Sie sind auf Seite 1von 10

Enterprise Risk Services

1/2010

Risk-News
Aktuelle Informationen
rund ums Risikomanagement

Liebe Leser,

in dieser Ausgabe der Risk-News möchten wir Sie über aktuelle BilMoG-Themen infor-
mieren.

Unser Leitartikel räumt auf mit dem „Mythos BilMoG“ und gibt eine Einführung in die
Thematik. Was steckt wirklich hinter den Änderungen des Bilanzrechtsmodernisierungs-
gesetzes und was bedeuten sie in der praktischen Anwendung?

Alle in diesen Risk-News vorgestellten Themenbereiche beschreiben für Management und


Aufsichtsrat wichtige BilMoG-Aspekte sowohl unter dem Blickwinkel der Risikofrüh-
erkennung und -minimierung als auch unter Berücksichtigung der Erzielung größtmög-
licher Wirksamkeit und Informationsqualität durch Ergreifen geeigneter Maßnahmen.

Der letzte Artikel in diesem Newsletter beschäftigt sich ganz praxisnah mit der IT-Um-
setzung der BilMoG-Thematik und stellt bereits etablierte Systeme vor, die Prozesseffizi-
enz und -sicherheit im Unternehmen entscheidend verbessern.
Dr. Hans Röhm
Mit allen präsentierten Werkzeugen und Maßnahmen unterstützt Deloitte Vorstände,
Geschäftsführer und Aufsichtsräte dabei, optimalen Nutzen aus der Umsetzung der
BilMoG-Anforderungen zu ziehen. Zudem unterstützen wir bei der Erfüllung der per-
sönlichen Aufgaben und der Reduzierung möglicher Haftungsrisiken aus den neu ge-
fassten Regelungen.

Ich wünsche Ihnen wie immer eine spannende und inspirierende Lektüre.

Ihr Hans Röhm


Mythos BilMoG – Chancen nutzen, Risiken
minimieren

Das Bilanzrechtsmodernisierungsgesetz (BilMoG) stellt die Die Herstellung dieser Transparenz wirft sowohl für
tiefgreifendste Änderung der deutschen Bilanzierungs- Vorstand oder Geschäftsführung als auch für den Auf-
regeln seit dem Bilanzrichtliniengesetz von 1985 dar. Mit sichtsrat einige Fragen auf, die es zu beantworten gilt.
dem am 29. Mai 2009 in Kraft getretenen Gesetz wurden Ist das interne Kontrollsystem des Unternehmens auf die
im Zuge der Modernisierung des Bilanzrechts die Bi- richtigen Fehlerquellen ausgerichtet, um zu gewährleis-
lanzierungsregeln weiterentwickelt und internationalen ten, dass Bilanz sowie Gewinn- und Verlustrechung ein
Rechnungslegungsgrundsätzen angepasst. Ziel ist es, ein der Wirklichkeit entsprechendes Bild des Unternehmens
wettbewerbsfähiges Bilanzrecht im internationalen Kon- zeichnen? Ist ein funktionierendes Risikomanagement-
Andreas Herzig
text zu schaffen. Ebenso sollen die neuen Bilanzregeln system etabliert, welches die richtigen Risiken im Fokus
Tel: +49 (0)711 16554 7160
einen Beitrag zu Deregulierung und erhöhtem Informa- hat und zeitnah auf innere und äußere Veränderungen
aherzig@deloitte.de
tionsgehalt des Berichtswesens von Unternehmen leis- mit den richtigen Maßnahmen reagiert? Wie geht das
ten und eine gleichwertige, aber kostengünstigere und Unternehmen mit der Gefahr von rechtswidrigen Hand-
vor allem einfachere Alternative zu den internationalen lungen seiner Mitarbeiter um, die in den letzten zwei
Rechnungslegungsstandards IFRS darstellen. Jahren für viele Unternehmen zu einem ernsthaften Pro-
blem geworden sind? Ist die interne Revision hinsichtlich
In Übereinstimmung mit dieser Absicht betrifft der bei Erfahrung, Ausbildung und Kapazität so aufgestellt, dass
Weitem größte Teil der Änderungen im BilMoG-Artikel­ sie den Unternehmensorganen die notwendige Sicher-
gesetz verschiedene Bilanzierungsthemen. Die meisten heit hinsichtlich der Zuverlässigkeit der genannten Über-
Unternehmen haben die Mitarbeiter im Finanz- und Rech- wachungs- und Steuerungssysteme geben kann? Die
nungswesen zu diesen neuen Themen schulen lassen und wichtigsten Fragen sind jedoch die, ob Informationen be­
befinden sich bereits in der Umsetzungsphase. züglich der Wirksamkeit des internen Kontrollsystems, der
Veränderung wesentlicher Risiken sowie die Arbeitsergeb-
Ein kleinerer, jedoch bei Weitem nicht so konkret gefass- nisse der internen Revision zeitnah den Unternehmensor­
ter Teil des BilMoG adressiert den Themenkomplex der ganen zur Verfügung stehen und wie diese dokumentieren,
Steuerung und Überwachung von Unternehmen. Diese dass sie auf Basis dieser Informationen ihren Sorgfalts-
Regelungen zur Corporate Governance betreffen direkt und Überwachungspflichten nachgekommen sind.
Vorstände, Geschäftsführer sowie Aufsichtsräte der Un-
ternehmen. Dabei sind diese Themen nicht neu und Mit einer Reihe praxisorientierter Werkzeuge unterstützt
ändern das Aufgabenspektrum des adressierten Personen- Deloitte Vorstand, Geschäftsführung und Aufsichtsrat
kreises nicht. Mit dem Inkrafttreten des BilMoG-Artikel- bei der raschen und effizienten Beantwortung dieser
gesetzes ändert sich jedoch die Rechtsverbindlichkeit: Fragen. Hierbei stehen die Qualität der erhobenen In-
Zahlreiche Regelungen sind nunmehr im Gesetz gefasst, formationen und ein realistisches Aufwand-Nutzen-Ver-
mit entsprechenden Haftungsrisiken für die Führungs- hältnis an erster Stelle. Anstatt prozessorientiert an be-
und Aufsichtsorgane der Unternehmen. stimmten dezentralen Punkten Kontrollen zu etablieren
(Bottom-up-Ansatz), werden die internen Kontroll-, Risi-
Die Aufgaben von Geschäftsführung, Vorstand und Auf- komanagement- und Revisionsstrukturen so ausgerich-
sichtsrat wurden durch den Gesetzgeber im GmbH-Ge- tet, dass sie zu jedem Zeitpunkt kompetente Antworten
setz sowie im Aktiengesetz festgeschrieben. Die wesentli- auf die für die Unternehmenssteuerung entscheidenden
chen Pflichten des Vorstands der Aktiengesellschaft oder Fragen liefern. Dabei gilt es, ein „zu wenig“ ebenso zu
des Geschäftsführers der GmbH bestehen darin, die Ge- vermeiden wie ein „zu viel“. Statt überbordende, nicht
schäfte entsprechend der jeweils gesetzlich festgesetzten mit anderen internen Überwachungsinstrumenten ver-
Sorgfaltspflichten zu führen. Der Aufsichtsrat wiederum zahnte Kontrollstrukturen aufzubauen und damit wert-
ist verpflichtet, den Vorstand bzw. die Geschäftsführung volle Managementkapazität zu binden, soll vielmehr mit
dabei zu überwachen. Im Besonderen hat der Aufsichts- größtmöglicher Effizienz erreicht werden, dass das Ma-
rat durch seinen Prüfungsausschuss oder als Aufsichtsrat nagement und die Aufsichtsgremien die notwendigen
insgesamt den Rechnungslegungsprozess, die Wirksam- Informationen über Unternehmensrisiken oder Schwä-
keit des internen Kontrollsystems, des Risikomanagement- chen in den Überwachungssystemen zeitnah erhalten.
systems und des internen Revisionssystems sowie die Prü- Die Prozesse sollen dem Unternehmen dienen und nicht
fung des Jahresabschlusses zu überwachen. Damit der umgekehrt. Dies ist umso wichtiger, als das BilMoG im
Aufsichtsrat diese Leistung erbringen kann, haben ihm Gegensatz zu anderen internationalen Regelwerken, z.B.
der Vorstand oder die Geschäftsführung die erforderli- dem amerikanischen Sarbanes-Oxley Act, die Maßnahmen
chen Informationen zur Verfügung zu stellen. weniger dezidiert vorschreibt und den Unternehmen somit
eine große Flexibilität ermöglicht.

2
Interne Revision auf dem Prüfstand

Mithilfe von Deloitte-Tools lässt sich die optimale • Erfassen des gegenwärtigen Entwicklungsstandes Ihrer
Funktionsfähigkeit eines der zentralen Corporate- Internen Revision und Analyse des Revisionsauftrages
Governance-Elemente überprüfen und sicherstellen sowie der Revisionsziele
Die Interne Revision hat in den letzten Jahren deutlich • Beurteilung der Organisation, der Qualifikation des Re-
an Bedeutung gewonnen. Dies ist nicht nur auf die Dis- visionsteams sowie der Qualität interner und externer
kussion ineffektiver Kontroll- und Risikomanagement- Beziehungen
systeme zurückzuführen, sondern auch durch eine Viel- • Analyse der eingesetzten Methoden und Systeme
Thomas Kirstan zahl neuer regulatorischer Anforderungen begründet. • Prüfung der Ausgestaltung von Wissens- und Projekt-
Tel: +49 (0)211 8772 3744 So konkretisiert das am 29. Mai 2009 in Kraft getretene management
tkirstan@deloitte.de Bilanzrechtsmodernisierungsgesetz (BilMoG) unter an- • Erfassung des Zufriedenheitsgrads wesentlicher Stake-
derem die Überwachungsaufgaben des Aufsichtsrats holder der Internen Revision (Audit Committee, Auf-
beziehungsweise die des Prüfungsausschusses. Die Ver- sichtsrat, Vorstand, Wirtschaftsprüfer etc.)
antwortung für die Überwachung der Wirksamkeit der
internen Risikosysteme obliegt danach dem Aufsichtsrat Das Deloitte QA-Reifegrad-Modell
beziehungsweise dem Prüfungsausschuss. Um eine objektive Aussage zu Ihrer Internen Revision
treffen zu können, bedarf es weitergehender Überle-
Im besten Falle ist die Interne Revision hervorragend ge- gungen hinsichtlich der Erfassung und Skalierung der
eignet, Aufsichtsgremien und die Geschäftsführung bei Prüfergebnisse. Hierfür haben wir das Deloitte-Tool QA-
der Bewältigung der neuen Anforderungen maßgeblich Reifegrad-Modell entwickelt, das aus einem objektiven
zu unterstützen. Das bedeutet jedoch enorme Anforde- Kriterienkatalog sowie einem automatisierten Scoring-
rungen an die Interne Revision, und zwar sowohl in Hin- modell besteht.
sicht auf die Organisation als auch auf die angewandten
Methoden und Techniken. Im Bezug auf Prüfungs- und Die Ergebnisse unserer Dokumentenanalyse und der In-
Beratungsleistungen muss sichergestellt sein, dass die terviews fügen wir in das QA-Reifegrad-Modell ein und
Interne Revision als Organisationseinheit den Anforde- können somit eine objektive Aussage zu Ihrer Internen
rungen gewachsen ist und einen Beitrag zum Unterneh- Revision treffen. Gleichzeitig findet ein datenbankbasier-
menserfolg erbringt. ter Abgleich mit Best Practices und anderen branchen-
gleichen Unternehmen statt.
Wir analysieren Ihre Interne Revision mithilfe unseres
exklusiven Internal Audit Quality Assessment Tool, in Unser automatisch generierter Prüfbericht enthält schließ-
dem unter anderen alle internationalen Revisionsstan- lich Aussagen zu folgenden Fragenstellungen:
dards, Leading-Practice-Anwendungen zahlreicher Un-
ternehmen sowie das weltweite Know-how unserer In- • Erfüllt die Interne Revision gesetzliche und berufsstän-
ternal-Audit-Experten enthalten ist. dische Anforderungen (Compliance)?
• Führt die Interne Revision ihre Aufgaben so aus, dass
Auf Basis eines Quality Assessment – wie es bereits eine sie ihrer Verantwortung sowie den Zielen und Erwar-
Vielzahl von Unternehmen entsprechend den berufs- tungen der Unternehmensleitung gerecht wird (Effek-
ständischen Standards mindestens alle fünf Jahre durch tivität)?
einen externen Dritten durchführt – zeigen wir Ihnen • Ist die Interne Revision hinsichtlich Fragen der Wirt-
weitere Optimierungspotenziale auf und erhöhen somit schaftlichkeit im Vergleich zu Best-Practice-Lösungen
den Qualitätsgrad Ihrer Corporate-Governance-Elemente. adäquat ausgestaltet (Effizienz)?
• An welchen Stellen der Organisation und der Prozesse
Quality Assessment Service – Unser Ansatz Ihrer Internen Revision sehen wir noch Raum für Ver-
Durch unseren Quality Assessment Service unterstützen besserungsmöglichkeiten und wie könnten diese kon-
wir Sie dabei, Ihre Interne Revision zu analysieren und kret aussehen?
systematisch weiterzuentwickeln. Hierfür haben wir einen
integrierten, Tool-gestützten Ansatz entwickelt, der die Für ein bestandenes Quality Assessment erhalten Sie von
regulatorischen Anforderungen genauso wie die Wirt- uns im Anschluss ein QA-Zertifikat, das interne und ex-
schaftlichkeit Ihrer Internen Revision im Blick hat. Unsere terne Stellen von der Leistungsfähigkeit Ihrer Internen
QA-Experten führen im Rahmen des Quality Assessment Revision überzeugen wird.
folgende Schritte durch:

3
Wir unterstützen Sie gerne dabei, die so identifizierten
Verbesserungspotenziale zu nutzen. Hierfür arbeiten wir
gemeinsam mit Ihnen die weiteren Schritte und einen
Aktionsplan aus. Auch bei der operativen Umsetzung
stehen wir Ihnen zur Seite, um die Anforderungen an
die Revision zeitnah und vollständig zu erfüllen.

Gemeinsam stellen wir sicher, dass das Ergebnis der Zu-


sammenarbeit eine moderne Interne Revision ist, die
nicht nur geltende Standards erfüllt, sondern durch ihre
Ausrichtung an Effizienzkriterien maßgeblich zum Unter-
nehmenserfolg beiträgt.

