Internes Kontrollsystem bei thyssenkrupp

Transkript

1 Internes Kontrollsystem bei thyssenkrupp Fachliche Methodik, Umsetzung mit SAP GRC Process Control, Erfahrungsbericht Fabian Zimmermann thyssenkrupp

2 Agenda thyssenkrupp Fachliche Methodik Umsetzung mit SAP GRC Process Control Erfahrungsbericht April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

3 Im Einsatz für unsere Kunden Herausforderungen gemeinsam meistern Branchenbeispiele Energie Energie Luft- und Raumfahrt Chemie Minerals & Mining Minerals & Mining Automobil Bau April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann Bau

4 Diversifizierter Industriekonzern: Unsere Business Areas Kennzahlen Geschäftsjahr 2014/2015 Components Technology Elevator Technology Industrial Solutions Materials Services Steel Americas Steel Europe Umsatz (Mio ) EBIT (Mio ) Mitarbeiter Vor Konsolidierung 2. Vor Konsolidierung/Corporate 3. Vor Corporate April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

5 Ingenieurkunst für nachhaltigen Fortschritt bei unseren Kunden Produkt- und Service-Beispiele in unseren Anwendungsfeldern Mechanical Energie Bau Automobil Minerals & Mining Großwälzlager und Ringe für Windturbinen Erreichung einer bis zu 66% höheren Energieeffizienz bei Aufzügen Durch Ventilsteuerung 4,1t weniger CO 2 pro Fahrzeug über die Lebensdauer Vollmobile Brechanlagen ermöglichen Reduzierung von bis zu t CO 2 pro Jahr Plant Bau Automobil Chemie Chemie Bis zu 40% weniger CO 2 -Emissionen in Zementanlagen Entwicklung von Produktionsanlagen für Lithium-Ionen- Batteriezellen EnviNOx : Reduktion von N 2 O/NO x um bis zu 99% in Düngemittelanlagen Prozesstechnologie für Polylactide: Neue Kunststoffe auf Basis von Biomasse Materials Automobil Energie Bau Verpackung Hochfester Stahl mit bis zu 30% Gewichtsreduktion Nicht kornorientiertes Elektroband reduziert Übertragungsverluste der Energie Optimierung Korrosionsschutz durch Zink-Magnesium- Oberfläche Durch ultra-dünnen Verpackungsstahl 23% bessere Ressourceneffizienz April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

6 Agenda thyssenkrupp Fachliche Methodik Umsetzung mit SAP GRC Process Control Erfahrungsbericht April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

7 Internes Kontrollsystem bei thyssenkrupp Definition und thematische Einordnung Das Interne Kontrollsystem (IKS) bei thyssenkrupp wird definiert als die Gesamtheit aller systematisch gestalteten Kontrollen und Überwachungsmaßnahmen im Unternehmen, die die Zuverlässigkeit betrieblicher Informationen, die Einhaltung von internen und externen Regeln sowie die Funktionsfähigkeit und Wirtschaftlichkeit von Geschäftsprozessen herbeiführen. Zuverlässigkeit betrieblicher Informationen Alle Geschäftsvorfälle werden vollständig und richtig erfasst und akkurat verbucht. Entscheidungen fußen auf richtigen und zuverlässigen Kennzahlen und Berichten. Einhaltung von internen und externen Regeln Interne und externe Vorgaben werden bei der Durchführung von Geschäftsprozessen berücksichtigt und eingehalten. Mitarbeiter werden nicht in die Lage versetzt, Fehldarstellungen oder dolose Handlungen herbeizuführen oder zu verschleiern. Funktionsfähigkeit und Wirtschaftlichkeit Vorgänge werden zeitnah und rechtzeitig bearbeitet. Finanzielle und wirtschaftliche Risiken werden antizipiert und angemessen adressiert. Mehrfacharbeit wird vermieden April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

