Anfrage
Internes Kontrollsystem (IKS)

Internes Kontrollsystem aufbauen: Schritt-für-Schritt-Anleitung zur "Three Lines of Defence"

Ein Internes Kontrollsystem (IKS) ist essenziell für Unternehmen, um Risiken zu steuern, Prozesse zu optimieren und gesetzliche Vorgaben einzuhalten. Das "Three Lines of Defence"-Modell (Drei Verteidigungslinien) ist ein bewährter Rahmen, um klare Verantwortlichkeiten im Risikomanagement und in der Compliance zu definieren. In diesem Leitfaden erfahren Sie, wie Unternehmen ein IKS nach dem "Three Lines of Defence"-Modell aufbauen und erfolgreich umsetzen können.

1. Was ist ein Internes Kontrollsystem (IKS)?

Ein Internes Kontrollsystem (IKS) umfasst alle Massnahmen und Prozesse, die sicherstellen, dass ein Unternehmen effizient, regelkonform und risikobewusst arbeitet.

Ziele eines IKS:

  • Risikomanagement & Schadensprävention
  • Prozessoptimierung & Fehlervermeidung
  • Sicherstellung von Compliance & Governance
  • Schutz vor Betrug & Korruption
  • Transparenz & Vertrauen bei Stakeholdern

Beispiel:
Ein Unternehmen mit einem funktionierenden IKS erkennt frühzeitig Finanzbetrug oder Verstösse gegen Datenschutzvorschriften und kann rechtzeitig eingreifen.

2. Das "Three Lines of Defence"-Modell im Internen Kontrollsystem

  • Internes Kontrollsystem (IKS)

Das "Three Lines of Defence"-Modell ist ein strukturiertes Framework zur Steuerung von Risiken und internen Kontrollen. Es teilt die Kontrollverantwortung in drei Verteidigungslinien:

1. Verteidigungslinie: Operative Kontrollen (Erste Linie)

Die erste Linie der Verteidigung besteht aus den operativen Einheiten, die täglich Risiken managen.

  • Verantwortlich für die Umsetzung interner Kontrollen
  • Identifizieren und bewerten Risiken in den Geschäftsprozessen
  • Stellen sicher, dass Compliance-Vorgaben eingehalten werden

Beispiel:

  • Finanzabteilung: Kontrolliert die Buchhaltung und verhindert Fehlbuchungen.
  • IT-Abteilung: Sorgt für sichere Passwörter und Firewalls gegen Cyberangriffe.

2. Verteidigungslinie: Risikomanagement & Compliance (Zweite Linie)

Die zweite Linie der Verteidigung überwacht die erste Linie und unterstützt mit Richtlinien & Schulungen.

  • Entwicklung von Risikomanagement-Strategien & Compliance-Richtlinien
  • Überwachung und Schulung der operativen Einheiten
  • Meldet kritische Risiken an das Management

Beispiel:

  • Compliance-Abteilung: Stellt sicher, dass alle Mitarbeiter DSGVO-Schulungen absolvieren.
  • Risikomanagement-Team: Identifiziert kritische Unternehmensrisiken und implementiert Frühwarnsysteme.

3. Verteidigungslinie: Interne & Externe Prüfungen (Dritte Linie)

Die dritte Verteidigungslinie besteht aus unabhängigen Prüfstellen, die die ersten beiden Linien kontrollieren.

  • Interne Revision & externe Audits zur Überprüfung von Risiken und Kontrollen
  • Objektive Bewertung der Effektivität des IKS
  • Berichterstattung an das Management & den Vorstand

Beispiel:

  • Interne Revision: Überprüft, ob das Unternehmen die Finanzkontrollen korrekt umsetzt.
  • Externe Wirtschaftsprüfer: Führen ein Audit zur Einhaltung von IFRS und ISO 37301 durch.

3. Internes Kontrollsystem und Kontrollziele

Eine unternehmensweite, sicherheits- und risikoorientierte, interne Kontrolle leistet einen wesentlichen Beitrag zur Sicherung der Geschäftserfolge. Die Interne Kontrolle besteht nicht nur aus Handbüchern, Verfahren und Unterlagen, sondern sie wird von Menschen umgesetzt. Im Hinblick auf eine wirksame interne Kontrolle werden folgende Ziele in drei Kategorien unterteilt:

  • (A) Operationelle Kontrollziele
    Die Umsetzung der strategischen Ziele des Unternehmen, die Risikobewältigung sowie der optimale Einsatz der Ressourcen. «Operationell» ist hier nicht als Gegensatz zu «strategisch» zu verstehen, sondern bezieht sich auf die fachlichen Unternehmensziele. Die Realisierung der operationellen Ziele hängt nicht immer nur vom Willen eines Geschäftsbereichs bzw. einer Abteilung ab. Kein IKS kann Fehleinschätzungen oder Fehlentscheide ausschliessen. Auch äussere Umstände können daran schuld sein, dass bestimmte Ziele nicht erreicht werden können. Als Frühwarnsystem kann das IKS den Führungskräften allenfalls eine angemessene Sicherheit bieten, indem sie rechtzeitig über externe oder interne Vorkommnisse informiert wird, welche die Zielerreichung gefährden. Das ist die Aufgabe der periodischen Risikoanalyse, die jede Abteilug durchzuführen hat.
  • (B) Finanzielle Ziele
    Die Bereitstellung zuverlässiger, mit den geltenden Buchführungsnormen übereinstimmender Finanzinformationen sowie von Informationen für die Unternehmensführung. Normalerweise gewährleistet ein effizientes IKS mit angemessener Sicherheit eine gewisse Zuverlässigkeit der Finanzdaten. Die Erreichung dieser Ziele hängt von der Umsetzung der operationellen Tätigkeiten ab.

  • (C) Konformitätsziele (Compliance)
    Das Befolgen der geltenden Gesetze, Verordnungen und Reglemente durch den Geschäftsbereich bzw. die Abteilung. Dieses oft vernachlässigte Ziel ist einer der Gründe für den Beizug des internen Rechtsdienstes bei der Einführung eines IKS. Zahlreiche Gesetze und Verordnungen regeln die Geschäftstätigkeit und gelegentlich vermischen sich Konformitätsund operationelle Ziele. Die Risiken in diesem Bereich sind vielfältig und werden oft unterschätzt. Sie können aber, wie aktuelle Erfahrungen zeigen, grossen Schaden anrichten, sowohl in Bezug auf den Ruf des Unternehmens als auch was Haftpflichtforderungen anbelangt (z.B. Risiko der Aufsichtspflichtverletzung, Risiko der Verbreitung sensibler Personeninformationen, Korruptionsrisiko, Arbeitssicherheits- und Gesundheitsschutzrisiken, usw.)

4. Schritt-für-Schritt-Anleitung: So implementierst du ein IKS nach dem "Three Lines of Defence"-Modell

  • internes kontrollsystem, iks

Schritt 1: Unternehmensrisiken analysieren

  • Identifikation von finanziellen, operativen und regulatorischen Risiken
  • Bewertung der Eintrittswahrscheinlichkeit und Auswirkungen
  • Erstellung einer Risikomatrix

Schritt 2: Interne Kontrollprozesse in der 1. Verteidigungslinie etablieren

  • Definition von operativen Kontrollen in den Abteilungen
  • Integration von Prüfschritten und Dokumentation in Arbeitsprozesse
  • Schulung der Mitarbeiter in der ersten Linie

Schritt 3: Risikomanagement & Compliance-Strukturen in der 2. Verteidigungslinie aufbauen

  • Einrichtung eines Risikomanagement-Teams
  • Entwicklung eines Compliance-Handbuchs & Code of Conduct
  • Einführung eines Melde- und Eskalationssystems

Schritt 4: Interne Revision & Audit-Prozesse in der 3. Verteidigungslinie etablieren

  • Durchführung regelmässiger interner Audits
  • Dokumentation & Berichterstattung von Risikobewertungen
  • Implementierung eines kontinuierlichen Verbesserungsprozesses

4. Häufige Fehler und Herausforderungen beim Aufbau eines IKS

Herausforderung

Lösung

Unklare Verantwortlichkeiten

Klare Rollendefinition für jede Verteidigungslinie

Fehlende Unterstützung durch das Management

Top-Down-Ansatz mit regelmässigen Reports an die Führungsebene

Keine Schulungen für Mitarbeitende

Verpflichtende Compliance- & Risikomanagement-Trainings

Mangelhafte Dokumentation

Einführung digitaler IKS-Systeme zur automatisierten Kontrolle

 

5. Vorteile eines IKS nach dem "Three Lines of Defence"-Modell

  • Klare Rollen & Verantwortlichkeiten in der Risikosteuerung
  • Effiziente Risikomanagement-Struktur durch drei Verteidigungslinien
  • Bessere Compliance & Reduktion regulatorischer Risiken
  • Frühzeitige Erkennung von Fehlern & Schwachstellen
  • Höhere Transparenz & Vertrauen bei Investoren & Partnern

So bewerten Sie Risiken mit smarten Tools und Vorlagen

Internes Kontrollsystem Fachbroschüren

Fragen

Ihre Fragen werden durch unsere Experten gerne beantwortet

Sie haben ein Anliegen oder suchen fachliche Unterstützung? Gerne helfen wir weiter.

Newsletter

Neuigkeiten nicht verpassen

Verpassen Sie weder News noch fachliche Neuheiten, die wir unseren treuen Abonnenten vorbehalten.

 
Ihre E-Mail-Adresse wird nur dazu genutzt, Ihnen unseren Newsletter und Informationen über unsere Tätigkeiten zu senden. Ihnen steht jederzeit der Abmeldelink zur Verfügung, den wir in jede gesendete E-Mail einfügen.

Benutzereinstellungen für Cookies
Wir verwenden Cookies, um sicherzustellen, dass Sie die beste Erfahrung auf unserer Website machen. Wenn Sie die Verwendung von Cookies ablehnen, funktioniert diese Website möglicherweise nicht wie erwartet.
Alle akzeptieren
Alle ablehnen
Weiter lesen
Unbedingt erforderliche Cookies
Diese Cookies sind unerlässlich, um sicherzustellen, dass der Besucher in bestimmten Funktionen der Website navigieren und sie nutzen kann. Ohne sie können wesentliche Teile der Webseite nicht verwendet werden. Entsprechend sind diese Cookies immer aktiviert. Sie werden nur dann eingesetzt, wenn Sie unsere Website besuchen und werden in der Regel nach dem Schliessen Ihres Browsers gelöscht. Ausserdem werden sie verwendet, um bei Zugriff mit einem mobilen Gerät die optimierte Website-Darstellung abzurufen, damit z. B. Ihr Datenvolumen nicht unnötig verbraucht wird. Auch erleichtern die Cookies den Seitenwechsel von http zu https, sodass die Sicherheit der übertragenen Daten gewährleistet bleibt.
Marketing-Cookies
Marketing-Cookies werden genutzt, um gezielter für den Nutzer relevante und an seine Interessen angepasste Inhalte anzubieten. Sie werden ausserdem dazu verwendet, die Effektivität von Kampagnen zu messen und zu steuern. Sie registrieren z. B., ob man eine Webseite besucht hat oder nicht, sowie welche Inhalte genutzt worden sind. Mithilfe dieser Informationen wird ein Interessensprofil erstellt, sodass nur für Sie interessante Inhalte angezeigt werden. Wenn Sie Ihre Zustimmung zu Marketing-Cookies widerrufen, bedeutet dies nicht, dass Sie in der Folge weniger Inhalte sehen oder erhalten. Es bedeutet vielmehr, dass die Inhalte, die Sie sehen und erhalten, nicht individuell auf Ihre Bedürfnisse zugeschnitten sind.
linkedin.com
Annehmen
Decline
Leistungs-Cookies
Diese Cookies sammeln Daten über das Benutzerverhalten. Auf dieser Basis wird die Webseite bezüglich Inhalt und Funktionalität auf das allgemeine Nutzungsverhalten abgestimmt. Die gesammelten Informationen werden grundsätzlich in aggregierter Form weiterverarbeitet, es sei denn, ein Besucher hat einer personenbezogenen Auswertung gesondert ausdrücklich zugestimmt. Leistungs-Cookies werden ausschliesslich verwendet, um die Leistung der Website zu verbessern und das Online-Erlebnis auf die Bedürfnisse der Nutzer abzustimmen.
Google Analytics
Annehmen
Decline
Funktionale Cookies
Funktionale Cookies ermöglichen der Webseite, getätigte Angaben, wie z. B. den Benutzernamen oder die Sprachauswahl, zu speichern und dem Nutzer darauf basierend verbesserte und personalisierte Funktionen anzubieten. Die gesammelten Informationen werden ausschliesslich in aggregierter Form ausgewertet. Da wir Ihnen eine Website bieten möchten, die auf optimale Benutzerfreundlichkeit ausgelegt ist, empfehlen wir die Aktivierung dieser Cookies. Funktionale Cookies werden z. B. auch genutzt, um von Ihnen gewünschte Funktionen wie die Wiedergabe von Videos zu aktivieren.
Speichern