IKS-Dokumentation für KMU - Mattig-Suter und Partner

Dokumentation
Schwyz, 15.12.2011

Inhaltsverzeichnis
1 EINLEITUNG............................................................................................................................. 2
1.1 ZIELE MATTIG IKS ® ........................................................................................................... 2
1.2 IKS-MODELL / KONZEPT.................................................................................................... 3
2 KONTROLLELEMENTE ........................................................................................................... 4
2.1 IKS-KONZEPT ................................................................................................................... 4
2.2 KONTROLLUMFELD ............................................................................................................ 5
2.3 INFORMATION & KOMMUNIKATION ...................................................................................... 6
2.4 WESENTLICHKEIT / SCOPE ................................................................................................. 7
2.5 KONTROLLAKTIVITÄTEN..................................................................................................... 7
2.5.1 JAHRESRECHNUNGS-ANALYSE........................................................................................7
2.5.2 PROZESS-MATRIX .............................................................................................................8
2.5.3 SCHLÜSSELPROZESSE....................................................................................................10
2.6 KONTROLLE / ÜBERWACHUNG ......................................................................................... 12
2.6.1 AKTIONSPLAN / BERICHT................................................................................................12
2.6.2 SELF-AUDIT / COCKPIT...................................................................................................12
2.7 RISIKOMANAGEMENT ....................................................................................................... 13
3 MITARBEITENDE ................................................................................................................... 13
Seite 1

1 Einleitung
1.1 Ziele Mattig IKS ®
Das Interne Kontrollsystem (IKS) soll eine übergeordnete bzw. parallele Funktion zu bestehenden
Systemen (Handbücher, Verfahrensanweisungen, usw.) einnehmen. Redundanzen sind zu vermeiden.
Nebst den gesetzlichen Anforderungen soll die Implementierung eines IKS im Risikomanagement
sowie in der Sicherstellung und Optimierung der Geschäftsprozesse einen nachhaltigen Mehrwert
generieren. Namentlich sind folgende Chancen des IKS zu verfolgen:
• Erkennung und Steuerung von unternehmensweiten sowie prozessinhärenten
Risiken
• Förderung eines Chancen- und Risikobewusstseins sowie einer adäquaten
Kontrollkultur in der Unternehmung
• Schaffung erhöhter Transparenz gegenüber Anspruchsgruppen
• Aufdecken von Kontrolllücken
• Sicherstellung einer zuverlässigen und vollständigen Buchführung und
Rechnungslegung
Dem Verwaltungsrat wird periodisch über die Risikosituation und das IKS Bericht erstattet. Um sich
nicht in den „Tiefen“ der Kontrolldokumentationen zu verlieren, liegt der Schwerpunkt auf der Risikoanalyse,
der systematischen Eruierung der Schlüsselprozesse sowie der Dokumentation der wesentlichen
Risiken und Kontrollenmassnahmen.
Im Hinblick auf das Kontrollumfeld sollen nach Möglichkeit folgende Grundsätze angewendet werden:
• 4-Augen-Prinzip
(Zweit-Visum bei Zahlungsauslösung, Rechnungskontrolle durch zwei Personen,
Zweit-Visum bei Ausbuchung von Forderungen, usw.)
• Funktionentrennung
(Der Ersteller des Zahlungsauftrages ist nicht zugleich der Auslöser der Zahlung,
Stamm- und Transaktionsdaten werden nicht von der gleichen Personen bearbeitet,
usw.)
• Aufteilen der Arbeitsschritte in Planen, Anordnen, Ausführen und Kontrollieren
(Konzeption sinnvoller Abläufe / Prozesse unter Berücksichtigung der Funktionentrennung)
• Korrekte Delegation von Aufgabe, Verantwortung und Kompetenz
(Kompetenzreglement mit Weisungsbefugnissen, Stellenbeschreibungen, usw.)
• Sehr gute Kenntnisse des eigenen Prozesses durch die involvierten Mitarbeitenden
(stetige Aus- und Weiterbildung, umfassende Einführung neuer Mitarbeitenden,
usw.)
In kleinen Verhältnissen ist es nicht immer möglich, Funktionentrennungen konsequent umzusetzen.
Kleine und übersichtliche Unternehmen sollen sich den Risiken bewusst sein, jedoch müssen
Kontrollaktivitäten immer sinnvoll und umsetzbar sein. Die Wesentlichkeit spielt eine wichtige Rolle.
Seite 2

1.2 IKS-Modell / Konzept
Abbildung 1 Cockpit aus Tool Mattig IKS ®
Das Konzept Mattig IKS ® beruht grundsätzlich auf den fünf COSO-Komponenten (Kontrollumfeld,
Information / Kommunikation, Risikobeurteilung, Kontrollaktivitäten, Überwachung) sowie auf den
zwei Zusatzebenen IKS-Konzept und Wesentlichkeit / Scope. Das COSO-Modell als Denkraster für
das IKS ist aufgrund der allgemeinen Akzeptanz – namentlich der Wirtschaftsprüfer – zu empfehlen.
Der Prüfungsstandard 890 der Schweizerischen Treuhandkammer stützt sich ebenfalls auf dieses
Rahmen-Modell ab, welches dem Prüfer als Hilfsmittel zur Prüfung der IKS-Existenz dient.
Das IKS-Modell Mattig IKS ® beinhaltet alle wesentlichen Elemente, welche zum Nachweis und
Betreiben eines IKS notwendig sind. Mattig IKS ® wurde inzwischen bei rund 100 Unternehmen verschiedener
Grössen und Branchen (50 bis 5000 Mitarbeitende) – u.a. auch Gemeinden und NPO’s
– erfolgreich umgesetzt. Das Konzept ist kompakt, schlüssig und auf die Grösse des Unternehmens
anpassbar.
Die sieben Elemente des Mattig IKS ® sind der Reihe nach zu Erarbeiten. Wird ein Element abgeschlossen,
kann es durch ein Self-Audit bewertet werden. Mittels Ampelsystem wird ersichtlich, in
welchen IKS-Komponenten das Unternehmen stark, akzeptabel oder schwach ist. Die Bewertung
resultiert aus einer hinterlegten Checkliste. Das Self-Audit eignet sich gut, um im Rahmen eines
jährlichen Review das gesamte IKS zu überwachen.
Seite 3

Abbildung 2 Self-Audit Kontrolle / Überwachung
Nachfolgend werden die einzelnen Elemente von Mattig IKS ® erläutert und mit Darstellungen aus
dem Tool veranschaulicht. Es wird Ihnen helfen, ein Verständnis für den Ablauf einer IKS-
Implementierung aufzubauen.
2 Kontrollelemente
2.1 IKS-Konzept
Beim IKS-Konzept geht es darum, eine Definition / Leitlinien zur Umsetzung und Ausgestaltung von
IKS top-down durch den Verwaltungsrat zu erlassen, aufgrund dessen die Leitung der
Unternehmung mit der Umsetzung beauftragt wird. Die Existenz eines IKS in einem Unternehmen
kann bestätigt werden wenn,
• das IKS vorhanden und dokumentiert ist;
• das IKS den Unternehmensrisiken und der Unternehmenstätigkeit angepasst ist;
• das IKS den Mitarbeitenden bekannt ist;
• das IKS im Unternehmen angewendet wird;
• und das IKS zu einem verstärkten Kontrollbewusstsein führt.
Seite 4

Abbildung 3 Inhaltsverzeichnis Konzepthandbuch
2.2 Kontrollumfeld
Beim Kontrollumfeld werden die unternehmensweiten IKS-Kontrollen beschrieben und zentral
erfasst. Das Kontrollumfeld gibt einen Überblick über sämtliche IKS-Dokumente sowie
Beschreibungen der Zusammensetzung der Geschäftsleitung, des Stiftungsrates, der
Entlöhnungspraxis, der Zeichnungsberechtigungen, der eingesetzten Instrumente zur finanziellen
Berichterstattung, des Personalwesens, des Riskmanagements und IKS usw. Dem Kontrollumfeld
sollte genügend Beachtung geschenkt werden. Wird ein Kontrollumfeld geschaffen, in welchem
eine gesunde Risikokultur herrscht und die Anreize richtig gesetzt sind, ist einerseits die Gefahr von
Betrug und anderseits die Fehleranfälligkeit in der finanziellen Berichterstattung kleiner.
Abbildung 4 Auszug aus dem Kontrollumfeld
Seite 5

2.3 Information & Kommunikation
Bei der Information und Kommunikation wird festgehalten wie innerhalb des Unternehmens
kommuniziert wird und wo dies geregelt ist. Interne Kommunikation (top-down und bottom-up),
externe Kommunikation (Presseauskünfte, Krisenkommunikation, Internetauftritt, laufende
Mitteilungen an Anspruchsgruppen), die finanzielle Kommunikation sowie die grobe Umschreibung
der IT-Umgebung werden dabei dokumentiert.
Abbildung 5 Auszug aus Information & Kommunikation
Seite 6

2.4 Wesentlichkeit / Scope
Bei der Wesentlichkeit / Scoping geht es darum, die Wesentlichkeitskriterien der
Jahresrechnungspositionen im Hinblick auf das Scoping (Anwendungsbereich) festzulegen. Das
Scoping wird angewandt, wenn es sich um einen Verbund (Tochtergesellschaften, diverse
Betriebsstätten, usw.) handelt, um festzulegen, auf welche untergeordneten Einheiten das IKS
ebenfalls anzuwenden ist. Trägt beispielsweise eine Einheit 15% zum Umsatz des Verbundes bei,
ist die Einheit im IKS (Scope) zu berücksichtigen.
Abbildung 6 Wesentlichkeit / Scoping
2.5 Kontrollaktivitäten
2.5.1 Jahresrechnungs-Analyse
Im Rahmen der Jahresrechnungs-Analyse wird die Jahresrechnung aufgrund der Materialität sowie
der Fehleranfälligkeit der einzelnen Positionen bewertet, um festzulegen, welche Jahresrechnungspositionen
für das IKS relevant sind. Das heisst, dass das IKS den Prozessablauf der materiellen
sowie fehleranfälligen Jahresrechnungspositionen möglichst sicherstellen soll.
Seite 7

Abbildung 7 Jahresrechnungs-Analyse
2.5.2 Prozess-Matrix
Aufgrund der im Rahmen der Jahresrechnungsanalyse festgelegten IKS-relevanten Jahresrechnungspositionen
(Schlüsselposition der JR), werden diese in einer Matrix dargestellt und auf
die zutreffenden IKS-Prozesse zugeteilt. Dabei wird die Frage gestellt, welcher IKS-Prozess für die
Darstellung der jeweiligen Jahresrechnungsposition massgebend ist. Diese stellen sodann die IKSrelevanten
Prozesse dar und werden mit entsprechenden Risiken und Kontrollmassnahmen
ausgestattet und dokumentiert.
Seite 8

Abbildung 8 Prozess-Matrix
Seite 9

2.5.3 Schlüsselprozesse
Die aufgrund der Jahresrechnungs-Analyse festgelegten Schlüsselprozesse werden betreffend IKS-
Risiken analysiert und mit entsprechenden Kontrollen ausgestattet und dokumentiert. Dies geht
faktisch in drei Schritten vor sich:
1. Darstellung des Prozesses in groben Schritten bzw. Anpassung des vorgegebenen
Standardprozesses.
2. Die relevanten IKS-Risiken aus den vorgegebenen Standard-IKS-Risiken auswählen und in
der Skala hoch, mittel oder tief bewerten
3. Aufnahme der bereits gelebten Kontrollen mit Beschreibung, Hilfsmittel, Periodizität und
Kontrollwirksamkeit. Die Kontrollwirksamkeit wird ebenfalls mit hoch, mittel oder tief
bewertet.
Dadurch entsteht eine einfache, überschaubare Darstellung je Prozess, woraus sofort die
Kontrollen zu den jeweiligen Risiken ersichtlich sind und sich aufgrund der vorgängigen
Bewertungen mögliche Kontrollschwächen erkennen lassen.
Die Erfassung der Risiken sowie der Kontrollen erfolgt in einem jeweiligen separaten Risiko- und
Kontrollinventar. Dies ermöglicht eine mehrfache Verwendung einer Kontrolle, ohne diese jedes Mal
im Prozessbeschrieb neu eingeben zu müssen. Dadurch wird die spätere periodische
Überarbeitung der Prozessbeschreibungen vereinfacht, da eine Kontrolle jeweils nur einmal, zentral
im Kontrollinventar angepasst werden muss.
Eine zentrale Prozessübersicht zeigt zudem auf einen Blick alle relevanten IKS-Prozesse, die
jeweiligen Prozessowner sowie die Anzahl entdeckter Kontrollschwächen.
Abbildung 9 Prozesslandschaft
Auf der nachfolgenden Seite sehen Sie den Prozess P1 Zahlungen / Flüssige Mittel der XY AG. Der
Prozessablauf, die Risiken, Massnahmen und Kontroll-Lücken wurden erfasst und dokumentiert.
Seite 10

Linkfelder
IKS-Prozess P1 Zahlungen / Flüssige Mittel
- Finanzmanual
- Kompetenzordnung
Flüssige Mittel und Wertschriften sind vollständig erfasst, richtig bewertet und werden korrekt in der Jahresrechnung
Ziele
ausgewiesen. Anlage- und Kreditentscheide erfolgen kompetenzgerecht.
- Unterschriftenregelung
- Zeichnungsberechtigungen Bank / Post
Risiko
1.01 1.01 ­ Bestand an flüssigen Mitteln (Bank, Post
P2
Fakturierung /
Debitoren
Vermögenstransaktion
usw. ohne Kasse) ist fehlerhaft oder nicht
vorhanden und nicht korrekt in der
Jahresrechnung ausgewiesen.
hoch ­ Wöchentlicher Abgleich der Banksaldi mit E-Banking / Fibu Leiter
den Fibu-Konti
Buchhaltung
12.12.11
Prozess-
Periodizität Wirkung
Beschreibung
wöchentlich hoch
Verwaltung von flüssigen Mitteln:
Verwaltung des Bestandes von Bank, P10
1.03 Post, Wertschriften, Klientendepots,
usw.)
Berichterstattung /
Rechnungslegung
1.02
1.03
- Es werden nicht genehmigte Kredite
gewährt oder beansprucht.
hoch - Kollektiv-Visa zu zweien ZeichnungsberechtigLeiter
Personal laufend
ungssystem
­ Berechtigung zur Kreditgewährung­ und ZeichnungsberechtigLeiter
Personal laufend
Aufnahme liegt ausschliesslich beim Leiter ungssystem
Finanzen und dem Geschäftsführer.
hoch
hoch
1.04 1.04 ­ Keine zentrale Kreditübersicht /
P7 Kreditverwaltung
/
Finanzverbindlichkeiten
mittel ­ Kredit­Entwicklung wird nicht geführt, es Finanzplan Leiter Finanzen quartalsweise tief
Finanzplanung bezüglich Ausstände,
Amortisationen, Zinszahlungen, Sicherheiten
usw.
existiert keine Kreditübersicht.
1.05
P8 Vermögensverwaltung
/
1.05 - Neue Finanzanlagen oder Umschichtungen mittel ­ Reglement für Finanzanlagen
Finanzanlagen
erfolgen ohne Bewilligung bzw. nicht gemäss (Transaktionen, Verbuchung,
Anlagevorschriften.
Wertberichtigung, etc)
Finanzmanual Leiter Finanzen jährlich mittel
1.06 ­ Berechtigung für Umschichtung von ZeichnungsberechtigLeiter
Personal laufend hoch
Finanzanlagen liegt ausschliesslich beim ungssystem
Leiter Finanzen, Stv. Leiter Finanzen und
Geschäftsführer.
1.02 - Kollektiv-Visa zu zweien ZeichnungsberechtigLeiter
Personal laufend
ungssystem
hoch
1.06 1.07 ­ Rückzahlungen, Zins­ oder
mittel - Abgleich Konto-Auszug mit Fibu Konto-Auszug Sb Buchhaltunglaufend mittel
Dividendenerträge werden nicht oder falsch
gebucht (pro Rata, Verrechnungssteuer
usw.).
1.08 - Vorgegebener Kontorahmen / Kontorahmen / Leiter jährlich mittel
Kontierungshandbuch
Kontierungshandbuc Buchhaltung
h
1.07 1.05 - Keine oder falsche Rapportierung und
Verbuchung von Wertkorrekturen. Falsche
Bewertung und falscher Ausweis von
Finanzanlagen.
1.09 1.12 - Aufbewahrung oder Verschiebung hoher
P6 Personaladministration
/
Löhne
Prozessablauf
Zugang von flüssigen Mitteln:
Eingang flüssiger Mittel aus
Fakturierung, Beiträgen oder
Überträgen.
Zahlungsvorschlag:
Vorschlag zur Zahlung von Löhnen
oder Kreditoren-Rechnungen.
mittel ­ Reglement für Finanzanlagen
(Transaktionen, Verbuchung,
Wertberichtigung, etc)
1.09 - Finanzanlagen werden im
Anlageverzeichnis geführt und laufend
überwacht.
mittel ­ Führung Kassabuch durch Sekretariat
(keine Zahlung ohne Beleg)
Finanzmanual Leiter Finanzen jährlich mittel
Anlageverzeichnis Leiter Finanzen laufend hoch
Kassabuch Sekretariat laufend mittel
1.11 - Monatlicher Kassasturz durch Leiter Kassabuch / Fibu Leiter
Buchhaltung / Abgleich Kassabuch Fibu
Buchhaltung
Bargeldbestände ohne ausreichende
Sicherheitsvorkehrungen.
mittel - Kasse in Tresor (Zugangsberechtigung Tresor Leiter
Kassaführerin und Leiter Buchhaltung)
Buchhaltung
monatlich mittel
laufend hoch
1.13 - Kassabestand max. CHF 5'000.-- Finanzmanual Leiter Finanzen jährlich hoch
1.10 1.14 - Die Zahlungsdaten des
mittel - Erstellen DTA-Files durch Sb Finanzen E-Banking / DTA-FileLeiter Finanzen laufend hoch
Zahlungsvorschlages entsprechen nicht den
nach Signatur Abteilungsleiter, Freigabe
anschliessend getätigten Zahlungen per
Zahlung durch Leiter Finanzen, Stv. Leiter
Bank oder Post.
Finanzen und Geschäftsführer.
Liquiditätsprüfung
i.O.?
Ja
Start
Kreditaufnahme oder
­gewährung:
Aufnahme oder Gewährung von
kurzfristigen Krediten
Finanzverwaltung:
Verwaltung von Finanzanlagen
(längerfristige Wertschriftenanlagen)
Kassenführung:
(Barmittel, Verarbeitung, Tresor usw.)
1.11 1.15 - Zahlungen erfolgen trotz mangelnder
Liquidität bzw. ohne ausreichende
Liquiditätsplanung.
Zahlungsauslösung
Zahlungsfreigabe durch Visum bei
Bank / Post.
Kontrollaktivitäten auf Unternehmensebene
­ Finanz­ und Liquiditätsplanung
- Anlagerichtlinien
- Vertragsmanagement
Risiko Ein-
Kontrolle Risikobeschrieb Kontrollbeschrieb
schätzung
1.08 1.10 - Kassenbestand ist falsch bzw. gar nicht
vorhanden.
P3 Leistungsbezug
/ Einkauf /
Kreditoren
Abgleich
Zahlungsvorschlag
i.O.?
Ja
1.02 - Kollektiv-Visa zu zweien ZeichnungsberechtigLeiter
Personal laufend
ungssystem
hoch
1.12 1.16 - Es werden nicht genehmigte Bank- / hoch - Berechtigung zu Bank- und
Posttransaktionen vorgenommen.
Posttransaktionen liegt ausschliesslich
Einzelverfügungsmacht über liquide Mittel.
beim Leiter Finanzen und dem
Geschäftsführer.
Ende
Nein
Nein
Hilfsmittel
Verantw.
XY AG
mittel - Rechnungen werden ohne Abgleich mit Liquiditätsplan
der Liquidität bezahlt.
Leiter Finanzen monatlich tief
ZeichnungsberechtigLeiter
Personal jährlich hoch
ungssystem
1.02 - Kollektiv-Visa zu zweien ZeichnungsberechtigLeiter
Personal laufend
ungssystem
hoch

