pdf, 3.1 MB - Mattig-Suter und Partner

Riskmanagement und
Internes Kontrollsystem
Hermann Grab
Angela Schläpfer
Florian Odermatt
Dr. Franz Mattig
Schriftenreihe 9

Swissconsultants.ch-Schriftenreihe Nr. 9
Riskmanagement und Internes
Kontrollsystem
Hermann Grab
Angela Schläpfer
Florian Odermatt
Dr. Franz Mattig
1. Auflage, 2011
Dieses Buch ist Ausdruck von Praxiserfahrungen
des interdisziplinären Beraterverbunds
Swissconsultants.ch und der neunte Band einer
regelmässig erscheinenden Schriftenreihe.

2
Inhaltsverzeichnis
5 Kombiniertes System für Riskmanagement und Interne
Kontrollen
9 Praxis KMU – Stand heute
18 Riskmanagement und IKS bei KMU auf dem Prüfstand:
Sind die Praxisansätze wissenschaftlich tauglich?
28 Verantwortlichkeit und Gesetze
32 Ein klarer Weg zum Ziel
41 Best Practices
46 Management-Cockpit
53 Quellenverzeichnis

Riskmanagement = Chancenmanagement
Geschätzte Leserin, geschätzter Leser
Zu Ihren grössten Herausforderungen als Unternehmer/-in
gehört es, Risiken frühzeitig zu erkennen, diese konsequent zu
steuern und kontinuierlich zu kontrollieren. So können Sie
Risiken in echte Chancen ummünzen. Das Riskmanagement
steht im Spannungsfeld zwischen der strategischen (Mission,
Vision, Strategie, Ziele) und der operativen (Massnahmen, Um-
setzung) Ebene. Das Management von Risiken wirkt wie eine
Endlosschlaufe: Erfahrungen/Resultate aus der operativen Tätigkeit
fliessen in die strategische Arbeit ein, werden dort bearbeitet,
die Ergebnisse wieder in den operativen Prozess eingespiesen usw.
Auf diese Weise tragen Sie zur bestmöglichen Steuerung Ihres
Unternehmens bei: Sie minimieren nicht nur Risiken, sondern
erkennen plötzlich auch neue Chancen und wie Sie diese für Ihre
unternehmerische Weiterentwicklung nutzen können.
Für Sie besteht die «Kunst» nun darin, die relevanten Risiken
intelligent und systematisch zu managen. Wie Sie dabei vorgehen
können und worauf Sie achten sollten, erfahren Sie im vorliegenden
Swissconsultants.ch-Ratgeber. Auch dieses mittlerweile
neunte Handbuch aus unserer Schriftenreihe enthält in kompakter
Form aktuelles Wissen, gepaart mit nützlichen Erfahrungen/
Erkenntnissen aus der täglichen Praxis.
Riskmanagement hilft Ihrem Unternehmen, (noch) bessere
Leistungen zu erbringen, die sich in einem erhöhten Mehrwert
für Ihre Kunden/-innen ausdrücken, was sich wiederum nachhaltig
positiv auf die Entwicklung Ihrer Firma auswirkt. Ich
wünsche Ihnen eine chancenreiche Lektüre.
Dr. Franz Mattig
Präsident Swissconsultants.ch
3

4
Autoren
Hermann Grab
dipl. Betriebsökonom FH (HWV), Executive Master in Economic
Crime Investigation, dipl. Wirtschaftsprüfer
Angela Schläpfer
Bachelor of Arts in Betriebswirtschaft HSG
Florian Odermatt
Bachelor of Science in Business Administration
Franz Mattig
Dr. phil., dipl. Steuerexperte
Wirtschaftsberatung
Lothar Gwerder
dipl. Betriebswirtschafter HF
dipl. Wirtschaftsprüfer
Manuela Schwery
dipl. Betriebsökonomin FH
Riskmanagement-Expertin SWC
Niederlassung Wallis, Brig
Simon Achermann
Bachelor of Science in Business Administration

Kombiniertes System für
Riskmanagement und
Interne Kontrollen
Seit 1. Januar 2008 fragen
sich kleine und mittlere
Unternehmen (KMU),
wie sie die neuen gesetzlichen
Anforderungen
gemäss Obligationenrecht
(OR) erfüllen können. In
vielen Firmen gibt es
bereits ansatzweise
Riskmanagement und
Interne Kontrollsysteme
(IKS), doch werden diese
oft weder systematisch
angewendet noch
dokumentiert. Eine
zielgerichtete Einführung
und einfache IT-Hilfsmittel
sind zentrale Erfolgsfaktoren,
um den
Gesetzesvorschriften zu
entsprechen und dem
Unternehmer ein
nützliches Führungsinstrument
in die Hand zu
geben.
Bei der Einführung von Riskmanagement und IKS bei grösseren
Unternehmen, welche ordentlich zu prüfen sind, empfiehlt es
sich, die beiden Instrumente zu kombinieren. Daraus entstehen
zwei wesentliche Vorteile: Einerseits fliessen die aus dem Riskmanagement
gewonnenen Erkenntnisse direkt ins IKS ein. Somit
bringen diese dem Unternehmen in der Ausrichtung des IKS
einen operativen Nutzen. Anderseits ist das Instrument Risk-
management im Vergleich zum IKS als Führungsinstrument
breiter akzeptiert, verständlicher und einfacher kommunizierbar.
Im Rahmen der Einführung von Riskmanagement in einem
grösseren Unternehmen können die verschiedenen Disziplinen
beziehungsweise Bereichsleiter und Hierarchiestufen auf einem
gemeinsamen Nenner diskutieren. Jeder und jede kann im
Riskmanagement mitreden. Es ist ein Führungsinstrument, das
alle verstehen, beispielsweise vom Küchenchef über den Pflegedienstleiter
bis zum Finanzchef eines Heimbetriebes. Deshalb ist
es sinnvoll, mit Riskmanagement zu beginnen. So werden gleich
alle ins Projekt integriert, können ihren Beitrag leisten und erkennen
schon früh den Nutzen dieses einfachen Führungsinstruments.
COSO als Grundlage
Wirtschaftlich bedeutende Unternehmen 1 müssen sich nebst
dem reinen Riskmanagement zusätzlich Gedanken zu den
Auswirkungen der identifizierten Risiken auf ihre konkreten
Geschäftsprozesse machen. Sie haben ein Internes Kontroll-
system (IKS) zu betreiben, um den Risiken mit entsprechenden
5

6
Kontrollinstrumenten begegnen zu können. Der Gesetzgeber
überlässt es den Unternehmen, ein IKS zu implementieren und
auszugestalten, welches den Risiken, der Organisation und der
Geschäftstätigkeit angepasst ist. Eine hilfreiche Grundlage ist
das international anerkannte und in der Praxis weitverbreitete
COSO-Modell2 . (Committee of Sponsoring Organizations of
the Treadway Commission). Der Prüfungsstandard (PS 890) 3 ,
welcher im Dezember 2007 von der Schweizer Treuhandkammer
verabschiedet wurde, orientiert sich an diesem Modell.
Das COSO-Modell definiert ein IKS auf fünf Ebenen: Überwachung,
Information und Kommunikation, Kontrollaktivitäten,
Risikobeurteilung sowie Kontrollumfeld. Insbesondere bei
KMU kommt der Überwachung, Risikobeurteilung und vor
allem dem Kontrollumfeld grosse Bedeutung zu. Es geht weniger
darum, Prozesse detailliert zu beschreiben, zu dokumentieren
oder mit entsprechenden Kontrollaktivitäten auszuschmücken.
Abbildung 1: COSO-Würfel als Standard für IKS-Implementierungen

IKS-Konzept
3
Kontrollumfeld
Information & Kommunikation
Wesentlichkeit / Scope
IKS-Cockpit
Konzept-Handbuch
Beschreibung
Beschreibung
Definitionen
Risikobeurteilung Self - Audit stark Kontrollaktivitäten
Self - Audit akzeptabel schwach
Abbildung 2: Auszug aus Mattig IKS ® : Konzept einer kombinierten Implementierung von Riskmanagement
und IKS bei KMU
Viel wichtiger ist die Überwachung durch den Geschäftsführer
oder -inhaber, der die überschaubaren Verhältnisse sowie die
Unternehmenskultur p rotokolliert.
Ein kombiniertes Modell bezieht sowohl das Riskmanagement
als auch das IKS mit ein. Die fünf Ebenen des COSO-
Würfels Kontrollumfeld, Riskmanagement, Kontrollaktivitäten,
Information und Kommunikation sowie Überwachung sind in
diesem Ansatz ebenfalls vertreten. Zusätzlich wurde als konzeptioneller
Rahmen das IKS-Konzept hinzugefügt, welches dem
Unternehmer eine Orientierungshilfe in der Umsetzung bietet
sowie Drittlesern die Struktur aufzeigt und dadurch die Orientierung
erleichtert.
Ebenso wurde die Wesentlichkeit berücksichtigt. Speziell für
KMU ist es wichtig, das richtige Augenmass zu halten und sich
Map
JR-Analyse
RM-Prozessanalyse
Map
XY AG
7
Self - Audit
Self - Audit
Self - Audit
Self - Audit
Prozess-Matrix Schlüsselprozesse
Kontroll-Risiko-Matrix
Kontrollschwächen-Dia
Map Kontrollübersicht
stark
akzeptabel
schwach
schwach
Kontrolle / Überwachung
Self - Audit
Aktionsplan
Bericht drucken
beenden

8
nicht im Detail zu verlieren. In kleineren Unternehmen (einge-
schränkte Prüfungspflicht oder Opting-Out) ist es sinnvoll, eine
standardisierte Risikobeurteilung vorzunehmen und diese mit
individuellen Geschäftsrisiken zu ergänzen. In mittleren und
grossen Unternehmen (ordentliche Prüfungspflicht) empfiehlt
sich ein individuelles und kombiniertes Vorgehen bei der Einführung
von Riskmanagement und IKS. Indem der Unternehmer
beide Disziplinen auf einfache Art und Weise miteinander
verbindet, kann er zwei Fliegen mit einer Klappe schlagen. Nebst
der Erfüllung der gesetzlichen Anforderungen stiftet das Riskmanagement
und IKS dem Unternehmer wertvolle Mehrwerte.
Sie unterstützen ihn beim Erreichen seiner strategischen Unternehmensziele,
sorgen für effiziente und sichere operative Prozesse
und verhindern betriebliche Fehler und Unregelmässigkeiten.
Risiken und Kontrollen können aus einer Hand einfach gesteuert
werden.
Wie sich das kombinierte Konzept zur Implementierung
eines Riskmanagements sowie eines Internen Kontrollsystems in
der Praxis bewährt, welche Aufgaben und Gesetze genau zugrunde
liegen und wie dies in der Praxis umgesetzt wird, finden
Sie in den kommenden Kapitel. Ebenso möchten wir Ihnen einen
kurzen Ausblick über die zukünftigen Anforderungen und die
aktuellsten Entwicklungen im Bereich der Best Practices im
Zusammenhang mit IKS und Riskmanagement geben.

Praxis KMU – Stand heute
Kleine und mittlere
Unternehmen (KMU)
haben sich vor dem
1. Januar 2008 zu Recht
gefragt, wie sie die neuen
gesetzlichen Anforderungen
erfüllen können. Nicht
selten existierten in vielen
Firmen schon früher
Riskmanagementsysteme,
doch wurden diese oft nur
unregelmässig angewendet,
geschweige denn dokumentiert.
Unternehmerisches
Riskmanagement – sprich
das Suchen nach Chancen
und das Abwägen der
entsprechenden Risiken –
fand oft nur im Kopf des
Unternehmers statt und
wurde darum kaum
konsequent erarbeitet und
nachvollziehbar belegt.
Ähnlich verhielt es sich mit dem IKS 4 : Erfolgreiche Unter nehmen
haben in ihren Abläufen und Prozessen schon längst und sehr
wohl Kontrollen festgelegt, doch zielten diese meist nicht auf das
Sicherstellen einer korrekten Jahresrechnung ab; mangels Dokumentation
waren sie für Dritte zudem nicht nachvoll ziehbar.
Wie konnten die KMU nun die neu geforderte Dokumentation
mit einem für sie vernünftigen Aufwand bei gleichzeitig
grösstmöglichem Nutzen erarbeiten? Um diese Frage zu beantworten,
wurden in einer ersten Phase einerseits zahlreiche Lehrund
Informationsanlässe angeboten. Meistens präsentierten aber
die Veranstalter Umsetzungsbeispiele grösserer, teilweise sogar
börsenkotierter Unternehmen, was bei den Teilnehmenden aus
KMU-Kreisen vielfach Unbehagen und Verunsicherung auslöste.
Sie sahen eine immense Welle mit komplexen Inhalten auf sich
zurollen und versuchten alles, um diesem Tsunami aus dem Weg
zu gehen. Anderseits hielten sich Revisions- und Beratungsunternehmen
mit konkreten Lösungsvorschlägen zurück und stellten
den Unternehmern in der Folge nur einfache Standard-Excel-
Checklisten zur Verfügung.
Da sich das Thema im Spannungsfeld zwischen Revision,
Riskmanagement und Qualitätssicherung bewegt, unterbreiteten
schliesslich auch Vertreter aus der Riskmanagement- und Qualitätsmanagement-Branche
ihre eigenen Lösungsvorschläge.
Fazit: Die unübersichtliche Angebotsvielfalt führte bei vielen
Unternehmern bezüglich thematischer Abgrenzung und Nutzen
für die eigene Firma zu Verwirrung.
Nach dem ersten Prüfjahr unter den neuen gesetzlichen
Anforderungen haben sich Skepsis und Unsicherheit bei den
KMU gelegt; die Wirkung der beiden Führungsinstrumente
9

10
wurde weitgehend erkannt und optimiert. Bei der Methoden-
wahl zeigt sich zwar nach wie vor eine breite Vielfalt, die in den
nächsten Jahren einer zunehmenden Standardisierung weichen
dürfte.
Umsetzung bei KMU
Erfahrungen aus der Praxis
Seit Anfang 2008 sind in typischen KMU-Betrieben etliche
Riskmanagement- und Interne Kontrollsysteme verwirklicht
worden. Nicht immer wurden Revisoren und Berater mit offenen
Armen empfangen, wozu die Finanzkrise bzw. das Missmanagement
der Grossbanken massgeblich beigesteuert haben. Dies
nicht ganz zu unrecht, standen in Sachen Riskmanagement und
IKS namentlich die Grossbanken bisher als strahlende Vorbilder
zuoberst auf dem Podest.
Betrachtet man die Erfahrungen der Unternehmen, die zum
einen Riskmanagement und/oder IKS umgesetzt haben und die
Abbildung 3: Unternehmen mit Interesse an Riskmanagement / IKS

zum anderen an einem sinnvollen Führungsinstrument interes-
siert waren, ergibt sich folgende Normalverteilung (vgl. Abbil-
dung 1): Rund 20% der Unternehmer sehen im Riskmanage-
ment und/oder IKS eine Chance und packen die Aufgabe mit
Elan an. Diese Betriebe sind meist gut organisiert und bereits mit
nützlichen Führungsinstrumenten ausgestattet. Systematische
Risikoüberlegungen oder Kontrollsysteme gehörten bei ihnen
bereits zur täglichen Unternehmensführung. Ob diese Haltung
auf einer Best-Practice-Philosophie basiert oder ganz einfach aus
unternehmerischer Intuition heraus geboren wird, bleibe dahingestellt.
60% – und damit der weitaus grösste Teil der Unternehmer
– betrachten das Ganze als gesetzliche Pflicht, sehen darin aber
auch eine Chance für ihren Betrieb. Oft beginnt man mit der
Absicht, lediglich das gesetzliche Minimum zu erreichen, stellt
im Verlaufe des Projekts einen Mehrwert fest und erweitert sein
vorhaben. Egal, ob es sich um einen mittelständischen Fabrikanten
oder ein kleines Gewerbeunternehmen handelt, plötzlich
werden die Dinge aus einem anderen Blickwinkel betrachtet:
– Risiken werden anders wahrgenommen – vielleicht sogar neu
entdeckt.
– Mitarbeitende werden in den Denk- und Bearbeitungsprozess
einbezogen.
– Es eröffnen sich unerwartete unternehmerische Chancen.
– Kontrollumfeld und Führungsinstrumente werden überdacht.
– Probleme werden nicht nur diskutiert, sondern schriftlich festgehalten.
– Lösungen (Massnahmen) werden aufgezeigt und terminiert.
Ein Stiftungsrat hat am Ende eines Riskmanagement-Workshops
folgende Aussage gemacht: «Wissen Sie, bisher haben wir im
Stiftungsrat jeweils Probleme besprochen, gingen wieder auseinander,
kamen wieder zusammen und diskutierten dieselben
Probleme wieder. Das Riskmanagement hat diese und weitere
Probleme bzw. Risiken dingfest auf den Tisch gebracht und es
11

12
wurden entsprechende Massnahmen getroffen, terminiert und an
Verantwortliche delegiert. Eine tolle Sache!» Ob man dies nun
Riskmanagement nennen will? In diesem und vielen weiteren
Fällen handelt es sich vielfach um ganz simple Fragen der Unternehmensführung.
Probleme angehen und Lösungen umsetzen ist
eine Führungsaufgabe! Hierbei leistet ein einfaches Führungsinstrument
– wie es das Riskmanagment sein kann – gute
Dienste. In diesem Sinne sei dem Gesetzgeber für einmal aufrich-
tigen Dank geschuldet!
Die letzten 20% der Unternehmer, die sich aus Prinzip gegen
neue Vorschriften oder gegen alles Unbekannte wehren, sie haben
angeblich keine Zeit für derartige Führungsinstrumente und
betrachten die Gesetzesanpassungen als reine Schikane. Vielen
gibt der Erfolg vorderhand Recht, und sie können sich die
«Verweigerung» leisten5 . Doch die Zeichen in Gesellschaft,
Politik und Wirtschaft stehen auf Sturm: schwache Finanz- und
Wirtschaftslage, Globalisierung, Informationsflut, normative
Anforderungen, schnelle Märkte usw. erfordern stabile Unternehmensstrukturen
und eine kompetente Unternehmensführung.
Wer nicht rechtzeitig seine Segel einzieht oder das
Ruder in die richtige Richtung schwenkt, wird in der rauen See
eher heute als morgen untergehen. Es braucht nicht nur fachliche
Kompetenz, um z.B. als Bäcker erfolgreich zu sein, sondern je
länger je mehr auch Führungskompetenz. Geborene Unternehmer
machen sich von Natur aus strategische und organisatorische
Gedanken. So gilt es nicht nur «an Bord» frische Brote zu backen,
sondern auch das Risikoumfeld (z.B. raue See), die strategische
Ausrichtung (z.B. Richtungswechsel, Ruderstellung) sowie die
schnelle organisatorische Anpassung und Überwachung (z.B.
Segel einziehen und prüfen, ob alles festgezurrt ist) unter Kont-
rolle zu halten.
Wissenschaftliche Studien
Wie erste Untersuchungen zeigen, standen viele Unternehmen
der Risikobeurteilung und dem IKS vor der Einführung skep-

Abbildung 4: Einstellung der KMU zu Riskmanagement und IKS vor und nach Einführung
tisch gegenüber. Nach der Einführung waren diese Bedenken
grösstenteils verflogen (vgl. Abbildung 4) 6 . Dieses Ergebnis deckt
sich mit der Wahrnehmung in der Praxis. Viele konnten zu
Beginn mit den Begriffen Risikobeurteilung und vor allem IKS
nichts Konkretes anfangen. Im Verlauf der Einführung zeigten
sich jedoch sehr schnell positive Reaktionen. Viele Verwaltungsräte
nahmen den Auftrag des Gesetzgebers ernst, nutzten jedoch
bewusst den vorhandenen Spielraum bei der Auslegung des Umsetzungsumfangs.
Oft wurde mit einer gesetzlich vorgeschriebenen
Minimalvariante gestartet. Bald schon zeigte sich jedoch
grosses Interesse, IKS und vor allem Riskmanagement als sinnvolle
Führungsinstrumente auszugestalten.
Grundsätzlich dominieren weder bei der Risikobeurteilung
noch beim IKS spezifische Vorgehenskonzepte. Interessant ist:
Neben den Konzepten der grossen Revisionsgesellschaften
werden vor allem viele Konzepte von kleineren Anbietern oder
Eigenentwicklungen eingesetzt. In der Regel stehen einerseits
getrennte Modelle zur Umsetzung von Risikobeurteilung sowie
IKS und anderseits kombinierte Ansätze zur Verfügung. 65% der
befragten KMU setzen ein Kombimodell ein. Gemeinsam ist
13

14
allen Konzepten, dass sie sich auf das COSO-Rahmenkonzept
(und damit auf das weltweit am stärksten verankerte Kontrollkonzept)
stützen.
Die Untersuchung zeigt, dass sich das eingeführte IKS bei der
Mehrheit der befragten KMU nicht nur auf die gesetzlich geforderte
Verlässlichkeit der finanziellen Berichterstattung beschränkt.
67% richten ihr IKS sowohl auf finanzielle als auch auf
operative Risiken aus. Darin spiegelt sich das Führungsbedürfnis
mittlerer Unternehmen. Da es sich oft um finanziell unabhängige
Familienbetriebe handelt, steht der Kreis der Jahresrechnungsempfänger
und somit die Bedeutung der finanziellen Berichterstattung
nicht im Vordergrund. Vielmehr wollen diese Firmen
Eingesetzte Kontrollen
andere
16
Qualitätskontrollen
49
Inventur
67
Warenkontrollen
47
Abstimmkontrollen
68
Belegabgleiche
37
Automatische Fehlerkontrolle
41
Prüfung eingegebener Daten
42
Projektmanagement
30
Zeiterfassung
26
Prüfziffern
12
Kompetenzeinhaltungskontrollen
67
Zugangskontrollen
48
Autorisierungskontrollen
50
Passwortkontrollen
65
Genehmigung mittels
Unterschrift
87
0 10 20 30 40 50 60 70 80 90 100
Abbildung 5: Eingesetzte IKS-Kontrollen bei KMU

die IKS-Einführung nutzen, um finanziell wesentliche Prozess-
risiken mit Hilfe effizienter Kontrollen zu begegnen.
Die Art der implementierten Kontrollen zeigt ein recht ausge-
wogenes Bild. Zu den am häufigsten eingesetzten Methoden
zählen die Genehmigung mittels Unterschrift, Abstimmkontrol-
len, Inventur, Kompetenzeinhaltungs- und Passwortkontrollen.
Ebenso verbreitet sind Autorisierungs-, Qualitäts-, Zugangs- und
Warenkontrollen (vgl. Abbildung 5). Interessanterweise werden
Passwortkontrollen nur in 65% der Fälle genannt. Das könnte
heissen, dass das Vertrauen in die IT ungenügend ist. Viel Wert
wird auf Genehmigungen (z.B. mittels Unterschrift) und Kompetenzen
gelegt. Fragen ergeben sich beim Kontrollbewusstsein
und dem Dokumentieren der einzelnen Kontrollen vor Ort. 75%
der befragten KMU legen das IKS den Mitarbeitenden ganz oder
teilweise offen. 25% stellen das IKS oder Teile davon den Mitarbeitenden
nicht zur Verfügung.
Blick in die Zukunft
Nutzen der Dokumentation
Die Umsetzung zur Erfüllung der neuen gesetzlichen Vorschriften
ist weitgehend erfolgt. Grössere, bedeutende Unternehmen
(ordentliche Prüfpflicht 7 ) haben – ihren jeweiligen Verhältnissen
angepasst – eine Risikobeurteilung vorgenommen und mittels
Checklisten oder IT-Tools ein IKS implementiert. Der erhoffte
unternehmerische Nutzen ist in den meisten Fällen eingetreten,
wenn auch nicht immer im gleichen Mass. Insbesondere eine
seriöse Umsetzung des Riskmanagements hat der Unternehmens-
leitung ein äusserst hilfreiches, strategisches Führungsinstrument
in die Hand gegeben. Hierfür wurden nebst der Unternehmensleitung
(top-down) auch die Bereichsverantwortlichen an der
Front (bottom-up) zur Identifikation und Bewertung der Risiken
sowie zur Umsetzung der Massnahmen integriert8 .
Die Dokumentation eines IKS hat je nach verwendetem
Hilfsmittel und beanspruchter Beratungsunterstützung zu einem
15

16
Initialaufwand geführt. Das kritische Hinterfragen von IKS-
Risiken und -Kontrollen hat manches Aha-Erlebnis provoziert.
Bereits das Darstellen der IKS-Situation führt zu einer transparenteren
Prozess- und Kontrollübersicht, was letztlich zu einer
verbesserten Buchführungs- und Rechnungslegungsqualität
beiträgt. Der anfänglichen Skepsis oder gar Abneigung der
Unternehmer ist nach erfolgter Einführung die positive Erkennt-
nis eines echten Nutzens gefolgt. Es wurde erkannt, dass Risk-
management und IKS einfach umsetzbar und nicht so komplex
und umfangreich sind, wie man aufgrund vorangehender Publikationen,
Präsentationen und Informationsveranstaltungen befürchtet
hatte.
Nichtsdestotrotz gibt es noch heute KMU, bei denen die Einführung
aussteht. Des Weiteren haben Revisionsstellen einige
IKS nicht akzeptiert bzw. deren Existenz nicht oder nur mit Einschränkung
bestätigen können. Diese Unternehmen sind daran,
ihr System zu verbessern bzw. nach anderen Lösungsansätzen
und Hilfsmitteln zu suchen.
Rudimentäre Risikobeurteilungen9 wurden bei kleineren
Unternehmen (eingeschränkte Prüfpflicht oder Opting-Out10 )
umgesetzt oder in einfachen, überschaubaren Verhältnissen gar
nicht dokumentiert. Diese Möglichkeit wurde den Revisionsstellen
im Februar 2009 durch die KWP (Kommission für Wirtschaftsprüfung)
kurzfristig eröffnet11 , was bei vielen kleineren
Unternehmen und Treuhändern – sofern sie davon überhaupt
Kenntnis genommen hatten – für zusätzliche Verwirrung sorgte.
Die Revisionsstelle
Die Revisionsstellen haben ihre Feuertaufe im ersten IKS-Prüfjahr
ebenfalls überstanden. Nach anfänglichen Diskussionen und
Interpretationsfragen scheint sich die Branche auf einem mehr
oder weniger einheitlichen Nenner gefunden zu haben. Eine
gewisse Diskrepanz zwischen kleinen und grösseren Prüfgesell-
schaften zeichnet sich zwar ab, doch dürfte hier bereits in den
nächsten Jahren eine Angleichung über Qualitätssicherungs-

systeme, Publikationen und Lehrveranstaltungen stattfinden.
Spätestens die ersten Gerichtsurteile werden zur Klärung des
Interpretationsspielraums beitragen. Bleibt zu hoffen, dass sich
die Prüfer ihrer Verantwortung bewusst sind und am Schluss
nicht wegen mangelnder Eigenverantwortung für den ursprünglichen
Gesetzesverstoss des Verwaltungsrates gerade stehen
müssen12 .
Die Zukunft als Führungsinstrument
Nun geht es darum, Riskmanagement und IKS als periodische
Führungsaufgabe wahrzunehmen. Die im Riskmanagement
definierten Massnahmen müssen umgesetzt und die erkannten
Schwachstellen im IKS mit verbesserten und/oder zusätzlichen
Kontrollen beseitigt werden. Die in der Praxis eingeführten
Riskmanagement- und Internen Kontrollsysteme konnten sich
als sinnvolle Führungsinstrumente etablieren. Namentlich das
Riskmanagement stösst bei den Unternehmensverantwortlichen
auf grosses Interesse und hohe Akzeptanz. Sie haben den Nutzen
als strategisches Führungsinstrument erkannt und schätzen es in
ihrer täglichen Arbeit. Das Riskmanagement wird parallel zur
Strategiefindung als ein nach innen und aussen gerichtetes, systematisches
Frühwarnsystem eingesetzt. Heterogene Unternehmensteile
diskutieren auf einheitlichem Niveau über Probleme
und mögliche Gefahren.
17

