RISK ADVISORY SERVICES Erfüllung der Anforderungen des URÄG KPMG Dienstleistungsangebot Jänner 2009 ADVISORY
URÄG Agenda 1 URÄG gesetzliche Rahmenbedingungen 2 KPMG Dienstleistungen - Überblick 3 KPMG Dienstleistungen - Detail 1
URÄG Gesetzliche Rahmenbedingungen (1/2) bestehend NEU (durch ) Vorstand GF Aufsichtsrat Abschlussprüfer 70 und 82 AktG / 22 GmbHG Der Vorstand / die Geschäftsführer haben dafür zu sorgen, dass ein Internes Kontrollsystem geführt wird, welches den Anforderungen des Unternehmens entspricht. 96 AktG / 30k GmbHG Der Aufsichtsrat hat den Jahresabschluss und den Lagebericht zu prüfen. 274 Abs 1 u. 5 UGB Der Abschlussprüfer hat das Ergebnis seiner Prüfung in einem Bestätigungsvermerk [ ] zusammenzufassen. Der Bestätigungsvermerk enthält auch ein Urteil, ob der Lagebericht oder der Konzernlagebericht nach dem Urteil des Abschlussprüfers mit dem Jahresabschluss oder dem Konzernjahresabschluss in Einklang steht. 243a UGB / 243b UGB Zu den Aufgaben des Vorstandes zählen die Beschreibung der wichtigsten Merkmale des IKS und des RM im Hinblick auf die Rechnungslegung und der Corporate Governance Bericht im Lagebericht für börsenotierte Gesellschaften. 92 Abs 4a AktG / 30g Abs 4a GmbHG Einrichtung eines Prüfungsausschusses bei XL Gesellschaften mit (u.a.) der Aufgabe der Überwachung der Wirksamkeit des Internen Kontrollsystems, ggf. der Internen Revision und des Risikomanagementsystems der Gesellschaft. 273 Abs 2 UGB Der Abschlussprüfer hat dem Aufsichtsrat unverzüglich über wesentliche Schwächen bei Internen Kontrollen des Rechnungslegungsprozesses zu berichten. 274 Abs 5 (neu) UGB Der Abschlussprüfer macht im Bestätigungsvermerk eine Aussage, ob die wichtigsten Merkmale eines IKS und RMS im Hinblick auf die Rechnungslegung im Lagebericht zutreffend beschrieben sind. 2
URÄG Gesetzliche Rahmenbedingungen (2/2) Vorstand Aufsichtsrat Implementierung Publizität Überwachung Implementierung eines Internen Kontrollsystems, das den Anforderungen des Unternehmens entspricht Auseinandersetzung mit der Effektivität des bestehenden Kontrollsystems im Zuge der Offenlegung 82 AktG 22 GmbHG Internes Kontrollsystem 243 a UGB Beschreibung der wesentlichen Merkmale des internen Kontrollund Risikomanagementsystems im Hinblick auf die Rechnungslegung. Risikomanagement 92 (4a) AktG Überwachung der Wirksamkeit des IKS und des Risikomanagementsystems im Hinblick auf das Gesamtunternehmen Überwachung der Wirksamkeit 3
URÄG Agenda 1 URÄG gesetzliche Rahmenbedingungen 2 KPMG Dienstleistungen - Überblick 3 KPMG Dienstleistungen - Detail 4
Überblick REVIEW Quality Review Qualitätsüberprüfung der Internen Revision MONITORING IST-ANALYSE KOLA (KPMG OnLine Audit) Systemtechnisch unterstütztes Monitoring zur Risikoüberwachung Compliance & Risk Navigator Kurzanalyse des bestehenden Kontroll- und Risikomanagementsystems KONZEPTION/ IMPLEMENTIERUNG Internal Audit Services Aufbau, Co- und Outsourcing der Internen Revision Internes Kontrollsystem & IT (Prüfung oder Gestaltung der) State-of-the-Art IT-Prozesse mit integriertem Internen Kontrollsystem Risikomanagement (Begleitung bei der) Implementierung, Evaluierung und Verbesserung des Risikomanagementsystems Prozessanalyse Analyse und Optimierung der Finanzprozesse unter Berücksichtigung von Performance-, Compliance- und Risk-Aspekten Internes Kontrollsystem (Begleitung bei der) Implementierung, Evaluierung und Verbesserung des Internen Kontrollsystems Finanzmanagement & IFRS 7 Implementierung externer und interner Anforderungen im Finanzrisikomanagement 5
URÄG Agenda 1 URÄG gesetzliche Rahmenbedingungen 2 KPMG Dienstleistungen - Überblick 3 KPMG Dienstleistungen - Detail 6
Compliance & Risk Navigator Im Rahmen des Jahresabschlusses ist ggf. ein Corporate Governance Bericht zu erstellen. Die Einhaltung der Bestimmungen des österreichischen Corporate Governance Kodex kann nur durch einen Dritten objektiv beurteilt werden. Statuserhebung in Form von Interviews und kritische Durchsicht relevanter Unterlagen zur Beurteilung der Erfüllung der Mindestanforderungen und Aufzeigen allfälliger Lücken. Mit Hilfe des Compliance & Risk-Navigators können wesentliche Lücken identifiziert und dem Management somit Informationen bzgl. dringender Handlungserfordernisse in Bezug auf die Erfüllung der Pflichten lt. AktG/GmbHG/URÄG zur Verfügung gestellt werden. Auf dieser Basis kann das Management die weitere Vorgehensweise zur Schließung der Lücken festlegen. 7
Internal Audit Services Der Internen Revision kommt eine Doppelrolle im Rahmen des zu: einerseits durch die Übernahme von Kontrollaktivitäten im IKS und andererseits in der Beurteilung/ Berichterstattung der Wirksamkeit des IKS gegenüber dem Vorstand/ Aufsichtsrat. Oberster Vorsatz einer modernen Internen Revision ist es, die bestmögliche Assurance- und Beratungsqualität zu gewährleisten und so das Erreichen von Unternehmenszielen zu unterstützen. Dabei gilt es die zur Verfügung stehenden Ressourcen so kostenwirksam und effektiv wie möglich einzusetzen. Ziel ist einerseits die Identifikation des Risikouniversums und Bewertung der einzelnen Risiken, und andererseits die Erstellung eines Revisionsplans, der die wesentlichen Risiken des Unternehmens abdeckt. 8
Risikomanagement Im Lagebericht sind die wichtigsten Merkmale des Risikomanagements in Bezug auf den Rechnungslegungsprozess darzustellen. Vom Wirtschaftsprüfer ist im Bestätigungsvermerk die Richtigkeit dieser Aussage zu kommentieren. Weiters hat der Prüfungsausschuss die Wirksamkeit des Risikomanagements im Unternehmen zu überwachen. Begleitung bei der Implementierung eines unternehmens- bzw. konzernweiten Risikomanagementsystems. Evaluierung und ggf. Verbesserung bestehender Risikomanagementsysteme. Als Basis für unsere Dienstleistungen in diesem Zusammenhang dient COSO als wesentlichstes Rahmenwerk. COSO Enterprise Risk Management 9
Internes Kontrollsystem Der bereits bestehenden Verpflichtung von Vorständen und Geschäftsführern zur Einrichtung eines angemessenen IKS im Unternehmen wird durch das vor allem durch das verstärkte Dokumentationserfordernis große Bedeutung beigemessen. Evaluierung, Überprüfung und ggf. Verbesserung bestehender Interner Kontrollsysteme. Ziel ist die Implementierung eines wirksamen, effizienten und nachvollziehbaren (dokumentierten) Internen Kontrollsystems. Planung und Vorerhebungen Prozess - und Risikoanalyse KPMG nutzt die Vorgehensweise des bekanntesten und wesentlichsten Rahmenwerks für Interne Kontrollsysteme: COSO. Evaluierung - Stichproben - prüfung und Funktions - tests Umsetzungs - phase Berichterstattung und Empfehlungen 10
Internes Kontrollsystem & Informationstechnologie In der Regel sind große Teile des Kontrollumfeldes, insbesondere der Kontrollaktivitäten in IT- Systemen und -Prozessen realisiert. Bei betrachteten Unternehmen wurden 50% bis 70% der Kontrollaktivitäten in der IT umgesetzt. Daher ist bei Beurteilung und Umsetzung eines Internen Kontrollsystems der IT besondere Beachtung zu widmen. KPMG bietet eine Beurteilung der IT-Prozesse und des Internen Kontrollsystems in der IT sowie einen Abgleich mit den international führenden Best-Practice-Ansätzen wie CobiT oder ITIL an, um Verbesserungspotentiale in den IT-Prozessen und im Internen Kontrollsystem zu identifizieren. Wir begleiten Kunden bei der Umsetzung eines Internen Kontrollsystems in der IT und verbessern gemeinsam die Prozesse zur Planung und Umsetzung und dem Betrieb von IT- Systemen. Wie international üblich, sollten Anwendungskontrollen und anwendungsunabhängige Kontrollen (General IT Controls) berücksichtigt werden. Die Ergebnisse reichen von einer Beurteilung des Internen Kontrollsystems in der IT und der Reifegrade der IT-Prozesse im Vergleich mit internationalen Leading Practices bei Umsetzungsbegleitungen bis hin zur Gestaltung von State-of-the-Art - IT-Prozessen mit integriertem Internen Kontrollsystem. Basel II Solvency II COBIT ValIT TOGAF CMMI CMMI IT Planung ISO V- 2700x AktG GmbHG Anwendungs-Entw.. COSO CobIT Risiko & Security Projektmanagement IT-Betrieb V- BS 25999 Sarbanes Oxley Service Management Qualitätsmanagement PMI V- Prince2 8. EU Richtlinie Six Sigma ISO 9000 ITIL/ISO 20000 11
Prozessanalyse Effiziente Finanzprozesse sind ein wesentlicher Bestandteil eines funktionierenden Internen Kontroll- und Risikomanagentsystems. Analyse der Finanzprozesse Berücksichtigung von Compliance-, Risiko- und Performanceaspekten CORPORATE GOVERNANCE FINANZPROZESSE COMPLIANCE RISK PERFORMANCE A Planungsprozess Plan to Perform Einbringung von Erfahrungen bei anderen Kunden/ Projekten (Leading Practices) Erarbeitung und Priorisierung von Optimierungspotenzialen Begleitung bei der Implementierung der Optimierungspotenziale B C D Einkaufsprozess Purchase to Pay Auftragsdurchlauf Order to Cash Reportingprozess Record to Report 12
Finanzmanagement und IFRS 7 Nach IFRS 7 ist über das Finanzrisikomanagement in qualitativer und quantitativer Form zu berichten. Das Finanzrisikomanagement umfasst die Identifikation, Beurteilung, Steuerung und das Reporting finanzieller Risiken. Das Finanzmanagement fordert eine für Bankgeschäfte geeignete Aufbauund Ablauforganisation. Einführung eines Finanzrisikomanagements zur systematischen Erfassung, Bewertung und Steuerung finanzieller Risiken (einschließlich Energie- und Rohstoffpreisrisiken). Ausgestaltung eines Regelwerks zum Finanzmanagement. Industriepraxis ist ein dreistufiges Konzept bestehend aus Rahmenlinien, Funktionsrichtlinien und funktionsbezogenen Arbeitsanweisungen. Erfüllung der Offenlegungsvorschriften gem. IFRS 7, welche insbesondere aufgrund der Entwicklung der Finanzmärkte an Bedeutung gewinnen und für welche die Erfahrungen des letzten Jahres zeigen, dass hier ein Nachholbedarf besteht. Ziel ist die Umsetzung eines - den internen und externen Anforderungen entsprechenden - Risikomanagements und Regelwerks im Finanzbereich/ Treasury zur Schaffung von Transparenz, Planungssicherheit, Etablierung eines Frühwarnsystems und letztlich zur nachhaltigen Sicherung der Unternehmensexistenz. 13
