Technology

CIO Advisory

Die IT-Strategie muss die zentralen Unternehmensziele wirkungsvoll vorantreiben – gerade in einem sich stetig wandelnden Markt. 

• Wir verstehen uns als Ihr strategischer Partner und bieten den fundierten Einstiegspunkt für die Entwicklung einer zukunftsorientierten IT-Strategie. Wir übersetzen strategische Fragen in eine pragmatische Roadmap und konkrete Digitalisierungsvorhaben. Wir helfen Ihnen, Geschäftsziele und Technologieinvestitionen in Einklang zu bringen und eine klare Vision für Ihre zukünftige Architektur zu entwickeln. 
• Unser Service ist darauf ausgerichtet, die langfristige Wettbewerbsfähigkeit zu sichern und die Anpassungsfähigkeit (Resilienz) Ihrer Organisation zu steigern. Wir integrieren dabei vorausschauend regulatorische Risiken (z.B. EU NIS-2-Richtlinie) und schaffen die Basis für datengetriebene Entscheidungen mittels Data & Analytics.
• Wir unterstützen Sie bei einer Umsetzung Ihrer IT-Strategie – von der Definition großer Transformationspfade (z.B. Cloud-Migration, Digitalisierung von Kernprozessen) bis hin zur operativen Skalierung. Dabei verbinden wir strategische Beratung mit technischer Expertise, Branchenwissen und operativen Prozess-Know-how, um sicherzustellen, dass Ihre Strategie messbar erfolgreich und nachhaltig implementiert wird.

Target Operating Model (TOM) Design

Ein optimiertes Target Operating Model (TOM) ist die Grundlage, um IT-Organisation und Prozess agil, effizient und skalierbar auf die Unternehmensstrategie auszurichten. 

• Wir unterstüzen bei der Konzeption und Umsetzung eines zukunftsfähigen Betriebs- und Governance-Modells, das die Agilität steigert und die Entscheidungsfindung beschleunigt. Dies beinhaltet die organisatorische Neuausrichtung, Definition von Designprinzipien und messbaren Zielen für die gesamte Organisation. 
• Die Entwicklung des TOMs berücksichtigt die Ausrichtung der gesamten Wertschöpfungskette im Produktmanagement (Product Management) entlang der Kundenreise (Customer Journey) und die Definition der notwenigen technologischen und betrieblichen Veränderungen. Wir modellieren End-to-End Prozesse in einem DevOps-Ansatz (Development vs. Operations, oder Entwicklung vs. Betrieb), harmonisieren Abläufe, identifizieren Automatisierungs- und KI-Potenziale und schaffen die Grundlage für eine skalierbare Nutzung unternehmensweiter Fähigkeiten (Capabilities).
• Wir definieren das Organisationsdesign, die Personalstrategie und das Governance-Modell, um das Unternehmen auf kontinuierliche Neuerfindung vorzubereiten. Dazu gehören Rollen- und Verantwortlichkeitsdefinition, Talent- und Change-Management-Strategien, Sourcing-Entscheidungen (Make-or-Buy, bzw. Eigenfertigung oder Fremdbezug) sowie Performance Management durch KPIs und Reporting. Dies stellt sicher, dass die Organisation nicht nur transformiert wird, sondern die Veränderungen auch operativ umgesetzt und langfristig skaliert werden können. 

Disruption ist die neue Normalität – Innovation ist die Antwort. Wir unterstützen Sie dabei, neue Technologien wie Künstliche Intelligenz (KI) und Automatisierungslösungen gezielt einzusetzen, um neue Leistungsniveaus zu erreichen und Ihre Innovationsfähigkeit strukturiert auszubauen.

• Wir begleiten Sie bei der Identifizierung, Priorisierung und Steuerung von Digitalisierungs- und Automatisierungsvorhaben und unterstützen die Entwicklung neuer Produkte, Services und Geschäftsmodelle – von der ersten Idee (Ideation) bis zum validierten Prototyp und skalierbaren Betriebsmodell.
• Wir prüfen die Eignung für öffentliche Förderprogramme, wie den KfW-Digitalisierungskredit (Stufe 2 und 3), und beraten Sie holistisch bei Investitionen in Zukunftstechnologien sowie der vielschichtigen Umsetzung tiefgreifender Digitalisierungsvorhaben.
• Ziel ist die Transformation zentraler Kerngeschäftsfunktionen und unterstützender Betriebsprozesse sowie die Förderung operativer Exzellenz durch datengetriebene Entscheidungen. Dies umfasst die Einführung strukturierter Innovationsprozesse, agiler Methoden und eines belastbaren Governance-Rahmens, damit Innovationen skalierbar, steuerbar und nachhaltig verankert werden können.

Die Verbindung von Daten, Künstlicher Intelligenz (KI) und Engineering ermöglicht die Umgestaltung geschäftskritischer Abläufe und Prozesse und schafft neue Hebel für Wachstum, Effizienz und Wettbewerbsvorteile.

• Wir modernisieren Ihre Daten- und Infrastruktur-Landschaft, indem wir eine robuste Datengrundlage schaffen, die Datenqualität sichern und skalierbare AI Foundries implementieren – „KI-Gießereien“, die die nötige Infrastruktur und Werkzeuge für zuverlässige, performante und sichere KI-Anwendungen bereitstellen.
• Unsere Dienstleistungen umfassen Solution Architecture (Lösungsarchitektur), Data Engineering, DevOps und Cloud-Infrastruktur, um KI- und Advanced-Analytics-Initiativen zu beschleunigen, zu operationalisieren und unternehmensweit zu skalieren – von ersten Piloten bis zum produktiven Einsatz in Kernprozessen.
• Wir integrieren dabei konsequent KI-Governance, Risikomanagement und Compliance-Mechanismen (z. B. im Hinblick auf den EU AI Act), um Transparenz, Nachvollziehbarkeit und Vertrauen in KI-Systeme sicherzustellen und deren Einsatz sowohl technisch als auch regulatorisch abzusichern.

Der Erfolg großer IT-Implementierungen erfordert eine professionelle Steuerung, Planung und Überwachung über den gesamten Projektlebenszyklus hinweg – von der Idee bis zum Go-Live.

• Wir stellen umfassende fachliche, methodische und technologische Expertise bereit, um Ihre IT-Projekte, Programme und Portfolios (PPM) ganzheitlich zu steuern. Dies umfasst klassische sowie agile Projektmethoden und unterstützt Sie dabei, strategische Ziele, Ressourcen und Wertbeiträge wirkungsvoll auszurichten.
• Wir begleiten alle Phasen – von der Anforderungsanalyse über Design und Entwicklung bis zur Implementierung – und stellen sicher, dass Projekte zielgerichtet, risikobewusst und im Einklang mit Zeit- und Budgetvorgaben umgesetzt werden. Dabei integrieren wir moderne Instrumente wie PMO-Strukturen (Project Management Office), agile Frameworks (z.B. SAFe) und skalierbare PPM-Tools.
• Effektive PPM- und Governance-Strukturen sind dabei essenziell für eine transparente und kontrollierbare Projektdurchführung. Sie bilden zugleich die Basis für projektbegleitende Prüfungen (z. B. nach IDW PS 850) und ermöglichen ein wirksames Risikomanagement, Quality Assurance und Reporting.

Erfolgreiche Transformationen sind eine Mannschaftsaufgabe und gelingen nur, wenn Menschen aktiv mitgenommen, befähigt und kontinuierlich unterstützt werden – insbesondere bei tiefgreifenden Veränderungen in Arbeitsstrukturen, Prozessen und Technologien.

• Wir unterstützen Sie dabei, eine Kultur der Veränderung zu etablieren und die Akzeptanz digitaler Lösungen und neuer Prozesse sicherzustellen (z. B. im Rahmen von ERP-Einführungen oder neuen Target Operating Models).
• Unser Fokus liegt auf dem Aufbau zukünftiger Kompetenzen (Skills) und Geschäftsfähigkeiten (Capabilities), um Mitarbeiter gezielt weiterzuentwickeln und die Organisation so aufzustellen, dass das Potenzial von Daten, Technologie und Menschen optimal zusammenwirkt.
• Ziel ist es, Produktivität, Engagement und organisatorische Resilienz zu steigern, indem Technologie und menschliches Verhalten harmonisch aufeinander abgestimmt werden und Veränderungen nachhaltig in der Organisation verankert sind.

(Pre-Deal) IT Due Diligence (IT DD)

Technologie ist ein zentraler Werttreiber, Risikofaktor und Integrationshebel im Rahmen von M&A-Transaktionen, da IT-Stabilität, Sicherheit und Skalierbarkeit maßgeblich den Kaufpreis, die zukünftige Leistungsfähigkeit und den Erfolg der Transaktion bestimmen.

• Wir führen eine umfassende IT Due Diligence (IT DD) durch, um technologische Risiken, Cybersecurity-Schwachstellen, Daten- und Systemqualität, IT-Kosten, Synergiepotenziale und Integrationshemmnisse frühzeitig zu identifizieren. Dies umfasst die Bewertung der IT-Infrastruktur, Anwendungslandschaft, Datenarchitektur, Cloud- und DevOps-Modelle sowie des technologischen Betriebsmodells des Zielunternehmens.
• Dazu analysieren wir Carve-Out-Anforderungen, Investitionsbedarfe, Compliance- und Datenschutzrisiken sowie PMI-Auswirkungen, um die strategische und finanzielle Logik des Deals abzusichern und die spätere Post-Merger Integration optimal vorzubereiten.
• Wir schaffen Transparenz für fundierte Kaufentscheidungen, erhöhen die Transaktionssicherheit und stellen sicher, dass alle relevanten technologischen, rechtlichen, steuerlichen und prüfungsrelevanten Aspekte berücksichtigt werden – um Risiken zu minimieren und den Wertbeitrag der Transaktion zu maximieren.

Post-Merger Integration (PMI)

Technologie ist ein entscheidender Hebel für den Erfolg nach Mergers & Acquisitions (M&A), da Prozesse und die zugrunde liegende IT-Infrastruktur schnell, sicher und werthaltig integriert werden müssen.

• Wir begleiten den gesamten Prozess der Post-Merger Integration (PMI), um die erworbenen Technologie- und Prozesslandschaften effizient in die bestehende Organisation zu überführen.
• Dies umfasst die Analyse und Integration von IT-Infrastruktur, die Harmonisierung von Daten sowie die Neuausrichtung von Organisation und Prozessen, um die angestrebten Synergien sowie strategischen und finanziellen Geschäftsvorteile aus der Transaktion vollständig zu realisieren.
• Wir sorgen für Transaktionssicherheit und gewährleisten, dass sämtliche technologische, rechtliche, steuerliche und prüfungsrelevante Aspekte der IT-Integration Berücksichtigung finden, um Risiken zu minimieren und den langfristigen Geschäftserfolg zu gewährleisten.

IPO (Initial Public Offering) Readiness

Ein erfolgreicher Börsengang (IPO) erfordert eine robuste, transparente und regulatorisch konforme Technologie- und Datenlandschaft, da IT-Systeme, Reporting-Prozesse und Governance-Strukturen im kapitalmarktorientierten Umfeld strengeren Anforderungen unterliegen.

