibt Sie an?
Der Wunsch mich beruflich und persönlich weiterzuentwickeln
Welches war Ihr schönstes Musikerlebnis?
Das LaBrassBanda Konzert auf der Festungsruine
Hohentwiel
Welche Themen würden Sie gern beschleunigen?
Die Lösung der Flüchtlingsproblematik
Welche Freizeitaktivitäten üben Sie aus?
Ich gehe gerne Wandern, Fahrrad fahren,
Schwimmen oder treffe Freunde
Was sind Ihre persönlichen Motivationen?
Neue Herausforderungen anzugehen
Was hat Sie am meisten beeindruckt?
Der Tivoli (Kopenhagen) im Advent
Wen bewundern Sie am meisten?
Menschen die Dienst am Nächsten leisten, wie
z. B. Ärzte ohne Grenzen oder in der Hospizbewegung
Was können Sie besonders gut kochen?
Schinken im Brotteig
Was tun Sie, um sich zu entspannen?
Yoga und Lesen
Was beherrschen Sie im Haushalt besonders
gut?
Die Kaffee- und Spülmaschine
Wo hätten Sie gern Ihren Zweitwohnsitz?
In Kopenhagen, am Besten im Viertel Islands
Brygge
Was haben Sie als schönstes Kauferlebnis empfunden?
Die neuen Haustüren mit Fingerprint
Nennen Sie ein Traumreiseziel:
Island
Q_PERIOR Audit & Risk Newsletter – 2015 – Ausgabe 4/6
29
I M PR E S SU M
Impressum
Together With You – Q_PERIOR
Q_PERIOR AG, Buchenweg 11 - 13, 25479 Ellerau (Hamburg), Germany
Office:
+49 4106 7777-0
Fax:
+49 4106 7777-333
E-Mail:
Internet:
[email protected]
http://www.q-perior.com
Sitz der Q_PERIOR AG: München
Vorstand: Karsten Höppner, Klaus Leitner
Vorsitzender des Aufsichtsrats: Michael Girke
Registergericht: Amtsgericht München
Registernummer: HRB 140669
Aktuelle Anzahl der Ausgaben (Versand im Zwei-Monatsrhythmus): ca. 8.500
Für eine Bestellung bzw. Abbestellung des „Q_PERIOR Audit & Risk Newsletters“ senden Sie bitte eine
E-Mail an eine der folgenden Adressen:
Bestellung des Q_PERIOR Audit & Risk Newsletters
Abbestellung des Q_PERIOR Audit & Risk Newsletters
Für alle weiteren Anliegen senden Sie bitte eine E-Mail an folgende Adresse:
[email protected]
Weitere aktuelle Informationen rund um die Themen
Revision, Risikomanagement und Compliance finden Sie
auch auf unserer Webseite unter revisionswelt.de.
Disclaimer
Alle Links zu externen Anbietern wurden zum Zeitpunkt ihrer Aufnahme auf ihre Richtigkeit überprüft. Da sich das Internet jederzeit
wandelt, kann Q_PERIOR nicht garantieren, dass diese Links zum Zeitpunkt des Besuchs a) noch zum Ziel führen oder b) noch dieselben Inhalte besitzen, wie zum Zeitpunkt der Aufnahme.
Insbesondere macht sich Q_PERIOR nicht die Inhalte der Links zu Eigen und übernimmt dafür auch keine Verantwortung. Links zu
externen Anbietern stellen keine Wertung oder eine Empfehlung der Q_PERIOR dar.
Der Inhalt dieses Newsletters ist urheberrechtlich geschützt. Ohne Genehmigung der Q_PERIOR darf der Inhalt dieser Seite in keiner
Form reproduziert und/oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.
© Q_PERIOR, München, Deutschland, 2015. All rights reserved.
30

Download Report