Philosopher Ludwig Wittgenstein (2021) once stated, „The limit of my language is the limit of my world“. This highlights the undeniable influence of words — both spoken and written. Words can inspire individuals to exceed expectations or steer them towards unethical actions. A code of ethics is a longstanding and widely recognised document for encouraging ethical decision-making. Professions such as medicine have adhered to codes of conduct for over 2000 years. A code of ethics not only defines behavioural rules within an organisation but also articulates its core values. Therefore, the way we formulate and write a code of ethics, especially from a linguistic and grammatical perspective, is crucial for its effectiveness.

The Effectiveness of A Code of Ethics

A code of ethics outlines principles and rules that help an organisation manage and govern its decisionmaking processes, aiding decision-makers in distinguishing between right and wrong. The most accepted definition of a code of ethics is given by Kaptein & Schwartz (2008): „A distinct and formal document containing a set of rules developed by and for a company to guide the present and future behaviour of at least its managers and employees on a range of issues toward each other, the company, external stakeholders, and/or society at large.“

Generally, a code of ethics is integral to an organisation’s ethical framework and compliance programmes. Consequently, it has become part of regulatory requirements at both national (e.g., Section 406 of the Sarbanes-Oxley Act) and industry levels (e.g., European Banking Authority: Guidelines on Internal Governance). Despite the formal establishment of codes of ethics in organisations, their effectiveness in promoting ethical intentions and behaviours remains debatable (Kish-Gephart, Harrison & Treviño, 2010).

The effectiveness of a code of ethics has been studied at various levels:

  • Design: Codes with lower commitment levels lead to poorer ethical behaviour.
  • Content: Sanctions specified in the code have limited effects on ethical behaviour.
  • Compliance Programmes: A code with more components in compliance programmes (e.g., training, communication, compensation) leads to better ethical behaviour.

While these studies offer critical insights into the complex process of code effectiveness, one aspect remains equally essential — the impact of language or written words in a code of ethics on decision-makers’ behaviour.

Writing an Effective Code of Ethics

The purpose of this article is to provide a guide to writing a code of ethics from a linguistic perspective. Drawing from various studies in psychology and behavioural science, we will explore which words and language structures should be used in a code of ethics for maximum impact and effectiveness.

“Must” vs. “Should/May”

The most researched topic pertains to the use of obligation or duty words in a code of ethics. Words with strong connotations of obligation (must, forbid) compared to those with a lesser tone (should, may) result in higher code compliance. A negative tone (forbidding) can also deter unethical behaviour, though overuse can be counterproductive (Kotzian, et al., 2021).

A later study confirmed that companies and organisations achieved higher compliance levels when their code language contained medium or high obligations (members will/should) as opposed to low obligation language (members can/may). Thus, to ensure organisational expectations for ethical behaviour are clear, a negative tone in the code of ethics is necessary (George, Jones & Harvey, 2014).

“We/I” vs. “They/It”

Using direct pronouns (we, I) suggests a higher acceptance level of the code of ethics than using indirect pronouns (they, it, or organisation/company). Research found that phrases like “We are committed to integrity” are more effective in promoting ethical behaviour than “The organisation is committed to integrity” (Farrell & Farrell, 1998).

This approach aligns with modern psychological thinking, as the brain tends to accept direct subject words as its own. Additionally, people who participate in creating rules are more likely to follow them (Deci & Ryan, 2013).

The use of active/passive voice in ethical codes also matters. Although passive voice is common in English, it often creates a non-personal relationship to the action. Using passive voice in a code of ethics is inappropriate if the organisation wants stakeholders to embrace the code (Börjars & Vincent, 2013).

Keep it Simple and Clear

Sometimes, people use complex words to sound sophisticated, but this is not effective in ethics. Nominalisation — forming nouns from other words — negatively impacts the effectiveness of codes of ethics. These codes are meant for everyday practice and should be easy to understand (Schwartz, 2004).

The same applies to grammatical metaphors. While non-literal expressions can add academic flair, they can confuse readers. A code of ethics should avoid legalese and aim for straightforward language.

Way Forward

The code of ethics has long been a valuable document for organisational ethics. However, it starts with words — written or spoken. The significance of language in influencing human thoughts, emotions, and behaviours should not be overlooked. A code of ethics is written for people, and its language must reflect that. These simple rules can help make a code of ethics truly effective, enabling an organisation to become more ethical. Plain language resonates more with employees, allowing them to integrate the code of ethics into their daily work more effectively.

  •  Linguistic structure significantly impacts the effectiveness of a code of ethics (e.g., passive/active voice, use of nouns vs. verbs).
  • Simplicity is key. Use simple words and short sentences in a code of ethics.
  • This article was first published in Ethikos by the Society of Corporate Compliance and Ethics.

Seit Einführung des Hinweisgeber:innenschutzgesetzes (HSchG) haben viele Unternehmen bereits Meldekanäle und die dazugehörige sogenannte interne Stellen implementiert. Diese interne Stelle nimmt die Hinweise entgegen und baut idealerweise bereits die Kommunikation zur hinweisgebenden Person auf. Je nach Unternehmen ist die interne Stelle in unterschiedlichen Abteilungen angesiedelt.

Ganz unabhängig, welche Compliance Strukturen Sie in Ihrem Unternehmen aufweisen und wo die interne Stelle angesiedelt ist, kann es vorkommen, dass Sie in der internen Revision als dritte Verteidigungslinie (third line of defense) beauftragt werden, eine Sonderprüfung über einen eingegangenen Hinweis durchzuführen.

Diese Situationen sind nie vorhersehbar. Und dennoch sollte in den meisten Fällen rasch gehandelt werden. In diesem Artikel erfahren Sie die wichtigsten Schritte, die bei Sonderprüfungen beachtet werden sollen.

Durchführung eines Pre-Checks

Bevor eine Sonderprüfung geplant wird, sollte überprüft werden, ob der Hinweis genügend Anhaltspunkte für eine Prüfung enthält – ein sogenannter Pre-Check. Diese Überprüfung kann bereits durch die interne Stelle durchgeführt werden.

Beachten Sie: Ob der Hinweis in den Bereich des HSchG fällt, muss unbedingt im Vorfeld durch die interne Stelle analysiert werden. Denn gemäß § 7 Abs. 1 HSchG ist die Identität der hinweisgebenden Person durch die interne Stelle zu schützen. Das bedeutet, dass jegliche Informationen, aus denen die Identität von Hinweisgeber:innen direkt oder indirekt abgeleitet werden, geschützt werden müssen. Fällt der Hinweis in die Anwendung des HSchG, muss die interne Stelle die Überprüfung durchführen, oder beispielsweise den Hinweis dementsprechend anonymisieren, dass die Identität der hinweisgebenden Person geschützt ist.

Unabhängig davon, ob der Hinweis in den Bereich des HSchG fällt, ist es empfehlenswert jeden Hinweis entgegenzunehmen und einen Pre-Check durchzuführen. Angenommen der Hinweis lautet über mögliche Diskriminierungsvorfälle oder Prozesslücken in der Zahlungsabwicklung und das HSchG findet in erster Linie keine Anwendung: Der Hinweis ist ein Indiz für ein potenzielles Risiko in Form von finanziellen Verlusten oder Reputationsschäden und sollte definitiv überprüft werden. Gemäß der aktuellen Global Internal Audit Standards verbessert die Interne Revision die Organisation in den Governance-, Risikomanagement- und Kontrollprozessen. Dies setzt voraus, dass die Interne Revision gemäß Standard 9.1. die Governance-, Risikomanagement- und Kontrollprozessen versteht und dementsprechend handelt, sofern Risiken identifiziert werden.

Kontakt zur hinweisgebenden Person aufbauen

Hat der Pre-Check genügend Anhaltspunkte für eine Prüfung ergeben, sollte im nächsten Schritt Kontakt zur hinweisgebenden Person aufgenommen werden. Je nach Meldekanal und Hinweiseingang, gibt es hier unterschiedliche Möglichkeiten.

Wichtig ist, dass der Fokus auf dem Vertrauensaufbau liegt. Hinweisgebende Personen sind oft unsicher und befinden sich in einer unangenehmen Situation. Zeigen Sie Empathie und klären Sie über den Prozess und den weiteren Schritten auf. Hinweisgeber:innen sind oft Mitarbeiter:innen und kennen die Prozesse sehr gut. Dadurch identifizieren sie auch die Schwachstellen, welche zur Meldung führen. Erfahrungsgemäß verlaufen Prüfungen effizienter und sind weniger zeitintensiv, wenn die hinweisgebende Person bei der Sachverhaltsaufklärung mitwirkt, indem sie für Fragen zur Verfügung steht.

Passende Prüfstrategie wählen

Ein essenzieller Punkt ist die Wahl der Prüfstrategie. Je nach Sachverhalt und Dringlichkeit, kann beispielsweise der Hinweis im Rahmen einer Prozessprüfung überprüft werden. Ergeben die Anhaltspunkte einen umfangreicheren Sachverhalt, sollte eine eigene Sonderprüfung angelegt und durchgeführt werden.

Unabhängig davon, sollte die involvierten Prozesse mit überprüft werden. Dies kann bereits im Rahmen der Sonderprüfung oder als separate Prüfung zu einem späteren Zeitpunkt erfolgen.

Beachten Sie auch, dass Sie je nach Sachverhalt gegebenenfalls weitere Abteilungen involvieren. Vor allem der Datenschutz, aber auch arbeitsrechtliche Vorgaben müssen durchgehend eingehalten werden. In diesem Schritt sollte das Need-to-know-Prinzip berücksichtigt werden. Dieses Prinzip besagt, dass die Anzahl an Personen, die über die Sachverhaltsaufklärung informiert werden, so gering wie möglich gehalten werden muss und nur diejenigen Personen darüber erfahren, die direkt mit der Aufarbeitung in Verbindung stehen.

Als Best Practice gilt ein intern implementierter und kommunizierter Prozessablauf, welcher mit den jeweiligen involvierten Abteilungen abgestimmt ist.

In diesem Zusammenhang sollte auch die Unternehmenskultur erwähnt werden. Erfahrungsgemäß lassen sich viele Risiken fristgerecht abfangen, wenn eine offene Gesprächskultur bzw. eine sogenannte Speak-up-Kultur im Unternehmen gelebt wird. Auch hier kann die Revision mitwirken, indem diese Aspekte im Prüfungsumfang involviert werden. Die Unternehmenskultur ist auch Teil des Risikomanagements, wenn dadurch eine Speak-up Kultur gelebt wird, welche das Risiko verringert, dass Mitarbeiter:innen die Themen intern nicht ansprechen oder eventuell sogar nach außen tragen.

Informationen über Prozesse einholen

Unabhängig, ob Whistleblower:innen bei der Sachverhaltsaufklärung mitwirken, sollten Sie sich im Vorfeld über die involvierten Prozesse informieren. Wenn beispielsweise ein Vorfall über die Manipulation von Ausschreibungsverfahren gemeldet wird, sollten Informationen über die Vorgaben für das Ausschreibeverfahren eingeholt werden.

Die eingeholten Informationen über die involvierten Prozesse dienen dazu, in erster Linie zu überprüfen, ob es Sicherheitslücken gibt, die eine mögliche Manipulation bzw. ein mögliches Fehlverhalten begünstigen könnten. Darüber hinaus ist es eine Absicherung für die interne Revision, für den Fall, dass die Whistleblower:innen nicht an der Sachverhaltsaufklärung mitwirken sollten. Gleichzeitig können die geteilten Informationen der hinweisgebenden Person, mit den vorab eingeholten Informationen überprüft werden.

Erfolgt die Meldung anonym, ist nicht bekannt, ob die hinweisgebende Person

  • ein/e Mitarbeiter:in,
  • jemand außerhalb des Unternehmens oder
  • ein/e bereits ausgeschiedene/r Mitarbeiter:in ist.

Daher ist es wichtig, während der Kommunikation mit den Whistleblower:innen keine firmeninternen Informationen preiszugeben.

Wenn Sie sich in anderen Abteilungen über die Prozesse informieren, bedienen Sie sich an bestimmten Fragetechniken, um nicht den Anschein zu erwecken, dass Sie aktuell eine Hinweisüberprüfung planen bzw. durchführen. Beachten sie auch stets die durchgehende Einhaltung von Standards und Regularien, vor allem im Bereich Datenschutz und Arbeitsrecht.

Erfahrene Revisior:innen zeichnen sich dadurch aus, dass sie (sinngemäß) keine Scheuklappen tragen. Das bedeutet, dass sie auch übergelagerte, involvierte Prozesse mit überprüfen. Werden durch die Hinweisüberprüfung weitere Schwachstellen im (übergelagerten) Prozess identifiziert, sollten definitiv auch hier entsprechende Maßnahmen gesetzt werden. Das Ziel besteht nicht nur darin festzustellen, ob der Hinweis bestätigt werden konnte oder nicht, sondern welche Prozesslücken identifiziert werden konnten und wie diese Risiken eliminiert beziehungsweise minimiert werden können.

Durchführung einer neutralen und umfassenden Untersuchung

Jegliche Meldungen sind neutral und unvoreingenommen entgegenzunehmen. Es herrscht eine Unschuldsvermutung, bis der Vorfall bestätigt werden konnte.

Stichwort Interessenskonflikte: Stellen Sie als Prüfungsleitung sicher, dass Ihr Untersuchungsteam aus Personen besteht, für die keine Interessenskonflikte mit dem gemeldeten Vorfall bestehen. Gleichzeitig sollte das Prüfteam auch die nötige Fachkompetenz für die Hinweisüberprüfung aufweisen. In der Praxis kann dies oft eine Herausforderung darstellen, da Sonderprüfungen oft spontan durchgeführt werden müssen und die Prüfteams bereits für Programmprüfungen eingeteilt wurden. In diesen Fällen kann es hilfreich sein, externe Berater:innen zu beauftragen oder gegebenenfalls die Programmprüfung zu pausieren.

Fragen, die Revisor:innen bei Sonderprüfungen im Vorfeld konfrontieren können, sind:

  • Wie gehe ich mit der hinweisgebenden Person um?
  • Welche Interviewtechniken wende ich an?
  • Was gilt es generell zu beachten?
  • Wie stelle ich einen neutralen Umgang sicher?

Dazu empfiehlt sich, Revisor:innen für die Durchführung von Sonderprüfungen zu schulen und eine interne Arbeitsanweisung zu erstellen. Darin sollten die oben angeführten Fragen adressiert werden und auch datenschutzrechtliche Informationen abgedeckt werden.

Für Befragungen sollte ein Vier-Augen-Prinzip sichergestellt werden, vor allem beim Gespräch mit der hinweisgebenden und betroffenen Person. Diese Gespräche können für die hinweisgebende, aber auch für die betroffene Person sehr unangenehmen sein. Informieren Sie die Personen daher bereits im Vorfeld, welche Personen beim Gespräch anwesend sind, und stellen Sie sich kurz vor. Zeigen Sie Empathie und denken Sie daran: Es ist eine Befragung und kein Verhör.

Vor allem bei Diskriminierungs- und Belästigungsvorfällen ist es ratsam geschlechtergemischte Teams aufzustellen.

Entsprechende Maßnahmen definieren und Dokumentation sicherstellen

Wurden Sicherheitslücken oder Fehlverhalten identifiziert, folgt nun der Schritt, die entsprechenden Maßnahmen zu definieren. Diese können anhand der SMART-Methode definiert werden. Auch wenn diese Methode in der Managementforschung ihren Ursprung hat, kann sie für die Maßnahmendefinition angewendet werden.

Diese Methode setzt sich aus den fünf Buchstaben SMART zusammen, wobei jeder Buchstabe für eine Bedingung steht (siehe Abbildung).

Abbildung: Beschreibung der SMART-Methode, selbst erstellt.
Abbildung: Beschreibung der SMART-Methode, selbst erstellt.

In Hinblick auf die Maßnahmenformulierung, lassen sich die definierten Maßnahmen wie folgt überprüfen, ob sie wirksam sind:

S: Ist die Maßnahme konkret formuliert, damit die verantwortliche Stelle weiß, was umzusetzen ist?
M: Kann die Umsetzung im Nachgang überprüft werden?
A: Wurde die Maßnahme so definiert, dass sie der Realisierung der Unternehmensziele nicht hinderlich ist und gleichzeitig die Governance Prozesse berücksichtigt?
R: Ist es für die verantwortliche Stelle möglich, die Maßnahme innerhalb der Frist umzusetzen?
T: Ist eine Umsetzungsfrist definiert?

Bedenken Sie: Nach der Prüfung ist vor der nächsten Prüfung. Auch wenn die Maßnahmen innerhalb der definierten Frist umgesetzt wurden, empfiehlt sich je nach Risikograd, dass die Prüfungsleitung die identifizierten Risiken bzw. die daraus formulierten Maßnahmen bei der nächsten Programmprüfung mit aufs Prüfprogramm nimmt. Somit kann eine nachhaltige Risikoreduktion gewährleistet werden.

Je nach Sachverhalt und Feststellung kann eine Fehler-Ursachen-Analyse (engl. Root-Cause Analysis) durchgeführt und im Prüfbericht angehängt werden. Vor allem bei gravierenderen Feststellungen ist diese Methode empfehlenswert. Dabei wird anhand von W-Fragen die Ursache für das Problem oder die Sicherheitslücke analysiert.
Im ersten Schritt wird anhand der 5-W-Fragen das Problem definiert:

• Was ist passiert?
• Wann (oder über welchen Zeitraum) hat es sich ereignet?
• Wo ist es passiert?
• Wie hat sich der Vorfall ereignet?
• Wer oder welche Abteilungen sind daran beteiligt?

Ergänzend sollte noch folgende Fragen gestellt werden

• Welche Auswirkung hat der Vorfall auf die Unternehmensziele?
• Welche Risiken sind mit dem Vorfall verbunden?

Dieser erste Punkt wird oftmals bereits während der Prüfung durchgeführt. Danach wird die Ursache analysiert. Dafür wird mindestens fünf Mal die „Warum-Frage“ gestellt.
Im folgendem wird die Root-Cause-Analyse an einem fiktiven Beispiel angewendet. In dem Beispiel kam es zu einem Serverausfall:

  1. Warum kam es zu einem Serverausfall?
    Weil der Server überlastet ist.
  2. Warum ist der Server überlastet?
    Weil zu viele Anfragen gleichzeitig bearbeitet werden müssen.
  3. Warum müssen zu viele Anfragen gleichzeitig bearbeitet werden?
    Weil der Datenbankserver langsam reagiert und sich dadurch die Anfragen stauen.
  4. Warum antwortet der Datenbankserver langsam?
    Weil die Datenbank nicht effizient optimiert ist.
  5. Warum ist die Datenbank nicht effizient optimiert?
    Weil in der letzten Quartalssitzung keine Budgetfreigabe für eine neue Datenbank genehmigt wurde.

In diesem Beispiel ist die Grundursache des Problems, dass die Datenbank nicht effizient optimiert ist. Im dritten und letzten Schritt erfolgt die Formulierung von kurz- und langfristigen Verbesserungsmaßnahmen. Dafür kann wie bereits oben beschrieben, die SMART-Methode angewendet werden.

Das Ergebnis der Sonderprüfung ist der Prüfbericht. Abschließend sollte die Dokumentation nochmals überprüft und sicher aufbewahrt werden. Je nach Sachverhalt, müssen Dokumente anonymisiert werden – halten Sie hier Rücksprache mit dem oder der Datenschutzbeauftragte:n im Ihrem Unternehmen.

Fazit

Zusammenfassend ist es entscheidend, einen klaren, fairen und strukturierten Umgang mit Whistleblower:innen zu gewährleisten. Dafür sind in erster Linie der Meldekanal und ein vorab definierter interne Prozess ausschlaggebend. Sehen Sie Whistleblowing als Chance, um wichtige Informationen für das Unternehmen zu bekommen und risikobehafteten Situationen (noch rechtzeitig) entgegen wirken zu können.

Abbildung 1: Titelbild: KI-generiertes Bild zur DORA mit ChatGPT
Abbildung 1: Titelbild: KI-generiertes Bild zur DORA mit ChatGPT

Im digitalen Zeitalter, in dem Finanzinstitute zunehmend auf Technologie angewiesen sind, ist die Sicherstellung der operativen Resilienz von entscheidender Bedeutung. Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union, die darauf abzielt, die Widerstandsfähigkeit des Finanzsektors gegenüber Cyberbedrohungen zu stärken. Für interne Auditoren bringt die Überprüfung der Implementierung von DORA eine Reihe von Herausforderungen mit sich, aber auch die Möglichkeit, die Sicherheit und Effizienz ihrer Organisationen maßgeblich zu verbessern.

Die Interne Revision spielt eine Schlüsselrolle bei der Überwachung und Bewertung der Effektivität von Maßnahmen, die im Rahmen von DORA ergriffen werden. Davon umfasst sind zum Beispiel die Überprüfung der IT-Infrastrukturen, das IT-Risikomanagement Rahmenwerk und Geschäftsfortführungspläne.

In den folgenden Abschnitten werden wir die Herausforderungen, die DORA für die Interne Revision mit sich bringt, genauer betrachten, Maßnahmen untersuchen, die im IT-internen Kontrollsystem gesetzt werden sollten, und Themen hervorheben, die beachtet werden müssen.

DORA und die Interne Revision

Ziele und wesentliche Anforderungen der DORA

Der Digital Operational Resilience Act (DORA) ist ein regulatorischer Rahmen, der von der Europäischen Union ins Leben gerufen wurde, um die Resilienz von Finanzinstituten gegenüber digitalen Risiken zu stärken. Die Verordnung legt spezifische Anforderungen an Finanzdienstleister fest, um sicherzustellen, dass sie adäquate Maßnahmen ergreifen, um ihre IT-Systeme und Assets zu schützen. Zu den Kernzielen von DORA gehört es, ein einheitliches Niveau an operativer Widerstandsfähigkeit in der gesamten EU zu gewährleisten, die Aufsichtsbehörden mit den notwendigen Werkzeugen und Informationen auszustatten, um Risiken effektiv zu überwachen, und eine schnelle und koordinierte Reaktion auf IT-Störungen zu fördern.

Wesentliche Anforderungen von DORA umfassen:

  • IKT-Risikomanagement: Implementierung robuster Risikomanagementpraktiken, die sämtliche Aspekte digitaler Risiken abdecken.
  • Vorfallmanagement: Verpflichtung, Mechanismen für das Erkennen, das Management und die Meldung von IT bezogenen Vorfällen einzurichten.
  • Testen der operationalen Resilienz: Regelmäßige Prüfungen und Tests der IT-Systeme und des IKT-Risikomanagementrahmens müssen durchgeführt werden, um Schwachstellen zu identifizieren und zu beheben. Ausgewählte Institute sind darüber hinaus dazu verpflichtet, anhand TLPT (Threat-Led-Penetration-Testing) erweiterte Tests durchzuführen.
  • IKT-Drittanbietermanagement: Finanzinstitute müssen sicherstellen, dass ihre Drittanbieter und Outsourcing-Partner ähnliche Resilienzstandards einhalten.
Abbildung 2: Anforderungen DORA selbst erstellt
Abbildung 2: Anforderungen DORA selbst erstellt

Rolle der Internen Revision bei der Umsetzung von DORA

Die Interne Revision hat die Aufgabe, die Einhaltung dieser Anforderungen zu überwachen und zu bewerten, wie effektiv die Organisation ihre operationale Resilienz steuert. Dies umfasst die Bewertung der IKT-Risikomanagementpraktiken, die Überprüfung der Vorfallmanagementprozesse, die Beurteilung der Effektivität der IT-Sicherheitsmaßnahmen und die Überprüfung des Dienstleister-Managements. Die Interne Revision muss sicherstellen, dass die Organisation nicht nur formell den Anforderungen von DORA entspricht, sondern dass die implementierten Maßnahmen auch in der Praxis wirksam sind, um die Resilienz gegenüber digitalen Risiken zu stärken.

Die Herausforderungen für die Interne Revision im Zusammenhang mit DORA sind vielschichtig. Sie muss über tiefgreifendes Verständnis der IT-Infrastruktur und der Risikolandschaft verfügen, um die Angemessenheit und Wirksamkeit der von der Organisation ergriffenen Maßnahmen beurteilen zu können. Dies erfordert kontinuierliche Weiterbildung und die Weiterentwicklung von Fachwissen in Bereichen wie Cybersicherheit, Supplier-Management und IT-Governance.

Weiters sollte die Interne Revision eine proaktive Rolle einnehmen, um sicherzustellen, dass die Organisation den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus ist bzw. bei Vorfällen effizient und effektiv reagiert werden kann. Dies kann die Unterstützung des Managements bei der Entwicklung und Implementierung von Strategien zur Verbesserung der digitalen operationalen Resilienz und die Förderung einer Kultur der kontinuierlichen Verbesserung beinhalten.

Die Interne Revision ist somit eine Schlüsselfigur, um die Organisation durch die komplexen Anforderungen von DORA zu navigieren und einen wesentlichen Beitrag zur Stärkung der digitalen operationalen Resilienz im Finanzsektors zu leisten.

Nachdem wir nun die Anforderungen von DORA und die Rolle der Internen Revision detailliert betrachtet haben, werden wir im nächsten Abschnitt auf die spezifischen Herausforderungen eingehen, die sich nach der Implementierung von DORA für die Interne Revision eines Finanzinstituts ergeben. Wir werden untersuchen, welche Anpassungen im internen Kontrollsystem erforderlich sind und wie die Interne Revision effektiv zur Stärkung der operativen Resilienz beitragen kann.

Herausforderungen nach der Implementierung von DORA

Die Implementierung des Digital Operational Resilience Act stellt für die internen Revisionsabteilungen von Finanzinstituten diverse Herausforderungen dar. Diese erfordern nicht nur eine Anpassung der internen Prozesse und Kontrollsysteme, sondern auch ein fundiertes Verständnis für die Landschaft an Cyberbedrohungen. Nachfolgend eine Auflistung von Problematiken, die nach der Implementierung von DORA auftreten können.

Identifikation und Bewertung von IKT-Risiken

Eine der größten Herausforderungen kann darin bestehen, potenzielle IKT-Risiken zu identifizieren und zu bewerten, die die operationale Resilienz beeinträchtigen könnten, wie etwa:

  • Cyberbedrohungen: Die schnelle Entwicklung von Cyberbedrohungen erfordert eine kontinuierliche Überwachung (Vulnerability Management und Scanning) und Anpassung der Sicherheitsstrategien. Dazu zählt unter anderem eine Inventarisierung und Bewertung aller bekannten IKT-Risiken.
  • Technologische Abhängigkeiten: Eine genaue Analyse der Abhängigkeiten innerhalb der IT-Infrastruktur ist notwendig, um potenzielle Schwachstellen zu identifizieren. Dazu zählt ein vollständiges und aktuelles Inventar an allen IKT-Assets. Wichtig dabei ist eine Verknüpfung zwischen den Assets und den damit verbundenen Services herzustellen.
  • Auswirkungen von Drittanbietern: Die zunehmende Nutzung von Dienstleistungen Dritter führt zu neuen Risiken, die sorgfältig bewertet werden müssen. Um diese Risiken zu warten, ist ein Informationsregister zu erstellen und dieses regelmäßig zu aktualisieren. Hier muss beachtet werden, dass nicht nur Dienstleister, die Services bereitstellen, welche wichtige und kritische Funktionen des Unternehmens unterstützen, sondern alle IKT-Dienstleister innerhalb des Unternehmens betrachtet werden.

Anpassung des internen Kontrollsystems (IKS) an DORA-Anforderungen

Das interne Kontrollsystem muss an die spezifischen Anforderungen angepasst werden, was folgende Aspekte einschließt:

  • Implementierung spezifischer Kontrollen: Zur Erfüllung der DORA-Vorschriften müssen spezifische Kontrollen bzw. Mechanismen im Bereich der IKT-Sicherheit und des Risikomanagements implementiert werden. Beispiele sind: Prüfung der Reaktionszeiten im Falle von Security Incidents, Prüfung der IKT-Assets auf Aktualität, Richtigkeit und Vollständigkeit, Prüfung des Berechtigungskonzepts und Zugriffskontrollen.
  • Überprüfung und Aktualisierung der Unternehmensrichtlinien: Bestehende Anweisungen müssen überprüft und regelmäßig aktualisiert werden, um die Einhaltung von DORA sicherzustellen (Zu welchen Themenbereichen muss es zusätzliche Richtlinien geben?).
  • Integration in das bestehende IKS: Neuen Kontrollen und Prozesse sollen nahtlos in das bestehende interne Kontrollsystem integriert werden.

Sicherstellung der Datenintegrität und -verfügbarkeit

Die Gewährleistung der Integrität und Verfügbarkeit von Daten stellt eine kontinuierliche Herausforderung dar, insbesondere in Anbetracht der steigenden Anzahl und Komplexität von Cyberangriffen. Das beinhaltet:

  • Notfallplanung und Business Continuity Management: Entwicklung und Testen von Notfallplänen, um die Verfügbarkeit von kritischen und wichtigen Systemen und Daten sicherzustellen bzw. wiederherzustellen. Dazu gehören Geschäftsfortführungspläne (GFPs) und Wiederanlaufpläne (WAPs). Innerhalb von GFPs werden in der Regel die zeitkritischen Prozesse je Organisationseinheit dokumentiert und eine dementsprechende Fortführung dieser Prozesse erarbeitet. Bei WAPs wird üblicherweise darauf eingegangen, wie die Ressourcen wiederhergestellt werden, welche essenziell für die zeitkritischen Systeme sind.

Überprüfung der Drittanbieter und Outsourcing-Partnerschaften

Die Abhängigkeit von Drittanbietern und Outsourcing-Partnern bringt zusätzliche Komplexität und Risiken mit sich, die adressiert werden müssen:

  • Risikobewertung von Drittanbietern: Durchführung detaillierter Risikoanalysen und Bewertungen der Sicherheitspraktiken von Drittanbietern und Subdienstleistern (§ 25 BWG) welche bereits durch das BWG verpflichtend sind. Darüber hinaus geht DORA auch auf Subdienstleisterebene (RTS).
  • Vertragsmanagement: Sicherstellung, dass Verträge mit Drittanbietern die wesentlichen Vertragsbestandteile lt. DORA 2022/2554/EU (Art. 28 & 30) sowie etwaige Bestandteile aus Technischen Durchführungsstandards (Subverlagerungen und vertragliche Regelungen zur Nutzung von IKT-Diensten, welche kritische oder wichtige Funktionen unterstützen, die von IKT-Drittanbietern bereitgestellt werden) enthalten.
  • Überwachung und Auditierung: Regelmäßige Überwachung und Auditierung der Leistung und Compliance von Drittanbietern. Wichtig bei der Überprüfung von Dienstleistern sind in der Regel ISAE 3402/3000 Berichte und diverse Zertifizierungen. Jedoch wird man sich vermutlich zukünftig nicht mehr auf diese beiden Arten von Prüfnachweisen auf Dauer verlassen dürfen. Im Rahmen der Überwachung und Auditierung soll stets auf das Three lines of defense Modell geachtet werden. Die interne Revision führt die Überprüfungen der Dienstleister nicht durch, sondern überprüft die erfolgten Maßnahmen, welche im Rahmen des IKT-Dienstleister Managements durch die First und Second line of defense getroffen wurden.
Abbildung 3: Three lines of defense (Quelle: The IIA)
Abbildung 3: Three lines of defense (Quelle: The IIA)

Im nächsten Teil werden wir uns den spezifischen Maßnahmen widmen, die im IT-internen Kontrollsystem (IKS) gesetzt werden sollten, um diesen Herausforderungen zu begegnen.

Maßnahmen im IKS nach DORA

Nach der Implementierung von DORA stehen Finanzinstitute vor der Aufgabe, ihr internes Kontrollsystem (IKS) entsprechend anzupassen bzw. zu erweitern. Diese Anpassungen sind maßgeblich, um die Einhaltung der neuen Vorschriften sicherzustellen und die operationale Resilienz zu stärken. Im Folgenden werden wichtige Maßnahmen erörtert, die im IKS gesetzt werden, und in Folge von der Internen Revision geprüft werden können.

Entwicklung eines Frameworks zur Risikobewertung und -minderung

Ein zentraler Aspekt ist die Entwicklung eines umfassenden Frameworks zur koordinierten Bewertung und Minderung von IKT-Risiken, welches folgende Elemente beinhalten sollte:

  • Risikoidentifikation: Strukturierte Identifikation von IKT-Risiken.
  • Risikobewertung: Bewertung der Risiken hinsichtlich ihrer Wahrscheinlichkeit und potenziellen Auswirkungen.
  • Risikominderung: Entwicklung und Implementierung von Maßnahmen (z.B. Kontrollen) zur Minderung identifizierter Risiken, einschließlich technischer, organisatorischer und personeller Maßnahmen.
  • Restrisiken: Die Wartung einer Restrisikoliste für IKT-Risiken inkl. regelmäßigem Review und Begründung, warum die Risiken akzeptiert wurden.

Implementierung von Kontrollen zur Cyber- und Betriebssicherheit

Verschärfte Maßnahmen werden zudem im Betrieb von IKT-Systemen gefordert. Dazu gehören unter anderem:

  • Betriebsüberwachung: Anforderungen an Backup und Wiederherstellung von Ressourcen, Trennung der Entwicklungs- Test- und Produktivumgebung, Einhaltung von Regeln im Zusammenhang mit Tests, welche in der Produktivumgebung stattfinden.
  • Netzwerksicherheit & Verschlüsselung: Review der Firewall-Regeln mindestens alle sechs Monate, Review der Netzwerkarchitektur, Verschlüsselung von Daten „at rest“, „in transit“ und „in use“, wo anwendbar.
  • Zugriffskontrollen: Implementierung von strengen Zugriffskontrollen, um sicherzustellen, dass nur autorisierte Personen Zugang zu Informationen und Systemen haben (z.B. Least-Privilege).
  • Change-Management: Regelmäßige Code Reviews im Rahmen des Entwicklungsprozesses, Einhaltung der intern definierten Change-Management Prozesse (z.B. Standard, Normal, Emergency)
  • Regelmäßige Sicherheitsaudits und -bewertungen: Durchführung regelmäßiger interner und externer Audits und Bewertungen der Systeme, um Schwachstellen zu identifizieren und zu beheben.

Best Practices für die Zusammenarbeit mit Drittanbietern

Die Zusammenarbeit mit Drittanbietern und Outsourcing-Partnern erfordert besondere Aufmerksamkeit im Rahmen von DORA. Folgende Best Practices sollten beachtet werden:

  • Due Diligence und Risikobewertung: Durchführung gründlicher Due-Diligence-Prüfungen und Risikobewertungen vor dem Beginn von Geschäftsbeziehungen mit Drittanbietern.
  • Vertragsgestaltung: Aufnahme spezifischer Sicherheitsanforderungen und eventuell Standardvertragsklauseln in Verträge mit Drittanbietern.
  • Kontinuierliches Monitoring und Auditierung: Etablierung von internen Prozessen für das kontinuierliche Monitoring und die regelmäßige Auditierung der Drittanbieter, um Compliance und Sicherheitsstandards zu gewährleisten.

Notfall- und Wiederherstellungspläne

Die Entwicklung und regelmäßige Überprüfung von Notfall- und Wiederherstellungsplänen ist entscheidend, um die Kontinuität der Geschäftstätigkeit zu gewährleisten. Diese Pläne sollten umfassen:

  • Business Continuity Planning (BCP): Erstellung von Plänen zur Aufrechterhaltung der Geschäftstätigkeit bei IT-Ausfällen oder Cyberangriffen.
  • Desaster Recovery Planning (DRP): Entwicklung von Strategien zur schnellen Wiederherstellung von IT-Systemen und Daten nach einem Vorfall.
  • Regelmäßige Tests und Übungen: Durchführung regelmäßiger Tests und Übungen der Notfall- und Wiederherstellungspläne, um ihre Effektivität zu gewährleisten. Die Verordnung fordert hier eine Reihe von Szenarien wie zum Beispiel Cyberangriffe, Nichtverfügbarkeit von kritischem Personal, Insider Angriffen, uvm.

Die Implementierung dieser Maßnahmen im IT-IKS ist eine kontinuierliche Aufgabe, die eine enge Zusammenarbeit zwischen den „Three lines of defense“ und dem Management erfordert. Durch die proaktive Anpassung an die Anforderungen von DORA können Finanzinstitute nicht nur regulatorische Strafen vermeiden, sondern auch ihre operationale Resilienz gegenüber einer Vielzahl von Bedrohungen stärken.
Im nächsten Teil werden wir uns Themen und Empfehlungen für die Interne Revision widmen, die bei der Umsetzung und Überwachung von DORA beachtet werden sollten.

Umgang mit technologischem Wandel und Innovation

Die schnelle Entwicklung von Technologien stellt eine kontinuierliche Herausforderung für die Einhaltung von DORA dar, insbesondere in Bezug auf die Bewertung neuer Risiken und die Anpassung der Kontrollen.

  • Empfehlung: Entwickeln Sie einen Prozess für die kontinuierliche Beobachtung und Bewertung technologischer Innovationen und Trends. Dies sollte eine regelmäßige Überprüfung und gegebenenfalls Anpassung des IKS und der Risikomanagementstrategien umfassen, um neue Risiken proaktiv zu erfassen und zu adressieren.

Themen und Empfehlungen für die Interne Revision

Die erfolgreiche Umsetzung und Aufrechterhaltung der Anforderungen des Digital Operational Resilience Act erfordert von der internen Revision nicht nur eine umfassende Überwachung der IKT- und Sicherheitsmaßnahmen, sondern auch ein proaktives Engagement für die kontinuierliche Verbesserung der operationalen Resilienz. Hier sind Themen und Empfehlungen, die interne Auditoren in diesem Kontext beachten sollten.

Schaffung einer Resilienzkultur und Förderung von Risikobewusstsein

Interne Auditoren spielen eine entscheidende Rolle bei der Gewährleistung, dass ihre Organisationen nicht nur die Anforderungen von DORA erfüllen, sondern auch eine Kultur der Resilienz und des Risikobewusstseins fördern.

  • Empfehlung: Arbeiten Sie eng mit dem Management und den IT-Abteilungen zusammen, um eine ganzheitliche Sicht auf die operationale Resilienz zu fördern. Dies beinhaltet die Unterstützung bei der Entwicklung effektiver Strategien zur Risikominderung, die Durchführung unabhängiger Überprüfungen und die Bereitstellung strategischer Einblicke, um die Widerstandsfähigkeit der Organisation zu stärken.

Integration von DORA in die reguläre Risikoüberwachung

DORA sollte nicht als isoliertes Projekt betrachtet werden, sondern als integraler Bestandteil der regelmäßigen Risikoüberwachungs- und Bewertungsprozesse der Organisation.

  • Empfehlung: Stellen Sie sicher, dass die durch DORA vorgeschriebenen Risikomanagementpraktiken und -kontrollen in die regelmäßigen Risikobewertungszyklen der internen Revision integriert werden. Dies beinhaltet die Anpassung von Auditplänen, um spezifische DORA-Aspekte regelmäßig zu überprüfen und zu bewerten.
    Die Anpassung an die Anforderungen von DORA und die Stärkung der operationalen Resilienz sind fortlaufende Prozesse. Interne Auditoren müssen daher aktiv bleiben, sich kontinuierlich weiterbilden und eng mit anderen Organisationseinheiten zusammenarbeiten, um zu gewährleisten, dass ihr Institut nicht nur compliant ist, sondern auch gut auf zukünftige Herausforderungen und aufsichtsrechtliche Prüfungen vorbereitet ist.

Fazit

Die Einführung des Digital Operational Resilience Act markiert einen wesentlichen Schritt hin zu einer stärkeren und ganzheitlichen digitalen operationalen Resilienz im europäischen Finanzsektor. Für die interne Revision von Finanzinstituten bringt diese regulatorische Veränderung sowohl Herausforderungen als auch Chancen mit sich. Durch die Überwachung der Einhaltung der Verordnung können sie einen wesentlichen Beitrag zur Stärkung der Sicherheit, Stabilität und Widerstandsfähigkeit ihrer Organisationen leisten.

Die Themen, die in diesem Beitrag diskutiert wurden, unterstreichen die Notwendigkeit einer proaktiven, informierten und integrierten Herangehensweise an die operationale Resilienz. Die Integration von DORA in die reguläre Risikoüberwachung, der Umgang mit technologischem Wandel und die enge Zusammenarbeit mit dem Management und den IT-Abteilungen sind wichtig für den Erfolg in dieser neuen regulatorischen Landschaft.

Die Revision steht an vorderster Front, um sicherzustellen, dass ihre Organisationen nicht nur auf dem Papier compliant sind, sondern tatsächlich widerstandsfähig gegenüber den vielfältigen und sich wandelnden Cyberbedrohungen. Die Rolle der internen Revision wird zunehmend strategischer, da sie nicht nur als Prüfer, sondern auch als Partner für das Management fungiert, um die digitale operationale Resilienz zu fördern.

Die Implementierung von DORA ist kein einmaliges Projekt, sondern ein sich weiterentwickelnder Prozess, der ständige Anpassung und Verbesserung erfordert. In einer Welt, in der die digitale Transformation weiterhin rasant voranschreitet, wird die Fähigkeit einer Organisation, operational resilient zu sein, für Viele ein Wettbewerbsvorteil. Interne Auditoren spielen eine Schlüsselrolle bei der Sicherung dieses Vorteils, indem sie ein tiefes Verständnis für die Risiken und Herausforderungen entwickeln und ihre Organisationen durch die komplexe Landschaft der digitalen operationalen Resilienz leiten.

Zusammenfassend lässt sich sagen, dass DORA den Finanzsektor stärker und widerstandsfähiger gegenüber digitalen Risiken machen wird. Für interne Auditoren bietet dies Gelegenheit, ihre Fähigkeiten zu erweitern, ihre Rolle innerhalb ihrer Organisationen zu stärken und einen wichtigen Beitrag zur langfristigen Sicherheit und des Erfolgs ihres Unternehmens zu leisten.

Die Herausforderung besteht darin, sicherzustellen, dass diese Maßnahmen nicht nur den gesetzlichen Anforderungen entsprechen, sondern auch tatsächlich zur Stärkung der operationalen Resilienz beitragen.

Damit schließen wir unseren umfassenden Blogbeitrag zum Thema Digital Operational Resilience Act aus der Sicht der internen Revision ab. Wir haben die Herausforderungen, Maßnahmen und Themen, die nach der Implementierung von DORA entstehen können, betrachtet und Empfehlungen für eine erfolgreiche Anpassung und kontinuierliche Verbesserung der operationalen Resilienz gegeben. Einige finale Rechtsakte werden noch erscheinen, jedoch wird sich am grundlegenden Inhalt vermutlich nicht viel ändern. Daher sollten wir bereits jetzt schon bei der Analyse und Überprüfung möglicher Gaps unterstützen. Dieser Beitrag soll interne Auditoren dabei unterstützen, ihre Organisationen durch die Anforderungen und Möglichkeiten, die DORA mit sich bringt, zu navigieren und einen wertvollen Beitrag zur Stärkung der digitalen operationalen Resilienz zu leisten.

Am 09. Januar 2024 wurden die „Global Internal Audit Standards“ vom Institute of Internal Auditors (IIA) veröffentlicht, nachdem tausende Personen weltweit an einem mehrjährigen Projekt beteiligt waren. Die Standards treten ein Jahr nach ihrer Veröffentlichung in Kraft, also am 9. Januar 2025. Es besteht kein Grund zu übertriebener Eile, aber Interne Revisor:innen sollten sich proaktiv mit den wichtigsten Änderungen auseinandersetzen. In welchen Bereichen könnte es Abweichungen geben, und welche dieser Abweichungen sollten in den Aktionsplänen Priorität erhalten? Und vor allem: Was müssen Sie kurzfristig wissen?

Mit 119 Seiten sind die Standards keine leichte Lektüre, aber das IIA hat auch eine gekürzte Version herausgegeben, die nur die verbindlichen Leitlinien enthält und die Seitenzahl um die Hälfte reduziert. Vor diesem Hintergrund haben wir die Standards überprüft, um die wichtigsten Änderungen zu ermitteln, die unserer Meinung nach alle Internen Revisor:innen kennen sollten.

Bevor wir in die Materie eintauchen, sollten wir dem International Internal Audit Standards Board (IIASB) unsere Anerkennung für die harte Arbeit, die Konzentration und die sorgfältigen Überlegungen aussprechen, die es in diesen Prozess gesteckt hat. Die Forschungs- und Öffentlichkeitsarbeit zur Weiterentwicklung des International Professional Practices Framework (IPPF) begann 2019 und gipfelte im März 2023 in der Veröffentlichung des Entwurfs der Standards zur öffentlichen Diskussion und Stellungnahme. Artikel, Blogs und Diskussionen in den sozialen Medien häuften sich; wir selbst haben sechs vorgeschlagene Änderungen in einem Blog im April 2023 vorgestellt.

Kurz gesagt, Interne Revisor:innen und andere Stakeholder weltweit haben sich Gehör verschafft – und das IIASB hat zugehört. Das IIASB ist auf die Bedenken und Hauptthemen eingegangen, die sich aus rund 19.000 Kommentaren und mehr als 60 eingelangten Schreiben ergaben, darunter auch diejenigen, die wir bereits in unserem Blog aus dem Jahr 2023 vorgestellt haben. Wir schreiben heute nicht, um die endgültigen Standards zu analysieren oder in Frage zu stellen, sondern um das Bewusstsein für die wichtigsten Änderungen und möglichen kurzfristigen Auswirkungen zu schärfen.

1. Neue Betonung des Dienstes am öffentlichen Interesse

In der Einleitung zu den neuen Standards heißt es, dass das IIA „sich verpflichtet, Standards unter Einbeziehung der Öffentlichkeit und zum Nutzen der Öffentlichkeit zu setzen“, und dass das IIASB „für die Erstellung und Pflege der Standards im Interesse der Öffentlichkeit verantwortlich ist“. In der „Zielsetzung der Internen Revision“ in der Domain I wird betont, dass die Interne Revision die „Fähigkeit der Organisation, dem öffentlichen Interesse zu dienen“, stärkt. Dieser neue Zweck stellt eine nicht triviale Weiterentwicklung des IPPF-Leitbilds dar, das beschreibt, was die Interne Revision in ihren Organisationen erreichen will, indem es eine wichtige Ebene hinzufügt, warum wir tun, und was wir tun. Im Kontext der Internen Revision bezieht sich der Begriff „dem öffentlichen Interesse dienen“ in der Regel auf die Erwartung, dass Interne Revisor:innen in einer Weise handeln sollten, die der Öffentlichkeit insgesamt und nicht nur ihrer eigenen Organisation zugutekommt. Dazu gehört die Gewährleistung von Transparenz, Rechenschaftspflicht und Good Governance in den von ihnen geprüften Organisationen.

Die Standards erkennen den kontextspezifischen Charakter von Fragen des öffentlichen Interesses an und ermutigen dazu, kulturelle Normen und Werte, Ethik, Fairness und mögliche Auswirkungen zu berücksichtigen. Revisionsleiter:innen, die für globale Organisationen tätig sind, können dennoch vor Herausforderungen stehen, da unterschiedliche Auffassungen darüber bestehen, was das Interesse und das Wohlergehen von Gesellschaften auf der ganzen Welt ausmacht.

2. Andere Struktur – logischer und nahtloser

Das natürliche Wachstum des IPPF hatte zu einem „Flickwerk“ geführt, das für einige schwer zu durchschauen war. Durch einen Neuanfang ist es dem IIASB gelungen, alle Schlüsselkomponenten des alten IPPF in eine logischere und intuitivere Struktur zu integrieren. Es gibt jetzt 52 Standards, die in fünf Domains unterteilt sind:

I. Zielsetzung der Internen Revision,
II. Ethik und Professionalität (ersetzt einen eigenständigen Ethikkodex),
III. Governance der Internen Revision,
IV. Leitung der Internen Revision und
V. Erbringung von Revisionsleistungen.

Diese Bereiche umfassen insgesamt 15 Prinzipien; auf alle Prinzipien folgen die zugehörigen Standards (die obligatorischen „Anforderungen“) und die zugehörigen Leitlinien, die als „Überlegungen zur Umsetzung“ bezeichnet werden.

Die neuen Standards ändern die gesamte Struktur und das Nummerierungssystem des IPPF, so dass Revisionshandbücher, Richtlinien, Prozesse und Verfahren, Software, Arbeitsblätter und andere Dokumente, die auf die alten IPPF-Abschnitte und das Nummerierungssystem verweisen, aktualisiert werden müssen. Darüber hinaus kann die Integration von Anforderungen und Anleitungen unter dem Banner der Standards – abgesehen davon, dass ein recht langes und kompliziertes Dokument entsteht – zu Verwirrung über obligatorische und empfohlene Verfahren führen. Letztendlich macht die neue Struktur das Auffinden der benötigten Definitionen, Anforderungen und Anleitungen jedoch intuitiver.

3. Mehr präskriptive Normen

Wir alle verstehen die grundlegende Beziehung zwischen „Richtlinien“ und „Verfahren“. Richtlinien erklären, was erwartet wird, und Verfahren geben detaillierte Anweisungen, wie die Richtlinien ausgeführt werden. Diese Analogie hilft uns, eine grundlegende Veränderung vom alten IPPF zu den neuen Standards zu verstehen. Im Allgemeinen legte das IPPF Grundsätze (Richtlinien) fest, die von den CAEs umzusetzen waren, und die CAEs entschieden, welche Verfahren sie anwenden wollten. Die neuen Standards enthalten jedoch häufig spezifische Verfahren als Standards, so dass sowohl Grundsätze als auch Verfahren gleichzeitig erforderlich sind.

Der Entwurf aus dem Jahr 2023 löste eine heftige Diskussion über diesen erhöhten Vorschriftscharakter aus. Der Entwurf hatte das alte IPPF durch neu formulierte Grundsätze ersetzt, gefolgt von umfangreichen Regeln, die fast alle als „Muss“ bezeichnet wurden. Während die endgültigen Standards die Anzahl der „Muss“-Vorschriften aus dem Entwurf stark reduzieren, enthalten sie immer noch mehr spezifische Anforderungen als das vorherige IPPF. CAEs sollten sich die Zeit nehmen, jeden Standard durchzulesen – vor allem in der Domain V (Erbringung von Revisionsleistungen) – um zu bestätigen, dass die genannten Anforderungen die aktuellen Praktiken widerspiegeln, oder die Praktiken bei Bedarf zu aktualisieren.

4. Weniger Unterscheidung zwischen Prüfungs- und Beratungsanforderungen

Während das alte IPPF klar zwischen Anforderungen für „beratende“ Tätigkeiten unterschied, gelten die neuen Standards sowohl für Prüfungs- als auch für Beratungsleistungen, sofern in den einzelnen Standards nichts anderes festgelegt ist.

In den Antworten auf die Umfrage zum Entwurf wurde die Notwendigkeit einer genaueren und konsistenteren Unterscheidung zwischen den Anforderungen für Prüfungs- und Beratungsaufträgen als eines der wichtigsten Themen genannt. Das IIASB hat daraufhin einige Änderungen vorgenommen. Die Einleitung zur Domain V (Erbringung von Revisionsleistungen) und ausgewählte Standards der Domain V enthalten nun begrenzte Kommentare zur Anwendung auf Beratungsaufträge (siehe 13.2, 13.3, 13.4, 13.6, 14.2 und 14.5). Für CAEs, die eine Vielzahl von Beratungsleistungen erbringen, kann es jedoch eine Herausforderung sein, alle genannten Anforderungen zu erfüllen, insbesondere wenn die Beratungstätigkeit keine Prüfung beinhaltet, wie z. B. bei Moderation, Schulung oder Vorschlägen zu möglichen Änderungen der Unternehmensrichtlinien. Vor allem bestimmte Anforderungen der Domain V dürften sich als schwierig erweisen.

5. Stärkere Betonung der Strategie der Internen Revision, des Aufbaus von Beziehungen und der Kommunikation

Es wurden einige neue Standards geschaffen, die vorher nicht explizit existierten, darunter Standard 9.2 (Strategie der Internen Revision), Standard 11.1 (Aufbau von Beziehungen und Kommunikation mit Stakeholdern) und Standard 12.2 (Leistungsmessung). Wir wissen, dass sich einige Interne Revisionen in der Vergangenheit mit diesen Bereichen befasst haben. Die AuditBoard-Umfrage 2024 „Focus on the Future“ ergab jedoch, dass nur eine von fünf Stellen über einen „umfassenden, gut dokumentierten strategischen Plan“ für die nächsten drei bis fünf Jahre verfügt.

Die neuen Standards erheben dies zu obligatorischen Anforderungen und erzwingen damit wohl einen strategischeren Ansatz für die Internen Revisionen. Den CAEs wird empfohlen, die einschlägigen Standards sorgfältig zu lesen und zu prüfen, ob die neuen Anforderungen erfüllt sind. Möglicherweise sind zusätzliche Details oder Unterlagen erforderlich, um die Konformität nachzuweisen.

Die Standards stellen auch höhere Erwartungen an die Kommunikation der CAEs mit dem Vorstand und der Geschäftsleitung und enthalten klare Vorgaben für die Erörterung bestimmter Angelegenheiten. Viele CAEs werden daher tiefgreifendere und umfassendere Diskussionen führen, als sie es in der Vergangenheit getan haben. In den Anforderungen der Standards für die Domain III (Governance der Internen Revision) werden mehrere „Muss“-Anforderungen für die CAE definiert und bestimmte Tätigkeiten des Leitungs- und Überwachungsorgans und der Geschäftsleitung als „wesentliche Voraussetzungen“ für die Fähigkeit der Internen Revision, den „Zweck der Internen Revision“ zu erfüllen, beschrieben. Wenn der Vorstand oder die oberste Leitung mit den wesentlichen Bedingungen nicht einverstanden ist, muss der CAE nachfassen (d.h. Feedback, Dokumentation).

6. Neue Betonung der Leistungsmessung

Wie bereits erwähnt, verlangt ein neuer Standard (12.2), dass der CAE Ziele zur Bewertung der Leistung der Funktion entwickelt und bewertet, wobei die Beiträge und Erwartungen des Vorstands und der Geschäftsleitung zu berücksichtigen sind. Der Standard schreibt keine spezifischen Leistungsziele vor, aber die entsprechenden Leitlinien enthalten Beispielkategorien wie Prüfungsabdeckung, umgesetzte Aktionspläne, Zufriedenheit der Stakeholder, Prozentsatz der überprüften Schlüsselrisiken und -kontrollen der Organisation usw. Da die „Leistungsmessungsmethodik“ der CAE „die kontinuierliche Verbesserung der Internen Revision fördert“ und gleichzeitig die Fortschritte bei der Erreichung der Ziele der Internen Revision bewerten muss, scheint es von entscheidender Bedeutung zu sein, messbare Kennzahlen in den neu vorgeschriebenen Strategieplan einzubetten.

Für CAEs wird es auch wichtig sein, ihre Leistungsziele mit den Standards abzugleichen, da die Gefahr besteht, dass sie nicht übereinstimmen. Während der Vorstand beispielsweise davon ausgeht, dass das Ziel der Fertigstellung des Prüfungsplans bis zum Jahresende notwendig ist, verlangen die Standards von den Prüfern eine kontinuierliche Risikobewertung und eine entsprechende Anpassung der Pläne. Die Fertigstellung des Plans muss gegen eine flexible und risikoorientierte Vorgehensweise abgewogen werden.

7. Höhere Messlatte für Quality Assessments

Die Standards für die Qualitätsbewertung sowohl für interne als auch für externe Prüfungen haben sich in wichtigen Punkten geändert. Bei beiden Arten von Bewertungen muss nun nicht nur die Einhaltung der Standards, sondern auch die Erreichung der Leistungsziele berücksichtigt werden. Außerdem müssen die CAEs bei externen Bewertungen sicherstellen, dass der unabhängige Assessor oder mindestens ein Mitglied des Assessment Teams über einen aktiven Titel als CIA (Certified Internal AuditorⓇ) verfügt.

Für einige CAEs wird es eine Herausforderung sein, die Umsetzung der neuen Standards bis Januar 2025 abzuschließen. Dementsprechend können CAEs, deren externe Prüfungen im Jahr 2025 anstehen, die Prüfungen nach den alten IPPF-Anforderungen in das Jahr 2024 vorziehen. Diese CAEs sollten auch „Gap Assessments“ im Jahr 2024 in Betracht ziehen, um den Übergang zu den neuen Standards zu erleichtern.

Verpflichtung zu einer sinnvollen Transformation

Für CAEs ist die Veröffentlichung der neuen Standards durch das IIA der Anfang – nicht das Ende – des Prozesses zur Sicherstellung der Konformität. Mit weniger als einem Jahr bis zum Ablauf der Frist für die vollständige Übernahme sollte die Sicherstellung der Konformität in jeder Internen Revisions-Funktion oberste Priorität haben. Wir glauben, dass CAEs zumindest die folgenden Schritte unternehmen sollten:

  1. Überprüfung und Verständnis der neuen Anforderungen in den Standards.
  2. Durchführung einer „Lückenanalyse“, um das Ausmaß der derzeitigen Konformität festzustellen.
  3. Identifizierung der wichtigsten Maßnahmen, die zur Erreichung der vollständigen Konformität erforderlich sind.
  4. Erstellung eines Projektplans zur Behebung von Konformitätslücken mit Meilensteinen und Erfolgsmessungen.
  5. Informieren Sie die wichtigsten Stakeholder über die neuen Anforderungen und halten Sie sie über die Maßnahmen auf dem Laufenden, die zur Erreichung der Konformität ergriffen werden.
  6. Führen Sie ein „Readiness Assessment“ durch, um die Konformität bis 2025 zu beurteilen.

Auch wenn sich der Aufwand, der im nächsten Jahr betrieben werden muss, für die ohnehin schon überlasteten Internen Revisionen wie eine schwere Last anfühlen mag, wird sich die Mühe lohnen. Unsere professionellen Standards unterscheiden uns von einer Vielzahl anderer Risiko- und Überwachungsfunktionen. Konformität ist unabdingbar.

Dieser Fachartikel wurde von Patty Miller und Richard Chambers am 14. Februar 2024 auf www.auditboard.com/blog/7-things-every-internal-auditor-should-know-about-the-new-standards/ veröffentlicht. Wir bedanken uns für die Erlaubnis, diesen Beitrag als deutsche Übersetzung veröffentlichen zu dürfen.

Sie können Ihre Ansichten auch an Richard Chambers direkt richten: blogs@richardchambers.com.

(c) 2023 Richard F Chambers – Übersetzung: Thomas Schwalb

Am 23. und 24. Januar 2024 fand an der Akademie für Interne Revision in Wien das Praxisseminar „Das Zusammenspiel von Corporate Compliance und Interner Revision“ statt. Das Seminarziel war es, die Synergien der Zusammenarbeit von Compliance und Interner Revision aufzuzeigen und Compliance-Prozesse darzustellen, in denen die Interne Revision mit ihrer Arbeit Effizienz- und Effektivitätssteigerungen bewirken kann. Dabei wurden folgende Seminarinhalte anhand von Vorträgen, Fallbeispielen, Erfahrungsberichten aus der Praxis und Gruppenarbeiten vermittelt:

  • Grundlagen von Compliance-Management-Systemen
  • Interne Compliance-Untersuchungen
  • Compliance-Prüfungen und -Audits von Geschäftspartnern
  • Compliance-Kontrollen und -Assessments
  • Compliance-Prozessaudits
  • Fallstudien und Praxistipps

Dieser Artikel bietet einen Überblick über die Seminarinhalte hinsichtlich des effektiven Zusammenspiels zwischen Corporate Compliance und Interner Revision sowie darüber, wie sie gemeinsam zur Stärkung der Unternehmensintegrität beitragen können.

1. Definition und Grundlagen von Corporate Compliance

Corporate Compliance bedeutet Regeltreue bzw. Regelkonformität. Das umfasst die Einhaltung, Steuerung und Kontrolle von gesetzlichen und unternehmenseigenen Regelungen bei der Erfüllung der betrieblichen Aufgaben. Compliance ist aufgrund drohender Rekordgeldbußen und Schadenersatzforderungen in Millionenhöhe bei Compliance-Verstößen von großer Bedeutung. Immer mehr Unternehmen führen daher Compliance-Management-Systeme (CMS) ein, um derartigen Konsequenzen und Reputationsverlusten entgegenzuwirken.

Der Ausgangspunkt für alle Unternehmen ist jedoch gleich: Sie müssen sicherstellen, dass alle einschlägigen Vorschriften beachtet werden. Im Einzelnen ist die Ausgestaltung eines CMS immer unternehmensindividuell vorzunehmen, abhängig von der Branche, in der das Unternehmen tätig ist, aber auch von seiner Größe, Komplexität sowie seiner nationalen und internationalen Positionierung. Compliance in einem Kreditinstitut muss anders aussehen als in einem Pharmaunternehmen, bei einem internationalen Konzern, bei einem mittelständischen Familienunternehmen oder bei einem Unternehmen, das nur am heimischen Markt auftritt.

Demzufolge kann die Einhaltung von Compliance-Anforderungen, die aufgrund der vielen und unterschiedlichen Gesetze, Regelungen und Standards Organisationen auf lokaler, nationaler, internationaler und branchenweiter Ebene betreffen, eine Herausforderung sein. Die Nichteinhaltung kann zu steuerlichen, zivilrechtlichen oder sogar strafrechtlichen Sanktionen führen. Darüber hinaus bringen Rechtsverstöße auch wirtschaftliche Risiken mit sich; im Extremfall kann das bestandsgefährdend für das Unternehmen sein. Außerdem entwickeln sich Gesetze, Vorschriften und Standards ständig weiter. Somit wird Compliance zu einem kontinuierlichen Prozess und ist nicht nur ein einmaliges Projekt.
Ein risikobasierter Ansatz für das CMS ist wichtig. Dies bedeutet, dass ein Unternehmen entscheiden muss, welche Anforderungen, Bedürfnisse und Erwartungen es hat. Die Bedürfnisse im Hinblick auf Compliance-Anforderungen sind anhand der Identifizierung von Compliance-Risiken durch Bezugnahme auf Compliance-Verpflichtungen für seine Aktivitäten, Produkte, Dienstleistungen und relevanten Aspekte seiner Organisation zu eruieren. Ziel dabei ist es, Situationen zu ermitteln, in denen Nichteinhaltung möglicherweise auftreten kann. Bei der Risikobewertung wird festgelegt, welche Risiken die Organisation akzeptieren kann und will. Dabei können die Risiken priorisiert werden und dienen als Grundlage für die Bestimmung des Bedarfs an Kontrollmaßnahmen.

Das Ziel eines CMS muss sein, Compliance-Verstöße zu reduzieren oder ganz zu vermeiden. Somit ist es die Aufgabe der Unternehmensleitung, Risiken aus Compliance-Verstößen zu identifizieren, zu bewerten und zu managen, um diesen möglichst schon präventiv zu begegnen.

2. Definition und Grundlagen der Internen Revision

Die Interne Revision bietet unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, um Mehrwerte zu schaffen und Geschäftsprozesse zu verbessern. Durch ihre systematische und zielgerichtete Herangehensweise bewertet sie die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse.
Als wesentlicher Bestandteil des internen Kontrollsystems trägt die Interne Revision dazu bei, Risiken zu identifizieren, Betrug zu verhindern und die Unternehmensziele sicherzustellen. Unabhängigkeit und Objektivität sind dabei von entscheidender Bedeutung. Sie prüft nicht nur die internen Kontrollen, sondern auch Governance-Strukturen und -Prozesse, um sicherzustellen, dass diese den Best Practices entsprechen.

3. Gemeinsame Ziele und Zwecke

Corporate Compliance und Interne Revision streben gemeinsam danach, Unternehmensintegrität zu gewährleisten, transparente Geschäftspraktiken zu fördern und das Risikomanagement zu verbessern.

Gemeinsamkeiten der beiden Abteilungen können im Überblick sein:

  • Überwachungsfunktion (Interne Revision und Compliance-Organisation sind Teil des Überwachungssystems)
  • Prüfende und beratende Tätigkeit
  • Recht auf Auskünfte und Dokumenteneinsicht im Unternehmen
  • Risikominimierende und präventive Wirkung
  • Compliance-Thema ist ein wichtiges Prüfgebiet der Internen Revision
  • Compliance-Management ist oft in der Internen Revision angesiedelt
  • Unterstützung der Unternehmensleitung
  • Regelmäßige Berichterstattung an die Unternehmensleitung
  • Unterstützung durch die Unternehmensleitung ist wichtig („tone-from-the-top“)

Corporate Compliance und Interne Revision sind zwei unterschiedliche, aber miteinander verbundene Konzepte im Bereich der Unternehmensführung und -kontrolle. Konkrete Ziele der beiden Abteilungen beinhalten auch die Verhinderung und Aufdeckung von Verstößen gegen interne und externe Vorgaben.

In vielen Organisationen arbeiten die beiden Funktionen zusammen, um sicherzustellen, dass das Unternehmen sowohl die gesetzlichen Anforderungen einhält als auch über wirksame interne Kontrollen verfügt.

4. Risikomanagement und Zusammenarbeit

Corporate Compliance und Interne Revision können ebenso zusammenarbeiten, um potenzielle Risiken zu erkennen. Dies ermöglicht eine proaktive Herangehensweise an die Risikominimierung und -prävention.

Überblick gemeinsamer Themenbereiche:

  • Früherkennung von Risiken: Mit der Zusammenarbeit von Corporate Compliance und Interne Revision werden potenzielle Risiken frühzeitig identifiziert, bevor sie zu ernsthaften Problemen werden.
  • Gemeinsame Datenanalyse: Durch den Austausch von Daten und Informationen verbessern beide Funktionen ihre Fähigkeit, Unternehmensdaten zu analysieren und fundierte Entscheidungen zu treffen. Diese effiziente Überwachung unterstützt die Compliance-Abteilung dabei, ihre Maßnahmen zu optimieren und sicherzustellen, dass alle relevanten Vorschriften eingehalten werden.
  • Effiziente Überwachung von Compliance-Maßnahmen: Die Interne Revision unterstützt die Compliance-Abteilung dabei, die Wirksamkeit ihrer Maßnahmen zu überwachen und sicherzustellen, dass relevante Vorschriften eingehalten werden.
  • Kontinuierliche Verbesserung: Durch regelmäßige Kooperation können beide Funktionen ihre Prozesse optimieren und sich kontinuierlich an neue rechtliche Anforderungen sowie geschäftliche Herausforderungen anpassen.

Um ein Verständnis der geltenden Compliance-Anforderungen zu gewährleisten, ist eine klare Kommunikation zwischen der Compliance und der Revisionsabteilung erforderlich. Die Revisionsabteilung sollte über Änderungen in den Vorschriften auf dem Laufenden gehalten werden, und die Compliance-Abteilung sollte regelmäßiges Feedback von der Internen Revision erhalten, um eine kontinuierliche Verbesserung des CMS basierend auf den gewonnenen Erkenntnissen zu ermöglichen.

Da sich die Interne Revision grundsätzlich durch betriebswirtschaftliches Know-how und die Kenntnisse der innerbetrieblichen Strukturen sowie Prozesse auszeichnet, können beispielsweise interne Compliance-Untersuchungen und Reviews federführend von dieser durchgeführt werden. Diese sollte sich wiederum mit der Compliance- und Rechtsabteilung hinsichtlich der Bewertung der Untersuchungsergebnisse abstimmen.

Im Falle einer Zusammenarbeit bei einer Compliance-Untersuchung sollten gemeinsame Ziele für die interne Untersuchung definiert werden, um sicherzustellen, dass diese effizient und effektiv durchgeführt wird. Klar definierte Rollen sind wichtig, um Doppelarbeiten zu vermeiden. Bei komplexen rechtlichen Angelegenheiten sollten sowohl die Compliance- als auch die Interne Revisionsabteilung auf juristische Expertise zurückgreifen, um sicherzustellen, dass die Untersuchung rechtskonform durchgeführt wird. Das Ziel dabei ist es, die Wahrheitsfindung zu unterstützen und Compliance-Verstöße aufzudecken. Es ist von Vorteil, gemeinsame Berichte und Empfehlungen zu erstellen, um die Geschäftsführung über die Ergebnisse der internen Untersuchung zu informieren.

5. Organisatorische Ausgestaltung

Bei der Zusammenarbeit zwischen Interner Revision und Compliance ist es wichtig, dass die Funktionstrennung anhand des „Lines of Defense“-Modells eingehalten wird. Dieses Modell definiert klar die Erwartungen der Aufsicht an das interne Überwachungssystem und soll wie folgt abgebildet werden:

  • Erste Verteidigungslinie: Das operative Management ist für die Identifizierung, Bewertung, Kontrolle und Reduzierung von Risiken im Rahmen des Tagesgeschäfts verantwortlich. Es gewährleistet auch die Übereinstimmung der Aktivitäten mit den Unternehmenszielen.
  • Zweite Verteidigungslinie: Diese umfasst Risikomanagement-, Controlling- und Compliance-Funktionen, um die von der ersten Verteidigungslinie konzipierten Kontrollen zu erweitern und zu überwachen.
  • Dritte Verteidigungslinie: Die Revision fungiert als objektive und von den operativen Themen unabhängige Prüfungsinstanz. Sie unterstützt die Geschäftsleitung, Führungskräfte und Überwachungsinstanzen und stellt Sicherheit über die Angemessenheit und Wirksamkeit der Überwachungs-, Risikomanagement- und Kontrollstrukturen bereit.

Themen wie Datenschutz, Informationssicherheit und Compliance fallen in die Zuständigkeit der zweiten Verteidigungslinie (Risikomanagement, Controlling und Compliance-Funktionen), nicht jedoch in die der Revision als dritte Verteidigungslinie. Die Revision prüft unabhängig, ob die Verantwortlichen ihre Aufgaben wahrgenommen und kontrolliert haben. Damit werden eine Art Gewaltenteilung und mehrstufige Kontrollmechanismen im Unternehmen etabliert.

6. Fazit

Um den wachsenden Anforderungen an Unternehmensintegrität und -performance gerecht zu werden, ist eine enge Zusammenarbeit zwischen Corporate Compliance und Interner Revision von entscheidender Bedeutung. Die enge Zusammenarbeit zwischen Corporate Compliance und Interner Revision schafft eine robuste Tandemstrategie, die nicht nur die Einhaltung von Vorschriften gewährleistet, sondern auch die Effizienz steigert und das Vertrauen der Stakeholder stärkt. Diese koordinierte Anstrengung bildet die Grundlage für eine nachhaltige und erfolgreiche Unternehmensführung.

Zusammenfassend zeigt dieser Artikel, dass das Zusammenspiel von Corporate Compliance und Interner Revision eine entscheidende Rolle für den langfristigen Erfolg eines Unternehmens spielt. Durch die Integration dieser beiden Funktionen können Unternehmen nicht nur rechtlichen Anforderungen gerecht werden, sondern auch eine robuste Grundlage für Integrität, Effizienz und Risikomanagement schaffen.

Are stakeholder relationships a win-or-lose game for internal auditors? The question has intrigued me ever since I started working in the profession. When you deal with so many different people, from so many corners of the business world, across all hierarchies, with a huge variety of backgrounds, from different cultures, with their personal objectives in mind, and all with special ideas about what to expect from the internal auditor, conflicts are inevitable. Adding the perception of our role which does not always fit with what we like to believe we are doing all day long, and you may start wondering how to survive in the stakeholder jungle. Whether you are new in the profession or an old hand, handling stakeholders is a constant challenge.

At the same time, complexity is rising – but so are expectations. We are expected to assure, advise, consult, still tick one or another box (although no one likes to say so anymore), have a clear internal audit strategy, be the eyes and ears of the audit committee, act with courage and honesty by telling the truth when facing dilemmas, and all that obviously without compromising on our independence and objectivity.

For internal auditors, 2024 is certainly not a year to stay complacent – nor a year for a me-against-the-world approach. Without developing sound, supportive, and sustainable stakeholder relationships we won´t cross the finish line. We need alliances to survive the stakeholder jungle. Alliances aren´t built alone out of the corner office. They require collaboration. By acting strategically and staying true to themselves, internal auditors have a chance to develop business relationships built on trust – in other words, authentic sustainable stakeholder alliances.

Endless touchpoints: the stakeholder landscape

Why does it sometimes feel so complex to handle – in an appropriate manner! – all those many business relationships we have in internal audit? It´s due to two main reasons: our stakeholders come in large numbers, and the variety of touchpoints with all of them is massive, providing ample opportunity for challenges. It´s that octopus feeling – you are juggling in all directions, but you easily could do with another set of eight arms.

When trying to list all possible stakeholders for internal audit, it helps to have a simple definition. ChatGPT did a nice job when asked to define a stakeholder in less than eight words: “interested party in a project or an organization”.

Internal stakeholders galore: Start at the top! Your board, audit committee, or whatever is your set-up, is one of the most important stakeholders you may ever have. Be it through reporting lines, one-to-ones, committee meetings, interview partners for your quality assessment, or your client in a culture audit – there are lots of important touchpoints with the governing body. Look further around in your organization. Virtually everyone at some point could become an “interested party” during one of your audits, regardless of hierarchy or role.

On the first line of defense, next to your possible reporting line to someone in the C-suite, the entire management team, central or local, in fact, all the “do´ers”, be it executives or operations, typically could be your client. Also, the entire second line – for example, Legal, Compliance, Risk, Controlling, or IT – might get “interested party” status in providing you with information, could become your client, might work with you on some project or other, or interact with you on Board reporting, to name but a few possibilities.

But don´t forget all the other people in your organization! You might work with them during an audit at some point, but even if that´s never happening, these are still people whom you see day-in, day-out, with whom you may have conversations around the water cooler or go running during lunch time, who are interested in what internal audit does, and who are often great sources of valuable information. And last, but certainly not least, is the audit team. Be it through hierarchy or as an audit colleague, no one is a closer stakeholder than your team.

External stakeholders: From regulators to external auditors, from investors to analysts, from customers to suppliers – all of them at some point may become your stakeholder. This might be through direct touchpoints (reporting to a regulator, regular meetings with external auditors, supporting operations when a client exercises audit rights…), or indirectly: for example, investors will be interested in understanding internal audit´s role in the company´s governance when analyzing the annual report. Add to the list insurers and banks, external counsel and investigators, or anyone else you will start interacting with where the situation requires so (think cyber experts in case of a data breach or a court where you are called for witness), and you may find yourself facing new communication fronts from one day to the next.

Endless room for conflict potential: stakeholder relationship challenges

Putting it simply, there are as many options for stakeholder conflicts as there are combinations of people to interact with and touchpoints to work on. Be it expectation gaps, perception misalignments, cultural mishaps, or “just” communication or behavioral traps – internal auditors walk a very fine line to keep their stakeholder interactions flowing.

Perception gap: While the role of internal audit has been changing over the past few decades, individual perception has not always kept pace. “Policing” or “just tick-the-box” remain common answers to the question “What does internal audit do?”. That might partly be a matter of an individual stakeholder´s attitude, or even of an organization´s culture – but it´s too easy to just throw the blame on the other side. Chances are that internal audit doesn´t explain sufficiently well what’s their purpose, isn´t adding real value, isn´t transparent, or simply doesn´t communicate effectively with the stakeholders to get to the roots of the seemingly incorrect perception. Once trapped in such a gap, it can be very difficult to find common ground for aligning expectations.

Communication mismatch: “We just don´t speak the same language”: who hasn´t yet felt this when interacting with an internal auditor – and vice versa? “Language” in internal audit can take infinite manifestations: foreign language barriers that aren´t overcome; no adaptation to different professional backgrounds that each have a different way of thinking and speaking; audit jargon or client-specific terminology that both keep “untranslated” for the other side; ignored hierarchy and formality requirements; cultural misunderstandings; lack of alignment about the necessary level of detail or the way of stakeholder reporting more generally; or just no real sensor for different personalities and communication styles between auditor and stakeholder.

Absence trap: Is your preferred working style to stay alone at your desk, door closed, phone silenced, meetings cut to a minimum, just doing your job – and not just today, because you need to finish that one urgent report? In other words: are you a silo auditor? If you are one, you might miss out on informal information flow, business “sensing”, risk awareness, or even efficiencies, due to the limited personal interaction. That form of absence vis-à-vis clients or colleagues is unlikely to enhance internal audit´s reputation as an advisor or sparring partner – regardless of how competent the auditor is. The absence trap tends to spiral downwards because due to the lack of stakeholder relationship in the first place, there´s not much room to improve the situation.

Trust lost: Finally, a classic all-stakeholder risk: how easy is it to lose your stakeholder´s trust? The sad answer: it´s extremely easy, and the ensuing, and likely lasting, conflict is evident. It´s sufficient to once do something not so smart: provide a nasty surprise to your CEO at the audit committee, get caught in indiscretion about a client´s information, be unreliable in delivering a report, be incompetent or inefficient, show blatant lack of objectivity, communicate inconsistently… the list of potential trust traps is endless. In addition, most internal stakeholder relationships have more than one side: client, colleague, hierarchical relationship, source of information…. This provides additional room for conflict if trust is lost in one dimension.

Emerging issues don´t help make it any better

If the classics of stakeholder challenges weren´t enough for internal auditors, a working environment that is constantly changing doesn´t make it any easier. Be it risks and related topics that each come with new stakeholder interactions and changing expectations about the auditor´s role, new working methods, and even new professional standards – what all those factors have in common is that they require an internal auditor to adapt constantly.

Risks on the rise: Thinking back a few years, topics such as digital disruption or ESG-related matters such as climate change, human rights, or governance risks might have appeared in a company´s risk register – but chances that internal audit would be expected to spend considerable time on such topics were limited. This has changed entirely. To stay with the examples, according to the IIA Global´s 2024 Risk in Focus report1https://www.theiia.org/en/internal-audit-foundation/latest-research-and-products/risk-in-focus/, digital disruption and climate change have risen dramatically in their expected relevance for internal auditors´ activities three years from now. New topics for internal audit to cover next to their already broad scope of activities often come with new stakeholder interactions (certain departments not in-scope until recently? First-time interaction with suppliers for sustainability due diligence? Working with IT and legal on a changing control set-up for a cloud-based ERP?). Challenges for an already difficult relationship may be on the rise.

New topics, new challenges, new methods: With a widening range of topics to cover, internal auditors need to familiarize themselves with fields of expertise entirely new to them, often driven by changing regulations and fast-moving technology which pose a challenge to the entire organization. Change may be desirable per se, but often pushes the organization on the edge of its capacities and creates additional friction. Add expectations on everyone to work hybrid, agile, entirely digital, and with less resources, and one can easily see how working relationships are reshuffled.

New standards, new expectations: There´s no way around: our profession is undergoing a clear shift in expectations. While just ticking-off checklists might have been the way to proceed until the turn of the century, the early 2000s showed a shift towards more assurance and improvement. Today, more and more are internal auditors expected to advise – on risks, controls, compliance, processes, projects, governance, culture… our scope seems to be endless. Along with the shift came a sense of “upskilling” of expected competencies: away from pure technical know-how towards more focus on personal and relational skills. That makes plenty of sense: why would anyone want to be advised by an internal auditor who isn´t able to build a solid interpersonal relationship with the client?

The new Global Internal Audit Standards, published in early 20242https://www.theiia.org/globalassets/site/standards/globalinternalauditstandards_2024january9_printable.pdf, have explicitly embraced the shift: we are expected to “communicate effectively” (Principle 11), have an “approach…to build relationships and trust with key stakeholders…” (Standard 11.1), document our “plan for managing stakeholder relationships” (example for evidence of conformance of Standard 11.1) and must be “respectful in all professional relationships and communications (Standard 1.1). In short: the new standards have given our behavioral norms a new twist: relationship-building is key.

With this mix of new and emerging challenges for internal auditors to navigate the stakeholder landscape, what can we do to succeed?

Master plan for building sustainable stakeholder alliances

“All business is personal… make your friends before you need them”: Robert L. Johnson has a point3https://www.blackenterprise.com/bob-johnson-bet-quotes-black-history/. While I don´t suggest that internal auditors should make it their overall objective to become best friends with their many business acquaintances, there´s a lot of truth in that stakeholder management is nothing but a people business – it´s the quality of relationships with their stakeholders that make or break an internal auditor´s success story. The good news: it all starts with us.

Start with yourself

Staying true to oneself – authentic leadership as a starting point: Successful business relationships are grounded in knowing oneself and acting accordingly and appropriately. Without self-awareness we won´t understand how we influence – and how we are influenced by others – and we won´t be able to act authentically. The concept of authentic leadership, brought up in 2003 by Bill George, professor at Harvard Business School, doesn´t build on leadership in a purely hierarchical sense. Instead, it builds on authenticity in the meaning of being genuine and true to one´s own beliefs4https://hbr.org/podcast/2007/05/harvard-business-ideacast-43-a. Next to the need for self-awareness, it builds on a clear purpose, on empathy, on strong relationships, and it requires self-discipline to set ourselves high standards and stay accountable. But first and foremost, authentic leadership is based on living one´s core values. The basis of these values, however personal they may be, is integrity. Without a clear sense of integrity – doing the right thing and telling the truth even if it´s uncomfortable – it´s impossible in the long term to establish working relationships based on trust and transparency. Putting it to the extreme: without authenticity and integrity, everything else is fake. Nowadays, fake leaders will be punished by being unfollowed – be it on social media, or by resigning.

Having in mind the stakeholder challenges of internal auditors, how can the concept of authentic leadership be brought to use for our profession?

Codeword integrity: First, it helps to remind ourselves about Principle 1 of the new internal audit standards: “Demonstrate integrity.” Integrity is the core of our profession and the foundation for all other core principles, and it´s the connecting link to authentic leadership – the “True North” of the profession, to stay with Bill George´s terminology. Internal audit provides ample opportunity for grey zones where we must demonstrate integrity – this is where our values are tested under pressure and where we must demonstrate leadership by example.

Self-awareness: Integrity alone, unfortunately, is only a start for helping us navigate stakeholder conflicts. Here, it´s all about understanding why we lead how we lead – or rather, how we influence. As John Maxwell puts it: “Leadership is influence – nothing more, nothing less”.5https://www.businessnewsdaily.com/7481-leadership-quotes.html As an example, why do we have a hard time accepting critical client reactions to our audit report? Why do we shy away from conflicts with some colleagues? Why do we get impatient with certain behaviors but not with others?

Self-awareness means accepting one´s weak spots and working on them. It makes us vulnerable – and if handled appropriately, it makes us behave authentically.

Empathy: Being genuinely interested in others, i.e. not just having audit touchpoints in mind, but also the person we work with, is essential to building trust. “Tough empathy” is a more robust form of empathy. Often defined as giving people what they need and not what they want, it´s typically applied in challenging situations, where it is sought to foster understanding when striking a balance between the issue at hand and the individual´s concern. Appropriately yet respectfully handling situations of under-performance of a team member or being sympathetic but transparent in reporting internal audit findings of a friend´s area of responsibility are examples of tough empathy in internal audit. It demonstrates honesty and the courage to make tough decisions by staying true to oneself.

Other characteristics of authentic business relationships: having a long-term, non-transactional focus that puts mutual benefits first helps to create better acceptance for inherently conflicting stakeholder touchpoints. Being approachable, acting in a consistently reliable manner, and not hiding behind a façade supports an environment of safety and trust that helps to build more sustainable relationships within the complex stakeholder landscape. Authentic leadership requires investment – first and foremost in one´s personal development.

Get strategic

Next to starting with one´s authentic self, internal auditors need to get strategic about their way of interacting with their innumerable stakeholders – we shouldn´t leave it to chance how our business relationships evolve.

Assess your stakeholder environment: Start by mapping out your stakeholder landscape: who are you primarily and secondarily working with? Were there issues in the past? If yes, why? How did you handle them? Are there loose ends that require mending, and what´s your strategy to tackle them? This is a tough assessment where one needs to be honest with oneself. While we must develop a clear understanding of the key touchpoints with our stakeholders, it won´t help to start by throwing the blame on others when assessing where a relationship derailed. Next to the known touchpoints, think about emerging topics – who has only recently appeared on your stakeholder radar, and whom can you expect to get more involved with in the future? Based on what you learned from your assessment, how can you start connecting, and where could it potentially get challenging?

Don´t play stakeholder roulette: One-and-done stakeholder interactions in internal audit were yesterday. Think long-term and have the mutual benefits of your stakeholder relationships in mind – where is common ground in your interaction? As an example, when starting to work with a new client, or when you work with colleagues of another department on a joint project, it helps to have a conversation about how both of you see the long-term benefits of the collaboration. Openly communicating on potential challenges in the working relationship and an honest search for common ground feels disarming and proves your good intentions.

Network with a common purpose: Do you have your personal advantage in mind when you expand your network, or when reaching out to your stakeholders? Or are you defining networking as building and maintaining authentic connections for mutual support and opportunities? Or, third, is “just reaching out to someone” to keep business relationships alive not your thing? Try considering the idea that networking should have a mutually beneficial purpose. Showing genuine interest in the other person is a good start and will always be better received than “fakeworking” – nobody can be fooled by fakes in the long term. Remember: leading is all about influencing – but influencing shouldn´t be confounded with manipulation.

Ask for feedback: While self-awareness is an essential element of successfully navigating stakeholder challenges, it´s equally important to get honest feedback on how others perceive you – there´s always another side of the coin. Be it 360° feedback loops, an external quality assessment with stakeholder interviews, a candid conversation with your key business relationships, or simply an open discussion with a close friend or your partner: it all helps put things in perspective. Honesty is your friend: a humble approach goes a long way when asking for feedback.

Get relevant training: Feedback loops are not a closed system. If receiving feedback makes you realize that there is room for improvement at your end, go for it. Be it professional skills or personal skills – maybe you find it indeed hard to communicate at ease with your board, or you wonder how you can build better rapport with your clients without getting defensive, or be a more inspiring, empathic leader for your team – training options are endless, and better self-awareness through honest feedback is a great starting point. Remember: “The hardest person you will ever have to lead is yourself.”6Source: Bill George (2022): True North – Emerging Leader Edition

Takeaways

  • Building sustainable stakeholder alliances for internal auditors is a must. Silos were yesterday – we won´t succeed without a collaborative, trustful approach that genuinely builds on mutual benefits.
  • Successful relationship development in an ever-increasing, complex stakeholder landscape starts by leading ourselves – without self-awareness we won´t be able to authentically interact with others.
  • Integrity is the common ground between our professional standards and our personal core values if we strive for authentic, lasting stakeholder relationships.
  • Understanding the stakeholder landscape and the challenges, thinking long-term, asking for feedback, and working on our personal missing links is a strategic approach for internal auditors to develop sustainable alliances built on what is entirely under our control – our authenticity.

In einer Zeit, in der Daten längst zu einem der wertvollsten Vermögenswerte von Organisationen geworden sind, steht das Vertrauen in die Datenverarbeitung und adäquater compliance-konformer Archivierung und Löschung dieser an vorderster Stelle. Datenverarbeitung umfasst nicht nur das Sammeln und Speichern von Informationen, sondern auch die Sicherstellung ihrer Integrität, Verfügbarkeit und Vertraulichkeit. Für Revisor:Innen ist die Gewährleistung dieser Vertrauenswürdigkeit von besonderer Bedeutung, um sowohl Mitarbeiter:Innen, als auch Kund:Innen Vertrauen durch einen verantwortungsvollen Umgang mit den anvertrauten Daten zu erlauben.

Eine toolgestützte Data Governance – wie etwa durch die im Folgenden näher beleuchtete Software SAP ILM – schafft die compliance-konforme Basis für den Lebenszyklus von Daten und Informationen. Es spielt eine entscheidende Rolle für Unternehmen und deren Revisor:Innen, um die Qualität, Sicherheit und Integrität von Daten zu gewährleisten. Dadurch wird es ermöglicht Risiken zu identifizieren, Datenlecks zu verhindern und die Datenintegrität zu wahren, wodurch das Vertrauen in die Datenverarbeitung wesentlich gestärkt wird.

Herausforderungen für Revisor:Innen in der Datenverarbeitung

Die fortschreitende Digitalisierung und die stetig steigende Menge an Daten stellen Revisor:Innen vor neue Herausforderungen, die eine Anpassung ihrer Fähigkeiten und Prüfmethoden erfordern. Im Folgenden sind einige der Herausforderungen beleuchtet, denen Revisor:Innen bei der Bewertung der Datenverarbeitung in Unternehmen gegenüberstehen:

  • Wachsende Datenkomplexität: In der heutigen Geschäftswelt entsteht eine immense Menge an Daten, unter anderem u.a. aus finanziellen Transaktionen, Kund:Innen-Informationen, Mitarbeiter:Innen-Informationen/-aufzeichnungen, Betriebs- und Sensordaten. Revisor:Innen müssen diese Daten effizient prüfen und analysieren, um potenzielle Risiken und Unregelmäßigkeiten zu identifizieren. Dies erfordert technisches Verständnis und die Fähigkeit, die richtigen Werkzeuge und Analysemethoden anzuwenden.
  • Sicherstellung von Datenschutz und -sicherheit: Geleitet unter anderem durch das Risiko von Cyberangriffen und Datenschutzverletzungen bietet sich das Prüfthema an, dass sensible Daten angemessen geschützt sind. Das Fehlen angemessener Sicherheitsmaßnahmen – etwa die frühzeitige Identifizierung von Schwachstellen, die Überwachung von Zugriffsrechten oder die Prüfung von Richtlinien – kann zu schwerwiegenden Konsequenzen wie Datenlecks, finanziellen Verlusten und rechtlichen Folgen führen. Die Gewährleistung von Datenintegrität und Vertraulichkeit ist entscheidend, da Verstöße nicht nur das Kund:innenvertrauen gefährden, sondern auch rechtliche und teils finanzielle Konsequenzen haben können.
  • Verlagerung von Prozessen (und Daten) in die Cloud: Durch die zunehmende Verlagerung von Geschäftsprozessen und Daten in die Cloud rückt in das potenzielle Prüffeld der Revisor:Innen, ob die dortige Datenspeicherung und -verarbeitung Sicherheits- und Compliance-Standards entspricht, in den Fokus. Dies erfordert ebenfalls angepasste Prüfmethoden und -werkzeuge, um Datenrisiken auch in dezentralen Umgebungen effektiv zu überwachen.
  • Veraltete Daten: Eine weitere bedeutende Herausforderung für Revisor:Innen in der Datenverarbeitung besteht darin, mit veralteten Daten und ineffizienten Prozessen umzugehen. In vielen Unternehmen werden Daten über einen langen Zeitraum gespeichert, ohne dass klare Aufbewahrungsrichtlinien oder Bereinigungsverfahren vorhanden sind. Die Aufgabe des Unternehmens besteht darin, effiziente Datenmanagementpraktiken zu implementieren. Dies erfordert die Definition klarer Aufbewahrungsfristen, welche in entsprechenden Richtlinien bzw. Konzepten festgehalten werden müssen, um sicherzustellen, dass Daten nur so lange aufbewahrt werden, wie es gesetzlich erlaubt und für die Geschäftsprozesse von Nöten ist. Hierdurch entsteht die Aufgabe, die konträren Interessen von Gesetzgebung und firmeninternen Prozessen abzuwägen und im Rahmen eines aktiv geführten Diskurses zu einer beidseitigen Zufriedenheit beizutragen.
  • Prozessineffizienz und Dateninkonsistenzen: Die Anpassung an neue Technologien und effiziente Datenverarbeitungsprozesse ist eine weitere Herausforderung. Unternehmen setzen kontinuierlich neue Software, Systeme und Datenbanken ein, was dazu führen kann, dass veraltete Technologien und Prozesse parallel existieren. Revisor:Innen können prüfen, dass die Integration und Aktualisierung von Datenverarbeitungssystemen reibungslos verläuft und keine Konflikte oder Dateninkonsistenzen verursacht. Die Prüfung und Optimierung von Datenverarbeitungsprozessen erfordert detaillierte Kenntnisse der Geschäftsabläufe, um sicherzustellen, dass die Datenverarbeitung ordnungsgemäß und auf die Bedürfnisse des Unternehmens zugeschnitten ist. Insgesamt ist es eine wesentliche Aufgabe einer Unternehmensrevision Datenverarbeitungsprozesse auf Effizienz und Transparenz zu prüfen, indem sie mit der IT-Abteilung und den Fachbereichen zusammenarbeiten und die Praktiken kontinuierlich betrachten, um den ständigen Veränderungen in der Datenverarbeitung gerecht zu werden.

Zusammenfassend lässt sich sagen, dass Revisor:Innen vor vielfältigen Herausforderungen durch Datenverarbeitung und dessen Lebenszyklus stehen. Die Bewältigung dieser Herausforderungen erfordert eine kontinuierliche Weiterentwicklung von Fähigkeiten und die Anpassung von Prüfverfahren, um sicherzustellen, dass die ständig wachsenden Anforderungen an Datenmanagement, Sicherheit und Compliance erfüllt werden können. Benutzt das Unternehmen bereits eine Data Governance Software wie SAP ILM, so können viele der dargelegten Herausforderungen proaktiv behandelt und gemanagt werden.

SAP Information Lifecycle Management (ILM)

SAP wird von Unternehmen weltweit verwendet, um verschiedene Geschäftsprozesse und die dazugehörigen Daten und Informationen zu verwalten – darunter Finanzwesen, Personalwesen, Beschaffung, Produktion und vieles mehr.

SAP ILM (Information Lifecycle Management) ist eine spezielle Lösung von SAP, die es Unternehmen ermöglicht, ihre Daten und Informationen effektiv zu verwalten – einschließlich Archivierung, Datenverwaltung, Löschung und Compliance. SAP ILM zeichnet sich durch seine nahtlose Integration in bestehende SAP-Systeme aus, wodurch es Revisor:Innen ermöglicht wird, Datenmanagement und -sicherheit in den täglichen Geschäftsprozessen zu prüfen. Mit SAP ILM können Unternehmen den Lebenszyklus ihrer Daten und Informationen steuern, sensible Daten schützen, Daten längerfristig aufbewahren und die Anforderungen an die Datenschutzregelungen erfüllen. Zudem sei erwähnt, dass SAP ILM kostenfrei seitens SAP zur Verfügung gestellt wird (lediglich ausgewählte Funktionen sind zusätzlich zu erwerben).

Der Fokus auf ein ordnungsgemäßes Managen des Daten-Lebenszyklusermöglicht es Revisor:Innen, die Daten von ihrer Entstehung bis zur Vernichtung zu überwachen und zu kontrollieren. Dies schafft Transparenz und Vertrauen in den gesamten Datenverarbeitungsprozess. Vorhandene Lösungen wie SAP ILM unterstützen Revisor:Innen bei der Prüfung von Datenaufbewahrungsrichtlinien, der Identifizierung und Klassifizierung sensibler Informationen und dem Review einer Zugriffsrechtverwaltung. Darüber hinaus erleichtert es der Revision, die Konformität mit gesetzlichen Anforderungen nachzuverfolgen und sicherzustellen, dass Daten sicher und rechtskonform aufbewahrt und rechtzeitig gelöscht werden. Dieses datenbasierte Lifecycle Management stärkt ebenso die Glaubwürdigkeit der Revisionsprozesse und gewährleistet eine zuverlässige Überwachung der Datenverarbeitung in Unternehmen.

Durch die Integration von SAP ILM in die bestehende IT-Infrastruktur erhalten Revisor:Innen einen ganzheitlichen Überblick über die Datenverarbeitung in Echtzeit. Dadurch wird die Möglichkeit geschaffen, potenzielle Risiken zu identifizieren und proaktiv Maßnahmen zu ergreifen, um Verstöße zu verhindern. Diese Lösung stärkt also das Vertrauen in die Datenverarbeitung und trägt dazu bei, dass Organisationen den strengen Anforderungen der Compliance gerecht werden.

Funktionsweise

SAP Information Lifecycle Management (ILM) bietet vor allem die Möglichkeit zur revisionssicheren Archivierung und Löschung von personenbezogenen Daten. Dies geschieht anhand der vorab in Abstimmung zwischen dem Fachbereich und dem Datenschutz vereinbarten Löschfristen, um sicherzustellen, dass dies zum richtigen Zeitpunkt und gemäß gesetzlicher Vorschriften erfolgt. Ein typischer Aufbewahrungszeitraum könnte beispielsweise sieben Jahre betragen, nach dessen Ablauf die Daten gelöscht werden (= aktuelle Aufbewahrungspflicht in Österreich für Finanzdaten lt. BAO).

Durch die bereits erwähnte Bewegung in Richtung Cloud sind neben einer Performancesteigerung auch die geringeren Kosten als Beweggründe für eine Datenarchivierungs- und Löschlösung anzusehen. Geringere Datenmengen im Produktivsystem verringert die Indexgröße und steigert die Performance. Zudem sind Archivspeicher um ein Vielfaches kostengünstiger als vergleichbare Produktivspeicherlösungen.

Die Löschung von Daten erfolgt in der SAP ILM Lösung wie folgt: Zuerst werden nach Ablauf der Dauer, in welcher Schreibzugriff benötigt wird (= Zweck der Verarbeitung), die Daten in ein Archiv übertragen (= Startpunkt der Sperrzeit), und erst nach Ablauf der definierten Aufbewahrungsfrist endgültig gelöscht.

SAP ILM besteht aus drei Grundmodulen, die zu einer einzigen Software-Lösung kombiniert sind:

  • Datenarchivierung: Dieser Baustein ermöglicht die Verwaltung verschiedener Daten im System, einschließlich Archivierung und gezielter Löschung großer Datenmengen und ganzer Datenbanken. SAP ILM erweitert die traditionelle Datenarchivierung um eine Integration mit anderen Bausteinen und zusätzliche Funktionen wie einer Snapshot-Erstellung.
  • Retention Management: Der Information Retention Manager (IRM) ist ein wesentlicher Bestandteil von ILM und spielt eine zentrale Rolle, indem der gesamte Lebenszyklus der Daten von ihrer Entstehung bis zur gezielten Vernichtung damit regelt wird. Es lassen sich spezifische Regeln für Aufbewahrungsfristen festlegen, und Dokumente können gemäß diesen Fristen vernichtet werden. Durch die Festlegung spezifischer Regeln für Aufbewahrungsfristen ermöglicht der IRM die geordnete Vernichtung von Dokumenten. Dieser Baustein bietet verschiedene Tools und Methoden für alle Aspekte der Datenaufbewahrung und berücksichtigt dabei gesetzliche Vorschriften sowie andere Regelwerke.
  • Retention Warehouse: Das ILM Retention Warehouse vereinfacht die Stilllegung von Altsystemen, indem es sämtliche Daten eines nicht mehr benötigten Systems gemäß ILM-Regeln ordnet und sicher in der ILM-Ablage speichert. Dieser Baustein fokussiert sich auf Szenarien am Ende einer Systemlebensdauer und bietet eine standardisierte Methode zur Stilllegung von Legacy-Systemen (z.B. SAP ECC 6.0 nach einer Transformation auf S/4 HANA). Der Prozess umfasst das Ablegen von Daten des Altsystems in ein Retention Warehouse, gefolgt von der Übertragung der archivierten Daten für Berichts- und Auditzwecke in eine Zielumgebung.

Weitere, für Revisor:Innen relevante Features sind:

  • ILM-fähige Ablage: Die ILM-fähige Ablage stellt sicher, dass die im IRM (Information Retention Manager) erfassten Regeln und Regelwerke korrekt ausgeführt werden. Sie ermöglicht die Integration des Ablagesystems über eine Web-basierte Schnittstelle und die Anwendung von Aufbewahrungseigenschaften.
  • Legal Case Management: Diese Funktion unterstützt die Verwaltung von Daten in Zusammenhang mit rechtlichen Vorgängen. Sie ermöglicht die Anlage von Rechtsfällen und die Verknüpfung relevanter Daten. Dank der Legal-Hold-Funktion können Daten zu Rechtsfällen „eingefroren“ werden, selbst wenn die Aufbewahrungsfrist bereits abgelaufen ist und die Daten eigentlich gelöscht werden würden.

Implementierung von SAP ILM

Die technische Umsetzung von SAP Information Lifecycle Management (ILM) muss in enger Zusammenarbeit zwischen dem:der Datenschutzbeauftragen/-verantwortlichen, der IT-Abteilung und den Fachabteilungen erfolgen. Im Allgemeinen umfasst die technische Implementierung von SAP ILM folgende Schritte:

Systemintegration: SAP ILM wird in die vorhandene SAP-System-Landschaft integriert, um den Daten-Lebenszyklus nahtlos zu überwachen und zu steuern. Dies erfordert eine enge Abstimmung mit den technischen und fachlichen Expert:Innen, um sicherzustellen, dass die Lösung reibungslos in die bestehenden Geschäftsprozesse integriert wird.

Datenklassifizierung: Ein wesentlicher Schritt ist die Klassifizierung von Daten, um festzulegen, welche Daten als sensibel gelten und spezielle Schutzmaßnahmen erfordern. Dies kann mithilfe von Tags und Metadaten erfolgen. Die Klassifizierung der Daten liegt in der Verantwortung der Fachbereiche (= Daten-Owner:Innen).

Erstellung von Aufbewahrungsrichtlinien: Basierend auf den Datenklassifikationen werden Aufbewahrungsrichtlinien erstellt, die festlegen, wie lange Daten aufbewahrt werden sollen und wann sie gelöscht werden können. Die Richtlinie bildet die Basis für die technische Einstellungen je Datenobjekt in SAP ILM.

Überwachung und Steuerung: Auch die Überwachung und Steuerung von SAP ILM will geplant sein: Diese ermöglicht die automatisierte Datenlöschung, wenn die Aufbewahrungsfrist abgelaufen ist.

Die technische Umsetzung von SAP ILM erfordert eine sorgfältige Planung und eine klare Kommunikation zwischen den IT-Expert:Innen, Datenschutzbeauftragten und anderen relevanten Stakeholder:Innen (Fachbereichen). Revisor:Innen sind hier angehalten, die erfolgreiche Implementierung durch eine begleitende Prüfung zu unterstützen. Dies trägt zur Sicherheit und Wirksamkeit des Systems bei und stärkt das Vertrauen in die Datenverarbeitung.

Ziele und Vorteile von SAP ILM

Die Implementierung und Nutzung von SAP ILM bietet mehrere Vorteile für Unternehmen und damit einhergehend auch Revisor:Innen. Zu diesen gehören:

Transparente Datenverarbeitung: Revisor:Innen erhalten einen klaren Überblick über den Daten-Lebenszyklus und können Verstöße und Abweichungen leicht identifizieren.

Effiziente Compliance-Prüfungen: Die Lösung erleichtert die Dokumentation und Überprüfung der Compliance, wodurch Revisionsprozesse effizienter gestaltet werden können.

Datenintegrität und Sicherheit: Die Lösung bietet umfassende Kontrollmechanismen, um die Integrität und Sicherheit von Daten zu gewährleisten. Revisor:Innen können so sicherstellen, dass sensible Informationen vor unbefugtem Zugriff geschützt sind.

Optimierung der Datenverwaltung: SAP ILM ermöglicht eine effiziente Verwaltung des Daten-Lebenszyklus, einschließlich der automatisierten Löschung von Daten, die nicht mehr benötigt werden. Dies führt zu einer Reduzierung von Speicherkosten und einer verbesserten Datenqualität. Durch die optimale Datenarchivierung und die nachfolgende Datenvernichtung mit SAP ILM ergeben sich erhebliche finanzielle Einsparungen. Dies zeigt sich beispielsweise in reduzierten Kosten für Arbeitsspeicher. Gleichzeitig verbessert sich die Effizienz der Datenbank durch den freien Speicherplatz, wodurch es zu einer beschleunigten Datenverarbeitung kommen kann.

Zusätzliche Datenkontrolle: Ein weiterer großer Vorteil von SAP ILM liegt in der gesteigerten Datenkontrolle. Da die Löschung der Daten auf regelbasierten und automatisierten Prozessen beruht, ist eine umfassende Nachverfolgung der Vorgänge im Falle einer Prüfung gewährleistet. Dies erleichtert die Einhaltung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) erheblich – sofern sichergestellt ist, dass konzeptionell korrekte Vorarbeit geleistet wurde und die Implementierung dessen entspricht.

Insgesamt unterstützt SAP ILM nicht nur das Unternehmen, sondern auch die Revisor:Innen dabei, das Vertrauen in die Datenverarbeitung zu stärken, die Compliance sicherzustellen und den Lebenszyklus von Daten effektiv zu managen, was wiederum in einer datengetriebenen Welt von entscheidender Bedeutung ist.

Zukunftsausblick: Die Rolle von SAP ILM in der sich entwickelnden Prüfungslandschaft

Die Prüfungslandschaft unterliegt einem kontinuierlichen Wandel, da sich Unternehmensprozesse und die genutzten IT-Systeme in Zeiten der Digitalisierung stetig verändern und damit die Prüflandschaft um einige neue Themen erweitert wird.

In diesem sich verändernden Umfeld wird SAP Information Lifecycle Management (ILM) voraussichtlich eine noch prominentere Rolle spielen. Die steigende Menge an Daten und die verschärften gesetzlichen Vorschriften und die S/4 HANA Transformation werden die Bedeutung effizienter Datenverwaltung und Compliance weiter unterstreichen.

Darüber hinaus wird die Integration von SAP ILM mit neuen Technologien wie künstlicher Intelligenz (KI) und maschinelles Lernen eine tiefgreifendere Überwachung und Analyse von Daten ermöglichen. Revisor:Innen können von fortschrittlichen Analysewerkzeugen profitieren, um Muster und Anomalien in den Daten zu erkennen und Compliance-Verstöße proaktiv zu identifizieren.

Hier sind einige, potenziell absehbare zukünftige Prüfungsanforderungen:

  • Erweiterte Datenanalytik und KI: Revisor:Innen werden verstärkt auf Analysetools und KI-Technologien angewiesen sein, um große Datensätze effizient zu prüfen und um Muster, Anomalien und Compliance-Verstöße zu erkennen. Die korrekte Datenbasis hierfür stellt SAP ILM sicher.
  • Cybersicherheitsprüfungen: Da Cyberangriffe zunehmen, werden Prüfungen von Cybersicherheitsmaßnahmen und -praktiken eine wachsende Bedeutung erlangen, um die Risiken für Datenverluste und Datenschutzverletzungen zu minimieren. SAP ILM unterstützt proaktiv das Recht auf Vergessen lt. der Datenschutzgrundverordnung umzusetzen.
  • Datentransparenz und -integrität: Die Prüfung von Datenintegrität und -transparenz wird essentiell sein, um sicherzustellen, dass Unternehmen die Genauigkeit und Vollständigkeit ihrer Daten gewährleisten können.
  • Verwaltung von unstrukturierten Daten: Die Prüfung von unstrukturierten Datenquellen wie E-Mails, sozialen Medien und anderen digitalen Kommunikationskanälen wird an Bedeutung gewinnen, da sie in Unternehmen zunehmend für die Datenverarbeitung genutzt werden. Eine korrekte Archivierung und Löschung muss bestehen.

In Anbetracht dieser zukünftigen Prüfungsanforderungen werden Revisor:Innen vermehrt auf technisches Wissen und die Anwendung fortschrittlicher Prüfungsmethoden angewiesen sein. Die Fähigkeit zur effektiven Zusammenarbeit mit IT- und Security-Expert:Innn sowie den Fachbereichen und die Nutzung von spezialisierten Prüfungstools wird unerlässlich sein, um den steigenden Anforderungen gerecht zu werden und die Datenverarbeitung transparent, sicher und compliant zu gestalten.

Zusammenfassung

In einer Ära des exponentiellen Datenwachstums und der rasanten technologischen Entwicklung stehen Revisor:Innen vor immer komplexeren Aufgaben. Ihre Rolle bei der Gewährleistung von Datenintegrität, Datenschutz und Compliance ist von entscheidender Bedeutung, um das Vertrauen in die Datenverarbeitung zu stärken und Risiken zu minimieren.

SAP Information Lifecycle Management (ILM) bietet eine leistungsstarke Lösung, um Revisor:Innen bei ihren Aufgaben zu unterstützen, insbesondere in Bezug auf die Prüfung von Datenaufbewahrung und -löschung, Datenklassifikation und -kategorisierung, Revisionssicherheit und Nachvollziehbarkeit. Mit dem richtigen Wissen, den geeigneten Tools und der kontinuierlichen Anpassung an sich ändernde Anforderungen werden Revisor:Innen auch weiterhin eine Schlüsselrolle bei der Prüfung und Überwachung der Datenverarbeitung in Organisationen spielen.

Die Sicherung und die Auswertung von Daten gehören zu den Kernelementen einer internen Untersuchung. Es ist daher wichtig, schon bei der Vorbereitung zu verstehen, welche (personenbezogenen) Daten im Lauf der Untersuchung benötigt werden, wo diese zu finden sind und welche Bedeutung die Daten haben. Besondere Herausforderungen ergeben sich im Zusammenhang mit Home-Office, Privatnutzung von Betriebsmitteln und bring-your-own-device (BYOD) Lösungen. Die Autoren erörtern praktische Aspekte bei der Sicherung von Daten und ergänzen diese mit betriebsverfassungs- und datenschutzrechtlichen Ausführungen.

Dieser Artikel wurde erstmals am 19. November 2023 hier veröffentlicht: www.eichler-law.com/post/internal-investigations-sicherung-von-daten

1. Nutzerprofil und Daten

Ausgangspunkt einer internen Untersuchung ist der Verdacht einer Rechtsverletzung oder einer Verletzung von internen Vorschriften. Zum Zeitpunkt der ersten Verdachtslage ist häufig noch nicht klar, welche Personen in den Fall involviert sein könnten (sind nur Mitarbeiter oder auch Externe betroffen?), welcher Zeitraum für die Untersuchung relevant sein könnte und welche Fragen beantwortet werden müssen.

Im ersten Schritt sind daher Informationen zum Beschäftigungsverhältnis, zum Aufgabenbereich des Mitarbeiters und zum Identity- und Accessmanagement einzuholen. In der Folge werden die wesentlichen Eckpunkte der Untersuchung festgelegt; folgende Fragen müssen beantwortet werden:

  • Wie zeitkritisch ist die Untersuchung?
  • Wer leitet operativ die Untersuchung?
  • Wie setzt sich das interdisziplinäre Team zusammen?
  • Wie ist der Untersuchungsgegenstand und der Untersuchungszeitraum definiert?
  • Sollen externer Berater beigezogen werden?
  • • Welche Informationen bzw Daten sind für den Fall wesentlich?

Der letzte Punkt wird nun genauer betrachtet. Aufgrund der technischen Entwicklung sind relevante Informationen kaum noch in physischer Form vorhanden.

Typischerweise sind Daten aus folgenden Anwendungen bzw Geräten relevant:

  • Microsoft Outlook (Emails, Kalendereinträge, Aufgaben, Notizen)
  • Sonstige Kommunikationsdaten (zB WhatsApp, SMS, MS Teams)
  • ERP-Systeme (zB SAP, Microsoft Dynamics)
  • HR-Systeme (zB SAP)
  • CRM-Systeme (zB Salesforce)
  • Zutrittskontrollsysteme
  • Zeiterfassungssysteme
  • Intelligente Multifunktions-Netzwerkdrucker
  • Notebooks und mobile Geräte (Smartphones, Tablets)

Bei der Vorbereitung der Untersuchung kommt es daher darauf an, zu verstehen, welche Daten mit einem spezifischen Nutzerprofil verbunden sind. Konkret, zu welchen Anwendungen der Mitarbeiter Zugang hat, ob diese für den Fall relevant sein könnten, welche Aussagekraft diese Daten haben und wie insbesondere volatile Daten für eine spätere Auswertung gesichert werden können. Dazu ist ein zentrales Identity- und Accessmanagement hilfreich.

Die Maßnahmen, die zur Datensicherung notwendig sind, müssen rasch und forensisch fundiert gesetzt werden. Nichts ist ärgerlicher, als im Zuge der Untersuchung feststellen zu müssen, dass Daten gelöscht wurden, weil diese nicht rechtzeitig gesichert wurden. Oft ergibt sich die Bedeutung der Daten erst bei der Korrelation von verschiedenen Datenquellen.

Beispiel: In einem Fall ging es um die Frage, wer eine vertrauliche Vereinbarung unberechtigt an Dritte weitergegeben hatte. Im Zuge der Untersuchung kam hervor, dass die Vereinbarung am zentralen Server unter „ABC_1_5_18“ abgespeichert war und in zeitlicher Nähe zur Weitergabe ein Ausdruck eines Dokuments mit der Bezeichnung „ABC_1_5_18“ erfolgte. Möglich war dies durch den Abgleich von Druckaufträgen des Printservers mit am Server gespeicherten Dokumenten. In der Folge fokussierte sich die Untersuchung auf die Person, die den Druckauftrag erteilt hatte.

Vor voreiligen Schlüssen im Zusammenhang mit der Auswertung von Daten wird allerdings gewarnt. Selbst wenn es naheliegend erscheint, dass die Person, die den Druckauftrag erteilt hat, die Vereinbarung auch weitergegeben hat, ist dies damit nicht bewiesen. Objektivierbar war lediglich, dass ein Dokument, mit derselben Bezeichnung wie die unrechtmäßig weitergegebene Vereinbarung von einer Person unter Verwendung eines bestimmten Nutzerprofils ausgedruckt wurde.

Manche Täter verschleiern ihre Handlungen und nützen die Gutgläubigkeit ihrer Kollegen aus. Etwa indem sie sich Zugangsdaten beschaffen und sich mit deren Nutzerprofil einloggen. In einem Fall wurde ein Mitarbeiter, der kurz vor der Pensionierung stand, ersucht, seine Login-Daten zur Verfügung zu stellen. Der Grund dafür war, weil mit seinem Nutzerprofil weitergehende SAP-Berechtigungen verbunden waren. Ihm wurde vorgespielt, die SAP-Berechtigung sei notwendig, um Rechnungen zu prüfen.

2. Forensic Readiness

Größere Unternehmen sollten sich mit den unter Punkt 1. angeführten Überlegungen nicht erst im Anlassfall auseinandersetzen. Sinnvoll ist, rechtzeitig Vorbereitungen für den Fall einer Untersuchung mit digitaler Beweissicherung und Auswertung zu treffen (forensic readiness). Dies deshalb, weil Untersuchungen auch durch Behörden erfolgen können. In solchen Situationen ist es vorteilhaft, wenn Klarheit besteht, welche Daten wo vorhanden sind und wie bei einer freiwilligen Herausgabe oder im Fall einer Hausdurchsuchung zu verfahren ist. Möglicherweise müssen auch zeitnahe eigene Untersuchungen durchgeführt werden. Dann ist es wesentlich zu wissen, welche Aufgaben parallel oder sequenziell zur behördlichen Untersuchung erledigt werden können.

3. Verhindern des Löschens von Daten

Zu Beginn einer Untersuchung ist die wichtigste Maßnahme das Löschen von Daten, insbesondere von Emails zu verhindern bzw. auszusetzen. Dazu wird von einem Administrator in Microsoft Office 365 eine Einstellung vorgenommen, die auf Nutzerseite bewirkt, dass dieser Emails nicht löschen kann (litigation hold). Werden Emails vom Nutzer gelöscht, erscheinen diese zwar für den Nutzer als gelöscht, bleiben aber dennoch erhalten. Der Administrator kann auswählen, ob der litigation hold für den Nutzer sichtbar sein soll oder ob die Einstellung verborgen bleibt.

Das Löschen von Daten muss nicht in der Absicht erfolgen, Beweise zu vernichten. Es kann sich auch um routinemäßiges Löschen oder Überschreiben handeln, zB um festgelegte Aufbewahrungsfristen umzusetzen. Insofern ist es wichtig zu verstehen, für welchen Zeitraum die Untersuchung erfolgen soll und ob für diesen Zeitraum überhaupt noch Daten vorhanden sind.

4. Backups und Wiederherstellen von gelöschten Daten

Auch wenn Daten gelöscht sind, sind diese möglicherweise in on-site oder off-site Backups gespeichert. Bereits gelöschte Daten können oft wiederhergestellt werden, dies gilt jedenfalls für Datenträger und eingeschränkt für Mobilgeräte. Dazu ist ein funktionierendes Bitlocker- und Mobility-Management unabdingbar, im Idealfall kombiniert mit forensischen Endpoint-Lösungen zur Erstsichtung (forensische Triage) und zur auch Beweissicherung.

5. Forensisches Konservieren von Daten

Sinnvollerweise werden zunächst alle Sicherungsmaßnahmen gesetzt, die zentral und ohne Beteiligung von betroffenen Mitarbeitern erfolgen können. Damit bleibt die Untersuchung geheim und es besteht keine Gefahr, dass Daten absichtlich gelöscht werden. Zentral können etwa Daten gesichert werden, die sich auf Unternehmensservern oder Cloud Anwendungen wie zB Microsoft 365 und Microsoft Azure befinden. Die Sicherung erfolgt, indem eine möglichst originalgetreue Kopie der Daten erstellt wird (forensic snapshot in time).

Nach Abschluss der zentralen Sicherungsmaßnahmen können die de-zentralen Sicherungsmaßnahmen durchgeführt werden. Darunter fallen firmeneigene Notebooks, Smartphones und Tablets. Die Sicherstellung erfolgt durch Übergabe oder Fernsicherung mittels Endpoint-Agents. Bei der Verwendung von Endpoint-Agents ist auch eine schnelle Erstsichtung möglich.

Beim physischen Sicherstellen von Notebooks, Smartphones und Tablets und beim nachfolgenden Kopieren der Daten ist darauf zu achten, dass diese entsprechend den best practices der digitalen Forensik konserviert werden und durch Prüfsummen (hashes) identifiziert werden können. Dies gilt auch bei zentralen Sicherungen oder Cloud-Backups. Damit wird sichergestellt und dokumentiert, dass die Daten unverfälscht und originalgetreu übergeben bzw kopiert wurden und im Laufe der Untersuchung auch nicht verändert werden (chain of custody).

Erfolgt die Datensicherung nicht lege artis, könnte der Beweiswert beeinträchtigt und der Vorwurf der Manipulation oder Kontamination der Daten erhoben werden.
Ein Zugriff auf unternehmenseigene Notebooks, Smartphones und Tablets ist immer dann geboten, wenn davon auszugehen ist, dass sich auf den Geräten Informationen befinden, die nicht (zentral) abgelegt wurden. Beispielsweise wurden in einem kartellrechtlichen Fall in einer WhatsApp-Gruppe Informationen zu Preisen zwischen Mitbewerbern ausgetauscht.

6. Home-Office/Teleworking

Die Arbeit im Home-Office bringt neue Herausforderungen für interne Untersuchungen. Der Arbeitnehmer unterliegt zwar der Pflicht, sämtliche Arbeitsprodukte herauszugeben bzw seinem Arbeitgeber zu überlassen. Dies gilt auch für Dokumente, die sich in seinen privaten Räumlichkeiten befinden. Dem Arbeitgeber kommt aber kein Recht zu, die privaten Räumlichkeiten des Arbeitnehmers zu betreten. Die Überprüfung dieser Verpflichtung ist – wenn der Arbeitnehmer behauptet, nicht im Besitz der Dokumente zu sein – daher faktisch nicht möglich.

Etwas anders gelagert ist die Herausgabe von betrieblichen Notebooks und Smartphones. Hier liegt das Risiko darin, dass der Arbeitnehmer Kenntnis von der Untersuchung erlangt und er aufgrund der fehlenden Anwesenheit im Unternehmen den physischen Zugriff des Arbeitgebers auf Notebooks und Smartphones verzögern kann. Die gewonnene Zeit kann dann zum Löschen oder Zerstören genützt werden. Es hängt daher maßgeblich vom Geschick des Untersuchungsleiters ab, die Beweissicherung so zu gestalten, dass ein Zugriff auf die Hardware in einer Weise erfolgt, die ein temporäres Zurückbehalten bzw Löschen nicht erlaubt.

7. Bring-your-own device (BYOD) und Privatnutzung von Betriebsmitteln

Der Zugriff auf private Geräte ist für Arbeitgeber grundsätzlich nicht zulässig. Ausgenommen wäre ein auf dem Gerät definierter geschäftlicher Bereich, sofern ein Zugriff auf diesen Bereich für den Fall einer Untersuchung vereinbart wurde. Von derartigen BYOD-Lösungen ist abzuraten, sie stellen nicht nur ein Sicherheitsrisiko dar, sondern sind bei fehlender Kooperation durch den Mitarbeiter der Untersuchung gänzlich entzogen. Grundsätzlich ist auch zu empfehlen, die Privatnutzung von Betriebsmitteln zu untersagen, da nicht nur erhöhte Sicherheitsrisiken bestehen, sondern im Fall einer Untersuchung die Beweissicherung und insbesondere die nachfolgende Auswertung durch die Vermischung von geschäftlichen Daten mit privaten Daten erheblich komplizierter wird.

8. Betriebsverfassungsrecht

Im Zusammenhang mit internen Untersuchungen wird immer wieder die Ansicht vertreten, dass der Betriebsrat beigezogen werden müsse. Auch wenn im Einzelfall eine freiwillige Beiziehung aus unternehmenspolitischen Gründen sinnvoll sein kann, gibt es für eine verpflichtende Beiziehung keine rechtliche Grundlage. § 96 Abs 1 ArbVG sieht für gewisse betriebliche Maßnahmen vor, dass sie der Zustimmung des Betriebsrates bedürfen. Zu diesen zustimmungspflichtigen Maßnahmen zählen auch Kontrollmaßnahmen, die die Menschenwürde berühren. Die bloße Sicherung von Daten ist allerdings schon objektiv nicht geeignet Arbeitnehmer zu kontrollieren. Eine Kontrolle im Sinn des Arbeitsverfassungsgesetzes ist nur in Verbindung mit einer Auswertung der Daten möglich. Zudem erfordert die Kontrollmaßnahme eine gewisse Dauerhaftigkeit, diese ist bei zeitlich abgegrenzten Untersuchungen nicht gegeben. Auch wenn es zu einer Auswertung der Daten käme, würde dies nichts am Ergebnis ändern: Unter dem Begriff der Kontrollmaßnahme sind nämlich nur generelle und nicht individuelle Maßnahmen zu verstehen. Das heißt, Untersuchungsmaßnahmen erfüllen nur dann den Tatbestand des § 96 ArbVG, wenn es sich um betriebsbezogene kollektive Kontrollen handelt. Das ist aber bei der einzelfallbezogenen Aufklärung von Vorwürfen, die sich gegen individuelle Mitarbeiter richten nicht der Fall.

9. Datenschutz

Die Sicherung betrieblicher Kommunikationsdaten fällt aufgrund des vorhandenen Personenbezugs unter den Anwendungsbereich des Art 4 DSGVO. Auch ohne Auswertung der Daten liegt beim Sichern der Daten ein Erheben bzw Erfassen von personenbezogenen Daten vor. Der Zweck der Datenverarbeitung liegt in der Aufklärung von Verdachtsmomenten hinsichtlich einer Gesetzesverletzung.

Da die zu verarbeitenden Daten ursprünglich für andere Zwecke erfasst wurden (etwa zum Abwickeln einer Lieferantenbeziehung), stellt die Nutzung dieser Daten für eine interne Untersuchung eine Zweckänderung dar. Die Weiterverarbeitung dieser Daten bedarf daher einer (neuerlichen) Rechtfertigung gemäß Art 6 ff DSGVO. Deshalb ist vor Durchführung einer Untersuchung im Einzelfall die Rechtfertigung gemäß Art 6 Abs 1 lit a bis f DSGVO zu prüfen und zu dokumentieren.

IT-Dienstleister, Sachverständige und Anwälte, die personenbezogene Daten auf Weisung des Unternehmens sichern und später auswerten, sind Auftragsverarbeiter. Mit ihnen ist eine Vereinbarung über die Auftragsverarbeitung abzuschließen.

Die Datenverarbeitung ist zulässig, wenn zumindest einer der in Art 6 Abs 1 DSGVO aufgezählten Gründe vorliegt. Einschlägig ist Art 6 Abs 1 lit f DSVGO, demnach ist eine Datenverarbeitung erlaubt, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Im konkreten Fall ist eine Interessenabwägung durchzuführen. Weiters ist zu bedenken, dass als Begleitmaßnahme der Betroffene zu informieren ist. Der Informationspflicht muss aber nicht sofort nachgekommen werden, wenn die Mitteilung den Zweck der Untersuchung vereiteln könnte. In diesem Fall ist die Mitteilung nachzuholen, sobald dies ohne Gefährdung der Untersuchung möglich ist.

Weiters muss die interne Untersuchung in das Datenverarbeitungsverzeichnis des Unternehmens und in das des Auftragsverarbeiters aufgenommen werden. Im Fall der nachfolgenden Auswertung der Daten muss durch das Unternehmen als Verantwortlicher eine Datenschutz-Folgenabschätzung vorgenommen werden.

10. Strafrecht

Personen, die von der Untersuchung betroffen sind, haben in erster Linie arbeitsrechtliche Konsequenzen vor Augen. Sollten Mitarbeiter darüber hinaus versuchen, die Untersuchung durch die Vernichtung von Dokumenten und Daten zu torpedieren, kommen auch strafrechtliche Konsequenzen in Betracht. Dies gilt insbesondere dann, wenn Behörden in die Untersuchung involviert sind. Zu denken ist an Datenbeschädigung, Urkundenunterdrückung, Beweismittelunterdrückung und Fälschung eines Beweismittels.

11. Dokumentation

Die gesicherten und ausgewerteten Daten sind eine wesentliche Basis für den Bericht. Der festgestellte Sachverhalt muss sich schlüssig auf die Beweisergebnisse rückführen lassen. Auch wenn keine Beweismittel für ein Gerichtsverfahren gesammelt werden sollen, sollte schlüssig nachvollziehbar sein, weshalb bestimmte Beweismittel erhoben wurden und auf welche Beweismittel verzichtet wurde. Auch außerhalb eines Gerichtsverfahrens kann es dazu kommen, dass der Bericht von betroffenen Mitarbeitern hinterfragt wird. Überhaupt empfiehlt es sich die Sicherung und Auswertung von Beweisen, einschließlich der Beweiswürdigung und die Verfassung des Berichts mit Blick auf die Grundsätze der Zivil- bzw Strafprozessordnung durchzuführen. Zwar gibt es für unternehmensinterne Untersuchungen keinen eignen gesetzlichen Rahmen, die Qualität eines Berichtes tritt aber zu Tage, wenn der Bericht die Grundlage für arbeitsrechtliche Maßnahmen oder für eine Anzeige bildet. Die Untersuchung unterliegt dann im gerichtlichen Verfahren einer indirekten Nachprüfung. Möglicherweise enthält der Bericht sogar kreditschädigende Behauptungen, die sich nicht auf Beweisergebnisse rückführen lassen. Interne Untersuchungen sollten daher von Personen geführt werden, die nicht nur Unternehmenserfahrung, sondern auch anwaltliche Prozesserfahrung haben. Idealerweise wird ein Bericht so verfasst, dass der Bericht – würde es sich um ein Urteil handeln – nicht durch ein Rechtsmittel erfolgreich bekämpft werden könnte.