15.08.2014

IKS in Pensionskassen: Verhinderung und Aufdeckung von Betrugsfällen

Pensionskassen durchlaufen keine einfache Zeit. So haben etliche Pensionskassen beispielsweise die Finanzkrise noch nicht ganz verdaut. 2009 konnten die im Jahr zuvor erlittenen Verluste trotz Börsenerholung nicht wettgemacht werden. Zudem weisen die meisten Pensionskassen sehr dünne Reserven auf. Es stellt sich einerseits die Frage, ob ein Internes Kontrollsystem (IKS), wie es privatwirtschaftliche Organisationen durch die Gesetzesänderung im Aktienrecht einführen mussten, auch für Pensionskassen verbindlich vorgeschrieben wird und andererseits, wie ein IKS in Pensionskassen allenfalls zu betreiben ist.

Von: Stefan Hunziker, Prof. Dr. Thomas Rautenstrauch   Drucken Teilen   Kommentieren  

Stefan Hunziker, MScBA

Prof. Dr. Stefan Hunziker, Studium der Wirtschaftswissenschaften und Soziologie, Doktorat zum internen Kontrollsystem; Dozent und Studiengangleiter MAS/DAS Risk Management an der Hochschule Luzern – Wirtschaft, Institut für Finanzdienstleistungen Zug IFZ; Dozent an der Schweizerischen Akademie für Wirtschaftsprüfung; Lehraufträge in den Bereichen Risikomanagement, interne Kontrollsysteme und Controlling; Verfasser von zahlreichen Büchern und Fachartikeln zu den Themen internes Kontrollsystem und Risikomanagement. Stefan Hunziker ist zudem Präsident der Swiss Enterprise Risk Management Association SwissERM.

Prof. Dr. Thomas Rautenstrauch

Thomas Rautenstrauch ist Professor für Betriebswirtschaftslehre, insbesondere Accounting und Controlling sowie Leiter des Center for Accounting & Controlling an der HWZ Hochschule für Wirtschaft Zürich. Weiterhin ist er als Gastprofessor für Management Accounting im Executive MBA des Institute for Management in Technology (iimt) an der Universität Fribourg tätig. Thomas Rautenstrauch ist Autor von mehreren Fachbüchern und zahlreichen Artikeln in Fachzeitschriften und in der Wirtschaftspresse.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
IKS in Pensionskassen

Gesetzliche Grundlagen

Grundsätzlich gelten die Bestimmungen aus dem Aktienrecht (Art. 728a OR), wonach alle privatwirtschaftlichen, ordentlich revidierten Unternehmen ein IKS nachzuweisen haben, nicht für Vorsorgeeinrichtungen. Für Stiftungen würden zwar die Vorschriften des Obligationenrechts sinngemäss gelten, soweit keine besonderen Vorschriften bestehen (Art. 83b ZGB). Bei den Vorsorgeeinrichtungen finden sie jedoch keine Anwendung, da in diesem Fall die spezialgesetzlichen Bestimmungen nach BVG und seinen Verordnungen gelten und der Bestimmung von Art. 728a OR vorgehen.

Somit hat auch der Prüfungsstandard (PS 890), nachdem die revisionspflichtigen Unternehmen geprüft werden, nur eingeschränkte Relevanz für Pensionskassen. Daraus abzuleiten, dass Pensionskassen daher kein Internes Kontrollsystem benötigen oder nachweisen müssen, wäre aber falsch. Erstens zwingt die Pflicht zu einer sachgemässen Organisation der Vorsorgeeinrichtung als Bestandteil der Rechtmässigkeit der Geschäftsführung indirekt zum Betrieb eines angemessen Internen Kontrollsystems. Dies gilt auch für Vorsorgeeinrichtungen, die nicht im Register für die berufliche Vorsorge eingetragen sind. Zweitens müssen Vorsorgeeinrichtungen, die sich registrieren lassen wollen, gemäss der Verordnung über die Beaufsichtigung und die Registrierung, über ein Internes Kontrollsystem verfügen. Konkret wird diese Anforderung im Art. 6 lit. d BVV 1 verlangt und lautet wie folgt:

«Die Vorsorgeeinrichtungen, die sich registrieren lassen wollen, müssen nachweisen:
(…)
d. die Grundzüge der internen Organisation und deren Angemessenheit in Bezug auf die geplante Tätigkeit, insbesondere auch das Interne Kontrollsystem und die Schwerpunkte der geplanten Aktivitäten.»

Wie eine Vorsorgeeinrichtung ihr IKS ausgestalten soll, wird – parallel zu den aktienrechtlichen Bestimmungen – nicht vorgegeben, denn die Aufsichtsbehörde erlässt keine Vorschriften diesbezüglich. Das IKS ist dann angemessen, wenn es sich nach Grösse, Struktur und Risiko ausrichtet. Die Interpretation bezüglich Umfang und Formalisierung des IKS bleibt somit unkommentiert. Grundsätzlich sehen sich Pensionskassen daher mit der gleichen Herausforderung konfrontiert, wie seit Inkrafttreten des revidierten Aktienrechts alle revisionspflichtigen Unternehmen.

Das IKS in Pensionskassen muss aber nicht nur zum Zeitpunkt der Registrierung bestehen, sondern Vorsorgeeinrichtungen sind gezwungen, während der gesamten Dauer ihrer Tätigkeit ein IKS zu unterhalten. Diese Tatsache geht aus dem Art. 48 Abs. 3 lit. a BVG hervor, der wie folgt lautet:

«Eine Vorsorgeeinrichtung wird aus dem Register gestrichen, wenn sie:
a. die gesetzlichen Voraussetzungen zur Registrierung nicht mehr erfüllt und innerhalb der von der Aufsichtsbehörde gesetzten Frist die erforderlichen Anpassungen nicht vornimmt.»
(…)

Aufgrund der gesetzlichen Bestimmungen muss das Interne Kontrollsystem bei Pensionskassen jedoch – ungleich wie in den aktienrechtlichen Bestimmungen – nicht explizit dokumentiert werden. Es ist aber trotzdem erforderlich, dass die Revisionsstelle bei der Prüfung auf schriftliche Unterlagen beziehungsweise IT-gestützte Abläufe zurückgreifen kann, welche den Nachweis eines IKS ermöglichen. Zudem muss die Revisionsstelle, welche die Rechtmässigkeit der Geschäftsführung prüft – und somit implizit ebenfalls das Vorhandensein des IKS – keine ausdrückliche gesonderte Bestätigung für die Existenz des Internen Kontrollsystems abgeben.

IKS-Betrieb in Pensionskassen

Wie weiter oben erwähnt, müssen Pensionskassen sich nicht an die aktienrechtlichen Vorgaben bei der Einführung eines IKS halten und sind demnach nicht gezwungen, im gleichen Ausmass und Umfang Kontrollen zu implementieren und zu dokumentieren, wie es zur Erfüllung von Art. 728a OR gefordert wird. Trotzdem soll das IKS in Pensionskassen so ausgestaltet werden, dass die Sicherstellung der Ordnungsmässigkeit der Jahresrechnung und Geschäftstätigkeit ermöglicht wird. Ein angemessen dokumentiertes IKS in einer Vorsorgeeinrichtung soll als zentrales Führungsinstrument für den Stiftungsrat als auch für geschäftsführende Personen verstanden werden.

Zentral für den Projekterfolg sind die aktive Unterstützung des Stiftungsrates, der frühe Einbezug IT-relevanter Aspekte sowie die fachliche Kompetenz als auch die hierarchisch genügend hohe Position des Projektverantwortlichen. Es spricht nichts dagegen, dass sich Pensionskassen ebenfalls an das COSO Rahmenwerk halten, welches sich für viele privatwirtschaftliche Unternehmen bereits bewährt hat. Der Ablauf eines IKS-Projektes soll sich stark an bewährten Methoden orientieren. So soll nach der schriftlichen Festhaltung des Projektablaufs eine IST-Analyse erfolgen, die den aktuellen Zustand des IKS auf Unternehmens-, Prozess- und IT-Ebene beschreibt. An dieser Stelle muss ausdrücklich darauf hingewiesen werden, dass jede Pensionskasse bis anhin in einer mehr oder weniger ausgeprägten Form interne Kontrollen durchgeführt hat – vielleicht auf informeller Ebene und nicht in systematischer Art und Weise. Es geht also kaum darum, alle internen Kontrollen neu zu erfinden, sondern viel mehr darum, bestehende Informationen und Kontrollen zu systematisieren, aufeinander abzustimmen und in geeigneter Form zu dokumentieren.

Nach der Analyse des Status Quo kommt das Auswahlverfahren (Scoping) zur Anwendung. Hierbei sollen die relevanten Geschäftsprozesse im Hinblick auf die Jahresrechnung sowie auf die Sicherstellung der ordnungsmässigen Geschäftsführung identifiziert werden. Als finanzrelevant für ein IKS in Pensionskassen gelten standardmässig die Prozesse bezüglich finanzieller Berichterstattung, Vermögensanlage und -verwaltung, Beiträge und Eintrittsleistungen, Leistungen und Vorbezüge sowie IT-Systeme, sofern diese finanzrelevanten Prozesse unterstützen. Die Prozesse sollen auf die inhärenten Risiken geprüft werden. Dabei kommen quantitative Kriterien (Grössen der Jahresrechnungspositionen) sowie qualitative (risikoorientierte) Kriterien (manuelle, komplexe Prozesse, Non-Routine-Prozesse) zur Anwendung.

