Embed Size (px)
Citation preview
Transaktionsverarbeitung und interne Kontrollen
IKS
Überblick
Interne Kontrollen dienen der Risikominimierung.
Das Risiko besteht aus dem möglichen finanziellen Schaden multipliziert mit seiner Eintrittswahrscheinlichkeit.
Durch Kontrollen können die Risiko-Ursachen kaum vermindert werden.
Lernziele
1 Risiken im Rechnungswesen.2 Der interne Kontroll-Prozeß.3 Prozeßabhängige und prozeßunabhängige
Kontrollen.4 Implizite verhaltenstheoretische Annahmen
des traditionellen IKS.5 Techniken zur Analyse eines IKS.
Lernziel 1
Risiken im
Rechnungswesen
Allgemeine Risiken
RISIKENRISIKEN
Zu hohe KostenZu hohe Kosten Zu geringe ErlöseZu geringe Erlöse
Fehlerhaftes Rechnungswesen
Fehlerhaftes Rechnungswesen
Vermögens-verluste
Vermögens-verluste
Geschäftliche Risiken
RISIKENRISIKEN
Unterbrechung der GeschäftstätigkeitUnterbrechung der Geschäftstätigkeit
VertraglicheSanktionenVertraglicheSanktionen
Betrug undUnterschlagung
Betrug undUnterschlagung
Wettbewerbs-nachteile
Wettbewerbs-nachteile
Mitarbeiterkriminalität
Der Begriff “Mitarbeiterkriminalität” (white-collar crime) beschreibt kriminelle Handlungen, welche am Arbeitsplatz begangen werden.
Damit verbunden ist oftmals die Eingabe fiktiver Transaktionen in Rechnungswesen-Systeme.
Mitarbeiterbetrug
Welche drei Arten von Mitarbeiterbetrug kann man unterscheiden?
1 Employee theft2 Employee-outsider theft 3 Management fraud
Mitarbeiterbetrug
Dem Mitarbeiterbetrug kann eine Bilanzfälschung folgen (fraudulent financial reporting) folgen.
Darunter versteht man das Erstellen wesentlich unrichtiger Abschlüsse entweder durch Vorsatz oder durch Fahrlässigkeit.
Mitarbeiterbetrug
Was ist Unternehmenskriminalität (corporate crime)?
Dabei ist der vom Betrug Begünstigte ein anderes Unternehmen und nicht die die kriminelle Handlung ausübende Person.
Mitarbeiterbetrug
Was ist kriminalistisches Rechnungswesen (forensic accounting)?
Damit werden die Tätigkeiten jener Personen umschrieben, die Mitarbeiterkriminalität aufdecken wollen.
EDV-Risiken
Welche Aspekte der EDV sind mit einem erhöhten Sicherheitsrisiko verbunden?
– die physische Datenverarbeitung– die physische Datenaufbewahrung– die Verarbeitungskomplexität
Kontrollen in Transaktionszyklen
Das Risikomanagement in Organisationen ist oftmals mit den Transaktionszyklen verknüpft.
In den meisten Organisationen fallen ähnliche Geschäftsfälle an.
Diese generieren Transaktionen, welche in die vier folgenden Gruppen eingeteilt werden können.
Kontrollen in Transaktionszyklen
Ausgaben-Zyklus
Ausgaben-Zyklus
Finanzierungs-Zyklus
Finanzierungs-Zyklus
Produktions-Zyklus
Produktions-Zyklus
Einnahmen-Zyklus
Einnahmen-Zyklus
Kontrollen in Transaktionszyklen
Die Management-Kriterien für Kundenkredite sollten eingehalten werden.
Die Management-Kriterien für Preis und Beschaffenheit von Waren und Diensten sollten eingehalten werden.
Für jede Lieferung oder Leistung muß eineKundenrechnung existieren.
Die Kundenrechnungen müssen fehlerfrei und korrekt sein.
Kontrollziele: Einnahmen-Zyklus
Kontrollen in Transaktionszyklen
Die Management-Kriterien für die Lieferanten-Auswahl müssen eingehalten werden.
Die Management-Kriterien für die Personaleinstellung müssen eingehalten werden.
Die Management-Kriterien für den Zugriff auf Personal-, Lohn- und Zahlungsdaten m.e.w..
Kontrollziele: Ausgaben-Zyklus
Kontrollen in Transaktionszyklen
Die Lieferantenverbindlichkeiten müssen exakt erfaßt und ausgewiesen werden.
Die Management-Kriterien für Gehalts-Zu- und Abschläge müssen eingehalten werden.
Kontrollziele: Ausgaben-Zyklus
Kontrollen in Transaktionszyklen
Die Management-Kriterien für die Produktionsplanung müssen eingehalten werden.
