Präsentation - Software AG

Einführung eines operativen IKS-Verfahren mit ARIS
für die Wüstenrot & Württembergische
Josef Kirschbaum, selbstständiger Projektleiter IKS,
Wüstenrot & Württembergische
06. Oktober 2010
Inhalt
•
•
•
•
•
•
•
•
•
Das Unternehmen
Handlungsbedarf
Zielsetzung
Verantwortlichkeiten
Nutzung vorhandener Daten/Datenerhebung
Prozesserfassung in ARIS/Erfassung Risikodaten
Rollen und Funktionen im IKS Verfahren
Verfahren mit ARIS Risk & Compliance Manager
Aufwand/Nutzen
GetForum
ThereWien
Faster.
October 06, 2010 | Process
| 2
Das Unternehmen
• 1999 aus dem Zusammenschluss der Traditionsunternehmen Wüstenrot und
Württembergische entstanden, verbindet der börsennotierte Konzern mit Sitz
in Stuttgart BausparBank und Versicherung als gleich starke Säulen.
• Das große Vertrauen der sechs Millionen Kunden gründet sich auf die Kompetenz, das Engagement und die Kundennähe von rund 10.000 Mitarbeitern.
• Unterstützt von Direkt-Aktivitäten kann jeder der 6.000 Außendienst-Partner
der W&W-Gruppe alle Vorsorge-Bedürfnisse seiner Kunden aus einer Hand
erfüllen.
• Mit einer Bilanzsumme von knapp 70 Mrd. € hat sich W&W als größter
unabhängiger und kundenstärkster Finanzdienstleister Baden-Württembergs
etabliert.
GetForum
ThereWien
Faster.
October 06, 2010 | Process
| 3
Handlungsbedarf (I)
Von unterschiedlichen Dokumentationen zum aktiven und einheitlichen IKS - Verfahren
Typischer Status eines bestehenden IKS - Verfahren
+
+
+
+
+
Unterschiedliche Aufzeichnung, wie Arbeitsanweisungen,
Kontrolllisten, Prozesse und Arbeitsschritte sind
identifiziert und dokumentiert.
Risikoart, Kontrolle, Kontrollziel und Risikobewältigung
sind zumindest teilweise erfasst.
Risikomanagement wird betrieben.
Verantwortliche müssen Risikobewältigung betreiben
Erster Schritt für erforderliches IKS somit erfolgt.

-
-
-
Oft keine prozess- sondern abteilungsbezogene Sicht, Schnittstellenprozesse deshalb nicht durchgängig vorhanden.
Qualität der Kontrolldokumentation teilweise nicht ausreichend
bzw. vorhanden. Unterschiedliche Detaillierungsgrade der Dokumentation.
Aufzeichnungen nicht geeignet für Prozesssicht und Generierung
weiterer nötiger Schritte i. S. des IKS (z.B. Tests, lfd. Risikoeinschätzung, Effektivität der Kontrollen, etc.).
Fachbereiche stellen Defizite im Umgang mit derzeitigem IKS fest –
unterschiedlich ausgeprägtes Risikobewusstsein.
Kein Alarm- und Eskalationsmanagement.
Kein Managementreporting, keine Analyse.
Bisheriges IKS genügt nicht gestiegenen Anforderungen.
GetForum
ThereWien
Faster.
October 06, 2010 | Process
| 4
Handlungsbedarf (II) – klare neue MaRisk Vorgaben
Regulatorische Gründe der MaRisk, BilMoG, KonTraG, AktG, KWG, HGB, SolvV,
LiqV, PfandBG, DRS u.s.w. sind der Hauptgrund, ein gesetzkonformes
Verfahren des internen Kontrollsystems (IKS) zu installieren. Es liegt aber
auch im eigenen Interesse des Unternehmens, Risiken zu bewältigen oder
zumindest zu minimieren. Im Grunde verlangen alle Gesetze ein
angemessenes Kontrollsystem!? – die MaRisk schlägt eine Brücke Richtung
SOX!
Tests und
Beurteilungen der
Kontrollen sind mind.
1 x p.a.
durchzuführen!

