Download PDF (2629 kb) - RBS RoeverBroennerSusat

IT and
Process
assurance
sIcherheIT.
effIzIenz.
MehrwerT.
Wirtschaftsprüfung
Steuerberatung
Rechtsberatung
Corporate Finance &
Consulting

IT and
Process
assurance
sIcherheIT.
effIzIenz.
MehrwerT.
Eine starke Partnerschaft
Ihr Experte für die Sicherheit von Prozessen und IT
IT and Process Assurance
IT-Revision
Compliance
Interne Revision
Internationales Netzwerk
Ansprechpartner
Standorte
4
5
6
8
12
16
21
22
23
rBs roeverBroennersusat 3

4 rBs roeverBroennersusat
EINE STARKE
PARTNERSCHAFT
RBS RoeverBroennerSusat gehört zu den führenden unabhängigen mittelständischen
Wirtschaftsprüfungs- und Beratungsgesellschaften Deutschlands. Zur
RBS-Gruppe gehört mit der RBS RoeverBroennerSusat Rechtsanwaltsgesellschaft
mbH eine führende mittelständische Wirtschaftskanzlei.
An zehn Standorten betreuen wir mit 47 Partnern und rund 650 Mitarbeitern (davon
mehr als 200 Berufsträger) Mandanten in den Bereichen Wirtschaftsprüfung,
Steuer beratung, Rechtsberatung und Corporate Finance & Consulting. Neben einer
starken regionalen Präsenz bieten wir unseren Mandanten über unser internationales
Netzwerk Moore Stephens weltweite Prüfungs- und Beratungsdienstleistungen.
In mehr als neun Jahrzehnten sind wir gemeinsam mit vielen unserer Mandanten
kontinuierlich gewachsen. Die lang fris tigen Mandantenbeziehungen gründen vor
allem auf der verlässlichen Qualität unserer Arbeit und dem hohen Niveau unserer
Beratungsleistung.
Wir sind ein mittelständisches Wirtschaftsprüfungs- und Beratungsunternehmen mit
einer partnerschaftlichen Struktur. Wir kennen den Mittelstand, seine Sichtweise und
seine speziellen Belange. Die Nähe zum Mandanten ist ein wichtiger Grundpfeiler
unseres Tagesgeschäfts. Unser Ziel ist es, unseren Mandanten Experten mit Praxiserfahrung
an die Seite zu stellen, die sie bei allen Fragen und Problemstellungen
begleiten und die schnell und zuverlässig Lösungen entwickeln. Das gewährleistet
eine individuelle Betreuung, kurze Wege und maßgeschneiderte Empfehlungen.
Unsere Mitarbeiter sind hoch qualifizierte Spezialisten. Sie bilden die Grundlage
unseres Erfolges. Vorhandene Fähigkeiten und Kenntnisse bauen wir aus und unterstützen
jeden Einzelnen in seiner beruflichen Entwicklung. Unsere Unternehmenskultur
ist gekennzeichnet von einer Atmosphäre der Nähe und Rücksichtnahme
sowie von einer vertrauensvollen und transparenten Zusammenarbeit.
Wir setzen auf ein gesundes Wachstum. Es ist unser Ziel, durch unsere Expertise,
unsere Erfahrung und unsere unbe dingte persönliche Leistungsbereitschaft und
Professio nalität die bestehenden hohen Qualitätsstandards zu halten und die
Erwartungen unserer Mandanten immer wieder aufs Neue zu übertreffen.

IHR ExPERTE FüR DIE
SICHERHEIT VON
PROZESSEN UND IT
Kaum ein Unternehmensbereich ist derartigen Veränderungen ausgesetzt wie die
IT. Ein eindeutiges Zeichen dafür ist die massive Verbreitung des sogenannten
Cloud Computing.
Die gesamte IT unterliegt der Compliance. Dieser Begriff beinhaltet branchenspezifische
und lokale Anforderungen an die Ordnungsmäßigkeit und Sicherheit.
Daraus ergibt sich ein zunehmender Handlungsbedarf für die Steuerung und das
Management von Geschäftsprozessen.
Von den Mindestanforderungen an das Risikomanagement (MaRisk) im Umfeld
von Finanzdienstleistungsunternehmen über die Grundsätze zum Datenzugriff bis
hin zur Prüfbarkeit digitaler Unterlagen (GDPdU):
rBs roeverBroennersusat bietet Ihnen
ein breites spektrum an Prüfungs- und
Beratungsleistungen in den Bereichen ITrevision,
compliance und Interne revision.
rBs roeverBroennersusat 5

6 rBs roeverBroennersusat
IT AND PROCESS
ASSURANCE
RBS RoeverBroennerSusat verfügt über Experten-Know-how für sämtliche
Fragestellungen im Bereich der Ordnungsmäßigkeit und Sicherheit von Geschäftsprozessen
und IT-Umgebungen. Das IT and Process Assurance Team besteht aus
erfahrenen Spezialisten, die umfangreiche Kenntnisse auf den Gebieten der Informationstechnologie
und der internen Kontrollsysteme aufweisen. Außerdem sind wir
in Gremien des Instituts der Wirtschaftsprüfer e. V. (IDW), des Berufsverbandes der
IT-Revisoren (ISACA) und des Deutschen Instituts für Interne Revision e. V. (DIIR)
vertreten, die sich mit berufsständischen Verlautbarungen befassen.
IT and Process Assurance betreut sowohl kapitalmarktorientierte Unternehmen und
Tochtergesellschaften internationaler Konzerne als auch nicht kapitalmarktorientierte
mittelständische Gesellschaften. Aus der Vielfältigkeit der Aufgaben heraus
entwickelten sich sowohl eine tiefgreifende praktische Fachkompetenz als auch eine
routinierte Anwendungserfahrung.
Unser Tätigkeitsfeld lässt sich in drei Bereiche untergliedern:
IT-revision compliance Interne revision
System- und
Verfahrensprüfungen
Prüfung der Kontrollen
im Zusammenhang
mit IT-Anwendungen
Prüfung anwendungsunabhängigerKontrollen
der IT-Prozesse
Projektbegleitende
Prüfungen
Sonderprüfungen
Datenanalyse und
Datenprüfung
SAP Quick Check
Zertifizierung
IKS-Beratung
Datenschutz
Informationssicherheitsmanagement
IT-Risikomanagement
Prüfung von
Geschäftsprozessen
Risikomanagement
Unterschlagungs-
prüfung und
-prophylaxe
Qualitätsprüfung der
Internen Revision

ein individueller ansprechpartner sorgt für
kompetente Beratung und kann bei Bedarf auf
das Know-how von spezialisten zurückgreifen.
Viele unserer Prüfungs- und Beratungsprojekte verlangen eine interdisziplinäre
Zusammenarbeit mit Fachleuten auf verschiedenen Themengebieten. So wird
beispielsweise für die korrekte Bewertung von aktivierten Eigenleistungen – u. a.
Softwareprojekte – die Expertise für Bewertungsfragen aus dem Bereich Corporate
Finance benötigt. Während die Identifikation von steuerrelevanten Dokumenten und
Daten ausgeprägte steuerliche Kenntnisse verlangt.
Dank dem breiten Dienstleistungs- und Beratungsspektrum bei
RBS RoeverBroennerSusat können wir diese unterschiedlichen Wissensfelder
im Sinne des Mandanten bündeln und so Beratung aus einer Hand anbieten.
Prüfung
Steuern
Versicherungsmathematik
IT and Process
assurance
Internationale
Rechnungslegungsgruppe
Corporate
Finance &
Consulting
rBs roeverBroennersusat 7

8 rBs roeverBroennersusat
IT-REVISION
System- und Verfahrensprüfungen
RBS RoeverBroennerSusat übernimmt die Durchführung von risikoorientierten
Prüfungen der Ordnungsmäßigkeit von IT-Verfahren. Dabei richten wir uns insbesondere
nach den Prüfungsstandards des Instituts der Wirtschaftsprüfer und
nach den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme
(GoBS). Ziel der Prüfungen sind die Feststellung und Bewertung von Kontroll-
und Sicherheitsrisiken in den IT-Systemen.
Die Untersuchungen beziehen sich sowohl auf spezifische Anwendungsbereiche
(z. B. Warenwirtschaftssystem und Finanzbuchhaltungssoftware) als auch
auf die anwendungsunabhängigen Kontrollen der zugrunde liegenden Systeme
(Hardware, Systemsoftware, Netzwerk).
Prüfung der Kontrollen im Zusammenhang
mit IT-Anwendungen
Hier stehen die Anwendungssysteme des Unternehmens selbst auf dem
Prüfstand. Das Spektrum der von uns untersuchten Systeme reicht von der
PC-Einzelplatzlösung einer Standard-Finanzbuchhaltung bis hin zu integrierten
betriebswirtschaftlichen Systemen (ERP-Systemen) mit mehreren tausend
Benutzern.
Ziel der Prüfung ist die Beurteilung der Richtigkeit, Vollständigkeit und Nachvollziehbarkeit
der Abwicklung von Geschäftsvorfällen durch die Systeme. Dabei
unterscheiden wir folgende Bereiche:
Prüfung des Belegflusses
Prüfung der Verarbeitungsregeln
Prüfung der Datenübernahme/Schnittstellen aus und zu anderen Systemen
Prüfung der Aufzeichnung der Geschäftsvorfälle/Belege
Prüfung der Einhaltung von Beleg-, Journal- und Kontenfunktion
Prüfung der Ordnungsmäßigkeit der Verfahrensdokumentation

