+ All Categories
Home > Documents > DELOITTE ERS

DELOITTE ERS

Date post: 27-Jun-2015
Category:
Upload: osman-zulu
View: 110 times
Download: 0 times
Share this document with a friend
10
Risk-News Aktuelle Informationen rund ums Risikomanagement Enterprise Risk Services 1/2010 Liebe Leser, in dieser Ausgabe der Risk-News möchten wir Sie über aktuelle BilMoG-Themen infor- mieren. Unser Leitartikel räumt auf mit dem „Mythos BilMoG“ und gibt eine Einführung in die Thematik. Was steckt wirklich hinter den Änderungen des Bilanzrechtsmodernisierungs- gesetzes und was bedeuten sie in der praktischen Anwendung? Alle in diesen Risk-News vorgestellten Themenbereiche beschreiben für Management und Aufsichtsrat wichtige BilMoG-Aspekte sowohl unter dem Blickwinkel der Risikofrüh- erkennung und -minimierung als auch unter Berücksichtigung der Erzielung größtmög- licher Wirksamkeit und Informationsqualität durch Ergreifen geeigneter Maßnahmen. Der letzte Artikel in diesem Newsletter beschäftigt sich ganz praxisnah mit der IT-Um- setzung der BilMoG-Thematik und stellt bereits etablierte Systeme vor, die Prozesseffizi- enz und -sicherheit im Unternehmen entscheidend verbessern. Mit allen präsentierten Werkzeugen und Maßnahmen unterstützt Deloitte Vorstände, Geschäftsführer und Aufsichtsräte dabei, optimalen Nutzen aus der Umsetzung der BilMoG-Anforderungen zu ziehen. Zudem unterstützen wir bei der Erfüllung der per- sönlichen Aufgaben und der Reduzierung möglicher Haftungsrisiken aus den neu ge- fassten Regelungen. Ich wünsche Ihnen wie immer eine spannende und inspirierende Lektüre. Ihr Hans Röhm Dr. Hans Röhm
Transcript
Page 1: DELOITTE ERS

Risk-News Aktuelle Informationen rund ums Risikomanagement

Enterprise Risk Services1/2010

Liebe Leser,

in dieser Ausgabe der Risk-News möchten wir Sie über aktuelle BilMoG-Themen infor-mieren.

Unser Leitartikel räumt auf mit dem „Mythos BilMoG“ und gibt eine Einführung in die Thematik. Was steckt wirklich hinter den Änderungen des Bilanzrechtsmodernisierungs-gesetzes und was bedeuten sie in der praktischen Anwendung?

Alle in diesen Risk-News vorgestellten Themenbereiche beschreiben für Management und Aufsichtsrat wichtige BilMoG-Aspekte sowohl unter dem Blickwinkel der Risikofrüh-erkennung und -minimierung als auch unter Berücksichtigung der Erzielung größtmög-licher Wirksamkeit und Informationsqualität durch Ergreifen geeigneter Maßnahmen.

Der letzte Artikel in diesem Newsletter beschäftigt sich ganz praxisnah mit der IT-Um-setzung der BilMoG-Thematik und stellt bereits etablierte Systeme vor, die Prozesseffizi-enz und -sicherheit im Unternehmen entscheidend verbessern.

Mit allen präsentierten Werkzeugen und Maßnahmen unterstützt Deloitte Vorstände, Geschäftsführer und Aufsichtsräte dabei, optimalen Nutzen aus der Umsetzung der BilMoG-Anforderungen zu ziehen. Zudem unterstützen wir bei der Erfüllung der per-sönlichen Aufgaben und der Reduzierung möglicher Haftungsrisiken aus den neu ge-fassten Regelungen.

Ich wünsche Ihnen wie immer eine spannende und inspirierende Lektüre.

Ihr Hans Röhm

Dr. Hans Röhm

Page 2: DELOITTE ERS

2

Das Bilanzrechtsmodernisierungsgesetz (BilMoG) stellt die tiefgreifendste Änderung der deutschen Bilanzierungs-regeln seit dem Bilanzrichtliniengesetz von 1985 dar. Mit dem am 29. Mai 2009 in Kraft getretenen Gesetz wurden im Zuge der Modernisierung des Bilanzrechts die Bi-lanzierungsregeln weiterentwickelt und internationalen Rechnungslegungsgrundsätzen angepasst. Ziel ist es, ein wettbewerbsfähiges Bilanzrecht im internationalen Kon-text zu schaffen. Ebenso sollen die neuen Bilanzregeln einen Beitrag zu Deregulierung und erhöhtem Informa-tionsgehalt des Berichtswesens von Unternehmen leis-ten und eine gleichwertige, aber kostengünstigere und vor allem einfachere Alternative zu den internationalen Rechnungslegungsstandards IFRS darstellen.

In Übereinstimmung mit dieser Absicht betrifft der bei Weitem größte Teil der Änderungen im BilMoG-Artikel-gesetz verschiedene Bilanzierungsthemen. Die meisten Unternehmen haben die Mitarbeiter im Finanz- und Rech-nungswesen zu diesen neuen Themen schulen lassen und befinden sich bereits in der Umsetzungsphase.

Ein kleinerer, jedoch bei Weitem nicht so konkret gefass-ter Teil des BilMoG adressiert den Themenkomplex der Steuerung und Überwachung von Unternehmen. Diese Regelungen zur Corporate Governance betreffen direkt Vorstände, Geschäftsführer sowie Aufsichtsräte der Un-ternehmen. Dabei sind diese Themen nicht neu und ändern das Aufgabenspektrum des adressierten Personen-kreises nicht. Mit dem Inkrafttreten des BilMoG-Artikel-gesetzes ändert sich jedoch die Rechtsverbindlichkeit: Zahlreiche Regelungen sind nunmehr im Gesetz gefasst, mit entsprechenden Haftungsrisiken für die Führungs- und Aufsichtsorgane der Unternehmen.

Die Aufgaben von Geschäftsführung, Vorstand und Auf-sichtsrat wurden durch den Gesetzgeber im GmbH-Ge-setz sowie im Aktiengesetz festgeschrieben. Die wesentli-chen Pflichten des Vorstands der Aktiengesellschaft oder des Geschäftsführers der GmbH bestehen darin, die Ge-schäfte entsprechend der jeweils gesetzlich festgesetzten Sorgfaltspflichten zu führen. Der Aufsichtsrat wiederum ist verpflichtet, den Vorstand bzw. die Geschäftsführung dabei zu überwachen. Im Besonderen hat der Aufsichts-rat durch seinen Prüfungsausschuss oder als Aufsichtsrat insgesamt den Rechnungslegungsprozess, die Wirksam-keit des internen Kontrollsystems, des Risikomanagement-systems und des internen Revisionssystems sowie die Prü-fung des Jahresabschlusses zu überwachen. Damit der Aufsichtsrat diese Leistung erbringen kann, haben ihm der Vorstand oder die Geschäftsführung die erforderli-chen Informationen zur Verfügung zu stellen.

Die Herstellung dieser Transparenz wirft sowohl für Vorstand oder Geschäftsführung als auch für den Auf-sichtsrat einige Fragen auf, die es zu beantworten gilt. Ist das interne Kontrollsystem des Unternehmens auf die richtigen Fehlerquellen ausgerichtet, um zu gewährleis-ten, dass Bilanz sowie Gewinn- und Verlustrechung ein der Wirklichkeit entsprechendes Bild des Unternehmens zeichnen? Ist ein funktionierendes Risikomanagement-system etabliert, welches die richtigen Risiken im Fokus hat und zeitnah auf innere und äußere Veränderungen mit den richtigen Maßnahmen reagiert? Wie geht das Unternehmen mit der Gefahr von rechtswidrigen Hand-lungen seiner Mitarbeiter um, die in den letzten zwei Jahren für viele Unternehmen zu einem ernsthaften Pro-blem geworden sind? Ist die interne Revision hinsichtlich Erfahrung, Ausbildung und Kapazität so aufgestellt, dass sie den Unternehmensorganen die notwendige Sicher-heit hinsichtlich der Zuverlässigkeit der genannten Über-wachungs- und Steuerungssysteme geben kann? Die wichtigsten Fragen sind jedoch die, ob Informationen be-züglich der Wirksamkeit des internen Kontrollsystems, der Veränderung wesentlicher Risiken sowie die Arbeitsergeb-nisse der internen Revision zeitnah den Unternehmensor-ganen zur Verfügung stehen und wie diese dokumentieren, dass sie auf Basis dieser Informationen ihren Sorgfalts- und Überwachungspflichten nachgekommen sind.

Mit einer Reihe praxisorientierter Werkzeuge unterstützt Deloitte Vorstand, Geschäftsführung und Aufsichtsrat bei der raschen und effizienten Beantwortung dieser Fragen. Hierbei stehen die Qualität der erhobenen In-formationen und ein realistisches Aufwand-Nutzen-Ver-hältnis an erster Stelle. Anstatt prozessorientiert an be-stimmten dezentralen Punkten Kontrollen zu etablieren (Bottom-up-Ansatz), werden die internen Kontroll-, Risi-komanagement- und Revisionsstrukturen so ausgerich-tet, dass sie zu jedem Zeitpunkt kompetente Antworten auf die für die Unternehmenssteuerung entscheidenden Fragen liefern. Dabei gilt es, ein „zu wenig“ ebenso zu vermeiden wie ein „zu viel“. Statt überbordende, nicht mit anderen internen Überwachungsinstrumenten ver-zahnte Kontrollstrukturen aufzubauen und damit wert-volle Managementkapazität zu binden, soll vielmehr mit größtmöglicher Effizienz erreicht werden, dass das Ma-nagement und die Aufsichtsgremien die notwendigen Informationen über Unternehmensrisiken oder Schwä-chen in den Überwachungssystemen zeitnah erhalten. Die Prozesse sollen dem Unternehmen dienen und nicht umgekehrt. Dies ist umso wichtiger, als das BilMoG im Gegensatz zu anderen internationalen Regelwerken, z.B. dem amerikanischen Sarbanes-Oxley Act, die Maßnahmen weniger dezidiert vorschreibt und den Unternehmen somit eine große Flexibilität ermöglicht.

Mythos BilMoG – Chancen nutzen, Risiken minimieren

Andreas HerzigTel: +49 (0)711 16554 [email protected]

Page 3: DELOITTE ERS

3

Mithilfe von Deloitte-Tools lässt sich die optimale Funktionsfähigkeit eines der zentralen Corporate-Governance-Elemente überprüfen und sicherstellenDie Interne Revision hat in den letzten Jahren deutlich an Bedeutung gewonnen. Dies ist nicht nur auf die Dis-kussion ineffektiver Kontroll- und Risikomanagement-systeme zurückzuführen, sondern auch durch eine Viel-zahl neuer regulatorischer Anforderungen begründet. So konkretisiert das am 29. Mai 2009 in Kraft getretene Bilanzrechtsmodernisierungsgesetz (BilMoG) unter an-derem die Überwachungsaufgaben des Aufsichtsrats beziehungsweise die des Prüfungsausschusses. Die Ver-antwortung für die Überwachung der Wirksamkeit der internen Risikosysteme obliegt danach dem Aufsichtsrat beziehungsweise dem Prüfungsausschuss.

Im besten Falle ist die Interne Revision hervorragend ge-eignet, Aufsichtsgremien und die Geschäftsführung bei der Bewältigung der neuen Anforderungen maßgeblich zu unterstützen. Das bedeutet jedoch enorme Anforde-rungen an die Interne Revision, und zwar sowohl in Hin-sicht auf die Organisation als auch auf die angewandten Methoden und Techniken. Im Bezug auf Prüfungs- und Beratungsleistungen muss sichergestellt sein, dass die Interne Revision als Organisationseinheit den Anforde-rungen gewachsen ist und einen Beitrag zum Unterneh-menserfolg erbringt.

Wir analysieren Ihre Interne Revision mithilfe unseres exklusiven Internal Audit Quality Assessment Tool, in dem unter anderen alle internationalen Revisionsstan-dards, Leading-Practice-Anwendungen zahlreicher Un-ternehmen sowie das weltweite Know-how unserer In-ternal-Audit-Experten enthalten ist.

Auf Basis eines Quality Assessment – wie es bereits eine Vielzahl von Unternehmen entsprechend den berufs-ständischen Standards mindestens alle fünf Jahre durch einen externen Dritten durchführt – zeigen wir Ihnen weitere Optimierungspotenziale auf und erhöhen somit den Qualitätsgrad Ihrer Corporate-Governance-Elemente.

Quality Assessment Service – Unser AnsatzDurch unseren Quality Assessment Service unterstützen wir Sie dabei, Ihre Interne Revision zu analysieren und systematisch weiterzuentwickeln. Hierfür haben wir einen integrierten, Tool-gestützten Ansatz entwickelt, der die regulatorischen Anforderungen genauso wie die Wirt-schaftlichkeit Ihrer Internen Revision im Blick hat. Unsere QA-Experten führen im Rahmen des Quality Assessment folgende Schritte durch:

•ErfassendesgegenwärtigenEntwicklungsstandesIhrerInternen Revision und Analyse des Revisionsauftrages sowie der Revisionsziele

•BeurteilungderOrganisation,derQualifikationdesRe-visionsteams sowie der Qualität interner und externer Beziehungen

•AnalysedereingesetztenMethodenundSysteme•PrüfungderAusgestaltungvonWissens-undProjekt-

management•ErfassungdesZufriedenheitsgradswesentlicherStake-

holder der Internen Revision (Audit Committee, Auf-sichtsrat, Vorstand, Wirtschaftsprüfer etc.)

Das Deloitte QA-Reifegrad-ModellUm eine objektive Aussage zu Ihrer Internen Revision treffen zu können, bedarf es weitergehender Überle-gungen hinsichtlich der Erfassung und Skalierung der Prüfergebnisse. Hierfür haben wir das Deloitte-Tool QA-Reifegrad-Modell entwickelt, das aus einem objektiven Kriterienkatalog sowie einem automatisierten Scoring-modell besteht.

Die Ergebnisse unserer Dokumentenanalyse und der In-terviews fügen wir in das QA-Reifegrad-Modell ein und können somit eine objektive Aussage zu Ihrer Internen Revision treffen. Gleichzeitig findet ein datenbankbasier-ter Abgleich mit Best Practices und anderen branchen-gleichen Unternehmen statt.

Unser automatisch generierter Prüfbericht enthält schließ-lich Aussagen zu folgenden Fragenstellungen:

•ErfülltdieInterneRevisiongesetzlicheundberufsstän-dische Anforderungen (Compliance)?

•FührtdieInterneRevisionihreAufgabensoaus,dasssie ihrer Verantwortung sowie den Zielen und Erwar-tungen der Unternehmensleitung gerecht wird (Effek-tivität)?

•IstdieInterneRevisionhinsichtlichFragenderWirt-schaftlichkeit im Vergleich zu Best-Practice-Lösungen adäquat ausgestaltet (Effizienz)?

•AnwelchenStellenderOrganisationundderProzesseIhrer Internen Revision sehen wir noch Raum für Ver-besserungsmöglichkeiten und wie könnten diese kon-kret aussehen?

Für ein bestandenes Quality Assessment erhalten Sie von uns im Anschluss ein QA-Zertifikat, das interne und ex-terne Stellen von der Leistungsfähigkeit Ihrer Internen Revision überzeugen wird.

Interne Revision auf dem Prüfstand

Thomas Kirstan Tel: +49 (0)211 8772 [email protected]

Page 4: DELOITTE ERS

4

Wir unterstützen Sie gerne dabei, die so identifizierten Verbesserungspotenziale zu nutzen. Hierfür arbeiten wir gemeinsam mit Ihnen die weiteren Schritte und einen Aktionsplan aus. Auch bei der operativen Umsetzung stehen wir Ihnen zur Seite, um die Anforderungen an die Revision zeitnah und vollständig zu erfüllen.

Gemeinsam stellen wir sicher, dass das Ergebnis der Zu-sammenarbeit eine moderne Interne Revision ist, die nicht nur geltende Standards erfüllt, sondern durch ihre Ausrichtung an Effizienzkriterien maßgeblich zum Unter-nehmenserfolg beiträgt.

QA-Reifegradmodell

1

6 7

2 11

5 8

4 9

3 10

1

2

4

5

6

8

9

11

3

7

10

Page 5: DELOITTE ERS

5

Welche zusätzlichen Erfordernisse ergeben sich aus den neuen Vorschriften, welche Maßnahmen sind wirklich notwendig?Die Neuerungen des am 29. Mai 2009 in Kraft getrete-nen Bilanrechtsmodernisierungsetztes (BilMoG) gehen u.a. auf europarechtliche Vorgaben der Abschlussprü-fer-Richtlinie sowie der Abänderungs-Richtlinie zurück und betreffen insbesondere auch das interne Risikoma-nagement. Im Zentrum stehen die Besetzung und Über-wachungsaufgaben des Aufsichtsrats und Prüfungsaus-schusses.

Insbesondere die konkretisierten Überwachungsaufga-ben der Aufsichtsorgane und die erweiterte Lagebericht-erstattung in bezug auf das rechnungslegungsbezogene Interne Kontroll- und Risikomanagementsystem stellen für viele Unternehmen eine Herausforderung dar:

•Nach§107Abs.3Satz2AktGistderAufsichtsratver-antwortlich für die Überwachung der Wirksamkeit des− Internen Kontrollsystems− Risikomanagementsystems− Internen Revisionssystems.

•KapitalmarktorientierteUnternehmenhabennach§289Abs.5bzw.§315Abs.2Nr.5HGBdiewesentlichenMerkmale des internen Kontroll- und des Risikomanage-mentsystems im Hinblick auf den Rechnungslegungs-prozess im Lagebericht zu beschreiben.

Welche Mindestanforderungen und konkreten Maß-nahmen ergeben sich aus der erweiterten Lage-berichterstattungspflicht gem. BilMoG?Zunächst ist festzuhalten, dass das Maß der Beschreibung nicht festgelegt ist und von den individuellen Gegeben-heiten des einzelnen Unternehmens (Branche, Größe, Ge-schäftsmodell und regulatorische Anforderungen) abhängt.

Die Beschreibung beschränkt sich auf die Strukturen und Prozesse. Es ist keine Aussage bezüglich der Effektivität zu treffen.

Dennoch ist für Darstellung des rechnungslegungsbezo-genen internen Kontroll- und Risikomanagementsystems (IKRS) im Lagebericht ein systematisches Vorgehen er-forderlich:

1. Strukturierte Erfassung der vorhandenen Steuerungs- und Überwachungssysteme bezogen auf den Rech-nungslegungsprozess mit dem Ziel, alle wesentlichen Instrumente und Maßnahmen, die zur Verlässlichkeit der Finanzberichterstattung beitragen, festzustellen.

Gegenstand dieser Bestandsaufnahme, die intern oder mit externer Unterstützung durchgeführt werden kann, ist die Erfassung von z.B.:

•organisatorischenSicherungsmaßnahmenwiez.B.Un-ternehmens- und Führungsstrukturen, Geschäftsord-nung, Funktionstrennung, Zugriffsbeschränkungen etc.

•KontrollmaßnahmenzurSicherstellungvonVollständig-keit und Richtigkeit z.B. auch Plausibilitätskontrollen und Soll-/Ist-Vergleiche

•Überwachungsmaßnahmen(z.B.TätigkeitderInternenRevision, des Abschlussprüfers und Gutachter in bezug auf die Rechnungslegung)

•ControllingundRisikofrühwarnsysteminbezugaufdenRechnungslegungsprozess.

2. Sicherstellung einer ordnungsgemäßen internen Do-kumentation der wesentlichen Merkmale des (IKRS). Diese muss für einen fachkundigen Dritten nach-vollziehbar und überprüfbar sein sowie eine hinrei-chende Basis für die Lageberichterstattung bieten. Zudem stellt die interne Dokumentation einen Prü-fungsnachweis für den Abschlussprüfer im Rahmen der Prüfung des Lageberichts dar.

3. Zutreffende Beschreibung der wesentlichen Merk-male des rechnungslegungsbezogenen (IKRS) im La-gebericht und Beschäftigung der gesetzlichen Ver-treter und Aufsichtsorgane mit der Angemessenheit und Wirksamkeit. Die Beurteilung der Angemessen-heit und Wirksamkeit, die gem. Gesetzesbegründung erwartete wird, kann sich z.B. stützen auf:

•PrüfungshandlungenundPrüfungsfeststellungendesAbschlussprüfers

•PrüfungenderInternenRevision(FinancialAudit)•InterneSelfAssessmentsundTesting-Verfahren(z.B.

SOX-Testing) sowie externe Gutachten mit rechnungs-legungsbezug.

Aus der Vorschrift geht weder eine Einrichtungsverpflich-tung noch die inhaltliche Ausgestaltung des (IKRS) hervor. Existiert kein System, ist dies aber im (Konzern-)Lagebe-richt anzugeben. Der Abschlussprüfer hat die Richtigkeit der Beschreibung zu überprüfen wobei die Überprüfung der Funktionsfähigkeit nicht vorgesehen ist. Allerdings muss der Abschlussprüfer in der Bilanzsitzung des Auf-sichtsrats bzw. Prüfungsausschusses über wesentliche Schwächen des (IKRS) bezogen auf den Rechnungsle-gungsprozessberichten(§171Abs.1S.2AktG).

BilMoG-Compliance: Hinweise zur Umsetzung

Heinz WustmannTel: +49 (0)89 29036 [email protected]

Page 6: DELOITTE ERS

Welche Erfordernisse ergeben sich aus der Verant-wortung des Aufsichtsrats hinsichtlich der Über-wachung der Wirksamkeit des Internen Kontroll-, Risikomanagement- und Revisionssystems?Die Anforderungen sind inhaltlich nicht vollkommen neu. Das Aufgabenspektrum der Aufsichtsorgane wird jedoch konkretisiert(§107Abs.3Satz2AktG).

Die Überwachung der Wirksamkeit erfordert ein syste-matisches Vorgehen und die Einführung eines Prozesses für den Wirksamkeitsnachweis:

Bestandsaufnahme und Berichterstattung über die bestehenden Risiko-, Kontroll- und RevisionssystemeIn einem ersten Schritt, sollten die gesetzlichen Vertreter oder die für die Teilsysteme verantwortlichen Mitarbei-ter über die Ausgestaltung der Teilsysteme an den Auf-sichtsrat berichten. Bei Bedarf sollten zusätzlich externe Gutachten eingeholt werden, so dass im Ergebnis ein angemessenes Systemverständnis im Aufsichtsrat vor-liegt und ggf. erkennbare Schwachstellen rechtzeitig be-hoben werden können.

Risikoanalyse und Festlegung der überwachungsrele-vanten ThemenDer Prozess der Risikoerfassung, -bewertung und -ana-lyse ist von den gesetzlichen Vertretern so auszugestal-ten, dass alle Risikokategorien berücksichtigt werden und kein wesentliches Risiko den gesetzlichen Vertretern und dem Aufsichtsrat unbekannt bleibt. In die Risikoanalyse einzubeziehen sind neben den klassischen Risikoberichten z.B. auch wesentliche Prüfungsfeststellungen der Internen Revision und des Abschlussprüfers sowie Compliance-Berichte und externe Gutachten. Die überwachungs-relevanten Themen sind in Abstimmung mit dem Auf-sichtsrat für die Berichtsperiode (formal) festzulegen und sofern erforderlich unterjährig zu ergänzen.

Prüfung der Angemessenheit und Wirksamkeit des vorhandenen Internen Kontroll-, Risikomanagement und Revisionssystems in bezug auf die überwachungs-relevanten ThemenDie Prüfung der Angemessenheit und Wirksamkeit der Teilsysteme kann auf verschiedene Art und Weise durch das Unternehmen selbst oder durch unabhängige externe Dritte erfolgen, z.B.:

•PrüfungendurchdieInterneRevision(Revisionsplan)•UnternehmensinterneAnalysen,SelfAssessmentsund

Testing-Verfahren •PrüfungshandlungendesAbschlussprüfers(Sonderprü-

fungen) •ExterneRevisionsprüfungen,GutachtenundZertifizie-

rungsaudits (z.B. Quality Assessment der Internen Re-vision, vgl. S. 3).

Wegen der Funktionstrennung zwischen Management und Aufsichtsorganen hat der Aufsichtsrat keine unter-nehmensinternen eigenen Überwachungsinstrumente.

Das Management wird deshalb in Abstimmung mit dem Aufsichtsrat die Prüfungsaktivitäten beauftragen und ko-ordinieren sowie über die Ergebnisse berichten.

Formale Berichterstattung an den Aufsichtsrat und WirksamkeitsnachweisNicht zuletzt aus Haftungssicht kommt der strukturier-ten (formalen) Berichterstattung über die Ergebnisse der Wirksamkeitsprüfung, der ggf. notwendigen Einleitung von Gegenmaßnahmen sowie der ordnungsgemäßen Dokumentation eine hohe Bedeutung zu.

Festlegung von Zielen zur Weiterentwicklung der be-stehenden Systeme und regelmäßige Überwachung der WirksamkeitDer Aufsichtsrat hat die gesetzlichen Vertreter aufgrund der gewonnen Erkenntnisse anzuhalten, funktionsfähige Systeme einzurichten und bestehende Schwächen zu be-heben. Mit der Nachverfolgung beschlossener Maßnah-men beginnt der systematische Prozess zur Erlangung des Wirksamkeitsnachweises (jährlich) aufs Neue.

Die obigen Ausführungen zeigen zusammenfassend, dass betroffene (kapitalmarktorientierte) Unternehmen ver-pflichtet sind, ein integriertes Risiko-, Kontroll- und Re-visionssystem einzurichten, das anerkannten Standards genügt, im Unternehmen durchgängig implementiert und dokumentiert ist und dessen Wirksamkeit regelmä-ßig systematisch nachgewiesen wird.

Deloitte Analyse-Tools zur Unterstützung der BilMoG-ComplianceUm rasch einen Aufsatzpunkt für den Themeneinstieg zu finden und dem Management den Umfang der notwen-digen Maßnahmen zur BilMoG-Umsetzung zu verdeutli-chen, können eine Reihe von Tools eingesetzt werden:

BilMoG-Compliance Health CheckTool zur raschen Erhebung des Status im Bereich BilMoG-Compliance – notwendige Verbesserungen werden deut-lich gemacht.

Risk Maturity ToolUnter Einbeziehung des Managements und der Aufsichts-organe (optional) sowie der Prozessverantwortlichen wird der Reifegrad eines ganzheitlichen Risikomanagements ermittelt.

QA-ToolTool zur Durchführung eines Quality Assesment der in-ternen Revision gern. DIIR- bzw. IIA-Standard. Das hin-terlegte Reifegradmodell macht den Status und notwen-dige Handlungsfelder rasch deutlich (vgl. S. 4).

PDIA – Performance Driven Internal AuditIn einer Datenbank von mehr als 200 Indikatoren zur Messung der Leistungsfähigkeit der internen Revision werden die jeweils passenden zur individuellen Perfor-mance-Messung zusammengestellt.

6

Page 7: DELOITTE ERS

7

Die Anforderungen des Bilanzrechtsmodernisie-rungsgesetzes (BilMoG) effizient umsetzenDas neue Gesetz enthält neben einer Vielzahl von Neu-regelungen für die Unternehmensbilanz auch Regelungen zur Corporate Governance. Diese adressieren beispiels-weise erweiterte Aufgaben und Pflichten des Topma-nagements sowie der Aufsichtsgremien hinsichtlich des Risikomanagements, interner Kontrollsysteme und des Compliance Managements (vor allem ein periodisches Berichtswesen). Durch eine fehlende Konkretisierung des Gesetzgebers sowie mangelnde Erfahrung in der Defini-tion und Umsetzung solcher Anforderungen sind Fehl-entwicklungen sowohl aus inhaltlicher Sicht als auch hinsichtlich des Umfangs der notwendigen Aktivitäten vorprogrammiert. Vor dem Hintergrund der großen Kor-ruptionsfälle der vergangenen Jahre in der deutschen Wirtschaft besteht die Gefahr, dass Unternehmen bei der Umsetzung von Corporate-Governance-Anforderun-gen deutlich über das anvisierte Ziel hinausschießen.

Bei der Einführung entsprechender Risikomanagement- und Überwachungsinstrumente liegt der Schwerpunkt meist auf Kontrollen und dem Aufbau von starren Report-ing-Strukturen. Einige wesentliche Elemente gut funkti-onierender Unternehmenssteuerung kommen dabei zu kurz:

•FokussierenaufwesentlicheThemen•EntscheidungsorientiertesAufbereitenvonInformationen•EinbeziehenvonFach-ExpertenzurLösungauftretender

Probleme•ÜberwachenderUmsetzungvonMaßnahmen

Für die Implementierung wirkungsvoller und effizienter Steuerungs- und Überwachungssysteme in den Berei-chen Risikomanagement, interne Kontrollsysteme und Compliance-Management sind ein zentrales Manage-ment sowie der Aufbau zentralisierter Prozess- und IT-Strukturen erforderlich.

Basis für eine erfolgreiche UmsetzungEs ist empfehlenswert, ein auf das jeweilige Unterneh-men abgestimmtes Compliance-Programm für die ge-nannten regulatorischen Anforderungen zu definieren und in die bestehenden Risikomanagement-/Kontrollsys-teme zu integrieren. Standardisierte Ansätze oder reine Softwarelösungen nehmen wenig Rücksicht auf die ak-tuelle Situation eines Unternehmens und bergen damit die Gefahr, wesentliche Risiken nicht ausreichend zu ad-ressieren.

Gemeinsames Verständnis der AufgabenGrundlage für die effiziente Prozessumsetzung ist ein gemeinsames Verständnis für Aufgaben und Verantwor-tungen. Dies baut auf einer zentralen Steuerung und Überwachung auf, belässt jedoch die Verantwortung zum Management von Risiken sowie zur Einhaltung von Kontrollstandards bei den dezentralen Geschäfts- bzw. Prozessverantwortlichen.

Der Vorstand sollte organisatorische Maßnahmen eta-blieren, um einheitliche und unternehmensweit abge-stimmte Mindestanforderungen für Risikomanagement, interne Kontrollen und Compliance-Management um-setzen und überwachen zu können. Zugrundeliegende Ziele, Methoden, Strategien müssen von den beteilig-ten Parteien verstanden, mitgetragen und angewendet werden. Regionale oder branchenspezifische Aspekte gilt es entsprechend zu berücksichtigen.

Oft wird diese Aufgabe an einen Chief Compliance Of-ficer (CCO) oder eine vergleichbare Position delegiert. Die Verantwortung verbleibt jedoch beim Vorstand, der die wesentlichen Merkmale des Risikomanagements, des internen Kontrollsystems sowie des Compliance-Systems an den Aufsichtsrat berichtet.

Die Hauptverantwortung für das tägliche Risiko- und Compliance-Management liegt in den operativen Funk-tionsbereichen. Durch die Anwendung der Kontrollver-fahren und -instrumente gilt es, die im internen Kontroll-system (IKS) definierten Prozess- und Kontrollstandards sowie die zugrundeliegenden regulatorischen Vorgaben einzuhalten. Diese „First Line of Defense (Prevent)“ dient der präventiven Kontrolle zur Vermeidung von Risiken oder Regelverstößen.

Als „Second Line of Defense (Respond)“ fungieren die Zentralfunktionen des Unternehmens. Sie geben Struktur und Abläufe von Compliance- und Risikomanagement-/Kontrollsystemen vor und „antworten“ damit auf die ak-tuelle Risikosituation des Unternehmens. Die sogenannte „Third Line of Defense (Detect)“ überwacht die Einhaltung der etablierten Kontrollen sowie die Wirksamkeit des Risiko-/Compliancemanagements oder deckt bereits ein-getretene Schäden auf. Diese Aufgabe kann am besten durch die Interne Revision als konzernweite Überwachungs-funktion wahrgenommen werden.

Erst durch das Zusammenwirken dieser drei „Verteidi-gungslinien“ lassen sich Risiken im Umfeld der Compli-ance wirkungsvoll vermeiden.

Die Gesetzesnovelle in der Praxis

Uwe ProbstTel: +49 (0)69 75695 [email protected]

Page 8: DELOITTE ERS

Effiziente UmsetzungDie Schlüssel zu einer effizienten Umsetzung der BilMoG-Anforderungen sind in den folgenden Punkten zusam-mengefasst:

•KlarheitbeiAufgabenundgemeinsamgetrageneSprach-regelungen (z.B. bei der Einschätzung von Risiken) als Basis für effiziente Strukturen und Kommunikation inner-halb eines integrierten Gesamtsystems. Unterschied-liche Verantwortungen und Berichtswege neigen dazu, das Gesamtsystem unnötig aufzublähen.

•KonsequenteOrientierungangroßenRisiken,diedieAufmerksamkeit der Unternehmensleitung benötigen, sowie Einrichten eines Prozesses, der die etablierten Kontrollen und erhobenen Risiken regelmäßig hinter-fragt, um Veränderungen im Unternehmen zeitnah in-tegrieren zu können.

•EmpfängerorientierteInformationsaufbereitung(Report-ing), die es dem Informationsempfänger ermöglicht, seinen Aufgaben und seiner Verantwortung gerecht zu werden und ihn nicht in einer Flut unrelevanter In-formationen ertrinken lässt.

•ZentraleVorgabeeinesMindeststandardsanKontrol-len für kritische Prozesse (z.B. Einkauf, Vertrieb etc.), deren Einhaltung zentral überwacht werden kann. Da-durch wird dem verantwortlichen Topmanagement die notwendige Sicherheit gegeben, dass auch in kom-plexen Unternehmensstrukturen eine Basis-Sicherheit verfügbar ist bzw. Kontrollschwächen zeitnah aufge-deckt werden.

•EtablierenvonRisk/ComplianceCommittees,umRisi-ken fachlich übergreifend zu diskutieren und Lösungs-vorschläge zu erarbeiten. Nach festgelegten Regeln werden Risiken dem Topmanagement zur Kenntnis ge-bracht und/oder Maßnahmen zur Entscheidung vorge-legt.

FazitNicht zuletzt zeigen einige spektakuläre Fälle in der jün-geren Vergangenheit, wie wichtig es ist, mit den Themen Compliance, Risikomanagement und internes Kontroll-system angemessen umzugehen. Die Umsetzung wir-kungsvoller Systeme zum Risikomanagement und zur Unternehmensüberwachung als Antwort auf die Com-pliance-Fälle der vergangenen Jahre zeigt bei den betrof-fenen Unternehmen Wirkung. Die gesamte Neuordnung gewachsener und nicht integrierter Systeme sowie die Bereitschaft, Vorhandenes zu hinterfragen, verdeutlichen, dass diese Systeme in der Lage sind, einen Mehrwert für das Topmanagement und die Aufsichtsgremien zu liefern und Haftungsrisiken reduzieren.

8

Page 9: DELOITTE ERS

9

Ein effizienter Schutz gegen Datenmissbrauch ist wichtiger Bestandteil eines modernen internen KontrollsystemsDas Bilanzrechtsmodernisierungsgesetz (BilMoG) wird dazu führen, dass interne Kontrollsysteme (IKS) und Risi-komanagementsysteme in den betroffenen Unternehmen kritisch überprüft werden. Identity & Access Management (IAM) ist ein Teil eines modernen IKS, dessen Nutzung zu einer deutlich stärkeren Transparenz von Prozessen, Ver-antwortlichkeiten und Kontrollen im Unternehmen führt.

Die Vorfälle von Datenmissbrauch durch interne Mitarbei-ter, Kunden, Lieferanten und Geschäftspartner nehmen stetig zu. Besonders schwerwiegend sind der Vertrau-ensverlust bei Kunden und Lieferanten, die resultieren-den rechtlichen Konsequenzen und damit einhergehend ein möglicher großer finanzieller Verlust. Viele Unterneh-men versuchen diesen IKS-Anforderungen gerecht zu werden, verlassen sich dabei aber häufig nur auf schnelle Lösungen, um eine Antwort auf die offensichtlichsten Angriffsrisiken zu liefern. Andere Unternehmen ändern nichts und ignorieren die bestehenden Risiken. Die Rea-lität zeigt, dass Identitäts- und Zugriffsmanagement ein hoch komplexes Problemfeld ist, das weit mehr Bereiche betrifft als die IT-Abteilung. Es umfasst die komplette Or-ganisation, einschließlich sämtlicher Geschäftseinheiten und Niederlassungen, Systeme, Zugriffswege, Geschäfts-partner und Kunden. Die stetig wachsende Anzahl von mobilen Nutzern, Joint Ventures und weiteren Geschäfts-tätigkeiten erhöht zudem das Angriffspotenzial auf die IT-Systeme.

Die umfassende Lösung von DeloitteDas Deloitte Identity & Access Management (IAM) Frame-work beinhaltet sämtliche Aspekte des Identitäts- und Zugriffsverwaltungslebenszyklus. Es ist ein ganzheitlicher, geschäftsprozessorientierter Ansatz, der die umfangrei-chen Deloitte Beratungserfahrungen in Bezug auf Prozesse, Kontrollen, Technologie und Sicherheit mit den verfüg-baren Softwarelösungen verbindet, um eine umfassende und effektive Lösung bereitzustellen.

In IAM-Projekten setzen wir auf eine enge Zusammenar-beit mit unseren Kunden. In mehreren Schritten werden Ihre spezifischen Anforderungen erhoben und analysiert. Unserer Erfahrung nach ist der Einsatz von Technologie allein nicht die Lösung des Problems. Eine IT-gestützte Lösung muss vollständig in die Geschäftsabläufe inte-griert werden, sodass alle relevanten Interessenparteien involviert werden müssen.

Mit unserer umfangreichen Projekterfahrung und Exper-tise bei der Einführung und Umsetzung von Identity- &-

Access-Management-Lösungen unterstützen wir Sie bei der erfolgreichen Integration und Umsetzung der erfor-derlichen Projektbestandteile. Dies beinhaltet als wichtige Punkte auch die regelmäßige Kommunikation mit den wesentlichen Stakeholdern, um die neuen Prozesse und Technologien nachhaltig im Unternehmen umzusetzen.

Deloitte unterstützt mit folgenden DienstleistungenWir bieten die Einführung und Umsetzung von Identity- &- Access-Management-Lösungen für alle Branchen und Un-ternehmensgrößen an. Unsere Stärken auf einen Blick:

IAM Quick-ScanMit unserem IAM Quick-Scan bieten wir Ihnen die Möglich-keit, in kurzer Zeit den aktuellen Zustand Ihres Identity- &- Access-Managements zu bewerten, Optimierungs-potenziale aufzudecken und nötige Folgeaktivitäten zu identifizieren und zu priorisieren.

IAM RoadmapObwohl es logisch erscheint, IAM in einem Schritt als kompletten unternehmensweiten Service zu etablieren, ist das meistens unrealistisch. In vielen Unternehmen lassen sich so große Budgets nicht rechtfertigen, ohne kurzfris-tig direkten und greifbaren Mehrwert zu demonstrieren. Um erfolgreich zu sein, sollte ein IAM-Fahrplan definiert werden, der modulare IAM-Komponenten liefert, die in jeder Phase einen messbaren Mehrwert liefern.

Software-SelektionDer IAM-Software-Markt wächst ständig und die Lösungen der Anbieter werden immer ausgereifter. Es ist daher umso wichtiger, die passende Lösung zu finden, sodass Sie aus Ihren IAM-Investitionen das Maximum herausho-len. Wir unterstützen Sie von der Erstellung eines Anfor-derungsprofiles bis zur Auswahl der Software-Lösung.

Projektmanagement und UmsetzungDurch die Verbindung von Technologie-, Prozess-, Prü-fungs- und Umsetzungskompetenz sind wir der ideale Partner, um Ihr IAM-Projekt von Anfang bis Ende erfolg-reich zu planen, zu entwickeln, zu steuern und umzu-setzen.

Enterprise-Role-Management-KonzepteWir unterstützen Sie bei der Einführung und Implemen-tierung von Role-Based-Access-Control-(RBAC-)Konzepten zur Erhöhung der Sicherheit, Vereinfachung der Prozesse und zur Verbesserung der Kontrollen für die Erfüllung von Compliance-Anforderungen.

Wir helfen Ihnen, die Lösungen zu implementieren, mit denen Sie Ihre avisierten IAM-Ziele erreichen.

Identity & Access Management

Dr. Carsten SchinschelTel: +49 (0)211 8772 [email protected]

Page 10: DELOITTE ERS

Für mehr InformationenAndreas HerzigTel: +49 (0)711 16554 [email protected]

HinweisBitte schicken Sie eine E -Mail an [email protected], wenn Sie Fragen zum Inhalt haben, wenn dieser Newsletter an andere oder weitere Adressen geschickt werden soll oder Sie ihn nicht mehr erhalten wollen.

Für weitere Informationen besuchen Sie unsere Webseite auf www.deloitte.com/de

VeranstaltungenEuropean Identity ConferenceMünchen: 04.–07.05.2010, Forum am Deutschen Museum, Besuchen Sie uns am Stand: # P4Kontakt: Katrin JostmeierWeitere Informationen im Internet:http://www.id-conf.com/eic2010

Das könnte Sie auch interessieren• Compliance im Wandel – Integrated-Compliance- &-Risk-Management als Ansatz für eine gesicherte Zukunft • AuswirkungendesBilMoGaufdiesteuerliche Anerkennung einer Organschaft• CorporateGovernanceForum1/2010 – Informa- tionen für Aufsichtsrat und Prüfungsausschuss• BilMoG-Trilogie – Informationen zum BilMoG aus den Bereichen Steuerberatung, Wirtschaftsprüfung und Enterprise Risk Services• BilMoG-Analyse-Tool – Webbasiertes Hilfsmittel zur Untersuchung der Auswirkungen des BilMoG auf den handelsrechtlichen Jahresabschluss

Die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft als verantwortliche Stelle i.S.d. BDSG und, soweit gesetzlich zulässig, die mit ihr verbundenen Unternehmen nutzen Ihre Daten im Rahmen individueller Vertragsbeziehungen sowie für eigene Marketingzwecke. Sie können der Verwendung Ihrer Daten für Marketingzwecke jederzeit durch entsprechende Mitteilung an Deloitte, Business Development, Kurfürsten-damm 23, 10719 Berlin, oder [email protected] widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Diese Mandanten information enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen eines Ein-zelfalles gerecht zu werden. Sie hat nicht den Sinn, Grundlage für wirtschaftliche oder sonstige Entscheidungen jedweder Art zu sein. Sie stellt keine Beratung, Auskunft oder ein rechtsverbindliches Angebot dar und ist auch nicht geeignet, eine persönliche Beratung zu ersetzen. Sollte jemand Entscheidungen jedweder Art auf Inhalte dieser Broschüre oder Teile davon stützen, han delt dieser ausschließlich auf eigenes Risiko. Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft übernimmt keinerlei Garantie oder Gewährleistung noch haftet sie in irgendeiner anderen Weise für den Inhalt dieser Mandanten information. Aus diesem Grunde emp fehlen wir stets, eine persönliche Beratung einzuholen.

Über DeloitteDeloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen und Institutionen aus allen Wirtschaftszweigen. Mit einem Netzwerk von Mitgliedsgesellschaften in mehr als 140 Ländern verbindet Deloitte erstklassige Leistungen mit umfassender regionaler Marktkompetenz und verhilft so Kunden in aller Welt zum Erfolg. „To be the Standard of Excellence“ – für rund 169.000 Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich. Die Mitarbeiter von Deloitte haben sich einer Unternehmenskultur verpflichtet, die auf vier Grundwerten basiert: erstklassige Leistung, gegenseitige Unterstützung, absolute Integrität und kreatives Zusammenwirken. Sie arbeiten in einem Umfeld, das herausfordernde Aufgaben und umfassende Entwick-lungsmöglichkeiten bietet und in dem jeder Mitarbeiter aktiv und verantwortungsvoll dazu beiträgt, dem Vertrauen von Kunden und Öffent-lichkeit gerecht zu werden.

Deloitte bezieht sich auf Deloitte Touche Tohmatsu, einen Verein schweizerischen Rechts, und/oder sein Netzwerk von Mitgliedsunternehmen. Jedes dieser Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig. Eine detaillierte Beschreibung der rechtlichen Struktur von Deloitte Touche Tohmatsu und seiner Mitgliedsunternehmen finden Sie auf www.deloitte.com/de/UeberUns.

© 2010 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft. Member of Deloitte Touche Tohmatsu

Stand 4/2010


Recommended