Enterprise Risk Services. Wer seine Risiken kennt, kann sie auch kontrollieren.

Transkript

1 Wer seine Risiken kennt, kann sie auch kontrollieren.

2 Flexibel sein kann nur, wer auf eine sichere Basis aufbaut. Wie alles andere ist auch die Unternehmenswelt einem ständigen Wandel unterworfen. Globalisierung, Vernetzung und Automatisierung schaffen permanent neue Chancen und Herausforderungen. Das führt dazu, dass sich auf den Weltmärkten nicht mehr nur die großen und finanzstarken Unternehmen durchsetzen, sondern zunehmend die Unternehmen, die sich durch besondere Flexibilität auszeichnen, die Veränderung und Anpassung täglich umsetzen. Aber genau diese Flexibilität stellt höchste Anforderungen an zuverlässige Informationen über aktuelle und mögliche künftige Entwicklungen innerhalb und außerhalb des Unternehmens. Zudem ist die Fähigkeit, rasch Entscheidungen zu treffen und die Umsetzung dieser Entscheidungen effizient zu überwachen, eine unabdingbare Voraussetzung für den dauerhaften Bestand eines Unternehmens auf den globalen Märkten. Doch nicht nur die Anforderungen des Marktes, auch die zunehmende Fülle von gesetzlichen Regelungen und regulatorischen Eingriffen in das unternehmerische Handeln setzen zuverlässige Steuerungs- und Überwachungssysteme in Unternehmen voraus. Daher rücken neben den traditionellen Leistungsaufgaben Themen wie Risikomanagement, Frühwarnsysteme, Unternehmensüberwachung und -sicherheit sowie deren effektive Unterstützung durch Tools stärker in den Fokus des Topmanagements. Hier kann Deloitte helfen. Denn Deloitte verfügt mit Enterprise Risk Services (ERS) über eine international führende Beratungspraxis, die das Management bei der Wahrnehmung seiner Verantwortung unterstützt. Die ERS-Kernkompetenzen: Internal Audit Services Corporate Governance & Risk Management IT Risk & Security Services Mit diesen Dienstleistungen können wir Antworten auf die komplexen Fragen zur Unternehmenssteuerung und -überwachung, zum Risikomanagement sowie zur Sicherheit des Unternehmens, seiner Prozesse und seiner Infrastruktur geben. 2

3 Anti-Fraud- Management Corporate Governance Consulting Supervisory Board Services Beyond Compliance Enterprise Risk Management Corporate Governance SOX Testing SOX Readiness and Optimisation Internal Audit IT Internal Audit Financial Internal Audit Value Added Audit IT Governance IT Risk & Security Identity Management Operational Internal Audit Infrastructure Security Application Security Aus der Kombination unserer Kernkompetenzen mit weiterem Spezialistenwissen aus Wirtschaftsprüfung und Steuerberatung sowie aus den branchenbezogenen Kompetenzzentren des Consulting-Bereichs gestalten wir Beratungsprogramme und individuelle Lösungsansätze, mittels derer wir eine effiziente Projektdurchführung in höchster Qualität sicherstellen können. Und das gilt nicht nur für Deutschland oder Europa. Enterprise Risk Services ist ein global aufgestellter Beratungsbereich von Deloitte. So können Sie in nahezu allen Ländern der Erde unsere Leistungen nutzen. Ganz flexibel mit internationalen genauso wie mit lokalen Teams. 3

4 Internal Audit. Wir können viel tun, damit Sie noch mehr tun können. Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsleistungen, die darauf ausgerichtet sind, Mehrwerte zu schaffen und Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und Wege zu deren Verbesserung aufzeigt. Diese Anforderungen an eine moderne Interne Revision, die das Deutsche Institut für Interne Revision e.v. definiert, können wir mit unseren Dienstleistungen vollständig für Sie abdecken. Strategische Revisionsberatung Mit unseren unterstützenden Planungstools zeigen wir auf, welchen Beitrag die Interne Revision zur Unternehmenswertsteigerung leisten und wie eine risikoorientierte Revisionsplanung systematisch in die Praxis umgesetzt werden kann. Dazu setzen wir die Value Map ein, ein Tool, das von Deloitte speziell entwickelt wurde, um zu verdeutlichen, welchen Wertbeitrag einzelne Prozesse zu den Zielen der Unternehmung leisten können. Integration der Internen Revision in ein ganzheitliches Unternehmensüberwachungskonzept Es geht darum, sicherzustellen, dass die einzelnen Instrumente der Unternehmensführung und -überwachung eng miteinander verzahnt sind. Um das zu erreichen, untersuchen wir die Ausrichtung der Controllingprozesse, die Qualität eines ggf. existierenden Risikound/oder Qualitätsmanagementsystems und beziehen die Prüfungsschwerpunkte der Jahresabschlussprüfung mit ein. Darauf werden dann die internen Revisionsaktivitäten abgestimmt. So vermeiden wir, dass es zu Doppelarbeiten kommt und stellen gleichzeitig die Abdeckung der wesentlichen Unternehmensrisiken durch Überwachungsmaßnahmen sicher. Das dabei erstellte Konzept fließt in die Revisionsplanung ein und wird unmittelbar wirksam. Quality Assessment Reviews Wir zeigen Ihnen wesentliche Optimierungspotenziale bei der Organisation, bei Mitarbeitern und Prozessen der Internen Revision auf. Dazu führen wir Interviews mit den Auftraggebern der Revision, den Geprüften sowie mit einzelnen Revisionsmitarbeitern einschließlich der Revisionsleitung. Darüber hinaus nehmen wir Einsicht in Prüfprogramme und Prüfungsberichte. Im besonderen Fokus unserer Arbeiten liegt neben der Revisionsplanung vor allem die Qualität der Berichterstattung und des Follow-up-Prozesses. Denn meist findet sich gerade hier erhebliches Verbesserungspotenzial. 4

5 Performance-Improvement- Programme zur Effizienzsteigerung der Internen Revision Diese Programme beinhalten individuelle Coaching- und Schulungsmaßnahmen, die die Planung und Durchführung von Prüfungen einschließlich Berichterstattung im Hinblick auf Zeit und Qualität optimieren. Wir trainieren dabei insbesondere verschiedene Prüfungstechniken und deren angemessene Dokumentation. Außerdem zeigen wir Ihnen auf, wie Berichte adressatengerecht und zeitnah verfasst werden. Spezielle Revisionsprogramme zur Wertsteigerung des Unternehmens Mit unseren Experten und Tools in den Revisionsgebieten Revenue Assurance, Cash Recovery oder Contract Compliance unterstützen wir Sie direkt bei Maßnahmen zur Ertragssteigerung und Cashflow-Optimierung. Co-/Outsoucing der Internen Revision Die gezielte Vergabe von Revisionsaufgaben an externe Experten verbessert die Qualität und senkt die Kosten. Mit dem Co-/Outsourcing bieten wir Ihnen eine flexible Unterstützung der Revisionsfunktion durch unsere Spezialisten für IT, Operational und Financial Audits einschließlich SOX-Testing. Und zwar in 140 Ländern weltweit. Damit können wir Sie bei Kapazitätsengpässen ebenso unterstützen wie bei der sachgerechten Durchführung von Prüfungen, bei denen spezielles Know-how gefragt ist, das der Revision oft nicht zur Verfügung steht. Im Rahmen unserer Operational Audits decken wir neben der Überprüfung der spezifischen internen Kontrollsysteme auch die Anforderungen an Effektivität und Wirtschaftlichkeit in den wertschöpfenden Unternehmensprozessen ab. Unsere Revisionsexperten identifizieren dabei Verbesserungspotenziale, die neben einer Fokussierung und Stärkung des internen Kontrollsystems einen Mehrwert schaffen. Für Ihr Unternehmen und damit auch für Sie. Unsere branchen- und funktionsspezifischen Prüfungsprogramme sowie unsere multidisziplinäre Aufstellung sichern die Effizienz der Revisionsdurchführung und die hohe Qualität der Ergebnisse. Die Prüfungsprogramme und die darin enthaltenen Fragestellungen basieren dabei auf branchenspezifischen Risikoanalysen, die vor einer Revision auf die individuelle Situation des Mandanten angepasst werden können. Und das Beste daran: Durch unsere globale Präsenz sowie die große Anzahl spezialisierter Revisionsexperten überall auf der Welt stellen wir für unsere Mandanten sicher, dass Revisionsleistungen von höchster Qualität kurzfristig an nahezu jedem Ort erbracht werden können. Weltweit. 5

6 Unser Weg zu mehr Verlässlichkeit: Corporate Governance & Risk Management. Das Vertrauen in die Funktionsfähigkeit der Kapitalmärkte und in die Verlässlichkeit der veröffentlichten Informationen von Unternehmen sinkt. Das wiederum hat zu einem steigenden Bedarf an funktionierenden Corporate-Governance- Strukturen geführt. Diese umfassen neben Fragen des Anlegerschutzes oder der Unabhängigkeit des Abschlussprüfers aus Unternehmenssicht insbesondere die Gestaltung und Implementierung effektiver Strukturen zur Unternehmenssteuerung und Unternehmensüberwachung. Zwei aktuelle Beispiele dazu sind der US-amerikanische Sarbanes-Oxley Act und die im Rahmen der 8. EU-Richtlinie umzusetzenden International Standards of Audit (ISAs). Darin werden konkrete und verpflichtende Anforderungen für börsennotierte Aktiengesellschaften bzw. deren Prüfung durch Wirtschaftsprüfer aufgestellt. Die Kernbereiche einer funktionierenden Corporate Governance in Unternehmen betreffen: Risikomanagement interne Kontrollsysteme Berichtsanforderungen Installation von effektiven Überwachungsorganen Diese vier Bereiche der Corporate Governance sind entweder als Anforderungen direkt an Unternehmen gerichtet oder wirken indirekt über Prüfungsanforderungen/-standards für deren Abschlussprüfer. Alle vier Bereiche sind seit jeher miteinander verbunden und sollten daher auch nicht isoliert betrachtet werden. Mit Hilfe unseres multidisziplinären Beratungsansatzes verbinden wir die vier Bereiche der Corporate Governance zu einem ganzheitlichen Leistungsspektrum. Das heißt, wir integrieren dafür das Wissen unserer Experten aus Wirtschaftsprüfung, Unternehmens-, Steuer- und Rechtsberatung zu einem Beratungsportfolio, das sich in acht Servicekomponenten gliedert. Compliance Evaluation Mit unserem Angebot Compliance Evaluation bieten wir eine Standortbestimmung von Unternehmen in Bezug auf die erforderliche und gegenwärtig umgesetzte Einhaltung bestehender Corporate-Governance-Regeln. Als Ergebnis erhalten Sie einen Überblick über die relevanten Standards, deren Erfüllungsgrad und den notwendigen Handlungsbedarf in Ihrem Unternehmen. Corporate Governance Structure Aufbauend auf dem ermittelten Ist- Zustand wird gemeinsam mit dem Vorstand und Aufsichtsrat eine für das Unternehmen optimierte Corporate- Governance-Struktur entwickelt. Diese zielt insbesondere auf eine verbesserte Effizienz, Integration und Standardisierung der Unternehmenssteuerungs- und Überwachungssysteme ab. Anti-Fraud-Management Die Prävention von Korruption, Unterschlagung und Falschbilanzierung startet damit, dass verschiedene Fraud-Szenarien für Ihr Unternehmen beleuchtet werden. Gemeinsam werden darauf aufbauend angemessene Kontrollen oder Gegenmaßnahmen im Falle des Eintritts eines Fraud-Falles entwickelt. 6

7 Supervisory Board Services Diese Komponente unseres Beratungsportfolios umfasst das Coaching der verantwortlichen Organe sowie die Unterstützung in verschiedensten Fragestellungen. Das Ziel ist es, eine effiziente und verantwortungsvolle Unternehmensüberwachung sicherzustellen. Hierzu prüft Deloitte insbesondere die Effektivität des Gremiums, erstellt Anforderungsprofile, optimiert die Ausschussorganisation, berät in Haftungsfragen und unterstützt bei der Gestaltung eines Aufsichtsrats- Informationssystems. Management Compliance Review Im Rahmen dieser Servicekomponente überprüfen wir die Aktivitäten der Organe einer Gesellschaft hinsichtlich Einhaltung der durch Gesetz, Rechtsprechung, Satzung und Geschäftsordnung formulierten Sorgfaltspflichten. Dabei fokussieren wir auf inhaltliche Maßnahmen der Unternehmensführung und -überwachung. Enterprise Risk Management Unser Ziel ist es, das Risikomanagement im täglichen Denken und Handeln der Führungskräfte und Mitarbeiter unserer Mandanten zu verankern. Deshalb bezieht unser Ansatz unsere Mandanten von Anfang an beim Aufbau oder bei der Verbesserung von Systemen zum Risikomanagement mit ein. Vom Kickoff bis zur Zielerreichung stellen dabei unsere branchenspezifischen Risikokataloge sowie unsere erfahrenen Workshopmoderatoren die Effizienz des Projekts in jeder Phase sicher. Die Schwerpunkte der gemeinsamen Arbeiten in unseren Projekten liegen in der Identifikation und Bewertung relevanter Risiken, der Definition von Indikatoren zu deren Messung sowie im Aufbau eines Berichtswesens, das anhand verschiedener quantitativer und qualitativer Indikatoren eine laufende Überwachung relevanter Risiken ermöglicht. Internal Control Auf Basis einer Risikoeinschätzung durch das Management und führende Mitarbeiter des Unternehmens wird das bereits bestehende interne Kontrollsystem gezielt weiterentwickelt und optimiert. Das Ziel ist es, ein System von effektiven Kontrollen in relevanten Prozessen und Entscheidungswegen zu installieren sowie einen regelmäßigen Prüf- und Berichtsprozess zu etablieren. Mit unserem Ansatz werden rasch sichtbare Verbesserungen erreicht und damit der Projekterfolg nachhaltig gesichert. Sarbanes-Oxley Services Unsere umfassenden Erfahrungen im Aufbau interner Kontrollsysteme und der Ermittlung von Risiken in Unternehmen haben Deloitte zu einem der führenden Anbieter von Dienstleistungen bei der Umsetzung des Sarbanes- Oxley Act of 2002 gemacht. Für den Aufbau und die Optimierung interner Kontrollsysteme im Finanzberichtswesen, den Einsatz moderner Archivierungssysteme oder die Installation eines Whistleblower-Prozesses haben wir Beratungsprogramme und Experten, die einen Projekterfolg in kurzer Zeit sicherstellen. Unser multidisziplinärer Ansatz und unsere weltweite Präsenz helfen uns dabei, Sie kompetent bei der Durchführung von Kontrolltests weltweit und in allen Fachbereichen zu unterstützen. Ein Grund mehr, warum zahlreiche namhafte Unternehmen in Europa und in den USA zu unseren zufriedenen Mandanten in diesem Bereich zählen. Sicher auch bald Sie. 7

8 Sicher ist sicher. IT Risk & Security Services. Eines der größten Sicherheitsrisiken eines Unternehmens ist heute nicht mehr ein greifbarer Wertgegenstand, sondern das Informationssystem. Angriffe auf das IT-System können weitreichende Folgen haben. Mit unseren IT Risk & Security Services können wir Sie kompetent dabei unterstützen, Risiken beim Einsatz der IT zu identifizieren, zu bewerten und Maßnahmen zur angemessenen Risikobewältigung festzulegen. Bei der Beurteilung der IT- Sicherheit simulieren wir dafür Angriffe auf EDV-Systeme mit aktuellen Tools und erfahrenen Experten. Genau so, wie ein potenzieller Angreifer agieren würde. Darüber hinaus können wir mit ausgeprägtem technischem Wissen alle Fragestellungen zur Infrastruktur und zu technischen Lösungen beantworten. Zudem stellen wir die Prozesse zur Verwaltung und Administration der Informationssysteme auf die Probe, um ein umfassendes und ganzheitliches Bild zur Sicherheit und Verlässlichkeit der Informationsverarbeitung zu erhalten. Unser Beratungsspektrum umfasst unter anderem die folgenden Bereiche: Controls Assurance und Risk Management Die objektive Beurteilung von Prozessen, internen Kontrollen und Verfahren stellt eine wesentliche Grundlage des Risikomanagements dar, die im Bereich der Informationstechnologie ausgeprägtes Spezialwissen erfordert. Die Analyse von Prozesskontrollen unter Berücksichtigung der IT-Systeme liefert der Unternehmensleitung eine umfassende Aussage zu Prozessrisiken der betrachteten Bereiche. Wir führen Prüfungen der Ordnungsmäßigkeit von IT-Systemen durch und unterstützen Unternehmen bei der Implementierung geeigneter Maßnahmen und interner Kontrollen im Rahmen der Umsetzung von IT-Governance- Prinzipien. Softwareanbietern und Unternehmen, die individuelle Software entwickeln, bieten wir an, ihre Softwareprodukte zu zertifizieren, um die Einhaltung von gesetzlichen oder regulatorischen Anforderungen dokumentieren zu können (z.b. gemäß IDW PS 880 für Finanzbuchhaltungssysteme in Deutschland). Ebenso unterstützen wir unsere Mandanten bei der Umsetzung der erweiterten Aufbewahrungspflicht von Buchhaltungsdaten ( GDPdU ) und überprüfen die Einhaltung weiterer einschlägiger Standards oder gesetzlicher Vorschriften für Archivierungssysteme oder Dokumentenmanagementsysteme. Auch bei der Implementierung und Anwendung gängiger Standards, wie beispielsweise ITIL, COBIT, BSI Grundschutz oder ISO können Sie sich jederzeit auf die Kompetenz von Deloitte verlassen. Denn diese Standards helfen bei der klaren Regelung von Einzelfragen, unterstützen eine Standardisierung von internen Abläufen und Kontrollen und erreichen damit eine höhere Verlässlichkeit des IT-gestützten internen Kontrollsystems. 8

9 Unsere Dienstleistungen sorgen für eine klare Aussage zum internen Kontrollsystem und für Transparenz in Ordnungsmäßigkeitsfragen. Damit ermöglichen wir dem Management unserer Mandanten eine objektive Standortbestimmung. Konkrete Hinweise für mögliche Verbesserungen sowie notwendige Sofortmaßnahmen gehören selbstverständlich zu diesem Leistungsumfang. Unsere Experten sind in der Lage, auch komplizierte technische Sachverhalte so zu formulieren und zu abstrahieren, dass sie verständlich sind. Automatisierte Werkzeuge ( Compliance Tools ) zur Gewährleistung der langfristigen Sicherung des internen Kontrollsystems sowie zur Dokumentation der Kontrollstrukturen gewinnen zunehmend an Bedeutung. Und zwar für das effiziente und effektive Management interner Kontrollen. Wir unterstützen unsere Mandanten bei der Auswahl geeigneter Produkte und der Implementierung im Unternehmen. Security Services Mit Deloitte profitieren Sie von unserem Wissen aus der Beratung eines unternehmensweiten Sicherheitsmanagements sowie von der langjährigen und intensiven Erfahrung im Umgang mit komplexen, IT-gestützten Geschäftsprozessen bei unseren Mandanten. Wir setzen individuelle oder in Standards definierte Sicherheits- sowie Datenschutzmaßnahmen in allen Stufen Ihres Sicherheitsmanagements für Sie um. Wir führen organisatorische, technische und prozessorientierte Sicherheitsprüfungen, Schwachstellenanalysen oder technisch anspruchsvolle Sicherheitstests durch Angriffssimulationen für Sie durch. 9

10 Qualität, Professionalität, Kompetenz: Deloitte. Im Rahmen unserer Beratungsleistungen zur Applikationssicherheit helfen wir Ihnen, Ihren Geschäftsbetrieb, Ihre Daten und Unternehmenswerte wirksam zu schützen. Wir prüfen, planen und konzipieren den sicheren und ordnungsgemäßen Betrieb Ihrer Anwendungen und begleiten entsprechende Projekte in der Umsetzung. Außerdem beraten wir unsere Mandanten im Hinblick auf die Organisationsstrukturen für ein effektives und effizientes Identity Management. Darüber hinaus erarbeiten wir Identity-Management- Lösungen, die Anforderungen aus bestehenden Gesetzen und individuellen Sicherheitsbedürfnissen erfüllen können. Ihr Vorteil: In diese Lösungen fließen unsere umfassenden Erfahrungen sowie die Kenntnis einer Vielzahl automatisierter Werkzeuge für Identity Management ein. Die Systeminfrastruktur bildet die Basis für den sichereren und zuverlässigen Betrieb der IT. Deshalb unterstützen wir Sie bei der Beurteilung und Optimierung Ihrer Infrastruktursicherheit. Und zwar von der Architektur bis hin zur Integration von Überwachungsmaßnahmen und -werkzeugen (z. B. für geschäftskritische Infrastrukturkomponenten) in die IT-Managementprozesse. 10

11 Sie haben Fragen. Wir geben gerne Antworten. Andreas Herzig Löffelstraße Stuttgart Tel Frank M. Hülsberg Schwannstraße Düsseldorf Tel fhuelsberg@deloitte.de Sven Hesselbach Franklinstraße Frankfurt am Main Tel shesselbach@deloitte.de Bernhard Klinkhammer Hanse-Forum Axel-Springer-Platz Hamburg Tel bklinkhammer@deloitte.de Katrin Rohmann Kurfürstendamm Berlin Tel krohmann@deloitte.de Martin Thiermann Business Tower Ostendstraße Nürnberg Tel mthiermann@deloitte.de Siegfried Vogel Georgstraße Hannover Tel svogel@deloitte.de Andreas Herzig Rosenheimer Platz München Tel aherzig@deloitte.de Wir stehen für Sicherheit und Zuverlässigkeit: Enterprise Risk Services. 11

12 Deloitte bezieht sich auf Deloitte Touche Tohmatsu, einen Verein schweizerischen Rechts, dessen Mitgliedsunternehmen einschließlich der mit diesen verbundenen Gesellschaften. Als Verein schweizerischen Rechts haften weder Deloitte Touche Tohmatsu als Verein noch dessen Mitgliedsunternehmen für das Handeln oder Unterlassen des/der jeweils anderen. Jedes Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig, auch wenn es unter dem Namen Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu oder einem damit verbundenen Namen auftritt. Leistungen werden jeweils durch die einzelnen Mitgliedsunternehmen, nicht jedoch durch den Verein Deloitte Touche Tohmatsu erbracht. Copyright 2006 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten. Stand 10/2006 Member of Deloitte Touche Tohmatsu