SAPERION Blog

Evaluationsprozess für ein IKS

Diese Woche liegt der Schwerpunkt auf dem Monitoring eines IKS, denn ein IKS muss von Zeit zu Zeit auch angepasst werden. Es kann vorkommen, dass Kontrollen mit der Zeit weniger effektiv sind, nicht länger benötigt oder neue Aufgaben hinzugefügt werden. Dieses festzustellen setzt die Überprüfung der Effektivität und Wirksamkeit des IKS voraus.
Das Monitoring kann auf verschiedene Weisen geschehen  durch separate Evaluation, durch die laufende Überwachung oder durch eine Mischung aus beiden Aktivitäten. Mit Hilfe solcher Aktivitäten kann das Management die Relevanz der Risiken beurteilen und auch die Einführung neuer Maßnahmen erkennen.

Evaluationsprozess eines IKS

Mit Hilfe eines selbst entwickelten und automatischen Evaluationsprozesses soll die Effektivität des IKS überwacht und sichergestellt werden. In der SAPERION ECM wird dazu ein automatischer Effektivitätsbericht erstellt (s. Abbildung „Effektivitätsbericht erstellen und senden“) werden, der dem CFO übermittelt wird (20. des Monats). (more…)

COSO I Cube Information & Kommunikation

Wie versprochen tauchen wir diese Woche in die Ebene Information und Kommunikation des COSO I ein. Die Information & Kommunikation durchdringt alle Ebenen des COSO I Modells und dient dazu, die Entscheidungen des Managements zu unterstützen. Alle zuständigen Stellen müs-sen eingewiesen sein, um Informationen (auch risikorelevante) an der richtigen Stelle im Unternehmen weiter-zu-leiten. Neben der mündlichen Informationsweitergabe können auch Richtlinien und Handbücher zur Nutzung in Betracht gezogen werden. Außerdem müssen auch alternative Kommunikationswege wie z.B. Meetings oder Sprechstunden durchgeführt werden, um beim Versagen der üblichen Berichtswege Informationen weiter leiten zu können. Information und Kommunikation bezieht sich nicht nur auf das Unternehmen, sondern auch auf externe Kommunikationspartner wie Kunden, Aktionäre, Ämter oder Prüfer. Externe Auditoren (Wirtschaftsprüfer) liefern dem Management wichtige Steuerungsinformationen und Feedback über das Funktionieren des IKS.

Rollen und Verantwortlichkeiten für den Jahres- /Monatsabschluss

Für die jeweiligen festgelegten Maßnahmen und Kontrollen zum Jahres-/Monatsabschluss sind Verantwortung und Rollen in Interviews und Gesprächen mit dem Head of Accounting und dem CFO festgelegt worden ( Verantwortung und Rollen für den Jahres-/ Monatabschluss Zusätzlich dazu ist auch der Kommunikationsweg der Berichterstattung oder Eskalation definiert.

(more…)

Wie versprochen widmen wir uns in dieser Woche  den Kontrollaktivitäten für den Jahres- /Monatsabschluss. Die Kontrollaktivitäten beziehen sich auf alle analysierten Risiken im Post 7 (Risikomatrix). Für jedes Risiko sind entsprechende Kontrollen zu bestimmten Prüfzyklen erhoben, um Risiken zu minimieren und die festgelegten Ziele zu erreichen.

Die Dokumentation des IKS, welche als Nachweis der Kontrollaktivitäten dient, muss alle wichtigen Informationen enthalten, vollständig und aktuell sein. Dabei soll die Aufzeichnung fehlerfrei und eindeutig also für den Anwender müssen jegliche Aufgaben verständlich sein. Das heißt, es ist ein passender Detaillierungsgrad zu wählen.
Die Kontrollaktivitäten des IKS sind entweder als verbale Prozessbeschreibung, Risiko-Kontroll-Matrix, Flussdiagramm, mit Fragebögen oder als Organisationshandbuch zu beschreiben.

Eine solche Risiko-Kontroll-Matrix zur Dokumentation und Planung von Kontrollaktivitäten wurde im Rahmen meiner Masterarbeit auch zusammen mit dem Accounting und CFO der SAPERION AG erstellt (Maßnahmen für den Jahres/ Monatsabschluss). (more…)

COSO Framework

Wie versprochen steigen wir nun in die Planung des IKS und mitten in das Internal Control-Framework ein, nämlich in die „Risikobeurteilung“ (s. Abb COSO Framework).  Um diese durchführen zu können müssen die COSO-Hauptziele („Betrieblich“, „Berichterstattung“, „Regeleinhaltung“)  des Würfels genauestens durch das Management definiert werden. Zusätzlich dazu muss durch die unterste Ebene das gesamte Kontrollumfeld dokumentiert und beschrieben sein.  Dieses beinhaltet Beschreibungen, Festlegungen wie Integrität und ethische Werte, Bekenntnis zur fachlichen Kompetenz, Tätigkeit des Überwachungsorgans, Organisationsstruktur, Weisungsberechtigung und Verantwortung, Grundsätze der Personalpolitik in Zusammenhang zur Einführung des IKS.
Das Kontrollumfeld hat einen tiefgreifenden Einfluss auf die unternehmerische Tätigkeit und auf die Sicht von Risiken, Verhalten und die Grundeinstellungen des Managements sowie der Mitarbeiter. Es beeinflusst nicht nur eine Ebene des COSO I – Würfels, sondern durchzieht alle fünf Ebenen.

Risikobeurteilung für den Jahres-/ Monatsabschluss

Die Risikobeurteilung bezieht sich auf die Identifikation der Risiken für den Prozess des Jahres-/ Monatsabschlusses, in Bezug auf die gesetzten Ziele (“betriebliche Ziele”, “Berichterstattung” und “Compliance”). Das heißt, dass Ereignisse oder Zustände erfasst werden müssen, welche die festgelegten Ziele negativ beeinflussen. Dabei wird nicht nur der Prozess betrachtet, sondern auch die Risiken auf der Ebene des Unternehmens. (more…)

Zur Einführung eines IKS in dem Bereich Accounting gibt es traditionelle und darauf aufbauende Frameworks, die auch das in den Gesetzen (BilMog, KonTrag etc.)  gefragte Risikomanagement abdecken. In den folgenden Abschnitten möchte ich einen Überblick über das CoCo sowie das COSO und COSO-ERM geben.

„Guidance on Control“ (CoCo)  

CoCo Framework

Als eines der ersten Frameworks wurde das „Criteria on Control“ (CoCo) spezifiziert. Das Canadian Institute of Chartered Accountants (CICA) hat 1995 das CoCo erstmalig vorgestellt. Das Modell basiert auf vier iterierten Schritten (s. Abb. CoCo Framework) und enthält 20 Kriterien, um ein IKS nach Zielen qualitativ zu prüfen.

Zweck – Purpose: Enthält Ziele, Strategie, Vision, Performanceziele und Indikatoren, in- und externe Risiken und Chancen, Pläne zur Erhaltung der Leistung, Maßnahmen zur Archivierung.

Einsatz – Commitment: Enthält die Werte (ethische), Vertrauen, Autorität, Verantwortung für die Identität der Unternehmung.

Fähigkeit – Capability: Beschreibung der Kontrollobjekte, Kommunikationsprozesse und die Koordination dieser.

Überwachung & Weiterentwicklung – Monitoring & Learning: Durchführung, Verbesserung, Überwachung der Kontrollumgebung, der Kontrollobjekte und der Performance

CoCo wurde im Laufe der Zeit eher zum Einsatz von Prävention und Aufdeckung von (more…)

Bei Kontrollaktivitäten handelt es sich um die definierten Verfahren sowie Richtlinien, welche die Durchführung der Ziele des Unternehmens sicherstellen sollen.  Bei der Planung des Vorgehens für ein IKS werden diese vom Management festgelegt.

Unterscheidungen von Kontrollaktivitäten

Bei Kontrollaktivitäten handelt es sich um die definierten Verfahren sowie Richtlinien, welche die Durchführung der Ziele des Unternehmens sicherstellen sollen. Bei der Planung des Vorgehens für ein IKS werden diese vom Management festgelegt.

Kontrollaktivitäten lassen sich in verschiedenen Einteilungen zusammenfassen. Die zu grundlegende Einteilung ist die nach „manuellen“ oder „automatischen“ Kontrollen. Wie die Bezeichnung schon erahnen lässt, werden „manuelle“ Kontrollen meist von einer oder mehreren Personen getätigt. Im Gegensatz dazu werden „automatisch“ (auch als systembasiert bezeichnet) durch ein System durchgeführt und ohne manuellen Eingriff oder eine Interaktion durchgeführt. Als ein gutes Beispiel ist hier (more…)

In meinem letzten Post habe ich über den Aufbau und Begriff des IKS geschrieben, der heutige widmet sich den möglichen Prüfungsstandards. Nach einiger Recherche stellte ich fest, dass der Dschungel doch nicht so undurchsichtig ist. Der Schwerpunkt der  Prüfungsstandards liegt beim ordnungsgemäßen Betrieb von ausgelagerten Service-Prozessen.

SAS 70

Das Statement on Auditing Standards Nr. 70 (SAS 70 for Service Organizations) ist ein bekannter Prüfungsstandard, der durch (more…)

Kommen wir nun in dieser Woche langsam zum spannendsten Teil der Grundlagen und nähern uns dem Schwerpunkt, dem Aufbau des IKS und seinen Aufgaben. Dies natürlich mit dem Gedanken bald in die Praxis, Planung und Umsetzung eines IKS einsteigen zu können.

Was ist ein IKS überhaupt?

Unter dem Begriff des IKS werden die vom Management eines Unternehmens eingeführten Grundsätze, Verfahren und Maßnahmen verstanden, welche auf die organisatorische Umsetzung von Entscheidungen ausgerichtet sind. (more…)

In meinem erst Post zu einer Serie rund um das Thema Internes Kontrollsystem habe ich über die Basics der Compliance geschrieben. Hier nun wie versprochen die Fortsetzung mit dem Schwerpunkt der Einsatzbereiche in der Unternehmung.

Compliance-Bereiche

Der Begriff Compliance ist schwer zu fassen, da dieser sehr vielschichtig ist und in den ver-schiedensten Unternehmensbereichen Anwendung findet (s. Abbildung).

Grundsätzlich lässt sich Compliance differenzieren, z. B. nach Corporate Compliance, IT- Compliance oder Tax-Compliance. Zusätzlich besitzt Compliance eine Vielzahl von Facetten, z.B. aus den Bereichen Unternehmensphilosophie und -kultur wie Ethikrichtlinien (Werte und Normen sowohl bezüglich des Umgangs der Mitarbeiter untereinander als auch im wirtschaftlichen Kontext).  Die folgenden Seiten geben einen kurzen Einblick in die verschiedenen Ausprägungen.

Tax Compliance

Tax Compliance widmet sich dem Steuerrecht und verfolgt das Ziel, das Unternehmen rechtlich gegen Haftungsansprüche aufgrund von Fehlverhalten zu schützen und dabei eine Minimierung der Steuern zu erreichen. (more…)

Ich habe im März meine Masterarbeit bei der SAPERION  begonnen.  Thema ist die „ Entwicklung eines Vorgehensmodells für ein internes Kontrollsystem (IKS) und der Adaption zur Einführung bei der SAPERION AG“.
In diesem Zusammenhang möchte  ich meine ersten theoretische Grundlagen mit Euch teilen und über den aktuelle Arbeitsstand schreiben. Zum Einstieg in die Thematik möchte ich Basics der Compliance, zu der ja auch schon Martin fleißig geschrieben hat, näher erläutern. Keine Angst, Ihr werdet nicht täglich, aber doch wöchentlich von mir hören.

Grundlagen Compliance

Der Begriff Compliance bedeutet in der Übersetzung „rechts- und regel-konformes Handeln“ oder wird auch mit (more…)