top of page
< Back
Filtern nach CIMA Labels

Assurance & Controls (IKS‑Module)

Kurze Definition

Assurance & Controls ist das integrierte System aus Prozessen, Kontrollen und unabhängigen Prüfmechanismen, das Zuverlässigkeit von Informationen, Wirksamkeit von Abläufen und Compliance sicherstellt.




2) Executive Summary (warum das alles zählt)

  • Werttreiber absichern: Ein starkes IKS übersetzt Strategie‑Treiber (Preis/Mix, OEE, CCC, TtI, CLV/Churn, CO₂/Einheit) in prüfbare, vertrauenswürdige Kennzahlen – die Basis für Forecast‑Güte, Fast Close und bessere Kapitalkosten/Multiples - siehe auch unsere CO2-Wirkungskette.

  • Regulatorik ohne Theater: COSO liefert die Soll‑Architektur, Three Lines klärt die Verantwortlichkeit; ISAE 3000 regelt Qualität der Assurance; CSRD zwingt ESG‑Daten auf Revisionsniveau – gut für Investor‑Trust statt „Slide‑Reality“. [legalclarity.org], [diir.de], [accaglobal.com], [assets.kpmg.com]

  • Von „Paper‑IKS“ zu Continuous Controls: Echtzeit‑Validierungen, SoD‑Checks im ERP/IAM, Exception‑Reporting im Semantik‑Layer machen Assurance always‑on statt „Jahresend‑Event“. [auditingac...unting.com]

3) Architektur & Standards – kompakt, aber wirksam

3.1 COSO – das Grundgerüst

Control Environment, Risk Assessment, Control Activities, Information & Communication, Monitoring – alle 5 Komponenten und die 17 Prinzipien müssen vorhanden, funktionsfähig und integriert sein. [legalclarity.org]


Praxisübersetzung:

  • Control Environment: Ton von oben, Rollen, Policies, Anreizlogik.

  • Risk Assessment: „Single Points of Failure“ identifizieren (z. B. ungetrennte Rechte, unklare PO‑Definitionen).

  • Control Activities: präventiv (SoD, Limits) + detektiv (Abstimmungen, Abweichungsreports).

  • Info & Comm: Data Lineage, Semantik‑Layer, Audit‑Trail.

  • Monitoring: Wirksamkeits‑Tests, Exception‑Analytics, Internal Audit. [assets.kpmg.com]


3.2 Three Lines Model – wer macht was

First Line: Operatives Management steuert Risiken & führt Kontrollen im Prozess aus.

Second Line: Risk/Compliance/ICS setzt Rahmen & überwacht.

Third Line: Interne Revision gibt unabhängige Assurance an das Leitungsorgan. [diir.de], [service.ii...upport.org]


3.3 ISAE 3000 & ESG‑Assurance

ISAE 3000 (Revised) regelt ethische Anforderungen, Qualitätsmanagement, Beweisführung und Berichterstattung für Assurance‑Aufträge jenseits historischer Finanzinformationen (z. B. Nachhaltigkeit, interne Kontrollen, Compliance). CSRD/ESRS: Limited Assurance ist Pflicht; die CEAOB‑Guidelines konkretisieren Prüfhandlungen bis zur EU‑Standardsetzung; perspektivisch ist Reasonable Assurance vorgesehen. [accaglobal.com], [studocu.com] [assets.kpmg.com], [coso.org]



4) Der IKS‑Baukasten (Best‑of für die Praxis)

4.1 Kontrollarten

  • Präventiv: SoD/Four‑Eyes, Limits, Whitelists, automatisierte Berechtigungsmodelle. [auditingac...unting.com]

  • Detektiv: Kontenabstimmungen, 3‑Wege‑Match, Exception‑Reports, Anomalieerkennung.

  • Korrektiv: Fehler‑Workflows, Root‑Cause‑Fix, Post‑Audit.


4.2 SoD‑Kerne (die vier Funktionen trennen)

Autorisierung | Verwahrung | Aufzeichnung | Abstimmung — nie alles in einer Hand. Beispiele:

  • Einkauf/Bezahlung: Lieferant anlegen ≠ Rechnungen freigeben ≠ Zahlungen ausführen.

  • Payroll: Stammdatenpflege ≠ Freigabe ≠ Zahlungslauf ≠ Bankabstimmung.

  • IT/DevOps: Entwickeln ≠ Deployen ≠ Berechtigungen vergeben ≠ Logs administrieren. [auditingac...unting.com], [mtcskopos.com]


4.3 Continuous Controls (Data‑Layer‑Ansatz)

  • Semantik‑Layer‑Regeln: Validierungen für MPM/ESRS‑Kennzahlen, IFRS‑Reife (z. B. PO‑Events).

  • IAM/ERP SoD‑Monitor: Konfliktmatrizen, risikobasierte Freigaben.

  • Exception‑Analytics: automatisierte Alerts (z. B. DSO/CCC‑Anomalien, Rabatt‑Outlier). (Praxisansatz/NextLevel)



5) Governance‑Blueprint (Copy‑ready)

Policy


- COSO als Referenzmodell; RKM-Pflicht pro Prozess

- Rollen/Owner je Kontrolle (First/Second/Third Line)

- Evidenzstandard (Screens, Logs, Reports, Tickets)

- Frequenzen (täglich/wöchentlich/monatlich/quartalsweise)

- ISAE 3000-Konformität für interne/externe Assurance

- CSRD/ESRS-Controls für ESG-Daten (Scope, Methoden, Data Lineage)


(COSO/ISAE/CSRD als Anker) [legalclarity.org], [accaglobal.com], [assets.kpmg.com]


Rituale


Monatlich: Control Health Review (Top-Exceptions, Root Cause, Maßnahmen, ETA)

Quartal: Three Lines Huddle (Second/Third Line & Prozessowner)

Halbjahr: Post-Audit (Wirksamkeitstests, Design-Refits, Policy-Updates)


(Three Lines‑Logik) [diir.de]



6) KPIs & Dashboard‑Blueprint

IKS‑Kern‑KPIs


Controls_in_Scope (#) | Getestet (%) | Wirksamkeitsquote (%)

SoD-Konflikte (kritisch/hoch) | MTTR (Tage)

Exception-Rate (%) | False-Positive-Rate (%)

Closing Time (Tage) | Audit Findings (#) | Re-Open Rate (%)

ESG-Assurance Ready (% KPIs mit Evidenz) | Data Lineage Coverage (%)


(ISAE‑/COSO‑konforme Metriken; ESG‑Ready durch CSRD) [legalclarity.org], [accaglobal.com], [assets.kpmg.com]


Dashboard‑Ansichten

  • Heatmap (Kontrollwirksamkeit × Risiko)

  • SoD‑Konfliktgraph (Rollen, Systeme, User)

  • Exception‑Funnel (Erkennung → Prüfen → Fix)

  • ESG‑Data‑Chain (Messpunkt → Aggregation → Offenlegung)



7) Best‑of Use‑Cases (aus der Praxis)

7.1 Fast‑Close & Audit‑Ready in 6 Monaten

  • Problem: 12‑Tage‑Close, viele Late Adjustments.

  • Lösung: Automatisierte Abstimmungen, Journal‑Workflow, „No Evidence → No Entry“.

  • Kontrollen: 3‑Wege‑Match, Posting‑Limits, SoD in ERP, Journal‑Approval. [legalclarity.org]

  • Ergebnis: Close 12 → 6 Tage, Findings −60 % (quartalsweise).


7.2 Forecast‑Integrität & Bias‑Kontrollen

  • Problem: PBIAS +15 %, TS außerhalb Toleranz.

  • Lösung: Data‑Lineage für Forecast‑Treiber, Design/Operating Tests auf Erfassung; FVA für menschliche Adjustments.

  • Kontrollen: Cut‑off, Versionierung, Feature‑Governance; Third Line validiert. (ISAE‑Denke für nicht‑finanzielle Infos) [accaglobal.com]

  • Ergebnis: PBIAS ≈ 0 %, Forecast‑Stabilität ↑.


7.3 ESG‑Assurance nach CSRD

  • Problem: KPI „CO₂/Einheit“ ohne Audit‑Trail.

  • Lösung: Messkette (Zähler → ETL → Semantik), Evidenz‑Ordner, Kontrollen zu Vollständigkeit/Genauigkeit, externe Limited Assurance.

  • Rahmen: CSRD/ESRS + CEAOB‑Guidelines. [assets.kpmg.com], [coso.org]

  • Ergebnis: „Assurance‑Ready“ vor Stichtag, geringere Nachfragen, sichere Veröffentlichungen.



8) Reifegradmodell (5 Stufen)

  1. Ad‑hoc – Personenabhängig, kaum Evidenz

  2. Basic – Einzelkontrollen vorhanden, unvollständig

  3. Standardised – Policies, RKM, Owner, dokumentiert

  4. Integrated – KPI‑Monitoring, Automatisierung, Continuous Controls

  5. Optimised – Echtzeit‑Assurance, voll integrierte Three‑Lines‑Routinen

Zielbild: ≥ Stufe 4 (Integrated) in Finance/ESG‑Kernprozessen. (COSO‑Prinzip „present, functioning & integrated“) [legalclarity.org]


9) Vor‑ & Nachteile (ehrlich)

Vorteile

  • Vertrauensgewinn bei Board/Investoren/Prüfern (ESG eingeschlossen). [coso.org]

  • Weniger Risiko‑ & Finanzierungskosten, bessere Multiples (Governance‑Signal). [assets.kpmg.com]

  • Prozessqualität steigt (Fehlerkosten ↓, Close‑Zeit ↓). [legalclarity.org]


Nachteile/Trade‑offs

  • Setup‑Aufwand (Design, Evidenz, Tools).

  • Change‑Fatigue ohne gutes Enablement.

  • False‑Positives bei schlecht kalibrierten Exceptions → Tuning nötig.



10) Typische Fehlerbilder („Red Flags“) & Gegenmittel

  • Paper‑IKS: Kontrollen existieren, aber ohne Evidenz → „nicht existent“ im Audit.

    Fix: Evidenzstandard + Nachweis‑Ordner + Wirksamkeitstests. (ISAE‑Konzept) [studocu.com]

  • SoD‑Lücken: „Power‑User“ vereint Setup/Approve/Pay.

    Fix: SoD‑Matrix, konfliktbehaftete Rollen auflösen, Kompensationskontrollen. [auditingac...unting.com]

  • Daten ohne Lineage: KPI nicht herleitbar → „Assurance‑Fail“.

    Fix: Semantik‑Layer, ETL‑Kontrollen, CEAOB‑Guidelines für ESG‑Prüfpfade. [assets.kpmg.com]

  • Audit‑Theater: Manuelle „Clean‑ups“ am Periodenende.

    Fix: Continuous Controls, No‑Evidenz → No‑Posting, automatisierte Abstimmungen. [legalclarity.org]



11) Quick‑Check & Copy‑Snippets

A) 8‑Punkte‑Audit‑Ready‑Check


[ ] COSO-Referenz + RKM je Prozess vorhanden

[ ] Owner/Frequenzen/Evidenzen je Kontrolle definiert

[ ] SoD-Matrix aktiv + Konfliktmonitoring produktiv

[ ] Exception-Reports mit Schwellen + MTTR <= Ziel

[ ] Data Lineage + Audit-Trail für Top-KPIs (inkl. ESG)

[ ] ISAE 3000-Qualitätsregeln intern verankert

[ ] Three-Lines-Routinen (Monat/Quartal) laufen

[ ] Findings-/Re-Open-Rate im Zielkorridor


(COSO/ISAE/Three Lines/CSRD) [legalclarity.org], [accaglobal.com], [diir.de], [assets.kpmg.com]


B) SoD‑Konfliktklassen (Beispiel)


K1 (kritisch): Lieferant anlegen ∧ Zahlung freigeben

K2 (hoch): Benutzerrechte vergeben ∧ Logs administrieren

K3 (mittel): Journal buchen ∧ Journal freigeben


(SoD‑Prinzip) [auditingac...unting.com]


C) KPI‑Grenzen (Startwerte)


Tracking Signal |TS| <= 4 (Forecast-Bias-Kontrolle)

Wirksamkeitsquote >= 90% bei Key Controls

ESG-Assurance Ready >= 95% der offenzulegenden KPIs


(Assurance‑/Forecast‑Good‑Practice) [studocu.com]



12) Kompakter Business‑Case (Beispiel mit CHF)

Ausgangslage: Mid‑Cap Hersteller; Close 11 Tage; 37 kritische SoD‑Konflikte; PBIAS +12 %; ESG‑KPIs ohne Evidenz.Maßnahmen (6 Monate):


  • COSO‑RKM + Owner + Evidenzstandard;

  • SoD‑Remediation in ERP/IAM;

  • Continuous Controls (Semantik‑Layer‑Validierungen, Exception‑Alerts);

  • ISAE‑konforme interne Reviews; ESG nach CEAOB‑Guidelines vorbereitet.


