Skip to content

Beratungsleistungen kompetent | durchgängig | hoch qualifiziert

Aufsichtsrechtliche Anforderungen

Aufsichtsrechtliche-Anforderungen

IT-Risiken stellen insbesondere für kritische Infrastrukturen (nach der BSI-Kritisverordnung) sowie für das Finanz- und Versicherungswesen ernstzunehmende Gefahren dar. So können fehlerhafte Datenverarbeitungen und Schwachstellen in der Informationssicherheit Schäden in Millionenhöhe verursachen. IT und IT-Prozesse werden mehr und mehr an externe Dienstleister ausgelagert. Das schafft zusätzliche Risikofaktoren.

Um derartige Risiken zu minimieren, werden zunehmend übergeordnete gesetzliche und aufsichtsrechtliche Anforderungskataloge veröffentlicht:
 
  • Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik für KRITIS-Unternehmen (IT-Sicherheitsgesetz)
  • Vorgaben der Bankenaufsicht (BaFin) für Finanzinstitute, Versicherungen und Kapitalverwaltungsgesellschaften (BAIT/VAIT bzw. KAIT-Rundschreiben)
Diese Vorgaben haben weitreichende Auswirkungen auf das Anweisungswesen (häufig auch schriftlich fixierte Ordnung – kurz: SfO oder SfixO genannt). Das bedeutet, unter anderem, gezielte Anforderungen an den Einsatz von Programmen.

Programmeinsatzverfahren

PEV

Ein Einsatzverfahren für Anwendungen – auch Programmeinsatzverfahren (PEV) genannt – soll sicherstellen, dass nur Programme zum Einsatz kommen, deren fachliche Eignung für den vorgesehenen Zweck nachgewiesen ist. Ebenso muss garantiert sein, dass die Programme in das vorhandene technische und fachliche Umfeld integriert werden können. Außerdem sollen durch das Programmeinsatzverfahren etwaige auftretende Risiken vorab erkannt und minimiert werden (z.B. Sicherheitslücken).

Ein geregelter Prozess für den Lebenszyklus (Einführung, Betrieb und Außerbetriebnahme) von Anwendungen sollte im Kern folgende Anforderungen erfüllen:

  1. Anforderungsdefinition (inkl. Anforderungen an Datenschutz und Informationssicherheit auf Grundlage der Schutzbedarfsfeststellung)
  2. Richtlinien für die Programmierung der Software (ggf. mit CodeReview)
  3. Vollständige Dokumentation (sowohl technisch als auch fachlich)
  4. (ausreichender und dokumentierter) Test
  5. Notwendige (technisch und fachliche) Freigabe vor der produktiven Nutzung
  6. Vorgaben für Releases/Updates
  7. Vorgaben für eine geregelte Außerbetriebnahme (z.B. Schnittstellenbetrachtung)

Für Fremdsoftware ist ein derartiger Prozess bereits häufig im Unternehmen integriert. Bei selbst erstellter Software (z.B. Individuelle Datenverarbeitung – IDV) bedeutet ein solcher Prozess für Unternehmen häufig neue Herausforderungen.

Individuelle Datenverarbeitung

Anwendungen, die im Fachbereich – weit entfernt von jeder IT-Abteilung – entstehen, werden als individuelle Datenverarbeitung (IDV) bezeichnet. Solche IDV sind oftmals Excel- oder Access-Dateien. Zudem werden in den Fachbereichen auch immer häufiger selbst erstellte, skriptbasierte Programme eingesetzt. Der Umgang mit individueller Datenverarbeitung stellt für viele Unternehmen eine große Herausforderung dar. Dies liegt insbesondere daran, dass diese häufig in kritischen Prozessen eingesetzt wird (z.B. im Bankenwesen zur Ermittlung von Adress- oder Marktpreisrisiken). Um Schäden durch den Einsatz von IDV zu minimieren, muss zunächst die gesamte IDV im Unternehmen identifiziert und risikobewertet  werden – etwa durch eine Schutzbedarfsanalyse. Der Einsatz neuer bzw. geänderte IDV sollte dem Standardeinsatzverfahren für Anwendungen entsprechen. Demnach sind für derartige Anwendungen auch eine ausreichende Dokumentation, ein Test sowie eine Freigabe sinnvoll. Die BaFin stellt derartige Vorgaben sogar explizit an alle Unternehmen des Finanz- und Versicherungswesens.

