Presse / Dialog mit der Praxis
Das risikoorientierte Interne Kontrollsystem "IKS" - die neue Herausforderung
Quelle: F. J. Kessler, Zusammenfassung Ref. IKS, veb-seminar 2006
Einleitung
Bei einem internen Kontrollsystem geht es darum, innerhalb eines Unternehmens Überwachungsgrundsätze und -abläufe vorzusehen, die für eine ordnungsgemässe Geschäftsführung und dabei auch für den angemessenen Umgang mit den unter-nehmensspezifischen Risiken erforderlich sind.
Das interne Kontrollsystem greift über das blosse Rechnungswesen hinaus und umfasst sämtliche Unternehmensbereiche.
Eine der wichtigen Ziele der internen Kontrolle ist es, potentielle Risiken und Schwachstellen der Unternehmung frühzeitig zu entdecken und dadurch wirtschaftlichen Schaden zu vermeiden.
Bisherige Rechtslage
Für alle privaten Unternehmen, die keiner besonderen behördlichen oder börsenmässigen Aufsicht unterstehen, hat das Obligationenrecht bislang keine konkreten Vorgaben darüber gemacht, ob und in welchem Umfang ein IKS eingesetzt werden muss. Mit Blick auf ein IKS bedeutsam sind aber bereits heute die Grundsätze ordnungsgemässer Rechnungslegung sowie die allgemeine Organisations- und Finanzkontrollzuständigkeit des Verwaltungsrates der Aktiengesellschaft gemäss Art. 716a OR.
Für die an der SWX kotierten Gesellschaften sieht die Corporate Governance Richtlinien vor, dass die Emittenten den Anlegern im jährlichen Geschäftsbericht unter anderem auch Informationen zum IKS zugänglich machen sollen. Genau genommen geht es dabei aber nicht um eine Vorschrift, wann und in welcher Ausgestaltung ein IKS einzusetzen ist, sondern nur um die Offenlegung des konkret vohandenen IKS. Das impliziert aber durchaus die Erwartung, dass die börsenkotierten Gesellschaften tatsächlich über ein IKS verfügen.
Der Swiss Code of Best Practice for Corporate Governance, der sich an börsenkotierte sowie an nicht kotierte, volkswirtschaftlich bedeutende Gesellschaften richtet, enthält relativ detaillierte Vorgaben zur konkreten Ausgestaltung eines IKS. Allerdings handelt es sich dabei um unverbindliche Empfehlungen von privater Seite ohne Gesetzeskraft. Ihre breite Akzeptanz dürfte aber die künftige Praxis zum IKS stark beeinflussen.
Banken, Effektenhändler und teilweise Versicherungen sind aufgrund aufsichtsBestimmungen zur Einrichtung eines internen Risikomanagement- und Überwachungssystems verpflichtet. Konkrete Anhaltspunkte finden sich in Art. 9 der Bankenverordnung, Art. 20 der Börsenverordnung sowie Art. 96 der Aufsichtsverordnung.
Der Swiss Code of Best Practice for Corporate Governance, der sich an börsenkotierte sowie an nicht kotierte, volkswirtschaftlich bedeutende Gesellschaften richtet, enthält relativ detaillierte Vorgaben zur konkreten Ausgestaltung eines IKS. Allerdings handelt es sich dabei um unverbindliche Empfehlungen von privater Seite ohne Gesetzeskraft. Ihre breite Akzeptanz dürfte aber die künftige Praxis zum IKS stark beeinflussen.
Banken, Effektenhändler und teilweise Versicherungen sind aufgrund aufsichtsBestimmungen zur Einrichtung eines internen Risikomanagement- und Überwachungssystems verpflichtet. Konkrete Anhaltspunkte finden sich in Art. 9 der Bankenverordnung, Art. 20 der Börsenverordnung sowie Art. 96 der Aufsichtsverordnung.
Für alle privaten Unternehmen, die keiner besonderen behördlichen oder börsenmässigen Aufsicht unterstehen, hat das Obligationenrecht bislang keine konkreten Vorgaben darüber gemacht, ob und in welchem Umfang ein IKS eingesetzt werden muss. Mit Blick auf ein IKS bedeutsam sind aber bereits heute die Grundsätze ordnungsgemässer Rechnungslegung sowie die allgemeine Organisations- und Finanzkontrollzuständigkeit des Verwaltungsrates der Aktiengesellschaft gemäss Art. 716a OR.
Für die an der SWX kotierten Gesellschaften sieht die Corporate Governance Richtlinien vor, dass die Emittenten den Anlegern im jährlichen Geschäftsbericht unter anderem auch Informationen zum IKS zugänglich machen sollen. Genau genommen geht es dabei aber nicht um eine Vorschrift, wann und in welcher Ausgestaltung ein IKS einzusetzen ist, sondern nur um die Offenlegung des konkret vohandenen IKS. Das impliziert aber durchaus die Erwartung, dass die börsenkotierten Gesellschaften tatsächlich über ein IKS verfügen.
Der Swiss Code of Best Practice for Corporate Governance, der sich an börsenkotierte sowie an nicht kotierte, volkswirtschaftlich bedeutende Gesellschaften richtet, enthält relativ detaillierte Vorgaben zur konkreten Ausgestaltung eines IKS. Allerdings handelt es sich dabei um unverbindliche Empfehlungen von privater Seite ohne Gesetzeskraft. Ihre breite Akzeptanz dürfte aber die künftige Praxis zum IKS stark beeinflussen.
Banken, Effektenhändler und teilweise Versicherungen sind aufgrund aufsichtsBestimmungen zur Einrichtung eines internen Risikomanagement- und Überwachungssystems verpflichtet. Konkrete Anhaltspunkte finden sich in Art. 9 der Bankenverordnung, Art. 20 der Börsenverordnung sowie Art. 96 der Aufsichtsverordnung.
Der Swiss Code of Best Practice for Corporate Governance, der sich an börsenkotierte sowie an nicht kotierte, volkswirtschaftlich bedeutende Gesellschaften richtet, enthält relativ detaillierte Vorgaben zur konkreten Ausgestaltung eines IKS. Allerdings handelt es sich dabei um unverbindliche Empfehlungen von privater Seite ohne Gesetzeskraft. Ihre breite Akzeptanz dürfte aber die künftige Praxis zum IKS stark beeinflussen.
Banken, Effektenhändler und teilweise Versicherungen sind aufgrund aufsichtsBestimmungen zur Einrichtung eines internen Risikomanagement- und Überwachungssystems verpflichtet. Konkrete Anhaltspunkte finden sich in Art. 9 der Bankenverordnung, Art. 20 der Börsenverordnung sowie Art. 96 der Aufsichtsverordnung.
Der Swiss Code of Best Practice for Corporate Governance, der sich an börsenkotierte sowie an nicht kotierte, volkswirtschaftlich bedeutende Gesellschaften richtet, enthält relativ detaillierte Vorgaben zur konkreten Ausgestaltung eines IKS. Allerdings handelt es sich dabei um unverbindliche Empfehlungen von privater Seite ohne Gesetzeskraft. Ihre breite Akzeptanz dürfte aber die künftige Praxis zum IKS stark beeinflussen.
Banken, Effektenhändler und teilweise Versicherungen sind aufgrund aufsichtsBestimmungen zur Einrichtung eines internen Risikomanagement- und Überwachungssystems verpflichtet. Konkrete Anhaltspunkte finden sich in Art. 9 der Bankenverordnung, Art. 20 der Börsenverordnung sowie Art. 96 der Aufsichtsverordnung.
Der Swiss Code of Best Practice for Corporate Governance, der sich an börsenkotierte sowie an nicht kotierte, volkswirtschaftlich bedeutende Gesellschaften richtet, enthält relativ detaillierte Vorgaben zur konkreten Ausgestaltung eines IKS. Allerdings handelt es sich dabei um unverbindliche Empfehlungen von privater Seite ohne Gesetzeskraft. Ihre breite Akzeptanz dürfte aber die künftige Praxis zum IKS stark beeinflussen.
Banken, Effektenhändler und teilweise Versicherungen sind aufgrund aufsichtsBestimmungen zur Einrichtung eines internen Risikomanagement- und Überwachungssystems verpflichtet. Konkrete Anhaltspunkte finden sich in Art. 9 der Bankenverordnung, Art. 20 der Börsenverordnung sowie Art. 96 der Aufsichtsverordnung.
Neues Recht
Das neue Recht verlangt bei der ordentlichen Revision ausdrücklich, dass sich die Revisionsstelle zur Existenz eines IKS äussert, und dass sie das IKS bei der Durchführung sowie bei der Festlegung des Umfangs der Prüfung berücksichtigen muss (Art. 728a revOR).
Gemäss Art. 728b Abs. 1 revOR ist die Revisionsstelle verpflichtet, dem Verwaltungsrat einen umfassenden Bericht mit den Feststellungen insbesondere auch über das interne Kontrollsystem zu erstatten.In ihrem zusammenfassenden Bericht an die Generalversammlung muss die Revisionsstelle Stellung nehmen zum Ergebnis der Prüfung gemäss der Umschreibung des Prüfungsgegenstandes in Art. 718a revOR, d.h. auch zum Ergebnis der Prüfung der Existens eines IKS.Bei allfällig festgestellten Mängeln genügt eine blosse negative Stellungnahme nicht, solche Mängel müssen aufgelistet werden.
Weiter ist in Art. 663b Ziff. 12 revOR vorgesehen, dass der Verwaltungsrat im Anhang der Bilanz Angaben über die Durchführung einer Risikobeurteilung machen muss. Dabei geht es um die Erläuterung derjenigen Risiken, die einen wesentlichen Einfluss auf die Beurteilung des Jahresrechnung haben könnten.
