Optimierung von Prozessen in Verbindung mit dem IKS

Daniela Häming, M.Sc., Abteilungsleiterin Organisationsmanagement I Direktorin, Internationales Bankhaus Bodensee AG

Prozessmanagement ist in Banken mittlerweile nicht mehr wegzudenken, wobei es je nach Ausgestaltung, Reifegrad und Schwerpunkten in den einzelnen Instituten sehr unterschiedlich gelebt wird. Optimalerweise ist das Interne Kontrollsystem (IKS) in ein ganzheitliches Prozessmanagementsystem integriert: sowohl zur Erfüllung von aufsichtsrechtlichen Anforderungen als auch für einen möglichst hohen wirtschaftlichen Nutzen. Dieser nimmt mit ansteigendem Reifegrad der Prozessausrichtung stetig zu. Nachdem Prozesslandkarte und Rollen definiert sind, Prozesse modelliert und somit Kontrollen transparent sind, gilt es, im nächsten Schritt durch laufende Prozessoptimierung die positiven Effekte für Kunden, Mitarbeiter und Bank kontinuierlich zu erhöhen.

Wer führt die Prozessoptimierung durch?

Der Prozessverantwortliche steuert alle mit seinen Prozessen zusammenhängenden Themen. Neben der Sicherstellung von aktuellen und der Umsetzung von neuen aufsichtsrechtlichen Anforderungen hat er die klare Verantwortlichkeit dafür, die Prozesse auch unter qualitativen und wirtschaftlichen Gesichtspunkten laufend zu optimieren. Erfolgsentscheidend dabei ist, die Prozessbeteiligten aus den oftmals verschiedenen Fachbereichen sowie themenbezogen die entsprechenden Beauftragten eng einzubinden. In gemeinsamen Workshops werden die bereichsübergreifende Zusammenarbeit gestärkt, gegenseitiges Verständnis geschaffen und Ideen aus der Praxis aufgenommen. Nur durch die konsequente Betrachtung des Gesamtprozesses ist es möglich, Schnittstellen zu optimieren und eine vollständige Prozesssteuerung zu gewährleisten. Methodische Unterstützung für ein strukturiertes Vorgehen und den manchmal notwendigen „neutralen“ Blick auf die Problemstellung erhalten der Prozessverantwortliche und sein Team durch das zentrale Prozessmanagement.

SeminarTipps

Prozesse/Orga-Handbuch & IKS, 25.–26.03.2020, Köln.

IKS KOMPAKT: Aufbau & Management einer IKS-Organisation, 04.05.2020, Berlin.

Praktische Vorgehensweisen zur Implementierung eines IKS, 05.05.2020, Berlin.

Der (zukünftige) IKS-Beauftragte, 06.05.2020, Berlin.

Welche Prozesse werden zur Optimierung ausgewählt?

Da nicht alle Themen gleichzeitig bearbeitet werden können und es auch nicht sinnvoll ist, alle Prozesse mit dem gleichen Aufwand zu betrachten, ist anhand der Prozesslandkarte nach Priorität vorzugehen. Im Fokus stehen die als „wesentlich“ definierten Prozesse, da diese unter Ertrags-, Kosten- und Risikoaspekten eine besondere Bedeutung für die Geschäftstätigkeit der Bank haben. Außerdem empfiehlt es sich, kundenorientierte Prozesse besonders zu berücksichtigen. Hinweise zum Handlungsbedarf können neben unterjährigen Erkenntnissen aus der Praxis u. a. aus den IKS-Instrumenten oder dem Beschwerdemanagement kommen sowie über ein im Haus installiertes Vorschlagswesen eingebracht werden. Abhängig von den Ansatzpunkten wird die weitere Vorgehensweise festgelegt: Kleinere Themen können durch den Prozessverantwortlichen in der Linie umgesetzt werden, für wesentliche Prozessveränderungen ist die Vorgehensweise nach AT 8.2 MaRisk zu beachten. Um mit den notwendigen Ressourcen strukturiert die definierten Ziele zu erreichen, ist es für größere Themen sinnvoll, ein Projekt aufsetzen. Aber auch die Prozesse ohne konkreten Handlungsbedarf werden nicht vergessen: Da jeder Prozess in der Bank regelmäßig im Rahmen der Aktualisierung der schriftlich fixierten Ordnung durch den Prozessverantwortlichen betrachtet wird, werden auch kleinere Verbesserungsansätze in der Linie erkannt und zur Umsetzung gebracht.

InhouseTipp

IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen.

 

 

Welche Rolle spielt das IKS bei der Prozessoptimierung?

Ein typischer IKS-Kreislauf sieht vor, dass der Prozessverantwortliche in Zusammenarbeit mit der IKS-Evidenzstelle und ggf. weiteren Beauftragten regelmäßig die Funktionsfähigkeit und Wirksamkeit der Kontrollen mittels Kontrolltests überprüft. Die Ergebnisse der Kontrolltests können zu verschiedenen Maßnahmen führen: Zum einen wird Bedarf zur Anpassung des Prozesses und/oder der Kontrolle aufgrund von Fehlern ersichtlich. Zum anderen können die IKS-Instrumente Weiterentwicklungspotenzial aufzeigen. Das prozessorientierte IKS leistet somit einen hohen Beitrag für das Optimierungsziel des Prozessverantwortlichen.

