Outsourcing der Internen IT-Revision bei Banken

Größe: px
Ab Seite anzeigen:

Download "Outsourcing der Internen IT-Revision bei Banken"

Transkript

1 Ramin Niroumand Outsourcing der Internen IT-Revision bei Banken Voraussetzungen und Nutzenoptimierung Mit einem Vorwort von Elmar Schwager, The AuditFactory.

2 Outsourcing der Internen IT-Revision bei Banken 2 Inhaltsverzeichnis 1 Einleitung 5 2 Grundlagen Einordnung und Entwicklung der Internen Revision Aufgaben und Ziele der Internen IT-Revision Risiken einer unsachgemäßen Internen IT-Revision Gesetzliche Grundlagen Bedeutung von Outsourcing für Kreditinstitute Rechtliche Einschränkungen Outsourcing der Internen Revision Formen des Outsourcings der Internen Revision 23 3 Grundlagen für eine wirksame Auslagerung der Internen Revision Organisatorische Voraussetzungen Risikoorientierte Prüfungsplanung 29 4 Faktoren zur Optimierung des Nutzens Vorüberlegungen Eignung des Outsourcingpartners als Faktor 39 5 Schluss Zusammenfassung der Ergebnisse Kritische Würdigung Ausblick 46

3 Outsourcing der Internen IT-Revision bei Banken 3 Abkürzungsverzeichnis Abkürzung AO AKtG BaFin BDSG BSI BMF CAE CIA CIO COBIT Erläuterung Abgabenordnung Aktiengesetz Bundesanstalt für Finanzdienstleistungen Bundesdatenschutzgesetz Bundesamt für Sicherheit in der Informationstechnik Bundesministerium für Finanzen Chief Audit Executives Certified Internal Auditor Chief Information Officer Control Objectives for Information and Related Technology DIN Deutsches Institut für Normung e. V. GoB GoDV GoBS GDPdU HGB IBM IDW IIA IIR IR ISO IT ITIL KonTraG KWG MaRisk QA WP Grundsätze ordnungsgemäßer Buchführung Grundsätze ordnungsmäßiger Datenverarbeitung Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Handelsgesetzbuch International Business Machines (Corporation) Institut der Wirtschaftsprüfer in Deutschland e.v. Institute of Internal Auditor Deutsches Institut für Interne Revision e.v. Interne Revision ISO - International Organization for Standardization Informationstechnologie IT Infrastructure Library (ITIL) Kontrolle und Transparenz im Unternehmensbereich Gesetz über das Kreditwesen Mindestanforderungen an das Risikomanagement Quality Assessment Wirtschaftsprüfer

4 Outsourcing der Internen IT-Revision bei Banken 4 Vorwort The AuditFactory ist eines der führenden Unternehmen für das Partnering und Outsourcing der Internen Revision. Partnering ist die Zusammenarbeit mit Revisionsabteilungen aller Branchen und Größen, wohingegen Outsourcing die komplette Übertragung der Revisionsfunktion auf einen Dienstleister meint. Die vor mehreren Jahren aus den USA aufkommende Diskussion um ein Teil- oder Komplettoursourcing der Internen Revision wurde nicht immer sachlich geführt. Bereits zu ihrem Beginn formulierte der amerikanische Dachverband IIA seine Bedenken, die Interne Revision komplett auf einen Dienstleister auszulagern, in einem Positionspapier. Das war von der Reaktion her logisch, aber nicht in jedem Punkt überzeugend. Einige deutsche Autoren folgten dieser Position indem sie sie kopierten, ohne dass die thesenunermauernden Argumente besser wurden. Das Deutsche Institut für Interne Revision schweigt bis heute zu diesem wichtigen Thema. Hinter dieser Diskussion stand die Angst des Überflüssigwerdens etablierter Revisionsfunktionen, die externe Dienstleister zunächst einmal als Gefährdung ihrer eigenen Existenz begriffen, ohne die damit verbundenen Vorteile sehen zu wollen. Die Diskussion hat sich mittlerweile versachlicht, auch darum, weil die Revisionsabteilungen festgestellt haben, dass die externen Dienstleister ebenfalls nur mit Wasser kochen, wenn sie Tee trinken wollen. Und so mancher Hochglanzprospekt hat sich als das offenbart, was er ist: eine Packung heiße Luft. Insofern ist die Diskussion sachlicher und die Zusammenarbeit mit den externen Dienstleistern professioneller geworden. Bei Ausschreibungen wird mehr auf die Personen, ihre Vita und ihren fachlichen Hintergrund geachtet als auf den Firmennamen, der auf der Visitenkarte steht Ausnahmen selbstverständlich immer möglich, wie etwa bei dem Einkauf von Quality Assessments bei den Wirtschaftsprüfungsgesellschaften als Persilschein für die Revisionsabteilungen. Die Revisionsabteilungen begreifen den Zugriff auf Externe für Spezialthemen oder auch schlichtweg als Kapazitätserweiterung mittlerweile zunehmend als Vorteil; dieser bewusstseinsbildende Prozess ist aber noch nicht abgeschlossen. Es muss auch gesagt werden, dass ein guter Dienstleister eine schlechte Revision natürlich gefährden kann. Insofern ist eine Modernisierung und Neuausrichtung an der einen oder anderen Stelle sicherlich notwendig. Die Zusammenarbeit mit einem erfahrenen Dienstleister kann aber auch Know-how importieren, das für die Stärkung der Internen Revision genutzt werden kann. Und noch eine weitere Entwicklung ist festzustellen: Die kleinen Organisationen, die sich vor einigen Jahren mit dem Thema Interne Revision noch gar nicht beschäftigt haben, kommen vermehrt auf uns zu, um ihre Interne Revision in die Hände eines Externen zu legen. Dort überwiegen die Vorteile des Zugriffs auf erfahrene Experten den Nachteil des Außerhausgebens wohl immer noch. Ramin Niroumand hat, nicht zuletzt mit Unterstützung von The AuditFactory in Bezug auf die Lieferung von Materialien, aber auch als Gesprächspartner, eine Arbeit vorgelegt, die in zweierlei Hinsicht bemerkenswert und wichtig ist: Zum einen widmet er sich einem Thema, das klassischerweise zum Outsourcing geeignet ist der IT-Revision zum anderen beschäftigt er sich ausführlich mit der Branche der Finanzdienstleister. Wir veröffentlichen diese Arbeit in Abweichung von unseren sonst geltenden Grundsätzen, die Working Papers eigentlich als praxisorientierte Arbeiten von Fachkollegen definieren. Wir glauben, dass der Inhalt einem größeren Fachpublikum zugänglich gemacht werden sollte und dass er für ihn von Interesse ist. Auch darum sollte er nicht in der Schublade verschwinden. Wir freuen uns darüber, dass der Autor sich für eine Veröffentlichung bei uns entschieden hat und wünschen uns engagierte, aber entspannte Diskussionen. Elmar Schwager Bietigheim-Bissingen, 7. Dezember 2010 Geschäftsleitung The AuditFactory

5 Outsourcing der Internen IT-Revision bei Banken 5 1 Einleitung In der Krise soll man Ruhe bewahren, einen klaren Kopf behalten, die eigenen Stärken und Chancen analysieren, Verbündete suchen. Und immer wieder: richtig kommunizieren. 1, so der TUI-Chef Michael Frenzel in der Süddeutschen Zeitung. Die Banken müssen nach Verbesserungspotenzialen suchen, damit sie auch in Krisenzeiten handlungs- und wettbewerbsfähig bleiben. Nach einer aktuellen Studie 2 der Hochschule Karlsruhe wollen Kreditinstitute deshalb vor allem mittels Optimierung ihrer IT-Prozesseffizienz reagieren. 3 Auch die Banken-IT-Studie 2009 der Unternehmensberatung Capgemini belegt: 56 Prozent planen eine Prozessoptimierung, um die derzeitigen Aufgaben zu meistern. Das ist der Spitzenwert aller genannten Maßnahmen. 4 Weiterhin sollten die IT-Anwendungen im Risikomanagement verbessert werden, mit dem Ziel einer erhöhten Transparenz. 5 In einer Studie des Institute of Internal Auditor (IIA) nehmen die Mehrheit der 524 befragten Chief Audit Executives (CAE) 6 nicht an, dass ein besseres Risikomanagement die gegenwärtige Krise verhindert hätte, jedoch zeigt diese Studie die Existenz von Risiken mit weltweiter Vernetzung und den Bedarf einer notwendigen Steuerung. 7 Auch die Auslagerung ganzer IT-Bereiche an externe Anbieter wird vermehrt in den Banken diskutiert. 8 Diese Diskussion wird von der vergleichsweise hohen Fertigungstiefe, d.h. dem Anteil selbst erbrachter Leistungen im Verhältnis zur Gesamtleistung, in Kreditinstituten 9 verstärkt. Zurzeit beträgt sie bei Kreditinstituten ca. 80 %, währenddessen die Fertigungstiefe z.b. in der Automobilindustrie ca. 25 % beträgt 10 und das obwohl Finanzgeschäfte traditionell eine hohe Abhängigkeit zur IT aufweisen und einen entscheidenden Vorteil besitzen: Geld lässt sich ausgezeichnet digitalisieren. Hieraus resultiert die Frage, inwieweit ursprünglich interne Bankdienstleistungen unter Konzentration auf das Kerngeschäft und Wahrung einer ordnungsmäßigen Geschäftstätigkeit auf Dritte ausgelagert werden können, um Risiken besser zu steuern und Prozesse effizienter gestalten zu können. 11 Zur wirksamen und angemessenen Überwachung der Risiken, aber auch zur Steigerung der Effizienz von IT-Prozessen/IT-Systemen, ist nach den Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungen (BaFin) ein Risikomanagement unter Berücksichtigung der Risikotragfähigkeit einzuführen, welches insbesondere die Festlegung angemessener Strategien und interner Kontrollverfahren umfasst. Diese bestehen aus dem Internen Kontrollsystem (IKS) und der Internen Revision. 12 Die Leistungen der Internen Revision 13 von Kreditinstituten können ausgelagert werden, unterliegen jedoch höheren rechtlichen und regulatorischen Anforderungen als andere Unternehmensbereiche und prozesse. Diese Problematik wird in Kapitel 2.3 und 3.1 vertieft. Eine Definition für Interne Revision, die unabhängig von Größe und Branche der Unternehmen allgemeinhin gilt, wird nach dem IIA, bzw. dem Deutschen Institut für Interne Revision e.v. (IIR), wie folgt formuliert: 14 : 1 Meite Thiede / Frenzel, Michael (2007), im Hauptframe (siehe Internet- / Intranetverzeichnis). 2 Nees befragte 165 Führungskräften privater Universalbanken, Direktbanken und Sparkassen. (Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 3 Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 4 Ebenda. 5 Vgl. ebenda. 6 Auf die Rollen und Aufgaben eines CAE wird in der Arbeit noch genauer eingegangen (siehe ). 7 Vgl. Institute of Internal Auditor / IIA Research Foundation (Hrsg.) (II) (2009), S.1. 8 Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 9 Kreditinstitute sind Unternehmen, die Bankgeschäfte gewerbsmäßig betreiben, 1 Abs. 1 S. 1 KWG. 10 Vgl. Becker, Axel / Mauer, Anette (2009), S Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. / Hansch, Simon (2009), S Bafin (Hrsg.) (2007), S.3 (MaRisk AT 1 Tz. 1). 13 Bisher hatte sich noch keine abschließende einheitliche Terminologie etabliert. Begriffe wie Interne Revision, Innenrevision sowie internes Revisionssystem werden synonym verwendet. Zusätzlich variiert die Schreibweise. (Amling, Thomas / Bantleon, Ulrich (2007), S. 51.) 14 Peemöller, Voker H. (I) (2008), S. 3.

6 Outsourcing der Internen IT-Revision bei Banken 6 Die interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft. 15 Die Definition lässt bereits erkennen, welche Bandbreite der internen Leistungen die Interne Revision als Querschnittsfunktion im Unternehmen erbringt 16 und welchen Einfluss sie damit auf die Unternehmensentwicklung ausübt, um Ziele wie Wertsicherung und Wertsteigerung zu erreichen. Zur Bedeutungszunahme tragen die Ausweitungen der Organisationsverantwortung der Unternehmensleitung im Rahmen der Weiterentwicklung der Corporate Governance 17 sowie die wachsende Bedeutung der Bekämpfung von Wirtschaftskriminalität bei. 18 Eine Voraussetzung, um der Internen Revision eine Erhöhung der Prozesseffizienz bei gleichzeitiger Einhaltung der regulatorischen Anforderungen zu ermöglichen, ist die Risikoorientierung im Prüfungsansatz (siehe auch 3.2.1). 19 Kreditinstitute sind zur Risikoorientierung aus den MaRisk verpflichtet: 20 : Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht. ( ) 21 Die Durchführung der genannten Prüfungspflichten erfordert eine angemessene Kapazitätsausstattung der Internen Revision. Die Verantwortung hierfür obliegt der Geschäftsleitung und fällt in die Überwachungspflicht des Aufsichtsrates. 22 In der Praxis besteht die Gefahr, dass z. B. durch unzureichende Ressourcen oder fehlendes Spezialwissen in der Revisionsabteilung für das Unternehmen kritische Prozesse und die damit verbundenen Risiken nicht angemessen erfasst und mögliche Potenziale nicht ausgeschöpft werden können. 23 Hinzu kommt, dass Aufgabeninhalte und Zielsetzungen der Internen Revision durch zahlreiche gesellschaftliche, wirtschaftliche und gesetzliche Entwicklungen fortwährend angepasst werden müssen. 24 Diese Dynamik steigert die Anforderung an die Interne Revision 25 und stellt die Unternehmensführung vor Herausforderungen, die Überwachungsfunktion in angemessener und effizienter Weise auszuüben. Die Ursachen dafür sind: Zeitmangel, fehlendes Spezialwissen, fehlendes Methodenwissen, fehlende Unabhängigkeit oder Objektivität und mangelndes Bewusstsein für die Notwendigkeit der umfassenden Überwachung Deutsches Institut für Interne Revision e.v. (Hrsg.) (II.I) (2008), im Hauptframe (siehe Internet- / Intranetverzeichnis). 16 Hölscher, Luise / Rosenthal, Johannes (I) (2008), S Rechtlicher und faktischer Ordnungsrahmen zur Leitung und Entwicklung eines Unternehmens (Vgl. von Werder, Axel (2003), S.4) 18 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. Schwager, Elmar (I) (2003), S Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S Bafin (Hrsg.) (2007), S.52 (MaRisk AT 4.4 Tz. 3). 22 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S Vgl. Schwager, Elmar (I) (2003), S Vgl. Deutsches Institut für Interne Revision e.v. (Hrsg.) (I) (2005), S Amling, Thomas / Bantleon, Ulrich (2007), S Peemöller, Voker H. (II) (2008), S. 147 ff..

7 Outsourcing der Internen IT-Revision bei Banken 7 Diese Problembereiche einer etablierten Internen Revision können einen Einfluss auf die Ordnungsmäßigkeit und Angemessenheit des Risikomanagements haben und somit auf die Geschäftsführung rückwirken. Unter Umständen führt dies zur Haftung oder anderen Sanktionsmechanismen. 27 Wird aufgrund von Flexibilitäts-, Kosten- oder Professionalitätsgesichtspunkten eine etablierte Revision durch die Geschäftsführung nicht gewünscht, so kann ein Outsourcing der Revision diese Problematik verhindern oder zumindest vermindern. 28 Eine allgemeine Definition von Outsourcing im Zusammenhang mit Interner Revision liefert das Deutsche Institut für Interne Revision e.v. (IIR): Der Begriff Outsourcing (Outside Ressource Using) beinhaltet die Idee, betriebliche Funktionen auf externe Dritte auszulagern, die die betreffenden Funktionen für die Unternehmen selbständig erbringen. Outsourcing von Revisionsleistungen bedeutet, dass entweder nur einzelnen Revisionstätigkeiten oder die gesamten unternehmensinternen Revisionsfunktionen auf einen externen Dienstleister übertragen werden. 29 Besonders die Informationstechnologie stellt die Interne Revision aufgrund ihrer wachsenden Bedeutung und ihrer schnellen Entwicklungszyklen vor neue Herausforderungen. So benötigen Informations- und Kommunikationstechniken als Prüfungsobjekt den Einsatz von Revisionsspezialisten in weit größeren Umfang als andere Prüfbereiche. 30 Aus diesem Grund bezeichnet die Literatur den Teilbereich IT-Revision 31 als besonders für das Outsourcing geeignet. Ferner ist die IT- Revision eine wichtige Erfolgsdeterminante eines Kreditinstituts, wenn auch immer noch nicht als solche anerkannt. 32 Unter Voraussetzung der oben genannten Prämissen lässt sich die Annahme bilden, dass durch die Auslagerung der IT-Revision und einer damit verbundenen Steigerung der Expertise auf diesem Gebiet, die Prozesseffizienz im eigenen Unternehmen gesteigert werden kann. Das Ziel der Arbeit ist eine Veranschaulichung, welche Voraussetzungen erfüllt sein müssen, damit eine Auslagerung der Internen IT-Revision effektiv zur Erreichung der Unternehmensziele beitragen kann. Anschließend werden relevante Faktoren zur Optimierung des Nutzens näher beleuchtet. Dazu wird in einem ersten Schritt auf grundlegende Eigenschaften der Internen IT- Revision, des Outsourcings sowie auf relevante gesetzliche und regulatorische Rahmenbedingungen eingegangen. Berücksichtigt werden hierbei insbesondere für Kreditinstitute spezifische Regelungen und Standards der Internen Revision. Anschließend werden die organisatorischen Voraussetzungen für die Auslagerung und die risikoorientierte Prüfungsplanung erläutert. Darauf aufbauend bildet der Autor im Hinblick auf die Forschungsfrage zwei Thesen, die in der Schlussbetrachtung unter Berücksichtigung der nutzenbeeinflussenden Faktoren analysiert werden. Die Erkenntnisse über die zur Diskussion stehenden Faktoren, Verbesserung des Informationsflusses und die Wahl des richtigen Outsourcingpartners, werden mittels Experteninterviews gewonnen. Die Meinungen der Experten werden dabei thematisch zugeordnet und entsprechend ihrer Wirkung auf den Nutzen analysiert. Bei der Durchführung der Interviews wurde die Methodik des Leitfadeninterviews, ein Mittel der qualitativen Forschung 33, verwendet. Die Auswahl der Experten wurde unter der Prämisse einer angemessen Repräsentation für eine Gruppe 34 getroffen. Gemäß dem induktiven Ansatz sollen von spezifischen Aussagen allgemeine Erkenntnisse gewonnen werden. So stellen Schwager, Wittjen und Lehmann jeweils einen Repräsentanten der potentiellen 27 Vgl. Schwager, Elmar (I) (2003), S Schwager, Elmar (I) (2003), S Deutsches Institut für Interne Revision e.v. (Hrsg.) (III) (1999), S Vgl. Deutsches Institut für Interne Revision e.v. (Hrsg.) (I) (2005), S Vgl. u.a. Schwager, Elmar (I) (2003), S / Peemöller, Voker H. (II) (2008), S. 153 ff. / KPMG (Hrsg.) (2009), S Sowa, Alexandra S Vgl. Mayer, Horst O. (2006), S Vgl. ebenda, S In den im Anhang beigefügten Gesprächsprotokollen befindet sich jeweils eine Beschreibung der Befragten.

8 Outsourcing der Internen IT-Revision bei Banken 8 Outsourcingpartner dar. Kendel repräsentiert als Leiter der Internen IT-Revision bei der Commerzbank AG die Unternehmensseite. Alle Befragten haben langjährige Erfahrungen im Bereich der Internen Revision oder IT-Revision und arbeiten in einer Position mit Führungsaufgaben. 35 Abschließend erfolgen eine Bewertung der Ergebnisse, sowie ein Ausblick, der auch den weiteren Forschungsbedarf darstellt. Ergeben sich im Rahmen der vorliegenden Arbeit keine Differenzierung durch Prüfungsfokus Informationstechnologie werden die Begriffe Interne Revision und Interne IT-Revision als Synonyme verwendet, d.h. solange keine Unterscheidung stattfindet, gelten die gültigen Regelungen oder Eigenschaften der Internen Revision auch für die IT-Revision, da diese als Teildisziplin anzusehen ist. Nicht Gegenstand dieser Arbeit sind Untersuchungen die zeigen, ob eine Auslagerung effizienter ist als eine In-House Lösung. Es werden auch nicht die theoretischen Ansätze zur Risikoidentifikation und -bewertung, die Theorien zur Dienstleisterqualität oder die Auswirkungen von Prüfungssoftware weiter betrachtet. 2 Grundlagen 2.1 Einordnung und Entwicklung der Internen Revision Die Interne Revision ist organisatorisch als eine Stabstelle der Unternehmensführung, die prozessunabhängige Überwachungsleistungen zur Unterstützung der Unternehmensführung erbringt sowie als integraler Bestandteil des Internen Kontrollsystems (IKS) zu verstehen. Amling / Bantleon halten eine stete und gründliche Überwachung für eine Grundvoraussetzung zur effizienten und zukunftsorientierten Unternehmensführung. Überwachung: Systematischer mehrstufiger Informations- und Entscheidungsprozess, der alle Maßnahmen umfasst, durch die festgestellt werden soll, ob Zustände oder Prozesse einer Norm entsprechen sowie normgerecht und wirtschaftlich durchgeführt werden. 36 Alle Aktivitäten im Rahmen des unternehmerischen Überwachungsprozesses werden im Überwachungssystem gebündelt, wie Abb. 1 veranschaulicht. Dies zeigt, dass die Überwachung sowohl im Auftrag Dritter (extern), als auch im Auftrag der Unternehmensleitung (intern) erfolgen kann. Die Überwachung im Auftrag Dritter umfasst die Institutionen Aufsichtsrat, Abschlussprüfer, Aufsichtsbehörden (z.b. BaFin bei Banken), Betriebsprüfungen und die Prüfstelle für Rechnungslegung nach 342b HGB. 37 Das interne Überwachungssystem setzt sich aus den Bereichen Organisatorische Sicherungsmaßnahmen, Controlling, Interne Revision und der Querschnittsfunktion Risikomanagement zusammen Korndörfer, W. / Peez, L. (1993), S Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. Paetzmann, Karsten (2008)

9 Outsourcing der Internen IT-Revision bei Banken 9 Abb. 1: Controlling und Risikomanagement als Komponenten des unternehmerischen Überwachungssystems Quelle: Freidank, Carl-Christian (Hrsg.) (2005), S.18. Aufgrund ihrer prozessunabhängigen Überwachungshandlungen ist die Interne Revision eine Kernfunktion innerhalb des Internen Überwachungssystems. 39 Die unternehmerische Überwachungsfunktion unterliegt aufgrund von Veränderungen im Unternehmen bzw. in dessen Umfeld einem stetigen Anpassungsprozess. Dies gilt insbesondere für die Interne Revision als dem wichtigsten Instrument der internen Überwachung. 40 Die in Abschnitt 1 genannte Definition des IIR impliziert den eingeleiteten Wandel. Nicht mehr die Unternehmensführung allein, sondern die gesamte Organisation wird von der IR unterstützt. 41 Als Folge des gesetzlichen und bankenaufsichtrechtlichen Paradigmenwechsels (u.a. Sarbanes-Oxley-Act, Basel II, KonTraG, KWG 25a) vollzog sich seit der Jahrtausendwende 42 ein Wandel im Rollenverständnis der Revision. Weg von einer reinen quantitativen Aufsicht, hin zu einer mehr prinzipienorientierten qualitativen und präventiven Aufsicht 43 lautet das Ziel. Die wertvollen Informationen, die ein Interner Revisor bei seiner Arbeit erlangt, sollen mittels Beratungsgesprächen, Berichten oder dem Einsatz von Prüfungswerkzeugen an die entsprechenden Fachabteilungen bzw. an das Management übermittelt werden, um den Nutzen der Internen Revision zu steigern. 44 Die Interne Revision bzw. die ihr zugeordnete IT-Revision hat sich zu einem elementaren Bestandteil des Füh- 39 Freidank, Carl-Christian (Hrsg.) (2005), S Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. Peemöller, Voker H. (I) (2008), S Solch ein Wandel ist ein schleichender Prozess und somit lässt sich kein exaktes Datum definieren. Jedoch verweisen mehreren Quellen auf einen Wandel zum Ende der 90er Jahre bzw. zu Beginn des 21 Jahrhunderts. (siehe hierfür u.a.: Schwager, Elmar (I) (2003), S / Englisch, Rainer (2008), S. 77. / Amling, Thomas / Bantleon, Ulrich (2007), S. 202 ) 43 Englisch, Rainer (2008), S Vgl. Peemöller, Voker H. (I) (2008), S. 3.

10 Outsourcing der Internen IT-Revision bei Banken 10 rungsprozesses 45 der Banken entwickelt. Während der IT-Controller direkt im Tagesgeschäft mitwirkt, sollte die IT-Revision unabhängig und indirekt tätig sein. Die Prüfungs- und Beratungsleistungen decken nicht das Gesamtspektrum der IT ab, sondern konzentrieren sich auf bestimmte, besonders risikobehaftete Gebiete. 46 Eine im März 2009 veröffentlichte Studie der Wirtschaftsprüfungsgesellschaft KPMG zum Thema IT Internal Audit functions in Europe, the Middle East and Africa, kommt zur zentralen Aussage: Many organizations face a continually changing set of pressures and dynamics in the current economic climate. Faced with shrinking markets, they can choose to rationalize, merge or contract. The technology thread which holds systems and processes together is at risk. As a consequence, IT Internal Audit plays an integral role in maintaining discipline and rigor across functions and geographies. 47 Dies verdeutlicht, dass die Interne IT-Revision sich weiterhin im Wandel befindet und vor dem Hintergrund der aktuellen Finanzmarktkrise zusätzlich an Bedeutung gewinnt. Der Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach- Gesellschaft für Betriebswirtschaft e.v. fasste im Jahr 2006 die Anforderungen an eine Interne Revision, wie sie im Zuge der neueren Entwicklungen definiert werden müssen, in 14 Thesen zusammen. 48 Der Autor verzichtet auf eine weitere Betrachtung, da die Entwicklung der Internen Revision nicht relevant im Hinblick auf diese Arbeit ist, und verweist auf die genannte Quelle und dessen kritische Betrachtung von Elmar Schwager 49 und Udo Strauß 50. Festzuhalten bleibt, dass Beruf und Berufsbild eines Internen Revisors nicht verbindlich beschrieben sind. Dies unterscheidet ihn etwa vom Abschlussprüfer, bei dem die Voraussetzungen zur Siegelführung verbindlich definiert sind. Folglich ist, neben einem Rückgriff auf die Standards für die berufliche Praxis der Internen Revision, eine Konsultation von Best Practices anderer Professionen notwendig. Die ausschließliche Fokussierung auf kodifizierte Grundlagen (Standards, Rundschreiben, etc.) ist unzureichend, entspricht nicht Best Practice und kann auch zwingend nicht zu einem Best Practice-Ansatz führen. 51 Deshalb ist es wichtig, die Praxis professioneller Interner Revisionsabteilungen in diese Arbeit einfließen zu lassen, weil viele und vor allem innovative Impulse aus der Praxis heraus kommen. 52 In Kapitel 4 werden daher Aussagen von Revisoren mit ungleichen Blickwinkeln verwertet. 2.2 Aufgaben und Ziele der Internen IT-Revision Aufgabenstellung und Verantwortung einer Internen Revision müssen von der Geschäftsführung selbst festgelegt werden. 53 Zu dieser Verantwortung zählen insbesondere das Aufgabengebiet, die Struktur und das Qualitätsmanagement sowie die personelle und sachliche Ausstattung der Internen Revision. 54 Aus 93 AktG und 43 GmbHG ergeben sich Verpflichtungen hinsichtlich einer ordnungsgemäßen Geschäftsabwicklung. Eine Geschäftsführung ist insbesondere verantwortlich für: die ausreichende qualitative und quantitative personelle Besetzung der internen Revision, die Genehmigung der Revisionspläne, die Überwachung der Tätigkeit der Internen Revision und 45 Sowa, Alexandra (2007), S Vgl. ebenda (2007), S. 82 ff.. 47 KPMG (Hrsg.) (2009), S Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.v., Köln (Hrsg.) (2006), S. 225 ff.. 49 Siehe Anhang: Genauere Personenangaben zu Elmar Schwager, Experte im Bereich Interne Revision. 50 Siehe: Schwager, Elmar / Strauß, Udo (2006), S Schwager, Elmar / Strauß, Udo (2006), S Vgl. Schwager, Elmar / Strauß, Udo (2006), S Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.v., Köln (Hrsg.) (2006), S. 225.

11 Outsourcing der Internen IT-Revision bei Banken 11 die Entscheidung über die Abstellung der in den Revisionsberichten aufgezeigten Mängel. 55 Soweit die Interne Revision ausgelagert ist und durch eine externe Stelle wahrgenommen wird, bleiben die Prüfungsplanung, die Überwachung der Prüfungsdurchführung durch den externen Dienstleister sowie die Nachschau der Revisionsprojekte Aufgabe der Unternehmensleitung. 56 Inwieweit die Auslagerung der Internen IT-Revision bei Kreditinstituten Einschränkungen unterliegt, wird in Abschnitt behandelt. Weiterhin sind die für die Jahresabschlussprüfung geltenden Anforderungen zwangsläufig auch für die Interne Revision relevant. Sie können deshalb im Auftrag der Geschäftsleitung an die Interne Revision nicht unberücksichtigt bleiben. In Abschnitt 2.2 wird genauer auf die rechtliche Verankerung der Internen Revision eingegangen. 57 Generell hat die Revision risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems (IKS) im Besonderen zu beurteilen und zu prüfen, unabhängig davon, ob diese ausgelagert ist oder nicht. 58 Die gesetzliche Vorgaben für das IKS befinden sich für Kreditinstitute in 25a Abs. 1 KWG, welche in AT 4.3 Internes Kontrollsystem der MaRisk präzisiert werden. Das IKS besteht aus den Regelungen zur Aufbau- und Ablauforganisation sowie den Prozessen zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken kurz Risikosteuerungs- und - controllingprozesse. 59 In Abschnitt wurde bereits dargestellt, inwieweit sich der Fokus und dementsprechend auch das Aufgabenfeld der Internen Revision gewandelt hat. Die klassischen Felder Financial Auditing, Compliance und Operational Auditing wurden durch Management Auditing und Internal Consulting erweitert. Die Abb. 2 zeigt die Entwicklungslinie der Tätigkeitsfelder und erläutert diese kurz. 55 Schuppenhauer, Rainer (Hrsg.) (2006), S Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.v., Köln (Hrsg.) (2006), S Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Bafin (Hrsg.) (2007), S Vgl. ebenda, S.11.

12 Outsourcing der Internen IT-Revision bei Banken 12 Abb. 2: Entwicklungslinie der Tätigkeitsfelder der Internen Revision Quelle: Eigene Darstellung, in Anlehnung an: Amling, Thomas / Bantleon, Ulrich (2007), S. 53. Die Tätigkeitsfelder sind nicht überschneidungsfrei, wobei nicht von einer zwangsläufigen inhaltlichen Abhängigkeit einzelner Aufgabefelder ausgegangen werden kann. Ein Financial bzw. Operational Audit ist nicht zwingend eine Voraussetzung für ein Management Audit. Jedoch kann ein Management Audit zur Fehlerquellenanalyse beitragen, wenn vorab Probleme festgestellt wurden. 60 Die Bekämpfung der Wirtschaftskriminalität ist hierbei als ein Spezialfall des Compliance Auditing einzuordnen. Bezüglich der projektbegleitenden Revision bzw. dem Pre-Implementation-Audit handelt es sich nicht um ein eigenes Tätigkeitsfeld, sondern unterscheidet sich durch den Zeitpunkt der Prüfungsdurchführung. 61 Obwohl die IT-Revision einen großen Bedarf an Spezialwissen erfordert, eine vergleichsweise hohe Komplexität aufweist und eine starke Bedeutung für die angestrebte IT-Prozessoptimierung besitzt, stellt sie kein eigenes Feld dar. Die Unterscheidung liegt lediglich im Prüfungsobjekt IT. Die verschiedenen Tätigkeitsfelder müssen wie bei jeder anderen Prozessprüfung durchlaufen werden. Die Einteilung in die genannten Felder spiegelt die Auffassung des Autors wieder und bildet die Grundlage für die weitere Bearbeitung. Sie stellt einen Kompromiss zwischen einer engeren 62 und einer weiter 63 gefassten Interpretation dar. Damit die Revision ihre Aufgaben sachgerecht wahrnehmen kann, sollte ihre Tätigkeit durch die Definition der Prüfungsziele, Festlegung der Prüfungsbereiche, Festlegung der notwendigen Prüfungshandlungen sowie Bereitstellung geeigneter Prüfungshilfsmittel spezifiziert werden. Im Fol- 60 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S Vgl. ebenda, S Tätigkeitsfelder: Controlling, Risk Management, Governance (Vgl. Peemöller, Voker H. (I) (2008), S. 3 ff.). 63 Zusätzliche Tätigkeitsfelder: Risk Management, Unterschlagungsprüfung, Due Dilligence / Post Merger (vgl. Berwanger, Jörg / Kullmann, Stefan (2007), S.77).

13 Outsourcing der Internen IT-Revision bei Banken 13 genden soll auf den Ersten der genannten Aspekte eingegangen werden. 64 Denn einerseits unterscheidet sich das Prüfungsziel maßgeblich von der Jahresabschlussprüfung, deren einziges Ziel die Sicherstellung der Ordnungsmäßigkeit ist, und andererseits ist die Einhaltung der Prüfungsziele ständige Prämisse für die gegenwärtige Diskussion. Ferner werden die Aspekte Festlegung der Prüfungsbereiche und Festlegung der notwendigen Prüfungshandlungen im Weiteren näher erläutert. Definition der Prüfungsziele Die Prüfungsziele der Internen Revision im Rahmen ihrer Überwachungsfunktion ergeben sich aus dem Auftrag der jeweiligen Geschäftsleitung. Ein durchgängiges Ziel der Internen Revision sollte es hierbei sein, Fehler bereits im Ansatz zu erkennen und zu verhindern. Zusätzlich wird von der Internen Revision eine Beurteilung der Wirtschaftlichkeit der IT-Prozesse gefordert, 65 welche zu Kosteneinsparungen und Leistungssteigerungen führen soll. Rainer Schuppenhauer, Herausgeber des GoDV-Handbuches, identifiziert fünf zentrale Prüfungsziele, die sich auch aus der oben genannten Definition des IIR ableiten lassen: Ordnungsmäßigkeit nach gesetzlichen Gesichtspunkten Verbesserung des IKS Verbesserung des Berichtswesen und der Informationsqualität Rationalisierung der Ablauforganisation Wirtschaftlichkeit der DV-Organisation 66 Damit die Abarbeitung der Tätigkeitsfelder und der allgemeinen Prüfungsziele erfolgen kann, werden insbesondere die Methoden der IT-Systemprüfung 67 und der Wirtschaftlichkeitsprüfung eingesetzt. Inwiefern eine Interne IT-Revision zur Verbesserung der Geschäftsprozesse beitragen kann, soll im Weiteren nicht zusätzlich behandelt werden, da im Rahmen der Arbeit die Effizienz der Prüfungsdurchführung bei einer Auslagerung der Internen IT-Revision im Vordergrund steht. Es wird von einer leistungsfähigen, das heißt nach den Berufsgrundsätzen arbeitenden 68, mehrwertschaffenden Internen Revision respektive Internen IT-Revision ausgegangen. 2.3 Risiken einer unsachgemäßen Internen IT-Revision Eines der größten Probleme für Interne Revisionsabteilungen ist die Einschränkung ihrer Wirksamkeit, das heißt eine Nicht-Erfüllung der ihr zugeordneten Aufgaben. Aufgrund ihrer gesetzlichen Notwendigkeit, der zentralen Rolle im Überwachungssystem und der gestiegenen Bedeutung, darf die Interne Revision in der Erfüllung ihrer Aufgaben nicht eingeschränkt sein oder behindert werden. Insbesondere beim Outsourcing von Teilen der Innenrevision ist dies zu beachten. 69 Die Vielzahl möglicher Einschränkungen unterscheidet sich dabei hinsichtlich ihrer Wirkung auf die Leistungsfähigkeit der IT-Revision. Folgend werden in Tabelle 1 Einschränkungen und daraus resultierende Gefahren beispielhaft aufgezeigt: 64 Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Ebenda, S Detailierte Beschreibungen zur IT-Systemprüfung: siehe Anhang. 68 Schwager, Elmar (I) (2003), S Vgl. Becker, Axel / Mauer, Anette (2009), S. 26 ff..

14 Outsourcing der Internen IT-Revision bei Banken 14 Einschränkungen Mangelnde Unterstützung durch das Management Fehlende Akzeptanz durch das Management und Fachabteilugen Nichteinhaltung des Kodex der Berufsethik Einschränkungen betreffend den Zugang zu Informationen der Organisation Beschränkungen auf Grund sachlicher oder personeller Engpässe Beeinträchtigungen der Objektivität und Unabhängigkeit der Internen Revision. Gefahren Falsche Prüfungsziele, -ansätze, - planung, und -techniken Fehlende / falsche Risikoanalyse; Vernachlässigung risikobehafteter Bereiche Knappe Berichterstattung, unklare Feststellungen, zweifelhafte Empfehlungen Ungenügende Qualitätskontrolle und Follow-Up 70 Höherer Koordinationsaufwand in Verbindung mit Kostensteigerung Beeinträchtigung des Überwachungssystems; gesetzliche Konsequenzen Tab.1: Mögliche Einschränkungen der Internen Revision und die daraus resultierenden Gefahren Quelle: Eigene Darstellung, in Anlehnung an: Schuppenhauer, Rainer (2006), S. 343 ff. / Schwager, Elmar (I) (2003), S / Hölscher, Luise / Rosenthal, Johannes (II) (2009),. 11 ff.. S Die Aufzählung der Einschränkungen ist nicht gewichtet, wobei herausgestellt werden muss, dass Beschränkungen des Informationszuganges sehr häufig zu falschen Prüfungsergebnissen führen können und darum als besonders kritisch anzusehen sind. In der Praxis könnte dies dazu führen, dass durch die fehlende Offenlegung aller für die Beurteilung eines Prüffeldes notwendigen Informationen die Interne Revision zu einem falschen Prüfungsurteil kommen könnte. Aus diesem Prüfungsurteil abgeleitete Maßnahmen wären dann nicht zielführend. 71 Des Weiteren könnten mangelnde Informationen zu einer falschen Risikoanalyse führen und somit mit Risiken verbundene Bereiche nicht abgedeckt werden. Auch die beratenden Tätigkeiten der Internen IT-Revision könnten Probleme in Bezug auf Objektivität und Unabhängigkeit mit sich bringen. Eine kritische Situation ergibt sich beispielsweise, wenn ein Interner Revisor die Wirtschaftlichkeit einer IT-Anwendung nachträglich in Frage stellt, obwohl er bei der Investitionsentscheidung mitwirkte und die Implementierung der entsprechenden Lösung unterstützte. 72 Im Englischen wird deshalb zwischen Advisory, der unabhängigen Beurteilung von Konzepten und Prozessen, und Consulting, Erstellung von Konzeptionen und Umsetzung, unterschieden. Die Interne Revision sollte sich nach Meinung einiger Autoren auf Advisory beschränken. 73 Denn menschliche Schwächen wie Selbstgefälligkeit, Gleichgültigkeit und mangelnde Selbstkritik stellen eine Gefahr für Objektivität und Unabhängigkeit dar. 74 Inwieweit die Auslagerung der IT-Revision die Objektivität und die Unabhängigkeit beeinflusst, wird in Abschnitt 4.1 aufgegriffen. 70 Überwachung der fristgerechten Umsetzung des aufgezeigten Handlungsbedarfs durch die Interne Revision. (vgl. Berwanger, Jörg / Kullmann, Stefan (2007), S.192) 71 Vgl. Schwager, Elmar (2008), S. 8 ff.. 72 Vgl. Knapp, Eckhard (2005), S Vgl. Rasmussen, Michael / Brown, Adam (2004), S.1 74 Vgl. Herzig, Andreas / Fabritius, Dieter (2008); S. 276.

15 Outsourcing der Internen IT-Revision bei Banken 15 Die Interne Revision ist ein Instrument der Geschäftsleitung, d. h., sie ist ihr im Idealfall, der in der Praxis nicht immer die Regel darstellt, unmittelbar unterstellt und berichtspflichtig. Ihr ist zur Erfüllung ihrer Aufgaben ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. 75 Diese weiträumigen Befugnisse gelten allerdings nicht ohne Einschränkungen. Der im Januar 2009 bekanntgewordene Skandal über den möglichen Missbrauch von Mitarbeiter- und Kundendaten bei der Deutschen Bahn AG legt einmal mehr die Diskrepanz zwischen Datenschutz und Überwachung offen. Die Notwendigkeit der Überwachung wird immer häufiger zur Rechtfertigung überzogener und rechtswidriger Überwachungsmethoden und Datenweitergabe vorgeschoben. 76 Um den missbräuchlichen Gebrauch von Informationen oder unberechtigten Zugriffen vorzubeugen, sollte der Revision ein Informationsnutzungsrecht ausschließlich zur Wahrnehmung ihrer Aufgaben eingeräumt werden. Das bedeutet, dass Zugriffsberechtigungen der Internen Revision nach dem sogenannten Prinzip des notwendigen Wissens vergeben werden. Erhält ein Revisor im Rahmen einer Prüfung beispielsweise Administrationsrechte auf eine Anwendung, sind diese genauso streng zu handhaben wie diejenigen eines jeden anderen Administrators im Institut. Das Informationsrecht muss sich auf die Prüfungs- und Beratungshandlungen beschränken und mit dem Abschluss der Prüfungstätigkeit erlöschen. 77 Im Folgenden wird gezeigt, welche Voraussetzungen, gesetzlich und organisatorisch, erfüllt sein müssen und welchen Nutzen Outsourcing bietet, damit sowohl die Interne IT-Revision als auch die durch sie geprüften Bereiche effizienter sind. 2.4 Gesetzliche Grundlagen Grundsätzlich sollte sich, im Hinblick auf die Einhaltung der Ordnungsmäßigkeit, die Interne Revision auf die bei einer externen Prüfung, insbesondere der Jahresabschlussprüfung, geltenden Vorschriften und Regelungen stützen. Die Jahresabschlussprüfung ist unmittelbar gesetzlich verankert, wohingegen eine solche Kodifizierung durch den Gesetzgeber für die Interne Revision - mit Ausnahme der Sondervorschriften für die Kreditwirtschaft in 25a Abs. 1 Satz 3 Nr. 1 KWG 78 - bisher nicht erfolgt ist. Neben weiteren spezialgesetzlichen Regelungen 79 enthalten insbesondere die 316 ff. HGB Regelungen über das Spektrum 80 der Abschlussprüfung. Im Zusammenhang mit einer Innenrevision findet sich lediglich die indirekte gesetzliche Normierung für Aktiengesellschaften durch 91 Abs. 2 AktG. Der Gesetzesbegründung zum KonTraG zufolge, möchte der Gesetzgeber mit dieser Regelung die Verpflichtung des Vorstands untermauern, für ein angemessenes Überwachungssystem respektive Risikomanagement im Unternehmen sorgen. Zu diesem Überwachungssystem gehören organisatorische Sicherungsmaßnahmen, interne Kontrollen sowie die Interne Revision. 81 Baut die Interne Revision ihre Prüfungshandlungen auf Basis der gesetzlichen Verankerungen der Jahresabschlussprüfung auf, wird das notwendige Mindestmaß an Ordnungsmäßigkeit fortlaufend überprüft. Außerdem vereinfacht es die Kooperation zwischen den externen und internen Prüfungsorganen, was zu einer Steigerung der Wirtschaftlichkeit beitragen kann. 82 Neben den einzuhaltenden gesetzlichen Grundlagen, lassen sich bei der Durchführung von IT-Revision die Anforderungen an ein ordnungsgemäßes IT-System in drei Ebenen unterteilen, wie die folgende Abb. 3 veranschaulicht. 75 Vgl. BaFin (Hrsg.) (2007), S Vgl. Rödel&Partner (2009), 1. Abschnitt im Hauptframe (siehe Internet- / Intranetverzeichnis). 77 Vgl. Sowa, Alexandra, S. 82 ff.. 78 Auf die für Kreditinstitute spezifizierten Regelungen wird in Punkt eingegangen. 79 Spezialgesetzliche Regelungen finden sich z. B. in 33, 183 Abs. 3, 194 Abs. 4, 205 Abs. 3, 313 AktG, 340k, 341k HGB, 29 KWG, 53 GenG oder 53 HGrG. 80 U.a. Pflicht zur Prüfung, dem Prüfungsgegenstand und -umfang, der Auswahl der Abschlussprüfer oder der Formulierung des Prüfungsergebnisses. 81 Vgl. Küting, Karlheinz / Boecker, Corinna (2008), S In diesem Zusammenhang ist auch der IDW PS 321 "Interne Revision und Abschlussprüfung des Instituts Deutscher Wirtschaftsprüfer (IDW) und der IIR-Revisionsstandard Nr. 1 "Zusammenarbeit von Interner Revision und Abschlussprüfer" des Deutschen Instituts für Interne Revision (IIR) zu beachten.

16 Outsourcing der Internen IT-Revision bei Banken 16 Abb. 3: Überblick über die gesetzlichen Grundlagen, Grundsätze und Standards für die Prüfung einer IT Umgebung Quelle: Eigene Darstellung. Die erste Ebene umfasst die gesetzlichen und aufsichtsrechtlichen Verankerungen: Die Ordnungsvorschriften der 238, 239 und 257 HGB sowie 145, 146 und 147 AO bilden die gesetzliche Grundlage einer ordnungsmäßigen Buchhaltung. Hinzu kommen das bereits erwähnte KWG, relevant für alle Kreditinstitute, und das AktG. Weiter sind in diesem Zusammenhang das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze zu beachten, welche die Gewährleistung von Vertraulichkeit sicherstellen sollen, so dass personenbezogene Daten nur auf Grundlage rechtlicher Bestimmungen oder der Basis der Einwilligung der Betroffenen verarbeitet und weitergegeben werden dürfen. 83 Die MaRisk der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) dienen als Leitfaden für das Stufenmodell des»supervisory Review Process«, der zweiten Säule von Basel II. 84 Aufgrund der Relevanz der MaRisk in Bezug auf die Thematik dieser Arbeit, werden die von ihr ausgehenden Einschränkungen und Anforderungen hinsichtlich einer Auslagerungen der Internen Revision in Kapitel näher behandelt. Die zweite Ebene umschließt die aus den Gesetzen abgeleiteten Anforderungen an ordnungsgemäße IT-Systeme und -Prozesse: 85 Die Grundsätze ordnungsgemäßer Buchführung (GoB) sind ein unbestimmter Rechtsbegriff. Sie umfassen alle Buchführungs- und Bilanzierungsgrundsätze. 86 Mit dem Begriff GoB verweist das Gesetz auf eine Wert- und Ordnungsvorstellung, die außerhalb der gesetzlichen Regelungen liegt. Folglich hat die kaufmännische Buchhaltung mit einem abstrakten und über die gesetzliche Einzelregelung hinausgehenden Ordnungssystem übereinzu- 83 Vgl. Hoppe, Gabriela (2003), S ff.. 84 Vgl. Sowa, Alexandra (2007), S Vgl. Wähner, Gerd (2002), S Vgl. Leffson, Ulrich (1980), S. 21 ff. / vgl. Kruse, Heinrich Wilhelm, S. 104 ff..

17 Outsourcing der Internen IT-Revision bei Banken 17 stimmen. Die Grundsätze ordnungsmäßiger Datenverarbeitung (GoDV) wurden aus den GoB abgeleitet und sollen diese unterstützen. 87 Die GoDV dienen zur Regelung der Verantwortlichkeiten und der Pflichten des Buchführungspflichtigen beim Einsatz von IT im Rechnungswesen. Sie beziehen sich auf alle rechnungslegungsrelevanten Formen der Datenverarbeitung und deren Anwendungsgebiete. 88 Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) konkretisieren die Anforderungen an Kontrollen, Regelungen und Maßnahmen, die der Buchführungspflichtige je nach Stand der Technik (z.b. DIN oder ISO) beachten muss, um die GoB beim Einsatz IT-gestützter Buchführung einzuhalten. Für die Finanzverwaltung sind die GoBS bindend. 89 Die Finanzverwaltung hat seit der Neufassung der 146, 147, 200 AO die rechtliche Grundlage, im Rahmen von steuerlichen Außenprüfungen direkt auf die IT-Systeme der geprüften Steuerpflichtigen zuzugreifen. 90 Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) interpretieren und legen das Gesetz durch Beispiele und Ergänzungen aus. Weiter umfassen sie Anwendungsregeln zur Umsetzung des Rechts auf Datenzugriff. 91 Die dritte Ebene umfasst Standards, Rundschreiben und Verlautbarungen, die Einfluss auf die Arbeit der Internen IT Revision haben: Hinsichtlich der Arbeitsweise und Best-Practice-Ansätze liefern sowohl das Institute of Internal Auditor (IIA) 92 als auch das Deutsche Institut für Interne Revision e.v. (DIIR) 93 in der Praxis anerkannte, berufsspezifische Empfehlungen. Zu den gängigen Standards hinsichtlich der Ausgestaltung des IKS gehören COSO 94 und CobiT 95. Darüber hinaus lässt sich insbesondere CobiT im Rahmen einer generellen Prüfungsplanung und bei der Erstellung eines Prüfungsplans/Prüfungsprogramms (Einzelfallprüfung) verwenden. 96 Genaue Vorgaben hinsichtlich der Ausgestaltung einer IT-Umgebung in Kreditinstituten sind nur bedingt festgehalten. Nach MaRisk 7.2 soll bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abgestellt werden. Demnach muss die Prüfung dieser Prozesse an relevanten Standards ausgerichtet werden. Detaillierte Anforderungen enthalten z.b. die Standards des Berufsstandes der Wirtschaftsprüfer IDW FAIT 1, IDW PS 300 oder IDW EPS 850. Mit den handels- und steuerrechtlichen Vorschriften, den GoB und den IDW Stellungnahmen 97 ist der Rahmen dessen abgesteckt, was beim Einsatz von IT im Rechnungswesen zu beachten ist, die wesentlichen Bereiche der IT-Organisation benannt und der Prüfungsbedarf klar beschrieben Bedeutung von Outsourcing für Kreditinstitute Neben der hohen Anzahl der Kreditinstitute ist die Kosteneffizienz in Deutschland im Vergleich zu ausländischen Wettbewerbern niedrig. Viele Dienstleistungen wie Zahlungsverkehr, Marktfolgetätigkeiten im Kreditgeschäft etc. werden von den Banken noch selbst erbracht, was sich in der vergleichsweise hohen Fertigungstiefe wiederspiegelt (siehe Abschnitt 1). Der große Nachholbedarf gegenüber dem produzierenden Gewerbe verstärkt den kontinuierlichen Trend zur Auslagerung von Dienstleistungen und Bankprozessen Vgl. Bundesamt für Sicherheit in der Informationstechnik (2005). 88 Vgl. Schuppenhauer, Rainer (2000), S Vgl. Wähner, Gerd (2002), S Vgl. Taetzner, Tobias/ Büssow, Thomas (2002), S Vgl. Harnichfeger, Walter (2005) S. 173 ff.. 92 Institute of Internal Auditor (2009), 1. Hauptframe (siehe Internet- / Intranetverzeichnis). 93 Deutsches Institut für Interne Revision e.v. (2009), 1. Hauptframe (siehe Internet- / Intranetverzeichnis). 94 COSO (Committee of Sponsoring Organizations of the Treadway Commission) 95 CobiT (Control Objectives for Information and Related Technology) ist ein international anerkanntes Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben). CobiT macht keine konkreten Vorgaben wie eine Umsetzung erfolgen soll, sondern was beachtet werden muss. (vgl. Kühle, Burkhard (2008)) 96 Vgl. Taubenberger, Stefan (2008), S Siehe Abbildung Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. / Vgl. Schwager, Elmar (III) (2008), S. 4 ff.

18 Outsourcing der Internen IT-Revision bei Banken 18 Die derzeitige Finanzkrise und der dadurch verstärkte Kosten- und Ertragsdruck auf Kreditinstitute wird den Trend zum Outsourcing und zum Bezug von externen Dienstleistungen in der nächsten Zeit verschärfen. 100 Demnach entspringt Outsourcing von betrieblichen Funktionen oftmals dem Wunsch, Kosten zu reduzieren, interne Abläufe personell als auch strukturell zu optimieren, um sich auf seine Kernkompetenzen zu konzentrieren und seine Marktchancen systematischer und effektiver wahrnehmen zu können. Dies belegen verschiedene Studien 101 und Aussagen in der Fachliteratur 102. Die Auslagerung von Tätigkeiten beinhaltet neben Chancen auch Risiken. Während Aspekte wie die Abhängigkeit vom Outsourcing-Anbieter zu einem gewissen Grad toleriert werden müssen, können viele potenzielle Risiken durch ein effizientes Projektmanagement und eine adäquate Vertragsgestaltung umgangen oder reduziert werden. 103 Diese Gesichtspunkte werden in Abschnitt 3 und 4 genauer behandelt. Tabelle 2 stellt einige grundsätzliche Chancen und Risiken gegenüber. Chancen Kostenreduktion Skaleneffekte Variabilisierung fixer Kosten Kostentransparenz Liquiditäts- und Rentabilitätseffekte Geringere Personalkosten Risiken Abhängigkeitseffekte Bindung an den Outsourcing-Partner Verlust von Know-How Sicherheitseffekte Leistungs-und Qualitätsdefizite Einbußen durch Standardisierung Mangelnde Kommunikation Konzentration auf das Kerngeschäft Kernkompetenzen Reduktion des Geschäftsrisikos Leistungsoptimierung Erschließung von neuem Know-How Flexibilisierung und definierte Service Levels Kostensteigerungen Unterschätzung der Transaktionskosten Fehleinschätzung der direkten Kosten Weiche Faktoren Angst vor Arbeitsplatzabbau Abgabe von Verantwortlichkeiten Tab.2: Allgemeine Chancen und Risiken des Outsourcing Quelle: Eigene Darstellung, in Anlehnung an: Schuppenhauer, Rainer (2006), S. 343 ff. / Schwager, Elmar (I) (2003), S / Hölscher, Luise / Rosenthal, Johannes (II) (2009), S. 11 ff.. Inwieweit eine Auslagerung von Funktionen der Internen Revision rechtlichen Einschränkungen unterliegt und ob diese sinnvoll ist, wird in den folgenden Abschnitten vertieft betrachtet. 100 Vgl. Becker, Axel / Mauer, Anette (2009), S Vgl. IT Governance Institute (Hrsg.) (2005) / Institute of Internal Auditor / IIA Research Foundation (Hrsg.) (I) (2009) 102 Vgl. u.a Amling, Thomas / Bantleon, Ulrich (2007), S. 202 / vgl. Herms, Heinz-Josef / Schwarz, Gerd (Hrsg.) (2005), S. 11 ff. / Peemöller, Voker H. (II) (2008), S.147 ff. / vgl. Schwager, Elmar (I) (2003), S ff Vgl. Herms, Heinz-Josef / Schwarz, Gerd (Hrsg.) (2005), S. 22.

