Point of Compliance Bündelung der Kräfte - Wozu Spezialisten Anforderungen an Monitoring-Systeme in der Geldwäscheprävention - DZ-CP
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Point of Compliance Das Risikomanagement-Magazin für unsere Kunden und Geschäftspartner AUSGABE 3/ 2021 Bündelung der Kräfte ab Seite 4 ab Seite 8 Wozu Spezialisten Anforderungen an gut sind Monitoring-Systeme in der Geldwäscheprävention
Impressum 2 STARTPUNKT 3 SCHWERPUNKT Wozu Spezialisten 4 gut sind Aktuelle Anforderungen 8 an Monitoring-Systeme Lagebild 2021 der 12 IT-Sicherheit Hinweisgeberschutzgesetz 14 Augen auf bei der Wahl 16 des Auslagerungsdienst- leisters ECKPUNKT Umstellung des Rechnungs- 20 wesens Neue Durchwahlen 22 PUNKTUM Interne Revision 23 Wirtschaftliche Lage 23 IMPRESSUM Point of Compliance Verantwortlich i. S. d. P.: Jens Saenger Bildnachweise: DZ CompliancePartner Onlinezugänglichmachung des Magazins oder Das Risikomanagement-Magazin für unsere Redaktion: Gabriele Seifert, Leitung (red.) GmbH, iStockphoto (Titel) einzelner Beiträge aus dem Magazin, stellt Kunden und Geschäftspartner, Ausgabe 27, Redaktionsanschrift: DZ Compliance- Gestaltung: Ralf Egenolf eine zustimmungsbedürftige Nutzungshand- 3/2021 Partner GmbH, Redaktion Point of Compliance, Druck: odd GmbH & Co. KG · Print und lung dar. Namentlich gekennzeichnete Beiträ- ISSN: 2194-9514 Wilhelm-Haas-Platz, 63263 Neu-Isenburg, Medien, www.odd.de ge geben nicht in jedem Fall die Meinung des Herausgeber: DZ CompliancePartner GmbH, Telefon 069 580024-0, Telefax 069 580024- Redaktioneller Hinweis: Nachdruck, auch Herausgebers wieder. Die DZ CompliancePart- Wilhelm-Haas-Platz, 63263 Neu-Isenburg, 900, E-Mail: poc@dz-cp.de auszugsweise, nur mit ausdrücklicher Geneh- ner GmbH übernimmt keinerlei Haftung für die Telefon 069 580024-0, Weitere Autoren dieser Ausgabe: migung der Redaktion sowie mit Quellenan- Richtigkeit des Inhalts. Telefax 069 580024-900, www.dz-cp.de Martin Hierlemann, Kevin Lohmann, Christian gabe und gegen Belegexemplar. Die Beiträge Redaktionsschluss: 15. November 2021 Handelsregister HRB 11105, Amtsgericht Nahmmacher, Jens Saenger, Lars Schinnerling, sind urheberrechtlich geschützt. Zitate sind Auflage: 2.600 Exemplare Offenbach, USt.-IdNr.: DE201150917 Michael Switalla, Sarah-Lena Tiburtius, mit Quellenangabe zu versehen. Jede darü- Die aktuellen Mediadaten finden Sie im Geschäftsführung: Jens Saenger (Sprecher), Thomas Wagener ber hinausgehende Nutzung, wie die Verviel- Internet unter www.dz-cp.de/poc Andreas Marbeiter, Norbert Schäfer fältigung, Verbreitung, Veröffentlichung und 2 Point of Compliance 3/2021 DZ CompliancePartner
STARTPUNKT Es ist gut zu sehen, wie sich Menschen beistehen. Das gilt im Großen – etwa wenn, wie im Ahrtal, von überall her Hilfswillige kommen und anpacken. Aber auch im Kleinen, wie wir es im Verlauf der Pandemie in der Zusammenarbeit mit Ihnen, unseren Kunden, durchweg erlebt Jens Saenger Sprecher der Geschäftsführung haben. Ob nun in Form der Nachbarschaftshilfe oder – wie in unserem genossenschaftlichen Kosmos – der Bündelung der Kräfte: Die Gemeinschaft macht stark. Ich glaube fest daran, dass wir – als Dienstleister in der Genossenschaftlichen FinanzGruppe – nur dann unsere Mög- lichkeiten voll ausschöpfen, wenn wir uns nicht im Gegeneinander verlieren, sondern uns immer wieder gemeinsam fragen: Was hilft Ihnen, der Bank vor Ort? In diesem Sinne wünsche ich Ihnen eine anregende Lektüre und ruhige Festtage im Kreise Ihrer Lieben, Ihr Jens Saenger DZ CompliancePartner Point of Compliance 3/2021 3
SCHWERPUNKT B ündelung der Kräfte Wozu Spezial Die „Bündelung der Kräfte“ ist mehr als eine Worthülse. Sie ist beispielsweise Ausdruck einer vertrauensvollen Zusam- menarbeit, um am Ende die Position der Banken vor Ort zu stärken. Die AWADO GmbH WPG StBG (AWADO) übernimmt die Sparte „IT-Revision“ von der DZ CompliancePartner GmbH. Unter der Überschrift „Bündelung der Kräfte im Ver- bund“ hat der BVR im Auftrag der gesamten Genossen- schaftlichen FinanzGruppe eine Überprüfung etwaiger Doppelarbeiten im Verbund angestoßen. Ziel dieser Initia- tive ist, die Anzahl der Überschneidungen im Leistungs- angebot zum Vorteil der Volksbanken Raiffeisenbanken, der PSD Banken, Sparda Banken sowie der Spezialbanken zurückzufahren und die Qualität der Dienstleistungser- bringung zu befördern. Die Position der Bank vor Ort stärken Letztlich steht die Bündelung der Kräfte für die Bereit- schaft, sich in einer Kooperation gemeinsam zum Nutzen der Mitglieder zu engagieren. Jeder Dienstleister in der Gruppe hat zunächst nur eine Aufgabe: die Position der Bank vor Ort zu stärken. Das bedarf selbstverständlich der unternehmerischen Stabilität. Aber im Vordergrund steht, dass die Bank das Angebot er- hält, das ihr wirklich hilft. Nicht mehr, nicht weniger. Das gilt einmal mehr für das regulatorische Beauftrag- tenwesen und auch für prüfungsnahe Dienstleistungen wie die IT-Revision, die als kundenferne Aufgabenstel- 4 Point of Compliance 3/2021 DZ CompliancePartner
SCHWERPUNKT listen gut sind lungen kein Differenzierungskriterium gegenüber ihren Kunden darstellen. Tatsächlich erleben wir, dass Beauftragtenthemen wie Geldwäscheprävention, Informationssicherheit, Daten- schutz, MaRisk- und WpHG-Compliance auch für End- kunden immer präsenter werden. Datenschutz beispiels- weise wird in manchen FinTechs nach wie vor anders ausgelegt, als der deutsche bzw. der europäische Standard das vorsehen. Kunden nehmen das wahr und reagieren kritisch. Fakt ist jedoch: Jede Bank muss hier gut aufge- stellt sein. Das ist ein Hygienefaktor und kein Motivator im engeren Sinn. Gute Compliance ist zwingende Voraus- setzung einer jeden Bank, aber kein Alleinstellungsmerk- mal. Abgrenzung regulatorisches Beauftragtenwesen und IT-Revision Das Beauftragtenwesen mit seinem präventiven Ansatz ist in der First und vor allem Second Line of Defense angesie- delt: Risiken werden auf der operativen Ebene – durch jeden einzelnen Mitarbeiter – identifiziert, bewertet und bearbeitet. Diese Ebene kontrolliert nicht nur, sondern unterstützt die Bank, insbesondere macht sie Lösungsvor- schläge zur Einrichtung, Anwendung und Verbesserung der Compliance-Risiken. Dagegen ist die IT-Revision als Teil der Internen Revi- sion der Third Line of Defense zuzuordnen. Sie ist eine unabhängige Instanz, die das Risikomanagement – also auch die Beauftragten – kontrolliert. Wir haben es hier mit einer anderen Perspektive zu tun: Im Namen – IT-Revision – klingt es an: Es ist eine rück- schauende Überprüfung, während das Beauftragtenwesen einem präventiven Blickwinkel folgt. Eine Gemeinsamkeit ist, dass sowohl die Bedeutung des Beauftragtenwesens als auch die der IT-Revision steigt. DZ CompliancePartner Point of Compliance 3/2021 5
SCHWERPUNKT AU TO R U N D A N S P R EC H PA R T N E R Die IT-Revision wird immer wichtiger, weil das Prüf- feld „IT“ immer wichtiger wird. Die Anforderungen an die Prüfungen werden weiter steigen, sowohl was den Jens Saenger Umfang als auch was die Qualifizierung und die syste- Geschäftsführer mische Unterstützung betrifft. Fakt ist: Wenn die DZ CompliancePartner GmbH, IT-Revision auch künftig effektiv und effizient dargestellt E-Mail: jens.saenger@dz-cp.de werden soll, dann bedarf es eines nicht unerheblichen Aufwands – egal, wer sich dessen annimmt. Es liegt im Interesse aller, Doppelarbeiten zu vermeiden. Doppelarbeiten vermeiden Genau so stellt sich die Situation im Beauftragtenwesen dar. Wir haben allein von 2019 auf 2020 einen Zuwachs Dazu gehören auch IDW PS-testierte und im Verbund von 50 % bei Compliance-relevanten Neuerungen ver- abgestimmte Aufsichtskonformität oder die Angemessen- zeichnet. Und das ist nur die halbe Wahrheit: Auch die heit der Dienstleistungen. Wir stecken viel Know-how Sanktionen – für die Bank und für den Beauftragten – und Ressourcen in die Entwicklung transparenter und sind bei Fehlverhalten deutlich gestiegen. Erst im vergan- nachvollziehbarer Prozesse, die auch immer mehr IT- genen Monat hat die BaFin angekündigt, eine „Aufsicht getrieben sind bzw. sein müssen. Die DZ Compliance- mit Biss“ werden zu wollen. Das mag man werten, wie Partner GmbH beispielsweise baut auf den Erfahrungen man möchte. Unterm Strich besteht auch für das regulato- von über 130 Mitarbeiter*innen in über 700 Mandaten rische Beauftragtenwesen eine alternativlose Notwendig- auf. Und eben dort liegt auch der Mehrwert für unsere keit zur Spezialisierung. Kunden: Je mehr Mandate wir betreuen, umso höher die Um all den Anforderungen gerecht zu werden, um Qualität und umso effizienter der Prozess. auch die eigenen Sicherheitsinteressen zu erfüllen, müssen Zusammengefasst eint die IT-Revision und das Beauf- wir alle – als Dienstleister in der Genossenschaftlichen tragtenwesen die Risikoorientierung und die vergleichs- FinanzGruppe – uns fokussieren auf unser Spezialgebiet. weise hohe Komplexität. Es trennt sie die Perspektive: Es ist unsere Aufgabe, hochkomplexe Sachverhalte kom- einerseits die Retrospektive, andererseits der präventive pakt darzustellen. Ansatz. 6 Point of Compliance 3/2021 DZ CompliancePartner
SCHWERPUNKT Arrondieren der Geschäftsfelder Dabei haben wir uns gemeinsam mit der AWADO auf die Fahnen geschrieben, dass der Betriebsübergang für die Sowohl die AWADO als auch die DZ CompliancePartner Kunden nahezu geräuschlos verläuft. Die übernommenen GmbH haben bislang in ihrem Produkt-Portfolio IT-Revi- Mandate werden im gleichen Umfang und zu den gleichen sion angeboten. Konditionen weitergeführt. Wir haben nunmehr der AWADO angeboten, dass die Die Bündelung der Kräfte ist keine Einbahnstraße. DZ CompliancePartner GmbH ihr Geschäftsfeld IT-Re- Wir sind bereit, selber Mandate zu übernehmen und sind vision an die AWADO überträgt. Hintergrund ist, dass im engen Austausch mit weiteren Netzwerkpartner im die IT-Revision nicht dem regulativen Beauftragtenwesen Verbund. Sicher können wir bereits in den nächsten Tagen zuzurechnen ist. Und wir sind überzeugt, dass – mit Blick hierüber berichten. Angesichts der enormen strategischen auf die steigenden Anforderungen – es im Interesse der Herausforderungen, vor denen die Banken heute stehen, Kunden liegt, die weitere Entwicklung des Geschäftsfeldes ist es unsere Aufgabe, die Banken bestmöglich zu entla- auf die AWADO zu fokussieren. sten. Es gilt, die jeweiligen Stärken im Verbund zu erken- nen und auszubauen und unseren Teil dazu beizutragen, den Verbund als Ganzes fit für die Zukunft zu machen – im Sinne der Banken vor Ort. DZ CompliancePartner Point of Compliance 3/2021 7
SCHWERPUNKT Geldwäscheprävention Aktuelle Anforderungen an Monitoring-Systeme Die institutsspezifische Kalibrierung und auch die regelmäßige Überprüfung sowie Anpassung von Geno-SONAR© ist eine herausfordernde Aufgabenstellung. Nachfolgend werden die Anforderungen und auch Unterstützungsleistungen an das „Backtesting“ von Geno-SONAR© vorgestellt. Kreditinstitute sind verpflichtet, die mit der Ausübung ih- Die Ausgestaltung und Steuerung der Systeme müssen rer Geschäftstätigkeit verbundenen Risiken in Bezug auf danach den individuellen Gegebenheiten des Instituts Geldwäsche, Terrorismusfinanzierung und strafbare Hand- Rechnung tragen. Auch die Erkenntnisse aus der instituts- lungen zu kennen, zu erkennen und Maßnahmen zur Prä- spezifischen Risikoanalyse müssen in das System ein- vention zu ergreifen. Die Kundenbeziehung steht hierbei fließen. Die fachliche Prüfung des Monitoring-Systems ist im Mittelpunkt. dabei regelmäßig und anlassbezogen vorzunehmen und zu dokumentieren. Die Herausforderung In die Monitoring-Systeme fließen automatisiert eine Vielzahl von Kunden-, Konto- und Transaktionsdaten Das GwG verpflichtet Institute, die Geschäftsbezie- ein, die in einem buchungstäglichen Scoring-Lauf verar- hungen kontinuierlich zu überwachen (§ 10 Abs.1 Nr. 5 beitet werden. Grundlage dieser Verarbeitung bildet das in GwG). Sie sind nach dem KWG verpflichtet, Datenverar- Geno-SONAR© integrierte Indizienmodell, das bereits im beitungssysteme zu betreiben und zu aktualisieren. Mit- Auslieferungszustand aus mehr als 130 Indizien besteht. hilfe der Datenverarbeitungssysteme sollen Geschäftsbe- Mit den Indizien werden unterschiedlichste Sachverhalte ziehungen und einzelne Transaktionen im Zahlungsver- berücksichtigt – von der Überprüfung des Kundenbe- kehr erkannt bzw. identifiziert werden, die – aufgrund des standes über die Betrachtung der einzelnen Umsätze bis öffentlich und im Kreditinstitut verfügbaren Erfahrungs- hin zur Untersuchung des Umsatzverhaltens über vordefi- wissens über die Methoden der Geldwäsche, der Terroris- nierte Zeiträume oder einen Peergroup-Vergleich. musfinanzierung und über strafbare Handlungen – im Geno-SONAR© wird seit mittlerweile 16 Jahren einge- Verhältnis zu vergleichbaren Fällen setzt und stetig weiterentwickelt, um den gestiegenen An- b esonders komplex oder groß sind, forderungen an die Prävention von Geldwäsche, Terroris- u ngewöhnlich ablaufen oder musfinanzierung sowie strafbaren Handlungen Rechnung o hne offensichtlichen wirtschaftlichen oder recht- zu tragen. Mit der Weiterentwicklung von Geno-SONAR© mäßigen Zweck erfolgen (§ 25h Abs. 2 KWG). ist aber auch die Komplexität stark gestiegen. Das korrekte Hierfür setzt die Genossenschaftliche FinanzGruppe Zusammenspiel zwischen Indizien, Kundensegmenten Volksbanken Raiffeisenbanken die von der Atruvia AG und Listen ist dabei von entscheidender Bedeutung, um entwickelte Anwendung Geno-SONAR© ein. eine gute Trefferqualität zu erzielen. Mit Veröffentlichung der BaFin-Auslegungs- und An- Daher ist sowohl die institutsspezifische Kalibrierung wendungshinweise – Besonderer Teil für Kreditinstitute von Geno-SONAR© als auch die regelmäßige Überprü- (BaFin-AuA BT KI) im Juni 2021 hat die Aufsicht ihre fung und Anpassung eine herausfordernde Aufgabenstel- Anforderungen an die Ausgestaltung und den Umgang lung. Vorrangiges Ziel sollte dabei sein, ein ausgewogenes mit den Monitoring-Systemen ausführlich dargelegt. Treffervolumen zu erreichen: Zu wenige Treffer könnten 8 Point of Compliance 3/2021 DZ CompliancePartner
SCHWERPUNKT BaFin-AuA BT KI vom 08.06.2021 Kap. 6.2.3: Anforderungen an die Funktionsfähigkeit der Datenverarbeitungssysteme Regelmäßige fachliche Prüfung und Qualitätskontrolle im Rahmen der Jahresabschlussprüfung Institutsspezifische Parametrisierung Geno-SONAR® Modul 1 Modul 2 Modul 3 Modul 4 Modul 5 Modul 6 Untersuchung Schwellen- Überprüfung Bestand überprüfung Bestand Abgleich Typologien Analyse Verdachts- werte zu Indizien Ausschlüsse im Kundenlisten und Indizien meldungen Scoringlauf Indizien Datenbereitstellung über die Atruvia AG Separate Leistungsscheine bedeuten, dass z. B. Schwellenwerte zu hoch sind. Zu viele wie möglich Indizien zugeordnet, die zu einer frühzeitigen Treffer können darauf hindeuten, dass ein oder auch meh- Erkennung potenziell verdächtiger Sachverhalte geeignet rere Schwellenwerte möglicherweise zu niedrig angesetzt sind. In Abhängigkeit vom jeweiligen Indiz können eine sind – insbesondere dann, wenn die Überprüfung der oder auch mehrere Typologien abgedeckt werden. Treffer keine Verdachtsmomente ergeben hat. Bei der Typologienzuordnung unterscheiden wir zwi- schen sogenannten „harten“ und „weichen“ Typologien. Backtesting Geno-SONAR© Die „harten“ Typologien bieten durchaus Ansatzpunkte zur Abbildung eines verdächtigen Sachverhaltes über ein Um Sie hierbei zu unterstützen, bieten wir Ihnen mehrere Indiz. Dagegen treten die „weichen“ Typologien vorwie- Module an, die individuell beauftragt werden können. gend im Kontakt zwischen Berater und Kunde auf Zu jedem beauftragten Modul stellen wir Ihnen einen und können somit nicht von einem Monitoring-System schriftlichen Bericht mit Handlungsempfehlungen zur erkannt werden. Verfügung. Beispiele: E in Kunde legt auch nach wiederholter Aufforderung Modul 1: Abgleich des Typologienpapiers mit den nur Kopien von Ausweisdokumenten vor. vorhandenen Indizien E ine Identifizierung wird verzögert bzw. der Kunde Ziel dieses Moduls ist es, einen Überblick zu gewinnen, bricht das Vorhaben ab, sobald eine Identifizierung inwieweit das Indizienmodell das Typologienpapier der verlangt oder erweitert wird. FIU berücksichtigt. Hierzu werden jeder Typologie so weit DZ CompliancePartner Point of Compliance 3/2021 9
SCHWERPUNKT AU TO R E N Thomas Wagener Christian Nahmmacher Compliance-Spezialist, Geldwäsche- und Betrugs- E-Mail: thomas.wagener@ prävention, dz-cp.de E-Mail: christian.nahmmacher@ dz-cp.de D ie Identität des wirtschaftlich Berechtigten ist nicht bzw. nur mit erheblichem Aufwand zu ermitteln. E in Kunde vermeidet konkrete Angaben zu seiner Adresse oder seinen Erreichbarkeiten (z. B. lediglich Angabe von Postfächern, vage Angaben verschiedener ähnlicher Adressen). E in Kunde drängt auf ungewöhnliche Weise auf die sofortige Durchführung einer (für ihn unüblichen) Transaktion. Der Anteil der „weichen“ Typologien liegt bei ca. 50 %. Daher ist neben der Parametrisierung von Geno-SONAR© legender Bedeutung. Auch dann, wenn ein angemessenes auch die Sensibilisierung der Mitarbeiter von großer Indizienmodell vorhanden ist, können unzureichende or- Bedeutung. ganisatorische Regelungen bzw. falsch vorgenommene Einstellungen dazu führen, dass Treffer zu geldwäscherele- Modul 2: Ausschlüsse im Scoring-Lauf vanten Sachverhalten nicht in die tägliche Bearbeitung Über Geno-SONAR© lassen sich zahlreiche Ausschlüsse einbezogen werden. definieren. Von entscheidender Bedeutung sind dabei Weiterhin überprüfen wir auch die Definition bankei- Ausschlüsse, die sich nicht nur auf einzelne Kunden, son- gener Indizien. In der Vergangenheit hat sich immer dern auf die Verarbeitung des gesamten Kundenbestandes wieder herausgestellt, dass fehlerhaft programmierte Indi- auswirken. zien entweder zu keinen oder auch zu einer Vielzahl Beispiele: von von Treffern führen können, die keine verwertbaren G enereller Kundenausschluss (ein oder mehrere Kun- Ergebnisse liefern und einen hohen Zeitaufwand bei densegmente und/oder Kundenlisten) der täglichen Bearbeitung verursachen. Indizien, die keine B ankverbindungen, zu denen Umsätze generell aus dem Treffer liefern, können dennoch korrekt programmiert Scoring-Lauf herausgehalten werden sein. Auch dies sollte überprüft werden. V erwendungszwecke Über die Trefferstatistik untersuchen wir dabei auch B ankindividuelle Textschlüssel (vollständiger Aus- das Treffervolumen. schluss von Buchungen mit bestimmten Textschlüsseln) B ankindividuelle Primanoten (vollständiger Ausschluss Modul 4: Überprüfung des Kundenlistenbestandes einzelner Primanoten) Good-Guy-Kundenlisten sind ein wichtiges Instrument, Da diese Parameter Veränderungen unterliegen, ist eine um positiv beurteilte Trefferkunden zumindest für einen regelmäßige Überprüfung besonders wichtig. befristeten Zeitraum von der Verarbeitung ein oder meh- rerer Indizien auszuschließen. In diesem Zusammenhang Modul 3: Überprüfung des Indizienbestandes untersuchen wir die Nutzungsintensität sowie die Steue- Die Überprüfung des Indizienbestandes umfasst nicht nur rung der Befristungen zu den Kundenlisteneinträgen. eine Überprüfung der einzelnen Indizien, sondern auch Eine weitere wichtige Funktion von Kundenlisten ist der für die Trefferbearbeitung festgelegten organisato- die Steuerung der Risikoklassifizierung. Die Zuordnung rischen Regelungen. Diese Überprüfung ist von grund- in eine Risikoklasse kann sowohl durch eine automatische 10 Point of Compliance 3/2021 DZ CompliancePartner
