öffentlichen Verwaltung Interne Kontrolle in der öffentlichen Verwaltung FINANZKONTROLLE DER STADT ZÜRICH Interne Kontrolle 12. März 2007 Folie 1
Finanzkontrolle der Stadt Zürich: Auftrag, Eckdaten Überblick Finanzkontrolle der Stadt Zürich: Auftrag, Eckdaten Stadt Zürich: Rahmenbedingungen für Interne Kontrolle Praxisbeispiel: - IKS-Prüfungen (COSO-Systematik) - Berichterstattung - Unterstützung der operativ Verantwortlichen Interne Kontrolle 12. März 2007 Folie 2
Finanzkontrolle der Stadt Zürich Gesetzlicher Auftrag / Fachlich unabhängig: Externe Revisionsaufgaben Stadtrechnung, Bugdet, private Mandate Interne Revisionsaufgaben (ca. 85 %) Beurteilung von Steuerungs-/Kontrollsystemen (IKS) in finanziellen und operativen Bereichen Interne Kontrolle 12. März 2007 Folie 3
Interne Kontrolle 12. März 2007 Folie 4
* “Position“ Finanzaufsicht FINANZKONTROLLE* * “Position“ Finanzaufsicht Interne Kontrolle 12. März 2007 Folie 5
Stadtverwaltung Zürich 9 Departemente 80 Verwaltungseinheiten Eckdaten: 9 Departemente 80 Verwaltungseinheiten 25‘500 MA = 20‘000 Stellenwerte 7 Mia. Fr. Aufwand/Ertrag 1 Mia. Fr. Investitionen 10,3 Mia. Fr. Bilanzsumme 0,5 Mia. Fr. Eigenkapital Interne Kontrolle 12. März 2007 Folie 6
Stadtverwaltung Zürich (Statistisches Jahrbuch) Stellenwerte Behörden & Allgemeine Verwaltung 312 Präsidialdepartement 345 Finanzdepartement 607 Polizeidepartement 2493 Gesundheits- & Umweltdepartement 5210 Tiefbau- & Entsorgungsdepartement 1592 Hochbaudepartement 581 Depart. Industrielle Betriebe (VBZ, EWZ, WVZ etc.) 3238 Schul- & Sportdepartement 1524 Sozialdepartement 1314 Lehrkräfte 1264 Auszubildende 1386 Interne Kontrolle 12. März 2007 Folie 7
Definition „Internes Kontrollsystem“ (IKS)* Das IKS ist ein Managementinstrument zur zweckmässigen Sicherstellung der Erreichung von Unternehmenszielen in den Bereichen “Prozesse“, “Informationen“, “Vermögensschutz“ und “Compliance“. Das IKS umfasst alle dafür von der Geschäftsleitung planmässig angeordneten organisatorischen Methoden und Massnahmen. * u.a. gemäss IKS-Positionspapier des Vorstandes der Treuhand- kammer vom 21.3.2006 (siehe „Der Schweizer Treuhänder“ 2006/5) Interne Kontrolle 12. März 2007 Folie 8
IKS – Rahmenbedingungen (1) (Verwaltung Stadt Zürich) Finanzbereich (Verwaltung) Internes Buchführungsreglement: IKS (generelle Forderung ) seit 1986 IKS-Systematik seit 1.1.2006 Interne Kontrolle 12. März 2007 Folie 9
Reglement Buchführung (Auszug) Verfügung des Vorstehers Finanzdepartement, Stadt Zürich III. Internes Kontrollsystem (IKS) Art. 11 Definition (Managementinstrument - Zielerreichung) Art. 12 Ziele (Prozesse, Informationen, Vermögen, Compliance) Art. 13 Qualität (5 IKS-Faktoren) Art. 15 Verantwortung/Überwachung (GL) Interne Kontrolle 12. März 2007 Folie 10
Reglement Buchführung (Auszug) III. Internes Kontrollsystem (IKS) Verfügung des Vorstehers Finanzdepartement, Stadt Zürich III. Internes Kontrollsystem (IKS) Art. 11 (Definition) Das Interne Kontrollsystem ist ein Führungsinstrument und dient u.a. auch im Rechnungswesen zur syste-matischen Sicherstellung von Unternehmenszielen in den Bereichen Informationen, Prozesse, Vermögens-schutz und Einhaltung von Rahmenbedingungen. Ein IKS umfass alle von der dafür verantwortlichen Geschäftsleitung angeordneten organisatorischen Methoden, Massnahmen, Richtlinien, Verfahren und Aktivitäten, die der Erreichung der gesetzten Ziele dienen. Interne Kontrolle 12. März 2007 Folie 11
Für das Rechnungswesen sind folgende Reglement Buchführung (Auszug) Art. 12 (Ziele) Für das Rechnungswesen sind folgende IKS-Zielsetzungskategorien definiert: Zuverlässigkeit und Vollständigkeit von finanziellen Informationen (Ordnungsmässigkeit) Effektivität und Effizienz von Geschäftsprozessen Sicherung des Betriebsvermögens Einhaltung von Rahmenbedingungen (Gesetze, Bestimmungen, interne Regelungen, Verträge etc.) Interne Kontrolle 12. März 2007 Folie 12
Internes Umfeld, Risikoanalyse, Kontroll- und Steuerungsmassnahmen, Reglement Buchführung (Auszug) Art. 13 (Qualität) Die Qualität des IKS beruht auf der zweckmässigen Ausgestaltung der folgenden Faktoren: Internes Umfeld, Risikoanalyse, Kontroll- und Steuerungsmassnahmen, Information und Kommunikation sowie Systemüberwachung. Die Finanzkontrolle überprüft die Planung, Realisierung und Einhaltung des IKS. Interne Kontrolle 12. März 2007 Folie 13
Reglement Buchführung (Auszug) Art. 15 (Verantwortung/Überwachung) Die Gesamtverantwortung für den Aufbau und die Anordnung des IKS sowie die Sicherstellung der dauernden Wirksamkeit trägt der/die DienstchefIn (...) für den jeweiligen Zuständigkeitsbereich. Im Rahmen ihrer Überwachungsaufgaben haben Vorgesetzte das Funktionieren der Sicherungsmassnahmen zu kontrollieren. Interne Kontrolle 12. März 2007 Folie 14
IKS – Rahmenbedingungen (2) (Verwaltung Stadt Zürich) Operativer Bereich (Verwaltung) Stadtinterne Vorgaben (abstrakt und konkret): Aufgaben, Steuerungs- und Kontrollmassnahmen Allgemeine betriebswirtschaftliche Anforderungen Systematische Vorgehensweise für Interne Kontrolle drängt sich auf! Interne Kontrolle 12. März 2007 Folie 15
Stadtinterne Vorgaben: z.B. Interne Kontrolle 12. März 2007 Folie 16
IKS – Rahmenbedingungen (3) Finanzkontrolle (Verwaltung Stadt Zürich) Finanzkontrolle Finanzverordnung (GRB): “FK“ prüft (...) nach kantonalem und kommunalem Recht und anerkannten Revisionsgrundsätzen. = Externe Revision: HWP, (PS ?) = Interne Revision: HWP, SVIR/IIA-Standards Finanzreglement (StRB): “FK“ überprüft (...) Verfahrensabläufe, insbesondere unter Beachtung der internen Kontrollsysteme. Interne Kontrolle 12. März 2007 Folie 17
IKS-Rollenverteilung - Exekutive: Gesamtverantwortung DienstchefIn (DirektorIn): Verantwortlich für IKS (Zweckmässigkeit und Einhaltung in operativen und finanziellen Bereichen) Finanzkontrolle: Beurteilt IKS systematisch und trägt zu dessen Verbesserung bei (IAA-Standard 2100: Kernaktivität der Internen Revision) Interne Kontrolle 12. März 2007 Folie 18
IKS-Prüfungen: Entwicklung Seit „jeher“: Punktuelle Prüfungen im IKS-Bereich Schwerpunkt: Finanzbereich, Einhalteprüfungen (Compliance), Funktionentrennung, Vier-Augen-Prinzip Seit 1998: Systematischere Vorgehensweise Seit 2002: - Systematische IKS-Prüfungen ab 2008: - IKS-Prüfungsplanung stadtweit - IKS-Status: Gesamtübersicht Stadt Interne Kontrolle 12. März 2007 Folie 19
IKS-Prüfungen: Planung/Status Risikoorientierte Auswahl der Dienstabteilungen und Bereiche, bei denen prioritär IKS-Prüfungen durchgeführt werden. Gesamtübersicht: Wo wurde in welchen Bereichen mit was für einem Resultat das IKS geprüft. Interne Kontrolle 12. März 2007 Folie 20
Grundsätzliches hat ein IKS Systematische IKS-Prüfungen Jede Organisationsform (Unternehmen, Verwaltung etc.) hat ein IKS verfügt über interne Steuerungs- und Kontrollmassnahmen Interne Kontrolle 12. März 2007 Folie 21
Frage: Bestehende Steuerungs- und Kontrollmassnahmen - decken Risiken vollständig ab? Risikoanalyse sind aufeinander abgestimmt ? sind auf Kontrollziele ausgerichtet ? Interne Kontrolle 12. März 2007 Folie 22
IST-Zustand “Interne Kontrolle“ Meist gewachsene “IKS“: - Massnahmen aufgrund von Vorfällen punktuelle Umsetzung unterschiedlicher betriebswirtschaftlicher Kenntnisse Vielfach informell, nicht nachvollziehbar IKS-Definition/Terminologie unklar, uneinheitlich (Kontrollmassnahme ?) Unterschiedliches Verständnis, viele Missverständnisse, kein Vorgehens-Standard Interne Kontrolle 12. März 2007 Folie 23
IKS: Ist-Zustand? IKS: Soll-Zustand Interne Kontrolle 12. März 2007 Folie 24
(Organisation, Grösse, Komplexität, Risiko) Soll-Zustand ? = Optimales IKS Angemessenes IKS (Organisation, Grösse, Komplexität, Risiko) Interne Kontrolle 12. März 2007 Folie 25
COSO als Rahmenstruktur zur Prüfung Interner Kontrollsysteme. 2001: Modell-Wahl der Finanzkontrolle COSO als Rahmenstruktur zur Prüfung Interner Kontrollsysteme. Standard, der sich mittlerweile in der Schweiz und International durchgesetzt hat! Zum Beispiel im Führungsmodell. Nur Hinweis im Reglement reicht nicht. Muss aktiv betrieben und vom StR eingefordert werden Interne Kontrolle 12. März 2007 Folie 26
COSO = Rahmenstruktur für Interne Kontrollsysteme COSO = Committee of Sponsoring Organizations of the Treadway Commission Interne Kontrolle 12. März 2007 Folie 27
INTOSAI-Richtlinien für die internen Kontrollnormen im öffentlichen Sektor Seit 2004: Grundlage COSO-Modell IIA: Praktische Ratschläge zu den Standards für die berufliche Praxis der Internen Revision Seit (2001)/2004: Empfehlung COSO-Modell SVIR: Leitlinie zum Internen Audit Seit 2005: COSO-Modell INTOSAI = Internationale Organisation der obersten Rechnungskontrollbehörden IIA = Institute of Internal Auditors (Intern. Berufsorgan./130‘000 Mitglieder) SVIR = Schweizerischer Verband für Interne Revision Interne Kontrolle 12. März 2007 Folie 28
Praktischer Ratschlag (Practice Advisories) Praktischer Ratschlag (Practice Advisories) zum IIA-Standard “2120 - Kontrollen“ (Auszug) ‘‘Das IIA ist der Auffassung, dass das praktikabelste momentan verfügbare Grundlagenwerk über Interne Kontrolle der 1992 vom Committee of Sponsoring Organizations (COSO) der Treadway-Kommission veröffentlichte Bericht "Internal Control - Integrated Framework" ist. (2004) Interne Kontrolle 12. März 2007 Folie 29
Information & Kommunikation IKS: Systematische Vorgehensweise COSO-Modell Ziele und Faktoren sind mit- und untereinander vernetzt Ziele Compliance Prozesse Informationen Vermögens-schutz System-Überwachung Aktivitäten Information & Kommunikation Dienstabteilungen IKS-Faktoren Departemente Kontrollmassnahmen Risikoanalyse Bereiche Internes Umfeld Interne Kontrolle 12. März 2007 Folie 30
COSO – Light ? COSO als Rahmenmodell für Interne Kontrollen ist flexibel genug, sich jeder Organisationsgrösse anzupassen! Interne Kontrolle 12. März 2007 Folie 31
Heute: IKS für finanzielle und operative Zielsetzungen COSO I COSO II (ERM) Internal Control Enterprise Risk Management Integrated Framework Integrated Framework seit 1992 seit 2004 Ursprünglich: Verlässlichkeit der finanziellen Berichterstattung -- Heute: IKS für finanzielle und operative Zielsetzungen Risikomanagement-System für das ganze Unternehmen Interne Kontrolle 12. März 2007 Folie 32
COSO I 1992 COSO II (ERM) 2004 Internal Control Enterprise Risk Management Integrated Framework Integrated Framework Systemüberwachung Information & Kommunik. Kontrollmassnahmen Reaktion auf Risiken Risikobeurteilung Ereignis-Identifizierung Ziele setzen Internes Umfeld = Neu Interne Kontrolle 12. März 2007 Folie 33
IKS-Zielsetzungen (gemäss COSO I) (COSO “+ 1“ = 4 Ziele = IAA-Standard & INTOSAI) - Prozesse: Effektiv und effizient - Informationen: Zuverlässig und (finanziell + operativ) vollständig (Ordnungsmässigkeit) - Compliance: Rahmenbedingungen, Verträgen etc. eingehalten - Vermögen: Materielle Werte, HR, Know-how u.a. geschützt Interne Kontrolle 12. März 2007 Folie 34
Information & Kommunikation IKS-Faktoren/Komponenten (gemäss COSO I) (Vorgehens-Systematik) System-Überwachung IKS-Verständnis Organisation/Aufgaben Ethik, Integrität Fach-Kompetenz Management-Philosophie (u.a. abgestimmt mit städtischem Leitbild) IKS-Systematik Information & Kommunikation Kontrollmassnahmen Risikoanalyse Internes Umfeld Interne Kontrolle 12. März 2007 Folie 35
Information & Kommunikation IKS-Faktoren/Komponenten Definition Geschäftsbereiche/ Ziele Prozesse und Ziele definieren Risiken identifizieren - Prozesse - Informationen - Betriebsvermögen - Compliance Risiken beurteilen (Relevanz, Eintrittswahrscheinlichkeit, Behandlung) Massnahmen/Kontrollziele festlegen zur Beherrschung der Risiken System-Überwachung Information & Kommunikation Kontrollmassnahmen Risikoanalyse Internes Umfeld Interne Kontrolle 12. März 2007 Folie 36
sind durch Zielfokussierung ‘‘Risikoanalysen sind durch Zielfokussierung zu systematisieren“ Interne Kontrolle 12. März 2007 Folie 37
Risikoanalyse Definition Geschäftsbereiche/Ziele Prozesse und Ziele definieren Risiken identifizieren Wald = Unternehmensweite Risken & Bäume = Prozessrisiken - Prozesse Effektiv/Effizient - Informationen (F/O) Zuverlässig/Vollständig - Vermögensschutz Materielle Werte, HR, Know-how - Compliance Rahmenbedingungen einhalten Interne Kontrolle 12. März 2007 Folie 38
für Prozessrisiko-Analyse: Ablaufdiagramme Entscheidungen Kontrollen/Visa Hilfsmittel (For- mulare, Check- listen etc.) u.a. Interne Kontrolle 12. März 2007 Folie 39
Information & Kommunikation IKS-Faktoren/Komponenten Definition Geschäftsbereiche/ Ziele Prozesse und Ziele definieren Risiken identifizieren - Prozesse - Informationen - Betriebsvermögen - Compliance Risiken beurteilen (Relevanz, Eintrittswahrscheinlichkeit, Behandlung) Massnahmen/Kontrollziele festlegen zur Beherrschung der Risiken System-Überwachung Information & Kommunikation Kontrollmassnahmen Risikoanalyse Internes Umfeld Interne Kontrolle 12. März 2007 Folie 40
“Risiken“ der Risikoanalyse: Nicht zu rudimentär - Systematik verwenden - alle Bereiche und Ziele - alle (wesentlichen) Risiken erfassen Risiko = Möglichkeit, dass ein unerwünschtes Ereignis eine Zielerreichung verhindert Nicht zu kompliziert Nicht in der Systematik „hängen bleiben“, Übersicht behalten, verständlich bleiben Interne Kontrolle 12. März 2007 Folie 41
Information & Kommunikation IKS-Faktoren/Komponenten System-Überwachung Umsetzung der Risikoanalyse: - Organisatorische Instrumente - Technische Kontrollen - Führungskontrolle Steuerungs- und Kontrollmassnahmen in Prozesse integrieren! Information & Kommunikation Kontrollmassnahmen Risikoanalyse Internes Umfeld Interne Kontrolle 12. März 2007 Folie 42
Information & Kommunikation IKS-Faktoren/Komponenten Informationsbedarf definieren, Informationssysteme bereitstellen: Wer braucht warum was Geeignete Kommunikation sicherstellen: Wer-Wie-Wann (Sitzungen, Protokolle, Mail, Intranet; interne/externe Kanäle etc.) Ziel: u.a. selbständige MA mit hoher Eigenverantwortung: „Jede/r weiss, um was es geht und was zu tun ist“ System-Überwachung Information & Kommunikation Kontrollmassnahmen Risikoanalyse Internes Umfeld Interne Kontrolle 12. März 2007 Folie 43
Information & Kommunikation IKS-Faktoren/Komponenten Monitoring: Systematische IKS-Überprüfung (laufend intern und periodisch prozessunabhängig): Dauernde Zweckmässigkeit und Wirksamkeit sicherstellen. System-Überwachung Information & Kommunikation Kontrollmassnahmen Risikoanalyse Internes Umfeld Interne Kontrolle 12. März 2007 Folie 44
1 IKS-Berichterstattung 1.1 Gesamtbewertung Interne Kontrolle 12. März 2007 Folie 45
Interne Kontrolle 12. März 2007 Folie 46
1 IKS-Berichterstattung 1.2 Detailübersicht (nach COSO-Struktur) Interne Kontrolle 12. März 2007 Folie 47
Fazit (1) (Bisher ging‘s doch auch !?) Ohne einheitliche IKS-Systematik: Unterschiedliche IKS-Lösungen/Standard Improvisations-/Sitzungsaufwand MitarbeiterInnen, die Vakuum ausfüllen (ohne dass der Chef das weiss?!) Unklarheiten, Lehrläufe, Missverständnisse Interne Kontrolle 12. März 2007 Folie 48
Fazit (2) COSO als Vorgehenssystematik Unterstützung der Führungs- und Aufsichtsfunktion: Hilft IKS-Anforderungen zu konkretisieren (Klar, Verbindlich) Effektiv/Effizient durch Systematik (Vollständigkeit der Risikoanalyse, keine „Verzettelung“, Synergiegewinne durch Nachvollziehbarkeit) Vergleichbar (Kennzahlen Erfüllungsgrad) Image: Anerkannter, internationaler Standard Interne Kontrolle 12. März 2007 Folie 49
Anforderungen an IKS-“Beauftragte“/Berater/Revisoren: - Kenntnis und Verständnis für betriebs- wirtschaftliche Zusammenhänge/Grundsätze - Fähigkeit, Gesamtzusammenhänge und Details zu erkennen/richtig zu gewichten - Ziel- und prozessorientierte Denkweise - Initialaufwand zur Anwendung einer Vorgehenssystematik leisten Interne Kontrolle 12. März 2007 Folie 50
IKS-Unterstützung der operativ Verantwortlichen durch die Finanzkontrolle: - IKS-Revisionen IKS-Kaderinformation Checklisten IKS-Selbstdeklaration Informationsgespräche IKS-Internetseite Leitfaden „IKS im Rechnungswesen“ IKS Management-Standards Vorgaben für IKS-“Handbuch“ Managementausbildung: IKS g e p l an t Interne Kontrolle 12. März 2007 Folie 51
Ende Referat Interne Kontrolle 12. März 2007 Folie 52