Upload
lythu
View
215
Download
0
Embed Size (px)
Citation preview
1
Oktober2005 Seite 1ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle
SOX-light bei der SBB AGZiele, Praxiserfahrungen und Tools
Emanuel RitzmannProjektleiter SOX-light IT-Tool
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 2
Agenda
1. Ausgangslage
2. Umsetzung3. IT-Tool
4. Praxiserfahrungen
5. Ausblick
6. Q&A
2
Oktober2005 Seite 3ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle
1. Ausgangslage2. Umsetzung3. IT-Tool4. Praxiserfahrungen5. Ausblick6. Q&A
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 4
AusgangslageIntro
Black-out SBB
Ë Internal Controls?•
3
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 5
AusgangslageSOX-light freiwillig?
AuftragË Im Jahr 2003 Abklärung des Einflusses von SOX auf die SBB ‡ kein
direkter EinflussË Bisher kein transparentes, konsolidierbares IKSË Im Projekt SOX-light werden die Artikel 302 / 404 umgesetzt
Einflussfaktoren/RahmenbedingungenË Audit Committee verlangt eine Gesamtbeurteilung des IKS der SBB
durch die Interne Revision. Ausserdem müssen IKS und CorporateGovernance im Risk-Assessment periodisch beurteilt werden.‡ Grundlage?
Ë Best Practices, Gesetze (OR 728a)
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 6
AusgangslageGrundsätze SOX-light SBB
Ë Added Value Gedanke steht im MittelpunktË Nutzen bestimmt Umfang, Tiefe, KostenË „Light“ bedeutet eine pragmatische
VorgehensweiseË Keine DokumentationsflutË Transparenz vor „Kontrolle um jeden Preis“Ë Risk basedË Kein Testat der externen Revisionsstelle
4
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 7
AusgangslageZiel/Nutzen
Projektzielß Erstellen, Dokumentieren und Testen eines transparenten IKS-Gesamtsystems für die wesentlichen Prozesse mit Bezug auf die Rechnungslegung bei der SBB.
Nutzenß Wesentlicher Nutzen des Projektes ist die Stärkung der Führungskontrolle bei der SBB.
ß Vorwegnahme gesetzlicher Entwicklungen in der Schweiz (Botschaft zum OR: Art. 728a „..Die Revisionsstelle prüft gemäss Ziffer 4, ob ein (funktionierendes) internes Kontrollsystem (sog. IKS) existiert..“)
Oktober2005 Seite 8ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle
1. Ausgangslage
2. Umsetzung3. IT-Tool4. Praxiserfahrungen5. Ausblick6. Q&A
5
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 9
UmsetzungGeschäftsbericht im Mittelpunkt
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 10
UmsetzungSOX-light Prozess
1. Scoping
- Risiken- Regulator- Standards- Trends- Eigner
Revisionsplan(extern/intern)
Massnahnen-Controlling
2. Dokumentation 3. Test
2.1 Prozesse 2.2 Risiken 2.3 Key Controls
Self-Assessment
6
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 11
UmsetzungProzesslandschaft SBB
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 12
UmsetzungMajorprozesse Finanzen
Ë Vom Groben ins DetailË Vom Konzern zu den DivisionenË Pro Majorprozess ein Beispiel als Vorlage
S.4.2 Betriebsbuchhaltung / Controlling S.4.1 Finanzbuchhaltung / Accounting
S.4.3 Treasurymanagement S.4.4 Beteiligungscontrolling S.4.5 Steuern
S.4.7 Periodenabschluss
S.4.6 Risikofinanzierung & Versicherung
7
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 13
UmsetzungRealisierungseinheiten
Umsetzung noch nicht geplant2006 bis 20072004 bis 2005
Zum Beispiel:ß Neue Technologienß Bahnbetrieb
Zum Beispiel:ß Geschäftsprozesse/Erträgeß Personalsystemß Projektmanagementsystemß Finanzielle Planung und Steuerung (z.B. Budget)ß IT
ß FIBUß BEBUß Steuernß Treasuryß Beteiligungsmanagementß Versicherungenß Periodenabschluss
Alle Geschäftsprozesse ohnedirekten Bezug zu denFinanzen.
Alle Geschäftsprozesse, dieWerteflüsse in denFinanzprozess liefern sowieder finanzielle Planungs- undSteuerungsprozess.
Alle Finanzprozesse gemässProzessübersicht SBB.
RE3 Alle ProzesseRE2 Alle Prozesse(Finanzrelevanz)
RE1 Finanzprozesse
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 14
UmsetzungIT-Prozess
RE 1 (bisher)Ë General IT Controls: Nicht integriert in SOX-light. Punktuell durch interne
Revisionen nach COBIT abgedeckt.Ë Application Controls: Für Applikationen im Finanzprozess wurden Key Controls
aufgenommen.
RE 2 (geplant)Ë Integration und Ausbau der General IT-Controls ins Projekt SOX-lightË Ausbau der Application Controls (Weitere IT-Systeme, Schnittstellen)
Prozessübersicht und Key Controls"Sox-Light" Version 1.00
Prozess (Ist)Major-prozess
Nr. PE1 PE2 PE3 Eigner Ausführung,Mitarbeit
Periodizität Normen,Vorgaben
PE = Prozessebene
S.4.1 Accunting/FIBU 9 IT-Systeme90 Customizing/Parametrisierung, Changemgt. fallweise SAP-Handbuch, COBIT
91 Berechtigungen fallweise SAP-Handbuch, COBIT
92 Stammdaten fallweise SAP-Handbuch, COBIT
93 Systemausfall/Netzausfall laufend SAP-Handbuch, COBIT
8
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 15
UmsetzungKey Controls SAP-FI
ZielË Welche vorgegebenen SAP-Reports müssen im SAP-FI periodisch durchgeführt
werden (‡ „must“ Key Controls)
Definition SollË 6 Key Controls im Bereich der Datenintegrität / Schnittstellen
Ist-Situation (Durchführung Key Controls im SAP-FI zum Prüfungszeitpunkt)Bereich A Bereich B Bereich C Bereich D Bereich E
Kontrolle 1
Kontrolle 2
Kontrolle 3
Kontrolle 4
Kontrolle 5
Kontrolle 6
Durchführung gemäss VorgabenTeilweise/Sporadische DurchführungKeine Durchführung
Oktober2005 Seite 16ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle
1. Ausgangslage2. Umsetzung
3. IT-Tool4. Praxiserfahrungen5. Ausblick6. Q&A
9
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 17
IT-ToolAusgangslage
Ë Bisher Excel für die DokumentationË Für grosse Datenmengen ist Excel ungeeignetË Kein dezentraler Zugriff auf die DateienË Fortschrittskontrolle / Reporting mühsam
Ë Mit dem Entscheid zur Ausweitung auf RE2 wurde die Ablösung von Excel durchein Standardtool beschlossen.
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 18
IT-ToolAnbieterauswahl
Axentis, Certus, HandySoft,OpenPages, Paisley, etc.
IBM, etc.SAP, Oracle, People Soft,etc.
Bsp.
Ë Fehlende IntegrationË LizenzkostenË Langfristiger Bestand?Ë Marktdominanz in USA
Ë COSO wird nur teilweise unterstützt
Ë Später MarkteintrittË Tiefer ReifegradË Wenig IKS Know-how
Nachteile
Ë Hohe IKS-KenntnisseË Mittlerer Reifegrad
Ë Erfahrung mit Dokumentablage und Workflowsystemen
Ë Integration IT-PlattformË Tiefe/keine LizenzkostenË Hohe Marktpräsenz
Vorteile
Spezial-ToolsECM-Systeme(content management)
ERP-Systeme
Quelle: Forrester: Sarbanes-Oxley Compliance Software, Q1 2005; www.forrester.com
10
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 19
IT-ToolVorteile IT-Tool
Vorteile beim Einsatz eines geeigneten IT-ToolsË Alle Informationen in einem IT-Tool (Risiken, Kontrollen, Testresultate)Ë Effiziente jährliche Aktualisierung durch Workflow-ModulË Dezentraler Zugriff auf aktuelle Version (Rollenkonzept)Ë Umfassende Reporting-Funktionen für ManagementË DokumentenverwaltungË Einfache Nachvollziehbarkeit von ÄnderungenË Anreiz für eine hohe Standardisierung
Oktober2005 Seite 20ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle
1. Ausgangslage2. Umsetzung3. IT-Tool
4. Praxiserfahrungen5. Ausblick6. Q&A
11
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 21
Praxiserfahrungenlessons learned
Ë Sponsoring durch CFO und Audit Committee wichtigË Frühzeitig Ressourcen bei den beteiligten
Linienorganisationen „reservieren“Ë Enge Begleitung der Linie durch Methoden-Owner,
damit ein konsolidierbares IKS entsteht. „Coaching“der Linie ist die beste Schulung
Ë Workshops haben sich bewährtË Inhaltliche Verantwortung liegt bei LinieË Messbarkeit der Key Controls klar definieren ‡ TestË Genug Zeit für die Tests einplanenË Formeller Testbericht erstellen ‡ Management
Attention
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 22
PraxiserfahrungenNutzen
Ë Sensibilisierung des Managements und derSachbearbeiter auf das IKS
Ë Risiken werden bewusster wahrgenommen
Ë Input Corporate Risk-Management
Ë Übersicht über Prozesse und ProzessschritteË Transparent dokumentiertes IKS für den
gesamten KonzernË Know-how Transfer und Benchmarking
zwischen den Divisionen
12
Oktober2005 Seite 23ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle
1. Ausgangslage2. Umsetzung3. IT-Tool4. Praxiserfahrungen
5. Ausblick6. Q&A
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 24
AusblickIntegration SOX-light und Revision
Ë SOX-light zeigt die Risikolandschaft aufË Gezielte Revisionen in Bereichen mit fehlenden
oder schwachen KontrollenË Rasches Einarbeiten in Revisionen dank
aufgenommenen ProzessenË SOX-light Methodik wird für Prozessrevisionen
angewandtË Externe Revision stützt sich auf SOX-light Key
Controls abË Testing durch Interne Revision, wo sinnvoll durch
Externe RevisionË Trend zur Standardisierung in der Internen
Revision
13
Oktober2005 ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle Seite 25
Ausblick
Ë Jährliche AktualisierungË Kontinuierlicher VerbesserungsprozessË Tests der Internen Revision teilweise durch Self-
Assessments ersetzenË Projektbegleitungen ex ante (angemessenes IKS
bereits bei Implementierung)Ë OR728a abgedeckt
Oktober2005 Seite 26ISACA After Hour Seminar vom 25.10.2005 – Präsentation Emanuel Ritzmann und Ernst Bigle
1. Ausgangslage2. Umsetzung3. IT-Tool4. Praxiserfahrungen5. Ausblick
6. Q&A