Referat IKS-Systematisierung14.6.2006
Seite 1
Systematisierung
Interner Kontrollsysteme
(IKS)
Referat IKS-Systematisierung14.6.2006
Seite 2
Informations - Ziel:
IKS-Definition
IKS-Zuständigkeit
IKS-STZH: IST-/SOLL-Zustand
COSO: IKS-Vorgehenssystematik
Referat IKS-Systematisierung14.6.2006
Seite 3
Definition „Internes Kontrollsystem“ (IKS)*
Das IKS ist ein Managementinstrument zur zweckmässigen Sicherstellung der Erreichung von Unternehmenszielen in den Bereichen “Prozesse“, “Informationen“, “Vermögensschutz“ und “Compliance“.
Das IKS umfasst alle dafür von der Geschäfts-leitung planmässig angeordneten organisatorischen Methoden und Massnahmen.
* u.a. gemäss IKS-Positionspapier der Treuhandkammer - 3.2006
Referat IKS-Systematisierung14.6.2006
Seite 4
IKS - „Rollenverteilung“
- Exekutive: Gesamtverantwortung
- DienstchefIn: Verantwortlich für DA-IKS
(Zweckmässigkeit und Einhaltung in operativen und finanziellen Bereichen)
- b
- Finanzkontrolle: Beurteilt IKS systematisch und trägt zu dessen Verbesserung bei
- (IAA-Standard 2100: Kernaktivität der Internen Revision)
Referat IKS-Systematisierung14.6.2006
Seite 5
IKS IST-Zustand (1)
Interne Kontrollsysteme bzw. Kontroll-/Steuerungsmassnahmen existieren in jeder Dienstabteilung
Basis: Städtische Vorgaben (StRB Glie-derung/Aufgaben, Kompetenzordnung,Anweisungsverfahren, VerfügungBuchführung etc.)
Referat IKS-Systematisierung14.6.2006
Seite 6
IKS IST-Zustand (2)
Meist gewachsene Systeme:
- Massnahmen aufgrund von Vorfällen
- Punktuelle Umsetzung unterschiedlicher betriebswirtschaftlicher Kenntnisse
Qualitätsmanagement z.T. vorhanden
aber: QM IKS
Referat IKS-Systematisierung14.6.2006
Seite 7
IKS IST-Zustand (3)
IKS-Qualitätsanforderung/-messung:
- Definition oft unklar
- Unterschiedliches Verständnis
- Kein Vorgehens-Standard
- Terminologie nicht einheitlich(Kontrollmassnahme ?)
Referat IKS-Systematisierung14.6.2006
Seite 8
IKS SOLL-Zustand
Systematische, nachvollziehbareSicherstellung von Zielen:Potentielle Zielverhinderung = Risiko
RisikoanalyseDaraus abgeleitet:
Steuerungs-/Kontrollmassnahmen
MA: IKS-Auftrag und -Verantwortung klar
Stadtweit einheitliche IKS-Systematik! Im Rechnungswesen gilt die COSO-Vorgehensweise
Referat IKS-Systematisierung14.6.2006
Seite 9
Modell-Wahl: COSO
Standard, der sich in der Schweiz und International zur
Systematisierung Interner Kontrollsysteme
durchsetzt
Referat IKS-Systematisierung14.6.2006
Seite 10
COSO = Rahmenstruktur für Interne Kontrollsysteme
COSO = Committee of Sponsoring
Organizations of theTreadway Commission
Referat IKS-Systematisierung14.6.2006
Seite 11
IKS-Systematisierung
Was ändert sich nicht:
- Organisatorische Grundsätze
- Steuerungs-/Kontrollmassnahmen
Referat IKS-Systematisierung14.6.2006
Seite 12
Steuerungs-/Kontrollmassnahmen wie bisher:
Organigramm, Stellenbeschreibung, Controlling, Qualitäts-/Prozessmanagement etc.
Ordnungsmässigkeit, Vier-Augen-Prinzip, Funktionentrennung, Stellvertretungen,Aufsichtspflicht etc.
Übereinstimmung von Auftrag – Kompetenz – Verantwortung
Routineabläufe standardisieren – Rahmenbedingungen für Problemlösungsbereiche
Referat IKS-Systematisierung14.6.2006
Seite 13
System-Überwachung
Information & Kommunikation
Kontrollmassnahmen
Risikoanalyse
Internes Umfeld
Pro
zesse
Inform
ationen
Complia
nce
Vermögens-
schutz
Dep
arte
men
te
Die
nst
abte
ilun
gen
Akt
ivit
äten
„Neu“: Systematische Vorgehensweise
COSO-Modell
Bereiche
IKS-Faktoren
Ziele und Faktoren sind
mit- und untereinander
vernetzt
Ziele
Referat IKS-Systematisierung14.6.2006
Seite 14
IKS-Ansatz
Risikoorientierte Kontrollen
- auf Unternehmensebene (Entity Level Controls)
und
- Prozessebene
Referat IKS-Systematisierung14.6.2006
Seite 15
IKS-Zielsetzungen
- Prozesse: Effektiv und effizient
- Informationen: Zuverlässig und Vollständig
(Ordnungsmässigkeit)
- Vermögensschutz: Finanzen, HR, Know-how
- Compliance: Einhaltung von Rahmen- bedingungen, Verträgen etc.
Referat IKS-Systematisierung14.6.2006
Seite 16
IKS-Faktoren/Komponenten
(Vorgehens-Systematik)
• IKS-Verständnis • Ethik, Integrität, Fach-Kompetenz
• Management-Philosophie/ -Arbeitsstil• Organisatorische Struktur
• Zuweisung A-K-V
• Personalpolitik und deren Umsetzung
Internes Umfeld
Risikoanalyse
Kontrollmassnahmen
Information & Kommunikation
System-Überwachung
Referat IKS-Systematisierung14.6.2006
Seite 17
IKS-Faktoren/Komponenten
Internes Umfeld
Risikoanalyse
Kontrollmassnahmen
Information & Kommunikation
System-Überwachung
• Definition Geschäftsbereiche/
Ziele• Prozesse und Ziele definieren• Risiken identifizieren - Prozesse - Informationen - Betriebsvermögen - Compliance
• Risiken beurteilen (Relevanz,
Eintrittswahrscheinlichkeit, Behandlung)
• Massnahmen/Kontrollziele festlegen zur Beherrschung der Risiken
Referat IKS-Systematisierung14.6.2006
Seite 18
IKS-Faktoren/Komponenten
Internes Umfeld
Risikoanalyse
Kontrollmassnahmen
Information & Kommunikation
System-Überwachung
Umsetzung der Risikoanalyse:
- Organisatorische Instrumente - Führungskontrolle
Steuerungs- und Kontrollmassnahmen in Prozesse integrieren!
Referat IKS-Systematisierung14.6.2006
Seite 19
IKS-Faktoren/Komponenten
Internes Umfeld
Risikoanalyse
Kontrollmassnahmen
Information & Kommunikation• Informationsbedarf definieren, Inform.systeme bereitstellen: Wer braucht was?
• Geeignete Kommunikation sicherstellen: Was - Wie – Wann (Sitzungen, Protokolle, Mail, Intranet, Systemzugang etc.)
Systematische, prozess-unabhängige IKS-Überprüfung
System-Überwachung
Referat IKS-Systematisierung14.6.2006
Seite 20
Details + Beispiel zur Risikoanalyse
Internes Umfeld
Risikoanalyse
Kontrollmassnahmen
Information & Kommunikation
System-Überwachung
Referat IKS-Systematisierung14.6.2006
Seite 21
1
2. Prozesse erfassen/gestalten
Laufend: Internes Umfeld bewusst gestalten
4. Steuerungs-/Kontrollmassnahmen
definieren
1. Ziele definieren
2 3 4 5
5. Steuerungs-/Kontrollmassnahmen
implementieren
Laufend: Information und Kommunikation definieren/sicherstellen
IKS-Monitoring (Systemüberwachung/-verbesserung)
I
K
SZiele:
ProzesseInformationen
VermögenCompliance
3. Risiken analysieren
Systematische Vorgehensweise
DetailsBeispiel
Referat IKS-Systematisierung14.6.2006
Seite 22
Risikoanalyse
• Definition Geschäftsbereiche/Ziele
• Prozesse und Ziele definieren
• Risiken identifizieren (Wald & Bäume !)- Prozesse Effektiv/Effizient- Informationen (F/O) Zuverlässig/Vollständig- Betriebsvermögen Finanzen, HR, Know-how- Compliance Rahmenbedingungen
einhalten
• Risiken beurteilen (Relevanz, Eintrittswahr- scheinlichkeit, Behandlung)
• Massnahmen (Steuerung & Kontrolle) und Kontrollziele festlegen zur Beherrschung der Risiken
Referat IKS-Systematisierung14.6.2006
Seite 23
Risikoanalyse: Beispiel Lohnprozess (1)
Interne Erfassung der Mutationen
Meldung an HR
Kontrolle Lohnjournal
Abstimmung Lohnjournal
mit FIBU
Arbeitszeiterfassung
Prozess-Ziel: Termingerechte, korrekte Lohnauszahlung an alle berechtigten MA mit ordnungsgemässem Ausweis in der Stadtrechnung
Referat IKS-Systematisierung14.6.2006
Seite 24
Risikoanalyse: Beispiel Lohnprozess (2)
Interne Erfassung der Mutationen
Meldung an HR
Kontrolle Lohnjournal
Abstimmung Lohnjournal
mit FIBU
ArbeitszeiterfassungAB PR
PR, AB PR
Richtlinien Lohn-
auszahlungen
Präsenz, Ferien, Ab-wesenheiten, Urlaub
Ein-/Austritt, Zulagen, Abzüge, etc.
Stadtrechnung =IST-Löhne
Verantwortung bei DA
ProzessablaufGrundlagen Beachten
NachweisJahres-
abschluss
Mögliches Ergebnis bei „traditioneller“ Vorgehensweise:
Referat IKS-Systematisierung14.6.2006
Seite 25
Risikoanalyse: Beispiel Lohnprozess (3)
Prozesseffektivität: - Aufgabe/Zielsetzung klar - Verantwortung zugewiesen- Prozessabläufe definiert (wer macht wann was)- Mögliche Fehlerquellen eruiert
Prozesseffizienz: - Die nötigen Instrumente und Hilfsmittel vorhanden - Zweckmässiger Einsatz sichergestellt- Evtl. Termin-/Zeitvorgaben
Ergebnis mit strukturierter Risikoanalyse nach COSO-Zielsetzungen:
Referat IKS-Systematisierung14.6.2006
Seite 26
Risikoanalyse: Beispiel Lohnprozess (4)
Zuverlässigkeit / Vollständigkeit der Informationen:- Die benötigten Informationen sind klar definiert
- Die nötigen organisatorischen Massnahmen und Instrumente sowie die Zuständigkeiten sind definiert, damit die Ordnungsmässigkeit gewährleistet ist. Z.B.:
Die Korrektheit der Angaben an die Mutationsbeauftragten ist sichergestellt
Das Lohnjournal wird zweckmässig überprüft
Die Kostenstellenverantwortlichen erhalten dienötigen Angaben zur Überprüfung ihrerBereichsdaten
Referat IKS-Systematisierung14.6.2006
Seite 27
Risikoanalyse: Beispiel Lohnprozess (5)
Vermögensschutz
Finanzen: Korrektheit Lohnauszahlung sichergestellt(Abzüge, Rückforderungen im Griff)
MA: Richtige Person am richtigen Ort (z.B. ZBG)
Know how: - Stellvertretung
- Wissensanforderung definiert/sichergestellt
Image: Kundenorientierung - Termineinhaltung- Qualität, Problembehandlung- Erreichbarkeit (Telefon, Präsenz)
Referat IKS-Systematisierung14.6.2006
Seite 28
Risikoanalyse: Beispiel Lohnprozess (6)
Compliance: - Zuständigkeit für Einhaltung (und Ausnahmen)
von Rahmenbedingungen festgelegt
- Alle relevanten Rahmenbedingungen sind bekannt/aufgelistet und den entsprechenden Prozessen zugeordnet
- Die Einhaltung der relevanten Vorgaben ist in den Prozessabläufen sichergestellt
- Allfällige interne Vorschriften sind im Einklang mit den städtischen Vorgaben (Arbeitszeit, Bildungsbereich etc.)
Referat IKS-Systematisierung14.6.2006
Seite 29
Fazit (1) (Bisher ging‘s doch auch !?)
Ohne einheitliche IKS-Systematik:
Unterschiedliche IKS-Lösungen/Standard
Improvisations-/Sitzungsaufwand
MitarbeiterInnen, die Vakuum ausfüllen
Unklarheiten, Lehrläufe, Missverständnisse
Referat IKS-Systematisierung14.6.2006
Seite 30
Fazit (2) COSO als Vorgehenssystematik
Unterstützung der Führungs- und Aufsichtsfunktion:
Hilft IKS-Anforderungen zu konkretisieren (Klar, Verbindlichkeit)
Effektiv/Effizient durch Systematik (Vollständigkeit der Risikoanalyse, keine „Verzettelung“, Synergiegewinne durch Nachvollziehbarkeit)
Vergleichbar (Kennzahlen Erfüllungsgrad)
Image: Anerkannter, internationaler Standard
Referat IKS-Systematisierung14.6.2006
Seite 31
IKS-Unterstützung:
- Revisionen- IKS-Kaderinformation - Checklisten IKS-Selbstdeklaration- Informationsgespräche mit der FK- Leitfaden „IKS im Rechnungswesen“- IKS Management-Standards- Vorgaben für IKS-Übersicht/“Handbuch“- Managementausbildung: IKS
geplant
Referat IKS-Systematisierung14.6.2006
Seite 32
Ende
Referat
Info
rmat
ion
+ K
omm
unik
atio
n
Internes Umfeld
Steuerungs- und Kontrollmassnahmen
Risikoanalyse
DAS INTERNE KONTROLLSYSTEM
(COSO-Modell)
Moni-toring
Managementinstrument zur Sicherstellung der
Zielerreichung
Definition Ziele
IKS-Faktoren
ProzesseInformationen
VermögensschutzCompliance