1 / 50

Continuous Auditing zur Stärkung des Kontrollsystems

Continuous Auditing zur Stärkung des Kontrollsystems. Dipl.-Oec. Georg W. Schudea Schudea & SilverConsult GmbH Düsseldorf 0211-2097-179 0175-4891618 georg.w.schudea@silverconsult.de. Vorstellung des Referenten. 17 Jahre internationale Prüfungs-/Beratungserfahrung

fonda
Download Presentation

Continuous Auditing zur Stärkung des Kontrollsystems

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Continuous Auditing zur Stärkung des Kontrollsystems Dipl.-Oec. Georg W. Schudea Schudea & SilverConsult GmbH Düsseldorf 0211-2097-179 0175-4891618 georg.w.schudea@silverconsult.de

  2. Vorstellung des Referenten • 17 Jahre internationale Prüfungs-/Beratungserfahrung • Mitteständische WP/StB-Beratung • DAX-Unternehmen • Ernst & Young • Seit 2003 Mitgründer der SilverConsult • Was uns unterscheidet; von den üblichen Standardrevisionsprogrammen weit vorausgehende Datenanalyse-Tools, Marktpreisanalysen

  3. Vorstellung des Referenten • Persönliche Highlights: • Aufdeckung von Schwarzgeld- und Korruptionskassensystemen • Programmierung einer Software für die Festlegung einer risiko- und wertorientierten Stichprobe • Kunden: Global-Player, Mittelstand, Behörden, Institutionen

  4. Vorstellung der Teilnehmer • Ziele? • Anlass bei laufenden Prüfungen? • Umorientierung der Revision? • Verbesserung der Trefferquote • Aufpolierung des Images von Revision? • Mehr Prüfungen, die die richtigen, nennenswerten Beträge tangieren? • Knappheit der Revisionsressourcen?

  5. Continuous Auditing Möglichkeit zur Echtzeitüberwachung

  6. Grundprinzip – so funktioniert CA • Durch manuelle und EDV-unterstützte Vor-Prüfungen erste Hinweise auf Fehler feststellen: • Verstöße gegen eine gesetzliche oder interne Norm (RL) • Unwirtschaftliche Vorgänge • Fragen an Fachfunktion definieren. Feststellungen aufzuklären versuchen. • Prüfung des vor-kontrollierten Fachgebietes ankündigen und zeitnahe stattfinden lassen. • Berichtserstattung wie gehabt

  7. Ziele und Nutzen – Chancen und Risiken • Hauptziele von CA • Revisionsinterne Betrachtung: • Prüfungen anstoßen, wo die ersten Feststellungen bereits – quasi durch Vorkontrollen - gemacht wurden • Vorselektion von Prüfungsthemen (für Prüfungsplan), wo die weniger signifikanten Themen den bedeutsameren weichen sollen/müssen • Hierdurch werden die Revisionsressourcen deutlich effizienter eingesetzt. D.h. mehr interessante Prüfungsthemen können abgewickelt werden

  8. Ziele und Nutzen – Chancen und Risiken • Hauptziele von CA • Gegenüber Fachbereichen/-funktionen: • Mehr Sensibilisierung/Disziplinierung des operativen Personals auf Compliances und wirtschaftliches Verhalten durch Erzeugung des Eindrucks einer vollständigen und keiner stichprobenartigen Revisionskontrollen • Besseres Verständnis der Revision für das operative Geschäft und begründete Ausnahmen (statistisch: Ausreißer) in Fachabteilungen • Steigendes Kompetenzpotential der Revision gegenüber Fachbereichen

  9. Ziele und Nutzen – Chancen und Risiken • Chancen von CA • Bessere Absicherung von Compliance- und Wirtschaftlichkeitsthemen • Geringere Haftungsgefahr der GF wg. • Organisationsverschulden • normativer Kraft des Faktischen • Verbesserte Wirtschaftlichkeit im Unternehmen • Auswirkungen – ja nach Struktur – bis zur mehreren Mio. € p.a. • Durch Vermeidung nicht werthaltiger Themen Aufwertung der Revisionsberichte und damit der Revisionsarbeit • Mit einer hohen Trefferquote bei werthaltigen und/oder signifikanten Themen wird Revision politisch aufgewertet

  10. Ziele und Nutzen – Chancen und Risiken • Risiken von CA • Prüfungsplan kann nichts, für das ganze Jahr, Festgesetztes bleiben • Hier empfiehlt sich ein langsamer Einstieg, in dem mit 30-35% der Ressourcen für CA begonnen wird (die verbleibenden Kapazitäten sind auf feste Prüfungsthemen – wie gewohnt – verplant) • Fachabteilungen könnten sich „dauer-überwacht“ fühlen

  11. Grundprinzip – so funktioniert CA • Alternative II • Dauerkontrolle bestimmter Vorgänge/Prozesse • Stichprobenartig oder vollständig • Eine Prüfungsankündigung nicht notwendig • Berichtserstattung regelmäßig (z.B. 4 x p.a.)

  12. CA als wesentlicher Teil des IKS • IKS definiert (existierende oder Soll-) Kontrollen durch operative Funktionen • CA tut das, was Revision üblicherweise tun soll: Überprüfung, ob die operativen Kontrollen gewirkt haben. Falls es der Fall gewesen sein sollte, würde CA keine Feststellungen hervorbringen und damit auch keine Revisionsprüfung anstoßen.

  13. Unterschiede: Stichprobe, CA, Risikomanagement, Controlling • Controlling analysiert kumulierte Zahlen ohne einen Einblick in Einzelvorgänge • Risikomanagement definiert, katalogisiert Risiken ohne eine physikalische (unabhängige) Kontrollen durchzuführen • Übliche Stichprobe wird anlässlich einer Revisionsprüfung geprüft

  14. Unterschiede: Stichprobe, CA, Risikomanagement, Controlling • CA analysiert • Gesamtheit der Vorgänge • Gesamtheit der Vorgänge unter einer oder mehreren Bedingungen • Stichprobe (risiko-/werteorientiert, zufällig) • Anhang der Zwischenergebnisse wird entschieden, ob und wie intensiv geprüft wird

  15. CA als Prüfungsansatz von Risikotragfähigkeitskonzepten • Basel II/III MaRisk (Mindestanforderungen an das RM) als Ursprung • Ziel: Wesentliche Risiken durch Eigenkapital decken • In der industriellen Welt diverse Modelle existent: • Tragfähigkeit (EK+FK) • Versicherungsmanagement • Tragfähigkeit = Risiko – Versicherung (auch ggf. durch Finanzinstrumente)

  16. Continuous Auditing effizient planen und einführen

  17. Anforderungen an risikoorientierte Prüfungsplanung • Flexibilität der Ressourcen für CA-Einsätze • Kann kontinuierlich gesteigert werden • Risiko- und Wertekenntnisse im Unternehmen • Transparenz über Prozess – und Kontrollschwächen • Akzeptanz/Duldung der GF von Adhoc-Prüfungen

  18. IT-Unterstützung: Welche Dokus/Daten werden benötigt • Daten, die eine Risiko- und Werteposition für das Unternehmen möglichst klar erkennen lassen: • Versicherungsabteilung: Schäden vs. Erstattungsbeträge (>10% Differenz) • Logistik-Abteilung: Transportkapazität vs. Transportgewicht der Lieferscheine (einer Transporteinheit)

  19. IT-Unterstützung: Welche Dokus/Daten werden benötigt • Einzel- oder kumulierte Daten? Nach Möglichkeit Rohdaten, da jegliche Vor-Gruppierungen/Kumulierungen starke Abweichungen zwischen einzelnen Fachbereichen nicht zum Erscheinen bringen lassen. • Dort, wo es keine Massendaten gibt? Z.B. von der ersten Kontrollinstanz abgelehnte Projekte, die dennoch weiter verfolgt werden

  20. Flexible Gestaltung der Prüfungsplanung • Kein Planungschaos, sondern zeitlicher Turnus der CA-Kontrollen • Wann werden welche CA-Auswertung durchgeführt • Wann werden aus CA-Feststellungen Revisionsprüfungen angestoßen • Priorität für Prüfungen mit CA-Feststellungen: • rechtlicher Hintergrund (z.B. JAP) • größte finanzwirtschaftliche Auswirkungen • Querverbindungen zu wichtigen Projekten (z.B. MA/DD)

  21. Die richtigen Softwaretools im Einsatz • Für Aufgaben mit Bedingungen: • Excel einmal verschachtelte Bedingungen • SAP-Query Auswahl-Abfragen • „se16“ Auswahl-Abfragen • Access, IDEA, ACL, MONARCH • Access = mehrere, verschachtelte Bedingungen, komplexe Programmierung möglich, alle ODBC-fähigen Datenbank-Formate zulässig • SPSS

  22. Die richtigen Softwaretools im Einsatz • Beste Methoden für Ausreißerfindung: • Verhältnis der Varianzen • Lineare rückwärtsgewandte Regressionsgerade • SPSS • Keine Toleranzkorridore

  23. Revisionscockpit zur Unterstützung eines CA

  24. Fachbereichsspezifische Risiken erkennen • Alte Prüfungen können herangezogen werden • Erfahrungswerte von Mitarbeitern • Prioritäten = Wert x Wahrscheinlichkeit des Eintritts

  25. Interne Kontrollpunkte und deren Grenzwerte bestimmen • CA-Kontrollen mehrdimensional möglich: Ereignis-/Zeitpunktgesteuerte CA-Ansätze • Arbeitsprozesse • Abgelehnte Versicherungsdeckung • Mahnstufe 4 • Meldepflichtige Unfälle oder Umweltereignisse • Ausschreibungsverfahren in bestimmten Bereichen • Rechnungsprüfung Abnahmen von Baumaßnahmen • Wertgrenzen • Buchungen, Überweisung > 100.000 € • Inscentives an Kunden > 10.000 €

  26. Interne Kontrollpunkte und deren Grenzwerte bestimmen • CA-Kontrollen mehrdimensional möglich: Datenanalysen der (jüngsten) Vergangenheit. Zeitraumorientiert: • Arbeitsprozesse • Mehr als 15% abgelehnte Versicherungsdeckungen • > 10 Fälle Mahnstufe 4 • > 3 meldepflichtige Unfälle oder Umweltereignisse • Kumulierte Wertgrenzen • Verschrottung > 100.000 € innerhalb 3 Monate • Inscentives an Kunden > 10.000 € > 1 Monat

  27. Interne Kontrollpunkte und deren Grenzwerte bestimmen • Weitere Hinweise: Nur wenn notwendig vor internen (operativen) Kontrollen prüfen z.B.: • Endlieferungskennzeichen • Anzahlung/Vorauszahlung • Vorerfassung aber (noch) keine Buchung • Zahlungsvorschlagsliste, aber keine Zahlung • Zum Storno vorgemerkt, aber nicht storniert • Zur Verschrottung vorgemerkt, aber nicht verschrottet • Ausnahmen bestätigen die Regel: CA-Kontrollpunkt in einem Unternehmen „zu verschrottenden Mat.-Positionen“

  28. Interne Kontrollpunkte und deren Grenzwerte bestimmen • Projektbegleitende Revision. „Profilaxe“ CA • Neugründung von Tochterunternehmen, MA/DD, MBO • ERP-Implementierungsprozesse • Investitionen

  29. Prüfregeln definieren • Mögliche Kombinationen von Grenzwerten: • Anzahl der Vorgänge (Anzahl der Reklamationsvorgänge) • Wert der Differenzen (pro Vorgang oder kumuliert) • Stammdatenänderungen • Z.B. mehr als 3 Bankverbindungswechsel p.a. • Nur 2 Bankverbindungen aber häufiger gewechselt • Erstellung und kurzfristige Löschung von ERP-Usern (mehrere fiktive User betroffen) • Zuweisung und kurzfristiges Entfernen von Admin-Rechten • Häufige Wechsel der Ausprägung von Customizing-Objekten (Buchen rückwirkend)

  30. Prüfregeln definieren • Wechsel eines Merkmals • Währungswechsel bei einem Darlehen (aus der Sicht einer Globalbank) • Wert eines Vorgangs • Benutzung bestimmter Konten (z.B. Wertekorrektur , Sonder-AfA) • Benutzung bestimmter Buchungs-/Storno-Schlüsseln • Verschrottungsvolumen pro Mitarbeiter • Gutschriften pro Mitarbeiter und Verkaufsprodukt • Lückenlosigkeit von Belegen (Einkauf, Vertrieb usw.)

  31. Prüfregeln definieren • Kombinationen aus mehreren Prüfregeln möglich: • Wert eines Vorgangs + Benutzung eines Kontos + Mitarbeiter • Häufigkeit eines Vorgangs + Mitarbeiter + Werk • Produktionsleistung + Einkaufsleistung + Zeitpunkte • Anzahl von Stornos + deren Wert • Häufigkeit eines Preiswechsels + Materialposition

  32. Anzeigetafel zur dauerhaften Überwachung erstellen • Matrix pro Fachbereich und CA-Kontrolle

  33. Anzeigetafel zur dauerhaften Überwachung erstellen • Objektorientierte Matrix und CA-Kontrolle

  34. CA-Planung, Zusammenfassung • Ablauf einer CA-Planung

  35. CA-Zusammenfassung • Ablauf einer CA-Planung

  36. CA-Zusammenfassung • Ablauf einer CA-Planung

  37. CA-Zusammenfassung • Ablauf einer CA-Planung

  38. Beispiele von CA-Ausprägungen in einzelnen Fachbereichen

  39. Überraschungseffekte durch CA sind vorprogrammiert… • Gut gelebtes CA lässt Sie Ihren Arbeitgeber (fast) neu kennenlernen • Interne Umlagerung über 30% aller Bewegungen • Anzahl der Preisänderungen in einem Einkaufsbereich, wo mit langjährigen Verträgen gearbeitet wurde

  40. Was erlaubt Ihre Software und Ihre Berechtigungen? • Was erlaubt Ihre ERP-Lösung? Welche Möglichkeiten und Risiken existieren? • Buchungen in vergangenen/abgeschlossenen Perioden? • Auflösung der Bindung zwischen einem Dokument und dem Vorgang? • WE-Storno, Rechnung wird dennoch bezahlt • Manuelle Zahlung ohne Dokument/Rechnung?

