Continuous Auditing zur Stärkung des Kontrollsystems

transcript

Dipl.-Oec. Georg W. SchudeaSchudea & SilverConsult GmbH

Düsseldorf

0211-2097-179 0175-4891618

georg.w.schudea@silverconsult.de

www.silverconsult.de www.interne-revision.net 18.5.2011

Vorstellung des Referenten 17 Jahre internationale

Prüfungs-/Beratungserfahrung Mitteständische WP/StB-BeratungDAX-UnternehmenErnst & YoungSeit 2003 Mitgründer der SilverConsult

Was uns unterscheidet; von den üblichen Standardrevisionsprogrammen weit vorausgehende Datenanalyse-Tools, Marktpreisanalysen

Vorstellung des Referenten

Persönliche Highlights: Aufdeckung von Schwarzgeld- und

KorruptionskassensystemenProgrammierung einer Software für die

Festlegung einer risiko- und wertorientierten Stichprobe

Kunden: Global-Player, Mittelstand, Behörden, Institutionen

Vorstellung der Teilnehmer

Ziele? Anlass bei laufenden Prüfungen? Umorientierung der Revision?

Verbesserung der Trefferquote Aufpolierung des Images von Revision?

Mehr Prüfungen, die die richtigen, nennenswerten Beträge tangieren?

Knappheit der Revisionsressourcen?

Continuous Auditing Möglichkeit zur Echtzeitüberwachung

Grundprinzip – so funktioniert CA Durch manuelle und EDV-unterstützte Vor-

Prüfungen erste Hinweise auf Fehler feststellen: Verstöße gegen eine gesetzliche oder interne Norm

(RL) Unwirtschaftliche Vorgänge

Fragen an Fachfunktion definieren. Feststellungen aufzuklären versuchen.

Prüfung des vor-kontrollierten Fachgebietes ankündigen und zeitnahe stattfinden lassen.

Berichtserstattung wie gehabt

Ziele und Nutzen – Chancen und Risiken Hauptziele von CA

Revisionsinterne Betrachtung: Prüfungen anstoßen, wo die ersten Feststellungen bereits – quasi

durch Vorkontrollen - gemacht wurden Vorselektion von Prüfungsthemen (für Prüfungsplan), wo die

weniger signifikanten Themen den bedeutsameren weichen sollen/müssen

Hierdurch werden die Revisionsressourcen deutlich effizienter eingesetzt. D.h. mehr interessante Prüfungsthemen können abgewickelt werden

Ziele und Nutzen – Chancen und Risiken Hauptziele von CA

Gegenüber Fachbereichen/-funktionen: Mehr Sensibilisierung/Disziplinierung des operativen

Personals auf Compliances und wirtschaftliches Verhalten durch Erzeugung des Eindrucks einer vollständigen und keiner stichprobenartigen Revisionskontrollen

Besseres Verständnis der Revision für das operative Geschäft und begründete Ausnahmen (statistisch: Ausreißer) in Fachabteilungen

Steigendes Kompetenzpotential der Revision gegenüber Fachbereichen

Ziele und Nutzen – Chancen und Risiken Chancen von CA

Bessere Absicherung von Compliance- und Wirtschaftlichkeitsthemen

Geringere Haftungsgefahr der GF wg. Organisationsverschulden normativer Kraft des Faktischen

Verbesserte Wirtschaftlichkeit im Unternehmen Auswirkungen – ja nach Struktur – bis zur mehreren Mio. € p.a.

Durch Vermeidung nicht werthaltiger Themen Aufwertung der Revisionsberichte und damit der Revisionsarbeit

Mit einer hohen Trefferquote bei werthaltigen und/oder signifikanten Themen wird Revision politisch aufgewertet

Ziele und Nutzen – Chancen und Risiken Risiken von CA

Prüfungsplan kann nichts, für das ganze Jahr, Festgesetztes bleiben

Hier empfiehlt sich ein langsamer Einstieg, in dem mit 30-35% der Ressourcen für CA begonnen wird (die verbleibenden Kapazitäten sind auf feste Prüfungsthemen – wie gewohnt – verplant)

Fachabteilungen könnten sich „dauer-überwacht“ fühlen

Grundprinzip – so funktioniert CA Alternative II

Dauerkontrolle bestimmter Vorgänge/Prozesse

Stichprobenartig oder vollständig Eine Prüfungsankündigung nicht notwendig Berichtserstattung regelmäßig (z.B. 4 x p.a.)

CA als wesentlicher Teil des IKS IKS definiert (existierende oder Soll-)

Kontrollen durch operative Funktionen CA tut das, was Revision üblicherweise tun

soll: Überprüfung, ob die operativen Kontrollen gewirkt haben. Falls es der Fall gewesen sein sollte, würde CA keine Feststellungen hervorbringen und damit auch keine Revisionsprüfung anstoßen.

Unterschiede: Stichprobe, CA, Risikomanagement, Controlling

Controlling analysiert kumulierte Zahlen ohne einen Einblick in Einzelvorgänge

Risikomanagement definiert, katalogisiert Risiken ohne eine physikalische (unabhängige) Kontrollen durchzuführen

Übliche Stichprobe wird anlässlich einer Revisionsprüfung geprüft

Unterschiede: Stichprobe, CA, Risikomanagement, Controlling CA analysiert

Gesamtheit der VorgängeGesamtheit der Vorgänge unter einer oder

mehreren BedingungenStichprobe (risiko-/werteorientiert, zufällig)

Anhang der Zwischenergebnisse wird entschieden, ob und wie intensiv geprüft wird

CA als Prüfungsansatz von Risikotragfähigkeitskonzepten Basel II/III MaRisk (Mindestanforderungen an

das RM) als Ursprung Ziel: Wesentliche Risiken durch Eigenkapital

decken In der industriellen Welt diverse Modelle

existent: Tragfähigkeit (EK+FK) Versicherungsmanagement

Tragfähigkeit = Risiko – Versicherung (auch ggf. durch Finanzinstrumente)

Continuous Auditing effizient planen und einführen

Anforderungen an risikoorientierte Prüfungsplanung Flexibilität der Ressourcen für CA-Einsätze

Kann kontinuierlich gesteigert werden

Risiko- und Wertekenntnisse im Unternehmen Transparenz über Prozess – und

Kontrollschwächen Akzeptanz/Duldung der GF von Adhoc-

Prüfungen

IT-Unterstützung: Welche Dokus/Daten werden benötigt Daten, die eine Risiko- und Werteposition

für das Unternehmen möglichst klar erkennen lassen:Versicherungsabteilung: Schäden vs.

Erstattungsbeträge (>10% Differenz)Logistik-Abteilung: Transportkapazität vs.

Transportgewicht der Lieferscheine (einer Transporteinheit)

IT-Unterstützung: Welche Dokus/Daten werden benötigt Einzel- oder kumulierte Daten? Nach Möglichkeit

Rohdaten, da jegliche Vor-Gruppierungen/Kumulierungen starke Abweichungen zwischen einzelnen Fachbereichen nicht zum Erscheinen bringen lassen.

Dort, wo es keine Massendaten gibt? Z.B. von der ersten Kontrollinstanz abgelehnte Projekte, die dennoch weiter verfolgt werden

Flexible Gestaltung der Prüfungsplanung Kein Planungschaos, sondern zeitlicher Turnus

der CA-Kontrollen Wann werden welche CA-Auswertung durchgeführt Wann werden aus CA-Feststellungen

Revisionsprüfungen angestoßen Priorität für Prüfungen mit CA-Feststellungen:

rechtlicher Hintergrund (z.B. JAP) größte finanzwirtschaftliche Auswirkungen Querverbindungen zu wichtigen Projekten (z.B.

MA/DD)

Die richtigen Softwaretools im Einsatz Für Aufgaben mit Bedingungen:

Excel einmal verschachtelte Bedingungen SAP-Query Auswahl-Abfragen „se16“ Auswahl-Abfragen Access, IDEA, ACL, MONARCH Access = mehrere, verschachtelte Bedingungen,

komplexe Programmierung möglich, alle ODBC-fähigen Datenbank-Formate zulässig

Die richtigen Softwaretools im Einsatz Beste Methoden für Ausreißerfindung:

Verhältnis der VarianzenLineare rückwärtsgewandte

Regressionsgerade SPSS

Keine Toleranzkorridore

Revisionscockpit zur Unterstützung eines CA

Fachbereichsspezifische Risiken erkennen Alte Prüfungen können herangezogen

werden Erfahrungswerte von Mitarbeitern Prioritäten = Wert x Wahrscheinlichkeit

des Eintritts

Interne Kontrollpunkte und deren Grenzwerte bestimmen

CA-Kontrollen mehrdimensional möglich: Ereignis-/Zeitpunktgesteuerte CA-Ansätze Arbeitsprozesse

Abgelehnte Versicherungsdeckung Mahnstufe 4 Meldepflichtige Unfälle oder Umweltereignisse Ausschreibungsverfahren in bestimmten Bereichen Rechnungsprüfung Abnahmen von Baumaßnahmen

Wertgrenzen Buchungen, Überweisung > 100.000 € Inscentives an Kunden > 10.000 €

CA-Kontrollen mehrdimensional möglich: Datenanalysen der (jüngsten) Vergangenheit. Zeitraumorientiert: Arbeitsprozesse

Mehr als 15% abgelehnte Versicherungsdeckungen > 10 Fälle Mahnstufe 4 > 3 meldepflichtige Unfälle oder Umweltereignisse

Kumulierte Wertgrenzen Verschrottung > 100.000 € innerhalb 3 Monate Inscentives an Kunden > 10.000 € > 1 Monat

Weitere Hinweise: Nur wenn notwendig vor internen (operativen) Kontrollen prüfen z.B.: Endlieferungskennzeichen Anzahlung/Vorauszahlung Vorerfassung aber (noch) keine Buchung Zahlungsvorschlagsliste, aber keine Zahlung Zum Storno vorgemerkt, aber nicht storniert Zur Verschrottung vorgemerkt, aber nicht verschrottet

Ausnahmen bestätigen die Regel: CA-Kontrollpunkt in einem Unternehmen „zu verschrottenden Mat.-Positionen“

Projektbegleitende Revision. „Profilaxe“ CANeugründung von Tochterunternehmen,

MA/DD, MBO ERP-Implementierungsprozesse Investitionen

Prüfregeln definieren Mögliche Kombinationen von Grenzwerten:

Anzahl der Vorgänge (Anzahl der Reklamationsvorgänge)

Wert der Differenzen (pro Vorgang oder kumuliert) Stammdatenänderungen

Z.B. mehr als 3 Bankverbindungswechsel p.a. Nur 2 Bankverbindungen aber häufiger gewechselt

Erstellung und kurzfristige Löschung von ERP-Usern (mehrere fiktive User betroffen)

Zuweisung und kurzfristiges Entfernen von Admin-Rechten

Häufige Wechsel der Ausprägung von Customizing-Objekten (Buchen rückwirkend)

Prüfregeln definieren Wechsel eines Merkmals

Währungswechsel bei einem Darlehen (aus der Sicht einer Globalbank)

Wert eines Vorgangs Benutzung bestimmter Konten (z.B. Wertekorrektur ,

Sonder-AfA) Benutzung bestimmter Buchungs-/Storno-Schlüsseln Verschrottungsvolumen pro Mitarbeiter Gutschriften pro Mitarbeiter und Verkaufsprodukt Lückenlosigkeit von Belegen (Einkauf, Vertrieb usw.)

Prüfregeln definieren Kombinationen aus mehreren Prüfregeln

möglich: Wert eines Vorgangs + Benutzung eines Kontos +

Mitarbeiter Häufigkeit eines Vorgangs + Mitarbeiter + Werk Produktionsleistung + Einkaufsleistung + Zeitpunkte Anzahl von Stornos + deren Wert Häufigkeit eines Preiswechsels + Materialposition

Anzeigetafel zur dauerhaften Überwachung erstellen Matrix pro

Fachbereich und CA-Kontrolle

Verschrottung Instandhaltung Stornos

Unt. 1 Betrag, Anzahl, Arbeitsgruppe

Kosten pro Produktionseinheit PM-Element

Pro Konto, Bewegungsart, Abteilung, Gruppe

Unt. 2 Betrag, Anzahl, Arbeitsgruppe, Mat.-Klasse

Kosten pro Produktionseinheit

Pro Konto, Bewegungsart, BK

Anzeigetafel zur dauerhaften Überwachung erstellen Objektorientierte

Matrix und CA-Kontrolle

Preisentwicklung Reklamationen

Produktklasse Preisausreißer < 20% als Trend > 5.000 €

Anzahl, Abwicklungsdauer > 30 Tage

Materialgruppe Preisausreißer > 20% als Trend und >10.000 €

Anzahl Abwicklungsdauer > 15 Tage

CA-Planung, Zusammenfassung

Ablauf einer CA-Planung

CA-Objekte Steuerung des CA Prüfung Ergebnis

Organisatorisch/geografisch: Gesellschaft, Regionen, Länder

Zeitpunkt/Ereignis, Werte elektronisch Prüfung ansetzen

Fachobjekte übergreifend: Produktklasse, Materialklasse, GB, Sparte, Vertriebsweg

Zeitraum/Gruppierung von Ereignissen, Werte

manuell Keine Prüfung notwendig

CA-Zusammenfassung

Fachobjekte übergreifend: Produktklasse, Materialklasse, GB, Sparte, Vertriebsweg, ERP, MA/DD

Beispiele von CA-Ausprägungen in einzelnen Fachbereichen

Überraschungseffekte durch CA sind vorprogrammiert… Gut gelebtes CA lässt Sie Ihren

Arbeitgeber (fast) neu kennenlernen Interne Umlagerung über 30% aller

BewegungenAnzahl der Preisänderungen in einem

Einkaufsbereich, wo mit langjährigen Verträgen gearbeitet wurde

Was erlaubt Ihre Software und Ihre Berechtigungen? Was erlaubt Ihre ERP-Lösung? Welche

Möglichkeiten und Risiken existieren? Buchungen in vergangenen/abgeschlossenen

Perioden? Auflösung der Bindung zwischen einem Dokument

und dem Vorgang? WE-Storno, Rechnung wird dennoch bezahlt

Manuelle Zahlung ohne Dokument/Rechnung?

Rechnungswesen und Controlling Vollständigkeit und Lückenlosigkeit der Belege

Stornierte SD-Aufträge beachten Vorsteuerschlüssel und Aufwandskonten Steuerschlüssel und Erlöskonten Journal vs. OP-Verwaltung (inkl. Einzelposten) Wertberichtigungen des Anlage und Umlaufvermögens Automatisch gestoppte Zahlungen, manuell gestartete Zahlungen CDP-Konten Kasse-/Bankabschlusssalden (monatlich, vierteljährlich, jährlich) Verrechnungspreise zu ausländischen Töchtern Beanspruchung von Skontis, Rabatten (debitorisch, kreditorisch) Ausgebuchte Differenzen

Rechnungs-/Zahlungsbetrag Währungsdifferenzen Zinsdifferenzen

Vertrieb & Marketing Preise und deren Veränderungen

Sonderrabatte, Dauer-Tiefpreise Lieferungen II-, III-Qualität Sonderzahlungskonditionen Sonderleistungen (Bauten, Vorrichtungen, urlaubsähnliche Workshops etc.) Deckungsbeiträge pro Lieferung (im Unterschied zum Controlling!) Vollmachten und Berechtigungen Marketingkosten und deren Resultate (!)

Eingerichtete Internetseite Separate Tel.-Nr., separate Bestellhotline

Logistik

Transportpreise und deren Veränderungen pro Transportart Zuschläge für Niedrigwasser berücksichtigen

Vollmachten & Berechtigungen Transportpapiere für besondere Transporte

Einhaltung von Umweltvorgaben

Personalwesen Abweichungen bei regelmäßigen Zahlungsvorgängen Bestellung von Beauftragten

Datenschutz Sicherheit Umweltbeauftragter Compliance-Officer

Sonderzahlungen Prämien, Boni

Schulungen Pflichtschulungen (Elektriker, Schweißer usw.)

Aushilfen Stundentische Nachweise berücksichtigen

Materialwirtschaft

Einkaufspreise und deren Entwicklung Lagerung gefährlicher Güter Zertifizierungen für besondere Materialien Verschrottungen Lagerhüter, Reichweite Inventurdifferenzen Bewertungsmethode Materialausgabe, Materialabforderungsscheine (MAS)

Produktion Produktionsvolumen vs. Verbräuche Zertifizierungen für Mensch und Maschinen Wartung & Instandhaltung Maschinendaten

Bei Anfälligkeit

Inventur auf Produktionslager (Zwischenlager) Interne Umlagerungen Unfälle und deren Ursachen Umweltvorgaben

Abwasser und Abfallmanagement Umweltberichte

Auswertung und Dokumentation der Kontrollergebnisse

Bewertung der Ergebnisse Ist das Ergebnis noch zu umfangreich um realistisch

geprüft zu werden? Erklärbare oder (vorübergehend) hinnehmbare Auffälligkeiten ausschalten.

Bewertung erst nach weiteren Prüfungshandlungen vornehmen Vollständige Aktenlage für mutmaßliche Fehler

gewinnen Interviews erst anschließend führen Bewusst oder unbewusst, Zufall oder Absicht?

Rückkopplung der Ergebnisse

Risiken und deren Werthaltigkeit verändern sich, CA muss sich auch verändernAnpassung der CA-Prüfungen

Reduzierung der CA- Turnusse Veränderung der Kriterien

Aufgabe der CA-PrüfungNeue CA-Fachgebiete

CA als Basis für einen Prüfungsansatz und andauernden Anpassungsprozess

Ressourcen können effizienter eingesetzt werden Mehr Prüfungen können absolviert werden Politische „Blamagen“ durch ergebnislose Prüfungen

können vermieden werden Wichtig für Obmudsmänner/-frauen Revisionsimage

Continuous Auditing zur Stärkung des Kontrollsystems

Documents