SGVW-Jahrestagung vom 20. Juni im Kursaal in Bern. Referat: Bausteine einer wirkungsvollen Internen Kontrolle

Transkript

1 SGVW-Jahrestagung vom 20. Juni im Kursaal in Bern Referat: Bausteine einer wirkungsvollen Internen Kontrolle Referent: Hans-Ulrich Pfyffer, KPMG AG, Partner 1. Einleitung Lassen Sie mich mit einem Vergleich mit der Technik starten: Schnelle Autos brauchen starke Bremsen! Dies ist offensichtlich bei einem sehr schnellen Auto - wie einem Ferrari - der Fall. Der kann nicht nur schnell fahren, sondern ist auch in der Lage auf kurze Distanz zu bremsen. Bei dynamischen Organisationen ist es ähnlich. Die Prozesse laufen immer schneller ab, die Komplexität nimmt zu. Umso wichtiger ist es, über gute interne Kontrollen zu verfügen. Diese Anforderung trifft sowohl auf Organisationen im privatwirtschaftlichen Bereich wie auch auf Körperschaften und Organisationen im öffentlichen Sektor zu. 2. Interne Kontrolle im Aufwind a. Erwartungen der Bilanzleser Das Thema Interne Kontrolle wird zur Zeit intensiv diskutiert. Aufgrund folgenschwerer Unternehmenskrisen und Zusammenbrüche wurde deutlich, dass dringender Handlungsbedarf seitens der Unternehmen besteht. Mit der Einführung des Sarbanes Oxley Act hat die USA eine Vorreiterolle übernommen. Dieses amerikanische Gesetz fokussiert auf die Dokumentation und Ueberprüfung der internen Kontrolle. Die regulatorische Entwicklung führt weltweit zu einem erhöhten Stellenwert der internen Kontrolle. Die amerikanische Entwicklung wurde auch in Europa aufgenommen. Die EU- Richtlinien geben vor, dass die Mitgliedsländer nationale Bestimmungen zu interner Kontrolle ausarbeiten müssen. In der Schweiz führt die aktuelle Revision des Obligationenrechts ab 2008 zu einem grösseren Stellenwert des Internen Kontrollsystems (IKS) in mittleren und grossen Unternehmen. Gemäss neuem Artikel 728a OR wird zukünftig die externe Revisionsstelle die Existenz eines IKS zu bestätigen haben. Auch werden künftig die Gesellschaften im Anhang zur Jahresrechnung beschreiben müssen, wie sie ihre Risikobeurteilungen durchführen. Die Vorgaben zur internen Kontrolle gelten nicht nur für die börsenkotierten Gesellschaften, sondern für alle Unternehmen in der Schweiz, die der ordentlichen Revisionspflicht unterliegen. Bis dato besteht jedoch eine gewisse Unsicherheit darüber, wie eine effektive interne Kontrolle zu gestalten ist. Auch im öffentlichen Sektor ist das Thema Interne Kontrolle seit längerem präsent. Bereits 1992 hat die Internationale Organisation der Obersten Rechnungskontrollbehörden (Intosai) Richtlinien für die internen Kontrollnormen erlassen.

2 b. Grundlagen Die Thematik Interne Kontrolle hat sowohl in der Privatwirtschaft als auch im öffentlichen Sektor die gleichen Wurzeln. Zudem ist in beiden Bereichen das Framework des Committee of Sponsoring Organizations of the Treadway Commission (COSO) ein Thema. Wie in der Privatwirtschaft wird auch im öffentlichen Bereich auf einschlägige Standards/Vorgaben wie Prüfungsstandards der Treuhandkammer und Handbuch der Wirtschaftsprüfung verwiesen. Trotzdem lassen sich einige wenige Unterschiede nachweisen. Die Vorgabe wie ein IKS aussehen sollte, ist im öffentlichen Sektor auf Stufe Bund durch das Finanzhaushaltsgesetz (FHG) - respektive die Verordnung dazu vorgegeben. Konkret hält das totalrevidierte FHG vom 7. Oktober 2005 in Art. 39 explizit fest, dass innerhalb der Bundesverwaltung ein IKS aufgebaut, genutzt und überwacht wird. Als unterstützendes Merkmal gibt es einen IKS-Leitfaden, der von der Eidgenössischen Finanzkontrolle herausgegeben wird. Die Eidgenössische Finanzverwaltung ist nun daran, sämtlichen Verwaltungseinheiten ein Hilfsmittel in Form eines Leitfadens (inkl. Kontrollfragen) zur Verfügung zu stellen, welcher sie befähigt, die bestehenden IKS-Aktivitäten systematisch zu strukturieren sowie Lücken im bestehenden System zu erkennen und diese zu erschliessen. Im Rahmen der Prüfung wird das IKS von der Prüfinstanz (im Falle des Bundes von der Eidgenössischen Finanzkontrolle (EFK)) berücksichtigt. Wenn das IKS nicht genügt, erfolgt ein Vermerk ( Negativbestätigung ). Es erfolgt jedoch keine positive Bestätigung der Existenz eines IKS, wie es nun gemäss revidiertem Obligationenrecht in der Privatindustrie notwendig ist. Im Vergleich dazu war die Sicherstellung der internen Kontrolle bisher im Obligationenrecht unter Artikel 716 a/i OR durch den Verwaltungsrat vorgeschrieben. Neu wird nun gemäss Art. 728a die Revisionsstelle verpflichtet, die Existenz eines IKS zu prüfen. Jedoch wird seitens des Gesetzgebers nicht konkret vorgeschrieben, wie ein solches IKS auszusehen hat. Es gibt keine Sollvorgabe, sondern der Gesetzgeber überlässt die Definition der Wirtschaft. Zurzeit erstellt die Treuhandkammer einen Prüfungsstandard, der den Revisoren aufzeigen wird, wie ein IKS zu prüfen ist. c. Vergleich öffentlicher Sektor/Privatwirtschaft Meine Erfahrung aus der Begleitung von Projekten in der Privatwirtschaft als auch im öffentlichen Sektor zeigt, das sich die Struktur des IKS nicht unterscheidet. Beide Strukturen basieren letztendlich auf dem COSO-Modell, das im öffentlichen Sektor durch Intosai auf die spezifischen Bedürfnisse angepasst worden ist. Ebenfalls keine oder nur wenige Unterschiede sind in der Methodik zur Einführung feststellbar. Die Vorgehensweise ist praktisch identisch. Ein wichtiges Element eines IKS ist dessen Ueberwachung. Da gibt es Unterschiede: In der Privatwirtschaft ist eine klare Trennung zwischen externer Revisionsstelle und interner Revision ersichtlich. Im öffentlichen Sektor übernehmen vielfach die Finanzkontrollen (resp. Inspektorate) sowohl die Rolle der externen Revision (d.h. Prüfung der Staatsrechnung) als auch der Internen Revision (d.h. Prüfung von Organisation, Prozessen und Systemen hinsichtlich Compliance und Effizienz)

3 Auch im Projektmanagement zeigen sich Unterschiede. In der Privatwirtschaft herrscht ein Top-down Ansatz vor. Wenn seitens des Verwaltungsrates und der Geschäftsleitung der Entscheid getroffen wurde, wird das IKS von oben nach unten eingeführt. Bei fehlender Akzeptanz wird es gegebenenfalls auch durchgesetzt. Im öffentlichen Sektor ist doch häufig ein dezentraler Ansatz festzustellen. Einzelne Departemente starten Aktivitäten, in einer späteren Phase stossen dann möglicherweise weitere Verwaltungseinheiten dazu. d. Entwicklungsstufen der Internen Kontrolle Eine Studie der KPMG in Zusammenarbeit mit der Universität Zürich aus dem Jahre 2005 zeigt klar auf, dass sich die meisten Schweizer Unternehmen noch im Stadium Informell befinden. Die Kontrollen sind historisch gewachsen und werden unkoordiniert durchgeführt. Kontrollen werden eher auf zufälliger Basis betrieben und sind selten dokumentiert. Der Schweizerische Gesetzgeber und die meisten Organisationen haben die Absicht, eine verstärkte Standardisierung zu erreichen. Dabei sollten Kontrollen definiert und dokumentiert werden. Ebenfalls wichtig ist es, dass die Kontrollkultur auch gelebt wird. Um den Aufwand unter Kontrolle zu halten, empfiehlt sich ein risikoorientierter Ansatz. Die Anwendung eines Kontroll-Frameworks (z.b. COSO) ist empfehlenswert. Unternehmen die global tätig sind, werden sich möglicherweise auf den amerikanischen Ansatz gemäss Sarbanes-Oxley ausrichten. Dies geht sehr weit und umfasst auch umfassende Testprozedere. 3. Bauelemente der Internen Kontrolle a. COSO s integriertes Internes Kontrollsystem COSO, welches in den USA, und vermehrt auch weltweit, eine breite Unterstützung verschiedener Berufsorganisationen geniesst, hat die verschiedenen Konzepte und Definitionen von Interner Kontrolle in ein Grundlagenkonzept integriert, in das sogenannte COSO-Framework. COSO definiert Interne Kontrolle als Prozess, der beeinflusst wird durch Mitarbeiter und der konzipiert ist, eine zweckmässige Sicherheit in Bezug auf die Erreichung der drei folgenden Kernziele zu bieten, nämlich: - Zuverlässigkeit und Integrität der finanziellen Berichterstattung (Intosai: Rechenschaftspflicht) - Effizienz und Effektivität der Tätigkeiten (Intosai: Arbeits- und Betriebsabläufe) - Einhaltung der anwendbaren Normen (Intosai: Einhaltung von Gesetzen) - (Intosai: Sicherung der Ressourcen) b. Kontrollumfeld Hauptmerkmale des Kontrollumfelds sind: Integrität und ethische Werte, Bedeutung der Führungsspitze, Philosopie und Arbeitsweise der Führung, Organisationsstruktur, Bekenntnis zur Kompetenz im Bereich finanzieller Berichterstattung, Befugnisse und Verantwortlichkeiten sowie das Personalwesen.

4 c. Risikobeurteilung Das IKS soll sicherstellen, dass alle Risiken, welche die Erreichung der Geschäftsziele substantiell beeinflussen könnten, zeitgerecht und kontinuierlich erkannt sowie evaluiert werden. d. Kontrollmassnahmen Unter Steuerungs- und Kontrollaktivitäten werden diejenigen Regelungen und Prozesse zusammengefasst, welche sicherstellen sollen, dass die von der Geschäftsleitung geforderten Massnahmen zur Risikoerkennung und beherrschung ergriffen werden. Die Kontrollaktivitäten bilden einen integralen Bestandteil der Arbeitsprozesse. Es ist zu unterscheiden zwischen Ablaufkontrollen (präventive Kontrolle) sowie Ergebniskontrollen (detektive Kontrollen). Methodisch kann von verschiedenen Kontrolltypen Gebrauch gemacht werden. e. Information und Kommunikation Wie in sämtlichen anderen Organisationsprozessen, kommt auch im Bereich der Steuerung und Kontrolle der Information und Kommunikation ein besonderer Stellenwert zu. Relevante Informationen sind zu identifizieren, aufzuarbeiten und bezüglich Form und Zeithorizont so zu kommunizieren, dass die zuständigen Personen ihren Verwantwortungen nachkommen können. f. Ueberwachung Die diesbezüglichen COSO-Hauptmerkmale sind: Permanente Ueberwachung, Spezialprüfung sowie Berichterstattung über identifizierte Kontrollschwachstellen inkl. Eliminierung der Schwachstellen. 4. Zusammenwirken von IKS und Risikomanagement Es wäre natürlich ideal, die Subsysteme IKS und Risikomanagement miteinander zu verbinden. Das ist theoretisch möglich, in der Praxis führt dies oft zu einer Ueberkomplexität. Auch sind die Ziele nicht die gleichen: Im Allgemeinen wird die Risikoanalyse als ein Teilaspekt eines umfassenden Risikomanagements und damit als ein Teil der strategischen Führung eines Unternehmens verstanden. Ein umfassendes Risikomanagement überwacht und steuert sämtliche Unternehmensrisiken, wie beispielsweise die strategischen, operativen, finanziellen und rechtlichen Risiken. Der Risikomanagement-Prozess beinhaltet typischerweise die Identifikation der Risiken, eine Analyse der Risiken hinsichtlich der Höhe deren Auswirkungen sowie der Eintretenswahrscheinlichkeiten inklusive einer Gesamtdarstellung der Risiken ( Risiko- Landkarte ), einen laufenden Ueberwachungs- und Rapportierungsprozess sowie die Kontrolle und Steuerung der Risiken mittels operativer Massnahmen. Im letzten ergibt sich die Schnittstelle zum IKS.

