La lecture en ligne est gratuite
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres
Télécharger Lire

Audit Update - Internes Kontrollsystem und Risk Management - Stand der Diskussion und Umsetzungsempfehlungen

De
8 pages
Audit UpdateInternes Kontrollsystem und Risk Management Stand der Diskussion und UmsetzungsempfehlungenFebruar/März 2007 ADVISORYDie Neuordnung des Schweizerischen Revisionsrechts (OR) wird vor-aussichtlich per 1. Januar 2008 in Kraft treten. Die Auseinandersetzung mit den Themen internes Kontrollsystem (IKS) und Risikobeurtei-lung, respektive Risikomanagement, gewinnt somit immer mehr an Bedeutung, und der Zeitdruck zur Umsetzung nimmt zu. Der generische Ansatz zur Implementierung und kontinuierlichen Weiterent-Inhaltwicklung eines IKS über die Buchführung und Rechnungslegung ist für alle Unternehmen gleich. Der Umfang und die Ausgestaltung des IKS sind jedoch 1. IKS Projekt Navigator 2 auf die individuellen Bedürfnisse und Risiken der jeweiligen Unternehmung auszurichten. Wir stellen hierzu ein generisches Modell vor – den IKS Projekt 2. Berücksichtigung des IKS Navigator. bei der Revision 5Die Prüfung der Existenz eines IKS wird neu in Art. 728a Abs. 1 Ziff. 3 rev. OR 3. Risikobeurteilung: für die ordentliche Revision ausdrücklich als eigenständiger Prüfungsgegen- Gesetzliche Anforderungen 6 stand erwähnt. Dies stellt eine Ausweitung des gesetzlichen Prüfungsauftrags dar. Wir gehen auf die Veränderungen bezüglich IKS in der Revision gegenüber 4. Risikomanagement: der bisherigen Handhabung ein. Mehr als eine Risikobeurteilung 7Art. 663b Ziff. 12 rev. OR verlangt von den Unternehmen, dass sie im Anhang der Jahres- und Konzernrechnung ...
Voir plus Voir moins

Vous aimerez aussi

Audit Update
Internes Kontrollsystem und Risk Management
Stand der Diskussion und Umsetzungsempfehlungen
Februar/März 2007
ADVISORY
Die Neuordnung des Schweizerischen Revisionsrechts (OR) wird vor-
aussichtlich per 1. Januar 2008 in Kraft treten. Die Auseinandersetzung
mit den Themen internes Kontrollsystem (IKS) und Risikobeurtei-
lung, respektive Risikomanagement, gewinnt somit immer mehr an
Bedeutung, und der Zeitdruck zur Umsetzung nimmt zu.
Der generische Ansatz zur Implementierung und kontinuierlichen Weiterent-
Inhalt
wicklung eines IKS über die Buchführung und Rechnungslegung ist für alle
Unternehmen gleich. Der Umfang und die Ausgestaltung des IKS sind jedoch
1. IKS Projekt Navigator 2
auf die individuellen Bedürfnisse und Risiken der jeweiligen Unternehmung
auszurichten. Wir stellen hierzu ein generisches Modell vor – den IKS Projekt
2. Berücksichtigung des IKS
Navigator.
bei der Revision 5
Die Prüfung der Existenz eines IKS wird neu in Art. 728a Abs. 1 Ziff. 3 rev. OR
3. Risikobeurteilung:
für die ordentliche Revision ausdrücklich als eigenständiger Prüfungsgegen-
Gesetzliche Anforderungen 6
stand erwähnt. Dies stellt eine Ausweitung des gesetzlichen Prüfungsauftrags
dar. Wir gehen auf die Veränderungen bezüglich IKS in der Revision gegenüber
4. Risikomanagement:
der bisherigen Handhabung ein.
Mehr als eine
Risikobeurteilung 7
Art. 663b Ziff. 12 rev. OR verlangt von den Unternehmen, dass sie im Anhang
der Jahres- und Konzernrechnung Angaben über die Durchführung einer Risiko-
beurteilung machen. Von dieser Gesetzesänderung sind alle Aktiengesellschaf-
ten betroffen, sowie andere Rechtsformen, für welche die aktienrechtlichen
Rechnungslegungsvorschriften gelten. Was genau im Anhang offengelegt wer-
den muss, ist vom Gesetzgeber nicht klar geregelt.
Ein ganzheitliches Risikomanagement geht über die Risikobeurteilung hinaus.
