• News
• Events
• Young Counsel Forum
• Newsletter

1. Begriff und Hintergrund

Der Begriff des internen Kontrollsystems (IKS) ist gleichbedeutend mit interner Kontrolle und geht zurück auf das Committee of Sponsoring Organizations of the Treadway Commission (COSO). Eine Beschreibung und einen Modellvorschlag für die Ausgestaltung des IKS legte das Gremium erstmals 1992 in einer Verlautbarung mit dem Titel «Internal Control – Integrated Framework» (COSO-Framework) vor. Übernommen im Sarbanes-Oxley Act und in Erlassen der US-Börsenaufsichtsbehörde sowie des Public Company Accounting Oversight Board fanden die Ideen der COSO ihren Weg auch in die Schweiz.

Nach dem COSO-Framework ist unter einem IKS die Gesamtheit aller von Verwaltungsrat und Geschäftsleitung angeordneten Vorgänge, Methoden und Massnahmen zu verstehen, die dazu dienen, einen ordnungsgemässen Ablauf des betrieblichen Geschehens sicherzustellen. Gemeint ist damit weder eine bloss nachträgliche Kontrolle noch eine organisatorische Parallelmassnahme, sondern die prozessabhängige Begleitung von Unternehmensleitungstätigkeiten. Solche steuernden und präventiven Vorkehrungen müssen in die gewöhnlichen Betriebsabläufe integriert sein, um ihren Zielen gerecht werden zu können.

Mit einer prozessgesteuerten internen Kontrolle werden mehrere Ziele verfolgt. Einerseits soll sie dazu beitragen, die Effektivität und Effizienz der unternehmerischen Tätigkeit zu steigern. Andererseits kann bei richtiger Umsetzung die Verlässlichkeit der Finanzberichterstattung erhöht und auch die Compliance verbessert werden. Finales Ziel ist schliesslich die Reduzierung der Risiken, welche sich durch die Unternehmenstätigkeit ergeben, auf ein tragbares Niveau.

Nicht gleichzusetzen ist das vorgängig beschriebene IKS im weiteren Sinne mit der internen Revision. Diese kann im Rahmen der Überwachung lediglich eine Teilkomponente der gesamten internen Kontrolle darstellen (IKS im engeren Sinne). Genauso wenig erhebt das IKS den Anspruch, ein System für Risikomanagement zu sein. Dessen Handling ist vielmehr die Aufgabe der operativen Unternehmensführung.

2. Bestandteile eines IKS

Das COSO-Framework teilt das IKS in fünf Bestandteile ein. Erstens muss mit der Managementphilosophie, dem Führungsstil und den angewendeten ethischen Grundsätzen die Basis für ein angemessenes Kontrollumfeld geschaffen werden. Als zweite Komponente dient die Risikobeurteilung der Identifikation und Bewertung der für das Geschäft relevanten Risiken. Die Kontrolltätigkeit bildet die dritte Komponente des IKS und umfasst organisatorische als auch technische Massnahmen innerhalb der gewöhnlichen Betriebsabläufe. Das vierte Standbein bildet ein angemessenes Informations- und Kommunikationssystem, welches vor allem auch die Informationsvermittlung an die Mitarbeiter vorsieht. Schliesslich – als fünfter Bestandteil – muss das IKS andauernd überwacht und kontrolliert werden, um das Funktionieren des Systems sicherzustellen.

3. Anwendungsbereich des IKS

Banken, Effektenhändler und Versicherungsgesellschaften sind aufgrund spezialgesetzlicher Bestimmungen verpflichtet, ein wirksames IKS vorzusehen. Seit Inkrafttreten der neuen Revisionsbestimmungen müssen nach Art. 728a OR ferner sämtliche Gesellschaften, die freiwillig oder von Gesetzes wegen der ordentlichen Revision unterliegen, über ein IKS verfügen. Vorgeschrieben ist die ordentliche Revision für (a) Publikumsgesellschaften (d.h. an der Börse kotierte Gesellschaften), (b) Gesellschaften, die zur Erstellung einer Konzernrechnung verpflichtet sind und (c) Gesellschaften, die zwei der nachstehenden Grössen in zwei aufeinander folgenden Geschäftsjahren überschreiten: Bilanzsumme von CHF 10 Millionen, Umsatz von CHF 20 Millionen und 50 Vollzeitstellen im Jahresdurchschnitt. Ein IKS ist demnach für sämtliche wirtschaftlich bedeutenden Unternehmen, die als juristische Person organisiert sind (AG, GmbH, Genossenschaft, Verein und Stiftung), Pflicht.

4. Anforderungen an ein IKS

Der Gesetzgeber verzichtet auf eine konkrete Regelung der Ausgestaltung des IKS und beschränkt sich darauf, die Grundzüge und Erwartungen im Zusammenhang mit der finanziellen Berichterstattung zu formulieren. Infolge unterschiedlicher Unternehmens-Voraussetzungen und -Ziele variieren auch die Anforderungen an ein IKS. Nicht jedes Unternehmen muss über das gleiche bzw. ein gleich formalisiertes IKS verfügen. Die nötige Breite ist zwar hauptsächlich durch das COSO-Framework vorgezeichnet, dennoch weist hinsichtlich der Tiefengestaltung jedes IKS grosses Skalierungspotential auf. Von standardisierten zu überwachten bis hin zu optimierten Prozessen lassen sich die IKS-Aktivitäten unterschiedlich definieren. Ein IKS lässt sich folglich dem Kontrollumfeld eines Unternehmens und dessen Risikoprofil anpassen. Kosten und Nutzen sollten gegenübergestellt werden. Der effektive Nutzen eines IKS liegt letztlich in der Abwägung zwischen Kosten und Risiken und erinnert etwa an den sog. Risk-Based Approach, der sich in den letzten Jahren bei den Banken zur Geldwäschereibekämpfung durchgesetzt hat. Nicht jedes, sondern das Gros an Risiken soll überwacht bzw. eliminiert werden.

5. IKS und Revision

Seit der Inkraftsetzung des revidierten Revisionsrechts hat die Revisionsstelle bei der Durchführung und Festlegung der ordentlichen Revision das IKS zu berücksichtigen und dessen Existenz als Bestandteil des Anhangs und damit der Jahresrechnung zu überprüfen (Art. 728a OR). Umstritten, und bis heute nicht restlos geklärt, ist der genaue Gegenstand und das Ausmass der Prüfung. Der gesetzgeberische Wortlaut verpflichtet die Revisionsstelle bloss festzustellen, ob ein IKS überhaupt vorhanden ist. Die in der ursprünglichen Fassung vorgesehene Funktionsprüfung wurde im Rahmen der parlamentarischen Beratung wieder gestrichen, da ein zu starker Anstieg der Revisionskosten befürchtet wurde. Die Treuhand-Kammer vertritt ihrerseits die Auffassung, dass ein zwar vorhandenes und dokumentiertes, aber nicht gelebtes IKS keines im Sinne des Gesetzgebers ist. Folglich genügt auch eine Beschränkung der Prüfung auf die Durchsicht der IKS-Dokumentation nicht. Vielmehr muss sich die Revisionsstelle vom Vorhandensein und von der Wirksamkeit eines IKS überzeugen können, um ein entsprechendes Prüfungsurteil abgeben zu können.

Streitig ist ausserdem, ob der Gesetzgeber den Begriff des internen Kontrollsystems im engeren Sinne (d.h. Strukturen, welche die Qualitätssicherung der Rechnungslegung gewährleisten) oder im weiteren Sinne (d.h. die Gesamtheit aller Kontrollmassnahmen in einem Unternehmen) verwendet hat. Aufgrund von Sinn und Zweck der Regelung als auch deren Entstehungsgeschichte ist in der Tendenz davon auszugehen, dass die Legislative ein weit gefasstes Kontrollsystem anvisierte. Konzentriert man sich jedoch auf eine funktionale Betrachtungsweise, so hat die Revisionsstelle bloss jene Teile des IKS einer Prüfung zu unterziehen, welche von wesentlicher Bedeutung für die Rechnungslegung sind. Eine weitergefasste Untersuchung würde in letzter Konsequenz dazu führen, dass die Geschäftsführung zum Prüfungsgegenstand wird. Ob diese Kontrolle im Interesse der Revisionsstelle, der Unternehmensleitung und letztlich des Unternehmens selbst liegt, ist fraglich.

Über das Prüfungsergebnis hat die Revisionsstelle dem Verwaltungsrat umfassend Bericht zu erstatten. Dabei geht sie insbesondere auch auf gegebenenfalls festgestellte Schwächen des IKS ein. Eine Zusammenfassung des Berichts richtet sie an die Generalversammlung. Weist das IKS wesentliche Lücken auf oder fehlt ein solches sogar vollständig, hat die Revisionsstelle in ihrem Prüfungsbericht darauf hinzuweisen und darf bloss ein eingeschränktes Testat erteilen.

6. IKS als Führungsinstrument

Das IKS ist insbesondere für grössere Unternehmen ein wichtiges und unabdingbares Führungsinstrument. Es wird als wesentlicher Bestandteil einer guten Unternehmensführung (Corporate Governance) angesehen. Im Rahmen der Oberleitungspflicht ist es die Aufgabe des Verwaltungsrates, das IKS in seinen Grundzügen zu definieren. Hat er die Geschäftsführung delegiert, sind die Mitglieder der Geschäftsleitung für die konkrete Ausgestaltung und Umsetzung des IKS zuständig und haben dabei auf die individuelle Situation des Unternehmens Rücksicht zu nehmen. Der Verwaltungsrat seinerseits hat dafür zu sorgen, dass das IKS kein toter Buchstabe bleibt. Sämtliche Schritte müssen dokumentiert und fortlaufend überwacht werden. Ein IKS ist keine einmalige Aufgabe, sondern ein ständig wiederkehrender Prozess, der im Unternehmen gelebt werden muss. Nur so gelingt es, drohende Risiken auf ein für das Unternehmen tragbares Mass zu limitieren.