Best-Practice-Leitfadenreihe zur Einführung der SAP BusinessObjects GRC-Lösungen

Best-Practice-Leitfadenreihe zur Einführung der SAP BusinessObjects GRC-Lösungen Deutschsprachige SAP-Anwendergruppe e.v. DSAG-ARBEITSGRUPPE GOVERNANCE, RISK MANAGEMENT UND COMPLIANCE TEIL 2: SAP BUSINESS OBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011

SAP BusinessObjects Risk Management BEST-PRACTICE-LEITFADENREIHE ZUR EINFÜHRUNG DER SAP BUSINESS- OBJECTS GRC-LÖSUNGEN TEIL 2, STAND 15. AUGUST 2011 DSAG e. V. Deutschsprachige SAP-Anwendergruppe Seite 2

1 Einleitung Der Best-Practice-Leitfaden SAP BusinessObjects Risk Management setzt die DSAG-Leitfadenreihe zur SAP BusinessObjects GRC Suite fort mit dem Ziel, Empfehlungen zu Einführung und Betrieb von SAP BusinessObjects Risk Management 10.0 zu geben. Die Best-Practice-Empfehlungen erheben keinen Anspruch auf Vollständigkeit, sondern geben die Projektund Praxiserfahrung der Autoren wieder, die Mitglieder der DSAG-Arbeitsgruppe Governance, Risk Management, Compliance (GRC) innerhalb des Arbeitskreises Revision und Risikomanagement sind. Insofern ist das Autorenteam auch dankbar für jede Art von Anregungen und Hinweisen zur weiteren Vervollständigung und Verbesserung des Leitfadens. Dieser Leitfaden soll insbesondere den Unternehmen eine Hilfestellung bieten, die sich mit verschiedensten Anforderungen gesetzlicher, fachlicher und organisatorischer Art bei der Gestaltung ihres Risikomanagementsystems konfrontiert sehen. Hinzuweisen ist hier insbesondere auf die Anforderungen des Bilanzrechtsmodernisierungsgesetzes (BilMoG) mit der Gestaltung und Überwachung von internen Kontroll- und Risikomanagementsystemen sowie generell auf Anforderungen eines modernen Compliance-Managements bei der Sicherstellung von wirksamen Kontrollen zur Risikoerkennung und -minimierung innerhalb der Unternehmensorganisation. Die Autoren sind Mitglieder der Arbeitsgruppe Governance, Risk Management & Compliance (GRC) innerhalb des DSAG-Arbeitskreises Revision und Risikomanagement. Die Verantwortung für den Inhalt tragen die Autoren. Die redaktionelle Bearbeitung und das Layout liegen bei der DSAG. COPYRIGHT 2011 DER AUTOREN: Herr Oliver Derksen SAP Deutschland AG & Co. KG Herr Siegfried Filla PricewaterhouseCoopers AG Herr Marko Hamel SAP AG Herr Dr. Gero Mäder SAP AG Hinweis: Die vorliegende Publikation ist urheberrechtlich geschützt (Copyright). Alle Rechte liegen soweit nicht ausdrücklich anders gekennzeichnet bei: DEUTSCHSPRACHIGE SAP ANWENDERGRUPPE E. V. Altrottstraße 34a 69190 Walldorf Deutschland Jede Verwertung außerhalb der engen Grenzen des Urheberrechts ist ohne Zustimmung der Urheber unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen / digitalen Medien. Die Autoren des vorliegenden Best-Practice-Leitfadens sind für Verbesserungs- sowie Änderungs- und Ergänzungswünsche dankbar. Dies gilt sowohl für Vorschläge zur Vertiefung der einzelnen Kapitel als auch für die Nennung von Beispielen aus konkreten Projekt- oder Prüfungserfahrungen. Nutzen Sie hierzu bitte das entsprechende Forum der AG GRC im DSAGNet unter INFO/Service Foren AG Governance, Risk Management, Compliance. Seite 3

Inhaltsverzeichnis 1 EINLEITUNG 3 2 ÜBERBLICK 6 3 REGULATORISCHE ANFORDERUNGEN 8 3.1 Deutscher Corporate Governance Kodex (DCGK) 9 3.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) 10 3.3 IDW RS FAIT 1 10 3.4 IDW RS FAIT 2 11 3.5 IDW RS FAIT 3 11 3.6 IDW Prüfungsstandard PS 261 (u.a. internes Kontrollsystem) 12 3.7 IDW PS 330 13 3.8 IDW PS 340 13 3.9 IDW PS 525 14 3.10 IDW PS 980 15 3.11 Bundesdatenschutzgesetz (BDSG) 16 3.12 Bilanzrechtsmodernisierungsgesetz (BilMoG) 17 3.12.1 Lagebericht ( 289, 315 HGB n.f.) 17 3.12.2 Pflichten des Aufsichtsrates 17 3.12.3 Handlungsfelder für den Vorstand 17 3.13 Basel II 18 3.14 Basel III 19 3.15 Mindestanforderungen an Compliance MaComp 19 3.16 Mindestanforderungen an das Risikomanagement MaRisk 19 3.17 Markets in Financial Instruments Directive MiFiD 20 3.18 Solvabilitätsverordnung SolvV 20 3.19 Solvency II 20 3.20 Sarbanes-Oxley Act (SOX) 20 3.21 Normen (DIN ISO / IEC) 21 3.21.1 ISO / IEC 27001 21 3.21.2 ISO 27002 (vorher ISO 17799) 21 3.21.3 ISO 27005 21 3.21.4 Weitere Standards der Reihe ISO 2700x 21 3.21.5 Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz 22 3.21.6 Risikomanagement nach ISO 31000 22 4 ZIELMARKT 24 4.1 Mittelstand 24 4.2 Großunternehmen / Konzerne 25 5 MOTIVATION FÜR IT-GESTÜTZTES RISIKOMANAGEMENT 26 6 RAHMENBEDINGUNGEN / ERFOLGSFAKTOREN 27 6.1 Organisatorischer Rahmen 27 6.2 RMS / IKS-Methodik 27 6.3 Risiko-Governance- und Risikostrategie 29 6.4 GRC-Organisation 30 7 UMSETZUNG DES RISIKOMANAGEMENTPROZESSES IN RM 32 7.1 Grundlegende Überlegungen und Einstellungen 33 7.2 Erstellen der zentralen Kataloge 35 7.3 Zielmanagement 36 Seite 4

7.4 Risikoidentifikation 39 7.5 Risikobewertung 41 7.6 Risikoadressierung / Gegenmaßnahmen 44 7.7 Reporting 45 7.8 Monitoring 45 7.9 Chancenmanagement 46 7.10 Incident Management 47 8 EINFÜHRUNGSMANAGEMENT 48 8.1 Projektvorbereitung ( Strategie & Planung ) 48 8.2 Sollkonzept ( Business Blueprint und Design ) 48 8.3 Weitere Projektphasen (Implementierung, Roll-out, Go-Live) 49 8.4 Einführung eines zentralen integrierten Risk-Management- und Process-Control-Systems 49 8.5 Einführungsvarianten ( schrittweise versus Big Bang ) 50 8.6 Weiterführende Informationen 51 9 PHASE SOLLKONZEPTION ( BUSINESS BLUEPRINT UND DESIGN ) 52 9.1 Risk Management 52 9.1.1 Projekt Scoping & SWOT-Analyse 52 9.1.2 Planung 53 9.1.3 Risiko-Assessment 56 9.1.4 Risikoidentifikation 56 9.1.5 Risikoanalyse 57 9.1.6 Steuerung 58 9.1.7 Monitoring & Reporting 58 9.2 Berechtigungskonzept Risk Management / Process Control 59 9.2.1 ABAP-Basisrollen 61 9.2.2 ABAP-Entitätsrollen 62 9.2.3 SAP NetWeaver Portal Roles 67 9.2.4 SAP NetWeaver Business Client 67 10 PHASE REALISIERUNG ( IMPLEMENTIERUNG ) 69 10.1 RM standalone 69 10.1.1 Grundsätzliches Aufsetzen des Systems 69 10.1.2 Einrichten der Risikomanagement-Applikation 70 10.1.3 Wichtige Einstellungen für die Analyse 71 10.1.4 Einstellungen für Risikomaßnahmen 75 10.1.5 Einstellungen für Risikofrühwarnindikatoren 76 10.2 Besonderheiten bei der Einführung eines integrierten Szenarios 78 10.2.1 Überlegungen beim Aufsetzen der Stammdaten 78 10.2.1.1 Organisationseinheiten 78 10.2.1.2 Verwendung eines gemeinsamen Risikokatalogs in beiden Applikationen 78 10.2.1.3 Aktivitäts-Hierarchie 79 10.2.2 Gemeinsame Softwarekomponenten 79 10.2.3 Kontrollen als Risikomassnahmen 79 10.2.4 Kontrollvorschläge als permanente Verbesserung des Risikomanagement-Prozesses 80 10.2.5 Automatische Bewertung der Effektivität von Risikogegenmaßnahmen aus Kontrolltests und Kontrolldesign-Assessments 81 11 TECHNISCHE RAHMENBEDINGUNGEN / INFRASTRUKTUR 83 Seite 5 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

2 Überblick SAP hat die Standard-Softwarelösungen für den Themenbereich Governance, Risk Management und Compliance (GRC) im SAP BusinessObjects-Portfolio gebündelt (siehe Abb. 1). Das SAP BusinessObjects-Portfolio enthält Lösungen, um mehr Transparenz in Geschäftsabläufen zu erreichen, um die Performance innerhalb von Geschäftsprozessen zu managen und um die Risiken und die Compliance von Unternehmen zu überwachen und zu steuern. Im Einzelnen sind dies Business-Intelligence- und Information-Management-Lösungen, Anwendungen für Governance, Risikomanagement und Compliance sowie Lösungen zum Management der Unternehmensperformance. GRC umfasst dabei die Applikationen für Access Control, Process Control, Risk Management, Global Trade Services und Environment, Health and Safety. Das SAP BusinessObjects-Portfolio Seite 6

Die SAP BusinessObjects GRC-Lösungen basieren auf der SAP NetWeaver Technologie-Plattform und den entsprechenden sog. content shipments. Sie sollen Unternehmen dabei helfen, ihre strategische und operative Effektivität durch die Verdichtung und Steuerung von Aktivitäten bezüglich signifikanter Risiken (key risks) sowie durch die Automatisierung von Kontrollen über alle Geschäftsprozesse hinweg und die Überwachung von Risiken und Kontrollen über verschiedenste Systeme hinweg zu maximieren. Die SAP Release und Wartungsstrategie für die hier besprochenen GRC-Lösungen kann unter folgendem Link eingesehen werden: http://service.sap.com/pam Mit SAP BO Risk Management können Unternehmensrisiken identifiziert, bewertet, minimiert und überwacht werden. Die entsprechenden Funktionsbausteine umfassen > Risikoplanung (u.a. Definition risikorelevanter Geschäftsaktivitäten, Risikoklassifizierung, Einrichtung von Risikoindikator-Frameworks), > Risikoidentifizierung (u.a. Risiken und Chancen identifizieren, Risikoindikatoren zuordnen, Risikozusammenhänge definieren), > Risikoanalyse (u.a. Risiken qualitativ und quantitativ analysieren, Risiken priorisieren, Risikoszenarios erstellen), > Risikomaßnahmen (u.a. Risikomaßnahmen dokumentieren, Maßnahmen zur Risikominierung festlegen, Prozesskontrollen zuordnen), > Risikoüberwachung (u.a. Risikoindikatoren überwachen, Wirksamkeit der ergriffenen Maßnahmen überwachen, eingetretene Risikovorfälle und Verluste dokumentieren). Seite 7 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

3 Regulatorische Anforderungen In Deutschland haben sich Gesetzgeber, das Institut der Wirtschaftsprüfer in Deutschland (IDW) sowie das DRSC Deutsches Rechnungslegungs Standards Committee e.v. schon seit vielen Jahren mit den Themen Governance, Risk Management und Compliance beschäftigt. Hervorzuheben sind dabei die Regelungen zum Deutschen Corporate Governance Codex 1, zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG 2 ), zum internen Kontrollsystem von Unternehmen 3, zum Bilanzrechtsmodernisierungsgesetz (BilMoG) 4 und aktuell zum Compliance-Management. 5 Den Maßstab für die Umsetzung regulatorischer Anforderungen in deutschen Unternehmen bilden im Rahmen der Prüfung der Finanzberichterstattung durch Wirtschaftsprüfer im Wesentlichen folgende gesetzliche Regelungen und Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW): > die handels- und steuerrechtlichen Vorschriften zur Ordnungsmäßigkeit der Buchführung ( 238 f. und 257 HGB sowie 145 bis 147 AO), > die IDW-Stellungnahme zur Rechnungslegung Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1, Stand: 24. September 2002), > die IDW-Stellungnahme zur Rechnungslegung Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2, Stand: 29. September 2003), > der IDW-Prüfungsstandard Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261, Stand 6. September 2006), > der IDW-Prüfungsstandard zur Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330, Stand: 24. September 2002), > der IDW-Prüfungsstandard Die Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340 vom 11.09.2000), > der IDW-Prüfungsstandard Die Beurteilung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprüfung (IDW PS 525 vom 26.06.2010) > sowie die von der Arbeitsgemeinschaft für Wirtschaftliche Verwaltung e.v. erarbeiteten Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sowie das dazu ergangene Schreiben des Bundesministers der Finanzen vom 7. November 1995. Die vorgenannten gesetzlichen Vorschriften und fachlichen Stellungnahmen sind generell zu beachtende Anforderungen und beziehen sich überwiegend auf rechnungslegungsrelevante Sachverhalte. Gleichwohl sind sie aufgrund gleicher Kontrollziele geeignet, auch Aussagen zur Ordnungsmäßigkeit bei Fragestellungen außerhalb der Buchführung zu treffen. Darüber hinaus können im Einzelfall weitere Prüfungsstandards anzuwenden sein (z.b. für Dienstleistungsunternehmen oder Shared Service Center, die administrative Aufgaben u.a. im Bereich der Benutzeradministration und des Zugriffsschutzes übernommen haben (z.b. der IDW-Prüfungsstandard zur Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen (IDW PS 951, Stand: 19. September 2007). Dieser GRC-Best-Practice-Leitfaden möchte lediglich in Kurzform auf wesentliche zu beachtende regulatorische Anforderungen insbesondere in jüngerer Zeit eingehen und erhebt deshalb auch keinen Anspruch auf Vollständigkeit der hier vorgestellten Regelungen. Wer sich intensiver mit diesem Thema beschäftigen möchte, kann dies u.a. in folgenden Büchern nachlesen: Seite 8 1 Deutscher Corporate Governance Kodex (DCGK Juni 2009) 2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) 1. Mai 1998 3 IDW-Prüfungsstandard Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261, Stand 6. September 2006) 4 Bilanzrechtsmodernisierungsgesetz (BilMoG) vom 25. Mai 2009 (BGBl. I S. 1102) 5 IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW PS 980, Stand: 11.03.2011)

> SAP Access Control, 2008, ISBN 978-3-8362-1141-3 > Governance, Risk und Compliance mit SAP, 2008, ISBN 978-3-8362-1140-6 > SOX Compliance with SAP Treasury and Risk Management, 2008, ISBN 978-1-59229-200 4 > Datenschutz in SAP-Systemen: Konzeption und Implementierung, 2011, ISBN 978-3836216852 > Handbuch SAP-Revision: IKS, Audit, Compliance, 2010, ISBN 978-3836216036 > Corporate Governance, Risk Management und Compliance: Innovative Konzepte und Strategien, 2010, ISBN 978-3834915580 > COBIT und der Sarbanes-Oxley Act, 2007, ISBN 978-3-8362-1013-3 > Sicherheit und Berechtigungen in SAP-Systemen, 2005, ISBN 978-3-89842-670-1 Als ergänzende Lektüre empfehlen wir die folgenden DSAG-Leitfäden, jeweils als E-Book: Den DSAG-Best- Practice-Leitfaden zu SAP BO GRC Access Control (www.dsag.de/go/e-grc), den DSAG-Datenschutzleitfaden SAP ERP 6.0 (www.dsag.de/go/e-datenschutz) sowie den DSAG-Prüfleitfaden SAP ERP 6.0 (www.dsag.de/ go/e-pruefleitfaden). Alle Leitfäden der DSAG sind unter www.dsag.de/go/leitfaeden veröffentlicht. 3.1 DEUTSCHER CORPORATE GOVERNANCE KODEX (DCGK) Die Themen Risikomanagement und Compliance sind im DCGK in folgenden Abschnitten angesprochen: > Abschnitt 3 Zusammenwirken von Vorstand und Aufsichtsrat Der Vorstand informiert den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen der Planung, der Geschäftsentwicklung, der Risikolage, des Risikomanagements und der Compliance. > Abschnitt 4 Aufgaben und Zuständigkeiten des Vorstands Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen. > Abschnitt 5 Aufgaben und Befugnisse des Aufsichtsratsvorsitzenden Der Aufsichtsratsvorsitzende soll mit dem Vorstand, insbesondere mit dem Vorsitzenden bzw. Sprecher des Vorstands, regelmäßig Kontakt halten und mit ihm die Strategie, die Geschäftsentwicklung und das Risikomanagement des Unternehmens beraten. > Abschnitt 5.3 Bildung von Ausschüssen Der Aufsichtsrat soll einen Prüfungsausschuss (Audit Committee) einrichten, der sich insbesondere mit Fragen der Rechnungslegung, des Risikomanagements und der Compliance befasst. Seite 9 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

3 Regulatorische Anforderungen 3.2 GESETZ ZUR KONTROLLE UND TRANSPARENZ IM UNTERNEHMENS- BEREICH (KONTRAG) Kern des KonTraG ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken (Risikofrüherkennungssystem) einzuführen und zu betreiben sowie Aussagen zu Risiken und zur Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen. Die Einrichtung eines Risikofrüherkennungssystems (RFS) gem. 91 Abs. 2 AktG ist unmittelbar nur für Aktiengesellschaften gesetzlich vorgeschrieben. Das RFS muss demnach gewährleisten, dass alle bestandsgefährdenden Unternehmensrisiken frühzeitig identifiziert, bewertet, kommuniziert und lfd. überwacht werden. Das Risikofrüherkennungssystem unterscheidet sich von einem Risikomanagementsystem (RMS) durch die fehlende Risikosteuerungsfunktion, d.h. Risiko-Gegenmaßnahmen sind in einem RFS nicht vorgesehen. Sie wären Teil eines Risikomanagementsystems. Die Einrichtung, Funktionsweise und Dokumentation des Risikofrüherkennungssystems ist durch den Abschlussprüfer im Rahmen der Jahresabschlussprüfung zu beurteilen. Die Prüfung wird nach dem IDW-Prüfungsstandard PS 340 durchgeführt. 3.3 IDW RS FAIT 1 6 RS FAIT 1 definiert u.a. Sicherheitsanforderungen an rechnungslegungsrelevante Daten. Im Einzelnen werden gefordert: IT-Systeme haben daher die folgenden Sicherheitsanforderungen zu erfüllen: > Vertraulichkeit verlangt, dass von Dritten erlangte Daten nicht unberechtigt weitergegeben oder veröffentlicht werden. Organisatorische und technische Maßnahmen wie bspw. Verschlüsselungstechniken umfassen u.a. Anweisungen zur Beschränkung der Übermittlung personenbezogener Daten an Dritte, die verschlüsselte Übermittlung von Daten an berechtigte Dritte, die eindeutige Identifizierung und Verifizierung des Empfängers von Daten oder die Einhaltung von Löschfristen gespeicherter personenbezogener Daten. > Integrität von IT-Systemen ist gegeben, wenn die Daten und die IT-Infrastruktur sowie die IT-Anwendungen vollständig und richtig zur Verfügung stehen und vor Manipulation und ungewollten oder fehlerhaften Änderungen geschützt sind. Organisatorische Maßnahmen sind geeignete Test- und Freigabeverfahren. Technische Maßnahmen sind z.b. Firewalls und Virenscanner. Die Ordnungsmäßigkeit der IT-gestützten Rechnungslegung setzt voraus, dass neben den Daten und IT-Anwendungen auch die IT-Infrastruktur nur in einem festgelegten Zustand eingesetzt wird und nur autorisierte Änderungen zugelassen werden. > Verfügbarkeit verlangt zum einen, dass das Unternehmen zur Aufrechterhaltung des Geschäftsbetriebs die ständige Verfügbarkeit der IT-Infrastruktur, der IT-Anwendungen sowie der Daten gewährleistet. Zum anderen müssen die IT-Infrastruktur, die IT-Anwendungen und Daten sowie die erforderliche IT-Organisation in angemessener Zeit funktionsfähig bereitstehen. Daher sind z.b. geeignete Back-up-Verfahren zur Notfallvorsorge einzurichten. Maßnahmen zur Sicherung der Verfügbarkeit sind erforderlich, um den Anforderungen nach Lesbarmachung der Buchführung gerecht zu werden. Seite 10 6 IDW-Stellungnahme zur Rechnungslegung Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1, Stand: 24. September 2002).

> Autorisierung bedeutet, dass nur im Voraus festgelegte Personen auf Daten zugreifen können (autorisierte Personen) und dass nur sie die für das System definierten Rechte wahrnehmen können. Diese Rechte betreffen das Lesen, Anlegen, Ändern und Löschen von Daten oder die Administration eines IT-Systems. Dadurch soll ausschließlich die genehmigte Abbildung von Geschäftsvorfällen im System gewährleistet werden. Geeignete Verfahren hierfür sind physische und logische Zugriffsschutzmaßnahmen (z.b. Passwortschutz). Organisatorische Regelungen und technische Systeme zum Zugriffsschutz sind die Voraussetzung zur Umsetzung der erforderlichen Funktionstrennungen. Neben Identitätskarten werden zukünftig biometrische Zugriffsgenehmigungsverfahren an Bedeutung gewinnen. > Authentizität ist gegeben, wenn ein Geschäftsvorfall einem Verursacher eindeutig zuzuordnen ist. Dies kann bspw. über Berechtigungsverfahren geschehen. Beim elektronischen Datenaustausch bieten sich für eine Identifizierung des Partners bspw. digitale Signatur- oder passwortgestützte Identifikationsverfahren an. > Unter Verbindlichkeit wird die Eigenschaft von IT-gestützten Verfahren verstanden, gewollte Rechtsfolgen bindend herbeizuführen. Transaktionen dürfen durch den Veranlasser nicht abstreitbar sein, weil bspw. der Geschäftsvorfall nicht gewollt ist. 3.4 IDW RS FAIT 2 7 Risiken können sich innerhalb des E-Commerce insbesondere aus der fehlenden Kontrolle über den Datentransfer im Internet ergeben: > Unzureichender Schutz vor Verfälschung (Verlust der Integrität) > Unsichere Datenverschlüsselung (Verlust der Vertraulichkeit) > Gefährdung der Verfügbarkeit (Verlust der Verfügbarkeit) > Unwirksame Authentisierungsmechanismen (Verlust der Authentizität) > Unauthorisierte Zugriffe mit Hilfsprogrammen (Verlust der Autorisierung) > Unzureichende Protokollierung der Transaktionsdaten (Verlust der Verbindlichkeit) Mangelnde Authentizität und Autorisierung bewirken bspw., dass Geschäftsvorfälle inhaltlich unzutreffend abgebildet werden (Verletzung des Grundsatzes der Richtigkeit). Die Autorisierung soll insbesondere sicherstellen, dass keine unberechtigten bzw. keine fiktiven Geschäftsvorfälle in das System eingehen. Es ist festzulegen, wann, wie und durch wen die Autorisierung erfolgt. Autorisierungsverfahren sind Teil der Verfahrensdokumentation und für zehn Geschäftsjahre aufbewahrungspflichtig. Im Rahmen des durch den Anwender zu erstellenden Sicherheitskonzeptes sind auch für E-Commerce- Anwendungen Sicherungsmaßnahmen abzuleiten, die physische Sicherungsmaßnahmen und logische Zugriffskontrollen sowie Datensicherungs- und Auslagerungsverfahren umfassen. 3.5 IDW RS FAIT 3 8 Konkretisiert werden die aus 257 HGB resultierenden Anforderungen an die Archivierung aufbewahrungspflichtiger Unterlagen sowie die in FAIT 1 dargestellten Aufbewahrungspflichten beim Einsatz von elektronischen Archivierungssystemen. 7 IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) 8 IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3) Seite 11 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

3 Regulatorische Anforderungen Technische und organisatorische Risiken aus dem Einsatz von Archivierungsverfahren können die Sicherheit und Ordnungsmäßigkeit der Rechnungslegung beeinträchtigen: > Unzureichende organisatorische Festlegungen und Verfahrensanweisungen können die Nachvollziehbarkeit und Anwendbarkeit der Archivierungsverfahren gefährden. > Mangelhafte Zugriffskontrollen innerhalb des Archivierungssystems ermöglichen die missbräuchliche oder unauthorisierte Einsichtnahme der archivierten Dokumente und Daten. > Durch Veränderungen, Manipulationen oder Löschung der archivierten Daten und Dokumente wird deren Integrität, Authentizität oder Verfügbarkeit verletzt. 3.6 IDW PRÜFUNGSSTANDARD PS 261 (U.A. INTERNES KONTROLLSYSTEM) Gem. IDW PS 261 werden unter einem internen Kontrollsystem die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements > zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen), > zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie > zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften. 9 Als organisatorische Sicherungsmaßnahmen sind z.b. definiert laufende, automatische Einrichtungen. Sie umfassen fehlerverhindernde Maßnahmen, die sowohl in die Aufbau- als auch die Ablauforganisation eines Unternehmens integriert sind und ein vorgegebenes Sicherheitsniveau gewährleisten sollen (z.b. Funktionstrennung, Zugriffsbeschränkungen im IT-Bereich) 10. Damit sind u.a. alle im Rahmen von Zugriffsberechtigungen getroffenen Maßnahmen Teil des internen Kontrollsystems und damit auch wesentlicher Bestandteil der Umsetzung der Compliance-Anforderungen durch das Management eines Unternehmens. Die Regelungsbereiche des internen Kontrollsystems werden lt. IDW PS 261 wie folgt definiert: INTERNES KONTROLLSYSTEM (IKS) INTERNES STEUERUNGSSYSTEM INTERNES ÜBERWACHUNGSSYSTEM Prozessunabhängige Überwachungsmaßnahmen Prozessunabhängige Überwachungsmaßnahmen Organisatorische Sicherheitsmaßnahmen Kontrollen Interne Revision Sonstige Elemente des internen Kontrollsystems Seite 12 9 IDW PS 261, Tz. 19 10 IDW PS 261, Tz. 20

Neben den o.g. organisatorischen Sicherungsmaßnahmen sind auch Kontrollen prozessintegrierte Überwachungsmaßnahmen, z.b. die Überprüfung der Vollständigkeit und Richtigkeit verarbeiteter Daten (u.a. Änderungen von Berechtigungen und Benutzerprofilen). 3.7 IDW PS 330 11 Dieser Prüfungsstandard beschäftigt sich im Wesentlichen mit den Anforderungen an ordnungsmäßige und sichere Rechnungslegungssysteme und der Sicherstellung der Vollständigkeit, Richtigkeit, der in diesem System erfassten, verarbeiteten und ausgegebenen Daten. In diesem Zusammenhang werden u.a. folgende Risiken des IT-Einsatzes hervorgehoben: > IT-Anwendungsrisiken (fehlende oder nicht aktuelle Verfahrensregelungen und -beschreibungen, unzureichende Zugriffsberechtigungskonzepte und Zugriffskontrollsysteme) > IT-Geschäftsprozessrisiken (u.a. unzureichende Transparenz der Datenflüsse, unzureichende Integration der Systeme oder mangelhafte Abstimm- und Kontrollverfahren in Schnittstellen zwischen Teilprozessen mit der Gefahr, dass IT-Kontrollen bspw. Zugriffsrechte, Datensicherungsmaßnahmen, nur hinsichtlich der Teilprozesse, jedoch nicht hinsichtlich der Gesamtprozesse wirksam werden.) Wesentliches Beurteilungsobjekt sind im Hinblick auf SAP BusinessObjects Access Control die logischen Zugriffskontrollen. Logische Zugriffskontrollen sind wesentliche Elemente der Datensicherheit und des Datenschutzes und Voraussetzung zur Gewährleistung der Vertraulichkeit. Die Sicherheitsanforderungen Autorisierung und Authentizität bedingen zwingend logische Zugriffskontrollen: > Implementierung eines organisatorischen Verfahrens zur Beantragung, Genehmigung und Einrichtung von Benutzerberechtigungen in IT-Systemen > Berechtigungen auf Betriebssystemebene (Anmeldung gegenüber Rechnern in einem Netzwerk) > Rechte zur Ausführung von Transaktionen in einer IT-Anwendung Zugriffskontrollen sind als angemessen zu beurteilen, wenn sie geeignet sind sicherzustellen, dass die Berechtigungsverwaltung und die eingerichteten Systemrechte den Festlegungen im Sicherheitskonzept entsprechen und damit unberechtigte Zugriffe auf Daten sowie Programmabläufe zur Veränderung von Daten ausgeschlossen sind. Zudem müssen Zugriffskontrollen so ausgestaltet sein, dass sie die Identität des Benutzers eindeutig feststellen und nicht autorisierte Zugriffsversuche abgewiesen werden. 3.8 IDW PS 340 12 Dieser Prüfungsstandard regelt die Systemprüfung des Risikofrüherkennungssystems nach 91 Abs. 2 AktG (das Überwachungssystem ist durch den Vorstand einzurichten) bei börsennotierten Aktiengesellschaften ( 3 Abs. 2 AktG) im Rahmen der Abschlussprüfung ( 317 Abs. 4 HGB). Das Risikofrüherkennungssystem soll bestandsgefährdende Risiken frühzeitig erkennen und dem Management rechtzeitig die Möglichkeit zur Gegensteuerung eröffnen. Die Maßnahmen zur Einrichtung eines solchen Systems sind auch Prüfungsgegenstand für die interne Revision, die z.b. folgende Bereiche abdeckt: 11 IDW-Prüfungsstandard zur Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330, Stand: 24. September 2002) 12 IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340, Stand: 11.09.2000) Seite 13 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

3 Regulatorische Anforderungen > Erfassung der Risikofelder im Unternehmen > Beurteilung der Maßnahmen zur Risikoerfassung und Risikokommunikation > Beurteilung der Nachhaltigkeit der getroffenen Maßnahmen > Einhaltung der integrierten Kontrollen Alle getroffenen Maßnahmen zur Einrichtung eines Risikofrüherkennungssystems sind vom Unternehmen zu dokumentieren. In diesem Zusammenhang verdeutlicht ein Urteil des Landgerichts München die entsprechenden Vorstandspflichten: Der Vorstand einer Aktiengesellschaft ist nicht nur verpflichtet, ein funktionsfähiges Warnsystem hinsichtlich der wirtschaftlichen Entwicklung des Unternehmens einzurichten, sondern hat auch dafür zu sorgen, dass unmissverständliche Zuständigkeiten begründet, ein engmaschiges Berichtssystem eingeführt und eine entsprechende Dokumentation sichergestellt werden. Hat der Vorstand dies versäumt, kann das Gericht auf Klage eines Aktionärs einen Hauptversammlungsbeschluss zur Entlastung des Vorstands für nichtig erklären (Urteil des LG München I vom 05.04.2007, 5 HKO 15964/06, ZIP 2007, 1951). Es liegt auf der Hand, dass für eine systematische Erfassung und Steuerung aller bestandsgefährdenden Risiken eines Unternehmens eine IT-Unterstützung unabdingbar ist. Gerade bei komplexen börsennotierten Unternehmen reichen dafür Office-Produkte nicht mehr aus, obwohl sie noch vielfach im Einsatz sind. 3.9 IDW PS 525 13 Der Prüfungsstandard PS 525 regelt die Prüfung des Risikomanagementsystems bei Kreditinstituten. Geprüft wird, inwieweit das Kreditinstitut die Grundsätze zur Zielsetzung, zum Umfang und zu den verantwortlichen Organisationseinheiten für die zu tätigenden Geschäfte und einzugehenden Risiken (Strategie) schriftlich fixiert und ein Bewusstsein über diese Risiken in der Gesamtorganisation (Risikobewusstsein) geschaffen hat. Es wird beurteilt, inwieweit das Kreditinstitut hinsichtlich der Einrichtung und Funktionsfähigkeit des Risikomanagements folgende Kriterien erfüllt: > Risikoerkennung (frühzeitiges und vollständiges Erkennen aller wesentlichen Risiken) > Risikoanalyse (Beurteilung der Risiken bezüglich der Bedeutung für die geschäftspolitischen Ziele) > Risikosteuerung (gezielte Steuerung im Einklang mit der Strategie und der Risikotragfähigkeit) > Risikokommunikation (systematische und entscheidungsorientierte Aufbereitung und Berichterstattung an das Management) > Risikoüberwachung Darüber hinaus haben auch Aktiengesellschaften nach 91 Abs. 2 AktG eine gesetzliche Verpflichtung zur Einführung eines Risikomanagementsystems. Diese bezieht sich jedoch nur auf die Vermeidung bestandsgefährdender Risiken. Sofern die Aktiengesellschaft börsennotiert ist, besteht auch eine Prüfungspflicht durch den zuständigen Abschlussprüfer. Art und Umfang der notwendigen Prüfungshandlungen ergeben sich aus dem IDW PS 340, welcher hinsichtlich der Anforderungen dem IDW PS 525 weitgehend entspricht. Seite 14 13 IDW Prüfungsstandard: Die Prüfung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprüfung (IDW PS 525, Stand: 26.06.2010)

3.10 IDW PS 980 14 Am 11. März 2011 wurde vom Institut der Wirtschaftsprüfer (IDW) der Prüfungsstandard Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen verabschiedet. Dieser Standard ist erstmals für Prüfungen anzuwenden, die nach dem 30. September 2011 durchgeführt werden. Dabei handelt es sich um freiwillige Prüfungen, d.h., es besteht derzeit keine Prüfungspflicht. Man kann jedoch davon ausgehen, dass sich zunehmend Unternehmen einer Prüfung ihres CMS unterziehen, um zumindest von Aufsichtsrats- oder Vorstandsseite nachzuweisen, dass alle Aufsichtspflichten erfüllt worden sind und man sich z.b. kein pflichtwidriges Verhalten nach 93 Absatz 1 AktG vorzuwerfen hat. Der Prüfungsstandard legt einen einheitlichen Rahmen für Compliance-Management-Systeme (CMS) fest. Damit gibt es jetzt erstmalig in Deutschland ein seitens der Wirtschaftsprüfung definiertes Rahmenkonzept mit Leitlinien und Vorgaben für Unternehmen, die sich zur Verbesserung ihrer Compliance mit der Einrichtung eines Compliance-Management-Systems oder ähnlichen Strukturen beschäftigen oder dies bereits weitgehend umgesetzt haben. Damit ist davon auszugehen, dass durch diesen Prüfungsstandard auch eine zunehmende Standardisierung der Compliance-Organisation erzielt wird und die Compliance- Aufgaben innerhalb der Corporate Governance deutscher Unternehmen wirksam und nachhaltig erfüllt werden können. Als eines der ersten Unternehmen unterzieht z.b. ThyssenKrupp sein Compliance-System in 2011 einer Wirksamkeitsprüfung seines CMS nach IDW PS 980 mit den Schwerpunkten Kartellrecht und Korruptionsbekämpfung 15. Nachfolgend sind einige Kernelemente des Prüfung des Compliance-Management-Systems nach dem Prüfungsstandard IDW PS980 dargestellt, die derzeit auch in der Arbeitsgruppe GRC der DSAG behandelt werden mit dem Ziel, den DSAG Mitgliedsfirmen praktische Hilfestellung bei der nachhaltigen Einrichtung und dem Management von Compliance-Systemen zu geben. Audit Compliance Management (nach IDW PS 980) > Compliance-Management-System (CMS) ist ein Teilbereich des Risikomanagementsystems (RMS) > IDW PS 980 ersetzt nicht > Die Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340) > Die Beurteilung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprüfung (IDW EPS 525) > Auftrags-(Prüfungs-)typen > Prüfung der Konzeption des CMS > Prüfung von Angemessenheit und Implementierung des CMS > Prüfung von Angemessenheit, Implementierung und Wirksamkeit des CMS > Prüfungsgebiete (Aufbau- und Funktionsprüfung abhängig vom Auftragstyp) > Compliance-Kultur > Grundlagen für die Angemessenheit und Wirksamkeit des CMS > Grundeinstellung und Verhaltensweisen des Managements (Tone from the Top) > Compliance-Ziele > Festlegung wesentlicher Ziele, die mit dem CMS erreicht werden sollen 14 IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen (IDW PS 980, Stand: 11.03.2011) 15 Vgl. Präsentation ThyssenKrupp Compliance-Programm, Dr. Thomas Kremer, Chefjustitiar und Chief Compliance Officer ThyssenKrupp AG, 26. Mai 2011 Seite 15 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

3 Regulatorische Anforderungen > Festlegung wesentlicher Teilbereiche und in den Teilbereichen einzuhaltenden Regeln > Compliance-Organisation > Rollen und Verantwortlichkeiten > Aufbau- und Ablauforganisation > Ressourcenplanung > Compliance-Risiken > Identifikation von wesentlichen Compliance-Risiken > Systematische Risikoerkennung mit Risikobeurteilung > Compliance-Programm > Auf Grundlage der identifizierten Risiken werden Grundsätze und Maßnahmen eingeführt, die risikominimierend wirken > Compliance-Kommunikation > Betroffene Mitarbeiter und ggfs. Dritte werden über das Compliance-Programm sowie Rollen/ Verantwortlichkeiten informiert > Festlegung eines Berichtsweges über identifizierte Risiken, festgestellte Regelverstöße sowie eingehende Hinweise > Compliance-Überwachung und Verbesserung > Überwachung der Angemessenheit und Wirksamkeit (inkl. Reporting) > Voraussetzung: ausreichende Dokumentation > Management trägt Verantwortung 3.11 BUNDESDATENSCHUTZGESETZ (BDSG) Gemäß 9 BDSG sind zur Sicherstellung des Datenschutzes bei personenbezogenen Daten technische und organisatorische Maßnahmen erforderlich. Hinsichtlich der Zugriffskontrollen wird gefordert, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle). Ferner ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), Gem. Ziff. 5 der Anlage zu 9 BDSG ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), Weiterhin ist lt. Ziff. 7 zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Einzelheiten zum Datenschutz im SAP-Umfeld können Sie im DSAG Datenschutzleitfaden nachlesen. 16 16 Leitfaden Datenschutz SAP ERP 6.0 (Stand 20. September 2009), Download über DSAGNet Seite 16

