Outsourcing der Internen IT-Revision bei Banken

Größe: px
Ab Seite anzeigen:

Download "Outsourcing der Internen IT-Revision bei Banken"

Transkript

1 Ramin Niroumand Outsourcing der Internen IT-Revision bei Banken Voraussetzungen und Nutzenoptimierung Mit einem Vorwort von Elmar Schwager, The AuditFactory.

2 Outsourcing der Internen IT-Revision bei Banken 2 Inhaltsverzeichnis 1 Einleitung 5 2 Grundlagen Einordnung und Entwicklung der Internen Revision Aufgaben und Ziele der Internen IT-Revision Risiken einer unsachgemäßen Internen IT-Revision Gesetzliche Grundlagen Bedeutung von Outsourcing für Kreditinstitute Rechtliche Einschränkungen Outsourcing der Internen Revision Formen des Outsourcings der Internen Revision 23 3 Grundlagen für eine wirksame Auslagerung der Internen Revision Organisatorische Voraussetzungen Risikoorientierte Prüfungsplanung 29 4 Faktoren zur Optimierung des Nutzens Vorüberlegungen Eignung des Outsourcingpartners als Faktor 39 5 Schluss Zusammenfassung der Ergebnisse Kritische Würdigung Ausblick 46

3 Outsourcing der Internen IT-Revision bei Banken 3 Abkürzungsverzeichnis Abkürzung AO AKtG BaFin BDSG BSI BMF CAE CIA CIO COBIT Erläuterung Abgabenordnung Aktiengesetz Bundesanstalt für Finanzdienstleistungen Bundesdatenschutzgesetz Bundesamt für Sicherheit in der Informationstechnik Bundesministerium für Finanzen Chief Audit Executives Certified Internal Auditor Chief Information Officer Control Objectives for Information and Related Technology DIN Deutsches Institut für Normung e. V. GoB GoDV GoBS GDPdU HGB IBM IDW IIA IIR IR ISO IT ITIL KonTraG KWG MaRisk QA WP Grundsätze ordnungsgemäßer Buchführung Grundsätze ordnungsmäßiger Datenverarbeitung Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Handelsgesetzbuch International Business Machines (Corporation) Institut der Wirtschaftsprüfer in Deutschland e.v. Institute of Internal Auditor Deutsches Institut für Interne Revision e.v. Interne Revision ISO - International Organization for Standardization Informationstechnologie IT Infrastructure Library (ITIL) Kontrolle und Transparenz im Unternehmensbereich Gesetz über das Kreditwesen Mindestanforderungen an das Risikomanagement Quality Assessment Wirtschaftsprüfer

4 Outsourcing der Internen IT-Revision bei Banken 4 Vorwort The AuditFactory ist eines der führenden Unternehmen für das Partnering und Outsourcing der Internen Revision. Partnering ist die Zusammenarbeit mit Revisionsabteilungen aller Branchen und Größen, wohingegen Outsourcing die komplette Übertragung der Revisionsfunktion auf einen Dienstleister meint. Die vor mehreren Jahren aus den USA aufkommende Diskussion um ein Teil- oder Komplettoursourcing der Internen Revision wurde nicht immer sachlich geführt. Bereits zu ihrem Beginn formulierte der amerikanische Dachverband IIA seine Bedenken, die Interne Revision komplett auf einen Dienstleister auszulagern, in einem Positionspapier. Das war von der Reaktion her logisch, aber nicht in jedem Punkt überzeugend. Einige deutsche Autoren folgten dieser Position indem sie sie kopierten, ohne dass die thesenunermauernden Argumente besser wurden. Das Deutsche Institut für Interne Revision schweigt bis heute zu diesem wichtigen Thema. Hinter dieser Diskussion stand die Angst des Überflüssigwerdens etablierter Revisionsfunktionen, die externe Dienstleister zunächst einmal als Gefährdung ihrer eigenen Existenz begriffen, ohne die damit verbundenen Vorteile sehen zu wollen. Die Diskussion hat sich mittlerweile versachlicht, auch darum, weil die Revisionsabteilungen festgestellt haben, dass die externen Dienstleister ebenfalls nur mit Wasser kochen, wenn sie Tee trinken wollen. Und so mancher Hochglanzprospekt hat sich als das offenbart, was er ist: eine Packung heiße Luft. Insofern ist die Diskussion sachlicher und die Zusammenarbeit mit den externen Dienstleistern professioneller geworden. Bei Ausschreibungen wird mehr auf die Personen, ihre Vita und ihren fachlichen Hintergrund geachtet als auf den Firmennamen, der auf der Visitenkarte steht Ausnahmen selbstverständlich immer möglich, wie etwa bei dem Einkauf von Quality Assessments bei den Wirtschaftsprüfungsgesellschaften als Persilschein für die Revisionsabteilungen. Die Revisionsabteilungen begreifen den Zugriff auf Externe für Spezialthemen oder auch schlichtweg als Kapazitätserweiterung mittlerweile zunehmend als Vorteil; dieser bewusstseinsbildende Prozess ist aber noch nicht abgeschlossen. Es muss auch gesagt werden, dass ein guter Dienstleister eine schlechte Revision natürlich gefährden kann. Insofern ist eine Modernisierung und Neuausrichtung an der einen oder anderen Stelle sicherlich notwendig. Die Zusammenarbeit mit einem erfahrenen Dienstleister kann aber auch Know-how importieren, das für die Stärkung der Internen Revision genutzt werden kann. Und noch eine weitere Entwicklung ist festzustellen: Die kleinen Organisationen, die sich vor einigen Jahren mit dem Thema Interne Revision noch gar nicht beschäftigt haben, kommen vermehrt auf uns zu, um ihre Interne Revision in die Hände eines Externen zu legen. Dort überwiegen die Vorteile des Zugriffs auf erfahrene Experten den Nachteil des Außerhausgebens wohl immer noch. Ramin Niroumand hat, nicht zuletzt mit Unterstützung von The AuditFactory in Bezug auf die Lieferung von Materialien, aber auch als Gesprächspartner, eine Arbeit vorgelegt, die in zweierlei Hinsicht bemerkenswert und wichtig ist: Zum einen widmet er sich einem Thema, das klassischerweise zum Outsourcing geeignet ist der IT-Revision zum anderen beschäftigt er sich ausführlich mit der Branche der Finanzdienstleister. Wir veröffentlichen diese Arbeit in Abweichung von unseren sonst geltenden Grundsätzen, die Working Papers eigentlich als praxisorientierte Arbeiten von Fachkollegen definieren. Wir glauben, dass der Inhalt einem größeren Fachpublikum zugänglich gemacht werden sollte und dass er für ihn von Interesse ist. Auch darum sollte er nicht in der Schublade verschwinden. Wir freuen uns darüber, dass der Autor sich für eine Veröffentlichung bei uns entschieden hat und wünschen uns engagierte, aber entspannte Diskussionen. Elmar Schwager Bietigheim-Bissingen, 7. Dezember 2010 Geschäftsleitung The AuditFactory

5 Outsourcing der Internen IT-Revision bei Banken 5 1 Einleitung In der Krise soll man Ruhe bewahren, einen klaren Kopf behalten, die eigenen Stärken und Chancen analysieren, Verbündete suchen. Und immer wieder: richtig kommunizieren. 1, so der TUI-Chef Michael Frenzel in der Süddeutschen Zeitung. Die Banken müssen nach Verbesserungspotenzialen suchen, damit sie auch in Krisenzeiten handlungs- und wettbewerbsfähig bleiben. Nach einer aktuellen Studie 2 der Hochschule Karlsruhe wollen Kreditinstitute deshalb vor allem mittels Optimierung ihrer IT-Prozesseffizienz reagieren. 3 Auch die Banken-IT-Studie 2009 der Unternehmensberatung Capgemini belegt: 56 Prozent planen eine Prozessoptimierung, um die derzeitigen Aufgaben zu meistern. Das ist der Spitzenwert aller genannten Maßnahmen. 4 Weiterhin sollten die IT-Anwendungen im Risikomanagement verbessert werden, mit dem Ziel einer erhöhten Transparenz. 5 In einer Studie des Institute of Internal Auditor (IIA) nehmen die Mehrheit der 524 befragten Chief Audit Executives (CAE) 6 nicht an, dass ein besseres Risikomanagement die gegenwärtige Krise verhindert hätte, jedoch zeigt diese Studie die Existenz von Risiken mit weltweiter Vernetzung und den Bedarf einer notwendigen Steuerung. 7 Auch die Auslagerung ganzer IT-Bereiche an externe Anbieter wird vermehrt in den Banken diskutiert. 8 Diese Diskussion wird von der vergleichsweise hohen Fertigungstiefe, d.h. dem Anteil selbst erbrachter Leistungen im Verhältnis zur Gesamtleistung, in Kreditinstituten 9 verstärkt. Zurzeit beträgt sie bei Kreditinstituten ca. 80 %, währenddessen die Fertigungstiefe z.b. in der Automobilindustrie ca. 25 % beträgt 10 und das obwohl Finanzgeschäfte traditionell eine hohe Abhängigkeit zur IT aufweisen und einen entscheidenden Vorteil besitzen: Geld lässt sich ausgezeichnet digitalisieren. Hieraus resultiert die Frage, inwieweit ursprünglich interne Bankdienstleistungen unter Konzentration auf das Kerngeschäft und Wahrung einer ordnungsmäßigen Geschäftstätigkeit auf Dritte ausgelagert werden können, um Risiken besser zu steuern und Prozesse effizienter gestalten zu können. 11 Zur wirksamen und angemessenen Überwachung der Risiken, aber auch zur Steigerung der Effizienz von IT-Prozessen/IT-Systemen, ist nach den Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungen (BaFin) ein Risikomanagement unter Berücksichtigung der Risikotragfähigkeit einzuführen, welches insbesondere die Festlegung angemessener Strategien und interner Kontrollverfahren umfasst. Diese bestehen aus dem Internen Kontrollsystem (IKS) und der Internen Revision. 12 Die Leistungen der Internen Revision 13 von Kreditinstituten können ausgelagert werden, unterliegen jedoch höheren rechtlichen und regulatorischen Anforderungen als andere Unternehmensbereiche und prozesse. Diese Problematik wird in Kapitel 2.3 und 3.1 vertieft. Eine Definition für Interne Revision, die unabhängig von Größe und Branche der Unternehmen allgemeinhin gilt, wird nach dem IIA, bzw. dem Deutschen Institut für Interne Revision e.v. (IIR), wie folgt formuliert: 14 : 1 Meite Thiede / Frenzel, Michael (2007), im Hauptframe (siehe Internet- / Intranetverzeichnis). 2 Nees befragte 165 Führungskräften privater Universalbanken, Direktbanken und Sparkassen. (Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 3 Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 4 Ebenda. 5 Vgl. ebenda. 6 Auf die Rollen und Aufgaben eines CAE wird in der Arbeit noch genauer eingegangen (siehe ). 7 Vgl. Institute of Internal Auditor / IIA Research Foundation (Hrsg.) (II) (2009), S.1. 8 Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 9 Kreditinstitute sind Unternehmen, die Bankgeschäfte gewerbsmäßig betreiben, 1 Abs. 1 S. 1 KWG. 10 Vgl. Becker, Axel / Mauer, Anette (2009), S Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. / Hansch, Simon (2009), S Bafin (Hrsg.) (2007), S.3 (MaRisk AT 1 Tz. 1). 13 Bisher hatte sich noch keine abschließende einheitliche Terminologie etabliert. Begriffe wie Interne Revision, Innenrevision sowie internes Revisionssystem werden synonym verwendet. Zusätzlich variiert die Schreibweise. (Amling, Thomas / Bantleon, Ulrich (2007), S. 51.) 14 Peemöller, Voker H. (I) (2008), S. 3.

6 Outsourcing der Internen IT-Revision bei Banken 6 Die interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft. 15 Die Definition lässt bereits erkennen, welche Bandbreite der internen Leistungen die Interne Revision als Querschnittsfunktion im Unternehmen erbringt 16 und welchen Einfluss sie damit auf die Unternehmensentwicklung ausübt, um Ziele wie Wertsicherung und Wertsteigerung zu erreichen. Zur Bedeutungszunahme tragen die Ausweitungen der Organisationsverantwortung der Unternehmensleitung im Rahmen der Weiterentwicklung der Corporate Governance 17 sowie die wachsende Bedeutung der Bekämpfung von Wirtschaftskriminalität bei. 18 Eine Voraussetzung, um der Internen Revision eine Erhöhung der Prozesseffizienz bei gleichzeitiger Einhaltung der regulatorischen Anforderungen zu ermöglichen, ist die Risikoorientierung im Prüfungsansatz (siehe auch 3.2.1). 19 Kreditinstitute sind zur Risikoorientierung aus den MaRisk verpflichtet: 20 : Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht. ( ) 21 Die Durchführung der genannten Prüfungspflichten erfordert eine angemessene Kapazitätsausstattung der Internen Revision. Die Verantwortung hierfür obliegt der Geschäftsleitung und fällt in die Überwachungspflicht des Aufsichtsrates. 22 In der Praxis besteht die Gefahr, dass z. B. durch unzureichende Ressourcen oder fehlendes Spezialwissen in der Revisionsabteilung für das Unternehmen kritische Prozesse und die damit verbundenen Risiken nicht angemessen erfasst und mögliche Potenziale nicht ausgeschöpft werden können. 23 Hinzu kommt, dass Aufgabeninhalte und Zielsetzungen der Internen Revision durch zahlreiche gesellschaftliche, wirtschaftliche und gesetzliche Entwicklungen fortwährend angepasst werden müssen. 24 Diese Dynamik steigert die Anforderung an die Interne Revision 25 und stellt die Unternehmensführung vor Herausforderungen, die Überwachungsfunktion in angemessener und effizienter Weise auszuüben. Die Ursachen dafür sind: Zeitmangel, fehlendes Spezialwissen, fehlendes Methodenwissen, fehlende Unabhängigkeit oder Objektivität und mangelndes Bewusstsein für die Notwendigkeit der umfassenden Überwachung Deutsches Institut für Interne Revision e.v. (Hrsg.) (II.I) (2008), im Hauptframe (siehe Internet- / Intranetverzeichnis). 16 Hölscher, Luise / Rosenthal, Johannes (I) (2008), S Rechtlicher und faktischer Ordnungsrahmen zur Leitung und Entwicklung eines Unternehmens (Vgl. von Werder, Axel (2003), S.4) 18 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. Schwager, Elmar (I) (2003), S Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S Bafin (Hrsg.) (2007), S.52 (MaRisk AT 4.4 Tz. 3). 22 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S Vgl. Schwager, Elmar (I) (2003), S Vgl. Deutsches Institut für Interne Revision e.v. (Hrsg.) (I) (2005), S Amling, Thomas / Bantleon, Ulrich (2007), S Peemöller, Voker H. (II) (2008), S. 147 ff..

7 Outsourcing der Internen IT-Revision bei Banken 7 Diese Problembereiche einer etablierten Internen Revision können einen Einfluss auf die Ordnungsmäßigkeit und Angemessenheit des Risikomanagements haben und somit auf die Geschäftsführung rückwirken. Unter Umständen führt dies zur Haftung oder anderen Sanktionsmechanismen. 27 Wird aufgrund von Flexibilitäts-, Kosten- oder Professionalitätsgesichtspunkten eine etablierte Revision durch die Geschäftsführung nicht gewünscht, so kann ein Outsourcing der Revision diese Problematik verhindern oder zumindest vermindern. 28 Eine allgemeine Definition von Outsourcing im Zusammenhang mit Interner Revision liefert das Deutsche Institut für Interne Revision e.v. (IIR): Der Begriff Outsourcing (Outside Ressource Using) beinhaltet die Idee, betriebliche Funktionen auf externe Dritte auszulagern, die die betreffenden Funktionen für die Unternehmen selbständig erbringen. Outsourcing von Revisionsleistungen bedeutet, dass entweder nur einzelnen Revisionstätigkeiten oder die gesamten unternehmensinternen Revisionsfunktionen auf einen externen Dienstleister übertragen werden. 29 Besonders die Informationstechnologie stellt die Interne Revision aufgrund ihrer wachsenden Bedeutung und ihrer schnellen Entwicklungszyklen vor neue Herausforderungen. So benötigen Informations- und Kommunikationstechniken als Prüfungsobjekt den Einsatz von Revisionsspezialisten in weit größeren Umfang als andere Prüfbereiche. 30 Aus diesem Grund bezeichnet die Literatur den Teilbereich IT-Revision 31 als besonders für das Outsourcing geeignet. Ferner ist die IT- Revision eine wichtige Erfolgsdeterminante eines Kreditinstituts, wenn auch immer noch nicht als solche anerkannt. 32 Unter Voraussetzung der oben genannten Prämissen lässt sich die Annahme bilden, dass durch die Auslagerung der IT-Revision und einer damit verbundenen Steigerung der Expertise auf diesem Gebiet, die Prozesseffizienz im eigenen Unternehmen gesteigert werden kann. Das Ziel der Arbeit ist eine Veranschaulichung, welche Voraussetzungen erfüllt sein müssen, damit eine Auslagerung der Internen IT-Revision effektiv zur Erreichung der Unternehmensziele beitragen kann. Anschließend werden relevante Faktoren zur Optimierung des Nutzens näher beleuchtet. Dazu wird in einem ersten Schritt auf grundlegende Eigenschaften der Internen IT- Revision, des Outsourcings sowie auf relevante gesetzliche und regulatorische Rahmenbedingungen eingegangen. Berücksichtigt werden hierbei insbesondere für Kreditinstitute spezifische Regelungen und Standards der Internen Revision. Anschließend werden die organisatorischen Voraussetzungen für die Auslagerung und die risikoorientierte Prüfungsplanung erläutert. Darauf aufbauend bildet der Autor im Hinblick auf die Forschungsfrage zwei Thesen, die in der Schlussbetrachtung unter Berücksichtigung der nutzenbeeinflussenden Faktoren analysiert werden. Die Erkenntnisse über die zur Diskussion stehenden Faktoren, Verbesserung des Informationsflusses und die Wahl des richtigen Outsourcingpartners, werden mittels Experteninterviews gewonnen. Die Meinungen der Experten werden dabei thematisch zugeordnet und entsprechend ihrer Wirkung auf den Nutzen analysiert. Bei der Durchführung der Interviews wurde die Methodik des Leitfadeninterviews, ein Mittel der qualitativen Forschung 33, verwendet. Die Auswahl der Experten wurde unter der Prämisse einer angemessen Repräsentation für eine Gruppe 34 getroffen. Gemäß dem induktiven Ansatz sollen von spezifischen Aussagen allgemeine Erkenntnisse gewonnen werden. So stellen Schwager, Wittjen und Lehmann jeweils einen Repräsentanten der potentiellen 27 Vgl. Schwager, Elmar (I) (2003), S Schwager, Elmar (I) (2003), S Deutsches Institut für Interne Revision e.v. (Hrsg.) (III) (1999), S Vgl. Deutsches Institut für Interne Revision e.v. (Hrsg.) (I) (2005), S Vgl. u.a. Schwager, Elmar (I) (2003), S / Peemöller, Voker H. (II) (2008), S. 153 ff. / KPMG (Hrsg.) (2009), S Sowa, Alexandra S Vgl. Mayer, Horst O. (2006), S Vgl. ebenda, S In den im Anhang beigefügten Gesprächsprotokollen befindet sich jeweils eine Beschreibung der Befragten.

