Prüfpunkte IKSE: Unternehmensweite Kontrollen & IKS Framework

Größe: px
Ab Seite anzeigen:

Download "Prüfpunkte IKSE: Unternehmensweite Kontrollen & IKS Framework"

Transkript

1 Versicherungsunternehmen Zulassungstyp Prüfgesellschaft Leitender Berichtsjahr 2015 Version Vorlage FINMA Geschäftsbereich Versicherungen Seite 1 von 1 Basisprüfung_Prüfpunkte IKSE_Roll Out Version für GJ 2015_final.xlsx / Übersicht / 09:12

2 Prüfpunkte IKSE: Unternehmensweite Kontrollen & IKS Framework Übersicht Prüffelder 1 A B C 2 D 3 E 4 F G H I 5 J K 6 L 7 M N Prüfpunkte - Unternehmensweite Kontrollen Interne Vorgaben Überprüfung der Einhaltung von internen Vorgaben Umgang mit Interessenkonflikten Bekämpfung von internen betrügerischen Handlungen Unternehmensstruktur Organisation Verwaltungsrat und Geschäftsleitung Verantwortung in Bezug auf das IKS und Beschlussfassung IT Organisation Organisation Systemsicherheit und Datenmanagement Zugriffskontrollen Monitoring Aktivitäten Prüfpunkte - IKS Framework Basis des IKS Framework Dokumentation und Steuerung des IKS Kontrolldefizite / Kontrollschwächen / Kontrollübersteuerungen Information / Kommunikation / Reporting Information / Kommunikation / Reporting Monitoring Aktivitäten Fortlaufende Überwachung des Vorhandensein und der Wirksamkeit des IKS Unabhängige Überwachungsmechanismen des IKS 1 8 X Y Z Zusätzliche Informationen Abstützung auf Arbeiten der Internen Revision Sachverhalt für Abstützung Prüffelder / Prüfpunkte in Bezug auf Qualität und Aussagekraft Allgemeine en Die von der FINMA publizierten und an die Prüfgesellschaften verschickten Prfüpunkte sind Bestandteil der Aufsichtsprüfung bei Versicherungsunternehmen gemäss den Anhängen 10 (Standardprüfstrategie Versicherungsunternehmen) und 11 (Standardprüfstrategie Versicherungen Gruppen und Konglomerate) des FINMA-RS 13/3 Prüfwesen". Die jeweils pro Berichtsjahr publizierten und verschickten Versionen enthalten Prüfpunkte, die im Zusammenhang mit den vorgesehenen Prüffeldern grundsätzlich zu prüfen sind. Diese Einleitung zu den jeweiligen Prüfpunkten befindet sich jedoch nur in den an die Prüfgesellschaften verschickten Arbeitsversionen. Im technischen Verlauf der Prüfpunkte kann es vorkommen, dass einzelne Prüfpunkte aufgrund der Logik nicht bearbeitet werden müssen oder anders zusammengefasst werden. Weitere Instruktionen dazu befinden sich in den en zu den Prüfpunkten IKS, siehe Ziffer Technische Bearbeitung der Prüfpunkte Die Beantwortung der einzelnen Prüfpunkte erfolgt mittels Excel-Files, welche den Prüfgesellschaften durch die FINMA zur Verfügung gestellt werden. Prüffelder und Prüfpunkte Die Prüfung ist modular aufgebaut. Für inhaltliche Teilgebiete resp. Prüffelder werden Prüfpunkte formuliert. Grundsätzlich muss für jedes Unternehmen bzw. jeden Konzern jedes Prüffeld geprüft werden. Innerhalb der Prüffelder muss jeder Prüfpunkt geprüft und beantwortet werden. Die mit einem Stern (*) gekennzeichneten Prüfpunkte sind vom jeweils mit der Antwort trifft zu oder trifft nicht zu zu beantworten. Pro Prüfpunkt hat der in der Spalte G eine Beschreibung der beim Versicherungsunternehmen in Anwendung befindlichen Praxis zu formulieren, um den Prüfpunkt zu erfüllen. FINMA Geschäftsbereich Versicherungen Seite 1 von 3 Basisprüfung_Prüfpunkte IKSE_Roll Out Version für GJ 2015_final.xlsx / 1 Inhalt und Einleitung / 09:12

