Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau anlässlich der Informationsveranstaltung.

Ähnliche Präsentationen


Präsentation zum Thema: "IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau anlässlich der Informationsveranstaltung."—  Präsentation transkript:

1 IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau anlässlich der Informationsveranstaltung der AVUSA vom 20. Februar 2008

2 2 Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen

3 3 Definition eines Internen Kontrollsystems (IKS) Unter Interner Kontrolle werden alle durch den Verwaltungs-/Stiftungsrat oder die Unternehmensleitung angeordneten Vorgänge, Methoden und Massnahmen verstanden, die dazu dienen, einen ordnungsgemässen Ablauf der betrieblichen Aktivitäten zu gewährleisten. Die organisatorischen Massnahmen der internen Kontrolle sind in die betrieblichen Arbeitsabläufe integriert, d.h. sie erfolgen arbeitsbegleitend, oder sind dem Arbeitsvollzug unmittelbar vor- oder nachgelagert.

4 4 Aufgaben und Verantwortlichkeiten Verwaltungs-/Stiftungsrat: Oberverantwortung Ausgestaltung Geschäftsleitung: Umsetzung Aufrechterhaltung Revisionsstelle: Berücksichtigung bei der Prüfung der Jahresrechnung Neu: jährliche Prüfung der Existenz

5 5 IKS ist auch Bestandteil des Risikomanagements Internes KontrollsystemRisikomanagement - Beschränkung auf reine Risikobetrachtung - Schwerpunkt bei der Schadensbegrenzung (wirksame Massnahmen einleiten; im besten Fall bis zur Eliminierung des Risikos) - Risikomanagement als übergeordnetes System - Berücksichtigung von Chancen und Risiken

6 6 Kontrollziele eines IKS (Nutzen) Strategie: Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente Geschäftsführung Betrieb: Verhinderung, Verminderung und Aufdeckung von Fehlern (operationelle Risiken) und Unregelmässigkeiten (Betrug) Finanzberichterstattung: Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung sowie zeitgerechte und verlässliche finanzielle Berichterstattung (Bewertung, Offenlegung, etc.) Compliance: Einhaltung der anwendbaren Normen wie z.B. Gesetze, Verordnungen, Reglemente und Weisungen Nach revOR: primär finanzielle Berichterstattung!

7 7 Anforderungen an ein IKS Wirksamkeit Unternehmenskultur klar geregelte Verantwortungen Kontrollen sind in Geschäftsprozesse integriert und werden überwacht Mitarbeiter sind geschult Informations- und Eskalations- prozedere sind definiert Effizienz IKS ist integraler Bestandteil des unternehmensweiten Risikomanagements fokussiert auf Schlüsselrisiken nach Möglichkeit Automati- sierung der Kontrollen Nachvollziehbarkeit Dokumentation der - IKS-Ziele und –Ausbaugrad - Geschäftsrisiken - Prozesse & Kontrollen Kontrolltätigkeiten werden nachvollziehbar dokumentiert Qualität des IKS wird regelmässig beurteilt und darüber Bericht erstattet

8 8 Komponenten eines IKS Quelle: COSO KontrollumfeldRisikobeurteilung Kontroll- aktivitäten Information und Kommunikation Über- wachung

9 9 Warum braucht es ein IKS gerade JETZT? Neue gesetzliche Vorschriften: Ordentliche Revision! (Prüfung der Existenz eines IKS durch die Revisionsstelle) Vorgabe des Subventionsgebers einer ordentlichen Revision (z.B. BKS) Professionalisierung der (finanziellen) Führung, insbesondere betreffend Kontrolle

10 10 Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen

11 11 Wichtige Schritte im Aufbau eines IKS 1 Ist-Analyse 8 Revisionsstelle 7 Behebung Schwachstellen 6 Beurteilung Wirksamkeit 5 Kontrollbeschreibung 4 Risiko-/Kontrollmatrix 3 Auswahlverfahren Bestimmung Methodik 2 Kontinuierliche Projektleitung, -überwachung und –steuerung Abstimmung mit der Revisionsstelle Generelle IT- Kontrollen Kontrollen auf Prozessebene Kontrollen auf Unternehmens- ebene KontrollumfeldRisikobeurteilung Über- wachung Information und Kommunikation Kontroll- aktivitäten

12 12 Schritt 1: Ist-Analyse Analyse des heutigen Standes (inklusive vorhandener Informationen, Dokumentationen) Unternehmensebene (Beispiele): Richtlinien und Verfahren zur Einhaltung der ethischen Werte (code of ethics) sowie Verhalten und Taten der Vorgesetzten bestehende Qualitätssicherungssysteme Kompetenzregelung Organisationsreglement Stellenbeschreibungen

13 13 Schritt 1: Ist-Analyse Prozessebene (Beispiele): Prozessbeschreibungen / Flow Charts Kontrollbeschreibungen Dokumentationen aus ISO-Zertifizierung Weisungen IT-Ebene (Beispiele): IT-Landschaft / relevante Systeme Organigramm IT-Abteilung Zuständigkeiten für einzelne Rechenzentren oder IT- Systeme sowie Qualitätssicherung

14 14 Schritt 1: Ist-Analyse (Qualitätsanforderungen) Wenig verlässlich Stufe 1 Informell Stufe 2 Standardisiert Stufe 3 Überwacht Stufe 4 Optimiert Stufe 5 Standardisiert: Einfache Grundsätze, wie IKS zu betreiben ist, sind definiert. Prozesslandschaft und Geschäftsprozesse sind dokumentiert (Tätigkeiten und Kontrollen). Durchgeführte Kontrollen sind nachvollziehbar. Es findet ein Erfahrungsaustausch statt, und regelmässig werden die Kontrollen an veränderte Risiken angepasst. Für die Mitarbeiter hat eine Basisschulung stattgefunden. Informell: Interne Kontrollen sind vorhanden, aber nicht standardisiert. Vorhandene Kontrollen können kaum oder gar nicht nachvollzogen werden. Kontrollen sind stark personenabhängig, es erfolgt keine Schulung oder Kommunikation über die Kontrollen.

15 15 Schritt 2: Bestimmung der Methodik Vorgehen bezüglich Unternehmensebene Prozessebene Generelle IT-Kontrollen Projektumfang (Kontrollziele) und Projektorganisation Information: Schulung und Training von Mitarbeitern Verfassen eines Konzeptpapiers!

16 16 Schritt 3: Auswahlverfahren (Scoping) Identifizieren der Schlüsselprozesse (basierend auf der Jahresrechnung) Quantitative und qualitative Auswahlkriterien Nachvollziehbares und prüfbares Auswahlverfahren bezüglich Geschäftseinheiten / -bereiche Positionen der Jahresrechnung sowie Prozesse IT-Applikationen und End-User Applikationen Festlegen des Umfangs als zentrale Phase!

17 17 Schritt 3: Schlüsselprozesse Heime (Bsp.) Leistungsverrechnung (Debitoren) / Umsatz Kreditoren / Betriebsaufwand / Zahlungswesen Personal- und Lohnwesen Investitionen / Bewertung / Abschreibungen Budgeterstellung / Subventionen

18 18 Schritt 4: Risiko-/Kontrollmatrix Prozessdokumentationen erstellen (evtl. mit Flow Charts) Identifikation und Bewertung der Schlüsselrisiken Identifikation von Kontrollen bzw. Massnahmen Gegenüberstellung von Risiken und Kontrollen pro Prozess mit wesentlichen Aspekten zu jeder Kontrolle wie bspw. Verbindung zu Positionen in der Jahresrechnung Gegenüberstellung von Risiken und Kontrollen pro IT-Applikation oder End-User Applikation mit wesentlichen Aspekten zu jeder Kontrolle

19 19 Positionen der Jahres- rechnung Schlüssel- prozesse Flow Charts / Prozess- beschrei- bungen Risiko-/Kontrollmatrix Identifikation und Bewer- tung von Schlüssel- risiken Identifikation von Kontrollen Detaillierte Kontroll- beschreibung (manueller Teil der Kontrolle= Kontroll- prozedur) Zielsetzung des IKS (Richtigkeit und Vollständigkeit der finanziellen Berichterstattung) Schritt 3 Auswahlverfahren Schritt 4 und 5 Risiko-/Kontrollmatrix und Kontrollbeschreibung Schritt 4: Risiko-/Kontrollmatrix

20 20 Schritt 4: Identifikation von Kontrollen Geschäftsleitung trifft Massnahmen zur Steuerung der Risiken und zur Zielerreichung Kontrollen stellen sicher, dass diese Massnahmen, tatsächlich umgesetzt werden. Zeitliche Wirkung einer Kontrolle: Präventive Kontrollen: Fehlerverhinderung (Funktionentrennung, Kompetenzenregelungen, Passwörter und Zugriffsvorschriften, physische Schutzvorkehrungen u.ä.) Detektive Kontrollen: Fehlersuche (Durchsicht von Kontrollberichten, Abstimmungen, physische Inventur, Reviews)

21 21 Schritt 4: Identifikation von Kontrollen Präventive Kontrollen Zugriffsschutz (Autorisierung, Need to Know) Datenabgleich (Fehler- protokolle) Automatische Kontrollen Detektive Kontrollen Manuelle Kontrollen Einhaltekontrollen Abstimmkontrollen physische Kontrollen Funktionentrennung, Kompetenzenregelungen, Zugriffsvorschriften, physische Schutzvorkehrungen u.ä. Funktionentrennung, Passwörter und Zugriffsvorschriften Managementkontrollen (Performance Report, Budgetvergleiche, etc.) Grundlagen

22 22 Schritt 5: Kontrollbeschreibung Detaillierte Kontrollbeschreibung für die identifizierten Schlüsselkontrollen für einen sachverständigen Dritten nachvollziehbar wichtig: W-Fragen beantwortet (wer, was, wie, wie oft, wann, wo, warum) für automatische Applikationskontrollen konkrete Funktionsbeschreibungen erforderlich

