02.07.2020: Die Zertifizierung eines dienstleistungsbezogenen internen Kontrollsystems (IKS) ist für IT-Dienstleister der Schlüssel zur erfolgreichen Zusammenarbeit mit Banken.

Schliessfaecher mit Schluessel

Auch im Jahr 2020 bleibt das Thema Auslagerung für Banken interessant. Die anhaltende Niedrigzinsphase, für die auf Grund der aktuell weltweit aufgesetzten Konjunkturpakete auch kein Ende in Sicht zu sein scheint, im Zusammenhang mit dem wirtschaftlichen Abschwung und der drohenden Rezession, zwingt Banken weiterhin dazu, Kosten zu sparen und sich auf ihre Kernkompetenzen zu konzentrieren. Für spezialisierte Dienstleister bieten sich hier Chancen. Um diese auch nutzen zu können, sollten sich Unternehmen auf die Anforderungen der Banken einstellen und Vorbereitungen treffen.

Denn nach AT 9 der MaRisk sowie ggf. der BAIT sind Banken dazu verpflichtet, Dienstleistungen und Auslagerungen unter Risikogesichtspunkten auf ihre Wesentlichkeit zu überprüfen und angemessen zu steuern. Dadurch soll die ordnungsgemäße Erbringung der Leistung durch den Dienstleister sichergestellt werden. Banken stellen daher hohe Anforderungen an die Organisation der Dienstleistungsunternehmen, mit denen sie zusammenarbeiten.

Dabei bedienen sie sich regelmäßig standardisierten Verfahren zur Beurteilung und Steuerung. Jedoch kann diese Standardisierung dazu führen, dass Dienstleister Anforderungen genügen müssen, welche die eigentliche Geschäftsbeziehung nicht erfassen. Oder die Anforderungen gehen weit über das hinaus, was bei einer individuellen Beurteilung angemessen wäre. In jedem Fall bedeutet das Assessment der Banken gerade für kleine Dienstleister oft einen hohen Aufwand.

Durch den Aufbau und die Zertifizierung eines dienstleistungsbezogenen internen Kontrollsystems (IKS) sind auch kleine Unternehmen in der Lage, den Anforderungen der Banken nachzukommen. Das Zertifikat eines Wirtschaftsprüfers kann dabei als Nachweis für eine ordnungsgemäße Erfüllung der geplanten Dienstleistungen genügen. Für die Bank ergibt sich der Vorteil, auf die Einschätzung eines unabhängigen Dritten vertrauen und somit auf eine aufwändige und kostenintensive eigene Prüfung verzichten zu können.

Zu den notwendigen Bestandteilen eines solchen dienstleistungsbezogenen IKS gehören unter anderem:

Strukturelle Voraussetzungen

Kontrollumfeld

Das Kontrollumfeld bildet den Rahmen, in dem sich das IKS bewegt. Dabei sind die Aspekte Integrität, Ethik und Sachkompetenz des Personals, Führungsphilosophie und Führungsstil, Organisations- und Ausbildungspolitik sowie Delegation von Verantwortung zu berücksichtigen. Das Kontrollumfeld und die gelebte Unternehmenskultur sollen ein Bewusstsein für die Notwendigkeit und die nötige Akzeptanz bei den Mitarbeitern schaffen.

Aufbauorganisation

Zur Aufbauorganisation gehört die Aufstellung eines Unternehmensorganigramms, welches die Struktur des Unternehmens mit klaren Hierarchien und Entscheidungswegen abbildet.

Rollenmodell

Mit Hilfe eines Rollenmodells werden sämtliche Aufgaben und Verantwortlichkeiten klar definierten Rollen zugewiesen. Jeder Mitarbeiter kann wiederum ein oder mehrere Rollen einnehmen. Den Rollen können darüber hinaus auch Berechtigungen in den IT-Systemen zugewiesen werden. Wechselt ein Mitarbeiter in einen anderen Tätigkeitsbereich, ist somit sichergestellt, dass ihm nicht mehr benötigte Berechtigungen entzogen und ihm notwendige Berechtigungen wiederum gewährt werden. Mit Hilfe des Rollenmodells können auch die Anforderungen an die Funktionstrennung umgesetzt werden, in dem sich bestimmte Rollen gegenseitig ausschließen.

Prozesse

Jedes dienstleistungsbezogene IKS setzt einen prozessorientieren Ansatz voraus. Jede Aktivität des Unternehmens sollte mittels klar definierter Prozesse transparent und nachvollziehbar dokumentiert sein. Die Tiefe und Mittel der Dokumentation sind dabei dem Unternehmen überlassen, solange sie es einem Dritten ermöglichen, die Abläufe nachzuvollziehen.

Risikoanalyse und Maßnahmen

Risikomanagement

Nachdem die strukturellen Voraussetzungen geschaffen wurden, folgt eine prozessorientierte Risikoanalyse als Teil eines klassischen Risikomanagements. Dabei sollen Risiken identifiziert und bewertet werden, welche eine ordnungsgemäße Erbringung der Kerndienstleistungen gefährden. Diese Analyse dient als Grundlage für die Kontrollaktivitäten.

Kontrollaktivitäten

Den Kern des IKS und den wesentlichen Teil der Zertifizierung machen die Kontrollaktivitäten aus. Die im Rahmen der Risikoanalyse identifizierten Risiken werden mit Kontrollen hinterlegt. Dabei kann es sich um prozessunabhängige oder prozessabhängige Kontrollen handeln, welche manuell oder automatisiert durchgeführt werden.

Die Kontrollen werden in einer Risiko-Kontroll-Matrix dokumentiert. Dabei wird jeder Kontrolle der zu Grunde liegende Risikofaktor zugeordnet. Die Beschreibung der Kontrolle beinhaltet neben dem Kontrollziel die für die Zertifizierung notwendigen Nachweise.

Begleitende Elemente

Je nach Unternehmen wird das IKS unter anderem mit einem Informationssicherheits-Managementsystem sowie mit Maßnahmen zum Datenschutz ergänzt.

In unseren Projekten haben wir Unternehmen bereits erfolgreich beim Aufbau und der Einführung eines funktionierenden dienstleistungsorientierten IKS unterstützt. Gerne helfen wir Ihnen bei der Implementierung eines solchen IKS und begleiten Sie von der Analyse bis zur Zertifizierung.


 

Ansprechpartner

Jan Skudlarek
Consultant und Datenschutzbeauftragter

Kontakt


 

Zurück