3 1.3 (FINMA-RS 13/3, Rz 32 bis 34) Die anwendbare Prüfung oder kritische Durchsicht wird in der Standardprüfstrategie für jedes Prüfgebiet generisch festgelegt (Anhänge 10 und 11 des FINMA-RS 13/3 Prüfwesen"). Die pro einzelnem Prüfpunkt ist in der jeweiligen Spalte ( - Indikation FINMA) dieses Prüfprogrammes indiziert. Weitere Informationen siehe Punkt Referenzen in einzelnen Prüfpunkten Die Prüfpunkte IKSE basieren auf. 27 Abs. 1 VAG und den weiterführenden Erlassen wie Rundschreiben sowie Wegleitungen. Die verwendeten gesetzlichen Grundlagen sind im Anhang 1 der Wegleitung zum Prüfwesen Versicherungen entsprechend aufgeführt. 1.5 und Beantwortung der Prüfpunkte Der führt zu jedem Prüfpunkt die zur korrekten Beantwortung erforderlichen Prüfungshandlungen durch und dokumentiert diese gemäss den Rz des FINMA-RS 13/3 Prüfwesen". Falls der einen Prüfpunkt nicht prüfen kann, ist Trifft nicht zu anzukreuzen und eine aussagekräftige Begründung abzugeben. Sofern nicht gleichzeitig eine Verletzung aufsichtsrechtlicher Vorschriften vorliegt, muss in solchen Fällen keine / abgegeben werden. 1.6 en und en (FINMA-PV. 11.) Stellt der im Rahmen seiner Prüfung oder kritischen bei einem Prüfpunkt eine Verletzung aufsichtsrechtlicher Vorschriften fest, so ist im entsprechenden Textfeld eine klare und für eine Drittperson nachvollziehbare Erläuterung des Sachverhalts anzugeben. Zudem ist in der entsprechenden Spalte () anzugeben, dass es sich um eine handelt. en sind in die Berichterstattung zur aufsichtsrechtlichen Prüfung aufzunehmen. Stellt der im Rahmen seiner Prüfung oder kritischen bei einem Prüfpunkt eine Schwachstelle oder kritische Anzeichen fest, die sich auf die künftige Einhaltung von aufsichtsrechtlichen Bestimmungen auswirken könnten, so ist nebst einer klaren und für eine Drittperson nachvollziehbaren Erläuterung des Sachverhalts auch festzuhalten, ob dieser Prüfpunkt in der Berichterstattung zur Aufsichtsprüfung zu einer führt. Weitere, zusätzliche Informationen welche im Verlauf der Prüfungshandlungen entdeckt werden und für das entsprechende Prüfgebiet von Relevanz sein könnten, sollten als en gekennzeichnet werden. 1.7 Berichterstattung Die Prüfpunkte gemäss der Standardprüfstrategie für Versicherungsunternehmen bzw. Versicherungsgruppen und -konglomerate bilden einen integralen Bestandteil der Berichterstattung zur Aufsichtsprüfung. Prüfpunkte, die zu einer oder geführt haben, sind in der Berichterstattung in Kapitel 4 pro Prüfgebiet einzeln aufzuführen. In Kapitel 6 geben die leitenden zudem eine Gesamtbeurteilung zu den jeweiligen Prüfgebieten ab. Sollten sich zwischen der Einreichung dieser Prüfpunkte IKSE (jeweils per Ende Dezember) und der Einreichung der Berichterstattung zur Aufsichtsprüfung materielle Änderungen ergeben, welche sich auf das im Rahmen der Prüfpunkte abgegebene Prüfurteil positiv oder negativ auswirken, sind in der Berichterstattung ebenfalls in Kapitel 6 anzugeben. Details dazu befinden sich in der Wegleitung Versicherungen zum FINMA-RS 2013/3. 2 en zu den Prüfpunkten IKSE - Unternehmensweite Kontrollen & IKS Framework 2.1 Ziel Mit den vorliegenden Prüfpunkten werden die beauftragt, die Einhaltung der aufsichtsrechtlichen Anforderungen an das IKS durch die Versicherungsunternehmen, Gruppen und Konglomerate zu überprüfen. Die formulierten Prüfpunkte decken die Organisation und die Kontrollmechanismen auf Unternehmensebene (unternehmensweite Kontrollen), den Umgang mit Daten und die IT Organisation, sowie die Aufbau- und Ablauforganisation des IKS (IKS Framework) ab. FINMA Geschäftsbereich Versicherungen Seite 2 von 3 Basisprüfung_Prüfpunkte IKSE_Roll Out Version für GJ 2015_final.xlsx / 1 Inhalt und Einleitung / 09:12

4 2.2 Erläuterungen zu verwendeten Begriffen Die in den Prüfpunkten verwendeten Begriffe für Organe (z.b. Verwaltungsrat, Geschäftsleitung) gelten sinngemäss auch für andere Rechtsformen wie z.b. bei Stifungen den Stiftungsrat, Niederlassungen den Handlungsbevollmächtigten, etc. Weitere Begriffe werden bei Bedarf in der Wegleitung zum Prüfwesen platziert. 2.3 Geltungsbereich Die Prüfpunkte sind gemäss dem Geltungsbereich C, Rz 3 des FINMA Rundschreiben 08/32 umzusetzen. Hinweis zum Prüfscope pro Zulassungstyp / Rechtsform: Zulassungstyp / Rechtsform Versicherungsgruppen Versicherungskonglomerate Schweizerische Versicherungsunternehmen (Sitzland Schweiz) Geltungsbereich Organe, Strukturen und Prozesse, welche für die Führung, Steuerung, Überwachung und Kontrolle notwendig sind Alle Organe, Strukturen und Prozesse Versicherungsunternehmen mit Sitz in der Schweiz, die Teil einer ausländischen Versicherungsgruppe sind Schweizerische Zweigniederlassung von Versicherungsunternehmen mit Sitz im Ausland Rückversicherungs-Captives 2.4 Sonstige Hinweise In der Schweiz vorhandene Organe, Strukturen und Prozesse (inkl. Beziehung Tochtergesellschaft zu Muttergesellschaft) In der Schweiz vorhandene Organe, Strukturen und Prozesse (Gilt voerst für alle Versicherungsunternehmen der Aufsichtskategorie 2, 3 und 4) In der Schweiz vorhandene Organe, Strukturen und Prozesse (Gilt voerst für alle Versicherungsunternehmen der Aufsichtskategorie 2, 3 und 4) Hinweis zur Anwendung bei Krankenkassen: Bei Krankenkassen unter der institutionellen Aufsicht des Bundesamtes für Gesundheit, sind die Prüfpunkte IKSE nicht anwendbar. : Die zur Anwendung kommende ist pro Prüfpunkt angezeigt. Hierzu steht dem eine separate Spalte " - Indikation " zur Verfügung. Grundsätzlich gilt die von der FINMA pro Prüfpunkt vorgegebene. Sollte der jedoch für gewisse Prüfpunkte die von "kritische " auf "Prüfung" ändern wollen, ist dies beim betreffenden Prüfpunkt im Kommentarfeld zu begründen. Eine Reduzierung der von der FINMA vorgegebenen (von "Prüfung" auf "kritische ") ist nicht zulässig. Prüfvorgehen: Das von der Prüfgesellschaft gewählte Prüfvorgehen ist im Bericht zur aufsichtsrechtlichen Prüfung unter Punkt 5.2 zu beschreiben. FINMA Geschäftsbereich Versicherungen Seite 3 von 3 Basisprüfung_Prüfpunkte IKSE_Roll Out Version für GJ 2015_final.xlsx / 1 Inhalt und Einleitung / 09:12

5 Prüfpunkte - Unternehmensweite Kontrollen 1 Interne Vorgaben Antwortbereich A Überprüfung der Einhaltung von internen Vorgaben Indikation FINMA Indikation der Angemessenheit / / A 1 Mechanismen implementiert, um die Einhaltung von internen Prinzipien, Verhaltensweisen und Richtlinien zu überprüfen. - Stichwortartige Beschreibung des Sachverhalt - Maximal 1700 Zeichen (Maximum pro Zelle) Maximal 1700 Zeichen (Maximum pro Zelle) A 2 Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat unterhält ein geeignetes Melde- und Sanktionswesen, welches bei Verstössen gegen die internen Prinzipien, Verhaltensweisen sowie Richtlinien angewendet wird. Je nach Schweregrad des Verstosses wird die Geschäftsleitung und/oder der Verwaltungsrat informiert. B Umgang mit Interessenkonflikten Indikation FINMA Indikation der Angemessenheit / / B 1 Vorschriften zur Vermeidung und zum Umgang mit Interessenkonflikten erlassen. Die Vorschriften decken unternehmensinterne sowie externe Interessenkonflikte ab. B 2 Die Vorschriften zur Vermeidung und zum Umgang mit Interessenkonflikten gelten für alle Mitarbeitenden des Versicherungsunternehmen, Versicherungsgruppe / -konglomerat inklusive der Mitglieder des Verwaltungsrates und der Geschäftsleitung. B 3 Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat überprüft die Einhaltung der erlassenen Vorschriften zur Vermeidung und zum Umgang mit Interessenkonflikten. C Bekämpfung von internen betrügerischen Handlungen Indikation FINMA Indikation C 1 Vorschriften zur Bekämpfung von internen betrügerischen Handlungen erlassen. der Angemessenheit / / C 2 Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat überprüft die Einhaltung der erlassenen Vorschriften zur Bekämpfung von internen betrügerischen Handlungen.

6 2 Unternehmensstruktur Antwortbereich D Organisation Indikation FINMA Indikation Die Organisation des Versicherungsunternehmen, Versicherungsgruppe / - konglomerats ist definiert, aktuell und für einen fachkundigen, unabhängigen Dritten nachvollziehbar dokumentiert. der Angemessenheit / / D 1 Die Dokumentation der Organisation deckt die Verwaltungs- sowie die Betriebsorganisation des gesamten Versicherungsunternehmen, Versicherungsgruppe / -konglomerat ab, enthält eine nachvollziehbare Beschreibung der unternehmensweiten Entscheid- und Berichtslinien und bezeichnet mindestens die Organe welche für - die Oberleitung - die Aufsicht - die Kontrolle - die Geschäftsführung zuständig sind und beschreibt deren Verantwortlichkeiten, Kompetenzen und Rechenschaftspflichten. D 2 Die gemäss Prüfpunkt D1 definierten Organe sind so organisiert, dass eine der Grösse, Komplexität und dem Risikoprofil entsprechend angemessene Funktionentrennung vorhanden ist. D 3 D 4 D 5 Die Aufsichtspflichten des Verwaltungsrates in Bezug auf das IKS sind schriftlich festgehalten und dem Verwaltungsrat bekannt. Der Verwaltungsrat hat seine Strategie und die Ziele für das IKS für einen fachkundigen, unabhängigen Dritten nachvollziehbar festgehalten und kommuniziert diese unternehmensweit. Das Weisungswesen (Weisungen, Vorschriften, Reglemente) des Versicherungsunternehmen, Versicherungsgruppe / -konglomerat reflektiert die aktuelle, unternehmensspezifische Situation. Die Überprüfung und Aktualisierung des Weisungswesen ist nachvollziehbar dokumentiert. 3 Verwaltungsrat und Geschäftsleitung Antwortbereich E Verantwortung in Bezug auf das IKS und Beschlussfassung Indikation FINMA Indikation E 1 Der Verwaltungsrat setzt im Kontext zur Grösse, Komplexität und Risikoprofil des Unternehmens geeignete Hilfsmittel ein, um seine Verantwortung in Bezug auf die Ausgestaltung, Steuerung und Überwachung des Internen Kontrollsystems wahrzunehmen. der Angemessenheit / / E 2 Das Protokoll der Verwaltungsrats- und der Geschäftsleitungssitzungen (sowie der allfällig vorhandenen Ausschüsse dieser Organe) ist so aufgebaut, dass: - die Überprüfung des ordnungsgemässen Zustandekommens von Beschlüssen möglich ist - die Diskussionen zusammenfassend und summarisch enthalten sind - alle gestellten bzw. behandelten Anträge, Voten und Protokollerklärungen einzelner Mitglieder (z.b. bei ausdrücklichem Widerspruch gegen einzelne Beschlüsse) ersichtlich sind - Abstimmresultate und Wahlergebnisse enthalten sind.

7 4 IT Organisation Antwortbereich F Organisation Indikation FINMA Indikation der Angemessenheit / / F 1 über ein aktuelles Organigramm der IT Organisation. F 2 F 3 F 4 Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerats hat Prozesse implementiert, welche die Einhaltung der gesetzlichen Anforderungen an die IT überprüfen. Abweichungen werden untersucht und mitigierende Massnahmen umgesetzt. Anforderungen an die IT (nicht abschliessend): Beispielsweise die Informationssicherheit und Verfügbarkeit, die Datenaufbewahrung (Record Retention - Records Management), die Dokumentation, Nachweisbarkeit / Prüfbarkeit / Revisionsfähigkeit von Geschäftsvorgängen, Datenschutz, rechtskonforme Nutzung der IT Infrastruktur (z.b. Softwareschutz) sowie die elektronischen Abwicklung von Geschäftsvorgängen. Die für den Betrieb einer IT Organisation notwendigen Rollen, Aufgaben, Verantwortlichkeiten und Kompetenzen sind definiert, dokumentiert und den Mitarbeitern bekannt. Die gemäss Prüfpunkt F3 formulierten Rollen, Aufgaben, Verantwortlichkeiten und Kompetenzen sind so definiert, dass eine angemessene Funktionentrennung gegeben ist, welche der Grösse, Komplexität und dem Risikoprofil des Versicherungsunternehmen, Versicherungsgruppe / - konglomerat gerecht wird. F 5 über eine aktuelle, für eine fachkundige Drittperson nachvollziehbare, Dokumentation aller gemäss Prüfpunkt J4 identifizierten IT Schlüsselprozesse und IT-Schlüsselkontrollen. Die Schlüssel-Systeme und deren Daten sind verantwortlichen Personen zugeordnet. G Systemsicherheit und Datenmanagement Indikation FINMA Indikation der Angemessenheit / / G 1 Die IT Organisation hat Richtlinien zur Inventarisierung und Klassifizierung von kritischen Daten und Systemen erlassen und überprüft deren Einhaltung. G 2 G 3 G 4 Mechanismen implementiert, welche die Handhabung, Verteilung und Speicherung von sensiblen / besonders schützenswerten Daten regeln. Aufbewahrungsfristen für Dokumente, Daten, Programme, Berichte sowie eingehende und ausgehende Nachrichten sind nach schweizerischem Recht definiert. Die Einhaltung der Aufbewahrungsfristen wird sichergestellt. Alle als relevant eingestuften, durch den Endbenutzer entwickelten oder veränderbaren Programme/Tools, sind für die gemäss Prüfpunkt J4 identifizierten Prozesse inventarisiert und dokumentiert. Die Integrität der Datenverarbeitung der einzelnen gemäss diesem Prüfpunkt identifizierten Programme/Tools wird regelmässig überprüft.

