Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis – Projekt Dienstleiterbezogenes Internes Kontrollsystem

• Unternehmen lagern häufig eine oder mehrere betriebliche Funktionen, z.B. die Personalabrechnung oder das gesamte Rechenzentrum, auf andere Unternehmen aus (Dienstleistungsunternehmen).
• Das in diesen ausgelagerten Funktionen enthaltene interne Kontrollsystem bleibt in der Verantwortung des auslagernden Unternehmens.
• Das Dienstleistungsunternehmen hat ein geeignetes dienstleisterbezogenes internes Kontrollsystem einzurichten und den Auslagerungsunternehmen hierzu entsprechende Nachweise bereitzustellen.
• Damit werden auch die Grundlagen für die Reportingpflichten gemäß IDW Standard PS 951 n.F. geschaffen.

Reporting – Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Eine Berichtspflicht nach IDW Standard PS 951 n.F. kann nach Typ 1 oder Typ 2 aufgebaut werden.
Berichterstattung vom Typ 1:
Sind die in der IKS-Beschreibung dargestellten Kontrollen zur Erzielung der dargestellten
Kontrollziele zum Prüfungszeitpunkt angemessen ausgestaltet?
Berichterstattung vom Typ 2:
Sind die geprüften Kontrollen, die notwendig sind, um hinreichende Sicherheit zu erzielen, dass die in der IKS-Beschreibung dargestellten Kontrollziele erreicht wurden, im geprüften Zeitraum wirksam?
  

Dienstleisterbezogenes Internes Kontrollsystem – Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Unser Mandant zählt zu den führenden Zahlungsdienstleistern in Deutschland und bietet innovative Zahlungsverfahren für Privat- und Geschäftskunden an. Die wesentlichen Leistungen werden im Rahmen eines Outsourcing-Modells erbracht. Damit können die Agilitätsvorteile eines FinTech-Unternehmens optimal genützt werden.
Zur Sicherstellung eines ordnungsgemäßen Reportings gegenüber den Auslagerungsunternehmen wurde ein dienstleisterbezogenes Internes Kontrollsystem eingerichtet. Die wesentlichen Projektschritte zeigt unser S+P Projektfahrplan.

Nutzen/Vorteile unseres modularen Beratungsansatzes Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis:

Mit unseren modularen System-Tools schaffen wir für Sie folgende(n) Nutzen/Vorteile:

• Die vom Mandanten ausgewählten Module werden auf Ihre Unternehmensprozesse individuell angepaßt, so daß –sofern aufsichtsrechtlich vertretbar- tiefgreifende Umstrukturierungen vermieden werden können.
• Der zeitliche Implementierungsaufwand kann mit unserem modularen Implementierungsansatz erheblich reduziert werden.
• Die Zusatzbelastung der Mitarbeiter wird auf ein Minimum begrenzt. Mit gezielten Interviews nehmen wir einen Quick Check zu Ihren Kernprozessen vor.
• Sie erhalten „schlüsselfertig“ eine Komplettdokumentation zu den jeweils ausgewählten Modulen.
• Unsere Module basieren auf den Erfahrungen vieler aufsichtsrechtlicher BaFin-Prüfungen und werden laufend an neue Prüfungsanforderungen angepaßt. Damit bieten wir Ihnen bestmögliche Prüfungssicherheit.

Umsetzungs-Fahrplan für das Modul Internes Kontrollsystem

Der Aufbau des dienstleisterbezogenen Kontrollsystems erfolgt auf Basis des IDW Standards PS 951 n.F. Folgende Bausteine wurden dabei umgesetzt:
Bestandsaufnahme zum bestehenden Internen Kontrollsystem:
> Durchsicht der bestehenden Regelungen;
> Erarbeiten einer GAP-Analyse für die Einzelinterviews

Baustein 1: Kick Off – Information der Führungskräfte
Informations-Workshop für die Führungskräfte mit dem Fokus „Anforderungen an ein IKS“

Baustein 2: IKS Assessment – Workshops mit den Kontrollbereichen
Beispielhafte Erhebung zu  leistungswirtschaftlichen Bereichen. Der Schwerpunkt dieser Erhebung orientiert sich an den Kernprozessen des Unternehmens.
> Erarbeiten von Risikoindikatoren, Red Flags und Kontrollhandlungen.
> Aushändigung des IKS-Tools für die Detailerhebung der Risikoindikatoren, Red Flags und Kontrollhandlungen an die Führungskräfte.

Baustein 3: Plausibilisierung der Ergebnisse zum dienstleisterbezogenen IKS+lt;/strong>
> Verprobung der Ergebnisse des IKS-Projekts mit den Erhebungen der Führungskräfte
> Ergänzende Einzelinterviews zur Sachverhaltsklärung

Baustein 4: Erstellen von Muster-Rahmenbedingungen – Workshop Organisations-Handbuch
> Erstellen der Rahmenbedingungen IKS mit Anpassung an die unternehmensspezifischen Anforderungen
> Erarbeiten der Schnittstellen zu den einzelnen Kontrollbereichen

Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Die Rahmenbedingungen sind wie folgt aufgebaut:
Beschreibung des dienstleisterbezogenen IKS
o Bestandteile
o Kontrollumfeld
o Risikobeurteilung
o Kontrollaktivitäten
o ….

IKS-Rahmen des Unternehmens
o Aufbauorganisation
o Verantwortlichkeiten
o Ablauforganisation
o …

Interne Kontrollen des Unternehmens
o Geschäftsprozesse
o Interne Prozesse
o Personalwesen
o Rechnungslegung
o IT-Systeme
o Finanzberichterstattung
o Risikomanagement
o Interne Revision
o …

Weiterentwicklung des IKS
o Zuständigkeiten
o IKS-Beauftragter

Dieser Lehrgang zum Thema Auslagerungscontrolling und Steuerung der Dienstleister könnte dich interessieren.

Programm – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter (S+P)

1. Tag

• Aufgaben und Pflichten des Auslagerungsbeauftragten
• Risikoanalyse bei Auslagerungen: „Rote Linien“ kennen
• Pre-Outsourcing Analyse nach MaRisk AT 9 und EBA-Leitlinien
• Laufende Überwachungspflichten des Auslagerungsbeauftragten

2. Tag

• IT-Compliance sicher umsetzen
• IT-Governance: Risikoanalyse zur Feststellung des IT-Schutzbedarfs
• Pflichten im Datenschutz: Agiles Schnittstellenmanagement zwischen Compliance, Informationssicherheit und Datenschutz

3. Tag

• Risikomanagement:  Steuerung von Nachhaltigkeitsrisiken
• Corporate Social Reponsibility: Pflichten aktiv steuern

Seminartag 1 – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter

Aufgaben und Pflichten des Auslagerungsbeauftragten – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter

• Das Aufgabenspektrum des Outsourcing-Beauftragten
• Effiziente Kommunikation zwischen Outsourcer und Insourcer
• Definition von Eskalationsprozessen
• Aussagefähiges Management-Reporting
• Abgrenzung von Auslagerung und Fremdbezug nach MaRisk

Risikoanalyse bei Auslagerungen: „Rote Linien“ kennen – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter

• Verschärfte Anforderungen an die Risikobewertung von Auslagerungsvereinbarungen:
  • Welche Auslagerungen sind zwingend als kritisch/ wesentlich einzustufen?
  • Operationelle Risiken und Reputationsrisiken
  • Bewertung des Step-in-Risikos
  • Unternehmens- und sektorspezifische Konzentrationsrisiken
  • Kontroll- und/ oder Interessenskonflikte
• Bewertung von Vertragsgestaltung, Leistungskontrollen und organisatorischer Vorgaben:
  • MaRisk-Protokoll 03/2018: Neue Präzisierung von Zustimmungsvorbehalten und weitreichenden Informationsrechten
  • Neue Vorgaben an Kontroll- und Berichtspflichten bei Dienstleistern und Auslagerungsbeauftragten
  • Optimierung der Kennzahlen zur Risiko- und Performance-Messung (KPIs)
• Auslagerungscontrolling in der Gruppe: Was ist zu beachten

Laufende Überwachungspflichten des Auslagerungsbeauftragten

• MaRisk-Anforderungen an Monitoring- und Kontrollhandlungen
• Bewertung von Vertragsgestaltung, Leistungskontrollen und  organisatorischer Vorgaben:
  • Neue Präzisierung von Zustimmungsvorbehalten und weitreichenden Informationsrechten
  • Neue Vorgaben an Kontroll- und Berichtspflichten des Dienstleisters und des Auslagerungsbeauftragten
  • Exit-Strategie AT9 Tz 6 iVm §25b KWG
  • Optimierung der Kennzahlen zur Risiko- und Performance-Messung
• To Do’s für die Outsourcer aus Erkenntnissen von Sonderprüfungen
• SREP und EBA-Vorgaben für die Steuerung der Risiken

Seminartag 2 – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter

IT-Compliance sicher umsetzen

• Diese „rote Linien“ musst du kennen: Mindestanforderungen aus BAIT, KAIT, VAIT, DIN EN ISO 2700x und BSI-Grundschutz prüfungsfest umsetzen
• Welche Risiken sind „wesentlich“? Begriffsabgrenzung zu § 25b KWG; § 26 ZAG  und § 32VAG
• Auslagerung oder Fremdbezug? Richtige Bewertung von Software und IT-Dienstleistungen
• IT-Compliance im Überblick: Verzahnung von IT-Strategie, IT- Governance, Informationssicherheits- und Informationsrisikomanagement
• AT 7: Prüfungsschwerpunkt IT-Compliance: IT-Strategie, IT-Umfeld und IT-Organisation im Fokus der neuen MaRisk, MaGO, KAMaRisk und BCBS 239

IT-Governance: Risikoanalyse zur Feststellung des IT-Schutzbedarfs

• Risikoanalyse im Informationsmanagement
• Durchführung der qualitativ verschärften IT-Risikoanalyse auf Basis einheitlicher Scoring-Kriterien:
  • Einschätzung des Schutzbedarfs mit Blick auf Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität
  • Neue BaFin-Anforderungen an Cloud-Computing: Strategie, Risikoanalyse und Wesentlichkeitsbewertung
• Informationssicherheits-Management: Erstellung des Sollmaßnahmenkatalogs und Ableiten der risikoreduzierenden Maßnahmen

Pflichten im Datenschutz: Agiles Schnittstellenmanagement zwischen Compliance, Informationssicherheit und Datenschutz

• Module eines wirksamen Datenschutzsystems: Schnittstellenmanagement zu
  • Verarbeitungsverzeichnis Art. 30 EU-DSGVO
  • Datenschutz-Folgenabschätzung Art. 35 EU-DSGVO
  • Löschkonzept Art. 17 EU-DSGVO und DIN-Norm 66398
• Sicherer Umgang mit selbst entwickelten IT-Anwendungen, Zugriffsrechten, IT- Abnahmen sowie Veränderungen im IT- System
• Effiziente Kommunikation zu Auslagerungs-, Datenschutz-, Geldwäsche- und Informationssicherheits-Beauftragten
• Kontrollplan Compliance – Die wichtigsten Überwachungs- und Kontrollhandlungen
• Compliance-Anforderungen an Kontroll- und Reportingpflichten im IT-Bereich

Seminartag 3 – Inhalte Zertifizierungslehrgang Auslagerungsbeauftragter

Management von Nachhaltigkeitsrisiken – Compliance Pflichten sicher umsetzen

• ESG-Risiken: Welche Risiken sind im Risikomanagement zu beachten?
  • Tone at the Top: Risikokultur und Nachhaltigkeit
  • Richtige Bewertung von Nachhaltigkeitsrisiken
  • Verantwortlichkeiten und Vorbildfunktion
• Neue Anforderungen an die Geschäfts- und Risikostrategie
  • Positivliste: In welche Unternehmen, Branchen und Regionen darf investiert werden?
  • Green Bonds: Eine neue Asset Klasse für Finanzunternehmen
• CSR-Reporting: Umsetzung der Pflichten §§ 289c, 340a, 341a HGB, DSR 20 und DIN ISO 26000

Risikomanagement: Bewertung und Steuerung von Nachhaltigkeitsrisiken

• Neue BaFin-Anforderungen an das Management von Nachhaltigkeitsrisiken
• Risikoanalyse als Basis für das Management von Nachhaltigkeitsrisiken
  • Risikoklassifizierungsverfahren: Beurteilung von Nachhaltigkeitsrisiken
  • Verwendung von ESG-Ratings
  • Stresstests und Szenarioanalysen
• Durchführung der ESG-Risikoanalyse mit Kennzahlen
• Nachhaltigkeits-Management: Erstellen des Sollmaßnahmenkatalogs und Ableiten der risikoreduzierenden Maßnahmen

Corporate Social Responsibility: Pflichten aktiv steuern

• Aktive Steuerung von Nachhaltigkeitsrisiken in der Geschäftsorganisation:
  • Neue Aufgaben für die Compliance Funktion
  • Neue Anforderungen an die Qualifikation der Risikocontrolling-Funktion
  • ESG-Risiken im Auslagerungscontrolling sicher managen
  • Bundeslagebild Korruption: Prävention mit Nachhaltigkeits-Management
  • Neue Prüfungsaktivitäten der Internen Revision
• Effiziente Kommunikation von ESG-Risiken: Verantwortlichkeiten und Schnittstellen für das CSR-Reporting klären
• Kontrollplan für das Management von ESG-Risiken: Die wichtigsten Überwachungs- und Kontrollhandlungen

Depot A Management und Asset Management – Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Bauen Sie für Ihr Unternehmen eine eigenständige Kreditanalyse zur verlässlichen Beurteilung Ihrer Emittenten- und Kontrahentenlimite auf! In den Seminaren Depot A im Fokus der Bankenaufsicht, Depot A Management: Kompaktwissen für die Niedrigzinsphase und Depot A Management erhalten Sie Leitlinien für eine aufsichts- und haftungsrechtlich sichere Kreditanalyse und Limiteinräumung bei Eigenanlagen. Darüber hinaus helfen Ihnen anerkannte Beurteilungsstandards, Checklisten und Musterbeschlüsse bei einer fundierten und zuverlässigen Kreditanalyse im Depot A.

Seminare zum Thema MaRisk – CRD IV – CRR – Internes Kontrollsystem bei Auslagerungen – Prüfung in der Praxis

Seminar MaRisk: Neue MaRisk – CRD IV – CRR – §25KWG neu
Seminar MaRisk: MaRisk-konformes Verrechnungssystem für Liquiditätskosten
Seminar MaRisk: Neue MaRisk
Seminar MaRisk Compliance: Neue Compliance-Funktion gemäß MaRisk