Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau anlässlich der Informationsveranstaltung.

Veröffentlicht von:Bardulf Weisert Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau anlässlich der Informationsveranstaltung."—  Präsentation transkript:

1 IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau anlässlich der Informationsveranstaltung der AVUSA vom 20. Februar 2008

2 Agenda Einleitung Einführung eines Internen Kontrollsystems
Schlussbemerkungen 2

3 Definition eines Internen Kontrollsystems (IKS)
Unter Interner Kontrolle werden alle durch den Verwaltungs-/Stiftungsrat oder die Unternehmensleitung angeordneten Vorgänge, Methoden und Massnahmen verstanden, die dazu dienen, einen ordnungsgemässen Ablauf der betrieblichen Aktivitäten zu gewährleisten. Die organisatorischen Massnahmen der internen Kontrolle sind in die betrieblichen Arbeitsabläufe integriert, d.h. sie erfolgen arbeitsbegleitend, oder sind dem Arbeitsvollzug unmittelbar vor- oder nachgelagert.

4 Aufgaben und Verantwortlichkeiten
Verwaltungs-/Stiftungsrat: Oberverantwortung Ausgestaltung Geschäftsleitung: Umsetzung Aufrechterhaltung Revisionsstelle: Berücksichtigung bei der Prüfung der Jahresrechnung Neu: jährliche Prüfung der Existenz

5 IKS ist auch Bestandteil des Risikomanagements
Internes Kontrollsystem Risikomanagement Beschränkung auf reine Risikobetrachtung Schwerpunkt bei der Schadensbegrenzung (wirksame Massnahmen einleiten; im besten Fall bis zur Eliminierung des Risikos) Risikomanagement als übergeordnetes System Berücksichtigung von Chancen und Risiken

6 Kontrollziele eines IKS (Nutzen)
Strategie: Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente Geschäftsführung Betrieb: Verhinderung, Verminderung und Aufdeckung von Fehlern (operationelle Risiken) und Unregelmässigkeiten (Betrug) Finanzberichterstattung: Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung sowie zeitgerechte und verlässliche finanzielle Berichterstattung (Bewertung, Offenlegung, etc.) Compliance: Einhaltung der anwendbaren Normen wie z.B. Gesetze, Verordnungen, Reglemente und Weisungen Nach revOR: primär finanzielle Berichterstattung!

7 Anforderungen an ein IKS
Effizienz IKS ist integraler Bestandteil des unternehmensweiten Risikomanagements fokussiert auf Schlüsselrisiken nach Möglichkeit Automati- sierung der Kontrollen Nachvollziehbarkeit Dokumentation der - IKS-Ziele und –Ausbaugrad - Geschäftsrisiken - Prozesse & Kontrollen Kontrolltätigkeiten werden nachvollziehbar dokumentiert Qualität des IKS wird regelmässig beurteilt und darüber Bericht erstattet Wirksamkeit Unternehmenskultur klar geregelte Verantwortungen Kontrollen sind in Geschäftsprozesse integriert und werden überwacht Mitarbeiter sind geschult Informations- und Eskalations-prozedere sind definiert

8 Komponenten eines IKS Kontrollumfeld Risikobeurteilung
Kontroll- aktivitäten Information und Kommunikation Über wachung Quelle: COSO

9 Warum braucht es ein IKS gerade JETZT?
Neue gesetzliche Vorschriften: Ordentliche Revision! (Prüfung der Existenz eines IKS durch die Revisionsstelle) Vorgabe des Subventionsgebers einer ordentlichen Revision (z.B. BKS) Professionalisierung der (finanziellen) Führung, insbesondere betreffend Kontrolle 9

10 Agenda Einleitung Einführung eines Internen Kontrollsystems
Schlussbemerkungen 10

11 Wichtige Schritte im Aufbau eines IKS
8 Revisionsstelle Kontrollumfeld Risikobeurteilung Über wachung Information und Kommunikation Kontroll- aktivitäten 7 Behebung Schwachstellen 6 Beurteilung Wirksamkeit 5 Kontrollbeschreibung Generelle IT-Kontrollen Kontrollen auf Prozessebene Kontrollen auf Unternehmens-ebene 4 Risiko-/Kontrollmatrix 3 Auswahlverfahren Bestimmung Methodik 2 1 Ist-Analyse Kontinuierliche Projektleitung, -überwachung und –steuerung Abstimmung mit der Revisionsstelle

