Denken Sie, internes Kontrollsystem sei "nur für große Unternehmen"? In Genf erleben wir jeden Monat das Gegenteil: ein KMU mit 8 bis 60 Mitarbeitenden, ein ERP-System nicht vollständig beherrscht, zwei Personen, die "alles können", und eines Tages... geht eine Zahlung auf das falsche IBAN. Oder eine Kundenrechnung wird mit falsch eingestellter Mehrwertsteuer verschickt. Ergebnis? Geld verloren, Zeit verloren und manchmal ein sehr unangenehmes Gespräch mit der Bank, der AFC oder dem Revisionsorgan.
Das interne Kontrollsystem im KMU ist kein verstaubter Ordner. Es sind konkrete Reflexe und Schutzmechanismen in drei Bereichen, die weh tun, wenn etwas schiefgeht: Rechnungsstellung, Einkauf, Zahlungen – und seit einigen Jahren Bankzugänge (E-Banking, Rechte, Unterschriften, Geräte).
Wir sprechen aus der Praxis. Was bricht, warum es bricht und wie man absichert, ohne das Unternehmen zur Verwaltung zu machen.
Konkrete Risiken für KMU (Fehler, Betrug, unkontrollierter Zugang zu Bankkonten, Schweizer Beispiele, regulatorische Herausforderungen)
Das klassische Trio: Fehler, Betrug, "Basteln"
Im KMU entstehen Probleme selten durch eine große Verschwörung. Sie entstehen durch eine explosive Mischung: Dringlichkeit + Vertrauen + fehlende Aufgaben-Trennung.
- Fehler: eine Rechnung zweimal versendet, eine Gutschrift vergessen, falscher Mehrwertsteuersatz, eine Zahlung mit einer Null zu viel.
- Interner Betrug: ein Mitarbeiter erstellt einen fiktiven Lieferanten, ändert eine Bankverbindung oder erstattet "Spesen", die keine sind.
- Externer Betrug: gefälschte "CEO-Fraud"-E-Mails, Lieferanten-Imitation, E-Banking-Phishing.
- Basteln: geteilte Zugänge, Passwörter auf Post-its, mündliche Freigaben, fehlende Belege beim Abschluss.
Oft die gleichen Symptome: Niemand weiß genau, wer was darf, und das Problem wird zu spät entdeckt.
Bankzugänge: Schwachstelle Nummer 1 im Jahr 2026
Klartext: E-Banking ist zum Tresor des KMU geworden, viele behandeln es immer noch wie eine App.
Typische Fallen in Genf:
- Ein einziger "Admin"-Nutzer macht alles (Begünstigten anlegen + erfassen + freigeben + ausführen).
- Rechte werden nach Austritt nicht entfernt (oder bei längerer Krankheit).
- Kollektivunterschrift auf Papier... aber E-Banking-Rechte umgehen die Logik.
- Dringende Zahlungen werden vom privaten Handy freigegeben, ohne Kontrolle.
Praxisbeobachtung: Viele KMU entdecken diese Schwächen bei einem Bankwechsel oder einer Revision. Dann wird die Nutzerliste, Rechte und Logs verlangt. Und man merkt: "Niemand hat den vollständigen Überblick".
Mehrwertsteuer und Rechnungsstellung: Wenn ein kleiner Fehler zum großen Thema wird
Mehrwertsteuer ist nicht "nur ein Satz". Es sind Einstellungen, Regeln, Nachweise.
- Normalsatz: 8,1 %
- Reduzierter Satz: 2,6 %
- Spezialsatz Beherbergung: 3,8 %
Ein Fehler bei mehreren Rechnungen lässt sich korrigieren. Aber es kostet: Gutschriften, Nachberechnungen, Kundendiskussionen und manchmal Korrekturen bei Abrechnungen.
Regulatorische Herausforderungen: Was die Geschäftsleitung nicht delegieren kann
In Genf wie überall in der Schweiz hat die Geschäftsleitung Aufgaben, die nicht an die Buchhaltung "ausgelagert" werden können.
- Organisation und Überwachung: Verantwortung der Geschäftsleitung (Quelle: Organisation des internen Kontrollsystems und Schweizer Rechtsrahmen (Obligationenrecht, Art. 716a, 961)).
