13.07.2021

Wirksames IKS: So behalten Sie Risiken effektiv im Griff

Ein adäquater Umgang mit Risiken ist für jede Organisation Pflicht. Um Risiken effektiv im Griff behalten zu können, braucht es ein wirksames IKS. Leider sind aber viele IKS nicht genügend wirksam. Daran hat der Gesetzgeber eine Mitschuld, da er nur die Existenz eines IKS verlangt.

Von: Christian Hafner   Drucken Teilen  

Christian Hafner

Christian Hafner ist Finance- und Governance-Experte bei swissaxis.ch Er berät Finanzdienstleister, KMU, NPO und öff. Hand bei Führungs- und Kontrollprozessen. 

 zum Portrait

Wirksames IKS

Wirksames IKS als ein unverzichtbares Element guter Organisationsführung

Unabhängig von der gesetzlichen Situation ist ein angemessen ausgestaltetes Internes Kontrollsystem (IKS) ein unverzichtbares Element guter Organisationsführung. Viele Organisationen haben dieses Thema in den vergangenen 20 Jahren auch angepackt. Es existieren Prozessdokumentationen; es wurden Risiko und Kontrollinventare erstellt. Und die Risikolandschaft wird regelmässig besprochen und angepasst.

Nicht selten sind Leitungsorgane damit immer noch zufrieden, obwohl das IKS so kaum wirksam ist. Wieso? Sie schauen (nur) auf das jährliche Testat des Rechnungsprüfungsorgans für die Existenz des IKS. Obwohl der Gesetzgeber tatsächlich bloss diese Prüfung verlangt, ist das nicht im Interesse eines sorgfältigen Umgangs mit Risiken. Dazu kommt, dass die Ausgaben für die Erstellung des IKS ohne wirksame operative Umsetzung verpuffen. Die mangelhafte operative Umsetzung führt dazu, dass das IKS von den Mitarbeitenden nicht «gelebt» werden kann. Und so wird das Risikomanagement zum organisatorischen Tiger ohne Zähne.

Der Kontrollplan

In den Organisationen, die ich in den vergangenen Jahren beim Thema IKS begleiten durfte, waren zwar oft Risiko- und Kontrollinventare vorhanden. Was hingegen fast immer fehlte, war ein Kontrollplan, damit das IKS hätte operativ wirksam werden können.

Vom Kontrollinventar zum Kontrollplan

Ein Kontrollinventar beinhaltet die Risikolandschaft, die einzelnen Risiken, die Herleitung oder Begründung des Risikos, die vorbeugenden Handlungen und die Bewertung des Risikoeffekts.

Der Kontrollplan ist die Basis, damit das IKS von den Kontrollverantwortlichen und Kontrollpersonen im operativen Alltag «gelebt» werden kann.

Die Überleitung vom Kontrollinventar zum Kontrollplan erfolgt durch die Risikobewertungen, welche als Triagekriterien benutzt werden können. Das heisst, nur Risiken ab einer gewissen Risikostufe werden in den Kontrollplan übertragen und als Kontrollen ausgearbeitet.

Kontrollaufträge

Im Kontrollplan werden pro Risiko ein oder mehrere Kontrollaufträge erstellt. Mit den Kontrollaufträgen soll entweder der Risikoeintritt verhindert oder aufgedeckt werden.

Verhinderung des Risikoeintritts:
  • vorbeugende Handlung
  • Auftrag für Vorbereitungsarbeiten (AVOR)
  • Überwachung einer Leistungserstellung
Aufdecken des Risikoeintritts:
  • Ergebnisüberwachung mit Stichproben
  • Durchführungsbestätigung/-bericht einholen und beurteilen

Das erreichen Sie, wenn Sie wie folgt vorgehen:

  1. Formulieren Sie die Aufträge als Umsetzungsanweisung (als Imperativ oder in interrogativer Form).
  2. Versehen Sie jede Kontrolle mit Periodizität/Häufigkeit. Auch «laufende» Kontrollen, welche Sie entsprechend als Stichprobenkontrollen umformulieren müssen.
  3. Bestimmen Sie die Kontrollzuständigkeit ad personam (und nicht ad functio!), unter Berücksichtigung von
    a) Unabhängigkeit der Kontrolle,
    b) Erstellung der Nachweisdokumentation.

Der Kontrollprozess

Ein gut designter Prozess erlaubt:

  • die lückenlose Nachvollziehbarkeit der Kontrolltätigkeit
  • die Sicherstellung des nahtlosen Übergangs bei Personalwechsel
  • die Stärkung der Auftragsverbindlichkeit und -verlässlichkeit
  • den Schutz der Datenintegrität

Je präziser die Kontrollaufträge formuliert werden, desto effizienter und effektiver können die Kontrollpersonen ihre Aufgabe erfüllen. Wie oben beschrieben, soll mit den Kontrollen der Risikoeintritt entweder verhindert oder aufgedeckt werden.

Äusserst hilfreich sind Kontrollindikatoren. Sie ermöglichen es den Kontrollpersonen, präzise festzustellen, ob sie die Kontrolle korrekt durchgeführt haben. Als Indikatoren eignen sich zum Beispiel numerische Abgleiche oder Anzahl Stichproben. Je präziser die Kontrollindikatoren, desto klarer der Kontrollauftrag, desto sicherer fühlt sich die Kontrollperson, den Auftrag zur Zufriedenheit erfüllen zu können und Abweichungen vom erwarteten Kontrollresultat zu melden.

Dies ist ein kostenloser Beitrag. Sie möchten von umfangreicherem Finanzwissen profitieren und über neue Entwicklungen informiert bleiben? Jetzt den Newsletter abonnieren.

Kontrollart und -periodizität

Die Kontrollperiodizität hängt einerseits von der Risikobeurteilung und andererseits von der Kontrollart ab. Wir unterscheiden vier Kontrollarten: vorbeugende, vorbereitende, regelnde und überwachende oder aufdeckende Kontrollen.

  • Bei vorbeugenden Kontrollen ist eine akkurate Vorlaufszeit entscheidend, damit der Prozess nicht wegen fehlender Freigabe behindert wird.
  • Vorbereitende Kontrollen sind oft erst kurz vor Prozessbeginn möglich. Damit der Ablauf nicht behindert wird, muss das Schwergewicht auf den Nachweis der AVOR-Instruktionen gelegt werden.
  • Da regelnde Kontrollen während der Prozessdurchführung stattfinden, können sie nicht über das IKS durchgeführt werden. Stellen Sie deshalb den Nachweis der Instruktion der In-Prozess-Regelungen sicher und überwachen Sie das Ergebnis mit Stichproben.
  • Überwachende und aufdeckende Kontrollen sind typisch für das IKS. Entscheidend ist die zeitgerechte Durchführung dieser Output- und Outcome-Kontrollen.

Nachweisdokumente

Ein Nachweisdokument ist ein qualitätsrelevantes Dokument, das Nachweise (Aufzeichnungen) hinsichtlich der Durchführung der Kontrolltätigkeit beinhaltet. Aus der Sicht der IKS-verantwortlichen Personen sind diese Nachweise natürlich sehr erwünscht.

Die Erstellung von Nachweisdokumenten kann aber bei den Kontrollpersonen nicht selten zu Frustrationen oder noch schlimmer zur Auftragsverweigerung führen. Das kann geschehen, wenn der Erstellungsaufwand im Missverhältnis zur tatsächlichen Risikominimierung steht oder die verlangten Daten nicht einwandfrei erhoben werden können. Deshalb empfehle ich, Kontrollaufträge so weit wie möglich ohne Pflicht zur Erstellung eines Nachweisdokuments zu erteilen. Oft genügt es nämlich, den Nachweis als Freitext zu beschreiben.

Metaprozess, Berichterstattung und Prüfung

Kontrollinventare sollten periodisch (oft jährlich) auf Vollständigkeit überprüft und die Risikobeurteilungen aktualisiert werden. Und der Kontrollplan sollte sinnvollerweise in derselben Periodizität wie das Kontrollinventar (im Nachgang dazu) à jour gehalten werden.

Damit das IKS seine Wirksamkeit auf Dauer behält, bedarf es zudem eines Metaprozesses und einer Integration der Berichterstattung mit der Rechnungsprüfung.

Metaprozess

Durch einen Metaprozess wird sichergestellt, dass Risikobeurteilung und Kontrollaufträge regelmässige überprüft werden. Es geht im Kern darum, zu entscheiden, ob die Beurteilungen und Aufträge aktuell sind resp. ob sie noch wirksam und angemessen sind.

Gleichzeitig stellt der Metaprozess sicher, dass das IKS operativ funktioniert. Dass z.B. Kontrollpersonen bei Abgang ersetzt werden und dass ein neuer Kontrollbedarf umgesetzt werden kann.

Berichterstattung

Die Berichterstattung an die oberen Leitungsorgane sollte eine Gesamtschau der Erkenntnisse beinhalten, welche sich aus den systematischen Kontrollen ergeben – also ein Rechenschaftsbericht über den «Status» des IKS und seine Wirksamkeit:

  • Laufen die Kontrollen planmässig und periodisch ab?
  • Gibt es Verbesserungspotenzial?
  • Mussten Beanstandungen vorgenommen werden?
  • Anträge und Empfehlungen des IKS-Beauftragten

Das Reporting soll auch eine Entscheidungsgrundlage für die Weiterentwicklung oder Ausweitung des IKS darstellen.

Es empfiehlt sich, diese Berichterstattung mindestens einmal jährlich in Abstimmung mit dem Rechnungsprüfungsorgan zu erstellen.

Prüfung des IKS

Das IKS sollte so implementiert sein, dass die Prüfungsinstanzen die Existenz des IKS effizient prüfen und einen Nachweis produzieren können, dass die Kontrollen verbindlich und verlässlich durchgeführt werden. Wird dieses Ziel erreicht, können damit oft auch Prüfungskosten optimiert werden. Dieser Meinung sind zumindest die Mitglieder des CFO Forum Schweiz, welche die folgenden zwei Massnahmen zur Optimierung der Auditkosten nennen:

  1. eine termingerechte Bereitstellung der zu prüfenden Unterlagen
  2. Verbesserung des Internen Kontrollsystems (IKS)

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, SIB, Zürich

Internes Kontrollsystem (IKS)

So richten Sie Ihr IKS nachhaltig und effizient aus

Stellen Sie Ihr IKS auf den Prüfstand: Lernen Sie Risiken gezielt zu identifizieren und realistisch zu bewerten. So binden Sie Ihr IKS effizient und angemessen in die Betriebsabläufe ein.

Nächster Termin: 01. Dezember 2021

mehr Infos

Produkt-Empfehlungen

  • Internes Kontrollsystem

    Internes Kontrollsystem

    Know-how, Tipps und viele Fallbeispiele unterstützen Sie bei der Konzeption bis hin zur Implementierung Ihres IKS.

    ab CHF 30.40

  • Finance Professional

    Finance Professional

    Die Komplettlösung für Ihr Rechnungswesen und Controlling.

    Mehr Infos

  • Jahrbuch Finanz- und Rechnungswesen 2021

    Jahrbuch Finanz- und Rechnungswesen 2021

    Hochkarätige Autoren informieren Sie über die aktuellen Trends im Finanz- und Rechnungswesen.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, SIB, Zürich

    Kennzahlencockpit für Finanzverantwortliche

    Eigenes Kennzahlensystem richtig aufbauen und das Unternehmen zeitnah zielgerichtet steuern

    Nächster Termin: 18. November 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, SIB, Zürich

    Internes Kontrollsystem und Risikomanagement in der öffentlichen Verwaltung

    So führen Sie das Interne Kontrollsystem (IKS) in der öffentlichen Verwaltung ein

    Nächster Termin: 24. November 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, SIB, Zürich

    Dynamische Unternehmenssteuerung

    Finanzielle Führung und Steuerung im dynamischen Umfeld

    Nächster Termin: 25. November 2021

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos