close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

5 Wie viel Kontrolle ist zu viel Kontrolle (Andreas Toggwyler - isaca

EinbettenHerunterladen
Wie viel Kontrolle ist zu viel
Kontrolle?
Kundenfreundlichkeit und Assurance
ISACA-Jubiläumstagung, 17. September 2014
Andreas Toggwyler
Grenznutzen von Kontrollen
Nutzen
(Anzahl) Kontrollen
Page 2
ISACA-Jubiläumstagung, 17. September 2014
Grundlagen
Page 3
ISACA-Jubiläumstagung, 17. September 2014
Agenda
► 
► 
Einleitung
Ein paar Grundlagen
► 
► 
► 
Ein paar illustrative Fallbeispiele
► 
► 
► 
► 
► 
► 
Definitionen
Erwartungen an ein IKS
Sign-off Ketten
“Melon Reports”
Management Kontrollen
Three lines of Defense und ihre Begrifflichkeiten
Outsourcing
Lösungsansätze für eine erhöhte Kundenfreundlichkeit
Page 4
ISACA-Jubiläumstagung, 17. September 2014
Ein paar Grundlagen
► 
Definitionen
► 
► 
► 
► 
IKS (Internes Kontrollsystem)
Risiko
Kundenfreundlichkeit
Kontrollen
► 
► 
Page 5
Kontrollarten
Integration von IT in die Prüfung von Kontrollen
ISACA-Jubiläumstagung, 17. September 2014
Definitionen
Internes Kontrollsystem (IKS)
► 
(Schweizer Prüfungsstandards 2013):
Der Prozess, der von den für die Überwachung Verantwortlichen, vom
Management und von anderen Mitarbeitern konzipiert, eingerichtet und
aufrechterhalten wird, um mit hinreichender Sicherheit die Ziele der Einheit im
Hinblick auf die Verlässlichkeit der Rechnungslegung, die Wirksamkeit und
Wirtschaftlichkeit der Geschäftstätigkeit sowie die Einhaltung der
massgebenden gesetzlichen und anderen rechtlichen Bestimmungen zu
erreichen. Der Begriff „Kontrollen“ bezieht sich auf jegliche Aspekte
einer oder mehrerer Komponenten des IKS.
Page 6
ISACA-Jubiläumstagung, 17. September 2014
Definitionen
Kontrollaktivitäten
► 
Kontrollaktivitäten (HWP)
Kontrollaktivitäten sind einzelne Vorgänge und Massnahmen, welche die
Umsetzung und die Erreichung der definierten Kontrollziele sicherstellen.
Die Dokumentation der Prozesse sorgt dafür, dass eine Beurteilung der
Vollständigkeit von Kontrollprozessen möglich wird.
Geeignete Kontrollaktivitäten gewährleisten, dass risikominimierende
Massnahmen korrekt ausgeführt werden. Sie bestehen aus Grundsätzen und
Verfahren zur Einhaltung von Führungsentscheidungen.
Kontrollaktivitäten lassen sich wie folgt kategorisieren:
- Präventive und detektive Kontrollen;
- Selbständige, programmierte und manuelle Kontrollen;
- Durch das Management vorgenommene Kontrollen.
Page 7
ISACA-Jubiläumstagung, 17. September 2014
Definitionen
Risiko
► 
► 
► 
Geschäftsrisiko: Ein Risiko, das sich aus bedeutsamen Gegebenheiten,
Ereignissen, Umständen, Massnahmen oder Unterlassungen ergibt, die sich
auf die Fähigkeit der Einheit, ihre Ziele zu erreichen und ihre Strategien
umzusetzen, nachteilig auswirken könnten oder das aus der Festlegung
unangemessener Ziele und Strategien resultiert.
Entdeckungsrisiko: Das Risiko, dass eine vorhandene falsche Darstellung,
die entweder einzeln oder in der Summe mit anderen falschen Darstellungen
wesentlich sein könnte, nicht durch die Handlungen aufgedeckt wird, die der
Abschlussprüfer durchführt, um das Prüfungsrisiko auf ein vertretbar
niedriges Mass zu reduzieren.
Prüfungsrisiko: Das Risiko, dass der Abschlussprüfer ein unangemessenes
Prüfungsurteil abgibt, wenn der Abschluss wesentliche falsche Darstellungen
enthält. Das Prüfungsrisiko ist eine Funktion der Risiken wesentlicher falscher
Darstellungen und des Entdeckungsrisikos.
Page 8
ISACA-Jubiläumstagung, 17. September 2014
Definitionen
Risiko (Folge)
► 
► 
► 
► 
Bedeutsames Risiko: Ein identifiziertes und beurteiltes Risiko wesentlicher
falscher Darstellungen, das nach der Beurteilung des Abschlussprüfers eine
besondere Berücksichtigung bei der Abschlussprüfung erfordert.
Risiko wesentlicher falscher Darstellungen: Das Risiko, dass der
Abschluss vor der Abschlussprüfung wesentliche falsche Darstellungen
enthält. Dieses Risiko besteht aus zwei Komponenten, die auf Aussageebene
folgendermassen umschrieben sind:
(i) Inhärentes Risiko – Die Anfälligkeit einer Aussage über eine Art von
Geschäftsvorfällen, Kontensalden oder Abschlussangaben für eine falsche
Darstellung, die entweder einzeln oder in der Summe mit anderen falschen
Darstellungen wesentlich sein könnte, vor Berücksichtigung von damit
zusammenhängenden Kontrollen.
(ii) Kontrollrisiko – Das Risiko, dass eine falsche Darstellung, die bei einer
Aussage über eine Art von Geschäftsvorfällen, Kontensalden oder
Abschlussangaben auftreten könnte und die entweder einzeln oder in der
Summe mit anderen falschen Darstellungen wesentlich sein könnte, vom IKS
der Einheit nicht verhindert oder rechtzeitig aufgedeckt und korrigiert wird.
Page 9
ISACA-Jubiläumstagung, 17. September 2014
Kontrollarten
Automated
Controls
Manual Controls
(Purely) Manual
Controls
Manual
Prevent
IT-Dependent
IT
IT-Dependent
Manual Controls
Application
Controls
Manual
Detect
IT General Controls
Page 10
ISACA-Jubiläumstagung, 17. September 2014
Prüfen von IT Kontrollen
Der Prüfer beurteilt die Kontrollen in buchungsrelevanten Prozessen aus einer Anfang-zu-Ende-Betrachtung
Input /
Autorisierung
Prozess-Walkthrough
Vertrag
Verarbeitung
Prozess-WT
Applikations-WT
ITGC-WT
Verbuchung
D Applikations-WT
ITGC-WT
Berichterstattung
Prozess-WT
Applikations-WT
Finanzielle
Berichterstattung
ITGC-WT
Datenfluss
Prozessprüfung: Prozesse umfassen manuelle und automatisierte Prozessschritte, welche der Prüfer aus Sicht des
Anwenders analysiert (anhand von Walkthroughs - WT).
Applikationsprüfung: Automatisierte Applikationsfunktionalitäten können innerhalb des Prozesses ohne
Benutzereingriff ablaufen, sind aus Anwendersicht nicht immer transparent und erfordern Walkthroughs durch ITApplikationen (inkl. Stammdatenverwaltung, Tabellensteuerungen, etc.).
Datenfluss-Prüfung: Daten werden von IT-Applikationen verarbeitet und fliessen durch einzelne oder mehrere
Prozesse hindurch (z.B. Schnittstellen zwischen IT-Applikationen, gemeinsam genutzte Stammdaten,
unternehmensexterne Daten).
ITGC-Prüfung: Die generellen IT-Kontrollen (ITGC), welche die IT-Applikationen beeinflussen, sind aus
Anwendersicht nicht erkennbar und müssen speziell beurteilt werden (IT-Prozesse und deren Kontrollen).
Automatisierte Prüfung: Gewisse Prüfungshandlungen für die Beurteilung von Kontrollen und Resultaten können
automatisiert durchgeführt werden, mit Einsatz von Software beim Unternehmen oder beim Prüfer.
