Q_PERIOR Audit & Risk Newsletter - REVISIONSWELT

AKTUELLESQ_PERIORAudit & RiskNewsletterAusgabe 04/2013Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/61

AKTUELLESIch wünsche Ihnen eine angenehme Lektüre.Liebe Audit & Risk Newsletter Leserinnen und Leser,wie gewohnt informiert Sie unser Team über Neuigkeiten rund um die Themen Revision,Risikomanagement und Compliance.Diesmal haben wir unseren Schwerpunkt auf den Bereich „IT Audit & Security“ gelegt.Wir berichten über das geplante „IT-Sicherheitsgesetz“ und sprechen über dasThema „Verschlüsselung“.Des Weiteren stellen wir Ansätze zur „Datensicherung und -historisierung im Säule 3Umfeld von Solvency II“ vor und gehen auf „Risikotragfähigkeitsmodelle“ näher ein.Zudem berichten wir für über „Neuigkeiten zu Solvency II“ und informieren über das„Gesetz zur Stärkung des Risikomanagements von Versicherungsunternehmen“ sowieüber die „Aktualisierung des COSO I Frameworks“. Abschließend blicken wir zurückauf den „Roundtable zur Marktwertbilanz unter Solvency II“.Christof Merz(Partner, Lead Audit & Risk)AgendaSchwerpunktthema ...................................................................................... 3IT-Sicherheitsgesetz ................................................................................................................................ 3Grundlagen der Verschlüsselung ............................................................................................................ 6Aktuelles .................................................................................................. 9Datensicherung und -historisierung im Säule 3 Umfeld von Solvency II ................................................ 9Risikotragfähigkeitsmodelle – Status quo und Verbesserungspotenzial .............................................. 13Neuigkeiten zu Solvency II & Risikomanagementthemen .................................................................... 16Gesetz zur Stärkung des Risikomanagements von Versicherungsunternehmen .................................. 17COSO I Framework erfährt Aktualisierung: Neues COSO-Rahmenwerk für interne Kontrollsysteme . 19Rückblick halbtägiger ROUNDTABLE: Marktwertbilanz unter Solvency II ............................................ 22Fraud-Grundlagen-Seminar am 27. November 2013 in München........................................................ 25Seminartermine ......................................................................................... 26Who is who .............................................................................................. 28Impressum ............................................................................................... 29Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/62

SCHWERPUNKTTHEMASchwerpunktthemaIT-SicherheitsgesetzAnbieter von Telekommunikationsdiensten und kritischen Infrastrukturen sollen zukünftig IT-Sicherheitsvorfälle melden. Das geht aus dem geplanten „Gesetz zur Erhöhung der Sicherheit informationstechnischerSysteme“ hervor, das als Entwurf vom Bundesministerium des Inneren (BMI) am 05.03.2013veröffentlicht wurde.Laut BMI sind bereits heute 50 Prozent aller Unternehmen in Deutschland abhängig vom Internet. Mit derzunehmenden Vernetzung erhöhen sich auch die Bedrohungspotenziale. Cyber-Attacken nehmen stetig zuund treffen Unternehmen quer durch alle Branchen. Dabei bemerken die Betriebe aber oft gar nicht, dasssie in das Visier von Kriminellen geraten sind. Besonders gefährlich wird es dann, wenn sicherheits- undwettbewerbsrelevante Unternehmensdaten gestohlen werden oder für die Bevölkerung kritische Infrastrukturenbetroffen sind. Interpol schätzt, dass der gesamte Schaden durch Computerkriminalität in Europajährlich rund 750 Millionen Euro beträgt.Das IT-Sicherheitsgesetz soll den Schutz der Integrität und Authentizität datenverarbeitender Systeme verbessernund an die gestiegene Bedrohungslage anpassen.Nationale UmsetzungGültigkeit• Das Gesetz hat Gültigkeit für die Branchen Energie, Informationstechnik und Telekommunikation,Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, die vonhoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigungnachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheiteintreten würden.• Mögliche Merkmale für die Einordnung einer Einrichtung, Anlage oder eines Teils davon als kritischeInfrastruktur sind insbesondere der Versorgungsgrad, die Auswirkungen eines Ausfalls bzw. einer Beeinträchtigungauf die Bevölkerung oder auf andere kritische Infrastrukturen, zeitliche Aspekte (Schnelligkeitund Dauer des Ausfalls bzw. der Beeinträchtigung), Marktbeherrschung sowie die Auswirkungauf den Wirtschaftsstandort.Angemessene Mindestanforderungen an IT-SicherheitBetreiber kritischer Infrastrukturen sind verpflichtet, innerhalb von zwei Jahren nach Inkrafttreten des Gesetzes,angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutzderjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeitder von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind:• Die Sicherungsmaßnahmen müssen dem Stand der Technik der jeweiligen Branche entsprechen.• Die Maßnahmen gelten als angemessen, wenn der dafür erforderliche Aufwand im Verhältnis zu denFolgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Infrastruktur steht.• Branchen können brancheninterne Standards entwickeln, die das Bundesamt für die Sicherheit in derInformationstechnik (BSI) als Konkretisierung der gesetzlichen Verpflichtung anerkennt.• Die Mindestanforderungen müssen von den Betreibern in Sicherheits- und Notfallkonzepte gegossenwerden, um deren Umsetzung zu dokumentieren.• Maßnahmen sind zum Beispiel: Information Security Management (Sicherheitsorganisation, IT-Risikomanagement, etc.), BCM (Business Continuity Management), etc.Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/63

SCHWERPUNKTTHEMADurchführung von SicherheitsauditsZur Überprüfung der Sicherungsmaßnahmen müssen nach wesentlichen Änderungen im Unternehmen,jedoch mindestens alle zwei Jahre, Sicherheitsaudits durch anerkannte Auditoren durchgeführt werden:• Ein Auditor gilt als anerkannt, wenn er seine Qualifikation zur Überprüfung der Einhaltung der Mindeststandardsgegenüber dem BSI formal glaubhaft machen kann. Möglich ist z. B. die Anknüpfung an Zertifizierungen,die für die fachlich-technische Prüfung im jeweiligen Sektor angeboten werden (z. B. zertifiziertePrüfer für bestimmte ISO-Normen, o. ä.).• Eine Aufstellung der durchgeführten Audits einschließlich aufgedeckter Sicherheitsmängel ist an das BSIzu melden. Bei Sicherheitsmängeln kann das BSI die gesamten Ergebnisse des Audits sowie eine unverzüglicheBeseitigung verlangen.• Wenn das öffentliche Interesse dies erfordert, wird die Öffentlichkeit über die Sicherheitsvorfälle benachrichtigt.• Wirtschaftsprüfer prüfen im Rahmen der Jahresabschlussprüfungen zusätzlich rechnungsrelevante IT-Systeme.Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI)Betreiber kritischer Infrastrukturen haben erhebliche IT-Sicherheitsvorfälle unverzüglich an das Bundesamtzu melden:• Laut Gesetzentwurf ist ein IT-Sicherheitsvorfall erheblich, wenn schwerwiegende Beeinträchtigungender informationstechnischen Systeme, Komponenten oder Prozesse, d. h. Beeinträchtigungen, dieAuswirkungen auf die Funktionsfähigkeit der betriebenen kritischen Infrastrukturen haben können, vorliegen.• Auch versuchte oder erfolgreich abgewehrte Angriffe müssen gemeldet werden.• Zusätzlich: Alle bekannt gewordenen Vorfälle, die die IT-Sicherheit von datenverarbeitenden Systemender Endnutzer gefährden, sind an diese zu melden (gilt v. a. für Anbieter von Telekommunikationsdiensten).Benennung von Warn- und Alarmierungskontaktpersonen aus dem UnternehmenInnerhalb von einem Jahr nach Inkrafttreten des Gesetzes müssen dem Bundesamt Warn- und Alarmierungskontaktegenannt werden. Sie müssen dem BSI schwerwiegende Beeinträchtigungen melden undjederzeit erreichbar sein.Information der KundenTelekommunikationsdienstleister müssen Nutzer unverzüglich benachrichtigen, wenn ihnen Störungenbekannt werden, die von Datenverarbeitungssystemen der Nutzer ausgehen. Soweit technisch möglich undzumutbar, müssen sie die Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinweisen,mit deren Hilfe die Nutzer diese Störungen erkennen und beseitigen können.Jährliche Berichtspflicht des BSIDurch den vorgesehenen Jahresbericht und dessen Veröffentlichung soll die weitere Sensibilisierung derBevölkerung für das Thema „IT-Sicherheit“ erreicht werden, welche in Anbetracht der Tatsache, dass eineVielzahl von erfolgreichen IT-Angriffen bei Einsatz von Standardwerkzeugen zu verhindern gewesen wären,von besonderer Bedeutung ist.Cybersicherheitsplan der EUIn eine ähnliche Richtung zielt auch der EU-Richtlinienentwurf zur Informations- und Netzsicherheit (NIS).Die vorgeschlagene NIS-Richtlinie ist ein wichtiger Teil der Gesamtstrategie für einen „offenen, sicherenund geschützten Cyberraum“. Der EU-Richtlinienentwurf sieht für alle Mitgliedstaaten, aber auch für dieBetreiber zentraler Internetdienste und kritischer Infrastrukturen (z. B. Plattformen des elektronischenQ_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/64

SCHWERPUNKTTHEMAGeschäftsverkehrs und soziale Netze) und für die Betreiber von Energie-, Verkehrs-, Bank- und Gesundheitsdienstendie Verpflichtung vor, in der gesamten EU ein sicheres und vertrauenswürdiges digitales Umfeldzu gewährleisten. Die vorgeschlagene Richtlinie enthält u. a. folgende Maßnahmen:• Jeder Mitgliedstaat muss eine NIS-Strategie annehmen und eine zuständige nationale Behörde mit ausreichenderFinanz- und Personalausstattung für die Prävention von NIS-Risiken und -Vorfällen sowieden Umgang damit und die Reaktion darauf benennen.• Ein Kooperationsmechanismus zwischen Mitgliedstaaten und Kommission muss geschaffen werden fürden Austausch von Frühwarnungen vor Sicherheitsrisiken und -vorfällen über eine sichere Infrastruktur,für die Koordinierung und für die Durchführung regelmäßiger gegenseitiger Überprüfungen.• Betreiber kritischer Infrastrukturen in bestimmten Bereichen (Finanzdienste, Verkehr, Energie und Gesundheitswesen),Betreiber zentraler Dienste der Informationsgesellschaft (vor allem App-Stores,eCommerce-Plattformen, Internet-Zahlungen, Cloud-Computing, Suchmaschinen, soziale Netze) und öffentlicheVerwaltungen müssen Risikomanagementmethoden einführen und große Sicherheitsvorfällein ihren Kerndiensten melden.Die Mitgliedstaaten sollen zunächst eine Strategie für Netzwerk- und Informationssicherheit erstellen undeine Fachbehörde für Cybersicherheit errichten. Darüber hinaus sollen größere IT-Sicherheitsvorfälle an dieFachbehörde gemeldet werden, allerdings kann im Unterschied zum geplanten deutschen IT-Sicherheitsgesetz die Fachbehörde zusätzlich die Vorfälle selbst untersuchen und Maßnahmen gegenüberden Betreibern der IT-Infrastrukturen ergreifen. Auch können solche Vorfälle öffentlich bekannt gemachtwerden. Die Fachbehörden der Mitgliedstaaten sollen zudem zusammenarbeiten und Informationen untereinanderaustauschen können (über die ENISA) sowie die EU-Kommission ständig unterrichten.Aktueller StandDas Wirtschaftsministerium lehnt den vorliegenden Gesetzentwurf „zur Erhöhung der Sicherheit informationstechnischerSysteme“ laut einem Bericht der Tageszeitung Die Welt ab. Daher ist eine Verabschiedungvor der Bundestagswahl 2013 unwahrscheinlich.Ansprechpartner: Jörg Wöhler (Principle Consultant, Lead IT Audit & Security)Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/65

SCHWERPUNKTTHEMAGrundlagen der VerschlüsselungIn den vergangenen Monaten nimmt das Thema Verschlüsselung in den Medien einen breiten Raum ein.Neben individuellen Bedürfnissen, die Privatsphäre im Rahmen einer Kommunikation bewahren zu wollen,dient die Verschlüsselung in Unternehmen u. a. dazu, eigene und fremde Daten vor dem Zugriff Dritter zuschützen. Letzteres wird durch den gestiegenen Anteil an Telearbeit (e-Work) und der damit einhergehendenZunahme an elektronischer Kommunikation immer wichtiger. Im Folgenden soll kurz aufgezeigt werden,mit welchen Verfahren dies umgesetzt werden kann.Aufgabe und Anforderungen an die VerschlüsselungUnter Verschlüsselung (Kryptographie) wird ein Vorgang verstanden, der aus einem Klartext durch ein Verschlüsselungsverfahreneinen Geheimtext als Zeichen- und/oder Ziffernfolge erzeugt. Der Geheimtext sollfür einen unberechtigten (z. B. einen Überbringer/Bote) nicht lesbar sein.Neben dem reinen Verschlüsseln von Nachrichten kann Verschlüsselung auch eingesetzt werden, um elektronischeUnterschriften (digitale Signaturen) zu prüfen oder eine Person gegenüber einer anderen als einBerechtigter auszuweisen (zu authentifizieren).1883 hat Auguste Kerckhoffs als erste den Grundsatz aufgestellt, dass die Sicherheit einer Verschlüsselungauf der Geheimhaltung des Schlüssels und nicht auf der Geheimhaltung des Verschlüsselungsalgorithmusberuhen soll, der heute noch allgemein anerkannt ist (kein „Security through obscurity“). Es ist üblich, dasVerfahren („das Rechenwerk“) von Fachleuten auf Fehler und Unzulänglichkeiten prüfen zu lassen und dazudie Arbeitsweise des Algorithmus öffentlich zu machen. Stärkstes Argument für Kerckhoffs Forderung ist,das es viel schwieriger ist, ein Verfahren statt der notwendigen Schlüssel geheim zu halten.Symmetrische VerschlüsselungUnter der symmetrischen Verschlüsselung (symmetrisches Kryptosystem) wird ein Verfahren verstanden,das zum Ver- und Entschlüsseln denselben Schlüssel verwendet. Damit müssen derjenige, der eine Nachrichtverschlüsselt (der Sender) und derjenige, der diese Nachricht empfängt (Empfänger), im Besitz desnotwendigen Schlüssels sein.Dies stellt den ersten großen Kritikpunkt an symmetrischen Verfahren dar: Es muss der Schlüssel vom Senderzum Empfänger sicher übermittelt werden, es wird ein sicherer Kanal benötigt.Gibt es nur einen Sender und einen Empfänger (ein Paar), so genügt ein Schlüssel; die Anzahl der notwendigenSchlüssel für N Personen beträgt N*(N-1)/2 Schlüssel, um bestmögliche Sicherheit herstellen zu können.Für 10 Personen werden also schon 10*(10-1)/2=45 Schlüssel benötigt, die alle geheim gehalten undrichtig verwaltet werden müssen. Wünschenswert wäre, für N Personen nur N Schlüssel zu benötigen.Der Übergang zur asymmetrischen Verschlüsselung ermöglicht es, ohne sicheren Kanal und mit N Schlüssel(paaren)für N Personen auszukommen.Asymmetrische VerschlüsselungUnter der asymmetrischen Verschlüsselung (asymmetrisches Kryptosystem) wird ein Verfahren verstanden,das im Gegensatz zur symmetrischen Verschlüsselung nicht einen gemeinsamen geheimen Schlüssel verwendetund damit auch kein sicherer Kanal benötigt wird.Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/66

SCHWERPUNKTTHEMABekannteste Vertreter sind die sog. Public-Key-Verfahren, bei denen statt eines Schlüssels zum Ver- undEntschlüsseln ein Schlüsselpaar aus einem geheimen, privaten Schlüssel (Private Key) und einem öffentlichen,nicht-geheimen Schlüssel (Public Key) für jeden Teilnehmer - wie in Abbildung 1 - erzeugt wird.Teilnehmer1Teilnehmer2…TeilnehmerNPrivaterSchlüssel 1PrivaterSchlüssel 2PrivaterSchlüssel NÖffentlicherSchlüssel 1ÖffentlicherSchlüssel 2ÖffentlicherSchlüssel NAbbildung 1: Private und öffentliche SchlüsselIhren Namen haben die Public-Key-Verfahren aus der Art der Verwendung bekommen: Es müssen nur dieprivaten Schlüssel getauscht werden; dies kann über einen unsicheren Kanal geschehen.Möchte nun Teilnehmer 1 (als Sender) Teilnehmer 2 (als Empfänger) eine verschlüsselte Nachricht senden,so überträgt zunächst Teilnehmer 2 an Teilnehmer 1 den öffentlichen Schlüssel 2. Teilnehmer 1 verschlüsseltdann die Nachricht mit seinem Schlüsselpaar und gibt die verschlüsselte Nachricht an Teilnehmer 2über einen unsicheren Kanal. Teilnehmer 2 kann dann die verschlüsselte Nachricht mit seinem privatenSchlüssel 2 - wie in Abbildung 2 - entschlüsseln.Abbildung 2: VerschlüsselungsprozessQ_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/67

SCHWERPUNKTTHEMAIn der Regel werden zwischen den einzelnen Teilnehmern die öffentlichen Schlüssel nicht direkt getauscht,sondern es werden sog. Key-Server verwendet, von denen sich die Teilnehmer jeweils die notwendigenöffentlichen Schlüssel herunterladen und damit den Verschlüsselungsprozess durchführen.Public-Key-Verfahren gelten nach heutigem Wissensstand als sicher, da zur Erzeugung des Schlüsselpaarssog. mathematische Einwegfunktionen verwendet werden, die auf der Multiplikation großer Primzahlenbasieren. Der Weg (die Multiplikation) ist „einfach“, der Rückweg, die Primzahlenzerlegung, besondersschwer. So schwer, dass derzeit Großrechenzentren mit dem Rückweg Jahre oder Jahrzehnte beschäftigtwären.Ansprechpartner: Jörg Wöhler (Principle Consultant, Lead IT Audit & Security) und Dr. Sigurd Prieur(Manager Audit Banking & Insurance)Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/68

AKTUELLESAktuellesDatensicherung und -historisierung im Säule 3 Umfeld von Solvency IISäule 3 der Solvency II Regularien behandelt die umfangreichen Offenlegungspflichten von VersicherungsundRückversicherungsunternehmen einerseits gegenüber der interessierten Öffentlichkeit und andererseitsgegenüber der Aufsicht. Dies betrifft eine Vielzahl von Daten aus einem breiten Spektrum an Unternehmensfunktionenund geht mit hohen Anforderungen an Datenhaltung und -qualität einher.Die Solvency II Rahmenrichtlinie 2009/138/EG des europäischen Parlaments verlangt in Artikel 35, dass die(Rück)-Versicherungsunternehmen in Form von Berichten wie das Quantitative Reporting Templates (QRTs)Daten an die Aufsicht übermitteln, welche im Einzelnen• historische, aktuelle oder prospektive Elemente umfassen (vgl. Abs. 3b) und• vollständig, vergleichbar und in zeitlicher Hinsicht konsistent sein müssen (Abs. 4b).Aus den genannten Anforderungen ergibt sich unmittelbar das Erfordernis, historische Daten (aber auchBerechnungsmethoden und -programme, deren Ergebnisse direkt in die Berichte einfließen) vorzuhalten.Abs. 5 des gleichen Artikels schreibt darüber hinaus zweckmäßige Systeme und Strukturen zur Erfüllung derAnforderungen vor, einschließlich schriftlich fixierter und vom Management gebilligter Leitlinien.Auch hier sind, wie im Solvency II Kontext üblich, die aufsichtsrechtlichen Vorgaben prinzipienorientiertformuliert und damit für die konkrete Anwendung bisher eher vage gehalten. Für die praktische Umsetzungbei Versicherungs- und Rückversicherungsunternehmen ergibt sich damit umso mehr die Notwendigkeiteiner engeren Verzahnung zwischen den einzelnen involvierten Fachbereichen (u. a. Rechnungslegung,Aktuariate, Risikomanagementfunktion) und der IT.Bei der Vorhaltung und Ablage historischer Daten sind nun drei verschiedene Arten zu unterscheiden:• Datensicherung: Hierbei handelt es sich um eine regelmäßige, zumeist automatisierte technische Sicherungeines bestimmten Datenbestandes auf einem System. 1 Sie ist eher kurzfristiger Natur (Löschungder Sicherung nach bestimmter Vorhaltefrist) mit dem Ziel, den Datenbestand z. B. im Notfalloder auf Anforderung schnell wiederherstellen zu können.• Historisierung: Bei der Historisierung werden, unabhängig von technischen Gegebenheiten, die Datenselbst mit einer zeitlichen Information versehen. Auf diese Weise lassen sich dann wiederum Zeitreihenbestimmter Daten rekonstruieren. Bei diesem Vorgehen handelt es sich um eine mittelfristige Speicherung,bei der der bestehende Datenbestand kontinuierlich anwächst, aber grundsätzlich irgendwannabgeschnitten werden kann, falls man zu große entstehende Datenmengen zu vermeiden sucht.• Dokumentarchivierung: Die Dokumentarchivierung stellt das langfristigste Vorgehen dar und beinhaltetdie endgültige Sicherung bestimmter Daten auf entsprechenden Medien.# Bereich Merkmale Vorteile Nachteile1 Sicherung • Regelmäßige, technische undautomatisierte Sicherung vongeschäftsrelevanten Daten• Wiederherstellung auf Anforderungoder im Notfall• Kurzfristige Speicherung undanschließende Löschung• Hohe Automatisierbarkeit• Standardisierung gutmöglich• Historisierung vonZeitreihen schwierig1Bei den zu sichernden Daten ist grundsätzlich zwischen den vier Hierarchiestufen Betriebssystem, Konfiguration,Anwendungssoftware und Nutzerdaten zu unterscheiden, die in der Regel getrennt voneinander behandelt werden,aber alle notwendig sind, um eine volle Sicherung und Wiederherstellbarkeit zu gewährleisten.Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/69

AKTUELLES# Bereich Merkmale Vorteile Nachteile2 Historisierung • Unabhängig von technischerArchitektur• Beruht auf logischer Datenbankstruktur• Festhalten der zeitlichen Entwicklungder Daten3 Archivierung • Langfristige, endgültige Speicherung• Wiederherstellbarkeit, um dengesetzlichen Anforderungenzu entsprechen• Zeitreihen verfügbar• Kostengünstiges, langfristigesSpeichern aufentsprechenden Medien• Starke Abhängigkeitvon Softwareanbietern• Rasches Anwachsendes Datenvolumens• Wiederherstellungsfristverlängert sichabhängig vom SpeichermediumTabelle 1: Übersicht über die Vor- und Nachteile der unterschiedlichen SicherungsalternativenDie drei aufgeführten Themen aus Tabelle 1 spielen unabhängig von Solvency II auch in den meisten anderenBereichen eine wichtige Rolle. Es existieren oftmals bereits detaillierte Vorgaben seitens der IT, wieDatensicherungen und Archivierungen im jeweiligen Unternehmen auszugestalten sind. Die Historisierungwiederum ist entgegen einer technischen Sicherung häufig weniger von zentraler Bedeutung, sondernvielmehr durch die jeweils verwendete Software oder die Datenbankstrukturen geregelt.Will man nun im Solvency II Kontext softwareunabhängig Verfahren etablieren, die den aufsichtsrechtlichenAnforderungen genügen, so zieht dies diverse Arbeiten nach sich. Diese rühren u. a. daher, dass die bestehendenIT Anforderungen nicht notwendigerweise kompatibel sind zu denen der Fachabteilungen und diesewiederum infolge der bislang vagen Formulierung der Regularien nicht ohne weiteres fachliche Vorgabenbenennen können:• AufbewahrungsfristenDie Reproduzierbarkeit ist mit einer Frist mehrerer Jahre verbunden. Dies erscheint vor dem Hintergrundder für Bilanzen und Jahresabschlüsse geltenden Frist von 10 Jahren plausibel (vgl. §257 HGBAbs. 4). Jedoch werden Datensicherungen, sofern keine Aufbewahrungsfristen einzuhalten sind, zumeistnur für einen erheblich kürzeren Zeitraum vorgehalten. Bestehende Datensicherungsverfahrenkönnten daher also nur unter einem erheblichen Mehraufwand an Datenspeicherung angepasst undverwendet werden.• Bereitstellung synchroner DatenDie im Rahmen der QRTs erhobenen und berichteten Daten entstammen unterschiedlichen Fachbereichen(Rechnungslegung, Leben-Aktuariate, Nicht-Leben Aktuariate etc.), wo manche dieser Daten bereitsvorhanden sind und im Kontext anderer Fragestellungen schon verwendet werden, z. B. im Rahmender Bilanzerstellung. Für diese jeweiligen Bestandssysteme gibt es im Normalfall aber bereits Sicherungssysteme,die allerdings nicht ohne weiteres übertragen werden können. Hintergrund ist dieProblematik der Bereitstellung synchroner Daten. Weder wird jedes System gleichzeitig gesichert, nochist die Aktualisierungsfrequenz der einzelnen Datenbestände identisch. Würde nun ein einzelnes System,z. B. im Notfall, wiederhergestellt werden (müssen), so besäße dieses System möglicherweise einennicht mehr zu den übrigen Systemen passenden Datenbestand und eine Neuerstellung der QRTswürde zu unterschiedlichen Ergebnissen führen.• Untauglichkeit von DokumentenarchivierungDie Verwendung einer bestehenden Dokumentenarchivierung erscheint ebenso wenig zielführend.Denn es ist nicht beabsichtigt, nur eine langfristige Lesbarkeit von Dokumenten herzustellen, sondernauch auf Anforderung eine volle Wiederherstellbarkeit von Daten und Systemen zur Reproduzierbarkeitoder Korrektur der bereits an die Aufsicht gelieferten Daten.Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/610

AKTUELLESUm mit diesem Dilemma umzugehen, schlagen wir aus unserer Projekterfahrung zwei Lösungswege vor:• Eine indirekte, aber verhältnismäßig leicht umsetzbare Lösung basierend auf der zur QRT Erstellungverwendeten Software• Eine grundsätzliche und strukturelle Lösung basierend auf einem einheitlichen und zentralen Datenbestand.Die grundsätzliche Lösung des dargestellten Problems bedarf einer Vereinheitlichung des gesamten Datenbestandesidealerweise in einem unternehmensweiten Data Warehouse, in dem sämtliche Abteilungen ihreDaten zentral speichern und vorhalten. Solche Projekte sind derzeit auch bereits in unterschiedlich starkerAusprägung bei den meisten Versicherern geplant oder in der Umsetzung. Darüber hinaus wäre dann eineinheitliches Vorgehen hinsichtlich der Aktualisierungsfrequenzen, mit denen fachliche Daten aktualisiertwerden, zwischen den einzelnen Abteilungen abzustimmen.Ein solch abgestimmtes Vorgehen impliziert, dass im System stets zueinander passende Daten aller Abteilungenliegen. Infolge dessen ist dann bspw. im Notfall nur ein System wiederherzustellen und es müsstezudem aufgrund der hergestellten Synchronität der Datenaktualisierungen auch kein Bereich Datenverlusteerleiden. Ebenso würde dieses Vorgehen die Datenqualität im Allgemeinen verbessern, da mehrfache Datenhaltungausgeschlossen ist und alle Abteilungen auf einen zentralen, überprüften und korrekten gemeinsamenDatenbestand zugreifen können. Aufgrund der historisch gewachsenen in der Regel sehr großenZahl unterschiedlicher Datentöpfe und Systeme bei (Rück)-Versicherungsunternehmen ist dies aber einüberaus aufwändiges Vorgehen.Eine zweite denkbare Herangehensweise beruht auf der für das Reporting ausgewählten Software. 2 Hierbeiwürde diese Software mittels zu implementierender ETL Strecken (Extrahieren, Transformieren, Laden) 3jeweils mit genau den Daten beladen, die zur Erstellung einer bestimmten Berichtsgeneration erforderlichsind. Dies stellt zweierlei Dinge sicher. Zum einen ist damit die Synchronität der benötigten Daten gewährleistetund zum anderen werden die erforderlichen Daten zentralisiert abgelegt und können gesammeltweiterverarbeitet werden. Besitzt die verwendete Softwarelösung nun die Möglichkeit einer Historisierung,so kann man diese verwenden, um die historischen Daten abzulegen und später im Sinne von Zeitscheibeneinzelne Berichte wiederherstellen zu können.Jedoch ist dieses Vorgehen auch mit Nachteilen verbunden. Einerseits impliziert es eine doppelte Datenhaltung,da die Daten sowohl im Bestandssystem als auch in der Softwarelösung vorgehalten werden. Andererseitsbesteht damit eine erhebliche Abhängigkeit vom Softwareanbieter, dessen softwareeigenen Datenbankstrukturenund dessen Aktualisierungs- und Updatepolitik. Ändert der Softwareanbieter nämlichdie Datenbankstruktur, so müssen ggf. die dazu verwendeten Beladeskripte angepasst werden. Zudem istes im Allgemeinen unklar, inwieweit die so historisiert abgelegten Daten mit vertretbarem Aufwand in einealternative Software migrierbar wären, wenn man den Softwareanbieter wechseln möchte.Zusammenfassend lässt sich konstatieren, dass es sich bei der Ausgestaltung der Datensicherung und dendamit verbundenen Themen um ein sehr wichtiges Feld der Solvency II Umsetzung handelt, was sich imDetail und in der Praxis als erstaunlich vielschichtig und kompliziert erweisen kann. Aus diesem Grund solltenVersicherer und Rückversicherer das Thema von Beginn an intensiv verfolgen und bearbeiten sowiefrühzeitig fach- und funktionsübergreifende Dialoge zwischen den involvierten Parteien (Fachbereiche undIT als interne, Software-Anbieter, beratende Unternehmen) suchen, um so zu einer langfristig gangbarenund wertstiftenden Lösung für das Unternehmen zu gelangen.2 In der Regel wählen Versicherungs- und Rückversicherungsunternehmen eine Standardsoftware aus, die an die Bestandsystemeanzubinden ist und mit der dann die QRTs erstellt werden können.3Unter einer ETL Strecke versteht man den Prozess sowie der technischen Umsetzung, Daten aus einem System zuextrahieren, ggf. zu transformieren und ein anderes System mit diesen transformierten Daten zu beladen.Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/611

AKTUELLESAnsprechpartner: Jan-Hendrik Uhlenberg (Manager, Lead Solvency & Risk Management) und Sebastian Paik(Senior Consultant Solvency & Risk Management)Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/612

AKTUELLESRisikotragfähigkeitsmodelle – Status quo und VerbesserungspotenzialAnforderungen an das Risikotragfähigkeitsmodell aus der MaRisk VA/Solvency IIDie 2009 in Kraft getretene MaRisk (VA), die den § 64 a des VAGs konkretisiert und zugleich in Teilen dieVorwegnahme der zweiten Säule von Solvency II bedeutet, stellt im Rahmen des Absatzes 7.3.1 detaillierteAnforderungen an die Umsetzung und Gestaltung eines Risikotragfähigkeitsmodells.Im Rahmen der MaRisk (VA) soll auf Basis des unternehmensindividuellen Gesamtrisikos ein Risikotragfähigkeitskonzepterstellt werden, welches darlegt, wie viel Deckungspotenzial insgesamt zur Verfügung stehtund wie viel davon zur Abdeckung aller wesentlichen Risiken verwendet werden soll.Die Einhaltung der aktuellen aufsichtsrechtlichen Kapitalausstattungsanforderungen wird eindeutig als Minimumstandarddefiniert. Unternehmen müssen darüber hinaus überprüfen, ob dieses Minimum ausreichendist, um das aktuelle Gesamtrisiko und ihre strategischen Ziele abzudecken bzw. zu erreichen. DieAnforderungsdimensionen, die mindestens gem. der MaRisk (VA) zu betrachten sind, lauten wie folgt:• Einhaltung aufsichtsrechtlicher Kapitalausstattungsanforderungen als Minimalanforderung• Bewertung durch Dritte (Rating Agenturen) – optional• Unternehmensinterne Ziele• RechnungslegungszweckeAbbildung 3: Betrachtungswinkel des RisikotragfähigkeitsmodellsAbbildung 3 zeigt die zwei aus Q_PERIOR Sicht wichtigsten Betrachtungswinkel des Risikotragfähigkeitsmodells.Zum einen ist eine minimale Anforderung der Kapitaladäquanz, z. B. mittels Standardmodell zu berechnen(linker Teil des Schaubildes). Zum anderen muss aus ökonomischer Sicht eine Risikoadäquanz aufBasis von unternehmensspezifischen Informationen dargestellt werden (rechter Teil des Schaubildes). DieBerechnung mittels Standardmodell erfüllt die aufsichtsrechtlichen Anforderungen der Kapitaladäquanzund die Ergebnisse müssen an die Aufsicht berichtet werden.Zur eigentlichen Unternehmenssteuerung eignet sich der Standardansatz jedoch nicht. Die ökonomischeBetrachtung des Risikoprofils ist ein entscheidendes Kriterium, die Anforderungen der MaRisk (VA) erfüllenzu können. Die MaRisk (VA) geben dazu vor, dass sich im Rahmen der strategischen Überlegungen die Ge-Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/613

AKTUELLESschäftsleitung einen Überblick über die ökonomische Bewertung verschaffen muss, soweit dies technischmöglich ist (7.2.1.3. a. MaRisk VA). Zur effizienten Steuerung muss die Geschäftsleitung weiter auf Grundlageder ökonomischen Betrachtung ihre Risikoneigung festlegen, also bestimmen, wie viel Risikodeckungspotenzialzur Abdeckung der Risiken eingesetzt werden soll. Diese Risikoneigung ist mit den UnternehmensundGeschäftszielen sowie der Risikostrategie zu verbinden (7.3.1.2. MaRisk VA). Die dazu relevanten Entscheidungenund Annahmen sind zu dokumentieren und zu begründen. Auf Basis solcher ökonomischenBerechnungen ist ein konsistentes System von Limit- und Schwellenwerten zur Risikobegrenzung zu implementieren,so dass die Begrenzung der Risiken auf die wichtigsten steuernden Organisationsbereiche desUnternehmens herunter gebrochen werden kann. Die definierten Limit- und Schwellenwerte müssen aufallen Steuerungsebenen und für alle Risiken (Versicherungstechnik, Marktrisiko, Kreditrisiko, operationellesRisiko, Liquiditätsrisiko, Konzentrationsrisiko, strategisches Risiko und Reputationsrisiko) existieren. DieVerantwortung für die adäquate Bestimmung und Vorgabe von wesentlichen Grenzwerten für das Unternehmenliegt bei der Geschäftsleitung.Das in den MaRisk (VA) Artikel 7.1.3 verankerte Risikotragfähigkeitskonzept wird auch in den zukünftigenSolvency II Anforderungen Berücksichtigung finden und Anknüpfungspunkte zu verschiedenen Schlüsselanforderungenvon Solvency II, z. B. ORSA, haben.Typische Schwachstellen im RisikotragfähigkeitsmodellGrundsätzlich lässt sich eine große Bandbreite an Schwächen feststellen, diese reichen vom Fehlen einesökonomischen Modells bis hin zu operationellen Risiken aus dem Einsatz komplexer Modelle und ExcelBerechnungen. Trotzdem ist eine gewisse Häufung von Ansatzpunkten bzw. Verbesserungspotenzial ausunserer Erfahrung festzustellen. Diese häufigsten Schwachstellen lassen sich in folgende 4 Punkte zusammenfassen• Mangelnde ökonomische Betrachtung• Unzureichende oder fehlende Implementierung eines Limit- und Schwellenwertsystems• Fehlendes Verständnis für Modellergebnisse• Fehlende Datenintegrität und -dokumentationDie Praxiserfahrung zeigt hier, dass die Anforderungen an ein Risikotragfähigkeitsmodell in vielen Teilenerfüllt werden, es aber dennoch oft an einem hierauf aufbauenden und die wesentlichen Risiken betreffendenLimit- und Schwellenwertsystem mangelt. Die zur Unternehmenssteuerung entscheidenden Aspekteeiner ökonomischen Betrachtung werden oftmals nicht ausreichend erfüllt bzw. nicht in die strategischenEntscheidungen einbezogen.Gerade aber erst die weitergehende stochastische Berechnungen oder Stressszenarien, die um unternehmensspezifischeDaten erweitert werden, geben einen tieferen, ökonomischeren Einblick in das Unternehmen.Aufbauend auf den Ergebnissen der ökonomischen Betrachtung wird vielfach ein konsistentes und durchgehendesLimit- und Schwellenwertsystem vernachlässigt. Hierbei fehlt es insbesondere an der Festlegungdes Risikobudgets für einzelne Risiken und operativer Grenzwerte (z. B. auf Ebene von Organisationsbereichen,Produkten, Tarifen und Risikoarten). Für die einzelnen Risikokategorien müssen unterschiedlicheRisikotreiber (quantitativ) und ergänzende Indikatoren (qualitativ) ermittelt werden, um ein konsistentesSystem aufzubauen. Eine Verknüpfung der Ziel-Kapitaladäquanz-Quote mit den Limit- und Schwellenwertendient der Frühwarnfunktionalität.Vielfach sind die Systeme noch nicht an die Anforderungen unter Solvency II angepasst, so dass ein Mangelin der Datenintegrität und -dokumentation zu erkennen ist. Die Implementierung eines übergreifendenData Warehouse und eines Data Management Systems ist somit unvermeidlich.Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/614

AKTUELLESWir unterstützen Sie gern bei der Überprüfung und Ausgestaltung Ihres Risikotragfähigkeitsmodells.Ansprechpartner: Jan-Hendrik Uhlenberg (Manager, Lead Solvency & Risk Management) und ThorstenMalzbender (Senior Consultant Solvency & Risk Management)Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/615

