Internes Kontrollsystem: 8 Tipps zur Einführung oder Neugestaltung
Christian Feller
Christian Feller, dipl. Wirtschaftsprüfer, ist Partner bei Audit Suisse AG
Prof. Dr. Dieter Pfaff
Dieter Pfaff ist seit 1994 ordentlicher Professor der Universität Zürich und Direktor am dortigen Institut für Rechnungswesen und Controlling sowie seit 1998 Dozent im Rahmen des Executive-MBA-Programms dieser Universität.
Internes Kontrollsystem - Ausgestaltung
Betrachtet wird im Folgenden eine (fiktive) Stiftung mit einem Stiftungskapital von etwa CHF 45 Mio. Zweck der Stiftung ist die Förderung der wirtschafts- und sozialwissenschaftlichen Forschung; die Stiftung verfolgt weder Erwerbs- noch Selbsthilfezwecke. Der Zweck der Stiftung wird aus den Erträgen des Stiftungsvermögens verwirklicht. Zudem hat der Stiftungsrat die Möglichkeit, das Vermögen der Stiftung ganz oder teilweise für die Zweckerfüllung zu nutzen. Der Stiftungsrat besteht aus mindestens fünf vollamtlichen Universitätsprofessorinnen oder -professoren der Wirtschaftswissenschaften verschiedener Schweizer Universitäten. Der Stiftungsrat leitet die Stiftung gemäss Gesetz, Stiftungsurkunde und Reglementen nach pflichtgemässem Ermessen; er beschliesst über sämtliche Änderungen im Bereich der Unterschriften. Die Mitglieder des Stiftungsrats sind grundsätzlich ehrenamtlich tätig; vorbehalten bleibt der Ersatz von Barauslagen und allfälligen Transportkosten. Ein massvolles Entgelt an Mitglieder des Stiftungsrats kann ausgerichtet werden, wenn Tätigkeiten wahrgenommen werden, welche über die ordentliche Geschäftstätigkeit hinausgehen. Der Rechnungsabschluss erfolgt alljährlich auf den 31. Dezember. Der Stiftungsrat beauftragt eine Revisionsstelle für die gesetzlich vorgeschriebenen Prüfungsarbeiten. Die Stiftung beschäftigt in Teilzeit eine Verwaltungsassistentin sowie einen Buchhalter (der Inhaber des eidg. Fachausweises im Finanz- und Rechnungswesen ist); die Leitung der Geschäfte erfolgt hauptsächlich durch den Stiftungsratspräsidenten. Die Lohnadministration erfolgt durch einen Treuhänder.
Ziele und Bottom-up-Ansatz
Der Stiftungsrat hat für die Einführung des internen Kontrollsystems den sogenannten Bottom-up-Ansatz gewählt. Ausgangspunkt der Überlegungen bei diesem Modell bilden die Jahresrechnung sowie die bekannten Hauptprozesse, welche eine Auswirkung auf die Jahresrechnung (oder die übrige Berichterstattung) haben können. Der Stiftungsrat hat die entsprechenden Berechnungen gesehen und zur Kenntnis genommen, dass sämtliche Bilanz- und Erfolgsrechnungspositionen mit einem Wert von grösser als 5% (Entscheid Stiftungsrat) zu den abzudeckenden Risiken gehören und entsprechend in das interne Kontrollsystem zu implementieren sind.
Identifizierung der finanziell wesentlichen Positionen (Bilanz und Betriebsrechnung)
Auf Basis der zuvor vom Stiftungsrat festgelegten Grenze von 5% werden die wesentlichen Positionen der Bilanz und Betriebsrechnung identifiziert.
Abbildung 1: Finanziell wesentliche Positionen der Bilanz
Für die Bilanz erweisen sich die Bankguthaben, die Wertschriften sowie das Stiftungskapital als wesentlich (Abbildung 1); in der Betriebsrechnung sind es die Dividendenerträge, die Vergabungen, der Personalaufwand sowie die Kursgewinne (Abbildung 2).
Abbildung 2: Finanziell wesentliche Positionen der Betriebsrechnung
Finanzielle Kontrollziele und Risikobewertung
Im nächsten Schritt werden die Risiken im Hinblick auf die wesentlichen Fehler der finanziellen Berichterstattung identifiziert. Diese Analyse dient als Ausgangspunkt, wie die Risiken gemanagt werden sollen. Im vorliegenden Beispiel fokussiert man auf die in Abbildung 3 dargestellten Risikopotenziale, die sich auf eine verlässliche Finanzberichterstattung beziehen. Die Risikobewertung erfolgt vereinfacht mithilfe von nur drei Kategorien: geringes Risiko, mittleres Risiko und hohes Risiko. So wird das Bewertungsrisiko bei Wertschriften als mittelhoch eingeschätzt, das Bestandsrisiko hingegen als niedrig klassifiziert.
Abbildung 3: Finanzielle Kontrollziele und Risikobewertung
Weitere finanzielle Kontrollziele, die hier aber im Fallbeispiel keine Rolle spielen, können sein:
- Eigentum (Rechte oder Verpflichtungen)
- Darstellung und Ausweis
Passende Produkt-Empfehlungen
Steuerungs- und Kontrollaktivitäten
Steuerungs- und Kontrollaktivitäten sind in Abhängigkeit von den identifizierten Risiken, insbesondere jener mit mittlerem oder hohem Risiko, zu treffen. Dabei sollten die potenziellen Auswirkungen dieser Risiken auf die Finanzberichterstattung gemindert werden.
Zur Erarbeitung der Steuerungs- und Kontrollaktivitäten können vorhandene Prozessabläufe und bereits existierende Dokumentationen genutzt werden. Hilfreich sind zudem Interviews mit den Prozessverantwortlichen und deren Mitarbeitenden – Schwachstellen, Ineffizienzen oder fehlende Kontrollen können so leichter identifiziert und kommuniziert werden.
Jeder Prozess dient unterschiedlichen Zielen. Ausgehend von den Prozesszielen können Risiken identifiziert und analysiert werden. Steuerungs- und Kontrollaktivitäten müssen unter Abwägung von Kosten und Nutzen entsprechend entwickelt werden. Grundsätzlich gilt: Je nach Komplexität des Unternehmens, der Risiken sowie der Steuerungs- und Kontrollaktivitäten muss jedes Unternehmen für sich selber entscheiden, wie umfassend eine Risiko-Kontroll-Matrix ausgestaltet werden soll. Eine solche Matrix dient als wichtiges Tool für den Umgang, die Darstellung und die Dokumentation von Risiken.
Wichtig ist oft auch die Risiken zu identifizieren, die durch den Einsatz der IT selbst entstehen können. Der Aspekt, dass der geschickte Einsatz von IT zur Effizienzsteigerung beitragen kann, etwa indem Steuerungs- und Kontrollaktivitäten weitgehend in bestehende Prozesse integriert und nach Möglichkeit automatisiert werden, soll im Beispiel der ABC-Stiftung keine Rolle spielen. Zweck der Kontrollen ist es, «einen sicheren und störungsfreien Betrieb der IT-Systeme zu unterstützen sowie die Verlässlichkeit aller Finanzinformationen, die von den IT-Applikationen erzeugt wurden, mit angemessener Sicherheit zu gewährleisten.»
Die Ausgestaltung der IT-Kontrollen hängt davon ab, welche Prozesse, Applikationen und Systeme die Finanzberichterstattung unterstützen. Die ABC-Stiftung verwendet eine standardisierte Buchhaltungssoftware
mit einfachen Funktionen und wenigen standardisierten oder leicht konfigurierbaren Datenverarbeitungsoptionen und Kontrollen.
Im Einzelnen wird je ein Prozess zu den folgenden Komponenten identifiziert, beschrieben und durch eine Risiko-Kontroll-Matrix ergänzt:
- Zugriff (Arbeitsplatz)
- Berechtigungen
- Datensicherung
- Verfügbarkeit Software
Kontrollen, die z.B. den Computerbetrieb umfassen, können an anderer Stelle (z.B. im gesamtheitlichen Risikomanagementsystem) abgedeckt werden. Abbildung 4 zeigt beispielhaft den Prozess der Zugriffsprüfung.
Dokumentation der Kontrollen
Wie einleitend erläutert, prüft die Revisionsstelle die Existenz des Internen Kontrollsystems. Die Revisionsstelle kann aber – abgesehen von Befragungen oder Interviews – nur prüfen, was dokumentiert ist. Die Dokumentation der Prozesse sowie der Risiko-Kontroll-Matrizen wurde in den vorhergehenden Abschnitten beschrieben. Ob aber die Kontrollen tatsächlich stattfinden und welche Massnahmen dabei eingeleitet werden, muss durch eine eigene Dokumentation erfolgen.
