Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis – Projekt Dienstleiterbezogenes Internes Kontrollsystem

  • Unternehmen lagern häufig eine oder mehrere betriebliche Funktionen, z.B. die Personalabrechnung oder das gesamte Rechenzentrum, auf andere Unternehmen aus (Dienstleistungsunternehmen).
  • Das in diesen ausgelagerten Funktionen enthaltene interne Kontrollsystem bleibt in der Verantwortung des auslagernden Unternehmens.
  • Das Dienstleistungsunternehmen hat ein geeignetes dienstleisterbezogenes internes Kontrollsystem einzurichten und den Auslagerungsunternehmen hierzu entsprechende Nachweise bereitzustellen.
  • Damit werden auch die Grundlagen für die Reportingpflichten gemäß IDW Standard PS 951 n.F. geschaffen.

 
Internes Kontrollsystem bei Auslagerungen - Prüfung in der Praxis

Reporting – Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Eine Berichtspflicht nach IDW Standard PS 951 n.F. kann nach Typ 1 oder Typ 2 aufgebaut werden.
Berichterstattung vom Typ 1:
Sind die in der IKS-Beschreibung dargestellten Kontrollen zur Erzielung der dargestellten
Kontrollziele zum Prüfungszeitpunkt angemessen ausgestaltet?
Berichterstattung vom Typ 2:
Sind die geprüften Kontrollen, die notwendig sind, um hinreichende Sicherheit zu erzielen, dass die in der IKS-Beschreibung dargestellten Kontrollziele erreicht wurden, im geprüften Zeitraum wirksam?
  

Dienstleisterbezogenes Internes Kontrollsystem – Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Unser Mandant zählt zu den führenden Zahlungsdienstleistern in Deutschland und bietet innovative Zahlungsverfahren für Privat- und Geschäftskunden an. Die wesentlichen Leistungen werden im Rahmen eines Outsourcing-Modells erbracht. Damit können die Agilitätsvorteile eines FinTech-Unternehmens optimal genützt werden.
Zur Sicherstellung eines ordnungsgemäßen Reportings gegenüber den Auslagerungsunternehmen wurde ein dienstleisterbezogenes Internes Kontrollsystem eingerichtet. Die wesentlichen Projektschritte zeigt unser S+P Projektfahrplan.

Nutzen/Vorteile unseres modularen Beratungsansatzes Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis:

Mit unseren modularen System-Tools schaffen wir für Sie folgende(n) Nutzen/Vorteile:

  • Die vom Mandanten ausgewählten Module werden auf Ihre Unternehmensprozesse individuell angepaßt, so daß –sofern aufsichtsrechtlich vertretbar- tiefgreifende Umstrukturierungen vermieden werden können.
  • Der zeitliche Implementierungsaufwand kann mit unserem modularen Implementierungsansatz erheblich reduziert werden.
  • Die Zusatzbelastung der Mitarbeiter wird auf ein Minimum begrenzt. Mit gezielten Interviews nehmen wir einen Quick Check zu Ihren Kernprozessen vor.
  • Sie erhalten „schlüsselfertig“ eine Komplettdokumentation zu den jeweils ausgewählten Modulen.
  • Unsere Module basieren auf den Erfahrungen vieler aufsichtsrechtlicher BaFin-Prüfungen und werden laufend an neue Prüfungsanforderungen angepaßt. Damit bieten wir Ihnen bestmögliche Prüfungssicherheit.

 

Umsetzungs-Fahrplan für das Modul Internes Kontrollsystem

Der Aufbau des dienstleisterbezogenen Kontrollsystems erfolgt auf Basis des IDW Standards PS 951 n.F. Folgende Bausteine wurden dabei umgesetzt:
Bestandsaufnahme zum bestehenden Internen Kontrollsystem:
> Durchsicht der bestehenden Regelungen;
> Erarbeiten einer GAP-Analyse für die Einzelinterviews

Baustein 1: Kick Off – Information der Führungskräfte
Informations-Workshop für die Führungskräfte mit dem Fokus „Anforderungen an ein IKS“

Baustein 2: IKS Assessment – Workshops mit den Kontrollbereichen
Beispielhafte Erhebung zu  leistungswirtschaftlichen Bereichen. Der Schwerpunkt dieser Erhebung orientiert sich an den Kernprozessen des Unternehmens.
> Erarbeiten von Risikoindikatoren, Red Flags und Kontrollhandlungen.
> Aushändigung des IKS-Tools für die Detailerhebung der Risikoindikatoren, Red Flags und Kontrollhandlungen an die Führungskräfte.

Baustein 3: Plausibilisierung der Ergebnisse zum dienstleisterbezogenen IKS+lt;/strong>
> Verprobung der Ergebnisse des IKS-Projekts mit den Erhebungen der Führungskräfte
> Ergänzende Einzelinterviews zur Sachverhaltsklärung

Baustein 4: Erstellen von Muster-Rahmenbedingungen – Workshop Organisations-Handbuch
> Erstellen der Rahmenbedingungen IKS mit Anpassung an die unternehmensspezifischen Anforderungen
> Erarbeiten der Schnittstellen zu den einzelnen Kontrollbereichen

Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Die Rahmenbedingungen sind wie folgt aufgebaut:
Beschreibung des dienstleisterbezogenen IKS
o Bestandteile
o Kontrollumfeld
o Risikobeurteilung
o Kontrollaktivitäten
o ….

