Risikokontrolle mit einem Internen Kontrollsystem IKS
- 06.05.2022
Symbolbild: Risikokontrolle IKS (Quelle: wutwanfoto, iStock)
Wie kriegen Sie in Ihrer Firma Risiko in den Griff? Ohne grossen Papierkram eine wirkungsvolle Risikokontrolle mit einem Internen Kontrollsystem führen. Wie macht man das, wenn Unsicherheit und Risiken bereits wachsen?
Autoren: Daniel V. Christen, Anouk Marazzi
Sie kennen die Risiken Ihrer Unternehmertätigkeit und unterschätzen diese nicht. Deshalb wollen Sie sich mit einem Internen Kontrollsystem systematisch darum kümmern.
Hier erfahren Sie, wie Sie für eine wirkungsvolle Risikokontrolle im Rahmen eines Internen Kontrollsystems – kurz IKS – passende Risikomassnahmen definieren und überwachen. Und wie Sie wenn nötig eingreifen, um Schaden für Ihre Firma abzuwenden.
Das ist Teil 2 einer mehrteiligen Serie zu Risikobewertung und Risikomassnahmen für KMU.
Teil 1 widmet sich der Bestimmung und Bewertung der Risiken in Ihrer Firma.
Teil 3 widmet sich der Risikovorsorge mit Rückstellungen, die von der Steuer absetzbar sind.
Die Geschäftsprozesse in Ihrem Unternehmen stellen sicher, dass eine korrekte Durchführung der Arbeit erfolgt. Und die Mitarbeitenden Rahmenbedingungen wie Effizienz und Erreichung der Ziele einhalten. Hier leistet das Interne Kontrollsystem (oft als «IKS» abgekürzt) als Steuerungs- und Überwachungssystem von Risiken einen wichtigen Beitrag. Weil es etwaigen Schäden am Unternehmen vorbeugt oder diese minimiert.
Richtig gemacht, ist das IKS also ein Gewinnträger und kein administrativer Kostenfaktor: Denn das IKS trägt unmittelbar zur Steigerung von Effektivität und Effizienz der operativen Geschäftstätigkeit bei. So sichert ein IKS die Unternehmensexistenz, sollte es mal richtig riskant werden. Manchmal ist ein IKS sogar gesetzlich vorgeschrieben.
Mit den folgenden fünf Schritten gelingt Ihnen Einführung und Betrieb Ihres IKS als einer wirkungsvollen Risikokontrolle ganz sicher.
Geschäftsprozesse auf Risikorelevanz prüfen
Zuerst identifizieren Sie diejenigen Geschäftsprozesse, welche Risiken beinhalten, die wiederum die Erreichung der Unternehmensziele beeinträchtigen könnten. Das sind die IKS-relevanten Prozesse. Jedem dieser IKS-Risiken können Sie nun Kontrollen zuteilen. Ziel ist es, einen vollständigen Risiko- und Kontrollkatalog zu erstellen, welcher mit den jeweiligen Geschäftsprozessen verlinkt ist.
Tipp 1:
IKS-relevante Prozesse sind all jene Prozesse, deren Risiken die Erreichung der definierten operativen Unternehmensziele erschweren oder unmöglich machen.
Risiken bewerten
Bei der Risikobewertung legen Sie für jedes definierte Risiko die Eintrittswahrscheinlichkeit und das Schadenpotential fest. So entsteht eine Risikomatrix. Lesen Sie dazu mehr in Teil 1 dieser Serie unter «4. Risikomatrix».
Tipp 2:
Die Bewertung soll pro Risiko individuell erfolgen, denn es geht um Eintrittswahrscheinlichkeit des Risikos und dessen finanzielle Tragweite bzw. Schadenspotenzial. Wiederholen Sie diese Bewertung in regelmässig Intervallen unter Berücksichtigung relevanter Änderungen im Umfeld.
Kontrollen durchführen
Für jedes Risiko haben Sie schon Kontrollen entworfen (siehe 1. oben). Nun ist wichtig, dass das Kontrollsystem von den verantwortlichen Personen auch tatsächlich gelebt wird. Es bewährt sich, die Kontrolldurchführung in die Prozesse zu integrieren ist. Auch das Ergebnis der Kontrolle soll standardisiert dokumentiert und an die intern zuständige Person rapportiert werden.
