PORTFOLIO

Risk & Compliance
RISIKEN STEUERN –  COMPLIANCE SICHERN

COMPLION AG ist spezialisiert auf Compliance und Wirtschaftlichkeit in den technischen Unternehmensbereichen in einem typischerweise komplexen (Konzern-)Umfeld:

SOFTWARE ASSETS – Wir verfügen über Expertise beim sicheren Software-Einsatz, namentlich bei Bedarfsmanagement, Vertragsabschluss, Vertrags- und Service-Controlling, Lizenzmanagement und Life Cycle Management.

DATA ASSETS – Wir beherrschen Datenschutz-Konzepte und -Implementierungen auf der Grundlage der neuen europäischen Regulierung.

CYBER ASSETS – Bei der Einführung und beim Management von Instrumenten zur IT-Sicherheit stehen wir bereit, um, etwa auf der Grundlage der Normen ISO 2700x, die erforderlichen Maßnahmen in Ihrer Organisation umzusetzen.

Das Management dieser Assets wird in einem Corporate Governance System verankert. In einem eingerichteten Corporate Governance System kommuniziert das Controlling mit dem Risikomanagement, dem Compliance Management, dem Internen Kontrollsystem und der Internen Revision. Diese Architektur bildet die Three Lines of Defense.

Corporate Governance Systeme

Die vorgenannten Corporate Governance Systeme (Compliance Management System (CMS), Risikomanagementsystem (RMS), Internes Kontrollsystem (IKS) und Internes Revisionssystem (IRS)) sind lediglich Empfehlungen, also nicht gesetzlich definiert. Jedoch entwickeln sie sich zu einem annerkannten Stand der Technik, der de facto eine Normierungswirkung entwickelt.

Three Lines of Defense Modell

Der Dachverband der europäischen Revisionsinstitute (ECIIA) hat als Empfehlung einen dreistufigen Aufbau der Corporate Governance herausgegeben: Die erste Verteidigungslinie bilden die operativen Kontrollinstrumente auf der Basis der eingerichteten erforderlichen Compliance-Anforderungen. Die zweite Linie bilden die Instrumente des Risiko- und Compliance-Managementsystems. Die dritte Verteidigungslinie stellt die Interne Revision dar.

Das Institut der Wirtschaftsprüfer IDW hat daraufhin die Prüfungs-Standards PS 980, PS 981, PS 982, PS 983 entwickelt. Diese Regelwerke ermöglichen eine Prüfung der eingerichteten Corporate Governance Systeme:

IDW PS 980: Standard zur Prüfung des Compliance Managementsystems (CMS)

Der Prüfungsstandard (PS) 980 wurde im Jahr 2011 veröffentlicht und enthält die Grundsätze einer ordnungsmäßigen Prüfung der Compliance Management Systeme (CMS). Die Elemente eines CMS umfassen nach diesem Standard: Compliance-Kultur, -Ziele, -Risiken, -Programm, -Organisation, -Kommunikation sowie die Prozesse einer Compliance-Überwachung und -Verbesserung.

IDW PS 981: Standard zur Prüfung von Risiko-Managementsystemen (RMS)

Im Jahr 2016 erschien der PS 981 und normiert die Grundsätze einer ordnungsgemäßen Prüfung des Risiko-Managementsystems (RMS). Das Vorgehen umfasst die strategischen wie auch die operativen Risiken, die aus der ordentlichen (und außerordentlichen) Geschäftstätigkeit des Unternehmens entstehen. Bestandsgefährdende Risiken, entsprechend dem KonTraG, sind einzubeziehen, jedoch ist eine allgemeine Vollständigkeitserklärung („betreffend also alle möglichen Risiken“) nicht Bestandteil.

IDW PS 982: Standard zur Prüfung des Internen Kontrollsystems (IKS)

2017 wurde der PS 982 veröffentlicht. In diese Prüfungsvorschrift sind sämtliche Elemente des internen Kontrollsystems der Unternehmensberichterstattung einzubeziehen. Alle zugrunde liegenden Kerngeschäfts- sowie Unterstützungsprozesse mit ihren Steuerungs- und Kontrollmaßnahmen werden betrachtet.

IDW PS 983: Standard zur Prüfung der Internen Revision (IRS)

Der PS 983 wurde im Jahr 2016 erarbeitet und veröffentlicht. Die Internen Revision wird schließlich als dritte Verteidigungslinie die ersten beiden Linien überprüfen. Sie ist unabhängig sein und nicht in die operativen Prozesse oder in Steuerungs- oder Kontrolltätigkeiten des Unternehmens eingebunden. Die Interne Revision wird gemäß PS 983 von einem externen qualifizierten Beurteiler geprüft.

COMPLION unterstützt Sie in diesen Themen insbesondere bei

Software Asset Management

Software Asset & Lizenz Management (SAM)
Cloud Efficiency Management (CEM)
Training & Zertifizierung (CERT)

Mehr…

Data Protection

Datenschutz Prozess Management (DAM)
Technisch/Organisatorische Maßnahmen (TOM)
Datenschutz Training & Zertifizierung (CERT)

Mehr…

Cyber Security

Cyber Security Process Management (SEC)
Cyber Security Competence Center (CYC)
Cyber Security Training (CERT)

Mehr…