Governance Risk &
Compliance Management

Governance, Risk & Compliance Management (GRC) fasst die drei wichtigsten Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung zusammen:

Governance ist die Unternehmensführung durch definierte Richtlinien. Dazu zählt die Festlegung von Unternehmenszielen, die Methoden zur Umsetzung und die Planung der notwendigen Ressourcen für das Erreichen der Ziele.
Risk steht für das Risikomanagement mit bekannten und unbekannten Risiken durch definierte Risikoanalysen. Das frühzeitige Auseinandersetzen mit Risiken, der Bereitstellung von Strategien zur Risikominimierung und der Vorsorge bei eventuellem Risikoeintritt ist eine wichtige Komponente.
Compliance ist das Einhalten interner wie externer Regeln für die Bereitstellung und die Verarbeitung von Informationen. Diese beinhaltet unter anderem die Zugriffsreglementierung für die Daten sowie die gesetzlichen Rahmenbedingungen für deren Verwendung.

Mit unseren Prüfungen und Beratungen im prüfungsnahen Umfeld geben wir Impulse und Anhaltspunkte für eine nachhaltige Unternehmensführung.

IT-Prüfung (PS 330)

Im Rahmen von Abschlussprüfungen ist die Berücksichtigung von IT-Risiken, welche sich aus dem Einsatz der IT ergeben, notwendig. Daher unterstützt die iAP Kunden und Berufskollegen bei der Durchführung von IT-Prüfungen.

Migrationsprüfung

Die Migrationsprüfung ist eine Teilprüfung der projektbegleitenden Prüfung. Im Rahmen einer Migration wird eine „alte“ Systemlandschaft in eine „neue“ Systemlandschaft überführt. Üblicherweise werden sowohl Stammdaten (z. B. Kundendaten), Bewegungsdaten (z. B. Kontobewegungen und Kontoverkehrszahlen) und Steuerungsdaten (z. B. Daten zur Kontenfindung, Steuerschlüssel) über alle betroffenen Systeme übertragen.

Softwareprüfung (PS 880)

Ziel ist es, eine Aussage zu erhalten, ob die entwickelte oder eingesetzte Software bei sachgerechter Anwendung und Einrichtung, den Kriterien der Ordnungsmäßigkeit entspricht, welche als Maßstab für die Beurteilung vereinbart wurden, z. B. aus dem Handelsgesetzbuch (HGB). So besteht für den Abschlussprüfer, Mandanten und seinen Kunden Sicherheit durch das Testat und die Investition.

IKS Prüfung nach ISAE (ISAE 3000/3402) oder IDW PS 951

Unternehmen müssen ausgelagerte Dienstleistungen genauso wirksam kontrollieren, wie eigens durchgeführte interne Prozesse. Das Management des Dienstleisters bestätigt das jährlich in einem standardisierten Bericht. Ein Wirtschaftsprüfer (WP) bestätigt diese Managementversicherung. Wir prüfen das IT-bezogene interne Kontrollsystem (IKS) und arbeiten dem Wirtschaftsprüfer entsprechend zu.

Interne Revision (sonstige Prüfungen IT/non IT)

Wir bieten Ihnen eine ausgelagerte interne Revision und unterstützen Sie bei spontanen oder auch kontinuierlichen Kontrollaufgaben in Ihrem Unternehmen. Unsere Experten helfen in IT-bezogenen und non-IT bezogenen Themenfeldern, einschließlich Betrugsprävention und anderen Untersuchungen.

Wenn Prozesse optimiert oder Systeme verschlankt werden sollen, sind diese Projekte immer mit hohen Risiken verbunden. Dabei spielt es keine Rolle, ob ein neues ERP-, Archivsystem oder die Personalabrechnung eingeführt werden. Eine projektbegleitende Revision kann helfen, Kosten zu sparen.

ISMS Prüfung (ISO 27001)

Wir identifizieren die realen Abläufe in den Unternehmen mit einer strukturierten IST-Analyse. Mit einem pragmatischen SOLL-Konzept schaffen wir die Basis für eine Optimierung der Abläufe. Branchenspezifische Kenntnisse ermöglichen uns die Erarbeitung Ihrer Lösungsansätze. Wir bereiten Sie auf die Zertifizierung nach ISO/IEC 27001 sowie BSI-Grundschutz vor.

IT-Prüfung (PS 860)

Mit dem Prüfungsstandard IDW PS 860 kann eine Prüfung oder Beurteilung der Angemessenheit bis hin zu einer ganzheitlichen IT-Systemprüfung für Teilbereiche oder für die IT-Landschaft außerhalb der Abschlussprüfung angewendet werden.

Prüfung KRITIS

Die Implementierung eines Information Security Management System (ISMS) unterstützt alle Pflichten von Betreibern kritischer Infrastrukturen. Im Fokus stehen neben IT-technischen Gesichtspunkten auch alle relevanten externen Einflussfaktoren auf die Informationssicherheit. Dazu gehören beispielsweise:

organisatorische und personelle Sicherheit oder
physische Sicherheit

Compliance Managementsystem

Compliance Management ist die effektive Verwaltung der verschiedenen externen und internen Regeln für das Unternehmen. Die Funktionsfähigkeit und Wirksamkeit der Compliance zu gesetzlichen Anforderungen sollte zu jeder Zeit prüfbar sein. Wir identifizieren Synergien und gestalten für Sie eine Managementbasis.

BSI C5

Kontrollsysteme dienen der Prozesssicherheit. Risiken sind transparent und werden durch das IKS kontrolliert. Mit den Cloud-Anwendungen ergeben sich neue Herausforderungen. Das BSI hat einen aktuellen Standard herausgegeben – Cloud Criteria C5. Wir führen Sie durch die Implementierung und Prüfung. Wir unterstützen Sie bei der Herstellung von Cloud-Security nach den Vorgaben der einschlägigen Cloud Security Standards sowie der Absicherung der Compliance.

IKS Beratung (ISAE 3000/3402)

Interne Kontrollsysteme dienen der Prozesssicherheit. Risiken sind transparent und werden durch das IKS kontrolliert. Wir sagen Ihnen, welche Kontrollen Sie benötigen und wie diese effektiv implementiert werden können. Eine standardisierte Bescheinigung weißt dies auch gegenüber den Kunden nach.

IAM - Identity and Access Management (Berechtigungsmanagement Beratung)

Ein professionelles Berechtigungsmanagement ist die Grundvoraussetzung zur Erfüllung aller Anforderungen an die Informationssicherheit. Über zentrale Mechanismen kann eine übergreifende Zugangs- und Zugriffskontrolle sichergestellt werden.

ISMS Beratung (ISO 27001, KRITIS, IT SG)

Steigende Anforderungen an die Informationssicherheit erfordern einen methodischen Ansatz für das Management der betreffenden Risiken. Die Qualität eines Risikomanagements entscheidet über die Effektivität und Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS).

Risikomanagement (IT) / Schutzbedarfsanalyse

Die Risiken der Verarbeitung von Informationen sind im Unternehmen nicht bekannt und nicht bewertet und damit schwer einzuschätzen. Die Beschränkung auf teure Einzelmaßnahmen führt zu enttäuschenden Ergebnissen und riskanten Lücken. Die Angemessenheit von erforderlichen Maßnahmen kann nicht bewertet werden. Das führt in vielen Fällen zu Fehlinvestitionen. Ein strukturiertes IT-Risikomanagementsystem erleichtert Entscheidungen und spart Geld.

Track and Trace

Die Richtlinie für Tabakerzeugnisse (2014/40/EU) trat am 19. Mai 2014 in Kraft und wurde am 20. Mai 2016 in den EU-Mitgliedstaaten geltendes Recht. Sie enthält Vorschriften über die Herstellung, die Aufmachung und den Verkauf von Tabakerzeugnissen. Darin ist ebenfalls die Einführung für ein EU-weites System zur Überwachung und Rückverfolgung zwecks Eindämmung des illegalen Handels mit Tabakerzeugnissen festgeschrieben. Wir übernehmen die darin enthaltenen Prüfpflichten und sind bei der EU als Prüfer gelistet.

AAE – Audit Advisory Evolution

Manuelle Prüfung war gestern!

AAE – Audit Advisory Evolution analysiert Ihre ERP-Systemdaten bedarfsgerecht nach Ihren individuellen Vorgaben ohne eine Begrenzung der Anzahl von Datensätzen.

Aus den Analyseergebnissen werden Erkenntnisse gewonnen, um

Fragen von Wirtschaftsprüfern im Rahmen von Jahresabschlussprüfungen zu beantworten
Managementbewertungen durchzuführen
Prozesse schnittstellenübergreifend zum Zweck der Optimierung zu visualisieren
Anomalien zu identifizieren
u.v.m.

AAE vereint eine vollständige und automatisierte digitale ERP-Datenprüfung mit einem zuverlässigen IT-Audit.
Manuelle Stichproben entfallen und das Prüfungsrisiko und die Prüfdauer werden signifikant reduziert. Die Analysedaten werden ansprechend in Dashboards visualisiert.

Höchste Sicherheitsstandards bei der Datenverarbeitung sind bei uns obligatorisch. Eigene Infrastruktur und Personal von Ihrer Seite sind nicht notwendig.

AAE beruht auf einer Business Intelligence kombiniert mit einem umfangreichen Testfragenkatalog, welcher gemeinsam mit Wirtschaftsprüfern entwickelt wurde.