Methodik zur Durchführung eines IKS Projektes

Transkript

1 Methodik zur Durchführung eines IKS Projektes Basierend auf dem IKS Projekt Navigator AUDIT / ADVISORY AUDIT TAX ADVISORY

2 Methodik zur Durchführung eines IKS Projektes Externe Revisionsstelle 7 3 Behebung Schwachstellen Beurteilung Existenz Ist-Analyse Generelle IT-Kontrollen Projekt Management Kontrollbeschreibung Prozessebene Unternehmensebene Auswahlverfahren Bestimmung Methodik Risiko-/ Kontrollmatrix Mit der Änderung im schweizerischen Revisionsrecht (OR) wird der Nachweis eines existierenden internen Kontrollsystems (IKS) für alle Gesellschaften Pflicht, welche der ordentlichen Revision unterliegen. Diese Änderung tritt voraussichtlich am 1. Januar 2008 in Kraft. Ein funktionierendes IKS unterstützt die Erreichung der Unternehmensziele, zum Beispiel bei der effizienten Erstellung einer korrekten Jahresrechnung, und kann somit als Ergänzung der Führungsinstrumente angesehen werden. Grundsätzlich ist die Vorgehensweise zur Implementierung und kontinuierlichen Weiterentwicklung eines IKS über die Buchführung und Rechnungslegung bei allen Unternehmen gleich. Der Umfang und die Ausgestaltung des IKS sind jedoch individuell anzupassen, denn das Projekt zur Implementierung eines IKS muss auf die spezifische Situation und die Bedürfnisse der Unternehmung ausgerichtet sein. Nur so ist es möglich, das Projekt unter Berücksichtigung des gesetzlich festgelegten Termins effektiv umzusetzen. Das Projektmanagement hat die Aufgabe, die Beeinträchtigung des Geschäftganges durch verringerte Flexibilität und die Beanspruchung von Ressourcen möglichst gering zu halten. Folgende Faktoren sind für das Gelingen des IKS-Projektes unter anderem entscheidend: Der Projektsponsor ist hierarchisch hoch angesiedelt und rapportiert direkt an den Verwaltungsrat. Der Projektmanager hat ausreichende Projekterfahrung und ein gutes Verständnis von Rechnungswesen, Risiken und internen Kontrollen. Es besteht ein detaillierter Projektplan, an dem der Projektfortschritt regelmässig gemessen wird. Es stehen ausreichende Mitarbeiterressourcen in den betreffenden Abteilungen zur Verfügung. Die IT-Verantwortlichen werden von Beginn an ins Projektteam einbezogen. Bei der gründlichen Bestandesaufnahme des aktuellen Ist-Zustandes und der Definition des angestrebten Soll-Zustandes müssen die folgenden drei Ebenen gleichermassen einbezogen werden: Kontrollen auf Unternehmensebene sind übergreifende Kontrollen, respektive Kontrollen mit durchgreifendem Charakter, die Einfluss auf mehrere Aspekte der Organisation und somit auch auf mehrere Prozesse innerhalb der Unternehmung haben können. Es handelt sich beispielsweise um Kompetenzregelungen, Kontrollgremien, die Überwachung von Kontrollen auf Prozessebene oder um ein systematisches Weisungswesen und dessen Durchsetzung. Kontrollen auf Prozessebene decken die Risiken einer wesentlichen Fehlaussage in der Buchführung und Rechnungslegung ab - von der Auslösung, Registrierung, Verarbeitung und Verbuchung bis zum Ausweis von Geschäftsvorfällen innerhalb einzelner Prozesse. Es handelt sich entweder um so genannte manuelle Kontrollen oder um automatische Applikationskontrollen. Manuelle Kontrollen sind zum Beispiel die Überprüfung der Korrektheit von Bewertungen oder 1 Methodik zur Durchführung eines IKS Projektes

3 Zur besseren Veranschaulichung der angewendeten Methodologie werden die einzelnen Schritte anhand eines Fallbeispieles erläutert. Fallbeispiel (Auszug): ABC Textilhandels AG ist ein Textilhandelsunternehmen, welches sich in Privatbesitz befindet (56% Familie, 40% Venture Kapitalgeber, 4% Management): CHF 189 Mio. Umsatz aus Detailhandel über eigene Geschäfte: Ursprüngliches Kerngeschäft, mit eingespielten Prozessen und Kontrollen CHF 58 Mio. Umsatz aus Grossistenvertrieb an andere Detaillisten, vor allem ins Ausland: Neues Geschäftsfeld mit neuen Risiken Aufgrund der Zahlungsfristen und anderer gesetzlichen Rahmenbedingungen besteht ein erhöhtes Verlustrisiko auf Forderungen Bank- und Postcheckkonto-Bestätigungen. Automatische Applikationskontrollen werden durch IT-Applikationen, beziehungsweise End-User Computing (EUC)- Applikationen (zum Beispiel Tabellenkalkulationen), durchgeführt. Es handelt sich beispielsweise um die Plausibilisierung von Dateneingaben oder automatische Abstimmungen von Hauptbuch und Nebenbüchern. Denkbar ist auch eine Kombination von automatischen Kontrollen (automatisch generierte Fehlermeldung im Salärlauf), welche manuelle Kontrollaktivitäten auslösen (Abklärung der Ursachen und deren Behebung). Automatische Kontrollen sollten nach Möglichkeit bevorzugt werden, da diese in der Regel zuverlässiger und kostengünstiger funktionieren. Generelle IT-Kontrollen gewährleisten, dass die automatischen Applikationskontrollen ordnungsgemäss funktionieren. Gibt es beispielsweise im Einkaufsprozess eine automatische Abstimmung zwischen Bestellung, Wareneingang und Rechnung (automatische Applikationskontrolle), funktioniert diese Abstimmung nur verlässlich, wenn die Applikation den systematischen Änderungsverfahren der IT-Abteilung unterliegt (generelle IT-Kontrolle). Ein funktionierendes IKS bedingt, dass diese drei Ebenen wie Zahnräder in einem Uhrwerk aufeinander abgestimmt sind. Generelle IT-Kontrollen Die fünf Mitglieder der Geschäftsleitung sind zugleich im Verwaltungsrat vertreten. Im Verwaltungsrat sind ferner drei weitere unabhängige Mitglieder, welche das Audit Committee bilden. Prozessebene Unternehmensebene Methodik zur Durchführung eines IKS Projektes 2

4 1 Ist-Analyse 1. Ist-Analyse (Schritt 1) Jedes Unternehmen besitzt interne Kontrollen. Die Frage ist jedoch, inwiefern diese Kontrollen systematisch aufeinander abgestimmt und formalisiert, beziehungsweise dokumentiert sind und nachhaltig angewendet werden. Deshalb ist eine Ist-Analyse der vorhandenen Informationen, Dokumentationen und Evaluationsinstrumente durchzuführen. Dies kann in Form von Workshops, Interviews, schriftlichen Befragungen mittels Fragebogen oder einer Kombination davon erfolgen. Die nachstehende Übersicht zeigt auszugsweise Fragen und Beispiele zur Erhebung des aktuellen Status des internen Kontrollsystems für die drei Ebenen. Fallbeispiel (Auszug): Richtlinien und Verfahren zur Einhaltung der ethischen Werte Die ABC Textilhandels AG hat vor zwei Jahren ein neues Unternehmensleitbild eingeführt, in der die Unternehmenspolitik und die allgemein verbindlichen ethischen Regeln festgelegt sind. Wer dagegen verstösst, hat mit disziplinarischen Massnahmen zu rechnen, die im Personaldossier dokumentiert werden und in gravierenden Fällen auch die Freistellung zur Folge haben können. Kompetenzregelung Die ABC Textilhandels AG hat die Kompetenzen pro Hierarchiestufe und Abteilung zentral geregelt (diese Regelung setzt auch den Rahmen für die Kontrollen auf Prozessebene). Weisungen Die ABC Textilhandels AG hat im Grossistenvertrieb Weisungen erlassen, wie die Gewährung beziehungsweise Erhöhung von Kreditlimiten zu erfolgen hat. Unternehmensebene Frage 1 Werden Abweichung zu den definierten ethischen Werten identifiziert, in angemessener Frist an die Verantwortlichen im Unternehmen weitergeleitet und die notwendigen Konsequenzen daraus gezogen? 2 Beinhaltet die Vergabe von Befugnissen und Verantwortung auch entsprechende Limitierungen (finanziell und organisatorisch)? Prozessebene Frage 1 Bestehen Prozessdokumentationen, Prozesshandbücher oder Arbeitsanweisungen? Falls ja, für welche Prozesse oder Teilprozesse bestehen diese? Beispiele Richtlinien und Verfahren zur Einhaltung der ethischen Werte Überwachung der Aktionen (zum Beispiel Verweise) aufgrund von eingegangenen Meldungen (zum Beispiel über die Whistleblowing-Kanäle) Verhalten und Taten der Vorgesetzten, welche diese Werte untermauern (zum Beispiel Umgang mit eingegangenen Meldungen) Kompetenzregelung Organisationsreglement Regelung der Abschlüsse Statuten Stellenbeschreibungen Beispiele Dokumentation aus ISO-Zertifizierung Weisungen Prozesshandbuch Personalwesen 2 Werden die Prozessdokumentationen regelmässig aktualisiert? Regelmässige Überprüfung der Prozessdokumentation durch die interne Revision Zuständigkeiten für Qualitätssicherung und Informationssicherheit Die IT Abteilung ist zentral für die Vergabe von Berechtigungen zuständig, welche auf Antrag der Linie (autorisiert durch den Linienverantwortlichen) erfolgen. IT-Ebene Frage 1 Welche IT-Systeme sind relevant? 2 Wie ist die IT-Abteilung organisiert? Beispiele IT-Landschaften Organigramm Zuständigkeiten für einzelne Rechenzentren oder IT-Systeme Zuständigkeiten für Qualitätssicherung und Informationssicherheit 3 Methodik zur Durchführung eines IKS Projektes

5 2 Bestimmung Methodik 2. Bestimmung der Methodik (Schritt 2) Fallbeispiel (Auszug): Konzeptpapier ABC Textilhandels AG 1. Ist-Analyse 1.1. Bestimmung der Methode zur Informationsgewinnung In einem ersten Schritt werden die Informationen über den aktuellen Stand des IKS der Gesellschaft zentral durch das Projektteam und die Geschäftsleitung im Rahmen eines Workshops erhoben. Aufgrund der Erkenntnisse aus dem Workshop werden die Verantwortlichen der relevanten Prozesse aufgefordert, mittels eines vorgegebenen Fragebogens den aktuellen Stand betreffend Standardisierung und Formalisierung der Kontrollen sowie allfällige Schwächen im Kontrollsystem in den Prozessen zu erheben. 3. Auswahlverfahren (Scoping) Bei der Identifikation der relevanten Prozesse, für welche die Kontrollen dokumentiert werden müssen, wird ein risikoorientierter top-down Ansatz gewählt, das heisst, bevor mögliche Kontrollen auf Prozessebene identifiziert werden, sind die möglichen Kontrollen auf Unternehmensebene festzulegen. Als zentraler Prozess für die finanzielle Berichterstattung ist der Abschlusserstellungsprozess («Closing») festgelegt worden. Soweit die Kontrollen im Abschlusserstellungsprozess nicht ausreichen, beziehungsweise den Rahmen dieses Prozesses übersteigen, werden zusätzliche Prozesse zur Dokumentation der Kontrollen identifiziert. Aufgrund der Aktivitäten und deren inhärenten Risiken in Bezug auf mögliche Fehlaussagen in der Jahresrechnung betrifft dies vor allem Prozesse, in denen ein grosses Volumenwachstum besteht und/oder die Erfahrung mit Risiken fehlt, zum Beispiel der Grossistenvertrieb mit einem grossen Exportanteil. Basierend auf den Erkenntnissen der Ist-Analyse wird die Methodik für die nächsten fünf Schritte festgelegt: Auswahlverfahren, Risiko-/Kontrollmatrix, Kontrollbeschreibung, Beurteilung der Existenz des IKS und Behebung von Schwachstellen. Deshalb empfiehlt es sich, ein Konzeptpapier zu erstellen, in welchem die zentralen Punkte und Entscheidungen festgehalten werden. Dieses kann in Anlehnung an den IKS Projekt Navigator folgenden Raster aufweisen: 0 Planung und Projektmanagement 0.1 Ausgangslage 0.2 Zielsetzung und Nutzen Ziele des Projektes Nutzen eines internen Kontrollsystems 0.3 Projektorganisation 0.7 Aufwand/Kosten 1 Ist-Analyse 1.1 Bestimmung der Methode zur Informationsgewinnung 1.2 Analyse der Organisation 1.5 Ist-Analyse des IT-Umfelds sowie Bewertung existierender IT-Kontrollverfahren 2 Bestimmung Methodik 3 Auswahlverfahren (Scoping) 4 Risiko-/Kontrollmatrix 5 Kontrollbeschreibung 6 Beurteilung Existenz des internen Kontrollsystems 7 Behebung Schwachstellen 8 Revisionsstelle 9 Ausblick Bei der Planung der einzelnen Projektschritte ist vor allem die Festlegung des Projektumfanges sowie des Projektmanagements von zentraler Bedeutung. In Bezug auf den Projektumfang muss definiert werden, welche Risiken und Kontrollen Gegenstand des Projektes sein sollen, das heisst, ob neben der finanziellen Berichterstattung auch die operationelle Geschäftstätigkeit oder Compliance-Aspekte integriert werden sollen. Da mit einer Zunahme des Projektumfangs auch die Komplexität und der Aufwand zunehmen, empfiehlt sich ein phasenweiser Einbezug von weiteren Aspekten, welche über die gesetzlichen Anforderungen hinausgehen. Bei der Festlegung der Projektmanagementorganisation muss auch die Weiterführung in den Folgejahren, vor allem bezüglich Sicherstellung der Konsistenz und Qualität der Dokumentation, entsprechend geplant werden. So gilt es über die Einführungsperiode hinaus die Rollen und Verantwortlichkeiten der einzelnen Funktionen bezogen auf das IKS zu definieren und zu kommunizieren. Auch ist es sinnvoll, die angewandte Terminologie und die verwendeten Formulare möglichst zu vereinheitlichen. Das Konzeptpapier ist nach dessen Erstellung nicht als finalisiert anzusehen, sondern ist als ein «lebendes» Dokument zu verstehen, welches im Verlaufe des Projektes kontinuierlich aufgrund neuer Erkenntnisse angepasst wird. Daraus ergibt sich eine Art Projekthandbuch, welches in den folgenden Geschäftsjahren als Referenzwerk dient und kontinuierlich weiterentwickelt wird. Methodik zur Durchführung eines IKS Projektes 4

6 3 Auswahlverfahren 3. Auswahlverfahren (Schritt 3) Fallbeispiel (Auszug): Die ABC Textilhandels AG hat entschieden, sich soweit möglich auf die Kontrollen im Abschlusserstellungsprozess abzustützen. In der Abbildung 1 (Seite 6) wird ein Ausschnitt aus der Auswahlübersicht gezeigt. Der Ausschnitt stellt dar, welche Positionen über welche Prozesse beziehungsweise deren Kontrollen abgedeckt werden. Die Übersicht zeigt, wie die Positionen in einem ersten Schritt auf ihre Bedeutung in Bezug auf die Jahresrechnung beurteilt werden. In einem nächsten Schritt wird pro Position das inhärente Risiko einer Fehlaussage beurteilt und eruiert, welche Aussagen in der Jahresrechnung dies betreffen kann. Dies bedingt, dass die relevanten Aussagen pro Position der Jahresrechnung identifiziert werden. Es empfiehlt sich, die Risikoüberlegungen pro Position zu dokumentieren. Dies erleichtert sowohl die Arbeit in den folgenden Jahren sowie die Kommunikation und Diskussion mit dem Abschlussprüfer. Auszug der Überlegungen bezogen auf die Risiken der einzelnen Positionen im Rahmen des Auswahlverfahrens: 1. Flüssige Mittel (Risiko Mittel): Es werden viele Transaktionen mit grossen Beträgen getätigt. Der tägliche Umgang mit grossen Geldbeträgen erhöht das Risiko, dass Mitarbeiter in Bereicherungsabsicht betrügerische Handlungen begehen. 2. Forderungen aus Lieferungen und Leistungen Detailhandel (Risiko Gering): Die Prozesse sind stark automatisiert. Der grösste Teil der Zahlungen erfolgt in bar. Forderungen von Kreditkartengesellschaften werden innert einer Woche bezahlt. Die Bonität der Kreditkartengesellschaften ist sehr gut. Das Verlustrisiko auf diesen Forderungen ist daher gering. 3. Forderungen aus Lieferungen und Leistungen Grossistengeschäft (Risiko Hoch): Unter Berücksichtigung der Tatsache, dass die ABC Textilhandels AG sich das Ziel gesetzt hat, den Umsatz in diesem Geschäftszweig stetig und signifikant zu erhöhen, hat das Risiko von inkorrekter Umsatzabgrenzung, zum Beispiel mittels forcierter Verkäufe an wenig solvente Kunden, zugenommen. Das Ziel des Auswahlverfahrens (Scoping) ist die Identifikation der wesentlichen Prozesse bezogen auf die Positionen der Jahresrechnung mittels risikoorientierten top-down Vorgehens. Risikoorientiert heisst, dass Prozesse betreffend Positionen berücksichtigt werden, die ein hohes Risiko einer wesentlichen Fehlaussage bezogen auf die Buchführung und Rechnungslegung bergen. Die Erfahrung zeigt, dass Non-Routine Prozesse und Schätzungen tendenziell höhere Risiken enthalten. Topdown heisst, dass in Bezug auf die wesentlichen Prozesse zuerst identifiziert wird, welche übergreifenden Kontrollen in der Regel auf Unternehmensebene bestehen, um das Risiko einer Fehlaussage zu vermindern. Falls keine übergreifenden Kontrollen vorhanden sind oder sie nicht alle Risiken abdecken, werden die ergänzenden Kontrollen auf Prozessebene identifiziert. Wenn sich Prozesse stark auf IT-Applikationen (Systeme) abstützen, beziehungsweise es sich bei den Kontrollen auf Prozessebene um automatische Applikationskontrollen handelt, so sind diese IT-Applikationen zu identifizieren und deren generelle IT-Kontrollen zu erfassen. Im Auswahlverfahren ist weiter zwischen der Ebene Konzernrechnung und der Ebene statutarische Jahresrechnung für jene Tochtergesellschaften in der Schweiz zu unterscheiden, die einer ordentlichen Revision unterliegen. Auf der Konzernebene bildet der Konzernabschluss die Ausgangslage. Deshalb können sowohl wesentliche Prozesse in schweizerischen als auch in ausländischen Tochtergesellschaften in den Projektumfang fallen. Auch hier wird das Auswahlverfahren durch Risikoüberlegungen auf der Ebene der Tochtergesellschaft gesteuert, insbesondere durch deren Geschäftsaktivitäten sowie das wirtschaftliche und soziale Umfeld. Ferner muss auch die relative finanzielle Bedeutung der jeweiligen Jahresrechnung bezogen auf den Konzernabschluss berücksichtigt werden. Auf der Ebene statutarische Jahresrechnung (Gegenstand der ordentlichen Revision) bildet der Einzelabschluss die Ausgangslage. Da die Wesentlichkeitsgrenze auf der Ebene Konzernrechnung in der Regel höher ist als auf der Ebene statutarische Jahresrechnung, können auf der Ebene statutarische Jahresrechnung zusätzliche Prozesse in den Projektumfang fallen, die auf der Ebene Konzernrechnung nicht wesentlich sind. Deshalb ist es wichtig, das Auswahlverfahren auf beiden Ebenen durchzuführen. In diesem Schritt werden auch Pilot-Prozesse und/oder Pilot-Gesellschaften identifiziert, um die in Schritt 2 festgelegte Methodik für die Schritte 4 bis 7 zu testen und allenfalls anzupassen, damit ein für das Unternehmen optimaler Ansatz entwickelt und anschliessend in den verbleibenden Prozessen oder Gesellschaften angewandt werden kann. Die Erarbeitung eines Pilotbeispiels ermöglicht erfolgsentscheidende Erkenntnisse zu gewinnen und eine bessere Schätzung des Gesamtaufwandes für das IKS-Projekt vorzunehmen. 5 Methodik zur Durchführung eines IKS Projektes

7 Abbildung 1: Identifikation der wesentlichen Positionen der Jahresrechnung auf Ebene der Einzelgesellschaft Analysekriterien Jahresrechnung (Bilanz, Erfolgsrechnung und Anhang) Analyse Gesamteinfluss Quantitative Faktoren Auswahlverfahren Aussagen Kontrollen auf Unternehmensebene bzw. Referenz auf Prozess Gesamter Einfluss auf die Jahresrechnung Entscheid, ob für diese Position eine oder mehrere Kontrolle(n) aus dem internen Kontrollsystem identifiziert und dokumentiert werden soll(en) oder nicht Schwellenwert für Wesentlichkeit (% Aktiven oder Betriebsertrag) 5% Referenz auf Prozess Aktuelles Jahr ( ) Vorjahr ( ) Prozentualer Anteil der Position am Total (Aktiven oder Betriebsertrag) Quantitativer Einfluss auf die Jahresrechnung Qualitative Faktoren mit Einfluss auf die Jahresrechnung (Risiko) (Beurteilung gemäss separater Dokumentation) Vollständigkeit Vorhandensein Genauigkeit Bewertung Rechte und Verpflichtungen Darstellung und Offenlegung Kontrollen auf Unternehmensebene mit hoher Präzision und mit direktem Einfluss auf die Aussagen der Jahresrechnung Abschlusserstellung 2 Verkauf Grossistenvertrieb... Bilanz H, M, T H, M, T Referenz H, M, T Ja / Nein Begründung Referenz oder Keine Zuordnung X Zuordnung X Zuordnung X Aktiven Flüssige Mittel % Mittel Mittel -1- Mittel Ja -1- Keine X Forderungen aus Lieferungen und Leistungen Dritte % - Detailhandel % Tief Tief -2- Tief Ja -2- Keine - Grossistenvertrieb % Hoch Hoch -3- Hoch Ja -3- Keine X - Delkredere (-) (466) (127) 0.48% Tief Tief -4- Tief Ja -4- Keine X Andere Forderungen % Tief Tief -6- Tief Nein Total Umlaufvermögen % Total Anlagevermögen % Total Aktiven % Keine spezifischen Risiken identifiziert Keine X Passiven Total Fremdkapital (42 348) (35 289) 43.74% Total Eigenkapital (54 460) (30 352) 56.26% Total Passiven (96 808) (65 641) % Erfolgsrechnung H, M, T H, M, T Referenz H, M, T Ja / Nein Begründung Referenz oder Keine Zuordnung X Zuordnung X Zuordnung X Erlöse aus Lieferungen und Leistungen Detailhandel ( ) ( ) 75.82% Hoch Tief -23- Mittel Ja Erlöse aus Lieferungen und Leistungen Grossistenvertrieb (57 795) (47 444) 23.21% Hoch Hoch -24- Hoch Ja -24- Keine X Andere betriebliche Erträge (2 420) (2 132) 0.97% Tief Tief -25- Tief Nein Keine spezifischen Risiken identifiziert Total Betriebsertrag ( ) ( ) % Warenaufwand % Hoch Mittel -26- Hoch Ja -26- Keine Total betriebliche Aufwände % Total Betriebsgewinn (35 400) (31 603) 14.21% Finanzertrag (654) (513) 0.26% Tief Tief -32- Tief Nein Finanzaufwand % Tief Tief -33- Tief Nein Keine spezifischen Risiken identifiziert Keine spezifischen Risiken identifiziert Total Finanzergebnis (- Gewinn / + Verlust) 672 (492) 0.27% Gewinn vor Steuern (34 728) (32 095) 13.94% Steuern % Tief Mittel -34- Mittel Ja -34- Keine Jahresgewinn (24 108) (22 614) 9.68% Keine X Keine X Keine X Anhang H, M, T H, M, T Referenz H, M, T Ja / Nein Begründung Referenz oder Keine Zuordnung X Zuordnung X Zuordnung X Bürgschaften, Garantieverpflichtungen, Pfandbestellungen z.g. Dritter Tief Mittel -35- Mittel Nein Keine spezifischen Risiken identifiziert Keine X Belastung von Aktiven zur Sicherung eigener Verpflichtungen Hoch Hoch -36- Hoch Ja -36- Keine X Angaben zur Durchführung der Risikobeurteilung Separate Dokumentation Separate Dokumentation Tief Hoch -46- Hoch Ja -46- Keine X 1 Beispiel einer Kontrolle auf Unternehmensebene mit hoher Präzision und mit direktem Einfluss auf die Aussagen der Jahresrechnung Die Verkäufe pro Geschäft werden täglich durch die Controlling-Abteilung analysiert. Abweichungen zu den budgetierten Werten müssen beim Überschreiten von definierten Toleranzwerten durch die Geschäftsführer der Verkaufsläden begründet werden. 2 Eine Zuordnung zum Abschlusserstellungsprozess erfolgt, wenn keine weiteren Kontrollen in anderen Prozessen erforderlich sind, um wesentliche Fehlaussagen zu vermeiden. Methodik zur Durchführung eines IKS Projektes 6

8 4 Risiko-/ Kontrollmatrix 4. Risiko-/Kontrollmatrix (Schritt 4) Fallbeispiel (Auszug): In der Abbildung 2 wird der Ausschnitt aus der Risiko-/Kontrollmatrix für den Verkaufsprozess Grossistenvertrieb gezeigt. Diese Matrix baut auf der Übersicht zum Auswahlverfahren auf. Ausgehend von den relevanten Aussagen pro Position der Jahresrechnung werden die möglichen Risiken einer Fehlaussage identifiziert (unter anderem die Bewertung der Forderungen gegenüber Grossisten-Kunden). Hier wird versucht, die Bewertungsrisiken auf Kundenforderungen mittels präventiver* Kontrollen zu reduzieren. In diesem Beispiel wird die Kombination von manuellen Kontrollaktivitäten und Kontrollelementen dargelegt, welche durch IT-Applikationen unterstützt werden. Während die Freigabe von Kreditlimiten auf dem Papierweg manuell erfolgt, soll mittels entsprechender Berechtigungen sichergestellt werden, dass nur bestimmte Mitarbeiter die Mutation im System vornehmen dürfen (Sicherstellung der Funktionentrennung zwischen Auftragserfassung und Kreditlimitenvergabe). * Präventive Kontrollen versuchen eine Fehlaussage zu vermeiden, indem ein Fehler gar nicht entstehen kann, zum Beispiel durch das Blockieren von Lieferungen an möglicherweise insolvente Kunden. Detektive Kontrollen sind dagegen darauf ausgerichtet, mögliche Fehler zu identifizieren, um entsprechende Korrekturmassnahmen zu veranlassen. Für die im Auswahlverfahren bestimmten wesentlichen Prozesse ist eine Übersicht zu erstellen. In dieser Risiko-/Kontrollmatrix werden pro Prozess die Risiken einer wesentlichen Fehlaussage in der finanziellen Berichterstattung aufgelistet sowie die entsprechenden Kontrollen im Unternehmen identifiziert und den jeweiligen Risiken gegenübergestellt (vergleiche Abbildung 2). Diese systematische Gegenüberstellung zeigt beispielsweise Kontrolllücken auf (Risiko wird nicht durch eine Kontrolle abgedeckt). Es kann aber auch festgestellt werden, dass für ein Risiko mehrere Kontrollen bestehen und eine Kontrolle andere Kontrollen ersetzen, beziehungsweise ein bestimmtes Risiko allein abdecken, kann (=Kontrolloptimierung). Hierbei gilt zu beachten, dass gewisse Kontrollen bezogen auf die Position der Jahresrechnung nur einen Teil der Aussagen in der Jahresrechnung abdecken und somit mehrere Kontrollen zur Abdeckung des Risikos erforderlich sind. Die Risiko-/Kontrollmatrix enthält oft auch Kontrollen ohne wesentlichen Einfluss auf die Buchführung und Rechnungslegung. Deshalb sind diejenigen Kontrollen mit wesentlichem Einfluss als Schlüsselkontrollen zu identifizieren. Auf diese Schlüsselkontrollen wird in einem nächsten Schritt im Sinne einer Projektoptimierung der Fokus gelegt werden. Es gilt zu beachten, dass die Dokumentation der generellen IT-Kontrollen für alle relevanten IT- oder EUC-Applikationen ebenfalls auf dem Raster der Risiko-/Kontrollmatrix aufbaut. In der Regel ist es jedoch bei den IT- oder EUC-Applikationen nicht möglich, eine direkte Verbindung zu den Aussagen der Jahresrechnung herzustellen. Deshalb können diese Spalten bei der Dokumentation vernachlässigt werden. Für Kontrollen auf Unternehmensebene können in der Regel die Informationen aus den ersten Schritten ergänzt und vervollständigt werden. Abbildung 2: Risiko-/Kontrollmatrix Prozess Verkauf Grossistenvertrieb Prozess Kontrollziel Risiko Jahresrechnung Position Konto Aussagen Automatisierte Teile der Kontrolle Vollständigkeit Vorhandensein Genauigkeit Bewertung Rechte und Verpflichtungen Darstellung und Offenlegung Kontrollnummer Schlüsselkontrolle Logik/ Konfiguration/ Stammdaten Name der IT- Applikation und relevante Funktionalität (z.b. Toleranzwerte, Datenvalidierung) Kontrolle Manueller Teil der Kontrolle Automatisch Kontrollaktivität Sicherheit/ erzeugte Berichte/ Funktionentrennung Output Name der IT-Applikation und relevante Rollenprofile (z.b. zur Freigabe, Autorisierung) Name der IT- Applikation und relevanter Output (z.b. Abstimmreport) Anti-Fraud Kontrolle Präventiv / Detektiv Kontrollhäufigkeit Kontrollverantwortlicher Wichtige Anmerkung: Die unten beschriebene Kontrolle besteht aus einem automatischen Teil (Zugriffsrechte, welche die Funktionentrennung implementieren) und einem manuellen Teil (ordnungsgemäss visierter Antrag zur Veränderung der Kreditlimite). Der manuelle Teil (Kontrollaktivität) wird in einer separaten Kontrollbeschreibung detailliert beschrieben. Verkauf Ausfallrisiken auf Grossistenvertrieb Lieferungen und Leis- Forderungen aus tungen (L&L) werden minimiert. Es erfolgen Lieferungen an Kunden, welche die gekaufte Ware nicht bezahlen können. Forderung L&L Umsatz X X CO_2_B Ja n/a Im IT-System definierte Rollen mit Berechtigungsobjekten: Nur die Rolle Debitorenbuchhalter kann Änderungen von Kunden-Kreditlimiten (Feld KNKK-KLIMK) vornehmen. n/a Eine Mutation Nein der Kreditlimite durch den Debitorenbuchhalter im System wird nur vorgenommen, wenn der Mutationsantrag durch den CFO autorisiert (visiert) ist. Präventiv Ereignisgesteuert Debitorenbuchhalter 7 Methodik zur Durchführung eines IKS Projektes