8 Durchschnittlicher IKS Reifegrad bei thyssenkrupp Internes Kontrollsystem bei thyssenkrupp Ziel-Reifegrad Optimiert Level 5 - Ein integriertes Internes-Kontroll-Rahmenwerk mit Echtzeitüberwachung und fortlaufender Weiterentwicklung - Automatisierungen werden weitreichend zur Unterstützung von Kontrollhandlungen eingesetzt und erlauben schnelle Anpassung bei Bedarf Ziel Stabilisiert Level 4 - Kontrollumfeld mit wirksamen Kontrollen - Maßnahmen zur Abdeckung wesentlicher Risiken sind umgesetzt - Mittleres Niveau von Automatisierungen zur Unterstützung der Kontrollaktivitäten Etabliert Level 3 Informell Level 2 - Kontrollhandlungen sind dokumentiert und den Mitarbeitern kommuniziert - Management Testing von Kontrollen ist eingerichtet - Verbesserungsbedarf zur Steigerung der Kontrollwirksamkeit erkannt - Maßnahmen zur Sicherstellung der Wirksamkeit von Kontrollen für wesentliche Risiken sind eingeleitet - Kontrollaktivitäten eingerichtet, aber konzernweit nicht hinreichend transparent - Keine integrierte Überwachung der Wirksamkeit von Kontrollen - Keine dedizierten Schulungen zu bzw. Kommunikation von Kontrollhandlungen - Bewertung der Wirksamkeit des IKS nur mit hohem Zusatzaufwand möglich Unzureichend Level 1 - Unvorhersehbares Kontrollumfeld, Kontrollen sind nicht definiert oder eingerichtet Zielposition Stabilisiert Level 4 vom Prüfungsausschuss bestätigt April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

9 Internes Kontrollsystem bei thyssenkrupp Konzernweiter Ansatz Abhängig von quantitativen Kriterien (wie Umsatzerlösen und Bilanzsumme) sowie qualitativen Risikofaktoren kommt entweder ein detailliertes (RCM) oder vereinfachtes (SAQ) Beurteilungsverfahren zum Einsatz. Self Assessment Questionnaire (SAQ) Basisabfragen relevant für alle TK Unternehmen Standardisierter Fragebogen mit 124 offenen Fragen Jährliche Abfrage des Designs und der Funktionsfähigkeit des IKS Sicherstellung der Vollständigkeit durch Abdeckung sämtlicher IKS- Zielkategorien und Elemente (basierend auf dem COSO 1 -Rahmenwerk) Risk Control Matrix (RCM) Im Zielzustand relevant für ~40 wesentliche Unternehmen Implementierung der RCM in 3 Phasen (16 Gesellschaften in 2014/15, in 2015/16, Rest in 2016/17) Ergänzend zum SAQ vertiefende Dokumentation von Kontrollaktivitäten in relevanten Prozessen Jährliche Beurteilung der Ausgestaltung und der Wirksamkeit der Kontrollsysteme RCM-Templates je Geschäftsmodell bis auf Sub-Prozess-Ebene Weiterentwicklung des Kontrollrahmenwerks in Abstimmung mit einem Konzernprogramm zur Harmonisierung von Prozessen und Systemen *Committee of Sponsoring Organizations of the Treadway Commission (COSO) April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

10 Internes Kontrollsystem bei thyssenkrupp Aufbau der RCM Zentraler Prozess- und Risikokatalog Lokale Kontrollausgestaltung Process and Risk Control Details Process Sub-process Risk Control Title Control Description Control Owner Frequency Automated/ Manual Preventive/ Detective IT-Reference Procurement Vendor Master Data Unauth. changes to vendor master data Access to vendor master data is restricted [Who, what, how, when, evidence, exceptions] AP team lead [Yearly, quarterly, weekly, event driven ] [Automated, manual, ITdependent] [Preventive, Detective] E.g. SAP P65 Der RCM-Ansatz stellt eine Bibliothek an Sub-Prozessen und Risiken zur Verfügung Vorlagekontrollen dienen der Orientierung bei der Kontrolldokumentation Die lokalen Kontrollen werden im Ist dokumentiert und verweisen, sofern möglich, auf die zentralen Risiken Die Risikobibliothek wird jährlich (nach Geschäftsmodell) aktualisiert April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

11 Internes Kontrollsystem bei thyssenkrupp Beurteilung der Ausgestaltung und der Wirksamkeit interner Kontrollsysteme 1 Subprozess-Design-Analyse 2 Test der Kontrolldurchführung Der Subprozess wird wie dokumentiert durchgeführt. Die dem Subprozess inhärenten Risiken sind abgebildet. Die dokumentierten Kontrollen adressieren die Risiken. Die geforderten Nachweise ermöglichen Kontrolltests. Der Subprozess ist angemessen ausgestaltet. Benannte Ausnahmen. Der Subprozess ist, abgesehen von den benannten Ausnahmen, angemessen ausgestaltet. A B C Überprüfung der Kontrolldurchführung in Stichproben. Negativtest für einfache automatische Kontrollen. Review der Parametrisierung automatischer Kontrollen. Kontrolldurchführung nachweisbar. Kontrolldurchführung nachweisbar, aber abweichend von Vorgaben der Kontrollbeschreibung. Kontrolldurchführung nicht nachweisbar. Die Kombination aus einer angemessenen Ausgestaltung des internen Kontrollsystems und der nachgewiesenen Durchführung der Kontrollhandlungen ergibt ein effektives internes Kontrollsystem im Sinne der Konzerninitiative April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

12 Konzern Organisation Internes Kontrollsystem bei thyssenkrupp Gesamtprozess Dokumentation des internen Kontrollsystems Review und Aktualisierung der Sub- Prozesse Nachbehandlung von Entwurfsschwächen Durchführung der Kontrolltests Nachbehandlung von Durchführungsschwächen Abgabe In-Control-Statement Versand der Subprozess-Design- Analysen Versand der Kontrolltests Weiterentwicklung der Risikolandschaft jährlich wiederholt April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

13 Agenda thyssenkrupp Fachliche Methodik Umsetzung mit SAP GRC Process Control Erfahrungsbericht April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

14 SAP GRC Process Control Implementation Gründe für Wahl von SAP GRC Integration mit bestehender Systemlandschaft SAP GRC wurde vereinzelt bereits für Access Control und Continuous Control Monitoring verwendet. Eine Integration der Themen Access Control, Process Control (manuell) und Continuous Control Monitoring ist angedacht. Einheitliche Stammdatenpflege (Organisationsstruktur, Rollen) Eignung von SAP GRC für das Prozesskontrollmanagement Alle wesentlichen Anforderungen konnten mithilfe der Parametrisierung von Process Control umgesetzt werden. Das Zeitscheibenkonzept erlaubt eine Fortschreibung der IKS-Dokumentation. Das dezentrale Rollenkonzept erlaubt eine dezentrale Administration des Prozesses. Möglichkeiten zur Automatisierung von Testaktivitäten bestehen April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

15 In SAP GRC Process Control genutzte Funktionen Organisationsstruktur über mehrere hundert Gesellschaften inkl. Rollen/Zuständigkeiten (Corporate ICS Managers, Business Area ICS Managers, Local ICS Managers, Process Owners, Subprocess Testers, Control Testers) Abbildung der Internen Kontrollsysteme der RCM-Legaleinheiten in einer zentral vorgegebenen Prozess- & Risikostruktur; Zuweisung der SAQ-Themen zu den SAQ-Legaleinheiten Workflows: Disclosure Survey Workflow mit Adobe Interactive Forms zur Umsetzung des Self-Assessment Questionnaires (SAQs) Control Assessment Workflow zur Umsetzung der Kontrolltests (Test der Durchführung; in 2015 auch Test des Entwurfs) Subprocess Design Assessment Workflow zur Beurteilung des Entwurfs des Internen Kontrollsystems (seit 2016) Issue and Remediation Management Workflows zur Dokumentation und Behebung von Schwachstellen im Internen Kontrollsystem Berichtswesen Automatische Kontrolltests (in 13 Legaleinheiten mit je ca. 40 automatisierten Kontrollen) April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

16 SAP GRC Process Control Implementation - Timeline Legende: Blueprint & Konfiguration Vorbereitung Prod. System Go-Live Production & Hypercare Phase Blueprint & Konfiguration Stammdaten: Organisationsstruktur, Prozesse & Kontrollen Aufbau der Organisationsstruktur SAQ-Versand an mehrere hundert Legaleinheiten Blueprint & Konfig. SAQ Workflow Aufbau der SAQs SAQ Beurteilung Blueprint & Konfig. Sign-off Workflow Aufbau Sign-off Org. Versand des Sign-offs für SAQs Sign-off Phase for SAQs Versand der Kontrolltests an 15 Legaleinheiten Blueprint & Konfig. Kontrolltest- Workflow Aufbau der RCM Orgs. Kontrolltests (ToD/ ToE) Feb Mar Apr May Jun Jul Aug Sep April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

17 Agenda thyssenkrupp Fachliche Methodik Umsetzung mit SAP GRC Process Control Erfahrungsbericht April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

18 SAP GRC Process Control Implementation Herausforderungen Disclosure Survey Workflow Es bestehen Performance-Einbußen aufgrund des großen Datenvolumens beim SAQ. Zur Echtzeitanalyse der GRC-Daten ist ein BI- System angedacht. Die Überwachung des SAQ-Prozesses muss proaktiv per Report erfolgen. Systembenachrichtigungen bei Problemen und/oder Überwachungsmonitore wären wünschenswert. Control Assessment Workflow Die Berichterstattung erstreckt sich über diverse Reports. Für eine einheitliche Sicht ist eine BI-Lösung angedacht. Mehr Flexibilität bei der Gestaltung von Kontrolltests wäre wünschenswert (Eingabevalidierung, Abhängigkeiten, Gestaltung des Gesamtergebnisses). Die Nutzung der Mehrsprachenfunktionalität erhöht die Komplexität bei der Datenpflege April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

19 SAP GRC Process Control Implementation Erfahrungsbericht Alle wesentlichen Anforderungen konnten mithilfe der Parametrisierung von Process Control umgesetzt werden. Programmierarbeiten waren nicht erforderlich. Die Vorgabe zentraler Prozesse ermöglicht sehr gut die Abbildung einer harmonisierten Prozesslandschaft. Dies deckt sich mit der Zielsetzung des Konzernprogramms daproh zur Daten und Prozessharmonisierung, stellt aber Herausforderungen an die Abbildung einer heterogenen oder sich verändernden Prozesslandschaft. Process Control eignet sich hervorragend zur Koordinierung diverser Prüfungstätigkeiten. Interne wie externe Prüfer bauen auf den zentral dokumentierten Kontrollen auf und erfassen Schwachstellen mit Bezug auf diese. Kontrollsysteme lassen sich somit strukturiert weiterentwickeln. Die Zusammenarbeit zwischen Protiviti, pwc und thyssenkrupp war ergebnisorientiert, kooperativ und pragmatisch. Dies erlaubte die fachliche Konzeption und technische Umsetzung von SAQ und RCM unter hohem Zeitdruck. Die Business Areas und Gesellschaften leisteten hervorragende Arbeit bei der Dokumentation und Überprüfung ihrer internen Kontrollsysteme. Sie koordinierten das SAQ-Verfahren in mehreren hundert Gesellschaften weltweit und das RCM-Verfahren in 15 Gesellschaften weltweit. Der Prüfungsausschuss begrüßte sowohl das Konzept als auch dessen Umsetzung und Ergebnisse im ersten Jahr April 2016 Internes Kontrollsystem bei thyssenkrupp Fabian Zimmermann

20 Vielen Dank für Ihre Aufmerksamkeit.