GRC Governance Risk & Compliance

Transkript

1 GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen

2 Inhalt. 1. Begriffsdefinition 2. Soll-Konzeption 2.1 IT als Instrument des GRC 2.2 IT als Objekt des GRC 3. IST-Situation 4. Fazit und Ausblick RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 2

3 Begriffsdefinition GRC bezeichnet unternehmerische Handlungsebenen zur erfolgreichen Führung eines Unternehmens RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 3

4 Begriffsdefinition Teilbereiche eines integrierten GRC-Managements Governance: Rahmenwerk von Regeln und Richtlinien, nach denen ein spezifisches Unternehmen geführt und kontrolliert werden soll. Risk Management: Strukturierter Prozess des einheitlichen und antizipativen Umgangs mit Chancen und Risiken Compliance: effektive und effiziente Erfüllung sämtlicher juristisch verbindlicher Richtlinien und Vorgaben GRC-Management RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 4

5 Begriffsdefinition Grundsätze der Unternehmensführung. Die Geschäftsführung oder Leitung legt die Ziele der Organisation fest. Sie definiert die zu ihrer Erreichung anzuwendenden Methodiken und plant die dafür notwendigen Ressourcen. Dabei achtet sie auf den Wertbeitrag jeder Geschäftseinheit zum gemeinsamen Erfolg, beispielsweise der IT mittels Definition des Teilzieles IT-Governance Governance Corporate Governance RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 5

6 Begriffsdefinition 1998 KontraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich 2002 TransPuG (Transparenz- und Publizitätsgesetz) 2004 BilReG (Bilanzrechtsreformgesetz) 2004 BilKoG (Bilanzkontrollgesetz) 2004 AnSVG (Anlegerschutzverbesserungsgesetz) 2005 VorstOG (Vorstandsvergütungs- Offenlegungsgesetz) Governance Corporate Governance Von Rechtsnormen getrieben RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 6

7 Begriffsdefinition 2005 UMAG (Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts 2005 KapMuG (Gesetz zur Einführung von Kapitalanleger-Musterverfahren) Transparenzrichtlinien Umsetzungsgesetz 2009 BilMoG (Bilanzrechtsmodernisierungsgesetz) Governance Corporate Governance Von Rechtsnormen getrieben RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 7

8 Begriffsdefinition Management von bekannten und unbekannten Risiken die das Erreichen der Unternehmensziele gefährden. Das Ziel ist die Bereitstellung von Strategien zur Risikoauseinandersetzung. Dazu identifiziert das Risikomanagement /der Risikomanager die Risiken, klassifiziert sie und verabschiedet Methoden zur Risikobehandlung. Risk Durch die Anwendung einer Risikomanagementmethodik werden außerdem vorhandene Restrisiken für die Führungsebene transparent und von der Organisation überwacht RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 8

9 Begriffsdefinition Verpflichtung des Unternehmens zur Einhaltung von internen und externen Regularien für die Bereitstellung und Verarbeitung von Informationenwesentlich sind. Ziel der Regularien ist es, den Wert der Informationen zu erhalten, indem man Datenschutz-, Sicherheits- und Identitätsverstößen vorbeugt. Compliance Von besonderer Bedeutung ist dabei die Informationstechnik, da sie heute einen bedeutsamen Beitrag zur Informationsverarbeitung leistet. RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 9

10 Soll-Konzeption IT als Instrument des GRC Bereitstellung von Tools (Excel-basiert bis hin zu integriertem SAP-Modul) zur Erfüllung der Vorgaben complient sein Zum Erkennen von Risiken in Unternehmen Zur Definition von Controls (Parameter, anhand derer Maßnahmen ausgelöst werden Bei automatischen Controls liefert das IT- System die Informationen Bei manuelle Controls werden diese von Hand gepflegt IT als Instrument RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 10

11 IT als Instrument des GRC Konkret. IT als Instru ment Konkr et RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 11

12 Soll-Konzeption IT als Instrument des GRC Beschreibung der Geschäftsprozesse Definition der Workflows /IT-unterstützt Funktionstrennung durch Berechtigungs- und Kompetenzsysteme Unternehmensleitlinien Governance RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 12

13 Soll-Konzeption IT als Instrument des GRC.Permanentes Monitoring Forderungen =>Forderungsausfall.Bestandsentwicklung => Lieferbereitschaft.Überwachung Liquidität => Zahlungsfähigkeit Risk RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 13

14 Soll-Konzeption IT als Instrument des GRC Übersichten welche Geschäftsprozesse, Dokumente, Kontrollsteps von einer Gesetzesänderung betroffen werden Mitarbeiter der betroffenen Prozesse informieren Formulare anpassen Monitoring-Systeme anpassen Druck von gesetzlich vorgeschriebenen Begleitbelegen Compliance RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 14

15 Soll-Konzeption IT als Objekt des GRC IT Governance bezeichnet die Organisation, Steuerung und Kontrolle der IT und der IT- Prozesse eines Unternehmens durch die Unternehmensführung. Sie dient der konsequenten Ausrichtung der IT-Prozesse an der Unternehmensstrategie und steht in enger Verbindung zum ganzheitlichen Corporate Governance-Ansatz. IT-Governance RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 15

16 Soll-Konzeption IT als Objekt des GRC IT-Governance verfolgt im Wesentlichen fünf Ziele: fortwährende Ausrichtung der IT an den Unternehmenszielen und -prozessen, Unterstützung bei der Erreichung der Geschäftsziele verantwortungsvoller und nachhaltiger Einsatz der IT-Ressourcen, Erhöhung der Zufriedenheit von Kunden und Beteiligten, IT-Risiken minimieren IT-Governance RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 16

17 Soll-Konzeption IT als Objekt des GRC Grundsätze und Verfahren und Maßnahmen die sicherstellen, das mit Hilfe der IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden IT Strategie IT Sicherheitsstategie / -konzept IT-Controlling IT Organisation Berechtigungskonzept Beschaffungs-/entwicklungsregelungen Notfallkonzept IT-Governance RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 17

18 Soll-Konzeption IT als Objekt des GRC Anforderungen an die IT Governance sind: Strategic Alignment: permanente Ausrichtung der IT an den Unternehmenszielen und -prozessen sowie Unterstützung des Unternehmens bei der Erreichung der Geschäftsziele Resources Management: Einsatz der IT-Ressourcen unter verantwortungsvollen und nachhaltigen Gesichtspunkten Risk Management: Aufdeckung, Beurteilung und Adressierung von IT-Risiken Performance Measurement: Messung der Performance der IT-Prozesse und Services einschließlich eines zeitnahen und eindeutigen Reportings Value Delivery: Messung des Wertbeitrags der IT zum Geschäft IT-Governance RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 18

19 Soll-Konzeption IT als Objekt des GRC RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 19

20 Soll-Konzeption IT als Objekt des GRC Vertraulichkeit Verfügbarkeit Authentizität Integrität Bewertung von Systemausfälle Reputationsrisiken Verarbeitungsfehler.. Risk RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 20

21 Soll-Konzeption IT als Objekt des GRC Lizenzen Parametrierungen Gesetzeskonforme Verarbeitung Nachweise Algorithmen. Compliance RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 21

22 IST-Situation GRC-Modelle Einzelbetrachtung der Komponenten Einsatz verschiedenster Tools mit Teillösungen COBIT Referenzmodell nicht verbreitet Umfassende, integrierte GRC-Systeme sind eher selten. GRC RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 22

23 IST-Situation Geringer Strukturierungsgrad Im Bereich Governance IT-Governance wird unbewußt gelebt Aspekt IT als Wertelieferant wird noch nicht gesehen Prozessorientiertes Denken noch nicht verbreitet.. Governance IT-Governance RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 23

24 IST-Situation Keine durchgängigen Control-Konzepte Keine strukturierten Risikoinventuren Bestenfalls qualitative Risikobewertungen Kein kontinuierliches Monitoring. Risk RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 24

25 IST-Situation Keine Prozesse /organisatorischen Vorgaben zur Erhebung, Implementierung und Überwachung der gesetzlichen Vorgaben (Compliance-Beauftragter) Keine Übersichten welche Geschäftsprozesse, Dokumente, Kontrollsteps von einer Gesetzesänderung betroffen werden Lizenzverwaltung Digitale Signatur Compliance RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 25

26 Fazit und Ausblick Mit wachsender Betriebsgröße werden sich GRC- Managementsysteme zunehmend etablieren. Mit der Bereitstellung geeigneter Tools wird der integrierte Ansatz der GRC-Modelle unterstützt. Kleinere Einheiten werden mehr oder weniger strukturierte Insellösungen nutzen. Der erhöhte Wettbewerb, die gesetzlichen Anforderungen und die Reaktion der Abschlußprüfung (IDW PS980) werden den Druck auf die Unternehmen erhöhen. Die Bankenbranche ist - BaFin-getrieben - einen Schritt weiter.. Fazit und Ausblick RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 26

27 Definitionen Viele Dank für Ihre Aufmerksamkeit Diplom-Ökonom Heinz-Georg Kämpchen Wirtschaftsprüfer Steuerberater Tel.: Internet: RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen 27