Einsatz von IT-Forensik im Bankensektor



Einführung in die IT-Forensik, Einordnung in Banken-Regulatorik und IT-Investigation Readiness.

Alexander Siebelt, freiberuflicher Dozent und IT-Forensiker, Mitarbeiter einer Privatbank.

I. Was ist IT-Forensik?

Bei „Forensik“ handelt es sich um einen Sammelbegriff für wissenschaftliche und technische Arbeitsgebiete, in denen kriminelle Handlungen systematisch untersucht werden[1]. Historisch stammt der Begriff aus der systematischen Aufklärung von Kriminalfällen. Frühe Beispiele sind etwa die Ballistik, der Nachweis von Vergiftungen oder auch die Sicherung von Tatortspuren wie Fingerabdrücken.

Die „IT-Forensik“ ist die analoge Anwendung von forensischen Techniken auf Sachverhalte, bei denen die Sicherung und Analyse digitaler Geräte eine Rolle spielt. Weitere Begrifflichkeiten in diesem Zusammenhang wären „Digitale Forensik“ oder „Computer-Forensik“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert IT-Forensik etwas formaler als die „streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“[2].

Um sich dem Themengebiet zu nähern, lassen sich Ausprägungen in unterschiedlichen Dimensionen darstellen. Eine erste Ausprägungsdimension ist die Art des vorliegenden Verdachtes. Der klassische Fall, an den im Zusammenhang mit IT-Forensik immer alle denken, ist ein typischer Hackerangriff – also ein Sicherheitsvorfall im ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Konsistenz im Meldewesen: FINREP vs. FinaRisikoV lt. neuer FinaRisikoV

Prof. Dr. Svend Reuse, MBA, Mitglied des Vorstandes, Kreissparkasse Düsseldorf. Zudem Honorarprofessor an der FOM Hochschule für Oekonomie und Management, Fachbeirat im isf – Institute for Strategic Finance[1], [2].

1. Zielsetzung des Beitrags

Am 12.07.2018 hat die BaFin die FinaRisikoV novelliert. Inhaltlich sind wenige Neuerungen zu verzeichnen, gleichwohl führt die Harmonisierung der Meldetermine aus Sicht des Autors zu weiteren impliziten Anforderungen bezüglich der Konsistenz von FINREP und FinaRisikoV.

Dieser Beitrag verfolgt das Ziel, dem Leser diese Anforderungen näherzubringen und ihm erste Impulse für die Umsetzung in der Bankpraxis zu geben.

2. Harmonisierung der Meldetermine

Mit der Novellierung der FinaRisikoV in 2018 wurden die Abgabetermine an die FINREP-Termine angepasst. Abbildung 1 verdeutlicht hierbei die Veränderungen der Einreichungsfristen.

Abbildung 1: Änderung der Abgabefristen in der FinaRisikoV

Dies bedeutet für die Institute eine Entlastung um ca. 11 Kalendertage bei der Einreichung der Ertrags- und Bestandsdaten nach FinaRisikoV. Als Begründung hierzu heißt es dort wörtlich: „Um den Kreditinstituten die Meldungen von Finanzinformationen auf nationaler und harmonisierter Basis zu erleichtern, werden die Einreichungsfristen für die Meldungen von Finanzinformationen nach der FinaRisikoV den bestehenden harmonisierten Einreichungsterminen angeglichen. Allein durch abweichende Einreichungsstichtage bedingte Unterschiede in den Meldeinhalten sollen möglichst vermieden werden. [FinaRisikoV Begründung (2018), S. 11.]“

3. Prüfung der Konsistenz von FINREP und FinaRisikoV

Dies hat neben einer Erleichterung in der FinaRisikoV-Meldung aber auch noch andere Implikationen: Die Ergebnisse aus FINREP und der FinaRisikoV sollten identisch sein, so dass die Aufsicht hier keine Inkonsistenzen feststellen kann. Da in der Praxis die Datentöpfe, die die beiden Meldesysteme füllen, mittlerweile identisch sind, sollte dies in Summe auch unproblematisch sein.

Allerdings steckt hier der Teufel im Detail. Viele größere Positionen lassen sich auch aufgrund der gestiegenen Datenqualität mittlerweile gut abstimmen. Viele Unterpositionen und auch viele kleinere Posten sind jedoch nicht ohne weiteres ineinander überführbar. Oft liegt dies in unterschiedlichen Ansätzen in FINREP und FinaRisikoV begründet.

Gleichwohl lassen sich einige Konsistenzprüfungen vornehmen. Abbildung 2 visualisiert die Gegenüberstellung des FINREP-Bogens F0200 und des FinaRisikoV-Bogens GVKI hier fiktiv per Jahresende. Die Darstellung ist angelehnt an die Originalmeldebögen.

SEMINARTIPPS

Meldewesen Kompakt: Neuerungen für Praxis & Prüfung, 03.06.2019, Düsseldorf.

Aufbau einer workflowbasierten Meldewesen-Datenbank, 15.10.2019, Köln.

Herausforderung: Daten-Verzahnung Controlling, Melde- & Rechnungswesen, 16.10.2019, Köln.

Herausforderungen im Risikotragfähigkeit-Meldewesen 2020, 12.11.2019, Frankfurt/M.

Die Beispielbank bildet in diesem Jahr keine Reserven nach § 340g HGB. In diesem Fall muss das Ergebnis der normalen Geschäftstätigkeit in beiden Bögen (Felder F0200-610 und GVKIP-200) identisch sein. Auf dem Weg zu diesem Wert kann es jedoch zu Differenzen kommen. Abbildung 2 zeigt typische Differenzen, die bei einer DataPoint Bank nach FINREP auf Einzelinstitutsebene – repräsentativ für die meisten Sparkassen und Volksbanken – auftreten können. Diese Zwischensummen sind mit *) und **) gekennzeichnet und sind idealerweise identisch. Die in Abbildung 2 als 1:1 ineinander überführbar gekennzeichneten Positionen sollten sich bei den meisten Instituten so wiederfinden lassen. Wenn nicht, gibt dies Aufschluss über die Datenqualität und impliziert Korrekturbedarf für die aktuelle Meldung.

Zu erkennen ist allerdings auch, dass FINREP hier deutlich tiefer und weiter geht, nämlich bis zum Jahresergebnis. Steuern o. Ä. sind im Rahmen der FinaRisikoV nicht relevant, was wiederum dafür spricht, dass der GVKI perspektivisch abgelöst werden kann.

Abbildung 2: Abgleich FINREP – FinaRisikoV

4. Auswirkungen auf den Meldeworkflow

Es ist nicht auszuschließen, dass je nach Konstellation im Institut weitere Differenzen auftauchen können. Die Schaffung der Konsistenz zwischen beiden Meldebögen bedingt, dass die handelnden Personen identisch sind und über ein tiefes Fachwissen auch im Bereich der Bilanzierung verfügen. Dann können fallbezogene Differenzen auch im Operativsystem ausgeräumt und die Datenqualität sukzessive verbessert werden.

Die ca. 12 Tage mehr Zeit bis zur Meldeabgabe sollten genutzt werden, um eine Konsistenzprüfung analog Abbildung 2 durchzuführen. Letztlich ist die GuV auch für die Aufsicht der am einfachsten abzugleichende Bogen. Durch die Konsistenzprüfung lassen sich viele Nachfragen der Aufsicht vermeiden: Ob die Zahlen, die gemeldet werden „richtig“ sind, kann sie nicht prüfen – wohl aber, ob diese inkonsistent sind, was wiederum auch Fragen bezüglich der Sorgfalt der Meldungserstellung aufwerfen kann.

5. Fazit und Ausblick

Es wird deutlich: Das deutsche und europäische Meldewesen nähern sich einander an. Die Harmonisierung der Meldetermine ist ein guter Schritt in die richtige Richtung gewesen. Je konsistenter das Meldewesen im Bereich FINREP und FinaRisikoV ist, desto redundanter wird es. Es bleibt zu hoffen, dass die Aufsicht dies erkennt und ggf. das nationale Meldewesen zu Gunsten der europäischen Varianten zurückbaut. Hierbei gilt es jedoch auch immer, die Besonderheiten des deutschen Bankensektors im Blick zu haben. Eine Harmonisierung des Meldewesens wird gerade in Bezug auf die Meldung der Risikotragfähigkeitsinformationen auf europäischer Ebene in naher Zukunft nur bedingt möglich sein.

 

 

PRAXISTIPPS

  • Führen Sie einen Konsistenzabgleich, wie dargestellt, regelmäßig durch.
  • Verankern Sie diesen in Ihrem operativen Meldewesenworkflow.
  • Achten Sie bei der Besetzung der Position darauf, dass die Mitarbeiter tiefe und umfassende Kenntnisse in beiden Meldewesenformaten sowie im Jahresabschluss besitzen.
  • Ändern Sie Fehler immer auch im Operativsystem ab und verbessern Sie Ihre Datenqualität systematisch.
  1. Der Artikel stellt die persönliche Meinung des Verfassers dar, die nicht notwendigerweise mit der des Arbeitgebers übereinstimmen muss. Er basiert auf den Ausführungen aus Reuse (2019-E), Kapitel B.I.3.11 und erweitert diese.
  2. LITERATURHINWEISE

    FinaRisikoV (2018): Finanz- und Risikotragfähigkeitsinformationenverordnung vom 06.12.2013 (BGBl. I S. 4209), die zuletzt durch Artikel 1 der Verordnung vom 04.07.2018 (BGBl. I S. 1086) geändert worden ist, erhältlich auf: http://www.gesetze-im-internet.de/finav/FinaRisikoV.pdf, Abfrage vom 07.04.2019.

