09.08.2016

IKS: Mit einem klaren Konzept zu mehr Sicherheit in Organisation und Prozessabläufen

Das Interne Kontrollsystem (IKS) wird allgemein als ein Prozess verstanden, der von den für die Überwachung verantwortlichen Führungskräften und Mitarbeitenden konzipiert, eingerichtet und aufrechterhalten wird. Ziel eines IKS ist es generell sicherzustellen, dass es in einer Organisation nicht zu Fehlern und Unregelmässigkeiten bei der Berichterstattung, bei der (operativen) Geschäftstätigkeit oder der Einhaltung relevanter Gesetze und Normen kommt.

Von: Prof. Dr. Thomas Rautenstrauch   Drucken Teilen   Kommentieren  

Prof. Dr. Thomas Rautenstrauch

Thomas Rautenstrauch ist Professor für Betriebswirtschaftslehre, insbesondere Accounting und Controlling sowie Leiter des Center for Accounting & Controlling an der HWZ Hochschule für Wirtschaft Zürich. Weiterhin ist er als Gastprofessor für Management Accounting im Executive MBA des Institute for Management in Technology (iimt) an der Universität Fribourg tätig. Thomas Rautenstrauch ist Autor von mehreren Fachbüchern und zahlreichen Artikeln in Fachzeitschriften und in der Wirtschaftspresse.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
IKS

IKS

Zwar wird die Existenz eines IKS in der Schweiz gemäss Art. 727 OR regelmässig nur von Gesellschaften eingefordert, die der ordentlichen Revision unterliegen, jedoch kann ein IKS auch in den übrigen Unternehmen einen wichtigen Dienst für Verwaltungsrat und Geschäftsleitung  leisten. Dies gilt vor allem dann, wenn es durch ein IKS gelingt, den Schutz des Unternehmensvermögens, die Zuverlässigkeit nach innen und aussen gerichteter Berichtsinhalte, die Effizienz betrieblicher Abläufe und die Einhaltung von internen und externen Vorschriften zu gewährleisten.

Gerade Unternehmen, die in hohem Masse dezentralisiert sind, über verschiedene Standorte verfügen, international agieren oder komplexe Abläufe und Organisationsstrukturen aufweisen, müssen vom Nutzen eines IKS kaum überzeugt werden. Begreift man ein IKS als Konzept zur Führungsunterstützung, dann wird deutlich, dass dieses im Zusammenhang mit dem Controlling, dem Qualitätsmanagement, dem Risikomanagement und anderen Elementen einen weiteren wichtigen Baustein des gesamten Führungssystems darstellt.

IKS-Reifegrad

Der Reifegrad des IKS beschreibt in welchem Umfang und in welcher Tiefe ein IKS im Unternehmen zur Anwendung kommt. Der notwendige Reifegrad eines IKS wird seit 2008 in der Schweiz mit dem Begriff «standardisiert» angegeben, was bedeutet, dass Tätigkeiten und Kontrollen definiert und dokumentiert sind, vollständig durchgeführt und an die sich ändernden Unternehmensrisiken regelmässig angepasst werden. Dies erscheint auf den ersten Blick möglicherweise lediglich als eine formale Herausforderung, bei der primär eine umfassende Dokumentation zu erstellen ist. Tatsächlich wird ein IKS in jeder Organisation aber durch die für sie arbeitenden Menschen und ihre Handlungsweisen gelebt und reicht daher weit über Richtlinien, Systeme und Formulare deutlich hinaus. In diesem Zusammenhang ist auch die Unternehmenskultur von herausragender Bedeutung für die Effektivität eines IKS.

Jedes IKS muss gemäss den Anforderungen der externen Revision an die strukturellen Erfordernisse eines Kontrollobjekts bzw. einer Kontrolleinheit (Konzernunternehmen, Geschäftsbereiche, Niederlassung, Prozess) ausgerichtet werden und somit an eine Gesamtorganisation oder ihre Teile (Niederlassungen, Sparten, Geschäftseinheiten oder Geschäftsprozesse) adaptiert werden können.

