Das COSO Enterprise Risk Management-Framework - Veb
Das COSO Enterprise Risk Management-Framework - Veb
Das COSO Enterprise Risk Management-Framework - Veb
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Recht<br />
IKS: Einführung und Dokumentation<br />
Bei der Einführung des IKS wird es darum<br />
gehen, sinnvolle Methoden, Prozesse<br />
und Modelle zu suchen, einzuführen<br />
und zu dokumentieren. Die folgenden<br />
Erläuterungen sind auf mittlere Unternehmen<br />
mit bis vielleicht 1000 Mitarbeitern<br />
ausgerichtet.<br />
1. Abgrenzung<br />
Unternehmen, die sich einer ordentlichen<br />
Revision unterziehen müssen, haben die<br />
Neuerungen im OR in der Regel ab Geschäftsjahr<br />
2008 zu beachten. Unabhängig<br />
von der Rechtsform – ohne Personenunternehmen<br />
– muss sich die Revisionsstelle zur<br />
Existenz des Internen Kontrollsystems (IKS)<br />
äussern, und im Anhang sind Angaben über<br />
die Risikobeurteilung durch den Verwaltungsrat<br />
zu machen. Grosse, international<br />
tätige und kotierte Konzerne haben sich<br />
bestimmt schon vertieft mit IKS und <strong>Risk</strong>-<br />
<strong>Management</strong> auseinandergesetzt. Dazu<br />
gibt es viele Publikationen und Instrumente.<br />
Immer mehr grössere Unternehmen orientieren<br />
sich für ihr IKS am international anerkannten<br />
<strong>COSO</strong>-Modell. <strong>Das</strong> ist sicher für<br />
grosse Unternehmen angepasst und<br />
zweckmässig. Für ein Unternehmen mit<br />
beispielsweise etwas über 50 Mitarbeitern<br />
und einem Umsatz von wenig mehr als 20<br />
Mio. CHF würde die Implementierung dieser<br />
Modelle aber zu einem eigentlichen regulatorischen<br />
Overkill führen. In diesem Bereich<br />
wird es also darum gehen, sinnvolle Methoden,<br />
Prozesse und Modelle zu suchen, einzuführen<br />
und zu dokumentieren. Meine<br />
Erläuterungen sind nicht auf Firmen, bei<br />
denen eben <strong>COSO</strong> sinnvoll ist, sondern auf<br />
mittlere Unternehmen mit bis vielleicht 1000<br />
Mitarbeitern ausgerichtet.<br />
2. IKS – Nutzen für das Unternehmen<br />
Unter IKS versteht man die Gesamtheit der<br />
internen Kontrollmassnahmen, die dazu<br />
beitragen, dass die Unternehmensziele effektiver<br />
und effizienter erreicht werden,<br />
indem Prozesse sicher ablaufen und damit<br />
Fehler – absichtliche und unbeabsichtigte –<br />
verhindert beziehungsweise reduziert werden.<br />
Sehr oft kann auch in kleineren Verhältnissen<br />
mit relativ geringem Aufwand ein<br />
hohes Mass an zusätzlicher Sicherheit erreicht<br />
werden. Ohne einen gewissen For-<br />
malismus geht es allerdings nicht. Prozesse<br />
müssen analysiert, überdacht und dokumentiert<br />
werden. Ohne Dokumentation ist<br />
ein IKS nicht überprüfbar, und ohne Berichterstattung<br />
und ständige Verbesserung der<br />
Systeme ist der Aufwand kaum zu rechtfertigen.<br />
3. Modell IKS für MU<br />
Ausgangspunkt ist immer das Risikomanagement.<br />
Oft sind die Risiken schon bekannt,<br />
sie werden aber nicht systematisch erfasst<br />
und beurteilt, und Massnahmen aus den<br />
Erkenntnissen daraus werden nicht abgeleitet.<br />
Vor Einführung eines IKS sind die<br />
Risiken zu definieren, und die Eintrittswahrscheinlichkeit<br />
ist zu beurteilen. Dabei ist vor<br />
allem auch die Wesentlichkeit zu beachten.<br />
Risiken, deren Eintrittswahrscheinlichkeit<br />
sehr gering ist und deren Auswirkungen auf<br />
das Unternehmen gering sind, rechtfertigen<br />
in der Regel keinen erhöhten Kontrollaufwand.<br />
Umgekehrt müssen existenzgefährdende<br />
Risiken wenn möglich verhindert<br />
und die Prozesse die dazu führen können,<br />
sorgfältig überwacht werden. Nach<br />
den Erkenntnissen aus der Risikobeurteilung<br />
sind die einzelnen relevanten Prozesse<br />
zu bestimmen, und der Ablauf ist zu beschreiben.<br />
Danach sind die angepassten<br />
Kontrollmassnahmen anzuordnen. Wir unterscheiden<br />
dabei organisatorische Massnahmen<br />
und eigentliche Kontrolltätigkeiten.<br />
Durch die gewählte Organisation können<br />
beispielsweise durch wirksame Funktionentrennungen<br />
(Vieraugenprinzip) wesentliche<br />
Sicherheitsvorkehrungen getroffen<br />
werden. Daneben sind durch moderne<br />
Datenverarbeitungssysteme automatisierte<br />
und sehr wirksame Kontrollmechanismen<br />
möglich. Die eigentliche Kontrolltätigkeit<br />
kann durch das <strong>Management</strong> oder die<br />
Delegation an Assistenten, Stabsstellen<br />
oder externe Fachleute und Berater erfolgen.<br />
Existiert ein IKS, ist darüber periodisch zu<br />
berichten. Die einzelnen Prozesse müssen<br />
auf Schwachstellen untersucht, und Verbesserungsmöglichkeiten<br />
müssen umgesetzt<br />
werden.<br />
Bei der Einführung eines IKS muss genügend<br />
Zeit eingeplant werden. Ausgehend vom<br />
rechnungswesen<br />
20 4·07<br />
&controlling<br />
Rudolf Häfeli, dipl. Wirtschaftsprüfer,<br />
dipl. Experte in Rechnungslegung und<br />
Controlling, CEO und Partner der BDO<br />
Visura<br />
<strong>Risk</strong>-<strong>Management</strong> sind die wesentlichen<br />
Prozesse zu bestimmen, und die möglichen<br />
Erkenntnisse und Einflüsse auf das Rechnungswesen<br />
sind systematisch zu untersuchen.<br />
Daraus sind Kontrollmassnahmen zu<br />
definieren, deren Wirksamkeit und Einhaltung<br />
durch periodische Berichterstattung<br />
zu überprüfen sind. Die Wesentlichkeit muss<br />
immer beachtet werden, das heisst, Ereignisse,<br />
die für das Unternehmen kaum von<br />
grosser Bedeutung und deren Eintrittswahrscheinlichkeit<br />
gering sind, können vernachlässigt<br />
werden.<br />
Ein etwas systematischer Umgang mit Risiken,<br />
mit deren Vermeidung oder Einschränkung<br />
und mit der damit verbundenen<br />
schnelleren Wahrnehmung von Gefahren<br />
steht auch mittleren Unternehmen gut an.<br />
Sie sind gut beraten, wenn sie aus der<br />
lästigen Pflicht etwas machen, das für das<br />
Unternehmen bestimmt von Nutzen sein<br />
wird. ���<br />
Besuchen Sie das veb.ch-Seminar vom 13.<br />
März 2008 im Kongresszentrum Spirgarten,<br />
Zürich: «Der Risikobericht für die KMU;<br />
Internes Kontrollsystem: Einführung und Dokumentation<br />
für KMU; Prüfungsstandards<br />
für das Interne Kontrollsystem; Die Revisionsaufsichtsbehörde;<br />
Der neue Jahresabschluss<br />
und die neue Jahresrechnung ab 2008»