Vertraulich. Aktivitätenstatus. Followup State ( ) de :26

Transkript

1 2015 Vertraulich Aktivitätenstatus Followup State ( ) de :26

2 Vertraulich Inhalt 1. Prüfungsübersicht nach Status Prüfungsübersicht nach Prüfungstyp und Phase Feststellungsübersicht nach Prüfungstyp und Gewichtung Maßnahmen nach Fälligkeit und Feststellungsgewichtung Überfällige wesentliche Feststellungen Abgebrochene Prüfung Geplante Prüfungen Laufende Prüfung Maßnahmenplan beendeter Prüfungen... 7 Followup State ( ) de :26 Seite 2 von 15

3 Vertraulich 1. Prüfungsübersicht nach Status (!) (!) (!) Planung Vorbereitung Field Work Berichterstellung Legende: (!): Prüfung ist in Verzug Rot: Prüfung ist im Follow Up und mindestens eine Maßnahme einer Feststellung mit hoher Gewichtung is noch nicht geschlossen Gelb: Prüfung ist im Follow Up und mindestens eine Maßnahme einer Feststellung mit geringer Gewichtung ist noch nicht geschlossen Grün: Alle Maßnahmen einer beendeten Prüfung sind geschlossen Prüfungsübersicht nach Prüfungstyp und Phase Prüfungstyp Abgebrochen Planung Durchführung Follow Up Audit Risk Compliance Total Feststellungsübersicht nach Prüfungstyp und Gewichtung Prüfungstyp Feststellungsgewicht Unwesentlich Wesentlich Schwerwiegend Audit Risk Compliance Total Maßnahmen nach Fälligkeit und Feststellungsgewichtung Fälligkeit Feststellungsgewicht Unwesentlich Wesentlich Schwerwiegend Offen und fällig Offen und nicht fällig Beendet Followup State ( ) de :26 Seite 3 von 15

4 Vertraulich 5. Überfällige wesentliche Feststellungen * # Feststellung Prüfung Schwerwiegend Zugangsschutz Kundenportal Unzureichender Zugangsschutz beim Kundenportal im Intranet Lieferantenrechnungen nicht genehmigt Alle 25 Lieferantenrechnungen ( 2,981,075) vom Oktober bis Dezember 2010 wurden nicht genehmigt. Unrichtige Rechnungen könnten bezahlt werden Einkaufsvoraussetzungen zu Lieferantenrechnungen fehlen Bei 12 ( 1,470,000) von 25 der von Oktober bis Dezember 2010 überprüften Lieferantenrechnungen fehlen die Einkaufsvoraussetzungen. Unzureichende Bestellgenehmigung Offsite storage of backup media Backup media need to be stored in an offsite location. In case of a fire all data are destroyed including all backup medias Vendor invoices not approved All 25 vendor invoices (EUR 2,788,062) reviewed from January 2014 through March 2014 were not approved. Wesentlich Offen zugängliche Personalakte Eine Personalakte lag offen in einem vorübergehend nicht besetzten Büro. 03 Anonymisierung Krankheitsstatistik Eine Statistik zu Krankheitstagen wurde unzureichend anonymisiert Passwords are not changed on a regular basis The passwords in Lotus Notes are not changed on a regular basis. Inappropriate system access Proccess of masterfile change not documented Record the process for: * Making changes to masterfile data such as: name (mariage), address etc. * Updating salary increase information * Withholdings - anything withheld from salaries (taxes, healthcare, vluntary deductions etc.) Changes to employee masterfile information (addresses, names, SIN etc.) and salary information may be made without proper authorization Richtlinien sind veraltet Die Richtlinien für Mitarbeiter, die Zugang zu wesentlichen Insiderinformationen erhalten, genügen nicht den aktuellen Bafin-Anforderungen Reputation Risk Partner "Sample GmbH" has come to the monitoring scandal negatively in the headlines. Negative publicity would damage the good reputation of our products Insufficient Testing Products only release after intensive system testing. *Tage bis Fälligkeit Followup State ( ) de :26 Seite 4 von 15

5 Vertraulich 6. Abgebrochene Prüfung Prüfung: Produktentwicklung Prüffeld: LE.DE.MUC München Prüfungsstatus: Abgebrochen Prüfungstyp: Audit Prüfungsart: Nach Plan Zeitraum: bis Prüfungsleiter: Herbert Manager Aufwand (geplant): 30 Prüfungsziel: Ziel dieser Prüfung... Prüfungsumfang: Inhalt dieser Prüfung... Abbruchgrund: Dringende Ad-Hoc Prüfung Kapitel: Products 7. Geplante Prüfungen Prüfung: Überprüfung der Vorstandsgehälter Vertraulich Prüffeld: LE.DE Deutschland Prüfungsstatus: Planung Prüfungstyp: Audit Prüfungsart: Nach Plan Zeitraum: bis Prüfungsleiter: Urs Reichmuth Aufwand (geplant): 30 Prüfungsumfang: Verhältnismäßigkeit der Vorstandsbezüge überprüfen. Prüfung: Controlling Prüffeld: HQ.001 Finance Prüfungsstatus: Planung Prüfungstyp: Audit Prüfungsart: Nach Plan Zeitraum: bis Prüfungsleiter: Herbert Manager Aufwand (geplant): 40 Prüfungsziel: Objective of this audit... Prüfungsumfang: Scope of this audit... Kapitel: Treasury and Investments Commercial Credit Followup State ( ) de :26 Seite 5 von 15

6 Vertraulich Prüfung: Procure to pay Prüffeld: LE.US United States Prüfungsstatus: Planung Prüfungstyp: Audit Prüfungsart: Nach Plan Zeitraum: bis Prüfungsleiter: Herbert Manager Aufwand (geplant): 40 Prüfungsziel: Objective of this audit... Prüfungsumfang: Scope of this... Kapitel: Procure to Pay Prüfung: Application Controls Prüffeld: Ext.IT IT-Service Provider Prüfungsstatus: Planung Prüfungstyp: Audit Prüfungsart: Nach Plan Zeitraum: bis Prüfungsleiter: Urs Reichmuth Aufwand (geplant): 30 Kapitel: Application Controls Backup and Recovery Change Control Logical Security Problem Management System Documentation System Support Prüfung: Self Assessment Prüffeld: LE.FR France Prüfungsstatus: Planung Prüfungstyp: Risk Prüfungsart: Nach Plan Zeitraum: bis Prüfungsleiter: Herbert Manager Aufwand (geplant): Laufende Prüfung Prüfung: Shared Services Prüffeld: HQ.002 Shared Services Prüfungsstatus: Berichterstellung Prüfungstyp: Compliance Prüfungsart: Nachprüfung Zeitraum: bis Prüfungsleiter: Elke Mustermann Aufwand (geplant): 10 Prüfungsumfang: Follow up on previous findings. Kapitel: HR HR Management HR Employeers Followup State ( ) de :26 Seite 6 von 15

7 9. Maßnahmenplan beendeter Prüfungen Prüfung: Cash (Pflichtprüfung) Für diese Prüfung sind keine Feststellungen vorhanden. Prüfungsergebnis: Sehr gut Prüfung: IT-Security Prüfungsergebnis: Befriedigend Offene Maßnahme Kapitel: Application Information Security Stellungsnahmen Geschlossene Maßnahme Passwords are not changed on a regular basis The passwords in Lotus Notes are not changed on a regular basis. Inappropriate system access. Feststellungsgewicht: Wesentlich Password changes IT Manager / / -500 Change the settings of Lotus Notes that passwords are forced to be changed every 60 days to be in line with corporate IT policies Postpone Due Date Old due date was: Answer of the responsible Need more time Friendly reminder to the responsible Kapitel: Application Information Security Enddatum / Maßnahmenstatus Feststellung 02 Qualification of security experts out of date Feststellungsgewicht: Unwesentlich Maßnahme Education of IT-security experts / Geschlossen Followup State ( ) de :26 Seite 7 von 15

8 Prüfung: Finance Prüfungsergebnis: Befriedigend Geschlossene Maßnahmen Kapitel: Accounts Receivable Enddatum / Maßnahmenstatus Sales discounts Feststellungsgewicht: Wesentlich Kapitel: Claims Compliance Review Check reason for sales discount / Geschlossen Management accepts risks. Feststellung 02 Claims are not compliant Feststellungsgewicht: Wesentlich Maßnahme Claims are not compliant with Purchasing T&C / Geschlossen Followup State ( ) de :26 Seite 8 von 15

9 Prüfung: Procure to Pay Prüfungsergebnis: Ungenügend Offene Maßnahme Kapitel: Procure to Pay Feststellung 03 Maßnahme Stellungnahme Geschlossene Maßnahmen Kapitel: Procure to Pay Allowable discount not taken Seven of 25 vendor invoices reviewed did not take advantage of the vendor discount. Loss of discount taken for the vendor payments. Feststellungsgewicht: Unwesentlich Take allowable discounts Purchasing / / -927 Allowable discounts should be taken where appropriate and timely payments should be made to the vendor 'Responsible' changed from '' to 'Purchasing' No Responsible was assigned. Enddatum / Maßnahmenstatus Purchase requisitions not on file for a vendor invoice Feststellungsgewicht: Schwerwiegend Purchase requisitions need to be obtained / Geschlossen Feststellung 02 Vendor invoices not approved Feststellungsgewicht: Schwerwiegend Maßnahme Invoices require approval / Geschlossen Followup State ( ) de :26 Seite 9 von 15

10 Prüfung: Datenschutz Prüfungsergebnis: Ungenügend Offene Maßnahmen Kapitel: Data Privacy Feststellung 02 Maßnahme Feststellung 03 Maßnahme Zugangsschutz Kundenportal Unzureichender Zugangsschutz beim Kundenportal im Intranet Feststellungsgewicht: Schwerwiegend Zugangsschutz verbessern IT Manager / / Zugangsschutz zum Kundenportal verbessern. Offen zugängliche Personalakte Eine Personalakte lag offen in einem vorübergehend nicht besetzten Büro. Feststellungsgewicht: Wesentlich Belehrung des Mitarbeiters Manager / / Eingehende Belehrung des verantwortlichen Mitarbeiters. Anonymisierung Krankheitsstatistik Eine Statistik zu Krankheitstagen wurde unzureichend anonymisiert. Feststellungsgewicht: Wesentlich Statistikerstellungsprozess bearbeiten Manager / / Prozess bei Erstellung von Statistiken zu Fehltagen von Mitarbeitern grundlegend bearbeiten. Prüfung: Physical Security Prüfungsergebnis: Gut Geschlossene Maßnahmen Kapitel: Physical Security Enddatum / Maßnahmenstatus Some employees were seen without photo ID's Feststellungsgewicht: Unwesentlich Employees must follow the rules Kapitel: Physical Location, Access and Keys / Geschlossen Management accepts Risk Feststellung 02 Password changes Feststellungsgewicht: Wesentlich Maßnahme Password changes / Geschlossen Followup State ( ) de :26 Seite 10 von 15

11 Prüfung: Application Controls Prüfungsergebnis: Befriedigend Offene Maßnahme Kapitel: Backup and Recovery Offsite storage of backup media Backup media need to be stored in an offsite location. In case of a fire all data are destroyed including all backup medias. Feststellungsgewicht: Schwerwiegend Offsite backup media storage IT Manager / / -619 Backup media need to be stored on a offsite location on a regular basis. Prüfung: Finance Prüfungsergebnis: Gut Offene Maßnahme Kapitel: Payroll Proccess of masterfile change not documented Feststellungsgewicht: Wesentlich Record the process for: * Making changes to masterfile data such as: name (mariage), address etc. * Updating salary increase information * Withholdings - anything withheld from salaries (taxes, healthcare, vluntary deductions etc.) Changes to employee masterfile information (addresses, names, SIN etc.) and salary information may be made without proper authorization. Masterfile changes Payroll Manager / / -409 Document the process of masterfile changes. Followup State ( ) de :26 Seite 11 von 15

12 Prüfung: Data Privacy Prüfungsergebnis: Ungenügend Geschlossene Maßnahmen Kapitel: Data Privacy Enddatum / Maßnahmenstatus Access Control Customer Portal Feststellungsgewicht: Schwerwiegend Access control improvement / Geschlossen Feststellung 02 Openly accessable personnel file Feststellungsgewicht: Wesentlich Maßnahme Do not leave any personnel files unattended / Geschlossen Feststellung 03 Ananymous absence statistic Feststellungsgewicht: Wesentlich Maßnahme Follow data protection requirements / Geschlossen Followup State ( ) de :26 Seite 12 von 15

13 Prüfung: Beschaffen und Bezahlung Prüfungsergebnis: Ungenügend Offene Maßnahmen Kapitel: Procure to Pay Stellungnahme Feststellung 02 Maßnahme Feststellung 03 Maßnahme Einkaufsvoraussetzungen zu Lieferantenrechnungen fehlen Bei 12 ( 1,470,000) von 25 der von Oktober bis Dezember 2010 überprüften Lieferantenrechnungen fehlen die Einkaufsvoraussetzungen. Unzureichende Bestellgenehmigung Feststellungsgewicht: Schwerwiegend Einkaufsvoraussetzungen müssen befolgt werden Einkauf / / -682 Einkaufsvoraussetzungen müssen vor der Bezahlung der Lieferantenrechnungen erfüllt sein Telefonat Einkaufsvoraussetzungen seien in Überarbeitung. Geprüfte(r): Jonny Walker Lieferantenrechnungen nicht genehmigt Alle 25 Lieferantenrechnungen ( 2,981,075) vom Oktober bis Dezember 2010 wurden nicht genehmigt. Unrichtige Rechnungen könnten bezahlt werden. Feststellungsgewicht: Schwerwiegend Rechnungen benötigen Genehmigung Einkauf / / -745 Zahlung von Lieferantenrechnungen setzt die Genehmigung des Kostenverantwortlichen voraus. Rabatte nicht abgezogen Bei 7 von 25 überprüften Lieferantenrechnungen wurden die Rabatte nicht abgezogen. Unnötige Verluste entstehen. Feststellungsgewicht: Unwesentlich Gewährte Rabatte abziehen Einkauf / / -619 Richtige und zeitliche Zahlungen sollten an die Lieferanten erfolgen, damit von den gewährten Rabatten profitiert werden kann. Followup State ( ) de :26 Seite 13 von 15

14 Prüfung: Compliance Prüfungsergebnis: Gut Geschlossene Maßnahme Kapitel: HR Management Enddatum / Maßnahmenstatus Compliance officer Feststellungsgewicht: Schwerwiegend Assign a compliance officer / Geschlossen Prüfung: Cash (Pflichtprüfung) Für diese Prüfung sind keine Feststellungen vorhanden. Prüfungsergebnis: Sehr gut Prüfung: Application Information Security Für diese Prüfung sind keine Feststellungen vorhanden. Prüfungsergebnis: Sehr gut Prüfung: Payments Prüfungsergebnis: Ungenügend Offene Maßnahme Kapitel: Payments Vendor invoices not approved All 25 vendor invoices (EUR 2,788,062) reviewed from January 2014 through March 2014 were not approved. Feststellungsgewicht: Schwerwiegend All vendor invoices need Manager approval Manager / / -136 Vendor invoices require management approval prior to payment. Followup State ( ) de :26 Seite 14 von 15

15 Prüfung: Sales Support Prüfungsergebnis: Befriedigend Offene Maßnahmen Kapitel: Partners Kapitel: Products Feststellung 02 Maßnahme Reputation Risk Partner "Sample GmbH" has come to the monitoring scandal negatively in the headlines. Negative publicity would damage the good reputation of our products. Feststellungsgewicht: Wesentlich Demarcation Partner Manager / / -164 Watch headlines and respond if necessary. Insufficient Testing Products only release after intensive system testing. Feststellungsgewicht: Wesentlich Extensive Testing Software Development / / -45 Increase time of testing before releasing Software. Prüfung: Insiderhandel Prüfungsergebnis: Befriedigend Offene Maßnahme Kapitel: Insider Trading Richtlinien sind veraltet Feststellungsgewicht: Wesentlich Die Richtlinien für Mitarbeiter, die Zugang zu wesentlichen Insiderinformationen erhalten, genügen nicht den aktuellen Bafin-Anforderungen. Richtlinien überarbeiten Vorstand / / -220 Bestehende Richtlinien überarbeiten, damit die Bafin-Voraussetzungen erfüllt werden. Prüfung: ISO-9001 Prüfung Für diese Prüfung sind keine Feststellungen vorhanden. Prüfungsergebnis: Sehr gut Followup State ( ) de :26 Seite 15 von 15