Das Interne Kontrollsystem

9. Juni 2018 - Von Sandra Schlöffel

Das Interne Kontrollsystem ist Bestandteil der Unternehmung und dient mit seinen systematisch gestalteten organisatorischen und technischen Mass­nahmen der Risikoabwehr sowie der Einhaltung von Richtlinien. Der folgende Artikel gibt eine Übersicht der verschiedenen Elemente.


Die Thematik des Internen Kontrollsystems (IKS) ist ein Dauerthema, doch trotz allem fordert es immer noch diejenigen, die täglich damit zu tun haben.

Unsere Welt wird komplexer und damit auch das IKS der Unternehmungen. Zeitgerechte Anpassungen werden vorausgesetzt, doch für die internen Kontrollen wird dies meistens als Belastung betrachtet. Doch schaut man genau hin, ist es im Detail die damit verbundene Dokumentation und nicht die eigentlichen Massnahmen selber. Die Entwicklung eines IKS benötigt seine Zeit. Bei richtiger Anwendung ist es in die Unternehmensebenen integriert und bildet keinen parallelen Selbstzweck, sondern generiert Mehrwert.


Gesetzliche und regulatorische Rahmenbedingungen

Gesetzliche Bestimmungen zum IKS sind im OR verstreut zu finden. Art. 957 ff. OR zeichnet für die im Handelsregister eingetragenen Unternehmungen die elementaren Grundsätze der kaufmännischen Buchführung und Rechnungslegung auf. Mit den unübertragbaren und unentziehbaren Aufgaben des Verwaltungsrates nennt Art. 716a Abs. 1 Ziff. 3 OR die Ausgestaltung der Finanzkontrollen. Der Gesetzgeber betrachtet somit das IKS in einem direkten Zusammenhang mit der finanziellen Berichterstattung. Bei Unternehmen, die der ordentlichen Revision unterstellt sind, beinhaltet Gegenstand und Umfang der Prüfung die Existenz eines IKS (Art. 728a. Abs. 1
Ziff. 3 OR).

Weiter enthalten folgende regulatorische Bestimmungen, Empfehlungen zum IKS:
• Bundesgesetz über die Banken und Sparkassen (Art. 3 BankG)
• Bundesgesetz betreffend die Aufsicht über Versicherungsunternehmen (Art. 27 VAG)
• Verordnung über die Banken und Sparkassen (Art. 11 BankV)
• Verordnung über die Börsen und den Effektenhandel (Art. 20 BEHV)
• Verordnung über die Beaufsichtigung von privaten Versicherungsunternehmen (Art. 96 AVO)
• FINMA-RS 2017/01 "Corporate Governance – Banken"
• FINMA-RS 2017/02 "Corporate Governance – Versicherer"
• Swiss Code of Best Practice for Corporate Governance

Das FINMA-RS 2017/01 definiert das IKS als " … die Gesamtheit der Kontrollstrukturen und -prozesse, welche auf allen Ebenen des Instituts die Grundlagen für die Erreichung der geschäftspolitischen Ziele und für einen ordnungsgemässen Institutsbetrieb bilden. Dabei beinhaltet das IKS nicht nur Aktivitäten der nachträglichen Kontrolle, sondern auch solche der Planung und Steuerung. Ein wirksames IKS umfasst u.a. in die Arbeitsabläufe integrierte Kontrollaktivitäten, geeignete Risikomanagement- und Compliance-Prozesse sowie der Grösse, Komplexität und dem Risikoprofil des Instituts entsprechend ausgestaltete Kontrollinstanzen, insbesondere eine unabhängige Risikokontrolle und Compliance-Funktion."


Prozesse

Um das IKS wirksam zu integrieren ist das Wissen über die Unternehmensprozesse erforderlich. Die Dokumentation ist ein entscheidendes Element. Die (visualisierte) Bestandsaufnahme erreicht, dass die beteiligten Personen das gleiche Prozessverständnis haben. Die folgenden Fragen können beim effizienten Aufzeichnen der Abläufe hilfreich sein:
• Welche Parteien sind involviert?
• Wo sind die Prozessgrenzen – Anfang und Ende?
• Was sind die Schlüsselaktivitäten?
• Wie oft und in welcher Reihenfolge werden diese durchgeführt?
• Welche IT Applikationen sind relevant?
• Wo liegen die Risiken – was kann schiefgehen?
• Welche Kontrollen sind implementiert um die Risiken zu mindern/vermeiden?
• Welche Reports werden generiert?

Auch für den Auditor ist die Kenntnis der Unternehmensvorgänge unverzichtbar.

Gemäss IIA Standard 2310 "Identifikation von Informationen", müssen Interne Revisoren zum Erreichen der Auftragsziele ausreichende, zuverlässige, relevante und konstruktive Informationen identifizieren.

Der erhaltene Überblick des Ablaufs kann mittels Flowcharts effizient visuell dargestellt werden. Entsprechende Risiken und Kontrollen vervollständigen das Bild. Das Anwenden einer gemeinsamen "Flughöhe" erreicht ein wirksameres Verständnis.


Risiken

Wie im Schaubild I dargestellt, beinhaltet die eigentliche Geschäftstätigkeit unterschiedlichen Herausforderungen.

Die Lehre des IKS kennt unterschiedliche Arten von Risiken. Folgend finden sich Beispiele aus abweichenden Blickwinkeln:
• aus der Geschäftstätigkeit
• bei der Einhaltung von Gesetzen und Vorschriften
• der Finanzberichterstattung
• der Information Technologie

Eine Risikoklassifizierung (Risk Taxonomy) unterstützt das unternehmensweite Risikomanagement. Bekannte Risikoklassifizierungen gehen auf den Basler Ausschuss für Bankenaufsicht ("Principles for the Sound Management of Operational Risk") und der Europäischen Bankenaufsichtsbehörde ("Guidelines on ICT Risk Assessment under SREP") zurück.

Die Phase der Risikoidentifikation wird als die grösste Herausforderung empfunden. Die Quantifizierung des Risikos wird mittels der Risikobewertung eingestuft. Eintrittswahrscheinlichkeit und Schadensausmass bilden dabei die Basis. Die unterschiedlichen Strategien der Risikosteuerung (Risikovermeidung, -minderung, -diversifikation und -transfer) sind der Ausgangspunkt von Kontroll­aktivitäten.

Bevor ein Auditor mit der Prüfung beginnt, sollten die wichtigsten Risiken für den Prüfbereich identifiziert und bekannt sein, was eine effektive und effiziente Prüfung der internen Kontrollen voraussetzt.


Kontrollen

COSO und COBIT sind die bedeutendsten Kontrollmodelle. Die Beschreibung der betrieblichen Steuerungs- und Überwachungssysteme spielen eine wichtige Rolle bei der Definition von Corporate Governance.

Antworten auf die nicht akzeptierte Risiken bieten unterschiedliche Kontrollarten (vgl. auch Schaubild II):
• Funktionentrennung
• Generelle IT-Kontrollen
• IT Kontrollen auf Unternehmensebene
• IT Anwendungskontrollen
• Präventive vs. aufdeckende Kontrollen
• Prozessintegrierte vs. -unabhängige Kontrollen
• Automatische vs. manuelle Kontrollen

Dem Auditor stehen eine Reihe von Prüfungstechniken und -handlungen zur Verfügung um in der jeweiligen Situation geeignete und ausreichende Prüfungsnachweise zu den vorhandenen Kontrollaktivitäten zu erhalten.

Schaubild III zeigt die Berücksichtigung der Prüfung der Effektivität der Kontrollen im jeweiligen Zyklus.

Fazit

Wie eingangs erwähnt, sind komplexe Verhältnisse, das Zusammenspiel von systembasierten und manuellen Prozessen – Risiken – Kontrollen, eine tägliche Herausforderung.

Letztendlich muss sichergestellt werden, dass tatsächliche Kontrollaktivitäten die Schlüsselrisiken abdecken und dass dies im dokumentiertem IKS wiedergespiegelt ist.


Die Autorin

Sandra Schlöffel, CIA, seit 6 Jahren Business Auditor bei der Bank Julius Bär, mit der ­Spezialisierung auf die Themen Prozesse, ­Risiken und Kontrollen. Davor 6 Jahre Erfahrung in der externen Revision.

Copyright by Swiss IT Media 2020