8 Outsourcing der Internen IT-Revision bei Banken 8 Outsourcingpartner dar. Kendel repräsentiert als Leiter der Internen IT-Revision bei der Commerzbank AG die Unternehmensseite. Alle Befragten haben langjährige Erfahrungen im Bereich der Internen Revision oder IT-Revision und arbeiten in einer Position mit Führungsaufgaben. 35 Abschließend erfolgen eine Bewertung der Ergebnisse, sowie ein Ausblick, der auch den weiteren Forschungsbedarf darstellt. Ergeben sich im Rahmen der vorliegenden Arbeit keine Differenzierung durch Prüfungsfokus Informationstechnologie werden die Begriffe Interne Revision und Interne IT-Revision als Synonyme verwendet, d.h. solange keine Unterscheidung stattfindet, gelten die gültigen Regelungen oder Eigenschaften der Internen Revision auch für die IT-Revision, da diese als Teildisziplin anzusehen ist. Nicht Gegenstand dieser Arbeit sind Untersuchungen die zeigen, ob eine Auslagerung effizienter ist als eine In-House Lösung. Es werden auch nicht die theoretischen Ansätze zur Risikoidentifikation und -bewertung, die Theorien zur Dienstleisterqualität oder die Auswirkungen von Prüfungssoftware weiter betrachtet. 2 Grundlagen 2.1 Einordnung und Entwicklung der Internen Revision Die Interne Revision ist organisatorisch als eine Stabstelle der Unternehmensführung, die prozessunabhängige Überwachungsleistungen zur Unterstützung der Unternehmensführung erbringt sowie als integraler Bestandteil des Internen Kontrollsystems (IKS) zu verstehen. Amling / Bantleon halten eine stete und gründliche Überwachung für eine Grundvoraussetzung zur effizienten und zukunftsorientierten Unternehmensführung. Überwachung: Systematischer mehrstufiger Informations- und Entscheidungsprozess, der alle Maßnahmen umfasst, durch die festgestellt werden soll, ob Zustände oder Prozesse einer Norm entsprechen sowie normgerecht und wirtschaftlich durchgeführt werden. 36 Alle Aktivitäten im Rahmen des unternehmerischen Überwachungsprozesses werden im Überwachungssystem gebündelt, wie Abb. 1 veranschaulicht. Dies zeigt, dass die Überwachung sowohl im Auftrag Dritter (extern), als auch im Auftrag der Unternehmensleitung (intern) erfolgen kann. Die Überwachung im Auftrag Dritter umfasst die Institutionen Aufsichtsrat, Abschlussprüfer, Aufsichtsbehörden (z.b. BaFin bei Banken), Betriebsprüfungen und die Prüfstelle für Rechnungslegung nach 342b HGB. 37 Das interne Überwachungssystem setzt sich aus den Bereichen Organisatorische Sicherungsmaßnahmen, Controlling, Interne Revision und der Querschnittsfunktion Risikomanagement zusammen Korndörfer, W. / Peez, L. (1993), S Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. Paetzmann, Karsten (2008)

9 Outsourcing der Internen IT-Revision bei Banken 9 Abb. 1: Controlling und Risikomanagement als Komponenten des unternehmerischen Überwachungssystems Quelle: Freidank, Carl-Christian (Hrsg.) (2005), S.18. Aufgrund ihrer prozessunabhängigen Überwachungshandlungen ist die Interne Revision eine Kernfunktion innerhalb des Internen Überwachungssystems. 39 Die unternehmerische Überwachungsfunktion unterliegt aufgrund von Veränderungen im Unternehmen bzw. in dessen Umfeld einem stetigen Anpassungsprozess. Dies gilt insbesondere für die Interne Revision als dem wichtigsten Instrument der internen Überwachung. 40 Die in Abschnitt 1 genannte Definition des IIR impliziert den eingeleiteten Wandel. Nicht mehr die Unternehmensführung allein, sondern die gesamte Organisation wird von der IR unterstützt. 41 Als Folge des gesetzlichen und bankenaufsichtrechtlichen Paradigmenwechsels (u.a. Sarbanes-Oxley-Act, Basel II, KonTraG, KWG 25a) vollzog sich seit der Jahrtausendwende 42 ein Wandel im Rollenverständnis der Revision. Weg von einer reinen quantitativen Aufsicht, hin zu einer mehr prinzipienorientierten qualitativen und präventiven Aufsicht 43 lautet das Ziel. Die wertvollen Informationen, die ein Interner Revisor bei seiner Arbeit erlangt, sollen mittels Beratungsgesprächen, Berichten oder dem Einsatz von Prüfungswerkzeugen an die entsprechenden Fachabteilungen bzw. an das Management übermittelt werden, um den Nutzen der Internen Revision zu steigern. 44 Die Interne Revision bzw. die ihr zugeordnete IT-Revision hat sich zu einem elementaren Bestandteil des Füh- 39 Freidank, Carl-Christian (Hrsg.) (2005), S Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. Peemöller, Voker H. (I) (2008), S Solch ein Wandel ist ein schleichender Prozess und somit lässt sich kein exaktes Datum definieren. Jedoch verweisen mehreren Quellen auf einen Wandel zum Ende der 90er Jahre bzw. zu Beginn des 21 Jahrhunderts. (siehe hierfür u.a.: Schwager, Elmar (I) (2003), S / Englisch, Rainer (2008), S. 77. / Amling, Thomas / Bantleon, Ulrich (2007), S. 202 ) 43 Englisch, Rainer (2008), S Vgl. Peemöller, Voker H. (I) (2008), S. 3.

10 Outsourcing der Internen IT-Revision bei Banken 10 rungsprozesses 45 der Banken entwickelt. Während der IT-Controller direkt im Tagesgeschäft mitwirkt, sollte die IT-Revision unabhängig und indirekt tätig sein. Die Prüfungs- und Beratungsleistungen decken nicht das Gesamtspektrum der IT ab, sondern konzentrieren sich auf bestimmte, besonders risikobehaftete Gebiete. 46 Eine im März 2009 veröffentlichte Studie der Wirtschaftsprüfungsgesellschaft KPMG zum Thema IT Internal Audit functions in Europe, the Middle East and Africa, kommt zur zentralen Aussage: Many organizations face a continually changing set of pressures and dynamics in the current economic climate. Faced with shrinking markets, they can choose to rationalize, merge or contract. The technology thread which holds systems and processes together is at risk. As a consequence, IT Internal Audit plays an integral role in maintaining discipline and rigor across functions and geographies. 47 Dies verdeutlicht, dass die Interne IT-Revision sich weiterhin im Wandel befindet und vor dem Hintergrund der aktuellen Finanzmarktkrise zusätzlich an Bedeutung gewinnt. Der Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach- Gesellschaft für Betriebswirtschaft e.v. fasste im Jahr 2006 die Anforderungen an eine Interne Revision, wie sie im Zuge der neueren Entwicklungen definiert werden müssen, in 14 Thesen zusammen. 48 Der Autor verzichtet auf eine weitere Betrachtung, da die Entwicklung der Internen Revision nicht relevant im Hinblick auf diese Arbeit ist, und verweist auf die genannte Quelle und dessen kritische Betrachtung von Elmar Schwager 49 und Udo Strauß 50. Festzuhalten bleibt, dass Beruf und Berufsbild eines Internen Revisors nicht verbindlich beschrieben sind. Dies unterscheidet ihn etwa vom Abschlussprüfer, bei dem die Voraussetzungen zur Siegelführung verbindlich definiert sind. Folglich ist, neben einem Rückgriff auf die Standards für die berufliche Praxis der Internen Revision, eine Konsultation von Best Practices anderer Professionen notwendig. Die ausschließliche Fokussierung auf kodifizierte Grundlagen (Standards, Rundschreiben, etc.) ist unzureichend, entspricht nicht Best Practice und kann auch zwingend nicht zu einem Best Practice-Ansatz führen. 51 Deshalb ist es wichtig, die Praxis professioneller Interner Revisionsabteilungen in diese Arbeit einfließen zu lassen, weil viele und vor allem innovative Impulse aus der Praxis heraus kommen. 52 In Kapitel 4 werden daher Aussagen von Revisoren mit ungleichen Blickwinkeln verwertet. 2.2 Aufgaben und Ziele der Internen IT-Revision Aufgabenstellung und Verantwortung einer Internen Revision müssen von der Geschäftsführung selbst festgelegt werden. 53 Zu dieser Verantwortung zählen insbesondere das Aufgabengebiet, die Struktur und das Qualitätsmanagement sowie die personelle und sachliche Ausstattung der Internen Revision. 54 Aus 93 AktG und 43 GmbHG ergeben sich Verpflichtungen hinsichtlich einer ordnungsgemäßen Geschäftsabwicklung. Eine Geschäftsführung ist insbesondere verantwortlich für: die ausreichende qualitative und quantitative personelle Besetzung der internen Revision, die Genehmigung der Revisionspläne, die Überwachung der Tätigkeit der Internen Revision und 45 Sowa, Alexandra (2007), S Vgl. ebenda (2007), S. 82 ff.. 47 KPMG (Hrsg.) (2009), S Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.v., Köln (Hrsg.) (2006), S. 225 ff.. 49 Siehe Anhang: Genauere Personenangaben zu Elmar Schwager, Experte im Bereich Interne Revision. 50 Siehe: Schwager, Elmar / Strauß, Udo (2006), S Schwager, Elmar / Strauß, Udo (2006), S Vgl. Schwager, Elmar / Strauß, Udo (2006), S Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.v., Köln (Hrsg.) (2006), S. 225.

11 Outsourcing der Internen IT-Revision bei Banken 11 die Entscheidung über die Abstellung der in den Revisionsberichten aufgezeigten Mängel. 55 Soweit die Interne Revision ausgelagert ist und durch eine externe Stelle wahrgenommen wird, bleiben die Prüfungsplanung, die Überwachung der Prüfungsdurchführung durch den externen Dienstleister sowie die Nachschau der Revisionsprojekte Aufgabe der Unternehmensleitung. 56 Inwieweit die Auslagerung der Internen IT-Revision bei Kreditinstituten Einschränkungen unterliegt, wird in Abschnitt behandelt. Weiterhin sind die für die Jahresabschlussprüfung geltenden Anforderungen zwangsläufig auch für die Interne Revision relevant. Sie können deshalb im Auftrag der Geschäftsleitung an die Interne Revision nicht unberücksichtigt bleiben. In Abschnitt 2.2 wird genauer auf die rechtliche Verankerung der Internen Revision eingegangen. 57 Generell hat die Revision risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems (IKS) im Besonderen zu beurteilen und zu prüfen, unabhängig davon, ob diese ausgelagert ist oder nicht. 58 Die gesetzliche Vorgaben für das IKS befinden sich für Kreditinstitute in 25a Abs. 1 KWG, welche in AT 4.3 Internes Kontrollsystem der MaRisk präzisiert werden. Das IKS besteht aus den Regelungen zur Aufbau- und Ablauforganisation sowie den Prozessen zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken kurz Risikosteuerungs- und - controllingprozesse. 59 In Abschnitt wurde bereits dargestellt, inwieweit sich der Fokus und dementsprechend auch das Aufgabenfeld der Internen Revision gewandelt hat. Die klassischen Felder Financial Auditing, Compliance und Operational Auditing wurden durch Management Auditing und Internal Consulting erweitert. Die Abb. 2 zeigt die Entwicklungslinie der Tätigkeitsfelder und erläutert diese kurz. 55 Schuppenhauer, Rainer (Hrsg.) (2006), S Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.v., Köln (Hrsg.) (2006), S Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Bafin (Hrsg.) (2007), S Vgl. ebenda, S.11.

