8
pages
Deutsch
Documents
Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres
8
pages
Deutsch
Documents
Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres
Publié par
Langue
Deutsch
Audit Update
Internes Kontrollsystem und Risk Management
Stand der Diskussion und Umsetzungsempfehlungen
Februar/März 2007
ADVISORY
Die Neuordnung des Schweizerischen Revisionsrechts (OR) wird vor-
aussichtlich per 1. Januar 2008 in Kraft treten. Die Auseinandersetzung
mit den Themen internes Kontrollsystem (IKS) und Risikobeurtei-
lung, respektive Risikomanagement, gewinnt somit immer mehr an
Bedeutung, und der Zeitdruck zur Umsetzung nimmt zu.
Der generische Ansatz zur Implementierung und kontinuierlichen Weiterent-
Inhalt
wicklung eines IKS über die Buchführung und Rechnungslegung ist für alle
Unternehmen gleich. Der Umfang und die Ausgestaltung des IKS sind jedoch
1. IKS Projekt Navigator 2
auf die individuellen Bedürfnisse und Risiken der jeweiligen Unternehmung
auszurichten. Wir stellen hierzu ein generisches Modell vor – den IKS Projekt
2. Berücksichtigung des IKS
Navigator.
bei der Revision 5
Die Prüfung der Existenz eines IKS wird neu in Art. 728a Abs. 1 Ziff. 3 rev. OR
3. Risikobeurteilung:
für die ordentliche Revision ausdrücklich als eigenständiger Prüfungsgegen-
Gesetzliche Anforderungen 6
stand erwähnt. Dies stellt eine Ausweitung des gesetzlichen Prüfungsauftrags
dar. Wir gehen auf die Veränderungen bezüglich IKS in der Revision gegenüber
4. Risikomanagement:
der bisherigen Handhabung ein.
Mehr als eine
Risikobeurteilung 7
Art. 663b Ziff. 12 rev. OR verlangt von den Unternehmen, dass sie im Anhang
der Jahres- und Konzernrechnung Angaben über die Durchführung einer Risiko-
beurteilung machen. Von dieser Gesetzesänderung sind alle Aktiengesellschaf-
ten betroffen, sowie andere Rechtsformen, für welche die aktienrechtlichen
Rechnungslegungsvorschriften gelten. Was genau im Anhang offengelegt wer-
den muss, ist vom Gesetzgeber nicht klar geregelt.
Ein ganzheitliches Risikomanagement geht über die Risikobeurteilung hinaus.
Es schliesst ein systematisches Überwachen und Steuern der Risiken ein und
bietet über die gesetzlichen Anforderungen hinaus Chancen und Vorteile für das
Unternehmen. Wir stellen die wesentlichen Elemente eines Risikomanage-
ments vor, welche je nach Grösse und Komplexität unterschiedlich auszugestal-
ten sind. „
„
„
2 Audit Update | Februar/März 2007
1. IKS Projekt Navigator
Das Vorgehen in einem IKS-Projekt über die Buchführung Externe Bestimmung
Ist-Analyse
Revisionsstelle Methodikund Rechnungslegung besteht in der Regel aus acht Schrit- 8 1 2ten, die in eine kontinuierliche Projektleitung, -überwachung
und -steuerung eingebettet sind. In diesem Vorgehen sind
die Kontrollen auf drei unterschiedlichen Ebenen und deren
Generelle Zusammenspiel zu berücksichtigen (vgl. nebenstehende
IT-Kontrollen Prozess-
ebene Behebung Auswahl-Abbildung):
Schwachstellen Verfahren7 3
Kontrollen auf Unternehmensebene sind Kontrollen
Unternehmens-
ebene mit durchgreifendem Charakter, die Einfluss auf mehrere
Aspekte der Aufbau- und Ablauforganisation und somit
auch auf mehrere Prozesse innerhalb der Unternehmung
Beurteilung Kontroll- Risiko- / haben können. Es handelt sich beispielsweise um Kom-
Existenz beschreibung Kontrollmatrixpetenzregelungen, Kontrollgremien, eine übergreifende 6 5 4
Überwachung von Kontrollen auf Prozessebene oder ein
systematisches Weisungswesen mit entsprechender
Durchsetzung. 1. Ist-Analyse
Kontrollen auf Prozessebene decken die Risiken einer Jedes Unternehmen verfügt über interne Kontrollen. Die
wesentlichen Fehlaussage in der Buchführung und Frage ist jedoch, wie weit das IKS entwickelt und wie nach-
Rechnungslegung von der Initiierung, Registrierung, Ver- haltig es ist. Deshalb ist eine Ist-Analyse der vorhandenen
arbeitung, Verbuchung bis zum Ausweis von Geschäfts- Informationen, Dokumentationen und Evaluationsinstrumen-
vorfällen innerhalb einzelner Prozesse ab. Es handelt sich te durchzuführen. Es kann sich beispielsweise um Mana-
entweder um so genannte manuelle Kontrollen oder au- gementinformations-Systeme, ein Risikomanagement, Or-
tomatische Applikationskontrollen. Manuelle Kontrollen ganisations- oder Managementhandbücher, Qualitätsmana-
sind beispielsweise die Überprüfung der Korrektheit von gement, ein Berechtigungskonzept, Prozess- oder Kontroll-
Bewertungen oder Bank- und Postcheckkonto-Bestäti- beschreibungen handeln.
gungen. Automatische Applikationskontrollen werden
durch IT-Applikationen, beziehungsweise End-User 2. Bestimmung der Methodik
Computing-Applikationen (zum Beispiel Tabellenkalkula-
tionen), durchgeführt. Es handelt sich beispielsweise um Basierend auf den Erkenntnissen der Ist-Analyse ist die
die Plausibilisierung von Dateneingaben oder automati- Methodik für die nächsten fünf Schritte festzulegen: Aus-
sche Abstimmungen von Hauptbuch und Nebenbüchern. wahlverfahren, Risiko-/Kontrollmatrix, Kontrollbeschreibung,
Beurteilung der Existenz und Behebung der Schwachstellen.
Generelle IT-Kontrollen gewährleisten, dass die auto-
matischen Applikationskontrollen ordnungsmässig funk- Ein Aspekt ist die Definition, welche Risiken und Kontrollen
tionieren. Gibt es beispielsweise im Einkaufsprozess ei- im Projekt abgedeckt werden sollen – nur jene über die
ne automatische Abstimmung zwischen Bestellung, Wa- Buchführung und Rechnungslegung oder auch operationelle
reneingang und Rechnung (automatische Applikations- und Compliance-Risiken und -Kontrollen. Die Erfahrung hat
kontrolle), funktioniert diese Abstimmung nur verlässlich, gezeigt, dass der Umfang bei der Einführung nicht zu weit
wenn die entsprechende IT-Applikation den systemati- gesteckt werden soll, da das IKS-Projekt komplexer und
schen Änderungsverfahren der IT-Abteilung unterliegt zeitintensiver wird und man sich im Detail verlieren kann. Es
(generelle IT-Kontrolle). empfiehlt sich daraus eine phasenweise Erfassung der ein-
zelnen Zielbereiche.
In der Folge werden die einzelnen Schritte beschrieben und
es wird punktuell auf spezifische Aspekte der Kontrollen auf Ein weiterer Aspekt ist die Konsistenz und Qualität der Do-
Unternehmensebene, der Kontrollen auf Prozessebene und kumentation. In der Regel ist es sinnvoll, wenn jede Einheit
der generellen IT-Kontrollen eingegangen. eines Konzerns oder jede Abteilung einer Unternehmung
dieselben Vorlagen, die gleiche Terminologie, beziehungs-
weise ein einheitliches Dokumentationssystem benutzt. Es
ist auch zweckmässig, die Rollen und Verantwortlichkeiten
der einzelnen Funktionen bezogen auf das IKS zu definieren 3 Audit Update | Februar/März 2007
Risiko-/Kontrollmatrix (illustratives und unverbindliches Beispiel)
Jahresrechnung
Schlüssel-
kontrolle
Position Konto Aussagen
Forderungen 1100 X Verkauf Die Mutation (Eingabe KO_3 X Eine Mutation der Ereignis Debitoren-
aus Lieferun- bzw. Veränderung) der Kreditlimite wird im buchhalter
gen und Kreditlimite im System System nur vorge-
Leistungen erfolgt ohne Autorisie- nommen, wenn der
rung des CFOs. Mutationsantrag
Verkauf 3000 durch den CFO
Handelsware autorisiert ist.
… … … … … … … … … … … … … … … …
und zu kommunizieren. Es handelt sich beispielsweise um als auch auf der Ebene statutarische Jahresrechnung durch-
Funktionen wie Konzernleitung/Geschäftsleitung, Enterprise zuführen. In diesem Schritt werden auch die Pilot-Einheiten
Risk Management, Controlling oder Interne Revision. und/oder Pilot-Prozesse identifiziert, um die in Schritt 2
festgelegte Methodik für die Schritte 4 bis 7 zu testen und
3. Auswahlverfahren (auch Scoping genannt) allenfalls anzupassen, damit ein optimaler Ansatz ausgerollt
werden kann.
Das Ziel des Auswahlverfahrens ist die Identifikation der
wesentlichen Prozesse mittels risikoorientierten top-down 4. Risiko-/Kontrollmatrix
Vorgehens. Risikoorientiert heisst, dass grundsätzlich jene
Prozesse berücksichtigt werden, in welchen das Risiko einer Für die im Auswahlverfahren bestimmten wesentlichen
wesentlichen Fehlaussage in der Buchführung und Rech- Prozesse werden die Risiken einer wesentlichen Fehlaussa-
nungslegung hoch ist. Die Erfahrung zeigt, dass Non- ge in der Buchführung und Rechnungslegung sowie die
Routine Prozesse und Schätzungen tendenziell höhere Risi- bestehenden Kontrollen im Unternehmen identifiziert und in
ken enthalten. Top-down heisst, dass in Bezug auf die we- einer Risiko-/Kontrollmatrix einander gegenübergestellt (vgl.
sentlichen Prozesse zuerst identifiziert wird, welche über- obige Abbildung). Diese systematische und umfassende
greifenden Kontrollen bestehen, um das Risiko einer Fehl- Gegenüberstellung zeigt beispielsweise auf, wenn für ein
aussage zu vermindern. Falls keine übergreifenden Kontrol- Risiko keine Kontrolle besteht (=Kontrolllücke). Es kann aber
len vorhanden sind oder sie nicht alle Risiken abdecken, auch festgestellt werden, dass für ein Risiko mehrere Kon-
werden die ergänzenden Kontrollen auf Prozessebene iden- trollen bestehen und allenfalls eine Kontrolle andere Kontrol-
tifiziert. Wenn es sich bei den Kon