Interne Kontrollsysteme (IKS)

Beim IKS Readiness Check evaluieren wir das vorhandene IKS in Bezug auf die fünf Grundebenen des „COSO Internal Control Integrated Framework“ (idF 2013) und den daraus formulierten 17 Prinzipien.

Im ersten Schritt führen wir eine Richtlinieninventur durch und überprüfen, welche Richtlinien, Dienstvorschriften, Einzeldienstvorschriften, Handlungsanweisungen etc vorhanden sind. Sofern in dieser Phase bereits möglich, beurteilen wir zudem die Adressierung von Risken durch die in den Richtlinien beschriebenen Kontrollaktivitäten. Nach Durchsicht der Regelungen nehmen wir eine erste Beurteilung bezüglich der Ausprägungsmerkmale des IKS vor.

Im nächsten Schritt stellen wir den geprüften Unternehmenseinheiten unseren standardisierten Fragenkatalog zur Verfügung, womit wir uns einen besseren Eindruck über die Abdeckung der 17 Grundprinzipien verschaffen.

Im Rahmen von Interviews mit Vertretern der Organisationseinheiten ermitteln wir die dort durchgeführten Haupttätigkeiten und evaluieren diese im Detail mit den verantwortlichen Leitern der jeweiligen Bereiche und Abteilungen. Ziel dieser Phase ist die Plausibilisierung der zuvor erlangten Informationen hinsichtlich deren Relevanz für die Beurteilung der Ausgestaltung des IKS im Unternehmen.

Mithilfe des IKS Readiness Checks helfen wir Ihnen festzustellen, ob wesentliche Komponenten in den jeweiligen Unternehmensbereichen vorhanden sind und auch tatsächlich umgesetzt werden.

Bei der Implementierung des IKS handelt es sich für die meisten Organisationen um eine gesetzliche Verpflichtung. Gemäß § 82 AktG, § 22 (1) GmbHG und § 243a (2) / 243b UGB hat der Vorstand bzw die Geschäftsführung dafür zu sorgen, dass ein internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht. Weist das IKS signifikante Schwachstellen auf, kann die Geschäftsleitung in Haftung genommen werden.

Neben der gesetzlichen Verpflichtung kann die Implementierung eines IKS aus verschiedenen regulatorischen oder betriebswirtschaftlichen Gründen notwendig sowie aus Effizienzgründen für Ihr Unternehmen von Interesse sein.

Mit folgendem Ansatz unterstützen wir Sie dabei, ein effektives und effizientes Kontrollsystem zu errichten:

Scoping: Ermittlung der in den Projektumfang einzubeziehenden Prozesse, Risiken und Kontrollen.

Modellierung: Die Modellierungsmöglichkeiten werden mit Ihnen besprochen und gemeinsam festgelegt. In dieser Phase erfolgt auch die Festlegung der bei der Dokumentation einzubeziehenden Prozesselemente und deren Ausprägungsmerkmale.

Prozessdokumentation: Für die Prozessdokumentation stehen unterschiedliche Optionen zur Ausgestaltung zur Verfügung, die wir zu Projektbeginn mit Ihnen im Detail diskutieren und gemeinsam festlegen.

Test of Control (ToC): Im Zuge der Prozessprüfung wird ein ToC durchgeführt. Die Prüfungshandlungen bestehen aus der Beurteilung des Test of Design (ToD) und aufbauend auf dessen Ergebnissen aus dem Test of Operating Effectiveness (ToE).

Identifikation von Optimierungspotenzialen & Unterstützung bei der Erstellung des Maßnahmenkatalogs: Falls wesentliche Risiken nicht oder nicht ausreichend von den identifizierten Kontrollen abgedeckt werden, geben wir Empfehlungen zur Kontrollverbesserung ab, oder wenn unmittelbares Handeln erforderlich ist, unterstützen wir Sie bei der Gestaltung neuer Kontrollen.

Re-Test: In Bezug auf Kontrollen, bei denen beim Test eine eingeschränkte/fehlende Wirksamkeit festgestellt wurde, sollten diese Kontrollen nach deren „Remediation“ einem Re-Test unterzogen werden. Dabei werden die zuvor festgestellten Abweichungen oder Fehler dieser Kontrollen einer nochmaligen Prüfung unterzogen und eine abschließende Aussage zur Wirksamkeit der Kontrolle getroffen.

Ein wichtiger Erfolgsfaktor für ein effektives Internes Kontrollsystem ist die lückenlose Dokumentation der Kontrollen. Eine vollständige Dokumentation der Kontrollen beinhaltet Informationen zu den Kontrollverantwortlichen, zur Kontrollfrequenz sowie Kontrollausführung.

Sei es die Visualisierung der Kontrollen in grafischer Form, die Darstellung einer Risiko-Kontroll-Matrix oder die Erstellung eines IKS-Handbuches, oft fehlt es an einfachen Instrumenten zur Dokumentation.

Wir verfügen über fundiertes Wissen und unterstützen Sie durch den Gebrauch modernster Technologien.

Für die Prozessdokumentation stehen unterschiedliche Optionen zur Ausgestaltung zur Verfügung, die wir zu Projektbeginn mit Ihnen im Detail diskutieren und gemeinsam festlegen. Als mögliche Ausprägungen stehen ua folgende Varianten zur Verfügung:

• „Narrativ“ – Textliche Prozessbeschreibung
• Visualisierung - zB Flowcharts
• Risiko-Kontroll-Matrix

In Workshops zu den einzelnen Teilprozessen werden gemeinsam mit den Prozessverantwortlichen die relevanten Abläufe ermittelt, Kontrollen den Risiken zugeordnet sowie gegebenenfalls Kontrollschwächen aufgezeigt. Durch unsere Herangehensweise stellen wir sicher, dass für alle identifizierten Risiken angemessene Kontrollmaßnahmen eingerichtet sind oder später im Rahmen der Bearbeitung der aufgezeigten Verbesserungspotenziale definiert und implementiert werden können. Als Ergebnis erhalten Sie eine vollständige Dokumentation Ihres internen Kontrollsystems.

Eine regelmäßige externe Prüfung des IKS gibt Aufschluss über die Effektivität und Effizienz der Prozesse und Kontrollen. Im Zuge der Prozessprüfung wird ein Test of Control (ToC) durchgeführt. Die Prüfungshandlungen bestehen aus der Beurteilung des Test of Design (ToD) und aufbauend auf dessen Ergebnissen aus dem Test of Operating Effectiveness (ToE).

Beim Test of Design (ToD) vergleichen wir die bei Ihnen vorhandene Dokumentation mit den Ausgestaltungsmerkmalen einer „State of the Art“ risiko- und kontrollorientierten Prozessdokumentation auf Basis der Analyse und Beurteilung der IST-Prozesse, der Durchführung einzelner „walk-throughs“ zu ausgewählten Prozessen sowie der Beurteilung der Klarheit und Verständlichkeit der Prozessdokumentation.

Kontrollen, die beim ToD als „angemessen gestaltet und implementiert“ beurteilt wurden, werden anschließend einem Test of Operating Effectiveness (ToE) unterzogen. Dabei beurteilen wir, inwiefern vorgesehene Kontrollen zum Einsatz kommen. Außerdem wird evaluiert, in welchen Abständen und von welchen Personen diese Kontrollen nachweislich durchgeführt werden.

Ziel ist es Ihnen einen Überblick über die Wirksamkeit der implementierten Kontrollen zu gewährleisten sowie Handlungsbedarf bei eingeschränkter/fehlender Wirksamkeit aufzuzeigen.

Benchmarking: Gegenüberstellung des IKS

Möchten Sie wissen, wo Sie mit Ihrem Unternehmen stehen? Wie ein effektives, produktives und effizientes IKS aussieht? Was hat sich als Best Practice in Hinblick auf die Wirksamkeit des IKS tatsächlich bewährt?

Der kontinuierliche Vergleich mit Prozessen und Maßnahmen anderer Unternehmen soll dazu beitragen, die Leistungslücke zur sogenannten „Best of Class“ weitestgehend zu schließen.

Aus diesem Grund stellen wir das IKS jenem von vergleichbaren Unternehmen gegenüber, identifizieren Unterschiede und zeigen Verbesserungsmöglichkeiten im Rahmen einer Benchmark-Analyse auf.

Kontrollprozesse sind oft noch in einem hohen Ausmaß von manuellen Tätigkeiten geprägt. Unterlagen werden in Papierform weitergereicht und Einzelbelege mühsam abgestimmt, danach erfolgt eine händische Unterschrift auf den Dokumenten als Freigabe. Durch Automatisierung und Digitalisierung können die Kosten der Kontrolldurchführung reduziert, Geschäftsprozesse optimiert sowie neue Anforderungen an die Risikosteuerung erfüllt werden. Automatisierte Workflows stellen darüber hinaus die entsprechende Dokumentation der Kontrolldurchführung sicher.

Wir erheben Ihre Prozesse und prüfen diese hinsichtlich ihres Digitalisierungs- und Automatisierungspotenzials. Als Ergebnis erhalten Sie Empfehlungen und Umsetzungsmöglichkeiten zur Prozess- und Kontrolloptimierung. Die fortschreitende Digitalisierung und Automatisierung stellen daher eine erfolgsversprechende Chance dar, um manuelle Tätigkeiten mithilfe digitaler Lösungen zu reduzieren.

Dabei hat KPMG unter anderem ein detailliertes Finanzprozess-Toolkit entwickelt, das bei der Analyse von Automatisierungsmöglichkeiten in den wichtigsten Bereichen der Buchhaltungsprozesse hilft. Die Analyse erfolgt in 2 Schritten:

1. Abgleich mit der KPMG End-to-End-Prozesstaxonomie (aus technischer Sicht)
2. Abgleich mit der KPMG Bot-Bibliothek und den Use Cases: Die KPMG Bot Bibliothek verfügt über mehr als 1000 produktiv laufende Bots mit Fokus auf den Finanzbereich.

Als Ergebnis der Evaluierung wird die Prozessdokumentation um jene Inhalte ergänzt, mittels derer wir mögliche Lösungswege, wie die Prozesse digitalisiert/automatisiert werden können, aufzeigen.

Die Anforderungen an das IKS sind vielfältig und können je nach Regulatorik mitunter stark von den österreichischen Ansätzen abweichen.

Die bekannteste Regulatorik umfasst den US-amerikanischen Sarbanes-Oxley Act für amerikanische und ausländische Unternehmen sowie Tochtergesellschaften, deren Vermögenswerte an der amerikanischen Börse gehandelt oder in den USA öffentlich angeboten werden. Das Erreichen der Sarbanes-Oxley-Konformität ist aufgrund der hohen Anforderungen jedoch sehr komplex und zeitintensiv.

KPMG verfügt dabei über Fachleuten mit Kenntnissen und Erfahrungen in der Erbringung von SOX-bezogenen Dienstleistungen für nationale und globale Organisationen. Die globale SOX-Methodik wurde auf der Grundlage der Interpretive Guidance for Management der SEC entwickelt und von KPMG Mitgliedsfirmen übernommen, die nahtlos an grenzüberschreitenden Aufträgen arbeiten können, um einen einheitlichen Ansatz und eine einheitliche Erbringung der Dienstleistungen zu gewährleisten.

Wir unterstützen Sie beim Erreichen der SOX Compliance mit sämtlichen Dienstleistungen von der SOX-Implementierung über SOX-Dokumentation bis hin zum SOX Testing durch Expert:innen aus dem KPMG Netzwerk.

Wir arbeiten stets eng mit den Kunden zusammen, um Wissen zu vermitteln oder Schulungen anzubieten, die ein erfolgreiches SOX 404 Compliance-Programm unterstützen und Ihrem Unternehmen einen Mehrwert bieten.