Risk Management

Öffentliches WLAN, Störerhaftung und Vorratsdatenspeicherung

Immer mehr Unternehmen wollen auch ihren Gästen den Zugang zum Internet ermöglichen. Häufig wird dabei auf ein öffentliches WLAN Netzwerk oder Gastzugänge zurückgegriffen.

Software testen - mit den richtigen Daten

Software testen: Ein immer wieder brisantes Thema bei der Softwareerstellung ist die Testdatenbereitstellung oder -aufbereitung. Gerne werden hierzu Echtdaten benutzt, da diese Daten selbstverständlich der Komplexität der Realität am nächsten kommen und im Verhältnis leicht und kostengünstig zu beschaffen sind. Noch dazu lassen sich ganze Testsysteme durch einfache Kopie des Produktivsystems aufbauen und immer wieder aktualisieren.

Ein Gesetz zur Sicherung der digitalen Welt Deutschlands – Beitrag zur Sicherung des Wirtschaftsstandortes Deutschland oder mehr?

Bild 1Ist es wirklich nötig, ein Gesetz zu erlassen, um die Unternehmen und Verwaltungen dieses Landes zu mehr Sicherheits­aufwendungen im Bereich der digitalen Infrastruktur zu animieren?

Die Bundesregierung hat, durch das Bundesministerium des Inneren, einen der elementaren Bausteine ihrer „Digitalen Agenda“, vorgestellt am 20.08.2014, am 19.08.2014 als Referentenentwurf  veröffentlicht – das „IT-Sicherheitsgesetz“ (Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz).

Dokumentation der Geschäftsprozesse - Richtlinienmanagement, Policies & Procedures

Dokumentation der Geschäftsprozesse: Mehrwertverbundene Tätigkeit oder lästige Pflichtaufgabe, um interne, aufsichtsrechtliche bzw. gesetzliche Vorgaben zu erfüllen?

Die Meinungen gehen oft auseinander und die Frage ist in Einzelfällen nicht einfach zu beantworten. Die Dokumentation der Aufbau- und Ablauforganisation ist grundsätzlich mit einem Mehrwert verbunden und sollte immer aktuell vorhanden sein. Sie kann jedoch das Ziel verfehlen, wenn in einem Unternehmen ein „Dokumentationswahn“ ohne strukturiertes Vorgehen herrscht und der Durchblick verloren geht bzw. die notwendigen Kapazitäten nicht vorhanden sind um die Anforderungen umzusetzen. Die Begleiterscheinungen sind dann oft die folgenden:

  • Fehlende Aktualisierung in einem sich schnell wandelnden Umfeld:
  • Organisationen erstellen ohne klare Vorgaben Dokumentationen mit unterschiedlicher Struktur und Umfang
  • Fehlende Ordnung und Transparenz, da in den Dokumenten nicht auf Schnittstellenpapiere verwiesen wird
  • Zentrale, wesentliche Punkte verlieren sich in langen und umfangreichen Ausführungen
  • Mitarbeiter werden von der Vielzahl an Dokumenten „erschlagen“, da eine zielgruppengerechte Verteilung nicht stattfindet
  • Fehlende Abgrenzungen zwischen Papieren führen dazu, dass Themen doppelt aufgegriffen werden und mit unterschiedlichen Ständen oder widersprüchlich vorliegen
  • Dokumente können nicht aufgefunden werden bzw. die aktuelle Version ist nicht eindeutig erkennbar

Die Grundlage für die Vermeidung der eben aufgeführten Punkte bildet ein effektives Rahmenwerk für Dokumentenerstellung und –verwaltung (Richtlinienmanagement), welches in einfacher Ausprägung Nachfolgendes berücksichtigt:

Cloud Computing – Herausforderungen für Anbieter und Vertriebe von Cloud-Lösungen

Cloud-Computing ist ein wachsendes Geschäftsfeld, welches die klassischen Strukturen und bestehenden Geschäftsmodelle in der IT nachhaltig verändern wird. Trotz der viel diskutierten Sicherheitsbedenken werden Unternehmen nicht zuletzt wegen des steigenden Kostendrucks und diverser Vorteile die Nutzung von Cloud Lösungen in Betracht ziehen. Für viele Anbieter bzw. den Vertrieb von Cloud Lösungen erfordert dieser Wandel ebenfalls ein Umdenken in der eigenen Organisation und im Produktportfolio.

Mindestanforderung an die Compliance-Funktion (MaComp)

MaComp – Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für  Wertpapierdienstleistungsunternehmen

 

Am 07. Januar 2014 wurde von der BaFin die vierte Version der MaComp (Rundschreiben der BaFin vom (4/2010) veröffentlicht.

Durch die Einführung sind eine Reihe von Unternehmensbereichen einer Kapitalverwaltungsgesellschaft mit Aufgabenstellungen zu betrauen, die koordiniert werden müssen. So sind z.B. neben Mitarbeitergesprächen Abstimmungen zwischen Bereichen wie z.B. Geschäftsführung, HR, Legal, Compliance, Beschwerdeabwicklung, Außendienst, Kundenbindung, Produktentwicklung, Analysten, Vertrieb und Trading Departments vorzunehmen.

PS 951, SSAE 16 und ISAE 3402 kurz und bündig erklärt

Schaubild BerichtswegDer nachfolgende Beitrag soll die beiden Prüfungs- bzw. Berichtsstandards nicht im Detail untersuchen und analysieren, sondern dem Leser einen Überblick verschaffen, in welchem Kontext diese Begrifflichkeiten zu sehen sind und was sich dahinter verbirgt.

Im Zuge der immer stärkeren Fokussierung auf interne Kontrollsysteme stellt sich die Frage, wie die Prozesse und internen Kontrollen bei Shared-Service Centern oder Outsourcing-Dienstleistern geprüft und beurteilt werden sollen. Immer öfter stellt sich die Frage nach einer "Zertifizierung" nach PS 951, ISAE 3402 oder auch SSAE 16.

Einsatz von IT-Lösungen in Risikomanagement-Systemen

Aufgrund neuer aufsichtsrechtlicher Anforderungen und damit einhergehend einer steigenden Komplexität ist eine ordnungsgemäße und effektive Durchführung von Prozessen in einem Risikomanagement‑System ohne technische Unterstützung schwer umsetzbar. Während kleinere Unternehmen mit Hilfe von Microsoft Excel ihre Risiken noch erfassen können, gelangen große Unternehmen und vor allem Konzerne ohne professionelle IT-Lösungen schnell an die Grenzen des Möglichen. Die größte Gefahr besteht darin, dass durch Standardlösungen (wie MS Excel) und hohem manuellem Aufwand Risiken zwar in irgendeiner Weise dokumentiert werden, aber durch die geringen Auswertungs- und Kontrollmöglichkeiten wichtige Schritte in einem Risikomanagement‑System nur begrenzt durchgeführt werden können und die anvisierte Transparenz nicht in erforderlichem Maße vorliegt. In solchen Fällen ist es nicht unüblich, dass unzählige Dokumentationen angefertigt werden, das Risikomanagement aber als solches nur bedingt gelebt wird.

Seiten