Upload
bardulf-weisert
View
135
Download
1
Embed Size (px)
Citation preview
IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag
Adrian Scholze, dipl. Wirtschaftsprüferthv AG, Aarau
anlässlich der Informationsveranstaltung der AVUSA vom 20. Februar 2008
2
Agenda
Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen
3
Definition eines Internen Kontrollsystems (IKS)
Unter Interner Kontrolle werden alle durch den Verwaltungs-/Stiftungsrat oder die Unternehmensleitung angeordneten Vorgänge, Methoden und Massnahmen verstanden, die dazu dienen, einen ordnungsgemässen Ablauf der betrieblichen Aktivitäten zu gewährleisten.
Die organisatorischen Massnahmen der internen Kontrolle sind in die betrieblichen Arbeitsabläufe integriert, d.h. sie erfolgen arbeitsbegleitend, oder sind dem Arbeitsvollzug unmittelbar vor- oder nachgelagert.
4
Aufgaben und Verantwortlichkeiten
Verwaltungs-/Stiftungsrat: Oberverantwortung Ausgestaltung
Geschäftsleitung: Umsetzung Aufrechterhaltung
Revisionsstelle: Berücksichtigung bei der
Prüfung der Jahresrechnung Neu: jährliche Prüfung der
Existenz
5
IKS ist auch Bestandteil des Risikomanagements
Internes Kontrollsystem Risikomanagement
- Beschränkung auf reine Risikobetrachtung
- Schwerpunkt bei der Schadensbegrenzung (wirksame Massnahmen einleiten; im bestenFall bis zur Eliminierung des Risikos)
- Risikomanagement als übergeordnetes System
- Berücksichtigung von Chancen und Risiken
6
Kontrollziele eines IKS (Nutzen)
Strategie: Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente Geschäftsführung
Betrieb: Verhinderung, Verminderung und Aufdeckung von Fehlern (operationelle Risiken) und Unregelmässigkeiten (Betrug)
Finanzberichterstattung: Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung sowie zeitgerechte und verlässliche finanzielle Berichterstattung (Bewertung, Offenlegung, etc.)
Compliance: Einhaltung der anwendbaren Normen wie z.B. Gesetze, Verordnungen, Reglemente und Weisungen
Nach revOR: primär finanzielle Berichterstattung!
7
Anforderungen an ein IKS
Wirksamkeit• Unternehmenskultur
• klar geregelte Verantwortungen
• Kontrollen sind in Geschäftsprozesse integriert undwerden überwacht
• Mitarbeiter sind geschult
• Informations- und Eskalations-prozedere sind definiert
Effizienz• IKS ist integraler Bestandteil des unternehmensweiten Risikomanagements
• fokussiert auf Schlüsselrisiken
• nach Möglichkeit Automati- sierung der Kontrollen
Nachvollziehbarkeit• Dokumentation der
- IKS-Ziele und –Ausbaugrad - Geschäftsrisiken - Prozesse & Kontrollen
• Kontrolltätigkeiten werden nachvollziehbar dokumentiert
• Qualität des IKS wird regelmässig beurteilt und darüber Bericht erstattet
8
Komponenten eines IKS
Quelle: COSO
Kontrollumfeld Risikobeurteilung
Kontroll-aktivitäten
Information undKommunikation
Über- wachung
9
Warum braucht es ein IKS gerade JETZT?
Neue gesetzliche Vorschriften: Ordentliche Revision! (Prüfung der Existenz eines IKS durch die Revisionsstelle)
Vorgabe des Subventionsgebers einer ordentlichen Revision (z.B. BKS)
Professionalisierung der (finanziellen) Führung, insbesondere betreffend Kontrolle
10
Agenda
Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen
11
Wichtige Schritte im Aufbau eines IKS
1 Ist-Analyse
8 Revisionsstelle
7 Behebung Schwachstellen
6 Beurteilung Wirksamkeit
5 Kontrollbeschreibung
4 Risiko-/Kontrollmatrix
3 Auswahlverfahren
Bestimmung Methodik2
Kontinuierliche Projektleitung, -überwachung und –steuerungAbstimmung mit der Revisionsstelle
Generelle IT-Kontrollen
Kontrollen auf Prozessebene
Kontrollen auf Unternehmens-ebene
Kontrollumfeld Risikobeurteilung
Über- wachung
Information undKommunikation
Kontroll-aktivitäten
12
Schritt 1: Ist-Analyse Analyse des heutigen Standes (inklusive vorhandener
Informationen, Dokumentationen)
Unternehmensebene (Beispiele): Richtlinien und Verfahren zur Einhaltung der ethischen
Werte (code of ethics) sowie Verhalten und Taten der Vorgesetzten
bestehende Qualitätssicherungssysteme Kompetenzregelung Organisationsreglement Stellenbeschreibungen
13
Schritt 1: Ist-Analyse
Prozessebene (Beispiele): Prozessbeschreibungen / Flow Charts Kontrollbeschreibungen Dokumentationen aus ISO-Zertifizierung Weisungen
IT-Ebene (Beispiele): IT-Landschaft / relevante Systeme Organigramm IT-Abteilung Zuständigkeiten für einzelne Rechenzentren oder IT-
Systeme sowie Qualitätssicherung
14
Schritt 1: Ist-Analyse (Qualitätsanforderungen)
Wenigverlässlich
Stufe 1
InformellStufe 2
StandardisiertStufe 3
ÜberwachtStufe 4
OptimiertStufe 5
Standardisiert: Einfache Grundsätze, wie IKS zu betreiben ist, sind definiert. Prozesslandschaft und Geschäftsprozesse sind dokumentiert (Tätigkeiten und Kontrollen). Durchgeführte Kontrollen sind nachvollziehbar. Es findet ein Erfahrungsaustausch statt, und regelmässig werden die Kontrollen an veränderte Risiken angepasst. Für die Mitarbeiter hat eine Basisschulung stattgefunden.
