Präsentation - Software AG
Transcrição
Präsentation - Software AG
Einführung eines operativen IKS-Verfahren mit ARIS für die Wüstenrot & Württembergische Josef Kirschbaum, selbstständiger Projektleiter IKS, Wüstenrot & Württembergische 06. Oktober 2010 Inhalt • • • • • • • • • Das Unternehmen Handlungsbedarf Zielsetzung Verantwortlichkeiten Nutzung vorhandener Daten/Datenerhebung Prozesserfassung in ARIS/Erfassung Risikodaten Rollen und Funktionen im IKS Verfahren Verfahren mit ARIS Risk & Compliance Manager Aufwand/Nutzen GetForum ThereWien Faster. October 06, 2010 | Process | 2 Das Unternehmen • 1999 aus dem Zusammenschluss der Traditionsunternehmen Wüstenrot und Württembergische entstanden, verbindet der börsennotierte Konzern mit Sitz in Stuttgart BausparBank und Versicherung als gleich starke Säulen. • Das große Vertrauen der sechs Millionen Kunden gründet sich auf die Kompetenz, das Engagement und die Kundennähe von rund 10.000 Mitarbeitern. • Unterstützt von Direkt-Aktivitäten kann jeder der 6.000 Außendienst-Partner der W&W-Gruppe alle Vorsorge-Bedürfnisse seiner Kunden aus einer Hand erfüllen. • Mit einer Bilanzsumme von knapp 70 Mrd. € hat sich W&W als größter unabhängiger und kundenstärkster Finanzdienstleister Baden-Württembergs etabliert. GetForum ThereWien Faster. October 06, 2010 | Process | 3 Handlungsbedarf (I) Von unterschiedlichen Dokumentationen zum aktiven und einheitlichen IKS - Verfahren Typischer Status eines bestehenden IKS - Verfahren + + + + + Unterschiedliche Aufzeichnung, wie Arbeitsanweisungen, Kontrolllisten, Prozesse und Arbeitsschritte sind identifiziert und dokumentiert. Risikoart, Kontrolle, Kontrollziel und Risikobewältigung sind zumindest teilweise erfasst. Risikomanagement wird betrieben. Verantwortliche müssen Risikobewältigung betreiben Erster Schritt für erforderliches IKS somit erfolgt. - - - Oft keine prozess- sondern abteilungsbezogene Sicht, Schnittstellenprozesse deshalb nicht durchgängig vorhanden. Qualität der Kontrolldokumentation teilweise nicht ausreichend bzw. vorhanden. Unterschiedliche Detaillierungsgrade der Dokumentation. Aufzeichnungen nicht geeignet für Prozesssicht und Generierung weiterer nötiger Schritte i. S. des IKS (z.B. Tests, lfd. Risikoeinschätzung, Effektivität der Kontrollen, etc.). Fachbereiche stellen Defizite im Umgang mit derzeitigem IKS fest – unterschiedlich ausgeprägtes Risikobewusstsein. Kein Alarm- und Eskalationsmanagement. Kein Managementreporting, keine Analyse. Bisheriges IKS genügt nicht gestiegenen Anforderungen. GetForum ThereWien Faster. October 06, 2010 | Process | 4 Handlungsbedarf (II) – klare neue MaRisk Vorgaben Regulatorische Gründe der MaRisk, BilMoG, KonTraG, AktG, KWG, HGB, SolvV, LiqV, PfandBG, DRS u.s.w. sind der Hauptgrund, ein gesetzkonformes Verfahren des internen Kontrollsystems (IKS) zu installieren. Es liegt aber auch im eigenen Interesse des Unternehmens, Risiken zu bewältigen oder zumindest zu minimieren. Im Grunde verlangen alle Gesetze ein angemessenes Kontrollsystem!? – die MaRisk schlägt eine Brücke Richtung SOX! Tests und Beurteilungen der Kontrollen sind mind. 1 x p.a. durchzuführen! Erfüllung von regulatorischen Anforderungen erzwingen Maßnahmen. GetForum ThereWien Faster. October 06, 2010 | Process | 5 Handlungsbedarf (III) – notwendige Schritte Notwendige Schritte für ein operatives IKS - Verfahren Einrichtung einer zentralen Steuerung und Überwachung des operativen IKS für das Unternehmen Einheitliche Modellierung IKS-relevanter Prozesse, insb. Schnittstellenprozesse (vorrangig IT und zwischen den Einzelabteilungen- und Einzelunternehmen) Einrichtung Controlprocessing (Dokumentation und Art der Kontrolle, Kontrollfrequenz, Kontrollzeitraum, Kontrollumfang etc.) Einrichtung Testprocessing (es werden keine Tests auf die durchgeführten bzw. nicht durchgeführten Kontrollen vorgenommen) Prüfung und Beurteilung auf Design, Effektivität und Optimierung der Kontrollen, Tests und in Folge der Prozesse. Fortlaufende Einschätzung des Risikos Standardisierte jährliche Prozessfreigabe durch die Prozess-Verantwortlichen Sensibilisierung des Risikobewusstseins aller Mitarbeiter Ausbau des IKS Richtung der Grundsätze des Sarbanes Oxley Act (SOX) Monetäre Vorgaben zur Risikorelevanz (Key-Controls) Konzerneinheitliches Alarm- und Eskalationsmanagement bei Abweichungen (Deficiencies, Issues) Management Reporting, Analyse der Ergebnisse Sukzessiver IKS- Ausbau. GetForum ThereWien Faster. October 06, 2010 | Process | 6 Zielsetzung (I) Positive Nebeneffekte Ziele Weiterentwicklung IKS 2. Ausbau Zielsetzung (I) des derzeitigen IKS Richtung der Grundsätze des Sarbanes Oxley Act (SOX) Zentrale Steuerung des operativen IKS für den Gesamtkonzern durch eine entsprechende Stabsstelle und einem geeigneten Tool (ARIS) Weitere Sensibilisierung des Risikobewusstseins der Mitarbeiter Fortlaufende Einschätzung des Risikos und der Effektivität der Prozesse durch Kontroll- und Testdurchführung sowie deren Beurteilung. Standardisierte jährliche Prozessfreigabe durch die Prozess-Verantwortlichen Regelmäßige Management Reporting und konzerneinheitliches Alarm-/Eskalationsmanagement bei Defiziten Auch künftig Einhaltung der gesetzlichen Standards Intensivierung der fortlaufenden Revisionssicherheit des IKS Verstärkung der risikoorientierten Unternehmenskultur Transparenz, Einheitlichkeit und Verlässlichkeit in der Unternehmensstruktur (...in den Prozessen) Schaffung einer einheitlich inventarisierten Prozess-Basis im Finanzbereich zur Ableitung von Folgeaktivitäten Optimierung von Prozessen und flexible Anpassung bei Neuanforderungen, Kosteneinsparungen Analysefunktionen aus dem IKS Unterstützung in der strategischen Unternehmensführung sowie dauerhafte Sicherung und Steigerung der Wettbewerbsfähigkeit Grundlagen Governance - Risk - Compliance System für das Prozesscontrolling Projekt Projektstruktur mit beteiligten Bereichen und Support durch ARIS Planung der zeitlichen Erfassung mit risikorelevantesten Prozessen – Auswahl mittels Experteneinschätzung In Folge Fortführung des Projekts IKS für alle risikorelevanten Prozesse und Risikoträger im Unternehmen Initiierung Projekt Einführung eines IKS - Verfahren. GetForum ThereWien Faster. October 06, 2010 | Process | 7 Zielsetzung (II) Operativer Bereich Operative Tätigkeiten im Prozess, Risikobeschreibung, Kontroll- und Testbeschreibung Zentrale Steuerung und Überwachung IKS (mit ARCM) Prozessverantwortliche IKS-Ansprechpartner Prozessmodell, Risikobeschreibung, Kontrollbeschreibung, Testbeschreibung 1. Kontrolldurchführung- und dokumentation durch Kontrollierende 2. Testdurchführung- und dokumentation durch Tester Management/ Revision Gesamtheit aller Prozesse Managementreporting, Analyse Defizite, Feststellungen Alarm, Eskalation Test of Design/ Prozessfreigabe (Processverantw. IKS-Ansprechpart. IKS-Stabsstelle) Idealtypische IKS-Struktur. Maßnahmen, Änderungen, Optimierung GetForum ThereWien Faster. October 06, 2010 | Process | 8 Verantwortlichkeiten Beschreibung Management Verantwortlich (optional) Vorstand Geschäftsführer CRO (Chief Risk Officer) Geschäftsführer Stabsstelle Rechnungswesen Risikomanagement Organisation Verantwortliche Stelle Prozessverantwortung IKS - Verfahren Ausführende Stelle Steuerung IKS – Verfahren Überwachung IKS – Verfahren Projektausführung IKS - Verfahren Stabstelle CRO Stabstelle im Rechnungswesen Stabstelle im Risikomanagement Stabstelle in der Organisation Beteiligte Stellen Ansprechpartner Schnittstellen Einfluss auf monetäre und operative Vorgaben Einfluss auf Prioritäten Revision Organisation Risikomanagement ggf. Wirtschaftsprüfer Fachbereiche Prozessbeschreibung Beschreibung Risiko und Kontrolle Kontrollausführung und Dokumentation Test der Wirksamkeit Test of Design Prozessverantwortliche Organisation Klare Verantwortlichkeiten und Rollenverteilung. GetForum ThereWien Faster. October 06, 2010 | Process | 9 Nutzung vorhandener Daten/Datenerhebung Schonung von Ressourcen/optimierte Vorgehensweise. Get There Faster. October 06, 2010 | Process Forum Wien | 10 Prozesserfassung (-ergänzung) in ARIS – Erfassung Risikodaten Prozess - EPK Risiko/Kontrolle/Test Business Controls Diagram BCD Wichtige Basisdaten. Get There Faster. October 06, 2010 | Process Forum Wien | 11 Rollen und Funktionen im IKS - Verfahren Besetzung der Rollen. Get There Faster. October 06, 2010 | Process Forum Wien | 12 Verfahren mit dem ARIS Risk & Compliance Manager 1. Aufforderung für Aktivitäten 1) per E-Mail 3. Negatives Ergebnis erfordert Review 2. Beschreibung der Aktivitäten 1) und Ergebniserfassung 4. Reporting zu den verschiedenen Aktivitäten 1) Kontrollen/ Wirksamkeitstest/ Reviews/ Issues/ Designtest/ Prozessfreigabe Unternehmensweit einheitliches IKS - Verfahren. Get There Faster. October 06, 2010 | Process Forum Wien | 13 Nutzenrechnung Ungeahnter Nutzen mit hohem Effekt. Get There Faster. October 06, 2010 | Process Forum Wien | 14 Vielen Dank!