iAP GRC

Governance Risk &
Compliance Management

Governance Risk &
Compliance Management

Governance, Risk & Compliance Management (GRC) fasst die drei wichtigsten Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung zusammen:

  • Governance ist die Unternehmensführung durch definierte Richtlinien. Dazu zählt die Festlegung von Unternehmenszielen, die Methoden zur Umsetzung und die Planung der notwendigen Ressourcen für das Erreichen der Ziele.
  • Risk steht für das Risikomanagement mit bekannten und unbekannten Risiken durch definierte Risikoanalysen. Das frühzeitige Auseinandersetzen mit Risiken, der Bereitstellung von Strategien zur Risikominimierung und der Vorsorge bei eventuellem Risikoeintritt ist eine wichtige Komponente.
  • Compliance ist das Einhalten interner wie externer Regeln für die Bereitstellung und die Verarbeitung von Informationen. Diese beinhaltet unter anderem die Zugriffsreglementierung für die Daten sowie die gesetzlichen Rahmenbedingungen für deren Verwendung.

Mit unseren Prüfungen und Beratungen im prüfungsnahen Umfeld geben wir Impulse und Anhaltspunkte für eine nachhaltige Unternehmensführung.

Logo iAP GRC

Im Rahmen von Abschlussprüfungen ist die Berücksichtigung von IT-Risiken, welche sich aus dem Einsatz der IT ergeben, notwendig. Daher unterstützt die iAP Kunden und Berufskollegen bei der Durchführung von IT-Prüfungen.

Die Migrationsprüfung ist eine Teilprüfung der projektbegleitenden Prüfung. Im Rahmen einer Migration wird eine „alte“ Systemlandschaft in eine „neue“ Systemlandschaft überführt. Üblicherweise werden sowohl Stammdaten (z. B. Kundendaten), Bewegungsdaten (z. B. Kontobewegungen und Kontoverkehrszahlen) und Steuerungsdaten (z. B. Daten zur Kontenfindung, Steuerschlüssel) über alle betroffenen Systeme übertragen.

Ziel ist es, eine Aussage zu erhalten, ob die entwickelte oder eingesetzte Software bei sachgerechter Anwendung und Einrichtung, den Kriterien der Ordnungsmäßigkeit entspricht, welche als Maßstab für die Beurteilung vereinbart wurden, z. B. aus dem Handelsgesetzbuch (HGB). So besteht für den Abschlussprüfer, Mandanten und seinen Kunden Sicherheit durch das Testat und die Investition.

Unternehmen müssen ausgelagerte Dienstleistungen genauso wirksam kontrollieren, wie eigens durchgeführte interne Prozesse. Das Management des Dienstleisters bestätigt das jährlich in einem standardisierten Bericht. Ein Wirtschaftsprüfer (WP) bestätigt diese Managementversicherung. Wir prüfen das IT-bezogene interne Kontrollsystem (IKS) und arbeiten dem Wirtschaftsprüfer entsprechend zu.

Wir bieten Ihnen eine ausgelagerte interne Revision und unterstützen Sie bei spontanen oder auch kontinuierlichen Kontrollaufgaben in Ihrem Unternehmen. Unsere Experten helfen in IT-bezogenen und non-IT bezogenen Themenfeldern, einschließlich Betrugsprävention und anderen Untersuchungen.

Wenn Prozesse optimiert oder Systeme verschlankt werden sollen, sind diese Projekte immer mit hohen Risiken verbunden. Dabei spielt es keine Rolle, ob ein neues ERP-, Archivsystem oder die Personalabrechnung eingeführt werden. Eine projektbegleitende Revision kann helfen, Kosten zu sparen.

Wir identifizieren die realen Abläufe in den Unternehmen mit einer strukturierten IST-Analyse. Mit einem pragmatischen SOLL-Konzept schaffen wir die Basis für eine Optimierung der Abläufe. Branchenspezifische Kenntnisse ermöglichen uns die Erarbeitung Ihrer Lösungsansätze. Wir bereiten Sie auf die Zertifizierung nach ISO/IEC 27001 sowie BSI-Grundschutz vor.

Mit dem Prüfungsstandard IDW PS 860 kann eine Prüfung oder Beurteilung der Angemessenheit bis hin zu einer ganzheitlichen IT-Systemprüfung für Teilbereiche oder für die IT-Landschaft außerhalb der Abschlussprüfung angewendet werden.

Die Implementierung eines Information Security Management System (ISMS) unterstützt alle Pflichten von Betreibern kritischer Infrastrukturen. Im Fokus stehen neben IT-technischen Gesichtspunkten auch alle relevanten externen Einflussfaktoren auf die Informationssicherheit. Dazu gehören beispielsweise:

  • organisatorische und personelle Sicherheit oder
  • physische Sicherheit

Compliance Management ist die effektive Verwaltung der verschiedenen externen und internen Regeln für das Unternehmen. Die Funktionsfähigkeit und Wirksamkeit der Compliance zu gesetzlichen Anforderungen sollte zu jeder Zeit prüfbar sein. Wir identifizieren Synergien und gestalten für Sie eine Managementbasis.

Kontrollsysteme dienen der Prozesssicherheit. Risiken sind transparent und werden durch das IKS kontrolliert. Mit den Cloud-Anwendungen ergeben sich neue Herausforderungen. Das BSI hat einen aktuellen Standard herausgegeben – Cloud Criteria C5. Wir führen Sie durch die Implementierung und Prüfung. Wir unterstützen Sie bei der Herstellung von Cloud-Security nach den Vorgaben der einschlägigen Cloud Security Standards sowie der Absicherung der Compliance.

Interne Kontrollsysteme dienen der Prozesssicherheit. Risiken sind transparent und werden durch das IKS kontrolliert. Wir sagen Ihnen, welche Kontrollen Sie benötigen und wie diese effektiv implementiert werden können. Eine standardisierte Bescheinigung weißt dies auch gegenüber den Kunden nach.

Ein professionelles Berechtigungsmanagement ist die Grundvoraussetzung zur Erfüllung aller Anforderungen an die Informationssicherheit. Über zentrale Mechanismen kann eine übergreifende Zugangs- und Zugriffskontrolle sichergestellt werden.

Steigende Anforderungen an die Informationssicherheit erfordern einen methodischen Ansatz für das Management der betreffenden Risiken. Die Qualität eines Risikomanagements entscheidet über die Effektivität und Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS).

Die Risiken der Verarbeitung von Informationen sind im Unternehmen nicht bekannt und nicht bewertet und damit schwer einzuschätzen. Die Beschränkung auf teure Einzelmaßnahmen führt zu enttäuschenden Ergebnissen und riskanten Lücken. Die Angemessenheit von erforderlichen Maßnahmen kann nicht bewertet werden. Das führt in vielen Fällen zu Fehlinvestitionen. Ein strukturiertes IT-Risikomanagementsystem erleichtert Entscheidungen und spart Geld.

Die Richtlinie für Tabakerzeugnisse (2014/40/EU) trat am 19. Mai 2014 in Kraft und wurde am 20. Mai 2016 in den EU-Mitgliedstaaten geltendes Recht. Sie enthält Vorschriften über die Herstellung, die Aufmachung und den Verkauf von Tabakerzeugnissen. Darin ist ebenfalls die Einführung für ein EU-weites System zur Überwachung und Rückverfolgung zwecks Eindämmung des illegalen Handels mit Tabakerzeugnissen festgeschrieben. Wir übernehmen die darin enthaltenen Prüfpflichten und sind bei der EU als Prüfer gelistet.

Sie haben Fragen? Wir haben Antworten!