Erfüllung von regulatorischen Anforderungen erzwingen Maßnahmen.
GetForum
ThereWien
Faster.
October 06, 2010 | Process
| 5
Handlungsbedarf (III) – notwendige Schritte
Notwendige Schritte für ein operatives IKS - Verfahren












Einrichtung einer zentralen Steuerung und Überwachung des operativen IKS für das
Unternehmen
Einheitliche Modellierung IKS-relevanter Prozesse, insb. Schnittstellenprozesse
(vorrangig IT und zwischen den Einzelabteilungen- und Einzelunternehmen)
Einrichtung Controlprocessing (Dokumentation und Art der Kontrolle,
Kontrollfrequenz, Kontrollzeitraum, Kontrollumfang etc.)
Einrichtung Testprocessing (es werden keine Tests auf die durchgeführten bzw. nicht
durchgeführten Kontrollen vorgenommen)
Prüfung und Beurteilung auf Design, Effektivität und Optimierung der Kontrollen,
Tests und in Folge der Prozesse. Fortlaufende Einschätzung des Risikos
Standardisierte jährliche Prozessfreigabe durch die Prozess-Verantwortlichen
Sensibilisierung des Risikobewusstseins aller Mitarbeiter
Ausbau des IKS Richtung der Grundsätze des Sarbanes Oxley Act (SOX)
Monetäre Vorgaben zur Risikorelevanz (Key-Controls)
Konzerneinheitliches Alarm- und Eskalationsmanagement bei Abweichungen
(Deficiencies, Issues)
Management Reporting, Analyse der Ergebnisse
Sukzessiver IKS- Ausbau.
GetForum
ThereWien
Faster.
October 06, 2010 | Process
| 6
Zielsetzung (I)
Positive Nebeneffekte
Ziele Weiterentwicklung IKS





2. Ausbau
Zielsetzung
(I)
des derzeitigen IKS
Richtung der Grundsätze des
Sarbanes Oxley Act (SOX)
Zentrale Steuerung des operativen IKS für den Gesamtkonzern
durch eine entsprechende Stabsstelle und einem geeigneten
Tool (ARIS)
Weitere Sensibilisierung des Risikobewusstseins der
Mitarbeiter
Fortlaufende Einschätzung des Risikos und der Effektivität der
Prozesse durch Kontroll- und Testdurchführung sowie deren
Beurteilung. Standardisierte jährliche Prozessfreigabe durch
die Prozess-Verantwortlichen
Regelmäßige Management Reporting und konzerneinheitliches
Alarm-/Eskalationsmanagement bei Defiziten








Auch künftig Einhaltung der gesetzlichen Standards
Intensivierung der fortlaufenden Revisionssicherheit des IKS
Verstärkung der risikoorientierten Unternehmenskultur
Transparenz, Einheitlichkeit und Verlässlichkeit in der
Unternehmensstruktur (...in den Prozessen)
Schaffung einer einheitlich inventarisierten Prozess-Basis im
Finanzbereich zur Ableitung von Folgeaktivitäten
Optimierung von Prozessen und flexible Anpassung bei
Neuanforderungen, Kosteneinsparungen
Analysefunktionen aus dem IKS
Unterstützung in der strategischen Unternehmensführung
sowie dauerhafte Sicherung und Steigerung der
Wettbewerbsfähigkeit
Grundlagen Governance - Risk - Compliance
System für das Prozesscontrolling
Projekt




