agens Audit Newsletter
Description
agens Audit & Risk Newsletter 2009 – AUSGABE 6/6 Informationen zu Revision, Risikomanagement und Trainings agens – gedacht, getan AKTUELLES Liebe agens Newsletter Leserinnen und Leser, unser Team möchte sich für eine positive Resonanz und das steigende Interesse an unserem Newsletter herzlich bei Ihnen bedanken. Wir hoffen, dass wir Sie mit unseren Newsletters bei Ihrer Tätigkeit unterstützen konnten, und wollen Sie im kommenden Jahr weiterhin auf diesem Wege begleiten. Wir wünschen Ihnen fröhliche Weihnachten, erholsame Feiertage sowie einen guten und er-folgreichen Start ins Jahr 2010. Christof Merz (Geschäftsbereichsleiter) Agenda Schwerpunktthema ................................................................................. 3 Frühwarnsystem in der Praxis ................................ 3 Massendatenanalyse im Rahmen rechtlicher Möglichkeiten ......................................... 5 Frühwarnindikatoren unter Einsatz der individuellen Datenverarbeitung ........................ 7 Aktuelles ................................................................ 9 Gruppenweite Umsetzung von Präventionsmaßnahmen gemäß § 25 g KWG .................. 9 DIIR Fraud-Tagung 2009 in Kassel ......................................... 12 Seminare zu Themen des Fraud managements und der Fraud Prevention ................... 14 Fraud-Seminare 2010 .......................................................................................... ...
Informations
| Publié par | Enya |
| Nombre de lectures | 74 |
| Langue | Deutsch |
Extrait
2009 – AUSGABE 6/6 agens Audit & Risk Newsletter Informationen zu Revision, Risikomanagement und Trainings
agens – gedacht, getan
A K T U E L L E S Liebe agens Newsletter Leserinnen und Leser, unser Team möchte sich für eine positive Resonanz und das steigende Interesse an unserem Newsletter herzlich bei Ihnen bedanken. Wir hoffen, dass wir Sie mit unseren Newsletters bei Ihrer Tätigkeit unterstützen konnten, und wollen Sie im kommenden Jahr weiterhin auf diesem Wege begleiten. Wir wünschen Ihnen fröhliche Weihnachten, erholsame Feiertage sowie einen guten und e r-folgreichen Start ins Jahr 2010.
Christof Merz (Geschäftsbereichsleiter) Agenda Schwerpunktthema ................................................................................. 3 Frühwarnsystem in der Praxis ................................................................................. 3 Massendatenanalyse im Rahmen rechtlicher Möglichkeiten ......................................... 5 Frühwarnindikatoren unter Einsatz der individuellen Datenverarbeitung ........................ 7 Aktuelles ................................................................................................ 9 Gruppenweite Umsetzung von Präventionsmaßnahmen gemäß § 25 g KWG .................. 9 DIIR Fraud-Tagung 2009 in Kassel......................................................................... 12 Seminare zu Themen des Fraud managements und der Fraud Prevention ................... 14 Fraud-Seminare 2010 .......................................................................................... 15 Compliance Symposium 24. und 25. Februar 2010 in Hannover ................................. 16 Literatur ...............................................................................................17 Seminartermine .....................................................................................18 Microsoft Excel.......................................................................................18 Who is Who ...........................................................................................21 Impressum ............................................................................................ 22
agens Audit Newsletter – 2009 – Ausgabe 6/6
2
S C H W E R P U N K T H E M A Schwerpunktthema Frühwarnsystem in der Praxis Aktive Risikosteuerung und – überwachung ist ein entscheidender Beitrag zur Vermeidung bzw. Reduzierung von Verlusten und notwendig, um die Verschlechterung von Risiken frühzeitig zu erkennen. Neben der Unterlegung der Risiken mit Risikokapital haben sich in der Praxis für die Überwachung der Risiken Indikatorensysteme, die bei Überschreitung vorgegebener Tolera n-zen anschlagen, bewährt. Auch die aufsichtsrechtlichen Regelungen heben die Notwendigkeit eines solchen Systems he r-vor. So fordern auch die MaRisk (VA) die laufende Überwachung des Risikoprofils und die Ei n-richtung eines Frühwarnsystems sowie die Lösung wesentlicher risikorelevanter Ad -hoc-Probleme. Ferner hat die Risikoanalyse und -bewertung grundsätzlich zu einer qualitativen und quantitativen Einschätzung potenzieller und realisierter Zielabweichungen, sow ohl durch die einzelnen Risiken als auch durch das Gesamtrisiko zu führen. Durch ein entsprechende s Früh-warnsystem wird die qualitative Einschätzung verbessert und durch Schwellenwerte in konkr e-te Risiko-Aussagen überführt. Ebenso fordern die MaRisk (BA) Verfahren zur Früherkennung von Risiken. Die dem Verfahren zu Grunde liegenden Indikatoren sollten dazu geeignet sein, dass sich abzeichnende Risiken möglichst frühzeitig erkannt werden können (Indikatoren bezogene Komponente ). Auf der Grundlage der Indikatoren sollte eine laufende Identifizierung von sich abzeichnenden Risiken möglich sein („zeitraumbezogene Komponente“) und Signale des Verfahrens zur Früherke n-nung von Risiken zeitnah zu geeigneten Maßnahmen des Instituts führen. Zusammenfassend lassen sich folgende Vorteile aus der Einführung von Frühwarnsystemen ziehen: die frühzeitige Darstellung der Risikolage bzw. das Gefährdungspotenzial die Reduzierung betriebswirtschaftlicher, operationeller und strategische Risiken die Vermeidung von Verlusten die Reduzierung von Solvenzkapital Ein Frühwarnindikator sollte immer anschlagen, wenn erste kon krete Zeichen erkennbar sind, dass Schwachstellen im IKS existieren, externe oder interne Rahmenbedingungen sich ve r-schlechtern oder Verluste drohen. Zu beachten ist, dass sich nicht für alle Risiken Frühwarnindikatoren ermitteln lassen und die Anzahl der Frühwarnindikatoren aus Übersichtlichkeitsgründen begrenzt bleiben sollte. Bei der Einführung eines Frühwarnsystems bietet sich eine Projekteinteilung in sieben Phasen an: 1. Definition der Rahmenbedingungen und Begriffe 2. Risikoanalyse und Ableitung von potenziellen Indikatoren 3. Auswertung des Datenmaterials 4. Bestimmung von Indikatoren und Schwellenwerten 5. Back-Testing 6. Benennung kritischer Grenzen als Schwellenwerte 7. Definition und Dokumentation von eindeutigen Meldewegen bei Überschreitung Für die Bestimmung der Frühwarnindikatoren kommen sowohl subjektive wie auch mathem a-tisch deterministische oder stochastische Ansätze in Frage. Subjektive Indikatoren basieren grundsätzlich auf Experteneinschätzungen. Für stochastische Ansätze werden die Verteilungen simuliert – ggf. mit internen Zeitreihen – und hieraus Quantile ermittelt. Mathematisch-deterministische Indikatoren beruhen auf der Trendanalyse des vorhandenen Datenmaterials und Ableitung von Schwellenwerten. Dies geschieht ohne Simulationen und agens Audit Newsletter – 2009 – Ausgabe 6/6 3
S C H W E R P U N K T H E M A setzt eine Datenbasis mit drei- bis fünfjährigen Zeitreihen voraus. Für eine stochastische Sim u-lation braucht man eine sehr breite Datenbasis – zwischen 100 und 200 Werten. Determinist i-sche und subjektive Ansätze eignen sich eher für kleinere, stochastische Methoden eher für große Unternehmen mit der entsprechenden Datenhistorie.
Abb.: Beispiel für stochastische Simulation Die Ableitung der Schwellenwerte kann auf Basis historischer Zeitreihen geschehen, mit denen Auf- und Abschläge für Eskalationsstufen definiert werden. Abschließend sind die so ermittelten Indikatoren zu Risikokategorien zusammenzufassen und in ein regelmäßiges Berichtswesen zu überführen. Die Ampelfarben rot, gelb und grün stehen im System für die einzelnen Eskalat i-onsstufen in Form eines Ampelsystems.
Der Mehrwert, der mit Indikatorensystemen erreicht werden kann, ist neben der einhergehe n-den Frühwarnfunktion, also bevor das Kind in den Brunnen gefallen ist, auch die Möglichkeit, Verluste und somit auch Risikokapital zu reduzieren. Ansprechpartner: Christof Merz (Geschäftsbereichsleiter) und Jan-Hendrik Uhlenberg (Senior Berater)
agens Audit Newsletter – 2009 – Ausgabe 6/6
4
S C H W E R P U N K T H E M A Massendatenanalyse im Rahmen rechtlicher Möglichkeiten Frühwarnsysteme trotz BDSG? Die Massendatenanalyse umfasst alle Daten, die in der Grundgesamtheit de r Unternehmensda-ten für unterschiedliche Zwecke erhoben worden ist. Der Zusatz digitale Massendatenanalyse wird verwandt, sofern von einer hohen Anzahl an strukturierten und digital gespeicherten D a-ten auszugehen ist. In der heutigen Zeit der digitalen Dat enwelt und des zunehmenden Daten-volumens kann eine effiziente Analyse von Massendaten deshalb nur noch durch die V erwen-dung von computergestützten Methoden und Werkzeuge zum Erfolg führen. Die Auswahl der richtigen Daten und Datenanalyse -Werkzeuge ist dabei ein wichtiger Punkt, die korrekte und effektive als auch effiziente Anwendung ein ganz anderer. Verantwortungsbereich Die Unternehmensleitung unterliegt den nach gesetzlichen und regulatorischen Vorschriften formulierten allgemeinen Sorgfaltspflichten. Der Vorstand ist sowohl für die Einhaltung der g e-setzlichen Bestimmungen und unternehmensinternen Richtlinien als auch für die Einrichtung eines angemessenen Risikomanagements und Risikocontrollings verantwortlich. Bei der Umsetzung der beschriebenen Pfl ichten sind geeignete Maßnahmen zu treffen, den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkennen zu können. Der grundsätzlichen Methodenfreiheit stehen dabei Wirtschaftlichkeits - und Effizienzgesichtspunkte entgegen. Personenbezogene Daten Durch die jüngsten Vorfälle im Bereich Datenanalyse werden durch die Unternehmen aufgrund der unklaren rechtlichen Rahmenbedingungen zunehmend weniger Datenanalysen durchg e-führt. Insbesondere der Grundsatz der Verhältnismäßigkeit im BDSG spielt dabei eine tragende Rolle. Der Datenschutz ist bei personenbezogenen Daten strikt einzuhalten. Personenbezogene Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Bei der Analyse und Auswertung von personenbezogenen Daten sind im Gegensatz zu Daten ohne Personenbezug zahlreiche Vorgaben einzuhalten. Die Abstimmung des Vorgehens bei personenbezogenen Datenanalysen mit der Unternehmensleitung, der Personalabteilung, de r Rechtsabteilung, dem Datenschutzbeauftragten sowie dem Betriebsrat ist zwingend vor Durch-führung der Analyse zu beachten. Zur Vermeidung von Fehlern bei der Datenanalyse bietet sich daher nachfolgender 10 -Punkte Plan bei der Analyse an: 1. Untersuchungsobjekt eindeutig definieren und abgrenzen 2. Betrachtungsobjekt maximal einschränken 3. Einbezogene personenbezogene Daten anonymisieren 4. Beteiligte an Untersuchungen einweisen 5. Dokumentationsregeln festlegen (Verfahrensanweisung) 6. Analysen durchführen 7. Analysen dokumentieren 8. Nicht risikobehaftete Daten unverzüglich löschen 9. Abstimmung evtl. einzubeziehenden Einheiten bei auffälligen Ergebnissen 10. Einbeziehung externer Dienstleister nur unter Beachtung des BDSG
agens Audit Newsletter – 2009 – Ausgabe 6/6
5
S C H W E R P U N K T H E M A Frühwarnsysteme und die Verwendung von Massendaten Die sinnvolle Verbindung der Datenanalyse und des Frühwarnsystems ist für Unternehmen von existenzieller Bedeutung geworden. Die Notw endigkeit von immer zeitnähereren Rückschlüs-sen bei gleichzeitig stetig steigendem Datenvolumen und unter Betrachtung der wachsenden Komplexität von Unternehmensprozessen machen das Instrument Datenanalyse für ein eff i-zientes Frühwarnsystem unverzichtbar. Aber dürfen die analysierten Daten überhaupt zu weiteren Auswertungszwecken verwendet werden? Erlaubt das BDSG noch eine Verwendung von personenbez ogenen Daten? In vielen Fällen sind bei der Definition von Frühwarnindikatoren innerhalb der nach MaRisk formulierten Risikogruppen gar keine Personalkennzeichen erforderlich. So werden Werte wie z. B. das ausgelastete Risikokapital, eine Schadenquote oder aber auch die Ausfallzeiten der IT unabhängig vom Verursacher gemessen. Insbesondere innerhalb der operationellen Risiken und dort vor allem im Bereich der Persona l-risiken sind Indikatoren jedoch oftmals mit direktem Personenbezug versehen. Diese Pro ble-matik lässt sich bereits bei der Definition des Indikators häufig umgehen. So sind Indikatoren wie z. B. Fluktuationsrate, Kopfmonopole oder auch die Anzahl der Krankheitsausfälle ohne Personenbezug für den Einsatz innerhalb eines Frühwarnsystems vollko mmen zufriedenstel-lend. Die derzeitig herrschenden Grauzonen innerhalb des BDSG bezüglich der Messung von personenbezogenen Daten werden dadurch nicht betreten. In einem anderen konkreten Anwendungsbeispiel bei der Messung der Kundenzufriedenheit sind ebenfalls keine personenbezogenen Daten erforderlich. Für die Auswertung des Indikators ist beispielsweise vielmehr die Dauer bis zur Zahlungsfreigabe bzw. Schließung des Vorgangs, also der Abstand zwischen Rechnungseingangsdatum und Zahlungsfreigabedatum rel evant, als die Tatsache wer den Vorgang bearbeitet hat . Die Ausweitung auf eine mitarbeiterbezogene Auswertung ist somit nicht erforderlich und bietet zur Auswertung und Überwachung des Frühwarnindikators keinen Mehrwert. Die genaue Spezifikation von Frühwarnindikatoren lassen somit durch die geschickte Definition von neuen Datenfeldern und der Streichung von Personenbezügen durchaus zufriedene Erge b-nisse bei der Messung zu. Die Praxis zeigt, dass wichtige Kennzahlen auch ohne personenb e-zogene Daten generiert und im Einklang mit dem BDSG verwendet werden können. Die Eff i-zienz eines Frühwarnsystems wird dadurch nicht eingeschränkt! Ansprechpartner: Jan-Hendrik Uhlenberg (Senior Berater)
agens Audit Newsletter – 2009 – Ausgabe 6/6
6
S C H W E R P U N K T H E M A Frühwarnindikatoren unter Einsatz der individuellen Datenverarbei-tung
Frühwarnindikator oder Unsicherheitsfaktor? In Zeiten von Finanz- und Wirtschaftskrise nimmt die Bedeutung von Risikomanagementsy s-temen innerhalb der Unternehmen stetig zu. Für die laufende Überwachung ist der Einsatz von flexiblen und verständlichen Systemen unter zu Hilfenahme von Frühwarnindikatoren daher unerlässlich. Die Effizienz und Effektivität der Indikatoren hängt dabei maßgeblich an der korrekten Definit i-on sowie der ordnungsgemäßen technischen Implementierung ab. Der Einsatz von übergre i-fenden Systemlösungen lässt sich jedoch für viele Unternehmen nicht ohne Weiteres realisi e-ren, da sowohl die zu erwartenden Kosten als auch der zunehmende Zeitdruck der Fertigste l-lung enorm sind. Um eine laufende Überwachung der definierten Indikatoren zu g ewährleisten, greifen deshalb viele Unternehmen auf Standardprodukte wie MS -Excel TM zurück. Der Einsatz dieser Werkzeuge garantiert neben der schnellen und einfachen Implementierung und dem im Sinne eines funktionierenden Frühwarnsystems. In der Praxis ze igt sich jedoch, dass die Risiken im Einsatz von Microsoft Excel oftmals ignoriert und unbeachtet bleiben. Dass mit dem Einsatz der Informationstechnologie jedoch auch viele Risiken bestehen, ist hi n-länglich bekannt. Es gibt entsprechende Prozesse und Fac hleute, die sich um die Themen Ver-traulichkeit, Integrität und Verfügbarkeit, kurz gesagt IT -Sicherheit, kümmern und diese auch gewährleisten. Dafür müssen bestimmte Standards und Normen eingehalten und Verfahren berücksichtigt werden. Das alles wird von d er IT-Abteilung bereitgestellt, betrieben und gem a-nagt. Eine hundertprozentige Sicherheit ist dabei weder erreichbar, erstrebenswert noch finanzie r-bar. Jedoch existieren auf dem Markt mittlerweile kleinere Programme, mit denen MS -Excel-Dateien analysiert und Informationen über Risiken und Komplexität der Anwendungen ang e-zeigt werden können. Beliebte Fehlerquellen sind im Wesentlichen ein fehlender Zellen- und/oder Blattschutz, falsche Zellenbezüge, fehlerhafte oder falsche Programmierung von Formeln oder der unkontrollierte Einsatz von Visual Basic for Application (VBA) oder auch der fehlende Einsatz von Passwortris t-riktionen. Insbesondere durch fehlende Schutzfunktionen können korrekte Formeln und Bezüge schnell ausgehebelt werden, ob absichtlich oder una bsichtlich. Folgende Maßnahmen eignen sich zur Sicherung bzw. Reduzierung des Risikos : a) „Wenn“ (IF) Funktionen Ein IF zeigt an, dass der „Programmierer“ dieses Excel -Sheets komplexe Zusammen-hänge bewertet und basierend auf den Ergebnissen einer Wenn-Bedingung neue Werte ausgibt. In diesen Fällen ist eine regelmäßige Plausibilitätsprüfung bzw. ein Schutz der Formeln unerlässlich. b) Platzhalter und Schutzfunktionen In Excel kann man so genannte „Namen“ definieren (verglei chbar mit Platzhaltern oder Variab-len). Man kann diese Namen nun in jeder Zelle benutzen, Excel greift dann bei der Berechnung das Ergebnis immer auf die in definierte Formel zurück. Namen stellen insofern ein Problem dar, dass sie nur geschützt sind, wenn auf jeder Tabelle eines Excel-Sheets ein Blattschutz
agens Audit Newsletter – 2009 – Ausgabe 6/6
7
S C H W E R P U N K T H E M A (mit Passwort) liegt und die Arbeitsmappe geschützt ist. Ansonsten kann jeder „Name“ verä n-dert werden, was natürlich zu falschen Ergebnissen in Formeln führen kann. c) VBA Der Einsatz von VBA bedingt, dass sich der Entwickler mit dieser Programmiersprache auskennt und Fähigkeiten über den normalen „Formel -Gebrauch“ hinweg erworben hat. Eine entsprechende Dokumentation zu diesem Programm liegt oft nicht im gebotenen Umfang oder gar nicht vor. Für diese Art von Excel-Dateien sollte in jedem Fall eine Qualitätssicherung vorgenommen und eine ausreichende Dokumentation angelegt we r-den. Zusammenfassend zeigt sich, dass der unkontrollierte Einsatz von individueller Datenverarbe i-tung weitere Risiken mit sich bringt, die zwingend zu beachten und vor allem zu kontrollieren sind. Der einfache Einsatz sogenannter „Excel -Checker-Programme“ kann helfen, Fehlerquellen au f-zudecken und anschließend vorhandene Lücken zu schließen. Generell gilt, dass durch den Einsatz v on „Frühwarnindikatoren“ in der individuellen Datenve r-arbeitung unter anderem operationelle Risiken überwacht und kontrolliert werden. Jedoch sol l-ten weitere operationelle Risiken durch den falschen Gebrauch unbedingt verhindert werden. Ansprechpartner: Christof Merz (Geschäftsbereichsleiter) und Jan -Hendrik Uhlenberg (Senior Berater).
agens Audit Newsletter – 2009 – Ausgabe 6/6
8
A K T U E L L E S Aktuelles Gruppenweite Umsetzung von Präventionsmaßnahmen gemäß § 25g KWG Neues Rundschreiben zur Geldwäscheprävention Am 23.09.2009 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf Weisung des Bundesfinanzministeriums ein Rundschreiben zur gruppenweiten Umsetzung von Prävent i-onsmaßnahmen gemäß § 25 g Kreditwesengesetz (KWG) veröffentlicht. Nach § 25 g KWG müssen übergeordnete Unternehmen im In- und Ausland sicherstellen, dass bestimmte Mi n-deststandards bei der Geldwäscheprävention gruppenweit eingehalten werden. Dazu gehören etwa die Schaffung eines Gruppen-Geldwäschebeauftragten, die Erstellung einer Gefährdu ngs-analyse für die gesamte Gruppe und Erfüllung der Sorgfaltspflichten sowie Aufzeichnung s-pflichten nach deutschem Recht. Die gesetzlichen Anforderungen an die gruppenweite Umsetzung durch die dem KWG unterli e-genden Institute sind durch die Änderung des § 25 g KWG im Rahmen des Gesetzes zur Fort-entwicklung des Pfandbriefrechts vom 26. März 2009 modifiziert worden. Das neue Run d-schreiben 17/2009 der BaFin erläutert die in § 25 g KWG enthaltenen Anforderungen an die gruppenweite Umsetzung der neu gefassten geldwäscherechtlichen Pflichten. Das Rundschreiben richtet sich an alle im Sinne des § 25 g KWG Kreditinstitute Finanzdienstleistungsinstitute Kapitalanlagegesellschaften (vgl. § 6 Abs. 5 de s Investmentgesetzes (InvG) Finanzholding-Gesellschaften sowie gemischte Finanzholding-Gesellschaften, die nach § 10 a Abs. 3 Satz 6 oder 7 KWG oder nach § 10 b Abs. 3 Satz 8 KWG als übergeordnetes Unternehmen gelten und gemäß § 25 g Abs. 2 KWG Verpflichtete im Sinne des § 2 Abs. 1 Nr. 1 GwG sind Gemäß dieses Rundschreibens haben alle in Deutschland angesiedelten Mutterunternehmen oder übergeordnete Unternehmen sicherzustellen, dass für alle ihnen nachgeordneten Unte r-nehmen, Zweigstellen und Zweigniederlassungen im In - und Ausland gruppenweite interne Si-cherungsmaßnahmen zur Geldwäschebekämpfung geschaffen sowie die sonstigen dort g e-nannten Pflichten erfüllt werden. Die Verantwortlichkeit für die Erfüllung dieser Pflichten liegt bei der Geschäftsleitung des Mutterunternehmens oder übergeordneten Unternehmens. Im Rahmen der Umsetzung dieses Rundschreibens sind die oben genannten Unternehmen ve r-pflichtet, folgende Maßnahmen zu treffen: 1. Schaffung interner Sicherungsmaßnahmen: a) Gruppen-Geldwäschebeauftragter Beim Mutterunternehmen oder übergeordneten Unternehmen ist ein Gruppen-Geld-wäschebeauftragter zu bestellen, der im Rahmen des globalen Risikomanagements für die gesamte Gruppe eine einheitliche Politik zur Verhinderung von Geldwäsche und Te r-rorismusfinanzierung zu schaffen und deren Umsetzung zu koordini eren und gruppen-weit zu überwachen hat. b) Schulungen Im Rahmen der internen Sicherungsmaßnahmen ist es gemäß § 25 g KWG erforderlich, angemessene Schulungen für die Geldwäschebeauftragten und die mit der Durchfü h-rung von Transaktionen und mit der Anbah nung und Begründung von Geschäftsbezi e-hungen befassten Beschäftigten der Gruppe regelmäßig durchzuführen.
agens Audit Newsletter – 2009 – Ausgabe 6/6
9
A K T U E L L E S c) Gefährdungsanalyse Das Mutterunternehmen oder übergeordnete Unternehmen hat zur gruppenweiten U m-setzung des § 25 g Abs. 1 KWG unter Beachtung des Rundschreibens 8/2005 eine Ge-fährdungsanalyse für die gesamte Gruppe anzufertigen und zu aktualisieren. Im Ra h-men der Analyse soll die Auswirkung der einzelnen Risiken jede Niederlassung auf die gesamte Gruppe bewertet werden. Die aktuelle Gefährdungsan alyse für die Gruppe ist der Geschäftsleitung zur Kenntnis zu geben. 2. Einhaltung der Sorgfaltspflichten In der gesamten Gruppe hat das Mutterunternehmen sicherzustellen, dass die vorgeg e-benen Sorgfaltspflichten eingehalten werden. Im Weiteren hat das Mutterunternehmen gemäß § 9 Abs. 2 Nr. 2 GwG i.V.m. § 25g Abs. 1 Satz 1 KWG sicherzustellen, dass zur Erfüllung der Kundensorgfaltspflichten für die Kundenannahme gruppenweit einheitliche risikoangemessene Regelungen und Ve r-fahren bestehen. Zudem soll eine Überwachung von Konten auf ungewöhnliche oder verdächtige Transaktionen anhand der einheitlichen risikoorientierten Verfahren in der gesamten Gruppe stattfinden. 3. Anforderungen gemäß § 25 g Abs. 1 Satz 3 KWG Soweit die nach § 25 g Abs. 1 Satz 1 KWG im Rahmen der Begründung oder Durchfüh-rung von Geschäftsbeziehungen oder Transaktionen zu treffenden Maßnahmen in einem Drittstaat, in dem eine Zweigstelle oder ein nachgeordnetes Unternehmen ansässig ist, nach dem Recht des betroffenen Staates rechtlich nich t zulässig oder tatsächlich nicht durchführbar sind, hat das Mutterunternehmen oder übergeordnete Unternehmen g e-mäß § 25 g Abs. 1 Satz 3 KWG sicherzustellen, dass seine Zweigstellen oder nac h-geordneten Unternehmen in diesem Drittstaat keine Geschäftsbezieh ung begründen oder fortsetzen und keine Transaktionen durchführen, die entsprechende unzulässige oder undurchführbare Maßnahmen erfordern. Die bereits bestehenden Geschäftsbeziehungen sollen ungeachtet der anderen gesetzl i-chen oder vertraglichen Bestimmungen durch die Kündigung oder auf andere Weise b e-endet werden. Dabei soll der Grundsatz der Verhältnismäßigkeit beachtet werden. Die an die Erfüllung der Sorgfaltspflichten zu stellenden Anforderungen sind nicht aufgrund formal-schematisch vorgegebener Kriterien, sondern im Licht des risikobasierten Ansat-zes des § 3 Abs. 4 GWG auszulegen. Die Geschäftsbeziehungen sollen generell beendet werden, wenn sich die von § 25g Abs. 1 Satz 1 KWG geforderten, im betreffenden Drittstaat aus rechtlichen oder tatsäc h-lichen Gründen nicht durchführbaren Maßnahmen als wesentlich darstellen. 4. Sicherstellung des Zugangs zu Informationen innerhalb der Gruppe Das Mutterunternehmen oder übergeordnete Unternehmen hat gemäß § 9 Abs. 2 Nr. 2 GwG i.V.m. § 25 g Abs. 1 Satz 1 KWG sicherzustellen, dass alle für den Gruppen -Geldwäschebeauftragten und die Konzernrevision notwendige n Informationen zugäng-lich sind und alle Nachfragen hierzu zeitnah beantwortet werden. 5. Aufzeichnungs- und Aufbewahrungspflichten Das Mutterunternehmen oder übergeordnete Unternehmen hat sicherzustellen, dass die Anforderungen der Aufzeichnungs- und Aufbewahrungspflicht innerhalb der gesamten Gruppe eingehalten werden. Die Berichte und zugängliche Informationen sollen aufb e-wahrt werden und der Konzernrevision sowie im Rahmen von Jahresabschluss - und Sonderprüfung zugänglich gemacht werden. agens Audit Newsletter – 2009 – Ausgabe 6/6
10
A K T U E L L E S Auswirkungen für die Arbeit der Internen Revision Das neue Rundschreiben hat entsprechend eine direkte Wirkung auf die Tätigkeit der Internen Revision. Im Rahmen der risikoorientierten Prüfung soll die Interne Revision sicherstellen, dass die geeigneten Präventionsmaßnahmen zu r Geldwäschebekämpfung gruppenweit umgesetzt wurden. Die Prüfung soll allerdings nicht jedes Jahr stattfinden. Die Entscheidung über d ie Häufigkeit der Prüfungsdurchführung hängt von der Risikosituation und den internen Anford e-rungen in der gesamten Gruppe ab. Ganz wesentlicher Bestandteil wird die Überprüfung der gruppenweiten Gefährdungsanalyse sein, so dass die Hausaufgaben vorerst noch durch die jeweiligen GWG-Beauftragten zu ma-chen sind. Dennoch liegt auch dieses Rundschreiben auf Linie mit der Prinzipienorientierung der BaFin. Die Angemessenheit der Umsetzung ist durch die jeweiligen Finanzdienstleistung s-institute zu gewährleisten. Das gilt gleichermaßen für den risikoorientierten Prüfungsansatz der Internen Revision. Aufgrund der Neuregelungen des Geldwäschebekämpfungsgesetzes in 2008 sind diverse, auch durchaus formale Pflichtprüfungskomponenten weggefallen, so auch die Vorschrift des jährlichen Prüfungsrhythmus durch die Interne Revision. Jetzt gilt es unterne h-mensspezifisch anhand der gruppenweit auszurichtenden Gefähr dungsanalyse sowie dem KYC-und Know the Source of Money-Prinzip den Prüfungsrhythmus sowie die jeweiligen (Teil-) Prü-fungsobjekte neu festzulegen. Ansprechpartner: Oleksandr Krasnopolskyy (Berater )
agens Audit Newsletter – 2009 – Ausgabe 6/6
11
© 2010-2024 YouScribe