Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Unterabschnitt 1 - Zahlungsinstituts-Prüfungsberichtsverordnung (ZahlPrüfbV)

V. v. 15.10.2009 BGBl. I S. 3648 (Nr. 70); zuletzt geändert durch Artikel 25 G. v. 11.12.2023 BGBl. 2023 I Nr. 354
Geltung ab 31.10.2009; FNA: 7610-16-5 Aufsichtsrechtliche Vorschriften
|

Abschnitt 3 Aufsichtliche Vorgaben

Unterabschnitt 1 Risikomanagement und Geschäftsorganisation

§ 10 Ordnungsmäßigkeit der Geschäftsorganisation



(1) 1Der Abschlussprüfer hat die Ordnungsmäßigkeit der Geschäftsorganisation im Sinne des § 27 Absatz 1 Satz 1 Halbsatz 1 des Zahlungsdiensteaufsichtsgesetzes unter Berücksichtigung der Komplexität und des Umfangs der von dem Institut eingegangenen Risiken zu beurteilen. 2Dabei ist insbesondere auf Adressenausfallrisiken und Marktpreisrisiken, einschließlich der Zinsänderungsrisiken, sowie auf Liquiditäts- und operationelle Risiken sowie auf damit verbundene Risikokonzentrationen gesondert einzugehen.

(2) 1Der Abschlussprüfer hat zu beurteilen, ob die Maßnahmen der Unternehmenssteuerung, die Kontrollmechanismen und die Verfahren, die gewährleisten, dass das Institut seine Verpflichtungen erfüllt, angemessen sind. 2Dabei ist insbesondere darauf gesondert einzugehen, ob

1.
das Risikomanagement, einschließlich der internen Kontrollsysteme, angemessen und wirksam ist,

2.
eine Verlustdatenbank geführt und gepflegt wird sowie eine vollständige Dokumentation der Geschäftstätigkeit, die eine lückenlose Überwachung durch die Bundesanstalt für ihren Zuständigkeitsbereich gewährleistet, vorhanden ist,

3.
das Notfallkonzept für die IT-Systeme angemessen ist, und

4.
die interne Revision angemessen ist.

(3) Der Abschlussprüfer hat ferner zu beurteilen, ob die Strukturen des Instituts es seinen Geschäftsleitern sowie seinem Verwaltungs- oder Aufsichtsorgan ermöglichen, seine Aufgaben ordnungsgemäß wahrzunehmen.




§ 10a IT-Systeme



(1) 1Der Abschlussprüfer hat im Rahmen der Beurteilung nach § 10 Absatz 2 Satz 1 und 2 Nummer 3 insbesondere darauf einzugehen, ob die organisatorischen, personellen und technischen Vorkehrungen zur Sicherstellung der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit der aufsichtlich relevanten Daten angemessen sind und wirksam umgesetzt werden. 2Dabei ist insbesondere gesondert einzugehen auf

1.
das IT-Sicherheitsmanagement, welches jedenfalls auch den Umgang mit sensiblen Zahlungsdaten im Sinne des § 1 Absatz 26 des Zahlungsdiensteaufsichtsgesetzes beinhaltet,

2.
die technischen und betrieblichen Verfahren bei einem Notfall, einschließlich der Regelungen zur Geschäftsfortführung im Krisenfall, sowie

3.
die Beherrschung schwerer Betriebs- oder Sicherheitsvorfälle einschließlich des Umgangs mit sicherheitsbezogenen Kundenbeschwerden.

(2) Werden externe IT-Ressourcen eingesetzt, so erstrecken sich die vorgenannten Berichte auch auf diese IT-Ressourcen einschließlich deren Einbindung in das Institut.