12 Outsourcing der Internen IT-Revision bei Banken 12 Abb. 2: Entwicklungslinie der Tätigkeitsfelder der Internen Revision Quelle: Eigene Darstellung, in Anlehnung an: Amling, Thomas / Bantleon, Ulrich (2007), S. 53. Die Tätigkeitsfelder sind nicht überschneidungsfrei, wobei nicht von einer zwangsläufigen inhaltlichen Abhängigkeit einzelner Aufgabefelder ausgegangen werden kann. Ein Financial bzw. Operational Audit ist nicht zwingend eine Voraussetzung für ein Management Audit. Jedoch kann ein Management Audit zur Fehlerquellenanalyse beitragen, wenn vorab Probleme festgestellt wurden. 60 Die Bekämpfung der Wirtschaftskriminalität ist hierbei als ein Spezialfall des Compliance Auditing einzuordnen. Bezüglich der projektbegleitenden Revision bzw. dem Pre-Implementation-Audit handelt es sich nicht um ein eigenes Tätigkeitsfeld, sondern unterscheidet sich durch den Zeitpunkt der Prüfungsdurchführung. 61 Obwohl die IT-Revision einen großen Bedarf an Spezialwissen erfordert, eine vergleichsweise hohe Komplexität aufweist und eine starke Bedeutung für die angestrebte IT-Prozessoptimierung besitzt, stellt sie kein eigenes Feld dar. Die Unterscheidung liegt lediglich im Prüfungsobjekt IT. Die verschiedenen Tätigkeitsfelder müssen wie bei jeder anderen Prozessprüfung durchlaufen werden. Die Einteilung in die genannten Felder spiegelt die Auffassung des Autors wieder und bildet die Grundlage für die weitere Bearbeitung. Sie stellt einen Kompromiss zwischen einer engeren 62 und einer weiter 63 gefassten Interpretation dar. Damit die Revision ihre Aufgaben sachgerecht wahrnehmen kann, sollte ihre Tätigkeit durch die Definition der Prüfungsziele, Festlegung der Prüfungsbereiche, Festlegung der notwendigen Prüfungshandlungen sowie Bereitstellung geeigneter Prüfungshilfsmittel spezifiziert werden. Im Fol- 60 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. ebenda, S Tätigkeitsfelder: Controlling, Risk Management, Governance (Vgl. Peemöller, Voker H. (I) (2008), S. 3 ff.). 63 Zusätzliche Tätigkeitsfelder: Risk Management, Unterschlagungsprüfung, Due Dilligence / Post Merger (vgl. Berwanger, Jörg / Kullmann, Stefan (2007), S.77).

13 Outsourcing der Internen IT-Revision bei Banken 13 genden soll auf den Ersten der genannten Aspekte eingegangen werden. 64 Denn einerseits unterscheidet sich das Prüfungsziel maßgeblich von der Jahresabschlussprüfung, deren einziges Ziel die Sicherstellung der Ordnungsmäßigkeit ist, und andererseits ist die Einhaltung der Prüfungsziele ständige Prämisse für die gegenwärtige Diskussion. Ferner werden die Aspekte Festlegung der Prüfungsbereiche und Festlegung der notwendigen Prüfungshandlungen im Weiteren näher erläutert. Definition der Prüfungsziele Die Prüfungsziele der Internen Revision im Rahmen ihrer Überwachungsfunktion ergeben sich aus dem Auftrag der jeweiligen Geschäftsleitung. Ein durchgängiges Ziel der Internen Revision sollte es hierbei sein, Fehler bereits im Ansatz zu erkennen und zu verhindern. Zusätzlich wird von der Internen Revision eine Beurteilung der Wirtschaftlichkeit der IT-Prozesse gefordert, 65 welche zu Kosteneinsparungen und Leistungssteigerungen führen soll. Rainer Schuppenhauer, Herausgeber des GoDV-Handbuches, identifiziert fünf zentrale Prüfungsziele, die sich auch aus der oben genannten Definition des IIR ableiten lassen: Ordnungsmäßigkeit nach gesetzlichen Gesichtspunkten Verbesserung des IKS Verbesserung des Berichtswesen und der Informationsqualität Rationalisierung der Ablauforganisation Wirtschaftlichkeit der DV-Organisation 66 Damit die Abarbeitung der Tätigkeitsfelder und der allgemeinen Prüfungsziele erfolgen kann, werden insbesondere die Methoden der IT-Systemprüfung 67 und der Wirtschaftlichkeitsprüfung eingesetzt. Inwiefern eine Interne IT-Revision zur Verbesserung der Geschäftsprozesse beitragen kann, soll im Weiteren nicht zusätzlich behandelt werden, da im Rahmen der Arbeit die Effizienz der Prüfungsdurchführung bei einer Auslagerung der Internen IT-Revision im Vordergrund steht. Es wird von einer leistungsfähigen, das heißt nach den Berufsgrundsätzen arbeitenden 68, mehrwertschaffenden Internen Revision respektive Internen IT-Revision ausgegangen. 2.3 Risiken einer unsachgemäßen Internen IT-Revision Eines der größten Probleme für Interne Revisionsabteilungen ist die Einschränkung ihrer Wirksamkeit, das heißt eine Nicht-Erfüllung der ihr zugeordneten Aufgaben. Aufgrund ihrer gesetzlichen Notwendigkeit, der zentralen Rolle im Überwachungssystem und der gestiegenen Bedeutung, darf die Interne Revision in der Erfüllung ihrer Aufgaben nicht eingeschränkt sein oder behindert werden. Insbesondere beim Outsourcing von Teilen der Innenrevision ist dies zu beachten. 69 Die Vielzahl möglicher Einschränkungen unterscheidet sich dabei hinsichtlich ihrer Wirkung auf die Leistungsfähigkeit der IT-Revision. Folgend werden in Tabelle 1 Einschränkungen und daraus resultierende Gefahren beispielhaft aufgezeigt: 64 Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Ebenda, S Detailierte Beschreibungen zur IT-Systemprüfung: siehe Anhang. 68 Schwager, Elmar (I) (2003), S Vgl. Becker, Axel / Mauer, Anette (2009), S. 26 ff..

14 Outsourcing der Internen IT-Revision bei Banken 14 Einschränkungen Mangelnde Unterstützung durch das Management Fehlende Akzeptanz durch das Management und Fachabteilugen Nichteinhaltung des Kodex der Berufsethik Einschränkungen betreffend den Zugang zu Informationen der Organisation Beschränkungen auf Grund sachlicher oder personeller Engpässe Beeinträchtigungen der Objektivität und Unabhängigkeit der Internen Revision. Gefahren Falsche Prüfungsziele, -ansätze, - planung, und -techniken Fehlende / falsche Risikoanalyse; Vernachlässigung risikobehafteter Bereiche Knappe Berichterstattung, unklare Feststellungen, zweifelhafte Empfehlungen Ungenügende Qualitätskontrolle und Follow-Up 70 Höherer Koordinationsaufwand in Verbindung mit Kostensteigerung Beeinträchtigung des Überwachungssystems; gesetzliche Konsequenzen Tab.1: Mögliche Einschränkungen der Internen Revision und die daraus resultierenden Gefahren Quelle: Eigene Darstellung, in Anlehnung an: Schuppenhauer, Rainer (2006), S. 343 ff. / Schwager, Elmar (I) (2003), S / Hölscher, Luise / Rosenthal, Johannes (II) (2009),. 11 ff.. S Die Aufzählung der Einschränkungen ist nicht gewichtet, wobei herausgestellt werden muss, dass Beschränkungen des Informationszuganges sehr häufig zu falschen Prüfungsergebnissen führen können und darum als besonders kritisch anzusehen sind. In der Praxis könnte dies dazu führen, dass durch die fehlende Offenlegung aller für die Beurteilung eines Prüffeldes notwendigen Informationen die Interne Revision zu einem falschen Prüfungsurteil kommen könnte. Aus diesem Prüfungsurteil abgeleitete Maßnahmen wären dann nicht zielführend. 71 Des Weiteren könnten mangelnde Informationen zu einer falschen Risikoanalyse führen und somit mit Risiken verbundene Bereiche nicht abgedeckt werden. Auch die beratenden Tätigkeiten der Internen IT-Revision könnten Probleme in Bezug auf Objektivität und Unabhängigkeit mit sich bringen. Eine kritische Situation ergibt sich beispielsweise, wenn ein Interner Revisor die Wirtschaftlichkeit einer IT-Anwendung nachträglich in Frage stellt, obwohl er bei der Investitionsentscheidung mitwirkte und die Implementierung der entsprechenden Lösung unterstützte. 72 Im Englischen wird deshalb zwischen Advisory, der unabhängigen Beurteilung von Konzepten und Prozessen, und Consulting, Erstellung von Konzeptionen und Umsetzung, unterschieden. Die Interne Revision sollte sich nach Meinung einiger Autoren auf Advisory beschränken. 73 Denn menschliche Schwächen wie Selbstgefälligkeit, Gleichgültigkeit und mangelnde Selbstkritik stellen eine Gefahr für Objektivität und Unabhängigkeit dar. 74 Inwieweit die Auslagerung der IT-Revision die Objektivität und die Unabhängigkeit beeinflusst, wird in Abschnitt 4.1 aufgegriffen. 70 Überwachung der fristgerechten Umsetzung des aufgezeigten Handlungsbedarfs durch die Interne Revision. (vgl. Berwanger, Jörg / Kullmann, Stefan (2007), S.192) 71 Vgl. Schwager, Elmar (2008), S. 8 ff.. 72 Vgl. Knapp, Eckhard (2005), S Vgl. Rasmussen, Michael / Brown, Adam (2004), S.1 74 Vgl. Herzig, Andreas / Fabritius, Dieter (2008); S. 276.

