Service Provider Audits nach ISAE 3402 Effiziente Umsetzung in der Praxis Felix Dittli

Transkript

1 Service Provider Audits nach ISAE 3402 Effiziente Umsetzung in der Praxis Felix Dittli Juli 2014

2 Unabhängige Prüfung von Dienstleistungserbringern Im Rahmen verschärfter Regulationen hinsichtlich Interner Kontrollen (z.b. OR 728) und einer fortschreitenden Tendenz zur Auslagerung von Geschäftsbereichen werden unabhängige Prüfungen bei Dienstleistungserbringern immer mehr zum Standard. Der international verwendete Standard für die unabhängige Prüfung Interner Kontrollen bei Dienstleistungserbringern heisst ISAE

3 ISAE Fokus Schlüsselkontrollen in den ausgelagerten Geschäfts- und / oder IT- Prozessen, welche relevant sind für das IKS der Kunden resp. die verfahrensorientierte Prüfung der Jahresrechnungspositionen durch deren Abschlussprüfer. Kontrollen Kunde Dienstleister Kunde K1 K2 K3 K4 K5 K6 K7 K8 K9 Jahresrechnung Kunde Geschäftsprozess IT-Prozesse Einkauf Logistik Finanzen IT-Anwendung A IT-Anwendung B IT-Anwendung A IT-System A IT-System B IT-System A IT-Kontrollen K1 K2 K3 K4 K5 K6 K7 K8 K9 2

4 Regelkreis der ISAE 3402 Berichterstattungen ISAE 3402 Report ISAE 3402 Report ISAE 3402 Report Auditor Kunde Kunde Service Provider Auditor Service Provider Attest Jahres-Rg Bestätigung Compliance Outsourcing Vertrag (SLA) 1 5 Der ISAE 3402 eine starke Ergänzung zur ISO-Zertifizierung. Während die ISO-Zertifizierung die Prozess- Compliance der vorgegebenen Standards beurteilt, bestätigt der ISAE Report die Eignung und Wirksamkeit der eingesetzten Kontrollen und garantiert damit Ordnungsmässigkeit und Integrität der ISO-normierten Prozesse. 3

5 Ausprägungen von ISAE 3402 Type 1: Kontroll-Design Der Bericht gibt Auskunft über das Design der definierten Kontrollen zum Zeitpunkt der Prüfung. Er kann als Zwischenschritt auf dem Weg zu einer Typ 2 Prüfung eingeschoben werden. Typ 2: Kontroll-Design + Wirksamkeit Der Bericht gibt Auskunft über das Design der definierten Kontrollen und deren Einhaltung und Wirksamkeit im entsprechenden Geschäftsjahr. 4

6 Beispiel Ablauf ISAE 3402 Initialprüfung Typ 1: 2013 Phase / Thema I Vorbereitung und Planung II Feststellung Abweichungen zum Sollzustand mit Detailempfehlungen und Muster-Beispielen III Herstellung Sollzustand durch Kunde IV Nachprüfung der Bereinigungsarbeiten und Erstellung ISAE 3402 Report Folgeprüfung Typ II: 2014 und Folgejahre Phase / Thema I Vorbereitung und Planung, inkl. Feststellung von Abweichungen in den Prozessen und im Kontroll-Design zum Vorjahr II Prüfung Einhaltung und Wirksamkeit der Kontrollen, inkl. allfälliger Veränderungen im Kontroll-Design und kompensierenden Kontrollen bei allfälligen Kontroll-Abweichungen /-schwächen III Erstellung ISAE 3402 Report 5

7 ISAE 3402 Report Elemente 1. Prozessbeschreibungen (Geschäfts- / IT-Prozesse) 2. Risikobeschreibung und Kontrollziele 3. Dokumentation der einzelnen Kontrollen Verkaufskonfigurator SALCON Auftragsübernahme 1. Vorphase V000668DE 2. Auftragsübernahme CH V000669DE 3. Auftragsübernahme USA V000882DE 4. Auftragsübernahme Asia V000870DE Auftragsbetreuung 5. Nachträge V000871DE 6. Zahlungsmeldungen V000872DE 7. Anpassung Liefertermin V000873DE Auftrags- Auftrags- Versand und Inkasso Auftragsübernahmbetreuung Fakturierung abrechnung R0.1 Ungenügende Funktionentrennung R0.2 fehlende Prozessanweisungen R0.3 ungenügende Organisation R2.1 R3.1 R4.1 R5.1 R6 Es werden Verkaufsauf-träge Aufträge bleiben hängen und Es werden Waren ausgeliefert, Es werden ungerechtfertigte Verlustaufträge werden nicht ohne Verträge über-nommen laufen nicht weiter im Prozess. ohne nachfolgende Gutschriften erfasst und erkannt. (fiktive, rechtlich nicht Fakturierung ausbezahlt abgesichert). R3.2 R2.2 Es existiert kein R4.2 R5.2 Es werden Aufträge systemati-sches Lieferungen werden doppelt Überfällige Forderungen übernommen, ohne dass die Änderungswesen für ausgeliefert werden nicht systematisch und Zahlungsfähigkeit des Kunden Nachträge und Änderungen zeitgerecht gemahnt. abgeklärt wird. R4.3 R2.3 R3.3 Lieferungen werden doppelt Es werden falsche Zahlungspläne werden nicht fakturiert resp. es erfolgt eine Liefermengen erfasst. erstellt resp. deren Erfüllung Fakturierung ohne Lieferung R2.4 nicht überwacht. Es werden falsche Preise eingegeben resp. richtige R4.4 Preise werden manuell Die Geschäftsvorfälle werden übersteuert. nicht richtig in Haupt- und R2.5 Nebenbüchern verbucht. Es werden falsche Konditionen eingegeben. Risiken können bei Bedarf kategorisiert werden R2.6 Effektivität / Effizienz (operational) Aufträge werden mit der falschen Auftragsart erfasst Finanzielle Berichterstattung (financial reporting) (z.b. ohne Fakturierung) Compliance usw. Auftragsvorbereitung R1.1 Aufträge werden falsch konfiguriert 17. Auftragsanalyse V000879DE Versand und Inkasso Auftrags- Fakturierung abrechnung 8. Versandfreigabe 12. Zahlungen 15. Auftrag V000874DE V abschliessen V000882DE 9. Löschen der 13. Buchung Fakturasperre Hauptbuch 16. Feedbackloop V000875DE V000880DE V000883DE 14. Mahnwesen 10. Fakturierung V000881DE V000876DE 11. Buchung Debitoren und Hauptbuch V000877DE Plus verbale Beschreibungen ERP - System SAP R/3 (z.b. ISO9001, Richtlinien, Interviews) Release 4.6b 4. Dokumentation der Wirksamkeitsprüfung K-Identifikation: FU-K2 (eindeutiger Schlüssel) K-Bezeichnung: Einhaltung Weisung Auftragsfreigabe Testausführung: Halbjährlich (15.1 / 15.7.) Testverantwortl. : K. Meyer, Verkaufsassistent T-Grundlagen: Kontrolldokumentation (Report RV0100, Variante P01) mit Ergebnissen und Befund Reproduktion Report RV0100 mit Variante T01 (alle V-Aufträge der letzten 6 Monate) Verträge aus Vertragsablage Umsatz Maschinen aus Kto nnnnnnnn (IST / Budget) 5. Bestätigung Einhaltung und Wirksamkeit Kontrollen durch Service Provider mittels entsprechendem Prozess Identifikation: FU-K1 (eindeutiger Schlüssel) Bezeichnung: Zugriff Auftragserfassung (möglichst aussagekräftig) Prozess: Forderungen und Umsatz (klare Referenz auf den entsprechenden Prozess) Risiken: FU-R2.1 (Referenzierung auf das entsprechende Risiko resp. Risiken ) Kontrollziel: Nur autorisierte Mitarbeiter haben die Möglichkeit Verkaufsaufträge zu erfassen, mutieren und löschen. Kontrollbeschreibung: Verkaufsaufträgen ist beschränkt auf Mitarbeiter mit der Der Zugriff zur Erfassung, Mutation und Löschung von Funktion Auftragssachbearbeiter in der Abteilung Verkauf Maschinen. Die Details dazu sind im ERP-Berechtigungskonzept beschrieben. Verantwortlicher: Prozess-Owner Verkauf Maschinen Ausführender: automatisch Ausführung: laufend (präventiv) In Kraft seit: (genehmigt und in Kraft gesetzt) Letzte Änd.: (Änderungen aufbewahren für Nachvollziehbarkeit) Testumfang: Testhandlungen: 18 Stichproben (jeweils 3 pro Monat) Vergleich Anzahl Verträge und Total Auftragssumme zwischen den Kontrollisten der letzten 6 Monate und dem selbst reproduzierten Report RV0100 / T01 Prüfung, ob bei allen Aufträgen ab CHF 1.5 Mio. ein Kontrollvermerk auf der Liste vorhanden ist und die geprüfte Vertragskopie beigelegt ist. Plausibilisierung des Abdeckungsgrades der Kontrolle. Die kontrollierten Aufträge der letzten sechs Monate sollten auf das Jahr hochgerechnet ca. 90% des Umsatzes aus Maschinenverkäufen abdecken. Testdatum: T-Ergebnisse: Anzahl Verträge und Total Auftragssumme zwischen den Kontrollisten der letzten 6 Monate und dem selbst reproduzierten Report RV0100 / T01 stimmen überein Auf allen Aufträgen ab CHF 1.5 Mio. ist ein Kontrollvermerk auf der Liste vorhanden und die geprüfte Vertragskopie ist beigelegt. Die kontrollierten Aufträge der letzten sechs Monate machen auf das Jahr hochgerechnet rund 89% des Umsatzes aus Maschinenverkäufen aus. Datum Review: R-Beurteilung: Die Kontrolle ist effektiv Es sind keine kompensierende Kontrollen notwendig Auswirkungen: keine Massnahmen: keine Erstellung: Service Provider Auditor (ERMS) Erstellung: Service Provider 6

8 Warum die ERM Solutions AG Ihr idealer ISAE 3402 Partner ist Unsere ISAE 3402 Lösungen erfüllen nicht nur die regulatorischen Anforderungen, sondern sind auch massgeschneidert auf die Bedürfnisse des Service Providers. Durch unser begleitendes Prüfvorgehen mit Mustervorlagen ermöglichen wir dem Service Provider eine systematische Erreichung des SOLL-Zustands mit geringstmöglichem Aufwand und möglichst ohne negativen Einflüsse auf die internen Prozesse und Verfahren. Wir vertreten unsere Berichte gegenüber allen Anspruchsgruppen und garantieren die Anerkennung der Berichte. Unser Preis-/Leistungsverhältnis ist konkurrenzlos. 7

9 Erfolgsrezept der ERM Solutions AG Unsere Prüfer verfügen nicht nur über ein Expertenwissen im Bereich IT Audit, sondern auch in Wirtschaftsprüfung. bringen nicht nur einen interdisziplinären Leistungsausweis mit aus der Prüfung, sondern auch als Berater in komplexen IT Umgebungen und Grossprojekten. haben als langjährige Führungsmitarbeiter und Opinion Leaders bei den weltweit führenden Wirtschaftsprüfungs- und -beratungsunternehmen ihre Vorgehensweisen und Methoden weiterentwickelt und optimiert. 8

10 Kernkompetenzen der ERM Solutions AG Unsere Stärke liegt im Brückenschlag zwischen Betriebswirtschaft, Technologie und Compliance strategischer / operationeller Führung und den Fachspezialisten den Kommunikationsbedürfnissen der Ansprechpartner aller Stufen und Fachrichtungen Innovation und Risiko Management / Kontrolle Spezialisten für Geschäfts-, Führungs- und IT-Prozesse entlang deren Life Cycle 9

11 Wo ERMS sonst noch tätig ist (Auswahl) Langjährige Service Provider Audits bei den Dienstleistern eines der grössten Fondsanbieters in der Schweiz (ISAE 3402) Langjährige IT Service Provider Audits bei einer der führenden Privatbanken der Schweiz (SAS 70) u.a. mit einer Grossbank als Kunde ETH Zürich: Leitung eines Projekts zur Implementierung von Internen Kontrollsystemen (IKS) bei 12 teilnehmenden Unternehmen verschiedener Branchen Unbefristete Outsourcing Mandate für IT Audit und verfahrensorientierte Prüfungen bei mehreren national führenden Wirtschaftsprüfungs- und -beratungsunternehmen und einem der wenigen in der Schweiz zugelassenen Unternehmen für Bankenprüfung Gewinn eines mehrjährigen Mandates im Rahmen einer mehrstufigen WTO- Ausschreibung bei einem Schweizer Bundesamt zur Beratung im Bereich der Internen Kontrollen in deren IT- und (SAP-)Geschäftsprozessen Erfolgreiche Gesamtprojektleitung zur weltweiten Implementierung eines neuen ERP- Systems bei einem internationalen Industriekonzern mit Umsatz > CHF 1 Mia. 10

12 Warum die Lösungen von ERMS anerkannt werden Nebst dem fundierten interdisziplinären Fachwissen, welche sich die Mitarbeitenden von ERMS in ihrer teilweise über 20jährigen internationalen Berufserfahrung erarbeitet haben, verfügt das Unternehmen über folgende massgebende Akkreditierungen: Zulassung durch die Schweiz. Revisionsaufsichtsbehörde (RAB) als Revisionsexpertin für ordentliche Revisionen; Unternehmensmitglied der Schweiz. Treuhandkammer; Unternehmensmitglied des Schweiz. Verband für Interne Revision (SVIR) und des Institute for Internal Audit (IIA); Mitgliedschaft in der Information Systems Audit and Control Association (ISACA). Über unser Partnerunternehmen, welches von der FINMA als einer der wenigen bankengesetzlichen Prüfer in der Schweiz zugelassen ist, können wir auch ISAE 3402 Berichte mit FINMA-Akkreditierung anbieten. 11

13 Ihre Ansprechpartner ERM Solutions AG Obere Bahnhofstr. 26a 9500 Wil Felix Dittli Managing Partner Tel

14 Vielen Dank für Ihre Aufmerksamkeit