- Governance und Prüfpflichten je nach Größe und Rechtsform (Quelle: Revisionspflichten und gute KMU-Governance).
- In bestimmten Branchen ist der Druck auf Kontrollen (Cyber, operationelle Risiken) gestiegen (Quelle: Cyber-Risikomanagement und spezifische Kontrollen 2024).
Sie können die Ausführung delegieren. Nicht die Verantwortung.
Mini-Fall (anonymisiert): das gefälschte IBAN-Änderung
Genfer KMU, B2B-Dienstleistungen, 18 Mitarbeitende. Eine "Lieferanten"-E-Mail meldet eine neue IBAN. Die Buchhaltung aktualisiert den Lieferantenstamm. Zahlung von CHF 24’870 am nächsten Tag ausgeführt.
Der echte Lieferant meldet sich eine Woche später: "Wir haben nichts erhalten." Das Geld ist auf ein ausländisches Konto gegangen, rückholbar? Nein.
Warum hat es funktioniert?
- Nur eine Person konnte den Lieferantenstamm ändern.
- Keine Kontrolle bei IBAN-Änderungen.
- Zahlung wurde "schnell" freigegeben, ohne den Begünstigten zu prüfen.
Solche Fälle gibt es zu viele.
Umsetzung von Schlüsselkontrollen je Prozess (Rechnungsstellung, Einkauf, Zahlungen: Aufgaben-Trennung, Kreuzvalidierung, Audit-Trails, Bankzugangskontrollen, Teilautomatisierung...)
Wir teilen nach Prozess auf. Ziel ist nicht alles zu blockieren. Ziel ist: Kontrollen dort, wo Geld rausgeht, wo Geld reinkommt und wo Daten geändert werden.
Rechnungsstellung: Absicherung des Umsatzes (und der Mehrwertsteuer)
Einfache Kontrollen, die alles verändern:
- Fortlaufende Nummerierung der Rechnungen, keine "mysteriösen" Lücken.
- Freigabe der Konditionen (Preis, Rabatt, Incoterms, Fristen) durch eine andere Person als den Aussteller.
- Sperrung der Mehrwertsteuersätze im ERP: nur 1-2 Profile können Einstellungen ändern.
- Monatlicher Abgleich: ausgestellte Rechnungen vs erbrachte Leistungen (oder validierte Stunden).
- Gutschriften: obligatorische Freigabe mit schriftlichem Grund.
Anekdote: Beim Abschluss findet man oft Gutschriften "um dem Kunden einen Gefallen zu tun" ohne Nachweis. Das Problem ist nicht die Gutschrift, sondern das Fehlen von Regeln. Viel Glück beim Erklären der sinkenden Marge.
Einkauf: Phantomlieferanten und "Komfortausgaben" vermeiden
Das interne Kontrollsystem im Einkauf basiert auf einfacher Logik: Anfrage → Bestellung → Empfang → Rechnung → Zahlung.
Konkrete Kontrollen:
- Lieferantenanlage: Nachweis (Registerauszug, Kontaktdaten, IBAN) + Freigabe durch eine zweite Person.
- Bestellung: Freigabeschwellen (z.B. > CHF 5’000, Freigabe durch Geschäftsleitung).
- Empfang: Nachweis des Empfangs (Lieferschein, Protokoll, Servicefreigabe).
- Lieferantenrechnung: 2-Wege-Abgleich (Bestellung/Rechnung) oder 3-Wege (Bestellung/Empfang/Rechnung).
Zahlungen: Wo Aufgaben-Trennung nicht verhandelbar ist
Wenn eine Person:
- Begünstigten anlegen,
- Zahlung erfassen,
- freigeben,
- ausführen kann, ... haben Sie eine große Lücke.
Empfohlene Kontrollen:
- Doppel-Freigabe bei Zahlungen (mindestens ab Schwellenwert).
- Sperre von IBAN-Änderungen ohne Freigabe.
- Whitelist von Begünstigten (wenn Bank dies ermöglicht).
- Dringende Zahlungen: spezifisches Verfahren, nicht "schnell machen und sehen".
