520 likes | 1.35k Views
IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau. anlässlich der Informationsveranstaltung der AVUSA vom 20. Februar 2008. Agenda. Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen.
E N D
IKS - Internes Kontrollsystem im Unternehmen mit sozialem AuftragAdrian Scholze, dipl. Wirtschaftsprüferthv AG, Aarau anlässlich der Informationsveranstaltung der AVUSA vom 20. Februar 2008
Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen
Definition eines Internen Kontrollsystems (IKS) Unter Interner Kontrolle werden alle durch den Verwaltungs-/Stiftungsrat oder die Unternehmensleitung angeordneten Vorgänge, Methoden und Massnahmen verstanden, die dazu dienen, einen ordnungsgemässen Ablauf der betrieblichen Aktivitäten zu gewährleisten. Die organisatorischen Massnahmen der internen Kontrolle sind in die betrieblichen Arbeitsabläufeintegriert, d.h. sie erfolgen arbeitsbegleitend, oder sind dem Arbeitsvollzug unmittelbar vor- oder nachgelagert.
Aufgaben und Verantwortlichkeiten • Verwaltungs-/Stiftungsrat: • Oberverantwortung • Ausgestaltung • Geschäftsleitung: • Umsetzung • Aufrechterhaltung • Revisionsstelle: • Berücksichtigung bei der Prüfung der Jahresrechnung • Neu: jährliche Prüfung der Existenz
Kontrollziele eines IKS (Nutzen) • Strategie: Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente Geschäftsführung • Betrieb: Verhinderung, Verminderung und Aufdeckung von Fehlern (operationelle Risiken) und Unregelmässigkeiten (Betrug) • Finanzberichterstattung: Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung sowie zeitgerechte und verlässliche finanzielle Berichterstattung (Bewertung, Offenlegung, etc.) • Compliance: Einhaltung der anwendbaren Normen wie z.B. Gesetze, Verordnungen, Reglemente und Weisungen Nach revOR: primär finanzielle Berichterstattung!
Nachvollziehbarkeit • Dokumentation der - IKS-Ziele und –Ausbaugrad - Geschäftsrisiken - Prozesse & Kontrollen • Kontrolltätigkeiten werden nachvollziehbar dokumentiert • Qualität des IKS wird regelmässig beurteilt und darüber Bericht erstattet • Effizienz • IKS ist integraler Bestandteil des unternehmensweiten Risikomanagements • fokussiert auf Schlüsselrisiken • nach Möglichkeit Automati- sierung der Kontrollen • Wirksamkeit • Unternehmenskultur • klar geregelte Verantwortungen • Kontrollen sind in Geschäftsprozesse integriert undwerden überwacht • Mitarbeiter sind geschult • Informations- und Eskalations-prozedere sind definiert Anforderungen an ein IKS
Kontrollumfeld Risikobeurteilung Kontroll-aktivitäten Über- wachung Information undKommunikation Komponenten eines IKS Quelle: COSO
Warum braucht es ein IKS gerade JETZT? Neue gesetzliche Vorschriften: Ordentliche Revision! (Prüfung der Existenz eines IKS durch die Revisionsstelle) Vorgabe des Subventionsgebers einer ordentlichen Revision (z.B. BKS) Professionalisierung der (finanziellen) Führung, insbesondere betreffend Kontrolle
Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen
Revisionsstelle 8 Behebung Schwachstellen 7 Kontrollumfeld Risikobeurteilung Beurteilung Wirksamkeit 6 Generelle IT-Kontrollen Kontrollbeschreibung Kontrollen auf Prozessebene 5 Risiko-/Kontrollmatrix 4 Kontroll-aktivitäten Auswahlverfahren Über- wachung 3 Bestimmung Methodik Kontrollen auf Unternehmens-ebene 2 Information undKommunikation Ist-Analyse 1 Wichtige Schritte im Aufbau eines IKS Kontinuierliche Projektleitung, -überwachung und –steuerungAbstimmung mit der Revisionsstelle
Schritt 1: Ist-Analyse • Analyse des heutigen Standes (inklusive vorhandener Informationen, Dokumentationen) • Unternehmensebene (Beispiele): • Richtlinien und Verfahren zur Einhaltung der ethischen Werte (code of ethics) sowie Verhalten und Taten der Vorgesetzten • bestehende Qualitätssicherungssysteme • Kompetenzregelung • Organisationsreglement • Stellenbeschreibungen
Schritt 1: Ist-Analyse • Prozessebene (Beispiele): • Prozessbeschreibungen / Flow Charts • Kontrollbeschreibungen • Dokumentationen aus ISO-Zertifizierung • Weisungen • IT-Ebene (Beispiele): • IT-Landschaft / relevante Systeme • Organigramm IT-Abteilung • Zuständigkeiten für einzelne Rechenzentren oder IT-Systeme sowie Qualitätssicherung
Schritt 1: Ist-Analyse (Qualitätsanforderungen) Optimiert Stufe 5 Standardisiert: Einfache Grundsätze, wie IKS zu betreiben ist, sind definiert. Prozesslandschaft und Geschäftsprozesse sind dokumentiert (Tätigkeiten und Kontrollen). Durchgeführte Kontrollen sind nachvollziehbar. Es findet ein Erfahrungsaustausch statt, und regelmässig werden die Kontrollen an veränderte Risiken angepasst. Für die Mitarbeiter hat eine Basisschulung stattgefunden. Überwacht Stufe 4 Standardisiert Stufe 3 Informell: Interne Kontrollen sind vorhanden, aber nicht standardisiert. Vorhandene Kontrollen können kaum oder gar nicht nachvollzogen werden. Kontrollen sind stark personenabhängig, es erfolgt keine Schulung oder Kommunikation über die Kontrollen. Informell Stufe 2 Wenig verlässlich Stufe 1
Schritt 2: Bestimmung der Methodik • Vorgehen bezüglich • Unternehmensebene • Prozessebene • Generelle IT-Kontrollen • Projektumfang(Kontrollziele) undProjektorganisation • Information: Schulung und Training von Mitarbeitern Verfassen eines Konzeptpapiers!
Schritt 3: Auswahlverfahren (Scoping) • Identifizieren derSchlüsselprozesse (basierend auf der Jahresrechnung) • Quantitative und qualitative Auswahlkriterien • Nachvollziehbares und prüfbaresAuswahlverfahren bezüglich • Geschäftseinheiten / -bereiche • Positionen der Jahresrechnung sowie Prozesse • IT-Applikationen und End-User Applikationen Festlegen des Umfangs als zentrale Phase!
Schritt 3: Schlüsselprozesse Heime (Bsp.) • Leistungsverrechnung (Debitoren) / Umsatz • Kreditoren / Betriebsaufwand / Zahlungswesen • Personal- und Lohnwesen • Investitionen / Bewertung / Abschreibungen • Budgeterstellung / Subventionen
Schritt 4: Risiko-/Kontrollmatrix • Prozessdokumentationen erstellen (evtl. mit Flow Charts) • Identifikation und BewertungderSchlüsselrisiken • IdentifikationvonKontrollen bzw. Massnahmen • Gegenüberstellung von Risiken und Kontrollen pro Prozess mit wesentlichen Aspekten zu jeder Kontrolle wie bspw. Verbindung zu Positionen in der Jahresrechnung • Gegenüberstellung von Risiken und Kontrollen pro IT-Applikation oder End-User Applikation mit wesentlichen Aspekten zu jeder Kontrolle
Risiko-/Kontrollmatrix Flow Charts /Prozess-beschrei-bungen Detaillierte Kontroll-beschreibung(manueller Teil der Kontrolle=Kontroll-prozedur) Schritt 4: Risiko-/Kontrollmatrix Zielsetzung des IKS(Richtigkeit undVollständigkeit derfinanziellenBerichterstattung) Positionender Jahres-rechnung Schlüssel-prozesse Identifikationund Bewer-tung von Schlüssel-risiken IdentifikationvonKontrollen Schritt 3Auswahlverfahren Schritt 4 und 5Risiko-/Kontrollmatrix und Kontrollbeschreibung
Schritt 4: Identifikation von Kontrollen • Geschäftsleitung trifft Massnahmen zur Steuerung der Risiken und zur Zielerreichung • Kontrollen stellen sicher, dass diese Massnahmen, tatsächlich umgesetzt werden. • Zeitliche Wirkung einer Kontrolle: • Präventive Kontrollen:Fehlerverhinderung(Funktionentrennung, Kompetenzenregelungen, Passwörter und Zugriffsvorschriften, physische Schutzvorkehrungen u.ä.) • Detektive Kontrollen: Fehlersuche (Durchsicht von Kontrollberichten, Abstimmungen, physische Inventur, Reviews)
Managementkontrollen (Performance Report, Budgetvergleiche, etc.) Grundlagen Manuelle Kontrollen Automatische Kontrollen Zugriffsschutz (Autorisierung, Need to Know) Datenabgleich (Fehler-protokolle) Detektive Kontrollen Einhaltekontrollen Abstimmkontrollen physische Kontrollen Präventive Kontrollen Funktionentrennung, Kompetenzenregelungen, Zugriffsvorschriften, physische Schutzvorkehrungen u.ä. Funktionentrennung, Passwörter und Zugriffsvorschriften Schritt 4: Identifikation von Kontrollen
Schritt 5: Kontrollbeschreibung • Detaillierte Kontrollbeschreibung für die identifizierten Schlüsselkontrollen • für einen sachverständigen Dritten nachvollziehbar • wichtig: W-Fragen beantwortet (wer, was, wie, wie oft, wann, wo, warum) • für automatische Applikationskontrollen konkrete Funktionsbeschreibungen erforderlich
Schritt 6: Beurteilung der Wirksamkeit • Unternehmensebene: • Beurteilung von Dokumenten • Interviews und Befragungen • Prozessebene: • Interviews, Bestätigungen, Control Self Assessment • Prozessdokumentationen und Kontrollbeschreibungen • Beurteilung durch Dritte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens • Generelle IT-Kontrollen: vgl. Prozessebene
Schritt 6: Beurteilung der Wirksamkeit Periodische Managementkontrollen (basierend auf Stichproben) auf Prozessebene gewährleisten eine gleichbleibende Qualität der Kontrollen über die Zeit Beurteilung durch Vorgesetzte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens (Delegation der Kontrolle möglich, nicht aber der Verantwortung) Periodische Überprüfung der Aktualität und Bestätigung dessen durch den Prozess-verantwortlichen
Optimiert Stufe 5 Qualität Überwacht Stufe 4 A Standardisiert Stufe 3 Zeit Informell Stufe 2 B Wenig verlässlich Stufe 1 Schritt 6: Wirkung von Managementkontrollen Qualität eines Prozesses mit (A) und ohne (B) Managementkontrollen und Anpassungen an Veränderungen des Umfelds
Schritt 6: Prüfung Existenz vs. Wirksamkeit OR: Existenz IKS OR: Wirksamkeit (Abschluss)
Schritt 7: Behebung von Schwachstellen und Berichterstattung • Berichterstattung über durchgeführte Kontrollen • Berichterstattung über festgestellte Mängel • Schwächen Interner Kontrollen sind erkannt • zeitnah an die Verantwortlichen kommuniziert • evtl. Information von Geschäftsleitung oder VR/SR • Einleiten von Korrekturmassnahmen und Priorisierung der Schwachstellen: • Massnahmen • Verantwortlicher • Terminierung • Überwachung des Behebungsprozesses
Schritt 8: Revisionsstelle • Vorbereiten der Unterlagen für die Revisionsstelle (Dokumentationen zu Prozess- und Kontrollbeschreibungen, durchgeführten Kontrollen & Managementkontrollen) Ohne Dokumentation kann nicht geprüft werden! Befragungen und Durchsicht der Dokumentation alleine gibt nicht genügend Prüfsicherheit Kombination von Prüfungsverfahren: Ermessen des Prüfers
Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen
Der Weg zu einem erfolgreichen IKS-Projekt • Akzeptanz und Verpflichtung durch Verwaltungs-/Stiftungsrat und Geschäftsleitung • Schritt- /Phasenweises Vorgehen (Kontrollziele) • Definition klarer Anforderungen an das IKS (und systematisches Vorgehen) • Klare Zuordnung von Aufgaben und Verantwortungen • Schulung aller mit dem IKS betrauten Stellen/ Personen
Der Weg zu einem erfolgreichen IKS-Projekt • Verfügbarkeit von Ressourcen • Kontinuierliche Anpassung des IKS an verändertes Umfeld • Überwachung der Wirksamkeit des IKS durch Verwaltungs-/Stiftungsrat und Geschäftsleitung Bewusstsein, dass es keine absolute Sicherheit gibt!
Vorteile: Chance zur Professionalisierung des Vorhandenen Gewissheit des Verwaltuns-/Stiftungsrates über funktionierendes IKS Geringeres finanzielles Risiko hinsichtlich Zielerreichung, Betrugsfälle, etc. -> Schutz des Geschäftsvermögens Weniger Abhängigkeiten von einzelnen Personen Vor- und Nachteile durch die Einführung eines IKS Nachteile : • Mehr Dokumentations- und Zeitaufwand (nicht produktiv) • Kosten für Implementierung und Aufrechterhaltung der Wirksamkeit des IKS (evtl. Beratungsaufwand) • Höherer Revisionsaufwand durch ordentliche Prüfung
Auskunftserteilung und Unterstützung • Adrian Scholze, dipl. Wirtschaftsprüfer062 837 17 23adrian.scholze@thv.ch • Rolf Kihm, dipl. WirtschaftsprüferTeamleiterRiskmanagement-Experte SWC062 837 17 08rolf.kihm@thv.ch • Stefan Elmiger, dipl. WirtschaftsprüferMitglied der Geschäftsleitung062 837 17 21stefan.elmiger@thv.ch