Ein hoher Grad an Vernetzung erfordert den Blick für das Ganze
Digitalisierung – kaum ein Schlagwort fasst so verschiedene Aspekte zusammen. Unter anderem deshalb, weil Digitalisierung wegen der unterschiedlichen Einsatzgebiete und -wünsche individuell geprägt ist. Begriffe wie Predictive Analytics (vorausschauende Datenanalyse), Big Data und das Internet der Dinge stehen für die verschiedenen Facetten der Digitalisierung. Unternehmen, die sich den Herausforderungen der Digitalisierung erfolgreich stellen, schaffen einen echten Wettbewerbsvorteil und eine tragfähige Zukunftsorientierung. Unsere Spezialisten bieten Ihnen ein umfassendes und aufeinander abgestimmtes Leistungspaket. Damit stärken Sie Ihr Vertrauen in digitalisierte Prozesse und legen den Grundstein für effiziente und sichere Digitalisierungsinitiativen.
Wir für Sie im Bereich Digitalisierung und Compliance:
(IDW PS 951)
Outsourcing Standard ISAE 3402
(IDW PS 951)
Im Zuge ihrer Outsourcing- und Digitalisierungsstrategie lagern Unternehmen vermehrt Geschäftsprozesse und betriebliche Funktionen aus, um Organisationsstrukturen zu verschlanken, Kosten zu sparen und die internationale Wettbewerbsfähigkeit zu stärken. Typische Beispiele sind die Auslagerung des IT-Betriebs und der ERP-Applikationsbetreuung sowie diverser Bereiche der Abrechnungsprozesse und Cloud Services.
Wir bieten Prüfungen nach ISAE 3402 und IDW PS 951 an und beurteilen die Integrität und Wirksamkeit von internen Kontrollsystemen mithilfe langjähriger Erfahrung im kundenindividuellen Aufbau von Compliance-Bescheinigungen und IT-Prüfungen im international regulatorischen Umfeld.
Internes Kontrollsystem (IKS)
Ein wirksames Internes Kontrollsystem (IKS) ist der Grundstein für die Prozessrisiken-Kontrolle und erfordert diverse handels- und steuerrechtliche Vorgaben. Dabei ist die Umsetzung eines elektronischen IKS mittels Customizing und Berechtigungsvergabe in ERP-Systemen eine komplexe Aufgabe, da sie betriebswirtschaftliches, rechtliches und technisches Wissen erfordert.
Wir bieten Ihnen eine neutrale Verifizierung und Reflexion der gewachsenen Abläufe und Strukturen und begleiten Sie unabhängig und unter Anwendung der qualitätssichernden Berufsstandards – von der Erstaufnahme des elektronischen IKS über die Analyse bis zu konkreten Umsetzungsempfehlungen.
IT-Sicherheitsmanagement
Die Zuverlässigkeit komplexer IT-Systeme und die zahlreichen rechtlichen und vertraglichen Anforderungen an IT-Sicherheit lassen sich mit isolierten Maßnahmen nicht erfüllen. Mit erfahrenen Beratern und zugelassenen Auditoren unterstützen wir Sie bei Zuschnitt, Aufbau und Aufrechterhaltung ihres IT-Sicherheitsmanagementsystems (ISMS). Eine genaue Kenntnis der Risiken ist wichtig, um angemessene Gegenmaßnahmen ergreifen zu können. Wir führen Risikoanalysen zur Informationssicherheit durch und prüfen IT-Sicherheitskonzepte und IT-Kontrollsysteme.
Cyber Risk Management
Durch die konsequente Vernetzung von Abläufen, auch über Unternehmensgrenzen hinweg, bilden die Risiken des Cyberraums Wirkungsketten mit zum Teil erheblichen Haftungs- und Schadenspotenzialen. Wir analysieren und bewerten Ihre IT-Sicherheitsarchitektur, IT-Technik und IT-Strategie unabhängig und nach objektiven Kriterien und zeigen Verbesserungsmöglichkeiten auf. Dies ist neben der Eigenvorsorge ein wichtiger Schritt zum Risikotransfer durch Cyberversicherungen und erhöht die Datensicherheit in den IT-Prozessen.
Compliance-Bescheinigungen
Wir helfen unseren Mandanten, folgende Qualitätsnachweise am Markt zu erbringen:
- Prüfbescheinigung von Standard-Software-Produkten nach IDW PS 880: Entscheidungskriterium bei der Auswahl einer rechnungslegungsrelevanten Software von potenziellen Anwendern
- Prüfung von Dokumenten-Managementsystemen und revisionssicheren Archivierungslösungen nach GoBD, IDW FAIT 1 und 3 sowie IDW PS 880
- ISAE 3402, IDW PS 951, SOC Reporting: Qualitätskriterien für Dienstleister (Prozessauslagerungen, IT-Hosting und Cloud Services), die die Funktionsfähigkeit sowie die Effektivität des Internen Kontrollsystems bescheinigen
- ISAE 3000: Neben handels- und steuerrechtlichen Anforderungen können so auch weitere nationale und internationale Anforderungen abgedeckt werden.
IT-Projekt-Compliance
IT-bezogene Projekte mit tiefgreifenden Auswirkungen auf Systeme, Prozesse und Organisationen sind komplex und teuer. Das Risiko-Management im Projekt ist ein sinnvolles Instrument, um den wirtschaftlichen Projekterfolg zu erhöhen und die unternehmenseigenen Ziele sicherzustellen. Mit unserem umfangreichen IT- und Prozessverständnis können wir typische Risiken eines Projekts bereits frühzeitig erkennen – und diesen auch rechtzeitig entgegensteuern, sodass unnötige Folgekosten vermieden werden.
Darüber hinaus kann eine ordnungsmäßige und revisionssichere Implementierung der neuen Systemumgebung sowie der dazu notwendigen Migrations- und Prozessmodellierung bereits im laufenden Projekt gewährleistet und nach Abschluss schriftlich bestätigt werden.
GoBD Compliance
Mit den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) hat das Bundesministerium der Finanzen seine Anforderungen an steuerrelevante IT-gestützte Betriebsabläufe formuliert. Die Regeln müssen nach Vorschrift umgesetzt werden. Um bei späteren Betriebsprüfungen auf der sicheren Seite zu sein, führen wir GoBD-Compliance-Checks durch. Mit unserer qualifizierten Analyse und Prüfung der rechtskonformen, ordnungsgemäßen und sicheren Gestaltung von Archivierungsprozessen begleiten wir Unternehmen darüber hinaus bei der Konzeption und Einführung von zukunftsgerechten und revisionssicheren Archivierungslösungen.
Datenschutz-Management (DSGVO)
Datenschutzrechtliche Anforderungen an Unternehmen aller Größenordnungen finden sich nicht nur im Bundesdatenschutzgesetz und in der seit 2018 geltenden EU-Datenschutz-Grundverordnung (EU-DSGVO). Die Nichteinhaltung kann zu Bußgeldern in Millionenhöhe führen. Ein auf die Betriebsgröße zugeschnittenes Datenschutz-Managementsystem (DSMS) kennt und erfüllt diese Anforderungen, weist Sorgfalt nach und mindert Haftungsrisiken. Mit unserer langjährigen Projekterfahrung und zertifizierten Datenschutzexpertise bauen wir Ihr DSMS auf und stellen auf Wunsch den Konzerndatenschutzbeauftragten bzw. unterstützen diesen bei seinen Aufgaben.
Digitale Agenda
Zur Umsetzung Ihrer Digitalisierungsstrategie bieten wir das Coaching von digitalen Transformationsprojekten sowie System- und Verfahrensprüfungen zur Bescheinigung der Revisionssicherheit mit Einhaltung der deutschen Steuergesetzgebung und handelsrechtlichen Anforderungen an.
Wir unterstützen Sie in folgenden Bereichen:
- Umsetzung papierloser Prozesse
- Einführung von Workflowsystemen und digitaler Aktenführung
- ECM-Strategie und Umsetzungsplanung
- Cloud-Archivierung
- Erstellung von IKS-Verfahrensdokumentationen
- GoBD-Health-Checks
- Archivierungskonzepte bei Systemstilllegungen und Systemwechsel
- Beratung bei digitalen Themenstellungen und Technologien
- IT-Compliance-Managementsysteme (CMS)
IT-Prüfung im Jahresabschluss
Die Erzeugung handels- und steuerrechtlich relevanter Abschlussinformationen ist heutzutage ausschließlich mit IT-gestützten Buchführungssystemen realisierbar. Um die Vollständigkeit und Richtigkeit der Datenherkunft und des Zahlenwerks zu bestätigen, untersuchen unsere erfahrenen IT-Prüfer die ERP-Systeme und Datenquellen Ihres Abschlusses effizient und stellen die Ergebnisse aussagefähig zusammen. Im Rahmen unserer IT-Audits stellen wir sicher, dass Ihre IT-Systeme ordnungsgemäß arbeiten und verlässliche Daten generieren.
Interne Revision
Die Anforderungen an die Interne Revision sind gestiegen: Sie hat sich von einer Kontrollinstanz zu einer Unterstützungs- und Beratungsdienstleistung entwickelt. Deshalb entscheiden sich immer mehr Unternehmen für die Einführung dieser Funktion. Jedoch reichen die internen Ressourcen und das IT-Fachwissen nicht immer aus.
Wir unterstützen als Expertise „von außen“ bei allen Fragestellungen rund um die Organisation und Erbringung interner Revisionsleistungen.
Data Science
Datenanalysen sind das universelle Werkzeug, um aus konturlosen Massendaten entscheidungsrelevantes Wissen zu destillieren. Sie sind traditionell mit prüferischen Fragen verbunden, lassen sich aber ebenso gut auf betriebswirtschaftliche Sachverhalte wie Zahlungs- und Kaufverhalten und in vielen weiteren Einsatzszenarien anwenden. Unser Kompetenzzentrum „Datenextraktion & Datenanalyse“ unterstützt unsere Abschlussprüfer und unsere Mandanten dabei, die richtigen Schlüsse aus dem Produktionsfaktor „Daten“ zu ziehen.
Outsourcing Standard
nach ISAE 3402 (IDW PS 951)
Interessantes aus dem Arbeitsalltag unserer Spezialisten:
Kein Anspruch auf Löschung gesetzlich nicht zwingender Registerdaten
Das Oberlandesgericht München entschied am 25.4.2024, dass kein Anspruch auf Austausch einer Gesellschafterliste besteht, die nicht zwingend erforderliche Daten enthält. Auch wenn die Datenschutz-Grundverordnung Bürgern weitreichende Rechte im Hinblick auf den Schutz ihrer personenbezogenen Daten einräumt, sind Änderungen von Gesellschafterlisten aufgrund von Datenschutzbedenken ohne entsprechende rechtliche Grundlage nicht möglich.
Künstliche Intelligenz – Chancen und Wettbewerbsvorteile für kleine und mittlere Unternehmen
Die Digitalisierung schreitet voran und insbesondere kleine und mittlere Unternehmen stehen vor der Herausforderung, sich durch technologische Innovationen zu behaupten. Die aktuelle „Bitkom Digitalisierungsstudie 2024“ zeigt, dass der Einsatz von künstlicher Intelligenz für kleine und mittlere Unternehmen erhebliche Vorteile bieten kann, von Effizienzsteigerungen bis hin zu Innovationsförderung.
Anforderungen an Lieferketten im Rahmen der NIS-2-Richtlinie
Die zunehmende Digitalisierung von Lieferketten in den kommenden Jahren bringt auch eine verstärkte Anforderung an Cybersicherheit mit sich, sodass durch das Lieferkettengesetz und die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union (sog. NIS-2-Richtlinie) weitere Vorgaben zur Überwachung der Lieferkettensicherheit definiert wurden, deren Umsetzung seitens betroffener Unternehmen zukünftig nachgewiesen werden muss.
Umsetzung der NIS-2-Richtlinie
Die in der Europäischen Union beschlossene NIS-2-Richtlinie wird aktuell in deutsches Recht überführt und soll bis Oktober 2024 in Kraft treten. Nach Schätzungen des Bundesinnenministeriums werden mehr als 29.000 Unternehmen in Deutschland von NIS 2 betroffen sein. Für die Geschäftsleitung der betroffenen Unternehmen werden strengere Haftungsregeln gelten; bei Verstößen drohen hohe Bußgelder.
Anleitung zum Aufbau eines Business Continuity Managements
Der modernisierte BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um im eigenen Unternehmen ein Business-Continuity-Management System aufzubauen und zu etablieren.
Chancen und Risiken von KI-Sprachmodellen
Das Bundesamt für Sicherheit in der Informationstechnik hat ein Positionspapier zu KI-Sprachmodellen veröffentlicht – Große KI-Sprachmodelle – Chancen und Risiken für Industrie und Behörden (bund.de) –, das die Chancen, Herausforderungen und Sicherheitsaspekte dieser Technologie beleuchtet.
Neuer Entwurf der NIS-Richtlinie für Cybersicherheit
Das Bundesinnenministerium hat einen neuen Gesetzentwurf zur Umsetzung der Richtlinie über die Sicherheit von Netzwerk- und Informationssystemen (sog. NIS-Richtlinie) vorgelegt. Der Gesetzentwurf bringt bedeutende Veränderungen für Unternehmen und ihre Führungskräfte mit sich. Im Fokus des neuen Gesetzes steht die verstärkte Einbindung von Managern und Geschäftsführern in die Verantwortung für das IT-Risikomanagement und die Cybersicherheit ihrer Unternehmen.
CBAM: Carbon Border Adjustment Mechanism: Import von bestimmten Produkten wird mit CO2-Preis belegt
Große Teile der deutschen Industrie werden durch den CBAM betroffen sein, vor allem Importeure von Eisen, Stahl, Zement, Aluminium, Elektrizität, Düngemittel und Wasserstoff. Dies gilt auch für einige vor- und nachgelagerte Produkte – in reiner oder verarbeiteter Form.
Neue Transparenzregisterpflichten für Rechtseinheiten mit Sitz im Ausland
Aufgrund einer Gesetzesänderung können auch ausländische Gesellschaften, die im Inland Immobilien besitzen oder an immobilienbesitzenden Gesellschaften beteiligt sind, erstmalig transparenzpflichtig werden.
Abberufung und Kündigung von Datenschutzbeauftragten
Nach dem deutschen Datenschutzrecht dürfen interne Datenschutzbeauftragte nur aus wichtigem Grund abberufen werden. Der Europäische Gerichtshof hat am 9.2.2023 klargestellt, dass dies europarechtskonform ist.
Schutz personenbezogener Daten im digitalen Handelsregister
Nach einer Entscheidung des Oberlandesgerichts Celle vom 24.2.2023 müssen Geschäftsführer grundsätzlich hinnehmen, dass ihre Daten im Handelsregister öffentlich einsehbar sind. Um die personenbezogenen Daten besser zu schützen, hat das Bundesjustizministerium die Handelsregisterverordnung angepasst. Die Änderungen sind am 23.12.2022 in Kraft getreten.
Cybersicherheit für kleine und mittlere Unternehmen
Kleine und mittlere Unternehmen sind einem erhöhten Risiko ausgesetzt, Opfer von Cybersicherheitsvorfällen zu werden. Oft verfügen sie nicht über die Ressourcen, um sich vor den wachsenden Bedrohungen zu schützen.
ISO/IEC 27001:2022 - Was ist neu?
Seit mehr als zwei Jahrzehnten ist die Norm ISO 27001 eine etablierte Prüfgrundlage von Informationsmanagementsystemen. Die neue ISO/IEC 27001:2022 legt ihren Fokus auf Prozessorientierung beim Management der Informationssicherheit, der Cybersicherheit und des Datenschutzes. Die Änderungen repräsentieren überfällige Anpassungen an das wachsende Verständnis von Informationssicherheit.
Regierungsentwurf zur Whistleblower-Richtlinie
Mit dem Entwurf des Hinweisgeberschutzgesetzes vom 19.9.2022 soll die europäische Whistleblower-Richtlinie in nationales Recht umgesetzt werden. Ziel des Gesetzes ist es, den bislang lückenhaften Schutz hinweisgebender Personen zu verbessern.
Bestätigung der Sicherheitseigenschaften von iPhone und iPad
Die Verwendung von Smartphones und Tablets sind zentrale Elemente der Digitalisierung. Den Sicherheitseigenschaften dieser Produkte kommt daher eine besondere Bedeutung für einen sicheren digitalen Alltag zu. Das Bundesamt für Sicherheit in der Informationstechnik bestätigt die Sicherheitseigenschaften von iPhone und iPad.
Aufbau und Prüfung einer GoBD-Verfahrensdokumentation
Der Trend zur Digitalisierung von Geschäftsprozessen ist ungebrochen. Dies betrifft vor allem die Einführung von Verfahren zur Digitalisierung von Belegen und Arbeitsabläufen sowie zur Belegarchivierung mit dem Ziel, eingehende Papierbelege vernichten zu können. Vor diesem Hintergrund erarbeitete das Institut der Wirtschaftsprüfer einen Prüfungshinweis, um der ständig wachsenden Nachfrage nach Compliance-Prüfungen zu Beurteilung der Einhaltung der Vorgaben des Bundesfinanzministerium zu den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (kurz: GoBD) gerecht zu werden.
Pflicht des Geschäftsführers zur Einrichtung einer Compliance-Struktur
Das Oberlandesgericht Nürnberg entschied am 30.3.2022, dass Geschäftsführer innerhalb des Unternehmens eine Organisationsstruktur zur Überwachung des rechtmäßigen Handelns des Unternehmens schaffen müssen.
Notfallmanagement mit der Cloud
In der Studie "Notfallmanagement mit der Cloud" wird für kleine und mittlere Unternehmen dargestellt, wie sie Virtualisierungs- und Cloud-Techniken verwenden können, um ihre IT-gestützten Geschäftsprozesse gegen Ausfall abzusichern.
Gesetz zur dauerhaften Einführung von virtuellen Hauptversammlungen
Die Möglichkeit von virtuellen Hauptversammlungen für Aktiengesellschaften wurde während der Corona-Pandemie als vorübergehende Besonderheit geregelt. Nach dem Auslaufen dieser Sonderregelungen am 31.8.2022 wird eine Möglichkeit zu rein virtuellen Versammlungen als Dauerregelung geschaffen. Dabei gilt der Grundsatz, dass sämtliche Rechte, die von Aktionären in einer Präsenzversammlung wahrgenommen werden können, auch eine äquivalente elektronische Variante besitzen müssen.
Ende der Übergangsfrist für Registrierkassen
Alte Registrierkassen ohne technische Sicherheitseinrichtung müssen bis zum Ende des Jahres 2022 ausgetauscht werden, damit die Anforderungen aus der Abgabenordnung und der Kassensicherungsverordnung erfüllt werden.
Qualitätssicherung bei der Einführung von ERP-Systemen
Die Einführungen von neuen Enterprise-Resource-Planning-Systemen, wie z.B. SAP S/4HANA, verursachen erhebliche Risiken. Die Projektleitung muss sicherstellen, dass die (Daten-) Übernahmen oder Konvertierungen vollständig, richtig, zeitgerecht, sicher und nachvollziehbar erfolgen.
Digitale Gesellschafterversammlungen 2022
Die provisorischen Regelungen aus dem Jahr 2021 zu digitalen Haupt-, Gesellschafter- und Genossenschaftsversammlungen gelten vorerst nur bis zum 31.8.2022. Der Gesetzgeber plant jedoch, dauerhafte Regelungen einzuführen.Reaktionsmaßnahmen nach Ransomware-Angriffen
Als Ransomware werden verbrecherisch in IT-Systeme eingeschleuste Schadprogramme bezeichnet, mit der EDV-Systeme gesperrt oder Daten verschlüsselt werden. Die Freigabe dieser Ressourcen erfolgt nur gegen Zahlung von Lösegeld.Kritische Bedrohungslage für Unternehmen durch zunehmende Cyberangriffe
Die Bedrohung durch Cyberangriffe ist in Deutschland deutlich gewachsen. Das geht aus dem Lagebericht 2021 des Bundesamts für Sicherheit in der Informationstechnik hervor. Darin wird die aktuelle Situation als "angespannt bis kritisch" eingeschätzt.Digitale Ersthelfer – das Cyber-Sicherheitsnetzwerk
Das Bundesamt für Sicherheit in der Informationstechnik hat das Konzept eines dezentralen Unterstützungsnetzwerks als Anlaufstelle für Hilfesuchende bei Cyberangriffen entworfen - das Cyber-Sicherheitsnetzwerk.Verschärfte Meldepflichten zum Transparenzregister
Ab dem 01. August 2021 wurde die bußgeldbewehrte Meldepflicht zum Transparenzregister auf sämtliche Gesellschaften ausgeweitet. Denjenigen, die bisher von einer Meldefiktion profitieren, bleibt eine von der Gesellschaftsform abhängige Übergangsfrist.Cloud-Management – Erfahrungen aus einem Cloud-Brand
Ein Großbrand in einem Rechenzentrum zeigt: Die Verantwortung für die Sicherung der Daten liegt nicht nur beim Provider, sondern auch beim auslagernden Unternehmen.
ISAE 3402: Empfohlene Kontrollerweiterungen bei Cloud Computing
Der Kriterienkatalog C5 des Bundesamt für Sicherheit in der Informationstechnik (BSI) spezifiziert Mindestanforderungen an ein sicheres Cloud Computing. Hierzu empfiehlt es sich, diese Anforderungen in einen bestehenden ISAE 3402 Report als weitere Kontrollziele zu ergänzen und prüfen zu lassen. Ziel ist die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung.
Leitfaden zur Beurteilung der Cyber-Sicherheit
Das Bundesamt für Sicherheit in der Informationstechnik stellt Unternehmen einen Leitfaden zur Überprüfung der Cyber-Sicherheit zur Verfügung.
Neue Regelungen zur virtuellen Hauptversammlung
Die Durchführung von virtuellen Hauptversammlungen wurde gesetzlich geregelt. Den Aktionären wird ein Fragerecht eingeräumt.
Pflicht zur Erstellung und Einreichung von E-Rechnungen bei Behörden der Bundesverwaltung
Seit dem 27. November 2020 ist sie Pflicht - die E-Rechnung. Die Akzeptanz der analogen Papierrechnung nimmt ab. Jeden Tag verpflichten immer mehr Unternehmen ihre Lieferanten zu elektronischen Rechnungen mit strukturierten Daten.
Notfallmanagement zur Stärkung der Resilienz von Unternehmen
Ziel eines Notfallmanagements ist die Sicherstellung von Geschäftsprozessen unter Krisenbedingungen. Die ISO-Norm 22301 definiert Anforderungen an ein betriebliches Kontinuitätsmanagement.
ZUGFeRD Version 2.1 für den elektronischen Rechnungsaustausch
Seit dem 24.3.2020 steht das ZUGFeRD-Datenformat in der neuen Version 2.1 zur Verfügung. Dieses Datenformat dient Unternehmen bei der elektronischen Rechnungsstellung an Behörden, Unternehmen und Verbraucher.