We for you in
Wechseln zu: LeitnerLeitner
News > Corona Update zum Internen Kontrollsystem

Corona Update zum Internen Kontrollsystem

News – 25.05.2020

Der COVID-19 Shutdown hat alle Unternehmen plötzlich und oftmals auch unvorbereitet getroffen. Fact ist: die wenigsten Unternehmen haben eine Epidemie oder Pandemie in ihrer Risikomatrix bzw im Notfallplan berücksichtigt. Das Wegfallen von Kunden und Lieferanten, der Ausfall von Schlüsselarbeitskräften und nicht zuletzt die breitflächige Umstellung auf Home-Office oder die Teilung von Abteilungen hat die meisten Unternehmen vor neue Herausforderungen gestellt. Viele Prozesse mussten kurzfristig umgestellt bzw neu designed werden. Von dieser Prozessumstellung war häufig auch der mit den Prozessen verknüpfte Bereich des Internen Kontrollsystems (IKS) betroffen. Jetzt, nachdem wieder eine gewisse Normalität zurückkehrt, ist es für Unternehmen umso wichtiger, auch die Funktionsweise des eigenen IKS in der Krise kritisch zu betrachten und entsprechende Lehren daraus zu ziehen.

Neue Risiken in der Krise

Die COVID-19-Krise hat neben den operativen Risiken auch auf der Ebene der Prozesse und Kontrollen neue Risiken für Unternehmen gebracht.

Zum einen war das Aufrechterhalten der internen Prozesse nur durch massive Veränderungen möglich. Dies ging sehr häufig mit der Vergabe von zusätzlichen Berechtigungen oder dem Ausfall von sonst alltäglichen Kontrollen wie zB dem Vier-Augen-Prinzip einher. In der Zeit des großflächigen Shutdowns war die Wahrscheinlichkeit, dass Fehler oder Betrugshandlungen nicht aufgedeckt wurden, oftmals wesentlich höher.

Zum anderen wurde die Situation der neuen oder geänderten Prozesse, und hier vor allem der räumlichen Trennung von Mitarbeitern, auch durch externe Kriminelle gezielt ausgenutzt. Phising oder CEO-Fraud lösten dolose Handlungen aus, die durch die fehlenden oder mangelnden Kontrollen oftmals nicht aufgedeckt werden konnten.

Direkte Reaktionen auf die Krise – „Wrap up“

Nachdem wieder eine gewisse Normalität eingekehrt ist, ist es wichtig, die Zeit des Shutdowns kritisch zu betrachten, eventuelle Unschärfen im IKS wieder glatt zu ziehen und durch entsprechende Überprüfungen sicherzustellen, dass dem Unternehmen kein Schaden in dieser turbulenten Zeit zugefügt wurde.

Natürlich sind auch, wo nötig, Verbesserungen im IKS vorzunehmen und das Unternehmen muss auf neue Anforderungen, die durch Krisenmaßnahmen entstanden sind, umgehend reagieren.

Internes Kontrollsystem zurück in „Normalmodus“ und Prüfung der operativen Geschäftsfälle

Im ersten Schritt ist es wichtig, allfällig durch die Krise veränderte Prozesse bzw Lockerungen im IKS rückgängig zu machen, beispielsweise durch die Vergabe von zusätzlichen Rechten. Damit wird sichergestellt, dass das IKS wieder ganzheitlich funktioniert. Dieses Rückändern sollte auch entsprechend dokumentiert und kontrolliert werden.

Zusätzlich sind in jenen Bereichen, in denen das IKS gelockert wurde und in denen für das Unternehmen ein hohes finanzielles Risiko besteht, Prüfungen der operativen Geschäftsfälle durchzuführen. Beispielsweise sollten alle Beschaffungsvorgänge in der Krisenzeit kritisch evaluiert werden, ebenso die Bank-Überweisungen. Nicht zuletzt sollte hier auch die Unternehmens-Governance kritisch hinterfragt werden, denn Themen wie „verkaufsfördernde Maßnahmen“ oder „Motivation“ von Lieferanten, die dem Code of Conduct des Unternehmens widersprechen, können zu langfristigen Schädigungen der Reputation führen.

Die Bewertung des Risikos und die Durchführung dieser Prüfungstätigkeiten fällt klassischerweise in das Aufgabengebiet der Internen Revision. Gibt es diese Abteilung intern nicht, können diese Aufgaben durch externe Spezialisten von Wirtschaftsprüfungsgesellschaften übernommen werden.

Prüfung auf Betrugsfälle von extern – „Cybercrime“

Die COVID-19-Krise und die breitflächige Übersiedlung der Mitarbeiter ins Home-Office hat auch gewissen Formen der Cyberkriminalität neuen Auftrieb gegeben.

Neben den bereits bekannten Social Hacking Aktivitäten wie CEO-Fraud oder Phising sind durch die veränderten technischen Rahmenbedingungen neue Möglichkeiten entstanden, wie Kriminelle an Unternehmensdaten und/oder an Geschäftsgeheimnisse kommen können.

Das in der Praxis während des Shutdowns oftmals vorgekommene Verwenden privater E-Mail Accounts, die automatische und unbewusste Speicherung von Daten auf privaten Druckern und in privaten Clouds sowie das Einschleppen von Malware im Home-Office sind nur einige dieser neu entstandenen Risiken.

Während die direkte Einflussnahme auf rechnungslegungsrelevante Daten durch die oben empfohlene Aufarbeitung und kritische Evaluierung der Beschaffungsvorgänge und Bank-Überweisungen oftmals aufgedeckt werden kann, ist der illegale Zugriff auf Geschäftsgeheimnisse wie zB Konstruktionsdaten, Verträge und Angebote oftmals nur schwer rekonstruierbar bzw nachweisbar. Insbesondere kriminelle Aktivitäten in diesen Bereichen führen aber zu einem dauerhaften Schadenspotential.

Wir empfehlen daher, durch technische Prüfungen wie Analysen von Berechtigungskonzepten und Auswertung von Zugriffen und Logfiles sicherzustellen, dass diese Daten in der Zeit des großflächigen Lockdowns nicht kompromittiert wurden. Diese Maßnahmen sollten durch entsprechende Anweisungen an die MitarbeiterInnen bei der Rückkehr aus dem Home-Office begleitet werden.

Zukünftige Herausforderungen im Bereich IKS meistern

Die Zeit nach dem großflächigen Lockdown ist für die Verantwortlichen in Unternehmen besonders fordernd. Neben den wirtschaftlichen Schwierigkeiten müssen auch die Lehren aus der Krise verarbeitet, bzw neue Anforderungen bewältigt werden.

Neue Anforderungen

Die COVID-19-Krise hat eine Vielzahl an neuen Förderungen (zB Fixkostenzuschuss) und Arbeitsmodellen (zB Corona-Kurzarbeit) gebracht. Diese sind aber auch mit Vorschriften und einer umfangreichen Dokumentation der Anspruchsvoraussetzungen und der laufenden Einhaltung der damit verbundenen Vorschriften gekoppelt. Vor allem im Bereich der Kurzarbeit gibt es bereits Medienberichte, wonach die Finanz die Einhaltung der entsprechenden Vorschriften großflächig überprüft. Bei Nichteinhaltung drohen hohe Strafen.

Unternehmen sollen daher rechtzeitig darauf achten, dass sie alle Erfordernisse, die an die jeweiligen Fördermaßnahmen geknüpft sind, dauerhaft erfüllen. Dies ist nicht zuletzt durch entsprechende Maßnahmen innerhalb des eigenen IKS sicherzustellen.

Verbesserung/Lehren aus der Krise

Aus jeder Krise können auch Lehren für die Zukunft gezogen werden. So sollte auch der Shutdown und die COVID-19-Krise herangezogen werden, um Schwachstellen in den eigenen Prozessen und im IKS zu identifizieren und zu beseitigen. Nicht zuletzt sollte das Bedrohungsszenario Epidemie und Pandemie und deren mögliche Auswirkungen im Risikokatalog überarbeitet werden.

Basierend auf einem Rückblick auf die Abläufe während des Shutdowns und deren Risikobewertung kann begonnen werden, das IKS an den notwendigen Stellen anzupassen bzw zu verbessern.

Dies startet bei der Einführung neuer Kontrollen und geht über Anpassungen des Notfallplans, Anpassungen im Berechtigungskonzept bis hin zu ergänzenden arbeitsrechtlichen Überlegungen wie „Home-Office-Vereinbarungen“.

Unterstützung LeitnerLeitner

Die Spezialisten von LeitnerLeitner begleiten und unterstützen Sie bei allen diesen Schritten . Im Bereich Interne Revision können unsere Spezialisten gemeinsam mit Ihrer Revisionsabteilung prüfen oder die Prüfungen selbständig für Sie durchführen und Ihre Geschäftsfälle, Prozesse und das IKS kritisch analysieren. Auf die Ergebnisse aufbauend begleiten wir Sie bei einer Risikoanalyse und entwerfen mit Ihnen gemeinsam die notwendigen Kontrollen zur Vermeidung der gemeinsam identifizierten Risiken.

Autor:innen

  • Herbert Heiser
    Wirtschaftsprüfer | Steuerberater | Partner | Gesellschafter
  • Florian Huber
    Wirtschaftsprüfer | Steuerberater | Partner | Gesellschafter
  • Michael Zeppelzauer
    Certified Information Systems Auditor | Certified Internal Auditor | Director
Newsletter Artikel drucken Artikel teilen
Let's get in touch!
Kontakt

Weitere News

News — 05.04.2024
Umsetzung „EU-Transparenzrichtlinie“ – Auswirkung auf Dienstzettel und Dienstverträge
News — 18.03.2024
DBA Weissrussland-Österreich – einseitige Suspendierung von Verteilungsnormen (Art 10, Art 11, Art 13) durch Belarus
News — 13.03.2024
OECD Pillar I - „Amount B“: Vereinfachte Verrechnungspreisbestimmung bei Vertriebseinheiten durch standardisierten Fremdvergleich
News — 06.03.2024
Das BFG bekräftigt in einer weiteren Entscheidung, dass die Nichtentlastung von der Zwischensteuer bei Zuwendungen von Privatstiftungen an im Ausland ansässige Begünstigte unionsrechtswidrig ist
News — 26.02.2024
Energiekostenzuschuss II – Verschiebung Beginn Abrechnungszeitraum
News — 20.02.2024
BFG erteilt der formalrechtlichen Betrachtung bei Depotübertragungen klare Absage
News — 13.02.2024
Vermietung einer ausländischen Ferienimmobilie: Worauf aus steuerlicher Sicht zu achten ist!
News — 08.02.2024
Zweifelsfragen zur Steuerbefreiung für Photovoltaikanlagen ab 1. Jänner 2024

Diese Website verwendet Cookies und andere Technologien, um Ihnen ein bestmögliches Online-Erlebnis bieten zu können und anonyme Nutzungsstatistiken zu erstellen. Wenn Sie diese Cookies zulassen, stimmen Sie der Verarbeitung Ihrer über diese Cookies erfassten Daten gegebenenfalls auch in den USA zu (Art 49(1)(a) DSGVO). Beachten Sie, dass gemäß zuletzt ergangener Behördenentscheidungen und der Rechtsprechung des EuGH den USA kein angemessenes Datenschutzniveau bescheinigt wird (Rs C-311/18, Schrems II). Denn Zugriffe durch US-Behörden (FISA 0702) sind gesetzlich nicht umfassend eingeschränkt, bedürfen keiner Genehmigung durch eine unabhängige Instanz und es stehen keine relevanten Rechtsbehelfe bei entsprechenden Eingriffen zur Verfügung. Sie als User bestimmen, welche Daten und Informationen wir verarbeiten. Über die Schaltflächen „Notwendige Cookies“ oder „Funktionale Cookies“ können Sie Ihre persönliche Präferenz wählen und bestätigen. Für weitere Informationen lesen Sie bitte unsere Datenschutzbestimmungen.