Massnahmen, die im Hinblick auf die unternehmensspezifischen Risiken getroffen werden, werden nach geltendem Recht im Jahresbericht erläutert. Der Jahresrechnung wird aber von der Revisionsstelle nicht geprüft. Aus diesem Grund werden die entsprechenden Aussagen des Verwaltungsrates in den Bilanzanhang verschoben und somit der Prüfung durch die Revisionsstelle zugänglich gemacht.
Bei der AG, der Kommandit-AG und der GmbH muss das Exekutivorgan im Bilanzanhang Angaben über die Durchführung einer Risikobeurteilung machen.In all jenen Fällen, in denen der Jahresabschluss der ordentlichen Revision unterliegt, geht der Gesetzgeber grundsätzlich von der Notwendigkeit eines IKS aus.
Konsequenzen bei fehlendem/mangelhaftem IKS
Weiterhin keine Aussage findet sich auch in den neuen gesellschaftsrechtlichen Bestimmungen zur Frage, wie ein IKS konkret auszugestalten ist. Zudem wird die Einführung eines IKS den Gesellschaften nicht direkt in allgemein verbindlicher Form vorgeschrieben, sondern indirekt über den Prüfungsgegenstand des Revisors angesprochen. Damit überlässt es der Gesetzgeber den Unternehmen letztlich selber zu entscheiden, ob sie in IKS einführen oder nicht, und welches Kontrollsystem bzw. welche Kontrollmechanismen sie für ihre Situation als angemessen betrachten.
Im Vordergrund für diese Entscheidung dürften regelmässig folgenden Faktoren stehen:
- Grösse des Unternehmens
- Komplexität der Geschäftstätigkeit
- Art der Finanzierung (z.B. börsenkotierte Beteiligungspapiere).
Welche Unternehmen müssen ein IKS einführen?
Bei der AG, der Kommandit-AG, der GmbH und bei der Genossenschaft hängt es gleichermassen von der Einschätzung des Exekutiv-Organs aufgrund der konkreten Umstände ab, ob ein IKS eingeführt werden muss oder nicht.
Bei der AG, der Kommandit-AG und der GmbH muss das Exekutivorgan im Bilanzanhang Angaben über die Durchführung einer Risikobeurteilung machen.In all jenen Fällen, in denen der Jahresabschluss der ordentlichen Revision unterliegt, geht der Gesetzgeber grundsätzlich von der Notwendigkeit eines IKS aus.
Besteht in diesen Fällen keine IKS, so muss das Exekutivorgan gegenüber der Revisionsstelle erklären können, warum es im konkreten Fall ein IKS nicht für erforderlich hält.Für diejenigen Stiftungen, die der ordentlichen Revision unterliegen oder ein nach kaufmännischer Art geführtes Gewerbe betreiben, gilt grundsätzlich dasselbe.Für Vereine gilt diese Einschätzung zumindest in jenen Fällen, in denen der Verein einer ordentlichen Revision unterliegt.
Zuständigkeiten
Der Verwaltungsrat einer AG ist verantwortlich dafür, dass ein dem Unternehmen angepassten IKS vorhanden ist; ihm obliegt letztlich auch der Entscheid darüber, ob ein IKS überhaupt eingeführt werden muss oder nicht. Im Bilanzanhang muss der Verwaltungsrat Angaben über die Durchführung einer Risikobeurteilung machen. Für die Umsetzung des IKS, das Management der Risiken und die Compliance ist die Geschäftsleitung zuständig.
Unterliegt die Gesellschaft der ordentlichen Revision, so muss die Revisionsstelle prüfen, ob ein IKS existiert, und darüber summarisch an die Generalversammlung berichten. Zudem muss die Revisionsstelle dem Verwaltungsrat einen umfassenden Bericht auch mit Feststellungen zum IKS erstatten und allfällige Verbesserungsöglichkeiten aufzeigen.
Unterliegt die Gesellschaft der ordentlichen Revision, so muss die Revisionsstelle prüfen, ob ein IKS existiert, und darüber summarisch an die Generalversammlung berichten. Zudem muss die Revisionsstelle dem Verwaltungsrat einen umfassenden Bericht auch mit Feststellungen zum IKS erstatten und allfällige Verbesserungsöglichkeiten aufzeigen.
Konsequenzen bei fehlendem/mangelhaftem IKS
Bei einer Gesellschaft, die der ordentlichen Revision unterliegt, führt das Fehlen eines IKS zu einer Bemerkung im Revisionsbericht an die Generalversammlung und gibt Anlass zu weiteren Ausführungen im Erläuterungsbericht der Revisionsstelle an den Verwaltungsrat. Verletzt ein Organ der Gesellschaft (Verwaltungsrat, Geschäftsführung, Revisionsstelle) seine Pflichten im Zusammenhang mit der Einführung, Aufrechterhaltung und Überprüfung des IKS absichtlich oder fahrlässig und führt diese Verletzung zu einem Schaden eines Aktionärs oder Gläubigers, so haftet des betreffende Organ für den Schadenersatz. Und schliesslich kann das Fehlen eines IKS mit Blick auf Art. 100quater StGB auch strafrechtliche Konsequenzen für das Unternehmen haben (Organisationsverschulden).