RISK & COMPLIANCE - KPMG Deutschland | KPMG | DE · PDF file2 | Continuous Auditing &...

Studie

RISK & COMPLIANCE

Continuous Auditing & Continuous Monitoring Der Umsetzungsstand in der deutschen Wirtschaft 2011

2 | Continuous Auditing & Continuous Monitoring

Veränderte Voraussetzungen

Das Thema Corporate Governance hat in den vergangenen Jahren massiv an Bedeutung gewonnen. Ausgelöst durch Finanzkrisen, Korruptionsfälle und Datenmissbrauchsskandale sind die gesetzlichen Anforderungen für ein stringentes Compliance Management und Risikomanagement in Unterneh-men enorm gestiegen. Darüber hinaus wurden dem Vorstand und der Geschäftsführung zusätzliche Kontroll-pflichten auferlegt. Sanktionen sehen teilweise auch die persönliche Haftung der Unternehmenslenker vor. Spätes-tens seit Inkrafttreten des Bilanz-rechtsmodernisierungsgesetzes (BilMoG) müssen auch Aufsichtsräte fürchten, zur Rechenschaft gezogen zu werden. Ein ausgereiftes und aussagekräftiges Internes Kontrollsys-tem (IKS) und Risikomanagement ist somit eines der wichtigsten Elemente der Corporate Governance.

Neue Herausforderungen

Entscheidend für den Erfolg der Kon-troll- und Risikomanagementsysteme ist vor allem, der stetig steigenden Komplexität in den Geschäftsabläufen in einem Unternehmen Herr zu wer-den. Das ist nicht einfach, denn die Zeiten, in denen alle Vorgänge über den Tisch des Chefs liefen und alle Produktionsprozesse und Transaktio-nen bekannt waren, sind längst vorbei.

Einleitung

Eine Vielzahl von Systemen, komplexe Anbindungen an Geschäftspartner und andere Länder sowie die oft fehlende Harmonisierung der Geschäftsabläufe und -systeme erfordern einen höheren Grad der Automatisierung. Dabei gibt es verschiedene Trends, die die Möglichkeiten der internen Kontrollen ebenso wie die Anforderungen an ein IKS verändern. Dem Management und der internen Revision stehen mit der fortschreitenden IT-Durchdringung völlig neue Kontroll- und Überwa-chungsmechanismen zur Verfügung. Wo früher mühsam manuelle Stich-proben gezogen werden mussten, können heute über automatisierte IT-Abgleiche komplette Datensätze und singuläre Ereignisse geprüft werden. Die Auswertung erfolgt in Echtzeit, die Reak tionszeit sinkt damit beachtlich. Gleichzeitig sehen sich Vorstand und Geschäftsführung erheblichem Druck ausgesetzt, jeder-zeit verläss liche Informationen über die Risikolage ihres Unternehmens zu haben und bei Vorfällen sofort die richtigen Entscheidungen für eine höhere Sicherheit und Schadensmini-mierung treffen zu können.

Gestiegene Ansprüche

Nicht erst seit der Nuklearkatastrophe in Fukushima wird deutlich, dass die Verantwortlichen eines Kontrollsys-tems oft erst in dem Moment Verläss-lichkeit und Sicherheit großschreiben, in dem ein Zwischenfall aufgetreten ist. Das gilt auch für die Einschätzung der in dieser Studie befragten Unter-

© August 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzern gesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitglieds firmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, ange schlossen sind. Alle Rechte vorbehalten. Der Name KPMG, das Logo und „cutting through complexity“ sind eingetragene Markenzeichen von KPMG International.

Continuous Auditing & Continuous Monitoring | 3

nehmen zum Thema Verlässlichkeit und Sicherheit der eingesetzten Auditing- und Monitoringsysteme.

Sicher ist, dass Unternehmen es sich heutzutage nicht mehr leisten können, erst nach dem Auftreten eines Zwi-schenfalls zu reagieren. Die eigenen internen Kon troll- und Risikomanage-mentsysteme müssen auf die eigenen Geschäftsabläufe angepasst sein, verlässlich arbeiten und ständig mit den Erkenntnissen aus den Kon troll- und Überwachungsmaßnahmen neu justiert werden. Es gibt kaum noch Geschäftsabläufe in einem Unterneh-men, die länger als ein paar Wochen oder Monate unverändert bestehen bleiben. Mit dieser Schnelllebigkeit wird notgedrungen auch die Effektivi-tät manueller Kontrollen abnehmen (von der Effizienz manueller Kontrollen gar nicht zu reden).

Effiziente Lösungen

Die gute Nachricht ist, dass der Unter-nehmensführung und der Internen Revision mittlerweile eine Vielzahl effektiver und effizienter Methoden und Lösungen für den sogenannten „Continuous Auditing & Continuous Monitoring (CACM)“-Ansatz zur Ver fügung steht, die eine höhere Prüfungssicherheit (Assurance) bieten und durch ihre automatisierten Prü-fungs- und Überwachungsroutinen gleichzeitig die Kosten reduzieren können.

Die vorliegenden Ergebnisse unserer Studie zeigen den derzeitigen Umset-zungsstand von CACM-Lösungen in der deutschen Wirtschaft auf, stellen die Motivationsfaktoren für solche Lösungen heraus und geben eine kurze Bewertung der am Markt bekannten CACM-Lösungen ab. Aus unserer Sicht befinden sich die meisten größeren Unternehmen, insbesondere aus dem Finanzdienst-leistungssektor, bereits in einem Transformationsprozess und setzen zunehmend auf intelligente CACM-Lösungen. Jedoch werden Sie nach dem Lesen der Studienergebnisse feststellen, dass sich die befragten Unternehmen und auch die Lösungs-anbieter noch am Anfang befinden.

Ich wünsche Ihnen eine interessante Lektüre.

Bernd RosenbergPartner, Internal Audit, Risk & Compliance

„Auf Compliance-Vorfälle haben wir mit einem umfangreichen Programm zur Verbesserung des internen Kontrollsystems reagiert.“ Leiter Revision, DAX-Unternehmen, Automotive


4 | Continuous Auditing & Continuous Monitoring4 | Continuous Auditing & Continuous Monitoring



Inhaltsverzeichnis

1 Eckdaten der Studiendurchführung 6

2 Wesentliche Ergebnisse der Studie 8

3 Der Umsetzungsstand von CACM in der deutschen Wirtschaft 103.1 Motivationsfaktoren 113.2 Umsetzungsstand im Detail 123.3 Nutzer von CACM 133.4 Ausgestaltung des Internen Kontrollsystems

und der Bezug zur CACM-Nutzung 143.5 Einsatzgebiete 173.6 Nutzung von unterstützenden IT-Tools

und Software 183.7 Zukünftige Planung und

Investitionsbereitschaft 22

4 Monitoring Excellence: der Intelligente CACM-Ansatz der Zukunft 25

Exkurs: Das Modell in der Praxis 27

5 Fazit 30



Die meisten Unternehmen stellen sich nach unserer Erfahrung beim Aufbau des Compliance Managements und der Risikomanagementsysteme sowie beim Ausgestalten des Internen Kon trollsystems die gleiche Frage: Was machen die anderen? Man möchte von den Practice-Ansätzen und guten Ideen anderer lernen und dabei wissen, ob die für sich selbst ausgewählte oder eingesetzte Technik auf dem aktuellen Stand ist.

Vor diesem Hintergrund haben wir versucht, Unternehmen gezielt im Rah-men einer Studie anzusprechen und die folgenden Fragestellungen zu erörtern:

• Wie sind interne Kontrollen in Unter-nehmen derzeit ausgestaltet und strukturiert?

• Wie weit ist die Umsetzung eines CACM-Ansatzes schon vorange-schritten?

• Welche Motivationsfaktoren halten Unternehmensverantwortliche für die Einführung von CACM für aus-schlaggebend?

• Welche Hindernisse werden erwar-tet oder traten tatsächlich auf?

• Welche IT-unterstützenden CACM-Tools sind bekannt und werden genutzt?

• Mit welchen Entwicklungen ist in den nächsten Jahren zu rechnen?

Die Studie basiert auf zwei sich ergän-zenden Techniken: Den Kern bildet eine anonymisierte Umfrage auf Basis eines strukturierten Fragebogens. Die so gewonnenen, quantitativ auswertbaren Erkenntnisse wurden mit Hilfe einer zweiten Befragungs-technik durch persönliche Tiefeninter-views mit Unternehmensverantwort-lichen und den daraus entstandenen qualitativen Aussagen ergänzt. Mit diesen beiden Befragungstechniken konnten wir die für die deutsche Wirtschaft zunächst statistisch nicht auswertbare Teilnehmerzahl mit quali-tativ hoch relevanten Aussagen der Unternehmen zu einem aussagekräf-tigen Gesamtbild führen.

Der Inhalt des für die Umfrage struktu-rierten Fragebogens orientierte sich an den aus unserer umfangreichen prakti-schen Erfahrung für die Umsetzung von CACM-Projekten besonders zen-tralen Entscheidungsparametern. Dabei haben wir einen „80/20-Ansatz“ verfolgt: Die von uns vorgegebenen Auswahlmöglichkeiten zu einer Ant-wort decken zu 80 Prozent die erfah-rungsgemäß wichtigsten Aussagen ab. Für die restlichen 20 Prozent blieb die Möglichkeit, individuelle Antwor-ten zu geben.

1 Eckdaten der Studien-durchführung



5,4

5,4

4,7

4,0

28,9

9,4

8,1

6,0

11,4

10,7

6,0

Maschinen- und Anlagenbau

Bankwesen

Versicherung

Automobilbranche

Energie & Infrastruktur (Gas-, Wasser- und Stromversorgung)

Transport, Freizeit und Tourismus

Andere Finanzdienstleistungen

Chemie und Pharmazie

Medien und Unterhaltung

Gesundheitswesen

Sonstige

0 302010

Insgesamt wurden von uns 149 Unter-nehmen mittels eines strukturierten Fragebogens befragt. Gut drei Viertel der Umfrageteilnehmer repräsentier-ten Industrieunternehmen.

Mittelständisch geprägte Unterneh-men mit einem Jahresumsatz von weniger als einer Milliarde Euro machten demnach knapp 45 Prozent der Umfrageteilnehmer aus. 55 Pro-zent der Teilnehmer waren hingegen Großunternehmen mit einem Jahres-umsatz von mehr als einer Milliarde Euro.

Die Mehrheit der Umfrageteilnehmer war im Bereich der Internen Revision tätig. Dies legt den Schluss nahe, dass sich dieser Bereich am stärksten mit CACM-Ansätzen auseinandersetzt. Insgesamt kamen 63 Prozent der Umfrageteilnehmer aus dem Bereich Interne Revision, ungefähr 16 Prozent aus dem Bereich Finanzen und Rech-nungswesen und nur knapp zehn Pro-zent aus dem Geschäftsführungs- oder Vorstandsbereich. Nur etwa zehn Pro-zent der Teilnehmer gaben an, sich in einer operativen Funktion als Compli-ance- oder Risikomanager direkt mit dem Internen Kontrollsystem, mit IT-Aufgaben oder Rechtsfragen in Bezug auf CACM zu beschäftigen.

Abbildung 2Anzahl der Teilnehmer in Relation

zur Größe ihres Unternehmens(Angaben in Prozent)

Quelle: KPMG-Analyse

Abbildung 1In welcher Branche ist Ihr Unternehmen

primär tätig?(Angaben in Prozent)


16,8

13,4

14,1

40,3

15,4

Unter 200 Mio. €

200–500 Mio. €

500 Mio. € – 1 Mrd. €

1–10 Mrd. €

Über 10 Mrd. €

0 5040302010



Zielsetzung und Impulsgebung für Maßnahmen im CACM

Die befragten Unternehmen sehen die entscheidenden Motivationsfakto-ren für die ständige Optimierung und Automatisierung von Internen Prü-fungs- und Kontrollsystemen im Wesentlichen bei der Erhöhung der Sicherheit, der kontinuierlichen Ver-besserung der Prozesse und bei der Erkennung und Prävention wirtschafts-krimineller Handlungen. Regelverlet-zungen und Wirtschafts kriminalität nachhaltig in den Griff zu bekommen, ist ein komplexes Unterfangen. Es wird neben den grundsätzlich gestie-genen Compliance-Anforderungen hinsichtlich mehr Transparenz und besserem Risikomanagement als wesentlicher Treiber für die Optimie-rung Interner Prüfungs- und Kon-trollsysteme genannt.

Einsatz und Nutzung in den einzelnen Sektoren

Aktuell wird CACM von über 70 Pro-zent der Unternehmen zumindest in Teilbereichen genutzt. Dabei setzt der Finanzdienstleistungssektor CACM mit über 80 Prozent am häufigsten ein, während knapp 67 Prozent der Indus-trieunternehmen CACM in Teilberei-chen nutzen. Der deutliche Vorsprung des Finanzdienstleistungssektors lässt sich zum einen mit den seit geraumer Zeit geltenden strengen regulatori-schen Anforderungen und zum ande-ren mit der hohen Verfügbarkeit von digitalen Daten erklären. Grundsätzlich

2 Wesentliche Ergebnisse der Studie

überraschen aber die hohen Werte hinsichtlich der Nutzung von CACM. Dies geht zum Teil darauf zurück, dass die in der Literatur definierten techni-schen und organisatorischen Rahmen-bedingungen kaum eingehalten werden oder nur in geringem Maße erfüllt sind. Außerdem herrscht unter den Studienteilnehmern kein einheitli-ches Verständnis von CACM.

Nur 37 Prozent der befragten Unter-nehmen setzen IT-gestützte Systeme und Tools für CACM ein. Dabei sind die Finanzdienstleister mit weit über 40 Prozent führend, während mittel-ständisch geprägte Unternehmen den Nutzen von IT-gestützten Systemen nur mit knapp 17 Prozent ausschöpfen.

Anforderungen an eine zukunftsorientierte Ausrichtung

Für die kontinuierliche Optimierung und Erhöhung der Effektivität interner Kon trollsysteme wird die Reduzierung manueller Kontroll- und Steuerungs-prozesse absolut notwendig. Manuelle Kontrollen bergen eine nicht von der Hand zu weisende Gefahr – menschli-ches Versagen. Ohne einen Paradig-menwechsel der Compliance- und Kontrollverantwortlichen, weg vom „manuellen Stichproben ziehen“ und hin zum „automatisierten und intelli-genten Steuern“, sind die Compliance-Anforderungen der Zukunft nicht zu erfüllen.



Bei den immer weiter steigenden Anforderungen an die Compliance in einem Unternehmen und den immer komplexer werdenden Geschäftspro-zessen steigt auch der Wunsch nach mehr Transparenz beziehungsweise nach einem besseren Verständnis des Compliance-Status im Unternehmen.

Das Bewusstsein in der deutschen Wirtschaft, durch die Nutzung von CACM-Maßnahmen zu einem effizien-teren und effektiveren Risiko- und Compliance management zu kommen, ist gewachsen, obwohl das konkrete Verständnis der tatsächlich geeigneten Maßnahmen noch immer sehr unter-schiedlich ausgeprägt ist.

Trends und Entwicklungen in der Umsetzung von CACM

Der Markt für CACM-Lösungen wird weiter wachsen. Immerhin beabsichti-gen nahezu 90 Prozent der befragten Unternehmen die Einführung oder den Ausbau von CACM-Lösungen. Die Investitionsbereitschaft verhält sich dabei proportional zur Größe des Unternehmens. Knapp drei Viertel der Unternehmen (77,3 Prozent), die bis-her CACM nicht genutzt haben, ziehen die Einführung in Betracht oder haben bereits mit der Einführung begonnen.

Um am Markt erfolgreich zu sein, wird es zukünftig eine größere Rolle spie-len, dass die CACM-Lösungen zusätz-lich zu ihrem Ziel der Assurance auch die Performance der zu überwachen-den Systeme oder Prozesse adressiert.

Der Bedarf für CACM wird insbeson-dere in den Unternehmensbereichen Rechnungswesen, Steuern, Finanzen, IT-Zugangssicherheit, Beschaffung sowie Daten- und Informationsqualität gesehen.

Die Studie zeigt aber auch, dass der Begriff CACM inhaltlich sehr weit ausgelegt wird und dass ein einheitli-ches Verständnis noch geschaffen werden muss. So wird die Durchfüh-rung von Datenanalysen zur Sachver-haltsermittlung bereits als CACM bezeichnet, obwohl es sowohl an der Regelmäßigkeit (continuous) als auch der organisatorischen Einbindung des CACM-Prozesses mangelt. Auch regelmäßig durchgeführte manuelle/halbautomatische Überwachungstätig-keiten (monitoring) werden häufig als CACM bezeichnet, obwohl es an einer IT-Unterstützung (zum Beispiel für Datenanalysen) mangelt oder der Fokus der Überwachungstätigkeit nicht auf Risiken, Prozessen und Kontrollen liegt.



CACM wird von über 70 Prozent der Unternehmen zumindest in Teilberei-chen bereits genutzt, die Durchdrin-gung mit IT-gestützten Tools ist mit 37 Prozent jedoch eher gering.

Eine umfassende Betrachtung des Umsetzungsstands von CACM-Lösun-gen zeigt auf, dass sich Unternehmen je nach Größe und Regulierungsgrad in der Branche ganz unterschiedlich mit einem eigenen Ansatz für eine effek-tive und effiziente Kontroll- und Über-wachungsumgebung auseinander-gesetzt haben.

Grundsätzlich lässt sich festhalten, dass CACM zwei Ansätze zusammen-bringt:

(1) Unter Continuous Auditing (CA) versteht man die kontinuierliche Sammlung von Prüfungsnachweisen und Indikatoren auf Basis eines wei-testgehend automatisierten Kontroll-systems und

(2) unter Continuous Monitoring (CM) versteht man die kontinuierliche Überwachung der Effektivität einge-setzter interner Kontrollsysteme und Evaluierung potenzieller Unregelmä-ßigkeiten.

3 Der Umsetzungsstand von CACM in der deutschen Wirtschaft

Continuous Auditing Continuous Monitoring

Definition

• kontinuierliche Risikoeinschätzung• Sammlung von Prüfungsnachweisen• Analyse des Risikomanagementsystems• Beurteilung des Internen Kontrollsystems

• kontinuierliche Risikoeinschätzung• Überwachung und Einschätzung der Effektivität

und Effizienz implementierter Prozesse und interner Kontrollsysteme

Nutzen

• Unterstützung der Internen Revision bei Erhöhung der Prüfungseffizienz und -sicherheit

• Steigerung der Transparenz, zum Beispiel mit Ersetzen manueller Stichproben durch automatisierte Prüfroutinen

• Unterstützung des Top und Middle Managements bei der Erhöhung der Effektivität und Effizienz sowie bei

• Schaffung von Transparenz in den implementierten Geschäftsprozessen und Internen Kontrollsystemen

Verantwortung

• verantwortlich ist in der Regel die Interne Revision • verantwortlich ist in der Regel das Top und Middle Management

Die Anwendung beider Ansätze (CA und CM) unter dem Einsatz IT-gestützter Systeme führt zu mehr Effektivität, Effizienz, Sicherheit und Transparenz der Internen Prüf- und Kontrollsysteme.

Abgrenzung von CA und CM

© 2011 KPMG, Deutschland



Das Management kann mit CACM die notwendige Verlässlichkeit des Prüf- und Kontrollsystems erhöhen und erwirkt damit mehr Sicherheit in seiner Überwachungsfunktion im Rahmen einer guten Corporate Governance.

Auch wenn der eingesetzte CACM-Ansatz in verschiedenen Industrien und Unternehmen ganz unterschied-lich ausgeprägt ist, sind die angewen-deten Methoden doch sehr ähnlich:

Zunächst definiert das Management der Geschäftsbereiche einzelne Aktivi-täten oder Prozesse im Unternehmen, die ein wesentliches Risiko potenzial aufweisen. Für diese Risikobereiche werden Überwachungsroutinen erar-beitet, die nach festgelegten Inter-vallen und regel basierten Indikatoren automatisiert überwacht werden. Ergeben sich bei den Prüfungen Unregelmäßigkeiten, besteht Hand-lungsbedarf durch das Management. Entweder sind Routinen anzupassen oder identifizierte Kontrollschwächen zu beheben beziehungs weise die identifizierten Sachverhalte zu lösen.

Ein wesentliches Element eines CACM-Ansatzes ist, dem Manage-ment geeignete Formate der Bericht-erstattung zu geben. Durch die weitge-hende Automatisierung der Prüf- und Überwachungsprozesse sind auch die Formate für die Informationsweiter-gabe recht einfach und schnell bereit-zustellen. Beispielsweise kann ein sogenannter „Alert“ den Nutzer aus-schließlich im Falle von Abweichungen oder Unregelmäßigkeiten informieren.

Oder ein auf dem PC installiertes Programm enthält ein Kennzahlen- oder Reporting-Cockpit, mit dem alle Abweichungen und Unregelmäßig-keiten bei Bedarf abgerufen werden können. Die Erstellung von regelmäßi-gen Berichten zu Abweichungen (zum Beispiel täglich, wöchentlich oder monatlich) ist ebenfalls jederzeit ein-stellbar und nutzbar. Darüber hinaus kann durch die Anbindung von Work-Flows die Bearbeitung der Abweichun-gen strukturiert und dokumentiert vorgenommen werden.

Das Kapitel 3 skizziert zunächst, aus welcher Motivation heraus Unterneh-men CACM implementieren. Anschlie-ßend werden die unterschiedlichen Umsetzungsgrade je Unternehmens-größe und Branche beleuchtet, bevor dann die klassischen Einsatzgebiete von CACM dargestellt werden. Den Abschluss des Kapitels bilden die Analyse der genutzten IT-Tools zur Unterstützung von CACM sowie die damit verbundene Investitionsbereit-schaft von Unternehmen.

3.1 Motivationsfaktoren

Der Nutzen von CACM wird vor allem bei einer höheren Sicherheit, der Opti-mierung der Unternehmensprozesse und beim Schutz vor Wirtschaftskrimi-nalität gesehen.



Realisierter Nutzen von CACM(Rangfolge nach Prioritätenbewertung der Befragten)

1 Höhere Sicherheit (Assurance)

2 Kontinuierliche Verbesserung beziehungs weise Optimie rung der Unternehmens prozesse

3 Schutz vor dolosen Hand lungen durch verbes serte Prävention und Aufdeckung

4 Verbesserung der Qualität der Daten /Informationen, die der Unternehmens führung zur Verfügung gestellt werden

5 Nachweis gewissenhafter Unter-nehmens führung gegen über Regulierungsbehörden, Aktio-nären, Kunden, Kapital märkten sowie anderen Stakeholdern

6 Integration diverser Aktivitäten der Unter nehmens führung in ein einheitliches Rahmenwerk

7 Analyse und Abfrage der Unter-nehmens performance

8 Erfüllung gesetzlicher Anforde-run gen (Sarbanes-Oxley Act, BilMoG, J-SOX, Law 262 etc.)

9 Beschleunigte Erstellung interner und externer Berichte (Quality Close)

10 Verminderung der Corporate Governance-Aufwendungen

11 Leichterer und günstigerer Zugang zu Kapitalmärkten bezie-hungs weise zu Kapital gebern

mit den bestehenden Compliance-Anforderungen begründen, scheint zunächst die Frage nach dem eigenen, direkten Nutzen durch die Nutzung von CACM, Entscheidungen maßgeb-lich zu beeinflussen. So ist es zunächst wichtiger zu wissen, ob mein Unter-nehmen im Rahmen meiner Aufgaben mit dem CACM-Ansatz vor dolosen Handlungen wirklich zu schützen ist und ob die aus dem System gewon-nenen Informations daten für die Unternehmensführung einen zuneh-menden Qualitätsgewinn bedeuten.

Auch der Nutzen von CACM für effizientere Kontrollprozesse wurde als ein Motivationsfaktor genannt. Dazu gehören Faktoren wie zum Beispiel eine zu erwartende Verminderung der Corporate Governance-Aufwendun-gen oder die beschleunigte Erstellung interner und externer Berichte.

3.2 Umsetzungsstand im Detail

Knapp über 70 Prozent der befragten Unternehmen nutzen CACM zumin-dest in Teilbereichen oder sogar unternehmensweit.

Trotz Anwendung von CACM variiert der konkrete Nutzungsgrad jedoch erheblich. Während zehn Prozent der Unternehmen eine unternehmens-weite Nutzung angaben, setzen die verbleibenden 60 Prozent der nutzen-den Unternehmen CACM nur in begrenztem Ausmaß ein (siehe nächs-tes Kapital zu den Einsatzgebieten).

Um den aktuellen Umsetzungsstand von CACM beurteilen zu können, müssen zunächst die Motivationsfak-toren für CACM in den Unternehmen genauer betrachtet werden. Bei der Analyse von Nutzen und Vorteilen von CACM kann grundsätzlich zwischen intrinsischen und extrinsischen Fakto-ren unterschieden werden.

Bei den intrinsischen Faktoren stehen die Sicherheit und Verlässlich-keit des Internen Kontrollsystems im Vordergrund. Verantwortliche in der Unternehmensführung wollen eine höhere Sicherheit bei der Beurteilung von Risiken und dem Erkennen von Vorfällen erlangen. Dazu ist es not-wendig, verlässliche Informationen durch den CACM-Ansatz zu erhalten.

Bei den extrinsischen Faktoren geht es in erster Linie um die Erfüllung externer Corporate Governance-Anfor-derungen. So wird auch der Nutzen eines CACM-Ansatzes darin gesehen, dass mit dem System ein Nachweis gewissenhafter und regelkonformer Unternehmensführung dokumentiert werden kann.

Bei der Selbsteinschätzung der Umfra-geteilnehmer standen die intrinsischen Faktoren an erster Stelle. Die höhere Sicherheit und die kontinuierliche Ver-besserung beziehungsweise Optimie-rung der Unternehmensprozesse wurden als wesentliche Vorteile der Nutzung von CACM an erster Stelle genannt.Obwohl Lösungsanbieter in ihren Prospekten immer wieder die Notwendigkeit des CACM-Ansatzes




„Die Möglichkeit eines zeitnahen Informationsflusses in verlässlicher Qualität war der ausschlaggebende Faktor.“Leiter Revision, Familienunternehmen, Handel

Knapp 30 Prozent der befragten Unter-nehmen nutzen CACM aktuell noch gar nicht. Unter der Annahme, dass nur Unternehmen mit einem gewissen Interesse an CACM an der Studie teil-genommen haben, lässt sich vermu-ten, dass die tatsächliche Nutzung der deutschen Wirtschaft weit geringer ist.

Der noch eingeschränkte Nutzungs-grad lässt sich dadurch erklären, dass CACM für viele der befragten Unter-nehmen ein relativ neues Instrument ist, welches erst in den letzten Jahren durch die Weiterentwicklung und Ver-breitung passender IT-Systeme für die praktische Anwendung interessant geworden ist. Hinzukommt ein kultur-immanenter Aspekt: Viele Verantwort-liche, insbesondere aus dem Bereich der Internen Revision, verabschieden sich nur langsam von bisherigen Arbeitsweisen, durch manuelle Stich-probenüberprüfungen eine gewisse Eigenkontrolle über die Geschehnisse zu behalten und setzen nur vereinzelt auf automatisierte Abläufe und Ana-lysetechniken mit IT- Unterstützung.

Eine Beleuchtung des Nutzungsgrades in Abhängigkeit von der Unterneh-mensgröße zeigt erwartungsgemäß Unterschiede auf. Die Nutzung von CACM in Großunternehmen ist im Verhältnis zum Mittelstand weiter ausgeprägt. Während 75 Prozent der Großunternehmen angaben, CACM zumindest in Teilbereichen zu nutzen, sind es beim Mittelstand lediglich 60 Prozent.

Noch heterogener ist der Vergleich zwischen Finanzdienstleistern und Industrieunternehmen. Der stark regulierte Finanzdienstleistungssektor muss eine Vielzahl von Compliance- Anforderungen in die bestehenden Internen Kontrollsysteme integrieren. So sind eingeführte Interne Kontroll-systeme stärker standardisiert und die Qualität der Softwareumgebung sowie der Einsatz automatisierter Analyse-systeme vergleichsweise hoch. Entsprechend gaben 81,6 Prozent der befragten Finanzdienstleister an, CACM zu nutzen. Im Vergleich dazu lag die Nutzungsquote der Indus-trieunternehmen bei nur 66,7 Prozent.

3.3 Nutzer von CACM

52 Prozent der befragten Unterneh-men nutzen sowohl die Interne Revi-sion als auch das Management CACM. In Summe ist jedoch die Nutzung durch die Interne Revision mit knapp 80 Prozent stärker als durch das Management (65 Prozent).

52,4 Prozent der befragten Unterneh-men gaben an, den Ansatz CACM in voller Ausprägung zu nutzen. In diesen Unternehmen bedient sich sowohl die Interne Revision der Möglichkeiten der kontinuierlichen Überwachung (CA) von Risiken und Kontrollen als auch das Management mit dem CM-Ansatz.

Abbildung 3Inwieweit nutzt Ihr Unternehmen bereits Continuous Auditing und Monitoring?(Angaben in Prozent)Quelle: KPMG-Analyse

Unternehmensweite Nutzung

Nutzung in weiten Teilen des Unternehmens

Bisher keine Nutzung

Begrenzte Nutzung

10,1

20,1

29,5

40,3



In knapp 40 Prozent der Unternehmen gestaltet sich die Situation anders. Hier ist entweder die Interne Revision oder das Management der Treiber. Die Abbildung 4 zeigt, dass eine konti-nuierliche Überprüfung der Risiken und Kontrollen bei der internen Revi-sion verbreiteter ist, als beim Manage-ment. Insgesamt lässt sich feststellen, was in diesem Kapitel bereits theore-tisch dargestellt wurde: CACM ist die Verbindung von zwei Ansätzen – CA und CM.

Diese sind unabhängig voneinander anwendbar. Die Erfahrung aus unseren Projekten zeigt jedoch, dass nur durch eine Kombination die Effizienzpotenzi-ale optimal ausgeschöpft werden können. Insofern ist es begrüßens-wert, dass bei 52 Prozent der Unter-nehmen CA und CM in Kombination umgesetzt haben.

3.4 Ausgestaltung des Internen Kontroll-systems und der Bezug zur CACM-Nutzung

Die Ausgestaltung des Internen Kontrollsystems beeinflusst die Umsetzung von CACM maßgeblich.

Aus der vorausgegangenen Definition ging hervor, dass CACM entweder eine automatisierte Durchführung des Monitorings von Kontrollen oder aber eine Automatisierung der Kontrollen darstellt. Bereits aus dieser Umschrei-bung geht hervor, dass ein enger Zusammenhang zwischen IKS und CACM besteht.

Interne Kontrollsysteme, welche zu einem hohen Anteil aus automatisier-ten Kontrollen bestehen, haben die besten Voraussetzungen für die Umsetzung von CACM. Je stärker Unternehmen schon automatisierte

Überwiegend kontinuierliche Überprüfung der Risiken und Kontrollen durch das Management und die Interne Revision

Überwiegend kontinuierliche Überprüfung der Risiken und Kontrollen durch die Interne Revision

Überwiegend kontinuierliche Überprüfung der Risiken und Kontrollen durch das Management

Ausschließlich Interviews und Diskussionen mit dem Management und/oder der Internen Revision

Andere

0 605040302010

52,3

28,6

11,4

4,8

2,9

Abbildung 4Nutzung verschiedener Ansätze von CACM (Angaben in Prozent)Quelle: KPMG-Analyse



Die Voraussetzungen für eine Nutzung von CACM erscheinen somit im Finanzdienstleistungssektor besser als in der Indus trie zu sein.

Im nächsten Schritt galt es zu schauen, inwiefern die Unternehmen mit einem überwiegenden Anteil an automati-schen Kontrollen, diese auch für eine kontinuierliche Überprüfung ihrer Risi-ken und Aktivitäten nutzen. Nutzen die Unternehmen die Potenziale, welche in der Automatisierung liegen?

Von den Unternehmen, welche anga-ben, überwiegend automatische Kon-trollen implementiert zu haben, führen 93 Prozent an, auch eine kontinuierli-che Überprüfung ihrer Risiken und Aktivitäten durchzuführen.

Der Zusammenhang zwischen einer Automatisierung von Kontrollen und einer kontinuierlichen Überwachung beziehungsweise Kontrolldurchfüh-rung erscheint somit gegeben.

Als Ereignisse/Aus löser gaben die Unternehmen dabei Folgendes an:

Kontrollen und IT-gestützte Systeme implementiert haben, desto weiter sind CACM-Ansätze in Teilbereichen eingeführt oder unternehmensweit umgesetzt.

Die Unternehmen wurden nach dem Automatisierungsgrad ihres Internen Kontrollsystems befragt. 36,3 Prozent der Unternehmen gaben an, überwie-gend automatische Kontrollen (das heißt mindestens 60 Prozent der Kon-trollen sind automatisch) zu haben. Die verbleibenden 63,7 Prozent hingegen bedienen sich primär manueller Kon trollen.

Die Verteilung ist nahezu ungeachtet der Unternehmensgröße, das heißt sowohl Mittelstand als auch Groß-unternehmen weisen eine ähnliche Verteilung auf. Etwas anders verhält sich die Situation bei der Unterschei-dung der Finanzdienstleister und Industrieunternehmen. Die starke Regulierung des Finanzdienstleis-tungssektors wird auch hier deutlich: Unternehmen dieser Branche nutzen zu 57,9 Prozent überwiegend auto-matische Kontrollen. In der Industrie sind es hingegen nur 28,8 Prozent der Unternehmen mit einem überwie-genden Anteil an automatischen Kontrollen.



Abbildung 5Wie häufig erfolgt die Überprüfung der Aktualität wesentlicher Risiken und Kontrollen im Rahmen des Continuous Auditing und Monitoring?(Angaben in Prozent)Quelle: KPMG-Analyse

Abbildung 6Welche Aussage beschreibt am zutreffendsten die aktuelle Situation in Ihrem Unternehmen im Hinblick auf das Interne Kontroll system? a) Grad der Automatisierung(Angaben in Prozent)Quelle: KPMG-Analyse

Abbildung 7Welche Aussage beschreibt am zutreffendsten die aktuelle Situation in Ihrem Unternehmen im Hinblick auf das Interne Kontrollsystem? b) Kontrollintervalle(Angaben in Prozent)Quelle: KPMG-Analyse

Kontrollen werden überwiegend ereignisbezogen durchgeführt (Anteil ereignisbezogener Kontrollen > 80%)

Kombination aus ereignisbezogenen und regel-mäßigen/planmäßigen Kontrollen, hauptsächlich ereignisbezogene Kontrollen (Anteil ereignis-bezogener Kontrollen 60–80%)

Kombination aus ereignisbezogenen und regel-mäßigen/planmäßigen Kontrollen, hauptsächlich regelmäßige/planmäßige Kontrollen (Anteil regel-mäßiger/planmäßiger Kontrollen 60–80%)

Kontrollen werden überwiegend regelmäßig/planmäßig durchgeführt (Anteil regelmäßiger/planmäßiger Kontrollen > 80%)

26,8

7,4

43,0

22,8

8,6

53,3

15,2

22,9

Sobald sich Änderungen im Umfeld ergeben

Überwiegend risikoabhängig

Überwiegend ereignisbezogen

Überwiegend regelmäßig/planmäßig

Überwiegend manuelle Kontrollen (Anteil manueller Kontrollen > 80%)

Kombination aus manuellen und automati-sierten Kontrollen, hauptsächlich manuelle Kontrollen (Anteil manueller Kontrollen 60–80%)

Kombination aus manuellen und automatisierten Kontrollen, hauptsächlich automatisierte Kontrollen (Anteil automatisierter Kontrollen 60–80%)

Überwiegend automatisierte Kontrollen (Anteil automatisierter Kontrollen > 80%)

13,43,4

50,3

32,9



„Veränderungen im Unternehmen müssen zeitnah eine Überprüfung des CACM-Ansatzes anstoßen, um die Funktions fähigkeit von CACM sicherzustellen.“Bernd Rosenberg, KPMG

Insgesamt lässt sich sagen, dass ein Zusammenhang besteht zwischen der Nutzung von CACM und dem Auto-matisierungsgrad des IKS, was zu einer höheren Transparenz und Sicher-heit der zugrunde liegenden Prozesse führt.

3.5 Einsatzgebiete

24,8 Prozent der befragten Unterneh-men sehen den größten Nutzen von CACM in den Bereichen Rechnungs-wesen und Steuern.

Eine spannende Fragestellung bei der Betrachtung der Implementierung von CACM-Systemen in Unternehmen ist, in welchen Bereichen CACM vorzugs-weise eingesetzt wird und in welchen Bereichen die Unternehmen bei einer beabsichtigten CACM-Einführung den größten Nutzen für sich sehen. 24,8 Prozent der in dieser Studie befragten Unternehmen zählen den Bereich Rechnungswesen und Steu-ern zu den fünf Bereichen, in denen CACM zum größtmöglichen Nutzen eingesetzt werden kann. Erwartungs-gemäß folgen dann unter anderem die Bereiche Finanzen (Trea sury), IT-Zu-gangssicherheit, Beschaffung sowie Daten- und Informationsqualität. Diese Bereiche nutzen in der Regel im Zuge der Internen Kontrollsysteme schon fortschrittliche IT-Systeme und schaf-fen daher die Basis, um Vorteile von CACM schnell und ohne größeren Auf-wand zu realisieren. Im Rahmen von Pilotprojekten bieten diese Bereiche sich an.

Bereiche wie Produktion, Vertrags-management, Strategie, Lagerverwal-tung / -führung oder der F&E- Bereich sind nicht sehr hoch priorisiert wor-den. Ursache hierfür könnte sein, dass in diesen Bereichen bisher nur geringe Erfahrungen mit Kontroll systemen bestehen. Nach unserer Erfahrung gibt es in hochspezialisierten Branchen, zum Beispiel bei Energieversorgern sehr wohl CACM-Ansätze zur kontinu-ierlichen Evaluierung von Marktbe-wegungen und deren Aus wirkungen auf die festgelegte Strategie (unter anderem die Stromhandelsstrategie).

Die genannten Einsatzgebiete sind aus diesen Gründen nur indikativ zu sehen. Sicher kann man feststellen, dass es im Rechnungswesen- und Steuerbe-reich dank der Anforderungen der Wirtschaftsprüfer schon immer eine ausgeprägte Kontrollkultur gegeben hat. Andere Bereiche kommen aber immer stärker in den Fokus und müs-sen mit betrachtet werden. Würde man heut zutage zum Beispiel den Bereich des Datenschutzes und der Informations sicherheit aus Ansätzen zur Überwachung aussparen, entsprä-che dies nicht mehr den in den letzten Jahren geschärften Anforderungen.

Realisierter Nutzen von CACM in Prozessen/Aktivitäten(Rangfolge nach Prioritätenbewertung der Befragten)

1 Rechnungswesen und Steuern

2 Finanzen (Treasury)

3 IT-Zugangsicherheit und Benutzerberechtigung

4 Beschaffung

5 Daten- und Informationsqualität

6 Vertrieb

7 Gehaltsabrechnung, Reisekosten und Spesenabrechnung

8 Datenschutz und Informationssicherheit

9 Produktion

10 Vertragsmanagement

11 Strategie

12 Lagerverwaltung / -führung

13 Forschung, Entwicklung und Investitionsprojekte




3.6 Nutzung von unter-stützenden IT-Tools und Software

Die Durchdringung des eingesetzten CACM-Ansatzes mit IT-gestützten Tools ist mit 37 Prozent eher gering.

Um die Vorteile eines CACM-Ansatzes mit einem hohen Automatisierungs-grad gewinnbringend in einem Unter-nehmen einsetzen zu können, ist die Integration von relevanten IT-Tools und Software anwendungen von großer Bedeutung.

Zunächst ist das Verhältnis von auto-matisierten zu manuellen Kontrollen in den Unternehmen von Interesse, um beurteilen zu können, inwieweit die Kontrollprozesse auf die Einführung von analysierenden IT-Tools und Soft-wareanwendungen vorbereitet sind. Die Umfrage hat gezeigt, dass der Grad der Automatisierung sowohl im Mittelstand als auch bei Großunterneh-men bisher noch nicht weit vorange-schritten ist; manuelle Kontrollen prägen nach wie vor das IKS. Rund zwei Drittel der mittelständischen wie auch der Großunternehmen gaben an, überwiegend manuelle Kontrollen zu nutzen.

Beim Vergleich zwischen Industrie-unternehmen mit Finanzdienstleistern fällt auf, dass Finanzdienstleister bei der Implementierung automatisierter Kon trollen deutlich weiter sind:

57,9 Prozent der befragten Finanz-dienstleister gaben an, überwiegend automatisierte Kon trollen zu nutzen, bei den Industrieunternehmen betrug der Anteil nur 28,8 Prozent.

Die Nutzung unter stützender IT-Tools und Software

IT-Systeme unterstützen die Aus-wertung komplexer Datensätze und ermöglichen die Echtzeitkommunika-tion von Problemen an die Verant-wortlichen im Unternehmen. Eine volle Ausschöpfung der CACM-Potenziale ist ohne eine Unterstützung durch IT-Tools und Software nicht möglich. Gleichwohl sollte eine IT-Implementie-rung nicht der Ausgangspunkt der CACM-Einführung sein: An erster Stelle muss die Analyse der wesentli-chen Risiken wie auch der bestehen-den Kontrollstrukturen stehen.

Die Frage nach dem Einsatz von IT-Tools und Software zur Unterstützung eines CACM-Ansatzes wurde sehr differenziert beantwortet. Eine umfas-sende Verwendung spezifischer IT-Anwendungen gaben nur 21,9 Pro-zent der Befragten an. Lediglich die Erstellung standardisierter Berichte zu Informationen des Internen Risikoma-nagementsystems, zur Internen Revi-sion oder zu Erkenntnissen aus der Überwachung der Kon trollmaßnahmen wird in 37,1 Prozent der Fälle mit IT-Unterstützung gestemmt.

Finanzdienstleister

Industrie

71,2

42,1

28,8

57,9

automatisierteKontrollen

manuelleKontrollen

Abbildung 8Finanzdienstleister und Industrie im Vergleich: Verhältnis von manuellen zu automatisierten Kontrollen(Angaben in Prozent)Quelle: KPMG-Analyse



Man mag sich wundern, warum der Einsatz unterstützender IT-Anwendun-gen so gering ausfällt. Berücksichtigen muss man hierbei, dass die für den CACM-Ansatz relevanten IT-Tools und Softwareanwendungen erst in den letzten Jahren Marktreife erlangt haben. Eine Einschätzung der am Markt zur Verfügung stehenden Lösungen haben wir im Rahmen der Studie von den befragten Unterneh-men eingeholt.

Der Vergleich zwischen befragten Großunternehmen und dem Mittel-stand zeigt, dass Großunternehmen ihren CACM-Ansatz umfassender mit IT-Tools und Softwareanwendun-gen ausstatten: 25,4 Prozent der Groß unternehmen gaben an, IT bereits umfassend einzusetzen, beim Mittel-stand lag die Quote bei nur 16,7 Pro-zent. Ein weiterer Vergleich zwischen Finanzdienstleistern und Industrie-unternehmen macht den Unterschied noch deutlicher: 41,9 Prozent der Finanzdienstleister gaben an, bereits umfassend IT-An wendungen zu nutzen, bei Industrie unternehmen lag die Quote bei nur 13,5 Prozent.

Abbildung 9Einsatz von IT für Continiuous

Auditing und Monitoring(Angaben in Prozent)


Umfassende Verwendung spezifischer Anwendungen zur Unterstützung des Managements und der Kontrolldurchführung

Begrenzte Verwendung spezifischer Anwendungen zur Unterstützung des Managements und der Kontrolldurchführung beziehungsweise Verwendung im Rahmen eines Pilotprojekts

Verwendung spezifischer Anwendungen zur Unterstützung des Managements und der Kontrolldurchführung wird in Betracht gezogen

Verwendung von IT-Systemen zur Erstellung standardisierter Berichte über das Interne Risiko-managementsystem, die Interne Revision und zur Überwachung der Kontrolldurchführung

Gar nicht beziehungsweise Verwendung nicht bekannt

0 40302010

21,9

19,0

16,2

5,8

37,1



Fragt man die Unternehmen nach einer Selbsteinschätzung, wie sie sich relativ zu ihren Wettbewerbern bei der Nutzung von IT-Tools und Software-anwendungen sehen, bestätigt sich, dass sie ihre Bemühungen als durch-schnittlich ansehen. Bei dieser Ein-schätzung bleibt zu berücksichtigen, dass sich die Unternehmen, die den CACM-Ansatz implementiert haben, durchaus darüber bewusst sind, dass der Markt für unterstützende IT-Anwendungen noch relativ jung ist.

Interessant ist die Betrachtung der Unternehmen, die sich selbst als Marktführer (oder überdurchschnitt-lich) bei dem Einsatz von IT-Tools und Software anwendungen sehen. Insgesamt waren das nur 13,4 Prozent. 18,4 Prozent der Finanzdienstleister haben sich in die Kategorie „Markt-führer“ eingeordnet. Die Quote bei den Industrieunternehmen lag dage-gen bei 11,4 Prozent.

Unabhängig von der Branche, nutzen 52,1 Prozent der Unternehmen, die sich als überdurchschnittlich beim Einsatz von IT bezeichnen, CACM unternehmensweit oder zumindest in weiten Teilen des Unternehmens.

Unterdurchschnittlich

Durchschnittlich

Marktführer

Unbekannt

Andere

16,1

47,7

20,1

13,4

2,7

Bisher keine Nutzung

Begrenzte Nutzung

Nutzung in weiten Teilen des Unternehmens

Unternehmensweite Nutzung

13,0

34,8

13,0

39,2

Abbildung 10Selbsteinschätzung der Unter nehmen in Bezug auf den Einsatz von IT für Zwecke des Manage ments und der Überwachung im Vergleich zu den Hauptwett bewerbern(Angaben in Prozent)Quelle: KPMG-Analyse

Abbildung 11Aktuelle Nutzung von CA/CM durch Unter nehmen, die sich selbst als „überdurchschnittlich“ in Bezug auf die Verwendung von IT für Zwecke des Managements einstufen.(Angaben in Prozent)Quelle: KPMG-Analyse



Einschätzung der am Markt verfügbaren Lösungen

Zahlreiche Softwareanbieter haben in den vergangenen Jahren IT-Tools und Softwareanwendungen entwickelt, die Unternehmensverantwortliche bei der Kontrolldurchführung und -überwa-chung unterstützen. Eine Einschätzung der befragten Unternehmen zeigt aller-dings, dass sich bislang im Wesentli-chen nur drei Softwarelösungen etab-lieren und am Markt bekannt machen konnten. Die IT-Tools winIDEA und ACL werden als Vorreiter genannt und unterstützen beide primär die Interne Revision (CA) und den Bereich Con-trolling, während SAP GRC (inklusive der zu SAP gehörenden Softwarelö-sungen Virsa und Business Objects) erwartungsgemäß durch die weit verbreiteten SAP Unternehmensan-wendungen an dritter Stelle genannt wurden. SAP GRC wird in der Regel für Managementaufgaben (CM) von operativen Unternehmenseinheiten eingesetzt. Knapp 35 Prozent der Unternehmen, welche sich selbst als überdurchschnittlich in Bezug auf den Einsatz von IT für Zwecke des Managements einstufen, gab darüber hinaus an, die entsprechende Soft-ware mit Datawarehouse beziehungs-weise Business Intelligence-Systemen integriert zu haben.

Neben den oben genannten Program-men ist als weiteres nur noch die Softwarelösung Oracle GRC bei den Umfrageteilnehmern bekannt. Die insbesondere auf CACM spezialisier-ten Softwarelösungen Approva, Oversight und Xalerts sind dagegen bei 80–90 Prozent der Befragten unbekannt. Dies gilt auch für jene Unter nehmen, die CACM bereits in weiten Teilen nutzen.

Abbildung 12Welche Software wird von Unter-

nehmen benutzt, die sich selbst als „überdurchschnittlich“ in Bezug

auf den Einsatz von IT für Zwecke des Managements einstufen.

(Mehrfachnennungen möglich)(Angaben in Prozent)


Integration in Datawarehouse/Business Intelligence

winIDEA

ACL

SAP GRC (inklusive Virsa, Business Objects)

Approva Bizrights

Oracle GRC

Oversight

XAlerts

0 40302010

34,8

0

0

0

0

21,7

26,1

30,4



3.7 Zukünftige Planung und Investitionsbereitschaft

Ein Großteil der befragten Unterneh-men plant die Einführung des CACM-Ansatzes in den nächsten zwei Jahren.

Die Umfrageergebnisse zeigen eindeu-tig: CACM wird innerhalb der kommen-den zwei Jahre von einem Großteil der befragten Unternehmen eingesetzt werden. Lediglich 11,4 Prozent der Befragten gaben an, eine Umsetzung von CACM nicht in Betracht zu ziehen. Die Mehrheit der Umfrageteilnehmer hingegen plant die Verbesserung der Wirksamkeit von Überwachungssyste-men (insgesamt 33,6 Prozent) oder zumindest eine Potenzialanalyse und Wertbeitragprüfung (insgesamt 32,9 Prozent).

Von den Unternehmen, die CACM bisher nur begrenzt nutzen (40,3 Pro-zent), planen 90 Prozent den Ausbau ihrer CACM-Aktivitäten. Nahezu 97 Prozent der Unternehmen, die CACM schon in weiten Teilen anwen-den (30,2 Prozent), wollen in den kommenden zwei Jahren die Nutzung optimieren. Dass sich die Unterneh-men über die Notwendigkeit in den CACM-Ansatz zu investieren bewusst sind, zeigte sich auch in den persönli-chen Gesprächen, die weitere qualitative Aussagen zu den Studien-ergebnissen beisteuerten.

Der Vergleich zwischen Finanzdienst-leistern und Industrieunternehmen bestätigt die große Bedeutung des Themas für die Finanzbranche. Von den befragten Finanzdienstleistern gab keiner an, CACM gar nicht in Betracht zu ziehen. 56,3 Prozent optimieren derzeit ihre Systeme, um die Wirksam-keit der Überwachungssysteme zu steigern.

Mittelständische Unternehmen (Umsatz < eine Milliarde Euro) zeigen sich an CACM interessiert und sind derzeit mit der Systemvorbereitung beschäftigt. Dabei plant der Mittel-stand momentan insbesondere die Implementierung relevanter Compli-ance-Strukturen in Vorbereitung auf die Verbesserung der Wirksamkeit der Überwachungssysteme.

Die Investitionsbereitschaft für CACM-Lösungen ist trotz Finanzkrise und Kostendruck der letzten Jahre unvermindert hoch. Knapp 40 Prozent der befragten Großunternehmen gaben an, dass die Investitionsbereit-schaft beziehungsweise die tatsäch-lich erfolgten Investitionen bei über 500.000 Euro liegen werden. Bei den Finanzdienstleistern ist der Anteil – unabhängig von der Unternehmens-größe – mit 42,1 Prozent leicht höher. Bei mittelständischen Unternehmen liegt das Investitionsbudget deutlich niedriger. 63,6 Prozent des befragten Mittelstands gaben eine Investitions-bereitschaft in den kommenden zwei Jahren von unter 250.000 Euro für diesen Bereich an.



4,2

11,1

8,3

5,6

4,2

22,2

20,8

25,0

38,9Unter 100 T€

100–250 T€

250–500 T€

500–750 T€

750 T–1 Mio €

Über 1 Mio €

0 40302010

22,2

tatsächliche Hindernisse

erwartete Hindernisse

37,5

20,0

25,9

5,0

11,1

10,0

14,8

11,2

20,0

30,0

18,5Unter 100 T€

100–250 T€

250–500 T€

500–750 T€

750 T–1 Mio €

Über 1 Mio €

0 40302010

18,5



15,0

„Investitionen in den CACM-Ansatz sind für uns keine Frage des Wollens, sondern des Müssens. Eine unternehmensweite Abdeckung ist das Ziel.“Compliance Officer, DAX-Unternehmen

Abbildung 13Vergleich von tatsächlichem und geschätztem Investitions bedarf bei mittelständischen Unternehmen (Umsatz: < 1 Milliarde Euro)

(Angaben in Prozent)Quelle: KPMG-Analyse

Abbildung 14Verhältnis von tatsächlichem und geschätztem Investitions bedarf bei Großunternehmen (Umsatz: > 1 Milliarde Euro)(Angaben in Prozent)Quelle: KPMG-Analyse

Investitionsbereitschaft und erwartete Umsetzungshindernisse

Bei der Abwägung, ob die Einführung des CACM-Ansatzes eine lohnende Investition darstellt, gilt es Umset-zungshindernisse bei der Implementie-rung im Vorfeld zu bedenken. Als wesentliche Hindernisse bei der Ein-führung von CACM nannten die Umfra-geteilnehmer Budgetrestriktionen und interne Kapazitätsengpässe. Diese können sich aus unzureichenden inter-nen Kapazitäten für die Umsetzung sowie für die Risikobewertung und Kontrolldurchführung ergeben. Eine große Herausforderung stellt auch die Integration von CACM in die gegebe-nen Unternehmensprozesse dar. Diese Angaben decken sich weitestgehend mit den Umfrageergebnissen in Bezug auf zu erwartende Hindernisse bei der Implementierung von CACM. Weniger kritisch bei der Einführung von CACM sind den Umfrageangaben zur Folge die Unternehmenskultur, mangelnde Unterstützung seitens der Unterneh-mensführung und ein unzureichender hauseigener IT-Support zu sehen.



Allerdings werden beim Vergleich von erwarteten mit den tatsächlichen Hindernissen teilweise signifikante Abweichungen deutlich. Die größte Differenz zwischen den antizipierten und tatsächlichen Hindernissen ergab sich bei der Unternehmenskultur. Danach ist die Anpassungsfähigkeit einer Organisation an Veränderungen, die mit der Einführung von CACM ein-hergehen – wohl nicht zuletzt aufgrund der resultierenden Vorteile für die Beteiligten – oft größer als erwartet. Auch der interne IT-Support stellt bei der praktischen Umsetzung ein geringeres Hindernis dar, als dies von den Unternehmen vermutet wird. Umgekehrt erweisen sich die Siche-rung der Qualität der Daten und die Suche nach einer geeigneten IT-Anwendung für die befragten Unter-nehmen als größere Herausforderung als angenommen.

Abbildung 15Vergleich von tatsächlichen und erweiterten Hindernissen (Rangfolge nach gewichtetem Mittelwert)


11

6

10

11

9

5

8

7

7

9

6

10

5

8

4

3

3

4

2

2Budgetbeschränkungen angesichts

des aktuellen wirtschaftlichen Umfelds

Unzureichende interne Kapazitäten für die Implementierung

Unzureichende interne Kapazitäten für die Risikobewertung und Kontrolldurchführung

Aktuelle Unternehmensprozesse (zum Beispiel Einschränkungen, Altsysteme etc.)

Mangelnde Daten- beziehungsweise Informationsqualität

Mangel an geeigneten IT-Anwendungen

Fehlende Datenauswertungsmöglichkeiten

Aktuelle Organisationsstruktur

Unzureichender hauseigener IT-Support

Mangelnde Unterstützung seitens der Unternehmensführung

Unternehmenskultur

0 12108642

1



1 = größtes Hindernis

11 = kleinstes Hindernis

1



Ein wesentlicher Baustein des CACM-Ansatzes sind IT-Tools zur Datenana-lyse. Bisher standen bei der Entwick-lung der IT-Lösungen verarbeitbares Datenvolumen sowie Download- und Schnittstellentechniken im Vorder-grund.

Um die Produktivität der IT-Tools zu erhöhen, werden in der aktuellen Ent-wicklungsstufe die Regelverarbeitung und das Startverhalten optimiert. Insbesondere die Möglichkeit, die Tools unabhängig vom verwendeten ERP- und Datenbanksystem in die IT-Landschaft der Unternehmen zu integrieren sowie die Möglichkeit, Analysen zeit- oder ereignisgesteuert durchzuführen, haben die Implemen-tierung deutlich erleichtert und den Nutzen für den Anwender erhöht.

In Zukunft werden mehrdimensionale Analysen und Mustererkennungsver-fahren den Schwerpunkt der Entwick-lung bilden. Bei mehrdimensionalen Analysen wird nicht nur der Eintritt eines Zustands/Fehlers / einer Auf-fälligkeit unter Berücksichtigung mehrerer Attribute dargestellt, son-dern auch die Korrelation der Attribute untereinander. Der Vorteil besteht darin, dass nicht nur ein Zustand/Fehler / eine Auffälligkeit, die dem Wert der zuvor definierten Attribute entsprechen, erkannt wird, sondern auch ähnlich gelagerte Fälle. Diese Analysemethode stellt daher bereits eine Vorstufe der Mustererkennungs-verfahren, der aus heutiger Sicht höchsten Entwicklungsstufe, dar.

Mustererkennungsverfahren zeichnen sich dadurch aus, dass sie systemati-sche Zusammenhänge erkennen kön-nen, ohne dass der Suchalgorithmus bereits vom Entwickler auf diesen spe-ziellen Sachverhalt ausgerichtet war.

Die Vorteile des CACM-Ansatzes der Zukunft für Vorstand und Manage-ment liegen auf der Hand:

• Zeit- und Kostenersparnisse bei der Durchführung und Überwachung von Kontrollen durch hohen Auto-matisierungsgrad

• Prozessmonitoring durch Dar-stellung der Prozessnutzung und von Key Performance Indicators (KPI) als Basis für den Entschei-dungsprozess des Managements

• Übersichtliche Darstellung der Analyseergebnisse mit Dashboards, Drill-Down-Funktion und Workflows für Maßnahmendokumen tation

• Zeitnahe Entdeckung und Behebung von Fehlern und Abweichungen als Basis für Prozessoptimierungen und Schadensvermeidung

• Höhere Verlässlichkeit der Aussagen zum Internen Kontroll- und Über-wachungssystem durch 100 Prozent Analysen

• Erhöhte Prävention durch zeitnahe Erkennung von potenziellen dolosen Handlungen mittels Indikatoren

4 Monitoring Excellence: der intelligente CACM-Ansatz der Zukunft



• Bessere Transparenz und Vergleich-barkeit von Prüfungshandlungen und Prüfungsergebnissen

• Kürzere Prüfungsdauer durch automatisierte Standardprüfungs-handlungen

• Standardprüfungen werden ohne lokale Unterstützung und Anwesen-heit zentral durchgeführt

Auch die Interne Revision kann Vorteile erzielen:

• Höhere Effizienz der Internen Revi sion durch Automatisierung von Routineprüfungshandlungen

• Höhere Verlässlichkeit der Prüfungs-aussagen durch 100-Prozent- Prüfungen

• Zeitnahe Prüfung von aufgedeckten Sachverhalten und Anpassung des Audit-Universums

Abbildung 16Der Weg zu den CACM-Systemen der Zukunft

Mehrwert

hypothese-gestützt

eindimensional

einmalig/jährlich

manuell

gering

eindimensional

einmalig/jährlich

manuell

sehr groß

hypothese-gestützt

eindimensional

permanent

getriggert(Zeit, Ereignis)

gering bissehr groß

hypothese-gestützt

mehr-dimensional

permanent



hypothese-gestützt

permanent



Muster-erkennung

mehr-dimensional

Verfahren

Analyse

Häufigkeit

Start

Datenvolumen

V.1.0 V.2.0aktueller Stand

V.3.0unser Ansatz

V.4.0derzeitiger Trend

V.5.0 Entwicklungs-stufe




Exkurs: Das Modell in der Praxis

Der CACM-Ansatz von KPMG

Der CACM-Ansatz von KPMG enthält sowohl den technischen Ansatz als auch die Einbettung in die Organisa-tion des Unternehmens.

Die technische Herangehensweise ermöglicht die Durchführung zeit- oder ereignis gesteuerter Analysen. Zu die-sem Zweck werden Daten aus dem Enterprise Resource Planning System (ERP-System) per Download zur Ver-fügung gestellt oder unmittelbar auf

Die Implementierung von CACM ist weit mehr als nur eine „technische Übung“. Umfassende Erfahrung und industriespezifisches Wissen sind er for der lich, um den Aufbau eines effi-zienten CACM-Ansatzes zu ge währ-leisten. Ziel muss es sein, durch eine wirkungsvolle CACM-Umsetzung die strategischen Managementziele im Unternehmen zu erreichen – und das bei gleichzeitiger Steigerung des Return of Investment (ROI).

AlertsMonitoring

Vorstand &Management

AutomatischesReporting

AutomatischerWorkflow

CM CA

AufsichtsratInterne

RevisionWirtschafts-

prüfer

Cockpit Reports Workflow

Berechtigungen /Datenanalyse /Key Performance Indicator (KPI)

ERP-Systeme

Datennutzung

Abbildung 17Der technische Ansatz von KPMG

die Datenvorratssysteme zugegriffen. Anschließend werden die Daten ent-sprechend den zugeordneten Regeln analysiert und die Ergebnisse dem Nutzer oder Anwender zur Verfügung gestellt. In Abhängigkeit von den mit der Analyse verfolgten Zielen (Prozess-steuerung, Performance, Assurance), können die Ergebnisse unterschiedlich in Dashboards, Workflows, Excep-tion- oder Standardreports dargestellt werden.




Um eine technische CACM-Lösung erfolgreich und nachhaltig in einem Unternehmen zu implementieren, ist die Integration bestimmter Prozess-abläufe im Unternehmen und der Orga-nisation notwendig. Erfolgreiches CACM setzt folgende Prozessschritte voraus:

• Kontinuierliche Risikobewertung

• Überwachung der Maßnahmen und Kontrollen zur Risikoverminderung

• Kontinuierliches Prüfen / Sammeln von Prüfungsnachweisen zu den eingerichteten Maßnahmen

• Kontinuierliches Bewerten der Maßnahmen.

Abbildung 18Der CACM-Ansatz von KPMG

Performance Continuous Assurance

Beu

rtei

lun

g/

Ver

bes

seru

ng

Effi

zien

te A

nal

yse

Prozesse / IT-Systeme

Control SelfAssessment

Continuous Auditing

Continuous Monitoring

Risiko-Monitoring

Monitoring und Neuaufnahme von Zielen und Risiken

Maßnahmen

Zeitnahe Einleitung von Maßnahmen

Prozess-Monitoring

Kontinuierliches Monitoring der Prozesse und Kontrollaktivitäten

Aktivitäten / Transaktionen / Geschäftsvorfälle

IKS-Beurteilung

Fortlaufende Beurteilungdes IKS

ContinuousImprovement Process

Prozessoptimierung

Prozessoptimierung durch Behebungvon systematischen Fehlern

Audit-Durchführung

Stetige Durchführungvon Revisionen

Berichterstattung

Stetige Berichterstattungüber Revisionsergebnisse

Prüfungsnachweise

Kontinuierliche Aufbereitungvon Prüfungsnachweisen

Revisionsplan

Fortlaufende risikoorientierte

Revisionsplanung

Die beiden ersten Prozessschritte werden dabei üblicherweise vom Management und die beiden letzten Prozessschritte von der Internen Revision übernommen. Das kontinuier-liche Bewerten der Maßnahmen kann dabei auch – zumindest teilweise – vom Management in Form einer quali-fizierten Selbstbewertung, genannt ‚Continuous Self Assessment‘ (CSA), durchgeführt und von der Internen Revision abschließend freigegeben werden.




Ein Referenzbeispiel

Bei einem börsennotierten Unterneh-men haben vor Kurzem eingeleitete strafrechtliche und steuerrechtliche Ermittlungsverfahren zu einer negati-ven Presseberichterstattung geführt. Infolgedessen wurden Strafzahlungen erlassen und Führungskräfte und Angestellte des Unternehmens ent lassen. Kurz nach diesem Vorfall konnten erneut illegale Handlungen bei Kommissionszahlungen im Rah-men von Beratungs- oder Bevoll-mächtigungsverträgen nachgewiesen werden. Ursache waren das schwach ausgeprägte Interne Kontrollsystem und insbesondere die fehlenden Kontrollen. Bestechungszahlungen konnten nicht entdeckt und nachge-wiesen werden. Dies veranlasste das Unternehmen dazu, ein Projekt zur Optimierung des bestehenden Inter-nen Kontrollsystems (IKS) und zur Ergänzung des IKS mit einer automati-sierten Überwachung der Kontrollen und Prozesse zu initiieren.

Das Gesamtprojekt umfasste die Implementierung und den Betrieb eines sogenannten Continuous Controls Monitoring (CCM) Systems für eine im Vorfeld definierte Anzahl von Kontrollen des Purchase to Pay (P2P)-Prozesses innerhalb des Unter-nehmens. Es wurde die Möglichkeit eingerichtet, das System zu einem späteren Zeitpunkt noch auf weitere Prozesse zu skalieren. Zehn wichtige Kontrollen (inklusive weiterer Varian-ten) sind in unterschiedlich sensi ble Kontrollkategorien unterteilt worden (zum Beispiel manuell mit IT-Unter-stützung, anwendungsgestützte Pro-zesskontrollen, Funktionstrennung, sensible Genehmigungen usw.). Der Umfang der Optimierungsmaßnahmen umfasst zirka 60 juristische Einheiten, 27 Länder und zirka 35 verschiedene ERP-Systeme des Unternehmens. Die implementierte CCM-Lösung wurde aus einer Daten extrahierungs- und Analysekomponente sowie einem benutzerfreundlichen SharePoint Workflow-Modul entwickelt, um Warnmeldungen direkt an die zustän-digen Mitarbeiter im Unternehmen weiterleiten zu können.



Der kurze Überblick über den der-zei tigen Umsetzungsstand des CACM-Ansatzes in Unternehmen der deut schen Wirtschaft zeigt eines ganz deutlich: Die Unternehmensverantwortlichen in Vorstand und Management beschäftigen sich mit dem Thema CACM. Es gibt ganz unterschiedliche Ansätze und der Umsetzungsstand ist bei Wei-tem noch nicht auf einem angemes-senen Niveau. Eine Vorreiter stellung nimmt hierbei der Finanzdienstleis-tungssektor ein.

Unter nehmen sehen die Notwendigkeit für eine ständige Optimierung und Auto matisierung von Internen Prüfungs und Kontrollsystemen. Die in den letzten Jahren bekannt ge -wordenen Betrugs- und Korruptions-fälle in einigen Unternehmen haben sicherlich dazu beigetragen, das Bewusst sein für sichere und verläss-liche Kontrollsysteme zu schärfen.

Der momentan doch sehr differenzierte Wissensstand einzelner Unternehmen bei der Umsetzung von CACMAnsätzen stellt eine große Herausforderung dar. Das zu erwartende Investitionsvolu-men ist überschaubar, aber einge-schränkte Erfahrungswerte können zu ausgedehnten Vorbereitungs- und Testphasen sowie nicht vorherseh-baren Fehlerquellen führen, die Zeit, Geld und Nerven kosten.

Die Angaben der Finanzdienstleister haben gezeigt, dass der CACM-Ansatz dort schon verbreitet ist. Alle Unter-nehmen, die die Umsetzung von CACM einleiten oder den derzeitigen Stand optimieren und ergänzen möchten, sind gut beraten, sich diese Erfahrungswerte zu Eigen zu machen.

Der Markt für CACM wird sich in den nächsten Jahren weiterentwickeln und optimierte Lösungen hervorbringen. Die gegenwärtig verfügbaren Lösun-gen reichen nicht aus, die Anforde-rungen an ein unternehmensweites CACM voll umfänglich zu unterstützen. Bewährte IT-Tools und Softwarean-wendungen müssen weiterentwi-ckelt und neue, intelligentere Systeme geschaffen werden.

Für die kontinuierliche Optimierung und Er höhung der Effektivität Interner Kon troll systeme wird es zunehmend not wendig sein, auf den neuesten Stand der Technik zu setzen. Diese Entwicklungen werden aus unserer Sicht unter anderem auch die Aufgabe der Internen Revision nach-haltig verändern. Die Vernetzung von Unternehmen und deren Geschäfts-prozesse werden an Kom plexität weiter zunehmen, während Aktionäre, Interessenvertreter und Regulierungs-behörden weiter nach mehr Transpa-renz über die Situation des Unterneh-mens rufen werden.

5 Fazit


Wir unterstützen Sie gerne bei:

Design und Implementierung von CACM-basierten Herangehensweisen, wie zum Beispiel

• Dashboards

• Scorecards

• Analysen

• Berichten

• Management-Protokollen

• Fortlaufenden Kontrollen und Transaktionen

• Monitoring-Systemen und -Prozessen

Beratung bei CACM-Projekten, wie zum Beispiel

• Gestaltung individualisierter CACM-Projekte

• Evaluierung und Integration von „Antifraud“-Prozessen als Teil des CACM-Ansatzes

• Integration in Governance, Risk & Compliance-Initiativen

• Nutzung und Ausbau von Business Intelligence- Initiativen

• Design von komplizierten Datenanalysen

• Durchführung von Trainings- und Kommunikations-initiativen

Autorenteam

Carina Schöllmann, Dr. Stefan Weiss, Petra Wiedmann

Kontakt

KPMG AG Wirtschaftsprüfungsgesellschaft

Bernd RosenbergPartner, Internal Audit,Risk & ComplianceT +49 69 [email protected]

www.kpmg.de


Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.

© 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzern gesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitglieds firmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, ange schlossen sind. Alle Rechte vorbehalten. Printed in Germany. Der Name KPMG, das Logo und „cutting through complexity“ sind eingetragene Markenzeichen von KPMG International.

RISK & COMPLIANCE - KPMG Deutschland | KPMG | DE · PDF file2 | Continuous Auditing &...

Documents

Transcript of RISK & COMPLIANCE - KPMG Deutschland | KPMG | DE · PDF file2 | Continuous Auditing &...