Risk & Compliance

Die Steuerung und Überwachung von Risiken sowie das Management von Compliance-Funktionen werden für Unternehmen immer wichtiger. Die Auslagerung von wichtigen Geschäftsprozessen und die Überwachung von Dienstleistern rücken zunehmend in den Fokus. Steigende Transparenz- und Dokumentationspflichten sowie die Digitalisierung der Geschäftswelt stellen Unternehmen vor wachsende Herausforderungen. Auch von rechtlicher Seite kommen stets neue Anforderungen wie die EU-Datenschutz-Grundverordnung (EU-DSGVO) oder steuerliche Aspekte wie Tax Compliance Management Systeme.

Unsere Top Risk Themen für Sie:

  • Überwachung und Prüfung von Dienstleistern nach ISAE 3402 und IDW PS 951
  • Cyber Security als echtes Business Risk
  • Tax Compliance Management Systeme (Tax CMS)
  • EU-Datenschutzgrundverordnung (EU-DSGVO)

Ganz gleich, welchen Reifegrad Ihr Unternehmen bei diesen Themen aufweist: Mit unserer Unterstützung begegnen Sie den neuen Risiken und wachsenden Compliance-Anforderungen effizient und sicher.

Unsere Risiken haben wir nur gemeinsam im Griff

Outsourcing

Unternehmen müssen heute flexibel agieren können und sich schnell auf neue Situationen mit ihren Geschäftspartnern einstellen. Aus diesem Grund lagern sie wichtige Funktionen und Geschäftsprozesse auf Dienstleister aus, die sich spezialisiert haben und ihre Leistungen kostensparend und effizient anbieten. Neben klassischen Dienstleistungen wie Lohnbuchhaltung, Zentralregulierung oder Logistik gewinnen digitale Dienstleistungen z.B. über Cloud Computing (siehe rechts) an Bedeutung.

Die Unternehmen übertragen mit einer Auslagerung einen Teil ihrer Kontrolle, ohne jedoch die Verantwortung für die Ordnungsmäßigkeit und die Sicherheit der ausgelagerten Abläufe abgeben zu können. Für diese Unternehmen ist es deshalb sehr wichtig, dem Dienstleister vertrauen zu können. Und Vertrauen kann nur mit einem hohen Maß an Transparenz gewonnen und erhalten werden.

Arten des Cloud Computing

Bereitstellung von Rechnerinfrastruktur, meist in einem dedizierten Rechenzentrum. Bietet eine hohe Skalierbarkeit, denn weiterer Bedarf an Speicherkapazität oder Rechenleistung kann schnell bereitgestellt werden. Vom Dienstleister bereitzustellen sind insbesondere ausreichende physische Schutzmaßnahmen, eine Notfallkonzeption, Datensicherungsmaßnahmen und ein Change Management.

Bereitstellung von Software. Der Zugriff und die Nutzung erfolgen über das Internet. Vorteil für das Unternehmen ist, dass keine eigene IT-Infrastruktur benötigt wird. Allerdings hat das Unternehmen dadurch weniger Einfluss. Zu regeln ist der Aufbewahrungsort der Daten. Wichtig sind außerdem aufeinander abgestimmte Schnittstellen, eine ordnungsmäßige Parametrisierung der Software und ein funktionierendes User- und Accessmanagement.

Bereitstellung einer Plattform für die Entwicklung oder den Betrieb von selbstentwickelten Anwendungen. Eine solche Umgebung stellt die notwendige Hard- und Software bereit und bietet neben dem Produktivsystem auch Entwicklungs- und Testumgebungen zur Umsetzung des gesamten Software Development Life Cycles (SDLC). Wichtig sind hier ein ausreichendes Change Management, eine starke Berechtigungskonzeption und eine Mandantenfähigkeit.

„Everything as a Service“ ist der Sammelbegriff für alle Dienste, die digital bereitgestellt werden können. Auch die drei bereits genannten Services gehören dazu. Es gibt aber immer feinere Abstufungen in diesem Bereich. Die bedeutendsten sind wohl „Security as a Service“ (SecaaS), bei dem Sicherheitskomponenten wie eine Firewall oder ein Intrusion Detection System über die Cloud genutzt werden können, oder „Compliance as a Service“, bei dem die Einhaltung von rechtlichen Vorgaben durch die Dienstleistung unterstützt oder überwacht wird.

Unsere Stärken

Die Experten der Crowe Kleeberg IT Audit betreuen Dienstleister aus den Bereichen

  • Rechenzentrumsbetrieb
  • SAP Basis und Hosting
  • Managed Services
  • Mobile Payment
  • Zentralregulierung
  • Abrechnungsprozesse
  • Dokumentenmanagement
  • Geld- und Wertdienste
  • Immobilienmanagement

Wir unterstützen auch Sie tatkräftig bei der Umsetzung Ihres ISAE 3402- oder IDW PS 951-Projekts. Starten sollten wir mit einem Workshop, in dem wir die rechtlichen Anforderungen bestimmen, das Gerüst für ein internes Kontrollsystem erstellen und Sie so fit für das Audit machen.

Nehmen Sie Kontakt zu uns auf und lassen Sie sich ein Angebot erstellen.





Dienstleister-Reporting nach ISAE 3402 oder IDW PS 951

Um den Nachweis erbringen zu können, dass ihre Dienstleistung in einer fortlaufend hohen Qualität erbracht wird, können sich Dienstleister einem Audit unterziehen, dem sogenannten Dienstleister-Reporting, besser bekannt unter den Begriffen ISAE 3402 oder IDW PS 951. Diese Prüfung nimmt das interne Kontrollsystem des Dienstleisters unter die Lupe. Die darin dokumentierten Maßnahmen und Kontrollen sollen die wesentlichen Risiken, die eine Auswirkung auf den ausgelagerten Geschäftsprozess haben, beherrschbar machen.

Ein Audit beantwortet die folgenden Fragestellungen:

  • Basiert das interne Kontrollsystem des Dienstleisters auf geeigneten rechtlichen und branchenspezifischen Vorgaben? Dies können z. B. sein:
    • GoB (Grundsätze ordnungsmäßiger Buchführung)
    • GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff),
    • ISO 27001 (Informationssicherheits-Managementsysteme)
    • COBIT (Framework zur IT-Governance)
    • MaRisk (Mindestanforderungen an das Risikomanagement)
    • PCI-DSS (Regelwerk für die Kreditkartenzahlungen) sein.
  • Ist die Beschreibung des internen Kontrollsystems beim Dienstleister sachgerecht und verständlich dargestellt?
  • Sind die beschriebenen Kontrollen angemessen und auch tatsächlich eingerichtet?
  • Sind die beschriebenen Kontrollen auch über einen gewissen Zeitraum wirksam gewesen? (Diese Fragestellung wird nur bei einem Audit nach Typ 2 beantwortet.)

Die Berichterstattung liefert die erforderliche Transparenz für das auslagernde Unternehmen und die Gewissheit, dass der Dienstleister seine Risiken im Griff hat. Das Audit nach ISAE 3402 bzw. IDW PS 951 ist aber mittlerweile auch zu einem wesentlichen Erfordernis bei Auswahlverfahren geworden. Viele Unternehmen verlangen ein solches Audit in regelmäßigen Abständen. Für den Dienstleister ist es damit auch ein wichtiges Marketinginstrument.

Buchtipp

Im April 2018 ist in der Reihe „Praxistipps IT“ des IDW-Verlags das Werk „Jahresabschlussprüfung bei Outsourcing und Cloud-Computing“ erschienen, an dem Martin Lamm, Geschäftsführer der Crowe Kleeberg IT Audit, als Autor mitgewirkt hat. Das Werk bietet einen umfassenden Einblick in die Vorgehensweise bei einer Abschlussprüfung, wenn wesentliche Funktionen und Prozesse auf einen Dienstleister ausgelagert wurden. Es veranschaulicht typische Anwendungsfälle mit praxisrelevanten Beispielen, die auch für Dienstleister einen hohen Nutzen stiften.

→ Hier können Sie das Buch bestellen

Risiken lauern überall

Prozent

der Unternehmen sind vermutlich
Opfer eines Angriffs.
61% sind es auf jeden Fall.

(„Live Security Studie 2017/2018“ der Bitkom Research GmbH)

Cyber Security

Die zunehmende Öffnung der IT-Systeme durch Schnittstellen, elektronische Kommunikation und Outsourcing wird von Geschäftspartnern vermehrt vorausgesetzt. Experten prognostizieren einen exponentiellen Anstieg der Anzahl von vernetzten Geräten und Systemen auf 25 Milliarden bis 2021. Weil jedes IT-System Sicherheitslücken aufweisen kann, steigt auch das Risiko von Datenklau, Verschlüsselung und Sabotage durch Cyberkriminelle.

Cyber Security erfordert deshalb einen ganzheitlichen Ansatz im Unternehmen. Längst entstehen Bedrohungen nicht nur auf der technischen Ebene. Und sie betreffen nicht nur die IT-Abteilung. Cyber Security ist ein globales Unternehmensrisiko, das in allen Unternehmensbereichen, in allen Abteilungen und zu jeder Zeit präsent ist. Es ist die Aufgabe der Unternehmensführung, den Ton vorzugeben.

Ein Cyber Security Assessment bringt Sicherheit

Jedes IT-System muss individuell bewertet und geschützt werden. Ein Cyber Security Assessment durch die Crowe Kleeberg IT Audit analysiert in Ihrem Unternehmen die aktuelle IT-Situation und zeigt in insgesamt 13 Domains Schwachstellen auf (siehe rechts). Anhand des ermittelten Reifegrads erfolgt ein Abgleich mit dem Sollkonzept. Die Erkenntnisse daraus bilden die Grundlage für Handlungsempfehlungen.

Unsere Security- und Risk-Spezialisten sind unabhängige Experten auf ihrem Gebiet und gehen mit höchster Sensibilität und Professionalität vor. Wir nehmen Ihre Sicherheitsbedenken ernst und suchen gemeinsam nach den besten Lösungen.

Nach unserem Assessment können Entscheidungsträger das IT-Sicherheitsmanagement besser an den Geschäftszielen ausrichten. Die IT-Sicherheit wird insgesamt flexibler, skalierbarer und leistungsfähiger. Ziel ist es, dass Bedrohungen erkannt und gemanagt werden, bevor etwas passiert.

13 Domains

Das Cyber Security Assessment durch die Experten der Crowe Kleeberg IT Audit deckt die folgenden 13 Domains ab:

  • Strategie
  • IT-Architektur
  • Governance & Compliance
  • Richtlinien
  • Bewusstsein
  • Asset Management
  • Risikomanagement
  • Third Party Management
  • Datenschutz
  • Identity & Access Management
  • Host & Network Security
  • Software Security
  • Incident und Business Continuity

Steuerlich müssen wir auf der sicheren Seite stehen

Tax Compliance

Unternehmen haben die Chance, einen möglichen Vorwurf des Vorsatzes oder der Leichtfertigkeit bei der Verletzung ihrer steuerlichen Pflichten zu entkräften, wenn sie ein sogenanntes innerbetriebliches Kontrollsystem (internes Kontrollsystem) eingerichtet haben. Dazu sind steuerliche Risiken zu identifizieren und geeignete, bei Bedarf auch IT-gestützte Maßnahmen zur Steuerung zu implementieren. Ziel aus Sicht des Gesetzgebers ist die Einreichung fristgerechter und richtiger Steuererklärungen und die Erfüllung der übrigen steuerlichen Pflichten.

Für die Unternehmen ist ein internes Kontrollsystem (IKS) – man verwendet in diesem Zusammenhang auch den Begriff Tax Compliance Management System (Tax CMS) – ist ein unabdingbares Instrument, um steuerliche Risiken zu steuern. Ein Tax Compliance Management-Projekt darf aber nicht nur aus dem Blickwinkel der Finanzverwaltung gesehen werden. Schließlich soll es auch einen Mehrwert für das Unternehmen bringen. Ein großer Treiber für ein funktionierendes Steuer-IKS ist deshalb auch die Steueroptimierung aus Sicht des Unternehmens und das Erreichen dieses Ziels durch einen hohen Standardisierungs- und Automatisierungsgrad.

Ihre Chance

„Hat der Steuerpflichtige ein innerbetriebliches Kontrollsystem eingerichtet, das der Erfüllung der steuerlichen Pflichten dient, kann dies ggf. ein Indiz darstellen, das gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit sprechen kann, jedoch befreit dies nicht von einer Prüfung des jeweiligen Einzelfalls.“ (siehe → Anwendungserlass zu § 153 AO, Tz. 2.6)

Bestandteile eines Tax CMS

Die Kultur im Rahmen eines Tax Compliance Management Systems bildet den Rahmen für die Grundeinstellung und die Verhaltensweisen aller beteiligten Personen im Unternehmen. Es geht um die einzelnen Mitarbeiter und deren Qualifikation, ihr regelkonformes Verhalten und ihre Zusammenarbeit und Kommunikation mit der Geschäftsleitung, Vorgesetzten und Kollegen.

Für die Identifikation von Risiken und die Einrichtung von geeigneten Maßnahmen sind die Ziele in einem Tax Compliance Management System der ausschlaggebende Faktor. Ziele leiten sich grundsätzlich aus den gesetzlichen Anforderungen, hier in erster Linie aus der Abgabenordnung, ab. Für ein wirksames Tax CMS ist es aber entscheidend, dass diese Ziele aufeinander abgestimmt sind und noch weitere branchenspezifische und unternehmensindividuelle Ziele einbezogen werden.

Ein starkes Tax Compliance Management System braucht eine starke Organisation. Über die Aufbauorganisation sind Rollen und Verantwortlichkeiten sowie die Verteilung der Aufgaben zu regeln. Für eine effiziente Ablauforganisation sind Regeln zu definieren. Gerade der Steuerabteilung kommt eine zentrale Bedeutung zu, da sie oftmals nur als empfangende Stelle betrachtet wird. Wichtig ist aber, dass eine Steuerabteilung in sämtliche Unternehmensprozesse einbezogen wird und die Abläufe, die eine steuerliche Relevanz haben, mitgestalten dürfen.

Die Risiken in einem Tax Compliance Management System haben zentrale Bedeutung, weil sie die zu ergreifenden Maßnahmen bestimmen. Risiken bezüglich der einzelnen steuerlichen Pflichten (Anzeige, Mitwirkung, Erklärung, Aufbewahrung, usw.) sind unter Betrachtung der möglichen Auswirkungen (Ordnungswidrigkeit bis hin zu einer Steuerhinterziehung) zu analysieren und bewerten.

Das Programm ist ein zentraler, wenn auch nicht der einzige Abschnitt, der die eigentlichen Maßnahmen definiert. Die einzelnen Risiken vor Augen, sind hier die einzelnen Maßnahmen, die zur Risikosteuerung eingesetzt werden, zu beschreiben. Dabei gibt es präventive Maßnahmen, die Fehler im Steuerprozess vermeiden sollen, und detektive Maßnahmen, die einen Fehler möglichst zeitnah aufdecken sollen, damit die notwendigen Korrekturen rechtzeitig eingeleitet werden können.

Eine geregelte Kommunikation im Rahmen eines Tax Compliance Management Systems ist darauf ausgerichtet, Risiken für den Steuerkosmos eines Unternehmens zu erkennen und bekannt zu machen. Noch bedeutender ist jedoch die Einführung eines geregelten Prozesses zum Umgang und zur Kommunikation eines steuerlichen Regelverstoßes. Dies kann eine Korrektur bis hin zu Meldungen an interne oder auch externe Stellen wie Behörden umfassen.

Einmal eingerichtet, ist ein Tax CMS kein Selbstläufer. Ständige Änderungen der Unternehmensprozesse und der Organisation erfordern eine fortlaufende Aktualisierung des Tax CMS. Regelmäßig und rollierend sind die Risiken und die eingerichteten Maßnahmen auf den Prüfstand zu stellen. Kamen neue Risiken hinzu, weil sich der Steuerkosmos des Unternehmens erweitert hat? Sind die bestehenden Maßnahmen noch sinnvoll und erfüllen sie ihren Zweck? Sind Maßnahmen mittlerweile durch andere/bessere abgelöst worden?

Aufbau eines Tax Compliance Management Systems

Ein Tax Compliance Management System besteht aus einer Vielzahl von unterschiedlichen Maßnahmen, Handlungsweisen, Richtlinien und Kontrollen, die individuell an das Unternehmen und seinen Steuerkosmos angepasst sind. Um diese Maßnahmen sachgerecht definieren zu können, starten die Experten der Crowe Kleeberg IT Audit mit einer Identifikation der Risiken.

Dazu haben wir einen Katalog entwickelt, der mehr als 300 Fragen und Risikofelder umfasst. Der Fokus liegt hierbei natürlich auf der Umsatzsteuer und der Lohnsteuer, weil diese Steuerarten jedes Unternehmen betreffen und das höchste Risikopotential beherbergen. Weitere Felder unseres Fragenkatalogs decken u. a. die Bereiche Ertragsteuern, Verrechnungspreisdokumentation, Aufbewahrung von Unterlagen, IT und Personal sowie Außenprüfung ab. Damit wir Ihnen unsere Leistungen in bester Qualität anbieten können, arbeiten wir Hand in Hand mit den Steuer- und Rechtsexperten der → Dr. Kleeberg & Partner GmbH zusammen.

Beginnend in Ihrer Steuerabteilung nehmen wir die bestehenden Steuerprozesse auf und dokumentieren sie. Dabei kommt es immer darauf an, bereits vorhandene Maßnahmen zu identifizieren. Sollten wir feststellen, dass ein wichtiger Kontrollmechanismus fehlt und Risiken dadurch weiter bestehen, erarbeiten wir Handlungsempfehlungen, die zur Verbesserung Ihres Steuer-IKS beitragen.

Minenfeld Umsatzsteuer

Gerade der Bereich der Umsatzsteuer beinhaltet ein hohes Risikopotential für das Unternehmen. Das liegt vor allem an den folgenden Faktoren:

  • Sowohl auf Eingangs- als auch auf Ausgangsseite handelt es sich um Massenvorgänge, deren umsatzsteuerliche Behandlung durch Systemkonfigurationen und Parametrisierung gesteuert werden mit der Maßgabe, die Komplexität des Umsatzsteuerrechts abzubilden.
  • Neben dem Rechnungswesen sind weitere Fachbereiche (v.a. Einkauf, Verkauf, Marketing) mit umsatzsteuerrechtlichen Sachverhalten konfrontiert, ein ausreichendes Steuer-Knowhow ist aber nicht durchgängig gewährleistet.

Damit Ihre umsatzsteuerlichen Sachverhalte vollumfänglich korrekt abgebildet werden und die monatlichen Umsatzsteuer-Voranmeldungen keinen Stolperstein darstellen, erledigen wir mit unseren Umsatzsteuerexperten von der → Dr. Kleeberg & Partner GmbH für Sie die folgenden Aufgaben:

  • Eingehende Analyse Ihrer Leistungsbeziehungen und Aufbau eines Umsatzsteuer-Kosmos
  • IT-unterstützte Überprüfung der bestehenden Umsatzsteuerfindungsregeln in Ihren Systemen
  • Erstellung/Update eines VAT Rule Set zur vollständigen und korrekten Findung der Umsatzsteuer für Ihre Leistungsbeziehungen
  • Konfiguration Ihres ERP-Systems auf Grundlage des VAT Rule Sets für eine automatische Umsatzsteuerfindung
  • Implementierung sinnvoller und automatisierter Prüfroutinen zur Aufdeckung von Fehlern

Audit eines Tax Compliance Management Systems

Sofern Sie bereits ein Tax Compliance Management System vorweisen können, unterstützen wir Sie durch ein Audit. Dies gibt Ihnen die Sicherheit, dass die eingerichteten Prozesse angemessen und wirksam sind und Sie sich weiterhin darauf verlassen können.

Datenschutz stellt jeden einzelnen in den Mittelpunkt

Datenschutz

Seit dem 25. Mai 2018 gelten die Regelungen der EU-Datenschutzgrundverordnung (EU-DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu). Obwohl die Regelungen hierzu grundsätzlich nichts Neues sind, bringt insbesondere der deutlich angehobene Strafenkatalog bei Missachtung die Unternehmen dazu, ihre datenschutzrechtliche Situation auf einen aktuellen Stand zu bringen.

Ihr Datenschutz-Projekt

Beim heiklen Thema Datenschutz will man alles richtig machen. Die Crowe Kleeberg IT Audit ist Ihr kompetenter Partner. Gemeinsam mit den Rechtsexperten der → Dr. Kleeberg & Partner GmbH bilden wir ein unschlagbares Team, um die (IT-)Prozesse in Ihrem Unternehmen zu verstehen und richtig beurteilen zu können. Wir bieten Ihnen:

  • Datenschutz-Quick Check: Wir beurteilen die Datenschutzerklärung auf Ihrer Website und scannen alle relevanten Verträge mit Kunden, Lieferanten und Dienstleistern auf mögliche Datenschutzrisiken.
  • Kompetente Beratung in Einzelfragen: Oftmals sind es kleine Fragestellungen mit großer Wirkung. Sollen wir WhatsApp im Unternehmen verbieten? Sind wir Auftragsverarbeiter, wenn wir Supportleistungen via Fernzugriff erbringen? Unsere Rechtsexperten klären jede Frage.
  • Datenschutz-Schulung: Um bei den Mitarbeitern ein einheitliches Verständnis zu fördern und die wesentlichen Risiken bei der Verarbeitung von Daten im Unternehmen zu erkennen und zu vermeiden, führen wir Mitarbeiter-Schulungen zum Thema Datenschutz durch.
  • Erstellung Verzeichnisse der Verarbeitungstätigkeiten: Ein wesentlicher Bestandteil eines wirksamen Datenschutz-Management-Systems im Unternehmen sind die Verzeichnisse der Verarbeitungstätigkeiten, in denen der Umgang von personenbezogenen Daten, die Betroffenen, die Adressaten und weitere prozessualen Informationen beschrieben werden. Die Pflicht zur Erstellung von Verarbeitungsverzeichnissen lässt sich grundsätzlich nicht umgehen. Sie sind auf Anforderung den Aufsichtsbehörden für Datenschutz vorzulegen.
  • Einrichtung Datenschutz-Management-System (DSMS): Ein DSMS umfasst alle Maßnahmen im Unternehmen, die notwendig sind, um den datenschutzrechtlichen Anforderungen nachzukommen. Dies sind – ausgehend von den Verarbeitungsverzeichnissen und einer evtl. Datenschutzfolgeabschätzung (DSFA) – insbesondere die Einrichtung von technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten. Diese Maßnahmen können prozessbezogen oder prozessübergreifend sein. Wir unterstützen Sie beim Aufbau, bei der Überarbeitung oder beim Audit Ihres DSMS.

Personenbezogene Daten

Nach Art. 4 Nr. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies sind insbesondere:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail-Adresse
  • Kontonummer, Kreditkartennummer
  • KFZ-Kennzeichen

Die Verarbeitung der folgenden personenbezogenen Daten unterliegen gemäß Art. 9 DSGVO strengen Voraussetzungen:

  • rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheitsdaten und Daten zum Sexualleben

Nehmen Sie Kontakt zu uns auf