Risk-News Aktuelle Informationen rund ums Risikomanagement

Transkript

1 Enterprise Risk Services 1/2010 Risk-News Aktuelle Informationen rund ums Risikomanagement Liebe Leser, in dieser Ausgabe der Risk-News möchten wir Sie über aktuelle BilMoG-Themen informieren. Unser Leitartikel räumt auf mit dem Mythos BilMoG und gibt eine Einführung in die Thematik. Was steckt wirklich hinter den Änderungen des Bilanzrechtsmodernisierungsgesetzes und was bedeuten sie in der praktischen Anwendung? Alle in diesen Risk-News vorgestellten Themenbereiche beschreiben für Management und Aufsichtsrat wichtige BilMoG-Aspekte sowohl unter dem Blickwinkel der Risikofrüherkennung und -minimierung als auch unter Berücksichtigung der Erzielung größtmöglicher Wirksamkeit und Informationsqualität durch Ergreifen geeigneter Maßnahmen. Der letzte Artikel in diesem Newsletter beschäftigt sich ganz praxisnah mit der IT-Umsetzung der BilMoG-Thematik und stellt bereits etablierte Systeme vor, die Prozesseffizienz und -sicherheit im Unternehmen entscheidend verbessern. Mit allen präsentierten Werkzeugen und Maßnahmen unterstützt Deloitte Vorstände, Geschäftsführer und Aufsichtsräte dabei, optimalen Nutzen aus der Umsetzung der BilMoG-Anforderungen zu ziehen. Zudem unterstützen wir bei der Erfüllung der persönlichen Aufgaben und der Reduzierung möglicher Haftungsrisiken aus den neu gefassten Regelungen. Dr. Hans Röhm Ich wünsche Ihnen wie immer eine spannende und inspirierende Lektüre. Ihr Hans Röhm

2 Mythos BilMoG Chancen nutzen, Risiken minimieren Andreas Herzig Tel: +49 (0) Das Bilanzrechtsmodernisierungsgesetz (BilMoG) stellt die tiefgreifendste Änderung der deutschen Bilanzierungsregeln seit dem Bilanzrichtliniengesetz von 1985 dar. Mit dem am 29. Mai 2009 in Kraft getretenen Gesetz wurden im Zuge der Modernisierung des Bilanzrechts die Bilanzierungsregeln weiterentwickelt und internationalen Rechnungslegungsgrundsätzen angepasst. Ziel ist es, ein wettbewerbsfähiges Bilanzrecht im internationalen Kontext zu schaffen. Ebenso sollen die neuen Bilanzregeln einen Beitrag zu Deregulierung und erhöhtem Informationsgehalt des Berichtswesens von Unternehmen leisten und eine gleichwertige, aber kostengünstigere und vor allem einfachere Alternative zu den internationalen Rechnungslegungsstandards IFRS darstellen. In Übereinstimmung mit dieser Absicht betrifft der bei Weitem größte Teil der Änderungen im BilMoG-Artikelgesetz verschiedene Bilanzierungsthemen. Die meisten Unternehmen haben die Mitarbeiter im Finanz- und Rechnungswesen zu diesen neuen Themen schulen lassen und befinden sich bereits in der Umsetzungsphase. Ein kleinerer, jedoch bei Weitem nicht so konkret gefasster Teil des BilMoG adressiert den Themenkomplex der Steuerung und Überwachung von Unternehmen. Diese Regelungen zur Corporate Governance betreffen direkt Vorstände, Geschäftsführer sowie Aufsichtsräte der Unternehmen. Dabei sind diese Themen nicht neu und ändern das Aufgabenspektrum des adressierten Personenkreises nicht. Mit dem Inkrafttreten des BilMoG-Artikelgesetzes ändert sich jedoch die Rechtsverbindlichkeit: Zahlreiche Regelungen sind nunmehr im Gesetz gefasst, mit entsprechenden Haftungsrisiken für die Führungsund Aufsichtsorgane der Unternehmen. Die Aufgaben von Geschäftsführung, Vorstand und Aufsichtsrat wurden durch den Gesetzgeber im GmbH-Gesetz sowie im Aktiengesetz festgeschrieben. Die wesentlichen Pflichten des Vorstands der Aktiengesellschaft oder des Geschäftsführers der GmbH bestehen darin, die Geschäfte entsprechend der jeweils gesetzlich festgesetzten Sorgfaltspflichten zu führen. Der Aufsichtsrat wiederum ist verpflichtet, den Vorstand bzw. die Geschäftsführung dabei zu überwachen. Im Besonderen hat der Aufsichtsrat durch seinen Prüfungsausschuss oder als Aufsichtsrat insgesamt den Rechnungslegungsprozess, die Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems sowie die Prüfung des Jahresabschlusses zu überwachen. Damit der Aufsichtsrat diese Leistung erbringen kann, haben ihm der Vorstand oder die Geschäftsführung die erforderlichen Informationen zur Verfügung zu stellen. Die Herstellung dieser Transparenz wirft sowohl für Vorstand oder Geschäftsführung als auch für den Aufsichtsrat einige Fragen auf, die es zu beantworten gilt. Ist das interne Kontrollsystem des Unternehmens auf die richtigen Fehlerquellen ausgerichtet, um zu gewährleisten, dass Bilanz sowie Gewinn- und Verlustrechung ein der Wirklichkeit entsprechendes Bild des Unternehmens zeichnen? Ist ein funktionierendes Risikomanagementsystem etabliert, welches die richtigen Risiken im Fokus hat und zeitnah auf innere und äußere Veränderungen mit den richtigen Maßnahmen reagiert? Wie geht das Unternehmen mit der Gefahr von rechtswidrigen Handlungen seiner Mitarbeiter um, die in den letzten zwei Jahren für viele Unternehmen zu einem ernsthaften Problem geworden sind? Ist die interne Revision hinsichtlich Erfahrung, Ausbildung und Kapazität so aufgestellt, dass sie den Unternehmensorganen die notwendige Sicherheit hinsichtlich der Zuverlässigkeit der genannten Überwachungs- und Steuerungssysteme geben kann? Die wichtigsten Fragen sind jedoch die, ob Informationen bezüglich der Wirksamkeit des internen Kontrollsystems, der Veränderung wesentlicher Risiken sowie die Arbeitsergebnisse der internen Revision zeitnah den Unternehmensorganen zur Verfügung stehen und wie diese dokumentieren, dass sie auf Basis dieser Informationen ihren Sorgfaltsund Überwachungspflichten nachgekommen sind. Mit einer Reihe praxisorientierter Werkzeuge unterstützt Deloitte Vorstand, Geschäftsführung und Aufsichtsrat bei der raschen und effizienten Beantwortung dieser Fragen. Hierbei stehen die Qualität der erhobenen Informationen und ein realistisches Aufwand-Nutzen-Verhältnis an erster Stelle. Anstatt prozessorientiert an bestimmten dezentralen Punkten Kontrollen zu etablieren (Bottom-up-Ansatz), werden die internen Kontroll-, Risikomanagement- und Revisionsstrukturen so ausgerichtet, dass sie zu jedem Zeitpunkt kompetente Antworten auf die für die Unternehmenssteuerung entscheidenden Fragen liefern. Dabei gilt es, ein zu wenig ebenso zu vermeiden wie ein zu viel. Statt überbordende, nicht mit anderen internen Überwachungsinstrumenten verzahnte Kontrollstrukturen aufzubauen und damit wertvolle Managementkapazität zu binden, soll vielmehr mit größtmöglicher Effizienz erreicht werden, dass das Management und die Aufsichtsgremien die notwendigen Informationen über Unternehmensrisiken oder Schwächen in den Überwachungssystemen zeitnah erhalten. Die Prozesse sollen dem Unternehmen dienen und nicht umgekehrt. Dies ist umso wichtiger, als das BilMoG im Gegensatz zu anderen internationalen Regelwerken, z.b. dem amerikanischen Sarbanes-Oxley Act, die Maßnahmen weniger dezidiert vorschreibt und den Unternehmen somit eine große Flexibilität ermöglicht. 2

3 Interne Revision auf dem Prüfstand Thomas Kirstan Tel: +49 (0) Mithilfe von Deloitte-Tools lässt sich die optimale Funktionsfähigkeit eines der zentralen Corporate- Governance-Elemente überprüfen und sicherstellen Die Interne Revision hat in den letzten Jahren deutlich an Bedeutung gewonnen. Dies ist nicht nur auf die Diskussion ineffektiver Kontroll- und Risikomanagementsysteme zurückzuführen, sondern auch durch eine Vielzahl neuer regulatorischer Anforderungen begründet. So konkretisiert das am 29. Mai 2009 in Kraft getretene Bilanzrechtsmodernisierungsgesetz (BilMoG) unter anderem die Überwachungsaufgaben des Aufsichtsrats beziehungsweise die des Prüfungsausschusses. Die Verantwortung für die Überwachung der Wirksamkeit der internen Risikosysteme obliegt danach dem Aufsichtsrat beziehungsweise dem Prüfungsausschuss. Im besten Falle ist die Interne Revision hervorragend geeignet, Aufsichtsgremien und die Geschäftsführung bei der Bewältigung der neuen Anforderungen maßgeblich zu unterstützen. Das bedeutet jedoch enorme Anforderungen an die Interne Revision, und zwar sowohl in Hinsicht auf die Organisation als auch auf die angewandten Methoden und Techniken. Im Bezug auf Prüfungs- und Beratungsleistungen muss sichergestellt sein, dass die Interne Revision als Organisationseinheit den Anforderungen gewachsen ist und einen Beitrag zum Unternehmenserfolg erbringt. Wir analysieren Ihre Interne Revision mithilfe unseres exklusiven Internal Audit Quality Assessment Tool, in dem unter anderen alle internationalen Revisionsstandards, Leading-Practice-Anwendungen zahlreicher Unternehmen sowie das weltweite Know-how unserer Internal-Audit-Experten enthalten ist. Auf Basis eines Quality Assessment wie es bereits eine Vielzahl von Unternehmen entsprechend den berufsständischen Standards mindestens alle fünf Jahre durch einen externen Dritten durchführt zeigen wir Ihnen weitere Optimierungspotenziale auf und erhöhen somit den Qualitätsgrad Ihrer Corporate-Governance-Elemente. Quality Assessment Service Unser Ansatz Durch unseren Quality Assessment Service unterstützen wir Sie dabei, Ihre Interne Revision zu analysieren und systematisch weiterzuentwickeln. Hierfür haben wir einen integrierten, Tool-gestützten Ansatz entwickelt, der die regulatorischen Anforderungen genauso wie die Wirtschaftlichkeit Ihrer Internen Revision im Blick hat. Unsere QA-Experten führen im Rahmen des Quality Assessment folgende Schritte durch: Erfassen des gegenwärtigen Entwicklungsstandes Ihrer Internen Revision und Analyse des Revisionsauftrages sowie der Revisionsziele Beurteilung der Organisation, der Qualifikation des Revisionsteams sowie der Qualität interner und externer Beziehungen Analyse der eingesetzten Methoden und Systeme Prüfung der Ausgestaltung von Wissens- und Projektmanagement Erfassung des Zufriedenheitsgrads wesentlicher Stakeholder der Internen Revision (Audit Committee, Aufsichtsrat, Vorstand, Wirtschaftsprüfer etc.) Das Deloitte QA-Reifegrad-Modell Um eine objektive Aussage zu Ihrer Internen Revision treffen zu können, bedarf es weitergehender Überlegungen hinsichtlich der Erfassung und Skalierung der Prüfergebnisse. Hierfür haben wir das Deloitte-Tool QA- Reifegrad-Modell entwickelt, das aus einem objektiven Kriterienkatalog sowie einem automatisierten Scoringmodell besteht. Die Ergebnisse unserer Dokumentenanalyse und der Interviews fügen wir in das QA-Reifegrad-Modell ein und können somit eine objektive Aussage zu Ihrer Internen Revision treffen. Gleichzeitig findet ein datenbankbasierter Abgleich mit Best Practices und anderen branchengleichen Unternehmen statt. Unser automatisch generierter Prüfbericht enthält schließlich Aussagen zu folgenden Fragenstellungen: Erfüllt die Interne Revision gesetzliche und berufsständische Anforderungen (Compliance)? Führt die Interne Revision ihre Aufgaben so aus, dass sie ihrer Verantwortung sowie den Zielen und Erwartungen der Unternehmensleitung gerecht wird (Effektivität)? Ist die Interne Revision hinsichtlich Fragen der Wirtschaftlichkeit im Vergleich zu Best-Practice-Lösungen adäquat ausgestaltet (Effizienz)? An welchen Stellen der Organisation und der Prozesse Ihrer Internen Revision sehen wir noch Raum für Verbesserungsmöglichkeiten und wie könnten diese konkret aussehen? Für ein bestandenes Quality Assessment erhalten Sie von uns im Anschluss ein QA-Zertifikat, das interne und externe Stellen von der Leistungsfähigkeit Ihrer Internen Revision überzeugen wird. 3

4 Wir unterstützen Sie gerne dabei, die so identifizierten Verbesserungspotenziale zu nutzen. Hierfür arbeiten wir gemeinsam mit Ihnen die weiteren Schritte und einen Aktionsplan aus. Auch bei der operativen Umsetzung stehen wir Ihnen zur Seite, um die Anforderungen an die Revision zeitnah und vollständig zu erfüllen. Gemeinsam stellen wir sicher, dass das Ergebnis der Zusammenarbeit eine moderne Interne Revision ist, die nicht nur geltende Standards erfüllt, sondern durch ihre Ausrichtung an Effizienzkriterien maßgeblich zum Unternehmenserfolg beiträgt. QA-Reifegradmodell

5 BilMoG-Compliance: Hinweise zur Umsetzung Heinz Wustmann Tel: +49 (0) Welche zusätzlichen Erfordernisse ergeben sich aus den neuen Vorschriften, welche Maßnahmen sind wirklich notwendig? Die Neuerungen des am 29. Mai 2009 in Kraft getretenen Bilanrechtsmodernisierungsetztes (BilMoG) gehen u.a. auf europarechtliche Vorgaben der Abschlussprüfer-Richtlinie sowie der Abänderungs-Richtlinie zurück und betreffen insbesondere auch das interne Risikomanagement. Im Zentrum stehen die Besetzung und Überwachungsaufgaben des Aufsichtsrats und Prüfungsausschusses. Insbesondere die konkretisierten Überwachungsaufgaben der Aufsichtsorgane und die erweiterte Lageberichterstattung in bezug auf das rechnungslegungsbezogene Interne Kontroll- und Risikomanagementsystem stellen für viele Unternehmen eine Herausforderung dar: Nach 107 Abs. 3 Satz 2 AktG ist der Aufsichtsrat verantwortlich für die Überwachung der Wirksamkeit des Internen Kontrollsystems Risikomanagementsystems Internen Revisionssystems. Kapitalmarktorientierte Unternehmen haben nach 289 Abs. 5 bzw. 315 Abs. 2 Nr. 5 HGB die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess im Lagebericht zu beschreiben. Welche Mindestanforderungen und konkreten Maßnahmen ergeben sich aus der erweiterten Lageberichterstattungspflicht gem. BilMoG? Zunächst ist festzuhalten, dass das Maß der Beschreibung nicht festgelegt ist und von den individuellen Gegebenheiten des einzelnen Unternehmens (Branche, Größe, Geschäftsmodell und regulatorische Anforderungen) abhängt. Die Beschreibung beschränkt sich auf die Strukturen und Prozesse. Es ist keine Aussage bezüglich der Effektivität zu treffen. Dennoch ist für Darstellung des rechnungslegungsbezogenen internen Kontroll- und Risikomanagementsystems (IKRS) im Lagebericht ein systematisches Vorgehen erforderlich: 1. Strukturierte Erfassung der vorhandenen Steuerungsund Überwachungssysteme bezogen auf den Rechnungslegungsprozess mit dem Ziel, alle wesentlichen Instrumente und Maßnahmen, die zur Verlässlichkeit der Finanzberichterstattung beitragen, festzustellen. Gegenstand dieser Bestandsaufnahme, die intern oder mit externer Unterstützung durchgeführt werden kann, ist die Erfassung von z.b.: organisatorischen Sicherungsmaßnahmen wie z.b. Unternehmens- und Führungsstrukturen, Geschäftsordnung, Funktionstrennung, Zugriffsbeschränkungen etc. Kontrollmaßnahmen zur Sicherstellung von Vollständigkeit und Richtigkeit z.b. auch Plausibilitätskontrollen und Soll-/Ist-Vergleiche Überwachungsmaßnahmen (z.b. Tätigkeit der Internen Revision, des Abschlussprüfers und Gutachter in bezug auf die Rechnungslegung) Controlling und Risikofrühwarnsystem in bezug auf den Rechnungslegungsprozess. 2. Sicherstellung einer ordnungsgemäßen internen Dokumentation der wesentlichen Merkmale des (IKRS). Diese muss für einen fachkundigen Dritten nachvollziehbar und überprüfbar sein sowie eine hinreichende Basis für die Lageberichterstattung bieten. Zudem stellt die interne Dokumentation einen Prüfungsnachweis für den Abschlussprüfer im Rahmen der Prüfung des Lageberichts dar. 3. Zutreffende Beschreibung der wesentlichen Merkmale des rechnungslegungsbezogenen (IKRS) im Lagebericht und Beschäftigung der gesetzlichen Vertreter und Aufsichtsorgane mit der Angemessenheit und Wirksamkeit. Die Beurteilung der Angemessenheit und Wirksamkeit, die gem. Gesetzesbegründung erwartete wird, kann sich z.b. stützen auf: Prüfungshandlungen und Prüfungsfeststellungen des Abschlussprüfers Prüfungen der Internen Revision (Financial Audit) Interne Self Assessments und Testing-Verfahren (z.b. SOX-Testing) sowie externe Gutachten mit rechnungslegungsbezug. Aus der Vorschrift geht weder eine Einrichtungsverpflichtung noch die inhaltliche Ausgestaltung des (IKRS) hervor. Existiert kein System, ist dies aber im (Konzern-)Lagebericht anzugeben. Der Abschlussprüfer hat die Richtigkeit der Beschreibung zu überprüfen wobei die Überprüfung der Funktionsfähigkeit nicht vorgesehen ist. Allerdings muss der Abschlussprüfer in der Bilanzsitzung des Aufsichtsrats bzw. Prüfungsausschusses über wesentliche Schwächen des (IKRS) bezogen auf den Rechnungslegungsprozess berichten ( 171 Abs. 1 S. 2 AktG). 5

6 Welche Erfordernisse ergeben sich aus der Verantwortung des Aufsichtsrats hinsichtlich der Überwachung der Wirksamkeit des Internen Kontroll-, Risikomanagement- und Revisionssystems? Die Anforderungen sind inhaltlich nicht vollkommen neu. Das Aufgabenspektrum der Aufsichtsorgane wird jedoch konkretisiert ( 107 Abs. 3 Satz 2 AktG). Die Überwachung der Wirksamkeit erfordert ein systematisches Vorgehen und die Einführung eines Prozesses für den Wirksamkeitsnachweis: Bestandsaufnahme und Berichterstattung über die bestehenden Risiko-, Kontroll- und Revisionssysteme In einem ersten Schritt, sollten die gesetzlichen Vertreter oder die für die Teilsysteme verantwortlichen Mitarbeiter über die Ausgestaltung der Teilsysteme an den Aufsichtsrat berichten. Bei Bedarf sollten zusätzlich externe Gutachten eingeholt werden, so dass im Ergebnis ein angemessenes Systemverständnis im Aufsichtsrat vorliegt und ggf. erkennbare Schwachstellen rechtzeitig behoben werden können. Risikoanalyse und Festlegung der überwachungsrelevanten Themen Der Prozess der Risikoerfassung, -bewertung und -analyse ist von den gesetzlichen Vertretern so auszugestalten, dass alle Risikokategorien berücksichtigt werden und kein wesentliches Risiko den gesetzlichen Vertretern und dem Aufsichtsrat unbekannt bleibt. In die Risikoanalyse einzubeziehen sind neben den klassischen Risikoberichten z.b. auch wesentliche Prüfungsfeststellungen der Internen Revision und des Abschlussprüfers sowie Compliance- Berichte und externe Gutachten. Die überwachungsrelevanten Themen sind in Abstimmung mit dem Aufsichtsrat für die Berichtsperiode (formal) festzulegen und sofern erforderlich unterjährig zu ergänzen. Prüfung der Angemessenheit und Wirksamkeit des vorhandenen Internen Kontroll-, Risikomanagement und Revisionssystems in bezug auf die überwachungsrelevanten Themen Die Prüfung der Angemessenheit und Wirksamkeit der Teilsysteme kann auf verschiedene Art und Weise durch das Unternehmen selbst oder durch unabhängige externe Dritte erfolgen, z.b.: Prüfungen durch die Interne Revision (Revisionsplan) Unternehmensinterne Analysen, Self Assessments und Testing-Verfahren Prüfungshandlungen des Abschlussprüfers (Sonderprüfungen) Externe Revisionsprüfungen, Gutachten und Zertifizierungsaudits (z.b. Quality Assessment der Internen Revision, vgl. S. 3). Wegen der Funktionstrennung zwischen Management und Aufsichtsorganen hat der Aufsichtsrat keine unternehmensinternen eigenen Überwachungsinstrumente. Das Management wird deshalb in Abstimmung mit dem Aufsichtsrat die Prüfungsaktivitäten beauftragen und koordinieren sowie über die Ergebnisse berichten. Formale Berichterstattung an den Aufsichtsrat und Wirksamkeitsnachweis Nicht zuletzt aus Haftungssicht kommt der strukturierten (formalen) Berichterstattung über die Ergebnisse der Wirksamkeitsprüfung, der ggf. notwendigen Einleitung von Gegenmaßnahmen sowie der ordnungsgemäßen Dokumentation eine hohe Bedeutung zu. Festlegung von Zielen zur Weiterentwicklung der bestehenden Systeme und regelmäßige Überwachung der Wirksamkeit Der Aufsichtsrat hat die gesetzlichen Vertreter aufgrund der gewonnen Erkenntnisse anzuhalten, funktionsfähige Systeme einzurichten und bestehende Schwächen zu beheben. Mit der Nachverfolgung beschlossener Maßnahmen beginnt der systematische Prozess zur Erlangung des Wirksamkeitsnachweises (jährlich) aufs Neue. Die obigen Ausführungen zeigen zusammenfassend, dass betroffene (kapitalmarktorientierte) Unternehmen verpflichtet sind, ein integriertes Risiko-, Kontroll- und Revisionssystem einzurichten, das anerkannten Standards genügt, im Unternehmen durchgängig implementiert und dokumentiert ist und dessen Wirksamkeit regelmäßig systematisch nachgewiesen wird. Deloitte Analyse-Tools zur Unterstützung der BilMoG-Compliance Um rasch einen Aufsatzpunkt für den Themeneinstieg zu finden und dem Management den Umfang der notwendigen Maßnahmen zur BilMoG-Umsetzung zu verdeutlichen, können eine Reihe von Tools eingesetzt werden: BilMoG-Compliance Health Check Tool zur raschen Erhebung des Status im Bereich BilMoG- Compliance notwendige Verbesserungen werden deutlich gemacht. Risk Maturity Tool Unter Einbeziehung des Managements und der Aufsichtsorgane (optional) sowie der Prozessverantwortlichen wird der Reifegrad eines ganzheitlichen Risikomanagements ermittelt. QA-Tool Tool zur Durchführung eines Quality Assesment der internen Revision gern. DIIR- bzw. IIA-Standard. Das hinterlegte Reifegradmodell macht den Status und notwendige Handlungsfelder rasch deutlich (vgl. S. 4). PDIA Performance Driven Internal Audit In einer Datenbank von mehr als 200 Indikatoren zur Messung der Leistungsfähigkeit der internen Revision werden die jeweils passenden zur individuellen Performance-Messung zusammengestellt. 6

7 Die Gesetzesnovelle in der Praxis Uwe Probst Tel: +49 (0) Die Anforderungen des Bilanzrechtsmodernisierungsgesetzes (BilMoG) effizient umsetzen Das neue Gesetz enthält neben einer Vielzahl von Neuregelungen für die Unternehmensbilanz auch Regelungen zur Corporate Governance. Diese adressieren beispielsweise erweiterte Aufgaben und Pflichten des Topmanagements sowie der Aufsichtsgremien hinsichtlich des Risikomanagements, interner Kontrollsysteme und des Compliance Managements (vor allem ein periodisches Berichtswesen). Durch eine fehlende Konkretisierung des Gesetzgebers sowie mangelnde Erfahrung in der Definition und Umsetzung solcher Anforderungen sind Fehlentwicklungen sowohl aus inhaltlicher Sicht als auch hinsichtlich des Umfangs der notwendigen Aktivitäten vorprogrammiert. Vor dem Hintergrund der großen Korruptionsfälle der vergangenen Jahre in der deutschen Wirtschaft besteht die Gefahr, dass Unternehmen bei der Umsetzung von Corporate-Governance-Anforderungen deutlich über das anvisierte Ziel hinausschießen. Bei der Einführung entsprechender Risikomanagementund Überwachungsinstrumente liegt der Schwerpunkt meist auf Kontrollen und dem Aufbau von starren Reporting-Strukturen. Einige wesentliche Elemente gut funktionierender Unternehmenssteuerung kommen dabei zu kurz: Fokussieren auf wesentliche Themen Entscheidungsorientiertes Aufbereiten von Informationen Einbeziehen von Fach-Experten zur Lösung auftretender Probleme Überwachen der Umsetzung von Maßnahmen Für die Implementierung wirkungsvoller und effizienter Steuerungs- und Überwachungssysteme in den Bereichen Risikomanagement, interne Kontrollsysteme und Compliance-Management sind ein zentrales Management sowie der Aufbau zentralisierter Prozess- und IT- Strukturen erforderlich. Basis für eine erfolgreiche Umsetzung Es ist empfehlenswert, ein auf das jeweilige Unternehmen abgestimmtes Compliance-Programm für die genannten regulatorischen Anforderungen zu definieren und in die bestehenden Risikomanagement-/Kontrollsysteme zu integrieren. Standardisierte Ansätze oder reine Softwarelösungen nehmen wenig Rücksicht auf die aktuelle Situation eines Unternehmens und bergen damit die Gefahr, wesentliche Risiken nicht ausreichend zu adressieren. Gemeinsames Verständnis der Aufgaben Grundlage für die effiziente Prozessumsetzung ist ein gemeinsames Verständnis für Aufgaben und Verantwortungen. Dies baut auf einer zentralen Steuerung und Überwachung auf, belässt jedoch die Verantwortung zum Management von Risiken sowie zur Einhaltung von Kontrollstandards bei den dezentralen Geschäfts- bzw. Prozessverantwortlichen. Der Vorstand sollte organisatorische Maßnahmen etablieren, um einheitliche und unternehmensweit abgestimmte Mindestanforderungen für Risikomanagement, interne Kontrollen und Compliance-Management umsetzen und überwachen zu können. Zugrundeliegende Ziele, Methoden, Strategien müssen von den beteiligten Parteien verstanden, mitgetragen und angewendet werden. Regionale oder branchenspezifische Aspekte gilt es entsprechend zu berücksichtigen. Oft wird diese Aufgabe an einen Chief Compliance Officer (CCO) oder eine vergleichbare Position delegiert. Die Verantwortung verbleibt jedoch beim Vorstand, der die wesentlichen Merkmale des Risikomanagements, des internen Kontrollsystems sowie des Compliance-Systems an den Aufsichtsrat berichtet. Die Hauptverantwortung für das tägliche Risiko- und Compliance-Management liegt in den operativen Funktionsbereichen. Durch die Anwendung der Kontrollverfahren und -instrumente gilt es, die im internen Kontrollsystem (IKS) definierten Prozess- und Kontrollstandards sowie die zugrundeliegenden regulatorischen Vorgaben einzuhalten. Diese First Line of Defense (Prevent) dient der präventiven Kontrolle zur Vermeidung von Risiken oder Regelverstößen. Als Second Line of Defense (Respond) fungieren die Zentralfunktionen des Unternehmens. Sie geben Struktur und Abläufe von Compliance- und Risikomanagement-/ Kontrollsystemen vor und antworten damit auf die aktuelle Risikosituation des Unternehmens. Die sogenannte Third Line of Defense (Detect) überwacht die Einhaltung der etablierten Kontrollen sowie die Wirksamkeit des Risiko-/Compliancemanagements oder deckt bereits eingetretene Schäden auf. Diese Aufgabe kann am besten durch die Interne Revision als konzernweite Überwachungsfunktion wahrgenommen werden. Erst durch das Zusammenwirken dieser drei Verteidigungslinien lassen sich Risiken im Umfeld der Compliance wirkungsvoll vermeiden. 7

8 Effiziente Umsetzung Die Schlüssel zu einer effizienten Umsetzung der BilMoG- Anforderungen sind in den folgenden Punkten zusammengefasst: Klarheit bei Aufgaben und gemeinsam getragene Sprachregelungen (z.b. bei der Einschätzung von Risiken) als Basis für effiziente Strukturen und Kommunikation innerhalb eines integrierten Gesamtsystems. Unterschiedliche Verantwortungen und Berichtswege neigen dazu, das Gesamtsystem unnötig aufzublähen. Konsequente Orientierung an großen Risiken, die die Aufmerksamkeit der Unternehmensleitung benötigen, sowie Einrichten eines Prozesses, der die etablierten Kontrollen und erhobenen Risiken regelmäßig hinterfragt, um Veränderungen im Unternehmen zeitnah integrieren zu können. Empfängerorientierte Informationsaufbereitung (Reporting), die es dem Informationsempfänger ermöglicht, seinen Aufgaben und seiner Verantwortung gerecht zu werden und ihn nicht in einer Flut unrelevanter Informationen ertrinken lässt. Zentrale Vorgabe eines Mindeststandards an Kontrollen für kritische Prozesse (z.b. Einkauf, Vertrieb etc.), deren Einhaltung zentral überwacht werden kann. Dadurch wird dem verantwortlichen Topmanagement die notwendige Sicherheit gegeben, dass auch in komplexen Unternehmensstrukturen eine Basis-Sicherheit verfügbar ist bzw. Kontrollschwächen zeitnah aufgedeckt werden. Etablieren von Risk/Compliance Committees, um Risiken fachlich übergreifend zu diskutieren und Lösungsvorschläge zu erarbeiten. Nach festgelegten Regeln werden Risiken dem Topmanagement zur Kenntnis gebracht und/oder Maßnahmen zur Entscheidung vorgelegt. Fazit Nicht zuletzt zeigen einige spektakuläre Fälle in der jüngeren Vergangenheit, wie wichtig es ist, mit den Themen Compliance, Risikomanagement und internes Kontrollsystem angemessen umzugehen. Die Umsetzung wirkungsvoller Systeme zum Risikomanagement und zur Unternehmensüberwachung als Antwort auf die Compliance-Fälle der vergangenen Jahre zeigt bei den betroffenen Unternehmen Wirkung. Die gesamte Neuordnung gewachsener und nicht integrierter Systeme sowie die Bereitschaft, Vorhandenes zu hinterfragen, verdeutlichen, dass diese Systeme in der Lage sind, einen Mehrwert für das Topmanagement und die Aufsichtsgremien zu liefern und Haftungsrisiken reduzieren. 8

9 Identity & Access Management Dr. Carsten Schinschel Tel: +49 (0) Ein effizienter Schutz gegen Datenmissbrauch ist wichtiger Bestandteil eines modernen internen Kontrollsystems Das Bilanzrechtsmodernisierungsgesetz (BilMoG) wird dazu führen, dass interne Kontrollsysteme (IKS) und Risikomanagementsysteme in den betroffenen Unternehmen kritisch überprüft werden. Identity & Access Management (IAM) ist ein Teil eines modernen IKS, dessen Nutzung zu einer deutlich stärkeren Transparenz von Prozessen, Verantwortlichkeiten und Kontrollen im Unternehmen führt. Die Vorfälle von Datenmissbrauch durch interne Mitarbeiter, Kunden, Lieferanten und Geschäftspartner nehmen stetig zu. Besonders schwerwiegend sind der Vertrauensverlust bei Kunden und Lieferanten, die resultierenden rechtlichen Konsequenzen und damit einhergehend ein möglicher großer finanzieller Verlust. Viele Unternehmen versuchen diesen IKS-Anforderungen gerecht zu werden, verlassen sich dabei aber häufig nur auf schnelle Lösungen, um eine Antwort auf die offensichtlichsten Angriffsrisiken zu liefern. Andere Unternehmen ändern nichts und ignorieren die bestehenden Risiken. Die Realität zeigt, dass Identitäts- und Zugriffsmanagement ein hoch komplexes Problemfeld ist, das weit mehr Bereiche betrifft als die IT-Abteilung. Es umfasst die komplette Organisation, einschließlich sämtlicher Geschäftseinheiten und Niederlassungen, Systeme, Zugriffswege, Geschäftspartner und Kunden. Die stetig wachsende Anzahl von mobilen Nutzern, Joint Ventures und weiteren Geschäftstätigkeiten erhöht zudem das Angriffspotenzial auf die IT-Systeme. Die umfassende Lösung von Deloitte Das Deloitte Identity & Access Management (IAM) Framework beinhaltet sämtliche Aspekte des Identitäts- und Zugriffsverwaltungslebenszyklus. Es ist ein ganzheitlicher, geschäftsprozessorientierter Ansatz, der die umfangreichen Deloitte Beratungserfahrungen in Bezug auf Prozesse, Kontrollen, Technologie und Sicherheit mit den verfügbaren Softwarelösungen verbindet, um eine umfassende und effektive Lösung bereitzustellen. In IAM-Projekten setzen wir auf eine enge Zusammenarbeit mit unseren Kunden. In mehreren Schritten werden Ihre spezifischen Anforderungen erhoben und analysiert. Unserer Erfahrung nach ist der Einsatz von Technologie allein nicht die Lösung des Problems. Eine IT-gestützte Lösung muss vollständig in die Geschäftsabläufe integriert werden, sodass alle relevanten Interessenparteien involviert werden müssen. Access-Management-Lösungen unterstützen wir Sie bei der erfolgreichen Integration und Umsetzung der erforderlichen Projektbestandteile. Dies beinhaltet als wichtige Punkte auch die regelmäßige Kommunikation mit den wesentlichen Stakeholdern, um die neuen Prozesse und Technologien nachhaltig im Unternehmen umzusetzen. Deloitte unterstützt mit folgenden Dienstleistungen Wir bieten die Einführung und Umsetzung von Identity- &- Access-Management-Lösungen für alle Branchen und Unternehmensgrößen an. Unsere Stärken auf einen Blick: IAM Quick-Scan Mit unserem IAM Quick-Scan bieten wir Ihnen die Möglichkeit, in kurzer Zeit den aktuellen Zustand Ihres Identity- &- Access-Managements zu bewerten, Optimierungspotenziale aufzudecken und nötige Folgeaktivitäten zu identifizieren und zu priorisieren. IAM Roadmap Obwohl es logisch erscheint, IAM in einem Schritt als kompletten unternehmensweiten Service zu etablieren, ist das meistens unrealistisch. In vielen Unternehmen lassen sich so große Budgets nicht rechtfertigen, ohne kurzfristig direkten und greifbaren Mehrwert zu demonstrieren. Um erfolgreich zu sein, sollte ein IAM-Fahrplan definiert werden, der modulare IAM-Komponenten liefert, die in jeder Phase einen messbaren Mehrwert liefern. Software-Selektion Der IAM-Software-Markt wächst ständig und die Lösungen der Anbieter werden immer ausgereifter. Es ist daher umso wichtiger, die passende Lösung zu finden, sodass Sie aus Ihren IAM-Investitionen das Maximum herausholen. Wir unterstützen Sie von