    FinaRisikoV Anschreiben (2018): Überarbeitung der FinaRisikoV – Zweite Verordnung zur Änderung der Finanz- und Risikotragfähigkeitsinformationenverordnung (FinaRisikoV), erhältlich auf: https://www.bafin.de/DE/Aufsicht/BankenFinanzdienstleister/Anzeige-Meldepflichten/FinaRisikoV/FinaRisikoV_artikel.html, Abfrage vom 07.04.2019.

    FinaRisikoV Begründung (2018): Begründung zur zweiten Verordnung zur Änderung der Finanz- und Risikotragfähigkeitsinformationenverordnung, erhältlich auf: https://www.bafin.de/SharedDocs/Downloads/DE/Konsultation/2018/dl_kon__Zweite_VO_zur_aenderung_der_FinaRisikoV_mit_Begruendung.docx;jsessionid=E7A3A2B264567ECFADA49DBAE149742C.2_cid381?__blob=publicationFile&v=3, Abfrage vom 07.04.2019.

    FinaV (2013): Verordnung zur Einreichung von Finanzinformationen nach dem Kreditwesengesetz (Finanzinformationenverordnung – FinaV), 06.12.2013, inkl. Anlagen, in: Bundesgesetzblatt Jahrgang 2013, Teil 1, Nr. 73. S. 4209 – 4237.

    Reuse, S. (2019, Hrsg.): Zinsrisikomanagement, 3. Aufl. Heidelberg 2019.

    Reuse, S. (2019-E): Basismeldewesen nach FinaRisikoV – Aufbereitung valider Plan-, Ertrags-, und Risikodaten zur unterjährigen Meldung an die Bankenaufsicht, in: Bankaufsichtliches Meldewesen, 3. Aufl. Heidelberg 2019.

 

Beitragsnummer: 60325

Liquiditätsmeldewesen 2020



Weiterentwicklung als Chance betrachten

Anton Fuchs, Experte Liquiditätsrisikocontrolling und Programmierung, Landesbank Berlin AG

I. Einleitung

Die Liquiditätsvorschriften sind in die Praxis umgesetzt und deren Weiterentwicklung durch die Aufsicht schreitet voran. Dabei steht das Liquiditätsmeldewesen weiterhin im Fokus. Die Veröffentlichung neuer technischer Umsetzungsstandards („Implementing Technical Standards“) durch die EBA stellt die Institute vor weiteren Handlungsbedarf.

II. Die kurzfristige Liquiditätsdeckungsquote (LCR)

Die kurzfristige Liquiditätsdeckungsquote (Liquidity Coverage Ratio, LCR) ist das Verhältnis aus liquiden Aktiva zu Nettomittelabflüssen in den nächsten 30 Tagen. Nach Einführung der Kennzahl im Rahmen des CRRI/CRD IV-Paketes folgten mit der Delegierten Verordnung (EU) 2015/61 die erste Überarbeitung und damit einhergehend ebenfalls eine Anpassung der bestehenden Meldeformulare durch die EBA. Seit 2018 müssen die Institute eine verbindliche Quote von 100 % einhalten.

Mittlerweile wurde die bestehende Verordnung durch eine neue Verordnung (EU) 2018/1620 geändert, welche ab 30.04.2020 gilt. Zur Umsetzung hat die EBA einen Entwurf des Durchführungsstandards ITS 2016/322 veröffentlicht. Eine wesentliche Änderung betrifft den Ausweis von Wertpapierpensionsgeschäften, deren Abbildung jetzt an den Ansatz des Baseler Ausschusses angeglichen wird. Im LCR-Regime werden liquide Aktiva in Stufen eingeteilt, die mit unterschiedlichen Anrechnungsfaktoren einhergehen (von maximal 100 % für Stufe 1 bis 0 ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Prüfung aktivischer Beteiligungsanzeigen gem. § 24 KWG i. V. m. AnzV

Beurteilung der materiellen und formellen Ordnungsmäßigkeit der Anzeigeverpflichtungen durch die Interne Revision.

Katja Ries, fachliche Leitung Spezialistenteam Aufsichtsrecht, Genossenschaftsverband – Verband der Regionen e.V. und AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft.

I. Einleitung

Die BaFin übt in Zusammenarbeit mit der Deutschen Bundesbank die Aufsicht über einen Großteil der „Less significant institutions“ (LSI) aus. Die bedeutenden CRR-Kreditinstitute (SI) (§ 1 Abs. 3d KWG) stehen seit dem 04.11.2014 unter der direkten Aufsicht der Europäischen Zentralbank (EZB). Zielsetzung der Finanzaufsicht ist es hierbei, Missständen im Kredit- und Finanzdienstleistungswesen entgegenzuwirken (§ 6 Abs. 1 und 2 KWG sowie § 7 KWG).Diese Aufgabe kann nur erfüllt werden, wenn den Aufsichtsbehörden laufend dezidierte Kenntnisse über die geschäftlichen Vorgänge und die inneren Strukturen der Institute übermittelt werden. Hierzu dienen neben den Jahresabschlüssen, Prüfungsberichten sowie Sonderprüfungen gem. § 44 KWG v. a. Anzeigen und Meldungen der Institute.

Die Anzeigen nach § 24 KWG geben den Aufsichtsbehörden Auskunft über personelle, finanzielle, organisatorische und rechtliche Gegebenheiten und deren Veränderungen bei den Instituten. Die Details zum Anzeigeverfahren sind in der Anzeigenverordnung (AnzV) geregelt.

Durch die Überarbeitung der AnzV, die am 08.12.2016 in Kraft getreten ist, haben sich u. a. hinsichtlich der Beteiligungsanzeigen Änderungen ergeben.

II. Vorbemerkung

Das Mandat der Internen Revision zur Prüfung der Anzeigeverpflichtungen nach § 24 KWG i. V. m. AnzV ergibt sich aus AT 4.4.3 Tz. 3 i. V. m. BT 2.3 Tz. 1 der MaRisk. Prüfungsziel ist die Beurteilung der materiellen und formellen Ordnungsmäßigkeit der Anzeigenverpflichtungen nach § 24 KWG i. V. m. AnzV. Es ist zu prüfen, ob sowohl der Prozess bzw. andere organisatorische Regelungen zum Anzeigewesen nach § 24 KWG als auch dessen Ergebnisse in Form der erstatteten Anzeigen, den aufsichtsrechtlichen Anforderungen genügen.

Der Prüfung der Anzeigeverpflichtungen gem. §§ 24 Abs. 1 Nr. 12 und 13 sowie 24 Abs. 1a Nr. 1 und 2 KWG i. V. m. AnzV sind die relevanten Gesetztestexte als Soll-Konzept zu Grunde zu legen. Zusätzlich sollten weitere Prüfungsunterlagen zur Beurteilung des Prüffeldes herangezogen werden. Zu nennen sind beispielhaft: Kommentar zu § 24 KWG, die organisatorischen Regelungen der Bank (Arbeitsanweisung/Prozessbeschreibung) zum Anzeigewesen, Unterlagen zum Beteiligungsportfolio der Bank sowie die erstatteten Anzeigen im Prüfungszeitraum und die des Vorjahres. Die Deutsche Bundesbank stellt die zum Einsatz kommenden Formulare auf ihrer Homepage zur Verfügung: StartseiteServiceMeldewesenBankenaufsicht-Formular-CenterFormulare. Die Formulare selbst enthalten in den Fußnoten wichtige Hinweise zur Befüllung. Des Weiteren finden sich auf dieser Homepage diverse weitere Informationen zum Thema.

III. Implementierung eines formellen Verfahrens zum Anzeigewesen

Die Notwendigkeit der Implementierung eines formellen Verfahrens kann im weitesten Sinne aus § 25c Abs. 3 Nr. 5 KWG abgeleitet werden. Hiernach müssen die Geschäftsleiter die Richtigkeit des Rechnungswesens und der Finanzberichterstattung sicherstellen; dies schließt die dazu erforderlichen Kontrollen und die Übereinstimmung mit den gesetzlichen Bestimmungen mit ein. Somit muss sichergestellt sein, dass das Anzeige- und Meldewesensystem ordnungsgemäß arbeitet und die aufsichtsrechtlich geforderten Informationen zeitgerecht, vollständig und korrekt ermittelt und weitergibt. Des Weiteren hat der Abschlussprüfer gem. § 25 PrüfbV die Organisation des Anzeige- und Meldewesens zu beurteilen. Vor diesem Hintergrund bietet es sich an, die Zuständigkeiten für die einzelnen Anzeigetatbestände im Rahmen einer Arbeitsanweisung oder eines Prozesses (zielführend für große Institute) zu regeln. Vor allem die Ad-hoc-Meldungen des § 24 Abs. 1 KWG stellen die Banken hierbei vor Herausforderungen. Hier sollte ein adäquater Informationsfluss gewährleistet sein, der sicherstellt, dass Anzeigetatbestände erkannt und unverzüglich angezeigt werden.

Exemplarische Darstellung eines formellen Verfahrens (z. B. Arbeitsanweisung, Prozess) bzgl. aktivischer Beteiligungsanzeigen mit der Zuordnung von Zuständigkeiten:

Abbildung 1: Exemplarische Zuordnung im Rahmen einer Tabelle

IV. Aktivische Beteiligungsanzeigen gem. § 24 KWG i. V. m. AnzV und deren Prüfung durch die Interne Revision

1. Allgemeine Anmerkungen zum Beteiligungsmeldewesen

Die gesetzlichen Regelungen zum Beteiligungsmeldewesen unterlagen in der Vergangenheit diversen Änderungen. Zuletzt erfolgte durch die Modifizierung des § 24 KWG vom 23.06.2017 und der AnzV vom 16.10.2018 eine Anpassung an die geänderte europäische und nationale Rechtslage. So wurde der Begriff „qualifizierte Beteiligung“ nun auch für die aktivischen Beteiligungsanzeigen durch die Begrifflichkeit „bedeutende Beteiligung“ ersetzt. Zudem wurde eine eigenständige Berechnungsmethodik für mittelbare Kapitalanteile im Zusammenhang mit dem Tatbestand „bedeutende Beteiligung“ etabliert. Generell gilt, dass das Anzeigeverfahren nicht an die verschiedenen Beteiligungsbegriffe anknüpft, sondern an das anzeigepflichtige Beteiligungsverhältnis selbst. Hieraus resultiert, dass die verschiedenen aktivischen Meldepflichten zu einem Beteiligungsverhältnis mit einem Vordruck AB „Aktivische Beteiligungsanzeige” erfüllt werden. Dieser Vordruck dient zur Abgabe der Einzel- und Sammelanzeigen der Institute über aktivische bedeutende Beteiligungen und aktivische enge Verbindungen, zur Anzeige ausländischer nachgeordneter Unternehmen und zu Anzeigen über Befreiungen von der aufsichtsrechtlichen Konsolidierung. Für komplexe Beteiligungsstrukturen oder mittelbare Beteiligungsverhältnisse über mehr als vier Ebenen sind die Angaben zu den Beteiligungsquoten in der Anlage KB „komplexe Beteiligungsstrukturen“ zu machen. Nähere Erläuterungen hierzu finden sich u. a. in der Fußnote 11 des Vordrucks AB. Das Formular AB sieht u. a. folgende Angaben vor:

  1. Art der Anzeige: Enge Verbindung, bedeutende Beteiligung, Befreiung gem. § 31 Abs. 3 KWG
  2. Anlass der Anzeige: Entstehung, Veränderung, Beendigung
  3. Beteiligungsunternehmen
  4. Angaben zu den Beteiligungsquoten
  5. Weitere Angaben

Daneben ist u. a. anzugeben, ob es sich um eine Einzelanzeige bzw. Sammelanzeige handelt.

Die Beteiligungsanzeigen sind gem. § 7 Abs. 6 Satz 1 AnzV grundsätzlich elektronisch einzureichen – auf die entsprechenden Hinweise auf der Homepage der Deutschen Bundesbank ist zu achten. Sollten die Anzeigen papierhaft abgegeben werden, so gelten die Regelungen des § 1 AnzV. Hiernach sind diese jeweils in einfacher Ausfertigung der BaFin und der für das Institut zuständigen Hauptverwaltung der Deutschen Bundesbank einzureichen. Für Kreditgenossenschaften und Sparkassen, die u. a. der direkten Aufsicht der BaFin unterstehen sowie einem Prüfungsverband angeschlossen sind oder durch die Prüfungsstelle eines Sparkassen- und Giroverbandes geprüft werden, regelt § 1 Abs. 2 AnzV z. B., dass die Anzeigen über den Verband einzureichen sind. Die Einreichung von Fehlanzeigen ist im Beteiligungsanzeigewesen nicht mehr erforderlich.

a) Bedeutende Beteiligung gem. § 24 Abs. 1 Nr. 13 KWG sowie § 24 Abs. 1a Nr. 2 KWG i. V. m § 7 AnzV

Eine bedeutende Beteiligung i. S. d. Kreditwesengesetzes ist eine qualifizierte Beteiligung gem. Art. 4 Abs. 1 Nr. 36 CRR (vgl. § 1 Abs. 9 S. 1 KWG). Danach liegt eine qualifizierte Beteiligung in folgenden Fällen vor:

Direktes/unmittelbares Halten von mindestens zehn Prozent des Kapitals oder der Stimmrechte eines Unternehmens,

indirektes/mittelbares Halten von mindestens zehn Prozent des Kapitals oder der Stimmrechte eines Unternehmens oder

– eine andere Möglichkeit der Wahrnehmung eines (möglichen) maßgeblichen Einflusses auf die Geschäftsführung des Unternehmens. Anhaltspunkte hierfür können z. B. personelle Verflechtungen und vertragliche Einflussnahme sein. Die Aufsicht erachtet hierzu jeweils eine Einzelprüfung als erforderlich.

Die Berechnung der Quoten bei mittelbar gehaltenen Beteiligungen am Kapital erfolgt auf Basis des sogenannten „Multiplikatoransatzes“: Zur Berücksichtigung der von dem zwischengeschalteten Unternehmen gehaltenen Kapitalanteile erfolgt eine quotale Durchrechnung. Sobald ein Wert von zehn Prozent oder mehr bei dieser Berechnung erreicht wird, liegt eine bedeutende Beteiligung i. S. d. § 1 Abs. 9 KWG vor. Bei mehreren für sich im Sinne einer bedeutenden Beteiligung nicht anzeigerelevanten Beteiligungssträngen gilt, dass zum einen die direkt gehaltenen Beteiligungen am Zielunternehmen bei der Ermittlung, ob es sich um eine bedeutende Beteiligung handelt, immer in die Berechnung einzubeziehen sind. Zum anderen sind die direkt gehaltenen Beteiligungen von zwischengeschalteten Rechtsträgern, bei denen der durchgerechnete Kapitalanteil mindestens zehn Prozent beträgt, ebenfalls einzubeziehen. Sofern diese Beteiligungsstränge zusammengerechnet eine Kapitalquote von mindestens zehn Prozent ergeben, liegt ebenfalls eine bedeutende Beteiligung vor. Diese durchgerechnete Quote ist auf dem Anzeigeformular „AB“ ebenfalls anzugeben. Zu beachten ist hier, dass eine Durchrechnung nicht mehr – wie früher – nur bei über Tochterunternehmen gehaltenen mittelbaren Beteiligungen erfolgt. Im Gegensatz hierzu bleibt das Procedere bei mittelbaren Beteiligungen an den Stimmrechten unverändert. Hiernach stehen die Stimmrechte eines Tochterunternehmens den eigenen Stimmrechten gleich und fließen somit in voller Höhe bei der Berechnung des Stimmrechtsanteils ein. Insofern erfolgt keine quotale Durchrechnung.

Abbildung 2: Struktur einer bedeutenden Beteiligung I

Abbildung 3: Struktur einer bedeutenden Beteiligung II

b) Enge Verbindungen gem. § 24 Abs. 1 Nr. 12 KWG sowie § 24 Abs. 1a Nr. 1 KWG i. V. m § 7 AnzV

Gemäß § 1 Abs. 35 KWG i. V. m. Art. 4 Abs. 1 Nr. 38 CRR liegt eine enge Verbindung vor, wenn zwei oder mehr natürliche oder juristische Personen auf eine der folgenden Weisen miteinander verbunden sind:

– über eine Beteiligung in Form des direkten Haltens oder durch Kontrolle von mindestens 20 % der Stimmrechte oder des Kapitals an einem Unternehmen,

– durch Kontrolle,

– über ein dauerhaftes Kontrollverhältnis beider oder aller mit ein und derselben dritten Person.

Eine enge Verbindung liegt auch bei mittelbaren aktivischen Beteiligungen ab einer Kapital- oder Stimmrechtsquote von mindestens 20 % unter der erstgenannten Alternative vor, sofern zwischen den natürlichen oder juristischen Personen ein Kontrollverhältnis besteht. Eine quotale Durchrechnung bei den Kapitalanteilen erfolgt nicht.

Abbildung 4: Struktur einer engen Verbindung

c) aufsichtsrechtliche Konsolidierung

Das Formular AB informiert die Aufsicht des Weiteren auch über ggf. vorliegende Konsolidierungstatbestände. Die entsprechenden gesetzlichen Regelungen hierzu finden sich u. a. in § 10a KWG i. V. m. Art. 11 ff. CRR. Für die Frage, ob der Tatbestand einer aufsichtsrechtlichen Konsolidierung vorliegt, ist neben der Beteiligungsquote sowie Art der Beteiligung (z. B. bei einer qualifizierten Minderheitsbeteiligung) auch die Art des Unternehmens von Relevanz. Der aufsichtsrechtliche Konsolidierungskreis umfasst Institute, Finanzinstitute und Anbieter von Nebendienstleistungen sowie Vermögensverwaltungsgesellschaften. In diesem Zusammenhang ist u. a. auf die korrekte Abgrenzung zwischen „sonstigen Unternehmen“ und „Anbietern für Nebendienstleistungen“ zu achten. Gründet ein Institut z.B. ein Tochter-Unternehmen mit dem Geschäftszweck „Verwaltung der bankeigenen Gebäude“, in denen Bankgeschäft betrieben wird, so handelt es sich um einen Anbieter von Nebendienstleistungen. Ist der Geschäftszweck hingegen die Verwaltung und Vermittlung von Immobilien, in denen kein Bankgeschäft betrieben wird, liegt ein „sonstiges Unternehmen“ vor. Relevant ist hierbei die schwerpunktmäßig tatsächlich ausgeübte Geschäftstätigkeit.

Art. 19 CRR enthält in Abs. 1 Regelungen darüber, wann ein nachgeordnetes Institut, Finanzinstitut oder Anbieter von Nebendienstleistungen aus dem aufsichtsrechtlichen Konsolidierungskreis ausgenommen werden kann. Will ein übergeordnetes Institut (§ 10a KWG) diese Ausnahmeregelungen in Anspruch nehmen, so hat es gem. § 31 Abs. 3 KWG der BaFin und der Deutschen Bundesbank diese Absicht mitzuteilen. Es hat u. a. außerdem einmal jährlich in einer Sammelanzeige mitzuteilen, welche Unternehmen es nach Art. 19 Abs. 1 CRR von den Art. 11 bis 18 CRR ausgenommen hat.

d) Fusionen und deren Auswirkungen auf aktivische Beteiligungsanzeigen

Bei rechtlichem Vollzug einer Fusion sind ggf. noch weitere – aus der Fusion resultierende – Anzeigeerfordernisse bzgl. des Beteiligungsportfolios der Fusionsbank zu berücksichtigen. So können sich durch eine Fusion neue oder geänderte aktivische Beteiligungsstrukturen ergeben. Sollten z. B. durch eine Fusion neue Anzeigetatbestände entstehen (z. B.: A: sieben Prozent, B: acht Prozent => nach Fusion 15 %) oder sollten Schwellenwerte überschritten werden (z. B.: A: 20 %, B: elf Prozent => 31 %), so ist eine Anzeige unverzüglich abzugeben. Anzeigepflichtige Beteiligungsstrukturen des übernommen Instituts, aus denen für das Fusionsinstitut keine neuen Anzeigetatbestände resultieren, sind jedoch nicht noch einmal anzuzeigen.

2. Prüfungsdurchführung

Die Durchführung der Prüfung alleine im Rahmen einer Prozessorientierung dürfte nur bei größeren Instituten zu einer hinreichenden Prüfungssicherheit führen. Für kleine und mittlere Institute bietet sich hingegen eine System-/Aufbauprüfung i. V. m. aussagebezogenen Prüfungshandlungen an. Die folgenden Ausführungen beziehen sich auf die letztgenannte Variante der Prüfungsdurchführung. Der Umfang der Prüfungshandlungen wird hierbei weitestgehend durch den Umfang und die Komplexität des Beteiligungsportfolios bestimmt.

a) System-/Aufbauprüfung

Im Rahmen der System-/Aufbauprüfung erfolgt die Beurteilung, ob ein adäquates organisatorisches Regelwerk implementiert wurde, dass ein ordnungsgemäßes Beteiligungsmeldewesen sicherstellt (siehe auch Ausführungen unter 2.).

Abbildung 5: Prüfungsfrage „System-/Aufbauprüfung“

b) Aussagebezogene Prüfungshandlungen

Im Rahmen der aussagebezogenen Prüfungshandlungen ist zu beurteilen, ob die erforderlichen Anzeigen zeitgerecht, vollständig und richtig abgegeben wurden und somit der Aufsicht ein korrektes Bild der anzeigerelevanten Beteiligungsstrukturen vermittelt wurde.

Abbildung 6: Prüfungsfragen aussagebezogene Prüfungshandlungen I

Abbildung 7: Prüfungsfragen zu aussagebezogenen Prüfungshandlungen II

Abbildung 8: Prüfungsfragen zu aussagebezogenen Prüfungshandlungen III

c) Gesamtbeurteilung

Aus der Gesamtschau und Beurteilung der einzelnen Teilaspekte ergibt sich die Aussage, ob das Beteiligungsmeldewesen insgesamt den rechtlichen Vorgaben entspricht.

PRÜFUNGSTIPPS:

  • Richten Sie ein besonderes Augenmerk ist auf das Vorliegen von Ad-hoc-Tatbeständen.
  • Nehmen Sie folgende Plausibilitäts-/Konsistenzprüfungen bei aktivischen Beteiligungsanzeigen vor:
  • Ist bei Vorliegen einer Einzelanzeige der Anlass der Anzeige (Entstehung, Veränderung, Beendigung) angegeben?
  • Wird eine Beendigung nur dann angezeigt, wenn keinerlei relevanter Anzeigetatbestand mehr vorliegt?
  • Wurde u. a. auf Plausibilität zwischen der Auswahl des Beteiligungsunternehmens und der Befüllung/Auswahl unter Nr. 5.4 „ Nur auszufüllen, wenn das Beteiligungsunternehmen kein Unternehmen der Finanzbranche oder ein sonstiges in Artikel 89 Abs. 1 CRR genanntes Unternehmen ist“ geachtet? In der Regel wird eine Befüllung u. a. im Zusammenwirken mit der Auswahl „sonstiges Unternehmen“ (unter Nr. 3 im Formular AB) erforderlich sein.
  • Wurde – wenn eine Inanspruchnahme vom Institut beabsichtigt – der Tatbestand der „Befreiung nach § 31 Abs. 3 KWG“ im Zusammenhang mit der Auswahl von z.B. „Anbietern von Nebendienstleistungen“ sowie einer gleichzeitigen Beteiligung größer 50 % bei Vorliegen der Voraussetzung des § 31 Abs. 3 KWG i. V. m. Art. 19 Abs. 1 CRR angekreuzt? Ist dies nicht der Fall, ist von einer aufsichtsrechtlichen Konsolidierung auszugehen.
  • Ist bei einer mehrstufigen Beteiligung die Beteiligungsstruktur aus den Anzeigen klar erkennbar?
  • Kommt bei Vorliegen komplexer Beteiligungsstrukturen (z. B. gleichzeitiges Vorliegen einer mittelbaren und unmittelbaren Beteiligung an einem Unternehmen) das Formular „Anlage für komplexe Beteiligungsstrukturen“ (KB) zur Anwendung?
  • Ist bei mittelbaren Beteiligungen, die über Kapitalanteile begründet werden, die durchgerechnete Kapitalquote angegeben?
  • Wurde im Rahmen einer Fusion das Beteiligungsportfolio der Fusionsbank auf neue Anzeigetatbestände untersucht?

 

 

 

Beitragsnummer: 57930

Datenqualität in Revisionsberichten

Claudia Himpel, Innenrevision;
Tobias Ströbele, Leiter Innenrevision, beide Hohenzollerische Landesbank Kreissparkasse Sigmaringen

Aus den MaRisk, BT 2.4, ergibt sich die Berichtspflicht der Internen Revision über jede Prüfung zeitnah einen schriftlichen Bericht anzufertigen und diesen den fachlich zuständigen Mitgliedern der Geschäftsleitung vorzulegen. Des Weiteren stellen die MaRisk grundlegende Anforderungen an dessen Ausgestaltung.

Die Berichte müssen insbesondere eine Darstellung des Prüfungsgegenstandes, der Prüfungsfeststellungen und ggf. vorgesehenen Maßnahmen enthalten. In den weiteren Ausführungen fordern die MaRisk, dass die Prüfungen so durch Arbeitsunterlagen zu dokumentieren bzw. unterlegen sind, dass die durchgeführten Arbeiten sowie die festgestellten Mängel und Schlussfolgerungen für sachkundige Dritte nachvollziehbar hervorgehen (vgl. BT 2.4, Tz. 2 MaRisk).

Ausgehend von diesen grundlegenden und auch darüber hinausgehenden Anforderungen stehen alle Häuser vor der Herausforderung, ein einheitliches Berichtswesen mit gleichbleibend hoher Datenqualität zu schaffen.

SEMINARTIPPS

Datenrisiken im Meldewesen, 08.04.2019, Frankfurt/M.

Prüfung Risikoberichtswesen & Reporting, 09.04.2019, Frankfurt/M.

Prüfung neue interne Governance-Vorgaben, 16.05.2019, Hamburg.

Prüfung Datenqualität, 21.05.2019, Frankfurt/M.

Datenrisiken im Kreditgeschäft, 06.06.2019, Düsseldorf.

 

Wir haben uns darüber Gedanken gemacht, wie dies gelingen kann. Daraus ist folgender Denkansatz entstanden, welcher entsprechende Impulse liefern soll.

