Neue Anforderungen an die Interne Revision des Basel Committee on Banking Supervision

Nachdem die Bedeutung der Internen Revision innerhalb der Corporate Governance bereits im August 2001 durch die BIS mittels 20 Grundsätze herausgestellt wurde, erfolgte im Juni 2012 eine Aktualisierung dieses Grundsatzpapieres. Dieses „neue“ Grundsatzpapier (http://www.bis.org/publ/bcbs223.html), dessen Darstellung allerdings in weiten Teilen auf dem angelsächsischen „One-Tier-System“ (d. h. keine Trennung von Geschäftsleitung und Überwachung) beruht und daher nur in eingeschränktem Maße auf das in Deutschland übliche „Two-Tier-System“ angewendet werden kann (M. Berndt/C. Raspe, Interne Revision – Die „First Line of Defence“ der Aufsicht? In: Bank-Praktiker 12-01/2013,461), verfolgt zwei Ziele: einerseits soll eine Stärkung der Funktion der Internen Revision … Ganzen Artikel lesen

Die private Nutzung des betrieblichen E-Mail-Systems

von Roy v. Rango

In jüngster Vergangenheit ist eine Entscheidung zur Definition des Dienstanbieterstatus eines privaten Arbeitgebers gemäß Telekommunikationsgesetz ergangen. Bezugnehmend auf ein entsprechendes Urteil des LAG Niedersachsen vom 31.05.2010 (Az.: 12 Sa 875/09) entschied das LAG Berlin-Brandenburg am 16.02.2011 (Az.: 4 Sa 2132/10), dass ein Arbeitgeber, der seinen Arbeitnehmern auch die private Nutzung des betrieblichen E-Mail-Accounts gestattet, nach herrschender Auffassung kein Dienstanbieter i. S. d. Telekommunikationsgesetzes ist. Aber selbst wenn der Arbeitgeber Dienstanbieter i. S. d. Telekommunikationsgesetzes wäre, würde der Zugriff des Arbeitgebers auf die im Posteingang abgelegten Daten nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses unterliegen, weil der Übertragungsvorgang … Ganzen Artikel lesen

Verwertbarkeit externer Prüfungsergebnisse für die Prüfungen der internen Revision

von Roy v. Rango

In der betrieblichen Praxis wird AUDIT sehr häufig mit der Frage konfrontiert, warum beim Vorliegen externer Prüfungen oder Zertifizierungen eigene Prüfungshandlungen durch die interne Revision erforderlich seien. Durch ein positives externes Prüfungsergebnis bzw. die Ausstellung eines externen Zertifikats sei der Nachweis der Funktionstüchtigkeit des von externer Stelle begutachteten bzw. zertifizierten Sachverhalts doch hinreichend belegt. Die folgenden Ausführungen stellen die diesbzgl. relevanten Standards und deren Anwendung in Bezug auf die Verwertbarkeit einer externen Zertifizierung gemäß IDW PS 951 bzw. SAS 70 dar.

Hinweise zur Verwertbarkeit von Prüfberichten bzw. Zertifizierungen durch Dritte bei Prüfungen der internen Revision gibt … Ganzen Artikel lesen

Serie zum Datenschutzaudit – Teil 2

Konzeption und Ablauf eines Datenschutzaudits

Der Ablauf eines von der Firma CDC Compliance & Datenschutz Consulting UG (haftungsbeschränkt) durchgeführten Datenschutzaudits stellt sich wie folgt dar:

In einem ersten Vorbereitungsgespräch wird die Erstellung des durchzuführenden Auditplan-Ablaufs geklärt. Diesem Gespräch folgt das eigentliche Datenschutzaudit, bei dem alle Abteilungen und die wesentlichen Prozesse eines Unternehmens analysiert werden.
Dritter Punkt des durchgeführten Audits ist der Hardware-Check. Hierbei erfolgt im Rahmen einer Überprüfung der vorhandenen IT-Technik und der entsprechenden Räumlichkeiten (z. B. Serverraum oder Rechenzentren) eine Kontrolle der physischen Datensicherheit.
Es schließt sich ein Check der in Anspruch genommenen Dienstleistungen an. D. h. die vom … Ganzen Artikel lesen

Serie zum Datenschutzaudit Teil 1

Skandale als Beleg für die Notwendigkeit eines Datenschutzaudits

Wie groß die Notwendigkeit eines Datenschutzaudits ist, zeigen zwei in den letzten Monaten bekannt gewordene Fälle: zum einen die Datenpanne bei der Allianz, zum anderen das Verschwinden zehntausender Patientendaten aus baden-württembergischen Krankenhäusern.

Mit dem in §9a BDSG als freiwillige Kontrollinstanz beschriebenen Datenschutzaudit kann einem Unternehmen von dritter Seite die Funktionsfähigkeit und Zweckmäßigkeit eines unternehmensinternen Datenschutz-Managementsystems bescheinigt werden. Diese unabhängige Sicht von außen stellt eine wertvolle Hilfe für die Herausarbeitung evtl. vorhandener Schwachstellen und deren Beseitigung dar.

Ziele eines Datenschutzaudits sind zum einen, gefördert durch den mit der Werbung verbundenen Wettbewerbseffekt, … Ganzen Artikel lesen

Das interne Kontrollsystem – Sicherheit für Banken und Finanzdienstleister

In vielen Finanzdienstleistungsinstituten wird das interne Kontrollsystem, kurz IKS, immer noch unzureichend berücksichtigt. Die Institute richten es zumeist noch ein, doch findet es danach i.d.R. kaum Beachtung. Es wird weder in den Unternehmensablauf integriert noch in angemessener Weise regelmäßig angepasst. Die gesetzlichen Bestimmungen und betriebswirtschaftlichen Notwendigkeiten können auf diese Weise kaum eingehalten werden. Die Institute laufen Gefahr, unangenehme Folgen zu erfahren.

Mangelhaftes IKS kann Geschäftslizenz kosten – Kontinuierliche Weiterentwicklung notwendig

Man sollte die Notwendigkeit eines IKS nicht wegdiskutieren. Argumente, die ein mangelhaftes IKS schön reden sind gefährlich, denn im ungünstigsten Fall kann es die Geschäftslizenz kosten.

Unterdessen sollte man … Ganzen Artikel lesen

Three Lines of Defense Modell – Die Positionierung der internen Revision

Die Finanzkrise und andere unterschiedliche Unternehmensskandale haben dazu geführt, wesentliche Veränderungen des Corporate Governance-Systems vorzunehmen um die Kontrollmechanismen zu verschärfen und somit möglichen Risiken vorzubeugen. Die Optimierung der unternehmensspezifischen Kontroll- und Überwachungstätigkeiten ist eine echte Herausforderung bei vielen Unternehmen, vor allem im Banken- und Finanzdienstleistungssektor.

In diesem Zusammenhang wird das Three Lines of Defense Modell, kurz TLoD, als funktionsfähiges Kontroll- und Überwachungssystem diskutiert.

Ziel ist es, die einzelnen Träger der Corporate Governance innerhalb der Überwachungstätigkeit zu stärken. Durch die Einrichtung zusätzlicher Kontrollinstanzen und Mechanismen und die Begrenzung diverser Handlungsspielräume der Unternehmen, ergibt sich eine Steigerung der Kontrolle, der Überwachung und … Ganzen Artikel lesen

Risiken Individueller Datenverarbeitung (IDV) in Banken

Verfasser: Roy von Rango, freiberuflicher IT-Auditor

Die Entwicklung von Anwendungen erfolgt nicht nur in der zentralen IT, sondern zunehmend auch in Fachbereichen der Banken. Entwicklung, Betrieb und Dokumentation dieser Anwendungen entsprechen dabei häufig nicht den Vorgaben der zentralen IT an von ihr selber entwickelte und/oder betriebene Anwendungen. Erfüllt die zentrale IT in der Regel die meisten gesetzlichen und/oder regulatorischen Anforderungen, ist dies bei Anwendungen, die vom programmierenden Endanwender erstellt werden, überwiegend nicht der Fall. Dieser Artikel beschäftigt sich mit grundlegenden Fragen zum Einsatz von IDV (Individueller Datenverarbeitung) in Bereichen, die besonderen gesetzlichen und/oder regulatorischen Anforderungen unterliegen. Dieses geschieht am Beispiel … Ganzen Artikel lesen