IKS – Internes Kontrollsystem

 verschlagwortet Funktionstrennung / IKS / Internes Kontrollsystem / OR 728 / Prinzip der Mindestinformation / Prinzip der Transparenz / Vier-Augen Prinzip von

Gerade durch die Gefahren der heutigen Digitalisierung der Geschäftswelt, muss einem funktionierenden IKS (internen Kontrollsystem) eine wichtige Priorität zugeordnet werden.

Für mich ein Beispiel eines Super-Gaus ist die Affäre um die amerikanischen Diplomatenfichen gewesen, welche in enorm grossem Stil an Wikileaks weitergegeben wurden. Hätte man in der US-Verwaltung mehr Vorsichtsmassnahmen ergriffen, wäre dieser Riesenfall nicht möglich gewesen. Auch Affären im kleineren Rahmen, wo Angestellte entweder Geld abgezwackt haben, oder sensible Daten an die Konkurrenz verkaufen, sind nicht selten aufgetaucht.

Nach Definition gibt es 4 Merkmale, welche ein gutes IKS befolgen muss:

– Prinzip der Transparenz:
Die Prozesse müssen klar definiert und beschrieben sein. Ein Aussenstehender muss beurteilen können, ob jeweils nach den vorgeschriebenen Prinzipien gehandelt wurde.

– Vieraugen-Prinzip:
Kein wichtiger Vorgang kann durch eine einzelne Person durchgeführt werden. Z.B. müssen Bankzahlungen von 2 MItarbeitern mit Zeichnungsberechtigung freigegeben werden. Verträge und bindende Briefe sollten von zwei zeichnungsberechtigten Mitarbeitern gezeichnet werden.

– Prinzip der Funktionstrennung:
Die verschiedenen Prozesse eines Geschäftsvorgangs sollen nicht von der gleichen Person durchgeführt werden. Der Einkäufer kauft die Ware ein, die Rechnung wird aber durch die Buchhaltung erfasst. Und der Finanzchef oder CEO gibt diese dann frei. So haben mehrere Personen einen Vorgang angeschaut und können Ungereimtheiten erkenne.

– Prinzip der Mindestinformation:
Der Klassiker, welcher im amerikanischen Beispiel nicht eingehalten wurde. Jeder Mitarbeiter hat nur Zugang zu den für ihn notwendigen Daten. Offene Netzwerke wo Finanzfachleute auf die Daten des Marketings, oder Sales auf den CEO Ordner Zugriff haben, sind schlicht nicht mehr zeitgemäss. Auch in ERP Systemen muss die Sicherheit einen wichtigen Stellenwert einnehmen. Ein einfaches Runterladen von 10’000en von Kundendaten darf den Mitarbeitern nicht ermöglicht werden. Zu gross wäre die Versuchung, die Daten auf eine eigene CD zu ziehen. Und sind sie erst einmal dort angelangt, oder allenfalls auch im Internet, hat man die Kontrolle verloren.

Wie sieht die gesetzliche Grundlage aus?
Das Obligationenrecht (OR) wurde auf den 01.01.2008 angepasst. 

Artikel 728a
Die Revisionsstelle prüft, ob ein internes Kontrollsystem besteht.
Die Revisionsstelle berücksichtigt bei der Durchführung der Revision das IKS und greift auf festgelegte Prozesse zurück.

Artikel 728b
Die Revisionsstelle berichtet an den Verwaltungsrat über die Rechnungslegung UND die Einhaltung des internen Kontrollsystems.
Ein IKS ist nicht freiwillig, es ist Pflicht.

Wie sehen die Verantwortlichkeiten bezüglich IKS aus?
Verwaltungsrat: Die Gesamtverantwortung wird vom VR getragen. Er muss im Anhang Details über die Risikobeurteilung machen.
Geschäftsleitung: Verantwortlich für die Umsetzung des IKS und das Leben nach den vorgeschriebenen Richtlinien.
Revisionsstelle: Prüfung ob ein IKS besteht. Umfassender Bericht mit Feststellungen zum IKS zu Handen VR.

Schlusswort
Überlegen Sie sich in einer ruhigen Minute, wie Sie folgende Themenbereiche gemanagt haben, bzw ob Sie diese für Ihre Unternehmung auf dem Radar haben:

o Sicherstellung des Normalbetriebs
o Aktiver Schutz vor Notfallsituationen
o Sichern von Betriebsgeheimnissen
o Einhaltung des Soll-Zustandes
o Aktiver Schutz vor Wirtschaftskriminalität
o Aktiver Schutz vor Sabotage
o Risikobeurteilung und Berichterstattung

Falls noch Verbesserungspotential besteht, meine Kontaktdaten finden Sie unter dem Bereich About me ;-).

Vielen Dank für die Aufmerksamkeit und das Interesse.[:en]Straight through the dangers of today’s digitalization of the business world, a functioning ICS (internal control system) an important priority must be assigned.
For me an example of a super-Gau, the affair of the American Diplomat enfichen has been passed down in enormous large scale to Wikileaks. Had taken more precautions in the US administration, this huge event would have been impossible. Also sell affairs on a smaller scale, where employees have either money lopped off, or sensitive information to competitors, are often surfaced.

By definition, there are 4 features which must follow a good ICS:

– Principle of transparency: The processes must be clearly defined and described. An outsider has to assess whether each was traded to the prescribed principles.

– Four-eyes principle: No important event can be performed by a single person. For example, must be enabled by signing bank payments of 2 employees. Treaties and binding letters should be drawn by two Authorized Signatories employees.

– Principle of segregation of duties: The various processes of a transaction should not be performed by the same person. The buyer buys the goods, the invoice will be recognized but by the accounting department. And the CFO or CEO releases it then. So several people have looked at a process and can recognize inconsistencies.

– Principle of minimum information: The classic, which has not been respected in America. Every employee has access only to the data necessary for him. Open networks where financial experts on the data of marketing, or sales to the CEO have folder access, are simply no longer appropriate. In ERP systems, safety must occupy a important place. A simple downloading of 10’000en of client data must not be allowed to employees.

What is the legal basis?

The Code of Obligations (OR) was adjusted to the 01/01/2008.

Article 728a
The auditors check whether an internal control system exists. The auditors considered when carrying out the revision of the ICS and draws on established processes.

Article 728b
The auditors reported to the Board on accounting and compliance with the internal control system. An ICS is not voluntary, it is mandatory. What are the responsibilities with regard to ICS?
Board: The overall responsibility is borne by the VR. He has to make details of the risk assessment in the appendix.
Management: Responsible for the implementation of the ICS and the life according to the prescribed guidelines.
Auditor: check whether an ICS exists. Comprehensive report with findings on the ICS for the attention VR.

Closing Remarks

Consider for a quiet moment, as you have managed the following topics, or if you have it for your company on the radar:

  • ensure the normal operation
  • Active protection against emergency situations
  • Securing of trade secrets
  • compliance with the required condition
  • Active protection against economic crime
  • Active protection against sabotage
  • Risk assessment and reporting

If potential for improvement still exists, check the contact or About me information to reach Me. 🙂

Thanks for the attention and interest.[:]

Print Friendly, PDF & Email

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert