IKS in der Zürcher Stadtverwaltung

Transkript

1 IKS in der Zürcher Stadtverwaltung Ein Erfahrungsbericht vom IKS-Auf- und Ausbau VZ WERD, Stadt Zürich Dr., Projektleiter CHARM, Finanzverwaltung der Stadt Zürich Tel Agenda Kurzvorstellung Stadtverwaltung Zürich IKS als Teil des Projektes CHARM - Auslöser - Vorgehen - Abgrenzung zum Chancen und Risikomanagement Kurzer Exkurs: Chancen- und Risikomanagement [RM] Internes Kontrollsystem [IKS] - Methode - Instrumente - Finanzielles i und nicht-finanzielles i IKS Erfahrungen / Erfolgsfaktoren Seite 2

2 Zürich Aufbau der Stadtverwaltung Unabhängige Einheiten, z.b. Finanzkontrolle 9 Departemente Ca. 60 DA (Dienstabteilungen) Seite 3 Projekt CHARM Ausgangslage und Rückblick Allgemein Risikomanagement und IKS z.t. vorhanden, z.t. fremd Ca Bis Stadtrat M. Vollenwyder erkennt Optimierungspotential im Versicherungsbereich Erarbeitung Risiko- und Versicherungskonzept Ausschreibung Versicherungslösung, ab umgesetzt Höherer Selbstbehalt verlangt bessere Risikokontrolle Bildung einer Arbeitsgruppe Risikomanagement (RM), parallele Überlegungen zur Integration verwandter Themen: Internes Kontrollsystem (IKS) und Accounting Manual (AM) Stadtrat M. Vollenwyder erteilt Auftrag für Projekt CHARM: Chancen- & Risiko-Management und internes Kontrollsystem Seite 4

3 Projekt CHARM Ziele und Instrumente Wirkung Sichere und ordnungsgemässe Aufgabenerfüllung Ziele Leistungserbringung g sicherstellen und optimieren Compliance Rechtsvorschriften, Regeln und Ethik einhalten Vermögensschutz Aktiven, Personal, Know-how, Reputation und Umwelt schützen Reporting Zuverlässige, ordnungsgemässe und vollständige Berichterstattung Führungs- Instrumente Accounting Manual IKS Internes Kontrollsystem Chancen- und Risikomanagement Instrumente Rechtsgrundlagen Konzepte / Manuals Hilfsmittel / Vorlagen Schulung & Erfa Unterstützung vor Ort Seite 5 Projekt CHARM Projektstrukturierung Führungsunterstützung Beitrag zur sicheren und ordnungsgemässen Geschäftsführung Leistungserbringung Compliance Vermögensschutz Reporting Accounting Manual Internes Kontrollsystem Risikomanagement Rechnungswesen regeln Prozessrisiken durch interne Kontrollen reduzieren Chancen & Toprisiken erkennen und Bewältigung festlegen Teilprojekt Accounting Manual Teilprojekt Finanzielles IKS Teilprojekt Nicht-finanzielles IKS Teilprojekt Risikomanagement Teilprojekt Versicherung Finanzreglement, Revision per IKS-Reglement Reglement, Neuerlass Risiko- & Versicherungsreglement, Revision, IKS für wesentliche Finanzprozesse bis Ende 2011 aufgebaut, 2012 im Einsatz (alle Einheiten der Jahresrechnung) IKS für alle wesentlichen DA erheben 2011 ihre Chancen/Risiken Prozesse bis Ende städtischer RM-Bericht 2012 (nur dem StR unterstellte DA) Seite 6

4 Projekt CHARM COSO- Grundlage Zielkategorien IKS-Rahmen Kom mponente en - IKS-Kontrollumfeld - Information und Kommunikation - Überwachung Bei wesentlichen Prozessen - Prozessziele und -dokumentation - Prozessrisiken - Prozesskontrollen - Optimierungsmassnahmen COSO I ( CI) 1992 Internal Control Framework *) Coso = Committee of Sponsoring Organizations of the Treadway Commission, privatwirtschaftliche US-Organisation zur Qualitätssteigerung in der Finanzberichterstattung COSO II ( ERM) 2004 Enterprise Risk Managment Integrated Framework Seite 7 Projekt CHARM Schnittstellen EKAS Arbeitssicherheit, Gesundheits- Schutz CIRS Critical Incident Reporting System Prozess- Risiken Versicherungs- Management RM Chancen- und Risikomanagement Erkennt und managet Top-Risiken und -Chancen IKS Internes Kontrollsystem reduziert die Prozessrisiken durch interne Kontrollen QMS/PMS Qualitäts-/Prozess-Management Notfall-, Krisen- Kontinuitäts- Management Weitere SS z.b. Umwelt- Management- System Top- Risiken regelt/optimiert die Prozesse KVP Kontinuierlicher Verbesserungs- Prozess Seite 8

5 RM Chancen- und Risikomanagement Seite 9 RM Was ist ein Risiko? Was eine Chance? Unter Risiko / Chance werden Ereignisse und Entwicklungen verstanden, die mit einer gewissen Wahrscheinlichkeit eintreten und wesentliche negative / positive finanzielle i und nichtfinanzielle i Auswirkungen auf die Erreichung der Ziele und die Erfüllung der Aufgaben haben. Ursachen Risiko / Chance Beispiel Risiko - Spannungen im Team - Mangelnde Wertschätzung - Hohe Arbeitsbelastung Weggang Schlüsselmitarbeitende Beispiel Chance - Neue IT-Technologie Online-Formular Auswirkungen Know How-Verlust - Online-Erfassung und Übermittlung aller benötigten Daten an DA - DA kann Daten direkt übernehmen - Aufwandreduktion d Massnahmen Mitarbeiterförderung Möglichkeiten abklären Seite 10

6 RM Chancen- und Risikomanagement-Prozess Prozessschritte Ergebnisse 1. Erstellen Zusammenhang Ausdiskutierte Chancen- und Risikopolitik Umfeldanalyse Organisatorische Festlegungen g olling 5. Contr 2. Identifikation 3. Beurteilung Chancen- und Risikoliste Chancen- und Risikolandkarte Beschreibung der Chancen und Risiken 4. Umsetzung Chancen- und Risikobericht mit Massnahmen Bewältigte Risiken Ergriffene Chancen Seite 11 RM Wie werden die Daten erhoben? DA nach städtischem Konzept DA mit eigenem Konzept Unterstützung durch Finanzverwaltung Definition städtische Minimalanforderungen Worksho op Vorgespräch Information Geschäftsleitung DA Halb-/Ganztägiger Workshop Geschäftsleitung DA Genehmigung Bericht durch Geschäftsleitung Kommunikation rview etc. Work kshop, Inte Schritt 1 Schritt 2 Etc. Ab Arbeitsergebnis: b i Ab Arbeitsergebnis: b i RM-Bericht DA RM-Bericht DA Bericht Dept. Konsolidierung RM-Bericht Dept Deptartement Konsolidierung RM-Bericht Stadt Seite 12

7 Internes Kontrollsystem (IKS) Seite 13 IKS Wie im Alltag, so in Wirtschaft & Verwaltung Im privaten Alltag kontrollieren wir selbstverständlich diverse Punkte In der öffentlichen Hand gibt es seit längerem gewisse Kontrollen Oft reagiert man aber erst nach einem Vorfall und fordert strengere Kontrollen Zum Beispiel GR 196/2007 Sozialhilfe: GPK-Bericht vom 17. November 2007 über die Prozesse und das Qualitätssicherungssystem sowie allfällige Missbräuche Forderung nach Risikomanagement und Internem Kontrollsystem Nötig sind systematische interne Kontrollen überlegt agieren statt hektisch reagieren Von Finanzkontrolle permanent eingefordert IKS für Finanzprozesse im FR verankert In der Privatwirtschaft seit Pflicht Im kantonalen Entwurf Gemeindegesetz vorgesehen «Der Gemeindevorstand übt die Aufsicht über die Gemeindeverwaltung aus und sorgt für ein angemessenes Internes Kontrollsystem.» Im städtischen IKS-Reglement verankert (Stadtratsbeschluss t 434/2011 vom ) Seite 14

