Präsentationen - Greenlight Consulting
Präsentationen - Greenlight Consulting
Präsentationen - Greenlight Consulting
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Geschäftsführer-Verantwortung<br />
Compliance in der IT<br />
Christian Estermaier
Geschäftsfelder<br />
Corporate Compliance<br />
• Corporate Assessment:<br />
Schwachstellenanalysen von<br />
Geschäftsabläufen<br />
• Forensische und<br />
standardisierte Audits<br />
• Implementierung/Weiterentwicklung<br />
von Kontrollsystemen<br />
im Unternehmen<br />
• Trainings und Schulungen<br />
• Prozessberatung<br />
Projektmanagement<br />
• Programm- und Projektmanagement<br />
nach IPMA<br />
• Changemanagement<br />
• Operative Unterstützung<br />
• Interimsmanagement<br />
• Projektcontrolling<br />
• Einführung von Projekt-<br />
Managementmethoden<br />
• Schulung von Mitarbeitern<br />
… consulting all the way.<br />
Information Technologies<br />
• Ablauforganisation, Prozessmanagement<br />
mit ARIS & SAP<br />
• Geschäftssteuerung: Planung,<br />
Reporting, Controlling und<br />
Konsolidierung: Lucanet/SAP<br />
• ERP mit SAP, Microsoft,<br />
Lexware oder Sage<br />
• Digitale Betriebsprüfung mit<br />
IDEA, Compliance mit SAP<br />
GRC, KPMG c-cube oder<br />
hausinternem GERT ©<br />
Corporate Finance<br />
• Accounting-Outsourcing<br />
• Shared Accounting<br />
Services (HGB, IFRS, Multi-<br />
GAP-Level)<br />
• Corporate Planning &<br />
Controlling: Unternehmensplanung,<br />
Financial Due<br />
Diligence, Beteiligungscontrolling,<br />
Transaktionsmanagement<br />
(M&A)<br />
• Asset & Cash Management<br />
Corporate Real Estate<br />
• Portfoliomanagement und –<br />
analyse: Bewertung Objekte<br />
und Abgleich von Standortmit<br />
Unternehmensstrategie<br />
• Vertrags-/ Flächenmanagement:<br />
Kostenoptimierung<br />
• Arbeitsplatzkonzepte &<br />
Servicemanagement<br />
• Relocation Service<br />
• Analyse von Facility Services<br />
2<br />
© greenlight consulting GmbH 5/11/2011
Über <strong>Greenlight</strong><br />
unsere Kunden…<br />
besitzen komplexe Firmen-<br />
Strukturen,<br />
sind mittlere und große<br />
Unternehmen mit<br />
internationalem Umfeld,<br />
fordern hochwertige, effektive<br />
und zuverlässige<br />
Beratungslösungen und<br />
setzen auf professionelles und<br />
nachhaltiges Projektmanagement.<br />
unsere Mitarbeiter…<br />
denken und handeln<br />
unternehmerisch,<br />
sind Experten in ihrem<br />
Beratungsfeld und werden<br />
systematisch IPMA-zertifiziert,<br />
arbeiten mit Engagement an<br />
Ihren Projekten und<br />
haben eine besondere Beziehung<br />
zu unserem Unternehmen.<br />
unsere Qualifikationen…<br />
wirtschaftliche Leistungsfähigkeit<br />
hohe Flexibilität<br />
konzentriert auf die Bedürfnisse<br />
des Kunden<br />
Fokus auf Corporate Functions<br />
spezialisiert auf Konzernkunden<br />
fachliche Expertise<br />
3<br />
© greenlight consulting GmbH 5/11/2011
Top Job Award<br />
Auszeichnung zum besten Arbeitgeber im Mittelstand – Top Job 2010<br />
Im Januar 2010 erhielt die <strong>Greenlight</strong> <strong>Consulting</strong> GmbH den „Top Job“ Award für<br />
beispielhafte Personalarbeit und zählt zu den besten Arbeitgebern im deutschen<br />
Mittelstand. Dies hat die Untersuchung im Rahmen des bundesweiten,<br />
branchenübergreifenden Unternehmensvergleich „Top Job“ ergeben.<br />
Gerade einmal 3 Jahre nach der Gründung würdigte Wolfgang Clement, Mentor der Top<br />
Job Initiative, die Verdienste der <strong>Greenlight</strong> <strong>Consulting</strong> GmbH in den Bereichen<br />
Führung & Vision, Motivation & Dynamik, Kultur & Kommunikation,<br />
Mitarbeiterentwicklung & -perspektive, Familienorientierung & Demografie sowie<br />
Internes Unternehmertum.<br />
Insbesondere im Bereich „Internes Unternehmertum“ überzeugte die <strong>Greenlight</strong><br />
<strong>Consulting</strong> GmbH. Denn das Personalkonzept basiert auf dem Prinzip des<br />
„Unternehmers im Unternehmen“. Die Belegschaft lobt die Firmenstruktur, die jedem<br />
Einzelnen große Entscheidungsfreiheit lässt und Eigeninitiative belohnt. Vor allem die<br />
Arbeit in selbstständigen Teams wissen die Mitarbeiter zu schätzen. Dieser Führungsstil<br />
prägt die Beratungsfirma und wird als sehr inspirierend verstanden. Das beweisen die<br />
Aussagen zufriedener Mitarbeiter, die positiv hervorheben, dass die Führungskräfte<br />
ihnen eine Vision vermitteln, sie individuell berücksichtigen und zum Mitdenken<br />
anregen.<br />
4<br />
© greenlight consulting GmbH 5/11/2011
Standorte<br />
• Gründung von <strong>Greenlight</strong> <strong>Consulting</strong>: 2006<br />
• 2 Standorte: Hauptsitz Garching Business Campus sowie München, Rindermarkt<br />
Frankfurt a.M.<br />
Nürnberg<br />
Stuttgart<br />
Garching<br />
München<br />
5<br />
© greenlight consulting GmbH 5/11/2011
Compliance, oder einfach nur „Risiko“<br />
• Bedeutung „Risiko“: von arabisch rizq, der von Gottes Gnade oder Geschick<br />
abhängige Lebensunterhalt<br />
• Risiko ist die kalkulierte Prognose eines möglichen Schadens bzw. Verlustes im<br />
negativen Fall (Gefahr) oder eines möglichen Nutzens bzw. Gewinns im positiven<br />
Fall (Chance) (Wikipedia)<br />
• Nur bekannte Risiken lassen sich bewusst vermeiden – ein ausgeprägtes<br />
Risikoverständnis ist damit die wesentlichste Voraussetzung zur Risikoabwehr<br />
Das Wissen um das Vorhandensein von Risiken<br />
begründet die Suche nach Strategien zu deren Vermeidung<br />
6<br />
© greenlight consulting GmbH 5/11/2011
7<br />
© greenlight consulting GmbH 5/11/2011<br />
Nov 2006
8<br />
© greenlight consulting GmbH 5/11/2011<br />
Nov 2006
9<br />
© greenlight consulting GmbH 5/11/2011<br />
Nov 2006
10<br />
© greenlight consulting GmbH 5/11/2011<br />
Nov 2006
11<br />
© greenlight consulting GmbH 5/11/2011<br />
Nov 2006
12<br />
© greenlight consulting GmbH 5/11/2011<br />
5/11/2011
13<br />
© greenlight consulting GmbH 5/11/2011
14<br />
© greenlight consulting GmbH 5/11/2011
15<br />
© greenlight consulting GmbH 5/11/2011
Hintergrund<br />
.. aber auch:<br />
• Worldcom<br />
• Xerox<br />
• Arthur Anderson<br />
• Nortel<br />
• SIEMENS<br />
• Kirch<br />
• Holzmann<br />
• Mobilcom<br />
• Allianz<br />
• Ferrostaal<br />
• MAN<br />
• Allianz Arena<br />
16<br />
© greenlight consulting GmbH 5/11/2011
17<br />
© greenlight consulting GmbH 5/11/2011
Index<br />
a) Compliance allgemein<br />
b) Elemente der Compliance<br />
c) Compliance umsetzen<br />
d) Compliance in der Praxis<br />
e) Backup: GERT<br />
18<br />
© greenlight consulting GmbH 5/11/2011
Risiko Cluster<br />
Umfeld<br />
Prozess<br />
Hierarchie<br />
Thema (IT..)<br />
Auslöser<br />
Auswirkung<br />
Betrug/Vorsatz<br />
Arbeitsfehler<br />
Prozessschwäche<br />
…<br />
Qualität<br />
Kosten<br />
Jahresabschluss<br />
…<br />
Zu ähnlichen Risikomustern können dedizierte<br />
Kontrollmechanismen zur Gefahrenabwehr definiert werden<br />
19<br />
© greenlight consulting GmbH 5/11/2011
Internes Kontrollsystem (IKS)<br />
• systematisch gestaltete organisatorischen Maßnahmen und Kontrollen im<br />
Unternehmen zur Einhaltung von Verhaltensmaßregeln, Gesetzen sowie<br />
Richtlinien und zur Abwehr von Schäden<br />
• Maßnahmen beruhen auf technischen und organisatorischen Prinzipen<br />
• Das IKS ist ein die ganze Organisation - im Minimum die der<br />
Rechnungslegung direkt oder indirekt dienenden Geschäftsprozesse -<br />
umspannendes Netz<br />
• Es wird bedarfsgerecht von der Leitung angeordnet bzw. eingerichtet und<br />
bezüglich seine Funktionsfähigkeit und Wirksamkeit periodisch überprüft<br />
und angepasst<br />
• Interne Kontrolle ist keine Angelegenheit von Eigentümern oder Managern<br />
allein, sondern wird vielfach auch von externen Stellen (Gesetzgeber, EU,<br />
Rechnungshöfe, Wirtschaftsprüfer, Versicherungen und Banken) gefordert<br />
20<br />
© greenlight consulting GmbH 5/11/2011
Normativer Rahmen der Compliance<br />
• Kein ausdrücklicher rechtlicher Befehl zu IT-Sicherheit / Compliance, aber<br />
über diverse Vorschriften (mittelbare) Verpflichtung der Geschäftsführung<br />
• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich<br />
(KonTraG) fordert branchenübergreifende Regelungen zum Risiko-<br />
Management (auch für IT-Risiken) für Kapitalgesellschaften<br />
• §91 Abs.2 Aktiengesetz:<br />
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein<br />
Überwachungssystem einzurichten, damit den Fortbestand der<br />
Gesellschaft gefährdende Entwicklungen früh erkannt werden.“<br />
• §317 Abs.4 Handelsgesetzbuch<br />
Prüfung beim Konzernabschluss, ob Maßnahmen nach §91 Abs.2 AktG<br />
getroffen wurden und Überwachungssystem seine Aufgabe erfüllt<br />
• §43 GmbH Gesetz<br />
Geschäftsführung muss die „Sorgfalt eines ordentlichen Geschäftsmannes<br />
anwenden“. Bei Verstößen droht persönliche Haftung!<br />
21 © greenlight consulting GmbH 5/11/2011
Rahmenbedingungen<br />
KonTraG<br />
(Gesetz zur Kontrolle und<br />
Transparenz im<br />
Unternehmensbereich)<br />
SOX<br />
(Sarbanes Oxley Act)<br />
DCGK<br />
(Deutscher Corporate<br />
Governance Kodex)<br />
IDW PS 340<br />
(Prüfungsstandard:<br />
Risikofrüherkennungssystem)<br />
BilReG<br />
(Bilanzrechtsreformgesetz)<br />
BilKoG<br />
(Bilanzkontrollgesetz)<br />
Basel II<br />
(Banken)<br />
Solvency II<br />
(Versicherungen)<br />
IDW PS 261<br />
(Prüfungsstandard:<br />
Beurteilung von<br />
Fehlerrisiken)<br />
IDW EPS 980<br />
(Entwurf Prüfungsstandard:<br />
Compliance Management)<br />
BilMoG<br />
(Bilanzmodernisierungsgesetz)<br />
1998 2002 2004 2006 2008 2010<br />
22<br />
© greenlight consulting GmbH 5/11/2011
Compliance – wen betrifft‘s<br />
23<br />
© greenlight consulting GmbH 5/11/2011
IT-Recht: Häufige Praxisprobleme<br />
• Arbeitnehmerdatenschutz<br />
• Zulässigkeit von IT-Kontrollmaßnahmen?<br />
• Videoüberwachung<br />
• E-Mail-Archivierung<br />
• „Verlorene Mails“ = „Verlorenes Know-How“<br />
• GdPDU/GoBS<br />
• Internet-Angebot rechtskonform?<br />
• Urheberrechtsverstöße der Mitarbeiter?<br />
• „Vorratsdatenspeicherung“ im Unternehmen?<br />
• Outsourcing<br />
• Datenschutzvorgaben beachtet?<br />
• IT-Sicherheit gewährleistet?<br />
24<br />
© greenlight consulting GmbH 5/11/2011
IT<br />
Berechtigungskonzept Normaluser<br />
Berechtigungskonzept Notfalluser (IT Mitarbeiter)<br />
Benutzerkontenmanagement<br />
Änderungen am Datenbestand auf Ordnerebene<br />
Passwörter und Benutzerkennungen<br />
Funktionstrennung<br />
Inaktivität und Auto-Logoff<br />
Netzwerksicherheit<br />
Change- und Releasemanagement<br />
Problem- und Incident Management<br />
Vollständige und richtige Datenverarbeitung (Applikation)<br />
Betriebskonzept<br />
Sicherung Datencenter und Serverräume<br />
Daten- und Informationssicherheit<br />
Logdaten verwalten/sichern<br />
Systempflege durch authorisierte Mitarbeiter<br />
Datenbackup, Wiederherstellung<br />
Service Level Agreements<br />
25<br />
© greenlight consulting GmbH 5/11/2011
Finanzielle Risiken bei Datenverlust<br />
Datenmenge Arbeitszeit / Std. Ca. Kosten / EUR<br />
• 1 MB 55 1.000,-<br />
• 10 MB 555 10.000,-<br />
• 120 MB 6.666 116.000,-<br />
• 1 GB 55.555 1.000.000,-<br />
• 10 GB 555.555 10.000.000.-<br />
Kosten der Wiederherstellung/Rekonstruktion für den Fall, dass die Daten als<br />
Ausdruck oder Eingabebelege vorhanden sind.<br />
Quelle: 3M: Kalkulationsbasis: 300 Anschläge/Minute zu EUR 17,50/Stunde<br />
26<br />
© greenlight consulting GmbH 5/11/2011
Index<br />
a) Compliance allgemein<br />
b) Elemente der Compliance<br />
c) Compliance umsetzen<br />
d) Compliance in der Praxis<br />
e) Backup: GERT<br />
27<br />
© greenlight consulting GmbH 5/11/2011
Elemente der Compliance<br />
Risikoanalyse Commitment Kommunikation Organisation Dokumentation<br />
28<br />
© greenlight consulting GmbH 5/11/2011
Elemente der Compliance<br />
Risikoanalyse Commitment Kommunikation Organisation Dokumentation<br />
Risikoanalyse:<br />
• Bestandsaufnahme durch Identifikation der vorhandenen Rechtsrisiken<br />
• Abschätzung des möglichen Schadensumfangs bei Eintritt des einzelnen<br />
Risikos nach sachlichem Gehalt und monetärer Größe<br />
• Abschätzung der jeweiligen Eintrittswahrscheinlichkeit eines künftigen<br />
Rechtsverstoßes und des damit verbundenen Schadensumfangs sowie der<br />
daraus abzuleitenden Schritte zur Risikovorbeugung<br />
29<br />
© greenlight consulting GmbH 5/11/2011
Elemente der Compliance<br />
Risikoanalyse Commitment Kommunikation Organisation Dokumentation<br />
Commitment:<br />
• glaubwürdiges Bekenntnis der Unternehmensspitze zur Compliance<br />
• Compliance als Chefsache<br />
• proaktives Herangehen<br />
• klare Botschaft an die Mitarbeiter, dass bei Rechtsverstößen<br />
mit Sanktionen reagiert wird<br />
30<br />
© greenlight consulting GmbH 5/11/2011
Elemente der Compliance<br />
Risikoanalyse Commitment Kommunikation Organisation Dokumentation<br />
Kommunikation:<br />
• Mission Statement der Geschäftsleitung<br />
• Code of Conduct/Code of Ethics<br />
• Internetauftritt<br />
• Intranet<br />
• Informationsbroschüren<br />
• Schulungen und Veranstaltungen mit externen Trainern und Beratern<br />
• <strong>Präsentationen</strong> von und Informationstermine bei Beauftragten für Korruption,<br />
Umwelt, etc.<br />
• Tagungen der Vertriebs- oder Niederlassungsleiter zu Compliance-Themen<br />
31<br />
© greenlight consulting GmbH 5/11/2011
Elemente der Compliance<br />
Risikoanalyse Commitment Kommunikation Organisation Dokumentation<br />
Organisation:<br />
• klare Organisationsstruktur als Voraussetzung erfolgreicher Compliance<br />
