Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
Ein Leitfaden
©2007
Diplomarbeit
127 Seiten
Zusammenfassung
Inhaltsangabe:Problemstellung:
Unternehmenszusammenbrüche, wie der Fall Enron oder auch Swissair, aber auch das nicht angebrachte Verhalten mancher Manager, haben aufgezeigt, in was für unvorhergesehene finanzielle Schwierigkeiten ein Unternehmen geraten kann, wenn nicht entsprechende interne Kontrollen bestehen, die dazu beitragen, den Vermögensschutz sicherzustellen.
Auch sind die Unternehmen heute auf dem Markt vermehrt einer starken Konkurrenz ausgesetzt und müssen dafür besorgt sein, dass in ihrem Betrieb wirtschaftliche und wirksame Geschäftsprozesse bestehen, weil das schlussendlich auch zur besseren Qualität der Produkte aber auch zu kostengünstigeren Betriebsabläufen führen kann, was gegenüber der Konkurrenz ein nicht zu unterschätzender Vorteil darstellen kann.
Ein wirksam eingeführtes Internes Kontrollsystem kann für die Unternehmen eine große Unterstützung bieten, dass die geschilderten Probleme nicht auftreten und kann somit auch ein großer Schutz für die Gläubiger und Aktionäre bieten.
Es ist deshalb ratsam, dass sich die Unternehmen darum bemühen, bei ihnen ein Internes Kontrollsystem einzuführen, insbesondere auch, weil der Gesetzgeber das in Zukunft vermehrt verlangt.
Die soeben beschriebenen Ausführungen waren für die Tommaso AG, in der in dieser Arbeit Analysen bezüglich internen Kontrollen durchgeführt wurden, wichtige Gründe, weshalb ein Internes Kontrollsystem eingeführt werden sollte.
Ziel dieser Arbeit ist es, für die Tommaso AG ein Internes Kontrollsystem einzuführen, dass garantieren kann, dass im Unternehmen wirtschaftliche und wirksame Geschäftsprozesse bestehen, die nachhaltig umgesetzt werden. Diese Geschäftsprozesse sollen auch bezüglich dem Vermögensschutz Sicherheit bieten.
Für den Projektleiter ist es dabei wichtig, dass er bei der Einführung des Projektes die Risikozonen bezüglich IKS in den Geschäftsprozessen klar erkennt und auf diese Weise die Schwachstellen, die zu dolosen Handlungen führen können, ermitteln kann. Gleichzeitig soll der Projektleiter bei dieser Tätigkeit auch die unwirtschaftlichen Betriebsabläufe, bei denen z.B. Doppelspurigkeiten bestehen, verbessern.
Es geht in dieser Arbeit nicht darum, die Vorgesetzten dazu zu bewegen, ihre Mitarbeiter noch stärker zu beaufsichtigen, sondern vielmehr darum, sie dazu zu bewegen, durch ihre Verhaltensweisen, ihre Mitarbeiter dafür zu sensibilisieren, dass ein IKS für die Firma ein großer Nutzen stiften kann, nicht nur in Form von internen […]
Unternehmenszusammenbrüche, wie der Fall Enron oder auch Swissair, aber auch das nicht angebrachte Verhalten mancher Manager, haben aufgezeigt, in was für unvorhergesehene finanzielle Schwierigkeiten ein Unternehmen geraten kann, wenn nicht entsprechende interne Kontrollen bestehen, die dazu beitragen, den Vermögensschutz sicherzustellen.
Auch sind die Unternehmen heute auf dem Markt vermehrt einer starken Konkurrenz ausgesetzt und müssen dafür besorgt sein, dass in ihrem Betrieb wirtschaftliche und wirksame Geschäftsprozesse bestehen, weil das schlussendlich auch zur besseren Qualität der Produkte aber auch zu kostengünstigeren Betriebsabläufen führen kann, was gegenüber der Konkurrenz ein nicht zu unterschätzender Vorteil darstellen kann.
Ein wirksam eingeführtes Internes Kontrollsystem kann für die Unternehmen eine große Unterstützung bieten, dass die geschilderten Probleme nicht auftreten und kann somit auch ein großer Schutz für die Gläubiger und Aktionäre bieten.
Es ist deshalb ratsam, dass sich die Unternehmen darum bemühen, bei ihnen ein Internes Kontrollsystem einzuführen, insbesondere auch, weil der Gesetzgeber das in Zukunft vermehrt verlangt.
Die soeben beschriebenen Ausführungen waren für die Tommaso AG, in der in dieser Arbeit Analysen bezüglich internen Kontrollen durchgeführt wurden, wichtige Gründe, weshalb ein Internes Kontrollsystem eingeführt werden sollte.
Ziel dieser Arbeit ist es, für die Tommaso AG ein Internes Kontrollsystem einzuführen, dass garantieren kann, dass im Unternehmen wirtschaftliche und wirksame Geschäftsprozesse bestehen, die nachhaltig umgesetzt werden. Diese Geschäftsprozesse sollen auch bezüglich dem Vermögensschutz Sicherheit bieten.
Für den Projektleiter ist es dabei wichtig, dass er bei der Einführung des Projektes die Risikozonen bezüglich IKS in den Geschäftsprozessen klar erkennt und auf diese Weise die Schwachstellen, die zu dolosen Handlungen führen können, ermitteln kann. Gleichzeitig soll der Projektleiter bei dieser Tätigkeit auch die unwirtschaftlichen Betriebsabläufe, bei denen z.B. Doppelspurigkeiten bestehen, verbessern.
Es geht in dieser Arbeit nicht darum, die Vorgesetzten dazu zu bewegen, ihre Mitarbeiter noch stärker zu beaufsichtigen, sondern vielmehr darum, sie dazu zu bewegen, durch ihre Verhaltensweisen, ihre Mitarbeiter dafür zu sensibilisieren, dass ein IKS für die Firma ein großer Nutzen stiften kann, nicht nur in Form von internen […]
Leseprobe
Inhaltsverzeichnis
Thomas Bieler
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
Ein Leitfaden
ISBN: 978-3-8366-0703-2
Druck Diplomica® Verlag GmbH, Hamburg, 2008
Zugl. Wirtschafts- und Kaderschule KV Bern, Bern, Schweiz, Diplomarbeit, 2007
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden, und die Diplomarbeiten Agentur, die
Autoren oder Übersetzer übernehmen keine juristische Verantwortung oder irgendeine
Haftung für evtl. verbliebene fehlerhafte Angaben und deren Folgen.
© Diplomica Verlag GmbH
http://www.diplom.de, Hamburg 2008
Printed in Germany
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
1
Inhalt
1. Management Summary ... 3
2. Einleitung ... 5
2.1. Ausgangslage ... 5
2.2. Zielsetzung ... 5
2.3. Vorgehensweise ... 6
3. Begriff des internen Kontrollsystems... 8
4. Bedeutung des internen Kontrollsystems ... 8
5. Ziel des internen Kontrollsystems... 9
5.1. Sicherheit... 9
5.2. Ordnungsmässigkeit ... 10
5.3. Wirtschaftlichkeit ... 10
6. Einordnung Abgrenzung Umfeld ... 11
6.1. Interne Revision... 13
6.2. Risikomanagementsystem (RMS) ... 13
6.3. Unternehmensinternes Umfeld des IKS... 14
6.3.1.
Unternehmenskultur ... 14
6.3.2.
Management... 15
6.3.3.
IT Landschaft als Grundlage zur Unterstützung... 16
6.3.4.
Beauftragte im Betrieb... 16
7. Gesetzliche Bestimmungen... 17
8. Gliederung des Internen Kontrollsystems ... 19
8.1. Organisationsgrundsätze ... 19
8.1.1.
Funktionstrennung... 19
8.1.2.
Kontrollspanne... 19
8.1.3.
Übereinstimmung Aufgabe Kompetenz Verantwortung... 20
8.2. Regelung der Arbeitsabläufe ... 20
8.3. Systematisch eingebaute Kontrollen (Kontrollautomatik)... 21
9. COSO - Framework als Referenz bei der Einführung eines IKS... 22
9.1. COSO Framework, weltweit akzeptiertes Rahmenwerk ... 22
9.2. Dimensionen des COSO Frameworks ... 22
9.3. Komponenten des COSO Frameworks... 23
9.3.1.
Kontrollumfeld... 23
9.3.2.
Risikobeurteilung... 25
9.3.3.
Kontrollaktivitäten ... 28
9.3.4.
Information und Kommunikation... 30
9.3.5.
Ueberwachung ... 30
9.3.6.
Qualitätsmanagement innerhalb des IKS... 32
10. Dokumentation des internen Kontrollsystems ... 34
11. Einsatz von Projektmanagement bei der Implementierung eines IKS... 35
11.1.
Begriff Projekt ... 35
11.2.
Projektplanung... 35
11.2.1.
Bestimmung der Projektorganisation ... 36
11.2.2.
Die Projektstartsitzung ... 38
11.2.3.
Erstellen eines Projektstrukturplanes... 39
11.3.
Die Projektdurchführung ... 40
11.3.1.
Arbeitspakete an Teammitglieder vergeben ... 40
11.3.2.
Projektsitzungen durchführen... 41
12. Einführung eines Internen Kontrollsystems in einem KMU Betrieb ... 42
12.1.
Bestimmung der Projektorganisation ... 42
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
2
12.2.
Planung und Terminierung des Projektes... 43
12.2.1.
Projektstartsitzung mit Grobplan ... 43
12.2.2.
Erstellen eines Projektstrukturplanes... 45
12.3.
Aufnahme und Anpassung des Kontrollumfeldes ... 50
12.3.1.
IST Aufnahme des Kontrollumfeldes... 50
12.3.2.
Ueberprüfung des Leitbildes, sowie der Strategie der Firma und der
Unternehmensziele ... 51
12.3.3.
Massnahmen zur Integrität und ethischem Verhalten der Belegschaft ... 52
12.3.4.
Sicherung der fachlichen und persönlichen Kompetenz der Belegschaft... 52
12.3.5.
Regelung von Zuständigkeiten und Verantwortlichkeiten ... 53
12.4.
Risikobeurteilung ... 53
12.4.1.
Welche Unternehmensziele sollen mit welchen Strategien umgesetzt werden? ... 53
12.4.2.
Identifikation und Bewertung der strategischen Risiken ... 53
12.4.3.
Ableitung der Prozessrisiken aufgrund der durchgeführten SWOT Analyse, sowie
Bewertung dieser Risiken ... 56
12.5.
Kontrollaktivitäten ... 66
12.5.1.
IST - Bestandesaufnahme der Geschäftsprozesse unter Einbezug des
bestehenden FLOH. Ermitteln von Schwachstellen... 66
13. Umzusetzende Massnahmen ... 84
13.1.
Kontrollumfeld... 84
13.1.1.
Leitbild ... 84
13.1.2.
Unternehmensstrategie... 86
13.1.3.
Zusätzliche Richtlinien zur Stärkung der ethischen Werte... 87
13.2.
Materialwirtschaft... 87
13.3.
Organisation Rechnungswesen... 88
13.4.
Verkauf ... 90
13.5.
Organisation Kundendienst ... 91
13.6.
Investitionen und Anlageverwaltung ... 93
13.7.
Personalwesen und Personaladministration... 93
13.8.
Versicherungswesen ... 94
13.9.
Information und Kommunikation ... 95
13.10. Bestimmung eines Verantwortlichen für die Betreuung des IKS ... 95
13.11. Ueberwachung ... 96
13.12. Qualitätsmanagement ... 97
13.13. Dokumentation ... 98
14. Schlussfolgerung, Erkenntnisse ... 99
15. Literaturverzeichnis ... 102
15.1.
Bücher ... 102
15.2.
Skripte ... 103
15.3.
Interviews ... 103
16. Verzeichnis der Darstellungen... 104
16.1.
Abbildungsverzeichnis:... 104
16.2.
Tabellenverzeichnis:... 104
17. Abkürzungsverzeichnis ... 105
18. Anhang... 106
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
3
1. Management
Summary
In der vorliegenden Arbeit wird aufgezeigt, wie ein Internes Kontrollsystem (IKS) im KMU
Betrieb der Tommaso AG eingeführt wurde.
Eine grosse Motivation, ein IKS bei der Tommaso AG einzuführen, war natürlich die neue
Aktienrechtsreform, die die Existenz eines IKS in Zukunft zwingend vorschreibt und das
IKS auch zum Prüfungsgegenstand der Revisionsstelle macht.
Ein weiterer Grund, der bei der Tommaso AG für eine Einführung eines IKS sprach, ist
die Tatsache, dass das Unternehmen zwar über eine Revisionsstelle verfügt, diese sich
aber vollumfänglich um die Abschlussprüfung der Jahresrechnung kümmert. Die Prüfung
der Betriebsabläufe soll in Zukunft vermehrt Beachtung finden. Es soll ein interner
Mitarbeiter bestimmt werden, der in Zukunft für ein funktionstüchtiges IKS verantwortlich
ist.
Auch bringt eine Einführung eines IKS dem Unternehmen einen grossen Nutzen
bezüglich Sicherheit und Wirtschaftlichkeit, weil die Betriebsabläufe durchleuchtet werden,
Doppelspurigkeiten eliminiert und wo nötig, Kontrollmechanismen eingeführt werden. Die
Einführung eines IKS ist also auch aufgrund dieser Gesichtspunkte lohnenswert.
Um die erwähnten Ziele zu erreichen, war es für den Projektleiter vorerst notwendig, sich
Fachkenntnisse aus einschlägiger Fachliteratur anzueignen, damit er über genügend
Kenntnisse verfügte, ein solches IKS einzuführen. Es war für den Projektleiter vor der
eigentlichen Einführung wichtig zu wissen, dass ein IKS dazu verwendet wird, um die
Geschäftsprozesse wirksam und effizient zu gestalten und um den Vermögensschutz in
der Unternehmung zu sichern. Das kann nur erreicht werden, in dem im Unternehmen die
Schwachstellen bei den Risikozonen der Betriebsabläufe ermittelt werden und
anschliessend aufgrund dieser Schwachstellen, Kontrollmechanismen in die
bestehenden Betriebsabläufe integriert werden, die schlussendlich noch in Form von
Arbeitsanweisungen dokumentiert werden.
Für den Projektleiter war es deshalb wichtig, dass er zu allen relevanten Prüfgebieten
wusste, welche Risiken dort vorkommen können. Er musste sich deshalb entsprechendes
Fachwissen aneignen, um die wichtigen Risiken und Schwachstellen erkennen zu
können.
Der Projektleiter musste sich auch Fachkenntnisse zu den vorhandenen IKS - Standards
aneignen, z.B. COSO, damit ihm bei seiner Arbeit ein Leitfaden zur Verfügung stand, der
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
4
für seine Vorgehensweise zweckdienlich war, weil dieser Leitfaden die Aufgaben bei der
Einführung eines IKS klar umriss.
Auch war es notwendig, dass sich der Projektleiter Fachkenntnisse zum
Projektmanagement aneignete, damit das Projekt gut strukturiert werden konnte und
gewährleistet war, dass alle wichtigen Aspekte für das Projekt gebührend berücksichtigt
wurden.
Nach der Aneignung der theoretischen Kenntnisse ging es an die praktische Umsetzung,
bei der sich der Projektleiter an das COSO Framework anlehnte. Es ging zuerst darum,
sich ein Bild über das Kontrollumfeld zu machen, bei dem Fragen wie Ethik und
Unternehmenskultur im Vordergrund stehen. Eine gesunde Ethik und Unternehmenskultur
sind wichtig, damit ein IKS im Unternehmen gut abgestützt ist. Die Einführung eines IKS
darf bei der Belegschaft nicht auf Ablehnung stossen, sonst wird das Projekt kaum
erfolgreich durchgeführt werden können.
Anschliessend wurden im Unternehmen die wichtigsten Risiken ermittelt, die
wirtschaftliche und wirksame Betriebsabläufe behindern könnten. Auch Risiken bezüglich
dem Vermögensschutz wurden ermittelt. Nach der Ermittlung der Risiken wurde versucht,
die Schwachstellen innerhalb dieser Risikozonen zu ermitteln.
Die Untersuchung hat aufgezeigt, dass bei etlichen Prüfgebieten, wie z.B. Organisation
Rechnungswesen, Materialwirtschaft und Organisation Kundendienst Schwachstellen
bestanden, für es in Zusammenarbeit mit den internen Abteilungen gilt, geeignete
Vorkehrungen in Form von Arbeitsanweisungen, Organisationsrichtlinien und
Kontrollautomatismen zu treffen, damit von einem wirksamen und effizienten IKS
gesprochen werden kann.
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
5
2. Einleitung
2.1. Ausgangslage
Unternehmenszusammenbrüche, wie der Fall Enron oder auch Swissair, aber auch das
nicht angebrachte Verhalten mancher Manager, haben aufgezeigt, in was für
unvorhergesehene finanzielle Schwierigkeiten ein Unternehmen geraten kann, wenn nicht
entsprechende interne Kontrollen bestehen, die dazu beitragen, den Vermögensschutz
sicherzustellen.
Auch sind die Unternehmen heute auf dem Markt vermehrt einer starken Konkurrenz
ausgesetzt und müssen dafür besorgt sein, dass in ihrem Betrieb wirtschaftliche und
wirksame Geschäftsprozesse bestehen, weil das schlussendlich auch zur besseren
Qualität der Produkte aber auch zu kostengünstigeren Betriebsabläufen führen kann, was
gegenüber der Konkurrenz ein nicht zu unterschätzender Vorteil darstellen kann.
Ein wirksam eingeführtes Internes Kontrollsystem kann für die Unternehmen eine grosse
Unterstützung bieten, dass die geschilderten Probleme nicht auftreten und kann somit
auch ein grosser Schutz für die Gläubiger und Aktionäre bieten.
Es ist deshalb ratsam, dass sich die Unternehmen darum bemühen, bei ihnen ein
Internes Kontrollsystem einzuführen, insbesondere auch, weil der Gesetzgeber das in
Zukunft vermehrt verlangt.
Die soeben beschriebenen Ausführungen waren für die Tommaso AG, in der in dieser
Arbeit Analysen bezüglich internen Kontrollen durchgeführt wurden, wichtige Gründe,
weshalb ein Internes Kontrollsystem eingeführt werden sollte.
2.2. Zielsetzung
Ziel dieser Arbeit ist es, für die Tommaso AG ein Internes Kontrollsystem einzuführen,
dass garantieren kann, dass im Unternehmen wirtschaftliche und wirksame
Geschäftsprozesse bestehen, die nachhaltig umgesetzt werden. Diese
Geschäftsprozesse sollen auch bezüglich dem Vermögensschutz Sicherheit bieten.
Für den Projektleiter ist es dabei wichtig, dass er bei der Einführung des Projektes die
Risikozonen bezüglich IKS in den Geschäftsprozessen klar erkennt und auf diese Weise
die Schwachstellen, die zu dolosen Handlungen führen können, ermitteln kann.
Gleichzeitig soll der Projektleiter bei dieser Tätigkeit auch die unwirtschaftlichen
Betriebsabläufe, bei denen z.B. Doppelspurigkeiten bestehen, verbessern.
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
6
Es geht in dieser Arbeit nicht darum, die Vorgesetzten dazu zu bewegen, ihre Mitarbeiter
noch stärker zu beaufsichtigen, sondern vielmehr darum, sie dazu zu bewegen, durch ihre
Verhaltensweisen, ihre Mitarbeiter dafür zu sensibilisieren, dass ein IKS für die Firma ein
grosser Nutzen stiften kann, nicht nur in Form von internen Kontrollmechanismen, die den
Vermögensschutz sicherstellen, sondern auch in Form von effizienten und wirksamen
Abläufen, die dem Unternehmen einen wirtschaftlichen Nutzen bringen können.
2.3. Vorgehensweise
Bei der Einführung eines internen Kontrollsystems in der Tommaso AG wird so
vorgegangen, dass zuerst der Begriff und anschliessend die Bedeutung des internen
Kontrollsystems erläutert werden. Ebenfalls werden die Ziele des internen
Kontrollsystems erklärt. Diese Tätigkeiten sind am Anfang der Arbeit recht wichtig, damit
überhaupt geklärt ist, um was es sich beim internen Kontrollsystem handelt und was
dessen Aufgaben sind. Insbesondere für den Projektleiter der Einführung des internen
Kontrollsystems müssen diese Begriffe geklärt sein, damit überhaupt eine praktische
Einführung möglich ist. Wenn der Projektleiter die Aufgaben und Ziele des internen
Kontrollsystems nicht kennt, wird er auch nicht in der Lage sein, ein solches System
einzuführen.
Anschliessend wird auf die gesetzlichen Bestimmungen näher eingegangen, weil das IKS
zukünftig in den gesetzlichen Vorschriften, aufgrund der immer schwierigeren
Wettbewerbssituation, bei der auch die Zahl der Konkursfälle zugenommen haben, eine
immer grössere Bedeutung erhält. Mit dem neuen Aktienrecht wird das IKS zum
Prüfungsgegenstand der Revisionsstelle, d.h. dass die Prüfungsanforderungen an die
Prüfer steigen. Auch für die Unternehmen selber entstehen dadurch neue
Herausforderungen, weil intern die Abläufe verbessert werden müssen und darauf
geachtet werden muss, dass diese Abläufe auch eingehalten werden.
Als weiterer Schritt wird in dieser Arbeit auf die Besonderheiten des COSO Framework
hingewiesen, weil diese Richtlinien für den Projektleiter der Einführung eines Internen
Kontrollsystems als Leitfaden angewendet werden sollen. Das COSO Framework
berücksichtigt alle wichtigen Aspekte, die für die Einführung eines Internen
Kontrollsystems wichtig sind, deshalb soll es für die Tommaso AG zum Zug kommen.
Sobald die theoretischen Grundlagen geschaffen sind, geht es an die praktische
Umsetzung. Dabei ist es wichtig, dass für das Projekt auch die Besonderheiten des
Projektmanagement einfliessen, damit das Projekt richtig strukturiert ist und alle
wesentlichen Aspekte auch berücksichtigt werden.
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
7
Es wird aufgezeigt, wie ein IKS nach dem COSO Ansatz eingeführt wird. Hier liegt auch
eindeutig der Schwerpunkt dieser Arbeit.
Es gilt dabei vorerst das Kontrollumfeld zu begutachten, ob in der Firma eine
Unternehmenskultur und ethische Werte bestehen, die es überhaupt möglich machen, ein
wirksames und wirtschaftliches IKS einzuführen. Darauf hin müssen die strategischen
Risiken ermittelt werden, aus denen die Risiken für die Geschäftsprozesse abgeleitet
werden.
Sobald die Risiken in den Geschäftsprozessen bekannt sind, sind auch die Prüfgebiete,
für die eine IST - Bestandesaufnahme durchgeführt werden soll, bekannt. Die IST -
Bestandesaufnahme bildet einen Hauptteil dieser Arbeit. Es geht dort vor allem darum,
die hauptsächlichen Schwachstellen in den Geschäftsprozessen zu ermitteln, für die
anschliessend Massnahmen vorzuschlagen sind, die in Form von Arbeitsanweisungen,
Organisationsrichtlinien und Kontrollmechanismen umzusetzen sind.
Am Schluss folgt noch eine Würdigung der Arbeit, bei der vor allem auch über die
positiven und negativen Erfahrungen im Zusammenhang mit der Einführung eines IKS bei
der Tommaso AG berichtet wird.
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
8
3.
Begriff des internen Kontrollsystems
Das interne Kontrollsystem ist ein Instrument, das das Management durch geeignete
Grundsätze, Verfahren und Massnahmen unterstützt, damit folgende Ziele erreicht
werden können:
1
wirtschaftliche und wirksame Geschäftsprozesse, um die Geschäftsziele optimal
umzusetzen.
Einhaltung der Gesetze und Vorschriften.
Ordnungsmässigkeit, Verlässlichkeit und Vollständigkeit der Buchführung.
Verlässlichkeit der Finanzberichterstattung.
Sicherstellen des Vermögensschutzes.
Angesprochen sind vor allem die betrieblichen Abläufe, die so organisiert werden müssen,
damit die erwähnten Ziele erreicht werden können. Dabei sind automatische
Kontrollmechanismen einzubauen, ohne dass dabei die Wirtschaftlichkeit der
Arbeitsabläufe vernachlässigt wird.
In das Interne Kontrollsystem sind auch alle organisatorischen Sicherungsmassnahmen,
wie die Funktionstrennung, einzubeziehen, aber auch interne Prüfungen, die periodisch
von der internen Revision durchgeführt werden.