• Wir begleiten den gesamten IPO-Prozess, um Ihre IT, Daten, Prozessstrukturen und Governance gezielt auf ein börsennotiertes Betriebsmodel auszurichten. Dies umfasst ein Readiness Assessment, die Modernisierung kapitalmarktfähiger Reporting-, Controlling- und Compliance-Prozesse, die Stärkung von IT-Governance, Cybersecurity, Datenqualität sowie die Erfüllung von finanzkonformer Berichterstattung (IFRS) und weiterer regulatorischer Anforderungen (z. B. ESG).
• Zudem unterstützen wir beim Aufbau eines Internen Kontrollsystems (IKS), beim Management kapitalmarktrelevanter KPIs, bei der Implementierung erforderlicher ERP- und Konsolidierungssysteme sowie bei der Koordination sämtlicher IPO-Stakeholder, darunter Wirtschaftsprüfer, Banken, Rechtsberater, Analysten und Ratingagenturen, Finanzinvestoren sowie interne Fachbereiche.
• Wir erhöhen die IPO-Transparenz, stärken die Compliance, reduzieren Regulatorik- und Reporting-Risiken und stellen sicher, dass alle technologischen, organisatorischen, regulatorischen und prüfungsrelevanten Anforderungen erfüllt werden – für einen reibungslosen und erfolgreichen Übergang in den börsennotierten Betrieb.

Dynamische Marktveränderungen, neue Technologien und hochkomplexe regulatorische Branchenvorgaben erfordern maßgeschneiderte, funktionsübergreifende Lösungen, die weit über standardisierte Beratungsansätze hinausgehen. 

• Spezial-Regulatorik & Tech: Wir bieten Ihnen zur Effizienzsteigerung ihrer Transformationsprojekte agile, hochspezialisierte Beratung für punktuelle technologische Herausforderungen, Branchenspezifika und regulatorische Sonderthemen. Dies umfasst u. a. die strategische Konzeption und technologische Umsetzung von gesetzlichen Neuerungen wie der verpflichtenden E-Rechnung (E-Invoicing nach EU-Norm EN 16931), die IT-seitige Umsetzung von Nachhaltigkeits- und Berichtspflichten – wie der EU-Nachhaltigkeitsberichterstattung (CSRD mit ESRS-Datenpunkten) und dem CO2-Grenzausgleichssystem (CBAM-Schnittstellen) – sowie die rechtskonforme Ausgestaltung digitaler Prozesse gemäß dem Lieferkettensorgfaltspflichtengesetz (LkSG).
• Sektor-Transformation: Wir unterstützen Sie strategisch bei der Digitalisierung sektor-spezifischer Kernprozesse. Dies gilt besonders im hochregulierten Umfeld von Finanzdienstleistungen (z. B. FinTechs unter den Bankenaufsichtlichen Anforderungen MaRisk), Gesundheitswesen & Life Sciences (z. B. Qualitätssicherung nach GMP-Richtlinien), Automobilindustrie (z. B. Informationssicherheit nach TISAX), Energie & Versorgung (z. B. sichere Marktkommunikation via AS4-Protokoll und weitere Vorgaben der Bundesnetzagentur) oder dem öffentlichen Sektor (z. B. digitale Verwaltung nach dem Onlinezugangsgesetz OZG 2.0). Wir übersetzen Fachanforderungen in performante modulare Anwendungsarchitekturen und machen dabei Ihre Systeme revisionssicher.
• Subventionsmanagement (CapEx- & OpEx-Optimierung): Zudem begleiten wir Sie ganzheitlich bei der Identifikation, Beantragung, Abwicklung und finanziellen Verwendungsprüfung (Pre-Audit, Audit) strategischer Fördermittel und staatlicher Zuschüsse zur Entlastung Ihrer IT- und Investitionsbudgets. Unser Fokus liegt hierbei auf der optimalen Balance zwischen CapEx (z. B. Aktivierung von Software-Eigenleistungen) und OpEx (z. B. Cloud- und SaaS-Infrastrukturen). Unser Spektrum reicht von EU-Strukturfonds (z. B. EFRE, NextGenerationEU), direkten EU-Förderlinien (z. B. Digital Europe Programme, Horizon Europe) und nationalen Innovations- und Digitalisierungsprogrammen (z. B. KfW-Digitalisierungskredite, BAFA-Beratungsförderung, Zentrales Innovationsprogramm Mittelstand – ZIM) über die steuerliche Forschungszulage nach FZulG (z. B. bei der Eigenentwicklung proprietärer Modelle oder neuartiger Architekturen) bis hin zu regionalen Landeszuschüssen (z. B. Digitalbonus Bayern). Als unabhängiges Prüfungsorgan übernehmen wir die Erstellung finanzieller Projekterklärungen sowie die Prüfung und Ausstellung regulatorischer Audit-Zertifikate (CFS – Certificate on the Financial Statements) gemäß den strikten Vorgaben der EU-Kommission (MGA – Model Grant Agreement) für das fortlaufende Reporting (Continuous Reporting), periodische Zwischenberichte (Periodic Reports) und finale Abschlussberichte (Final Reports).

Wir führen umfassende Bewertungen (Assessments) zwecks Optimierung und Prüfungen von GRC-Systemen in in mehrschichtigen Prozess- und Systemarchitekturen durch – etwa in ERP-Systemen (z. B. SAP) oder Cloud-Plattformen –, bei denen Automatisierungsgrad und Komplexität eine erhöhte Prüfungsintensität erfordern.

