Kommunikation mit Aufsichtsbehörden und Wirtschaftsprüfern

1) Ziele und Grundsätze

• Transparenz und Eindeutigkeit der Formulierungen;
• Aktualität der Antworten und Statusaktualisierungen;
• Rückverfolgbarkeit von Lösungen und Artefakten;
• Einheit der Position (einheitlicher Sprecher, abgestimmte Materialien);
• Bereit für das Audit „on the button“ (audit-ready).

2) Stakeholder und RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

3) Arten von Interaktionen

Geplante Berichte und Benachrichtigungen: regelmäßige Formulare/Portale, Zertifizierungen, Lizenzverlängerungen.
Informationsanfragen (RFI/RFC/RFPQ): einmalig und thematisch, mit spezifischen Terminen.
Inspektionen/Reviews: Fern- und On-Site-Besuche (Interviews, Sampling, Walkthrough).
Vorfälle und Verstöße: Benachrichtigungen innerhalb der Fristen, Follow-ups, CAPA.
Anordnungen/Entscheidungen/Sanktionen: Antworten, Berufung, Erfüllung der Bedingungen.
Externes Audit (Prüfungsgesellschaften): jährliche Zertifizierung/Zertifizierung, Prüfung des Designs und der Wirksamkeit der Kontrollen.

4) Kanäle, Protokolle, Kommunikationsdisziplin

Einzelfenster (Regulatory Inbox/offizielle Mail) und Registrierung der Eingänge.
Fallnummerierung und Versionskontrolle von Materialien.
Ein einzelner Sprecher und Listen der zugelassenen Interviews.
Kommunikationsprotokoll: wer/wann/was gesendet hat, Zustell-/Lesebestätigung.
Vorschau (rechtliche Überprüfung) aller ausgehenden Nachrichten.
Klarer Bezug zum Kontext: Anfragenummer, Formularpunkt, Dokumentversion.

5) Vorbereitung auf das Audit: „audit pack“

1. Organisationsstruktur und RACI für Compliance/Sicherheit.

2. Richtlinien/Standards/Verfahren (aktuelle Versionen + Änderungsprotokoll).

3. Eine Karte von Systemen und Daten, eine Matrix von Vorschriften ↔ Kontrollen.

4. KPI/KRI und SLO Dashboards, für den Inspektionszeitraum.

5. Evidence: Protokolle, Konfigurationen, Scanberichte, Revue-Zugriffskampagnen, DSAR/Retention, Incidents und Post-Mortems.

6. Vendor dossier: Liste der kritischen Anbieter, DPA/SLA, Zertifikate, DD-Ergebnisse.

7. CAPA/Remediation Tracker: Abschlussstatus von Kommentaren aus vergangenen Perioden.

8. Legale Artefakte: DPA/Addendum, Benachrichtigungen, Bestätigungen.

Speicheranforderung: Unveränderlichkeit (WORM/Object Lock), Hash-Zusammenfassungen, Zugriffskontrolle (geringste Privilegien).

6) Regulatory Request Response (SOP) Prozess

1. Registrierung der Anfrage: ID zuweisen, Fristen und Format festlegen.
2. Scoping und Zerlegung: welche Systeme/Daten/Zeitraum/Format der Uploads.
3. Zweck der Eigentümer: Data/Evidence, Legal, Tech, Vendor, SecOps.
4. Datenerfassung und Verifizierung: Integrität, Formatkonformität, Anonymisierung/Minimierung wo zulässig.
5. Legal und Faktencheck: Legal/Compliance prüft den Wortlaut und die Grenzen der Offenlegung.
6. Genehmigung und Versand: über den offiziellen Kanal; Speichern Sie die Bestätigung.
7. Follow-up: Nachverfolgung von Fragen/Ergänzungen, Kontrolle von Terminen.
8. Rückblick: Lektionen und Aktualisierung von Vorlagen.

7) On-Site/Online-Inspektion

Interviewplan: Liste der Rollen, Themen, Artefakte, Demonstrationen (walkthrough).
Materialraum (Data Room): Katalog, Zugriffskontrolle, Dokumentversionen.
Die Regeln des Raumes: keine unbestätigten Behauptungen; wenn die Frage „außerhalb des Bereichs“ ist, zu erfassen und nach der Überprüfung schriftlich zu beantworten.
Live-Protokoll: Fixierung von Fragen/Antworten/Versprechungen mit Eigentümern und Fristen.
Demonstrationen: vorbereitete Umgebungen/Skripte, ananimisierte Datasets.