19 Outsourcing der Internen IT-Revision bei Banken Rechtliche Einschränkungen Grundlage für die Anforderung an die Auslagerung respektive Weiterverlagerung von Unternehmensbereichen auf ein Auslagerungsunternehmen sind 25a KWG sowie die Mindestanforderungen an das Risikomanagement (u. a. AT 9 Tz. 1) in der Fassung vom November Die Ma- Risk definieren: Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. 104 Die BaFin hat durch die Überarbeitung der Outsourcing-Anforderungen für Kreditinstitute in den MaRisk im November 2007 die Grundlage für einheitliche Standards geschaffen. Nach MaRisk AT 9, Tz. 4 AT sind grundsätzlich alle Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß 25a Abs. 1 KWG nicht beeinträchtigt wird. Nicht auslagerbar sind originäre Leitungsaufgaben der Geschäftsführung, denn die Verantwortung der Geschäftsleitung darf nicht an das Auslagerungsunternehmen delegiert werden. 105 Zu den nicht auslagerbaren Leitungsaufgaben der Geschäftsleitung zählen: die Unternehmensplanung, -koordination, -kontrolle und die Besetzung der Führungskräfte." 106 Weiterhin dürfen keine Aufgaben, die der Geschäftsleitung durch den Gesetzgeber oder durch sonstige Regelungen explizit zugewiesen sind, z. B. die Entscheidung über Großkredite nach 13 bis 13b KWG oder die Festlegung der Strategie, ausgelagert werden. Besondere Maßstäbe für Auslagerungsmaßnahmen können sich ferner aus spezialgesetzlichen Regelungen ergeben. 107 Bei wesentlichen Auslagerungen 108 von Prozessen und Dienstleistungen ist eine regelmäßige Risikoanalyse durchzuführen, um sicherzustellen, dass Bankprodukte und -dienstleistungen sowie essentielle Prozesse in guter Qualität und zuverlässig erbracht werden. 109 Von den Leitungsaufgaben abzugrenzen sind Funktionen oder Organisationseinheiten, derer sich die Geschäftsleitung bei der Ausübung ihrer Leitungsaufgaben bedient. Diese können sowohl nach innen als auch durch Auslagerung nach außen delegiert werden. 110 Das Outsourcing von Funktionen der Internen Revision dient deshalb ausschließlich der Unterstützung der Unternehmensüberwachung, wobei die endgültige Verantwortung die Geschäftsleitung selbst trägt. In Abbildung 7 werden unterschiedliche Szenarien veranschaulicht. 104 BaFin (Hrsg.) (2007), S.20 (AT 9 Tz. 1). 105 Vgl. Becker, Axel / Mauer, Anette (2009), S. 26.Vgl. BaFin (Hrsg.) (2007), S.20 ff Vgl. Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4). 107 z. B. bei Bausparkassen hinsichtlich der Kollektivsteuerung oder bei Pfandbriefbanken hinsichtlich der Deckungsregisterführung und der Deckungsrechnung. (Vgl. Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4)) 108 Der Begriff der wesentlichen Auslagerung [ist] jedoch nirgends eindeutig definiert worden und somit als unbestimmter Rechtsbegriff anzusehen. Seit dem Inkrafttreten der MaRisk in der Fassung ist nunmehr im Rahmen der Entscheidungsfindung über Entscheidungsfindung über eine etwaige Auslagerung eines Prozesses/Teilprozesses respektive einer Dienstleistung institutsindividu Entscheidungsfindung über eine etwaige Auslagerung eines Prozesses/Teilprozesses respektive einer Dienstleistung institutsindividuell ell festzulegen, ob es sich bei der Auslagerung um eine nicht wesentliche oder wesentliche Auslagerung handelt. (Becker, Axel / Mauer, Anette (2009), S. 28.) 109 Vgl. Becker, Axel / Mauer, Anette (2009), S Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4).

20 Outsourcing der Internen IT-Revision bei Banken 20 Überblick über die Fallgruppen nach AT 9 MaRisk Quelle: Bantleon, Ulrich / Kranzbühler, Lutz / Ramke, Thomas (2008), S Aufgrund der individuellen Gegebenheiten im jeweiligen Unternehmen, muss grundsätzlich jedes Institut im Rahmen eines Auslagerungsvorhabens eigenverantwortlich eine Risikoanalyse erstellen. Hierbei muss unter Einbezug der maßgeblichen Organisationseinheiten festgelegt werden,

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Allgemeine Regelungen 0-1

Allgemeine Regelungen 0-1 AR 0-1 Allgemeine Regelungen 0-1 Richtlinien für die Interne Revision der Deutschen Bundesbank (Revisionsrichtlinien) Inhaltsübersicht 1 Grundlagen 2 Verantwortung und Ziele 3 Stellung 4 Befugnisse 5 Grundsätze

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T über die Softwarezertifizierung des Programms tacoss.etrade Tacoss Software GmbH Tarp Inhaltsverzeichnis Seite 1.

Mehr

ABRT Wirtschaftsprüfungsgesellschaft

ABRT Wirtschaftsprüfungsgesellschaft ABRT Wirtschaftsprüfungsgesellschaft Übernahme bankinterner Funktionen Wirtschaftsprüfung Interne Revision Betriebswirtschaftliche Beratung ABRT GmbH Wirtschaftsprüfungsgesellschaft: Prüfungs- und Beratungskompetenz

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f.

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f. Arbeitskreis Rechnungslegung des Deutschen Steuerberaterverbands e.v. Littenstraße 10 10179 Berlin Tel: 030/278 76-2 Fax: 030/278 76-799 Mail: rechnungslegung@dstv.de B 01/13 vom 31.05.2013 Entwurf einer

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Erfüllung der Anforderungen des URÄG

Erfüllung der Anforderungen des URÄG RISK ADVISORY SERVICES Erfüllung der Anforderungen des URÄG KPMG Dienstleistungsangebot Jänner 2009 ADVISORY URÄG Agenda 1 URÄG gesetzliche Rahmenbedingungen 2 KPMG Dienstleistungen - Überblick 3 KPMG

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Commerzbank AG Group Audit. - Revision in der Commerzbank -

Commerzbank AG Group Audit. - Revision in der Commerzbank - Commerzbank AG Group Audit - Revision in der Commerzbank - Auftrag Strategische Planung Operative Durchführung Mitarbeiter 1 Der Auftrag und die Positionierung - Zielsetzung Management-Unterstützung Aufzeigen

Mehr

Entschließung des Bundesrates zur Überreglementierung bei der Bankenaufsicht

Entschließung des Bundesrates zur Überreglementierung bei der Bankenaufsicht Bundesrat Drucksache 167/05 (Beschluss) 29.04.05 Beschluss des Bundesrates Entschließung des Bundesrates zur Überreglementierung bei der Bankenaufsicht Der Bundesrat hat in seiner 810. Sitzung am 29. April

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Bedeutung des BilMoG für die Interne Revision

Bedeutung des BilMoG für die Interne Revision Bedeutung des BilMoG für die Interne Revision München, 18. Juni 2010 Volker Hampel Geschäftsführer DIIR e.v. 1 Regulatorische Initiativen bringen seit Jahren Veränderungen - Vom KonTraG zum BilMoG - Basel

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Elling Illerhues. Einführung in die Prüfung eines fachlichen Internen Kontrollsystems (IKS)

Elling Illerhues. Einführung in die Prüfung eines fachlichen Internen Kontrollsystems (IKS) Elling Illerhues Einführung in die Prüfung eines fachlichen Internen Kontrollsystems (IKS) Herausgeber Landschaftsverband Westfalen-Lippe LWL-Rechnungsprüfungsamt Piusallee 1-3 48133 Münster Telefon: 0251

Mehr

Spezialserviceleistungen im Meldewesen. Banking and Business Consulting GmbH 1

Spezialserviceleistungen im Meldewesen. Banking and Business Consulting GmbH 1 Spezialserviceleistungen im Meldewesen Banking and Business Consulting GmbH 1 I. Rahmenbedingungen II. Spezialservice Meldewesen III. Organisation der Zusammenarbeit mit der Bank Herausforderungen im Meldewesen

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

Email. Bundesanstalt für Finanzdienstleistungsaufsicht Referat BA 54 Graurheindorfer Str. 108 53117 Bonn

Email. Bundesanstalt für Finanzdienstleistungsaufsicht Referat BA 54 Graurheindorfer Str. 108 53117 Bonn DIIR Deutsches Institut für Interne Revision e.v. Ohmstraße 59 Frankfurt am Main Email Bundesanstalt für Finanzdienstleistungsaufsicht Referat BA 54 Graurheindorfer Str. 108 53117 Bonn GZ: BA 54-FR 2210-2012/0002

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

IT-Compliance und Governance-Anforderungen an Unternehmen. Mag Stefan Werle, WP/StB

IT-Compliance und Governance-Anforderungen an Unternehmen. Mag Stefan Werle, WP/StB IT-Compliance und Governance-Anforderungen an Unternehmen Mag Stefan Werle, WP/StB IT-Compliance - Definition IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen

Mehr

Die Erklärung zur Unternehmensführung

Die Erklärung zur Unternehmensführung Die Erklärung zur Unternehmensführung nach BilMoG November 2009 AUDIT Inhalt Editorial Betroffene Unternehmen Inhalte Entsprechenserklärung ( 161 AktG) Unternehmensführungspraktiken Beschreibung von Arbeitsweise

Mehr

System-Tool MaRisk Light

System-Tool MaRisk Light Unser Angebot System-Tool MaRisk Light Von der Strategie bis zum Risikolimitsystem! Das System-Tool MaRisk Light umfasst die Module Risikoreport, Adressen- Risikomanagement, Interne Revision und IKS, Marktpreisrisikomanagement,

Mehr

Prüfung und Beratung nach Maß: kompetent, engagiert und mit Weitblick

Prüfung und Beratung nach Maß: kompetent, engagiert und mit Weitblick Prüfung und Beratung nach Maß: kompetent, engagiert und mit Weitblick IT-Sicherheit im Kontext der Wirtschaftsprüfung IHK Darmstadt IT FOR WORK Darmstadt, 29. August 2013 Zur Person Betriebswirtschaftliches

Mehr

Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom

Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom Bescheinigung Wichtiger Hinweis: Regelungen von PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft ("PwC") und Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft ("Ernst & Young") für den Zugang

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Deutsche Übersetzung. Im Zweifelsfall gilt das englische Original Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Ausgabe 2012 Verpflichtung gegenüber der Gesellschaft

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht Richtlinie des Instituts Österreichischer Wirtschaftsprüfer zur Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht einer Verwaltungsgesellschaft (Kapitalanlagegesellschaft

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Digitale Betriebsprüfung

Digitale Betriebsprüfung Veranstaltungsreihe 2008 Zu Gast bei: ecomm Berlin Digitale Betriebsprüfung GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) Matthias Krüger Geschäftsführender Gesellschafter

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

Compliance as a Service

Compliance as a Service Compliance as a Service Hintergrund - Vorgehen - Ziel Jürgen Vischer, Principial Management Consultant Nürnberg, 08.10. - 10.10.2013 Folie 1 / Titel Präsentation / Referent 01. Januar 2010 Compliance ein

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

Interne Revision als Voraussetzung für ein effektives Risikomanagement. Internal Audit Services (IAS)

Interne Revision als Voraussetzung für ein effektives Risikomanagement. Internal Audit Services (IAS) Interne Revision als Voraussetzung für ein effektives Risikomanagement Internal Audit Services (IAS) Die moderne Rolle der Internen Revision Erhöhte Anforderungen an Unternehmensleitung und Interne Revision

Mehr

Transparenz schafft Sicherheit

Transparenz schafft Sicherheit PwC Public Breakfast Transparenz schafft Sicherheit Graz 19. Mai 2010 Advisory Haben Sie einen Überblick darüber, welche Risiken in Ihrem Verantwortungsbereich bestehen und welche Kontrollen von Ihnen

Mehr

Compliance im Betrieb

Compliance im Betrieb Compliance im Betrieb Konzeption eines Compliance-Management-Systems (CMS) in der Unternehmensgruppe Stadtwerke Mainz AG unter Berücksichtigung des IDW Prüfungsstandards PS 980 1 Begriffsdefinition und

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Revision der Mindestanforderungen an das Kreditgeschäft der Kreditinstitute

Revision der Mindestanforderungen an das Kreditgeschäft der Kreditinstitute Revision der Mindestanforderungen an das Kreditgeschäft der Kreditinstitute Ausgewählte Prüffelder und Prüfungsanforderungen Erarbeitet im Arbeitskreis Revision des Kreditgeschäftes des Deutschen Instituts

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

Risk Advisory Services (RAS)

Risk Advisory Services (RAS) Risk Advisory Services ist ein Netzwerk von unabhängigen international ausgerichteten Prüfungs- und Beratungsunternehmen mit ca. 1200 Mitarbeitern an allen wesentlichen Standorten in Deutschland. In den

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

Vorstellung der Autoren 1

Vorstellung der Autoren 1 Inhaltsverzeichnis Vorstellung der Autoren 1 A. Die neue Prüfungsberichtsverordnung (PrüfbV) für Kreditinstitute: Herausforderungen in Zeiten der Finanzkrise (Hanenberg/Kleinschmidt) 5 I. Einleitung 7

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Deutsches Institut für Interne Revision (IIR) IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Ziel der Verlautbarung ist die Definition von Grundsätzen für die Prüfung

Mehr

Outsourcing kaufmännischer Aufgaben

Outsourcing kaufmännischer Aufgaben Outsourcing kaufmännischer Aufgaben speziell für Existenzgründer und kleine Unternehmen 7-it Forum am 1.12.2003 Outsourcing Fragen Was ist eigentlich Outsourcing? Für welche betrieblichen Aufgaben ist

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

Kai Disselbeck. Die Industrialisierung von Banken am Beispiel des Outsourcings

Kai Disselbeck. Die Industrialisierung von Banken am Beispiel des Outsourcings Kai Disselbeck Die Industrialisierung von Banken am Beispiel des Outsourcings Fritz Knapp Verlag Frankfurt am Main V I Inhaltsübersicht 1 Einführung... 1 1.1 Problemstellung...1 1.2 Stand der wissenschaftlichen

Mehr

Veröffentlichungen. - Neue MaRisk stärken Compliance und Risikomanagement, Gastkommentar in RisikoManager 02/2013, S. 2.

Veröffentlichungen. - Neue MaRisk stärken Compliance und Risikomanagement, Gastkommentar in RisikoManager 02/2013, S. 2. Prof. Dr. Niels Olaf Angermüller Veröffentlichungen - Länderrisiken unter Basel III Finanzkrise ohne Konsequenzen?, erscheint demnächst in Zeitschrift für das gesamte Kreditwesen (zusammen mit Thomas Ramke).

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Interne Revision. Bericht gemäß 386 SGB III. Change-Management. Revision SGB III

Interne Revision. Bericht gemäß 386 SGB III. Change-Management. Revision SGB III Revision SGB III Bericht gemäß 386 SGB III Change-Management Inhaltsverzeichnis 1 Revisionsauftrag... 1 2 Zusammenfassung... 1 3 Revisionsergebnisse... 2 3.1 Prozessgestaltung... 2 3.1.1 Prozessmodell...

Mehr

Stellungnahme. Entwurf IDW-Prüfungsstandard/EPS 980

Stellungnahme. Entwurf IDW-Prüfungsstandard/EPS 980 Stellungnahme Recht und Versicherung Entwurf IDW-Prüfungsstandard/EPS 980 Der Bundesverband der Deutschen Industrie repräsentiert 35 Mitgliedsverbände mit über 100.000 Industrieunternehmen und ca. 7,5

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche

E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche 2014 E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche Severin Maier und Maik Kleindienst Thilo Märtin & Collegen Rechtsanwalts GmbH Version Version Datenname

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Leibniz Universität Hannover Services Juni 2009. PwC

Leibniz Universität Hannover Services Juni 2009. PwC Leibniz Universität Hannover Services Juni 2009 PwC Agenda PwC Das interne Kontrollsystem Unser Prüfungsansatz Diskussion und Fragen PricewaterhouseCoopers PwC Daten und Fakten PricewaterhouseCoopers International

Mehr

Datenschutz in deutschen Unternehmen Einstellung zum Datenschutz, Stand der Umsetzung und Rolle des Datenschutzbeauftragten

Datenschutz in deutschen Unternehmen Einstellung zum Datenschutz, Stand der Umsetzung und Rolle des Datenschutzbeauftragten Datenschutz in deutschen Unternehmen Einstellung zum Datenschutz, Stand der Umsetzung olle des Datenschutzbeauftragten 1 Einführung - Datenschutz in deutschen Unternehmen Die UIMCert führte in den vergangenen

Mehr

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Governance, Risk, Compliance (GRC) & SOA Identity Management 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Agenda Management von Identitäten IAM, GRC was ist das? SOA wo ist der Bezug? Seite 2 Die

Mehr

ISACA/SVIR Konferenz. Gesteigerte Qualität der Internen Revision durch gezielte Fitnesstests. Zürich, 19. November 2013

ISACA/SVIR Konferenz. Gesteigerte Qualität der Internen Revision durch gezielte Fitnesstests. Zürich, 19. November 2013 ISACA/SVIR Konferenz Gesteigerte Qualität der Internen Revision durch gezielte Fitnesstests Zürich, 19. November 2013 Seite 2 Vorstellung Agenda Rahmenbedingungen & Einflussfaktoren Fitnesstests Übersicht,

Mehr

Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht

Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht Melanie Gutmann Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht Wirtschaftliche Interessen der Banken im Spannungsverhältnis zum Geheimhaltungsinteresse

Mehr

Internes Kontrollsystem und Interne Revision. Gestaltungsperspektiven in einer sich verändernden Risikolage

Internes Kontrollsystem und Interne Revision. Gestaltungsperspektiven in einer sich verändernden Risikolage Internes Kontrollsystem und Interne Revision Gestaltungsperspektiven in einer sich verändernden Risikolage Finanzskandale und ihre Auswirkungen Betrugsfall Schneider KonTraG Insolvenz Enron DCGK / TransPuG

Mehr

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

Outsourcing. Begriffliche und rechtliche Einordnung

Outsourcing. Begriffliche und rechtliche Einordnung Outsourcing Für Versicherungsunternehmen kann es ökonomisch sinnvoll sein, Funktionen oder Tätigkeiten im Zuge von Outsourcing aus dem eigenen Unternehmen auszulagern. Da dies auch Risiken birgt, ist Outsourcing

Mehr

Interne Revision - Vorstellung des Wahlfachs im Bachelor Betriebswirtschaft an der HTWK Leipzig

Interne Revision - Vorstellung des Wahlfachs im Bachelor Betriebswirtschaft an der HTWK Leipzig Interne Revision - Vorstellung des Wahlfachs im Bachelor Betriebswirtschaft an der HTWK Leipzig Prof. Dr. Themas Amling, MBA Fakultät Wirtschaftswissenschaften - Unternehmensführung - Sommersemester 2012

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Enterprise Information Management

Enterprise Information Management Enterprise Information Management Risikominimierung durch Compliance Excellence Stefan Schiller Compliance Consultant Ganz klar persönlich. Überblick Vorstellung The Quality Group Status Quo und Herausforderungen

Mehr

Advisory Services. IT in der Wirtschaftsprüfung

Advisory Services. IT in der Wirtschaftsprüfung Advisory Services IT in der Wirtschaftsprüfung IT-Compliance-Tagung, DSRI / Oldenburg, 16. März 2007 Im Überblick 1 Ausgangssituation 2 IT-Prüfungen im Rahmen der externen Revision 3 IT-Kontrollen und

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Compliance Management-Systeme

Compliance Management-Systeme RISK & COMPLIANCE Compliance Management-Systeme ADVISORY Compliance ein Thema mit wachsender Bedeutung für Ihren Unternehmenserfolg 3 Compliance ist das rechtmäßige Handeln von Unternehmen, ihren Organen

Mehr

DIIR-SCHRIFTENREIHE. Band 53

DIIR-SCHRIFTENREIHE. Band 53 DIIR-SCHRIFTENREIHE Band 53 Revision von IT-Verfahren in öffentlichen Institutionen Praxisleitfaden für den Prüfungsprozess Herausgegeben vom DIIR Deutsches Institut für Interne Revision e.v. Erarbeitet

Mehr

Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980

Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980 COMPLIANCE ASSURANCE Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980 Ein wirksames CMS hilft Ihnen, Compliance Verstöße zu erkennen und Risiken präventiv zu begegnen. Wir prüfen die

Mehr

Risikomanagement zahlt sich aus

Risikomanagement zahlt sich aus Risikomanagement zahlt sich aus Thurgauer Technologieforum Risikobeurteilung - Was bedeutet das für meinen Betrieb? Tägerwilen, 19.11.2008 1 Ausgangslage (1) Jede verantwortungsbewusste Unternehmensleitung

Mehr

IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME

IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME in Wirtschafts- und Verwaltungsunternehmungen Internal Audit, CIA, Internal Control

Mehr