Tipp 3:
Für eine tiefe Verankerung des IKS in Ihrem Unternehmen empfehlen wir die explizite Bestätigung der Kontrolldurchführung durch die ausführende Person selbst (z.B. Kontrollliste persönlich unterzeichnen). Durch das Einholen von Kontrollbeweisen in periodischen Intervallen kann eine effektive Prozessabwicklung sichergestellt werden.
Kontrollen testen
Auch die Kontrollen selbst sollten regelmässig überprüft werden. Damit hinterfragen Sie, ob die gewählte Kontrolle effizient und durchführbar ist und wirksam funktioniert. Die Einschätzung kann beispielsweise durch Gegenchecks («Vieraugenprinzip») validiert werden.
Tipp 4:
Eine korrekte und realistische Einschätzung der gewählten Kontrollmethoden hilft Fehler aufzudecken. Sie macht möglicherweise neue Risiken oder Handlungsbedarf sichtbar. So verhindern Sie, dass Ihr IKS zu einem «Papiertiger ohne Zähne» wird.
Korrekturen ergreifen
Ergibt sich Korrekturbedarf, so müssen die neuen Massnahmen einen klaren Fokus auf Verbesserungsmöglichkeiten in den Geschäftsprozesse selbst legen, damit der Fehler oder das Risiko nicht mehr auftreten kann.
Tipp 5:
Möglich wäre auch, dass die gewählte Kontrollmethode gar nicht geeignet war. Dann muss die Kontrollmethode korrigiert werden, während der Geschäftsprozess unverändert weiter bestehen kann.
Fallbeispiele
|
Beispiel 1: Hackerangriff auf das Firmennetz |
|
| Wahrscheinlichkeit | Hoch |
| Massnahmen | Netzwerk wird mit Firewall gegen das Internet abgesichert. Jeder Rechner wird mit Antivirus Software abgesichert. Abschluss Cyber-Versicherung prüfen. |
| Verantwortlich | IT |
| Kontrollmethode | Quartalsweise vollständige und aktualisierte Software prüfen. |
|
Beispiel 2: Mitarbeiter löscht versehentlich oder mutwillige Daten |
|
| Wahrscheinlichkeit | Mittel |
| Massnahmen | Berechtigungskonzept schränkt Zugriffe ein. Tägliches Backup erlaubt Wiederherstellung der Daten und Programme. |
| Verantwortlich | IT |
| Kontrollmethode | Quartalsweise Zugriffsberechtigungen prüfen. Tägliches Backup protokollieren. |
|
Beispiel 3: Unklare Verantwortlichkeit bezüglich Versicherungen |
|
| Wahrscheinlichkeit | Tief |
| Massnahmen | Prozess Versicherungen / Outsourcing an Broker klar definieren. |
| Verantwortlich | CFO |
| Kontrollmethode | Jährlich Prozess auf klare Verantwortlichkeiten überprüfen. |
Fazit
Ein gutes Internes Kontrollsystem IKS wird tatsächlich gelebt und damit kein administrativer Papiertiger. Es generiert einen spürbaren Mehrwert für die Unternehmung, wenn es als integraler Bestandteil der Geschäftstätigkeit auf allen Ebenen etabliert und als solches verstanden wird.
Ein gutes IKS wirkt über Organisationsbereiche hinweg und zeigt Fortschritte auf, beziehungsweise welches die nächsten Schritte sind. Damit trägt es zur Gesamtleistung des Unternehmens und zur Erreichung der Unternehmensziele bei.
Revisoren nutzen integrierte Prozess-/Risiko-/Kontrollberichte des IKS häufig, um ein konsistentes und qualitativ hochwertiges Revisionsergebnis sicherzustellen.
Die Einführung eines IKS und die Kontrollmassnahmen können Finanzierungsbedarf auslösen. Wir unterstützten Sie gerne. Buchen Sie noch heute Ihr kostenloses Erstgespräch mit einem unseren Experten.
Weiterführende Links:
Gesetzliche Grundlagen des IKS
VR-Wissen zum IKS