slide1 l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau PowerPoint Presentation
Download Presentation
IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau

Loading in 2 Seconds...

play fullscreen
1 / 37

IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau - PowerPoint PPT Presentation


  • 186 Views
  • Uploaded on

IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau. anlässlich der Informationsveranstaltung der AVUSA vom 20. Februar 2008. Agenda. Einleitung Einführung eines Internen Kontrollsystems Schlussbemerkungen.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'IKS - Internes Kontrollsystem im Unternehmen mit sozialem Auftrag Adrian Scholze, dipl. Wirtschaftsprüfer thv AG, Aarau' - neva


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

IKS - Internes Kontrollsystem im Unternehmen mit sozialem AuftragAdrian Scholze, dipl. Wirtschaftsprüferthv AG, Aarau

anlässlich der Informationsveranstaltung der AVUSA vom 20. Februar 2008

agenda
Agenda

Einleitung

Einführung eines Internen Kontrollsystems

Schlussbemerkungen

definition eines internen kontrollsystems iks
Definition eines Internen Kontrollsystems (IKS)

Unter Interner Kontrolle werden alle durch den Verwaltungs-/Stiftungsrat oder die Unternehmensleitung angeordneten Vorgänge, Methoden und Massnahmen verstanden, die dazu dienen, einen ordnungsgemässen Ablauf der betrieblichen Aktivitäten zu gewährleisten.

Die organisatorischen Massnahmen der internen Kontrolle sind in die betrieblichen Arbeitsabläufeintegriert, d.h. sie erfolgen arbeitsbegleitend, oder sind dem Arbeitsvollzug unmittelbar vor- oder nachgelagert.

aufgaben und verantwortlichkeiten
Aufgaben und Verantwortlichkeiten
  • Verwaltungs-/Stiftungsrat:
    • Oberverantwortung
    • Ausgestaltung
  • Geschäftsleitung:
    • Umsetzung
    • Aufrechterhaltung
  • Revisionsstelle:
    • Berücksichtigung bei der Prüfung der Jahresrechnung
    • Neu: jährliche Prüfung der Existenz
kontrollziele eines iks nutzen
Kontrollziele eines IKS (Nutzen)
  • Strategie: Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente Geschäftsführung
  • Betrieb: Verhinderung, Verminderung und Aufdeckung von Fehlern (operationelle Risiken) und Unregelmässigkeiten (Betrug)
  • Finanzberichterstattung: Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung sowie zeitgerechte und verlässliche finanzielle Berichterstattung (Bewertung, Offenlegung, etc.)
  • Compliance: Einhaltung der anwendbaren Normen wie z.B. Gesetze, Verordnungen, Reglemente und Weisungen

Nach revOR: primär finanzielle Berichterstattung!

anforderungen an ein iks

Nachvollziehbarkeit

  • Dokumentation der - IKS-Ziele und –Ausbaugrad - Geschäftsrisiken - Prozesse & Kontrollen
  • Kontrolltätigkeiten werden nachvollziehbar dokumentiert
  • Qualität des IKS wird regelmässig beurteilt und darüber Bericht erstattet
  • Effizienz
  • IKS ist integraler Bestandteil des unternehmensweiten Risikomanagements
  • fokussiert auf Schlüsselrisiken
  • nach Möglichkeit Automati- sierung der Kontrollen
  • Wirksamkeit
  • Unternehmenskultur
  • klar geregelte Verantwortungen
  • Kontrollen sind in Geschäftsprozesse integriert undwerden überwacht
  • Mitarbeiter sind geschult
  • Informations- und Eskalations-prozedere sind definiert
Anforderungen an ein IKS
komponenten eines iks

Kontrollumfeld

Risikobeurteilung

Kontroll-aktivitäten

Über- wachung

Information undKommunikation

Komponenten eines IKS

Quelle: COSO

warum braucht es ein iks gerade jetzt
Warum braucht es ein IKS gerade JETZT?

Neue gesetzliche Vorschriften: Ordentliche Revision! (Prüfung der Existenz eines IKS durch die Revisionsstelle)

Vorgabe des Subventionsgebers einer ordentlichen Revision (z.B. BKS)

Professionalisierung der (finanziellen) Führung, insbesondere betreffend Kontrolle

agenda10
Agenda

Einleitung

Einführung eines Internen Kontrollsystems

Schlussbemerkungen

wichtige schritte im aufbau eines iks

Revisionsstelle

8

Behebung Schwachstellen

7

Kontrollumfeld

Risikobeurteilung

Beurteilung Wirksamkeit

6

Generelle IT-Kontrollen

Kontrollbeschreibung

Kontrollen auf Prozessebene

5

Risiko-/Kontrollmatrix

4

Kontroll-aktivitäten

Auswahlverfahren

Über- wachung

3

Bestimmung Methodik

Kontrollen auf Unternehmens-ebene

2

Information undKommunikation

Ist-Analyse

1

Wichtige Schritte im Aufbau eines IKS

Kontinuierliche Projektleitung, -überwachung und –steuerungAbstimmung mit der Revisionsstelle

schritt 1 ist analyse
Schritt 1: Ist-Analyse
  • Analyse des heutigen Standes (inklusive vorhandener Informationen, Dokumentationen)
  • Unternehmensebene (Beispiele):
    • Richtlinien und Verfahren zur Einhaltung der ethischen Werte (code of ethics) sowie Verhalten und Taten der Vorgesetzten
    • bestehende Qualitätssicherungssysteme
    • Kompetenzregelung
    • Organisationsreglement
    • Stellenbeschreibungen
schritt 1 ist analyse13
Schritt 1: Ist-Analyse
  • Prozessebene (Beispiele):
    • Prozessbeschreibungen / Flow Charts
    • Kontrollbeschreibungen
    • Dokumentationen aus ISO-Zertifizierung
    • Weisungen
  • IT-Ebene (Beispiele):
    • IT-Landschaft / relevante Systeme
    • Organigramm IT-Abteilung
    • Zuständigkeiten für einzelne Rechenzentren oder IT-Systeme sowie Qualitätssicherung
schritt 1 ist analyse qualit tsanforderungen
Schritt 1: Ist-Analyse (Qualitätsanforderungen)

Optimiert

Stufe 5

Standardisiert: Einfache Grundsätze, wie IKS zu betreiben ist, sind definiert. Prozesslandschaft und Geschäftsprozesse sind dokumentiert (Tätigkeiten und Kontrollen). Durchgeführte Kontrollen sind nachvollziehbar. Es findet ein Erfahrungsaustausch statt, und regelmässig werden die Kontrollen an veränderte Risiken angepasst. Für die Mitarbeiter hat eine Basisschulung stattgefunden.

Überwacht

Stufe 4

Standardisiert

Stufe 3

Informell: Interne Kontrollen sind vorhanden, aber nicht standardisiert. Vorhandene Kontrollen können kaum oder gar nicht nachvollzogen werden. Kontrollen sind stark personenabhängig, es erfolgt keine Schulung oder Kommunikation über die Kontrollen.

Informell

Stufe 2

Wenig

verlässlich

Stufe 1

schritt 2 bestimmung der methodik
Schritt 2: Bestimmung der Methodik
  • Vorgehen bezüglich
    • Unternehmensebene
    • Prozessebene
    • Generelle IT-Kontrollen
  • Projektumfang(Kontrollziele) undProjektorganisation
  • Information: Schulung und Training von Mitarbeitern

Verfassen eines Konzeptpapiers!

schritt 3 auswahlverfahren scoping
Schritt 3: Auswahlverfahren (Scoping)
  • Identifizieren derSchlüsselprozesse (basierend auf der Jahresrechnung)
  • Quantitative und qualitative Auswahlkriterien
  • Nachvollziehbares und prüfbaresAuswahlverfahren bezüglich
    • Geschäftseinheiten / -bereiche
    • Positionen der Jahresrechnung sowie Prozesse
    • IT-Applikationen und End-User Applikationen

Festlegen des Umfangs als zentrale Phase!

schritt 3 schl sselprozesse heime bsp
Schritt 3: Schlüsselprozesse Heime (Bsp.)
  • Leistungsverrechnung (Debitoren) / Umsatz
  • Kreditoren / Betriebsaufwand / Zahlungswesen
  • Personal- und Lohnwesen
  • Investitionen / Bewertung / Abschreibungen
  • Budgeterstellung / Subventionen
schritt 4 risiko kontrollmatrix
Schritt 4: Risiko-/Kontrollmatrix
  • Prozessdokumentationen erstellen (evtl. mit Flow Charts)
  • Identifikation und BewertungderSchlüsselrisiken
  • IdentifikationvonKontrollen bzw. Massnahmen
  • Gegenüberstellung von Risiken und Kontrollen pro Prozess mit wesentlichen Aspekten zu jeder Kontrolle wie bspw. Verbindung zu Positionen in der Jahresrechnung
  • Gegenüberstellung von Risiken und Kontrollen pro IT-Applikation oder End-User Applikation mit wesentlichen Aspekten zu jeder Kontrolle
slide19

Risiko-/Kontrollmatrix

Flow Charts /Prozess-beschrei-bungen

Detaillierte Kontroll-beschreibung(manueller Teil der Kontrolle=Kontroll-prozedur)

Schritt 4: Risiko-/Kontrollmatrix

Zielsetzung des IKS(Richtigkeit undVollständigkeit derfinanziellenBerichterstattung)

Positionender Jahres-rechnung

Schlüssel-prozesse

Identifikationund Bewer-tung von Schlüssel-risiken

IdentifikationvonKontrollen

Schritt 3Auswahlverfahren

Schritt 4 und 5Risiko-/Kontrollmatrix und Kontrollbeschreibung

slide20

Schritt 4: Identifikation von Kontrollen

  • Geschäftsleitung trifft Massnahmen zur Steuerung der Risiken und zur Zielerreichung
  • Kontrollen stellen sicher, dass diese Massnahmen, tatsächlich umgesetzt werden.
  • Zeitliche Wirkung einer Kontrolle:
    • Präventive Kontrollen:Fehlerverhinderung(Funktionentrennung, Kompetenzenregelungen, Passwörter und Zugriffsvorschriften, physische Schutzvorkehrungen u.ä.)
    • Detektive Kontrollen: Fehlersuche (Durchsicht von Kontrollberichten, Abstimmungen, physische Inventur, Reviews)
schritt 4 identifikation von kontrollen

Managementkontrollen

(Performance Report, Budgetvergleiche, etc.)

Grundlagen

Manuelle Kontrollen

Automatische Kontrollen

Zugriffsschutz (Autorisierung, Need to Know) Datenabgleich (Fehler-protokolle)

Detektive Kontrollen

Einhaltekontrollen Abstimmkontrollen

physische Kontrollen

Präventive Kontrollen

Funktionentrennung, Kompetenzenregelungen, Zugriffsvorschriften, physische Schutzvorkehrungen u.ä.

Funktionentrennung, Passwörter und Zugriffsvorschriften

Schritt 4: Identifikation von Kontrollen
slide22

Schritt 5: Kontrollbeschreibung

  • Detaillierte Kontrollbeschreibung für die identifizierten Schlüsselkontrollen
    • für einen sachverständigen Dritten nachvollziehbar
    • wichtig: W-Fragen beantwortet (wer, was, wie, wie oft, wann, wo, warum)
    • für automatische Applikationskontrollen konkrete Funktionsbeschreibungen erforderlich
schritt 6 beurteilung der wirksamkeit
Schritt 6: Beurteilung der Wirksamkeit
  • Unternehmensebene:
    • Beurteilung von Dokumenten
    • Interviews und Befragungen
  • Prozessebene:
    • Interviews, Bestätigungen, Control Self Assessment
    • Prozessdokumentationen und Kontrollbeschreibungen
    • Beurteilung durch Dritte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens
  • Generelle IT-Kontrollen: vgl. Prozessebene
schritt 6 beurteilung der wirksamkeit25
Schritt 6: Beurteilung der Wirksamkeit

Periodische Managementkontrollen (basierend auf Stichproben) auf Prozessebene gewährleisten eine gleichbleibende Qualität der Kontrollen über die Zeit

Beurteilung durch Vorgesetzte oder andere unabhängige Mitarbeiter innerhalb des Unternehmens (Delegation der Kontrolle möglich, nicht aber der Verantwortung)