Prüfung anwendungsunabhängiger Kontrollen
der IT-Prozesse
Das Team von RBS RoeverBroennerSusat analysiert das IT-Umfeld, die IT-Organisation
und die IT-Infrastruktur, die den Geschäftsprozessen in den Fachabteilungen
zugrunde liegen. Ziel der Prüfung ist die Feststellung von Risiken der Informationsverarbeitung
in den folgenden Prüfungsfeldern:
Aufbauorganisation
Logische Zugriffskontrollen
Datensicherungs- und Datenauslagerungsverfahren
- Sicherung der Betriebsbereitschaft
- Physische Sicherungsmaßnahmen
Maßnahmen für den IT-Regelbetrieb und IT-Notbetrieb
Systementwicklung und -pflege
Netzwerke/Telekommunikation
Rechenzentrumsbetrieb
Individuelle Datenverarbeitung („End-User-Computing“)
Abhängigkeiten von internen und externen IT-Spezialisten
Outsourcing
Projektbegleitende Prüfungen
Komplexe Projekte stellen oftmals ein erhebliches Risiko für ein Unternehmen dar.
Unzureichende Erfahrungen in der Projektorganisation sowie enge Zeit-, Ressourcen-
und Kostenrestriktionen verstärken dieses Risiko.
Die Einhaltung der Ordnungsmäßigkeits-Kriterien bei der Entwicklung von komplexen
betrieblichen Software-Anwendungen sollte sichergestellt sein. Darüber hinaus begutachten
wir die Implementierung und Anpassung von Standardsoftware.
Es ist empfehlenswert, das Urteil des Prüfers bereits im Stadium der Planung und
Entwicklung bzw. im Vorfeld einer Änderung oder Erweiterung komplexer Systeme
einzuholen. Denn notwendige Fehlerkorrekturen und Anpassungen im Nachhinein
sind oftmals mit großem Aufwand verbunden.
Ziel der projektbegleitenden Prüfung ist es, den Projekterfolg durch kompetentes
unterstützendes Handeln sicherzustellen.
Daraus ergeben sich folgende Teilziele:
Einsatz von geeigneten Projektmanagement-, Controlling- und
Qualitätssicherungsmaßnahmen
Sicherstellung der Beweiskraft der Buchführung
Erfüllung der Dokumentations- und Aufbewahrungspflichten
Gestaltung wirksamer interner Kontrollverfahren
Zusätzlich zu Aussagen über die Ordnungsmäßigkeit des IT-Systems können unsere
Experten wesentliche Feststellungen zur Wirtschaftlichkeit und zur sachgerechten
Umsetzung von Anforderungen an das IT-System treffen.
rBs roeverBroennersusat 9

10 rBs roeverBroennersusat
Sonderprüfungen
Im Rahmen unserer Prüfungstätigkeit verfolgen wir auch spezielle Prüfungsziele.
Hierzu gehören z. B.:
Prüfungen zur Erstellung von Softwarebescheinigungen
(Softwaretestate/Zertifizierungen)
Prüfung von Risikomanagement- und Risikofrühwarnsystemen
Prüfung von Compliance-Managementsystemen
Prüfung von Dokumentenmanagement- und Archivierungssystemen
Prüfung auf gesetzliche Anforderungen der Finanzverwaltung
(u. a. GDPdU- und E-Bilanzkonformität)
Datenanalyse und Datenprüfung
Die Analyse von großen Datenbeständen aus operativen Systemen ist ein geeignetes
Mittel, um historisch gewachsene, unübersichtliche Datenbestände transparent
darzustellen und zu prüfen. Zusätzlich kann auf effiziente und kostengünstige Weise
ein leistungsfähiges Data-Warehouse bzw. Bereichscontrolling aufgebaut werden.
Beispiele für den erfolgreichen Einsatz von Werkzeugen und Methoden der Datenprüfung:
Ermittlung von Kennzahlen in datenintensiven Bereichen, z. B. Vertrieb,
Materialwirtschaft, Kostenrechnung
überprüfung von Integrität, Konsistenz und inhaltlicher Qualität von operativen
Stammdaten
überprüfung der Richtigkeit und Vollständigkeit von Verfahrensabläufen
Computer Assisted Auditing Techniques (CAAT)
Aufbau von Systemen zur Unternehmensüberwachung (Monitoring-Systeme)
Unterschlagungsprüfung
Wesentliche Schritte bei der Einführung und Umsetzung von Datenprüfungskonzepten:
Grundkonzeption und Festlegung der Prüfungsziele
Auswahl geeigneter Methoden und Softwarewerkzeuge
Basisschulungen für ausgewählte Mitarbeiter
Feinkonzeption und Festlegung der relevanten Datenstrukturen
Erstellung unternehmensspezifischer Prüfungsabläufe
Fallbezogene Schulungen anhand spezifischer Datenstrukturen und Abläufe
Bei jedem dieser Schritte können wir Sie dabei unterstützen, selbst Datenprüfungen
mit höchster Effizienz einzusetzen. Des Weiteren können wir auf der Grundlage der
Analyse von Daten, Prozessen und Strukturen wertvolle Hinweise für die Vorbereitung
auf steuerliche Außenprüfungen geben. Ein Beispiel für so eine steuerliche
Außenprüfung ist der sogenannte „GDPdU-Check“ („Grundsätze zum Datenzugriff
und zur Prüfbarkeit digitaler Unterlagen“).