der Erstellung eines Anforderungsprofiles bis zur Auswahl der Software-Lösung. Projektmanagement und Umsetzung Durch die Verbindung von Technologie-, Prozess-, Prüfungs- und Umsetzungskompetenz sind wir der ideale Partner, um Ihr IAM-Projekt von Anfang bis Ende erfolgreich zu planen, zu entwickeln, zu steuern und umzusetzen. Enterprise-Role-Management-Konzepte Wir unterstützen Sie bei der Einführung und Implementierung von Role-Based-Access-Control-(RBAC-)Konzepten zur Erhöhung der Sicherheit, Vereinfachung der Prozesse und zur Verbesserung der Kontrollen für die Erfüllung von Compliance-Anforderungen. Mit unserer umfangreichen Projekterfahrung und Expertise bei der Einführung und Umsetzung von Identity- &- Wir helfen Ihnen, die Lösungen zu implementieren, mit denen Sie Ihre avisierten IAM-Ziele erreichen. 9

10 Veranstaltungen European Identity Conference München: , Forum am Deutschen Museum, Besuchen Sie uns am Stand: # P4 Kontakt: Katrin Jostmeier Weitere Informationen im Internet: Das könnte Sie auch interessieren Compliance im Wandel Integrated-Compliance- &-Risk-Management als Ansatz für eine gesicherte Zukunft Auswirkungen des BilMoG auf die steuerliche Anerkennung einer Organschaft Corporate Governance Forum 1/2010 Informationen für Aufsichtsrat und Prüfungsausschuss BilMoG-Trilogie Informationen zum BilMoG aus den Bereichen Steuerberatung, Wirtschaftsprüfung und Enterprise Risk Services BilMoG-Analyse-Tool Webbasiertes Hilfsmittel zur Untersuchung der Auswirkungen des BilMoG auf den handelsrechtlichen Jahresabschluss Für mehr Informationen Andreas Herzig Tel: +49 (0) aherzig@deloitte.de Hinweis Bitte schicken Sie eine E -Mail an aherzig@deloitte.de, wenn Sie Fragen zum Inhalt haben, wenn dieser Newsletter an andere oder weitere Adressen geschickt werden soll oder Sie ihn nicht mehr erhalten wollen. Für weitere Informationen besuchen Sie unsere Webseite auf Die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft als verantwortliche Stelle i.s.d. BDSG und, soweit gesetzlich zulässig, die mit ihr verbundenen Unternehmen nutzen Ihre Daten im Rahmen individueller Vertragsbeziehungen sowie für eigene Marketingzwecke. Sie können der Verwendung Ihrer Daten für Marketingzwecke jederzeit durch entsprechende Mitteilung an Deloitte, Business Development, Kurfürstendamm 23, Berlin, oder kontakt@deloitte.de widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Diese Mandanten information enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen eines Einzelfalles gerecht zu werden. Sie hat nicht den Sinn, Grundlage für wirtschaftliche oder sonstige Entscheidungen jedweder Art zu sein. Sie stellt keine Beratung, Auskunft oder ein rechtsverbindliches Angebot dar und ist auch nicht geeignet, eine persönliche Beratung zu ersetzen. Sollte jemand Entscheidungen jedweder Art auf Inhalte dieser Broschüre oder Teile davon stützen, han delt dieser ausschließlich auf eigenes Risiko. Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft übernimmt keinerlei Garantie oder Gewährleistung noch haftet sie in irgendeiner anderen Weise für den Inhalt dieser Mandanten information. Aus diesem Grunde emp fehlen wir stets, eine persönliche Beratung einzuholen. Über Deloitte Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen und Institutionen aus allen Wirtschaftszweigen. Mit einem Netzwerk von Mitgliedsgesellschaften in mehr als 140 Ländern verbindet Deloitte erstklassige Leistungen mit umfassender regionaler Marktkompetenz und verhilft so Kunden in aller Welt zum Erfolg. To be the Standard of Excellence für rund Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich. Die Mitarbeiter von Deloitte haben sich einer Unternehmenskultur verpflichtet, die auf vier Grundwerten basiert: erstklassige Leistung, gegenseitige Unterstützung, absolute Integrität und kreatives Zusammenwirken. Sie arbeiten in einem Umfeld, das herausfordernde Aufgaben und umfassende Entwicklungsmöglichkeiten bietet und in dem jeder Mitarbeiter aktiv und verantwortungsvoll dazu beiträgt, dem Vertrauen von Kunden und Öffentlichkeit gerecht zu werden. Deloitte bezieht sich auf Deloitte Touche Tohmatsu, einen Verein schweizerischen Rechts, und/oder sein Netzwerk von Mitgliedsunternehmen. Jedes dieser Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig. Eine detaillierte Beschreibung der rechtlichen Struktur von Deloitte Touche Tohmatsu und seiner Mitgliedsunternehmen finden Sie auf Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft. Member of Deloitte Touche Tohmatsu Stand 4/2010