► 
► 
► 
► 
► 
Page 11
ISACA-Jubiläumstagung, 17. September 2014
Erwartungen an ein IKS
Kundenfreundlichkeit
► 
Erwartungen an eine Kontrolle, an ein IKS
(Kundenfreundlichkeit)?
► 
► 
► 
► 
Effektivität / Wirksamkeit
Effizienz
Nachvollziehbarkeit
Übergeordnete Ziele
► 
► 
► 
► 
► 
Page 12
Unterstützung in der Erreichung von Geschäftszielen
Schutz von Unternehmenswerten
Verhindern von Fehlern, vermindern von Auswirkungen von
Fehlern
Verlässliche und zeitgerechte Finanzberichterstattung
Einhaltung von regulatorischen Vorschriften
ISACA-Jubiläumstagung, 17. September 2014
Erwartungen an ein IKS (2/2)
► 
«Benutzerfreundlichkeit» gemäss den Schweizer
Prüfungsstandards:
Geeignete Kriterien sind erforderlich für eine hinreichend schlüssige Beurteilung oder Messung
eines Sachverhalts im Kontext von pflichtgemässem Ermessen. Ohne Bezugsrahmen, der sich aus
geeigneten Kriterien ergibt, sind Schlussfolgerungen offen für individuelle Interpretationen und
Missverständnisse.
► 
Kriterien
► 
► 
► 
► 
► 
Relevanz
Vollständigkeit
Verlässlichkeit
Neutralität
Verständlichkeit
Page 13
ISACA-Jubiläumstagung, 17. September 2014
Grenznutzen von Kontrollen
Nutzen
Effektivität?
Effizienz
Nachvollziehbarkeit ?
(Anzahl) Kontrollen
Page 14
ISACA-Jubiläumstagung, 17. September 2014
Illustrative Fallbeispiele
Page 15
ISACA-Jubiläumstagung, 17. September 2014
Fallbeispiele
► 
► 
► 
► 
► 
Sign-off Ketten
„Melon Reports“
Management Kontrollen
Three-lines of Defense und ihre Begrifflichkeiten
Outsourcing
Page 16
ISACA-Jubiläumstagung, 17. September 2014
Sign-off Ketten
► 
► 
► 
► 
Page 17
Mehrfache Sign-offs
erhöhen nicht
zwangsläufig die
Assurance
Unklare inhaltliche
Abgrenzung der Signoffs
Rollen und
Verantwortlichkeiten
Abstützen auf das Signoff des Vorgängers
ISACA-Jubiläumstagung, 17. September 2014
Melon - Reports
► 
► 
► 
► 
Page 18
Management
Berichterstattung auf der
Basis des Ampelsystems
(RAG – Red, Amber,
Green)
Projekt- und
Unternehmensführung
Grundlage für die
Festlegung des Status (der
Farbe) nicht immer
nachvollziehbar
Unterschiedliche
Einschätzung für gleiche
Situation in Abhängigkeit
der Person, der Region,
des Kulturkreises
ISACA-Jubiläumstagung, 17. September 2014
Managementkontrollen
► 
“Durch das Management vorgenommene Kontrollen” (Definition HWP)
Die unabhängige Kontrolle durch das Management beruht auf der
Fachkenntnis dieser Personen und auf der Wahrnehmung der Führungsund Überwachungsaufgaben. Diese Kontrollen werden nach freiem
persönlichem Ermessen oder gestützt auf Geschäftsreglemente und
Pflichtenhefte durchgeführt.
► 
Managementkontrollen sind Teil des IKS...
► 
► 
► 
► 
► 
Page 19
können die Wirksamkeit des gesamten IKS erhöhen
nicht wirklich geeignet, um Kontrollen auf der Transaktionsebene zu ersetzen
Nachvollziehbarkeit von Managementkontrollen nicht immer gegeben
Mehr Managementkontrollen seit der Einführung von SOX 404
Überwachung von Dienstleistern (Outsourcing)
ISACA-Jubiläumstagung, 17. September 2014
Three Lines of Defense
Und ihre Begrifflichkeiten (1/2)
LOD 1
Page 20
LOD 2
ISACA-Jubiläumstagung, 17. September 2014
LOD 3
Three Lines of Defense
Und ihre Begrifflichkeiten (2/2)
Mangelnde Harmonisierung von Corporate Governance,
Risikomanagement und Kontrollsystem
11.  Rudimentäre Abstimmung und
Verwaltungsrat / Geschäftsleitung
3
1
2
Wertschöpfungskette
22.  Die Assurance-Funktionen
interagieren unabhängig
voneinander mit den operativen
Einheiten (Prozess- und
Linienverantwortliche), was bei
diesen Mehrfachbelastungen und
Doppelspurigkeiten verursacht
und zu einer «Risikomüdigkeit»
führt.
Vernetzung der verschiedenen
Assurance-Funktionen
untereinander. Sie verwenden
unterschiedliche Ansätze zur
Identifikation, Beurteilung,
Steuerung und Überwachung
von Risiken.
33.  Die verschiedenen Assurance-
Funktionen erstellen nicht
aufeinander abgestimmte
Berichte, die unter Umständen
sogar widersprüchliche
Informationen an den
Verwaltungsrat und die
Geschäftsleitung übermitteln.
Page 21
ISACA-Jubiläumstagung, 17. September 2014
Outsourcing
Einführung (1/2)
Unternehmung A
Page 22
ISACA-Jubiläumstagung, 17. September 2014
Dienstleister
Outsourcing
Einführung (2/2)
Offshoring
Business Process
Outsourcing
(BPO)
Selective Outsourcing
Page 23
Application Service Providing
(ASP)
Outtasking
Multi-Sourcing
VertriebsOutsourcing
Nearshoring
On Site Management
Captive offshore
Managed Services
Business Transformation
Comprehensive
Outsourcing
(Complete)
Outsourcing
Transitional
Outsourcing
ISACA-Jubiläumstagung, 17. September 2014
Outsourcing
Internes Kontrollsystem
An den Dienstleister ausgelagerte
Geschäftsbereiche
Page 24
ISACA-Jubiläumstagung, 17. September 2014
Outsourcing
Risiken
Page 25
ISACA-Jubiläumstagung, 17. September 2014
Outsourcing
Prüfungsrisiken (1/2)
ISAE 3402
Planung
?
Page 26
► 
Abstimmung des Scope im Kontrollbericht mit der ursprünglichen
Planung
► 
Identifikation der nicht effektiven Kontrollen
► 
Identifikation der nicht abgedeckten Bereiche (carve outs)
► 
Identifikation der Bereiche, welche weiterer Klärung bedürfen
ISACA-Jubiläumstagung, 17. September 2014
Outsourcing
Prüfungsrisiken (2/2)
Korrekte Planung und Scoping
Die wichtigsten Punkte:
► 
Prüfungsplanung als Ausgangspunkt
► 
Abdeckung des Kontrollberichts (z.B.
PS 402 / ISAE 3402) im voraus
Ablauf einer Jahresendrevision
Planung
Zwischenrevision
Schlussrevision
abklären
Berichterstattung
Q1
Q2
Ablauf einer SAS 70 Prüfung
Q3
Q4
► 
Generische / StandardKontrollberichte decken oft nicht die
benötigten Prozesse / Kontrollen ab
► 
Abgleich Prüfplanung und der
Kontrollberichte
► 
Beurteilung und Integration der
Ergebnisse in die
Prüfungsdokumentation
Planung
DET
OET
Berichterstattung
Page 27
ISACA-Jubiläumstagung, 17. September 2014
Lösungsansätze für eine erhöhte
Kundenfreundlichkeit
Page 28
ISACA-Jubiläumstagung, 17. September 2014
Lösungsansätze für eine erhöhte
Kundenfreundlichkeit
► 
► 
► 
Weniger ist mehr – Rationalisierung des IKS und des
Audits
Integriertes Risiko- und Kontrollmanagement
Verbesserte Outsourcing Governance
Page 29
ISACA-Jubiläumstagung, 17. September 2014
Weniger ist mehr –
Rationalisierung des IKS und des Audits
Rationalisierung des IKS
Rationalisierung des Audits
Page 30
ISACA-Jubiläumstagung, 17. September 2014
Integriertes Risiko- und Kontrollmanagement
Harmonisierung der Governance-Elemente, der
Organisation, der Prozesse, der Systeme und der
Datenstruktur, sodass Redundanzen vermieden
und Lücken geschlossen werden können
Verwaltungsrat / Geschäftsleitung
3
1
Integriertes Scoping
2
Integrierte
Beurteilungen
Diese Prozesse werden einer «integrierten
Risiko- und Kontrollbeurteilung» (RKB)
unterzogen, welche die Risiken der
finanziellen Berichterstattung, der Compliance
und des Betriebs beinhaltet. Liegen die
Risikobeurteilungen über der Risikotoleranz,
werden Risikominderungs- und/oder
Risikotransfermassnahmen eingeleitet.
