Download PDF (2629 kb) - RBS RoeverBroennerSusat
Download PDF (2629 kb) - RBS RoeverBroennerSusat
Download PDF (2629 kb) - RBS RoeverBroennerSusat
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
IT and<br />
Process<br />
assurance<br />
sIcherheIT.<br />
effIzIenz.<br />
MehrwerT.<br />
Wirtschaftsprüfung<br />
Steuerberatung<br />
Rechtsberatung<br />
Corporate Finance &<br />
Consulting
IT and<br />
Process<br />
assurance<br />
sIcherheIT.<br />
effIzIenz.<br />
MehrwerT.<br />
Eine starke Partnerschaft<br />
Ihr Experte für die Sicherheit von Prozessen und IT<br />
IT and Process Assurance<br />
IT-Revision<br />
Compliance<br />
Interne Revision<br />
Internationales Netzwerk<br />
Ansprechpartner<br />
Standorte<br />
4<br />
5<br />
6<br />
8<br />
12<br />
16<br />
21<br />
22<br />
23<br />
rBs roeverBroennersusat 3
4 rBs roeverBroennersusat<br />
EINE STARKE<br />
PARTNERSCHAFT<br />
<strong>RBS</strong> <strong>RoeverBroennerSusat</strong> gehört zu den führenden unabhängigen mittelständischen<br />
Wirtschaftsprüfungs- und Beratungsgesellschaften Deutschlands. Zur<br />
<strong>RBS</strong>-Gruppe gehört mit der <strong>RBS</strong> <strong>RoeverBroennerSusat</strong> Rechtsanwaltsgesellschaft<br />
mbH eine führende mittelständische Wirtschaftskanzlei.<br />
An zehn Standorten betreuen wir mit 47 Partnern und rund 650 Mitarbeitern (davon<br />
mehr als 200 Berufsträger) Mandanten in den Bereichen Wirtschaftsprüfung,<br />
Steuer beratung, Rechtsberatung und Corporate Finance & Consulting. Neben einer<br />
starken regionalen Präsenz bieten wir unseren Mandanten über unser internationales<br />
Netzwerk Moore Stephens weltweite Prüfungs- und Beratungsdienstleistungen.<br />
In mehr als neun Jahrzehnten sind wir gemeinsam mit vielen unserer Mandanten<br />
kontinuierlich gewachsen. Die lang fris tigen Mandantenbeziehungen gründen vor<br />
allem auf der verlässlichen Qualität unserer Arbeit und dem hohen Niveau unserer<br />
Beratungsleistung.<br />
Wir sind ein mittelständisches Wirtschaftsprüfungs- und Beratungsunternehmen mit<br />
einer partnerschaftlichen Struktur. Wir kennen den Mittelstand, seine Sichtweise und<br />
seine speziellen Belange. Die Nähe zum Mandanten ist ein wichtiger Grundpfeiler<br />
unseres Tagesgeschäfts. Unser Ziel ist es, unseren Mandanten Experten mit Praxiserfahrung<br />
an die Seite zu stellen, die sie bei allen Fragen und Problemstellungen<br />
begleiten und die schnell und zuverlässig Lösungen entwickeln. Das gewährleistet<br />
eine individuelle Betreuung, kurze Wege und maßgeschneiderte Empfehlungen.<br />
Unsere Mitarbeiter sind hoch qualifizierte Spezialisten. Sie bilden die Grundlage<br />
unseres Erfolges. Vorhandene Fähigkeiten und Kenntnisse bauen wir aus und unterstützen<br />
jeden Einzelnen in seiner beruflichen Entwicklung. Unsere Unternehmenskultur<br />
ist gekennzeichnet von einer Atmosphäre der Nähe und Rücksichtnahme<br />
sowie von einer vertrauensvollen und transparenten Zusammenarbeit.<br />
Wir setzen auf ein gesundes Wachstum. Es ist unser Ziel, durch unsere Expertise,<br />
unsere Erfahrung und unsere unbe dingte persönliche Leistungsbereitschaft und<br />
Professio nalität die bestehenden hohen Qualitätsstandards zu halten und die<br />
Erwartungen unserer Mandanten immer wieder aufs Neue zu übertreffen.
IHR ExPERTE FüR DIE<br />
SICHERHEIT VON<br />
PROZESSEN UND IT<br />
Kaum ein Unternehmensbereich ist derartigen Veränderungen ausgesetzt wie die<br />
IT. Ein eindeutiges Zeichen dafür ist die massive Verbreitung des sogenannten<br />
Cloud Computing.<br />
Die gesamte IT unterliegt der Compliance. Dieser Begriff beinhaltet branchenspezifische<br />
und lokale Anforderungen an die Ordnungsmäßigkeit und Sicherheit.<br />
Daraus ergibt sich ein zunehmender Handlungsbedarf für die Steuerung und das<br />
Management von Geschäftsprozessen.<br />
Von den Mindestanforderungen an das Risikomanagement (MaRisk) im Umfeld<br />
von Finanzdienstleistungsunternehmen über die Grundsätze zum Datenzugriff bis<br />
hin zur Prüfbarkeit digitaler Unterlagen (GDPdU):<br />
rBs roeverBroennersusat bietet Ihnen<br />
ein breites spektrum an Prüfungs- und<br />
Beratungsleistungen in den Bereichen ITrevision,<br />
compliance und Interne revision.<br />
rBs roeverBroennersusat 5
6 rBs roeverBroennersusat<br />
IT AND PROCESS<br />
ASSURANCE<br />
<strong>RBS</strong> <strong>RoeverBroennerSusat</strong> verfügt über Experten-Know-how für sämtliche<br />
Fragestellungen im Bereich der Ordnungsmäßigkeit und Sicherheit von Geschäftsprozessen<br />
und IT-Umgebungen. Das IT and Process Assurance Team besteht aus<br />
erfahrenen Spezialisten, die umfangreiche Kenntnisse auf den Gebieten der Informationstechnologie<br />
und der internen Kontrollsysteme aufweisen. Außerdem sind wir<br />
in Gremien des Instituts der Wirtschaftsprüfer e. V. (IDW), des Berufsverbandes der<br />
IT-Revisoren (ISACA) und des Deutschen Instituts für Interne Revision e. V. (DIIR)<br />
vertreten, die sich mit berufsständischen Verlautbarungen befassen.<br />
IT and Process Assurance betreut sowohl kapitalmarktorientierte Unternehmen und<br />
Tochtergesellschaften internationaler Konzerne als auch nicht kapitalmarktorientierte<br />
mittelständische Gesellschaften. Aus der Vielfältigkeit der Aufgaben heraus<br />
entwickelten sich sowohl eine tiefgreifende praktische Fachkompetenz als auch eine<br />
routinierte Anwendungserfahrung.<br />
Unser Tätigkeitsfeld lässt sich in drei Bereiche untergliedern:<br />
IT-revision compliance Interne revision<br />
System- und<br />
Verfahrensprüfungen<br />
Prüfung der Kontrollen<br />
im Zusammenhang<br />
mit IT-Anwendungen<br />
Prüfung anwendungsunabhängigerKontrollen<br />
der IT-Prozesse<br />
Projektbegleitende<br />
Prüfungen<br />
Sonderprüfungen<br />
Datenanalyse und<br />
Datenprüfung<br />
SAP Quick Check<br />
Zertifizierung<br />
IKS-Beratung<br />
Datenschutz<br />
Informationssicherheitsmanagement<br />
IT-Risikomanagement<br />
Prüfung von<br />
Geschäftsprozessen<br />
Risikomanagement<br />
Unterschlagungs-<br />
prüfung und<br />
-prophylaxe<br />
Qualitätsprüfung der<br />
Internen Revision
ein individueller ansprechpartner sorgt für<br />
kompetente Beratung und kann bei Bedarf auf<br />
das Know-how von spezialisten zurückgreifen.<br />
Viele unserer Prüfungs- und Beratungsprojekte verlangen eine interdisziplinäre<br />
Zusammenarbeit mit Fachleuten auf verschiedenen Themengebieten. So wird<br />
beispielsweise für die korrekte Bewertung von aktivierten Eigenleistungen – u. a.<br />
Softwareprojekte – die Expertise für Bewertungsfragen aus dem Bereich Corporate<br />
Finance benötigt. Während die Identifikation von steuerrelevanten Dokumenten und<br />
Daten ausgeprägte steuerliche Kenntnisse verlangt.<br />
Dank dem breiten Dienstleistungs- und Beratungsspektrum bei<br />
<strong>RBS</strong> <strong>RoeverBroennerSusat</strong> können wir diese unterschiedlichen Wissensfelder<br />
im Sinne des Mandanten bündeln und so Beratung aus einer Hand anbieten.<br />
Prüfung<br />
Steuern<br />
Versicherungsmathematik<br />
IT and Process<br />
assurance<br />
Internationale<br />
Rechnungslegungsgruppe<br />
Corporate<br />
Finance &<br />
Consulting<br />
rBs roeverBroennersusat 7
8 rBs roeverBroennersusat<br />
IT-REVISION<br />
System- und Verfahrensprüfungen<br />
<strong>RBS</strong> <strong>RoeverBroennerSusat</strong> übernimmt die Durchführung von risikoorientierten<br />
Prüfungen der Ordnungsmäßigkeit von IT-Verfahren. Dabei richten wir uns insbesondere<br />
nach den Prüfungsstandards des Instituts der Wirtschaftsprüfer und<br />
nach den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme<br />
(GoBS). Ziel der Prüfungen sind die Feststellung und Bewertung von Kontroll-<br />
und Sicherheitsrisiken in den IT-Systemen.<br />
Die Untersuchungen beziehen sich sowohl auf spezifische Anwendungsbereiche<br />
(z. B. Warenwirtschaftssystem und Finanzbuchhaltungssoftware) als auch<br />
auf die anwendungsunabhängigen Kontrollen der zugrunde liegenden Systeme<br />
(Hardware, Systemsoftware, Netzwerk).<br />
Prüfung der Kontrollen im Zusammenhang<br />
mit IT-Anwendungen<br />
Hier stehen die Anwendungssysteme des Unternehmens selbst auf dem<br />
Prüfstand. Das Spektrum der von uns untersuchten Systeme reicht von der<br />
PC-Einzelplatzlösung einer Standard-Finanzbuchhaltung bis hin zu integrierten<br />
betriebswirtschaftlichen Systemen (ERP-Systemen) mit mehreren tausend<br />
Benutzern.<br />
Ziel der Prüfung ist die Beurteilung der Richtigkeit, Vollständigkeit und Nachvollziehbarkeit<br />
der Abwicklung von Geschäftsvorfällen durch die Systeme. Dabei<br />
unterscheiden wir folgende Bereiche:<br />
Prüfung des Belegflusses<br />
Prüfung der Verarbeitungsregeln<br />
Prüfung der Datenübernahme/Schnittstellen aus und zu anderen Systemen<br />
Prüfung der Aufzeichnung der Geschäftsvorfälle/Belege<br />
Prüfung der Einhaltung von Beleg-, Journal- und Kontenfunktion<br />
Prüfung der Ordnungsmäßigkeit der Verfahrensdokumentation
Prüfung anwendungsunabhängiger Kontrollen<br />
der IT-Prozesse<br />
Das Team von <strong>RBS</strong> <strong>RoeverBroennerSusat</strong> analysiert das IT-Umfeld, die IT-Organisation<br />
und die IT-Infrastruktur, die den Geschäftsprozessen in den Fachabteilungen<br />
zugrunde liegen. Ziel der Prüfung ist die Feststellung von Risiken der Informationsverarbeitung<br />
in den folgenden Prüfungsfeldern:<br />
Aufbauorganisation<br />
Logische Zugriffskontrollen<br />
Datensicherungs- und Datenauslagerungsverfahren<br />
- Sicherung der Betriebsbereitschaft<br />
- Physische Sicherungsmaßnahmen<br />
Maßnahmen für den IT-Regelbetrieb und IT-Notbetrieb<br />
Systementwicklung und -pflege<br />
Netzwerke/Telekommunikation<br />
Rechenzentrumsbetrieb<br />
Individuelle Datenverarbeitung („End-User-Computing“)<br />
Abhängigkeiten von internen und externen IT-Spezialisten<br />
Outsourcing<br />
Projektbegleitende Prüfungen<br />
Komplexe Projekte stellen oftmals ein erhebliches Risiko für ein Unternehmen dar.<br />
Unzureichende Erfahrungen in der Projektorganisation sowie enge Zeit-, Ressourcen-<br />
und Kostenrestriktionen verstärken dieses Risiko.<br />
Die Einhaltung der Ordnungsmäßigkeits-Kriterien bei der Entwicklung von komplexen<br />
betrieblichen Software-Anwendungen sollte sichergestellt sein. Darüber hinaus begutachten<br />
wir die Implementierung und Anpassung von Standardsoftware.<br />
Es ist empfehlenswert, das Urteil des Prüfers bereits im Stadium der Planung und<br />
Entwicklung bzw. im Vorfeld einer Änderung oder Erweiterung komplexer Systeme<br />
einzuholen. Denn notwendige Fehlerkorrekturen und Anpassungen im Nachhinein<br />
sind oftmals mit großem Aufwand verbunden.<br />
Ziel der projektbegleitenden Prüfung ist es, den Projekterfolg durch kompetentes<br />
unterstützendes Handeln sicherzustellen.<br />
Daraus ergeben sich folgende Teilziele:<br />
Einsatz von geeigneten Projektmanagement-, Controlling- und<br />
Qualitätssicherungsmaßnahmen<br />
Sicherstellung der Beweiskraft der Buchführung<br />
Erfüllung der Dokumentations- und Aufbewahrungspflichten<br />
Gestaltung wirksamer interner Kontrollverfahren<br />
Zusätzlich zu Aussagen über die Ordnungsmäßigkeit des IT-Systems können unsere<br />
Experten wesentliche Feststellungen zur Wirtschaftlichkeit und zur sachgerechten<br />
Umsetzung von Anforderungen an das IT-System treffen.<br />
rBs roeverBroennersusat 9
10 rBs roeverBroennersusat<br />
Sonderprüfungen<br />
Im Rahmen unserer Prüfungstätigkeit verfolgen wir auch spezielle Prüfungsziele.<br />
Hierzu gehören z. B.:<br />
Prüfungen zur Erstellung von Softwarebescheinigungen<br />
(Softwaretestate/Zertifizierungen)<br />
Prüfung von Risikomanagement- und Risikofrühwarnsystemen<br />
Prüfung von Compliance-Managementsystemen<br />
Prüfung von Dokumentenmanagement- und Archivierungssystemen<br />
Prüfung auf gesetzliche Anforderungen der Finanzverwaltung<br />
(u. a. GDPdU- und E-Bilanzkonformität)<br />
Datenanalyse und Datenprüfung<br />
Die Analyse von großen Datenbeständen aus operativen Systemen ist ein geeignetes<br />
Mittel, um historisch gewachsene, unübersichtliche Datenbestände transparent<br />
darzustellen und zu prüfen. Zusätzlich kann auf effiziente und kostengünstige Weise<br />
ein leistungsfähiges Data-Warehouse bzw. Bereichscontrolling aufgebaut werden.<br />
Beispiele für den erfolgreichen Einsatz von Werkzeugen und Methoden der Datenprüfung:<br />
Ermittlung von Kennzahlen in datenintensiven Bereichen, z. B. Vertrieb,<br />
Materialwirtschaft, Kostenrechnung<br />
überprüfung von Integrität, Konsistenz und inhaltlicher Qualität von operativen<br />
Stammdaten<br />
überprüfung der Richtigkeit und Vollständigkeit von Verfahrensabläufen<br />
Computer Assisted Auditing Techniques (CAAT)<br />
Aufbau von Systemen zur Unternehmensüberwachung (Monitoring-Systeme)<br />
Unterschlagungsprüfung<br />
Wesentliche Schritte bei der Einführung und Umsetzung von Datenprüfungskonzepten:<br />
Grundkonzeption und Festlegung der Prüfungsziele<br />
Auswahl geeigneter Methoden und Softwarewerkzeuge<br />
Basisschulungen für ausgewählte Mitarbeiter<br />
Feinkonzeption und Festlegung der relevanten Datenstrukturen<br />
Erstellung unternehmensspezifischer Prüfungsabläufe<br />
Fallbezogene Schulungen anhand spezifischer Datenstrukturen und Abläufe<br />
Bei jedem dieser Schritte können wir Sie dabei unterstützen, selbst Datenprüfungen<br />
mit höchster Effizienz einzusetzen. Des Weiteren können wir auf der Grundlage der<br />
Analyse von Daten, Prozessen und Strukturen wertvolle Hinweise für die Vorbereitung<br />
auf steuerliche Außenprüfungen geben. Ein Beispiel für so eine steuerliche<br />
Außenprüfung ist der sogenannte „GDPdU-Check“ („Grundsätze zum Datenzugriff<br />
und zur Prüfbarkeit digitaler Unterlagen“).
SAP Quick Check<br />
Häufig ist ein SAP-System das zentrale Datenverarbeitungssystem für das Rechnungswesen.<br />
Aufgrund des hohen Integrationsgrades der Geschäftsprozesse ist<br />
man sehr abhängig von der Verfügbarkeit der Systeme und der Qualität der zu<br />
verarbeitenden Daten. Daraus ergeben sich zusätzliche Anforderungen an die<br />
Ordnungsmäßigkeit der Datenverarbeitung und das IT-Risikomanagement.<br />
<strong>RBS</strong> <strong>RoeverBroennerSusat</strong> unterstützt Unternehmen bei der Prüfung des ordnungsmäßigen<br />
Einsatzes von SAP-Systemen. Dafür sind besonders folgende Bereiche<br />
von entscheidender Bedeutung:<br />
IT-sicherheit (generelle Kontrollen in der anwendung)<br />
Sicherheitsmaßnahmen, die z. B. nicht autorisierte Zugriffe auf das System oder<br />
„elektronisches Radieren“ weitgehend ausschließen<br />
Internes Kontrollsystem der haupt- und nebenbücher (IKs)<br />
Kontrollen im buchhalterischen Verfahren, die – wie in den Prüfleitfäden der<br />
SAP AG beschrieben – die Grundvoraussetzung für einen ordnungsmäßigen<br />
Einsatz liefern, z. B. die regelmäßige Kontrolle auf Verbuchungsabbrüche<br />
Unser SAP Quick Check untersucht Bestands- und Bewegungsdaten aus folgenden<br />
Bereichen:<br />
SAP-Basis und -Benutzerverwaltung<br />
Hauptbuchhaltung<br />
Kreditorenbuchhaltung<br />
Debitorenbuchhaltung<br />
Anlagenbuchhaltung<br />
Materialwirtschaft<br />
Benutzerberechtigungen (optional)<br />
Funktionstrennungskonflikte (optional)<br />
Darüber hinaus ergeben sich Hinweise auf mögliche Manipulationen am System<br />
(Fraud), signifikante Eingabe- und Verarbeitungsfehler (Error) sowie Inkonsistenzen.<br />
rBs roeverBroennersusat 11
12 rBs roeverBroennersusat<br />
COMPLIANCE<br />
Zertifizierungen<br />
Die Einhaltung von Standards und die Nutzung von Frameworks können helfen,<br />
die Komplexität im Bereich der IT zu kontrollieren und eine passende IT-Strategie<br />
zu entwickeln. Es gibt bereits diverse Standards in der IT zur Absicherung eines<br />
Unternehmens, zur Aufrechterhaltung eines sicheren Geschäftsbetriebs und zur Einhaltung<br />
von rechtlichen Vorschriften (z. B. HGB und AO). Darüber hinaus unterstützt<br />
<strong>RBS</strong> <strong>RoeverBroennerSusat</strong> Unternehmen bei der Erfüllung von Anforderungen der<br />
Finanzverwaltung (z. B. GoBS und GDPdU), von aufsichtsrechtlichen Anforderungen<br />
(z. B. MaRisk und MaComp) und von betriebswirtschaftlichen Anforderungen (z. B.<br />
Effektivität und Wirtschaftlichkeit).<br />
Gerne beraten wir Sie auch bei der Auswahl und Implementierung der geeigneten<br />
Standards und der Einhaltung von Vorschriften:<br />
Entscheidung für geeignete Teilaspekte der Frameworks und Umsetzung<br />
nützlicher Maßnahmen<br />
Prüfung auf Einhaltung von Standards bzw. auf die Erreichung von Ziel-<br />
vorgaben (Qualität, Sicherheit, Ordnungsmäßigkeit etc.)<br />
Zertifizierung von Softwarelösungen nach dem Prüfungsstandard IDW PS 880<br />
(„Die Prüfung von Softwareprodukten“)<br />
Zertifizierung von ausgelagerten Dienstleistungen nach dem Prüfungsstandard<br />
IDW PS 951 („Die Prüfung des Internen Kontrollsystems beim Dienstleistungs-<br />
unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen“),<br />
ggf. als Doppelzertifizierung mit dem internationalen Standard ISAE 3402<br />
(„Assurance Reports on Controls at a Service Organization“)<br />
IT-Sicherheitszertifizierungen (DIN ISO/IEC 27001 und IT-Grundschutz nach BSI)<br />
Bescheinigung von Compliance-Managementsystemen gemäß IDW PS 980<br />
(„Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“)<br />
IKS-Beratung<br />
Zahlreiche nationale und internationale Vorschriften verlangen von Unternehmen die<br />
Einrichtung eines angemessenen und wirksamen Internen Kontrollsystems (IKS). Beispiele<br />
für derartige Vorschriften sind der § 91 Abs. 2 Aktiengesetz oder Section 404 des<br />
US-amerikanischen Sarbanes-Oxley Act (SOx).
den Bereichen IT-revision,<br />
zertifizierung und compliance<br />
liegen in der regel sehr formale<br />
gesetzliche und aufsichtsrechtliche<br />
anforderungen zugrunde. diese sind<br />
zudem häufig wenig detailliert und<br />
lediglich als formalziele formuliert.<br />
erfolgreiche unternehmen zeichnen<br />
sich durch eine der unternehmensgröße<br />
und der Branche angepasste umsetzung<br />
dieser anforderungen aus.<br />
unsere bewährten Vorgehensmodelle<br />
tragen dem rechnung. umfangreiche<br />
erfahrungen in unternehmen jeder<br />
Größe ermöglichen die realisierung<br />
pragmatischer Lösungen und die<br />
erreichung eines Mehrwerts („added<br />
Value“) im rahmen unserer Prüfungs-<br />
und Beratungstätigkeiten.<br />
Ralph Krüger, Senior Manager<br />
CISA<br />
Berlin<br />
rBs roeverBroennersusat 13
14 rBs roeverBroennersusat<br />
Ein solches IKS umfasst alle internen Kontrollen, die mit der Rechnungslegung in<br />
Verbindung stehen. Zum einen IT-gestützte Kontrollen wie z. B. Eingabekontrollen<br />
und Funktionstrennung im Berechtigungskonzept oder Zugriffsschutz und Netzwerksicherheit.<br />
Zum anderen auch manuelle oder organisatorische Kontrollen, die<br />
im Prozessablauf oder prozessunabhängig eingerichtet sind.<br />
Wir unterstützen Sie in allen IKS-relevanten Fragen:<br />
Auswahl und Beurteilung eines Regelwerks für das IKS (z. B. COBIT/COSO)<br />
Identifizierung der relevanten Prozesse, Anwendungen und Infrastruktur<br />
Risikoanalyse und Dokumentation der internen Kontrollen<br />
überprüfung und überwachung der Effektivität und Funktionsweise der internen<br />
Kontrollen<br />
Datenschutz<br />
Das Thema Datenschutz hat durch zahlreiche, publik gewordene Pflichtverletzungen<br />
namhafter Unternehmen an öffentlicher Wahrnehmung gewonnen. Neben den<br />
drohenden Bußgeldern stellen der Imageschaden, der Vertrauensverlust sowie<br />
mögliche zivilrechtliche Haftungsklagen schwer kalkulierbare Risiken dar. Daher<br />
ist es erforderlich, dass Compliance-Managementsysteme alle relevanten gesetzlichen<br />
Datenschutzregelungen angemessen berücksichtigen, auch wenn diese der<br />
Effektivität interner Prozessabläufe oftmals entgegenstehen.<br />
<strong>RBS</strong> <strong>RoeverBroennerSusat</strong> unterstützt Sie hierbei u. a. bei folgenden Themen:<br />
Aufnahme und Analyse der datenschutzrelevanten Verfahren und Systeme im<br />
Hinblick auf die Einhaltung der gesetzlichen Rahmenbedingungen (z. B. durch<br />
Datenschutz-Audits)<br />
Bestimmung des Umfangs personenbezogener und weiterer schützenswerter Daten<br />
Beurteilung vorhandener technischer und organisatorischer Maßnahmen<br />
(sog. „TOMs“) zum Datenschutz und Benennung von Verbesserungserfordernissen<br />
Erstellung von internen und öffentlichen Verfahrensverzeichnissen<br />
Erstellung von Arbeitsanweisungen, Richtlinien und Handbüchern<br />
Prüfung und Erstellung von gesetzeskonformen Vertragsvereinbarungen zur<br />
Auftragsdatenverarbeitung (§ 11 BDSG)<br />
Bereitstellung externer betrieblicher Datenschutzbeauftragter<br />
Schulung und Sensibilisierung von Mitarbeitern<br />
Datenschutzrechtliche Analyse von Webauftritten/Internetseiten<br />
Unterstützung bei aktuellen Fragen zum Datenschutz<br />
Beratung im Zusammenhang mit Datentransfers ins inner- und außereuropäi-<br />
sche Ausland (z. B. im Zusammenhang mit der Nutzung von Cloud-Systemen)<br />
Informationssicherheits-Management<br />
Regelmäßig berichten Medien über Fälle des Datenmissbrauchs oder -diebstahls.<br />
Sicherheitslücken in komplexen IT-Umgebungen, mit zum Teil hochsensiblen<br />
Daten, können zu erheblichen datenschutzrechtlichen Problemen, finanziellen<br />
Verlusten und Imageschäden führen.
Die Ursachen für Datenmissbrauch oder -diebstahl sind vielfältig. Im zunehmenden<br />
Maße sind davon mittelständische Unternehmen betroffen. Hier fehlt oft das<br />
entsprechende Know-how, um angemessene Gegenmaßnahmen zu ergreifen.<br />
Neben Viren, sonstiger Schadsoftware oder dem gezielten Angriff durch Hacker<br />
stellt auch das gering ausgeprägte Sicherheitsbewusstsein der Mitarbeiter ein<br />
Risiko für die IT-Sicherheit dar.<br />
Im Bereich der Informationssicherheits-Management-Systeme (ISMS) beraten wir<br />
unsere Mandanten zu folgenden Themenkomplexen:<br />
Prüfungsaufträge übernehmen wir insbesondere in den folgenden Bereichen:<br />
Entwicklung von Sicherheitsrichtlinien<br />
Durchführung von Schulungs- und Sensibilisierungsmaßnahmen<br />
Aufbau eines ISMS nach DIN ISO/IEC 27001 und IT-Grundschutz nach BSI<br />
Erstellung von Konzepten zu „Business Continuity“ und IT-Notfallplanung<br />
IT-Sicherheitsprüfungen<br />
Schutzbedarfs- und Risikoanalysen<br />
IT-Sicherheitszertifizierungen (z. B. DIN ISO/IEC 27001 und IT-Grundschutz<br />
nach BSI)<br />
überprüfung des grundlegenden Aufbaus der Netzwerkumgebung<br />
Qualitätsbestätigungen externer Dienstleister gemäß ISAE 3402 und IDW PS 951<br />
Prüfung von Vereinbarungen mit internen oder externen Dienstleistern<br />
IT-Risikomanagement<br />
Innerhalb des Risikomanagements eines Unternehmens stellt das IT-Risikomanagement<br />
einen eigenständigen Bereich dar. Hierzu gehören neben den strategischen<br />
und operativen IT-Risiken auch die nicht unerheblichen IT-Projektrisiken.<br />
Dabei haben Fragen der IT-Compliance (Einhaltung von Gesetzen und Richtlinien)<br />
im Rahmen der Risikovorsorge stark an Gewicht gewonnen.<br />
Wir beraten unsere Mandanten:<br />
bei der Konzeption und Umsetzung von sachgerechten IT-Risikofrüherkennungssystemen<br />
bei der Erstellung von IT-Sicherheitskonzepten im Rahmen eines ganz-<br />
heitlichen IT-Risikomanagements auf der Grundlage der einschlägigen<br />
Standards (z. B. IT-Grundschutz nach BSI, COBIT, DIN ISO/IEC 27001)<br />
bei der Erstellung von Teilkonzepten, u. a. in den Bereichen IT-Berechtigungs-<br />
konzept und IT-Notfallvorsorgeplanung<br />
bei Fragen der Systemauswahl (z. B. Anforderungskatalog, Pflichtenheft),<br />
Systemeinführung (z. B. Projektmanagement, Migration) und Systemdokumen-<br />
tation (z. B. Verfahrensdokumentation nach GoBS)<br />
Prüfungsaufträge übernehmen wir insbesondere in den folgenden Bereichen:<br />
IT-Ordnungsmäßigkeitsprüfungen (z. B. GoBS, IDW RS FAIT 1– 4)<br />
Projektbegleitende Prüfungen (z. B. Systemeinführung, Migration)<br />
Prüfung der Internen Kontrollsysteme (IKS) bei den allgemeinen IT-Kontrollen<br />
und bei den Anwendungssystemen<br />
rBs roeverBroennersusat 15
16 rBs roeverBroennersusat<br />
INTERNE REVISION<br />
Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen,<br />
die darauf ausgerichtet sind, Mehrwerte zu schaffen und<br />
die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der<br />
Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten<br />
Ansatz die Effektivität des Risikomanagements, der Kontrollen sowie der Führungs-<br />
und überwachungsprozesse bewertet und diese optimiert.<br />
Das Selbstverständnis der Internen Revision definiert sich zum einen aus der<br />
betrieblichen Notwendigkeit der Unternehmen, die Geschäftsprozesse im Rahmen<br />
des Risikomanagements zu überwachen. Geschäftsrisiken sind unvermeidlich,<br />
aber steuerbar. Die Unternehmensleitung delegiert ihre Kontrollfunktion an die<br />
Interne Revision. Zum anderen fordern gesetzliche Vorschriften wie das Gesetz<br />
zur Kontrolle und Transparenz im Unternehmen (KonTraG), das u. a. in § 91<br />
Abs. 2 Aktiengesetz umgesetzt wurde, oder das Haushaltsgrundsätzegesetz<br />
(HGrG) die Einrichtung eines Kontroll- und überwachungssystems.<br />
Ein ebenfalls nicht zu unterschätzendes Argument ist die Ausstrahlungswirkung, die<br />
diese Regelungen haben. Auch wenn die oben genannten Gesetze nicht jedes Unternehmen<br />
betreffen, so werden sie jedoch häufig an diesen Maßstäben gemessen.<br />
wir von rBs roeverBroennersusat unter-<br />
stützen sie bei Ihrer internen unternehmenskontrolle<br />
mit unserem umfassenden<br />
Know-how.
Henning Lieder, Manager<br />
CISA/CIA/CISM<br />
Hamburg<br />
der einsatz von Informationstechnologie<br />
zur effizienten<br />
unterstützung von Geschäftsprozessen<br />
ist für unternehmen von<br />
essentieller Bedeutung. für jedes<br />
unternehmen ergeben sich hierbei<br />
unterschiedliche herausforderungen,<br />
die individuelle Lösungen benötigen.<br />
nur die umfassende nutzung<br />
der zur Verfügung stehenden<br />
ressourcen ermöglicht einen<br />
nachhaltigen unternehmenserfolg.<br />
Im rahmen unserer Beratungs- und<br />
Prüfungstätigkeit zur Gestaltung<br />
von Geschäftsprozessen können wir<br />
unsere umfassenden Kenntnisse der<br />
IT sowie ein tiefes Prozessverständnis<br />
und praktische erfahrung für<br />
eine optimale und zweckmäßige<br />
umsetzung einbringen.<br />
rBs roeverBroennersusat 17
18 rBs roeverBroennersusat<br />
Prüfung von Geschäftsprozessen<br />
Im Zuge der „Corporate Governance“-Diskussion und der Gesetzgebung (Kon-<br />
TraG/BilMoG) hat die Interne Revision als prozessunabhängige Kontrollinstanz<br />
und Bestandteil des Risikomanagements an Bedeutung gewonnen.<br />
Wir beraten unsere Mandanten:<br />
bei der Konzeption und strategischen Ausrichtung der Internen Revision und<br />
der IT-Revision im Rahmen des Risikomanagements<br />
bei Fragen zur Ausgestaltung der Internen Revision und bei der Entwicklung<br />
einer Geschäftsordnung der Internen Revision<br />
bei der Entwicklung von Modellen und Vorgehensweisen zur Revisionsplanung<br />
bei Fragen eines Outsourcings der Internen Revision bzw. von Teilen der<br />
Internen Revision<br />
Unter Beachtung der Vorschriften der §§ 319/319a HGB übernehmen unsere CIAs<br />
(Certified Internal Auditors) und erfahrenen Prüfer Aufträge im Bereich der Internen<br />
Revision insbesondere:<br />
in allen administrativen Bereichen in Hinblick auf die dort eingesetzten Verfahren<br />
(Wirtschaftlichkeits-, Effizienz-, Prozess- und IKS-Prüfungen)<br />
bei Querschnittsprüfungen von operativen Einheiten/Standorten, z. B.<br />
Tochtergesellschaften, Niederlassungen oder Outsourcing-Partnern<br />
im gesamten Bereich der Informationstechnologie<br />
mit speziellen Zielsetzungen im Bereich von wirtschaftskriminellen Handlungen<br />
Für die Aufträge im Bereich der Internen Revision gelten die Standards des<br />
Deutschen Instituts für Interne Revision e. V. (DIIR, „Standards for the Professional<br />
Practice of Internal Auditing“ vom 1. Januar 2002).<br />
Risikomanagement<br />
Dieses Regelungssystem umfasst alle Unternehmensaktivitäten und ist ein<br />
integraler Bestandteil der Unternehmensführung, -steuerung und -kontrolle. Es<br />
unterstützt dabei, effizient und unternehmerisch zu handeln und Risiken angemessen<br />
zu überwachen (siehe auch DIIR-Revisionsstandard Nr. 2 „Prüfung des<br />
Risikomanagements durch die Interne Revision“).<br />
Gesetze wie das KonTraG sind ebenso zu erfüllen wie die Anforderungen der Abschlussprüfer<br />
bezüglich des Risikofrüherkennungssystems sowie der Feststellung<br />
und Beurteilung von Fehlerrisiken (Prüfungsstandards IDW PS 340 und IDW PS<br />
261) oder die Anforderungen an die Kreditinstitute im Hinblick auf das Unternehmensrating<br />
(Basel II). Diese Rahmenbedingungen erfordern ein nachvollziehbares,<br />
systematisches Risikomanagement sowie eine funktionstüchtige Interne Revision.<br />
Auch die Entwicklungen von „Corporate Governance“ und „Corporate Compliance“<br />
machen eine Einrichtung von Steuerungs- und Kontrollinstrumenten notwendig<br />
und sinnvoll.
