RISIKOBASIERTES INTERNES KONTROLLSYSTEM Risikoidentifikation von grundlegender Bedeutung

Transkript

1 MICHAEL SCHMID WERNER STEBLER Das risikobasierte interne Kontrollsystem (IKS) stellt einen unternehmeri schen Ansatz der internen Kontrolle dar, der insbesondere auf Kosten-Nutzen-Aspekten fokussiert und eine wertorientierte Grundphilosophie widerspiegelt. Schweizer Unternehmen haben die Möglichkeit, das IKS als wirkungsvolles Führungsinstrument zu nutzen. Risikoidentifikation von grundlegender Bedeutung 1. EINLEITUNG Durch die Revision des Obligationenrechts (OR), insbesondere der Art. 728a OR, 728b OR und 663b OR (Abbildung 1), hat die interne Kontrolle in der Schweiz im vergangenen Jahr sehr an Bedeutung gewonnen. Unternehmen stehen nun vor der Herausforderung, die neuen Gesetzesanforderungen auf effiziente und effektive Art und Weise zu erfüllen. Von zentraler Bedeutung ist dabei für viele Schweizer Unternehmen die konkrete Ausgestaltung des IKS einerseits soll es den gesetzlichen Anfor derungen genügen, andererseits einen signifikanten Bei trag zum zukünftigen Erfolg des Unternehmens liefern. Im Beitrag wird diese aktuelle Diskussion aufgegriffen und ein risikobasierter Ansatz der internen Kontrolle aufgezeigt. 2. IKS UND RISIKOMANAGEMENT Das frühzeitige Erkennen von Risiken und Chancen und die damit verbundene Fähigkeit, diese aktiv und in einer angemessenen Art und Weise anzugehen, sind im heutigen Marktgeschehen kritische Erfolgsfaktoren. Das Risikomanagement und das IKS spielen in einer solchen risikobewussten Unternehmensführung eine entscheidende Rolle. Für beide Konzepte wurde vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) ein Rahmenkonzept entwickelt. Das Internal Control Integrated Framework (COSO IC) adressiert hierbei das IKS des Unternehmens, während das Enterprise Risk Management Integrated Framework (COSO ERM) das Risikomanagement des Unternehmens anspricht. Bei COSO ERM wird dabei das IKS als wesentlicher Bestandteil des Risikomanagements verstanden. Zudem findet eine verstärkte Fo- kussierung auf Risiken statt, indem einerseits zusätzlich die Strategieebene aufgenommen wird und andererseits die Risikobeurteilung explizit um die Elemente «Zielsetzung», «Risikoidentifikation» und «Massnahmen» ergänzt wird. Der Aufgabenbereich des Risikomanagements wird im COSO ERM Rahmenkonzept wie folgt definiert: «Enterprise risk management deals with risks and opportunities to create or preserve value.» [1] Das Risikomanagement adressiert somit sowohl Risiken als auch Chancen und basiert demzufolge auf einem Risikobegriff im weiteren Sinne. Das IKS beschränkt sich dagegen im allgemeinen auf eine reine Risikobetrachtung Chancen werden in der Praxis kaum adressiert. Dem IKS liegt somit der Risikobegriff im engeren Sinne zugrunde. Dies wird unter anderem auch durch die von COSO IC gelieferte Definition der Kontrollaktivitäten bestätigt: «Control activities are the policies and procedures that help to ensure that management directives are carried out.» [2] Beim IKS liegt der Schwerpunkt somit auf der Sicherstellung der Einhaltung von Massnahmen oder, anders ausgedrückt, auf einer Schadensbegrenzung. Abbildung 2 veranschaulicht die den beiden Konzepten zugrunde liegende Risikodefinition. Negative Abweichungen vom Zielwert unterliegen im allgemeinen einer geringeren Akzeptanz als positive Abweichungen. Die Risikobereitschaft bei Unternehmen ist somit in der Regel bei Chancen tendenziell höher als bei Gefahren bzw. Risiken im engeren Sinne. Chancen bedürfen somit einer signifikant grösseren Abweichung vom Zielwert als Ri- MICHAEL SCHMID, ASSISTANT, INTERNAL AUDIT SERVICES, PRICEWATERHOUSE- COOPERS AG, ZÜRICH WERNER STEBLER, PARTNER, LEITER INTERNAL AUDIT SERVICES, PRICEWATERHOUSE- COOPERS AG, BASEL 642 DER SCHWEIZER TREUHÄNDER

