PASS IKS Software – Internes Kontrollsystem
Strukturierte und zentrale Ablagestelle für wichtige Informationen
Internes Kontrollsystem (IKS) richtig managen
Speziell auf die Bedürfnisse von Banken und Versicherungen ausgerichtete IKS Software
Das Interne Kontrollsystem (IKS) anzupassen und die Übersicht zu behalten, wird aufgrund aufsichtsrechtlicher Regularien (wie BAIT/VAIT/MaRisk) und zunehmender Komplexität innerhalb von Banken und Versicherungen, z.B. durch die steigende Anzahl von Dienstleistern, für Führungskräfte und Risikomanager immer schwieriger.
Die PASS GRC Suite verfügt über eine branchenspezifische IKS Software und hilft Finanzinstituten und Versicherungsunternehmen bei der Umsetzung, Überwachung und Einhaltung der EBA-Leitlinien (European Banking Authority) zu Auslagerungen sowie für das Management von IKT- und Sicherheitsrisiken.
Sicherstellen des IKS Managements
Ist es in Ihrem Unternehmen auch so, dass hektische Aktivitäten beginnen, wenn sich die Wirtschaftsprüfer oder BaFin/Bundesbank zu einer Sonderprüfung angemeldet haben? Revision- und IT-Management versuchen schnell den Bearbeitungsstand der offenen Punkte aus dem letzten Audit zusammenzutragen, Informationen über Review-Meetings mit externen Dienstleistern zu erfassen sowie die letzten Policies und Arbeitsanweisungen fertigzustellen. Die Herausforderung ist häufig, dass jede Abteilung die für Audits relevanten Informationen entweder in „eigenen“ Systemen oder Excel-Listen vorhält. Dies ist nicht nur ineffizient, intransparent, aufwändig und fehleranfällig, weil niemand die Übersicht über alle Informationen hat, sondern führt oft auch dazu, dass das Prüfungsergebnis schlechter ausfällt als es müsste, z.B. wenn alle Informationen vollständig und rechtzeitig den Prüfern hätten vorgelegt werden können.
Mit der IKS Software von PASS können Informationen strukturiert und zentral abgelegt werden und stehen jederzeit zur Verfügung.
Gesetzliche Grundlagen für Banken/Versicherungen in Deutschland
VAIT / MaGO
- Die Geschäftsleitung bewertet insbesondere, ob die Risikostrategie und die Steuerung des Unternehmens aufeinander abgestimmt und zur Geschäftsstrategie konsistent sind und ob die Geschäftsorganisation die Ziele der Geschäfts- und der Risikostrategie unterstützt (MaGO 8.2)
- Die schriftlichen Leitlinien müssen mit dem Risikoprofil angemessenen Methoden mindestens einmal jährlich überprüft werden. Die Überprüfungen sind zu dokumentieren. Die Feststellungen und die sich daraus ergebenden Empfehlungen werden an die Geschäftsleitung berichtet (MaGO 8.3.3)
- Für den gesamten Bereich der Ausgliederung sind schriftliche Leitlinien zu erstellen (MaGO 13.8)
- Risikoanalyse für IT-Ausgliederung und sonstigen Bezug von IT-Dienstleistungen ist vorab durchzuführen und nachzuweisen (VAIT Tz. 9.1 und Tz. 9.2)
- Dokumentation und Überwachung der aus der Risikobewertung abgeleiteten Maßnahmen (VAIT Tz. 9.4)
- Vollständige, strukturierte Vertragsübersicht (VAIT Tz. 9.3)
- Pflicht zur Durchführung von Risikoanalysen bei Dienstleistern bei wesentlichen Änderungen des Risikoprofils (VAIT Tz. 9.5)
- Pflicht zur Bewertung und Dokumentation des Bezuges von Hard-und/oder Software sowie Unterstützungsleistungen als Outsourcing (VAIT Tz. 9.5)
- Notfallmanagement und IT-Notfallkonzepte unter Berücksichtigung der Schutzziele (VAIT Tz. 3.5) und Nachweis der Wirksamkeit (VAIT Tz. 10.5)
- Nachweiserbringung gemäß § 8a Abs. 3 BSIG bzgl. der Einhaltung der Anforderungen gemäß § 8a Abs. 1 BSIG kann durch Sicherheitsaudits oder Prüfungen (beispielsweise im Rahmen der Jahresabschlussprüfung) erfolgen (VAIT Tz. 11.5)
BAIT / MaRisk
- Bewertung der mit einer Auslagerung verbundenen Risiken (BAIT Tz. 9.2, MaRisk AT9 Tz. 2) und Berücksichtigung in der Gesamtrisikobewertung (BAIT Tz. 9.4)
- Inhaltliche Vorgaben für den Auslagerungsvertrag (MaRisk AT9 Tz. 7)
- Vollständige, strukturierte Vertragsübersicht (BAIT Tz. 9.3)
- Zentrales Auslagerungsregister (MaRisk AT 9 Tz. 15)
- Überwachung der Leistungserbringung (auch durch KPIs) sowie regelmäßige und anlassbezogene Überprüfung (BAIT Tz. 9.3/9.5, MaRisk AT9 Tz. 9)
- Implementierung und Weiterentwicklung eines Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse (MaRisk AT 9 Tz. 12)
Einsatz der IKS Software im Auslagerungsmanagement und im Vertragscontrolling
Verknüpfung SLA und KPIs mit Live-Daten
Mit der Verknüpfung von relevanten Vertragsinhalten wie Service Level Agreements (SLAs), Operating Level Agreements (OLAs) oder Key Performance Indicators (KPIs) und Live-Daten aus Ihrem Produktionsbetrieb, haben Sie eine jederzeit aktuelle Sicht auf die Leistungserbringung Ihrer Dienstleister. So können Sie diese operativ besser und zielgerichteter steuern und dies auch direkt und jederzeit nachweisen.
Auslagerungsmanagement / Vertragsmanagement SLA
Mit der Integration der Dienstleisterverträge in die PASS IKS Software kommen Sie der Anforderung nach dem Führen eines Auslagerungsregisters nach.
Mehr zum Auslagerungsmanagement mit Software von PASS erfahren Sie auch in unserem Finance IT Blog.
Vorteile der IKS Software
- Management des Internen Kontrollsystems (IKS) in einer Anwendung
- Jederzeit Transparenz über den Bearbeitungsstatus
- Kollaboratives Arbeiten von Compliance, IT, Orga und externen Prüfern
- Externe Prüfer nutzen die Anwendung zur Dokumentation ihrer Vorgänge für Revisions- und Prüfungszwecke
- Einbindung von Live-Daten aus der Produktion, SLA-Überwachung und weiterer KPIs möglich
- In Planung sind zusätzliche Module zum Auslagerungsmanagement aus Anforderungen der MaRisk/BAIT und MaGO/VAIT
Highlights
Webanwendung
Webbasierte Anwendung mit moderner Benutzeroberfläche ermöglicht unternehmensweiten Zugriff und Kollaboration mit z.B. Wirtschaftsprüfern oder Auditoren.
Berechtigungsmanagement
Flexible und feingranulare Rollen- und Rechteverwaltung für interne wie auch externe Benutzer mittels LDAP-Anbindung.
Generisches System
Referenzierung auf mehrere Prüfungsstandards & regulatorische Vorgaben (u.a. ISO 27001 BAIT/VAIT, MaRisk, MaGO, BSI, ISO 9001). Erweiterbar um individuelle Regeln.
Reporting
Ausführliche Berichts- und Reportfunktionen sowie E-Mail-Versand. Ad-hoc-Reporting, z.B. zur Abarbeitung von Moniten oder Feststellungen.
Revisionssicherheit
Alle Anpassungen, Einträge, Statusveränderungen werden in der Lösung gespeichert und sind jederzeit nachvollziehbar.
Aufgabenmanagement
Unterstützung bei der termingerechten Erfüllung prüfungsrelevanter Aufgaben aus den Management- und Kontrollsystemen.
Funktionen der IKS Software
Benutzerzentrierte Oberfläche
Die PASS IKS Software bietet dem Anwender eine einheitliche Oberfläche und Bedienerführung über alle Module hinweg, die individuell angepasst werden kann. Benutzer können sich beispielsweise je Maske eigene Spalteneinstellungen wie auch Filter abspeichern und jederzeit wieder aufrufen.
Benachrichtigungs- und Erinnerungsmanagement
Unmittelbar nach der Anmeldung in der IKS Software wird jedem Anwender in seinem persönlichen Dashboard angezeigt, welche Aufgaben anstehen bzw. überfällig sind.
Workflow
Für alle Module können unabhängig voneinander Statuswerte definiert werden. Es kann festgelegt werden, welche Statuswerte Relevanz für das Benachrichtigungs- und Erinnerungsmanagement der IKS Software haben.
Berechtigungssystem
Das konfigurierbare Rollen/Rechte-System ermöglicht eine feingranulare Festlegung funktionsbezogener Rechte für interne wie auch externe Anwender in der IKS Software. Die Sichtbarkeit von Risiken, Prüfungen und Maßnahmen kann durch Zuordnung frei definierbarer Scopes für jeden Anwender zuverlässig eingeschränkt werden.
Flexible Anpassung an unternehmensspezifische Vorgaben
Zur Anpassung des Risikomoduls können zahlreiche Optionen, Intervalle, Vorlaufzeiten zur Anzeige fälliger Bearbeitungsschritte im Dashboard usw. unternehmensspezifisch angepasst werden.
Reportgenerator
Ein optional integrierbarer Reportgenerator ermöglicht die Erstellung von Standardberichten und deren Bereitstellung zum Aufruf durch festgelegte Anwendergruppen.
Screenshots aus der PASS IKS Software
Kontrollen
Die Kontrollstruktur eines Unternehmens kann mit bis zu vier Hierarchieebenen modelliert werden. Bei Kontrollen ist eine Referenzierung auf gesetzliche Vorgaben oder Standards möglich. Für viele Bereiche kann zum schnellen Einstieg Content zur Verfügung gestellt werden (z.B. ISO/IEC 27001, BAIT/MaRisk usw.).
Risikomanagement
Das Risiko-Modul unterstützt einen zyklischen Prozess der Planung, Bewertung bzw. Überwachung, Berichtserstellung und Einholen der Managementakzeptanz von Chancen und Risiken bzw. der Durchführung und Nachverfolgung von Steuerungsmaßnahmen.
Richtlinien/Leitlinien
Mit einem Policy-Modul bietet die PASS IKS Software Funktionen einer Dokumentenverwaltung, integriert in das Benachrichtigungs- und Erinnerungsmanagement.
Prüfungen/Audits
Das Audit-Modul unterstützt einen zyklischen Prüfungsprozess, der die Einbindung externer Prüfer ebenso unterstützt wie den Zugriff auf Ergebnisse und Unterlagen früherer Prüfungen oder den Informationsaustausch mit dem Risiko-Modul.