Grundlage für eine Optimierung ist der modellierte Ist-Prozess. Prozessdiagramme beinhalten u. a. Kontrollen mit Details zu ihrer Ausgestaltung und Ausführung. In der Analysephase werden verschiedene Ansatzpunkte betrachtet: Schnittstellen zwischen Organisationseinheiten, verwendete Sachmittel, Doppelarbeiten, Medienbrüche, … und die Kontrollen! Dabei stellt sich der Prozessverantwortliche u. a. folgende Fragen: Was ist der Kontrollinhalt und Zweck der Kontrolle? Welches Risiko wird damit minimiert oder vermieden? Ist die Kontrolle angemessen für den jeweiligen Prozess? Gibt es Kontrolllücken oder wird vielleicht sogar zu viel kontrolliert? Ist die Kontrolle automatisierbar? Ist eine Vollkontrolle nötig oder reichen Stichproben aus? Wie wirkt sich eine geplante Prozessveränderung auf die Risiken oder Kontrollen aus? Auf Basis dieser Analyseerkenntnisse werden Ideen entwickelt und implementiert, die darauf abzielen, das Kontrollgefüge als Teil des Prozesses zu optimieren und somit zur Qualitäts- und/oder Effizienzsteigerung beizutragen.

Die Bausteine des Prozessmanagements mit integriertem IKS bilden einen kontinuierlichen Verbesserungskreislauf. Aus der regelmäßigen Prozessüberprüfung in Verbindung mit den IKS-Instrumenten (wie z. B. Kontrolltests) ergeben sich Ansatzpunkte für Optimierungspotenzial, welches nach Umsetzung zu positiven Auswirkungen für Kunden, Mitarbeiter und die gesamte Bank führt.

PRAXISTIPPS

  • Betrachten Sie Ihre Prozesse regelmäßig, um diese in kleinen Schritten kontinuierlich weiterzuentwickeln.
  • Verdeutlichen Sie den beteiligten Mitarbeitern den Nutzen der IKS- und Prozessoptimierungsaktivitäten, um sie zum aktiven Einbringen Ihrer Ideen anzuregen und Akzeptanz für die Ergebnisse zu schaffen.
  • Stimmen Sie alle geplanten IKS- und Optimierungsaktivitäten zeitlich und inhaltlich mit den Beteiligten ab. Dies reduziert möglicherweise parallele oder doppelte Tätigkeiten.
  • Haben Sie stets den Gesamtprozess im Blick, damit das beste Ergebnis erzielt werden kann und eine vollständige Prozesssteuerung gewährleistet ist.

Beitragsnummer: 88593

Prüfung von Auslagerungen im Kreditgeschäft

Praxisorientierte Prüfungsansätze für die Interne Revision

Thomas Maurer, Leiter Interne Revision, Münchner Bank eG

Ausgangslage

Der stetig zunehmende Kostendruck und die fortschreitende Digitalisierung zwingen die Banken dazu neue Wege zu gehen. Insbesondere der Weg in die digitale Welt erfordert ein Spezialwissen, das nicht in allen Instituten im erforderlichen Umfang vorhanden ist. Vor diesem Hintergrund wird bei vielen neuen und teilweise auch bei bekannten Themen immer auch die Möglichkeit einer Auslagerung der Aufgaben geprüft. Dies hat auch im Kreditgeschäft Einzug gehalten. Beispiele sind Ratingverfahren, Wertermittlungen im Immobiliengeschäft oder Teile der Marktfolgetätigkeiten. Die Aufsicht beobachtet diesen Trend argwöhnisch und wartet mit immer detaillierteren Regulierungsanforderungen auf. Aktuelles Beispiel ist die „Guideline on Outsourcing Arrangements“ der EBA, die zum 30.09.2019 in Kraft getreten ist und mit der nächsten MaRisk-Novelle in nationales Recht umgesetzt werden soll. Dieser Entwicklung muss auch die Interne Revision folgen und der Prüfung von ausgelagerten Unternehmensbereichen einen größeren Stellenwert einräumen und mehr Zeitressourcen hierfür zur Verfügung stellen.

SEMINARTIPPS

Prüfung AT 9 – Auslagerungen, 31.03.2020, Köln.

17. Kreditrevisions-Tage 2020 in München, 11.–12.05.2020, München.

PraxisFalle IT Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 22.06.2020, Frankfurt/Offenbach.

Auslagerungen im Fokus von neuer MaRisk & BAIT, 23.06.2020, Frankfurt/Offenbach.

Aufsichtsrechtliche Anforderungen

In AT 9 der MaRisk sind umfangreiche Anforderungen definiert. So ist vor jeder Auslagerung eine Risikoanalyse durchzuführen, in deren Erstellung auch die Interne Revision einzubinden ist. Für den Fall einer beabsichtigten wie auch einer unbeabsichtigten Beendigung der Auslagerung sind geeignete Vorkehrungen zu treffen, die sicherstellen, dass die Aktivitäten auch in diesen Fällen reibungslos weiter durchgeführt werden können. Auch an die Inhalte der Auslagerungsverträge werden dezidierte Anforderungen gestellt, u a. auch zu den Prüfungsrechten der Internen Revision. Weiterverlagerungen sollten nur mit Zustimmung des auslagernden Instituts möglich sein. Die Leistung des Auslagerungsunternehmens ist regelmäßig anhand vorgehaltener Kriterien zu überprüfen. Dabei ist der Grad der maximal akzeptierten Schlechtleistung festzulegen. Selbstverständlich sind auch die ausgelagerten Bereiche in die Steuerungs- und Überwachungsprozesse des Hauses einzubeziehen. Ein laufendes und anlassbezogenes Reporting-System ist mit den Dienstleistern ebenfalls zu vereinbaren.