15 Outsourcing der Internen IT-Revision bei Banken 15 Die Interne Revision ist ein Instrument der Geschäftsleitung, d. h., sie ist ihr im Idealfall, der in der Praxis nicht immer die Regel darstellt, unmittelbar unterstellt und berichtspflichtig. Ihr ist zur Erfüllung ihrer Aufgaben ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. 75 Diese weiträumigen Befugnisse gelten allerdings nicht ohne Einschränkungen. Der im Januar 2009 bekanntgewordene Skandal über den möglichen Missbrauch von Mitarbeiter- und Kundendaten bei der Deutschen Bahn AG legt einmal mehr die Diskrepanz zwischen Datenschutz und Überwachung offen. Die Notwendigkeit der Überwachung wird immer häufiger zur Rechtfertigung überzogener und rechtswidriger Überwachungsmethoden und Datenweitergabe vorgeschoben. 76 Um den missbräuchlichen Gebrauch von Informationen oder unberechtigten Zugriffen vorzubeugen, sollte der Revision ein Informationsnutzungsrecht ausschließlich zur Wahrnehmung ihrer Aufgaben eingeräumt werden. Das bedeutet, dass Zugriffsberechtigungen der Internen Revision nach dem sogenannten Prinzip des notwendigen Wissens vergeben werden. Erhält ein Revisor im Rahmen einer Prüfung beispielsweise Administrationsrechte auf eine Anwendung, sind diese genauso streng zu handhaben wie diejenigen eines jeden anderen Administrators im Institut. Das Informationsrecht muss sich auf die Prüfungs- und Beratungshandlungen beschränken und mit dem Abschluss der Prüfungstätigkeit erlöschen. 77 Im Folgenden wird gezeigt, welche Voraussetzungen, gesetzlich und organisatorisch, erfüllt sein müssen und welchen Nutzen Outsourcing bietet, damit sowohl die Interne IT-Revision als auch die durch sie geprüften Bereiche effizienter sind. 2.4 Gesetzliche Grundlagen Grundsätzlich sollte sich, im Hinblick auf die Einhaltung der Ordnungsmäßigkeit, die Interne Revision auf die bei einer externen Prüfung, insbesondere der Jahresabschlussprüfung, geltenden Vorschriften und Regelungen stützen. Die Jahresabschlussprüfung ist unmittelbar gesetzlich verankert, wohingegen eine solche Kodifizierung durch den Gesetzgeber für die Interne Revision - mit Ausnahme der Sondervorschriften für die Kreditwirtschaft in 25a Abs. 1 Satz 3 Nr. 1 KWG 78 - bisher nicht erfolgt ist. Neben weiteren spezialgesetzlichen Regelungen 79 enthalten insbesondere die 316 ff. HGB Regelungen über das Spektrum 80 der Abschlussprüfung. Im Zusammenhang mit einer Innenrevision findet sich lediglich die indirekte gesetzliche Normierung für Aktiengesellschaften durch 91 Abs. 2 AktG. Der Gesetzesbegründung zum KonTraG zufolge, möchte der Gesetzgeber mit dieser Regelung die Verpflichtung des Vorstands untermauern, für ein angemessenes Überwachungssystem respektive Risikomanagement im Unternehmen sorgen. Zu diesem Überwachungssystem gehören organisatorische Sicherungsmaßnahmen, interne Kontrollen sowie die Interne Revision. 81 Baut die Interne Revision ihre Prüfungshandlungen auf Basis der gesetzlichen Verankerungen der Jahresabschlussprüfung auf, wird das notwendige Mindestmaß an Ordnungsmäßigkeit fortlaufend überprüft. Außerdem vereinfacht es die Kooperation zwischen den externen und internen Prüfungsorganen, was zu einer Steigerung der Wirtschaftlichkeit beitragen kann. 82 Neben den einzuhaltenden gesetzlichen Grundlagen, lassen sich bei der Durchführung von IT-Revision die Anforderungen an ein ordnungsgemäßes IT-System in drei Ebenen unterteilen, wie die folgende Abb. 3 veranschaulicht. 75 Vgl. BaFin (Hrsg.) (2007), S Vgl. Rödel&Partner (2009), 1. Abschnitt im Hauptframe (siehe Internet- / Intranetverzeichnis). 77 Vgl. Sowa, Alexandra, S. 82 ff.. 78 Auf die für Kreditinstitute spezifizierten Regelungen wird in Punkt eingegangen. 79 Spezialgesetzliche Regelungen finden sich z. B. in 33, 183 Abs. 3, 194 Abs. 4, 205 Abs. 3, 313 AktG, 340k, 341k HGB, 29 KWG, 53 GenG oder 53 HGrG. 80 U.a. Pflicht zur Prüfung, dem Prüfungsgegenstand und -umfang, der Auswahl der Abschlussprüfer oder der Formulierung des Prüfungsergebnisses. 81 Vgl. Küting, Karlheinz / Boecker, Corinna (2008), S In diesem Zusammenhang ist auch der IDW PS 321 "Interne Revision und Abschlussprüfung des Instituts Deutscher Wirtschaftsprüfer (IDW) und der IIR-Revisionsstandard Nr. 1 "Zusammenarbeit von Interner Revision und Abschlussprüfer" des Deutschen Instituts für Interne Revision (IIR) zu beachten.

16 Outsourcing der Internen IT-Revision bei Banken 16 Abb. 3: Überblick über die gesetzlichen Grundlagen, Grundsätze und Standards für die Prüfung einer IT Umgebung Quelle: Eigene Darstellung. Die erste Ebene umfasst die gesetzlichen und aufsichtsrechtlichen Verankerungen: Die Ordnungsvorschriften der 238, 239 und 257 HGB sowie 145, 146 und 147 AO bilden die gesetzliche Grundlage einer ordnungsmäßigen Buchhaltung. Hinzu kommen das bereits erwähnte KWG, relevant für alle Kreditinstitute, und das AktG. Weiter sind in diesem Zusammenhang das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze zu beachten, welche die Gewährleistung von Vertraulichkeit sicherstellen sollen, so dass personenbezogene Daten nur auf Grundlage rechtlicher Bestimmungen oder der Basis der Einwilligung der Betroffenen verarbeitet und weitergegeben werden dürfen. 83 Die MaRisk der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) dienen als Leitfaden für das Stufenmodell des»supervisory Review Process«, der zweiten Säule von Basel II. 84 Aufgrund der Relevanz der MaRisk in Bezug auf die Thematik dieser Arbeit, werden die von ihr ausgehenden Einschränkungen und Anforderungen hinsichtlich einer Auslagerungen der Internen Revision in Kapitel näher behandelt. Die zweite Ebene umschließt die aus den Gesetzen abgeleiteten Anforderungen an ordnungsgemäße IT-Systeme und -Prozesse: 85 Die Grundsätze ordnungsgemäßer Buchführung (GoB) sind ein unbestimmter Rechtsbegriff. Sie umfassen alle Buchführungs- und Bilanzierungsgrundsätze. 86 Mit dem Begriff GoB verweist das Gesetz auf eine Wert- und Ordnungsvorstellung, die außerhalb der gesetzlichen Regelungen liegt. Folglich hat die kaufmännische Buchhaltung mit einem abstrakten und über die gesetzliche Einzelregelung hinausgehenden Ordnungssystem übereinzu- 83 Vgl. Hoppe, Gabriela (2003), S ff.. 84 Vgl. Sowa, Alexandra (2007), S Vgl. Wähner, Gerd (2002), S Vgl. Leffson, Ulrich (1980), S. 21 ff. / vgl. Kruse, Heinrich Wilhelm, S. 104 ff..

17 Outsourcing der Internen IT-Revision bei Banken 17 stimmen. Die Grundsätze ordnungsmäßiger Datenverarbeitung (GoDV) wurden aus den GoB abgeleitet und sollen diese unterstützen. 87 Die GoDV dienen zur Regelung der Verantwortlichkeiten und der Pflichten des Buchführungspflichtigen beim Einsatz von IT im Rechnungswesen. Sie beziehen sich auf alle rechnungslegungsrelevanten Formen der Datenverarbeitung und deren Anwendungsgebiete. 88 Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) konkretisieren die Anforderungen an Kontrollen, Regelungen und Maßnahmen, die der Buchführungspflichtige je nach Stand der Technik (z.b. DIN oder ISO) beachten muss, um die GoB beim Einsatz IT-gestützter Buchführung einzuhalten. Für die Finanzverwaltung sind die GoBS bindend. 89 Die Finanzverwaltung hat seit der Neufassung der 146, 147, 200 AO die rechtliche Grundlage, im Rahmen von steuerlichen Außenprüfungen direkt auf die IT-Systeme der geprüften Steuerpflichtigen zuzugreifen. 90 Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) interpretieren und legen das Gesetz durch Beispiele und Ergänzungen aus. Weiter umfassen sie Anwendungsregeln zur Umsetzung des Rechts auf Datenzugriff. 91 Die dritte Ebene umfasst Standards, Rundschreiben und Verlautbarungen, die Einfluss auf die Arbeit der Internen IT Revision haben: Hinsichtlich der Arbeitsweise und Best-Practice-Ansätze liefern sowohl das Institute of Internal Auditor (IIA) 92 als auch das Deutsche Institut für Interne Revision e.v. (DIIR) 93 in der Praxis anerkannte, berufsspezifische Empfehlungen. Zu den gängigen Standards hinsichtlich der Ausgestaltung des IKS gehören COSO 94 und CobiT 95. Darüber hinaus lässt sich insbesondere CobiT im Rahmen einer generellen Prüfungsplanung und bei der Erstellung eines Prüfungsplans/Prüfungsprogramms (Einzelfallprüfung) verwenden. 96 Genaue Vorgaben hinsichtlich der Ausgestaltung einer IT-Umgebung in Kreditinstituten sind nur bedingt festgehalten. Nach MaRisk 7.2 soll bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abgestellt werden. Demnach muss die Prüfung dieser Prozesse an relevanten Standards ausgerichtet werden. Detaillierte Anforderungen enthalten z.b. die Standards des Berufsstandes der Wirtschaftsprüfer IDW FAIT 1, IDW PS 300 oder IDW EPS 850. Mit den handels- und steuerrechtlichen Vorschriften, den GoB und den IDW Stellungnahmen 97 ist der Rahmen dessen abgesteckt, was beim Einsatz von IT im Rechnungswesen zu beachten ist, die wesentlichen Bereiche der IT-Organisation benannt und der Prüfungsbedarf klar beschrieben Bedeutung von Outsourcing für Kreditinstitute Neben der hohen Anzahl der Kreditinstitute ist die Kosteneffizienz in Deutschland im Vergleich zu ausländischen Wettbewerbern niedrig. Viele Dienstleistungen wie Zahlungsverkehr, Marktfolgetätigkeiten im Kreditgeschäft etc. werden von den Banken noch selbst erbracht, was sich in der vergleichsweise hohen Fertigungstiefe wiederspiegelt (siehe Abschnitt 1). Der große Nachholbedarf gegenüber dem produzierenden Gewerbe verstärkt den kontinuierlichen Trend zur Auslagerung von Dienstleistungen und Bankprozessen Vgl. Bundesamt für Sicherheit in der Informationstechnik (2005). 88 Vgl. Schuppenhauer, Rainer (2000), S Vgl. Wähner, Gerd (2002), S Vgl. Taetzner, Tobias/ Büssow, Thomas (2002), S Vgl. Harnichfeger, Walter (2005) S. 173 ff.. 92 Institute of Internal Auditor (2009), 1. Hauptframe (siehe Internet- / Intranetverzeichnis). 93 Deutsches Institut für Interne Revision e.v. (2009), 1. Hauptframe (siehe Internet- / Intranetverzeichnis). 94 COSO (Committee of Sponsoring Organizations of the Treadway Commission) 95 CobiT (Control Objectives for Information and Related Technology) ist ein international anerkanntes Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben). CobiT macht keine konkreten Vorgaben wie eine Umsetzung erfolgen soll, sondern was beachtet werden muss. (vgl. Kühle, Burkhard (2008)) 96 Vgl. Taubenberger, Stefan (2008), S Siehe Abbildung Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. / Vgl. Schwager, Elmar (III) (2008), S. 4 ff.

18 Outsourcing der Internen IT-Revision bei Banken 18 Die derzeitige Finanzkrise und der dadurch verstärkte Kosten- und Ertragsdruck auf Kreditinstitute wird den Trend zum Outsourcing und zum Bezug von externen Dienstleistungen in der nächsten Zeit verschärfen. 100 Demnach entspringt Outsourcing von betrieblichen Funktionen oftmals dem Wunsch, Kosten zu reduzieren, interne Abläufe personell als auch strukturell zu optimieren, um sich auf seine Kernkompetenzen zu konzentrieren und seine Marktchancen systematischer und effektiver wahrnehmen zu können. Dies belegen verschiedene Studien 101 und Aussagen in der Fachliteratur 102. Die Auslagerung von Tätigkeiten beinhaltet neben Chancen auch Risiken. Während Aspekte wie die Abhängigkeit vom Outsourcing-Anbieter zu einem gewissen Grad toleriert werden müssen, können viele potenzielle Risiken durch ein effizientes Projektmanagement und eine adäquate Vertragsgestaltung umgangen oder reduziert werden. 103 Diese Gesichtspunkte werden in Abschnitt 3 und 4 genauer behandelt. Tabelle 2 stellt einige grundsätzliche Chancen und Risiken gegenüber. Chancen Kostenreduktion Skaleneffekte Variabilisierung fixer Kosten Kostentransparenz Liquiditäts- und Rentabilitätseffekte Geringere Personalkosten Risiken Abhängigkeitseffekte Bindung an den Outsourcing-Partner Verlust von Know-How Sicherheitseffekte Leistungs-und Qualitätsdefizite Einbußen durch Standardisierung Mangelnde Kommunikation Konzentration auf das Kerngeschäft Kernkompetenzen Reduktion des Geschäftsrisikos Leistungsoptimierung Erschließung von neuem Know-How Flexibilisierung und definierte Service Levels Kostensteigerungen Unterschätzung der Transaktionskosten Fehleinschätzung der direkten Kosten Weiche Faktoren Angst vor Arbeitsplatzabbau Abgabe von Verantwortlichkeiten Tab.2: Allgemeine Chancen und Risiken des Outsourcing Quelle: Eigene Darstellung, in Anlehnung an: Schuppenhauer, Rainer (2006), S. 343 ff. / Schwager, Elmar (I) (2003), S / Hölscher, Luise / Rosenthal, Johannes (II) (2009), S. 11 ff.. Inwieweit eine Auslagerung von Funktionen der Internen Revision rechtlichen Einschränkungen unterliegt und ob diese sinnvoll ist, wird in den folgenden Abschnitten vertieft betrachtet. 100 Vgl. Becker, Axel / Mauer, Anette (2009), S Vgl. IT Governance Institute (Hrsg.) (2005) / Institute of Internal Auditor / IIA Research Foundation (Hrsg.) (I) (2009) 102 Vgl. u.a Amling, Thomas / Bantleon, Ulrich (2007), S. 202 / vgl. Herms, Heinz-Josef / Schwarz, Gerd (Hrsg.) (2005), S. 11 ff. / Peemöller, Voker H. (II) (2008), S.147 ff. / vgl. Schwager, Elmar (I) (2003), S ff Vgl. Herms, Heinz-Josef / Schwarz, Gerd (Hrsg.) (2005), S. 22.

19 Outsourcing der Internen IT-Revision bei Banken Rechtliche Einschränkungen Grundlage für die Anforderung an die Auslagerung respektive Weiterverlagerung von Unternehmensbereichen auf ein Auslagerungsunternehmen sind 25a KWG sowie die Mindestanforderungen an das Risikomanagement (u. a. AT 9 Tz. 1) in der Fassung vom November Die Ma- Risk definieren: Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. 104 Die BaFin hat durch die Überarbeitung der Outsourcing-Anforderungen für Kreditinstitute in den MaRisk im November 2007 die Grundlage für einheitliche Standards geschaffen. Nach MaRisk AT 9, Tz. 4 AT sind grundsätzlich alle Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß 25a Abs. 1 KWG nicht beeinträchtigt wird. Nicht auslagerbar sind originäre Leitungsaufgaben der Geschäftsführung, denn die Verantwortung der Geschäftsleitung darf nicht an das Auslagerungsunternehmen delegiert werden. 105 Zu den nicht auslagerbaren Leitungsaufgaben der Geschäftsleitung zählen: die Unternehmensplanung, -koordination, -kontrolle und die Besetzung der Führungskräfte." 106 Weiterhin dürfen keine Aufgaben, die der Geschäftsleitung durch den Gesetzgeber oder durch sonstige Regelungen explizit zugewiesen sind, z. B. die Entscheidung über Großkredite nach 13 bis 13b KWG oder die Festlegung der Strategie, ausgelagert werden. Besondere Maßstäbe für Auslagerungsmaßnahmen können sich ferner aus spezialgesetzlichen Regelungen ergeben. 107 Bei wesentlichen Auslagerungen 108 von Prozessen und Dienstleistungen ist eine regelmäßige Risikoanalyse durchzuführen, um sicherzustellen, dass Bankprodukte und -dienstleistungen sowie essentielle Prozesse in guter Qualität und zuverlässig erbracht werden. 109 Von den Leitungsaufgaben abzugrenzen sind Funktionen oder Organisationseinheiten, derer sich die Geschäftsleitung bei der Ausübung ihrer Leitungsaufgaben bedient. Diese können sowohl nach innen als auch durch Auslagerung nach außen delegiert werden. 110 Das Outsourcing von Funktionen der Internen Revision dient deshalb ausschließlich der Unterstützung der Unternehmensüberwachung, wobei die endgültige Verantwortung die Geschäftsleitung selbst trägt. In Abbildung 7 werden unterschiedliche Szenarien veranschaulicht. 104 BaFin (Hrsg.) (2007), S.20 (AT 9 Tz. 1). 105 Vgl. Becker, Axel / Mauer, Anette (2009), S. 26.Vgl. BaFin (Hrsg.) (2007), S.20 ff Vgl. Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4). 107 z. B. bei Bausparkassen hinsichtlich der Kollektivsteuerung oder bei Pfandbriefbanken hinsichtlich der Deckungsregisterführung und der Deckungsrechnung. (Vgl. Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4)) 108 Der Begriff der wesentlichen Auslagerung [ist] jedoch nirgends eindeutig definiert worden und somit als unbestimmter Rechtsbegriff anzusehen. Seit dem Inkrafttreten der MaRisk in der Fassung ist nunmehr im Rahmen der Entscheidungsfindung über Entscheidungsfindung über eine etwaige Auslagerung eines Prozesses/Teilprozesses respektive einer Dienstleistung institutsindividu Entscheidungsfindung über eine etwaige Auslagerung eines Prozesses/Teilprozesses respektive einer Dienstleistung institutsindividuell ell festzulegen, ob es sich bei der Auslagerung um eine nicht wesentliche oder wesentliche Auslagerung handelt. (Becker, Axel / Mauer, Anette (2009), S. 28.) 109 Vgl. Becker, Axel / Mauer, Anette (2009), S Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4).

20 Outsourcing der Internen IT-Revision bei Banken 20 Überblick über die Fallgruppen nach AT 9 MaRisk Quelle: Bantleon, Ulrich / Kranzbühler, Lutz / Ramke, Thomas (2008), S Aufgrund der individuellen Gegebenheiten im jeweiligen Unternehmen, muss grundsätzlich jedes Institut im Rahmen eines Auslagerungsvorhabens eigenverantwortlich eine Risikoanalyse erstellen. Hierbei muss unter Einbezug der maßgeblichen Organisationseinheiten festgelegt werden,

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Aktueller Stand 2 1. Einleitung 1.1 Ausgangssituation 1.2 Definitionen 1.3 Zielsetzung 1.4 Standards 2. Anforderungen an den QAR-IT-Prüfer

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T über die Softwarezertifizierung des Programms tacoss.etrade Tacoss Software GmbH Tarp Inhaltsverzeichnis Seite 1.

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Interne Revision Ressourcen optimieren Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Wertetreiber Interne Revision Internationalisierung und Wettbewerbsdruck zwingen Unternehmen dazu, ihre

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Jahresrechnung zum 31. Dezember 2014

Jahresrechnung zum 31. Dezember 2014 PRÜFUNGSBERICHT Jahresrechnung zum 31. Dezember 2014 Bolivianisches Kinderhilfswerk e. V. Stuttgart KPMG AG Wirtschaftsprüfungsgesellschaft An den Bolivianische Kinderhilfswerk e.v., Stuttgart 1 Prüfungsauftrag

Mehr

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Dr. Stefan Schlawien Rechtsanwalt stefan.schlawien@snp-online.de Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Das Thema der Korruption betrifft nicht nur!großunternehmen"

Mehr

Carl Schenck Aktiengesellschaft Darmstadt. Testatsexemplar Jahresabschluss 31. Dezember 2012. Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft

Carl Schenck Aktiengesellschaft Darmstadt. Testatsexemplar Jahresabschluss 31. Dezember 2012. Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft Carl Schenck Aktiengesellschaft Darmstadt Testatsexemplar Jahresabschluss 31. Dezember 2012 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft Inhaltsverzeichnis Bestätigungsvermerk Rechnungslegung Auftragsbedingungen,

Mehr

----------------------------------------------------------------------------------------------------------------------------------------

---------------------------------------------------------------------------------------------------------------------------------------- 0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,

Mehr

INTERNE REVISION Lösungen für ein effektives Internal Audit

INTERNE REVISION Lösungen für ein effektives Internal Audit INTERNE REVISION Lösungen für ein effektives Internal Audit \ IHR UNTERNEHMEN HAT MEHR ALS 20 UND WENIGER ALS 2.000 MITARBEITER, ABER SIE HABEN KEINE INTERNE REVISION, WEIL EINE EIGENE REVISIONSABTEILUNG

Mehr

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB) Erläuternder Bericht des Vorstands der Demag Cranes AG zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB) Erläuternder Bericht des Vorstands 1 Rechtlicher Hintergrund Das

Mehr

The AuditFactory. Copyright by The AuditFactory 2007 1

The AuditFactory. Copyright by The AuditFactory 2007 1 The AuditFactory 1 The AuditFactory Committee of Sponsoring Organizations of the Treadway Commission Internal Control System (COSO I) 2 Vorbemerkung zur Nutzung dieser Publikation Die Nutzung der hier

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014 Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014 Bericht der Revisionsstelle an den Stiftungsrat der Personal-Vorsorgestiftung

Mehr

Bericht über die gesetzliche Prüfung der. Bauverein Schweinfurt eg

Bericht über die gesetzliche Prüfung der. Bauverein Schweinfurt eg Bericht über die gesetzliche Prüfung der Bauverein Schweinfurt eg Schweinfurt Jahresabschluss: Berichtsnummer: Ausfertigung: 31.12.2014 10266-14G 4 H. Zusammengefasstes Prüfungsergebnis/Bestätigungsvermerk

Mehr

Leseauszug DGQ-Band 14-26

Leseauszug DGQ-Band 14-26 Leseauszug DGQ-Band 14-26 Einleitung Dieser Band liefert einen Ansatz zur Einführung von Prozessmanagement in kleinen und mittleren Organisationen (KMO) 1. Die Erfolgskriterien für eine Einführung werden

Mehr

Entsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex

Entsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex Entsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex Die Geschäftsführung der Kurt F.W.A. Eckelmann GmbH, Hamburg, als persönlich haftende Gesellschafterin und

Mehr

INTERNE REVISION - AKTUELLE ENTWICKLUNGEN -

INTERNE REVISION - AKTUELLE ENTWICKLUNGEN - Autor: Gerald Siebel, StB/vBP/CIA Kanzlei Siebel, Essen INTERNE REVISION - AKTUELLE ENTWICKLUNGEN - A. Einleitung I. Auch gemeinnützige Einrichtungen unterliegen einem zunehmend schnelleren Wandel der

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Working for. your. future. ...wherever. you are

Working for. your. future. ...wherever. you are GDPdU Working for your future...wherever you are Das Finanzamt versteht mehr von Ihrer elektronischen Buchhaltung als Sie glauben... Die deutsche Finanzverwaltung hat sich darauf eingestellt, die zunehmend

Mehr

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem

Mehr

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

B&B Verlag für Sozialwirtschaft GmbH. Inhaltsübersicht

B&B Verlag für Sozialwirtschaft GmbH. Inhaltsübersicht Inhaltsübersicht Der Wandel vom Verkäufermarkt zum Käufermarkt... 5 Erfinde Produkte und verkaufe sie!... 5 Finde Wünsche und erfülle sie!... 5 Der Kunde ist der Maßstab... 6 Der Kundenwunsch hat Vorrang...

Mehr

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen. Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen. Immer schon ein gutes Zeichen. Das TÜV Rheinland Prüfzeichen. Es steht für Sicherheit und Qualität. Bei Herstellern, Handel

Mehr

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr.

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Holger Sörensen Die Aufgaben des Prüfungsausschusses: Agenda Gesetzestexte Organisatorische

Mehr

Mobile Intranet in Unternehmen

Mobile Intranet in Unternehmen Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet

Mehr

StarDSL AG, Hamburg. Jahresabschlusses zum 31. Dezember 2013. und

StarDSL AG, Hamburg. Jahresabschlusses zum 31. Dezember 2013. und StarDSL AG, Hamburg Jahresabschlusses zum 31. Dezember 2013 und Lagebericht für das Geschäftsjahr 2013 BESTÄTIGUNGSVERMERK DES ABSCHLUSSPRÜFERS An die StarDSL AG, Hamburg: Wir haben den Jahresabschluss

Mehr

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010 Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen

Mehr

Social Supply Chain Management

Social Supply Chain Management Social Supply Chain Management Wettbewerbsvorteile durch Social Supply Chain Management aus ressourcenorientierter Sicht (Johannes Nußbaum) Abstract Der Druck, soziale Auswirkungen entlang der Supply Chain

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

WSO de. <work-system-organisation im Internet> Allgemeine Information

WSO de. <work-system-organisation im Internet> Allgemeine Information WSO de Allgemeine Information Inhaltsverzeichnis Seite 1. Vorwort 3 2. Mein Geschäftsfeld 4 3. Kompetent aus Erfahrung 5 4. Dienstleistung 5 5. Schulungsthemen 6

Mehr

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen: Mündliche Ergänzungsprüfung bei gewerblich-technischen und kaufmännischen Ausbildungsordnungen bis zum 31.12.2006 und für alle Ausbildungsordnungen ab 01.01.2007 Am 13. Dezember 2006 verabschiedete der

Mehr

6.4.5 Compliance-Management-System (CMS)

6.4.5 Compliance-Management-System (CMS) Seite 1 6.4.5 6.4.5 System (CMS) Grundlage eines CMS ist die Compliance. Ein CMS enthält jene Grundsätze und Maßnahmen, die auf den von den gesetzlichen Vertretern festgelegten Zielen basieren und ein

Mehr

Inhalt Vorwort Wofür Buchführung? Wie Sie von der Inventur über die Bilanz zum Konto kommen Wie Sie richtig buchen

Inhalt Vorwort Wofür Buchführung? Wie Sie von der Inventur über die Bilanz zum Konto kommen Wie Sie richtig buchen 4 Inhalt 6 Vorwort 7 Wofür Buchführung? 8 In welchem betrieblichen Zusammenhang steht die Buchführung? 10 Wer muss Bücher führen? 13 Was heißt: doppelte Buchführung? 16 Wie die Buchhaltung organisiert

Mehr

Qualitätsmanagement-Handbuch 4.0.0.0 Das QM-System 4.1.0.0 Struktur des QM-Systems

Qualitätsmanagement-Handbuch 4.0.0.0 Das QM-System 4.1.0.0 Struktur des QM-Systems s Seite 1 von 5 In diesem Kapitel wird die Struktur des in der Fachstelle eingeführten Qualitätsmanagementsystems (QMS) nach DIN EN ISO 9001:2008 beschrieben, sowie die Vorgehensweise zu seiner Anwendung,

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

(beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und Revision am 1. Dezember 2010 als Fachgutachten KFS/VU 2) Inhaltsverzeichnis

(beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und Revision am 1. Dezember 2010 als Fachgutachten KFS/VU 2) Inhaltsverzeichnis Fachgutachten des Fachsenats für Unternehmensrecht und Revision der Kammer der Wirtschaftstreuhänder über Grundsätze ordnungsmäßiger Berichterstattung bei Abschlussprüfungen von Versicherungsunternehmen

Mehr

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert. Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen im gesundheitlichen Verbraucherschutz 1 Vorwort Die in der Verordnung (EG) Nr. 882/2004 des Europäischen Parlaments und des Rates über amtliche

Mehr

Was sind Jahres- und Zielvereinbarungsgespräche?

Was sind Jahres- und Zielvereinbarungsgespräche? 6 Was sind Jahres- und Zielvereinbarungsgespräche? Mit dem Jahresgespräch und der Zielvereinbarung stehen Ihnen zwei sehr wirkungsvolle Instrumente zur Verfügung, um Ihre Mitarbeiter zu führen und zu motivieren

Mehr

Mitarbeiterbefragung als PE- und OE-Instrument

Mitarbeiterbefragung als PE- und OE-Instrument Mitarbeiterbefragung als PE- und OE-Instrument 1. Was nützt die Mitarbeiterbefragung? Eine Mitarbeiterbefragung hat den Sinn, die Sichtweisen der im Unternehmen tätigen Menschen zu erkennen und für die

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Dok.-Nr.: Seite 1 von 6

Dok.-Nr.: Seite 1 von 6 Logo Apotheke Planung, Durchführung und Dokumentation von QM-Audits Standardarbeitsanweisung (SOP) Standort des Originals: Dok.-Nr.: Seite 1 von 6 Nummer der vorliegenden Verfaßt durch Freigabe durch Apothekenleitung

Mehr

Entsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex

Entsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex Entsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex Die Geschäftsführung der Kurt F.W.A. Eckelmann GmbH, Hamburg, als persönlich haftende Gesellschafterin und

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

SEO Erfolg mit themenrelevanten Links

SEO Erfolg mit themenrelevanten Links Hinweis für Leser Dieser Leitfaden soll Ihnen einen Überblick über wichtige Faktoren beim Ranking und Linkaufbau liefern. Die Informationen richten sich insbesondere an Website-Betreiber, die noch keine

Mehr

Die Zukunft der Internen Revision

Die Zukunft der Internen Revision IIR-FORUM Band 1 Die Zukunft der Internen Revision Entwicklungstendenzen der unternehmensinternen Überwachung WP StB Univ.-Prof. Dr. Dr. h.c. Wolfgang Lück unter Mitarbeit von Dipl.-Ing. Michael Henke

Mehr

GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung der Prüfung WP StB Dr. Klaus-Peter Feld

GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung der Prüfung WP StB Dr. Klaus-Peter Feld GDV Pressegespräch am 13. März 2015 GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung der Prüfung WP StB Dr. Klaus-Peter Feld Prüfungspflicht Prüfungspflicht ergibt sich aus

Mehr

Das Ziel ist Ihnen bekannt. Aber was ist der richtige Weg?

Das Ziel ist Ihnen bekannt. Aber was ist der richtige Weg? FOCAM Family Office Das Ziel ist Ihnen bekannt. Aber was ist der richtige Weg? Im Bereich der Finanzdienstleistungen für größere Vermögen gibt es eine Vielzahl unterschiedlicher Anbieter und Lösungswege.

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Erfüllen wir Ihre Erwartungen?

Erfüllen wir Ihre Erwartungen? S Berliner Sparkasse Erfüllen wir Ihre Erwartungen? Loyalitäts- und Zufriedenheitsbefragung in der BusinessLine. Ergebnisse 2012. Vorwort Liebe Kundin, lieber Kunde, eine lebendige Kundenbeziehung entsteht

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz www.fotosearch.de

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz www.fotosearch.de Finanzierung für den Mittelstand Leitbild der Abbildung schankz www.fotosearch.de Präambel Die Mitgliedsbanken des Bankenfachverbandes bekennen sich zur Finanzierung des Mittelstands mit vertrauenswürdigen,

Mehr

Prozessoptimierung. und. Prozessmanagement

Prozessoptimierung. und. Prozessmanagement Prozessoptimierung und Prozessmanagement Prozessmanagement & Prozessoptimierung Die Prozesslandschaft eines Unternehmens orientiert sich genau wie die Aufbauorganisation an den vorhandenen Aufgaben. Mit

Mehr

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht Richtlinie des Instituts Österreichischer Wirtschaftsprüfer zur Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht einer Verwaltungsgesellschaft (Kapitalanlagegesellschaft

Mehr

Die Zukunft der Zukunftsforschung im Deutschen Management: eine Delphi Studie

Die Zukunft der Zukunftsforschung im Deutschen Management: eine Delphi Studie Die Zukunft der Zukunftsforschung im Deutschen Management: eine Delphi Studie Executive Summary Zukunftsforschung und ihre Methoden erfahren in der jüngsten Vergangenheit ein zunehmendes Interesse. So

Mehr

Inhaltsverzeichnis. 4.1 Zweck des Leitbildes... 26 4.2 Präambel... 26 4.3 Leitbild... 27

Inhaltsverzeichnis. 4.1 Zweck des Leitbildes... 26 4.2 Präambel... 26 4.3 Leitbild... 27 Vorwort... 5 1 Grundlagen der Internen Revision... 13 2 Implementierung einer Internen Revision... 14 2.1 Allgemeines... 14 2.2 Ausgangslage... 14 2.3 Gründe für die Implementierung... 14 2.4 Trends in

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.» «PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.» www.pse-solutions.ch ANTOINE DE SAINT-EXUPÉRY 1 PROJECT SYSTEM ENGINEERING

Mehr

Beratung, Projektmanagement und Coaching

Beratung, Projektmanagement und Coaching new solutions GmbH IT Consulting 2 IT Consulting Software Development IT Training Software Products Beratung, Projektmanagement und Coaching new solutions business software 3 --- Die Experten der new solutions

Mehr

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII Ziel- und Qualitätsorientierung Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII Qualität? In der Alltagssprache ist Qualität oft ein Ausdruck für die Güte einer

Mehr

Market & Sales Intelligence. Vertrieb und Kundenbetreuung bei Banken und Finanzinstituten auf dem Prüfstand

Market & Sales Intelligence. Vertrieb und Kundenbetreuung bei Banken und Finanzinstituten auf dem Prüfstand Market & Sales Intelligence Vertrieb und Kundenbetreuung bei Banken und Finanzinstituten auf dem Prüfstand Starcom AG wurde vor über 20 Jahren gegründet. Seit über 10 Jahren sind wir für Unternehmen in

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität

Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität Marcus Winteroll oose GmbH Agenda I. Ziele und Zusammenarbeit II. Was wir vom agilen Vorgehen lernen

Mehr

Datenprüfung. Analyse von Datenbeständen

Datenprüfung. Analyse von Datenbeständen Datenprüfung Analyse von Datenbeständen Datenprüfungen Die Daten eines Unternehmens sind ein wichtiges Fundament für eine erfolgreiche Geschäftstätigkeit. Aus ihnen lassen sich risikorelevante Faktoren

Mehr

Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG

Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG 1 Allgemeines (Stand 17.04.2015) (1) Der Vorstand führt die Geschäfte der ICG nach Maßgabe der Gesetze, der Satzung und der

Mehr

Die Unternehmensstrategie Die Ziele der nächsten Jahre

Die Unternehmensstrategie Die Ziele der nächsten Jahre Die Unternehmensstrategie Die Ziele der nächsten Jahre j u n [Wecken g kreativ individuell Die Unternehmensstrategie ist ein sehr weit gefasster Begriff in der Wirtschaft, doch ist für die meisten Unternehmen,

Mehr

RISIKOMANAGEMENT IM UNTERNEHMEN

RISIKOMANAGEMENT IM UNTERNEHMEN RISIKOMANAGEMENT IM UNTERNEHMEN Studie zum Einsatz von Risikomanagement-Vorgehensweisen in Unternehmen Risikomanagement ist ein wesentlicher Bestandteil der Unternehmensführung. Aber in welchen Firmen

Mehr

Teil - I Gesetzliche Anforderungen an IT-Sicherheit

Teil - I Gesetzliche Anforderungen an IT-Sicherheit Teil - I an IT-Sicherheit Unternehmensrisiken (Einleitung Abschnitt-1) Jedes Unternehmen ist Risiken 1 ausgesetzt oder geht Risiken bewusst manchmal auch unbewusst ein. Risiken können entstehen in den

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Studie zum Management und Controlling von Reputationsrisiken. Kurzzusammenfassung

Studie zum Management und Controlling von Reputationsrisiken. Kurzzusammenfassung Studie zum Management und Controlling von Reputationsrisiken Kurzzusammenfassung August 2014 Studienziele und -inhalte Nicht zuletzt durch die Finanzmarktkrise und eine zunehmende Wettbewerbsverschärfung

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems Name: Bruno Handler Funktion: Marketing/Vertrieb Organisation: AXAVIA Software GmbH Liebe Leserinnen und liebe Leser,

Mehr

Mitarbeiter, Kunden und Partner im Fokus der Qualitätssicherung logistischer Kooperationen

Mitarbeiter, Kunden und Partner im Fokus der Qualitätssicherung logistischer Kooperationen Mitarbeiter, Kunden und Partner im Fokus der Qualitätssicherung logistischer Kooperationen - Erfahrungen, Probleme und Lösungsansätze - EQUAL-Teilprojekt: Durchführung: Ansprechpartner: Integriertes Management

Mehr

verstehen entwickeln begleiten UnternehmerBerater Strategieentwicklung Chancen erkennen, Zukunft gestalten.

verstehen entwickeln begleiten UnternehmerBerater Strategieentwicklung Chancen erkennen, Zukunft gestalten. verstehen entwickeln begleiten 1 5 3 6 2 4 UnternehmerBerater Strategieentwicklung Chancen erkennen, Zukunft gestalten. verstehen Ihr Vorteil mit RTS: Gut aufgestellt sein für Kommendes mit Führungskräften

Mehr

Mit dem richtigen Impuls kommen Sie weiter.

Mit dem richtigen Impuls kommen Sie weiter. Mit dem richtigen Impuls kommen Sie weiter. Editorial ERGO Direkt Versicherungen Guten Tag, die Bedeutung von Kooperationen als strategisches Instrument wächst zunehmend. Wir haben mit unseren Partnern

Mehr

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter IT OUTSOURCING Wie die IT durch Transparenz zum internen Dienstleister wird Herford, 13.09.2012, Steffen Müter Vorurteile gegenüber IT Abteilungen...ihr seid zu langsam...es gibt immer Ausreden, wenn etwas

Mehr

München, 17.08.2011. Themenvorschläge für Abschlussarbeiten Zur Abstimmung mit Prof. Brecht

München, 17.08.2011. Themenvorschläge für Abschlussarbeiten Zur Abstimmung mit Prof. Brecht München, 17.08.2011 Themenvorschläge für Abschlussarbeiten Zur Abstimmung mit Prof. Brecht Am 04.08.2011 in Ulm wurde das Themengebiet als der zentrale Anknüpfungspunkt für Abschlussarbeiten definiert

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Business Process Outsourcing. in Partnerschaft mit den Besten gewinnen. Business Process Outsourcing

Business Process Outsourcing. in Partnerschaft mit den Besten gewinnen. Business Process Outsourcing Business Process Outsourcing in Partnerschaft mit den Besten gewinnen Business Process Outsourcing Veränderung heißt Gewohntes loszulassen und bereit sein Neues zu empfangen. Norbert Samhammer, CEO Samhammer

Mehr

Con.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service

Con.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service Con.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service Jana Brinck - SAM Consultant Der globale IT Lösungsanbieter! Niederlassungen in 24 Ländern! Handel

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen

Mehr

1.1 Ausgangssituation 1

1.1 Ausgangssituation 1 1.1 Ausgangssituation 1 1 Einleitung 1.1 Ausgangssituation Das produzierende Gewerbe hat maßgeblichen Einfluss auf die wirtschaftliche Entwicklung in Deutschland. 2012 erwirtschafteten 209.370 Unternehmen

Mehr

Führendes deutsches CRM - Dienstleistungsunternehmen

Führendes deutsches CRM - Dienstleistungsunternehmen Führendes deutsches CRM - Dienstleistungsunternehmen Benchmarking der Finanzfunktion und Markteintrittsanalyse für den F&A BPO Markt Case Study 0 (Seitenzahl: Arial, Schriftgröße 9, zentriert) Die Aufgabenstellung

Mehr