IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau anlässlich der Informationsveranstaltung der AVUSA vom 20. Februar 2008

Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen 2

Definition eines Internen Kontrollsystems (IKS) Unter Interner Kontrolle werden alle durch den Verwaltungs-/Stiftungsrat oder die Unternehmensleitung angeordneten Vorgänge, Methoden und Massnahmen verstanden, die dazu dienen, einen ordnungsgemässen Ablauf der betrieblichen Aktivitäten zu gewährleisten. Die organisatorischen Massnahmen der internen Kontrolle sind in die betrieblichen Arbeitsabläufe integriert, d.h. sie erfolgen arbeitsbegleitend, oder sind dem Arbeitsvollzug unmittelbar vor- oder nachgelagert.

Aufgaben und Verantwortlichkeiten Verwaltungs-/Stiftungsrat: Oberverantwortung Ausgestaltung Geschäftsleitung: Umsetzung Aufrechterhaltung Revisionsstelle: Berücksichtigung bei der Prüfung der Jahresrechnung Neu: jährliche Prüfung der Existenz

IKS ist auch Bestandteil des Risikomanagements Internes Kontrollsystem Risikomanagement Beschränkung auf reine Risikobetrachtung Schwerpunkt bei der Schadensbegrenzung (wirksame Massnahmen einleiten; im besten Fall bis zur Eliminierung des Risikos) Risikomanagement als übergeordnetes System Berücksichtigung von Chancen und Risiken

Kontrollziele eines IKS (Nutzen) Strategie: Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente Geschäftsführung Betrieb: Verhinderung, Verminderung und Aufdeckung von Fehlern (operationelle Risiken) und Unregelmässigkeiten (Betrug) Finanzberichterstattung: Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung sowie zeitgerechte und verlässliche finanzielle Berichterstattung (Bewertung, Offenlegung, etc.) Compliance: Einhaltung der anwendbaren Normen wie z.B. Gesetze, Verordnungen, Reglemente und Weisungen Nach revOR: primär finanzielle Berichterstattung! 

Anforderungen an ein IKS Effizienz IKS ist integraler Bestandteil des unternehmensweiten Risikomanagements fokussiert auf Schlüsselrisiken nach Möglichkeit Automati- sierung der Kontrollen Nachvollziehbarkeit Dokumentation der - IKS-Ziele und –Ausbaugrad - Geschäftsrisiken - Prozesse & Kontrollen Kontrolltätigkeiten werden nachvollziehbar dokumentiert Qualität des IKS wird regelmässig beurteilt und darüber Bericht erstattet Wirksamkeit Unternehmenskultur klar geregelte Verantwortungen Kontrollen sind in Geschäftsprozesse integriert und werden überwacht Mitarbeiter sind geschult Informations- und Eskalations-prozedere sind definiert

Komponenten eines IKS Kontrollumfeld Risikobeurteilung Kontroll- aktivitäten Information und Kommunikation Über- wachung Quelle: COSO

Warum braucht es ein IKS gerade JETZT? Neue gesetzliche Vorschriften: Ordentliche Revision! (Prüfung der Existenz eines IKS durch die Revisionsstelle) Vorgabe des Subventionsgebers einer ordentlichen Revision (z.B. BKS) Professionalisierung der (finanziellen) Führung, insbesondere betreffend Kontrolle  9

Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen 10

Wichtige Schritte im Aufbau eines IKS 8 Revisionsstelle Kontrollumfeld Risikobeurteilung Über- wachung Information und Kommunikation Kontroll- aktivitäten 7 Behebung Schwachstellen 6 Beurteilung Wirksamkeit 5 Kontrollbeschreibung Generelle IT-Kontrollen Kontrollen auf Prozessebene Kontrollen auf Unternehmens-ebene 4 Risiko-/Kontrollmatrix 3 Auswahlverfahren Bestimmung Methodik 2 1 Ist-Analyse Kontinuierliche Projektleitung, -überwachung und –steuerung Abstimmung mit der Revisionsstelle

Schritt 1: Ist-Analyse Analyse des heutigen Standes (inklusive vorhandener Informationen, Dokumentationen) Unternehmensebene (Beispiele): Richtlinien und Verfahren zur Einhaltung der ethischen Werte (code of ethics) sowie Verhalten und Taten der Vorgesetzten bestehende Qualitätssicherungssysteme Kompetenzregelung Organisationsreglement Stellenbeschreibungen

Schritt 1: Ist-Analyse Prozessebene (Beispiele): Prozessbeschreibungen / Flow Charts Kontrollbeschreibungen Dokumentationen aus ISO-Zertifizierung Weisungen IT-Ebene (Beispiele): IT-Landschaft / relevante Systeme Organigramm IT-Abteilung Zuständigkeiten für einzelne Rechenzentren oder IT-Systeme sowie Qualitätssicherung

Schritt 1: Ist-Analyse (Qualitätsanforderungen) Optimiert Stufe 5 Standardisiert: Einfache Grundsätze, wie IKS zu betreiben ist, sind definiert. Prozesslandschaft und Geschäftsprozesse sind dokumentiert (Tätigkeiten und Kontrollen). Durchgeführte Kontrollen sind nachvollziehbar. Es findet ein Erfahrungsaustausch statt, und regelmässig werden die Kontrollen an veränderte Risiken angepasst. Für die Mitarbeiter hat eine Basisschulung stattgefunden. Überwacht Stufe 4 Standardisiert Stufe 3 Informell Stufe 2 Informell: Interne Kontrollen sind vorhanden, aber nicht standardisiert. Vorhandene Kontrollen können kaum oder gar nicht nachvollzogen werden. Kontrollen sind stark personenabhängig, es erfolgt keine Schulung oder Kommunikation über die Kontrollen. Wenig verlässlich Stufe 1

Schritt 2: Bestimmung der Methodik Vorgehen bezüglich Unternehmensebene Prozessebene Generelle IT-Kontrollen Projektumfang (Kontrollziele) und Projektorganisation Information: Schulung und Training von Mitarbeitern  Verfassen eines Konzeptpapiers!

Schritt 3: Auswahlverfahren (Scoping) Identifizieren der Schlüsselprozesse (basierend auf der Jahresrechnung) Quantitative und qualitative Auswahlkriterien Nachvollziehbares und prüfbares Auswahlverfahren bezüglich Geschäftseinheiten / -bereiche Positionen der Jahresrechnung sowie Prozesse IT-Applikationen und End-User Applikationen  Festlegen des Umfangs als zentrale Phase!

Schritt 3: Schlüsselprozesse Heime (Bsp.) Leistungsverrechnung (Debitoren) / Umsatz Kreditoren / Betriebsaufwand / Zahlungswesen Personal- und Lohnwesen Investitionen / Bewertung / Abschreibungen Budgeterstellung / Subventionen 17

Schritt 4: Risiko-/Kontrollmatrix Prozessdokumentationen erstellen (evtl. mit Flow Charts) Identifikation und Bewertung der Schlüsselrisiken Identifikation von Kontrollen bzw. Massnahmen Gegenüberstellung von Risiken und Kontrollen pro Prozess mit wesentlichen Aspekten zu jeder Kontrolle wie bspw. Verbindung zu Positionen in der Jahresrechnung Gegenüberstellung von Risiken und Kontrollen pro IT-Applikation oder End-User Applikation mit wesentlichen Aspekten zu jeder Kontrolle

Schritt 4: Risiko-/Kontrollmatrix Zielsetzung des IKS (Richtigkeit und Vollständigkeit der finanziellen Berichterstattung) Risiko-/Kontrollmatrix Positionen der Jahres- rechnung Schlüssel- prozesse Flow Charts / Prozess- beschrei- bungen Identifikation und Bewer- tung von Schlüssel- risiken Identifikation von Kontrollen Detaillierte Kontroll- beschreibung (manueller Teil der Kontrolle= Kontroll- prozedur) Schritt 3 Auswahlverfahren Schritt 4 und 5 Risiko-/Kontrollmatrix und Kontrollbeschreibung

Schritt 4: Identifikation von Kontrollen Geschäftsleitung trifft Massnahmen zur Steuerung der Risiken und zur Zielerreichung Kontrollen stellen sicher, dass diese Massnahmen, tatsächlich umgesetzt werden. Zeitliche Wirkung einer Kontrolle: Präventive Kontrollen: Fehlerverhinderung (Funktionentrennung, Kompetenzenregelungen, Passwörter und Zugriffsvorschriften, physische Schutzvorkehrungen u.ä.) Detektive Kontrollen: Fehlersuche (Durchsicht von Kontrollberichten, Abstimmungen, physische Inventur, Reviews)

Schritt 4: Identifikation von Kontrollen Präventive Kontrollen Zugriffsschutz (Autorisierung, Need to Know) Datenabgleich (Fehler- protokolle) Automatische Kontrollen Detektive Kontrollen Manuelle Kontrollen Einhaltekontrollen Abstimmkontrollen physische Kontrollen Funktionentrennung, Kompetenzenregelungen, Zugriffsvorschriften, physische Schutzvorkehrungen u.ä. Funktionentrennung, Passwörter und Zugriffsvorschriften Managementkontrollen (Performance Report, Budgetvergleiche, etc.) Grundlagen

Schritt 5: Kontrollbeschreibung Detaillierte Kontrollbeschreibung für die identifizierten Schlüsselkontrollen für einen sachverständigen Dritten nachvollziehbar wichtig: W-Fragen beantwortet (wer, was, wie, wie oft, wann, wo, warum) für automatische Applikationskontrollen konkrete Funktionsbeschreibungen erforderlich

Schritt 4 & 5: Beispiel

Schritt 6: Beurteilung der Wirksamkeit Unternehmensebene: Beurteilung von Dokumenten Interviews und Befragungen Prozessebene: Interviews, Bestätigungen, Control Self Assessment Prozessdokumentationen und Kontrollbeschreibungen Beurteilung durch Dritte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens Generelle IT-Kontrollen: vgl. Prozessebene

Schritt 6: Beurteilung der Wirksamkeit Periodische Managementkontrollen (basierend auf Stichproben) auf Prozessebene gewährleisten eine gleichbleibende Qualität der Kontrollen über die Zeit Beurteilung durch Vorgesetzte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens (Delegation der Kontrolle möglich, nicht aber der Verantwortung) Periodische Überprüfung der Aktualität und Bestätigung dessen durch den Prozess-verantwortlichen 25

Schritt 6: Wirkung von Managementkontrollen Wenig verlässlich Stufe 1 Informell Stufe 2 Standardisiert Stufe 3 Überwacht Stufe 4 Optimiert Stufe 5 A B Qualität Zeit Qualität eines Prozesses mit (A) und ohne (B) Managementkontrollen und Anpassungen an Veränderungen des Umfelds

Schritt 6: Prüfung Existenz vs. Wirksamkeit Beurteilungs-gegenstand Beurteilungsmethode Ausgestaltung Beurteilung der Ausgestaltung anhand Kontrollbeschreibung Implementierung Beurteilung der Implementierung anhand eines Walkthrough (Wurzelstichprobe) Aufrechterhaltung Beurteilung der operativen Wirksamkeit anhand von Stichproben OR: Existenz IKS OR: Wirksamkeit (Abschluss)

Schritt 7: Behebung von Schwachstellen und Berichterstattung Berichterstattung über durchgeführte Kontrollen Berichterstattung über festgestellte Mängel Schwächen Interner Kontrollen sind erkannt zeitnah an die Verantwortlichen kommuniziert evtl. Information von Geschäftsleitung oder VR/SR Einleiten von Korrekturmassnahmen und Priorisierung der Schwachstellen: Massnahmen Verantwortlicher Terminierung Überwachung des Behebungsprozesses

Schritt 6 & 7: Beispiel

Schritt 8: Revisionsstelle Vorbereiten der Unterlagen für die Revisionsstelle (Dokumentationen zu Prozess- und Kontrollbeschreibungen, durchgeführten Kontrollen & Managementkontrollen) Ohne Dokumentation kann nicht geprüft werden! Befragungen und Durchsicht der Dokumentation alleine gibt nicht genügend Prüfsicherheit Kombination von Prüfungsverfahren: Ermessen des Prüfers

Agenda Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen 31

Der Weg zu einem erfolgreichen IKS-Projekt Akzeptanz und Verpflichtung durch Verwaltungs-/Stiftungsrat und Geschäftsleitung Schritt- /Phasenweises Vorgehen (Kontrollziele) Definition klarer Anforderungen an das IKS (und systematisches Vorgehen) Klare Zuordnung von Aufgaben und Verantwortungen Schulung aller mit dem IKS betrauten Stellen/ Personen

Der Weg zu einem erfolgreichen IKS-Projekt Verfügbarkeit von Ressourcen Kontinuierliche Anpassung des IKS an verändertes Umfeld Überwachung der Wirksamkeit des IKS durch Verwaltungs-/Stiftungsrat und Geschäftsleitung  Bewusstsein, dass es keine absolute Sicherheit gibt!

Vor- und Nachteile durch die Einführung eines IKS Vorteile: Chance zur Professionalisierung des Vorhandenen Gewissheit des Verwaltuns-/Stiftungsrates über funktionierendes IKS Geringeres finanzielles Risiko hinsichtlich Zielerreichung, Betrugsfälle, etc. -> Schutz des Geschäftsvermögens Weniger Abhängigkeiten von einzelnen Personen Nachteile : Mehr Dokumentations- und Zeitaufwand (nicht produktiv) Kosten für Implementierung und Aufrechterhaltung der Wirksamkeit des IKS (evtl. Beratungsaufwand) Höherer Revisionsaufwand durch ordentliche Prüfung

Fragen?

Auskunftserteilung und Unterstützung Adrian Scholze, dipl. Wirtschaftsprüfer 062 837 17 23 adrian.scholze@thv.ch Rolf Kihm, dipl. Wirtschaftsprüfer Teamleiter Riskmanagement-Experte SWC 062 837 17 08 rolf.kihm@thv.ch Stefan Elmiger, dipl. Wirtschaftsprüfer Mitglied der Geschäftsleitung 062 837 17 21 stefan.elmiger@thv.ch

Besten Dank für Ihre Aufmerksamkeit