Covid-19 (Coronavirus) und IT: Auswirkungen auf das interne Kontrollsystem im Hinblick auf Vermögensschäden

PrintMailRate-it

veröffentlicht am 6. März |  Lesedauer ca. 2 Minuten

 

​Es ist nicht von der Hand zu weisen. In Extremsituationen können Vermögens­schäden (dolose Handlungen, Fehler in Entscheidungen, etc.) entstehen. Gerade in der heutigen Zeit, in den die Personalkapazitäten bei den Unternehmen optimiert sind und für die Urlaubszeiten und „normalen“ Krankheitszeiten die Vertretung noch geregelt ist, kann es durch Covid-19 dazu kommen, dass das in Unternehmen vorhandene Interne Kontrollsystem nicht mehr wirksam gelebt werden kann. Was bedeutet das für die Unternehmen?

 

 

 

Man könnte meinen, das man aufgrund der Verteilung von Aufgaben innerhalb eines Teams eine gewisse Zeit auch mit einem reduzierten Internen Kontrollsystem arbeiten kann. Allerdings darf man nicht unterschätzen, welche Folgen dieses für das Unternehmen haben kann. Dabei geht es darum, dass Entscheidungen nicht korrekt getroffen werden und dadurch dem Unternehmen ein finanzieller Schaden entsteht. Es besteht zudem die Gefahr, dass es aufgrund der reduzierten Mitarbeiterzahl und den reduzierten Kontrollen zu Vermögensschäden kommt. Das sollte man innerhalb der folgenden Phasen betrachten:

 

 

Im Nachfolgenden wollen wir wertvolle Hinweise darauf geben, wie sich das Unternehmen verhalten sollte.

 

Vorbereitungsphase 

Je nach Größe des Unternehmens und der Unternehmenskultur ist das interne Kontrollsystem, das definiert, gelebt und in der IT abgebildet wurde, unterschiedlich ausgeprägt. Schon in der Vorbereitung auf eine Krise, mit größeren Ausfällen von Mitarbeitern, sollte analysiert werden, welche Teile des Internen Kontrollsystems zwingend einzuhalten sind. Daneben sollte geprüft werden, ob mit Blick auf Vermögensschäden wichtige Maßnahmen für Beschaffungen, Projekte, Projektabnahmen etc. verschoben werden können oder ob im Krisenfalle eine Vertretung sichergestellt ist.

 

Konkret bedeutet das in jedem Fall:

 

  • Einordnung der Mitarbeiter in Hinblick auf Ihre Tätigkeit im internen Kontrollsystems
  • Bewertung von Teil- und Komplettausfällen im Hinblick auf die definierten oder noch zu definierenden Vertretungs- und Notfallpläne
  • Klärung ob die Kontrolltätigkeiten Remote durch den Einsatz von IT von den Mitarbeitern auch im Quarantänefall ausgeführt werden können.
  • Bestimmung und Integration von Zuständigkeiten in Bezug auf diese Kontrolltätigkeiten im Unternehmenskrisenstab
  • Bestimmung des Eintritts eines Notfalls (also bei Ausfall auch der überwiegenden Anzahl der Vertreter)

 

Sollte im Unternehmen die Kapazität und das Know-how für die Vorbereitungsphase bzw. für die Vertretung fehlen, empfiehlt sich die Einbindung des Krisenteams von Rödl & Partner.

 

Tritt nach Definition aus der Vorbereitung der Notfall bzw. die Krise ein und sind ein oder mehrere Funktionsträger sowie Vertreter betroffen, werden analog der definierten Notfallpläne die Maßnahmen eingeleitet.

 

Je nach Ausmaß des Ausfalls der Funktionsträger und deren Vertretung ist seitens des Krisenstabs Einzelfallentscheidungen notwendig. Solche könnten sein:

 

  • Bei Quarantänefällen die Nutzung der Home-Office-Möglichkeiten;
  • Einbezug eines Dritten als Fremdleister sofern möglich;
  • Berechtigungen in den IT-Systemen auf die Notfall-Vertreter ausweiten;
  • Verschiebung von Entscheidungen entsprechend der vorher definierten Vorgaben;
  • Reduzierung der Internen Kontrollen auf die wesentlichen Kontrollen;
  • Etc.

 

 

 

  • Analyse, ob es Transaktionen oder Aktionen gab, welche evtl. Kontrolllücken ausgenutzt haben.
  • Die ursprünglichen Kontrollen müssen wieder vollständig implementieren werden. Ggf. aufgeschobene Kontrollen sind nachzuholen.
  • Entzug der für die Zeit der Krise eingerichtete Berechtigungen bei den Notfall-Vertretern.
  • Feststellen, ob durch die Erfahrungen in der Krise das interne Kontrollsystem optimiert werden kann.

 

Da die Ressourcen innerhalb der Funktionsträger in der Regel nicht üppig ausgestattet sind, stellt sich die Frage nach der Einbindung Dritter.

 

 Aus der Artikelserie

Kontakt

Contact Person Picture

Torsten Enk

IT-Auditor, Leiter Digital GRC

+49 30 810 795 85

Anfrage senden

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00
+49 221 9499 099 00

Anfrage senden

Contact Person Picture

Armin Wilting

Leiter IT-Prüfung

+49 221 9499 091 65

Anfrage senden

 Mehr lesen?

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu