www.ids-scheer.com

Effiziente Unterstützung interner Kontroll -systeme mit einer GRC Software Plattform

Erfolgsrezept in einem zunehmendregulierten Wirtschaftsumfeld

ARIS Expert Paper

�����������

�� ����� �

1. Zunehmende interne Komplexität durch steigendeexterne Komplexität

Unternehmen sehen sich heute mit ständig wachsenden Anforderungen aninterne Kontrollsysteme konfrontiert. Ein Unternehmen muss heute Vorgabenaus durchschnittlich mehr als hundert unterschiedlichen Gesetzen und Ver -ordnungen beachten. Gleichzeitig werden die Ansprüche an den Nachweis derUmsetzung und Befolgung dieser Regularien immer schärfer. Sektion 404 desSarbanes Oxley Acts (SOX) ist hierfür ein plakatives Beispiel.

Aber auch in der Europäischen Union werden mit der Einführung der 8. EU Richt -linie (Abschlussprüferrichtlinie) höhere Maßstäbe an das interne Kontrollsystemangelegt, d. h. die Anforderungen an die Richtigkeit der veröffentlichten Unter -nehmens berichte werden verschärft.

Die Einhaltung der Gesetze ist für die betroffenen Unternehmen elementar, dabei Nichtbefolgung neben dem Imageschaden z. T. drastische Konsequenzen wieGeld strafen und die persönliche Haftung der Geschäftsführer (Privatvermögen)stehen, für die auch strafrechtliche Konsequenzen folgen können.

Effiziente Unterstützung interner Kontrollsysteme mit einer GRC SoftwarePlattform

Erfolgsrezept in einem zunehmend reguliertenWirtschaftsumfeld

Governance, Risk & Compliance Management (GRC) steht für die Erfüllungaller für ein Unternehmen relevanten internen und externen, verpflichtendenwie freiwilligen, derzeitigen sowie künftigen Anforderungen aller Inter es -sens gruppen. Es umfasst die sichere Identifizierung betroffener Prozesse,die Beschreibung, Allokation und Bewertung der spezifischen Risiken, dieImplementierung eines geeigneten internen Kontrollsystems in die Unter -nehmens abläufe und die Überwachung der Wirksamkeit der Kontrollen. Ins -besondere die zunehmende Anzahl externer Regulierungen engt die reinunter nehmerische Autonomie immer stärker ein. Prozessorientierte Soft -ware-Lösungen wie die ARIS Solution for Governance, Risk & ComplianceManagement ermöglichen die Einführung und den Betrieb eines unter -nehmens weiten Compliance-Management-Systems.

2

ARIS Expert Paper

Hier lesen Sie:� warum prozessorientierte Software-Lösungen wie die ARIS

Solution for GRC die Einführung und den Betrieb eines unter -nehmensweiten Compliance-Management-Systemsermöglichen.

� wie Unternehmen von der vielfältigen Wiederverwendbarkeitder Prozessdokumentation profitieren.

� welche Optimierungsansätze es für Compliance Managementgibt und warum dies eine Facette von Geschäftsprozess -management ist.

� welche Bedeutung prozessorientiertes Compliance Manage -ment im Zusammenhang mit der “gerichtsfesten Organisation”hat.

Über den Autor

Martin Klingist Solution Manager für die

ARIS Solution for Governance,Risk & Compliance (GRC) bei

IDS Scheer AG, München.

Contact:arisproductmarketing@ids-scheer.com

Durch die Komplexität der Anforderungen steigtder Auf wand in einem Unternehmen exponentiell.Auf einen typischen Geschäftsprozess wirken heu-te ein gutes Dutzend unter schiedlicher Regularienein, die Koordination von Audits oder mitigierendenMaßnahmen wird immer un über schaubarer. Mitder wachsender Komplexität steigt aber auch dasRisiko für ein Unternehmen, kleine Abwei chungenwerden wahrscheinlicher und können heute gra-vierende Einbußen durch Strafzahlungen oderImage-Ver luste mit sich bringen. Um „gerichtsfest“zu sein, muss eine Organisation in der Lage sein,regel mäßig den Nachweis zu erbringen, dass imFalle einer Abweichung kein Organi sations ver -schulden vorliegt. Dies dient einer Exkulpation derLeitungsorgane und Mitarbeiter und beugt einemmöglichen Imageschaden vor.

Die Unternehmen stehen heute bei der Ausge -staltung ihrer internen Kontrollsysteme vor zwei wesentlichen Themen blöcken:

1. Reduktion der Komplexität

2. Effiziente Abwicklung aller (nicht wertschöpfenden) Aufgaben, die mit der Erfüllung der Anforderungen (Com pli -ance) und deren Nachweis einhergehen.

2. Prozessgesteuerte Compliance löst projektgetriebene Compliance ab

Die Effizienz von internen Kontrollsystemen und den darauf aufsetzenden Compliance-Prozessen leidet häufig darunter,dass die jeweils neuen Anforderungen projektgetrieben eingeführt und abgearbeitet wurden. Mit der Zeit erfolgte danndie Überführung in die zu diesem Zeitpunkt am besten geeignet scheinende Organisationseinheit mit der Konsequenz,dass isoliert handelnde Linienfunktionen entstanden. Durch diesen dezentralen Ansatz wurden meistens aus Zeitdruckauch IT-seitig isolierte Insellösungen geschaffen, die nicht kompatibel oder auswertbar sind. Durch diese Mechanismenwurde die interne Komplexität noch gesteigert. Es führt zu erheblichen Effizienzsteigerungen, wenn konsequent mit einerholistischen und einheitlichen Methode gearbeitet wird, wenn Prüfungshandlungen harmonisiert werden und gegensei-tig auf Prüfungsergebnisse zugegriffen werden kann.

Um die beiden zentralen Ziele Komplexitätsreduktion und Effizienzsteigerung zu erreichen, muss eine zentrale Plattformfür ein internes Kontrollsystem mit den Geschäftsprozessen als gemeinsamer Basis für alle aus den unterschiedlichstenRegularien abgeleiteten Kontrollen eingeführt werden.

3. Effizienzsteigerung durch eine holistische, prozessorientierte GRC Plattform

Eine GRC Plattform-Lösung muss konsistent, effizient und nachhaltig sein sowie auf einer einheitlichen Datenbasis aufzu -setzen. Zudem muss das Vorhandensein eines einheitlichen Konnektors für die unterschiedlichsten Regularien und An -for derungen sichergestellt sein. Dafür eignen sich die Geschäftsprozesse eines Unternehmens wie kaum ein anderer An -satz. Zum Ersten müssen für die meisten Compliance-Themen die Geschäftsprozesse dokumentiert werden. Zum Zweitenwirken sich die umgesetzten Anforderungen direkt in den Abläufen eines Unternehmens aus.

Beispielsweise führen die meisten Anforderungen aus dem Sarbanes Oxley Act zu direkten Kontrollen innerhalb der Fi -nanz prozesse eines Unternehmens. Um die Effizienz der Prozesse zu erhalten, muss auf die optimale Gestaltung dieserKontrollen geachtet werden - und dies im Prozesszusammenhang. Des Weiteren bietet eine durchgängige Prozess doku -mentation eine gemeinsame Sprache für alle betroffenen Abteilungen mit ihren unterschiedlichen Sichtweisen: fachlicheSicht, IT-Sicht, Prozess- und Organisationssicht.

3

ARIS Expert Paper

Abb. 1: Beispiele für aktuelle und zukünftige Regularien nachGartner

Effizienz erzeugt eine GRC Plattform durch optimale Unterstützung aller mit dem Komplex aus internem Kontrollsystemund Compliance zusammenhängenden Arbeitsabläufe, die aus Sicht des Unternehmens per se keine wertschöpfendenAktivitäten darstellen. Diese sind im Wesentlichen die Prozesse zur Dokumentation, Pflege und Kommunikation von Fir -men vorschriften, Verfahrensanweisungen und Kontrollen, die Prozesse zur Risikoanalyse und -bewertung sowie dieDoku mentation der Kontrolldurchführung, die Prozesse des internen Management Assessments und des Testings sowieeine Unterstützung der Nachverfolgung von Missständen nebst Ursachenanalyse. Weiterhin müssen die Erkenntnisseund Fortschritte aus allen diesen Prozessen einfach und konsequent in eine Berichterstattung für verschiedene Bereichedes Managements einfließen können.

Einer AMR Research-Umfrage unter mehr als 200 Unternehmen zufolge, werden enorme Ausgaben für die Erfüllung sämt-licher Compliance-Anforderungen erwartet. Neben den Ausgaben für SOX werden bis ins Jahr 2009 nach AMR Research-Schätzung weitere 75 Milliarden US-Dollar für Compliance-Maßnahmen erforderlich sein.

Um diese Kosten zu minimieren, muss eine GRC Plattform in der Lage sein, sechs typische Optimierungsansätze zu unter-stützen, die alle einen starken Bezug zum Thema Prozessmanagement haben:

� Right-sizing: Reduzierung der Anzahl der Kontrollen bei gleichzeitiger Erhöhung der Effizienz durch ausgewogeneVer teilung der Kontrollen auf der Unternehmensebene, der Ebene der allgemeinen IT-Kontrollen und der Ebene derProzesskontrollen

� Integration von Risikomanagement und Compliance Management

� Unterstützung von Self-Assessments

� Standardisierung von Prozessen

� Zentralisierung von Kontrollen

� Verlagerung und Automatisierung von Kontrollen

� Einführung eines Internal Control Maturity Models

Die ARIS Solution for Governance, Risk & Compliance Management unterstützt ge nau diese nachhaltigen, ganzheitlichenund prozessbasierten Ansätze von der stra tegischen Analyse und Definition, dem Design der Kontrollen und Prüfungen,der Implementierung, der Überwachung der Wirk samkeit der Kontrollen/Maßnahmen mit skalierbaren, effizientenWorkflows bis hin zur firmenweiten Überwachung der Leistung und Effizienz der Prozesse und zu Prüfungen zur zeitna-hen Reaktion bei Ab weichungen und zur weiteren, kontinuierlichen Optimierung der Ist-Situation.

4

ARIS Expert Paper

UnzuverlässigUnsichere Umgebung, in der Kontrollen nicht definiert sind und/oder

nicht durchgeführt werden

InformellKontrollen sind

definiert & werden durchgeführt, sind

aber nicht ausreichend dokumentiert

StandardisiertKontrollen sind

definiert, werden durchgeführt und sind

ausreichend dokumentiert

ÜberwachtStandardisierte Kontrollen mit

regelmäßigen Tests und Reports auf Wirksamkeit und

Durchführung

OptimiertIntegrierte Kontrollen

mit zeitnaher Überwachung durch

Management und kontinuierlicher Verbesserung

UnzuverlässigUnsichere Umgebung, in der Kontrollen nicht definiert sind und/oder

nicht durchgeführt werden

InformellKontrollen sind

definiert & werden durchgeführt, sind

aber nicht ausreichend dokumentiert

StandardisiertKontrollen sind

definiert, werden durchgeführt und sind

ausreichend dokumentiert

ÜberwachtStandardisierte Kontrollen mit

regelmäßigen Tests und Reports auf Wirksamkeit und

Durchführung

OptimiertIntegrierte Kontrollen

mit zeitnaher Überwachung durch

Management und kontinuierlicher Verbesserung

UnzuverlässigInformell

Standardisiert

Überwacht

Optimiert

Reifegrad

Effektivitätder Kontrolle

Abb. 2: Effektivität von Kontrollen in Abhängigkeit vom Reifegrad

4. Modellierung und Dokumentation der Elemente eines internen Kontrollsystems (IKS)

Die erste wesentliche Aufgabe ist es, ein internes Kontrollsystem zu definieren und zu dokumentieren. Dazu gehört unteranderem, die Regularien, Gesetze und Vorschriften zu definieren, an die das Unternehmen gebunden ist, oder sich gebun-den fühlt, direkte Anforderungen aus diesen Gesetzen für das einzelne Unternehmen zu definieren und eine Unter -nehmens richtlinie abzuleiten. Dies um fasst die Beschreibung der konkreten Risiken, die sich aus den Anforderungen er -geben, deren Zuordnung zu den relevanten Unternehmensprozessen sowie die Bewertung der Risiken und die Defi nitionvon geeigneten Maßnahmen / Kon trollen zur Risikominderung.

Die definierten externen und internen Re gu larien, die daraus abgeleiteten An for derungen sowie die Risiken werden unterNutzung der ARIS Modellierungs werkzeuge in die Geschäftsprozesse ein gebunden. Es werden die notwendigen Refe -renz strukturen wie Bilanz po si tionen und G&V Konten, Risikobäume oder IT Applikationsübersichten generiert. Falls die-se aus entsprechenden Pro jekten schon vorliegen, können die vor liegenden Daten über vielfältige Schnitt stellen wieder-verwendet werden. Die Stan -dard konventionen ermöglichenda bei eine flexible Anpassungan das Unternehmensumfeldund die Zielrichtung des inter-nen Kontrollsystems (z. B. SOX).

Kontrollen als nicht direkt wert-schöpfende Aktivitäten müssenauf ein notwendiges Minimumreduziert werden, daher ist eininte griertes GRC Managementfür Unternehmen eine Gele gen -heit, die Effizienz und Effekti vi -tät der Prozesse und der imple-mentierten Kontrollen sicherzu-stellen.

5

ARIS Expert Paper

������������ ������

������������������

������������������������

����� �������� �� ����������

� ��������������

������� �� ����

����������!� �����"��������

��!� ���#"����

�������$�����%��������

���&��#������'����������

���� ��#���� �#���%��

�!�'����( ���'���������$�����&���� ��

�!�'����( ��$����������������� �������������%���

�!�'����( ��"���'� ���(� �������������)��������������������� �����'��" ��

�!�'����( �����%���'� �* ������������������ ������$������ '�����%���'� ����������� ������

����������� %

����������� %

����������� %

Abb. 4: Das zentrale ARIS Repository unterstützt alle darauf aufsetzenden Abläufemit einer konsistenten Datenbasis

Abb. 3: Risiken und Kontrollen werden mit ARIS Business Architect direkt in dieGeschäftsprozesse integriert

Für die Erfüllung von Compliance Anforderungen sind standardisierte Kontrollen als „Minimalkonfiguration“ erforderlich.Ohne deren regelmäßige Überprüfung auf Wirksamkeit und Design ist ihre Effektivität jedoch nicht gewährleistet. Immermehr externe Regularien fordern deshalb explizit den Nachweis regelmäßiger Tests, um die Wirksamkeit des definierteninternen Kontrollsystems sicherzustellen. Diese Kontrolltests werden in gleicher Vorgehensweise in ARIS definiert. Fürden Kontrollsystem-Verantwortlichen sind diese Zusammenhänge transparent und übersichtlich in eigenen Diagrammenpro Risiko oder Kontrolle zusammengefasst.

Mit der Modellierung der relevanten Metainformationen eines internen Kontrollsystems in ARIS und der Verknüpfung mitinternen Regelungen und mitgeltenden Unterlagen ist ein eindeutiges zentrales Repository gegeben, auf dem alle weite-ren Funktio nalitäten aufbauen, die für ein GRC Management notwendig sind. Das einheitliche Repository ist eine unab-dingbare Grundlage für transparente und konsistente Darstellung und Auswertung. Aus diesem Repo sitory heraus wer-den mit der GRC Plattform die Informationen im Intranet publiziert und die jeweiligen Workflows (Testing, Review, Sign-Off etc.) gestartet.

5 Einführung von Release Cycle Management (strukturiertes Versionsmanagement)

Prozesse, interne Regelungen und Verfahrensanweisungen erfordern wie alle Dokumente mit regulativem Charakter eineoffizielle, nachweisbare Dokumentenkontrolle. Um für jeden gegebenen Zeitpunkt die Gültigkeit eines bestimmten Pro -zesses oder einer Kontrolle zu Auditzwecken nachzuweisen, werden alle relevanten Prozessmodelle und Risiko-Kontroll-Modelle einem definierten Freigabeprozess unterzogen. Vor der web-basierten Publikation des neuen oder des geänder-ten Prozesses im Intranet muss dieser durch definierte Fachbereiche und Prozessverantwortliche geprüft und freigege-ben werden. Die Freigabe durch die entsprechenden Personen erfolgt dabei komfortabel über ein Web Interface in wel-chem – individuell für jeden Verantwortlichen – die freizugebenden Prozess- und Risiko-Kontroll-Modelle aufgeführt wer-den.

Auf diesen freigegebenen Daten (Release Database) setzt dann ARIS Risk & Compliance Manager die Workflows für dasinterne Assess ment, die Risikobewertung und falls notwendig den des Deficiency Managements auf.

6. Interner Assessmentprozess inklusive Issue & Deficiency Management

Eine grundlegende Anforderung vieler Gesetze und Richtlinien ist die Prüfbarkeit des internen Kontrollsystems. Dasbedeutet zum einen die vollständige, revisionssichere Dokumentation der Kontrollen und deren Überwachung, zum ande-ren aber auch die Definition von Prozessen und Verantwortlich keiten zur Mängelbehebung so wie die Freigabe von Doku -

menten und Prüfzeiträumen. Dar -über hinaus müssen die Prüf datenzu bestimmten Zeitpunkten zielgrup-pen-spezifisch für externe oderinterne Auditoren oder das Manage -ment aufbereitet werden können.

ARIS Risk & Compliance Managerunter stützt einen durchgängigen,audit sicheren Assessmentprozess.Das im ARIS Repository definierteinterne Kontrollsystem dient hierbeials Grund lage. Aus den definiertenKontroll-Tests werden konkreteTestfälle erzeugt, die an die definier-ten Tester (Au di toren) per Mailadressiert werden. Dabei werdenalle Informationen über den durch-zuführenden Test, wie die damitzusammenhängenden Risiken undKontrollen sowie der zugrundelie-gende Geschäfts pro zess übersicht-lich zusammengefasst, um eine effi -ziente Testdurchführung zu ermögli-chen.

6

ARIS Expert Paper

Abb. 5: Rollenbasierter Zugang zu ARIS Risk & Compliance Manager

Der Tester dokumentiert seine Testhandlungen inklusive eventueller Nachweise in ARIS Risk & Compliance Manager undbewertet das Design oder die Effektivität der je weiligen Kontrolle. Nach Abschluss seiner Test hand lung wird der Testfallan einen Reviewer weitergereicht, bevor er endgültig ab ge schlossen und dokumentiert wird. Dieser Workflow kann fle-xibel an die spezi fischen Bedürfnisse des je wei ligen Unter nehmens an ge passt werden.

Um einen eindeutigen Audit trail zugewährleisten, wird jede Versioneines Testfalls inklusive der dazu-gehörigen Risiken und Kontrollengesichert und ist jederzeit zumNach vollziehen eines Vor gangsverfügbar.

Wird ein Testfall final mit derBewertung „nicht effektiv“ ab ge -schlossen, so wird auto matischeine Deficiency generiert, um dieweitere Behandlung diesesMissstands zu ermöglichen. Ineinem eigenen Modul von ARISRisk & Compliance Manager wer-den Aus wirk ung und Wahrschein -lich keit be wertet sowie potenziel-le, kom pensierende Kontrollenund Maß nahmen definiert, die dieEffek tivität der Kontrolle sicher-stellen. Nach Umsetzung dieserMaß nahmen und einem erfolgrei-chen, erneuten Test wird die De -ficiency geschlossen.

Durch den Einsatz einer durchgängigen Datenbasis kann jederzeit ein Gesamtstatus aller Testfälle, Kon trollen undDeficiencies aktuell abgerufen werden. Im Evaluations modul kann das Ergebnis weiterhin bis auf die unterste Ebeneeiner Hierarchie detailliert betrachtet werden. Die Standardhierarchien sind hier die betrachtete Orga nisation, dieProzesse, die Bilanz positionen sowie die Tester hierarchie.

7. Nachweis der Compliance gegenüber externen Auditoren

Compliance Anforderungen müssen nicht nur nach innen erfüllt werden, sondern vor allem auch durch eine externeÜberprüfung oder ein externes Audit bestätigt bzw. zertifiziert werden können. Dies erfordert eine lückenloseDokumentation aller für die Compliance relevanten Aktivitäten inklusive der Nachverfolgung der Änderungshistorie allerInformationen.

Durch Einsatz einer ganzheitlichen, IT-gestützten Lösung, wie der ARIS Solution for GRC, können diese Anforderungennicht nur schnell und mit geringem Aufwand, sondern auch revisionssicher erfüllt werden: so kann in ARIS Risk &Compliance Manager lückenlos nachgewiesen werden, welcher Nutzer, welche Aktion, zu welchem Zeitpunkt und mitwelchem Ergebnis durchgeführt hat.

ARIS Risk & Compliance Manager unterstützt zudem durch umfangreiche Reporting-Funktionen die Dokumentation derCompliance-Aktivitäten gegenüber externen Prüfungen. Durch Aggregation und Filterung der Daten kann „aufKnopfdruck“ ein Dokument erstellt werden, welches die externe Prüfung für die relevanten Regularien ermöglicht. Auchhier ist die Wiederverwendbarkeit von internen Aktivitäten für mehrere Regularien und externe Prüfungen durch entspre-chende Filterung der Ergebnisse gegeben.

Darüber hinaus bietet ARIS Risk & Compliance Manager die Möglichkeit, einem externen Auditor einen lesenden Zugriffauf die relevanten Ergebnisse einzurichten, so dass sogar eine „Prüfung im System“ vollständig unterstützt wird. Unter -nehmen, die eine GRC Plattform implementiert haben, stellen fest, dass die externen Prüfer sich gerne in ein solcherartstringentes System mit ihren eigenen Feststellungen integrieren. Dadurch werden unliebsame „Überraschungen“ zumFinanz jahresende auf beiden Seiten reduziert.

7

ARIS Expert Paper

Abb. 6: ARIS Risk & Compliance Manager gibt jederzeit ein aktuelles Bild derGesamtsituation wieder

8. Analyse- und Auswertungsmöglichkeiten innerhalb des internen Kontrollsystems

Um die Effektivität der etablierten Compliance Aktivitäten sowie den Status der von diesen Prüfungen und Kontrollenbetroffenen Prozesse und Unternehmens-Einheiten überwachen zu können, ist eine Messung von Key PerformanceIndikatoren (KPI) sowie eine schnelle Aufbereitung der Daten in übersichtlicher Form erforderlich.

Compliance Process Dashboard verschafft einen schnellen Überblick über den aktuellen Stand der Aktivitäten. SeineAnzeigen sind durch den Anwender je nach Fokus konfigurierbar. Dies beinhaltet eine frei gestaltbare, multidimensiona-le Auswertung der Ergebnisse (z. B. Zeitreihen, regionale/überregionale Vergleiche etc.)

Zur detaillierten Analyse dieser aggregierten Ergebnisse kann zudem Compliance Process Performance Manager einge-setzt werden. Hier ist es möglich, bis auf die Ebene einzelner Prozess- bzw. Prüfungsinstanzen zu analysieren und zubewerten.

Schließlich sollte auch ein „Internal Control Maturity Model“ eingeführt werden.

Dabei werden alle Kontrollen wie folgt klassifiziert:

� Unzuverlässig

� Informell

� Standardisiert

� Überwacht

� Optimiert

Anhand dieses Modells sind die Unternehmensleitung sowie interne und externe Auditoren jederzeit in der Lage, dieAngemessenheit des internen Kontrollsystems zu beurteilen und seine Fortentwicklung strategisch zu steuern.

Für Unternehmen ist es von strategischer Bedeutung, einen zentralen Ansatz für Governance, Risk und ComplianceManagement zu verfolgen und eine effiziente GRC Organisation einzuführen. Erst dann können die verschiedenenBemühungen in einem konsolidierten GRC Management System zusammengeführt und alle Synergien aus Personal -ressourcen, Daten, IT und vorhandenem Wissen effizient genutzt werden. Dies führt zu mehr Prozessdisziplin, besseremund in die GRC Strategie integriertem Risikomanagement und zu einer generell stärkeren Wahrnehmung der Bedeutungvon GRC als dauerhafte Geschäftsanforderung.

8

ARIS Expert Paper

Abb. 7: Compliance Process Dashboard ermöglicht verschiedenste Sichten auf die vorliegen Daten

9. Zusammenfassung

Die Anforderungen an die Wirksamkeit interner Kontrollsysteme steigen ständig weiter an, gleichzeitig erhöhen sich dieAnsprüche an den Nachweis der getroffenen Maßnahmen eines Unternehmens. Effektivität und insbesondere dieEffizienz der internen Kontrollsysteme und der darauf aufsetzenden Compliance Prozesse haben sich noch nicht im ent-sprechenden Maßstab entwickelt.

Nachhaltige Effizienzsteigerungen können nur erreicht werden, wenn einerseits konsequent mit einer holistischen undeinheitlichen Methode gearbeitet wird, und andererseits eine zentrale Plattform für ein internes Kontrollsystem mit denGeschäftsprozessen als gemeinsamer Basis für alle aus den unterschiedlichsten Regularien abgeleiteten Kontrollen rea-lisiert wird.

Die ARIS Solution for GRC ist eine flexible Plattform, die system- und themenunabhängig ist und die Prozesse innerhalbdes internen Kontrollsystems effizient unterstützt. Sie sorgt für die notwendige Transparenz der komplexen Zusammen -hänge durch die datenbankgestützte Modellierung der Risiken und Kontrollen in die jeweiligen Geschäftsprozesse undunterstützt die einfache Publikation der definierten internen Regelungen des Unternehmens. Durch die effiziente Unter -stützung des internen Managementassessments wird der Aufwand für Prüfungshandlungen reduziert und die Qualität derPrüfungsergebnisse erhöht. Die Aufmerksamkeit kann sich auf die wesentlichen Ereignisse im Unternehmen konzentrie-ren.

Der lückenlose Audittrail, der sämtliche Handlungen dokumentiert, und die Transparenz über die Prüfungsergebnissestärken das Vertrauen in das interne Kontrollsystem und erlauben nicht zuletzt die Reduktion von Prüfungshandlungendurch den externen Auditor. Durch die einheitliche Datenbasis für interne und externe Feststellungen wird Doppelarbeitvermieden und frühzeitig Einverständnis über Bewertung der Deficiencies erzeugt.

Unternehmen, die sich für eine einheitliche, flexible GRC Plattform entscheiden, werden ihre Kosten deutlich senken –und zusätzlich von der Optimierung des internen Kontrollsystems und damit einhergehend der Geschäftsprozesse undderen Harmonisierung profitieren. Sie rüsten sich nachhaltig für die Zukunft, da sich neue Compliance-Themen in diekonsistente Systematik integrieren lassen und durch die zunehmende Automatisierung von Kontrollen und Test -handlungen von weiterer Effizienz profitieren werden.

9

ARIS Expert Paper

Publikationen zumThema:

Interne Kontrollsysteme inBanken und Sparkassen

Vorgaben und Erwartungen derBankenaufsicht

Wesentliche Kontrollen in denFachbereichen

IKS-DokumentationIKS-Prüfung

ISBN 978-3-936974-57-7

ARIS Expert Paper

�����������

�� ����� �

www.ids-scheer.com

© Copyright IDS Scheer AG, Saarbruecken, 2007. All rights reserved. The contents of this document are subject to copyright. Any changes, modifications, additionsor amendments require prior written consent from IDS Scheer AG, Saarbruecken. Reproduction in any form is only permitted on the condition that the copyright notice remains on the actual document. Publication or translation in any form requires prior written consent from IDS Scheer AG, Saarbruecken. “ARIS”, “IDS” ,“ProcessWorld”, “PPM”, ARIS with Platform symbol and Y symbol are trademarks or registered trademarks of IDS Scheer AG in Germany and in many other countries worldwide. “SAP NetWeaver” is a trademark of SAP AG, Walldorf. All other trademarks are the property of their respective owners.

ID-Number: EP-GRC-0108-D

IDS Scheer AG

HauptsitzAltenkesseler Str. 1766115 SaarbrückenPhone: +49 681 210-0 Fax: +49 681 210-1000E-mail: info@ids-scheer.com