Noch haben die kleinen und mittleren Unternehmen etwas zeitlichen Spielraum, um griffige Kontrollen umzusetzen. Mit der Jahresrechnung 2008 aber gilt es ernst: Die Revisionsstelle prüft dann gemäss der neuen Schweizer Gesetzesbestimmung (Artikel 728a OR), ob ein internes Kontrollsystem existiert. Bisher lag diese Pflicht nicht beim Abschlussprüfer. Der Verwaltungsrat war für die Finanzkontrolle verantwortlich (Artikel 716a OR), ohne dass der Revisor dies explizit überprüft hätte.
In den USA erschütterten zu Beginn des Jahrzehnts die milliardenschweren Finanzskandale bei Enron und Worldcom das Vertrauen der Öffentlichkeit. Das schaffte auch in der Schweiz einen politischen Druck nach einer verstärkten Kontrolle über die finanzielle Berichterstattung und eine erhöhte Qualität bei der Revision. «Die Revisionsbranche hat das Gesetz in dieser Form nicht gesucht», erklärte Thomas Stenz, Partner Ernst & Young, an einem Entrepreneurs Cercle. Nach dem Wunsch der Revisionsbranche hätte die Bestätigung eines internen Kontrollsystems (IKS) auf die kotierten Gesellschaften beschränkt bleiben sollen. Politisch sei aber nur noch eine Streichung des Wortes «funktionierend» durchsetzbar gewesen. Rhetorisch fragte Stenz zurück: «Wenn ein IKS nicht funktioniert, ist es dann ein IKS?»
Bestehende Kontrollen hinterfragen
Dieser Fragestellung sehen sich alle Aufsichtsorgane von schweizerischen Aktiengesellschaften gegenüber. Allerdings gibt es bei der internen Kontrolle eine Abgrenzung nach unten. Betroffen sind nur Unternehmen, die einer ordentlichen Revision unterliegen, also zwei der nachfolgenden Kriterien in zwei aufeinander folgenden Jahren erfüllen: Umsatzerlös von mehr als 20 Mio Fr., Bilanzsumme von mehr als 10 Mio Fr. sowie mehr als 50 Vollzeitstellen im Jahresdurchschnitt. Firmen, die sich neu einer eingeschränkten Revision unterziehen, müssen den Nachweis für ein IKS nicht erbringen. Generell gilt, dass ein internes Kontrollsystem der Grösse und Komplexität einer Unternehmung entsprechen sollte.
Die Umsetzung eines professionellen Kontrollsystems kann nicht von heute auf morgen geschehen. Bei den Mitarbeitern muss zunächst eine gewisse Skepsis beseitigt werden. «Die Leute stossen keine Freudenschreie aus», betonte Oliver Montani, Head Corporate Controlling, bei Lindt & Sprüngli. Der Schokoladenproduzent hat die interne Kontrolltätigkeit anhand der vorhandenen Dokumente aufgebaut. Dabei konnte man sich fast vollständig auf die Richtlinien abstützen, wie sie für die Qualitätszertifizierung ISO im Bereich Finanzierung gelten. «Es braucht mehr Zeit, als man denkt», konstatierte Montani nach dem erstem Pilotprojekt, das Kosten von gegen 200000 Fr. verursacht hat. Er lobte jedoch, dass sich mit der Einführung eines IKS auch die Chance ergab, die bisherigen Kontrollen zu hinterfragen und verbessern.
Längere Findungsphase
Wie es vom Gesetzgeber verlangt wird, hat sich das Management bei Lindt & Sprüngli auf finanzielle Kontrollziele beschränkt. Vom Chief Financial Officer wurden in einem ersten Schritt maximal 70 Kontrollziele vorgegeben, die jedoch gemäss Aussagen von Oliver Montani rasch gegen 100 strebten. Dabei sei der Weg zur Zielerreichung grundsätzlich frei, und es würden zum Teil nur minimale Kontrollanforderungen gestellt. Die anspruchsvollste Aufgabe liegt in der Beurteilung, ob die Kontrollaktivitäten effektiv sind und ob sie auch gelebt werden. Weil es bei Lindt & Sprüngli keine interne Revision gibt, stand die Selbstüberwachung im Vordergrund. Montani sprach von einer längeren Findungsphase, die darüber Auskunft geben musste, wer was kontrolliert. Um die Proportionen bei der Einführung eines IKS zu wahren, lohnt sich ein pragmatisches Vorgehen. «Kompensatorische Kontrollen sind oft ausreichend», konstatierte Oliver Montani. Mit anderen Worten: Anstatt präventive Massnahmen zu treffen, vertraut man darauf, in den jeweiligen Monatsabschlüssen allfällige Abweichungen zu erkennen. Im laufenden Jahr werden bei Lindt & Sprüngli die Kontrollziele getestet und die notwendigen IT-Tools für die interne Kontrolle bereitgestellt. Ende 2007 wird überprüft, was noch zu tun bleibt.
Aufgabe des Revisors
Wenn es um die Eckpunkte der IKS-Existenzbestätigung geht, sind die Verantwortlichkeiten klar zu trennen. «Nicht der Wirtschaftsprüfer, sondern der Verwaltungsrat legt Konzept, Umfang und Ausbaugrad des internen Kontrollsystems fest», stellte Thomas Stenz klar. Danach liege es an der
Geschäftsleitung, diese Vorgaben im Tagesgeschäft umzusetzen. Die Revisionsstelle bestätigt einmal jährlich die Existenz dieses vom Verwaltungsrat festgelegten und von der Geschäftsleitung umgesetzten IKS. Mehr nicht. Eine
firmeninterne «Polizistenrolle» kommt dem Abschlussprüfer nicht zu. Stenz warnte vor einer Vermischung der Tätigkeiten. Der Revisor bestätige nur, ob die vom Verwaltungsrat vorgegebenen Ziele effektiv eingehalten wurden. Die Existenz eines IKS könne von der Revisionsstelle aber nur separat bestätigt werden, wenn eine schriftliche Dokumentation vorliege.
Damit ein neu zu schaffendes internes Kontrollsystem von kritischen Eigentümern, Verwaltungsrat und Geschäftsführern besser akzeptiert wird, empfiehlt Revisionsspezialist Stenz, die Ziele möglichst unternehmerisch und nicht buchhaltungstechnisch zu formulieren. Mit diesem firmenstrategischen Ansatz sei für den Unternehmer und Eigentümer sichergestellt, dass sich die Finanzabteilung und der Wirtschaftsprüfer auf Dinge konzentrieren die ihm wichtig sind. Auf diesem Weg kommt der Verwaltungsrat seiner gesetzlichen Pflicht nach, und der Finanzdirektor kann eine eigentliche IKS-Kontrollsprache in seinem Konzern etablieren. Das ermöglicht es dem Wirtschaftsprüfer, sich künftig bei den Prozessprüfungen mittels Stichproben auf ein dokumentiertes und bewilligtes Soll-Konzept abzustützen.
------
Checkliste: Internes Kontrollsystem
1. Verfügt Ihr Unternehmen über eine definierte Politik bezüglich
interner Kontrollen über die Finanzberichterstattung?
2. Sind die Verantwortungsbereiche zwischen Verwaltungsrat und Geschäftsleitung klar zugewiesen?
3. Ist das IKS auf der Traktandenliste des Verwaltungsrates und der Geschäftsleitung?
4. Besteht eine aktuelle Dokumentation der relevanten Prozesse und Schlüsselkontrollen?
5. Bestehen definierte Vorgehensweisen für den Umgang mit identifizierten Schwachstellen im IKS?
6. Ist definiert, wer prüft, wie, wann und von wem die definierten Schlüsselkontrollen tatsächlich durchgeführt werden?
7. Ist sichergestellt. Dass die Risiken im Zusammenhang mit der Finanzberichterstattung systematisch erhoben und behandelt werden?
8. Ist das IKS in die Strategie einbezogen?