Prüfungsansätze für die Interne Revision

Die Interne Revision muss die ausgelagerten Bereiche in ihr Prüfungsuniversum aufnehmen und risikoorientiert in angemessenem Turnus prüfen. Wenn das Auslagerungsunternehmen über eine eigene Interne Revision verfügt, die den Anforderungen der MaRisk unterliegt, dann kann sich die Revision des auslagernden Unternehmens grundsätzlich, aber nicht ausschließlich, auf deren Ergebnisse stützen. Voraussetzung ist, dass eine Informationspflicht über Feststellungen, die die Ordnungsmäßigkeit der ausgelagerten Prozesse beeinträchtigen könnten, vereinbart ist. Eine Vorlage des Jahresberichts der Internen Revision des Auslagerungsunternehmens sowie der Bestätigung des Wirtschaftsprüfers über die Funktionsfähigkeit der Internen Revision ist ebenfalls geboten. Unterliegt das Auslagerungsunternehmen nicht den MaRisk, so ist zusätzlich zu untersuchen, ob die Organisation und Tätigkeit der dortigen Interne Revision grundsätzlich den Vorgaben der MaRisk in analoger Weise entsprechen. Dies alleine genügt jedoch noch nicht in allen Fällen den aufsichtsrechtlichen Anforderungen. Die im Rahmen des Reportings vorgelegten Berichte des Auslagerungsunternehmens sind ebenfalls einer kritischen Würdigung zu unterziehen, was nachvollziehbar zu dokumentieren ist. Dabei ist es auch erforderlich, die Mängelklassifizierung aus den Berichten mit dem hausinternen Klassifizierungssystem abzugleichen und erforderlichenfalls anzupassen. In den Berichten aufgezeigte Mängel sind in den Follow-up-Prozess des Auslagerungsinstituts zu integrieren. Auch eine Aufnahme von eventuell als wesentlich oder schlechter eingestuften Mängeln in diesen Berichten in die Quartalsberichterstattung an Vorstand und Aufsichtsrat kann geboten sein. In jedem Fall sind diese über nicht behobene wesentliche Mängel auch in den Auslagerungsunternehmen zwingend zu informieren.

Vorsicht geboten ist auch bei sogenannten Auswertungsempfehlungen zu Dienstleisterberichten, die in der Sparkassen- und Genossenschaftsorganisation häufig von den Verbänden zur Verfügung gestellt werden. Diese sollten keinesfalls unreflektiert und unkommentiert übernommen werden. Eine kritische Auseinandersetzung ist erforderlich und ebenfalls nachvollziehbar zu dokumentieren.

BERATUNGSTIPP

Implementierung eines effizienten & wirksamen Auslagerungsmanagements.

 

Wenn Fragen offenbleiben oder weitere Informationen zur Beurteilung der dargestellten Prüfungsergebnisse benötigt werden, sollte unbedingt mit den Kollegen der Internen Revision des Auslagerungsunternehmens Kontakt aufgenommen und die notwendigen Informationen eingeholt werden. Sollte auch dies nicht zur gewünschten Informationstiefe führen, so bleibt nur, vor Ort beim Dienstleister eine eigene Ergänzungsprüfung durchzuführen. Auf Grund der besonderen Sensibilität einer solchen Prüfung, die oftmals auch eine politische Dimension annehmen kann, sollte dies in enger Abstimmung mit der eigenen Geschäftsleitung und der Revision des Auslagerungsunternehmens erfolgen. Eine gewisse Zurückhaltung im Auftreten und eine offene Kommunikation mit den Kollegen des anderen Hauses empfiehlt sich hier. Sollte ein Auslagerungsunternehmen über gar keine Interne Revision verfügen, so sind Vor-Ort-Prüfungen obligatorisch.

Fazit

Das Prüffeld der ausgelagerten Unternehmensbereiche gewinnt immer mehr an Bedeutung und steht zunehmend im Fokus der Bankenaufsicht. Die Internen Revisionen der Kreditinstitute sollten das Thema daher sehr ernst nehmen und die ausgelagerten Prüffelder im Prüfungsplan so behandeln, wie wenn die Aufgaben und Prozesse im eigenen Haus vorhanden wären. Eine kritische Auseinandersetzung mit den Berichten der Dienstleister und eine aktive Kommunikation mit den dortigen Revisionsabteilungen ist unabdingbar. Das alleinige Stützen auf die Berichte der Dienstleister ist aufsichtsrechtlich nicht ausreichend. Auch risikoorientiert durchgeführte Vor-Ort-Prüfungen sollten eingeplant werden. Letztlich werden die dafür erforderlichen Kapazitäten zunehmen. Dies sollte in der Mehrjahresplanung angemessen berücksichtigt werden.

PRAXISTIPPS

  • Sehen Sie ausreichende Kapazitäten zur Prüfung ausgelagerter Bereiche vor.
  • Prüfen Sie die Auslagerungsverträge auf die Anforderungen der MaRisk.
  • Achten Sie auf uneingeschränkte Prüfungsrechte Ihrer Internen Revision.
  • Dokumentieren Sie ausführlich Ihre Auswertung der Berichte der Dienstleister.
  • Halten Sie Kontakt zu den Revisionen der Dienstleister.
  • Planen Sie auch gezielte Vor-Ort- und Ergänzungsprüfungen ein.

 

Beitragsnummer: 87230

Projektbericht zu Umsetzung der EU-DSGVO

Toolgestützt oder mit der Hand am Arm?

Aron Mildemann, Datenschutzbeauftragter, Internationales Bankhaus Bodensee AG

 

 

 

 

 

 

Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH

 

 

 

Im Zuge der Umsetzung der Anforderungen aus der EU-DSGVO sowie dem BDSG-neu war die Internationales Bankhaus Bodensee AG (IBB AG) auf der Suche nach einem Tool, um die erforderlichen Dokumentationen revisionssicher, effizient und nachhaltig umzusetzen. Nach Sichtung mehrerer Lösungen fiel die Wahl auf die Software ForumDSM. Nicht zuletzt auch, weil bei der IBB AG bereits andere Tools aus der ForumSuite im Einsatz sind und somit die bereits erfassten datenschutzrelevanten Stammdaten wie Geschäftsprozesse, Datenklassen oder IT-Anwendungen als „Vorlage“ effizient genutzt werden können.

SEMINARTIPPS

Datenschutz Kompakt, 21.11.2019, Frankfurt/M.

Informationssicherheit & Datenschutz – Prozesse effizient gestalten, 05.12.2019, Frankfurt/M.

Datenschutz bei der Verarbeitung/Nutzung von Beschäftigtendaten, 01.04.2020, Berlin.

Informationssicherheit & Datenschutz: Spannungsfeld & Schnittmengen, 02.04.2020, Berlin.

Ausgangssituation

Bis zur Einführung von ForumDSM wurden sämtliche Dokumentationen und Tätigkeiten aus dem alten BDSG mittels Word, Excel sowie anderen „Insellösungen“ umgesetzt. Da die neuen Anforderungen der EU-DSGVO erhöhte Anforderungen an eine aktuelle und vollständige Dokumentation des Datenschutzmanagements stellen, wurde entschieden, künftig Tool-basiert möglichst sämtliche Vorgänge in einer zentralen Lösung zu erfassen.

Projektumsetzung

Die größte Herausforderung im Projekt war sicherlich die Umsetzung der zahlreichen zusätzlichen Dokumentationserfordernisse aus der EU-DSGVO wie z. B. das Verzeichnis der Verarbeitungstätigkeiten, die Datenschutz-Folgenabschätzung, die Risikobewertung sowie die zahlreichen Prüfungshandlungen.

BUCHTIPP

Göhrig/Maull/Petersen (Hrsg.), Managementleitfaden Datenschutz, 2019.

 

Gemeinsam mit den Prozessverantwortlichen wurde das Verzeichnis der Verarbeitungstätigkeiten in der Anwendung ForumDSM angelegt und um die erforderlichen Angaben (Zweckbestimmung, Rechtsgrundlage, Datenkategorien, Datenherkunft, Betroffene, Empfänger, Löschfristen sowie die Risikobewertung) ergänzt.

Des Weiteren wurden die Dienstleister, die eine Auftragsverarbeitung für die IBB AG erbringen, in der Anwendung angelegt und mit Hilfe der in ForumDSM hinterlegten Checkliste eine Vertragsprüfung aller Auftragsverarbeiter durchgeführt.

Diese und viele andere Funktionen (Datenschutzfolgenabschätzung, Schulungskalender, Auditkalender) in der Anwendung werden genutzt, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachkommen zu können.

Besonders hilfreich bei der Umsetzung waren die in ForumDSM enthaltenen Vorschläge zum Datenschutzmanagement. Nach einer ersten Sichtung und geringfügigen Anpassungen an die Gegebenheiten bei der IBB AG konnten diese weitgehend in den Produktivbereich übernommen werden.

ForumDSM unterstützt zugleich den Datenschutzbeauftragten, um seinen Aufgaben nach Art. 39 EU-DSGVO nachkommen zu können. Anhand der dokumentierten Angaben in ForumDSM, z. B. zum Verzeichnis der Verarbeitungstätigkeiten, können verschiedene Auswertungen erstellt und darauf aufbauend risikoorientierte Prüfungshandlungen abgeleitet werden, wie z. B.:

  • Einhaltung der hinterlegten Löschfristen
  • Überprüfung der Rechtmäßigkeit der Verarbeitung
    • Liegen Einwilligungserklärungen vor?
    • Entsprechen die Einwilligungserklärungen den Bedingungen gem. Art. 7 EU-DSGVO?
    • Dokumentation bei der Verarbeitung zur Wahrung des berechtigten Interesses.
  • Überwachung der Durchführung von Datenschutz-Folgenabschätzungen gem. Art. 35 EU-DSGVO
  • Überprüfung der Auftragsverarbeiter
    • Liegen Verträge vor?
    • Entsprechen die Verträge den Anforderungen gem. Art 28 EU-DSGVO?
    • Überprüfung der erforderlichen Maßnahmen gem. Art. 32 EU-DSGVO beim Auftragsverarbeiter.

Fazit

Die hohen Dokumentationserfordernisse aus der EU-DSGVO konnten mithilfe der Anwendung ForumDSM strukturiert durchgeführt werden. Die Anwendung ForumDSM, unterstützt die IBB AG die Vorgaben der EU-DSGVO revisionssicher, effizient und nachhaltig einzuhalten und gleichzeitig der Rechenschaftspflicht nach Art. 5 Abs. 2 EU-DSGVO nachzukommen.

 

PRAXISTIPPS

  • Versuchen Sie das Verzeichnis der Verarbeitungstätigkeiten möglichst prozessorientiert aufzubauen und mehrere gleichgelagerte Geschäftsprozesse zu einem Verfahren zusammenzufassen.
  • Machen Sie eine Bestandsaufnahme aller Auftragsverarbeiter und überprüfen Sie die Verträge, ob diese den Anforderungen gem. Art. 28 EU-DSGVO genügen.
  • Ein toolbasiertes Datenschutzmanagementsystem kann hilfreich sein, die hohen Dokumentationserfordernisse zentral vorzuhalten.

 

Beitragsnummer: 87176

Praxisbericht: „Bewertung und Supervision der internen Kontrollen“

Thomas Kredel, Master Revisor, Interne Revision, TARGOBANK AG

Als Teil des Risikomanagements und der internen Kontrollverfahren prüft und bewertet die Interne Revision gem. § 25a KWG und MaRisk das interne Kontrollsystem (IKS) auf Wirksamkeit und Effizienz. Neben Compliance-, Informationssicherheits- und Datenschutz-Funktionen hat die TARGOBANK zentrale Kontrolleinheiten eingerichtet, die die Vertriebstransaktionen und operativen Prozesse steuern, kontrollieren und dolose Handlungen präventiv überwachen.

