Optimierung / Aufbau des IKS in Anlehnung an SOA. ERFA CIA Seminar 17. Oktober 2005 Anuschka Küng, Partner Acons AG

Transkript

1 Optimierung / Aufbau des IKS in Anlehnung an SOA ERFA CIA Seminar 17. Oktober 2005 Anuschka Küng, Partner Acons AG

2 Inhaltsverzeichnis 1. IKS vor und nach SOA, was ändert? 2. "SOA Projekt" versus "IKS Optimierungs-Projekt" 3. Initialisierung und Durchführung von IKS Projekten durch das Internal Audit 4. Herausforderungen an die Projektleitung und externe Projektberatung und Aufgabenteilung

3 1. IKS vor und nach SOA, was ändert? Schwachstellen des IKS in der finanziellen Berichterstattung Elemente IKS Assurance Funktionen Auswirkungen von SOA auf das Unternehmen 3

4 Schwachstellen finanzielle Berichterstattung Off-Balance Transaktionen: nicht im Abschluss erwähnt Revenue Recognition: Aufblähung Umsatz- und Ertrag Fehlender Einbezug von Gesellschaften in Konsolidierung Interpretation / Auslegung der Rechnungslegungsstandards Pro-Forma Reporting: Irreführung von Shareholders / Investoren 4

5 Elemente IKS Notwendigkeit des IKS ergibt sich aus den Grundsätzen der ordnungsmässigen Buchführung, Rechnungslegung. Durch VR und Unternehmungsleitung angeordnete Vorgänge, Methoden und Kontrollmassnahmen, die einen ordnungsgemässen Ablauf der betrieblichen Vorgänge sicherstellen. IKS dient der: Sicherung Unternehmensvermögen vor Verlusten Genauigkeit und Zuverlässigkeit der Zahleninformationen Einhaltung des unternehmensinternen Regelungswerkes 5

6 Assurance Funktionen (1/2) Zur Unterstützung des VR bzw. Management stehen folgende Instanzen (Assurance Provider) zur Verfügung: Management: Kontrollaktivitäten bestehend aus Führungskontrollen auf allen Ebenen Internal Audit Assurance Funktionen (Risk Management, Controlling) Externe Revision Die Externe Revision ist nicht Teil des Internen Kontrollsystems, beurteilt jedoch deren Ausgestaltung und Qualität im Rahmen der Abschlussprüfung. Das IKS wird herangezogen zur Risikobeurteilung und erlaubt Aussagen zur Ordnungsmässigkeit der Buchführung und Rechnungslegung. Die Externe Revision kann sich auf die Ergebnisse der internen Assurance Provider abstützen, ist aber dennoch verpflichtet sich ein eigenständiges Urteil zu bilden. 6

7 Assurance Funktionen (2/2) Die Management Kontrollaktivitäten Das Management hat gegenüber dem Verwaltungsrat Rechenschaft über die Wirksamkeit der Internen Kontrollen in der Organisation abzulegen. Dies umfasst alle Management Kontrollen in den Prozessen sowie die Definition weiterer Assurance-Funktionen. Dem Management kommt insbesondere bei der Organisation und Überwachung der Internen Kontrollen eine wesentliche Bedeutung zu. Die Interne Revision Die Interne Revision beurteilt in der Regel die Steuerungs- und Kontrollumfeld-Prozesse des Unternehmens und ist somit ein wesentlicher Bestandteil des Internen Kontrollsystems. Zusätzlich kann die Interne Revision für Prozessverbesserungen sowie für die Beurteilung der Effizienz und Effektivität der Internen Kontrollen eingesetzt werden. 7

8 Auswirkungen SOA auf das Unternehmen (1/2) Erhöht Zuverlässigkeit der Berichterstattung Stellt ein effektives Kontrollsystem in den für die Berichterstattung relevanten Prozessen sicher (Formalität, Design der Kontrolle) Definiert die Verantwortlichkeiten für das IKS Verstärkt das Risiko-Bewusstsein Erhöht die Transparenz über Schwachstellen und Konsequenzen Beeinflusst die Unternehmenskultur Verändert die Kommunikation 8

9 Auswirkungen SOA auf das Unternehmen (2/2) Verändert der Rolle der Assurance Funktionen Verstärkt das Prozessverständnis und Optimierung (Prozess Engineering) Beeinflusst das Systemumfeld Steigert die Wirksamkeit der externen Prüfungen Vermindert die Vertrauensbasis / Kommunikation Bremst die Prozess-Effizienz Verschärft das Risiko von Redundanzen (Parallel- Laufende Initiativen) Vermehrt die Überlastung Ressourcen 9

10 Inhaltsverzeichnis 1. IKS vor und nach SOA, was ändert? 2. "SOA Projekt" versus "IKS Optimierungs-Projekt" 3. Initialisierung und Durchführung von IKS Projekten durch das Internal Audit 4. Herausforderungen an die Projektleitung und externe Projektberatung und Aufgabenteilung 10

11 2. "SOA Projekt" versus "IKS -Projekt" Business Case / Projektziele Projektmanagement Verantwortlichkeiten Konzept & Projektvorgehensweise Projektumfang 11

12 Business Case / Projektziele Implementierung SOA Compliance mit SOA Anforderungen Gewährleistung von nachprüfbaren, dokumentierten Finanzinformationen Implementierungen eines effektiven IKS über die finanzielle Berichterstattung Eidstattliche Erklärung des CFO / CEO s: Verantwortung über ordnungsgemässe, richtige finanzielle Berichterstattung Disclosure Controls and Procedures (DCP): Berichterstattung gem. SEC Optimierung IKS Compliance mit lokalen Regulatorien (OR728a -> PS Interne Kontrolle) Erhöhung der Vertrauensbasis von Investoren in Corporate Governance -> Adaption Best Practices Implementierungen eines effektiven IKS (Risiko-orientierte Umfangbestimmung) Transparenz der finanziellen, operativen Abläufe ( AKV ) 12

13 Projektmanagement (1/2) Implementierung SOA Hohe Anforderungen an das Projektmanagement (funktionsübergreifend, global) Aufgrund Komplexität bedarf es gründlicher Analyse bezüglich Projektorganisation, Projektvorgehen Projekt-Vorgehen gemäss SEC- Anforderungen (PCAOB*) TOP-Projektansiedlung, Sponsorship * Public Company Accounting Oversight Board Optimierung IKS Projektorganisation und Vorgehen richtet sich nach Projektziel und Umfangbestimmung Anforderungen können priorisiert werden, Umsetzung Phasenplanung -> Abstimmung laufender Initiativen Projekt-Vorgehen flexibler Initiierung durch VR/AC, CFO oder Internal Audit 13

14 Projektmanagement (2/2) Implementierung SOA Projektziele, Priorisierung und Projektplan (Zeitplan, Umfang) müssen sehr klar kommuniziert werden Kritischer Umfang Projekt: Ressourcenbedarf intensiv (intern und extern) -> Vorstudie und Pilotdurchführung für Erstellung des Projektbudgets empfehlenswert! Optimierung IKS Projektplanung besser operativen Unternehmenszielen abstimmbar, Nutzung von Synergien Ressourcen-Umfang besser steuerbar: Pilotdurchführung für Rollout-Plan empfehlenswert! 14

15 Implementierung SOA Verantwortlichkeiten SOA Anforderungen beeinflussen Definition der Verantwortlichkeiten - Projektsponsor, - Projektorganisation (zentraldezentral (Scope), Dokumentation, Testing) - Sign-off Prozess - Rollen Management Assessment - Rolle und Verantwortung Internal Audit (Unabhängigkeit) - Zusammenarbeit External Audit Optimierung IKS IKS Projekt erfordert ebenso klare Projektdefinition - Projektsponsor - Projektorganisation (oft initiiert durch Internal Audit / CFO) - Einbezug Assurance Funktionen, Prozessmanagement - Einbezug External Audit? 15

16 Implementierung SOA Konzept & Projektvorgehensweise Einhaltung der SOA-Anforderungen, für Attestierung durch Externe Revisionsstelle (PCAOB) SOA-Konzept muss Anforderungen erfüllen Anlehnung an anerkanntes Kontroll- Framework (COSO) -> Prozess und Entity Level Controls Optimierung IKS Beurteilung / Abnahme IKS gem. lokaler Regulatorien (OR728a) Konzept weniger reguliert, Projektvorgehen bestimmt durch Erreichung der Projektziele Anwendung Kontroll Framework empfehlenswert, Umsetzung flexibler 16

17 U Schritt 1: Festlegung Umfang Konzept SOA D Schritt 2: Dokumentation IKS Attribute Schritt 3: Kontrolldesign Assessment Schritt 4: Test der Kontroll- Wirksamkeit KA T MA Schritt 5: Management Assessment BE Schritt 6: Berichterstattung U1 U2 U3 U4 Einheiten Konten, Prozesse Framework SOA Pilot Definition Training D1 Prozess Beschreibung D2 Kontrollen Process Risiken Flowchart QS1 Durchsicht Prozesseigner KA1 Walkthrough / Nachvollzug KA2 Prozess & Kontroll-Design Assessment KA3 1. Analyse Schwachstellen KA4 Analyse Kernkontrollen QS2 T1 Vorbereitung Kontroll-Testen T2 Erstellen Testplan QS3 T3 Test Durchführung QS4 T4 2. Analyse Schwachstellen MA1 Review Resultate durch Management MA2 Assessment Schwachstellen, Massnahmenplan Genehmigung Management Org.Einheit Konzern BE1 SOA Management PwC Review Reporting Genehmigung Prozesseigner Genehmigung Prozesseigner Qualitätssicherungsprozess Kommunikation 17

18 Konzept Optimierung IKS U Schritt 1: Festlegung Umfang D Schritt 2: Dokumentation IKS Attribute KA T MA Schritt 3: Kontrolldesign Assessment Schritt 4: Kontroll- Effektivität Schritt 5: Management Assessment BE Schritt 6: Berichterstattung U1 IKS Funktionen, MIS, Prozesse U2 Framework Assurance Konzept U3 Analyse Prozessmodel / Werteflüssel D1 Beschreibung IKS Funktionalitäten D2 Kernprozesse Kontrollen Process Flowchart Risiken Review Management KA1 Walkthrough / Nachvollzug KA2 Prozess & Kontroll-Design Assessment KA3 1. Analyse Schwachstellen T1 Set-up Assessment Prozess T2 Testen der kritischen Funktionen Prozessen MA1 Review Resultate durch Management MA2 Assessment Schwachstellen, Massnahmenplan Genehmigung Management BE1 Bericht- Erstattung der PwC Review Effektivität des IKS U3 Definition Training QS1 QS3 T4 2. Analyse Schwachstellen Abgrenzung IKS Optimierungs- zu SOA Projekten Qualitätssicherungsprozess Kommunikation 18

19 Projektumfang Implementierung SOA Quantitatives und qualitatives Scoping Ermittlung der Einheiten Festlegungen der relevanten Konti für identifizierte Einheiten Ermittlung aller Prozesse / Transaktionen in Bezug auf die festgelegten Konti Optimierung IKS Quantitative Analyse: Werteflüsse Risk-based Scoping der operativen Einheiten und Prozesse Analyse von Synergien (Operational Risk Management, und Prozessmanagement) 19

20 Projektumfang: Kontroll-Elemente OPERATIONS FINANCIAL REPORTING COMPLIANCE Konzept Interne Kontrollen sind Teil der betrieblichen Abläufe Interne Kontrollen werden ausgelöst durch Personen im Betrieb und bestehen nicht nur aus Richtlinien und Vorgehensweisen. Überwachung des Internen Kontrollsystems Information & Kommunikation Kontrollaktivitäten Risikobeurteilungen Geschäftseinheit A Geschäftseinheit B Aktivität 1 Aktivität 2 Das IKS unterstützt die Erreichung der Unternehmensziele. Kontrollumfeld 20

21 Projektumfang: Optimierung IKS Nutzung von Synergien mit Operational Risk Management Werteflüsse ORM SOA 21

22 Projektumfang: Optimierung IKS Nutzung von Synergien mit Prozessmanagement Prozess Effektivität Prozesse Werteflüsse Prozess Effizienz IKS Effektivität Qualitätsmanagement 22

23 Inhaltsverzeichnis 1. IKS vor und nach SOA, was ändert? 2. "SOA Projekt" versus "IKS Optimierungs-Projekt" 3. Initialisierung und Durchführung von IKS Projekten durch das Internal Audit 4. Herausforderungen an die Projektleitung und externe Projektberatung und Aufgabenteilung 23

24 2. Initialisierung durch das Internal Audit Internal Audit als IKS Kompetenz Zentrum Die Rolle von Internal Audit 24

25 Internal Audit als IKS Kompetenz Zentrum Internal Audit initiiert als IKS-Kompetenzzentrum das Projekt - Risiko, Kontroll, Prozess und Betriebs- Verständnis - Wissen bezüglich betrieblicher Richtlinien und Vorgehnsweisen Unter SOA übernimmt das Internal Audit definierte Aufgaben. Das Internal Audit wird aber auch als Teil des IKS im Management Assessment beurteilt. 25

26 Die Rolle von Internal Audit Aufgrund Unabhängigkeit muss die Rolle, Aufgaben, Verantwortlichkeiten analysiert werden*: - Assurance Consulting - Auditplan Projektplan - Auditbudget Projektbudget - Abgrenzung - Schnittstellen Mögliche Rollen: (vom AC zu genehmigen) - Projektleitung, ohne Ownership - Quality Assurance des IKS Frameworks - Coaching der Prozesseigner - Unterstützung des Managements im Assessment Prozess - Testing, als Projekt-Support ausserhalb IA Jahresplan 26

27 Inhaltsverzeichnis 1. IKS vor und nach SOA, was ändert? 2. "SOA Projekt" versus "IKS Optimierungs-Projekt" 3. Initialisierung und Durchführung von IKS Projekten durch das Internal Audit 4. Herausforderungen an die Projektleitung & externe Projektberatung 27

28 4. Herausforderungen an die Projektleitung & externe Projektberatung Herausforderungen Arbeitsteilung 28

29 Herausforderungen Kommunikation: Stakeholder Management Projektmanagement: what to do, when to do? Koordination: SOA (IKS) Projekte sind meistens funktionsübergreifend, allenfalls global: - Wertschöpfungskette - End to End Prozesssicht Abhängigkeiten: IT- versus Nicht-IT-Kontrollen Operative Abläufe versus IT Betriebsprozesse Monitoring: Koordination Assessment der Key Controls 29

30 Aufgabenteilung Projektleitung Projektleitung und Koordination Bestimmung Projektplan und Vorgehensweise Überwachung Projektaktivitäten Kommunikation / Stakeholder Management Ressourcenplanung Schnittstellen-Koordination Diskussion Prozessmodel Externe Projektberatung Unterstützung Milestone- Planung Erarbeitung von Spezialthemen, Standards (Standard Dokumentation, Anforderungen Testing etc.) Qualitätssicherung Training SOA / IKS 30

31 DANKE! FRAGEN? 31