Q_PERIOR Audit & Risk Newsletter. Ausgabe 06/2011. Q_PERIOR Audit & Risk Newsletter 2011 Ausgabe 6/6

Größe: px
Ab Seite anzeigen:

Download "Q_PERIOR Audit & Risk Newsletter. Ausgabe 06/2011. Q_PERIOR Audit & Risk Newsletter 2011 Ausgabe 6/6"

Transkript

1 AKTUELLES Q_PERIOR Audit & Risk Newsletter Ausgabe 06/2011 1

2 AKTUELLES Liebe Audit & Risk Newsletter Leserinnen und Leser, das Jahr 2011 neigt sich dem Ende zu. Unser Team möchte diese Gelegenheit nutzen, um sich für Ihre positive Resonanz und Ihre Treue zu unserem Newsletter im vergangenen Jahr ganz herzlich zu bedanken. Es freut uns sehr, dass unser Newsletter derart gut von Ihnen angenommen wird. Auch im kommenden Jahr möchten wir Sie weiterhin über Neuigkeiten rund um das Thema Revision und Risikomanagement informieren und Sie damit, so hoffen wir, in Ihren Tätigkeiten unterstützen. Wir wünschen Ihnen und Ihrer Familie ein gesegnetes Weihnachtsfest, erholsame Feiertage und für das kommende Jahr Glück, Gesundheit und Erfolg. Christof Merz (Partner) Agenda Schwerpunktthema... 3 Prüfung Interner Modelle in Versicherungsunternehmen - Herausforderungen Chancen und Grenzen der Internen Revision... 3 Aktuelles... 9 Solvency II ORSA... 9 Aufgaben des Datenschutzbeauftragten Neuverhandlung von Wide Area Network (WAN) Services Sicherstellung von Compliance Literatur Seminartermine Excel Impressum

3 SCHWERPUNKTHEMA Schwerpunktthema Prüfung Interner Modelle in Versicherungsunternehmen - Herausforderungen Chancen und Grenzen der Internen Revision Durch Interne Modelle wird im Allgemeinen das ökonomisch notwendige Kapital der Versicherungsunternehmen errechnet. Sofern das Interne Modell zur Ermittlung des Solvenzkapitals unter Solvency II (SCR) herangezogen wird, muss das Modell von der BaFin überprüft und zertifiziert werden. Die Zertifizierung erfolgt jedoch nur, wenn das Interne Modell dem Risikoprofil des Versicherungsunternehmens besser Rechnung trägt als das Standardmodell. Zudem müssen statistische Standards, Kalibrierungs-, Validierungs- sowie Dokumentationsstandards innerhalb des Internen Modells vollständig eingehalten werden. Interne Modelle können durch die Unternehmen dabei entweder in Form von Volloder Teilmodellen genutzt werden. Bedeutung von Internen Modellen in der Versicherungswirtschaft Neben der Bestimmung des ökonomisch notwendigen Kapitals ist der Einsatz von Internen Modellen in zahlreichen weiteren Anwendungsgebieten sinnvoll und branchenüblich. In der Lebensversicherung sind im Wesentlichen die Bereiche Tarifierung, Profittesting, Reserveermittlung, die Bestimmung des langfristigen Liquiditätsrisikos und das Asset-Liability-Management (ALM) betroffen. Bei Schaden- und Unfallversicherungen liegen die Anwendungsgebiete stärker in der Untersuchung von Naturkatastrophen 200-Jahresereignisse, dem kurzfristigen Liquiditätsrisiko sowie der Rückversicherungsstruktur. Die Rückversicherungsstruktur wird mit Internen Modellen insbesondere dann an Bedeutung gewinnen, wenn das tatsächliche Risikoprofil des Unternehmens erfasst wird. Ein Wechselspiel in Form des Risikoschutzes zwischen Eigenmittelkosten und Kosten von Rückversicherungsschutz ist hierbei zu erwarten. 1 In der Krankenversicherung wirkt sich der Einsatz von Internen Modellen ebenfalls auf die Bereiche Asset- Liability-Management und Tarifierung aus. Einsatz und Bedeutung von Internen Modelle unter Solvency II Säule 1 Maßgeschneiderte Interne Risikomodelle bilden das Geschäft des einzelnen Versicherungsunternehmens in der Regel wesentlich exakter ab als das Standardmodell und können daher zu einer niedrigeren Solvenzkapitalanforderung (Säule 1) unter Solvency II führen, die dem Risikoexposure des Versicherers besser entspricht. 2 Der Einsatz eines Internen Modells kann somit einen wesentlichen Beitrag zur Reduzierung des Solvenzkapitals leisten. Säule 2 Oft unterschätzt, aber deutlich weitreichender, sind die Vorteile eines Internen Modells im Rahmen der Säule 2. Die verbesserte Risikomessung ist ein ganz wesentlicher Beitrag zur erfolgreichen Steuerung eines Unternehmens. Risiken werden nach ihrem Erfolgsbeitrag und ihrem Kapitalverbrauch bewertet. Zukünftige strategische Entscheidungen können im Modell simuliert und ihre Auswirkungen auf das Risikoprofil untersucht werden. Ein Internes Modell unterstützt somit wesentlich die Anforderung an ein ganzheitliches Risikomanagement. 1 Gründl, H. & Perlet H. (2005), Solvency II & Risikomanagement: Umbruch in der Versicherungswirtschaft. Gießen: Gabler Verlag. 2 Zöbisch, M. (2009), Solvency II: Risikoadäquanz von Standardmodellen. Karlsruhe: Verlag Versicherungswirtschaft GmbH. 3

4 SCHWERPUNKTHEMA Säule 3 Im Rahmen der Berichterstattung in Säule 3 können Interne Modelle einen Wettbewerbsvorteil für Versicherungsunternehmen bedeuten. Die genauere Risikomessung kann ein höheres Vertrauen bei Konsumenten oder Rating-Agenturen bewirken, da die Menge des vorzuhaltenden Eigenkapitals exakter bestimmt werden kann. Des Weiteren lassen sich auch Auswirkungen von möglichen Managemententscheidungen auf die Unternehmensentwicklung testen, beispielsweise in Form von Investitions- und Rückversicherungsstrategien. 3 Mehrwert der Internen Revision durch die richtige Auswahl von Prüfgebieten und -schwerpunkten Die Artikel 41 ff. der Solvency-II-Rahmenrichtlinie 2009/136/EG sowie 64a Abs. 1 des VAG stellen hohe inhaltliche und organisatorische Anforderungen an das Risikomanagement, die Compliance Funktion und die Interne Revision. Nach dem Grundsatz der Funktionstrennung sind diese drei Stabsfunktionen voneinander zu trennen (sofern der Vorstand die Funktionen nicht selbst wahrnimmt), um einen Interessenskonflikt bei der Prüfung zu vermeiden. 4 Die Interne Revision darf keine Bereiche prüfen, in denen der Prüfer in der näheren Vergangenheit selbst operativ tätig war (Art. 47 Abs. 2). Gleichzeitig müssen nach Art 42 Abs. 1 der Rahmenrichtlinie Schlüsselfunktionen des Versicherungsunternehmens wie die Interne Revision auch den Fit & Proper Kriterien entsprechen, d. h. weitreichende Kenntnisse vorweisen können. Die Prüfung von Internen Modellen führt daher oft zum Dilemma, dass keine ausreichenden (mathematischen) Kenntnisse vorhanden sind, hauseigene Aktuare aber aufgrund des Eigenprüfverbots als Unterstützung oft ausscheiden. Neben den hohen qualitativen Anforderungen an die Prüfer stellt die richtige Auswahl der Prüfgebiete bzw. -schwerpunkte zu Solvency II eine große Herausforderung für die Interne Revision dar. Vor allem den Zeitpunkt der Prüfung sowie den Umfang gilt es festzulegen. Hierbei spielen folgende Überlegungen eine wichtige Rolle: Projektbegleitende Prüfung oder nach Umsetzung? Rein prozessuale Prüfung oder zusätzlich analytische bzw. mathematische Prüfung? Durchsicht oder Draufsicht? Die projektbegleitende Prüfung fördert den kontinuierlichen Wissensaufbau der Internen Revision und sorgt für eine Bewusstseinsschärfung bei den Projektmitgliedern in Bezug auf Nachvollziehbarkeit und Dokumentation. Außerdem sind eine genauere Einhaltung von Kontrollpunkten bzw. -schritten sowie eine verbesserte Datenintegrität zu erwarten. Eine Prüfung nach Umsetzung hat hingegen den Vorteil, dass die Gesetzeslage zu diesem Zeitpunkt klar ausformuliert ist und die Level 3 Bestimmungen in Kraft sind. Allerdings kann nicht davon ausgegangen werden, dass bei einer Prüfung nach Umsetzung die Revision ohne weiteres als Experte wahrgenommen wird. Die prozessuale Sicht bleibt nach wie vor eines der Kernthemen für die Prüfung. Die Prozessprüfungen sollten u. a. die folgenden Punkte umfassen: Anpassung und Testing des Modells Prozess zur Datenaufbereitung und -bereitstellung Berichtsprozess/Ergebnisse des Modells 3 Höffgen, A. (2006), Regulierung von Erstversicherungsunternehmen unter besonderer Berücksichtigung von Solvency II. München: GRIN Verlag. 4 Dr. Schaaf, M. (2010), Risikomanagement und Compliance in Versicherungsunternehmen aufsichtsrechtliche Anforderungen und Organverantwortung. Karlsruhe: Verlag Versicherungswirtschaft GmbH. 4

5 SCHWERPUNKTHEMA Eskalationsprozess bei Überschreitung von Limit und/oder Schwellenwerten ORSA Prozess Bei der analytischen bzw. mathematischen Prüfung kann die Interne Revision ohne Grundverständnis für das verwendete Modell sowie für die statistischen Methoden das Risikomanagement nicht mehr sinnvoll prüfen. Allerdings stellen die Verifizierung der Annahmen, der Nachvollzug einzelner Berechnungen und Plausibilitätschecks des Modells einen echten Mehrwert für den Vorstand dar. Entscheidend ist dabei, dass aus heutiger Sicht nur mit Hilfe der nötigen Skills und Erfahrungen die Verbindung von Risikostrategie, Modell, Risikokapital sowie Limit- und Schwellenwertsystem tatsächlich sinnvoll überprüfbar ist. Zum grundsätzlichen Verständnis des Models und der Risikostrategie bzw. der Risikotragfähigkeit ist eine Sicht von oben sinnvoll, wie in Abbildung 1 dargestellt. Damit können Fragen der Vollständigkeit und des Aufbaus leichter beantwortet werden. Auch mögliche Wechselwirkungen werden ersichtlich. Risikostrategie und Risikotragfähigkeit Versicherungstechnisches Risiko Marktänderungsrisiko Kreditrisiko Abbildung 1: Aufbau des Internen Modells Die vertikale Durchsicht der berechneten Risiken schafft jedoch erst den Einblick in die Wirkungs- und Funktionsweise des Modells. Abbildung 2 zeigt die vertikale Durchsicht durch die Interne Revision am Beispiel des Marktänderungsrisikos. Das Marktänderungsrisiko beinhaltet alle Risiken, die sich aus Schwankungen von Preisen auf Kapitalmärkten ergeben. Unter Berücksichtigung des ALM-Aspektes wird zwischen dem Zinsänderungsrisiko und den weiteren Kursänderungsrisiken unterschieden. Die weiteren Kursänderungsrisiken unterteilen sich in den Berechnungen nochmals in Aktien, Immobilien und Währungen. 5 Beim Zinsänderungsrisiko wird zwischen Aktiv- und Passivrisiko unterschieden. Im vorliegenden Beispiel wird das Zinsänderungsrisiko auf der Aktivseite näher erörtert. Es besteht ein Zinsänderungsrisiko, wenn die Sensitivitäten (modifizierte Durationen), die Zinsveränderung auf Aktiv- und Passivseite oder die Marktwerte von Aktiv- und Passivseite verschieden sind. Die Marktwertänderung bei den Fixed Income Titeln durch eine Zinsveränderung kann anhand nachfolgender Formel quantifiziert und dargestellt werden: 5 Gesamtverband der Deutschen Versicherungswirtschaft (GDV) e.v. (2005), Diskussionsbeitrag für einen Solvency II kompatiblen Standardsatz (Säule I). Berlin: GDV. 5

6 SCHWERPUNKTHEMA Aktien Volumen Zinsträger Modified Duration Aktivrisiko Sensitivität Marktpreisrisiko Zinsrisiko Zinsschock Present Value of a Basis Point Passivrisiko mit Abbildung 2: Vertikale Durchsicht Marktpreisrisiko (Auszug) = Marktwert der Fixed Income Titel vor Zinsschock = Modifizierte Duration des Fixed Income Bestands = Marktzinsveränderung auf Aktivseite Erst durch das Verständnis über die Wirkungsweise des Modells und die vertikale Durchsicht sind Aussagen zur Funktionsfähigkeit und Korrektheit von Internen Modellen möglich. Die Interne Revision sollte daher u. a. folgende Fragen beantworten können: Sind die Annahmen plausibel? Sind die verwendeten Methoden im Modell anerkannt? Sind die Berechnungen nachvollziehbar und richtig? Ist ein Backtesting vorhanden? Herausforderung bei der Prüfung von Modellen und Modellannahmen Prüfung des Datenhaushaltes Die Vollständigkeit der Daten sowie die Datenintegrität sind Kernelemente für ein korrektes Internes Modell. Außerdem muss eine zeitgerechte Aktualisierung der Daten sichergestellt sein, um aktuelle Berechnungen (on demand) vornehmen zu können. Um diese und andere Anforderungen an ein Internes Modell zu erfüllen, ist ein klares IT-Architekturkonzept notwendig. Zu den Bestandteilen eines Architekturkonzepts zählen u. a. Quellsysteme, Datensammler, Rechenkerne, Ergebnissammler sowie Berichtsgeneratoren. 6

7 SCHWERPUNKTHEMA Berichte Berichtsgenerator Ergebnis-Sammler Branchenprodukt 1 Branchenprodukt 2 Daten-Sammler System 6/DWH System 1 System 2 System 3 System 4 System 5 Abbildung 3: Beispiel Architekturkonzept (vereinfacht) Die Themen und Herausforderungen bei Prüfungen im Bereich Datenhaushalt im Überblick: Integrität und Vollständigkeit des Datenhaushalts Stimmiges Architekturkonzept und Konsistenz mit der IT-Strategie Vorhandensein und Vollständigkeit einer Data Policy Prozess zur Einbeziehung externer Daten zwischen Daten aus individueller Datenverarbeitung Vorhandensein einer ausreichenden Datenhistorie Jährliche Aktualisierung von Parametern Einbindung externer Daten Limit- und Schwellenwertsystem sowie Indikatoren In Verbindung mit einem Limit- und Schwellenwertsystem sind Indikatoren und Risikotreiber die Kernstücke eines jeden Risikomodells. Sie machen die Risikostrategie und somit das Modell operationalisierbar, ermöglichen eine nachvollziehbare Steuerung der Risiken und tragen zur Zieldefinition und letztendlich zur Zielerreichung bei. Abbildung 4 illustriert beispielhaft den Aufbau eines Limit- und Schwellenwertsystems. Risikokapital 2000 Risiko Freies Risikokapital 285,0 Limit- und Schwellenwertsystem Ist Schwellenwert Limit Zinsänderungsrisiko 85,75% 90,00% 100,00% Differenz Passische ZT Aktiv ZT 1000, , ,00 Differenz MD Passiv MD Aktiv 6,80% 7,20% 8,00% Zinsrückgang -1,40% -1,58% -1,63% Abbildung 4: Beispiel Limit- und Schwellenwertsystem 7

8 SCHWERPUNKTHEMA Mögliche weitergehende Prüfungshandlungen müssen sich dabei an den Prüfungsschwerpunkten und der Ausgestaltung des Internen Modells orientieren. Nachfolgend aufgeführt einige beispielhafte Fragestellungen bei der Überprüfung des Limit- und Schwellenwertsystems: Berechnungen nachvollziehbar und richtig? Frühwarnfunktion der Indikatorensysteme? Plausibilität der Modellannahmen und -parameter für Teilmodule? Kalibrierung von Parametern basierend auf verlässlichen und ausreichenden Daten? Ausreichendes und nachvollziehbares Testing? Risikosensitivität des Limit- und Schwellenwertsystems (basierend auf Internem Modell)? Realistische Verteilungsannahmen? Angemessene Diversifikationsannahmen? Veränderung der Korrelationen in Stresssituationen berücksichtigt (in Krisen tendieren alle Korrelationen gegen 1)? Ausreichende und nachvollziehbare Integration der Modellergebnisse in Managemententscheidungen hinsichtlich strategischer Planung zu Sparten- und Produktmix, strategische Kapitalplanung, Aufnahme neuer Geschäftsfelder, Rückversicherungsstruktur und strategische Asset Allokation? Sind die definierten Indikatoren und Treiber geeignet für die operative Steuerung des Unternehmens? Abgrenzung zu den Kontrollmaßnahmen von Risikomanagement und Aktuariat Das Aktuariat und das Risikomanagement bleiben nach wie vor verantwortlich für die Etablierung eines Internen Kontrollsystems, wo die richtigen Kontrollpunkte gesetzt, Ergebnisse überprüft und die Kontrollen dokumentiert werden müssen. Die Interne Revision schafft Mehrwert durch unabhängige Prüfungshandlungen. Dies betrifft die Beurteilung des Internen Kontrollsystems im Internen Modell und der Funktionsfähigkeit des ORSA Prozesses (siehe hierzu auch ORSA Beitrag in dieser Ausgabe) genauso wie die Plausibilisierung bzw. der Nachvollzug von Berechnungen und Modellen in risiko- und steuerungsrelevanten Bereichen. Ansprechpartner: Christof Merz (Partner, Audit & Risk) 8

9 AKTUELLES Aktuelles Solvency II ORSA Level 3 Bestimmungen Die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) arbeitet zurzeit an den aufsichtsrechtlichen Standards der zukünftigen Solvency II Regelungen. Nachdem wir im letzten Audit & Risk Newsletter in der Ausgabe 5 bereits ausführlich über das Thema System of Governance im Rahmen der Säule II berichtet haben, steht in diesem Artikel der Prozess Own Risk and Solvency Assessment (ORSA) im Fokus. Im Rahmen des laufenden vierstufigen Lamfalussy Verfahrens hat die EIOPA für die Säule II bereits innerhalb des Levels 1 ein so genanntes Issue Paper für das Thema ORSA veröffentlicht, dessen Inhalte und Notwendigkeit maßgeblich für den in 2009 veröffentlichten Rahmenrichtlinien Entwurf und der darin abgebildeten Inhalte der Säule II waren. Im Rahmen des Level 2 Final Advice wurde der ORSA Prozess jedoch zur Verwunderung vieler Experten nicht erneut aufgegriffen, sodass Versicherungen bei der Ausgestaltung dieses Prozesses weiterhin auf konkretere Ausgestaltungshinweise warten mussten. Allgemein ist der zukünftige ORSA Prozess unter Solvency II innerhalb der Säule 2 angesiedelt. Wesentliche Anforderungen im Rahmen dieses Prozesses beziehen sich auf die Ausgestaltungsprinzipien der Versicherungsunternehmen im Rahmen ihres Risikomanagement- und Internen Kontrollsystems. Zudem soll unter dem Grundsatz der Harmonisierung der aufsichtsrechtlichen Standards innerhalb der EU auch ein prozyklisches Einschreiten der Aufsicht in Krisenzeiten durch den ORSA Prozess vermieden werden. Hierzu wird der qualitative Review ein inhärenter Bestandteil der Unternehmensprozesse jedes Versicherungsunternehmens sein und somit gleichzeitig auch die Aufsicht befähigen, eine effizientere, transparentere und nachvollziehbare Bewertung und Darstellung des übergreifenden Risikomanagements der Unternehmen vornehmen zu können. Abbildung 1: Eingliederung des ORSA Prozesses 9

10 AKTUELLES Der ORSA Prozess ist daher nicht nur als der zukünftige Haupttreiber eines angemessenen Risikomanagements zu sehen, sondern auch als Sicherstellung des exakten Verständnisses des Managements über das vorhandene Risikoprofil des Unternehmens. Der ORSA Prozess verbindet somit die strategische Unternehmensführung mit dem Risikomanagement und den damit verbundenen strategischen Entscheidungsprozessen. Des Weiteren wird mittels ORSA sichergestellt, dass die Ursachen für die Unterschiede in der Berechnung des ökonomischen und aufsichtsrechtlichen Solvenzkapitals aufgezeigt werden und konsequenterweise somit auch, in wie weit das tatsächliche Risikoprofil des Unternehmens von den Berechnungsgrundlagen abweicht. Anfang des Jahres 2011 startete die EIOPA nun die Diskussion um die potenziellen detaillierten Level 3 Ausführungsbestimmungen mit ausgewählten Versicherungen mit dem Fokus der Entwicklung gemeinsamer und konvergierender Standards und Leitlinien innerhalb Europas. Hierbei wird der ORSA Prozess in einem gesonderten Papier gewürdigt, was die hohe Priorität und zukünftige Bedeutung innerhalb der Versicherungsunternehmen bereits jetzt unterstreicht. Für die detaillierte Ausgestaltung des ORSA Prozesses hat die EIOPA 29 vorläufige Guidelines für die alltägliche Einzel- und Gruppenaufsicht formuliert. Im Folgenden werden die wesentlichen Guidelines auf Einzelunternehmensebene erläutert. Bei der Entwicklung und Aufstellung des ORSA Prozesses steht auch das Proportionalitätsprinzip wieder im Vordergrund. Der ORSA Prozess muss dabei in bestmöglichen Einklang mit der organisatorischen Unternehmensstruktur und dem vorhandenen und zukünftigen Risikomanagementsystem gebracht werden. Die Gesamtverantwortung für das Thema obliegt dem Management (Management Body), welches einerseits die Freiheit hat, den Prozess nach den eigenen Vorstellungen und denen des Unternehmens angemessen zu gestalten, im Gegenzug aber auch die Ergebnisse kontinuierlich in Frage stellen muss. Eine ORSA Policy muss die an den Prozess geknüpften Informations- und Ergebnis-Dokumentationen für die Aufsicht transparent machen und Eindeutigkeit gewährleisten. Diese Policy ist somit insbesondere eine Beschreibung des Prozesses und der eingesetzten Methoden sowie der Verbindung des unternehmerischen Risikoprofils, der Risikolimite als auch des übergreifenden Solvenzbedarfs. Des Weiteren sind auch der Turnus und die Beurteilungskriterien des ORSA Prozesses eindeutig festzuhalten. Der ORSA Prozess muss mindestens jährlich durchgeführt werden, kann aber von der Aufsicht auch in kürzeren Abständen verlangt werden, sofern es das Risikoprofil des Unternehmens erfordert. Sofern das Versicherungsunternehmen bei der Berechnung des Solvenzkapitals ein Internes Modell verwendet, muss es zudem die vom Standardmodell abweichenden Differenzen sowohl qualitativ als auch quantitativ bewerten und außerdem erläutern, warum diese dem tatsächlichen Risikoprofil des Unternehmens näher kommen. Abweichungen vom Internen zum Standardmodell müssen dabei regelmäßigen Tests unterliegen, welche ggf. erforderliche Modellanpassungen aufzeigen (Compliance). Das Unternehmen muss weiter sicherstellen, dass es den übergreifenden Solvenzbedarf nicht nur quantitativ mittels eines Risikomodells, sondern auch auf einer qualitativen Basis vollständig ermittelt. Des Weiteren muss eine Berechnung auch vor dem Hintergrund einer zukunftsorientieren Sichtweise stattfinden, welche die Unternehmensplanungen, den Kapitalbedarf als auch die zukünftigen strategischen Maßnahmen der nächsten Jahre berücksichtigt. Hierbei ist auch sicherzustellen, dass das Unternehmen über Methoden und Verfahren verfügt, mit denen es verlässlich die Einhaltung der aufsichtsrechtlich geforderten Kapitalbedarfserfordernisse innerhalb des Unternehmens und des aufgezeigten Risikoprofils überwacht, zu denen auch die vom verantwortlichen Aktuar berechneten Schadensreserven zählen. Der ORSA Prozess ist dabei explizit in den strategischen Managementprozess sowie eng in alle strategischen Management-Entscheidungsprozesse einzubinden. Die enge Verzahnung des strategischen Entscheidungsprozesses mit dem Risikomanagement ist dabei vor allem über die im Rahmen des Limit- und Schwellenwertsystems identifizierten und bewerteten Risikotreiber bzw. Indikatoren möglich. Hierbei können in einem mehrstufigen Prozess zur risikoadäquaten Bewertung von zukünftigen strategischen Maßnahmen Risiken und Risikotreiber sowie deren Einfluss auf die Entscheidungen ermittelt und durch die jeweiligen Fachexperten bewertet werden. Anschließend 10

11 AKTUELLES können dann mittels dieser Einschätzungen konkrete Auswirkungen innerhalb des eingesetzten Risikomodells gemessen werden. Abbildung 2: Bridpirl Verknüpfung des strategischen Entscheidungsprozesses mit dem Risikomanagement Es steht somit bereits heute fest, dass der ORSA Prozess zum Dreh- und Angelpunkt jedes Risikomanagement-Systems wird, da es die Elemente aus allen drei Säulen von Solvency II verbindet. Unter den Anforderungen sind jedoch noch viele Unklarheiten enthalten und weitere Klarstellungen notwendig. Die wichtigsten Anforderungen lassen sich jedoch schon heute wie folgt zusammenfassen: 1. Periodische Sicherstellung der effizienten Bewertung des Solvenzbedarfs als Komponente des unternehmerischen Risikomanagements 2. Regelmäßige Überprüfung der Adäquanz des eingesetzten Risikomodells für die Risikokontrolle und -berechnung 3. Bewertung der Differenzen zwischen dem durch das Standardmodell errechneten Solvenzbedarf und dem tatsächlichen Risikoprofil 4. Sicherstellung einer permanenten Verbindung des Risikomanagements mit dem Internen Kontrollsystems (IKS) zur Schließung der Lücken zwischen den drei Säulen unter Solvency II 5. Gewährleistung einer ganzheitlichen Komponente zur festen Einbindung des Risikomanagements in die geschäftsstrategischen Entscheidungsprozesse Abgeleitet aus den genannten Anforderungen werden die beiden Hauptziele des ORSA Prozesses nun sehr deutlich: Sicherstellung der bestmöglichen Verknüpfung der Bewertung der Solvency II Anforderungen und der Geschäftsstrategie sowie Schaffung eines permanenten transparenten Aufsichtsinstruments innerhalb der EU. Letztendlich wird die Aufsichtsbehörde durch den ORSA Prozess einen tiefen und detaillierten Einblick in die einzelnen Versicherungsunternehmen bekommen, wodurch der ORSA Prozess für die Versicherungsunternehmen zur Visitenkarte gegenüber der Aufsicht wird! Versicherungsunternehmen werden aber auch in den derzeit diskutierten Level 3 Bestimmungen nicht auf wirklich konkretere Anforderungen an den ORSA Prozess hoffen dürfen. Ein Warten auf weitere spezifischere Ausgestaltungshinweise können jedoch die vollständige Erfüllung der Solvency II Anforderungen ernsthaft gefährden. Versicherungsunternehmen sind daher spätestens jetzt gefordert, die Anforderungen an den ORSA Prozess in ihre Unternehmen bestmöglich zu integrieren. Ansprechpartner: Jan-Hendrik Uhlenberg (Manager, Business Unit Lead Solvency & Risk Management) 11

12 AKTUELLES Aufgaben des Datenschutzbeauftragten Anforderungen an den Datenschutzbeauftragten Die Medienwelt entwickelt sich so schnell wie selten zuvor und eröffnet damit viele Chancen wie auch Risiken. Kein Wunder also, dass der Datenschutz ein heiß diskutiertes Thema ist. Die Pflichten öffentlicher und nicht-öffentlicher Stellen bezügliches des Datenschutzes regelt das Bundesdatenschutzgesetz. Sobald personenbezogene Daten automatisiert verarbeitet werden, ist ein Datenschutzbeauftragter schriftlich zu bestellen. Aber wer ist ein geeigneter Datenschutzbeauftragter und vor allem welche Aufgaben hat er zu erfüllen? Für die Sicherstellung der pflichtgemäßen Erfüllung der Aufgaben eines Datenschutzbeauftragten, hat dieser verschiedene persönliche und fachliche Voraussetzungen zu erfüllen. Der folgende, nicht abschließende, Überblick stellt die wesentlichen fachlichen und persönlichen Anforderungen dar: eine erfolgreiche Absolvierung einer (allgemeinen) beruflichen Ausbildung angemessene Fachkenntnisse in einer der Kategorien Recht, Informations-/Telekommunikationstechnologie oder betriebswirtschaftliche Organisation eine mindestens 2-jährige allgemeine Berufserfahrung eine erfolgreiche Qualifizierung zum Datenschutzbeauftragten. Zu den wesentlichen persönlichen Fähigkeiten und Fertigkeiten eines Datenschutzbeauftragten gehören: Managementfähigkeiten Koordinierungs- und Teamfähigkeiten Kommunikationsfähigkeiten Didaktische Fähigkeiten Prüfungs- und Auditmethodik. Aufgaben Der Datenschutzbeauftragte hat zahlreiche verantwortungsvolle Aufgaben zu erfüllen. Zu seinen wesentlichen Aufgaben gehören: Prüfung von Verfahren, Geschäftsprozessen, internen Regelungen, Verträgen und IT-Systemen, wobei sich Umfang und Tiefe der Prüfung am geltenden Datenschutzrecht und dem aktuellen Stand der Technik orientieren sollen. Geprüft wird der Datenschutz hinsichtlich Rechtskonformität (anhand von Gesetzen, Verordnungen, Gerichtsurteilen, Tarifverträgen, Betriebs- bzw. Dienstvereinbarungen und weiteren Verträgen), IT-Sicherheitsstandards (Regelungen des BSI IT-Grundschutzes, ISO 2700x, Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS)), Aktualität, Vollständigkeit und Richtigkeit, interne Regelungen sowie Unternehmenskultur. Mitwirkung an der Entwicklung datenschutzfreundlicher Unternehmensziele Zu den Aufgaben des Datenschutzbeauftragten gehören hier z. B. die Erarbeitung von Vorschlägen zur Vermeidung von Daten hinsichtlich Pseudo- und Anonymisierung, zur Transparenz der Verarbeitung, Information über Rechtsgrundlage, Wahrung der Betroffenenrechte sowie die Erstellung und Weiterentwicklung des Datenschutzkonzepts (Beschreibung einer Datenschutzorganisation und ein Datenschutzhandbuch als Teil des Managementhandbuchs). Mitwirkung bei der datenschutzgerechten Gestaltung von Betriebs- bzw. Behördenprozessen Hier tritt der Datenschutzbeauftragte als unabhängiger Sachverständiger auf, der zu Datenschutzfragen an Beratungen aller relevanten internen und einschlägigen externen Gremien teilnimmt. Darüber hinaus ist er für das Verfassen von Stellungnahmen verantwortlich, die eine Darstellung und Bewertung der 12

13 AKTUELLES datenschutzrechtlichen Zulässigkeit, Vollständigkeit und Wirksamkeit von Schutzmaßnahmen sowie ggf. Lösungsansätze beinhalten. Berichterstattung Zur Berichterstattung durch den Datenschutzbeauftragten gehören die regelmäßige oder anlassbezogenen, sachbezogene Information und Berichterstattung an Unternehmens- bzw. Behördenleitung und Mitarbeitervertretungen (anlassbezogen auch Aufsichtsbehörden, Betroffene und Dritte). Hier bestehen Kommunikationsschnittstellen insbesondere zur IT-Abteilung, IT-Revision, Personalabteilung, Qualitätsmanagement, Vertrieb, Marketing und branchenspezifischen operativen Bereichen. Durchführung von Schulungen Eine der wesentlichen Aufgaben des Datenschutzbeauftragten ist die zeitlich und inhaltlich eigenverantwortliche Durchführung von Schulungen. Diese werden nach sachlichem Ermessen durchgeführt. Der Datenschutzbeauftragte legt die Wissensinhalte und den Umfang fest. Er ist weiterhin verantwortlich für einen praxisnahen und zielgruppengerechten Aufbau der Schulungen, die didaktische Aufbereitung sowie die Vermittlung von Basis- und Vertiefungswissen. Beratung Es werden alle Bereiche sowie anlassbezogen auch Betroffene beraten. Die Beratung durch den Datenschutzbeauftragten umfasst alle Fragen sowie die technische und organisatorische Ausgestaltung von Maßnahmen zum Datenschutz und die Risikoabschätzung. Qualitätssicherung der Aufgabenerfüllung Die Qualität der Aufgabenerfüllung des Datenschutzbeauftragten wird vor allem durch Eigenkontrolle gewährleistet. Zur Sicherstellung sind die oben beschriebenen Aufgaben vom Datenschutzbeauftragten festzuhalten und abzuarbeiten, die eigene Arbeit revisionssicher zu dokumentieren und die Berichtspflichten wahrzunehmen. Wir verfügen über langjährige Erfahrung bei der Umsetzung des Datenschutzes in mittelständischen Unternehmen und stehen Ihnen gern als kompetenter Partner bei Ihren Fragen rund um das Datenschutzmanagement sowie als externer betrieblicher Datenschutzbeauftragter zur Seite. Ansprechpartner: Jörg Wöhler (Manager, Business Unit Lead IT Audit & Security) Referenz: Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.v.bvd e.v. (2010), Das berufliche Leitbild des Datenschutzbeauftragten. Berlin: BvD. [Online] https://www.bvdnet.de/dokumente/bvd_leitbild.pdf 13

14 AKTUELLES Neuverhandlung von Wide Area Network (WAN) Services Sicherstellung von Compliance Die Verträge über die Erbringung von WAN Services haben üblicherweise eine Laufzeit von drei bis fünf Jahren. Nach der Vertragslaufzeit gibt es drei Möglichkeiten, die Serviceerbringung fortzuführen: Verlängerung der aktuell bestehenden Verträge, Neuverhandlung mit dem bzw. den aktuellen Service Providern oder eine Neu-Ausschreibung der WAN Services. Letzteres ist sicherlich die aufwändigste Option mit jedoch der größten erreichbaren Kostenreduktion bei oftmals neuen und verbesserten Services. Abhängig von der Ausgangssituation bietet sich dabei auch ggf. eine Änderung des Vergabemodells an, um z. B. neue Technologien zu berücksichtigen oder das Wettbewerbsmodell zu ändern. Kostenreduktion unter Beachtung der qualitativen Anforderungen kann aus unserer Erfahrung nur durch einen stringenten Verhandlungsprozess ohne Einflussnahme durch die Service Provider und durch Sicherstellung der zentralisierten Entscheidungsfähigkeit des Auftraggebers gewährleistet werden. Als weitere wichtige Voraussetzung für eine erfolgreiche Ausschreibung gilt, dass ein Wettbewerb der Anbieter vorhanden ist. Hohe Wettbewerbsintensität führt in der Regel zu den besten Preisen. Diese nimmt ab, wenn z. B. Service Provider über vertrauliche Informationen verfügen, wie beispielsweise die aktuellen Kosten für die ausgeschriebenen Leistungen oder Informationen über die am Ausschreibungsprozess teilnehmenden Service Provider. Absprachen unter Service Providern, die den Ausschreibungsprozess beeinflussen und dadurch gefährden, kann ein Unternehmen nie völlig ausschließen. Aber es kann Einfluss nehmen auf den Zeitpunkt und den Umfang der Informationen, die im schlimmsten Fall ausgetauscht werden. Zu diesem Zweck sollte es von Beginn der Ausschreibung an bestimmte Voraussetzungen schaffen. In unseren Projekten berücksichtigen wir dies gemeinsam mit dem Kunden u. a. durch die Unterzeichnung von Vertraulichkeitserklärungen sowohl der Service Provider als auch der beteiligten internen Mitarbeiter. Ziel ist, dass alle beteiligten Parteien keine Informationen mit Bezug zur Ausschreibung nach außen weitergeben. Um störende Einflüsse auf den Ausschreibungsprozess zu verhindern, ist es wichtig, dass das Top Management des Auftraggebers hundertprozentig hinter der Ausschreibung steht und dies intern und extern kommuniziert und, wenn erforderlich, den Ausschreibungsprozess entsprechend nachhaltig unterstützt. Auf diese Art kann verhindert werden, dass Service Provider versuchen, durch die Annäherung an das Top Management auf den Ausschreibungsprozess Einfluss zu nehmen, um sich dadurch einen Vorteil zu verschaffen. Zu Beginn einer Ausschreibung stimmen wir die Zeitplanung für den Ausschreibungsprozess mit dem Kunden ab und kommunizieren diese dann später auch an die Service Provider, da die Einhaltung der Termine essentiell für den Erfolg der Ausschreibung ist. Um die Kommunikation zu vereinfachen und stringent zu halten, empfehlen wir dem ausschreibenden Unternehmen einen Single Point of Contact zu bestimmen, über den die Kommunikation vom und zum Service Provider läuft. Für diese Rolle empfiehlt sich nach unseren Erfahrungen ein unabhängiger Dritter bzw. ein externer Berater. Nachfolgende Tabelle stellt eine beispielhafte Übersicht der Herausforderungen bei der Ausschreibung von WAN Services und unsere entsprechenden Lösungsansätze bzw. das Vorgehen dar. 14

15 AKTUELLES Herausforderung Transparenz der Ausgangssituation Definition relevanter Wettbewerbsmodelle Wettbewerbsintensiver und stringenter Verhandlungsprozess Sicherstellung der zentralisierten Entscheidungsfähigkeit des Auftraggebers Erzielung von signifikanten Kostenreduktionen Zielgerichtete Kommunikation Generierung eines umfassenden und transparenten Produktportfolios Lösungsansatz/Vorgehen Verabschiedung eines stringenten Beschaffungsund Verhandlungsprozesses mit internen Committments Etablierung strenger Kommunikationsregeln Definition und Bewertung der Anforderungen Durchführung eines RFI und RFQ Prozesses Entwicklung von Szenarien zur Abbildung von Service Provider-Konstellationen Erstellung Business Case basierend auf Angeboten und operativen Szenarien Durchführung von Risikobewertungen Ansprechpartner: Sven Petermann (Associate Partner, Strategisches IT Management) 15

16 LITERATUR Literatur Das Datenschutz-Kompendium Andreas Würtz ISBN-10: X (Mehr...) Datenschutz kompakt und verständlich Bernhard C. Witt ISBN-10: (Mehr...) Ethernet. Technologien und Protokolle für die Computervernetzung Jörg Rech von Heise ISBN-10: (Mehr...) Computernetzwerke: Von den Grundlagen zur Funktion und Anwendung Rüdiger Schreiner ISBN-10: (Mehr...) Risikomanagement und Risiko- Controlling: Moderne Instrumente, Grundlagen und Lösungen Andreas Klein ISBN-10: (Mehr ) Interne Modelle nach Solvency II: Schritt für Schritt zum internen Modell in der Schadenversicherung Maria Heep-Altiner, Hüseyin Kaya, Bastian Krenzlin, Dominik Welter ISBN-10: (Mehr...) Risikomanagement in Versicherungsunternehmen: Behandlung operationeller Risiken unter Solvency II Regine Urban ISBN-10: (Mehr...) Solvency 2 Diskussion des GDV-Standardansatzes aus risikotheoretischer Sicht Fabian Hör ISBN-10: (Mehr...) 16

17 SEMINARTERMINE Seminartermine Im Folgenden möchten wir Ihnen ausgewählte Seminare bei Q_PERIOR vorstellen Januar 2012 bis Februar 2012 Einführung in die Interne Revision DIIR (Mehr...) Interne Kontrollsysteme prüfen und gestalten (IKS I) DIIR (Mehr...) Rechte und Pflichten des AR nach 7a Abs. 4 VAG DVA (Mehr...) Ansprechpartner: Dr. Peter Wesel (Managing Consultant, Business Unit Internal Audit Banking & Insurance) 17

18 MICROSOFT EXCEL Excel Die Funktion WIEDERHOLEN() Auch wenn Microsoft Excel ein weit verbreitetes Standardprodukt in vielen Unternehmen ist, bleiben jede Menge Funktionen im Alltag verborgen. Wir möchten an dieser Stelle Hilfestellung bieten und Ihnen regelmäßig über ausgewählte Funktionen/Formeln berichten. Anwendung der Funktion WIEDERHOLEN() auf Zellen in Excel Die Funktion WIEDERHOLEN() wiederholt ein Zeichen oder eine Zeichenfolge so oft wie in der Formel angegeben. Damit können beliebige Zeichen (Text) in einer bestimmten Häufigkeit (je nach Multiplikator) in der Zielzelle wiedergegeben werden. Der Syntax der Funktion im Überblick: =WIEDERHOLEN( Text ; Multiplikator) Text: Text in Anführungszeichen oder Zellbezug, der wiederholt werden soll. Multiplikator: Eine positive Zahl oder Zellbezug, um festzulegen, wie oft der Text wiederholt werden soll. Beispiel 1: Visualisierung eines Prüfungszeitplans Im Rahmen der Revisionstätigkeit sollen die Phasen einer Prüfung zeitlich geplant und dargestellt werden. Abbildung 1 zeigt den Prüfungszeitplan mit den festgelegten Prüfungsphasen. Abbildung 1: Prüfungszeitplan Der Prüfungszeitplan stellt Start- und Enddatum der einzelnen Phasen dar. Die Dauer der einzelnen Phasen soll nun visualisiert werden. Dies wäre mit dem in Excel integrierten Diagramm-Assistenten umsetzbar. Eine weniger aufwändige Alternative bietet die Wiederholen-Funktion. Mit dieser Funktion können die einzelnen Phasen schnell und einfach visualisiert werden. Schritt 1: Berechnung der Prüfungsphasen in Wochen Formel für die Dauer in Wochen für die Phase Prüfungsplanung in E4 6 : =DATEDIF(C4;D4;"D")/7 Die Formel kann für die anderen Phasen entsprechend nach unten kopiert werden. Schritt 2: Die berechneten Wochen mit Sonderzeichen als Balken darstellen Formel für die Darstellung der Wochen für die Phase Prüfungsplanung in F4: =WIEDERHOLEN("n";E4) Auch hier kann die Formel entsprechend nach unten kopiert werden. 6 Die Funktion DATEDIF() berechnet hier die Dauer in Tagen, wobei C4 für das Startdatum und D4 für das Enddatum steht. Das Kürzel D für Day steht für die Berechnung der Tage. Durch die Division durch 7 am Ende der Formel werden aus den Tagen die Wochen ermittelt. 18

19 MICROSOFT EXCEL Weisen Sie nun der Spalte F die Schriftart WingDings zu. WingDings ist eine Schriftart bestehend aus Symbolen. Jedem Symbol ist ein Buchstabe zugeordnet. Der Buchstabe n steht für ein Kästchen, das nun als Baustein für unsere Balken dient. Der Bezug E4 in der Formel gibt die Anzahl der Wochen und damit die Anzahl der Kästchen wieder. Abbildung 2 zeigt den Prüfungszeitplan mit der Visualisierung der Wochen. Abbildung 2: Prüfungszeitplan mit Visualisierung der Wochen Beispiel 2: Visualisierung des verbrauchten Risikokapitals zur Risikoüberwachung Im Rahmen der Risikoüberwachung wird ein Limit- und Schwellwertsystem für drei Risiken implementiert. Das jeweils bereits verbrauchte vorzuhaltende Risikokapital soll grafisch dargestellt werden. Abbildung 3 zeigt das verbrauchte Risikokapital (Ist) sowie die Schwellen- und Limit-Werte, jeweils in EURO und Prozent. Abbildung 3: Limit und Schwellenwertsystem Formel in F6: =WIEDERHOLEN(" ";C6*10) Die Formeln für F9 und F12 können entsprechend kopiert werden. ist das Zeichen, das wiederholt wird. C6 ist der Multiplikator und bezieht sich auf den Ist-Prozentwert, welcher aufgrund der Prozentformatierung mit 10 multipliziert werden muss. Für die Darstellung in grün, gelb oder rot wurde die bedingte Formatierung verwendet. Grün für Werte bis zum Schwellenwert, Orange für Werte zwischen Schwellen- und Limit-Wert und Rot für Werte, die das Limit übersteigen. Ansprechpartner: Andreas Mayer (Consultant, Business Unit Solvency & Risk Management) 19

20 WHO IS WHO Moritz Mannesmann In jeder Ausgabe werden wir Ihnen Mitglieder unseres Teams bzw. Kollegen, die der Revision oder dem Risikomanagement nahestehen, vorstellen. Diesmal Moritz Mannesmann, Consultant, Business Unit Advisory. Moritz Mannesmann Consultant Welches war Ihr schönstes Musikerlebnis? Livekonzert von REM auf der Kölner Dom Platte. Welche Freizeitaktivitäten üben Sie aus? Surfen, Snowboarden, MTB, Schwimmen, Laufen Was hat Sie am meisten beeindruckt? Politisch: Das deutsche Nein zum 2ten Irak Krieg Persönlich: Ein großer Hai, der mir beim Surfen begegnet ist :) Was können Sie besonders gut kochen? Asiatische Gerichte, und ich versuche mich auch gern an indischer Küche Was beherrschen Sie im Haushalt besonders gut? Aufräumen kann es nicht sein Was haben Sie als schönstes Kauferlebnis empfunden? Das ist nicht leicht, da ich mich generell sehr über Dinge freuen kann, aber ich denke mein erstes Mountain Bike. Was gefällt Ihnen bei Q_PERIOR am besten? Das persönliche Miteinander im Unternehmen. Was treibt Sie an? Eine gutes Arbeitsklima und spannende Aufgaben. Welche Themen würden Sie gern beschleunigen? Schärfere Regulierungen der Finanzmärkte sowie komplette Neustrukturierung der Finanzsysteme. Was sind Ihre persönlichen Motivationen? Mich immer persönlich weiter zu entwickeln, sowie kontinuierlich neues dazuzulernen und neues Wissen aufzubauen. Wen bewundern Sie am meisten? Noem Chomsky Was tun Sie, um sich zu entspannen? Musikhören, Internetsurfen, Sport Wo hätten Sie gern Ihren Zweitwohnsitz? Sydney Nennen Sie ein unentdecktes Traumreiseziel: Tahiti, Fiji und die Südsee generell 20

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand SOLUTION Q_RISKMANAGER 2.0 Das Risikomanagementsystem für den Mittelstand Q4/2012 Q_Riskmanager als webbasierte Lösung des Risikomanagements unter Solvency II Solvency II stellt Unternehmen vor neue Herausforderungen

Mehr

Prüfung der Kapitalanlagen

Prüfung der Kapitalanlagen Prüfung der Kapitalanlagen Welche Aspekte muss die IR berücksichtigen? www.q-perior.com Agenda 1. Revision Grundlagen 2. Prüfgebiete 3. Risikoorientierte Prüfung 4. Ausgesuchte Prüfgebiete im Detail www.q-perior.com

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q053 MO (3. Modul) Termin: 01.12. 02.12.2015 (3. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q052 MO (2. Modul) Termin: 10.11. 12.11.2015 (2. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

ORSA. Mag. Sibylle Scaria Grazer Wechselseitige Versicherung AG

ORSA. Mag. Sibylle Scaria Grazer Wechselseitige Versicherung AG ORSA Mag. Sibylle Scaria Grazer Wechselseitige Versicherung AG ORSA The heart of Solvency II (EIOPA) xxx Folie 2 ORSA rechtliche Anforderungen Teil des System of Governance Geregelt in Artikel 45 der Rahmenrichtlinie

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Auswirkungen von Solvency II auf die Versicherungspraxis

Auswirkungen von Solvency II auf die Versicherungspraxis Auswirkungen von Solvency II auf die Versicherungspraxis Dr. Armin Zitzmann Vorstandsvorsitzender der NÜRNBERGER Versicherungsgruppe Forum V Versicherungsmathematisches Kolloquium 11.02.2014 Dr. Armin

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Leitlinien. zur. Beschwerdebearbeitung durch. Versicherungsunternehmen

Leitlinien. zur. Beschwerdebearbeitung durch. Versicherungsunternehmen EIOPA-BoS-12/069 DE Leitlinien zur Beschwerdebearbeitung durch Versicherungsunternehmen 1/8 1. Leitlinien Einleitung 1. Gemäß Artikel 16 der EIOPA-Verordnung 1 sowie unter Berücksichtigung von Erwägung

Mehr

it supreme - das Tüpfelchen auf Ihrer IT

it supreme - das Tüpfelchen auf Ihrer IT it supreme - das Tüpfelchen auf Ihrer IT IT-DOKUMENTATION DATENSCHUTZ IT PROJEKTMANAGEMENT www.koell.com i T supreme Aus unserer langjährigen Tätigkeit im High Quality Consulting und der umfangreichen

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Rheinischer Unternehmertag 12. Juli 2011

Rheinischer Unternehmertag 12. Juli 2011 www.pwc.de Der notwendige Datenschutz nicht nur in Großunternehmen Rheinischer Unternehmertag 12. Juli 2011 Agenda 1. Gesellschaft und Politik messen dem Thema Datenschutz mehr Bedeutung zu 2. Datenschutz

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Asset Management. Rundschreiben 5/2010 (WA) vom 30.6.2010 zu den Mindestanforderungen an das Risikomanagement für Investmentgesellschaften InvMaRisk

Asset Management. Rundschreiben 5/2010 (WA) vom 30.6.2010 zu den Mindestanforderungen an das Risikomanagement für Investmentgesellschaften InvMaRisk Asset Management Rundschreiben 5/2010 (WA) vom 30.6.2010 zu den Mindestanforderungen an das Risikomanagement für Investmentgesellschaften InvMaRisk Die neuen Vorschriften im Überblick Die neuen Vorschriften

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Dr.-Ing. Martin H. Ludwig INGENIEURBÜRO für Systemanalyse und -planung

Dr.-Ing. Martin H. Ludwig INGENIEURBÜRO für Systemanalyse und -planung INGENIEURBÜRO für Systemanalyse und -planung Dr. Martin H. Ludwig Ihr externer, betrieblicher Datenschutzbeauftragter Liebe Leserin, lieber Leser, Sie benötigen einen betrieblichen Datenschutzbeauftragten

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

System-Tool MaRisk Light

System-Tool MaRisk Light Unser Angebot System-Tool MaRisk Light Von der Strategie bis zum Risikolimitsystem! Das System-Tool MaRisk Light umfasst die Module Risikoreport, Adressen- Risikomanagement, Interne Revision und IKS, Marktpreisrisikomanagement,

Mehr

Zusammenfassung des Berichts der Arbeitsgruppe Lebensversicherung. September 2002

Zusammenfassung des Berichts der Arbeitsgruppe Lebensversicherung. September 2002 Zusammenfassung des Berichts der Arbeitsgruppe Lebensversicherung September 2002 1. ZUSAMMENFASSUNG 1.1. Hintergrund 1. Im Rahmen des Projekts Solvabilität II ist 2001 eine Arbeitsgruppe zur Untersuchung

Mehr

Commerzbank AG Group Audit. - Revision in der Commerzbank -

Commerzbank AG Group Audit. - Revision in der Commerzbank - Commerzbank AG Group Audit - Revision in der Commerzbank - Auftrag Strategische Planung Operative Durchführung Mitarbeiter 1 Der Auftrag und die Positionierung - Zielsetzung Management-Unterstützung Aufzeigen

Mehr

TRANSPARENZBERICHT. ASSEKURATA Assekuranz Rating-Agentur GmbH

TRANSPARENZBERICHT. ASSEKURATA Assekuranz Rating-Agentur GmbH TRANSPARENZBERICHT ASSEKURATA Assekuranz Rating-Agentur GmbH 2015 2 1 EINLEITUNG... 4 2 RECHTSSTRUKTUR UND BESITZVERHÄLTNISSE... 4 3 INTERNE KONTROLLMECHANISMEN... 4 4 ZUWEISUNG VON PERSONAL... 7 5 ARCHIVIERUNGSPOLITIK...

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

4. Asset Liability Management

4. Asset Liability Management 4. Asset Liability Management Asset Liability Management (ALM) = Abstimmung der Verbindlichkeiten der Passivseite und der Kapitalanlagen der Aktivseite Asset Liability asset Vermögen(swert) / (Aktivposten

Mehr

«Zertifizierter» Datenschutz

«Zertifizierter» Datenschutz «Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.

Mehr

Seminar Datenschutz. Herzliche Einladung zum. Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde,

Seminar Datenschutz. Herzliche Einladung zum. Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde, Herzliche Einladung zum Seminar Datenschutz Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde, Datenschutz sollte längst in allen Verbänden, Vereinen, Unternehmen, und

Mehr

Sanierungsplanung gemäß MaSan

Sanierungsplanung gemäß MaSan Sanierungsplanung gemäß MaSan Dr. Andreas Igl Inhalt Einleitung und Hintergrund... 1 Ausgestaltung eines Sanierungsplans gemäß MaSan... 2 Änderungen in der finalen Fassung... 4 Ausblick und nächste Schritte...

Mehr

Solvency II: Ziele, Knackpunkte, Lösungen

Solvency II: Ziele, Knackpunkte, Lösungen Gesamtverband der Deutschen Versicherungswirtschaft e.v. Solvency II: Ziele, Knackpunkte, Lösungen Pierre Joos, Chief Risk Officer der Allianz Deutschland AG GDV-Pressekolloquium am 30. März 2011 Gesamtverband

Mehr

Risk Management for Banking Herausforderungen für einen integrierten Approach

Risk Management for Banking Herausforderungen für einen integrierten Approach Risk Management for Banking Herausforderungen für einen integrierten Approach Frank Hansen Risk Practice Leader, SAS Deutschland Agenda Situation und Herausforderungen - Integrierte Risikosteuerung Stresstests

Mehr

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit

Mehr

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der Richtlinie des Arbeitskreises Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater in der Gesellschaft für Datenschutz und Datensicherheit e.v. - GDD - Verabschiedet von den Mitgliedern der

Mehr

Operative Risiken eines Unternehmens unter. dem Aspekt der Umsetzung von Basel II

Operative Risiken eines Unternehmens unter. dem Aspekt der Umsetzung von Basel II Operative Risiken eines Unternehmens unter dem Aspekt der Umsetzung von Basel II Ziele von Basel II Die Ziele von Basel II sind: Förderung von Solidität und Stabilität des Finanzsystems Förderung gleicher

Mehr

Datenschutzbeauftragte

Datenschutzbeauftragte MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist

Mehr

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Natascha Düren Forum Rot, it-sa 2013 Nürnberg, 10.10.2013 Besuchen Sie uns! it-sa 2013, Halle

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

»Aktuarielle Methoden in der Lebens- und Kompositversicherung«

»Aktuarielle Methoden in der Lebens- und Kompositversicherung« SEMINAR»Aktuarielle Methoden in der Lebens- und Kompositversicherung«www.versicherungsforen.net/aktuariat/seminare » Die Mehrheit bringt der Mathematik Gefühle entgegen, wie sie nach Aristoteles durch

Mehr

Externer Datenschutzbeauftragter (DSB)

Externer Datenschutzbeauftragter (DSB) Externer Datenschutzbeauftragter (DSB) Darum braucht Ihr Unternehmen einen Datenschutzbeauftragten So finden Sie die richtige Lösung für Ihren Betrieb Bewährtes Know-how und Flexibilität gezielt einbinden

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ Externer Datenschutz... Chancen durch Outsourcing PRISAFE DATENSCHUTZ Inhaltsverzeichnis Der Datenschutzbeauftragte Für welche Variante entscheiden? Der externe Datenschutzbeauftragte Kosten für Datenschutz

Mehr

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 2 1.1.1 Rechtsnatur und Anwendungsbereich der neuer EU-

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

GrECo JLT Risk Consulting GmbH

GrECo JLT Risk Consulting GmbH www.greco.eu GrECo JLT Risk Consulting GmbH Ihr unabhängiger Partner für Operatives Risikomanagement Januar 2013 Über GrECo JLT Risk Consulting GrECo JLT Risk Consulting ist eine eigenständige Gesellschaft

Mehr

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v.

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. binsec - binary security UG 13. Juni 2015 Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB

Mehr

Herzlich Willkommen / Welcome

Herzlich Willkommen / Welcome Herzlich Willkommen / Welcome zur BvD Informationsveranstaltung / Information meeting of BvD DER DATENSCHUTZBEAUFTRAGTE IN EUROPA THE DATA PROTECTION OFFICER IN EUROPE BETTER PRIVACY - LESS BUREAUCRACY

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Compliance Management

Compliance Management Compliance Management Fernwärmetage 2013 13.03.2013 RA Dr. Gregor Schett, LL.M. Mag. Christoph Kochauf Fellner Wratzfeld & Partner Rechtsanwälte GmbH A-1010 Wien, Schottenring 12, T: +43 (1) 537 70 F:

Mehr

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Beraten statt prüfen Behördlicher Datenschutzbeauftragter Beraten statt prüfen Behördlicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach den Vorgaben aller Landesdatenschutzgesetze müssen öffentliche Stellen des Landes grundsätzlich

Mehr

Allgemeine Regelungen 0-1

Allgemeine Regelungen 0-1 AR 0-1 Allgemeine Regelungen 0-1 Richtlinien für die Interne Revision der Deutschen Bundesbank (Revisionsrichtlinien) Inhaltsübersicht 1 Grundlagen 2 Verantwortung und Ziele 3 Stellung 4 Befugnisse 5 Grundsätze

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Leitlinien zu den Methoden für die Bestimmung von Marktanteilen für die Berichterstattung

Leitlinien zu den Methoden für die Bestimmung von Marktanteilen für die Berichterstattung EIOPA-BoS-15/106 DE Leitlinien zu den Methoden für die Bestimmung von Marktanteilen für die Berichterstattung EIOPA Westhafen Tower, Westhafenplatz 1-60327 Frankfurt Germany - Tel. + 49 69-951119-20; Fax.

Mehr

Banken tun sich mit der Umsetzung von BCBS 239 schwer

Banken tun sich mit der Umsetzung von BCBS 239 schwer Banken tun sich mit der Umsetzung von BCBS 239 schwer Andreas Bruckner Das Baseler Komitee für Bankenaufsicht (BCBS) hat am 23. Januar 2015 den Bericht über den Umsetzungsstand der Grundsätze für die effektive

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

Alexander Jung, Managing Consultant / legitimis GmbH

Alexander Jung, Managing Consultant / legitimis GmbH Alexander Jung, Managing Consultant / legitimis GmbH Strategische Managementberatung mit Schwerpunkt Datenschutz International operierende Strategie- und Managementberatung mit den Schwerpunkten Datenschutz,

Mehr

Risk Management und Compliance. Datenschutz als Wettbewerbsfaktor

Risk Management und Compliance. Datenschutz als Wettbewerbsfaktor Risk Management und Compliance Datenschutz als Wettbewerbsfaktor Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) 3. Februar 2005 Erwartungen 2 Was bedeutet Datenschutz? Informationelle

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Datenschutz in Pharmaunternehmen Bei Pharmaunternehmen stehen neben der Verarbeitung eigener Personaldaten vor allem die Dokumentation

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

OLVENCY II. Standard Reporting für Versicherungsunternehmen SOLVENCY II. ConVista Consulting 2012 1

OLVENCY II. Standard Reporting für Versicherungsunternehmen SOLVENCY II. ConVista Consulting 2012 1 SOLVENCY II Standard Reporting für Versicherungsunternehmen OLVENCY II ConVista Consulting 2012 1 SOLVENCY II Standard Reporting für versicherungsunternehmen Inhalt 1. EINLEITUNG 2. HERAUSFORDERUNGEN FÜR

Mehr

Was macht eine Risikostrategie aus?

Was macht eine Risikostrategie aus? Was macht eine Risikostrategie aus? Versicherungsunternehmen/Pensionskassen www.q-perior.com Agenda 1. Ausgangslage 2. Risikostrategie 3. Hauptrisikokategorien 4. Inhalt und Kernelemente Risikostrategie

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010 Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Diplom Informatiker Werner Hülsmann: Kurzinfo Betriebliche/r Datenschutzbeauftragte/r Bestellung Stellung im Unternehmen Aufgaben Extern / Intern

Diplom Informatiker Werner Hülsmann: Kurzinfo Betriebliche/r Datenschutzbeauftragte/r Bestellung Stellung im Unternehmen Aufgaben Extern / Intern Seite 1 Diplom Informatiker Werner Hülsmann: Kurzinfo Betriebliche/r Datenschutzbeauftragte/r Bestellung Stellung im Unternehmen Aufgaben Extern / Intern Seite 2 Zu meiner Person Studium der Informatik

Mehr

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15. Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Betreff: Bester Schätzwert für die Prämienrückstellung. Sehr geehrte Damen und Herren!

Betreff: Bester Schätzwert für die Prämienrückstellung. Sehr geehrte Damen und Herren! BEREICH Versicherungsaufsicht und Pensionskassenaufsicht GZ FMA-VU000.680/0001-VPM/2014 (bitte immer anführen!) SACHBEARBEITER/IN Mag. Dr. Klaus Gansberger TELEFON (+43-1) 249 59-2303 TELEFAX (+43-1) 249

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

EIOPA(BoS(13/164 DE. Leitlinien für die Beschwerdebearbeitung durch Versicherungsvermittler

EIOPA(BoS(13/164 DE. Leitlinien für die Beschwerdebearbeitung durch Versicherungsvermittler EIOPA(BoS(13/164 DE Leitlinien für die Beschwerdebearbeitung durch Versicherungsvermittler EIOPA WesthafenTower Westhafenplatz 1 60327 Frankfurt Germany Phone: +49 69 951119(20 Fax: +49 69 951119(19 info@eiopa.europa.eu

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie

Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie ICELT-Datenschutzrichtlinie ICELT e.v. An der Ziegelei 2 D-37124 Rosdorf Tel: +49 (0)551 / 30 66 288-0 Fax: +49 (0)551 / 30 66 288-9 E-Mail:

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

KONVERGENZ IN DER KAPITALAPPROXIMATION FÜR DIE LEBENSVERSICHERUNG. 21. Mai 2015 Thomas Gleixner

KONVERGENZ IN DER KAPITALAPPROXIMATION FÜR DIE LEBENSVERSICHERUNG. 21. Mai 2015 Thomas Gleixner KONVERGENZ IN DER KAPITALAPPROXIMATION FÜR DIE LEBENSVERSICHERUNG 21. Mai 2015 Thomas Gleixner Agenda 1. Was ist Kapitalapproximation (und wen sollte das interessieren)? 2. Etablierte Methoden 3. Erfahrungen

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Solvency II Komplexität bewältigen

Solvency II Komplexität bewältigen Solvency II Komplexität bewältigen Der Service Solvency II schafft die Voraussetzung für wertorientiertes Risikomanagement Motivation Die regulatorischen Anforderungen im Bereich Risikomanagement provozieren

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

RiskCheck. Risikomanagement. .proquest. Unternehmensweites. riskmanagement gmbh

RiskCheck. Risikomanagement. .proquest. Unternehmensweites. riskmanagement gmbh RiskCheck Unternehmensweites Risikomanagement.proquest riskmanagement gmbh Überblick = Durchblick im Detail. Ein klarer Blick hilft: Als Unternehmer und verantwortlicher Manager sind Sie laufend mit neuen

Mehr

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz in Werbeagenturen Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von

Mehr