Interne Kontrollsysteme (IKS) als Teil des Risikomanagements

Inhaltsverzeichnis

WIDMUNG

ABBILDUNGSVERZEICHNIS

TABELLENVERZEICHNIS

ABSTRACT

1 VORSTELLUNG DER THEMATIK
1.1 Buster Group
1.2 Problematik
1.3 Motivation für diese Master Thesis
1.4 Ziel dieser Arbeit
1.5 Abgrenzung
1.6 Thesen

2 LITERATURREVIEW
2.1 Entstehung des IKS
2.1.1 Definition des IKS
2.1.2 Ziele des IKS
2.1.3 IKS als Prozess
2.1.4 Das IKS als integraler Bestandteil eines Risikomanagement
2.1.5 Gründe für ein gut funktionierendes IKS
2.1.5.1 Aufgaben des Verwaltungsrats nach OR
2.1.5.2 Aufgaben des Verwaltungsrats nach SCBP
2.1.5.3 Sorgfalts und Treuepflicht
2.1.5.4 Pflicht zur Führung & Aufbewahrung der Geschäftsbücher
2.1.5.5 Buchführungspflicht
2.1.5.6 Ordnungsmässige Buchführung (GeBüV)
2.1.5.7 Ordnungsmässigkeit der Geschäftsbücher (OR)
2.1.5.8 Erstellen des Geschäftsberichts
2.1.5.9 Risikobeurteilung im Anhang durch Verwaltungsrat
2.1.5.10 Revisionspflicht der Gesellschaften und Ordentliche Revision
2.1.5.11 Organhaftung und Strafbarkeit nach Strafgesetzbuch
2.1.5.12 Vertretungsverhältnisse nach Strafgesetzbuch
2.1.5.13 Prüfbericht, Angaben im Anhang und Risikobeurteilung
2.2 Risiko
2.2.1 Typische Risikofelder eines Unternehmens
2.2.2 Bewertung der Risiken
2.2.3 Instrumente zur Risikobewertung
2.2.3.1 Value at Risk (VaR)
2.2.3.2 Key Performance Indicator (KPI)
2.2.3.3 Sensitivitätsanalyse
2.2.3.4 Szenario-Technik
2.2.3.5 PESTE-Analyse
2.2.4 Risikostrategien und der Umgang mit Risiken
2.3 IKS aus Sicht der Revisionsstelle
2.3.1 Aufgaben der Revisionsstelle in Zusammenhang mit IKS nach OR
2.3.2 Aufgaben der Revisionsstelle in Zusammenhang mit IKS nach PS und ISA
2.4 Arten von Kontrollen im IKS
2.4.1 Präventive Kontrollen
2.4.2 Detektive Kontrollen
2.4.3 Selbstständige Kontrollen
2.4.4 Programmierte Kontrollen
2.4.5 Manuelle Kontrollen
2.5 Risikomanagement und Qualitätsmanagement
2.5.1 CobiT
2.5.2 ISO 31000
2.5.3 COSO-Rahmenwerk
2.5.3.1 Komponente des organisationsweiten Risikomanagements
2.5.3.2 Beziehung zwischen Zielen, Komponenten und Unternehmenseinheiten
2.5.3.3 Funktionsfähigkeit
2.6 Grenzen des IKS
2.7 Interne Kontrolle, Rollen und Verantwortung
2.8 Ausgestaltung des IKS in der Praxis
2.8.1 Steuerungs und Kontrollfeld
2.8.2 Integrität und ethische Werte Philosophie und Arbeitsweise
2.8.3 Philosophie und Arbeitsweise der Unternehmensleitung
2.8.4 Unternehmenskultur
2.8.5 Fachliche Kompetenz im Unternehmen
2.8.6 Autorität und Verantwortlichkeit
2.8.7 Personalwesen
2.8.8 Ziele und Risiken der finanziellen Berichterstattung
2.8.9 Steuerungs und Kontrollmassnahmen
2.8.10 Prozessabhängige Risiken
2.8.11 Information und Kommunikation
2.8.12 Monitoring
2.8.13 Organisation von Prozessen im Unternehmen
2.9 IKS und unternehmensweites Risikomanagementsystem
2.10 Ziele und Risiken der Compliance
2.11 Ziele und Risiken der Operation
2.11.1 Ziele und Risiken der Beschaffung (BE)
2.11.2 Ziele und Risiken der Produktion (PR)
2.11.3 Ziele und Risiken des Absatzes (AB)
2.12 Fazit und Schlussfolgerung aus der Theorie
2.12.1 IKS – Ein Teil des Risikomanagements
2.12.2 IKS und strategische Frühwarnsysteme
2.12.3 Das Potential des IKS

3 METHODIK und FORSCHUNGSDESIGN
3.1 Beobachtung
3.2 Experiment
3.3 Befragung
3.4 Population
3.5 Repräsentative Ergebnisse der Umfrage
3.6 Wahl der Aussagen

4 ANALYSE, AUSWERTUNG und INTERPRETATION
4.1 IKS-Tool und Stellungnahme
4.2 Risikoanalyse
4.3 Ergebnisse der Umfrage
4.3.1 Ergebnisse der Umfrage im Bereich Beschaffung
4.3.2 Ergebnisse der Umfrage im Bereich Produktion
4.3.3 Ergebnisse der Umfrage im Bereich Verkauf
4.3.4 Ergebnisse der Umfrage: Operationelle Risiken und Compliance
4.4 IST-Analyse
4.4.1 Allgemeines
4.4.2 Gruppierung nach den Bereichen
4.4.3 Gemeinsamkeiten
4.4.4 Unterschiede
4.4.5 Operationelle Risiken und Compliance
4.5 Fazit
4.6 IKS-Vorschlag
4.6.1 Beschaffung (BE)
4.6.2 Produktion (PR)
4.6.3 Verkauf (VE)
4.6.4 Entwicklung
4.6.5 Finanz und Controlling (FC)

5 EMPFEHLUNGEN und WEITERES FORSCHUNGSPOTENTIAL
5.1 Zielerreichung
5.2 Empfehlungen
5.3 Weiteres Forschungspotential

QUELLENVERZEICHNIS

WIDMUNG

Ich widme diese Arbeit meiner Frau Emmily, die mich stets als ein Mentor unterstützt hat. Sie ist nicht nur eine geduldige Person, sondern auch der wunderbarste Mensch in meinem Leben. Ich war und bin auch sehr dankbar, sie auf meine Seite zu haben. Ihre Begleitung habe ich immer vom tiefen Herzen geschätzt.

ABBILDUNGSVERZEICHNIS

Abbildung 1 Lebenszyklus der Qualität der Kontrolle

Abbildung 2 Allgemeine Risikofelder

Abbildung 3 COSO-Würfel

Abbildung 4 IKS als integraler Teil der Unternehmensführung

TABELLENVERZEICHNIS

Tabelle 1 PESTE-Analyse

Tabelle 2 Subprozess Bestellungen

Tabelle 3 Subprozess Wareneingang

Tabelle 4 Subprozess Rechnungsverarbeitung

Tabelle 5 Subprozess Rücksendungen und Berichtigungen

Tabelle 6 Subprozess Zahlungsausgang

Tabelle 7 Subprozess Lieferantenstammdaten

Tabelle 8 Subprozess Reisekosten

Tabelle 9 Subprozess Lagereingang

Tabelle 10 Subprozess Lagerverwaltung

Tabelle 11 Subprozess Lagerabgang

Tabelle 12 Subprozess Arbeitsvorbereitung

Tabelle 13 Subprozess Fertigung

Tabelle 14 Subprozess Inventar

Tabelle 15 Subprozess Vorrätestammdaten

Tabelle 16 Subprozess Kostenrechnung

Tabelle 17 Subprozess Auftragsbearbeitung

Tabelle 18 Subprozess Distribution und Versand

Tabelle 19 Subprozess Rechnungsstellung

Tabelle 20 Subprozess Gutschriften und Berichtigungen

Tabelle 21 Subprozess Zahlungseingang

Tabelle 22 Subprozess Kundenstammdaten

Tabelle 23 Subprozess Vertragsmanagement

Tabelle 24 Ergebnisse der Umfrage im Bereich Beschaffung

Tabelle 25 Ergebnisse der Umfrage im Bereich Produktion

Tabelle 26 Ergebnisse der Umfrage im Bereich Verkauf

Tabelle 27 Ergebnisse der Umfrage zu operationellen Risiken und Compliance

Tabelle 28 Massnahmen zum Subprozess Bestellungen

Tabelle 29 Massnahmen zum Subprozess Wareneingang

Tabelle 30 Massnahmen zum Subprozess Lieferanten-Audit

Tabelle 31 Massnahmen zum Subprozess Zahlungsausgang

Tabelle 32 Massnahmen zum Subprozess Rücksendungen und Berichtigungen

Tabelle 33 Massnahmen zum Subprozess Lieferantenstammdaten

Tabelle 34 Massnahmen zum Subprozess Rechnungsverarbeitung

Tabelle 35 Massnahmen zum Subprozess Lagereingang

Tabelle 36 Massnahmen zum Subprozess Lagerverwaltung

Tabelle 37 Massnahmen zum Subprozess Lagerabgang

Tabelle 38 Massnahmen zum Subprozess Arbeitsvorbereitung

Tabelle 39 Massnahmen zum Subprozess Fertigung

Tabelle 40 Massnahmen zum Subprozess Inventur

Tabelle 41 Massnahmen zum Subprozess Vorrätestammdaten

Tabelle 42 Massnahmen zum Subprozess Kostenrechnungen

Tabelle 43 Massnahmen zum Subprozess Kundenstammdaten

Tabelle 44 Massnahmen zum Subprozess Auftragsbearbeitung

Tabelle 45 Massnahmen zum Subprozess Distribution und Versand

Tabelle 46 Massnahmen zum Subprozess Rechnungsstellung

Tabelle 47 Massnahmen zum Subprozess Gutschriften und Berichtigungen

Tabelle 48 Massnahmen zum Subprozess Zahlungseingang

Tabelle 49 Massnahmen zum Subprozess Vertragsmanagement

Tabelle 50 Massnahmen zum Subprozess Intellectual Property

Tabelle 51 Massnahmen zum Subprozess Abschluss

ABSTRACT

Alle vertraulichen Informationen sind von dieser Arbeit für Publikationszwecke herausgenommen worden und der Name der Firma wurde ebenfalls geändert.

2'700 Mitarbeiter und 34 Niederlassungen weltweit ist die Buster Group ein internationales Unternehmen mit Hauptsitz in der Schweiz. «Pionierhaft, Partnerschaftlich und Präzise» sind die Werte der Firma, die zum erfolgreichen Wachstum in den letzten Jahrzehnten geführt haben.

Gesetzesanforderungen in der frühen Vergangenheit haben die Unternehmensleitung dazu verpflichtet, ein Internes Kontrollsystem (IKS) einzurichten. Die Existenz eines IKS wird durch die Revisionsstelle im Rahmen der ordentlichen Revision geprüft und bestätigt. Alle Vertriebsgesellschaften mit einem Anteil von 3% am Gruppenumsatz, sowie alle Produktionsgesellschaften sind nach internen Kriterien der Buster Group IKS-pflichtig. Das IKS der Buster Group basiert auf dem COSO-Modell. Das Schwergewicht wird dabei auf die finanzielle Berichterstattung gelegt. Den operationellen Risiken wird jedoch wenig Beachtung geschenkt.

Das interne Kontrollsystem (IKS) bildet das Rückgrat des Risikomanagementsystems eines Unternehmens. Als Instrument hilft IKS der Unternehmensleitung, die Risiken rechtzeitig zu erkennen, zu steuern und zu bewältigen. Zudem trägt es durch die Einhaltung der Compliance wesentlich dazu bei, die Zukunft der Unternehmung zu sichern.

Das Ziel dieser Arbeit war, in den operationellen Bereichen wie Beschaffung, Produktion und Verkauf pro Bereich mindestens 5 Risiken zu ermitteln und um diese zu minimieren bzw. zu bewältigen pro Risiko als mögliche Lösung je zwei Kontrollmassnahmen vorzuschlagen. Um die Schwächen aufzuzeigen habe ich einerseits eine Ist-Analyse des bestehenden IKS und anderseits eine Risikoanalyse in diesen operationellen Bereichen durchgeführt. Als Schwäche habe ich definiert, wenn ein vorhandenes Risiko nicht berücksichtigt wird, wenn die Bewertung der Risiken für einen Dritten nicht nachvollziehbar ist und wenn die Entwicklung der Risiken in ihrem zeitlichen Verlauf nicht gezeigt wird.

Für diese Untersuchung wurde die Methode der schriftlichen Befragung gewählt, weil sie aufgrund der Distanz und der weltweiten Zeitverschiebung der Länder effektiver durchgeführt werden konnte. Da diese Umfrage nur die Gesellschaft der Buster betraf, bestand die Gefahr der geringen Rücklaufquote nicht. Alle Gesellschaften haben diese Umfrage mitgemacht.

Aus den Resultaten wurde den Mittelwert gewählt und die Ergebnisse mit höherem Risiko wurden zusätzlich kommentiert. Die Resultate der Risiko-Analyse haben gezeigt, dass in diesen Bereichen Risiken bestehen, die bewusst zu steuern sind. Die Risikoanalyse hat mit Nachdruck dokumentiert, dass es einige Themen gibt, die besonders beachtet werden sollten. Nämlich die Insolvenz eines wichtigen Lieferanten, die Qualität, die Durchlaufzeiten der Produktion, Fertigungsprozesse mit gefährdenden Tätigkeiten, die Annahme von Aufträgen trotz überschrittener Kredit-Limite und die Kundenbonität. Diese Themenbereiche sind bei Buster als prioritär in Bezug auf Risiken hervorgetreten. Die gelieferten Daten wurden zusätzlich anhand einer Sensitivitätsanalyse auf ihre Volatilität geprüft. Dadurch traten noch andere in der Risikoanalyse befragte Risiken als wichtig hervor.

Mit der Risikoanalyse wurde zusätzlich die Meinung der Befragten über die operationellen sowie Compliance Risiken erfragt. Die Antworten ergaben, dass 70% der Befragten denken, die finanziellen Risiken seien oft eine Folge der operationellen Risiken und deshalb müssten diese kontrolliert werden. 69% der Befragten waren der Meinung, dass die Einhaltung von Compliance für die Firma mehr Wert bringen würde.

Aufgrund der in der Risikoanalyse gewonnenen Ergebnisse wurden in den operationellen Bereichen mehr als 5 Risiken pro Bereich mit je 2 möglichen Kontrollmassnahmen vorgeschlagen. Zusätzlich wurden Vorschläge für die Risiken in «Entwicklung» und «Finanz und Controlling», die auch mit den operationellen Risiken zusammenhängen, erarbeitet. Für die durch alle Bereiche hindurch an den stärksten gewichteten Risken (je zwei für Einkauf, Produktion, Verkauf) wurden zusätzliche Massnahmen vorgeschlagen. Um eine Vereinheitlichung bei allen Firmen im IKS-Tool zu erreichen, wurde jedem Risiko eine eindeutige Referenz erteilt. Dies sollte einerseits die Arbeit des Controllings und des Revisors erleichtern, andererseits eine Vergleichbarkeit für die Konzernleitung ermöglichen. Dadurch würde auf Führungsebene und auf Revisionsebene Zeit gespart werden.

Um die Chancen und Gefahren zu erkennen und daraus geeignete Massnahmen abzuleiten, sollte ein Unternehmen mit einem unternehmensweiten Risikomanagementsystem wie COSO-ERM II arbeiten. Die Bewertung der Risiken bei den Firmen soll mit Eintrittswahrscheinlichkeit und Schadenausmass bewertet werden und die Entwicklung der Risiken in ihrem zeitlichen Verlauf soll im «IKS-Cockpit» aufgezeigt werden. Die durchgeführte Risikoanalyse soll zusammen mit den Führungsverantwortlichen bearbeitet werden. Das Bewusstsein für die Einhaltung der Compliance bei den asiatischen Gesellschaften muss durch Schulung erhöht werden.

Der Einsatz der internen Revision könnte die Wirksamkeit des IKS erhöhen. Eine weitere Untersuchung zum Thema «Direkter Zusammenhang zwischen der Wirksamkeit des IKS und dem Einsatz der internen Revision» wäre angebracht.

1 VORSTELLUNG DER THEMATIK

1.1 Buster Group

Buster ist ein internationales Unternehmen mit Hauptsitz in der Schweiz und beschäftigt ca. 2'700 Mitarbeiter weltweit in 34 Niederlassungen in 16 Ländern. 1970 stieg Buster in den Bereich Sensorik ein, was zum erfolgreichen Wachstum führte. Die steigende Nachfrage nach den BusterProdukten erhöhte den Wert der Marke Buster. 2007 entschied sich Buster für einen weltweit einheitlichen Auftritt. Durch diese Strategie des Wachstums mit einheitlichem Auftritt erweiterte Buster ihr Business in den letzten Jahren weltweit. Das Erfolgsrezept der Buster beinhaltet die Werte; Pionierhaft, Partnerschaftlich, Präzise. Mehr als 12% der Mitarbeiter arbeiten in der Forschung und Entwicklung. Der Aufwand für diesen Bereich beträgt mehr als 9% des Umsatzes.

Mit dem Motiv «Wir wollen einen Schritt voraus sein» setzt Buster auf Zukunftstechnologien und hoch technisierte Produkte. Die Produktionsgesellschaften der Buster liegen in der Schweiz, in Deutschland, Frankreich, Dänemark und in Indien. Von diesen Ländern aus vertreibt die Buster ihre Produkte in die ganze Welt. Die weltweite Vernetzung der Märkte und der Konkurrenz macht das Agieren nicht leicht. Nicht nur sind die Kundenanforderungen in den letzten Jahren stark gestiegen, die Gesetzesanforderungen haben auch massiv zugenommen. Buster fällt unter die Kategorie der ordentlichen Revision. Demzufolge ist die Unternehmensleitung der Buster verpflichtet, ein IKS einzurichten und materiell nachzuweisen. Die Existenz des internen Kontrollsystems wird durch die Revisionsstelle im Rahmen der ordentlichen Revision geprüft und bestätigt.

Deshalb hat Buster Group ein IKS im Einsatz. Das Schwergewicht für dabei auf die finanzielle Berichterstattung gelegt. IKS bei Buster basiert auf dem COSO Modell. Buster verwendet gewisse Begriffe weltweit. Bei allen Buster Gesellschaften sind sie deshalb geläufig, und werden von allen Mitarbeitenden verstanden. Diese Abkürzungen oder Begriffe sind in allgemeinem Gebrauch, nämlich

Abbildung in dieser Leseprobe nicht enthalten

Für die Vereinfachung wurden diese Ausdrücke verwenden. Buster hat für die IKS-Pflicht der Group Companies gewisse Kriterien festgelegt. Diejenigen Firmen, die diese Voraussetzungen erfüllen, werden als IKS-pflichtig betrachtet. Die Kriterien sind:

- Alle Produktionsgesellschaften (Business Units BU) müssen ein IKS haben,
- Alle Vertriebsgesellschaften (Sales Units SU), die 3% des Gruppenumsatzes erwirtschaften, müssen auch ein IKS haben.

1.2 Problematik

In den letzten Jahren hat die Buster Group mit ihrer Qualität ein gutes Image aufbauen können, was durch den Preis vom Kunden bezahlt wird. Die Produkte sind wegen ihrer hochtechnischen Eigenschaften speziell hohen operationellenRisiken ausgesetzt.

Den operationellen Risiken wird im Rahmen des internen Kontrollsystems jedoch wenig Beachtung geschenkt. Die Bewertung der Risiken im IKS-Tool bei allen Firmen ist sehr schwer nachvollziehbar. Die Entwicklung der Risiken in ihrem Zeitverlauf ist nicht ersichtlich, weshalb es für die Führungspersonen schwierig ist, daraus geeignete Massnahmen ableiten zu können. Risiken sollten nämlich durch bewusst gewählte Strategien reduziert, verteilt oder verlagert werden können, was ein entsprechender Input aus dem IKS bedingt. Das Potential des IKS wird bei Buster zu wenig ausgeschöpft.

1.3 Motivation für diese Master Thesis

Der Verfasser betreute der Buster Group von 2011 bis 2014 und war unter anderem auch für das IKS zuständig. Durch diese Betreuung und sein Studium für MAS in Controlling FH durfte er das COSO-Modell näher kennen lernen und konnte im Bereich Informatik die generellen IT-Kontrollen nach CobiT einführen. Seines Erachtens bietet IKS den Unternehmen diese Möglichkeit für einen bewussten Umgang mit diesen Risiken. Durch den gezielten Einsatz von IKS können nicht nur die Risiken minimiert, sondern auch die Unternehmensziele besser erreicht werden. Die Compliance Herausforderungen können so besser gemeistert werden.

1.4 Ziel dieser Arbeit

Im Rahmen dieser Master Thesis wird bewiesen, dass die Aufdeckung, Beseitigung bzw. Reduktion der Risiken in den operationellen Risiken nämlich in den Bereichen Einkauf, Produktion und Verkauf für die Firma einen Mehrwert schaffen. Die Risiken rechtzeitig zu erkennen und ihr Schadenausmass und die Eintrittswahrscheinlichkeit richtig einzuschätzen, ist eine grosse Herausforderung für die Unternehmensleitung. Der Verfasser ist der Ansicht, dass die Risiken in den operationellen Bereichen grossen Einfluss auf die Zielerreichung eines Unternehmens haben.

Das erste Ziel dieser Arbeit ist, im Bereich Beschaffung mindestens je 5 Risiken zu ermitteln. Um diese zu minimieren bzw. zu bewältigen möchte ich pro Risiko als mögliche Lösung je zwei Kontrollmassnahmen vorschlagen.

Als zweites Ziel werde ich für den Bereich Produktion ebenfalls 5 Risiken definieren und pro Risiko jeweils zwei Kontrollmassnahmen definieren.

Der Bereich Verkauf mit mindestens 5 Risiken und je zwei Kontrollmassnahmen bildet das dritte Ziel meiner Arbeit.

Das interne Kontrollsystem (IKS) bildet das Rückgrat des Risikomanagementsystems eines Unternehmens. Als Instrument hilft IKS der Unternehmensleitung nicht nur die Risiken rechtzeitig zu erkennen, zu steuern und zu bewältigen, sondern dass es durch die Einhaltung der Compliance auch die Zukunft der Unternehmung sichern kann.

1.5 Abgrenzung

Auf die anderen Bereiche des COSO-Modells (ERM 2 – Entreprise Risk Management) wie der finanziellen Berichtserstattung, der Compliance und der Strategie wird in dieser Arbeit nicht eingegangen. Jedoch wird die Meinung der Beteiligten über die Wichtigkeit der finanziellen Risiken und über die Einhaltung der Compliance gefragt.

1.6 Thesen

Aus den Zielen dieser Arbeit resultieren folgende Thesen:

1. Die Aufdeckung, Beseitigung bzw. Reduktion der Risiken im Einkaufsbereich schafft Mehrwert für die Firma.
2. Die Aufdeckung, Beseitigung bzw. Reduktion der Risiken im Produktionsbereich schafft Mehrwert für die Firma.
3. Die Aufdeckung, Beseitigung bzw. Reduktion der Risiken im Verkaufsbereich schafft Mehrwert für die Firma.

2 LITERATURREVIEW

2.1 Entstehung des IKS

Im letzten Jahrzehnt haben schwere Wirtschaftsskandale und Zusammenbrüche von grossen Unternehmen die Welt erschüttert. Mitarbeiter, Investoren und andere Anspruchs-gruppen solcher Unternehmungen erlitten erhebliche Verluste. Als Folge davon wurden weltweite neue Gesetze und Verordnungen erlassen. Der Bedarf nach verbesserter Unternehmensführung und einem bewussten Risikomanagement stieg.

In den USA wurde 2002 das Sarbanes-Oxley Act, auch SOX genannt, verabschiedet. Dies war eine Reaktion auf Bilanzskandale von Enron oder Worldcom. Mit diesem Gesetz wollten die USA die Verlässlichkeit der Berichterstattung von Unternehmen verbessern. Vor mehr als 15 Jahren veröffentlichte das «Committee of Sponsoring Organization of the Treadway Commission (COSO)» das Rahmenwerk «Interne Kontrolle – Übergreifendes Rahmenwerk». Dieses hat zum Ziel, Unternehmungen sowie andereOrganisationen in der Bewertung und der Verbesserung ihrer internen Kontrollsysteme zu unterstützen.

2.1.1 Definition des IKS

Das IKS wird grundsätzlich durch die Gesamtheit der vom Verwaltungsrat, der Geschäfts-leitung und übrigen Führungsverantwortlichen angeordneten Vorgänge, Methoden und Massnahmen beschrieben, die dazu dienen, einen ordnungsmässigen Ablauf des betrieblichen Geschehens sicher zu stellen sowie das betriebliche Vermögen zu schützen (Treuhandkammer, 2006).

Unter einem IKS werden die von der Unternehmensleitung eingeführten Grundsätze, Verfahren und Regelungen verstanden, welche der organisatorischen Umsetzung von Entscheidungen der Unternehmensleitung dienen (Bungartz, 2012, S. 45). Immer, wenn hier von einer Unternehmung gesprochen wird, ist sinngemäss auch das Gemeinwesen eingeschlossen. Man kann aus den obigen Definitionen folgende Inhalte für ein IKS zusammenfassen:

- Organisatorische Umsetzung von Entscheidungen der Unternehmensleitung
- Ordnungsmässiger Ablauf des betrieblichen Geschehens
- Schutz des betrieblichen Vermögens
- Einhaltung der eingeführten Grundsätze, Verfahren und Regelungen

Demnach sollte sich ein IKS nicht nur auf die Rechnungslegung beschränken. „Vielmehr sind alle wesentlichen Geschäftsprozesse in die Betrachtung einzubeziehen, um die Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sicher zu stellen. Diese Forderung ergibt sich unter anderem aus der Begriffsdefinition des IKS, denn die ‚organisatorische Umsetzung von Entscheidungen der Unternehmensleitung’ betrifft nicht nur den Bereich der Rechnungs-legung, sondern alle wichtigen Entscheidungsfelder des Unternehmens.“ (Bungartz, 2012, S. 19).

Ein IKS beschränkt sich nicht nur auf reine Kontrollmassnahmen, sondern ist ein Führungs und Steuerungsinstrument für die Planung, des In-Gang-Setzens, der Realisierung und des Lernens. Das IKS wirkt unterstützend bei

- der Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente Geschäftsführung,
- der Einhaltung von Gesetzen und Vorschriften (Compliance),
- dem Schutz des Geschäftsvermögens,
- der Verhinderung, Verminderung und Aufdeckung von Fehlern und Unregelmässigkeiten,
- der Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung und
- der Erstellung einer zeitgerechten und verlässlichen finanziellen Berichtserstattung.

(Bungartz, 2012, S. 21).

2.1.2 Ziele des IKS

Stimmberechtigt sind die zum Zeitpunkt des Schliessens des Aktienbuches eingetragenen

Das COSO Rahmenwerk definiert «Internal Control» als einen Prozess, der eine hinreichende Sicherheit bezüglich der folgenden Zielkategorien zu gewährleisten hat, nämlich

- Effektivität und Effizienz der Geschäftstätigkeit (Betrieblich)
- Verlässlichkeit der finanziellen Berichterstattung (Berichterstattung)
- Einhalten der anwendbaren gültigen Gesetze und Vorschriften (Regeleinhaltung)

2.1.3 IKS als Prozess

Das COSO Rahmenwerk definiert IKS als Prozess, welcher durch Unternehmensleitung und Mitarbeiter einer Organisation ausgeführt wird. Das Erreichen strategischer sowie betrieblicher Ziele wird auch durch externe Ereignisse beeinflusst, welche nicht immer durch die Organisation selbst kontrolliert werden. Ein unternehmensweites Risikomanagement gibt den Führungskräften hinreichende Sicherheit, weil es zeitnah darüber Kenntnis gibt, wieweit sich die Organisation ihren Zielen genähert hat (COSO, 2004, S. 10-12).

Interne Kontrolle als Prozess muss laufend angepasst werden. Wenn neue Strategien und Ziele entwickelt werden, müssen auch neue ungewohnte Risiken bewältigt werden, die eine permanente Anpassung des IKS an diese Umstände erfordern. Interne Kontrolle kann keine absolute Sicherheit bieten, Betrugsfälle oder Fehler zu verhindern. Sie kann aber eine angemessene Sicherheit in Bezug auf die Richtigkeit der Informationen bieten. Das IKS als Steuerungsinstrument umfasst alle Kontrollen, Massnahmen, betriebswirtschaftlichen Überlegungen und den Umgang mit Risiken, die darauf ausgerichtet sind, bei den Ereignissen Mängel zu erkennen bzw. zu vermeiden, damit diese Ereignisse und Risiken die geschäftspolitischen Ziele nicht beeinträchtigen können (Pfaff & Ruud, 2010, S.21-22).

2.1.4 Das IKS als integraler Bestandteil eines Risikomanagement

Das IKS trägt zur Erreichung der unternehmerischen Ziele bei. Der schweizerische Gesetzgeber fokussiert seine Erwartung an das IKS auf diejenigen Risiken, welche im Zusammenhang mit der finanziellen Berichterstattung stehen. Das IKS wird je länger je mehr als Führungs und Steuerungsinstrument wahrgenommen. Die systematische Erfassung wichtiger Prozesse und Kontrollen und deren Optimierung können zur Verbesserung des operativen Effizienzgewinns beitragen. Neue Restrukturierungen, Personalfluktuationen, neue Informationssysteme oder die Veränderungen im regulatorischen Umfeld können die Qualität der einmal definierten Kontrollmassnahmen abschwächen. Deshalb müssen einmal definierte Kontrollmassnahmen kontinuierlich an die neuen Gegebenheiten angepasst werden, damit das IKS als Führungsinstrument eingesetzt werden kann.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Lebenszyklus der Qualität der Kontrolle (Quelle: www.pwc.ch)

Es ist für die Geschäftsleitung empfehlenswert, einen IKS-Verantwortlichen zu bestimmen, der wesentliche Teile der Überwachungsaufgaben wahrnimmt. Überwachung und Berichterstattung des IKS dienen der Unternehmensleitung als Grundlage zur Wahrnehmung ihrer Gesamtverantwortung (PWC, 2006, S. 3 -11).

2.1.5 Gründe für ein gut funktionierendes IKS

Folgende Ausführungen und gesetzliche Grundlagen zeigen, ob IKS eine Alibiübung ist oder eine Pflicht.

2.1.5.1 Aufgaben des Verwaltungsrats nach OR

Der Verwaltungsrat hat gemäss OR 716 folgende unübertragbare und unentziehbareAufgaben:

1. die Oberleitung der Gesellschaft und die Erteilung der nötigen Weisungen
2. die Festlegung der Organisation
3. die Ausgestaltung des Rechnungswesens, der Finanzkontrolle sowie der Finanzplanung, sofern diese für die Führung der Gesellschaft notwendig ist
4. die Ernennung und Abberufung der mit der Geschäftsführung und der Vertretung betrauten Personen
5. die Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen
6. die Erstellung des Geschäftsberichtes sowie die Vorbereitung der Generalversammlung und die Ausführung ihrer Beschlüsse
7. die Benachrichtigung des Richters im Falle der Überschuldung

2.1.5.2 Aufgaben des Verwaltungsrats nach SCBP

Der Swiss Code ist ein Empfehlungskatalog für die schweizerischen börsenkotierten Unternehmen sowie für nicht börsenkotierte, volkswirtschaftlich bedeutende Unternehmen. In Ziffer 19 wird über das IKS, Umgang mit Risiken und Compliance empfohlen:

«Das interne Kontrollsystem deckt, je nach den Besonderheiten der Gesellschaft, auch das Risikomanagement ab; dieses bezieht sich sowohl auf finanzielle wie auf operationelle Risiken. Der Verwaltungsrat gibt sich mindestens einmal jährlich darüber Rechenschaft, ob die für ihn und das Unternehmen anwendbaren Compliance-Grundsätze hinreichend bekannt sind und ihnen nachgelebt wird.» (Ziffer 20 SCBP)

Demnach sind die drei Hauptpfeiler des IKS

1. Die Effektivität und die Effizienz der Tätigkeiten (Operations)
2. Die Verlässlichkeit der finanziellen Berichterstattung (Financial Reporting) sowie
3. Die Gesetzes und Normenkonformität von der Unternehmensleitung detailliert aufzuzeigen (Compliance).

«Der Verwaltungsrat sorgt in der Planung für die grundsätzliche Übereinstimmung von Strategie und Finanzen.» (Ziffer 9 SCBP).

2.1.5.3 Sorgfalts und Treuepflicht

Die Mitglieder des Verwaltungsrats, die mit der Geschäftsführung betraut sind, müssen ihre Aufgaben mit aller Sorgfalt erfüllen und die Interessen der Organisation in guten Treuen wahren. Die generelle Pflicht zur Sorgfalt nach Art. 717 I OR bringt eine IK-Pflicht je nach Art und Grösse eines Unternehmens mit sich (z.B. Doppelunterschrift / 4-Augen-Prinzip usw.).

2.1.5.4 Pflicht zur Führung & Aufbewahrung der Geschäftsbücher

Gemäss OR 957 I wer verpflichtet ist, seine Firma in das Handelsregister eintragen zu lassen, ist gehalten, diejenigen Bücher ordnungsgemäss zu führen und aufzubewahren, die nach Art und Umfang seines Geschäftes nötig sind, um die Vermögenslage des Geschäftes und die mit dem Geschäftsbetriebe zusammenhängenden Schuld und Forderungsverhältnisse sowie die Ergebnisse der einzelnen Geschäftsjahre festzustellen.

2.1.5.5 Buchführungspflicht

Wer nach Art. 1 GeBüV (Geschäftsbücher Verordnung) buchführungspflichtig ist, muss ein Hauptbuch und, je nach Art und Umfang des Geschäfts, auch Hilfsbücher führen.

2.1.5.6 Ordnungsmässige Buchführung (GeBüV)

Gemäss Art. 2 GeBüV (Geschäftsbücher Verordnung) sind bei der Führung der Geschäftsbücher und der Erfassung der Buchungsbelege die anerkannten kaufmännischen Grundsätze einzuhalten.

1. Werden die Geschäftsbücher elektronisch oder auf vergleichbare Weise geführt und aufbewahrt und die Buchungsbelege sowie die Geschäftskorrespondenz elektronisch oder auf vergleichbare Weise erfasst und aufbewahrt, so sind die Grundsätze der ordnungsgemässen Datenverarbeitung einzuhalten.
2. Die Ordnungsmässigkeit der Führung und der Aufbewahrung der Bücher richtet sich nach den allgemein anerkannten Regelwerken und Fachempfehlungen, sofern diese Verordnung oder darauf gestützte Erlasse keine Vorschrift enthalten.

2.1.5.7 Ordnungsmässigkeit der Geschäftsbücher (OR)

Die Jahresrechnung wird nach den Grundsätzen der ordnungsmässigen Rechnungslegung so aufgestellt, dass die Vermögens und Ertragslage der Gesellschaft möglichst zuverlässig beurteilt werden kann. Sie enthält auch die Vorjahreszahlen (Art. 662 OR).

2.1.5.8 Erstellen des Geschäftsberichts

Der Verwaltungsrat erstellt für jedes Geschäftsjahr einen Geschäftsbericht, der sich aus der Jahresrechnung, dem Jahresbericht und einer Konzernrechnung zusammensetzt, soweit das Gesetz eine solche verlangt (Art. 662 I OR).

2.1.5.9 Risikobeurteilung im Anhang durch Verwaltungsrat

Der Verwaltungsrat ist nach diesem Artikel verpflichtet, eine Risikobeurteilung durchzuführen. Die Angaben über die Risikobeurteilung sind im Anhang offen zu legen (Art. 663b Ziff. 12).

2.1.5.10 Revisionspflicht der Gesellschaften und Ordentliche Revision

Die schweizerische Gesetzgebung hat für die Revision verschiedene Varianten sowie Möglichkeiten festgelegt. Er unterteilt sie in ‚Ordentliche‘ und ‚Eingeschränkte‘ Revision. Nach dem revidiertem Art. 727 OR Abs. 1, Ziffer 2 müssen die Gesellschaften, die zwei der nachstehenden Grössen in zwei aufeinander folgenden Geschäftsjahren überschritten haben, ihre Jahresrechnung und gegebenenfalls ihre Konzernrechnung durch eine zugelassene Revisionsstelle ordentlich prüfen lassen:

a. Bilanzsumme von 20 Millionen Franken,
b. Umsatzerlös von 40 Millionen Franken,
c. 250 Vollzeitstellen im Jahresdurchschnitt

2.1.5.11 Organhaftung und Strafbarkeit nach Strafgesetzbuch

Wird in einem Unternehmen in Ausübung geschäftlicher Verrichtung im Rahmen des Unternehmenszwecks ein Verbrechen oder Vergehen begangen und kann diese Tat wegen mangelhafter Organisation des Unternehmens keiner bestimmten natürlichen Person zugerechnet werden, so wird das Verbrechen oder Vergehen dem Unternehmen zugerechnet. In diesem Fall wird dieses mit Busse bis zu 5 Millionen Franken bestraft (Art. 102 I StGB).

2.1.5.12 Vertretungsverhältnisse nach Strafgesetzbuch

Art. 29 StGB regelt die Strafbarkeit von Personen, die im Auftrag einer Unternehmung eine besondere Funktion ausüben (Organ, Mitglied eines Organs, Mitarbeiter mit selbständiger Entscheidungsbefugnis in seinem Tätigkeitsbereich einer juristischen Person, einer Gesellschaft oder einer Einzelfirma und ohne Organ, Mitglied eines Organs, Gesellschafter oder Mitarbeiter zu sein, als tatsächlicher Leiter), mit welchem besonderen Pflichten verbunden sind, bei deren Verletzung sich der Betroffene strafbar macht.

2.1.5.13 Prüfbericht, Angaben im Anhang und Risikobeurteilung

Grundsätzlich muss jedes Unternehmen sich mit den Risiken, denen es ausgesetzt ist, auseinander setzen. Es sind nicht nur diejenigen Risiken einzubeziehen, die einen unmittelbaren Einfluss auf die Jahresrechnung haben, sondern auch diejenigen, welche von strategischer Bedeutung sind. Alle wesentlichen Geschäftsrisiken, welche die langfristige Existenz des Unternehmens gefährden könnten, sind mindestens einmal jährlich zu beurteilen und offen zu legen. Der Verwaltungsrat trägt die Verantwortung für die Risikobeurteilung, die nachweisbar und dokumentiert sein muss. Gemäss Art. 663b, Ziff. 12 OR müssen die Angaben über die Durchführung einer Risikobeurteilung im Anhang gemacht werden. Die Durchführung der Risikobeurteilung muss so umschrieben werden, dass dies formell von der Revisionsstelle nachvollzogen werden kann. Zusätzlich erforderlich sind die Angaben zu Risiken der technologischen Entwicklung, der Arbeitsmarktverhältnisse, der Konkurrenzsituation, des Produktmix, der internen Organisation, der externen Einflüsse von Stakeholder oder der Umwelt. Der Gesetzgeber geht von einer inhaltlichen Auseinandersetzung mit den Unternehmensrisiken aus (Moser & Stenz, 2007, S. 594-597).

2.2 Risiko

Das lateinische Wort «risicare» bedeutet «etwas wagen, etwas unternehmen» und beinhaltet damit auch eine Chance. Risiko bedeutet sowohl etwas Positives als auch die negative Abweichung von einem angestrebten Zustand. Ereignisse mit negativer Auswirkung verhindern die Wertschöpfung und reduzieren somit den Unternehmenswert, mit positiven Auswirkungen hingegen fördern sie die Zielerreichung und die Wertschöpfung. Das Risiko wird im Hinblick auf seine Auswirkung und seine Eintrittswahrscheinlichkeit gemessen. Für ein Risiko liegen Wahrscheinlichkeit und klare Konsequenzen vor, was das Risiko von der Unsicherheit unterscheidet, denn bei diesem fehlt die Wahrscheinlichkeit. (Wiederkehr & Züger, 2010, S. 9 -10).

2.2.1 Typische Risikofelder eines Unternehmens

Operative Frühwarnsysteme bzw. Führungsinstrumente spielen für die kurzfristige Betrachtung je nach Organisation eine grosse Rolle. Management und weitere Führungsverantwortliche müssen sich über die Art und Ausprägung der Risiken Gedanken machen. Diese können als Risikobereiche definiert und dann weiter in ‚Risikofelder’ gruppiert und behandelt werden. Die folgende Abbildung zeigt die Risikofelder im Unternehmen. Selbstverständlich können gewisse Elemente sinngemäss auch auf die Gemeinwesen übertragen werden. Anstelle von Produktion würde man dort von der Erbringung von Dienstleistungen sprechen usw.

Abbildung 2: Allgemeine Risikofelder (Quelle: Das Interne Kontrollsystem, 2011)

Abbildung in dieser Leseprobe nicht enthalten

2.2.2 Bewertung der Risiken

Die Bewertung bzw. das Schadenausmass eines Risikos lässt sich durch die Multiplikation der Eintrittswahrscheinlichkeit mit der Auswirkung pro Schadenereignis ermitteln.

Die Formel für die Bewertung eines Risikos ist

Abbildung in dieser Leseprobe nicht enthalten

(Wiederkehr & Züger, 2010, S. 14)

Beispiel: Die Eintrittswahrscheinlichkeit besteht zu 70%, dass die Organisation einen Prozess verliert. Die Auswirkung dieses Schadenereignisses beträgt total 30'000 Franken. In diesem Fall beträgt das Risiko 21'000 Franken (30'000 x 70%).

Für die Risikobewertung wird von Julia Helbeck eine 5-er Skala der Risikobewertung vorgeschlagen bzw. empfohlen. Die 5 Stufen der Eintrittswahrscheinlichkeit und des Schadenausmasses sind sehr gering (1), gering (2), mittel (3), hoch (4) und sehr hoch (5). (Helbeck, 2008, S. 34)

2.2.3 Instrumente zur Risikobewertung

In der Praxis werden verschieden Methoden für die Risikobewertung angewendet:

2.2.3.1 Value at Risk (VaR)

«Der Value-at-Risk ist der Betrag, der innerhalb eines Anlagezeitraums mit einer bestimmten Wahrscheinlichkeit verloren gehen kann. Der Value-at-Risk misst somit das Verlustpotential einer Anlage.» (Zimmermann, 2012, S. 72)

2.2.3.2 Key Performance Indicator (KPI)

«Der Begriff Key Performance Indicator bzw. Leistungskennzahl bezeichnet in der Betriebswirtschaftslehre Kennzahlen, anhand derer der Fortschritt oder der Erfüllungsgrad hinsichtlich wichtiger Zielsetzungen oder kritischer Erfolgsfaktoren innerhalb einer Organisation gemessen und/oder ermittelt werden kann.» (Wikipedia, 2012)

2.2.3.3 Sensitivitätsanalyse

«Die Sensitivitätsanalyse versucht aufzuzeigen, wie sich die Veränderung einer oder mehrerer Inputgrössen (z.B. Einnahmen) auf die Outputgrössen (z.B. Interner Ertragssatz) auswirken.» (Giezendanner, 2006, S. 21)

Sensitivitätsanalysen können bei allen Methoden der Investitionsrechnung angewendet werden. Sie wird auch als operatives Controlling Instrument im Zusammenhang mit Break-Even-Analyse verwendet. Es gibt zwei Arten von Sensitivitätsanalysen. Die erste Form untersucht die Auswirkungen der Veränderungen einer oder mehrerer Variablen auf die Zielgrösse, z.B. Rendite oder Überschuss bzw. Fehlbetrag einer Investitionsrechnung. Mit Hilfe dieser Analyse werden für die operativen Entscheide folgende Fragen beantwortet:

- Wie verändert sich die Rendite, wenn der Verkaufspreis von den Schätzungen abweicht?
- Wie verändert sich die Rendite, wenn die abgesetzte Menge nicht den Erwartungen entspricht?
- Wie verändert sich die Rendite als Folge einer ungenauen Schätzung der Nutzungsdauer eines Investitionsprojektes?

Bei der zweiten Form der Sensitivitätsanalyse sollen die zulässigen Abweichungen ermittelt werden. Oft werden die Schwankungen nur einer Variablen isoliert untersucht. Mit dieser Variante der Sensitivitätsanalyse können folgende Fragen bezüglich der Nutzschwelle für die operativen Entscheide beantwortet werden:

- Bei welchem Verkaufspreis ergibt die Investitionsrechnung bei sonst gleich bleibenden Daten – weder einen Überschuss noch einen Fehlbetrag?
- Bei welcher Absatzmenge ergibt die Investitionsrechnung – bei sonst gleich bleibenden Daten – weder einen Überschuss noch einen Fehlbetrag?
- Bei welcher Nutzungsdauer ergibt die Investitionsrechnung – bei sonst gleich bleibenden Daten – weder einen Überschuss noch einen Fehlbetrag?

(Staehlin, Suter & Siegwart, 2007, S. 161 164)

2.2.3.4 Szenario-Technik

Die Szenario-Technik ist eine Methode der strategischen Frühaufklärung, des strategischen Controllings, die einerseits alternative Umweltszenarien simuliert und anderseits alle möglichen Zukunftssituationen beschreibt. Die Szenariotechnik verfolgt etwa die Analyse:

[...]