18
Riskmanagement und IKS bei KMU auf dem Prüfstand:
Sind die Praxisansätze
wissenschaftlich
tauglich?
In der Praxis haben sich
seit der Änderung des
Revisions- und Rechnungslegungsrechts
innerhalb des
Schweizerischen Obligationenrechts
mehrere
Möglichkeiten und
Methoden zur Etablierung
eines internen Kontrollsystems
(IKS) und zur
Durchführung von
Risikobeurteilungen
durchgesetzt. Um für den
Unternehmer einen hohen
Mehrwert zu generieren,
sollten diese strukturiert
und nach wissenschaftlichen
Methoden aufgebaut
sein. Da die Voraussetzungen
zur Einrichtung eines
Riskmanagementsystems
(RMS) bei KMU stark
von denen bei grossen
Unternehmen abweichen,
widmet sich auch die
wissenschaftliche Forschung
vermehrt dem
Riskmanagement in
KMU 13.
Ansatzpunkt aller wissenschaftlichen Theorien des Riskmanage-
ments ist die Existenz einer ausformulierten Unternehmens-
strategie. Dazu gehören eine Leitidee, eine strategische Grund-
ausrichtung mit einem existierenden Kontrollsystem und der
Definition einer strategisch orientierten Risikopolitik und Risikokultur.
Diese muss von der Geschäftsleitung definiert, vorgelebt
und (top-down) an alle Unternehmensstufen weitergegeben
werden, so dass alle Mitarbeitenden bei der Umsetzung des RMS
Verantwortung übernehmen können. Der eigentliche Regelkreis
des RMS besteht aus den folgenden drei Schritten14 :
Abbildung 6: Regelkreis Riskmanagement

Eine fundierte Umsetzung erarbeiteter Theorien bedeutet
jedoch nicht das «Abhaken» von vorgegebenen Punkten, sondern
vielmehr die Einhaltung einer strikten, wissenschaftlichen
Arbeitsweise. Wissenschaftlich bedeutet systematisches und
geplantes Vorgehen. Von der Analyse des Ist-Zustandes ausge-
hend, wird unter Einhaltung strikter Vorgehensweisen das im
Voraus definierte Ziel verfolgt und erreicht. Gezielt und effizient
können so einzelne Zwischenschritte miteinander verknüpft und
willkürliches Vorgehen vermieden werden. Jeder Schritt und jede
Handlung kann analysiert, erklärt und optimiert werden; ein
Stückwerk kann nicht entstehen und der Informationsfluss
innerhalb des RMS wird garantiert. Um ein systematisches Vor-
gehen umzusetzen, muss innerhalb des Regelkreises zwischen
einer zeit lichen und einer konzeptionellen Analyse unterschieden
werden.
Die Zwischenschritte und Verknüpfungen der einzelnen
konzeptionellen und zeitlichen Schritte müssen für die jeweilige
Unternehmensstruktur individuell ausgearbeitet und systematisch,
mit wechselseitiger Kontrolle implementiert werden, da
KMU im Allgemeinen sehr heterogene Organisationsstrukturen
aufweisen.
Zeitliche Analyse
Vergangenheit Vergleich von Prognosen der Vergangenheit mit realer Entwicklung
-> Identifikation von Verbesserungspotenzial
Gegenwart Identifikation & Analyse aktueller Risiken
-> Definition von Massnahmen, Kennzahlen & Frühwarnindikatoren
Zukunft Aufstellung von Geschäftsprognosen
-> Entwicklungen für die Zukunft werden abgeschätzt
Konzeptionelle Analyse
Strategie, Leitbild und Konzeptionelles Fundament für die proaktive Umsetzung des RMS
Risikokultur
Inventar Objektive Grundlage für das Steuern und die Kontrolle von Risiken
Cockpit Strategisches Zentrum des RMS
Abbildung 7: Zeitliche Analyse vs. konzeptionelle Analyse
19

20
Wo liegen die Spezialitäten oder Schwachstellen
der KMU-Ansätze?
KMU sind hinsichtlich ihrer personellen und finanziellen Auslastung
oftmals nicht in der Lage, eigenständige, individuelle
IKS und RMS zu entwickeln und in der alltäglichen Anwendung
zu etablieren. Deshalb wenden sie sich häufig an externe Risiko-
Experten, die auf bereits entwickelte Konzepte und Software-
Tools zurückgreifen können. Um die wissenschaftlichen Vorgaben
zu erfüllen, ist es notwendig, dass diese Konzepte einen
methodischen und zielgerichteten Aufbau haben. Die Einzelschritte
müssen systematisch miteinander verknüpft sein, um den
Informationsfluss innerhalb des RMS zu gewährleisten. Aus
praktischer Sicht ist zu beachten, dass die Konzepte auf die notwendigen
Komponenten und Eigenschaften beschränkt bleiben.
Für kleine KMU bieten sich deshalb standardisierte Checklisten
und Software-Lösungen für verschiedene Branchen an. Diese
sollten jedoch so konzipiert sein, dass individuelle Wünsche und
Erfordernisse einfach zu implementieren sind. Ebenfalls müssen
die Risiken für Kleinunternehmen ohne grossen Aufwand detailliert
beurteilt werden können. Die Möglichkeiten zur Individualisierung
und Erfassung von komplexeren und numerischen
Sachverhalten wird hingegen wichtiger bei Tools, die in grösseren
KMU zum Einsatz kommen. Hier ist vor allem wichtig, dass die
Möglichkeit besteht, das Tool für ein RMS mit bereits bestehenden
Strategien des IKS, des Controlling oder der unternehmerischen
Planung zu verbinden, um Synergieeffekte auszunützen15 .
Analyse bei Kleinunternehmen
Ein RMS für Kleinunternehmen ist strukturell so zu gestalten,
dass es von einer Person mit geringem Zeitaufwand (an einem
Vormittag) durchgeführt werden kann16 . Der systematische,
wissenschaftlich fundierte Aufbau eines RMS für Kleinunter-
nehmen ist in Abbildung 8 dargestellt. Die relativ einfache,
methodisch genau strukturiert gehaltene Ausgestaltung des RMS

Abbildung 8: Systematischer Aufbau eines RMS bei Kleinunternehmen
für kleine KMU erlaubt, für verschiedene Branchen spezielle
Standardversionen von Software-Tools anzubieten, die sich zum
Beispiel in der Art und Anzahl der Risikobereiche, der verschiedenen
Checklisten und der Massnahmenlisten unterscheiden.
Zur Sicherstellung der Existenz einer unternehmerischen Strategie
und zur Schärfung des Risikobewusstseins wird zu Beginn
der Risikobeurteilung die Situation des Unternehmens analysiert,
eine Unternehmensstrategie und Risikopolitik definiert.
Die Identifikation der Risiken erfolgt in einem nächsten
Schritt (top-down) mit Hilfe von Checklisten. Anschliessend
werden diese qualitativ bewertet und mit Hilfe von Software-
Tools graphisch dargestellt (Risk-Map). So erhält man schnell
21

22
eine übersichtliche Darstellung der Risikoexpositionen des
Unternehmens. Von der quantitativen Bewertung von Risiken
wird meist abgesehen. Die meisten Risiken, die Kleinunternehmen
tragen, sind für eine Quantifikation nicht geeignet. Des
Weiteren ziehen die jeweiligen KMU keinen realen Nutzen aus
einer komplexen quantitativen Risikobewertung. Um die Risikoexpositionen
zu reduzieren, werden mit Hilfe von Checklisten
gezielt Massnahmen ergriffen, um die Eintretenswahrscheinlichkeit
und/oder das Schadensausmass der bedeutendsten Risiken
zu verringern. Abschliessend werden alle relevanten Informationen
in einem überschaubaren Risikobericht gebündelt.
In der Praxis ist zu beobachten, dass die formalen, von der
wissenschaftlichen Literatur und dem Gesetzgeber vorgegebenen
Kernelemente eines RMS mit geringem Aufwand schnell und effizient
umgesetzt werden können. Jedoch ist darauf zu achten,
dass ein formal umgesetztes RMS nicht zu einer leblosen Hülle
verkommt, da die Verbindungen der einzelnen Elemente des
RMS nicht systematisch und in ausreichendem Masse implementiert
werden. Gerade wenn «nur» auf Checklisten zurückgegriffen
wird, und auf intensive interne Diskussionen und den Einsatz
von Software-Unterstützung verzichtet wird, ist zu beobachten,
dass oftmals diese operativen Verknüpfungen der einzelnen Elemente
des RMS fehlen und somit eine methodische, wissenschaftlich
fundierte Umsetzung eines RMS unmöglich wird. Es
wird z.B. anfangs eine SWOT-Analyse17 durchgeführt, jedoch
wird versäumt, diese durch die Definition von Soll-Kennzahlen,
Leitplanken/Grenzen der Risiken und des Risikoappetits des Unternehmens
mit den identifizierten Risiken zu verbinden. Es ist
jedoch anzunehmen, dass die existierenden Software-Tools nach
der Anwendung über mehrere Perioden im Hinblick auf derartige
Möglichkeiten modifiziert werden. Denn gerade durch die Verknüpfung
der einzelnen Schritte des RMS und deren systematischen
und methodischen Umsetzung kann aus der Theorie
wissenschaftlicher Modelle unternehmerischer Nutzen gezogen
werden.

Abbildung 9: Systematischer Aufbau eines RMS bei Mittel- und Grossunternehmen
Analyse bei Mittel- und Grossunternehmen
Mittlere und grosse Unternehmen können bei der Umsetzung
eines RMS auf erweiterte Ressourcen zurückgreifen. Die meisten
Unternehmen sind in mehreren Hierarchieebenen organisiert,
die Organisationsabläufe sind komplexer und es existieren bereits
Strukturen des Controlling und der internen Kontrolle (IKS) 18 .
Ziel eines RMS muss es deshalb sein, aus den bereits existierenden
Strukturen Synergieeffekte zu nutzen. Abbildung 8 zeigt
den schematischen Aufbau eines wissenschaftlich fundierten
RMS für Mittel- und Grossunternehmen. Allein mit der Hilfe
von Checklisten sind die Anforderungen an ein RMS kaum zu
23

