SOX-light bei der SBB AG - isaca.ch · SOX-light bei der SBB AG Ziele, Praxiserfahrungen und Tools Emanuel Ritzmann Projektleiter SOX-light IT-Tool ... S.4.1 Finanzbuchhaltung / Accounting

1

Oktober2005 Seite 1ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle

SOX-light bei der SBB AGZiele, Praxiserfahrungen und Tools

Emanuel RitzmannProjektleiter SOX-light IT-Tool

Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 2

Agenda

1. Ausgangslage

2. Umsetzung3. IT-Tool

4. Praxiserfahrungen

5. Ausblick

6. Q&A

2


1. Ausgangslage2. Umsetzung3. IT-Tool4. Praxiserfahrungen5. Ausblick6. Q&A


AusgangslageIntro

Black-out SBB

Ë Internal Controls?•

3


AusgangslageSOX-light freiwillig?

AuftragË Im Jahr 2003 Abklärung des Einflusses von SOX auf die SBB ‡ kein

direkter EinflussË Bisher kein transparentes, konsolidierbares IKSË Im Projekt SOX-light werden die Artikel 302 / 404 umgesetzt

Einflussfaktoren/RahmenbedingungenË Audit Committee verlangt eine Gesamtbeurteilung des IKS der SBB

durch die Interne Revision. Ausserdem müssen IKS und CorporateGovernance im Risk-Assessment periodisch beurteilt werden.‡ Grundlage?

Ë Best Practices, Gesetze (OR 728a)


AusgangslageGrundsätze SOX-light SBB

Ë Added Value Gedanke steht im MittelpunktË Nutzen bestimmt Umfang, Tiefe, KostenË „Light“ bedeutet eine pragmatische

VorgehensweiseË Keine DokumentationsflutË Transparenz vor „Kontrolle um jeden Preis“Ë Risk basedË Kein Testat der externen Revisionsstelle

4


AusgangslageZiel/Nutzen

Projektzielß Erstellen, Dokumentieren und Testen eines transparenten IKS-Gesamtsystems für die wesentlichen Prozesse mit Bezug auf die Rechnungslegung bei der SBB.

Nutzenß Wesentlicher Nutzen des Projektes ist die Stärkung der Führungskontrolle bei der SBB.

ß Vorwegnahme gesetzlicher Entwicklungen in der Schweiz (Botschaft zum OR: Art. 728a „..Die Revisionsstelle prüft gemäss Ziffer 4, ob ein (funktionierendes) internes Kontrollsystem (sog. IKS) existiert..“)


1. Ausgangslage

2. Umsetzung3. IT-Tool4. Praxiserfahrungen5. Ausblick6. Q&A

5


UmsetzungGeschäftsbericht im Mittelpunkt


UmsetzungSOX-light Prozess

1. Scoping

- Risiken- Regulator- Standards- Trends- Eigner

Revisionsplan(extern/intern)

Massnahnen-Controlling

2. Dokumentation 3. Test

2.1 Prozesse 2.2 Risiken 2.3 Key Controls

Self-Assessment

6


UmsetzungProzesslandschaft SBB


UmsetzungMajorprozesse Finanzen

Ë Vom Groben ins DetailË Vom Konzern zu den DivisionenË Pro Majorprozess ein Beispiel als Vorlage

S.4.2 Betriebsbuchhaltung / Controlling S.4.1 Finanzbuchhaltung / Accounting

S.4.3 Treasurymanagement S.4.4 Beteiligungscontrolling S.4.5 Steuern

S.4.7 Periodenabschluss

S.4.6 Risikofinanzierung & Versicherung

7


UmsetzungRealisierungseinheiten

Umsetzung noch nicht geplant2006 bis 20072004 bis 2005

Zum Beispiel:ß Neue Technologienß Bahnbetrieb

Zum Beispiel:ß Geschäftsprozesse/Erträgeß Personalsystemß Projektmanagementsystemß Finanzielle Planung und Steuerung (z.B. Budget)ß IT

ß FIBUß BEBUß Steuernß Treasuryß Beteiligungsmanagementß Versicherungenß Periodenabschluss

Alle Geschäftsprozesse ohnedirekten Bezug zu denFinanzen.

Alle Geschäftsprozesse, dieWerteflüsse in denFinanzprozess liefern sowieder finanzielle Planungs- undSteuerungsprozess.

Alle Finanzprozesse gemässProzessübersicht SBB.

RE3 Alle ProzesseRE2 Alle Prozesse(Finanzrelevanz)

RE1 Finanzprozesse


UmsetzungIT-Prozess

RE 1 (bisher)Ë General IT Controls: Nicht integriert in SOX-light. Punktuell durch interne

Revisionen nach COBIT abgedeckt.Ë Application Controls: Für Applikationen im Finanzprozess wurden Key Controls

aufgenommen.

RE 2 (geplant)Ë Integration und Ausbau der General IT-Controls ins Projekt SOX-lightË Ausbau der Application Controls (Weitere IT-Systeme, Schnittstellen)

Prozessübersicht und Key Controls"Sox-Light" Version 1.00

Prozess (Ist)Major-prozess

Nr. PE1 PE2 PE3 Eigner Ausführung,Mitarbeit

Periodizität Normen,Vorgaben

PE = Prozessebene

S.4.1 Accunting/FIBU 9 IT-Systeme90 Customizing/Parametrisierung, Changemgt. fallweise SAP-Handbuch, COBIT

91 Berechtigungen fallweise SAP-Handbuch, COBIT

92 Stammdaten fallweise SAP-Handbuch, COBIT

93 Systemausfall/Netzausfall laufend SAP-Handbuch, COBIT

8


UmsetzungKey Controls SAP-FI

ZielË Welche vorgegebenen SAP-Reports müssen im SAP-FI periodisch durchgeführt

werden (‡ „must“ Key Controls)

Definition SollË 6 Key Controls im Bereich der Datenintegrität / Schnittstellen

Ist-Situation (Durchführung Key Controls im SAP-FI zum Prüfungszeitpunkt)Bereich A Bereich B Bereich C Bereich D Bereich E

Kontrolle 1

Kontrolle 2

Kontrolle 3

Kontrolle 4

Kontrolle 5

Kontrolle 6

Durchführung gemäss VorgabenTeilweise/Sporadische DurchführungKeine Durchführung


1. Ausgangslage2. Umsetzung

3. IT-Tool4. Praxiserfahrungen5. Ausblick6. Q&A

9


IT-ToolAusgangslage

Ë Bisher Excel für die DokumentationË Für grosse Datenmengen ist Excel ungeeignetË Kein dezentraler Zugriff auf die DateienË Fortschrittskontrolle / Reporting mühsam

Ë Mit dem Entscheid zur Ausweitung auf RE2 wurde die Ablösung von Excel durchein Standardtool beschlossen.


IT-ToolAnbieterauswahl

Axentis, Certus, HandySoft,OpenPages, Paisley, etc.

IBM, etc.SAP, Oracle, People Soft,etc.

Bsp.

Ë Fehlende IntegrationË LizenzkostenË Langfristiger Bestand?Ë Marktdominanz in USA

Ë COSO wird nur teilweise unterstützt

Ë Später MarkteintrittË Tiefer ReifegradË Wenig IKS Know-how

Nachteile

Ë Hohe IKS-KenntnisseË Mittlerer Reifegrad

Ë Erfahrung mit Dokumentablage und Workflowsystemen

Ë Integration IT-PlattformË Tiefe/keine LizenzkostenË Hohe Marktpräsenz

Vorteile

Spezial-ToolsECM-Systeme(content management)

ERP-Systeme

Quelle: Forrester: Sarbanes-Oxley Compliance Software, Q1 2005; www.forrester.com

10


IT-ToolVorteile IT-Tool

Vorteile beim Einsatz eines geeigneten IT-ToolsË Alle Informationen in einem IT-Tool (Risiken, Kontrollen, Testresultate)Ë Effiziente jährliche Aktualisierung durch Workflow-ModulË Dezentraler Zugriff auf aktuelle Version (Rollenkonzept)Ë Umfassende Reporting-Funktionen für ManagementË DokumentenverwaltungË Einfache Nachvollziehbarkeit von ÄnderungenË Anreiz für eine hohe Standardisierung


1. Ausgangslage2. Umsetzung3. IT-Tool

4. Praxiserfahrungen5. Ausblick6. Q&A

11


Praxiserfahrungenlessons learned

Ë Sponsoring durch CFO und Audit Committee wichtigË Frühzeitig Ressourcen bei den beteiligten

Linienorganisationen „reservieren“Ë Enge Begleitung der Linie durch Methoden-Owner,

damit ein konsolidierbares IKS entsteht. „Coaching“der Linie ist die beste Schulung

Ë Workshops haben sich bewährtË Inhaltliche Verantwortung liegt bei LinieË Messbarkeit der Key Controls klar definieren ‡ TestË Genug Zeit für die Tests einplanenË Formeller Testbericht erstellen ‡ Management

Attention


PraxiserfahrungenNutzen

Ë Sensibilisierung des Managements und derSachbearbeiter auf das IKS

Ë Risiken werden bewusster wahrgenommen

Ë Input Corporate Risk-Management

Ë Übersicht über Prozesse und ProzessschritteË Transparent dokumentiertes IKS für den

gesamten KonzernË Know-how Transfer und Benchmarking

zwischen den Divisionen

12


1. Ausgangslage2. Umsetzung3. IT-Tool4. Praxiserfahrungen

5. Ausblick6. Q&A


AusblickIntegration SOX-light und Revision

Ë SOX-light zeigt die Risikolandschaft aufË Gezielte Revisionen in Bereichen mit fehlenden

oder schwachen KontrollenË Rasches Einarbeiten in Revisionen dank

aufgenommenen ProzessenË SOX-light Methodik wird für Prozessrevisionen

angewandtË Externe Revision stützt sich auf SOX-light Key

Controls abË Testing durch Interne Revision, wo sinnvoll durch

Externe RevisionË Trend zur Standardisierung in der Internen

Revision

13


Ausblick

Ë Jährliche AktualisierungË Kontinuierlicher VerbesserungsprozessË Tests der Internen Revision teilweise durch Self-

Assessments ersetzenË Projektbegleitungen ex ante (angemessenes IKS

bereits bei Implementierung)Ë OR728a abgedeckt


1. Ausgangslage2. Umsetzung3. IT-Tool4. Praxiserfahrungen5. Ausblick

6. Q&A

Documents

SOX-light bei der SBB AG - isaca.ch · SOX-light bei der SBB AG Ziele, Praxiserfahrungen und Tools Emanuel Ritzmann Projektleiter SOX-light IT-Tool ... S.4.1 Finanzbuchhaltung / Accounting