Projektstruktur mit beteiligten Bereichen und Support durch ARIS
Planung der zeitlichen Erfassung mit risikorelevantesten Prozessen – Auswahl mittels Experteneinschätzung
In Folge Fortführung des Projekts IKS für alle risikorelevanten Prozesse und Risikoträger im Unternehmen
Initiierung Projekt Einführung eines IKS - Verfahren.
GetForum
ThereWien
Faster.
October 06, 2010 | Process
| 7
Zielsetzung (II)
Operativer Bereich
Operative Tätigkeiten im Prozess,
Risikobeschreibung, Kontroll- und
Testbeschreibung
Zentrale Steuerung und
Überwachung IKS (mit ARCM)
Prozessverantwortliche
IKS-Ansprechpartner
Prozessmodell, Risikobeschreibung,
Kontrollbeschreibung, Testbeschreibung
1. Kontrolldurchführung- und
dokumentation durch Kontrollierende
2. Testdurchführung- und
dokumentation durch Tester
Management/
Revision
Gesamtheit aller Prozesse
Managementreporting, Analyse
Defizite, Feststellungen
Alarm, Eskalation
Test of Design/
Prozessfreigabe
(Processverantw.
IKS-Ansprechpart.
IKS-Stabsstelle)

Idealtypische IKS-Struktur.
Maßnahmen,
Änderungen,
Optimierung
GetForum
ThereWien
Faster.
October 06, 2010 | Process
| 8
Verantwortlichkeiten
Beschreibung
Management


Verantwortlich (optional)
Vorstand
Geschäftsführer


CRO (Chief Risk Officer)
Geschäftsführer
Stabsstelle
Rechnungswesen
Risikomanagement
Organisation
Verantwortliche
Stelle

Prozessverantwortung IKS - Verfahren




Ausführende
Stelle



Steuerung IKS – Verfahren
Überwachung IKS – Verfahren
Projektausführung IKS - Verfahren




Stabstelle CRO
Stabstelle im Rechnungswesen
Stabstelle im Risikomanagement
Stabstelle in der Organisation
Beteiligte
Stellen



Ansprechpartner Schnittstellen
Einfluss auf monetäre und operative Vorgaben
Einfluss auf Prioritäten




Revision
Organisation
Risikomanagement
ggf. Wirtschaftsprüfer
Fachbereiche





Prozessbeschreibung
Beschreibung Risiko und Kontrolle
Kontrollausführung und Dokumentation
Test der Wirksamkeit
Test of Design


Prozessverantwortliche
Organisation

Klare Verantwortlichkeiten und Rollenverteilung.
GetForum
ThereWien
Faster.
October 06, 2010 | Process
| 9
Nutzung vorhandener Daten/Datenerhebung

Schonung von Ressourcen/optimierte Vorgehensweise.
Get
There
Faster.
October 06, 2010 | Process
Forum
Wien
| 10
Prozesserfassung (-ergänzung) in ARIS – Erfassung Risikodaten
Prozess - EPK
Risiko/Kontrolle/Test
Business Controls
Diagram BCD

Wichtige Basisdaten.
Get
There
Faster.
October 06, 2010 | Process
Forum
Wien
| 11
Rollen und Funktionen im IKS - Verfahren

Besetzung der Rollen.
Get
There
Faster.
October 06, 2010 | Process
Forum
Wien
| 12
Verfahren mit dem ARIS Risk & Compliance Manager
1. Aufforderung für Aktivitäten 1) per E-Mail
3. Negatives Ergebnis erfordert Review
2. Beschreibung der Aktivitäten 1) und Ergebniserfassung
4. Reporting zu den verschiedenen Aktivitäten
1)

Kontrollen/ Wirksamkeitstest/ Reviews/ Issues/ Designtest/ Prozessfreigabe
Unternehmensweit einheitliches IKS - Verfahren.
Get
There
Faster.
October 06, 2010 | Process
Forum
Wien
| 13
Nutzenrechnung

Ungeahnter Nutzen mit hohem Effekt.
Get
There
Faster.
October 06, 2010 | Process
Forum
Wien
| 14
Vielen Dank!