24
er füllen. Um die Risikopolitik im gesamten Unternehmen zu
verbreiten und die formal definierte Risikokultur mit Leben zu
füllen, werden top-down und bottom-up Ansätze miteinander
kombiniert. D.h. es wird auf Ebene der Unternehmensleitung
eine Risikopolitik definiert. Danach werden die Verbindungspunkte
zwischen RMS und IKS ausgelotet und die Verantwortlichkeiten
bzgl. des RMS innerhalb des Unternehmens festgelegt.
Den Mitarbeitenden der unteren Ebenen unterliegt die Aufgabe,
die vorgegebene Risikokultur zu leben, Risiken zu identifizieren,
zu protokollieren, Mass nahmen zu ergreifen und die höheren
Hierarchieebenen über die ihnen unterstehenden Sektoren bzgl.
ihrer Risikoexposition zu informieren. Die Identifikation von
Risiken kann z.B. in Gruppen auf Workshops vorgenommen
werden.
Im Gegensatz zu kleinen Unternehmen sind bei mittleren bis
grossen Unternehmen standardisierte Checklisten nur begrenzt
sinnvoll, da die individuelle Ausrichtung, Marktstruktur und
Organisation von Unternehmen der gleichen Branche bereits sehr
verschieden sein können und individuelle Lösungen (Definition
von Risikobereichen, Festlegung von Organisationsabläufen,
Kennzahlensysteme, Verantwortlichkeiten) gefragt sind. Risiken
werden oft in diesen individuellen RMS auch quantitativ bewertet,
wobei sich einfache, auf empirischer Erfahrung basierende
Verfahren bewährt haben19 . Auf weiterreichende, komplexere
quantitative Methoden kann hingegen meistens verzichtet
werden, da sich in der praktischen Anwendung bei den KMU
herausstellte, dass diese kaum zur Anwendung kommen, und die
Übersichtlichkeit und die Bedienbarkeit unter einer grösseren
Anzahl von quantitativen Verfahren leiden würde. In der Praxis
werden auch bei mittleren und grossen Unternehmen soweit die
Kernelemente eines wissenschaftlich fundierten RMS umgesetzt.
Generell besteht Bedarf in der systematischen Vorgehensweise
und Verknüpfung einzelner Elemente, die gerade aufgrund der
komplexen Struktur grosser Unternehmen an Bedeutung gewinnen.
Schon bei der Entwicklung einer unternehmensweiten Risi-

kostrategie kann, im Rahmen einer Verknüpfung von strategi-
schen Zielen, operationellen Risiken und Schlüsselkontrollen
innerhalb einer BSC-Analyse20 , eine kritische Risikotragfähigkeit
(z.B. als Prozentsatz des EBIT oder der Liquidität) festgesetzt
werden, die dann mit einem aggregierten Erwartungswert aller
Risiken verglichen werden kann.
Ebenfalls können für einzelne Risiken Ziel- und Grenzwerte
bestimmt werden. Anhand der getroffenen Massnahmen zur
Risikoreduktion wird verfolgt, ob die im Cockpit definierten
Kennzahlen (RAPM 21 ) eingehalten werden. Durch diese Verknüpfung
können Korrelationen und Wechselwirkungen einzelner
Risiken untereinander untersucht werden. Des Weiteren sind
Schadensfälle in Datenbanken zu dokumentieren sowie Frühwarnindikatoren
zuzuordnen. Diese Datenbanken können durch
statistische Einträge, die den ganzen Wirtschaftsbereich betreffen,
erweitert werden. Mit Hilfe dieser Dokumentationen können
Szenario-Analysen durchgeführt werden, um die einzelnen Risiken
und ihre Korrelationen zu simulieren. Durch diese Stresstests
wird die Risikotragfähigkeit des Unternehmens geprüft.
Der Risikobericht, der dem Verwaltungsrat und der
Geschäftsleitung vorgelegt wird, kann so detaillierter gestaltet
werden und eine anschauliche Darstellung der Risikoentwicklung
des Unternehmens enthalten. Der Risikobericht selbst ist
dann wiederum Bestandteil der nächsten strategischen Ausrichtung
(BSC-Analyse). Somit bleibt der Informationsfluss der Risikobeurteilung
erhalten und der Kreislauf geschlossen. Analog zu
den RMS für kleine Unternehmen wird erwartet, dass die konzeptionelle
Planung des RMS, die Verbindungen von strategischer
Unternehmensführung und die quantitative Koppelung
von Risiken an Frühwarnindikatoren und Kennzahlen durch
geeignete Datenbanken, im Laufe von periodisch durchgeführten
Risikobeurteilungen bei immer mehr Software-Tools implementiert
und somit die wissenschaftliche Tauglichkeit erhöht
wird.
25

26
Was fordert die Zukunft von den KMU?
Die in der Praxis umgesetzten RMS für KMU resultieren überwiegend
aus dem Versuch, die seit dem 1. Januar 2008 geltenden
gesetzlichen Vorschriften unter Berücksichtigung wissenschaftlicher
Theorien umzusetzen. Ergänzt werden diese Vorschriften
durch Vorgaben der Best Practices und Corporate Governance
der Industrieverbände22 , die jeweils Angaben zur Risikobeurteilung
und IKS enthalten. Die Umsetzung eines RMS orientiert
sich an drei Ebenen:
– Gesetzliche Vorgaben
– Best Practices und Coporate Governance
– Wissenschaftliche Theorie
Auf den ersten beiden Ebenen werden Vorgaben definiert, die
dazu dienen, möglichen materiellen Schaden von Unternehmen,
deren Mitarbeitenden und Eigentümern fernzuhalten. Durch die
dritte Ebene, die konsequente Umsetzung wissenschaftlicher,
theoretischer Ansätze kann die Abwehr von Schäden effizient mit
der Wahrnehmung von Chancen zur Steigerung des Unternehmenswertes
kombiniert werden und so unternehmerischer
Nutzen aus einem RMS gezogen werden23 . Denn jede unternehmerische
Entscheidung, die der Wertschöpfung und Entwicklung
eines Unternehmens dient, ist mit dem Eingang von Risiken
verbunden und jeder Chance kann ein potentielles Risiko gegenübergestellt
werden. In der Analyse der eingesetzten RMS fällt
auf, dass bis dato die Umsetzung der wissenschaftlichen Theorien
häufig auf den Rahmen des RMS beschränkt bleibt, jedoch die
Ausgestaltung dieses Rahmens nur teilweise methodisch und
wissenschaftlich konsequent vorgenommen wird. Auch haben
nur wenige Lösungen explizit die Identifikation und Beurteilungen
von Chancen implementiert. So wird das Poten zial eines
RMS als unternehmerisches Führungsinstrument nur beschränkt
wahrgenommen. Mit Hinblick auf die unternehmerischen Perspektiven
ist davon auszugehen, dass sich mittelfristig, nach der
periodischen Durchführung von Risikobeurteilungen über

mehrere Jahre, diejenigen RMS durchsetzen werden, die sich als
unternehmerisches Führungsinstrument bewähren, indem potentielle
Synergieeffekte verschiedener strategischer Führungskonzepte
genutzt werden. Zu denken ist hierbei an integrative
Software-Tools für IKS und RMS in Verbindung mit einer wertorientierten
Unternehmensführung und Ausrichtung. Als Ziel
einer solchen Integration von unterschiedlichen Konzepten steht
ein Führungs-Cockpit, von dem aus auf alle das Unternehmen
betreffenden Informationen zugegriffen werden kann. Mit Hilfe
des Führungs-Cockpits bekommen der Verwaltungsrat und die
Geschäftsleitung einen schnellen Überblick, vom unternehmerischen
Leitbild bis hin zur Verfolgung einzelner risikoadjustierter
Kennzahlen. Auf diese Weise wird die Einhaltung gesetzlicher
Vorschriften optimal mit einer zukunft- und risikoorientierten
Unternehmenspolitik verknüpft.
27

28
«Verantwortlich ist man
nicht nur, für das, was
man tut, sondern auch für
das, was man nicht tut.»
(Zitat Lao-Tse)
Für die einen stellt das
interne Kontrollsystem eine
Pflicht, für andere eine
Chance dar. Dabei sollten
interne Kontrollen nicht
nur als Selbstzweck
dienen, sondern die
Unternehmensführung
und -ziele unterstützen.
Dementsprechend muss
auch die Frage nach der
Verantwortung der
Kontrollen beantwortet
werden. Der Verwaltungsrat
trägt nach dem
schweizerischen Gesetz die
Verantwortung für die
Implementierung und
Aufrechterhaltung des IKS
und in diesem Sinne auch
für die Ausgestaltung
dessen Komponenten.
Verantwortlichkeit
und Gesetze
Eine zielbewusste Implementierung und einfache IT-Tools sind
die zentralen Elemente, um die Gesetzesvorgaben zu erfüllen 24 .
In diesem Zusammenhang stellt sich die Frage nach den genauen
Aufgaben und Verantwortungen des Ver waltungsrates, der
Geschäftsleitung, der Revisionsstelle und der Generalversamm-
lung. Im Rahmen dieses Kapitels sollen diese Fragen beantwortet
werden.
Verantwortung beim Verwaltungsrat
Nach Art. 728a Abs. 1 Ziff. 3 OR müssen sich wirtschaftlich
bedeutende 25 Unternehmen, die der ordentlichen Prüfpflicht
unterstehen, neben dem Risikomanagement zusätzlich Gedan-
ken zu den Auswirkungen der identifizierten Risiken auf ihre
konkreten Geschäftsprozesse machen. Somit haben sie nebst dem
RM ein IKS zu implementieren und zu betreiben. Es geht weniger
darum, die Prozesse detailliert zu beschreiben, sondern viel
wichtiger ist deren Überwachung. Das Riskmanagement muss
mindestens einmal jährlich aktualisiert werden. Die Verantwortung
dafür trägt der Verwaltungsrat, der entsprechend Nachweise
für die Nachvollziehung zu liefern hat. Dies kann z.B. über das
Verwaltungsratsprotokoll geschehen.
Umsetzung durch die Geschäftsleitung
Das Gesetz, namentlich Art. 728a Abs. 1 Ziff. 3 OR, verlangt
nach einem Kontrollsystem, welches die Richtigkeit der Finanzberichterstattung
sicherstellt, so dass die Jahresrechnung keine
wesentlichen Fehler enthält. In der Praxis empfiehlt es sich das
Riskmanagement mit dem IKS zu verbinden. Somit werden mit-

tels des Riskmanagements die relevanten Schlüsselprozesse iden-
tifiziert und anschliessend massgebende Kontrollen definiert. So
ist für jeden Drittleser26 ersichtlich, bei welchem Prozess die
grössten Risken existieren und ob eventuelle Kontrollschwächen
bestehen.
Für die Geschäftsleitung heisst dies nun konkret, dass sie die vom
Verwaltungsrat festgelegte Strategie und Grundsätze umsetzen
muss. Das heisst:
Entwicklung von Prozessen zur Identifikation, Bewertung und
Kontrolle der eingegangen Risiken, Bestimmung von Schlüsselprozessen
/ -risiken und deren Überwachung, Sicherstellung der
Dokumentation und Überprüfbarkeit des IKS.
Prüfung durch die Revisionsstelle
Die Aufgabe der Revisionsstelle besteht darin, die gesamte IKS-
Dokumentation einzusehen und zu begutachten, ob diese dem
Unternehmen angepasst ist und den gesetzlichen Anforderungen
genügt. Ist dies der Fall, kann die Existenz des IKS durch die
Revisionsstelle bestätigt werden (Art. 728a Abs. 1 Ziff. 3 OR
i.V.m. PS 890). Der Prüfungsstandard (PS) 890 der Treuhandkammer
verlangt grundsätzlich, dass das IKS
– dokumentiert und überprüfbar ist,
– dem Umfang der Geschäftstätigkeit und den Geschäftsrisiken
angepasst ist,
– den Mitarbeitenden bekannt ist,
– das IKS angewendet und umgesetzt wird und
– das Kontrollbewusstsein im Unternehmen vorhanden ist.
Die Revisionsstelle stellt in ihrem Prüftestat an die Generalversammlung
nach Art. 729 OR i.V.m. PS 890 fest, ob ein IKS
existiert, mit Einschränkung existiert oder die Existenz zu verneinen
ist.
29

30
Abnahme durch die Generalversammlung
Analog der Risikobeurteilung hat die Generalversammlung zum
Revisionstestat betreffend der Existenz des IKS das letzte Wort.
Hat der Verwaltungsrat – trotz gesetzlicher Pflicht nach Art.
727b OR – es unterlassen ein IKS zu implementieren und zu
dokumentieren, wird dies vorerst im Revisionstestat durch die
Revisionsstelle mit einer Verneinung der IKS-Existenz festgehalten.
Die Aufgabe der Generalversammlung ist es wiederum, die
Jahresrechnung zu genehmigen und den Verwaltungsrat zu
entlasten (Art. 698, Abs.1, Ziff. 5 OR). Ein fehlendes IKS erhöht
das Risiko, dass die Jahresrechnung Fehler enthält. Ebenso kann
der Verwaltungsrat hierdurch seine Pflichten nach Art. 716a OR
betreffend der Ausgestaltung des Rechnungswesens und der Festlegung
der Organisation verletzt haben. Somit wäre sogar denkbar,
dass die Generalversammlung die Abnahme der Jahresrechnung
und zugleich die Entlastung des Verwaltungsrates
verweigern kann.
Fazit – Pflichten-/Aufgaben-Matrix
Über Sinn und Unsinn der Gesetzesanforderungen nach Art.
663b und Art. 728b OR zu philosophieren, ist nutzlos – die Fakten
bzw. Gesetze sind da. Vielmehr geht es darum, sich a) für sein
eigenes Unternehmen die richtigen Fragen zu stellen, b) klar zu
werden, was dies für den Betrieb heisst und c) schliesslich angemessen
zu handeln. Nichts tun ist – wie so oft im Leben – auch
hier keine Alternative. Clevere Unternehmer verbinden das Notwendige
mit dem Nützlichen, in dem sie einerseits die Spielregeln
einhalten und anderseits ein pragmatisch anwendbares und erst
noch nützliches (Führungs-) Instrument finden.

AG (ordentliche Prüfpflicht)
Wer Gesetzliche Pflichten Umsetzung
Verwaltungsrat Implementierung und Nachweis eines
IKS nach Art. 728a OR
Wahrnehmung der Geschäftsführungspflicht
nach Art. 716a OR
Geschäftsleitung Umsetzung des IKS nach Art. 728b OR
und Vorgaben des VR
Wahrnehmung der Geschäftsführungspflicht
nach Art. 716b OR
Revisionsstelle Explizite Prüfung der Existenz eines
IKS nach Art. 728b OR und dem
Prüfungsstandard (PS) 890 der Treuhandkammer.
Generalversammlung
Abbildung 10: Pflichten- / Aufgaben-Matrix
Abnahme der vom Verwaltungsrat
präsentierten Jahresrechnung nach
Art. 698 Abs.1 Ziff. 3 OR (inkl. Anhang
und somit Risikobeurteilung nach Art.
663b OR) und des Revisionstestats
inkl. Bestätigung der Existenz eines
IKS nach Art. 728b OR
31
Identifizierung, Bewertung und
Priorisierung von Risiken. Treffen von
Massnahmen sowie Implementierung
und Nachweis eines IKS.
Definition der Ausgestaltung des
Riskmanagements und des IKS.
Periodisches Festhalten der Besprechung
des Riskmanagements und des
IKS im VR-Protokoll.
Umsetzung des vom VR definierten
Riskmanagements und IKS mittels
eigener Instrumente oder externen
Beratungs- und IT-Hilfsmitteln.
Kontinuierliches betreiben der
beiden Führungsinstrumente
Periodische Berichterstattung an
den VR.
Falls kein adäquates IKS vorliegt,
erfolgt eine Verneinung oder eine
Einschränkung der Existenz des IKS
nach Art. 728b OR (gemäss PS 890).
Falls vom VR kein adäquates
IKS implementiert und von der
Revi sionsstelle mit einer Verneinung
oder Einschränkung nach PS 890
vermerkt wurde, hat die GV ebenfalls
die Möglichkeit die Jahresrechnung
zurückzuweisen.
Zusätzlich besteht die Möglichkeit
dem Verwaltungsrat die Entlastung
nach Art. 698 Abs.1 Ziff. 5 OR nicht
zuzusprechen bzw. eventuell all fällige
GV-Beschlüsse anzufechten.

