Forschung & Entwicklung

Internes Kontrollsystem (IKS)

Integrierte Steuerung und Kontrolle von KMU mit IT

01.10.2015

Viele KMU verzichten auf ein Internes Kontrollsystem. Begründet wird dies mit einem unvorteilhaften Kosten-Nutzen-Verhältnis oder fehlenden Hilfsmitteln. Die Hochschule Luzern – Wirtschaft untersucht deshalb in einem Forschungsprojekt, wie Steuerung und Kontrolle mit IT pragmatisch und wirksam umgesetzt werden können.

PDF Kaufen

In Zusammenhang mit der Revision des Aktienrechts im Jahr 2008 sahen sich viele KMU gezwungen, gegenüber der externen Revisionsstelle ein dokumentiertes Internes Kontrollsystem (IKS) nachzuweisen. Dieser Umstand führte damals zur berechtigten Frage, wie KMU mit ihren knapp bemessenen Ressourcen die neuen Gesetzesvorgaben erfüllen sollten. Die neue IKS-Pflicht sorgte bei vielen mittelständischen Unternehmen für Unmut, da insbesondere die damit verbundene Kostenbelastung als erheblich erachtet wurde. In den meisten Unternehmen existierten zwar schon Ansätze von Risiko- und Kontrollinstrumenten. Diese wurden aber in der Regel selten konsequent genutzt und nicht mit anderen Führungsinstrumenten abgestimmt. Zudem waren viele Kontrollen – aus Sicht der externen Revisionsstelle ein zentraler Mangel – für Dritte aufgrund fehlender Dokumentation kaum nachvollziehbar.

Entlastung der KMU fraglich

Der Gesetzgeber reagierte per 1. Januar 2012 auf die Begehren der KMU und erhöhte mit der Aktienrechtsrevision die Schwellenwerte für die ordentliche Revision signifikant. Zahlreiche KMU wurden somit wieder von der formalen IKS-Pflicht befreit – der Einfluss des Gesetz-
gebers hat sich verkleinert. Die Erhöhung der Schwellenwerte gilt es jedoch ebenso kritisch zu beurteilen. Ob diese überhaupt zur geforderten Entlastung der KMU führt, wird sich erst noch zeigen müssen. Gegebenenfalls kommt es lediglich zu einer Verlagerung der Kosten, z. B. von den Aufwendungen für die Prüfung der Jahresrechnung hin zu Kosten für Ad-hoc-Prüfungen oder für das Bereitstellen von Sicherheiten. Es ist ferner auch nicht auszuschliessen, dass die Vernachlässigung formaler Kontrollen höhere Risikokosten verursacht und die Anzahl von KMU-Konkursen zunehmen wird (vgl. Zihler, 2011, S. 675).

Diese Entwicklungen führten dazu, dass sich die Hochschule Luzern – Wirtschaft einem von KTI / Bund mitfinanzierten Forschungsprojekt zum Thema «integrierte Steuerung und Kontrolle von KMU mit IT» angenommen hat (siehe Textbox «Das KTI-Projekt» auf Seite 99).

Erhöhter Handlungsbedarf

Angesichts der gesetzlichen Veränderung bezüglich Revisionsrecht und den Charakteristika von KMU wie zum Beispiel knappe Personalressourcen, flache Hierarchien und ungenügende Funktionentrennung lassen sich zwei Beweggründe für das erwähnte Forschungsprojekt aufführen:

Einerseits gilt es durch die reduzierte oder entfallene Fremdkontrolle durch die externe Revisionsstelle für KMU die Eigenkontrolle im Rahmen einer guten Corporate Governance zu fördern. In der Regel fehlt es heute den KMU allerdings an Hilfsmitteln und Anreizen, freiwillig geeignete Instrumente zu optimieren oder effizienter zu gestalten.

Andererseits legen verschiedene Studien dar, dass die Orientierung der IKS-Umsetzung am Gesetzesminimum, d. h. der Sicherstellung einer wahrheitsgemässen finanziellen Berichterstattung, von KMU als wenig sinnvoll und nützlich erachtet wurde. Dementsprechend gross ist das Bedürfnis nach einem integrierten Konzept, das auch die Schnittstellen zur Unternehmensstrategie, operativen Geschäftstätigkeit und Compliance für eine effektive und effiziente finanzielle Steuerung und Kontrolle miteinbezieht.

Die primäre Herausforderung des KTI-Projekts liegt daher in der Konzeption eines kostengünstigen und wirksamen Steuerungs- und Kontrollrahmens, der die Bedürfnisse der KMU berücksichtigt und die freiwillige Umsetzung fördert. Vor dem Hintergrund der häufig nur informell oder fragmentarisch vorhandenen Abläufe und Prozesse sowie der teilweise nicht vollständig vorhandenen Finanzplanung müssen kosteneffiziente Mittel und Wege gefunden werden.

Ein geeignetes Mittel zur Steigerung der (Kosten-)Effizienz ist unter anderem der Einsatz der Informationstechnologie (IT). Diese begünstigt die Automatisierung von Prozessen, ermöglicht IT-gestützte, präventive Kontrollen, optimiert den Ressourceneinsatz und stellt die Überwachung der finanzrelevanten Prozesse und Aktivitäten in KMU sicher.

Kontrolldefizite

Zwischen Theorie und Praxis bestehen bekanntermassen oft beachtliche Differenzen, so auch in Bezug auf die Umsetzung von Steuerungs- und Kontrollmassnahmen bei einer Vielzahl von KMU. Dies bringen die Erhebungen der Hochschule Luzern – Wirtschaft bei sieben Praxispartnern des erwähnten Projekts zum Vorschein. Anhand von Interviews und einem Intensiv-Workshop wurden die Unternehmensprozesse entlang der Wertschöpfungskette auf deren Risiken sowie entsprechende Steuerungs- und Kontrollmassnahmen geprüft. Daneben standen die Effizienz und Effektivität dieser Massnahmen als auch die Ausgestaltung der finanziellen Führungsinstrumente zur Diskussion. Die Beispiele in Abbildung 1 illustrieren bezeichnende Kontrolldefizite, die in den KMU identifiziert wurden.

Analyse der Defizite

Da der Fokus des KTI-Projekts auf IT- und prozessspezifischen Steuerungs- und Kontrollmassnahmen liegt, wurden schwerpunktmässig Prozessdefizite beziehungsweise -risiken analysiert und bewertet sowie die Güte der dazugehörigen Massnahmen aus Expertensicht beurteilt. Im Nachhinein konnten die KMU zu dieser Einschätzung Stellung nehmen und etwaige Missverständnisse klären.

Abbildung 2 visualisiert die Gegenüberstellung von Risiken und Massnahmen, wobei die Risiken von gering (1) bis hoch (5) und die Massnahmen von ungenügend (1) bis optimal (5) eingestuft wurden. Im Idealfall sind die Netto-Risiken (unter Berücksichtigung der bestehenden Massnahme(n)) möglichst gering und die Massnahmen mindestens gut, was in etwa einer Bewertung von 4 entspricht.

Obschon die folgenden Erkenntnisse keine repräsentativen Schlussfolgerungen erlauben, stellen sich klare Tendenzen heraus. So lässt sich eine grosse Abweichung zwischen den Risiken und der Güte der Steuerungs- und Kontrollmassnahmen in den Prozessen feststellen.

Zudem fällt es der Mehrheit der befragten KMU schwer – trotz der vorhandenen hohen Prozessrisiken, mehrere potenzielle Massnahmen zur Risikominderung zu benennen. Viele Prozessrisiken in den betrachteten KMU werden als erheblich eingestuft, weil (Teil-)Prozesse jeweils oft von nur einer Person und deren Risikobewusstsein abhängen. Die ersten Projektauswertungen widerspiegeln also den bereits angesprochenen Handlungsbedarf bei KMU.

Wirksame Empfehlungen

Aufgrund der ressourcenbedingten Steuerungs- und Kontrolldefizite (z. B. ungenügende Funktionentrennung, fehlende Stellvertretungen, wenige Analysen) liegt die Chance für KMU darin, ein risiko- und kontrollbewusstes internes Umfeld zu etablieren. Hierzu soll die Sensibilität für Risiken und Kontrollen auf allen Hierarchiestufen gefördert und in der Unternehmenskultur verankert werden. Es liegt indes in der Verantwortung der Unternehmensführung, die Wichtigkeit integren Verhaltens und moralischer Wertvorstellungen aktiv im Unternehmen vorzuleben.

Neben formalen Elementen wie zum Beispiel Verhaltenskodex, Leitbild, Kompetenzreglement, Stellenbeschreibungen oder Organigramm müssen zudem Erwartungshaltungen kommuniziert, die interne Kommunikation wie auch das finanzbezogene Know-how fortlaufend gestärkt werden. Diese eher kulturorientierten Komponenten sollten zudem ergänzt werden um ein institutionalisiertes Informationsmanagement. Der Verwaltungsrat und die Geschäftsleitung sollen sich dazu äussern, welche Informationen sie in welcher Form wie und wie oft aufbereitet haben möchten. Dazu müssen sich die Entscheidungsträger vorgängig über ihre Ziele und die zielführenden Kennzahlen im Klaren sein (z. B. Umsatzentwicklung, Liquidität, Marge).

Fehler aufdeckende Kontrollen bieten die Möglichkeit, der mangelnden Funktionentrennung in KMU zu begegnen. Mittels automatisierten, IT-gestützten Abläufen lassen sich einfache Kontrollberichte erstellen und die relevanten Daten aufbereiten. So erhalten die für die Kontrolle zuständigen Mitarbeitenden genau diejenigen Informationen, mithilfe derer sie Fehler entdecken und Optimierungen einleiten können.

Ein Beispiel für eine nachgelagerte Kontrolle im Finanzprozess ist die systematische Verfolgung der kundenseitigen Offen-Posten-Liste, damit der rechtzeitige Geldeingang vorangetrieben werden kann. In den Logistikprozessen kann der regelmässige Abgleich von physischen Inventaren mit den Daten aus dem Rechnungswesen besonders bei hohen Lagerbeständen eine effektive Kontrolle darstellen. Trotzdem sollte gerade bei besonders sensitiven Bereichen wie dem Zahlungsverkehr eine Funktionentrennung mit Visumsregelung implementiert sein (vgl. Hunziker & Fischer, 2011).

Mit dem konsequenten Einsatz von integrierter ERP-Software lässt sich die Verlässlichkeit und Effizienz der finanziellen Führung wesentlich verbessern. Dabei ist zu beachten, dass im nachhinkenden Rechnungswesen vielfach der Gestaltungsspielraum für die finanzielle Führung eingeschränkt ist. Aus KMU-Sicht ist es wichtig, bereits die operativen Geschäftsprozesse hinsichtlich der finanziellen Konsequenzen zu steuern und zu optimieren. Je mehr Daten zu Geschäftstransaktionen vorhanden sind, umso bessere Informationen lassen sich daraus generieren.

Wird anstelle eines integrierten ERP-Systems lediglich eine Finanzsoftware verwendet, so fehlen wesentliche Informationen zu den zugrunde liegenden Geschäftsprozessen. Entsprechend schwieriger ist es für die Verantwortlichen in KMU, bereits frühzeitige Massnahmen zur Verbesserung der finanziellen Belange einzubringen.

Es ist offensichtlich, dass integrierte Lösungen mit automatisierten, präventiven Kontrollen helfen, Fehler und Manipulationen zu verhindern. Ebenso zur Fehlerverhinderung beitragen kann die Automatisierung von Prozessen. In ERP-Systemen programmierte Workflow- und Ablaufsysteme mit hinterlegten Kalender- und E-Mail-Funktionen stellen sicher, dass die notwendigen Informationen zur Verfügung gestellt und Aufgaben termingerecht erledigt werden können.

Beispiele für präventive Prozesskontrollen im Finanzbereich sind die workflowgestützte Rechnungsgenehmigung oder die Prüfung auf Skontoabzug. In operativen Prozessen können Genehmigungsprozesse bei der Festlegung von Rabatten oder der Abgleich von Bestellmenge und -preis mit der entsprechenden Rechnung genannt werden.

Weitere Optimierungspotenziale in der Anwendung von ERP-Lösungen liegen im möglichst weitgehenden Verzicht auf fehler- und manipulationsanfällige Excel-Auswertungen und im Wegfallen von aufwendiger Schnittstellenpflege. Weiter können durch automatisierte und präventive Kontrollen im ERP-System Risikokosten eingespart werden, zum Beispiel reduziert eine automatisierte Bonitätsprüfung das Risiko von Debitorenverlusten. Schliesslich erlauben benutzergruppenspezifische Zugriffsrechte, IT- gestützte Visumskontrollen oder Änderungsprotokolle eine ressourcenschonende Alternative, um eine angemessene interne Kontrolle sicherzustellen.

Fazit

Die ersten Erkenntnisse aus dem Forschungsprojekt akzentuieren den durch die Erhöhung der Schwellenwerte entstandenen Mangel am eigenen Steuerungs- und Kontrollbewusstsein. Folglich fehlt es in den untersuchten KMU häufig an geeigneten Massnahmen, um Risiken zu minimieren. Dies unterstreichen die zahlreichen Steuerungs- und Kontrolldefizite in den Unternehmensprozessen. Um eine risikoorientierte(re) finanzielle Führung zu fördern, müssen daher punktuell Steuerungs- und Kontrollelemente in den Unternehmensprozessen von KMU verbessert werden. Dazu wird im Rahmen des KTI-Projekts ein Best-Practice-Modell erarbeitet, das sich bewusst nicht auf die enge IKS-Definition des Schweizer Gesetzgebers stützt, sondern die Schnittstellen zu weiteren Führungsinstrumenten berücksichtigt und mithilfe der IT eine effektive und effiziente finanzielle Führung anstrebt. Damit sollen die genannten Defizite verringert und kosteneffiziente Lösungen in KMU ermöglicht werden.

Wissen

kurz & bündig

Aufgrund der ressourcenbedingten Steuerungs- und Kontrolldefizite liegt die Chance für KMU darin, ein risiko- und kontrollbewusstes internes Umfeld zu etablieren.
Aus KMU-Sicht ist es wichtig, bereits die operativen Geschäftsprozesse hinsichtlich der finanziellen Konsequenzen zu steuern und zu optimieren.
Integrierte Lösungen mit automatisierten, präventiven Kontrollen helfen, Fehler und Manipulationen zu verhindern. Ebenso zur Fehlerverhinderung beitragen kann die Automatisierung von Prozessen.

Literatur

Hunziker, S. & Fischer, T. (2011). Stärkung des Internen Kontrollsystems in KMU. Der Treuhandexperte, Nr. 3, S. 166 –168.

Zihler, F. (2011). Erhöhung der Schwellenwerte von Art. 727 Abs. 1 Ziff. 2 OR. Schweizer Treuhänder, Nr. 9, S. 670 – 676.

Das KTI-Projekt

Das von der Kommission für Technologie und Innovation (KTI / Bund) geförderte Projekt «SKIT – Effektive und effiziente finanzielle Führung mit IT» wurde im Frühjahr 2014 von der Hochschule Luzern – Wirtschaft in Zusammenarbeit mit der Sage Schweiz AG initiiert. Ebenso unterstützen Partnerunternehmen sowie mehrere Verbände, darunter der Schweizerische Treuhänderverband, das Vorhaben ideell und finanziell.

Das übergeordnete Projektziel besteht darin, konzeptionelle und empirisch validierte Lösungen zu entwickeln, wie die integrierte Steuerung und Kontrolle von KMU mit Informationstechnologie (IT) effektiv und effizient umgesetzt werden kann. Gestützt auf einem zu entwickelnden Best-Practice-Modell verfolgt das Projektteam dabei die Absicht, KMU ein onlinebasiertes Assessment des Status quo ihrer Steuerungs- und Kontrollmassnahmen zu ermöglichen. Auf der dazugehörigen Web-Plattform sollen Entscheidungsträger im Anschluss adäquate Instrumente und Hinweise vorfinden, um mithilfe von IT ihre (finanzielle) Führung effektiv und effizient zu gestalten.