Informell: Interne Kontrollen sind vorhanden, aber nicht standardisiert. Vorhandene Kontrollen können kaum oder gar nicht nachvollzogen werden. Kontrollen sind stark personenabhängig, es erfolgt keine Schulung oder Kommunikation über die Kontrollen.
15
Schritt 2: Bestimmung der Methodik
Vorgehen bezüglich Unternehmensebene Prozessebene Generelle IT-Kontrollen
Projektumfang (Kontrollziele) und Projektorganisation Information: Schulung und Training von Mitarbeitern
Verfassen eines Konzeptpapiers!
16
Schritt 3: Auswahlverfahren (Scoping) Identifizieren der Schlüsselprozesse (basierend auf der
Jahresrechnung) Quantitative und qualitative Auswahlkriterien Nachvollziehbares und prüfbares Auswahlverfahren
bezüglich Geschäftseinheiten / -bereiche Positionen der Jahresrechnung
sowie Prozesse IT-Applikationen und End-User
Applikationen
Festlegen des Umfangs als zentrale Phase!
17
Schritt 3: Schlüsselprozesse Heime (Bsp.)
Leistungsverrechnung (Debitoren) / Umsatz Kreditoren / Betriebsaufwand / Zahlungswesen Personal- und Lohnwesen Investitionen / Bewertung / Abschreibungen Budgeterstellung / Subventionen
18
Schritt 4: Risiko-/Kontrollmatrix
Prozessdokumentationen erstellen (evtl. mit Flow Charts)
Identifikation und Bewertung der Schlüsselrisiken Identifikation von Kontrollen bzw. Massnahmen Gegenüberstellung von Risiken und Kontrollen pro
Prozess mit wesentlichen Aspekten zu jeder Kontrolle wie bspw. Verbindung zu Positionen in der Jahresrechnung
Gegenüberstellung von Risiken und Kontrollen pro IT-Applikation oder End-User Applikation mit wesentlichen Aspekten zu jeder Kontrolle
19
Positionender Jahres-rechnung
Positionender Jahres-rechnung
Schlüssel-prozesse
Schlüssel-prozesse
Flow Charts /Prozess-beschrei-bungen
Flow Charts /Prozess-beschrei-bungen
Risiko-/Kontrollmatrix
Identifikationund Bewer-tung von Schlüssel-
risiken
Identifikationvon
Kontrollen
Detaillierte Kontroll-
beschreibung(manueller Teil der Kontrolle=
Kontroll-prozedur)
Zielsetzung des IKS(Richtigkeit und
Vollständigkeit derfinanziellen
Berichterstattung)
Zielsetzung des IKS(Richtigkeit und
Vollständigkeit derfinanziellen
Berichterstattung)
Schritt 3Auswahlverfahren
Schritt 4 und 5Risiko-/Kontrollmatrix und Kontrollbeschreibung
Schritt 4: Risiko-/Kontrollmatrix
20
Schritt 4: Identifikation von Kontrollen Geschäftsleitung trifft Massnahmen zur Steuerung
der Risiken und zur Zielerreichung Kontrollen stellen sicher, dass diese Massnahmen,
tatsächlich umgesetzt werden. Zeitliche Wirkung einer Kontrolle:
Präventive Kontrollen: Fehlerverhinderung(Funktionentrennung, Kompetenzenregelungen, Passwörter und Zugriffsvorschriften, physische Schutzvorkehrungen u.ä.)
Detektive Kontrollen: Fehlersuche (Durchsicht von Kontrollberichten, Abstimmungen, physische Inventur, Reviews)
21
Schritt 4: Identifikation von Kontrollen
Präventive Kontrollen
Zugriffsschutz (Autorisierung, Need to Know) Datenabgleich (Fehler-protokolle)
Automatische Kontrollen
Detektive Kontrollen
Manuelle Kontrollen
Einhaltekontrollen Abstimmkontrollen physische Kontrollen
Funktionentrennung, Kompetenzenregelungen, Zugriffsvorschriften, physische Schutzvorkehrungen u.ä.
Funktionentrennung, Passwörter und Zugriffsvorschriften
Managementkontrollen (Performance Report, Budgetvergleiche, etc.)