2 INTERNE REVISION siken im engeren Sinne, um vom Risikomanagement als relevant eingestuft zu werden. Ein weiterer Unterschied dieser beiden Konzepte liegt im Niveau der jeweils zu adressierenden Risiken: Kernaufgabe des Risikomanagements ist es, die für das Unternehmen bedeutenden strategischen und operativen Risiken sowie die Risiken in bezug auf die Compliance und das Reporting auf einem sehr hohen Niveau (oftmals mit direktem Bezug zu den Unternehmenszielen) zu ermitteln, zu bewerten und entsprechende Massnahmen einzuleiten, damit diese auf ein für das Unternehmen akzeptables Niveau reduziert werden. Die strategischen Risiken weisen dabei häufig eine sehr hohe Komplexität auf, so dass sie in der Regel nicht mittels Kontrollen zu bewältigen sind, sondern durch Massnahmen gemanagt werden müssen. Das IKS eignet sich somit nicht zur Adressierung von Risiken im Bereich der Strategie hierfür bedarf es eines klassischen Risikomanagements. Operationelle Risiken und Risiken in bezug auf die Compliance und das Reporting sind dagegen oftmals prozessorientiert und weisen auch im allgemeinen keine derart hohe Komplexität wie strategische Risiken auf. Diese Risiken können daher im Gegensatz zu den strategischen Risiken in der Regel mittels Kontrollen bewältigt werden; eine Massnahmendefinition durch das Risikomanagement ist hier oftmals nicht erforderlich. Der Fokus des IKS sollte folglich primär auf den Bereichen Operations, Compliance und Reporting liegen. Im Bereich Strategie besteht die Hauptaufgabe dagegen in der Sicherstellung der Einhaltung der durch das Risikomanagement definierten Massnahmen. Dies erfolgt durch die Definition geeigneter Kontrollaktivitäten. Im Gegensatz zur Risikobeurteilung beim Risikomanagement ist die Risikobeurteilung beim IKS primär ereignisgesteuert. Sie sollte daher beispielsweise nach einer abgeschlossenen Prozessoptimierung oder einem durchgeführten Prozessredesign erfolgen, um sicherzustellen, dass alle entsprechenden Prozessänderungen im IKS berücksichtigt wurden und es nicht versehentlich zu Kontrollücken kommt. Die Risikobeurteilung beim Risikomanagement hingegen sollte aufgrund der sich heutzutage rasch ändernden Rahmenbedingungen mindestens jährlich erfolgen, um zu gewährleisten, dass die Erreichung der Unternehmensziele realisierbar bleibt. Trotzdem stellt die Risikobeurteilung einen entscheidenden Schnittstellenbereich zwischen dem Risikomanagement und dem IKS dar sie ist das Fundament beider Konzepte und sollte daher aufeinander abgestimmt werden, um dadurch Ineffizienzen beziehungsweise Kontrollücken zu vermeiden. Ein weiterer Schnittstellenbereich ist die Sicherstellung der Einhaltung der im Rahmen des Risikomanagements definierten «Massnahmen» durch das IKS. Diese Tatsache wird unter anderem durch die von COSO ERM gelieferte Definition der Kontrollaktivitäten ersichtlich: «Control activities are the policies and procedures that help ensure that management s risk responses are carried out.» [3] Es besteht somit eine direkte Beziehung zwischen Risikomanagement und IKS. Die Bereiche «Kontrollumfeld», «Zielsetzung», «Risikoidentifikation», «Risikobeurteilung», «Information