Internes Kontrollsystem (IKS)

Seit den Revisionen (2008 und 2013) sind internes Kontrollsystem und Risikobericht explizit im Obligationenrecht vorgeschrieben. Die Existenz eines IKS ist durch die Revisionsstelle zu prüfen. Die Empfehlungen des Swiss Code gehen mit der weiter gefassten Definition des IKS noch stärker Richtung umfassendes Risikomanagement.

Definition und Hintergrund

Synonym verwendete Begriffe:
Internes Kontrollsystem, IKS, interne Kontrolle, Internal Control Die betriebswirtschaftlich Definition von IKS als 'Managementinstrument zur zweckmässigen Sicherstellung der Erreichung von Unternehmenszielen in den Bereichen Prozess, Informationen, Vermögensschutz und Compliance' (Treuhandkammer, IKS Positionspapier) orientiert sich stark an der Idee des Risikomanagements. Der Gesetzgeber und die Revisionsstellen im Schweizer Kontext meinen mit IKS jedoch meist eine engere Definition: Das interne Kontrollsystem fokussiert primär auf Schadensbegrenzung bei internen Prozessen mittels Kontrollmassnahmen. Der Swiss Code of Best Practice definiert weder die Begriffe IKS oder Risikomanagement noch deren Umfang. Der Code verlangt jedoch, dass der VR beides in angemessener Komplexität und risikoangepasst einrichtet. Für das Risikomanagement werden finanzielle, operationelle und reputationsmässige Risiken genannt.

IKS für Verwaltungsräte

Begriffsabgrenzung und Ziele des IKS

Zur Begriffsabgrenzung zu Risikomanagement, Finanzkontrolle, Interne Revision siehe die Themenseite Risikomanagement.
Vereinfacht ausgedrückt ist das Ziel (der Schweizerischen Ausprägung) des IKS im Unternehmen die Einerseits kann dies als Zielsetzung zugunsten der Compliance im Unternehmen interpretiert werden. Andererseits dient es grundsätzlich dem Schutz des Geschäftsvermögens und somit den allgemeinen Zielen des Unternehmens.

VR-Aufgaben bezüglich IKS

Auch die Aufgaben bezüglich IKS sind im OR nicht explizit aufgeführt. Es herrscht jedoch ein allgemeiner Konsens, dass der VR verantwortlich ist für die des internen Kontrollsystems. Er soll Inhalt und Umfang in Abhängigkeit von Unternehmensgrösse, Komplexität und Risikoprofil bestimmen. Vielfach werden die vorbereitenden und überwachenden Aufgaben dieses Themas an das Audit Committee delegiert.
Für Finanzdienstleister (Banken, Versicherungen, Effektenhändler) gelten über Bankenverordnung (Art.12), Börsenvorschriften (Art.20 BEHV) und Regelungen für Versicherungen (VAG Art.27 , AVO Art.96) zudem noch besondere Bestimmungen.
Die Revisionsstelle ist gemäss OR 728b verpflichtet, zusammenfassend an der GV zu berichten. Ob dabei die Existenz des IKS in jedem Fall oder nur bei Unzulänglichkeiten erwähnt werden muss, wird von Rechtsgelehrten unterschiedlich beurteilt. Zudem müssen die Revisoren einen umfassenden Bericht zuhanden des Verwaltungsrates erstellen. Darin wird in der Regel auch ausführlicher über Verbesserungsmöglichkeiten bezüglich IKS berichtet.

Notwendigkeit des IKS

Da die Existenz des IKS gemäss OR728 durch die Revisionsstelle geprüft werden muss, wird von den Rechtsgelehrten angenommen, dass nur Unternehmen mit ordentlicher Revision zur Einführung eines IKS verpflichtet sind. Treuhandkammer und Treuhänderverband sehen bei eingeschränkter Revision keine Prüfung der IKS-Existenz vor. Das IKS wird im OR wohl nicht explizit als Aufgabe des Verwaltungsrates genannt. Der VR ist aber aufgrund der nicht delegierbaren gesetzlichen Aufgaben wie Rechnungslegung und Finanzkontrolle, Überwachung, etc. auch bei KMUs verantwortlich für die interne Kontrolle als Teil des Risikomanagements im Unternehmen. Deshalb ist auch der VR in kleineren Unternehmen gut beraten, das Thema IKS nicht ganz zu vernachlässigen. Ob letztlich ein formelles IKS eingeführt wird, entscheidet der Verwaltungsrat. Insbesondere bei kleineren Gesellschaften ohne Revision dürfte dies kaum der Fall sein.

Wieviel IKS ist genug?

Der Gesetzgeber äussert sich nicht zu Inhalt und Umfang des erforderlichen IKS. Es liegt in der Verantwortung des Verwaltungsrates, das richtige Mass zu finden. Massgebende Kriterien sind wohl Risikoprofil, Branche und Grösse der Unternehmung. Die üblichen Qualitätsanforderungen an ein IKS setzen ebenfalls implizit gewisse Massstäbe an die Ausgestaltung:

• Nachvollziehbarkeit (z.B. Dokumentation, klare Regelungen)
• Wirksamkeit (z.B. Identifikation Risiken, Risikorelevanz)
• Effizienz (z.B. MA kennen IKS, IKS ist in Unternehmensprozesse integriert, Kosten-Nutzenverhältnis)

Konkret bedeutet dies, dass ein IKS im Minimum folgende Elemente auf Unternehmensstufe dokumentieren sollte:

Elemente des Internen Kontrollsystems

Elemente des IKS

Der wohl bekannteste und meist verwendete Grundraster für Kontrollsysteme ist derjenige von COSO (Committee of Sponsoring Organisation of the Treadway Commission). Das Framework dient der umfassenden Systematisierung und Detaillierung des IKS pro Geschäftsbereich. Die Bestandteile des internen Kontrollsystems werden meist auch anhand dieses COSO-Würfels erläutert: Die Tätigkeiten ('Kultur schaffen', Risiken beurteilen, Kontrollmassnahmen definieren, 'darüber berichten') sind auf die klassischen drei Zielbereiche ausgerichtet: Einhaltung der Gesetze und Normen, Effektivität und Effizienz der Prozesse, Verlässlichkeit der Finanzberichte). Dies soll für alle Bereiche im Unternehmen sichergestellt werden. Zudem muss das IKS-System selbst regelmässig auf Relevanz und Wirksamkeit überprüft werden.

Tätigkeiten innerhalb der Kontrollsysteme (Frameworks)

Darin werden drei Zielkategorien und fünf Komponenten (s. Abb. oben) anhand von 17 Prinzipien (s.Abb unten) im Sinne von groben Handlungsanweisungen detailliert. Die konkrete Ausgestaltung wird den Unternehmen überlassen. Frameworks wie COSO können ein strukturiertes Vorgehen sowie die Einschätzung des Reifegrades bezüglich IKS unterstützen - dennoch muss die Knochenarbeit in jedem Unternehmen gemacht werden. Andere Vorlagen für IKS-Frameworks sind z.B. CobiT (v.a. im IT-Bereich), Turnbull Report (UK) oder CoCo (Kanada).

Klassische Risiken und Kontrollen im finanziellen Berichtswesen

Anhand einer einfachen Kategorisierung der Risiken und entsprechenden Kontrollaktivitäten kann die Idee des internen Kontrollsystems konkretisiert werden. Diverse Hilfsmittel unterstützen bei der Umsetzung und Verankerung im Unternehmen.

Beurteilung des Reifegrades eines IKS

Zur Beurteilung des Reifegrades des IKS haben Revisionsgesellschaften und Frameworks diverse Skalen entwickelt. Daher stehen auch meist formelle Kriterien im Vordergrund wie Grad der Dokumentierung, Nachvollziehbarkeit, Automatisierung, Integration in Unternehmensprozesse oder Häufigkeit der Aktualisierung.

Werkzeuge IKS

Neben den klassischen Werkzeuges des Risikomanagements wie der Risikoliste, Risikolandkarte oder komplexeren Bewertungsmodellen sind beim IKS häufig detaillierte Prozessbeschriebe (Finanz- und Reportingflüsse) sowie Risiko-Kontrollmatrizen zur Darstellung der Kontrollaktivitäten im Einsatz. Einfache Muster für verschiedene Unternehmensbereiche zeigen z.B. Pfaff/Ruud (Muster Risiko-Kontrollmatrix). Natürlich sind auch die interne und externe Revision selbst wichtige Instrumente des IKS für den Verwaltungsrat.

Markt

Informationen zur IKS-Praxis in der Schweiz gibt es vorallem aus punktuell durchgeführten Umfragen von Beratern und in Hochschulpublikationen. Dabei stehen meist grundsätzliche und organisatorische Elemente im Vordergrund. Die Praxisdetails der Prozess- und Kontrollmassnahmengestaltung sind kaum erhältlich.

Wichtigste Kontrollmassnahmen

Schweizer Unternehmen erachten organisatorische Massnahmen zur Prävention als besonders wirksame Instrumente des IKS.

Art der Kontrollen

IKS-Kontrollen bei mittleren und grossen Schweizer Unternehmen weisen einen relativ geringen Automatisierungsgrad sowie einen eher reaktiven Fokus auf. Dies lässt auf eher hohe (manuelle) Kosten sowie grosses Potential zur Integration des IKS in die unternehmenseigenen Prozesse schliessen.

Diskussions- und Knackpunkte rund ums Thema

• Die Frage um den notwendigen Umfang des IKS im Unternehmen ist ein Dauerbrenner, vom Gesetzgeber bewusst offengelassen, akademisch nicht wirklich beantwortbar.
• Auch die Notwendigkeit der Dokumentation erscheint regelmässig in der Literatur, obwohl gesunder Menschenverstand die Antwort bereithält: Ganz abgesehen vom Verwaltungsrat wird ein vernünftiger Revisor bei einer Unternehmung von gewisser Komplexität sein Testat kaum je auf Hörensagen abstützen.
• Die Antwort auf die Frage nach dem Umfang der IKS-Prüfung im Konzern wird meist in etwa so formuliert: Die Revision muss das konzernrechnungsrelevante IKS prüfen, jedoch nicht dasjenige der Untergesellschaften. Dies schliesst jedoch Prüfungshandlungen bei Tochtergesellschaften mit substantiellen Geschäftstätigkeiten und Risiken nicht aus.
• Die Tendenz zu sehr detaillierter Dokumentation birgt vorallem in grösseren Unternehmen die Gefahr, dass das IKS analog vielen Zertifizierungen zum rasch veralteten Papiertiger von Stabsstellen und zum Effizienzkiller verkommt. Hier können vorallem VR und GL durch eine klare Beurteilung und Priorisierung der Risiken Gegensteuer geben.

Weiterführende Literatur und Links

Der Schweizer Klassiker zum Internen Kontrollsystem (IKS) ist wohl der Leitfaden von Pfaff (2013). Meyer und die Revisionsgesellschaften geben regelmässig kurze Einblicke in die Praxis.