pdf, 3.1 MB - Mattig-Suter und Partner
pdf, 3.1 MB - Mattig-Suter und Partner
pdf, 3.1 MB - Mattig-Suter und Partner
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Riskmanagement <strong>und</strong><br />
Internes Kontrollsystem<br />
Hermann Grab<br />
Angela Schläpfer<br />
Florian Odermatt<br />
Dr. Franz <strong>Mattig</strong><br />
Schriftenreihe 9
Swissconsultants.ch-Schriftenreihe Nr. 9<br />
Riskmanagement <strong>und</strong> Internes<br />
Kontrollsystem<br />
Hermann Grab<br />
Angela Schläpfer<br />
Florian Odermatt<br />
Dr. Franz <strong>Mattig</strong><br />
1. Auflage, 2011<br />
Dieses Buch ist Ausdruck von Praxiserfahrungen<br />
des interdisziplinären Beraterverb<strong>und</strong>s<br />
Swissconsultants.ch <strong>und</strong> der neunte Band einer<br />
regelmässig erscheinenden Schriftenreihe.
2<br />
Inhaltsverzeichnis<br />
5 Kombiniertes System für Riskmanagement <strong>und</strong> Interne<br />
Kontrollen<br />
9 Praxis KMU – Stand heute<br />
18 Riskmanagement <strong>und</strong> IKS bei KMU auf dem Prüfstand:<br />
Sind die Praxisansätze wissenschaftlich tauglich?<br />
28 Verantwortlichkeit <strong>und</strong> Gesetze<br />
32 Ein klarer Weg zum Ziel<br />
41 Best Practices<br />
46 Management-Cockpit<br />
53 Quellenverzeichnis
Riskmanagement = Chancenmanagement<br />
Geschätzte Leserin, geschätzter Leser<br />
Zu Ihren grössten Herausforderungen als Unternehmer/-in<br />
gehört es, Risiken frühzeitig zu erkennen, diese konsequent zu<br />
steuern <strong>und</strong> kontinuierlich zu kontrollieren. So können Sie<br />
Risiken in echte Chancen ummünzen. Das Riskmanagement<br />
steht im Spannungsfeld zwischen der strategischen (Mission,<br />
Vision, Strategie, Ziele) <strong>und</strong> der operativen (Massnahmen, Um-<br />
setzung) Ebene. Das Management von Risiken wirkt wie eine<br />
Endlosschlaufe: Erfahrungen/Resultate aus der operativen Tätigkeit<br />
fliessen in die strategische Arbeit ein, werden dort bearbeitet,<br />
die Ergebnisse wieder in den operativen Prozess eingespiesen usw.<br />
Auf diese Weise tragen Sie zur bestmöglichen Steuerung Ihres<br />
Unternehmens bei: Sie minimieren nicht nur Risiken, sondern<br />
erkennen plötzlich auch neue Chancen <strong>und</strong> wie Sie diese für Ihre<br />
unternehmerische Weiterentwicklung nutzen können.<br />
Für Sie besteht die «Kunst» nun darin, die relevanten Risiken<br />
intelligent <strong>und</strong> systematisch zu managen. Wie Sie dabei vorgehen<br />
können <strong>und</strong> worauf Sie achten sollten, erfahren Sie im vorliegenden<br />
Swissconsultants.ch-Ratgeber. Auch dieses mittlerweile<br />
neunte Handbuch aus unserer Schriftenreihe enthält in kompakter<br />
Form aktuelles Wissen, gepaart mit nützlichen Erfahrungen/<br />
Erkenntnissen aus der täglichen Praxis.<br />
Riskmanagement hilft Ihrem Unternehmen, (noch) bessere<br />
Leistungen zu erbringen, die sich in einem erhöhten Mehrwert<br />
für Ihre K<strong>und</strong>en/-innen ausdrücken, was sich wiederum nachhaltig<br />
positiv auf die Entwicklung Ihrer Firma auswirkt. Ich<br />
wünsche Ihnen eine chancenreiche Lektüre.<br />
Dr. Franz <strong>Mattig</strong><br />
Präsident Swissconsultants.ch<br />
3
4<br />
Autoren<br />
Hermann Grab<br />
dipl. Betriebsökonom FH (HWV), Executive Master in Economic<br />
Crime Investigation, dipl. Wirtschaftsprüfer<br />
Angela Schläpfer<br />
Bachelor of Arts in Betriebswirtschaft HSG<br />
Florian Odermatt<br />
Bachelor of Science in Business Administration<br />
Franz <strong>Mattig</strong><br />
Dr. phil., dipl. Steuerexperte<br />
Wirtschaftsberatung<br />
Lothar Gwerder<br />
dipl. Betriebswirtschafter HF<br />
dipl. Wirtschaftsprüfer<br />
Manuela Schwery<br />
dipl. Betriebsökonomin FH<br />
Riskmanagement-Expertin SWC<br />
Niederlassung Wallis, Brig<br />
Simon Achermann<br />
Bachelor of Science in Business Administration
Kombiniertes System für<br />
Riskmanagement <strong>und</strong><br />
Interne Kontrollen<br />
Seit 1. Januar 2008 fragen<br />
sich kleine <strong>und</strong> mittlere<br />
Unternehmen (KMU),<br />
wie sie die neuen gesetzlichen<br />
Anforderungen<br />
gemäss Obligationenrecht<br />
(OR) erfüllen können. In<br />
vielen Firmen gibt es<br />
bereits ansatzweise<br />
Riskmanagement <strong>und</strong><br />
Interne Kontrollsysteme<br />
(IKS), doch werden diese<br />
oft weder systematisch<br />
angewendet noch<br />
dokumentiert. Eine<br />
zielgerichtete Einführung<br />
<strong>und</strong> einfache IT-Hilfsmittel<br />
sind zentrale Erfolgsfaktoren,<br />
um den<br />
Gesetzesvorschriften zu<br />
entsprechen <strong>und</strong> dem<br />
Unternehmer ein<br />
nützliches Führungsinstrument<br />
in die Hand zu<br />
geben.<br />
Bei der Einführung von Riskmanagement <strong>und</strong> IKS bei grösseren<br />
Unternehmen, welche ordentlich zu prüfen sind, empfiehlt es<br />
sich, die beiden Instrumente zu kombinieren. Daraus entstehen<br />
zwei wesentliche Vorteile: Einerseits fliessen die aus dem Riskmanagement<br />
gewonnenen Erkenntnisse direkt ins IKS ein. Somit<br />
bringen diese dem Unternehmen in der Ausrichtung des IKS<br />
einen operativen Nutzen. Anderseits ist das Instrument Risk-<br />
management im Vergleich zum IKS als Führungsinstrument<br />
breiter akzeptiert, verständlicher <strong>und</strong> einfacher kommunizierbar.<br />
Im Rahmen der Einführung von Riskmanagement in einem<br />
grösseren Unternehmen können die verschiedenen Disziplinen<br />
beziehungsweise Bereichsleiter <strong>und</strong> Hierarchiestufen auf einem<br />
gemeinsamen Nenner diskutieren. Jeder <strong>und</strong> jede kann im<br />
Riskmanagement mitreden. Es ist ein Führungsinstrument, das<br />
alle verstehen, beispielsweise vom Küchenchef über den Pflegedienstleiter<br />
bis zum Finanzchef eines Heimbetriebes. Deshalb ist<br />
es sinnvoll, mit Riskmanagement zu beginnen. So werden gleich<br />
alle ins Projekt integriert, können ihren Beitrag leisten <strong>und</strong> erkennen<br />
schon früh den Nutzen dieses einfachen Führungsinstruments.<br />
COSO als Gr<strong>und</strong>lage<br />
Wirtschaftlich bedeutende Unternehmen 1 müssen sich nebst<br />
dem reinen Riskmanagement zusätzlich Gedanken zu den<br />
Auswirkungen der identifizierten Risiken auf ihre konkreten<br />
Geschäftsprozesse machen. Sie haben ein Internes Kontroll-<br />
system (IKS) zu betreiben, um den Risiken mit entsprechenden<br />
5
6<br />
Kontrollinstrumenten begegnen zu können. Der Gesetzgeber<br />
überlässt es den Unternehmen, ein IKS zu implementieren <strong>und</strong><br />
auszugestalten, welches den Risiken, der Organisation <strong>und</strong> der<br />
Geschäftstätigkeit angepasst ist. Eine hilfreiche Gr<strong>und</strong>lage ist<br />
das international anerkannte <strong>und</strong> in der Praxis weitverbreitete<br />
COSO-Modell2 . (Committee of Sponsoring Organizations of<br />
the Treadway Commission). Der Prüfungsstandard (PS 890) 3 ,<br />
welcher im Dezember 2007 von der Schweizer Treuhandkammer<br />
verabschiedet wurde, orientiert sich an diesem Modell.<br />
Das COSO-Modell definiert ein IKS auf fünf Ebenen: Überwachung,<br />
Information <strong>und</strong> Kommunikation, Kontrollaktivitäten,<br />
Risikobeurteilung sowie Kontrollumfeld. Insbesondere bei<br />
KMU kommt der Überwachung, Risikobeurteilung <strong>und</strong> vor<br />
allem dem Kontrollumfeld grosse Bedeutung zu. Es geht weniger<br />
darum, Prozesse detailliert zu beschreiben, zu dokumentieren<br />
oder mit entsprechenden Kontrollaktivitäten auszuschmücken.<br />
Abbildung 1: COSO-Würfel als Standard für IKS-Implementierungen
IKS-Konzept<br />
3<br />
Kontrollumfeld<br />
Information & Kommunikation<br />
Wesentlichkeit / Scope<br />
IKS-Cockpit<br />
Konzept-Handbuch<br />
Beschreibung<br />
Beschreibung<br />
Definitionen<br />
Risikobeurteilung Self - Audit stark Kontrollaktivitäten<br />
Self - Audit akzeptabel schwach<br />
Abbildung 2: Auszug aus <strong>Mattig</strong> IKS ® : Konzept einer kombinierten Implementierung von Riskmanagement<br />
<strong>und</strong> IKS bei KMU<br />
Viel wichtiger ist die Überwachung durch den Geschäftsführer<br />
oder -inhaber, der die überschaubaren Verhältnisse sowie die<br />
Unternehmenskultur p rotokolliert.<br />
Ein kombiniertes Modell bezieht sowohl das Riskmanagement<br />
als auch das IKS mit ein. Die fünf Ebenen des COSO-<br />
Würfels Kontrollumfeld, Riskmanagement, Kontrollaktivitäten,<br />
Information <strong>und</strong> Kommunikation sowie Überwachung sind in<br />
diesem Ansatz ebenfalls vertreten. Zusätzlich wurde als konzeptioneller<br />
Rahmen das IKS-Konzept hinzugefügt, welches dem<br />
Unternehmer eine Orientierungshilfe in der Umsetzung bietet<br />
sowie Drittlesern die Struktur aufzeigt <strong>und</strong> dadurch die Orientierung<br />
erleichtert.<br />
Ebenso wurde die Wesentlichkeit berücksichtigt. Speziell für<br />
KMU ist es wichtig, das richtige Augenmass zu halten <strong>und</strong> sich<br />
Map<br />
JR-Analyse<br />
RM-Prozessanalyse<br />
Map<br />
XY AG<br />
7<br />
Self - Audit<br />
Self - Audit<br />
Self - Audit<br />
Self - Audit<br />
Prozess-Matrix Schlüsselprozesse<br />
Kontroll-Risiko-Matrix<br />
Kontrollschwächen-Dia<br />
Map Kontrollübersicht<br />
stark<br />
akzeptabel<br />
schwach<br />
schwach<br />
Kontrolle / Überwachung<br />
Self - Audit<br />
Aktionsplan<br />
Bericht drucken<br />
beenden
8<br />
nicht im Detail zu verlieren. In kleineren Unternehmen (einge-<br />
schränkte Prüfungspflicht oder Opting-Out) ist es sinnvoll, eine<br />
standardisierte Risikobeurteilung vorzunehmen <strong>und</strong> diese mit<br />
individuellen Geschäftsrisiken zu ergänzen. In mittleren <strong>und</strong><br />
grossen Unternehmen (ordentliche Prüfungspflicht) empfiehlt<br />
sich ein individuelles <strong>und</strong> kombiniertes Vorgehen bei der Einführung<br />
von Riskmanagement <strong>und</strong> IKS. Indem der Unternehmer<br />
beide Disziplinen auf einfache Art <strong>und</strong> Weise miteinander<br />
verbindet, kann er zwei Fliegen mit einer Klappe schlagen. Nebst<br />
der Erfüllung der gesetzlichen Anforderungen stiftet das Riskmanagement<br />
<strong>und</strong> IKS dem Unternehmer wertvolle Mehrwerte.<br />
Sie unterstützen ihn beim Erreichen seiner strategischen Unternehmensziele,<br />
sorgen für effiziente <strong>und</strong> sichere operative Prozesse<br />
<strong>und</strong> verhindern betriebliche Fehler <strong>und</strong> Unregelmässigkeiten.<br />
Risiken <strong>und</strong> Kontrollen können aus einer Hand einfach gesteuert<br />
werden.<br />
Wie sich das kombinierte Konzept zur Implementierung<br />
eines Riskmanagements sowie eines Internen Kontrollsystems in<br />
der Praxis bewährt, welche Aufgaben <strong>und</strong> Gesetze genau zugr<strong>und</strong>e<br />
liegen <strong>und</strong> wie dies in der Praxis umgesetzt wird, finden<br />
Sie in den kommenden Kapitel. Ebenso möchten wir Ihnen einen<br />
kurzen Ausblick über die zukünftigen Anforderungen <strong>und</strong> die<br />
aktuellsten Entwicklungen im Bereich der Best Practices im<br />
Zusammenhang mit IKS <strong>und</strong> Riskmanagement geben.
Praxis KMU – Stand heute<br />
Kleine <strong>und</strong> mittlere<br />
Unternehmen (KMU)<br />
haben sich vor dem<br />
1. Januar 2008 zu Recht<br />
gefragt, wie sie die neuen<br />
gesetzlichen Anforderungen<br />
erfüllen können. Nicht<br />
selten existierten in vielen<br />
Firmen schon früher<br />
Riskmanagementsysteme,<br />
doch wurden diese oft nur<br />
unregelmässig angewendet,<br />
geschweige denn dokumentiert.<br />
Unternehmerisches<br />
Riskmanagement – sprich<br />
das Suchen nach Chancen<br />
<strong>und</strong> das Abwägen der<br />
entsprechenden Risiken –<br />
fand oft nur im Kopf des<br />
Unternehmers statt <strong>und</strong><br />
wurde darum kaum<br />
konsequent erarbeitet <strong>und</strong><br />
nachvollziehbar belegt.<br />
Ähnlich verhielt es sich mit dem IKS 4 : Erfolgreiche Unter nehmen<br />
haben in ihren Abläufen <strong>und</strong> Prozessen schon längst <strong>und</strong> sehr<br />
wohl Kontrollen festgelegt, doch zielten diese meist nicht auf das<br />
Sicherstellen einer korrekten Jahresrechnung ab; mangels Dokumentation<br />
waren sie für Dritte zudem nicht nachvoll ziehbar.<br />
Wie konnten die KMU nun die neu geforderte Dokumentation<br />
mit einem für sie vernünftigen Aufwand bei gleichzeitig<br />
grösstmöglichem Nutzen erarbeiten? Um diese Frage zu beantworten,<br />
wurden in einer ersten Phase einerseits zahlreiche Lehr<strong>und</strong><br />
Informationsanlässe angeboten. Meistens präsentierten aber<br />
die Veranstalter Umsetzungsbeispiele grösserer, teilweise sogar<br />
börsenkotierter Unternehmen, was bei den Teilnehmenden aus<br />
KMU-Kreisen vielfach Unbehagen <strong>und</strong> Verunsicherung auslöste.<br />
Sie sahen eine immense Welle mit komplexen Inhalten auf sich<br />
zurollen <strong>und</strong> versuchten alles, um diesem Tsunami aus dem Weg<br />
zu gehen. Anderseits hielten sich Revisions- <strong>und</strong> Beratungsunternehmen<br />
mit konkreten Lösungsvorschlägen zurück <strong>und</strong> stellten<br />
den Unternehmern in der Folge nur einfache Standard-Excel-<br />
Checklisten zur Verfügung.<br />
Da sich das Thema im Spannungsfeld zwischen Revision,<br />
Riskmanagement <strong>und</strong> Qualitätssicherung bewegt, unterbreiteten<br />
schliesslich auch Vertreter aus der Riskmanagement- <strong>und</strong> Qualitätsmanagement-Branche<br />
ihre eigenen Lösungsvorschläge.<br />
Fazit: Die unübersichtliche Angebotsvielfalt führte bei vielen<br />
Unternehmern bezüglich thematischer Abgrenzung <strong>und</strong> Nutzen<br />
für die eigene Firma zu Verwirrung.<br />
Nach dem ersten Prüfjahr unter den neuen gesetzlichen<br />
Anforderungen haben sich Skepsis <strong>und</strong> Unsicherheit bei den<br />
KMU gelegt; die Wirkung der beiden Führungsinstrumente<br />
9
10<br />
wurde weitgehend erkannt <strong>und</strong> optimiert. Bei der Methoden-<br />
wahl zeigt sich zwar nach wie vor eine breite Vielfalt, die in den<br />
nächsten Jahren einer zunehmenden Standardisierung weichen<br />
dürfte.<br />
Umsetzung bei KMU<br />
Erfahrungen aus der Praxis<br />
Seit Anfang 2008 sind in typischen KMU-Betrieben etliche<br />
Riskmanagement- <strong>und</strong> Interne Kontrollsysteme verwirklicht<br />
worden. Nicht immer wurden Revisoren <strong>und</strong> Berater mit offenen<br />
Armen empfangen, wozu die Finanzkrise bzw. das Missmanagement<br />
der Grossbanken massgeblich beigesteuert haben. Dies<br />
nicht ganz zu unrecht, standen in Sachen Riskmanagement <strong>und</strong><br />
IKS namentlich die Grossbanken bisher als strahlende Vorbilder<br />
zuoberst auf dem Podest.<br />
Betrachtet man die Erfahrungen der Unternehmen, die zum<br />
einen Riskmanagement <strong>und</strong>/oder IKS umgesetzt haben <strong>und</strong> die<br />
Abbildung 3: Unternehmen mit Interesse an Riskmanagement / IKS
zum anderen an einem sinnvollen Führungsinstrument interes-<br />
siert waren, ergibt sich folgende Normalverteilung (vgl. Abbil-<br />
dung 1): R<strong>und</strong> 20% der Unternehmer sehen im Riskmanage-<br />
ment <strong>und</strong>/oder IKS eine Chance <strong>und</strong> packen die Aufgabe mit<br />
Elan an. Diese Betriebe sind meist gut organisiert <strong>und</strong> bereits mit<br />
nützlichen Führungsinstrumenten ausgestattet. Systematische<br />
Risikoüberlegungen oder Kontrollsysteme gehörten bei ihnen<br />
bereits zur täglichen Unternehmensführung. Ob diese Haltung<br />
auf einer Best-Practice-Philosophie basiert oder ganz einfach aus<br />
unternehmerischer Intuition heraus geboren wird, bleibe dahingestellt.<br />
60% – <strong>und</strong> damit der weitaus grösste Teil der Unternehmer<br />
– betrachten das Ganze als gesetzliche Pflicht, sehen darin aber<br />
auch eine Chance für ihren Betrieb. Oft beginnt man mit der<br />
Absicht, lediglich das gesetzliche Minimum zu erreichen, stellt<br />
im Verlaufe des Projekts einen Mehrwert fest <strong>und</strong> erweitert sein<br />
vorhaben. Egal, ob es sich um einen mittelständischen Fabrikanten<br />
oder ein kleines Gewerbeunternehmen handelt, plötzlich<br />
werden die Dinge aus einem anderen Blickwinkel betrachtet:<br />
– Risiken werden anders wahrgenommen – vielleicht sogar neu<br />
entdeckt.<br />
– Mitarbeitende werden in den Denk- <strong>und</strong> Bearbeitungsprozess<br />
einbezogen.<br />
– Es eröffnen sich unerwartete unternehmerische Chancen.<br />
– Kontrollumfeld <strong>und</strong> Führungsinstrumente werden überdacht.<br />
– Probleme werden nicht nur diskutiert, sondern schriftlich festgehalten.<br />
– Lösungen (Massnahmen) werden aufgezeigt <strong>und</strong> terminiert.<br />
Ein Stiftungsrat hat am Ende eines Riskmanagement-Workshops<br />
folgende Aussage gemacht: «Wissen Sie, bisher haben wir im<br />
Stiftungsrat jeweils Probleme besprochen, gingen wieder auseinander,<br />
kamen wieder zusammen <strong>und</strong> diskutierten dieselben<br />
Probleme wieder. Das Riskmanagement hat diese <strong>und</strong> weitere<br />
Probleme bzw. Risiken dingfest auf den Tisch gebracht <strong>und</strong> es<br />
11
12<br />
wurden entsprechende Massnahmen getroffen, terminiert <strong>und</strong> an<br />
Verantwortliche delegiert. Eine tolle Sache!» Ob man dies nun<br />
Riskmanagement nennen will? In diesem <strong>und</strong> vielen weiteren<br />
Fällen handelt es sich vielfach um ganz simple Fragen der Unternehmensführung.<br />
Probleme angehen <strong>und</strong> Lösungen umsetzen ist<br />
eine Führungsaufgabe! Hierbei leistet ein einfaches Führungsinstrument<br />
– wie es das Riskmanagment sein kann – gute<br />
Dienste. In diesem Sinne sei dem Gesetzgeber für einmal aufrich-<br />
tigen Dank geschuldet!<br />
Die letzten 20% der Unternehmer, die sich aus Prinzip gegen<br />
neue Vorschriften oder gegen alles Unbekannte wehren, sie haben<br />
angeblich keine Zeit für derartige Führungsinstrumente <strong>und</strong><br />
betrachten die Gesetzesanpassungen als reine Schikane. Vielen<br />
gibt der Erfolg vorderhand Recht, <strong>und</strong> sie können sich die<br />
«Verweigerung» leisten5 . Doch die Zeichen in Gesellschaft,<br />
Politik <strong>und</strong> Wirtschaft stehen auf Sturm: schwache Finanz- <strong>und</strong><br />
Wirtschaftslage, Globalisierung, Informationsflut, normative<br />
Anforderungen, schnelle Märkte usw. erfordern stabile Unternehmensstrukturen<br />
<strong>und</strong> eine kompetente Unternehmensführung.<br />
Wer nicht rechtzeitig seine Segel einzieht oder das<br />
Ruder in die richtige Richtung schwenkt, wird in der rauen See<br />
eher heute als morgen untergehen. Es braucht nicht nur fachliche<br />
Kompetenz, um z.B. als Bäcker erfolgreich zu sein, sondern je<br />
länger je mehr auch Führungskompetenz. Geborene Unternehmer<br />
machen sich von Natur aus strategische <strong>und</strong> organisatorische<br />
Gedanken. So gilt es nicht nur «an Bord» frische Brote zu backen,<br />
sondern auch das Risikoumfeld (z.B. raue See), die strategische<br />
Ausrichtung (z.B. Richtungswechsel, Ruderstellung) sowie die<br />
schnelle organisatorische Anpassung <strong>und</strong> Überwachung (z.B.<br />
Segel einziehen <strong>und</strong> prüfen, ob alles festgezurrt ist) unter Kont-<br />
rolle zu halten.<br />
Wissenschaftliche Studien<br />
Wie erste Untersuchungen zeigen, standen viele Unternehmen<br />
der Risikobeurteilung <strong>und</strong> dem IKS vor der Einführung skep-
Abbildung 4: Einstellung der KMU zu Riskmanagement <strong>und</strong> IKS vor <strong>und</strong> nach Einführung<br />
tisch gegenüber. Nach der Einführung waren diese Bedenken<br />
grösstenteils verflogen (vgl. Abbildung 4) 6 . Dieses Ergebnis deckt<br />
sich mit der Wahrnehmung in der Praxis. Viele konnten zu<br />
Beginn mit den Begriffen Risikobeurteilung <strong>und</strong> vor allem IKS<br />
nichts Konkretes anfangen. Im Verlauf der Einführung zeigten<br />
sich jedoch sehr schnell positive Reaktionen. Viele Verwaltungsräte<br />
nahmen den Auftrag des Gesetzgebers ernst, nutzten jedoch<br />
bewusst den vorhandenen Spielraum bei der Auslegung des Umsetzungsumfangs.<br />
Oft wurde mit einer gesetzlich vorgeschriebenen<br />
Minimalvariante gestartet. Bald schon zeigte sich jedoch<br />
grosses Interesse, IKS <strong>und</strong> vor allem Riskmanagement als sinnvolle<br />
Führungsinstrumente auszugestalten.<br />
Gr<strong>und</strong>sätzlich dominieren weder bei der Risikobeurteilung<br />
noch beim IKS spezifische Vorgehenskonzepte. Interessant ist:<br />
Neben den Konzepten der grossen Revisionsgesellschaften<br />
werden vor allem viele Konzepte von kleineren Anbietern oder<br />
Eigenentwicklungen eingesetzt. In der Regel stehen einerseits<br />
getrennte Modelle zur Umsetzung von Risikobeurteilung sowie<br />
IKS <strong>und</strong> anderseits kombinierte Ansätze zur Verfügung. 65% der<br />
befragten KMU setzen ein Kombimodell ein. Gemeinsam ist<br />
13
14<br />
allen Konzepten, dass sie sich auf das COSO-Rahmenkonzept<br />
(<strong>und</strong> damit auf das weltweit am stärksten verankerte Kontrollkonzept)<br />
stützen.<br />
Die Untersuchung zeigt, dass sich das eingeführte IKS bei der<br />
Mehrheit der befragten KMU nicht nur auf die gesetzlich geforderte<br />
Verlässlichkeit der finanziellen Berichterstattung beschränkt.<br />
67% richten ihr IKS sowohl auf finanzielle als auch auf<br />
operative Risiken aus. Darin spiegelt sich das Führungsbedürfnis<br />
mittlerer Unternehmen. Da es sich oft um finanziell unabhängige<br />
Familienbetriebe handelt, steht der Kreis der Jahresrechnungsempfänger<br />
<strong>und</strong> somit die Bedeutung der finanziellen Berichterstattung<br />
nicht im Vordergr<strong>und</strong>. Vielmehr wollen diese Firmen<br />
Eingesetzte Kontrollen<br />
andere<br />
16<br />
Qualitätskontrollen<br />
49<br />
Inventur<br />
67<br />
Warenkontrollen<br />
47<br />
Abstimmkontrollen<br />
68<br />
Belegabgleiche<br />
37<br />
Automatische Fehlerkontrolle<br />
41<br />
Prüfung eingegebener Daten<br />
42<br />
Projektmanagement<br />
30<br />
Zeiterfassung<br />
26<br />
Prüfziffern<br />
12<br />
Kompetenzeinhaltungskontrollen<br />
67<br />
Zugangskontrollen<br />
48<br />
Autorisierungskontrollen<br />
50<br />
Passwortkontrollen<br />
65<br />
Genehmigung mittels<br />
Unterschrift<br />
87<br />
0 10 20 30 40 50 60 70 80 90 100<br />
Abbildung 5: Eingesetzte IKS-Kontrollen bei KMU
die IKS-Einführung nutzen, um finanziell wesentliche Prozess-<br />
risiken mit Hilfe effizienter Kontrollen zu begegnen.<br />
Die Art der implementierten Kontrollen zeigt ein recht ausge-<br />
wogenes Bild. Zu den am häufigsten eingesetzten Methoden<br />
zählen die Genehmigung mittels Unterschrift, Abstimmkontrol-<br />
len, Inventur, Kompetenzeinhaltungs- <strong>und</strong> Passwortkontrollen.<br />
Ebenso verbreitet sind Autorisierungs-, Qualitäts-, Zugangs- <strong>und</strong><br />
Warenkontrollen (vgl. Abbildung 5). Interessanterweise werden<br />
Passwortkontrollen nur in 65% der Fälle genannt. Das könnte<br />
heissen, dass das Vertrauen in die IT ungenügend ist. Viel Wert<br />
wird auf Genehmigungen (z.B. mittels Unterschrift) <strong>und</strong> Kompetenzen<br />
gelegt. Fragen ergeben sich beim Kontrollbewusstsein<br />
<strong>und</strong> dem Dokumentieren der einzelnen Kontrollen vor Ort. 75%<br />
der befragten KMU legen das IKS den Mitarbeitenden ganz oder<br />
teilweise offen. 25% stellen das IKS oder Teile davon den Mitarbeitenden<br />
nicht zur Verfügung.<br />
Blick in die Zukunft<br />
Nutzen der Dokumentation<br />
Die Umsetzung zur Erfüllung der neuen gesetzlichen Vorschriften<br />
ist weitgehend erfolgt. Grössere, bedeutende Unternehmen<br />
(ordentliche Prüfpflicht 7 ) haben – ihren jeweiligen Verhältnissen<br />
angepasst – eine Risikobeurteilung vorgenommen <strong>und</strong> mittels<br />
Checklisten oder IT-Tools ein IKS implementiert. Der erhoffte<br />
unternehmerische Nutzen ist in den meisten Fällen eingetreten,<br />
wenn auch nicht immer im gleichen Mass. Insbesondere eine<br />
seriöse Umsetzung des Riskmanagements hat der Unternehmens-<br />
leitung ein äusserst hilfreiches, strategisches Führungsinstrument<br />
in die Hand gegeben. Hierfür wurden nebst der Unternehmensleitung<br />
(top-down) auch die Bereichsverantwortlichen an der<br />
Front (bottom-up) zur Identifikation <strong>und</strong> Bewertung der Risiken<br />
sowie zur Umsetzung der Massnahmen integriert8 .<br />
Die Dokumentation eines IKS hat je nach verwendetem<br />
Hilfsmittel <strong>und</strong> beanspruchter Beratungsunterstützung zu einem<br />
15
16<br />
Initialaufwand geführt. Das kritische Hinterfragen von IKS-<br />
Risiken <strong>und</strong> -Kontrollen hat manches Aha-Erlebnis provoziert.<br />
Bereits das Darstellen der IKS-Situation führt zu einer transparenteren<br />
Prozess- <strong>und</strong> Kontrollübersicht, was letztlich zu einer<br />
verbesserten Buchführungs- <strong>und</strong> Rechnungslegungsqualität<br />
beiträgt. Der anfänglichen Skepsis oder gar Abneigung der<br />
Unternehmer ist nach erfolgter Einführung die positive Erkennt-<br />
nis eines echten Nutzens gefolgt. Es wurde erkannt, dass Risk-<br />
management <strong>und</strong> IKS einfach umsetzbar <strong>und</strong> nicht so komplex<br />
<strong>und</strong> umfangreich sind, wie man aufgr<strong>und</strong> vorangehender Publikationen,<br />
Präsentationen <strong>und</strong> Informationsveranstaltungen befürchtet<br />
hatte.<br />
Nichtsdestotrotz gibt es noch heute KMU, bei denen die Einführung<br />
aussteht. Des Weiteren haben Revisionsstellen einige<br />
IKS nicht akzeptiert bzw. deren Existenz nicht oder nur mit Einschränkung<br />
bestätigen können. Diese Unternehmen sind daran,<br />
ihr System zu verbessern bzw. nach anderen Lösungsansätzen<br />
<strong>und</strong> Hilfsmitteln zu suchen.<br />
Rudimentäre Risikobeurteilungen9 wurden bei kleineren<br />
Unternehmen (eingeschränkte Prüfpflicht oder Opting-Out10 )<br />
umgesetzt oder in einfachen, überschaubaren Verhältnissen gar<br />
nicht dokumentiert. Diese Möglichkeit wurde den Revisionsstellen<br />
im Februar 2009 durch die KWP (Kommission für Wirtschaftsprüfung)<br />
kurzfristig eröffnet11 , was bei vielen kleineren<br />
Unternehmen <strong>und</strong> Treuhändern – sofern sie davon überhaupt<br />
Kenntnis genommen hatten – für zusätzliche Verwirrung sorgte.<br />
Die Revisionsstelle<br />
Die Revisionsstellen haben ihre Feuertaufe im ersten IKS-Prüfjahr<br />
ebenfalls überstanden. Nach anfänglichen Diskussionen <strong>und</strong><br />
Interpretationsfragen scheint sich die Branche auf einem mehr<br />
oder weniger einheitlichen Nenner gef<strong>und</strong>en zu haben. Eine<br />
gewisse Diskrepanz zwischen kleinen <strong>und</strong> grösseren Prüfgesell-<br />
schaften zeichnet sich zwar ab, doch dürfte hier bereits in den<br />
nächsten Jahren eine Angleichung über Qualitätssicherungs-
systeme, Publikationen <strong>und</strong> Lehrveranstaltungen stattfinden.<br />
Spätestens die ersten Gerichtsurteile werden zur Klärung des<br />
Interpretationsspielraums beitragen. Bleibt zu hoffen, dass sich<br />
die Prüfer ihrer Verantwortung bewusst sind <strong>und</strong> am Schluss<br />
nicht wegen mangelnder Eigenverantwortung für den ursprünglichen<br />
Gesetzesverstoss des Verwaltungsrates gerade stehen<br />
müssen12 .<br />
Die Zukunft als Führungsinstrument<br />
Nun geht es darum, Riskmanagement <strong>und</strong> IKS als periodische<br />
Führungsaufgabe wahrzunehmen. Die im Riskmanagement<br />
definierten Massnahmen müssen umgesetzt <strong>und</strong> die erkannten<br />
Schwachstellen im IKS mit verbesserten <strong>und</strong>/oder zusätzlichen<br />
Kontrollen beseitigt werden. Die in der Praxis eingeführten<br />
Riskmanagement- <strong>und</strong> Internen Kontrollsysteme konnten sich<br />
als sinnvolle Führungsinstrumente etablieren. Namentlich das<br />
Riskmanagement stösst bei den Unternehmensverantwortlichen<br />
auf grosses Interesse <strong>und</strong> hohe Akzeptanz. Sie haben den Nutzen<br />
als strategisches Führungsinstrument erkannt <strong>und</strong> schätzen es in<br />
ihrer täglichen Arbeit. Das Riskmanagement wird parallel zur<br />
Strategiefindung als ein nach innen <strong>und</strong> aussen gerichtetes, systematisches<br />
Frühwarnsystem eingesetzt. Heterogene Unternehmensteile<br />
diskutieren auf einheitlichem Niveau über Probleme<br />
<strong>und</strong> mögliche Gefahren.<br />
17
18<br />
Riskmanagement <strong>und</strong> IKS bei KMU auf dem Prüfstand:<br />
Sind die Praxisansätze<br />
wissenschaftlich<br />
tauglich?<br />
In der Praxis haben sich<br />
seit der Änderung des<br />
Revisions- <strong>und</strong> Rechnungslegungsrechts<br />
innerhalb des<br />
Schweizerischen Obligationenrechts<br />
mehrere<br />
Möglichkeiten <strong>und</strong><br />
Methoden zur Etablierung<br />
eines internen Kontrollsystems<br />
(IKS) <strong>und</strong> zur<br />
Durchführung von<br />
Risikobeurteilungen<br />
durchgesetzt. Um für den<br />
Unternehmer einen hohen<br />
Mehrwert zu generieren,<br />
sollten diese strukturiert<br />
<strong>und</strong> nach wissenschaftlichen<br />
Methoden aufgebaut<br />
sein. Da die Voraussetzungen<br />
zur Einrichtung eines<br />
Riskmanagementsystems<br />
(RMS) bei KMU stark<br />
von denen bei grossen<br />
Unternehmen abweichen,<br />
widmet sich auch die<br />
wissenschaftliche Forschung<br />
vermehrt dem<br />
Riskmanagement in<br />
KMU 13.<br />
Ansatzpunkt aller wissenschaftlichen Theorien des Riskmanage-<br />
ments ist die Existenz einer ausformulierten Unternehmens-<br />
strategie. Dazu gehören eine Leitidee, eine strategische Gr<strong>und</strong>-<br />
ausrichtung mit einem existierenden Kontrollsystem <strong>und</strong> der<br />
Definition einer strategisch orientierten Risikopolitik <strong>und</strong> Risikokultur.<br />
Diese muss von der Geschäftsleitung definiert, vorgelebt<br />
<strong>und</strong> (top-down) an alle Unternehmensstufen weitergegeben<br />
werden, so dass alle Mitarbeitenden bei der Umsetzung des RMS<br />
Verantwortung übernehmen können. Der eigentliche Regelkreis<br />
des RMS besteht aus den folgenden drei Schritten14 :<br />
Abbildung 6: Regelkreis Riskmanagement
Eine f<strong>und</strong>ierte Umsetzung erarbeiteter Theorien bedeutet<br />
jedoch nicht das «Abhaken» von vorgegebenen Punkten, sondern<br />
vielmehr die Einhaltung einer strikten, wissenschaftlichen<br />
Arbeitsweise. Wissenschaftlich bedeutet systematisches <strong>und</strong><br />
geplantes Vorgehen. Von der Analyse des Ist-Zustandes ausge-<br />
hend, wird unter Einhaltung strikter Vorgehensweisen das im<br />
Voraus definierte Ziel verfolgt <strong>und</strong> erreicht. Gezielt <strong>und</strong> effizient<br />
können so einzelne Zwischenschritte miteinander verknüpft <strong>und</strong><br />
willkürliches Vorgehen vermieden werden. Jeder Schritt <strong>und</strong> jede<br />
Handlung kann analysiert, erklärt <strong>und</strong> optimiert werden; ein<br />
Stückwerk kann nicht entstehen <strong>und</strong> der Informationsfluss<br />
innerhalb des RMS wird garantiert. Um ein systematisches Vor-<br />
gehen umzusetzen, muss innerhalb des Regelkreises zwischen<br />
einer zeit lichen <strong>und</strong> einer konzeptionellen Analyse unterschieden<br />
werden.<br />
Die Zwischenschritte <strong>und</strong> Verknüpfungen der einzelnen<br />
konzeptionellen <strong>und</strong> zeitlichen Schritte müssen für die jeweilige<br />
Unternehmensstruktur individuell ausgearbeitet <strong>und</strong> systematisch,<br />
mit wechselseitiger Kontrolle implementiert werden, da<br />
KMU im Allgemeinen sehr heterogene Organisationsstrukturen<br />
aufweisen.<br />
Zeitliche Analyse<br />
Vergangenheit Vergleich von Prognosen der Vergangenheit mit realer Entwicklung<br />
-> Identifikation von Verbesserungspotenzial<br />
Gegenwart Identifikation & Analyse aktueller Risiken<br />
-> Definition von Massnahmen, Kennzahlen & Frühwarnindikatoren<br />
Zukunft Aufstellung von Geschäftsprognosen<br />
-> Entwicklungen für die Zukunft werden abgeschätzt<br />
Konzeptionelle Analyse<br />
Strategie, Leitbild <strong>und</strong> Konzeptionelles F<strong>und</strong>ament für die proaktive Umsetzung des RMS<br />
Risikokultur<br />
Inventar Objektive Gr<strong>und</strong>lage für das Steuern <strong>und</strong> die Kontrolle von Risiken<br />
Cockpit Strategisches Zentrum des RMS<br />
Abbildung 7: Zeitliche Analyse vs. konzeptionelle Analyse<br />
19
20<br />
Wo liegen die Spezialitäten oder Schwachstellen<br />
der KMU-Ansätze?<br />
KMU sind hinsichtlich ihrer personellen <strong>und</strong> finanziellen Auslastung<br />
oftmals nicht in der Lage, eigenständige, individuelle<br />
IKS <strong>und</strong> RMS zu entwickeln <strong>und</strong> in der alltäglichen Anwendung<br />
zu etablieren. Deshalb wenden sie sich häufig an externe Risiko-<br />
Experten, die auf bereits entwickelte Konzepte <strong>und</strong> Software-<br />
Tools zurückgreifen können. Um die wissenschaftlichen Vorgaben<br />
zu erfüllen, ist es notwendig, dass diese Konzepte einen<br />
methodischen <strong>und</strong> zielgerichteten Aufbau haben. Die Einzelschritte<br />
müssen systematisch miteinander verknüpft sein, um den<br />
Informationsfluss innerhalb des RMS zu gewährleisten. Aus<br />
praktischer Sicht ist zu beachten, dass die Konzepte auf die notwendigen<br />
Komponenten <strong>und</strong> Eigenschaften beschränkt bleiben.<br />
Für kleine KMU bieten sich deshalb standardisierte Checklisten<br />
<strong>und</strong> Software-Lösungen für verschiedene Branchen an. Diese<br />
sollten jedoch so konzipiert sein, dass individuelle Wünsche <strong>und</strong><br />
Erfordernisse einfach zu implementieren sind. Ebenfalls müssen<br />
die Risiken für Kleinunternehmen ohne grossen Aufwand detailliert<br />
beurteilt werden können. Die Möglichkeiten zur Individualisierung<br />
<strong>und</strong> Erfassung von komplexeren <strong>und</strong> numerischen<br />
Sachverhalten wird hingegen wichtiger bei Tools, die in grösseren<br />
KMU zum Einsatz kommen. Hier ist vor allem wichtig, dass die<br />
Möglichkeit besteht, das Tool für ein RMS mit bereits bestehenden<br />
Strategien des IKS, des Controlling oder der unternehmerischen<br />
Planung zu verbinden, um Synergieeffekte auszunützen15 .<br />
Analyse bei Kleinunternehmen<br />
Ein RMS für Kleinunternehmen ist strukturell so zu gestalten,<br />
dass es von einer Person mit geringem Zeitaufwand (an einem<br />
Vormittag) durchgeführt werden kann16 . Der systematische,<br />
wissenschaftlich f<strong>und</strong>ierte Aufbau eines RMS für Kleinunter-<br />
nehmen ist in Abbildung 8 dargestellt. Die relativ einfache,<br />
methodisch genau strukturiert gehaltene Ausgestaltung des RMS
Abbildung 8: Systematischer Aufbau eines RMS bei Kleinunternehmen<br />
für kleine KMU erlaubt, für verschiedene Branchen spezielle<br />
Standardversionen von Software-Tools anzubieten, die sich zum<br />
Beispiel in der Art <strong>und</strong> Anzahl der Risikobereiche, der verschiedenen<br />
Checklisten <strong>und</strong> der Massnahmenlisten unterscheiden.<br />
Zur Sicherstellung der Existenz einer unternehmerischen Strategie<br />
<strong>und</strong> zur Schärfung des Risikobewusstseins wird zu Beginn<br />
der Risikobeurteilung die Situation des Unternehmens analysiert,<br />
eine Unternehmensstrategie <strong>und</strong> Risikopolitik definiert.<br />
Die Identifikation der Risiken erfolgt in einem nächsten<br />
Schritt (top-down) mit Hilfe von Checklisten. Anschliessend<br />
werden diese qualitativ bewertet <strong>und</strong> mit Hilfe von Software-<br />
Tools graphisch dargestellt (Risk-Map). So erhält man schnell<br />
21
22<br />
eine übersichtliche Darstellung der Risikoexpositionen des<br />
Unternehmens. Von der quantitativen Bewertung von Risiken<br />
wird meist abgesehen. Die meisten Risiken, die Kleinunternehmen<br />
tragen, sind für eine Quantifikation nicht geeignet. Des<br />
Weiteren ziehen die jeweiligen KMU keinen realen Nutzen aus<br />
einer komplexen quantitativen Risikobewertung. Um die Risikoexpositionen<br />
zu reduzieren, werden mit Hilfe von Checklisten<br />
gezielt Massnahmen ergriffen, um die Eintretenswahrscheinlichkeit<br />
<strong>und</strong>/oder das Schadensausmass der bedeutendsten Risiken<br />
zu verringern. Abschliessend werden alle relevanten Informationen<br />
in einem überschaubaren Risikobericht gebündelt.<br />
In der Praxis ist zu beobachten, dass die formalen, von der<br />
wissenschaftlichen Literatur <strong>und</strong> dem Gesetzgeber vorgegebenen<br />
Kernelemente eines RMS mit geringem Aufwand schnell <strong>und</strong> effizient<br />
umgesetzt werden können. Jedoch ist darauf zu achten,<br />
dass ein formal umgesetztes RMS nicht zu einer leblosen Hülle<br />
verkommt, da die Verbindungen der einzelnen Elemente des<br />
RMS nicht systematisch <strong>und</strong> in ausreichendem Masse implementiert<br />
werden. Gerade wenn «nur» auf Checklisten zurückgegriffen<br />
wird, <strong>und</strong> auf intensive interne Diskussionen <strong>und</strong> den Einsatz<br />
von Software-Unterstützung verzichtet wird, ist zu beobachten,<br />
dass oftmals diese operativen Verknüpfungen der einzelnen Elemente<br />
des RMS fehlen <strong>und</strong> somit eine methodische, wissenschaftlich<br />
f<strong>und</strong>ierte Umsetzung eines RMS unmöglich wird. Es<br />
wird z.B. anfangs eine SWOT-Analyse17 durchgeführt, jedoch<br />
wird versäumt, diese durch die Definition von Soll-Kennzahlen,<br />
Leitplanken/Grenzen der Risiken <strong>und</strong> des Risikoappetits des Unternehmens<br />
mit den identifizierten Risiken zu verbinden. Es ist<br />
jedoch anzunehmen, dass die existierenden Software-Tools nach<br />
der Anwendung über mehrere Perioden im Hinblick auf derartige<br />
Möglichkeiten modifiziert werden. Denn gerade durch die Verknüpfung<br />
der einzelnen Schritte des RMS <strong>und</strong> deren systematischen<br />
<strong>und</strong> methodischen Umsetzung kann aus der Theorie<br />
wissenschaftlicher Modelle unternehmerischer Nutzen gezogen<br />
werden.
Abbildung 9: Systematischer Aufbau eines RMS bei Mittel- <strong>und</strong> Grossunternehmen<br />
Analyse bei Mittel- <strong>und</strong> Grossunternehmen<br />
Mittlere <strong>und</strong> grosse Unternehmen können bei der Umsetzung<br />
eines RMS auf erweiterte Ressourcen zurückgreifen. Die meisten<br />
Unternehmen sind in mehreren Hierarchieebenen organisiert,<br />
die Organisationsabläufe sind komplexer <strong>und</strong> es existieren bereits<br />
Strukturen des Controlling <strong>und</strong> der internen Kontrolle (IKS) 18 .<br />
Ziel eines RMS muss es deshalb sein, aus den bereits existierenden<br />
Strukturen Synergieeffekte zu nutzen. Abbildung 8 zeigt<br />
den schematischen Aufbau eines wissenschaftlich f<strong>und</strong>ierten<br />
RMS für Mittel- <strong>und</strong> Grossunternehmen. Allein mit der Hilfe<br />
von Checklisten sind die Anforderungen an ein RMS kaum zu<br />
23
24<br />
er füllen. Um die Risikopolitik im gesamten Unternehmen zu<br />
verbreiten <strong>und</strong> die formal definierte Risikokultur mit Leben zu<br />
füllen, werden top-down <strong>und</strong> bottom-up Ansätze miteinander<br />
kombiniert. D.h. es wird auf Ebene der Unternehmensleitung<br />
eine Risikopolitik definiert. Danach werden die Verbindungspunkte<br />
zwischen RMS <strong>und</strong> IKS ausgelotet <strong>und</strong> die Verantwortlichkeiten<br />
bzgl. des RMS innerhalb des Unternehmens festgelegt.<br />
Den Mitarbeitenden der unteren Ebenen unterliegt die Aufgabe,<br />
die vorgegebene Risikokultur zu leben, Risiken zu identifizieren,<br />
zu protokollieren, Mass nahmen zu ergreifen <strong>und</strong> die höheren<br />
Hierarchieebenen über die ihnen unterstehenden Sektoren bzgl.<br />
ihrer Risikoexposition zu informieren. Die Identifikation von<br />
Risiken kann z.B. in Gruppen auf Workshops vorgenommen<br />
werden.<br />
Im Gegensatz zu kleinen Unternehmen sind bei mittleren bis<br />
grossen Unternehmen standardisierte Checklisten nur begrenzt<br />
sinnvoll, da die individuelle Ausrichtung, Marktstruktur <strong>und</strong><br />
Organisation von Unternehmen der gleichen Branche bereits sehr<br />
verschieden sein können <strong>und</strong> individuelle Lösungen (Definition<br />
von Risikobereichen, Festlegung von Organisationsabläufen,<br />
Kennzahlensysteme, Verantwortlichkeiten) gefragt sind. Risiken<br />
werden oft in diesen individuellen RMS auch quantitativ bewertet,<br />
wobei sich einfache, auf empirischer Erfahrung basierende<br />
Verfahren bewährt haben19 . Auf weiterreichende, komplexere<br />
quantitative Methoden kann hingegen meistens verzichtet<br />
werden, da sich in der praktischen Anwendung bei den KMU<br />
herausstellte, dass diese kaum zur Anwendung kommen, <strong>und</strong> die<br />
Übersichtlichkeit <strong>und</strong> die Bedienbarkeit unter einer grösseren<br />
Anzahl von quantitativen Verfahren leiden würde. In der Praxis<br />
werden auch bei mittleren <strong>und</strong> grossen Unternehmen soweit die<br />
Kernelemente eines wissenschaftlich f<strong>und</strong>ierten RMS umgesetzt.<br />
Generell besteht Bedarf in der systematischen Vorgehensweise<br />
<strong>und</strong> Verknüpfung einzelner Elemente, die gerade aufgr<strong>und</strong> der<br />
komplexen Struktur grosser Unternehmen an Bedeutung gewinnen.<br />
Schon bei der Entwicklung einer unternehmensweiten Risi-
kostrategie kann, im Rahmen einer Verknüpfung von strategi-<br />
schen Zielen, operationellen Risiken <strong>und</strong> Schlüsselkontrollen<br />
innerhalb einer BSC-Analyse20 , eine kritische Risikotragfähigkeit<br />
(z.B. als Prozentsatz des EBIT oder der Liquidität) festgesetzt<br />
werden, die dann mit einem aggregierten Erwartungswert aller<br />
Risiken verglichen werden kann.<br />
Ebenfalls können für einzelne Risiken Ziel- <strong>und</strong> Grenzwerte<br />
bestimmt werden. Anhand der getroffenen Massnahmen zur<br />
Risikoreduktion wird verfolgt, ob die im Cockpit definierten<br />
Kennzahlen (RAPM 21 ) eingehalten werden. Durch diese Verknüpfung<br />
können Korrelationen <strong>und</strong> Wechselwirkungen einzelner<br />
Risiken untereinander untersucht werden. Des Weiteren sind<br />
Schadensfälle in Datenbanken zu dokumentieren sowie Frühwarnindikatoren<br />
zuzuordnen. Diese Datenbanken können durch<br />
statistische Einträge, die den ganzen Wirtschaftsbereich betreffen,<br />
erweitert werden. Mit Hilfe dieser Dokumentationen können<br />
Szenario-Analysen durchgeführt werden, um die einzelnen Risiken<br />
<strong>und</strong> ihre Korrelationen zu simulieren. Durch diese Stresstests<br />
wird die Risikotragfähigkeit des Unternehmens geprüft.<br />
Der Risikobericht, der dem Verwaltungsrat <strong>und</strong> der<br />
Geschäftsleitung vorgelegt wird, kann so detaillierter gestaltet<br />
werden <strong>und</strong> eine anschauliche Darstellung der Risikoentwicklung<br />
des Unternehmens enthalten. Der Risikobericht selbst ist<br />
dann wiederum Bestandteil der nächsten strategischen Ausrichtung<br />
(BSC-Analyse). Somit bleibt der Informationsfluss der Risikobeurteilung<br />
erhalten <strong>und</strong> der Kreislauf geschlossen. Analog zu<br />
den RMS für kleine Unternehmen wird erwartet, dass die konzeptionelle<br />
Planung des RMS, die Verbindungen von strategischer<br />
Unternehmensführung <strong>und</strong> die quantitative Koppelung<br />
von Risiken an Frühwarnindikatoren <strong>und</strong> Kennzahlen durch<br />
geeignete Datenbanken, im Laufe von periodisch durchgeführten<br />
Risikobeurteilungen bei immer mehr Software-Tools implementiert<br />
<strong>und</strong> somit die wissenschaftliche Tauglichkeit erhöht<br />
wird.<br />
25
26<br />
Was fordert die Zukunft von den KMU?<br />
Die in der Praxis umgesetzten RMS für KMU resultieren überwiegend<br />
aus dem Versuch, die seit dem 1. Januar 2008 geltenden<br />
gesetzlichen Vorschriften unter Berücksichtigung wissenschaftlicher<br />
Theorien umzusetzen. Ergänzt werden diese Vorschriften<br />
durch Vorgaben der Best Practices <strong>und</strong> Corporate Governance<br />
der Industrieverbände22 , die jeweils Angaben zur Risikobeurteilung<br />
<strong>und</strong> IKS enthalten. Die Umsetzung eines RMS orientiert<br />
sich an drei Ebenen:<br />
– Gesetzliche Vorgaben<br />
– Best Practices <strong>und</strong> Coporate Governance<br />
– Wissenschaftliche Theorie<br />
Auf den ersten beiden Ebenen werden Vorgaben definiert, die<br />
dazu dienen, möglichen materiellen Schaden von Unternehmen,<br />
deren Mitarbeitenden <strong>und</strong> Eigentümern fernzuhalten. Durch die<br />
dritte Ebene, die konsequente Umsetzung wissenschaftlicher,<br />
theoretischer Ansätze kann die Abwehr von Schäden effizient mit<br />
der Wahrnehmung von Chancen zur Steigerung des Unternehmenswertes<br />
kombiniert werden <strong>und</strong> so unternehmerischer<br />
Nutzen aus einem RMS gezogen werden23 . Denn jede unternehmerische<br />
Entscheidung, die der Wertschöpfung <strong>und</strong> Entwicklung<br />
eines Unternehmens dient, ist mit dem Eingang von Risiken<br />
verb<strong>und</strong>en <strong>und</strong> jeder Chance kann ein potentielles Risiko gegenübergestellt<br />
werden. In der Analyse der eingesetzten RMS fällt<br />
auf, dass bis dato die Umsetzung der wissenschaftlichen Theorien<br />
häufig auf den Rahmen des RMS beschränkt bleibt, jedoch die<br />
Ausgestaltung dieses Rahmens nur teilweise methodisch <strong>und</strong><br />
wissenschaftlich konsequent vorgenommen wird. Auch haben<br />
nur wenige Lösungen explizit die Identifikation <strong>und</strong> Beurteilungen<br />
von Chancen implementiert. So wird das Poten zial eines<br />
RMS als unternehmerisches Führungsinstrument nur beschränkt<br />
wahrgenommen. Mit Hinblick auf die unternehmerischen Perspektiven<br />
ist davon auszugehen, dass sich mittelfristig, nach der<br />
periodischen Durchführung von Risikobeurteilungen über
mehrere Jahre, diejenigen RMS durchsetzen werden, die sich als<br />
unternehmerisches Führungsinstrument bewähren, indem potentielle<br />
Synergieeffekte verschiedener strategischer Führungskonzepte<br />
genutzt werden. Zu denken ist hierbei an integrative<br />
Software-Tools für IKS <strong>und</strong> RMS in Verbindung mit einer wertorientierten<br />
Unternehmensführung <strong>und</strong> Ausrichtung. Als Ziel<br />
einer solchen Integration von unterschiedlichen Konzepten steht<br />
ein Führungs-Cockpit, von dem aus auf alle das Unternehmen<br />
betreffenden Informationen zugegriffen werden kann. Mit Hilfe<br />
des Führungs-Cockpits bekommen der Verwaltungsrat <strong>und</strong> die<br />
Geschäftsleitung einen schnellen Überblick, vom unternehmerischen<br />
Leitbild bis hin zur Verfolgung einzelner risikoadjustierter<br />
Kennzahlen. Auf diese Weise wird die Einhaltung gesetzlicher<br />
Vorschriften optimal mit einer zukunft- <strong>und</strong> risikoorientierten<br />
Unternehmenspolitik verknüpft.<br />
27
28<br />
«Verantwortlich ist man<br />
nicht nur, für das, was<br />
man tut, sondern auch für<br />
das, was man nicht tut.»<br />
(Zitat Lao-Tse)<br />
Für die einen stellt das<br />
interne Kontrollsystem eine<br />
Pflicht, für andere eine<br />
Chance dar. Dabei sollten<br />
interne Kontrollen nicht<br />
nur als Selbstzweck<br />
dienen, sondern die<br />
Unternehmensführung<br />
<strong>und</strong> -ziele unterstützen.<br />
Dementsprechend muss<br />
auch die Frage nach der<br />
Verantwortung der<br />
Kontrollen beantwortet<br />
werden. Der Verwaltungsrat<br />
trägt nach dem<br />
schweizerischen Gesetz die<br />
Verantwortung für die<br />
Implementierung <strong>und</strong><br />
Aufrechterhaltung des IKS<br />
<strong>und</strong> in diesem Sinne auch<br />
für die Ausgestaltung<br />
dessen Komponenten.<br />
Verantwortlichkeit<br />
<strong>und</strong> Gesetze<br />
Eine zielbewusste Implementierung <strong>und</strong> einfache IT-Tools sind<br />
die zentralen Elemente, um die Gesetzesvorgaben zu erfüllen 24 .<br />
In diesem Zusammenhang stellt sich die Frage nach den genauen<br />
Aufgaben <strong>und</strong> Verantwortungen des Ver waltungsrates, der<br />
Geschäftsleitung, der Revisionsstelle <strong>und</strong> der Generalversamm-<br />
lung. Im Rahmen dieses Kapitels sollen diese Fragen beantwortet<br />
werden.<br />
Verantwortung beim Verwaltungsrat<br />
Nach Art. 728a Abs. 1 Ziff. 3 OR müssen sich wirtschaftlich<br />
bedeutende 25 Unternehmen, die der ordentlichen Prüfpflicht<br />
unterstehen, neben dem Risikomanagement zusätzlich Gedan-<br />
ken zu den Auswirkungen der identifizierten Risiken auf ihre<br />
konkreten Geschäftsprozesse machen. Somit haben sie nebst dem<br />
RM ein IKS zu implementieren <strong>und</strong> zu betreiben. Es geht weniger<br />
darum, die Prozesse detailliert zu beschreiben, sondern viel<br />
wichtiger ist deren Überwachung. Das Riskmanagement muss<br />
mindestens einmal jährlich aktualisiert werden. Die Verantwortung<br />
dafür trägt der Verwaltungsrat, der entsprechend Nachweise<br />
für die Nachvollziehung zu liefern hat. Dies kann z.B. über das<br />
Verwaltungsratsprotokoll geschehen.<br />
Umsetzung durch die Geschäftsleitung<br />
Das Gesetz, namentlich Art. 728a Abs. 1 Ziff. 3 OR, verlangt<br />
nach einem Kontrollsystem, welches die Richtigkeit der Finanzberichterstattung<br />
sicherstellt, so dass die Jahresrechnung keine<br />
wesentlichen Fehler enthält. In der Praxis empfiehlt es sich das<br />
Riskmanagement mit dem IKS zu verbinden. Somit werden mit-
tels des Riskmanagements die relevanten Schlüsselprozesse iden-<br />
tifiziert <strong>und</strong> anschliessend massgebende Kontrollen definiert. So<br />
ist für jeden Drittleser26 ersichtlich, bei welchem Prozess die<br />
grössten Risken existieren <strong>und</strong> ob eventuelle Kontrollschwächen<br />
bestehen.<br />
Für die Geschäftsleitung heisst dies nun konkret, dass sie die vom<br />
Verwaltungsrat festgelegte Strategie <strong>und</strong> Gr<strong>und</strong>sätze umsetzen<br />
muss. Das heisst:<br />
Entwicklung von Prozessen zur Identifikation, Bewertung <strong>und</strong><br />
Kontrolle der eingegangen Risiken, Bestimmung von Schlüsselprozessen<br />
/ -risiken <strong>und</strong> deren Überwachung, Sicherstellung der<br />
Dokumentation <strong>und</strong> Überprüfbarkeit des IKS.<br />
Prüfung durch die Revisionsstelle<br />
Die Aufgabe der Revisionsstelle besteht darin, die gesamte IKS-<br />
Dokumentation einzusehen <strong>und</strong> zu begutachten, ob diese dem<br />
Unternehmen angepasst ist <strong>und</strong> den gesetzlichen Anforderungen<br />
genügt. Ist dies der Fall, kann die Existenz des IKS durch die<br />
Revisionsstelle bestätigt werden (Art. 728a Abs. 1 Ziff. 3 OR<br />
i.V.m. PS 890). Der Prüfungsstandard (PS) 890 der Treuhandkammer<br />
verlangt gr<strong>und</strong>sätzlich, dass das IKS<br />
– dokumentiert <strong>und</strong> überprüfbar ist,<br />
– dem Umfang der Geschäftstätigkeit <strong>und</strong> den Geschäftsrisiken<br />
angepasst ist,<br />
– den Mitarbeitenden bekannt ist,<br />
– das IKS angewendet <strong>und</strong> umgesetzt wird <strong>und</strong><br />
– das Kontrollbewusstsein im Unternehmen vorhanden ist.<br />
Die Revisionsstelle stellt in ihrem Prüftestat an die Generalversammlung<br />
nach Art. 729 OR i.V.m. PS 890 fest, ob ein IKS<br />
existiert, mit Einschränkung existiert oder die Existenz zu verneinen<br />
ist.<br />
29
30<br />
Abnahme durch die Generalversammlung<br />
Analog der Risikobeurteilung hat die Generalversammlung zum<br />
Revisionstestat betreffend der Existenz des IKS das letzte Wort.<br />
Hat der Verwaltungsrat – trotz gesetzlicher Pflicht nach Art.<br />
727b OR – es unterlassen ein IKS zu implementieren <strong>und</strong> zu<br />
dokumentieren, wird dies vorerst im Revisionstestat durch die<br />
Revisionsstelle mit einer Verneinung der IKS-Existenz festgehalten.<br />
Die Aufgabe der Generalversammlung ist es wiederum, die<br />
Jahresrechnung zu genehmigen <strong>und</strong> den Verwaltungsrat zu<br />
entlasten (Art. 698, Abs.1, Ziff. 5 OR). Ein fehlendes IKS erhöht<br />
das Risiko, dass die Jahresrechnung Fehler enthält. Ebenso kann<br />
der Verwaltungsrat hierdurch seine Pflichten nach Art. 716a OR<br />
betreffend der Ausgestaltung des Rechnungswesens <strong>und</strong> der Festlegung<br />
der Organisation verletzt haben. Somit wäre sogar denkbar,<br />
dass die Generalversammlung die Abnahme der Jahresrechnung<br />
<strong>und</strong> zugleich die Entlastung des Verwaltungsrates<br />
verweigern kann.<br />
Fazit – Pflichten-/Aufgaben-Matrix<br />
Über Sinn <strong>und</strong> Unsinn der Gesetzesanforderungen nach Art.<br />
663b <strong>und</strong> Art. 728b OR zu philosophieren, ist nutzlos – die Fakten<br />
bzw. Gesetze sind da. Vielmehr geht es darum, sich a) für sein<br />
eigenes Unternehmen die richtigen Fragen zu stellen, b) klar zu<br />
werden, was dies für den Betrieb heisst <strong>und</strong> c) schliesslich angemessen<br />
zu handeln. Nichts tun ist – wie so oft im Leben – auch<br />
hier keine Alternative. Clevere Unternehmer verbinden das Notwendige<br />
mit dem Nützlichen, in dem sie einerseits die Spielregeln<br />
einhalten <strong>und</strong> anderseits ein pragmatisch anwendbares <strong>und</strong> erst<br />
noch nützliches (Führungs-) Instrument finden.
AG (ordentliche Prüfpflicht)<br />
Wer Gesetzliche Pflichten Umsetzung<br />
Verwaltungsrat Implementierung <strong>und</strong> Nachweis eines<br />
IKS nach Art. 728a OR<br />
Wahrnehmung der Geschäftsführungspflicht<br />
nach Art. 716a OR<br />
Geschäftsleitung Umsetzung des IKS nach Art. 728b OR<br />
<strong>und</strong> Vorgaben des VR<br />
Wahrnehmung der Geschäftsführungspflicht<br />
nach Art. 716b OR<br />
Revisionsstelle Explizite Prüfung der Existenz eines<br />
IKS nach Art. 728b OR <strong>und</strong> dem<br />
Prüfungsstandard (PS) 890 der Treuhandkammer.<br />
Generalversammlung<br />
Abbildung 10: Pflichten- / Aufgaben-Matrix<br />
Abnahme der vom Verwaltungsrat<br />
präsentierten Jahresrechnung nach<br />
Art. 698 Abs.1 Ziff. 3 OR (inkl. Anhang<br />
<strong>und</strong> somit Risikobeurteilung nach Art.<br />
663b OR) <strong>und</strong> des Revisionstestats<br />
inkl. Bestätigung der Existenz eines<br />
IKS nach Art. 728b OR<br />
31<br />
Identifizierung, Bewertung <strong>und</strong><br />
Priorisierung von Risiken. Treffen von<br />
Massnahmen sowie Implementierung<br />
<strong>und</strong> Nachweis eines IKS.<br />
Definition der Ausgestaltung des<br />
Riskmanagements <strong>und</strong> des IKS.<br />
Periodisches Festhalten der Besprechung<br />
des Riskmanagements <strong>und</strong> des<br />
IKS im VR-Protokoll.<br />
Umsetzung des vom VR definierten<br />
Riskmanagements <strong>und</strong> IKS mittels<br />
eigener Instrumente oder externen<br />
Beratungs- <strong>und</strong> IT-Hilfsmitteln.<br />
Kontinuierliches betreiben der<br />
beiden Führungsinstrumente<br />
Periodische Berichterstattung an<br />
den VR.<br />
Falls kein adäquates IKS vorliegt,<br />
erfolgt eine Verneinung oder eine<br />
Einschränkung der Existenz des IKS<br />
nach Art. 728b OR (gemäss PS 890).<br />
Falls vom VR kein adäquates<br />
IKS implementiert <strong>und</strong> von der<br />
Revi sionsstelle mit einer Verneinung<br />
oder Einschränkung nach PS 890<br />
vermerkt wurde, hat die GV ebenfalls<br />
die Möglichkeit die Jahresrechnung<br />
zurückzuweisen.<br />
Zusätzlich besteht die Möglichkeit<br />
dem Verwaltungsrat die Entlastung<br />
nach Art. 698 Abs.1 Ziff. 5 OR nicht<br />
zuzusprechen bzw. eventuell all fällige<br />
GV-Beschlüsse anzufechten.
32<br />
Umsetzung der Gesetzesanforderungen anhand eines<br />
kombinierten Ansatzes durch die Geschäftsleitung:<br />
Ein klarer Weg zum Ziel<br />
Wie im vorhergehenden<br />
Artikel beschrieben, liegt<br />
die Verantwortung<br />
bezüglich Risikobeurteilung<br />
<strong>und</strong> Internem<br />
Kontrollsystem beim<br />
Verwaltungsrat. Im<br />
Normalfall wird jedoch die<br />
Geschäftsleitung mit der<br />
entsprechenden Umsetzung<br />
betraut. Dazu gibt es<br />
zahlreiche Instrumente,<br />
die zur Unterstützung bei<br />
der Implementierung<br />
gedacht sind. Nachfolgend<br />
werden drei praxiserprobte<br />
Instrumente vorgestellt.<br />
Risikobeurteilung (Art. 663b Abs. 1 Ziff. 12 OR)<br />
Die Anforderungen an die Risikobeurteilung lassen sich in zwei<br />
Kategorien aufteilen:<br />
– kleinere Unternehmen, die eingeschränkt oder gar nicht zu<br />
prüfen sind, <strong>und</strong><br />
– grössere Unternehmen, die einer ordentlichen Revisionspflicht<br />
unterliegen <strong>und</strong> somit zusätzlich ein IKS betreiben müssen.<br />
Riskmanagement für Kleinunternehmen<br />
Ein praxiserprobtes Vorgehen für Kleinunternehmen ist der<br />
Erwerb eines standardisierten Riskmanagement-Tools. Die<br />
Implementierung kann folgendermassen aussehen. Der Unter-<br />
nehmer erhält von seinem Treuhänder eine Einführung ins<br />
Riskmanagement <strong>und</strong> in ein internetbasiertes Excel-Tool (vgl.<br />
Abbildung 11). Mit Hilfe dieses einfachen Instruments kann er<br />
sein Riskmanagement wirkungsvoll betreiben. Das Herzstück<br />
der IT-Unterstützung ist eine Checkliste mit r<strong>und</strong> 100 branchenspezifischen<br />
Standardrisiken. Der Unternehmer bewertet diese,<br />
ergänzt sie mit den individuellen Risiken seines Betriebes <strong>und</strong><br />
versieht sie mit entsprechenden Massnahmen sowie Umsetzungsterminen.<br />
Nebst mehreren Auswertungsübersichten kann er<br />
einen Risikobericht ausdrucken, der ihm als zentrales Führungs-<br />
instrument dient <strong>und</strong> die gesetzlichen Anforderungen vollum-<br />
fänglich erfüllt. Das internetbasierte Excel-Tool wird in der Folge<br />
mit geringem Aufwand mindestens einmal jährlich überarbeitet<br />
<strong>und</strong> angepasst. Zu guter Letzt werden die Erkenntnisse im<br />
Verwaltungsrat diskutiert <strong>und</strong> gesetzeskonform protokolliert.
Cockpit<br />
SWOT-Analyse<br />
Risiko-Inventar<br />
Risk-Map<br />
Risikosteuerung / Massnahmen<br />
Frühwarnindikatoren<br />
© RisKu-Entwicklung durch<br />
A-Risiken<br />
B-Risiken<br />
C-Risiken<br />
Schadensausmass<br />
5<br />
4<br />
3<br />
2<br />
1<br />
1.11<br />
2.06<br />
2.02<br />
1.10<br />
Für die gesamte Risikobeurteilung (Identifikation, Bewertung, Steuerung <strong>und</strong><br />
Überwachung) ist das oberste Geschäftsleitungsorgan verantwortlich.<br />
Abbildung 11: Auszug aus einem einfachen, internetbasierten Riskmanagement-Tool<br />
(<strong>Mattig</strong> RisKu ® Für die gesamte Risikobeurteilung (Identifikation, Bewertung <strong>und</strong> Steuerung <strong>und</strong> Überwachung) ist das oberste Geschäftsleitungsorgan verantwortlich.<br />
, vgl. www.risku.ch)<br />
Riskmanagement für mittlere <strong>und</strong> grosse<br />
Unternehmen<br />
2.07<br />
Riskmanagement-Tool v2.12<br />
1.13<br />
7.03<br />
6.08<br />
Risk-Map<br />
2.041.12<br />
1.09<br />
1.05<br />
Diagramme<br />
Bericht<br />
Beenden / Tool verlassen<br />
Verfügt das Unternehmen über eine bestimmte Grösse oder<br />
Komplexität – bzw. ist es ordentlich zu prüfen – genügt ein<br />
standardisiertes Riskmanagement-Tool nicht mehr. Die Unternehmung<br />
muss sich tiefer <strong>und</strong> individuell mit seinen spezifischen<br />
Risiken auseinandersetzen. Ein umfassendes IT-Tool erlaubt den<br />
Aufbau eines massgeschneiderten Riskmanagementsystems.<br />
Umfang <strong>und</strong> Ausprägung lassen sich den Bedürfnissen des<br />
Betriebs a npassen.<br />
1.23<br />
2.05<br />
1.19<br />
1.15<br />
1.17<br />
1.02<br />
0 1.01 2.03 2.08 6.09 1.04 2.09 6.10 7.04 1.06 1.14 2.10 6.11 7.05 1.07 1.16 1.20 1.24 2.11 6.12 7.06 1.08 1.21 1.25 2.12 6.13 7.07 1.22 1.26 2.13 6.14 7.08 1.27 2.14 6.15 7.09 1.28 2.15 6.16 7.10 1.29 2.16 6.17 7.11 1.30 2.17 6.18 7.12 1.31 2.18 6.19 7.13 1.32 2.19 6.20 7.14 1.33 2.20 6.21 7.15 1.34 2.21 6.22 7.16 1.35 2.22 6.23 7.17 1.36 2.23 7.01 7.18 1.37 2.24 7.02 7.19 1.38 2.25 7.20 2.26 7.21 3.01 7.22 3.02 7.23 3.03 7.24 3.04 7.25 3.05 7.26 3.06 7.27 3.07 7.28 3.08 7.29 3.09 7.30 <strong>3.1</strong>0 <strong>3.1</strong>1 <strong>3.1</strong>2 <strong>3.1</strong>3 <strong>3.1</strong>4 <strong>3.1</strong>5 <strong>3.1</strong>6 <strong>3.1</strong>7 <strong>3.1</strong>8 <strong>3.1</strong>9 3.20 3.21 3.22 3.23 3.24 3.25 3.26 3.27 3.28 3.29 3.30 3.31 3.32 3.33 3.34 3.35 4.01 4.02 4.03 4.04 4.05 4.06 4.07 4.08 4.09 4.10 4.11 4.12 4.13 4.14 4.15 4.16 4.17 4.18 4.19 4.20 4.21 4.22 4.23 5.01 5.02 5.03 5.04 5.05 5.06 5.07 5.08 5.09 5.10 5.11 5.12 5.13 5.14 5.15 5.16 5.17 5.18 5.19 5.20 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.30 5.31 6.01 6.02 6.03 6.04 6.05 6.06 6.07<br />
0 1 2 3 4 5<br />
1.03<br />
Eintretenswahrscheinlichkeit<br />
© RisKu-Entwicklung durch<br />
2.01<br />
1.18<br />
Demo
34<br />
Einerseits werden Risiken mittels Interviews, Erhebungen,<br />
Workshops usw. identifiziert <strong>und</strong> danach vom Riskowner<br />
(Bereichsverantwortlichen) bewertet. Andererseits bewertet ein<br />
sogenanntes Risk-Committee, das aus Geschäftleitungsmitgliedern,<br />
Verwaltungsräten <strong>und</strong> Bereichsvertretern besteht, dieselben<br />
Risiken27 . Abweichungen zwischen den beiden Bewertungsarten<br />
ergeben anschliessend wertvollen Gesprächsstoff. Durch dieses<br />
systematische Vorgehen werden die operativen Verantwortlichen<br />
in den Riskmanagementprozess einbezogen (bottom-up) <strong>und</strong> für<br />
die unternehmensweite strategische Ausrichtung sensibilisiert<br />
(top-down). Dies führt letztlich zum Hauptziel eines wirkungsvollen<br />
Riskmanagments: auf allen Hierarchie stufen Risiko-<br />
bewusstsein schaffen.<br />
Nach der Auslegeordnung <strong>und</strong> Bewertung der Risikoland-<br />
schaft sind für die wesentlichen Risiken Massnahmen zu treffen<br />
<strong>und</strong> zu terminieren. Es werden Berichte erstellt (vgl. Abbildung<br />
12) <strong>und</strong> ein umfassender Riskmanagementprozess installiert.<br />
Internes Kontrollsystem (Art. 728a Abs. 1 Ziff. 3 OR)<br />
Der Gesetzgeber verlangt namentlich ein Kontrollinstrumentarium,<br />
das die Richtigkeit der Finanzberichterstattung sicherstellt,<br />
so dass die Jahresrechnung keine wesentlichen Fehler enthält. In<br />
der KMU-Praxis empfiehlt es sich jedoch, Kontrollen zu sämtlichen<br />
operativen <strong>und</strong> finanziellen Risiken ein- <strong>und</strong> durchzuführen<br />
<strong>und</strong> das Riskmanagement sogleich mit dem IKS zu verbinden.<br />
Es soll daher ein Konzept zugr<strong>und</strong>e gelegt werden, das ein<br />
kombiniertes Vorgehen antizipiert <strong>und</strong> durch gezielte IT-Vorlagen<br />
die Umsetzung erleichtert28 (siehe Abbildung 13).<br />
Basierend auf der Analyse aus dem Riskmanagement <strong>und</strong> der<br />
Jahresrechnung bezeichnet der IKS-Verantwortliche die relevanten<br />
operativen Schlüsselprozesse, die im Rahmen der Kontrollaktivitäten<br />
beschrieben <strong>und</strong> dokumentiert werden müssen. Den<br />
wesentlichen IKS-Risiken eines evaluierten Prozesses werden die<br />
massgebenden Kontrollen gegenübergestellt <strong>und</strong> aufgr<strong>und</strong> ihrer
Risiko-Reporting<br />
Vergleich RR I - RR II<br />
Risk-Map je Bereich / Owner<br />
RR II RR I<br />
14.03<br />
4<br />
5<br />
14.09<br />
14.08<br />
3<br />
14.11<br />
2<br />
14.05<br />
4<br />
1<br />
3<br />
14.50<br />
0<br />
14.10<br />
Schadensausmass<br />
14.50<br />
2<br />
14.01<br />
14.04<br />
14.03<br />
14.04<br />
14.08<br />
14.09<br />
14.12<br />
14.01<br />
14.11<br />
14.06<br />
1<br />
14.05<br />
14.07<br />
14.10<br />
14.06<br />
14.07<br />
14.12<br />
0<br />
0 1 2 3 4 5<br />
Eintretenswahrscheinlichkeit<br />
Risikoübersicht (sortiert nach RR II)<br />
Risikobereich Risiko-Nr. Risiko Risikofeld Riskowner RR I RR II EW SA<br />
14:Logistik 14.03 Produktionsplanung 3.2.1. Produktion - AVOR E. Hellmeier 3 3 5 1<br />
14:Logistik 14.09 Qualität der Produkte 2.4.1. Qualitätskontrolle - an den Anlagen E. Hellmeier 2 3 5 1<br />
14:Logistik 14.11 Personalmotivation 1.5.1. Kommunikation - Interne Komm./Information E. Hellmeier 3 3 5 1<br />
14:Logistik 14.50 Falsche Lagerbestände 3.3.2. Logistik - Lagerbewirtschaftung D. Kasparin 2 3 4 2<br />
14:Logistik 14.01 überfüllte Lager 3.3.2. Logistik - Lagerbewirtschaftung E. Hellmeier 3 2 5 1<br />
14:Logistik 14.06 Fahrzeugpark 9.<strong>3.1</strong>. Wartung - Störungsbeh./Optimierung E. Hellmeier 2 2 4 1<br />
14:Logistik 14.12 Entscheidungspolitik 1.5.1. Kommunikation - Interne Komm./Information E. Hellmeier 2 2 5 1<br />
14:Logistik 14.07 Baustellen 3.3.3. Logistik - Interne Logistik E. Hellmeier 4 2 4 1<br />
14:Logistik 14.04 Unfallgefahr 3.3.3. Logistik - Interne Logistik E. Hellmeier 3 1 3 1<br />
14:Logistik 14.10 Krankheit, Epedemie 1.4.1. Personal - Personalplanung E. Hellmeier 4 1 2 1<br />
14:Logistik 14.05 Systemausfall EDV 9.4.1. IT - Planung/Betrieb/Support E. Hellmeier 1 1 2 1<br />
14:Logistik 14.08 Gefährliche interne Trsp-Wege #NV E. Hellmeier 4 1 2 1<br />
Abbildung 12: Beispiel eines Risiko-Bereichsreports (Auszug aus <strong>Mattig</strong> RiskME ®, vgl. www.riskme.ch)
IKS-Konzept<br />
3<br />
Kontrollumfeld<br />
Information & Kommunikation<br />
Wesentlichkeit / Scope<br />
36<br />
IKS-Cockpit<br />
Konzept-Handbuch<br />
Beschreibung<br />
Beschreibung<br />
Definitionen<br />
Risikobeurteilung Self - Audit stark Kontrollaktivitäten<br />
Self - Audit akzeptabel schwach<br />
Map<br />
JR-Analyse<br />
RM-Prozessanalyse<br />
Map<br />
XY AG<br />
Self - Audit<br />
Self - Audit<br />
Self - Audit<br />
Self - Audit<br />
Prozess-Matrix Schlüsselprozesse<br />
Kontroll-Risiko-Matrix<br />
Kontrollschwächen-Dia<br />
Map Kontrollübersicht<br />
Abbildung 13: Konzept einer kombinierten Einführung von Riskmanagement<br />
<strong>und</strong> IKS bei KMU (Auszug aus <strong>Mattig</strong> IKS ® )<br />
Kontrollwirksamkeit bewertet (siehe Abbildung 14). Hieraus ist<br />
für jeden Drittleser29 sofort ersichtlich, an welcher Stelle im Prozess<br />
die wesentlichen IKS-Risiken mit schwacher Kontrollwirksamkeit<br />
liegen. Bei diesen Kontrollschwächen werden entsprechende<br />
Massnahmen angesetzt <strong>und</strong> ein Aktionsplan erstellt.<br />
Nebst den Kontrollaktivitäten werden das IKS-Konzept, das<br />
Kontrollumfeld, die Informations- <strong>und</strong> Kommunikationskultur<br />
sowie -hilfsmittel, die Wesentlichkeit <strong>und</strong> der Geltungsbereich<br />
sowie die Überwachungsinstrumente des Unternehmens kurz<br />
beschrieben30 <strong>und</strong> bewertet <strong>und</strong> allenfalls mit Hilfe adäquater<br />
Massnahmen verbessert (siehe Abbildung 15).<br />
Schliesslich müssen die Kontrollen <strong>und</strong> das System durch das<br />
Management dokumentiert <strong>und</strong> überwacht werden (vgl. Abbildung<br />
16). Die Aufgabe der Revisionsstelle besteht darin, die<br />
stark<br />
akzeptabel<br />
schwach<br />
schwach<br />
Kontrolle / Überwachung<br />
Self - Audit<br />
Aktionsplan<br />
Bericht drucken<br />
beenden
Linkfelder<br />
P1 Flüssige Mittel / Zahlungen<br />
IKS-Prozess<br />
XY AG<br />
Flüssige Mittel <strong>und</strong> Wertschriften sind vollständig erfasst, richtig bewertet <strong>und</strong> werden korrekt in der<br />
Jahresrechnung ausgewiesen. Notwendige Wertberichtigungen werden vorgenommen.<br />
Ziele<br />
Prozess-<br />
Periodizität Wirkung<br />
Beschreibung<br />
Verantw.<br />
Kontrollbeschrieb Hilfsmittel<br />
Risiko Einschätzung<br />
Kontrolle Risikobeschrieb<br />
Prozessablauf<br />
Risiko<br />
Wertschriftenübersic GK jährlich hoch<br />
ht<br />
mittel - Übersicht Wertschriftenverzeichnis mit<br />
aktueller Marktbewertung.<br />
Abgleich mit<br />
Zahlungs-<br />
1.11<br />
vorschlag<br />
1.04 - Realisierte <strong>und</strong> nicht realisierte<br />
i.O.?<br />
Nein<br />
Kursgewinne /-verluste werden nicht<br />
korrekt berechnet <strong>und</strong> verbucht.<br />
Ja<br />
Visum E-Banking / E-GR<br />
laufend tief<br />
Finance<br />
Bankbelastungsanz GS laufend mittel<br />
eige<br />
Zahlungsauslösung<br />
Zahlungsfreigabe durch E-Banking -<br />
Visum GK.<br />
1.05 1.01 - Es werden nicht genehmigte<br />
hoch - Einzelvisum E-Banking / E-Finance<br />
Banktransaktionen vorgenommen.<br />
(Post) Gemeindekassier.<br />
Einzelverfügungsmacht über liquide Mittel<br />
(kein Vieraugenprinzip).<br />
1.02 - Plausibilisierung der Bankbelastungen<br />
nach erfolgter Zahlung.<br />
1.03 - Rechnungsvisierung aller Aufwand- <strong>und</strong> Rechnungsvisierung GR / SM wöchentlich hoch<br />
Ausgabenbelege durch GK,<br />
ressortverantwortlicher GR <strong>und</strong> SM.<br />
37<br />
Abbildung 14: Prozessveranschaulichung<br />
mit den<br />
IKS-Risiken <strong>und</strong> -Kontrollen<br />
(Auszug aus <strong>Mattig</strong> IKS ®)
38<br />
Bericht über die Beseitigung der Kontrollschwächen / Aktionsplan<br />
Bezug der Kontrollschwäche /<br />
betroffener Prozess<br />
Nr. Thema /<br />
Kontrollschwächenbereich<br />
P1 Flüssige Mittel / Zahlungen 1 Kein systematischer Abgleich der<br />
Bestände liquider Mittel bei der<br />
Abschlusserstellung.<br />
P1 Flüssige Mittel / Zahlungen 1 Kassensturz erfolgt nicht in<br />
Funktionentrennung durch GK<br />
selbst.<br />
Massnahmen zur Vermeidung der<br />
Kontrollschwäche<br />
Verantwortlich<br />
(Funktion)<br />
Umsetzung<br />
bis<br />
Abbildung 15: Beispiel der Dokumentation der Kontrollschwächen / Aktionsplan (Auszug aus <strong>Mattig</strong> IKS ® )<br />
gesamte IKS-Dokumentation einzusehen <strong>und</strong> zu beurteilen, ob<br />
diese dem Unternehmen angepasst ist <strong>und</strong> den gesetzlichen<br />
Anforderungen genügt. Ist dies der Fall, kann es wie im vorange-<br />
henden Kapitel beschrieben durch die Revisionsstelle bestätigt<br />
werden.<br />
Übergang zu einem kontinuierlichen Prozess<br />
umgesetzt<br />
(Ja / Nein)<br />
Erstellung Abschluss-Checkliste. GK 30.11.11 Nein<br />
Prüfung Kassenbestände durch GS<br />
(Funktionentrennung).<br />
GS 30.06.11 Nein<br />
P1 Flüssige Mittel / Zahlungen 1 Einzelvisum E-Banking durch GK. Prüfung Kollektiv-Visa zu zweien. GR 30.06.11 Nein<br />
P4 Kreditoren / Einkauf /<br />
Leistungsbezug<br />
4 Kein systematischer Abgleich des Erstellung Abschluss-Checkliste.<br />
Kontos Vorauszahlungen bei<br />
Abschlusserstellung.<br />
GK 30.11.11 Nein<br />
In den Folgejahren hat das Unternehmen sein Riskmanagement<br />
à-jour zu halten. Das heisst, mindestens einmal jährlich eine<br />
umfassende Risikobeurteilung (Identifikation, Bewertung, Prio-<br />
risierung, Steuerung <strong>und</strong> Überwachung) vorzunehmen. Dem<br />
Verwaltungsrat ist mindestens einmal jährlich über die Risikosituation<br />
<strong>und</strong> allenfalls das IKS Bericht zu erstatten. Es empfiehlt<br />
sich, im Verwaltungsratsprotokoll ein festes Traktandum hierzu<br />
einzubauen, damit jederzeit nachvollziehbar bleibt, dass sich das<br />
oberste Geschäftsleitungsorgan periodisch mit Riskmanagement<br />
<strong>und</strong> – falls eine ordentliche Prüfpflicht besteht – mit IKS beschäftigt<br />
hat.<br />
Das IKS ist jährlich zu überarbeiten. Prozessbeurteilungen<br />
sind zu prüfen, die Risiko-/ Kontrollmatrizen anzupassen <strong>und</strong><br />
entsprechend nachvollziehbar zu dokumentieren. Ebenso ist das<br />
eigene IKS in einem sogenannten Self-Assessment jährlich durch<br />
die Unternehmensverantwortlichen zu testen, um über die Qualität<br />
des IKS eine Aussage machen zu können. Dazu kann ein
Kontrolle / Überwachung<br />
standardisierter Fragebogen selbständig ausgefüllt werden. Durch<br />
ein Ampelsystem von stark (grün), über akzeptabel (orange) zu<br />
schwach (rot) wird die Übersichtlichkeit erhöht <strong>und</strong> der Betrachter<br />
erhält einen schnellen Überblick über die Stärken <strong>und</strong> Schwächen<br />
seines gesamten IKS (vgl. Abbildung 16).<br />
Fazit <strong>und</strong> Ausblick<br />
Dieses Kapitel hat aufgezeigt, wie mit einfachen Hilfsmitteln ein<br />
angepasstes Riskmanagement sowie ein auf das Unternehmen<br />
zugeschnittenen IKS erstellt werden kann. Eine offene Diskus-<br />
sion <strong>und</strong> eine ehrliche Auseinandersetzung mit den Risiken,<br />
Gefahren <strong>und</strong> Problemen des Unternehmens heute <strong>und</strong> in naher<br />
Zukunft werden damit sichergestellt <strong>und</strong> dokumentiert. Dadurch<br />
sind einerseits die Gesetzesanforderungen erfüllt, andererseits<br />
wird darüber hinaus für die gesamte Unternehmung ein Mehrwert<br />
geschaffen.<br />
schwach<br />
N° Fragen Rating Feststellung<br />
Laufende <strong>und</strong> gezielte Beurteilung<br />
7.01 Wird die Wirksamkeit des IKS regelmässig beurteilt? 2<br />
7.02 Werden die gesetzten Ziele an die finanzielle Berichterstattung regelmässig evaluiert? 2<br />
7.03 Werden die Ziele an die finanzielle Berichterstattung bei Bedarf angepasst? 2<br />
7.04 Kleinere Gemeinden: Ist der Gemeinderat in der Verwaltung eingeb<strong>und</strong>en? 3<br />
7.05 Werden laufend die Wirksamkeit von Kontrollmassnahmen beurteilt (z.B. von Abteilungsleitern)? 1<br />
7.06 Wird überwacht, ob die Kontrollaktivitäten auch eingehalten werden<br />
(z.B. anhand von Stichproben)?<br />
1<br />
7.07 Findet eine Überwachung des IKS durch Personen auf der Leitungsebenen statt? 2<br />
7.08 Findet eine Funktionentrennung oder unabhängige Kontrollen statt? 3<br />
7.09 Gibt es leitende Mitarbeitende, die sich in einem Interessenkonflikt befinden? 3<br />
7.10 Sind die Zielvorgaben <strong>und</strong> Qualitätsanforderungen des IKS definiert? 1<br />
Einsatz von Management- <strong>und</strong> Controlling-Instrumenten<br />
7.11 Ist ein IKS- bzw. Riskmanagement-Verantwortlicher bestimmt? 3<br />
7.12 Werden zeitnahe Controlling-Instrumente eingesetzt (z.B. Zwischenabschlüsse, 3<br />
Finanzpläne, Liquditätsplanung, Kostenrechnungsinstrumente, Balanced Scorecard, usw.)?<br />
7.13 Werden die Controlling-Instrumente top-down (Bereichsverantwortliche, Mitarbeitende, usw.) 3<br />
kommuniziert?<br />
7.14 Werden die Controlling-Instrumente bottom-up (Bereichsverantwortliche, Mitarbeitende, 1<br />
Verwaltungsleitung <strong>und</strong> Gemeinderat) kommuniziert?<br />
7.15 Findet eine Verknüpfung von Strategie, Riskmanagement <strong>und</strong> operativer Umsetzung statt? 1<br />
Schwächen der Berichterstattung<br />
7.16 Wird das IKS laufend auf Stärken <strong>und</strong> Schwächen analysiert? 1<br />
7.17 Werden Schwachstellen des IKS laufend angepasst bzw. Korrekturmassnahmen ergriffen 1<br />
<strong>und</strong> wird deren Umsetzung überwacht?<br />
Gesamtrating<br />
Allgemeiner Eindruck / Schlussfolgerungen:<br />
39<br />
1<br />
Abbildung 16: Möglicher<br />
Bewertungsraster für das<br />
Unternehmen zur Selbstbeurteilung<br />
(Self-Audit) des<br />
eigenen IKS (Auszug aus<br />
<strong>Mattig</strong> IKS ® )
40<br />
Wird dem Gesetz nicht entsprochen, wird ein Risiko geschaf-<br />
fen, das zum Aufwand der Massnahme (dokumentieren des<br />
Risikomanagements bzw. IKS) in keinem Verhältnis steht. Hier<br />
beginnt Risikomanagement! Wenn der Unternehmende das Risiko<br />
von Kreditkündigungen, Mehrkosten beim Unternehmensverkauf,<br />
Verantwortlichkeitsklagen, usw. in Kauf nehmen will,<br />
steht es um die Unternehmensführung schlecht. Es geht noch<br />
weiter: er verlagert das Problem unter Umständen zu seinem<br />
Revisor. Dieser ist gefordert die Nichterfüllung der gesetzlichen<br />
Anforderungen in seiner Berichterstattung offen zu legen. Akzeptiert<br />
der Unternehmer dies nicht, wird die Revisionsstelle das<br />
Mandat niederlegen, wonach das Unternehmen zusätzlich noch<br />
ohne Revisionsstelle dasteht.<br />
Diese gesetzlichen Anforderungen werden uns in Zukunft<br />
weiter begleiten, denn Führungsinstrumente werden vermehrt an<br />
Bedeutung gewinnen. Doch dazu erfahren Sie mehr in den nachfolgenden<br />
Beiträgen.
Betrachtet man das<br />
aktuelle politische <strong>und</strong><br />
wirtschaftliche Umfeld,<br />
bedarf es keinerlei<br />
hellseherischer Fähigkeiten<br />
um festzustellen, dass<br />
zentrale <strong>und</strong> verständliche<br />
Führungsinstrumente in<br />
Unternehmungen aller<br />
Grössenordnung an<br />
Bedeutung gewinnen. Die<br />
Gesellschaft stellt immer<br />
mehr den Anspruch, dass<br />
Unternehmungen eine<br />
gesamtwirtschaftliche<br />
Daseinsberechtigung<br />
bestätigen. Einerseits strebt<br />
der Aktionär <strong>und</strong> Inhaber<br />
nach zufriedenen K<strong>und</strong>en<br />
<strong>und</strong> entsprechender<br />
Wirtschaftlichkeit – sprich<br />
Rentabilität (operative<br />
Ausrichtung). Andererseits<br />
stellen die weiteren<br />
Stakeholder den Anspruch,<br />
dass ein Wirtschaftsteilnehmer<br />
sich nachhaltig<br />
(strategische <strong>und</strong> ökologische<br />
Ausrichtung)<br />
orientiert <strong>und</strong> sorgfältig<br />
handelt. Dies indem er<br />
Gesetze, Normen <strong>und</strong><br />
gesellschaftliche Anforderungen<br />
einhält (Compliance-Ausrichtung).<br />
Hierzu dienen dem Unternehmer in der Betriebswirtschaftslehre<br />
hilfreiche Instrumente <strong>und</strong> Ansätze. Die Herausforderung<br />
besteht darin, dass diese einem Ganzen – der unternehmerischen<br />
Zielerreichung - dienen <strong>und</strong> für das oberste Führungsorgan überschaubar<br />
<strong>und</strong> verständlich bleiben. Dazu wird im untenstehenden<br />
Beitrag «Management Cockpit» ein pragmatischer Lösungsweg<br />
aufgezeigt. Im Beitrag «Praxis KMU» wurde ein Blick nach<br />
rechts <strong>und</strong> links in der IKS- <strong>und</strong> Risikolandschaft der Schweiz<br />
geworfen. Nun schauen wir nach vorne – in die Zukunft, <strong>und</strong><br />
betrachten nebst dem KMU-Umfeld, die Landschaft der staatlich-subventionierten<br />
Non-Profit-Organisationen sowie der<br />
öffentlichen Verwaltungen. Wohin führt die anfangs 2008 ein-<br />
geführte gesetzliche Pflicht die kleinen <strong>und</strong> mittleren Unterneh-<br />
mungen? Handelt es sich um reine Schikane oder stellt sie letzten<br />
Endes sogar eine Chance für den innovativen <strong>und</strong> offen denkenden<br />
Unternehmer dar?<br />
41<br />
Best Practices<br />
Wozu eine «Best Practice» für KMU?<br />
Das Center for Corporate Governance der Universität St. Gallen<br />
hat im 2009 eine praktikable Empfehlung zur Führung <strong>und</strong> Aufsicht<br />
von kleineren <strong>und</strong> mittleren Unternehmungen 31 herausgegeben.<br />
Dies als Pendant zum bereits seit 2002 bekannten Swiss<br />
Code of Best Practice for Corporate Governance der Economie<br />
Suisse32 , welcher sich vorwiegend an (grössere) Publikumsgesellschaften<br />
wendet. In beiden Empfehlungen werden unter anderem<br />
zentral die Aufgaben <strong>und</strong> Pflichten des Verwaltungsrats angesprochen.<br />
Die Zukunft wird dahin gehen, dass eine gute Unternehmensführung<br />
die Anwendung von angepassten Führungs- <strong>und</strong><br />
Kontrollinstrumenten bedingt. Diese sollen auf die Grösse, Kom-
42<br />
Economie Suisse Universität St. Gallen<br />
Swiss Code of Best Practice for Corporate Governance<br />
Klare Äusserung unter Ziffer 19 <strong>und</strong> 24 zu den<br />
Themen Riskmanagement <strong>und</strong> Internes Kontrollsystem<br />
sowie unter Ziffer 20 zur Einhaltung von<br />
Gesetzen <strong>und</strong> Normen (Compliance).<br />
Best Practice für KMU<br />
Vier Hauptaufgaben des Verwaltungsrats: Strategie,<br />
Systeme, Staff <strong>und</strong> Supervision (die 4 S). Unter<br />
Systeme wird konkret die Finanzkontrolle sowie<br />
das Risiko- <strong>und</strong> Krisenmanagement angesprochen.<br />
Im Weiteren erläutert die Supervision die Einhaltung<br />
von Gesetzen <strong>und</strong> Normen (Compliance).<br />
Abbildung 17: Corporate Govervance – Economie Suisse vs. Universität St. Gallen<br />
plexität <strong>und</strong> Art des Geschäftes ausgerichtet sein. Die konkrete<br />
Ausgestaltung liegt in der Freiheit – aber auch Verantwortung –<br />
des Verwaltungsrats. Entscheidungsgr<strong>und</strong>lagen wie strategische<br />
Auslegeordnungen, Risikobewertungen, transparente Kontrollsysteme,<br />
Krisenvorkehrungen, Finanz- <strong>und</strong> Liquiditätsplanungen,<br />
usw. werden nebst Diskussionsgr<strong>und</strong>lage für die Unternehmensführung<br />
auf oberster Leitungsstufe auch Gr<strong>und</strong>lage für<br />
gerichtliche Auseinandersetzungen, z.B. bei einem Firmenzusammenbruch<br />
oder anderen zivil- oder strafrechtlich relevanten<br />
Ereignissen sein. Fehlen solche, für eine gute Unternehmensfüh-<br />
rung voraussetzbaren, schriftlichen Nachweise, wird es für das<br />
betroffene Leitungsorgan immer schwieriger, ein kaufmännisch<br />
sorgfältiges Handeln im Interesse der Unternehmung nachzuweisen.<br />
Benötigen staatlich-subventionierte Non-Profit-<br />
Organisationen ein IKS?<br />
Gr<strong>und</strong>sätzlich unterliegen staatlich-subventionierte Non-Profit-<br />
Organisationen denselben Vorschriften des Obligationenrechts<br />
bezüglich Risikobeurteilung33 <strong>und</strong> Internem Kontrollsystem34 wie private Unternehmen. Dies soweit es sich um juristische<br />
Personen (Stiftung, Verein, Aktiengesellschaft, usw.) handelt.<br />
Die Spezialität solcher Organisationen besteht meist darin, dass<br />
sie mit den Subventionsgebern (B<strong>und</strong>, Kanton oder Gemeinde)
eine Vereinbarung über die zu erbringende Leistung treffen.<br />
Hierin werden nebst operativen Leistungszielen auch Finanz<strong>und</strong><br />
Berichtsziele definiert. So besteht bereits heute in gewissen<br />
Kantonen (z.B. Zürich <strong>und</strong> Aargau) die Anforderung für subventionierte<br />
Organisationen ein IKS nachzuweisen, unabhängig<br />
davon, ob eine Pflicht gemäss Obligationenrecht besteht. Somit<br />
haben in diesen Kantonen Organisationen mit weniger als<br />
50 Mitarbeitenden ein IKS zu dokumentieren <strong>und</strong> deren Existenz<br />
durch den externen Prüfer bestätigen zu lassen35 .<br />
Aus diesem Gr<strong>und</strong> hat die KTI36 unter der Leitung der Fachhochschule<br />
Nord-Westschweiz <strong>und</strong> der Zusammenarbeit mit<br />
<strong>Mattig</strong>-<strong>Suter</strong> <strong>und</strong> <strong>Partner</strong>37 als Wirtschaftspartner im Herbst<br />
2009 ein Forschungsprojekt gestartet. Ziel des Projektes ist es, bis<br />
im Herbst 2011 einen IKS-Leitfaden <strong>und</strong> ein IKS-Online-Tool<br />
für staatlich-subventionierte Non-Profit-Organisationen zu entwickeln.<br />
Leitfaden <strong>und</strong> Tool sollen helfen, ein adäquates IKS<br />
einzuführen <strong>und</strong> letztlich für die Subventionsnehmer als nutz-<br />
volles Führungsinstrument zu betreiben.<br />
Wie sieht es im öffentlich-rechtlichen Bereich aus?<br />
Sich einen Überblick über die Anforderungen <strong>und</strong> Umsetzungen<br />
bezüglich Riskmanagement <strong>und</strong> IKS in den Schweizer Kantonen<br />
<strong>und</strong> Gemeinden zu verschaffen, ist kein leichtes Unterfangen.<br />
Eine zentrale Übersicht bestand bis anhin nicht. Deshalb hat<br />
<strong>Mattig</strong>-<strong>Suter</strong> <strong>und</strong> <strong>Partner</strong> zusammen mit der Hochschule Luzern<br />
im Rahmen einer Masterarbeit eine Umfrage bei den 20 Deutschschweizer<br />
Kantonen durchgeführt 38 . Abbildung 18 zeigt die<br />
aktuelle Situation betreffend IKS.<br />
Es kann festgestellt werden, dass die Kantone – trotz vorliegendem<br />
Leitfaden des B<strong>und</strong>es39 – eigene, individuelle Anpassungen<br />
ihrer Gesetze, Verordnungen <strong>und</strong> Reglemente anstreben.<br />
Bemerkenswert ist sicherlich, dass IKS <strong>und</strong> Riskmanagement<br />
bereits heute bei den Kantonen ein Thema sind. Fast alle Deutsch-<br />
43
44<br />
Abbildung 18: IKS in den Kantonen<br />
schweizer Kantone sind daran, die gesetzlichen Anpassungen<br />
einzubinden <strong>und</strong> bis 2014 die Umsetzungen innerhalb der kanto-<br />
nalen Verwaltung – inklusive angegliederten Einheiten – vorzu-<br />
nehmen. In einem zweiten Schritt ist in den meisten Kantonen<br />
zusätzlich beabsichtigt, Weisungen <strong>und</strong> Reglemente an die einzelnen<br />
Gemeinden zu erlassen, IKS <strong>und</strong> Riskmanagement auf<br />
kommunaler Stufe umzusetzen. Das Tempo erstaunt auf den<br />
ersten Blick, hinken privatrechtliche Neuerungen im öffentlichrechtlichen<br />
Bereich meist einige Jahre hinten nach. Ganz anders<br />
im IKS, da in der Verwaltung die fragmentweise Umsetzung auf<br />
Druck der kantonalen Finanzkontrollen seit Jahren diskutiert<br />
wird. Das IKS hat hier, wo öffentliche Gelder anvertraut werden,<br />
geradezu einen zentralen Stellenwert. Publik gewordene<br />
Zwischenfälle von Amtsmissbrauch <strong>und</strong> Veruntreuungen leisten<br />
hierzu ihren Beitrag.
Fazit<br />
Zusammenfassend ist zu erkennen, dass Riskmanagement <strong>und</strong><br />
IKS im KMU-Umfeld am Anfang stehen. Es geht inskünftig vor<br />
allem darum, die Instrumente nicht nur als gesetzliche Pflichtübung<br />
zu verstehen, sondern sie ohne Mehraufwand als äusserst<br />
hilfreiche Führungsinstrumente zu etablieren. Risiko-/Chancen-<br />
Management <strong>und</strong> IKS stellen je einen Mosaikstein zur zentralen<br />
Unternehmensführung dar. Wer es versteht, die einzelnen Steine<br />
der guten Unternehmensführung zu einem harmonischen <strong>und</strong><br />
verständlichen Bild zu vereinen, der hat die Chance gepackt,<br />
seinem Kunstwerk (Unternehmung) den entscheidenden Stil für<br />
die nächste Kunstepoche zu geben.<br />
45
46<br />
In den vorangegangenen<br />
Kapiteln haben wir uns<br />
mit Riskmanagement <strong>und</strong><br />
IKS aus verschiedenen<br />
Blickwinkeln beschäftigt.<br />
Oftmals haben Sie sich<br />
vielleicht die Frage gestellt,<br />
wie diese beiden Fragmente<br />
sinnvoll in ein zentrales<br />
Führungsinstrument<br />
integriert werden können.<br />
Dieser Herausforderung<br />
wollen wir uns in diesem,<br />
abschliessenden Kapitel<br />
stellen. Welche Informationen<br />
benötigt das oberste<br />
Leitungsorgan, um<br />
zielgerichtet die Unternehmung<br />
zu steuern? Welche<br />
Hilfsmittel können ihm<br />
dienen?<br />
Management-Cockpit<br />
<strong>Mattig</strong> Cockpit ®<br />
Abbildung 19: <strong>Mattig</strong> Cockpit – Hauptrisiken, Chancen <strong>und</strong> Kontrollen<br />
Ein ganzheitliches Managementsystem (<strong>Mattig</strong> Cockpit ® ) soll<br />
der Unternehmensführung dienen die Unternehmung strategisch<br />
<strong>und</strong> operativ zu leiten <strong>und</strong> die Umsetzung <strong>und</strong> Kontrolle der strategischen<br />
<strong>und</strong> operativen Ziele sicherzustellen. Die nachfolgenden<br />
Erklärungen dienen der Erläuterung der untenstehenden<br />
Grafik. Diese zeigt das Konzept des <strong>Mattig</strong> Cockpits ® . <strong>Mattig</strong><br />
Cockpit ® verläuft von der Planung über die Umsetzung <strong>und</strong><br />
Kontrolle bis hin zum Handeln. Es umfasst diverse flankierende<br />
Führungs instrumente (Strategie, Finanzplan, Cash Manage-<br />
ment, Risk management, IKS, Qualitäts-Management-System<br />
(QMS), Business Continuity, Unternehmensbewertung, Ra-<br />
ting…), welche jedoch nicht umfassend, sondern fallweise, d.h.<br />
modulartig eingesetzt werden können. Das Management soll sich<br />
auf das wesentliche konzentrieren. Das Riskmanagement sowie<br />
das IKS werden in den rot markierten Teilen beigezogen.
Zu den Elementen von <strong>Mattig</strong> Cockpit ®<br />
Ausgangslage<br />
Als Ausgangslage des Strategieprozesses dienen die Planungsinstrumente,<br />
wobei das Strategiepapier, sprich die Vision <strong>und</strong> die<br />
Strategie, die Basis für das <strong>Mattig</strong> Cockpit ® bilden. Die Vision ist<br />
dabei das Ziel wohin das Unternehmen will <strong>und</strong> die Strategie<br />
beschreibt, wie die definierte Vision erreicht werden soll. Die<br />
Risikobeurteilung <strong>und</strong> der Finanzplan plausibilisieren die Strate-<br />
gie bzw. zeigen auf, welche Risiken auf der eingeschlagenen Stra-<br />
tegie vorhanden sind <strong>und</strong> ob die Strategieumsetzung finanziell<br />
überhaupt möglich ist.<br />
Strategische Darstellung<br />
Um die Abhängigkeit zwischen den strategischen Zielen darzustellen,<br />
werden diese zu Beginn in einer Strategy Map abgebildet.<br />
Die Strategy Map wird in Form eines Würfels dargestellt. Auf der<br />
Oberseite sind die Unternehmensziele ersichtlich. Auf der Vorderseite<br />
werden die strategischen Ziele den Unternehmenszielen<br />
<strong>und</strong> den BSC20 Perspektiven (wie z.B. Finanzen, K<strong>und</strong>en, Prozesse<br />
<strong>und</strong> Mitarbeiter) zugeordnet. Sie werden beginnend von unten<br />
eingetragen, weil die unteren Ziele Auswirkungen auf die oberen<br />
haben. Wird zum Beispiel ein Mitarbeiterziel wie «Steigerung der<br />
Mitarbeiterproduktivität» nicht erfüllt, so hat dies Auswirkungen<br />
auf das Prozessziel «Problemminimierung», was wiederum das<br />
K<strong>und</strong>enziel «Grössere K<strong>und</strong>enzufriedenheit durch erstklassige<br />
Projektabwicklung» hindert <strong>und</strong> sich schliesslich im Finanzziel<br />
«Verbesserung der Gesamtrentabilität» zeigt. Durch die verschiedenen<br />
Verknüpfungen ergeben sich Ursachen-Wirkungs-Beziehungen,<br />
wobei ebenfalls die Hauptrisiken <strong>und</strong> Chancen aus<br />
der Risikobeurteilung verknüpft werden. Die Nebenseite bildet<br />
die einzelnen Bereiche/Abteilungen des Unternehmens ab. Aus<br />
der Strategy Map für das Unternehmen kann für jeden Bereich/<br />
jede Abteilung eine Strategy Map abgeleitet werden.<br />
47
48<br />
Der Würfel hilft, die strategischen Ziele zu ordnen <strong>und</strong> schon<br />
zu Beginn der Einführung eines ganzheitlichen Managment-<br />
systems eine Übersicht zu verschaffen, wodurch das Verständnis<br />
gefördert <strong>und</strong> das <strong>Mattig</strong> Cockpit ® einfacher kommuniziert<br />
werden kann.<br />
Systematische Datenentwicklung<br />
Die systematische Datenentwicklung ist der Kern des <strong>Mattig</strong><br />
Cockpits ® <strong>und</strong> wird in vier Schritten durchgeführt:<br />
1. Strategische Ziele in den BSC Perspektiven<br />
Wurde durch die Strategy Map eine Übersicht geschaffen, werden<br />
die strategischen Ziele in die <strong>Mattig</strong> Cockpit ® Datentabelle<br />
einge tragen. Dabei werden die strategischen Ziele mit Nebenzie-<br />
Abbildung 20: Strategy Map
len aus der Finanzplanung, des Riskmanagements, des QMS<br />
usw. abgeglichen. In einem zweiten Schritt werden aus den strategischen<br />
Zielen operative Ziele für jeden Unternehmensbereich<br />
abgeleitet.<br />
2. Hauptrisiken, Chancen <strong>und</strong> Kontrollen<br />
Den strategischen <strong>und</strong> operativen Zielen werden jeweils die<br />
Haupt-Risiken, -Chancen <strong>und</strong> -Schlüsselkontrollen zugeordnet.<br />
Diese werden in den entsprechenden Tools wie zum Beispiel<br />
Riskmanagement, IKS, QMS, Business Continuity oder Fraud-<br />
Management identifiziert, aus den Tools entnommen <strong>und</strong> den<br />
strategischen <strong>und</strong> operativen Zielen zugeteilt. Hierbei werden<br />
bereits sehr wertvolle Erkenntnisse gewonnen. Man fragt sich<br />
direkt, welche Risiken – jeglicher Art – die Zielerreichung hin-<br />
dern, bzw. welche erfassten Chancen diese sogar fördern können.<br />
KUNDEN<br />
K1<br />
Strategisches Ziel Beschreibung<br />
Steigerung der K<strong>und</strong>entreue<br />
Wir wollen eine breite Stammk<strong>und</strong>schaft aufbauen.<br />
1.07<br />
Operatives Ziel<br />
Wir wollen die Anzahl der verkauften Jahresabonnemente erhöhen.<br />
Haupt-Risiko/-Chancen Bewertung Schlüsselkontrollen verantwortlich Periodizität<br />
1.0700 Ungenutztes Potenzial<br />
tief Analyse Besucherzahlen / -entwicklung Admin. monatlich<br />
1.0701 Verlust von Stammk<strong>und</strong>schaft<br />
mittel Prüfung <strong>und</strong> Verabschiedung Marketing-Budget / -plan GL jährlich<br />
1.0702 kein Marketingkonzept mittel<br />
1.0703 Kapazitätsengpässe<br />
hoch<br />
Abbildung 21: Hauptrisiken, Chancen <strong>und</strong> Schlüsselkontrollen<br />
3. Messgrössen<br />
Für jedes strategische <strong>und</strong> operative Ziel werden Messgrössen<br />
definiert. Dieser Vorgang soll die Umsetzung der strategischen<br />
Ziele messbar machen. Anhand der Messgrösse soll schliesslich<br />
erkennbar sein, ob das Ziel erreicht wurde oder nicht.<br />
4. Massnahmen<br />
Um die strategischen <strong>und</strong> operativen Ziele zu erreichen werden<br />
Massnahmen festgelegt. Dabei soll die Frage, wie die Ziele<br />
erreicht werden sollen, geklärt werden. Jede Massnahme enthält<br />
einen Verantwortlichen <strong>und</strong> ein Enddatum <strong>und</strong> wird mit den<br />
Massnahmen aus dem Riskmanagement, IKS, QMS, Business<br />
Continuity oder dem Fraud-Management abgestimmt.<br />
49
<strong>Mattig</strong><br />
Cockpit<br />
KUNDEN<br />
50<br />
Cockpit<br />
Letztlich resultiert aus dem ganzheitlichen Managementsystem<br />
ein periodisches Cockpit, wobei die Unternehmensführung einen<br />
Überblick über den Umsetzungserfolg der strategischen <strong>und</strong> operativen<br />
Ziele erhält. Zum einen werden die Massnahmen bezüglich<br />
der Um setzung kontrolliert, bzw. die Einleitung <strong>und</strong> Umset-<br />
zung der notwendigen Schritte übeprüft. Zum anderen wird die<br />
Erreichung der Messgrössen bzw. das Erreichen der strategischen<br />
<strong>und</strong> operativen Ziele kontrolliert. Dabei sind Abweichungen der<br />
Messgrössen mit Hilfe eines Ampelsystems <strong>und</strong> grafischen Auswertungen<br />
leicht zu erkennen.<br />
Strategische Ziele Messgrössen 31.10.11 xxxGrafiken<br />
Nr. Strategisches Ziel Z Nr. Messgrösse Einheit Zielwert<br />
Langfristiger<br />
Zielwert 2014<br />
IST-Wert Abweichung Ziel / IST Erreichte Messgrössen Abweichungsanalyse<br />
K1 Steigerung der K<strong>und</strong>entreue ZK 1.0701<br />
Anzahl<br />
Jahresabonnemente<br />
Anzahl 400.00 550.00 410.00 2.50% X<br />
1.0701<br />
K2 Steigerung der K<strong>und</strong>enzufriedenheit ZK 2.0701<br />
Anzahl<br />
Qualitätskontrollen<br />
Anzahl pro<br />
Jahr<br />
365.00 365.00 345.00 -5.48% XX<br />
K2 Steigerung der K<strong>und</strong>enzufriedenheit ZK 2.0702<br />
Anteil nicht genügender<br />
Anteil an<br />
Qualiätsergebnisse<br />
Messungen<br />
(intern)<br />
0.05 0.03 0.04 -20.00% X<br />
-25% -20% -15% -10% -5% 0% 5%<br />
Abbildung 22: Messgrössencockpit<br />
Kontinuierlicher Verbesserungsprozess (KVP)<br />
Das Konzept wird mit den Erkenntnissen aus dem Cockpit<br />
abger<strong>und</strong>et. Diese dienen der Optimierung der Datenqualität<br />
<strong>und</strong> der optimalen Ausgangslage für den nächsten Durchlauf des<br />
Prozesses. Das <strong>Mattig</strong> Cockpit ® wird somit periodisch im Sinne<br />
von einem kontinuierlichen Verbesserungsprozess erneuert. Das<br />
Konzept, welches als Pfeil dargestellt ist, sollte demnach auch als<br />
Kreis betrachtet werden. Der Prozess beginnt immer wieder von<br />
neuem. So wird zum Beispiel die neue Strategie im Beizug der<br />
Erkenntnisse optimiert <strong>und</strong> verbessert, was ebenfalls eine<br />
Er neuerung bzw. Optimierung der Risiko beurteilung <strong>und</strong> des<br />
Finanzplans bedeutet, um die überarbeitete Strategie zu plausibi-<br />
lisieren.<br />
2.0701<br />
2.0702
Abbildung 23: Kontinuierlicher Verbesserungsprozess<br />
Periodizität/Detaillierungsgrad<br />
Während dem sich das ganze Konzept des <strong>Mattig</strong> Cockpits ®<br />
ständig wiederholt <strong>und</strong> die einzelnen Schritte in geordneter Reihenfolge<br />
ablaufen, gibt es während den einzelnen Schritten eine<br />
zu nehmende Periodizität <strong>und</strong> einen vertieften Detaillierungs-<br />
grad. So ist zum Beispiel die strategische Darstellung langfristig<br />
ausgerichtet <strong>und</strong> sollte nebst kleinen Anpassungen ca. alle 3-5<br />
Jahre überarbeitet werden. Der Detaillierungsgrad ist eher gering.<br />
Die grafische Übersicht steht im Vordergr<strong>und</strong>, wobei die<br />
einzelnen Strategien in diesem Schritt ohne grosse Beschreibungen<br />
erfasst <strong>und</strong> bei den Risiken/Chancen nur die wichtigsten pro<br />
Perspek tive beigezogen werden.<br />
Die Systematische Datenentwicklung hat jährlichen Charak-<br />
ter <strong>und</strong> erreicht bereits einen angemessenen Detaillierungsgrad.<br />
Dies bedeutet, dass die Risiken/Chancen, Kontrollen, Messgrössen<br />
<strong>und</strong> Massnahmen jährlich für jeden Unternehmensbereich<br />
definiert werden.<br />
Am Ende entsteht ein Cockpit, welches quartalsweise oder<br />
monatlich für jeden Unternehmensbereich ausgewertet wird. Bei<br />
Abweichungen kann der Detaillierungsgrad dabei sehr gross<br />
werden. Schliesslich soll die Ursache der Abweichung gef<strong>und</strong>en<br />
<strong>und</strong> das Problem behoben werden. Es gilt jedoch nur die Ziele<br />
bzw. Messgrössen zu analysieren, welche ihren Zielwert nicht<br />
erreichen.<br />
51
52<br />
Abbildung 24: Periodizität/Detaillierungsgrad<br />
<strong>Mattig</strong> Cockpit ® als zentrales «Steuerrad» der<br />
Zukunft<br />
Das Konzept der chancen- <strong>und</strong> risiko-orientierten Unternehmensführung<br />
mittels <strong>Mattig</strong> Cockpit ® mag auf den ersten Blick<br />
umfassend – evtl. sogar zu umfangreich erscheinen. In der praktischen<br />
Anwendung hingegen erweist sich dieses zentrale<br />
Management-Cockpit als einfaches, auf das Wesentliche be-<br />
schränktes Informations- <strong>und</strong> Steuerungssystem. Wichtig ist,<br />
dass die in den frei gewählten Tools gesammelten Informationen<br />
gefiltert <strong>und</strong> zielgerichtet ins Management-Cockpit der Unternehmensleitung<br />
einfliessen. Dadurch behält die Führungs-Crew<br />
das Schiff (Unternehmung) mit wenigen Plan-, Entscheidungs-<br />
Steuer- <strong>und</strong> Kontrollgrössen im Griff. Bereit, ruhig neue Länder<br />
durch die stürmische See hindurch anzupeilen <strong>und</strong> stets auf Kurs<br />
zu bleiben. Denn wie Konfuzius treffend bemerkte:<br />
Wer das Ziel kennt, kann entscheiden,<br />
wer entscheidet, findet Ruhe,<br />
wer Ruhe findet, ist sicher,<br />
wer sicher ist, kann überlegen,<br />
wer überlegt, kann verbessern.
Quellenverzeichnis<br />
1 Gemäss Art. 727 Abs.1 OR<br />
2 COSO = Committee of Sponsoring Organizations of the Treadway<br />
Commission (www.coso.org)<br />
3 Treuhandkammer, Schweizer Prüfungsstandard: Prüfung der Existenz<br />
eines internen Kontrollsystems (PS 890), abrufbar unter<br />
www.treuhandkammer.ch/download.cfm?-ID_n=176&unter=105&ha<br />
upt=63&language=1<br />
4 Hermann Grab, So führt ein Unternehmen ein wirksames IKS effizient<br />
ein, in: KMU-Magazin Nr. 9, November 2007<br />
5 Lothar Gwerder, IKS <strong>und</strong> Riskmanagement im Zusammenspiel, in:<br />
Business News 03/07, swissconsultants.ch<br />
6 Dennis Inderbitzin, Prof. Dr. Thomas Rautenstrauch, Bachelorarbeit:<br />
Umsetzung Risikobeurteilung (OR Art. 663b) <strong>und</strong> Existenz IKS (OR Art.<br />
728a) in der Praxis: Ein Jahr danach – Erste Erfahrungen, S. 52/53,<br />
Hochschule Luzern - Wirtschaft<br />
7 Art. 727 OR<br />
8 Hermann Grab, Bereit fürs Riskmanagement, in: ET Elektrotechnik,<br />
Heft 3, März 2009, www.elektrotechnik.ch<br />
9 Hermann Grab, Hans-Ulrich Koller, Risikobeurteilung bei Kleinstunternehmen<br />
in: Business News 03/07, swissconsultants.ch<br />
10 Art. 727a OR<br />
11 Treuhand-Kammer, Zürich, Kommission für Wirtschaftsprüfung,<br />
Fragen <strong>und</strong> Antworten zum neuen Revisionsrecht, Ziff.5.4, www.<br />
treuhand-kammer.ch, unter Publikationen <strong>und</strong> Downloads, Q & A,<br />
12 Dr. Franz <strong>Mattig</strong>, Hermann Grab, Verwaltungsrat – Riskmanagement<br />
<strong>und</strong> IKS für KMU, in: Management Dossier Verwaltungsrat, Nr. 19,<br />
Juni 2009, WEKA Verlag AG, Schweiz<br />
13 Dr. Franz <strong>Mattig</strong>/Rolf Brechbühl (Herausgeber), (2005), Risk-Management,<br />
www.swissconsultants.ch, Schriftenreihe Nr. 4, Dr. Werner<br />
Gleissner/Frank Romeike, (2005), Anforderungen an die Softwareunterstützung<br />
für das Risikomanagement, in ZfCM – Zeitschrift für<br />
Controlling & Management 2/2005<br />
53
54<br />
14 Carin Münzel/Hermann Jenny, Riskmanagement für kleine <strong>und</strong><br />
mittlere Unternehmen, 2003<br />
15 Lothar Gwerder, www.swissconsultants.ch, Business News 3/07, IKS<br />
<strong>und</strong> Riskmanagement im Zusammenspiel<br />
16 Hermann Grab/Hans-Ulrich Koller, www.swissconsultants.ch,<br />
Business News 3/07, Risikobeurteilung bei Kleinstunternehmen<br />
17 SWOT=Strenghts, Weakness, Opportunieties, Threats<br />
18 Hermann Grab, So führt ein Unternehmen ein wirksames IKS effizient<br />
ein, in KMU-Magazin Nr.9, November 2007<br />
19 Es bietet sich z.B. die Annualisierungsmethode an; siehe hierzu:<br />
Michael Lister/Henner Schierenbeck, Value Controlling – Gr<strong>und</strong>lagen<br />
wertorientierter Unternehmensführung, 2002<br />
20 BSC=Balanced Score Card<br />
21 RAPM=Risk Adjusted Performance Measure<br />
22 Swiss Code of Best Practice: www.economiesuisse.ch/web/<br />
de/PDF%20Download%20Files/pospap_swiss-code_corpgovern_20080221_de.<strong>pdf</strong>,<br />
Studie der Universität St.Gallen: Best<br />
Practice im KMU: http://ccg.ifpm.unisg.ch/org/ifpm/ncg.nsf/SysWebRessources/Broschuere/$FILE/Brosch.<strong>pdf</strong><br />
23 Hermann Grab, Riskmanagement <strong>und</strong> IKS für KMU, Schikane oder<br />
Chance?, in Treuhand <strong>und</strong> Revision, Jahrbuch 2009<br />
24 Vgl. hierzu Auszug Fachartikel aus dem KMU-Magazin Nr.9, November<br />
2007, «So führt ein Unternehmen ein wirksames IKS effizient<br />
ein», Hermann Grab, Treuhand <strong>und</strong> Revisionsgesellschaft <strong>Mattig</strong>-<br />
<strong>Suter</strong> <strong>und</strong> <strong>Partner</strong>.<br />
25 Art. 727 Abs. 1 OR: Ordentlich zu prüfen ist, wer zwei der folgenden<br />
Kriterien in zwei aufeinanderfolgenden Jahren überschreitet – CHF<br />
10 Mio. Bilanzsumme, CHF 20 Mio. Umsatz, 50 Mitarbeiter im Jahresdurchschnitt<br />
26 Hierbei muss es sich nicht immer um den prüfenden Revisor handeln,<br />
sondern auch Abnehmer, Lieferanten usw.<br />
27 Vgl. Schriftenreihe Nr. «Riskmanagement» von Swissconsultants.ch,<br />
2005, Dr. Franz <strong>Mattig</strong>, Rolf Brechbühl<br />
28 Vgl. hierzu Auszug Fachartikel aus dem KMU-Magazin Nr.9, November<br />
2007, «So führt ein Unternehmen ein wirksames IKS effizient
ein», Hermann Grab, Treuhand- <strong>und</strong> Revisionsgesellschaft <strong>Mattig</strong>-<br />
<strong>Suter</strong> <strong>und</strong> <strong>Partner</strong><br />
29 Hierbei muss es sich nicht immer um den prüfenden Revisor handeln.<br />
Insbesondere nicht operativ tätige Verwaltungsräte erhalten ein<br />
effizientes Führungsinstrument zur Ausgestaltung <strong>und</strong> Überwachung<br />
ihres Kontrollsystems. Weitere Interessenten wie Banken oder<br />
mögliche Käufer des Unternehmens bekommen ebenfalls wertvolle<br />
Transparenz.<br />
30 Vgl. Abbildung 3, die 7 Elemente des Konzepts der kombinierten<br />
Einführung von Riskmanagement <strong>und</strong> IKS von <strong>Mattig</strong>-<strong>Suter</strong> <strong>und</strong><br />
<strong>Partner</strong>.<br />
31 http://ccg.ifpm.unisg.ch/org/ifpm/ncg.nsf/SysWebRessources/<br />
Broschuere/$FILE/Brosch.<strong>pdf</strong><br />
32 http://www.economiesuisse.ch/web/de/PDF%20Download%20<br />
Files/pospap_swiss-code_corp-govern_20080221_de.<strong>pdf</strong><br />
33 vgl. Art. 663b, Ziff. 12 OR<br />
34 vgl. Art. 728a OR<br />
35 vgl. Art. 727 OR<br />
36 Mitfinanziert durch das B<strong>und</strong>esamt für Berufsbildung <strong>und</strong> Technologie<br />
/ Agentur zur Förderung innovativer Projekte (KTI) sowie durch die<br />
Kantone Aargau, Basellandschaft, Tessin, Wallis <strong>und</strong> Zug.<br />
37 Treuhand- <strong>und</strong> Revisionsgesellschaft <strong>Mattig</strong>-<strong>Suter</strong> <strong>und</strong> <strong>Partner</strong>,<br />
Schwyz, www.mattig.ch<br />
38 IKS in den Deutschschweizer Kantonen, Masterarbeit Amrein, Fuchs,<br />
Grüter, Senn, Hochschule Luzern – Wirtschaft im Auftrag von <strong>Mattig</strong>-<br />
<strong>Suter</strong> <strong>und</strong> <strong>Partner</strong>, Schwyz<br />
39 IKS Leitfaden des B<strong>und</strong>es aus dem Jahre 2003 der Eidg. Finanzkontrolle<br />
sowie das Musterfinanzhaushaltsgesetz aus dem Jahre<br />
2007 (Art. 39) des B<strong>und</strong>es.<br />
55
56<br />
Impressum<br />
Riskmanagement <strong>und</strong> Internes Kontrollsystem<br />
ist die neunte Ausgabe einer Schriftenreihe des inter -<br />
diszi plinären Beraterverb<strong>und</strong>s Swissconsultants.ch<br />
1. Auflage, 2011<br />
Autoren: «Riskmanagement <strong>und</strong> Internes Kontrollsystem»<br />
Hermann Grab, Angela Schläpfer, Florian Odermatt,<br />
Dr. Franz <strong>Mattig</strong>, Treuhand- <strong>und</strong> Revisionsgesellschaft<br />
<strong>Mattig</strong>-<strong>Suter</strong> <strong>und</strong> <strong>Partner</strong><br />
Konzept, Gestaltung, Produktion<br />
Dr. Hans Balmer AG, Olten<br />
Druck<br />
Binkert Druck AG, Laufenburg<br />
Infoadresse<br />
Swissconsultants.ch<br />
Dr. Markus Meyer, Geschäftsführer<br />
Eisenbahnstrasse 11, Postfach 1661<br />
4901 Langenthal<br />
Telefon 062 916 50 00<br />
Telefax 062 916 50 05<br />
info@swissconsultants.ch<br />
www.swissconsultants.ch
Treuhand- <strong>und</strong> Revisionsgesellschaft<br />
<strong>Mattig</strong>-<strong>Suter</strong> <strong>und</strong> <strong>Partner</strong><br />
Hauptsitz Schwyz<br />
Bahnhofstrasse 28<br />
Postfach 556<br />
CH-6431 Schwyz<br />
Tel +41 (0)41 819 54 00<br />
Fax +41 (0)41 819 54 01<br />
info@mattig.ch<br />
www.mattig.ch<br />
Swissconsultants.ch ist ein interdisziplinäres<br />
Netzwerk Inhaber-geführter<br />
qualifizierter Mitgliederfirmen. Sie<br />
machen Beratung zur Chefsache,<br />
indem sie das direkte Gespräch zum<br />
K<strong>und</strong>en als Unternehmer suchen.<br />
Swissconsultants.ch ist das breiteste<br />
Netzwerk für business contacts in<br />
der Schweiz. Die Vielfalt der Dienstleistungen<br />
wie die Erfahrung der<br />
BeraterInnen sind das F<strong>und</strong>ament,<br />
das Mehrwert schafft.<br />
Swissconsultants.ch<br />
Eisenbahnstrasse 11<br />
Postfach 1661<br />
4901 Langenthal<br />
Telefon 062 916 50 00<br />
Telefax 062 916 50 05<br />
info@swissconsultants.ch<br />
www.swissconsultants.ch