Referenzkonzept COSO Internal Control

Das Rahmenkonzept COSO bildet seit 1992 einen international anerkannten Ansatz zur Systematisierung sowie zur Prüfung von Internen Kontrollsystemen. Dieses wurde vom Committee of Sponsoring Organizations of the Treadway Commission (abgekürzt COSO) zuletzt im Mai 2013 aktualisiert und stellt eine allgemeine, prinzipienbasierte Handlungsempfehlung für die Ausgestaltung, Umsetzung und laufende Durchführung der Internen Kontrolle dar. Das zumeist als COSO-Würfel dargestellte Konzept definiert hierzu einerseits die Zielkategorien der Internen Kontrolle (namentlich effektive Betriebsprozesse, verlässliche Berichterstattung und Rechtskonformität), die verschiedenen Kontrollkomponenten (Kontrollumgebung, Risikobeurteilung, Kontrollmassnahmen, Information und Kommunikation sowie Überwachung) entlang der verschiedenen Organisationseinheiten und strukturellen Ebenen. Die letzte Aktualisierung des COSO-Konzepts für die interne Kontrolle ergänzt ausserdem 17 Prinzipien.

COSO ist vor allem in der Revisionsbranche verbreitet, obwohl es im Schweizer Prüfungsstandard (PS) 890 zwar nicht genannt aber gleichwohl inhaltlich beschrieben wird. Das COSO-Rahmenwerk wird als branchen- und grössenunabhängiges Konzept verwendet, welches Empfehlungen für den Aufbau und die Weiterentwicklung eines IKS liefert. Das COSO Modell ist ausserdem Grundlage für IKS-Prüfungen der Internen Revision.

Die konkrete Umsetzung obliegt allerdings im Allgemeinen der jeweiligen Organisation sowie im Besonderen der Geschäftsführung, die für die Entwicklung detaillierter und organisationsgerechter Strategien, Verfahren und Massnahmen sowie deren Einbettung in die Arbeitsabläufe verantwortlich ist.

  Der wesentliche Nutzen des COSO IC-Rahmenkonzepts liegt nicht nur in einer international anerkannten Festlegung des erforderlichen Vokabulars sondern es dient zugleich als Orientierungs- und Handlungsrahmen für die Unternehmensführung, namentlich VR und Geschäftsleitung, die im Rahmen der Corporate Governance oder durch allfällige explizite Normen (z.B. Rundschreiben 2008/24 der FINMA, Schweizer Prüfungsstandard 890) zur Ausgestaltung und Umsetzung eines IKS verpflichtet sind.

Anforderungen an ein IKS

Aus nationaler Sicht werden die Anforderungen an ein Internes Kontrollsystem systematisch und branchenübergreifend sowohl für Unternehmen der Privatwirtschaft als auch für die öffentliche Verwaltung durch den bereits zuvor erwähnten PS 890 angegeben.

Abweichend vom verhältnismässig breiten, internationalen Verständnis umfasst ein Internes Kontrollsystem hiernach nur jene Vorgänge und Massnahmen in einer Organisation, welche eine ordnungsmässige Buchführung und finanzielle Berichterstattung sicherstellen. Somit bleiben die beiden übrigen beiden Zielkategorien des COSO-Rahmenkonzepts aus nationaler Sicht lediglich eine Option für betroffene Unternehmen.

In der Schweiz besteht für eine externe Revisionsstelle die Prüfungspflicht betreffend der IKS-Existenz jedoch nur dann, wenn das betreffende Unternehmen der ordentlichen Revision gemäss Art. 727 OR unterliegt. Dies sind zum einen Publikumsgesellschaften, die Beteiligungspapiere an der Börse kotiert oder Anleihenobligationen ausstehend haben oder mindestens 20 Prozent der Aktiven oder des Umsatzes zur Konzernrechnung einer solchen Gesellschaft beitragen. Weiterhin zur ordentlichen Revision und damit zur Pflichtprüfung der IKS-Existenz verpflichtet sind Gesellschaften, die zur Konzernrechnung verpflichtet sind sowie wirtschaftlich bedeutende Unternehmen, welche zwei der drei folgenden Merkmale in zwei aufeinanderfolgenden Geschäftsjahren überschreiten:

  • CHF 20 Millionen Bilanzsumme
  • CHF 40 Millionen Umsatz
  • 250 Vollzeitstellen im Jahresdurchschnitt.

Durch diese vergleichsweise hohen Schwellenwerte ist die IKS-Pflichtprüfung nur noch für einen verhältnismässig geringen Teil von grösseren Unternehmen relevant.

Daneben existieren vereinzelt Sonderregelungen zum IKS für einzelne Branchen, wie beispielsweise die Finanzdienstleistungsbranche und den öffentlichen Sektor (Bund, Kantone und Gemeinden).

Die Ausgestaltung und Umsetzung eines IKS hängt von der Grösse, den Geschäftsrisiken und der Komplexität eines Unternehmens ab, weshalb vor allem bei KMU auch weniger formale Anforderungen sowie einfachere Arbeitsabläufe akzeptiert werden. Allerdings setzt die Existenz eines IKS aus Revisionssicht voraus, dass ein IKS nicht nur schriftlich dokumentiert ist, sondern zusätzlich den zuständigen Mitarbeitern bekannt ist, das IKS zur Anwendung kommt und es ein Kontrollbewusstsein im Unternehmen gibt. Dies zeigt, dass ein IKS sowohl umgesetzt werden als auch zur Anwendung kommen muss.

Kontrollen eines IKS

Ein IKS umfasst Kontrollen auf drei Kontrollebenen:

  • Kontrollen auf der Unternehmensebene betreffen Risiken in Zusammenhang mit der Integrität, ethischen Werten, dem Verhalten und fehlenden Kompetenzen.
  • Auf der Prozessebene liegt der Fokus auf sogenannten Schlüsselkontrollen, die gemäss dem PS 890 die Risiken einer wesentlichen falschen Aussage in der Buchführung und Jahresrechnung eines Unternehmens abdecken sollen und sich auf die wesentlichen Prozesse des Unternehmens beziehen.
  • Generelle IT-Kontrollen sollen ein ordnungsgemässes Funktionieren der IT im Unternehmen gewährleisten und beziehen sich nicht auf einzelne Software-Applikationen, sondern auf Programmentwicklungen, -anpassungen bzw. -änderungen, den IT-Betrieb, Datensicherheit und Zugriffsberechtigungen.

Die Berichterstattung über das Ergebnis der IKS-Prüfung soll durch den Abschlussprüfer auf den Stichtag der Jahresrechnung bezogen werden. Dies zeigt die enge Verknüpfung von Internes Kontrollsystem, Buchführung und Finanzberichterstattung, welche sich durch die Einschränkung des IKS auf diese eine Zielkategorie ergeben muss. Der Abschlussprüfer berichtet dann zweierlei: zum einen wird die Generalversammlung gemäss Art. 728a Ziff. 3 OR in zusammengefasster Form darüber informiert, ob ein IKS im Unternehmen existiert bzw. nur eingeschränkt oder allenfalls nicht existiert. Zum anderen berichtet der Abschlussprüfer gemäss Art. 728b OR dem Verwaltungsrat umfassend über das Ergebnis der IKS-Prüfung.

Interne Kontrollsysteme:

  • beziehen sich nicht lediglich auf ein einzelnes Ereignis oder einzelne Aktivität. Vielmehr sind sie Teil der Geschäftsprozesse auf allen Ebenen der Organisation;
  • wirken im Unterschied zur Revision sowohl kontinuierlich als auch gegenwartsbezogen innerhalb der Prozessabläufe in der Organisation;
  • müssen hinsichtlich bestehender Kontrollaktivitäten an allfällige strukturellen Veränderungen in der Aufbau- und Ablauforganisation aktualisiert und optimiert werden;
  • beurteilen auf Basis einer Risikobeurteilung in Abstimmung mit dem Risiko- und Qualitätsmanagement mögliche Schwächen und Kontrolldefizite und ermöglichen hierdurch gezielte Schlüsselkontrollen;
  • befähigen eine Organisation ihre Schlüsselrisiken zu erkennen und geeignete Massnahmen zur Vermeidung, Verringerung, oder Überwälzung unter Kosten-Nutzen-Berücksichtigung zu ergreifen;

IKS im Konzern

Eine Besonderheit betrifft das IKS im Konzern, da hier im Rahmen der externen Revision der Konzernrechnung die Existenz eines IKS für den gesamten Konzern geprüft wird. Im Unterschied zum IKS im Einzelunternehmen werden von einem IKS im Konzern noch Kontrollen auf der Konzernebene, im Konsolidierungsprozess sowie bei den einzelnen Unternehmensteilen erwartet. Hierbei ist der Verwaltungsrat der Konzernobergesellschaft in der Verantwortung betreffend die Ausgestaltung, Umsetzung und Aufrechterhaltung des Konzern-IKS.

Das Minimum-Ziel eines IKS im Konzern muss es sein, eine verlässliche Konzern-Rechnungslegung und finanzielle Berichterstattung zu gewährleisten. Eine konzernrechnungspflichtige Gesellschaft hat dafür Sorge zu tragen, dass ein Konsolidierungshandbuch vorhanden ist, die Bereinigung der HB 1 durch die in den Konsolidierungskreis einzubeziehenden Tochtergesellschaften nach einheitlichen Bilanzierungs- und Bewertungsstandards erfolgt und auch die Konsolidierung auf Basis der HB 2 gemäss den Normen des gewählten Rechnungslegungsstandards erfolgt. Ein Konzern-IKS hat dabei alle, aus quantitativer und qualitativer Sicht wesentlichen Organisationseinheiten des Konzerns sowie die Prozessabläufe in Verbindung mit der Erstellung der Konzernrechnung einzubeziehen.

Fazit

Jedes IKS kann für die Anspruchsgruppen Geschäftsleitung und Verwaltungsrat nur eine hinreichende und keine absolute Sicherheit. Dazu muss es allerdings in die Prozesslandschaft des Unternehmens einbezogen und im Führungsalltag aller Entscheidungsträger verankert und vorgelebt werden. Lediglich ein überzeugendes Konzept und eine sorgfältige Dokumentation reicht nicht aus, sondern stellt lediglich sicher, dass die Art und Umsetzung der Kontrollen nachvollziehbar ist.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Internes Kontrollsystem (IKS)

So richten Sie Ihr IKS nachhaltig und effizient aus

Stellen Sie Ihr IKS auf den Prüfstand: Lernen Sie Risiken gezielt zu identifizieren und realistisch zu bewerten. So binden Sie Ihr IKS effizient und angemessen in die Betriebsabläufe ein.

Nächster Termin: 02. Oktober 2018

mehr Infos

Produkt-Empfehlungen

  • Newsletter Finanz- und Rechnungswesen

    Newsletter Finanz- und Rechnungswesen

    Aktuelles Praxiswissen für Finanzverantwortliche

    CHF 98.00

  • Internes Kontrollsystem

    Internes Kontrollsystem

    Know-how, Tipps und viele Fallbeispiele unterstützen Sie bei der Konzeption bis hin zur Implementierung Ihres IKS.

    Mehr Infos

  • Jahrbuch Finanz- und Rechnungswesen 2018

    Jahrbuch Finanz- und Rechnungswesen 2018

    Hochkarätige Autoren informieren Sie über die aktuellen Trends im Finanz- und Rechnungswesen.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internes Kontrollsystem (IKS)

    So richten Sie Ihr IKS nachhaltig und effizient aus

    Nächster Termin: 02. Oktober 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internes Kontrollsystem in der öffentlichen Verwaltung

    So führen Sie das IKS in der öffentlichen Verwaltung ein

    Nächster Termin: 14. November 2018

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos