Optimierung Vorstellung Q_PERIOR und Prüfung des Internen Kontrollsystems (IKS) Die Q_PERIOR AG und ihre Leistungen 16.10.2012 Q_PERIOR AG
Agenda 1. Einführung 2. Optimierung IKS 3. Prüfung des IKS Q_PERIOR AG Seite 2
Einführung Vorstellung Q_PERIOR 16.10.2012 Q_PERIOR AG
Einführung Definition des IKS nach DIIR Das Interne Kontrollsystem (IKS) umfasst den Organisationsplan, die Einrichtungen und Geräte sowie die Gesamtheit aller aufeinander abgestimmten innerbetrieblichen Grundsätze, Verfahren und Maßnahmen, die im Unternehmen angewendet werden, um die Einhaltung der maßgeblichen rechtlichen Vorschriften und der vorgeschriebenen Geschäftspolitik zu unterstützen, die Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung zu gewährleisten, den Wirkungsgrad der betrieblichen Prozesse zu sichern und zu erhöhen, das Vermögen und die Informationen zu schützen. Q_PERIOR AG Seite 4
Einführung Fokus des Projektvorgehens Mit der Optimierung des bestehenden Internen Kontrollsystems (IKS) soll sichergestellt werden, dass durch eigene Mitarbeiter oder Dritte keine Schäden verursacht werden können. Umsetzung mittels organisatorischer Maßnahmen und Kontrollen in den jeweiligen Funktionsbereichen der Unternehmung Vorgehen in zwei Schritten: 1. Definition des Zielbilds (Sollzustand): Optimierung des IKS 2. Folgende, regelmäßige Prüfung des Zielbilds durch Interne Revision (Soll-Ist-Vergleich): Prüfung der Anwendung des IKS Q_PERIOR AG Seite 5
Optimierung Vorstellung Q_PERIOR des IKS 16.10.2012 Q_PERIOR AG
Optimierung des IKS Prinzipien: Interne Überwachung - Vorgehensmodell analog COSO 1 Information und Kommunikation Überwachung Risikobeurteilung Kontrollaktivitäten Kontrollumfeld Ausgehend von dem Kontrollumfeld der Unternehmung werden im Rahmen einer Risikobeurteilung die notwendigen Kontrollaktivitäten definiert und allen relevanten Mitarbeitern kommuniziert. Diese bildet die Basis der Überwachung. 1) Committee of Sponsoring Organizations of the Treadway Commission Q_PERIOR AG Seite 7
Optimierung des IKS Umsetzung der Prinzipien: Vorgehensmodell in drei Schritten Kontrollumfeld Abbilden der internen und externen Schnittstellen und Prozesse des Unternehmens Leistungssicht: Hilfsstoffe/Rohstoffe/Waren und Zahlungsströme Ergebnis: Schnittstellen- und Prozesslandkarte als Kontrollumfeld Risikoanalyse Bestandsaufnahme, Identifizierung, Kategorisierung und Bewertung der Risikopotenziale aller Geschäftsprozesse Ergebnis: Regelungs- und überwachungsnotwendige Geschäftsprozesse Kontrollaktivitäten Definition und Ausgestaltung des Regelungsbedürfnisses nach Art, Form und Umfang Ergebnisse: z. B. Dienstanweisungen und Vier-Augen-Prinzip, gestaffelt nach Summe der zugehörigen Zahlungsströme Q_PERIOR AG Seite 8
Kontrollumfeld: Schnittstellen- und Prozess-Analyse Strukturelles Abbild der Unternehmung: Ansatz der Risikoanalyse Größe Organisation Unternehmung Anzahl der MA, Niederlassungen & Tochtergesellschaften etc. Bereiche/Abteilungen und deren Verantwortliche Im Zuge der Analyse des Kontrollumfelds werden die relevanten Risikotreiber für die folgende Risikobeurteilung herausgearbeitet. Geschäftsstruktur Kundenstruktur EDV- Umgebung Angebotene Produkte/ Dienstleistungen Privatkunden, Firmenkunden, öffentliche Hand,. Anzahl der Systeme, Zweck etc. Q_PERIOR AG Seite 9
Risikoanalyse Vorgehensweise Basis bilden die Ergebnisse der Kontrollumfeld-Analyse Identifizierung, Kategorisierung und Bewertung aller risikorelevanten (Finanz-) Geschäftsprozesse der Unternehmung Grundlage für die Implementierung angemessener Kontrollaktivitäten nach Art, Form und Umfang je relevantem Geschäftsprozess IT-gestütztes Vorgehen zur erstmaligen Erfassung und als Vorlage in Folgeperioden Q_PERIOR AG Seite 10
Risikoanalyse Vorgehensweise Ex ante-begleitung durch die Interne Revision allgemeiner Überblick über bestehende/mögliche Risikopotenziale sowie auch das Fachwissen hinsichtlich schadhafter Handlungen durch Mitarbeiter der Unternehmung gebündelt ist. Insbesondere die erstmalige Erstellung einer alle erforderlichen Aspekte umfassenden unternehmensspezifischen Risikoanalyse sollte in einzelne Phasen aufgeteilt werden, wobei die einzelnen Phasen teilweise parallel bearbeitet werden können. Q_PERIOR AG Seite 11
Hauptbuch Debitoren Kreditoren Anlagen Fraud IKS Kontenplan Sperrkennzeichen einzelne Stammdatenfelder Eröffnungs- /Schließungsdatum Nullsalden Kontensalden Belegerstellungsdatum Buchungsbeträge Buchungsdatum Buchungszeitstempel Buchungstexte Buchungsnummer Buchungstextschlüssel Personal Kontenstamm Daten Risiko Risikoanalyse Beispiel: Ergebnis der Risikobewertung Finanzen Einkauf Bestand Vertrieb Finanzen Personal Toolkit Fraud- und IKS-Datenanalyse benötigte Dateien Risiko technische Prüfungsfelder SAP-Modul HR FI KN LF AA Thema Problemkreis Finanzbuchhaltung Hauptbuch Konten eröffnen/sperren/schließen Konten eröffnen/sperren/schließen Konten eröffnen/sperren/schließen Konten eröffnen/sperren/schließen Konten eröffnen/sperren/schließen Konten eröffnen/sperren/schließen Konten ohne Buchung Ungewöhnliche Konten Ungewöhnliche Konten Ungewöhnliche Konten Ungewöhnliche Kontenänderungen Konten mit ungewöhnlichen Buchungen Konten mit ungewöhnlichen Buchungen Konten mit ungewöhnlichen Buchungen Konten mit ungewöhnlichen Buchungen Konten mit ungewöhnlichen Buchungen Konten mit ungewöhnlichen Buchungen Konten mit ungewöhnlichen Buchungen Gesperrte Konten deuten auf Unregelmäßigkeiten seitens der Partner hin Gesperrte Konten mit Bewegungen sind auf Unregelmäßigkeiten zu prüfen Dolose Handlungen über neu eröffnete oder nur kurzzeitig im System befindliche Konten Hohe Stückzahl an Veränderungen deuten auf Systemmigrationen hin Häufige Änderungen im Buchhaltungssystem sprechen für schlechte Organisation der Buchhaltung; Abhängigkeiten zu Vorsystemen berücksichtigen Konsistenz der Konten im System beachten - saubere Eingabe, "Detailverliebheit", "unsaubere" Aggregation von ungleichen Vorgängen auf einem Konto Derartige Konten in großer Anzahl im Buchhaltungssystem sprechen für schlechte Organisation der Buchhaltung CpD - Konten sind hochgradig fraudgefährdet; Abstimmung der Konten; Volltextsuche nach derartigen Konten(!); Analyse der Vorgänge; Vermeidung derartiger Vorgänge durch Anlage von Debitoren/Kreditoren Analyse, ob die Möglichkeit besteht Konten außerhalb des Kontenplanes und/oder Bilanz zu führen Analyse der Konten untereinander - sind Konten mit gleichartigem Zweck mehrfach angelegt? Analyse der Änderungsdaten - insbesondere Bankverbindungen (Bankhaus korrekt - Mitarbeiterbank - Bankhaus korrekt) 1 2 1 1 1 3 1 1 1 1 1 3 1 1 1 1 1 1 1 1 2 1 1 1 3 1 1 3 1 3 2 1 1 1 1 2 1 Sa/So/Feiertagsbuchungen 2 3 1 Analyse der Buchungstexte hinsichtlich Auffälligkeiten ("Sonderzahlung", "Erstattung", "Sonder...", "Privat", Abgleich mit Mitarbeiternamen) 3 1 Analyse der Buchungstexte - "Nullwerte" (ohne Text) 3 1 Belegnummernlücken 2 1 doppelte Belegnummern 3 1 Verbuchungsabbrüche 1 1 1 Umfang von Stornobuchungen - Analyse der Ursachen 2 2 Q_PERIOR AG Seite 12
Prinzipien des IKS: Basis der Kontrollaktivitäten Prinzip der Funktionstrennung Vollziehende, verbuchende und verwaltende Funktionen sollen in der Unternehmung organisatorisch (z. B. über Abteilungen hinweg) getrennt sein Prinzip der Vier Augen Kein wesentlicher Vorgang ohne Kontrolle und Dokumentation der Vorgangskontrolle Prinzip der Transparenz Für risikorelevante Geschäftsprozesse muss es jeweils einen Sollprozess geben, der Art, Form und Umfang der notwendigen Aktivitäten und deren Dokumentation durch die Mitarbeiter definiert Prinzip der Mindestinformation Es werden nur notwendige Informationen zur Verfügung gestellt Q_PERIOR AG Seite 13
Kontrollaktivitäten Definition und schriftliche Ausgestaltung von jeweiligen Sollprozessen der risikorelevanten Geschäftsprozesse und möglicher Geschäftsvorfälle: Regelung der notwendigen Informationen bzw. IT-Restriktionen Definition der vollziehenden, verbuchenden und verwaltenden Funktionen Art, Form, Umfang und Ablage der notwendigen Belege Gegenpartei für das Vier-Augen-Prinzip Kompetenzregelung innerhalb der möglichen Geschäftsvorfälle eines Sollprozesses Q_PERIOR AG Seite 14
Beispiele Regelungsnotwendige Bereiche des Kontrollumfelds Verkauf Einkauf Schnittstelle der Unternehmung zu Dritten Unternehmensinterne Geschäftsprozesse und -vorfälle Lagerhaltung Finanzen Geschenke Reisekosten Schnittstelle von Dritten zu Unternehmensmitarbeitern Q_PERIOR AG Seite 15
Beispiele Bereich Finanzen Definition und schriftliche Ausgestaltung von Sollprozessen. Zahlungsverkehr Barzahlung Halbbare Zahlung Bargeldlose Zahlung Treasury Maßnahmen Zinsänderungsrisiko Maßnahmen Wechselkursrisiko Maßnahmen Rohstoffrisiken Q_PERIOR AG Seite 16
Prüfung des IKS Vorstellung Q_PERIOR 16.10.2012 Q_PERIOR AG
Prüfung des IKS Ziel Ziel der Prüfung des IKS durch die Interne Revision Prüfung und Bewertung der Anwendung der Regelungen des IKS Aufdecken von Regelverstößen Aufdecken von Regelungslücken anhand eines strukturierten und risikoorientierten Vorgehens Ausgehend von einem Revisionsplan werden analog zur Risikoanalyse die notwendigen Prüfungsmaßnamen für die Regelanwendung geplant (wiederholte Regelprüfung) Zusätzlich wird das strukturelle Vorgehen für Ad-hoc-Analysen und die ständige Überwachung festgelegt I. d. R. IT-Unterstützung notwendig Q_PERIOR AG Seite 18
Prüfung des IKS Ansätze, Merkmale und mögliche IT-Unterstützung Ansatz Ad-hoc-Analyse Merkmale Projektbasiert Point-in-Time Erster Schritt oder aufgrund wiederholter/ständiger Ergebnisse Untersuchend, interaktiv, kreativ Flexibilität IT Technologie ermöglicht: Unabhängigkeit Plattformübergreifende Analyse Zugriff auf Daten an der Quelle Schreibgeschützter Zugriff Unbeschränkte Dateigröße Umfassender Prüfungspfad Wiederholte Kontrollprüfung Ständige Überwachung Geplante Tests/Prüfungen Zeitnahe Ausführung Automatisierung Wiederholbarkeit Effizienz - Einsparen von Zeit, Kosten, Ressourcen Automatisiert Zielt auf risikobehaftete Bereiche ab In Kernprozesse eingebettet Erhöhte Häufigkeit Skalierbarkeit Nachhaltigkeit Automatisierte, repetitive Analyse Verarbeitungsleistung des Servers Direkte Datenbankschnittstellen Schwerpunkt auf Kerngeschäftsprozesse Vordefinierte Analysen Zeitnahe Berichte über die Ergebnisse Q_PERIOR AG Seite 19
Prüfung des IKS Ergebnisse Die Ergebnisse der Prüfungshandlungen werden in definierten Berichten der Geschäftsleitung vorgelegt Diese sind Ansatzpunkt für Maßnahmen zur Gegensteuerung der Geschäftsleitung, um auf die Unternehmung in organisatorischer oder personeller Art zu wirken und der Internen Revision, um die Prüfungsansätze, -methoden und -verfahren zu adjustieren Start der erneuten Kontrollumweltanalyse Q_PERIOR AG Seite 20
Kontakt Vorstellung Q_PERIOR 16.10.2012 Q_PERIOR AG
Kontaktadressen Unsere Standorte HAMBURG (ELLERAU) Buchenweg 11-13 D-25479 Ellerau Telefon: +49 4106 7777-0 Telefax: +49 4106 7777-333 email: office@q-perior.com FRANKFURT Mergenthalerallee 55-59 D-65760 Eschborn Telefon: +49 6196 77125-871 Telefax: +49 6196 77125-835 email: office@q-perior.com MÜNCHEN Bavariaring 28 D-80336 München Telefon: +49 89 45599-0 Telefax: +49 89 45599-100 email: office@q-perior.com ROSENHEIM Kufsteiner Strasse 103 D-83026 Rosenheim Telefon: +49 8031 3041-0 Telefax: +49 8031 3041-111 email: office@q-perior.com BERN Papiermühlestrasse 73 CH-3014 Bern Telefon: +41 31 310 07 00 Telefax: +41 31 310 07 07 email: office@q-perior.ch ZÜRICH Hohlstrasse 614 CH-8048 Zürich Telefon: +41 44 437 20 30 Telefax: +41 44 437 20 39 email: office@q-perior.ch WIEN Wollzeile 17/22 A-1010 Wien Telefon: +43 1 253 6666-110 Telefax: +43 1 253 6666-120 email: office@q-perior.at BRATISLAVA Zochova 5 SK-811 03 Bratislava Telefon: +42 1 254 418308 Telefax: +43 1 504 1586 email: office@q-perior.sk PRINCETON 206 Nassau Street #2 US-Princeton, New Jersey 08542 Telefon: +1 610 429 1300 Telefax: +1 416 229 4500 email: office@q-perior.com TORONTO 83 Redpath Avenue, Suite 1102 CA-Toronto Ontario M4S 0A2 Telefon: +1 416 229 4500 Telefax: +1 416 229 4500 email: office@q-perior.com Q_PERIOR AG Seite 22