5 Empfehlenswert ist eine enge Abstimmung zwischen diesen Systemen. Die Erkenntnisse aus dem Risikomanagement sollten auf jeden Fall in das IKS einfliessen. Eine vollständige Integration ist aufgrund unserer Erfahrung nicht empfehlenswert. 5. Aufbauphasen des IKS a. KPMG Methodologie Internes Kontrollsystem Das IKS ist ein ständiges System, das auf die individuellen Bedürfnisse und Risiken der jeweiligen Organisation ausgerichtet ist. Deshalb gibt es keinen einheitlichen inhaltlichen Standard, der über jede Organisation gestülpt werden kann. Das Vorgehen in einem IKS-Projekt besteht in der Regel aus acht Schritten. In jedem dieser Schritte sind Kontrollen auf drei unterschiedlichen Ebenen inkl. deren Zusammenspiel zu berücksichtigen: - Kontrollen auf Einheits-/Organisationsebene, so genannte übergreifende Kontrollen (z.b. Unterschriftenregelung) - Kontrollen auf Prozessebene (z.b. Vier-Augen-Prinzip oder Abstimmung Hauptbuch Nebenbuch) - Generelle IT-Kontrollen (z.b. Zugriffsberechtigungen auf Systeme) Die acht Schritte sind in eine kontinuierliche Projektleitung, -überwachung und - steuerung eingebettet. Dies beinhaltet in der Regel auch eine Abstimmung mit der Finanzkontrolle oder der Revisionsstelle um frühzeitig sicherzustellen, dass keine Erwartungslücke entsteht. In der Folge werden die einzelnen Schritte beschrieben. b. Ist-Analyse Jedes Unternehmen oder Organisation besitzt interne Kontrollen. Die Frage ist jedoch, wie weit das IKS entwickelt und wie nachhaltig es ist. Deshalb ist eine Ist- Analyse der vorhandenen Informationen, Dokumentationen und Evaluationsinstrumente durchzuführen. Es kann sich beispielsweise um Managementinformations-Systeme, ein Risikomanagement, ein Organisationsoder Managementhandbuch, Qualitätsmanagement, Prozess- oder Kontrollbeschreibungen handeln. c. Bestimmung Methodik Basierend auf den Erkenntnissen der Ist-Analyse ist die Methodik für die nächsten fünf Schritte festzulegen: Auswahlverfahren, Risiko-/Kontrollmatrix, Kontrollbeschreibung, Beurteilung Existenz und Behebung Schwachstellen. Ein zentraler Aspekt ist die Definition, welche Kontrollen im Projekt abgedeckt werden sollen nur jene über die Buchführung und Rechnungslegung oder auch Wirtschaftlichkeits- und Compliance-Kontrollen. Die Erfahrung hat gezeigt, dass der Umfang bei der Einführung nicht zu weit gesteckt werden soll, da die Projekte komplexer und zeitintensiver werden und man sich im Detail verlieren kann. Ein weiterer Aspekt ist die Konsistenz und Qualität der Dokumentation. In der

6 Regel ist es sinnvoll, wenn jede Einheit einer Körperschaft oder jede Abteilung einer Unternehmung dieselben Vorlagen und die gleiche Terminologie benutzt. Es ist auch zweckmässig, die Rollen und Verantwortlichkeiten der einzelnen Funktionen bezogen auf das IKS zu definieren und zu kommunizieren. Es handelt sich beispielsweise um Funktionen wie Departementsleitung/Geschäftsleitung, Enterprise Risk Management, Controlling oder Finanzinspektorat. d. Auswahlverfahren (auch Scoping genannt) Das Ziel des Auswahlverfahrens ist die Identifikation der wesentlichen Prozesse mittels risikoorientierten top-down Vorgehens. Risikoorientiert heisst, dass grundsätzlich jene Prozesse berücksichtigt werden, in welchen das Risiko einer wesentlichen Fehlaussage in der Buchführung und Rechnungslegung hoch ist. Die Erfahrung zeigt, dass Non-Routine Prozesse und Schätzungen tendenziell höhere Risiken enthalten. Top-down heisst, dass in Bezug auf die wesentlichen Prozesse zuerst identifiziert wird, welche übergreifenden Kontrollen bestehen, um das Risiko einer Fehlaussage zu vermindern. Falls keine übergreifenden Kontrollen vorhanden sind oder sie nicht alle Risiken abdecken, werden die ergänzenden Kontrollen auf Prozessebene identifiziert. Falls es sich bei den Kontrollen auf Organisations- und Prozessebene um automatisierte Kontrollen handelt, sind allfällige generelle IT-Kontrollen über diese Systeme zu berücksichtigen. e. Risiko-/Kontrollmatrix Für die im Auswahlverfahren bestimmten wesentlichen Prozesse werden - die Risiken einer wesentlichen Fehlaussage in der Buchführung und Rechnungslegung, und - die bestehenden Kontrollen in der Organisationseinheit identifiziert und in einer Risiko-/Kontrollmatrix gegenübergestellt. Diese systematische und umfassende Gegenüberstellung zeigt beispielsweise auf, wenn für ein Risiko keine Kontrolle besteht (= Kontrolllücke). Es kann aber auch festgestellt werden, dass für ein Risiko mehrere Kontrollen bestehen und allenfalls eine Kontrolle mehrere dieser Kontrollen in sich vereint (= Kontrolloptimierung).Die Risiko-/Kontrollmatrix kann in der Regel Kontrollen mit und ohne wesentlichem Einfluss auf die Buchführung und Rechnungslegung enthalten. Deshalb sind die Kontrollen mit wesentlichem Einfluss, die so genannten Schlüsselkontrollen, entsprechend zu identifizieren, da in den nächsten Schritten des Vorgehens nur noch diese Kontrollen berücksichtigt werden. Anbei zum besseren Verständnis ein illustratives, unverbindliches Beispiel einer Risiko-/Kontrollmatrix:

7 f. Kontrollbeschreibung Für die in den Risiko-/Kontrollmatrizen identifizierten Schlüsselkontrollen wird eine detaillierte Kontrollbeschreibung erstellt, welche für einen sachverständigen Dritten nachvollziehbar sein muss. Deshalb ist es wichtig, dass die Kontrollbeschreibung die W-Fragen (wer, was, wie, wie oft, wann, wo, warum) beantwortet. Anbei zum besseren Verständnis ein illustratives,unverbindliches Beispiel einer Kontrollbeschreibung: g. Beurteilung Existenz Mit der Konzeption und Implementierung ist noch nicht sichergestellt, dass die Kontrollen richtig ausgestaltet sind und die Schlüsselkontrollen wirklich gelebt werden. Deshalb ist die Beurteilung der Existenz vorzunehmen. Dies kann auf verschiedene Arten durchgeführt werden, z.b. durch Selbstevaluationen (sog. Control Self Assessments), durch das Kader, durch Prüfungen der Finanzkontrolle oder durch Dritte. Dabei können allfällige Schwachstellen identifiziert werden.

8 h. Behebung Schwachstellen Für die identifizierten Schwachstellen ist der Handlungsbedarf festzulegen. Die Korrekturmassnahmen sind entsprechend zu implementieren und deren Umsetzung ist zu überwachen. Der Massnahmenplan inkl. Überwachung kann beispielsweise in einer ähnlichen Struktur wie ein Management Letter der Revisionsstelle aufgebaut werden. i. Finanzkontrolle/-inspektorat Die Vorsteher der Organisationseinheit stellen die relevanten Unterlagen bereit, welche die Finanzkontrolle als Ausgangslage zur Beurteilung des IKS heranzieht. 6. Unsere Erkenntnisse aus Kundenprojekten Es ist wichtig, aus Erfahrungen von anderen Projekten zu lernen. Erste Erfahrungen konnten international agierende Organisationen bereits vor ca. 5 Jahren machen, wo innerhalb kurzer Zeit die amerikanischen Anforderungen im Rahmen von Sarbanes-Oxley umgesetzt werden mussten. Auch wenn diese SOX-Erfahrungen nicht mit den Schweizerischen Erfahrungen in Bezug auf IKS gleichgesetzt werden sollten, gilt es doch aus der Lernkurve Erkenntnisse zu ziehen: Der Projektsponsor sollte möglichst hoch in der Organisation angesiedelt sein. Im öffentlichen Sektor mindestens auf Stufe Departementsleitung. Das Kontrollbewusstsein des Kaders und der Mitarbeiter muss gefördert werden. Die Einführung von COSO bedarf begleitender Ausbildungsmassnahmen. Es empfiehlt sich ein Top-down Vorgehen. Um den Aufwand in Grenzen zu halten, empfiehlt sich eine Fokussierung auf signifikante Risiken. Der Aufwand zur Pflege (Nachhaltigkeit!) ist nicht zu unterschätzen. Es ist dann wichtig, weniger zu machen, aber das dafür konsequent! Manuelle Kontrollen kosten mehr als automatisierte Kontrollen. Der Einsatz von Standardsoftware in der Buchführung und Rechnungslegung ist effizient und wirksam. Aus Sicht des IKS sind Schnittstellen immer ein Risiko. Integrierte Systeme sind deshalb zu bevorzugen. Es muss nicht alles neu erfunden werden! Synergien mit bestehenden Dokumentationen sollten genutzt werden. Im Vordergrund stehen hier bereits bestehende Prozessbeschreibungen im Bereich der Qualität oder IT. Geplante neue IT-Landschaften sollten Anlass geben, das IKS von Anfang an zu integrieren. Der Revisor wird sich zukünftig auf Dokumentationen stürzen. Er kann nur bestätigen, was auch nachvollziehbar ist. Somit müssen zukünftig Kontrollaktivitäten konsequent dokumentiert werden (Belegprinzip). Das ist ein konstant wichtiges Thema und muss entsprechend instruiert werden.

9 Der Start eines IKS Projektes sollte möglichst früh angegangen werden. Der Aufwand ist nicht zu unterschätzen und kann bei frühem Beginn besser geplant werden. Ein Termindruck kann dazu führen, dass vermehrt externe Ressourcen mit entsprechenden Kostenfolgen eingesetzt werden müssen. Geschätzte Damen und Herren ich bin überzeugt, dass sie sich beim nächsten Autokauf (es muss nicht gleich ein Ferrari sein) auch überlegen, wie gut die Bremsen sein müssen. Ich bedanke mich für die Aufmerksamkeit und stehe gerne für Fragen zur Verfügung.

10 "Risiken bedingen immer auch ein Ziel" Interview mit Hans-Ulrich Pfyffer, Partner Internal Audit Service, KPMG AG Zum Thema der SGVW Jahrestagung vom 20. Juni 2007 Aufbau internes Kontrollsystem und Riskmanagement im öffentlichen Sektor. Was ist zu tun, was ist zu lassen? Herr Pfyffer, Sie beschäftigen sich schon seit einiger Zeit mit internen Kontrollsystemen und Risikomanagement. Welches sind die häufigsten Fehler, die Ihnen begegnet sind? Wir stellen oft fest, dass Organisationen ihre Prozesse dokumentieren und Kontrollen beschreiben, ohne zuerst ein klares Konzept zu entwickeln. Dabei besteht die Gefahr, dass die Komplexität unterschätzt wird. In einer späteren Phase wird dann festgestellt, dass klare Rahmenbedingungen fehlen und auch die Nachhaltigkeit nicht gewährleistet ist. Es ist deshalb wichtig, methodisch richtig vorzugehen. Zu einer ersten Phase gehört eine Ist- Analyse der bestehenden Systeme, anschliessend die Festlegung eines Rahmenkonzeptes (z.b. COSO Standard[1]) und dann auch die Identifikation der wichtigsten Einheiten und Prozesse (so genanntes Auswahlverfahren). Die Erkenntnisse dieser ersten Phase muss in einem Konzeptpapier zusammengefasst und durch die Leitungsgremien genehmigt werden. Nur dadurch kann die Unterstützung der Leitung gewährleistet werden. Leider ist das auch ein häufig festgestellter Fehler. Ein nur durch eine Fachabteilung unterstütztes Projekt wird fehlschlagen. Es braucht die Unterstützung von ganz oben. Was ist Ihr Verständnis von Risikomanagement und wie grenzt es sich vom internen Kontrollsystem ab? Das Risikomanagement deckt nach meinem Verständnis die Risiken auf Organisations- oder Unternehmensebene ab. Das sind dann eher strategische, übergeordnete Risiken. Das interne Kontrollsystem geht eher in die Tiefe und umfasst die betrieblichen Systeme und Prozesse. In der Praxis herrscht jedoch vielfach ein Vermischung von Begriffsdefinitionen. Enterprise Risk Management, operatives Riskmanagement, Financial Riskmanagement etc. werden vielfach synonym wenn nicht falsch verwendet. Sinnvollerweise hält man sich an die internationale Definitionen, wie sie im COSO ERM Standard[2] festgehalten werden. Dabei beinhaltet ERM die folgenden Phasen: Analyse internes Umfeld Ziele setzen Ereignis-Identifizierung Risikobeurteilung Reaktion auf Risiken Kontrollmassnahmen Information & Kommunikation Systemüberwachung Die Interne Kontrolle ist dabei ein Subsystem vom Risikomanagement, setzt bei der Phase Reaktion auf Risiken ein und beinhaltet die Phasen bis zur Systemüberwachung. Die von COSO ERM vorgesehene Integration von Risikomanagement und interner Kontrolle ist aus theoretischer Sicht einleuchtend, führt jedoch in der Praxis in der Regel zu einer (zu) hohen Komplexität. Wir empfehlen deshalb in der Regel, Risikomanagement und Interne Kontrolle

11 als separate Systeme zu betreiben. Jedoch muss trotzdem sichergestellt sein, dass klare Schnittstellen bestehen. Festgestellte Risiken sollten auf jeden Fall in das System Interne Kontrolle einfliessen und entsprechend behandelt werden. Welche Rahmenbedingungen haben sich verändert, so dass das Thema Risikomanagement zurzeit in aller Munde ist? Sowohl Risikomanagement wie auch Interne Kontrolle sind nicht Erfindungen dieses Jahrzehnts. Der COSO-Standard für interne Kontrolle gibt es beispielsweise bereits seit Er wurde aber nicht stark beachtet und fand deshalb kaum Akzeptanz. Im Jahre 2001 gab es in den USA Aufsehen erregende Unternehmenszusammenbrüche Enron, Worldcom und Tyco sind hierzu die Stichworte. Der amerikanische Gesetzgeber hat dann relativ schnell den Sarbanes-Oxley Act geschaffen, der den Unternehmen eine verstärkte Corporate Governance auferlegt. Ein wesentlicher Bestandteil dieses strafrechtlich relevanten Gesetzes ist die Verpflichtung, dass die Unternehmen ihre Interne Kontrolle standardisieren und dokumentieren müssen. Der Druck der amerikanischen Gesetzgebung einerseits, die Zunahme von Finanzskandalen in Europa und auch in der Schweiz (Parmalat, Ahold, Erb-Gruppe etc) hat dann auch den Gesetzgeber in Europa und in der Schweiz veranlasst, mehr Gewicht auf das Risikomanagement und die Interne Kontrolle zu legen. Ab nächstem Jahr müssen nun die externen Revisionsstellen die Existenz eines Internen Kontrollsystems bestätigen. Parallel zur Entwicklung in der Privatwirtschaft ist das Thema auch im öffentlichen Sektor verstärkt fokussiert worden. Konkret ist in Artikel 39 des Bundesgesetz über den eidgenössischen Finanzhaushalt die Interne Kontrolle geregelt. Wo sehen Sie Schwächen im Risikomanagement des öffentlichen Sektors? Ich möchte nicht von Schwächen sprechen. Es ist bei allen Organisationen schwierig, ein Risikomanagement einzuführen. Man bearbeitet lieber Visionen, Strategien, Ziele und möchte mögliche negative Ereignisse lieber verdrängen. Es ist deshalb wichtig, dass ein klares Bekenntnis und auch entsprechende Unterstützung der obersten Leitung vorhanden ist. Das heisst konkret, ein Sponsor muss verfügbar sein. Im öffentlichen Sektor sind mir vor allem zwei Punkte aufgefallen: Es fehlt der Wille, Departement übergreifend über Risiken zu sprechen. Diese fehlende Offenheit ist vielleicht politisch bedingt. Im weiteren ist mir aufgefallen, dass Risikomanagement über Anweisungen oder Verordnungen eingeführt wird. Es braucht aber pragmatische Überzeugungsarbeit und gute Kommunikation. Vielfach besteht die Gefahr, dass nach einer ersten erfolgreichen Einführungsphase die Motivation in den folgenden Jahren etwas nachlässt. Da braucht es einen guten Motivator, der auch bei Rückschlägen nicht klein beigibt. Worin bestehen die Schwierigkeiten, ein funktionierendes internes Kontrollsystem aufzubauen? Es ist aufwändig, die Prozesse und die Kontrollen zu beschreiben. Gleichzeitig verändern sich Organisationen relativ schnell. So ein System muss deshalb nachhaltig aufgebaut sein. Die Pflege und die Weiterentwicklung ist ein wichtiges Thema und da müssen die Verantwortungen klar zugeordnet werden. Auch der Ausbildungsbedarf ist hoch. Es wird bereits heute viel kontrolliert, jedoch fehlen vielfach die theoretischen Grundlagen. Um das interne Kontrollsystem am Leben zu halten, muss die Funktionsfähigkeit permanent überprüft werden. Eine wichtige Rolle hat hier die Interne Revision. Wo ist der Nutzen von interner Revision am grössten? Welche Risiken verlangen nach Instrumenten der internen Revision?

12 Die Interne Revision sollte dort prüfen, wo die Risiken am grössten sind. Eine risikoorientierte Prüfplanung ist deshalb heute unabdingbar. Je nach Organisation kann der Schwerpunkt bei IT-Systemen, Sicherheitsthemen, finanzielle Berichterstattung oder andere Geschäftsprozesse liegen. Eine Interne Revision ist von der Aufgabe her eher betriebswirtschaftlich ausgerichtet und ist deshalb nicht in der Lage, sämtliche Risiken abzudecken. Dafür gibt es jedoch andere Funktionen, die eine ähnliche Assurance - Funktion wahrnehmen. Das kann beispielsweise ein Umweltschutzstelle oder auch eine Qualitätskontrolle sein. Wichtig ist es, dass sämtliche Risiken durch eine Assurance - Funktion abgedeckt werden. Woran müssen sich interne Kontrollsysteme orientieren? Die Struktur von internen Kontrollsystemen sollten sich an einem allgemein akzeptieren Standard ausrichten. Das erlaubt einen einheitlichen Aufbau. Empfehlenswert ist dabei der weltweit bekannte COSO-Standard, der als INTOSAI[3] Internal Control Standard in einer speziellen Form für den öffentlichen Sektor verfügbar ist. Bei allen Standards ist die Struktur vergleichbar. Auch der Grundsatz Es muss nur da kontrolliert werden, wo ein Risiko besteht ist allgemein gültig. Und Risiken bedingen immer auch ein Ziel. Der Regelkreis Ziele Risiken Kontrolle ist das Grundmuster aller internen Kontrollsysteme. Dadurch wird auch die Effizienz sicherstellt und nicht unnötig kontrolliert, was zu unnötigem Ressourcenverbrauch führt. Was können verschieden Verwaltungen im Bezug auf Risikomanagement und internes Kontrollsystem voneinander lernen? Der Erfahrungsaustausch zwischen der Verwaltungen ist wichtig. Der methodische Ansatz kann überall angewendet werden. Jede Organisation hat Ziele, die entsprechenden Risiken unterliegen. Risiken sollten kontrolliert werden. Verwaltungen können Best Practices untereinander austauschen. Das kann sein bezüglich Projektmanagement, Form der Kontrollbeschreibungen, Risikokataloge etc. Ein allfällig beigezogener Berater hat die gleiche Funktion. Er stellt sicher, dass Erfahrungen weitergegeben werden. Das Rad muss nicht überall neu erfunden werden! Welche Unterschiede sehen Sie bezüglich des Risikomanagements und internen Kontrollsystem zwischen privaten und öffentlichen Unternehmen? Methodisch können die gleichen Konzepte eingesetzt werden. Da sehe ich grundsätzlich keine Unterschiede. Im Moment unterliegen die privaten Unternehmen einem höheren Druck, da die externe Revisionsstelle die Existenz eines internen Kontrollsystems bestätigen muss und implizit über Artikel 663 OR auch ein Risikomanagement beurteilt. Daneben sind aber natürlich die Ziele, Risiken und dadurch auch die Kontrollen nicht die gleichen. Ich habe auch festgestellt, dass private Unternehmen innert kurzer Zeit mehr Ressourcen mobilisieren können. Das können interne oder auch externe Ressourcen sein. Der öffentliche Bereich ist da etwas weniger flexibel. Hier empfiehlt es sich, dass diese Projekte über eine längere Frist geplant werden. Worin bestehen die Gefahren, wenn öffentliche Verwaltungen auf ein durchdachtes, internes Kontrollsystem verzichten? Jede Organisation hat und hatte schon immer ein internes Kontrollsystem. Es war aber vielfach nicht strukturiert und dokumentiert. Es geht jetzt grundsätzlich darum, den nächsten Entwicklungsschritt mitzumachen. Wenn darauf verzichtet wird, akzeptiert man das erhöhte Risiko falscher Darstellungen der Jahresrechnungen, Anfälligkeit für Wirtschaftskriminalität oder ineffiziente Prozesse. Auch ein durchdachtes, internes Kontrollsystem gibt keine

13 abschliessende Garantie, dass dies nicht passiert. Aber die Wahrscheinlichkeit von unerwünschten Vorkommnissen wird sicher vermindert. Vielen Dank, Herr Pfyffer, für die interessanten Ausführungen.