Es schliesst ein systematisches Überwachen und Steuern der Risiken ein und
bietet über die gesetzlichen Anforderungen hinaus Chancen und Vorteile für das
Unternehmen. Wir stellen die wesentlichen Elemente eines Risikomanage-
ments vor, welche je nach Grösse und Komplexität unterschiedlich auszugestal-
ten sind. „


2 Audit Update | Februar/März 2007
1. IKS Projekt Navigator
Das Vorgehen in einem IKS-Projekt über die Buchführung Externe Bestimmung
Ist-Analyse
Revisionsstelle Methodikund Rechnungslegung besteht in der Regel aus acht Schrit- 8 1 2ten, die in eine kontinuierliche Projektleitung, -überwachung
und -steuerung eingebettet sind. In diesem Vorgehen sind
die Kontrollen auf drei unterschiedlichen Ebenen und deren
Generelle Zusammenspiel zu berücksichtigen (vgl. nebenstehende
IT-Kontrollen Prozess-
ebene Behebung Auswahl-Abbildung):
Schwachstellen Verfahren7 3
Kontrollen auf Unternehmensebene sind Kontrollen
Unternehmens-
ebene mit durchgreifendem Charakter, die Einfluss auf mehrere
Aspekte der Aufbau- und Ablauforganisation und somit
auch auf mehrere Prozesse innerhalb der Unternehmung
Beurteilung Kontroll- Risiko- / haben können. Es handelt sich beispielsweise um Kom-
Existenz beschreibung Kontrollmatrixpetenzregelungen, Kontrollgremien, eine übergreifende 6 5 4
Überwachung von Kontrollen auf Prozessebene oder ein
systematisches Weisungswesen mit entsprechender
Durchsetzung. 1. Ist-Analyse
Kontrollen auf Prozessebene decken die Risiken einer Jedes Unternehmen verfügt über interne Kontrollen. Die
wesentlichen Fehlaussage in der Buchführung und Frage ist jedoch, wie weit das IKS entwickelt und wie nach-
Rechnungslegung von der Initiierung, Registrierung, Ver- haltig es ist. Deshalb ist eine Ist-Analyse der vorhandenen
arbeitung, Verbuchung bis zum Ausweis von Geschäfts- Informationen, Dokumentationen und Evaluationsinstrumen-
vorfällen innerhalb einzelner Prozesse ab. Es handelt sich te durchzuführen. Es kann sich beispielsweise um Mana-
entweder um so genannte manuelle Kontrollen oder au- gementinformations-Systeme, ein Risikomanagement, Or-
tomatische Applikationskontrollen. Manuelle Kontrollen ganisations- oder Managementhandbücher, Qualitätsmana-
sind beispielsweise die Überprüfung der Korrektheit von gement, ein Berechtigungskonzept, Prozess- oder Kontroll-
Bewertungen oder Bank- und Postcheckkonto-Bestäti- beschreibungen handeln.
gungen. Automatische Applikationskontrollen werden
durch IT-Applikationen, beziehungsweise End-User 2. Bestimmung der Methodik
Computing-Applikationen (zum Beispiel Tabellenkalkula-
tionen), durchgeführt. Es handelt sich beispielsweise um Basierend auf den Erkenntnissen der Ist-Analyse ist die
die Plausibilisierung von Dateneingaben oder automati- Methodik für die nächsten fünf Schritte festzulegen: Aus-
sche Abstimmungen von Hauptbuch und Nebenbüchern. wahlverfahren, Risiko-/Kontrollmatrix, Kontrollbeschreibung,
Beurteilung der Existenz und Behebung der Schwachstellen.
Generelle IT-Kontrollen gewährleisten, dass die auto-
matischen Applikationskontrollen ordnungsmässig funk- Ein Aspekt ist die Definition, welche Risiken und Kontrollen
tionieren. Gibt es beispielsweise im Einkaufsprozess ei- im Projekt abgedeckt werden sollen – nur jene über die
ne automatische Abstimmung zwischen Bestellung, Wa- Buchführung und Rechnungslegung oder auch operationelle
reneingang und Rechnung (automatische Applikations- und Compliance-Risiken und -Kontrollen. Die Erfahrung hat
kontrolle), funktioniert diese Abstimmung nur verlässlich, gezeigt, dass der Umfang bei der Einführung nicht zu weit
wenn die entsprechende IT-Applikation den systemati- gesteckt werden soll, da das IKS-Projekt komplexer und
schen Änderungsverfahren der IT-Abteilung unterliegt zeitintensiver wird und man sich im Detail verlieren kann. Es
(generelle IT-Kontrolle). empfiehlt sich daraus eine phasenweise Erfassung der ein-
zelnen Zielbereiche.
In der Folge werden die einzelnen Schritte beschrieben und
es wird punktuell auf spezifische Aspekte der Kontrollen auf Ein weiterer Aspekt ist die Konsistenz und Qualität der Do-
Unternehmensebene, der Kontrollen auf Prozessebene und kumentation. In der Regel ist es sinnvoll, wenn jede Einheit
der generellen IT-Kontrollen eingegangen. eines Konzerns oder jede Abteilung einer Unternehmung
dieselben Vorlagen, die gleiche Terminologie, beziehungs-
weise ein einheitliches Dokumentationssystem benutzt. Es
ist auch zweckmässig, die Rollen und Verantwortlichkeiten
der einzelnen Funktionen bezogen auf das IKS zu definieren 3 Audit Update | Februar/März 2007
Risiko-/Kontrollmatrix (illustratives und unverbindliches Beispiel)
Jahresrechnung
Schlüssel-
kontrolle
Position Konto Aussagen
Forderungen 1100 X Verkauf Die Mutation (Eingabe KO_3 X Eine Mutation der Ereignis Debitoren-
aus Lieferun- bzw. Veränderung) der Kreditlimite wird im buchhalter
gen und Kreditlimite im System System nur vorge-
Leistungen erfolgt ohne Autorisie- nommen, wenn der
rung des CFOs. Mutationsantrag
Verkauf 3000 durch den CFO
Handelsware autorisiert ist.
