Internal Controls & Process Assurance

Das Internal Control System (im Folgenden auch Internes Kontrollsystem (IKS)) eines Unternehmens besteht aus systematisch gestalteten, technischen und organisatorischen Regelungen, Maßnahmen und Abläufen zur Überwachung und Steuerung wesentlicher Prozesskontrollen im Unternehmen. Das Kontrollsystem dient der Einhaltung von Richtlinien und der Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können.

Internal Control System in der Finanzberichterstattung

Die Notwendigkeit für die Implementierung und Aufrechterhaltung eines IKS resultiert aus diversen rechtlichen Anforderungen bspw. aus dem Aktiengesetz oder dem HGB. Wie ein IKS auszugestalten ist, leitet sich aus den bestehenden IDW-Prüfungsstandards ab, wie bspw. der IDW PS 982 und IDW PS 951. Als Grundlage eines IKS kommen häufig Kontrollmodelle wie z. B. COSO oder COBIT zum Einsatz.

In der Finanzberichterstattung und hier insbesondere in der Lageberichterstattung nehmen zahlreiche Standards Bezug auf Interne Kontrollsysteme. Diese können dabei von Land zu Land unterschiedlich sein. Am bekanntesten sind die Vorgaben nach dem Sarbanes Oxley Act (SOX). Je nach Land greifen verschiedene Regularien:

• USA: SEC-Regularien
• Deutschland: IDW Prüfungsstandards
• Schweiz: u. a. Bestimmungen des Aktienrechts
   

Die Komponenten des IDW PS 982 bilden die Grundlage für ein ganzheitliches internes Kontrollsystem:

Ihre Herausforderungen im Bereiche des Internal Control System

Unsere Leistungen im Bereich des Internal Control Systems sind für Sie insbesondere in folgenden Situationen relevant:

• Neugründung eines Unternehmens oder Unternehmensausgründung und der Bedarf ein Internes Kontrollsystem grundsätzlich aufzubauen
• Schnelles Unternehmenswachstum und damit auch zunehmende Risiken, dass auf Grund der Dynamik Kontrollen vernachlässigt werden
• Interne Erfordernisse für ein angemessenes IKS, z. B. Defizite in der Berichterstattung, Fraudfälle etc.
• Wachsender Druck von Stakeholdern angemessene interne Kontrollsysteme einzurichten
• Änderung der Rechtsform z.B. in eine AG oder der Gesellschafterstruktur (Einstieg von Private Equity Investoren, Börsengang)
• Börsennotierung in den USA oder Kauf Ihres Unternehmens durch ein in den USA SEC-gelistetes Unternehmen
• Fehlender Überblick über die Kontrollen im Bereich IKS, SOX und Compliance und deren Angemessenheit und Wirksamkeit
• Bekannt gewordene Defizite bei der Effizienz und Effektivität implementierter Kontrollen oder Maßnahmen
• Einführung eines IKS oder eines Compliance-Management-Systems und Notwendigkeit die Funktionsfähigkeit der Kontrollen zu überwachen und jederzeit sicherzustellen
• Fehlende Funktionstrennungen zur Vermeidung von Interessenskonflikten
• Aktualisierung der bestehenden IKS Dokumentation

Lösungsansätze für die Herausforderungen bei der Implementierung eines Internal Control System

Unsere Leistungen im Bereich Internes Kontrollsystem inkl. SOX umfassen insbesondere:

• Analyse Ihres bestehenden internen Kontrollsystems im Hinblick auf die verschiedenen Komponenten wie z. B. Kontrollumfeld, Organisation, Prozesse und Kontrollen auf Basis anerkannter Bewertungssystematiken
• Konzeption und Implementierung von Optimierungsmaßnahmen in Ihrem Internen Kontrollsystem und in Bezug auf individuelle Kontrollen bzw. SOX-Kontrollen
• Überprüfung der Angemessenheit und Wirksamkeit (Monitoring) Ihres Internen Kontrollsystems und insbesondere auch der (SOX-)Kontrollen (SOX Testing)
• Aufsetzen der Berichterstattung an Geschäftsleitung und Überwachungsorgane
• die Softwareauswahl und Begleitung der Implementierung von Tools zur Dokumentation und Testing der Kontrollen in Ihrem IKS bzw. SOX

Lösungsansätze für die Herausforderungen bei bestehenden Kontrollprozessen –  Control Testing

Wir unterstützen Sie auch Im Bereich Control Testing durch zusätzliche Ressourcen und unser Experten-Know-how:

• Analyse/Aufnahme der bestehenden Kontrollen in Ihren Strukturen, Prozessen und Systemen
• Angemessenheits- und Wirksamkeitsprüfungen Ihrer Kontrollen entweder im Rahmen der rechtlich vorgeschriebenen Self-Assessments Ihres internen Kontrollsystems (bspw. SOX-Testing) oder aber im Zuge von Zertifizierungsvorhaben wie ISAE 3402, Typ I oder Typ II sowie auf Basis des IDW PS 951
• Identifikation von Kontrollschwächen und Definition von Mitigationsmaßnahmen und Nachhalten der effektiven Umsetzung
• Berichterstattung an die Überwachungsorgane hinsichtlich Angemessenheit und Wirksamkeit Ihrer Kontrollen und Maßnahmen
• die Softwareauswahl und Begleitung der Implementierung von Tools zur Dokumentation und Testing der Kontrollen in Ihrem IKS, SOX oder Compliance Management System

Lösungsansätze für die Herausforderungen im Rahmen von IT General Controls

Wirksame allgemeine IT Kontrollen (IT General Controls oder ITGC) sind fundamentale Voraussetzung für alle IT basierten- und alle reinen IT-Prozesse. Auch wenn die ITGC die Finanzberichterstattung in der Regel nur mittelbar beeinflussen, nehmen sie eine zentrale Stellung ein. Sie sind für die technisch korrekte Umsetzung und Verfügbarkeit der im IKS relevanten Anwendungen sowie (teil-)automatisierten Kontrollen verantwortlich. Im Umkehrschluss bedeutet dies, dass nicht korrekt funktionierende IT-Kontrollen umfassenden Einfluss auf alle damit verbundenen Systeme und damit auch auf die darauf basierende Finanzberichterstattung haben.

Die ITGC betreffen grundsätzlich die Bereiche der Beschaffung, Entwicklung, Pflege von Systemen, Zugriffschutz und den operativen Betrieb. Dahingehen finden sich ITGC im Kontext von:

• Betriebssystemen
• Anwendungen
• Datenbanken
• Netzwerk

Typische Bereiche für allgemeine IT Kontrollen (ITGC) sind:

• Benutzerberechtigungskonzepte

  • Benutzerberechtigungsverwaltung

  • Funktionstrennung von unvereinbaren Funktionen
     

• Zugriffschutzverfahren

  • Allgemeine Systemsicherheits- und Passworteinstellungen
  • Logische Zugangskontrollen für Infrastruktur, Anwendungen und Daten
  • Kontrolle der physischen Sicherheit der Daten und Programme
     

• Program-Change-Management Verfahren

  • Kontrolle des Lebenszyklus der Systementwicklung
  • Kontrollen für die Verwaltung von Programmänderungen (Autorisierung, Test, Freigabe)
     

• Verfahren im Rahmen von operativen IT Prozessen

  • Datensicherung und Wiederherstellung von (Finanz-)Daten inkl. Disaster Recovery
  • Kontrollen zur Sicherung von IT System-Schnittstellen
  • Planmäßige Programmverarbeitung (Scheduling)
  • Überwachung und Handhabung von Problemen und Vorfällen
     

Unterstützung bei der Einführung, Optimierung und Überwachung von ITGCs

Unsere Leistungen im Bereich IT General Controls umfassen insbesondere:

• Konzeption und Implementierung von ITGCs in Zusammenarbeit mit Ihrer IT Abteilung und Ihrem IT Service Provider (Stichwort SOK-Reports oder ISAE 3402-Reports)
• Analyse Ihrer bestehenden IT General Controls im Hinblick auf die verschiedenen Komponenten, z. B. Kontrollumfeld, Organisation, Prozesse und Kontrollen auf Basis anerkannter Bewertungssystematiken
• Konzeption und Implementierung von Optimierungsmaßnahmen in Bezug ITGC
• Überprüfung der Angemessenheit und Wirksamkeit (Monitoring) der bestehenden ITGC

Lösungsansätze für die Herausforderungen zur Sicherstellung von Funktionstrennungen (Segregation of Duties)

Unter Funktionstrennung (englisch: Segregation of Duties, SoD) versteht man in der funktionalen Organisation die organisatorische Trennung zwischen Organisationseinheiten oder Positionen im Geschäftsprozess zur Vermeidung von möglichen Interessenkollisionen. Das Vier-Augen-Prinzip ist das wohl bekannteste Prinzip der Funktionstrennung. Es soll verhindern, dass wichtige Entscheidungen von einer einzelnen Person getroffen oder kritische Tätigkeiten nicht nur von einer einzelnen Person durchgeführt werden. Weitere funktionale Trennungen gibt es zwischen Frontoffice und Backoffice bei Kreditinstituten oder zwischen Datenerfassung und Datenfreigabe im Rahmen von IT-Systemen wie beispielsweise SAP. 

Insbesondere bei Kreditinstituten und bei Kapitalverwaltungsgesellschaften ist die Funktionstrennung gesetzlich vorgeschrieben. Bei Kreditinstituten muss eine Trennung zwischen Markt und Marktfolge durchgeführt werden (§ 25a Abs. 1 KWG gemäß BTO 1.1 Tz. 1 MaRisk). Auch Kapitalverwaltungsgesellschaften haben nach § 29 Abs. 1 KAGB eine Funktion zum dauerhaften Risikocontrolling einzurichten und aufrechtzuerhalten, die von den operativen Bereichen hierarchisch und funktionell unabhängig ist.

Ihre Herausforderungen bei der Trennung von Funktionen im Unternehmen

Unsere Leistungen im Bereich Funktionstrennung (Segregation of Duties) sind für Sie insbesondere in folgenden Situationen relevant:

• Fehlender Überblick und/oder Dokumentation über die vorhandenen Strukturen, Prozesse und Systeme im Hinblick auf eine angemessene Funktionstrennung
• Bekannt gewordene Verstöße gegen das Prinzip der Funktionstrennung
• Festgestellte oder bekannte Mängel in Berechtigungskonzepten

Unterstützung bei der Einführung von Funktionstrennungen

Unsere Leistungen im Bereich Funktionstrennung (Segregation of Duties) umfassen insbesondere:

• Analyse, Aufnahme und Dokumentation der Strukturen, Prozesse und Systeme mit Relevanz für die Funktionstrennung
• Ableitung, Konzeption und Umsetzung von Optimierungspotentialen im Bereich der Funktionstrennung
• Analyse und Dokumentation der Situation sowie der Sachverhalte bei bekannt gewordenen Verstößen gegen das Prinzip der Funktionstrennung und Aufzeigen der möglichen Konsequenzen
   

Bei Interesse und für Fragen stehen wir Ihnen gerne zur Verfügung.