3 3.  Integriertes Reporting
Wertschöpfungskette
Page 31
Eine integrierte Risikokontrolllandkarte, welche
eine konsistente Identifikation der
wesentlichen operationellen Risiken beinhaltet
und i. d. R. Finanz-, Compliance- und
Betriebsrisiken abdeckt. Diese wesentlichen
Risiken werden mit den entsprechenden
Prozessen und Systemen verknüpft.
2 2.  Integrierte Beurteilungen
Integriertes Reporting
1 1.  Integriertes Scoping
Eine zentrale Funktion erstellt Risikoberichte
für den Verwaltungsrat und die
Geschäftsleitung, welche die Ergebnisse der
einzelnen RKBs integrieren. Diese Berichte
werden für die Überwachung des Risikoprofils
im Lichte der Risikobereitschaft eingesetzt.
ISACA-Jubiläumstagung, 17. September 2014
Verbesserte Outsourcing Governance
► 
► 
► 
► 
Ausgelagerte Geschäftsaktivitäten müssen vom Prüfer
genauso betrachtet werden wie in-house Prozesse
Mit Auslagerungen sind oft erhöhte Risiken verbunden,
denen nur die wenigsten Unternehmungen hinreichend
Bedeutung schenken
Frühzeitige Planung, Scoping und Integration der
Prüfungsergebnisse sind undabdingbar
Zeitliche Abhängigkeiten zur externen Prüfung und
Kontrollberichterstattung beim Dienstleister können die
Abwicklung der Prüfung erschweren
Page 32
ISACA-Jubiläumstagung, 17. September 2014
Schlusswort
Page 33
ISACA-Jubiläumstagung, 17. September 2014
Grenznutzen von Kontrollen
Nutzen
Effektivität
Effizienz
Nachvollziehbarkeit
(Anzahl) Kontrollen
Page 34
ISACA-Jubiläumstagung, 17. September 2014
EY | Assurance | Tax | Transactions | Advisory
About the global EY organization
The global EY organization is a leader in assurance, tax,
transaction and advisory services. We leverage our
experience, knowledge and services to help build trust and
confidence in the capital markets and in economies all over
the world. We are ideally equipped for this task – with well
trained employees, strong teams, excellent services and
outstanding client relations. Our global purpose is to drive
progress and make a difference by building a better working
world – for our people, for our clients and for our communities.
The global EY organization refers to all member firms of Ernst
& Young Global Limited (EYG). Each EYG member firm is a
separate legal entity and has no liability for another such
entity’s acts or omissions. Ernst & Young Global Limited, a UK
company limited by guarantee, does not provide services to
clients. For more information, please visit www.ey.com.
EY’s organization is represented in Switzerland by Ernst &
Young Ltd, Basel, with ten offices across Switzerland, and in
Liechtenstein by Ernst & Young AG, Vaduz. In this publication,
«EY» and «we» refer to Ernst & Young Ltd, Basel, a member
firm of Ernst & Young Global Limited.
© 2014
Ernst & Young Ltd
All Rights Reserved.
Document
Kategorie
Kunst und Fotos
Seitenansichten
7
Dateigröße
2 279 KB
Tags
1/--Seiten
melden