digital compliance solution navigator...2020/07/28 · sie mit maßgeschneiderten, an ihre...

Digital ComplianceSolution NavigatorUnsere Leistungen für eine effiziente und revisionssichere IT-Landschaft im Überblick

© 2020 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative, einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

2 Digital Compliance Solution Navigator

3Vorwort

VorwortLiebe Leserinnen und Leser,

regulatorische Anforderungen und Verpflichtungen sowie eine zunehmend dynamische Innovationsentwick- lung verlangen von Unternehmen mehr denn je, zum einen die Erstellung, Verarbeitung und Speicherung von Informationsdaten sicherzustellen und zum anderen die notwendige Integrität, Vertraulichkeit und Verfügbar-keit von Informationen – inklusive der dafür genutzten IT-Systeme – zu gewährleisten.

Die Globalisierung sowie die Digitalisierung der Geschäftsmodelle erfordern aktives Handeln, um das notwen-dige Vertrauen der Anleger in Finanz- und andere Kennzahlen nachhaltig zu gewährleisten. Die regulatorischen Vorgaben für IT-Systeme, -Prozesse und -Governance werden dabei kontinuierlich komplexer. Diese Anforde-rungen zu erfüllen und dabei gleichzeitig Effizienz- und Effektivitätssteigerungen zu verwirklichen, wird immer wichtiger – die IT ist der wesentliche Erfolgsfaktor dafür.

Als einer der weltweit führenden Anbieter von Prüfungs- und Beratungsleistungen im Bereich Digital Compli-ance unterstützt KPMG Unternehmen dabei, den Einsatz von Informationstechnologien beherrschbar, effizi-ent und effektiv zu gestalten, die digitale Transformation zu begleiten und Risiken erheblich zu verringern. Wir beraten unsere Kunden im Hinblick auf die regulatorischen Vorgaben zur Organisation, Steuerung und Kon-trolle ihrer IT. Auch wenn es um die Ausgestaltung IT-gestützter Prozesse, die Zertifizierung von Produkten und Dienstleistungen oder das externe Reporting geht, stehen wir mit unserem Know-how zur Verfügung. Wir implementieren geeignete IT-Governance- und Compliance-Strukturen und unterstützen die Transforma-tion auf digitale Servicemodelle.

Durch die Integration von Digitalisierung und Compliance vereinigen wir bei Digital Compliance multidiszipli-näre Expertise in einem breiten Leistungsportfolio und unterstützen unsere Mandanten bei den zukunftsorien-tierten Herausforderungen des digitalen Wandels im Rahmen einer nachhaltigen, regelkonformen und digita-len Unternehmenssteuerung. In enger Zusammenarbeit mit den Experten für Jahresabschlussprüfungen entwickeln wir gemeinsam mit unseren Kunden Prozessstrategien, konzipieren IT-Systeme und gestalten Kernprozesse. Selbstverständlich berücksichtigen wir dabei die Erfüllung nationaler wie internationaler gesetz-licher und vertraglicher Vorgaben. Mit dem Einbezug von Compliance verstehen wir uns also nicht nur als Digitalexperten, sondern positionieren uns gleichzeitig als Vorreiter für künftige Schwerpunktthemen wie Data & Analytics und Robotics Compliance sowie SAP S/4HANA-Compliance. Ferner gehören zu unseren Leistun-gen die Durchführung von Digital Attestations, Software Licence Audits sowie internen und externen IT Audits, die wir unter Hinzunahme moderner Tools und Datenanalysen durchführen.

Der vorliegende Solution Navigator gibt Ihnen einen detaillierten Einblick in unser breit aufgestelltes Digital Compli- ance-Leistungsportfolio. Falls Ihr Unternehmen vor Herausforderungen in der Einhaltung regulatorischer Anforderungen im IT-Umfeld steht, stellen wir Ihnen gerne unsere weitreichende Expertise zur Verfügung.

Wir wünschen Ihnen eine interessante Lektüre und freuen uns auf einen gemeinsamen Austausch.

Carsten Müller Partner, Head of Digital Compliance KPMG AG Wirtschaftsprüfungsgesellschaft




Inhalt5 Revisionssicher voranschreiten – Digital Compliance von KPMG

7 Digital Attestation

8 IT Audit-Leistungen 10 IT Attestation 12 IT Internal Audit

15 Digital Compliance

16 Digital Compliance Readiness Assessment 18 Compliance@Digital Transformation 20 IT Project Compliance 22 Agile IT Project Assurance 24 Software Selection 26 Software Development Governance 28 IT Process and Control Design 30 ERP Roll-out Compliance 32 GRC-Berechtigungsmanagement 34 Cloud Transformation and Compliance 38 Sichere Kollaboration und Datenaustausch 40 360° Project Performance Assessment 42 Contract Lifecycle Management 44 Channel GRC: Governance, Risk und Compliance im indirekten Vertrieb 46 Vendor Risk Management 48 Energiespezifische Prozessanalysen 50 Archiving (E-Invoicing, Dokumentenmanagement und Workflow) 52 System Decommissioning Services 54 EU-Datenschutz-Grundverordnung

57 SAP S/4HANA Compliance

58 SAP S/4HANA Project Assurance 60 SAP S/4HANA Berechtigungskonzept 62 SAP S/4HANA Digital Controls Automation 64 SAP S/4HANA Process/Text Mining

67 Data Analytics und Robotics Compliance

68 Robotics Compliance

71 License Compliance

72 Software Usage Baselining and ahead 74 License Audit – professionalised

5Revisionssicher voranschreiten

Revisionssicher voranschreitenDigital Compliance von KPMG

Ganz gleich, auf welcher Ebene sich Ihre IT-Governance befindet – wir unterstützen Sie mit maßgeschneiderten Lösungen, damit Sie den wachsenden Compliance-Anfor-derungen innerhalb Ihrer IT-Landschaft zielorientiert und effizient begegnen können.

Informationstechnologie besitzt heutzutage einen noch nie da- gewesenen Stellenwert im privaten wie im unternehmeri-schen Alltag. Angesichts der fortschreitenden Digitalisierung stehen Unternehmen in besonderem Maße vor der zunehmend komplexer werdenden Herausforderung, wachsende regulatorische Anforderungen an ihre IT-Systeme, -Prozesse und -Governance zu gewährleisten, gleichzeitig aber das Unternehmen effizient und flexibel zu steuern.

KPMG als einer der führenden Anbieter von Prüfungs- und Beratungsleistungen im Bereich Digital Compliance unterstützt Sie mit maßgeschneiderten, an Ihre Bedürfnisse und die Struk-turen Ihres Unternehmens angepassten Lösungen, mit denen Sie Ihre IT-Landschaft Compliance-konform und sicher organisie-ren, steuern und kontrollieren können.

Egal, ob es um die Ausgestaltung von IT-gestützten Prozessen und Governance- und Compliance-Strukturen oder um gegen-wärtige Trendthemen wie Cloud Computing und Data Analytics geht: Unsere Experten vereinen aktuelle fachliche, regulatori-sche sowie technische Expertise und begleiten Sie auf Ihrem Weg zu einer revisionssicheren und effizienten IT.

Transformation von IT, Prozessen und Organisation

SecureCollabo-

ration

Vendor RiskManagement

(VRM)

Carve-outsTransformation

Compliance

LicenseAudits

DigitalCompliance

SAP TemplateAssessment

CloudTransformation

andCompliance

(CTC)

KPMG DigitalComplianceHeat Map

DataAnalytics

GRC(SAP Security)

IT Risk

EPA

SoftwareAsset

Management

MicrosoftERP/CRM

IKS/CMSImplemen-

tation &Review

ContractLifecycle

Management(CLM)

PartnerChannel

GRC

E-Invoicing/Archiving

Digitalisie-rung/

Industrie 4.0

Global ERPRoll-out

Compliance

Dokumen-ten-Mgt. &Workflow

Digitale Agenda

Effizienz und Unternehmensmehrwert Allianzen

Abbildung 1: Digital Compliance-Lösungsansätze

Quelle: KPMG, 2018



Bei Mikro- Prozessenzählt Makro- Präsenz

© 2020 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative, einer juristischen Person sch-weizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

Berlin

DresdenLeipzig

Jena

Nürnberg

Regensburg

Augsburg

MünchenFreiburg im Breisgau

Stuttgart

MannheimSaarbrücken

MainzFrankfurt am Main

Karlsruhe

Düsseldorf

Köln

EssenDortmund

Bielefeld

Hannover

Bremen

Hamburg

Kiel

Ulm

7Digital Attestation

DigitalAttestationDeutschlandweit bestens aufgestellt

Region West / DüsseldorfSwen Schwerin

Region Nord / HamburgHeiko Kramer

Region West / KölnDirk Distelrath

Region Ost / BerlinOlaf Köppe

Region Süd / MünchenKarlheinz Antesberger

Region Mitte / Frankfurt am MainCarsten Müller

Region Südwest / StuttgartDennis Olsinski

Region Süd / MünchenAlexander Gietl

Bei KPMG finden Sie immer einen kompetenten Ansprechpartner – deutschlandweit und regional. Unsere Experten aus dem Bereich Digital Compliance stehen Ihnen mit einem umfangreichen Angebot an Prüfungs- und Beratungsleistungen jederzeit zur Verfügung.

Zur Sicherung der Compliance-konformen Ausgestaltung Ihrer IT-Systemlandschaft und -Prozesse stehen Ihnen unsere regionalen Spezialisten mit unseren Services zur Verfügung. Digital Attestation Services können Sie an allen Standorten in Anspruch nehmen.

Region Mitte / Frankfurt am MainAxel Bachmann

Region Südwest / StuttgartDaniel Maly

Region West / KölnDr. Halka Georgias




„IT ist inzwischen für die meisten Unternehmen essenziell für den Geschäfts- erfolg. Aus diesem Grund ist es wichtig, dass die IT-Systeme richtige und vollständige Daten für die Entscheidungsfindung und die Investoren bereitstellen. Im Rahmen unserer IT-Audits stellen wir sicher, dass Ihre IT-Systeme ordnungsgemäß arbeiten und verlässliche Daten generieren.“

IT Audit-Leistungen

Kundenbedürfnisse

Im Rahmen von Jahresabschlussprüfungen werden IT-ge-stützte Rechnungslegungssysteme auf Ordnungsmäßigkeit und Integrität untersucht. Ziel der vorgeschriebenen IT-Prüfung ist es, die Verlässlichkeit der IT-Strukturen eines Unternehmens in Hinblick auf Sicherheit und Kontinuität zu beurteilen und potenzielle Risiken wie Datenverlust und -manipulation zu identifizieren. Beispiele für derartige IT-Risiken sind die fehler-hafte Verarbeitung rechnungsrelevanter Daten, unautorisierte Datenzugriffe auf sensible Kundendaten und unzureichende Daten sicherungsmaßnahmen beziehungsweise IT-Kontrollen. Die Evaluierung der Vertraulichkeit, Vollständigkeit, Integrität und Verfügbarkeit von Daten ist daher essenziell für Ihren Compliance- konformen Jahresabschluss.

Fehlerhafte Funktionen in IT-Anwendung

Nicht aktuelle / fehlende Verfahrensregelungen und -beschreibungen

Fehlende IT-Kontrollen in IT-Anwendungen

Unzureichende Maßnahmen zur Gewährleistung der Softwaresicherheit

Carsten MüllerPartner, Head of Digital Compliance

Ansprechpartner

Carsten MüllerPartnerT +49 69 [email protected]

Abbildung 2: Potenzielle Risiken

Quelle: KPMG, 2018

9IT Audit-Leistungen

Understanding of Business

Prüfungsplanung

Unterstützung Risk Assessment

– Understanding of IT– Identifizierung und

Analyse der prüfungs- relevanten Prozesse sowie dazugehörigen IT-Applikationen

– Festlegung der IT-Sys-teme für die GITC- und ITAC-Prüfung

Unterstützung in sonstigen Prüfungsgebieten

– Beurteilung der Internen Revision

– Beurteilung von Dienstleistern

Prüfung relevanter IT Application Controls (ITAC)

– Identifizierung und Analyse der prüfungs- relevanten Prozesse sowie dazugehörigen IT- gestützten Kontrollen in diesen Prozessen (ITAC)

– Aufbau- und Ablaufprü-fung der identifizierten ITAC unter Berücksichti-gung der Audit-Anforde-rungen und der Ergeb-nisse der GITC-Prüfung

Prüfung relevanter General IT Controls (GITC)

Prüfung der GITC der relevanten IT-Systeme als Basis für die weiterfüh-rende ITAC-Prüfung und zur Unterstützung bei IPE- Aussagen (Information provided by the entity). Daraus resultieren fol-gende Aufgaben:– Auflistung der relevan-

ten IT-Systeme– Identifizierung prüfungs-

relevanter IT-Umgebun-gen, die IT-Systeme mit gleichartigen Support - prozessen zusammen- fassen

– Aufbau- und Funktions-prüfung der für die ITACs relevanten GITCs:

- Access to programs and data

- Change Management - Program Development - Computer Operations

Aufbau- und Funkti-onsprüfung GITC

Aufbau- und Funkti-onsprüfung ITAC

Review und Berichterstattung

Unsere Leistungen

KPMG hat einen Top-Down-Ansatz für IT-Prüfungen entwi- ente Prüfung der Ordnungsmäßigkeit Ihrer IT-Landschaft im ckelt, der gezielt auf IT-Anwendungen ausgerichtet ist, die auf Rahmen des Jahresabschlusses sicherstellen.Grundlage einer Risikoanalyse für den Jahresabschluss identifi-ziert worden sind. Dabei werden neben den Elementen der Das Vorgehen bei IT-Prüfungen orientiert sich dabei an dem Finanzberichterstattung die wesentlichen Konten und relevan- Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW) ten Prozesse sowie die dafür genutzten IT-Systeme berück- zu Abschlussprüfungen beim Einsatz von Informationstechno-sichtigt. Unter Verwendung der neuesten Methoden und Tools logie, dem IDW PS 330. Der Ansatz basiert auf folgendem aus dem Bereich Data Analytics können wir somit eine effizi- Phasenmodell:

Mehrwert

Mit der Durchführung von IT-Prüfungen leistet KPMG einen des Unternehmens mit dem Hintergrund, potenzielle Risiken großen Beitrag zu Ihrer Jahresabschlussprüfung im Rahmen für den Jahresabschluss, die sich aus dem Einsatz von IT der Ordnungsmäßigkeitsprüfung von IT-gestützten Rechnungs- ergeben, bereits frühzeitig zu erkennen und abzuwenden.legungssystemen. Ziel ist die Schaffung eines tief greifenden Verständnisses für die bestehenden Kontrollsysteme innerhalb

Abbildung 3: Best Practice-Ansatz zum Ablauf der IT-Prüfung

Quelle: KPMG, 2018




„Ob Softwarehersteller oder IT-Dienstleister – das Anforderungsprofil des regulatorischen Rahmens an IT-Systeme und IT- gestützte Prozesse nimmt permanent zu. Wir unter-stützen Sie beim Nachweis über die Erfüllung von regu-latorischen Anforderungen mit der Vorbereitung und Durchführung von Attestierungsleistungen.“

Olaf KöppePartner, Digital Compliance

Ansprechpartner

Olaf KöppePartnerT +49 30 [email protected]

IT Attestation

Kundenbedürfnisse

Softwarehersteller und IT-Dienstleister erhalten vermehrt An- fragen ihrer Kunden hinsichtlich der Einhaltung von regu - lato rischen Anforderungen, die die Ordnungsmäßigkeit und Sicherheit ihrer Software und IT-Verfahren betreffen. Mit der zertifizierten Aussage eines Wirtschaftsprüfers über Com - pliance-relevante Sachverhalte in Ihrem Unternehmen können solche Anfragen zentral und unabhängig beantwortet werden. Outsourcing-Dienstleistungen wie Prozessauslagerungen, IT-Hosting und Cloud Services, aber auch die Bestätigung von Funktionalitäten bei Software- und IT-Lösungen sind regelmäßig Bestandteil unserer IT-Zertifizierungen.

Für Unternehmen, die international aktiv sind oder Dienstleistun-gen in unterschiedlichen Bereichen oder Branchen anbieten, kommt außerdem ein vereinheitlichter Compliance-Ansatz durch eine Multizertifizierung in Betracht. Durch Kombination beziehungsweise Internationalisierung Ihrer IT-Zertifizierung können Sie potenzielle Synergieeffekte nutzen und regulatorische Aufwände minimieren.

IT Attestation - Kundenbedürfnisse

Vertrauen undKompetenz

System-sicherheit

IT Attestation

Compliance-Expertise

Abbildung 4: Relevante Faktoren der IT-Zertifizierung

Quelle: KPMG, 2018

11IT Attestation

Unsere Leistungen

KPMG ist aufgrund umfangreicher Expertise und lang- – Ermöglicht die Verringerung von Prüfungsumfängen im jähriger Erfahrung im regulatorischen Umfeld ein etablierter Installationsumfeld des Endkunden.Partner für Attestierungsleistungen und bietet Ihnen eine Viel- zahl an Testierungsmöglichkeiten zur Compliance-sicheren Dienstleister-Zertifizierungen (IT-Outsourcing Attestation)Ausrichtung Ihrer Software beziehungsweise Ihrer IT-Lösung in einem nationalen oder internationalen Umfeld. Wir unter- − ISAE 3402, IDW PS 951, SOC oder ISO 27001 – KPMG scheiden dabei zwischen Software-Herstellern und IT-Dienst- bietet IT-Dienstleistern die Möglichkeit, die Ausprägung leistern, für die jeweils branchenspezifische Attestierungsleis- ihres internen Kontrollsystems (IKS) prüfen und beurteilen tungen infrage kommen: zu lassen.

Hersteller-Zertifizierungen (Software Attestation) − Aufwendungen, die durch steigende Kontrollanforderungen in Ihrem Kundenumfeld entstehen, können mit einer zentrali-

– Prüfung von Software im Auslieferungszustand nach sierten Prüfung im Rahmen einer Dienstleister-Zertifizierung IDW PS 880 reduziert werden.

− Basierend auf dem Internationalen Standard ISAE 3000 Zur Prüfung von nationalen und internationalen Compliance- können neben handels- und steuerrechtlichen Anforderungen Anforderungen, die an Ihre IT-Lösung oder Ihr IT-Umfeld ge- weitere nationale und internationale Anforderungen ab- stellt werden, greifen wir auf unser internationales Experten- gedeckt werden. netzwerk zurück:

Mehrwert

Unternehmen lagern mehr und mehr Geschäftsprozesse und leistende Unternehmen erhalten eine unabhängige, zertifizierte IT-Systeme an externe Dienstleister (Service Provider) aus, Aussage über die Compliance-Sicherheit ihrer Software bezie-wobei jedoch die Risiken stets beim auslagernden Unter- hungsweise ihrer IT-Verfahren oder über die ordnungsgemäße nehmen selbst verbleiben. KPMG hilft Ihnen mit IT Attestation- Funktion ihrer IT-Systeme, mit der bestehende und potenzielle Leistungen, diese Dienstleisterrisiken zu adressieren und die Kunden überzeugt werden. Integrität Ihrer internen Kontrollsysteme nachzuweisen. Dienst-

IT Attestation - Unsere Leistungen

KPMG in Deutschland

KPMG weltweit

Abbildung 5: Weltweiter Einsatz unserer Spezialisten

Quelle: KPMG, 2018




„Die Unterstützung der Unternehmensführung bei der Einhaltung gesetzlicher und regulatorischer Anforder- ungen spielt für eine effek-tive Interne Revision eine immer wichtigere Rolle.

Die IT-Revision als Teil- bereich der Internen Revision fokussiert dabei auf die immer größere Bedeutung Ihrer IT-Systeme bei der Erstellung, Verarbei-tung und Speicherung der Unternehmensdaten sowie bei der Gewährleistung der Datensicherheit, -vollständig- keit und -richtigkeit.“

Dennis OlsinskiPartner, Digital Compliance

Ansprechpartner

Dennis OlsinskiPartnerT +49 711 [email protected]

IT Internal Audit

Kundenbedürfnisse

Immer mehr Unternehmen werden Opfer von Wirtschaftskri-minalität oder unwirksamen Risikomanagement- und Kontroll-prozessen – mit zum Teil erheblichen finanziellen Schäden oder Imageeinbußen. Effiziente Unternehmensüberwachung und Corporate Governance ist daher für viele Firmen inzwischen zu einem essenziellen Erfolgsfaktor geworden. Um diese kom-plexe Aufgabe bewältigen zu können und Betrug oder Unter-schlagung zu verhindern, sind Geschäftsführung und Aufsichts-gremien Ihres Unternehmens auf ein funktionsfähiges internes Kontrollsystem, optimal gestaltete technische Sicherheitsmaß-nahmen und eine effiziente Interne Revision angewiesen. Industrie 4.0, Digitalisierung, Robotics, GRC, Datenschutz und Cyber Security sind dabei nur einige Schlagworte, die die Interne Revision Ihres Unternehmens vor neue wesentliche Herausforderungen stellt – gerade durch die zunehmenden Möglichkeiten der digitalen Gestaltung von internen Abläufen und Prozessen kommt den Prüffeldern und Aufgaben der IT-Revision eine immer größere Bedeutung zu.

IT Internal Audit - Kundenbedürfnisse

CorporateGovernance

Risk Manage-

ment

InternalAudit

Bo

ards´s

Go

vernan

ceBo

ard

s´s

Go

vern

ance

Management der Stakeholder-Erwartungen

Aufbau und Schutz eines Shareholder-Mehrwerts

Abbildung 6: IT-Revision und Unternehmensführung

Quelle: KPMG, 2018

13IT Internal Audit

Unsere Leistungen

KPMG ist Ihr integrierter Partner für ganzheitliche und ergeb-nisorientierte IT-Revisions-Lösungen. Mit einheitlichen, aber ganz auf Ihr Unternehmen und Ihre Anforderungen zugeschnit- tenen KPMG-Methoden, -Tools und einem hochspezialisierten Team lassen sich gemeinsam mit Ihnen schnell und lösungs-orientiert IT-Audits verwirklichen. Wir fokussieren dabei neben dem Aufdecken von Risikofeldern auch die tief grei-fende Bewertung von Optimierungspotenzialen in Unterneh-mensorganisation und Technik der relevanten Bereiche.

Zusätzlich zu den IT-Revisions-Lösungen bieten wir Ihnen folgende Leistungen an:

– Durchführung von IT Internal Audit-Workshops zur Identi- fikation spezifischer Prüfungsanforderungen auf Basis Ihrer Unternehmensstrategie und Ihrer Revisionsergebnisse

– Anwendung bewährter Ansätze und Methoden aus dem globalen IT Internal Audit-Netzwerk von KPMG und Abbil- dung globaler IT-Revisionsanforderungen durch Einbindung unseres internationalen Expertennetzwerks

– Unterstützung bei der Einbindung des Managements der geprüften Bereiche und Präsentation unserer Ergebnisse auf Vorstands- und Top-Management-Ebene

Unsere Prüfungsergebnisse stellen wir Ihnen gerne grafisch aufbereitet in dem von Ihnen genutzten Format zur Verfügung, auf Wunsch auch mit priorisierten Punkten zur risikoorientierten Abarbeitung. Darüber hinaus können wir für verschiedene IT-Revisionsleistungen ein Benchmarking Ihrer Ergebnisse gegenüber aktuellen Better Practices in unserer Datenbank oder auch in der Peergroup Ihrer Branche durchführen. Direkte Ansprechpartner aus allen relevanten Bereichen für die Umset-zung von Maßnahmen runden unser Angebot ab.

Mehrwert

Unsere Einbindung im Rahmen der Internen Revision kann Ihnen nicht nur zu einem für Ihr Unternehmen adäquaten Digital Compliance-Niveau verhelfen, wir verschaffen Ihnen auch ein hohes Maß an Transparenz und Nachvollziehbarkeit. Hierfür stellen wir Ihnen ein Team zur Verfügung, welches auf dem neuesten Stand technischer und regulatorischer Entwick-lungen ist sowie State-of-the-Art-Methoden und -Tools ein-

setzt. Hierdurch tragen wir entscheidend dazu bei, frühzeitig Risiken für Ihr Unternehmen zu identifizieren und abzuwenden. Neben dem Aufdecken von Risikofeldern bieten wir Ihnen durch unsere Leistungen im Rahmen der IT-Revision auch eine ganzheitliche Bewertung der Optimierungspotenziale innerhalb der IT.


© 2020 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative, einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. © 2020 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative, einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

14 IT Compliance Solution Navigator

Jeder große Wurf beginnt mit einem klaren Ziel


15Digital Compliance

DigitalComplianceZielorientiert Ihre spezifischen Herausforderungen lösen

Zur Unterstützung bei fachspezifischen Problemstellungen setzt KPMG Spezialisten mit tief greifendem Know-how, tool-gestützten Anwendungen und praxiserprobten Better Practice-Ansätzen ein.

Zusätzlich zu den klassischen Kernthemen im Bereich Digital Compliance deckt KPMG ein breites Spektrum an fokusorientierten Prüfungs- und Beratungsleistungen ab, um die Compliance Ihrer IT-Landschaft ganzheitlich sicherzustellen.

Unsere Experten nutzen dabei die ganze Bandbreite ihrer fachspezifischen Kompe-tenzbereiche und stellen mithilfe ihres Spezialwissens Lösungsansätze zu aktuellen und künftigen Marktthemen wie Cloud Transformation, Partner Channel Governance, Risk Compliance oder Software Development Governance für Sie bereit.



„Eine wesentliche Frage- stellung für jedes Unterneh- men ist, wie im Umfeld der Digital Compliance die gülti-gen Regelungen transparent erfasst, nachweislich erfüllt und kontinuierlich überprüft werden können. Digital Com-pliance betrifft abteilungsüber- greifend sämtliche Prozesse in Ihrem Unternehmen und ist ein Erfolgsfaktor zur Meis-terung der zukünftigen digi-talen Herausforderungen.“

Alexander Gietl Director, Digital Compliance

Ansprechpartner

Alexander GietlDirectorT +49 89 [email protected]

Digital Compliance Readiness AssessmentKundenbedürfnisse

Nicht nur die fortschreitende digitale Globalisierung, auch jede neue Technologie und die permanente Forderung nach vertrauenswürdigen Finanzzahlen lässt den Regelungsbedarf für die Unternehmenswelt ständig anwachsen – und damit auch die Bedeutung von Digital Compliance. Entsprechend groß ist daher der Zuwachs an Regelwerken und Vorgaben, egal ob intern oder extern, gesetzlich oder branchenspezi- fisch.

Digital Compliance bedeutet für Ihr Unternehmen daher nicht nur Reduzierung von IT-Risiken beziehungsweise -Kosten und Erhöhung von Sicherheit, Qualität und Unternehmenswert, sie steht auch für die Vermeidung von gravierenden Nachteilen wie Bußgeldern, Vertragsstrafen, Freiheitsstrafen und so weiter. Nachvollziehbare und transparente Digital Compliance wird damit zunehmend zu einem kritischen Faktor für die erfolgreiche, sichere Führung Ihres Unternehmens, der wie andere Faktoren auch einer regelmäßigen Überprüfung und Evaluierung unterzogen werden sollte.

Unsere Leistungen

Mit dem von KPMG angebotenen ganzheitlichen Top-Down-Ansatz lässt sich effizient und schnell die Compliance der IT-Funktion sowie die IT-gestützte Corporate Compliance in Ihrem Unternehmen prüfen und bewerten.

Unsere praxiserprobte und lösungsorientierte Assessment- Methode stützt sich auf konkrete und vordefinierte Frage-stellungen in sechs vorgegebenen Zieldimensionen. Dieses bewährte Verfahren ermöglicht eine adressatengerechte Vorgehensweise und gibt eine klare Zielrichtung zum Soll- zustand vor. Die Beantwortung der Fragen wird digitalisiert als Self-Assessment durch ausgewählte Unternehmensver-treter beziehungsweise Abteilungen durchgeführt, wobei der Umfang und die Teilnehmer von Ihnen mitdefiniert werden können. Nach der initialen und zielgerichteten Einschätzung der Handlungsfelder können anschließend die Priorisierung (was muss aufgrund regulatorischer Vorgaben unverzüglich umgesetzt werden?) und der Umsetzungsplan für Sie erarbei-tet werden.


17Digital Compliance Readiness Assessment

Das Ergebnis des Digital Compliance Readiness Assessments stellen wir Ihnen als visualisierte Darstellung zur Verfügung, aus der klar hervorgeht, in welchen Bereichen Ihres Unterneh-mens welche Digital Compliance-Handlungsfelder in welcher Form priorisiert werden müssen. Das Ergebnis basiert auch auf einem Abgleich unserer Einschätzungen

mit relevanten Marktdaten und Better Practice-Erfahrungen aus unserer Datenbank. Bestandteil jedes Readiness Assess-ments ist eine individuelle Kommentierung durch erfahrene KPMG-Experten in einem Abschlussgespräch. Unsere kon-kreten, ergebnisorientierten Lösungsvorschläge können Sie auf Wunsch auch direkt von KPMG umsetzen lassen.

Mehrwert

KPMG verfügt über langjährige Expertise auf dem Gebiet der Digital Compliance und führt regelmäßig in Unternehmen unterschiedlicher Größen und Branchen eigens entwickelte Digital Compliance Readiness Assessments durch. Wir wen-den einen ganzheitlichen Top-Down-Ansatz an, der nach einer schnellen und adressatengerechten Ersteinschätzung von

potenziellen Handlungsfeldern eine detaillierte Einschätzung zur Compliance Ihrer IT-Funktion und zu Ihrer IT-gestützten Cor porate Compliance als Ergebnis liefert. Potenzielle Hand-lungsfelder werden nach Wesentlichkeit priorisiert, sodass für Sie sofort ersichtlich ist, wo aufgrund von regulatorischen Vorgaben unverzüglicher Handlungsbedarf besteht.

Informations- undKommunikationsmanagement

Informations- undTransparenzpflicht

Globalisierungund Transformation

Identifikation von und Umgangmit Digital Compliance-Risiken

Bilanztheorie, Prüfungswesenund Organisation

Informationssicherheitund Informationsschutz

Grafische Darstellung der Analyseergebnisse (Beispiel)

20

40

60

80

Ergebnis Dringlichkeit Benchmark

Abbildung 8: Grafische Darstellung der Analyseergebnisse (Beispiel)

Quelle: KPMG, 2018

Ablauf des IT Compliance Readiness Assessments

Motivation/ZieldefinitionErmittlung Ihrer konkreten

Zielsetzung basierend auf dem definierten Sollzustand

Aufsetzen des AssessmentsVorbereitung und Durchführung

des Assessments unterGewährleistung der Daten-

sicherheit für die Teilnehmer

DurchführungModerierte oder selbstständigeDurchführung (softwarebasiert)

ErgebnispräsentationGrafische Aufbereitung

der Ergebnisse undweiterführende Empfehlungen

Quelle: KPMG, 2018

Abbildung 7: Ablauf des Digital Compliance Readiness Assessments




„Wir unterstützen Sie dabei, im Rahmen Ihrer digitalen Transformation die Compli-ance-Anforderungen eben-falls anzupassen.

Oftmals greifen bestehende Regelungen aufgrund innova-tiver Entwicklungsmethoden, neuer IT- Architekturen und letztlich auch veränderter Organisationsstrukturen und zusätzlicher Anforderungen nicht länger.

Wir helfen Ihnen dabei, die Transformation Compliance- konform auszurichten und Risiken zu minimieren.“

Compliance@Digital TransformationKundenbedürfnisse

Die wirtschaftlichen Rahmenbedingungen sind im Wandel begriffen: Fortschreitende Digitalisierung, zunehmende Volatilität, steigende Komplexität und disruptive Geschäfts-modelle sind große Herausforderungen, denen sich Unterneh-men aktuell ausgesetzt sehen. Um in diesem Umfeld beste-hen zu können, kommt es auch auf die Erhöhung der Reaktionsfähigkeit und der Anpassungsgeschwindigkeit sowohl der IT als auch der gesamten Organisation an. Eine Vielzahl von Unternehmen hat zu diesem Zweck teils umfang-reiche digitale Transformationsprojekte gestartet.

Im Rahmen dieser Projekte werden Wertschöpfungsketten digitalisiert, die IT modernisiert und flexibilisiert, Prozesse verschlankt und automatisiert sowie Aufbau- und Ablauf-organisationen angepasst. Da nicht alle Kundensegmente, Systeme und Bereiche eines Unternehmens gleichermaßen betroffen sind, müssen dabei bestehende und neue System- und Organisationslandschaften sowie bewährte und innova-tive Vorgehensweisen miteinander verbunden werden und oftmals ineinandergreifen.

Die Erfüllung notwendiger, grundlegender Anforderungen an Digital Compliance und IT-Sicherheit muss dabei zu jeder Zeit sichergestellt sein. Insbesondere ist dabei zu berücksichtigen, dass alle Ebenen der Governance in den digitalen Transformati-onsprozessen berücksichtigt werden und die involvierten Mit- arbeiter über entsprechendes Know-how beziehungsweise Fähigkeiten verfügen. Die Definition eines strategischen Ziel-bilds, das eventuelle Veränderungen des Business-Modells im Rahmen des digitalen Transformationsprozesses abbildet, sollte bei solchen Projekten ebenfalls nicht fehlen.

Karlheinz Antesberger Director, Digital Compliance

Ansprechpartner

Karlheinz Antesberger DirectorT +49 89 [email protected]

19Compliance@Digital Transformation

Unsere Leistungen

Um Unternehmen zukunftsorientierter, flexibler und agiler aufzustellen, bedarf es nicht nur innovativer Entwicklungs-methoden, sondern auch einer ganzheitlichen Veränderung von Organisation und Prozessen. Wir unterstützen Sie dabei, dass die Compliance-Anforderungen im Rahmen der digitalen Transformation berücksichtigt bleiben und bestehende An - forderungen und Prozesse nicht plötzlich ins Leere greifen.

Möglicher Ablauf eines digitalen Transformationsprojekts:

Phase I: Baselining Erfassung des aktuellen Stands der Organisation, der Prozesse, der Technologien, der Architektur, der IT-Sicherheit und der Mitarbeiter

Phase II: High-level Strategy und Scoping – Analyse des Projektansatzes zu den digitalen

Transformationsprojekten

– (Iterative) Definition bezüglich Technologien, Architektur, Assets, Prozessen, Kultur und Organisationen, darunter:

- High-level-Zielbild der (Teil-)Organisation

- Validierungskriterien für Optionen

- zwingende Rahmenbedingungen, zum Beispiel Digital Compliance und IT-Sicherheit

Phase III: (Iterative) Umsetzung Projektbegleitende Qualitätssicherung oder Beratung im Hinblick auf:

– Definition einer Transformation Roadmap

– Zuordnung von Rollen und Verantwortlichkeiten

– Einbindung von Ressourcen und Stakeholdern

– Konzepte und Implementierung

– Review der Optionen und Risikomanagement

Phase IV: The New Normal / Value Delivery – Roll-out in die Organisation

Mehrwert

Die Sicherstellung von Digital Compliance und IT-Sicherheits-anforderungen ist ein kritischer Punkt im Rahmen vieler digitaler Transformationsprojekte. KPMG kann auf umfangreiche, langjährige und technologieübergreifende Erfahrungen bei der Berücksichtigung sicherheitsrelevanter und regulatorischer Anforderungen zurückgreifen. Zudem ist KPMG in die Defini-tion von Standard-Settings involviert, was Fragestellungen hinsichtlich Digital Compliance und IT-Sicherheit bei technolo-gischen und prozessualen Veränderungen im Rahmen von digitalen Transformationen betrifft.

KPMG bietet Ihnen einen maßgeschneiderten, ganzheitlichen Ansatz (Organisation, Prozesse, Technologien, Architektur, IT-Sicherheit und Mitarbeiter), der unter anderem folgende Punkte beinhaltet:

– Schrittweises Vorgehen mit konsequenter Ausrichtung auf das Zielbild

– Integration von „Systems of Engagements“ und „Systems of Records“

– Sicherstellung von Digital Compliance und IT-Sicherheit in jedem Stadium der Transformationsprojekte




„Durch eine projektbeglei-tende Prüfung lassen sich potenzielle Fehlerursachen frühzeitig und zielgerichtet vermeiden. Insbesondere die Angemessenheit und Robust- heit Ihrer mittels der IT umgesetzten Sicherheits- maßnahmen sowie die korrekte Funktionsweise Ihrer rechnungslegungsrelevanten Sachverhalte stehen im Fokus.“

Jens GremlowskiManager, Digital Compliance

Ansprechpartner

Jens GremlowskiManagerT +49 40 [email protected]

IT Project Compliance

Kundenbedürfnisse

Unternehmen müssen angesichts der fortschreitenden Digitali-sierung fortlaufend ihre IT-Prozesse und -Systeme weiterentwi-ckeln, verändern oder erweitern. Gleichzeitig kommt der Einhal-tung von sowohl gesetzlichen als auch unternehmensinternen und vertraglichen Regelungen eine immer größere Bedeutung zu.

Bei unserer projektbegleitenden Prüfung stehen die in der jeweiligen Projektphase getroffenen Entscheidungen des Managements Ihres Unternehmens im Mittelpunkt: Wie laufen Entwicklung, Einführung, Änderung oder Erweiterung Ihrer IT-gestützten Rechnungslegungssysteme ab? Werden die an die Buchführung gestellten Anforderungen hinsichtlich Ordnungsmäßigkeit, Sicherheit und Kontrollen jederzeit erfüllt? Gibt es Hindernisse, die für die Abschlussprüfung relevant sein könnten? Sind die von Ihnen getroffenen Entscheidungen und Maßnahmen ausreichend – oder gibt es Handlungsbedarf, um frühzeitig eventuellen Projektrisiken entgegensteuern zu können? Diesen Fragen gehen wir in jeder Phase Ihres Projekts nach.

21

Kick-OffVorstellung der Themenund zeitliche Planung,Identifikation vonAnsprechpartnern

1 2 3 4 5 6 7 8

Projekt-PrüfungTest der Funktionsfähigkeit derProjektkontrollen und Abstimmungs-verfahren, Risikobeurteilungen,technische und organisatori-sche Kontrollen

AltsystemarchivierungGemäß den landesrechtlichenAnforderungen, Sicherstellung dergeforderten Datenzugriffsartenbei zukünftigen Betriebsprüfungen

Migrations- undArchivierungskonzeptIdentifikation von offenenDokumentationsanforderungenund möglichen Projektab-nahmerisiken (GAP-Analyse)

AufnahmeDurchsicht von Projekt-dokumenten, Besprechungen:Identifikation von möglichenProjektabnahmerisiken(GAP-Analyse)

SystembetriebERP-Betrieb und Parametrisie-rung erfolgen nach rechtlichenAnforderungen (Systembetriebund -parametrisierung, IT-Berech-tigungskonzept, Schnittstellen und Anwendungskontrollen)

MigrationsabnahmeDokumentation der Einhaltungder Vollständigkeit und Unver-änderbarkeit der formalen Freigaben und umgesetzten Maßnahmen

IDW PS 850ProjektbegleitendePrüfung bei Einsatzvon Informations-

technologie

TestatKPMG-Berichterstattungzur erfolgreichen Projekt-abnahme nach Produktiv-umstellung und Ordnungs-mäßigkeit des ERP-System-betriebs

Abbildung 9: Best Practice-Ansatz zur projektbegleitenden Prüfung

Quelle: KPMG, 2018

IT Project Compliance

Unsere Leistungen

KPMG unterstützt Sie bei der Entwicklung und Erweiterung Ihrer IT-Prozesse und -Systeme mit einer prüfenden Beurtei-lung in jeder einzelnen Projektphase. Im Fokus stehen dabei insbesondere:

– Fach- und DV-Konzeption – Berechtigungskonzeption – Qualitäts- und Testmanagement – Datenmigration und Inbetriebnahme

Mehrwert

– KPMG begleitet Sie von Anfang bis Ende des Projekts als prüfender Beobachter und kann so dazu beitragen, bereits frühzeitig Projektrisiken zu erkennen und ihnen rechtzeitig entgegenzusteuern.