12 Schritt 1: Ist-Analyse Analyse des heutigen Standes (inklusive vorhandener Informationen, Dokumentationen) Unternehmensebene (Beispiele): Richtlinien und Verfahren zur Einhaltung der ethischen Werte (code of ethics) sowie Verhalten und Taten der Vorgesetzten bestehende Qualitätssicherungssysteme Kompetenzregelung Organisationsreglement Stellenbeschreibungen

13 Schritt 1: Ist-Analyse Prozessebene (Beispiele):
Prozessbeschreibungen / Flow Charts Kontrollbeschreibungen Dokumentationen aus ISO-Zertifizierung Weisungen IT-Ebene (Beispiele): IT-Landschaft / relevante Systeme Organigramm IT-Abteilung Zuständigkeiten für einzelne Rechenzentren oder IT-Systeme sowie Qualitätssicherung

14 Schritt 1: Ist-Analyse (Qualitätsanforderungen)
Optimiert Stufe 5 Standardisiert: Einfache Grundsätze, wie IKS zu betreiben ist, sind definiert. Prozesslandschaft und Geschäftsprozesse sind dokumentiert (Tätigkeiten und Kontrollen). Durchgeführte Kontrollen sind nachvollziehbar. Es findet ein Erfahrungsaustausch statt, und regelmässig werden die Kontrollen an veränderte Risiken angepasst. Für die Mitarbeiter hat eine Basisschulung stattgefunden. Überwacht Stufe 4 Standardisiert Stufe 3 Informell Stufe 2 Informell: Interne Kontrollen sind vorhanden, aber nicht standardisiert. Vorhandene Kontrollen können kaum oder gar nicht nachvollzogen werden. Kontrollen sind stark personenabhängig, es erfolgt keine Schulung oder Kommunikation über die Kontrollen. Wenig verlässlich Stufe 1

15 Schritt 2: Bestimmung der Methodik
Vorgehen bezüglich Unternehmensebene Prozessebene Generelle IT-Kontrollen Projektumfang (Kontrollziele) und Projektorganisation Information: Schulung und Training von Mitarbeitern  Verfassen eines Konzeptpapiers!

16 Schritt 3: Auswahlverfahren (Scoping)
Identifizieren der Schlüsselprozesse (basierend auf der Jahresrechnung) Quantitative und qualitative Auswahlkriterien Nachvollziehbares und prüfbares Auswahlverfahren bezüglich Geschäftseinheiten / -bereiche Positionen der Jahresrechnung sowie Prozesse IT-Applikationen und End-User Applikationen  Festlegen des Umfangs als zentrale Phase!

17 Schritt 3: Schlüsselprozesse Heime (Bsp.)
Leistungsverrechnung (Debitoren) / Umsatz Kreditoren / Betriebsaufwand / Zahlungswesen Personal- und Lohnwesen Investitionen / Bewertung / Abschreibungen Budgeterstellung / Subventionen 17

18 Schritt 4: Risiko-/Kontrollmatrix
Prozessdokumentationen erstellen (evtl. mit Flow Charts) Identifikation und Bewertung der Schlüsselrisiken Identifikation von Kontrollen bzw. Massnahmen Gegenüberstellung von Risiken und Kontrollen pro Prozess mit wesentlichen Aspekten zu jeder Kontrolle wie bspw. Verbindung zu Positionen in der Jahresrechnung Gegenüberstellung von Risiken und Kontrollen pro IT-Applikation oder End-User Applikation mit wesentlichen Aspekten zu jeder Kontrolle

19 Schritt 4: Risiko-/Kontrollmatrix
Zielsetzung des IKS (Richtigkeit und Vollständigkeit der finanziellen Berichterstattung) Risiko-/Kontrollmatrix Positionen der Jahres- rechnung Schlüssel- prozesse Flow Charts / Prozess- beschrei- bungen Identifikation und Bewer- tung von Schlüssel- risiken Identifikation von Kontrollen Detaillierte Kontroll- beschreibung (manueller Teil der Kontrolle= Kontroll- prozedur) Schritt 3 Auswahlverfahren Schritt 4 und 5 Risiko-/Kontrollmatrix und Kontrollbeschreibung

20 Schritt 4: Identifikation von Kontrollen
Geschäftsleitung trifft Massnahmen zur Steuerung der Risiken und zur Zielerreichung Kontrollen stellen sicher, dass diese Massnahmen, tatsächlich umgesetzt werden. Zeitliche Wirkung einer Kontrolle: Präventive Kontrollen: Fehlerverhinderung (Funktionentrennung, Kompetenzenregelungen, Passwörter und Zugriffsvorschriften, physische Schutzvorkehrungen u.ä.) Detektive Kontrollen: Fehlersuche (Durchsicht von Kontrollberichten, Abstimmungen, physische Inventur, Reviews)

21 Schritt 4: Identifikation von Kontrollen
Präventive Kontrollen Zugriffsschutz (Autorisierung, Need to Know) Datenabgleich (Fehler- protokolle) Automatische Kontrollen Detektive Kontrollen Manuelle Kontrollen Einhaltekontrollen Abstimmkontrollen physische Kontrollen Funktionentrennung, Kompetenzenregelungen, Zugriffsvorschriften, physische Schutzvorkehrungen u.ä. Funktionentrennung, Passwörter und Zugriffsvorschriften Managementkontrollen (Performance Report, Budgetvergleiche, etc.) Grundlagen

22 Schritt 5: Kontrollbeschreibung
Detaillierte Kontrollbeschreibung für die identifizierten Schlüsselkontrollen für einen sachverständigen Dritten nachvollziehbar wichtig: W-Fragen beantwortet (wer, was, wie, wie oft, wann, wo, warum) für automatische Applikationskontrollen konkrete Funktionsbeschreibungen erforderlich

23 Schritt 4 & 5: Beispiel

24 Schritt 6: Beurteilung der Wirksamkeit
Unternehmensebene: Beurteilung von Dokumenten Interviews und Befragungen Prozessebene: Interviews, Bestätigungen, Control Self Assessment Prozessdokumentationen und Kontrollbeschreibungen Beurteilung durch Dritte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens Generelle IT-Kontrollen: vgl. Prozessebene

25 Schritt 6: Beurteilung der Wirksamkeit
Periodische Managementkontrollen (basierend auf Stichproben) auf Prozessebene gewährleisten eine gleichbleibende Qualität der Kontrollen über die Zeit Beurteilung durch Vorgesetzte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens (Delegation der Kontrolle möglich, nicht aber der Verantwortung) Periodische Überprüfung der Aktualität und Bestätigung dessen durch den Prozess-verantwortlichen 25

26 Schritt 6: Wirkung von Managementkontrollen
Wenig verlässlich Stufe 1 Informell Stufe 2 Standardisiert Stufe 3 Überwacht Stufe 4 Optimiert Stufe 5 A B Qualität Zeit Qualität eines Prozesses mit (A) und ohne (B) Managementkontrollen und Anpassungen an Veränderungen des Umfelds

27 Schritt 6: Prüfung Existenz vs. Wirksamkeit
Beurteilungs-gegenstand Beurteilungsmethode Ausgestaltung Beurteilung der Ausgestaltung anhand Kontrollbeschreibung Implementierung Beurteilung der Implementierung anhand eines Walkthrough (Wurzelstichprobe) Aufrechterhaltung Beurteilung der operativen Wirksamkeit anhand von Stichproben OR: Existenz IKS OR: Wirksamkeit (Abschluss)

28 Schritt 7: Behebung von Schwachstellen und Berichterstattung
Berichterstattung über durchgeführte Kontrollen Berichterstattung über festgestellte Mängel Schwächen Interner Kontrollen sind erkannt zeitnah an die Verantwortlichen kommuniziert evtl. Information von Geschäftsleitung oder VR/SR Einleiten von Korrekturmassnahmen und Priorisierung der Schwachstellen: Massnahmen Verantwortlicher Terminierung Überwachung des Behebungsprozesses

29 Schritt 6 & 7: Beispiel

30 Schritt 8: Revisionsstelle
Vorbereiten der Unterlagen für die Revisionsstelle (Dokumentationen zu Prozess- und Kontrollbeschreibungen, durchgeführten Kontrollen & Managementkontrollen) Ohne Dokumentation kann nicht geprüft werden! Befragungen und Durchsicht der Dokumentation alleine gibt nicht genügend Prüfsicherheit Kombination von Prüfungsverfahren: Ermessen des Prüfers

31 Agenda Einleitung Einführung eines Internen Kontrollsystems
Schlussbemerkungen 31

32 Der Weg zu einem erfolgreichen IKS-Projekt
Akzeptanz und Verpflichtung durch Verwaltungs-/Stiftungsrat und Geschäftsleitung Schritt- /Phasenweises Vorgehen (Kontrollziele) Definition klarer Anforderungen an das IKS (und systematisches Vorgehen) Klare Zuordnung von Aufgaben und Verantwortungen Schulung aller mit dem IKS betrauten Stellen/ Personen

33 Der Weg zu einem erfolgreichen IKS-Projekt
Verfügbarkeit von Ressourcen Kontinuierliche Anpassung des IKS an verändertes Umfeld Überwachung der Wirksamkeit des IKS durch Verwaltungs-/Stiftungsrat und Geschäftsleitung  Bewusstsein, dass es keine absolute Sicherheit gibt!

34 Vor- und Nachteile durch die Einführung eines IKS
Vorteile: Chance zur Professionalisierung des Vorhandenen Gewissheit des Verwaltuns-/Stiftungsrates über funktionierendes IKS Geringeres finanzielles Risiko hinsichtlich Zielerreichung, Betrugsfälle, etc. -> Schutz des Geschäftsvermögens Weniger Abhängigkeiten von einzelnen Personen Nachteile : Mehr Dokumentations- und Zeitaufwand (nicht produktiv) Kosten für Implementierung und Aufrechterhaltung der Wirksamkeit des IKS (evtl. Beratungsaufwand) Höherer Revisionsaufwand durch ordentliche Prüfung

35 Fragen?

36 Auskunftserteilung und Unterstützung
Adrian Scholze, dipl. Wirtschaftsprüfer Rolf Kihm, dipl. Wirtschaftsprüfer Teamleiter Riskmanagement-Experte SWC Stefan Elmiger, dipl. Wirtschaftsprüfer Mitglied der Geschäftsleitung

37 Besten Dank für Ihre Aufmerksamkeit

Herunterladen ppt "IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau anlässlich der Informationsveranstaltung."

Ähnliche Präsentationen

Identifizierung und Ausbildung von Führungskräften

Identifizierung und Ausbildung von Führungskräften
INTOSAI-Richtlinien für die Finanzkontrolle (ISSAI )

INTOSAI-Richtlinien für die Finanzkontrolle (ISSAI )
Der Landesmusikschulbeirat und seine Fördervereine

Der Landesmusikschulbeirat und seine Fördervereine
Developing your Business to Success We are looking for business partners. Enterprise Content Management with OS|ECM Version 6.

Developing your Business to Success We are looking for business partners. Enterprise Content Management with OS|ECM Version 6.
Risiko-Management im Projekt

Risiko-Management im Projekt
SOX - Ganymed & GoBScape

SOX - Ganymed & GoBScape
Qualitätsmanagement von Atena Engineering in der Automobilindustrie Vorstellung von Kompetenzen und Projektbeispielen Gianni Murgia 25.11.2010.

Qualitätsmanagement von Atena Engineering in der Automobilindustrie Vorstellung von Kompetenzen und Projektbeispielen Gianni Murgia
Controlling, Analyse und Verbesserung (Teil 2)

Controlling, Analyse und Verbesserung (Teil 2)
Integrierte Managementsysteme

Integrierte Managementsysteme
ACN Closing Cockpit Andrea Mokesch 28.10.2010.

ACN Closing Cockpit Andrea Mokesch
Mörgeli + mörgeli consulting engineering www.moergeli.com m+m/am, AA ESI, Erweitertes Management Summary, (Version 3, 11.08.2003 – Datenschutz für Publikation)

Mörgeli + mörgeli consulting engineering m+m/am, AA ESI, Erweitertes Management Summary, (Version 3, – Datenschutz für Publikation)
... Sicherheit + Gesundheits-Schutz

... Sicherheit + Gesundheits-Schutz
1 SWT-Praktikum 2005 Gruppe 13 Murphys Train Holger Hagedorn.

1 SWT-Praktikum 2005 Gruppe 13 Murphys Train Holger Hagedorn.
Risiken und Chancen Risiko Beurteilung: Dazu gehört die Identifikationen von Risiken, ihre Analyse und das Ordnen nach Prioritäten. Risiko Kontrolle: Dazu.

Risiken und Chancen Risiko Beurteilung: Dazu gehört die Identifikationen von Risiken, ihre Analyse und das Ordnen nach Prioritäten. Risiko Kontrolle: Dazu.
Controlling, Analyse und Verbesserung (Teil 1)

Controlling, Analyse und Verbesserung (Teil 1)
Feuerwehrverband Ostfriesland e.V.

Feuerwehrverband Ostfriesland e.V.
Deutsche Universitätskanzler – Fortbildung 2004

Deutsche Universitätskanzler – Fortbildung 2004
Prozess und Prozess- Management

Prozess und Prozess- Management
Grundlagen und Konzepte zur Umsetzung

Grundlagen und Konzepte zur Umsetzung
Führungskräfteentwicklung

Führungskräfteentwicklung

Ähnliche Präsentationen

Google-Anzeigen