8 H Zugriffskontrollen Indikation FINMA Indikation der Angemessenheit / / H 1 Es existieren Verfahren, um Benutzer welche auf Schlüssel-Systeme zugreifen ausreichend zu authentifizieren und um unberechtigte Zugriffe abzuwehren. H 2 H 3 Mechanismen implementiert um die Konfigurierung der Zugriffsberechtigungen auf Anwendungs-Software und Datenspeichersysteme zu überprüfen, so dass der einzelne Nutzer nur auf jene Informationen Zugriff hat, welche für die Wahrnehmung seiner Aufgaben erforderlich sind (need-to-know Prinzip). Die Zugriffsrechte auf Schlüssel-Systeme werden in regelmässigen Abständen auf deren Gültigkeit und Richtigkeit hin überprüft. H 4 Der Zugang zum Rechenzentrum/Rechenzentren ist auf autorisiertes Personal beschränkt und erfordert eine geeignete Identifizierung und Authentifizierung. I Monitoring Aktivitäten Indikation FINMA Indikation der Angemessenheit / / I 1 Die IT-Organisation des Versicherungsunternehmen, Versicherungsgruppe / - konglomerat hat Mechanismen implementiert, um die Wirksamkeit der IT- Schlüsselkontrollen fortlaufend zu überwachen. I 2 über Prozesse zur Sicherstellung eines ordnungsgemässen Betriebs der IT Infrastruktur und Applikationen. Defizite / Schwächen in IT-Schlüsselkontrollen werden zeitgerecht addressiert, analysiert, mitigiert und an die relevanten Stellen rapportiert.

9 Prüfpunkte - IKS FRAMEWORK 5 Basis des IKS Framework Antwortbereich J Dokumentation und Steuerung des IKS Indikation FINMA Indikation der Angemessenheit / / J 1 über eine Dokumentation welche den Aufbau sowie die Umsetzung des IKS darlegt. Die Dokumentation umfasst insbesondere - die IKS Organisation - die notwendigen Aufgaben, Kompetenzen und Verantwortlichkeiten welche für den Betrieb und Unterhalt des IKS notwendig sind - die Anforderungen an das IKS (inkl. Definition von Schlüsselkontrollen) - die Darstellung der vorhandenen Kontrollmechansimen - sowie die internen Richtlinien zum IKS. Prüfung J 2 J 3 J 4 Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat überprüft periodisch (mindestens jährlich) auf Grundlage der Grösse, Komplexität, des aktuellen Risikoprofils sowie aufgrund der aufsichtsrechtlichen Vorgaben (VAG, AVO, FINMA-Rundschreiben) die Vollständigkeit des Anwendungsbereiches des IKS (Scope). Die Überprüfung wird durch den Verwaltungsrat abgenommen. über eine Funktion, welche für die unternehmensweite Koordination des IKS verantwortlich ist. über klar definierte Vorgaben, um Prozesse und Kontrollen welche aufgrund der periodischen Überprüfung gemäss Prüfpunkt J2 als relevant eingestuft wurden zu dokumentieren. Die Dokumentationsvorgaben sind so konzipiert, dass sie für eine fachkundige, unabhängige Drittpartei nachvollziehbar sind. Prüfung J 5 J 6 J 7 J 8 Die gemäss Prüfpunkt J1 verantwortlichen Personen geben periodisch (mindestens jährlich) eine Einschätzung zur Wirksamkeit der ihnen zugeordneten Schlüssel-Kontrollen ab. einen Prozess etabliert welcher die Validierung der gemäss Prüfpunkt J5 vorgenommenen Einschätzung durch eine unabhängige Funktion gewährleistet. Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat stellt sicher, dass die Mitarbeitenden stufengerecht hinsichtlich ihrer Aufgaben und Verantwortlichkeiten im Zusammenhang mit dem IKS informiert sind. Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat verwendet eine auf die Grösse, Komplexität sowie dem Risikoprofil des Unternehmens angepasste IT Lösung um das IKS unternehmensweit zu steuern und zu überwachen.

10 K Kontrolldefizite / Kontrollschwächen / Kontrollübersteuerungen Indikation FINMA Indikation der Angemessenheit / / K 1 über eine nachvollziehbare Definition von Kontrolldefiziten / -schwächen sowie Kontrollübersteuerungen durch das Management. K 2 über ein klar formuliertes Vorgehen, welches bei Auftreten von Kontrolldefiziten / Kontrollschwächen sowie bei Kontrollübersteuerungen durch das Management zur Anwendung kommt. K 3 Der Verwaltungsrat respektive die Geschäftsleitung werden je nach Schweregrad der festgestellten Kontrolldefiziten / -schwächen in Kenntnis gesetzt. Kontrollübersteuerungen durch das Management werden in jedem Fall dem Verwaltungsrat zur Kenntnis gebracht. K 4 Die Umsetzung von Massnahmen zur Behebung von festgestellten, materiellen Kontrolldefiziten / Kontrollschwächen respektive Kontrollübersteuerungen wird von einer unabhängigen Funktion überwacht. Der Verwaltungsrat wird darüber in Kenntnis gesetzt. 6 Information / Kommunikation / Reporting Antwortbereich L Information / Kommunikation / Reporting Indikation FINMA Indikation der Angemessenheit / / L 1 Die für die Steuerung und Überwachung eines wirksamen IKS erforderlichen Informationen betreffend den Zustand der Schlüsselprozesse und kontrollen (z.b. Design und operating Effectiveness, identifizierte Fehler in den Kontrollen, Verbesserungsmassnahmen, etc.) sind identifiziert und vorhanden. Die Informationen stehen den für den jeweiligen Bereich verantwortlichen Personen/Gremien zeitnah zur Verfügung. L 2 Der Verwaltungsrat sowie die Geschäftsleitung erhalten periodisch eine Berichterstattung zum IKS. Anhand der Berichterstattung wird überprüft, ob das IKS wie vom Verwaltungsrat beabsichtigt implementiert ist, funktioniert und den rechtlichen Vorgaben entspricht. (Mögliche Informationen sind z.b. der Zustand des Kontrollumfeld / Schwächen in den Kontrollaktivitäten / Umfang des IKS / Ergebnissen aus Überprüfungen des IKS / Nicht eingehaltene Limiten / Erlittenen Verlusten infolge von Defiziten/Schwächen im IKS / Verbesserungsmassnahmen) Hinweis: Der ist angehalten, die in der Berichterstattung vorhandenen Themen aufzulisten.

11 7 Monitoring Aktivitäten Antwortbereich M Fortlaufende Überwachung des Vorhandensein und der Wirksamkeit des IKS Indikation FINMA Indikation der Angemessenheit / / M 1 einen Prozess implementiert der die fortlaufende Überwachung sämtlicher Elemente des IKS gemäss Prüfpunkt J4 umfasst und gewährleistet, dass die Schlüssel-Kontrollen wie beabsichtigt funktionieren. Beispiel: Fortlaufende Überwachungsmassnahmen beinhalten beispielsweise durch Prozessverantwortliche durchgeführte Kontrollen zur Überprüfung, ob die in ihrem Prozess vorhandenen Schlüsselkontrollen vorhanden sind und wie beschrieben funktionieren (Management Controls). N Unabhängige Überwachungsmechanismen des IKS Indikation FINMA Indikation der Angemessenheit / / N 1 einen Prozess implementiert der die Überwachung des IKS auf dessen Vorhandensein und Wirksamkeit durch eine unabhängige Funktion umfasst. Beispiel: Unabhängige en des IKS sind üblicherweise nicht Bestandteil der Geschäftsprozesse und werden durch eine operativ unabhängige Funktion/Stelle vorgenommen. 8 Zusätzliche Informationen: Abstützung auf Arbeiten der Internen Revision Antwortbereich X Sachverhalt für Abstützung Antwort Zusätzliche Hinweise / Informationen X 1 Aufgrund welcher Sachverhalte beurteilt die Prüfgesellschaft die Arbeiten der Internen Revision hinsichtlich Inhalt und Umfang als hinreichend und angemessene Grundlage für die Abstützung im jeweiligen Prüfgebiet? Y Prüffelder / Prüfpunkte Prüffelder / Prüfpunkte Umfang der Prüfungshandlungen Prüffeld / Prüfpunkt: Prüffeld / Prüfpunkt: In welchen Prüffeldern / Prüfpunkten hat die Interne Revision Prüfungen Prüffeld / Prüfpunkt: Y 1 durchgeführt und in welchem Umfang? Prüffeld / Prüfpunkt: Prüffeld / Prüfpunkt: Prüffeld / Prüfpunkt: Zu welchen Ergebnissen ist die Interne Revision gekommen Z in Bezug auf Qualität und Aussagekraft Antwort Zusätzliche Hinweise / Informationen Z 1 Wie beurteilt die Prüfgesellschaft die Qualität und Aussagekraft der durch die Interne Revision durchgeführten Arbeiten?

Prüfprogramm Risikodokumentation nach Art. 196 AVO resp. Art. 204 AVO

Prüfprogramm Risikodokumentation nach Art. 196 AVO resp. Art. 204 AVO Prüfprogramm Risikodokumentation nach Art. 196 AVO resp. Art. 204 AVO Versicherungsunternehmen: Name Versicherungsgruppe/-konglomerat Prüfgesellschaft Leitender Prüfer Name der Prüfgesellschaft gemäss

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Rundschreiben 2008/7 Outsourcing Banken

Rundschreiben 2008/7 Outsourcing Banken Häufig gestellte Fragen (FAQ) Rundschreiben 2008/7 Outsourcing Banken (Letzte Änderung vom 6. Februar 2015) 1. Nach welchen Kriterien beurteilt sich die Anwendbarkeit des Rundschreibens 2008/7? Ein Outsourcing

Mehr

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014 Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014 Bericht der Revisionsstelle an den Stiftungsrat der Personal-Vorsorgestiftung

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung vom 14. August 2013 Der Schweizerische Bundesrat erlässt folgende Weisungen: 1 Allgemeine Bestimmungen 1.1 Gegenstand Diese Weisungen

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Richtlinie für Verfahren für interne Datenschutz-Audits

Richtlinie für Verfahren für interne Datenschutz-Audits Richtlinie für Verfahren für interne Datenschutz-Audits Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-01-R-05 Inhaltsverzeichnis 1 Ziel... 2 2 Anwendungsbereich...

Mehr

Ausführungen zum Internen Kontrollsystem IKS

Ausführungen zum Internen Kontrollsystem IKS Ausführungen zum Internen Kontrollsystem IKS verantwortlich Fachbereich Alter Ausgabedatum: April 2008 CURAVIVA Schweiz Zieglerstrasse 53 3000 Bern 14 Telefon +41 (0) 31 385 33 33 info@curaviva.ch www.curaviva.ch

Mehr

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht Richtlinie des Instituts Österreichischer Wirtschaftsprüfer zur Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht einer Verwaltungsgesellschaft (Kapitalanlagegesellschaft

Mehr

BEARBEITUNGSREGLEMENT EXTERN. Geschäftsleitung Mitarbeiter Homepage

BEARBEITUNGSREGLEMENT EXTERN. Geschäftsleitung Mitarbeiter Homepage BEARBEITUNGSREGLEMENT EXTERN Verteiler: Vorstand Geschäftsleitung Mitarbeiter Homepage Dokument: QzDAS-006/Bearbeitungsreglement extern Geändert am: 12:00:00 AM Freigegeben am: 12/22/2015 Seite 2 von 8

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Lenkung von Dokumenten

Lenkung von Dokumenten Beispiel Verfahrensanweisung Dok.-Nr. 1.8.2 Lenkung von Dokumenten Revision 0 erstellt am 11.02.2010 Seite 1 von 5 Ziel und Zweck: In den betrieblichen Vorgabedokumenten werden Handlungs- oder Verhaltensweisen

Mehr

Swiss Quality Assessment (SQA)

Swiss Quality Assessment (SQA) Eidgenössisches Finanzdepartement EFD Bundesamt für Privatversicherungen BPV Swiss Quality Assessment (SQA) Informationen zu den Tools betreffend Corporate Governance (CG) und Risikomanagement/Internes

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Selbstbewertungsbericht für das Überwachungsaudit

Selbstbewertungsbericht für das Überwachungsaudit Selbstbewertungsbericht für das Überwachungsaudit Wegleitung von sanacert suisse Der Selbstbewertungsbericht bildet eine wichtige Grundlage für die Beurteilung des Qualitätsmanagementsystems anlässlich

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Pensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013

Pensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013 Pensionskasse der Burkhalter Gruppe Zürich Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013 Bericht der Revisionsstelle an den Stiftungsrat der Pensionskasse der Burkhalter Gruppe

Mehr

Anzuwendende Vorschriften

Anzuwendende Vorschriften Anzuwendende Vorschriften Solvabilitäts- und Mindestkapitalanforderung, Eigenmittel Anlagegrundsätze 124 VAG n.f. Es sind die Vorschriften für kleine Versicherungsunternehmen ( 212 ff VAG n.f.) anzuwenden,

Mehr

TRANSPARENZBERICHT. ASSEKURATA Assekuranz Rating-Agentur GmbH

TRANSPARENZBERICHT. ASSEKURATA Assekuranz Rating-Agentur GmbH TRANSPARENZBERICHT ASSEKURATA Assekuranz Rating-Agentur GmbH 2015 2 1 EINLEITUNG... 4 2 RECHTSSTRUKTUR UND BESITZVERHÄLTNISSE... 4 3 INTERNE KONTROLLMECHANISMEN... 4 4 ZUWEISUNG VON PERSONAL... 7 5 ARCHIVIERUNGSPOLITIK...

Mehr

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Einführung Die DIN EN ISO 9001 erfährt in regelmäßigen Abständen -etwa alle 7 Jahreeine Überarbeitung und Anpassung der Forderungen

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Grundlagen für die Erfassung von Liquiditätsrisiken sowie für die Berichterstattung zur Liquidität durch Versicherer

Grundlagen für die Erfassung von Liquiditätsrisiken sowie für die Berichterstattung zur Liquidität durch Versicherer Banken Finanzgruppen und -kongl. Andere Intermediäre Versicherer Vers.-Gruppen und -Kongl. Vermittler Börsen und Teilnehmer Effektenhändler Fondsleitungen SICAV KG für KKA SICAF Depotbanken Vermögensverwalter

Mehr

Juni 2012 Richtlinien betreffend Mindestanforderungen bei Hypothekarfinanzierungen

Juni 2012 Richtlinien betreffend Mindestanforderungen bei Hypothekarfinanzierungen Juni 2012 Richtlinien betreffend Mindestanforderungen bei Hypothekarfinanzierungen Inhaltsverzeichnis Präambel... 2 1. Anwendungsbereich... 3 2. Mindestanforderungen... 3 2.1 Eigenmittel... 3 2.2 Amortisation...

Mehr

Juli 2014 Richtlinien betreffend Mindestanforderungen bei Hypothekarfinanzierungen

Juli 2014 Richtlinien betreffend Mindestanforderungen bei Hypothekarfinanzierungen Juli 2014 Richtlinien betreffend Mindestanforderungen bei Hypothekarfinanzierungen Präambel... 2 1. Anwendungsbereich... 3 2. Mindestanforderungen... 3 2.1 Eigenmittel... 3 2.2 Amortisation... 4 3. Inkraftsetzung...

Mehr

Richtlinien. des Bundesamtes für Privatversicherungen BPV

Richtlinien. des Bundesamtes für Privatversicherungen BPV www.bpv.admin.ch Richtlinien des Bundesamtes für Privatversicherungen BPV 2/2007 Richtlinie zur spezialgesetzlichen Zulassung externer Revisionsstellen sowie leitender Revisoren und leitender Revisorinnen

Mehr

Organisationsreglement

Organisationsreglement Verein swissdec swissdec, 6002 Luzern www.swissdec.ch Organisationsreglement Inhaltsverzeichnis I Vorstand... 4 1 Zusammensetzung... 4 2 Rechnungsführer... 4 II Organisationseinheiten des Vereins... 4

Mehr

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M. Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Krankenkasse Simplon. Bearbeitungsreglement extern

Krankenkasse Simplon. Bearbeitungsreglement extern Krankenkasse Simplon Bearbeitungsreglement extern Ausgabe 2014 Inhaltsverzeichnis 1. Allgemeines 1 1.1. Rechtliche Grundlagen 1 1.2. Ziel des Bearbeitungsreglements 1 2. Kurzbeschreibung Krankenkasse

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Corporate Governance

Corporate Governance Corporate Governance Der Verwaltungsrat Aufgaben Art. 716a OR Abs. 1 Der Verwaltungsrat hat folgende unübertragbare und unentziehbare Aufgaben: 1. die Oberleitung der Gesellschaft und die Erteilung der

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Managementhandbuch des Handbuchkapitel 02 Schornsteinfegerhandwerks Seite 01 von 07. 2. Aufbau und Organisation des Managementsystems

Managementhandbuch des Handbuchkapitel 02 Schornsteinfegerhandwerks Seite 01 von 07. 2. Aufbau und Organisation des Managementsystems Schornsteinfegerhandwerks Seite 01 von 07 2. Aufbau und Organisation des Managementsystems 2.1 Dokumentation Zweck der Dokumentation ist die Beschreibung des Managementsystems für das Schornsteinfegerhandwerk

Mehr

Qualitätsmanagementhandbuch ANKÖ. Auftragnehmerkataster Österreich

Qualitätsmanagementhandbuch ANKÖ. Auftragnehmerkataster Österreich ANKÖ Auftragnehmerkataster Österreich Stand: Oktober 2009 Prozessorientiertes Qualitätsmanagementsystem nach ISO 9001:2000 Voraussetzung für die langfristig erfolgreiche Bewältigung der sich aus der Beziehung

Mehr

GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung der Prüfung WP StB Dr. Klaus-Peter Feld

GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung der Prüfung WP StB Dr. Klaus-Peter Feld GDV Pressegespräch am 13. März 2015 GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung der Prüfung WP StB Dr. Klaus-Peter Feld Prüfungspflicht Prüfungspflicht ergibt sich aus

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Datenschutz-Management-System Datenschutzpolitik (13/20)

Datenschutz-Management-System Datenschutzpolitik (13/20) Gemeindeverwaltung Worb, Präsidialabteilung, Bärenplatz 1, Postfach, 3076 Worb Telefon 031 838 07 00, Telefax 031 838 07 09, www.worb.ch Datenschutz-Management-System Datenschutzpolitik (13/20) Autorin/Autor:

Mehr

Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung

Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung (GEVER-Verordnung) 172.010.441 vom 30. November 2012 (Stand am 1. Juli 2014) Der Schweizerische Bundesrat, gestützt auf Artikel

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Fall 1: Keine Übersicht (Topographie)

Fall 1: Keine Übersicht (Topographie) Fall 1: Keine Übersicht (Topographie) Peter Steuri CISA / dipl. Wirtschaftsinformatiker Partner BDO AG, Solothurn Fall-1: Keine Übersicht (Topographie) a) Darstellung der wesentlichen Geschäftsprozesse

Mehr

WEGLEITUNG. Zweck. Geltungsbereich. I. Grundsätzliches. betreffend

WEGLEITUNG. Zweck. Geltungsbereich. I. Grundsätzliches. betreffend WEGLEITUNG betreffend die Bewilligungsvoraussetzungen zum Geschäftsbetrieb von Lebensversicherungsunternehmen mit Sitz ausserhalb der Schweiz und Liechtenstein Ausgabe vom 8. März 2011 Zweck Diese Wegleitung

Mehr

Anforderungskatalog - Begutachtung von Zertifizierungsstellen (BBAB)

Anforderungskatalog - Begutachtung von Zertifizierungsstellen (BBAB) Allgemeines Der vorliegende Anforderungskatalog spiegelt ergänzend zur Norm DIN EN ISO/IEC 17021:11 die genehmigungsrelevanten Anforderungen des KA wider. Er soll dem egutachter/der egutachterin helfen,

Mehr

Datenschutzkodex Legislativdekret vom 30. Juni 2003

Datenschutzkodex Legislativdekret vom 30. Juni 2003 Datenschutzkodex Legislativdekret vom 30. Juni 2003 I. TEIL ALLGEMEINE BESTIMMUNGEN I. TITEL ALLGEMEINE GRUNDSÄTZE Art. 1 - Recht auf Datenschutz 1. Alle haben das Recht auf den Schutz der Daten, die ihre

Mehr

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag 1 Zweck PRÜFMODUL D UND CD Diese Anweisung dient als Basis für unsere Kunden zur Information des Ablaufes der folgenden EG-Prüfung nach folgenden Prüfmodulen: D CD Es beschreibt die Aufgabe der benannten

Mehr

Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG

Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG 1 Allgemeines (Stand 17.04.2015) (1) Der Vorstand führt die Geschäfte der ICG nach Maßgabe der Gesetze, der Satzung und der

Mehr

Referent: Mathias Notheis Kontakt: Mathias.Notheis@dqs.de

Referent: Mathias Notheis Kontakt: Mathias.Notheis@dqs.de ISO/IEC 62304 Medizingeräte-Software Referent: Mathias Notheis Kontakt: Mathias.Notheis@dqs.de DQS Medizin nprodukte GmbH Übersicht Basics Wann ist ein MP Software? Markteinführung vor der 62304 alles

Mehr

BaFin Vorbereitung auf Solvency II: Interne Kontrollen, Compliance und Interne Revision

BaFin Vorbereitung auf Solvency II: Interne Kontrollen, Compliance und Interne Revision 22. Juli 2014 Compliance Alert BaFin Vorbereitung auf Solvency II: Interne Kontrollen, Compliance und Interne Revision Die BaFin konsultiert mit ihrer Veröffentlichung vom 9. Juli 2014 im Rahmen der Vorbereitung

Mehr

Rundschreiben 2009/1 Eckwerte zur Vermögensverwaltung

Rundschreiben 2009/1 Eckwerte zur Vermögensverwaltung Banken Finanzgruppen und -kongl. Andere Intermediäre Versicherer Vers.-Gruppen und -Kongl. Vermittler Börsen und Teilnehmer Effektenhändler Fondsleitungen SICAV KG für KKA SICAF Depotbanken Vermögensverwalter

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Schlüsselfragen für ein wirksames Risikomanagementsystem

Schlüsselfragen für ein wirksames Risikomanagementsystem Risikomanagement im Krankenhaus - Möglichkeiten und Grenzen einer Systemunterstützung Kai Stübane, Vice President Sales, GRC, SAP Deutschland AG & Co. KG Ralf Erdmann, Senior-Riskmanager, Dr. Schmitt GmbH

Mehr

1 GELTUNGSBEREICH UND ZWECK

1 GELTUNGSBEREICH UND ZWECK gültig ab: 25.11.2008 Version 01 Seite 1 von 6 Es ist ein Fehler passiert und Sie möchten dazu beitragen, dass derselbe Fehler nicht nochmals auftritt. Sie wollen eine Korrekturmaßnahme setzen! Es ist

Mehr

Schadenversicherung Zulassung von Forderungen gegen Rückversicherer zur Bestellung des gebundenen Vermögens

Schadenversicherung Zulassung von Forderungen gegen Rückversicherer zur Bestellung des gebundenen Vermögens CH-3003 Bern An alle beaufsichtigten Schadenversicherungsunternehmen und Krankenkassen, welche Zusatzversicherungen anbieten Referenz: A177012/GB-V/V-MKS Kontakt: Truffer Beat Bern, 23. Dezember 2011 FINMA-Mitteilung

Mehr

Merkblatt (2013) Grundsätzliche Beschreibung des elektronischen Anzeigeverfahrens nach 323 KAGB

Merkblatt (2013) Grundsätzliche Beschreibung des elektronischen Anzeigeverfahrens nach 323 KAGB Merkblatt (2013) zum Vertrieb von Anteilen oder Aktien an EU-AIF oder inländischen Spezial-AIF, die von einer EU-AIF- Verwaltungsgesellschaft verwaltet werden, an semiprofessionelle und professionelle

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS GmbH DQS GmbH

Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS GmbH DQS GmbH Dokumentation eines integrierten Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS Forum 4. November 2010, Dortmund Umfang der Dokumentation ISO 14001: "Das übergeordnete Ziel dieser Inter-

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert ? organisiert Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation ist? Sie müssen ein QM-System: aufbauen, dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Richtlinien über das Betriebskonzept für Einrichtungen der Heimpflege für Kinder und Jugendliche

Richtlinien über das Betriebskonzept für Einrichtungen der Heimpflege für Kinder und Jugendliche Richtlinien über das Betriebskonzept für Einrichtungen der Heimpflege für Kinder und Jugendliche vom 1. April 2007 Gestützt auf Art. 2 der Verordnung über Kinder- und Jugendheime vom 21. September 1999

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK

Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK Muster-Bearbeitungsreglement (öffentlich) für die Krankenversicherer des RVK 1. BESCHREIBUNG DES UNTERNEHMENS Die sodalis gesundheitsgruppe ist eine Krankenversicherung gemäss KVG. Ausserdem werden diverse

Mehr

Zahnmedizinische Kliniken (ZMK Bern)

Zahnmedizinische Kliniken (ZMK Bern) Zahnmedizinische Kliniken (ZMK Bern) Internes Kontrollsystem (IKS) Benutzerhandbuch Nummer der Institution: 20 530 10 bis 530 71 Version: 1.0 Dokumentverantwortung: M. Walther und M.-T. Sommerhalder Internes

Mehr

QI SERVICES. QI RISK.

QI SERVICES. QI RISK. QI SERVICES. QI RISK. 3/7/2014 1 Agenda QI Services Qi Risk Rechtliches Umfeld QI Risk Audit Auf einen Blick Ihr Nutzen Risk Scan 3/7/2014 2 QI Services Mit der Produktgruppe QI Services unterstützen wir

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Bericht über die gesetzliche Prüfung der. Bauverein Schweinfurt eg

Bericht über die gesetzliche Prüfung der. Bauverein Schweinfurt eg Bericht über die gesetzliche Prüfung der Bauverein Schweinfurt eg Schweinfurt Jahresabschluss: Berichtsnummer: Ausfertigung: 31.12.2014 10266-14G 4 H. Zusammengefasstes Prüfungsergebnis/Bestätigungsvermerk

Mehr

Datenschutz Schnellcheck. Referent Jürgen Vischer

Datenschutz Schnellcheck. Referent Jürgen Vischer Datenschutz Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein

Mehr

Umsetzung IKS in der Praxis

Umsetzung IKS in der Praxis Umsetzung IKS in der Praxis? Rückblick Infolge der Anpassung des Schweizerischen Obligationenrechts musste auch die GSR ab 2008 im Rahmen der jährlichen Revision ein Internes Kontrollsystem (IKS) nachweisen.

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

eickert Prozessablaufbeschreibung Notarztdienst Bodenwerder, Anette Eickert 1 Prozessdaten 2 Zweck 3 Ziel 4 Prozessverantwortlicher

eickert Prozessablaufbeschreibung Notarztdienst Bodenwerder, Anette Eickert 1 Prozessdaten 2 Zweck 3 Ziel 4 Prozessverantwortlicher 1 Prozessdaten 1.1 1.2 Geltungsbereich dienst 2 Zweck 2.1 Zur Verbesserung unserer Dienstleistungen nutzen wir das Potenzial unserer Mitarbeiter. Hierzu haben wir für Mitarbeiter das Ideenmanagement eingeführt.

Mehr

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten

Mehr

Vergütungsbericht der Hypo Real Estate Holding AG und der Deutsche Pfandbriefbank AG 2014

Vergütungsbericht der Hypo Real Estate Holding AG und der Deutsche Pfandbriefbank AG 2014 Vergütungsbericht der Hypo Real Estate Holding AG und der Deutsche Pfandbriefbank AG 2014 gemäß 16 Institutsvergütungsverordnung 1 Inhalt 1. Umfang und Ziel des Vergütungsberichts... 3 2. Historie und

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q054 MO (Prüfung) Termin: 03.12.2015 (Prüfung) Zielgruppe: Tagungsort: Künftige und bereits

Mehr

Daten-Bearbeitungsreglement

Daten-Bearbeitungsreglement Daten-Bearbeitungsreglement 1. BESCHREIBUNG DES UNTERNEHMENS Krankenversicherung mit Tätigkeitsgebiet Deutschschweiz und den Geschäftsfeldern obligatorische Krankenpflegeversicherung und Krankengeldversicherung

Mehr

Konzernrichtlinie der TÜV AUSTRIA HOLDING AG. zum Thema. Beschwerdeverfahren

Konzernrichtlinie der TÜV AUSTRIA HOLDING AG. zum Thema. Beschwerdeverfahren Konzernrichtlinie der TÜV AUSTRIA HOLDING AG zum Thema Beschwerdeverfahren Erstellt in der Revision 00 von: Dipl.-Ing (FH) A. Dvorak am: 12.06.2007 Geprüft von: Dipl.-Ing (FH) A. Dvorak am: 13.06.2007

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

GESCHÄFTSORDNUNG FÜR DAS REGULATORY BOARD. Geschäftsordnung

GESCHÄFTSORDNUNG FÜR DAS REGULATORY BOARD. Geschäftsordnung GESCHÄFTSORDNUNG FÜR DAS REGULATORY BOARD Geschäftsordnung Zulassung von Effekten SIX Exchange Regulation 06/4 Geschäftsordnung Inhaltsverzeichnis. KONSTITUIERUNG.... Vizepräsident.... Ausschüsse....3

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Tübingen Berlin Köln Zagreb Fort Collins. Tübingen Berlin Köln Zagreb Fort Collins. ISO 9001 / Glossar

Tübingen Berlin Köln Zagreb Fort Collins. Tübingen Berlin Köln Zagreb Fort Collins. ISO 9001 / Glossar Audit Überprüfung, ob alle Forderungen der zu prüfenden Norm tatsächlich erfüllt werden und ob die ergriffenen Maßnahmen wirksam sind. Siehe auch Verfahrensaudit, Internes Audit und Zertifizierungsaudit.

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

Öffentlichen Versicherung Bremen, Bremen Landschaftlichen Brandkasse Hannover, Hannover Provinzial Lebensversicherung Hannover, Hannover

Öffentlichen Versicherung Bremen, Bremen Landschaftlichen Brandkasse Hannover, Hannover Provinzial Lebensversicherung Hannover, Hannover Bericht über die Prüfung der Angemessenheit des Compliance Management Systems der Öffentlichen Versicherung Bremen, Bremen Landschaftlichen Brandkasse Hannover, Hannover Provinzial Lebensversicherung Hannover,

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Anleitung zum Erstellen einer Weisung bzgl. Informationsverwaltung inkl. Aktenplan

Anleitung zum Erstellen einer Weisung bzgl. Informationsverwaltung inkl. Aktenplan Anleitung zum Erstellen einer Weisung bzgl. Informationsverwaltung inkl. Aktenplan Juli 2010 Staatsarchiv des Kantons Zürich Winterthurerstrasse 170 8057 Zürich Anleitung Erstellen einer Weisung Informationsverwaltung

Mehr