– Das Unternehmensmanagement profitiert von einer fortlau- fenden Beurteilung Ihres IT-Projekts hinsichtlich Ordnungs- mäßigkeit, Sicherheit und Kontrollen durch einen unabhängi- gen externen Partner.

– Durch regelmäßige Berichterstattung der Projektleiter bleiben Sie stets auf dem Laufenden.

– Unsere Untersuchungen können im Rahmen der Abschluss- prüfung oder durch Ihre Interne Revision sowie Dritte ver- wertet werden.



„Viele Unternehmen setzen zunehmend auf agile Metho-den, um in großen Projekten schneller zu verwertbaren Ergebnissen zu gelangen. Hierbei sollten sie zum richti-gen Zeitpunkt auch Themen-stellungen wie Qualität, Ord-nungsmäßigkeit und Sicher- heit adressieren. Bei diesen Herausforderungen können wir Sie mit einem gezielten Projektansatz und projektbe-gleitender Qualitätssicherung unterstützen.“

Swen Schwerin Director, Digital Compliance

Ansprechpartner

Swen Schwerin Director T +49 211 475-7887 [email protected]

Agile IT Project Assurance

Kundenbedürfnisse

Unternehmen stehen heute mehr als je zuvor vor der Heraus-forderung, schnell und dynamisch auf sich kontinuierlich än- dernde Anforderungen reagieren zu müssen. Agile Projekt- und Entwicklungsmethoden können Sie dabei unterstützen, diesen Anforderungen kurzfristig und effizient gerecht zu werden, denn sie ermöglichen es, Ergebnisse schnell und funktionsfä-hig zu liefern und somit internem oder externem Kostendruck zu begegnen.

Agile Projektmethoden müssen im Einklang mit regulatori-schen Anforderungen angewendet werden, damit Projekt- und Entwicklungsprozesse sowie die Einführung oder Anpassung von Produkten beziehungsweise Applikationen nachvollziehbar ge- staltet werden können. Um die Vorteile dieser neuen Projekt-methoden voll ausnutzen zu können, benötigen Unternehmen zum einen einen Projektansatz, der die internen Gegebenhei-ten und Voraussetzungen für agile Entwicklungsmethoden wie technologische und Mitarbeiterressourcen berücksichtigt, und zum anderen eine projektbegleitende Qualitätssicherung während der Entwicklung beziehungsweise Implementie- rung, die zeitnah ein korrigierendes Eingreifen ermöglicht.


23Agile IT Project Assurance

Unsere Leistungen

KPMG bietet mit agiler IT Project Assurance einen Projektan-satz, der je nach Reifegrad beziehungsweise Risikoaffinität des Unternehmens eine projektbegleitende Qualitätssicherung als Bestandteil in den agilen Prozessablauf integriert. Das konkrete Vorgehensmodell ist dabei auf die Wünsche des Unterneh-mens zugeschnitten. Zur Verfügung stehen unter anderem folgende Varianten:

– Sprintbegleitende Qualitätssicherung

– Intervallbasierte Qualitätssicherung

– Projektabschlussbetrachtung, gegebenenfalls mit vorge-lagertem Workshop

– Applikationsübergreifende Qualitätssicherungsmaßnahmen (beispielsweise beim Einsatz von Micro Services)

Dabei werden die Mindestanforderungen an Ordnungsmäßig-keit und Nachvollziehbarkeit des Prozessablaufs transparent aufgezeigt und das Unternehmen bei der Umsetzung dieser Anforderungen unterstützt. Wir führen außerdem eine fachli-che Beurteilung der Projektergebnisse durch und überprüfen, ob das Projektergebnis die Kundenanforderungen erfüllt.

Möglicher Ablauf einer agilen IT Project Assurance:

Phase I: Projektplanungsphase – Abstimmung und Definition von Anforderungen

an das Vorgehensmodell

– Definition der projektbegleitenden Qualitätssicherung (Frequenz und Intensität)

Phase II: Sprintphase – Review der Sprintphasen bezüglich Nachvollziehbarkeit

und Ordnungsmäßigkeit

– Review des Backlogs bezüglich Priorisierung von Funktionen des Projektziels

– Review der Testfälle hinsichtlich Abdeckungsgrad und Nachvollziehbarkeit

– Bewertung externer Trigger für Compliance-Themen und fachliches Feedback

Phase III: Abschlussphase – Berichterstattung und Reporting

(Prüfbericht, Abschlusspräsentation)

Mehrwert

KPMG verfügt über tief greifende, langjährige und branchen-übergreifende Expertise bei der Berücksichtigung regulatori-scher Anforderungen in IT-Projekten, ergänzt durch umfas-sende Erfahrung in der Übertragung regulatorischer Anforde- rungen aus Wirtschaftsprüfung und Consulting in eine dyna-mische und agile IT-Umgebung. Unsere IT-basierten Prüf-methoden sind abgestimmt auf die jeweiligen Kundenbedürf-nisse: – Projektbegleitende Qualitätssicherung in einer dynamischen

und agilen IT-Entwicklungs- beziehungsweise Projekt- umgebung

– Early Warning durch kontextbezogenes Feedback zu indivi-duell definierten Anforderungen und deren Umsetzung

– Integrativer und skalierbarer Ansatz zur Überprüfung der Ordnungsmäßigkeit von agilen IT-Projekten

– Transparenz über produkt- und prozessbezogene regulatorische Anforderungen



„70 Prozent der ERP-Soft- ware-Implementierungs-projekte können nicht mit dem geplanten Budget, der erwarteten Qualität und den zeitlichen Zielsetzun-gen finalisiert werden. Nicht selten liegt ein Scheitern bereits in der Softwareaus-wahl begründet. Zudem ist es essenziell, dass eine Organisation mit den damit verbundenen Herausforde-rungen neben dem Tagesge-schäft adäquat aufgestellt ist.“


Ansprechpartner


Oliver Völkl Senior Manager T + 49 89 [email protected]

Software Selection

Kundenbedürfnisse

ERP-Systeme sind der Backbone jedes Unternehmens – die fortschreitende Standardisierung beziehungsweise Zentrali-sierung im IT-Umfeld sowie die zunehmende Digitalisierung verlangen, dass insbesondere im Mittelstand bei der Einfüh-rung von neuen ERP-Lösungen diese den aktuellen Markt- erfordernissen sowie den gesetzlichen und unternehmens-spezifischen Anforderungen entsprechen. Neben der Beteili-gung von externen und internen Mitarbeitern ist die Transfor-mation Ihrer Unternehmensprozesse hin zu digitaler Gestaltung eine zentrale Voraussetzung für die erfolgreiche Implementie-rung eines neuen ERP-Systems. Mit Blick auf die Prozessaus-führung bedeutet dies, dass durch neue Technologien und Softwareprodukte Aktivitäten und vollständige Arbeitsabläufe Ihres Unternehmens mehr und mehr automatisiert und somit auch leichter ausgelagert werden können.


25Software Selection

Unsere Leistungen

KPMG ist Ihr integrierter Partner für eine tief greifende, schnelle und lösungsorientierte Analyse zur Ermittlung eines passgenauen Softwareproduktes sowie geeigneter Implementierungspartner bei der Einführung eines neuen ERP-Systems. Grundlage dafür ist neben der umfassenden Kenntnis Ihres Business unser sehr guter Überblick über den IT-Markt. Wir fokussieren uns in der Regel auf folgende Zielsetzungen und ergänzen diese durch Ihre Vorstellungen:

− Nachhaltige und erfolgreiche Abbildung der Anforderungen an Ihr neues System − Umfassende Begleitung der Softwareimplementierung unter Berücksichtigung von Ordnungsmäßigkeitsanforderungen − Bewältigung organisatorischer Herausforderungen in Ihrem

Unternehmen (Change Management)− Rechtzeitiges Hinterfragen von Key-Entscheidungen im Projekt − Nutzung von Projekt-Templates für die verschiedenen Umsetzungsphasen

Mehrwert

KPMG unterstützt Sie bei der erfolgreichen Einführung neuer Softwarelösungen, beginnend bei der Zusammenstellung der Fachbereichsanforderungen als Basis für das Pflichtenheft. Danach werden die wesentlichen Lieferanten gemeinsam identifiziert und deren Feedback zu den Pflichtenheften evalu-iert sowie Kennenlern-Workshops organisiert.

Final erstellen wir für Sie eine Entscheidungsvorlage mit einem Ranking. Des Weiteren wird die Implementierung der Soft-warelösung von der Definition des Blueprints über das Testing bis zum Go-live mithilfe der Best Practice-Begleitung von KPMG unterstützt.



„Digitalisierung ist der globale Treiber in fast allen Branchen, stellt aktuelle Geschäftsmodelle auf den Prüfstand und erfordert in hohem Maße Software- Entwicklungsleistungen. Letzteres ist heutzutage ein essenzieller Bestand- teil jeder modernen Geschäftswachstumsstra- tegie. Das angemessene Management der Software- Entwicklungsprozesse ist jedoch kein integraler Bestandteil von effektiven Business Governance- Prozessen.

KPMG verfügt über weitrei-chende Expertise in diesem Bereich und ist offen für innovative Möglichkeiten.“


Ansprechpartner


Dirk Mazur Senior Manager T +49 89 [email protected]

Software Development GovernanceKundenbedürfnisse

Aktuelle Trendthemen wie zum Beispiel Digitalisierung, Künstliche Intelligenz (AI) und Automatisierung haben bei Unternehmen eine Vielzahl von Software-Entwicklungsprojek-ten in unterschiedlichen Umgebungen und Größen ausgelöst – der Überblick kann dabei schnell verloren gehen, Projekt-ziele können gefährdet sein.


27Software Development Governance

Unsere Leistungen

KPMG verfügt über ein einheitliches Framework nach Best Practice-Ansätzen und bietet dazu eine effiziente Software- Unterstützung (unter anderem Seerene), mit der komplexe Software-Entwicklungsprojekte in Ihrem Unternehmen ein-

fach und effektiv gesteuert, Entwicklerzeit bestmöglich genutzt und Ihre Softwarepflege-Aufwendungen reduziert werden können.

Mehrwert

− Zentrale IT-Lösung zur Überwachung und Steuerung von unterschiedlichen Entwicklungsprojekten im Unternehmen

− Steuerung großer Entwicklerteams von Service-Providern

− Übersicht über Qualität, Kosten und Zeitplan der Projekte

− Identifikation von Einsparpotenzialen oder optimierte Verwendung von Entwicklerzeit zur Steigerung der Softwarequalität

− Qualitätssicherung des Programmcodes und damit Reduzierung von Maintenance-Kosten



„Vertrauen ist gut, Kontrolle ist besser – ein effizientes internes Kontrollsystem (IKS) stellt für Ihr Unternehmen einen wertvollen Beitrag dar und ist von essenzieller Bedeutung für die Geschäfts- führung. Aufgrund der immer weiter fortschreiten-den Digitalisierung spielt das IKS auch in der IT eine immer größere Rolle.“

Dennis OlsinskiPartner, Digital Compliance

Ansprechpartner

Dennis OlsinskiPartnerT +49 711 [email protected]

IT Process and Control Design

Kundenbedürfnisse

Globalisierung und Internationalisierung sind wesentliche Treiber für die Umsetzung sowohl nationaler regulatorischer Vorgaben und Richtlinien als auch zusätzlicher Compliance- Anforderungen wie zum Beispiel COSO, SOX oder J-SOX. Unternehmen stehen dabei vor der Herausforderung, auf sich ständig verändernde Compliance-Rahmenbedingungen und immer neue Anforderungen aus den verschiedenen Abteilun-gen mit flexiblen und zeitnahen Anpassungen der IT-Prozesse reagieren zu müssen. Um trotz zunehmender Komplexität weiterhin Compliance-sicher und trotzdem flexibel agieren zu können, sollten die Prozesse und Prozesskontrollen des internen Kontrollsystems (IKS) im Unternehmen verstärkt automatisiert werden.


29IT Process and Control Design

Unsere Leistungen

KPMG unterstützt Sie bei der Automatisierung und Optimie-rung der IT-Prozesse und -Prozesskontrollen im Rahmen Ihres IKS. Unser Ansatz stützt sich auf gängige Standards wie COBIT, ITIL, ISO 27001 und IT-Grundschutz und analysiert, entwickelt und optimiert Prozesse sowie Prozesskontrollen in allen Stadien des IT-Lebenszyklus. Dazu zählen unter anderem:

– Servicestrategie – Serviceentwicklung – Serviceinbetriebnahme – Servicebetrieb – Kontinuierliche Serviceverbesserung

Unser Ansatz setzt sich aus zwei Phasen zusammen:

Phase I: Analyse In der Analysephase beurteilen wir Ihre bestehenden IT-Pro-zesse hinsichtlich Compliance-, Qualitäts-, Quantitäts- und Performanceanforderungen. Wir untersuchen die in Ihrem Unternehmen vorhandenen Kontrollsysteme zur Überwachung der IT-Prozesse und identifizieren die Möglichkeiten zu deren Automatisierung und Effizienzsteigerung.

Phase II: Entwicklung und Optimierung In der Entwicklungs- und Optimierungsphase konzipieren und implementieren wir alle risikoorientierten IT-Prozesse und -Kontrollen auf Basis der zuvor definierten Compliance-Anfor-derungen sowie der Anforderungen aus den relevanten Abtei-lungen. Ziel ist der Aufbau eines langfristigen und sich kontinu-ierlich verbessernden internen Kontrollsystems.

Mehrwert

KPMG unterstützt Sie bei der Einhaltung der Compliance- Anforderungen und Verbesserung der Prozessqualität durch transparente und automatisierte IT-Prozesse. Dies ermöglicht nicht nur eine effiziente Prozesskontrolle, sondern führt auch zu einer Senkung der Kosten für die Überwachung und Nach-

besserung von Prozessen – Ressourcen, die in Ihrem Unter-nehmen mit Compliance und Kontrolldurchführungen betraut sind, werden spürbar entlastet. Mit automatisierten Prozess-kontrollen schaffen Sie für Ihr Unternehmen zudem klare Wettbewerbsvorteile im Hinblick auf künftige Zertifizierungen.



„Durch unsere Erfahrungen sowie Projektarbeit in mehr als 35 Ländern haben wir einen praxisorientierten und effizienten Ansatz für Sie entwickelt. Die wert-volle Zusammenarbeit mit den relevanten lokalen KPMG-Kollegen ermöglicht es uns, Sie aus einer Hand zu unterstützen sowie lokale und zentrale Sach-verhalte zielgerichtet und gemeinsam mit Ihnen zu behandeln. Damit ermög-lichen wir durch unseren Erfahrungsschatz einen schnellen und kunden-gerechten Projektstart.“


Ansprechpartner

Alexander Gietl DirectorT +49 89 [email protected]

ERP Roll-out Compliance

Kundenbedürfnisse

Werden neue Prozesse und Systeme im SAP-Umfeld imple-mentiert, stehen Unternehmen immer auch vor der Frage, wie bei einem globalen SAP-Roll-out-Projekt effizient und zielorientiert sichergestellt werden kann, dass die wesentli-chen Compliance-Vorgaben im Projektablauf und auch im künftigen operativen Betrieb eingehalten werden können. Damit spätere Roll-out-bezogene (Digital) Compliance-Kosten minimiert werden, ist eine umfassende Beurteilung Ihrer lokalen Compliance-Anforderungen und regulatorischen Fachfragen unter ständiger Beachtung der Template-Anforde-rungen beziehungsweise der zentralen Konzernvorgaben an Sie von essenzieller Bedeutung. Zudem muss auf die Erfül-lung Ihrer relevanten projektspezifischen beziehungsweise operativen Compliance-Vorgaben geachtet werden.


31

Projekte

Amerika Europa und Mittlerer Osten Asia-Pazifik

Länder

Kunden4

8

13 Projekte

Länder

Kunden7

32

46 Projekte

Länder

Kunden3

7

8

Abbildung 10: Weltweite Projekterfahrung bei SAP-Roll-outs nach Regionen

Quelle: KPMG, 2018

ERP Roll-out Compliance

Unsere Leistungen

KPMG hat einen phasenorientierten und international aufge-stellten SAP-Roll-out-Prüfungsansatz entwickelt, der durch eine klare und effiziente zentrale Koordination und Steuerung besticht. Zudem werden die wesentlichen Fragestellungen im Hinb lick auf Ihre regulatorischen und Compliance-Anforderungen

abdeckt. Unser Ansatz ist praxiserprobt und wird entsprechend auf die Gegebenheiten in Ihrem Unternehmen zugeschnitten, unter Berücksichtigung der geeigneten Projektmethodik (wie etwa ITPM, agile Vorgehensweisen).


Mehrwert

Unser lösungsorientiertes und praxiserprobtes Prüfungsvorge-hen unter dezidierter Einbindung einer lokalen KPMG-Mit-gliedsgesellschaft („One face to the customer“-Prinzip) erhöht die Effizienz der Prüfung durch Vermeidung von Redundanzen. Die ganzheitliche, durch lokale und zentrale Integration erfol-gende Würdigung Ihres SAP-Roll-out-Projekts ermöglicht dabei ein zielgerichtetes und schnelles Prüfungsvorgehen, das Zeit

spart. Mit dem Einsatz einer Early Warning-Strategie lassen sich Kosten verhindern, die durch spätere Anpassungen zur Compliance-Konformität oder durch weitere Prüfungsfeststel-lungen entstehen können – zusätzliche Arbeitsbelastungen Ihrerseits zum Jahresabschluss beziehungsweise zur externen Prüfung können so vermieden werden.


„Regulatorische Anforde - rungen und Verpflichtungen sowie eine hohe Geschäfts-prozessdynamik erfordern von Unternehmen mehr denn je, die Integrität, Ver-traulichkeit und Verfügbar-keit von Informationen und Daten sicherzustellen. GRC mit Fokus auf ein struktu-riertes Berechtigungsma-nagement bekommt somit immense Bedeutung für Ihr Unternehmen.“

Patrick SeewösterSenior Manager, Digital Compliance

Ansprechpartner

Patrick SeewösterSenior ManagerT +49 511 [email protected]

GRC-Berechtigungs-managementKundenbedürfnisse

Gesetzliche und regulatorische Anforderungen verpflichten Unternehmen heute mehr denn, bei der Erstellung, Verarbei-tung und Speicherung von Daten die Integrität, Vertraulichkeit und Verfügbarkeit der eingesetzten IT-Systeme sicherzustellen. Schäden, die durch unsachgemäßen und insbesondere unrecht- mäßigen Umgang mit sensiblen Daten Ihres Unternehmens verursacht werden, können erhebliche Konsequenzen nach sich ziehen – nicht nur finanziell, sondern auch im Hinblick auf die Reputation Ihrer Organisation. IT-Governance, Risk Mana - gement und Digital Compliance (kurz GRC) kommen daher in jedem Unternehmen immense Bedeutung zu, um Datenmiss-brauch von innen wie von außen zu verhindern. Ein wichtiger Be - standteil von IT-GRC stellt das Berechtigungsmanagement dar: Es umfasst die Gesamtheit der Prozesse, Konzepte und Verfahren, die benötigt werden, um in Ihrem Unternehmen den Mit arbeitern die jeweils erforderlichen Berechtigungen zeitnah und richtig zuzuweisen.


33GRC-Berechtigungsmanagement

Unsere Leistungen

KPMG unterstützt Sie bei der ganzheitlichen Umsetzung eines strukturierten Berechtigungsmanagements in Ihrem IT-Umfeld.

Unser Ansatz leitet sich aus unserem erprobten und standardisierten zehnstufigen Phasenmodell ab:

Mehrwert

Die Neuausrichtung des Berechtigungswesens nach aktuellen GRC-Gesichtspunkten ermöglicht nicht nur ein angemessen hohes Digital Compliance-Niveau hinsichtlich des Zugriffsschut-zes in Ihren Systemen, sondern macht die durch Mitarbeiter ausgeführten beziehungsweise durchgeführten Prozesse

wesentlich transparenter und nachvollziehbarer. Unser Ansatz fokussiert dabei auf die Umsetzung des Prinzips der minimalen Berechtigungsvergabe bei gleichzeitiger Berücksichtigung von Funktionstrennungskonflikten. Prozesse werden schneller, effektiver und sicherer – sowohl systemseitig als auch organisatorisch.

Abbildung 11: Möglicher Ablauf der Einführung eines Berechtigungsmanagements

Quelle: KPMG, 2018

Phase I: Projektstart und -planung

Phase II: System- und Berechtigungsanalyse – Tool-gestützte, systemseitige Datenanalyse des Berechtigungskonzeptes und der Nutzung von bereits vergebenen Berechtigungen

– Definition der kritischen Handlungsfelder (inklusive einer Bewertung der Datenanalyse) und der davon betroffenen Berechtigungen und Benutzer

– Bewertung von bereits erstellten konzeptionellen Dokumentationen

Phase III: Design (Prozesse, Konzeption und Verfahren) – Optimierung von bestehenden und Entwicklung von fehlenden Prozessen, Konzepten und Verfahren

Phase IV: Erstellung von Arbeitsplätzen und Identifikation von kritischen Berechtigungen als Vorbereitung für durchzuführende Workshops

Phase V: Workshops – Durchführung und Moderation von Workshops mit den einzelnen Fachbereichen und der IT zur Aufnahme der unternehmensspezifischen Berechtigungen und Arbeitsplätzen

Phase VI: Zusammenführung der Ergebnisse in einem Arbeitsplatzkonzept

Phase VII: Durchführung und Moderation finaler Workshops mit den einzelnen Fachbereichen und der IT – Abnahme der Arbeitsplatzmatrizen und Berechtigungsstrukturen

Phase VIII: Implementierung auf Basis der erstellten Konzeption – Tool-gestützte Implementierung der Arbeitsplatz- konzeption im System

Phase IX: Test und mögliche Fehlerbereinigung – Durchführung von Berechtigungstests (Positiv- und Negativtests) und parallel dazu eventuelle Fehlerbereinigung

– Durchführung von Freigabeprozessen der implementierten Berechtigungslösung

Phase X: Go-live und Stabilisierungsphase – Produktivsetzung der freigegebenen Berechti- gungen nach einem mehrstufigen Verfahren (nicht alle Berechtigungen gleichzeitig)

– Bereitstellung einer Hotline zur möglichen Problembehebung

Projektstartund -planung

Design (Prozesse,Konzeption und Verfahren)

System- undBerechtigungsanalyse

Erstellung vonArbeitsplatzmatrizen

Zusammenführung derErgebnisse in einemArbeitsplatzkonzept

Implementierungauf Basis dererstelltenKonzeption Go-live und

Stabilisierungs-phase

Workshopszur Aufnahme von Berechti-gungen zu Arbeitsplätzenanhand von End-to-End-Prozessen

Finale Workshopszur Präsentation derkonsolidierten Ergebnisseund Abnahme derKonzeption

Test undmöglicheFehler-bereinigung

KPM

G K

unde



„Der deutsche Cloud-Markt zeigt nach wie vor ein star-kes Wachstum. Dies ist vor allem auf die gestiegene Ver- breitung von Public Cloud Computing zurückzuführen. Aus dem Cloud-Monitor 2017 von KPMG geht deutlich hervor, dass weiterhin gro-ßes Potenzial für den Aus-bau von Cloud-Lösungen in vielen Unternehmen besteht.“

Andreas Steffens Senior Manager, Digital Compliance

Ansprechpartner

Olaf Köppe PartnerT +49 30 [email protected]

Andreas Steffens Senior ManagerT +49 30 [email protected]

Cloud Trans-formation and ComplianceKundenbedürfnisse

Unternehmen nutzen vermehrt virtualisierte Infrastrukturen in Form von Private Cloud Computing, um beispielsweise mehrere Unternehmensbereiche oder Standorte zentral mit IT-Ressourcen zu versorgen und damit eine optimale Res-sourcenverteilung zu erreichen. Beim Cloud Computing werden Software und Daten nicht mehr lokal bezogen bezie-hungsweise gespeichert, sondern in eine externe Infrastruk-tur ausgelagert. Die Veränderungen gegenüber herkömmli-chen IT-Lösungen sind zum Teil gravierend: IT-Leistungen werden beim Cloud Computing in Echtzeit als Service über das Internet bereitgestellt und nach Nutzungsdauer oder Nutzungsumfang abgerechnet. Ihr Unternehmen hat dabei die Möglichkeit, auf unternehmenseigene Clouds zuzugreifen oder diese von einem externen Dienstleister betreiben zu lassen.

Unsere Leistungen

KPMG ist Ihr etablierter Partner für eine tief greifende, schnelle und lösungsorientierte Analyse der Optimierungspotenziale, die sich durch den Einsatz von Cloud-Lösungen in Ihrer IT-Land- schaft verwirklichen lassen. Wir berücksichtigen dabei alle Bereiche innerhalb Ihrer Unternehmensorganisation und stellen die Compliance-konforme und sichere Umsetzung der Trans-formation in die Cloud entlang des kompletten Produktlebens-zyklus sicher.

Anders als reine Cloud-Implementierer bietet KPMG nicht nur die technische Umsetzung der konzipierten Maßnahmen an, sondern berücksichtigt auch die für Ihr Unternehmen relevan-ten Regularien, unterstützt Sie bei der Kommunikation mit Regierungsbehörden und bietet über die KPMG Law Rechts-anwaltsgesellschaft mbH zudem juristische Beratung aus einer Hand an.


35Cloud Transformation and Compliance

Cloud-Readiness- beziehungsweise Schatten-IT-Assessments Durchführung eines Cloud-Readiness- beziehungsweise Schat-ten-IT-Assessments zur Bestimmung des Reifegrads Ihrer IT- Landschaft für Cloud Transformation inklusive Benchmarking sowie konkreter Handlungsempfehlungen

Cloud Compliance Quick Check Durchführung eines Cloud Compliance Quick Checks zur Bera-tung und Beurteilung des angemessenen Umgangs mit regula-torischen Anforderungen (IT-Sicherheit, Datenschutz und indust-riespezifische Regularien)

Cloud Business Cases Berechnung von Cloud Business Cases zur Bewertung der möglichen Ressourcen- und Kostenersparnis

Cloud Transformation Beratung bei der Transformation in die Cloud durch Datenklassi-fizierungen und Priorisierung derjenigen Prozesse, die zuerst für eine Cloud-Lösung in Betracht kommen

Mehrwert

Mit der Nutzung der Cloud Transformation Services von KPMG vermeiden Sie Nachteile und Risiken für Ihr Unternehmen, die durch die Nutzung von suboptimal verwalteten Cloud-Diensten eines Drittanbieters entstehen können, wie zum Beispiel Buß- gelder, Reputationsschäden und Vertragsstrafen. Zudem er- höht sich durch die Auslagerung die Sicherheit Ihrer Daten,

während Überwachungskosten in Ihrem Unternehmen dank gesteigerter Transparenz mithilfe effizienter Systeme und Prozesse gesenkt werden können. Außerdem steigern Sie Ihre Unternehmensperformance und Innovationsfähigkeit durch intelligente Ressourcenverteilung.

Abbildung 12: Wesentliche Prozesse und Faktoren einer Cloud Transformation

Quelle: KPMG, 2018

Abbildung 13: Ablauf der Cloud Transformation von KPMG

Quelle: KPMG, 2018

S.31 – Cloud Transformation 2

Strategie Kosten Daten Compliance Technologie Betrieb Anbieter

Cloud-Strategie entwickeln,Cloud in dieDigitalisierungs-initiativeeinordnen

Lizenzen prüfen,Cloud BusinessCase berechnen,Cloud-Finanzplanerstellen

Daten-klassifizierungeinführen,Unternehmens-richtlinien fürDaten/Dokumenteerstellen

Compliance &Security Checkdurchführen,Compliance &SecurityRoadmapdefinieren

Architektur-Blueprinterstellen,Roadmapfür dieTransformationerstellen

Cloud-Governanceaufsetzen,Check vonSLAs, KPIs,KRIs etc.

Vertrags-Checkdurchführen,Change-Prozessbegleiten,Existenz-szenarienentwickeln

Ablauf der KPMG Cloud Transformation

GROWTHCOMPLIANCE

#1 A

SS

ESSM

ENT

#3 CHANGE

#2 DESIGN

CloudReadiness

Assessment

Schatten-IT

CloudComplianceQuick Check

Cloud RiskAssessment

ProviderManagement

CloudTransformation

Office

Cloud ServiceManagement

Cloud &Digital ChangeManagement

CyberSecurity

CloudGovernance

Legal / TaxCloud Aspects



Compliance in der Cloud:Auch in der Wolke gelten Regeln

Die Vorteile von Cloud-Diensten sorgen vielerorts für großen unternehmerischen Optimismus. Wie kann jedoch sichergestellt werden, dass der Weg dorthin kein riskantes Unterfangen wird?

Datenschutz und Datensicherheit sind die größten Hürden, die Unternehmen beim Einstieg ins Cloud-Computing nehmen müssen – dies zählt zu den wichtigsten Ergebnissen eines gemeinsamen Whitepapers* der Telekom und von KPMG. Gleichwohl wird Cloud-Computing für immer mehr Unterneh-men zum festen Bestandteil der Unternehmens-IT – und ein Ende der Entwicklung ist nicht in Sicht.

Aufgrund ihrer großen Flexibilität, der guten Skalierbarkeit und ihrer Ortsunabhängigkeit eröffnen Cloud-Anwendungen den Unternehmen viele neue Möglichkeiten. So greift mittlerweile bereits jedes vierte Unternehmen hierzulande in vielfältiger Weise auf öffentlich zugängliche Cloud-Dienste zurück.

Dabei haben Firmen in den meisten Fällen feste Erwartungs-haltungen, wenn sie sich mit IT-Outsourcing beschäftigen. 76 Prozent der befragten Unternehmen erwarten nach den Ergebnissen des Cloud-Monitors* von KPMG, dass ihre Cloud- Anbieter die Rechenzentren in Deutschland betreiben. Auch die Weiterverarbeitung der Daten nach den Vorgaben der deutschen Gesetzgebung zählt zu den Hauptforderungen vieler Cloud-Nutzer.

Das Auslagern von unternehmenseigener IT stellt jedoch besondere Anforderungen an die Compliance, die Unterneh-men im Umgang mit der IT beachten müssen. Das gilt ebenso für unterschiedliche Service-Modelle wie beispielsweise Information as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS).

KPMG ist Ihr integrierter Partner, wenn es um die tief grei-fende, schnelle und lösungsorientierte Analyse der Reife Ihres Unternehmens für das Cloud-Zeitalter geht.



* https://home.kpmg.com/de/de/home/themen/2017/05/compliance-in-der-cloud-in-der-wolke-gelten-regeln.html

37Compliance in der Cloud: Auch in der Wolke gelten Regeln



„Heutzutage sind der Aus-tausch und die gemeinsame Bearbeitung von Dokumen-ten aus dem Wirtschaftsle-ben nicht mehr wegzuden-ken. Sicherheit bei der gemeinsamen Bearbeitung und beim Datenaustausch unter Ihren Mitarbeitern und mit externen Dritten entlang des gesamten Dokumentenlebenszyklus ist essenziell, um Gefahren für die Reputation Ihres Unternehmens und Haf-tungs- und finanzielle Risi-ken zu reduzieren.“

Ulf Redeker Senior Manager, Digital Compliance

Ansprechpartner


Ulf Redeker Senior Manager T + 49 89 9282-1124 [email protected]

Sichere Kollaboration und DatenaustauschKundenbedürfnisse

Prozesssicherheit bei Austausch und gemeinsamer Bearbei-tung von Dokumenten und Dateien mit internen Mitarbeitern und externen Dritten entlang des gesamten Dokumentenle-benszyklus ist essenziell im Hinblick auf regulatorische und Haftungs-Fragestellungen sowie für die nachhaltige Unter-nehmensreputation. Als risikobehaftete Prozesse kommen neben dem Austausch mit Dritten wie Ihren Kunden, Lieferan-ten, Anwälten oder Übersetzern auch die Nutzung von Cloud Services oder der standardmäßige Versand von Dokumenten per unverschlüsselter E-Mail infrage. Risiken, die durch den unkontrollierten Zugang zu Ihren Informationen entstehen können, lassen sich durch Optimierung Ihrer Prozesse und IT-Lösungen minimieren.


39Sichere Kollaboration und Datenaustausch

Unsere Leistungen

KPMG bietet Ihnen langjährige Erfahrung und Better Practices in den Themenbereichen Enterprise Content Management, Cloud Compliance und Cyber-Sicherheit. Aufgrund unserer umfassenden Expertise in IT und Digital Compliance sehen wir als Ausgangspunkt unserer Beratung immer Ihre vorhandene IT-Architektur und -Strategie. Wir überprüfen Ihre Lizenzen, um verknüpfbare Lösungen zu finden, und kombinieren diese mit den funktionalen Anforderungen Ihres Unternehmens. Auf diese Weise können wir Sie über die gesamte Transformation hinweg durch eine sichere Dokumentenkollaborations- sowie Datenaustauschmethode effizient begleiten.

Mit unserem multidimensionalen Ansatz begleiten wir Sie bei der nachhaltigen Transformation, an deren Ende eine sichere und Compliance-konforme Methode des Datei- und Dokumen-tenaustausches innerhalb und außerhalb Ihres Unternehmens steht. Wir unterstützen Ihre Mitarbeiter dabei, die Effizienz im Arbeitsalltag durch bewährte Lösungen und Prozesse zu erhöhen.

Mehrwert

KPMG hat einen ganzheitlichen Ansatz für die interne und externe Zusammenarbeit über alle Phasen des Dokumenten- lebenszyklus hinweg entwickelt: Evaluation, Konzeption, Ent-wicklung und Betrieb von sicheren Cloud- und On-Premise- Lösungen. Damit können wir eine bestmöglich auf Sie zuge-schnittene Lösung auf Basis marktführender IT-Tools entwi-ckeln und so auf Ihre individuellen Anforderungen eingehen. Kontinuierliche Kontrolle über die Zugriffe auf Ihre gespeicher-ten Daten und die sichere Übertragung derselben stehen dabei für uns an erster Stelle.

Zusätzlich zu unserem Beratungsservice veranstalten wir regelmäßig Roundtables zu speziellen Herausforderungen im Kontext von Dokumenten- und Vertragsmanagement mit unseren Kunden.

Assessment

Architektur

Lizenzen

Funktionale Anforderungen

Governance

Compliance

Risikomanagement

Design Build Run

Compliance- und Technologie-Check

Anforderungsanalyse und Priorisierung

GAP-Analyse

Kosten/Nutzen-Analyse als Entscheidungsbasis

Toolauswahl

Technischer Leistungs-umfang

Roadmap für Implementierung, Entwicklung und Go-live

Lösungskonfiguration und Entwicklung (agil, Wasserfall)

Funktionstest

Technische Dokumenta-tion

Benutzerakzeptanztest und Optimierung

Roll-out

Trainingskonzept

Endnutzertraining

Administratorentraining

Koordination und Qualitätssicherung während des Go-live

Unterstützung der Endnutzer nach Go-live

Abbildung 14: Multidimensionaler Ansatz für einen Compliance-sicheren Datei- und Dokumentenaustausch

Quelle: KPMG, 2018



„Stillstand ist Rückschritt – um wettbewerbsfähig zu bleiben, müssen Transfor-mationsprojekte initiiert und nachhaltig umgesetzt werden. Die erfolgreiche Lieferung von Produkten, Ergebnissen oder das Er- bringen von Leistungen mit der geforderten Qualität innerhalb eines festgelegten Zeitplans unter Einhaltung des definierten Budgets – all das zeichnet ein erfolg-reiches und performantes Projekt aus. KPMG unter-stützt mit umfangreicher Programm- und Projektexpertise, standardi-siertem Projektmanagement- Know-how, Benchmarking- und Better Practices-Ansät-zen Ihren Projekterfolg.“

360° Project Performance AssessmentKundenbedürfnisse

Die Einführung eines neuen ERP-Systems in Ihrem Unterneh-men, die Digitalisierung Ihrer Rechnungslegung oder der Produktion, die Entwicklung eines Prototypen für ein neues Produkt oder eine Dienstleistung, die Erstellung eines Busi-ness Case auf Basis von Predictive Analytics – es gibt nahezu unendlich viele Beispiele für Projekte mit expliziter Zielset-zung, die Sie in einer festgesetzten Zeit mit einem festgeleg-ten Budget in der erforderlichen Qualität erreichen wollen. Hier setzt unser Project Performance Assessment (PPA) auf.

Unsere Leistungen

Auf Basis umfassender Erfahrungen in vielen Branchen und verschiedensten fachlichen Themenstellungen analysiert KPMG Ihr Projekt nach gängigen Methoden des Projektma-nagements und erstellt Bewertungen zum aktuellen Status. Der Zeitpunkt dafür ist nebensächlich – wir können sowohl vor, während als auch nach Ihrem Projekt mit dem Assessment starten. Im Fokus stehen dabei Fragen wie:

Start des Projekts – Sind die Anforderungen klar aufgenommen und vom Projektmanagement-Team richtig verstanden worden? – Ist meine Projektorganisation richtig aufgestellt? – Habe ich das richtige Reporting implementiert?


Project completed on time

Projects completed within budged

Projects that meet original goal/business intent

Projects experiencing score creep

Projects deemed failures

Budged lost when a project fails

88%

90%

92%

28%

6%

14%

24%

25%

33%

68%

24%

46%

ChampionsUnder-

performers

Abbildung 15: PPA – Gewinner und Verlierer

Quelle: Pulse of the Profession 2017, Project Management Institute (PMI)

Dennis Olsinski Partner, Digital Compliance

Ansprechpartner

Dennis Olsinski PartnerT +49 711 [email protected]

Daniel Maly PartnerT +49 711 [email protected]

Christina Rauleder Manager T +49 711 [email protected]

41360° Project Performance Assessment

Während des Projekts – Wie ist der Status des Projekts? Ist es wirklich „in progress“? – Können die Projektziele (Budget, Zeit und Qualität) erreicht werden? – Gibt es versteckte Projektrisiken?

Nach dem Projekt – Wie kam es zu eventuellen Budget- beziehungsweise Zeitüberschreitungen? – Stimmt die Qualität und sind alle Ziele des Projekts erfüllt worden? – Was sind die Lessons Learned für zukünftige Projekte und wo befinde ich mich in meiner Peergroup (Benchmarking)?

Unser Assessment wird im Interviewverfahren auf Programm- beziehungsweise Projektebene mit ausgewählten Vertretern der Geschäftsführung, des Projektmanagements, des Projekt-

management-Office und des Projektteams Ihres Unterneh-mens durchgeführt. Die Ergebnisse aus den Interviews werden durch eine Analyse der Projektdokumentation ergänzt und validiert.

Auf Wunsch wird KPMG Ihr Projekt entlang der von Ihnen eingesetzten Projekt-Methodologie auf projektsignifikante Ergebnisdokumentation verifizieren und validieren.

Mehrwert

Mithilfe des 360° Project Performance Assessment unterstützt KPMG Sie bei der Minimierung von Risiken, die beim Aufset-zen aufwendiger und zeitintensiver Projekte entstehen können. Es wird nicht nur klare Transparenz über den aktuellen Status

Die Zusammenfassung der gewonnenen Ergebnisse erfolgt mit Empfehlungen und Better Practice-Ansätzen in einer Management-Präsentation.

des Projekts („Project Health Check“) geschaffen, sondern es werden auch tiefgehende Erkenntnisse, Lessons Learned, Empfehlungen und Better Practices für Ihre zukünftigen Projekte gewonnen.

Abbildung 16: Bereiche unseres 360° Project Performance Assessment

Quelle: KPMG, 2018

Abbildung 17: Leistungen für einzelne Aufgabenbereiche

Quelle: KPMG, 2018

Termin

Kosten Inhalt/ Umfang

Qualität

Einschätzung der vom Projektmanagement gesteuerten Kommunikationsabläufe, um sicherzustellen, dass die

Bedürfnisse der Projekt-Stakeholder erfüllt und Probleme gemeinsam mit den Stakeholdern gelöst werden können.

Assessment der integrierten Änderungssteuerung, des Konfigurationsmanagements, der Entwicklung des Projektma-

nagementplans und des Abschlusses des Projekts mit Übergabe der endgültigen Leistungen beziehungsweise Produkte

Assessment des Scope Managements im Hinblick auf die Definition der Anforderungen, des Scopes und der

Scope-Validierung beziehungsweise -Steuerung

Bewertung der Zeitpläne und Roadmap inklusive Analyse begründeter Zeitverschiebungen im Projekt

Assessment des aufgesetzten Projektcontrollings, Budgetierung sowie Auswahl der berichteten KPIs

Bewertung der Quality Gates, Fallback-Szenarien sowie Assessment der durch äußere Faktoren geforderten

Änderungen (legale, regulatorische, funktionelle)

Einschätzung über den Umgang mit den und die Bewertung der Projektrisiken wie Ausfall, Zeitverzug und Budget-

überschreitung

Assessment der Zusammenstellung des Projektteams, der Entwicklung des Projektteams und des Managements

des Personals

Bewertung der eingesetzten Kommunikationsmittel und -wege, Analyse der vorhandenen Gremien, Entscheidungs-

und Kommunikationsprozesse sowie Eskalationsprozesse

Einschätzung des Auswahlprozesses und der Steuerung externer Dienstleister sowie Auswahl eingesetzter Software

und Tools

Stakeholder Management

Scope Management

Time Management

Cost Management

Quality Management

Risk Management

Human Resource Management

Communication Management

Procurement Management

Integration Management



Olaf Köppe Partner, Digital Compliance

Ansprechpartner


Michail JitomirskiSenior Manager T +49 511 8509-5361 [email protected]

Ulf RedekerSenior ManagerT +49 89 [email protected]

„Infolge der Globalisierung, Digitalisierung und Einhal-tung vertrags- sowie länder-spezifischer Regularien sind Unternehmen zuneh-mend mit der Steuerung komplexer Vertragsland-schaften und -organisationen konfrontiert. Das Vertrags-management erlebt einen stetigen Wandel – von einer manuellen und dezentralen Verwaltung hin zu einer zentralen, elektronischen und strategischen Steue-rung – verbunden mit der Herausforderung, prozess-begleitende Systeme zu integrieren.“

Contract Lifecycle Management

Kundenbedürfnisse

Viele Unternehmen stehen bei der Einrichtung eines Vertrags-managements vor großen Herausforderungen wie der Inte- gration einer IT-unterstützten Governance, Sicherstellung von Transparenz und Gewährleistung eines aktiven Risk Manage-ments. Dabei geht es nicht allein um die finanzielle Wert-schöpfung, sondern besonders auch um die Vermeidung rechtlicher Risiken und Konsequenzen, die sich zwangsläufig aus der Nutzung von Verträgen ergeben. Anreize für ein aktives Vertragsmanagement gibt es viele: So sind beispiels-weise die Erfüllung regulatorischer Anforderungen im Hinblick auf Ihren ordnungsgemäßen Umgang mit Verträgen und deren sichere Verwendung mit Ihren Geschäftspartnern, die Ein haltung von Berichtsanforderungen im Rahmen Ihres Jahresabschlusses oder das Management von Vertragspro-zessen zur Steuerung komplexer Vertragsinhalte wesentliche Treiber für ein aktives Vertragsmanagement.

Contract Lifecycle Management (CLM) umfasst die nachhaltige Verantwortung im systematischen und effizienten Management Ihrer Verträge entlang des gesamten Lebenszyklus unter Beach- tung Ihrer Vertragsmanagement-Governance – unterstützt durch zugehörige Prozesse und IT-Anwendungen.

Unsere Leistungen

Als integrierter Partner unterstützt KPMG bei der Optimierung Ihres Vertragsmanagements unter Verwendung eines lösungs-orientierten und tief greifenden Ansatzes. Unsere ganzheitliche Vertragsmanagement-Beratung erstreckt sich von der initialen Analyse des Reifegrades Ihrer organisatorischen Voraussetzun-gen über die Pilotierung der daraus abgeleiteten Optimierungs-maßnahmen innerhalb kritischer Bereiche bis hin zum Transfer und Roll-out einer umfänglichen Vertragsmanagement-Gover-nance auf Unternehmensebene.


43Contract Lifecycle Management

Mithilfe einer maßgeschneiderten Lösung, die an Bedürfnisse und Strukturen Ihres Unternehmens angepasst ist, unterstüt-zen unsere Experten Sie bei:

– der Erstellung eines ganzheitlichen CLM-Prozesses ein- schließlich der Definition funktionaler Verantwortlichkeiten und Schnittstellen mit den involvierten Fachbereichen und -abteilungen

– der strukturierten Aufnahme organisationsspezifischer IT-Anforderungen entlang variierender Kompetenzen und Funktionalitäten

– dem Aufbau einer strategischen, unternehmensweiten CLM-Governance mit festgelegten Kontrollmaßnahmen und Prüfbestimmungen zur nachhaltigen Sicherstellung vertraglicher Compliance-Anforderungen

– der Umsetzung der für Sie konzipierten CLM-Lösung inklusive systembezogener Unterstützung mittels Change Management, Kommunikation und Trainings für Systemnutzer

– der Befähigung in der eigenständigen Durchführung vertrags- bezogener Performance-Messungen und Compliance-Prüfun- gen unter Einbeziehung professioneller KPMG-Experten aus dem Bereich Contract Assurance sowie Rechtsanwälten der KPMG Law Rechtsanwaltsgesellschaft mbH

Abbildung 18: Ganzheitliche Vertragsmanagement-Beratung von KPMG

Quelle: KPMG, 2018

S. 33

KPMG Contract Lifecycle Management-Ansatz

Governance

Strategy

Technology

Risk Management & Compliance

Legal

Processes

Assurance

Organization

Communications & Monitoring

Abbildung 19: Unser Contract Lifecycle Management-Ansatz

Quelle: KPMG, 2018

S.33 – Contract Lifecycle 1

1. Quick CheckAufnahme und Bewertung des Vertragsmanagement-Reifegrades mit Erarbeitung von Handlungsempfehlungen

2. PilotierungKonzeption und Pilotierung von Optimierungsmaßnahmeninnerhalb eines ausgewählten Fokusbereichs

3. Transfer und ImplementierungTransfer der Optimierungsmaßnahmen und Implementierungeiner unternehmensweiten CLM-Governance


Mehrwert

Mit einem klar strukturierten Contract Lifecycle Management bringen wir Sicherheit und Transparenz in den Umgang mit Ihren vertraglichen Beziehungen. Dafür schaffen wir eine fort- laufende Beurteilungsmöglichkeit Ihrer gesamten Vertragsland-schaft. Ihr Unternehmensmanagement kann enthaltene Risiken bereits frühzeitig erkennen, bewerten und abwenden. Strafzah-lungen oder Schadensersatzforderungen können so vermieden beziehungsweise erkannt und eingefordert werden. Über

unsere langjährige Expertise auf dem Gebiet des Contract Lifecycle Managements ermöglichen wir, relevantes Branchen-wissen in Ihr Business zu integrieren und Ihren Vertragsma-nagement-Reifegrad im Kontext Ihres Wettbewerberumfeldes einzuschätzen. Mit der Optimierung Ihres Vertragsmanage-ments leistet KPMG einen entscheidenden Beitrag zur Wettbe-werbsfähigkeit Ihres Unternehmens.


„Wenn Ihr Unternehmen einen ausgebauten indirek-ten Vertriebskanal hat, müssen Sie für Ihre Wettbe-werbsfähigkeit viel in den Kanal investieren, haben aber oft nicht die Möglich-keiten, die Waren- und Finanzflüsse transparent nachverfolgen zu können. Sie sind daher Compliance- Risiken ausgesetzt, die Sie oft selbst nicht bewerkstel-ligen können, und deshalb einem latenten finanziellen Risiko und drohendem Imageverlust ausgesetzt.“

Monika Mackiewicz Senior Manager, Digital Compliance

Ansprechpartner


Monika MackiewiczSenior ManagerT +49 30 2068-2208 [email protected]

Michail Jitomirski Senior Manager T +49 511 8509-5361 [email protected]

Channel GRC: Governance, Risk und Compliance imindirekten Vertrieb

Kundenbedürfnisse

Der indirekte Vertrieb ist in hohem Maße an Verkaufsförde-rungs- und Marketingprogramme gebunden – Vertriebspart-ner sollen so auf die Ziele und Strategien des Unternehmens ausgerichtet werden. Die Investitionen sind zum Teil immens, etwa in Form von Prämien, Boni, Rabatten und so weiter – die Anreizsysteme zählen zu den größten Kostenfaktoren bei Produkten beziehungsweise Dienstleistungen.

Unternehmen mit indirektem Vertrieb konzentrieren sich oft zu sehr auf die operative Ausgestaltung der Anreizsysteme und vernachlässigen dabei deren Compliance-Anforderungen. Das birgt ein hohes Missbrauchs- und Betrugsrisiko: Die vorgesehenen Zuwendungen können durch fehlerhafte bezie-hungsweise manipulierte Umsatzberichterstattung Ihrer Vertriebspartner unberechtigt in Anspruch genommen oder auch falsch verwendet werden. Es entstehen Graumarktakti-vitäten, die nicht nur einen Kontrollverlust für Sie bedeuten, sondern auch dem Anreizsystem und dem Image Ihres Unter-nehmens schaden. Umso wichtiger ist es daher, für Transpa-renz, Effizienz und Compliance zu sorgen.


Abbildung 20: Wesentliche Faktoren einer Channel GRC

Quelle: KPMG, 2018

S. 36

Channel GRC Framework

Governance ComplianceRiskStrategy &

Organization

Policy & TermsManagement

Reporting &Controls

Operations

Communication,Training & Support

Culture &Localization

Identification &Assessment

Monitoring &Control

BusinessProcess Modelling

Contract Life CycleManagement System

Data & Analytics

Technology

Insights &Visualization

Automation oftest procedures

CommunicationChannels

45Channel GRC: Governance, Risk und Compliance im indirekten Vertrieb

Unsere Leistungen

KPMG bietet Ihnen einen auf der Grundlage langjähriger Erfah-rungen entwickelten und praxiserprobten Ansatz, der sich von der initialen Reifegradanalyse über die Einführung eines Com-pliance-Monitorings bis hin zur kontinuierlichen Risikoüberwa-chung und Durchführung von Compliance-Maßnahmen in

Ihrem Unternehmen erstreckt. Bei dem von uns verwendeten Channel GRC Framework handelt es sich um ein ganzheitliches Portfolio, das aus vorbeugenden, aufdeckenden und reaktiven Maßnahmen besteht.

Prävention – Analyse der existierenden Strukturen, Aktivitäten und Richt- linien für die Gewährleistung der Compliance im Vertriebs- kanal zur Identifikation und Behebung von potenziellen Schwachstellen und Risiken – Strategiedefinition, Etablierung der Channel Governance und Ableitung des Target Compliance Model – Implementierung eines Partner-On-Boarding-Prozesses inklusive Risikoklassifizierung – Definition der Hauptrisikofaktoren, -indikatoren und -ereignisse – Schaffung eines Risiko- und Compliance-Bewusstseins durch Kommunikations- und Schulungsmaßnahmen

Aufdeckung – Optimierung der Berichtsstrukturen und Implementierung von (teil-)automatisierten Kontrollmechanismen – Implementierung einer kontinuierlichen Überwachung für eine frühzeitige Risikoerkennung und Einführung von geeigneten Maßnahmen – Identifikation von Prozessschwächen im Rahmen von Compliance-Audits bei Vertriebspartnern

Reaktion – Integrierte Planung und Durchführung von Compliance- Audits bei Vertriebspartnern bezüglich der Einhaltung von Vereinbarungen und Verträgen sowie der korrekten Ver- wendung finanzieller Investitionen – Unterstützung und Begleitung des Sanktions- und Konse- quenzenmanagements durch Bereitstellung eines qualifizier- ten Prüfungsberichts – Kontinuierliche Adaptation und Verbesserung der Kommuni- kations- und Schulungsmaßnahmen, der (Programm-)Richt- linien, der Kontrollen und Risikoindikatoren sowie des Prüfungsansatzes

Mehrwert

Wir begleiten Sie auf Ihrem Weg zu einem robusten und abgesicherten Anreizsystem in Ihrem indirekten Vertriebs- kanal. Die Vorbeugung von Missbrauch und Betrug sowie die konsequente Überwachung und Kontrolle der Investitionen tragen zu einem höheren Risiko- und Compliance-Bewusstsein Ihrer eigenen Mitarbeiter und Ihrer Vertriebspartner bei und sichern Ihnen einen wettbewerbsfähigen indirekten Vertriebs-

kanal mit loyalen Partnerschaften. Zugleich wird die Renta- bilität Ihrer Anreizsysteme verbessert, beispielsweise durch die Rückerstattung der missbräuchlich verwendeten oder fälschlich ausgezahlten Mittel. Unser interdisziplinär aufgestell-tes Team verfügt über jahrelange Erfahrung im Bereich Chan-nel Governance, Risk & Compliance sowie über fundierte, länderübergreifende Expertise in der Vertriebslandschaft.

Abbildung 21: Unser ganzheitlicher Beratungsansatz

Quelle: KPMG, 2018

S. 37

Maturity Assessmentund Situationsanalyse

Reifegrad und Bestandsaufnahme derexistierenden Compliance-Strukturen,

-Aktivitäten und -Prozesse

Channel Governance, Riskund Compliance Transformation

Konzeption und Einführung eineswirksamen Compliance-Monitoring-Programms im indirekten Vertrieb

Channel Complianceas a Service

Kontinuierliche Risikoüberwachungund Durchführung der Compliance-

Aktivitäten, zum Beispiel Compliance-Audits bei Vertriebspartnern



„Unser Fokus bei der unter-nehmensindividuellen Be- wertung potenzieller Risiken basiert auf dem ganzheitli-chen Verständnis der Pro-zesse Ihrer Organisation – diese umfassende Einschät-zung beinhaltet ebenfalls die Beurteilung der positi-ven wie auch negativen Ein-flüsse durch externe Dritte sowie den damit verbunde-nen Chancen und Risiken. Wir unterstützen Sie dabei, Geschäftsprozesse nachhal-tig schlanker, kostengünsti-ger, sicherer und qualitativ besser zu gestalten.“

André Schneider Senior Manager, Digital Compliance

Ansprechpartner

Heiko Kramer Director T +49 40 [email protected]

André Schneider Senior Manager T +49 521 [email protected]

Vendor Risk Management

Kundenbedürfnisse

Für die wettbewerbsfähige Positionierung innerhalb eines relevanten Geschäftsumfelds ist die Einbindung von Drittan- bietern für Unternehmen strategisch unentbehrlich – diese Entwicklung wird durch die fortschreitende Digitalisierung geradezu forciert. Schwächen in den internen Kontrollen der von Ihnen beauftragten Dienstleister stellen das auslagernde Unternehmen jedoch vor vielfältige Compliance-Risiken, denn ein Drittanbieter hat oft Zugriff auf Ihre internen Netzwerke und Kundendaten – ein Datenschutzrisiko, das für Sie erhebliche Reputationsschäden nach sich ziehen kann.


RisikenDrittanbieter

(3rd Party)

ComplianceGRC

Daten-sicherheit

KundendatenReputation

FinanzenOutsourcing-Strategie

BusinessContinuity

ManagementISAE 3402

Abbildung 22: Risiken bei der Einbindung von Drittanbietern

Quelle: KPMG, 2018

47

Nachhaltige Erfolgsstrategie

Vendor Risk Management von KPMG

– Entwicklung individueller Kriterien zur Auswahl von Drittanbietern

– Risikobewertung und Einschätzung (Fremdrisiko versus Eigenrisiko)

– Identifikation potenzieller Schwachstellen (GAP-Assessment)

– Begleitung der Integration (Onboarding neuer Drittanbieter)

– Auswahl und Unterstützung bei der Vertragsgestaltung mit Drittanbietern, sodass unter Einhaltung regulatorischer Compliance-Themen eine Risikomini-mierung ermöglicht wird

– Zufriedene Kunden– Bestätigungen für Regulatoren– Nachhaltige Erfolgsstrategie, die ein

erfolgreiches Zusammenarbeiten mit Drittanbietern ermöglicht

Abbildung 23: Unser Best Practice-Ansatz im Bereich VRM

Quelle: KPMG, 2018

Vendor Risk Management

Unsere Leistungen

KPMG bietet Ihnen Beratungsleistungen im Bereich Vendor Risk Management (VRM), mit denen Sie überprüfen können, ob Verträge mit Subdienstleistern in einem angemessenen Kosten-Nutzen-Verhältnis stehen und gleichzeitig alle Gover-nance-, Risk Management- und Compliance-Anforderungen berücksichtigt und eingehalten werden.

Wir unterstützen Sie bei:

– der Auswahl und Überprüfung von Drittanbietern, bei der Überwachung von Prozessen und Kontrollen sowie bei Due-Diligence-Prüfungen

– der Bewertung und Verbesserung der Vertragsgestaltung zur Einhaltung von Digital Compliance-Anforderungen und unter- nehmensindividuellen Informationssicherheitsstandards, zum Recht auf durchzuführende Prüfungen beim Outsourcing-Partner und zu Meldepflichten bei kritischen Störfällen

– der Durchführung und Bewertung von ISAE 3402/IDW PS 951- Audits zum Nachweis der Funktionsfähigkeit und Wirksamkeit des internen Kontrollsystems beim Dienstleister sowie im Sinne von IDW FAIT 5 „Grundsätze ordnungsmäßiger Buch- führung bei Auslagerung von rechnungslegungsrelevanten Prozessen und Funktionen“

– der Entwicklung, Umsetzung und Kalibrierung eines kontinuierlichen Überwachungssystems

Mehrwert

Ein effektiver VRM-Prozess bedeutet für Sie:

− die Sicherstellung einer angemessenen Sorgfaltspflicht

− die Entwicklung und Einrichtung von Kontrollen und Monitoring- Prozessen, die dazu beitragen, dass Risiken richtig bemes sen,überwacht und kontrolliert werden

− die Durchführung einer angemessenen Leistungsüberwachung



„Neue dienstleistungs- basierte Geschäftsmodelle entwickeln sich derzeit – neben den bisherigen primär Asset-basierten Geschäfts-modellen – in allen Wert-schöpfungsstufen der Ener-giebranche. In der Folge drängen neue Unternehmen in die etablierten Märkte und Energieversorger müs-sen sich den neuen Rahmen- bedingungen schnell anpas-sen. Hierdurch entsteht ein Innovations- und Kosten-druck, bestehende und neue Geschäftsprozesse hocheffi-zient abzuwickeln. Die Digi-talisierung ist eine mögliche Antwort darauf – hierbei helfen Ihnen EPA, die energie spezifischen Prozess-analysen von KPMG.“

Carsten Müller Head of Digital Compliance

Ansprechpartner

Carsten Müller Head of Digital ComplianceT +49 69 9587- [email protected]

Klaus KrämerSenior Manager T +49 69 [email protected]

Energiespezifische Prozessanalysen

Kundenbedürfnisse

Die Digitalisierung beziehungsweise die effektive und effizi-ente Nutzung von (Prozess-)Daten ist ein Kernfaktor, um Unternehmen in der Energiebranche erfolgreich umzugestal-ten, sowie die wesentliche Grundlage für Entscheidungen, die den Erfolg Ihres Unternehmens auch zukünftig gewährleisten.

Daten stammen aus unterschiedlichen internen und externen Quellen und kommen in vielen verschiedenen Datentypen und -formaten vor. Mithilfe von Datenanalysen, das heißt der Prüfung und Modellierung von Daten, lassen sich nützliche Informationen gewinnen, Beziehungen aufzeigen oder hilf- reiche Verbindungen und Schlussfolgerungen ableiten, um innerhalb Ihres Unternehmens einfacher und besser Entschei-dungen treffen zu können.

Das tief greifende Verständnis der verschiedenen Arten und Quellen von Daten in Ihrem Unternehmen ist die Basis, um effektiv und effizient Analysen zu entwickeln. Entscheidend für den Mehrwert aus Daten ist dabei das Zusammenspiel aus technologischer und analytischer Kompetenz.


49Energiespezifische Prozessanalysen

Unsere Leistungen

KPMG bietet Ihnen umfangreiche Dienstleistungen im Bereich Digitalisierung, Big Data und Data Science an:

− Strategische, organisatorische und technische Beratung − Technische und fachliche Umsetzungen − Mitarbeiterschulungen (technologisch und fachlich) − „Data Analytics as a Service”

− Implementierung von technischen Lösungen − Plattformbetrieb − Outsourcing bis komplette Übernahme von (technischen und fachlichen) Dienstleistungen − Integration (von der Organisation bis zur Umsetzung) von zum Beispiel „Data Science“-Strukturen in bestehende sowie neu aufzubauende Systeme

Mehrwert

Mit energiespezifischen Prozessanalysen von KPMG schaffen Sie klare Entscheidungsgrundlagen, die Sie aus bereits vorhan-denen Ressourcen in Ihrem Unternehmen, Ihren Daten, gene-

rieren können. Datenanalysen ermöglichen einfachere und bessere Entscheidungen, mit denen sich Geschäftsprozesse optimieren und Marktpotenziale ausschöpfen lassen.



„Rechnungen werden ver-stärkt elektronisch versandt, die Aufbewahrung muss zwingend als Datei erfolgen. Des Weiteren werden Papier- belege vermehrt digitalisiert und elektronisch archiviert. Hierbei gilt es, ordnungsmä-ßige und steuerlich aner-kannte Prozesse und Abläufe in Ihrem Unternehmen zu implementieren oder die Ordnungsmäßigkeit Ihrer bereits eingerichteten Systeme und Prozesse zu bescheinigen.“


Ansprechpartner

Karlheinz AntesbergerDirector T +49 89 [email protected]


Michael Olk Senior Manager T +49 911 [email protected]

Archiving (E-Invoicing, Dokumenten-managementund Workflow)

Kundenbedürfnisse

Viele Unternehmen optimieren im Zusammenhang mit der Einrichtung einer elektronischen Archivierung Ihre Dokumen-tenmanagement- und Rechnungseingangsprozesse, um diese effizienter zu gestalten. Damit beispielsweise der Vorsteuer-abzug nicht gefährdet ist, müssen auch hier die relevanten steuerlichen Vorschriften beachtet werden. Der Verfahrens-dokumentation und Prozessbeschreibung im Kontext der elektronischen Archivierung kommt daher eine immer grö-ßere Bedeutung zu – die Erfahrungen zeigen jedoch, dass diese oftmals nicht ausreichen oder gar mangelhaft sind.

Die Anforderungen, die im Rahmen einer elektronischen Archivierung an Sie gestellt werden, sind vielschichtig und umfassend: Neben handels- und steuerrechtlichen Bestim-mungen sind unter Umständen auch weitere Richtlinien wie Bundesdatenschutzgesetz, Produkthaftung, Qualitätssiche-rung und so weiter von Ihnen zu berücksichtigen. Die gesetzlichen Vorgaben hingegen sind nur unklar definiert – entsprechend groß können die Unsicherheiten hinsichtlich der Compliance-konformen Umsetzung in Ihrem Unternehmen sein.


51Archiving (E-Invoicing, Dokumentenmanagement und Workflow)

Unsere Leistungen

KPMG unterstützt Sie bei allen Fragen rund um die Themen Dokumentenmanagement, elektronische Rechnungsverarbei-tung sowie elektronische Archivierung unter Berücksichtigung sämtlicher Compliance-Anforderungen.

Planung Wir analysieren Ihre Belege und die regulatorischen Anfor- derungen an deren Aufbewahrung – bei Bedarf für so unterschiedliche Bereiche wie GoBD, Datenschutz, Produkthaftung und außerdem für verschiedene Länder. Eine anschließend erstellte Wirtschaftlichkeitsanalyse hilft bei der Entscheidungs- findung, welche Archivierungsstrategie geeignet ist. Auf Grundlage dieser Analyse unterstützen wir Sie bei der Erstel- lung eines Fach- und Feinkonzeptes, das auch als Basis für eine geeignete Dokumentenmanagement-Strategie inklusive entsprechender Softwareauswahl dienen kann.

Aufbau Wir unterstützen Sie dabei, die notwendigen Prozesse innerhalb des internen Kontrollsystems und des innerbetrieblichen Kontrollverfahrens im Hinblick auf regulatorische Anforderun-

gen zu definieren. Im Rahmen einer Softwareauswahl finden wir mit Ihnen zusammen die geeignetste technische Lösung für eine Archivierungsstrategie und unterstützen Sie auch bei der Erstellung der notwendigen Dokumentation.

Optimierung Wir beurteilen bestehende Prozesse, Systeme und Kontrollen des Dokumentenmanagements in Ihrem Unternehmen und optimieren diese unter Nutzung eines eventuell bestehenden Effizienzpotenzials, beispielsweise durch Erhöhung des Automatisierungsgrades. Im Rahmen einer Fit-Gap-Analyse prüfen wir, welche Maßnahmen notwendig sind, um die bestehenden Prozesse für weitere Dokumente oder Länder zu erweitern.

Bescheinigung Wir prüfen bestehende Lösung und bescheinigen die Ordnungs- mäßigkeit der Verfahren und die Erfüllung der relevanten An- forderungen in einem Prüfungsbericht. Dies sorgt für die notwendige Sicherheit, zum Beispiel gegenüber den Finanz- behörden.

Mehrwert

Wir unterstützen Sie dabei, Ihre Prozesse rund um die elektronische Verarbeitung von Rechnungen und Archivierung so zu gestalten, dass diese den Compliance-Anforderungen, zum Beispiel im Sinne des Handels- und Steuerrechts, entsprechen. Wir helfen Ihnen dabei, Ihre bestehenden Prozesse zu optimie-ren und in Ihr IKS und Compliance-Management-System einzu-

binden. Das Ergebnis unserer Prüfung kann als Diskussions-grundlage gegenüber Finanzbehörden und weiteren Stakehol-dern genutzt werden. Wir helfen Ihnen, Ihren Papierberg zu reduzieren und dadurch effiziente Prozesse zu gestalten und ein effektives Kontrollumfeld zu erlangen.

Abbildung 24: Vier Säulen einer erfolgreichen elektronischen Archivierung

Quelle: KPMG, 2018

Ordnungsmäßige,effiziente und sichere

ArchivierungBescheinigung

Aufbau Optimierung

Planung



„Mit einer zentralen Archivierungsstrategie und einem proaktiven Management können Sie große Einsparpotenziale sowie Risikominimierungen erzielen.“


Ansprechpartner


Dirk Mazur Senior Manager T +49 89 [email protected]

System Decommissioning ServicesKundenbedürfnisse

Systemstilllegungen können aus unterschiedlichsten Gründen erfolgen. Das Spektrum reicht dabei von der Archivierung von Dokumentenarchiven über (Einzel-)Systemstilllegungen bis hin zu der Stilllegung kompletter Systemverbünde und Rechen- zentren. Insbesondere bei größeren Systemstilllegungen ist die Entwicklung einer konzernweiten Systemstilllegungsstra-tegie von großem Vorteil für Ihr Unternehmen.


53System Decommissioning Services

Unsere Leistungen

KPMG bietet Ihnen für die erfolgreiche Stilllegung von Syste-men zum einen umfängliches fachliches Know-how im Bereich System Decommissioning und zum anderen vertiefende Detail-betrachtungen zu Archivierungsanforderungen für Daten aus den Bereichen Finanzen, Steuern, Qualitätsmanagement, Zoll, HR und Produkthaftung. Darüber hinaus erarbeiten wir auch Lösungen für übergreifende Anforderungen in speziellen Bran-chen wie sie sich zum Beispiel aus dem Datenschutz ergeben.

Nach der initialen Analyse Ihrer kundenspezifischen Vorausset-zungen, Risiken und Anforderungen wird aus zwei Grundmo-dellen (datenbankbasierte Lösung beziehungsweise Virtualisie-rungslösung) die effizienteste Strategie für Ihr Unternehmen ermittelt und implementiert.

A. Datenbankbasierte Systemstilllegung B. Virtualisierungsbasierte Systemstilllegung

SAP R/3ApplikationBCFICOMMSD

Datenbank

Betriebssystem

Hardware

SAP R/3ApplikationBCFICOMMSD

Archiv basierend auf:- Optischen Medien- Bandgeräten- Festplatten

Datenbank

Betriebssystem

Hardware

Abbildung 25: Verschiedene Szenarien von Systemstilllegungen

Quelle: KPMG, 2018


Mehrwert

Aufgrund unserer langjährigen Expertise bei der effizienten Stilllegung von ERP-Systemen können wir Sie bei der Reali-sierung von Einsparungen und bei der Minimierung des Risiko-potenzials (beispielsweise IT-Sicherheitsrisiken) unterstützen.

Wir arbeiten mit verschiedenen Anbietern von technischen Lösungen eng zusammen und stehen in intensivem Kontakt mit unseren Steuerkollegen sowie zu Steuerbehörden.


„Seit dem 25. Mai 2018 ist EU-weit die Datenschutz- Grundverordnung (DSGVO) für alle EU-Mitgliedstaaten verbindlich in Kraft getreten und hat damit die bestehen-den nationalen Datenschutz- regelungen ohne einen vor-herigen Umsetzungsakt abgelöst.

Ziele der DSGVO sind die Stärkung der Betroffenen-rechte sowie die Schaffung eines europaweit einheit-lichen Datenschutzniveaus. Für Ihr Unternehmen er- wachsen hieraus nicht zu vernachlässigende Heraus-forderungen, die eine adä- quate Planung und Umset-zung erfordern.“

Swen SchwerinDirector, Digital Compliance

Ansprechpartner

Swen Schwerin Director T +49 211 475-7887 [email protected]

EU-Datenschutz-Grundverordnung

Kundenbedürfnisse

Die Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 EU-weit in Kraft getreten ist, bringt für Ihr Unternehmen erhebliche Veränderungen mit sich, die sich aus dem nunmehr sehr hohen Datenschutzniveau ergeben. Die Umsetzung der neuen Richtlinie setzt ein nicht zu unterschätzendes, tief greifendes Verständnis der DSGVO voraus, da die neuen Anforderungen an die Digital Compliance die Anpassung von Verträgen sowie die Neukonzeptionierung Ihrer technischen und organisatorischen Maßnahmen bedeuten. Der Daten-schutz muss nach DSGVO bereits systemseitig standardmä-ßig implementiert sein („Privacy by Default“) und sowohl in der technischen Konzeption als auch in der Entwicklung von IT-Prozessen und -Anwendungen berücksichtigt werden („Privacy by Design“). Unzulängliche Sicherheitsmaßnahmen ziehen nicht nur em pfindliche Bußgelder nach sich, sondern stellen auch eine Ge fährdung des Datenschutzes von Kunden-daten und damit der Reputation Ihres Unternehmens dar.


55EU-Datenschutz-Grundverordnung

Unsere Leistungen

KPMG bietet ein Vier-Phasen-Modell, mit dem wesentliche organisatorische, prozessuale und technische Rahmenbedin-gungen in Ihrem Unternehmen hinsichtlich der Vorgaben der DSGVO überprüft und bewertet werden können. Mit speziali-sierten Teams, die über umfangreiche Erfahrung in den Berei-chen Risk Assessment, Daten schutz und Datenanalyse verfü-gen, analysieren wir Ihre technischen und organisatorischen

Maßnahmen sowohl im On- Premises- als auch im Cloud- Umfeld und identifizieren Risiken beziehungsweise notwendige Anpas-sungen Ihrer Prozesse und Daten. Unser Data Protection Check erfolgt als Workshop direkt in Ihrem Unternehmen und stellt Ihnen anschließend spezifische Lösungen zur Verfügung – auf Wunsch auch inklusive Umsetzung der gewonnenen Erkenntnisse.

Mehrwert

KPMG zeigt Ihnen durch gezielte Auswertung von umfangrei-chen Daten kompakt und verständlich auf, in welchen Berei-chen die Risiken hinsichtlich der DSGVO für Ihr Unternehmen bestehen und welche Herausforderungen sich hieraus für Sie im Ganzen und für Ihre IT im Besonderen ergeben – aber auch,

welche Chancen sich Ihrem Unternehmen dadurch bieten. Eigens für Sie konzipierte und implementierte Sicherheitsmaß-nahmen schaffen ein der DSGVO angemessenes Datenschutz-niveau – und damit Wettbewerbsvorteile für Ihr Unternehmen.

EU-Datenschutz-Grundverordnung

Erfassen– Erfassen der IST-Situation– Aufstellung des SOLL-Zustands im Sinne der DSGVO– Aufnahme interner Kontrollverfahren, aktueller TOMs und so weiter – Feststellung der implementierten TOMs

Auswerten– Durchführung einer Betroffenenanalyse/ GAP-Analyse– Abgleich des IST- und SOLL-Zustands und Ableitung notwendiger Maßnahmen– Beseitigung von Risiken durch Umsetzung erforderlicher interner Kontrollmaßnahmen

Planen– Scoping– Abstimmung des Vorgehens– Aufstellung relevanter Herausforderungen der DSGVO

Ergebnisse präsentieren– Aufarbeitung und Reporting– Ableitung von Handlungsaktivitäten (zum Beispiel Implementierung eines Risk Assessments oder einer Impact-Analyse)

1 2

4 3

Abbildung 26: Wesentliche Punkte der Datenschutz-Grundverordnung

Quelle: KPMG, 2018

Abbildung 27: Umsetzung der neuen DSGVO in vier Phasen

Erhebliche BußgeldverschärfungBei Verstößen drohen Geldbußen bis zu 20 Millionen Eurooder bis zu 4Prozent des weltweiten Jahresumsatzes desvorherigen Geschäftsjahres der Unternehmensgruppe.

Auskunftsrecht/Einwilligung/LöschfristenNeue und weitreichende Stärkung der Betroffenen-rechte. Tangiert werden insbesondere Ausmaß undFristen, bei deren Nichteinhaltung Schäden drohen.

Neue Anforderungen an „TOMs“Auf der Grundlage einer durchzuführenden Risikoanalysesind adäquate technische und organisatorische Maßnahmeneinzuführen und zu überwachen.

Notifikationspflicht bei VerstößenAktive Meldung von Datenschutzverstößen binnen 72 Stunden und gegebenenfalls zusätzliche Benach-richtigungen des Betroffenen bei erhöhtem Risiko für den Betroffenen.

Privacy by Design/Privacy by DefaultNeukonzeption von technischen Voreinstellungenund Neuausrichtung von Prozessen, IT und Maßnahmen.

Verschärfung der Compliance-AnforderungenBeweislastumkehr durch Rechenschaftspflicht derDatenverarbeiter hinsichtlich der Einhaltung derDSGVO-Grundsätze.

Quelle: KPMG, 2018



Wenn Neues eingeläutet wird, muss man wach sein


57SAP S/4HANA Compliance

SAP S/4HANA ComplianceBeim Umstieg halten wir die Augen für Sie auf

SAP hat angekündigt, den Support für SAP ERP zum Jahr 2025 einzustellen. Dies bedeutet für Unternehmen, die noch SAP ERP einsetzen, dass der Umstieg auf das Nachfolgeprodukt SAP S/4HANA zeitnah erfolgen sollte, da hier neben einer neuen Technologie und einem neuen Datenmodell auch veränderte Prozessabläufe zum Einsatz kommen, die erhebliche Auswirkun-gen auf bereits bestehende Geschäftsprozesse im Unternehmen haben können.

Für eine digitale Transformation und in die Zukunft gerichtete Aufstellung von Unternehmen ist ein Umstieg auf SAP S/4HANA die Grundlage, welche eine ERP-Lösung der nächsten Generation – gerade in Bezug auf die Digitalisierung – darstellt. Basierend auf einem komplett neuen Datenmodell in Form der In-Memo-ry-Datenbank SAP HANA ist SAP S/4HANA in der Lage, durch extreme Datenbank-geschwindigkeiten Geschäftsprozesse erstmals in Echtzeit abzubilden, somit Machine Learning und Künstliche Intelligenz (AI) einsetzbar zu machen und das enorme Potenzial der In-Memory-Plattform voll auszuschöpfen.

Hierdurch ergeben sich auch große Herausforderungen an die Compliance. Bei diesem Themenschwerpunkt steht KPMG mit multidisziplinärer Expertise und einem breiten Leistungsportfolio zur Seite, um Sie auf dem Weg der Digitalisierung zu unterstützen.

Sollten Sie genau vor diesen Herausforderungen stehen, sprechen Sie uns gerne an. Wir freuen uns auf einen gemeinsamen Austausch.



„Die Identifikation und Vermeidung wesentlicher Hemmnisse bei der Einfüh-rung von SAP S/4HANA ist ein wesentlicher Erfolgsfak-tor, um positive Auswirkun-gen auf den Geschäftsbetrieb, aber auch die enormen Poten-ziale der Digitalisierung zu nutzen.“

Dennis Olsinski Partner, Digital Compliance

Ansprechpartner

Dennis Olsinski Partner T +49 711 9060-41285 [email protected]

SAP S/4HANA Project Assurance

Kundenbedürfnisse

SAP hat angekündigt, den Support für SAP ERP zum Jahr 2025 einzustellen. Dies bedeutet für Unternehmen, die noch SAP ERP einsetzen, dass der Umstieg auf das Nachfolge-produkt SAP S/4HANA zeitnah erfolgen sollte, da hier neben einer neuen Technologie und einem neuen Datenmodell auch veränderte Prozessabläufe zum Einsatz kommen, die erheb-liche Auswirkungen auf bereits bestehende Geschäftspro-zesse im Unternehmen haben können.

Neben den angesprochenen prozessualen Veränderungen stellt sich für Ihr Unternehmen außerdem auch die Frage, in welchem Umfang die neuen Funktionalitäten von SAP S/4HANA genutzt werden sollen (wie zum Beispiel SAP FIORI) und inwiefern sich dadurch Ihr Financial Reporting und Geschäftsmodell verändert. Sind Stakeholder aus Compli-ance und IT-Sicherheit eingebunden, um Risiken während des Implementierungsprozesses zu minimieren? Welche Abläufe sollen automatisiert und Compliance-konform eingeführt werden (Stichwort RPA)? Diese und weitere Fragen klärt KPMG im Rahmen der Begleitung einer SAP S/4 HANA-Systemeinführung.


59SAP S/4HANA Project Assurance

Unsere Leistungen

Mit der SAP S/4HANA Project Assurance von KPMG erhalten Sie umfängliche Unterstützung bei der digitalen Transformation zum Nachfolgeprodukt von SAP ERP. Unsere langjährige und tief greifende Erfahrung ermöglicht es Ihrem Unternehmen, Herausforderungen und Chancen zu erkennen, rechtliche Aspekte zu berücksichtigen sowie angemessen zu adressieren und diese in allen Transformationsschritten zu berücksichtigen. Wir bieten unter anderem folgende Leistungen:

– Review der fachlichen und technischen Konzeption und desSAP-Templates hinsichtlich Ordnungsmäßigkeit beziehungs-weise Sicherheit und Formulierung von Opti mierungs- möglichkeiten

– Bewertung des SAP-Templates hinsichtlich wesentlicherRisiken und Anforderungen der Ordnungsmäßigkeit, Com-pliance sowie nationaler und internationaler Rechnungs -legungsanforderungen

– Beurteilung der Konzepte (Fachkonzept, technische Kon-zeption und Migrationskonzept) hinsichtlich angemessenemDesign der Internen Prozesskontrollen

Möglicher Ablauf eines SAP S/4HANA-Migrationsprozesses:

Phase I: Governance Review – Beurteilung der Projekt-Governance

Phase II: Template-Audit und Controls – Ordnungsmäßigkeit des SAP-Templates

Phase III: Migration Strategy und Controls – Verständnis des Migrationsvorgehens und möglicher Risiken

Phase IV: Testing und UAT-Review – Beurteilung der Testergebnisse

Phase V: Post Go-live und Data Migration Audit – Abschluss, Vollständigkeit und Richtigkeit der Migration

Mehrwert

Die Prüfungs- und Beratungsleistungen von KPMG machen den Einsatz von Informationstechnologien in Ihrem Unter-nehmen beherrschbar, effizient und effektiv – Risiken werden somit erheblich verringert. Mit unserer umfangreichen Branchen- und Prozessexpertise sowie einem großen Benchmarking- und KPI-Wissen können wir Sie bei SAP S/4HANA-Transfor-mationsprojekten integriert und aus einer Hand unterstützen. Unsere Kunden profitieren unter anderem von folgenden Vorteilen:

– Qualitätssichernde Unterstützung zur Sicherstellung einerordnungsmäßigen SAP S/4HANA-Einführung und Daten-migration sowie die Identifikation und Vermeidung wesent-licher Hemmnisse und deren Auswirkungen auf den Ge -schäftsbetrieb

– Zeitnahe Aussage zur Einhaltung von Ordnungsmäßigkeits- und Sicherheitsanforderungen (gemäß IDW RS FAIT 1 undIDW PS 850); Analyse des internen Kontrollsystems zurIdentifikation von Fehlerrisiken sowie zur Prüfung des Pro-jektmanagements und phasenbezogener Projektergebnisse

- Formulierung von Hinweisen sowie bedarfsgerechtenLösungsvorschlägen in allen Phasen des SAPS/4HANA-Transformationsprojekts

- Bescheinigung der ordnungsmäßigen Implementierungund Datenmigration

- Abstimmung der Anforderungen an die Dokumentation derProzesse und der technischen Lösungen

– Senkung von Monitoringkosten (unter anderem durchgesteigerte Transparenz) durch Einsatz effizienter Tools,Systeme und Prozesse




„Organisatorische Verände-rungen erkennen, technische Risiken minimieren sowie prozessuale Optimierungen ziel-gerichtet nutzen – dies sollte bei einem SAP S/4HANA- Projekt im Zuge des Berech-tigungsmanagements früh-zeitig priorisiert werden.

KPMG unterstützt hierbei mit einem ganzheitlichen und datengetriebenen Ansatz zur Analyse, Konzeption bis hin zur kompletten Implementie-rung Ihres SAP S/4HANA- Berechtigungskonzepts, um Sie in die Lage zu versetzen, nachgelagerte Wartungs- und Compliance-Kosten zu mini-mieren und die übergreifende IT-Governance zu stärken. Wir betreuen und setzen außerdem die Gesamtheit der Berechtigungsthemen von den organisatorischen Berechtigungsprozessen bis hin zur technischen Integra-tion in ein Identity and Access Management (IAM) effizient um und verringern Ihre Kos-ten und Risiken damit erheblich.“

SAP S/4HANA Berechtigungs- konzeptKundenbedürfnisse

SAP hat angekündigt, den Support für SAP ERP zum Jahr 2025 einzustellen. Dies bedeutet für Unternehmen, die noch SAP ERP einsetzen, dass der Umstieg auf das Nach- folge produkt SAP S/4HANA zeitnah erfolgen sollte, da hier eine neue Technologie und ein neues Datenmodell zum Einsatz kommen, mit denen auch erhebliche Auswirkungen auf bereits bestehende Geschäftsprozesse im Unternehmen einhergehen und die somit Auswirkungen auf die Berechti-gungsstruktur haben.

Technische Berechtigungskonzepte in Unternehmen sind in der Regel historisch gewachsen und kritische Berechtigun-gen sowie deren Kombinationen sind oftmals weitreichend ver geben. Dies wirft die Frage auf, welche organisatorischen Veränderungen wie zum Beispiel Process-Owner-Strukturen die Einführung von SAP S/4HANA in Ihrem Unternehmen erforderlich macht. Ebenfalls von großer Bedeutung in die-sem Zusammenhang ist eine Impactanalyse für die modifizier-ten Geschäftsprozesse und deren Auswirkungen in Ihrem Unternehmen. Dem Berechtigungskonzept kommt schließlich entscheidende Bedeutung zu, wenn es um den Aufbau und die Einhaltung eines internen Kontrollsystems (IKS) geht.

Neben den angesprochenen prozessualen Veränderungen stellt sich für Ihr Unternehmen außerdem die Frage, in wel-chem Umfang die neuen Funktionalitäten von SAP S/4HANA genutzt werden sollen (wie zum Beispiel SAP FIORI). Lassen sich alle Funktionalitäten von SAP S/4HANA in Ihre IT-Land-schaft integrieren und im Berechtigungskonzept abbilden? Verfügt Ihr Unternehmen über genügend Mitarbeiter-Ressour-cen, um die Ordnungsmäßigkeitsanforderungen im internatio-nalen Umfeld im Zuge eines solchen Projekts bewältigen zu können? Diese und weitere Fragen klärt KPMG im Rahmen der SAP S/4HANA-Berechtigungskonzeption.


Ansprechpartner

Alexander Gietl Director T +49 89 9282-4853 [email protected]

61

Projektstartund -planung

Design (Prozesse,Konzeption und Verfahren)

System- undBerechtigungsanalyse

Erstellung vonArbeitsplatzmatrizen

Zusammenführung derErgebnisse in einemArbeitsplatzkonzept

Implementierungauf Basis dererstelltenKonzeption Go-live und

Stabilisierungs-phase

Workshopszur Aufnahme von Berechti-gungen zu Arbeitsplätzenanhand von End-to-End-Prozessen

Finale Workshopszur Präsentation derkonsolidierten Ergebnisseund Abnahme derKonzeption

Test undmöglicheFehler-bereinigung

KPM

G K

unde

SAP S/4HANA Berechtigungskonzept

SAP S/4HANA Berechtigungs- konzept

Unsere Leistungen

Das Berechtigungsmanagement (als Teil eines GRC-Ansatzes) umfasst die Gesamtheit der Prozesse, Konzepte und Verfahren, die benötigt werden, um in Ihrem Unternehmen den Mitarbei-tern die jeweils erforderlichen Berechtigungen zeitnah und richtig zuzuweisen.

Wir verschaffen Ihnen effizient und effektiv einen Überblick über die Gesamtheit der Themen in Bezug auf das Berechti-gungsmanagement und unterstützen dabei, Risiken erheblich zu verringern sowie beherrschbar zu machen. Ebenso werden regulatorische Anforderungen und Funktionstrennungskonflikte vollumfänglich berücksichtigt.

Möglicher Projektablauf einer Einführung von SAP S/4HANA in Ihrem Unternehmen:

Phase I: Projektstart und -planung – Aufnahme des Ist-Zustands der derzeitigen Regeln und

Richtlinien zum Berechtigungskonzept

Phase II: System- und Berechtigungsanalyse – Toolgestützte systemseitige Datenanalyse des Berechti-

gungskonzeptes und der systemseitigen Nutzung vergebe-ner Berechtigungen

– Definition der kritischen Handlungsfelder inklusive Bewer-tung der Datenanalyse und der betroffenen Berechtigungen und Benutzer

Phase III: Design (Prozesse, Konzeption und Verfahren) – Optimierung von bestehenden und Entwicklung von fehlen-

den Prozessen, Konzepten und Verfahren

Phase IV: Workshops und Definition der Arbeitsplätze – Durchführung und Moderation von Workshops mit den

einzelnen Fachbereichen und der IT

Phase V: Zusammenführung der Ergebnisse in einem Arbeits-platzkonzept inklusive Freigabe

Phase VI: Implementierung auf Basis der erstellten Konzeption – Toolgestützte Implementierung der Arbeitsplatzkonzeption

im System

Phase VII: Begleitung von Test und Go-live inklusive Hypercare-Aktivitäten

Mehrwert

Von Unternehmen wird heute mehr denn je gefordert, bei der Erstellung, Verarbeitung und Speicherung von Informations- daten die Integrität, Vertraulichkeit und Verfügbarkeit der zugrundeliegenden IT-Systeme sicherzustellen. IT Gover-nance, Risk Management und Digital Compliance (GRC) bekommen somit höchste Bedeutung in jedem Unternehmen.

Bei einer KPMG SAP S/4HANA-Berechtigungskonzeption profitieren Sie unter anderem von folgenden Vorteilen:

– Neuausrichtung Ihres Berechtigungsmanagements unter Berücksichtigung des eingesetzten internen Kontrollsys-

tems zur Herstellung eines angemessen hohen Digital Compliance-Niveaus in Bezug auf den SAP-Zugriffsschutz

– Schaffung von Transparenz und Nachvollziehbarkeit hin-sichtlich der durch Ihre Mitarbeiter ausgeführten bezie-hungsweise durchgeführten Prozesse

– Umsetzung des Prinzips der minimalen Berechtigungsver-gabe unter gleichzeitiger Berücksichtigung von Funktionstrennungskonflikten

– Abnahmen durch Revision und Abschlussprüfer

Abbildung 28: Möglicher Ablauf der Einführung eines Berechtigungsmanagements

Quelle: KPMG, 2018



„Mit unserer Innovation SAP S/4HANA Digital Controls Transformation bieten wir Ihnen einen maßgeschneider-ten, hoch effizienten Ansatz zu Sicherstellung von Digital Compliance.

Damit sind Sie bei der Durch-führung Ihrer Transformati-onsprojekte und den damit verbundenen Business- Modell-Änderungen auf der sicheren Seite.“

SAP S/4HANA Digital Controls AutomationKundenbedürfnisse

Digitale Überwachungsmöglichkeiten sind angesichts weiter zunehmender Komplexität der Geschäftsprozesse und eines stetigen Anstiegs von regulatorischen Hürden ein wichtiges Fundament zur Steuerung Ihres Unternehmens sowie für eine Compliance-gerechte Entscheidungsfindung. Die schnelle Erkennung und Verfolgung von Compliance-Verstößen sowie die frühzeitige Identifikation von Risiken und Verstößen gegen interne Richtlinien stellt einen entscheidenden Bestandteil in der effizienten Erfüllung von Überwachungsaufgaben und Sorgfaltspflichten dar.

Durch Implementierung von automatisierten Kontrollen inner-halb Ihres SAP S/4HANA ergeben sich große Potenziale zur Reduktion von Compliance-Kosten bei gleichzeitiger Einhal-tung aller regulatorischer Anforderungen im Tagesgeschäft. Die Digitalisierung bietet Möglichkeiten zur effektiven, weil vollumfänglichen sowie effizienten, weil automatischen Überprüfung von systemgestützten Kontrollen in digitalen Geschäfts - prozessen und IT-Systemen in Echtzeit. Im Rahmen einer kontinuierlichen Überwachung erhalten Sie wichtige Infor-mationen zu der Funktionsfähigkeit Ihrer Prozesse, können Effizienzen durch Automatisierung steigern, die Fehlerquote in vorher manuellen Prozessen minimieren, Verstöße gegen interne Richtlinien aufdecken und relevante KPIs festlegen.


Heiko Kramer Director, Digital Compliance

Ansprechpartner

Heiko Kramer DirectorT +49 40 32015-5504 [email protected]

63SAP S/4HANA Digital Controls Automation

SAP S/4HANA Digital Controls Automation

Unsere Leistungen

KPMG berät Sie bei der Automatisierung von internen Kontrol-len in Ihrem SAP S/4HANA. Darüber hinaus unterstützt KPMG Sie dabei, Schwachstellen und Risikofelder frühzeitig zu erken-nen und Gegenmaßnahmen einzuleiten, um jederzeit den regulatorischen Anforderungen zu genügen. Unsere Experten beraten unter anderem zu Themen wie:

– Implementierung von SAP S/4HANA-Automatisierungs-lösungen, wie zum Beispiel Robotics

– Data Analytics und Bereitstellung der unterstützenden Software und Dashboards

– Anforderungen an das Management Reporting und die Jahresabschlussprüfung

– Umsetzung und Einhaltung regulatorischer Anforderungen

Automatisierungsmöglichkeiten hat KPMG exemplarisch identifiziert:

– in Schnittstellen- und Geschäftsprozesskontrollen, wie dem Einhalten der SoD-Richtlinien, dem Vier-Augen-Prinzip und den vorhandenen Freigabestufen, dem Three-Way-Match (Preisabweichungen: Bestellung, Wareneingang und Rech-nung) und der Umsatzanalyse

– bei der Prüfung von beantragten Berechtigungen und automatisierten Freigaben auf Basis hinterlegter Regeln

– in der (Massen-)Stammdatenverwaltung (zum Beispiel Debitoren- und Kreditorenanlage und -änderung)

– bei der Sicherstellung eines innovativen Änderungsprozesses inklusive Testautomatisierung und Dokumentation

Möglicher Ablauf einer Implementierung von automatisierten Kontrollen in Ihrem SAP S/4HANA könnte wie folgt aussehen:

Phase I: Prozessanalyse – Analyse des in SAP S/4HANA implementierten

Prozessmodells

– Risikobewertung im Hinblick auf mögliche Compliance-Verstöße

Phase II: Identifikation von Kontrollen – Festlegung von Kontrollen, um den identifizierten

Prozessrisiken zu begegnen

– Design der einzelnen Kontrollschritte

Phase III: Identifikation von Automatisierungspotenzial – Machbarkeitsanalyse zur Automatisierung der Kontrollen

oder einzelner Kontrollschritte

Phase IV: Ableitung von Handlungsempfehlungen und Business Case – Kosten-/Nutzen-Analyse der Automatisierung

– Empfehlungen zur Automatisierung

Phase V: Implementierung der Kontrollen – Umsetzung und Test der Automatisierung in SAP S/4HANA

– Business Case Tracking

Mehrwert

KPMG ist Ihr integrierter Partner für ganzheitliche und ergeb-nisorientierte Lösungen. Entsprechend Ihrer spezifischen Anforderungen verknüpfen wir das Know-how unserer Fach-leute, die auf dem neuesten Stand technischer und regulatori-scher Entwicklungen sind. Vorteile, die Ihrem Unternehmen aus unserer Expertise entstehen, sind:

– Effiziente Erfüllung Ihrer Überwachungsaufgaben und Sorgfaltspflichten

– Aufdeckung von Abweichungen zu Standardprozessen und damit Ineffizienzen und Verbesserungspotenzialen

– Transparenz durch frühzeitige Identifikation von Risiken und Verstößen gegen interne Richtlinien und Kontrollen

– Automatisierte Prüfungshandlungen und damit Unter-stützung beim Management Reporting und bei freiwilligen oder Pflichtprüfungen (zum Beispiel Jahresabschluss- prüfung)

– Kostenersparnis durch Minimierung regulatorischer Aufwände



„Wir helfen Ihnen dabei, durch Process Mining die tat-sächlichen Abläufe Ihrer Pro-zesse transparent zu machen und wir unterstützen Sie durch konkrete Maßnahmen, Prozesseffizienzen zu heben.“

SAP S/4HANA Process/ Text MiningKundenbedürfnisse

Die Informationsverarbeitung in Echtzeit, insbesondere bei globalen Wertschöpfungsketten, führt oftmals zu uneinheit-lichen IT-Landschaften in Unternehmen – immer komplexer werdende Geschäftsabläufe verursachen eine sehr hohe Prozessheterogenität. Daher besteht die Herausforderung darin, Transparenz über die Prozesse zu schaffen, sie zu ver - einfachen, zu standardisieren und zu harmonisieren sowie deren Kosten zu verringern.

Die Kernfrage lautet dabei: Wie ist eine effektive und effiziente Nutzung von Informationen aus den laufenden Geschäftspro- zessen möglich, um Ihr Unternehmen erfolgreich zu steuern sowie die wesentliche Grundlage für Entscheidungen und den Erfolg Ihres Unternehmens auch zukünftig zu gewährleisten?

Mit Process/Text Mining bietet sich Ihnen eine effektive Möglich- keit, Geschäftsprozesse auf Basis digitaler Spuren in IT-Land-schaften zu rekonstruieren und zu analysieren. Die in Ihrem Unternehmen generierten Transaktionsdaten werden hierbei zusammengefasst und analysiert, um auf Basis der dadurch gewonnenen Informationen den Geschäftsprozess visualisie-ren zu können – End-to-End selbst in heterogenen System-landschaften. Damit werden nicht nur Nachvollziehbarkeit, Transparenz und Dokumentation Ihrer Geschäftsprozesse er möglicht, sondern die prozessrelevanten Daten können auch in Echtzeit ausgewertet und zur Entscheidungsfindung in Ihrem Unternehmen herangezogen werden.


Dirk Distelrath Director, Digital Compliance

Ansprechpartner

Dirk Distelrath DirectorT +49 221 2073 [email protected]

65SAP S/4HANA Process/Text Mining

Unsere Leistungen

Der Lösungsansatz von KPMG basiert auf dem Einsatz einer Softwarelösung zur Visualisierung von in Ihrem Unternehmen gelebten Prozessen. Grundlage dafür sind die in Ihren Syste-men vorhandenen Daten. Auf Basis dieser Visualisierung werden die Prozesse und deren unterschiedlichen Ausprägun-gen hinsichtlich der Einhaltung von definierten Anforderungen in Bezug auf Qualität, Compliance und Performance analysiert.

Als Ergebnis erhalten Sie eine grafisch aufbereitete und struk-turierte Darstellung der Prozesse (und Prozessvarianten) sowie eine Gegenüberstellung mit dem definierten Sollprozess (oder eine Ableitung des Sollprozesses). Daraus können dann Maß-nahmen zur Verbesserung der Prozessqualität und Perfor-mance abgeleitet werden. Unser Ansatz kann einmalig durch-geführt oder auch als Lösung zur kontinuierlichen Überwachung eingesetzt werden.

Möglicher Ablauf eines SAP S/4HANA Process Minings:

Phase I: Scoping und Prozessidentifikation – Festlegen der Bereiche, in denen die Prozesse untersucht

werden sollen

Phase II: Rekonstruktion und Visualisierung – Systemgestützte Analyse der definierten Prozesse in den

entsprechenden Systemen zur Rekonstruktion der einzelnen Prozessschritte in ihren Ausprägungen bis hin zum gesamten Geschäftsprozess

Phase III: Identifikation von Prozessschwächen – Interpretation der Analyseergebnisse durch Experten zur

Identifikation der Prozessschwächen beziehungsweise Optimierungspotenziale

– Durchführung einer Ursachenanalyse und Darlegung von Maßnahmen

Phase IV: Optimierung und Messung der Verbesserung – Umsetzung der Optimierungspotenziale und Messen

der Ergebnisse

Mehrwert

Wir verfügen durch unsere umfangreiche Kunden- und Bran-chenerfahrung über tief greifendes Know-how für fachspezifi-sche Prozesse und deren Potenziale. Da unsere Lösungen systemunabhängig sind, können wir für unsere Kunden pas-sende, spezifische Technologie auswählen und einsetzen.

KPMG bietet Ihnen eine effiziente Lösung für den Einsatz von Process Mining-Technologien unter Verwendung verfügbarer und standardisierter IT-Lösungen, die Ihnen folgende Vorteile ermöglicht:

– Transparenz und Nachvollziehbarkeit über in Ihrem Unter-nehmen gelebte Geschäftsprozesse

– Dokumentation und Visualisierung der vorhandenen Prozesse

– Informationsgewinnung, die als Entscheidungsgrundlage dienen kann

– Standardisierung, Harmonisierung, Vereinfachung von Prozessen

– Kostenreduktion, Verringerung der Prozesslaufzeiten

– Steigerung der Prozesseffektivität durch Soll-Ist-Abgleiche

– Grundlage für ein globales Business Process-Management



Automatisch heißt nicht automatisch sicher


67Data Analytics und Robotics Compliance

Data Analytics undRobotics ComplianceSo bekommen Ihre RoboterRegeln an die Hand

Der digitale Wandel hat die Geschäftswelt voll erfasst und ist aktuell eine der Kernherausforderungen von Unternehmen sowie Gesellschaften. Dieser Trend bedeutet jedoch nicht nur Umbruch, sondern eröffnet auch neue Chancen zu einer verstärkten Automatisierung unterschiedlicher Unternehmensprozesse durch Software-Roboter. Eine Folge davon ist bereits heute der vermehrte Einsatz von Robotern, die immer wiederkehrende Tätigkeiten automatisiert, schneller und fehlerfrei durchführen.

Dem Einsatzbereich von Robotern sind dabei scheinbar keine Grenzen gesetzt – von einfachen Unterstützungstätigkeiten über Buchhaltungsleistungen bis hin zur voll-ständigen und eigenständigen Durchführung von komplexen Entscheidungen unter Einsatz von Künstlicher Intelligenz (AI) ist vieles möglich. Parallel dazu erhöhen sich ständig Umfang und Komplexität regulatorischer Anforderungen. Im Hinblick auf den Einsatz von Software-Automatisierung ist es für Unternehmen häufig problematisch, die einzuhaltenden regulatorischen Grundlagen auf den Einsatz von Robotern anzu-wenden und diese angemessen zu erfüllen. Die Abgrenzung der Verantwortlichkei-ten, die Sicherstellung der Nachvollziehbarkeit sowie die Kontroll- und Berichtspflich-ten stellen dabei nur einen Teil der Anforderungsfelder dar. Insbesondere für sensible Tätigkeiten mit finanziellen Auswirkungen kann hieraus schnell ein enormes Compli-ance-Risiko entstehen.



„Der Schichtwechsel, der die Produktion und somit die Industrialisierung geprägt hat, geht in die nächste digitale Runde.

Es ist keine Frage der Zeit mehr, bis Roboter zuneh-mend Verwaltungsarbeiten übernehmen. Neue Technolo-gien wie SAP S/4HANA, In-Memory-Datenbanken und Process- sowie Text-Mining bieten hierfür ein enormes Potenzial.

KPMG hilft Ihnen bei dem Schichtwechsel durch fun-diertes Prozess-, Finance-, Steuer- und regulatorisches Know-how – von der Kon-zeption bis zur Implementie-rung von Robotic Process Automation.“

Robotics Compliance

Kundenbedürfnisse

Der digitale Wandel hat die Geschäftswelt voll erfasst und ist aktuell eine der Kernherausforderungen von Unternehmen sowie Gesellschaften. Dieser Trend bedeutet jedoch nicht nur Umbruch, sondern eröffnet auch neue Chancen zu einer verstärkten Automatisierung unterschiedlicher Unterneh-mensprozesse durch Software-Roboter. Eine Folge davon ist bereits heute der vermehrte Einsatz von Robotern, die immer wiederkehrende Tätigkeiten automatisiert durchführen. Dem Einsatzbereich von Robotern sind dabei scheinbar keine Grenzen gesetzt – von einfachen Unterstützungstätigkeiten über Buchhaltungsleistungen bis hin zur vollständigen und eigenständigen Durchführung von komplexen Entscheidungen unter Einsatz von Künstlicher Intelligenz (AI) ist inzwischen vieles möglich.

Parallel dazu erhöhen sich ständig Umfang und Komplexität regulatorischer Anforderungen inklusive neuer Berichtspflich-ten, die Unternehmen erfüllen müssen. Im Hinblick auf den Einsatz von Software-Automatisierung ist es für Unterneh-men häufig problematisch, die einzuhaltenden regulatorischen Grundlagen auf den Einsatz von Robotern anzuwenden und diese angemessen zu erfüllen. Die Abgrenzung der Verant-wortlichkeiten, die Sicherstellung der Nachvollziehbarkeit sowie die Kontroll- und Berichtspflichten stellen dabei nur einen Teil der Anforderungsfelder dar. Insbesondere für sensible Tätig-keiten mit finanziellen Auswirkungen kann hieraus schnell ein enormes Compliance-Risiko entstehen.


Daniel Maly Partner, Digital Compliance

Ansprechpartner

Daniel MalyPartner T +49 711 [email protected]

69Robotics Compliance

Unsere Leistungen

KPMG verfügt neben umfangreicher Projekterfahrung im Bereich Digital Compliance und Projekt-Governance über tief greifendes Know-how zu regulatorischen Anforderungen und zu rechnungslegungsrelevanten Prozessen – auch international. Wir bieten maßgeschneiderte Kundenlösungen von der Kon-zeption bis zur Implementierung aus einer Hand inklusive einer eigenen Robotic Process Automation Solution (RPA).

KPMG unterstützt Sie unter anderem bei folgenden Projektvorhaben:

– Prüfung und Beratung beim Einsatz von Robotern bezüglich Compliance-Themenstellungen:

- Beratung im Bereich Projekt-Governance bei der Einfüh-rung von Robotern, insbesondere bei der Zusammen arbeit Ihres Unternehmens mit externen Dienstleistern

- Beratung bei der Implementierung von Kontrollstrukturen bezüglich des Betriebs von Robotern

- Zertifizierung von Robotern im Sinne eines ordnungs-mäßigen Einsatzes

– Prüfung und Beratung bei der Automatisierung von Prozes-sen des internen Kontrollsystems:

- Identifikation von Automatisierungspotenzial

- Entwicklung und Einführung von Robotern zur Automatisie-rung von Compliance-Tätigkeiten

Möglicher Ablauf einer Einführung von Software-Robotern in Ihrem Unternehmen:

Phase I: Analyse und Strategie – Bedarfsanalyse, Identifikation von Automatisierungspotenzial

– Erarbeitung einer unternehmensweiten RPA/Digitalisierungs-Strategie

– Festlegung der Anforderungen an Roboter

Phase II: Softwareauswahl und Implementierung – Beratung bei der Auswahl geeigneter Lösungen

– Begleitung des Kunden während der Einführung von Robotern

– Compliance-Beratung bei der Zusammenarbeit mit externen Entwicklern

– Erstellung von Robotern für den Kunden

– Tests und Pilotierung

Phase III: Kontrollstrukturen – Entwicklung geeigneter Kontrollstrukturen für den

Roboterbetrieb

– Integration prozessindividueller Kontrollstrukturen für den Roboterbetrieb

Phase IV: Zertifizierung – Zertifizierung der Ordnungsmäßigkeit der Roboter

– Prüfung der Funktionalität gemäß spezifischer Robotics Compliance-Richtlinien

Phase V: Governance – Unternehmensweiter Roll-out

– Beratung bei rechtlichen und Compliance-Grundlagen beziehungsweise -Anforderungen

Mehrwert

Mit der Unterstützung von KPMG bei der Einführung von Robotern entstehen Ihrem Unternehmen unter anderem folgende Vorteile:

– Sicherstellung der Ordnungsmäßigkeit von Robotern durch Zertifizierung

– Implementierung geeigneter Governance- und Kontroll-strukturen beim Einsatz von Robotern

– Einhaltung von rechtlichen Grundlagen und Anforderungen, insbesondere bei Tätigkeiten mit finanziellen beziehungs-weise rechnungslegungsrelevanten Auswirkungen

– Schaffung neuer Arbeitsressourcen durch den Einsatz von Robotern für Compliance-Tätigkeiten und dadurch mehr Zeit für wertschöpfende oder innovative Tätigkeiten und den Kundenkontakt

– Erhöhung der Compliance-Sicherheit durch Automatisie-rung (24/7-Lösungen)

– Kürzere Zykluszeit und höherer Durchsatz

– Mehr Flexibilität und Skalierbarkeit, größere Genauigkeit

– Höhere Mitarbeiterzufriedenheit – repetitive, unbeliebte Tätigkeiten entfallen



Wer alles überblicken will, sollte von oben schauen


71License Compliance

LicenseComplianceAktives und digitalisiertes Management Ihrer License Compliance – in wenigen Schritten zu mehr Transparenz

Bei fachspezifischen Problemstellungen stehen Ihnen unsere Spezialisten mit tief greifendem Know-how, tool-gestützten Anwendungen und praxiserprob-ten Better Practice-Ansätzen zur Verfügung.

Zusätzlich zu den klassischen Kernthemen im Bereich Digital Compliance bietet KPMG ein breites Spektrum an fokusorientierten Prüfungs- und Beratungsleistungen an, um die Compliance Ihrer IT-Landschaft ganzheitlich sicherzustellen.

Unsere Experten nutzen dabei die ganze Bandbreite ihrer fachspezifischen Kompe-tenzbereiche und stellen mithilfe ihres Spezialwissens maßgeschneiderte Lösungen für ihre Lizenznutzung bereit. Hierbei profitieren Sie von unseren umfangreichen Beziehungen zu Technologieträgern. Unsere Projekterfahrungen sind nicht nur auf indirekte Nutzung, Cloudnutzung, Outsourcing, SaaS und Virtualisierungstechnolo-gien begrenzt, sondern wir arbeiten täglich mit der ganzen Bandbreite aktueller Techno- logietrends.



„Unsere flexible Herange-hensweise ermöglicht es, den Umgang mit Software-lizenzen neu auszurichten und in den täglichen Arbeitsablauf zu integrieren.

Unsere Kunden sind trotz komplexer Lizenz- und Nut-zungssituationen im Cloud-bereich und im Outsourcing in den Gesprächen mit den Softwarelieferanten bes-tens aufgestellt.“

Dr. Halka Georgias Director, Digital Compliance

Ansprechpartner

Dr. Halka Georgias DirectorT +49 221 [email protected]

Software Usage Baselining and aheadKundenbedürfnisse

Die weitere Durchdringung der IT durch Cloudlösungen ebenso wie die voranschreitende Digitalisierung in vielen Berei-chen des täglichen Handelns führen zu immer mehr IT-Einsatz wie auch zu neuen und komplexeren Softwareverträgen. Hieraus entstehen für Unternehmen neue, komplexere und zunehmend größere Risiken in Bezug auf Unter- und Überli-zenzierungen und somit finanzielle Risiken in beträchtlichem Ausmaß.

Die steigende Komplexität in der Nutzung, den Softwarever-trägen und weiteren Vereinbarungen führt dazu, dass Soft-warehersteller ihr vertraglich zugesichertes Recht auf Lizenz-prüfungen konsequent nutzen, um die Softwarenutzung der Kunden eingehend prüfen zu lassen. Damit hierbei keine unerwarteten Ergebnisse erzielt werden, ist der gesamte Softwarelebenszyklus im Unternehmen zu betrachten. Die folgenden Fragen verdeutlichen die komplexen Herausforde-rungen bei der Nutzung von Software:

− Wissen Sie, welche Software auf welchem System in Ihrem Unternehmen installiert ist?

− Können Ihre Anwender Software aus dem Internet herunter- laden oder installieren?

− Hatten Sie vor der letzten Wartungsverlängerung ein verlässliches Bild der Nutzung jeder einzelnen Software und wurde die Nutzung in die Zukunft prognostiziert?

− Stimmen Ihre Nutzungsprognosen regelmäßig mit der späteren, tatsächlichen Nutzung überein?

− Ist Ihr Unternehmen für jede installierte Software unabhängig von Server oder Desktop ausreichend lizenziert?


73Software Usage Baselining and ahead

Unsere Leistungen

Unser Ansatz zielt darauf ab, gemeinsam mit Ihnen Transpa-renz zu schaffen, Risiken frühzeitig zu identifizieren und pass-genaue Lösungen anzubieten – damit Sie langfristig erfolgreich aufgestellt sind.

Mehrwert

Unsere Leistungen zielen darauf ab, Ihnen die notwendige Transparenz zu verschaffen, damit Sie über den gesamten Softwarelebenszyklus Risiken im Blick haben und frühzeitig sowohl über veränderte Nutzung als auch über veränderten Lizenzbedarf beziehungsweise Wartung informiert sind. Darüber hinaus unterstützen wir Sie dabei, Compliance-Risiken im Hinblick auf Lizenzaudits zu reduzieren.

Abbildung 29: Unser Ansatz für Ihren langfristigen Erfolg

Quelle: KPMG, 2018

Risikopotenziale identifizieren

Ist-Zustand Soll-ZustandLangfristig erfolgreich

Identifikation von Risiko-potenzialen und Definition

von Aktionsfeldern

Baselining von Software-nutzung und Vertragsdetails

zur Schaffung von Transparenz

Definition eines Zielzustandes inklusive Stärken-, Potenzial-

analyse, hierbei Berücksichtigung des gesamten Software-

lebenszyklus von Beschaffung über Nutzung

bis hin zu Entsorgung

Gemeinsame Umsetzung dervorher definierten Maßnahmen

inklusive Mechanismen zurIdentifikation von Ist- und Soll-

Zustand im langfristigen Betrieb



„Als Ersteller von Lizenz- bedingungen stehen Sie vor der Aufgabe, verschie-denste Nutzungsszenarien in einem standardisierten vertraglichen Konstrukt abzubilden. Der Wandel hin zu Cloud-Lösungen sowie die Digitalisierung verändern das Nutzungsverhalten jedoch ständig und nachhaltig.“

Dr. Halka Georgias Director, Digital Compliance

Ansprechpartner

Dr. Halka Georgias DirectorT +49 221 2073 [email protected]

License Audit – professionalised

Kundenbedürfnisse

Der voranschreitende Wandel der Softwarenutzung von On- Premise- hin zu Cloud-Lösungen aller Art führt ebenso wie die sich ständig verändernden Anforderungsprofile während der Nutzung zu regelmäßigem Anpassungsbedarf. So gilt es einerseits für die Software-Kunden, kontinuierlich den Lizenz-bedarf zu überprüfen und zu aktualisieren, während anderer-seits die Software-Anbieter die Lizenzbedingungen in den Blick nehmen müssen.


75License Audit – professionalised

Unsere Leistungen

KPMG ist Ihr integrierter Partner für die Schaffung neuer Potenz- iale im Bereich Lizenzaudits. Wir werten regelmäßig Verände-rungen des Marktes und regulatorische Neuerungen aus. KPMG setzt diese Expertise ein, um Ihre Projekte effizient, effektiv und zeitgerecht mit Qualitätsanspruch durchzuführen. Als unabhängiger Dritter versorgt KPMG Sie und Ihre Kunden mit verlässlichen Informationen. Aufgrund unserer langjährigen Erfahrung als einer der Marktführer im Bereich Lizenzaudits ist es uns möglich, Sie effizient und zielgerichtet in folgenden Bereichen zu unterstützen:

Vertragsanalysen und Risikobewertung Identifikation potenzieller Risiken und verständliche Aufberei-tung der Verträge

Optimierung von Preis- und Lizenzierungsmodellen Anpassung der Vertragsgrundlagen an die spezifischen Kundenanforderungen

Initiierung neuer und Optimierung bestehender Auditprogramme Skalierung Ihres turnusmäßigen Auditprogramms

Durchführung von Lizenzaudits in allen Größenordnungen Die Einbindung unseres internationalen Spezialisten-Netzwerks trägt zu einer effizienten Projektabwicklung bei

Identifikation von Trends Regelmäßige Anpassungen des Auditprogramms an die Ent-wicklungen des Markts sowie das Nutzungsverhalten Ihrer Kunden

Mehrwert

Professionell und effizient durchgeführte Lizenzaudits bieten Anknüpfungspunkte für tief greifende und detaillierte Gesprä-che mit Ihren Software-Kunden hinsichtlich einer für sie optimalen Lizenznutzung sowie Anpassungen des Lizenzbe-standes an die aktuellen und zukünftigen Bedürfnisse. Gleich-

zeitig schützen Sie als Software-Anbieter durch Lizenzaudits Ihr Intellectual Property und verhindern somit Ertragsverluste. Dies trägt zur Sicherstellung von Compliance bei – potenzielle Schwachstellen in Ihrem Vertriebsbereich können frühzeitig entdeckt und behoben werden.




Ansprechpartner

KPMG AG Wirtschaftsprüfungsgesellschaft

Bestens für Sie aufgestellt

Karlheinz AntesbergerDirector T +49 89 9282-1231 [email protected]

Ganghoferstraße 2980339 München

Axel Bachmann Partner T +49 69 9587-3336 [email protected]

THE SQUAIRE Am Flughafen 60549 Frankfurt

Dr. Halka GeorgiasDirector T +49 221 2073-5315 [email protected]

Barbarossaplatz 1A50674 Köln

Heiko KramerDirector T +49 40 32015-5504 [email protected]

Ludwig-Erhard-Straße 11–1720459 Hamburg

Carsten MüllerPartner Head of Digital ComplianceT +49 69 9587-2579 [email protected]

THE SQUAIRE Am Flughafen 60549 Frankfurt

Alexander GietlDirector T +49 89 9282-4853 [email protected]

Ganghoferstraße 2980339 München

Entsprechend Ihrer individuellen Themenschwerpunkte möchten wir Ihnen einen direkten Draht zu unseren Spezialisten ermöglichen. Bitte zögern Sie nicht, Ihre spezifischen Fragen direkt an uns zu kommunizieren. Wir stehen Ihnen jederzeit gern telefonisch oder per E-Mail zur Verfügung.

77Bestens für Sie aufgestellt

Olaf KöppePartner T +49 30 2068-1149 [email protected]

Klingelhöferstraße 1810785 Berlin

Dirk DistelrathDirector T +49 221 2073-1313 [email protected]

Barbarossaplatz 1A50674 Köln

Dennis OlsinskiPartner T +49 711 9060-41285 [email protected]

Theodor-Heuss-Straße 570174 Stuttgart

Swen SchwerinDirector T +49 211 475-7887 [email protected]

Tersteegenstraße 19–23 40474 Düsseldorf

Daniel MalyPartner T +49 711 9060-41461 [email protected]

Theodor-Heuss-Straße 570174 Stuttgart



78 IT Compliance Solution Navigator

Notizen

79Kapitel



Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Infor mationen so zutreffend sind wie zum Zeitpunkt ihres Ein gangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründl iche Analyse der betreffenden Situation.

© 2020 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

www.kpmg.de

www.kpmg.de/socialmedia

http://www.kpmg.de

http://www.kpmg.de/socialmedia

https://www.facebook.com/KPMG.AG.WPG/

https://twitter.com/KPMG_DE

https://www.xing.com/companies/kpmgagwirtschaftspr%C3%BCfungsgesellschaft

https://www.linkedin.com/company/kpmg-deutschland

https://www.youtube.com/user/KPMGinDeutschland

digital compliance solution navigator...2020/07/28 · sie mit maßgeschneiderten, an ihre...

Documents