SAPERION Blog

Auf der ControllerWissen-Plattform von HAUFE. ist zu lesen, dass die Zukunftsstudie, die in den letzten beiden Heften des Controller Magazins vorgestellt wurde, das Thema Compliance auf die Liste der zehn wichtigsten Zukunftsthemen des Controllings eingeordent hat und sogar auf den vierten Platz.

Dass das Thema Compliance ein wichtiges ist, können wir auf Basis unserer Leserstastiken auf unserem Blog bestätigen. Unter den Allzeit-Top-Ten sind vier Artikel, die sich mit dem Thema allgemein befassen und ein spezielles, das sich mit dem Vernichten von Dokumenten nach dem Scannen beschäftigt. In den letzten vier Monaten findet sich unter den Top Five des letzten Monats immer wieder einer der Artikel aus der Serie von Christine Mummert rund um das Thema Internes Kontrollsystem.

Für die neuen Leser auf dem Blog, die die Fragen stellen, was denn die SAPERION mit Compliance Management am Hut hat, so viel: unsere ECM Suite unterstützt bei der Verwaltung (more…)

Wir gratulieren Christine Mummert, die uns gerade mitgeteilt hat, dass sie am Samstag ihre bei uns durchgeführte Master-Thesis mit einer richtig guten Zensur verteidigt hat. Der Titel der Arbeit lautet:

Entwicklung eines Vorgehensmodells für ein Internes Kontrollsystem (IKS) und der Adaption zur Einführung bei der SAPERION AG

Die Gutachter an der Technischen Hochschule Wildau (FH) waren Prof. Dr. Bernd Eylert und Prof. Dr. Ralf Szymanski.

Und wer unseren Blog aufmerksam verfolgt hat, der ist über den Details der Arbeit schon recht gut informiert. Wir haben mit Christine dieses Mal ein Bloggerin gefunden, die wöchentlich über ihre neuen Erkenntnisse berichtet hat. Die Artikelserie umfasst 10 Post, wovon der 4 über die Standards die meisten Lesungen erhalten hatte.

Dass das Thema Internes Kontrollsystem kein unwichtiges zu sein scheint, lässt sich  auch daran messen, dass unter den 10 meistgelesenen Artikeln der initiale Post Das interne Kontrollsystem und das Risikomanagementsystem rücken durch das BilMoG stärker in den Blickpunkt mit inzwischen über 1.000 Klicks dabei ist.

Christine schreibt zur Motivation des Themas:

Viele Unternehmensskandale börsennotierter Aktiengesellschaften in den USA waren Wegbereiter für Compliance. Eine erste Reaktion der Politik war es, klare Strukturen und ein nachvollziehbares (more…)

…so kann es einem gehen. Ich hatte das Glück, mich in diesem Jahr das erste Mal an der SAPERION CONVENTION als Referentin zu beteiligen. Frank Adler, IT-Leiter der Talanx Asset Management GmbH, hat als Kunde über ihre Anwendung einer Kontrolldokumentation nach SAS 70 TYP 2 (Business Szenario) berichtet. Die Talanx wurde inzwischen auch schon SAS Typ 1 und TYP 2 auditiert. Als ich gefragt wurde, ob ich nicht die Einleitung in das Thema IKS und SAS 70 zu diesem Vortrag übernehmen wolle, da das doch Thema meiner Masterarbeit sei, habe ich nicht lange gezögert und zugesagt.

Gestern war nun der große Tag der Präsentation, bei der ich zu Beginn des Vortages quasi “umgeworfen wurde”. Denn leider haben meine schon vor 3 Wochen fertig vorbereiteten Folien nicht den Weg auf die zentrale Präsentationsmaschine gefunden. Nun stand ich auf der Bühne, war vorgestellt und erwartete meine erste Folie und … nichts da. Mein erster Impuls war (more…)

Evaluationsprozess für ein IKS

Diese Woche liegt der Schwerpunkt auf dem Monitoring eines IKS, denn ein IKS muss von Zeit zu Zeit auch angepasst werden. Es kann vorkommen, dass Kontrollen mit der Zeit weniger effektiv sind, nicht länger benötigt oder neue Aufgaben hinzugefügt werden. Dieses festzustellen setzt die Überprüfung der Effektivität und Wirksamkeit des IKS voraus.
Das Monitoring kann auf verschiedene Weisen geschehen  durch separate Evaluation, durch die laufende Überwachung oder durch eine Mischung aus beiden Aktivitäten. Mit Hilfe solcher Aktivitäten kann das Management die Relevanz der Risiken beurteilen und auch die Einführung neuer Maßnahmen erkennen.

Evaluationsprozess eines IKS

Mit Hilfe eines selbst entwickelten und automatischen Evaluationsprozesses soll die Effektivität des IKS überwacht und sichergestellt werden. In der SAPERION ECM wird dazu ein automatischer Effektivitätsbericht erstellt (s. Abbildung „Effektivitätsbericht erstellen und senden“) werden, der dem CFO übermittelt wird (20. des Monats). (more…)

COSO I Cube Information & Kommunikation

Wie versprochen tauchen wir diese Woche in die Ebene Information und Kommunikation des COSO I ein. Die Information & Kommunikation durchdringt alle Ebenen des COSO I Modells und dient dazu, die Entscheidungen des Managements zu unterstützen. Alle zuständigen Stellen müs-sen eingewiesen sein, um Informationen (auch risikorelevante) an der richtigen Stelle im Unternehmen weiter-zu-leiten. Neben der mündlichen Informationsweitergabe können auch Richtlinien und Handbücher zur Nutzung in Betracht gezogen werden. Außerdem müssen auch alternative Kommunikationswege wie z.B. Meetings oder Sprechstunden durchgeführt werden, um beim Versagen der üblichen Berichtswege Informationen weiter leiten zu können. Information und Kommunikation bezieht sich nicht nur auf das Unternehmen, sondern auch auf externe Kommunikationspartner wie Kunden, Aktionäre, Ämter oder Prüfer. Externe Auditoren (Wirtschaftsprüfer) liefern dem Management wichtige Steuerungsinformationen und Feedback über das Funktionieren des IKS.

Rollen und Verantwortlichkeiten für den Jahres- /Monatsabschluss

Für die jeweiligen festgelegten Maßnahmen und Kontrollen zum Jahres-/Monatsabschluss sind Verantwortung und Rollen in Interviews und Gesprächen mit dem Head of Accounting und dem CFO festgelegt worden ( Verantwortung und Rollen für den Jahres-/ Monatabschluss Zusätzlich dazu ist auch der Kommunikationsweg der Berichterstattung oder Eskalation definiert.

(more…)

Wie versprochen widmen wir uns in dieser Woche  den Kontrollaktivitäten für den Jahres- /Monatsabschluss. Die Kontrollaktivitäten beziehen sich auf alle analysierten Risiken im Post 7 (Risikomatrix). Für jedes Risiko sind entsprechende Kontrollen zu bestimmten Prüfzyklen erhoben, um Risiken zu minimieren und die festgelegten Ziele zu erreichen.

Die Dokumentation des IKS, welche als Nachweis der Kontrollaktivitäten dient, muss alle wichtigen Informationen enthalten, vollständig und aktuell sein. Dabei soll die Aufzeichnung fehlerfrei und eindeutig also für den Anwender müssen jegliche Aufgaben verständlich sein. Das heißt, es ist ein passender Detaillierungsgrad zu wählen.
Die Kontrollaktivitäten des IKS sind entweder als verbale Prozessbeschreibung, Risiko-Kontroll-Matrix, Flussdiagramm, mit Fragebögen oder als Organisationshandbuch zu beschreiben.

Eine solche Risiko-Kontroll-Matrix zur Dokumentation und Planung von Kontrollaktivitäten wurde im Rahmen meiner Masterarbeit auch zusammen mit dem Accounting und CFO der SAPERION AG erstellt (Maßnahmen für den Jahres/ Monatsabschluss). (more…)

COSO Framework

Wie versprochen steigen wir nun in die Planung des IKS und mitten in das Internal Control-Framework ein, nämlich in die „Risikobeurteilung“ (s. Abb COSO Framework).  Um diese durchführen zu können müssen die COSO-Hauptziele („Betrieblich“, „Berichterstattung“, „Regeleinhaltung“)  des Würfels genauestens durch das Management definiert werden. Zusätzlich dazu muss durch die unterste Ebene das gesamte Kontrollumfeld dokumentiert und beschrieben sein.  Dieses beinhaltet Beschreibungen, Festlegungen wie Integrität und ethische Werte, Bekenntnis zur fachlichen Kompetenz, Tätigkeit des Überwachungsorgans, Organisationsstruktur, Weisungsberechtigung und Verantwortung, Grundsätze der Personalpolitik in Zusammenhang zur Einführung des IKS.
Das Kontrollumfeld hat einen tiefgreifenden Einfluss auf die unternehmerische Tätigkeit und auf die Sicht von Risiken, Verhalten und die Grundeinstellungen des Managements sowie der Mitarbeiter. Es beeinflusst nicht nur eine Ebene des COSO I – Würfels, sondern durchzieht alle fünf Ebenen.

Risikobeurteilung für den Jahres-/ Monatsabschluss

Die Risikobeurteilung bezieht sich auf die Identifikation der Risiken für den Prozess des Jahres-/ Monatsabschlusses, in Bezug auf die gesetzten Ziele (“betriebliche Ziele”, “Berichterstattung” und “Compliance”). Das heißt, dass Ereignisse oder Zustände erfasst werden müssen, welche die festgelegten Ziele negativ beeinflussen. Dabei wird nicht nur der Prozess betrachtet, sondern auch die Risiken auf der Ebene des Unternehmens. (more…)

Zur Einführung eines IKS in dem Bereich Accounting gibt es traditionelle und darauf aufbauende Frameworks, die auch das in den Gesetzen (BilMog, KonTrag etc.)  gefragte Risikomanagement abdecken. In den folgenden Abschnitten möchte ich einen Überblick über das CoCo sowie das COSO und COSO-ERM geben.

„Guidance on Control“ (CoCo)

CoCo Framework

Als eines der ersten Frameworks wurde das „Criteria on Control“ (CoCo) spezifiziert. Das Canadian Institute of Chartered Accountants (CICA) hat 1995 das CoCo erstmalig vorgestellt. Das Modell basiert auf vier iterierten Schritten (s. Abb. CoCo Framework) und enthält 20 Kriterien, um ein IKS nach Zielen qualitativ zu prüfen.

Zweck – Purpose: Enthält Ziele, Strategie, Vision, Performanceziele und Indikatoren, in- und externe Risiken und Chancen, Pläne zur Erhaltung der Leistung, Maßnahmen zur Archivierung.

Einsatz – Commitment: Enthält die Werte (ethische), Vertrauen, Autorität, Verantwortung für die Identität der Unternehmung.

Fähigkeit – Capability: Beschreibung der Kontrollobjekte, Kommunikationsprozesse und die Koordination dieser.

Überwachung & Weiterentwicklung – Monitoring & Learning: Durchführung, Verbesserung, Überwachung der Kontrollumgebung, der Kontrollobjekte und der Performance

CoCo wurde im Laufe der Zeit eher zum Einsatz von Prävention und Aufdeckung von (more…)

Bei Kontrollaktivitäten handelt es sich um die definierten Verfahren sowie Richtlinien, welche die Durchführung der Ziele des Unternehmens sicherstellen sollen.  Bei der Planung des Vorgehens für ein IKS werden diese vom Management festgelegt.

Unterscheidungen von Kontrollaktivitäten

Bei Kontrollaktivitäten handelt es sich um die definierten Verfahren sowie Richtlinien, welche die Durchführung der Ziele des Unternehmens sicherstellen sollen. Bei der Planung des Vorgehens für ein IKS werden diese vom Management festgelegt.

Kontrollaktivitäten lassen sich in verschiedenen Einteilungen zusammenfassen. Die zu grundlegende Einteilung ist die nach „manuellen“ oder „automatischen“ Kontrollen. Wie die Bezeichnung schon erahnen lässt, werden „manuelle“ Kontrollen meist von einer oder mehreren Personen getätigt. Im Gegensatz dazu werden „automatisch“ (auch als systembasiert bezeichnet) durch ein System durchgeführt und ohne manuellen Eingriff oder eine Interaktion durchgeführt. Als ein gutes Beispiel ist hier (more…)

In meinem letzten Post habe ich über den Aufbau und Begriff des IKS geschrieben, der heutige widmet sich den möglichen Prüfungsstandards. Nach einiger Recherche stellte ich fest, dass der Dschungel doch nicht so undurchsichtig ist. Der Schwerpunkt der  Prüfungsstandards liegt beim ordnungsgemäßen Betrieb von ausgelagerten Service-Prozessen.

SAS 70

Das Statement on Auditing Standards Nr. 70 (SAS 70 for Service Organizations) ist ein bekannter Prüfungsstandard, der durch (more…)