Governance, Risk & Compliance

„Somebody once said that in looking for people to hire, you look for three qualities: integrity, intelligence, and energy. And if you don’t have the first, the other two will kill you. You think about it; it’s true.“

Warren Buffet

Eine gute Corporate Governance ist das Fundament, die „große Klammer“ für sämtliche Führungs- und Überwachungsaktivitäten Ihres Unternehmens. Und das unabhängig von Rechtsform und Größe.

Dabei gilt stets: Die Integrität der Organe prägt das Unternehmen.

Geschäftsleitung und Aufsichtsorgane setzen hinsichtlich GRC den „Tone from the Top“ und sind sowohl für die Vorgabe und Einhaltung der hohen ethischen und fachlichen Standards als auch für die Absicherung einer umfassenden Rechtskultur der Organisation (Compliance) verantwortlich.

Ihre GRC-Beratung durch Mauer*

Mauer* steht für Ganzheitlichkeit, Qualität und Individualität.
Wir legen viel Wert auf eine individuelle Behandlung unserer Mandanten, um zusammen mit dem hohen Qualitätsanspruch unserer erfahrenen Wirtschaftsprüfer genau die Lösung zu finden, die zu Ihrem Unternehmen passt.
Dabei profitieren Sie von den ganz unterschiedlichen Berufsbildern, die bei uns vertreten sind. Für manche Probleme ist der Wirtschaftsprüfer genau richtig, für manche eher der Ingenieur und bei anderen wiederum der Informatiker – für manches auch alle zusammen.

Indem wir uns gegenseitig ergänzen, gewinnen wir einen wesentlich ganzheitlicheren Blick auf Ihre GRC-Prozesse und -Systeme.
Während des Projekts steht Ihnen immer eine direkte und erfahrene Ansprechperson zur Verfügung – so garantieren wir kurze Entscheidungswege. Für die Kommunikation springen wir gerne unkompliziert in einen Videocall und die „remote“-Durchführung von Prüfungsschritten gehört bei uns inzwischen zum Alltag.

Ihre Anprechpartner im Bereich GRC-Unternehmensberatung

 

Geschäftsführer mauer*

Stephan Mauer
Tel. +49 (0) 71 21 / 90 90 21
E-Mail

Stefan Marx mauer*

Prof. Dr. Stefan Marx
Mobil + 49 (0) 174 300 26 03
E-Mail marx@mauer-wpg.com

Karla Grabenhorst mauer*

Karla Grabenhorst
Tel. +49 (0) 71 21 / 90 90 210
E-Mail grabenhorst@mauer-wpg.com

Sustainable GRC effizient meistern: Der mauer*-Corporate-Governance-Ansatz

Wir bei mauer* denken GRC nachhaltig: In allen Corporate Governance-Elementen, wie z.B. Risiko-Management, Internes Kontrollsystem oder Compliance-Management, wird ökologische, soziale und ökonomische Nachhaltigkeit berücksichtigt. Wir schaffen somit keine „Parallelwelt“, sondern integrieren die Nachhaltigkeit in alle Unternehmenssysteme und -prozesse.

GRC Unternehmensberatung

Compliance-Management-Beratung

Compliance steht für Regelkonformität von Unternehmen, also dafür, interne und externe Regeln, Gesetze und Bestimmungen einzuhalten. 
Eine saubere Compliance-Management-System-Dokumentation (CMS) wirkt im Falle eines Falles enthaftend – und das für Unternehmen aller Größen. Die EU-Whistleblowing-Richtlinie greift z.B. bereits für Unternehmen mit über 49 Beschäftigten. Weitere wichtige Entwicklungen beinhalten das Lieferkettensorgfaltspflichtengesetz. Unternehmen, die entsprechende Compliance-Strukturen aufgebaut haben, schützen damit sowohl ihre materiellen als auch ideellen Werte.

Keine Sorge – Ein Compliance-Management-System muss kein riesiges Gebilde sein! Es soll Ihnen schließlich dabei nutzen, Ihre Risiken professionell zu steuern und überwachen. Bei Aufbau, Prüfung und Optimierung dieses CMS stehen wir Ihnen mit unserer kompetenten Compliance-Management-Beratung zur Seite.


* EU-Whistleblower-Richtlinie
  • Gilt ab 17.12.2021 für Unternehmen mit >249 Beschäftigten und ab 1.12.2023 mit >49 Beschäftigten
  • Unternehmen müssen Meldewege für Hinweisgeber einrichten
  • Gewährleistung von Vertraulichkeit & Schutz der hinweisgebenden Person
* Lieferkettensorgfaltspflichtengesetz
  • Gilt ab 2023 für Unternehmen ab 3.000 Beschäftigen und ab 2024 ab 1.000 Beschäftigten
  • Analyse der Lieferkette auf menschenrechtliche und umweltbezogene Risiken + Präventionsmaßnahmen
  • Jährliche Berichterstattung über eigenen Geschäftsbetrieb + unmittelbare Zulieferer

Unsere Leistungen

Gap-Analyse / Quick Check
Wo stehen Sie mit Ihrem CMS? Wir identifizieren Ihre individuellen Compliance-Risiken und legen Ihnen verständlich dar, wie Sie idealerweise weiter verfahren.

Einführung eines CMS
Zusammen entwickeln wir maßgeschneiderte Compliance-Management-Systeme inklusive Implementierung von Richtlinien, Kodizes und Kommunikation.

Verankerung des CMS im Risikomanagement und anderen Managementsystemen.

Prüfung / Zertifizierung
Erfüllt Ihr CMS z.B. die Anforderungen nach IDW PS 980? Wir prüfen bestehende Managementsysteme und –Prozesse und bereiten Sie auf eine Zertifizierung vor.

Tax Compliance 
Nach § 153 AEAO stellt ein Tax-CMS ein Enthaftungsindiz für die Organe des Unternehmens sowie dessen Gesellschafter im Falle von Steuerhinterziehung und Steuerbetrug dar. Wir unterstützen Sie bei der Implementierung und Prüfung.

Risikomanagement

Der Umgang mit Risiken und der Beseitigung von Unsicherheit ist eine der Kernaufgaben des Managements. Ein systematisches und ganzheitliches Risikomanagement befasst sich mit der Identifizierung, Bewertung sowie Behandlung von Risiken und integriert die gewonnenen Informationen in die Steuerungsprozesse des Unternehmens.

Die geschaffene Transparenz verbessert die Entscheidungsfindung im Unternehmen und macht es dadurch resilienter gegenüber den individuellen Herausforderungen. Aufgrund der klaren Vorteile nimmt der Gesetzgeber den Großteil der Gesellschaften in die Pflicht eine aktive Krisenfrüherkennung zu betreiben.

Besteht in Ihrem Unternehmen die nötige Transparenz über die individuelle Risikotragfähigkeit? Nutzen Sie systematische Risikoanalysen und integrieren diese in Ihre Entscheidungsprozesse? Sind Sie auf eventuell eintretende Risiken vorbereitet?

Wir unterstützen Sie bei der Einrichtung und Prüfung von Risikomanagementsystemen, bei simulationsgestützten Risikoaggregationen (Monte-Carlo-Simulation) und bei der Verknüpfung des Risikomanagements mit Controlling und Planung, Anforderungen wie der Business Judgement Rule gerecht zu werden.


* StaRUG
  • Gilt seit dem 01.01.2021 für alle beschränkt haftenden Unternehmen, unabhängig ihrer Größe
  • Verpflichtet Unternehmen zur Einrichtung eines Krisenfrüherkennungs- und Krisenmanagementsystems
    (sprich Risikomanagementsystem)
* IDW PS 340
  • Prüfungsstandard zur Prüfung von Risikofrüherkennungssystemen und Feststellung der Risikotragfähigkeit
  • Sieht in der neuen Fassung eine Risikoaggregation vor, die in der Praxis nur mittels Simulationssoftware umsetzbar ist

Unsere Leistungen

Gap-Analyse / Quick Check
Wir identifizieren Ihre individuellen Risiken und legen Ihnen verständlich dar, wie Sie idealerweise weiter verfahren

Einführung eines Risikomanagementsystems
Wir entwickeln maßgeschneiderte Risikomanagementsysteme und unterstützen Sie bei der passenden Softwareauswahl

Verknüpfung des Risikomanagements mit Controlling und Planung und anderen Managementsystemen

Prüfung
Erfüllt Ihr Risikomanagementsystem z.B. die Anforderungen nach IDW PS 981 bzw. IDW PS 340?

Interne Kontrollsysteme (IDW PS 982)

Die steigende Regulierungsflut sowie die erhöhten Erwartungen des Managements und der Stakeholder an effektive, effiziente und sichere Unternehmensprozesse treiben die Anforderungen an Interne Kontrollsysteme (IKS) deutlich nach oben. Vor allem digitalisierte Unternehmensprozesse stellen neue Anforderungen an interne Kontrollen.

Zugleich hat Covid-19 die digitale Transformation in den Unternehmen deutlich beschleunigt. Hierzu zählen etwa die Einbettung neuer Technologien und eine zunehmende Verbreitung von Automatisierungslösungen in den Prozessen. Hieraus ergeben sich neue Herausforderungen an die Risikosteuerung sowie an eine konsistente Digitalisierungsstrategie. Die rechtliche und betriebswirtschaftliche Umsetzung des IKS, um enthaftende Wirkungen, Qualitätssicherung und Wertschöpfung möglichst ressourcenschonend sicherzustellen, ist zentrale Managementherausforderung.

Hierzu bedarf es besonderer Kompetenzen und Tools, um hinsichtlich Budget, Flexibilität und der geforderten technischen und digitalen Lösungen die richtige Balance zu finden. Wir unterstützen Sie bei der Einrichtung, Optimierung, Prüfung und Outsourcing von Internen Kontrollsystemen.


* Finanzmarktintegritätsgesetz (FISG)

Das FISG verpflichtet Vorstände börsennotierter Aktiengesellschaften (über § 91 Abs. 3 AktG) dazu, „…ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames IKS und RMS einzurichten“.