AKTUELLESNeuigkeiten zu Solvency II & Risikomanagementthemen• Der Finanzstabilitätsrat (FSB) der G20-Staaten legte eine erste Liste 4 von systemrelevanten Versicherern(G-SII) vor:o Anforderungen:- Die Auflagen für systemrelevante Versicherer unterscheiden sich kaum von denen für großeBanken.- Sie sollen enger von den Aufsichtsbehörden beobachtet werden und Pläne vorlegen, wie sie imNotfall abzuwickeln wären.- Als Sofortmaßnahme sollen sie eine Mindest-Eigenkapitalausstattung vorweisen, damit sie ineiner Krise nicht so schnell umfallen.- Später sollen sich die Kapitalzuschläge nur auf das Nicht-Versicherungsgeschäft beziehen –doch dafür braucht es erst einheitliche Standards.o Was macht einen Versicherer systemrelevant?- Anders als bei Banken kommt es bei den Versicherern nicht auf die absolute Größe an, sondernauf die Vernetztheit im Finanzsystem.- Bei den großen Rückversicherern geht es vor allem um die Frage, wie leicht jeder einzelne vonihnen ersetzbar ist und wie man sie überhaupt zähmen kann.• Stärkung des Risikomanagements von Versicherungsunternehmen und -gruppen 5o Grundlage:- Gesetzentwurf vom 17.05.2013 zur Abschirmung von Risiken und zur Planung der Sanierungund Abwicklung von Kreditinstituten und Finanzgruppen.o Ziel:- Durch den Entwurf soll eine weitere Aufwertung bestehender Anforderungen an die ordnungsgemäßeGeschäftsorganisation von Assekuranzen erfolgen.- Gesetzliche Verankerung der detaillierten Anforderungen und einiger „Best Practices“ derMaRisk VA.o Umsetzung:- Die Regelungen zu den Mindestanforderungen werden künftig direkt im neuen § 64a Abs. 7VAG festgeschrieben.• Solvabilität auf EbAVs noch nicht geklärto Grundlage:- Nach der Intervention des Europäischen Parlaments gilt es weiterhin zu klären, ob und in welchemUmfang die Solvency-II-Vorgaben auch für die Einrichtungen der betrieblichen AltersversorgungenAnwendungen finden.o Ziel:- Ziel der aktuellen Diskussion ist eine Lösung zu finden, um die europäischen Pensions- und Rentensystemeangemessen und nachhaltig in der Zukunft zu sichern.- Insbesondere sollen die jeweilige spezifische Situation und die bewährten Strukturen in denMitgliedstaaten berücksichtigt werden.- Die künftige Richtlinie soll auf Vorgaben zur Unternehmensführung und auf Informations- undTransparenzanforderungen für EbAV fokussiert werden.Ansprechpartner: Jan-Hendrik Uhlenberg (Manager, Lead Solvency & Risk Management) und AlexanderNäfelt (Consultant Solvency & Risk Management)4 Liste der systemrelevanten Assekuranzen: Allianz; AIG; MetLife; Prudential Financial; Generali; Aviva; Prudential; Axa;Ping An5 Vgl. Artikel „Stärkung des Risikomanagements von Versicherungsunternehmen und -gruppen“ im NachfolgendemQ_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/616

AKTUELLESGesetz zur Stärkung des Risikomanagements von VersicherungsunternehmenDurch den Entwurf des Gesetzes zur Abschirmung von Risiken und zur Planung der Sanierung und Abwicklungvon Kreditinstituten und Finanzgruppen hat der Bundesrat ein weiteres Zeichen zur besonderen Bedeutungdes Risikomanagements in Versicherungsunternehmen und -gruppen gesetzt. Unter Artikel 4 desEntwurfs finden sich die detaillierten Änderungen betreffend des bereits bestehenden §64a VAG, welcheinsbesondere durch die Hinzunahme des Absatzes 7 gesetzlich verankert werden.Die Neuerungen des §64a VAG basieren auf Anforderungen, die bisher das Rundschreiben 3/2009 (VA) -Aufsichtsrechtliche Mindestanforderungen an das Risikomanagement (MaRisk VA) umfasste. Durch dieNovellierung des VAG sollen detaillierte Mindeststandards und Best Practices nun in den gesetzlichen Rahmeneinfließen und verbindlich für alle Versicherungsunternehmen und -gruppen vorgeschrieben werden.Der neue §64a Abs. 7 VAG ist in vier wesentliche Punkte aufgeteilt, welche Strategien, Prozesse, Verfahren,Funktionen und Konzepte beschreiben, um eine ordnungsgemäße Geschäftsorganisation sicherzustellen.1. RisikostrategiePunkt 1 des siebten Absatzes innerhalb des Gesetzentwurfs enthält Anforderungen bezüglich einer auf dieSteuerung des Unternehmens angemessenen Risikostrategie, welche Art, Umfang und Zeithorizont desbetriebenen Geschäfts und die damit einhergehenden Risiken berücksichtigt. Es gilt sicherzustellen, dassdie Risikostrategie für jedes Risiko eine Darstellung der Art des Risikos, der Risikotoleranz, der Herkunft unddes Zeithorizonts des Risikos und der Risikotragfähigkeit enthält. Diese muss mindestens einmal jährlichoder im Falle substanzieller Änderungen auch ad hoc angepasst werden.2. Aufbau- und AblauforganisationAbsatz 7 Nummer 2 des §64a VAG regelt die Einhaltung von aufbau- und ablauforganisatorischen Regelungen,welche die Überwachung und Kontrolle wesentlicher Abläufe sicherstellen. Hierbei müssen innerbetrieblicheRichtlinien etabliert werden, welche die Aufgaben und Verantwortlichkeiten klar definieren undvoneinander abgrenzen, um Interessenkonflikte durch eine klare Funktionstrennung, insbesondere zwischenAufbau von wesentlichen Risikopositionen und deren Überwachung und Kontrolle, zu vermeiden.Des Weiteren müssen Geschäftsabläufe, die mit wesentlichen Risiken behaftet sind, zumindest jedoch dasversicherungstechnische Geschäft, die Reservierung, das Kapitalanalagemanagement (einschließlich desAsset-Liability-Managements) sowie das passive Rückversicherungsmanagement benannt und deren Steuerungund Überwachung eindeutig geregelt sein.3. Internes Steuerungs- und Kontrollsystem§ 64a Abs. 7 Nr. 3 VAG beschreibt die Elemente eines geeigneten internen Steuerungs- und Kontrollsystems.Hierzu gehört ein Risikostrategie-orientiertes, angemessenes Risikotragfähigkeitskonzept sowie eindazugehöriges inhärentes Limitsystem, welches das gesamte Risikodeckungspotenzial und dessen Auslastungmit wesentlichen Risiken darstellt.Des Weiteren sollen die internen und externen Einflussfaktoren (Risikotreiber), Bezugsgrößen und Risikoursachenbenannt und Wesentlichkeitsgrenzen für die Risikobeurteilung definiert werden. Als Ergebnis derRisikoanalyse und -bewertung erfolgt eine qualitative und sofern möglich auch eine quantitative Einschätzungpotenzieller und realisierter Zielabweichungen, welche von einer unabhängigen Risikocontrollingfunktionregelmäßig überwacht werden.Zusätzlich sind innerhalb des internen Steuerungs- und Kontrollsystems sowohl die ausreichende unternehmensinterneKommunikation über wesentliche Risiken als auch eine aussagekräftige laufende Berichterstattungsicherzustellen. Die Berichterstattung beinhaltet die Beschreibung und Wirkung von Maßnahmenzur Risikobegrenzung, inwieweit die in der Risikostrategie festgelegten Ziele des Risikomanagementserreicht wurden (Soll-Ist-Abgleich), wie die Risiken gesteuert wurden und inwiefern die für die Risiken gesetztenLimite tatsächlich ausgelastet sind (Risikobericht).Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/617

AKTUELLES4. Interne RevisionDie Regelungen zur internen Revision, welche die gesamte Geschäftsorganisation des Unternehmens überprüftinklusive deren Funktionsfähigkeit, Objektivität und Unabhängigkeit, regelt Punkt 4 des Gesetzesentwurfs.Zudem regelt §142 die strafrechtlichen Sanktionen im Falle eines Verstoßes gegen den §64a VAG.FazitDer neu eingefügte Absatz des §64a VAG betont nicht nur die individuelle Verantwortung der einzelnenGeschäftsleiter, welche die Sorge zur Sicherstellung der Mindeststandards im Risikomanagement zu tragenhaben, sondern hebt auch die einzelnen Elemente der Mindestanforderungen im Risikomanagement deutlichhervor. Insbesondere werden die Bestandteile der strategischen Ausrichtung, der Aufgabenbeschreibungund Funktionstrennung, die Etablierung eines Frühwarnsystems sowie die Stärkung der Risikokulturund erhöhter Transparenz in den Vordergrund gestellt. Neben den zuletzt veröffentlichten Konsultationenseitens der EIOPA, zeigt auch dieser Gesetzesentwurf, dass die schrittweise Einführung der Säule 2 vonSolvency II als wahrscheinlich zu erachten ist. Dennoch bleiben vorerst die Konkretisierungen des §64a VAGweiterhin in den MaRisk (VU) unverändert und werden dann Zug um Zug mit der Einführung von Solvency IIinnerhalb der Säule 2 konkreter ausformuliert.Die Änderungen am § 64a VAG werden am 2. Januar 2014 in Kraft treten und können bei Nichterfüllung miteiner Freiheitsstrafe von bis zu zwei Jahren oder einer Geldstrafe für das verantwortliche Managementgeahndet werden.Ansprechpartner: Jan-Hendrik Uhlenberg (Manager, Lead Solvency & Risk Management) und AlexanderNäfelt (Consultant Solvency & Risk Management)Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/618

AKTUELLESCOSO I Framework erfährt Aktualisierung: Neues COSO-Rahmenwerk für interneKontrollsystemeDas von der privaten US-Organisation Committee of Sponsoring Organizations of the Treadway Commission(COSO) erstellte 2013 Internal Control-Integrated Framework (Rahmenwerk) wurde am 14. Mai 2013 vorgestelltund löst das alte am 14. Dezember 2014 ab. Der Entwurf der Überarbeitung stand zuvor seit Ende2011 zur öffentlichen Kommentierung zur Verfügung.Bereits 1992 veröffentlichte COSO die ursprüngliche Version des Rahmenwerks mit dem Ziel, Unternehmenund andere Organisationen in der Bewertung und der Verbesserung ihrer internen Kontrollsysteme (IKS) zuunterstützen. Ein wirksames IKS besteht hiernach aus den Komponenten:1. Kontrollumfeld2. Risikobeurteilung3. Kontrollaktivitäten4. Information und Kommunikation5. Der Überwachung des IKSDrei Ziele für ein effektives IKS sind nach COSO:• Effektivität und Effizienz der Geschäftstätigkeit (Operations)• Ordnungsmäßigkeit und Verlässlichkeit von Finanzinformationen (Reporting)• Compliance 6Das 2013 Internal Control-Integrated FrameworkDie Aktualisierung 2013 Internal Control-Integrated Framework behält den originären Rahmen des ursprünglichenRahmenwerkes mit seinen 5 Teilkomponenten bei. Die maßgebliche Erweiterung erfährt dasKonzept, indem 17 Prinzipien entlang der fünf COSO Teilkomponenten eingeführt werden. Dies bedeutetletztendlich, dass keine fundamentale Neuausrichtung stattfindet, sondern eine Verfeinerung vorgenommenwurde.Abbildung 4: COSO Würfel nach „The 2013 COSO Framework & SOX Compliance“ by J. Stephen McNally, CPA6 Committee of Sponsoring Organizations of the Threadway Commission, Internal Control – Integrated Framework,1994, “COSO” IQ_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/619

AKTUELLESFazit:Gegenüber dem ursprünglichen Rahmenwerk ist das neue Konzept breiter angelegt, wodurch es dem verändertenMarktumfeld Rechnung trägt. Bislang beschränkte sich das Rahmenwerk überwiegend auf dasinterne Kontrollsystem im Unternehmen selbst. Nun spielen Gefahren außerhalb des Unternehmens eineviel größere Rolle. Auch steht nicht mehr nur die externe Finanzberichterstattung im Fokus sondern auchdie nicht-finanzielle Berichterstattung.Die Übergangsphase gibt Organisationen Zeit, um die Änderungen an der eigenen Institution zu spiegeln,Handlungsbedarf zu identifizieren und Maßnahmen zur Optimierung zu ergreifen.Ansprechpartner: Sven Hirsekorn (Associate Partner Audit & Risk)Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/621

AKTUELLESRückblick halbtägiger ROUNDTABLE: Marktwertbilanz unter Solvency IIstattgefunden am 17. Juni 2013 in KölnIn diesem ROUNDTABLE haben wir gemeinsam mit einem Kreis von Experten aus der Versicherungsbranche,die aktiv in den Bereichen Risikomanagement und Solvency II Projekten tätig sind, ausgewählteSchwerpunktthemen aus dem vielfältigen Themenkreis‚ „Marktwertbilanz unter Solvency II“ diskutiert.In vier Beiträgen aus laufenden Projekten wurden auf die Umsetzungsaktivitäten zur Marktwertbilanz,Schaffung eines Datenhaushaltes, Konsolidierung sowie die notwendigen Maßnahmen zur Qualitätssicherungfokussiert. Christof Merz, Partner der Q_PERIOR, moderierte den ROUNDTABLE.Die Allianz Deutschland AG, repräsentiert durch Christian Hofmann aus dem Rechnungswesen, teilte seineErfahrungen im Unternehmen zum Thema „Umsetzung Marktwertbilanz unter Solvency II – Nutzen für dieUnternehmenssteuerung“ mit den Teilnehmern.Michael Bock, bei der Merkur Versicherung im Bereich Risikomanagement tätig, referierte zum Thema „IntegrierteDatensammler – Mehrwert für die betriebswirtschaftliche Steuerung am Beispiel eines SAP-BW“.Im Anschluss stellte Christian Kehl, tätig in der zentralen Unternehmensplanung, das Thema „HerausforderungDatenqualität – Auswahl von Verfahren und Methoden“ aus Sicht der WWK Lebensversicherung a. G.vor.Michael Ellwanger, im Konzernvorstandsstab der Wüstenrot & Württembergische AG tätig, rundete amNachmittag das Thema mit dem Beitrag „Konsolidierung – Herausforderungen und Lösungsansätze“ sehrlebendig ab.Besonders gut ist hierbei die Spannbreite von mittelständischen bis sehr großer Versicherung angekommen,denn letztendlich gestalten sich Herausforderungen rund um das hoch komplexe Thema Solvency IIdoch ähnlich. Konkrete Anhaltspunkte und Hilfestellungen zur Umsetzung in den Versicherungsunternehmenwerden seitens der Aufsicht nicht gegeben und so ist das gegenseitige Interesse groß, von den Erfahrungender Branchenkollegen zu partizipieren.Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/622

AKTUELLES„Vielen Dank den Referenten an dieser Stelle noch einmal!“Abbildung 5 v. l.: Christian Kehl, WWK Lebensversicherung a.G., Christina Hofmann, Allianz Deutschland AG, VanessaQuartier und Frank Hartmann, Q_PERIOR, Michael Bock Merkur VersicherungenDas anschliessende ‚Get together‘ bot den Teilnehmern eine gute Gelegenheit zum weiteren Gedankenaustausch.Abbildung 6: Köln Marriott Hotel, PlüschbarQ_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/623

AKTUELLESBitte Termin vormerken:• Der nächste halbtägige ROUNDTABLE Solvency II wird am 13.11.13 in München stattfinden.• Angedachtes Schwerpunktthema: Solvency II Säule 2• Zielgruppe: Projektleiter/-innen Solvency und Risikomanagement• Die Veranstaltung ist für die Teilnehmer kostenfrei. Eine Einladung erfolgt durch gesonderte Mail.Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/624

AKTUELLESFraud-Grundlagen-Seminar am 27. November 2013 in München„Prävention von wirtschaftskriminellen Handlungen – Aktuelles, Trends und Praxisbeiträge“Die nationalen und internationalen Entwicklungen im Bereich Corporate Governance, MaRisk BA und VAsowie aktuelle Fälle messen dem Internen Kontrollsystem zur Verhinderung wirtschaftskrimineller Handlungenimmer größere Bedeutung zu.Nicht zuletzt aufgrund der in jüngster Zeit verstärkten Berichterstattung in den Medien zum Thema Fraudist eine besondere Sensibilisierung der Mitarbeiter, die Analyse des Gefährdungspotenzials und ein verstärkterFokus der Internen Revision auf diese Themen notwendig.Parallel dazu wachsen aber auch die Erfahrungen zur erfolgreichen Bekämpfung und Aufdeckung wirtschaftskriminellerHandlungen. Daher möchten wir Ihnen einen Einblick in die aktuellen Entwicklungengeben und aufzeigen, wie sich durch die Verstärkung der Internen Kontrollen Fraud-Risiken erkennen undggf. vermeiden lassen. Wir stellen Ihnen erfolgreiche Methoden und wirksame Werkzeuge zur Erkennungdoloser Handlungen vor. Ergänzend werden die sozialen Bezüge und der verhaltenstheoretische Hintergrundpotenzieller Täter beleuchtet.Um den Anspruch der Veranstaltung an die Praxisorientierung zu unterstreichen, freut es uns besonders,dass wir mit Frau Irene Gürtler von der Allianz SE eine ausgewiesene Expertin als Referentin gewinnenkonnten. Sie ist bei der Allianz als Group Anti-Fraud Coordinator für das Anti-Fraud Management zuständig.Ihr Praxisvortrag wird den Teilnehmern des Seminars sicherlich wertvolle Hinweise und Denkanstößefür Ihre eigene Arbeit geben.Weitere Informationen und die Möglichkeit zur Anmeldung erhalten Sie hier...Ansprechpartnerin: Doris Jeska (Management Assistant)Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/625

SEMINARTERMINESeminartermineIm Folgenden möchten wir Ihnen ausgewählte Seminare bei Q_PERIOR vorstellenSeptember bis Oktober 2013Interne Kontrollsysteme gestalten und prüfen (IKS I) – DIIR (Mehr...) 09. – 11.09.2013Interne Kontrollsysteme gestalten und prüfen (IKS II) – DIIR (Mehr...) 16. – 18.09.2013Schulung der AR zur Erlangung der erforderlichen Sachkunde nach § 7a Abs. 4 VAG 16. – 17.09.2013– DVA (Mehr...)Prüfen der Wirtschaftlichkeit von Geschäftsprozessen – DIIR (Mehr...) 18. – 20.09.2013Projekte prüfen aus Sicht der Internen Revision – DIIR (Mehr...) 18. – 20.09.2013Neu! Prozesscontrolling in VU – Ziel- und Kennzahlenbezogene Steuerung 18. – 19.09.2013– DVA (Mehr...)IT-Revision in Versicherungsunternehmen – DVA (Mehr...) 23. – 25.09.2013Interne Kontrollsysteme gestalten und prüfen (IKS I) – DIIR (Mehr...) 07. – 09.10.2013Einführung in die Interne Revision – DIIR (Mehr...) 07. – 10.10.2013Der professionelle Revisionsbericht – Haub + Partner (Mehr...) 17. – 18.10.2013Aufbau der Internen Revision im Unternehmen – DIIR (Mehr...) 21. – 22.10.2013Einführung in die IT-Revision – DIIR (Mehr...) 21. – 24.10.2013Neu! Revision der SEPA-Einführung – Haub + Partner (Mehr...) 22.10.2013Berichterstattung der Internen Revision – DIIR (Mehr...) 23. – 25.10.2013Der Faktor Mensch im Prozess – IIA A (AIR) (Mehr...) 23. – 24.10.2013Gern weisen wir auf ein interessantes Angebot des IIA Österreich hin:Zertifizierung von Compliance Management Systemen nach ONR 192050Austrian Standards Meeting CenterHeinestraße 38A-1020 Wien19.09.2013Ausblick auf November 2013 und das Seminarjahr 2014Neu! Geprüftes Prozessmanagement (DVA), Modul 1: Grundlagen und übergreifendeKonzepte – DVA (Mehr...)06. – 07.11.2013Weitere 3 Module folgen in 2014! Geben Sie diese Information gern auch an andereBereiche Ihres Hauses weiter.Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/626

SEMINARTERMINEHaben Sie Interesse an einer Inhouse-Schulung „Gesprächs- und Verhandlungstechniken für Revisoren“oder interessieren Sie sich für unser Coaching-Angebot für Leiter und Führungskräfte der Internen Revision?Sprechen Sie uns zu diesen oder anderen Themen gern direkt an!Weitere Seminarangebote finden Sie auch auf unserer Webseite revisionswelt.deAnsprechpartner: Dr. Peter Wesel (Managing Consultant Internal Audit Banking & Insurance)Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/627

WHO IS WHOWho is whoThomas ZuckerIn jeder Ausgabe stellen wir Ihnen Mitglieder unseres Teams bzw. Kollegen, die der Revision oder dem Risikomanagementnahestehen, vor. Diesmal Thomas Zucker, Associate Partner Risk Management Banking &Regulatory.Thomas ZuckerAssociate PartnerWelches war Ihr schönstes Musikerlebnis?Roger Waters (Pink Flyod - The Wall) 1990 aufdem Potsdamer Platz vor 180.000 ZuschauerWelche Freizeitaktivitäten üben Sie aus?Golf spielenWas hat Sie am meisten beeindruckt?Das unblutige Zustandekommen der WiedervereinigungWas können Sie besonders gut kochen?Nudelgerichte in den verschiedensten VariantenWas beherrschen Sie im Haushalt besondersgut?Fenster putzenWas haben Sie als schönstes Kauferlebnis empfunden?Mein erstes AutoWas gefällt Ihnen bei Q_PERIOR am besten?Das Ausleben unserer Werte (vorausschauend,energiegeladen, persönlich)Was treibt Sie an?SpitzenleistungenWelche Themen würden Sie gern beschleunigen?Globale BankenaufsichtWas sind Ihre persönlichen Motivationen?Höchste Kundenzufriedenheit zu erzielenWen bewundern Sie am meisten?Menschen, die sich für schwache und benachteiligtein unserer Gesellschaft einsetzenWas tun Sie, um sich zu entspannen?Lesen, Golf spielenWo hätten Sie gern Ihren Zweitwohnsitz?Irgendwo am MeerNennen Sie ein unentdecktes Traumreiseziel:Gibt es die noch?Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/628

IMPRESSUMImpressumTogether With You – Q_PERIORQ_PERIOR AG, Buchenweg 11 - 13, 25479 Ellerau (Hamburg), GermanyOffice: +49 4106 7777-0Fax: +49 4106 7777-333E-Mail:Internet:Audit-Risk-Newsletter@q-perior.comhttp://www.q-perior.comSitz der Q_PERIOR AG: Berg/Starnberger SeeVorstand: Karsten Höppner, Klaus LeitnerVorsitzender des Aufsichtsrats: Michael GirkeRegistergericht: Amtsgericht MünchenRegisternummer: HRB 140669Aktuelle Anzahl der Ausgaben (Versand im Zwei-Monatsrhythmus): ca. 8.500Für eine Bestellungen bzw. Abbestellung des „Q_PERIOR Audit & Risk Newsletters“ senden Sie bitte eineE-Mail an eine der folgenden Adressen:Bestellung des Q_PERIOR Audit & Risk NewslettersAbbestellung des Q_PERIOR Audit & Risk NewslettersFür alle weiteren Anliegen senden Sie bitte eine E-Mail an folgende Adresse:Audit-Risk-Newsletter@q-perior.comWeitere aktuelle Informationen rund um die ThemenRevision, Risikomanagement und Compliance finden Sieauch auf unserer Webseite unter revisionswelt.de.DisclaimerAlle Links zu externen Anbietern wurden zum Zeitpunkt ihrer Aufnahme auf ihre Richtigkeit überprüft. Da sich das Internet jederzeitwandelt, kann Q_PERIOR nicht garantieren, dass diese Links zum Zeitpunkt des Besuchs a) noch zum Ziel führen oder b) noch dieselbenInhalte besitzen, wie zum Zeitpunkt der Aufnahme.Insbesondere macht sich Q_PERIOR nicht die Inhalte der Links zu Eigen und übernimmt dafür auch keine Verantwortung. Links zuexternen Anbietern stellen keine Wertung oder eine Empfehlung der Q_PERIOR dar.Der Inhalt dieses Newsletters ist urheberrechtlich geschützt. Ohne Genehmigung der Q_PERIOR darf der Inhalt dieser Seite in keinerForm reproduziert und/oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.© Q_PERIOR, Ellerau, Deutschland, 2013. All rights reserved.Stand: 30. August 201329