SCHWERPUNKT A N S P R EC H PA R T N E R Martin Hierlemann Leiter Vertrieb, E-Mail: martin.hierlemann@ dz-cp.de Listenbefüllung mit einem entsprechend definierten Regelwerk als auch durch eine einzelfallbezogene Zuord- nung erfolgen. Falsch oder unzureichend definierte Befüllungsregeln können gravierende Folgen für die Risikoklassifizierung des Kundenbestandes haben. Daher ist eine regelmäßige Überprüfung von wesentlicher Bedeutung. Zu berücksichtigen ist dabei auch, dass die Kriterien zur Risikoklassifizierung aus externen Quellen (z. B. EBA-Guidelines, Nationale Risikoanalyse) Veränderungen unterliegen und bereits aus diesem Grund eine regelmäßi- Fazit ge Überprüfung erfordern. Das Monitorings-System ist ein wesentlicher Faktor Modul 5: Untersuchung der Schwellenwerte zu ausge- bei der Bekämpfung von Geldwäsche, Terrorismusfinan- wählten Indizien zierung und strafbaren Handlungen. Eine regelmäßige Dieses Modul dient der Überprüfung, ob die innerhalb fachliche Überprüfung wird in den BaFin-AuA BT KI eines Indizes verwendeten, ggf. auch kundensegmentab- gefordert. hängigen Schwellenwerte für den unbaren In- und Aus- Gerne unterstützen wir Sie ab Ende des ersten Quartals landszahlungsverkehr sowie für den Barverkehr sachge- 2022 mit unserem Angebot bei dem durchzuführenden recht sind. Hierzu werden zu den vorliegenden Treffer- „Backtesting“. umsätzen statistische Werte ermittelt und mit den im einzelnen Indiz definierten Schwellenwerten verglichen. Modul 6: Analyse der Verdachtsmeldungen Dieses Modul dient der Überprüfung, ob Sachverhalte aus Verdachtsmeldungen auch über ein oder mehrere Indizien erkannt wurden bzw. erkennbar gewesen wären. Hierzu ist es erforderlich, die Sachverhalte zu ausgewählten Ver- dachtsmeldungen zu überprüfen und Möglichkeiten zur Erstellung neuer bzw. zur Anpassung bestehender Indizien zu bewerten. Bei der Bewertung ist zu beachten, dass z. B. eine Re- duzierung des Schwellenwertes zwar zu einer früheren Er- kennung eines potenziell verdächtigen Sachverhaltes füh- ren kann, dass sich aber im Gegenzug der Anteil der falsch-positiven Treffer überproportional erhöhen kann. DZ CompliancePartner Point of Compliance 3/2021 11
SCHWERPUNKT Informationssicherheit Lagebild 2021 der IT-Sicherheit Mit der Bedeutung der IT steigt deren Komplexität und damit verändert sich auch die Gefährdungslage. Das BSI bezeichnet die Sicherheitslage in Deutschland als angespannt bis kritisch und empfiehlt entsprechende Gegenmaßnahmen. Die Digitalisierung prägt uns Tag für Tag. Immer mehr Aber auch die Ausweitung der Lösegelderpressung auf Prozesse in der Bank werden automatisiert und mit anderen Basis von Cyber-Angriffen – in der Regel mit Verschlüsse- Prozessen vernetzt. Zahlreiche Innovationen eröffnen Po- lungstrojanern – ist atemberaubend. Inzwischen nehmen tenziale für neue IT-Projekte wie z. B. die Themen künst- auch Schweigegelderpressung unter Androhung der liche Intelligenz und Blockchain. Daneben verändert sich Enthüllung kompromittierender Informationen und die Arbeitswelt durch äußere Einflüsse, aktuell sehr geprägt Schutzgelderpressung unter Androhung eines DDoS- durch die Corona-Pandemie. Entsprechend steigt die Kom- Angriffs zu (Distributed Denial of Service, bewirkt z. B. plexität und verändert sich die Gefährdungslage. Das Bun- eine Überlastung bzw. Nichterreichbarkeit des Netz- desamt für Sicherheit in der Informationstechnik (BSI) be- werks oder der Internetseite). richtet deshalb u. a. jährlich über die Lage der IT-Sicherheit Identitätsdatendiebstahl und Missbrauch bleiben insge- in Deutschland. Vor kurzem wurde der Bericht für das Jahr samt konstant, jedoch werden diese – meist über sogenann- 2021 veröffentlicht. te Phishing-Mails ausgeführten – Angriffe zum Teil besser Die IT-Sicherheitslage in Deutschland wird demnach auf aktuelle Themen angepasst, um den Nutzer zur Preis- als angespannt bis kritisch bezeichnet. gabe seiner Daten zu überreden. So nehmen die Mails häufig auf aktuelle Themen Bezug, z. B. Corona-Hilfen, Anstieg bei Schadsoftware und Änderung der Gesetzgebung und insbesondere bei Bank- Cyber-Erpressungen kunden konkrete regionale Themen wie Fusionen und Filialschließungen. Maßgeblichen Anteil an der Einschätzung trägt die immer schneller werdende Produktion von Schadsoftware. Im Corona als zusätzlicher Stressfaktor in der Berichtszeitraum betrug alleine der durchschnittliche täg- IT-Sicherheit liche Zuwachs an neuen Schadprogramm-Varianten etwa 394.000. Im Vorjahreszeitraum lag die Anzahl bei Die Corona-Pandemie war überhaupt ein wichtiger Trei- 250.000. ber, denn die Situation bot zahlreiche neue Angriffsmög- lichkeiten. Allen voran konnten Angriffe via Social Engi- neering (Beeinflussung eines Menschen, um sein Handeln zu manipulieren) erfolgreich abgesetzt werden. Die neue Arbeitssituation im Homeoffice verunsicherte Mitarbeiter und manchmal fehlte dann auch der Kollege „gegenüber“, um die „komisch wirkende Mail“ zu besprechen. Hinzu kam der Druck, den Digitalisierungsprozess schnell zu be- schleunigen, um die Handlungsfähigkeit während der Pan- demie zu erhalten. So mussten mit den Kontakteinschrän- 12 Point of Compliance 3/2021 DZ CompliancePartner
SCHWERPUNKT 144 MIO. neue Schadprogramm-Varianten 117,4 MIO. +22% gegenüber 2020: DURCHSCHNITTLICH neue IM HÖCHSTWERT 394.000 2020: 322.000 Schadprogramm- Varianten pro Tag 553.000 2020: 470.000 Quelle: Die Lage der IT-Sicherheit in Deutschland 2021 (bund.de) kungen zahlreiche Remote-Arbeitsplätze eingerichtet IT-Sicherheit als Wettbewerbsvorteil und neue Kommunikationssysteme genutzt werden. Entsprechend stiegen auch die Angriffe auf Videokonfe- Das Fazit überschreibt das BSI mit „Digitalisierung renzsysteme. braucht Sicherheit“. Entwicklungen und Veränderungen in Zur Erhöhung der IT-Sicherheit im Homeoffice emp- Gesellschaft und Wirtschaft müssen mit entsprechenden fiehlt das BSI folgende Maßnahmen: Sicherheitsmaßnahmen einhergehen. Die größte Bedro- N utzung von VPN-Verbindungen hung stellt derzeit die Cyber-Erpressung dar. Als größte (Virtual Private Network) Herausforderung wird der Umgang mit Schwachstellen in A bsicherung der Zugänge durch Mehr-Faktor- IT-Systemen genannt. Authentifizierung Dabei sollte Cyber- bzw. IT-Sicherheit als Wettbewerbs- V erwaltung mobiler Endgeräte über ein MDM vorteil in den Fokus rücken. Denn: „Informationssicherheit (Mobile Device Management) schafft Vertrauen, und sie schafft Akzeptanz bei Verbrau- A wareness-Maßnahmen für Mitarbeiter cherinnen und Verbrauchern.“ R egelmäßige Übung von Cyber- und IT-Notfällen Insbesondere dem letzten Punkt wurde im Bankenbereich mit der Veröffentlichung der BAIT und des dort enthal- tenen neuen Kapitels 10 IT-Notfallmanagement Rechnung AU TO R U N D getragen. A N S P R EC H PA R T N E R Michael Switalla Informationssicherheit & Datenschutz, E-Mail: michael.switalla@ dz-cp.de DZ CompliancePartner Point of Compliance 3/2021 13
SCHWERPUNKT H inweisgebersystem Hinweisgeberschutzgesetz Das Hinweisgeberschutzgesetz könnte am 17. Dezember 2021 in Kraft treten. Institute mit mehr als 249 Mitarbeiter*innen müssen danach ab 17. Dezember 2021 eine interne Melde- stelle eingerichtet haben. Wichtig ist eine Umsetzung mit Augenmaß. Am 16. Dezember 2019 ist die Richtlinie (EU) 2019/1937 Der Entwurf sieht weiter vor, den Anwendungsbereich des Europäischen Parlaments und des Rates zum „Schutz zu ergänzen. Die Gesetze und Vorschriften, gegen die Ver- von Personen, die Verstöße gegen das Unionsrecht melden“ stöße gemeldet werden können, wurden erweitert und um- (EU-Hinweisgeberrichtlinie) in Kraft getreten. Sie soll den fassen nun das in der Richtlinie genannte Unionsrecht und Schutz von Hinweisgebern auf ein EU-weit einheitliches zusätzlich nationales Recht. So können die Hinweisgeber Niveau heben. Die Mitgliedstaaten hatten mit der Veröf- auch Sachverhalte melden, die straf- und bußgeldbewehrt fentlichung zwei Jahre Zeit, die Vorschriften bis Dezember sind. Das bedeutet, dass auch Vorgänge bzw. Straftaten wie 2021 in nationales Recht umzusetzen. Betrug, Körperverletzung oder Belästigung an eine Melde- Aktuell liegt allerdings nur ein Referentenentwurf des stelle übermittelt werden können. Bundesministeriums der Justiz und für Verbraucherschutz Die internen Meldestellen unterliegen dem Entwurf vor. Die Regelungen wurden bis zum Redaktionsschluss zufolge künftig neuen Anforderungen: So müssen diese noch nicht in den Bundestag eingebracht, das Hinweisge- z. B. dem Meldenden den Eingang des Hinweises bestäti- berschutzgesetz wurde daher noch nicht verabschiedet. gen, Kontakt mit ihm halten, die Stichhaltigkeit der Mel- Dennoch macht es Sinn, sich damit auseinanderzusetzen dung prüfen und angemessene Folgemaßnahmen ergreifen. – zumal die Umsetzung „machbar“ erscheint. Die neuen Regelungen geben einige Anforderungen vor, die die bisherigen Vorgaben übersteigen dürften. Sollte das Anforderungen Hinweisgeberschutzgesetz nicht bis zum 17. Dezember ver- abschiedet sein, wäre das nach unserer Einschätzung kein Der aktuelle Entwurf zum Hinweisgeberschutzgesetz Vorteil für die Banken. Einzelne Vorgaben der EU-Richt- (HinSchG-E) setzt die Richtlinie in deutsches Recht um. linie könnten trotzdem als unmittelbar anwendbar erklärt Auch die deutsche Regelung setzt – aller Voraussicht nach werden. – die Vorgaben zu den drei Meldekanälen (intern, extern, Offenlegung) um. Eine Verpflichtung zur Einrichtung in- terner Meldekanäle besteht nach dem Gesetzesentwurf – wie auch aus der Richtlinie – für Unternehmen mit in der Regel mehr als 50 Beschäftigten. Es wurde jedoch für be- stimmte Beschäftigungsgeber unabhängig von der Zahl der Beschäftigten eine Pflicht zur Einrichtung interner Meldestellen festgelegt. Hierzu könnten auch alle Kredit- AU TO R I N U N D institute zählen (§ 12 Abs. 3 Nr. 4 HinSchG-E). A N S P R EC H PA R T N E R I N Für Unternehmen mit bis zu 249 Beschäftigten soll das Gesetz erst zum 17. Dezember 2023 in Kraft treten. Da nicht klar ist, ob diese Abgrenzung auch für Kreditinsti- tute gilt, ist sicherheitshalber davon auszugehen, dass Sarah-Lena Tiburtius die Anforderungen mit dem möglichen Inkrafttreten des Beauftragte Hinweisgebersystem, Gesetzes am 17. Dezember 2021 die Pflicht zur Einrich- E-Mail: sarah-lena.tiburtius@ tung interner Meldestellen umfassen. dz-cp.de 14 Point of Compliance 3/2021 DZ CompliancePartner
SCHWERPUNKT Hinweisgebersystem: Die Fäden in der Hand behalten Umsetzung „machbar“ Aber wir wissen auch, dass „meldepflichtige Vorfälle“ nicht das vornehmliche Problem der Volksbanken Raiffei- Wie dem auch sei: Nach unseren Erfahrungen mit Hin- senbanken darstellen. weisgebersystemen – im Rahmen der Auslagerung Geld- wäscheprävention oder als Stand-alone-Dienstleistung – Fazit: Jetzt handeln – aber angemessen sind die zentralen Anforderungen der EU-Richtlinie vergleichsweise „einfach“ und ohne viel Aufwand um- Wichtig ist aus unserer Sicht deshalb: setzbar. D as Hinweisgebersystem und die vorgesehenen Kom- Im Kern geht es heute wie künftig um die frühzeitige, munikationskanäle dürfen keine Hürden darstellen, sie transparente Aufdeckung bzw. Prävention von Missstän- müssen sowohl für die Banken als auch für die Hinweis- den – bei höchster Anonymitätswahrung und arbeits- und geber einfach zu erreichen und zu bedienen sein. strafrechtlichem Schutz des Hinweisgebers. D as Hinweisgebersystem muss sicherstellen, dass sowohl Die neuen Anforderungen der Richtlinie bzw. des deut- die Banken als auch der Hinweisgeber jederzeit „die Fä- schen Gesetzesentwurfs – u. a. zwei gleichwertig nebenein- den in der Hand“ behalten. anderstehende Meldewege (interner/externer Meldekanal), D as Hinweisgebersystem muss zwingend den gesetz- Ausweitung des sachlichen Anwendungsbereichs (straf- lichen Vorgaben entsprechen, im besten Fall nach IDW und bußgeldbewehrte Vorschriften) – sollten sich durch PS 331 testiert sein und vor allem die Vorgaben mit Au- geringfügige Anpassungen in bereits bestehende Umset- genmaß umsetzen. zungen (bzw. Dienstleistungen von Dritten) integrieren lassen. Fakt ist: Auch in der Genossenschaftlichen Finanz- Gruppe gab und gibt es meldepflichtige Vorfälle, die nicht durch den genossenschaftlichen Wertekanon verhindert wurden bzw. werden können. Ein Hinweisgebersystem er- scheint deshalb nicht nur hilfreich, sondern auch notwendig. DZ CompliancePartner Point of Compliance 3/2021 15
SCHWERPUNKT A uslagerungsmanagement Augen auf bei der Wahl des Auslagerungsdienstleisters Banken und Finanzdienstleistungsinstitute sind schon immer verpflichtet, bei der Wahl ihres Auslagerungspartners wählerisch und umsichtig zu sein. Die aktuellen Novellen der MaRisk und der BAIT verschärfen diese Ansprüche jedoch erheblich. Neu hinzugekommen sind jene Regularien, die im Finanzmarktintegritäts- und Stabilitätsgesetz formuliert werden. Das Finanzmarktintegritäts- und Stabilitätsgesetz (FISG) Neuerungen aus den MaRisk und den BAIT ist die Reaktion des Gesetzgebers auf den Wirecard-Skan- dal. Im Fall Wirecard wurde als Defizit gesehen, dass die Die Regelungen zwischen Banken bzw. Finanzdienstlei- Befugnisse der Aufsicht vor den Toren der Auslagerungs- stern und Auslagerungsunternehmen umfassen drei dienstleister endeten. Das hat sich nun geändert. Dieser Anforderungsgruppen: Artikel soll die Konsequenzen des FISG für die Banken 1. Vertragliche Anforderungen und Finanzdienstleister sowie „Ihre“ Auslagerungspartner 2. Prozessuale Anforderungen beleuchten. 3. Reporting- und Kontrollanforderungen Die Novellierungen der MaRisk und der BAIT einerseits Zu den eher statischen vertraglichen Anforderungen, die und die Verabschiedung des neuen FISG andererseits bisher in den MaRisk dokumentiert waren, gesellen sich stellen das Verhältnis zwischen Banken bzw. Finanzdienst- nun eher dynamische Anforderungen hinzu. Die Standorte leistern und ihren (potenziellen) Auslagerungspartner auf der Leistungserbringung, der Versicherungsschutz und ein neues Fundament. Beide Parteien müssen nun diese -umfang und schließlich die Dienstleistungsgüte mit ge- Regelungen umsetzen bzw. gegen sich gelten lassen, was die nauen qualitativen und quantitativen Leistungszielen Geschäftsanbahnung und den damit verbundenen Aus- sind in den Vertragswerken zu regeln. wahlprozess auf ein neues Niveau hebt. Bei den prozessualen Anforderungen sind für alle vom Wie sehen nun die neuen Anforderungen aus? Zunächst Auslagerungsunternehmen übernommenen Aufgaben voll- sollen die Neuerungen der MaRisk und der BAIT auf das ständige Schnittstellenbeschreibungen anzufertigen. Das Auslagerungsmanagement skizziert werden. Anschließend beinhaltet klare und eindeutige Beschreibungen der – pro wird der Fokus auf das FISG gerichtet. Prozess – auszuübenden Tätigkeiten. Damit soll gewährlei- stet werden, dass Zuständigkeiten zwischen den Vertrags- partnern klar geregelt sind und jeder weiß, wofür wer ver- antwortlich ist. Auch Weiterverlagerungen an Subunternehmer des Aus- lagerungsunternehmens stehen ab sofort unter verstärkter Beobachtung. Handelt es sich dabei um „institutsrele- vante“ Prozesse, sind an diese die gleichen Qualitätsanfor- derungen zu stellen wie an die Prozesse des Auslagerungs- unternehmens selber. Einem Verwässern der Qualität durch Weitergabe an Subunternehmer ist damit ein Riegel vorgeschoben. 16 Point of Compliance 3/2021 DZ CompliancePartner
SCHWERPUNKT Ausgelagerte Prozesse können zeitkritische Leistungsbe- züge enthalten. In diesen Fällen müssen das auslagernde Institut und das Auslagerungsunternehmen über aufeinan- der abgestimmte Notfallkonzepte verfügen. Die Wirksam- keit und Angemessenheit des generellen Notfallkonzepts und besonders der aufeinander abgestimmten Notfallkon- zepte bei zeitkritischen Prozessen ist während der Vertrags- laufzeit regelmäßig zu überprüfen. Die vertraglichen, prozessualen und Berichts- und Banken bzw. Finanzdienstleister sind verpflichtet, ein Reporting-Anforderungen erfordern vom Auslagerungs- angemessenes und wirksames Risikomanagementsystem zu unternehmen eine kulturelle Bereitschaft oder Reife. Wer installieren. Ein essenzieller Baustein dafür ist das interne sich erst in diese Materie einarbeiten oder aufrüsten muss, Kontrollsystem (IKS). Werden Prozesse und Aktivitäten wird es schwer haben, sich als Partner für beaufsichtigte ausgelagert, die sonst vom Institut selbst erbracht würden, Unternehmen zu halten bzw. zu etablieren. ist für diese ebenfalls ein IKS einzurichten. Deshalb ist es Oder anders formuliert: Die Kulturen zwischen beauf- eine regelmäßige Anforderung an Auslagerungsunterneh- sichtigten Unternehmen und ihren Auslagerungspartnern men, ein sogenanntes dienstleistungsbezogenes Internes müssen sich annähern, da die Grenzen zwischen ihnen im- Kontrollsystem (dIKS) zu implementieren. Die Angemes- mer mehr verschwimmen. senheit und Funktionsfähigkeit des dIKS sollte regelmä- ßig/jährlich von einem unabhängigen Dritten überprüft Finanzmarktintegritäts- und Stabilitätsgesetz werden (Prüfung nach IDW PS 951). Neben dieser externen Prüfung sind die dienstleistung- Kommen wir nun zu den Befugnissen, die das FISG der bezogenen Prozesse und Aktivitäten einer fortlaufenden in- Aufsicht gegenüber den Auslagerungsunternehmen ein- ternen Revision zu unterziehen. Sollte das Auslagerungsun- räumt. Diese lassen sich in vier Themenbereiche aufglie- ternehmen dies nicht umsetzen, ist das auslagernde Unter- dern: nehmen selbst verpflichtet, die interne Revision nach den 1. Legaldefinition von Auslagerungen Vorgaben der MaRisk vorzunehmen. Das wäre mit erheb- 2. Anzeige von Auslagerungen lichen finanziellen, personellen und zeitlichen Ressourcen 3. Anordnungs- und Eingriffsbefugnisse verbunden. 4. Auslagerung in Drittstaaten Dienstleistungsbezogenes Kontrollsystem, interne Revi- Die bisherige Legaldefinition von Auslagerungsunterneh- sion und Notfallmanagement erfordern vom Auslagerungs- men fristet eher auf den hinteren Rängen der Paragraphen partner ein professionelles und standardisiertes Berichts- des KWG ihr Dasein. Sie wird nun prominent in den und Reporting-System, damit zeitnah und wirksam auf §1 des KWG vorgezogen und inhaltlich erweitert. mögliche Risiken reagiert werden kann. Und zwar sowohl Die Eingrenzung auf wesentliche Auslagerungen ent- vom Auslagerungspartner selbst als auch vom auslagernden fällt, und es werden auch alle Subunternehmen bei Weiter- Unternehmen. verlagerungen von Aktivitäten und Prozessen vom Begriff des Auslagerungsunternehmens erfasst. Zumindest erfolgt bei den Subunternehmen die Eingrenzung auf wesentliche oder institutsrelevante Prozesse. DZ CompliancePartner Point of Compliance 3/2021 17
SCHWERPUNKT Damit erstrecken sich künftig die Aufsichtsbefugnisse a uf alle Auslagerungsunternehmen unabhängig davon, ob sie wesentliche oder andere Prozesse von beaufsichtig- ten Unternehmen übernehmen, sowie a uf alle Subunternehmen die für Auslagerungsunterneh- men institutsrelevante Prozesse übernehmen. Die Grenzen zwischen beaufsichtigten und nicht beauf- sichtigten Unternehmen lösen sich auf. Anzeige von Auslagerungen: Auslagerungen sind künftig der Aufsicht anzuzeigen. Institute müssen vier Tat- bestände im Zusammenhang mit Auslagerungen melden: geht weiter bis hin zu Berichtspflichten sowie Bußgeldver- d ie Absicht einer wesentlichen Auslagerung, fahren bei Nichtbeachtung. d en Vollzug einer wesentlichen und nicht wesentlichen Die Begründung für diese weitreichenden Eingriffskom- Auslagerung, petenzen formuliert der Gesetzgeber folgendermaßen: Die jede Änderung der Beurteilung der Wesentlichkeit einer Aufsicht muss in der Lage sein, nicht nur auf das beauf- Auslagerung, sichtigte Unternehmen zuzugreifen, sondern im Fall aufge- w esentliche Änderungen und schwerwiegende Vorfälle spaltener Wertschöpfungsketten auch auf externe Dienst- im Rahmen von bestehenden Auslagerungsvereinba- leister, auf die Aktivitäten und Prozesse ausgelagert werden. rungen, die einen wesentlichen Einfluss auf die Ge- Auslagerung in Drittstaaten: Damit diese Regelungen schäftstätigkeit des Instituts haben können. nicht durch Auslagerungen ins Ausland umgangen werden, Davon verspricht sich die Aufsicht eine höhere Transparenz fordert das FISG, einen inländischen Zustellungsbevoll- über das gesamte Auslagerungsgeschehen. Auf der Ebene mächtigten zu benennen, an den Bekanntgaben und Zu- der Institute kann sie nachvollziehen, welche Tätigkeiten stellungen durch die Bundesanstalt bewirkt werden kön- in welchem Umfang ausgelagert werden. Und bei den Aus- nen. Diese Funktion muss vertraglich vereinbart werden. lagerungsunternehmen kann sie erkennen, welche Konzen- Inwiefern solche Bekanntgaben und Zustellungen dann in trationstendenzen und -risiken sich dort auftun. einem Drittland Wirkung zeigen, wird sich erweisen. Im Die Anordnungs- und Eingriffsbefugnisse sind nun Zweifelsfall wird sich die Aufsicht voraussichtlich wieder im KWG § 44 (Auskünfte und Prüfungen), § 45b (Maß- an das auslagernde Institut im Inland wenden. nahmen bei organisatorischen Mängeln) und § 56 (Buß- geldvorschriften und Eingriffe) dokumentiert. Damit wird ein Großteil der Aufsichtsbefugnisse, die bisher für beauf- sichtigte Unternehmen reserviert waren, auch auf Auslage- rungsunternehmen ausgeweitet. Das reicht von Auskunftsverpflichtungen zu allen Ge- schäftsangelegenheiten über die direkte Anordnung von Prüfungen und Maßnahmen bei Verstößen gegen Pflich- ten aus dem Auslagerungsvertrag bis zur Forderung zum Aufbau von Sachkompetenz in der Geschäftsleitung und 18 Point of Compliance 3/2021 DZ CompliancePartner
SCHWERPUNKT AU TO R U N D A N S P R EC H PA R T N E R Martin Hierlemann Leiter Vertrieb, E-Mail: martin.hierlemann@ dz-cp.de Erste Hilfe zur Einwertung nach den neuen Vorgaben Was bedeuten nun diese Neuerungen und Verschärfungen durch MaRisk, BAIT und FISG? Die Geschäftspartner, auslagerndes Unternehmen und Auslagerungsunterneh- men, müssen sich selbst und ihren Partner neu einwerten: K omme ich selbst mit diesen Anforderungen klar und kann ich sie umsetzen? I st auch mein Geschäftspartner, das Auslagerungsunter- 7. Habe ich ein Meldesystem installiert, um die Absicht, nehmen, in der Lage, diese Regeln zu realisieren und zu den Vollzug und Änderungen (Wesentlichkeit/Vorfälle) installieren, damit ich als auslagerndes Unternehmen der Aufsicht anzuzeigen? weiterhin die Vorteile der Arbeitsteilung nutzen und ge- 8. K ann mein Auslagerungspartner den Anordnungs- und nießen kann? Eingriffsbefugnissen der Aufsicht personell, inhaltlich Folgende Checkliste mit Fragen an mein Auslagerungsun- und finanziell standhalten? ternehmen kann dabei helfen: 9. Verfügt mein Auslagerungspartner über einen inlän- 1. Sind alle vertraglichen Pflichten der MaRisk und BAIT dischen Zustellungsbevollmächtigten, wenn er im Aus- vollumfänglich umgesetzt? land sitzt bzw. Weiterverlagerungen von institutsrele- 2. Hat mein Auslagerungspartner alle ausgelagerten Pro- vanten Prozessen ins Ausland vornimmt? zesse in Schnittstellenbeschreibungen nachvollziehbar Nur wenn diese Fragen positiv beantwortet werden kön- und transparent dokumentiert? nen, ist das bestehende oder künftige Auslagerungsunter- 3. Sind Weiterverlagerungen von institutsrelevanten nehmen auch der Partner für die Zukunft. Prozessen an Dritte den gleichen Regeln unterworfen wie für das Auslagerungsunternehmen selber? 4. Hat der Dienstleister ein IKS installiert, das von einem externen WP-Unternehmen nach dem IDW PS 951 Typ 2 jährlich zertifiziert und geprüft wird? Wenn ja, seit wie vielen Jahren? 5. Verfügt mein Auslagerungsunternehmen über eine eigene Innenrevision? 6. Hat mein Auslagerungspartner ein professionelles und standardisiertes Reporting-System installiert, bei dem ich unaufgefordert und regelmäßig die Berichte zum IKS, zur internen Revision und zum Risiko- und Notfallmanagement erhalte? DZ CompliancePartner Point of Compliance 3/2021 19
ECKPUNKT R echnungswesen Umstellung des Rechnungswesens Ab dem 1. Januar 2022 nutzt die DZ CompliancePartner Nachdem wir in 2021 die Migration von Microsoft Navi- im Rechnungswesen SAP. Im Wesentlichen wird sich für sion auf SAP gründlich vorbereitet haben, ist der Kern der Sie nichts ändern: Umstellung ein besser auf unser Geschäftsmodell ausge- Sie haben nach wie vor die Wahl zwischen Papier- oder richtetes ERP-System. elektronischer Rechnung. Standardmäßig übernehmen wir die bisherige Einstellung, würden uns aber freuen, Sie profitieren, da wir so wenn Sie auf die elektronische Rechnungsstellung d ie Aufwände in unserem Rechnungswesen wechseln würden. niedrig halten, Die Rechnungsinhalte und das Rechnungslayout blei- d ie Prozesse in der Projekterfassung und Abrechnung ben ebenfalls größtenteils unverändert. Alle bisherigen aller Mitarbeiter*innen straffen und Aufwände Informationen finden Sie selbstverständlich auch auf reduzieren können. der neuen Rechnung. DZ CompliancePartner GmbH DZ CompliancePartner GmbH Wilhelm-Haas-Platz • 63263 Neu-Isenburg Rechnung Seite 1 Wilhelm-Haas-Platz • 63263 Neu-Isenburg Volksbank Musterbank eG Volksbank Musterstadt eG Rechnungsnummer: DR-XX-2022 Toni Schumann Straße 1 Rechnungsnr.: DZ-21-00XXXX Toni Schumann Straße 1 Debitorennr.: 100XXX 12345 Musterstadt Debitorennr.: 456789 12345 Musterstadt Ihre USt-IdNr.: DEXXXXXXXX Ihre USt-IdNr.: Rechnungsdatum: 24.01.2022 Rechnungsdatum: 08.11.2021 Telefon: 069 580024-XXX Fax: 069 580024-XXX Eva Kreisler E-Mail: rechnungswesen@dz-cp.de Telefon: 069 6978-3445 Fax: 069 6978-3322 Projektnummer: GWBP-XX E-Mail: Eva.Kreisler @dz-cp.de Leistungszeitraum: 24.01.2022 Beschreibung Menge UST Preis Betrag Vor-Ort-Tage Geldwäsche & 1,063 Arbeitstag(e) 19 1.100,00 EUR 1.169,30 EUR Betrugsprävention Projektnummer: GT-BER-0000XXXX NEU in 2022 Gesamtsumme netto 1.169,30 EUR Leistungszeitraum: 11/2021 Geldwäsche- und Betrugsprävention Umsatzsteuer (%) 19 % 222,17 EUR Gemäß Leistungsschein vom 01.01.20XX erlauben wir uns folgende Beträge in Rechnung zu Gesamtsumme brutto 1.391,47 EUR stellen: Beschreibung Menge UST Preis Betrag Wir werden vorstehenden Betrag von Ihrem Konto, IBAN DEXXX00X0000XXXXXXXXXX, BIC ABCDEFGH8IJK nicht vor dem 15.02.22 abbuchen. Mandatsreferenz: XX-000000XXX Outsourcing laufendes Geschäftsjahr Zahlungsbedingung: Einzug per Lastschrift. Leistungspauschale für den im 1,00 PAU 19 987,65 987,65 Leistungszeitraum genannten Monat ie Gesamtsumme netto EUR 987,65 op1.2021 19 % Umsatzsteuer EUR 987,65 187,65 Gesamtsumme brutto EUR 1.175,30 t k s 5.1 Wir werden vorstehenden Betrag von Ihrem Konto, IBAN DEXXX00X0000XXXXXXXXXX, BIC ABCDEFGH8IJK nicht vor dem 15.11.21 abbuchen. Mandatsreferenz: XX-000000XXX Tetand 2 S Zahlungsbedingung: Einzug per Lastschrift. DZ CompliancePartner GmbH Geschäftsführung: Ust.-IdNr: DE201150917 Wilhelm-Haas-Platz Jens Saenger (Sprecher) 63263 Neu-Isenburg Andreas Marbeiter Bankkverbindung: DZ BANK AG Norbert Schäfer IBAN DE54500600000000028462 Telefon +49 69 580024-0 BIC GENODE55XX Telefax +49 69 580024-900 Sitz: Amtsgericht Offenbach info@dz-cp.de • www.dz-cp.de Handelsregister HRB 11105 20 Point of Compliance 3/2021 DZ CompliancePartner
ECKPUNKT A N S P R EC H PA R T N E R Kevin Lohmann Referent Unternehmenssteuerung, E-Mail: kevin.lohmann@ dz-cp.de Trotz aller Anstrengungen kann es (und wird es voraus- sichtlich auch) während der Umstellung vereinzelt zu Feh- lern oder Verzögerungen kommen. Dies bitten wir bereits hier und heute zu entschuldigen. Wir haben aber alle Vor- kehrungen getroffen, um diese Störungen so gering wie möglich zu halten und im Fall der Fälle schnelle Lösungen sicherzustellen. Dazu gehört auch, dass wir direkt die ver- antwortliche Person in Ihrem Haus kontaktieren und in- formieren werden. Schlussendlich und zusammenfassend überführen wir das Rechnungswesen in ein modernes System, um auch künftig den Anforderungen einer digitalisierten Ge- schäftstätigkeit gerecht zu werden und Ihnen ein ebenso sicherer wie transparenter Partner – auch und insbeson- dere – im Rechnungswesen sein zu können. DZ CompliancePartner Point of Compliance 3/2021 21
ECKPUNKT T elefonie Neue Durchwahlen ab 1. Januar 2022 Wir wollen für Sie einfacher erreichbar sein. Ein Ansprechpartner – eine Durchwahl: egal welcher Standort, egal ob mobil oder Festnetz. Unsere Zentrale erreichen Sie unter Telefon 069 580024-0 Telefax 069 580024-900 Nachfolgend die wichtigsten Durchwahlen der DZ CompliancePartner GmbH: Bereich Telefon Telefax Jens Saenger Sprecher der Geschäftsführung 069 580024-100 069 580024-900 Andreas Marbeiter Geschäftsführung 069 580024-101 069 580024-900 Norbert Schäfer Geschäftsführung 069 580024-102 069 580024-901 Marco Becker Geldwäsche- und Betrugsprävention 069 580024-130 069 580024-901 Thomas Grebe IT-Audit 069 580024-159 069 580024-900 Esra Güner Bewerbermanagement 069 580024-161 069 580024-900 Iris Hauptführer Produktentwicklung & Qualitätssicherung 069 580024-166 069 580024-900 Martin Hierlemann Vertrieb 069 580024-172 069 580024-900 Marc Linnebach WpHG-Compliance 069 580024-189 069 580024-902 Michael Maier MaRisk-Compliance 069 580024-194 069 580024-900 Andreas Marbeiter Informationssicherheit & Datenschutz 069 580024-101 069 580024-900 (komm.) Lars Schinnerling Interne Revision 069 580024-219 069 580024-900 Thorsten Schmeil Geldwäsche- und Betrugsprävention 069 580024-220 069 580024-901 Gabriele Seifert Kommunikation & Bildung 069 580024-228 069 580024-900 Sandra Sitter Projekte & IT 069 580024-230 069 580024-900 Dominik Tiburtius Geldwäsche- und Betrugsprävention 069 580024-235 069 580024-901 Thomas Wagener Compliance-Spezialist 069 580024-241 069 580024-901 22 Point of Compliance 3/2021 DZ CompliancePartner
PUNKTUM Interne Revision Regelmäßig berichten wir an dieser Stelle über die Interne Darüber hinaus wurde turnusgemäß ein Follow-up- Revision der DZ CompliancePartner GmbH. Wir möch- Quartalsbericht für das dritte Quartal 2021 erstellt und ten Ihnen damit einen Überblick über die Qualität der der Geschäftsführung der DZ CompliancePartner GmbH unterschiedlichen Auslagerungsdienstleistungen geben vorgelegt. In den Follow-Up Berichten wird die Abarbei- und Sie in Ihrem Auslagerungscontrolling unterstützen. tung der von internen und externen Prüfern getroffenen Die durchgeführte Revisionstätigkeit der DZ Compliance- Maßnahmen / Empfehlungen dokumentiert. Offene Partner genügt den Anforderungen gemäß MaRisk AT Punkte werden durch die Interne Revision konsequent 4.4.3 und BT 2. nachgehalten. Seit der letzten Berichterstattung in der Point of Com- Als weiterer Informationsaustausch finden zwischen pliance (2/2021, S. 27) wurden entsprechend der Jahres- dem Sprecher der Geschäftsführung der DZ Compliance- prüfungsplanung 2021 vier weitere Prüfungen abgeschlos- Partner GmbH und der Internen Revision regelmäßige sen. Die Berichte zu den Bereichen „Geldwäsche- und Jours fixes statt. Betrugsprävention / Compliance-Spezialisten“, „Daten- schutz“, „IT-Audit“ und „Informationssicherheit“ wurden Ansprechpartner: Lars Schinnerling, als dienstleistungsbezogene Berichte der Mandantschaft Leiter Interne Revision, E-Mail: lars.schinnerling@dz-cp.de mit der entsprechenden Auslagerung zur Verfügung ge- stellt. Die Quartalsberichte zum dritten Quartal 2021 der Internen Revision wurden fristgerecht erstellt und unserer Mandantschaft zur Verfügung gestellt. Wirtschaftliche Lage Die Ertragslage ist weiterhin stabil. Die DZ Compliance- Die DZ CompliancePartner GmbH hat weiterhin Partner GmbH rechnet mit einer leichten Planüberschrei- alle Vorkehrungen zur sicheren Aufrechterhaltung ihres tung zum Jahresende von ca. 350 T€. Die Umsatzrendite Geschäftsbetriebes im Rahmen der Corona-Pandemie ge- von ca. 10 % als Zielmarke wird auch in 2021 erreicht. troffen. Auch wurde die Leistungsfähigkeit aller wesent- Die wirtschaftliche Lage ist damit als stabil zu bezeichnen. lichen Partnerunternehmen regelmäßig überprüft. Die Die Änderungen der MaRisk und BAIT wurden in die DZ CompliancePartner GmbH ist auch weiterhin sicher Dienstleistungen ebenso übernommen, wie auch die sich in der Lage, auf die sich stets ändernden Rahmenbedin- abzeichnenden Änderungen im Dienstleistungsangebot gungen der Pandemie angemessen reagieren zu können. des Hinweisgebersystems. Die Vertragsanpassungen aus Im übrigen verweisen wir auf die vierteljährlichen Risiko- den Änderungen der MaRisk AT 9 wurden bereits in den berichte der Gesellschaft. AK Vertragsprüfung beim DGRV eingebracht, so dass die Änderungen sicher in der Übergangsphase bis Ende 2022 Ansprechpartner: Jens Saenger, umgesetzt werden können. Das Unternehmen wird in der Sprecher der Geschäftsführung, E-Mail: jens.saenger@dz-cp.de Zwischenzeit die notwendigen Vertragsanpassungen als Ergänzung zu den bestehenden Vereinbarungen an alle Kunden übersenden und gegen sich gelten lassen. DZ CompliancePartner Point of Compliance 3/2021 23
Sie können auch lesen