Outsourcing der Internen IT-Revision bei Banken

Größe: px
Ab Seite anzeigen:

Download "Outsourcing der Internen IT-Revision bei Banken"

Transkript

1 Ramin Niroumand Outsourcing der Internen IT-Revision bei Banken Voraussetzungen und Nutzenoptimierung Mit einem Vorwort von Elmar Schwager, The AuditFactory.

2 Outsourcing der Internen IT-Revision bei Banken 2 Inhaltsverzeichnis 1 Einleitung 5 2 Grundlagen Einordnung und Entwicklung der Internen Revision Aufgaben und Ziele der Internen IT-Revision Risiken einer unsachgemäßen Internen IT-Revision Gesetzliche Grundlagen Bedeutung von Outsourcing für Kreditinstitute Rechtliche Einschränkungen Outsourcing der Internen Revision Formen des Outsourcings der Internen Revision 23 3 Grundlagen für eine wirksame Auslagerung der Internen Revision Organisatorische Voraussetzungen Risikoorientierte Prüfungsplanung 29 4 Faktoren zur Optimierung des Nutzens Vorüberlegungen Eignung des Outsourcingpartners als Faktor 39 5 Schluss Zusammenfassung der Ergebnisse Kritische Würdigung Ausblick 46

3 Outsourcing der Internen IT-Revision bei Banken 3 Abkürzungsverzeichnis Abkürzung AO AKtG BaFin BDSG BSI BMF CAE CIA CIO COBIT Erläuterung Abgabenordnung Aktiengesetz Bundesanstalt für Finanzdienstleistungen Bundesdatenschutzgesetz Bundesamt für Sicherheit in der Informationstechnik Bundesministerium für Finanzen Chief Audit Executives Certified Internal Auditor Chief Information Officer Control Objectives for Information and Related Technology DIN Deutsches Institut für Normung e. V. GoB GoDV GoBS GDPdU HGB IBM IDW IIA IIR IR ISO IT ITIL KonTraG KWG MaRisk QA WP Grundsätze ordnungsgemäßer Buchführung Grundsätze ordnungsmäßiger Datenverarbeitung Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Handelsgesetzbuch International Business Machines (Corporation) Institut der Wirtschaftsprüfer in Deutschland e.v. Institute of Internal Auditor Deutsches Institut für Interne Revision e.v. Interne Revision ISO - International Organization for Standardization Informationstechnologie IT Infrastructure Library (ITIL) Kontrolle und Transparenz im Unternehmensbereich Gesetz über das Kreditwesen Mindestanforderungen an das Risikomanagement Quality Assessment Wirtschaftsprüfer

4 Outsourcing der Internen IT-Revision bei Banken 4 Vorwort The AuditFactory ist eines der führenden Unternehmen für das Partnering und Outsourcing der Internen Revision. Partnering ist die Zusammenarbeit mit Revisionsabteilungen aller Branchen und Größen, wohingegen Outsourcing die komplette Übertragung der Revisionsfunktion auf einen Dienstleister meint. Die vor mehreren Jahren aus den USA aufkommende Diskussion um ein Teil- oder Komplettoursourcing der Internen Revision wurde nicht immer sachlich geführt. Bereits zu ihrem Beginn formulierte der amerikanische Dachverband IIA seine Bedenken, die Interne Revision komplett auf einen Dienstleister auszulagern, in einem Positionspapier. Das war von der Reaktion her logisch, aber nicht in jedem Punkt überzeugend. Einige deutsche Autoren folgten dieser Position indem sie sie kopierten, ohne dass die thesenunermauernden Argumente besser wurden. Das Deutsche Institut für Interne Revision schweigt bis heute zu diesem wichtigen Thema. Hinter dieser Diskussion stand die Angst des Überflüssigwerdens etablierter Revisionsfunktionen, die externe Dienstleister zunächst einmal als Gefährdung ihrer eigenen Existenz begriffen, ohne die damit verbundenen Vorteile sehen zu wollen. Die Diskussion hat sich mittlerweile versachlicht, auch darum, weil die Revisionsabteilungen festgestellt haben, dass die externen Dienstleister ebenfalls nur mit Wasser kochen, wenn sie Tee trinken wollen. Und so mancher Hochglanzprospekt hat sich als das offenbart, was er ist: eine Packung heiße Luft. Insofern ist die Diskussion sachlicher und die Zusammenarbeit mit den externen Dienstleistern professioneller geworden. Bei Ausschreibungen wird mehr auf die Personen, ihre Vita und ihren fachlichen Hintergrund geachtet als auf den Firmennamen, der auf der Visitenkarte steht Ausnahmen selbstverständlich immer möglich, wie etwa bei dem Einkauf von Quality Assessments bei den Wirtschaftsprüfungsgesellschaften als Persilschein für die Revisionsabteilungen. Die Revisionsabteilungen begreifen den Zugriff auf Externe für Spezialthemen oder auch schlichtweg als Kapazitätserweiterung mittlerweile zunehmend als Vorteil; dieser bewusstseinsbildende Prozess ist aber noch nicht abgeschlossen. Es muss auch gesagt werden, dass ein guter Dienstleister eine schlechte Revision natürlich gefährden kann. Insofern ist eine Modernisierung und Neuausrichtung an der einen oder anderen Stelle sicherlich notwendig. Die Zusammenarbeit mit einem erfahrenen Dienstleister kann aber auch Know-how importieren, das für die Stärkung der Internen Revision genutzt werden kann. Und noch eine weitere Entwicklung ist festzustellen: Die kleinen Organisationen, die sich vor einigen Jahren mit dem Thema Interne Revision noch gar nicht beschäftigt haben, kommen vermehrt auf uns zu, um ihre Interne Revision in die Hände eines Externen zu legen. Dort überwiegen die Vorteile des Zugriffs auf erfahrene Experten den Nachteil des Außerhausgebens wohl immer noch. Ramin Niroumand hat, nicht zuletzt mit Unterstützung von The AuditFactory in Bezug auf die Lieferung von Materialien, aber auch als Gesprächspartner, eine Arbeit vorgelegt, die in zweierlei Hinsicht bemerkenswert und wichtig ist: Zum einen widmet er sich einem Thema, das klassischerweise zum Outsourcing geeignet ist der IT-Revision zum anderen beschäftigt er sich ausführlich mit der Branche der Finanzdienstleister. Wir veröffentlichen diese Arbeit in Abweichung von unseren sonst geltenden Grundsätzen, die Working Papers eigentlich als praxisorientierte Arbeiten von Fachkollegen definieren. Wir glauben, dass der Inhalt einem größeren Fachpublikum zugänglich gemacht werden sollte und dass er für ihn von Interesse ist. Auch darum sollte er nicht in der Schublade verschwinden. Wir freuen uns darüber, dass der Autor sich für eine Veröffentlichung bei uns entschieden hat und wünschen uns engagierte, aber entspannte Diskussionen. Elmar Schwager Bietigheim-Bissingen, 7. Dezember 2010 Geschäftsleitung The AuditFactory

5 Outsourcing der Internen IT-Revision bei Banken 5 1 Einleitung In der Krise soll man Ruhe bewahren, einen klaren Kopf behalten, die eigenen Stärken und Chancen analysieren, Verbündete suchen. Und immer wieder: richtig kommunizieren. 1, so der TUI-Chef Michael Frenzel in der Süddeutschen Zeitung. Die Banken müssen nach Verbesserungspotenzialen suchen, damit sie auch in Krisenzeiten handlungs- und wettbewerbsfähig bleiben. Nach einer aktuellen Studie 2 der Hochschule Karlsruhe wollen Kreditinstitute deshalb vor allem mittels Optimierung ihrer IT-Prozesseffizienz reagieren. 3 Auch die Banken-IT-Studie 2009 der Unternehmensberatung Capgemini belegt: 56 Prozent planen eine Prozessoptimierung, um die derzeitigen Aufgaben zu meistern. Das ist der Spitzenwert aller genannten Maßnahmen. 4 Weiterhin sollten die IT-Anwendungen im Risikomanagement verbessert werden, mit dem Ziel einer erhöhten Transparenz. 5 In einer Studie des Institute of Internal Auditor (IIA) nehmen die Mehrheit der 524 befragten Chief Audit Executives (CAE) 6 nicht an, dass ein besseres Risikomanagement die gegenwärtige Krise verhindert hätte, jedoch zeigt diese Studie die Existenz von Risiken mit weltweiter Vernetzung und den Bedarf einer notwendigen Steuerung. 7 Auch die Auslagerung ganzer IT-Bereiche an externe Anbieter wird vermehrt in den Banken diskutiert. 8 Diese Diskussion wird von der vergleichsweise hohen Fertigungstiefe, d.h. dem Anteil selbst erbrachter Leistungen im Verhältnis zur Gesamtleistung, in Kreditinstituten 9 verstärkt. Zurzeit beträgt sie bei Kreditinstituten ca. 80 %, währenddessen die Fertigungstiefe z.b. in der Automobilindustrie ca. 25 % beträgt 10 und das obwohl Finanzgeschäfte traditionell eine hohe Abhängigkeit zur IT aufweisen und einen entscheidenden Vorteil besitzen: Geld lässt sich ausgezeichnet digitalisieren. Hieraus resultiert die Frage, inwieweit ursprünglich interne Bankdienstleistungen unter Konzentration auf das Kerngeschäft und Wahrung einer ordnungsmäßigen Geschäftstätigkeit auf Dritte ausgelagert werden können, um Risiken besser zu steuern und Prozesse effizienter gestalten zu können. 11 Zur wirksamen und angemessenen Überwachung der Risiken, aber auch zur Steigerung der Effizienz von IT-Prozessen/IT-Systemen, ist nach den Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungen (BaFin) ein Risikomanagement unter Berücksichtigung der Risikotragfähigkeit einzuführen, welches insbesondere die Festlegung angemessener Strategien und interner Kontrollverfahren umfasst. Diese bestehen aus dem Internen Kontrollsystem (IKS) und der Internen Revision. 12 Die Leistungen der Internen Revision 13 von Kreditinstituten können ausgelagert werden, unterliegen jedoch höheren rechtlichen und regulatorischen Anforderungen als andere Unternehmensbereiche und prozesse. Diese Problematik wird in Kapitel 2.3 und 3.1 vertieft. Eine Definition für Interne Revision, die unabhängig von Größe und Branche der Unternehmen allgemeinhin gilt, wird nach dem IIA, bzw. dem Deutschen Institut für Interne Revision e.v. (IIR), wie folgt formuliert: 14 : 1 Meite Thiede / Frenzel, Michael (2007), im Hauptframe (siehe Internet- / Intranetverzeichnis). 2 Nees befragte 165 Führungskräften privater Universalbanken, Direktbanken und Sparkassen. (Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 3 Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 4 Ebenda. 5 Vgl. ebenda. 6 Auf die Rollen und Aufgaben eines CAE wird in der Arbeit noch genauer eingegangen (siehe ). 7 Vgl. Institute of Internal Auditor / IIA Research Foundation (Hrsg.) (II) (2009), S.1. 8 Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 9 Kreditinstitute sind Unternehmen, die Bankgeschäfte gewerbsmäßig betreiben, 1 Abs. 1 S. 1 KWG. 10 Vgl. Becker, Axel / Mauer, Anette (2009), S Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. / Hansch, Simon (2009), S Bafin (Hrsg.) (2007), S.3 (MaRisk AT 1 Tz. 1). 13 Bisher hatte sich noch keine abschließende einheitliche Terminologie etabliert. Begriffe wie Interne Revision, Innenrevision sowie internes Revisionssystem werden synonym verwendet. Zusätzlich variiert die Schreibweise. (Amling, Thomas / Bantleon, Ulrich (2007), S. 51.) 14 Peemöller, Voker H. (I) (2008), S. 3.

