Internes Kontrollsystem (IKS) im Vergleich zum Risikomanagement
Werbung
Internes Kontrollsystem (IKS) im Vergleich zum Risikomanagement (RM) Die folgende Übersicht zeigt die Unterschiede zwischen IKS und RM anhand verschiedener Merkmale auf. Terminologie Internes Kontrollsystem (IKS) Risikomanagement (RM) Kontrollziele (=Risiken): Risiken werden aus der Berichterstattung abgeleitet: Korrekte Darstellung der Jahresrechnung (und Compliance/Geschäftsführung) Risiken: Risiken werden anhand von Risikokategorien mit verschiedenen Methoden identifiziert Kontrollen: Prüfen, ob die RM-Massnahmen ausgeführt werden. Einige Kontrollen Massnahmen: Zur Risikovermeidung resp. -verminderung werden sind direkte RM-Massnahmen (v.a. im Bereich der finanziellen Berichterstattung) Massnahmen bestimmt Risiko/Kontrollmatrix: Erstellen eines Kontrollinventars Risikoinventar: Darstellung in Risk Map (meist Netto-Bewertung) Framework und Recht Internes Kontrollsystem (IKS) Risikomanagement (RM) Rahmenkonzept: COSO IC Framework Rahmenkonzept: ISO 31000 Steuern von Risiken in Bezug auf die Kontrollziele Adressieren von Unternehmensrisiken anhand RM-Prozess In der Tendenz oft für die Revisionsstelle «hervorgeholt», statisch, nicht integriert In der Tendenz dynamisch und an Veränderungen angepasst OR 728a: Prüfung der Existenz eines IKS (Spricht externe Revisionsstelle an) OR 663b: Angaben über die Durchführung einer Risikobeurteilung im Anhang der Jahresrechnung (Spricht Verwaltungsrat an) Umfangbestimmung Internes Kontrollsystem (IKS) Risikomanagement (RM) Fokus auf interne Steuerung/Kontrolle: Quantitatives Scoping: Ausgangspunkt sind die Positionen der Jahresrechnung. Materielle Positionen als inhärentes Risiko (z.B. 5% der Bilanzsumme, Top-Down entlang der Jahresrechnung) Umfassender «Risikogedanken»: Im Enterprise Risk Management (ERM) grundsätzlich Identifikation anhand SWOT, Delphi, Gefahrenkatalogen, Risikokategorien, FMEA etc. (umfassend, Top-Down und Bottom-Up) Zusätzlich: Qualitatives Scoping für fehleranfällige Positionen/Prozesse (Abgleich Analyse von Prozess-Risiken (Operatives RM als Teil des ERM) mit operativem RM und Aufinden von Synergien) Ziel: Auswahl materiell wesentlicher Positionen und Prozesse der Jahresrechnung (Downside-orientiert) Ziel: Risikoinventar aller möglicher Szenarien (auch Chancen), auch externe Events, auch «emerging risks» Beurteilungsmethodik Internes Kontrollsystem (IKS) Risikomanagement (RM) Reifegradmodelle: Von informell bis optimierte Bewertung von Kontrollschwächen, Massnahmenplanung und Prozessdokumentation Qualitative / Quantitative Methoden, Beurteilung des Risikoschadens und der Wahrscheinlichkeit wichtig Brutto-Betrachtung, um an die Kontrollen zu gelangen (was kann im Prozess alles Brutto- und Netto-Betrachtung schief gehen, falls nichts kontrolliert wird?) Bewertung der Kontrolle (effiziente Kontrollen? Kontrollschwächen? Massnahmen zur Kontrollverbesserung?), IKS-Risiken sind in der Regel nicht quantitativ bewertet Bewertung des Risikos, Abstimmung mit Risikotoleranz, Risikoaggregation und Risikointerdependenzen Resultat: Kontrollinventar (keine Kategorisierung der Risiken), Risiko-Kontroll- Resultat: Bewertetes Risikoinventar (meist Einteilung in Matrix, Schwachstellenplan Risikokategorien), Darstellung in Risk Map