„Linie 1“ (früher 1. Verteidigungslinie des Three Lines of Defense-Modells (3LoD) des Revisionsweltverbandes IIA) – Governance zwecks operativer Integrität (IKS): Wir bewerten die Angemessenheit und Wirksamkeit Ihrer prozessintegrierten Kontrollen.
Der Fokus liegt zunächst auf der operativen Exzellenz – unsere Analysen basieren dabei auf:

•  führenden Frameworks wie dem COSO-Modell (zur Gestaltung integrierter Risiko- und Kontrollsysteme, herausgegeben vom Committee of Sponsoring Organizations of the Treadway Commission), COBIT (deckt IT-Governance, Risikomanagement und Compliance ab, herausgegeben von der ISACA (Information Systems Audit and Control Association)), ITIL 5 (für wertorientiertes, ganzheitliches Produkt- und IT-Service-Management (ITSM) sowie hochwertigen, erfahrungszentrierten und KI-gestützten IT-Support) und TOGAF (zur Sicherstellung einer kohärenten und effizienten IT-Architektur, herausgegeben von The Open Group) sowie
• weiteren branchen- oder unternehmensrelevanten internationalen Normen (z. B. ISO 22301 Sicherheit und Resilienz – BCM (Business Continuity Managementsysteme)) oder
• regulatorischen Anforderungen (z. B. PCI DSS-Anforderungen (Payment Card Industry Data Security Standard) für Unternehmen, die Kreditkartendaten verarbeiten, oder GMP (Good Manufacturing Practices) für Unternehmen in hochregulierten Branchen wie Pharma, HealthTech, Kosmetik oder Lebensmittel).

Zweitens bildet der IDW PS 982 (Prüfungsstandard des Instituts der Wirtschaftsprüfer in Deutschland – Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems des internen und externen Berichtswesens) den Mindestmaßstab.

„2. Linie“ – Steuerung durch ein robustes Risikomanagementsystem (RMS): Wir implementieren und prüfen Überwachungssysteme nach aktuellen Standards, z. B. IDW PS 981 (Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen), IDW PS 340 n.F. (Prüfung des Risikofrüherkennungssystems) und IDW S 16 (Ausgestaltung der Krisenfrüherkennung und des Krisenmanagements nach § 1 StaRUG (Unternehmensstabilisierungs- und -restrukturierungsgesetz)) sowie ISO 31000 (Risikomanagement). Dabei integrieren wir regulatorische Leitplanken wie das KonTraG (das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich verpflichtet Vorstände zur Einrichtung eines Risikofrüherkennungssystems) sowie Verwaltungsanweisungen von Aufsichtsbehörden, z. B. die MaRisk (Mindestanforderungen an das Risikomanagement) der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) für den Finanzsektor, inkl. moderne FinTechs.

Rechtssicherheit durch ein wertstiftendes Compliance Management System (CMS): Um der steigenden regulatorischen Komplexität und der verschärften Beweislast mit belastbaren Strukturen zu begegnen, transformieren wir Ihre Compliance-Vorgaben in ein revisionssicheres Fundament. Wir unterstützen Sie bei der Ausgestaltung und Prüfung von Compliance-Systemen u. a. nach Maßgabe des IDW PS 980 n.F. (Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen), der ISO 37301 (Compliance-Managementsysteme) sowie der ISO 37001 (Managementsysteme zur Korruptionsbekämpfung). Damit sichern wir Ihre Lizenz zum Operieren auf globalen Marktplätzen (z. B. EU, nach Erfüllung paralleler Anforderungen und Fristen aus EU-Verordnungen und national umgesetzten EU-Richtlinien) und verwandeln regulatorischen Druck in einen Vertrauensbeweis gegenüber Kunden, Geschäftspartnern (Lieferketten) und Investoren.

„3. Linie“ – Validierung durch Interne Revision (IRS) und Hinweisgebersystem (HGS): Als objektive, externe Instanz prüfen wir die Belastbarkeit Ihrer Steuerungs- und Überwachungsstrukturen gemäß IDW PS 983 n.F. (Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen). Das installierte HGS bewerten wir nach den strengen Maßgaben des HinSchG (Hinweisgeberschutzgesetz, die nationale Umsetzung der EU-Whistleblower-Richtlinie in deutsches Recht) und nutzen vertraulich eingereichte Meldungen gezielt als Grundlage für unabhängige Untersuchungen (Independent Investigations), um Schwachstellen in der 1. und 2. Linie frühzeitig zu identifizieren und entsprechende Maßnahmen im Sinne des PDCA-Zyklus (Plan-Do-Check-Act) als kontinuierlichen Verbesserungsprozess (KVP) zu etablieren.

Angesichts steigender Cyber-Risiken und neuer Regularien ist die Absicherung der Informationssicherheit für Unternehmen zur Überlebensfrage geworden.

• Wir führen Prüfungen zur Informationssicherheit sowie umfassende Reifegrad- und Gap-Analysen durch, um die Widerstandsfähigkeit (Cyber-Resilienz) Ihrer Organisation zu stärken.
• Die Beratung umfasst die Implementierung von Standards wie ISO/IEC 27001 für Anforderungen an ein ISMS (Informationssicherheits-Managementsystem), die Umsetzung der EU NIS-2-Richtlinie (Network and Information Security) bzw. des deutschen NIS2UmsuCG (NIS-2-Umsetzungsgesetz) sowie die Anforderungen des DORA (Digital Operational Resilience Act) für den Finanzsektor – als Weiterentwicklung und Ablösung spezifischer Aufsichtsanforderungen an die IT für Banken (BAIT), Versicherungen (VAIT) und Kapitalverwaltungsgesellschaften (KAIT) – nach IDW EPS 528 (Entwurf zur Aufsichtlicher Prüfung der Einhaltung von Anforderungen der EU-Verordnung 2022/2554 über die digitale operationale Resilienz (DORA) im Finanzsektor im Rahmen der Abschlussprüfung). Dies schließt die Nachweisführung gegenüber dem BSI (Bundesamt für Sicherheit in der Informationstechnik) nach IDW PH 9.860.2 n.F. ein – dem Prüfungshinweis zur Prüfung von Betreibern Kritischer Infrastrukturen (KRITIS) gemäß § 8a BSIG (BSI-Gesetz) im Rahmen des IT-SiG 2.0 (IT-Sicherheitsgesetzes).
• Über das vorbereitende NIS-2 Readiness Assessment zur Identifikation von Implementierungslücken hinaus unterstützen wir Sie durch die Erstellung einer Gutachtlichen Stellungnahme zur NIS-2-Compliance. Dieses formelle, nach berufsüblichen Standards erstellte Gutachten orientiert sich an den hohen Anforderungen der Aufsichtsbehörden. Es dient der Geschäftsführung als unabhängige, stichtagsbezogene Dokumentation zur Erfüllung der eigenen Sorgfaltspflichten (als wesentliche Argumentationsbasis zur persönlichen Haftungsminimierung) über die Einrichtung der gesetzlich geforderten Cyber-Sicherheitsmaßnahmen. Zudem bietet es einen standardisierten Nachweis zur Vorlage bei Aufsichtsbehörden, Cyber-Versicherungen oder Vertragspartnern in der Lieferkette, um die internationale Anschlussfähigkeit zu unterstützen und Ihre Position bei Verhandlungen zu stärken.
• Unser Ansatz liefert praxiserprobte Handlungsempfehlungen für Ihre Cybersecurity-Strategie und das Risikomanagement. Zusätzliche Services: Phishing-Tests (Social Engineering), Security Awareness Trainings, Identity & Access Management (IAM), Fraud Prevention, technische Pentests.

Daten, Analysen und KI-Modelle sowie eine belastbare Berichterstattung sind entscheidend für die globale Wettbewerbsfähigkeit. Sie erfordern höchste Transparenz, Verlässlichkeit und regulatorische Absicherung, um den langfristigen Erfolg und das Marktvertrauen zu wahren.

• Validierung von KI-Systemen: Wir begleiten Sie bei der Auswahl und Priorisierung von Anwendungsfällen sowie der sachgerechten Einführung generativer Künstlicher Intelligenz (GenAI – Generative Artificial Intelligence) unter Berücksichtigung des Advsiory Hinweises IDW AdvH 6.003. Dabei adressieren wir sowohl strategische Aspekte (u. a. Chancen-Risiko-Profile) als auch operative Themen wie Fine-Tuning, Retrieval-Augmented Generation (RAG) und Multi-Agenten-Systeme. Zur unabhängigen Absicherung der Verlässigkeit und Konformität führen wir zudem die spezialisierte Prüfung von KI-Systemen nach IDW PS 861 durch. Diese umfasst die Validierung Ihrer KI-Anwendungen, in die KI-Algorithmen/Modelle integriert sind, der Data Governance (Trainings-, Validierungs-, Test- und Outputdaten der KI-Anwendung), der zugrunde liegenden IT-Infrastruktur (z. B. skalierbare Cloud-Lösungen) sowie des KI-Monitorings. Die Bewertung erfolgt dabei anhand spezifischer Kriterien wie Modelltransparenz, robuster Schutzmaßnahmen und einer umfassenden Risikoanalyse (u. a. Datenschutz, Modellverhalten und Sicherheitslücken) unter Berücksichtigung der Risikoeinstufungen des EU AI Acts (KI-Verordnung) sowie weiterer branchenspezifischer Vorgaben (z. B. BSI-Prüfkatalog für KI-Systeme im Finanzbereich). Durch die Sicherstellung der Prüfbarkeit von KI-Systemen schaffen wir nachhaltiges Vertrauen in Ihre datengetriebenen Entscheidungen.

• Assurance von Geschäftsmodell-KPIs & ESG-Daten: Wir sichern die Qualität Ihrer Reporting-Prozesse durch die Prüfung geschäftskritischer Kennzahlen und Nachhaltigkeitsdaten. Dies erfolgt auf Basis des globalen Standards ISSA [E-DE] 5000 (Allgemeine Anforderungen an Nachhaltigkeitsprüfungen) sowie unter Berücksichtigung der EU CSRD (Corporate Sustainability Reporting Directive – Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen), welche festlegt, wer berichten muss und dass die Angaben extern geprüft werden müssen, und die konkreten technischen ESRS (European Sustainability Reporting Standards – Europäische Standards für die Nachhaltigkeitsberichterstattung), welche definieren, was genau (Inhalt) und in welcher Form (Kennzahlen, Datenpunkte) im Rahmen der CSRD berichtet werden muss. Ein Kernaspekt ist die Ausgestaltung und Prüfung Ihres IKS gemäß IDW PS 982 (Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems des internen und externen Berichtswesens) und IDW Praxishinweis 4/2023 (Ausgestaltung und Prüfung des internen Kontrollsystems zur Aufstellung eines Nachhaltigkeitsberichts). Da die technologiebasierte Umsetzung des ESG-Reportings (IDW AdvH 6.002) – in Abhängigkeit des vom jeweiligen Prüfer des ESG-Reportings gewählten Prüfungsansatzes – weitere nachgelagerte Anforderungen nach sich ziehen kann, unterstützen wir Sie bei der Auswahl zertifizierter Reporting-Tools nach IDW PS 880 (Prüfung von Softwareprodukten). Zur Risikominimierung und Sicherstellung der Revisionssicherheit begleiten wir zudem frühzeitig den Implementierungsprozess durch eine Projektbegleitende Prüfung nach IDW EPS 850 n.F..

Die Auslagerung von IT-Operations bis hin zur bspw. kompletten IT in die Cloud erfordert die Beachtung spezifischer regulatorischer und vertraglicher Pflichten.

Die Auslagerung von geschäftskritischen Prozesse – von der Cloud (z. B. Hyperscaler wie Google Cloud, Microsoft Azure oder AWS) über SaaS-Plattformen, deren Produktportfolio laufend um neue KI-gestützte Lösungen erweitert wird (z. B. ServiceNow, Salesforce, Workday), bis hin zu innovativem XTech (z. B. FinTech, RegTech, MarTech, InsurTech, PropTech) – bietet enorme Chancen, erfordert jedoch die strikte Einhaltung regulatorischer Pflichten. Da die Letztverantwortung für das interne Kontrollsystem (IKS) stets bei Ihrem Unternehmen verbleibt, stellen wir durch unsere Prüfung der Third-Party Provider (TPP) sicher, dass Ihre Compliance-Anforderungen auch in hochdynamischen Outsourcing-Strukturen lückenlos erfüllt werden. 

Für Dienstleister (Service Provider): Ein unabhängiges Testat (z. B. nach SOC 2 oder BSI C5) dient als „Universalschlüssel“. Anstatt jedem Kunden individuelle Fragebögen zu beantworten oder Vor-Ort-Audits zu ermöglichen, beweisen Sie Ihre Compliance-Ready-Aufstellung effizient durch einen standardisierten Bericht.

• Fokus Finanzberichterstattung (SOC 1 / ISAE 3402 / IDW PS 951): Wenn Ihre Dienstleistungen Auswirkungen auf die Buchhaltung oder den Jahresabschluss Ihrer Kunden haben könnten (z. B. Lohn- und Gehaltsabrechnung, Rechenzentrumsbetrieb für ERP-Systeme, Vermögensverwaltung / Custody), ist eine Prüfung des dienstleistungsbezogenen IKS (Internen Kontrollsystems) hinsichtlich der Verlässlichkeit finanzrelevanter Prozesse erforderlich. Der Prüfbericht ermöglicht es dem Abschlussprüfer des Kunden, sich auf die Kontrollen beim Dienstleister zu verlassen (User Auditor Reliance), ohne selbst prüfen zu müssen. Wir führen Prüfungen Ihres IKS durch und erteilen unabhängige (Typ-1 und -2) Testate wie SOC 1 (Bericht über Kontrollen bei einer Dienstleistungsorganisation, die für das interne Kontrollsystem der Anwenderunternehmen im Hinblick auf die Finanzberichterstattung relevant sind) / ISAE 3402 (Prüfungsberichte zu Kontrollen bei einem Dienstleistungsunternehmen) / IDW PS 951 n.F. (Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen).
• Fokus nicht-finanzielle Kriterien (z. B. IT-Sicherheit) (SOC 2 & 3 / ISAE 3000 / IDW PS 860): Wenn bei Ihren Dienstleistungen die Sicherheit Ihrer Systeme im Vordergrund stehen (z. B. bei Cloud-Anbietern oder SaaS-Lösungen), ist ein Nachweis über die Compliance auf Basis der TSC (Trust Services Criteria) erforderlich. Wir führen Prüfungen Ihres IKS durch und erteilen unabhängige (Typ-1 und -2) Testate wie SOC 2 (Bericht über Kontrollen bei einer Dienstleistungsorganisation in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz) / SOC 3 (setzt SOC 2 Typ-2 voraus) (Bericht über Vertrauensdienstekriterien für Dienstleistungsorganisationen) / ISAE 3000 n.F. (Betriebswirtschaftliche Prüfungen, die nicht Prüfungen oder prüferische Durchsichten von historischen Finanzinformationen sind) / IDW PS 860 (IT-Prüfung außerhalb der Abschlussprüfung).
  Speziell für die Prüfung von Cloud-Diensten nach dem BSI C5 kommt ergänzend der IDW P
• Dabei wird in IDW PS 860 (analog zum ISAE 3000) zwischen zwei Auftragsarten differenziert: Während die direkte IT-Prüfung (Direct Engagement) das System unmittelbar beurteilt und Sie operativ entlastet (ideal für Erstprüfungen), fokussiert sich die Prüfung einer Erklärung zum IT-System (Assertion-based Engagement) auf Ihre eigene Darstellung des IKS, was bei hoher Dokumentationsreife eine hocheffiziente und kostensparende Alternative darstellt.
  Das Spektrum dieser IT-Prüfungen reicht von der Sicherheit im Softwareentwicklungsprozess und der Einhaltung regulatorischer Anforderungen – wie nach nach IDW PH 9.860.1 (Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG)) und IDW PH 9.860.4 (Die Prüfung der Einhaltung der Grundsätze der ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD-Compliance)) – bis hin zur Konformitätsprüfung nach Industriestandards (z. B. PCI DSS oder GMP), steuerlichen Vorgaben (§ 14 UStG, §§ 146-147 AO), Anweisungen von Aufsichtsbehörden (z. B. MaRisk) sowie anerkannten Frameworks (wie COSO, COBIT, ITIL sowie PRINCE2 bzw. PMBOK Guide) oder ISO-/DIN-Normen.H 9.860.3 n.F. (Die Prüfung von Cloud-Diensten) zur Anwendung.

Für Auftraggeber (User Entities): Bei der Auswahl von Outsourcing-Partnern bieten wir die notwendige Orientierung und Absicherung. Sie können damit belegen, dass Sie Ihre Sorgfaltspflicht bei der Auswahl, Überwachung und Steuerung kritischer Zulieferer (z. B. gemäß NIS-2 Art. 21) nachgekommen sind.

In einer zunehmend digitalisierten Rechnungslegung beginnt eine ordnungsgemäße Buchführung nicht mehr bei den Zahlen, sondern bei der eingesetzten Software: Nur wenn betriebswirtschaftliche Softwarelösungen den gesetzlichen Anforderungen entsprechen, ist auch die Ordnungsmäßigkeit des Jahresabschlusses gewährleistet.

• Wir führen Prüfungen von Softwareprodukten nach IDW PS 880 n.F. durch, um Softwareherstellern die Einhaltung der Grundsätze ordnungsmäßiger Buchführung (GoBD) sowie weiterer gesetzlicher Anforderungen zu bescheinigen. Der Zertifizierungsprozess umfasst die Aufnahme der Entwicklungsumgebung, die Beurteilung der Entwicklungs- und Wartungsprozesse sowie eine umfassende Aufbau- und Funktionsprüfung der programmtechnischen Umsetzung. Als Ergebnis erhalten Hersteller eine anerkannte Softwarebescheinigung (und Prüfungsbericht), das als wesentliches Qualitätsmerkmal und Wettbewerbsvorteil dient und den Prüfungsaufwand im Rahmen der Jahresabschlussprüfung beim Anwender signifikant reduzieren kann.

IT General Controls (ITGC)

Die Ordnungsmäßigkeit der IT-Systeme und deren Kontrollumfeld ist entscheidend für die Integrität der digitalen Geschäftsprozesse und stellt die Verlässlichkeit der darauf basierenden Finanzberichterstattung sicher.

• Risikoorientierter Prüfungsansatz: In Übereinstimmung mit ISA [DE] 315 (Identifizierung und Beurteilung der Risiken wesentlicher falscher Darstellungen) bewerten wir zunächst die Komplexität Ihrer IT-Umgebung um daraus gezielte Prüfungshandlungen abzuleiten. Damit schützen wir die Integrität Ihrer Finanzberichterstattung nachhaltig vor IT-spezifischen Fehlerrisiken auf Abschlussebene.
• Prüfungsmethodik: Unsere Prüfung orientiert sich an ISA [DE] 330 (Reaktionen des Abschlussprüfers auf beurteilte Risiken) sowie den Anforderungen des ISA [DE] 315 (Revised 2019), welcher den bisherigen Standard IDW PS 330 (Abschlussprüfung bei Einsatz von Informationstechnologie) abgelöst hat. Wir führen eine zweistufige Beurteilung durch: Zunächst prüfen wir die Angemessenheit (Aufbauprüfung) und anschließend die kontinuierliche Wirksamkeit (Funktionsprüfung) Ihrer rechnungslegungsrelevanten IT-Systeme. Ziel ist es, die GoBD-Konformität (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) – d. h. Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordnung, Nachvollziehbarkeit und Unveränderlichkeit – zu validieren.
  Durch die Validierung der allgemeinen IT-Kontrollen (ITGCs – IT General Controls) über den gesamten Prüfungszeitraum schaffen wir das notwendige Fundament für die Prüfung der (semi-)automatisierten Applikationskontrollen (ACs – Application Controls) sowie der IT-gestützten Geschäftsprozesskontrollen (BPCs – Business Processes Controls). Die Prüfung der ITGCs erfolgt dabei entlang der vier Kernbereiche Systembetrieb (Computer Operations), Änderungsmanagement (Program Changes), Programmentwicklung (Program Development) und Zugriffsschutz (Access to Programs/Data), um die notwendigen Informationsverarbeitungsziele (IPOs – Information Processing Objectives: CAVR oder Completeness/Vollständigkeit, Accuracy/Richtigkeit, Validity/Gültigkeit und Restricted Access/Zugriffsschutz) sicherzustellen.
• Skalierbarkeit bei KMU (Kleinere und Mittlere Unternehmen): Sofern anwendbar, richten wir unsere Methodik an den Standards für weniger komplexe Einheiten wie IDW PS KMU 4 (Risikoidentifizierung und -beurteilung) sowie IDW PS KMU 5 (Reaktionen auf relevante Risiken) aus. Dieser skalierte Ansatz ermöglicht es uns, die Intensität der IT-Prüfungshandlungen effizient auf die spezifische Risikosituation und Komplexität Ihres Unternehmens zuzuschneiden, ohne die regulatorische Sicherheit zu beeinträchtigen.

Applikationskontrollen (ACs)

Applikationskontrollen (Application Controls – ACs) sind essenziell, um die korrekte Verarbeitung von rechnungslegungsrelevanten Transaktionen innerhalb spezifischer Unternehmensanwendungen zu gewährleisten.

• Diese Prüfungen sind integraler Bestandteil des IT-Audits im Rahmen der Jahresabschlussprüfung (JAP) und bilden die Grundlage für die Beurteilung der Wirksamkeit des etablierten (semi-) automatischen internen Kontrollsystems (IKS).
• Wir fokussieren uns auf die Prüfung systemseitiger Kontrollen, insbesondere in komplexen ERP-Umgebungen (Enterprise Resource Planning oder Unternehmensressourcenplanung) – wie z. B. SAP (S/4HANA, Business One), Microsoft Dynamics 365, Sage, DATEV, oder NetSuite – um die Ordnungsmäßigkeit der Verarbeitung und die Einhaltung regulatorischer Anforderungen zu validieren.
• Diese Prüfungen sind integraler Bestandteil des IT-Audits im Rahmen der Jahresabschlussprüfung (JAP) und bilden die Grundlage für die Beurteilung der Wirksamkeit des etablierten (semi-) automatischen internen Kontrollsystems (IKS).
• Wir stellen sicher, dass Ihre IT-gestützten Geschäftsprozesse zuverlässig funktionieren und die Geschäftsanforderungen erfüllen – beispielsweise bei der GoBD-konformen (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) E-Rechnungen (elektronischer Rechnungsverarbeitung) oder der Implementierung eines Tax CMS auf Basis des IDW Praxishinweises 1/2016 (Ausgestaltung und Prüfung eines Tax Compliance Management Systems gemäß IDW PS 980).

Geschäftsprozesskontrollen (BPCs)

IT-gestützte Geschäftsprozesskontrollen (Business Process Controls – BPCs) bilden das Bindeglied zwischen den rein technischen IT-Kontrollen und den operativen Abläufen in Ihrem Unternehmen.

• Integrierter Prüfungsansatz: Wir validieren die Wirksamkeit Ihrer Kontrollen innerhalb der zentralen Geschäftsprozesse (z. B. Vertriebsprozesse/Order-to-Cash, Einkaufsprozesse/Purchase-to-Pay oder Personalprozess/Hire-to-Retire). Dabei prüfen wir insbesondere das Zusammenspiel zwischen manuellen Kontrollschritten und systemgestützten Abhängigkeiten (IT-dependent Manual Controls), um Medienbrüche und manuelle Eingriffsrisiken zu minimieren. Dies umfasst Kontrollaktivitäten wie automatisierte Toleranzgrenzenprüfungen, systemseitige Workflows zur bspw. Sicherstellung der Funktionstrennung (SoD – Segregation of Duties) sowie die Vollständigkeit von Schnittstellenübertragungen zwischen Vorsystemen und der Finanzbuchhaltung). Durch die Prüfung der BPCs stellen wir sicher, dass Ihre Geschäftsvorfälle nicht nur technisch korrekt verarbeitet, sondern auch im Einklang mit Ihren internen Richtlinien sowie regulatorischen Anforderungen abgebildet werden.
• Abgrenzung zum formalisierten IKS: Wir differenzieren zwischen operativ gelebten Kontrollen (BPCs) und einer lückenlosen Dokumentation des Internen Kontrollsystems – etwa in einer Risiko-Kontroll-Matrix (RCM). Damit durchgeführte Kontrollen in der Prüfungsplanung risikomindernd berücksichtigt werden können, müssen sie den Anforderungen nationaler und internationaler Standards (siehe oben GRC-Assessments) entsprechen.
• Process Mining: Als wertvolles Nebenprodukt unserer Prüfung machen wir durch den Einsatz moderner Technologien gezielt Prozessabweichungen und Ineffizienzen (z. B. Bottlenecks oder manuelle Eingriffe) transparent. So wandeln wir regulatorische Anforderungen in strategische Erkenntnisse um, die Ihnen helfen, Ihre Prozesse performanter zu gestalten und bestehende BPCs in ein belastbares und prüfsicheres IKS-Framework zu überführen.

Interne Revision

Eine leistungsfähige Interne Revision ermöglicht es Unternehmen, Risiken frühzeitig zu erkennen, Governance-Strukturen zu stärken und die Wirksamkeit von Prozessen und Kontrollen kontinuierlich zu verbessern. Mit unseren Managed Services unterstützen wir Sie flexibel dabei, Ihre Interne Revision effizient auszubauen, zu skalieren – etwa durch bedarfsorientierte Erweiterungen um Fraud-Analysen und Softwareprüfungen – und dauerhaft leistungsfähig zu gestalten.

• Co-/Outsourcing: Wir übernehmen einzelne Prüfungsaufträge oder ganze Prüfungsprogramme und stellen eine risikoorientierte, methodisch fundierte Durchführung nach ISA [DE] 610 (Nutzung der Tätigkeit interner Revisoren) sowie IDW PS 321 (Interne Revision und Abschlussprüfung) sicher.
• Transformation: Unsere Expert:innen unterstützen Sie bei der Weiterentwicklung Ihrer Internal-Audit-Funktion – von der strategischen Planung über die operative Prüfung und Berichterstattung bis zur Qualitätssicherung – gemäß der neuen GIAS (Global Internal Audit Standards) des IIA (Institute of Internal Auditors) sowie unter Berücksichtigung der fachlichen Verlautbarungen des DIIR (Deutsches Institut für Interne Revision).
•  Digital Audit: Durch den Einsatz moderner Technologien (z. B. KI-gestützte Datenanalysen) und skalierbarer, datengetriebener Prüfungsansätze steigern wir Effektivität, Transparenz und die strategische Aussagekraft Ihres Revisionswesens nachhaltig.

Projektbegleitende Prüfung

Bei komplexen Transformationen – sei es durch die Einführung neuer Systeme (z. B. ERP, Cloud), Produkte oder die tiefgreifende Veränderung von Organisationsstrukturen und Prozessen – ist die frühzeitige Absicherung der Ordnungsmäßigkeit und Sicherheit entscheidend.

• Transformation & Project Audit: Wir führen gesonderte, der Jahresabschlussprüfung (JAP) vorgelagerte Prüfungen nach IDW EPS 850 n.F. (Projektbegleitende Prüfungen) durch. Dieser proaktive Ansatz ermöglicht es, die Ordnungsmäßigkeit und Transaktionssicherheit Ihrer Systeme sowie der damit verbundenen Organisationsstrukturen und Geschäftsprozesse bereits während der Implementierungsphase zu validieren. Als unabhängiger Dritter unterstützen wir Sie in allen Projektphasen – von der Konzeption bis zum Go-Live – inklusive der Integration klassischer Due-Diligence-Prüfungen sowie einer fundierten Analyse der IT-Infrastruktur, Sicherheitsanforderungen und des Change Managements. Durch unsere frühzeitige Einbindung erkennen wir Fehlentwicklungen rechtzeitig und können risikoorientiert steuernd eingreifen, um Projektrisiken zu minimieren, bevor sie die spätere Abschlussprüfung oder den Live-Betrieb gefährden. Dies führt zu einer signifikanten Entlastung der JAP und schafft Vertrauen bei allen internen wie externen Stakeholdern.
• Praxisbeispiel ERP-Transformation: Unter Berücksichtigung des IDW AdvH 6.001 (Einführung von SAP® S/4HANA) unterstützen wir Sie bei der zeitkritischen Migration (hinsichtlich des Wartungsendes von ECC 6.0 bis 2027/2030). Wir stellen sicher, dass Ihre neue Systemlandschaft – oder vergleichbare ERP-Lösungen anderer Hersteller – nicht nur technologisch zukunftsfähig ist, sondern bereits „by Design“ alle regulatorischen Vorgaben und strategischen Unternehmensziele erfüllt.