Strategie & Management

Nachhaltiger Umgang mit Risiken (Teil 2 von 2)

Internes Kontrollsystem: Effizienter Umgang mit Risiken?

01.02.2011
Ein Internes Kontrollsystem (IKS) ist gesetzlich festgeschrieben. Die Umsetzung dieser Forderung stellt viele Unternehmen vor enorme Herausforderungen. Der zweite Teil des Fachbeitrags zu Risikomanagement und IKS berichtet aus dem unternehmerischen Alltag, legt mögliche Optimierungsansätze dar und zeigt anhand eines Fallbeispiels, dass sich ein IKS gewinnbringend nutzen lässt.
PDF Kaufen

Das revidierte Obligationenrecht verlangt seit dem 1. Januar 2008, dass ein Unternehmen ein IKS vorweisen kann (Art. 728a OR). Dies gilt für alle Firmen, die über zwei Jahre mindestens zwei dieser drei Kriterien erfüllen: Bilanzsumme über 10 Mio. Franken, Umsatz über 20 Mio. Franken und mehr als 50 Vollzeitangestellte. Im vorliegenden Artikel werden die bisherigen Praxiserfahrungen einer kritischen Betrachtung unterzogen: Was haben gerade die Schweizer KMU umgesetzt? Welche Vorteile konnten sie sich daraus verschaffen? Wo liegen die Schwächen? Welche Chancen lies­sen sich erschliessen? Wie können Effizienz und Transparenz gesteigert werden?

Unbestrittene Vorteile

Nicht nur die Fachliteratur, sondern auch Unternehmen, die ein IKS erfolgreich eingeführt haben, bestätigen dessen Nutzenvielfalt:

Qualitätsoptimierung

Die Qualität der finanziellen Berichterstattung (Jahresrechnungen, Berichte an GL/VR) lässt sich hinsichtlich Zuverlässigkeit, Vollständigkeit, Richtigkeit und Aktualität eindeutig verbessern. Zudem besteht eine positive Wirkung, die Fehlerquoten und Unregelmäs­sigkeiten bis hin zum Betrug in der Buchhaltung und finanziellen Berichterstattung zu reduzieren.

Corporate Governance

Das IKS hilft, die Gesetze und Vorschriften lückenlos einzuhalten (Compliance).

Kostentransparenz

Das IKS unterstützt die Erfassung aller Leistungen und Kosten. Es verlangt, diese quantitativ und qualitativ vollständig und richtig zu erfassen, an Folgesysteme zu übertragen und gegebenenfalls zu verrechnen.

Einführungshilfe

Die Dokumentation der Prozesse, Risiken und Kontrollen bietet neuen Mitarbeitenden eine nützliche Einstiegshilfe.

Viel zu tun

In den meisten KMU wurde die Festlegung und Dokumentation von Schlüsselkontrollen im Zusammenhang mit dem IKS erst vor kurzer Zeit eingeführt. Es erstaunt daher nicht, dass bei Anwendung und Umsetzung noch erhebliches Optimierungspotenzial besteht:

Erfassungslücken schliessen

Die ersten IKS-Prüfungen bei KMU haben zentrale Schwachstellen deutlich gemacht: Bei 85 Prozent der Fälle fehlen wesentliche Elemente der IKS-Dokumentation oder werden zu wenig unternehmensspezifisch beschrieben. Zudem sind die meisten Unternehmen unsicher, welche Elemente überhaupt zum IKS gehören. Prozesse und Leistungsströme sind unvollständig erfasst. Diese Mängel bergen die Gefahr von Lücken oder Doppelspurigkeiten bei den Kontrollen.

Prozesse verständlich machen

Systematisch dokumentierte Prozessbeschreibungen sorgen dafür, dass die dafür verantwortlichen Mitarbeitenden die Prozessinhalte und -abläufe verstehen. So werden Missverständnisse verhindert und Risiken überhaupt identifizierbar. Anstelle aufwendiger grafischer Prozessabläufe (bekannt aus dem Qualitätsmanagement) genügen oft auch leichter lesbare und weniger aufwendige Aufzählungen der relevanten Subprozesse mit den Tätigkeiten und Kontrollen.

Die Praxis meint: Es geht

Das folgende, stark vereinfachte Praxisbeispiel zeigt auf, wie die erwähnten Lücken mit einem angemessenen Kontroll- und Überwachungsaufwand geschlossen werden können. Die vorherrschende IKS-Kultur kam in den folgenden Aussagen zum Ausdruck:

«Wir haben keine Risiken!»

«Der VR kennt die Risiken und hat ja auch Erfahrungen aus anderen VR-Mandaten!»

«Wir haben keine Ressourcen dafür, sonst würden wir ja schon!»

«Wir können den Markt sowieso nicht kontrollieren!»

Die Hauptziele des IKS-Projekts bestanden darin, einen konkreten Nutzen aus dem IKS zu ziehen und für GL und VR optimale Grundlagen für operative und strategische Entscheidungen zu schaffen. Diese Schwerpunktthemen standen im Fokus:

Kapitalsituation

Abhängigkeit von Fremdkapitalgebern (Refinanzierung) und Folgen bei Verstoss gegen vertragliche Zusicherungen eines Kreditnehmers. Versorgung der Unternehmung mit genügend liquiden Mitteln, auch in Krisenzeiten.

Vertragssituation

Analyse von befristeten Verträgen und Vereinbarungen und Folgen bei deren ein- oder beidseitigen Auflösung.

Handlungsspielraum

Vorhandensein und Durchführbarkeit von Alternativszenarien.

Klumpenrisiken

Bestehende Klumpenrisiken (Kunden, Lieferanten, Mitarbeiter, Fremdwährungsrisiken) und deren Abhängigkeiten.

Die Durchführung

Folgende Aktivitäten wurden durchgeführt:

Strukturierung und Szenarienplanung

Jedes Schlüsselrisiko wurde inventarisiert und mit einer quantitativen (in Geldeinheiten) Einstufung eines Worst-Case-Szenarios (Ressourcenabfluss) verknüpft. Dazu wurden Alternativen entwickelt, deren Machbarkeit periodisch aktualisiert wird.

Sensibilisierung und Kompetenz­verteilung

Das Bewusstsein der Mitarbeitenden für die Schlüsselrisiken wurde gestärkt und die entsprechenden Verantwortlichkeiten wurden eindeutig zugeteilt.

Aufwandreduktion

Da zahlreiche manuelle Kontrollen in automatische IT-Kontrollen umgestaltet wurden, ging der administrative IKS-Aufwand merklich zurück. Als Beispiel sei hier das Konzept der Zugriffsberechtigungen genannt.

Das Resultat

Aus dem Massnahmenpaket resultierte nicht nur eine erhöhte Anzahl an VR-Sitzungen, sondern auch ein standardisiertes, periodisches VR-Reporting. Das Reporting äussert sich zu den nebenstehenden Punkten, enthält aber auch Schlüsselkennzahlen, deren Abweichungen zu Vergleichsperioden oder Budgets vertieft analysiert und begründet werden. Das Projekt hat gezeigt, dass verlässlichere Daten und effizientere Geschäftsprozesse einen spürbaren Mehrwert bieten, ohne dass ein übermässiger Kontroll- und Überwachungsaufwand entsteht. Zudem wurde deutlich, dass die Unternehmenskultur die Ausgestaltung eines IKS massgeblich mitprägt.

Steiler Weg, lohnende Aussicht

Die heutigen IKS weisen noch markante Lücken und Schwachstellen auf. Verständlicherweise entstehen Zweifel an deren Vorteilen und Effizienz. Gute Lösungen beginnen mit einer kritischen, ganzheitlichen Risikobeurteilung. Wichtig ist zudem, dass die Prozesse angemessen beschrieben und geeignete Kontrollen verständlich dokumentiert und gezielt eingesetzt werden (unternehmensweite, automatische und manuelle Prozesskontrollen sowie generelle IT-Kontrollen). Falls es organisatorisch nicht möglich ist, die Funktionen zu trennen, empfehlen die Autoren kompensierende Kontrollen. Es lohnt sich, neben der Wirksamkeit der Kontrollen auch deren Effizienz und Monitoring zu prüfen. Längerfristig macht sich der Einsatz eines IT-Tools bezahlt. Ein IKS, das der jeweiligen Situation angepasst ist und die genannten Kriterien erfüllt, ist durchaus in der Lage, dem Unternehmen einen substanziellen Mehrwert zu bieten.