32
Umsetzung der Gesetzesanforderungen anhand eines
kombinierten Ansatzes durch die Geschäftsleitung:
Ein klarer Weg zum Ziel
Wie im vorhergehenden
Artikel beschrieben, liegt
die Verantwortung
bezüglich Risikobeurteilung
und Internem
Kontrollsystem beim
Verwaltungsrat. Im
Normalfall wird jedoch die
Geschäftsleitung mit der
entsprechenden Umsetzung
betraut. Dazu gibt es
zahlreiche Instrumente,
die zur Unterstützung bei
der Implementierung
gedacht sind. Nachfolgend
werden drei praxiserprobte
Instrumente vorgestellt.
Risikobeurteilung (Art. 663b Abs. 1 Ziff. 12 OR)
Die Anforderungen an die Risikobeurteilung lassen sich in zwei
Kategorien aufteilen:
– kleinere Unternehmen, die eingeschränkt oder gar nicht zu
prüfen sind, und
– grössere Unternehmen, die einer ordentlichen Revisionspflicht
unterliegen und somit zusätzlich ein IKS betreiben müssen.
Riskmanagement für Kleinunternehmen
Ein praxiserprobtes Vorgehen für Kleinunternehmen ist der
Erwerb eines standardisierten Riskmanagement-Tools. Die
Implementierung kann folgendermassen aussehen. Der Unter-
nehmer erhält von seinem Treuhänder eine Einführung ins
Riskmanagement und in ein internetbasiertes Excel-Tool (vgl.
Abbildung 11). Mit Hilfe dieses einfachen Instruments kann er
sein Riskmanagement wirkungsvoll betreiben. Das Herzstück
der IT-Unterstützung ist eine Checkliste mit rund 100 branchenspezifischen
Standardrisiken. Der Unternehmer bewertet diese,
ergänzt sie mit den individuellen Risiken seines Betriebes und
versieht sie mit entsprechenden Massnahmen sowie Umsetzungsterminen.
Nebst mehreren Auswertungsübersichten kann er
einen Risikobericht ausdrucken, der ihm als zentrales Führungs-
instrument dient und die gesetzlichen Anforderungen vollum-
fänglich erfüllt. Das internetbasierte Excel-Tool wird in der Folge
mit geringem Aufwand mindestens einmal jährlich überarbeitet
und angepasst. Zu guter Letzt werden die Erkenntnisse im
Verwaltungsrat diskutiert und gesetzeskonform protokolliert.

Cockpit
SWOT-Analyse
Risiko-Inventar
Risk-Map
Risikosteuerung / Massnahmen
Frühwarnindikatoren
© RisKu-Entwicklung durch
A-Risiken
B-Risiken
C-Risiken
Schadensausmass
5
4
3
2
1
1.11
2.06
2.02
1.10
Für die gesamte Risikobeurteilung (Identifikation, Bewertung, Steuerung und
Überwachung) ist das oberste Geschäftsleitungsorgan verantwortlich.
Abbildung 11: Auszug aus einem einfachen, internetbasierten Riskmanagement-Tool
(Mattig RisKu ® Für die gesamte Risikobeurteilung (Identifikation, Bewertung und Steuerung und Überwachung) ist das oberste Geschäftsleitungsorgan verantwortlich.
, vgl. www.risku.ch)
Riskmanagement für mittlere und grosse
Unternehmen
2.07
Riskmanagement-Tool v2.12
1.13
7.03
6.08
Risk-Map
2.041.12
1.09
1.05
Diagramme
Bericht
Beenden / Tool verlassen
Verfügt das Unternehmen über eine bestimmte Grösse oder
Komplexität – bzw. ist es ordentlich zu prüfen – genügt ein
standardisiertes Riskmanagement-Tool nicht mehr. Die Unternehmung
muss sich tiefer und individuell mit seinen spezifischen
Risiken auseinandersetzen. Ein umfassendes IT-Tool erlaubt den
Aufbau eines massgeschneiderten Riskmanagementsystems.
Umfang und Ausprägung lassen sich den Bedürfnissen des
Betriebs a npassen.
1.23
2.05
1.19
1.15
1.17
1.02
0 1.01 2.03 2.08 6.09 1.04 2.09 6.10 7.04 1.06 1.14 2.10 6.11 7.05 1.07 1.16 1.20 1.24 2.11 6.12 7.06 1.08 1.21 1.25 2.12 6.13 7.07 1.22 1.26 2.13 6.14 7.08 1.27 2.14 6.15 7.09 1.28 2.15 6.16 7.10 1.29 2.16 6.17 7.11 1.30 2.17 6.18 7.12 1.31 2.18 6.19 7.13 1.32 2.19 6.20 7.14 1.33 2.20 6.21 7.15 1.34 2.21 6.22 7.16 1.35 2.22 6.23 7.17 1.36 2.23 7.01 7.18 1.37 2.24 7.02 7.19 1.38 2.25 7.20 2.26 7.21 3.01 7.22 3.02 7.23 3.03 7.24 3.04 7.25 3.05 7.26 3.06 7.27 3.07 7.28 3.08 7.29 3.09 7.30 3.10 3.11 3.12 3.13 3.14 3.15 3.16 3.17 3.18 3.19 3.20 3.21 3.22 3.23 3.24 3.25 3.26 3.27 3.28 3.29 3.30 3.31 3.32 3.33 3.34 3.35 4.01 4.02 4.03 4.04 4.05 4.06 4.07 4.08 4.09 4.10 4.11 4.12 4.13 4.14 4.15 4.16 4.17 4.18 4.19 4.20 4.21 4.22 4.23 5.01 5.02 5.03 5.04 5.05 5.06 5.07 5.08 5.09 5.10 5.11 5.12 5.13 5.14 5.15 5.16 5.17 5.18 5.19 5.20 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.30 5.31 6.01 6.02 6.03 6.04 6.05 6.06 6.07
0 1 2 3 4 5
1.03
Eintretenswahrscheinlichkeit
© RisKu-Entwicklung durch
2.01
1.18
Demo

34
Einerseits werden Risiken mittels Interviews, Erhebungen,
Workshops usw. identifiziert und danach vom Riskowner
(Bereichsverantwortlichen) bewertet. Andererseits bewertet ein
sogenanntes Risk-Committee, das aus Geschäftleitungsmitgliedern,
Verwaltungsräten und Bereichsvertretern besteht, dieselben
Risiken27 . Abweichungen zwischen den beiden Bewertungsarten
ergeben anschliessend wertvollen Gesprächsstoff. Durch dieses
systematische Vorgehen werden die operativen Verantwortlichen
in den Riskmanagementprozess einbezogen (bottom-up) und für
die unternehmensweite strategische Ausrichtung sensibilisiert
(top-down). Dies führt letztlich zum Hauptziel eines wirkungsvollen
Riskmanagments: auf allen Hierarchie stufen Risiko-
bewusstsein schaffen.
Nach der Auslegeordnung und Bewertung der Risikoland-
schaft sind für die wesentlichen Risiken Massnahmen zu treffen
und zu terminieren. Es werden Berichte erstellt (vgl. Abbildung
12) und ein umfassender Riskmanagementprozess installiert.
Internes Kontrollsystem (Art. 728a Abs. 1 Ziff. 3 OR)
Der Gesetzgeber verlangt namentlich ein Kontrollinstrumentarium,
das die Richtigkeit der Finanzberichterstattung sicherstellt,
so dass die Jahresrechnung keine wesentlichen Fehler enthält. In
der KMU-Praxis empfiehlt es sich jedoch, Kontrollen zu sämtlichen
operativen und finanziellen Risiken ein- und durchzuführen
und das Riskmanagement sogleich mit dem IKS zu verbinden.
Es soll daher ein Konzept zugrunde gelegt werden, das ein
kombiniertes Vorgehen antizipiert und durch gezielte IT-Vorlagen
die Umsetzung erleichtert28 (siehe Abbildung 13).
Basierend auf der Analyse aus dem Riskmanagement und der
Jahresrechnung bezeichnet der IKS-Verantwortliche die relevanten
operativen Schlüsselprozesse, die im Rahmen der Kontrollaktivitäten
beschrieben und dokumentiert werden müssen. Den
wesentlichen IKS-Risiken eines evaluierten Prozesses werden die
massgebenden Kontrollen gegenübergestellt und aufgrund ihrer

Risiko-Reporting
Vergleich RR I - RR II
Risk-Map je Bereich / Owner
RR II RR I
14.03
4
5
14.09
14.08
3
14.11
2
14.05
4
1
3
14.50
0
14.10
Schadensausmass
14.50
2
14.01
14.04
14.03
14.04
14.08
14.09
14.12
14.01
14.11
14.06
1
14.05
14.07
14.10
14.06
14.07
14.12
0
0 1 2 3 4 5
Eintretenswahrscheinlichkeit
Risikoübersicht (sortiert nach RR II)
Risikobereich Risiko-Nr. Risiko Risikofeld Riskowner RR I RR II EW SA
14:Logistik 14.03 Produktionsplanung 3.2.1. Produktion - AVOR E. Hellmeier 3 3 5 1
14:Logistik 14.09 Qualität der Produkte 2.4.1. Qualitätskontrolle - an den Anlagen E. Hellmeier 2 3 5 1
14:Logistik 14.11 Personalmotivation 1.5.1. Kommunikation - Interne Komm./Information E. Hellmeier 3 3 5 1
14:Logistik 14.50 Falsche Lagerbestände 3.3.2. Logistik - Lagerbewirtschaftung D. Kasparin 2 3 4 2
14:Logistik 14.01 überfüllte Lager 3.3.2. Logistik - Lagerbewirtschaftung E. Hellmeier 3 2 5 1
14:Logistik 14.06 Fahrzeugpark 9.3.1. Wartung - Störungsbeh./Optimierung E. Hellmeier 2 2 4 1
14:Logistik 14.12 Entscheidungspolitik 1.5.1. Kommunikation - Interne Komm./Information E. Hellmeier 2 2 5 1
14:Logistik 14.07 Baustellen 3.3.3. Logistik - Interne Logistik E. Hellmeier 4 2 4 1
14:Logistik 14.04 Unfallgefahr 3.3.3. Logistik - Interne Logistik E. Hellmeier 3 1 3 1
14:Logistik 14.10 Krankheit, Epedemie 1.4.1. Personal - Personalplanung E. Hellmeier 4 1 2 1
14:Logistik 14.05 Systemausfall EDV 9.4.1. IT - Planung/Betrieb/Support E. Hellmeier 1 1 2 1
14:Logistik 14.08 Gefährliche interne Trsp-Wege #NV E. Hellmeier 4 1 2 1
Abbildung 12: Beispiel eines Risiko-Bereichsreports (Auszug aus Mattig RiskME ®, vgl. www.riskme.ch)

IKS-Konzept
3
Kontrollumfeld
Information & Kommunikation
Wesentlichkeit / Scope
36
IKS-Cockpit
Konzept-Handbuch
Beschreibung
Beschreibung
Definitionen
Risikobeurteilung Self - Audit stark Kontrollaktivitäten
Self - Audit akzeptabel schwach
Map
JR-Analyse
RM-Prozessanalyse
Map
XY AG
Self - Audit
Self - Audit
Self - Audit
Self - Audit
Prozess-Matrix Schlüsselprozesse
Kontroll-Risiko-Matrix
Kontrollschwächen-Dia
Map Kontrollübersicht
Abbildung 13: Konzept einer kombinierten Einführung von Riskmanagement
und IKS bei KMU (Auszug aus Mattig IKS ® )
Kontrollwirksamkeit bewertet (siehe Abbildung 14). Hieraus ist
für jeden Drittleser29 sofort ersichtlich, an welcher Stelle im Prozess
die wesentlichen IKS-Risiken mit schwacher Kontrollwirksamkeit
liegen. Bei diesen Kontrollschwächen werden entsprechende
Massnahmen angesetzt und ein Aktionsplan erstellt.
Nebst den Kontrollaktivitäten werden das IKS-Konzept, das
Kontrollumfeld, die Informations- und Kommunikationskultur
sowie -hilfsmittel, die Wesentlichkeit und der Geltungsbereich
sowie die Überwachungsinstrumente des Unternehmens kurz
beschrieben30 und bewertet und allenfalls mit Hilfe adäquater
Massnahmen verbessert (siehe Abbildung 15).
Schliesslich müssen die Kontrollen und das System durch das
Management dokumentiert und überwacht werden (vgl. Abbildung
16). Die Aufgabe der Revisionsstelle besteht darin, die
stark
akzeptabel
schwach
schwach
Kontrolle / Überwachung
Self - Audit
Aktionsplan
Bericht drucken
beenden

