Regulatorische Risiken gehören zum unternehmerischen Alltag, dies macht es umso wichtiger, diese bestmöglich im Blick und somit im Griff zu haben. Ein IKS unterstützt Unternehmen bei dieser Aufgabe. IKS steht für Internes Kontrollsystem. Dieses liefert einen Überblick über die Unternehmensprozesse, Risiken und die Kontrollmaßnahmen und hilft somit dabei, bekannte Risiken zu minimieren. Dadurch erhalten Unternehmen verlässlichere Prozesse, minimieren ihr Compliance-Risiko und verbessern in der Folge die Kosten-Nutzen-Relation.
Die Definition des Internes Kontrollsystems (IKS) vom Gesetzgeber und den Schweizer Revisionsstellen lautet wie folgt:
„Ein IKS ist das Instrument, welches die Vorgänge und Maßnahmen zur Sicherstellung einer ordnungsgemäßen Buchführung und finanziellen Berichterstattung umfasst.“
Aufgaben & Ziele eines IKS
Ein IKS erfüllt zahlreiche Aufgaben, im Wesentlichen stellt es jedoch sicher, dass Prozesse richtig ablaufen und sich niemand fehlerhaft verhält. Dabei werde Unregelmäßigkeiten und Fehler, die Auswirkungen auf die Buchführung und finanzielle Berichterstattung haben können, sichtbar. Somit wird auch Korruption vom Internen Kontrollsystem unterbunden. Die Aufgaben und Ziele eines Internen Kontrollsystems lauten dabei wie folgt:
- Risiken identifizieren – potenzielle Schachstellen im Geschäftsprozess feststellen
- Dokumentation - genaue, aussagefähige & zeitnahe Aufzeichnungen
- Kontrollmaßnahmen bestimmen & verankern – Kreation der passenden Kontrollen für individuelle Prozesse & Verankerung dieser
- Regeleinhaltung - erleichtert die Durchsetzung innerbetrieblicher Geschäftspolitik
- Verbesserung - dank umfassender Aufzeichnungen können Prozesse optimiert & die Effektivität überprüft werden
- Vermögenssicherung - Vorhandenes Unternehmensvermögen wird gesichert
Vereinfacht betrachtet wird ein Internes Kontrollsystem somit präventiv eingesetzt und hat eine aufdeckende Funktion, die dem optimalen Ablauf von Unternehmensprozessen dient.
IKS-Prinzipien
Ein Internes Kontrollsystem basiert grundsätzlich auf vier Prinzipien:
- Transparenz – In Bezug auf die Transparenz soll zunächst ein Soll-Konzept für Prozesse entwickelt werden. Damit können Außenstehende beurteilen, ob Verantwortlichkeiten entsprechend dem Soll-Konzept abgearbeitet werden. Damit werden nicht nur die Erwartungen der Organisation festgehalten, sondern es hilft auch bei einem frühzeitigen Erkennen von Abweichungen.
- Vier Augen – Dadurch wird sichergestellt, dass kein Prozess ohne Kontrolle erfolgt.
- Funktionstrennung – Hierbei steht die Trennung von vollziehenden (z. B. Abwicklung von Verkäufen), verbuchenden (z. B. Lagerbuchhaltung) und verwaltenden (z. B. Lagerverwaltung) Tätigkeiten im Mittelpunkt.
- Mindestinformation – Für Mitarbeiter sollen immer nur die Informationen zur Verfügung stehen, die für deren Tätigkeit notwendig sind. Dies erstreckt sich auch auf Sicherungsmaßnahmen im IT-Bereich.
Elemente des Internen Kontrollsystems
Das bekannteste Grundraster für Interne Kontrollsysteme stammt von COSO (Committee of Sponsoring Organisation oft he Treadway Commission). COSO ist ein eine amerikanische Organisation, die sich auf die Verbesserung von Unternehmensstrukturen konzentriert. Das Framework unterstützt bei der Systematisierung und Detaillierung von Internen Kontrollsystemen je Geschäftsbereich. Die Bestandteile werden dabei häufig mithilfe des COSO-Würfels erklärt:
Das Modell zeigt vier verschiedene Kategorien an „Compliance“, „Operative Prozesse“, „Finanzielles Reporting“ und „Geschäftsbereiche“. Diese Kategorien sind wiederum verzahnt mit fünf Komponenten:
- Kontrollumfeld - Diese Kategorie beschäftigt sich mit der Ethik, Philosophie, der Kompetenz und den strukturellen Aspekten des Unternehmens. Es besteht aus unterschiedlichen Standards, die der Durchführung und Kontrolle dienen, und es zählt Mechanismen auf, die der Unternehmensführung die Vergabe von Verantwortlichkeiten erleichtern.
- Risikobeurteilung - Hier wird festgestellt, welche Risiken das Erreichen der Unternehmensziele verhindern können.
- Kontrollmassnahmen – Hier geht es um die bereits erwähnten Soll-Szenarien.
- Information / Reporting – Hierbei geht es um die Verbreitung der notwendigen Informationen sowohl an interne als auch an externe Stakeholder. Die Kommunikation kann mündlich oder schriftlich stattfinden.
- Überwachung & Evaluation – Ein erfolgreiches IKS-System bedarf einer ständigen Überprüfung und Verbesserung.
In diesem Kontext haben wir bei Auditrium unser Dienstleistungsportfolio um CFO-Services erweitert, um Unternehmen bei ihrer stabilen Entwicklung zu unterstützen.
Integration eines Internen Kontrollsystems
Die Vorteile, die ein IKS für ein Unternehmen mit sich bringt, liegen auf der Hand. Die Integration ist aber nicht nur aus unternehmerischer Sicht zu empfehlen, sie ist in der Schweiz seit der Revision (2008 und 2013) auch explizit im Obligationsrecht (OR) vorgeschrieben.
Da das Vorliegen eines IKS von der Revisionsstelle überprüft wird, sind nur Unternehmen mit ordentlicher Revision zur Einführung verpflichtet. Sowohl TreuhandSuisse als auch ExpertSuisse sehen bei einer eingeschränkten Revision keine Prüfung des IKS vor. Da der Verwaltungsrat (VR) bei KMUs für nicht delegierbare Aufgaben wie Rechnungslegung, Finanzkontrolle, Dokumentation etc. verantwortlich ist, liegt es, wenn auch nicht dezidiert so von der OR vorgeschrieben, in seinem Aufgabenbereich eine interne Kontrolle als Teil des Risikomanagements im Unternehmen durchzuführen. Daher wird auch kleineren Unternehmen empfohlen, das Thema Internes Kontrollsystem nicht vollkommen zu vernachlässigen. Der Verwaltungsrat hat jedoch das letzte Wort, wenn entschieden wird, ob ein formelles IKS eingeführt wird.
Grundsätzlich gleicht kein IKS einem anderen. Das Interne Kontrollsystem wird an die Anforderungen des Unternehmens angepasst. Entscheidend für den Erfolg eines IKS sind aber nicht nur die theoretischen Parameter, sondern insbesondere auch die gelebte Unternehmenskultur. Mitarbeiterinnen und Mitarbeiter müssen den Sinn eines IKS verinnerlicht haben, damit das Konzept erfolgreich ist.
Wie viel IKS ist genug?
Der Umfang und Inhalt eines IKS werden nicht vom Gesetzgeber geregelt. Das richtige Maß wird vom Risikoprofil der Branche und der Unternehmensgröße bestimmt. Die Qualität leitet sich wiederum von der Nachvollziehbarkeit (z. B. Dokumentation), Wirksamkeit (z. B. Risikorelevanz) und Effizienz (z. B. IKS wurde in Unternehmensprozesse integriert) ab. Dabei sollen mindestens die folgenden Elemente auf der Unternehmensstufe festgehalten werden:
- Dokumentation der wesentlichen Positionen in der Jahresrechnung & relevante Prozesse, die diese beeinflussen
- Potenzielle Schwachstellen dieser Prozesse & deren Auswirkungen
- Einschlägige Kontrollmaßnahmen zur Vermeidung/ Verringerung der Risiken
- Regelmäßige Überprüfung dieser Punkte
ISMS & IKS
ISMS ist die Abkürzung für ein Informationssicherheits-Managementsystem, dieses bezieht sich auf die Datensicherheit. Der Schutz von Informationen vor unbefugter Nutzung nimmt stets einen hohen Stellenwert im Unternehmen ein. Das ISMS folgt der internationalen Norm ISO 27001 und steuert, kontrolliert und hält die Informationssicherheit dauerhaft aufrecht. Der Unterschied der beiden Systeme liegt somit darin, dass sich ein IKS auf „das große Ganze“ konzentriert, während ein ISMS lediglich die Informationssicherheit im Blick hat.
Schnittstellen der beiden Bereiche gibt es zum Beispiel im Buchhaltungs-, Controlling und Mahnwesen. Unternehmen greifen in diesen Bereichen häufig bereits auf beispielsweise Buchhaltungsprogramme zurück, die die Datenverarbeitung übernehmen. Die Sicherheit in diesem Bereich wird somit sowohl von ISMS als auch von IKS überprüft.
Im Best Case nutzt das Unternehmen das IKS-System für das Qualitäts- und Risikomanagement des gesamten Unternehmens und lässt Ergebnisse aus der ISMS-Überprüfung einfließen. Werden hierbei Schwachstellen aufgedeckt, stellt das IKS-System sicher, dass Verbesserungen initiiert werden.