Continuous Auditing zur Stärkung des Kontrollsystems
description
Transcript of Continuous Auditing zur Stärkung des Kontrollsystems
Continuous Auditing zur Stärkung des Kontrollsystems
Dipl.-Oec. Georg W. SchudeaSchudea & SilverConsult GmbH
Düsseldorf
0211-2097-179 0175-4891618
2
www.silverconsult.de www.interne-revision.net 18.5.2011
Vorstellung des Referenten 17 Jahre internationale
Prüfungs-/Beratungserfahrung Mitteständische WP/StB-BeratungDAX-UnternehmenErnst & YoungSeit 2003 Mitgründer der SilverConsult
Was uns unterscheidet; von den üblichen Standardrevisionsprogrammen weit vorausgehende Datenanalyse-Tools, Marktpreisanalysen
3
www.silverconsult.de www.interne-revision.net 18.5.2011
Vorstellung des Referenten
Persönliche Highlights: Aufdeckung von Schwarzgeld- und
KorruptionskassensystemenProgrammierung einer Software für die
Festlegung einer risiko- und wertorientierten Stichprobe
Kunden: Global-Player, Mittelstand, Behörden, Institutionen
4
www.silverconsult.de www.interne-revision.net 18.5.2011
Vorstellung der Teilnehmer
Ziele? Anlass bei laufenden Prüfungen? Umorientierung der Revision?
Verbesserung der Trefferquote Aufpolierung des Images von Revision?
Mehr Prüfungen, die die richtigen, nennenswerten Beträge tangieren?
Knappheit der Revisionsressourcen?
Continuous Auditing Möglichkeit zur Echtzeitüberwachung
6
www.silverconsult.de www.interne-revision.net 18.5.2011
Grundprinzip – so funktioniert CA Durch manuelle und EDV-unterstützte Vor-
Prüfungen erste Hinweise auf Fehler feststellen: Verstöße gegen eine gesetzliche oder interne Norm
(RL) Unwirtschaftliche Vorgänge
Fragen an Fachfunktion definieren. Feststellungen aufzuklären versuchen.
Prüfung des vor-kontrollierten Fachgebietes ankündigen und zeitnahe stattfinden lassen.
Berichtserstattung wie gehabt
7
www.silverconsult.de www.interne-revision.net 18.5.2011
Ziele und Nutzen – Chancen und Risiken Hauptziele von CA
Revisionsinterne Betrachtung: Prüfungen anstoßen, wo die ersten Feststellungen bereits – quasi
durch Vorkontrollen - gemacht wurden Vorselektion von Prüfungsthemen (für Prüfungsplan), wo die
weniger signifikanten Themen den bedeutsameren weichen sollen/müssen
Hierdurch werden die Revisionsressourcen deutlich effizienter eingesetzt. D.h. mehr interessante Prüfungsthemen können abgewickelt werden
8
www.silverconsult.de www.interne-revision.net 18.5.2011
Ziele und Nutzen – Chancen und Risiken Hauptziele von CA
Gegenüber Fachbereichen/-funktionen: Mehr Sensibilisierung/Disziplinierung des operativen
Personals auf Compliances und wirtschaftliches Verhalten durch Erzeugung des Eindrucks einer vollständigen und keiner stichprobenartigen Revisionskontrollen
Besseres Verständnis der Revision für das operative Geschäft und begründete Ausnahmen (statistisch: Ausreißer) in Fachabteilungen
Steigendes Kompetenzpotential der Revision gegenüber Fachbereichen
9
www.silverconsult.de www.interne-revision.net 18.5.2011
Ziele und Nutzen – Chancen und Risiken Chancen von CA
Bessere Absicherung von Compliance- und Wirtschaftlichkeitsthemen
Geringere Haftungsgefahr der GF wg. Organisationsverschulden normativer Kraft des Faktischen
Verbesserte Wirtschaftlichkeit im Unternehmen Auswirkungen – ja nach Struktur – bis zur mehreren Mio. € p.a.
Durch Vermeidung nicht werthaltiger Themen Aufwertung der Revisionsberichte und damit der Revisionsarbeit
Mit einer hohen Trefferquote bei werthaltigen und/oder signifikanten Themen wird Revision politisch aufgewertet
10
www.silverconsult.de www.interne-revision.net 18.5.2011
Ziele und Nutzen – Chancen und Risiken Risiken von CA
Prüfungsplan kann nichts, für das ganze Jahr, Festgesetztes bleiben
Hier empfiehlt sich ein langsamer Einstieg, in dem mit 30-35% der Ressourcen für CA begonnen wird (die verbleibenden Kapazitäten sind auf feste Prüfungsthemen – wie gewohnt – verplant)
Fachabteilungen könnten sich „dauer-überwacht“ fühlen
11
www.silverconsult.de www.interne-revision.net 18.5.2011
Grundprinzip – so funktioniert CA Alternative II
Dauerkontrolle bestimmter Vorgänge/Prozesse
Stichprobenartig oder vollständig Eine Prüfungsankündigung nicht notwendig Berichtserstattung regelmäßig (z.B. 4 x p.a.)
12
www.silverconsult.de www.interne-revision.net 18.5.2011
CA als wesentlicher Teil des IKS IKS definiert (existierende oder Soll-)
Kontrollen durch operative Funktionen CA tut das, was Revision üblicherweise tun
soll: Überprüfung, ob die operativen Kontrollen gewirkt haben. Falls es der Fall gewesen sein sollte, würde CA keine Feststellungen hervorbringen und damit auch keine Revisionsprüfung anstoßen.
13
www.silverconsult.de www.interne-revision.net 18.5.2011
Unterschiede: Stichprobe, CA, Risikomanagement, Controlling
Controlling analysiert kumulierte Zahlen ohne einen Einblick in Einzelvorgänge
Risikomanagement definiert, katalogisiert Risiken ohne eine physikalische (unabhängige) Kontrollen durchzuführen
Übliche Stichprobe wird anlässlich einer Revisionsprüfung geprüft
14
www.silverconsult.de www.interne-revision.net 18.5.2011
Unterschiede: Stichprobe, CA, Risikomanagement, Controlling CA analysiert
Gesamtheit der VorgängeGesamtheit der Vorgänge unter einer oder
mehreren BedingungenStichprobe (risiko-/werteorientiert, zufällig)
Anhang der Zwischenergebnisse wird entschieden, ob und wie intensiv geprüft wird
15
www.silverconsult.de www.interne-revision.net 18.5.2011
CA als Prüfungsansatz von Risikotragfähigkeitskonzepten Basel II/III MaRisk (Mindestanforderungen an
das RM) als Ursprung Ziel: Wesentliche Risiken durch Eigenkapital
decken In der industriellen Welt diverse Modelle
existent: Tragfähigkeit (EK+FK) Versicherungsmanagement
Tragfähigkeit = Risiko – Versicherung (auch ggf. durch Finanzinstrumente)
Continuous Auditing effizient planen und einführen
17
www.silverconsult.de www.interne-revision.net 18.5.2011
Anforderungen an risikoorientierte Prüfungsplanung Flexibilität der Ressourcen für CA-Einsätze
Kann kontinuierlich gesteigert werden
Risiko- und Wertekenntnisse im Unternehmen Transparenz über Prozess – und
Kontrollschwächen Akzeptanz/Duldung der GF von Adhoc-
Prüfungen
18
www.silverconsult.de www.interne-revision.net 18.5.2011
IT-Unterstützung: Welche Dokus/Daten werden benötigt Daten, die eine Risiko- und Werteposition
für das Unternehmen möglichst klar erkennen lassen:Versicherungsabteilung: Schäden vs.
Erstattungsbeträge (>10% Differenz)Logistik-Abteilung: Transportkapazität vs.
Transportgewicht der Lieferscheine (einer Transporteinheit)
19
www.silverconsult.de www.interne-revision.net 18.5.2011
IT-Unterstützung: Welche Dokus/Daten werden benötigt Einzel- oder kumulierte Daten? Nach Möglichkeit
Rohdaten, da jegliche Vor-Gruppierungen/Kumulierungen starke Abweichungen zwischen einzelnen Fachbereichen nicht zum Erscheinen bringen lassen.
Dort, wo es keine Massendaten gibt? Z.B. von der ersten Kontrollinstanz abgelehnte Projekte, die dennoch weiter verfolgt werden
20
www.silverconsult.de www.interne-revision.net 18.5.2011
Flexible Gestaltung der Prüfungsplanung Kein Planungschaos, sondern zeitlicher Turnus
der CA-Kontrollen Wann werden welche CA-Auswertung durchgeführt Wann werden aus CA-Feststellungen
Revisionsprüfungen angestoßen Priorität für Prüfungen mit CA-Feststellungen:
rechtlicher Hintergrund (z.B. JAP) größte finanzwirtschaftliche Auswirkungen Querverbindungen zu wichtigen Projekten (z.B.
MA/DD)
21
www.silverconsult.de www.interne-revision.net 18.5.2011
Die richtigen Softwaretools im Einsatz Für Aufgaben mit Bedingungen:
Excel einmal verschachtelte Bedingungen SAP-Query Auswahl-Abfragen „se16“ Auswahl-Abfragen Access, IDEA, ACL, MONARCH Access = mehrere, verschachtelte Bedingungen,
komplexe Programmierung möglich, alle ODBC-fähigen Datenbank-Formate zulässig
SPSS
22
www.silverconsult.de www.interne-revision.net 18.5.2011
Die richtigen Softwaretools im Einsatz Beste Methoden für Ausreißerfindung:
Verhältnis der VarianzenLineare rückwärtsgewandte
Regressionsgerade SPSS
Keine Toleranzkorridore
Revisionscockpit zur Unterstützung eines CA
24
www.silverconsult.de www.interne-revision.net 18.5.2011
Fachbereichsspezifische Risiken erkennen Alte Prüfungen können herangezogen
werden Erfahrungswerte von Mitarbeitern Prioritäten = Wert x Wahrscheinlichkeit
des Eintritts
25
www.silverconsult.de www.interne-revision.net 18.5.2011
Interne Kontrollpunkte und deren Grenzwerte bestimmen
CA-Kontrollen mehrdimensional möglich: Ereignis-/Zeitpunktgesteuerte CA-Ansätze Arbeitsprozesse
Abgelehnte Versicherungsdeckung Mahnstufe 4 Meldepflichtige Unfälle oder Umweltereignisse Ausschreibungsverfahren in bestimmten Bereichen Rechnungsprüfung Abnahmen von Baumaßnahmen
Wertgrenzen Buchungen, Überweisung > 100.000 € Inscentives an Kunden > 10.000 €
26
www.silverconsult.de www.interne-revision.net 18.5.2011
Interne Kontrollpunkte und deren Grenzwerte bestimmen
CA-Kontrollen mehrdimensional möglich: Datenanalysen der (jüngsten) Vergangenheit. Zeitraumorientiert: Arbeitsprozesse
Mehr als 15% abgelehnte Versicherungsdeckungen > 10 Fälle Mahnstufe 4 > 3 meldepflichtige Unfälle oder Umweltereignisse
Kumulierte Wertgrenzen Verschrottung > 100.000 € innerhalb 3 Monate Inscentives an Kunden > 10.000 € > 1 Monat
27
www.silverconsult.de www.interne-revision.net 18.5.2011
Interne Kontrollpunkte und deren Grenzwerte bestimmen
Weitere Hinweise: Nur wenn notwendig vor internen (operativen) Kontrollen prüfen z.B.: Endlieferungskennzeichen Anzahlung/Vorauszahlung Vorerfassung aber (noch) keine Buchung Zahlungsvorschlagsliste, aber keine Zahlung Zum Storno vorgemerkt, aber nicht storniert Zur Verschrottung vorgemerkt, aber nicht verschrottet
Ausnahmen bestätigen die Regel: CA-Kontrollpunkt in einem Unternehmen „zu verschrottenden Mat.-Positionen“
28
www.silverconsult.de www.interne-revision.net 18.5.2011
Interne Kontrollpunkte und deren Grenzwerte bestimmen
Projektbegleitende Revision. „Profilaxe“ CANeugründung von Tochterunternehmen,
MA/DD, MBO ERP-Implementierungsprozesse Investitionen
29
www.silverconsult.de www.interne-revision.net 18.5.2011
Prüfregeln definieren Mögliche Kombinationen von Grenzwerten:
Anzahl der Vorgänge (Anzahl der Reklamationsvorgänge)
Wert der Differenzen (pro Vorgang oder kumuliert) Stammdatenänderungen
Z.B. mehr als 3 Bankverbindungswechsel p.a. Nur 2 Bankverbindungen aber häufiger gewechselt
Erstellung und kurzfristige Löschung von ERP-Usern (mehrere fiktive User betroffen)
Zuweisung und kurzfristiges Entfernen von Admin-Rechten
Häufige Wechsel der Ausprägung von Customizing-Objekten (Buchen rückwirkend)
30
www.silverconsult.de www.interne-revision.net 18.5.2011
Prüfregeln definieren Wechsel eines Merkmals
Währungswechsel bei einem Darlehen (aus der Sicht einer Globalbank)
Wert eines Vorgangs Benutzung bestimmter Konten (z.B. Wertekorrektur ,
Sonder-AfA) Benutzung bestimmter Buchungs-/Storno-Schlüsseln Verschrottungsvolumen pro Mitarbeiter Gutschriften pro Mitarbeiter und Verkaufsprodukt Lückenlosigkeit von Belegen (Einkauf, Vertrieb usw.)
31
www.silverconsult.de www.interne-revision.net 18.5.2011
Prüfregeln definieren Kombinationen aus mehreren Prüfregeln
möglich: Wert eines Vorgangs + Benutzung eines Kontos +
Mitarbeiter Häufigkeit eines Vorgangs + Mitarbeiter + Werk Produktionsleistung + Einkaufsleistung + Zeitpunkte Anzahl von Stornos + deren Wert Häufigkeit eines Preiswechsels + Materialposition
32
www.silverconsult.de www.interne-revision.net 18.5.2011
Anzeigetafel zur dauerhaften Überwachung erstellen Matrix pro
Fachbereich und CA-Kontrolle
Verschrottung Instandhaltung Stornos
Unt. 1 Betrag, Anzahl, Arbeitsgruppe
Kosten pro Produktionseinheit PM-Element
Pro Konto, Bewegungsart, Abteilung, Gruppe
Unt. 2 Betrag, Anzahl, Arbeitsgruppe, Mat.-Klasse
Kosten pro Produktionseinheit
Pro Konto, Bewegungsart, BK
33
www.silverconsult.de www.interne-revision.net 18.5.2011
Anzeigetafel zur dauerhaften Überwachung erstellen Objektorientierte
Matrix und CA-Kontrolle
Preisentwicklung Reklamationen
Produktklasse Preisausreißer < 20% als Trend > 5.000 €
Anzahl, Abwicklungsdauer > 30 Tage
Materialgruppe Preisausreißer > 20% als Trend und >10.000 €
Anzahl Abwicklungsdauer > 15 Tage
34
www.silverconsult.de www.interne-revision.net 18.5.2011
CA-Planung, Zusammenfassung
Ablauf einer CA-Planung
CA-Objekte Steuerung des CA Prüfung Ergebnis
Organisatorisch/geografisch: Gesellschaft, Regionen, Länder
Zeitpunkt/Ereignis, Werte elektronisch Prüfung ansetzen
Fachobjekte übergreifend: Produktklasse, Materialklasse, GB, Sparte, Vertriebsweg
Zeitraum/Gruppierung von Ereignissen, Werte
manuell Keine Prüfung notwendig
35
www.silverconsult.de www.interne-revision.net 18.5.2011
CA-Zusammenfassung
Ablauf einer CA-Planung
CA-Objekte Steuerung des CA Prüfung Ergebnis
Organisatorisch/geografisch: Gesellschaft, Regionen, Länder
Zeitpunkt/Ereignis, Werte elektronisch Prüfung ansetzen
Fachobjekte übergreifend: Produktklasse, Materialklasse, GB, Sparte, Vertriebsweg
Zeitraum/Gruppierung von Ereignissen, Werte
manuell Keine Prüfung notwendig
36
www.silverconsult.de www.interne-revision.net 18.5.2011
CA-Zusammenfassung
Ablauf einer CA-Planung
CA-Objekte Steuerung des CA Prüfung Ergebnis
Organisatorisch/geografisch: Gesellschaft, Regionen, Länder
Zeitpunkt/Ereignis, Werte elektronisch Prüfung ansetzen
Fachobjekte übergreifend: Produktklasse, Materialklasse, GB, Sparte, Vertriebsweg
Zeitraum/Gruppierung von Ereignissen, Werte
manuell Keine Prüfung notwendig
37
www.silverconsult.de www.interne-revision.net 18.5.2011
CA-Zusammenfassung
Ablauf einer CA-Planung
CA-Objekte Steuerung des CA Prüfung Ergebnis
Organisatorisch/geografisch: Gesellschaft, Regionen, Länder
Zeitpunkt/Ereignis, Werte elektronisch Prüfung ansetzen
Fachobjekte übergreifend: Produktklasse, Materialklasse, GB, Sparte, Vertriebsweg, ERP, MA/DD
Zeitraum/Gruppierung von Ereignissen, Werte
manuell Keine Prüfung notwendig
Beispiele von CA-Ausprägungen in einzelnen Fachbereichen
39
www.silverconsult.de www.interne-revision.net 18.5.2011
Überraschungseffekte durch CA sind vorprogrammiert… Gut gelebtes CA lässt Sie Ihren
Arbeitgeber (fast) neu kennenlernen Interne Umlagerung über 30% aller
BewegungenAnzahl der Preisänderungen in einem
Einkaufsbereich, wo mit langjährigen Verträgen gearbeitet wurde
40
www.silverconsult.de www.interne-revision.net 18.5.2011
Was erlaubt Ihre Software und Ihre Berechtigungen? Was erlaubt Ihre ERP-Lösung? Welche
Möglichkeiten und Risiken existieren? Buchungen in vergangenen/abgeschlossenen
Perioden? Auflösung der Bindung zwischen einem Dokument
und dem Vorgang? WE-Storno, Rechnung wird dennoch bezahlt
Manuelle Zahlung ohne Dokument/Rechnung?
41
www.silverconsult.de www.interne-revision.net 18.5.2011
Rechnungswesen und Controlling Vollständigkeit und Lückenlosigkeit der Belege
Stornierte SD-Aufträge beachten Vorsteuerschlüssel und Aufwandskonten Steuerschlüssel und Erlöskonten Journal vs. OP-Verwaltung (inkl. Einzelposten) Wertberichtigungen des Anlage und Umlaufvermögens Automatisch gestoppte Zahlungen, manuell gestartete Zahlungen CDP-Konten Kasse-/Bankabschlusssalden (monatlich, vierteljährlich, jährlich) Verrechnungspreise zu ausländischen Töchtern Beanspruchung von Skontis, Rabatten (debitorisch, kreditorisch) Ausgebuchte Differenzen
Rechnungs-/Zahlungsbetrag Währungsdifferenzen Zinsdifferenzen
42
www.silverconsult.de www.interne-revision.net 18.5.2011
Vertrieb & Marketing Preise und deren Veränderungen
Sonderrabatte, Dauer-Tiefpreise Lieferungen II-, III-Qualität Sonderzahlungskonditionen Sonderleistungen (Bauten, Vorrichtungen, urlaubsähnliche Workshops etc.) Deckungsbeiträge pro Lieferung (im Unterschied zum Controlling!) Vollmachten und Berechtigungen Marketingkosten und deren Resultate (!)
Eingerichtete Internetseite Separate Tel.-Nr., separate Bestellhotline
43
www.silverconsult.de www.interne-revision.net 18.5.2011
Logistik
Transportpreise und deren Veränderungen pro Transportart Zuschläge für Niedrigwasser berücksichtigen
Vollmachten & Berechtigungen Transportpapiere für besondere Transporte
Einhaltung von Umweltvorgaben
44
www.silverconsult.de www.interne-revision.net 18.5.2011
Personalwesen Abweichungen bei regelmäßigen Zahlungsvorgängen Bestellung von Beauftragten
Datenschutz Sicherheit Umweltbeauftragter Compliance-Officer
Sonderzahlungen Prämien, Boni
Schulungen Pflichtschulungen (Elektriker, Schweißer usw.)
Aushilfen Stundentische Nachweise berücksichtigen
45
www.silverconsult.de www.interne-revision.net 18.5.2011
Materialwirtschaft
Einkaufspreise und deren Entwicklung Lagerung gefährlicher Güter Zertifizierungen für besondere Materialien Verschrottungen Lagerhüter, Reichweite Inventurdifferenzen Bewertungsmethode Materialausgabe, Materialabforderungsscheine (MAS)
46
www.silverconsult.de www.interne-revision.net 18.5.2011
Produktion Produktionsvolumen vs. Verbräuche Zertifizierungen für Mensch und Maschinen Wartung & Instandhaltung Maschinendaten
Bei Anfälligkeit
Inventur auf Produktionslager (Zwischenlager) Interne Umlagerungen Unfälle und deren Ursachen Umweltvorgaben
Abwasser und Abfallmanagement Umweltberichte
Auswertung und Dokumentation der Kontrollergebnisse
48
www.silverconsult.de www.interne-revision.net 18.5.2011
Bewertung der Ergebnisse Ist das Ergebnis noch zu umfangreich um realistisch
geprüft zu werden? Erklärbare oder (vorübergehend) hinnehmbare Auffälligkeiten ausschalten.
Bewertung erst nach weiteren Prüfungshandlungen vornehmen Vollständige Aktenlage für mutmaßliche Fehler
gewinnen Interviews erst anschließend führen Bewusst oder unbewusst, Zufall oder Absicht?
49
www.silverconsult.de www.interne-revision.net 18.5.2011
Rückkopplung der Ergebnisse
Risiken und deren Werthaltigkeit verändern sich, CA muss sich auch verändernAnpassung der CA-Prüfungen
Reduzierung der CA- Turnusse Veränderung der Kriterien
Aufgabe der CA-PrüfungNeue CA-Fachgebiete
50
www.silverconsult.de www.interne-revision.net 18.5.2011
CA als Basis für einen Prüfungsansatz und andauernden Anpassungsprozess
Ressourcen können effizienter eingesetzt werden Mehr Prüfungen können absolviert werden Politische „Blamagen“ durch ergebnislose Prüfungen
können vermieden werden Wichtig für Obmudsmänner/-frauen Revisionsimage