SOX-light bei der SBB AG

Transkript

1 SOX-light bei der SBB AG Ziele, Praxiserfahrungen und Tools Emanuel Ritzmann Projektleiter SOX-light IT-Tool Seite 1 Agenda 1. Ausgangslage Seite 2 1

2 1. Ausgangslage Seite 3 Ausgangslage Intro Black-out SBB Ë Internal Controls? Seite 4 2

3 Ausgangslage SOX-light freiwillig? Auftrag Ë Im Jahr 2003 Abklärung des Einflusses von SOX auf die SBB kein direkter Einfluss Ë Bisher kein transparentes, konsolidierbares IKS Ë Im Projekt SOX-light werden die Artikel 302 / 404 umgesetzt Einflussfaktoren/Rahmenbedingungen Ë Audit Committee verlangt eine Gesamtbeurteilung des IKS der SBB durch die Interne Revision. Ausserdem müssen IKS und Corporate Governance im Risk-Assessment periodisch beurteilt werden. Grundlage? Ë Best Practices, Gesetze (OR 728a) Seite 5 Ausgangslage Grundsätze SOX-light SBB Ë Added Value Gedanke steht im Mittelpunkt Ë Nutzen bestimmt Umfang, Tiefe, Kosten Ë Light bedeutet eine pragmatische Vorgehensweise Ë Keine Dokumentationsflut Ë Transparenz vor Kontrolle um jeden Preis Ë Risk based Ë Kein Testat der externen Revisionsstelle Seite 6 3

4 Ausgangslage Ziel/Nutzen Projektziel Erstellen, Dokumentieren und Testen eines transparenten IKS-Gesamtsystems für die wesentlichen Prozesse mit Bezug auf die Rechnungslegung bei der SBB. Nutzen Wesentlicher Nutzen des Projektes ist die Stärkung der Führungskontrolle bei der SBB. Vorwegnahme gesetzlicher Entwicklungen in der Schweiz (Botschaft zum OR: Art. 728a..Die Revisionsstelle prüft gemäss Ziffer 4, ob ein (funktionierendes) internes Kontrollsystem (sog. IKS) existiert.. ) Seite 7 1. Ausgangslage Seite 8 4

5 Umsetzung Geschäftsbericht im Mittelpunkt Seite 9 Umsetzung SOX-light Prozess - Risiken - Regulator - Standards - Trends - Eigner 1. Scoping 2. Dokumentation 2.1 Prozesse 2.2 Risiken 2.3 Key Controls 3. Test Self- Assessment Revisionsplan (extern/intern) Massnahnen- Controlling Seite 10 5

6 Umsetzung Prozesslandschaft SBB Seite 11 Umsetzung Majorprozesse Finanzen Ë Vom Groben ins Detail Ë Vom Konzern zu den Divisionen Ë Pro Majorprozess ein Beispiel als Vorlage S.4.1 Finanzbuchhaltung / Accounting S.4.2 Betriebsbuchhaltung / Controlling S.4.3 Treasurymanagement S.4.4 Beteiligungscontrolling S.4.5 Steuern S.4.6 Risikofinanzierung & Versicherung S.4.7 Periodenabschluss Seite 12 6

7 Umsetzung Realisierungseinheiten RE1 Finanzprozesse Alle Finanzprozesse gemäss Prozessübersicht SBB. FIBU BEBU Steuern Treasury Beteiligungsmanagement Versicherungen Periodenabschluss 2004 bis 2005 RE2 Alle Prozesse (Finanzrelevanz) Alle Geschäftsprozesse, die Werteflüsse in den Finanzprozess liefern sowie der finanzielle Planungs- und Steuerungsprozess. Zum Beispiel: Geschäftsprozesse/Erträge Personalsystem Projektmanagementsystem Finanzielle Planung und Steuerung (z.b. Budget) IT 2006 bis 2007 RE3 Alle Prozesse Alle Geschäftsprozesse ohne direkten Bezug zu den Finanzen. Zum Beispiel: Neue Technologien Bahnbetrieb Umsetzung noch nicht geplant Seite 13 Umsetzung IT-Prozess RE 1 (bisher) Ë General IT Controls: Nicht integriert in SOX-light. Punktuell durch interne Revisionen nach COBIT abgedeckt. Ë Application Controls: Für Applikationen im Finanzprozess wurden Key Controls aufgenommen. Prozessübersicht und Key Controls "Sox-Light" Version 1.00 Prozess (Ist) Major- Nr. PE1 PE2 PE3 Eigner Ausführung, prozess Mitarbeit Periodizität Normen, Vorgaben PE = Prozessebene S.4.1 Accunting/FIBU 9 IT-Systeme 90 Customizing/Parametrisierung, Changemgt. fallweise SAP-Handbuch, COBIT 91 Berechtigungen fallweise SAP-Handbuch, COBIT 92 Stammdaten fallweise SAP-Handbuch, COBIT 93 Systemausfall/Netzausfall laufend SAP-Handbuch, COBIT RE 2 (geplant) Ë Integration und Ausbau der General IT-Controls ins Projekt SOX-light Ë Ausbau der Application Controls (Weitere IT-Systeme, Schnittstellen) Seite 14 7

8 Umsetzung Key Controls SAP-FI Ziel Ë Welche vorgegebenen SAP-Reports müssen im SAP-FI periodisch durchgeführt werden ( must Key Controls) Definition Soll Ë 6 Key Controls im Bereich der Datenintegrität / Schnittstellen Ist-Situation (Durchführung Key Controls im SAP-FI zum Prüfungszeitpunkt) Kontrolle 1 Kontrolle 2 Kontrolle 3 Kontrolle 4 Kontrolle 5 Kontrolle 6 Bereich A Bereich B Bereich C Bereich D Bereich E Durchführung gemäss Vorgaben Teilweise/Sporadische Durchführung Keine Durchführung Seite Ausgangslage Seite 16 8

9 IT-Tool Ausgangslage Ë Bisher Excel für die Dokumentation Ë Für grosse Datenmengen ist Excel ungeeignet Ë Kein dezentraler Zugriff auf die Dateien Ë Fortschrittskontrolle / Reporting mühsam Ë Mit dem Entscheid zur Ausweitung auf RE2 wurde die Ablösung von Excel durch ein Standardtool beschlossen. Seite 17 IT-Tool Anbieterauswahl Bsp. Vorteile ERP-Systeme SAP, Oracle, People Soft, etc. Ë Integration IT-Plattform Ë Tiefe/keine Lizenzkosten Ë Hohe Marktpräsenz ECM-Systeme (content management) IBM, etc. Ë Erfahrung mit Dokumentablage und Workflowsystemen Spezial-Tools Axentis, Certus, HandySoft, OpenPages, Paisley, etc. Ë Hohe IKS-Kenntnisse Ë Mittlerer Reifegrad Nachteile Ë Später Markteintritt Ë Tiefer Reifegrad Ë Wenig IKS Know-how Ë COSO wird nur teilweise unterstützt Ë Fehlende Integration Ë Lizenzkosten Ë Langfristiger Bestand? Ë Marktdominanz in USA Quelle: Forrester: Sarbanes-Oxley Compliance Software, Q1 2005; Seite 18 9

10 IT-Tool Vorteile IT-Tool Vorteile beim Einsatz eines geeigneten IT-Tools Ë Alle Informationen in einem IT-Tool (Risiken, Kontrollen, Testresultate) Ë Effiziente jährliche Aktualisierung durch Workflow-Modul Ë Dezentraler Zugriff auf aktuelle Version (Rollenkonzept) Ë Umfassende Reporting-Funktionen für Management Ë Dokumentenverwaltung Ë Einfache Nachvollziehbarkeit von Änderungen Ë Anreiz für eine hohe Standardisierung Seite Ausgangslage Seite 20 10

11 Praxiserfahrungen lessons learned Ë Sponsoring durch CFO und Audit Committee wichtig Ë Frühzeitig Ressourcen bei den beteiligten Linienorganisationen reservieren Ë Enge Begleitung der Linie durch Methoden-Owner, damit ein konsolidierbares IKS entsteht. Coaching der Linie ist die beste Schulung Ë Workshops haben sich bewährt Ë Inhaltliche Verantwortung liegt bei Linie Ë Messbarkeit der Key Controls klar definieren Test Ë Genug Zeit für die Tests einplanen Ë Formeller Testbericht erstellen Management Attention Seite 21 Praxiserfahrungen Nutzen Ë Sensibilisierung des Managements und der Sachbearbeiter auf das IKS Ë Risiken werden bewusster wahrgenommen Ë Input Corporate Risk-Management Ë Übersicht über Prozesse und Prozessschritte Ë Transparent dokumentiertes IKS für den gesamten Konzern Ë Know-how Transfer und Benchmarking zwischen den Divisionen Seite 22 11

12 1. Ausgangslage Seite 23 Ausblick Integration SOX-light und Revision Ë SOX-light zeigt die Risikolandschaft auf Ë Gezielte Revisionen in Bereichen mit fehlenden oder schwachen Kontrollen Ë Rasches Einarbeiten in Revisionen dank aufgenommenen Prozessen Ë SOX-light Methodik wird für Prozessrevisionen angewandt Ë Externe Revision stützt sich auf SOX-light Key Controls ab Ë Testing durch Interne Revision, wo sinnvoll durch Externe Revision Ë Trend zur Standardisierung in der Internen Revision Seite 24 12

13 Ausblick Ë Jährliche Aktualisierung Ë Kontinuierlicher Verbesserungsprozess Ë Tests der Internen Revision teilweise durch Self- Assessments ersetzen Ë Projektbegleitungen ex ante (angemessenes IKS bereits bei Implementierung) Ë OR728a abgedeckt Seite Ausgangslage Seite 26 13