2.6 Kontrolle / Überwachung
2.6.1 Aktionsplan / Bericht
Nachdem die Schlüsselprozesse aufgenommen, das heisst mit IKS-Risiken und –kontrollen
dokumentiert und entsprechende Schwachstellen gekennzeichnet wurden, werden diese auf einem
zentralen Aktionsplan zusammengenommen und mit möglichen Massnahmen oder Überprüfungen
terminiert und überwacht. Der Aktionsplan dient somit einerseits als Überwachungsinstrument und
anderseits als Diskussionsgrundlage. Der IKS-Verantwortliche hat mit dem Aktionsplan ein
einfaches und verständliches Dokument, um auf Schwachstellen und Kontroll-Lücken aufmerksam
zu machen.
Abbildung 10 Kontrollschwächen / Aktionsplan
Letztlich kann die gesamte IKS-Dokumentation per Knopfdruck als Bericht mit ca. 30 Seiten
ausgedruckt werden. Sinnvollerweise wird ein zentraler Ordner mit der IKS-Dokumentation geführt,
welcher laufend aktualisiert wird.
2.6.2 Self-Audit / Cockpit
Als Abschluss der Einführung bzw. der jährlichen Überwachung des IKS dient das bereits erwähnte
Self-Audit. In Form eines Cockpits erkennen die IKS-Verantwortlichen aufgrund eines
Ampelsystems (stark, aktzeptabel, schwach) in welchen der sieben IKS-Elemente sie stärker oder
schwächer aufgestellt sind. Die Bewertung resultiert aus dem Self-Audit. Hinter den sieben Self-
Audit-Buttons ist zum jeweiligen IKS-Element eine Checkliste zur Selbstbeurteilung hinterlegt. Die
Checkliste ist analog derjenigen eines Wirtschaftsprüfers ausgestattet.
Seite 12

2.7 Risikomanagement
In einem ganzheitlichen IKS-Konzept darf das Element des unternehmensweiten Risikomanagements
nicht fehlen. Dieses kann vereinfacht als losgelöste Risikobeurteilung erfolgen oder
umfassender als intergrierte Risikobeurteilung, woraus die Erkenntnisse des Risikomanagements
zur Definition der IKS-relevanten-Prozesse herangezogen bzw. analysiert werden. Um die
Risikobeurteilung systematisch und effizient durchzuführen hat die Treuhand- und
Revisionsgesellschaft Mattig-Suter und Partner zwei Tools entwickelt:
Informationen zu diesen beiden Tools finden Sie unter www.risku.ch oder www.riskme.ch.
3 Mitarbeitende
Damit in Ihrer Unternehmung die Implementation des Internen Kontrollsystems effizient und mit
entsprechendem Mehrwert erfolgen kann, stehen Ihnen die sich auf Interne Kontrollsysteme
spezialisierten Mitarbeitenden der Treuhand- und Revisionsgesellschaft Mattig-Suter und Partner
zur Seite. Gerne stellen sie Ihnen ihr Wissen zur Verfügung und führen Sie in das Tool Mattig IKS ®
ein.
Lothar Gwerder
dipl. Wirtschaftsprüfer
dipl. Betriebswirtschafter HF
Riskmanagement-Experte SWC
lothar.gwerder@mattig.ch
Tel +41 (0)41 819 54 00
Kaspar Schiltz
Dr. rer. publ. HSG
kaspar.schiltz@mattig.ch
Tel +41 (0)41 819 54 00
Angela Schläpfer
Bachelor of Arts in
Betriebswirtschaft HSG
angela.schlaepfer@mattig.ch
Tel +41 (0)41 819 54 00
Florian Odermatt
Bachelor of Science in
Business Administration
florian.odermatt@mattig.ch
Tel +41 (0)41 819 54 00
Manuela Schwery
dipl. Betriebsökonomin FH
Riskmanagement-Expertin SWC
manuela.schwery@mattig.ch
Tel +41 (0)41 819 54 00
Livia Suter
Kauffrau mit Berufsmatura
livia.suter@mattig.ch
Tel +41 (0)41 819 54 00
Seite 13