Das IDW hat am 4. November 2013 eine neue Fassung des PS 951 "Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen" verabschiedet. Mit der Neuauflage werden u.a. die Anforderungen des ISAE 3402 umgesetzt und weitere Konkretisierungen vorgenommen.
Die wesentlichen Änderungen sind:
E-Bilanz direkt in SAP®: Das LiNKiT eBilanz Cockpit für SAP®
E-Bilanz ist 2013 eines der wichtigen Themen in den Finanzabteilungen der Unternehmen. Zur Umsetzung der gesetzlichen Anforderungen müssen sie sich zwischen unterschiedlichen Lösungsansätzen entscheiden: Die Bandbreite der rund 50 angebotenen „E-Bilanz“ Produkte (siehe: https://www.elster.de/elster_soft_nw.php) reicht von reinen Übermittlungswerkzeugen, die lediglich anderweitig erstellte Steuerbilanzdaten an die Finanzbehörde versenden bis hin zu vollständig in die ERP-Systeme integrierten Lösungen, die Unternehmen von der Datengenerierung über die Erstellung der Steuerbilanzen bis zur Übermittlung unterstützen.
In vielen Organisationen werden Daten zur Unternehmenssteuerung häufig in Tabellenkalkulationsprogrammen, wie z.B. Microsoft Excel, aufbereitet und dokumentiert. Die Flexibilität des Werkzeugs ist zugleich sein größtes Risiko. "Spreadsheet Risks" sind eine große Fehlerquelle in Unternehmen. Eine Dokumentation und wirksame "Spreadsheet Controls" sind oft kaum umsetzbar. Eine Vielzahl von Office-Dateien ist kaum bekannt und damit nur schwer kontrollierbar. Was für alle Unternehmen gleichermaßen zutrifft, ist im Finanzdienstleistungssektor Bestandteil der Regulierung. Eine der größten Herausforderungen für die Institute ist die gezielte Umsetzung der Mindestanforderungen an das Risikomanagement für Banken (MaRisk BA).
Denn: Die verbindliche Vorgabe der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fordert für die Ausgestaltung des Risikomanagements zur Einhaltung von Compliance-Richtlinien in Kreditinstituten, die Einrichtung angemessener institutsinterner Leistungs-, Steuerungs- und Kontrollprozesse. Zudem wird die Sicherstellung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Daten verlangt. Finanzdienstleister stehen daher nach wie vor vor der Aufgabe, sich einen Überblick über die wesentlichen Excel-Dateien in ihrem Hause zu verschaffen und diese, ebenso wie die dazugehörigen Prozesse, auch entsprechend zu dokumentieren.
Das Management von Unternehmen ist sich in der näheren Vergangenheit seiner Verantwortung für das Risikomanagement bewusst geworden. Hierzu hat nicht zuletzt auch die öffentliche Diskussion zu diesem Thema beigetragen.
Während es für eine Vielzahl von Unternehmensbereichen inzwischen probate Lösungen gibt und Compliance-Beauftragte in großer Zahl ernannt werden, ist der Bereich der indirekten Steuern vielfach noch ein Gebiet, das durch diese Maßnahmen nicht erfasst wird.
Im Rahmen der Risikoidentifizierung ist das Thema IT ein wesentlicher Bestandteil. Dabei werden IT-Risiken nicht immer nur mit der IT-Abteilung besprochen. Auch Fachbereiche, deren Prozesse elektronisch unterstützt werden, sind von dieser Art von Risiken betroffen und sollten daher eine individuelle Beurteilung vornehmen.
Eine solide Basis und gute Hilfestellung für das Risikomanagement zur Vorbereitung auf die Risikoanalysegespräche mit den Fachbereichen und der IT-Abteilung bietet der IT-Grundschutzkatalog des BSI (Bundesamt für Sicherheit in der Informationstechnik). Der IT-Grundschutzkatalog enthält für verschiedene Themengebiete mögliche Gefährdungen und Beispiele von Maßnahmen, aus denen typische IT-Risiken abgeleitet werden können.
Ausgelagerte Funktionen und Dienstleistungen sind gängige Praxis und umfassen beispielsweise Archivierungsprozesse, Inkasso oder die IT. Dabei verlässt sich das auslagernde Unternehmen in der Regel darauf, dass die Prozesse ordnungsgemäß durchgeführt werden. In der Regel werden das Endergebnis bzw. die vereinbarten Service Level Agreements geprüft und auf Basis dessen der Dienstleister beurteilt. Aber die Sicherheit, dass hinter den verschlossenen Türen des Dienstleisters eine ordnungsmäßige Verarbeitung stattfindet, kann ohne weiteren Aufwand nicht erlangt werden.
Die folgenden Punkte sind u.a. an die Solvency-II-Anforderungen angelehnt (können aber branchenübergreifend angewendet werden) und sollen einen kurzen exemplarischen Überblick darüber geben, welche Themen in Verbindung mit dem Thema Outsourcing bedacht werden sollten und welche Möglichkeiten es geben kann, um sich über den Status quo der Risiken und Kontrollen beim Dienstleister zu informieren:
Die Verträge mit den Dienstleistern sollten ein Auskunfts- und Prüfungsrecht beinhalten. Es kann geregelt werden, auf welche Art und Weise das ausgliedernde Unternehmen sich diese Auskunft einholen kann. Eine der effektivsten Regelungen ist die, dass die eigene Revision die relevanten Prozesse beim Dienstleister prüfen darf. Neben dem Auskunftsrecht, sollte u.U. auch ein Weisungsrecht verankert werden, auf dieses in diesem Artikel jedoch nicht weiter eingegangen wird.
Governance-System in Versicherungsunternehmen
Die Compliance-Funktion als Bestandteil des Internen Kontrollsystems hat gemäß Artikel 46 der Solvency-II-Richtlinie (2009/38/EG) die Aufgaben:
Die Anforderungen an ein Governance-System in Versicherungsunternehmen sind ein wesentlicher Bestandteil von Solvency II. Konkretisiert werden diese Anforderungen in den Artikeln 41 bis 50 der EU-Richtlinie 2009/138/EG vom 25.11.2009, welche auch in die nationale Gesetzgebung einfließen werden. Angelehnt an die Richtlinie sollte ein wirksames Governance-System folgende Elemente umfassen:
von Dr. Klaus-Dieter Krause
Die International Organization for Standardization (ISO) hat Mitte Mai 2012 den neuen ISO Standard 22301:2012 mit dem Namen „Societal security – Business continuity management systems – Requirements” final verabschiedet und veröffentlicht. Der Standard dient Unternehmen bei der Implementierung eines Business-Continuity-Management-Systems. Da der Standard branchen- und größenunabhängig ist, kann dieser für jedes Unternehmen angewendet werden.
Service Organization Control (SOC) Berichte, auch bekannt als SOC 1, SOC 2, und SOC 3 Berichte, sind übergreifende Rahmenwerke (frameworks), die das amerikanische Institut für Wirtschaftsprüfer (AICPA) de facto als Standard zur Verfügung stellt, um Dienstleister bzw. Serviceorganisationen nach festgesetzten Regeln zu prüfen/zu auditieren. Zielsetzung ist es, eine transparente, unabhängige und vor allem vergleichbare Prüf-/Auditberichte zu ermöglichen.