Organisatorische Lösungen zur Überwachung von IDV sind allerdings zeitaufwendig und somit auch kostenintesiv.
Eine Möglichkeit der automatisierten, technischen Überwachung bietet die IDV-Suite der Firma stromwerken. Diese Anwendung unterstützt als ganzheitliche IT-Lösung alle Prozesse des Programmeinsatzverfahrens – beginnend mit der Entwicklung, über den Freigabeprozess bis hin zur Überwachung des unveränderten Einsatzes von IDV.

 

Individuelle-Datenverarbeitung

Umsatzlose Sparkonten

Beratungsleistungen

Es ist das Schicksal vieler Sparbücher, in Vergessenheit zu geraten. Diese umsatzlosen Sparbücher stellen auf der einen Seite einen Bestandteil der Kundeneinlagen dar und tragen zur Zinsspanne bei. Auf der anderen Seite stehen die Kosten für die regelmäßigen Verbuchungen. Beträgt das Guthaben nur wenige Euro oder gar nur wenige Cent, übersteigt der Aufwand für die jährliche Kontoführung den Ertrag. Da dies für einen großen Anteil der umsatzlosen Sparbücher zutrifft, besteht durch die Verlagerung auf ein Sammelkonto ein finanzielles Einsparpotential.

Umsatzlose Sparkonten zu verwalten kann ganz einfach sein

mit Sparbuch UL.

Durch die Anwendung Sparbuch UL wird die Kostenseite unabhängig von der Anzahl der Konten. Der Aufwand für Verbuchungen, Auflösungen und Administration ist vergleichbar, so dass diese Anwendung einen klaren finanziellen Vorteil gegenüber der Buchhaltung in einem externen Rechenzentrum liefert.

Kirchensteuer

Automatischer Kirchensteuerabzug auf Kapitalerträge

Für Kirchensteuer auf Kapitalerträge, die ab dem 01.01.2015 fließen, gilt das neue Kirchensteuerabzugsverfahren. Dieses unterscheidet sich nicht von dem der Abgeltungssteuer. Mit Einbehalt der jeweiligen Steuer ist die Steuerschuld abgegolten. Eine Veranlagung ist nicht mehr notwendig.

Das auszahlende Institut muss jedoch den konkreten Kirchensteuersatz des einzelnen Kunden über das Bundeszentralamt für Steuern erfragen.

Da die Kirchenzugehörigkeit eine äußerst schützenswerte Information ist, erfordert diese Abfrage ein hohes Maß an Datensicherheit. Zudem muss diese Abfrage regelmäßig einmal im Jahr erfolgen. 

Informationen des BMF zur Abgeltungsteuer

 

Unsere Dienstleistungen

SCHALLCON unterstützt Banken und IT-Dienstleister bei der Einführung des Kirchensteuerabzugs sowohl fachlich als auch technologisch. Zusammen mit Banken, Versicherungen und Dienstleistern nehmen wir an der technischen und fachlichen Usergroup von BMF und dem BZSt teil.

Wir haben Lösungen für die folgenden Aufgaben:

  • Datenexport für die Widerrufsbelehrung
  • Datenexport für die ELMA5-Schnittstelle für das Bundeszentralamt für Steuern
  • Einlesen der Ergebnisdatei vom BZSt
  • sachlich korrekte Verarbeitung der Daten bei Kapitalerträgen
  • Sicherstellung der erforderlichen Informationssicherheit im Umgang mit Kirchensteuerabzugsmerkmalen
Beratungsleistungen