blog search

Follow us

RSS
blog search
Karriere
Menu
Home > Wirtschaftsberatung > IKS: IKS-Projekt in der Praxis – Teil 2 Karriere

Marc Arnet

lic. oec. HSG
dipl. Wirtschaftsprüfer
IAS/IFRS Accountant
MAS in Economic Crime Investigation



Simon Zuber

dipl. Experte in Rechnungslegung und Controlling
MSc Business Administration
BSc Wirtschaftsinformatik

Follow us

RSS
RSS

Marc Arnet

lic. oec. HSG
dipl. Wirtschaftsprüfer
IAS/IFRS Accountant
MAS in Economic Crime Investigation



Simon Zuber

dipl. Experte in Rechnungslegung und Controlling
MSc Business Administration
BSc Wirtschaftsinformatik

06.2022
 

IKS: IKS-Projekt in der Praxis – Teil 2

 

Im Rahmen des IKS werden Schlüsselprozesse, Risiken und Kontrollen analysiert, entsprechende Mängel identifiziert und Empfehlungen erarbeitet. Ein effektives IKS fördert das Risikobewusstsein, zeigt Optimierungspotenziale und sorgt dafür, dass Compliance-Vorschriften eingehalten werden. IKS-Standardtools ermöglichen eine effiziente Umsetzung.

 

Die Ausgestaltung der Kontrolle der Jahresrechnung und des internen Kontrollsystems gehört zu den unübertragbaren Aufgaben des Verwaltungsrates. Er muss deshalb dafür besorgt sein, dass eine ständige Kontrolle über die wesentlichen Sachverhalte im Finanzbereich der Gesellschaft ausgeübt wird. Dabei sind die finanziellen Abläufe sowie die Liquidität des Unternehmens kritisch zu überwachen. Dem Verwaltungsrat obliegt somit die Verantwortung für die Einführung und Pflege des IKS. Üblicherweise wird jedoch der IKS-Manager (i.d.R. der oder die Finanzverantwortliche) mit der operativen Umsetzung betraut. Nachfolgend wird ein möglicher Ablauf eines IKS-Projekts umschrieben.

 

Beschluss

Ein IKS-Projekt beginnt mit einem (formellen) Beschluss des Verwaltungsrats. In einem Projektauftrag werden die wichtigsten Ziele und Meilensteine des IKS definiert und verabschiedet. Die Oberverantwortung zur Umsetzung eines IKS verbleibt dabei beim Verwaltungsrat. Dieser betraut den IKS-Manager mit der Aufgabe, ein unternehmensweites IKS einzurichten sowie wirksam zu betreiben, und überwacht ihn dabei.

 

IKS-Ziele und IKS-Konzept

Die wichtigsten Aspekte des IKS werden im IKS-Konzept definiert. Beim IKS-Konzept geht es darum, Leitlinien zur Umsetzung und Ausgestaltung des IKS durch den Verwaltungsrat zu erlassen. Diese umfassen die gesetzlichen Grundlagen des IKS, die organisatorische Eingliederung in die vorhandenen Managementsysteme, den Geltungsbereich, die IKS-Ziele, die Identifikation und Behandlung von Risiken, die Kommunikationskanäle sowie den IKS-Zyklus im Jahresverlauf. Die verantwortlichen Personen (Verwaltungsrat und IKS-Manager) unterzeichnen das IKS-Konzept, damit die Zuständigkeiten und Verantwortlichkeiten geklärt sind und das IKS die erforderliche Führungsunterstützung erhält.

 

Analyse und Dokumentation des internen Umfelds

In einem weiteren Schritt werden die unternehmensweiten IKS-Kontrollen beschrieben und zentral erfasst. Das Kontrollumfeld gibt einen Überblick über sämtliche für das IKS relevanten Richtlinien und Instrumente der Unternehmensführung. Dies umfasst unter anderem das Leitbild, die Richtlinien zur Corporate Governance, die Zusammensetzung von Verwaltungsrat und Geschäftsleitung, die Entlöhnungspraxis, die Zeichnungsberechtigungen, die eingesetzten Instrumente zur finanziellen Berichterstattung, das Personalwesen, das Risikomanagement usw. Dem Kontrollumfeld sollte genügend Beachtung geschenkt werden. Wird ein Kontrollumfeld geschaffen, in dem eine gesunde Risikokultur herrscht, ist die Fehleranfälligkeit in der finanziellen Berichterstattung und die Gefahr von deliktischen Handlungen tiefer. Dies hat einen positiven Einfluss auf die Anzahl der notwendigen Kontrollen in einem IKS.

 

Information & Kommunikation

Im Bereich Information und Kommunikation wird festgehalten, wie innerhalb des Unternehmens kommuniziert wird und wo dies geregelt ist. Interne Kommunikation (top-down und bottom-up), externe Kommunikation (Presseauskünfte, Krisenkommunikation, Internetauftritt, laufende Mitteilungen an Anspruchsgruppen), die finanzielle Kommunikation sowie die grobe Umschreibung der IT-Umgebung werden dabei dokumentiert. Speziell den Bestimmungen im Bereich Finanzberichterstattung und IKS sollte eine hohe Bedeutung beigemessen werden.

 

Integration Risikomanagement und IKS

Während sich das IKS primär auf die operationellen Risiken und deren Kontrollen im finanziellen Bereich fokussiert, werden im Risikomanagement verstärkt strategische Risiken betrachtet. Risiken werden anhand von Risikokategorien identifiziert, und zur Risikovermeidung oder zumindest zur Risikoreduzierung werden Massnahmen bestimmt.

 

In einem ganzheitlichen IKS-Konzept darf das Element des unternehmensweiten Risikomanagements nicht fehlen. Dieses kann vereinfacht als losgelöste Risikobeurteilung erfolgen oder umfassender als integrierte Risikobeurteilung. Bei einer integrierten Risikobeurteilung werden die Erkenntnisse des Risikomanagements zur Definition der IKS-relevanten-Prozesse herangezogen bzw. analysiert.

 

Anwendungsbereich und Wesentlichkeit

Im Rahmen des IKS-Projekts muss der Anwendungsbereich des IKS definiert werden. Dabei muss festgelegt werden, auf welche untergeordneten Einheiten das IKS anzuwenden ist. Dies kann beispielsweise aufgrund des prozentualen Beitrags zur Jahresrechnung der Gesamtorganisation festgelegt werden. Üblicherweise werden etwa Umsatz, Personalaufwand oder Bilanzsumme für die Beurteilung herangezogen. Trägt beispielsweise eine Einheit 15 Prozent zum Umsatz der Gesamtorganisation bei, ist die Einheit im IKS zu berücksichtigen.

 

Zusätzlich wird die Jahresrechnung im Rahmen der Jahresrechnungsanalyse aufgrund der Materialität sowie der Fehleranfälligkeit der einzelnen Positionen bewertet. Aufgrund dieser Analyse wird festgelegt, welche Jahresrechnungspositionen für das IKS wesentlich sind. Im Anschluss wird die Frage gestellt, welche Prozesse für die Darstellung der wesentlichen Jahresrechnungsposition besonders massgebend sind (Schlüsselprozesse).

 

IKS-Schlüsselprozesse

Für die definierten Schlüsselprozesse werden die vorhandenen Risiken und Kontrollmassnahmen dokumentiert. Dies geht faktisch in drei Schritten vor sich:

  1. Darstellung des Prozesses in groben Schritten (z.B. Flussdiagramm). Es sind IKS-Tools verfügbar, welche Standard-IKS-Prozesse zur Verfügung stellen. Dadurch wird der Aufwand der Prozessmodellierung deutlich reduziert und wesentliche Prozessschritte werden einfacher erkannt. Sind bereits Prozessdokumentationen vorhanden, etwa weil ein Qualitätsmanagement-System eingesetzt wird, sollte das IKS in die bestehende Prozessdokumentation integriert werden, damit Redundanzen vermieden werden können. 

  2. In einem weiteren Schritt werden den einzelnen Prozessschritten IKS-Risiken zugeordnet. Auch hier gibt es IKS-Tools, welche mögliche Risiken aufzeigen. Es ist jedoch wichtig, dass unternehmensspezifische Risiken vollständig erfasst und bewertet werden.

  3. Den Risiken werden durchzuführende Kontrollen zugeordnet. Dabei werden die Kontrollen mit Beschreibung, Hilfsmittel, Periodizität und Wirksamkeit dokumentiert. Sind für wesentliche Risiken keine adäquaten Kontrollen vorhanden, wird von einer Kontrollschwäche gesprochen.

 

 

 

  

iStock- Blue Planet Studio

 

Kontrollschwächen und Massnahmen

Nachdem die Schlüsselprozesse dokumentiert wurden, werden die erkannten Kontrollschwächen in einem zentralen Aktionsplan zusammengefasst. Zu den Kontrollschwächen werden mögliche Massnahmen zu deren Behebung aufgeführt. Die Umsetzung dieser Massnahmen wird einem Verantwortlichen zugeordnet, terminiert und überwacht.

 

Der Aktionsplan dient somit einerseits als Diskussionsgrundlage und anderseits als Überwachungsinstrument. Der IKS-Verantwortliche hat mit dem Aktionsplan ein einfaches und verständliches Dokument, um auf Schwachstellen aufmerksam zu machen. Der Aktionsplan mit den aufgeführten Kontrollschwächen dient somit auch als Entlastung der mit der IKS-Umsetzung betrauten Person. Der Verwaltungsrat wird mit dem Aktionsplan periodisch über neue und behobene Schwächen informiert und kann die Massnahmen festlegen, welche umgesetzt werden sollen.

 

Monitoring und Reporting

Ein IKS ist kein Führungsinstrument, welches ein für alle Mal in einer bestimmten und unabänderlichen Form erarbeitet wird. Veränderungen im Umfeld eines IKS machen dieses anpassungsbedürftig. Deshalb sollte das IKS periodisch überprüft und aktualisiert werden, damit die Wirksamkeit sichergestellt werden kann.

 

Ziel ist es, die Schlüsselprozesse, die Risiken und die Kontrollen des IKS zu analysieren, entsprechende Mängel zu identifizieren und Empfehlungen zu dokumentieren. Die Gesetzeskonformität, Aktualität und Wirksamkeit des IKS kann damit gewährleistet werden.

 

Das Thema IKS sollte im Verwaltungsrat regelmässig thematisiert werden. Die Verantwortung zur laufenden Überwachung wird an den IKS-Manager delegiert. Dieser berichtet periodisch über den Stand des IKS. Relevante Erkenntnisse müssen dabei im Sinne eines Eskalationsverfahrens den Verantwortlichen zeitnah weitergeleitet werden.

 

Das IKS wird durch den IKS-Manager mindestens einmal im Jahr aktualisiert. Hierbei wird das System als Ganzes beurteilt und die relevanten IKS-Schlüsselprozesse inklusive der identifizierten Risiken und der implementierten Kontrollen werden kritisch hinterfragt. Zudem wird über den Fortschritt hinsichtlich umgesetzter Massnahmen Rechenschaft abgelegt.

 

Nutzen eines IKS

Zusammenfassend sind folgend einige Vorteile eines zweckdienlichen IKS aufgeführt:

  • Wahrnehmung der Führungsverantwortung

  • Erfüllung der gesetzlichen Anforderungen

  • Einhaltung von Compliance-Vorschriften (Richtlinien, Verantwortlichkeiten, Abläufe)

  • Förderung eines verwaltungsweiten Risikobewusstseins

  • Aufdecken von Schwachstellen und Optimierungspotenzial in den Prozessen

  • Sicherstellung einer zuverlässigen und vollständigen Buchführung sowie Rechnungslegung

  • Vermögensschutz durch Vermeidung/Minderung von deliktischen Handlungen

  • Effiziente und effektive Umsetzung bei Verwendung von IKS-Standardtools

 

Text erschienen im Fachmagazin «rechnungswesen&controlling» 2 I 2022 von veb.ch 

 

 

 

 

RSS

4

Tags: Wirtschaftsberatung, Risikomanagement, IKS, Schweiz, Internes Kontrollsystem, Revision, Management

06.2022

IKS: IKS-Projekt in der Praxis – Teil 2

 

Im Rahmen des IKS werden Schlüsselprozesse, Risiken und Kontrollen analysiert, entsprechende Mängel identifiziert und Empfehlungen erarbeitet. Ein effektives IKS fördert das Risikobewusstsein, zeigt Optimierungspotenziale und sorgt dafür, dass Compliance-Vorschriften eingehalten werden. IKS-Standardtools ermöglichen eine effiziente Umsetzung.

 

iStock- Blue Planet Studio

 

Die Ausgestaltung der Kontrolle der Jahresrechnung und des internen Kontrollsystems gehört zu den unübertragbaren Aufgaben des Verwaltungsrates. Er muss deshalb dafür besorgt sein, dass eine ständige Kontrolle über die wesentlichen Sachverhalte im Finanzbereich der Gesellschaft ausgeübt wird. Dabei sind die finanziellen Abläufe sowie die Liquidität des Unternehmens kritisch zu überwachen. Dem Verwaltungsrat obliegt somit die Verantwortung für die Einführung und Pflege des IKS. Üblicherweise wird jedoch der IKS-Manager (i.d.R. der oder die Finanzverantwortliche) mit der operativen Umsetzung betraut. Nachfolgend wird ein möglicher Ablauf eines IKS-Projekts umschrieben.

 

Beschluss

Ein IKS-Projekt beginnt mit einem (formellen) Beschluss des Verwaltungsrats. In einem Projektauftrag werden die wichtigsten Ziele und Meilensteine des IKS definiert und verabschiedet. Die Oberverantwortung zur Umsetzung eines IKS verbleibt dabei beim Verwaltungsrat. Dieser betraut den IKS-Manager mit der Aufgabe, ein unternehmensweites IKS einzurichten sowie wirksam zu betreiben, und überwacht ihn dabei.

 

IKS-Ziele und IKS-Konzept

Die wichtigsten Aspekte des IKS werden im IKS-Konzept definiert. Beim IKS-Konzept geht es darum, Leitlinien zur Umsetzung und Ausgestaltung des IKS durch den Verwaltungsrat zu erlassen. Diese umfassen die gesetzlichen Grundlagen des IKS, die organisatorische Eingliederung in die vorhandenen Managementsysteme, den Geltungsbereich, die IKS-Ziele, die Identifikation und Behandlung von Risiken, die Kommunikationskanäle sowie den IKS-Zyklus im Jahresverlauf. Die verantwortlichen Personen (Verwaltungsrat und IKS-Manager) unterzeichnen das IKS-Konzept, damit die Zuständigkeiten und Verantwortlichkeiten geklärt sind und das IKS die erforderliche Führungsunterstützung erhält.

 

Analyse und Dokumentation des internen Umfelds

In einem weiteren Schritt werden die unternehmensweiten IKS-Kontrollen beschrieben und zentral erfasst. Das Kontrollumfeld gibt einen Überblick über sämtliche für das IKS relevanten Richtlinien und Instrumente der Unternehmensführung. Dies umfasst unter anderem das Leitbild, die Richtlinien zur Corporate Governance, die Zusammensetzung von Verwaltungsrat und Geschäftsleitung, die Entlöhnungspraxis, die Zeichnungsberechtigungen, die eingesetzten Instrumente zur finanziellen Berichterstattung, das Personalwesen, das Risikomanagement usw. Dem Kontrollumfeld sollte genügend Beachtung geschenkt werden. Wird ein Kontrollumfeld geschaffen, in dem eine gesunde Risikokultur herrscht, ist die Fehleranfälligkeit in der finanziellen Berichterstattung und die Gefahr von deliktischen Handlungen tiefer. Dies hat einen positiven Einfluss auf die Anzahl der notwendigen Kontrollen in einem IKS.

 

Information & Kommunikation

Im Bereich Information und Kommunikation wird festgehalten, wie innerhalb des Unternehmens kommuniziert wird und wo dies geregelt ist. Interne Kommunikation (top-down und bottom-up), externe Kommunikation (Presseauskünfte, Krisenkommunikation, Internetauftritt, laufende Mitteilungen an Anspruchsgruppen), die finanzielle Kommunikation sowie die grobe Umschreibung der IT-Umgebung werden dabei dokumentiert. Speziell den Bestimmungen im Bereich Finanzberichterstattung und IKS sollte eine hohe Bedeutung beigemessen werden.

 

Integration Risikomanagement und IKS

Während sich das IKS primär auf die operationellen Risiken und deren Kontrollen im finanziellen Bereich fokussiert, werden im Risikomanagement verstärkt strategische Risiken betrachtet. Risiken werden anhand von Risikokategorien identifiziert, und zur Risikovermeidung oder zumindest zur Risikoreduzierung werden Massnahmen bestimmt.

 

In einem ganzheitlichen IKS-Konzept darf das Element des unternehmensweiten Risikomanagements nicht fehlen. Dieses kann vereinfacht als losgelöste Risikobeurteilung erfolgen oder umfassender als integrierte Risikobeurteilung. Bei einer integrierten Risikobeurteilung werden die Erkenntnisse des Risikomanagements zur Definition der IKS-relevanten-Prozesse herangezogen bzw. analysiert.

 

Anwendungsbereich und Wesentlichkeit

Im Rahmen des IKS-Projekts muss der Anwendungsbereich des IKS definiert werden. Dabei muss festgelegt werden, auf welche untergeordneten Einheiten das IKS anzuwenden ist. Dies kann beispielsweise aufgrund des prozentualen Beitrags zur Jahresrechnung der Gesamtorganisation festgelegt werden. Üblicherweise werden etwa Umsatz, Personalaufwand oder Bilanzsumme für die Beurteilung herangezogen. Trägt beispielsweise eine Einheit 15 Prozent zum Umsatz der Gesamtorganisation bei, ist die Einheit im IKS zu berücksichtigen.

 

Zusätzlich wird die Jahresrechnung im Rahmen der Jahresrechnungsanalyse aufgrund der Materialität sowie der Fehleranfälligkeit der einzelnen Positionen bewertet. Aufgrund dieser Analyse wird festgelegt, welche Jahresrechnungspositionen für das IKS wesentlich sind. Im Anschluss wird die Frage gestellt, welche Prozesse für die Darstellung der wesentlichen Jahresrechnungsposition besonders massgebend sind (Schlüsselprozesse).

 

IKS-Schlüsselprozesse

Für die definierten Schlüsselprozesse werden die vorhandenen Risiken und Kontrollmassnahmen dokumentiert. Dies geht faktisch in drei Schritten vor sich:

  1. Darstellung des Prozesses in groben Schritten (z.B. Flussdiagramm). Es sind IKS-Tools verfügbar, welche Standard-IKS-Prozesse zur Verfügung stellen. Dadurch wird der Aufwand der Prozessmodellierung deutlich reduziert und wesentliche Prozessschritte werden einfacher erkannt. Sind bereits Prozessdokumentationen vorhanden, etwa weil ein Qualitätsmanagement-System eingesetzt wird, sollte das IKS in die bestehende Prozessdokumentation integriert werden, damit Redundanzen vermieden werden können. 

  2. In einem weiteren Schritt werden den einzelnen Prozessschritten IKS-Risiken zugeordnet. Auch hier gibt es IKS-Tools, welche mögliche Risiken aufzeigen. Es ist jedoch wichtig, dass unternehmensspezifische Risiken vollständig erfasst und bewertet werden.

  3. Den Risiken werden durchzuführende Kontrollen zugeordnet. Dabei werden die Kontrollen mit Beschreibung, Hilfsmittel, Periodizität und Wirksamkeit dokumentiert. Sind für wesentliche Risiken keine adäquaten Kontrollen vorhanden, wird von einer Kontrollschwäche gesprochen.

 

Kontrollschwächen und Massnahmen

Nachdem die Schlüsselprozesse dokumentiert wurden, werden die erkannten Kontrollschwächen in einem zentralen Aktionsplan zusammengefasst. Zu den Kontrollschwächen werden mögliche Massnahmen zu deren Behebung aufgeführt. Die Umsetzung dieser Massnahmen wird einem Verantwortlichen zugeordnet, terminiert und überwacht.

 

Der Aktionsplan dient somit einerseits als Diskussionsgrundlage und anderseits als Überwachungsinstrument. Der IKS-Verantwortliche hat mit dem Aktionsplan ein einfaches und verständliches Dokument, um auf Schwachstellen aufmerksam zu machen. Der Aktionsplan mit den aufgeführten Kontrollschwächen dient somit auch als Entlastung der mit der IKS-Umsetzung betrauten Person. Der Verwaltungsrat wird mit dem Aktionsplan periodisch über neue und behobene Schwächen informiert und kann die Massnahmen festlegen, welche umgesetzt werden sollen.

 

Monitoring und Reporting

Ein IKS ist kein Führungsinstrument, welches ein für alle Mal in einer bestimmten und unabänderlichen Form erarbeitet wird. Veränderungen im Umfeld eines IKS machen dieses anpassungsbedürftig. Deshalb sollte das IKS periodisch überprüft und aktualisiert werden, damit die Wirksamkeit sichergestellt werden kann.

 

Ziel ist es, die Schlüsselprozesse, die Risiken und die Kontrollen des IKS zu analysieren, entsprechende Mängel zu identifizieren und Empfehlungen zu dokumentieren. Die Gesetzeskonformität, Aktualität und Wirksamkeit des IKS kann damit gewährleistet werden.

 

Das Thema IKS sollte im Verwaltungsrat regelmässig thematisiert werden. Die Verantwortung zur laufenden Überwachung wird an den IKS-Manager delegiert. Dieser berichtet periodisch über den Stand des IKS. Relevante Erkenntnisse müssen dabei im Sinne eines Eskalationsverfahrens den Verantwortlichen zeitnah weitergeleitet werden.

 

Das IKS wird durch den IKS-Manager mindestens einmal im Jahr aktualisiert. Hierbei wird das System als Ganzes beurteilt und die relevanten IKS-Schlüsselprozesse inklusive der identifizierten Risiken und der implementierten Kontrollen werden kritisch hinterfragt. Zudem wird über den Fortschritt hinsichtlich umgesetzter Massnahmen Rechenschaft abgelegt.

 

Nutzen eines IKS

Zusammenfassend sind folgend einige Vorteile eines zweckdienlichen IKS aufgeführt:

  • Wahrnehmung der Führungsverantwortung

  • Erfüllung der gesetzlichen Anforderungen

  • Einhaltung von Compliance-Vorschriften (Richtlinien, Verantwortlichkeiten, Abläufe)

  • Förderung eines verwaltungsweiten Risikobewusstseins

  • Aufdecken von Schwachstellen und Optimierungspotenzial in den Prozessen

  • Sicherstellung einer zuverlässigen und vollständigen Buchführung sowie Rechnungslegung

  • Vermögensschutz durch Vermeidung/Minderung von deliktischen Handlungen

  • Effiziente und effektive Umsetzung bei Verwendung von IKS-Standardtools

 

Text erschienen im Fachmagazin «rechnungswesen&controlling» 2 I 2022 von veb.ch 

 

 

 

Tags: Wirtschaftsberatung, Risikomanagement, IKS, Schweiz, Internes Kontrollsystem, Revision, Management


RSS

4


Marc Arnet

lic. oec. HSG
dipl. Wirtschaftsprüfer
IAS/IFRS Accountant
MAS in Economic Crime Investigation



Simon Zuber

dipl. Experte in Rechnungslegung und Controlling
MSc Business Administration
BSc Wirtschaftsinformatik
Impressum  Datenschutzerklärung
×

blog.mattig.swiss