Unternehmen sind oft zu einem Internen Kontrollsystem (IKS) verpflichtet. Meistens meint man es jedoch zu gut mit der Einführung von Kontrollen.
Diese Arbeit versucht, derartige Überhäufung zu vermeiden und auf das Wesentliche zu beschränken. Was benötigt eine Unternehmung, um ein effizientes IKS nachzuweisen?
Inhalt
1. Ausgangslage
2. Problem-, Zielformulierung und Abgrenzung
2.1. Problem
2.2. Zielsetzung
2.3. Abgrenzung
3. IKS (Soll-Zustand)
3.1. IKS Inhalt & Ziele
3.2. IKS Organisation
3.3. Methodisches Vorgehen
3.3.1. LEAN Management
3.3.2. Risikoprozess
3.3.3. Abwagung
4. Aktueller Zustand
4.1. Problem 1: Prozesse
4.2. Problem 2: Risiken
4.3. Problem 3: Kontrollen
5. GAP Analyse
5.1. Prozesse
5.2. Risiken
5.3. Kontrollen
6. Lösungskonzept
6.1. Lösungsschritte
7. Fazit
8. Quellen
8.1. Literatur
8.2. Internet
8.3. Darstellungsverzeichnis
8.4. Abkürzungsverzeichnis
9. Anhang
1. Ausgangslage
Unternehmen XY (anonymisiertes Unternehmen – auch Muster AG) ist ein Schweizer KMU. Aufgrund ihrer Grösse erfüllt Unternehmen XY die Notwendigkeit einer ordentlichen Revision (Art 727 OR) und muss durch die Revisionsgesellschaft somit auch die Existenz eines IKS nachweisen können (Art 728a OR).
2. Problem-, Zielformulierung und Abgrenzung
2.1. Problem
MUSTER AG führt zurzeit ein sehr umfangreiches und aufwändiges IKS. Viele Prozesse sind nach Auffassung des Autors zu detailliert beschrieben und mit zu vielen Prozesskontrollen umschrieben, sodass das ganze IKS kaum überblickbar und schlecht zu managen ist. Die Geschäftsleitung hat das Gefühl, dass die Prozesse zu langsam sind und die aktuellen Prozesskontrollen nicht gut sind, da es Kontrollen ohne „Mehrwert“ sind.
Der Prozess „Kreditorenmanagement“ im Anhang zeigt beispielhaft auf, wie ein solcher Prozess in die Lange gezogen werden kann.
2.2. Zielsetzung
Im Rahmen des Studiengangs CAS Controlling & Consulting an der Berner Fachhochschule soll mit der vorliegenden Arbeit folgendes gepruft werden:
- Welches sind die Anforderungen an ein IKS und was kann durchaus als „Supplement“ betrachtet werden?
- Die Arbeit soll aufzeigen, welche Bereiche im Unternehmen mittels IKS kontrolliert werden mussen um den ordnungsgemassen Ablauf sicherzustellen
- Allfallige Lucken sind aufgezeigt
2.3. Abgrenzung
Die Arbeit beinhaltet die Auseinandersetzung mit der aktuellen IKS Lösung der MUSTER AG, sie soll als Grundlage und Empfehlung verwendet werden können. Sie enthalt nicht, wie der entwickelte Lösungsvorschlag anschliessend umgesetzt werden soll und welche Anpassungen der heute bestehenden Dokumentation und der Formulare notwendig sind.
3. IKS (Soll-Zustand)
IKS beinhaltet die Gesamtheit aller vom Verwaltungsrat und der Geschaftsleitung angeordneten Vorgange, Methoden und Massnahmen, die dazu dienen, einen ordnungsgemassen Ablauf des betrieblichen Geschehens sicherzustellen.
Die organisatorischen Massnahmen der internen Kontrolle sind in den Betriebsabläufen integriert. Dies bedeutet, sie erfolgen arbeitsbegleitend oder sind dem Arbeitsvollzug unmittelbar voroder nachgelagert. Interne Kontrollen werden nicht in einer separaten IKS- Funktion zusammengefasst, sondern sind vielmehr ein integrierter Bestandteil der Prozesse.
3.1. IKS Inhalt & Ziele
Das IKS nimmt eine ubergeordnete Funktion zu bestehenden Systemen (Handbucher, Richtlinien, Anweisungen, usw.) ein - Redundanzen sind zu vermeiden. Nebst den gesetzlichen Anforderungen soll das IKS bei der MUSTER AG im Management der Risiken sowie in der Sicherstellung und Optimierung der Geschaftsprozesse einen nachhaltigen Mehrwert generieren. Weiter soll IKS grundsatzlich Transparenz in den Prozessen schaffen und mogliche Kontrolllucken aufdecken.
Um sich nicht in der „Tiefe“ der Kontrolldokumentation zu verlieren, liegt der Schwerpunkt in der Risikoanalyse, der systematischen Eruierung der Schlusselprozesse und der Dokumentation der wesentlichen Risiken und Kontrollen. Zugleich soll eine genugend ausfuhrliche Prozessund Kontrolldokumentation erstellt & gepflegt werden, welche auch zur Schulung neuer Mitarbeiter sowie dem Existenznachweis des IKS dient.
Nachfolgende Grundsatze[1] sollen bei der Erstellung eines IKS immer verfolgt werden:
- Verhaltenskodex: 4-Augen-Prinzip
- Funktionentrennung soweit moglich und sinnvoll
- das Vorleben von Elementen der Internen Kontrolle durch die Fuhrungsebene
- Stufengerechte Delegation von Aufgabe, Kompetenz und Verantwortung
- Kenntnisse der eigenen Prozesse und der jeweiligen Kontrolle
Zur Umsetzung von IKS orientieren sich viele KMU am COSO-Framework (COSO II). Aufgrund der beschrankten Grösse des Transferberichtes wird der COSO Wurfel in dieser Arbeit nicht detaillierter betrachtet.
3.2. IKS Organisation
Der Verwaltungsrat ist fur die Ausgestaltung, Implementierung und Aufrechterhaltung eines geeigneten und angemessenen IKS verantwortlich. Diese Pflicht ergibt sich aus der Verpflichtung das Rechnungswesen der Gesellschaft so zu gestalten, dass die Grundsatze der ordnungsgemassen Buchfuhrung und Rechnungslegung eingehalten werden. Ausserdem stellt der Verwaltungsrat sicher, dass geeignete und angemessene Kontrollmassnahmen ergriffen werden, die dazu dienen, wesentliche Fehler in der finanziellen Berichterstattung zu verhindern, aufzudecken oder zu korrigieren. Die Geschaftsleitung tragt die Verantwortung fur die Umsetzung und Aufrechterhaltung der Strategien und Geschaftsgrundsatze und ist deshalb in der Regel fur die Umsetzung des IKS verantwortlich, sofern die Aufgaben nicht direkt vom Verwaltungsrat ubernommen werden.[2]
Um die wesentlichen Prozesse zu bestimmen, wird die letzte Jahresrechnung der Unternehmung als Hilfe herangezogen. Dabei werden im Hinblick auf das Scoping die relevanten Positionen der Jahresrechnung (Bilanz, Erfolgsrechnung & Anhang) bestimmt[3]. Praxisublich sind beispielsweise Wesentlichkeitskriterien betreffend deren Materialitat und der Risikoanfalligkeit. Gemass Mattig[4] sind die wesentlichen Positionen solche, welche 5% der Bilanzsumme oder 7% der Erfolgsrechnung ubersteigen. Diese werden in einer Matrix zusammengefasst und anschliessend als Schlusselpositionen gefuhrt. Die Prozesse, welche fur die Darstellung dieser einzelnen Schlusselpositionen zustandig sind, werden fortan fur das IKS als relevante Prozesse dargestellt.
3.3. Methodisches Vorgehen
Wahrend des Studiums an der Berner Fachhochschule im Modul CAS Controlling & Consulting habe ich verschiedene Methoden erlernt, die zum Losen eines solchen Problems anwendbar waren.
3.3.1. LEAN Management
So konnte z.B. unser IKS Problem mit dem LEAN Management Ansatz hinterfragt werden. Lean Management bedeutet, dass man Werte ohne Verschwendung schafft und deren Ziel ist es, die Prozesse (auch IKS) so zu verbessern, dass dieser operativ schnell und schlank gehalten werden kann.
3.3.2. Risikoprozess
Jede Unternehmung ist laufend verschiedenster Risiken ausgesetzt, welche fruhzeitig identifiziert und mit geeigneten Massnahmen minimiert oder sogar eliminiert werden mussen. Risiken beschreiben das potentielle Eintreten von zukunftigen und nicht gewunschten (externen oder internen) Ereignissen, die das Erreichen der kurzfristigen Ziele oder die Umsetzung der Strategie negativ beeinflussen können.
Die Risiken sollten jedoch nicht zwingend nur auf der Grösse von Bilanzpositionen erstellt, sondern aus den Prozessen heraus erarbeitet werden. Dazu sollen mit den entsprechenden Prozessverantwortlichen die jeweiligen Prozesse hinterfragt werden. Mittels einer ZRK[5] -Tabelle werden folgende Fragen beantwortet:[6]
a) Welches Ziel verfolgt der Prozess
b) Welche Risiken können eintreten?
c) Mit welcher Wahrscheinlichkeit und in welcher Hohe können diese die finanzielle Berichterstattung beeinflussen?
d) Welche Kontrollen sind notwendig um die identifizierten Risiken zu minimieren oder sogar ganz zu eliminieren?
Darstellung 1: Mogliche Darstellung von Risiken
Abbildung in dieser eseprobe nicht enthalten
Quelle: Eigene Darstellung (2014).
3.3.3. Abwagung
Mit dem Ansatz von Lean Management würden mit dieser Anwendung eher Prozessteile und Kontrollen gestrichen und entfernt als dass ein Prozess hinterfragt wird.
Deshalb wird im weiteren Verlauf dieses Berichtes die Risikoprozess-Methode gewählt und die Schritte aus Sicht dieser Methode beleuchtet und vertieft umschreiben. Mit dieser Risikoprozess-Methode können die richtigen Risiken von bottom-up erkannt und bewertet werden und somit werden auch nur die relevanten Kontrollen angewendet.
4. Aktueller Zustand
Die MUSTER AG wurde 2005 gegrundet und ist ein Tochterunternehmen eines grossen Deutschen Konzerns. Das Unternehmen ist zur ordentlichen Revision[7] verpflichtet und somit muss auch die Existenz[8] eines Internen Kontrollsystems (IKS) nachgewiesen werden. Im folgenden Abschnitt werden die aktuellen Probleme im Bereich IKS der MUSTER AG aufgezeigt.
4.1. Problem 1: Prozesse
Bei der Konzeption und Einfuhrung von IKS im Jahre 2009 / 2010 wurde dies nicht der Unternehmensgrosse entsprechend aufgesetzt. Dies fuhrte dazu, dass a) zu viele Prozesse implementiert würden und b) die Prozesse nicht den korrekten Gruppen in der Prozesslandkarte zugewiesen würden.
Darstellung 2: Prozesslandkarte MUSTER AG
Abbildung in dieser eseprobe nicht enthalten
Quelle: Eigene Darstellung
Weiter würden einfache, zusammenhangende Prozessablaufe in verschiedene Teilprozesse und abteilungsubergreifend gesplittet.
Darstellung 2 zeigt die aktuelle Prozesslandkarte und deren Aufteilung in Management-, Kernund Supportprozesse.
Um das quantitative Mengengerust der oben abgebildeten Prozesslandschaft mit den Kern-, Managementund Supportprozessen verstehen zu können sowie daraus die entsprechenden Massnahmen ableiten zu können, verwende ich die nachfolgende Abbildung um die Anzahl der Prozesse und der Kontrollen aufzuzeigen.
Darstellung 3: Mengengerust der Prozesse
Abbildung in dieser eseprobe nicht enthalten
Quelle: Eigene Darstellung
Die Umsetzung des IKS scheint als eine reine Pflichtubung betrachtet zu werden und wird nicht als Vorteil angesehen. Das IKS, wie es aktuell aufgesetzt ist, wird zur Falle einer Uberadministrierung, wodurch die Prozesse verlangsamt werden und die Effizienz beeintrachtigt wird.
4.2. Problem 2: Risiken
Es ist unbestritten, dass unterschiedliche Voraussetzungen in Unternehmungen und deren Branchenzugehorigkeit verschiedene Detaillierungen der Prozesse verlangen. Bei der Einfuhrung von IKS würden die Risiken nicht auf unsere Unternehmung angepasst oder von Grund auf erarbeitet, sondern von anderen branchenfremden Firmen kopiert. Anschliessen würden die jeweiligen Prozesse kreiert mit den geeigneten Kontrollen, welche die „unternehmensfremden“ Risiken abdecken, verknupft.
Die MUSTER AG fuhrt momentan ein Risikoregister, welches jahrlich dem Verwaltungsrat rapportiert und mit ihm besprochen wird. Dieses lehnt sich lediglich an die strategischen, unternehmensweiten Risiken und beinhaltet auch keine IKS Berichte.
Aktuell werden Gefahren und Risiken aus dem operativen Umfeld nicht beachtet und die Risiken, welche den Prozessen zugeordnet sind, sind nicht mit dem gesamten Riskmanagement verbunden.
Des Weiteren würden zahlreiche Risiken nicht korrekt definiert. Bei der Erarbeitung von Risiken ist darauf zu achten, dass nicht Ursachen umschrieben werden, aber auch nicht die Auswirkung als Risiko festgehalten wird.
Darstellung 4: Abgrenzung von Risiko mit Ursache
Abbildung in dieser Leseprobe nicht enthalten
Quelle: Eigene Darstellung
4.3. Problem 3: Kontrollen
Der damalige Finanzchef erstellte ein IKS Umfeld, welches sehr auf Revisionstauglichkeit ausgelegt war. Die Prozesse und Kontrollen dienten dazu, die finanziellen Risiken abzusichern und moglichst ohne grossen Ruckfragen die Revision zu bestehen und die Existenz des IKS nachzuweisen.
Dies fuhrte zu der grossen Anzahl Kontrollen, welche den entsprechenden Prozessen hinterlegt sind. Im Anhang ist beispielhaft ein Abbild eines Prozesses im Kreditorenbereich dargestellt. Dieser umfasst 5 Kontrollen, davon 4 Schlusselkontrollen (mit SK vermerkt). Oft ist eine Kontrolle lediglich ein Visum, welches am Ende des Prozesses auf ein Stuck Papier getatigt wird. Leider wird dieses Papier nur durch ein Visum abgezeichnet, dass man nicht mehr von dedizierter Kontrolle sprechen kann. Von entscheidender Bedeutung war wohl nicht die Qualitat der Kontrollen, sondern die Quantitat.
Viele Prozesse sind nach Auffassung des Autors zu detailliert beschrieben und mit mehreren Prozesskontrollen untermauert. Nebst den Prozess-Kontrollen umfasst das IKS noch weitere 41 Schlusselkontrollen, welche in 19 Kontrollbeschreibungen hinterlegt sind.
[...]
[1] Rautenstrauch T. (S. 32ff)
[2] Schweizer Prufstandard (PS890)
[3] Rautenstrauch T, S. 44
[4] Mattig-Suter
[5] Ziel-Risiko-Kontrolle
[6] In Anlehnung an Pfaff (2008), S. 91
[7] Art 727 OR
[8] Art 728a Abs. 1 OR
-
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X.