23 23 Schritt 4 & 5: Beispiel

24 24 Schritt 6: Beurteilung der Wirksamkeit Unternehmensebene : Beurteilung von Dokumenten Interviews und Befragungen Prozessebene : Interviews, Bestätigungen, Control Self Assessment Prozessdokumentationen und Kontrollbeschreibungen Beurteilung durch Dritte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens Generelle IT-Kontrollen : vgl. Prozessebene

25 25 Schritt 6: Beurteilung der Wirksamkeit Periodische Managementkontrollen (basierend auf Stichproben) auf Prozessebene gewährleisten eine gleichbleibende Qualität der Kontrollen über die Zeit Beurteilung durch Vorgesetzte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens (Delegation der Kontrolle möglich, nicht aber der Verantwortung) Periodische Überprüfung der Aktualität und Bestätigung dessen durch den Prozess- verantwortlichen

26 26 Schritt 6: Wirkung von Managementkontrollen Wenig verlässlich Stufe 1 Informell Stufe 2 Standardisiert Stufe 3 Überwacht Stufe 4 Optimiert Stufe 5 A B Qualität Zeit Qualität eines Prozesses mit (A) und ohne (B) Managementkontrollen und Anpassungen an Veränderungen des Umfelds

27 27 Schritt 6: Prüfung Existenz vs. Wirksamkeit Beurteilungs- gegenstand Beurteilungsmethode AusgestaltungBeurteilung der Ausgestaltung anhand Kontrollbeschreibung ImplementierungBeurteilung der Implementierung anhand eines Walkthrough (Wurzelstichprobe) AufrechterhaltungBeurteilung der operativen Wirksamkeit anhand von Stichproben OR: Existenz IKS OR: Wirksamkeit (Abschluss)

28 28 Schritt 7: Behebung von Schwachstellen und Berichterstattung Berichterstattung über durchgeführte Kontrollen Berichterstattung über festgestellte Mängel Schwächen Interner Kontrollen sind erkannt zeitnah an die Verantwortlichen kommuniziert evtl. Information von Geschäftsleitung oder VR/SR Einleiten von Korrekturmassnahmen und Priorisierung der Schwachstellen: Massnahmen Verantwortlicher Terminierung Überwachung des Behebungsprozesses

29 29 Schritt 6 & 7: Beispiel

30 30 Schritt 8: Revisionsstelle Vorbereiten der Unterlagen für die Revisionsstelle (Dokumentationen zu Prozess- und Kontrollbeschreibungen, durchgeführten Kontrollen & Managementkontrollen) Ohne Dokumentation kann nicht geprüft werden! Befragungen und Durchsicht der Dokumentation alleine gibt nicht genügend Prüfsicherheit Kombination von Prüfungsverfahren: Ermessen des Prüfers

31 31 Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen

32 32 Der Weg zu einem erfolgreichen IKS-Projekt Akzeptanz und Verpflichtung durch Verwaltungs- /Stiftungsrat und Geschäftsleitung Schritt- /Phasenweises Vorgehen (Kontrollziele) Definition klarer Anforderungen an das IKS (und systematisches Vorgehen) Klare Zuordnung von Aufgaben und Verantwortungen Schulung aller mit dem IKS betrauten Stellen/ Personen

33 33 Der Weg zu einem erfolgreichen IKS-Projekt Verfügbarkeit von Ressourcen Kontinuierliche Anpassung des IKS an verändertes Umfeld Überwachung der Wirksamkeit des IKS durch Verwaltungs-/Stiftungsrat und Geschäftsleitung Bewusstsein, dass es keine absolute Sicherheit gibt!

34 34 Vor- und Nachteile durch die Einführung eines IKS Vorteile: Chance zur Professionalisierung des Vorhandenen Gewissheit des Verwaltuns-/Stiftungsrates über funktionierendes IKS Geringeres finanzielles Risiko hinsichtlich Zielerreichung, Betrugsfälle, etc. -> Schutz des Geschäftsvermögens Weniger Abhängigkeiten von einzelnen Personen Nachteile : Mehr Dokumentations- und Zeitaufwand (nicht produktiv) Kosten für Implementierung und Aufrechterhaltung der Wirksamkeit des IKS (evtl. Beratungsaufwand) Höherer Revisionsaufwand durch ordentliche Prüfung

35 35 Fragen?

36 36 Auskunftserteilung und Unterstützung Adrian Scholze, dipl. Wirtschaftsprüfer Rolf Kihm, dipl. Wirtschaftsprüfer Teamleiter Riskmanagement-Experte SWC Stefan Elmiger, dipl. Wirtschaftsprüfer Mitglied der Geschäftsleitung

37 37 Besten Dank für Ihre Aufmerksamkeit


Herunterladen ppt "IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau anlässlich der Informationsveranstaltung."

Ähnliche Präsentationen


Google-Anzeigen