Ab dem Geschäftsjahr 2008 sind die Existenzprüfung des internen Kontrollsystems (IKS) und eine umfassende Berichterstattung über das IKS an den Verwaltungsrat Bestandteil der Jahresabschlussprüfung. Dies schreiben die revidierten Bestimmungen von Art. 728a OR und Art. 728b OR vor. Bei der Ausarbeitung der neuen gesetzlichen Regelungen verlangte das Parlament – angesichts der Erfahrungen, die Unternehmen in den USA mit dem Sarbanes-Oxley Act gemacht hatten – ausdrücklich, dass die Schweizer Firmen nicht gezwungen werden sollen, ein vorgegebenes Rahmenwerk zum IKS anzuwenden. Der Gesetzgeber reduzierte das Ziel der Prüfung auf die Bestätigung der Existenz des IKS, das heisst, er verlangt keine Prüfung, ob das IKS wirksam ist, also dauernd und richtig funktioniert.
Die Schweizer Gesetzgebung stellt den Prüfer vor diverse Fragen, denn die OR-Artikel nennen die Anforderungen an die Bejahung der Existenz des IKS nicht. Deshalb hat die Treuhand-Kammer den Prüfungsstandard (PS) 890 «Prüfung der Existenz des internen Kontrollsystems», auch PS-IKS genannt, erarbeitet. PS 890 legt die Voraussetzungen für die Prüfbarkeit eines IKS und für die Prüfung der Existenz des IKS fest. Die Treuhand-Kammer definiert die Ausgestaltung des IKS im Sinne einer gesetzlichen Minimalanforderung; sie billigt der Unternehmensleitung einen grossen Ermessenspielraum für die Ausgestaltung und die Umsetzung des IKS zu.
Aufgaben und Verantwortung
Die Prüfung der Existenz des IKS stellt grundsätzlich eine zweite, separate Prüfungstätigkeit dar. Zwar hat der Abschlussprüfer auch bislang Teile des IKS in die Prüfungsplanung einbezogen, um eine möglichst effiziente Prüfungsstrategie auszuarbeiten. Doch diese Prüfungshandlungen reichen nicht aus, um ein eigenständiges Prüfungsurteil über die Existenz des IKS zu fällen. Denn die beiden Prüfungen verfolgen unterschiedliche Zielsetzungen.
Ein IKS beinhaltet Kontrollen auf der Unternehmens-, der Prozess- und der generellen Informatikebene in den fünf Kontrollkomponenten Kontrollumfeld, Risikobeurteilungsprozess des Unternehmens, rechnungslegungsrelevante Informationssysteme/Kommunikation, Kontrollaktivitäten und Überwachung der Kontrollen. Bisher wurden im Rahmen der Abschlussprüfung vorwiegend Prüfungshandlungen zu Kontrollen auf der Unternehmensebene durchgeführt (hellblaue Flächen in der Grafik). Der Prüfer muss neu im Rahmen der IKS-Existenzprüfung Prüfungshandlungen in Bezug auf alle Kontrollebenen und -komponenten durchführen (graue Flächen).
Während die Existenz der Kontrollen auf Unternehmensebene jährlich zu überprüfen ist, kann die Existenz der Kontrollen auf Prozessebene (z.B. Einkaufsprozess, Verkaufsprozess, Produktion, Lohnabrechnung, Sachanlagen, Finanzen) in grösseren periodischen Abständen erfolgen. Bei der IKS-Existenzprüfung stellt der Prüfer einerseits fest, ob ein IKS vorhanden und dokumentiert ist. Andererseits prüft er, ob die Vorgaben des Verwaltungsrats zum IKS implementiert sind. Wirksamkeitsprüfungen zu Bestandteilen des IKS, die über die Existenzprüfung hinausgehen, wurden teilweise bereits bisher im Rahmen der Abschlussprüfung angewandt (hellblaue Balken).
Synergien in der Prüfung
Die IKS-Existenzprüfung eröffnet neue Möglichkeiten bei der Planung und Durchführung der Abschlussprüfung. So kann der Revisor für wichtige Positionen der Jahresrechnung einen kontrollbasierten Prüfungsansatz wählen (dunkelblaue Flächen). In diesem Fall kann er sich auf ein wirksames IKS stützen und folglich auf umfangreiche Nachweise und Detailprüfungen verzichten, die ansonsten erforderlich wären, um die nötige Prüfungssicherheit zu erhalten. Diese Vorgehensweise bedingt jedoch, dass die entsprechenden Verfahrensprüfungen in den Kontrollprozessen tiefer greifen, als dies allein für die Existenzprüfung des IKS nötig wäre. Die Kombination von verfahrens- und ergebnisorientierten Prüfungshandlungen vermittelt dem Revisor wie auch dem Unternehmen eine hohe Prüfungssicherheit.
Für solche Prüfungen, die über die Minimalanforderungen hinausgehen, stimmt der Prüfer sein Vorgehen – etwa den Umfang der Prüfungen oder die Auswahl der Prüfungsschwerpunkte – mit den Zielen und den Erwartungen des Verwaltungsrats und der Geschäftsleitung ab. Falls das Unternehmen über eine interne Prüfungsabteilung verfügt, ist es empfehlenswert und in der Praxis üblich, die interne Revision in die Existenz- und Wirksamkeitsprüfungen des IKS einzubeziehen. Sofern es eine interne verlässliche Revision gibt, kann sich der Abschlussprüfer auf die Arbeiten der internen Prüfer abstützen, um so die Prüfeffizienz und -effektivität zu erhöhen.
Erweiterte Berichterstattung
Über die Prüfungsfeststellungen zur Existenz des IKS muss der Abschlussprüfer der Generalversammlung in summarischer Form Bericht erstatten. Die Revisionsstelle hat in jedem einzelnen Fall zu prüfen, ob die nötigen Voraussetzungen erfüllt sind, um die Existenz des IKS zu bejahen. Stellt sie fest, dass bei der Umsetzung des IKS Fehler auftreten oder dass Schlüsselkontrollen nicht konsequent durchgeführt werden, hat dies nicht zwingend die Verneinung der Existenz des IKS zur Folge. Es ist auch möglich, die Existenz des IKS mit Einschränkungen zu bejahen. Zudem muss der Prüfer dem Verwaltungsrat die Feststellungen aus der IKS-Prüfung umfassend darlegen. Daraus resultiert eine erweiterte Berichterstattungspflicht für den Abschlussprüfer.
Für die Unternehmen ergeben sich aus den neuen Anforderungen höhere Vorbereitungs- und Dokumentationsarbeiten, die je nach Qualität des vorhandenen IKS variieren. Aber sie erhalten auch die Gewissheit, über angemessene Kontrollen für die Ausgestaltung und die Implementierung des IKS zu verfügen. Insofern stellen die neuen Anforderungen auch eine Chance dar: Ein gut funktionierendes IKS kann der Unternehmensleitung zusätzliche Sicherheit geben und zur Umsetzung der unternehmungspolitischen Ziele beitragen.