Periodische Überprüfung der Aktualität und Bestätigung dessen durch den Prozess-verantwortlichen

schritt 6 wirkung von managementkontrollen

Optimiert

Stufe 5

Qualität

Überwacht

Stufe 4

A

Standardisiert

Stufe 3

Zeit

Informell

Stufe 2

B

Wenig

verlässlich

Stufe 1

Schritt 6: Wirkung von Managementkontrollen

Qualität eines Prozesses mit (A) und ohne (B) Managementkontrollen

und Anpassungen an Veränderungen des Umfelds

schritt 6 pr fung existenz vs wirksamkeit
Schritt 6: Prüfung Existenz vs. Wirksamkeit

OR:

Existenz

IKS

OR:

Wirksamkeit (Abschluss)

schritt 7 behebung von schwachstellen und berichterstattung
Schritt 7: Behebung von Schwachstellen und Berichterstattung
  • Berichterstattung über durchgeführte Kontrollen
  • Berichterstattung über festgestellte Mängel
    • Schwächen Interner Kontrollen sind erkannt
    • zeitnah an die Verantwortlichen kommuniziert
    • evtl. Information von Geschäftsleitung oder VR/SR
  • Einleiten von Korrekturmassnahmen und Priorisierung der Schwachstellen:
    • Massnahmen
    • Verantwortlicher
    • Terminierung
    • Überwachung des Behebungsprozesses
schritt 8 revisionsstelle
Schritt 8: Revisionsstelle
  • Vorbereiten der Unterlagen für die Revisionsstelle (Dokumentationen zu Prozess- und Kontrollbeschreibungen, durchgeführten Kontrollen & Managementkontrollen)

Ohne Dokumentation kann nicht geprüft werden!

Befragungen und Durchsicht der Dokumentation alleine gibt nicht genügend Prüfsicherheit

Kombination von Prüfungsverfahren: Ermessen des Prüfers

agenda31
Agenda

Einleitung

Einführung eines Internen Kontrollsystems

Schlussbemerkungen

der weg zu einem erfolgreichen iks projekt
Der Weg zu einem erfolgreichen IKS-Projekt
  • Akzeptanz und Verpflichtung durch Verwaltungs-/Stiftungsrat und Geschäftsleitung
  • Schritt- /Phasenweises Vorgehen (Kontrollziele)
  • Definition klarer Anforderungen an das IKS (und systematisches Vorgehen)
  • Klare Zuordnung von Aufgaben und Verantwortungen
  • Schulung aller mit dem IKS betrauten Stellen/ Personen
der weg zu einem erfolgreichen iks projekt33
Der Weg zu einem erfolgreichen IKS-Projekt
  • Verfügbarkeit von Ressourcen
  • Kontinuierliche Anpassung des IKS an verändertes Umfeld
  • Überwachung der Wirksamkeit des IKS durch Verwaltungs-/Stiftungsrat und Geschäftsleitung

 Bewusstsein, dass es keine absolute Sicherheit gibt!

vor und nachteile durch die einf hrung eines iks
Vorteile:

Chance zur Professionalisierung des Vorhandenen

Gewissheit des Verwaltuns-/Stiftungsrates über funktionierendes IKS

Geringeres finanzielles Risiko hinsichtlich Zielerreichung, Betrugsfälle, etc. -> Schutz des Geschäftsvermögens

Weniger Abhängigkeiten von einzelnen Personen

Vor- und Nachteile durch die Einführung eines IKS

Nachteile :

  • Mehr Dokumentations- und Zeitaufwand (nicht produktiv)
  • Kosten für Implementierung und Aufrechterhaltung der Wirksamkeit des IKS (evtl. Beratungsaufwand)
  • Höherer Revisionsaufwand durch ordentliche Prüfung
auskunftserteilung und unterst tzung
Auskunftserteilung und Unterstützung
  • Adrian Scholze, dipl. Wirtschaftsprüfer062 837 17 23adrian.scholze@thv.ch
  • Rolf Kihm, dipl. WirtschaftsprüferTeamleiterRiskmanagement-Experte SWC062 837 17 08rolf.kihm@thv.ch
  • Stefan Elmiger, dipl. WirtschaftsprüferMitglied der Geschäftsleitung062 837 17 21stefan.elmiger@thv.ch