Am Anfang unserer Überlegung stand die grundlegende Frage, was wir denn außerhalb der gesetzlichen Anforderungen der Berichtspflicht mit unseren Berichten erreichen wollen, bzw. wem wir berichtspflichtig sind. Letztendlich geht es ja nicht nur darum, über die durchgeführten Prüfungen zu berichten, sondern mit den getroffenen Feststellungen notwendige Veränderungen herbeizuführen.

In erster Linie ist deshalb als Berichtsempfänger der Vorstand zu nennen. Er ist die Instanz, die letztendlich entsprechenden Handlungsbedarf anweisen kann/darf. Erst in zweiter Linie sind der Verwaltungs- oder Aufsichtsrat, die externe Revision oder die Aufsichtsbehörden die Berichtsempfänger. Somit sollte vorab mit dem Vorstand, als primärem Berichtsempfänger, geklärt werden, was dieser will: Wo liegen zum Beispiel seine Prioritäten? Welche Ziele verfolgt er mit den Prüfungen zzgl. zu den gesetzlichen Prüfungsanforderungen (IKS)? … Weitere Prüfungsziele könnten hier evtl. Prüfungen hinsichtlich Wirtschaftlichkeit oder Prüfungen bzgl. hausinterner Themen sein. Weiterhin ist abzuklären, wie der Berichtsempfänger die Berichte liest. Kurz gesagt: Es ist vorab eine Abstimmung mit der Geschäftsleitung erforderlich.

Darauf aufbauend sollten zur Vereinheitlichung der Prüfungsberichte und zur Einhaltung der aufsichtsrechtlichen sowie der mit der Geschäftsleitung abgestimmten Anforderungen einheitliche Berichtsvorlagen eingesetzt werden. Die Berichte sollten so aufgebaut sein, dass die Berichtsempfänger alles Wesentliche in kurzer Zeit erfassen können und eine eindeutige Struktur bzw. ein Orientierungsrahmen für die Berichtserstellung vorgegeben wird.

Wichtige Punkte bzw. Mindestinhalte sind dabei:

  • Prüfungsgegenstand (inkl. Prüfungsziele, -schwerpunkte und -umfang)
  • Berichtszeitraum und Prüfungsstichtag
  • ggf. Management-Summary
  • Prüfungsgrundlagen, ggf. Prüfungsstrategie und -programm
  • Prüfungsfeststellungen inkl. Wertung und ggf. vorgesehene Maßnahmen
  • Beurteilung des Internen Kontrollsystems

Gleichzeitig sollte die Unterlegung der Berichtsinhalte definiert werden.

Hierzu sind:

  • eindeutige Anforderungen an die Unterlagen zu stellen
  • klare Aussagen hinsichtlich der Dokumentation bzw. dahingehend wie die Dokumentation der Prüfungshandlungen in den Unterlagen zu erfolgen hat, zu treffen
  • Vorgaben zu definieren, wie die Aussagen des Berichts mit den Arbeitsunterlagen verknüpft werden sollen.

Bzgl. der Dokumentation der Prüfungshandlungen sollte einheitlich vorgegeben werden, welche Kennzeichnungen zu verwenden sind (z. B. geprüft am, = gesehen i. O., = fehlerhaft usw.).

Für die Verweise bzw. die Aussagen zum Bericht ist eine Art Checkliste hilfreich, in die die Feststellungen aufgenommen und dahingehend gekennzeichnet werden, ob diese berichtsrelevant sind oder nicht. Auf jeden Fall müssen die Unterlagen konsistent zu den Berichtsinhalten sein und diese entsprechend widerspiegeln. Einheitliche Ablagestrukturen ermöglichen eine weitere Erhöhung der Transparenz.

Wenn hier klare Regelungen geschaffen wurden, sind unseres Erachtens die Standards und Grundlagen für eine hohe und durchgängige Datenqualität gelegt. Um dies dauerhaft zu gewährleisten, ist im Anschluss an die Prüfung eine entsprechende Qualitätssicherung unerlässlich.

Auch hier empfiehlt es sich deshalb, entsprechende Regelungen für die Qualitätssicherung zu treffen. Um die Qualität entsprechend nachzuhalten, sollten die Anforderungen klar angewiesen und den Prüfern entsprechend bekannt sein. Dies kann über das Revisionshandbuch erfolgen und daraus abgeleitet in der Revisionssoftware abgebildet werden. Darüber hinaus sollte die jeweilige Führungskraft die notwendige Verbindlichkeit der Einhaltung schaffen.

PRAXISTIPPS

  • Stimmen Sie mit der Geschäftsleitung ab, welche über die aufsichtsrechtlichen Anforderungen hinausgehenden Ansprüche diese an das Prüfungsberichtswesen hat.
  • Geben Sie anhand von Berichtsvorlagen eine Struktur bzw. einen Orientierungsrahmen für die Berichterstellung vor.
  • Schaffen Sie entsprechende Regelungen im Revisionshandbuch, auch hinsichtlich der Unterlegung von Berichtsinhalten.
  • Integrieren Sie die Anforderungen in Ihre Qualitätssicherung.

FCH Compliance Logo

 

 

 

 

Beitragsnummer: 47607

Verzahnung Meldewesen und Risikocontrolling am Bsp. Liquiditätsrisiko

Tobias Westbrock, Referent Risikocontrolling, Institutssteuerung, abcbank Köln

Die Anforderungen an das periodische Meldewesen und die Risikocontrollingprozesse wachsen durch die aktuelle MaRisk-Novelle immer weiter zusammen. Nicht nur werden Prognosen von steuerungsrelevanten Kennzahlen gefordert, die das Meldewesen oft nicht ohne Hilfe darstellen kann, sondern es werden auch Daten gemeldet, aus denen die Aufsicht sich ein eigenes Bild der Risikostruktur eines Institutes machen kann.

Vor diesem Hintergrund wird es immer wichtiger, Meldewesen und Risikocontrolling datenseitig miteinander zu verbinden, damit offizielle Meldungen und Risikoreporting keine inkonsistenten Aussagen treffen. Dementsprechend können einige Anforderungen der MaRisk auf der Datengrundlage des Meldewesens aufgebaut werden. Gerade am Beispiel des Liquiditätsrisikos, das viele Neuerungen in den MaRisk erfahren hat, lässt sich dies gut verdeutlichen.

BUCHTIPP

 

Liquiditätsrisikomanagement deutscher Regionalbanken unter ganzheitlicher Betrachtung der drei Baseler Säulen, 2017.

 

Chancen bei aktuellen Meldungen und ihren Historien

So sind die kurz-, mittel- und langfristigen Liquiditätsübersichten, die nach BTR 3.1 Tz. 3 für normale Marktphasen zu betrachten sind, gut mit der Liquiditätsablaufbilanz/Maturity Ladder (C66) der Additional Monitoring Metrics for Liquidity Reporting (AMM) darstellbar.

Für die Ableitung der Stressszenarien nach BTR 3.1 Tz. 8 hingegen kann zwar auf den gemeldeten Liquiditätsverlauf unter Normalbedingungen aufgebaut werden, doch sind zweifellos eigene Analysen zur Identifizierung geeigneter Stressparameter notwendig, die ein isoliertes Meldewesen nicht bewerkstelligen kann.

Auch die Anforderungen an die Risikoberichterstattung (BT 3.2 Tz. 2), die Prognosen für die Liquiditätskennziffer (LCR) und die Refinanzierungspositionen fordern, können zwar auf Meldedaten aufgebaut werden, sind aber nicht ohne eine historische Analyse ihrer Bestandteile und deren Schwankungsbandbreiten zu bewerkstelligen.

SEMINARTIPPS

COREP 2019: Verschärfte Vorgaben & Umsetzungsprobleme, 09.04.2019, Frankfurt/M.

Fit für FINREP für HGB-Bilanzierer: Neue Vorgaben & Auslegungsfragen, 10.04.2019, Frankfurt/M.

Update: COREP & Liquiditätsmeldewesen 2020, 14.10.2019, Köln.

Aufbau einer workflowbasierten Meldewesen-Datenbank, 15.10.2019, Köln.

Herausforderungen am Beispiel der NSFR

Gerade die Prognose der NSFR dürfte viele kleinere Institute vor größere Herausforderungen stellen, da sie mit dieser bisher keine oder nur wenige Erfahrungen haben.

Für die Kennzahl, die für sie bisher nicht einzuhalten ist, haben sie keine umfangreiche Historie, auf die sie zurückblicken können. Abgesehen davon, dass die Vorgaben von Seiten der EBA bzgl. der zu verwendenden Gewichtungsfaktoren noch nicht finalisiert wurden.

Dennoch wird die Kennzahl in absehbarer Zeit und voraussichtlich ohne Einführungsfrist vollständig zu erfüllen sein, was ab diesem Stichtag auch ihre Prognose notwendig macht.

Als Vorbereitung sollten hier die Vorgaben des Baseler Ausschusses hinsichtlich der Gewichtungsfaktoren herangezogen werden. Verbindet man diese wiederum mit der Datengrundlage der Maturity Ladder unter Einbeziehung realistischer Neugeschäftsannahmen, so ist es möglich, ein erstes Gefühl für die zukünftige Entwicklung der eigenen NSFR zu erhalten.

PRAXISTIPPS

  • Datengrundlage des Meldewesens für das Risikocontrolling/-reporting nutzen, um Inkonsistenzen zu vermeiden.
  • Zusammenarbeit der Bereiche Meldewesen und Risikocontrolling, um aufsichtsrechtliche Vorgaben zu erfüllen.

Beitragsnummer: 47395

Anforderungen an die IDV je nach Schutzbedarfsklasse

Welche Standards, wie z. B. ISO 2700x und BSI-Standard, können den praktischen Anforderungen gerecht werden?

Frank Lutter, Abteilungsleiter IT-Management, Volksbank Bigge-Lenne eG

Beide Standards kommen grundsätzlich den aufsichtsrechtlichen Anforderungen nach.

ISO 2700x
Die ersten drei Teile vermitteln einen allgemeinen Überblick über die Vorgehensweise. Die weiteren Punkte der ISO 2700x beschäftigen sich mit verschiedenen Einzelthemen. Die Richtlinie zur Anwendungssicherheit befindet sich in der ISO 27034. Sie beschreibt das Ziel, dass die IDV dem Sicherheitsniveau der Bank entspricht. Ein weiteres Ziel ist die Wiederverwendbarkeit.

BSI-Standards
Auch hier wird zunächst ein Überblick über die Vorgehensweise gegeben. Das IT-Grundschutz-Kompendium des BSI ist im Internet frei verfügbar. Es enthält thematisierte Bausteine und Umsetzungshinweise. Im Bereich der IDV sind die Bausteine „APP.1.1 Office Produkte“ und „CON.5 Entwicklung und Einsatz von allgemeinen Anwendungen“ maßgebend.

Ziel des Bausteins CON.5 ist es, aufzuzeigen, welche grundlegenden Sicherheitsanforderungen bei Planung, Beschaffung, Inbetriebnahme, regulärem Betrieb und Außerbetriebnahme einer Fachanwendung zu berücksichtigen sind.

Die ISO 2700x, als auch das BSI-Grundschutzkompendium, sind keine „Blaupause“ zu den gesetzlichen Anforderungen der MaRisk/BAIT – sie geben jedoch Orientierung.

1. Interne Dokumentation der Schutzbedürftigkeit von Daten und Objekten

Der Schutzbedarf der IDV entspricht dem Schutzbedarf des zugeordneten Geschäftsprozesses (GP). Der Schutzbedarf des Prozesses (CIN) wird dabei aus der höchsten Datenklasse übernommen.

Die Dokumentation der Datenklassen sollte neben der Bezeichnung folgende Merkmale berücksichtigen:

  • Eigenschaften der Daten (personenbezogen, rechnungslegungsrelevant, steuerungsrelevant)
  • Schutzbedarf (Vertraulichkeit C, Datenintegrität I und Verbindlichkeit N)

Eine Abstufung der Datenklassen könnte in vier Kategorien erfolgen:

  • Öffentliche Daten (Web-Auftritt/Social Media/sonstige öffentliche Daten)
  • Interne Daten (interne Informationen)
  • Vertrauliche Daten (Personendaten, Bezug zum Bankgeschäft, rechnungslegungsrelevant, Banksteuerungsparameter, Systemdaten, Kartenbezogene Informationen)
  • Streng vertrauliche Daten (Personaldaten, kryptographische Informationen, MaSI)

Um ein mögliches GAP zu analysieren, muss das Schutzniveau der IDV zunächst ermittelt werden. Die Schutzziele Verfügbarkeit (A), Vertraulichkeit (C), Integrität (I) und Authentizität (N) der Schutzobjekte können in die 4 Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ eingeordnet werden.

Die Erläuterungen für die Einstufung (niedrig, mittel, hoch, sehr hoch) müssen dokumentiert werden. Die Verfügbarkeit (A) wird z. B. prozentual bezogen auf einen Zeitraum x angegeben. Bei der Authentizität wird beispielsweise eine Abstufung von „keine Verbindlichkeit“ bis hin zum „4-Augen-Prinzip“ hinterlegt.

Ist das so ermittelte Schutzniveau der IDV niedriger als der Schutzbedarf aus dem zugeordneten Prozess, liegt ein GAP vor. Daraufhin erfolgt eine Risikoanalyse der Sicherheitslücke.

 

 SEMINARTIPPS

Identifizierung & Prüfung von IDV, 26.03.2019, Köln.

InformationsRisikoManagement: Zusammenspiel ISB, Compliance & Revision, 27.03.2019, Köln.

Brennpunkt Schutzbedarfsanalyse, 18.03.2019, Berlin.

Pflichten des ISB: Prüfungs- und Praxiserfahrungen, 07.05.2019, Frankfurt/Offenbach.

BAIT – Prüfungs- und Praxisfragen am 06.05.2019, Frankfurt/Offenbach.

IT-Risikomanagement aktuell, 08.05.2019 in Frankfurt/Offenbach.

 

Die Dokumentation kann durchaus in einer Tabelle erfolgen, die nachfolgende Felder enthalten sollte: Dateiname, Speicherort, Beschreibung, Abteilung, Version, Datum, Fremd-/Eigenentwicklung, verantwortliche Mitarbeiter, Trägersystem, zugeordneter Geschäftsprozess inkl. Schutzbedarf und Schutzniveau der IDV.

2. Inwieweit sind proportionale Erleichterungen/Spielräume möglich?

Die gängigen Standards (BSI, ISO) sehen durchaus Spielräume je nach Schutzniveau vor (z. B. CON.5.A4 oder CON.5.A8), die jedoch durch die Vorgaben der BAIT oftmals aufgehoben werden.

Eigenentwicklungen unterliegen normalerweise einem Entwicklungsprozess. Mit steigendem Entwicklungsgrad muss auch das Schutzniveau überprüft und ggf. angepasst werden.

PRAXISTIPPS

  • Identifizieren Sie vorhandene Eigenprogrammierungen im File-System und bilden aus der Gesamtmenge eine händelbare Stichprobe von z. B. 10 %.
    Beispiel einer Abfrage nach Excel-Tabellen auf dem Laufwerk O:
    for /f “delims=” %i in (‘dir o:*.xl* /s /b’) do @echo %~ti;%~zi;%~dpi;%~nxi >> C:Scanlauf_xls-lw-o.txt
  • Besprechen Sie das Ergebnis der Stichprobe mit den Fachverantwortlichen. Evtl. können auch IDV-Anwendungen gelöscht werden.
  • Erfassen Sie die bestehenden Anwendungen mit ihren Grunddaten wie oben beschrieben (Dateiname, Speicherort, Beschreibung, usw.).
  • Ermitteln Sie das Schutzniveau jeder einzelnen Anwendung Anhand der dokumentierten Einstufung (niedrig, mittel, hoch und sehr hoch)
  • Ordnen Sie die Anwendung den Geschäftsprozessen zu und ermitteln so evtl. Sicherheitslücken.
  • Führen Sie eine Risikoanalyse der GAP durch und leiten ggf. entsprechende Maßnahmen (z. B. „Blattschutz“ oder „Änderungen nachverfolgen“ in Excel) ein, um das Schutzniveau der Anwendung zu erhöhen.

 

 

 

Beitragsnummer: 47239

Software aus Fremdbezug vs. Auslagerung, Risikoanalysen/-bewertung

Jürgen Krug, IT-Revisor, Zentralrevision, Frankfurter Sparkasse

Das Auslagerungsmanagement hat in den letzten Jahren enorm an Bedeutung gewonnen. Allein die Herausforderungen wie IT-Sicherheitsgesetz, EU-Datenschutzgrundverordnung, Digitalisierung und Cloud-Computing, um nur einige zu nennen, verstärken diesen Aspekt. In der Regel hat mittlerweile jedes Unternehmen entsprechende, zielführende Strukturen und Prozesse implementiert, bei denen die Dienstleister in unterschiedlicher Ausprägung berücksichtigt werden. Das zentrale Auslagerungsmanagement bündelt die für die Steuerung der Dienstleister bedeutenden Tätigkeiten.

Reicht das noch oder muss jetzt alles aufgrund der neuen bzw. verschärften Anforderungen der MaRisk und den BAIT über Bord geworfen werden? Auch wenn dies grundsätzlich sinnvoll wäre, ist es unter Berücksichtigung der personellen Ressourcen zielführender, auf dem Vorhandenen aufzubauen.

SEMINARTIPPS

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.

Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.

Was ist jetzt grundlegend anders? Viele Jahre wurde intensiv über die Wesentlichkeit von Auslagerungen diskutiert, während jetzt das Risiko im Fokus steht. Daher müssen Institute konsequent und ausführlich das Risiko bestehender und geplanter Software-Auslagerungen analysieren, dokumentieren, mit dem eigenen Risikobedarf vergleichen, in das Risikomanagement überführen und ggf. entsprechende Maßnahmen einleiten.

Das Auseinandersetzen und Verstehen der neuen Anforderungen als Voraussetzung für eine zielgerichtete Anpassung der institutseigenen Regelungen hat gezeigt, dass neben der unterschätzten Aufgabenvielfalt auch viel Interpretationsspielraum gegeben ist. Dass viele (Auslegungs-)Fragen noch nicht einheitlich verständlich sind und dadurch noch Verwirrung besteht, wird durch Gespräche u. a. mit Prüfern der Aufsicht und Juristen bestätigt. Insbesondere die Diskussion, ob es sich um eine Auslagerung oder einen sonstigen Fremdbezug von IT-Dienstleistungen handelt, beinhaltet Zündstoff.

Was heißt das nun konkret? Schauen wir uns zunächst einige Aspekte an, die primär im Institut diskutiert und festgelegt werden sollten:

  • Unterscheidung zwischen Auslagerung und Fremdbezug
  • Auswirkungen auf bestehende Risikoanalysen – neues Denkmodell-Risiko
  • Inventarisierung vorhandener Auslagerungen und Fremdbezüge
  • Anforderungen an die Schutzbedarfsanalyse und Schutzbedarfsklassifizierung von Software und auch der individuellen Datenverarbeitung (IDV)
  • Vertragliche Gestaltung und Verpflichtungen des Auslagerungsunternehmens, auch bei Weiterverlagerungen
  • Anforderungen an eine Exit-Strategie und Bewertung der dadurch entstehenden IT-Risiken

Die neuen Anforderungen haben logischerweise auch Einfluss auf die Revisionstätigkeit und führen zu (neuen) Schwerpunkten nicht nur für die Interne Revision. Neben der Sicherstellung einer wirksamen Überwachung (u. a. durch Risikoreports des Dienstleisters) der vom Auslagerungsunternehmen erbrachten Dienstleistungen sind u. a. die Schwachstellen bei der Risikoanalyse von Software-Auslagerungen und -Fremdbezügen (z. B. Risikokonzentrationen) sowie die Transparenz und Steuerbarkeit von Cloud-Anwendungen zu bewerten. Die Anwendung des Proportionalitätsprinzips sollte mit Augenmaß erfolgen.

Als Fazit bleibt festzuhalten, dass wir alle mitten in der Lernkurve sind. Durch die Analyse der vorhandenen Regelungen werden die Defizite transparent und der notwendige Handlungsbedarf offensichtlich. Gerade der neue „Risikodenkansatz“ stellt Herausforderungen in der Zusammenarbeit mit dem Risikomanagement dar. Die Stellschrauben müssen hausindividuell adjustiert werden, um die Weichen im Sinne eines funktionsfähigen Informationsrisikomanagement richtig zu stellen. Es ist noch eine Menge zu tun!

PRAXISTIPPS

  • Setzen Sie sich intensiv mit den neuen Anforderungen, insbesondere MaRisk AT 9 und BAIT 8 auseinander, bewerten Sie diese unter Berücksichtigung der vorhandenen Prozesse und dokumentieren Sie die Entscheidungen.
  • Setzen Sie auf Best Practices und nutzen Sie die Handlungsempfehlungen von Prüfern der Aufsicht, Juristen und Verbänden.
  • Bleiben Sie thematisch „am Ball“, damit Sie eventuelle Klarstellungen frühzeitig mitbekommen und rechtzeitig darauf reagieren können.

 

Beitragsnummer: 47066

Vernetzung von IT- und Fachprüfern in der Revisionsarbeit

IT-Prüfer als revisionsinterne Multiplikatoren

Andreas Freßmann, Leiter Produktions- und Steuerungsrevision, Sparkasse Münsterland Ost

Die durchgängig IT-gestützte Banksteuerung, bei hohem fachlichen Spezialisierungsgrad und die ggf. revisionsseitig bestehende Notwendigkeit zur Durchführung von eigenen Datenanalysen im Rahmen von Prüfungen erfordern in der Prüfungspraxis eine immer stärkere Vernetzung von IT- und Fachprüfern. Nach einer Übergangsfrist, in der die Grenzen zwischen IT- und Fachprüfern fließend sind, sehen die Auguren mehrheitlich, dass, mit Ausnahme spezifischer Kenntnisse zum Audit der IT-Infrastruktur, die zwei Disziplinen mehr und mehr verschmelzen. Dabei wird es weiterhin Ausprägungen geben mit einem eher betriebswirtschaftlichen Schwerpunkt und einem mehrheitlichen Anteil an Informatik-Expertise. Eine absolute Trennung der Disziplinen, wie zum Teil heute in den Revisionen vorhanden, wird es in Zukunft wohl nicht mehr geben.

BUCHTIPP

 

Weimer (Hrsg.), Bearbeitungs- und Prüfungsleitfaden: Datenschutz, IT-Sicherheit & Cyberrisiken 4. Aufl. 2017.

 

In mittleren und großen Revisionen lässt sich das notwendige Gesamtwissen für ein Prüfungsobjekt vorausschauend durch die Zusammenstellung von Prüfungsteams mit entsprechenden Schwerpunktkompetenzen abbilden. Kleinere Revisionen können diese Fähigkeiten aufgrund ihrer begrenzten Ressourcen entweder zukaufen oder verfügen im besten, aber sehr seltenen Fall über Prüfer mit einer hervorragenden Allround-Ausbildung, um einen möglichst hohen Abdeckungsgrad in einer Prüfung zu erreichen.

Ziel ist in jedem Fall die fachliche und personelle Integration der beiden Disziplinen. Nachfolgend wird deshalb über konkrete Maßnahmen berichtet, um diese Integration aktiv zu fördern:FCH Compliance LogoIT-Prüfer als revisionsinterne Multiplikatoren

In einem ersten Schritt sind die IT-Prüfer herausgefordert, ihr spezifisches Know-how im Rahmen der revisionsinternen Wissensvermittlung adressatengerecht weiterzugeben. Der besondere Anspruch liegt dabei darin, Detailwissen nachvollziehbar und verständlich zu machen. Gegenfalls sind hier unterstützend auch die Coaching-Qualitäten der Revisionsleitungen gefordert. Und je verständlicher der Wissenstransfer gelingt, umso mehr nimmt gleichzeitig die Scheu der Fachprüfer ab, sich zukünftig verstärkt mit IT-Themen zu befassen.

IT-Themen als Regelprüfungsgegenstand bei jeder Prüfung

In analoger Anwendung der Prüfungsberichtsverordnung ist der Prüfer verpflichtet, über wesentliche Änderungen bei den IT-Systemen im geprüften Bereich zu berichten und die entsprechenden IT-Projekte im Prüfungsbericht aufzuführen. Darüber hinaus muss der Prüfer ausführlich über die IT-Systeme des geprüften Bereiches berichten. So hat er zu bewerten, ob die organisatorischen, personellen und technischen Vorkehrungen zur Sicherstellung der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit der bankaufsichtlich relevanten Daten angemessen sind und wirksam umgesetzt wurden. Die IT-Systemprüfung ist folglich integraler Bestandteil jeder Aufbauprüfung im Rahmen eines risikoorientierten Prüfungsansatzes. Um die Zusammenarbeit der IT- und Fachprüfer zu fördern und eine engere und qualitativ hochwertige Zusammenarbeit zu ermöglichen, sind die IT-Prüfer jeweils zu den Prüfungen hinzuzuziehen. In diesem Zusammenhang sind dann bei Aufbauprüfungen verpflichtend die für den zu prüfenden Gegenstand seitens des Fachbereiches verwendeten IT-Anwendungen aufzunehmen. Hierbei ist zwischen Standard-Anwendungen und IDV-Anwendungen zu unterscheiden. Die im Rahmen der Prüfung zu stellenden Anforderungen ergeben sich aus AT 7.2 Tz. 2 MaRisk. Bezüglich des Einsatzes von IDV ist zu erheben, ob es sich um bankfachliche und/oder rechnungslegungsrelevante Anwendungen handelt. Trifft eine der genannten Kriterien zu, so sind die gleichen Anforderungen an die IDV zu stellen, wie diese auch für Standardanwendungen zugrunde zu legen sind. Zusätzlich wird geprüft, ob Effizienzgewinne aus der Digitalisierung im geprüften Bereich konsequent realisiert wurden bzw., wenn das nicht der Fall ist, ob Effizienzgewinne aus Digitalisierung realistisch möglich sind. Falls solche Ansätze identifiziert werden, ist zu beschreiben, wie diese zu heben sind. Besondere Expertise besitzen IT-Prüfer regelmäßig auch in der Beurteilung des Internen Kontrollsystems. Auch bei diesem Prüffeld kann im Rahmen einer Aufbauprüfung in Zusammenarbeit mit dem Prozessprüfer ein gemeinsames Prüfungsurteil erarbeitet werden.

Aufgabenanreicherung der IT-Prüfer um Steuerungsthemen

Umgekehrt führt der Einbezug der IT-Prüfer in die Aufbauprüfungen auch bei diesen zu einer fachlich breiteren Aufstellung. Mit der Einbindung der IT-Prüfer in das Prüfungsteam verbunden ist auch eine Verantwortungsübernahme für das Gesamtergebnis der Prüfung.

SEMINARTIPPS

Datenrisiken im Kreditgeschäft, 04.12.2018, Frankfurt/M.

Aktuelle Offenlegung von Finanz- & Risikodaten, 06.12.2018, Frankfurt/M.

8. Fachtagung Revision Risikomanagement, 25.–26.03.2019, Köln.

Prüfung Risikoberichtswesen, 11.04.2019, Frankfurt/M.

Prüfung neue interne Governance-Vorgaben, 16.05.2019, Hamburg.

Prüfung Datenqualität, 21.05.2019, Frankfurt/M.

Prüfung DSGVO-Umsetzung, 22.–23.05.2019, Frankfurt/M.

 

IT-Prüfer regelmäßig in Projektarbeit, Veränderungsprozesse gem. AT 8 MaRisk und in die Weiterentwicklung der Revisionsarbeit einbinden

IT-Prüfer neben den Fachprüfern als zusätzliche Stakeholder eines Projekts bzw. von betrieblichen Veränderungsprozessen zu betrachten, hilft konkret dabei, spätere Probleme zu vermeiden oder abzumildern. Die (Verbesserungs-)Vorschläge der Prüfer erst ex post nach der Implementierung eines Projektergebnisses umzusetzen, wird erfahrungsgemäß sehr schwierig. Die Methode der Einbindung spart Zeit und Geld und ist darüber hinaus auch ein sinnvoller Weg, um ein positives Miteinander mit den Prüfern zu initiieren. Auch revisionsintern können die spezifischen Qualifikationen der IT-Prüfer bei der Weiterentwicklung der Prüfungsmethodologie nutzbar gemacht werden. Diese Weiterentwicklungen sind umso praxistauglicher, als die IT-Prüfer aus einem Fundus konkreter Prüfungserfahrungen schöpfen können.

Die vorgenannten Maßnahmen tragen zur verstärkten Integration von IT- und Fachprüfern bei, mit dem Ziel revisionsseitig kompetente, agile, kommunikationsstarke und lösungsorientierte Prüfungsteams zum Einsatz zu bringen.

PRAXISTIPPS

Die Vernetzung von IT- und Fachprüfern mit dem Ziel der Integration der beiden Prüfungsdisziplinen kann durch folgende konkrete Maßnahmen gefördert werden:

  • IT-Prüfer als Multiplikatoren
  • IT-Themen als Regelprüfungsgegenstand in jeder Prüfung
  • Aufgabenanreicherung der IT-Prüfer um Steuerungsthemen
  • Regelmäßige Einbindung IT-Prüfer in Projektarbeit, Veränderungsprozesse gem. AT 8 MaRisk und die Weiterentwicklung der Revisionsarbeit.

Beitragsnummer: 46552

Konflikt zwischen Frühwarnindikatoren und EU-DSGVO

Sarah Wagner, Leiterin Interne Revision Sparkasse Bühl

Die Regulierung des Umgangs mit personenbezogenen Daten aus dem persönlichen Umfeld des Kunden nimmt immer stärker zu. Bei der Speicherung und Verwendung müssen die Institute auf den Prüfstand stellen, welche dieser Daten im Rahmen des Frühwarnverfahrens erhoben werden dürfen. Es ergibt sich ein stetig zunehmender Interessenskonflikt zwischen der EU-Datenschutzgrundverordnung, die den Schutz der kundenbezogenen Daten in den Vordergrund stellt und den Mindestanforderungen an das Risikomanagement, die eine angemessene und rechtzeitige Identifizierung der Risikomerkmale eines Kreditengagements fordern.

Das Frühwarnsystem lt. MaRisk

Laut BTO 1.2.4 und BTO 1.3 der MaRisk hat jedes Institut ein System zur frühzeitigen Erkennung von sich im Kreditgeschäft abzeichnenden Risiken zu implementieren. Als Grundlage des Frühwarnsystems sind Kriterien für den Übergang in die gesonderte Beobachtung zu definieren (Intensivbetreuung). Diese sollen eine zügige Identifikation von problembehafteten Engagements und somit eine frühzeitige Einleitung von geeigneten Maßnahmen ermöglichen.

Die Hauptbestandteile des Frühwarnsystems sind:

  1. Strukturierte Sammlung von Informationen
  2. Umwandlung der gewonnenen Informationen in Risikokategorien/Risikomerkmale
  3. Ableitung von standardisierten Maßnahmen zur Gegensteuerung

Die Einrichtung eines solchen Verfahrens ist für die Kreditinstitute verpflichtend.

 SEMINARTIPPS

Prüfung MaRisk-Umsetzung, 18.03.2019, Frankfurt/M.

Prüfung Datenqualität, 21.05.2019, Frankfurt/M.

Prüfung Frühwarnverfahren, 08.10.2019, Frankfurt/M.

 

Auszüge aus den MaRisk

BTO 1.2.4 Intensivbetreuung

Das Institut hat Kriterien festzulegen, wann ein Engagement einer gesonderten Beobachtung (Intensivbetreuung) zu unterziehen ist. (…) Die einer Intensivbetreuung unterliegenden Engagements sind nach einem festzulegenden Turnus auf ihre weitere Behandlung hin zu überprüfen (weitere Intensivbetreuung, Rückführung in die Normalbetreuung, Abgabe an die Abwicklung oder die Sanierung).

BTO 1.3. Verfahren zur Früherkennung von Risiken

Das Verfahren zur Früherkennung von Risiken dient insbesondere der rechtzeitigen Identifizierung von Kreditnehmern, bei deren Engagements sich erhöhte Risiken abzuzeichnen beginnen. Damit soll das Institut in die Lage versetzt werden, in einem möglichst frühen Stadium Gegenmaßnahmen einleiten zu können (z. B. Intensivbetreuung von Engagements). Für diese Zwecke hat das Institut auf Basis quantitativer und qualitativer Risikomerkmale Indikatoren für eine frühzeitige Risikoidentifizierung zu entwickeln (…).

Warnsignale zur Risikofrüherkennung

Zur frühzeitigen Erkennung von sich abzeichnenden Risiken werden bestimmte Merkmale mit Messgrößen und Definitionen benötigt. Diese Warnsignale lassen sich in quantitative und qualitative Merkmale unterteilen. Bei den quantitativen Frühwarnindikatoren handelt es sich um Merkmale, die beispielsweise anhand der Kontodaten und der Bilanzanalyse gemessen werden können. Zur Messung werden keine Daten aus dem persönlichen Umfeld des Kunden erhoben. Dies steht im Gegensatz zu den qualitativen Frühwarnindikatoren. Bei den qualitativen Indikatoren handelt es sich um Erkenntnisse, die sich für den Berater meist aus Gesprächen mit dem Kunden ergeben. Hierbei kann es sich z. B. um gefährdende Verände-rungen innerhalb des Unternehmens, dessen Umfeld/Marktumgebung oder Sachverhalte aus dem privaten Umfeld des Kunden handeln. Ein Beispiel hierfür stellt eine auffällige Personalfluktuation dar.

 BUCHTIPP

Janßen/Riediger (Hrsg.), Praktikerhandbuch Risikoinventur, 2015.

 

Personenbezogene Daten gemäß EU-DSGVO

Zum 25.05.2018 trat die neue EU-Datenschutzgrundverordnung in Kraft. Sie regelt den Umgang mit personenbezogenen Daten. Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Neben den allgemeinen personenbezogenen Daten existieren besondere Kategorien personenbezogener Daten, die ein höheres Schutzniveau genießen. Zu diesen gehören u. a. der Gesundheitszustand, die Sexualität, die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Ge-werkschaftszugehörigkeit des Betroffenen. Die Verarbeitung dieser Daten darf nur mit der ausdrücklichen Einwilligung der betroffenen Person erfolgen.

MaRisk vs. EU-DSGVO

Aufgrund der neuen EU-DSGVO sind bestimmte Warnsignale als datenschutzrechtlich problematisch einzustufen. Die als kritisch zu wertenden Warnsignale lassen Rückschlüsse auf besondere personenbezogene Daten von Einzelpersonen zu, für die nach der neuen EU-DSGVO eine ausdrückliche Einwilligung des Kunden zu ihrer Verarbeitung notwendig ist. Hierunter fallen z. B. Beeinträchtigungen der geistigen und körperlichen Leistungsfähigkeit oder schwere Erkrankung der Geschäftsführung. Diese stellen einen Eingriff in die Persönlichkeitsrechte des Kunden dar und sollten keine Anwendung mehr finden, um eine Verletzung des Datenschutzrechtes zu verhindern. Gleichzeitig ist einer angemessenen Beurteilung der Risiken, die einen Einfluss auf das Kreditengagement des Kunden haben, Rechnung zu tragen. Um den Balanceakt zwischen der Erfassung der notwendigen Frühwarnindikatoren zur Beurteilung der Risiken und die von der EU-DSGVO geforderte restriktive Speicherung und Verwendung der Daten zu meistern, werden die Institute in den kommenden Jahren vor erhebliche Herausforderungen gestellt werden.

PRAXISTIPPS

  • Explizite Kundeneinwilligungen für die erhobene besondere Datenkategorie einholen.
  • Überprüfung der verwendeten Frühwarnindikatoren auf ihre Konformität nach EU-DSGVO.
  • Ausschließliche Verwendung von EU-DSGVO-konformen Warnsignalen.
  • Implementierung von EU-DSGVO-konformen Löschkonzepten.

 

 

Beitragsnummer: 45012