• Einrichtung einer dem Risikoprofil des Unternehmens angemessenen<br />
Corporate Compliance-Organisation als Präventionsmaßnahme<br />
• Einsetzung eines Compliance-Beauftragten oder Einrichtung einer<br />
Compliance-Abteilung<br />
• unmissverständliche Festlegung der Zuständigkeiten<br />
32<br />
© greenlight consulting GmbH 5/11/2011
Elemente der Compliance<br />
Risikoanalyse Commitment Kommunikation Organisation Dokumentation<br />
Dokumentation:<br />
• Dokumentation der Entscheidungen, Prozesse, Maßnahmen und Berichtswege<br />
• Aufgaben-/Ressortverteilung in schriftlicher Form<br />
• Sitzungsprotokolle<br />
33<br />
© greenlight consulting GmbH 5/11/2011
Index<br />
a) Compliance allgemein<br />
b) Elemente der Compliance<br />
c) Compliance umsetzen<br />
d) Compliance in der Praxis<br />
e) Backup: GERT<br />
34<br />
© greenlight consulting GmbH 5/11/2011
Kontrollmechanismen und -systeme<br />
Messen, zählen, wiegen: Kontrollsysteme gibt es viele.<br />
IKS stellt die Unternehmenswelt in den Mittelpunkt.<br />
35<br />
© greenlight consulting GmbH 5/11/2011
Unternehmensprozesse<br />
36<br />
© greenlight consulting GmbH 5/11/2011
Bedarf/ Verbrauch<br />
eingegangen<br />
Material f ür<br />
Kommissionierung<br />
bereitgestellt<br />
Fertigungs<br />
v ersorgung<br />
Bedarf<br />
ist gemeldet<br />
Disposition/<br />
Bestellung/ Abruf<br />
Material f ür<br />
Kommissionierung<br />
bereitgestellt<br />
Prozessschnittstelle<br />
Input<br />
Nachlief erung<br />
Lief erdaten<br />
Corporate<br />
Logistics<br />
Policy<br />
durchf ühren<br />
Bestellung<br />
erf olgt<br />
Versendung<br />
der Ware durch<br />
Lieferanten<br />
Material<br />
gelief ert<br />
Wareneingang<br />
buchen<br />
Ware<br />
eingebucht<br />
Material<br />
prüf en<br />
Material in<br />
freien Bestand<br />
gebucht<br />
Material<br />
bereitstellen<br />
Materialprüf<br />
ung<br />
erstellt<br />
Material ist<br />
in den f reien<br />
Bestand gebucht<br />
Material<br />
einlagern<br />
Material wurde<br />
eingelagert<br />
Material<br />
auslagern<br />
Material wurde<br />
ausgelagert<br />
Material am<br />
Verbrauchsort<br />
bereitstellen<br />
Material f ür<br />
Fertigung<br />
bereitgestellt<br />
Zahlung<br />
freigeben<br />
Zahlung w urde<br />
angestoßen<br />
Material f ür<br />
Fertigung<br />
bereitgestellt<br />
Fertigungs<br />
v ersorgung<br />
Auf tragszusammen-<br />
f assung<br />
Entscheidung:<br />
Material f ür bestimmte<br />
Verwendung o.k.<br />
v erbraucht<br />
Einzelrechnung<br />
liegt vor<br />
Order<br />
Management<br />
RG<br />
Output<br />
Lief eranstoss<br />
(FE-Verf ügbarkeitsmeldung)<br />
Aktualisierung<br />
der Inf o-<br />
sy steme<br />
Maske<br />
Input<br />
Lagerv erwaltungs-<br />
inf ormationen<br />
Bedarf s-<br />
meldung<br />
Anstoss zur<br />
Einlagerung<br />
Anstoss zur<br />
Auslagerung<br />
Sourcing<br />
Logistics<br />
Framework<br />
S 250<br />
Beschaf fungsprogramm<br />
Materialbereitstellung<br />
Beschaf f ung<br />
Output<br />
Material<br />
im Lager<br />
bereitgestellt<br />
Material am<br />
Verbrauchsort<br />
bereitgestellt<br />
Aufbau von Prozesslevels<br />
Level 0<br />
Supply Chain<br />
Management<br />
Plan Source Make Deliver Return<br />
Return<br />
Source<br />
Return<br />
Deliver<br />
Level 1<br />
Source<br />
Source Stocked<br />
Product<br />
Vertragslagerkonzept<br />
