Bild

Aktuelles


Risikogehalt von Neuigkeiten berechnen: wo spezielles Wissen gefragt ist.

Bild

Neue Informationen öffnen Horizonte. Kalkulationen mit mehreren Unbekannten sind allerdings unbequem. Risiken bewerten heißt Risiken verstehen. Neuigkeiten zu bewerten und Handlungen daraus abzuleiten ist Teamsache, denn jeder Einzelne denkt nur so weit, wie er schon mal gesehen hat. Spezialisten mit Erfahrung sind gefragt.

Ob aktuelle Trends oder Wissenswertes zu meinen Themen, hier gibt es Neuigkeiten rund um Compliance, Revision, Risikomanagement, Informationssicherheit und Datenschutz.


Bild

Dinge die meine Kunden aktuell beschäftigen. Lösungen, die funktionieren.

Bild

Eine objektive Sicht auf Veränderungen

Die Vorgehensweise zur projketbegleitenden Prüfung bei Einsatz von Informationstechnologie im Rahmen der Abschlussprüfung ist im Prüfstandard 850 „Projektbegleitende Prüfung bei Einsatz von Informationstechnologie“ des IDW (IDW PS 850) detailliert beschrieben. Eine wesentliche Unterscheidung findet zweckmäßig zwischen der „Entwicklung von Individualsoftware“ und der „Einführung von Standardsoftware“ statt.

Ausgangslage sind immer Prozesse, die in der jeweiligen Software abgebildet werden sollen. Die „projektbegleitende Prüfung“ soll hierbei die korrekte Vorgehensweise bei der Entwicklung, Einführung, Änderung oder Erweiterung von IT-gestützten Rechnungslegungssystemen durch parallel vorgenommene Prüfungshandlungen sicherstellen. Ziel ist die ordnungsmäßige, sichere und wirtschaftliche Einführung von Individual- und Standardsoftware zur Abbildung des Rechnungslegungssystems.

Was aber, wenn wesentliche Veränderungen an den Prozessen, dadurch auch an den Risiken und am internen Kontrollsystem, stattfinden? Prüfstandards sind hierfür nicht festgeschrieben.

Bei Finanzdienstleistern haben entsprechend den MaRisk AT 8.2 im Vorwege die betroffenen Organisationseinheiten, die Risikocontrolling-Funktion, die Compliance-Funktion und die Interne Revision die Auswirkungen auf die Kontrollsysteme und die –intensität bei Prozessveränderungen zu analysieren.

Auch ist die schriftlich fixierte Ordnung nach Vorgabe der MaRisk AT 5 Tz. 2 an die veränderten Aktivitäten und Prozesse anzupassen.

Als Grundlage für wesentliche Prozessveränderungen sollte daher ein strukturiertes „Change Management“ implementiert sein (Inhalte und Lösungen siehe Reiter „Stabile Strukturen für Veränderungen“).

Eine verlässliche Prüfung der Vorgehensweise bei wesentlichen Prozessveränderungen (projektbegleitende Prüfung) durch die interne Revision kann nur zweigeteilt erfolgen:

  • Strukturierte Beurteilung des Projektmanagements
  • Individuelle Beurteilung der fachlichen Umsetzung des angestrebten Zielprozesses

Die Prüfung der Vorgehensweise bei wesentlichen Prozessveränderungen (projektbegleitende Prüfung) soll die Ordnungsmäßigkeit, die Sicherheit und die Wirtschaftlichkeit des Zielprozesses sicherstellen.

Ein negatives Ergebnis kann die Glaubhaftigkeit Ihrer Rechnungslegung angreifen. Wesentliche Feststellungen durch den Abschlussprüfer wären die Folge.


Bild

Lösung

Ich führe projektbegleitende Prüfungen in der Regel im Auftrag der Geschäftsführung oder der internen Revision durch.

Bei „Projektbegleitenden Prüfungen bei Einsatz von Informationstechnologie“ orientieren sich die Prüfungshandlungen und die Prüfungsdokumentation an den Anforderungen des IDW PS 850 „Projektbegleitende Prüfung bei Einsatz von Informationstechnologie“.

Bei „Projektbegleitenden Prüfungen bei wesentlichen Veränderungen von Prozessen“ (z. B. „Einführung Folgediagramm mit Risiko und Kontrollmatrix für alle Prozesse“) wird zum Einen das Projektmanagement einer strukturierten Prüfung unterzogen, zum anderen die fachliche Beurteilung der Prozessveränderungen individuell nach Kundenwunsch durchgeführt.

Die Prüfungsdokumentation wird in beiden Fällen inklusive möglicher Feststellungen und Handlungsempfehlungen revisionssicher erstellt.

Der zeitliche Aufwand ist je nach Komplexität individuell zu vereinbaren. Üblich ist eine angemessen, tageweise Aufteilung über die gesamte Projektlaufzeit. Aufwandszeiten für Vorbereitung, Kick off und Nachbesprechungen, sowie einer Berichtspräsentation erfahren Sie in Ihrem individuellen Angebot.

Ziel ist die objektive „Feststellung der Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit des jeweiligen Veränderungsvorhaben“. Wurden bereits Feststellungen in diesem Bereich getroffen? Ich zeige Ihnen konkrete und praxiserprobte Lösungen zu Ihren Feststellungen auf.

Lassen Sie uns über Ihre Zukunft sprechen. Gemeinsam finden wir heraus, wo und wie es noch einfacher werden kann.

Starten Sie hier...
Bild

Feststellung der wesentlichen Prozesse als Teil der Risikostrategie

Die MaRisk fokussieren auf den Begriff der Wesentlichkeit. Die Wesentlichkeit von zu betrachteten Elementen ergibt sich grundsätzlich aus der Risikoinventur und dem Gesamtrisikoprofils des Instituts bzw. der Organisation.

Nach MaRisk AT 2.2 Tz. 1 sind folgende Risiken grundsätzlich als wesentlich einzustufen:

  • Adressausfallrisiko (einschl. Länderrisiken)
  • Marktpreisrisiko
  • Liquiditätsrisiko
  • operationelles Risiko

Für „nicht wesentliche Risiken“ sind „angemessene“ Vorkehrungen zu treffen. D. h. alle Risiken müssen bekannt sein! Also auch die „nicht wesentlichen“.

Die individuelle Risikoträgfähigkeit wird auf der Grundlage des Gesamtrisikoprofils erstellt. Hierzu ist ein nachvollziehbarer Prozess einzurichten. Ebenso ist ein Prozess bzw. ein Verfahren zur Quantifizierung von einzelnen Risiken vorhanden sein. Verantwortlichkeiten sind festzuschreiben. Die Methoden und Verfahren sind jährlich zu überprüfen.

Der ebenfalls vorzuhaltende „Risikosteuerungs- und –controlingprozess“ dient der eigentlichen

  • Identifizierung,
  • Beurteilung,
  • Steuerung, sowie der
  • Überwachung und Kommunikation
der wesentlichen Risiken. Dieser ist gleichermaßen für die innerbetrieblichen, die IT-, sowie die sich aus den ausgelagerten Prozessen ergebenden Risiken gültig.

Strategische und ereignisgesteuerte Risiken sind zu unterscheiden. Im Fokus der ereignisgesteuerten Risiken stehen die nachvollziehbar dokumentierten Geschäftsprozesse der betrachteten Organisation. Sind die prozessbezogenen Risiken identifiziert und bewertet, ist die Zuordnung des betrachteten Prozesses zu den schon bekannten wesentlichen Risiken (s. o.) nur noch reine Formsache. “Wesentliche Prozesse“ werden hierdurch eindeutig benannt. Eine korrekt durchgeführte Analyse kann auch weitere, bisher unbekannte wesentliche Risiken aufdecken. Schnittstellen zu anderen Prozessen sind hierbei zu berücksichtigen. Ereignisgesteuerte Risiken sind den strategischen Risiken zuzuordnen.

Fehlen der „Risikosteuerungs- und –controlingprozess“, der Prozess zur Ermittlung der „Risikoträgfähigkeit“ und der Prozess zur „Bemessung“ der Risikotragfähigkeit, oder Teile daraus, können wesentliche Feststellungen durch den Abschlussprüfer die Folge sein.


Bild

Lösung

Ich unterstütze Sie im Rahmen eines Workshops bei der Definition Ihrer „wesentlichen Prozesse“. Effektiv und nachvollziehbar.

Ich zeige Ihnen, wie Sie strukturiert mit Hilfe Ihres bereits etablierten „Risikosteuerungs- und –controlingprozesses“ Ihre wesentlichen Prozesse identifizieren können. Alle. Auch die Prozesse, die im Rahmen von Auslagerungen und Dienstleistersteuerung zu betrachten sind.

Gemeinsam untersuchen wir die Vollständigkeit und Qualität der Dokumentation Ihrer betrieblichen und IT-Prozesse. Auch die Dokumentation und Funktion des „Risikosteuerungs- und –controlingprozesses“ ist Bestandteil der Analyse. Identifizierung, Beurteilung, Steuerung, sowie Überwachung und Kommunikation. Bestandteile, die auf die prozessuale Betrachtungsweise angepasst werden.

Im Ergebnis sind Sie selbständig in der Lage, sämtliche strategischen und ereignisgesteuerten Risiken (betrieblich und IT) in Ihrem Hause prozessorientiert zu analysieren und diese den verursachenden Prozessen zuzuweisen. In der Folge die „wesentlichen Prozesse“ zu kennzeichnen.

Für die

  • Analyse der vorhandenen Dokumentation zum Thema, der
  • Entwicklung einer Umsetzungsstrategie und der
  • Durchführung eines strategischen Beratungsworkshop mit konkreten Handlungsempfehlungen vor Ort
ist mit einem Budget von ca. 2-3 Aufwandstagen zu rechnen.

Weitere Unterstützungsleistungen ergeben sich möglicherweise aus einem projektbegleitenden Coachingansatz: ich schaue von Zeit zu Zeit, ob der Weg noch der Richtige ist.

Ziel ist die uneingeschränkte Ordnungsmäßigkeit und die Sicherheit Ihres „Risikosteuerungs- und –controlingprozesses“. Wurden bereits Feststellungen in diesem Bereich getroffen? Ich zeige Ihnen konkrete und praxiserprobte Lösungen zu Ihren Feststellungen auf.

Lassen Sie uns über Ihre Zukunft sprechen. Gemeinsam finden wir heraus, wo und wie es noch einfacher werden kann.

Starten Sie hier...
Bild

Der Aufsicht einen Schritt voraus.

Informationstechnologien steuern und überwachen durch Prozesse Informationen und die Werte Ihres Unternehmens. Prozesse zur Rechnungslegung müssen die Anforderungen an die Ordnungsmäßigkeit und Sicherheit uneingeschränkt erfüllen. Auch Ihre Unterstützungsprozesse für die Entscheidungsfindung fallen unter diese Anforderungen.

Verbindliche Auflagen für die Rechnungslegung ergeben sich aus gesetzlichen und aufsichtlichen Regelungen, wie z. B.: HGB, AO, KWG und MaRisk. Konkretisiert werden die Anforderungen in diversen Verlautbarungen, die die Grundlage für Abschlussprüfungen bilden. Hierzu gehören u. a. die Prüfstandards und die Stellungnahmen zur Rechnungslegung des IDW (Institut der Wirtschaftsprüfer), sowie Grundsätze und Verwaltungsanweisungen des Bundesfinanzministeriums (BMI).

Folgende Inhalte sind Bestandteil einer Abschlussprüfung Ihres IT-Systems:

  • Prüfung der IT-Strategie
  • Prüfung des IT-Umfeldes
  • Prüfung der IT-Organisation
  • Prüfung der IT-Infrastruktur
  • Prüfung der IT-Anwendungen
  • Prüfung IT-gestützter Prozesse
  • Prüfung des IT-Überwachungssystems
  • Prüfung des IT-Outsourcing
  • Besonderheiten der Internetnutzung

Je nach Aufbau und Art Ihrer Informationstechnologie werden alle Bereiche, oder nur ausgewählte Teilbereiche durch den Abschlussprüfer festgelegt. Die Prüfungen werden als System- und Funktionsprüfungen durchgeführt.

Ein negatives Ergebnis kann die Glaubhaftigkeit Ihrer Rechnungslegung angreifen. Wesentliche Feststellungen durch den Abschlussprüfer wären die Folge.


Bild

Lösung

Ich biete Ihnen zwei Lösungen zum Thema „IT-System in der Abschlussprüfung“ an: prüfen & beraten.

Prüfen: Unter Verwendung des Prüfstandard 330 des IDW (IDW PS 330) werden alle relevanten Systemparameter, Prozesse und Elemente zum Einsatz der Informationstechnologie strukturiert einem Abgleich unterzogen. Hierbei werden die selben Parameter verwendet, wie sie auch durch den Abschlussprüfer zum Einsatz kommen.

Die Prüfung Ihres IT-Systems belegt den Status der Angemessenheit und der Wirksamkeit Ihres in der IT implementierten internen Kontrollsystems. Sie ist als System- und Funktionsprüfung ausgelegt und wird in einem Bericht dokumentiert, der Aussagen über die Ordnungsmäßigkeit und Sicherheit Ihrer eingesetzten Informationstechnologie enthält. Möglichen Feststellungen werden entsprechenden Maßnahmen zugeordnet, die nach der Umsetzung die Ordnungsmäßigkeit und die Sicherheit sicherstellen.

Je nach Systemkomplexität und Dokumentationsaufwand ist mit einem Zeitaufwand von 5-15 Tagen zu rechnen, davon ca. 1/3 vor Ort.

Beraten: Wir simulieren gemeinsam eine Abschlussprüfung unter Verwendung derselben Parameter, die auch der Abschlussprüfer für seine Bewertung heranzieht. In einem 3-5 tägigen gemeinsamen Analyse- Workshop stellen wir den aktuellen Status hinsichtlich der Ordnungsmäßigkeit und Sicherheit Ihres IT-Systems dar. Das Ergebnis wird in einer Arbeitsliste mit möglichen Feststellungen und Handlungsempfehlungen dokumentiert.

Weitere Unterstützungsleistungen ergeben sich möglicherweise aus den Feststellungen des Analyse-Workshops. Ziel ist die uneingeschränkte Ordnungsmäßigkeit und die Sicherheit Ihrer eingesetzten Informationstechnologie. Sind sie schon geprüft worden? Ich zeige Ihnen konkrete und praxiserprobte Lösungen zu Ihren Feststellungen auf.

Lassen Sie uns über Ihre Zukunft sprechen. Gemeinsam finden wir heraus, wo und wie es noch einfacher werden kann.

Starten Sie hier...
Bild

COSO – Committee of Sponsoring Organizations of the Treadway Commission

“COSO ERM (Enterprise Risk Management) – Integrated Framework“ wurde bereits im Jahr 2004 veröffentlicht und befindet sich in der Überarbeitung. Die Kommentare zum Entwurf werden zum Jahresende 2016 der Öffentlichkeit vorgestellt. Der eigentliche Inhalt des Rahmenwerkes beschreibt die Entwicklung, die Implementierung und die Aufrechterhaltung eines unternehmensweiten Risikomanagementsystems.

Strategische und ereignisgesteuerte Risiken werden bewertet. Eine mögliche Schadenshöhe und die Eintrittswahrscheinlichkeit steuern den Umgang mit dem jeweiligen Risiko. Vermeidung, Verringerung, Teilung und Annahme des (Rest-) Risikos dienen der unmittelbaren Steuerung aller Risiken.

Die zentrale Betrachtungsweise des „COSO ERM – Integrated Framework“ liegt auf den vier Zielen „Strategische Zielsetzung“ , „Effizienz und Effektivität der Geschäftsprozesse“, „verlässliche (interne und externe) Berichterstattung“ und die „Einhaltung gesetzlicher Vorgaben“.

“COSO ERM – Integrated Framework“ beinhaltet acht in wechselseitiger Beziehung stehende Komponenten, die jede für sich, die Erreichung der vier Ziele unterstützt:

  • Internes Umfeld
  • Zielfestlegung
  • Ereignisidentifikation
  • Risikobeurteilung
  • Risikosteuerung
  • Kontrollaktivitäten
  • Information und Kommunikation
  • Überwachung

Die organisatorische Einbindung der im direkten Verhältnis zueinander stehenden Ziele und Komponenten erfolgt dreidimensional in der einzelnen Betrachtung imFokus der jeweiligen Einheit. Ausgehend von der Gesamtorganisation über Bereiche bis hin zur kleinsten Einheit.

“COSO 2013“, das neuere der beiden Rahmenwerke, stellt die Weiterentwicklung des im Jahre 1992 veröffentlichten COSO-Reports (COSO I) dar. Ziel ist die Dokumentation, Analyse und Gestaltung des internen Kontrollsystems.

Im Focus der Betrachtung des Rahmenwerkes “COSO 2013“ stehen die drei Ziele „Effizienz und Effektivität der Geschäftsprozesse“, „verlässliche interne Berichterstattung“ sowie die „Einhaltung gesetzlicher Vorgaben“.

“COSO 2013“ besteht aus den fünf in wechselseitiger Beziehung zueinander stehenden Komponenten:

  • Kontrollumfeld
  • Risikobeurteilung
  • Kontrollaktivitäten
  • Information und Kommunikation
  • Überwachungsaktivitäten

Aufgeteilt in 14 Prinzipien und 87 Attributen beschreiben sie die detaillierten Anforderungen an ein internes Kontrollsystem.

Die organisatorische Einbindung der „COSO 2013“ - Ziele und -Komponenten erfolgt ebenfalls dreidimensional, ausgehend von der Gesamtorganisation über Bereiche bis hin zur kleinsten Einheit der Organisation.

Gut und verständlich dokumentierte Prozesse sind die Ausgangspunkte zum Aufbau eines angemessenen und wirksamen internen Kontrollsystems nach „COSO 2013“. Ereignisgesteuerte Risiken werden bewertet und geeigneten Kontrollen zur Risikovermeidung oder -aufdeckung entgegengesetzt. Restrisiken werden einer Risikostrategie (Vermeidung, Verringerung, Teilung oder Annahme) zugeführt.

Strukturierte Risiko- und Kontrollmatrizen auf Prozessebene beschreiben detailliert und nachvollziehbar das interne Kontrollsystem. Eine direkte Aussage zum Schutz des Vermögens (Bilanzkonten) und der Informationen in der Informationstechnologie ist hierüber erst möglich.

Zur Bestätigung der Wirksamkeit eines internen Kontrollsystems nach „COSO 2013“ müssen alle Komponenten und Prinzipien vorhanden sein und integrativ in der Dreidimensionalität funktionieren. Das Fehlen einzelner oder nur rudimentär umgesetzte Komponenten oder einzelne Attribute verwehren dem internen Kontrollsystem den Status der Wirksamkeit!

Fazit:“COSO ERM (Enterprise Risk Management) – Integrated Framework” und “COSO 2013” haben individuelle Zielsetzungen. In der Summe ergänzen sie sich.

Zur Erfüllung gesetzlicher Regelungen aus dem HGB, AktG, KonTraG, KWG, etc. ist es zwingend erforderlich ein wirksames internes Kontrollsystem zu beschreiben und dessen Wirksamkeit nachzuweisen. Dies ist mit dem Rahmenwerk „COSO 2013“ uneingeschränkt möglich. „COSO 2013“ ist prozessorientiert und beschreibt sowohl das Steuerungssystem, als auch das Überwachungssystem eines internen Kontrollsystems.

Die Kombination macht’s. Das Zusammenspiel zwischen dem “COSO ERM (Enterprise Risk Management) – Integrated Framework” und „COSO 2013“ liefert ein stabiles Rahmenwerk zum Umgang mit strategischen und ereignisgesteuerten Risiken, welches bereits bei der Strategiefestlegung greift und schädliche Ereignisse sicher erkennen lässt.

Die inhaltliche Umsetzung von „COSO 2013“ ist Voraussetzung für die Wirksamkeit eines unternehmensweiten Risikomanagementsystems nach den Vorgaben des “COSO ERM (Enterprise Risk Management) – Integrated Framework”.


Bild

Lösung

Ich biete Ihnen zwei Lösungen zum Thema “COSO ERM (Enterprise Risk Management) – Integrated Framework” und „COSO 2013“ an: prüfen & beraten.

Prüfen: Im Auftrag der Geschäftsleitung oder Ihrer Revision prüfe ich sowohl Ihr unternehmensweites Risikomanagementsystem (IDW EPS 981), als auch Ihr internes Kontrollsystem (IDW PS 982) auf Angemessenheit und Wirksamkeit unter Berücksichtigung der Anforderungen aus den Rahmenwerken “COSO ERM (Enterprise Risk Management) – Integrated Framework” und „COSO 2013“. Ergänzend ist auch die Prüfung des internen Kontrollsystems Ihrer Dienstleister nach IDW PS 951 möglich.

Das Ergebnis wird in einem angemessenen Bericht dokumentiert. Möglichen Feststellungen werden entsprechenden Maßnahmen zugeordnet, die nach der Umsetzung die Wirksamkeit des jeweiligen Rahmenwerkes sicherstellen. Je nach Aufgabenstellung ist mit einem Zeitaufwand von 5-15 Tagen zu rechnen, davon ca. 1/3 vor Ort.

Beraten: In einem 3-4 tägigen gemeinsamen Analyse-Workshop stellen wir den aktuellen Status Ihres unternehmensweiten Risikomanagements und Ihres internen Kontrollsystems in einer übersichtlichen Liste mit Feststellungen und Handlungsempfehlungen dar.

Grundlage sind die Inhalte der „Rahmenwerke COSO ERM (Enterprise Risk Management) – Integrated Framework” und „COSO 2013“ deren Einhaltung und vollständige Umsetzung die Revisionssicherheit Ihres Risikomanagementsystems und Ihres internen Kontrollsystems sicherstellen.

Weitere Unterstützungsleistungen ergeben sich möglicherweise aus den Feststellungen des Analyse-Workshops. Ziel ist Ihre uneingeschränkte Wirksamkeit Ihres unternehmensweiten Risikomanagementsystems und Ihres internen Kontrollsystems. Sind sie schon geprüft worden? Ich helfe Ihnen auch bei der Lösungsfindung zu Ihren Feststellungen.

Lassen Sie uns über Ihre Zukunft sprechen. Gemeinsam finden wir heraus, wo und wie es noch einfacher werden kann.

Starten Sie hier...
Bild

Prozessorientierung in Organisation und Revision?

Eine Forderung, die bereits seit Jahren aus den gesetzlichen und aufsichtlichen Anforderungsdokumenten im Finanzdienstleistungsbereich herauszulesen ist. Erst in jüngster Zeit treten das COSO-Rahmenwerk und für die IT-Sicherheit das COBIT-Rahmenwerk für eine mögliche Umsetzung hierfür in den Vordergrund. Die Kernforderung liegt in der strukturierten Dokumentation von Prozessen, Risiken und Kontrollen. EZB und BaFin orientieren sich bereits heute an diesen weltweit etablierten Standards. Der IDW unterstützt mit den Entwürfen der Prüfstandards EPS 981 - EPS 983 die eingeschlagene Richtung der Aufsicht.

Die Sparkassen stehen vor einer großen intellektuellen und physischen Herausforderung. Die bisher funktional aufgebauten Bereiche müssen in eine prozessorientierte Struktur überführt, bzw. integriert werden. Selbst bei Nutzung von einheitlichen Prozesslandkarten, die aufbauorganisatorische Individualisierung muss dennoch erfolgen. Risiken und Kontrollen den Prozessen zugeordnet werden. Änderung der schriftlich fixierten Ordnung, Schulungen und die Bereitschaft der Mitarbeiter die Organisation und sich selbst zu hinterfragen und mit neuem Schwung in die Zukunft zu starten, bedürfen einer enormen Kraftanstrengung aller Beteiligten in den Fachbereichen und in der Organisationsabteilung.

Erste Revisionsabteilungen haben bereits neue Methoden und Verfahren pilotiert und eingeführt, um unter Berücksichtigung der Anforderungen aus den Rahmenwerken COSO und COBIT risikoorientiert Prüfungen durchzuführen. Die hierbei festgestellten, systemischen Defizite in der Aufbauorganisation sind ein Hinweis auf die Notwendigkeit, Prozesse, Risiken und Kontrollen mit höchster Priorität und Sachverstand in der Organisation revisionssicher aufzubereiten.


Bild

Lösung

Ich unterstütze Sie bei der Implementierung Ihrer neuen Prozesslandkarte, der Identifizierung Ihrer strategischen oder ereignisgesteuerten Risiken und der Entwicklung von effizienten und effektiven Kontrollen in Ihrem Institut. Auf Papier oder mit Hilfe geeigneter Software. In der Aufbauorganisation und in der Revision.