und Kommunikation» sowie Überwachung stellen generell Schnittstellenbereiche von Risikomanagement und IKS dar. So ist beispielsweise das Vorhandensein eines wirkungsvollen «Tone at the Top» die Grundlage für das Funktionieren beider Konzepte. Nur wenn das IKS in ein «gesundes» Kontrollumfeld eingebettet ist, kann es sich zu einem wirkungsvollen Führungsinstrument für das Management entfalten. Ebenso ist das Risikomanagement auf eine «gesunde» Risikoeinstellung der Geschäftsleitung bzw. des Verwaltungsrats angewiesen. Dieser Sachverhalt wird sowohl in COSO IC durch das Vorhandensein der Komponente «Control Environment» als auch in COSO ERM durch das Vorhandensein der Komponente «Internal Environment» verdeutlicht. Abbildung 3 veranschaulicht den Zusammenhang von IKS und Risikomanagement: Wie bereits erwähnt, erfolgt bei COSO ERM im Vergleich zu COSO IC eine verstärkte Fokussierung auf Risiken. Wird nun bei der Implementierung eines IKS nicht COSO IC, sondern COSO ERM zugrunde gelegt, findet auch hier eine solch explizite Betrachtung von Risiken statt. Das IKS wird somit zu einem zentralen Bestandteil einer risikobasierten Unternehmungsführung. 3. RISIKOBASIERTES IKS Sowohl in der Theorie als auch in der Praxis sind sich die Experten einig, dass ein Risikomanagementsystem ein wirkungsvolles und sinnvolles Instrument für Unternehmen darstellt. Dies wird insbesondere dadurch sichergestellt, dass das Risikomanagement auf Kosten-Nutzen-Überlegungen Abbildung 1: ÜBERBLICK ÜBER DIE NEUEN GESETZESANFORDERUNGEN Art. 728a OR (neu) Art. 728b OR (neu) Art. 663b OR (revidiert) Die Revisionsstelle prüft, ob ein internes Kontrollsystem existiert. Die Revisionsstelle berücksichtigt bei der Durchführung und Festlegung des Prüfungsumfangs das interne Kontrollsystem. Die Revisionsstelle erstattet dem Verwaltungsrat einen umfassenden Bericht mit Feststellungen über die Rechnungslegung, das interne Kontrollsystem sowie die Durchführung und das Ergebnis der Revision. Der Anhang enthält u. a. Angaben über die Durchführung einer Risikobeurteilung. Im Fokus der Gesetzesrevision sind interne Kontrollen im Bereich Buchführung und finanzielle Berichterstattung DER SCHWEIZER TREUHÄNDER 643

3 Abbildung 2: RISIKODEFINITION BEI RISIKOMANAGEMENT UND IKS Positive Abweichung Chancen Zielwert Risiken im weiteren Sinne Negative Abweichung Risiken im engeren Sinne Risikomanagement Chancen Risiken IKS Risiken basiert. Dies bedeutet, dass Massnahmen nur dann initiiert und damit Kosten verursacht werden, wenn dies durch ein entsprechend hohes Risiko gerechtfertigt ist. Der gleiche Grundgedanke sollte auch bei einem IKS zugrunde gelegt werden. Kontrollen sollten nur dann implementiert werden, wenn dies aufgrund von Kosten-Nutzen- Überlegungen bzw. Risikogesichtspunkten erforderlich ist. In der Praxis wird hierbei in der Regel nicht bei jeder Kontrolle eine explizite Kosten-Nutzen-Analyse durchgeführt, sondern häufig aufgrund von Erfahrungswerten eine Entscheidung getroffen. Wird der Kosten-Nutzen-Gedanke jedoch vom Grundsatz her konsequent verfolgt, wird sichergestellt, dass bei der Einführung oder Optimierung des IKS auch ein entsprechender Nutzen generiert wird. Innerhalb dieses risikobasierten Ansatzes sollte das Risikomanagement primär für die Adressierung der strategischen Risiken und das IKS für die operationellen Risiken, Risiken aus der Compliance und dem Reporting sowie für die Sicherstellung der