8 IKS Verständnis und Ziele Das Interne Kontrollsystem (IKS) ist ein organisationsinternes Führungsinstrument und umfasst alle angeordneten Methoden und Massnahmen, um durch Vermeiden, Vermindern und Aufdecken von Fehlern und Missbrauch: a) die Leistungsfähigkeit zu erhalten und zu optimieren (Strategie und Prozesse) b) die Rechtsvorschriften und Regeln einzuhalten, die darin enthaltenen Handlungsspielräume auszuschöpfen und ethische Richtlinien zu beachten (Compliance) c) Aktiven, Personal, Know-how, Reputation und Umwelt zu schützen (Vermögensschutz) sowie d) eine zuverlässige, ordnungsgemässe und vollständige Berichterstattung zu gewährleisten (Reporting). Seite 15 IKS Anforderungen IKS-Rahmen - Kontrollumfeld -Information o & Kommunikation o - Überwachung Jährliche Überwachung - IKS angemessen? - Kontrollen durchgeführt und zweckmässig? - Dokumentation aktuell? DC und Finanzverantw. bestätigen finanzielles IKS Führungsprozesse Leistungsprozesse Finanzprozesse Personalprozesse Infrastruktur Support- prozesse IT- Prozesse Prozessbeschreibung - Ablauf - Risiken - Kontrollen Seite 16

9 IKS Anforderungen a) IKS-Rahmen (Kontrollumfeld, Information/Kommunikation, Überwachung) ist dokumentiert b) Wesentliche Prozesse sind identifiziert und dokumentiert c) Bei wesentlichen Prozessen sind Prozessrisiken ermittelt und Kontrollen mit Verantwortlichkeit und Häufigkeit festgelegt d) Festgelegte Kontrollen werden durchgeführt und die Kontrollergebnisse dokumentiert e) Jährliche Überprüfung: - Angemessenheit des IKS, - Durchführung und Zweckmässigkeit der Kontrollen, - Aktualität der Dokumentation f) Direktor/in beurteilt IKS jährlich und leitet bei Bedarf Optimierung ein g) Direktor/in bestätigt jährlich mit finanzverantwortlicher Person finanzielles IKS Seite 17 IKS Gratwanderung Zu wenig Kontrollen fahrlässig viele Fehler Missbrauchsgefahr h Zu viele Kontrollen aufwändig, teuer untergräbt Vertrauen oberflächliche h Kontrollen Zu wenig Dokumentation o unklare Abläufe unklare Zuständigkeit Zu viel Dokumentation o Dokumentationsaufwand, Kosten rasch veraltet Zu wenig Dokumentation der Kontrollergebnisse kein Nachweis möglich unsicher, was geprüft Zu viel Dokumentation der Kontrollergebnisse bürokratisch blindes Visieren Grenzen: Kein IKS kann alle Fehler und Missbräuche verhindern technische Störungen Fehleinschätzungen und Übersehen Umgehen, deliktische Handlungen Seite 18

10 IKS Konsequenzen für das IKS 1. IKS auf angemessene, nicht absolute Sicherheit ausgerichtet 2. IKS auf wesentliche Prozesse fokussiert 3. IKS auf gesamte Tätigkeit ausgerichtet (nicht nur Finanzprozesse) 4. Organisationseinheiten haben grosse Freiheit bei der Umsetzung (können auf Bestehendem, v.a. Qualitätsmanagementsystem, aufbauen) 5. Kein zentrales IKS-Reporting 6. Finanzverwaltung (IKS-Kompetenzzentrum) leistet Unterstützung IKS-Manual (Grundlagen 1x zentral erarbeitet statt 70x dezentral) Vorlagen für Prozessbeschreibungen und IKS-Checklisten (Finanzprozesse, IT-Prozesse, Führungsprozess, etc.) Schulung Erfahrungsaustausch Beratung vor Ort Seite 19 IKS Organisation und Verantwortung Stadtebene Der StR sorgt für Aufbau, Einsatz und Pflege eines angemessenen IKS in der Stadtverwaltung. Die Finanzverwaltung führt ein IKS-Kompetenzzentrum. Dieses - trägt die Verantwortung für das städtische IKS-Konzept Konzept, - schult, berät und unterstützt die Dpt, DA und weiteren Organisationen betreffend IKS, - organisiert einen Erfahrungsaustausch und - entwickelt das IKS unter Einbezug der IKS-Kontaktpersonen bedarfsgerecht weiter. Das IKS für Finanzprozesse wird von der Finanzkontrolle überprüft. Departementsebene Die Departementsvorstehenden sind gegenüber dem Stadtrat verantwortlich, dass in den DA in ihrem Zuständigkeitsbereich ein IKS aufgebaut, angewendet und gepflegt wird. Jedes Departement ernennt eine IKS-Kontaktperson. Ebene Dienstabteilung (DA) Die DA ist verantwortlich für Aufbau, Pflege und Überwachung des IKS in ihrer Organisation. Sie bestimmt, welche ihrer Prozesse aufgrund der Bedeutung und Risiken wesentlich sind. Jede Dienstabteilung verfügt über eine IKS-Beauftragte oder einen IKS-Beauftragten. Die Mitarbeitenden führen die Prozesskontrollen durch und dokumentieren die Kontrollergebnisse. Sie weisen ihre Vorgesetzten auf erkannte Optimierungsmöglichkeiten hin. Seite 20

11 IKS Hilfsmittel Prozessbeschreibungen Als Flussdiagramm oder verbal Vorlagen für Finanzprozesse können auf eigene Besonderheiten angepasst werden Zeigen Ablauf, unabhängig von Software Seite 21 IKS Hilfsmittel IKS-Checklisten können als Schmal-/Breitversion i - auf eigene Besonderheiten angepasst werden Vorlagen zeigen je Prozess die relevanten Checkfragen und Prozessrisiken. Die Verantwortlichen beantworten sie, dokumentieren die Kontrollen und legen Optimierungen fest. V2 IKS-Checkliste M Management-Checkfragen Bemerkung Optimierung RM Checkfrage Ja / Risiko bei fehlender Massnahme Nein M_A Strategie M_A Haben wir die Entwicklungen im Umfeld der DA, d.h. Mangelnde Ausrichtung auf 1 in Bund, Kanton und Stadt, Gesellschaft, Wirtschaft und Zukunft Technologie, hinsichtlich Auswirkungen (insb. Chancen und Gefahren) auf unsere DA jährlich überprüft? V2 IKS-Checkliste M Management- Checkfragen Empfehlung: um die DA noch besser zu führen, Ja / Risiko bei fehlender bespricht die GL jährlich folgende Checkfragen: Nei Massnahme nicht anwendbar, da irrelevant? ("n.a."), bereits n / optimiert? ("ja") oder noch nicht (ganz) erfüllt n.a. ("nein"). Dann sind Optimierungen auszulösen. M_ Ressourcen: Teure, schlechte oder C Stimmen Personal, IT, Räume und übrige Infrastruktur und schützen wir sie angemessen? M_ Haben wir das richtige Personal in angemessener Anzahl an der richtigen Stelle? C1 Ja Bemerkung zur Checkfrage Risiko Bemerkung wer kontrolliert was wie oft und wie wird das Kontrollergebnis dokumentiert? Risiko geschätzt Bemerkung zur Checkfrage Kontrollmassnahme, um das Risiko zu minimieren gefährdete Leistungserbringung, Vermögensverlust Teure, schlechte oder Organigramm gefährdete Leistungserbringung klein halbjährlich g überprüfen M_ Haben wir alle zweckmässigen und vorgeschriebenen Massnahmen zur Arbeits- Personal: z.b. Nein Gefährdung von C2 mittel sicherheit und zur Gesundheitsförderung des Krankheit und Unfall, Personals unserer DA ergriffen? Burnout, Übergriffe M_ Unterstützt die IT unsere Leistungserbringung Ja Ungenügende v.a. Fach- C3 zweckmässig und sind Datenschutz und Leistungserbringung, Applika- gross Datensicherheit angemessen? Daten-Verlust, tionen Reputationsschaden, Kontrollen gemäss IKS- CL IT durchführen Nachweis für Durchführung der Kontrollmassnahme Protokoll GL- Sitzung ausgefüllte IKS-CL IT Massnahme Wer? Termin Top- Risk Verant -wortlich AA Periodizität h Optimierung Optimierung s- massnahme Verantwort. für RM Termin Optimierung Top-Risiko Sicherheits- Beauftragten bestimmen, schulen XY T IT- j Verant wortl. Seite 22

12 Projekt CHARM Erfahrungen und Erfolgsfaktoren Seite 23 Erfahrungen & Erfolgsfaktoren a) Keine Pflichtübung auf positive Wirkung bei DA ausgerichtet b) Einflussreicher Auftraggeber unterstützt das Projekt stark c) Betroffene zu Beteiligten machen Alle Departemente im Projekt vertreten DA über eine Vernehmlassung einbezogen Aktive und offene Kommunikation: Veranstaltungen, regelmässige CHARM-News d) Wenig Vorgaben Freiheit in Umsetzung (auf Bestehendem aufbauen) e) DA Unterstützung anbieten Dienstleistungs-orientiert Seite 24