Der Verwaltungsrat ist dafür verantwortlich, eine Risikobeurteilung durchzuführen, und er ist für die Ausgestaltung, Implementierung und Aufrechterhaltung eines internen Kontrollsystems (IKS) zuständig. Der Verwaltungsrat kann die Umsetzung auch an die Geschäftsleitung delegieren, bleibt aber in wesentlichen Punkten eingebunden.

In der Vorbereitung der Umsetzung wurde die Frage, was der Gesetzgeber mit der «Existenz» des IKS anspricht, stark diskutiert. Insbesondere der Berufsstand der Wirtschaftsprüfer und die SwissHoldings versuchten, die Ausgewogenheit der Interessen der Revisoren an einem klaren und nachprüfbaren Standard und die Interessen der Wirtschaft an einer möglichst effizienten Umsetzung sicherzustellen. Nunmehr hat die Treuhand-Kammer in einem Prüfungsstandard verschiedene Voraussetzungen festgehalten, damit von der Existenz des IKS gesprochen werden kann. Der schweizerische Standard geht, verglichen mit dem amerikanischen Sarbanes-Oxley Act, Section 404 (SOX 404), nicht so weit, dass die operative Effektivität der Kontrollen umfangreich getestet werden muss. Auch die Anforderungen an die Dokumentation und die Komplexität des Kontrollsystems sind weniger hoch angesetzt. Damit hat der Gesetzgeber einen wichtigen Akzent gesetzt, um Entwicklungen, wie sie in den USA zu beobachten waren («controls take over control»), zu vermeiden.

Dokumentation

Erfahrungsgemäss liegt der Haupthandlungsbedarf für Unternehmen in der Dokumenta- tion des IKS und der durchgeführten Risikobeurteilung. Dokumentiert werden sollen jeweils die Schlüsselkontrollen, welche das Risiko einer wesentlichen Fehlaussage der Finanzberichterstattung erheblich reduzieren. Dies ist insofern wichtig, als bei der Umsetzung von SOX 404 zunächst zu beobachten war, dass Kontrollen grundsätzlich «bottom up» definiert wurden, was zu einer Überflut an Kontrollen ohne entsprechenden systematischen Unterbau geführt hat. Eine effiziente Vorgangsweise konzentriert sich bereits zu Projektbeginn auf die Top-Down-Identifizierung der Schlüsselkontrollen, Kontrollrationalisierung und eine entsprechende Umsetzung durch automatisierte und standardisierte Vorgangsweisen (siehe Kasten).

Anzeige

Nutzen für die Unternehmung

Ein funktionierendes IKS aufzuweisen ist mehr als bloss die Erfüllung einer gesetzlichen Vorschrift. Entsprechend muss eine Entscheidung getroffen werden, ob die Umsetzung der neuen Vorschriften nach dem Prinzip «Nicht mehr als nötig» erfolgt, oder ob die Aktienrechtsrevision als Anstoss genommen wird, allenfalls bereits bestehende interne Projekte zu Dokumentation, Risikomanagement und Ablaufoptimierung zu verbinden und die unternehmensinternen Prozesse im Bereich der finanziellen Berichterstattung in ihrer Qualität und Effizienz auf eine neue Ebene zu bringen.

Wesentliche Erfolgsparameter sind aus unserer Sicht:

Der Verwaltungsrat übernimmt die klare Führung und Verantwortung.

Definition des Zieles – Positionierung zwischen «compliance only» und «best in class».

Auswahl der richtigen Leute, Setzung eines realistischen Zeithorizonts.

Risikoanalyse, Definition der Kernkontrollen.

Realistische Analyse der Ist-Situation, Definition der Gaps vor allem in Bezug auf Prozessdefinition, -optimierung und -dokumentation.

Pragmatischer Umsetzungsansatz mit klaren Milestones und Projektmanagement.

Einsatz von IT-Tools.

Effiziente Umsetzung, samt Kommunikation.

Nach der Implementierung ist eine Beurteilung der Existenz durch Selbstevaluation oder durch die interne Revision sowie durch eine externe Revisionsstelle zu vollziehen. Gleichzeitig ist eine systematische Prüfung der Einhaltung und Wirksamkeit der Kontrollen empfehlenswert, damit eine kontinuierliche Verbesserung des IKS erzielt werden kann.