… … … … … … … … … … … … … … … …
und zu kommunizieren. Es handelt sich beispielsweise um als auch auf der Ebene statutarische Jahresrechnung durch-
Funktionen wie Konzernleitung/Geschäftsleitung, Enterprise zuführen. In diesem Schritt werden auch die Pilot-Einheiten
Risk Management, Controlling oder Interne Revision. und/oder Pilot-Prozesse identifiziert, um die in Schritt 2
festgelegte Methodik für die Schritte 4 bis 7 zu testen und
3. Auswahlverfahren (auch Scoping genannt) allenfalls anzupassen, damit ein optimaler Ansatz ausgerollt
werden kann.
Das Ziel des Auswahlverfahrens ist die Identifikation der
wesentlichen Prozesse mittels risikoorientierten top-down 4. Risiko-/Kontrollmatrix
Vorgehens. Risikoorientiert heisst, dass grundsätzlich jene
Prozesse berücksichtigt werden, in welchen das Risiko einer Für die im Auswahlverfahren bestimmten wesentlichen
wesentlichen Fehlaussage in der Buchführung und Rech- Prozesse werden die Risiken einer wesentlichen Fehlaussa-
nungslegung hoch ist. Die Erfahrung zeigt, dass Non- ge in der Buchführung und Rechnungslegung sowie die
Routine Prozesse und Schätzungen tendenziell höhere Risi- bestehenden Kontrollen im Unternehmen identifiziert und in
ken enthalten. Top-down heisst, dass in Bezug auf die we- einer Risiko-/Kontrollmatrix einander gegenübergestellt (vgl.
sentlichen Prozesse zuerst identifiziert wird, welche über- obige Abbildung). Diese systematische und umfassende
greifenden Kontrollen bestehen, um das Risiko einer Fehl- Gegenüberstellung zeigt beispielsweise auf, wenn für ein
aussage zu vermindern. Falls keine übergreifenden Kontrol- Risiko keine Kontrolle besteht (=Kontrolllücke). Es kann aber
len vorhanden sind oder sie nicht alle Risiken abdecken, auch festgestellt werden, dass für ein Risiko mehrere Kon-
werden die ergänzenden Kontrollen auf Prozessebene iden- trollen bestehen und allenfalls eine Kontrolle andere Kontrol-
tifiziert. Wenn es sich bei den Kontrollen auf Prozessebene len ersetzen, beziehungsweise ein bestimmtes Risiko allein
um automatische Applikationskontrollen handelt, sind aus- abdecken kann (=Kontrolloptimierung).
serdem die generellen IT-Kontrollen für die betreffenden IT-
Applikationen zu erfassen. Die Risiko-/Kontrollmatrix enthält in der Regel auch Kontrol-
len ohne wesentlichen Einfluss auf die Buchführung und
Im Auswahlverfahren ist weiter zwischen der Ebene Kon- Rechnungslegung. Deshalb sind diejenigen Kontrollen mit
zernrechnung und der Ebene statutarische Jahresrechnung wesentlichem Einfluss, die so genannten Schlüsselkontrol-
für jene Tochtergesellschaften in der Schweiz zu unter- len, entsprechend zu identifizieren, da in den nächsten
scheiden, die einer ordentlichen Revision unterliegen. Auf Schritten des Vorgehens nur noch diese Kontrollen berück-
der Ebene Konzernrechnung bildet der Konzernabschluss sichtigt werden.
die Ausgangslage. Deshalb können sowohl wesentliche
Prozesse in schweizerischen als auch in ausländischen 5. Kontrollbeschreibung
Tochtergesellschaften in den Projektumfang fallen. Auf der
Ebene statutarische Jahresrechnung bildet der Einzelab- Für die in den Risiko-/Kontrollmatrizen identifizierten Schlüs-
schluss die Ausgangslage. Da die Wesentlichkeitsgrenze auf selkontrollen wird eine detaillierte Kontrollbeschreibung er-
der Ebene Konzernrechnung in der Regel höher ist als auf stellt, welche für einen sachverständigen Dritten nachvoll-
der Ebene statutarische Jahresrechnung, können auf der ziehbar sein muss. Deshalb ist es wichtig, dass die Kontroll-
Ebene statutarische Jahresrechnung zusätzliche Prozesse in beschreibung die W-Fragen (wer, was, wie, wie oft, wann,
den Projektumfang fallen, die auf der Ebene Konzernrech- wo, warum) beantwortet. Für automatische Applikations-
nung nicht wesentlich sind. Deshalb ist es wichtig, das kontrollen sind konkrete Funktionsbeschreibungen erforder-
Auswahlverfahren sowohl auf der Ebene Konzernrechnung lich.
Vollständigkeit
Vorhandensein
Genauigkeit
Bewertung
Rechte und
Verpflichtungen
Darstellung und
Offenlegung
Prozess
Risiko
Kontroll- Nummer
Ja
Nein
Kontrolle
Kontrollhäufigkeit
Kontrollverantwortlicher „



















4 Audit Update | Februar/März 2007
6. Beurteilung der Existenz
Beispielhafte Fragestellungen zur Beurteilung des
Entwicklungsgrades des bestehenden internen Mit der Dokumentation ist noch nicht sichergestellt, dass
Kontrollsystems
die Kontrollen richtig ausgestaltet sind und die Schlüssel-
kontrollen wirklich gelebt werden. Deshalb ist die Beurtei-
Ist-Analyse
lung der Existenz vorzunehmen. Dies kann auf verschiedene
Wie wird der Ist-Zustand erhoben und analysiert?
Arten erfolgen, zum Beispiel durch Selbstevaluationen (so Wie werden die gewonnenen Erkenntnisse dokumen-
genannte Control Self Assessments), durch das Manage- tiert?
ment, durch Prüfungen der internen Revision oder durch
Dritte. Dabei können allfällige Schwachstellen identifiziert Bestimmung der Methodik
werden. Welche Risiken und Kontrollen werden im Projekt
abgedeckt – nur jene über die Buchführung und
Rechnungslegung oder auch operationelle und 7. Behebung der Schwachstellen
Compliance-Risiken und -Kontrollen?
Wie wird die Konsistenz der Dokumentation über die Für die identifizierten Schwachstellen ist der Handlungsbe-
Organisation (Einzelgesellschaft/Konzern) hinweg si-
darf festzulegen. Die Korrekturmassnahmen sind entspre-
chergestellt (wie Vorlagen, Terminologie, Sprache
chend zu implementieren und deren Umsetzung ist zu
oder Dokumentationssystem)?
überwachen.
Wie werden die Rollen und Verantwortungen der
einzelnen Funktionen (wie Konzern/Geschäftsleitung,
Der Massnahmenplan inklusive Überwachung kann bei- Enterprise Risk Management, Controlling oder Interne
spielsweise in einer ähnlichen Struktur wie ein Management Revision) bezogen auf das IKS definiert und kommu-
Letter der Revisionsstelle aufgebaut werden. niziert?
Auswahlverfahren8. Externe Revisionsstelle
Wird das Auswahlverfahren top-down und risikoorien-
tiert vorgenommen? Das Management der Unternehmung stellt die relevanten
Werden Risiken und Kontrollen auf Unternehmens-Unterlagen bereit, welche die Revisionsstelle als Ausgangs-
ebene, auf Prozessebene und generelle IT-Kontrollen
lage zur Beurteilung der Existenz des IKS heranzieht.
berücksichtigt?
Deckt das Projekt die Ebene Konzernrechnung wie
Wir empfehlen eine frühzeitige Abstimmung mit der Revisi-
auch die Ebene statutarische Jahresrechnung für jene
onsstelle in den einzelnen Schritten des Vorgehens, um Tochtergesellschaften in der Schweiz ab, die einer or-
Erwartungslücken zu vermeiden. dentlichen Revision unterliegen?
Ist ein Pilot-Prozess oder eine Pilot-Einheit definiert,
Ausblick damit erste Erfahrungen gewonnen werden können?
Die Erfahrung hat gezeigt, dass es sicht lohnt, mit der Um-
Risiko-/Kontrollmatrixsetzung des IKS-Projekts rechtzeitig zu beginnen, damit
Wie werden die Risiken und Kontrollen für einen nicht nur die gesetzlichen Rahmenbedingungen erfüllt wer-
Prozess definiert, und wie werden sie dokumentiert?den können, sondern vor allem auch ein wirkungsvolles
Sind alle in der Risiko-/Kontrollmatrix enthaltenen Führungs- und Steuerungsinstrument entwickelt und imp-
Kontrollen auch Schlüsselkontrollen?
lementiert werden kann.
Kontrollbeschreibung
Wir würden uns freuen, Sie bei der Einführung und Weiter-
Wie und durch wen wird die Qualität der erstellten
entwicklung eines effektiven und effizienten internen Kon- Beschreibungen sichergestellt?
trollsystems unterstützen zu dürfen. Mögliche Einstiegs-
Dienstleistungen von KPMG sind: Beurteilung der Existenz
Wie plant die Unternehmung, die Beurteilung der
Durchführung von Workshops zur Sensibilisierung der Existenz des IKS vorzunehmen?
Wie und durch wen wird die Qualität der Beurteilung Thematik «internes Kontrollsystem»
der Existenz sichergestellt? Erstellung eines Konzeptpapiers (Projekt-Planung; Aus-
wahlverfahren von Einheiten, Konten und/oder Prozes-
Behebung der Schwachstellen sen; Aufwandschätzung; etc.)
Wie ist die Behebung der Schwachstellen im Doku-
Beurteilung des Entwicklungsgrades des bestehenden
mentationsansatz berücksichtigt?
internen Kontrollsystems
Wie wird die Umsetzung der Korrekturmassnahmen
Erhebung und Dokumentation eines Pilot-Prozesses oder
überwacht, und wer fasst entsprechend nach?
einer Pilot-Einheit 5 Audit Update | Februar/März 2007
Gemäss Art. 728b Abs. 1 rev. OR erstattet die Revisions-2. Berücksichtigung des IKS bei der Revision
stelle dem Verwaltungsrat einen umfassenden Bericht. Es
Neue Bestimmungen zum IKS ist unbestritten, dass in diesem Bericht Feststellungen über
das IKS enthalten sein müssen. Hier kann die Revisionsstel-
Im revidierten Revisionsrecht wird das interne Kontrollsys- le Ausführungen darüber machen, wo sie auf Grund ihrer
tem (IKS) nun erstmals explizit in verschiedenen Bestim- verfahrensorientierten Prüfungshandlungen Schwächen im
mungen erwähnt. Art. 728a rev. OR verlangt für die ordent- IKS aufgedeckt hat, die sie kompensieren musste.
liche Revision, dass die Revisionsstelle prüft, ob ein IKS
existiert (Abs. 1 Ziffer 3). Die Revisionsstelle ist verpflichtet, Fraglich ist demgegenüber, ob sich die Revisionsstelle im
bei der Durchführung und bei der Festlegung des Umfangs zusammenfassenden Bericht an die Generalversammlung in
der Prüfung das IKS zu berücksichtigen (Abs. 2). Art. 728b jedem Fall zum IKS äussern muss. Manche Stimmen vertre-
Abs. 1 rev. OR bestimmt, dass die Revisionsstelle im um- ten die Auffassung, dass die Feststellung, es existiere kein
fassenden Bericht an den Verwaltungsrat Feststellungen (genügendes) IKS oder dieses sei nicht funktionsfähig, nicht
über das IKS vorzunehmen habe. in den zusammenfassenden Revisionsbericht zuhanden der
Generalversammlung gehöre, wenn die Jahresrechnung
Die neuen Bestimmungen betreffen nur Unternehmen, die regelkonform ist. In der Revisionsbranche neigt man dem-
einer ordentlichen Revision unterliegen. Aufgrund der gegenüber eher zur Auffassung, im zusammenfassenden
rechtsformunabhängigen Regelung der Revision betrifft dies Revisionsbericht oder einem allfälligen besonderen Bericht
die AG, die GmbH, die Genossenschaft, den Verein und die an die Generalversammlung müsse in jedem Fall ein Hin-
Stiftung. weis angebracht werden, wenn kein IKS besteht.
Das Vorhandensein des IKS wird im OR nicht als ausdrückli- Literaturhinweis: Weitere Details zum neuen Revisionsrecht
che Pflicht der geprüften Gesellschaft formuliert, sondern finden sich in der Publikation «Neuerungen im Gesell-
nur bei den Aufgaben der Revisionsstelle geregelt. Es kann schafts- und Revisionsrecht» (Schulthess Verlag, ISBN 978-
jedoch gefolgert werden, dass der Gesetzgeber erwartet, 3-7255-5329-7).
dass bei Unternehmen, die einer ordentlichen Revision
unterliegen, ein IKS vorhanden ist.
Auszug aus dem Schweizerischen Obligationenrecht
(OR)
Berücksichtigung des IKS bei der Revision
Art. 728a
Schon bisher sahen die massgeblichen Regelwerke der 1 Die Revisionsstelle prüft, ob:
Revisionsbranche vor, dass sich die Revisionsstellen bei 1. die Jahresrechnung und gegebenenfalls die Kon-
ihren Arbeiten auf bestehende Kontrollen innerhalb des zernrechnung den gesetzlichen Vorschriften, den
Unternehmens abzustützen habe. Die Revision sollte den Statuten und dem gewählten Regelwerk entspre-
Ausbaugrad und die Qualität des IKS bei der Planung der chen;
Jahresabschlussprüfung berücksichtigen. 2. der Antrag des Verwaltungsrats an die Generalver-
sammlung über die Verwendung des Bilanzgewin-
Der Grundsatz, wonach die Revisionsstelle bei der Festle- nes den gesetzlichen Vorschriften und den Statuten
gung des Umfangs der Revision das IKS berücksichtigen entspricht;
muss, wird nun in Art. 728a Abs. 2 rev. OR gesetzlich ver- 3. ein internes Kontrollsystem existiert.
ankert. Stellt die Revisionsstelle strukturelle Mängel beim
IKS fest, kompensiert sie dies durch eigene Prüfungshand- 2 Die Revisionsstelle berücksichtigt bei der Durchfüh-
lungen. rung und bei der Festlegung des Umfangs der Prüfung
das interne Kontrollsystem.
Nach Auffassung der Revisionsbranche ist die Prüfung der
Existenz eines IKS wegen der ausdrücklichen Erwähnung in 3 Die Geschäftsführung des Verwaltungsrats ist nicht
Art. 728a Abs. 1 Ziffer 3 rev. OR für die ordentliche Revision Gegenstand der Prüfung durch die Revisionsstelle.
ein eigenständiger Prüfungsgegenstand und stellt eine Aus-
weitung des gesetzlichen Prüfungsauftrags dar. Die Revisi-
onsstelle muss deshalb angemessene Prüfungshandlungen
vornehmen, die es ihr erlauben, die Existenz eines IKS be-
züglich Verlässlichkeit der finanziellen Berichterstattung zu
bestätigen.6 Audit Update | Februar/März 2007
Angaben über die Durchführung einer Risikobeurteilung 3. Risikobeurteilung
im Anhang: Anwendungsbereich
Art. 663b Ziff. 12 rev. OR verlangt von den Unternehmen, Art. 663b Ziff. 12 rev. OR verlangt von den Unternehmen,
dass sie im Anhang der Jahres- und Konzernrechnung An- dass sie im Anhang der Jahres- und Konzernrechnung An-
gaben über die Durchführung einer Risikobeurteilung ma- gaben über die Durchführung einer Risikobeurteilung ma-
chen. Die Interpretation des Artikels 663b ist schwierig und chen. Von dieser Gesetzesänderung sind alle Aktiengesell-
es ist zur Zeit noch nicht abschliessend ersichtlich, was von schaften betroffen, unabhängig davon, ob diese einer or-
den betroffenen Unternehmungen effektiv im Anhang unter dentlichen oder einer eingeschränkten Revision unterliegen.
Angaben zur Durchführung einer Risikobeurteilung aufge- Art. 663b Ziff. 12 rev. OR ist auch auf alle Unternehmen
führt werden muss. KPMG hat sich intensiv mit den Diskus- anwendbar, die einen Anhang nach den Vorschriften des
sionen im Parlament, der Botschaft des Bundesrates sowie Aktienrechts erstellen müssen.
verschiedenen Stellungnahmen von renommierten Juristen
auseinandergesetzt. In der Publikation «Neuerungen im Ausgestaltung der Risikobeurteilung
Gesellschafts- und Revisionsrecht», welche KPMG im Feb- Das Gesetz äussert sich nicht zur Ausgestaltung der Risiko-
ruar 2007 in Zusammenarbeit mit dem Schulthess Verlag beurteilung. Aus den Unterlagen ergibt sich lediglich, dass
herausgibt, beschreiben wir den heute erkennbaren Stand der Gesetzgeber vom Verwaltungsrat eine inhaltliche Ausei-
der Diskussion. Nachstehend zeigen wir Auszüge aus der nandersetzung mit den Unternehmensrisiken erwartet.
erwähnten Publikation. Hinsichtlich der Ausgestaltung der Risikobeurteilung ist der
Verwaltungsrat somit frei. Er muss insbesondere die Grös-
Im Allgemeinen wird die Risikobeurteilung als ein Teilaspekt se, die Komplexität und das Risikoprofil des Unternehmens
eines umfassenden Risikomanagements und damit ein Teil berücksichtigen.
der strategischen Führung eines Unternehmens verstanden.
Ein umfassendes Risikomanagement überwacht und steuert Risiken mit wesentlichem Einfluss auf die Beurteilung
sämtliche Unternehmensrisiken, wie beispielsweise die der Jahresrechnung
strategischen, operativen, finanziellen und rechtlichen Risi- Die Risikobeurteilung im Sinne von Art. 663b Ziff. 12 rev.
ken. Der Risikomanagement-Prozess beinhaltet typischer- OR umfasst nicht sämtliche Geschäftsrisiken. Betroffen sind
weise eine Identifikation der Risiken, eine Analyse der Risi- nur jene Risiken, welche einen wesentlichen Einfluss auf die
ken hinsichtlich Höhe der Auswirkung eines Risikos und der Beurteilung der Jahresrechnung haben könnten. In den
Eintretenswahrscheinlichkeit inklusive einer Gesamtdarstel- Materialien wird als Beispiel der Mangel eines Produkts
lung der Risiken («Risiko-Landkarte»), einen laufenden genannt, welcher zu einem Bewertungsrisiko bei Lagervor-
Überwachungs- und Rapportierungsprozess sowie die Kon- räten und zu Erlösminderungen führt.
trolle und Steuerung der Risiken mittels operativer Mass-
nahmen. Berichterstattung im Anhang
Das Gesetz regelt nicht detailliert, welche Informationen zur
Risikobeurteilung nach bisherigem Recht Risikobeurteilung im Anhang der Jahresrechnung gemacht
Das Aktienrecht enthielt bisher keine ausdrückliche Rege- werden müssen. Von Bundesrat Blocher wurde in den par-
lung zur Risikobeurteilung. Gemäss herrschender Auffas- lamentarischen Beratungen im Sinne einer Negativabgren-
sung ist die Einschätzung der Risiken ein zentrales Element zung klargestellt, dass lediglich die Angabe eines Sitzungs-
der Strategiebildung und gehört daher zur Oberleitung der datums und die Aussage, man habe über die Risiken ge-
Gesellschaft im Sinne von Art. 716a Abs. 1 Ziff. 1 OR. Die sprochen, nicht ausreiche. Weitergehende Schlüsse lassen
Verantwortung für die Risikobeurteilung liegt demnach pri- sich aus den Materialen nicht ziehen. Die Unternehmen
mär beim Verwaltungsrat und den anderen mit der Ge- dürften deshalb einen gewissen Ermessensspielraum ha-
schäftsführung betrauten Personen. Der Verwaltungsrat hat ben.
für ein Risikomanagement «zu sorgen», die Durchführung
des Risikomanagements ist eine Aufgabe der mit der Ge-
schäftsführung betrauten Personen. Ziff. 19 Swiss Code
verlangt vom Verwaltungsrat von Publikumsgesellschaften,
für ein dem Unternehmen angepasstes Risikomanagement
besorgt zu sein. Gesellschaften, deren Aktien an der SWX
kotiert sind, müssen im Corporate Governance-Bericht An-
gaben zur Ausgestaltung der Informations- und Kontrollin-
strumente des Verwaltungsrats machen (Ziff. 3.7 Anhang
RLCG). Als Beispiel solcher Angaben werden in Ziff. 3.7
Anhang RLCG Angaben zum Risikomanagement-System
genannt.„




7 Audit Update | Februar/März 2007
5. Die Risikokontrolle und -steuerung, beziehungsweise die 4. Risikomanagement:
laufende Steuerung der Risiken, ist eine wiederkehrende Mehr als eine Risikobeurteilung
Aufgabe der Führungskräfte, genau so wie die laufende
Optimierung der übrigen Geschäftsprozesse. Durch ein Das Risikomanagement geht über die Risikobeurteilung
Involvieren der Verantwortlichen und die Festlegung der hinaus, da dieses zusätzlich ein systematisches Überwa-
zu überwachenden Indikatoren trägt das Risikomanage-chen und Steuern der Risiken beinhaltet. Im Rahmen der
ment massgeblich zu einer Performance-Verbesserung nächsten Strategieentwicklung wäre es sinnvoll, die Risiko-
und zur Erreichung der gesetzten Ziele bei. beurteilung einfliessen zu lassen. Denn erstens gehören
Risiken genau gleich wie Chancen in den Prozess der Stra-
tegieerarbeitung, und zweitens wird damit der gesetzlichen
Neuerung frühzeitig Rechnung getragen. Einen zusätzlichen «Swiss Code of Best Practice for Corporate
Governance» als Leitlinie und Empfehlung Nutzen bietet das Risikomanagement, indem es als Basis
für den Aufbau eines internen Kontrollsystems dient, für die
Banken eine zusätzliche Information innerhalb dem Rating Der «Swiss Code» wendet sich an die schweizerischen
nach Basel II ergibt und nicht zuletzt ein Bestandteil von Publikumsgesellschaften. Einzelne Punkte betreffen
Corporate Governance darstellt, was im Swiss Code of Best institutionelle Anleger und Intermediäre. Er soll Leitlinien
Practice for Corporate Governance deutlich unterstrichen setzen und Empfehlungen abgeben, nicht den Schwei-
wird. zer Unternehmen eine Zwangsjacke anziehen. Jede
Gesellschaft soll die Möglichkeit behalten, eigene Ges-
Ein Risikomanagement besteht aus folgenden Elementen, taltungsideen zu verwirklichen.
welche je nach Grösse und Komplexität unterschiedlich
ausgereift sind: Internes Kontrollsystem, Umgang mit Risiken und
Compliance (Kapitel II, Teil f)
1. Die Risikopolitik und ein Risikohandbuch bilden den
Rahmen für ein umfassendes Risikomanagement. Diese 19 Der Verwaltungsrat sorgt für ein dem Unterneh-
bilden die Basis für eine gemeinsame Sprache, und wir men angepasstes internes Kontrollsystem und
empfehlen, diese in die gesamte Unternehmensüberwa- Risikomanagement.
chung («Corporate Governance») zu integrieren.
Das interne Kontrollsystem ist der Grösse, der Kom-
2. Die Risikoidentifikation kann mittels Interviews, Frage- plexität und dem Risikoprofil der Gesellschaft anzu-
bogen oder Workshops durchgeführt werden. Wir emp- passen.
fehlen, diese Top-Down (also mit den Führungsorganen) Das interne Kontrollsystem deckt, je nach den Be-
sowie gleichzeitig Bottom-Up (mit ausgewählten mittle- sonderheiten der Gesellschaft, auch das Risikomana-
ren Kadern oder Mitarbeitenden) zu erarbeiten. Der Weg gement ab; dieses bezieht sich sowohl auf finanzielle
ist das Ziel, und oftmals sind die Diskussionen genau so wie auf operationelle Risiken.
interessant wie die Resultate an sich, vor allem, wenn Die Gesellschaft richtet eine interne Revision ein.
diese zusätzlich über die Divisions- und Funktionsgrenzen Diese erstattet dem Prüfungsausschuss («Audit Com-
hinweg geführt werden. mittee») oder gegebenenfalls dem Präsidenten des
Verwaltungsrats Bericht.
3. Die Quantifizierung der Risiken kann in einem ersten
Schritt pragmatisch sein, und vielleicht sollte es sogar 24 Der Prüfungsausschuss bildet sich ein eigenstän-
eher eine qualitative Bewertung sein. Die Quantifizierung diges Urteil über die externe Revision, das interne
kann perfektioniert werden, indem Sensitivitätsanalysen Kontrollsystem und den Jahresabschluss.
und Ursachen-Wirkungs-Analysen durchgeführt werden.
Damit werden diejenigen Parameter und Treiber definiert, Der Prüfungsausschuss macht sich ein Bild von der
die in der Folge für die Risikoüberwachung und Steue- Wirksamkeit der externen Revision (Revisionsstelle
rung durch Massnahmen entscheidend sind. und gegebenenfalls Konzernrechnungsprüfer) und der
internen Revision sowie über deren Zusammenwirken.
4. Risikoüberwachung und -Reporting bedingt die Definition Der Prüfungsausschuss beurteilt im Weiteren die
von Risiko-Verantwortlichen, die Zuteilung der Risiken Funktionsfähigkeit des internen Kontrollsystems mit
und deren Treiber inklusive geeigneter Messgrössen als Einbezug des Risikomanagements und macht sich ein
Indikatoren. Wir empfehlen, das «Controlling» möglichst Bild vom Stand der Einhaltung der Normen (Compli-
eng an die bereits existierenden Controlling-Abläufe anzu- ance) in der Gesellschaft.
lehnen und das Risikoreporting in das bestehende MIS
(Management Informationssystem) zu integrieren. kpmg.ch
Contact us
Hauptsitz Deutschschweiz Martin Schaad Stéphane Gard
Partner, Leiter Audit Partner, Leiter Audit
Günter Haag Reto Stalder KPMG Zürich KPMG Lausanne
Partner, Leiter Audit Leiter Audit Tel. +41 44 249 2026 Tel. +41 21 345 0335
KPMG Schweiz KPMG Aarau Fax +41 44 249 3311 Fax +41 21 345 3888
Tel. +41 44 249 2046 Tel. +41 62 834 4860 martinschaad@kpmg.com sgard@kpmg.com
Fax +41 44 249 2029 Fax +41 62 834 4880
ghaag@kpmg.com rstalder@kpmg.com Ingrid Marbacher Stefano Ponta
Partner, Leiterin Audit Leiter Audit
Stefan Inderbinen KPMG Zug KPMG Neuenburg
IKS / Risikobeurteilung Leiter Audit Tel. +41 41 727 7439 Tel. +41 32 727 6137
KPMG Basel Fax +41 41 727 7400 Fax +41 32 727 6158
Hans-Ulrich Pfyffer Tel. +41 61 286 9318 imarbacher@kpmg.com sponta@kpmg.com
Partner, Leiter Internal Audit Fax +41 61 286 9401
Services stefaninderbinen@kpmg.com Joel Etique
KPMG Schweiz Liechtenstein Partner, Leiter Audit
Tel. +41 44 249 2777 Christoph Andenmatten KPMG Délemont
Fax +41 44 249 4963 Partner, Leiter Audit Hans Vils Tel. +41 32 423 4515
hpfyffer@kpmg.com KPMG Bern Partner, Leiter Audit Fax +41 32 423 4511
Tel. +41 31 384 7723 KPMG Liechtenstein jetique@kpmg.com
Simon Marti Fax +41 31 384 7647 Tel. +423 237 7055
Leiter Kompetenzcenter candenmatten@kpmg.com Fax +423 237 7050
Interne Kontrolle Schweiz hvils@kpmg.com Ticino
KPMG Schweiz Markus Forrer
Tel. +41 44 249 4519 Partner, Leiter Audit Lorenzo Job
Fax +41 44 249 4963 KPMG Luzern Suisse Romande Partner, Leiter Audit
smarti@kpmg.com Tel. +41 41 368 3759 KPMG Lugano
Fax +41 41 368 3888 Adrian Duerig Tel. +41 91 912 1220
Stefan Buser mforrer@kpmg.com Leiter Audit Fax +41 91 912 1213
Leiter Kompetenzcenter KPMG Fribourg
Enterprise Risk Kurt Stocker Tel. +41 26 347 4931
Management Partner, Leiter Audit Fax +41 26 347 4901
KPMG Schweiz KPMG St. Gallen aduerig@kpmg.com
Tel. +41 44 249 2191 Tel. +41 71 272 0056
Fax +41 44 249 4963 Fax +41 71 272 0051 William Laneville
sbuser@kpmg.com kstocker1@kpmg.com Partner, Leiter Audit
KPMG Genf
Tel. +41 22 704 1624
Fax +41 22 347 7313
williamlaneville@kpmg.com
Die hierin enthaltenen Informationen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände © 2007 KPMG Holding Ltd, a Swiss corporation
einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu and a member firm of the KPMG network of
liefern, besteht keine Gewähr dafür, dass diese die Situation zum Zeitpunkt der Herausgabe oder eine zukünf- independent member firms affiliated with KPMG
tige Sachlage widerspiegeln. Die genannten Informationen sollten nicht ohne eingehende Untersuchung und International, a Swiss cooperative. All rights
eine professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen. reserved. Printed in Switzerland.