  41. Rechnungswesen und Controlling • Vollständigkeit und Lückenlosigkeit der Belege • Stornierte SD-Aufträge beachten • Vorsteuerschlüssel und Aufwandskonten • Steuerschlüssel und Erlöskonten • Journal vs. OP-Verwaltung (inkl. Einzelposten) • Wertberichtigungen des Anlage und Umlaufvermögens • Automatisch gestoppte Zahlungen, manuell gestartete Zahlungen • CDP-Konten • Kasse-/Bankabschlusssalden (monatlich, vierteljährlich, jährlich) • Verrechnungspreise zu ausländischen Töchtern • Beanspruchung von Skontis, Rabatten (debitorisch, kreditorisch) • Ausgebuchte Differenzen • Rechnungs-/Zahlungsbetrag • Währungsdifferenzen • Zinsdifferenzen

  42. Vertrieb & Marketing • Preise und deren Veränderungen • Sonderrabatte, Dauer-Tiefpreise • Lieferungen II-, III-Qualität • Sonderzahlungskonditionen • Sonderleistungen (Bauten, Vorrichtungen, urlaubsähnliche Workshops etc.) • Deckungsbeiträge pro Lieferung (im Unterschied zum Controlling!) • Vollmachten und Berechtigungen • Marketingkosten und deren Resultate (!) • Eingerichtete Internetseite • Separate Tel.-Nr., separate Bestellhotline

  43. Logistik • Transportpreise und deren Veränderungen pro Transportart • Zuschläge für Niedrigwasser berücksichtigen • Vollmachten & Berechtigungen • Transportpapiere für besondere Transporte • Einhaltung von Umweltvorgaben

  44. Personalwesen • Abweichungen bei regelmäßigen Zahlungsvorgängen • Bestellung von Beauftragten • Datenschutz • Sicherheit • Umweltbeauftragter • Compliance-Officer • Sonderzahlungen • Prämien, Boni • Schulungen • Pflichtschulungen (Elektriker, Schweißer usw.) • Aushilfen • Stundentische Nachweise berücksichtigen

  45. Materialwirtschaft • Einkaufspreise und deren Entwicklung • Lagerung gefährlicher Güter • Zertifizierungen für besondere Materialien • Verschrottungen • Lagerhüter, Reichweite • Inventurdifferenzen • Bewertungsmethode • Materialausgabe, Materialabforderungsscheine (MAS)

  46. Produktion • Produktionsvolumen vs. Verbräuche • Zertifizierungen für Mensch und Maschinen • Wartung & Instandhaltung • Maschinendaten • Bei Anfälligkeit • Inventur auf Produktionslager (Zwischenlager) • Interne Umlagerungen • Unfälle und deren Ursachen • Umweltvorgaben • Abwasser und Abfallmanagement • Umweltberichte

  47. Auswertung und Dokumentation der Kontrollergebnisse

  48. Bewertung der Ergebnisse • Ist das Ergebnis noch zu umfangreich um realistisch geprüft zu werden? Erklärbare oder (vorübergehend) hinnehmbare Auffälligkeiten ausschalten. • Bewertung erst nach weiteren Prüfungshandlungen vornehmen • Vollständige Aktenlage für mutmaßliche Fehler gewinnen • Interviews erst anschließend führen • Bewusst oder unbewusst, Zufall oder Absicht?

  49. Rückkopplung der Ergebnisse • Risiken und deren Werthaltigkeit verändern sich, CA muss sich auch verändern • Anpassung der CA-Prüfungen • Reduzierung der CA- Turnusse • Veränderung der Kriterien • Aufgabe der CA-Prüfung • Neue CA-Fachgebiete

  50. CA als Basis für einen Prüfungsansatz und andauernden Anpassungsprozess • Ressourcen können effizienter eingesetzt werden • Mehr Prüfungen können absolviert werden • Politische „Blamagen“ durch ergebnislose Prüfungen können vermieden werden • Wichtig für Obmudsmänner/-frauen • Revisionsimage

More Related