Corona Update zum Internen Kontrollsystem
News – 25.05.2020
Der COVID-19 Shutdown hat alle Unternehmen plötzlich und oftmals auch unvorbereitet getroffen. Fact ist: die wenigsten Unternehmen haben eine Epidemie oder Pandemie in ihrer Risikomatrix bzw im Notfallplan berücksichtigt. Das Wegfallen von Kunden und Lieferanten, der Ausfall von Schlüsselarbeitskräften und nicht zuletzt die breitflächige Umstellung auf Home-Office oder die Teilung von Abteilungen hat die meisten Unternehmen vor neue Herausforderungen gestellt. Viele Prozesse mussten kurzfristig umgestellt bzw neu designed werden. Von dieser Prozessumstellung war häufig auch der mit den Prozessen verknüpfte Bereich des Internen Kontrollsystems (IKS) betroffen. Jetzt, nachdem wieder eine gewisse Normalität zurückkehrt, ist es für Unternehmen umso wichtiger, auch die Funktionsweise des eigenen IKS in der Krise kritisch zu betrachten und entsprechende Lehren daraus zu ziehen.
Neue Risiken in der Krise
Die COVID-19-Krise hat neben den operativen Risiken auch auf der Ebene der Prozesse und Kontrollen neue Risiken für Unternehmen gebracht.
Zum einen war das Aufrechterhalten der internen Prozesse nur durch massive Veränderungen möglich. Dies ging sehr häufig mit der Vergabe von zusätzlichen Berechtigungen oder dem Ausfall von sonst alltäglichen Kontrollen wie zB dem Vier-Augen-Prinzip einher. In der Zeit des großflächigen Shutdowns war die Wahrscheinlichkeit, dass Fehler oder Betrugshandlungen nicht aufgedeckt wurden, oftmals wesentlich höher.
Zum anderen wurde die Situation der neuen oder geänderten Prozesse, und hier vor allem der räumlichen Trennung von Mitarbeitern, auch durch externe Kriminelle gezielt ausgenutzt. Phising oder CEO-Fraud lösten dolose Handlungen aus, die durch die fehlenden oder mangelnden Kontrollen oftmals nicht aufgedeckt werden konnten.
Direkte Reaktionen auf die Krise – „Wrap up“
Nachdem wieder eine gewisse Normalität eingekehrt ist, ist es wichtig, die Zeit des Shutdowns kritisch zu betrachten, eventuelle Unschärfen im IKS wieder glatt zu ziehen und durch entsprechende Überprüfungen sicherzustellen, dass dem Unternehmen kein Schaden in dieser turbulenten Zeit zugefügt wurde.
Natürlich sind auch, wo nötig, Verbesserungen im IKS vorzunehmen und das Unternehmen muss auf neue Anforderungen, die durch Krisenmaßnahmen entstanden sind, umgehend reagieren.
Internes Kontrollsystem zurück in „Normalmodus“ und Prüfung der operativen Geschäftsfälle
Im ersten Schritt ist es wichtig, allfällig durch die Krise veränderte Prozesse bzw Lockerungen im IKS rückgängig zu machen, beispielsweise durch die Vergabe von zusätzlichen Rechten. Damit wird sichergestellt, dass das IKS wieder ganzheitlich funktioniert. Dieses Rückändern sollte auch entsprechend dokumentiert und kontrolliert werden.
Zusätzlich sind in jenen Bereichen, in denen das IKS gelockert wurde und in denen für das Unternehmen ein hohes finanzielles Risiko besteht, Prüfungen der operativen Geschäftsfälle durchzuführen. Beispielsweise sollten alle Beschaffungsvorgänge in der Krisenzeit kritisch evaluiert werden, ebenso die Bank-Überweisungen. Nicht zuletzt sollte hier auch die Unternehmens-Governance kritisch hinterfragt werden, denn Themen wie „verkaufsfördernde Maßnahmen“ oder „Motivation“ von Lieferanten, die dem Code of Conduct des Unternehmens widersprechen, können zu langfristigen Schädigungen der Reputation führen.
Die Bewertung des Risikos und die Durchführung dieser Prüfungstätigkeiten fällt klassischerweise in das Aufgabengebiet der Internen Revision. Gibt es diese Abteilung intern nicht, können diese Aufgaben durch externe Spezialisten von Wirtschaftsprüfungsgesellschaften übernommen werden.
Prüfung auf Betrugsfälle von extern – „Cybercrime“
Die COVID-19-Krise und die breitflächige Übersiedlung der Mitarbeiter ins Home-Office hat auch gewissen Formen der Cyberkriminalität neuen Auftrieb gegeben.
Neben den bereits bekannten Social Hacking Aktivitäten wie CEO-Fraud oder Phising sind durch die veränderten technischen Rahmenbedingungen neue Möglichkeiten entstanden, wie Kriminelle an Unternehmensdaten und/oder an Geschäftsgeheimnisse kommen können.
Das in der Praxis während des Shutdowns oftmals vorgekommene Verwenden privater E-Mail Accounts, die automatische und unbewusste Speicherung von Daten auf privaten Druckern und in privaten Clouds sowie das Einschleppen von Malware im Home-Office sind nur einige dieser neu entstandenen Risiken.
Während die direkte Einflussnahme auf rechnungslegungsrelevante Daten durch die oben empfohlene Aufarbeitung und kritische Evaluierung der Beschaffungsvorgänge und Bank-Überweisungen oftmals aufgedeckt werden kann, ist der illegale Zugriff auf Geschäftsgeheimnisse wie zB Konstruktionsdaten, Verträge und Angebote oftmals nur schwer rekonstruierbar bzw nachweisbar. Insbesondere kriminelle Aktivitäten in diesen Bereichen führen aber zu einem dauerhaften Schadenspotential.
Wir empfehlen daher, durch technische Prüfungen wie Analysen von Berechtigungskonzepten und Auswertung von Zugriffen und Logfiles sicherzustellen, dass diese Daten in der Zeit des großflächigen Lockdowns nicht kompromittiert wurden. Diese Maßnahmen sollten durch entsprechende Anweisungen an die MitarbeiterInnen bei der Rückkehr aus dem Home-Office begleitet werden.
Zukünftige Herausforderungen im Bereich IKS meistern
Die Zeit nach dem großflächigen Lockdown ist für die Verantwortlichen in Unternehmen besonders fordernd. Neben den wirtschaftlichen Schwierigkeiten müssen auch die Lehren aus der Krise verarbeitet, bzw neue Anforderungen bewältigt werden.
Neue Anforderungen
Die COVID-19-Krise hat eine Vielzahl an neuen Förderungen (zB Fixkostenzuschuss) und Arbeitsmodellen (zB Corona-Kurzarbeit) gebracht. Diese sind aber auch mit Vorschriften und einer umfangreichen Dokumentation der Anspruchsvoraussetzungen und der laufenden Einhaltung der damit verbundenen Vorschriften gekoppelt. Vor allem im Bereich der Kurzarbeit gibt es bereits Medienberichte, wonach die Finanz die Einhaltung der entsprechenden Vorschriften großflächig überprüft. Bei Nichteinhaltung drohen hohe Strafen.
Unternehmen sollen daher rechtzeitig darauf achten, dass sie alle Erfordernisse, die an die jeweiligen Fördermaßnahmen geknüpft sind, dauerhaft erfüllen. Dies ist nicht zuletzt durch entsprechende Maßnahmen innerhalb des eigenen IKS sicherzustellen.
Verbesserung/Lehren aus der Krise
Aus jeder Krise können auch Lehren für die Zukunft gezogen werden. So sollte auch der Shutdown und die COVID-19-Krise herangezogen werden, um Schwachstellen in den eigenen Prozessen und im IKS zu identifizieren und zu beseitigen. Nicht zuletzt sollte das Bedrohungsszenario Epidemie und Pandemie und deren mögliche Auswirkungen im Risikokatalog überarbeitet werden.
Basierend auf einem Rückblick auf die Abläufe während des Shutdowns und deren Risikobewertung kann begonnen werden, das IKS an den notwendigen Stellen anzupassen bzw zu verbessern.
Dies startet bei der Einführung neuer Kontrollen und geht über Anpassungen des Notfallplans, Anpassungen im Berechtigungskonzept bis hin zu ergänzenden arbeitsrechtlichen Überlegungen wie „Home-Office-Vereinbarungen“.
Unterstützung LeitnerLeitner
Die Spezialisten von LeitnerLeitner begleiten und unterstützen Sie bei allen diesen Schritten . Im Bereich Interne Revision können unsere Spezialisten gemeinsam mit Ihrer Revisionsabteilung prüfen oder die Prüfungen selbständig für Sie durchführen und Ihre Geschäftsfälle, Prozesse und das IKS kritisch analysieren. Auf die Ergebnisse aufbauend begleiten wir Sie bei einer Risikoanalyse und entwerfen mit Ihnen gemeinsam die notwendigen Kontrollen zur Vermeidung der gemeinsam identifizierten Risiken.
Autor:innen
-
Herbert HeiserWirtschaftsprüfer | Steuerberater | Partner | GesellschafterDetails zur Person
-
Florian HuberWirtschaftsprüfer | Steuerberater | Partner | GesellschafterDetails zur Person
-
Michael ZeppelzauerCertified Information Systems Auditor | Certified Internal Auditor | DirectorDetails zur Person