1 / 37

IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau

IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau. anlässlich der Informationsveranstaltung der AVUSA vom 20. Februar 2008. Agenda. Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen.

neva
Download Presentation

IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IKS - Internes Kontrollsystem im Unternehmen mit sozialem AuftragAdrian Scholze, dipl. Wirtschaftsprüferthv AG, Aarau anlässlich der Informationsveranstaltung der AVUSA vom 20. Februar 2008

  2. Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen

  3. Definition eines Internen Kontrollsystems (IKS) Unter Interner Kontrolle werden alle durch den Verwaltungs-/Stiftungsrat oder die Unternehmensleitung angeordneten Vorgänge, Methoden und Massnahmen verstanden, die dazu dienen, einen ordnungsgemässen Ablauf der betrieblichen Aktivitäten zu gewährleisten. Die organisatorischen Massnahmen der internen Kontrolle sind in die betrieblichen Arbeitsabläufeintegriert, d.h. sie erfolgen arbeitsbegleitend, oder sind dem Arbeitsvollzug unmittelbar vor- oder nachgelagert.

  4. Aufgaben und Verantwortlichkeiten • Verwaltungs-/Stiftungsrat: • Oberverantwortung • Ausgestaltung • Geschäftsleitung: • Umsetzung • Aufrechterhaltung • Revisionsstelle: • Berücksichtigung bei der Prüfung der Jahresrechnung • Neu: jährliche Prüfung der Existenz

  5. IKS ist auch Bestandteil des Risikomanagements

  6. Kontrollziele eines IKS (Nutzen) • Strategie: Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente Geschäftsführung • Betrieb: Verhinderung, Verminderung und Aufdeckung von Fehlern (operationelle Risiken) und Unregelmässigkeiten (Betrug) • Finanzberichterstattung: Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung sowie zeitgerechte und verlässliche finanzielle Berichterstattung (Bewertung, Offenlegung, etc.) • Compliance: Einhaltung der anwendbaren Normen wie z.B. Gesetze, Verordnungen, Reglemente und Weisungen Nach revOR: primär finanzielle Berichterstattung! 

  7. Nachvollziehbarkeit • Dokumentation der - IKS-Ziele und –Ausbaugrad - Geschäftsrisiken - Prozesse & Kontrollen • Kontrolltätigkeiten werden nachvollziehbar dokumentiert • Qualität des IKS wird regelmässig beurteilt und darüber Bericht erstattet • Effizienz • IKS ist integraler Bestandteil des unternehmensweiten Risikomanagements • fokussiert auf Schlüsselrisiken • nach Möglichkeit Automati- sierung der Kontrollen • Wirksamkeit • Unternehmenskultur • klar geregelte Verantwortungen • Kontrollen sind in Geschäftsprozesse integriert undwerden überwacht • Mitarbeiter sind geschult • Informations- und Eskalations-prozedere sind definiert Anforderungen an ein IKS

  8. Kontrollumfeld Risikobeurteilung Kontroll-aktivitäten Über- wachung Information undKommunikation Komponenten eines IKS Quelle: COSO

  9. Warum braucht es ein IKS gerade JETZT? Neue gesetzliche Vorschriften: Ordentliche Revision! (Prüfung der Existenz eines IKS durch die Revisionsstelle) Vorgabe des Subventionsgebers einer ordentlichen Revision (z.B. BKS) Professionalisierung der (finanziellen) Führung, insbesondere betreffend Kontrolle 

  10. Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen

  11. Revisionsstelle 8 Behebung Schwachstellen 7 Kontrollumfeld Risikobeurteilung Beurteilung Wirksamkeit 6 Generelle IT-Kontrollen Kontrollbeschreibung Kontrollen auf Prozessebene 5 Risiko-/Kontrollmatrix 4 Kontroll-aktivitäten Auswahlverfahren Über- wachung 3 Bestimmung Methodik Kontrollen auf Unternehmens-ebene 2 Information undKommunikation Ist-Analyse 1 Wichtige Schritte im Aufbau eines IKS Kontinuierliche Projektleitung, -überwachung und –steuerungAbstimmung mit der Revisionsstelle

  12. Schritt 1: Ist-Analyse • Analyse des heutigen Standes (inklusive vorhandener Informationen, Dokumentationen) • Unternehmensebene (Beispiele): • Richtlinien und Verfahren zur Einhaltung der ethischen Werte (code of ethics) sowie Verhalten und Taten der Vorgesetzten • bestehende Qualitätssicherungssysteme • Kompetenzregelung • Organisationsreglement • Stellenbeschreibungen

  13. Schritt 1: Ist-Analyse • Prozessebene (Beispiele): • Prozessbeschreibungen / Flow Charts • Kontrollbeschreibungen • Dokumentationen aus ISO-Zertifizierung • Weisungen • IT-Ebene (Beispiele): • IT-Landschaft / relevante Systeme • Organigramm IT-Abteilung • Zuständigkeiten für einzelne Rechenzentren oder IT-Systeme sowie Qualitätssicherung

  14. Schritt 1: Ist-Analyse (Qualitätsanforderungen) Optimiert Stufe 5 Standardisiert: Einfache Grundsätze, wie IKS zu betreiben ist, sind definiert. Prozesslandschaft und Geschäftsprozesse sind dokumentiert (Tätigkeiten und Kontrollen). Durchgeführte Kontrollen sind nachvollziehbar. Es findet ein Erfahrungsaustausch statt, und regelmässig werden die Kontrollen an veränderte Risiken angepasst. Für die Mitarbeiter hat eine Basisschulung stattgefunden. Überwacht Stufe 4 Standardisiert Stufe 3 Informell: Interne Kontrollen sind vorhanden, aber nicht standardisiert. Vorhandene Kontrollen können kaum oder gar nicht nachvollzogen werden. Kontrollen sind stark personenabhängig, es erfolgt keine Schulung oder Kommunikation über die Kontrollen. Informell Stufe 2 Wenig verlässlich Stufe 1

  15. Schritt 2: Bestimmung der Methodik • Vorgehen bezüglich • Unternehmensebene • Prozessebene • Generelle IT-Kontrollen • Projektumfang(Kontrollziele) undProjektorganisation • Information: Schulung und Training von Mitarbeitern Verfassen eines Konzeptpapiers!

  16. Schritt 3: Auswahlverfahren (Scoping) • Identifizieren derSchlüsselprozesse (basierend auf der Jahresrechnung) • Quantitative und qualitative Auswahlkriterien • Nachvollziehbares und prüfbaresAuswahlverfahren bezüglich • Geschäftseinheiten / -bereiche • Positionen der Jahresrechnung sowie Prozesse • IT-Applikationen und End-User Applikationen Festlegen des Umfangs als zentrale Phase!

  17. Schritt 3: Schlüsselprozesse Heime (Bsp.) • Leistungsverrechnung (Debitoren) / Umsatz • Kreditoren / Betriebsaufwand / Zahlungswesen • Personal- und Lohnwesen • Investitionen / Bewertung / Abschreibungen • Budgeterstellung / Subventionen

  18. Schritt 4: Risiko-/Kontrollmatrix • Prozessdokumentationen erstellen (evtl. mit Flow Charts) • Identifikation und BewertungderSchlüsselrisiken • IdentifikationvonKontrollen bzw. Massnahmen • Gegenüberstellung von Risiken und Kontrollen pro Prozess mit wesentlichen Aspekten zu jeder Kontrolle wie bspw. Verbindung zu Positionen in der Jahresrechnung • Gegenüberstellung von Risiken und Kontrollen pro IT-Applikation oder End-User Applikation mit wesentlichen Aspekten zu jeder Kontrolle

  19. Risiko-/Kontrollmatrix Flow Charts /Prozess-beschrei-bungen Detaillierte Kontroll-beschreibung(manueller Teil der Kontrolle=Kontroll-prozedur) Schritt 4: Risiko-/Kontrollmatrix Zielsetzung des IKS(Richtigkeit undVollständigkeit derfinanziellenBerichterstattung) Positionender Jahres-rechnung Schlüssel-prozesse Identifikationund Bewer-tung von Schlüssel-risiken IdentifikationvonKontrollen Schritt 3Auswahlverfahren Schritt 4 und 5Risiko-/Kontrollmatrix und Kontrollbeschreibung

  20. Schritt 4: Identifikation von Kontrollen • Geschäftsleitung trifft Massnahmen zur Steuerung der Risiken und zur Zielerreichung • Kontrollen stellen sicher, dass diese Massnahmen, tatsächlich umgesetzt werden. • Zeitliche Wirkung einer Kontrolle: • Präventive Kontrollen:Fehlerverhinderung(Funktionentrennung, Kompetenzenregelungen, Passwörter und Zugriffsvorschriften, physische Schutzvorkehrungen u.ä.) • Detektive Kontrollen: Fehlersuche (Durchsicht von Kontrollberichten, Abstimmungen, physische Inventur, Reviews)

  21. Managementkontrollen (Performance Report, Budgetvergleiche, etc.) Grundlagen Manuelle Kontrollen Automatische Kontrollen Zugriffsschutz (Autorisierung, Need to Know) Datenabgleich (Fehler-protokolle) Detektive Kontrollen Einhaltekontrollen Abstimmkontrollen physische Kontrollen Präventive Kontrollen Funktionentrennung, Kompetenzenregelungen, Zugriffsvorschriften, physische Schutzvorkehrungen u.ä. Funktionentrennung, Passwörter und Zugriffsvorschriften Schritt 4: Identifikation von Kontrollen

  22. Schritt 5: Kontrollbeschreibung • Detaillierte Kontrollbeschreibung für die identifizierten Schlüsselkontrollen • für einen sachverständigen Dritten nachvollziehbar • wichtig: W-Fragen beantwortet (wer, was, wie, wie oft, wann, wo, warum) • für automatische Applikationskontrollen konkrete Funktionsbeschreibungen erforderlich

  23. Schritt 4 & 5: Beispiel

  24. Schritt 6: Beurteilung der Wirksamkeit • Unternehmensebene: • Beurteilung von Dokumenten • Interviews und Befragungen • Prozessebene: • Interviews, Bestätigungen, Control Self Assessment • Prozessdokumentationen und Kontrollbeschreibungen • Beurteilung durch Dritte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens • Generelle IT-Kontrollen: vgl. Prozessebene

  25. Schritt 6: Beurteilung der Wirksamkeit Periodische Managementkontrollen (basierend auf Stichproben) auf Prozessebene gewährleisten eine gleichbleibende Qualität der Kontrollen über die Zeit Beurteilung durch Vorgesetzte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens (Delegation der Kontrolle möglich, nicht aber der Verantwortung) Periodische Überprüfung der Aktualität und Bestätigung dessen durch den Prozess-verantwortlichen

  26. Optimiert Stufe 5 Qualität Überwacht Stufe 4 A Standardisiert Stufe 3 Zeit Informell Stufe 2 B Wenig verlässlich Stufe 1 Schritt 6: Wirkung von Managementkontrollen Qualität eines Prozesses mit (A) und ohne (B) Managementkontrollen und Anpassungen an Veränderungen des Umfelds

  27. Schritt 6: Prüfung Existenz vs. Wirksamkeit OR: Existenz IKS OR: Wirksamkeit (Abschluss)

  28. Schritt 7: Behebung von Schwachstellen und Berichterstattung • Berichterstattung über durchgeführte Kontrollen • Berichterstattung über festgestellte Mängel • Schwächen Interner Kontrollen sind erkannt • zeitnah an die Verantwortlichen kommuniziert • evtl. Information von Geschäftsleitung oder VR/SR • Einleiten von Korrekturmassnahmen und Priorisierung der Schwachstellen: • Massnahmen • Verantwortlicher • Terminierung • Überwachung des Behebungsprozesses

  29. Schritt 6 & 7: Beispiel

  30. Schritt 8: Revisionsstelle • Vorbereiten der Unterlagen für die Revisionsstelle (Dokumentationen zu Prozess- und Kontrollbeschreibungen, durchgeführten Kontrollen & Managementkontrollen) Ohne Dokumentation kann nicht geprüft werden! Befragungen und Durchsicht der Dokumentation alleine gibt nicht genügend Prüfsicherheit Kombination von Prüfungsverfahren: Ermessen des Prüfers

  31. Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen

  32. Der Weg zu einem erfolgreichen IKS-Projekt • Akzeptanz und Verpflichtung durch Verwaltungs-/Stiftungsrat und Geschäftsleitung • Schritt- /Phasenweises Vorgehen (Kontrollziele) • Definition klarer Anforderungen an das IKS (und systematisches Vorgehen) • Klare Zuordnung von Aufgaben und Verantwortungen • Schulung aller mit dem IKS betrauten Stellen/ Personen

  33. Der Weg zu einem erfolgreichen IKS-Projekt • Verfügbarkeit von Ressourcen • Kontinuierliche Anpassung des IKS an verändertes Umfeld • Überwachung der Wirksamkeit des IKS durch Verwaltungs-/Stiftungsrat und Geschäftsleitung  Bewusstsein, dass es keine absolute Sicherheit gibt!

  34. Vorteile: Chance zur Professionalisierung des Vorhandenen Gewissheit des Verwaltuns-/Stiftungsrates über funktionierendes IKS Geringeres finanzielles Risiko hinsichtlich Zielerreichung, Betrugsfälle, etc. -> Schutz des Geschäftsvermögens Weniger Abhängigkeiten von einzelnen Personen Vor- und Nachteile durch die Einführung eines IKS Nachteile : • Mehr Dokumentations- und Zeitaufwand (nicht produktiv) • Kosten für Implementierung und Aufrechterhaltung der Wirksamkeit des IKS (evtl. Beratungsaufwand) • Höherer Revisionsaufwand durch ordentliche Prüfung

  35. Fragen?

  36. Auskunftserteilung und Unterstützung • Adrian Scholze, dipl. Wirtschaftsprüfer062 837 17 23adrian.scholze@thv.ch • Rolf Kihm, dipl. WirtschaftsprüferTeamleiterRiskmanagement-Experte SWC062 837 17 08rolf.kihm@thv.ch • Stefan Elmiger, dipl. WirtschaftsprüferMitglied der Geschäftsleitung062 837 17 21stefan.elmiger@thv.ch

  37. Besten Dank für Ihre Aufmerksamkeit

More Related