Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS Generalsekretariat VBS Interne Revision VBS 3. Oktober 2016 Prüfbericht über die IKS-Prüfung zu Verpflichtungskrediten der Gruppe Verteidigung Revision R 065
Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS Generalsekretariat VBS Interne Revision VBS Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS Gruppe Verteidigung Chef der Armee Korpskommandant André Blattmann Bundeshaus Ost 3003 Bern Bern, 3. Oktober 2016 IKS-Prüfung zu Sehr geehrter Herr Korpskommandant Blattmann Wir freuen uns, Ihnen unseren Bericht zur «IKS-Prüfung zu Verpflichtungskrediten der Gruppe Verteidigung» zusenden zu dürfen. Die Prüfarbeiten haben wir zwischen Juli und August 2016 durchgeführt. Wir haben den Bericht mit den Verantwortlichen der Finanzen Verteidigung besprochen. Sollten Sie Fragen zu unserem Bericht haben, stehen wir Ihnen jederzeit gerne zur Verfügung. Freundliche Grüsse Interne Revision VBS Verteiler C VBS GS VBS Finanzen V Interne Revision VBS Schauplatzgasse 11, 3003 Bern
1 Einleitung Ein internes Kontrollsystem (IKS) umfasst jene Vorgänge und Massnahmen in einer Verwaltungseinheit, welche eine ordnungsmässige Buchführung und finanzielle Berichterstattung sicherstellen. Ein IKS besteht nach in der Praxis weit verbreiteter Auffassung in der Regel aus den folgenden Kontrollkomponenten: Kontrollumfeld: Dieses resultiert aus dem Leitbild der Verwaltungseinheit und individuellen Eigenschaften der Mitarbeitenden. Es reicht von Fragen der Integrität und ethischen Grundwerten bis zur Organisationsstruktur und Kompetenzsicherung. Risikobeurteilung: Diese dient der Identifikation und Bewertung der Risiken, welchen die Verwaltungseinheit bei der Verfolgung der gesteckten Ziele ausgesetzt ist. Kontrollaktivitäten: Diese stellen sicher, dass Massnahmen gegen identifizierte Risiken und zur Erreichung der Ziele korrekt ausgeführt werden. Information und Kommunikation: Informations- und Kommunikationswege sollen gewährleisten, dass die Mitarbeitenden diejenigen Informationen sammeln und austauschen können, die für die Erfüllung ihrer Aufgabe nötig sind. Überwachung: Die Überwachung der internen Kontrolle dient dazu, allenfalls notwendige Anpassungen rechtzeitig zu erkennen. 2 Auftrag Die Gruppe Verteidigung (Gruppe V) bewirtschaftet derzeit Verpflichtungskredite über rund 17,2 Milliarden Franken. Aus diesem Grund kommt der ordnungsgemässen Prozessführung bei Verpflichtungskrediten eine wesentliche Bedeutung zu. Daher nahmen wir diese Thematik in unsere Prüfungsplanung 2016 auf. 3 Der Prozess der Verpflichtungskredite in Kürze Für die Beschaffung von Rüstungsgütern und -materialien bewilligt das Parlament mit Bundesbeschlüssen Verpflichtungskredite. Sie geben die Verwendungszwecke und Höchstbeträge vor, hingegen ist die Laufzeit unbegrenzt. Die Verpflichtungskredite ermächtigen die Gruppe V über mehrere Jahre finanzielle Verpflichtungen (Verträge) mit Lieferanten einzugehen. Die erforderlichen Mittel zur Bezahlung der Verpflichtungen bewilligt das Parlament mit jährlich höchstbegrenzten Voranschlagskrediten; dies sind für das Jahr 2016 rund 1,1 Milliarden Franken. 3/9
Im Bereich der Rüstungsgüter und -materialien werden die folgenden vier Kreditgefässe mit Verpflichtungskrediten gesteuert: Ausbildungsmunition und Munitionsbewirtschaftung (AMB); Rüstungsprogramm (RP); Ausrüstung und Erneuerungsbedarf (AEB); sowie Projektierung, Erprobung und Beschaffungsvorbereitung (PEB). Die Finanzen Verteidigung übernahmen die administrative Führung dieser Kreditgefässe Anfang 2015 von Finanzen armasuisse. Heute ist der Bereich der Verpflichtungskredite in drei Teilprozesse gegliedert: Eröffnung (Anlegen des Verpflichtungskredits in SAP); Bewirtschaftung (Unterjährige Steuerung sowie Einhaltung der Höchstwerte); sowie Abschluss und jährliche Berichterstattung an die Eidgenössische Finanzverwaltung (EFV). Die Beschaffungsstelle armasuisse verantwortet zudem die zweckgemässe Verwendung der Verpflichtungskredite, während die Armeeplanung für die korrekte Bewirtschaftung der Beschaffungsvorhaben im Projektführungssystem CHEOPS verantwortlich ist. Die erwähnten Prozessaktivitäten von armasuisse und Armeeplanung waren nicht Gegenstand dieser Prüfung. Sämtliche Prozessschritte sind in die ordentliche Buchführung in SAP integriert. 4 Prüfmethodik Zu Beginn unserer Prüfung beurteilten wir das generelle IKS der Gruppe V in einer summarischen Art und Weise. Anschliessend prüften wir die Existenz sowie die Wirksamkeit des IKS im Bereich Verpflichtungskredite bei den Finanzen Verteidigung. Diese Existenzprüfung zeigt auf, ob das IKS vorhanden und überprüfbar (d.h. dokumentiert) ist; das IKS den Geschäftsrisiken und der Geschäftstätigkeit angepasst ist; das IKS den zuständigen Mitarbeitenden bekannt ist; das IKS angewendet wird; sowie ein Kontrollbewusstsein im Unternehmen vorhanden ist. Mit der Wirksamkeitsprüfung wird das dauernde und richtige Funktionieren der Schlüsselkontrollen (konsequente Anwendung des Vier-Augen-Prinzips und der Funktionentrennung) im Bereich Verpflichtungskredite geprüft. An dieser Stelle bedanken wir uns bei allen Beteiligten für die angenehme und engagierte Zusammenarbeit. 4/9
5 Generelle Einschätzungen zum IKS bei der Gruppe V Einleitend halten wir fest, dass wir aus dieser und früheren Prüfungen ein gutes Gesamtbild des IKS bei der Gruppe V erhalten haben. Aus unserer Sicht sind die für die finanzielle Berichterstattung wesentlichen Prozesse in einer risikoorientierten und zweckdienlichen Form aufgezeichnet. Der IKS-Regelbetrieb wird alljährlich ordnungsgemäss angestossen. Zudem nehmen die IKS-Beauftragten ihre Aufgaben in angemessener Art und Weise wahr. Ebenfalls werden die Empfehlungen aus unseren früheren Prüfungen laufend umgesetzt. Nachfolgend gehen wir nun im Detail auf das IKS im Bereich Verpflichtungskredite ein. 6 Existenz des IKS im Bereich Verpflichtungskredite Unsere Prüfungshandlungen zeigten auf, dass das IKS zu den Verpflichtungskrediten angemessen dokumentiert ist. Die Risikokontrollmatrix sowie die Prozessanweisungen wurden grundsätzlich den Geschäftsrisiken sowie der Geschäftstätigkeit angepasst. Jedoch stellten wir fest, dass die bestehenden automatisierten Kontrollen, welche im SAP-System hinterlegt sind, noch nicht in der Dokumentation erscheinen. Die im Prozess involvierten Mitarbeitenden kennen die relevanten IKS-Dokumente und wenden diese bei der täglichen Arbeit an. Zudem gewannen wir den Eindruck, dass bei allen beteiligten Personen das Kontrollbewusstsein gut entwickelt ist. Ergänzend stellten wir fest, dass ein Berechtigungskonzept für die Zugriffe auf das SAP-System besteht und dieses zurzeit überarbeitet wird. Fazit: Wir bestätigten die Existenz des IKS im Bereich Verpflichtungskredite. 7 Wirksamkeit des IKS im Bereich Verpflichtungskredite Wir beschreiben die wesentlichen Kontrollaktivitäten der Finanzen Verteidigung wie folgt: 7.1 Eröffnung der Verpflichtungskredite In der Regel gibt es für jedes der vier einleitend erwähnten Kreditgefässe pro Jahr einen Neuzugang. Der neue Verpflichtungskredit wird zunächst pauschal durch die EFV in SAP hinterlegt. Anschliessend werden über eine automatische Schnittstelle die Detailangaben zu den einzelnen Beschaffungsvorhaben aus dem System CHEOPS ergänzt. Dabei ist folgende Schlüsselkontrolle relevant: 5/9
Schlüsselkontrolle SK1 Beschreibung Kontrollaktivität Stichprobe Abweichung Abstimmung Detailangaben Neu hinterlegte Verpflichtungskredite wer- 4 0 aus CHEOPS den mit den Angaben aus dem Bundesbe- schluss sowie den eingelesenen Detailangaben der Armeeplanung (CHEOPS- System) abgeglichen. Die Kontrollaktivitäten unterliegen dem 4-Augenprinzip und sind nachvollziehbar dokumentiert. 