Rolle: Interims Leiter Compliance

Aufgaben:

Aufbau einer neuen Compliance Abteilung mit folgenden Fachgebieten:
   - MaRisk-/Regulatorische Compliance
   - Geldwäsche, Terrorismusfinanzierung und Betrugsprävention
   - IT Compliance und Informationssicherheit
   - Datenschutz
   - Auslagerungsmanagement

MaRisk-/Regulatorische Compliance:

• Aufbau eines ?Legal Inventory?:
       - Identifikation relevanter regulatorischer Regelungen (Rechtsnormeninventar)
       - Herunterbrechen der Rechtsnormen auf Fachgebiete und Fachabteilungen
       - Beurteilung der Wesentlichkeit der regulatorischen Regelungen

• Konzeptionierung von Verfahren & Kontrollen zur Einhaltung relevanter Regelungen:
       - Einführung von Verfahren zur ad-hoc Einwertung neuer Rechtsnormen (in Arbeit)
       - Design eines jährlichen ?Self-Assessment? Prozesses zur Beurteilung der
         Angemessenheit und Wirksamkeit der Sicherungsmaßnahmen (in Arbeit)

• Definition von risikobasierten Überwachungs- und Kontrollhandlungen (1st/2nd Line)

• Beteiligung an Entwicklung und Weiterentwicklung des NPP (Neuer Produkte Prozess)

• Beteiligung an wesentlichen Änderungen der Aufbau- und Ablauforganisation

• Beratung und Unterstützung der Geschäftsleitung zur Einhaltung wesentlicher Regelungen
  

Geldwäsche und Betrugsprävention

• Identifikation und Bewertung der Risiken hinsichtlich Geldwäsche, Terrorismusfinanzierung und Betrugsprävention

• Identifikation von Sicherungsmaßnahmen, Überwachungs- und Kontrollhandlungen zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und Betrug

• Bewertung der Risiken sowie der Sicherungsmaßnahmen im Rahmen der Risikoanalyse gemäß § 5 GwG

• Unterstützung bei der Identifikation möglicher Geldwäsche- und Fraudszenarien

• Mitwirkung bei der Prozesserstellung verdächtiger Transaktionsmuster (?Red Flags?)

• Beratung bei der Erstellung eines Scoring Verfahrens zur Risikobeurteilung von Partnern in Hinblick auf verstärkte, allgemeine und vereinfachte Sorgfaltspflichten

• Risikoklassifizierung der OTTO Partner u.a. nach Rechtsform, Land, PEP, Geschäftsfeld, Embargo-/Sanktionslisten und Handelsgütern

• Beratung bei der Einführung neuer KYC Software Tools (CRIF Bürgel, Creditsafe)

• Entwicklung eines Verdachtsmeldebogens für Geldwäsche- und Betrugsverdachtsfälle

• Erstellung eines Handbuchs zur Geldwäsche- und Betrugsprävention

• Vorbereitung von Schulungen der Mitarbeiter in den Bereichen Geldwäsche, Terrorismusfinanzierung und Betrugsprävention

IT Compliance und Informationssicherheit:

• Identifikation relevanter IT-/IS-Rechtsgrundlagen sowie ?Best Practice? Regelungen,
  u.a. ZAIT, BSI-Grundschutz, ISO 27xxxx

• Identifikation von 1st und 2nd Line Kontroll- und Überwachungshandlungen

• Durchführung von Risikoanalysen zur IT- und IS Compliance

• Beratung bei der Erstellung von IT und IS-Richtlinien

• Beratung bei der Konzeptionierung der Informationsklassifizierung von IT-Assets nach IS-Schutzzielen (Vertraulichkeit, Integrität, Authentizität, Verfügbarkeit)

• Beratung bei der Konzeptionierung von Autorisierungs- und Löschkonzepten sowie BCM Aktivitäten (Notfallplanung / Desaster Recovery Planung)

• Vorbereitung des jährlichen Self-Assessment (in Arbeit)

• Beratung der Fachabteilungen bei IT- und IS-Compliance Themen

• Vorbereitung von Mitarbeiterschulungen zur IT- und IS-Compliance im Rahmen eines RfP

Auslagerungsmanagement:

• Aufbau des Auslagerungsregisters

• Einwertung von ca. 80 Auslagerungen (inkl. Fremdbezug)

• Entwicklung einer Auslagerungsmethodik zur Beurteilung wesentlicher- und nicht-wesentlicher Auslagerungen sowie Fremdbezug

• Vorstellung der Auslagerungsmethodik bei der GL sowie Verabschiedung der Methodik