SAP Quick Check
Häufig ist ein SAP-System das zentrale Datenverarbeitungssystem für das Rechnungswesen.
Aufgrund des hohen Integrationsgrades der Geschäftsprozesse ist
man sehr abhängig von der Verfügbarkeit der Systeme und der Qualität der zu
verarbeitenden Daten. Daraus ergeben sich zusätzliche Anforderungen an die
Ordnungsmäßigkeit der Datenverarbeitung und das IT-Risikomanagement.
RBS RoeverBroennerSusat unterstützt Unternehmen bei der Prüfung des ordnungsmäßigen
Einsatzes von SAP-Systemen. Dafür sind besonders folgende Bereiche
von entscheidender Bedeutung:
IT-sicherheit (generelle Kontrollen in der anwendung)
Sicherheitsmaßnahmen, die z. B. nicht autorisierte Zugriffe auf das System oder
„elektronisches Radieren“ weitgehend ausschließen
Internes Kontrollsystem der haupt- und nebenbücher (IKs)
Kontrollen im buchhalterischen Verfahren, die – wie in den Prüfleitfäden der
SAP AG beschrieben – die Grundvoraussetzung für einen ordnungsmäßigen
Einsatz liefern, z. B. die regelmäßige Kontrolle auf Verbuchungsabbrüche
Unser SAP Quick Check untersucht Bestands- und Bewegungsdaten aus folgenden
Bereichen:
SAP-Basis und -Benutzerverwaltung
Hauptbuchhaltung
Kreditorenbuchhaltung
Debitorenbuchhaltung
Anlagenbuchhaltung
Materialwirtschaft
Benutzerberechtigungen (optional)
Funktionstrennungskonflikte (optional)
Darüber hinaus ergeben sich Hinweise auf mögliche Manipulationen am System
(Fraud), signifikante Eingabe- und Verarbeitungsfehler (Error) sowie Inkonsistenzen.
rBs roeverBroennersusat 11

12 rBs roeverBroennersusat
COMPLIANCE
Zertifizierungen
Die Einhaltung von Standards und die Nutzung von Frameworks können helfen,
die Komplexität im Bereich der IT zu kontrollieren und eine passende IT-Strategie
zu entwickeln. Es gibt bereits diverse Standards in der IT zur Absicherung eines
Unternehmens, zur Aufrechterhaltung eines sicheren Geschäftsbetriebs und zur Einhaltung
von rechtlichen Vorschriften (z. B. HGB und AO). Darüber hinaus unterstützt
RBS RoeverBroennerSusat Unternehmen bei der Erfüllung von Anforderungen der
Finanzverwaltung (z. B. GoBS und GDPdU), von aufsichtsrechtlichen Anforderungen
(z. B. MaRisk und MaComp) und von betriebswirtschaftlichen Anforderungen (z. B.
Effektivität und Wirtschaftlichkeit).
Gerne beraten wir Sie auch bei der Auswahl und Implementierung der geeigneten
Standards und der Einhaltung von Vorschriften:
Entscheidung für geeignete Teilaspekte der Frameworks und Umsetzung
nützlicher Maßnahmen
Prüfung auf Einhaltung von Standards bzw. auf die Erreichung von Ziel-
vorgaben (Qualität, Sicherheit, Ordnungsmäßigkeit etc.)
Zertifizierung von Softwarelösungen nach dem Prüfungsstandard IDW PS 880
(„Die Prüfung von Softwareprodukten“)
Zertifizierung von ausgelagerten Dienstleistungen nach dem Prüfungsstandard
IDW PS 951 („Die Prüfung des Internen Kontrollsystems beim Dienstleistungs-
unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen“),
ggf. als Doppelzertifizierung mit dem internationalen Standard ISAE 3402
(„Assurance Reports on Controls at a Service Organization“)
IT-Sicherheitszertifizierungen (DIN ISO/IEC 27001 und IT-Grundschutz nach BSI)
Bescheinigung von Compliance-Managementsystemen gemäß IDW PS 980
(„Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“)
IKS-Beratung
Zahlreiche nationale und internationale Vorschriften verlangen von Unternehmen die
Einrichtung eines angemessenen und wirksamen Internen Kontrollsystems (IKS). Beispiele
für derartige Vorschriften sind der § 91 Abs. 2 Aktiengesetz oder Section 404 des
US-amerikanischen Sarbanes-Oxley Act (SOx).

den Bereichen IT-revision,
zertifizierung und compliance
liegen in der regel sehr formale
gesetzliche und aufsichtsrechtliche
anforderungen zugrunde. diese sind
zudem häufig wenig detailliert und
lediglich als formalziele formuliert.
erfolgreiche unternehmen zeichnen
sich durch eine der unternehmensgröße
und der Branche angepasste umsetzung
dieser anforderungen aus.
unsere bewährten Vorgehensmodelle
tragen dem rechnung. umfangreiche
erfahrungen in unternehmen jeder
Größe ermöglichen die realisierung
pragmatischer Lösungen und die
erreichung eines Mehrwerts („added
Value“) im rahmen unserer Prüfungs-
und Beratungstätigkeiten.
Ralph Krüger, Senior Manager
CISA
Berlin
rBs roeverBroennersusat 13

14 rBs roeverBroennersusat
Ein solches IKS umfasst alle internen Kontrollen, die mit der Rechnungslegung in
Verbindung stehen. Zum einen IT-gestützte Kontrollen wie z. B. Eingabekontrollen
und Funktionstrennung im Berechtigungskonzept oder Zugriffsschutz und Netzwerksicherheit.
Zum anderen auch manuelle oder organisatorische Kontrollen, die
im Prozessablauf oder prozessunabhängig eingerichtet sind.
Wir unterstützen Sie in allen IKS-relevanten Fragen:
Auswahl und Beurteilung eines Regelwerks für das IKS (z. B. COBIT/COSO)
Identifizierung der relevanten Prozesse, Anwendungen und Infrastruktur
Risikoanalyse und Dokumentation der internen Kontrollen
überprüfung und überwachung der Effektivität und Funktionsweise der internen
Kontrollen
Datenschutz
Das Thema Datenschutz hat durch zahlreiche, publik gewordene Pflichtverletzungen
namhafter Unternehmen an öffentlicher Wahrnehmung gewonnen. Neben den
drohenden Bußgeldern stellen der Imageschaden, der Vertrauensverlust sowie
mögliche zivilrechtliche Haftungsklagen schwer kalkulierbare Risiken dar. Daher
ist es erforderlich, dass Compliance-Managementsysteme alle relevanten gesetzlichen
Datenschutzregelungen angemessen berücksichtigen, auch wenn diese der
Effektivität interner Prozessabläufe oftmals entgegenstehen.
RBS RoeverBroennerSusat unterstützt Sie hierbei u. a. bei folgenden Themen:
Aufnahme und Analyse der datenschutzrelevanten Verfahren und Systeme im
Hinblick auf die Einhaltung der gesetzlichen Rahmenbedingungen (z. B. durch
Datenschutz-Audits)
Bestimmung des Umfangs personenbezogener und weiterer schützenswerter Daten
Beurteilung vorhandener technischer und organisatorischer Maßnahmen
(sog. „TOMs“) zum Datenschutz und Benennung von Verbesserungserfordernissen
Erstellung von internen und öffentlichen Verfahrensverzeichnissen
Erstellung von Arbeitsanweisungen, Richtlinien und Handbüchern
Prüfung und Erstellung von gesetzeskonformen Vertragsvereinbarungen zur
Auftragsdatenverarbeitung (§ 11 BDSG)
Bereitstellung externer betrieblicher Datenschutzbeauftragter
Schulung und Sensibilisierung von Mitarbeitern
Datenschutzrechtliche Analyse von Webauftritten/Internetseiten
Unterstützung bei aktuellen Fragen zum Datenschutz
Beratung im Zusammenhang mit Datentransfers ins inner- und außereuropäi-
sche Ausland (z. B. im Zusammenhang mit der Nutzung von Cloud-Systemen)
Informationssicherheits-Management
Regelmäßig berichten Medien über Fälle des Datenmissbrauchs oder -diebstahls.
Sicherheitslücken in komplexen IT-Umgebungen, mit zum Teil hochsensiblen
Daten, können zu erheblichen datenschutzrechtlichen Problemen, finanziellen
Verlusten und Imageschäden führen.

Die Ursachen für Datenmissbrauch oder -diebstahl sind vielfältig. Im zunehmenden
Maße sind davon mittelständische Unternehmen betroffen. Hier fehlt oft das
entsprechende Know-how, um angemessene Gegenmaßnahmen zu ergreifen.
Neben Viren, sonstiger Schadsoftware oder dem gezielten Angriff durch Hacker
stellt auch das gering ausgeprägte Sicherheitsbewusstsein der Mitarbeiter ein
Risiko für die IT-Sicherheit dar.
Im Bereich der Informationssicherheits-Management-Systeme (ISMS) beraten wir
unsere Mandanten zu folgenden Themenkomplexen:
Prüfungsaufträge übernehmen wir insbesondere in den folgenden Bereichen:
Entwicklung von Sicherheitsrichtlinien
Durchführung von Schulungs- und Sensibilisierungsmaßnahmen
Aufbau eines ISMS nach DIN ISO/IEC 27001 und IT-Grundschutz nach BSI
Erstellung von Konzepten zu „Business Continuity“ und IT-Notfallplanung
IT-Sicherheitsprüfungen
Schutzbedarfs- und Risikoanalysen
IT-Sicherheitszertifizierungen (z. B. DIN ISO/IEC 27001 und IT-Grundschutz
nach BSI)
überprüfung des grundlegenden Aufbaus der Netzwerkumgebung
Qualitätsbestätigungen externer Dienstleister gemäß ISAE 3402 und IDW PS 951
Prüfung von Vereinbarungen mit internen oder externen Dienstleistern
IT-Risikomanagement
Innerhalb des Risikomanagements eines Unternehmens stellt das IT-Risikomanagement
einen eigenständigen Bereich dar. Hierzu gehören neben den strategischen
und operativen IT-Risiken auch die nicht unerheblichen IT-Projektrisiken.
Dabei haben Fragen der IT-Compliance (Einhaltung von Gesetzen und Richtlinien)
im Rahmen der Risikovorsorge stark an Gewicht gewonnen.
Wir beraten unsere Mandanten:
bei der Konzeption und Umsetzung von sachgerechten IT-Risikofrüherkennungssystemen
bei der Erstellung von IT-Sicherheitskonzepten im Rahmen eines ganz-
heitlichen IT-Risikomanagements auf der Grundlage der einschlägigen
Standards (z. B. IT-Grundschutz nach BSI, COBIT, DIN ISO/IEC 27001)
bei der Erstellung von Teilkonzepten, u. a. in den Bereichen IT-Berechtigungs-
konzept und IT-Notfallvorsorgeplanung
bei Fragen der Systemauswahl (z. B. Anforderungskatalog, Pflichtenheft),
Systemeinführung (z. B. Projektmanagement, Migration) und Systemdokumen-
tation (z. B. Verfahrensdokumentation nach GoBS)
Prüfungsaufträge übernehmen wir insbesondere in den folgenden Bereichen:
IT-Ordnungsmäßigkeitsprüfungen (z. B. GoBS, IDW RS FAIT 1– 4)
Projektbegleitende Prüfungen (z. B. Systemeinführung, Migration)
Prüfung der Internen Kontrollsysteme (IKS) bei den allgemeinen IT-Kontrollen
und bei den Anwendungssystemen
rBs roeverBroennersusat 15

16 rBs roeverBroennersusat
INTERNE REVISION
Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen,
die darauf ausgerichtet sind, Mehrwerte zu schaffen und
die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der
Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten
Ansatz die Effektivität des Risikomanagements, der Kontrollen sowie der Führungs-
und überwachungsprozesse bewertet und diese optimiert.
Das Selbstverständnis der Internen Revision definiert sich zum einen aus der
betrieblichen Notwendigkeit der Unternehmen, die Geschäftsprozesse im Rahmen
des Risikomanagements zu überwachen. Geschäftsrisiken sind unvermeidlich,
aber steuerbar. Die Unternehmensleitung delegiert ihre Kontrollfunktion an die
Interne Revision. Zum anderen fordern gesetzliche Vorschriften wie das Gesetz
zur Kontrolle und Transparenz im Unternehmen (KonTraG), das u. a. in § 91
Abs. 2 Aktiengesetz umgesetzt wurde, oder das Haushaltsgrundsätzegesetz
(HGrG) die Einrichtung eines Kontroll- und überwachungssystems.
Ein ebenfalls nicht zu unterschätzendes Argument ist die Ausstrahlungswirkung, die
diese Regelungen haben. Auch wenn die oben genannten Gesetze nicht jedes Unternehmen
betreffen, so werden sie jedoch häufig an diesen Maßstäben gemessen.
wir von rBs roeverBroennersusat unter-
stützen sie bei Ihrer internen unternehmenskontrolle
mit unserem umfassenden
Know-how.

Henning Lieder, Manager
CISA/CIA/CISM
Hamburg
der einsatz von Informationstechnologie
zur effizienten
unterstützung von Geschäftsprozessen
ist für unternehmen von
essentieller Bedeutung. für jedes
unternehmen ergeben sich hierbei
unterschiedliche herausforderungen,
die individuelle Lösungen benötigen.
nur die umfassende nutzung
der zur Verfügung stehenden
ressourcen ermöglicht einen
nachhaltigen unternehmenserfolg.
Im rahmen unserer Beratungs- und
Prüfungstätigkeit zur Gestaltung
von Geschäftsprozessen können wir
unsere umfassenden Kenntnisse der
IT sowie ein tiefes Prozessverständnis
und praktische erfahrung für
eine optimale und zweckmäßige
umsetzung einbringen.
rBs roeverBroennersusat 17

18 rBs roeverBroennersusat
Prüfung von Geschäftsprozessen
Im Zuge der „Corporate Governance“-Diskussion und der Gesetzgebung (Kon-
TraG/BilMoG) hat die Interne Revision als prozessunabhängige Kontrollinstanz
und Bestandteil des Risikomanagements an Bedeutung gewonnen.
Wir beraten unsere Mandanten:
bei der Konzeption und strategischen Ausrichtung der Internen Revision und
der IT-Revision im Rahmen des Risikomanagements
bei Fragen zur Ausgestaltung der Internen Revision und bei der Entwicklung
einer Geschäftsordnung der Internen Revision
bei der Entwicklung von Modellen und Vorgehensweisen zur Revisionsplanung
bei Fragen eines Outsourcings der Internen Revision bzw. von Teilen der
Internen Revision
Unter Beachtung der Vorschriften der §§ 319/319a HGB übernehmen unsere CIAs
(Certified Internal Auditors) und erfahrenen Prüfer Aufträge im Bereich der Internen
Revision insbesondere:
in allen administrativen Bereichen in Hinblick auf die dort eingesetzten Verfahren
(Wirtschaftlichkeits-, Effizienz-, Prozess- und IKS-Prüfungen)
bei Querschnittsprüfungen von operativen Einheiten/Standorten, z. B.
Tochtergesellschaften, Niederlassungen oder Outsourcing-Partnern
im gesamten Bereich der Informationstechnologie
mit speziellen Zielsetzungen im Bereich von wirtschaftskriminellen Handlungen
Für die Aufträge im Bereich der Internen Revision gelten die Standards des
Deutschen Instituts für Interne Revision e. V. (DIIR, „Standards for the Professional
Practice of Internal Auditing“ vom 1. Januar 2002).
Risikomanagement
Dieses Regelungssystem umfasst alle Unternehmensaktivitäten und ist ein
integraler Bestandteil der Unternehmensführung, -steuerung und -kontrolle. Es
unterstützt dabei, effizient und unternehmerisch zu handeln und Risiken angemessen
zu überwachen (siehe auch DIIR-Revisionsstandard Nr. 2 „Prüfung des
Risikomanagements durch die Interne Revision“).
Gesetze wie das KonTraG sind ebenso zu erfüllen wie die Anforderungen der Abschlussprüfer
bezüglich des Risikofrüherkennungssystems sowie der Feststellung
und Beurteilung von Fehlerrisiken (Prüfungsstandards IDW PS 340 und IDW PS
261) oder die Anforderungen an die Kreditinstitute im Hinblick auf das Unternehmensrating
(Basel II). Diese Rahmenbedingungen erfordern ein nachvollziehbares,
systematisches Risikomanagement sowie eine funktionstüchtige Interne Revision.
Auch die Entwicklungen von „Corporate Governance“ und „Corporate Compliance“
machen eine Einrichtung von Steuerungs- und Kontrollinstrumenten notwendig
und sinnvoll.

Wir beraten und unterstützen unsere Mandanten:
bei der Konzeption und Umsetzung von sachgerechten Risikofrüherkennungs-
systemen
beim Aufbau, bei der Einführung sowie bei der Weiterentwicklung eines
Risikomanagementsystems
bei der Risikoanalyse und -bewertung in verschiedenen Unternehmens-
bereichen und Geschäftsprozessen sowie bei der Risikoberichterstattung
bei der Verbesserung des Risikobewusstseins und der Risikotransparenz
bei der fortlaufenden überwachung des Risikoprozesses
Prüfungsaufträge übernehmen wir insbesondere in den folgenden Bereichen:
überprüfung des Risikomanagements und der Risikofrüherkennungssysteme
Compliance-Prüfungen
Projektbegleitende Prüfungen
Prüfung des Internen Kontrollsystems in verschiedenen Geschäftsprozessen
Unterschlagungsprüfung und -prophylaxe
Wirtschaftskriminelle Handlungen von Unternehmen verschiedener Branchen
geraten zunehmend in die Schlagzeilen. Dadurch leidet nicht nur das öffentliche
Image, sondern es entstehen zudem auch immense Schäden – bis hin zur
Bestandsgefährdung. Die Mehrzahl der Delikte wird von Personen aus dem Unternehmen
begangen. Die Motive sind vielfältig und stellen die Geschäftsführung vor
komplexe Herausforderungen.
Neben unserer Verpflichtung als Wirtschaftsprüfer zur Aufdeckung von Unregelmäßigkeiten
im Rahmen der Abschlussprüfung (lt. IDW PS 261 sowie ISA 240
und 250) unterstützen wir unsere Mandanten bei der Prävention und Aufklärung
wirtschaftskrimineller Handlungen:
Identifizierung gefährdeter Unternehmensbereiche und „Red Flags“
Sammeln von Indizien, Durchführung von Stichproben- und Vollprüfungen bei
Verdachtsmomenten, z. B. durch forensische Datenanalysen
Beweiserhebung und Beweissicherung
Erarbeitung von Präventionsmöglichkeiten sowie von organisatorischen
Maßnahmen zur Aufdeckung von Korruption und Unterschlagung, z. B. durch
Einführung eines strategischen Integritätsmanagements (z. B. Code of
Conduct) und eines Fraud-wirksamen IKS
Organisation und technische Umsetzung von Whistleblower-Hotlines
Erstellung eines Maßnahmenkatalogs, Festlegung von Zuständigkeiten und
Erarbeiten von Notfallplänen für den Ernstfall
rBs roeverBroennersusat 19

Stefan Wittjen, Senior Manager
CISA/CIA/CISM/CRISC/QA/QAR-IT
Berlin
20 rBs roeverBroennersusat
die IT steht im umfeld
globalisierter Märkte und
zunehmend reproduzierbarer
Leistungen vor gravierenden umstellungen.
um für die gegenwärtigen
von standardisierungs- und auslagerungsmaßnahmen
geprägten
entwicklungen im IT-Bereich gewappnet
zu sein, müssen IT-abteilungen
vor allem auch als strategischer und
prozessorientierter Partner einen
wertbeitrag für das unternehmen
leisten, ohne aspekte der compliance
und security zu vernachlässigen.
Qualitätsprüfung der Internen Revision
Um die Funktionsfähigkeit der Internen Revision zu gewährleisten, müssen
regelmäßige überprüfungen der Qualität der Internen Revision im Rahmen von
so genannten Quality Assessments (QA) erfolgen. Dies ist in den Standards des
Deutschen Instituts für Interne Revision e. V. (DIIR) und den Standards des Berufsverbandes
der EDV-Revisoren (ISACA German Chapter e. V.) so vorgesehen. Ein
solches Quality Assessment kann durch Dritte oder auch als Self-Assessment mit
unabhängiger Validierung durchgeführt werden.
Unsere akkreditierten Qualitätsprüfer unterstützen Interne Revisionsabteilungen
mit folgenden Leistungen:
Durchführung von vollständigen Quality Assessments für Interne Revisionseinheiten
(DIIR)
Durchführung von Quality Assessments von IT-Revisionen (ISACA)
Unabhängige Validierung von Self-Assessments
Dokumentation der Wirksamkeit und Qualität einer Revisionseinheit gegenüber
internen (z. B. Unternehmensleitung, Aufsichtsrat) und externen Institutionen
(z. B. Wirtschaftsprüfer)
Empfehlungen zur Verbesserung der Qualität der Internen Revision

Weitere Funktionen
Der Tätigkeitsbereich der Internen Revisionen unterliegt derzeit, insbesondere
im Mittelstand, einem erheblichen Wandel. Zur klassischen Arbeit der Internen
Revision, wie die Prüfung der Finanzberichterstattung und der Geschäftsprozesse,
kommen eine Reihe neuer Funktionen bzw. ergänzender Aufgaben hinzu. Dazu
gehören u. a. die Verwaltung und/oder Aufstellung von internen Richtlinien sowie
die Funktionen des Compliance-Managers, des Risikomanagers und des Datenschutzbeauftragten.
Diese umfangreichen Aufgabengebiete können häufig durch die Interne Revision
nicht mehr zur Gänze eigenständig geleistet werden. Die Gründe hierfür sind
vielfältig. Oft fehlen, besonders in Mittelstandsunternehmen, ganz einfach die
personellen Kapazitäten und die Möglichkeiten, das erforderliche Spezialistenwissen
bereitzustellen.
Darüber hinaus gefährden einige der heutzutage geforderten Funktionen die
Unabhängigkeit der Internen Revision. So kann sie auf der einen Seite nicht die
Funktion des Compliance-Managers ausüben und andererseits die Einhaltung der
Compliance-Anforderungen prüfen.
Wir von RBS RoeverBroennerSusat unterstützen Sie gerne dabei, die Herausforderung
der neuen Funktionen und Aufgaben kompetent zu bewältigen.
INTERNATIONALES
NETZWERK
über unser internationales Netzwerk Moore Stephens bieten wir weltweite
Prüfungs- und Beratungsdienstleistungen.
Mit 21.000 Mitarbeitern in rund 640 Büros und 100 Ländern ist Moore Stephens in
allen wichtigen Wirtschaftszentren weltweit durch unabhängige Mitgliedsfirmen
vertreten und zählt zu den führenden und renommiertesten internationalen
Netzwerken.
Somit verfügen wir über eine exzellente Basis für unsere internationalen Aktivitäten.
Bei Fragestellungen im Bereich der Ordnungsmäßigkeit und Sicherheit
von Geschäftsprozessen und IT-Umgebungen, insbesondere bei internationalen
Compliance-Anforderungen/Datenschutz sowie grenzüberschreitend verteilten
bzw. ausgelagerten Prozessen/IT-Systemen, können wir schnell und effektiv
internationale Berater einbeziehen.
rBs roeverBroennersusat 21

ANSPRECHPARTNER
ralph Krüger
Senior Manager
Diplom-Informatiker, Diplom-Finanzwirt
CISA
Auguste-Viktoria-Straße 118
14193 Berlin
T +49 30 208 88-1150
F +49 30 208 88-1190
E r.krueger@rbs-partner.de
henning Lieder
Manager
Diplom-Wirtschaftsmathematiker
CISA/CIA/CISM
Domstraße 15
20095 Hamburg
T +49 40 415 22-860
F +49 40 415 22-932
E h.lieder@rbs-partner.de
stefan wittjen
Senior Manager
Diplom-Kaufmann
CISA/CIA/CISM/CRISC/QA/QA-IT
IS-Revisor des Bundesamts für Sicherheit in der Informationstechnik (BSI)
ISO 27001-Auditor auf Basis von IT-Grundschutz des BSI
Auguste-Viktoria-Straße 118
14193 Berlin
T +49 30 208 88-1150
F +49 30 208 88-1190
E s.wittjen@rbs-partner.de
22 rBs roeverBroennersusat

STANDORTE
Berlin
Auguste-Viktoria-Straße 118
14193 Berlin
T +49 30 208 88-0
F +49 30 208 88-1999
Rankestraße 21
10789 Berlin
T +49 30 208 88-0
F +49 30 208 88-1999
hamburg
Domstraße 15
20095 Hamburg
T +49 40 415 22-0
F +49 40 415 22-111
frankfurt am Main
Gervinusstraße 15
60322 Frankfurt am Main
T +49 69 500 60-0
F +49 69 500 60-2050
Köln
Aachener Straße 75
50931 Köln
T +49 221 912 84-50
F +49 221 912 84-56
Leipzig
Petersstraße 1–13
04109 Leipzig
T +49 341 339 70-600
F +49 341 339 70-611
München
Herzog-Heinrich-Straße 22
80336 München
T +49 89 350 00-0
F +49 89 350 00-2350
nürnberg
Längenstraße 14
90491 Nürnberg
T +49 911 60 07-0
F +49 911 60 07-2699
dresden
Bautzner Straße 17
01099 Dresden
T +49 351 45 15-0
F +49 351 45 15-2250
Potsdam
Hebbelstraße 27
14469 Potsdam
T +49 331 73 04 07-70
F +49 331 73 04 07-79
Greifswald
Steinbeckerstraße 10
17489 Greifswald
T +49 3834 885 33-40
F +49 3834 885 33-44
Zur RBS-Gruppe gehören neben der RBS RoeverBroennerSusat GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft weitere Gesellschaften,
die hochqualifizierte Beratungs- und Prüfungstätigkeiten erbringen. Einen umfassenden
Einblick erhalten Sie in unserer Internetpräsenz unter www.rbs-partner.de.
rBs roeverBroennersusat 23

24 rBs roeverBroennersusat
DE 1/2013
www.rbs-partner.de