Die Herstellungskosten müssen korrekt ermitteltund ausgewiesen werden.
Kontrollziele: Produktionszyklus
Kontrollen in Transaktionszyklen
Die Management-Kriterien für den Zugriff auf Bargeldund Wertpapiere müssen eingehalten werden.
Die Management-Kriterien hinsichtlich Höhe undFälligkeit von Kredit- und Zinszahlungen m. e. w..
Kontrollziele: Finanzierungs-Zyklus
Lernziel 2
Der interne
Kontroll-Prozeß.
Gesetzliche Grundlagen des IKS
§ 82 AktG: Der Vorstand hat dafür zu sorgen, daß ein Rechnungswesen und ein internes Kontrollsystem geführt werden, die den Anforderungen des Unternehmens entsprechen.
§ 22 GmbHG: wortgleich.
Bestandteile des internen Kontrollsystems
Das interne Kontrollsystem besteht aus Prozessen, welche folgendes sicherstellen sollen:
– Zuverlässigkeit der finanziellen Berichterstattung– Effektivität und Effizienz der Geschäftsprozesse– Einhaltung von Gesetzen und sonstigen Normen
Bestandteile des internen Kontrollsystems
Dem Konzept des IKS liegen folgende Prämissen zugrunde:
1 Verantwortung (responsibility)2 ausreichende Sicherheit
(reasonable assurance)
Bestandteile des internen Kontrollsystems
Verantwortung trifft Management und Geschäftsführung, welche für Einrichtung und Überwachung des IKS verantwortlich sind.
Ausreichende Sicherheit bezieht sich auf Kosten-/Nutzenüberlegungen im Zusammenhang mit einem IKS.
Bestandteile des internen Kontrollsystems
Ein IKS besteht aus fünf Elementen:1 Kontroll-Umfeld (control environment)2 Kontroll-Handlungen (control activities)3 Risikomanagement (risk assessment)4 Information und Kommunikation (information and
communication)5 Überwachung (monitoring)
Kontroll-Umfeld (Control Environment)
Bestandteile des Kontroll-Umfelds:– Integrität und ethische Werte– Permanente Fortbildung (commitment to competence)– Werte und Arbeitsstil des Managements
Kontroll-Umfeld (Control Environment)
– Organisationsstruktur– Führung und Kontrolle durch die
Geschäftsleitung– Zuweisung von Autorität und Verantwortung– Personalpolitik
Prozesse im Personalbereich
Das Personal sollte gut ausgebildet sein und entsprechend den jeweiligen Anforderungen laufend geschult werden.
Was ist ein fidelity bond? Das ist eine Zusage einer Versicherung
betreffend die Ehrlichkeit einer Person inklusive finanzieller Schadloshaltung.
Prozesse im Personalbereich
Weitere wichtige Aspekte im Personalbereich:– segregation of duties– supervision– job rotation and forced vacation– dual control
Risikomanagement (Risk Assessment)
Risikomanagement besteht im Erkennen, Analysieren und Bewältigen von Risiken, welche die Unternehmensziele gefährden.
Die größte Herausforderung stellt dabei das rechtzeitige Erkennen interner und externer Veränderungen dar!
Kontrollhandlungen(Control Activities)
Kontrollhandlungen werden durch das Einrichten von Business Rules gesetzt, welche sicherstellen sollen, dass die Management-Vorgaben auch eingehalten werden.
Kontrollen im Rechnungswesen sollen die Einhaltung folgender Ziele gewährleisten:
Kontrollhandlungen(Control Activities)
1 In den Stellenbeschreibungen und Arbeitsanweisungen sollte eine Funktionstrennung vorgesehen sein, welche sicherstellt, dass kein Mitarbeiter betrügerische Handlungen setzen und gleichzeitig auch seine eigenen Spuren verwischen kann.
Kontrollhandlungen(Control Activities)
2 Alle Arbeitsabläufe sollten entsprechend dokumentiert werden.
3 Vermögenszugriffe sollten nur für autorisierte Mitarbeiter möglich sein.
Kontrollhandlungen(Control Activities)
4 Unabhängige Prüfungen für Vermögens-bestände und Unternehmensleistung sollten vorgesehen sein.
5 EDV-Kontrollen sollten Zugriffsberechtigung, Genauigkeit und Vollständigkeit der Transaktionen sicherstellen.
Kontrollhandlungen(Control Activities)
Funktionstrennung bedeutet…– die Trennung von Autorisierung und
Aufzeichnung von Transaktionen.– die Trennung von Transaktions-Autorisierung
und Vermögens-Überwachung.– die Trennung von Transaktions-Aufzeichnung
von Vermögens-Überwachung.
Information und Kommunikation
Information bezieht sich auf das Rechnungswesen des Unternehmens.
Das Rechnungswesen besteht aus den Methoden und Aufzeichnungen, welche die Transaktionen erfassen, zusammenstellen, analysieren, klassifizieren, speichern und auswerten sollen….
Information und Kommunikation
– sowie den Stand des Vermögens und der Verbindlichkeiten korrekt aufzuzeichnen.
Was ist eine Prüfspur (audit trail)? Eine Prüfspur besteht aus unterschiedlichen
Dokumentationsteilen, die belegen, welchen Kontrollen eine Transaktion unterworfen wurde.
Information und Kommunikation
Kommunikation soll im Unternehmen ein klares Verständnis aller Kontrollprozeduren bewirken.
Gute Kommunikation setzt verbale Kommunikation, Handbücher, Guidelines etc. voraus wie auch andere Dokumentations-medien (z.B. Intranet, Portal)
Überwachung (Monitoring)
Überwachung beinhaltet die laufende Qualitätskontrolle der internen Kontrollen sowie, bei Bedarf, deren rechtzeitige Modifikation.
Diese Überwachung wird am besten durch die Kombination von laufenden und periodischen Überprüfungen erreicht.
Lernziel 3
Prozeßabhängige
(application processing controls) und prozeßunabhängige Kontrollen
(general controls).
Transaktions-Kontrollen
Transaktions-Kontrollen sind Methoden, die sicherstellen sollen, dass die Bestandteile des IKS in jedem Transaktionszyklus implementiert werden.
Sie bestehen aus ...– prozeßunabhängigen und – prozeßabhängigen Kontrollen.
Transaktions-Kontrollen
Prozeßunabhängige Kontrollen betreffen das Umfeld der Transaktionsverarbeitung.
Sie bestehen aus:– dem Organisationsplan der EDV– allgemeinen Arbeitsanweisungen– Hardware-Kontrollen– Zugriffsbeschränkungen zu Hard- und
Software
Transaktions-Kontrollen
Prozeßabhängige Kontrollen werden speziell für bestimmte Transaktionen entwickelt.
Sie werden wie folgt gegliedert:– Input– Verarbeitung– Output
Transaktions-Kontrollen
Prozeßabhängige Kontrollen können auch wie folgt eingeteilt werden:
– vorbeugend– aufdeckend– korrigierend
Lernziel 4
Implizite verhaltenstheoretische
Annahmen des traditionellen IKS
Kommunikation der Kontrollziele
Wenn Menschen vollkommen wären, wäre ein IKS eine nutzlose Zeit- und Geldver-schwendung.
Interne Kontrollen bestehen aus Menschen, die andere Menschen kontrollieren.
Hauptaufgabe eines IKS ist es, das Verhalten der Mitarbeiter zu beeinflussen.
Ziele und Verhaltensmuster
Informationssysteme besitzen mehrere Ziele. z.B. folgende:– Produktivitätssteigerung– Zuverlässigkeit der Information– Schutz von Vermögenswerten Mitunter kann es dabei zu Zielkonflikten
kommen.
Ziele und Verhaltensmuster
Was ist Kollusion (betrügerisches Einverständnis, collusion)? … die Übereinkunft von zwei oder mehreren Personen,
betrügerische Handlungen zu setzen. Welche Faktoren können menschliches Verhalten in
einem Kontrollsystem beeinflussen?– der formale Organisationsplan und die angewandten
Führungsmethoden– Gruppen- und informeller Druck
Lernziel 5
Techniken zur Analyse
eines IKS
Analyse von Kontrollprozessen
Die Analyse eines IKS muß sowohl die Vorgaben für das IKS als auch seine tatsächliche Umsetzung umfassen.
Im IKS werden zumeist folgende Informationen erfaßt:
– die Erfüllung von Aufgaben– die Übertragung von Autorität
Analyse von Kontrollprozessen
– Genehmigungen– Bestätigungen Die Dokumentation dieser durch das IKS
auferlegten Pflichten muß ausgewertet werden, um die Zuverlässigkeit des IKS beurteilen zu können.
Die Zuverlässigkeit hängt von den Menschen ab, welche die IKS-Prozeduren ausführen.
Analysetechniken
Ein IKS-Fragebogen (internal control questionnaire) ist eine gebräuchliche Methode ein IKS zu erheben.
IKS-Fragebögen besitzen eine zentrale Stellung im Rahmen eines Prüfungs-programms.
Dafür existieren in Wirtschaftsprüfungs-Kanzleien und Innenrevisions-Abteilungen bereits Standard-Formulare.
Analysetechniken
Die Fragebögen sind oft als Checklisten ausgestaltet, welche sicherstellen,dass kein wesentliches Element des IKS übergangen wird.
Welche anderen Analysetechniken
sind noch gebräuchlich?– Verbale Beschreibungen– Flußdiagramme– Entscheidungstabellen