Unsere Leistungen

Gap-Analyse / Quick Check
Wir identifizieren Ihre individuellen Prozessrisiken und legen Ihnen verständlich dar, welche Prozesskontrollen für Sie angemessen sind. Die Basis hierfür ist das Reifegradmodell.

Einführung und Optimierung eines Internen Kontrollsystems
Wir entwickeln und verbessern maßgeschneiderte, angemessene und effiziente Kontrollsysteme

Outsourcing von Internen Kontrollsystemen
Wir managen Ihr Internes Kontrollsystem von der Überwachung über das Handling bis hin zur Berichterstattung an die Organe der Gesellschaft

Prüfung
Wir bieten Konzeptions-, Angemessenheits- und Wirksamkeitsprüfungen nach IDW PS 982 an.

Nachhaltigkeit bei der GRC Unternehmensberatung
Wir leben GRC nachhaltig!

Nachhaltigkeitsbericht und -management

Ob Kundenbindung, Compliance oder Kreditvergabe – GRC und Nachhaltigkeit im Unternehmen werden heute von vielen Seiten gefordert. Deutschland strebt die Klimaneutralität 2045 an und sowohl Gesetzgeber als auch Geldgeber, Beschäftigte und Kunden schrauben ihre Anforderungen an tatsächlich gelebte Nachhaltigkeit nach oben.
Nachhaltigkeit ist kein Trend – es ist die zukunftsfähige Art, zu denken.

Schon seit Juni 2021 ziehen Finanzinstitute Environmental Social Governance (ESG)-Risiken zur Bewertung bei der Kreditvergabe heran. Unter dem European Green Deal wird immer noch an der Taxonomie-Verordnung geschliffen, die im Januar 2022 in Kraft trat. Auch die CSRD (Corporate Responsibility Reporting Directive) sorgt ab 2024 nicht nur für einheitliche Standards in der Nachhaltigkeitsberichterstattung (Prinzip der doppelten Wesentlichkeit), sondern auch für eine stark erweiterte Berichts- und Prüfungspflicht. Verantwortungsvolles Handeln, sprich Nachhaltigkeit in Unternehmen, wird somit auch für kleine Unternehmen ins Rampenlicht gerückt.

Nicht nur den erfahrenen CSR-Fans, sondern auch Unternehmen, die jetzt neu dazukommen und ihr Reporting sowie Management mit Weitsicht an diesen Gesetzen zum Thema GRC Nachhaltigkeit ausrichten wollen, stehen wir mit Überblick und Mittelstandskompetenz zur Seite - wir schaffen Mehrwert für Ihr Unternehmen, Umwelt und Gesellschaft.


* EBA-Leitlinien zur Kreditvergabe
  • Seit 30.06.2021 müssen Finanzinstitute ESG-Risiken im gesamten Kreditgewährungs- und bearbeitungsprozess berücksichtigen
  • Ab 30.06.2022: Anwendung bei neu verhandelten Bestandsverträgen
  • Ab 30.06.2024: Anwendung bei gesamtem Bestandsgeschäft
* Corporate Sustainability Reporting Directive – CSRD
  • Gilt ab 2024 für alle Unternehmen, die bereits der NFRD (Non-Financial Reporting Directive) unterliegen, also bereits einen nichtfinanziellen Bericht veröffentlichen müssen
  • Gilt ab 2025 für alle großen Unternehmen ab 250 Beschäftigten (CSRD Bericht über das Geschäftsjahr 2025)
  • Gilt ab 2026 auch für börsennotierte KMU (CSRD Bericht über das Geschäftsjahr 2026)
  • Verpflichtet zur Nachhaltigkeitsberichterstattung im Lagebericht inkl. externer Prüfung
  • Erweiterung des Berichts um die doppelte Materialität / doppelte Wesentlichkeit

 

* EU-Taxonomie
  • Gilt für alle von der CSRD betroffenen Unternehmen
  • Verpflichtet zum Ausweis des Anteils der ökologisch nachhaltigen Umsatzerlöse, Investitionsausgaben und Betriebsausgaben

Unsere Leistungen

Beratung zur GRC Nachhaltigkeitsberichts-Erstellung
Berichte nach CSR-RUG/CSRD, mit GRI, DNK oder in Zukunft den europäischen Standards, den ESRS: Was muss da alles rein und woher bekommen Sie die Informationen? Wie wird eine Wesentlichkeitsanalyse durchgeführt? Wie muss die doppelte Wesentlichkeit berücksichtigt werden? Und wie verwertet Ihr Unternehmen die Resultate effektiv für seine Entwicklung?

Prüfung von Nachhaltigkeitsberichten nach z.B. ISAE 3000

Erstellung von Nachhaltigkeitsmanagementsystemen
Zum Beispiel Risikoanalyse der Lieferkette oder Aufstellung des Personalwesens nach sozial nachhaltigen Kriterien

Integration von Nachhaltigkeitsaspekten in Ihr RMS, IKS, CMS und Ihre interne Revision

Informationssicherheit und IT-Revision

Aus der engen Verzahnung aller Geschäftsbereiche mit der IT sowie der rasanten Entwicklung im Bereich von Industrie 4.0 durch die Vernetzung von Kunden und Lieferanten resultiert eine hohe Anfälligkeit für externe Angriffe auf Ihr Unternehmen sowie für Systemausfälle.
Das Einrichten von Informationssicherheitsmanagementsystemen (ISMS) und die Durchführung von IT-Revisionen sollen Schwachstellen aufdecken und beseitigen, bevor es zu einem Informationsverlust oder Angriff kommt.