6 Outsourcing der Internen IT-Revision bei Banken 6 Die interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft. 15 Die Definition lässt bereits erkennen, welche Bandbreite der internen Leistungen die Interne Revision als Querschnittsfunktion im Unternehmen erbringt 16 und welchen Einfluss sie damit auf die Unternehmensentwicklung ausübt, um Ziele wie Wertsicherung und Wertsteigerung zu erreichen. Zur Bedeutungszunahme tragen die Ausweitungen der Organisationsverantwortung der Unternehmensleitung im Rahmen der Weiterentwicklung der Corporate Governance 17 sowie die wachsende Bedeutung der Bekämpfung von Wirtschaftskriminalität bei. 18 Eine Voraussetzung, um der Internen Revision eine Erhöhung der Prozesseffizienz bei gleichzeitiger Einhaltung der regulatorischen Anforderungen zu ermöglichen, ist die Risikoorientierung im Prüfungsansatz (siehe auch 3.2.1). 19 Kreditinstitute sind zur Risikoorientierung aus den MaRisk verpflichtet: 20 : Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht. ( ) 21 Die Durchführung der genannten Prüfungspflichten erfordert eine angemessene Kapazitätsausstattung der Internen Revision. Die Verantwortung hierfür obliegt der Geschäftsleitung und fällt in die Überwachungspflicht des Aufsichtsrates. 22 In der Praxis besteht die Gefahr, dass z. B. durch unzureichende Ressourcen oder fehlendes Spezialwissen in der Revisionsabteilung für das Unternehmen kritische Prozesse und die damit verbundenen Risiken nicht angemessen erfasst und mögliche Potenziale nicht ausgeschöpft werden können. 23 Hinzu kommt, dass Aufgabeninhalte und Zielsetzungen der Internen Revision durch zahlreiche gesellschaftliche, wirtschaftliche und gesetzliche Entwicklungen fortwährend angepasst werden müssen. 24 Diese Dynamik steigert die Anforderung an die Interne Revision 25 und stellt die Unternehmensführung vor Herausforderungen, die Überwachungsfunktion in angemessener und effizienter Weise auszuüben. Die Ursachen dafür sind: Zeitmangel, fehlendes Spezialwissen, fehlendes Methodenwissen, fehlende Unabhängigkeit oder Objektivität und mangelndes Bewusstsein für die Notwendigkeit der umfassenden Überwachung Deutsches Institut für Interne Revision e.v. (Hrsg.) (II.I) (2008), im Hauptframe (siehe Internet- / Intranetverzeichnis). 16 Hölscher, Luise / Rosenthal, Johannes (I) (2008), S Rechtlicher und faktischer Ordnungsrahmen zur Leitung und Entwicklung eines Unternehmens (Vgl. von Werder, Axel (2003), S.4) 18 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. Schwager, Elmar (I) (2003), S Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S Bafin (Hrsg.) (2007), S.52 (MaRisk AT 4.4 Tz. 3). 22 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S Vgl. Schwager, Elmar (I) (2003), S Vgl. Deutsches Institut für Interne Revision e.v. (Hrsg.) (I) (2005), S Amling, Thomas / Bantleon, Ulrich (2007), S Peemöller, Voker H. (II) (2008), S. 147 ff..

7 Outsourcing der Internen IT-Revision bei Banken 7 Diese Problembereiche einer etablierten Internen Revision können einen Einfluss auf die Ordnungsmäßigkeit und Angemessenheit des Risikomanagements haben und somit auf die Geschäftsführung rückwirken. Unter Umständen führt dies zur Haftung oder anderen Sanktionsmechanismen. 27 Wird aufgrund von Flexibilitäts-, Kosten- oder Professionalitätsgesichtspunkten eine etablierte Revision durch die Geschäftsführung nicht gewünscht, so kann ein Outsourcing der Revision diese Problematik verhindern oder zumindest vermindern. 28 Eine allgemeine Definition von Outsourcing im Zusammenhang mit Interner Revision liefert das Deutsche Institut für Interne Revision e.v. (IIR): Der Begriff Outsourcing (Outside Ressource Using) beinhaltet die Idee, betriebliche Funktionen auf externe Dritte auszulagern, die die betreffenden Funktionen für die Unternehmen selbständig erbringen. Outsourcing von Revisionsleistungen bedeutet, dass entweder nur einzelnen Revisionstätigkeiten oder die gesamten unternehmensinternen Revisionsfunktionen auf einen externen Dienstleister übertragen werden. 29 Besonders die Informationstechnologie stellt die Interne Revision aufgrund ihrer wachsenden Bedeutung und ihrer schnellen Entwicklungszyklen vor neue Herausforderungen. So benötigen Informations- und Kommunikationstechniken als Prüfungsobjekt den Einsatz von Revisionsspezialisten in weit größeren Umfang als andere Prüfbereiche. 30 Aus diesem Grund bezeichnet die Literatur den Teilbereich IT-Revision 31 als besonders für das Outsourcing geeignet. Ferner ist die IT- Revision eine wichtige Erfolgsdeterminante eines Kreditinstituts, wenn auch immer noch nicht als solche anerkannt. 32 Unter Voraussetzung der oben genannten Prämissen lässt sich die Annahme bilden, dass durch die Auslagerung der IT-Revision und einer damit verbundenen Steigerung der Expertise auf diesem Gebiet, die Prozesseffizienz im eigenen Unternehmen gesteigert werden kann. Das Ziel der Arbeit ist eine Veranschaulichung, welche Voraussetzungen erfüllt sein müssen, damit eine Auslagerung der Internen IT-Revision effektiv zur Erreichung der Unternehmensziele beitragen kann. Anschließend werden relevante Faktoren zur Optimierung des Nutzens näher beleuchtet. Dazu wird in einem ersten Schritt auf grundlegende Eigenschaften der Internen IT- Revision, des Outsourcings sowie auf relevante gesetzliche und regulatorische Rahmenbedingungen eingegangen. Berücksichtigt werden hierbei insbesondere für Kreditinstitute spezifische Regelungen und Standards der Internen Revision. Anschließend werden die organisatorischen Voraussetzungen für die Auslagerung und die risikoorientierte Prüfungsplanung erläutert. Darauf aufbauend bildet der Autor im Hinblick auf die Forschungsfrage zwei Thesen, die in der Schlussbetrachtung unter Berücksichtigung der nutzenbeeinflussenden Faktoren analysiert werden. Die Erkenntnisse über die zur Diskussion stehenden Faktoren, Verbesserung des Informationsflusses und die Wahl des richtigen Outsourcingpartners, werden mittels Experteninterviews gewonnen. Die Meinungen der Experten werden dabei thematisch zugeordnet und entsprechend ihrer Wirkung auf den Nutzen analysiert. Bei der Durchführung der Interviews wurde die Methodik des Leitfadeninterviews, ein Mittel der qualitativen Forschung 33, verwendet. Die Auswahl der Experten wurde unter der Prämisse einer angemessen Repräsentation für eine Gruppe 34 getroffen. Gemäß dem induktiven Ansatz sollen von spezifischen Aussagen allgemeine Erkenntnisse gewonnen werden. So stellen Schwager, Wittjen und Lehmann jeweils einen Repräsentanten der potentiellen 27 Vgl. Schwager, Elmar (I) (2003), S Schwager, Elmar (I) (2003), S Deutsches Institut für Interne Revision e.v. (Hrsg.) (III) (1999), S Vgl. Deutsches Institut für Interne Revision e.v. (Hrsg.) (I) (2005), S Vgl. u.a. Schwager, Elmar (I) (2003), S / Peemöller, Voker H. (II) (2008), S. 153 ff. / KPMG (Hrsg.) (2009), S Sowa, Alexandra S Vgl. Mayer, Horst O. (2006), S Vgl. ebenda, S In den im Anhang beigefügten Gesprächsprotokollen befindet sich jeweils eine Beschreibung der Befragten.

8 Outsourcing der Internen IT-Revision bei Banken 8 Outsourcingpartner dar. Kendel repräsentiert als Leiter der Internen IT-Revision bei der Commerzbank AG die Unternehmensseite. Alle Befragten haben langjährige Erfahrungen im Bereich der Internen Revision oder IT-Revision und arbeiten in einer Position mit Führungsaufgaben. 35 Abschließend erfolgen eine Bewertung der Ergebnisse, sowie ein Ausblick, der auch den weiteren Forschungsbedarf darstellt. Ergeben sich im Rahmen der vorliegenden Arbeit keine Differenzierung durch Prüfungsfokus Informationstechnologie werden die Begriffe Interne Revision und Interne IT-Revision als Synonyme verwendet, d.h. solange keine Unterscheidung stattfindet, gelten die gültigen Regelungen oder Eigenschaften der Internen Revision auch für die IT-Revision, da diese als Teildisziplin anzusehen ist. Nicht Gegenstand dieser Arbeit sind Untersuchungen die zeigen, ob eine Auslagerung effizienter ist als eine In-House Lösung. Es werden auch nicht die theoretischen Ansätze zur Risikoidentifikation und -bewertung, die Theorien zur Dienstleisterqualität oder die Auswirkungen von Prüfungssoftware weiter betrachtet. 2 Grundlagen 2.1 Einordnung und Entwicklung der Internen Revision Die Interne Revision ist organisatorisch als eine Stabstelle der Unternehmensführung, die prozessunabhängige Überwachungsleistungen zur Unterstützung der Unternehmensführung erbringt sowie als integraler Bestandteil des Internen Kontrollsystems (IKS) zu verstehen. Amling / Bantleon halten eine stete und gründliche Überwachung für eine Grundvoraussetzung zur effizienten und zukunftsorientierten Unternehmensführung. Überwachung: Systematischer mehrstufiger Informations- und Entscheidungsprozess, der alle Maßnahmen umfasst, durch die festgestellt werden soll, ob Zustände oder Prozesse einer Norm entsprechen sowie normgerecht und wirtschaftlich durchgeführt werden. 36 Alle Aktivitäten im Rahmen des unternehmerischen Überwachungsprozesses werden im Überwachungssystem gebündelt, wie Abb. 1 veranschaulicht. Dies zeigt, dass die Überwachung sowohl im Auftrag Dritter (extern), als auch im Auftrag der Unternehmensleitung (intern) erfolgen kann. Die Überwachung im Auftrag Dritter umfasst die Institutionen Aufsichtsrat, Abschlussprüfer, Aufsichtsbehörden (z.b. BaFin bei Banken), Betriebsprüfungen und die Prüfstelle für Rechnungslegung nach 342b HGB. 37 Das interne Überwachungssystem setzt sich aus den Bereichen Organisatorische Sicherungsmaßnahmen, Controlling, Interne Revision und der Querschnittsfunktion Risikomanagement zusammen Korndörfer, W. / Peez, L. (1993), S Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. Paetzmann, Karsten (2008)

9 Outsourcing der Internen IT-Revision bei Banken 9 Abb. 1: Controlling und Risikomanagement als Komponenten des unternehmerischen Überwachungssystems Quelle: Freidank, Carl-Christian (Hrsg.) (2005), S.18. Aufgrund ihrer prozessunabhängigen Überwachungshandlungen ist die Interne Revision eine Kernfunktion innerhalb des Internen Überwachungssystems. 39 Die unternehmerische Überwachungsfunktion unterliegt aufgrund von Veränderungen im Unternehmen bzw. in dessen Umfeld einem stetigen Anpassungsprozess. Dies gilt insbesondere für die Interne Revision als dem wichtigsten Instrument der internen Überwachung. 40 Die in Abschnitt 1 genannte Definition des IIR impliziert den eingeleiteten Wandel. Nicht mehr die Unternehmensführung allein, sondern die gesamte Organisation wird von der IR unterstützt. 41 Als Folge des gesetzlichen und bankenaufsichtrechtlichen Paradigmenwechsels (u.a. Sarbanes-Oxley-Act, Basel II, KonTraG, KWG 25a) vollzog sich seit der Jahrtausendwende 42 ein Wandel im Rollenverständnis der Revision. Weg von einer reinen quantitativen Aufsicht, hin zu einer mehr prinzipienorientierten qualitativen und präventiven Aufsicht 43 lautet das Ziel. Die wertvollen Informationen, die ein Interner Revisor bei seiner Arbeit erlangt, sollen mittels Beratungsgesprächen, Berichten oder dem Einsatz von Prüfungswerkzeugen an die entsprechenden Fachabteilungen bzw. an das Management übermittelt werden, um den Nutzen der Internen Revision zu steigern. 44 Die Interne Revision bzw. die ihr zugeordnete IT-Revision hat sich zu einem elementaren Bestandteil des Füh- 39 Freidank, Carl-Christian (Hrsg.) (2005), S Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. Peemöller, Voker H. (I) (2008), S Solch ein Wandel ist ein schleichender Prozess und somit lässt sich kein exaktes Datum definieren. Jedoch verweisen mehreren Quellen auf einen Wandel zum Ende der 90er Jahre bzw. zu Beginn des 21 Jahrhunderts. (siehe hierfür u.a.: Schwager, Elmar (I) (2003), S / Englisch, Rainer (2008), S. 77. / Amling, Thomas / Bantleon, Ulrich (2007), S. 202 ) 43 Englisch, Rainer (2008), S Vgl. Peemöller, Voker H. (I) (2008), S. 3.

10 Outsourcing der Internen IT-Revision bei Banken 10 rungsprozesses 45 der Banken entwickelt. Während der IT-Controller direkt im Tagesgeschäft mitwirkt, sollte die IT-Revision unabhängig und indirekt tätig sein. Die Prüfungs- und Beratungsleistungen decken nicht das Gesamtspektrum der IT ab, sondern konzentrieren sich auf bestimmte, besonders risikobehaftete Gebiete. 46 Eine im März 2009 veröffentlichte Studie der Wirtschaftsprüfungsgesellschaft KPMG zum Thema IT Internal Audit functions in Europe, the Middle East and Africa, kommt zur zentralen Aussage: Many organizations face a continually changing set of pressures and dynamics in the current economic climate. Faced with shrinking markets, they can choose to rationalize, merge or contract. The technology thread which holds systems and processes together is at risk. As a consequence, IT Internal Audit plays an integral role in maintaining discipline and rigor across functions and geographies. 47 Dies verdeutlicht, dass die Interne IT-Revision sich weiterhin im Wandel befindet und vor dem Hintergrund der aktuellen Finanzmarktkrise zusätzlich an Bedeutung gewinnt. Der Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach- Gesellschaft für Betriebswirtschaft e.v. fasste im Jahr 2006 die Anforderungen an eine Interne Revision, wie sie im Zuge der neueren Entwicklungen definiert werden müssen, in 14 Thesen zusammen. 48 Der Autor verzichtet auf eine weitere Betrachtung, da die Entwicklung der Internen Revision nicht relevant im Hinblick auf diese Arbeit ist, und verweist auf die genannte Quelle und dessen kritische Betrachtung von Elmar Schwager 49 und Udo Strauß 50. Festzuhalten bleibt, dass Beruf und Berufsbild eines Internen Revisors nicht verbindlich beschrieben sind. Dies unterscheidet ihn etwa vom Abschlussprüfer, bei dem die Voraussetzungen zur Siegelführung verbindlich definiert sind. Folglich ist, neben einem Rückgriff auf die Standards für die berufliche Praxis der Internen Revision, eine Konsultation von Best Practices anderer Professionen notwendig. Die ausschließliche Fokussierung auf kodifizierte Grundlagen (Standards, Rundschreiben, etc.) ist unzureichend, entspricht nicht Best Practice und kann auch zwingend nicht zu einem Best Practice-Ansatz führen. 51 Deshalb ist es wichtig, die Praxis professioneller Interner Revisionsabteilungen in diese Arbeit einfließen zu lassen, weil viele und vor allem innovative Impulse aus der Praxis heraus kommen. 52 In Kapitel 4 werden daher Aussagen von Revisoren mit ungleichen Blickwinkeln verwertet. 2.2 Aufgaben und Ziele der Internen IT-Revision Aufgabenstellung und Verantwortung einer Internen Revision müssen von der Geschäftsführung selbst festgelegt werden. 53 Zu dieser Verantwortung zählen insbesondere das Aufgabengebiet, die Struktur und das Qualitätsmanagement sowie die personelle und sachliche Ausstattung der Internen Revision. 54 Aus 93 AktG und 43 GmbHG ergeben sich Verpflichtungen hinsichtlich einer ordnungsgemäßen Geschäftsabwicklung. Eine Geschäftsführung ist insbesondere verantwortlich für: die ausreichende qualitative und quantitative personelle Besetzung der internen Revision, die Genehmigung der Revisionspläne, die Überwachung der Tätigkeit der Internen Revision und 45 Sowa, Alexandra (2007), S Vgl. ebenda (2007), S. 82 ff.. 47 KPMG (Hrsg.) (2009), S Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.v., Köln (Hrsg.) (2006), S. 225 ff.. 49 Siehe Anhang: Genauere Personenangaben zu Elmar Schwager, Experte im Bereich Interne Revision. 50 Siehe: Schwager, Elmar / Strauß, Udo (2006), S Schwager, Elmar / Strauß, Udo (2006), S Vgl. Schwager, Elmar / Strauß, Udo (2006), S Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.v., Köln (Hrsg.) (2006), S. 225.

11 Outsourcing der Internen IT-Revision bei Banken 11 die Entscheidung über die Abstellung der in den Revisionsberichten aufgezeigten Mängel. 55 Soweit die Interne Revision ausgelagert ist und durch eine externe Stelle wahrgenommen wird, bleiben die Prüfungsplanung, die Überwachung der Prüfungsdurchführung durch den externen Dienstleister sowie die Nachschau der Revisionsprojekte Aufgabe der Unternehmensleitung. 56 Inwieweit die Auslagerung der Internen IT-Revision bei Kreditinstituten Einschränkungen unterliegt, wird in Abschnitt behandelt. Weiterhin sind die für die Jahresabschlussprüfung geltenden Anforderungen zwangsläufig auch für die Interne Revision relevant. Sie können deshalb im Auftrag der Geschäftsleitung an die Interne Revision nicht unberücksichtigt bleiben. In Abschnitt 2.2 wird genauer auf die rechtliche Verankerung der Internen Revision eingegangen. 57 Generell hat die Revision risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems (IKS) im Besonderen zu beurteilen und zu prüfen, unabhängig davon, ob diese ausgelagert ist oder nicht. 58 Die gesetzliche Vorgaben für das IKS befinden sich für Kreditinstitute in 25a Abs. 1 KWG, welche in AT 4.3 Internes Kontrollsystem der MaRisk präzisiert werden. Das IKS besteht aus den Regelungen zur Aufbau- und Ablauforganisation sowie den Prozessen zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken kurz Risikosteuerungs- und - controllingprozesse. 59 In Abschnitt wurde bereits dargestellt, inwieweit sich der Fokus und dementsprechend auch das Aufgabenfeld der Internen Revision gewandelt hat. Die klassischen Felder Financial Auditing, Compliance und Operational Auditing wurden durch Management Auditing und Internal Consulting erweitert. Die Abb. 2 zeigt die Entwicklungslinie der Tätigkeitsfelder und erläutert diese kurz. 55 Schuppenhauer, Rainer (Hrsg.) (2006), S Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.v., Köln (Hrsg.) (2006), S Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Bafin (Hrsg.) (2007), S Vgl. ebenda, S.11.

12 Outsourcing der Internen IT-Revision bei Banken 12 Abb. 2: Entwicklungslinie der Tätigkeitsfelder der Internen Revision Quelle: Eigene Darstellung, in Anlehnung an: Amling, Thomas / Bantleon, Ulrich (2007), S. 53. Die Tätigkeitsfelder sind nicht überschneidungsfrei, wobei nicht von einer zwangsläufigen inhaltlichen Abhängigkeit einzelner Aufgabefelder ausgegangen werden kann. Ein Financial bzw. Operational Audit ist nicht zwingend eine Voraussetzung für ein Management Audit. Jedoch kann ein Management Audit zur Fehlerquellenanalyse beitragen, wenn vorab Probleme festgestellt wurden. 60 Die Bekämpfung der Wirtschaftskriminalität ist hierbei als ein Spezialfall des Compliance Auditing einzuordnen. Bezüglich der projektbegleitenden Revision bzw. dem Pre-Implementation-Audit handelt es sich nicht um ein eigenes Tätigkeitsfeld, sondern unterscheidet sich durch den Zeitpunkt der Prüfungsdurchführung. 61 Obwohl die IT-Revision einen großen Bedarf an Spezialwissen erfordert, eine vergleichsweise hohe Komplexität aufweist und eine starke Bedeutung für die angestrebte IT-Prozessoptimierung besitzt, stellt sie kein eigenes Feld dar. Die Unterscheidung liegt lediglich im Prüfungsobjekt IT. Die verschiedenen Tätigkeitsfelder müssen wie bei jeder anderen Prozessprüfung durchlaufen werden. Die Einteilung in die genannten Felder spiegelt die Auffassung des Autors wieder und bildet die Grundlage für die weitere Bearbeitung. Sie stellt einen Kompromiss zwischen einer engeren 62 und einer weiter 63 gefassten Interpretation dar. Damit die Revision ihre Aufgaben sachgerecht wahrnehmen kann, sollte ihre Tätigkeit durch die Definition der Prüfungsziele, Festlegung der Prüfungsbereiche, Festlegung der notwendigen Prüfungshandlungen sowie Bereitstellung geeigneter Prüfungshilfsmittel spezifiziert werden. Im Fol- 60 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. ebenda, S Tätigkeitsfelder: Controlling, Risk Management, Governance (Vgl. Peemöller, Voker H. (I) (2008), S. 3 ff.). 63 Zusätzliche Tätigkeitsfelder: Risk Management, Unterschlagungsprüfung, Due Dilligence / Post Merger (vgl. Berwanger, Jörg / Kullmann, Stefan (2007), S.77).

13 Outsourcing der Internen IT-Revision bei Banken 13 genden soll auf den Ersten der genannten Aspekte eingegangen werden. 64 Denn einerseits unterscheidet sich das Prüfungsziel maßgeblich von der Jahresabschlussprüfung, deren einziges Ziel die Sicherstellung der Ordnungsmäßigkeit ist, und andererseits ist die Einhaltung der Prüfungsziele ständige Prämisse für die gegenwärtige Diskussion. Ferner werden die Aspekte Festlegung der Prüfungsbereiche und Festlegung der notwendigen Prüfungshandlungen im Weiteren näher erläutert. Definition der Prüfungsziele Die Prüfungsziele der Internen Revision im Rahmen ihrer Überwachungsfunktion ergeben sich aus dem Auftrag der jeweiligen Geschäftsleitung. Ein durchgängiges Ziel der Internen Revision sollte es hierbei sein, Fehler bereits im Ansatz zu erkennen und zu verhindern. Zusätzlich wird von der Internen Revision eine Beurteilung der Wirtschaftlichkeit der IT-Prozesse gefordert, 65 welche zu Kosteneinsparungen und Leistungssteigerungen führen soll. Rainer Schuppenhauer, Herausgeber des GoDV-Handbuches, identifiziert fünf zentrale Prüfungsziele, die sich auch aus der oben genannten Definition des IIR ableiten lassen: Ordnungsmäßigkeit nach gesetzlichen Gesichtspunkten Verbesserung des IKS Verbesserung des Berichtswesen und der Informationsqualität Rationalisierung der Ablauforganisation Wirtschaftlichkeit der DV-Organisation 66 Damit die Abarbeitung der Tätigkeitsfelder und der allgemeinen Prüfungsziele erfolgen kann, werden insbesondere die Methoden der IT-Systemprüfung 67 und der Wirtschaftlichkeitsprüfung eingesetzt. Inwiefern eine Interne IT-Revision zur Verbesserung der Geschäftsprozesse beitragen kann, soll im Weiteren nicht zusätzlich behandelt werden, da im Rahmen der Arbeit die Effizienz der Prüfungsdurchführung bei einer Auslagerung der Internen IT-Revision im Vordergrund steht. Es wird von einer leistungsfähigen, das heißt nach den Berufsgrundsätzen arbeitenden 68, mehrwertschaffenden Internen Revision respektive Internen IT-Revision ausgegangen. 2.3 Risiken einer unsachgemäßen Internen IT-Revision Eines der größten Probleme für Interne Revisionsabteilungen ist die Einschränkung ihrer Wirksamkeit, das heißt eine Nicht-Erfüllung der ihr zugeordneten Aufgaben. Aufgrund ihrer gesetzlichen Notwendigkeit, der zentralen Rolle im Überwachungssystem und der gestiegenen Bedeutung, darf die Interne Revision in der Erfüllung ihrer Aufgaben nicht eingeschränkt sein oder behindert werden. Insbesondere beim Outsourcing von Teilen der Innenrevision ist dies zu beachten. 69 Die Vielzahl möglicher Einschränkungen unterscheidet sich dabei hinsichtlich ihrer Wirkung auf die Leistungsfähigkeit der IT-Revision. Folgend werden in Tabelle 1 Einschränkungen und daraus resultierende Gefahren beispielhaft aufgezeigt: 64 Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Ebenda, S Detailierte Beschreibungen zur IT-Systemprüfung: siehe Anhang. 68 Schwager, Elmar (I) (2003), S Vgl. Becker, Axel / Mauer, Anette (2009), S. 26 ff..

14 Outsourcing der Internen IT-Revision bei Banken 14 Einschränkungen Mangelnde Unterstützung durch das Management Fehlende Akzeptanz durch das Management und Fachabteilugen Nichteinhaltung des Kodex der Berufsethik Einschränkungen betreffend den Zugang zu Informationen der Organisation Beschränkungen auf Grund sachlicher oder personeller Engpässe Beeinträchtigungen der Objektivität und Unabhängigkeit der Internen Revision. Gefahren Falsche Prüfungsziele, -ansätze, - planung, und -techniken Fehlende / falsche Risikoanalyse; Vernachlässigung risikobehafteter Bereiche Knappe Berichterstattung, unklare Feststellungen, zweifelhafte Empfehlungen Ungenügende Qualitätskontrolle und Follow-Up 70 Höherer Koordinationsaufwand in Verbindung mit Kostensteigerung Beeinträchtigung des Überwachungssystems; gesetzliche Konsequenzen Tab.1: Mögliche Einschränkungen der Internen Revision und die daraus resultierenden Gefahren Quelle: Eigene Darstellung, in Anlehnung an: Schuppenhauer, Rainer (2006), S. 343 ff. / Schwager, Elmar (I) (2003), S / Hölscher, Luise / Rosenthal, Johannes (II) (2009),. 11 ff.. S Die Aufzählung der Einschränkungen ist nicht gewichtet, wobei herausgestellt werden muss, dass Beschränkungen des Informationszuganges sehr häufig zu falschen Prüfungsergebnissen führen können und darum als besonders kritisch anzusehen sind. In der Praxis könnte dies dazu führen, dass durch die fehlende Offenlegung aller für die Beurteilung eines Prüffeldes notwendigen Informationen die Interne Revision zu einem falschen Prüfungsurteil kommen könnte. Aus diesem Prüfungsurteil abgeleitete Maßnahmen wären dann nicht zielführend. 71 Des Weiteren könnten mangelnde Informationen zu einer falschen Risikoanalyse führen und somit mit Risiken verbundene Bereiche nicht abgedeckt werden. Auch die beratenden Tätigkeiten der Internen IT-Revision könnten Probleme in Bezug auf Objektivität und Unabhängigkeit mit sich bringen. Eine kritische Situation ergibt sich beispielsweise, wenn ein Interner Revisor die Wirtschaftlichkeit einer IT-Anwendung nachträglich in Frage stellt, obwohl er bei der Investitionsentscheidung mitwirkte und die Implementierung der entsprechenden Lösung unterstützte. 72 Im Englischen wird deshalb zwischen Advisory, der unabhängigen Beurteilung von Konzepten und Prozessen, und Consulting, Erstellung von Konzeptionen und Umsetzung, unterschieden. Die Interne Revision sollte sich nach Meinung einiger Autoren auf Advisory beschränken. 73 Denn menschliche Schwächen wie Selbstgefälligkeit, Gleichgültigkeit und mangelnde Selbstkritik stellen eine Gefahr für Objektivität und Unabhängigkeit dar. 74 Inwieweit die Auslagerung der IT-Revision die Objektivität und die Unabhängigkeit beeinflusst, wird in Abschnitt 4.1 aufgegriffen. 70 Überwachung der fristgerechten Umsetzung des aufgezeigten Handlungsbedarfs durch die Interne Revision. (vgl. Berwanger, Jörg / Kullmann, Stefan (2007), S.192) 71 Vgl. Schwager, Elmar (2008), S. 8 ff.. 72 Vgl. Knapp, Eckhard (2005), S Vgl. Rasmussen, Michael / Brown, Adam (2004), S.1 74 Vgl. Herzig, Andreas / Fabritius, Dieter (2008); S. 276.

15 Outsourcing der Internen IT-Revision bei Banken 15 Die Interne Revision ist ein Instrument der Geschäftsleitung, d. h., sie ist ihr im Idealfall, der in der Praxis nicht immer die Regel darstellt, unmittelbar unterstellt und berichtspflichtig. Ihr ist zur Erfüllung ihrer Aufgaben ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. 75 Diese weiträumigen Befugnisse gelten allerdings nicht ohne Einschränkungen. Der im Januar 2009 bekanntgewordene Skandal über den möglichen Missbrauch von Mitarbeiter- und Kundendaten bei der Deutschen Bahn AG legt einmal mehr die Diskrepanz zwischen Datenschutz und Überwachung offen. Die Notwendigkeit der Überwachung wird immer häufiger zur Rechtfertigung überzogener und rechtswidriger Überwachungsmethoden und Datenweitergabe vorgeschoben. 76 Um den missbräuchlichen Gebrauch von Informationen oder unberechtigten Zugriffen vorzubeugen, sollte der Revision ein Informationsnutzungsrecht ausschließlich zur Wahrnehmung ihrer Aufgaben eingeräumt werden. Das bedeutet, dass Zugriffsberechtigungen der Internen Revision nach dem sogenannten Prinzip des notwendigen Wissens vergeben werden. Erhält ein Revisor im Rahmen einer Prüfung beispielsweise Administrationsrechte auf eine Anwendung, sind diese genauso streng zu handhaben wie diejenigen eines jeden anderen Administrators im Institut. Das Informationsrecht muss sich auf die Prüfungs- und Beratungshandlungen beschränken und mit dem Abschluss der Prüfungstätigkeit erlöschen. 77 Im Folgenden wird gezeigt, welche Voraussetzungen, gesetzlich und organisatorisch, erfüllt sein müssen und welchen Nutzen Outsourcing bietet, damit sowohl die Interne IT-Revision als auch die durch sie geprüften Bereiche effizienter sind. 2.4 Gesetzliche Grundlagen Grundsätzlich sollte sich, im Hinblick auf die Einhaltung der Ordnungsmäßigkeit, die Interne Revision auf die bei einer externen Prüfung, insbesondere der Jahresabschlussprüfung, geltenden Vorschriften und Regelungen stützen. Die Jahresabschlussprüfung ist unmittelbar gesetzlich verankert, wohingegen eine solche Kodifizierung durch den Gesetzgeber für die Interne Revision - mit Ausnahme der Sondervorschriften für die Kreditwirtschaft in 25a Abs. 1 Satz 3 Nr. 1 KWG 78 - bisher nicht erfolgt ist. Neben weiteren spezialgesetzlichen Regelungen 79 enthalten insbesondere die 316 ff. HGB Regelungen über das Spektrum 80 der Abschlussprüfung. Im Zusammenhang mit einer Innenrevision findet sich lediglich die indirekte gesetzliche Normierung für Aktiengesellschaften durch 91 Abs. 2 AktG. Der Gesetzesbegründung zum KonTraG zufolge, möchte der Gesetzgeber mit dieser Regelung die Verpflichtung des Vorstands untermauern, für ein angemessenes Überwachungssystem respektive Risikomanagement im Unternehmen sorgen. Zu diesem Überwachungssystem gehören organisatorische Sicherungsmaßnahmen, interne Kontrollen sowie die Interne Revision. 81 Baut die Interne Revision ihre Prüfungshandlungen auf Basis der gesetzlichen Verankerungen der Jahresabschlussprüfung auf, wird das notwendige Mindestmaß an Ordnungsmäßigkeit fortlaufend überprüft. Außerdem vereinfacht es die Kooperation zwischen den externen und internen Prüfungsorganen, was zu einer Steigerung der Wirtschaftlichkeit beitragen kann. 82 Neben den einzuhaltenden gesetzlichen Grundlagen, lassen sich bei der Durchführung von IT-Revision die Anforderungen an ein ordnungsgemäßes IT-System in drei Ebenen unterteilen, wie die folgende Abb. 3 veranschaulicht. 75 Vgl. BaFin (Hrsg.) (2007), S Vgl. Rödel&Partner (2009), 1. Abschnitt im Hauptframe (siehe Internet- / Intranetverzeichnis). 77 Vgl. Sowa, Alexandra, S. 82 ff.. 78 Auf die für Kreditinstitute spezifizierten Regelungen wird in Punkt eingegangen. 79 Spezialgesetzliche Regelungen finden sich z. B. in 33, 183 Abs. 3, 194 Abs. 4, 205 Abs. 3, 313 AktG, 340k, 341k HGB, 29 KWG, 53 GenG oder 53 HGrG. 80 U.a. Pflicht zur Prüfung, dem Prüfungsgegenstand und -umfang, der Auswahl der Abschlussprüfer oder der Formulierung des Prüfungsergebnisses. 81 Vgl. Küting, Karlheinz / Boecker, Corinna (2008), S In diesem Zusammenhang ist auch der IDW PS 321 "Interne Revision und Abschlussprüfung des Instituts Deutscher Wirtschaftsprüfer (IDW) und der IIR-Revisionsstandard Nr. 1 "Zusammenarbeit von Interner Revision und Abschlussprüfer" des Deutschen Instituts für Interne Revision (IIR) zu beachten.

16 Outsourcing der Internen IT-Revision bei Banken 16 Abb. 3: Überblick über die gesetzlichen Grundlagen, Grundsätze und Standards für die Prüfung einer IT Umgebung Quelle: Eigene Darstellung. Die erste Ebene umfasst die gesetzlichen und aufsichtsrechtlichen Verankerungen: Die Ordnungsvorschriften der 238, 239 und 257 HGB sowie 145, 146 und 147 AO bilden die gesetzliche Grundlage einer ordnungsmäßigen Buchhaltung. Hinzu kommen das bereits erwähnte KWG, relevant für alle Kreditinstitute, und das AktG. Weiter sind in diesem Zusammenhang das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze zu beachten, welche die Gewährleistung von Vertraulichkeit sicherstellen sollen, so dass personenbezogene Daten nur auf Grundlage rechtlicher Bestimmungen oder der Basis der Einwilligung der Betroffenen verarbeitet und weitergegeben werden dürfen. 83 Die MaRisk der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) dienen als Leitfaden für das Stufenmodell des»supervisory Review Process«, der zweiten Säule von Basel II. 84 Aufgrund der Relevanz der MaRisk in Bezug auf die Thematik dieser Arbeit, werden die von ihr ausgehenden Einschränkungen und Anforderungen hinsichtlich einer Auslagerungen der Internen Revision in Kapitel näher behandelt. Die zweite Ebene umschließt die aus den Gesetzen abgeleiteten Anforderungen an ordnungsgemäße IT-Systeme und -Prozesse: 85 Die Grundsätze ordnungsgemäßer Buchführung (GoB) sind ein unbestimmter Rechtsbegriff. Sie umfassen alle Buchführungs- und Bilanzierungsgrundsätze. 86 Mit dem Begriff GoB verweist das Gesetz auf eine Wert- und Ordnungsvorstellung, die außerhalb der gesetzlichen Regelungen liegt. Folglich hat die kaufmännische Buchhaltung mit einem abstrakten und über die gesetzliche Einzelregelung hinausgehenden Ordnungssystem übereinzu- 83 Vgl. Hoppe, Gabriela (2003), S ff.. 84 Vgl. Sowa, Alexandra (2007), S Vgl. Wähner, Gerd (2002), S Vgl. Leffson, Ulrich (1980), S. 21 ff. / vgl. Kruse, Heinrich Wilhelm, S. 104 ff..

17 Outsourcing der Internen IT-Revision bei Banken 17 stimmen. Die Grundsätze ordnungsmäßiger Datenverarbeitung (GoDV) wurden aus den GoB abgeleitet und sollen diese unterstützen. 87 Die GoDV dienen zur Regelung der Verantwortlichkeiten und der Pflichten des Buchführungspflichtigen beim Einsatz von IT im Rechnungswesen. Sie beziehen sich auf alle rechnungslegungsrelevanten Formen der Datenverarbeitung und deren Anwendungsgebiete. 88 Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) konkretisieren die Anforderungen an Kontrollen, Regelungen und Maßnahmen, die der Buchführungspflichtige je nach Stand der Technik (z.b. DIN oder ISO) beachten muss, um die GoB beim Einsatz IT-gestützter Buchführung einzuhalten. Für die Finanzverwaltung sind die GoBS bindend. 89 Die Finanzverwaltung hat seit der Neufassung der 146, 147, 200 AO die rechtliche Grundlage, im Rahmen von steuerlichen Außenprüfungen direkt auf die IT-Systeme der geprüften Steuerpflichtigen zuzugreifen. 90 Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) interpretieren und legen das Gesetz durch Beispiele und Ergänzungen aus. Weiter umfassen sie Anwendungsregeln zur Umsetzung des Rechts auf Datenzugriff. 91 Die dritte Ebene umfasst Standards, Rundschreiben und Verlautbarungen, die Einfluss auf die Arbeit der Internen IT Revision haben: Hinsichtlich der Arbeitsweise und Best-Practice-Ansätze liefern sowohl das Institute of Internal Auditor (IIA) 92 als auch das Deutsche Institut für Interne Revision e.v. (DIIR) 93 in der Praxis anerkannte, berufsspezifische Empfehlungen. Zu den gängigen Standards hinsichtlich der Ausgestaltung des IKS gehören COSO 94 und CobiT 95. Darüber hinaus lässt sich insbesondere CobiT im Rahmen einer generellen Prüfungsplanung und bei der Erstellung eines Prüfungsplans/Prüfungsprogramms (Einzelfallprüfung) verwenden. 96 Genaue Vorgaben hinsichtlich der Ausgestaltung einer IT-Umgebung in Kreditinstituten sind nur bedingt festgehalten. Nach MaRisk 7.2 soll bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abgestellt werden. Demnach muss die Prüfung dieser Prozesse an relevanten Standards ausgerichtet werden. Detaillierte Anforderungen enthalten z.b. die Standards des Berufsstandes der Wirtschaftsprüfer IDW FAIT 1, IDW PS 300 oder IDW EPS 850. Mit den handels- und steuerrechtlichen Vorschriften, den GoB und den IDW Stellungnahmen 97 ist der Rahmen dessen abgesteckt, was beim Einsatz von IT im Rechnungswesen zu beachten ist, die wesentlichen Bereiche der IT-Organisation benannt und der Prüfungsbedarf klar beschrieben Bedeutung von Outsourcing für Kreditinstitute Neben der hohen Anzahl der Kreditinstitute ist die Kosteneffizienz in Deutschland im Vergleich zu ausländischen Wettbewerbern niedrig. Viele Dienstleistungen wie Zahlungsverkehr, Marktfolgetätigkeiten im Kreditgeschäft etc. werden von den Banken noch selbst erbracht, was sich in der vergleichsweise hohen Fertigungstiefe wiederspiegelt (siehe Abschnitt 1). Der große Nachholbedarf gegenüber dem produzierenden Gewerbe verstärkt den kontinuierlichen Trend zur Auslagerung von Dienstleistungen und Bankprozessen Vgl. Bundesamt für Sicherheit in der Informationstechnik (2005). 88 Vgl. Schuppenhauer, Rainer (2000), S Vgl. Wähner, Gerd (2002), S Vgl. Taetzner, Tobias/ Büssow, Thomas (2002), S Vgl. Harnichfeger, Walter (2005) S. 173 ff.. 92 Institute of Internal Auditor (2009), 1. Hauptframe (siehe Internet- / Intranetverzeichnis). 93 Deutsches Institut für Interne Revision e.v. (2009), 1. Hauptframe (siehe Internet- / Intranetverzeichnis). 94 COSO (Committee of Sponsoring Organizations of the Treadway Commission) 95 CobiT (Control Objectives for Information and Related Technology) ist ein international anerkanntes Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben). CobiT macht keine konkreten Vorgaben wie eine Umsetzung erfolgen soll, sondern was beachtet werden muss. (vgl. Kühle, Burkhard (2008)) 96 Vgl. Taubenberger, Stefan (2008), S Siehe Abbildung Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. / Vgl. Schwager, Elmar (III) (2008), S. 4 ff.

18 Outsourcing der Internen IT-Revision bei Banken 18 Die derzeitige Finanzkrise und der dadurch verstärkte Kosten- und Ertragsdruck auf Kreditinstitute wird den Trend zum Outsourcing und zum Bezug von externen Dienstleistungen in der nächsten Zeit verschärfen. 100 Demnach entspringt Outsourcing von betrieblichen Funktionen oftmals dem Wunsch, Kosten zu reduzieren, interne Abläufe personell als auch strukturell zu optimieren, um sich auf seine Kernkompetenzen zu konzentrieren und seine Marktchancen systematischer und effektiver wahrnehmen zu können. Dies belegen verschiedene Studien 101 und Aussagen in der Fachliteratur 102. Die Auslagerung von Tätigkeiten beinhaltet neben Chancen auch Risiken. Während Aspekte wie die Abhängigkeit vom Outsourcing-Anbieter zu einem gewissen Grad toleriert werden müssen, können viele potenzielle Risiken durch ein effizientes Projektmanagement und eine adäquate Vertragsgestaltung umgangen oder reduziert werden. 103 Diese Gesichtspunkte werden in Abschnitt 3 und 4 genauer behandelt. Tabelle 2 stellt einige grundsätzliche Chancen und Risiken gegenüber. Chancen Kostenreduktion Skaleneffekte Variabilisierung fixer Kosten Kostentransparenz Liquiditäts- und Rentabilitätseffekte Geringere Personalkosten Risiken Abhängigkeitseffekte Bindung an den Outsourcing-Partner Verlust von Know-How Sicherheitseffekte Leistungs-und Qualitätsdefizite Einbußen durch Standardisierung Mangelnde Kommunikation Konzentration auf das Kerngeschäft Kernkompetenzen Reduktion des Geschäftsrisikos Leistungsoptimierung Erschließung von neuem Know-How Flexibilisierung und definierte Service Levels Kostensteigerungen Unterschätzung der Transaktionskosten Fehleinschätzung der direkten Kosten Weiche Faktoren Angst vor Arbeitsplatzabbau Abgabe von Verantwortlichkeiten Tab.2: Allgemeine Chancen und Risiken des Outsourcing Quelle: Eigene Darstellung, in Anlehnung an: Schuppenhauer, Rainer (2006), S. 343 ff. / Schwager, Elmar (I) (2003), S / Hölscher, Luise / Rosenthal, Johannes (II) (2009), S. 11 ff.. Inwieweit eine Auslagerung von Funktionen der Internen Revision rechtlichen Einschränkungen unterliegt und ob diese sinnvoll ist, wird in den folgenden Abschnitten vertieft betrachtet. 100 Vgl. Becker, Axel / Mauer, Anette (2009), S Vgl. IT Governance Institute (Hrsg.) (2005) / Institute of Internal Auditor / IIA Research Foundation (Hrsg.) (I) (2009) 102 Vgl. u.a Amling, Thomas / Bantleon, Ulrich (2007), S. 202 / vgl. Herms, Heinz-Josef / Schwarz, Gerd (Hrsg.) (2005), S. 11 ff. / Peemöller, Voker H. (II) (2008), S.147 ff. / vgl. Schwager, Elmar (I) (2003), S ff Vgl. Herms, Heinz-Josef / Schwarz, Gerd (Hrsg.) (2005), S. 22.

19 Outsourcing der Internen IT-Revision bei Banken Rechtliche Einschränkungen Grundlage für die Anforderung an die Auslagerung respektive Weiterverlagerung von Unternehmensbereichen auf ein Auslagerungsunternehmen sind 25a KWG sowie die Mindestanforderungen an das Risikomanagement (u. a. AT 9 Tz. 1) in der Fassung vom November Die Ma- Risk definieren: Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. 104 Die BaFin hat durch die Überarbeitung der Outsourcing-Anforderungen für Kreditinstitute in den MaRisk im November 2007 die Grundlage für einheitliche Standards geschaffen. Nach MaRisk AT 9, Tz. 4 AT sind grundsätzlich alle Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß 25a Abs. 1 KWG nicht beeinträchtigt wird. Nicht auslagerbar sind originäre Leitungsaufgaben der Geschäftsführung, denn die Verantwortung der Geschäftsleitung darf nicht an das Auslagerungsunternehmen delegiert werden. 105 Zu den nicht auslagerbaren Leitungsaufgaben der Geschäftsleitung zählen: die Unternehmensplanung, -koordination, -kontrolle und die Besetzung der Führungskräfte." 106 Weiterhin dürfen keine Aufgaben, die der Geschäftsleitung durch den Gesetzgeber oder durch sonstige Regelungen explizit zugewiesen sind, z. B. die Entscheidung über Großkredite nach 13 bis 13b KWG oder die Festlegung der Strategie, ausgelagert werden. Besondere Maßstäbe für Auslagerungsmaßnahmen können sich ferner aus spezialgesetzlichen Regelungen ergeben. 107 Bei wesentlichen Auslagerungen 108 von Prozessen und Dienstleistungen ist eine regelmäßige Risikoanalyse durchzuführen, um sicherzustellen, dass Bankprodukte und -dienstleistungen sowie essentielle Prozesse in guter Qualität und zuverlässig erbracht werden. 109 Von den Leitungsaufgaben abzugrenzen sind Funktionen oder Organisationseinheiten, derer sich die Geschäftsleitung bei der Ausübung ihrer Leitungsaufgaben bedient. Diese können sowohl nach innen als auch durch Auslagerung nach außen delegiert werden. 110 Das Outsourcing von Funktionen der Internen Revision dient deshalb ausschließlich der Unterstützung der Unternehmensüberwachung, wobei die endgültige Verantwortung die Geschäftsleitung selbst trägt. In Abbildung 7 werden unterschiedliche Szenarien veranschaulicht. 104 BaFin (Hrsg.) (2007), S.20 (AT 9 Tz. 1). 105 Vgl. Becker, Axel / Mauer, Anette (2009), S. 26.Vgl. BaFin (Hrsg.) (2007), S.20 ff Vgl. Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4). 107 z. B. bei Bausparkassen hinsichtlich der Kollektivsteuerung oder bei Pfandbriefbanken hinsichtlich der Deckungsregisterführung und der Deckungsrechnung. (Vgl. Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4)) 108 Der Begriff der wesentlichen Auslagerung [ist] jedoch nirgends eindeutig definiert worden und somit als unbestimmter Rechtsbegriff anzusehen. Seit dem Inkrafttreten der MaRisk in der Fassung ist nunmehr im Rahmen der Entscheidungsfindung über Entscheidungsfindung über eine etwaige Auslagerung eines Prozesses/Teilprozesses respektive einer Dienstleistung institutsindividu Entscheidungsfindung über eine etwaige Auslagerung eines Prozesses/Teilprozesses respektive einer Dienstleistung institutsindividuell ell festzulegen, ob es sich bei der Auslagerung um eine nicht wesentliche oder wesentliche Auslagerung handelt. (Becker, Axel / Mauer, Anette (2009), S. 28.) 109 Vgl. Becker, Axel / Mauer, Anette (2009), S Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4).

20 Outsourcing der Internen IT-Revision bei Banken 20 Überblick über die Fallgruppen nach AT 9 MaRisk Quelle: Bantleon, Ulrich / Kranzbühler, Lutz / Ramke, Thomas (2008), S Aufgrund der individuellen Gegebenheiten im jeweiligen Unternehmen, muss grundsätzlich jedes Institut im Rahmen eines Auslagerungsvorhabens eigenverantwortlich eine Risikoanalyse erstellen. Hierbei muss unter Einbezug der maßgeblichen Organisationseinheiten festgelegt werden,

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

INTERNE REVISION - AKTUELLE ENTWICKLUNGEN -

INTERNE REVISION - AKTUELLE ENTWICKLUNGEN - Autor: Gerald Siebel, StB/vBP/CIA Kanzlei Siebel, Essen INTERNE REVISION - AKTUELLE ENTWICKLUNGEN - A. Einleitung I. Auch gemeinnützige Einrichtungen unterliegen einem zunehmend schnelleren Wandel der

Mehr

Die Zukunft der Internen Revision

Die Zukunft der Internen Revision IIR-FORUM Band 1 Die Zukunft der Internen Revision Entwicklungstendenzen der unternehmensinternen Überwachung WP StB Univ.-Prof. Dr. Dr. h.c. Wolfgang Lück unter Mitarbeit von Dipl.-Ing. Michael Henke

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Deutsches Institut für Interne Revision e.v. (IIR) Anmerkungen zur Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk

Deutsches Institut für Interne Revision e.v. (IIR) Anmerkungen zur Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk Deutsches Institut für Interne Revision e.v. (IIR) Anmerkungen zur Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk in der Version vom 13. August 2007 Frankfurt, den 31. August 2007

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Inhaltsverzeichnis. 4.1 Zweck des Leitbildes... 26 4.2 Präambel... 26 4.3 Leitbild... 27

Inhaltsverzeichnis. 4.1 Zweck des Leitbildes... 26 4.2 Präambel... 26 4.3 Leitbild... 27 Vorwort... 5 1 Grundlagen der Internen Revision... 13 2 Implementierung einer Internen Revision... 14 2.1 Allgemeines... 14 2.2 Ausgangslage... 14 2.3 Gründe für die Implementierung... 14 2.4 Trends in

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T über die Softwarezertifizierung des Programms tacoss.etrade Tacoss Software GmbH Tarp Inhaltsverzeichnis Seite 1.

Mehr

Allgemeine Regelungen 0-1

Allgemeine Regelungen 0-1 AR 0-1 Allgemeine Regelungen 0-1 Richtlinien für die Interne Revision der Deutschen Bundesbank (Revisionsrichtlinien) Inhaltsübersicht 1 Grundlagen 2 Verantwortung und Ziele 3 Stellung 4 Befugnisse 5 Grundsätze

Mehr

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Aktueller Stand 2 1. Einleitung 1.1 Ausgangssituation 1.2 Definitionen 1.3 Zielsetzung 1.4 Standards 2. Anforderungen an den QAR-IT-Prüfer

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Vorlesung Wirtschaftsprüfung. Prüfungsplanung. 1Prof. Dr. H. R. Skopp, Wirtschaftsprüfer / Steuerberater, HS Landshut

Vorlesung Wirtschaftsprüfung. Prüfungsplanung. 1Prof. Dr. H. R. Skopp, Wirtschaftsprüfer / Steuerberater, HS Landshut Vorlesung Wirtschaftsprüfung Prüfungsplanung 1Prof. Dr. H. R. Skopp, Wirtschaftsprüfer / Steuerberater, HS Landshut Definition: Unter Planung ist der Entwurf einer Ordnung zu verstehen, nach der die eigentliche

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Service Übersicht Helwig, Lenz Wirtschaftsprüfer - Frankfurt a.m.

Service Übersicht Helwig, Lenz Wirtschaftsprüfer - Frankfurt a.m. Compliance Beratung Service Übersicht Compliance Beratung 1. Die Partner 2. Unsere Services Die Partner - Rosemarie Helwig Helwig, Lenz Wirtschaftsprüfer Rosemarie Helwig Wirtschaftsprüfer, Steuerberater,

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Master-Seminar (M.Sc.) Governance Risk Compliance

Master-Seminar (M.Sc.) Governance Risk Compliance Bergische Universität Wuppertal Fakultät für Wirtschaftswissenschaft Schumpeter School of Business and Economics Lehrstuhl für Wirtschaftsprüfung und Rechnungslegung Prof. Dr. Stefan Thiele Master-Seminar

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Der gläserne Unternehmer im Fokus des Staates

Der gläserne Unternehmer im Fokus des Staates IT_kom am 18. September 2008 in Mainz Sven Liebeck, dubois it-consulting gmbh Produktion Vertrieb IT- / TK- Systeme Einkauf Verwaltung Informationssicherheit Informationssicherheit gehört zu den wichtigsten

Mehr

Zusammenfassung und Abschluss

Zusammenfassung und Abschluss ISACA/SVIR-Fachtagung Erfolgreiche Zusammenarbeit zwischen interner und externer (IT-) Revision Zusammenfassung und Abschluss Peter R. Bitterli, Ausbildungsverantwortlicher ISACA-CH Eine persönliche Zusammenfassung

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

Konsultation 1/2007 - erster Entwurf der überarbeiteten Outsourcing-Regelungen

Konsultation 1/2007 - erster Entwurf der überarbeiteten Outsourcing-Regelungen Seite 1 von 5 Konsultation 1/2007 - erster Entwurf der überarbeiteten Outsourcing-Regelungen Sehr geehrte Damen und Herren, nachdem ich im Anschreiben zur Veröffentlichung der MaRisk vom 20.12.2005 eine

Mehr

Bericht über die gesetzliche Prüfung der. Bauverein Schweinfurt eg

Bericht über die gesetzliche Prüfung der. Bauverein Schweinfurt eg Bericht über die gesetzliche Prüfung der Bauverein Schweinfurt eg Schweinfurt Jahresabschluss: Berichtsnummer: Ausfertigung: 31.12.2014 10266-14G 4 H. Zusammengefasstes Prüfungsergebnis/Bestätigungsvermerk

Mehr

ABRT Wirtschaftsprüfungsgesellschaft

ABRT Wirtschaftsprüfungsgesellschaft ABRT Wirtschaftsprüfungsgesellschaft Übernahme bankinterner Funktionen Wirtschaftsprüfung Interne Revision Betriebswirtschaftliche Beratung ABRT GmbH Wirtschaftsprüfungsgesellschaft: Prüfungs- und Beratungskompetenz

Mehr

Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012

Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 PKF Industrie- und Verkehrstreuhand GmbH Wirtschaftsprüfungsgesellschaft, München

Mehr

BSI Technische Richtlinie 03125 Vertrauenswürdige elektronische Langzeitspeicherung

BSI Technische Richtlinie 03125 Vertrauenswürdige elektronische Langzeitspeicherung An den Präsidenten des Bundesamts für Sicherheit in der Informationstechnik Herrn Michael Hange Postfach 200363 53133 Bonn Düsseldorf, 11. August 2010 495/550 BSI Technische Richtlinie 03125 Vertrauenswürdige

Mehr

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f.

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f. Arbeitskreis Rechnungslegung des Deutschen Steuerberaterverbands e.v. Littenstraße 10 10179 Berlin Tel: 030/278 76-2 Fax: 030/278 76-799 Mail: rechnungslegung@dstv.de B 01/13 vom 31.05.2013 Entwurf einer

Mehr

ABRT Wirtschaftsprüfungsgesellschaft

ABRT Wirtschaftsprüfungsgesellschaft ABRT Wirtschaftsprüfungsgesellschaft Übernahme interner Funktionen Betriebswirtschaftliche Beratung Interne Revision Wirtschaftsprüfung ABRT GmbH Wirtschaftsprüfungsgesellschaft: Prüfungs- und Beratungskompetenz

Mehr

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

Die Erklärung zur Unternehmensführung

Die Erklärung zur Unternehmensführung Die Erklärung zur Unternehmensführung nach BilMoG November 2009 AUDIT Inhalt Editorial Betroffene Unternehmen Inhalte Entsprechenserklärung ( 161 AktG) Unternehmensführungspraktiken Beschreibung von Arbeitsweise

Mehr

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Dr. Stefan Schlawien Rechtsanwalt stefan.schlawien@snp-online.de Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Das Thema der Korruption betrifft nicht nur!großunternehmen"

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Praktikant (w/m) - IT Process Assurance ab Herbst 2010

Praktikant (w/m) - IT Process Assurance ab Herbst 2010 Praktikant (w/m) - IT Process Assurance ab Herbst 2010 Unterstützung der Teams bei der Prüfung und Beratung von Industrie-, Handels- und Dienstleistungsunternehmen mit folgenden Schwerpunkten: Mitarbeiter

Mehr

Inhaltsübersicht. Vorwort der Herausgeber (Barsch/Nolte) 1. Abschnitt I Rolle der Internen Revision in der Corporate Governance (Nolte) 5

Inhaltsübersicht. Vorwort der Herausgeber (Barsch/Nolte) 1. Abschnitt I Rolle der Internen Revision in der Corporate Governance (Nolte) 5 INHALTSÜBERSICHT Inhaltsübersicht Vorwort der Herausgeber (Barsch/Nolte) 1 Abschnitt I Rolle der Internen Revision in der Corporate Governance (Nolte) 5 1. Vorbemerkung 7 2. Begriffliches 9 3. Umfeldbedingungen

Mehr

Risikomanagement - agieren statt reagieren. Risk Management Center, St. Gallen

Risikomanagement - agieren statt reagieren. Risk Management Center, St. Gallen Risikomanagement - agieren statt reagieren Risk Management Center, St. Gallen Risikomanagement und das Ausland Sarbanes-Oxley Act of 2002 Enterprise Risk Management - Integrated Framework issued in 2004

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Interne Revision Ressourcen optimieren Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Wertetreiber Interne Revision Internationalisierung und Wettbewerbsdruck zwingen Unternehmen dazu, ihre

Mehr

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht Richtlinie des Instituts Österreichischer Wirtschaftsprüfer zur Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht einer Verwaltungsgesellschaft (Kapitalanlagegesellschaft

Mehr

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

DIIR-SCHRIFTENREIHE. Band 45

DIIR-SCHRIFTENREIHE. Band 45 DIIR-SCHRIFTENREIHE Band 45 Leitfaden zur Prüfung von Projekten Erläuterung und Empfehlungen zum DIIR Standard Nr. 4 Herausgegeben vom DIIR Deutsches Institut für Interne Revision e.v. Erarbeitet von Robert

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Compliance-Management

Compliance-Management Julia Stehmann Compliance-Management in mittelständischen Unternehmen Eine Analyse aus der ressourcenorientierten Sichtweise Diplomica Verlag Julia Stehmann Compliance-Management in mittelständischen Unternehmen:

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Prüfung des Internen Kontrollsystems durch die Interne Revision

Prüfung des Internen Kontrollsystems durch die Interne Revision Prüfung des Internen Kontrollsystems durch die Interne Revision Seminar Wintersemester 2004/2005: Unternehmensberatung und Prüfung Thema (3) Technische Universität München Fakultät für Wirtschaftswissenschaften

Mehr

GZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk

GZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk E-Mail Outsourcing@bafin.de B30_MaRisk@bundesbank.de Bundesanstalt für Finanzdienstleistungsaufsicht Herrn Helmut Bauer Erster Direktor Bankenaufsicht Graurheindorfer Str. 108 53117 Bonn Bundesverband

Mehr

Prof. Dr. Rainer Elschen

Prof. Dr. Rainer Elschen Risikomanagement II - Vorlesung 4 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 66 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

RECHNUNGSWESEN UND IKS BEI HEIMEN UND INSTITUTIONEN. Swiss GAAP FER 21, Internes Kontrollsystem (IKS), Riskmanagement im Fokus praktischer Anwendung

RECHNUNGSWESEN UND IKS BEI HEIMEN UND INSTITUTIONEN. Swiss GAAP FER 21, Internes Kontrollsystem (IKS), Riskmanagement im Fokus praktischer Anwendung RECHNUNGSWESEN UND IKS BEI HEIMEN UND INSTITUTIONEN PUBLIC PRIVATE CONCEPT Swiss GAAP FER 21, Internes Kontrollsystem (IKS), Riskmanagement im Fokus praktischer Anwendung Was für ein Schock für die Bewohner

Mehr

A. Die Compliance-Funktion als Bestandteil des Internen Kontrollsystems

A. Die Compliance-Funktion als Bestandteil des Internen Kontrollsystems SCHMIDT A. Die Compliance-Funktion als Bestandteil des Internen Kontrollsystems I. Einleitung Mit Rundschreiben vom 14. Dezember 2012 hat die BaFin die 4. Novelle der Mindestanforderungen an das Risikomanagement

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

Michael Grünschloß - Geschäftsführer der Teraport GmbH -

Michael Grünschloß - Geschäftsführer der Teraport GmbH - IT-Betriebsverantwortung durch externe Spezialisten Wie Managed Services dem Mittelstand helfen, die eigenen Strategien umzusetzen Michael Grünschloß - Geschäftsführer der Teraport GmbH - Regulatorische

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

Spezialserviceleistungen im Meldewesen. Banking and Business Consulting GmbH 1

Spezialserviceleistungen im Meldewesen. Banking and Business Consulting GmbH 1 Spezialserviceleistungen im Meldewesen Banking and Business Consulting GmbH 1 I. Rahmenbedingungen II. Spezialservice Meldewesen III. Organisation der Zusammenarbeit mit der Bank Herausforderungen im Meldewesen

Mehr

Internal Audit Unsere Leistungen

Internal Audit Unsere Leistungen Internal Audit Unsere Leistungen Unser Leistungsangebot» Aufbau der Internen Revision: Organisation und Entwicklung der Internen Revision, insbesondere Konzeption einer Geschäftsordnung für die Revision

Mehr

Jahresrechnung zum 31. Dezember 2014

Jahresrechnung zum 31. Dezember 2014 PRÜFUNGSBERICHT Jahresrechnung zum 31. Dezember 2014 Bolivianisches Kinderhilfswerk e. V. Stuttgart KPMG AG Wirtschaftsprüfungsgesellschaft An den Bolivianische Kinderhilfswerk e.v., Stuttgart 1 Prüfungsauftrag

Mehr

Enterprise Information Management

Enterprise Information Management Enterprise Information Management Risikominimierung durch Compliance Excellence Stefan Schiller Compliance Consultant Ganz klar persönlich. Überblick Vorstellung The Quality Group Status Quo und Herausforderungen

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Prüfung des Compliance Management Systems (CMS) durch den Wirtschaftsprüfer

Prüfung des Compliance Management Systems (CMS) durch den Wirtschaftsprüfer 67. Deutscher Betriebswirtschafter-Tag Prüfung des Compliance Management Systems (CMS) durch den Wirtschaftsprüfer WP StB Ingmar Rega Bereichsvorstand Audit Germany, Partner, KPMG AG WPG Frankfurt, den

Mehr

In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen

In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen S e i t e 3 Internes Kontrollsystem (IKS ) In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen Krzysztof Paschke 4 S e i t e IKS Definition Weitere Informationen zum Thema Governance

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Institut für Unternehmensrechnung und Wirtschaftsprüfung Univ.-Prof. Dr. Axel Haller. Fachtagung WIRTSCHAFTSPRÜFUNG UND CORPORATE GOVERNANCE

Institut für Unternehmensrechnung und Wirtschaftsprüfung Univ.-Prof. Dr. Axel Haller. Fachtagung WIRTSCHAFTSPRÜFUNG UND CORPORATE GOVERNANCE Institut für Unternehmensrechnung und Wirtschaftsprüfung Univ.-Prof. Dr. Axel Haller Fachtagung WIRTSCHAFTSPRÜFUNG UND CORPORATE GOVERNANCE AKTUELLE ENTWICKLUNGEN UND ZUKÜNFTIGE PERSPEKTIVEN Linz, am 7.

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Die Compliance-Funktion als Bestandteil des internen Risikomanagements

Die Compliance-Funktion als Bestandteil des internen Risikomanagements SCHÄFER Einleitung Nur wenige Rechtsgebiete dürften sich ähnlich schnell entwickeln wie das Kapitalmarktrecht, dessen aufsichtsrechtliche Seite u. a. auf dem Wertpapierhandelsgesetz (WpHG) beruht. Einen

Mehr

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr.

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Holger Sörensen Die Aufgaben des Prüfungsausschusses: Agenda Gesetzestexte Organisatorische

Mehr

INHALTSÜBERSICHT. Inhaltsübersicht. Teil I: Einführende Überlegungen 1

INHALTSÜBERSICHT. Inhaltsübersicht. Teil I: Einführende Überlegungen 1 Inhaltsübersicht III INHALTSÜBERSICHT DANK I INHALTSÜBERSICHT INHALTSVERZEICHNIS ABBILDUNGSVERZEICHNIS ABKÜRZUNGSVERZEICHNIS V X Teil I: Einführende Überlegungen 1 1 EINLEITUNG 1 1.1 Praktischer Hintergrund

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Die neue Rolle des Financial Expert. Bergisch - Gladbach, den 13. Dezember 2010 Dr. Bernd Schichold

Die neue Rolle des Financial Expert. Bergisch - Gladbach, den 13. Dezember 2010 Dr. Bernd Schichold Die neue Rolle des Financial Expert Bergisch - Gladbach, den 13. Dezember 2010 Dr. Bernd Schichold 1 Vortragsagenda 1 2 3 4 4 Thesen zur neuen Rolle und Stellung des Financial Expert Neue regulative Anforderungen

Mehr

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung freigegeben Kontakt Angelika

Mehr

Berufsbegleitendes Studium zur Externenprüfung als Bachelor B.A.

Berufsbegleitendes Studium zur Externenprüfung als Bachelor B.A. Modulbezeichnung VI.5 Risiko- und Sanierungsmanagement Organisation Modulverantwortliche/r: Prof. Dr. Thomas Barth Modulart Wahlpflichtfach ECTS-Punkte: 5 Doppelstunden: 12 Prüfungsleistungen Art: K 90

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB) Erläuternder Bericht des Vorstands der Demag Cranes AG zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB) Erläuternder Bericht des Vorstands 1 Rechtlicher Hintergrund Das

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Vorstellung der Autoren 1

Vorstellung der Autoren 1 Inhaltsverzeichnis Vorstellung der Autoren 1 A. Die neue Prüfungsberichtsverordnung (PrüfbV) für Kreditinstitute: Herausforderungen in Zeiten der Finanzkrise (Hanenberg/Kleinschmidt) 5 I. Einleitung 7

Mehr

Compliance. bei Schweizer Unternehmen 6ZS. UlS ZOAZ. ASO. Eine theoretische und empirische Analyse. genehmigt im April 2012 auf Antrag von

Compliance. bei Schweizer Unternehmen 6ZS. UlS ZOAZ. ASO. Eine theoretische und empirische Analyse. genehmigt im April 2012 auf Antrag von UlS ZOAZ. ASO Compliance bei Schweizer Unternehmen Eine theoretische und empirische Analyse aus betriebswirtschaftlicher Perspektive Dissertation der Wirtschaftswissenschaftlichen Fakultät der Universität

Mehr

FMA Mindeststandards für die Interne Revision von Versicherungsunternehmen

FMA Mindeststandards für die Interne Revision von Versicherungsunternehmen FMA Mindeststandards für die Interne Revision von Versicherungsunternehmen 1. Vorbemerkungen... 2 2. Anwendungsbereich und Definition... 2 3. Gesetzliche Grundlagen... 3 4. Verantwortung der Geschäftsleitung...

Mehr

INTERNE REVISION Lösungen für ein effektives Internal Audit

INTERNE REVISION Lösungen für ein effektives Internal Audit INTERNE REVISION Lösungen für ein effektives Internal Audit \ IHR UNTERNEHMEN HAT MEHR ALS 20 UND WENIGER ALS 2.000 MITARBEITER, ABER SIE HABEN KEINE INTERNE REVISION, WEIL EINE EIGENE REVISIONSABTEILUNG

Mehr

Outsourcing kaufmännischer Aufgaben

Outsourcing kaufmännischer Aufgaben Outsourcing kaufmännischer Aufgaben speziell für Existenzgründer und kleine Unternehmen 7-it Forum am 1.12.2003 Outsourcing Fragen Was ist eigentlich Outsourcing? Für welche betrieblichen Aufgaben ist

Mehr

Überbetriebliches Prüfungshandbuch für Interne Revision in Bausparkassen Seite 1 / 6

Überbetriebliches Prüfungshandbuch für Interne Revision in Bausparkassen Seite 1 / 6 Überbetriebliches Prüfungshandbuch für Interne Revision in Bausparkassen Seite 1 / 6 Grundsätze des Internen Kontrollsystems (IKS) Einleitung 25a Abs. 1 Nr. 2 KWG verlangt u.a., dass Kreditinstitute über

Mehr

Risiko und Compliance Management Nur der guten Ordnung halber? Wolfram Bartuschka Dr. Daniel Kautenburger-Behr

Risiko und Compliance Management Nur der guten Ordnung halber? Wolfram Bartuschka Dr. Daniel Kautenburger-Behr Risiko und Compliance Management Nur der guten Ordnung halber? Wolfram Bartuschka Dr. Daniel Kautenburger-Behr Projektakquisition Projektkonzeption Projektrealisierung Projektvermarktung Objektbezug Objektbetrieb

Mehr

Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom

Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom Bescheinigung Wichtiger Hinweis: Regelungen von PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft ("PwC") und Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft ("Ernst & Young") für den Zugang

Mehr

6.4.5 Compliance-Management-System (CMS)

6.4.5 Compliance-Management-System (CMS) Seite 1 6.4.5 6.4.5 System (CMS) Grundlage eines CMS ist die Compliance. Ein CMS enthält jene Grundsätze und Maßnahmen, die auf den von den gesetzlichen Vertretern festgelegten Zielen basieren und ein

Mehr

ISO 5500x-Normenfamilie

ISO 5500x-Normenfamilie ISO 5500x-Normenfamilie 5 Fakten zur ISO 5500x-Normenfamilie ISO 55000 - Overview, principles and terminology ISO 55001 - Requirements ISO 55002 - Guidelines on the application of ISO 55001 Generelles

Mehr

Fachhochschule Braunschweig/Wolfenbüttel Fachbereich Versorgungstechnik

Fachhochschule Braunschweig/Wolfenbüttel Fachbereich Versorgungstechnik Fachhochschule Braunschweig/Wolfenbüttel Fachbereich Versorgungstechnik Master Outsourcing in der Instandhaltung Potentiale Chancen Risiken Christoph Loy Matrikel Nr.: 20074139 Erstprüfer: Professor Dr.-Ing.

Mehr