Assurance & IT für die Gesundheits- und Sozialwirtschaft​

Digitalisierung und Archivierung

Der rasante Wandel in der IT sowie die Gesamtverantwortung für Digitalisierung und den technischen IT-Betrieb stellen viele Unternehmen vor große Herausforderungen. Besonders in der Gesundheits- und Sozialwirtschaft herrschen hohe regulatorische Anforderungen und ein permanenter Kosten- und Effizienzdruck. In unserer hochtechnologisierten Welt ist der Einsatz der richtigen Werkzeuge und Systeme deshalb entscheidend. Ob ERP-Systeme, IT-Servicemanagementtools oder Speziallösungen – mit unserer Expertise und Erfahrung, beraten wir Sie zielgerichtet und passgenau. Wir unterstützen Sie bei der Erstellung und Umsetzung passender Digitalisierungsstrategien. 

Unsere Schwerpunkte

• Digitalisierung von Geschäftsprozessen
• Readiness-Check: Sind Sie bereit für die elektronische Archivierung?
• Revisionssicherheit von elektronischen Archiven

Mehr erfahren

Compliance Management

Wir unterstützen Einrichtungen der Gesundheits- und Sozialwirtschaft beim Aufbau und der Integration wirksamer Compliance Management Systeme. Ziel ist die Prävention von Rechts- und Haftungsrisiken, insbesondere im Hinblick auf Strafrecht, Datenschutz und Organisationsverschulden. Unser Ansatz verbindet rechtliche, organisatorische und IT-Aspekte, integriert Compliance in alle Abläufe und schafft Synergien mit bestehenden Managementsystemen. So sichern wir nachhaltige Rechtskonformität und stärken Ihre Organisation.

Unsere Schwerpunkte

• Implementierung von Compliance Management Systemen und Einrichtung eines Tax Compliance Management Systems
• Konzeptions- und Wirksamkeitsprüfungen nach IDW PS 980
• Gestellung eines externen Compliance Managers
• Compliance Due Diligence
• Tax Compliance Praxis

Mehr erfahren

​​Interne Revision​

Wir unterstützen Einrichtungen der Gesundheits- und Sozialwirtschaft umfassend in allen Fragen der Internen Revision. Neben klassischen Ordnungsmäßigkeitsprüfungen, wie Risikomanagement oder ERP-Berechtigungen, bieten wir Beratungsleistungen zur Effizienzsteigerung.

Anlassbezogene Prüfungen zu Cyber Security, Datenschutz, Fraud oder Zahlungsströmen ergänzen unser Portfolio. Zudem führen wir Softwaretestate nach IDW PS 880 und Dienstleister-Zertifizierungen nach IDW PS 951 / ISAE 3402 durch.

Unsere Schwerpunkte

• Interne Revision und IT-Audit
• Fraud: Prävention und Aufklärung

Mehr erfahren

Risikomanagementsysteme

Wirksame Governance und die systematische Vermeidung von Haftungsrisiken für gesetzliche Vertreter in Krankenhäusern, Sozialunternehmen, Forschung und Lehre sind ohne ein leistungsfähiges Risikomanagementsystem nicht denkbar. Die allgemeine gesetzliche Sorgfaltspflicht ist in den letzten Jahren durch Gerichtsurteile bekräftigt und präzisiert worden. Demnach müssen Management Systeme Risiken wirksam beherrschen können. Die entsprechende Rechtspflicht liegt beim jeweiligen Geschäftsführer.

Unsere Schwerpunkte

• Risikoumfeld in Gesundheit und Forschung: Neben der erheblichen Verschärfung des Risikoumfelds in den vergangenen Jahren, von der alle Unternehmen und Organisationen betroffen sind, ist die Gesundheits- und Forschungswirtschaft mit wachsenden branchenspezifischen Risiken konfrontiert, beispielsweise demografischen und gesellschaftlichen Herausforderungen, einer Bedrohung der bisher gelebten Finanzierungsmodelle und einer zum Teil kaum beherrschbaren Regulatorik.
• Frameworks und Best Practices für das Risikomanagementsystem: Das Risikomanagementsystem ist ein zentrales Steuerungsinstrument. Wir orientieren uns bei der Konzeption von Risikomanagementsystemen an den gesetzlichen Anforderungen sowie an den anerkannten Rahmenwerken wie COSO ERM, ISO 31000 und IDW PS 981. Der Risikozyklus umfasst eine systematische Identifikation, Bewertung und Steuerung der Risiken, die Risikoüberwachung, Berichtswesen und Eskalation sowie die kontinuierliche Verbesserung des Systems.
• Unser branchenspezifisches Projekt-Know-how: Wir unterstützen Sie mit unserer Branchenkenntnis bei der Definition des methodischen Rahmens Ihres RMS und Ihrer Grundsätze für Risikobewertung und Steuerung. Gemeinsam mit Ihnen identifizieren, bewerten und priorisieren wir Ihre Risiken. Wir konzipieren auf dieser Grundlage geeignete Aggregationsmodelle, unterstützen die Entwicklung Ihrer Methodik zur Ermittlung der Risikotragfähigkeit und helfen Ihnen bei Auswahl und Implementierung des dafür geeigneten IT-Tools. Schließlich erstellen wir Ihre RMS-Dokumentation und -Schulungsunterlage.
• Sicherheit durch unabhängige Prüfungen des RMS: Der Prüfungsstandard IDW PS 981 zur Prüfung von Risikomanagementsystemen hat sich in der Praxis von Gesundheitswirtschaft und Forschung bewährt, um valide, unabhängige und nachweisbare Erkenntnisse über den Entwicklungsstand und die Wirksamkeit des eingerichteten RMS zu erlangen. Auch bei der Angemessenheits- oder Wirksamkeitsprüfung Ihres Risikomanagementsystems auf der Grundlage des IDW PS 981, die wir effizient und nutzenstiftend umsetzen, profitieren Sie von unserem umfassenden Branchenhintergrund.

Datenschutz

Die sichere und DSGVO-konforme Verarbeitung von Daten und Informationen ist heute unverzichtbar und spielt in allen Bereichen eine entscheidende Rolle. Besonders im Gesundheits- und Sozialwesen ist der Schutz der sensiblen Daten von großer Bedeutung. Wir unterstützen Sie in allen Bereichen des Datenschutzes, sei es durch Mitarbeiterschulungen, Stellungen eines externen Datenschutzbeauftragten oder im Bereich der DSGVO. 

Unsere Schwerpunkte

• Datenschutz/DSGVO
• Externer Datenschutzbeauftragter
• Verschiedene Mitarbeiterschulungen speziell für Krankenhäuser, Pflegeheime sowie Kitas
• Datenschutzaudit

Mehr erfahren

​​Informationssicherheit

Wir unterstützen Sie in allen Bereichen der Informationssicherheit. Sei es durch Aufbau eines ISMS oder durch Stellung eines externen Informationssicherheitsbeauftragten. Gemeinsam helfen wir Ihnen, Risiken in der Informationssicherheit frühzeitig zu erkennen und präventiv zu vermeiden.

Unsere Schwerpunkte

• Cyber Security Check
• Implementierung eines ISMS
• Externer Informationssicherheitsbeauftragter
• Awareness-Schulungen
• Business Continuity Management

Mehr erfahren

KRITIS-Prüfung

Im Gesundheitssektor sind KRITIS-Betreiber für die Durchführung von Prüfungen gemäß § 8a des IT-Sicherheitsgesetzes (BSIG) verantwortlich. Diese Prüfungen zielen darauf ab, die Sicherheit kritischer Infrastrukturen zu gewährleisten und gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen. Wenn Betreiber diese kritischen Dienstleistungen in eigenen Anlagen erbringen und dabei bestimmte Schwellenwerte überschreiten (normalerweise mehr als 500.000 versorgte Personen), werden sie als KRITIS-Betreiber eingestuft. Der Faktor wird umgerechnet in branchenspezifische Werte, zum Beispiel 30.000 vollstationäre Fälle pro Jahr bei Krankenhäusern.

Unsere Schwerpunkte

• Durchführung gesetzlicher Prüfungen nach § 8a BSIG
• Freiwillige Prüfungen zur Ermittlung der Erfüllung des Stands der Technik in Anlehnung an § 391 SGB V
• Umsetzung gesetzlicher Anforderungen nach IT-Sicherheitsgesetz, BSIG und branchenspezifischen Sicherheitsstandards
• Technische und organisatorische Maßnahmen zur Gewährleistung von Verfügbarkeit, Integrität und Vertraulichkeit
• Nachweis- und Berichtspflichten gegenüber BSI und Aufsichtsbehörden erfüllen

Mehr erfahren

NIS-2 Umsetzung

Wir unterstützen Krankenhäuser, Pflege– und Forschungseinrichtungen bei der Umsetzung der NIS-2-Richtlinie. Diese verpflichtet „wichtige“ und „besonders wichtige“ Einrichtungen, ihre IT-Sicherheitsmaßnahmen zu verstärken, Risiken zu managen und Sicherheitsvorfälle zu melden. Unser Ansatz verbindet regulatorisches Know-how mit IT- und Branchenexpertise, minimiert Haftungsrisiken der Geschäftsleitung und sorgt für nachhaltige Cyber-Resilienz und rechtskonforme Umsetzung der Vorgaben.

Unsere Schwerpunkte

• Einstufung und Prüfung, ob eine Einrichtung NIS-2-pflichtig ist
• Aufbau und Test wirksamer Risikomanagement- und Sicherheitsprozesse
• Rufbereitschaft zur fristgerechten Erfüllung der Meldepflichten
• Sensibilisierung und Verantwortungsübernahme der Geschäftsleitung
• Begleitung bei Nachweisen, Audits und der kontinuierlichen Verbesserung

Mehr erfahren

C5-Testat nach ISAE 3000

Wir begleiten Cloud-Dienstleister (v.a. SaaS-Anbieter, Rechenzentren) bei Prüfungen nach dem BSI C5-Standard. Das C5-Testat ist für Einrichtungen der Gesundheits- und Sozialwirtschaft Voraussetzung für die sichere Auslagerung sensibler Daten in die Cloud (§393 SGB V). Unsere Leistungen umfassen die Vorbereitung und Durchführung und Begleitung von C5-Prüfungen (Typ1 und Typ2).

Unsere Schwerpunkte

• GAP-Analyse zur Umsetzung des BSI C5-Kriterienkatalogs
• Unterstützung bei der Vorbereitung auf die C5-Testierung
• Durchführung von C5-Testierungen (Typ1 & Typ2)

Mehr erfahren

KI-Systeme

In der Gesundheits- und Sozialwirtschaft ist beim Einsatz von KI-Systemen der EU-AI-Act zu beachten. Hochrisiko-Systeme, etwa zur Diagnose, Pflegeplanung oder Leistungsbewertung, unterliegen strengen Vorgaben: Transparenz, Nachvollziehbarkeit, Risikomanagement, Datensicherheit und menschliche Kontrolle sind Pflicht. KI darf keine Diskriminierung verursachen und muss verlässliche, überprüfbare Ergebnisse liefern. Betroffene sind über den KI-Einsatz zu informieren, und die Verantwortung bleibt stets beim Anbieter oder Betreiber.

Unsere Schwerpunkte

• Unterstützung bei KI-Compliance
• Durchführung von KI-Schulungen mit Branchenbezug, rechtlichen Grundlagen und Praxisbeispielen
• Stellung externer KI-Beauftragter
• Prüfung und Zertifizierung von IT-Systemen nach IDW PS 861
• Digitale Gesundheitsanwendungen

Prüfung von Systemeinführungen

Systemeinführungen stellen Unternehmen vor komplexe Herausforderungen: Neben Prozessoptimierung sind regulatorische und sicherheitsrelevante Anforderungen zu erfüllen, insbesondere bei Finanzbuchhaltungssystemen. Hier gelten GoB, HGB, AO und GoBD, wodurch Bilanz- und Bewertungskontinuität, korrekte Datenmigration sowie restriktive Berechtigungen sichergestellt werden müssen. Unzureichende Vorbereitung kann zu Chaos und fehlerhaften Geschäftsvorfällen führen. Eine prüferische Begleitung nach IDW PS 850 oder PS 860 unterstützt die Projektdurchführung, bewertet regulatorische Anforderungen und dokumentiert ein ordnungsgemäßes Vorgehen. So erhalten Unternehmen Nachweise für Betriebsprüfungen. Erfolgsfaktoren sind klare Projektorganisation, Verantwortlichkeiten, Budget- und Zeitplanung sowie lückenlose Dokumentation. In der Testphase werden Migration, Integrationen, Prozesse, Berechtigungen und Datenübernahmen intensiv geprüft und dokumentiert. Berechtigungskonzepte sind entscheidend für ein wirksames internes Kontrollsystem, um Risiken zu minimieren und effiziente Prozesse sicherzustellen. Eine strukturierte Vorgehensweise mit frühzeitiger Fehlererkennung ermöglicht einen reibungslosen Produktivstart und die erfolgreiche Umsetzung von Einführungsprojekten.

Softwaretestat nach IDW PS 880

Die zunehmende Digitalisierung und Automatisierung erfordert die Prüfung von Software auf Ordnungsmäßigkeit und Sicherheit. Ein Softwaretestat nach IDW PS 880 prüft, ob die Software gesetzliche Anforderungen erfüllt, Funktionen korrekt arbeitet und die Softwareentwicklung angemessen ist. Der Prüfer bewertet u.a. die Softwareentwicklung, Verarbeitungsfunktionen, Funktionsfähigkeit und Softwaresicherheit. Für Anwender dient das Testat als Nachweis der Zuverlässigkeit und unterstützt Compliance- und Jahresabschlussprüfungen, wodurch Prüfaufwand und Kosten dieser Prüfungen reduziert werden. Für Softwarehersteller bietet die Testierung ein Gütesiegel, stärkt die Marktposition und dient als Instrument der Qualitätssicherung. Das Testat stellt klar, welche Pflichten Anwender haben, um die Software ordnungsgemäß einzusetzen.

IKS-Prüfung nach IDW PS 951 / ISAE 3402

Die Auslagerung von Daten und Prozessen in die Cloud ermöglicht Fokussierung auf Kernprozesse, die Verantwortung für die ausgelagerten Funktionen bleibt jedoch beim Unternehmen. Prüfungen nach IDW PS 951 bescheinigen die Angemessenheit (Typ 1) oder Angemessenheit und Wirksamkeit (Typ 2) des Internen Kontrollsystems (IKS) des Dienstleisters. Dies reduziert den Prüfaufwand für Mandanten, da der Bericht mehrfach genutzt werden kann, und ersetzt in den geprüften Bereichen weitere externe Prüfungen. Die Zertifizierung dient zudem als Nachweis von Sicherheit und Transparenz, verschafft Wettbewerbsvorteile und erfüllt gesetzliche Anforderungen. Mandanten und ihre Kunden erhalten Sicherheit über ein funktionierendes IKS, Dienstleister können ihre Qualität nachweisen und sich gegen Organisationsverschulden absichern. Die Prüfung nach IDW PS 951 oder ISAE 3402 hat sich als Standard für ausgelagerte Funktionen bewährt.