KOLA KPMG OnLine Auditing Es erfolgt eine kontinuierliche Überwachung der Wirksamkeit der Kontrollen und Prozesse, sowie eine permanente Überwachung der Kontrollaktivitäten dies entspricht den Anforderungen des 92 (4a) AktG. KPMG OnLine Audit ermöglicht dem Management, Feedback über eine Vielzahl von Kontrollhandlungen zu erhalten. KPMG OnLine Audit ermöglicht die Implementierung konsistenter und reproduzierbarer Vorgehensweisen zur Standardisierung von Auswertungen. KPMG OnLine Audit ermöglicht eine Echtzeitüberwachung des Internen Kontrollsystems und erzeugt KPIs, Exceptionoder Audit-Reports die per E-Mail oder SMS an den entsprechenden Adressaten übermittelt werden. KPMG OnLine Audit gestattet die Durchführung einheitlicher Auswertungen von Kontrollen über mehrere Geschäftseinheiten hinweg. Der Einsatz von KPMG OnLine Audit reduziert manuelle Kontrollen sowie manuelle System- und Prozessprüfungen und unterstützt damit bspw. die Einhaltung der Anforderungen des. Geringe Implementierungs- und Wartungskosten. KPMG OnLine Audit 14
Quality Review Qualitätsüberprüfung der Internen Revision Die regelmäßige Beurteilung der Internen Revision hinsichtlich ihrer Qualität ist zudem eine wesentliche Hilfestellung für Vorstand und Aufsichtsrat bei der Erfüllung ihrer Compliance- und Corporate Governance-Verpflichtungen, um unter anderem den Nachweis einer funktionsfähigen Revision zu erbringen. KPMG bietet Unternehmen eine detaillierte Überprüfung der Qualität ihrer Internen Revisionsabteilung an. Unabhängige Beurteilung der Qualität und Effektivität der Internen Revision, beispielsweise im Hinblick auf die Übereinstimmung mit den Standards für die berufliche Praxis der Internen Revision (IIA Standards). Im Rahmen des Quality Reviews werden sowohl Empfehlungen zur Steigerung der Qualität und Effizienz der Internen Revision als Instrument der Unternehmensüberwachung gegeben als auch Vergleiche mit Leading Practices durchgeführt. Aufsichtsrat/Vorstand Effektivität Struktur Ausrichtung Positionierung Organisation Effizienz Bankenumfeld Prozesse Effektivität Mitarbeiter Effektivität Prozesse Mitarbeiter Interne Revision Compliance 15
Ihre Ansprechpartner Mag. Michael Ahammer Mag. Johann Essl Mag. Dr. Helge Löffler Mag. Gert Weidinger Wirtschaftsprüfer und Steuerberater, Partner Audit Wirtschaftsprüfer und Steuerberater, Unternehmensberater, Partner Risk Advisory Services Wirtschaftsprüfer und Steuerberater, Partner Audit Steuerberater, Certified Internal Auditor (CIA), Certified Information Systems Auditor (CISA), Partner Risk Advisory Services KPMG Innsbruck Adamgasse 23 6020 Innsbruck KPMG Linz Kudlichstraße 41-43 4020 Linz KPMG Linz Kudlichstraße 41-43 4020 Linz KPMG Linz Kudlichstraße 41-43 4020 Linz +43 (512) 59 996-250 mahammer@kpmg.at +43 (0732) 6938-2238 jessl@kpmg.at +43 (0732) 6938-2105 hloeffler@kpmg.at +43 (732) 6938-2107 gweidinger@kpmg.at 16