IKS Internes Kontrollsystem

Transkript

1 REDI AG Treuhand Freiestrasse 11 / PF Frauenfeld Tel ww.redi-treu ha nd.ch info@redi-treuhand.ch IKS Internes Kontrollsystem

2 Inhaltsverzeichnis 1. Definition IKS - Internes Kontrollsystem Nutzen für das Unternehmen Bestandteile des IKS Kontrollumfeld Risikobeurteilung Definition von Risiko Risikoermittlung Risikobeurteilung Aufgabe der Revisionsstelle Risikoanalyse und IKS Kontrollaktivitäten IKS-Dokumentation Existenz eines IKS Grenzen des IKS IT - Information Technologie QMS - Qualitätsmanagementsystem Bestimmungen zum IKS Obligationenrecht Schweizer Prüfungsstandards (PS) Quellenverzeichnis Abbildungsverzeichnis Abb. 1 Bestandteile des IKS... 5 Abb. 2 Kontrollumfeld gemäss Schweizer Prüfungsstandard Abb. 3 Kreislauf Risikoermittlung, -beurteilung, Massnahmen, Kontrollen... 9 Vorwort Dieses Dokument fasst die wesentlichen Aspekte eines Internen Kontrollsystems (IKS) zusammen. Die Bestimmungen zum IKS, d. h. die gesetzlichen Bestimmungen, aufgrund derer gewisse Unternehmen verpflichtet sind, ein IKS zu führen, finden sich in Kapitel 9. Für weitergehende Informationen verweisen wir auf die im Quellenverzeichnis genannte Literatur. Seite 2 von 13

3 1. Definition IKS - Internes Kontrollsystem Das IKS verfolgt gemäss Schweizer Prüfungsstandard die Zielsetzung, das Risiko einer wesentlichen Fehlaussage im Jahresabschluss zu vermindern respektive zu eliminieren. Somit liegt eine enge Definition des Begriffes Risiko vor. Die weiter gefasste Definition gemäss Betriebswirtschaftslehre versteht unter Risiko alle Geschäftsrisiken. Häufig sind in einer Organisation zwar (viele) Kontrollen vorhanden, jedoch fehlt die Dokumentation und eine Systematik, und der Aufbau der Dokumentation und der Systematik stellen eine Herausforderung dar. Seite 3 von 13

4 2. Nutzen für das Unternehmen Der Nutzen für das Unternehmen, das über ein IKS verfügt, liegt darin, dass es sich regelmässig mit den vorhandenen und möglichen Risiken auseinandersetzt es Massnahmen definiert und umsetzt um Risiken zu vermindern oder im besten Fall zu eliminieren ein systematischer Austausch über die Vorgänge im Unternehmen zwischen strategischer Ebene und operativen Ebenen stattfindet, und nicht erst oder nur dann, wenn Fehler/Schäden aufgetreten sind Internes Kontroll System Interne versus externe Kontrolle Externe Kontrollen: externe Revisionsstelle AHV-Revision Lebensmittel-Kontrolle Aufsichtsbesuche/Visitationen kantonaler Stellen Brandschutzkontrollen MWST-Kontrolle Wenn diese Instanzen etwas feststellen, ist in der Regel bereits ein Fehler passiert, allenfalls ein Schaden entstanden. Diese Instanzen haben einen engeren Fokus als die strategische und operative Leitung. Niemand kennt ein Unternehmen so gut, wie jene, die darin arbeiten. Interne Kontrollen: Die Kontrollen ergeben sich aus der Risikoanalyse = Gesamtschau des Unternehmens, vorgenommen durch die Know-how-Träger des Unternehmens. Die Periodizität richtet sich nach den mit den Aufgaben verbundenen Risiken. Das Ziel der Kontrollen ist die Vermeidung bzw. Verminderung von Schäden bzw. deren frühzeitige Erkennung. Kontrolle versus Überraschung Damit etwas kontrolliert werden kann, muss man wissen, was wie läuft. Es muss eine konkrete Vorstellung vom Soll bestehen. Kontrollieren ist ein Führungsinstrument. Ob das Feedback an die Mitarbeitenden positiv oder negativ ist: es beruht auf einer Kontrolle. Ohne Kontrolle lassen wir es darauf ankommen. Wir lassen uns überraschen. Es gibt freudige Überraschungen und schockierende. System versus Einzelaktionen Systematische Kontrolle bedeutet, dass wir uns im Voraus überlegen, was wer wie oft kontrollieren soll, wie die Kontrollen dokumentiert werden und was bei abweichenden Kontrollergebnissen vorgenommen werden muss. Wir können Kontrollen auch hie und da vornehmen, wenn gerade Zeit vorhanden ist oder eine Zeit lang im Anschluss an eine Überraschung. Wir können es den Kontrollierenden überlassen, was sie bei abweichenden Kontroll- Seite 4 von 13

5 ergebnissen unternehmen sollen. 3. Bestandteile des IKS Das Interne Kontrollsystem IKS eines Unternehmens wird geprägt durch das Kontrollumfeld und die Risikobeurteilung. Die Kontrolle der Kontrollen stellt sicher, dass die vereinbarten bzw. verfügten Kontrollen auch tatsächlich vorgenommen werden. IKS Kontrolle der Kontrollen Kontrollumfeld Risikobeurteilung Abb. 1 Bestandteile des IKS Seite 5 von 13

6 3.1. Kontrollumfeld Der Schweizer Prüfungsstandard 890 beschreibt den Begriff Kontrollumfeld wie folgt: "Das Kontrollumfeld umfasst Überwachungs- und Leitungsfunktionen der Unternehmensführung sowie deren Einstellung, Bewusstsein und Handlungen im Hinblick auf das IKS und dessen Bedeutung innerhalb des Unternehmens. Das Kontrollumfeld prägt die Grundhaltung einer Organisation, indem es das Kontrollbewusstsein der Mitarbeiter beeinflusst. Es stellt die Grundlage eines wirksamen IKS dar. Das Kontrollumfeld (Abb. 2) eines Unternehmens wird vor allem von den folgenden Elementen geprägt und durch die Art und Weise beeinflusst, wie diese in die Arbeitsabläufe des Unternehmens eingebunden sind: Kommunikation und Durchsetzung von Integrität und ethischen Werten; Kompetenz der Mitarbeitenden; Mitwirkung der mit der Unternehmensleitung betrauten Personen; Führungsgrundsätze und Führungsstil; Organisationsstruktur; Zuordnung von Weisungsbefugnis und Verantwortlichkeiten; Weisungen im Bereich des Personalwesens." Schweizer Prüfungsstandard 890, S. 6 Unternehmensführung bestimmt Kontrollumfeld Mitwirkung der mit der Unternehmensleitung betrauten Personen Führungsgrundsätze und Führungsstil Organisationsstruktur Kommunikation und Durchsetzung von Integrität und ethischen Werten Zuordnung von Weisungsbefugnis und Verantwortlichkeiten Weisungen im Bereich des Personalwesens Kompetenz der Mitarbeitenden Abb. 2 Kontrollumfeld gemäss Schweizer Prüfungsstandard 890 Seite 6 von 13

7 3.2. Risikobeurteilung Definition von Risiko Zum Begriff Risiko bestehen verschiedene Beschreibungen: "Risiko im Sinne dieses Prüfungsstandards ist das Risiko einer wesentlichen falschen Angabe in der Jahresrechnung. Dieses Risiko stellt nur eine Teilmenge der gesamten Geschäftsrisiken dar." Schweizer Prüfungsstandard 890, S. 3 "Risiko gibt es nur, wenn Menschen oder Organisationen aktiv Ziele verfolgen und/oder sich auf interne oder externe Umstände verlassen, die sich überraschend verändern können. Risiko steht für die Möglichkeit, dass Ziele nicht erreicht werden." Brühwiler, 2007, S. 19 "Risiko = Gefahr einer (negativen) Zielabweichung" Brühwiler, 2007, S. 23 "Risiko umfasst sowohl plötzlich eintretende Schadensereignisse, die ungünstige Einwirkung von äusseren Umständen oder sich allmählich einstellende Fehlentwicklungen." Brühwiler, 2007, S Risikoermittlung Bei der Ermittlung der Risiken ist bezüglich IKS zu unterscheiden zwischen den allgemeinen Geschäftsrisiken und den Risiken, die zu einer wesentlichen Fehlaussage in der Jahresrechnung führen können. Es empfiehlt sich jedoch, alle Risiken zu ermitteln. "Solche Risiken können beispielsweise in den Bereichen der Branchenzugehörigkeit, der Grösse des Unternehmens, der technologischen Entwicklungen, der Arbeitsmarktverhältnisse, der Formen der Finanzierung und der Liquiditätslage, der Konkurrenzsituation, des Produktemixes, der internen Organisation, der Eigentümerstruktur, der externen Einflüsse von interessierten Dritten (Stakeholder) oder der Umwelt bestehen. Beispielsweise können Mängel eines Produkts zu einem Bewertungsrisiko bei den Produktevorräten und zu Erlösminderungen führen." Brühwiler, S. 16 f. " Damit beschränkt sich der Geltungsbereich dieser Risikobeurteilung vor allem auf die Risiken der Finanzberichterstattung und auf den versehentlichen oder absichtlichen Missbrauch von Vermögenswerten. Risiken, die aus der Veränderung des Umfelds entstehen, sind nicht geforderter Gegenstand der Risikobeurteilung, weil sie kaum mit der Jahresrechnung im Zusammenhang stehen." Brühwiler, S. 48 f. Seite 7 von 13

8 Risikobeurteilung Die ermittelten Risiken werden bezüglich Schadensausmass, wenn ein Risiko eintritt, und der Eintrittswahrscheinlichkeit beurteilt. Ein günstiges Produkt auf Excel-Basis, in dem viele branchenbezogene Risiken bereits aufgeführt sind, ist RisKu - Riskmanagement für Kleinunternehmen - Dieses Tool berücksichtigt die Geschäftsrisiken, also alle Risiken, nicht nur jene, die gemäss Gesetz identifiziert werden müssen und lässt eigene Ergänzungen zu Aufgabe der Revisionsstelle Die Revisionsstelle ist nach Art. 728 lit a Ziff. 5 des OR beauftragt zu prüfen, ob vom Verwaltungsrat im Berichtsjahr eine Risikobeurteilung vorgenommen wurde. "Die Revisionsstelle stützt sich dabei auf die entsprechenden Aussagen des Verwaltungsrates im Anhang der Jahresrechnung [ ]. Die verlangte Beurteilung durch die Revisionsstelle darf nicht als eine inhaltliche Prüfung verstanden werden; bestätigt wird lediglich, dass eine Risikobeurteilung vorgenommen wurde. Die Verantwortlichkeit für den Inhalt und die Art der Risikobeurteilung liegt beim Verwaltungsrat." Botschaft des Bundesrats (siehe Quellenverzeichnis) "Verwaltungsrat" entspricht "strategischer Ebene". Die Botschaft des Bundesrats hat für Gesellschaften, deren strategisches Organ nicht als Verwaltungsrat bezeichnet wird, analoge Bedeutung Risikoanalyse und IKS Die Risikoanalyse ist die Basis eines IKS. Zuerst werden die Risiken ermittelt. Das IKS entspricht einer Systematik der Massnahmen, die Risiken minimieren oder eliminieren sollen Kontrollaktivitäten Wenn die Massnahmen zur Verminderung oder Eliminierung des Schadenausmasses und der Eintrittswahrscheinlichkeit definiert sind, sind die Ziele der Kontrollen festzulegen. Danach werden die entsprechenden Kontrollen angeordnet. Um sicherzustellen, dass die internen Kontrollen vorgenommen werden, muss das mit geeigneten Massnahmen kontrolliert werden (Abb. 3). "Schlüsselkontrollen sind darauf ausgerichtet, die aus Sicht des Gesamtunternehmens wesentlichen falschen Angaben in der finanziellen Berichterstattung zu verhindern oder aufzudecken. Die Prüfung der Existenz eines IKS nach Art. 728 a Abs. 1 Ziff. 3 OR sieht keine systematische Prüfung aller Kontrollen vor, sondern beschränkt sich auf die periodische Prüfung der Existenz der Schlüsselkontrollen." Schweizer Prüfungsstandard 890, S. 4 Seite 8 von 13

9 Risiken ermitteln Kontrollieren, ob Kontrollen vorgenommen wurden Risiken beurteilen Kontrollen definieren Massnahmen zur Eliminierung/Verminderung definieren Kontrollziele definieren Abb. 3 Kreislauf Risikoermittlung, -beurteilung, Massnahmen, Kontrollen 4. IKS-Dokumentation Alles muss so dokumentiert werden, dass jederzeit nachgewiesen werden kann, welche Kontrollen stattgefunden haben. "Das IKS ist derart zu dokumentieren, dass wesentliche Vorgänge nachvollzogen werden können. Auf Unternehmensebene muss die Dokumentation darlegen: was der Verwaltungsrat mit dem IKS erreichen will; = IKS-Grundsätze wie die Unternehmensleitung das IKS umsetzt; = IKS-Grundsätze wie die Risiken einer wesentlichen falschen Angabe in der Buchführung und Rechnungslegung eingeschätzt werden und = Risikoanalyse wie das IKS solche Risiken verhindern oder vermindern soll." = Massnahmen Schweizer Prüfungsstandard 890, S Existenz eines IKS Damit die Existenz des IKS bejaht werden kann, müssen folgende Voraussetzungen erfüllt sein: IKS muss dokumentiert sein. IKS muss der Geschäftstätigkeit angepasst sein. IKS muss den zuständigen Mitarbeitenden bekannt sein. IKS muss wie vorgesehen angewendet werden. Kontrollbewusstsein muss vorhanden sein. Schweizer Prüfungsstandard 890, S. 10 Seite 9 von 13

10 6. Grenzen des IKS "Das Ziel einer Jahresrechnung, die frei von wesentlichen falschen Angaben ist, wird ungeachtet der Qualität des IKS eines Unternehmens nicht mit absoluter, sondern bloss mit angemessener Sicherheit ermöglicht. Die jedem IKS immanenten Grenzen sind beispielsweise: das menschliche Urteil, welches bei Ermessensentscheidungen fehlerhaft ausfallen kann; Störungen, die im IKS infolge menschlicher Schwächen auftreten können, z.b. Flüchtigkeitsfehler oder Irrtümer; bewusste Verletzungen der Regeln des IKS durch Mitarbeiter aller Stufen. Solche Verstösse können auf der ausführenden Ebene selbst oder aber auf einer vorgesetzten Ebene auftreten. In kleineren Unternehmen lassen sich wegen begrenzter personeller Ressourcen gewisse Elemente des IKS häufig nicht oder nur unvollkommen einrichten (z. B. organisatorische Massnahmen wie etwa die Funktionentrennung). Anderseits besteht in solchen Fällen die Möglichkeit, dass der Unternehmer oder Geschäftsführer mit seinen umfassenden Kenntnissen allfälligen Kontrolldefiziten mit anderen Kontrollmassnahmen entgegen wirkt und damit ein der Grösse, Komplexität und dem Risikoprofil des Unternehmens entsprechendes IKS aufbaut." Schweizer Prüfungsstandard 890, S. 8 Unter Berücksichtigung der Tatsache, dass die Grossunternehmen, die in den vergangenen Jahre Konkurs gegangen sind oder nur mit Hilfe von staatlicher Unterstützung vor dem Untergang gerettet werden konnten, über ein anerkanntes Risikomanagement-System verfügten, stellt sich die Frage, was die Bestimmungen bringen. Brühwiler Bruno: "Sicher wurden die Risiken von den verantwortlichen Managern nicht wirklich analysiert und vor allem nicht verstanden." 7. IT - Information Technologie "Generelle Informatik (IT)-Kontrollen bilden die Grundlage für ordnungsgemäss funktionierende automatisierte IT-Anwendungskontrollen. Generelle IT-Kontrollen adressieren beispielsweise Risiken in den Bereichen Zugriffsrechte, Datenqualität, Datensicherheit oder System-Änderungen (Hardware und Software) und -unterhalt." Schweizer Prüfungsstandard 890, S. 3 "Kontrollen im Informatikbereich sind umso wichtiger, je stärker der Rechnungslegungs- und Berichterstattungsprozess von IT-Systemen abhängig ist und je höher das Risiko ist, dass Fehler ihre Ursache im Aufbau von und Umgang mit IT-Systemen haben könnten." Schweizer Prüfungsstandard 890, S. 11 Seite 10 von 13

11 8. QMS - Qualitätsmanagementsystem Ein QMS ist mit Bezug auf ein IKS kein "Musskriterium" unterstützt jedoch die Einführung eines IKS. Wir empfehlen, das IKS in die bestehenden Abläufe/Prozesse zu integrieren. 9. Bestimmungen zum IKS 9.1. Obligationenrecht Die Bestimmungen, die das IKS betreffen, sind gelb hervorgehoben. Art. 728a 1 Die Revisionsstelle prüft, ob: 1. die Jahresrechnung und gegebenenfalls die Konzernrechnung den gesetzlichen Vorschriften, den Statuten und dem gewählten Regelwerk entsprechen; 2. der Antrag des Verwaltungsrats an die Generalversammlung über die Verwendung des Bilanzgewinnes den gesetzlichen Vorschriften und den Statuten entspricht; 3. ein internes Kontrollsystem existiert. 2 Die Revisionsstelle berücksichtigt bei der Durchführung und bei der Festlegung des Umfangs der Prüfung das interne Kontrollsystem. 3 Die Geschäftsführung des Verwaltungsrats ist nicht Gegenstand der Prüfung durch die Revisionsstelle. Art. 728b 1 Die Revisionsstelle erstattet dem Verwaltungsrat einen umfassenden Bericht mit Feststellungen über die Rechnungslegung, das interne Kontrollsystem sowie die Durchführung und das Ergebnis der Revision. 2 Die Revisionsstelle erstattet der Generalversammlung schriftlich einen zusammenfassenden Bericht über das Ergebnis der Revision. Dieser Bericht enthält: 1. eine Stellungnahme zum Ergebnis der Prüfung; 2. Angaben zur Unabhängigkeit; 3. Angaben zu der Person, welche die Revision geleitet hat, und zu deren fachlicher Befähigung; 4. eine Empfehlung, ob die Jahresrechnung und die Konzernrechnung mit oder ohne Einschränkung zu genehmigen oder zurückzuweisen ist. 3 Beide Berichte müssen von der Person unterzeichnet werden, die die Revision geleitet hat. Art. 716a1 2. Unübertragbare Aufgaben 1 Der Verwaltungsrat hat folgende unübertragbare und unentziehbare Aufgaben: 1. die Oberleitung der Gesellschaft und die Erteilung der nötigen Weisungen; 2. die Festlegung der Organisation; 3. die Ausgestaltung des Rechnungswesens, der Finanzkontrolle sowie der Finanzplanung, sofern diese für die Führung der Gesellschaft notwendig ist; Seite 11 von 13

12 4. die Ernennung und Abberufung der mit der Geschäftsführung und der Vertretung betrauten Personen; 5. die Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen; 6. die Erstellung des Geschäftsberichtes sowie die Vorbereitung der Generalversammlung und die Ausführung ihrer Beschlüsse; 7. die Benachrichtigung des Richters im Falle der Überschuldung. 2 Der Verwaltungsrat kann die Vorbereitung und die Ausführung seiner Beschlüsse oder die Überwachung von Geschäften Ausschüssen oder einzelnen Mitgliedern zuweisen. Er hat für eine angemessene Berichterstattung an seine Mitglieder zu sorgen. Art. 662a1 2. Ordnungsmässige Rechnungslegung 1 Die Jahresrechnung wird nach den Grundsätzen der ordnungsmässigen Rechnungslegung so aufgestellt, dass die Vermögens- und Ertragslage der Gesellschaft möglichst zuverlässig beurteilt werden kann. Sie enthält auch die Vorjahreszahlen. 2 Die ordnungsmässige Rechnungslegung erfolgt insbesondere nach den Grundsätzen der: 1. Vollständigkeit der Jahresrechnung; 2. Klarheit und Wesentlichkeit der Angaben; 3. Vorsicht; 4. Fortführung der Unternehmenstätigkeit; 5. Stetigkeit in Darstellung und Bewertung; 6. Unzulässigkeit der Verrechnung von Aktiven und Passiven sowie von Aufwand und Ertrag. 3 Abweichungen vom Grundsatz der Unternehmensfortführung, von der Stetigkeit der Darstellung und Bewertung und vom Verrechnungsverbot sind in begründeten Fällen zulässig. Sie sind im Anhang darzulegen. 4 Im Übrigen gelten die Bestimmungen über die kaufmännische Buchführung. Aus der Verpflichtung des Verwaltungsrats, das Rechnungswesen so zu gestalten, dass die Grundsätze der ordnungsmässigen Buchführung und Rechnungslegung eingehalten werden (Art. 716a Abs. 1 Ziff. 3 i.v.m. Art. 662a sowie Art. 957 ff. OR), ergibt sich die Verantwortlichkeit des Verwaltungsrats für die Ausgestaltung, Implementierung und Aufrechterhaltung eines geeigneten und angemessenen IKS. Schweizer Prüfungsstandard 890, S Schweizer Prüfungsstandards (PS) Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems (PS 890) der Treuhand-Kammer. "Der Abschlussprüfer prüft die Existenz sowohl der Kontrollen auf Unternehmensebene als auch der Kontrollen auf Prozessebene und die generellen IT Kontrollen." Schweizer Prüfungsstandard 890, S. 11 Seite 12 von 13

13 10. Quellenverzeichnis BOTSCHAFT DES BUNDESRATS ZUR ERNEUERUNG DES AKTIENRECHTS VOM : Entnommen aus Brühwiler Bruno: Risikomanagement als Führungsaufgabe. BRÜHWILER BRUNO (2007): Risikomanagement als Führungsaufgabe. Bern: Haupt Verlag. BRÜHWILER BRUNO (2009): Risikomanagement nach ISO und ONR 49000, Austrian Standards plus GmbH. Wien. FRAUCHIGER-SCHLUG SANDRA (2009) Internes Kontrollsystem in Non-Profit-Organisationen, Seminardokumentation, ZHAW School of Management and Law, Winterthur. KPMG (2009): IKS Update, August 2009 KPMG Newsletter. KPMG (2007): Methodik zur Durchführung eines IKS Projekts. MEYER BEATRICE (2009): Internes Kontrollsystem in Non-Profit-Organisationen, Seminardokumentation, ZHAW School of Management and Law, Winterthur. PFAFF, DIETER; FLEMMING, RUUD (2008): Schweizer Leitfaden zum Internen Kontrollsystem (IKS), Zürich: Orell Füssli. REDI AG: interne Dokumente SUTTER, EMILIO; HUNZIKER, STEFAN; GRAB, HERMANN (2011): IKS-Leitfaden. Internes Kontrollsystem für staatlich finanzierte NPOs. 1. Auflage. Bern: Haupt Verlag. TREUHAND-KAMMER (2007): Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems (PS 890), Treuhand-Kammer, Seite 13 von 13