QA-Reifegradmodell

1
2
1
3 11 2

4
10 3
5
6
9 4

7
8 8 5
9 7 6
10
11

4
BilMoG-Compliance: Hinweise zur
Umsetzung

Welche zusätzlichen Erfordernisse ergeben sich Gegenstand dieser Bestandsaufnahme, die intern
aus den neuen Vorschriften, welche Maßnahmen oder mit externer Unterstützung durchgeführt werden
sind wirklich notwendig? kann, ist die Erfassung von z.B.:
Die Neuerungen des am 29. Mai 2009 in Kraft getrete-
nen Bilanrechtsmodernisierungsetztes (BilMoG) gehen • organisatorischen Sicherungsmaßnahmen wie z.B. Un-
u.a. auf europarechtliche Vorgaben der Abschlussprü- ternehmens- und Führungsstrukturen, Geschäftsord-
fer-Richtlinie sowie der Abänderungs-Richtlinie zurück nung, Funktionstrennung, Zugriffsbeschränkungen etc.
Heinz Wustmann und betreffen insbesondere auch das interne Risikoma- • Kontrollmaßnahmen zur Sicherstellung von Vollständig-
Tel: +49 (0)89 29036 8814 nagement. Im Zentrum stehen die Besetzung und Über- keit und Richtigkeit z.B. auch Plausibilitätskontrollen
hwustmann@deloitte.de wachungsaufgaben des Aufsichtsrats und Prüfungsaus- und Soll-/Ist-Vergleiche
schusses. • Überwachungsmaßnahmen (z.B. Tätigkeit der Internen
Revision, des Abschlussprüfers und Gutachter in bezug
Insbesondere die konkretisierten Überwachungsaufga- auf die Rechnungslegung)
ben der Aufsichtsorgane und die erweiterte Lagebericht- • Controlling und Risikofrühwarnsystem in bezug auf den
erstattung in bezug auf das rechnungslegungsbezogene Rechnungslegungsprozess.
Interne Kontroll- und Risikomanagementsystem stellen
für viele Unternehmen eine Herausforderung dar: 2. Sicherstellung einer ordnungsgemäßen internen Do-
kumentation der wesentlichen Merkmale des (IKRS).
• Nach § 107 Abs. 3 Satz 2 AktG ist der Aufsichtsrat ver- Diese muss für einen fachkundigen Dritten nach-
antwortlich für die Überwachung der Wirksamkeit des vollziehbar und überprüfbar sein sowie eine hinrei-
− Internen Kontrollsystems chende Basis für die Lageberichterstattung bieten.
− Risikomanagementsystems Zudem stellt die interne Dokumentation einen Prü-
− Internen Revisionssystems. fungsnachweis für den Abschlussprüfer im Rahmen
• Kapitalmarktorientierte Unternehmen haben nach § 289 der Prüfung des Lageberichts dar.
Abs. 5 bzw. § 315 Abs. 2 Nr. 5 HGB die wesentlichen
Merkmale des internen Kontroll- und des Risikomanage- 3. Zutreffende Beschreibung der wesentlichen Merk-
mentsystems im Hinblick auf den Rechnungslegungs- male des rechnungslegungsbezogenen (IKRS) im La-
prozess im Lagebericht zu beschreiben. gebericht und Beschäftigung der gesetzlichen Ver-
treter und Aufsichtsorgane mit der Angemessenheit
Welche Mindestanforderungen und konkreten Maß- und Wirksamkeit. Die Beurteilung der Angemessen-
nahmen ergeben sich aus der erweiterten Lage- heit und Wirksamkeit, die gem. Gesetzesbegründung
berichterstattungspflicht gem. BilMoG? erwartete wird, kann sich z.B. stützen auf:
Zunächst ist festzuhalten, dass das Maß der Beschreibung
nicht festgelegt ist und von den individuellen Gegeben- • Prüfungshandlungen und Prüfungsfeststellungen des
heiten des einzelnen Unternehmens (Branche, Größe, Ge­ Abschlussprüfers
schäftsmodell und regulatorische Anforderungen) abhängt. • Prüfungen der Internen Revision (Financial Audit)
• Interne Self Assessments und Testing-Verfahren (z.B.
Die Beschreibung beschränkt sich auf die Strukturen und SOX-Testing) sowie externe Gutachten mit rechnungs-
Prozesse. Es ist keine Aussage bezüglich der Effektivität legungsbezug.
zu treffen.
Aus der Vorschrift geht weder eine Einrichtungsverpflich­
Dennoch ist für Darstellung des rechnungslegungsbezo­ tung noch die inhaltliche Ausgestaltung des (IKRS) hervor.
genen internen Kontroll- und Risikomanagementsystems Existiert kein System, ist dies aber im (Konzern-)Lagebe-
(IKRS) im Lagebericht ein systematisches Vorgehen er- richt anzugeben. Der Abschlussprüfer hat die Richtigkeit
forderlich: der Beschreibung zu überprüfen wobei die Überprüfung
der Funktionsfähigkeit nicht vorgesehen ist. Allerdings
1. Strukturierte Erfassung der vorhandenen Steuerungs- muss der Abschlussprüfer in der Bilanzsitzung des Auf-
und Überwachungssysteme bezogen auf den Rech- sichtsrats bzw. Prüfungsausschusses über wesentliche
nungslegungsprozess mit dem Ziel, alle wesentlichen Schwächen des (IKRS) bezogen auf den Rechnungsle-
Instrumente und Maßnahmen, die zur Verlässlichkeit gungsprozess berichten (§ 171 Abs. 1 S. 2 AktG).
der Finanzberichterstattung beitragen, festzustellen.

5
Welche Erfordernisse ergeben sich aus der Verant- Das Management wird deshalb in Abstimmung mit dem
wortung des Aufsichtsrats hinsichtlich der Über- Aufsichtsrat die Prüfungsaktivitäten beauftragen und ko-
wachung der Wirksamkeit des Internen Kontroll-, ordinieren sowie über die Ergebnisse berichten.
Risikomanagement- und Revisionssystems?
Die Anforderungen sind inhaltlich nicht vollkommen neu. Formale Berichterstattung an den Aufsichtsrat und
Das Aufgabenspektrum der Aufsichtsorgane wird jedoch Wirksamkeitsnachweis
konkretisiert (§ 107 Abs. 3 Satz 2 AktG). Nicht zuletzt aus Haftungssicht kommt der strukturier-
ten (formalen) Berichterstattung über die Ergebnisse der
Die Überwachung der Wirksamkeit erfordert ein syste- Wirksamkeitsprüfung, der ggf. notwendigen Einleitung
matisches Vorgehen und die Einführung eines Prozesses von Gegenmaßnahmen sowie der ordnungsgemäßen
für den Wirksamkeitsnachweis: Dokumentation eine hohe Bedeutung zu.

Bestandsaufnahme und Berichterstattung über die Festlegung von Zielen zur Weiterentwicklung der be-
bestehenden Risiko-, Kontroll- und Revisionssysteme stehenden Systeme und regelmäßige Überwachung
In einem ersten Schritt, sollten die gesetzlichen Vertreter der Wirksamkeit
oder die für die Teilsysteme verantwortlichen Mitarbei- Der Aufsichtsrat hat die gesetzlichen Vertreter aufgrund
ter über die Ausgestaltung der Teilsysteme an den Auf- der gewonnen Erkenntnisse anzuhalten, funktionsfähige
sichtsrat berichten. Bei Bedarf sollten zusätzlich externe Systeme einzurichten und bestehende Schwächen zu be-
Gutachten eingeholt werden, so dass im Ergebnis ein heben. Mit der Nachverfolgung beschlossener Maßnah-
angemessenes Systemverständnis im Aufsichtsrat vor- men beginnt der systematische Prozess zur Erlangung
liegt und ggf. erkennbare Schwachstellen rechtzeitig be- des Wirksamkeitsnachweises (jährlich) aufs Neue.
hoben werden können.
Die obigen Ausführungen zeigen zusammenfassend, dass
Risikoanalyse und Festlegung der überwachungsrele- betroffene (kapitalmarktorientierte) Unternehmen ver-
vanten Themen pflichtet sind, ein integriertes Risiko-, Kontroll- und Re-
Der Prozess der Risikoerfassung, -bewertung und -ana- visionssystem einzurichten, das anerkannten Standards
lyse ist von den gesetzlichen Vertretern so auszugestal- genügt, im Unternehmen durchgängig implementiert
ten, dass alle Risikokategorien berücksichtigt werden und und dokumentiert ist und dessen Wirksamkeit regelmä-
kein wesentliches Risiko den gesetzlichen Vertretern und ßig systematisch nachgewiesen wird.
dem Aufsichtsrat unbekannt bleibt. In die Risikoanalyse
einzubeziehen sind neben den klassischen Risikoberichten Deloitte Analyse-Tools zur Unterstützung der
z.B. auch wesentliche Prüfungsfeststellungen der Internen BilMoG-Compliance
Revision und des Abschlussprüfers sowie Compliance- Um rasch einen Aufsatzpunkt für den Themeneinstieg zu
Berichte und externe Gutachten. Die überwachungs- finden und dem Management den Umfang der notwen-
relevanten Themen sind in Abstimmung mit dem Auf- digen Maßnahmen zur BilMoG-Umsetzung zu verdeutli-
sichtsrat für die Berichtsperiode (formal) festzulegen und chen, können eine Reihe von Tools eingesetzt werden:
sofern erforderlich unterjährig zu ergänzen.
BilMoG-Compliance Health Check
Prüfung der Angemessenheit und Wirksamkeit des Tool zur raschen Erhebung des Status im Bereich BilMoG-
vorhandenen Internen Kontroll-, Risikomanagement Compliance – notwendige Verbesserungen werden deut-
und Revisionssystems in bezug auf die überwachungs- lich gemacht.
relevanten Themen
Die Prüfung der Angemessenheit und Wirksamkeit der Risk Maturity Tool
Teilsysteme kann auf verschiedene Art und Weise durch Unter Einbeziehung des Managements und der Aufsichts-
das Unternehmen selbst oder durch unabhängige externe organe (optional) sowie der Prozessverantwortlichen wird
Dritte erfolgen, z.B.: der Reifegrad eines ganzheitlichen Risikomanagements
ermittelt.
• Prüfungen durch die Interne Revision (Revisionsplan)
• Unternehmensinterne Analysen, Self Assessments und QA-Tool
Testing-Verfahren Tool zur Durchführung eines Quality Assesment der in-
• Prüfungshandlungen des Abschlussprüfers (Sonderprü- ternen Revision gern. DIIR- bzw. IIA-Standard. Das hin-
fungen) terlegte Reifegradmodell macht den Status und notwen-
• Externe Revisionsprüfungen, Gutachten und Zertifizie- dige Handlungsfelder rasch deutlich (vgl. S. 4).
rungsaudits (z.B. Quality Assessment der Internen Re-
vision, vgl. S. 3). PDIA – Performance Driven Internal Audit
In einer Datenbank von mehr als 200 Indikatoren zur
Wegen der Funktionstrennung zwischen Management Messung der Leistungsfähigkeit der internen Revision
und Aufsichtsorganen hat der Aufsichtsrat keine unter- werden die jeweils passenden zur individuellen Perfor-
nehmensinternen eigenen Überwachungsinstrumente. mance-Messung zusammengestellt.

6
Die Gesetzesnovelle in der Praxis

Die Anforderungen des Bilanzrechtsmodernisie- Gemeinsames Verständnis der Aufgaben


rungsgesetzes (BilMoG) effizient umsetzen Grundlage für die effiziente Prozessumsetzung ist ein
Das neue Gesetz enthält neben einer Vielzahl von Neu- gemeinsames Verständnis für Aufgaben und Verantwor-
regelungen für die Unternehmensbilanz auch Regelungen tungen. Dies baut auf einer zentralen Steuerung und
zur Corporate Governance. Diese adressieren beispiels- Überwachung auf, belässt jedoch die Verantwortung
weise erweiterte Aufgaben und Pflichten des Topma- zum Management von Risiken sowie zur Einhaltung von
nagements sowie der Aufsichtsgremien hinsichtlich des Kontrollstandards bei den dezentralen Geschäfts- bzw.
Risikomanagements, interner Kontrollsysteme und des Prozessverantwortlichen.
Uwe Probst Compliance Managements (vor allem ein periodisches
Tel: +49 (0)69 75695 6933 Berichtswesen). Durch eine fehlende Konkretisierung des Der Vorstand sollte organisatorische Maßnahmen eta-
uprobst@deloitte.de Gesetzgebers sowie mangelnde Erfahrung in der Defini- blieren, um einheitliche und unternehmensweit abge-
tion und Umsetzung solcher Anforderungen sind Fehl- stimmte Mindestanforderungen für Risikomanagement,
entwicklungen sowohl aus inhaltlicher Sicht als auch interne Kontrollen und Compliance-Management um-
hinsichtlich des Umfangs der notwendigen Aktivitäten setzen und überwachen zu können. Zugrundeliegende
vorprogrammiert. Vor dem Hintergrund der großen Kor- Ziele, Methoden, Strategien müssen von den beteilig-
ruptionsfälle der vergangenen Jahre in der deutschen ten Parteien verstanden, mitgetragen und angewendet
Wirtschaft besteht die Gefahr, dass Unternehmen bei werden. Regionale oder branchenspezifische Aspekte
der Umsetzung von Corporate-Governance-Anforderun- gilt es entsprechend zu berücksichtigen.
gen deutlich über das anvisierte Ziel hinausschießen.
Oft wird diese Aufgabe an einen Chief Compliance Of-
Bei der Einführung entsprechender Risikomanagement- ficer (CCO) oder eine vergleichbare Position delegiert.
und Überwachungsinstrumente liegt der Schwerpunkt Die Verantwortung verbleibt jedoch beim Vorstand, der
meist auf Kontrollen und dem Aufbau von starren Report- die wesentlichen Merkmale des Risikomanagements, des
ing-Strukturen. Einige wesentliche Elemente gut funkti- internen Kontrollsystems sowie des Compliance-Systems
onierender Unternehmenssteuerung kommen dabei zu an den Aufsichtsrat berichtet.
kurz:
Die Hauptverantwortung für das tägliche Risiko- und
• Fokussieren auf wesentliche Themen Compliance-Management liegt in den operativen Funk-
• Entscheidungsorientiertes Aufbereiten von Informationen tionsbereichen. Durch die Anwendung der Kontrollver-
• Einbeziehen von Fach-Experten zur Lösung auftretender fahren und -instrumente gilt es, die im internen Kontroll-
Probleme system (IKS) definierten Prozess- und Kontrollstandards
• Überwachen der Umsetzung von Maßnahmen sowie die zugrundeliegenden regulatorischen Vorgaben
einzuhalten. Diese „First Line of Defense (Prevent)“ dient
Für die Implementierung wirkungsvoller und effizienter der präventiven Kontrolle zur Vermeidung von Risiken
Steuerungs- und Überwachungssysteme in den Berei- oder Regelverstößen.
chen Risikomanagement, interne Kontrollsysteme und
Compliance-Management sind ein zentrales Manage- Als „Second Line of Defense (Respond)“ fungieren die
ment sowie der Aufbau zentralisierter Prozess- und IT- Zentralfunktionen des Unternehmens. Sie geben Struktur
Strukturen erforderlich. und Abläufe von Compliance- und Risikomanagement-/
Kontrollsystemen vor und „antworten“ damit auf die ak-
Basis für eine erfolgreiche Umsetzung tuelle Risikosituation des Unternehmens. Die sogenannte
Es ist empfehlenswert, ein auf das jeweilige Unterneh- „Third Line of Defense (Detect)“ überwacht die Einhaltung
men abgestimmtes Compliance-Programm für die ge- der etablierten Kontrollen sowie die Wirksamkeit des
nannten regulatorischen Anforderungen zu definieren Risiko-/Compliancemanagements oder deckt bereits ein-
und in die bestehenden Risikomanagement-/Kontrollsys- getretene Schäden auf. Diese Aufgabe kann am besten
teme zu integrieren. Standardisierte Ansätze oder reine durch die Interne Revision als konzernweite Überwachungs-
Softwarelösungen nehmen wenig Rücksicht auf die ak- funktion wahrgenommen werden.
tuelle Situation eines Unternehmens und bergen damit
die Gefahr, wesentliche Risiken nicht ausreichend zu ad- Erst durch das Zusammenwirken dieser drei „Verteidi-
ressieren. gungslinien“ lassen sich Risiken im Umfeld der Compli-
ance wirkungsvoll vermeiden.

7
Effiziente Umsetzung Fazit
Die Schlüssel zu einer effizienten Umsetzung der BilMoG- Nicht zuletzt zeigen einige spektakuläre Fälle in der jün-
Anforderungen sind in den folgenden Punkten zusam- geren Vergangenheit, wie wichtig es ist, mit den Themen
mengefasst: Compliance, Risikomanagement und internes Kontroll-
system angemessen umzugehen. Die Umsetzung wir-
• Klarheit bei Aufgaben und gemeinsam getragene Sprach- kungsvoller Systeme zum Risikomanagement und zur
regelungen (z.B. bei der Einschätzung von Risiken) als Unternehmensüberwachung als Antwort auf die Com-
Basis für effiziente Strukturen und Kommunikation inner- pliance-Fälle der vergangenen Jahre zeigt bei den betrof-
halb eines integrierten Gesamtsystems. Unterschied- fenen Unternehmen Wirkung. Die gesamte Neuordnung
liche Verantwortungen und Berichtswege neigen dazu, gewachsener und nicht integrierter Systeme sowie die
das Gesamtsystem unnötig aufzublähen. Bereitschaft, Vorhandenes zu hinterfragen, verdeutlichen,
• Konsequente Orientierung an großen Risiken, die die dass diese Systeme in der Lage sind, einen Mehrwert für
Aufmerksamkeit der Unternehmensleitung benötigen, das Topmanagement und die Aufsichtsgremien zu liefern
sowie Einrichten eines Prozesses, der die etablierten und Haftungsrisiken reduzieren.
Kontrollen und erhobenen Risiken regelmäßig hinter-
fragt, um Veränderungen im Unternehmen zeitnah in-
tegrieren zu können.
• Empfängerorientierte Informationsaufbereitung (Report-
ing), die es dem Informationsempfänger ermöglicht,
seinen Aufgaben und seiner Verantwortung gerecht
zu werden und ihn nicht in einer Flut unrelevanter In-
formationen ertrinken lässt.
• Zentrale Vorgabe eines Mindeststandards an Kontrol-
len für kritische Prozesse (z.B. Einkauf, Vertrieb etc.),
deren Einhaltung zentral überwacht werden kann. Da-
durch wird dem verantwortlichen Topmanagement die
notwendige Sicherheit gegeben, dass auch in kom-
plexen Unternehmensstrukturen eine Basis-Sicherheit
verfügbar ist bzw. Kontrollschwächen zeitnah aufge-
deckt werden.
• Etablieren von Risk/Compliance Committees, um Risi-
ken fachlich übergreifend zu diskutieren und Lösungs-
vorschläge zu erarbeiten. Nach festgelegten Regeln
werden Risiken dem Topmanagement zur Kenntnis ge-
bracht und/oder Maßnahmen zur Entscheidung vorge-
legt.

8
Identity & Access Management

Ein effizienter Schutz gegen Datenmissbrauch ist Access-Management-Lösungen unterstützen wir Sie bei
wichtiger Bestandteil eines modernen internen der erfolgreichen Integration und Umsetzung der erfor-
Kontrollsystems derlichen Projektbestandteile. Dies beinhaltet als wichtige
Das Bilanzrechtsmodernisierungsgesetz (BilMoG) wird Punkte auch die regelmäßige Kommunikation mit den
dazu führen, dass interne Kontrollsysteme (IKS) und Risi­ wesentlichen Stakeholdern, um die neuen Prozesse und
komanagementsysteme in den betroffenen Unternehmen Technologien nachhaltig im Unternehmen umzusetzen.
kritisch überprüft werden. Identity & Access Management
Dr. Carsten Schinschel (IAM) ist ein Teil eines modernen IKS, dessen Nutzung zu Deloitte unterstützt mit folgenden Dienstleistungen
Tel: +49 (0)211 8772 3163 einer deutlich stärkeren Transparenz von Prozessen, Ver- Wir bieten die Einführung und Umsetzung von Identity- &-
cschinschel@deloitte.de antwortlichkeiten und Kontrollen im Unternehmen führt. Access-Management-Lösungen für alle Branchen und Un-
ternehmensgrößen an. Unsere Stärken auf einen Blick:
Die Vorfälle von Datenmissbrauch durch interne Mitarbei-
ter, Kunden, Lieferanten und Geschäftspartner nehmen IAM Quick-Scan
stetig zu. Besonders schwerwiegend sind der Vertrau- Mit unserem IAM Quick-Scan bieten wir Ihnen die Möglich-
ensverlust bei Kunden und Lieferanten, die resultieren- keit, in kurzer Zeit den aktuellen Zustand Ihres Identity-
den rechtlichen Konsequenzen und damit einhergehend &- Access-Managements zu bewerten, Optimierungs-
ein möglicher großer finanzieller Verlust. Viele Unterneh­ potenziale aufzudecken und nötige Folgeaktivitäten zu
men versuchen diesen IKS-Anforderungen gerecht zu identifizieren und zu priorisieren.
werden, verlassen sich dabei aber häufig nur auf schnelle
Lösungen, um eine Antwort auf die offensichtlichsten IAM Roadmap
Angriffsrisiken zu liefern. Andere Unternehmen ändern Obwohl es logisch erscheint, IAM in einem Schritt als
nichts und ignorieren die bestehenden Risiken. Die Rea- kompletten unternehmensweiten Service zu etablieren,
lität zeigt, dass Identitäts- und Zugriffsmanagement ein ist das meistens unrealistisch. In vielen Unternehmen lassen
hoch komplexes Problemfeld ist, das weit mehr Bereiche sich so große Budgets nicht rechtfertigen, ohne kurzfris-
betrifft als die IT-Abteilung. Es umfasst die komplette Or- tig direkten und greifbaren Mehrwert zu demonstrieren.
ganisation, einschließlich sämtlicher Geschäftseinheiten Um erfolgreich zu sein, sollte ein IAM-Fahrplan definiert
und Niederlassungen, Systeme, Zugriffswege, Geschäfts- werden, der modulare IAM-Komponenten liefert, die in
partner und Kunden. Die stetig wachsende Anzahl von jeder Phase einen messbaren Mehrwert liefern.
mobilen Nutzern, Joint Ventures und weiteren Geschäfts-
tätigkeiten erhöht zudem das Angriffspotenzial auf die Software-Selektion
IT-Systeme. Der IAM-Software-Markt wächst ständig und die Lösungen
der Anbieter werden immer ausgereifter. Es ist daher
Die umfassende Lösung von Deloitte umso wichtiger, die passende Lösung zu finden, sodass
Das Deloitte Identity & Access Management (IAM) Frame- Sie aus Ihren IAM-Investitionen das Maximum herausho-
work beinhaltet sämtliche Aspekte des Identitäts- und len. Wir unterstützen Sie von der Erstellung eines Anfor-
Zugriffsverwaltungslebenszyklus. Es ist ein ganzheitlicher, derungsprofiles bis zur Auswahl der Software-Lösung.
geschäftsprozessorientierter Ansatz, der die umfangrei-
chen Deloitte Beratungserfahrungen in Bezug auf Prozesse, Projektmanagement und Umsetzung
Kontrollen, Technologie und Sicherheit mit den verfüg- Durch die Verbindung von Technologie-, Prozess-, Prü-
baren Softwarelösungen verbindet, um eine umfassende fungs- und Umsetzungskompetenz sind wir der ideale
und effektive Lösung bereitzustellen. Partner, um Ihr IAM-Projekt von Anfang bis Ende erfolg-
reich zu planen, zu entwickeln, zu steuern und umzu-
In IAM-Projekten setzen wir auf eine enge Zusammenar- setzen.
beit mit unseren Kunden. In mehreren Schritten werden
Ihre spezifischen Anforderungen erhoben und analysiert. Enterprise-Role-Management-Konzepte
Unserer Erfahrung nach ist der Einsatz von Technologie Wir unterstützen Sie bei der Einführung und Implemen-
allein nicht die Lösung des Problems. Eine IT-gestützte tierung von Role-Based-Access-Control-(RBAC-)Konzepten
Lösung muss vollständig in die Geschäftsabläufe inte- zur Erhöhung der Sicherheit, Vereinfachung der Prozesse
griert werden, sodass alle relevanten Interessenparteien und zur Verbesserung der Kontrollen für die Erfüllung von
involviert werden müssen. Compliance-Anforderungen.

Mit unserer umfangreichen Projekterfahrung und Exper- Wir helfen Ihnen, die Lösungen zu implementieren, mit
tise bei der Einführung und Umsetzung von Identity- &- denen Sie Ihre avisierten IAM-Ziele erreichen.

9
Veranstaltungen Das könnte Sie auch interessieren
European Identity Conference • Compliance im Wandel – Integrated-Compliance-
München: 04.–07.05.2010, Forum am Deutschen &-Risk-Management als Ansatz für eine gesicherte
Museum, Besuchen Sie uns am Stand: # P4 Zukunft
Kontakt: Katrin Jostmeier • Auswirkungen des BilMoG auf die steuerliche
Weitere Informationen im Internet: Anerkennung einer Organschaft
http://www.id-conf.com/eic2010 • Corporate Governance Forum 1/2010 – Informa-
tionen für Aufsichtsrat und Prüfungsausschuss
• BilMoG-Trilogie – Informationen zum BilMoG aus den
Bereichen Steuerberatung, Wirtschaftsprüfung und
Enterprise Risk Services
• BilMoG-Analyse-Tool – Webbasiertes Hilfsmittel zur
Untersuchung der Auswirkungen des BilMoG auf den
handelsrechtlichen Jahresabschluss

Für mehr Informationen


Andreas Herzig
Tel: +49 (0)711 16554 7160
aherzig@deloitte.de

Hinweis
Bitte schicken Sie eine E­-Mail an aherzig@deloitte.de, wenn Sie Fragen zum Inhalt haben, wenn dieser Newsletter
an andere oder weitere Adressen geschickt werden soll oder Sie ihn nicht mehr erhalten wollen.

Für weitere Informationen besuchen Sie unsere Webseite auf www.deloitte.com/de

Die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft als verantwortliche Stelle i.S.d. BDSG und, soweit gesetzlich zulässig, die mit ihr
verbundenen Unternehmen nutzen Ihre Daten im Rahmen individueller Vertragsbeziehungen sowie für eigene Marketingzwecke. Sie können
der Verwendung Ihrer Daten für Marketingzwecke jederzeit durch entsprechende Mitteilung an Deloitte, Business Development, Kurfürsten-
damm 23, 10719 Berlin, oder kontakt@deloitte.de widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen
entstehen.

Diese Mandanten­information enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen eines Ein-
zelfalles gerecht zu werden. Sie hat nicht den Sinn, Grundlage für wirtschaftliche oder sonstige Entscheidungen jedweder Art zu sein. Sie stellt
keine Beratung, Auskunft oder ein rechtsverbindliches Angebot dar und ist auch nicht geeignet, eine persönliche Beratung zu ersetzen. Sollte
jemand Entscheidungen jedweder Art auf Inhalte dieser Broschüre oder Teile davon stützen, han­delt dieser ausschließlich auf eigenes Risiko.
Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft übernimmt keinerlei Garantie oder Gewährleistung noch haftet sie in irgendeiner
anderen Weise für den Inhalt dieser Mandanten­information. Aus diesem Grunde emp­fehlen wir stets, eine persönliche Beratung einzuholen.

Über Deloitte
Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen
und Institutionen aus allen Wirtschaftszweigen. Mit einem Netzwerk von Mitgliedsgesellschaften in mehr als 140 Ländern verbindet Deloitte
erstklassige Leistungen mit umfassender regionaler Marktkompetenz und verhilft so Kunden in aller Welt zum Erfolg. „To be the Standard of
Excellence“ – für rund 169.000 Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich. Die Mitarbeiter von
Deloitte haben sich einer Unternehmenskultur verpflichtet, die auf vier Grundwerten basiert: erstklassige Leistung, gegenseitige Unterstützung,
absolute Integrität und kreatives Zusammenwirken. Sie arbeiten in einem Umfeld, das herausfordernde Aufgaben und umfassende Entwick-
lungsmöglichkeiten bietet und in dem jeder Mitarbeiter aktiv und verantwortungsvoll dazu beiträgt, dem Vertrauen von Kunden und Öffent-
lichkeit gerecht zu werden.

Deloitte bezieht sich auf Deloitte Touche Tohmatsu, einen Verein schweizerischen Rechts, und/oder sein Netzwerk von Mitgliedsunternehmen.
Jedes dieser Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig. Eine detaillierte Beschreibung der rechtlichen Struktur von
Deloitte Touche Tohmatsu und seiner Mitgliedsunternehmen finden Sie auf www.deloitte.com/de/UeberUns.

© 2010 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft. Member of Deloitte Touche Tohmatsu

Stand 4/2010