Ich zeige den Organisations- und Fachbereichen, wie Sie die Inhalte revisionssicher aufbereiten müssen. Den Revisionsmitarbeitern zeige ich, wo die notwendigen Informationen zu finden sind, und wie diese sachgerecht und kompetent unter Berücksichtigung der Anforderungen aus den Rahmenwerken COSO und COBIT ausgewertet werden. Revision und die Fachbereiche werden eine einheitliche Sprache sprechen. Risiken werden transparent und beherrschbar.

In welchem Umfang Sie meine Unterstützung benötigen, finden wir in einem 3-5 tägigen Analyse-Workshop gemeinsam heraus. Ich zeige Ihnen die Ist-Situation auf und benenne konkrete Handlungsvorschläge für die oberste Führung, Organisation, Fachbereiche und Revision, um den Anforderungen der COSO- und COBIT-Rahmenwerke zu genügen.

Lassen Sie uns über Ihre Zukunft sprechen. Gemeinsam finden wir heraus, wo und wie es noch einfacher werden kann.

Starten Sie hier...
Bild

IDW PS 980 zur Prüfung von Comliance Managementsystemen bekommt Verstärkung

Mit den Entwürfen der drei neuen Prüfstandards (EPS) des Instituts der Wirtschaftsprüfer in Deutschland (IDW) werden alle vier Corporate Governance-Komponenten unter Berücksichtigung der Schnittstellen betrachtet.

Die ganzheitliche Prüfung von Risikomanagementsystemen (IDW EPS 981), Internen Kontrollsystemen (IDW EPS 982), Internen Revisionssystemen (IDW EPS 983) und dem Compliance Managementsystem (IDW PS 980) stellt sicher, dass die Unternehmensleitung ihrer Sorgfaltspflicht in ausreichenden Maße nachgekommen ist.

Die Angemessenheit und die Wirksamkeit der vier Corporate Governance-Komponenten werden nur durch eine regelmäßige und sachkundige Prüfungsdurchführung gewährleistet. Präventiv wirkende Kontrollen schützen Sie bei Korruptions- und anderen Schadensfällen sowie bei Reputationsschäden. Steuerungs- und Überwachungssysteme werden regelmäßig und bei Bedarf angepasst. Wirtschaftliche, persönliche und finanzielle Schäden werden somit wirksam ferngehalten.

Kapazitäts- und Kompetenzengpässe sind in vielen Organisationen für eine mangelhafte Übersicht zum Status der Corporate Governance verantwortlich. Unsicherheit und drohende Schäden sind die Folge.


Bild

Lösung

Die Übersicht behalten. Die Betrachtung aller vier Corporate Governance –Komponenten in ihrer Gesamtheit erfordert eine ausreichende Flughöhe, aus der man auch Schnittstellen und angrenzende Themen erfassen kann. Die notwendige Funktionstrennung der Beteiligten wird in besonderem Maße Rechnung getragen.

Ich unterstütze Sie bei der Entwicklung, Einführung und Überwachung Ihrer Corporate Governance. Ziel ist eine revisionssichere Ausprägung der Inhalte zum Risikomanagementsystem, Internen Kontrollsystem, Internen Revisionssystemen und dem Compliance Managementsystem in Ihrem Unternehmen.

Ausgehend von einem 2-tägigen Analyse-Workshop, zeige ich Ihnen detaillierte Maßnahmen zur Optimierung der eingerichteten Methoden und Verfahren auf. Angemessenheit und Wirksamkeit werden für die an das Unternehmen gestellten Anforderungen nach Umsetzung der Maßnahmen erreicht.

Lassen Sie uns über Ihre Zukunft sprechen. Gemeinsam finden wir heraus, wo und wie es noch einfacher werden kann.

Starten Sie hier...
Bild

Strukturiertes Vorgehen bei System- und Strukturanpassungen

Stillstand ist das Bild von gestern. Projekte und Adhoc-Aufgaben, lebende Wirtschaft unterliegt einem ständigen Wandel. "Never change a running system..:" Die Gültigkeit dieses Grundsatzes verliert immer mehr ihre Daseinsberechtigung.

Politische Entscheidungen, Umsetzung von europäischem Recht in nationale Gesetze und die Reaktionen der Aufsichtsbehörden auf aktuelle Ereignisse lassen ein statisches und unveränderbares Gefüge in den Organisationen nicht mehr zu. Veränderungen und Anpassungen stehen unaufgefordert auf der Tagesordnung und belasten die Kapazitäten der Mitarbeiter.

Strukturen und schriftlich fixierte Ordnungen sind anzupassen und nicht zuletzt werden die Mitarbeiter physisch und intellektuell stark beansprucht. Die Qualität der fachlichen Arbeit leidet. Viele Organisationen sind auf stetige Veränderungen nicht, oder nur unzureichend vorbereitet.


Bild

Lösung

Die Einführung von neuen Methoden zur Einhaltung neuer Anforderungen allein ist nicht ausreichend. Ein verlässliches System zur Steuerung von Veränderungen ist von Nöten. Ist ein "Change management" erst einmal implementiert, werden Veränderungen nur noch im Rahmen einer "normalen" Belastung wahrgenommen.

Neben den fachlichen Prozessen sind die Unterstützungsprozesse zur Umsetzung neuer Strategien, Strukturen, Systeme, Prozesse oder Verhaltensweisen das Rückgrat der Organisation.

Von der Strategie, über die Strukturen bis hin zur Kultur sorge ich dafür, dass Veränderungen prozessgesteuert sowohl für die Gesamtunternehmung, als auch für die jeweilige Gruppe und dem einzelnen Individuum einen spürbaren Mehrwert mit sich bringen. Eine ausreichende Dokumentation stellt die Revisionssicherheit der Veränderungen sicher.

In einem 2-tägigen Analyse-Workshop stellen wir den aktuellen Status Ihres aktuellen "Change Management-Prozesses" gemeinsam dar. Unter Berücksichtigung von Strategie, Stakeholdern, Werkzeugen und der Definition eines Zielprozesses, zeige ich Ihnen konkrete Handlungsvorschläge zur Implementierung eines revisionssicheren "Change Management" auf.

