Reglement Internes Kontrollsystem (IKS) Personen-, Funktions- und Berufsbezeichnungen in diesem Reglement beziehen sich auf beide Geschlechter, soweit sich aus dem Sinn des Reglements nicht etwas anderes ergibt. Reglement IKS V 1.0 06.08.2015 MM / 19.10.15 UK VST 09.10.2015 Seite 1 von 5
Inhaltsverzeichnis 1 Grundsätze und Grundlagen... 3 2 Definition und Zweck IKS... 3 3 Ziele IKS... 3 4 Methode und Grundausrichtung... 4 5 Unternehmensweite Kontrollen... 4 6 Generelle IT Kontrollen... 4 7 Kontrollen auf Prozessebene... 4 8 Beurteilung IKS... 5 9 Verantwortlichkeiten... 5 10 Schlussbestimmungen... 5 Reglement IKS V 1.0 06.08.2015 MM / 19.10.15 UK VST 09.10.2015 Seite 2 von 5
1 Grundsätze und Grundlagen Dieses Reglement regelt die Grundsätze des internen Kontrollsystems (IKS) der RSS AG. Gemäss Finanzreglement der RSS AG legt der Verwaltungsrat die Anforderungen an ein IKS fest und überwacht dessen Wirksamkeit. 2 Definition und Zweck IKS Das IKS umfasst die Gesamtheit aller vom Verwaltungsrat und von der Geschäftsleitung angeordneten Vorgänge, Methoden und Massnahmen, die dazu dienen, einen ordnungsgemässen Ablauf des betrieblichen Geschehens sicherzustellen. Die organisatorischen Massnahmen der internen Kontrollen sind in die Betriebsabläufe integriert. Sie erfolgen arbeitsbegleitend oder sind dem Arbeitsvollzug unmittelbar vor- oder nachgelagert. Die interne Kontrolle wirkt unterstützend bei - der Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente Geschäftsführung - der Einhaltung von Gesetzen und Vorschriften (Compliance) - dem Schutz des Geschäftsvermögens - der Verhinderung, Verminderung und Aufdeckung von Fehlern und Unregelmässigkeiten - der Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung - der zeitgerechten und verlässlichen finanziellen Berichterstattung Das IKS der RSS AG beleuchtet die finanzielle und administrative Perspektive und die finanzielle Berichterstattung, aber nicht die Kontrollen in den medizinischen Kernprozessen. 3 Ziele IKS Die finanzielle Berichterstattung der RSS AG muss zuverlässig sein. Die dazu notwendigen Gesetze und Vorschriften werden eingehalten. Das IKS: - fokussiert sich auf Schlüsselrisiken bzw. Schlüsselkontrollen - dokumentiert Prozesse, Risiken und Kontrollen in angemessener Form - dokumentiert durchgeführte Kontrollen nachvollziehbar - wird in der RSS AG gelebt Reglement IKS V 1.0 06.08.2015 MM / 19.10.15 UK VST 09.10.2015 Seite 3 von 5
4 Methode und Grundausrichtung Das IKS der RSS AG verfolgt einen risikoorientierten Ansatz. Nebst der Konzentration auf Schlüsselrisiken und -kontrollen sind, wo immer möglich und unter Kosten- und Nutzenüberlegungen, primär automatisierte Kontrollen präventiver Natur einzusetzen. Bei fehlender Funktionentrennung werden kompensierende Kontrollen eingeführt. Bestandteile des IKS nach Prüfungsstandard 890 sind: - Unternehmensweite Kontrollen - Generelle IT Kontrollen - Kontrollen auf Prozessebene 5 Unternehmensweite Kontrollen Die unternehmensweiten Kontrollen sind ein wichtiger Bestandteil des IKS und müssen daher in den folgenden Bereichen qualitativ hohen Ansprüchen genügen: - Kontrollumfeld - Information und Kommunikation - Überwachung - Risikobeurteilung und Kontrollaktivitäten Die entsprechenden Dokumente, Regelungen und Reporting sind übersichtlich zusammen zu stellen und müssen allen betroffenen Mitarbeitenden zugänglich sein. 6 Generelle IT Kontrollen Für die IT der RSS AG wird ein Risiko-Kontrollinventar erstellt, welches die Beschreibung der Risiken, die Kontrollziele, die Kontrollen (inkl. Verantwortung und Dokumentation) und die Beurteilung der Kontrollwirksamkeit enthält. 7 Kontrollen auf Prozessebene Ausgehend von der Bilanz und Erfolgsrechnung der RSS AG werden aufgrund der Positionsgrösse und qualitativen Risiken der einzelnen Positionen die relevanten Schlüsselpositionen definiert. Die Schlüsselpositionen werden Schlüsselprozessen zugeordnet. Im RSS AG bestehen folgende Schlüsselprozesse: - Finanzen - Personal - Interne Prozesse - Informatik - Kunden - Beschaffung - Markt/Umfeld Reglement IKS V 1.0 06.08.2015 MM / 19.10.15 UK VST 09.10.2015 Seite 4 von 5
Für jeden Schlüsselprozess wird ein Risiko-Kontrollinventar erstellt, welches die Beschreibung der Risiken, die Kontrollziele, die Kontrollen (inkl. Verantwortung und Dokumentation) und die Beurteilung der Kontrollwirksamkeit enthält. 8 Beurteilung IKS Zur Sicherstellung der Wirksamkeit der unternehmensweiten Kontrollen wird jährlich im 2. Quartal des Geschäftsjahres (GJ) eine Selbsteinschätzung durchgeführt. Daraus resultierende Massnahmen werden jeweils im 3. Quartal des GJ umgesetzt. Weiter werden die Risiko- und Kontrollinventare jeweils im 2. Quartal des GJ auf Aktualität und Vollständigkeit überprüft und wenn notwendig angepasst. Gleichzeitig wird eine Beurteilung der Kontrollen durchgeführt. Die Kontrollen werden zwar einzeln aufgeführt und hinsichtlich ihrer Wirksamkeit und Nachvollziehbarkeit beurteilt, die Schlussfolgerung erfolgt jedoch pro Risikobereich. Allenfalls notwendige Massnahmen zur Optimierung von Kontrollen sind ebenfalls im 3. Quartal des GJ umzusetzen. Die externe Revision überprüft nachgelagert die Existenz des IKS und bestätigt diese. 9 Verantwortlichkeiten Die Gesamtverantwortung für das IKS trägt der Verwaltungsrat der RSS AG. Er informiert sich im Rahmen einer jährlichen Berichterstattung der Geschäftsleitung über das IKS und den Stand der eingeleiteten Massnahmen. Die Verantwortung für die Umsetzung des IKS trägt die Geschäftsleitung. Sie erlässt die dafür notwendigen Weisungen. Der CEO definiert zusammen mit der Geschäftsleitung die notwendigen Kontrollen und stellt die notwendigen organisatorischen Massnahmen sicher, um das IKS wirksam zu betreiben. Für jeden Schlüsselprozess wird ein Prozessverantwortlicher bestimmt. Dieser ist verantwortlich für das IKS in seinem Schlüsselprozess und für die Aktualität des Risiko- und Kontrollinventars. Zudem stellt er die zeitgerechte IKS-Beurteilung sicher. 10 Schlussbestimmungen Dieses Reglement wurde vom Verwaltungsrat an seiner Sitzung vom 09.10.2015 genehmigt und rückwirkend per 01.10.2015 in Kraft gesetzt. Mathias Bundi Präsident des Verwaltungsrates Urs Kellenberger Vorsitzender der Geschäftsleitung Reglement IKS V 1.0 06.08.2015 MM / 19.10.15 UK VST 09.10.2015 Seite 5 von 5