Richtlinienmanagement mit PolicyHub
Aktives Policy Management und den Policy Lifecycle unterstützen durch den Einsatz geeigneter, zielgerichteter Werkzeuge (Policy Lifecycle Management bzw. Richtlinienmanagement-Software)
(IT) Compliance/(IT) Governance
Cloud Computing – Herausforderungen für Anbieter und Vertriebe von Cloud-Lösungen
Cloud Computing ist ein wachsendes Geschäftsfeld, welches die klassischen Strukturen und bestehenden Geschäftsmodelle in der IT nachhaltig verändern wird. Herausforderungen stellen insbesondere die Themen Finanzplanung (für Anbieter) und Governance (für Endkunden) dar.
Mindestanforderung an die Compliance-Funktion (MaComp)
MaComp – Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für Wertpapierdienstleistungsunternehmen
Am 07. Januar 2014 wurde von der BaFin die vierte Version der MaComp (Rundschreiben der BaFin vom (4/2010) veröffentlicht.
Durch die Einführung sind eine Reihe von Unternehmensbereichen einer Kapitalverwaltungsgesellschaft mit Aufgabenstellungen zu betrauen, die koordiniert werden müssen. So sind z.B. neben Mitarbeitergesprächen Abstimmungen zwischen Bereichen wie z.B. Geschäftsführung, HR, Legal, Compliance, Beschwerdeabwicklung, Außendienst, Kundenbindung, Produktentwicklung, Analysten, Vertrieb und Trading Departments vorzunehmen.
SAS 70 abgelöst
Der Standard SAS 70 ist seit einigen Jahren überholt und verschwindet zunehmend auch aus dem Sprachgebrauch.
PS 951, SSAE 16 und ISAE 3402 kurz und bündig erklärt
Der nachfolgende Beitrag soll die beiden Prüfungs- bzw. Berichtsstandards nicht im Detail untersuchen und analysieren, sondern dem Leser einen Überblick verschaffen, in welchem Kontext diese Begrifflichkeiten zu sehen sind und was sich dahinter verbirgt.
Im Zuge der immer stärkeren Fokussierung auf interne Kontrollsysteme stellt sich die Frage, wie die Prozesse und internen Kontrollen bei Shared-Service Centern oder Outsourcing-Dienstleistern geprüft und beurteilt werden sollen. Immer öfter stellt sich die Frage nach einer "Zertifizierung" nach PS 951, ISAE 3402 oder auch SSAE 16.
ISO 27001:2013 – Alter Wein in neuen Schläuchen?
Die Internationale Organisation für Standardisierung (ISO) und die Internationale Electrontechnical Commission (IEC) haben den Standard "Information technology - Security techniques - Information security management systems - Requirements", bekannt auch als ISO-27001-Standard, überarbeitet und im Oktober 2013 in der finalen Version ISO 27001:2013, als Mitglied der ISO 2700x-Famile veröffentlicht, durch welche die Vorgängerversion ISO 27001:2005 abgelöst wird.
Die Frage, die sich stellt, ist, ob es sich hierbei um "alten Wein in neuen Schläuchen" handelt oder ob sich tatsächlich Veränderungen ergeben haben.
In diesem Beitrag werden Ihnen die Veränderungen an dem Standard, die mit der Überarbeitung des Standards ISO/ICE 27001:2005 einhergegangen sind, stichpunktartig aufgezeigt bzw. anhand von Grafiken und Tabellen entsprechend visualisiert.
Trügerische Sicherheit im Compliance Management?
Welche Ziele verfolgt ein Compliance Management System?
Ist das Compliance Management System tatsächlich sicher?
Welche Art der Wirksamkeitsprüfung des Compliance Management Systems (nicht zu verwechseln mit "Compliance-Audits" wird durchgeführt?
Diese und andere Fragen stellt eine aktuelle Studie, die Klaus-Dieter Krause, Partner der compliance-net GmbH, interpretiert und in einen Kontext rückt.
Das Dokument steht zum Download zur Verfügung und beinhaltet eine Reihe von Quellenangaben und weiterführende Links.
Update: Zu einer Standortbestimmung einzelner Compliance-Bereiche, lesen Sie hier weiter.
Einsatz von IT-Lösungen in Risikomanagement-Systemen
Aufgrund neuer aufsichtsrechtlicher Anforderungen und damit einhergehend einer steigenden Komplexität ist eine ordnungsgemäße und effektive Durchführung von Prozessen in einem Risikomanagement‑System ohne technische Unterstützung schwer umsetzbar. Während kleinere Unternehmen mit Hilfe von Microsoft Excel ihre Risiken noch erfassen können, gelangen große Unternehmen und vor allem Konzerne ohne professionelle IT-Lösungen schnell an die Grenzen des Möglichen. Die größte Gefahr besteht darin, dass durch Standardlösungen (wie MS Excel) und hohem manuellem Aufwand Risiken zwar in irgendeiner Weise dokumentiert werden, aber durch die geringen Auswertungs- und Kontrollmöglichkeiten wichtige Schritte in einem Risikomanagement‑System nur begrenzt durchgeführt werden können und die anvisierte Transparenz nicht in erforderlichem Maße vorliegt. In solchen Fällen ist es nicht unüblich, dass unzählige Dokumentationen angefertigt werden, das Risikomanagement aber als solches nur bedingt gelebt wird.
Datenanalyse, JET Testing
Datenanalysen können bei der Prüfung der Einhaltung von Vorschriften (Compliance) helfen.
IT Systeme reflektieren einen großen Teil der Unternehmensprozesse und spiegeln daher auch wider, wenn es zu Abweichungen oder Verstößen kommt. Hierzu kommt beispielsweise das sogenannte "Journal Entry Testing (JET Testing) zum Einsatz, bei dem der Buchungsstoff nach bestimmten Kriterien untersucht wird. Im Rahmen der Jahresabschlussprüfung kommt dieses Verfahren zunehmend zum Einsatz, aber auch Unternehmen nutzen diese Art der Datenanalyse, um flexible Einblicke in die Datenbestände zu bekommen.
Data Quality Analysis ist ebenfalls mittels Datenanalysen durchführbar. Dubletten in den Stammdaten, Inkonsistenzen im Materialbestand oder schnelle Abgleiche von Daten zwischen mehreren Systemen. Auch Analysen der Benutzerdaten oder Protokollauswertungen sind praktische Beispiele.
Neufassung des IDW PS 951
Das IDW hat am 4. November 2013 eine neue Fassung des PS 951 "Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen" verabschiedet. Mit der Neuauflage werden u.a. die Anforderungen des ISAE 3402 umgesetzt und weitere Konkretisierungen vorgenommen.
Die wesentlichen Änderungen sind: