Prüfpunkte IKSE: Unternehmensweite Kontrollen & IKS Framework

Transkript

1 Versicherungsunternehmen Zulassungstyp Prüfgesellschaft Leitender Berichtsjahr 2015 Version Vorlage FINMA Geschäftsbereich Versicherungen Seite 1 von 1 Basisprüfung_Prüfpunkte IKSE_Roll Out Version für GJ 2015_final.xlsx / Übersicht / 09:12

2 Prüfpunkte IKSE: Unternehmensweite Kontrollen & IKS Framework Übersicht Prüffelder 1 A B C 2 D 3 E 4 F G H I 5 J K 6 L 7 M N Prüfpunkte - Unternehmensweite Kontrollen Interne Vorgaben Überprüfung der Einhaltung von internen Vorgaben Umgang mit Interessenkonflikten Bekämpfung von internen betrügerischen Handlungen Unternehmensstruktur Organisation Verwaltungsrat und Geschäftsleitung Verantwortung in Bezug auf das IKS und Beschlussfassung IT Organisation Organisation Systemsicherheit und Datenmanagement Zugriffskontrollen Monitoring Aktivitäten Prüfpunkte - IKS Framework Basis des IKS Framework Dokumentation und Steuerung des IKS Kontrolldefizite / Kontrollschwächen / Kontrollübersteuerungen Information / Kommunikation / Reporting Information / Kommunikation / Reporting Monitoring Aktivitäten Fortlaufende Überwachung des Vorhandensein und der Wirksamkeit des IKS Unabhängige Überwachungsmechanismen des IKS 1 8 X Y Z Zusätzliche Informationen Abstützung auf Arbeiten der Internen Revision Sachverhalt für Abstützung Prüffelder / Prüfpunkte in Bezug auf Qualität und Aussagekraft Allgemeine en Die von der FINMA publizierten und an die Prüfgesellschaften verschickten Prfüpunkte sind Bestandteil der Aufsichtsprüfung bei Versicherungsunternehmen gemäss den Anhängen 10 (Standardprüfstrategie Versicherungsunternehmen) und 11 (Standardprüfstrategie Versicherungen Gruppen und Konglomerate) des FINMA-RS 13/3 Prüfwesen". Die jeweils pro Berichtsjahr publizierten und verschickten Versionen enthalten Prüfpunkte, die im Zusammenhang mit den vorgesehenen Prüffeldern grundsätzlich zu prüfen sind. Diese Einleitung zu den jeweiligen Prüfpunkten befindet sich jedoch nur in den an die Prüfgesellschaften verschickten Arbeitsversionen. Im technischen Verlauf der Prüfpunkte kann es vorkommen, dass einzelne Prüfpunkte aufgrund der Logik nicht bearbeitet werden müssen oder anders zusammengefasst werden. Weitere Instruktionen dazu befinden sich in den en zu den Prüfpunkten IKS, siehe Ziffer Technische Bearbeitung der Prüfpunkte Die Beantwortung der einzelnen Prüfpunkte erfolgt mittels Excel-Files, welche den Prüfgesellschaften durch die FINMA zur Verfügung gestellt werden. Prüffelder und Prüfpunkte Die Prüfung ist modular aufgebaut. Für inhaltliche Teilgebiete resp. Prüffelder werden Prüfpunkte formuliert. Grundsätzlich muss für jedes Unternehmen bzw. jeden Konzern jedes Prüffeld geprüft werden. Innerhalb der Prüffelder muss jeder Prüfpunkt geprüft und beantwortet werden. Die mit einem Stern (*) gekennzeichneten Prüfpunkte sind vom jeweils mit der Antwort trifft zu oder trifft nicht zu zu beantworten. Pro Prüfpunkt hat der in der Spalte G eine Beschreibung der beim Versicherungsunternehmen in Anwendung befindlichen Praxis zu formulieren, um den Prüfpunkt zu erfüllen. FINMA Geschäftsbereich Versicherungen Seite 1 von 3 Basisprüfung_Prüfpunkte IKSE_Roll Out Version für GJ 2015_final.xlsx / 1 Inhalt und Einleitung / 09:12

3 1.3 (FINMA-RS 13/3, Rz 32 bis 34) Die anwendbare Prüfung oder kritische Durchsicht wird in der Standardprüfstrategie für jedes Prüfgebiet generisch festgelegt (Anhänge 10 und 11 des FINMA-RS 13/3 Prüfwesen"). Die pro einzelnem Prüfpunkt ist in der jeweiligen Spalte ( - Indikation FINMA) dieses Prüfprogrammes indiziert. Weitere Informationen siehe Punkt Referenzen in einzelnen Prüfpunkten Die Prüfpunkte IKSE basieren auf. 27 Abs. 1 VAG und den weiterführenden Erlassen wie Rundschreiben sowie Wegleitungen. Die verwendeten gesetzlichen Grundlagen sind im Anhang 1 der Wegleitung zum Prüfwesen Versicherungen entsprechend aufgeführt. 1.5 und Beantwortung der Prüfpunkte Der führt zu jedem Prüfpunkt die zur korrekten Beantwortung erforderlichen Prüfungshandlungen durch und dokumentiert diese gemäss den Rz des FINMA-RS 13/3 Prüfwesen". Falls der einen Prüfpunkt nicht prüfen kann, ist Trifft nicht zu anzukreuzen und eine aussagekräftige Begründung abzugeben. Sofern nicht gleichzeitig eine Verletzung aufsichtsrechtlicher Vorschriften vorliegt, muss in solchen Fällen keine / abgegeben werden. 1.6 en und en (FINMA-PV. 11.) Stellt der im Rahmen seiner Prüfung oder kritischen bei einem Prüfpunkt eine Verletzung aufsichtsrechtlicher Vorschriften fest, so ist im entsprechenden Textfeld eine klare und für eine Drittperson nachvollziehbare Erläuterung des Sachverhalts anzugeben. Zudem ist in der entsprechenden Spalte () anzugeben, dass es sich um eine handelt. en sind in die Berichterstattung zur aufsichtsrechtlichen Prüfung aufzunehmen. Stellt der im Rahmen seiner Prüfung oder kritischen bei einem Prüfpunkt eine Schwachstelle oder kritische Anzeichen fest, die sich auf die künftige Einhaltung von aufsichtsrechtlichen Bestimmungen auswirken könnten, so ist nebst einer klaren und für eine Drittperson nachvollziehbaren Erläuterung des Sachverhalts auch festzuhalten, ob dieser Prüfpunkt in der Berichterstattung zur Aufsichtsprüfung zu einer führt. Weitere, zusätzliche Informationen welche im Verlauf der Prüfungshandlungen entdeckt werden und für das entsprechende Prüfgebiet von Relevanz sein könnten, sollten als en gekennzeichnet werden. 1.7 Berichterstattung Die Prüfpunkte gemäss der Standardprüfstrategie für Versicherungsunternehmen bzw. Versicherungsgruppen und -konglomerate bilden einen integralen Bestandteil der Berichterstattung zur Aufsichtsprüfung. Prüfpunkte, die zu einer oder geführt haben, sind in der Berichterstattung in Kapitel 4 pro Prüfgebiet einzeln aufzuführen. In Kapitel 6 geben die leitenden zudem eine Gesamtbeurteilung zu den jeweiligen Prüfgebieten ab. Sollten sich zwischen der Einreichung dieser Prüfpunkte IKSE (jeweils per Ende Dezember) und der Einreichung der Berichterstattung zur Aufsichtsprüfung materielle Änderungen ergeben, welche sich auf das im Rahmen der Prüfpunkte abgegebene Prüfurteil positiv oder negativ auswirken, sind in der Berichterstattung ebenfalls in Kapitel 6 anzugeben. Details dazu befinden sich in der Wegleitung Versicherungen zum FINMA-RS 2013/3. 2 en zu den Prüfpunkten IKSE - Unternehmensweite Kontrollen & IKS Framework 2.1 Ziel Mit den vorliegenden Prüfpunkten werden die beauftragt, die Einhaltung der aufsichtsrechtlichen Anforderungen an das IKS durch die Versicherungsunternehmen, Gruppen und Konglomerate zu überprüfen. Die formulierten Prüfpunkte decken die Organisation und die Kontrollmechanismen auf Unternehmensebene (unternehmensweite Kontrollen), den Umgang mit Daten und die IT Organisation, sowie die Aufbau- und Ablauforganisation des IKS (IKS Framework) ab. FINMA Geschäftsbereich Versicherungen Seite 2 von 3 Basisprüfung_Prüfpunkte IKSE_Roll Out Version für GJ 2015_final.xlsx / 1 Inhalt und Einleitung / 09:12

4 2.2 Erläuterungen zu verwendeten Begriffen Die in den Prüfpunkten verwendeten Begriffe für Organe (z.b. Verwaltungsrat, Geschäftsleitung) gelten sinngemäss auch für andere Rechtsformen wie z.b. bei Stifungen den Stiftungsrat, Niederlassungen den Handlungsbevollmächtigten, etc. Weitere Begriffe werden bei Bedarf in der Wegleitung zum Prüfwesen platziert. 2.3 Geltungsbereich Die Prüfpunkte sind gemäss dem Geltungsbereich C, Rz 3 des FINMA Rundschreiben 08/32 umzusetzen. Hinweis zum Prüfscope pro Zulassungstyp / Rechtsform: Zulassungstyp / Rechtsform Versicherungsgruppen Versicherungskonglomerate Schweizerische Versicherungsunternehmen (Sitzland Schweiz) Geltungsbereich Organe, Strukturen und Prozesse, welche für die Führung, Steuerung, Überwachung und Kontrolle notwendig sind Alle Organe, Strukturen und Prozesse Versicherungsunternehmen mit Sitz in der Schweiz, die Teil einer ausländischen Versicherungsgruppe sind Schweizerische Zweigniederlassung von Versicherungsunternehmen mit Sitz im Ausland Rückversicherungs-Captives 2.4 Sonstige Hinweise In der Schweiz vorhandene Organe, Strukturen und Prozesse (inkl. Beziehung Tochtergesellschaft zu Muttergesellschaft) In der Schweiz vorhandene Organe, Strukturen und Prozesse (Gilt voerst für alle Versicherungsunternehmen der Aufsichtskategorie 2, 3 und 4) In der Schweiz vorhandene Organe, Strukturen und Prozesse (Gilt voerst für alle Versicherungsunternehmen der Aufsichtskategorie 2, 3 und 4) Hinweis zur Anwendung bei Krankenkassen: Bei Krankenkassen unter der institutionellen Aufsicht des Bundesamtes für Gesundheit, sind die Prüfpunkte IKSE nicht anwendbar. : Die zur Anwendung kommende ist pro Prüfpunkt angezeigt. Hierzu steht dem eine separate Spalte " - Indikation " zur Verfügung. Grundsätzlich gilt die von der FINMA pro Prüfpunkt vorgegebene. Sollte der jedoch für gewisse Prüfpunkte die von "kritische " auf "Prüfung" ändern wollen, ist dies beim betreffenden Prüfpunkt im Kommentarfeld zu begründen. Eine Reduzierung der von der FINMA vorgegebenen (von "Prüfung" auf "kritische ") ist nicht zulässig. Prüfvorgehen: Das von der Prüfgesellschaft gewählte Prüfvorgehen ist im Bericht zur aufsichtsrechtlichen Prüfung unter Punkt 5.2 zu beschreiben. FINMA Geschäftsbereich Versicherungen Seite 3 von 3 Basisprüfung_Prüfpunkte IKSE_Roll Out Version für GJ 2015_final.xlsx / 1 Inhalt und Einleitung / 09:12

5 Prüfpunkte - Unternehmensweite Kontrollen 1 Interne Vorgaben Antwortbereich A Überprüfung der Einhaltung von internen Vorgaben Indikation FINMA Indikation der Angemessenheit / / A 1 Mechanismen implementiert, um die Einhaltung von internen Prinzipien, Verhaltensweisen und Richtlinien zu überprüfen. - Stichwortartige Beschreibung des Sachverhalt - Maximal 1700 Zeichen (Maximum pro Zelle) Maximal 1700 Zeichen (Maximum pro Zelle) A 2 Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat unterhält ein geeignetes Melde- und Sanktionswesen, welches bei Verstössen gegen die internen Prinzipien, Verhaltensweisen sowie Richtlinien angewendet wird. Je nach Schweregrad des Verstosses wird die Geschäftsleitung und/oder der Verwaltungsrat informiert. B Umgang mit Interessenkonflikten Indikation FINMA Indikation der Angemessenheit / / B 1 Vorschriften zur Vermeidung und zum Umgang mit Interessenkonflikten erlassen. Die Vorschriften decken unternehmensinterne sowie externe Interessenkonflikte ab. B 2 Die Vorschriften zur Vermeidung und zum Umgang mit Interessenkonflikten gelten für alle Mitarbeitenden des Versicherungsunternehmen, Versicherungsgruppe / -konglomerat inklusive der Mitglieder des Verwaltungsrates und der Geschäftsleitung. B 3 Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat überprüft die Einhaltung der erlassenen Vorschriften zur Vermeidung und zum Umgang mit Interessenkonflikten. C Bekämpfung von internen betrügerischen Handlungen Indikation FINMA Indikation C 1 Vorschriften zur Bekämpfung von internen betrügerischen Handlungen erlassen. der Angemessenheit / / C 2 Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat überprüft die Einhaltung der erlassenen Vorschriften zur Bekämpfung von internen betrügerischen Handlungen.

6 2 Unternehmensstruktur Antwortbereich D Organisation Indikation FINMA Indikation Die Organisation des Versicherungsunternehmen, Versicherungsgruppe / - konglomerats ist definiert, aktuell und für einen fachkundigen, unabhängigen Dritten nachvollziehbar dokumentiert. der Angemessenheit / / D 1 Die Dokumentation der Organisation deckt die Verwaltungs- sowie die Betriebsorganisation des gesamten Versicherungsunternehmen, Versicherungsgruppe / -konglomerat ab, enthält eine nachvollziehbare Beschreibung der unternehmensweiten Entscheid- und Berichtslinien und bezeichnet mindestens die Organe welche für - die Oberleitung - die Aufsicht - die Kontrolle - die Geschäftsführung zuständig sind und beschreibt deren Verantwortlichkeiten, Kompetenzen und Rechenschaftspflichten. D 2 Die gemäss Prüfpunkt D1 definierten Organe sind so organisiert, dass eine der Grösse, Komplexität und dem Risikoprofil entsprechend angemessene Funktionentrennung vorhanden ist. D 3 D 4 D 5 Die Aufsichtspflichten des Verwaltungsrates in Bezug auf das IKS sind schriftlich festgehalten und dem Verwaltungsrat bekannt. Der Verwaltungsrat hat seine Strategie und die Ziele für das IKS für einen fachkundigen, unabhängigen Dritten nachvollziehbar festgehalten und kommuniziert diese unternehmensweit. Das Weisungswesen (Weisungen, Vorschriften, Reglemente) des Versicherungsunternehmen, Versicherungsgruppe / -konglomerat reflektiert die aktuelle, unternehmensspezifische Situation. Die Überprüfung und Aktualisierung des Weisungswesen ist nachvollziehbar dokumentiert. 3 Verwaltungsrat und Geschäftsleitung Antwortbereich E Verantwortung in Bezug auf das IKS und Beschlussfassung Indikation FINMA Indikation E 1 Der Verwaltungsrat setzt im Kontext zur Grösse, Komplexität und Risikoprofil des Unternehmens geeignete Hilfsmittel ein, um seine Verantwortung in Bezug auf die Ausgestaltung, Steuerung und Überwachung des Internen Kontrollsystems wahrzunehmen. der Angemessenheit / / E 2 Das Protokoll der Verwaltungsrats- und der Geschäftsleitungssitzungen (sowie der allfällig vorhandenen Ausschüsse dieser Organe) ist so aufgebaut, dass: - die Überprüfung des ordnungsgemässen Zustandekommens von Beschlüssen möglich ist - die Diskussionen zusammenfassend und summarisch enthalten sind - alle gestellten bzw. behandelten Anträge, Voten und Protokollerklärungen einzelner Mitglieder (z.b. bei ausdrücklichem Widerspruch gegen einzelne Beschlüsse) ersichtlich sind - Abstimmresultate und Wahlergebnisse enthalten sind.

7 4 IT Organisation Antwortbereich F Organisation Indikation FINMA Indikation der Angemessenheit / / F 1 über ein aktuelles Organigramm der IT Organisation. F 2 F 3 F 4 Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerats hat Prozesse implementiert, welche die Einhaltung der gesetzlichen Anforderungen an die IT überprüfen. Abweichungen werden untersucht und mitigierende Massnahmen umgesetzt. Anforderungen an die IT (nicht abschliessend): Beispielsweise die Informationssicherheit und Verfügbarkeit, die Datenaufbewahrung (Record Retention - Records Management), die Dokumentation, Nachweisbarkeit / Prüfbarkeit / Revisionsfähigkeit von Geschäftsvorgängen, Datenschutz, rechtskonforme Nutzung der IT Infrastruktur (z.b. Softwareschutz) sowie die elektronischen Abwicklung von Geschäftsvorgängen. Die für den Betrieb einer IT Organisation notwendigen Rollen, Aufgaben, Verantwortlichkeiten und Kompetenzen sind definiert, dokumentiert und den Mitarbeitern bekannt. Die gemäss Prüfpunkt F3 formulierten Rollen, Aufgaben, Verantwortlichkeiten und Kompetenzen sind so definiert, dass eine angemessene Funktionentrennung gegeben ist, welche der Grösse, Komplexität und dem Risikoprofil des Versicherungsunternehmen, Versicherungsgruppe / - konglomerat gerecht wird. F 5 über eine aktuelle, für eine fachkundige Drittperson nachvollziehbare, Dokumentation aller gemäss Prüfpunkt J4 identifizierten IT Schlüsselprozesse und IT-Schlüsselkontrollen. Die Schlüssel-Systeme und deren Daten sind verantwortlichen Personen zugeordnet. G Systemsicherheit und Datenmanagement Indikation FINMA Indikation der Angemessenheit / / G 1 Die IT Organisation hat Richtlinien zur Inventarisierung und Klassifizierung von kritischen Daten und Systemen erlassen und überprüft deren Einhaltung. G 2 G 3 G 4 Mechanismen implementiert, welche die Handhabung, Verteilung und Speicherung von sensiblen / besonders schützenswerten Daten regeln. Aufbewahrungsfristen für Dokumente, Daten, Programme, Berichte sowie eingehende und ausgehende Nachrichten sind nach schweizerischem Recht definiert. Die Einhaltung der Aufbewahrungsfristen wird sichergestellt. Alle als relevant eingestuften, durch den Endbenutzer entwickelten oder veränderbaren Programme/Tools, sind für die gemäss Prüfpunkt J4 identifizierten Prozesse inventarisiert und dokumentiert. Die Integrität der Datenverarbeitung der einzelnen gemäss diesem Prüfpunkt identifizierten Programme/Tools wird regelmässig überprüft.

8 H Zugriffskontrollen Indikation FINMA Indikation der Angemessenheit / / H 1 Es existieren Verfahren, um Benutzer welche auf Schlüssel-Systeme zugreifen ausreichend zu authentifizieren und um unberechtigte Zugriffe abzuwehren. H 2 H 3 Mechanismen implementiert um die Konfigurierung der Zugriffsberechtigungen auf Anwendungs-Software und Datenspeichersysteme zu überprüfen, so dass der einzelne Nutzer nur auf jene Informationen Zugriff hat, welche für die Wahrnehmung seiner Aufgaben erforderlich sind (need-to-know Prinzip). Die Zugriffsrechte auf Schlüssel-Systeme werden in regelmässigen Abständen auf deren Gültigkeit und Richtigkeit hin überprüft. H 4 Der Zugang zum Rechenzentrum/Rechenzentren ist auf autorisiertes Personal beschränkt und erfordert eine geeignete Identifizierung und Authentifizierung. I Monitoring Aktivitäten Indikation FINMA Indikation der Angemessenheit / / I 1 Die IT-Organisation des Versicherungsunternehmen, Versicherungsgruppe / - konglomerat hat Mechanismen implementiert, um die Wirksamkeit der IT- Schlüsselkontrollen fortlaufend zu überwachen. I 2 über Prozesse zur Sicherstellung eines ordnungsgemässen Betriebs der IT Infrastruktur und Applikationen. Defizite / Schwächen in IT-Schlüsselkontrollen werden zeitgerecht addressiert, analysiert, mitigiert und an die relevanten Stellen rapportiert.

9 Prüfpunkte - IKS FRAMEWORK 5 Basis des IKS Framework Antwortbereich J Dokumentation und Steuerung des IKS Indikation FINMA Indikation der Angemessenheit / / J 1 über eine Dokumentation welche den Aufbau sowie die Umsetzung des IKS darlegt. Die Dokumentation umfasst insbesondere - die IKS Organisation - die notwendigen Aufgaben, Kompetenzen und Verantwortlichkeiten welche für den Betrieb und Unterhalt des IKS notwendig sind - die Anforderungen an das IKS (inkl. Definition von Schlüsselkontrollen) - die Darstellung der vorhandenen Kontrollmechansimen - sowie die internen Richtlinien zum IKS. Prüfung J 2 J 3 J 4 Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat überprüft periodisch (mindestens jährlich) auf Grundlage der Grösse, Komplexität, des aktuellen Risikoprofils sowie aufgrund der aufsichtsrechtlichen Vorgaben (VAG, AVO, FINMA-Rundschreiben) die Vollständigkeit des Anwendungsbereiches des IKS (Scope). Die Überprüfung wird durch den Verwaltungsrat abgenommen. über eine Funktion, welche für die unternehmensweite Koordination des IKS verantwortlich ist. über klar definierte Vorgaben, um Prozesse und Kontrollen welche aufgrund der periodischen Überprüfung gemäss Prüfpunkt J2 als relevant eingestuft wurden zu dokumentieren. Die Dokumentationsvorgaben sind so konzipiert, dass sie für eine fachkundige, unabhängige Drittpartei nachvollziehbar sind. Prüfung J 5 J 6 J 7 J 8 Die gemäss Prüfpunkt J1 verantwortlichen Personen geben periodisch (mindestens jährlich) eine Einschätzung zur Wirksamkeit der ihnen zugeordneten Schlüssel-Kontrollen ab. einen Prozess etabliert welcher die Validierung der gemäss Prüfpunkt J5 vorgenommenen Einschätzung durch eine unabhängige Funktion gewährleistet. Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat stellt sicher, dass die Mitarbeitenden stufengerecht hinsichtlich ihrer Aufgaben und Verantwortlichkeiten im Zusammenhang mit dem IKS informiert sind. Das Versicherungsunternehmen, Versicherungsgruppe / -konglomerat verwendet eine auf die Grösse, Komplexität sowie dem Risikoprofil des Unternehmens angepasste IT Lösung um das IKS unternehmensweit zu steuern und zu überwachen.

10 K Kontrolldefizite / Kontrollschwächen / Kontrollübersteuerungen Indikation FINMA Indikation der Angemessenheit / / K 1 über eine nachvollziehbare Definition von Kontrolldefiziten / -schwächen sowie Kontrollübersteuerungen durch das Management. K 2 über ein klar formuliertes Vorgehen, welches bei Auftreten von Kontrolldefiziten / Kontrollschwächen sowie bei Kontrollübersteuerungen durch das Management zur Anwendung kommt. K 3 Der Verwaltungsrat respektive die Geschäftsleitung werden je nach Schweregrad der festgestellten Kontrolldefiziten / -schwächen in Kenntnis gesetzt. Kontrollübersteuerungen durch das Management werden in jedem Fall dem Verwaltungsrat zur Kenntnis gebracht. K 4 Die Umsetzung von Massnahmen zur Behebung von festgestellten, materiellen Kontrolldefiziten / Kontrollschwächen respektive Kontrollübersteuerungen wird von einer unabhängigen Funktion überwacht. Der Verwaltungsrat wird darüber in Kenntnis gesetzt. 6 Information / Kommunikation / Reporting Antwortbereich L Information / Kommunikation / Reporting Indikation FINMA Indikation der Angemessenheit / / L 1 Die für die Steuerung und Überwachung eines wirksamen IKS erforderlichen Informationen betreffend den Zustand der Schlüsselprozesse und kontrollen (z.b. Design und operating Effectiveness, identifizierte Fehler in den Kontrollen, Verbesserungsmassnahmen, etc.) sind identifiziert und vorhanden. Die Informationen stehen den für den jeweiligen Bereich verantwortlichen Personen/Gremien zeitnah zur Verfügung. L 2 Der Verwaltungsrat sowie die Geschäftsleitung erhalten periodisch eine Berichterstattung zum IKS. Anhand der Berichterstattung wird überprüft, ob das IKS wie vom Verwaltungsrat beabsichtigt implementiert ist, funktioniert und den rechtlichen Vorgaben entspricht. (Mögliche Informationen sind z.b. der Zustand des Kontrollumfeld / Schwächen in den Kontrollaktivitäten / Umfang des IKS / Ergebnissen aus Überprüfungen des IKS / Nicht eingehaltene Limiten / Erlittenen Verlusten infolge von Defiziten/Schwächen im IKS / Verbesserungsmassnahmen) Hinweis: Der ist angehalten, die in der Berichterstattung vorhandenen Themen aufzulisten.

11 7 Monitoring Aktivitäten Antwortbereich M Fortlaufende Überwachung des Vorhandensein und der Wirksamkeit des IKS Indikation FINMA Indikation der Angemessenheit / / M 1 einen Prozess implementiert der die fortlaufende Überwachung sämtlicher Elemente des IKS gemäss Prüfpunkt J4 umfasst und gewährleistet, dass die Schlüssel-Kontrollen wie beabsichtigt funktionieren. Beispiel: Fortlaufende Überwachungsmassnahmen beinhalten beispielsweise durch Prozessverantwortliche durchgeführte Kontrollen zur Überprüfung, ob die in ihrem Prozess vorhandenen Schlüsselkontrollen vorhanden sind und wie beschrieben funktionieren (Management Controls). N Unabhängige Überwachungsmechanismen des IKS Indikation FINMA Indikation der Angemessenheit / / N 1 einen Prozess implementiert der die Überwachung des IKS auf dessen Vorhandensein und Wirksamkeit durch eine unabhängige Funktion umfasst. Beispiel: Unabhängige en des IKS sind üblicherweise nicht Bestandteil der Geschäftsprozesse und werden durch eine operativ unabhängige Funktion/Stelle vorgenommen. 8 Zusätzliche Informationen: Abstützung auf Arbeiten der Internen Revision Antwortbereich X Sachverhalt für Abstützung Antwort Zusätzliche Hinweise / Informationen X 1 Aufgrund welcher Sachverhalte beurteilt die Prüfgesellschaft die Arbeiten der Internen Revision hinsichtlich Inhalt und Umfang als hinreichend und angemessene Grundlage für die Abstützung im jeweiligen Prüfgebiet? Y Prüffelder / Prüfpunkte Prüffelder / Prüfpunkte Umfang der Prüfungshandlungen Prüffeld / Prüfpunkt: Prüffeld / Prüfpunkt: In welchen Prüffeldern / Prüfpunkten hat die Interne Revision Prüfungen Prüffeld / Prüfpunkt: Y 1 durchgeführt und in welchem Umfang? Prüffeld / Prüfpunkt: Prüffeld / Prüfpunkt: Prüffeld / Prüfpunkt: Zu welchen Ergebnissen ist die Interne Revision gekommen Z in Bezug auf Qualität und Aussagekraft Antwort Zusätzliche Hinweise / Informationen Z 1 Wie beurteilt die Prüfgesellschaft die Qualität und Aussagekraft der durch die Interne Revision durchgeführten Arbeiten?