Produkte
Sicherheitsaudit / Sofortmassnahmen
Risiko Analyse / Portfolio
Massnahmenkatalog und -Umsetzung
Baulich / technische Schutzkonzepte
Ereignismanagement
Sicherheitsorganisation
Krisenmanagement
Ext. Krisenmanagement-
Unterstützung
IT-Sicherheit /
Informationsschutz
Schulung / Training
Re-Auditierung
Internes Kontroll-System
und Compliance
Wissens-Datenbank
Artikel
Fallstudien

Internes Kontroll-System (IKS) & Gesetzestreue (Compliance)

Wirtschaftsskandale bedingt durch den Niedergang der Swissair oder der Konkurs der Erb-Gruppe in Winterthur etc. waren ausschlaggebend für die Verschärfung der einschlägigen Gesetzgebung. IKS steht für Internes Kontroll-System und ist aufgrund der aktuellen gesetzlichen Bestimmungen ein hoch-aktuelles und notwendiges Thema. Obwohl Massnahmen zur internen Kontrolle seit langem als unternehmerische Pflicht zu verstehen sind, beginnen Unternehmer – bedrängt durch die entsprechenden Auflagen – sich erst jetzt mit den sich daraus ergebenden Anforderungen näher zu befassen. Schweizer Unternehmen (AG’s, GmbH’s, Genossenschaften und Stiftungen), welche einer ordentlichen bzw. eingeschränkten Revision unterliegen, müssen neu ab dem 1.1.2008 einen verbindlichen Nachweis bezüglich der erfolgreichen Einführung und nachhaltigen Aufrechterhaltung eines internen Kontrollsystems (IKS) im Anhang der Jahresrechnung dokumentieren (Art. 663b Ziff 12. OR).

Ein Internes Kontrollsystem (IKS) besteht aus systematisch gestalteten organisatorischen Massnahmen und Kontrollen (Supervision) im Unternehmen, welche die Einhaltung von Richtlinien zur Abwehr von Schäden, die durch das eigene Personal oder kriminelle Dritte verursacht werden können, gewährleistet. Diese Massnahmen umfassen insbesondere organisatorische aber auch baulich/technische Schutzvorkehrungen und Einrichtungen.

Der englische Begriff der Compliance bezeichnet die Einhaltung von Verhaltensmassregeln, Gesetzen und Richtlinien und passt daher thematisch sehr gut zum IKS ohne in allen Anwendungen identisch zu sein. Ziele und Bedingungen eines IKS führen ebenfalls zu einer engen Verzahnung mit dem Risiko-Management.

Die Zielsetzung des Risikomanagements erfordert, dass Unternehmer sich umfassend mit allen für das Unternehmen relevanten Gefahren und deren möglichen direkten Auswirkungen wie auch den oft unterschätzten Folgewirkungen ausgiebig beschäftigen. Elementarrisiken wie ein alles vernichtender Grossbrand oder ausserordentliche Risiken, welche durch einen dauerhaften Ausfall von Schlüsselpersonen (Know-how-Träger) infolge schwerer Krankheit oder Tod, aber auch durch Abwerbung durch die Konkurrenz und damit verbunden, eine empfindliche Störung oder gar Ausfall der Kernprozesse, sind von enormer Bedeutung. Darüber hinaus können negative Veränderungen der Markt- oder Finanzsituation kaum zu bewältigende Risiken hervorrufen. Zur Realisierung einer holistischen Risikoermittlung und -beurteilung (OR Art. 663b) und daraus resultierend, der Aufbau eines effizienten Internen Kontroll Systems (OR Art. 728a und 728b) empfiehlt Risk Control RCC GmbH folgendes praxisorientiertes Vorgehen:

1) Erstellen eines umfassenden Risikokataloges mit präziser und verständlicher Definition der Einzelrisiken, Schutzobjekte und möglichen Ursachen sowie unmittelbaren und späteren Auswirkungen.
2) Objektives Analysieren und Bewerten dieser Einzelrisiken nach verschiedenen Kriterien wie z.B. Risikobewusstsein, Risikoverantwortung, Risikoprävention usw. (Aufzählung nicht abschliessend) in Zusammenarbeit mit den Risikoeignern (Abteilungsverantwortlichen) anhand einer anerkannten und pragmatischen Methodik.
3) Erstellen des Risikoportfolios (nach verschiedensten die Risiken beeinflussenden Parametern sowie Schweregrad der Auswirkungen).
4) Definition der erforderlichen Sofortmassnahmen (meist im organisatorischen Bereich).
5) Erstellen von Massnahmenempfehlungen mit Kosten beeinflussenden Alternativlösungen und entsprechender Priorisierung.
6) Erstellen eines Masterplans mit Aktionszielblättern, Benennung der Umsetzungsverantwortlichen sowie eines realistischen Budgets und Zeithorizonts.
7) Definition und personelle Zuordnung der Kontrollprozesse inklusive Supervision durch Dritte.
8) Risikoreporting, Programme zur Risikokommunikation bzw. Risikosensibilisierung.
9) Implementierung des Risikomanagements in den Strategieprozess mit klarer und unmissverständlicher Definition des Risikoappetits und der akzeptablen Limiten.
10) Einbindung der daraus resultierenden Verantwortlichkeiten in die übergeordnete Risikopolitik.
Die Verantwortung für die Überprüfung des IKS liegt häufig bei der Internen Revision. Sie kann allerdings auch externen Stellen übertragen werden. Entscheidend ist letztendlich die fachliche Kompetenz der Prüfinstanz.

Risk Management-Audits dienen der Überprüfung der Effizienz und Wirksamkeit des vorhandenen IKS-Konzepts sowie der Identifikation möglicher Schwachstellen, u.a:

Aufbau-Organisation (Rollenverteilung, Zuständigkeiten, Verantwortung)
Ablauf-Organisation (Kontrollprozesse, Reifegrad)
Verifikation der Kontroll-Mechanismen über offensichtliche Schwachstellen
Überprüfung der Dokumentation auf Vollständigkeit und Nachvollziehbarkeit
Konzeptarbeit
Erarbeitung und Implementierung eines auf das Unternehmen zugeschnittenen IKS
Definition der Funktionen, Kontrollen und Schnittstellen
Definition und Ausgestaltung eines pragmatischen Reportings
Hilfestellung bei der Normierung oder Harmonisierung eines internen Konzepts gemessen an vorhandenen internationalen Standards
Erarbeitung einer konsistenten Dokumentation
Schulung/Training
Der Dreh- und Angelpunkt für ein pragmatisches IKS ist das Risikomanagement. Dementsprechend sind individuelle Schulungen (Workshops) als «Hilfe zur Selbsthilfe», angelehnt an die Methoden des Risikomanagements und ergänzt durch spezifische Themen erforderlich:
Einführungs-Kurs für Risiko Manager in die Thematik
Sensibilisierung von Personenkreisen/Awareness Schulung
Roll-out Coaching bei Einführung/Veränderungen der Methodik
Instrumente und Tools
Als unabhängiger Berater kann Risk Control RCC GmbH dabei helfen:
Eine klarere Vision zu erarbeiten, die festlegt welche unterstützenden Schritte zum Aufbau eines IKS-Konzeptes tatsächlich erforderlich sind
Ein geeignetes Tool aus dem unübersichtlichen Markt herausfiltern bzw. evaluieren
Aufgrund von langjährigen Erfahrungswerten eigene Lösungen z.B. Risikomanagement- und IKS-Instrumente auf MS Office Basis für Mandanten zu erarbeiten.
Für konkretere Informationen und ein transparentes Leistungskonzept bitten wir Sie mit uns direkt Kontakt aufzunehmen.




Produkteblatt 2.1_Risikobeurteilung_und_Internes_Kontrollsystem_V1.0
 

 


Risk Control RCC GmbH Switzerland
Hochfelderstrasse 18
CH-8173 Neerach-Zürich

Phone +41 (0)44 858 3614
Fax +41 (0)44 858 3615
info@riskcontrol.li



Risk Control RCC GmbH Europe
Technologiepark Klagenfurt
Primoschgasse 3
A-9020 Klagenfurt am Wörthersee

Phone +43 (0)463 38 75 245
Fax +43 (0)463 38 75 246
info@riskcontrol.li

© 2011 RUF ASW