Risk, Governance & Compliance

Bundesfinanzminister Scholz will mit dem neuen Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz–FISG) auf die Vorgänge beim insolventen Zahlungsdienstleister Wirecard reagieren und das verloren gegangene Vertrauen in die deutschen Finanzmärkte wiederherstellen. Hierbei baut der Finanzminister im Kern auf „alt bewährte“ Arbeitsmittel – die Verschärfung von Sanktionen.  Wesentliche Aspekte des geplanten Gesetzes zur Stärkung der Finanzmarktintegrität So…

Der ISACA ist der weltweit führende Berufsverband für die Themen IT-Revision und IT-Governance. Bekannt ist der ISACA vor allem durch sein international anerkanntes Framework COBIT. Neben COBIT veröffentlichen auch die ISACA Landesverbände immer wieder interessante und praxisorientierte Leitfäden durch ihre Fachgruppen. Im Januar 2021 hat die Fachgruppe „IT-Compliance“ des ISACA Germany Chapters mit Hilfe des…

Die Welt und damit auch das Geschäftsleben werden zunehmend digitaler. Wurden vor Jahren viele Informationen noch als Papier übermittelt und auch archiviert, erfolgt beides zunehmend auf elektronischem Wege. Damit eröffnen sich aber auch ganz neue Wege des Zugriffs und der Werksspionage. Wo man früher wie bei James Bond aufwendig Einbrüche, Wanzen, versteckte Kameras und Richtmikrofone…

Der zuletzt durch das BSI freigegebene branchenspezifische Sicherheitsstandard betrifft den Sektor medizinische Versorgung (im Krankenhaus). Gemäß der Pressemitteilung vom 23.10.2019 des BSI hat dieses den Cyber-Sicherheitsstandard für Krankenhäuser von der Deutschen Krankenhausgesellschaft (DKG) anerkannt. Laut der Ausführungen des BSI waren medizinische Einrichtungen und Krankenhäuser 2019 wiederholt durch IT-Sicherheitsvorfälle sowohl in den Fokus der Behörden als auch…

Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden. Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu…

Die am 27. April 2016 veröffentlichte und seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO bzw. Verordnung (EU) 2016/679) bzw. das Gesetz zur Anpassung des Datenschutzrechtes an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, kurz BDSG (neu), hat die Unternehmen vor neue Herausforderungen gestellt. Doch nicht nur das – in dem…

Die neue Leitlinie „EBA/GL/2019/02 zu Auslagerungen“ ist im Februar 2019 erschienen. Sie löst die bestehenden Richtlinien Committee of European Banking Supervisors (CEBS) zum Outsourcing vom 14. Dezember 2006 und die Empfehlungen der EBA zum Outsourcing an Cloud-Dienstleister ab. Die Leitlinie trat zum 30.09.2019 in Kraft und umfasst alle zu diesem Datum und danach geschlossenen, zur…

Am 29. März 2019 sollte Großbritannien im Zuge der Brexit-Abstimmung die Europäische Union verlassen. Zwei Jahre zuvor leitete Theresa May, britische Premierministerin, das Austrittsersuchen Großbritanniens an die EU weiter. Geplant war in dem zweijährigen Übergangszeitraum, die Modalitäten zwischen Großbritannien und der EU zum Austritt zu klären und Abkommen und Vorkehrungen für einen geordneten Brexit zu…

Die EBA-Leitlinien zu den „Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten gemäß der Richtlinie (EU) 2015/2366 (PSD2)“ werden in die „Guidelines on ICT and security risk management“ integriert (ICT = information and communication technology; zu deutsch: IKT). Ziel der Leitlinien ist es, dass Finanzinstitute sich mit den immer relevanter werdenden IKT-Risiken inklusive der…

Nach Informationen der Landesdatenschutzbehörden nahm die Zahl der gemeldeten Datenschutzverstöße in der Zeit ab 25.05.2018 enorm zu – aber nur ein Teil dieser gemeldeten Verstöße sind auch tatsächlich Datenschutzverstöße im Sinne der DSGVO.Nach Auskunft der Landesbeauftragten für den Datenschutz Niedersachsen wurden 2017 insgesamt 20 Datenschutzverstöße gemeldet. In der Zeit vom 25.05.2018 bis 07.08.2018 stieg diese…

Die Prüfung des internen Kontrollsystems bei Dienstleistern nach dem Standard SSAE 18 Hintergrund Das Outsourcing von Geschäftsprozessen oder Teilen davon ist seit vielen Jahren ein normaler Vorgang und ermöglicht Unternehmen, sich auf Kernaufgaben und -kompetenzen zu konzentrieren. Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, ist meistens ein mittelbarer oder unmittelbarer Einfluss auf…

Sie möchten sich auf Ihr Kerngeschäft konzentrieren und verfügen nicht über entsprechendes PSD2-Wissen und Ressourcen zur Umsetzung der Anforderungen? Sie würden gerne Themen wie Governance, Risikomanagement, Outsourcing/Dienstleistersteuerung und -überwachung oder Interne Revision mit Hilfe von Dienstleistern abdecken? Sie suchen Antworten zu Fragen rund um das Thema PSD2, möchten aber nicht direkt große Beratungsprojekte einkaufen? Die…

Der Zahlungsverkehr hat durch die MaSI (Mindestanforderungen an die Sicherheit von Internetzahlungen) und die PSD 2 (Payment Services Directive) erhebliche Änderungen erfahren. Während die MaSI speziell die Sicherheit im Zahlungsverkehr im Fokus hat, reguliert die PSD 2 den kompletten Zahlungsverkehr inkl. der Sicherheit und setzt die Rahmenbedingungen, die Zahlungsdienstleister einzuhalten haben, z.B. für die Zulassung….

Die Umsetzung der Anforderungen aus der PSD2 prägt derzeit die Projektlandschaft der Zahlungsdienstleister. Während das Zivilrecht (größtenteils) Anfang 2018 zur Anwendung kommt, haben sich die Institute aufgrund von Fristverschiebungen und der Abhängigkeit von EBA-Veröffentlichungen etwas Zeit in der Umsetzung von einzelnen Teilen des Aufsichtsrechts verschafft. Dennoch: Obwohl einige Zieltermine für umfangreiche Themen in der Zukunft liegen,…

Komplexe Welt: Wir hatten (und haben noch) ein Bundesdatenschutzgesetz (BDSG), das bis Mai 2018 vollständig in Kraft ist. Jetzt kommt aber die EU-Datenschutzgrundverordnung (EU-DSGVO), die für uns unmittelbar Gesetzescharakter hat und insofern nicht in nationales Recht umzusetzen ist. Die EU-Verordnung läßt aber Spielraum (und Notwendigkeiten) für nationale Anpassungen. Diese werden bei uns im BDSG (neu)…