IKS-Rahmen des Unternehmens
o Aufbauorganisation
o Verantwortlichkeiten
o Ablauforganisation
o …

Interne Kontrollen des Unternehmens
o Geschäftsprozesse
o Interne Prozesse
o Personalwesen
o Rechnungslegung
o IT-Systeme
o Finanzberichterstattung
o Risikomanagement
o Interne Revision
o …

Weiterentwicklung des IKS
o Zuständigkeiten
o IKS-Beauftragter

 

Dieser Lehrgang zum Thema Auslagerungscontrolling und Steuerung der Dienstleister könnte dich interessieren.

Programm – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter (S+P)

1. Tag

  • Aufgaben und Pflichten des Auslagerungsbeauftragten
  • Risikoanalyse bei Auslagerungen: „Rote Linien“ kennen
  • Pre-Outsourcing Analyse nach MaRisk AT 9 und EBA-Leitlinien
  • Laufende Überwachungspflichten des Auslagerungsbeauftragten

2. Tag

  • IT-Compliance sicher umsetzen
  • IT-Governance: Risikoanalyse zur Feststellung des IT-Schutzbedarfs
  • Pflichten im Datenschutz: Agiles Schnittstellenmanagement zwischen Compliance, Informationssicherheit und Datenschutz

 

3. Tag

  • Risikomanagement:  Steuerung von Nachhaltigkeitsrisiken
  • Corporate Social Reponsibility: Pflichten aktiv steuern

 

Seminartag 1 – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter

Aufgaben und Pflichten des Auslagerungsbeauftragten – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter

  • Das Aufgabenspektrum des Outsourcing-Beauftragten
  • Effiziente Kommunikation zwischen Outsourcer und Insourcer
  • Definition von Eskalationsprozessen
  • Aussagefähiges Management-Reporting
  • Abgrenzung von Auslagerung und Fremdbezug nach MaRisk

 

Risikoanalyse bei Auslagerungen: „Rote Linien“ kennen – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter

  • Verschärfte Anforderungen an die Risikobewertung von Auslagerungsvereinbarungen:
    • Welche Auslagerungen sind zwingend als kritisch/ wesentlich einzustufen?
    • Operationelle Risiken und Reputationsrisiken
    • Bewertung des Step-in-Risikos
    • Unternehmens- und sektorspezifische Konzentrationsrisiken
    • Kontroll- und/ oder Interessenskonflikte
  • Bewertung von Vertragsgestaltung, Leistungskontrollen und organisatorischer Vorgaben:
    • MaRisk-Protokoll 03/2018: Neue Präzisierung von Zustimmungsvorbehalten und weitreichenden Informationsrechten
    • Neue Vorgaben an Kontroll- und Berichtspflichten bei Dienstleistern und Auslagerungsbeauftragten
    • Optimierung der Kennzahlen zur Risiko- und Performance-Messung (KPIs)
  • Auslagerungscontrolling in der Gruppe: Was ist zu beachten

 

Laufende Überwachungspflichten des Auslagerungsbeauftragten

  • MaRisk-Anforderungen an Monitoring- und Kontrollhandlungen
  • Bewertung von Vertragsgestaltung, Leistungskontrollen und  organisatorischer Vorgaben:
    • Neue Präzisierung von Zustimmungsvorbehalten und weitreichenden Informationsrechten
    • Neue Vorgaben an Kontroll- und Berichtspflichten des Dienstleisters und des Auslagerungsbeauftragten
    • Exit-Strategie AT9 Tz 6 iVm §25b KWG
    • Optimierung der Kennzahlen zur Risiko- und Performance-Messung
  • To Do’s für die Outsourcer aus Erkenntnissen von Sonderprüfungen
  • SREP und EBA-Vorgaben für die Steuerung der Risiken

 

Seminartag 2 – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter

IT-Compliance sicher umsetzen

  • Diese „rote Linien“ musst du kennen: Mindestanforderungen aus BAIT, KAIT, VAIT, DIN EN ISO 2700x und BSI-Grundschutz prüfungsfest umsetzen
  • Welche Risiken sind „wesentlich“? Begriffsabgrenzung zu § 25b KWG; § 26 ZAG  und § 32VAG
  • Auslagerung oder Fremdbezug? Richtige Bewertung von Software und IT-Dienstleistungen
  • IT-Compliance im Überblick: Verzahnung von IT-Strategie, IT- Governance, Informationssicherheits- und Informationsrisikomanagement
  • AT 7: Prüfungsschwerpunkt IT-Compliance: IT-Strategie, IT-Umfeld und IT-Organisation im Fokus der neuen MaRisk, MaGO, KAMaRisk und BCBS 239

 

IT-Governance: Risikoanalyse zur Feststellung des IT-Schutzbedarfs

  • Risikoanalyse im Informationsmanagement
  • Durchführung der qualitativ verschärften IT-Risikoanalyse auf Basis einheitlicher Scoring-Kriterien:
    • Einschätzung des Schutzbedarfs mit Blick auf Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität
    • Neue BaFin-Anforderungen an Cloud-Computing: Strategie, Risikoanalyse und Wesentlichkeitsbewertung
  • Informationssicherheits-Management: Erstellung des Sollmaßnahmenkatalogs und Ableiten der risikoreduzierenden Maßnahmen

 

Pflichten im Datenschutz: Agiles Schnittstellenmanagement zwischen Compliance, Informationssicherheit und Datenschutz

  • Module eines wirksamen Datenschutzsystems: Schnittstellenmanagement zu
    • Verarbeitungsverzeichnis Art. 30 EU-DSGVO
    • Datenschutz-Folgenabschätzung Art. 35 EU-DSGVO
    • Löschkonzept Art. 17 EU-DSGVO und DIN-Norm 66398
  • Sicherer Umgang mit selbst entwickelten IT-Anwendungen, Zugriffsrechten, IT- Abnahmen sowie Veränderungen im IT- System
  • Effiziente Kommunikation zu Auslagerungs-, Datenschutz-, Geldwäsche- und Informationssicherheits-Beauftragten
  • Kontrollplan Compliance – Die wichtigsten Überwachungs- und Kontrollhandlungen
  • Compliance-Anforderungen an Kontroll- und Reportingpflichten im IT-Bereich

 

Seminartag 3 – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter

Management von Nachhaltigkeitsrisiken – Compliance Pflichten sicher umsetzen

  • ESG-Risiken: Welche Risiken sind im Risikomanagement zu beachten?
    • Tone at the Top: Risikokultur und Nachhaltigkeit
    • Richtige Bewertung von Nachhaltigkeitsrisiken
    • Verantwortlichkeiten und Vorbildfunktion
  • Neue Anforderungen an die Geschäfts- und Risikostrategie
    • Positivliste: In welche Unternehmen, Branchen und Regionen darf investiert werden?
    • Green Bonds: Eine neue Asset Klasse für Finanzunternehmen
  • CSR-Reporting: Umsetzung der Pflichten §§ 289c, 340a, 341a HGB, DSR 20 und DIN ISO 26000

 

Risikomanagement: Bewertung und Steuerung von Nachhaltigkeitsrisiken

  • Neue BaFin-Anforderungen an das Management von Nachhaltigkeitsrisiken
  • Risikoanalyse als Basis für das Management von Nachhaltigkeitsrisiken
    • Risikoklassifizierungsverfahren: Beurteilung von Nachhaltigkeitsrisiken
    • Verwendung von ESG-Ratings
    • Stresstests und Szenarioanalysen
  • Durchführung der ESG-Risikoanalyse mit Kennzahlen
  • Nachhaltigkeits-Management: Erstellen des Sollmaßnahmenkatalogs und Ableiten der risikoreduzierenden Maßnahmen

 

Corporate Social Responsibility: Pflichten aktiv steuern

  • Aktive Steuerung von Nachhaltigkeitsrisiken in der Geschäftsorganisation:
    • Neue Aufgaben für die Compliance Funktion
    • Neue Anforderungen an die Qualifikation der Risikocontrolling-Funktion
    • ESG-Risiken im Auslagerungscontrolling sicher managen
    • Bundeslagebild Korruption: Prävention mit Nachhaltigkeits-Management
    • Neue Prüfungsaktivitäten der Internen Revision
  • Effiziente Kommunikation von ESG-Risiken: Verantwortlichkeiten und Schnittstellen für das CSR-Reporting klären
  • Kontrollplan für das Management von ESG-Risiken: Die wichtigsten Überwachungs- und Kontrollhandlungen

 

Depot A Management und Asset Management – Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Bauen Sie für Ihr Unternehmen eine eigenständige Kreditanalyse zur verlässlichen Beurteilung Ihrer Emittenten- und Kontrahentenlimite auf! In den Seminaren Depot A im Fokus der BankenaufsichtDepot A Management: Kompaktwissen für die Niedrigzinsphase und Depot A Management erhalten Sie Leitlinien für eine aufsichts- und haftungsrechtlich sichere Kreditanalyse und Limiteinräumung bei Eigenanlagen. Darüber hinaus helfen Ihnen anerkannte Beurteilungsstandards, Checklisten und Musterbeschlüsse bei einer fundierten und zuverlässigen Kreditanalyse im Depot A.

Seminare zum Thema MaRisk – CRD IV – CRR – Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Seminar MaRiskNeue MaRisk – CRD IV – CRR – §25KWG neu
Seminar MaRisk: MaRisk-konformes Verrechnungssystem für Liquiditätskosten
Seminar MaRisk: Neue MaRisk
Seminar MaRisk Compliance: Neue Compliance-Funktion gemäß MaRisk

Internes Kontrollsystem bei Auslagerungen - Prüfung in der Praxis

Kontakt

Newsletter