Eine gute Corporate-Governance ist das Fundament, die „große Klammer“ für sämtliche Führungs- und Überwachungsaktivitäten Ihres Unternehmens. Und das unabhängig von der Rechtsform oder davon, ob es sich um eine Familiengesellschaft, ein kapitalmarktorientiertes oder ein Unternehmen der öffentlichen Hand handelt. Geschäftsleitung und Aufsichtsorgane setzen den „Tone-at-the-top“ und sind sowohl für die Vorgabe und Einhaltung der hohen ethischen und fachlichen Standards als auch für den Schutz und die Absicherung einer umfassenden Rechtskultur der Organisation (Compliance) verantwortlich. Dabei gilt stets: Die Integrität der Organe prägt das Unternehmen.

Die Mauer Unternehmensberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft bietet eine GRC Beratung für KMU und steht dabei zu einem umfassenden Stakeholder-Ansatz. Deshalb zählen bei uns alle miteinander kommunizierenden Systeme und Prozesse zu den Elementen einer guten Corporate-Governance eines Unternehmens – zum Schutz und zur Förderung der Interessen aller wichtigen Anspruchsgruppen (Stakeholder): Kunden, Eigentümer und Mitarbeiter, Lieferanten, Staat und Öffentlichkeit. Als Unternehmensberatung stehen wir mit unseren erfahrenen Beratern und Wirtschaftsprüfern für eine GRC-Beratung, die eine zielführende, sichere und effiziente Strategie verfolgt.

Corporate Governance

Corporate Governance, wie wir sie verstehen, gewährleistet nachhaltigen Nutzen bei Kunden, Eigentümern und Mitarbeitern und berücksichtigt auch die Befindlichkeiten einer aufmerksamen Öffentlichkeit. Wir beraten, coachen und schulen Aufsichtsräte, Vorstände und Prüfungsausschüsse, damit sie bei der Vielzahl der gesetzlichen Vorgaben nicht den Blick für das Wesentliche verlieren. Denn nicht die Erfüllung regulatorischer Vorschriften und Empfehlungen darf alleiniger

 

Sinn und Zweck verantwortungsbewusster Corporate Governance sein: Es sind immer die handelnden Menschen, die eine erfolgreiche Unternehmensführung und -überwachung garantieren, geprägt durch unternehmerisches Handeln und fest verankert in gemeinsamen ethischen Werten. Wir beurteilen den Reifegrad Ihrer Governance, um durch gezielte Verbesserungen, Mehrwerte zu schaffen.

Interne Revision

Die Interne Revision hat längst den Schritt von der reinen Kontrollinstanz hin zum Führungsinstrument der Unternehmensleitung vollzogen. Die Aufgaben und Themen, mit denen sich heute eine Interne Revision beschäftigt, sind so vielfältig und facettenreich wie nie zuvor. Das liegt unter anderem daran, dass die Interne Revision nahezu alle operativen Prozesse und Kontrollsysteme einschließlich der Informationstechnologie (IT) sowie das Risikomanagementsystem (RMS) und Compliance-Managementsystem (CMS) der Organisation prüfen und verbessern kann. Zudem leistet sie einen entscheidenden Beitrag zur Haftungsvermeidung und Exkulpation des Vorstands und der Aufsichtsorgane.

 

Wir unterstützen Sie dabei entweder im Rahmen eines Co-Sourcings/Partnerings oder beim Outsourcing der gesamten Revisionsfunktion Ihres Unternehmens. Unsere Spezialisten bieten umfassende betriebswirtschaftliche, technische und IT-Expertise. Die interdisziplinäre Zusammenarbeit von Wirtschaftsprüfern, Ingenieuren, Certified-Internal-Auditors (CIA) und Certified-Information-Systems-Auditors (CISA) sowie Steuerberatern erlaubt eine intensive und neutrale Beurteilung Ihrer Organisation sowie der geprüften Teilbereiche und sorgt für einen effizienten Prüfungsablauf. 

Unsere Leistungen auf einen Blick:

  • Übernahme von Revisionstätigkeiten (Outsourcing bzw. Co-Sourcing/Partnering) durch Financial-, Operational- und Management-Audits
  • Ordnungsmäßigkeits- und Wirtschaftlichkeitsprüfungen von Einzelsachverhalten und Geschäftsprozessen
  • Interne Revision von Beteiligungen im In- und Ausland
  • Revision/Sonderuntersuchungen von dolosen Handlungen und forensischen Sachverhalten
  • CEO/CFO-Assurance: Revision der Datenqualität des BIS/MIS sowie der Vorsysteme
  • Transaktionsunterstützung durch Due-Diligence-Prüfungen (Financial, Tax, Commercial)
  • Revision der Post-Merger-Integration nach erfolgter Transaktion

 

  • Einführung und Prüfung von Risikomanagementsystemen nach DIIR Revisionsstandard Nr. 2 und IDW PS 981
  • Prüfung des Internen Kontrollsystems (IKS) nach IDW PS 982
  • Umsetzung landesspezifischer Anforderungen beim IKS (US-SOX, China-SOX, J-SOX)
  • Prüfung des Internen Revisionssystems nach IDW PS 983
  • Prüfung von Compliance-Managementsystemen nach IDW PS 980
  • Quality-Assessments der Internen Revision
  • Unterstützung beim Aufbau einer unternehmenseigenen Internen Revision

IT-Revision

Aus der engen Verzahnung aller Geschäftsbereiche mit der IT sowie der rasanten Entwicklung im Bereich von Industrie 4.0 durch die Vernetzung von Kunden und Lieferanten resultiert eine hohe Anfälligkeit für externe Angriffe auf Ihr Unternehmen sowie für Systemausfälle. Potentielle Folgen nicht aufgedeckter IT-Risiken sind regelmäßig der Verlust immateriellen Vermögens, steigende Haftung, etwa bei Verstößen gegen die Datenschutzbestimmungen, sowie Geldstrafen und erheblicher Reputationsverlust bei Kunden wegen Verletzungen von vertraglichen Vereinbarungen. Schwachstellen in Ihrer IT-Sicherheitsarchitektur erlauben internen und externen Akteuren Angriffe auf Ihr Unternehmen auszuüben, Daten zu entwenden oder zu schädigen. Fehlende interne Richtlinien und Prozesse können zu Fehlern, betrügerischen Handlungen sowie Unterschlagungen führen.

 

Die Bewältigung der permanent zunehmenden IT- und Cyber-Risiken stellen höchste Anforderungen an Ihre Organisation. Transparenz von Risiken in den IT-Systemen und -Projekten ist die Voraussetzung für ein effektives IT-Risikomanagement. Verschaffen Sie sich durch unsere Audits einen Überblick über die Performance-, Security- und Compliance-Situation der IT Ihres Unternehmens. Eine umfängliche IT-Revision kann hierzu wertvolle Beiträge leisten.

Unsere Leistungen auf einen Blick:

  • IT-Revision sowie IT- und Cyber-Security-Checks
  • Datenschutz-Audits
  • Unterstützung bei der Umsetzung und Einhaltung der EU-Datenschutz-Grundverordnung

 

  • Unterstützung bei der Umsetzung und Einhaltung des IT-Sicherheitsgesetzes zum Schutz kritischer Infrastrukturen
  • Beurteilung der Ordnungsmäßigkeit und Effizienz von IT-Projekten

Risikomanagement

Viele Unternehmenskrisen der jüngsten Zeit unterstreichen die Bedeutung eines effektiven
Risikomanagements. Entscheidend ist der „Tone-at-the-top“. Vorstand und Aufsichtsrat sind die Protagonisten und verantwortlich dafür, dass die Führungskräfte und Verantwortlichen für eine positive Grundhaltung zu Risikomanagement und transparenten Unternehmensprozessen sowie deren Überwachung stehen. Die Kernfrage ist, ob das bestehende Risikomanagement Ihren gestiegenen Ansprüchen genügt und auch robust genug ist, den vielfältigen Herausforderungen globalisierter Märkte und des regulatorischen Umfeldes Stand zu halten. Sind Sie mit allen wesentlichen strategischen und operativen Risiken vertraut, einschließlich des Risikos, Geschäftschancen zu übersehen? Liefert Ihr Unternehmensreporting rechtzeitig detaillierte und verlässliche Informationen zur Beurteilung Ihrer Risiken?

 

Wir unterstützen Sie, Ihre Systeme nach anerkannten Standards zielgerichtet auszubauen und so zu ergänzen, dass Ihr Unternehmen für alle wesentlichen Geschäftsrisiken das passende Risikocontrolling vorhält und steigenden Haftungsrisiken für Vorstände und Aufsichtsräte wirksam begegnet.

Compliance

Rechtsprechung, staatliche Behörden, Rechts- und Wirtschaftswissenschaften sowie alle relevanten Stakeholder betrachten übereinstimmend das Erfordernis von Compliance-Management als eine der grundlegenden Aufgaben der Unternehmensführung. Auch deshalb sind sich größere, mittelständisch geprägte Organisationen zunehmend über die Notwendigkeit eines systematischen Compliance-Managements bewusst. Dabei stellt sich ein wenig überspitzt formuliert die Frage: „Wie viel Compliance kann ich mir leisten bzw. wie viel Nicht-Compliance kann ich mir leisten?“.

 

Planbare Kosten und der Einsatz von erfahrenen Spezialisten sprechen für eine gezielte externe Unterstützung bei der Einführung und Prüfung Ihres Compliance-Managementsystems (CMS). Die Vorteile eines CMS liegen auf der Hand, da Sie Ihre Compliance-bezogenen Risiken in dokumentierter und professioneller Weise steuern und überwachen. Wir leisten dabei einen signifikanten Beitrag dazu, Ihr Unternehmen sicherer zu machen, Ihre materiellen und ideellen Werte zu schützen sowie Haftungsrisiken zu vermeiden. Unser Angebot reicht von der initialen Identifizierung von Fraud- und Compliance-Risiken über die Konzeption und Implementierung übergreifender Compliance-Managementsysteme bis zur Prüfung Ihrer bereits etablierten Compliance Situation.

Unsere Leistungen auf einen Blick:

Analyse:

  • Quick-Check: Identifizierung und Bewertung von Fraud- und Compliance-Risiken
  • Analyse der vorhandenen Präventionsinfrastruktur
  • Elektronische Fraud-Indikatoren-Datenanalyse
  • Puls-Checks bei problematischen Tochterfirmen oder Geschäftsvorfällen bei vermuteten Risiken oder aktuellen Vorkommnissen

Beratung und Umsetzung:

  • Konzeptionelle Beratung und Entwicklung von Compliance- und Anti-Fraud-Managementsystemen
  • Implementierung und Verbesserung von Compliance- und Anti-Fraud-Managementsystemen – lokal und global
  • Konzeption und Implementierung von Richtlinien und Kodizes sowie Anti-Fraud- und Compliance-Kommunikation
  • Corporate-Governance: Verankerung des CMS im Risikomanagement
  • Mitarbeiterschulungen in den Bereichen Anti-Fraud, Compliance und Wertemanagement
  • Implementierung von Melde- und Hinweisgebersystemen

Services bezüglich Accounting-, Controlling- und IT-Compliance:

  • Erfüllung der gesetzlichen und konzerninternen Berichtserfordernisse (Erstellung Jahres- und Konzernabschlüsse HGB/IFRS, Konzernpackages)
  • CEO-/CFO-Assurance: Unterstützung zur Absicherung der Qualität entscheidungserheblicher Daten im Managementinformationssystem (MIS)/Business-
  • Intelligence-System (BIS)
  • Plausibilisierung/Analyse der Key-Performance-Indikatoren auf Auffälligkeiten, Aussagekraft und Konsistenz
  • Unterstützung und prüfende Durchsicht zur Erfüllung der gesetzlichen Anforderungen bei Lohnbuchhaltung, laufender Buchhaltung,
  • Jahresabschlusserstellung (HGB/IFRS), Kontenanalysen und -abstimmung
  • Unterstützung bei Erstellung betrieblicher Steuererklärungen
  • Analyse und Verbesserung der IT- und Cyber-Security
  • Unterstützung bei der Umsetzung und Einhaltung der EU-Datenschutz-Grundverordnung
  • Unterstützung bei der Umsetzung und Einhaltung des IT-Sicherheitsgesetzes zum Schutz kritischer Infrastrukturen

 

Kontrolle und Überwachung:

  • Prüfung bestehender Compliance-Managementsysteme nach IDW PS 980
  • Performance-Beurteilung einzelner Anti-Fraud- und Compliance-Management-Systemelemente
  • Prüfung und Umsetzung Ihrer Compliance-Audit-Rechte bei Geschäftspartnern
  • Forensische Datenanalysen für die Beurteilung der Wirksamkeit Ihrer Compliance-Managementsysteme
  • Durchführung von und Beratung bei Third-Party-Compliance-Due-Diligences, Führungskräfte und Mitarbeiteraudits, Evaluierung von Lieferantenrisiken
  • Compliance-Prüfungen von Royalty- und Franchising-Verträgen
  • Compliance-Prüfungen von Dienstleistungs- und Lizenzverträgen
  • Compliance-Prüfungen zur Aufdeckung von Missbrauch innerhalb von Vertriebsrabattsystemen und vertrieblichen Incentivierungen
  • Überwachung der Tax-Compliance
  • Prüfung der IT-Compliance
  • Analyse von Dokumentationsrisiken des bestehenden nationalen und globalen Vertragsmanagements
  • Analysen von Massendaten in der Finanzbuchführung

 

Referenzen

Der Beratungs- und Prüfungsansatz der Mauer Unternehmensberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft ist auf die Anforderungen größerer mittelständischer, internationalisierter Unternehmen und Unternehmensgruppen ausgerichtet. Wir beraten dabei Vorstände, Geschäftsführer und Ihre Führungskräfte, insbesondere der Bereiche Legal, IT und Accounting, Aufsichtsräte, Verwaltungsräte und Beiräte sowie Compliance-Beauftragte und Risikomanager.

 

Beispiel 1

Eine größere mittelständische Gruppe mit ca. 140 Mio. Euro Umsatz und rd. 1.000 Mitarbeitern beauftragte uns, zunächst eine Vollinventur der vorhandenen Compliance-Risiken und -Regeln der Gruppe durchzuführen und dabei die Risiken und Regeln zu inventarisieren und zu bewerten. Auf dieser Grundlage sollte im Anschluss ein Umsetzungs- und Maßnahmenpaket definiert werden, das die Einführung eines systematischen Compliance-Management-Systems nach ISO 19600 ermöglicht. Ziel war, das sodann implementierte CMS in das bereits vorhandene Risikomanagement der Unternehmensgruppe integrieren zu können.

Beratungsauftrag:

Schaffung der Voraussetzungen für die Einführung eines systematischen Compliance-Management-Systems. Erforderlich waren Interviews und Workshops mit allen relevanten Abteilungen und Funktionen der Unternehmensgruppe. Die Ergebnisse der Risikoinventarisierung und Aufnahme der zu beachtenden internen Regelungen und Gesetze ergab für jede der betrieblichen Abteilungen/Funktionen eine eigenständige Risikomatrix, aufgrund derer eine Bewertung der identifizierten Compliance-Risiken vorgenommen werden konnte und anschließend Maßnahmen zur Risikosteuerung definiert werden konnten.

Im Anschluss daran wurde ein umfassendes Paket definiert, um die Überwachungs- und Kontrollfunktionen zur verbesserten Risikosteuerung der Compliance-Risiken einzuführen. Wir haben für die Unternehmensgruppe hierfür unter anderem auch eine eigenständige interne Revision aufgebaut und gecoacht. Umfassende softwaregestützte Schulungen der Mitarbeiter wurden durchgeführt. Eine Bestandsaufnahme und Ausformulierung einer Compliance-Kultur, basierend auf dem Tone at the Top von Vorstand und Aufsichtsrat wurden ebenfalls formuliert.

Ergebnis:

  • Es resultierte eine umfassende Risikomatrix mit dokumentierten Netto-Risiken, die im bereits vorhandenen Risikomanagement-System integriert werden konnte.
  • Es wurden umfassende organisatorische Regelungen zur dezentralen und zentralen in- und ausländischen Steuerung der Compliance-Risiken definiert und mit Verantwortlichkeiten versehen.
  • Es wurden Reporting-Zyklen eingerichtet: Zusammen mit der neu eingerichteten internen Revision wurden risikoorientiert Prüfungsschwerpunkte zur Überwachung und Verbesserung des CMS vereinbart.
  • Entsprechende Verbesserungen und ein Ausbau des internen Kontrollsystems waren ebenfalls Resultat der Vorarbeiten. Dabei wurde ein besonderes Augenmerk auf eine Verbesserung der IT-basierten Kontrollen gelegt.
  • Formulierung von umfassenden Richtlinien und internen Regelungen, vor allen Dingen Code of Ethics, Code of Conduct, Antikorruptionsrichtlinien, Einkaufsrichtlinien, Definition von umfassenden Vertretungs- und Geschäftsführungsregelungen und Zuständigkeiten.

Beispiel 2

Eine größere mittelständische Gruppe mit ca. 250 Mio. Euro Umsatz und knapp 1.600 Mitarbeitern, stark globalisiert mit Produktions- und Vertriebsniederlassungen in China, Indien, Brasilien, USA und einigen osteuropäischen Ländern sowie einer komplexen Holdingstruktur unter Einbeziehung der Schweiz beauftragte uns, zusammen mit der in der Unternehmensgruppe neu geschaffenen Legal-Funktion eine eingehende Bestandsaufnahme und Überprüfung nach IDW PS 960 des neu eingerichteten und formalisierten Compliance-Management-Systems vorzunehmen.

Prüfungsauftrag:

Wir haben eine umfassende Beurteilung der in der Unternehmensgruppe eingeführten Prozesse und Strukturen im Hinblick auf die systematische Erfassung und Überwachung aller relevanten Risiken und Regeln, Instrumente zur Überwachung und Kontrolle der Compliance-Risiken, Schulungs- und Reporting-Maßnahmen sowie das Vorhandensein einer Compliance-Kultur erstellt und dokumentiert.

Ergebnis:

  • Ergebnis unserer Analyse, die auf der Grundlage von Workshops und Interviews sowie einer umfassenden Auswertung aller uns übergebenen Dokumente und öffentlich zugänglichen Informationen erfolgen konnte, war, dass wir umfassend über weiße Flecken auf der „Landkarte“ berichten konnten, die nunmehr in strukturierter Weise nachfolgend abgearbeitet werden.
  • Wichtigstes Ergebnis war das Commitment des Vorstandes, sich nunmehr strukturiert und umfassend um das Thema Compliance kümmern zu wollen, indem Lieferanten- und Kundenbeziehungen, auch auf der Grundlage von IT-basierten Verfahren, umfassend ausgewertet, historisiert und auf Auffälligkeiten untersucht werden. Darunter fallen sämtliche wichtigen in- und ausländischen Kunden und Lieferanten. Auf dieser Grundlage soll ein höheres Sicherheitslevel für den weiteren Umgang mit diesen Stakeholdern geschaffen werden, insbesondere eine umfassende Beachtung der Antikorruptionsrichtlinien der Unternehmensgruppe sichergestellt werden. Damit einhergehend sollen auch in- und ausländische (Durchgriffs-) Haftungsrisiken minimiert werden.
  • Verstärktes Augenmerk auf Antikorruptionsvorschriften unter Berücksichtigung der nationalen Regelungen der wichtigsten Länder, in denen die Unternehmensgruppe tätig ist (z. B. Brasilien, China und UK).
  • Weiteres Ergebnis unseres Auftrags war ein zügiger Auf- und Ausbau der IT-Compliance sowie der Tax-Compliance der Unternehmensgruppe.

Beispiel 3

Interne Revision (Outsourcing) bei einer großen Klinik der Maximalversorgung (9.000 Mitarbeiter und rd. 500 Mio. Umsatz) in den Bereichen MDK, internationales Geschäft, Einkauf und Beschaffung im Rahmen eines mehrjährigen Prüfungsplans.

Prüfungsauftrag:

Im Rahmen eines mehrjährigen Revisionsplans haben wir die oben genannten Bereiche systematisch schwerpunktmäßig kritisch analysiert und auf Verbesserungspotenzial hin untersucht. Hintergrund dieser Prüfungsplanung war eine risikoorientierte Betrachtung wichtiger betrieblicher Funktionen im Krankenhaus. Die extrem hohe „Bugwelle“ der noch offenen MDK-Fälle gab Anlass, diesen Bereich eingehend und kritisch zu untersuchen und ein entsprechendes Maßnahmenpaket, das sofort umsetzbar war, zu generieren. Diese Maßnahmen erlaubte es, bereits mit „Quick-Wins“ siebenstellige Beträge zu realisieren, um die Liquidität des Krankenhauses zügig zu verbessern. Ebenso wurden dabei stabile Prozesse im Haus etabliert, die künftig einen professionellen Umgang mit dem MDK und den verschiedenen Krankenkassen gewährleisten.