Lassen Sie uns über Ihre Zukunft sprechen. Gemeinsam finden wir heraus, wo und wie es noch einfacher werden kann.

Starten Sie hier...
Bild

Ist die Angemessenheit und Wirksamkeit Ihres Notfallkonzepts sicher gestellt?

Der Notfall tritt ein und der Plan in Kraft. So ist der Plan. Doch ist der Notfallplan auch ausreichend geeignet, angemessene und wirksame Notfallprozesse einzuleiten?

Sofortmaßnahmen dienen in erster Linie der Sicherheit der Kunden und Mitarbeiter. Störfälle werden zu Notfällen, Notfälle können in unbeherrschbaren Krisen ausarten. In der Folge sind vorgegebene Kommunikationswege einzuhalten, Verantwortliche und unterstützende Mitarbeiter formieren sich mit vorher festgelegten Rollen zu einem handlungsfähigen Krisenstab. Der Notfall kann anhand vorher durchdachter Szenarien mit festgelegten Notfallprozessen, die einen fachlichen und systemtechnischen Notbetrieb aufrechterhalten sollen, abgearbeitet werden.

Die Wiederherstellung der fachlichen (Business Recovery) und systemtechnischen (IT-Recovery) Prozesse sind anhand spezifischer Notfallpläne ebenfalls vorausgedacht und im Notfallhandbuch beschrieben. Eine geregelte und funktionierende Kommunikation ist ein wesentlicher Erfolgsfaktor in Notfallsituationen und in Notfallübungen. Auch mit Dienstleistern, wie z. B. dem Rechenzentrum.

Die, mit allen Dienstleistern abgestimmten Notfallpläne sichern eine zuverlässige und zeitnahe Wiederinbetriebnahme von z. B. systemtechnischen Einrichtungen und Anwendungen als Voraussetzung für die fachliche Wiederaufnahme des Normalbetriebs.

Und alles wurde im Rahmen einer Übungsplanung für Notfälle ausreichend in jedem Detail von allen Beteiligten zufriedenstellend geübt. Nachweislich und dokumentiert. Soweit der Plan…

Die Prüfungspraxis und die Auswertung von Notfallübungen und realen Notfällen zeigen große Defizite bei der Dokumentation und Detaillierung von Notfallszenarien und Notfallplänen. Die Rollen sind oftmals nicht ausreichend definiert. Häufig werden Sicherheitsanweisungen von den eigenen Mitarbeitern nicht ernst genommen. Leben gerät in Gefahr.

Notfallübungen sind teuer und belasten das Zeitbudget aller Beteiligten. Doch Sie können nicht nur Informationen und Werte retten, sondern auch das Leben Ihrer Kunden und Mitarbeiter. Ein ungeplanter Schadensverlauf ist immer teurer, als die Vorbereitung aller Prozesse und Beteiligten auf ein bereits vorgedachtes und damit bekanntes Schadensszenario.


Bild

Lösung

Ich biete Ihnen zwei Lösungen zum Thema Notfallvorsorge an: prüfen & beraten.

Prüfen: Ich untersuche Ihr Notfallkonzept auf Angemessenheit und Wirksamkeit. Schwerpunkte sind die Notfallvorsorge, das Krisenmanagement, die Alarmierung und Sofortmaßnahmen, die fachliche Wiederanlaufplanung, die systemtechnische Wiederanlaufplanung, die Notfallabstimmung der ausgelagerten Prozesse, sowie die Notfalltests und –übungen.

Die Revision erhält im Anschluss einen angemessen Revisionsbericht. Zeitaufwand hierfür: 5-12 Tage davon ca. 1/3 vor Ort.

Beraten: In einem 2-3tägigen Analyse- Workshop stellen wir den aktuellen Status Ihrer Notfallkonzeption dar und dokumentieren die Feststellungen und umzusetzenden Maßnahmen in einer übersichtlichen Liste.

Der anzulegende Maßstab ergibt sich aus den Anforderungen, denen Ihr Institut unterliegt. Allgemein ist dies z. B. der „BSI-Standard 100-4: Notfallmanagement“. In der Finanzdienstleistungsbranche werden wir die Anforderungen der MaRisk AT 7.3 berücksichtigen. Und für Sparkassen im Besonderen die Konzepte 250, 251,252,254 und 255, des SITB (Sicherer IT-Betrieb in der Variante Finanz Informatik) sowie spezifische Anforderungen des Fachausschusses „OPDV“ (Ordnungsmäßigkeit und Prüfung der Datenverarbeitung) dessen Stellungnahme für die Institute verbindlich ist und Bestandteil der Prüfungsanforderungen.

Weitere Unterstützungsleistungen ergeben sich aus den Feststellungen des Analyse-Workshops. Ziel ist Ihre uneingeschränkte Fähigkeit, Störungen und Notallsituationen professionell und strukturiert abzuarbeiten. Sind sie schon geprüft worden? Ich zeige Ihnen konkrete und praxiserprobte Lösungen zu Ihren Feststellungen auf.

Lassen Sie uns über Ihre Zukunft sprechen. Gemeinsam finden wir heraus, wo und wie es noch einfacher werden kann.

Starten Sie hier...
Bild

Schutz vor Feuer, Hitze, Rauch und schädlichen Gasen

Nicht nur IT-Systeme und Archive stehen im Focus des Brandschutzes. Leben ist das höchste Gut. Schadensbegrenzung kann schon im Vorwege durch einen durchdachten und wirksamen Brandschutz erfolgen. Bauliche Mängel, fehlerhafte technische Brandschutzeinrichtungen oder fehlende organisatorische Anweisungen zum Brandschutz gefährden Leib und Leben Ihrer Kunden und Mitarbeiter.

Ist einer Ihrer Dienstleister ein Rechenzentrum? Mit großer Wahrscheinlichkeit haben Sie sich vertraglich verpflichtet einen angemessenen Brandschutz für IT-Systeme, Archive, IT-Räumen und versorgungstechnische Anlagen, wie z. B. Räume der Stromversorgung und Klimatechnik sicher zu stellen. Baustoffe, Belastungsgrenzwerte, Brandabschnitte, Brandmeldeanlagen, Löschanlagen und Brandlasten sind regelmäßig zu überwachen. Die Durchführung von Brandschutzübungen und Evakuierungsübungen sind ebenfalls regelmäßig nachzuweisen.

Die operationelle Umsetzung erfolgt in der Regel durch Ihren Brandschutzbeauftragten. Als Verantwortlicher müssen Sie sich jedoch von der ordnungsgemäßen Umsetzung der Brandschutzauflagen überzeugen. Regelmäßig, fachlich versiert und in ausreichender Tiefe. Dies stellt eine Kontrolle im Rahmen Ihres internen Kontrollsystems dar.


Bild

Lösung

Ich biete Ihnen zwei Lösungen zum Thema „Brandschutz“ an: prüfen & beraten.

Prüfen:Ich untersuche Ihre baulichen, technischen und organisatorischen Brandschutzverfahren und-einrichtungen auf Angemessenheit, Ordnungsmäßigkeit und Vollständigkeit.

Als Grundlage dienen mir u. a. die DIN 14096:2014, Vds-Richtlinien zum Thema Brandschutz, sowie im Sparkassenbereich das Konzept 205 „Brandschutz“ des SITB.

Das Ergebnis wird in einem angemessenen Bericht dokumentiert. Möglichen Feststellungen werden entsprechenden Maßnahmen zugeordnet, die nach der Umsetzung die Angemessenheit, Ordnungsmäßigkeit und Vollständigkeit Ihres Brandschutzes sicherstellen. Die Dokumentation dient als Nachweis für Ihren Sachversicherer, dass Sie Ihren Brandschutz auf einem aktuellen Stand halten. Je nach Aufgabenstellung ist mit einem Zeitaufwand von 4-10 Tagen zu rechnen, davon ca. 1/3 vor Ort.

Beraten: In einem 3-4 tägigen gemeinsamen Analyse- Workshop stellen wir den aktuellen Status Ihres Brandschutzkonzeptes, sowie die baulichen, technischen Umsetzungen und organisatorischen Regelungen zum Brandschutz in einer übersichtlichen Liste mit Feststellungen und Handlungsempfehlungen dar.

Als Basis werden die, für eine Brandschutzprüfung zu verwendenden Anforderungsdokumente in gleicher Weise angewendet.

Weitere Unterstützungsleistungen ergeben sich möglicherweise aus den Feststellungen des Analyse-Workshops. . Ziel ist die uneingeschränkte Wirksamkeit aller Verfahren und technischen Einrichtungen zum Brandschutz in Ihrem Hause sicher zu stellen. Ich zeige Ihnen konkrete und praxiserprobte Lösungen zu Ihren Feststellungen auf.

Lassen Sie uns über Ihre Zukunft sprechen. Gemeinsam finden wir heraus, wo und wie es noch einfacher werden kann.

Starten Sie hier...

Bild

Referenzen


Lang, breit und tief: die Herkunft der Erfahrung.

Bild

Erfahrungen spiegeln die vergangene Realität des Erlebens einer lösungsorientierten Zielerreichung wider. Lösungen, die ich in meinem Berufsleben erarbeitet habe, sind meine Referenz:
25 Jahre Prozesse. 12 Jahre interne Risiko- und Kontrollsysteme. 5 Jahre Revision.
Und immer dabei: Software und Anwendungen.


Bild

Projekte, Aufgaben und Lösungen

Branchenübergreifend und mit den Aufgaben stets gewachsen. Meine Ausbildung schrieb das Leben. Vielfältig breit und doch einer roten Linie folgend: den revisionssicheren Prozessen. Die Sammlung meiner Erfahrung besteht aus der Summe meiner Aufgaben und Projekte.
Sie sind die Grundlage für die Auflösung aktueller Engpässe bei meinen Kunden.

Bild

Qualifikationen und mehr... (Auszug)

Black Belt Six Sigma
EOQ Quality Auditor
DGQ-Auditor
Zertifikat SAP
Zertifikat Projektleiter
Refa-Techniker

Bild

Prüfen


Ich vergleiche, bewerte und überwache. Und Sie beherrschen das Risiko.

Bild

Die Qualität Ihrer Prüfungsstrategie bestimmt die Angemessenheit und die Wirksamkeit Ihrer Risikosteuerung. Durch meine Prüfungen werden zielgenau Risiken erkannt, Potenziale aufgezeigt, aber auch das Erreichte mit Transparenz bestätigt. Ich schaue genau hin.

Ihre Risiken werden beherrschbar. Korrekturen zur Einhaltung der aufsichtlichen Forderungen hierdurch möglich. Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit werden sicher gestellt.


Bild

Meine Prüfungsleistungen

Prüfen ist die stärkste aller Disziplinen. Verpflichtend ist die umfassende Kenntnis des zu prüfenden Bereichs in Verbindung mit innovativen Prüfungstechniken. Die Effizienz meiner Prüfungshandlungen wird hierdurch sicher gestellt.

Auftraggeber meiner Prüfungsangebote sind Unternehmensleitung, Revision, und äquivalente Fachbereiche im Direktmandat ebenso, wie Wirtschaftsprüfungen und Unternehmensberatungen zur Ermittlung der Ausgangslage bei deren Mandanten.

Bild

Mein Prüfungsangebot


Bild

Beraten


Ich analysiere und finde Lösungen. Für Ihren Erfolg.

Bild

Einfach mal eine neue Brille aufsetzen: mit dem Blick von außen werden interne Hindernisse schnell zur Rennbahn. Beratung ist nicht nur Vertrauenssache, sondern auch geballte Erfahrung gepaart mit einer Portion Empathie und dem Hang Lösungen auch im Detail zu realisieren. Strukturiert und erfolgsorientiert.

Konzentrieren Sie sich auf Ihr Unternehmen, ich kümmere mich um die problembehafteten Engpässe in Ihrem Unternehmen.


Bild

Meine Beratungsleistungen

Meine Beratung: mal breit, mal detailliert herunter gebrochen auf das Wesentliche, dient sie nur einem Ziel: Ihre Organisation und Ihre Prozesse revisionssicher und effizient zu gestalten. Vorhandenes nutzen und zum Maximum mit Neuem optimieren.

Auftraggeber meiner prüfungsnahen Beratungsleistungen sind die Unternehmensführung, Revision, Organisation, sowie Bereichs- und Abteilungsleiter der verschiedenen Fachbereiche.

Bild

Mein Beratungsangebot

Risikomanagement
Die Steuerung von Risiken: einfach und revisionssicher.
  • Entwicklung und Implementierung von Internen Risiko- und Kontrollsystemen
  • Definition der strategischen Risiken
  • Entwicklung und Implementierung eines „Three-lines-of-defense-modell“
  • Definition und Ermittlung der ereignisgesteuerten Risiken
  • Entwicklung von Maßstäben zur quantitativen und qualitativen Risikobewertung
  • Entwicklung von effizienten und effektiven Prozesskontrollen
  • Identifizierung der in der Organisation zu schützenden Werte und Informationen
  • Entwicklung von Risiko-Kontroll-Matrizen








Prozessmanagement
Der Aufbau- und Ablauf-organisation einen Halt geben.
  • Definition der wesentlichen Prozesse
  • Schutzbedarfsfeststellung von Prozessen
  • Identifikation der notwendigen Kompetenzen und Verantwortlichkeiten
  • Definition der Prozessschnittstellen
  • Revisionssichere Definition, Identifikation und Dokumentation von Prozessen
  • Identifikation, Entwicklung und Aufbau der schriftlich fixierten Ordnung
  • Entwicklung des Notfall- und Wiederanlauf-
    management (Business Continuity Management) auf Prozessebene










Softwareintegration
Helfer in Organisation und Revision.
  • Unterstützung bei der organisationsspezifischen Softwareauswahl
  • Modulübergreifende Beratung zur Leistungssteigerung der Organisation und Revision
  • Entwicklung eines einheitlichen Verständnisses von Mitarbeitern aus Organisation und Revision
  • Unterstützung bei der anforderungsgerechten Darstellung von Prozessen, Risiken und Kontrollen in der Soll-Dokumentation
  • Entwicklung von Managementreports zur Unternehmenssteuerung
  • Entwicklung und Unterstützung bei der Anwendung von Methoden zur Prozessprüfung in der Revision









IT-Sicherheit
Eine schützende Hülle für Ihre Informationen.
  • Unterstützung bei der Einhaltung gesetzlicher Anforderungen
  • Unterstützung der Einhaltung der Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit
  • Schutz aller Daten und Ressourcen
  • Definition der Benutzerrechte
  • Erstellung von Rechte- und Rollenkonzepten
  • Entwicklung von revisionssicheren Programmeinsatzverfahren (inkl. Testmanagement)
  • Entwicklung und Implementierung der Dienstleistersteuerung (z. B.: Rechenzentrum)
  • Entwicklung des IT-Notfall- und Wiederanlauf-
    management (IT-Recovery)
  • Vorbereitung des Fachbereiches auf externe Prüfungen (z.B. 44er-Prüfung, IT-Prüfung im Rahmen des Jahres-
    abschlusses - IDW PS 330 , etc.)

Bild

Aufsicht


Regeln in Sprache umsetzen: Die Integration der Anforderungen

Bild

Rechtliche Grundlagen sind die Basis für die abgeleiteten Grundsätze, die das Handeln eines ordentlichen Kaufmanns bestimmen. Richtlinien, Verlautbarungen und Methoden bilden einen festen Raum, innerhalb dessen sich die Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit gewährleisten lassen.

Die Kenntnis der Anforderungen ist die Voraussetzung jeder Prüfung und die Grundlage jeder Beratungsleistung.


Bild

Gesetze, Grundsätze, Verlautbarungen, Richtlinien und Methoden (Auszug)

Ob Rohstoffproduktion, verarbeitendes Gewerbe oder Dienstleistung, die Grundsätze des kaufmännischen Handelns sind einzuhalten. In der Beratung und in der Prüfung sind die rechtlichen Grundlagen, die abgeleiteten Grundsätze und Rahmenwerke, sowie die Prüfungsgrundsätze der Abschlussprüfer und der Aufsicht zu berücksichtigen um die Revisionssicherheit aller Prozesse und Organisationseinheiten zu erreichen.

Bild

Beispiele


Bild

Erfahrung


Joachim Sell

Bild

Reglementierte Finanzdienstleister, strukturierte Automobilindustrie, sicherheitsorientierte Chemie- und Pharmaunternehmen. Sie alle haben etwas gemeinsames: Mich.

Seit über 25 Jahren präsentiere ich innovative Lösungen zur Sicherheit meiner Kunden: Managementsysteme, interne Risiko- und Kontrollsysteme und revisionssichere Prozesse. Branchenübergreifend in Dienstleistung und Produktion. Fachübergreifend im Rechnungswesen, der Revision und Organisation sowie in der IT-Sicherheit. Prüfend und beratend.

Kleine und mittlere Unternehmen, aber auch Branchenführer und global agierende Konzerne haben mein Wissen und Handeln geprägt. Spezialisiert auf die Anforderungen der Bankenaufsicht habe ich in den vergangenen 5 Jahren vornehmlich die IT-Sicherheit in Sparkassen- und Finanzdienstleistungsinstituten geprüft.

Meine Kunden profitieren von dieser Vielfalt. Mein Wissen für Ihren Vorteil.


Bild

Kunden - im direkten Auftrag, über ehemalige Arbeitgeber und Kooperationspartner (Auszug)

  • Bayer
  • Bayerischer Rundfunk
  • BearingPoint
  • Celanese
  • Commerzbank
  • Daimler Chrysler
  • EDSCHA
  • GMSH
  • Hamburgische Landesbank
  • HSBC Trinkaus & Burkhardt
  • HSH Nordbank
  • ibo Software
  • Infonova
  • KAO PSS
  • KPMG
  • Minolta
  • Nortec Electronic
  • OnVista Bank
  • OXEA
  • SAP
  • S-Consit
  • Sparkasseninstitute (div.)
  • WSLP Financial Audit
  • etc.

Bild

Kontakt


Kontaktdaten

Nun sind Sie dran: rufen Sie mich an oder schreiben Sie mir eine E-Mail und erleben Sie wie unkompliziert eine lösungsorientierte Zusammenarbeit sein kann.

Bild





SellfControl
Unternehmensberatung
Joachim Sell

Bild





Stipsdorfer Straße 5
23795 Weede

Bild





M +49 (0) 173 20 82 150
T +49 (0) 4551 96 77 22

Bild





joachim.sell@sellfcontrol.de
www.sellfcontrol.de
www.kontrollmanagement.de