Please activate JavaScript!
Please install Adobe Flash Player, click here for download
© 2010 1000°ePaper | 1000°DIGITAL GmbH
ePaper created 2010-07-30, 09:12:02 | version 1.18.0
60 Commerzbank Geschäftsbericht 2009 UnternehmerischeVerantwortung die programmierten IT-Kontrollen um die manuellen Kontrollen wie zum Beispiel Bildschirm- freigaben. Bei der IT-Ersterfassung von Daten ist sicherzustellen, dass nur geprüfte bezie- hungsweise freigegebene Daten für die Weiterverarbeitung verwendet werden. Bei der wei- teren Verarbeitung von Datensätzen werden Kontrollsummen gebildet und an nachfolgende Verarbeitungssysteme zwecks Überprüfung der Vollständigkeit weitergegeben. Zu den organisatorischen Kontrollmaßnahmen zählt das Vier-Augen-Prinzip. Nach dem Vier-Augen-Prinzip ist grundsätzlich jede Handlung wie zum Beispiel die Erfassung von gro- ßen Zahlungsbeträgen einer Kontrolle durch einen zweiten Mitarbeiter zu unterziehen. Soweit im Rahmen der Kontrolle ein Fehler festgestellt wird, muss der Geschäftsvorfall be- richtigt und erneut der Kontrolle unterzogen werden. Die Kontrolle wird grundsätzlich neutral durchgeführt, das heißt nicht von einem Mitar- beiter, der den Kontrollgegenstand selbst veranlasst hat oder dafür verantwortlich ist, und wird vom Kontrolldurchführenden nachvollziehbar dokumentiert. In der Commerzbank sind klare Verantwortlichkeiten für Prozessdokumentation, Control- ling und Management von Risiken und die Kontrollen festgelegt: Die Dokumentation von Prozessen und den darin integrierten Kontrollschritten ist einem spezifischen Bereich zugeordnet. Dieser gibt über ein IT-Tool im Rahmen des Geschäftspro- zessmanagements Standards für Beschreibung und Darstellung der Prozesse und Kontrollen vor. Die Dokumentation der Prozesse, der Kontrollen sowie der Risiken obliegt schließlich den jeweiligen Einheiten. Das konzernweite Controlling der Risiken der Prozesse wird durch die zuständigen Ein- heiten für die jeweiligen Risikoarten vorgenommen. Die konzernweiten Vorgaben für die Erhebung und Bewertung der operationellen Risiken erfolgen im Rahmen des fortgeschritte- nen Messansatzes nach Basel II. Die Unternehmensbereiche und Konzerneinheiten sind für das Management der Risiken und der Behebung von Schwachstellen verantwortlich. Die Einheiten treffen auf Basis struk- turierter Analysen Entscheidungen bezüglich des Umgangs mit den identifizierten Risiken. Die Prozesse im Rechnungswesen der Commerzbank hängen stark von den IT-Systemen ab. Deshalb müssen auch die IT-Systeme den Anforderungen des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess genügen. Der Bereich IT identifiziert und benennt die in ihrem Einflussbereich stehenden relevanten Pro- zesse und Kontrollziele und legt geeignete Metriken zu ihrer regelmäßigen Überprüfung und Überwachung der Einhaltung fest. Im Rahmen der Erstellung der Abschlüsse werden in der Commerzbank unterschiedliche Softwaresysteme eingesetzt. Neben Standardsoftware verwendet das Rechnungswesen auch speziell auf die individuellen Anforderungen der Bank abgestimmte Programme. Die inner- halb der Finanzfunktion eingesetzten Systeme sind durch Vorgaben zur Zugriffsberechtigung geschützt. Die Administration der Berechtigungen für die im Rechnungswesen wesentlichen Systeme wird von einer neutralen Stelle wahrgenommen, Erfassung und Freigabe der Berechtigungen erfolgt nach dem Vier-Augen-Prinzip. Neben den Überwachungs-, Steuerungs- und Kontrollaktivitäten sind Information und Kommunikation Bestandteile des internen Kontrollsystems der Commerzbank. Die unabhän- gige Kontrolle von Führungsverantwortlichen beziehungsweise Management beruht auf deren Fachkenntnis und Wahrnehmung der Führungs- und Überwachungsaufgaben. Daher erhalten alle Hierarchieebenen im Rechnungswesen der Commerzbank regelmäßig stufen- gerechte Performance-Berichte und prüfen diese kritisch (zum Beispiel Controlling- oder Revisionsberichte).