Source Make-to-<br />
Order Product<br />
Synchr. Prod.<br />
prozesse<br />
Source Engineerto-Order<br />
Product<br />
Einzelbeschaffung<br />
Standardteilemanagement<br />
Konsignationskonzept<br />
Einzelbeschaffung<br />
Enable<br />
Source<br />
Level 2<br />
Vorratsbeschaffung<br />
Level 3<br />
Input<br />
Lagerv erwaltungsinf<br />
ormationen<br />
Bedarf s-<br />
meldung<br />
Anstoss zur<br />
Einlagerung<br />
Sourcing<br />
Logistics<br />
Framework<br />
Material<br />
auslagern<br />
Beschaf f ung<br />
Level 4-n<br />
S 250<br />
Output<br />
Material am<br />
Verbrauchsort<br />
bereitgestellt<br />
ist f ällig zum<br />
Lief eranstoss<br />
Bündelungsanf<br />
orderungen<br />
ZRG<br />
Richtlinien<br />
Distribution<br />
RG<br />
Anwendungs-/<br />
Implemetierungslevel<br />
37<br />
© greenlight consulting GmbH 5/11/2011
Implementierung<br />
Balance-Sheet/P&L<br />
ARE<br />
Kontrollziel<br />
Scoping<br />
Signifikante<br />
Konten<br />
Signifikante<br />
Transaktionen<br />
Prozesse<br />
Risiken & Kontrollen<br />
38<br />
© greenlight consulting GmbH 5/11/2011
Support Processes<br />
39<br />
© greenlight consulting GmbH 5/11/2011
IKS ist selbst ein Prozess<br />
Remediation<br />
& Re-Testing<br />
Scoping<br />
FY<br />
Testing &<br />
Deficiency<br />
Reporting<br />
Setup;<br />
Prozess- &<br />
Controlreview<br />
40<br />
Der betriebene Aufwand steht in direktem<br />
Verhältnis zur Relevanz der Kontrollziele.<br />
© greenlight consulting GmbH 5/11/2011
Index<br />
a) Compliance allgemein<br />
b) Elemente der Compliance<br />
c) Compliance umsetzen<br />
d) Compliance in der Praxis<br />
e) Backup: GERT<br />
41<br />
© greenlight consulting GmbH 5/11/2011
Bestellung/Vertrag<br />
hinsichtl. korrekter Preise Commercial<br />
f<br />
Order<br />
in vereinbarter Manager<br />
Währung prüfen<br />
w<br />
AMC/CMC<br />
Beispiel: SOA IKS<br />
IR_PM_5_2_Auftragseingangsbuchung<br />
record date: 28.02.05<br />
review: 28.02.05 Fr. Westhäuser<br />
revierw: 07.04.05<br />
Herr Schultz, Herr Beller;Herr Muhr<br />
Landesgesellschaft<br />
Bestellung<br />
zu einem<br />
Rahmenvertrag<br />
liegt vor<br />
MS Word<br />
Change Order<br />
Vetrag/Bestellung<br />
Auftragseingang Commercial<br />
f<br />
Order<br />
buchen<br />
Manager<br />
w<br />
PMC<br />
AMC/CMC<br />
Auftragseingang<br />
gebucht Auftragsbestätigung<br />
Wahl der<br />
Bilanzierungsmethode<br />
Bilanzierungsmethode<br />
bekannt<br />
ECON<br />
Externer Kunde<br />
Einzelvertrag<br />
liegt vor<br />
Prüfung durchführen,<br />
ob Vertrag/Bestellung/<br />
Change Order<br />
wirksam ist<br />
Vetrag/Bestellung/<br />
Change Order<br />
wirksam<br />
Änderung des<br />
Vertrags nicht<br />
notwendig<br />
Change<br />
Order<br />
Management<br />
Commercial<br />
f<br />
Order<br />
Manager<br />
w<br />
AMC/CMC<br />
w<br />
PMC<br />
Nachverhandlung<br />
erfolgreich<br />
Vertrag/Bestellung/<br />
Change Order<br />
nicht wirksam<br />
ZRG-Richtlinie<br />
Preise/Währung<br />
korrekt<br />
w<br />
PMC<br />
Vetrag/Bestellung<br />
Preise/Währung<br />
nicht<br />
korrekt<br />
SOA Steckbrief<br />
Prozessgruppe<br />
Übergeordnete Prozessgruppe<br />
Prozess<br />
Funktion<br />
Klärung und<br />
Korrektur<br />
durchführen<br />
Prozess Owner<br />
Name<br />
Link zu Annex 3 (Vorgabe CF FA)<br />
Link zu Annex 3 (Vorgabe GRO)<br />
Ziele<br />
Position im Jahresabschluss<br />
Risiken<br />
IR_PM_5_2_Auftragseingangsbuchung<br />
IR_PM_5_0_Management and Coordination of Projects<br />
IR_PM_5_2_Auftragseingangsbuchung<br />
Auftragseingang buchen<br />
Oliver Simon [Z00002IS],Horst Ippisch [Z000BH3K],Otto Hermann [ZZZZDTP],Günter Breuninger [ZZZZ8Q0]<br />
IR.PM.5.2.K1<br />
RELEASE<br />
PM_AE_01<br />
Sicherstellen, dass der Auftragseingang periodengerecht (C/O) und richtig (A) hinsichtlich Höhe, Währung,<br />
Kundendaten erfasst und anhand eines wirksamen Vertrags (E/O) gebucht ist.<br />
Ziel: Verhinderung Fraud: Incentivierung nach AE (FRAUD)<br />
R<br />
Buchung des Auftragseingangs \n- ohne verbindlichen Kundenauftrag\n- erfolgt zu früh oder zu spät\n- in<br />
falscher Höhe / Währung\n- falsch hinsichtlich on-shore-/off-shore-Anteilen (ZRG-Richtlinien)\nRisiko Fraud:<br />
Incentivierung nach Auftragseingang<br />
Dies führt einer falschen Notiz im Jahresabschluss und damit zu einer Beurteilung der Auftragslage des<br />
Unternehmens<br />
Auswirkungen 2<br />
Wahrscheinlichkeit 2<br />
Mitgeltende Dokumente<br />
Commercial<br />
f<br />
Order<br />
Manager<br />
w<br />
w<br />
AMC/CMC<br />
PMC<br />
ZRG-<br />
Richtlinien:|https://intranet.cd.siemens.com/index.jsp?sdc_p=pZRGcfi182l0m1o2000000010463st4u434z3&sdc_<br />
sid=&sdc_defnav=true&\n<br />
Vertrag Bestellung f<br />
der Change-Order AMC/CMC<br />
klären<br />
Vetrag/Bestellung<br />
Besteller<br />
Vertrag/Bestellung<br />
Vertrag Bestellung Changeeinem<br />
Commercial<br />
f<br />
Order Order geklärt<br />
SAP<br />
SAP-Projekt Manager<br />
zuordnen<br />
w<br />
AMC/CMC<br />
f<br />
PMC<br />
Vertrag/Bestellung<br />
einem SAP-Projekt<br />
zugeordnet<br />
Vetrag/Bestellung<br />
Bestellung/Vertrag<br />
hinsichtl. korrekter Preise Commercial<br />
f<br />
Order<br />
in vereinbarter Manager<br />
Währung prüfen<br />
w<br />
AMC/CMC<br />
w<br />
PMC<br />
Preise/Währung<br />
nicht<br />
korrekt<br />
Vetrag/Bestellung<br />
Vetrag/Bestellung<br />
SAP<br />
IR.PM.5.2.K1<br />
Auftragseingang<br />
buchen<br />
Auftragseingang<br />
gebucht<br />
Commercial<br />
f<br />
Order<br />
Manager<br />
w<br />
PMC<br />
AMC/CMC<br />
Auftragsbestätigung<br />
Kontrollen<br />
Wer: Commercial Order Manager/PMC/AMC<br />
Was: Auftragseingang buchen<br />
Wie:<br />
1. Preise und Währung gemäss Kundenvertrag/Bestellung prüfen<br />
2. AE Buchung unter Einhaltung der ZRG-Richtlinien (nur offshore Anteil in SAP R83)<br />
3. Bei beleglos eingegangenen Bestellungen (bspw. ECON) werden die unter 1.-3. genannten Punkte<br />
summarisch anhand von Übersichten aller Einzelbestellungen (bspw. wochenweise oder monatsweise) geprüft.<br />
Wann: bei Bedarf, mindestens einmal monatlich<br />
Ergebnis: Auszug aus geprüften Dokumenten (Vertrag/ Bestellung) wird im Projektordner abgelegt, mit Vermerk<br />
hinsichtlich Preis- und Währungsprüfung und Datum der AE-Buchung; Evtl. nötige, durchgeführte Klärungen<br />
(bspw. Preise) und Abstimmungen mit AMC / CMC werden schriftlich dokumentiert und abgelegt;<br />
Einmal monatlich Ablage der LCT- / PCT-Auswertung, VIS-Auswertung oder ACTION GOAL je SAP-Purchase-<br />
Order.<br />
Kontrollumfeld analog zutreffendem ANNEX4 0<br />
COSO-Art Risikoermittlung 0<br />
COSO-Art Kontrollmassnahmen 1<br />
COSO-Art Information & Kommunikation 0<br />
COSO-Art Überwachung 0<br />
Kontrollumfeld bewertet im ANNEX4 des... 0<br />
Kontrollowner<br />
Commercial Order Manager<br />
Prüfungsschritte<br />
Bei diesen Prüfungsschritten handelt es sich um das Testing der Kontrolle (Bitte entsprechende Beschreibung<br />
im SOX-Manager aufrufen):<br />
Design der Kontrolle:<br />
1. Ist die Kontrolle geeignet, das Risiko abzudecken?<br />
2. Ist das Kontrollumfeld geeignet?<br />
ZRG-Richtlinie<br />
Preise/Währung<br />
korrekt<br />
Klärung und<br />
Korrektur<br />
durchführen<br />
Commercial<br />
f<br />
Order<br />
Manager<br />
w<br />
AMC/CMC<br />
w<br />
PMC<br />
Operativer Test - Nachvollziehen der korrekten Durchführung der Kontrolle:<br />
1. Festlegung der Grundgesamtheit AE-Buchungen im Jahr und ableiten der Auswahlkriterien der konkreten<br />
Stichprobe<br />
2. Vollständigkeit der abgelegten Dokumente zu den AE-Buchungen über den Zeitraum<br />
3. Stichprobe (s.u.) von AE-Buchungen<br />
4. Überprüfung der korrekten Buchungsperiode anhand des Einganges des wirksamen Kundenvertrags /<br />
Bestellung und der Periode der AE-Buchung.<br />
5. Prüfen, ob Datenkonsistenz zwischen Kundenvertrag / Bestellung und SAP hergestellt ist<br />
6. Ist-Werte (Höhe/Währung/onshore-/offshore-Splitt) anhand der abgelegten Dokumente prüfen<br />
7. Testergebnis, Bewertung des Kontrolldesigns und der operativen Effektivität<br />
Vetrag/Bestellung<br />
Der Tester kann in begründeten Fällen von der oben beschriebenen Vorgehensweise abweichen.<br />
SAP<br />
IR.PM.5.2.K1<br />
Prüfungsumfang<br />
Mindestens 30 Stichproben im Jahr für alle Regionen -> 2 Stichproben pro Quartal und Region<br />
Testfrequenz 5<br />
Tester / verantwortlich<br />
COM_MN_EUR_CSC_BA, COM_MN_EMEA_CSC_BA, COM_MN_APAC_CSC_BA, COM_MN_AME_CSC_BA<br />
Startdatum 18.04.2005<br />
Testdauer 42<br />
Flag "Keine Wiedervorlage" 0<br />
SOA Beauftragter<br />
COM_MN_engemann<br />
42<br />
© greenlight consulting GmbH 5/11/2011<br />
Web Prefix<br />
http://vies1fba.ww300.siemens.net/WEB_ICN_Carrier_Staging/de/pages/m14d8cfa5-200d-42b9-b6d5-<br />
eeadb436ccca_nav.htm
Verschiedene beschreibungsmöglichkeiten<br />
• textuell<br />
• Word<br />
• Excel<br />
• grafisch<br />
• PowerPoint<br />
• Visio<br />
• Excel<br />
• ARIS<br />
• UML-/ Case-Tools<br />
• Enterprise Architect<br />
• Innovator<br />
• Together<br />
43<br />
© greenlight consulting GmbH 5/11/2011
verbindung zwischen prozessbeschreibung und kontrollen<br />
44<br />
© greenlight consulting GmbH 5/11/2011
Prozessmaster<br />
• Übersicht werteflussrelevanter Prozesse<br />
geordnet nach:<br />
• Kernprozessen<br />
• Geschäftsgebieten<br />
• Prozessbezeichnungen<br />
• dezentrale Befüllung durch<br />
IKS-Beauftragte bzw. deren<br />
verantwortliche Prozessansprechpartner<br />
45<br />
© greenlight consulting GmbH 5/11/2011
46<br />
© greenlight consulting GmbH 5/11/2011
Fazit<br />
• Compliance schafft Mehrwert<br />
• Compliance ist permanent in Bewegung<br />
• Compliance muss zum Unternehmen passen<br />
• Compliance ist ein Wettbewerbsvorteil<br />
Ganzheitliche Compliance schafft keine zusätzlichen<br />
Regelwerke und Kontrollen,<br />
sie nutzt die bestehenden Regelwerke.<br />
47<br />
© greenlight consulting GmbH 5/11/2011
… consulting all the way<br />
greenlight consulting gmbh<br />
Parkring 4<br />
85748 Garching bei München<br />
Tel: +49 89 8899 858 0<br />
Fax: +49 89 8899 858 99<br />
E- Mail: mail@greenlight-consulting.com<br />
Web: www.greenlight-consulting.com