7.2 Bewirtschaftung der Verpflichtungskredite Während der Laufzeit der Verpflichtungskredite können Änderungen bei der Abwicklung von Beschaffungsvorhaben vorkommen. Dies bringt mit sich, dass in SAP Mutationen erfasst werden müssen. Diese werden wöchentlich kontrolliert und monatlich im Gremium «Steuerung Rüstungsaufwand» besprochen. Dabei wird auch überwacht, dass die festgelegten Kreditlimiten nicht überschritten werden. Folgende Schlüsselkontrolle ist dabei wesentlich: Schlüsselkontrolle SK2 Beschreibung Kontrollaktivität Stichprobe Abweichung Änderungen von Beschaffungsvorhaben Mutationen bei Beschaffungsvorhaben 20 0 werden wöchentlich kontrolliert. Zudem wird damit überwacht, dass die Kreditlimiten nicht überschritten werden. Die Kontrollaktivitäten unterliegen dem 4-Augenprinzip und sind nachvollziehbar dokumentiert. 7.3 Abschluss der Verpflichtungskredite und Berichterstattung Ein Verpflichtungskredit wird erst vollständig abgeschlossen bzw. abgerechnet, wenn sämtliche damit verbundenen Beschaffungsvorhaben durchgeführt wurden. Zusammen mit dem Jahresabschluss der Bundesrechnung werden jeweils sämtliche laufenden Verpflichtungskredite in der Finanzberichterstattung zuhanden der EFV offengelegt. Bevor die Finanzen Verteidigung diesen Bericht freigeben, wird dessen Inhalt kontrolliert. Die Berichterstattung über die abgerechneten Verpflichtungskredite umfasst eine kurze Beschreibung, für welchen Zweck die Mittel schwergewichtig eingesetzt wurden sowie die wesentlichen Abweichungen zum ursprünglich geplanten Mitteleinsatz. Solche «negativen Mittelbindungen» werden von der EFV in SAP erfasst und anschliessend durch die Finanzen Verteidigung überprüft. Folgende Schlüsselkontrollen sind in diesem Teilprozess wesentlich: 6/9
Schlüsselkontrolle SK3 SK4 Beschreibung Kontrollaktivität Stichprobe Abweichung Berichterstattung an Kontrolle der jährlichen Berichterstattung 1 0 EFV an die EFV durch Abstimmung von SAP mit dem Reporting System Negative Mittelbindung Jährliche Kontrolle der korrekten «negativen 1 0 überprüfen Mittelbindung» Die Kontrollaktivitäten unterliegen dem 4-Augenprinzip und sind nachvollziehbar dokumentiert. 7.4 SAP-Berechtigungen In Ergänzung zu den oben aufgezeigten Schlüsselkontrollen haben wir den Stand der Überarbeitung des Berechtigungskonzepts der Gruppe V sowie den Stand der Bereinigung der kritischen Berechtigungen als Folge der Aufträge aus dem Projekt SuPro BeBe 1 und aus der Empfehlung Nr. 3 «Überprüfung der Zugriffsberechtigungen» gemäss Prüfbericht R 059 «Bundesrechnung 2015 Gruppe Verteidigung» erfragt. Nach aktuellen Beurteilungen sollen die Bereinigungen und Aktualisierungen termingerecht abgeschlossen werden. Betreffend den Berechtigungen zur Pflege der Verpflichtungskredite haben wir die Rollen und Zugriffsmöglichkeiten der Mitarbeitenden eingesehen. Die Vergabe der Zugriffsberechtigungen ist im geprüften Teilbereich angemessen, auf das Notwendige beschränkt und quartalsweise überwacht. Schlüsselkontrolle SK5 Beschreibung Kontrollaktivität Stichprobe Abweichung Kontrolle der Quartalsweise Bestätigung der Linienvorgesetzten 2 0 SAP-Berechtigungen zu den erteilten Berechtigungen Die Kontrollaktivitäten unterliegen dem 4-Augenprinzip und sind nachvollziehbar dokumentiert. 7.5 Fazit Wirksamkeit Insgesamt kommen wir zum Schluss, dass die Schlüsselkontrollen im Prozess Verpflichtungskredite nachvollziehbar dokumentiert sind. Weiter stellten wir auch fest, dass die SAP- Berechtigungen in einer angemessenen Form vergeben sind und regelmässig überprüft werden. Wir kommen daher zum Schluss, dass die Wirksamkeit des IKS gegeben ist. 1 IKS-konforme Benutzer- und Berechtigungsverwaltung der SAP Systeme für die Supportprozesse Bund 7/9
8 Empfehlungen Aus unserer Prüfung leiten wir folgende Empfehlung ab: Zu 6: Wir empfehlen, die Risiko-Kontrollmatrix zum IKS des Teilbereichs «Beschaffungskredite» der Finanzen Verteidigung mit den automatisierten Kontrollen des SAP-Systems zu ergänzen. Solche automatisierten Kontrollen haben einen präventiven Charakter und tragen zur hohen Verlässlichkeit der Prozessführung bei. 8/9
9 Stellungnahmen Empfehlung Nr. 1 Automatisierte Kontrollen in der Risikokontrollmatrix ergänzen Stellungnahme V Die Finanzen Verteidigung werden die Empfehlung, die Risiko-Kontrollmatrix zum IKS des Teilbereichs "Beschaffungskredite" der Finanzen Verteidigung mit den automatisierten Kontrollen des SAP-Systems zu ergänzen, berücksichtigen. 9/9