Risikomanagement

Risikomanagement

Mindestanforderung an die Compliance-Funktion (MaComp)

Mindestanforderung an die Compliance-Funktion im FokusMaComp – Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für  Wertpapierdienstleistungsunternehmen

 

Am 07. Januar 2014 wurde von der BaFin die vierte Version der MaComp (Rundschreiben der BaFin vom (4/2010) veröffentlicht.

Durch die Einführung sind eine Reihe von Unternehmensbereichen einer Kapitalverwaltungsgesellschaft mit Aufgabenstellungen zu betrauen, die koordiniert werden müssen. So sind z.B. neben Mitarbeitergesprächen Abstimmungen zwischen Bereichen wie z.B. Geschäftsführung, HR, Legal, Compliance, Beschwerdeabwicklung, Außendienst, Kundenbindung, Produktentwicklung, Analysten, Vertrieb und Trading Departments vorzunehmen.

PS 951, SSAE 16 und ISAE 3402 kurz und bündig erklärt

Schaubild BerichtswegDer nachfolgende Beitrag soll die beiden Prüfungs- bzw. Berichtsstandards nicht im Detail untersuchen und analysieren, sondern dem Leser einen Überblick verschaffen, in welchem Kontext diese Begrifflichkeiten zu sehen sind und was sich dahinter verbirgt.

Im Zuge der immer stärkeren Fokussierung auf interne Kontrollsysteme stellt sich die Frage, wie die Prozesse und internen Kontrollen bei Shared-Service Centern oder Outsourcing-Dienstleistern geprüft und beurteilt werden sollen. Immer öfter stellt sich die Frage nach einer "Zertifizierung" nach PS 951, ISAE 3402 oder auch SSAE 16.

Einsatz von IT-Lösungen in Risikomanagement-Systemen

Aufgrund neuer aufsichtsrechtlicher Anforderungen und damit einhergehend einer steigenden Komplexität ist eine ordnungsgemäße und effektive Durchführung von Prozessen in einem Risikomanagement‑System ohne technische Unterstützung schwer umsetzbar. Während kleinere Unternehmen mit Hilfe von Microsoft Excel ihre Risiken noch erfassen können, gelangen große Unternehmen und vor allem Konzerne ohne professionelle IT-Lösungen schnell an die Grenzen des Möglichen. Die größte Gefahr besteht darin, dass durch Standardlösungen (wie MS Excel) und hohem manuellem Aufwand Risiken zwar in irgendeiner Weise dokumentiert werden, aber durch die geringen Auswertungs- und Kontrollmöglichkeiten wichtige Schritte in einem Risikomanagement‑System nur begrenzt durchgeführt werden können und die anvisierte Transparenz nicht in erforderlichem Maße vorliegt. In solchen Fällen ist es nicht unüblich, dass unzählige Dokumentationen angefertigt werden, das Risikomanagement aber als solches nur bedingt gelebt wird.

Datenanalyse, JET Testing

Datenanalysen können bei der Prüfung der Einhaltung von Vorschriften (Compliance) helfen.

IT Systeme reflektieren einen großen Teil der Unternehmensprozesse und spiegeln daher auch wider, wenn es zu Abweichungen oder Verstößen kommt. Hierzu kommt beispielsweise das sogenannte "Journal Entry Testing (JET Testing) zum Einsatz, bei dem der Buchungsstoff nach bestimmten Kriterien untersucht wird. Im Rahmen der Jahresabschlussprüfung kommt dieses Verfahren zunehmend zum Einsatz, aber auch Unternehmen nutzen diese Art der Datenanalyse, um flexible Einblicke in die Datenbestände zu bekommen.

Data Quality Analysis ist ebenfalls mittels Datenanalysen durchführbar. Dubletten in den Stammdaten, Inkonsistenzen im Materialbestand oder schnelle Abgleiche von Daten zwischen mehreren Systemen. Auch Analysen der Benutzerdaten oder Protokollauswertungen sind praktische Beispiele.

Neufassung des IDW PS 951

Das IDW hat am 4. November 2013 eine neue Fassung des PS 951 "Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen" verabschiedet. Mit der Neuauflage werden u.a. die Anforderungen des ISAE 3402 umgesetzt und weitere Konkretisierungen vorgenommen.

Die wesentlichen Änderungen sind:

TAX Compliance / VAT Control

VAT Control FrameworkDas Management von Unternehmen ist sich in der näheren Vergangenheit seiner Verantwortung für das Risikomanagement bewusst geworden. Hierzu hat nicht zuletzt auch die öffentliche Diskussion zu diesem Thema beigetragen.

Während es für eine Vielzahl von Unternehmensbereichen inzwischen probate Lösungen gibt und Compliance-Beauftragte in großer Zahl ernannt werden, ist der Bereich der indirekten Steuern vielfach noch ein Gebiet, das durch diese Maßnahmen nicht erfasst wird.

IT-Grundschutzkatalog des BSI: Eine Basis für das Risikomanagement zur Erhebung von IT-Risiken in der IT und in den Fachbereichen

Im Rahmen der Risikoidentifizierung ist das Thema IT ein wesentlicher Bestandteil. Dabei werden IT-Risiken nicht immer nur mit der IT-Abteilung besprochen. Auch Fachbereiche, deren Prozesse elektronisch unterstützt werden, sind von dieser Art von Risiken betroffen und sollten daher eine individuelle Beurteilung vornehmen.

Eine solide Basis und gute Hilfestellung für das Risikomanagement zur Vorbereitung auf die Risikoanalysegespräche mit den Fachbereichen und der IT-Abteilung bietet der IT-Grundschutzkatalog des BSI (Bundesamt für Sicherheit in der Informationstechnik). Der IT-Grundschutzkatalog enthält für verschiedene Themengebiete mögliche Gefährdungen und Beispiele von Maßnahmen, aus denen typische IT-Risiken abgeleitet werden können.

Outsourcing: Berücksichtigung der Risiken und Kontrollen ausgelagerter Funktionen und Dienstleistungen im eigenen Governance-System

Governance-System in Versicherungsunternehmen gemäß Solvency II:
Berücksichtigung der Risiken und Kontrollen ausgelagerter Funktionen und Dienstleistungen im eigenen Governance-System

Ausgelagerte Funktionen und Dienstleistungen sind gängige Praxis und umfassen beispielsweise Archivierungsprozesse, Inkasso oder die IT. Dabei verlässt sich das auslagernde Unternehmen in der Regel darauf, dass die Prozesse ordnungsgemäß durchgeführt werden. In der Regel werden das Endergebnis bzw. die vereinbarten Service Level Agreements geprüft und auf Basis dessen der Dienstleister beurteilt. Aber die Sicherheit, dass hinter den verschlossenen Türen des Dienstleisters eine ordnungsmäßige Verarbeitung stattfindet, kann ohne weiteren Aufwand nicht erlangt werden.

Die folgenden Punkte sind u.a. an die Solvency-II-Anforderungen angelehnt (können aber branchenübergreifend angewendet werden) und sollen einen kurzen exemplarischen Überblick darüber geben, welche Themen in Verbindung mit dem Thema Outsourcing bedacht werden sollten und welche Möglichkeiten es geben kann, um sich über den Status quo der Risiken und Kontrollen beim Dienstleister zu informieren:

Vertragliche Regelung des Auskunftsrechts

Die Verträge mit den Dienstleistern sollten ein Auskunfts- und Prüfungsrecht beinhalten. Es kann geregelt werden, auf welche Art und Weise das ausgliedernde Unternehmen sich diese Auskunft einholen kann. Eine der effektivsten Regelungen ist die, dass die eigene Revision die relevanten Prozesse beim Dienstleister prüfen darf. Neben dem Auskunftsrecht, sollte u.U. auch ein Weisungsrecht verankert werden, auf dieses in diesem Artikel jedoch nicht weiter eingegangen wird.

Einbindung der Compliance-Funktion in das Interne Kontrollsystem gemäß Solvency II

Governance-System in Versicherungsunternehmen

Einbindung der Compliance-Funktion in das Interne Kontrollsystem gemäß Solvency II

Die Compliance-Funktion als Bestandteil des Internen Kontrollsystems hat gemäß Artikel 46 der Solvency-II-Richtlinie (2009/38/EG) die Aufgaben:

  • den Vorstand in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die mit dem Betrieb des Versicherungsgeschäfts in Zusammenhang stehen, zu beraten und
  • Änderungen im Rechtsumfeld und die daraus resultierenden Konsequenzen für das Unternehmen zu beurteilen und
  • das Compliance-Risiko zu identifizieren und zu beurteilen, welches mit der Verletzung rechtlicher Aspekte in Zusammenhang steht.

Seiten