www.pwc.de Symposium des Forschungsinstituts Leasing der Universität zu Köln WP/StB Michael Henneberger Partner Aufsichtliche Anforderungen und Prüfungserfordernisse zur Betrugsprävention 25.
Agenda Begriffsdefinitionen Anforderungen an die Sicherungsmaßnahmen Aufgaben des externen Prüfers Folie 2
Agenda Begriffsdefinitionen Anforderungen an die Sicherungsmaßnahmen Aufgaben des externen Prüfers Folie 3
Begriffsdefinitionen Betrugsprävention aus Sicht eines Prüfers Sonstige strafbare Handlungen Der Begriff sonstige strafbare Handlungen ( 25h Abs. 1 KWG) ist weit gefasst. Hierunter sind alle vorsätzlich begangenen strafbaren Handlungen, die zu einer wesentlichen Gefährdung des Vermögens des Instituts führen können, zu verstehen. Strafbare Handlungen können a) von außen (z.b. durch Kunden, Dienstleister) b) von innen (durch Mitarbeiter) c) im Zusammenspiel von Externen und Mitarbeitern erfolgen. Folie 4
Begriffsdefinitionen Deliktarten Tatbestandliche Voraussetzungen Folie 5
Begriffsdefinitionen Betrugsprävention - eine Herausforderung auch für Leasing Folie 6
Begriffsdefinitionen Faktoren, die das Auftreten von Fraud begünstigen Unternehmensleitung oder Mitarbeiter haben Anreize Fraud zu begehen oder stehen unter Druck Anreize/Druck Gelegenheit Aufgrund der Umstände, z.b. Vorliegen eines mangelhaften Kontrollsystems, besteht die Gelegenheit Fraud zu begehen Warum Fraud begehen? Innere Rechtfertigung/ Verhalten Die Unternehmenskultur fördert eine innere Rechtfertigung Fraud zu begehen Folie 7
Begriffsdefinitionen MaRisk-Compliance Organisation Compliance Unmittelbar unter der Geschäftsleitung oder Anbindung an andere Kontrolleinheiten Benennung eines Compliance-Beauftragten Information des Aufsichtsorgans bei Wechsel des Compliance-Beauftragten (auch bei Wechsel des Leiters der Internen Revision) Einräumung ausreichender Befugnisse und Zugang zu den notwendigen Informationen Aufgaben Compliance Regelmäßige Gefährdungsanalyse Sorge tragen für die Implementierung wirksamer Verfahren und Kontrollen Risiken entgegenwirken, die sich aus Nichteinhaltung rechtlicher Regelungen ergeben Unterstützung und Beratung bei der Einhaltung der rechtlichen Regelungen Berichterstattung Compliance Prozess Identifikation und Risikobewertung von gesetzlichen Bestimmungen Berichterstattung Überwachung und Bewertung durch Compliance Analyse des Handlungsbedarfs Umsetzung durch die operativen Bereiche Folie 8
Agenda Begriffsdefinitionen Anforderungen an die Sicherungsmaßnahmen Aufgaben des externen Prüfers Folie 9
Anforderungen an die Sicherungsmaßnahmen Regulatorisches Rahmenwerk - 25h KWG 25h Abs. 1 KWG Implementierung eines angemessenen Risikomanagements 25h Abs. 3 KWG Identifizierung und Untersuchung zweifelhafter und ungewöhnlicher Sachverhalte Allgemeine und konkrete Sicherungsmaßnahmen 25h Abs. 2 KWG Implementierung angemessener Datenverarbeitungssysteme 25h Abs. 9 KWG Implementierung einer zentralen Stelle Folie 10
Anforderungen an die Sicherungsmaßnahmen Ordnungsgemäße Geschäftsorganisation Angemessenes Risikomanagement(-system) Institute müssen über ein angemessenes Risikomanagement zur Verhinderung von sonstigen strafbaren Handlungen, die zu einer Gefährdung des Vermögens des Instituts führen können, verfügen. In 25h KWG sind u.a. folgende, nähere Anforderungen an die Verhinderung sonstiger strafbarer Handlungen vorgesehen: Klare Festlegung und schriftliche Fixierung der Zuständigkeit in einer zentralen Stelle zusammen mit den Themen Geldwäsche und Terrorismusfinanzierung Festlegung klarer Zuständigkeiten und Berichtslinien Folie 11
Anforderungen an die Sicherungsmaßnahmen Ordnungsgemäße Geschäftsorganisation Angemessenes Risikomanagement(-system) Implementierung EDV gestützter Monitoring-Systeme, die neben der Verhinderung von Geldwäsche und Terrorismusfinanzierung auch für sonstige strafbare Handlungen eingesetzt werden müssen (zu beachten sind die DK-Hinweise bezüglich der Angemessenheit von Datenverarbeitungssystemen (DK-Hinweise, Zeile 86 c.-g.) Gruppenweite Umsetzung Folie 12
Anforderungen an die Sicherungsmaßnahmen Ordnungsgemäße Geschäftsorganisation Aufgaben der zentralen Stelle (1/3) Erstellung einer Gefährdungsanalyse (GFA), in der die wesentlichen Vermögensgefährdungen erfasst sind Informationen zum Gefährdungspotential des Instituts Sammlung von Informationen (innerhalb und außerhalb des Instituts) über strafbare Handlungen und Risiken, z.b.: Analyse und Auswertung von aufgedeckten Fällen (Schaffung einer Betrugs-, Kriminalitäts- und/oder Schadendatenbank) Informationen durch Ermittlungsbehörden oder andere Stellen (Typologien), Medienberichte, Informationsdatenbanken Vernetzung und Informationsaustausch mit anderen Instituten (entsprechend 12 Abs. 3 GwG) Folie 13
Anforderungen an die Sicherungsmaßnahmen Ordnungsgemäße Geschäftsorganisation Aufgaben der zentralen Stelle (2/3) Ergreifen allgemeiner kunden- und mitarbeiterbezogener Sicherungsmaßnahmen (u.a. Sensibilisierung, Schulung, KYC, KYE, KYCol, Verhaltenskodex, Fraud Policy, Hinweisgebersystem) Durchführung von internen Kontrollen, koordiniert mit der Internen Revision, z.b. Einhaltung Kompetenzordnung Bestandsaufnahme/ Kassenkontrolle Zutrittskontrolle/ Gebäudesicherheitskonzept 4-Augen-Prinzip statistische Überprüfungen Folie 14
Anforderungen an die Sicherungsmaßnahmen Ordnungsgemäße Geschäftsorganisation Aufgaben der zentralen Stelle (3/3) Sicherstellen von strukturierten Abläufen und Ad-hoc-Maßnahmen zum Umgang mit aufgedeckten strafbaren Handlungen Konsequente Verfolgung von sonstigen strafbaren Handlungen durch Interne, Externe oder kollusivem Handeln von Internen und Externen Einbindung der Internen Revision bei der Untersuchung und Aufarbeitung sonstiger strafbarer Handlungen Beteiligung bei der Organisation der Geschäftsprozesse Folie 15
Anforderungen an die Sicherungsmaßnahmen Regelkreislauf der Fraud Kontrollen 1. Analyse Analyse der aktuellen Fraud- Risikosituation in den Kernprozessen (GFA) 6. Re-Testing Erneutes Testen der Angemessenheit und Wirksamkeit der Fraud- Kontrollen Re-Testing Analyse Fraud- Kontrollen Dokumentation Kontrollen Optimierung 2. Dokumentation/Kontrollen Vollständige Dokumentation und verständliche Spezifikation der erforderlichen Fraud-Kontrollen 3. Optimierung Prüfung der Angemessenheit der Fraud-Kontrollen und ggf. Anpassung 5. Maßnahmen Umsetzung erforderlicher Maßnahmen zur Optimierung Maßnahmen Testing 4. Testing Testen der Wirksamkeit der Fraud-Kontrollen Folie 16
Agenda Begriffsdefinitionen Anforderungen an die Sicherungsmaßnahmen Aufgaben des externen Prüfers Folie 17
Aufgaben des externen Prüfers IDW PS 200 Der Wirtschaftsprüfer führt die Abschlussprüfung mit dem Ziel durch, die Aussagen über das Prüfungsergebnis unter Beachtung des Grundsatzes der Wirtschaftlichkeit mit hinreichender Sicherheit treffen zu können [...] Die Abschlussprüfung ist mit einer kritischen Grundhaltung zu planen und durchzuführen; die erlangten Prüfungsnachweise sind kritisch zu würdigen [ ] Ein über diese kritische Grundhaltung hinausgehendes besonderes Misstrauen des Abschlussprüfers ist im Rahmen der Jahresabschlussprüfung i.d.r. nicht erforderlich (IDW PS 200). Hinreichende, aber keine absolute Sicherheit für die Aufdeckung von Fraud Abschlussprüfung ist keine Unterschlagungsprüfung gemäß IDW PS 201 Die Verantwortung für die Verhinderung bzw. Aufdeckung von Fraud liegt beim Vorstand Unternehmen müssen interne Kontrollen einrichten, damit Fraud verhindert bzw. aufgedeckt wird diese sind vom Abschlussprüfer zu überprüfen Folie 18
Aufgaben des externen Prüfers Überprüfung des internen Kontrollsystems Identifizierung von Schwachstellen im IKS Sind die Prozesse des Instituts transparent? Ist die strikte Funktionstrennung eingehalten? Gibt es klare Kompetenzregelungen? Ist das 4-Augen-Prinzip institutsweit eingehalten (Freigabe im System erst nach Bestätigung durch einen zweiten Kompetenzträger)? Werden hohe Summen auf CpD-Konten gehalten? Wie reagiert das Management auf die Identifizierung von Schwachstellen im Internen Kontrollsystem (IKS)? Folie 19
Aufgaben des externen Prüfers Entdeckungswege - Hinweisgebersystem Anforderungen gemäß 25a Abs. 1 KWG Verpflichtende Einführung eines Hinweisgebersystems ( Whistleblowing ) zum 1. Januar 2014 (CRD IV-Umsetzungsgesetz) Mögliche Hinweisgebersysteme in der Praxis Interner Briefkasten (Hinweise über die Hauspost) Interne Telefon-Hotline Internes E-Mail-Postfach Externes Call-Center Externer Ombudsmann Häufigste Lösung in der Praxis Internet-gestützte Lösung (Standardlösung durch Drittanbieter) Kombinationen (z.b. Internet-gestützte Lösung mit Ombudsmann) Folie 20
Aufgaben des externen Prüfers Implementierte Sicherungsmaßnahmen Überprüfen und Bewerten von Angemessenheit und Wirksamkeit (1/3) Bewertung der aufbau- und ablauforganisatorischen Maßnahmen zur Verhinderung sonstiger strafbarer Handlungen Bewertung der Tätigkeit der zentralen Stelle - z.b. Durchführung von geeigneten Kontrollen, Schulung der Mitarbeiter, Umsetzung gruppenweiter Maßnahmen Bewertung der Risikoanalyse zu sonstigen strafbaren Handlungen - Ist die GFA institutsspezifisch aufgestellt? - Deckt die GFA alle institutsspezifischen Risiken ab? - Werden anhand der GFA angemessene Präventionsmaßnahmen abgeleitet? Folie 21
Aufgaben des externen Prüfers Implementierte Sicherungsmaßnahmen Überprüfen und Bewerten von Angemessenheit und Wirksamkeit (2/3) Interne Grundsätze und Verfahren zur Prävention von sonstigen strafbaren Handlungen Aktualität? Vollständigkeit? Angemessenheit? Werden sind wirksam angewendet? Bewertung der Monitoring-Maßnahmen zur Aufdeckung von sonstigen strafbaren Handlungen Enthält das Indizienmodell Parameter zur Identifizierung sonstiger strafbaren Handlungen? Werden Rückschlüsse aus Monitoring hin zur GFA und den Präventionsmaßnahmen gezogen? Folie 22
Aufgaben des externen Prüfers Implementierte Sicherungsmaßnahmen Überprüfen und Bewerten von Angemessenheit und Wirksamkeit (3/3) Bewertung des Umgangs mit Fraud-relevanten Sachverhalten aufgrund Hinweisgebersystem aufgrund externer Meldungen Bewertung der Tätigkeit der Internen Revision im Zusammenhang mit Prüfungen zum Themenkomplex sonstige strafbare Handlungen Berichterstattung über die Prüfungsergebnisse und Bewertung im Rahmen des BaFin-Fragebogens gemäß Anlage 5 zu 27 PrüfbV Folie 23
Aufgaben des externen Prüfers Implementierte Sicherungsmaßnahmen Beobachtete Schwachstellen in der Praxis Schriftlich fixierte Ordnung nicht angemessen Gefährdungsanalyse der institutsspezifischen Risikosituation unvollständig bzw. entspricht nicht den Anforderungen (BaFin- Rundschreiben, DK-Hinweise) Unzureichende Durchführung von Kontrollen zur Überprüfung der Wirksamkeit implementierter Sicherungsmaßnahmen (z.b. Monitoring interner Konten, weiterer Hoch-Risikobereiche (z.b. Einkauf, Verwertung) EDV-Monitoring berücksichtigt strafbare Handlungen nicht in ausreichendem Maße Unzureichende Schulung der Mitarbeiter (Aktualität, Vollständigkeit, Spezifika des Instituts) Folie 24
Anforderungen an die Sicherungsmaßnahmen -Umfrage 2015 (Zeitraum 2007-2013) Wesentliche Ergebnisse: Finanzinstitute häufiger betroffen als Unternehmen andere Branchen Anzahl Schadensfälle rückläufig Betrag je Schadensfall im Durchschnitt steigend Angemessenes Risikomanagement(-system) sowie Präventions- und Compliance-Systeme eingerichtet Folie 25
Ihre Fragen... Folie 26
Vielen Dank für Ihre Aufmerksamkeit. PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft Friedrich-Ebert-Anlage 35-37 60327 Frankfurt am Main Tel.: +49 69 9585 2661 Fax: +49 69 9585 918327 Mobiltel.: +49 175 1836369 michael.henneberger@de.pwc.com Michael Henneberger Wirtschaftsprüfer/Steuerberater Partner Financial Services 2015 PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten. bezeichnet in diesem Dokument die PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International Limited (IL) ist. Jede der Mitgliedsgesellschaften der IL ist eine rechtlich selbstständige Gesellschaft.