Wir unterstützen Sie bei der Einrichtung, Prüfung und Revision Ihres Informationssicherheitsmanagementsystems sowie bei der Internen Revision Ihrer IT. Dabei orientieren wir uns an gängigen Standards wie IDW PS 330, ISO 27001 und dem BSI Grundschutz.


* ISO 27001
  • Zertifizierbare internationale Norm für Informationssicherheitsmanagementsysteme 
* BSI Grundschutz
  • Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Schutzmaßnahmen für Informationstechnik
* KRITIS
  • Nach BSI-Gesetz kritische und daher besonderen Schutzes bedürftige Infrastrukturen wie Energieversorger oder Krankenhäuser

Unsere Leistungen

Gap-Analyse zur Einführung eines ISMS
Wir identifizieren die notwendigen Schritte zur Einführung eines ISMS nach ISO 27001, BSI Grundschutz für KRITIS und nicht KRITIS-relevante Bereiche

Prüfung von ISMS nach IDW PS 330

IT-Revision zu IT-Sicherheit, Datenschutz und Digitalisierungspotentialen

Interne Revision

Die Interne Revision bzw. Innenrevision dient als prozessunabhängige Instanz zur Aufdeckung und Prävention von Fehlverhalten und zur Prüfung von Geschäftsprozessen auf Richtigkeit und Wirtschaftlichkeit. Somit hat die Interne Revision vor allem auch das Ziel, Verbesserungspotentiale aufzudecken.
Zudem leistet die Interne Revision für KMU einen entscheidenden Beitrag zur Haftungsvermeidung und Exkulpation des Vorstands und der Aufsichtsorgane.

Wir unterstützen Sie dabei entweder im Rahmen eines Co-Sourcings/Partnerings oder beim Outsourcing der gesamten Revisionsfunktion Ihres Unternehmens. Unsere Spezialisten für Interne Revision bzw. Innenrevision bieten umfassende betriebswirtschaftliche, technische und IT-Expertise. Die interdisziplinäre Zusammenarbeit von unseren Wirtschaftsprüfern, Ingenieuren, Informatikern, Certified Internal Auditors (CIA), Certified Information Systems Auditors (CISA) und Certified Compliance Experts (CCE) sowie Steuerberatern erlaubt eine intensive und neutrale Beurteilung Ihrer Organisation sowie der geprüften Teilbereiche und sorgt für einen effizienten Prüfungsablauf. Dabei setzen wir verstärkt auf Datenanalysen im Rahmen der Prüfungsvorbereitung zur Identifikation von Prüfungsschwerpunkten und prüfen nach den Standards wie IDW PS 982.

Unsere Leistungen

Prüfung des Risikomanagementsystems, des Internen Kontrollsystems und weiterer Corporate Governance Systeme nach IDW PS 981, 982, 983

Sonderprüfungen auch zu forensischen Schwerpunkten

Ordnungsmäßigkeits- und Wirtschaftlichkeitsprüfungen von Einzelsachverhalten und Geschäftsprozessen

Unterstützung beim Aufbau einer unternehmenseigenen Internen Revision

Referenzen

Der Beratungs- und Prüfungsansatz der Mauer Unternehmensberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft ist auf die Anforderungen größerer mittelständischer, internationalisierter Unternehmen und Unternehmensgruppen ausgerichtet. Wir beraten dabei Vorstände, Geschäftsführer und Ihre Führungskräfte, insbesondere der Bereiche Legal, IT und Accounting, Aufsichtsräte, Verwaltungsräte und Beiräte sowie Compliance-Beauftragte und Risikomanager.

Beispiel 1 - Compliance-Management-System


Eine größere mittelständische Gruppe mit ca. 140 Mio. Euro Umsatz und rd. 1.000 Mitarbeitern beauftragte uns, zunächst eine Vollinventur der vorhandenen Compliance-Risiken und -Regeln der Gruppe durchzuführen und dabei die Risiken und Regeln zu inventarisieren und zu bewerten. Auf dieser Grundlage sollte im Anschluss ein Umsetzungs- und Maßnahmenpaket definiert werden, das die Einführung eines systematischen Compliance-Management-Systems nach ISO 19600 ermöglicht. Ziel war, das sodann implementierte CMS in das bereits vorhandene Risikomanagement der Unternehmensgruppe integrieren zu können.

Beratungsauftrag:

Schaffung der Voraussetzungen für die Einführung eines systematischen Compliance-Management-Systems. Erforderlich waren Interviews und Workshops mit allen relevanten Abteilungen und Funktionen der Unternehmensgruppe. Die Ergebnisse der Risikoinventarisierung und Aufnahme der zu beachtenden internen Regelungen und Gesetze ergab für jede der betrieblichen Abteilungen/Funktionen eine eigenständige Risikomatrix, aufgrund derer eine Bewertung der identifizierten Compliance-Risiken vorgenommen werden konnte und anschließend Maßnahmen zur Risikosteuerung definiert werden konnten.

Im Anschluss daran wurde ein umfassendes Paket definiert, um die Überwachungs- und Kontrollfunktionen zur verbesserten Risikosteuerung der Compliance-Risiken einzuführen. Wir haben für die Unternehmensgruppe hierfür unter anderem auch eine eigenständige interne Revision aufgebaut und gecoacht. Umfassende softwaregestützte Schulungen der Mitarbeiter wurden durchgeführt. Eine Bestandsaufnahme und Ausformulierung einer Compliance-Kultur, basierend auf dem Tone at the Top von Vorstand und Aufsichtsrat wurden ebenfalls formuliert.

Ergebnis:

  • Es resultierte eine umfassende Risikomatrix mit dokumentierten Netto-Risiken, die im bereits vorhandenen Risikomanagement-System integriert werden konnte.
  • Es wurden umfassende organisatorische Regelungen zur dezentralen und zentralen in- und ausländischen Steuerung der Compliance-Risiken definiert und mit Verantwortlichkeiten versehen.
  • Es wurden Reporting-Zyklen eingerichtet: Zusammen mit der neu eingerichteten internen Revision wurden risikoorientiert Prüfungsschwerpunkte zur Überwachung und Verbesserung des CMS vereinbart.
  • Entsprechende Verbesserungen und ein Ausbau des internen Kontrollsystems waren ebenfalls Resultat der Vorarbeiten. Dabei wurde ein besonderes Augenmerk auf eine Verbesserung der IT-basierten Kontrollen gelegt.
  • Formulierung von umfassenden Richtlinien und internen Regelungen, vor allen Dingen Code of Ethics, Code of Conduct, Antikorruptionsrichtlinien, Einkaufsrichtlinien, Definition von umfassenden Vertretungs- und Geschäftsführungsregelungen und Zuständigkeiten.
Beispiel 2 - Compliance-Management-System


Eine größere mittelständische Gruppe mit ca. 250 Mio. Euro Umsatz und knapp 1.600 Mitarbeitern, stark globalisiert mit Produktions- und Vertriebsniederlassungen in China, Indien, Brasilien, USA und einigen osteuropäischen Ländern sowie einer komplexen Holdingstruktur unter Einbeziehung der Schweiz beauftragte uns, zusammen mit der in der Unternehmensgruppe neu geschaffenen Legal-Funktion eine eingehende Bestandsaufnahme und Überprüfung nach IDW PS 960 des neu eingerichteten und formalisierten Compliance-Management-Systems vorzunehmen.

Prüfungsauftrag:

Wir haben eine umfassende Beurteilung der in der Unternehmensgruppe eingeführten Prozesse und Strukturen im Hinblick auf die systematische Erfassung und Überwachung aller relevanten Risiken und Regeln, Instrumente zur Überwachung und Kontrolle der Compliance-Risiken, Schulungs- und Reporting-Maßnahmen sowie das Vorhandensein einer Compliance-Kultur erstellt und dokumentiert.

Ergebnis:

  • Ergebnis unserer Analyse, die auf der Grundlage von Workshops und Interviews sowie einer umfassenden Auswertung aller uns übergebenen Dokumente und öffentlich zugänglichen Informationen erfolgen konnte, war, dass wir umfassend über weiße Flecken auf der „Landkarte“ berichten konnten, die nunmehr in strukturierter Weise nachfolgend abgearbeitet werden.
  • Wichtigstes Ergebnis war das Commitment des Vorstandes, sich nunmehr strukturiert und umfassend um das Thema Compliance kümmern zu wollen, indem Lieferanten- und Kundenbeziehungen, auch auf der Grundlage von IT-basierten Verfahren, umfassend ausgewertet, historisiert und auf Auffälligkeiten untersucht werden. Darunter fallen sämtliche wichtigen in- und ausländischen Kunden und Lieferanten. Auf dieser Grundlage soll ein höheres Sicherheitslevel für den weiteren Umgang mit diesen Stakeholdern geschaffen werden, insbesondere eine umfassende Beachtung der Antikorruptionsrichtlinien der Unternehmensgruppe sichergestellt werden. Damit einhergehend sollen auch in- und ausländische (Durchgriffs-) Haftungsrisiken minimiert werden.
  • Verstärktes Augenmerk auf Antikorruptionsvorschriften unter Berücksichtigung der nationalen Regelungen der wichtigsten Länder, in denen die Unternehmensgruppe tätig ist (z. B. Brasilien, China und UK).
  • Weiteres Ergebnis unseres Auftrags war ein zügiger Auf- und Ausbau der IT-Compliance sowie der Tax-Compliance der Unternehmensgruppe.
Beispiel 3 - Interne Revision


Interne Revision (Outsourcing) bei einer großen Klinik der Maximalversorgung (9.000 Mitarbeiter und rd. 500 Mio. Umsatz) in den Bereichen MDK, internationales Geschäft, Einkauf und Beschaffung im Rahmen eines mehrjährigen Prüfungsplans.

Prüfungsauftrag:

Im Rahmen eines mehrjährigen Revisionsplans haben wir die oben genannten Bereiche systematisch schwerpunktmäßig kritisch analysiert und auf Verbesserungspotenzial hin untersucht. Hintergrund dieser Prüfungsplanung war eine risikoorientierte Betrachtung wichtiger betrieblicher Funktionen im Krankenhaus. Die extrem hohe „Bugwelle“ der noch offenen MDK-Fälle gab Anlass, diesen Bereich eingehend und kritisch zu untersuchen und ein entsprechendes Maßnahmenpaket, das sofort umsetzbar war, zu generieren. Diese Maßnahmen erlaubte es, bereits mit „Quick-Wins“ siebenstellige Beträge zu realisieren, um die Liquidität des Krankenhauses zügig zu verbessern. Ebenso wurden dabei stabile Prozesse im Haus etabliert, die künftig einen professionellen Umgang mit dem MDK und den verschiedenen Krankenkassen gewährleisten.

Im Beschaffungsbereich wurden unter risikoorientierten Gesichtspunkten erhebliche Defizite im Hinblick auf die Beschaffungs- und Investitionsprozesse bei der Medizintechnik festgestellt. Dies vor dem Hintergrund unklarer Zuständigkeiten und schwacher Dokumentation. Zudem gab es keine Antikorruptionsvorschriften, die es für Hersteller möglich machten, vergleichsweise aggressiv und an grundlegenden Prinzipien eines internen Kontrollsystems (Vier-Augen-Prinzip, Funktionstrennungen) vorbei Beschaffungsvorgänge bzw. Investitionsvorgänge zu initiieren.

Im Bereich des Auslandsgeschäfts waren ebenfalls schwache Prozesse in der Abrechnung und in der Überwachung der Einweiserprozesse von externen Dienstleistern zu verzeichnen.

Ergebnis:

  • Signifikante Senkung der MDK-Fälle.
  • Rasche Verbesserung der Liquidität durch strukturierte und professionelle Verhandlungen mit dem MDK und den Kassen.
  • Formulierung einer umfassenden Einkaufs- und Antikorruptionsrichtlinie.
  • Transparente Beschaffungs- und Investitionsprozesse, die zusammen mit der Geschäftsführung und den entsprechenden Fachabteilungen erarbeitet wurden.
  • Umfassende Reorganisation der administrativen Betreuung des Auslandsgeschäfts des Krankenhauses, Durchformulierung einer umfassenden Geschäftsordnung mit klaren Zuständigkeiten (Vertretungsregelungen und Regelungen der internen Geschäftsführung) mit dem Ziel, die bereits vorhandenen, stabilen Abrechnungs- und Finanzbuchhaltungsprozesse im Krankenhaus auch in der Auslandabteilung anzuwenden.
  • Umfassendes Mahnwesen und schnelle Rechnungsstellung der abgeschlossenen Krankenakten, Etablierung eines professionellen Mahnwesens.
Beispiel 4 - Interne Revision


Interne Revision (Outsourcing) in einem größeren Zuliefererbetrieb, der insbesondere Komponenten für die Automobilindustrie fertigt (ca. 200 Mio. Umsatz, ca. 1.000 Mitarbeiter).

Ziel des Auftrags war die Aufdeckung von Unregelmäßigkeiten (kriminellem Verhalten/Fraud).

Prüfungsauftrag:

Die Geschäftsleitung beauftragte uns zusammen mit einer renommierten Anwaltskanzlei, Auffälligkeiten im Abrechnungsverhalten eines Zulieferers (Second-Tier) zu untersuchen. Dabei stellte sich heraus, dass jahrelang an den vorhandenen IT-Systemen vorbei und unter Ausnutzung des schwachen Kontrollumfelds und schwachen IKS, vertragswidrig Rohstoffe beschafft wurden, die nicht den geschuldeten Qualitäten entsprachen. Diese vertragswidrigen Beschaffungsvorgänge mit minderwertigem Material wurden überhöht abgerechnet. Zudem resultierte die Lieferung an einen First-Tier-Kunden mit in Folge dessen fehlerhaft ausgestatteten und produzierten Komponenten, die ggf. geeignet gewesen wären, eine umfassende Rückrufaktion von mehreren OEM bezogen auf den First-Tier-Lieferanten zu indizieren.

Eine umfassende Überprüfung der Abrechnungsvorgänge ließ eine umfassende Transparenz in ein komplexes betrügerisches Abrechnungssystem resultieren, in das sowohl Führungskräfte im Hause des Auftraggebers, aber auch Führungskräfte bei den einschlägigen Lieferanten involviert waren. Es zeigte sich, dass auch mit nur geringen IT-Kenntnissen die vorhandenen Berechtigungskonzepte problemlos ausgehebelt werden konnten, um entsprechende Manipulationen im Warenwirtschaftssystem herbeiführen zu können.

Ergebnisse:

  • Unsere Revision brachte umfassende Transparenz in die betrügerischen Abrechnungsprozesse mit der Folge, dass die dafür verantwortlichen internen Personen, aber auch bei den Lieferanten vorzufindende Führungskräfte entfernt werden konnten. Dies ließ die Chance resultieren, die betreffenden Bereiche umfassend neu aufzubauen.
  • Die nunmehr bekannten Betrugsfälle und die mögliche Quantifizierung des entsprechenden Schadens wurden im Zuge einer professionellen und transparenten Verhandlung mit dem First-Tier professionell kommuniziert und zum Ausgleich gebracht. Die bestehende Geschäftsbeziehung konnte anschließend fortgeführt und in verschiedener Hinsicht neu aufgebaut werden, sodass zwischenzeitlich wieder ein funktionierendes Vertrauensverhältnis besteht.
  • Es erfolgte eine umfassende Restrukturierung des Beschaffungsbereichs und eine Ablösung der alten Systemlandschaft mit der Folge, dass nunmehr eine umfassende Einführung eines neuen ERP-Systems resultiert.
  • Die durchgeführten personellen Konsequenzen machten es möglich, mit den richtigen Mitarbeitern eine entsprechende Kontrollstruktur und -kultur zu etablieren. Weitere Pluspunkte für den Auftraggeber waren, dass eine umfassende Reorganisation der internen Qualitätskontrollen und ein erheblicher Lerneffekt in der Produktion in Bezug auf industrielles Produktionsverhalten etabliert werden konnte.
  • Formulierung einer umfassenden Antikorruptions- und Beschaffungsrichtlinie.
  • Ausweitung der durch unsere Findings neu geschaffenen Funktion einer internen Revision (outgesourct auf weitere betriebliche Prozesse mit dem Ziel, weiteres Verbesserungspotenzial zu identifizieren und ein professionelles Überwachungssystem im Hinblick auf sämtliche in- und ausländischen Aktivitäten der Unternehmensgruppe zu etablieren).
Beispiel 5 - Berechtigungskonzepte


In der Holding einer mittelständischen Gruppe mit ca. 100 Mio. Euro Umsatz war im Rahmen des mit der Geschäftsleitung entwickelten Revisionsplans die Überprüfung der Berechtigungskonzepte in den produktiven SAP-ERP-Systemen vorgesehen.

Prüfungsauftrag:

Der Prüfungsauftrag umfasste die Beurteilung der ERP-Systeme hinsichtlich allgemeiner Systemsicherheit, Verfahren zur Einrichtung, Änderung und Löschung sowie der Benutzerberechtigungen unter Funktionstrennungsaspekten. Dazu war es erforderlich, sowohl Systeme als auch Verfahren hinsichtlich Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit zu untersuchen und Maßnahmen zur Systemoptimierung und Risikominimierung herauszuarbeiten.

Ergebnis:

  • Unsere Prüfungshandlungen deckten alle sicherheitsrelevanten System- und Mandanteneinstellungen und Rollenkonzeptionen in den einzelnen Programmmodulen sowie alle kritische Berechtigungsobjekte, Benutzerprofile und deren Kombinationen ab.
  • Dabei wurden Regelbetriebs-, Wartungs- und Notfallszenarien betrachtet.
  • Ergänzend zur Beurteilung von Verfahren und Berechtigungskonzepten in den Fach- und IT-Bereichen wurde eine Sicherheitsbeurteilung der ERP-Systeme anhand der regularischen Rahmenbedingungen durchgeführt.
  • Neben den spezifischen Unternehmensrichtlinien, die ebenfalls einer Überprüfung unterzogen wurden, wurden dabei die COSO-, COBIT- und ISO 27001-Standards zugrunde gelegt.

Unsere Analysen führten zur Aufdeckung einer Reihe von – unter Risikoaspekten zum Teil bedeutsamen – sicherheitsrelevanten Schwachstellen und zur Ermittlung derer Ursachen:

  • In den Fachbereichen wurden insgesamt fehlende Einschränkungen des Berechtigungsumfangs festgestellt. In den IT-Bereichen wurden in mehreren Fällen zu weit gehende Berechtigungsumfänge identifiziert, ebenso bei den eingesetzten externen Projektmitarbeiten.
  • In Bezug auf externe Projektmitarbeiter wurden auch Mängel in der Sicherheitskonfiguration festgestellt.
  • Insgesamt war eine mangelnde Dokumentation der Berechtigungskonzeption zu verzeichnen.

Die Ergebnisse unserer IT-Revision konnten direkt als Leitfaden für das Management herangezogen werden und werden weiterhin als Grundlage zur Erfolgskontrolle und Fortschrittsüberwachung der Verbesserungsmaßnahmen verwendet.

Beispiel 6 - Betrugsermittlung


Interne Revision (Outsourcing) in der Holding einer mittelständischen Gruppe mit ca. 150 Mio. Euro Umsatz – Aufdeckung von Unregelmäßigkeiten/kriminellem Verhalten (Fraud).