Einhaltung der definierten «Massnahmen» verantwortlich sein. Eine wichtige Voraussetzung zur erfolgreichen Implementierung eines risikobasierten IKS stellt hierbei eine einheitliche Terminologie innerhalb der beiden Teildisziplinen Risikomanagement und Kontrollsystem dar es sollten somit gleiche Kategorien bzw. Risikotypen verwendet werden. Dadurch können Verständnisprobleme und damit verbundene Ineffizienzen und Kontrollücken vermieden werden, wodurch die Effektivität und Effizienz des Kontrollsystems verbessert wird. Abbildung 3: RISIKOMANAGEMENT UND IKS Strategie Operations Reporting Compliance Kontrollumfeld Zielsetzung Risikoidentifikation Risikobeurteilung Massnahmen Kontrollaktivitäten Information und Kommunikation Überwachung Risikomanagement und IKS Primär Risikomanagement Primär IKS Risikomanagement und IKS IKS Risikomanagement 644 DER SCHWEIZER TREUHÄNDER

4 INTERNE REVISION 3.1 Anwendung auf Schweizer Unternehmen. Obwohl durch die geplanten Gesetzesänderungen nur die Existenz eines IKS im Bereich der finanziellen Berichterstattung durch den Gesetzgeber verpflichtend vorgegeben ist, kann es für viele Unternehmen sinnvoll sein, ihre interne Kontrolle umfassender zu definieren, um damit zusätzliche Nutzenpotentiale zu realisieren [4]. Weitere Aufgabenfelder «Die Risikoidentifikation stellt eine der wichtigsten Phasen innerhalb des Implementierungsprozesses dar.» des IKS bzw. des Risikomanagements sind in diesem Zusammenhang die Bereiche Operations, Compliance und Strategie. Generell ist zu betonen, dass der Umfang des IKS stets individuell auf die Bedürfnisse der Unternehmung angepasst werden sollte. Nur wenn die jeweilige unternehmensspezifische Situation bei der Ausarbeitung des IKS ausreichend berücksichtigt wird, kann der maximale Nutzen erzielt werden und somit das IKS zu einem wirkungsvollen Führungsinstrument werden. Durch eine A-priori-Reduzierung des Umfangs des IKS bzw. des Risikomanagements wird jedoch automatisch auch das Nutzenpotential für das Unternehmen eingeschränkt. Es ist daher empfehlenswert, zu Beginn von einem ganzheitlichen Ansatz auszugehen und basierend auf Kosten-Nutzen-Überlegungen die für das jeweilige Unternehmen relevanten Risiken durch Kontrollen oder Massnahmen zu adressieren. der Risikoidentifikation bzw. schlecht geplante oder sogar fehlende Risikoworkshops können folglich die Wirksamkeit des Kontrollsystems entscheidend beeinträchtigen Risk Universe. Die Resultate der Risikoidentifikation sollten in einem weiteren Schritt in einem Risik Universe zusammengefasst werden. Dadurch wird der Geschäftsleitung bzw. dem Verwaltungsrat in einer sehr komprimierten Form ein Überblick über die Risikosituation des Unternehmens gegeben. Gleichzeitig können aufgrund eines Vergleichs des Risk Universe mit dem Kontrollsystem Rückschlüsse über den Abdeckungsgrad der Risiken im allgemeinen gemacht werden. Bei der Risikoidentifikation sollten dabei zu Beginn Bruttorisiken zugrunde gelegt werden. Das Bruttorisiko bezeichnet hierbei das originäre Risiko, welches besteht, wenn noch keinerlei Massnahmen bzw. Kontrollen implementiert wurden. Im Gegensatz dazu kann das Nettorisiko als das Bruttorisiko abzüglich der Risikominderung durch entsprechende Massnahmen bzw. Kontrollen definiert werden. Durch die anfängliche Identifizierung der Risiken nach Bruttogesichtspunkten ist es möglich, einen Überblick über die wichtigsten Risiken des Unternehmens zu bekommen. Würde das Nettorisiko von Beginn an als Massstab herangezogen werden, könnten Schlüsselrisiken übersehen werden, da diese auf- 3.2 Phasen der Implementierung. Im folgenden werden die einzelnen Phasen zur Implementierung eines risikobasierten IKS aufgezeigt: Risikoidentifikation. Nachdem der Umfang des IKS bestimmt wurde, sollten in einem ersten Schritt die strategischen und operativen Risiken sowie die Risken aus der Compliance und dem Reporting identifiziert werden (Annahme: ganzheitlicher Ansatz). Die Risiken sollten hierbei anhand der Eintrittswahrscheinlichkeit und dem Schadensausmass nach einheitlichen Kriterien bewertet werden, um somit die Vergleichbarkeit der Daten sicherzustellen. Die Risikoidentifikation könnte beispielsweise mittels eines Self-Assessment-Workshops durchgeführt werden. Entscheidend ist dabei, dass die Teilnehmer über ein solides Prozessverständnis verfügen und die Risiken richtig einordnen können. Personen, die für die inhaltliche Gestaltung beziehungsweise die Abwicklung des Prozesses verantwortlich sind, sollten unbedingt am Workshop teilnehmen [5]. Die Risikoidentifikation stellt eine der wichtigsten Phasen innerhalb des Implementierungsprozesses dar, da schliesslich nur diejenigen Risiken adressiert werden können, welche zuvor identifiziert wurden. Eine halbherzige Durchführung DER SCHWEIZER TREUHÄNDER 645

5 grund bestehender Kontrollen zu vernachlässigbaren Risiken mutieren würden und somit im Risikoranking nicht mehr von Bedeutung wären. Dennoch ist es für die Geschäftsleitung von entscheidender Bedeutung, die Gesamtheit ihrer Schlüsselrisiken zu kennen Identifizierung von Kontrollbedarf und Implementierung der Kontrollen. Das Risk Universe stellt die Grundlage für die Implementierung des Kontrollsystems dar. Die Geschäftsleitung muss hierbei darüber entscheiden, ob sie bereit ist, die Konsequenzen des jeweiligen Bruttorisikos zu tragen, oder ob sie das Risiko mittels einer Kontrolle bzw. Massnahme auf ein für das Unternehmen akzeptables Niveau reduzieren möchte. In diesem Zusammenhang wird auch vom «Risikoappetit» gesprochen, welcher die Risikobereitschaft der Unternehmensleitung bzw. des Verwaltungsrates widerspiegelt. Stellt sich heraus, dass das Risiko bzw. die damit verbundenen Konsequenzen den «Risikoappetit» des Unternehmens übersteigen, müssen entsprechende Kontrollen implementiert werden, bis das Risiko auf ein akzeptables Niveau reduziert ist. COSO betont hierbei, dass durch die interne Kontrolle keine absolute, sondern nur eine zweckmässige Sicherheit gewährleistet werden kann [6]. 4. FAZIT Durch die aktuelle Gesetzesentwicklung sind Schweizer Unternehmen, die einer ordentlichen Revision unterliegen, verpflichtet, ihre Konzeption der internen Kontrolle neu zu überdenken. Das risikobasierte IKS stellt hierbei einen unternehmerischen Ansatz der internen Kontrolle dar, der insbesondere auf Kosten-Nutzen-Aspekten fokussiert und eine wertorientierte Grundphilosophie widerspiegelt. Schweizer Unternehmen haben die Möglichkeit, das IKS als wirkungsvolles Führungsinstrument zu nutzen. Anmerkungen: 1) COSO (2004), Seite 16. 2) COSO (1994), Seite 49. 3) COSO (2004), Seite 61. 4) Vgl. Nadig, L./Marti, S./Schmid, M. (2006): Seiten ) Vgl. Thomas, R. (2006), Seite 28. 6) COSO (1994), Seite 15. Literatur: Ñ COSO (2004): Enterprise Risk Management Integrated Framework, Executive Summary Framework, The Committee of Sponsoring Organizations of the Treadway Commission, Ñ COSO (1994): Internal Control Integrated Framework, Executive Summary, The Committee of Sponsoring Organizations of the Treadway Commission, Ñ Nadig, L./Marti, S./ Schmid, M. (2006): Interne Kontrolle in mittelgrossen Schweizer Unternehmen Kontrollminimum oder umfassendes IKS in: Der Schweizer Treuhänder 12, 2004, Seite Ñ Pfyffer, H.-U./Bodenmann, J. M. (2004): Assurance-Konzept in: Der Schweizer Treuhänder 12, 2004, Seiten Ñ Thomas, R. (2006): Das Zusammenspiel der Kontroll- und Prüfungsfunktionen, in: Disclose: Aktuelles aus der Rechnungslegung und Revision, 06/2006, S RÉSUMÉ Système de contrôle interne axé sur les risques L an dernier, la notion de contrôle interne a considérablement gagné en importance dans les entreprises helvétiques. Celles-ci doivent en effet appliquer concrètement et efficacement la réforme du droit de la révision, notamment en mettant en place un système de contrôle interne (SCI) satisfaisant aux exigences de la loi et contribuant également à la bonne marche de l entreprise. Sur les marchés actuels, être capable d identifier les risques et les opportunités et savoir les aborder activement et de façon appropriée sont des facteurs critiques de succès. Dans une entreprise attentive aux risques, la gestion des risques et le SCI jouent donc un rôle décisif. En l espèce, le COSO (Committee of Sponsoring Organizations of the Treadway Commission) a développé un cadre de référence pour la pratique du contrôle interne dans les entreprises (Internal Control Integrated Framework, COSO IC) et un autre pour la gestion des risques (Enterprise Risk Management Integrated Framework, COSO ERM). A cet égard, les entreprises suisses ont peut-être intérêt à aligner leur SCI non sur le COSO IC, mais sur le COSO ERM, et à mettre ainsi la priorité sur l aspect «risques». De la sorte, elles feraient de leur SCI le pilier d une gestion d entreprise axée sur les risques. Même si les nouvelles dispositions légales n exigent que la vérification de l existence d un SCI dans le domaine des états financiers, de nombreuses entreprises pourraient trouver leur avantage dans une définition plus large du contrôle interne, de façon à dégager de nouveaux potentiels. Pour cela, le SCI ou la gestion des risques devraient inclure d autres domaines de tâches, en particulier les opérations, la «compliance» et la stratégie. Lors de l intégration d un SCI axé sur les risques, il faut donc identifier dans un premier temps les risques stratégiques et opérationnels ainsi que les risques liés à la compliance et au reporting (dans l hypothèse d une approche globale). Dans un deuxième temps, les résultats obtenus seront consolidés au sein d un «risk universe» qui constituera à son tour le fondement de l intégration du SCI. A ce stade, la direction doit décider si elle est prête à supporter les conséquences du risque brut ou si elle veut le ramener à un niveau tolérable pour l entreprise au moyen d un contrôle. S il s avère que le risque ou ses conséquences dépassent les ambitions ou les possibilités de l entreprise en la matière, des contrôles doivent être mis en place jusqu à atteindre un niveau de risque acceptable. D une manière générale, le SCI axé sur les risques reflète une vision entrepreneuriale du contrôle interne qui est focalisée sur les aspects coûts-avantages et sur une philosophie orientée sur la valeur. Dans cette perspective, le SCI peut devenir un instrument de gestion efficient pour les entreprises suisses. MS/WS/PB 646 DER SCHWEIZER TREUHÄNDER