Grundlagen
22
Schritt 5: Kontrollbeschreibung
Detaillierte Kontrollbeschreibung für die identifizierten Schlüsselkontrollen für einen sachverständigen Dritten
nachvollziehbar wichtig: W-Fragen beantwortet (wer, was, wie,
wie oft, wann, wo, warum) für automatische Applikationskontrollen konkrete
Funktionsbeschreibungen erforderlich
23
Schritt 4 & 5: Beispiel
24
Schritt 6: Beurteilung der Wirksamkeit Unternehmensebene:
Beurteilung von Dokumenten Interviews und Befragungen
Prozessebene: Interviews, Bestätigungen, Control Self Assessment Prozessdokumentationen und
Kontrollbeschreibungen Beurteilung durch Dritte oder andere unabhängige
Mitarbeiter innerhalb des Unternehmens Generelle IT-Kontrollen: vgl. Prozessebene
25
Schritt 6: Beurteilung der Wirksamkeit Periodische Managementkontrollen (basierend auf
Stichproben) auf Prozessebene gewährleisten eine gleichbleibende Qualität der Kontrollen über die Zeit
Beurteilung durch Vorgesetzte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens (Delegation der Kontrolle möglich, nicht aber der Verantwortung)
Periodische Überprüfung der Aktualität und Bestätigung dessen durch den Prozess-verantwortlichen
26
Schritt 6: Wirkung von Managementkontrollen
Wenigverlässlich
Stufe 1
InformellStufe 2
StandardisiertStufe 3
ÜberwachtStufe 4
OptimiertStufe 5
A
B
Qu
alit
ät
Zeit
Qualität eines Prozesses mit (A) und ohne (B) Managementkontrollen und Anpassungen an Veränderungen des Umfelds
27
Schritt 6: Prüfung Existenz vs. Wirksamkeit
Beurteilungs-gegenstand
Beurteilungsmethode
Ausgestaltung Beurteilung der Ausgestaltung anhand Kontrollbeschreibung
Implementierung Beurteilung der Implementierung anhand eines Walkthrough (Wurzelstichprobe)
Aufrechterhaltung Beurteilung der operativen Wirksamkeit anhand von Stichproben
OR:ExistenzIKS OR:
Wirksamkeit (Abschluss)
28
Schritt 7: Behebung von Schwachstellen und Berichterstattung
Berichterstattung über durchgeführte Kontrollen Berichterstattung über festgestellte Mängel
Schwächen Interner Kontrollen sind erkannt zeitnah an die Verantwortlichen kommuniziert evtl. Information von Geschäftsleitung oder VR/SR
Einleiten von Korrekturmassnahmen und Priorisierung der Schwachstellen: Massnahmen Verantwortlicher Terminierung Überwachung des Behebungsprozesses
29
Schritt 6 & 7: Beispiel
30
Schritt 8: Revisionsstelle
Vorbereiten der Unterlagen für die Revisionsstelle (Dokumentationen zu Prozess- und Kontrollbeschreibungen, durchgeführten Kontrollen & Managementkontrollen)
Ohne Dokumentation kann nicht geprüft werden!
Befragungen und Durchsicht der Dokumentation alleine gibt nicht genügend Prüfsicherheit
Kombination von Prüfungsverfahren: Ermessen des Prüfers
31
Agenda
Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen
32
Der Weg zu einem erfolgreichen IKS-Projekt
Akzeptanz und Verpflichtung durch Verwaltungs-/Stiftungsrat und Geschäftsleitung
Schritt- /Phasenweises Vorgehen (Kontrollziele) Definition klarer Anforderungen an das IKS (und
systematisches Vorgehen) Klare Zuordnung von Aufgaben und
Verantwortungen Schulung aller mit dem IKS betrauten Stellen/
Personen
33
Der Weg zu einem erfolgreichen IKS-Projekt
Verfügbarkeit von Ressourcen Kontinuierliche Anpassung des IKS an verändertes
Umfeld Überwachung der Wirksamkeit des IKS durch
Verwaltungs-/Stiftungsrat und Geschäftsleitung
Bewusstsein, dass es keine absolute Sicherheit gibt!
34
Vor- und Nachteile durch die Einführung eines IKS
Vorteile: Chance zur Professionalisierung des Vorhandenen Gewissheit des Verwaltuns-/Stiftungsrates über funktionierendes
IKS Geringeres finanzielles Risiko hinsichtlich Zielerreichung,
Betrugsfälle, etc. -> Schutz des Geschäftsvermögens Weniger Abhängigkeiten von einzelnen Personen
Nachteile : Mehr Dokumentations- und Zeitaufwand (nicht
produktiv) Kosten für Implementierung und Aufrechterhaltung der
Wirksamkeit des IKS (evtl. Beratungsaufwand) Höherer Revisionsaufwand durch ordentliche Prüfung
35
Fragen?
36
Auskunftserteilung und Unterstützung
Adrian Scholze, dipl. Wirtschaftsprüfer
062 837 17 [email protected]
Rolf Kihm, dipl. WirtschaftsprüferTeamleiterRiskmanagement-Experte SWC
062 837 17 [email protected]
Stefan Elmiger, dipl. WirtschaftsprüferMitglied der Geschäftsleitung
062 837 17 [email protected]
37
Besten Dank für Ihre Aufmerksamkeit