Prüfungsauftrag:

Durch Zufall wurde in der zentralen Buchhaltung einer Unternehmensgruppe anlässlich der Anforderung einer Spendenbescheinigung bekannt, dass ein Lieferant eine betrügerische Abrechnung gestellt hatte. Im Zuge mehrerer Gespräche mit dem Lieferanten stellte sich heraus, dass Mitarbeiter des zentralen Einkaufs der Unternehmensgruppe mit dem betroffenen Lieferanten regelmäßig betrügerische Abrechnungen vorgenommen hatten. Wir wurden beauftragt, den kompletten zentralen Einkauf auf weitere Unregelmäßigkeiten hin zu überprüfen. Das beinhaltet auch die Formulierung von Verbesserungsvorschlägen an die Organisation, die Prozesse und Systeme des zentralen Einkaufs der Unternehmensgruppe, die aus 15 Einzelgesellschaften besteht.

Ergebnis:

  • Unsere Revision ergab, dass bei fünf weiteren Lieferanten in den letzten acht Jahren Abrechnungen in Millionenhöhe mit krimineller Energie falsch vorgenommen wurden. Dabei bereicherten sich leitende Angestellte im zentralen Einkauf, aber auch Lieferanten. Wir konnten im Zuge unserer Untersuchungen darüber hinaus feststellen, dass über Scheingesellschaften dubiose bzw. nicht ausgeführte Leistungen teilweise mehrfach abgerechnet werden konnten und dies zu „Mondpreisen“.

 

  • Wir haben für die Geschäftsleitung eine aussagefähige und auch gerichtsverwertbare Dokumentation der Vorgänge erarbeitet. Diese wurden, teilweise im Zusammenwirken mit Lieferanten, die selbst durch eigene leitende Angestellte betrogen wurden, den Firmenanwälten zugeführt.
  • Wir waren im Hinblick auf die Kommunikation mit der Compliance-Abteilung eines großen OEM zusätzlich beauftragt, rechtzeitig und umfassend die Vorkommnisse zu kommunizieren, damit weiterer Schaden von der mittelständischen Unternehmensgruppe abgewendet werden konnte. Die aktive und umfassende Kommunikation der Vorfälle wurde von dem OEM positiv bewertet.
  • Wir haben anschließend die Aufbau- und Ablauforganisation, die Kontrollstrukturen und das Vertragsmanagement der Unternehmensgruppe neu definiert und umgesetzt. Daneben haben wir ein durchgängig strukturiertes Kontrolldesign vorgegeben, das sowohl Mehr-Augen-Prinzip, als auch konsequente Funktionstrennungen vorsieht. In diesem Kontext konnten wir auch die im SAP-System vorgegebenen anwendungsbezogenen Kontrollen optimieren.
  • Zusammen mit dem Mandanten haben wir ein aussagefähiges, praktikables Beschaffungshandbuch formuliert, das mit einer klaren Zuteilung von Verantwortlichkeiten und Prozessbeschreibungen (verbale Beschreibungen und Flussdiagramme) sämtliche Beschaffungsprozesse beschreibt und im Intranet hinterlegt. Eine klare Unterschriftenregelung und durchgängige Limitierungen im Hinblick auf das Bestellverhalten sind darin ebenfalls enthalten und nunmehr im System abgebildet.

Kooperationen

Die interdisziplinäre Zusammenarbeit von Wirtschaftsprüfern, Ingenieuren, Certified-Internal-Auditors und Certified-Information-Systems-Auditors sowie Steuerberatern erlaubt eine umfassende und neutrale Beurteilung Ihrer Organisation und Ihrer Compliance-Risiken. So profitieren Sie von unseren Benchmarks sowie Synergieeffekten. Bei Bedarf und soweit erforderlich, kooperieren wir mit spezialisierten und renommierten Rechtsanwaltskanzleien sowie IT-Beratern. Zum Beispiel mit der Firma it.sec, die Unternehmen sowie staatliche und nicht-staatliche Institutionen in mehr als 30 Ländern in Fragen zu Informationssicherheit, Datenschutz und Compliance berät. Mehr: www.it-sec.de

 

Dr. Kathrin J. Niewiarra ist Rechtsanwältin, Attorney-at-Law (NY) und Ombudsfrau. Durch die Zusammenarbeit mit einem Netzwerk von erfahrenen Experten aus unterschiedlichsten Fakultäten (u.a. Juristen, Coaches, Psychologen, Betriebswirte, Experten der Kommunikation und Philosophen) bietet sie unter ihrer Marke bleu&orange® einen interdisziplinären und strategischen Beratungs- und Lösungsansatz für das Management von Compliance- und Reputationsrisiken. Sie ist Gründerin und Geschäftsführerin des Compliance Channel, eines Web-TV-Senders im Themenspektrum Wirtschaftsethik und Compliance. Frau Dr. Niewiarra ist Co-Leiterin des Arbeitskreises Mittelstand des DICO - Deutschen Institut für Compliance e.V.. Ihr aktuelles Buch „Balanceakt Compliance. Recht und Gesetz sind nicht genug, ein interdisziplinärer Leitfaden für Entscheider" ist bei FAZ Buch erschienen.