    Ergebnis: Close 11 → 6 Tage; PBIAS ≈ 0 %; kritische SoD‑Konflikte −90 %; ESG „Limited Assurance“ ohne Key Findings; Kapitalkosten‑Spread sinkt um 30–50 bp (Peer‑Kommunikation & Analystencalls). (Peer‑Effekt/Best‑Practice) [legalclarity.org], [auditingac...unting.com], [accaglobal.com], [assets.kpmg.com]



13) Verwandte Begriffe (findest du in unserem Glossar)

  • Enterprise Value Creation (EVC)

  • Forecast Accuracy / Forecast Bias

  • Cash Conversion Cycle (CCC)

  • Data Mesh / Semantik‑Layer

  • ESG Reporting / CSRD / ESRS

  • IKS / RKM / COSO




NextLevel‑Statement

„Ein IKS ohne Daten‑Governance ist blind – ein Management ohne Assurance ist leichtfertig. Wir bauen Systeme, bei denen die Kontrolle nicht bremst, sondern die nötige Sicherheit für maximale Geschwindigkeit gibt.“



FAQs

F1: Was ist der Unterschied zwischen IKS und Assurance? IKS = System aus Kontrollen/Prozessen; Assurance = unabhängiger Nachweis (Design & Wirksamkeit) durch Third Line/externe Prüfer (ISAE 3000‑Logik). [accaglobal.com]


F2: Reicht eine „Limited Assurance“ im ESG‑Bereich? CSRD verlangt zunächst Limited Assurance; EU strebt Reasonable Assurance an. CEAOB‑Guidelines konkretisieren Verfahren bis zur EU‑Standardsetzung. [assets.kpmg.com], [coso.org]


F3: Wie verhindere ich „Paper‑IKS“? Durch Evidenzpflicht, Wirksamkeitstests, Continuous Controls, klare Owner/Frequenzen. (COSO/ISAE) [legalclarity.org], [studocu.com]


F4: Warum ist SoD so zentral? Weil es Autorisierung/Verwahrung/Aufzeichnung/Abstimmung trennt und so Fehler & Fraud effektiv erschwert. [auditingac...unting.com]


F5: Welche Rolle spielt das Three Lines Model? Es klärt Verantwortung & Unabhängigkeit: Operativ steuert Risiken, Second Line überwacht, Third Line prüft unabhängig. [diir.de]


F6: Welche KPIs eignen sich für IKS‑Leistung? Wirksamkeitsquote, SoD‑Konflikte, MTTR, Exception‑Rate, Closing‑Zeit, Audit‑Findings, ESG‑Assurance‑Ready. (COSO/CSRD‑konforme Sicht) [legalclarity.org], [assets.kpmg.com]


F7: Was kostet die Umstellung? Einmaliger Design‑/Evidenz‑Aufwand, dann Automatisierung reduziert Run‑Kosten; Nutzen entsteht über Risiko‑ & Finanzierungskosten ↓ und Close‑/Forecast‑Performance. (Praxis‑Erfahrung/NextLevel)


F8: Passt das auch für KMU? Ja – COSO hat „Considerations for Smaller Entities“; Three Lines ist prinzipienbasiert, nicht Struktur‑dogmatisch. [legalclarity.org], [iia.no]


F9: Welche Standards gelten für nicht‑finanzielle Assurance? ISAE 3000 (Revised) (plus spezielle Standards wie ISAE 3410 für THG‑Aussagen). [accaglobal.com]


F10: Was prüft die Interne Revision konkret? Design/Operating Effectiveness, Angemessenheit der RKM, Evidenzen, Ausnahmebehandlung, Follow‑ups – unabhängig von First/Second Line. [diir.de]

bottom of page