Im Beschaffungsbereich wurden unter risikoorientierten Gesichtspunkten erhebliche Defizite im Hinblick auf die Beschaffungs- und Investitionsprozesse bei der Medizintechnik festgestellt. Dies vor dem Hintergrund unklarer Zuständigkeiten und schwacher Dokumentation. Zudem gab es keine Antikorruptionsvorschriften, die es für Hersteller möglich machten, vergleichsweise aggressiv und an grundlegenden Prinzipien eines internen Kontrollsystems (Vier-Augen-Prinzip, Funktionstrennungen) vorbei Beschaffungsvorgänge bzw. Investitionsvorgänge zu initiieren.

Im Bereich des Auslandsgeschäfts waren ebenfalls schwache Prozesse in der Abrechnung und in der Überwachung der Einweiserprozesse von externen Dienstleistern zu verzeichnen.

 

Im Bereich des Auslandsgeschäfts waren ebenfalls schwache Prozesse in der Abrechnung und in der Überwachung der Einweiserprozesse von externen Dienstleistern zu verzeichnen.

Ergebnis:

  • Signifikante Senkung der MDK-Fälle.
  • Rasche Verbesserung der Liquidität durch strukturierte und professionelle Verhandlungen mit dem MDK und den Kassen.
  • Formulierung einer umfassenden Einkaufs- und Antikorruptionsrichtlinie.
  • Transparente Beschaffungs- und Investitionsprozesse, die zusammen mit der Geschäftsführung und den entsprechenden Fachabteilungen erarbeitet wurden.
  • Umfassende Reorganisation der administrativen Betreuung des Auslandsgeschäfts des Krankenhauses, Durchformulierung einer umfassenden Geschäftsordnung mit klaren Zuständigkeiten (Vertretungsregelungen und Regelungen der internen Geschäftsführung) mit dem Ziel, die bereits vorhandenen, stabilen Abrechnungs- und Finanzbuchhaltungsprozesse im Krankenhaus auch in der Auslandabteilung anzuwenden.
  • Umfassendes Mahnwesen und schnelle Rechnungsstellung der abgeschlossenen Krankenakten, Etablierung eines professionellen Mahnwesens.

Beispiel 4

Interne Revision (Outsourcing) in einem größeren Zuliefererbetrieb, der insbesondere Komponenten für die Automobilindustrie fertigt (ca. 200 Mio. Umsatz, ca. 1.000 Mitarbeiter).

Ziel des Auftrags war die Aufdeckung von Unregelmäßigkeiten (kriminellem Verhalten/Fraud).

Prüfungsauftrag:

Die Geschäftsleitung beauftragte uns zusammen mit einer renommierten Anwaltskanzlei, Auffälligkeiten im Abrechnungsverhalten eines Zulieferers (Second-Tier) zu untersuchen. Dabei stellte sich heraus, dass jahrelang an den vorhandenen IT-Systemen vorbei und unter Ausnutzung des schwachen Kontrollumfelds und schwachen IKS, vertragswidrig Rohstoffe beschafft wurden, die nicht den geschuldeten Qualitäten entsprachen. Diese vertragswidrigen Beschaffungsvorgänge mit minderwertigem Material wurden überhöht abgerechnet. Zudem resultierte die Lieferung an einen First-Tier-Kunden mit in Folge dessen fehlerhaft ausgestatteten und produzierten Komponenten, die ggf. geeignet gewesen wären, eine umfassende Rückrufaktion von mehreren OEM bezogen auf den First-Tier-Lieferanten zu indizieren.

Eine umfassende Überprüfung der Abrechnungsvorgänge ließ eine umfassende Transparenz in ein komplexes betrügerisches Abrechnungssystem resultieren, in das sowohl Führungskräfte im Hause des Auftraggebers, aber auch Führungskräfte bei den einschlägigen Lieferanten involviert waren. Es zeigte sich, dass auch mit nur geringen IT-Kenntnissen die vorhandenen Berechtigungskonzepte problemlos ausgehebelt werden konnten, um entsprechende Manipulationen im Warenwirtschaftssystem herbeiführen zu können.

Ergebnisse:

  • Unsere Revision brachte umfassende Transparenz in die betrügerischen Abrechnungsprozesse mit der Folge, dass die dafür verantwortlichen internen Personen, aber auch bei den Lieferanten vorzufindende Führungskräfte entfernt werden konnten. Dies ließ die Chance resultieren, die betreffenden Bereiche umfassend neu aufzubauen.
  • Die nunmehr bekannten Betrugsfälle und die mögliche Quantifizierung des entsprechenden Schadens wurden im Zuge einer professionellen und transparenten Verhandlung mit dem First-Tier professionell kommuniziert und zum Ausgleich gebracht. Die bestehende Geschäftsbeziehung konnte anschließend fortgeführt und in verschiedener Hinsicht neu aufgebaut werden, sodass zwischenzeitlich wieder ein funktionierendes Vertrauensverhältnis besteht.
  • Es erfolgte eine umfassende Restrukturierung des Beschaffungsbereichs und eine Ablösung der alten Systemlandschaft mit der Folge, dass nunmehr eine umfassende Einführung eines neuen ERP-Systems resultiert.
  • Die durchgeführten personellen Konsequenzen machten es möglich, mit den richtigen Mitarbeitern eine entsprechende Kontrollstruktur und -kultur zu etablieren. Weitere Pluspunkte für den Auftraggeber waren, dass eine umfassende Reorganisation der internen Qualitätskontrollen und ein erheblicher Lerneffekt in der Produktion in Bezug auf industrielles Produktionsverhalten etabliert werden konnte.
  • Formulierung einer umfassenden Antikorruptions- und Beschaffungsrichtlinie.
  • Ausweitung der durch unsere Findings neu geschaffenen Funktion einer internen Revision (outgesourct auf weitere betriebliche Prozesse mit dem Ziel, weiteres Verbesserungspotenzial zu identifizieren und ein professionelles Überwachungssystem im Hinblick auf sämtliche in- und ausländischen Aktivitäten der Unternehmensgruppe zu etablieren).

Beispiel 5

In der Holding einer mittelständischen Gruppe mit ca. 100 Mio. Euro Umsatz war im Rahmen des mit der Geschäftsleitung entwickelten Revisionsplans die Überprüfung der Berechtigungskonzepte in den produktiven SAP-ERP-Systemen vorgesehen.

Prüfungsauftrag:

Der Prüfungsauftrag umfasste die Beurteilung der ERP-Systeme hinsichtlich allgemeiner Systemsicherheit, Verfahren zur Einrichtung, Änderung und Löschung sowie der Benutzerberechtigungen unter Funktionstrennungsaspekten. Dazu war es erforderlich, sowohl Systeme als auch Verfahren hinsichtlich Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit zu untersuchen und Maßnahmen zur Systemoptimierung und Risikominimierung herauszuarbeiten.

Ergebnis:

  • Unsere Prüfungshandlungen deckten alle sicherheitsrelevanten System- und Mandanteneinstellungen und Rollenkonzeptionen in den einzelnen Programmmodulen sowie alle kritische Berechtigungsobjekte, Benutzerprofile und deren Kombinationen ab.
  • Dabei wurden Regelbetriebs-, Wartungs- und Notfallszenarien betrachtet.
  • Ergänzend zur Beurteilung von Verfahren und Berechtigungskonzepten in den Fach- und IT-Bereichen wurde eine Sicherheitsbeurteilung der ERP-Systeme anhand der regularischen Rahmenbedingungen durchgeführt.

 

  • Neben den spezifischen Unternehmensrichtlinien, die ebenfalls einer Überprüfung unterzogen wurden, wurden dabei die COSO-, COBIT- und ISO 27001-Standards zugrunde gelegt.

Unsere Analysen führten zur Aufdeckung einer Reihe von – unter Risikoaspekten zum Teil bedeutsamen – sicherheitsrelevanten Schwachstellen und zur Ermittlung derer Ursachen:

  • In den Fachbereichen wurden insgesamt fehlende Einschränkungen des Berechtigungsumfangs festgestellt. In den IT-Bereichen wurden in mehreren Fällen zu weit gehende Berechtigungsumfänge identifiziert, ebenso bei den eingesetzten externen Projektmitarbeiten.
  • In Bezug auf externe Projektmitarbeiter wurden auch Mängel in der Sicherheitskonfiguration festgestellt.
  • Insgesamt war eine mangelnde Dokumentation der Berechtigungskonzeption zu verzeichnen.

Die Ergebnisse unserer IT-Revision konnten direkt als Leitfaden für das Management herangezogen werden und werden weiterhin als Grundlage zur Erfolgskontrolle und Fortschrittsüberwachung der Verbesserungsmaßnahmen verwendet.

Beispiel 6

Interne Revision (Outsourcing) in der Holding einer mittelständischen Gruppe mit ca. 150 Mio. Euro Umsatz – Aufdeckung von Unregelmäßigkeiten/kriminellem Verhalten (Fraud).

Prüfungsauftrag:

Durch Zufall wurde in der zentralen Buchhaltung einer Unternehmensgruppe anlässlich der Anforderung einer Spendenbescheinigung bekannt, dass ein Lieferant eine betrügerische Abrechnung gestellt hatte. Im Zuge mehrerer Gespräche mit dem Lieferanten stellte sich heraus, dass Mitarbeiter des zentralen Einkaufs der Unternehmensgruppe mit dem betroffenen Lieferanten regelmäßig betrügerische Abrechnungen vorgenommen hatten. Wir wurden beauftragt, den kompletten zentralen Einkauf auf weitere Unregelmäßigkeiten hin zu überprüfen. Das beinhaltet auch die Formulierung von Verbesserungsvorschlägen an die Organisation, die Prozesse und Systeme des zentralen Einkaufs der Unternehmensgruppe, die aus 15 Einzelgesellschaften besteht.

Ergebnis:

  • Unsere Revision ergab, dass bei fünf weiteren Lieferanten in den letzten acht Jahren Abrechnungen in Millionenhöhe mit krimineller Energie falsch vorgenommen wurden. Dabei bereicherten sich leitende Angestellte im zentralen Einkauf, aber auch Lieferanten. Wir konnten im Zuge unserer Untersuchungen darüber hinaus feststellen, dass über Scheingesellschaften dubiose bzw. nicht ausgeführte Leistungen teilweise mehrfach abgerechnet werden konnten und dies zu „Mondpreisen“.

 

  • Wir haben für die Geschäftsleitung eine aussagefähige und auch gerichtsverwertbare Dokumentation der Vorgänge erarbeitet. Diese wurden, teilweise im Zusammenwirken mit Lieferanten, die selbst durch eigene leitende Angestellte betrogen wurden, den Firmenanwälten zugeführt.
  • Wir waren im Hinblick auf die Kommunikation mit der Compliance-Abteilung eines großen OEM zusätzlich beauftragt, rechtzeitig und umfassend die Vorkommnisse zu kommunizieren, damit weiterer Schaden von der mittelständischen Unternehmensgruppe abgewendet werden konnte. Die aktive und umfassende Kommunikation der Vorfälle wurde von dem OEM positiv bewertet.
  • Wir haben anschließend die Aufbau- und Ablauforganisation, die Kontrollstrukturen und das Vertragsmanagement der Unternehmensgruppe neu definiert und umgesetzt. Daneben haben wir ein durchgängig strukturiertes Kontrolldesign vorgegeben, das sowohl Mehr-Augen-Prinzip, als auch konsequente Funktionstrennungen vorsieht. In diesem Kontext konnten wir auch die im SAP-System vorgegebenen anwendungsbezogenen Kontrollen optimieren.
  • Zusammen mit dem Mandanten haben wir ein aussagefähiges, praktikables Beschaffungshandbuch formuliert, das mit einer klaren Zuteilung von Verantwortlichkeiten und Prozessbeschreibungen (verbale Beschreibungen und Flussdiagramme) sämtliche Beschaffungsprozesse beschreibt und im Intranet hinterlegt. Eine klare Unterschriftenregelung und durchgängige Limitierungen im Hinblick auf das Bestellverhalten sind darin ebenfalls enthalten und nunmehr im System abgebildet.

Kooperationen

Die interdisziplinäre Zusammenarbeit von Wirtschaftsprüfern, Ingenieuren, Certified-Internal-Auditors und Certified-Information-Systems-Auditors sowie Steuerberatern erlaubt eine umfassende und neutrale Beurteilung Ihrer Organisation und Ihrer Compliance-Risiken. So profitieren Sie von unseren Benchmarks sowie Synergieeffekten. Bei Bedarf und soweit erforderlich, kooperieren wir mit spezialisierten und renommierten Rechtsanwaltskanzleien sowie IT-Beratern. Zum Beispiel mit der Firma it.sec, die Unternehmen sowie staatliche und nicht-staatliche Institutionen in mehr als 30 Ländern in Fragen zu Informationssicherheit, Datenschutz und Compliance berät. Mehr: www.it-sec.de