Wir beraten und unterstützen unsere Mandanten:<br />
bei der Konzeption und Umsetzung von sachgerechten Risikofrüherkennungs-<br />
systemen<br />
beim Aufbau, bei der Einführung sowie bei der Weiterentwicklung eines<br />
Risikomanagementsystems<br />
bei der Risikoanalyse und -bewertung in verschiedenen Unternehmens-<br />
bereichen und Geschäftsprozessen sowie bei der Risikoberichterstattung<br />
bei der Verbesserung des Risikobewusstseins und der Risikotransparenz<br />
bei der fortlaufenden überwachung des Risikoprozesses<br />
Prüfungsaufträge übernehmen wir insbesondere in den folgenden Bereichen:<br />
überprüfung des Risikomanagements und der Risikofrüherkennungssysteme<br />
Compliance-Prüfungen<br />
Projektbegleitende Prüfungen<br />
Prüfung des Internen Kontrollsystems in verschiedenen Geschäftsprozessen<br />
Unterschlagungsprüfung und -prophylaxe<br />
Wirtschaftskriminelle Handlungen von Unternehmen verschiedener Branchen<br />
geraten zunehmend in die Schlagzeilen. Dadurch leidet nicht nur das öffentliche<br />
Image, sondern es entstehen zudem auch immense Schäden – bis hin zur<br />
Bestandsgefährdung. Die Mehrzahl der Delikte wird von Personen aus dem Unternehmen<br />
begangen. Die Motive sind vielfältig und stellen die Geschäftsführung vor<br />
komplexe Herausforderungen.<br />
Neben unserer Verpflichtung als Wirtschaftsprüfer zur Aufdeckung von Unregelmäßigkeiten<br />
im Rahmen der Abschlussprüfung (lt. IDW PS 261 sowie ISA 240<br />
und 250) unterstützen wir unsere Mandanten bei der Prävention und Aufklärung<br />
wirtschaftskrimineller Handlungen:<br />
Identifizierung gefährdeter Unternehmensbereiche und „Red Flags“<br />
Sammeln von Indizien, Durchführung von Stichproben- und Vollprüfungen bei<br />
Verdachtsmomenten, z. B. durch forensische Datenanalysen<br />
Beweiserhebung und Beweissicherung<br />
Erarbeitung von Präventionsmöglichkeiten sowie von organisatorischen<br />
Maßnahmen zur Aufdeckung von Korruption und Unterschlagung, z. B. durch<br />
Einführung eines strategischen Integritätsmanagements (z. B. Code of<br />
Conduct) und eines Fraud-wirksamen IKS<br />
Organisation und technische Umsetzung von Whistleblower-Hotlines<br />
Erstellung eines Maßnahmenkatalogs, Festlegung von Zuständigkeiten und<br />
Erarbeiten von Notfallplänen für den Ernstfall<br />
rBs roeverBroennersusat 19
Stefan Wittjen, Senior Manager<br />
CISA/CIA/CISM/CRISC/QA/QAR-IT<br />
Berlin<br />
20 rBs roeverBroennersusat<br />
die IT steht im umfeld<br />
globalisierter Märkte und<br />
zunehmend reproduzierbarer<br />
Leistungen vor gravierenden umstellungen.<br />
um für die gegenwärtigen<br />
von standardisierungs- und auslagerungsmaßnahmen<br />
geprägten<br />
entwicklungen im IT-Bereich gewappnet<br />
zu sein, müssen IT-abteilungen<br />
vor allem auch als strategischer und<br />
prozessorientierter Partner einen<br />
wertbeitrag für das unternehmen<br />
leisten, ohne aspekte der compliance<br />
und security zu vernachlässigen.<br />
Qualitätsprüfung der Internen Revision<br />
Um die Funktionsfähigkeit der Internen Revision zu gewährleisten, müssen<br />
regelmäßige überprüfungen der Qualität der Internen Revision im Rahmen von<br />
so genannten Quality Assessments (QA) erfolgen. Dies ist in den Standards des<br />
Deutschen Instituts für Interne Revision e. V. (DIIR) und den Standards des Berufsverbandes<br />
der EDV-Revisoren (ISACA German Chapter e. V.) so vorgesehen. Ein<br />
solches Quality Assessment kann durch Dritte oder auch als Self-Assessment mit<br />
unabhängiger Validierung durchgeführt werden.<br />
Unsere akkreditierten Qualitätsprüfer unterstützen Interne Revisionsabteilungen<br />
mit folgenden Leistungen:<br />
Durchführung von vollständigen Quality Assessments für Interne Revisionseinheiten<br />
(DIIR)<br />
Durchführung von Quality Assessments von IT-Revisionen (ISACA)<br />
Unabhängige Validierung von Self-Assessments<br />
Dokumentation der Wirksamkeit und Qualität einer Revisionseinheit gegenüber<br />
internen (z. B. Unternehmensleitung, Aufsichtsrat) und externen Institutionen<br />
(z. B. Wirtschaftsprüfer)<br />
Empfehlungen zur Verbesserung der Qualität der Internen Revision
Weitere Funktionen<br />
Der Tätigkeitsbereich der Internen Revisionen unterliegt derzeit, insbesondere<br />
im Mittelstand, einem erheblichen Wandel. Zur klassischen Arbeit der Internen<br />
Revision, wie die Prüfung der Finanzberichterstattung und der Geschäftsprozesse,<br />
kommen eine Reihe neuer Funktionen bzw. ergänzender Aufgaben hinzu. Dazu<br />
gehören u. a. die Verwaltung und/oder Aufstellung von internen Richtlinien sowie<br />
die Funktionen des Compliance-Managers, des Risikomanagers und des Datenschutzbeauftragten.<br />
Diese umfangreichen Aufgabengebiete können häufig durch die Interne Revision<br />
nicht mehr zur Gänze eigenständig geleistet werden. Die Gründe hierfür sind<br />
vielfältig. Oft fehlen, besonders in Mittelstandsunternehmen, ganz einfach die<br />
personellen Kapazitäten und die Möglichkeiten, das erforderliche Spezialistenwissen<br />
bereitzustellen.<br />
Darüber hinaus gefährden einige der heutzutage geforderten Funktionen die<br />
Unabhängigkeit der Internen Revision. So kann sie auf der einen Seite nicht die<br />
Funktion des Compliance-Managers ausüben und andererseits die Einhaltung der<br />
Compliance-Anforderungen prüfen.<br />
Wir von <strong>RBS</strong> <strong>RoeverBroennerSusat</strong> unterstützen Sie gerne dabei, die Herausforderung<br />
der neuen Funktionen und Aufgaben kompetent zu bewältigen.<br />
INTERNATIONALES<br />
NETZWERK<br />
über unser internationales Netzwerk Moore Stephens bieten wir weltweite<br />
Prüfungs- und Beratungsdienstleistungen.<br />
Mit 21.000 Mitarbeitern in rund 640 Büros und 100 Ländern ist Moore Stephens in<br />
allen wichtigen Wirtschaftszentren weltweit durch unabhängige Mitgliedsfirmen<br />
vertreten und zählt zu den führenden und renommiertesten internationalen<br />
Netzwerken.<br />
Somit verfügen wir über eine exzellente Basis für unsere internationalen Aktivitäten.<br />
Bei Fragestellungen im Bereich der Ordnungsmäßigkeit und Sicherheit<br />
von Geschäftsprozessen und IT-Umgebungen, insbesondere bei internationalen<br />
Compliance-Anforderungen/Datenschutz sowie grenzüberschreitend verteilten<br />
bzw. ausgelagerten Prozessen/IT-Systemen, können wir schnell und effektiv<br />
internationale Berater einbeziehen.<br />
rBs roeverBroennersusat 21
ANSPRECHPARTNER<br />
ralph Krüger<br />
Senior Manager<br />
Diplom-Informatiker, Diplom-Finanzwirt<br />
CISA<br />
Auguste-Viktoria-Straße 118<br />
14193 Berlin<br />
T +49 30 208 88-1150<br />
F +49 30 208 88-1190<br />
E r.krueger@rbs-partner.de<br />
henning Lieder<br />
Manager<br />
Diplom-Wirtschaftsmathematiker<br />
CISA/CIA/CISM<br />
Domstraße 15<br />
20095 Hamburg<br />
T +49 40 415 22-860<br />
F +49 40 415 22-932<br />
E h.lieder@rbs-partner.de<br />
stefan wittjen<br />
Senior Manager<br />
Diplom-Kaufmann<br />
CISA/CIA/CISM/CRISC/QA/QA-IT<br />
IS-Revisor des Bundesamts für Sicherheit in der Informationstechnik (BSI)<br />
ISO 27001-Auditor auf Basis von IT-Grundschutz des BSI<br />
Auguste-Viktoria-Straße 118<br />
14193 Berlin<br />
T +49 30 208 88-1150<br />
F +49 30 208 88-1190<br />
E s.wittjen@rbs-partner.de<br />
22 rBs roeverBroennersusat
STANDORTE<br />
Berlin<br />
Auguste-Viktoria-Straße 118<br />
14193 Berlin<br />
T +49 30 208 88-0<br />
F +49 30 208 88-1999<br />
Rankestraße 21<br />
10789 Berlin<br />
T +49 30 208 88-0<br />
F +49 30 208 88-1999<br />
hamburg<br />
Domstraße 15<br />
20095 Hamburg<br />
T +49 40 415 22-0<br />
F +49 40 415 22-111<br />
frankfurt am Main<br />
Gervinusstraße 15<br />
60322 Frankfurt am Main<br />
T +49 69 500 60-0<br />
F +49 69 500 60-2050<br />
Köln<br />
Aachener Straße 75<br />
50931 Köln<br />
T +49 221 912 84-50<br />
F +49 221 912 84-56<br />
Leipzig<br />
Petersstraße 1–13<br />
04109 Leipzig<br />
T +49 341 339 70-600<br />
F +49 341 339 70-611<br />
München<br />
Herzog-Heinrich-Straße 22<br />
80336 München<br />
T +49 89 350 00-0<br />
F +49 89 350 00-2350<br />
nürnberg<br />
Längenstraße 14<br />
90491 Nürnberg<br />
T +49 911 60 07-0<br />
F +49 911 60 07-2699<br />
dresden<br />
Bautzner Straße 17<br />
01099 Dresden<br />
T +49 351 45 15-0<br />
F +49 351 45 15-2250<br />
Potsdam<br />
Hebbelstraße 27<br />
14469 Potsdam<br />
T +49 331 73 04 07-70<br />
F +49 331 73 04 07-79<br />
Greifswald<br />
Steinbeckerstraße 10<br />
17489 Greifswald<br />
T +49 3834 885 33-40<br />
F +49 3834 885 33-44<br />
Zur <strong>RBS</strong>-Gruppe gehören neben der <strong>RBS</strong> <strong>RoeverBroennerSusat</strong> GmbH & Co. KG<br />
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft weitere Gesellschaften,<br />
die hochqualifizierte Beratungs- und Prüfungstätigkeiten erbringen. Einen umfassenden<br />
Einblick erhalten Sie in unserer Internetpräsenz unter www.rbs-partner.de.<br />
rBs roeverBroennersusat 23
24 rBs roeverBroennersusat<br />
DE 1/2013<br />
www.rbs-partner.de