Linkfelder
P1 Flüssige Mittel / Zahlungen
IKS-Prozess
XY AG
Flüssige Mittel und Wertschriften sind vollständig erfasst, richtig bewertet und werden korrekt in der
Jahresrechnung ausgewiesen. Notwendige Wertberichtigungen werden vorgenommen.
Ziele
Prozess-
Periodizität Wirkung
Beschreibung
Verantw.
Kontrollbeschrieb Hilfsmittel
Risiko Einschätzung
Kontrolle Risikobeschrieb
Prozessablauf
Risiko
Wertschriftenübersic GK jährlich hoch
ht
mittel - Übersicht Wertschriftenverzeichnis mit
aktueller Marktbewertung.
Abgleich mit
Zahlungs-
1.11
vorschlag
1.04 - Realisierte und nicht realisierte
i.O.?
Nein
Kursgewinne /-verluste werden nicht
korrekt berechnet und verbucht.
Ja
Visum E-Banking / E-GR
laufend tief
Finance
Bankbelastungsanz GS laufend mittel
eige
Zahlungsauslösung
Zahlungsfreigabe durch E-Banking -
Visum GK.
1.05 1.01 - Es werden nicht genehmigte
hoch - Einzelvisum E-Banking / E-Finance
Banktransaktionen vorgenommen.
(Post) Gemeindekassier.
Einzelverfügungsmacht über liquide Mittel
(kein Vieraugenprinzip).
1.02 - Plausibilisierung der Bankbelastungen
nach erfolgter Zahlung.
1.03 - Rechnungsvisierung aller Aufwand- und Rechnungsvisierung GR / SM wöchentlich hoch
Ausgabenbelege durch GK,
ressortverantwortlicher GR und SM.
37
Abbildung 14: Prozessveranschaulichung
mit den
IKS-Risiken und -Kontrollen
(Auszug aus Mattig IKS ®)

38
Bericht über die Beseitigung der Kontrollschwächen / Aktionsplan
Bezug der Kontrollschwäche /
betroffener Prozess
Nr. Thema /
Kontrollschwächenbereich
P1 Flüssige Mittel / Zahlungen 1 Kein systematischer Abgleich der
Bestände liquider Mittel bei der
Abschlusserstellung.
P1 Flüssige Mittel / Zahlungen 1 Kassensturz erfolgt nicht in
Funktionentrennung durch GK
selbst.
Massnahmen zur Vermeidung der
Kontrollschwäche
Verantwortlich
(Funktion)
Umsetzung
bis
Abbildung 15: Beispiel der Dokumentation der Kontrollschwächen / Aktionsplan (Auszug aus Mattig IKS ® )
gesamte IKS-Dokumentation einzusehen und zu beurteilen, ob
diese dem Unternehmen angepasst ist und den gesetzlichen
Anforderungen genügt. Ist dies der Fall, kann es wie im vorange-
henden Kapitel beschrieben durch die Revisionsstelle bestätigt
werden.
Übergang zu einem kontinuierlichen Prozess
umgesetzt
(Ja / Nein)
Erstellung Abschluss-Checkliste. GK 30.11.11 Nein
Prüfung Kassenbestände durch GS
(Funktionentrennung).
GS 30.06.11 Nein
P1 Flüssige Mittel / Zahlungen 1 Einzelvisum E-Banking durch GK. Prüfung Kollektiv-Visa zu zweien. GR 30.06.11 Nein
P4 Kreditoren / Einkauf /
Leistungsbezug
4 Kein systematischer Abgleich des Erstellung Abschluss-Checkliste.
Kontos Vorauszahlungen bei
Abschlusserstellung.
GK 30.11.11 Nein
In den Folgejahren hat das Unternehmen sein Riskmanagement
à-jour zu halten. Das heisst, mindestens einmal jährlich eine
umfassende Risikobeurteilung (Identifikation, Bewertung, Prio-
risierung, Steuerung und Überwachung) vorzunehmen. Dem
Verwaltungsrat ist mindestens einmal jährlich über die Risikosituation
und allenfalls das IKS Bericht zu erstatten. Es empfiehlt
sich, im Verwaltungsratsprotokoll ein festes Traktandum hierzu
einzubauen, damit jederzeit nachvollziehbar bleibt, dass sich das
oberste Geschäftsleitungsorgan periodisch mit Riskmanagement
und – falls eine ordentliche Prüfpflicht besteht – mit IKS beschäftigt
hat.
Das IKS ist jährlich zu überarbeiten. Prozessbeurteilungen
sind zu prüfen, die Risiko-/ Kontrollmatrizen anzupassen und
entsprechend nachvollziehbar zu dokumentieren. Ebenso ist das
eigene IKS in einem sogenannten Self-Assessment jährlich durch
die Unternehmensverantwortlichen zu testen, um über die Qualität
des IKS eine Aussage machen zu können. Dazu kann ein

Kontrolle / Überwachung
standardisierter Fragebogen selbständig ausgefüllt werden. Durch
ein Ampelsystem von stark (grün), über akzeptabel (orange) zu
schwach (rot) wird die Übersichtlichkeit erhöht und der Betrachter
erhält einen schnellen Überblick über die Stärken und Schwächen
seines gesamten IKS (vgl. Abbildung 16).
Fazit und Ausblick
Dieses Kapitel hat aufgezeigt, wie mit einfachen Hilfsmitteln ein
angepasstes Riskmanagement sowie ein auf das Unternehmen
zugeschnittenen IKS erstellt werden kann. Eine offene Diskus-
sion und eine ehrliche Auseinandersetzung mit den Risiken,
Gefahren und Problemen des Unternehmens heute und in naher
Zukunft werden damit sichergestellt und dokumentiert. Dadurch
sind einerseits die Gesetzesanforderungen erfüllt, andererseits
wird darüber hinaus für die gesamte Unternehmung ein Mehrwert
geschaffen.
schwach
N° Fragen Rating Feststellung
Laufende und gezielte Beurteilung
7.01 Wird die Wirksamkeit des IKS regelmässig beurteilt? 2
7.02 Werden die gesetzten Ziele an die finanzielle Berichterstattung regelmässig evaluiert? 2
7.03 Werden die Ziele an die finanzielle Berichterstattung bei Bedarf angepasst? 2
7.04 Kleinere Gemeinden: Ist der Gemeinderat in der Verwaltung eingebunden? 3
7.05 Werden laufend die Wirksamkeit von Kontrollmassnahmen beurteilt (z.B. von Abteilungsleitern)? 1
7.06 Wird überwacht, ob die Kontrollaktivitäten auch eingehalten werden
(z.B. anhand von Stichproben)?
1
7.07 Findet eine Überwachung des IKS durch Personen auf der Leitungsebenen statt? 2
7.08 Findet eine Funktionentrennung oder unabhängige Kontrollen statt? 3
7.09 Gibt es leitende Mitarbeitende, die sich in einem Interessenkonflikt befinden? 3
7.10 Sind die Zielvorgaben und Qualitätsanforderungen des IKS definiert? 1
Einsatz von Management- und Controlling-Instrumenten
7.11 Ist ein IKS- bzw. Riskmanagement-Verantwortlicher bestimmt? 3
7.12 Werden zeitnahe Controlling-Instrumente eingesetzt (z.B. Zwischenabschlüsse, 3
Finanzpläne, Liquditätsplanung, Kostenrechnungsinstrumente, Balanced Scorecard, usw.)?
7.13 Werden die Controlling-Instrumente top-down (Bereichsverantwortliche, Mitarbeitende, usw.) 3
kommuniziert?
7.14 Werden die Controlling-Instrumente bottom-up (Bereichsverantwortliche, Mitarbeitende, 1
Verwaltungsleitung und Gemeinderat) kommuniziert?
7.15 Findet eine Verknüpfung von Strategie, Riskmanagement und operativer Umsetzung statt? 1
Schwächen der Berichterstattung
7.16 Wird das IKS laufend auf Stärken und Schwächen analysiert? 1
7.17 Werden Schwachstellen des IKS laufend angepasst bzw. Korrekturmassnahmen ergriffen 1
und wird deren Umsetzung überwacht?
Gesamtrating
Allgemeiner Eindruck / Schlussfolgerungen:
39
1
Abbildung 16: Möglicher
Bewertungsraster für das
Unternehmen zur Selbstbeurteilung
(Self-Audit) des
eigenen IKS (Auszug aus
Mattig IKS ® )

40
Wird dem Gesetz nicht entsprochen, wird ein Risiko geschaf-
fen, das zum Aufwand der Massnahme (dokumentieren des
Risikomanagements bzw. IKS) in keinem Verhältnis steht. Hier
beginnt Risikomanagement! Wenn der Unternehmende das Risiko
von Kreditkündigungen, Mehrkosten beim Unternehmensverkauf,
Verantwortlichkeitsklagen, usw. in Kauf nehmen will,
steht es um die Unternehmensführung schlecht. Es geht noch
weiter: er verlagert das Problem unter Umständen zu seinem
Revisor. Dieser ist gefordert die Nichterfüllung der gesetzlichen
Anforderungen in seiner Berichterstattung offen zu legen. Akzeptiert
der Unternehmer dies nicht, wird die Revisionsstelle das
Mandat niederlegen, wonach das Unternehmen zusätzlich noch
ohne Revisionsstelle dasteht.
Diese gesetzlichen Anforderungen werden uns in Zukunft
weiter begleiten, denn Führungsinstrumente werden vermehrt an
Bedeutung gewinnen. Doch dazu erfahren Sie mehr in den nachfolgenden
Beiträgen.

Betrachtet man das
aktuelle politische und
wirtschaftliche Umfeld,
bedarf es keinerlei
hellseherischer Fähigkeiten
um festzustellen, dass
zentrale und verständliche
Führungsinstrumente in
Unternehmungen aller
Grössenordnung an
Bedeutung gewinnen. Die
Gesellschaft stellt immer
mehr den Anspruch, dass
Unternehmungen eine
gesamtwirtschaftliche
Daseinsberechtigung
bestätigen. Einerseits strebt
der Aktionär und Inhaber
nach zufriedenen Kunden
und entsprechender
Wirtschaftlichkeit – sprich
Rentabilität (operative
Ausrichtung). Andererseits
stellen die weiteren
Stakeholder den Anspruch,
dass ein Wirtschaftsteilnehmer
sich nachhaltig
(strategische und ökologische
Ausrichtung)
orientiert und sorgfältig
handelt. Dies indem er
Gesetze, Normen und
gesellschaftliche Anforderungen
einhält (Compliance-Ausrichtung).
Hierzu dienen dem Unternehmer in der Betriebswirtschaftslehre
hilfreiche Instrumente und Ansätze. Die Herausforderung
besteht darin, dass diese einem Ganzen – der unternehmerischen
Zielerreichung - dienen und für das oberste Führungsorgan überschaubar
und verständlich bleiben. Dazu wird im untenstehenden
Beitrag «Management Cockpit» ein pragmatischer Lösungsweg
aufgezeigt. Im Beitrag «Praxis KMU» wurde ein Blick nach
rechts und links in der IKS- und Risikolandschaft der Schweiz
geworfen. Nun schauen wir nach vorne – in die Zukunft, und
betrachten nebst dem KMU-Umfeld, die Landschaft der staatlich-subventionierten
Non-Profit-Organisationen sowie der
öffentlichen Verwaltungen. Wohin führt die anfangs 2008 ein-
geführte gesetzliche Pflicht die kleinen und mittleren Unterneh-
mungen? Handelt es sich um reine Schikane oder stellt sie letzten
Endes sogar eine Chance für den innovativen und offen denkenden
Unternehmer dar?
41
Best Practices
Wozu eine «Best Practice» für KMU?
Das Center for Corporate Governance der Universität St. Gallen
hat im 2009 eine praktikable Empfehlung zur Führung und Aufsicht
von kleineren und mittleren Unternehmungen 31 herausgegeben.
Dies als Pendant zum bereits seit 2002 bekannten Swiss
Code of Best Practice for Corporate Governance der Economie
Suisse32 , welcher sich vorwiegend an (grössere) Publikumsgesellschaften
wendet. In beiden Empfehlungen werden unter anderem
zentral die Aufgaben und Pflichten des Verwaltungsrats angesprochen.
Die Zukunft wird dahin gehen, dass eine gute Unternehmensführung
die Anwendung von angepassten Führungs- und
Kontrollinstrumenten bedingt. Diese sollen auf die Grösse, Kom-