2
4. Bedeutung des internen Kontrollsystems
,,Im Spannungsfeld der unternehmerischen Nutzung von Chancen und der gleichzeitigen
Beherrschung von Risiken erhält die Verankerung eines effektiven Kontrollsystems eine
entscheidende Bedeutung für das Management."
3
Die Produktlebenszyklen sind in der heutigen Zeit je nach Branche sehr kurz. Es kommen
immer wieder neue innovative Produkte auf den Markt. Die Gefahr, dass die Konkurrenz
schneller agiert, ist recht gross, wenn die Chancen, die sich auf dem Markt ergeben, nicht
rechtzeitig genutzt werden. Eine wesentliche Aufgabe des Management ist es natürlich,
die sich bietenden Chancen rechtzeitig zu erkennen und sie zu nutzen.
Dem Management muss dabei aber klar bewusst sein, dass alle Aktionen die vom
Management und auch den Mitarbeitern in der Firma unternommen werden, jeweils mit
1
Lück, Wolfgang, 2006, S. 39
2
Lück, Wolfgang, 2000, S. 53
3
Lück, Wolfgang, 2006, S. 35
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
9
Kosten und Zeit verbunden sind. Kosten und Zeit sind in der heutigen Zeit für jedes
Unternehmen von grosser Bedeutung. Zu viele Fehlentscheidungen darf sich kein
Unternehmen erlauben, weil es sonst in der heutigen verschärften Konkurrenzsituation
nicht mehr die Möglichkeit hat, gegenüber der Konkurrenz zu bestehen.
Ein internes Kontrollsystem kann in diesem Spannungsumfeld sehr wertvoll sein, weil es
für das Management die externe und interne Transparenz schafft.
4
Ein internes Kontrollsystem hat die Aufgabe, die betrieblichen Abläufe so zu gestalten,
dass in der Unternehmung effektiv und effizient gearbeitet wird. Weiter sind in einem gut
funktionierenden internen Kontrollsystem die Geschäftsprozesse und Zuständigkeiten
eindeutig geregelt, was zur Risikominderung beiträgt. Insbesondere die internen
Kontrollmechanismen tragen zu einer Risikominderung bei.
5. Ziel des internen Kontrollsystems
,,Es sollen in jedem Unternehmen planvoll Methoden und Massnahmen mit oder ohne
Kontrollcharakter in der Organisation gesetzt werden, die
das Vermögen des Unternehmens sichern,
die betriebliche Effizienz und Wirtschaftlichkeit zu steigern,
die Zuverlässigkeit des Rechnungs- und Berichtswesens gewährleisten,
die Einhaltung der vorgeschriebenen Geschäftsrichtlinien und gesetzlichen
Vorschriften sicherstellen."
5
Das interne Kontrollsystem darf nicht als reiner Kontrollmechanismus verstanden werden.
Es ist auch wichtig, dass die betrieblichen Abläufe effektiv, effizient und transparent
gestaltet werden. Diese Einrichtungen erleichtern somit natürlich auch das Aufdecken von
Kostensenkungspotenzialen und nicht zuletzt auch die Einführung von
Rationalisierungsmassnahmen.
5.1. Sicherheit
Sicherheit heisst in diesem Zusammenhang, dass bei der Gestaltung der betrieblichen
Abläufe alle Massnahmen getroffen werden, damit dem Unternehmen kein Schaden am
Vermögen entsteht. Die getroffenen Massnahmen müssen wirtschaftlich sein.
6
4
Lück, Wolfgang, 2006, S. 35
5
Klinger; Klinger, 1998, S.12
6
Klinger; Klinger, 1998, S. 12
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
10
Es ist wichtig, dass Sicherheitsmechanismen eingeführt werden, die dafür sorgen, dass
Schadenereignisse möglichst vermieden werden können. Sie sind zweckmässig in die
wirtschaftlichen Abläufe zu integrieren und es muss anschliessend im Betrieb dafür
gesorgt werden, dass die vorhandenen Abläufe auch eingehalten werden. Instanzen, die
dafür besorgt sind, dass die Abläufe in richtiger Form eingehalten werden, sind die
Vorgesetzten aber auch die interne Revision.
Wichtig ist in diesem Zusammenhang auch, dass laufend überprüft wird, wo sich die
grössten Risiken im Betrieb überhaupt befinden, und dass versucht wird, vor allem bei
diesen Risiken die Abläufe zu optimieren oder wirksame Prüfungen der internen Revision
durchführen zu lassen. Die Risiken sind laufend auf ihre Gefahrenerhöhung zu
überprüfen.
7
5.2. Ordnungsmässigkeit
,,Die Ordnungsmässigkeit in den Geschäftsabläufen ist immer dann gegeben, wenn die
Sachliche Richtigkeit
Formelle Richtigkeit
Vollständigkeit
Termingerechte Durchführung
Dokumentation
Nachvollziehbarkeit
Einhaltung der gesetzlichen Vorschriften
gewährleistet ist.
8
5.3. Wirtschaftlichkeit
Das IKS muss sicherstellen, dass die betrieblichen Abläufe regelmässig auf ihre
Wirtschaftlichkeit überprüft werden.
9
Doppelspurigkeiten sind zu vermeiden. Die Abläufe sollen möglichst effizient und
kostengünstig gestaltet werden, ohne dabei die Wirksamkeit der Kontrollautomatismen zu
gefährden.
7
Klinger; Klinger, 1998, S. 12
8
Klinger; Klinger, 1998, S.13
9
Klinger; Klinger, 2000, S. 8
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
11
6. Einordnung Abgrenzung Umfeld
,,Die Unternehmensprävention bildet den nicht exakt abgrenzbaren Raum aus Hard- und
Soft-Facts, der sich mit der Zukunftssicherung einer Organisation in seiner Chancen- bzw.
Risikolage auseinandersetzt."
10
Die Hard-Facts bilden die einzelnen Systeme. Dazu gehören die organisierten und
geregelten Systeme der Risikomanagement-, Überwachungs- und Revisionsfunktion.
11
,,Die wesentlich schwieriger fassbaren Soft-Facts wie z.B. die allgemeine Risikolage, die
Unternehmens- (risiko- und -kontroll) kultur, das Vertrauen auf Personal, Qualifikation,
technische Anlagen und sonstiges Equipment, das Risikobewusstsein der Mitarbeiter, die
potenzielle Risikofreude des Managements, die Gewinn und Qualitätsorientierung
beeinflussen massgeblich die Unternehmensprävention."
12
Bereits anhand des Wortes ,,Unternehmens (risiko- und -kontroll) -kultur" kann sehr gut
erläutert werden, dass die Soft-Facts einen sehr grossen Einfluss auf die
Unternehmensprävention und damit auch auf die unternehmerische Ausrichtung der
Unternehmung haben.
Vorangestellt ist die Unternehmenskultur, die entscheidend ist, ob betriebsintern auf allen
Stufen die Bereitschaft besteht, sich mit den Zielen, Strategien und den damit
einhergehenden Unternehmensrisiken auseinanderzusetzen.
Nur wenn die Geschäftsleitung intern klar kommuniziert, welche Unternehmensziele und
Unternehmensstrategien verfolgt werden und welche Unternehmensrisiken, denen mit
entsprechenden Kontrollaktivitäten begegnet werden muss, damit verbunden sind, kann
davon ausgegangen werden, dass die Massnahmen, die von der Geschäftsleitung
eingesetzt werden, um diese Unternehmensprävention zu erreichen, auch erfolgreich
sind.
Es muss bereits auf Geschäftsleitungsebene das Bewusstsein bestehen, dass
Massnahmen zur Unternehmensprävention erforderlich sind. Dann besteht auch die
Gewähr, dass von ihr der Zweck solcher Massnahmen auch rechtzeitig und in richtiger
Form auf allen Stufen kommuniziert wird, damit eine wirksame Unternehmensprävention
erreicht werden kann.
10
Institut für Interne Revision Oesterreich - IIA Austria, 2004, S. 20
11
Institut für Interne Revision OesterreIch - IIA Austria, 2004, S. 20
12
Institut für Interne Revision Oesterreich - IIA Austria, 2004, S. 20
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
12
Bezüglich den Hard-facts gilt es zu erwähnen, dass das IKS (organisatorische Basis und
Kontrollmechanismen) dem internen Ueberwachungssystem zuzuordnen ist, dem auch
die Interne Revision angehört.
13
Das IKS besteht aus organisatorischen Regelungen und Kontrollmechanismen, die in die
Geschäftsprozesse eingebunden werden. Es ist zudem operativ und prozessorientiert
ausgerichtet.
14
Das IKS wird von der internen Revision geprüft, damit sichergestellt
werden kann, dass die Wirksamkeit der Geschäftsprozesse aktualisiert oder sogar noch
verbessert werden kann. Die interne Revision nimmt noch andere Aufgaben, z.B.
innerhalb des Risikomanagement wahr.
15
Zu den Hard-facts der Unternehmensprävention gehört auch das Controlling und das
Risikomanagementsystem (RMS).
Auf der strategischen Ebene befasst sich das Risikomanagementsystem vorwiegend mit
Fragen der Risikosituation und deren Bewältigung. Das strategische Controlling befasst
sich hauptsächlich mit den Chancen und Risiken des Unternehmens, sowie dessen
Erfolgspotenzialen. Bestandteil sowohl des Risikomanagementsystems als auch des
strategischen Controlling ist das Früherkennungssystem, das seine Inputs von den
operativen Wissensträgern aus den operativen Bereichen erhält und diese Inputs
entsprechend bündelt und koordiniert.
16
Sowohl das Risikomanagementsystem als auch das strategische Controlling befassen
sich mit Risiken, denen, sobald sie ermittelt sind, entsprechende Massnahmen folgen, um
den Risiken zu begegnen. Es ist nahe liegend, dass die getroffenen Massnahmen, die
vom Risikomanagementsystem und dem Controlling abgeleitet werden, in das IKS
einfliessen. Ein Ziel des IKS ist es, in der Unternehmung wirksame und effiziente
Geschäftsprozesse zu schaffen. Diesem Ziel kann nur Rechnung getragen werden, wenn
auch Massnahmen des Risikomanagements und des Controllings in diese
Geschäftsprozesse einfliessen, vor allem deshalb, weil Massnahmen des
Risikomanagements und des strategischen Controllings wesentlich zur
Unternehmensprävention und zum wirtschaftlichen Erfolg einer Unternehmung beitragen.
Die Systeme Internes Überwachungssystem, dessen Bestandteil auch das IKS ist, das
Risikomanagementsystem und das Controlling funktionieren nicht unabhängig
13
Institut für interne Revision Oesterreich - IIA Austria, 2004, S. 20
14
Institut für interne Revision Oesterreich - IIA Austria, 2004, S. 19
15
Institut für interne Revision Oesterreich - IIA Austria, 2004, S. 21
16
Institut für Interne Revision Oesterreich - IIA Austria, 2004, S. 20
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
13
voneinander. Sie sind miteinander verknüpft. Das operative Controlling orientiert sich an
der Wirtschaftlichkeit der betrieblichen Prozesse und im operativen Risikomanagement
werden Änderungen in den organisatorischen Regelungen beschlossen. Hier wird die
direkte Brücke zum IKS, mit seinen klassischen Bestandteilen, organisatorische
Regelungen und Kontrollmechanismen geschlagen.
17
6.1. Interne
Revision
,,Die interne Revision erbringt unabhängige und objektive Prüfungs- (,,assurance"-) und
Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und
die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung
ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität
des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse
bewertet und verbessern hilft."
18
Abgrenzung Internes Kontrollsystem und Interne Revision
Das IKS hat die Aufgabe, wirksame und effiziente Geschäftsprozesse sicherzustellen.
Das geschieht mittels organisatorischen Regelungen und der Einführung von wirksamen
Kontrollmechanismen, die in die Geschäftsprozesse integriert werden.
Die Aufgabe zur Einrichtung eines IKS obliegt dem Management und nicht der internen
Revision.
Die interne Revision hat vielmehr die Aufgabe das IKS zu prüfen und bei vorhandenen
Schwachstellen die Geschäftsleitung zu beraten, d.h. dass die interne Revision auch
Massnahmen ausarbeiten und vorschlagen sollte, damit Verbesserungen in den
Geschäftsprozessen eingeführt werden können.
19
6.2. Risikomanagementsystem
(RMS)
,,Das Risikomanagement setzt sich aus strategischer Sicht mit dem Handling reiner
(schadensverursachender) und spekulativer (auch Gewinnchancen in sich tragender)
Risiken auseinander.
Es besteht aus
der Risikopolitik,
17
Institut für interne Revision Öesterreich IIA Austria, 2004, S. 20
18
Institut für interne Revision Oesterreich IIA Austria, 2004, S. 21
19
Institut für Interne Revision Oesterreich IIA Austria, 2004, S. 22
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
14
dem Früherkennungssystem und
dem operativen Risikomanagement,
wobei die Übergänge zwischen den drei Bereichen fliessend sind."
20
Das Management bestimmt die Risikopolitik, nach der sich alles weitere auszurichten hat.
In der Risikopolitik wird versucht, die wirtschaftlichen, sozialen und finanziellen Ziele
abzusichern. Es werden die unternehmerischen Grundsätze zum Risikomanagement
festgelegt, wobei die folgenden Fragen behandelt werden:
21
,,Welche risikopolitischen Strategien verfolgt das Unternehmen (risikofreudig,
risikoneutral, risikoscheu)?
Wie sieht der daraus resultierende optimale Risk-Management-Mix auf operativer
Ebene aus?"
22
Das Früherkennungssystem ist ein intelligentes, sich weiterentwickeltes System, das aus
quantitativen und qualitativen Planungs-, Steuerungs- und Kontrollinstrumenten besteht,
die vor allem das Ziel verfolgen, bestandesgefährdende Risiken zu ermitteln, denen im
operativen Risikomanagement mit entsprechenden Massnahmen begegnet wird.
23
Die erwähnten Massnahmen bestehen aus Regelungen in Form von Richtlinien und
Arbeitsanweisungen. Dadurch wird die Brücke zum IKS geschlagen. Die Überwachung
dieser Regelungen auf Wirksamkeit und Wirtschaftlichkeit ist anschliessend die Aufgabe
der internen Revision.
24
6.3. Unternehmensinternes Umfeld des IKS
6.3.1. Unternehmenskultur
,,Die Unternehmenskultur umfasst alle für ein Unternehmen typischen Wertvorstellungen,
Grundsätze, Normen und Denkweisen, die das Verhalten der Mitarbeiter auf allen Ebenen
des Betriebes beeinflussen und prägen.
20
Institut für Interne Revision Oesterreich IIA Austria, 2004, S. 23
21
Institut für Interne Revision Oesterreich IIA Austria, 2004, S. 23
22
Institut für Interne Revision Oesterreich IIA Austria, 2004, S. 23
23
Institut für interne Revision Oesterreich IIA Austria, 2004, S. 23
24
Institut für Interne Revision Oesterreich IIA Austria, 2004, S. 24
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
15
Sie ist die Summe der Regeln, die so gut funktionieren, dass sie zu ungeschriebenen
Gesetzen werden und jeder nachfolgenden Generation als richtige Art des Denkens, des
Fühlens und des Handelns weitergegeben werden.
Wie ein IKS aufgebaut, eingeführt, akzeptiert und gewartet wird, hängt in hohem Masse
von der Unternehmenskultur und dem Unternehmensumfeld ab.
Um die nötige Akzeptanz eines IKS zu erreichen, muss es gelingen, dieses nicht als
Instrument des Misstrauens zu installieren, sondern einen (allgemeinen) Nutzen erkennen
zu lassen. Ein einheitliches und transparentes IKS fördert die Sensibilität für nationale und
internationale Risiken in allen Unternehmensebenen. Eine wichtige Rolle wird auch die
Fehlerkultur sowie die Fehlertoleranz in einem Unternehmen spielen
Dies stellt sich unabhängig von der Art des Unternehmens dar, dennoch wird abhängig
von der Branche, in der das Unternehmen tätig ist das Kontrollbewusstsein
unterschiedlich ausgeprägt sein
Die Vorbildwirkung des Managements hinsichtlich des IKS spielt eine wichtige Rolle für
die Akzeptanz bei den Mitarbeitern."
25
6.3.2. Management
,,In jeder Organisation ist es eine Aufgabe des Managements (Geschäftsleitung und
Führungskräfte), im Rahmen seiner Verantwortung für die Gestaltung eines wirksamen
Kontrollumfeldes zu sorgen.
Aufgaben und Verantwortlichkeiten des Managements:
Schaffung eines Kontrollumfeldes durch Schaffung einer positiven ethischen
Grundhaltung;
Schaffung von Kontrollmassnahmen auf der Grundlage einer vorgenommenen
Risikoanalyse;
klare Abgrenzung der Kompetenzen und Verantwortlichkeiten;
Sorge zu tragen, dass die Mitarbeiter nachhaltig über die zur Erfüllung ihrer
Aufgaben erforderlichen Fähigkeiten verfügen;
Ueberwachung der Kontrollmassnahmen innerhalb der Organisation durch jährliche
Evaluierung.
25
Institut für Interne Revision Oesterreich IIA Austria, 2004, S. 25
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
16
Der Geschäftsleitung obliegt es, den Aufbau eines angeDrehenen und wirksamen IKS zu
veranlassen. Die Führungskräfte (Prozessverantwortlichen) sind dafür verantwortlich,
entsprechende interne Kontrollen einzurichten, zu überprüfen und im Hinblick auf ihre
Wirksamkeit zu verbessern."
26
6.3.3.
IT Landschaft als Grundlage zur Unterstützung
,,Idealerweise stellt heutzutage die Informationstechnologie (IT) in einem Unternehmen die
Basis für den Aufbau und die Funktion der Kontrollen eines IKS dar, welche für
allgemeine Beschreibungen und zur Unterstützung der Geschäftsprozesse genutzt
werden muss, um eine gewisse Effizienz bei der Abwicklung zu erreichen."
27
In dieser Eigenschaft kann das IT:
Unternehmensgrundlagen wie Stellenbeschreibungen und Arbeitsanweisungen in
elektronischer Form erstellen und laufend up to date halten.
Als Tool für das Erfassen und die Bewertung von Risiken eingesetzt werden, sowie
zur Ueberprüfung der daraus abgeleiteten Massnahmen.
Als Hilfsmittel für die risikoorientierte Prüfungsplanerstellung und deren Umsetzung
der Internen Revision eingesetzt werden.
28
6.3.4.
Beauftragte im Betrieb
Es ist zu empfehlen, dass in der Unternehmung für bestimmte Aufgaben verantwortliche
Personen bestimmt werden. Beispielsweise sollte nach der Einführung eines QM Systems
ein QM Verantwortlicher bestimmt werden, der dafür verantwortlich ist, dass das System
ständig aktualisiert wird und ein gewisser Standard aufrechterhalten wird.
Auch für bestimmte Fachgebiete lassen sich verantwortliche Personen bestimmen,
beispielsweise für die Einhaltung von bestimmter Vorschriften im Personalbereich.
29
,,Die sachkundige Tätigkeit der Beauftragten wirkt durch die Überwachung der Einhaltung
von Rechtsvorschriften, die Beratung bei der Prozessgestaltung, die Wahrnehmung der
Aufsichtsfunktion als Prozessverantwortliche oder neben diesen, ihrer Rolle in der
Prävention usw. natürlich auch stabilisierend auf das IKS und ist daher bei der Prüfung
durch die interne Revision besonders zu berücksichtigen."
30
26
Institut für Interne Revision Oesterreich IIA Austria, 2004, S. 25 f
27
Institut für Interne Revision Oesterreich IIA Austria, 2004, S. 26
28
Institut für Interne Revision Oesterreich IIA Austria, 2004, S. 26
29
Institut für Interne Revision Oesterreich IIA Austrai, 2004, S. 27
30
Institut für Interne Revision Oesterreich IIA Austria, 2004, S. 27
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
17
7. Gesetzliche
Bestimmungen
Mit der Aktienrechtsreform in der Schweiz kommt dem internen Kontrollsystem
neuerdings eine grosse Bedeutung zu. Neu wird nämlich im Aktienrecht festgehalten,
dass das interne Kontrollsystem ein Prüfungsgegenstand der Revisionsstelle ist.
31
Durch die neuen Vorschriften, die im OR unter Art. 728 beschrieben sind, erhält die
Revisionsstelle die folgenden neuen Aufträge:
32
Es ist zu prüfen, ob ein internes Kontrollsystem überhaupt existiert.
Bei der Durchführung und Festlegung des Umfanges der Prüfungshandlungen ist
das interne Kontrollsystem zu berücksichtigen.
Dem Verwaltungsrat muss ein umfassender Bericht mit den Feststellungen über die
Rechnungslegung, das interne Kontrollsystem sowie über die Durchführung und
Ergebnis der Prüfung abgegeben werden.
Der Generalversammlung ist schriftlich ein zusammenfassender Bericht über das
Ergebnis der Revision zu erstatten, in dem nebst anderen Angaben ausdrücklich
auch eine Stellungnahme zum Ergebnis der Prüfung, die auch den Hinweis auf
festgestellte Mängel im IKS beinhaltet, abgibt.
Durch die neuen Aufträge muss die Revisionsstelle ihre Prüfungshandlungen ausweiten,
sonst kann sie den neuen Vorschriften nicht gerecht werden. Die Revisionsstelle muss in
Zukunft, zusätzlich zu den bisherigen Tätigkeiten, die folgenden Aufgaben wahrnehmen,
damit sie den neuen Vorschriften, die an sie gestellt werden, einhalten kann:
33
Da die Revisionsstelle die Existenz eines IKS überprüfen muss kommt sie nicht
darum herum, zu prüfen, ob interne Kontrollen bestehen, die auf mögliche Risiken
und Schwachstellen in den Betriebsprozessen ausgerichtet sind. Die Revisionsstelle
hat zu prüfen, ob aus Gründen der Effizienz und Wirksamkeit, diese Kontrollen
aufeinander abgestimmt sind und auch keine Doppelspurigkeiten bestehen.
Die Revisionsstelle hat weiter zu prüfen, ob eine zweckmässige Dokumentation
besteht, in der die Betriebsabläufe und Risikoüberlegungen sowie darauf
ausgerichtete Kontrollmassnahmen beschrieben sind.
31
Pricewaterhouse Coopers, 2006, S. 17
32
Meyer; Pfaff, 2007, S. 150 f
33
Meyer; Pfaff, 2007, S. 154 f
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
18
Weiter hat die Revisionsstelle zu prüfen, ob die vorgesehenen Kontrollen auch
durchgeführt werden und ob diese Kontrolltätigkeiten überwacht werden und
nachvollziehbar sind.
Zudem muss die Revisionsstelle noch prüfen, ob das IKS über eine angeDrehene
Qualität bezüglich Dokumentation und Nachvollziehbarkeit aufweist, weil sonst die
Wirksamkeit des IKS in Frage gestellt ist.
Das IKS wird neu zu einem separaten Prüfungsgegenstand und ist nicht mehr nur ein
instrumentaler Teil der Abschlussprüfung zur Bestimmung des Umfanges der übrigen
Prüfungshandlungen.
34
Die Revisionsstelle muss neu insbesondere auch prüfen, ob das
IKS Mängel aufweist und hat darüber der Generalversammlung und dem Verwaltungsrat
Bericht zu erstatten.
Da das IKS neu Gegenstand der Berichterstattung an den Verwaltungsrat und allenfalls
der Berichterstattung an die Generalversammlung ist, erhöht sich für die Revisionsstelle
das Haftungsrisiko. In den Feststellungen über das Interne Kontrollsystem zuhanden des
Verwaltungsrates und in der Stellungnahme zum Ergebnis der Prüfung zuhanden der
Generalversammlung könnte eine Sorgfaltspflichtverletzung liegen. Eine solche kann z.B.
darin bestehen, dass die Revisionsstelle wesentliche Lücken des IKS oder Mängel der
Funktionsfähigkeit nicht oder nicht genügend deutlich anspricht.
35
Aufgrund der Ausführungen wird ersichtlich, dass zukünftig für die Revisionsstelle und
auch für die Unternehmen, die ein IKS nachweisen müssen, grosse Anstrengungen
gemacht werden müssen, um die gesetzlichen Anforderungen zu erfüllen. Die
Revisionsstellen müssen über Fachkräfte verfügen, die in der Lage sind, ein IKS bei den
Unternehmen einzuführen und die auch in der Lage sind, dieses IKS jährlich zu prüfen.
Das bedingt qualifizierte Kenntnisse zu den bestehenden Betriebsprozessen aber auch
sehr gute Revisionskenntnisse.
Auch in den Unternehmen selber muss ein eingeführtes IKS gelebt werden. Es muss
ständig aktualisiert werden, den neuen betrieblichen Gegebenheiten angepasst werden.
Das ist mit einer grossen Herausforderung für die Geschäftsleitung verbunden, die dafür
zu sorgen hat, dass ihr qualifizierte Mitarbeiter zur Verfügung stehen, die in der Lage
sind, ein eingeführtes IKS anzuwenden und hiefür in ihrem Bereich auch Verantwortung
übernehmen, damit die Betriebsprozesse einwandfrei eingehalten werden und die
notwendigen Kontrollmechanismen vorhanden bleiben.
34
Meyer; Pfaff, 2007, S. 142
35
Meyer; Pfaff, 2007, S. 165 f
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
19
8. Gliederung des Internen Kontrollsystems
8.1. Organisationsgrundsätze
8.1.1. Funktionstrennung
Gemäss dem Grundsatz der Funktionstrennung lassen sich die folgenden Tätigkeiten
nicht vereinbaren:
Genehmigung
Durchführung
Verbuchung
Kontrolle
36
Es ist wichtig, dass kein Geschäftsvorfall vom Anfang bis zum Ende in einer Hand liegt.
Sofern der Geschäftsprozess von mehreren Personen stufenweise von der Genehmigung
bis zur Kontrolle durchgeführt wird, und diese Personen sich gegenseitig kontrollieren,
besteht die Gewähr, dass das Vermögen innerhalb der Unternehmung geschützt wird und
die betrieblichen Abläufe fehlerfrei funktionieren, d.h. wirksam sind.
37
Es ist aber darauf zu achten, dass bei der Funktionstrennung und den damit verbundenen
Kontrollaktivitäten das Prinzip der Wirtschaftlichkeit nicht vernachlässigt wird. Die
vorhandenen Kontrollen sollen wirksam und effizient sein, sie sollen die
Unternehmensziele nicht durch Zeitverzögerungen behindern, sondern bewirken, dass die
definierten Geschäftsprozesse eingehalten und somit die vorgegebenen
Unternehmensziele erreicht werden.
Eine Funktionstrennung lässt sich im Arbeitsablauf nicht immer einhalten. In solchen
Fällen empfiehlt es sich, die persönliche Überwachung zu verstärken.
38
8.1.2. Kontrollspanne
Einem Vorgesetzten sollen nur so viele Mitarbeiter unterstellt werden, dass er noch in der
Lage ist, wirksam zu führen. Er muss die Übersicht bewahren können. Ebenfalls ist die Art
36
Klinger; Klinger, 2000, S. 9
37
Klinger; Klinger, 2000, S. 10
38
Klinger; Klinger, 2000, S. 10
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
20
der Aufgaben mitbestimmend, wie viele Mitarbeiter einem Vorgesetzten unterstellt werden
können. Arbeiten mit Routinecharakter lassen sich leichter überwachen.
39
8.1.3.
Übereinstimmung Aufgabe Kompetenz Verantwortung
Es ist in der Praxis recht schwierig, die Uebereinstimmung von Aufgabe, Kompetenz und
Verantwortung zu erreichen. Die Unternehmensleitung muss sich dann aber bewusst
sein, dass eine solche Situation eine potentielle Schwachstelle darstellt. Diese
Schwachstelle muss von der übergeordneten Stelle in die direkte Ueberwachung
einbezogen werden.
40
Es ist anzunehmen, dass ein Projektleiter, der ein komplexes Projekt durchführen muss,
dafür Terminvorgaben erhält und die entsprechenden Ressourcen an Personal und
technischen Einrichtungen bereitstellen muss, sich vermehrt um einen sparsamen
Umgang mit den vorhandenen Ressourcen kümmert, sofern er bei Projektabschluss auch
die Verantwortung für das Betriebsergebnis trägt.
Sofern ihm das von einer höheren Instanz nicht kommuniziert wird, steht für ihn in erster
Linie im Vordergrund, dass er das Projekt zeitgerecht über die Bühne bringen kann, ohne
dass das Kostenbewusstsein für ihn eine wichtige Rolle spielt. Nach Möglichkeit sollte ein
Mitarbeiter, der mit einer Aufgabe betraut wird, schlussendlich auch eine entsprechende
Verantwortung tragen.
8.2. Regelung der Arbeitsabläufe
Eine weitere wichtige selbsttätige Sicherungsmassnahme ist die Regelung der
Arbeitsabläufe. Durch folgende Einrichtungen und Vorkehrungen kann das erreicht
werden:
41
Erstellen von detaillierten Arbeits- und Organisationsanweisungen
Festlegung der zu akzeptierenden Abweichungstoleranzen
Stellenbeschreibungen, die das Ziel, die Kompetenz und die Aufgaben der einzelnen
Stellen klar definieren.
Vollmachts- und Befugniserteilung
Bewilligungsverfahren für sensible Geschäftsfälle
Festlegung der administrativen Abläufe zur Vermeidung von geschäftsschädigenden
Handlungen
39
Klinger; Klinger, 2000, S. 10
40
Klinger; Klinger, 2000, S. 11
41
Klinger; Klinger, 2000, S. 11 f
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
21
Protokollierung von Soll / Ist Abweichungen vordefinierter Geschäftsabläufe
Die Geschäftsvorfälle sollten auch dokumentiert werden, damit der Vorgang
transparent bleibt und auch von einem Dritten in angeDrehener Zeit nachvollzogen
werden kann.
42
Das Erstellen der oben erwähnten Dokumente bedingt auch, dass das Management und
die Mitarbeiter in der Unternehmung sich intensiv mit den betrieblichen Abläufen
auseinandersetzen müssen, damit geeignete Vorkehrungen und Dokumente, die den
Betrieb wirksam und effizient unterstützen können, überhaupt entstehen. Dadurch kann
bewirkt werden, dass Schwachstellen im Betrieb aufgedeckt werden und die Abläufe
effizienter und sicherer gestaltet sind. Im weiteren geht mit diesem Vorgehen auch ein
sehr grosser Lerneffekt einher, weil an den vorhandenen oder noch zu errichtenden
Abläufen alles detailliert hinterfragt werden muss.
8.3. Systematisch eingebaute Kontrollen (Kontrollautomatik)
Bei den manuellen Arbeitsabläufen empfiehlt es sich so vorzugehen, dass das
Vieraugenprinzip zum Zuge kommt.
43
Es empfiehlt sich, diese Kontrollautomatismen, z.B. in Form von
Unterschriftenregelungen, systematisch in die Betriebsabläufe einzubauen. So kann eine
höhere Sicherheit gewährleistet werden, dass Schwachstellen in den betrieblichen
Abläufen eliminiert werden können, weil nicht die gleiche Person den Geschäftsprozess
von der Durchführung bis zur Kontrolle vollzieht, sondern mehrere Personen sich durch
wirksame Kontrollaktivitäten gegenseitig unterstützen.
Massnahmen zur Kontrollautomatik lassen sich auch oft bei den EDV unterstützten
Programmen finden, z.B. in Form von automatischer Belegnummernvergabe oder auch
der automatischen Protokollierung zur Identifizierung des Verursachers bei Veränderung
von Daten.
44
42
Klinger; Klinger, 2000, S. 13
43
Klinger, Klinger, 2000, S. 14
44
Klinger; Klinger, 2000, S. 14 f
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
22
9. COSO - Framework als Referenz bei der Einführung
eines IKS
9.1. COSO Framework, weltweit akzeptiertes Rahmenwerk
,,Das ,,Internal Control Integrated Framework" des ,,Committee of Sponsoring
Organizations of the Treadway Commission (1992)", im folgenden kurz COSO
Framework genannt, liefert ein strukturiertes Rahmenwerk und gibt eine implementierbare
Architektur für ein internes Kontrollsystem (IKS) vor.
Die sich aus dem Sarbanes-Oxley Act ergebenden Anforderungen an die Ausgestaltung
eines IKS können gleichzeitig als Vorzüge des COSO Frameworks angesehen werden:
Globale Akzeptanz und damit entsprechender Verbreitungsgrad.
Vollständigkeit bezogen auf alle Elemente eines IKS.
Sicherstellung einer qualitativen und quantitativen Bewertung.
Gewährleistung einer Vergleichbarkeit des Reporting."
45
Das COSO Konzept wird nicht zwingend vorgeschrieben. Für einen KMU Betrieb, der
spezielle Drehteuerungen herstellt, ist es aber sicher von Vorteil, wenn der Aufbau und
die Komponenten des COSO Konzeptes bekannt sind und teilweise auch umgesetzt
werden.
Es empfiehlt sich aber für einen KMU Betrieb, der in einem speziellen Marktsegment tätig
ist, auch die eigenen Gegebenheiten einzubeziehen. Die Einführung eines IKS muss
wirtschaftlich sein, deshalb sollte jeweils eine individuelle Lösung angestrebt werden, die
alle wesentlichen betriebsspezifischen Elemente enthält.
9.2. Dimensionen des COSO Frameworks
Das COSO Framework besteht aus 3 Dimensionen, die einander gegenseitig
beeinflussen.
Es sind die Zielfunktionen der Unternehmung zu berücksichtigen. Ebenso stellen die 5
Ebenen der Steuerungsaktivitäten zentrale Kernelemente des COSO Frameworks dar
und sind gleichzeitig die Grundlage für den Prüfungsansatz.
46
45
Lück, Wolfgang, 2006, S. 39
46
Lück, Wolfgang, 2006, S. 41
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
23
A
A
b
b
b
b
.
.
1
1
:
:
C
C
O
O
S
S
O
O
D
D
i
i
m
m
e
e
n
n
s
s
i
i
o
o
n
n
e
e
n
n
9.3. Komponenten des COSO Frameworks
9.3.1. Kontrollumfeld
,,Das Kontrollumfeld resultiert aus dem Leitbild des Unternehmens und individuellen
Eigenschaften der Mitarbeitenden. Es reicht von Fragen der Integrität und ethischen
Grundwerten bis zur Organisationsstruktur und Kompetenzsicherung. Der ,,tone at the
top", d.h. der Führungsstil des Managements hat zudem eine grosse Auswirkung auf die
Umsetzung der spezifischen Vorgaben."
47
Im folgenden werden die wichtigsten Aspekte zum Kontrollumfeld kurz beschrieben.
a)
Integrität und ethisches Verhalten
,,Integrität und ethisches Verhalten der Mitarbeitenden beeinflussen massgeblich die
Wirksamkeit der internen Kontrolle."
48
Es ist wichtig, dass die Vorgesetzten ihre Mitarbeiter durch Ihren Führungsstil
dahingehend beeinflussen, dass eine positive Einstellung zu den Kontrollaktivitäten
entsteht. Die Vorgesetzten haben hier eine Vorbildfunktion.
47
KPMG Schweiz, 2005, S. 18
48
KPMG Schweiz, 2005, S. 40
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
24
Es ist nicht ausreichend, wenn Geschäftsprozesse in Form von Richtlinien und
Arbeitsanweisungen festgehalten sind. Es muss im Unternehmen auch eine
entsprechende Unternehmenskultur bestehen, die das Kontrollbewusstsein der
Belegschaft fördert und eine Umsetzung der Kontrollaktivitäten ermöglicht.
Es ist sinnvoll, diese ethischen Werte im Leitbild oder in Verhaltensrichtlinien einfliessen
zu lassen.
49
b)
Sicherung der fachlichen und persönlichen Kompetenz
Für qualifizierte Berufe und Tätigkeiten ist es unabdingbar, dass in einer gewisser
Periodizität geprüft wird, ob die Mitarbeiter die fachliche Qualifikation mitbringen, um ihre
anspruchsvollen Aufgaben zu erfüllen.
50
Mängel in der fachlichen Qualifikation wirken sich natürlich auch auf die Qualität der
Geschäftsprozesse aus. Diese werden nicht so wirksam und effizient durchgeführt, wie es
eigentlich erforderlich ist. Es treten Schwachstellen in den Abläufen auf.
Durch gezielte Aus- und Weiterbildung sollen Lücken in der fachlichen Qualifikation
geschlossen werden, was schlussendlich auch dem IKS zu gute kommt. Es kann davon
ausgegangen werden, dass die Geschäftsprozesse wirksamer durchgeführt werden und
dass beim Versuch, Prozesse noch zu verbessern, von Seiten der Mitarbeiter ein
grösseres Verständnis aufgebracht wird, weil sie Verbesserungen in den Prozessen
nachvollziehen können und mit diesen Neuerungen auch nicht überfordert sind.
In diesem Zusammenhang kann sich für ein Unternehmen auch die Einführung eines
Qualitätsmanagementsystems lohnen, weil dort gewisse Anforderungen an die
Qualifikation der Mitarbeiter gestellt werden, und die Qualifikation der Mitarbeiter in
späteren Phasen von externen Beratern auch überprüft wird.
c)
Regelung von Zuständigkeiten und Verantwortlichkeiten
Ein wichtiges Instrument für die Regelungen der Zuständigkeiten und Verantwortlichkeiten
ist sicher einmal die Stellenbeschreibung, weil diese die Aufgaben, Verantwortung und
Kompetenzen der Mitarbeiter definiert.
51
Die Abgrenzung von Aufgaben, Verantwortung und Kompetenzen bilden einen
integrierenden Bestandteil im Ablauf der Geschäftsprozesse, weil es nicht möglich ist,
49
KPMG Schweiz, 2005, S. 41
50
KPMG Schweiz, 2005, S. 42
51
KPMG Schweiz, 2005, S. 44
Einführung eines internen Kontrollsystems (IKS) in einem KMU Betrieb
25
wirksame Geschäftsprozesse zu definieren, wenn nur die Frage beantwortet wird, wie die
Abläufe zu gestalten sind. Es muss auch die Frage beantwortet werden, wer für die
vorhandenen Geschäftsprozesse zuständig ist.
Um Stellenbeschreibungen zu erstellen, ist es notwendig, dass im Betrieb eine
Auseinandersetzung mit den Abläufen erfolgt, sonst ist es nicht möglich, die Aufgaben
und Kompetenzen zu bestimmen. Es ist also auch aus diesem Grunde sinnvoll,
Stellenbeschreibungen zu erstellen, weil Abläufe betrachtet werden müssen, was
schneller erlaubt, Schwachstellen, beispielsweise Mängel in der Funktionstrennung,
aufzudecken und entsprechende Verbesserungen in die Wege zu leiten.
Bezüglich der Regelung von Zuständigkeiten sind auch die Anordnungs- und
Entscheidungswege zu berücksichtigen, weil deren Einrichtung die Hierarchien und
Organisationsstrukturen festigen können.
52
9.3.2. Risikobeurteilung
,,Eine regelmässige und systematische Risikobeurteilung soll gewährleisten, dass
veränderte Rahmenbedingungen vom Unternehmen frühzeitig erkannt und richtig
eingeschätzt werden. Laut COSO Framework besteht die Risikobeurteilung aus
der Zielsetzung als Voraussetzung zur Risikobeurteilung (ohne Ziele keine Risiken)
der eigentlichen Risikoidentifikation
der laufenden Anpassung der Risikoprozesse
Die interne Kontrolle liefert die Grundlagen für Entscheidungen im Umgang mit den
Risiken. Konkrete Reaktionen auf Risiken sind hingegen kein Bestandteil der internen
Kontrolle.
Im folgenden wird auf verschiedene Aspekte der Risikoidentifikation und -analyse
eingegangen."
53
a)
Institutionalisierung des Risikomanagements
In grösseren Unternehmungen kann es zweckmässig sein, aufgrund der zunehmenden
Komplexität der Tätigkeiten und auch der Aufgabenfülle, eine Abteilung für das
Risikomanagement zu schaffen, die sich mit Fragen der Risikoerfassung, Risikoanalyse
und Risikoüberprüfung befasst.
54
52
KPMG Schweiz, 2005, S. 45
53
KPMG Schweiz, 2005, S. 45
54
KPMG Schweiz, 2005, S. 46
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2007
- ISBN (eBook)
- 9783836607032
- DOI
- 10.3239/9783836607032
- Dateigröße
- 743 KB
- Sprache
- Deutsch
- Institution / Hochschule
- Wirtschafts- und Kaderschule Bern – Wirtschaft, Nachdiplomstudiengang Umfassendes Controlling
- Erscheinungsdatum
- 2007 (Dezember)
- Note
- 2,0
- Schlagworte
- internes kontrollsystem klein- mittelbetrieb coso framework kontrollumfeld risikomanagement projektdurchführung wirtschaftlichkeit
