Prüfung der Begründung von Auftragsverarbeitungsverhältnissen



Schutz der Betroffenenrechte bei der Verarbeitung personenbezogener Daten durch Dritte hat höchste Priorität.

Pascal Ritz, Geschäftsführer, Justo Unternehmensberatung GmbH.

I. Auftrags(daten)verarbeitung – „eigentlich“ nicht unbekannt

„Das ist ja ein toller Service. Die Firma druckt sogar die Unterlagen nach unseren Vorgaben und versendet sie dann an unsere Kunden. Was mich besonders freut, es ist keine Auslagerung. Es entfällt somit sogar der Aufwand für eine Risikoanalyse und die Dienstleistersteuerung.”

Nicht selten endet mit dieser Erkenntnis die Sachverhaltsprüfung durch die erste Verteidigungs-linie. Auch wenn es erfreulich ist, wenn ein Dienstleister genau das Ergebnis liefert, welches man von ihm erwartet. Weniger erfreulich ist allerdings, wenn die Nutzung dieser Serviceleistung die Risiken im Kreditinstitut erhöht; insbesondere durch Unkenntnis von rechtlichen Anforderungen.

Eine Sensibilität für die Erfassung von Sachverhalten gem. AT 9 der MaRisk ist in der Zwischenzeit in den Kreditinstituten spürbar. Allerdings scheint die Verarbeitung personenbezogener Daten noch eine Quelle für operationelle Risiken zu sein. Insbesondere die aus dem alten Bundesdatenschutzgesetz bekannte Auftragsdatenverarbeitung scheint eine Herausforderung dar-zustellen. Konkret geht es hier um die Verarbeitung von personenbezogenen Daten im Auftrag und auf Weisung eines Verantwortlichen. Die Verarbeitung wird hingegen durch einen Dritten durchgeführt. Die Erstellung von Druckerzeugnissen ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Prüfung der Anzeigeverpflichtungen gemäß § 24 KWG i. V. m. AnzV – ausgewählte Anzeigen in Bezug auf Mandatsträger



Beurteilung der materiellen und formellen Ordnungsmäßigkeit der Anzeigeverpflichtungen gemäß KWG i. V. m. AnzV durch die Innenrevision.

Katja Ries, fachliche Leitung Spezialisten Team Aufsichtsrecht, Genossenschaftsverband e. V. – Verband der Regionen e. V. und AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft.

I. Einleitung

Damit die BaFin und die Deutsche Bundesbank ihrer in § 6 Abs. 2 KWG kodifizierten Aufgabe, der Aufsicht über Institute, nachkommen können, benötigen die Aufsichtsbehörden u. a. dezidierte Kenntnisse über die Mandatsträger in den Instituten.

Mit den Art. 88 bis 96 CRD IV wurden – als eine Reaktion auf die Finanzmarktkrise – höhere Anforderungen an die Unternehmensführung und -kontrolle in das europäische Regelwerk aufgenommen. Die Umsetzung in deutsches Recht erfolgte über das CRD IV-Umsetzungsgesetzt und findet seinen Niederschlag u. a. in den § 25c KWG – Mitglieder der Geschäftsleitung – sowie § 25d KWG – Mitglieder des Aufsichtsorgans.

Die Trennung der Leitungsfunktion resultiert hierbei aus dem in Deutschland bestehenden dualistischen System, in dem Unternehmensführung und Unternehmenskontrolle von unterschiedlichen Gremien wahrgenommen werden.

Weiterhin hat die EBA in Zusammenarbeit mit der ESMA die Leitlinien zur internen Governance (EBA/GL/2017/12) mit Wirkung zum 30.06.2018 überarbeitet, die u. a. die Beurteilung der Eignung von ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Einsatz von IT-Forensik im Bankensektor



Einführung in die IT-Forensik, Einordnung in Banken-Regulatorik und IT-Investigation Readiness.

Alexander Siebelt, freiberuflicher Dozent und IT-Forensiker, Mitarbeiter einer Privatbank.

I. Was ist IT-Forensik?

Bei „Forensik“ handelt es sich um einen Sammelbegriff für wissenschaftliche und technische Arbeitsgebiete, in denen kriminelle Handlungen systematisch untersucht werden[1]. Historisch stammt der Begriff aus der systematischen Aufklärung von Kriminalfällen. Frühe Beispiele sind etwa die Ballistik, der Nachweis von Vergiftungen oder auch die Sicherung von Tatortspuren wie Fingerabdrücken.

Die „IT-Forensik“ ist die analoge Anwendung von forensischen Techniken auf Sachverhalte, bei denen die Sicherung und Analyse digitaler Geräte eine Rolle spielt. Weitere Begrifflichkeiten in diesem Zusammenhang wären „Digitale Forensik“ oder „Computer-Forensik“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert IT-Forensik etwas formaler als die „streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“[2].

Um sich dem Themengebiet zu nähern, lassen sich Ausprägungen in unterschiedlichen Dimensionen darstellen. Eine erste Ausprägungsdimension ist die Art des vorliegenden Verdachtes. Der klassische Fall, an den im Zusammenhang mit IT-Forensik immer alle denken, ist ein typischer Hackerangriff – also ein Sicherheitsvorfall im ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Nerd Alert in der Internen Revision



Welche IT-Kenntnisse benötigen Revisoren heute?

Diplom-Wirtschaftsmathematiker, Diplom-Kaufmann Thomas Gossens, CIA CISA CRISC ACDA, Abteilungsleiter Revision, Zentrale Aufgaben und Steuerung, Stadtsparkasse Düsseldorf.

I. Einleitung

1. Veränderte Risikosituation durch neue Technologien und Dienstleistungsmodelle

Digitalisierung und Agilität sind in aller Munde. Branchenübergreifend werden Chancen und Risiken, die sich aus neuen Technologien ergeben, diskutiert und geprüft. Wie die Entwicklung weiter geht, lässt sich aktuell kaum voraussagen. Eins scheint aber klar zu sein: Es wird sich viel verändern. Exemplarisch sollen diese Veränderungen kurz am Beispiel der Finanzdienstleistungsbranche verdeutlicht werden. Hier sind Blockchain-Technologie, Big Data, Künstliche Intelligenz und neue Dienstleistungsmodelle wie Cloud-Dienste die aktuellen Themen, mit denen sich Unternehmen, Dienstleister, Regulierer und Gesetzgeber intensiv beschäftigen. Blockchain-Technologie bietet die Möglichkeit, Vermögenswerte wie z. B. Geld so digital abzubilden, dass diese nicht kopier- oder manipulierbar sind und dann sicher zwischen Personen übertragen werden können. Big Data und Künstliche Intelligenz haben das Potenzial, die Finanzbranche tiefgreifend zu verändern. Eine Beobachtung der Wettbewerbssituation lässt den Schluss zu, dass viele Unternehmen vermehrt auf die Auswertung und Nutzung von Daten setzen, um ihre Geschäftsmodelle und -prozesse zu optimieren. Im Finanzsystem entstehen Produkt- und Prozessinnovationen, bestehende Wertschöpfungsprozesse wandeln sich. Neue Technologien fördern neue Dienstleistungsmodelle. Cloud-Dienste, ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

SREP-Ansätze in der Internen Revision



Michael Claaßen, Bereichsleiter, Interne Revision, Volksbank Marl-Recklinghausen eG.

I. Grundlagen

Erstmals wurde die SREP-Leitlinie am 19.12.2014 veröffentlicht. Es handelte sich seinerzeit um die „Leitlinien zu gemeinsamen Verfahren und Methoden für den aufsichtlichen Überprüfungs- und Bewertungsprozess“. SREP ist dabei die Abkürzung für die Bezeichnung „Supervisory Review and Evaluation Process (SREP)“. Die Leitlinie konkretisiert die Ansicht der EBA im Hinblick auf angemessene Aufsichtspraktiken innerhalb des Europäischen Finanzaufsichtssystems oder stellt dar, welche Anforderungen an einzelne Prozesse gestellt werden (z. B. an eine Geschäftsmodellanalyse in den Instituten).

Im vierten Quartal 2017 wurde eine überarbeitete SREP-Leitlinie zur Konsultation gestellt. Die finalen Leitlinien wurden im Juli 2018 veröffentlicht. Die SREP-Leitlinie trägt nun den Namen „Guidelines on common procedures and methodologies for the supervisory review and evaluation process (SREP) and supervisory stresstesting“. Hierzu erschien eine finale deutsche Übersetzung mit dem Titel „Überarbeitete Leitlinien zu gemeinsamen Verfahren und Methoden für den aufsichtlichen Überprüfungs- und Bewertungsprozess (Supervisory Review and Evaluation Process, SREP) sowie für die aufsichtlichen Stresstests, zur Änderung der EBA/GL/2014/13 vom 19. Dezember 2014“. Deren Umfang beträgt 88 S. und referenziert auf die Änderungen gegenüber der Leitlinie aus dem Jahr 2014. Nur mit letzterem Dokument zusammen erschließt sich der gesamte Text. Die ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Prozessorientierte Aufbauprüfung am Beispiel des Liquiditätsrisikomanagements



Ein Praxisansatz mit Fokus auf Prozessen und internem Kontrollsystem.

Dr. Karsten Geiersbach, Bereichsdirektor Interne Revision der Kasseler Sparkasse[1].

I. Einleitung

In der Prüferpraxis läuft man gelegentlich Gefahr, zum einen das Wesentliche nicht von dem Unwesentlichen zu trennen, zum anderen den „Wald vor lauter Bäumen nicht zu sehen“. Eine Hilfestellung bietet eine umfassende Systemanalyse des Prüfungsgebietes. Dies ermöglicht Zusammenhänge und Abhängigkeiten besser zu erkennen und zu beurteilen sowie visualisieren zu können. Umfasst eine Systemanalyse u. a. auch IT- und Datenkohärenz, so sind bereits wesentliche (Risiko-)Treiber für eine prozessorientierte Aufbauprüfung erfasst. Aufbauend auf diesen Rahmenbedingungen sollten spezifische Prüfungsfragen zum Risikomanagement, hier: Liquiditätsmanagement, behandelt werden. Für das Prüfungsergebnis müssen die Erkenntnisse aus beiden Teilgebieten verknüpft und beurteilt werden. In diesem Beitrag steht die Systemanalyse im Vordergrund, weil fachspezifische Checklisten in der Prüfungspraxis oftmals hinreichend bekannt sind.

II. Aufbauprüfung aus Prozesssicht

1. Revisions-Soll und Bank-Soll

In unseren Aufbauprüfungen beginnen wir mit der Analyse der Systeme, insbesondere des internen Kontrollsystems und der Prozesse sowie der IT-/Data-Governance[2]. Neben den fachlichen Prüfungsgrundlagen ist im ersten Schritt das Revisions-Soll zu bestimmen. Für das Liquiditätsrisikomanagement kommen im Wesentlichen in Betracht:

  • Basler Principles ...

    Weiterlesen?


    Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

    Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

    Anmeldung/Registrierung

    Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Beziehungen zwischen Prozessen und Kontrollsystemen



Ein Praxisansatz mit Fokus auf Strukturen, Abhängigkeiten und Visualisierung im Risikomanagement.

Dr. Karsten Geiersbach, Bereichsdirektor Interne Revision der Kasseler Sparkasse[1].

I. Einleitung

Die institutsinternen Prozesse und Systeme, die IT, die Modellqualität und -parameter, die Datenqualität etc. haben einen entscheidenden Einfluss auf die Risikoquantifizierung, das Reporting und auf das Meldewesen. Diese Auswirkungskette lässt sich weiter fortsetzen. Deshalb ist es wichtig, sich bei einer Prüfung mit dem Ziel einer Systemanalyse zunächst mit diesen Rahmenbedingungen und Strukturen zu beschäftigen, um den Blick für das Ganze sowie die Interaktionen zu erhalten. Dies ermöglicht Zusammenhänge zu erkennen und Orientierung für die Prüfungsstrategie zu gewinnen. Im zweiten Schritte können und sollten identifizierte Schwachstellen im Detail geprüft werden und abschließend empfängerorientiert kommuniziert werden.

Das (prüferische) Ziel muss also sein, zunächst die Prozesse und (IT-)Systeme transparent zu machen und graphisch aufzubereiten, um einen ganzheitlichen Blick auf die Risikomanagementlandschaft zu erhalten und somit Verbesserungs- und Optimierungspotenzial zu erkennen. Dies ermöglicht ein gezieltes Eingehen auf die Bedeutung der Prozess- und (IT-)Systemlandschaft, einschließlich Parameter, Validierung und Daten.

II. Interne Kontrollsysteme

Was unter einem Internen Kontrollsystem (IKS) zu verstehen ist, ergibt sich beispielsweise aus dem IDW PS 261 n.F. ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Interne Revision 2020: Aufstellung einer zukunftsfähigen und qualitätsgesicherten Revisionsabteilung



Konzeptionelle Ansätze zur Vorgehensweise und praktische Umsetzungsbeispiele für kleinere Bankinstitute.

Dipl.-Kfm. Marcel Saur, M.A., Leiter Interne Revision, Rostocker Volks- und Raiffeisenbank eG.

I. Einführung: Quo vadis Interne Revision?

Die Bankenlandschaft befindet sich gegenwärtig in einem verschärften Wettbewerbsumfeld. Die technologisch aus der Digitalisierung bedingten Veränderungen im Markt werden häufiger und schneller – Kunden haben ihre Ansprüche in einem für die Banken herausfordernden Maße angepasst. Das aktuelle Niedrigzinsumfeld führt zu einer angespannten Kosten- und Ertragslage bei den Instituten und die in Komplexität und Intensität ansteigenden, aufsichtsrechtlichen Rahmenbedingungen stehen dieser Entwicklung disparat gegenüber. Für die Interne Revision (IR) stellt sich vor diesem Hintergrund die Frage nach ihrer zukünftigen strategischen Stellung im Institut[1]. Denn in der Praxis bleibt die latente Auffassung über das Berufsbild, die Zielsetzung und Wirkung der IR auch heutzutage weitgehend unklar: Wird beim Umgang mit der IR von potentiellen Gewinnen aus der Beratungschance oder eher von potentiellen Verlusten aus der (Prüf-)Bedrohung gesprochen? So liegt es nicht zuletzt am Selbstverständnis der IR, ob sie sich als Geschäftsblockierer oder Problemlöser bei den beteiligten Personen im Institut verstanden sehen möchte[2].

Der vorliegende Beitrag setzt sich mit der Fragestellung nach einer optimierten und zukunftsgerichteten ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Berufs-Ethik in der Internen Revision



Förderung ethischer Grundsätze im Berufsstand der Internen Revision.

Ralf Barsch, FCH Consult GmbH, Geschäftsführer, CIA und Prüfer für Interne Revisionssysteme.

I. Ethikkodex als Basis für vertrauensvolle Revisionsarbeit

Der Ethikkodex gehört neben der Definition zur Internen Revision, den Grundprinzipien und den Standards selbst zu den sogenannten „verbindlichen Leitlinien” der Internationalen Grundlagen für die berufliche Praxis der Internen Revision (IPPF)[1].

Gemäß den Ausführungen zum Ethikkodex in den internationalen Standards für die berufliche Praxis der Internen Revision „beschreibt der Ethikkodex die Prinzipien für und Erwartungen an Einzelpersonen und Organisationen bei der Durchführung von Revisionsaufträgen”. Es wird ausdrücklich darauf hingewiesen, dass es sich hierbei lediglich um Minimalanforderungen an das Verhalten der Betroffenen handelt.

Der Ethikkodex wird als notwendig angesehen, damit das Vertrauen in seine objektive Prüfung (…) begründet werden kann. Er umfasst Grundsätze und Verhaltensregeln für Interne Revisoren, welche nachfolgend kurz dargestellt und erläutert werden.

II. Grundsätze und Verhaltensregeln als Bestandteil des Ethikkodexes

Der Grundsatz der „Rechtschaffenheit von Internen Revisoren begründet Vertrauen und schafft damit die Grundlage für die Zuverlässigkeit ihres Urteils.” Die Verhaltensregeln gehen einige Schritte weiter und erwarten, dass Interne Revisoren

  • ihre Aufgabe korrekt, sorgfältig und verantwortungsbewusst wahrnehmen,
  • ...

    Weiterlesen?


    Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

    Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

    Anmeldung/Registrierung

    Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Bewertung von Kreditsicherheiten, Risikoadjustierte Konditionengestaltung, Vertragsgestaltung und Votierung im besonderen Fokus der Aufsicht



Der Präsident der BaFin hat sich in einem Interview besorgt über die zum Teil „laxe Kreditvergabe“ deutscher Kreditinstitute geäußert.

Björn Reher, Diplom-Wirtschaftsjurist (FH), Wirtschaftsprüfer, Steuerberater, Partner, Mazars GmbH & Co. KG Wirtschaftsprüfungsgesellschaft.

I. Bewertung von Immobiliensicherheiten

In einem Interview mit dem Handelsblatt, das am 30.09.2018 veröffentlich wurde, hat sich der Präsident der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Felix Hufeld, besorgt über die zum Teil „laxe Kreditvergabe“ deutscher Kreditinstitute geäußert.

Gegenstand der nachfolgenden Ausführungen aus der Prüfungspraxis ist zum einen die Frage, auf welche Hinweise sich die vorstehend dargestellte Sorge Hufelds beziehen könnten, und zum anderen, welche konkreten Kreditvergabebedingungen dabei im Fokus stehen.

1. Eigennutzungsfähige, wohnwirtschaftliche Objekte

Nach § 4 Abs. 4 BelWertV kann bei Ein- und Zweifamilienhäusern sowie Eigentumswohnungen der Beleihungswert am Sachwert orientiert werden, wenn das zu bewertende Objekt nach Zuschnitt, Ausstattungsqualität und Lage zweifelsfrei zur Eigennutzung geeignet ist und bei gewöhnlicher Marktentwicklung nach den Umständen des Einzelfalls vorausgesetzt werden kann, dass das Objekt von potenziellen Erwerbern für die eigene Nutzung dauerhaft nachgefragt wird. Der Beleihungswert kann in diesen Fällen auch anhand des Vergleichswertverfahrens ermittelt werden. Bei Ein- und Zweifamilienhäusern darf eine Orientierung am Vergleichswert jedoch nur dann erfolgen, wenn der ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.