Information und Kommunikation
Ein verständliches, übersichtliches und aktuelles Reporting hilft den Entscheidungsträgern, die relevanten Informationen schnell zu erkennen und anhand dieser optimale Entscheidungen bezüglich des Umgangs mit Risiken treffen zu können. Um den Prozess möglichst schlank zu halten, werden in der ABC-Stiftung folgende Grundsätze festgehalten:
- Das Reporting bezieht sich auf die finanzrelevanten Prozesse sowie die dazugehörigen Hilfsprozesse.
- Im Reporting wird festgehalten, ob die Prozesse geprüft wurden, von wem und wann sie geprüft wurden, welche Feststellungen gemacht und welche Massnahmen gegebenenfalls getroffen wurden.
- Das Reporting an die oberen Hierarchieebenen erfolgt gemäss dem in Abbildung 5 dargestellten Prozess.
Abbildung 5: Prozess Reporting
Der Reportingzyklus kann aufgrund der einfachen Verhältnisse einmal jährlich erfolgen. Die Gesamtverantwortung für die korrekte operative Umsetzung liegt beim Stiftungsratspräsidenten.
Monitoring
Grundsätzlich obliegt der Geschäftsleitung (und gegebenenfalls dem Stiftungsrat) die Aufgabe des IKS-Monitorings: Im Rahmen des Monitorings ist zu beurteilen, «ob die Ausgestaltung der Komponenten interner Steuerung und Kontrolle auch bei veränderter Risikolage hinterfragt wird und ob das Interne Kontrollsystem trotz der Veränderungen wirksam bleibt. Ziel ist es, das IKS durch Anpassungen und Verbesserungen à jour zu halten und somit dessen dauerhafte Funktionsfähigkeit zu gewährleisten».
Im Beispiel der ABC-Stiftung etwa könnte die in den Abschnitten zuvor dargestellte Risikobeurteilung und -steuerung jährlich plausibilisiert werden. Der Stiftungsratspräsident prüft – in Abstimmung mit dem Stiftungsrat –, ob zusätzliche IKS-relevante Abschlusspositionen und Prozesse zu ergänzen sind oder gestrichen werden können. Ein solcher Schritt würde beispielsweise notwendig, wenn die Buchhaltung komplett an einen Treuhänder ausgelagert würde.
Zentrale Tipps für ein Internes Kontrollsystem
Die wichtigsten Aussagen seien in Form der folgenden acht Tipps zusammengefasst:
Tipp 1: Bestimmen Sie die finanzielle Wesentlichkeit auf der Grundlage der Jahresrechnung. Wählen Sie eine Richtgrösse für die Wesentlichkeit, z.B. 5% der Bilanzsumme und 5% der Ertragssumme.
Tipp 2: Identifizieren Sie auf Basis dieser Richtgrösse die finanziell wesentlichen Positionen (Bilanz und Erfolgsrechnung). Sie werden überrascht sein, dass selbst in grösseren Unternehmen bzw. Organisationen nur wenige Positionen wirklich wesentlich sind.
Tipp 3: Überlegen Sie sich, welche finanziellen Kontrollziele (Bestand, Vollständigkeit, Bewertung, Erfassung und Periodenabgrenzung, Risiko deliktischer Handlungen, Eigentum, Darstellung und Ausweis) für die identifizierten Positionen der Jahresrechnung wirklich relevant sind: Bei Bankguthaben und Beteiligungen sind dies häufig «nur» der Bestand und die Bewertung.
Tipp 4: Identifizieren Sie die übrigen für die Finanzberichterstattung relevanten Risiken, so z.B. die Risiken aus dem Abschlussprozess oder der IT (inklusive Software). Beim Abschlussprozess dürfte vor allem die Bewertung eine Rolle spielen.
Tipp 5: Bevor Sie an die Aufzeichnung der Prozesse, ihrer Risiken sowie an die Erstellung der Kontrolllisten gehen: Stimmen Sie Ihr Vorgehen mit Ihrer Revisionsstelle ab.
Tipp 6: Zeichnen Sie nun die Prozesse (Arbeitsschritte), Risiken, Kontrollmassnahmen sowie die verantwortliche(n) Person(en) auf. Beachten Sie, dass es zu einer Bilanzposition (Bankbestand oder flüssige Mittel) mehrere Prozesse geben kann; dies ergibt sich schon dann, wenn es mehr als ein Kontrollziel gibt (z.B. Bestand und Bewertung).
Tipp 7: Dokumentieren Sie über das Jahr hinweg alle Kontrollen und Massnahmen, die Sie aufgrund der Prozessbeschreibungen durchführen.
Tipp 8: Vergessen Sie nicht, die einmal eingeführte Risikobeurteilung und -steuerung jährlich zu plausibilisieren.
