Home
Intern
veröffentlicht am 30. April 2020 | Lesedauer ca. 3 Minuten
Die Digitalisierung von Geschäftsprozessen birgt nicht nur neue Herausforderungen und Handlungsfelder für Unternehmen, sondern v.a. auch Chancen für die Ausgestaltung, Steuerung und Überwachung der Governance, Risk & Compliance-Systeme (GRC-Systeme). Die Möglichkeiten des Einsatzes digitaler Instrumente haben einen ähnlichen Effekt auf die Operationalisierung der GRC-Systeme wie der Online-Handel auf den klassischen Einzel- oder Versandhandel.
Mit Governance, Risk & Compliance werden die drei wichtigsten Handlungsfelder von Unternehmen zur Gestaltung und Überwachung einer guten und nachhaltigen Unternehmensführung zusammengefasst. Eine bewährte Darstellung der Handlungsfelder sowie der unternehmensinternen Zuständigkeiten und Verantwortlichkeiten bietet das sog. „Three Lines of Defense” Modell:Die Verpflichtung zu einer guten und nachhaltigen Unternehmensführung – mithin die grundsätzliche Einrichtung und effektive Ausgestaltung der GRC-Systeme – ist für Unternehmen jeder Art und Größe schon seit den 90er Jahren (KonTraG) allgemein gefestigter Konsens. Aufgrund der fehlenden gesetzlichen Normierung bei mittelständischen aber auch kleinen kapitalmarktorientierten Unternehmen besteht häufig Unsicherheit beim Umfang der Maßnahmen, die das Management einzurichten hat.Insbesonders aufgrund der Internationalisierung und damit einhergehenden Diversifizierung der unternehmenseigenen Organisationstrukturen sowie der Zunahme exogener Risiken und regulatorischer Anforderungen auf den verschiedenen Märkten, geraten die GRC-Systeme in den Fokus der Gesellschafter, Aktionäre, Aufsichtsräte und Beiräte mittelständischer familiengeführter Unternehmen.In der Praxis erfährt die Umsetzung der Anforderungen an GRC-Systeme bei mittelständischen Unternehmen Unterstützung durch die Benennung eines Compliance-Beauftragten bzw. Risikomanagers oder durch die Übertragung von Maßnahmen auf das Controlling bzw. Beteiligungscontrolling. Die Einrichtung einer Abteilung für Interne Revision ist dagegen selten.Ressourcen sind oft knapp oder nicht ausreichend vorhanden, um die GRC-Systeme effektiv auszugestalten und zu überwachen. Insbesondere trifft das zu, wenn Unternehmen schnell international expandiert sind und Maßnahmen des Risiko- und Compliance-Managements nicht in gleicher Geschwindigkeit Schritt halten und damit angemessen implementiert werden konnten. Fehlende interne Kontrollen und Sicherungsmaßnahmen im internen Kontrollsystem, nicht rechtzeitig erkannte Risiken oder Compliance-Vorfälle sind die Konsequenz. Fehlende Transparenz über den Zustand der GRC-Systeme jeder Organisationseinheit in diversifizierten Unternehmen rund um Welt sind die ersten Anzeichen, die Handlungsfelder dem Management, Beirat oder Aufsichtsrat zu erkennen geben.
Um Transparenz herzustellen oder zu erhöhen, ist die zielgerichtete Versorgung des Managements mit relevanten Informationen über den Zustand der GRC-Systeme der erste Schritt des Verbesserungsprozesses. Datenanalysen sind dabei eine besonders effiziente Methode, diesen Schritt operativ zu unterstützen. Sie eignen sich insbesondere, wenn hoch-integrierte Enterprise Risk Planning-Systeme (sog. „ERP-Systeme”) innerhalb des Unternehmens genutzt werden. Das ist bei international aufgestellten Unternehmen zunehmend der Fall.In der Praxis stellen sich dabei folgende Fragen:
Die interdisziplinäre Zusammenarbeit von GRC-Spezialisten – die Best Practices zu Geschäftsprozessen kennen – und IT-Spezialisten für Datenanalysen führt dazu, dass maßgeschneiderte Antworten auf Fragen im GRC-Umfeld geliefert werden können.
Unsere Plattform „Analytics4Audit” bildet die Grundlage für Business Analytics-Aktivitäten. Damit können wir Daten aus unterschiedlichen Quellsystemen (zum Teil) vollautomatisch importieren, aufbereiten und in eine sachlogische Reihenfolge bringen. Dazu werden relevante Daten aus den Geschäftsprozessen in sog. „Base Tables” aufbereitet. Auf dieser Datenbasis beginnen unsere Analysen. Wir haben so die Möglichkeit, insbesondere Fragen aus dem Bereich der operativen Kontrollen („Erste Verteidigungslinie”) schnell und effizient zu beantworten, z.B.:
Auch Fragestellungen aus dem besonders kritischen Bereich der Umsatzsteuer können durch Analysen unterstützt werden („Tax-CMS”).
Auf Basis von sog. Ereignisdaten werden die IT-gestützten Geschäftsprozesse in Form von End-to-End-Prozessen visualisiert. Dazu werden Transaktions- und Logdaten aus dem ERP-System ausgewertet und der Anwender erhält einen unverfälschten Blick auf den IST-Prozess.Mit modernsten Analysemethoden sind wir in der Lage, jede einzelne Abweichung von Soll-Prozessen schnell zu identifizieren und bis auf Einzelfallebene zu verfolgen. Anders als bei Berechtigungsanalysen („Wer könnte…”), können mit Process Mining tatsächlich eingetretene SOD-Konflikte („Wer hat…”) identifiziert werden. Diese Art des „Process Discovery” kann unabhängig von der Unternehmensgröße oder der Branche bei IT-basierten Geschäftsprozessen eingesetzt werden.Mit unserem Process Mining-Tool können Soll-Prozesse definiert und Abweichungen davon visualisiert werden. Die Kunst ist es, Abweichungen vom Soll-Prozess zu bewerten. Bei der Bewertung kann auf die Erfahrung unserer GRC-Spezialisten gesetzt werden.V.a. durch Business Analytics können GRC-Systeme effizienter und sicherer werden.
Steffen Freytag
Wirtschaftsprüfer, Steuerberater
Partner
Anfrage senden
Martin Mannes
Certified Information Systems Auditor (CISA)
Digital Governance, Risk and Compliance
Kein Themenspecial verpassen mit unserem Newsletter!
