26.06.2009, 10:18 Uhr
Internes Kontrollsystem für KMU
Seit dem 1. Januar 2008 sind börsenkotierte Publikumsgesellschaften und wirtschaftlich bedeutende Unternehmen verpflichtet, bei der finanziellen Berichterstattung ein internes Kontrollsystem zur Überwachung der Abläufe zu führen.
Markus Bischofi ist Produktmanager bei Abacus Research AG, Wittenbach-St. Gallen
Ein Internes Kontrollsystem (IKS) soll den ordnungsgemässen betrieblichen Ablauf sicherstellen und gleichzeitig die Einhaltung von Regeln überwachen. Dazu zählen einerseits Vorschriften des Verwaltungsrats und der Geschäftsleitung, andererseits aber auch Gesetze, Regelwerke und Standards. Das Kontrollsystem sollte sich darüber hinaus an der Zielsetzung des Unternehmens orientieren, in die betrieblichen Arbeitsabläufe integriert sein und sämtliche Führungsstufen involvieren.
Die Gestaltung seines internen Kontrollsystems steht den Unternehmen grundsätzlich frei. Die Mindestvariante muss jedoch in der Lage sein, die finanzielle Berichterstattung zu überwachen. Eine gute Richtlinie für ein gesamtheitliches System von IKS-Massnahmen gibt das sogenannte COSO-Rahmenwerk vor, wobei COSO für Committee of Sponsoring Organizations of the Treadway Commission steht. COSO ist ein 1992 veröffentlichtes Kontrollmodell für die interne Überwachung der Finanzberichterstattung, das fünf Schwerpunkte setzt:
- Risikobeurteilung
- Kontrollumfeld
- Kontrollaktivitäten
- Information und Kommunikation
- Überwachung
Gemäss COSO-Vorlage sollte zudem ein IKS dokumentiert sein und der Revision für die Prüfung des Jahresergebnisses offengelegt werden. Die Abacus-Software «digital erp» unterstützt ein solches IKS für kleine und mittleren Unternehmen und erleichtert damit die Umsetzung der gesetzlichen Vorgaben.
- Risikobeurteilung
- Kontrollumfeld
- Kontrollaktivitäten
- Information und Kommunikation
- Überwachung
Gemäss COSO-Vorlage sollte zudem ein IKS dokumentiert sein und der Revision für die Prüfung des Jahresergebnisses offengelegt werden. Die Abacus-Software «digital erp» unterstützt ein solches IKS für kleine und mittleren Unternehmen und erleichtert damit die Umsetzung der gesetzlichen Vorgaben.
Zugriffsberechtigungen
Ein wichtiger Punkt im IKS ist die Kontrolle der Zugriffsberechtigungen. Das Abacus-System enthält bereits einen umfassenden Zugriffsschutz, der es erlaubt, Zugriffsrechte pro Benutzergruppen zu vergeben. Dabei wird die Berechtigung pro Applikation, Programmnummer, Mandant, Geschäftsbereich und Journal bis auf die Stufe Konto oder Kostenstelle definiert. Die Möglichkeit, den Zugriff auf die Software von einem gültigen elektronischen Zertifikat abhängig zu machen, sorgt für noch mehr Sicherheit. Abacus hat dies für das Postzertifikat bereits im Standardumfang integriert.
In Ergänzung zur Zugriffsregelung auf Programmebene kann zusätzlich der direkte
Zugriff auf die Datenbanktabellen verweigert werden. Diese Funktion stellt sicher, dass Daten nicht unrechtmässig kopiert werden.
Zugriff auf die Datenbanktabellen verweigert werden. Diese Funktion stellt sicher, dass Daten nicht unrechtmässig kopiert werden.
Kontrollfunktionen
An Kontrollfunktionen bietet die Abacus-Software mehrere Varianten. Einige davon sind im Standardumfang der Programme enthalten, andere optional erhältlich. Die wichtigsten:
- Korrekturjournal Finanzbuchhaltung: In den Stammdaten der Finanzbuchhaltung wird festgelegt, ob Buchungen nachträglich noch korrigiert werden können. Wichtig dabei ist, dass jede buchungsrelevante Veränderung der Daten vom Programm automatisch aufgezeichnet wird. Veränderungen können über das
Buchungsjournal ausgewertet werden. Mit dieser Standardfunktion sind alle Korrekturen und Änderungen von der Ursprungsbuchung bis zum aktuellen Stand der Buchung auf Anhieb ersichtlich.
- Korrekturjournal Finanzbuchhaltung: In den Stammdaten der Finanzbuchhaltung wird festgelegt, ob Buchungen nachträglich noch korrigiert werden können. Wichtig dabei ist, dass jede buchungsrelevante Veränderung der Daten vom Programm automatisch aufgezeichnet wird. Veränderungen können über das
Buchungsjournal ausgewertet werden. Mit dieser Standardfunktion sind alle Korrekturen und Änderungen von der Ursprungsbuchung bis zum aktuellen Stand der Buchung auf Anhieb ersichtlich.
Das Programm bietet zudem die Möglichkeit an, pro Benutzergruppe das Buchen und Korrigieren ab einem bestimmten Datum einzuschränken. Mit den definitiven Monats- und Jahresabschlüssen wird in diesem Fall die betreffende Periode für weitere Bearbeitungen - seien es Mutationen von bestehenden Buchungen oder auch das Erfassen von zusätzlichen Buchungen - gesperrt.
- Datenbankänderungen protokollieren: Zur Protokollierung sämtlicher Datenbankänderungen stellt Abacus ein eigenes Tool zur Verfügung: «AbaAudit». Die Überwachung wird damit pro Datenbanktabelle und Mandant definiert. So muss nicht jede Datenbankmutation protokolliert, sondern nur die relevanten Einträge überwacht und allenfalls in einem täglichen Protokoll zusammengefasst werden. Dank dieser Auswertung lässt sich feststellen, wer wann in welcher Datei etwas verändert hat.
- Überwachung: Um Ereignisse zu überwachen, die den Datenbestand betreffen, kann auch das Tool «AbaNotify» eingesetzt werden. Darin lassen sich Regeln festlegen. Bei einem bestimmten Ereignis, zum Beispiel einem neuen Datenbankeintrag, informiert das System mit einem entsprechenden Report selbstständig via E-Mail den verantwortlichen Mitarbeiter.
- Freigabeprozess in der Beschaffung: Die Option «Visumskontrolle» in der Kreditoren-Software dient dazu, Lieferantenrechnungen von mehreren Personen prüfen und freigeben zu lassen. Diese Option erlaubt es, alle Rechnungen systemunterstützt an vorbestimmte Empfänger zur Ansicht und zum Visum zu senden. Dabei wird nicht nur der Buchungssatz, sondern auch die elektronische Rechnungskopie als PDF mitgeschickt, damit sie vom Anwender eingesehen werden kann.
- Datenbankänderungen protokollieren: Zur Protokollierung sämtlicher Datenbankänderungen stellt Abacus ein eigenes Tool zur Verfügung: «AbaAudit». Die Überwachung wird damit pro Datenbanktabelle und Mandant definiert. So muss nicht jede Datenbankmutation protokolliert, sondern nur die relevanten Einträge überwacht und allenfalls in einem täglichen Protokoll zusammengefasst werden. Dank dieser Auswertung lässt sich feststellen, wer wann in welcher Datei etwas verändert hat.
- Überwachung: Um Ereignisse zu überwachen, die den Datenbestand betreffen, kann auch das Tool «AbaNotify» eingesetzt werden. Darin lassen sich Regeln festlegen. Bei einem bestimmten Ereignis, zum Beispiel einem neuen Datenbankeintrag, informiert das System mit einem entsprechenden Report selbstständig via E-Mail den verantwortlichen Mitarbeiter.
- Freigabeprozess in der Beschaffung: Die Option «Visumskontrolle» in der Kreditoren-Software dient dazu, Lieferantenrechnungen von mehreren Personen prüfen und freigeben zu lassen. Diese Option erlaubt es, alle Rechnungen systemunterstützt an vorbestimmte Empfänger zur Ansicht und zum Visum zu senden. Dabei wird nicht nur der Buchungssatz, sondern auch die elektronische Rechnungskopie als PDF mitgeschickt, damit sie vom Anwender eingesehen werden kann.
