Startseite > Kompetenz > Prüfung von Governance, Risk, Compliance und IT

Prüfung von Governance, Risk, Compliance und IT

So vielfältig wie die Geschäftsmodelle und deren Chancen sind auch die Risiken. Ein Corporate Governance System beschreibt dazu die jeweiligen unternehmerischen „Risiko-Verteidigungslinien“ zur Sicherstellung von „guter Unternehmensführung und -überwachung“. Die dazu in den Bereichen Risikomanagement und Compliance bestehenden Anforderungen sind in den letzten Jahren derart gestiegen, dass sie ohne einen strukturierten und kostenintensiven Prozess nicht mehr effektiv und rechtssicher erfüllt werden können.

Um einen methodisch sauberen und dabei aber trotzdem pragmatisch handhabbaren Umgang mit diesen Bereichen abzusichern, sollte jedes Unternehmen „seine“ Risiken genau kennen und geeignete Antworten auf diese definieren.

Unsere Beurteilung der Leistungsfähigkeit des Risikomanagements ist dabei stets mit dem Aufzeigen von Verbesserungspotenzialen verbunden. Unser Basisansatz sieht einander ergänzende Phasen vor:

  • Konzeptionsprüfung
  • Angemessenheitsprüfung
  • Wirksamkeitsprüfung

Auch wenn Überwachungsfunktionen nicht an Dritte delegierbar sind, kann es für den Aufsichtsrat oder den Vorstand von Interesse sein, einen Wirtschaftsprüfer mit der Prüfung einzelner oder mehrerer Corporate Governance Systeme als Grundlage für die eigene Beurteilung zu beauftragen. Eine solche Prüfung der Wirksamkeit dieser Systeme durch einen unabhängigen Wirtschaftsprüfer kann dem objektivierten Nachweis der ermessensfehlerfreien Ausübung der Organisations- und Sorgfaltspflichten des Vorstands und des Aufsichtsrats dienen. In der Praxis ist insbesondere die Prüfung jenes Teils des unternehmensweiten Risikomanagements, der sich mit den strategischen Risiken und den operativen Risiken aus der Geschäftstätigkeit (Risiken aus den Leistungserstellungsprozessen) befasst, relevant.

Unsere Prüfung umfasst sämtliche Grundelemente eines Risikomanagementsystems. Ziel unserer Systemprüfung ist die Beurteilung, inwieweit das Unternehmen durch Einrichtung eines RMS Vorsorge getroffen hat, wesentliche Risiken, die dem Erreichen der festgelegten Ziele des RMS entgegenstehen, rechtzeitig zu identifizieren, zu bewerten, zu steuern und zu überwachen.

Zur Vermeidung von Haftungsrisiken/Reputationsschäden sind gesetzliche Vertreter auf ein wirksames Compliancemanagementsystem angewiesen. Als Teilbereich des unternehmensweiten Risikomanagements ist es auf die Einhaltung von Regeln im Unternehmen ausgerichtet. Sich verschärfende Anforderungen bei der Einhaltung regulatorischer Vorgaben lassen die Notwendigkeit eines effektiven Systems in den Fokus der Unternehmensverantwortlichen treten.

Vielfach ist es den Verantwortlichen nicht ohne weiteres möglich, sich ein umfassendes Bild über vorhandene Regelungen und die Wirksamkeit ihres CMS zu machen. Die Beurteilung durch eureos als unabhängigen Prüfer gibt Ihnen einen objektiven Überblick über vorhandene Bestandteile des CMS. Der Prüfungsstandard IDW PS 980 sieht allgemeingültige Richtlinien für derartige Prüfungen vor und bietet uns Hilfestellung bei der Entwicklung, Bewertung und Verbesserung Ihres Systems.

Auch Unternehmen mit überschaubaren Strukturen und Prozessabläufen sind auf ein internes Kontrollsystem angewiesen. Je nach Unternehmensgröße reicht dessen Über- wachung von einer verstärkten Kontrolltätigkeit der Geschäftsführung bis zu einer organisatorisch eigenständigen Revisionsabteilung.

Eine Prüfung durch Wirtschaftsprüfer dient dem objektivierten Nachweis der ermessensfehlerfreien Ausübung der Organisations- und Sorgfaltspflichten von Geschäftsführungs- und Aufsichtsorganen. Bei einer Prüfung beurteilen wir die Angemessenheit und Funktionstüchtigkeit des jeweiligen Revisionssystems.

Wir berücksichtigen bei unserer Prüfung die Internationalen Grundlagen für die berufliche Praxis der Internen Revision (IPPF) und nutzen dazu den IDW PS 982. So können wir beurteilen, inwieweit Prüfungs- und Beratungsdienstleistungen durch die Interne Revision in Übereinstimmung mit den verbindlichen Elementen des IPPF erfolgen. Bei eingeschränkter Interner Revision unterstützen wir Sie auch bei der Durchführung von Einzelprüfungen. Die Durchführung von Interner Revision und Jahresabschlussprüfung durch eureos bei einem Unternehmen schließen sich jedoch aus.

Die Prüfung der Ordnungsmäßigkeit der IT stellt einen Teilausschnitt aus der Prüfung des internen Kontrollsystems dar und wird nach den allgemeinen Grundsätzen für die Prüfung von internen Kontrollsystemen geplant und durchgeführt. Im Rahmen der Prüfung führen wir auf Basis einer Systemaufnahme Aufbau- und Funktionsprüfungen durch.

crg-2

Besonderheiten ergeben sich für den öffentlichen Bereich. So wird für die Landesverwaltungen regelmäßig die Beachtung der Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vorgegeben. Für den Freistaat Sachsen wird dies beispielsweise in Tz. 2.1.2 der VwV Informationssicherheit vorgeschrieben und eine Anwendung für Unternehmen der öffentlichen Hand empfohlen. Aspekte dabei bilden zum Beispiel:

  • zu weit gefasste Benutzerrechte
  • Angriffe von außen
  • Verletzungen personenbezogener Daten
  • Aktivitäten nicht nachvollziehbar
  • Fehlerhaft arbeitende Schnittstellen
  • Fehler bei der Anwendungsentwicklung

Zum Leistungsspektrum von eureos gehört auch die Durchführung von IT-Systemprüfungen über den im Rahmen der Abschlussprüfung notwendigen Umfang hinaus.

Beschaffungsprozesse sind komplex sowie arbeitsintensiv und damit fehleranfällig. Gleichzeitig verbinden sie sich mit hohen Datenvolumina.

Wir nutzen diese Datenmengen für zielgerichtete Massendatenanalysen. Dazu analysieren wir die Teilprozesse nach Auffälligkeiten unter Nutzung folgender Aspekte:

crg-3

Unsere Analyse sichert die nachhaltige Reduktion von Beschaffungskosten durch Identifizierung von Überzahlungen sowie nicht optimalem Zahlungsverhalten und erhöhte Kontrollsicherheit im Zuge der Behebung aufgezeigter Schwachstellen.

Dabei kann unsere Risikoanalyse insbesondere die folgenden Themengebiete betreffen:

  • Kreditorenstammdaten
  • CpD-Konten
  • Eingangsrechnungen ohne Bestellungen
  • Doppelzahlungen