Das Internal Control System (im Folgenden auch Internes Kontrollsystem (IKS)) eines Unternehmens besteht aus systematisch gestalteten, technischen und organisatorischen Regelungen, Maßnahmen und Abläufen zur Überwachung und Steuerung wesentlicher Prozesskontrollen im Unternehmen. Das Kontrollsystem dient der Einhaltung von Richtlinien und der Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können.
Die Notwendigkeit für die Implementierung und Aufrechterhaltung eines IKS resultiert aus diversen rechtlichen Anforderungen bspw. aus dem Aktiengesetz oder dem HGB. Wie ein IKS auszugestalten ist, leitet sich aus den bestehenden IDW-Prüfungsstandards ab, wie bspw. der IDW PS 982 und IDW PS 951. Als Grundlage eines IKS kommen häufig Kontrollmodelle wie z. B. COSO oder COBIT zum Einsatz.
In der Finanzberichterstattung und hier insbesondere in der Lageberichterstattung nehmen zahlreiche Standards Bezug auf Interne Kontrollsysteme. Diese können dabei von Land zu Land unterschiedlich sein. Am bekanntesten sind die Vorgaben nach dem Sarbanes Oxley Act (SOX). Je nach Land greifen verschiedene Regularien:
- USA: SEC-Regularien
- Deutschland: IDW Prüfungsstandards
- Schweiz: u. a. Bestimmungen des Aktienrechts
Die Komponenten des IDW PS 982 bilden die Grundlage für ein ganzheitliches internes Kontrollsystem:
Unsere Leistungen im Bereich des Internal Control Systems sind für Sie insbesondere in folgenden Situationen relevant:
Unsere Leistungen im Bereich Internes Kontrollsystem inkl. SOX umfassen insbesondere:
Wir unterstützen Sie auch Im Bereich Control Testing durch zusätzliche Ressourcen und unser Experten-Know-how:
Wirksame allgemeine IT Kontrollen (IT General Controls oder ITGC) sind fundamentale Voraussetzung für alle IT basierten- und alle reinen IT-Prozesse. Auch wenn die ITGC die Finanzberichterstattung in der Regel nur mittelbar beeinflussen, nehmen sie eine zentrale Stellung ein. Sie sind für die technisch korrekte Umsetzung und Verfügbarkeit der im IKS relevanten Anwendungen sowie (teil-)automatisierten Kontrollen verantwortlich. Im Umkehrschluss bedeutet dies, dass nicht korrekt funktionierende IT-Kontrollen umfassenden Einfluss auf alle damit verbundenen Systeme und damit auch auf die darauf basierende Finanzberichterstattung haben.
Die ITGC betreffen grundsätzlich die Bereiche der Beschaffung, Entwicklung, Pflege von Systemen, Zugriffschutz und den operativen Betrieb. Dahingehen finden sich ITGC im Kontext von:
Benutzerberechtigungskonzepte
Benutzerberechtigungsverwaltung
Funktionstrennung von unvereinbaren Funktionen
Zugriffschutzverfahren
Program-Change-Management Verfahren
Verfahren im Rahmen von operativen IT Prozessen
Unsere Leistungen im Bereich IT General Controls umfassen insbesondere:
Unter Funktionstrennung (englisch: Segregation of Duties, SoD) versteht man in der funktionalen Organisation die organisatorische Trennung zwischen Organisationseinheiten oder Positionen im Geschäftsprozess zur Vermeidung von möglichen Interessenkollisionen. Das Vier-Augen-Prinzip ist das wohl bekannteste Prinzip der Funktionstrennung. Es soll verhindern, dass wichtige Entscheidungen von einer einzelnen Person getroffen oder kritische Tätigkeiten nicht nur von einer einzelnen Person durchgeführt werden. Weitere funktionale Trennungen gibt es zwischen Frontoffice und Backoffice bei Kreditinstituten oder zwischen Datenerfassung und Datenfreigabe im Rahmen von IT-Systemen wie beispielsweise SAP.
Insbesondere bei Kreditinstituten und bei Kapitalverwaltungsgesellschaften ist die Funktionstrennung gesetzlich vorgeschrieben. Bei Kreditinstituten muss eine Trennung zwischen Markt und Marktfolge durchgeführt werden (§ 25a Abs. 1 KWG gemäß BTO 1.1 Tz. 1 MaRisk). Auch Kapitalverwaltungsgesellschaften haben nach § 29 Abs. 1 KAGB eine Funktion zum dauerhaften Risikocontrolling einzurichten und aufrechtzuerhalten, die von den operativen Bereichen hierarchisch und funktionell unabhängig ist.
Unsere Leistungen im Bereich Funktionstrennung (Segregation of Duties) sind für Sie insbesondere in folgenden Situationen relevant:
Unsere Leistungen im Bereich Funktionstrennung (Segregation of Duties) umfassen insbesondere:
Bei Interesse und für Fragen stehen wir Ihnen gerne zur Verfügung.
Ihr Kontakt zu uns
Sie haben Fragen zu unseren Services oder der WTS Advisory? Wir freuen uns auf Ihre Nachricht oder Ihren Anruf!