8) Zusammenarbeit mit externen Auditoren

Engagement Letter: Umfang, Kriterien, Zeitraum, Zugriffe.
PBC-Liste (Prepared By Client) - Listet die benötigten Materialien und Termine auf.
Test of Design/Operating Effectiveness: Probenbereitschaft, Reperformen von Skripten.
Finding Lifecycle: die Tatsache → das Kriterium → der Einfluss → die Empfehlung → CAPA → die Verifizierung der Schließung.
Konflikte und Eskalationen: Protokoll von Diskrepanzen, Aushandlung von Interpretationen.

9) CAPA/Remediationsmanagement

Der CAPA-Plan muss enthalten: Eigentümer, Maßnahmen, Ressourcen, Zeitrahmen, Erfolgskriterium, Risiken und abhängige Systeme.

Einteilung der Fristen nach Severity (Critical/High/Medium/Low).
Waiver sind nur mit Ablaufdatum und Ausgleichskontrollen zugelassen.
Berichterstattung: Status-Dashboards, Verspätungen, Fortschritte, Wiederholungen.
Überprüfung der Schließung: Nachweis und (falls erforderlich) wiederholter Test.

10) Vorfälle und Meldungen an die Regulierungsbehörde

Kampfrhythmus: Häufigkeit von Status-Updates (z.B. alle 4 Stunden in Sev1).
Fakten, keine Hypothesen: Gesicherte Daten, Vermutungen vermeiden.
Legal Hold: sofort für relevante Daten und Protokolle aktivieren.
Kommunikationsmatrix: wer informiert den Regulator, Kunden, Partner; PR ist mit Legal abgestimmt.
Post-mortem: Fristen, Lektionen, Aktualisierungen der Richtlinien/Kontrollen, öffentliche Kommuniqués (falls erforderlich).

11) Integration mit internen Prozessen

Policy Lifecycle/Change Mgmt: Regulatorische Anforderungen → Auslöser für die Aktualisierung von Richtlinien/Verfahren.
CCM (Continuous Compliance Monitoring): Regelmäßige Maßnahmen → proaktive Erkennung von Abweichungen.
RBA (Risk-Based Audit): Ergebnisse von Audits → Priorisierung interner Audits.
Vendor Risk: Aktualisierung der Registrierung von Anbietern, Zertifikaten und SLA-Verstößen.
GRC-System: ein einziges Register von Verpflichtungen, Anfragen, Entscheidungen, CAPAs und Waivers.

12) Interaktionseffizienzmetriken

On-time Response:% der Antworten an den Regulator/Auditor innerhalb der Frist (Ziel ≥ 99%).
First-Pass Acceptance:% der akzeptierten Materialien ohne Nacharbeit.
Time-to-CAPA: Der Median von der Suche bis zur Vereinbarung eines Plans.
On-time Remediation:% geschlossene CAPAs am Fälligkeitsdatum (nach Severity).
Repeat Findings: Anteil der Wiederholungen in 12 Monaten (Ziel ist der Rückgang).
Audit-Ready Time: Stunden, um ein vollständiges „Audit Pack“ (Ziel - ≤ 8 Stunden) zu sammeln.
Evidence Integrity:% der Artefakte in WORM mit Hash-Fixierung (Ziel ist 100%).
Kommunikation SLA: Einhaltung von Battle-Rhythm/Updates in der Krise.

13) Checklisten

Bevor Sie eine Antwort an die Regulierungsbehörde senden

• Die Anfrage-ID, die Frist, das Format und das Fragenregister wurden aufgezeichnet.
• Die Datenerhebung ist abgeschlossen. Quellen und Zeitfenster bestätigt.
• Die Pseudonymisierung/Minimierung wird, soweit zulässig, angewendet.
• Legal/Compliance führten eine Revue durch; Risikoformulierung vereinbart.
• Anwendungsnummerierung, Versionskontrolle, Signaturen/Datierungen.
• Der Sendekanal ist validiert; eine Bestätigung der Lieferung erhalten.
• Kopie und Hash-Zusammenfassung im WORM-Archiv gespeichert.

On-Site-Besuch des Wirtschaftsprüfers/der Aufsichtsbehörde

• Sprecher ernannt, Zeitplan für Interviews und Demonstrationen.
• Datenraum mit Zugriffsrechten und Protokollierung vorbereitet.
• Bereit „one-pager“ zu den wichtigsten Themen und Schemata der Architektur.
• Es wurden sensible Fragen (Antwortskripte) erarbeitet.
• Ein Live-Protokoll (Sekretär) wird organisiert, Aktionen und Termine werden aufgezeichnet.

Nach Erhalt der Fundings/Anweisungen

• Besitzer zugewiesen, Severity und Deadlines definiert.
• CAPA mit Erfolgsmetriken und Abhängigkeiten vorbereitet.
• Statusübersicht veröffentlicht; Erinnerungen und Eskalationen werden eingerichtet.
• Abschlussnachweise werden gesammelt und archiviert (WORM).
• Durchgeführt von lessons learned; aktualisierte Richtlinien/Kontrollen/Schulungen.

14) Artefaktmuster

Antwortschreiben an die Regulierungsbehörde (Struktur)

1. Verweis auf die Anforderungsnummer und das Datum.
2. Kurze Zusammenfassung der Antwort und Liste der Anwendungen.
3. Verfahren zur Erzeugung von Daten (Quellen, Zeitraum).
4. Antworten nach Punkt (Nummerierung, Tabellen).
5. Kontakt für Abklärungen, Verfügbarkeitsfenster.
6. Unterschrift des Bevollmächtigten.

Ausgabe/Findings Tracker (Lautsprecher)

ID, Thema, Quelle (Regulator/Audit), Severity, Datum, Eigentümer, Laufzeit, Status, CAPA-Link, Beweise, Risiken/Abhängigkeiten.

CAPA-Plan (Vorlage)

Kontext/Kriterium der Nichtübereinstimmung; Maßnahmen; Eigentümer; Fristen; Ressourcen; Erfolgsmetriken; Risiken; Verifizierungsplan und Abschlussartefakte.

Inhalt „Audit Pack“ (Inhaltsverzeichnis)

1. Organisation und RACI; 2) Politik/SOP; 3) System-/Datenkarte; 4) Kontrollen und Metriken; 5) Evidence-Archiv; 6) Vendor-Dossier; 7) Vorfälle und Lektionen; 8) CAPA-Tracker.

15) Antipatterns

Eine Antwort „aus dem Kopf“ ohne Faktencheck und juristische Revue.
Unkoordinierte Sprecher und unterschiedliche Interpretationen.
Keine Kommunikationsprotokolle und Versandbestätigungen.
Unvollständige/unbestätigte Uploads, unterschiedliche Versionen von Dokumenten.
CAPAs ohne messbare Kriterien und Eigentümer.
„Ewige“ Ausnahmen (waivers) ohne Ablaufdatum und Entschädigung.
Kein WORM/immutability - Kontroverse Beweise bei der Überprüfung.

16) Interaktionsreifemodell (M0-M4)

M0 Ad-hoc: Antworten im letzten Moment, Materialien sind verstreut.
M1 Verzeichnis: einheitliches Register der Anträge und Dokumente, grundlegende Kontrolle der Fristen.
M2 Managed: Vorlagen, KPI/KRI Dashboards, WORM Archiv, CAPA Tracker.
M3 Integriert: Verknüpfung mit CCM/RBA/Policy-as-Code, „audit pack“ per Button.
M4 Assured: Vorhersage von Anfragen, Besuchssimulationen, automatische Uploads und Verifizierung.

17) Verwandte Artikel wiki

Ausschuss für Risikomanagement und Compliance

Risikobasiertes Audit (RBA)

Kontinuierliche Compliance-Überwachung (CCM)

KPIs und Compliance-Kennzahlen

Lebenszyklus von Richtlinien und Verfahren

Automatisierung von Compliance und Reporting

Due Diligence und Outsourcing-Risiken

Summe

Starke Interaktionen mit Regulierungsbehörden und Wirtschaftsprüfern sind keine einmaligen „Briefe“, sondern ein End-to-End-Prozess: einheitliche Rollen und Kanäle, Bereitschaft „on the button“, Evidenzdisziplin und Messbarkeit des Fortschritts. Mit diesem Ansatz wird der Dialog vorhersehbar und die Kontrollen nachvollziehbar und überschaubar.