Die Interne Revision der TARGOBANK hat einen bankweiten Prozess etabliert, der im Rahmen eines gruppenweiten Risikomanagementsystems die inhärenten Risiken überwacht und die Qualität der Kontrollen in regelmäßigen Abständen beurteilt (sog. Supervision). Hintergründe hierfür sind erhöhte Haftungsrisiken für Vorstand und Aufsichtsrat, steigende gesetzliche und regulatorische Anforderungen an eine ganzheitliche Überwachung der Wirksamkeit und Effizienz des Kontrollkonzeptes sowie Umsetzung der Kontrollen. Diese Supervision hat das Ziel, „Dinge, die falsch laufen“ frühzeitig zu erkennen. Mittels Kontrollen sind Risiken zu minimieren, um die Geschäftsziele besser zu erreichen. Die bankweite Koordination und Überwachung dieses Prozesses liegt in der Verantwortung der Internen Revision. Der Prozess ist eine wichtige Basis für das bankweite Risikomanagementsystem und eine hilfreiche Unterstützung des IKS, die Risiken und Kontrollen erfolgreich zu überwachen.

Im Rahmen der regelmäßigen Überprüfung der Wirksamkeit und Angemessenheit des Kontrollkonzepts („Design Effectiveness“) und Umsetzung der Kontrollen („Operating Effectiveness“) wird das Risiko- und Kontrollumfeld der Bank in insgesamt 75 Fachbereichen kontinuierlich evaluiert und in einem gruppenweiten System transparent dargestellt. Dadurch wird der Internen Revision ein umfassender Überblick über die Risiken und Kontrollen im Unternehmen gewährt. Die fortlaufende Überprüfung der Geschäftsrisiken durch eine unabhängige Einheit, wie die Interne Revision, die den Zielerreichungsgrad beeinflussen können, schafft Mehrwerte für das Unternehmen. Es wird nicht nur das Risiko- und Kontrollbewusstsein der Fachabteilungen gestärkt, sondern auch Prozess- und Kontrollabläufe optimiert. Zusätzlich werden die operationellen Risiken gesteuert und überwacht, um die Bank vor Schäden bei Schwachstellen im IKS zu schützen. Letztendlich wird dem Unternehmen dadurch der Gedanke einer ganzheitlichen Risikoüberwachung näher gebracht. Im Rahmen von Regelprüfungen untersucht die Interne Revision der TARGOBANK risikoorientiert die Prozess- und Kontrollstruktur der Fachbereiche (insgesamt ca. 1.000 Kontrollprozesse, die systemseitig dargestellt werden), um diesen Prozess als qualitativ hochwertiges Risikomanagement-Tool und Frühwarnsystem kontinuierlich zu verbessern. In diesem Zusammenhang wird auch das Spannungsfeld „unabhängiges Testing“ (Supervision) der Kontrollen durch die Interne Revision behandelt und Optimierungsvorschläge unterbreitet.

SeminarTipps

 Prozesse/Orga-Handbuch & IKS, 25.–26.03.2020, Köln.

IKS KOMPAKT: Aufbau & Management einer IKS-Organisation, 04.05.2020, Berlin.

Der (zukünftige) IKS-Beauftragte, 06.05.2020, Berlin.

NEUE Compliance-Kontrollen im Wertpapier-IKS, 25.06.2020, Frankfurt/M.

(Neue) IKS-Kontrolltests im (LSI-)SREP, 25.06.2020, Frankfurt/M.

 

Das unabhängige Testing dient der Sicherung und Bewertung der Kontrollen bei der

TARGOBANK. Es basiert auf 4 Säulen und stellt einen wesentlichen Bestandteil des IKS dar:

  1. Was sind die Risiken der identifizierten Prozesse in den jeweiligen Fachbereichen in Abhängigkeit der Bereichs- und Unternehmensziele und welche Risikoindikatoren (Eintritt eines inhärenten Risikos) warnen davor?
  2. Wie werden diese Risiken unter Kontrolle gehalten?
  3. Welche Kontrollschritte belegen, dass die Kontrollen wirksam und effizient sind, und wie werden diese Kontrollen bewertet?
  4. Welche Maßnahmen sind bei Überschreitung des Eskalationsgrenzwertes angemessen, um Schwachstellen vollständig und zeitnah zu beheben?

Die Überwachungsergebnisse aus der Supervision können sowohl für die Maßnahmenverfolgung, als auch für die risikoorientierte Prüfungsplanung der Internen Revision relevant sein. Somit können Synergien genutzt werden. Die Vorteile dieses Prozesses gegenüber klassischen Prüfungen sind vielfältig: Die Fachbereiche werden stärker eingebunden, Risiken und Verbesserungspotenziale werden frühzeitig erkannt. Mit einem besseren Verständnis für ein wirksames Risiko- und Kontrollmanagement wird zugleich auch eine größere Akzeptanz bei den Mitarbeitern erreicht. Sie werden dadurch stärker in die Unternehmensprozesse integriert. Dieser Prozess hat zugleich einen positiven Einfluss auf die Umsetzung von korrigierenden Maßnahmen und sensibilisiert das Management für die Wahrnehmung ihrer Kontrollverantwortung.

Fazit:

Der oben beschriebene Prozess ist als Steuerungsinstrument der TARGOBANK nur mit Unterstützung des Vorstands erfolgreich. Die Bemühungen in den Fachbereichen, der Nutzen und die Wichtigkeit eines wirksamen IKS müssen vom Vorstand anerkannt und in den Vordergrund gestellt werden („Management Awareness“). Durch permanente Prozess- und Kontrollverbesserungen und eine kontinuierliche Risikobewertung wird die Qualität des IKS verbessert und operationelle Verluste verhindert.

PRAXISTIPP

  • Die Interne Revision sollte auch außerhalb der rein prüfenden Tätigkeit als dauerhafter Ansprechpartner für die Fachbereiche fungieren, um von den Fachbereichen als unterstützende und beratende Stelle wahrgenommen zu werden.

Beitragsnummer: 87046

Umfrage: Ist die Digitalisierung im HR-Bereich angekommen?

Stefan Plock, forcont business technology gmbh

Human Resources ist ein Unternehmensbereich, der besonders stark von der Digitalisierung profitiert. Ein Großteil der Arbeitszeit fließt in administrative Tätigkeiten, die sich mit passenden Softwarelösungen automatisieren lassen. Das reduziert den Aufwand erheblich und setzt Zeit für die wesentlichen Aufgaben der Personalabteilung frei, nämlich neue Mitarbeiter zu gewinnen sowie die bestehenden weiterzuentwickeln und zu binden. Darüber hinaus eröffnen neue Technologien wie KI und Big Data Analytics vielfältige Möglichkeiten, Daten zu erheben, auszuwerten und die gewonnenen Erkenntnisse für das HR-Management zu nutzen. Doch wie weit sind deutsche Unternehmen tatsächlich bei der Digitalisierung des HR-Bereichs?

SEMINARTIPPS

Prüffelder des Personalmanagements – Fokus Aufsichtsrecht, 31.03.2020, Berlin.

FCH Innovation Days 2020, 15.–16.06.2020, Berlin.

FCH Fit & Proper VORSTAND: Fokus Gesamtbanksteuerung/Risikomanagement, 25.11.2020, Frankfurt/M.

Eine Umfrage des Lehrstuhls für Personalwirtschaft und Business Governance der Martin-Luther-Universität Halle-Wittenberg und des Softwarehauses forcont business technology gmbh soll Antworten auf diese und weitere Fragen liefern:

  • Welche HR-Prozesse haben Unternehmen bereits digitalisiert?
  • Welche Systeme und Softwaretools setzen sie ein?
  • Wie viele Personalabteilungen erheben systematisch Daten und beziehen sie in die Entscheidungsfindung ein?
  • Mit welcher Intensität wird die Digitalisierung im Unternehmen vorangetrieben?
  • Für welche Aufgaben wünschen sich HR-Verantwortliche mehr Zeit?

Der Lehrstuhl und forcont laden Mitarbeiter und Manager aus Personalwesen, kaufmännischer Leitung und Geschäftsführung herzlich zur Teilnahme ein. Sie benötigen dafür ca. 15 Minuten.

Die Online-Befragung läuft bis zum 30.11.2019, die Ergebnisse stehen den Teilnehmern im Anschluss zur Verfügung. Die Datenerhebung erfolgt anonymisiert, eine Datenweitergabe an Dritte ist ausgeschlossen. Optional können die Befragten an einem Gewinnspiel teilnehmen: forcont verlost als Dankeschön fünf Amazon-Gutscheine im Wert von jeweils 25 €.

BUCHTIPP

Kuhn/Thaler (Hrsg.), BankPersonaler-Handbuch, 2016.

 

 

 

Hier geht’s zur Umfrage: https://bit.ly/2JzbLuU

 

 

 

Beitragsnummer: 86926

Libra

Markus Thiedtke, Senior Spezialberater Zahlungsverkehr, Deutsche Bank Hamburg

„Der vorstehende Beitrag spiegelt ausschließlich persönliche Einschätzungen und Annahmen des Autors wider und stellt keine offizielle Verlautbarung der Deutschen Bank dar.“

Fünf Fragen, die sich Bankmitarbeiter zu Libra jetzt stellen (sollten)

  1. Was ist Libra genau?
  2. Wie stabil wird Libra sein?
  3. Wer wird Libra kontrollieren?
  4. Wir kritisch sollte man zu Libra sein und warum?
  5. Sind Währungen auf der Welt bedroht?

1. Was ist Libra genau?

Libra ist der privatwirtschaftliche Ansatz eine (digitale) Weltwährung zu etablieren. Initiator ist Facebook unter Beteiligung einiger dutzend Unternehmen, die sich in die Idee „Einkaufen“. Libra basiert auf einer Open Source Blockchain und wird mit einer eigenen Programmiersprache Libra Move entwickelt. Der Wert von Libra wird anhand eines Währungskorbs ermittelt. Welcher das ist, wird von der dahinterliegenden Gesellschaft Libra Association selbst festgelegt.

2. Wie stabil wird Libra sein?

Libra investiert seine zur Verfügung stehenden Gelder in sicheren Wertanlagen der „Old Economy“, die zu 100 % den Deckungsstock bilden sollen – ein ähnliches Modell, wie es z. B. in Hong Kong mit dem Currency Board existiert. Sofern lokale Währung in Libra getauscht werden soll, z. B. um Geld ein- oder auszuzahlen, wird ein Wechselkurs der jeweiligen Währung ermittelt – z. B. Libra/EUR oder Libra/USD. Diese Wechselkurse werden schwanken, so wie wir es auch von anderen Währungspaaren gewohnt sind (USD/EUR oder GBP/CHF). Die Schwankungen bei BITCOIN sind den meisten sicher geläufig, das ist vergleichbar. So lange also Gehälter, Umsätze etc. nicht in Libra gezahlt werden, sind die Nutzer diesen Schwankungen unterworfen. Weiterhin gibt es diverse andere Auswirkungen auf den Wert durch Negativzinsen bei Papieren, Ausfall von einzelnen Wertpapieren, Betrugsversuchen oder willkürlichen Änderungen an der Zusammensetzung. Falls Libra zu einem späteren Zeitpunkt nicht nur für Zahlungsverkehr, sondern auch weitere Dienstleistungen wie Kredite genutzt wird, entstünde neues Geld (Vergrößerung der Geldmenge), was sich ebenfalls auf den Wert der Libra auswirken wird.

SEMINARTIPPS

Geschäftsmodell-Analyse im Fokus der Aufsicht – Prüfungserfahrungen, 07.05.2020, Frankfurt/M.

FCH Innovation Days 2020, 15.–16.06.2020, Berlin.

Digitale Authentifizierung im Konten- & Zahlungsverkehr gemäß PSD II, 29.09.2020, Frankfurt/M.

Praxisprobleme in Kontoführung & Zahlungsverkehr, 29.10.2020, Würzburg.

3. Wer wird Libra kontrollieren?

Gerade zum jetzigen Zeitpunkt eine sehr theoretische Frage. Bei der Libra Association soll es sich um eine unabhängige Not-for-profit-Organisation handeln. Facebook ist über eine Gesellschaft namens Callibra, die als Wallet-Provider (zunächst der einzige) fungiert, beteiligt. Facebook hat wie alle anderen Partner nur eine Stimme, der Einfluss geht sicher allerdings über die tatsächliche Stimme hinaus. Zum Start sollen ca. 100 Partner dabei sein.

4. Wie kritisch sollte man zu Libra sein und warum?

Es gibt viele Gründe, dass Libra die Zahlungsströme der Welt ganz schön durcheinander würfeln kann. Die teilweise sehr heftigen Reaktionen von Staaten und Nationalbanken lassen darauf schließen, dass hier etwas Großes entstehen kann. Auch wenn es noch viele Fragen im Detail gibt, steht eines fest: Libra ist der erste Anlauf eine globale und darüber hinaus private Weltwährung zu initiieren. Die Auswirkungen, gerade bei offener Rechtslage und fehlender Kontrolle, können erheblich sein. Trotz Lücken bei Datenschutz und Sicherheit nutzen weltweit Millionen Menschen WhatsApp, Facebook und die anderen Dienste des Konzerns. Wenn der Umgang mit Geld ebenfalls so lax wird, kann man die möglichen Risiken daraus kaum greifen. Anfang Oktober wurde der Druck auf einige Libra-Partner scheinbar zu groß. Unter anderem Mastercard, Visa und eBay haben ihr aktives Engagement erstmal zurückgestellt.

BUCHTIPP

Kontoführung & Zahlungsverkehr, 5. Aufl. 2017.

 

 

5. Sind Währungen auf der Welt bedroht?

Es gibt kaum eine Glaskugel, die milchiger ist. Durch den Euro haben wir Europäer gelernt, wie schön es sein kann nur eine Währung zu haben. Vieles ist für uns einfacher geworden, doch die Regulierung ist stets dabei Fehlentwicklungen zu beobachten und bei Bedarf einzugreifen. So wie einige Länder und Unternehmen den Bitcoin akzeptieren, wird dies der erste Weg für die Libra sein. Funktioniert es gut und einfach, wäre es insbesondere für Währungen in Schwellenländern ein Szenario die heimische Währung abzuschaffen. Mit welchen Folgen, zu welchen Bedingungen? Die Voraussetzung dafür wäre Libra als Zahlungsmittel und/oder Bargeld zuzulassen. Wohlgemerkt privates Bargeld – einem Bankkaufmann muss dabei unwohl werden.

PRAXISTIPPS

 

Beitragsnummer: 86912

 

Beitragsnummer: 86912

Vereinfachte Bewertung von Auslagerungen durch definierte Negativliste

Ina Märzluft, Senior Consultant/Prokuristin, FCH Consult GmbH

Mit der Veröffentlichung der umfangreichen Leitlinien der European Banking Authority (EBA) zur Bewertung von Auslagerungsvereinbarungen wurde ein einheitliches Rahmenwerk für Auslagerungen geschaffen. Für alle ab dem 30.09.2019 abgeschlossenen Auslagerungsverträge müssen die neuen Vorgaben beachtet werden, was in der Umsetzung nicht immer einfach ist.

SEMINARTIPPS

PraxisFalle IT Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 22.06.2020, Frankfurt/Offenbach.

Risikoanalysen bei Auslagerungen, 02.11.2019, Hamburg.

Unter einer Auslagerung ist dabei jede Vereinbarung zu verstehen, nach der ein Service Provider einen Prozess, eine Dienstleistung oder eine Aktivität übernimmt, die sonst durch das Institut selbst vorgenommen würde.

INHOUSETIPP

Auslagerungsmanagement.

 

 

Zur kleinen Vereinfachung wurde eine Negativ-Liste (Whitelist) in der Textziffer 28 der EBA-Leitlinien zu Auslagerungen EBA/GL/2019/02 mit Funktionen aufgenommen, deren Übertragung auf Dritte, als Fremdbezug betrachtet wird.

Grundsätzlich werden damit folgende Fälle nicht als Auslagerung betrachten:

  • eine Funktion, die aufgrund von Rechtsvorschriften von einem Dienstleister wahrzunehmen ist, z. B. Abschlussprüfungen;
  • Marktinformationsdienste (z. B. Bereitstellung von Daten durch Bloomberg, Moody’s, Standard & Poor’s, Fitch);
  • globale Netzinfrastrukturen (z. B. Visa, MasterCard);
  • Clearing- und Abwicklungsvereinbarungen zwischen Clearingstellen, zentralen Gegenparteien und Abwicklungsstellen sowie ihren Mitgliedern;
  • globale Nachrichteninfrastrukturen zur Übermittlung von Zahlungsverkehrsdaten, die der Aufsicht durch einschlägige Behörden unterliegen;
  • Korrespondenzbankdienstleistungen und
  • der Erwerb von Dienstleistungen, die anderenfalls nicht vom Institut oder Zahlungsinstitut erbracht würden (z. B. Beratung durch einen Architekten, Bereitstellung eines Rechtsgutachtens und Vertretung vor Gericht und Verwaltungsbehörden, Reinigung, Gartenarbeiten und Instandhaltung der Räumlichkeiten des Instituts oder Zahlungsinstituts, medizinische Dienstleistungen, Wartung von Firmenwagen, Verpflegungsdienste, Automatenservices, Bürodienstleistungen, Reisedienstleistungen, Poststellendienste, Rezeptionskräfte, Sekretariatskräfte und Telefonisten), von Waren (z. B. Plastikkarten, Kartenlesegeräte, Büromaterial, Computer, Möbel) oder Versorgungsleistungen (z. B. Strom, Gas, Wasser, Telefon).

Es ist wichtig, dass die Verträge mit den Auslagerungsunternehmen, ob es sich um eine Auslagerung oder einen Fremdbezug handelt, vor Vertragsabschluss überprüft werden. Denn sowohl bei Auslagerungen als auch Fremdbezügen muss vorab eine Risikoanalyse durchgeführt werden.

BERATUNGSTIPP

Implementierung eines effizienten & wirksamen Auslagerungsmanagements.

 

Für die risikoorientierte Überprüfung bestehender wesentlicher Auslagerungsverträge gibt es eine verlängerte Umsetzungsfrist bis zum 31.12.2021.

Eine regelmäßige Überwachung und Kontrolle der Auslagerung muss aufgrund der aufsichtsrechtlichen Vorgaben durch einen definierten Prozess und in Vereinbarung mit dem Service Provider durchgeführt und sichergestellt werden.

PRAXISTIPPS

Mit der Durchführung der Risikoanalyse nach den Anforderungen der EBA-Leitlinien und gemäß der institutsindividuellen OpRisk-Methode erfüllen Sie die aufsichtsrechtlichen Vorgaben für jede Auslagerung in Ihrem Institut.

Wir empfehlen Ihnen, sich frühzeitig mit den neu anstehenden Pflichten der EBA-Leitlinie im Auslagerungsmanagement auseinanderzusetzen. Bitte prüfen Sie kritisch Ihren Einkaufsprozess und überwachen Sie die Bewertung und Pflege der Dienstleistungen von Ihren Service Providern in einem Auslagerungsregister.

Beitragsnummer: 86904

FCH-Podcast: Wie sieht die Bank der Zukunft aus?

Beitragsnummer: 85528   Beitragsnummer: 85528   Beitragsnummer: 85528

Neue Aufgaben der IT-Revision durch die Digitalisierung



Die Interne Revision stellt sich neuen Risiken und Chancen

Michaela Duda, Revisorin, Schwerpunkt IT, Berliner Sparkasse

           

Kerstin Klimek, Revisorin, Schwerpunkt IT, Berliner Sparkasse

   

       

Stefanie Majunke, Prüfungsleiterin, Schwerpunkt IT, Berliner Sparkasse

           

I. Einleitung

Das Schlagwort Digitalisierung scheint in vielen Arbeitsbereichen omnipräsent. Ob Heilsbringer, Kostentreiber, Segen oder Fluch – klar ist, die (Arbeits-)Welt verändert sich durch neue Technologien wie Künstliche Intelligenz, Cloud Computing, Big Data und Social Media rasend schnell und stellt Unternehmen und nahezu jeden einzelnen Mitarbeiter vor neue Herausforderungen.

Im Jahr 1994 machte Bill Gates die vielzitierte Aussage „Banking is necessary, banks are not“[1]. Die damals wohl provokativ gemeinte Aussage gewinnt heute durch die Digitalisierung immer mehr an Bedeutung. Neue Marktteilnehmer dringen in die Finanzindustrie vor, beispielsweise ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Synergien im Beauftragtenwesen



Chancen für Banken bei der Erstellung von Risikoanalysen und Kontrollplänen im Datenschutz, der Informationssicherheit, dem Business Continuity Management und Auslagerungsmanagement .

Christian Maull, Datenschutzbeauftragter, Compliance, TeamBank AG

I. Zunehmende Regulatorik

Das Beauftragtenwesen und die Compliance sind mittlerweile, u. a. aufgrund zunehmend schärfer werdender regulatorischer Vorgaben, essenzieller Bestandteil des Internen Kontrollsystems von Banken. Dennoch nehmen die Aufgaben und Funktionen innerhalb der Second-Line-of-Defense stetig zu. Neue oder verschärfte Themenfelder und teils auch neue Beauftragte beschäftigen Banken, und nur teilweise ist die Bündelung dieser Funktionen in Personalunion aufgrund möglicher Interessenskonflikten zulässig. Umso wichtiger ist deshalb eine effektive Abstimmung und Zusammenarbeit der Beauftragten. Häufig liegt die Herausforderung jedoch nicht ausschließlich in der Kommunikation zwischen Beauftragten, sondern an den durch die Bank geschaffenen Rahmenbedingungen, auf welche die Beauftragten zurückgreifen. Im Folgenden soll beschrieben werden, welche Aufgaben und Ausrichtungen die Beauftragten der Informationssicherheit, des Datenschutzes, des Business Continuitiy Managements und des Auslagerungsmanagements innehaben. Des Weiteren soll aufgezeigt werden, wie Banken Rahmenbedingungen schaffen können, um Synergien zu nutzen, langfristig Kosten zu sparen und damit ein effektives und effizientes Beauftragtenwesen zu etablieren.

II. Fachliche Abgrenzung der Beauftragten

1. Informationssicherheit

Ziel der Informationssicherheit ist die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.