3.12 BILANZRECHTSMODERNISIERUNGSGESETZ (BILMOG) Die neuen Bilanzierungsregelungen sind verpflichtend für Geschäftsjahre ab dem 01. Januar 2010 anzuwenden. Sie sind anzuwenden durch kapitalmarktorientierte Konzernunternehmen im Sinne des 264d HGB n.f. Neben einer Vielzahl neuer HGB Regelungen zur Bilanzierung und Bewertung innerhalb der Rechnungslegung eines Unternehmens werden mit dem BilMoG auch wesentliche Vorgaben aus EU-Recht (8. EU-Richtlinie) umgesetzt. Auch das interne Kontrollsystem und das Risikomanagementsystem rücken durch BilMoG stärker in den Blickpunkt von Vorständen und Aufsichtsräten und insofern stehen in den Unternehmen die entsprechenden aufbau- und ablauforganisatorischen Fragestellungen (auch zu Themen wie Funktionstrennung und sichere Berechtigungskonzepte und -systeme) im Fokus. Bei unzureichender Ausübung der Managementpflichten mit entsprechenden Schadensfällen können sich Haftungsansprüche ergeben (Organisationsverschulden gem. 130 OWiG, 93 Abs. 2 AktG bzw. 43 GmbHG). 3.12.1 LAGEBERICHT ( 289, 315 HGB N.F.) Im Lagebericht sind die wesentlichen Merkmale des rechnungslegungsbezogenen internen (IKS) und des Kontroll- und Risikomanagementsystems (RMS) zu beschreiben. 3.12.2 PFLICHTEN DES AUFSICHTSRATES Der Aufsichtsrat hat die Verpflichtung zur Überwachung folgender Bereiche: > Rechnungslegungsprozess > Internes Kontrollsystem (IKS) > Risikomanagementsystem (RMS) > Internes Revisionssystem (Interne Revision) Diese Überwachungspflichten werden dazu führen, dass sich Aufsichtsräte entsprechende Berichtswege mit wirksamen Überwachungsstrukturen einrichten und dies auch Auswirkungen auf effiziente und effektive Kontrollen insbesondere in solchen Unternehmensbereichen haben wird, die Daten zur Finanzberichterstattung beisteuern (insbesondere Rechnungs- und Finanzwesen, Personalwesen, Materialwirtschaft, Produktion, Vertrieb). 3.12.3 HANDLUNGSFELDER FÜR DEN VORSTAND Der Vorstand trägt die Verantwortung für Einrichtung, angemessene Ausgestaltung und den Nachweis der Wirksamkeit u.a. des IKS und des RMS. Dies erfordert eine Bestandsaufnahme der vorhandenen Instrumente zum IKS/RMS: > Systematische Aufnahme vorhandener wesentlicher Instrumente (u.a. Softwareunterstützung) und deren Verzahnung > Analyse der Angemessenheit, insbesondere der Nachweisfähigkeit > Maßnahmen zur Verbesserung des IKS/RMS Seite 17 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

3 Regulatorische Anforderungen Darüber hinaus ist ein Nachweis der Wirksamkeit von IKS/RMS zu führen: > Externe Zertifizierung der internen Revision (IR) > Etablierung eines Regelprozesses zum Monitoring der Wirksamkeit (Self Assessment, Prüfungsplanung der IR, Prüfung durch Externe, Konsolidierung der Überwachungsergebnisse) > Initiierung von Verbesserungsmaßnahmen bei festgestellten Schwächen > Berichterstattung an den Aufsichtsrat Durch eine möglichst integrierte Steuerung und Überwachung der Risiken und Kontrollen innerhalb für das Unternehmen besonders kritischer Geschäftsabläufe mit Hilfe von SAP BO GRC Access Control, Process Control und Risk Management kann ein effektives und effizientes Management der Risiken und Kontrollen erreicht werden. Dies ist eine wesentliche Voraussetzung für die praktische Umsetzung der BilMoG-Anforderungen an Vorstand und Aufsichtsrat im Rahmen der Überwachung des internen Kontrollsystems und internen Risikomanagementsystems. Eine der wesentlichen Maßnahmen zur Verbesserung des internen Kontrollsystems ist die Beseitigung von Risiken aufgrund von fehlender oder unzureichender Funktionstrennung beim Daten- und Programmzugriff (Stichwort: Segregation of Duties) und damit dem unkontrollierten, umfassenden Zugriff auf wesentliche IT-Systeme zur Abwicklung wesentlicher finanzkritischer Geschäftsprozesse. Eine unter IKS-Gesichtspunkten wirksame Funktionstrennung in der Ablauforganisation eines Unternehmens lässt sich durch ein entsprechendes Benutzerkonzept mit auf den Arbeitsplatz zugeschnittenen Benutzerberechtigungen erreichen. Der geschilderte Handlungsbedarf gilt übrigens nicht nur für große börsennotierte Unternehmen, sondern ist auch für kapitalmarktorientierte Mittelstandsunternehmen verpflichtend, die ein funktionierendes internes Kontroll- und Risikomanagementsystem sicherstellen wollen. 3.13 BASEL II Unter dem Begriff Basel II werden die Eigenkapitalvorschriften für Kreditinstitute zusammengefasst, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Auf der Grundlage der EU-Richtlinien 2006/48/EG und 2006/49/EG erfolgte in Deutschland die Umsetzung mit Wirkung ab 1. Januar 2007 durch das Kreditwesengesetz, die Solvabilitätsverordnung und die MaRisk (Mindestanforderungen an das Risikomanagement). Die Rahmenvereinbarung von Basel II basiert auf den drei Säulen > Mindestkapitalvorschriften (Berechnung einer angemessenen Eigenkapitalausstattung) > aufsichtsrechtliche Überprüfungsverfahren > Marktdisziplin (höheres Maß an Transparenz bei der Offenlegung von Informationen der Bank. Sie verlangt die Offenlegung quantitativer und qualitativer Aspekte der von der Bank verwendeten Methoden für das Management ihrer Eigenkapitalanforderungen) Seite 18

Kreditinstitute müssen zu jedem einzelnen Risikobereich (z.b. Kredit-, Markt-, operationelles Risiko, Zinsänderungsrisiko des Anlagebuchs und Beteiligungspositionen) die internen Ziele und Grundsätze des Risikomanagements beschreiben. Dazu gehören: > Strategien und Prozesse > Struktur und Organisation der relevanten Risikomanagement-Funktion > Art und Umfang der Risikomeldungen und/oder -messsysteme > Grundsätze der Absicherung und/oder Minderung von Risiken sowie Strategien und Prozesse zur Überwachung der fortgesetzten Effektivität dieser Absicherungen/Risikominderungen Innerhalb der Mindestanforderungen an das Risikomanagement (MaRisk) ist hinsichtlich der internen Kontrollverfahren festgelegt, dass Adressausfallrisiken, Marktpreisrisiken, Zinsänderungsrisiken, Liquiditätsrisiken und operationelle Risiken anhand wirksamer Risikosteuerungs- und Controllingprozesse zu überwachen sind und darüber zu berichten ist. 3.14 BASEL III Die neuen Empfehlungen (Basel III) wurden im November 2010 verabschiedet und basieren einerseits auf den Erfahrungen mit Basel II und andererseits auf den Erkenntnissen und Erfahrungen aus der weltweiten Finanz- bzw. Wirtschaftskrise. Sie sind bis 2018 umzusetzen. Von den Banken wird die Erhöhung der Mindesteigenkapitalanforderungen und die Einführung von Kapitalpuffern gefordert. Damit sollen die Banken im Falle einer Krise besser gewappnet sein. 3.15 MINDESTANFORDERUNGEN AN COMPLIANCE MACOMP Am 7.Juni 2010 wurden von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Mindestanforderungen an Compliance und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach 31 ff. WpHG (MaComp) veröffentlicht 17. Die neuen Vorgaben sind bis Ende 2010 umzusetzen. Durch die Anforderungen sollen insbesondere Unsicherheiten innerhalb der Wertpapier-Compliance ausgeräumt werden. Die MaComp richten sich an alle Wertpapierdienstleistungsunternehmen im Sinne des 2 Abs. 4 WpHG. Eine Compliance-Funktion, die prozessbegleitend und präventiv arbeiten soll, ist einzurichten. Dabei ist die Compliance-Funktion Teil des internen Kontrollsystems. 3.16 MINDESTANFORDERUNGEN AN DAS RISIKOMANAGEMENT MARISK Die aktuellen MaRisk wurden mit BaFin-Rundschreiben vom 15. Dezember 2010 verkündet. Im Einzelnen sind u.a. folgende Handlungsfelder präzisiert 18 : > Risiken > Geschäfte > Gesamtverantwortung der Geschäftsleitung > Allgemeine Anforderungen an das Risikomanagement > Internes Kontrollsystem mit Aufbau- und Ablauforganisation, Risikosteuerungs- und -controllingprozesse, Stresstests > Interne Revision > Risikomanagement auf Gruppenebene > Organisationsrichtlinien 17 BaFin: Rundschreiben MaComp WA 4/2010 vom 07. Juni 2010 18 BaFin: Rundschreiben 11/2010 (BA) - Mindestaforderungen an das Risikomanagement MaRisk vom 15. Dezember 2010 Seite 19 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

3 Regulatorische Anforderungen > Technisch-organisatorische Ausstattung (u.a. müssen die IT-Systeme und die IT-Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen) > Outsourcing (Regelung der Modalitäten bei Auslagerung von Dienstleistungen an Dritte, wie z.b. Festlegung von Informations- und Prüfungsrechten, Sicherstellung der Datenschutzbestimmungen) 3.17 MARKETS IN FINANCIAL INSTRUMENTS DIRECTIVE MIFID Bei der MiFiD handelt es sich um eine EU-Richtlinie, die in Deutschland im Wesentlichen in 2007 mit dem Finanzmarktrichtlinie-Umsetzungsgesetz (FRUG) in nationales Recht überführt worden ist. Das FRUG regelt insbesondere die Verhaltens-, Organisation- und Transparenzpflichten der Wertpapierdienstleistungsunternehmen. Damit sind entsprechende Informations- und Berichtspflichten sowie Dokumentatons- und Archivierungsanforderungen verbunden, die letztlich nur durch geeignete IT-Systeme und Applikationen umzusetzen sind. 3.18 SOLVABILITÄTSVERORDNUNG SOLVV Hierbei handelt es sich um eine Verordnung über die angemessene Eigenmittelausstattung von Instituten, Institutsgruppen und Finanzholding-Gruppen des Bundesministeriums der Finanzen vom 14. Dezember 2006. Die SolvV deckt die erste und dritte Säule aus Basel II ab. Die vom Gesetzgeber geforderte Markttransparenz wird durch spezielle Offenlegungsvorschriften untermauert. 3.19 SOLVENCY II Mit Solvency II (Solvabilität II) wird zurzeit ein neues europäisches Aufsichtssystem für Versicherungsunternehmen entwickelt. Es wird insbesondere die Kapitalanforderungen an Versicherungsunternehmen grundlegend reformieren. Das bestehende Solvenzmodell, Solvency I, wurde in den frühen 1970er-Jahren eingeführt und definiert pauschale Kapitalanforderungen (Solvenzspannen) auf relativ einfach Weise. Diese bilden nur bedingt die tatsächlichen Risiken des Versicherungsgeschäfts ab. In einigen Fällen stehen die heutigen Regelungen im Widerspruch zu gutem Risikomanagement. 19 Solvency II ist eines der wichtigsten Projekte im Bereich Aufsicht über Finanzdienstleistungen auf EU-Ebene. Ziel des Projektes ist es, die heutigen Solvabilitätsvorschriften (Eigenmittelanforderungen) für Versicherungsunternehmen zu einem konsequent risikoorientierten System der Finanzaufsicht weiterzuentwickeln. Die Versicherer werden animiert, ihr eigenes, internes Risikomanagement zu verbessern. Versicherer müssen das Vorhandensein einer Risikostrategie, einer angemessenen Aufbau- und Ablauforganisation, eines internen Steuerungs- und Kontrollsystems und einer internen Revision nachweisen. Darüber hinaus wird mit Solvency II eine angemessene Harmonisierung der Aufsicht in Europa angestrebt. Solvency II wird voraussichtlich zum 1. Januar 2013 in Kraft treten. 20 3.20 SARBANES-OXLEY ACT (SOX) SOX ist ein Oberbegriff für gesetzliche Anforderungen an interne Kontrollen der Finanzberichterstattung und betrifft alle an US-Börsen gelisteten Unternehmen. Insofern fallen auch deutsche Unternehmen unter dieses US-Gesetz von 2002, sofern ihre Wertpapiere an einer US-Börse gelistet sind. Unternehmen müssen gem. SOX nachweisen, dass wirksame interne Kontrollen (unternehmensweite Kontrollen und Geschäftsprozesskontrollen) zur Sicherstellung einer zutreffenden und vertrauenswürdigen Finanzberichterstattung eingerichtet sind. Dieser Nachweis ist durch das Management gegenüber der amerikanischen Börsenauf- Seite 20 19 Siehe Gesamtverband der Deutschen Versicherungswirtschaft e.v. (GDV) 20 Auszüge BaFin Solvency II 21 COSO (Committee of Sponsoring Organizations of the Treadway Commission). Entsprechende Informationen und Detailbeschreibungen des Internal Control Framework nach COSO sind u.a. über folgenden Link verfügbar: http://www.coso.org/guidance.htm.