Nutzen eines IKS
Ein funktionierendes Internes Kontrollsystem kann zahlreiche Verbesserungen auslösen. Einige Beispiele:
- höhere Verlässlichkeit der Finanzberichterstattung (Buchführung und Abschluss)
- verbessertes Risikobewusstsein durch einheitliches Risiko- und Kontrollverständnis
- optimierte Finanz- und IT-Prozesse
- geringere Anfälligkeit auf Fehler
- Schutz vor absichtlich vorgenommenen Falschdarstellungen
- Vermeiden von Reputationsrisiken und Schutz vor negativen Überraschungen
- Sicherheit für VR und GL
- Schutz des Geschäftsvermögens
- Erreichung geschäftspolitischer Ziele
Ein funktionierendes Internes Kontrollsystem kann zahlreiche Verbesserungen auslösen. Einige Beispiele:
- höhere Verlässlichkeit der Finanzberichterstattung (Buchführung und Abschluss)
- verbessertes Risikobewusstsein durch einheitliches Risiko- und Kontrollverständnis
- optimierte Finanz- und IT-Prozesse
- geringere Anfälligkeit auf Fehler
- Schutz vor absichtlich vorgenommenen Falschdarstellungen
- Vermeiden von Reputationsrisiken und Schutz vor negativen Überraschungen
- Sicherheit für VR und GL
- Schutz des Geschäftsvermögens
- Erreichung geschäftspolitischer Ziele
Je nach Definition besteht ferner die Möglichkeit, die Belege von mehreren Personen prüfen zu lassen. Die Freigabe der Rechnungen durch den Verantwortlichen wird im System gespeichert und ist dadurch jederzeit nachvollziehbar.
Der Zahlungslauf erstellt eine Zahlungsdatei, die mit dem Abacus-Modul «Electronic Banking» einer Hausbank übertragen werden kann. Ist die Unterschriftenregel im Electronic Banking aktiviert, lassen sich dieselben Regeln wie bei der Bank im Programm abbilden. Es ist zudem möglich, Limits zu setzen, Unterschriftstypen sowie Einzelunterschriften abzubilden und verschiedene Gruppierungen von Anwendern zu definieren. Das hat den Vorteil, dass sich die Zahlungsfreigabe direkt über die Abacus-Software tätigen lässt.
- Authentisierung: Auswertungen, die elektronisch weitergegeben werden, sollten mit
einer digitalen Unterschrift versehen werden. So kann der Empfänger feststellen, ob das
Dokument tatsächlich vom erwarteten Absender stammt und dieses dem Originalzustand entspricht, also nicht nachträglich verändert wurde. Die elektronische Signatur ist in allen Abacus-Auswertungen integriert. Für deren Anwendung wird die Option «Archivierung» und ein elektronisches Zertifikat (www.postzertifikat.ch) benötigt.
- Authentisierung: Auswertungen, die elektronisch weitergegeben werden, sollten mit
einer digitalen Unterschrift versehen werden. So kann der Empfänger feststellen, ob das
Dokument tatsächlich vom erwarteten Absender stammt und dieses dem Originalzustand entspricht, also nicht nachträglich verändert wurde. Die elektronische Signatur ist in allen Abacus-Auswertungen integriert. Für deren Anwendung wird die Option «Archivierung» und ein elektronisches Zertifikat (www.postzertifikat.ch) benötigt.
Informationssicherheit
Für eine tadellose finanzielle Berichterstattung wird selbstverständlich auch ein zuverlässiger Server benötigt, der am besten in einem abgeschlossenen Raum untergebracht ist. Die darauf laufende Software sollte möglichst aktuell gehalten werden und vor äusseren Einflüssen wie Viren und Hackern geschützt sein. Zudem sollte eine tägliche Datensicherung durchgeführt werden, die ausserdem periodisch auf ihre Tauglichkeit zu prüfen ist.
Markus Bischof
