Compliance Risk Assessment

Ähnliche Dokumente

KoSSE-Tag 2013 Software-Qualitätssicherung

Einführung Risk Management Konzept

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Risikobasierte Bewertung von Hilfsstoffen

6.4.5 Compliance-Management-System (CMS)

Themenarbeit HTA.SWE.S08 Pascal Ming 23.Juni 2008

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG

Fall 8: IKS-Prüfung nicht dokumentiert

WILKEN RISIKOMANAGEMENT. BITMARCK-Kundentag Branche: GKV. Essen, 03. und Jochen Endreß

Fall 1: Keine Übersicht (Topographie)

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Information zur Revision der ISO Sehr geehrte Damen und Herren,

The AuditFactory. Copyright by The AuditFactory

SWOT Analyse zur Unterstützung des Projektmonitorings

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Compliance auch für den Mittelstand. 70. Treffen des Billbrookkreis e.v., Hotel Böttcherhof, Hamburg,

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Begriffe zum Risiko. Quelle: ONR 49000:2008. Risikomanagement 2011 Projekt Ragus / Sojarei Mag. Michael Forstik Unternehmensberatung 7210 Mattersburg

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Risikomanagement. 1 Gründe, warum Projekte fehlschlagen. 2 Risiken

Managementbewertung Managementbewertung

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

6. Qualitätsseminar

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

» IT-Sicherheit nach Maß «

CAREER MENTORSHIP PROGRAMME N U R W E R S E I N Z I E L K E N N T, FINDET DEN WEG. Vor Drucken Ende

DIN EN ISO 9001:2015

2. Wie wird Risikomanagement angewendet? Der Risikomanagement-Prozess Die Schritte des Risikomanagements Die Einbettung in Managementsysteme

Das neue Revisionsrecht aus Sicht der BKB. BKB-KMUgespräch vom 07. Juni 2007

Öffentlichen Versicherung Bremen, Bremen Landschaftlichen Brandkasse Hannover, Hannover Provinzial Lebensversicherung Hannover, Hannover

Cross-Selling bei Versicherungen. Empirische Analyse zu Status quo, Trends und zukünftigen Anforderungen

Risiko- und Vertragsmanagement in KMUs. Deutsch-Türkische Umfrage. Marmara Universität Istanbul / SRH Hochschule Berlin

Leseauszug DGQ-Band 14-26

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

RM-Speedy [01] Hans-Günter Börgmann Iron Mountain GmbH. Reifeindex zum Informationsrisiko WER IST IRON MOUNTAIN?

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

CARNEADES GmbH & Co. KG Billungstr. 2 D Quedlinburg Projekte Verträge Claims

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Finance & Control Group Risk Services Evaluation von Risikomanagement Software. Nestlé AG Marc Schaedeli Head of Risk Management

Moderierte Unternehmensplanung. S/E/ Strategie und Ergebnisse Mittelstandsberatung GmbH. Partner für inhabergeführte Familienunternehmen

Die außerordentliche Revision wird gemäß 508a Abs 2 ZPO mangels der Voraussetzungen des 502 Abs 1 ZPO zurückgewiesen.

Vgl. Ehrmann, Harald: Kompakt-Training Risikomanagement: Rating - Basel II, Ludwigshafen (Rhein), 2005, S.52, 188, 201.

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Der kleine Risikomanager 1. Karin Gastinger

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank

Due-Diligence-Prüfung für Vertriebspartner. Auf einen Blick

Leseprobe. Tobias Müller-Prothmann, Nora Dörr. Innovationsmanagement. Strategien, Methoden und Werkzeuge für systematische Innovationsprozesse

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO

Umdenken im Risikomanagement

DIE UNSTERBLICHE PARTIE

Compliance für den Mittelstand bedarfsgerechte Einführung. Mandantenveranstaltung Oldenburg 1. Dezember 2011

Internes Kontrollsystem und andere Neuerungen im Schweizer Recht

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Fragebogen zur Erhebung der Zufriedenheit und Kooperation der Ausbildungsbetriebe mit unserer Schule

Management von Beschwerden und Einsprüchen

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Leo Baumfeld. Risikoanalyse. Begleiter: ÖAR-Regionalberatung GmbH. Fichtegasse 2 A-1010 Wien. Tel. 01/ , Fax DW 10 Mobil: 0664/

STRATEGISCHE PERSONALPLANUNG FÜR KLEINE UND MITTLERE UNTERNEHMEN. Fachtagung CHANGE Papenburg Kathrin Großheim

Dok.-Nr.: Seite 1 von 6

NEUORDNUNG DER REVISION

International Tax Highlights for German Subsidiaries. Umsatzsteuer mit IT. 21. November 2013

Sicherheitsaspekte der kommunalen Arbeit

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

INTERN. Schweizer Armee Luftwaffe. Hans Schmid / EuroRisk Emmen

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Ganzheitliche Gefährdungsbeurteilung nach 5 Arbeitsschutzgesetz

Aufgabenheft. Fakultät für Wirtschaftswissenschaft. Modul Business/IT-Alignment , 09:00 11:00 Uhr. Univ.-Prof. Dr. U.

Risikomanagement zahlt sich aus

Maschinenrichtlinie 2006/42/EG 150 Fragen und Antworten zum Selbststudium

Grundsätze zur Führung und Zusammenarbeit. Ernst Schweizer AG, Metallbau

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

BÜV-ZERT NORD-OST GMBH Zertifizierungsstelle für Managementsysteme der Baustoffindustrie

geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)

eickert Prozessablaufbeschreibung Notarztdienst Bodenwerder, Anette Eickert 1 Prozessdaten 2 Zweck 3 Ziel 4 Prozessverantwortlicher

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Datenbank LAP - Chefexperten Detailhandel

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt,

Reputational Risk Management der WestLB AG. Rainer Sprengel, OpRisk Forum Köln, 10. Mai 2012

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

Qualitätsmanagement-Handbuch

Registrierung von Abschlussprüfern aus Drittländern Formular A (DE)

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom netformat GmbH

Gemeinsamer Bericht gem. 293 a AktG. des Vorstands der Allianz AG, München, und

I. Allgemeine Angaben zur Person und zum Unternehmen

Transkript:

Compliance Risk Assessment Compliance Officer Lehrgang Modul 2 DDr. Alexander Petsche 22. September 2015

Compliance Management-Prozess Planning/Risk Assessment, Organization, Personnel Certification Awareness & Prevention Detection Response Code of Conduct/Policies Tip-Off-Portals Tell me! Case-Management Consultation Desk Ask Me! Detection Audit Remediation Classroom training Consequence Management elearning Reporting Communication Quelle: Wieland/Steinmeyer/Grüninger, Handbuch Compliance Management (2010) 2

Vorgaben der ONR 192050 Anforderungen an Compliance Management Systeme 3

ONR 192050 Im Rahmen des CMS muss eine Compliance-Risiko- Bewertung nach einem festgelegten Verfahren erfolgen und dokumentiert werden. Dieses Verfahren muss zumindest folgende Schritte enthalten: die Identifikation der Compliance-relevanten Vorgänge im Hinblick auf die Regeln; 4

ONR 192050 die Identifikation von Compliance-Risiken und Bewertung nach ihrer Eintrittswahrscheinlichkeit und ihren Konsequenzen; die Priorisierung und daraus abgeleitet das Treffen von Maßnahmen. Die Compliance-Risiko-Bewertung muss sich auf alle Organisationsmitglieder erstrecken. 5

ONR 192050 Die Ergebnisse der Compliance-Risiko-Bewertung müssen dokumentiert und der Leitung der Organisation zur Kenntnis gebracht werden. Die Compliance-Risiko-Bewertung muss regelmäßig mindestens einmal jährlich erfolgen. 6

Vorgaben der ONR 49001 Risikobeurteilung 7

ONR 49001 Risikobeurteilung umfasst den gesamten Prozess der Risikoidentifikation, Risikoanalyse und Risikobewertung 8

Risikoidentifikation Die Organisation sollte Quellen von Risiken, Gebiete der Auswirkungen, Ereignisse und Entwicklungen und die Ursachen und Auswirkungen identifizieren. Ziel: umfassende Liste der Risiken aufstellen, welche die Erreichung und Ziele der Organisation unterstützen, verhindern, verschlechtern oder verzögern. Die Risikoidentifikation ist kritisch, weil ein zu diesem Zeitpunkt nicht erkanntes Risiko in weiteren Analysen nicht einbezogen wird. 9

Risikoanalyse Die Risikoanalyse sollte das Verständnis für ein Risiko schaffen. Die Risikoanalyse liefert die Eingabe für die Risikobewertung und für die Entscheidungen, ob und mit welchen Strategien und Methoden Risiken behandelt werden sollen. Die Risikoanalyse betrachtet die Ursachen und Quellen der Risiken, ihre positiven und negativen Auswirkungen und die Wahrscheinlichkeit ihres Eintretens. 10

Risikoanalyse Faktoren, welche die Auswirkungen und die Wahrscheinlichkeit beeinflussen, sollten identifiziert werden. Das Risiko wird analysiert, in dem Auswirkungen und Wahrscheinlichkeiten und andere Merkmale des Risikos bestimmt werden. Meist werden die Risikokriterien, die Risikohöhe und die Risikotoleranzgrenzen mit einer Risikomatrix dargestellt. Bei der zweigeteilten Risikomatrix definiert die Risikotoleranzgrenze, welche Kombination der Wahrscheinlichkeit und der Auswirkungen eines Risikos vertretbar sind oder nicht. 11

Risikoanalyse Bei der Risikomatrix mit drei Toleranz-Bereichen wird oft unterschieden zwischen den nicht vertretbaren Risiken, den bedingt vertretbaren Risiken und den ohne Handlungsbedarf vertretbaren Risiken (große, mittlere und kleine Risiken) 12

Risikobewertung Die Risikobewertung hat die Entscheidungsfindung zu unterstützen. Sie basiert auf den Ergebnissen der Risikoanalyse, die Aussagen über die Notwendigkeiten und die Prioritäten der Risikobewältigung macht. Wenn die Risikohöhe den Risikokriterien nicht genügt, sollte das Risiko behandelt werden. Entscheidungen sollten den größeren Zusammenhang des Risikos berücksichtigen. Sie sollten auch die Risikotoleranz von den betroffenen Parteien außerhalb der Organisation, die vom Risiko nutzen zieht, betrachten. 13

Risikobewältigung Die Risikobewältigung umfasst die Auswahl und Umsetzung einer oder mehrerer Möglichkeiten, um den Risiken zu begegnen. 14

Risikobewältigung Möglichkeiten der Risikobewältigung: Vermeidung des Risikos: Entscheidung, die Tätigkeit, welche das Risiko schafft, nicht aufzunehmen oder nicht fortzusetzen; Erhöhung des Risikoappetits (z.b., wenn es sich ausschließlich um geschäftliche Risiken ohne Sicherheitsrisiken von Menschen, Sachen und der Umwelt handelt); Entfernung der vorhandenen negativ einwirkenden Risikoquellen; Veränderung der Eintrittswahrscheinlichkeit des Risikos; Veränderung der Auswirkungen des Risikos; Teilung des Risikos mit einer oder mehreren anderen Parteien; Freiwillige Risikoübernahme. 15

Vorgehensmodell 16

Erster Schritt: Festlegung des Erhebungsumfanges (I) Identifikation von Einheiten und Prozessen Heranziehung externer Informationsquellen (zb Corruption Perception Index) Klassifizierung der Ländergesellschaften nach Punktewertschemen 17

Erster Schritt: Festlegung des Erhebungsumfanges (II) Kriterien Komplexität Geschäftsmodell/Kundenstruktur Größe (Anzahl Mitarbeiter/Umsatz) Risikosituation CPI Indexwert Bekannte Compliance Fälle Maturity Organisationsstruktur Grad der Compliance 18

Identifikation und Beurteilung von Compliance Risiken / Vorgehensmodell Zweiter Schritt: Risikoidentifikation (I) Vollständige Erfassung und Dokumentation von Risiken Derzeitige und zukünftige Risiken Zusammentragen aller wesentlichen Gesetze,Verordnungen, Richtlinien und freiwilligen Selbstverpflichtungen Deduktion: Schluss von (abstraktem) Gesetz auf dessen Relevanz für die Geschäftstätigkeit Induktion: Ausgehend von Geschäftstätigkeit, Prüfung, welche Gesetze maßgebend sind 19

Identifikation und Beurteilung von Compliance Risiken / Vorgehensmodell Zweiter Schritt: Risikoidentifikation (II) Rückgriff auf Erkenntnisse der Internen Revision, des Risiko- Managements und der Sicherheitsorganisation Klassifizierung der Risiken 1. Corporate Misconduct 2. Vermögensschädigende Handlungen 3. Verletzung sonstiger externer und interner Vorschriften 20

Identifikation und Beurteilung von Compliance Risiken / Vorgehensmodell Dritter Schritt: Risikoanalyse und Bewertung Klassifizierung der Risiken Risikobewertung 1. Bewertung der Eintrittswahrscheinlichkeit 2. Bewertung des Ausmaßes 3. Risiko Rating (Risk Map) 4. Bewertung der Effektivität des Kontrollumfeldes 21

Identifikation und Beurteilung von Compliance Risiken / Vorgehensmodell Vierter Schritt: Managementbefragung Online Fragebogen Persönliche Interviews 22

Identifikation und Beurteilung von Compliance Risiken / Vorgehensmodell Fünfter Schritt: Compliance-Programm und Reporting der Ergebnisse Vermeiden: zb keine Akquisition eines Unternehmens mit hohen Compliance-Risiken Vermindern: Verbesserung von internen Kontrollen und Schulungsprogrammen, etc. Abwälzen: Abschluss von Versicherungen Risiko selbst tragen 23

Baker & McKenzie denkt von Anfang an global. Seit der Gründung. Internationalität liegt uns in den Genen. DDr. Alexander Petsche, MAES (Brügge) Partner Baker & McKenzie Diwok Hermann Petsche Rechtsanwälte LLP & Co KG Schottenring 25 Tel.: + 43 (0) 1 24 250 [DW] 1010 Wien Alexander.petsche@bakermckenzie.com Diwok Hermann Petsche Rechtsanwälte LLP & Co KG ist ein Mitglied von Baker & McKenzie International, einem Verein nach dem Recht der Schweiz mit weltweiten Baker & McKenzie-Anwaltsgesellschaften. Der allgemeinen Übung von Beratungsunternehmen folgend, bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für ein Mitglied von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir die Kanzleistandorte der Mitglieder von Baker & McKenzie International. www.dhplaw.at