Geprüfte Sicherheit

Das gesetzliche IKS (Art. 728a Abs. 1 Ziff. 3 OR) vereint alle internen Kontrollmassnahmen, welche die Finanzprozesse innerhalb einer Organisation überwachen und steuern. Ziel ist es, Fehler und Risiken bei der täglichen Arbeit zu identifizieren und zu minimieren. Dies trägt zum Schutz des Organisationsvermögens und zu einer verlässlichen Finanzberichterstattung bei. Wichtig ist, das IKS nicht als losgelöste Kontrollaufgabe, sondern vielmehr als integrales Steuerungsinstrument zu nutzen.

Prozesse bewusst steuern
In einem ersten Schritt werden die Geschäftstätigkeit und die wesentlichen Prozesse in einer Organisation identifiziert. Anschliessend wird beurteilt, ob ein direkter oder indirekter Einfluss auf den Geschäftsabschluss besteht. Schliesslich erfolgt die Bewertung, ob dieser Einfluss wesentlich für das Unternehmen ist und in die IKS-Betrachtung miteinbezogen wird. Basierend auf dieser Beurteilung ergeben sich die wichtigsten Prozesse, die für das gesetzliche IKS zu berücksichtigen sind. Diese werden dokumentiert und auf finanzielle Risiken und vorhandene Kontrollmassnahmen hin überprüft.

IKS hat nicht primär zum Ziel, möglichst viele Kontrollfunktionen in einem Prozess zu definieren und umzusetzen, sondern soll die relevanten unternehmensinternen Prozesse bewusst und systematisch steuern und durch sogenannte Schlüsselkontrollen sicherer gestalten. Diese sollen definiert und im Unternehmen umgesetzt werden. Wichtig für die Existenz des IKS ist, dass

• ein IKS vorhanden und überprüfbar ist;
• das IKS den Geschäftsrisiken und dem Umfang der Geschäftstätigkeit angepasst ist;
• die Mitarbeitenden die Aufgaben im IKS-Prozess kennen und verstehen;
• die Kontrollen nachvollziehbar sind;
• die Verantwortlichen innerhalb des Unternehmens klar bestimmt sind;
• das Kontrollbewusstsein im Unternehmen vorhanden ist.

Das Gesetz schreibt für Publikumsgesellschaften und andere wirtschaftlich bedeutende Unternehmen vor, ein IKS zu betreiben. Die Bestimmungen zum IKS gelten ungeachtet der Rechtsform einer zu prüfenden Einheit, wenn zwei der drei folgenden Kriterien in zwei aufeinander folgenden Geschäftsjahren überschritten werden (Art. 727 Abs. 1 OR):

• Umsatz > CHF 40 Mio.
• Bilanzsumme > CHF 20 Mio.
• Vollzeitstellen > 250 im Jahresdurchschnitt

Bei der ordentlichen Jahresprüfung muss der Revisor die Existenz des IKS bestätigen.

Das geeignete System
Für grosse, multinational tätige Unternehmen bieten sich bestehende, international anerkannte Rahmenwerke wie das sogenannte COSO-Framework an. Die darin beschriebenen Komponenten und Empfehlungen stellen ein gesamtheitliches System von IKSMassnahmen dar. COSO ist heute vor allem in den USA verbreitet und dort für börsenkotierte Unternehmen Pflicht. Der Schweizer Gesetzgeber schreibt kein bestimmtes System vor. Es gilt der Grundsatz, das IKS den jeweiligen Gegebenheiten des Unternehmens anzupassen. Dabei ist dieses in der Ausgestaltung grundsätzlich frei. Als Minimalanforderung müssen jene Prozesse beleuchtet werden, die in die finanzielle Berichterstattung münden

Mittelgrosse Unternehmen (MU) stehen oft vor einer besonderen Herausforderung. Überdimensionierte Systeme entsprechen nicht ihren Bedürfnissen. Speziell zugeschnittene IKS-Modelle bieten den Verhältnissen angepasste Lösungen. Aufbau, Dokumentation und Pflege von System und Kontrollmechanismen sind dabei möglichst einfach auszugestalten. Neben der Erfüllung der gesetzlichen Pflicht sollen auch diese Modelle für effizientere und sicherere Finanzprozesse sorgen, die helfen, Fehler im Geschäftsabschluss zu vermeiden.

Prüfung des Kontrollsystems
Die Prüfung des IKS durch die Revisionsgesellschaft erstreckt sich auf die Unternehmens-, Prozessund IT-Ebene sowie auf die Jahresabschlusserstellung und die Berichterstattung. Aus der Analyse der Risikobeurteilung, des Kontrollumfeldes und der allgemeinen Hilfsmittel leitet der Verwaltungsrat oder das führende Gremium das IKS-Grundsatzkonzept ab. Dabei muss das Rad nicht neu erfunden werden. Vielmehr werden die bereits bestehenden Dokumente, Weisungen und Richtlinien aufgenommen. Dazu gehören Unterschriftenund Kompetenzenregelungen, Stellenbeschriebe, Leitbilder usw. Auch Prozesse mit wesentlichem Einfluss auf die Jahresrechnung werden im Grundsatzkonzept erläutert und die Vorgehensweise und Verantwortlichkeiten des IKS werden festgehalten. Die Revisionsstelle prüft dieses Dokument.

Prozesse unter der Lupe
Die Prüfung auf Prozessebene setzt gute Kenntnisse der Geschäftsabläufe und betriebswirtschaftliches Know-how voraus. Dabei werden die definierten Hauptprozesse, deren Dokumentation und die Schlüsselkontrollen geprüft. Diese Prüfung kann durch Befragung, Beobachtung, Überprüfung oder mittels sogenannter Wurzelstichprobe erfolgen, bei welcher die Ablaufdokumentationen und Schlüsselkontrollen beurteilt werden. Die enge Zusammenarbeit zwischen Prüfer und Kunden bringt hierbei grossen Mehrwert. Erfahrene Revisoren hinterfragen die Betriebsprozesse kritisch und können für Verbesserungsvorschläge zu Rate gezogen werden.

Auch IT-gestützte Geschäftsprozesse sind Teil der IKS-Prüfung. Bei grösseren Unternehmen ist eine IT-Revision angezeigt, bei welcher Spezialisten die EDV-gestützten Abläufe im Detail überprüfen. Inhalt der IT-Prüfung ist die gesamte Infrastruktur, Schnittstellen, die verwendeten Programme und Informationen über manuelle und automatisierte Abläufe. Organisatorische Massnahmen wie Zugriffsberechtigungen und Datenschutzfunktionen sind ebenso im Fokus der Prüfung wie das IT-Sicherheitskonzept.

Jahresrechnung und Berichterstattung Die Erstellung der Jahresrechnung birgt in ihrer Komplexität Fehlerpotenzial. Deshalb müssen die einzelnen Schritte der Abschlusserstellung dokumentiert werden. Die Aufbereitung und die Qualität des Zahlenmaterials sind zentral. Gerade in Konzernverhältnissen ist sicherzustellen, dass die jeweiligen Tochtergesellschaften prüfungsbelastbare Abschlüsse liefern. Insbesondere bei jenen Positionen der Jahresrechnung, welchen ein erheblicher Ermessensentscheid zugrunde liegt, sind die übergeordneten Kontrollen essenziell.

Die Berichterstattung an den Verwaltungsrat erfolgt durch die für das IKS verantwortliche Person. Aber auch die Revisionsstelle ist dazu verpflichtet, dem führenden Gremium einen umfassenden Bericht über die gemachten Feststellungen abzugeben und Anpassungen vorzuschlagen.

Die Wirksamkeit des IKS muss nicht geprüft werden
Im Gegensatz zu ausländischen Auflagen muss das IKS in der Schweiz nicht auf seine Wirksamkeit oder Funktionalität überprüft werden. Dies ist der Kompromiss, den der Schweizer Gesetzgeber eingegangen ist. Eine Wirksamkeitsprüfung hätte weitreichendere Konsequenzen, sowohl für das Unternehmen als auch für den Prüfer. Das Unternehmen müsste die Wirksamkeit des IKS nachweisen können, was mit einem gewissen Aufwand verbunden ist. Der Revisionsstelle würde dies allerdings erlauben, sich mittels Funktionsprüfungen vermehrt auf die Systeme verlassen zu können. Detailprüfungen in der Jahresrechnung könnten in der Folge reduziert werden. Gerade bei Unternehmen mit hohem Buchungsvolumen ist diese Vorgehensweise effizienter und effektiver. Eine Wirksamkeitsprüfung gibt dem Führungsorgan auch die Gewissheit, dass wichtige Prozesse im Unternehmen sicher ablaufen und somit Vermögen schützt.