Internes Kontrollsystem GAP-Analyse (Standortbestimmung)
Eine wirksame interne Kontrolle im Unternehmen ist das Gebot der Stunde und muss massgeschneidert sein. Doch bei der Kontrollumsetzung sind gerade KMU vielfach gefordert: Wie kann den verschiedenen Anforderungen am effizientesten Rechnung getragen werden? Der Schlüssel dazu liegt bei der Identifikation und Steuerung der wichtigsten Risiken. Ein IKS orientiert sich deshalb weitgehend am COSO Modell (Committee of Sponsoring Organizations of the Treadway Commission), eine anerkannte Referenz in Sachen Interne Kontrolle.
Um den Projektrahmen für die Gestaltung des Internen Kontrollsystems (IKS) sowie den Projektumfang bestmöglichst einschätzen zu können, hat sich die Ermittlung des Status Quo, einer sogenannten „Gap-Analyse“ (Lückenanalyse) als „Best-Practice“ besonders bewährt. Innerhalb eines Vorprojektes wird dafür der personelle, prozessorientierte und organisatorische IKS Reifegrad des Unternehmens möglichst objektiv identifiziert und beurteilt. Dies geschieht anhand standardisierter Fragebögen, basierend auf den COSO Standards, Best-Practices, rechtlich und regulatorischen sowie technisch-organisatorischen Anforderungen.
Der ermittelte Status Quo (GAP-Analyse / Standortbestimmung) betreffend das Interne Kontrollsystem hilft die Detailplanungen für das IKS-Projekt auszuarbeiten. Die dazu notwendigen Arbeitsschritte zum Aufbau und der Einführung eines Internen Kontrollsystems (IKS) werden anschliessend beschrieben.
Internes Kontrollsystem - Umsetzung
Der folgende Beitrag erläutert Schritt für Schritt, wie die Umsetzung eines Internen Kontrollsystems erfolgen sollte. Er zeigt die Rahmenbedingungen auf, welche es zu beachten gilt und liefert praktische Umsetzungshinweise für einen nachhaltigen und effizienten Projekterfolg. Sie müssen das Rad bei der IKS Umsetzung nicht neu erfinden! Beschleunigen Sie die Umsetzung bzw. Optimierung des Internen Kontrollsystems nach den regulatorischen Anforderungen/ Vorschriften mit Fachdokumenten (Vorlagen) der RM Risk Management AG, die von Fachkräften weltweit akzeptiert werden.
Wichtig ist, zuvor in einer IKS Arbeitsgruppe, das Vorgehen sowie die notwendigen Arbeitshilfsmittel festzulegen. Danach kann beispielsweise eine externe Unterstützung auf der Basis des definierten Arbeitsteilers wertvolle Unterstützung leisten.
1. Kontrollumfeld schaffen
Die Unternehmenskultur ist ein wichtiger Bestandteil des Kontrollumfelds, weil sie das Kontrollbewusstsein der Mitarbeitenden prägt. Die damit verbundene Disziplin und Organisation bilden das Fundament aller anderen internen Kontrollelemente. Den grössten Einfluss auf das Kontrollumfeld üben die folgenden Faktoren aus: Integrität, Ethik und Sachkompetenz des Personals, Führungsphilosophie und stil, Organisations- und Ausbildungspolitik, Delegation von Verantwortung. Der Aufbau eines Kontrollumfelds ist die erste Etappe auf dem Weg zur Errichtung eines Internen Kontrollsystems und eine unerlässliche Grundvoraussetzung für die Schaffung und Pflege eines effizienten IKS. Elemente des Kontrollumfelds sind beispielsweise ein Gesamtkonzept für die Interne Kontrolle, ein Ehrenkodex, Funktionenbeschreibungen, Stellvertretungs- und Unterschriftenregelungen und eine systematische Einführung von neuen Mitarbeitenden in die Unternehmenskultur.
2. IKS-relevante Prozesse definieren
Für das Interne Kontrollsystem sind entsprechend den regulatorischen Vorschriften die IKS-relevanten Geschäftsprozesse festzulegen, entlang welcher danach auf der Basis einer prozessorientierten Risikoanalyse die Kontrollpunkte gesetzt werden. Dabei werden normale Kontrollpunkte und Schlüsselkontrollpunkte unterschieden.
3. Prozessorientierte Risikoanalyse durchführen
Jeder Unternehmensbereich bzw. jede Abteilung ist mit einer Vielzahl externer und interner Risiken konfrontiert, die analysiert werden müssen. Die Risikoanalyse besteht im Erkennen und Analysieren derjenigen Faktoren, welche die Zielerreichung gefährden könnten. Der Prozess der Risikoanalyse beantwortet die Frage, wie mit den Risiken umzugehen ist. Da sich das Umfeld, die rechtlichen Grundlagen und die Arbeitsbedingungen dauernd verändern, braucht es entsprechende Methoden und Verfahren, um die spezifischen Risiken zu ermitteln. Die Risikoanalyse ist indessen nur der erste Schritt. In einem zweiten Schritt müssen die Risiken anhand ihres Schadenpotenzials und ihrer Eintrittswahrscheinlichkeit bewertet werden. Schliesslich ist die Frage zu beantworten, inwieweit die Risiken vermieden, vermindert, versichert oder akzeptiert werden können oder sollen.
4. Kontrollpunkte pro Prozess festlegen
Die Kontrollpunkte bzw. die Kotrollen finden auf allen Führungsebenen und Funktionsebenen statt und betreffen die unterschiedlichsten Tätigkeiten wie: Genehmigen und Bewilligen, Überprüfen und Abstimmen oder Beurteilen von Leistungsfähigkeit (Performance), Schutz des Vermögens und Funktionentrennung. Um effizient zu sein, müssen die Kontrollaktivitäten auch konsequent bis in alle Prozessschichten vordringen.
5. Kontrollaktivitäten beschreiben
Mit der exakten Beschreibung der Kontrollaktivitäten (was wird in welcher Qualität mit welchen Hilfsmitteln kontrolliert) wird im Sinne einer Anforderung an die Qualitätssicherung der Grundstein zur Minderung der Risiken gelegt.
6. Risiko Kontroll-Matrix
Eine Risiko Kontroll-Matrix ist ein wesentlicher Bestandteil der IKS-Dokumentation. Die Risiko Kontroll-Matrix dient als Übersicht für die Analyse und Beurteilung der prozessbezogenen Kontrollen. Sie umfasst alle Kontrollpunkte und Kontrollaktivitäten, die IKS-Prozessrisiken und zeigt die verantwortlichen Risk und Control Owner. Die Risiko Kontroll-Matrix kann gleichermassen von der Geschäftsführung und den Abteilungsleitern sowie für interne und externe Revision genutzt werden.
7. Verantwortung und Zuordnung
Die notwendigen Funktionen für das Interne Kontrollsystem mit den Aufgaben und Verantwortung ist präzise zu beschreiben. Die definierten Funktionen sind danach eindeutig den verantwortlichen Mitarbeitenden zuzuordnen. Diese Personen sind anschliessend entsprechend zu schulen.
8. Information und Kommunikation / Ausbildung
Mitarbeitenden unmissverständlich klar machen, welches ihre Verantwortung im Kontrollbereich ist. Die Mitarbeitenden müssen verstehen, welche Rolle sie innerhalb des IKS spielen. Sie müssen auch den Zusammenhang zwischen ihrer eigenen Tätigkeit und derjenigen des übrigen Personals verstehen. Ein Informationskonzept, ein institutionalisiertes Verbesserungs- und Vorschlagswesen sowie eine Anlaufstelle für Informationen betreffend möglicher Unregelmässigkeiten (Whistleblowing), können die Effizienz von Kontrollsystemen spürbar erhöhen.
9. Aufsicht und IKS-Steuerung
Ein Internes Kontrollsystem ist kein Führungsinstrument, das ein für alle Mal in einer bestimmten und unabänderlichen Form errichtet wird. Bestimmte Veränderungen im Umfeld eines IKS können dieses anpassungsbedürftig machen. Deshalb muss auch das Interne Kontrollsystem selbst periodisch überprüft werden, um die Wirksamkeit sicherzustellen.
10. Einführung / Begleitung
Für die Einführung ist genau zu überlegen, wie diese erfolgt und welche Spezialisten während der Einführungsphase wo unterstützen sollen. Ohne Begleitungsunterstützung wird die IKS Einführung schwieriger, das mehr Missverständnisse und damit Fehler entstehen können.
Wer kann Sie bei der IKS Umsetzung bzw. Optimierung zum Beispiel als Coach oder Berater unterstützen / entlasten?
Kontaktieren Sie uns. Gerne sprechen wir mit Ihnen über die verschiedenen Möglichkeiten.
Beschleunigen Sie die Umsetzung bzw. Optimierung des Internen Kontrollsystems (IKS) mit unserer Expertise sowie vorhandenen IKS Fachdokumenten.
Eugen Leibundgut, Partner RM Risk Management AG