Insbesondere – und nicht zuletzt wegen Vorfällen in jüngster Vergangenheit – soll im Bereich von möglichen deliktischen Handlungen eine umfassende Risikobeurteilung durchgeführt werden. Gerade in der Vermögensverwaltung von Vorsorgeeinrichtungen liegt ein besonderes Risiko. Als Gegenmassnahme (Kontrolle auf Unternehmensebene) soll beispielsweise jeder Mitarbeiter, der Verantwortung in der Vermögensverwaltung trägt, eine Erklärung zur Loyalität unterzeichnen. Der Vermögensverwalter nimmt damit zur Kenntnis, dass er zum einen keine Eigengeschäfte tätigen darf und zum anderen keine Parallelanlagen erlaubt sind.

Nach der Identifikation der Risiken, welche die Ziele des IKS gefährden können, werden die entsprechenden Kontrollen in einer Risiko-Kontroll-Matrix aufgeführt. Fehlen Kontrollen, werden diese neu geschaffen und dokumentiert (für Details wird auf den früheren Beitrag Entwicklung und Integration interner Prozesskontrollen im Praxisforum verwiesen). Die so genannten Schlüsselkontrollen, welche ein wesentliches IKS-Risiko abdecken, müssen gesondert gekennzeichnet werden. Als Beispiel werden im Austrittsprozess Risiken bezüglich der Erstellung der Austrittszahlung identifiziert. Nach der Beurteilung der Risiken bezüglich Schadenpotenzial im Hinblick auf die Jahresrechnung kann das Risiko, dass die Zahlung falsch erfasst wird, als Schlüsselrisiko angesehen werden. Die entsprechende Schlüsselkontrolle könnte in der Form einer Visierung durch den Verwalter ab einer bestimmen Zahlungshöhe (4-Augen-Prinzip) ausgestaltet werden.

Schliesslich geht es darum, dass das IKS nach erstmaliger Dokumentation und Implementierung in den Folgejahren gelebt wird und einen Nutzen stiftet. Dazu müssen - in regelmässigen Abständen - die Kontrollen auf deren Effektivität geprüft und die allfälligen Kontroll-Schwachstellen transparent gemacht werden. Die Schwachstellen dienen zur Ableitung konkreter Handlungsbedarfe. Identifizierte Handlungsbedarfe münden in konkreten Korrekturmassnahmen, die von den jeweiligen Verantwortlichen umgesetzt und überwacht werden müssen.

Fazit zu IKS in Pensionskassen

Auch Vorsorgeeinrichtungen sind explizit verpflichtet, ein Internes Kontrollsystem einzuführen und die Existenz im Rahmen der externen Revision prüfen zu lassen, wobei die Revisionsstelle die IKS-Existenz nur implizit im Zusammenhang mit der Prüfung der sachgemässen Organisation der Vorsorgeeinrichtung bestätigt. Des Weiteren wird im Unterschied zu den aktienrechtlichen Bestimmungen eine gesonderte IKS-Dokumentation von den Pensionskassen nicht verlangt. Um abschliessend den Bogen zur Einleitung zu schlagen – ein angemessenes IKS kann die kürzlich erlittenen Verluste auf Grund der volatilen und krisengeschüttelten Finanzmärkte nicht verhindern – jedoch im Bereich der Betrugsfälle einen wesentlichen Beitrag zur Verhinderung und Aufdeckung durch eine angemessene Kontrollkultur und wirksame Kontrollen leisten. Klar ist jedoch, dass auch ein funktionierendes IKS in Pensionskassen durch das Übersteuern von Kontrollen durch das Management ausgehebelt werden kann.

Produkt-Empfehlungen

  • Internes Kontrollsystem

    Internes Kontrollsystem

    Know-how, Tipps und viele Fallbeispiele unterstützen Sie bei der Konzeption bis hin zur Implementierung Ihres IKS.

    CHF 68.00

  • Jahrbuch Finanz- und Rechnungswesen 2018

    Jahrbuch Finanz- und Rechnungswesen 2018

    Hochkarätige Autoren informieren Sie über die aktuellen Trends im Finanz- und Rechnungswesen.

    Mehr Infos

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Internes Kontrollsystem (IKS)

So richten Sie Ihr IKS nachhaltig und effizient aus

Nächster Termin: 02. Oktober 2018

mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos