Revisionspflicht, Inhalt der Revision und Anforderungen an Berichterstattung und Prüfer wurden durch eine Änderung des Schweizerischen Obligationenrechts (OR) neu geregelt. Die neuen Bestimmungen gelten für Perioden, die am 1. Januar 2008 oder danach beginnen. Demnach hat die Revisionsstelle künftig u.a. zu prüfen, ob ein internes Kontrollsystem (IKS) existiert (Art. 728a Abs. 1 Ziff. 3 OR). Dies wird von vielen Unternehmen zuerst einmal als zusätzliches administratives Hindernis betrachtet. Deshalb soll an dieser Stelle der Nutzen des IKS kurz zusammengefasst werden: Ein wirksames internes Kontrollsystem unterstützt das Erreichen der Unternehmensziele durch die bewusste Steuerung der relevanten Prozesse, die Effizienz und Sicherheit der Prozesse, ebenso wie das Verhindern von Fehlern und Unregelmässigkeiten. Wie sieht nun das Vorgehen des Prüfers aus und welches sind die Auswirkungen auf die Berichterstattung?
Vorgaben des Berufsstandes
Die Treuhand-Kammer hat einen Prüfungsstandard (PS 890) erarbeitet, der die Prüfung des IKS regelt. Neu ist, dass die Treuhand-Kammer nicht mehr allein als Standardsetter auftreten kann. Nachdem mit dem Revisionsaufsichtsgesetz die Zeit der Selbstregulierung beendet ist, wurde der Standard von der Revisionsaufsichtsbehörde überprüft und gutgeheissen. Dieser PS wird in diesen Tagen publiziert. Der Standard ist für alle Prüfgesellschaften, die der Treuhand-Kammer angehören, verbindlich anzuwenden.
Der Verwaltungsrat trägt die Gesamtverantwortung für die Ausgestaltung, Implementierung und Aufrechterhaltung eines IKS im Unternehmen. Er muss sicherstellen, dass geeignete und angemessene Kontrollmassnahmen bestehen, die dazu dienen, wesentliche Fehler in der finanziellen Berichterstattung zu verhindern, aufzudecken oder zu korrigieren. Die Revisionsstelle dagegen prüft, ob das vom Verwaltungsrat ausgestaltete IKS für die finanzielle Berichterstattung existiert und erstattet darüber Bericht.
Bereits heute sehen internationale und nationale Prüfungsstandards vor, dass sich der Prüfer bei seinen Arbeiten auf vorhandene Kontrollen abstützt. Der Einbezug der Erkenntnisse aus diesen Prüfungen – ohne darüber einen Bericht abgeben zu müssen – diente bis anhin vorab der Prüfungsunterstützung (z.B. zur Identifikation von risikobehafteten Prüfgebieten). Diesem Umstand wird im revidierten Art. 728a Abs. 2 ebenfalls Rechnung getragen.
Das neue Recht erwähnt die Prüfung der Existenz des IKS nunmehr ausdrücklich als gesonderten Prüfungsgegenstand, was eine Ausweitung des gesetzlichen Prüfauftrages und für die IKS-Prüfungen eine weitergehende Formalisierung bedeutet. Nicht Bestandteil der IKS-«Existenzprüfung» ist die Prüfung des dauerhaften und einwandfreien Funktionierens des IKS.
Anforderungen an Prüfbarkeit
Damit die Existenz des IKS überhaupt geprüft werden kann, müssen folgende allgemeine Voraussetzungen gegeben sein:
Im Unternehmen ist generell ein Kontrollbewusstsein vorhanden;
das IKS ist vorhanden und nachprüfbar, d.h. es ist dokumentiert;
das IKS ist den Geschäftsrisiken und der Geschäftstätigkeit angepasst und
das IKS ist den zuständigen Mitarbeitern bekannt und es wird angewendet.
Die Dokumentation des IKS ist von zentraler Bedeutung für die Prüfung. Das IKS ist derart zu dokumentieren, dass wesentliche Vorgänge auf Unternehmens- und Prozessebene sowie im IT-Bereich nachvollzogen werden können. Dabei muss für die Revisionsstelle jeweils überprüfbar sein, welches die wesentlichen Risiken sind und wie die zugeordneten Schlüsselkontrollen dazu ausgestaltet und durchgeführt wurden.
Umfang und Detaillierungsgrad dieser Dokumentation liegen dabei im Ermessen des Unternehmens. Sie müssen der Grösse, der Komplexität und dem Risikoprofil des Unternehmens angepasst sein. Auf dieser Basis wird der Prüfer das IKS in seiner Gesamtheit einschliesslich der IKS-Dokumentation analysieren, Prüfstrategie und -umfang festlegen, das daraus definierte Prüfungsprogramm durchführen und schliesslich seine Feststellungen und Schlussfolgerungen in den Arbeitspapieren dokumentieren. Als Prüfverfahren für die ausgewählten Schlüsselkontrollen stehen zur Verfügung: Durchsicht der betreffenden Unterlagen, Befragung, Beobachtung, Überprüfung sowie die Wurzelstichprobe. Bei diesem sogenannten Walk-through-Test wird ein einzelner Geschäftsfall von Anfang (Erfassung des möglicherweise buchungspflichtigen Sachverhaltes) bis zum Ende (Buchung bzw. Ausweis in der finanziellen Berichterstattung) nachvollzogen und die Dokumentation der Durchführung der definierten Schlüsselkontrollen geprüft.