42
Economie Suisse Universität St. Gallen
Swiss Code of Best Practice for Corporate Governance
Klare Äusserung unter Ziffer 19 und 24 zu den
Themen Riskmanagement und Internes Kontrollsystem
sowie unter Ziffer 20 zur Einhaltung von
Gesetzen und Normen (Compliance).
Best Practice für KMU
Vier Hauptaufgaben des Verwaltungsrats: Strategie,
Systeme, Staff und Supervision (die 4 S). Unter
Systeme wird konkret die Finanzkontrolle sowie
das Risiko- und Krisenmanagement angesprochen.
Im Weiteren erläutert die Supervision die Einhaltung
von Gesetzen und Normen (Compliance).
Abbildung 17: Corporate Govervance – Economie Suisse vs. Universität St. Gallen
plexität und Art des Geschäftes ausgerichtet sein. Die konkrete
Ausgestaltung liegt in der Freiheit – aber auch Verantwortung –
des Verwaltungsrats. Entscheidungsgrundlagen wie strategische
Auslegeordnungen, Risikobewertungen, transparente Kontrollsysteme,
Krisenvorkehrungen, Finanz- und Liquiditätsplanungen,
usw. werden nebst Diskussionsgrundlage für die Unternehmensführung
auf oberster Leitungsstufe auch Grundlage für
gerichtliche Auseinandersetzungen, z.B. bei einem Firmenzusammenbruch
oder anderen zivil- oder strafrechtlich relevanten
Ereignissen sein. Fehlen solche, für eine gute Unternehmensfüh-
rung voraussetzbaren, schriftlichen Nachweise, wird es für das
betroffene Leitungsorgan immer schwieriger, ein kaufmännisch
sorgfältiges Handeln im Interesse der Unternehmung nachzuweisen.
Benötigen staatlich-subventionierte Non-Profit-
Organisationen ein IKS?
Grundsätzlich unterliegen staatlich-subventionierte Non-Profit-
Organisationen denselben Vorschriften des Obligationenrechts
bezüglich Risikobeurteilung33 und Internem Kontrollsystem34 wie private Unternehmen. Dies soweit es sich um juristische
Personen (Stiftung, Verein, Aktiengesellschaft, usw.) handelt.
Die Spezialität solcher Organisationen besteht meist darin, dass
sie mit den Subventionsgebern (Bund, Kanton oder Gemeinde)

eine Vereinbarung über die zu erbringende Leistung treffen.
Hierin werden nebst operativen Leistungszielen auch Finanzund
Berichtsziele definiert. So besteht bereits heute in gewissen
Kantonen (z.B. Zürich und Aargau) die Anforderung für subventionierte
Organisationen ein IKS nachzuweisen, unabhängig
davon, ob eine Pflicht gemäss Obligationenrecht besteht. Somit
haben in diesen Kantonen Organisationen mit weniger als
50 Mitarbeitenden ein IKS zu dokumentieren und deren Existenz
durch den externen Prüfer bestätigen zu lassen35 .
Aus diesem Grund hat die KTI36 unter der Leitung der Fachhochschule
Nord-Westschweiz und der Zusammenarbeit mit
Mattig-Suter und Partner37 als Wirtschaftspartner im Herbst
2009 ein Forschungsprojekt gestartet. Ziel des Projektes ist es, bis
im Herbst 2011 einen IKS-Leitfaden und ein IKS-Online-Tool
für staatlich-subventionierte Non-Profit-Organisationen zu entwickeln.
Leitfaden und Tool sollen helfen, ein adäquates IKS
einzuführen und letztlich für die Subventionsnehmer als nutz-
volles Führungsinstrument zu betreiben.
Wie sieht es im öffentlich-rechtlichen Bereich aus?
Sich einen Überblick über die Anforderungen und Umsetzungen
bezüglich Riskmanagement und IKS in den Schweizer Kantonen
und Gemeinden zu verschaffen, ist kein leichtes Unterfangen.
Eine zentrale Übersicht bestand bis anhin nicht. Deshalb hat
Mattig-Suter und Partner zusammen mit der Hochschule Luzern
im Rahmen einer Masterarbeit eine Umfrage bei den 20 Deutschschweizer
Kantonen durchgeführt 38 . Abbildung 18 zeigt die
aktuelle Situation betreffend IKS.
Es kann festgestellt werden, dass die Kantone – trotz vorliegendem
Leitfaden des Bundes39 – eigene, individuelle Anpassungen
ihrer Gesetze, Verordnungen und Reglemente anstreben.
Bemerkenswert ist sicherlich, dass IKS und Riskmanagement
bereits heute bei den Kantonen ein Thema sind. Fast alle Deutsch-
43

44
Abbildung 18: IKS in den Kantonen
schweizer Kantone sind daran, die gesetzlichen Anpassungen
einzubinden und bis 2014 die Umsetzungen innerhalb der kanto-
nalen Verwaltung – inklusive angegliederten Einheiten – vorzu-
nehmen. In einem zweiten Schritt ist in den meisten Kantonen
zusätzlich beabsichtigt, Weisungen und Reglemente an die einzelnen
Gemeinden zu erlassen, IKS und Riskmanagement auf
kommunaler Stufe umzusetzen. Das Tempo erstaunt auf den
ersten Blick, hinken privatrechtliche Neuerungen im öffentlichrechtlichen
Bereich meist einige Jahre hinten nach. Ganz anders
im IKS, da in der Verwaltung die fragmentweise Umsetzung auf
Druck der kantonalen Finanzkontrollen seit Jahren diskutiert
wird. Das IKS hat hier, wo öffentliche Gelder anvertraut werden,
geradezu einen zentralen Stellenwert. Publik gewordene
Zwischenfälle von Amtsmissbrauch und Veruntreuungen leisten
hierzu ihren Beitrag.

Fazit
Zusammenfassend ist zu erkennen, dass Riskmanagement und
IKS im KMU-Umfeld am Anfang stehen. Es geht inskünftig vor
allem darum, die Instrumente nicht nur als gesetzliche Pflichtübung
zu verstehen, sondern sie ohne Mehraufwand als äusserst
hilfreiche Führungsinstrumente zu etablieren. Risiko-/Chancen-
Management und IKS stellen je einen Mosaikstein zur zentralen
Unternehmensführung dar. Wer es versteht, die einzelnen Steine
der guten Unternehmensführung zu einem harmonischen und
verständlichen Bild zu vereinen, der hat die Chance gepackt,
seinem Kunstwerk (Unternehmung) den entscheidenden Stil für
die nächste Kunstepoche zu geben.
45

46
In den vorangegangenen
Kapiteln haben wir uns
mit Riskmanagement und
IKS aus verschiedenen
Blickwinkeln beschäftigt.
Oftmals haben Sie sich
vielleicht die Frage gestellt,
wie diese beiden Fragmente
sinnvoll in ein zentrales
Führungsinstrument
integriert werden können.
Dieser Herausforderung
wollen wir uns in diesem,
abschliessenden Kapitel
stellen. Welche Informationen
benötigt das oberste
Leitungsorgan, um
zielgerichtet die Unternehmung
zu steuern? Welche
Hilfsmittel können ihm
dienen?
Management-Cockpit
Mattig Cockpit ®
Abbildung 19: Mattig Cockpit – Hauptrisiken, Chancen und Kontrollen
Ein ganzheitliches Managementsystem (Mattig Cockpit ® ) soll
der Unternehmensführung dienen die Unternehmung strategisch
und operativ zu leiten und die Umsetzung und Kontrolle der strategischen
und operativen Ziele sicherzustellen. Die nachfolgenden
Erklärungen dienen der Erläuterung der untenstehenden
Grafik. Diese zeigt das Konzept des Mattig Cockpits ® . Mattig
Cockpit ® verläuft von der Planung über die Umsetzung und
Kontrolle bis hin zum Handeln. Es umfasst diverse flankierende
Führungs instrumente (Strategie, Finanzplan, Cash Manage-
ment, Risk management, IKS, Qualitäts-Management-System
(QMS), Business Continuity, Unternehmensbewertung, Ra-
ting…), welche jedoch nicht umfassend, sondern fallweise, d.h.
modulartig eingesetzt werden können. Das Management soll sich
auf das wesentliche konzentrieren. Das Riskmanagement sowie
das IKS werden in den rot markierten Teilen beigezogen.

Zu den Elementen von Mattig Cockpit ®
Ausgangslage
Als Ausgangslage des Strategieprozesses dienen die Planungsinstrumente,
wobei das Strategiepapier, sprich die Vision und die
Strategie, die Basis für das Mattig Cockpit ® bilden. Die Vision ist
dabei das Ziel wohin das Unternehmen will und die Strategie
beschreibt, wie die definierte Vision erreicht werden soll. Die
Risikobeurteilung und der Finanzplan plausibilisieren die Strate-
gie bzw. zeigen auf, welche Risiken auf der eingeschlagenen Stra-
tegie vorhanden sind und ob die Strategieumsetzung finanziell
überhaupt möglich ist.
Strategische Darstellung
Um die Abhängigkeit zwischen den strategischen Zielen darzustellen,
werden diese zu Beginn in einer Strategy Map abgebildet.
Die Strategy Map wird in Form eines Würfels dargestellt. Auf der
Oberseite sind die Unternehmensziele ersichtlich. Auf der Vorderseite
werden die strategischen Ziele den Unternehmenszielen
und den BSC20 Perspektiven (wie z.B. Finanzen, Kunden, Prozesse
und Mitarbeiter) zugeordnet. Sie werden beginnend von unten
eingetragen, weil die unteren Ziele Auswirkungen auf die oberen
haben. Wird zum Beispiel ein Mitarbeiterziel wie «Steigerung der
Mitarbeiterproduktivität» nicht erfüllt, so hat dies Auswirkungen
auf das Prozessziel «Problemminimierung», was wiederum das
Kundenziel «Grössere Kundenzufriedenheit durch erstklassige
Projektabwicklung» hindert und sich schliesslich im Finanzziel
«Verbesserung der Gesamtrentabilität» zeigt. Durch die verschiedenen
Verknüpfungen ergeben sich Ursachen-Wirkungs-Beziehungen,
wobei ebenfalls die Hauptrisiken und Chancen aus
der Risikobeurteilung verknüpft werden. Die Nebenseite bildet
die einzelnen Bereiche/Abteilungen des Unternehmens ab. Aus
der Strategy Map für das Unternehmen kann für jeden Bereich/
jede Abteilung eine Strategy Map abgeleitet werden.
47

48
Der Würfel hilft, die strategischen Ziele zu ordnen und schon
zu Beginn der Einführung eines ganzheitlichen Managment-
systems eine Übersicht zu verschaffen, wodurch das Verständnis
gefördert und das Mattig Cockpit ® einfacher kommuniziert
werden kann.
Systematische Datenentwicklung
Die systematische Datenentwicklung ist der Kern des Mattig
Cockpits ® und wird in vier Schritten durchgeführt:
1. Strategische Ziele in den BSC Perspektiven
Wurde durch die Strategy Map eine Übersicht geschaffen, werden
die strategischen Ziele in die Mattig Cockpit ® Datentabelle
einge tragen. Dabei werden die strategischen Ziele mit Nebenzie-
Abbildung 20: Strategy Map

len aus der Finanzplanung, des Riskmanagements, des QMS
usw. abgeglichen. In einem zweiten Schritt werden aus den strategischen
Zielen operative Ziele für jeden Unternehmensbereich
abgeleitet.
2. Hauptrisiken, Chancen und Kontrollen
Den strategischen und operativen Zielen werden jeweils die
Haupt-Risiken, -Chancen und -Schlüsselkontrollen zugeordnet.
Diese werden in den entsprechenden Tools wie zum Beispiel
Riskmanagement, IKS, QMS, Business Continuity oder Fraud-
Management identifiziert, aus den Tools entnommen und den
strategischen und operativen Zielen zugeteilt. Hierbei werden
bereits sehr wertvolle Erkenntnisse gewonnen. Man fragt sich
direkt, welche Risiken – jeglicher Art – die Zielerreichung hin-
dern, bzw. welche erfassten Chancen diese sogar fördern können.
KUNDEN
K1
Strategisches Ziel Beschreibung
Steigerung der Kundentreue
Wir wollen eine breite Stammkundschaft aufbauen.
1.07
Operatives Ziel
Wir wollen die Anzahl der verkauften Jahresabonnemente erhöhen.
Haupt-Risiko/-Chancen Bewertung Schlüsselkontrollen verantwortlich Periodizität
1.0700 Ungenutztes Potenzial
tief Analyse Besucherzahlen / -entwicklung Admin. monatlich
1.0701 Verlust von Stammkundschaft
mittel Prüfung und Verabschiedung Marketing-Budget / -plan GL jährlich
1.0702 kein Marketingkonzept mittel
1.0703 Kapazitätsengpässe
hoch
Abbildung 21: Hauptrisiken, Chancen und Schlüsselkontrollen
3. Messgrössen
Für jedes strategische und operative Ziel werden Messgrössen
definiert. Dieser Vorgang soll die Umsetzung der strategischen
Ziele messbar machen. Anhand der Messgrösse soll schliesslich
erkennbar sein, ob das Ziel erreicht wurde oder nicht.
4. Massnahmen
Um die strategischen und operativen Ziele zu erreichen werden
Massnahmen festgelegt. Dabei soll die Frage, wie die Ziele
erreicht werden sollen, geklärt werden. Jede Massnahme enthält
einen Verantwortlichen und ein Enddatum und wird mit den
Massnahmen aus dem Riskmanagement, IKS, QMS, Business
Continuity oder dem Fraud-Management abgestimmt.
49

Mattig
Cockpit
KUNDEN
50
Cockpit
Letztlich resultiert aus dem ganzheitlichen Managementsystem
ein periodisches Cockpit, wobei die Unternehmensführung einen
Überblick über den Umsetzungserfolg der strategischen und operativen
Ziele erhält. Zum einen werden die Massnahmen bezüglich
der Um setzung kontrolliert, bzw. die Einleitung und Umset-
zung der notwendigen Schritte übeprüft. Zum anderen wird die
Erreichung der Messgrössen bzw. das Erreichen der strategischen
und operativen Ziele kontrolliert. Dabei sind Abweichungen der
Messgrössen mit Hilfe eines Ampelsystems und grafischen Auswertungen
leicht zu erkennen.
Strategische Ziele Messgrössen 31.10.11 xxxGrafiken
Nr. Strategisches Ziel Z Nr. Messgrösse Einheit Zielwert
Langfristiger
Zielwert 2014
IST-Wert Abweichung Ziel / IST Erreichte Messgrössen Abweichungsanalyse
K1 Steigerung der Kundentreue ZK 1.0701
Anzahl
Jahresabonnemente
Anzahl 400.00 550.00 410.00 2.50% X
1.0701
K2 Steigerung der Kundenzufriedenheit ZK 2.0701
Anzahl
Qualitätskontrollen
Anzahl pro
Jahr
365.00 365.00 345.00 -5.48% XX
K2 Steigerung der Kundenzufriedenheit ZK 2.0702
Anteil nicht genügender
Anteil an
Qualiätsergebnisse
Messungen
(intern)
0.05 0.03 0.04 -20.00% X
-25% -20% -15% -10% -5% 0% 5%
Abbildung 22: Messgrössencockpit
Kontinuierlicher Verbesserungsprozess (KVP)
Das Konzept wird mit den Erkenntnissen aus dem Cockpit
abgerundet. Diese dienen der Optimierung der Datenqualität
und der optimalen Ausgangslage für den nächsten Durchlauf des
Prozesses. Das Mattig Cockpit ® wird somit periodisch im Sinne
von einem kontinuierlichen Verbesserungsprozess erneuert. Das
Konzept, welches als Pfeil dargestellt ist, sollte demnach auch als
Kreis betrachtet werden. Der Prozess beginnt immer wieder von
neuem. So wird zum Beispiel die neue Strategie im Beizug der
Erkenntnisse optimiert und verbessert, was ebenfalls eine
Er neuerung bzw. Optimierung der Risiko beurteilung und des
Finanzplans bedeutet, um die überarbeitete Strategie zu plausibi-
lisieren.
2.0701
2.0702

Abbildung 23: Kontinuierlicher Verbesserungsprozess
Periodizität/Detaillierungsgrad
Während dem sich das ganze Konzept des Mattig Cockpits ®
ständig wiederholt und die einzelnen Schritte in geordneter Reihenfolge
ablaufen, gibt es während den einzelnen Schritten eine
zu nehmende Periodizität und einen vertieften Detaillierungs-
grad. So ist zum Beispiel die strategische Darstellung langfristig
ausgerichtet und sollte nebst kleinen Anpassungen ca. alle 3-5
Jahre überarbeitet werden. Der Detaillierungsgrad ist eher gering.
Die grafische Übersicht steht im Vordergrund, wobei die
einzelnen Strategien in diesem Schritt ohne grosse Beschreibungen
erfasst und bei den Risiken/Chancen nur die wichtigsten pro
Perspek tive beigezogen werden.
Die Systematische Datenentwicklung hat jährlichen Charak-
ter und erreicht bereits einen angemessenen Detaillierungsgrad.
Dies bedeutet, dass die Risiken/Chancen, Kontrollen, Messgrössen
und Massnahmen jährlich für jeden Unternehmensbereich
definiert werden.
Am Ende entsteht ein Cockpit, welches quartalsweise oder
monatlich für jeden Unternehmensbereich ausgewertet wird. Bei
Abweichungen kann der Detaillierungsgrad dabei sehr gross
werden. Schliesslich soll die Ursache der Abweichung gefunden
und das Problem behoben werden. Es gilt jedoch nur die Ziele
bzw. Messgrössen zu analysieren, welche ihren Zielwert nicht
erreichen.
51

52
Abbildung 24: Periodizität/Detaillierungsgrad
Mattig Cockpit ® als zentrales «Steuerrad» der
Zukunft
Das Konzept der chancen- und risiko-orientierten Unternehmensführung
mittels Mattig Cockpit ® mag auf den ersten Blick
umfassend – evtl. sogar zu umfangreich erscheinen. In der praktischen
Anwendung hingegen erweist sich dieses zentrale
Management-Cockpit als einfaches, auf das Wesentliche be-
schränktes Informations- und Steuerungssystem. Wichtig ist,
dass die in den frei gewählten Tools gesammelten Informationen
gefiltert und zielgerichtet ins Management-Cockpit der Unternehmensleitung
einfliessen. Dadurch behält die Führungs-Crew
das Schiff (Unternehmung) mit wenigen Plan-, Entscheidungs-
Steuer- und Kontrollgrössen im Griff. Bereit, ruhig neue Länder
durch die stürmische See hindurch anzupeilen und stets auf Kurs
zu bleiben. Denn wie Konfuzius treffend bemerkte:
Wer das Ziel kennt, kann entscheiden,
wer entscheidet, findet Ruhe,
wer Ruhe findet, ist sicher,
wer sicher ist, kann überlegen,
wer überlegt, kann verbessern.

Quellenverzeichnis
1 Gemäss Art. 727 Abs.1 OR
2 COSO = Committee of Sponsoring Organizations of the Treadway
Commission (www.coso.org)
3 Treuhandkammer, Schweizer Prüfungsstandard: Prüfung der Existenz
eines internen Kontrollsystems (PS 890), abrufbar unter
www.treuhandkammer.ch/download.cfm?-ID_n=176&unter=105&ha
upt=63&language=1
4 Hermann Grab, So führt ein Unternehmen ein wirksames IKS effizient
ein, in: KMU-Magazin Nr. 9, November 2007
5 Lothar Gwerder, IKS und Riskmanagement im Zusammenspiel, in:
Business News 03/07, swissconsultants.ch
6 Dennis Inderbitzin, Prof. Dr. Thomas Rautenstrauch, Bachelorarbeit:
Umsetzung Risikobeurteilung (OR Art. 663b) und Existenz IKS (OR Art.
728a) in der Praxis: Ein Jahr danach – Erste Erfahrungen, S. 52/53,
Hochschule Luzern - Wirtschaft
7 Art. 727 OR
8 Hermann Grab, Bereit fürs Riskmanagement, in: ET Elektrotechnik,
Heft 3, März 2009, www.elektrotechnik.ch
9 Hermann Grab, Hans-Ulrich Koller, Risikobeurteilung bei Kleinstunternehmen
in: Business News 03/07, swissconsultants.ch
10 Art. 727a OR
11 Treuhand-Kammer, Zürich, Kommission für Wirtschaftsprüfung,
Fragen und Antworten zum neuen Revisionsrecht, Ziff.5.4, www.
treuhand-kammer.ch, unter Publikationen und Downloads, Q & A,
12 Dr. Franz Mattig, Hermann Grab, Verwaltungsrat – Riskmanagement
und IKS für KMU, in: Management Dossier Verwaltungsrat, Nr. 19,
Juni 2009, WEKA Verlag AG, Schweiz
13 Dr. Franz Mattig/Rolf Brechbühl (Herausgeber), (2005), Risk-Management,
www.swissconsultants.ch, Schriftenreihe Nr. 4, Dr. Werner
Gleissner/Frank Romeike, (2005), Anforderungen an die Softwareunterstützung
für das Risikomanagement, in ZfCM – Zeitschrift für
Controlling & Management 2/2005
53

54
14 Carin Münzel/Hermann Jenny, Riskmanagement für kleine und
mittlere Unternehmen, 2003
15 Lothar Gwerder, www.swissconsultants.ch, Business News 3/07, IKS
und Riskmanagement im Zusammenspiel
16 Hermann Grab/Hans-Ulrich Koller, www.swissconsultants.ch,
Business News 3/07, Risikobeurteilung bei Kleinstunternehmen
17 SWOT=Strenghts, Weakness, Opportunieties, Threats
18 Hermann Grab, So führt ein Unternehmen ein wirksames IKS effizient
ein, in KMU-Magazin Nr.9, November 2007
19 Es bietet sich z.B. die Annualisierungsmethode an; siehe hierzu:
Michael Lister/Henner Schierenbeck, Value Controlling – Grundlagen
wertorientierter Unternehmensführung, 2002
20 BSC=Balanced Score Card
21 RAPM=Risk Adjusted Performance Measure
22 Swiss Code of Best Practice: www.economiesuisse.ch/web/
de/PDF%20Download%20Files/pospap_swiss-code_corpgovern_20080221_de.pdf,
Studie der Universität St.Gallen: Best
Practice im KMU: http://ccg.ifpm.unisg.ch/org/ifpm/ncg.nsf/SysWebRessources/Broschuere/$FILE/Brosch.pdf
23 Hermann Grab, Riskmanagement und IKS für KMU, Schikane oder
Chance?, in Treuhand und Revision, Jahrbuch 2009
24 Vgl. hierzu Auszug Fachartikel aus dem KMU-Magazin Nr.9, November
2007, «So führt ein Unternehmen ein wirksames IKS effizient
ein», Hermann Grab, Treuhand und Revisionsgesellschaft Mattig-
Suter und Partner.
25 Art. 727 Abs. 1 OR: Ordentlich zu prüfen ist, wer zwei der folgenden
Kriterien in zwei aufeinanderfolgenden Jahren überschreitet – CHF
10 Mio. Bilanzsumme, CHF 20 Mio. Umsatz, 50 Mitarbeiter im Jahresdurchschnitt
26 Hierbei muss es sich nicht immer um den prüfenden Revisor handeln,
sondern auch Abnehmer, Lieferanten usw.
27 Vgl. Schriftenreihe Nr. «Riskmanagement» von Swissconsultants.ch,
2005, Dr. Franz Mattig, Rolf Brechbühl
28 Vgl. hierzu Auszug Fachartikel aus dem KMU-Magazin Nr.9, November
2007, «So führt ein Unternehmen ein wirksames IKS effizient

ein», Hermann Grab, Treuhand- und Revisionsgesellschaft Mattig-
Suter und Partner
29 Hierbei muss es sich nicht immer um den prüfenden Revisor handeln.
Insbesondere nicht operativ tätige Verwaltungsräte erhalten ein
effizientes Führungsinstrument zur Ausgestaltung und Überwachung
ihres Kontrollsystems. Weitere Interessenten wie Banken oder
mögliche Käufer des Unternehmens bekommen ebenfalls wertvolle
Transparenz.
30 Vgl. Abbildung 3, die 7 Elemente des Konzepts der kombinierten
Einführung von Riskmanagement und IKS von Mattig-Suter und
Partner.
31 http://ccg.ifpm.unisg.ch/org/ifpm/ncg.nsf/SysWebRessources/
Broschuere/$FILE/Brosch.pdf
32 http://www.economiesuisse.ch/web/de/PDF%20Download%20
Files/pospap_swiss-code_corp-govern_20080221_de.pdf
33 vgl. Art. 663b, Ziff. 12 OR
34 vgl. Art. 728a OR
35 vgl. Art. 727 OR
36 Mitfinanziert durch das Bundesamt für Berufsbildung und Technologie
/ Agentur zur Förderung innovativer Projekte (KTI) sowie durch die
Kantone Aargau, Basellandschaft, Tessin, Wallis und Zug.
37 Treuhand- und Revisionsgesellschaft Mattig-Suter und Partner,
Schwyz, www.mattig.ch
38 IKS in den Deutschschweizer Kantonen, Masterarbeit Amrein, Fuchs,
Grüter, Senn, Hochschule Luzern – Wirtschaft im Auftrag von Mattig-
Suter und Partner, Schwyz
39 IKS Leitfaden des Bundes aus dem Jahre 2003 der Eidg. Finanzkontrolle
sowie das Musterfinanzhaushaltsgesetz aus dem Jahre
2007 (Art. 39) des Bundes.
55

56
Impressum
Riskmanagement und Internes Kontrollsystem
ist die neunte Ausgabe einer Schriftenreihe des inter -
diszi plinären Beraterverbunds Swissconsultants.ch
1. Auflage, 2011
Autoren: «Riskmanagement und Internes Kontrollsystem»
Hermann Grab, Angela Schläpfer, Florian Odermatt,
Dr. Franz Mattig, Treuhand- und Revisionsgesellschaft
Mattig-Suter und Partner
Konzept, Gestaltung, Produktion
Dr. Hans Balmer AG, Olten
Druck
Binkert Druck AG, Laufenburg
Infoadresse
Swissconsultants.ch
Dr. Markus Meyer, Geschäftsführer
Eisenbahnstrasse 11, Postfach 1661
4901 Langenthal
Telefon 062 916 50 00
Telefax 062 916 50 05
info@swissconsultants.ch
www.swissconsultants.ch

Treuhand- und Revisionsgesellschaft
Mattig-Suter und Partner
Hauptsitz Schwyz
Bahnhofstrasse 28
Postfach 556
CH-6431 Schwyz
Tel +41 (0)41 819 54 00
Fax +41 (0)41 819 54 01
info@mattig.ch
www.mattig.ch
Swissconsultants.ch ist ein interdisziplinäres
Netzwerk Inhaber-geführter
qualifizierter Mitgliederfirmen. Sie
machen Beratung zur Chefsache,
indem sie das direkte Gespräch zum
Kunden als Unternehmer suchen.
Swissconsultants.ch ist das breiteste
Netzwerk für business contacts in
der Schweiz. Die Vielfalt der Dienstleistungen
wie die Erfahrung der
BeraterInnen sind das Fundament,
das Mehrwert schafft.
Swissconsultants.ch
Eisenbahnstrasse 11
Postfach 1661
4901 Langenthal
Telefon 062 916 50 00
Telefax 062 916 50 05
info@swissconsultants.ch
www.swissconsultants.ch