• Beratung bei der Vertragsgestaltung für wesentliche/nicht-wesentliche Auslagerungen

• Abgleich bestehender Verträge mit den regulatorisch geforderten Inhalten (gemeinsam mit Legal, Fachabteilung und Internal Audit bei wesentlichen Auslagerungen)

• Dokumentation des Auslagerungsprozesses (RACI)

• Identifikation relevanter regulatorischer Regelungen, u.a. MaRisk, ZAIT, BaFin-Orientierungshilfe zur Auslagerung an Cloud Anbieter, ESMA Leitlinien zur Auslagerung an Cloud Anbieter

Datenschutz:

• Sicherstellung der Einhaltung gesetzlicher und regulatorischer Vorschriften

• Aufbau eines Verfahrensregisters gemäß DSGVO

• Einführung von Verfahren zum Schutz persönlicher und personenbezogener Daten

• Durchführung von Datenschutz Risikoanalysen und Risikofolgenabschätzung

• Enge Koordination mit dem Datenschutz des OTTO Konzerns in Bezug auf Verfahren, Richtlinien, Handbüchern, Prozessen und Schulungen

Sonstige Compliance Tätigkeiten

• Beratung der Geschäftsleitung und der Fachabteilungen in Compliance Fragen

• Dokumentation relevanter Compliance Richtlinien, Arbeitsanweisungen und Prozesse

• Compliance Mitarbeiterschulungen:
  Geldwäsche, Terrorismusfinanzierung, Betrugsprävention, Interessenskonflikte, IT und  Informationssicherheit, Datenschutz

• Konzeptionierung eines integrierten Compliance/GRC Management System (Design)

• Aufnahme der Compliance Prozesse mit den Fachabteilungen der Group Compliance
• Strukturierung der Compliance Prozesse und Dokumentation der Verantwortlichkeiten (RACI)
• Design Prozessoptimierung 
• Erstellung ?Process Profile? (process description, involved systems, classification of information types, outsourcing, BCM, process and data parameters)
• Erstellung ?Business Requirements Definition? (BRD)
• Erstellung ?Functional Specification Document? (FSD)
• Erstellung Test Cases (Jira)
• Operative Testdurchführung
• Erstellung ?Datenschutz Risikoanalyse (DPRA), ?Verfahrensregister? (Ropa) sowie ?Datenschutz-Risikofolgenabschätzung? (DPIA) gemäß DSGVO Vorgaben
• Erstellung ?Informationsklassifizierung? (confidentiality, integrity, authenticity, availibility)
• Erstellung ?IT Risikoanalyse? gemäß MCF für betroffene Gesellschaften (30+ Legal Entities)
• Erstellung MCP (Material Change Process) Dokumentation gemäß MaRisk Vorgaben: Business Case, Impact / Risk Assessment, Implementation Plan, Test Concept
• Dokumentation der Compliance Kontrollen (2nd line of defence controls)

Sonderaufgaben:

• Review der Compliance Schulungen
• Erstellung Risikoanalyse für die IT- und Applikationsprovider der Deutschen Börse Group Compliance

• Erstellen Fachanforderungen für ?Conflict Management?
• Erstellen von Test Approach und Testplanung
• Design von Testfällen und operative Testdurchführung (Jira)
• Testkoordination mit Fachabteilung, zentraler IT und TATA Software Entwicklung (Indien)
• Abstimmung mit internen und externen Schnittstellen (IT Sicherheit, Datenschutz, Corporate IT, MCP/NPP Team)
• Erstellung ?Data Protection Risk Assessment? (DPRA)
• Erstellung ?Register of Processing Activities? (Verfahrensregister, Ropa)
• Abklärung ?Data Processing Impact Assessment? (DPIA), Datenschutz-Risikofolgenabschätzung
• Erstellung ?Information Classifications? und ?IT Risk Assessment? für betroffene Gesellschaften (30+ regulierte und nicht regulierte Legal Entities)
• Abstimmung Anforderungen für Data Retention und Deletion Concept
• Erstellung Dokumentation für Deutsche Börse Gruppe MCP ?Material Change Process?:
  Business Case, Impact / Risk Assessment, Implementation Plan, Test Concept, Test Results, Operational Readiness Statements, etc.
• Erstellung Präsentationsunterlagen für Steering Committees, MCC Boards der regulierten Einheiten Deutsche Börse AG, Clearstream, EUREX Clearing sowie ECC/EEX und Betriebsrat

Sonderaufgaben:

• Testautomatisierung für ECP ?Employee Compliance Portal?

Fachlicher Inhalt:

• Erstellung BaFin und CSSF Conflict Register, Conflict Monitoring and Reporting, Real-time Conflict Check von potentiellen Interessenkonflikten (Mitarbeitergeschäfte, Insider Listen, Einladungen, Geschenke, Nebentätigkeiten, interne Mandate, externe Mandate, finanzielle Interessen, sonstige Interessen, Interessen von PCAs)
• Umsetzung regulatorische Anforderungen aus u.a. WpHg, KWG, DSGVO, BAIT, MaComp, MaRisk, MIFIR, MIFID, MAR, GwG, CSDR

Konzernweite Einführung eines neuen GRC (Governance, Risikomanagement & Compliance) IT Systems zur Automatisierung der MaRisk Compliance Prozesse der DEKA Gruppe (30+ Tochtergesellschaften)

• Design von MaRisk Tests (Unit Test, Integration Testing, Migration Tests)
• Operative Testdurchführung sowie Bearbeitung von Fehler- und Kontrolllisten (HP ALM)
• Fachliche Unterstützung bei Umsetzung von Testautomatisierung (HP ALM)
• Abstimmung mit internen und externen Schnittstellen
• Dokumentation, Qualitätssicherung, Erstellung von Reportings
• Erstellung Schulungsunterlagen für Schulungen (450 User in First-, Second und Third Line)
• Unterstützung bei Migration

Fachlicher Inhalt:

• Automatisierung des gesamten MaRisk Compliance Workflows (inkl. IKS)
• Dashboards für Reporting / Überblick anstehender Aktivitäten (ToDos) für
  Compliance, Bereichsleiter, Compliance-Koordinatoren und Kontrollverantwortliche
• Zuordnungen von Rechtsgrundlagen (ca. 80 Rechtsgrundlagen wie KWG, WpGH, etc.) Rechtsnormen (ca. 900 relevante Rechtsnormen), Verfahren, Themen, Prozessen zu OE`s (Organisationseinheiten)
• Erhebung und Aktualisierung Second Line Kontrollen (Kontrollerhebungsbögen)
• Erhebung und Aktualisierung First Line Kontrollen sämtlicher Fachbereiche (Meldebögen)
• Prüfung Sicherungsmaßnahmen auf Angemessenheit und Wirksamkeit (> 1.000 Kontrollen)
• MaRisk Self-Assessment der Organisationseinheiten und unterjährige Assessments
• Automatisiertes Mahnwesen, konfigurierbare Überwachungspläne, Notifikationen, Eskalation
• Drilldown in einzelne Aktivitäten und Filterfunktionen (z.B. nach Rechtsnorm, OE, Gesellschaft)
• Integration mit Prozessportal (ADONIS), Active Directory (Omada) und OE´s (SAP)

Gruppenweite Einführung (30+ Tochtergesellschaften) des neuen Compliance IT Systems ?Starcompliance? für die Group Compliance der Deutschen Börse AG, Projekt auf Englisch. Pre-Clearing, Monitoring und Reporting von Mitarbeitergeschäften (PAD), Gifts & Entertainments (G&E), Nebentätigkeiten und Outside Business Interests (OBI)

• Erstellung Project Charter, Projektplan, Budget (Capex/Opex)
• Erstellung Fachkonzepte PAD, G&E, OBI
• Unterstützung Design von ?Insider List Management?
• Koordination Anforderungen IT Security (Information Classification, IT Security Concept, IT Risk Assessment)
• Koordination Anforderungen Datenschutz (Verfahrensregister, DPRA - Data Processing Risk Assessment, DPIA ? Data Protection Impact Assessment)
• Koordination Anforderungen Corporate IT (SLA, OLA, MSA, Operations Manual, Operational Readiness Statement)
• Koordination Anforderungen IT Security (Information Classification, IT Sec Assessment, Security Concept)
• Unterstützung Projektvorstellungen im Betriebsrat
• Testplanung, Testdurchführung, Testreporting
• Aktualisierung Wertpapier Compliance Richtlinien, Leitfäden, Arbeitsanweisungen, Prozesse
• Insider List Management (Insider Listen, Preliminary Listen, Functional Insider Listen)
• Roll-Out, Training, Post-Production Support

Ausschreibung (RfI/RfP) und Auswahl eines neuen Wertpapier Compliance IT-Systems für die Group Compliance der Deutschen Börse AG, Projekt auf Englisch. Pre-Clearing, Monitoring und Reporting von Mitarbeitergeschäften, Gifts & Entertainments und Outside Business Interests

• Erstellen von BaFin-konformen Insider Listen (MAR ? Market Abuse Regulation)
• Erstellung Business Requirements für Group Compliance Fachabteilung
• Koordination Anforderungen Compliance, Einkauf, IT Security, Corporate IT, Datenschutz
• Erstellung Ausschreibungsunterlagen
• Erstellung RfP Scoring Matrix
• Koordination Provider Vorstellungen
• Erstellung Long List / Short List, Referenzbesuche
• Unterstützung Providerauswahl, Vertrags- und Lizenzierungsmanagement
• Berücksichtigung regulatorischer Anforderungen aus WpHg, KWG, MaComp, MaRisk, MIFIR, MIFID I und II, CSDR, GDPR/DSGVO

Umsetzung ITSM Operational Risk Compliance Anforderung.
Einführung eines neuen IT Systems zur Automatisierung von SSCRs für SAP, non-SAP und agile Anwendungsentwicklung:

Prozess-/Testmanager:

• Erstellung der neuen Prozesse (Integration der neuen Anwendung in die bestehende IT Landschaft und das Vorgehensmodell der Bank)
• Abstimmung der Prozesse mit Entwicklung, Test-/Release Management, IT Security und IT Application Governance
• Sicherstellung aller Quality-Gate Vorgaben
• Erstellung von Freigabe-/Abnahmedokumenten
• Erstellung Schnittstellenkonzept/-spezifikation
• Erstellung Testkonzept inkl. fachlicher Testfälle für Neuanwendung und Schnittstelle
• Koordination Testvorhaben von fachlichen Tests
• Unterstützung Projektreporting und Vorbereitung von Steuerungsausschüssen, Compliance Jour-Fixes

Erstellung von „Implementation Concepts“ in englischer Sprache, Projekt in englischer Sprache

Arbeitspakete:

• Anbindung einer neuen ausländischen Börse
• „Member Stopp“ Funktionalität für Remote Members
• Neues Clearing-/Backoffice Release
• Verbesserung der Hochverfügbarkeit eines ausländischen Backup-Rechenzentrum

Aufgaben:

• Definition Projektziele, Organisation, Abhängigkeiten, Vorgehensweise
• Analyse der technischer Implikationen der Arbeitspaket-Anforderungen
• Abstimmung und Definition der Anforderungsdetails (CPU, RAM, SoD, VM`s, IP`s, OS, Middleware, Software, Kommunikationsmatrix, Netzwerkkonzept)
• Dokumentation der Designlösung
• Dokumentation der Release & Test Management Konzeption
• Anpassung bestehender Master Service Agreement (SLA`s, KPI`s), Desaster Recovery- und Backup Strategie, Betriebsführungshandbücher

Überprüfung und Aktualisierung des Beratungsprozess eines unabhängigen Finanzvermittlers zur Erfüllung von Compliance Vorgaben (u.a. MIFID, FinVermV, VermAnlG, KAGG, KWG, IDD) 

• Sicherstellung der regulatorischen Compliance des Beratungsprozesses bzgl.: 
  
  • Beratungsprotokoll
  • Bedarfsermittlung beim Kunden
  • Geeignetheitsprüfung 
  • Angemessenheitsprüfung
  • Erstellung von Kundenprofilen
  • Produktdarstellung 
  • WAI (wesentliche Anlegerinformationen)
  • KID (Key-Investor-Information-Document)
  • PID (Produktinformationsblatt) 
  • Darstellung von Lösungsmöglichkeiten
  • Einhaltung von Informations- und Dokumentationspflichten

Zertifizierung zum Finanzanlage- und Versicherungsfachmann (§34d+f GewO). Beratung und Vermittlung von Finanzanlage- und Versicherungsprodukten Fachliche, regulatorische, rechtliche und steuerliche Grundlagen (basierend auf FinVermV, VermAnlG, KWG, KAGB, WpHg, IMD, IDD, etc.) für:

• offene Investmentvermögen (OGAW)
• geschlossene Investmentvermögen (AIF)
• Publikumsfonds
• Spezialfonds
• Vorsorge- und Sachversicherungen

Entwicklung einer konzernübergreifenden Sourcingstrategie

• Aufnahme der Sourcingstrategien und Sourcingprojekte der Konzerntöchter
• Konsolidierung der Sourcingprojekte auf Konzernebene
• Abstimmung eines Sourcing-Governance-Modells im Steuerungskreis
• Erarbeitung einer Aufbau- und Ablauforganisation für ein zentrales Sourcing
• Identifikation zukünftiger zentral gesteuerter Sourcingvorhaben
• Erstellung Projektportfolio und Roadmap

Systemauswahl und Entwicklung eines Testkonzeptes zur Abwicklung von Firmenkundenkrediten

Business Analyst / Testmanager

• Erstellung des Anforderungskatalogs mit Fachabteilungen
• Erarbeitung einer GAP-Analyse zur bestehenden Anwendung
• Erstellung einer Bewertungsmatrix zur Anbieterevaluation
• Vorbereitung der Long-List / Short-List alternativer Software Provider
• Erarbeitung des fachlichen Testkonzepts zur Abwicklung eines neuen Kreditproduktes
• Koordination der Testaktivitäten der Fachabteilungen
• Umsetzung des neuen Kreditproduktes auf der Zielplattform

Erarbeitung einer neuen IT Strategie

Business Analyst, Co-Projektleiter:

• Strukturierte Aufnahme der neuen Geschäftsanforderungen
• Review der bestehenden IT-Strategie, Aufbau- und Ablauforganisation
• Erarbeitung der Ziel-Anwendungslandschaft
• Erarbeitung Zielarchitektur (TOGAF-Architektur-Framework)
• Erstellung Projektportfolio, Budget und Roadmap für Ziel-Anwendungslandschaft
• Abstimmung von KPI`s für IT Services

Parallel zum o.g. Projekt:

• Begleitung der Ausschreibung für Desktop Services (inkl. Netzwerke, Security)
• Review der bestehenden IT-Prozesse auf Basis ITIL V3: 
  Service Strategy, Service Design, Service Transition, Service Operation

Softwareauswahl und Installation einer neuen Hypothekenanwendung

Projektleiter Fach-/IT Architektur:  

• Abstimmung der technischen Rahmenbedingungen mit den Fachabteilungen
• Aufnahme der IT-/Architekturanforderungen der Muttergesellschaft
• Erarbeitung von technischen Auswahlkriterien für die neue Software
• Erstellung der Fach-/IT Architektur für die neue Software inkl. Schnittstellen
• Erstellung Entscheidungsmatrix sowie Ausschreibungsunterlagen „RfI“ und „RfP“
• Konsolidierung technischer Vorgaben für Testinstallation
• Koordination und Überwachung Testinstallation

Teilprojektleiter ITIL / Business Analyst:  

• Erstellung von Leistungsscheinen, Leistungsmodulen und SLA`s für Server, Mainframe, Storage, Workstation, Messaging, Networking
• Überwachung der Abnahme- und Freigabeprozesse
• Konsolidierung des bestehenden Produktkatalogs für IT-Services
• Erstellung einer Preismatrix für IT Services
• Abstimmung eines IT-Governance Modells für das zukünftige Provider Management
• Erstellung der zukünftigen Sourcingabläufe auf Basis ITIL V3
• Erstellung Ausschreibungsunterlagen  für „RfI“ und „RfP“

Auswahl unf Einführung Kernbank-Software zum Aufbau eines Private Banking Family Office / Unterstützung Beantragung BaFin Lizenz. Integriertes Front-/Middle-/Backoffice für Portfolio Management, Performance Measurement, Risiko Management, Bestandsverwaltung, Berichtswesen, Finanzbuchhaltung

Projektleiter: 

• Aufsetzen Projektstruktur inkl. Projektorganisation, Projektplanung, Reporting, Budgetierung, Risikomanagement
• Koordination der fachlichen und technischen Anforderungsdokumente
• Erstellung der Ausschreibungsunterlagen
• Koordination der Ausschreibung und Unterstützung bei Softwarekauf/-lizenzierung
• Planung und Umsetzung der Aufbau- und Ablauforganisation
• Koordination von Test, Implementierung und Roll-Out
• Sicherstellung Post-Produktionsunterstützung
• Entwicklung eines ASP-Konzeptes auf ITIL-Basis

Auswahl und Implementierung einer IT-Lösung zur betrieblichen Altersvorsorge (bAV) und Kundendepotführung 

Projektleiter:  

• Aufsetzen der Projektstruktur / PMO
• Erarbeitung Projektplan / Budget
• Abstimmung des Anforderungskatalogs mit den Fachabteilungen (Pflichtenheft)
• Organisation der Abnahme des Pflichtenhefts
• Dokumentation der Geschäftsprozesse
• Evaluation alternativer Anbieter der BaV-Lösung und Kunden-Depotführung
• Empfehlung eines Software Providers und Unterstützung bei Vertragsverhandlungen
• Leitung der Implementierung und Roll-Out