9 5 Kontrollbeschreibung 5. Kontrollbeschreibung (Schritt 5) Fallbeispiel (Auszug): Bei der unter Schritt 4 identifizierten Kontrolle wird der manuelle Teil der Kontrolle mittels einer detaillierten Beschreibung der Kontrollaktivität präzisiert. Siehe Abbildung 3. Für die in den Risiko-/Kontrollmatrizen identifizierten manuellen Schlüsselkontrollen und für den manuellen Teil von halbautomatischen Kontrollen wird eine detaillierte Kontrollbeschreibung erstellt, welche für einen sachverständigen Dritten nachvollziehbar sein muss. Deshalb ist es wichtig, dass die Kontrollbeschreibung die «W-Fragen» (wer, was, wie, wie oft, wann, wo, warum) beantwortet. Insbesondere muss die Kontrollbeschreibung dem Anwender Anweisungen geben, was zu tun ist, wenn bei der Durchführung der Kontrolle ein Fehler festgestellt wird. Für automatische Applikationskontrollen sind konkrete Funktionsbeschreibungen erforderlich, welche in der Regel Bestandteil der Dokumentation der jeweiligen IT-Applikation sind. Abbildung 3: Kontrollbeschreibung Allgemeine Information Name der Gesellschaft Kontrollnummer Prozess Kontrollziel Risiko Kontrollaktivität (manueller Teil der Kontrolle) Kontrollverantwortlicher ABC Textilhandels AG CO_2_B Verkauf Grossistenvertrieb Ausfallrisiken auf Forderungen aus Lieferungen und Leistungen (L&L) werden minimiert. Es erfolgen Lieferungen an Kunden, welche die gekaufte Ware nicht bezahlen können. Eine Mutation der Kreditlimite durch den Debitorenbuchhalter im System wird nur vorgenommen, wenn der Mutationsantrag durch den CFO autorisiert (visiert) ist. Debitorenbuchhalter Kontroll-Information Beschreibung der Kontrolle (inklusive Angaben betreffend Kontrolldokumentation, beziehungsweise -nachweis) Der Debitorenbuchhalter prüft, ob der Antrag zur Gewährung oder Erhöhung der Kreditlimite durch den CFO genehmigt worden ist. Eine Mutation wird erst vorgenommen, wenn der Antrag korrekt visiert worden ist. Die Kontrolldokumentation umfasst folgende Elemente: Durch den CFO unterzeichneten Antrag zur Gewährung beziehungsweise Erhöhung der Kreditlimite. Ausdruck aus der Kundendatenbank mit der neuen Kreditlimite. Auf dem Ausdruck ist das Datum der Mutation sowie das Visum des Debitorenbuchhalters ersichtlich. Falls eine Mutation ohne Visum des CFO erfolgt ist, so ist eine entsprechende Erklärung abgelegt. Beschreibung der zu ergreifenden Hand lungen im Falle einer Abweichung/eines Fehlers Kontrollhäufigkeit Wenn der Antrag zur Gewährung, beziehungsweise Erhöhung der Kreditlimite nicht durch den CFO visiert worden ist, so muss die Begründung (zum Beispiel Abwesenheit) dokumentiert und abgelegt werden. Ereignisgesteuert Methodik zur Durchführung eines IKS Projektes 8

10 6 Beurteilung Existenz 6. Beurteilung der Existenz Fallbeispiel (Auszug): Da sich die Gesellschaft bei ihren Kontrollen im Verkaufsprozess stark auf die Funktionalitäten der IT-Applikationen abstützt, müssen die entsprechenden IT-Applikationen ebenfalls getestet werden. Nur ein Test sowohl des manuellen als auch des IT-Teils ermöglicht ein abschliessendes Urteil über die Effektivität der Kontrolle. Wie die Abbildung 4 zeigt, funktioniert der manuelle Teil der Kontrolle einwandfrei. Allerdings sind die Berechtigungen in der IT-Applikation nicht geregelt, so dass die Kontrolle durch Mitarbeiter der Verkaufsabteilung mittels entsprechender Mutation im System übersteuert werden kann. Bei der Beurteilung der Auswirkungen dieses Mangels gilt es zu berücksichtigen, ob eine solche Übersteuerung einer Kontrolle im Rahmen der internen Unternehmensabläufe nachträglich festgestellt würde und die betreffende Person mit entsprechenden Sanktionen zu rechnen hätte (siehe dazu auch die Ausführungen zur Ist-Analyse betreffend die Kontrollen auf Unternehmensebene). Mit der Dokumentation ist noch nicht sichergestellt, dass die Kontrollen richtig ausgestaltet sind und die Schlüsselkontrollen wirklich angewendet werden. Deshalb ist eine Beurteilung der Existenz des IKS, beziehungsweise einzelner Kontrollen, vorzunehmen. Dies kann auf verschiedene Arten erfolgen, zum Beispiel durch Selbstevaluationen (so genannte Control Self Assessments), durch das Management, durch Prüfungen der internen Revision oder durch Dritte. Dabei werden allfällige Schwachstellen identifiziert. Eine Beurteilung der Existenz durch Personen ausserhalb des jeweiligen Prozesses kann unter anderem durch Befragung der verantwortlichen, beziehungsweise ausführenden Personen, Einsichtnahme in Dokumente oder Walk-throughs erfolgen. In einem Walk-through wird ein Geschäftsvorfall von Anfang bis zum Ende einschliesslich der dazugehörenden Unterlagen nachvollzogen. Abhängig von den Erwartungen an das IKS kann die Beuteilung des IKS die Existenz betreffen oder auch die operative Wirksamkeit, das heisst, das zuverlässige Funktionieren über einen definierten Zeitraum. Zur Beurteilung der Existenz einzelner Kontrollen reicht eine erfolgreiche Stichprobe, zum Beispiel im Rahmen eines Walk-throughs. Um die operative Wirksamkeit einer Kontrolle über einen bestimmten Zeitraum beurteilen zu können, muss mittels statistischen Auswahlverfahrens eine gewisse Anzahl Transaktionen getestet werden. Abbildung 4: Beurteilung der Kontrollen auf Prozessebene Prozess Kontrollziel Risiko Jahresrechnung Position Konto Kontrollnummer Schlüsselkontrolle Testverfahren Zeitpunkt der Durchführung Testverantwortlicher Beurteilung Kontrollaufbau (Design gemäss Beschreibung): Ist die Kontrolle geeignet, das Risiko einer wesentlichen Fehlaussage einzudämmen bzw. das Kontrollziel zu erreichen? Beurteilung Implementierung: Wurde die Kontrolle umgesetzt? Beurteilung der Beschreibung operativen Wirksamkeit: Wird Schwachstelle die Kontrolle regelmässig, d.h. gemäss Vorgabe durchgeführt? Verkauf Grossistenvertrieb Ausfallrisiken auf Forderungen aus Lieferungen und Leistungen (L&L) werden minimiert. Es erfolgen Lieferungen an Kunden, welche die gekaufte Ware nicht bezahlen können. Forderung L&L Umsatz CO_2_B Ja Externer Dienstleistungsanbieter: Prüfung der Berechtigungen (gemäss separatem Prüfungsplan und Prüfungsbericht) XYZ AG Ja Nein n/a Schwachstelle in der Implementierung: Sämtliche Mitarbeiter des Verkaufs verfügen über die Berechtigung zur Änderung der Kunden- Kreditlimiten. Interne Revision: Einhalteprüfung über den manuellen Teil der Kontrolle (gemäss Prüfungsplanung der internen Revision) Max Müller Ja Ja (Der manuelle Teil der Kontrolle wird wie beschrieben durchgeführt). 9 Methodik zur Durchführung eines IKS Projektes

11 7 Behebung Schwachstellen 7. Behebung der Schwachstellen (Schritt 7) Fallbeispiel (Auszug): In der Abbildung 5 wird dargestellt, durch wen und bis wann die identifizierten Schwachstellen behoben werden sollen. Je nach Anzahl der identifizierten Schwachstellen müssen aufgrund der Bedeutung der Mängel entsprechende Prioritäten gesetzt werden. In diesem Beispiel sind die Berechtigungen in der IT-Applikation ein Mangel, der vermutlich die IT-Applikation für den gesamten Prozess sowie weitere Prozesse betrifft, die mit derselben IT-Applikation arbeiten. Für die identifizierten Schwachstellen ist der Handlungsbedarf festzulegen. Die Korrekturmassnahmen sind entsprechend zu implementieren und deren Umsetzung zu überwachen. Aufgrund des Termindruckes und der beschränkt verfügbaren Ressourcen lohnt es sich, bei der Abarbeitung der Mängel Prioritäten aufgrund derer Bedeutung für das IKS festzulegen. Die Erfahrung zeigt, dass vor allem Mängel im Bereich der IT eine hohe Priorität erfordern, da diese massive Auswirkungen auf das IKS haben können und deren Behebung grossen Aufwand erfordert. Der Massnahmenplan inklusive Überwachung kann beispielsweise in einer ähnlichen Struktur wie ein Management Letter der Revisionsstelle aufgebaut sein, in welchem Feststellungen, Auswirkungen und empfohlene Massnahmen tabellarisch dargestellt werden. Abbildung 5: Übersicht Schwachstellen Einheit (Gesellschaft) ABC Textilhandels AG Ebene Unternehmensebene Prozess (Name) IT- oder End-User Computing-Applikation (Angabe der Applikation) Kontrollnummer Beschreibung Schwachstelle Verkauf Grossistenvertrieb CO_2_B Sämtliche Mitarbeiter des Verkaufs verfügen über die Berechtigung zur Änderung der Kunden-Kreditlimiten. Klassierung Für Behebung verantwortlich Kontrollvorgabe/ -beschrei b ung Implementierung Kompensierende Kontrolle Schweregrad (unter Berücksichtigung der kompensierenden Kontrolle) Operative Wirksamkeit Kontrolldefizit Wesentliche Schwäche Massnahme zur Behebung X Keine X Einschränkung der Berechtigungen gemäss Kontrollbeschreibung. Termin Behebung Heidi Meier Methodik zur Durchführung eines IKS Projektes 10

12 8 Externe Revisionsstelle 8. Externe Revisionsstelle (Schritt 8) Das Management der Unternehmung stellt die relevanten Unterlagen bereit, welche die Revisionsstelle als Ausgangslage zur Beurteilung der Existenz des IKS heranzieht. Wir empfehlen eine frühzeitige Abstimmung mit der Revisionsstelle in den einzelnen Schritten des Vorgehens, um Erwartungslücken zu vermeiden. Fazit und Ausblick Die Erfahrung zeigt, dass es sicht lohnt, mit der Umsetzung des IKS-Projekts rechtzeitig zu beginnen, damit nicht nur die gesetzlichen Rahmenbedingungen erfüllt werden, sondern vor allem auch ein wirkungsvolles Führungs- und Steuerungsinstrument entwickelt und implementiert werden kann. Insofern kann diese Methodik auch dazu verwendet werden, um das IKS in Richtung eines umfassenden und integrierten Führungsinstruments weiterzuentwickeln. Daneben hat die umschriebene generische Projektmethode den Vorteil, dass Unternehmen, welche die Methode anwenden, über ein gemeinsames Verständnis und Vokabular im Zusammenhang mit internen Kontrollsystemen verfügen. Dies erleichtert es ihnen, sich während und nach der Durchführung ihres IKS-Projekts mit anderen Unternehmen auszutauschen und so «Better Practices» im Betrieb und in der Weiterentwicklung ihres IKS für sich zu nutzen. KPMG bietet Unterstützung bei der Einführung und Weiterentwicklung eines effektiven und effizienten internen Kontrollsystems. Mögliche Dienstleistungen sind: Durchführung von Workshops zur Sensibilisierung der Thematik «internes Kontrollsystem» Erstellung eines Konzeptpapiers (Projekt-Planung; Auswahlverfahren von Einheiten, Konten und/oder Prozessen; Aufwandschätzung; etc.) Beurteilung des aktuellen Standes des internen Kontrollsystems Erhebung und Dokumentation eines Pilot-Prozesses oder einer Pilot-Einheit Begleitung des gesamten Projekts 11 Methodik zur Durchführung eines IKS Projektes

13 Executive Summary In der nachfolgenden Übersicht sind wesentliche Tätigkeiten und Erfolgsfaktoren der einzelnen Projektphasen tabellarisch zusammengestellt. Wir gehen dabei jeweils auf die drei Dimensionen Unternehmensebene, Prozessebene und generelle IT-Kontrollen ein. Schritt Unternehmensebene Prozessebene Generelle IT-Kontrollen 1. Ist-Analyse 2. Bestimmung der Methodik Diese Kontrollen setzen den Rahmen für Kontrollen auf Prozessebene und generelle IT-Kontrollen Mögliche Kontrollelemente sind: Kompetenz regelungen, Kontrollgremien, Weisungswesen, etc. Überblick über die be stehenden Prozesse und deren Standar disierungsoder Formalisierungs grad Oft bestehen bei Pro zessen mit grossen Trans aktionsvolumen bereits für gewisse Bereiche ent sprechende Kontrollen Übersicht über die IT-Landschaft und IT-Organisation gewinnen Verständnis über die IT-Management verfahren gewinnen Ausmass der Verwendung relevanter EUC-Applikationen identifizieren Ausgehend von den gewonnenen Erkenntnissen aus der Ist-Analyse und dem definierten Soll-Zustand des IKS muss ein Konzeptpapier erarbeitet werden. Dieses Dokument gibt die Vorgabe für den weiteren Verlauf des Projektes vor. Wichtig ist, dass in dieser Konzipierungsphase alle drei Elemente gleichermassen berücksichtigt und aufeinander abgestimmt werden. Das Konzeptpapier sollte als «lebendes» Dokument im Verlaufe des Projektes kontinuierlich angepasst werden, so dass es am Schluss als Projekthandbuch eingesetzt werden kann. 3. Auswahlverfahren Bei Konzernen: Identifi ka tion von Kontrollen aus gehend von der Holding- bzw. Muttergesellschaft; Kontrollen, welche auf Konzernebene bestehen, müssen nicht mehr bei den Toch tergesellschaften erfasst werden, ausser sie sind für das lokale Reporting von Relevanz. Bei Einzelgesellschaften: Falls ein Testat bezogen auf den Einzelabschluss erfor derlich ist, kann keine «De legation» der Verantwor tung für einen Teil der Kon trollen an eine andere (eventuell hierarchisch höhere) Ge sellschaft erfolgen. Wäh rend die Einzelgesellschaft verantwortlich dafür ist, dass die Kontrolle ange messen umgesetzt wird, ist es möglich, die Durchfüh rung der Kontrollaktivität an eine andere operative Einheit zu delegieren. Bei spiel interne Revision: So kann die interne Revision eines Konzern einzelne Kontrollaktivitäten über neh men und so in das IKS der Tochtergesellschaft ein gebunden sein. Verantwort lich für die Kontrolle bleibt aber in jedem Fall die Einzel gesellschaft. Konzern- bzw. Einzel abschluss dient als Aus gangslage Vorgehen top-down = Kontrollen auf Kon zern- bzw. Unterneh mens ebene werden be rücksichtigt und risikoorientiert = der Fokus wird auf Prozesse gelegt, welche Positionen mit dem Risiko einer wesent lichen Fehlaussage in Bezug auf Buchführung und Rechnungslegung betreffen Top-down-Aufnahme der für die Buch füh rung und Rechnungs legung relevanten IT- und EUC-Applikationen basierend auf den relevanten Prozessen Identifikation von Einheiten und Prozessen für Pilotprojekte: Nicht zu komplex und für möglichst viele Prozessverantwortliche von Nutzen. 4. Risiko / Kontrollmatrix Verfeinerung der Ausfüh rungen aus der Ist-Analyse; Referenzierung auf bestehende Dokumente und Beschreibung von Verhalten und Taten der Vorgesetzten und Mitarbeiter Prozessdokumentation und Identifikation der relevanten Risiken und Kontrollen Aufteilen der Kontroll beschreibung in einen automatisierten und einen manuellen Teil Bottom-up-Validierung der relevanten IT- und EUC- Applikationen basie rend auf den identifizierten automa tisierten Applika tions kontrollen auf Prozessebene Identifikation der relevanten Risiken und Kontrollen 5. Kontroll beschreibung In der Regel bereits in Schritt 4 genügend detailliert dokumentiert Ausführung für den manuellen Teil der Kontrollen Falls IT-Manage ment verfahren genügend detailliert sind, kann auf Kon troll beschrei bungen verzichtet werden 6. Beurteilung der Existenz Die Beurteilung der Existenz kann durch verschiedene Personen bzw. Stellen erfolgen wie: Prozess- und/oder Kontrollverantwortliche selbst Management Interne Revision Dritte, bzw. eine Revisionsgesellschaft Abhängig davon gibt es verschiedene Erhebungsmethoden wie: Selbstbeurteilung Befragung Beurteilung mittels nochmaliger Durchführung der Kontrolle anhand der Kontroll dokumentation Beurteilung mittels Nachverfolgung einer Transaktion von der Initiierung bis zum Ausweis in der Jahresrechnung (sog. Walk-through) Ziehen von Stichproben Überwachende Kontrollen 7. Behebung der Schwachstellen Berechtigungskonzept Rechnungslegungs-Know-how Mangelndes Bewusstsein für Risiken und Fehler in der Buchführung und Rechnungslegung Mangelndes Verständnis für die Differenz zwischen Aktivitäten und Kontrollen Oft zeitaufwendig, da bisher verschobene Projekte realisiert werden müssen («Unterlassungs sünden») Umsetzung Berech tigungs konzept Methodik zur Durchführung eines IKS Projektes 12

14 Hauptsitz 8026 Zürich Badenerstrasse 172 Postfach Telefon Telefax Deutschschweiz 5001 Aarau Mühlemattstrasse 58 Postfach 2701 Telefon Telefax Basel Steinengraben 5 Postfach Telefon Telefax Bern 15 Hofgut, Postfach Telefon Telefax Root/Luzern D4 Platz 5 Telefon Telefax St. Gallen Bogenstrasse 7 Postfach 1142 Telefon Telefax Suisse romande 1211 Genève 12 Chemin De-Normandie 14 Case postale 449 Téléphone Téléfax Lausanne Avenue de Rumine 37 Case postale 6663 Téléphone Téléfax Neuchâtel Rue du Seyon 1 Case postale 2572 Téléphone Téléfax Fribourg Rue des Pilettes 1 Case postale 887 Téléphone Téléfax Delémont Rue de la Maltière 10 Case postale 575 Téléphone Téléfax Ticino 6900 Lugano Via Balestra 33 Telefono Telefax Liechtenstein LI-9494 Schaan Landstrasse 99 Postfach 342 Telefon Telefax Zug Landis + Gyr-Strasse 1 Postfach 4427 Telefon Telefax Methodik zur Durchführung eines IKS Projektes

15 Impressum KPMG AG Badenerstrasse Zürich Bestell-Nr Telefon Telefax «Methodik zur Durchführung eines IKS Projektes» erscheint auf Deutsch, Englisch und Französisch. Konzeption: KPMG, Audit, Internal Audit Services, Marketing & Sales Design: Neue Druck AG, Busslingen Druck: Neue Druck AG, Busslingen Die hierin enthaltenen Informationen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern, besteht keine Gewähr dafür, dass diese die Situation zum Zeitpunkt der Herausgabe oder eine zukünftige Sachlage widerspiegeln. Die genannten Informationen sollten nicht ohne eingehende Untersuchung und eine professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen KPMG Holding, a Swiss corporation and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Printed in Switzerland.

16 kpmg.ch