Audit-Trails: Wenn es nicht nachvollziehbar ist, existiert es nicht
Effektives internes Kontrollsystem hinterlässt Spuren:
- wer Lieferantenstamm angelegt/geändert hat,
- wer eine Rechnung freigegeben hat,
- wer eine Zahlung genehmigt hat,
- wann und mit welchem Profil.
Wenn Ihr Tool keine Logs speichert, kompensieren Sie: monatlicher Export, unterschriebene Freigabe oder einfacher Workflow.
Teilautomatisierung: nützlich, aber kein Allheilmittel
Automatisieren, ja. Sich darauf verlassen, nein.
- OCR für Lieferantenrechnungen: Zeitersparnis, aber sensible Felder prüfen (IBAN, Betrag, Mehrwertsteuer).
- Freigabe-Workflows: sehr gut, solange Rollen sauber sind.
- Bankabgleiche: exzellent, aber manuelle Buchungen überwachen.
Zugriffs-Matrix und Aufgaben-Trennung (Methodik, Praxisbeispiel, Tools, Entwicklungen seit 2025)
Die Zugriffs-Matrix beantwortet eine einfache Frage: Wer darf was, in welchem Tool und mit welchem Freigabe-Level.
2026 ist sie ein Steuerungsdokument. Kein Gimmick.
Einfache (und realistische) Methodik für KMU
Fünf Schritte. Kein 6-Monats-Projekt nötig.
- Tools auflisten: E-Banking, ERP/Buchhaltung, Rechnungs-Tool, Spesenverwaltung, Dokumententresor.
- Sensible Aktionen auflisten: Begünstigten anlegen/ändern, IBAN ändern, Zahlung freigeben, Zahlungsdatei exportieren, Mehrwertsteuersatz ändern, Lieferanten anlegen, Gutschrift erstellen.
- Rollen definieren (nicht Personen): Buchhalter, Finanzverantwortlicher, Geschäftsleitung, Einkaufsverantwortlicher, Projektleiter.
- Rechte vergeben nach dem Prinzip: Minimum nötig.
- Testen: Zahlung simulieren, IBAN-Änderung, Rechnungsstorno. Prüfen, ob blockiert wird, wenn es muss.
Praxisbeispiel Matrix (Auszug)
| Sensible Aktion | Buchhaltung | Finanzverantwortlicher | Geschäftsleitung | Kontrollhinweis |
|---|---|---|---|---|
| Lieferanten anlegen | Ja (vorbereiten) | Ja (freigeben) | Nein | Freigabe vor Nutzung obligatorisch |
| Lieferanten-IBAN ändern | Nein | Ja (vorbereiten) | Ja (freigeben) | Kontrolle außerhalb E-Mail: Anruf beim bekannten Kontakt |
| Zahlungen erfassen | Ja | Ja | Nein | Erfassung getrennt von Freigabe |
| Zahlungen > CHF 10’000 freigeben | Nein | Ja | Ja | Doppel-Freigabe |
| E-Banking-Begünstigten hinzufügen | Nein | Ja | Ja | Niemals von derselben Person wie Ausführung |
| Mehrwertsteuer-Einstellungen ändern | Nein | Ja | Ja | Log + Quartalsreview |
Diese Tabelle bei jedem Zu-/Abgang und mindestens jährlich aktualisieren.
Tools: Was KMU wirklich nutzen
- Gut gepflegte Tabelle (funktioniert) + Freigabe durch Geschäftsleitung.
- Export der E-Banking-Rechte (die meisten Schweizer Banken bieten dies).
- Freigabe-Workflow im ERP, falls vorhanden.
- Zugriffsregister (wer hat wann, warum Zugriff).
Entwicklungen seit 2025: Was sich in der Praxis geändert hat
Seit 2025 drei klare Trends:
- Banken forcieren granulare Rechte und Mehrfach-Freigaben.
- KMU nutzen häufiger Dateizahlungen (pain.001): praktisch, aber gefährlich ohne Kontrolle beim Export/Import.
- Lieferanten-Imitation-Angriffe sind alltäglich. Der Kontrollanruf ist wieder Standard.
Warnsignale und Best Practices (Fehler vermeiden, Indikatoren, Schulung, Reporting, Kontrollsystem-PDFs und Guides verfügbar)
Wollen Sie wissen, ob Ihr Kontrollsystem funktioniert? Achten Sie auf schwache Signale. Sie täuschen nicht.
Warnsignale: Wann man sich Sorgen machen sollte
- Ein Nutzer macht Erfassung + Freigabe + Ausführung.
- Jede Woche "dringende" Zahlungen.
- Lieferanten ohne Akte angelegt (kein Auszug, kein Vertrag, kein Kontakt).
- Häufige Gutschriften ohne Standardgrund.
- Manuelle Buchungen am Monatsende ohne Beleg.
- E-Banking-Zugänge seit über 12 Monaten nicht überprüft.
Einfache Indikatoren (monatlich oder quartalsweise)
- Anzahl neuer Lieferanten.
- Anzahl IBAN-Änderungen.
- Top 10 Zahlungen (Beträge) und zugehörige Freigabe.
- Stornierte Rechnungen / ausgestellte Gutschriften.
- Unerklärte Bankabgleich-Differenzen.
Schulung: 45 Minuten verhindern Wochen Schaden
Nicht "alle zu Finanzprofis machen". Es geht um Reflexe:
- verdächtige E-Mails erkennen,
- IBAN-Änderung prüfen,
- "vertrauliche" Anfragen ablehnen, die Verfahren umgehen,
- Ausnahme dokumentieren.
Kurze jährliche Session + Reminder bei Neueintritten reicht.
Reporting: Eine Seite, kein Roman
Beste Methode: ultra-kurzes Reporting an Geschäftsleitung:
- Vorfälle (auch kleine),
- validierte Ausnahmen,
- Zugriffsänderungen,
- Korrekturpunkte.
Eine Seite. Monatlich oder quartalsweise.
Ark Fiduciaire
Brauchen Sie Hilfe zu diesem Thema?
Unsere Experten stehen Ihnen für eine persönliche Beratung zur Verfügung. Erstes Gespräch kostenlos und unverbindlich.
Ressourcen und Guides
Für eine strukturierte Vorgehensweise nutzen Sie:
- Komponenten des internen Kontrollsystems nach COSO (Quelle: Komponenten des internen Kontrollsystems COSO).
- Erwartungen und Best Practices zu Cyber-Risiken (Quelle: Cyber-Risikomanagement und spezifische Kontrollen 2024).
- Prüfpflichten und Best Practices zu Revision und Governance (Quelle: Revisionspflichten und gute KMU-Governance).
- Schweizer Rechtsrahmen zu Organisation und Kontrolle (Quelle: Organisation des internen Kontrollsystems und Schweizer Rechtsrahmen (Obligationenrecht, Art. 716a, 961)).
- Praxisorientierter Guide für KMU (Quelle: Praxisguide internes Kontrollsystem KMU (Rechnungsstellung, Einkauf, Zahlungen – Ark Fiduciaire, 2025)).
Schritt für Schritt: Ein funktionierendes Kontrollsystem in 30 Tagen umsetzen
Sie müssen nicht auf eine Revision warten. Hier die Methode, die wir oft mit Genfer KMU anwenden.
Woche 1 — Prozesse kartieren und maximal 10 Kontrollen auswählen
- Listen Sie Ihre Flüsse: Rechnungsstellung, Einkauf, Zahlungen, Spesen.
- Identifizieren Sie, wo Geld rausgeht und wo Daten geändert werden.
- Wählen Sie maximal 10 Kontrollen zum Start (sonst macht niemand mit).
Woche 2 — E-Banking absichern und Rollen dokumentieren
- Exportieren Sie die Nutzer- und Rechte-Liste.
- Regeln festlegen: Doppel-Freigabe, Schwellen, Begünstigtenanlage.
- Unnötige Zugänge entfernen.
Woche 3 — Validierungen in den Alltag integrieren
- Neue Lieferanten validieren.
- IBAN-Änderungs-Prozess einführen.
- Gutschriften-Freigabe formalisieren.
Woche 4 — Testen, korrigieren, festschreiben
- End-to-End-Test: eine Rechnung, ein Einkauf, eine Zahlung.
- Spuren prüfen (Logs, Belege, Freigaben).
- Pro Prozess eine Seite Verfahren schreiben. Eine Seite, nicht zwanzig.
Checkliste 1 — Dokumente, die griffbereit sein sollten (sonst verlieren Sie Zeit)
- Liste der E-Banking-Nutzer + Rechte + Datum letzter Überprüfung
- Zugriffs-Matrix (Rollen vs sensible Aktionen)
- IBAN-Änderungs-Prozess (mit Kontrolle außerhalb E-Mail)
- Freigabeschwellen (Einkauf, Zahlungen, Gutschriften)
- Ausnahme-Freigabe-Vorlage (bei Regelabweichung)
- Lieferantenakte (Vertrag, Kontaktdaten, Nachweise)
- Vorfall-Journal (auch "kleine")
Checkliste 2 — Minimum-Kontrollen (bei Zeitmangel)
Wenn Sie nur das machen, reduzieren Sie das Risiko deutlich:
- Doppel-Freigabe bei Zahlungen über Schwellenwert (z.B. CHF 10’000)
- Verbot, Begünstigten anzulegen und Zahlung auszuführen durch dieselbe Person
- Obligatorische Freigabe jeder IBAN-Änderung + telefonische Bestätigung beim bekannten Kontakt
- Monatliche Prüfung neuer Lieferanten
- Sperrung der Mehrwertsteuer-Einstellungen (begrenzter Zugriff + Review)
- Monatlicher Bankabgleich mit Behandlung von Differenzen
Praxisfall (Genf): Zahlungen und Lieferanten in einem Dienstleistungs-KMU absichern
Genfer KMU, 25 Mitarbeitende, Kommunikationsagentur. 120 Kundenrechnungen/Monat, 80 Lieferantenrechnungen/Monat. Zwei Personen im Finanzbereich:
- Aline (Buchhaltung): Lieferantenrechnungen erfassen, Kundenrechnungen erstellen, Zahlungen vorbereiten.
- Marc (Geschäftsleitung): Zahlungen freigeben, Überwachung.
Ausgangslage (hohes Risiko)
- Aline kann Lieferanten und IBAN im ERP anlegen/ändern.
- Aline bereitet Zahlungen vor und kann sie im E-Banking freigeben (historische Rechte).
- Marc gibt frei "wenn er Zeit hat", manchmal nach Ausführung.
Ein Vorfall: Zahlung von CHF 18’450 auf geändertes IBAN nach betrügerischer E-Mail.
Maßnahmen (2 Stunden Arbeit + 1 Banktermin)
- ERP:
- Aline kann Lieferanten anlegen, aber nicht freigeben.
- Jede IBAN-Änderung löst eine Freigabe-Aufgabe aus.
- E-Banking:
- Aline: Zahlungen erfassen, keine finale Freigabe.
- Marc: finale Freigabe obligatorisch.
- Schwelle: über CHF 10’000, Doppel-Freigabe (Marc + Verwaltungsrat oder zweiter Unterzeichner).
- IBAN-Prozess:
- Bei IBAN-Änderung: Anruf an bekannte Nummer (nicht E-Mail), Notiz in Akte.
Ergebnis (über 3 Monate)
- 9 IBAN-Änderungen angefragt: 2 blockiert, da nicht bestätigt.
- 1 Betrugsversuch erkannt (gefälschte E-Mail).
- Zusatzaufwand: ca. 15 Minuten/Woche.
- Finanzrisiko reduziert: Szenario "eine Person macht alles" eliminiert.
Nicht glamourös. Aber effektiv.
Zwei nützliche Tabellen: Schwellen und Kontrollen je Prozess
Tabelle 1 — Beispiel Freigabeschwellen (anpassen)
| Vorgangstyp | CHF 0–2’000 | CHF 2’001–10’000 | > CHF 10’000 |
|---|---|---|---|
| Nicht wiederkehrender Einkauf | Serviceverantwortlicher | Finanzverantwortlicher | Geschäftsleitung |
| Lieferantenzahlung | Buchhaltung (vorbereiten) | Finanzverantwortlicher (freigeben) | Doppel-Freigabe (Geschäftsleitung + zweiter Unterzeichner) |
| Kundengutschrift | Kontoverantwortlicher | Finanzverantwortlicher | Geschäftsleitung |
Tabelle 2 — Empfohlene Kontrollen je Prozess
| Prozess | Kontrolle | Häufigkeit | Erwarteter Nachweis |
|---|---|---|---|
| Rechnungsstellung | Gutschriften-Review (Grund + Freigabe) | Monatlich | Gutschriftenliste + Freigabe |
| Rechnungsstellung | Sperrung Mehrwertsteuer-Einstellungen | Quartalsweise | Änderungslog |
| Einkauf | Lieferantenanlage-Freigabe | Bei jeder Anlage | Lieferantenakte |
| Einkauf | Abgleich Bestellung/Empfang/Rechnung | Bei jeder Rechnung | Lieferschein + Rechnung + Freigabe |
| Zahlungen | Doppel-Freigabe über Schwelle | Täglich | E-Banking-Log |
| Zahlungen | Prüfung neuer Begünstigter | Monatlich | Begünstigtenliste + Unterschrift |
Häufige Fehler (und wie man sie ohne Komplett-Neuaufbau korrigiert)
Fehler 1: "Wir sind ein kleines Team, Trennung geht nicht"
Doch, geht. Aufgaben-Trennung heißt nicht 4 Personen. Es heißt: mindestens zwei Augen bei sensiblen Aktionen.
Korrektur:
- eine Person bereitet vor,
- eine andere gibt frei,
- und es gibt eine Spur.
Fehler 2: E-Banking-Rechte vererbt und nie überprüft
Klassische Falle. Rechte häufen sich, keiner traut sich ran.
Korrektur:
- jährliche Überprüfung,
- sofortige Entfernung bei Austritt,
- Verbot von geteilten Konten.
Fehler 3: IBAN-Änderung als Formalität
Genau das wollen Betrüger.
Korrektur:
- Freigabe durch zweite Person,
- Bestätigung außerhalb E-Mail,
- temporäre Sperre bei Zweifel.
Fehler 4: Kontrollen "im Kopf"
"Ich prüfe immer" ist keine Kontrolle. Ist die Person abwesend, bricht alles zusammen.
Korrektur:
- Checkliste,
- Log,
- Freigabe im Tool.
Fehler 5: Undokumentierte Ausnahmen
Ausnahmen passieren. Problematisch, wenn sie zur Norm werden.
Korrektur:
- Ausnahmeformular (auch einfach),
- Grund + Freigabe + Beleg.
Internes Kontrollsystem und Cyber: Die unterschätzte Verbindung
Betrug läuft heute oft über:
- kompromittiertes E-Mail-Konto,
- wiederverwendetes Passwort,
- ungesichertes Handy,
- zu breite E-Banking-Zugänge.
Pragmatische Best Practices:
- starke Authentifizierung überall möglich,
- dedizierte oder mindestens gesicherte Geräte für E-Banking,
- Überprüfung von Zugängen und Logs,
- "Vorfall"-Prozess: wen anrufen, was sperren, was dokumentieren.
Für Cyber-Kontrollen und Erwartungen siehe Überwachungsempfehlungen (Quelle: Cyber-Risikomanagement und spezifische Kontrollen 2024).
Rolle der Geschäftsleitung: Was Sie selbst steuern müssen
Sind Sie Geschäftsführer, Verwaltungsrat, geschäftsführender Gesellschafter? Sie müssen keine Buchungen machen. Sie müssen steuern:
- Freigabeschwellen,
- Zugriffs-Matrix,
- periodische Prüfung von Zahlungen und Ausnahmen,
- Kultur: "Wir halten uns an Verfahren, auch wenn es dringend ist".
Man merkt, wenn es ernst genommen wird. Teams ziehen mit.
FAQ zum internen Kontrollsystem im KMU (Definition, Unterschied Revision/Kontrollsystem, gesetzliche Pflichten, PDF-Ressourcen, einfache Tools für KMU, Rolle der Geschäftsleitung)
1) Was ist das interne Kontrollsystem im KMU?
Alle Regeln und Kontrollen, die Fehler und Betrug in sensiblen Prozessen verhindern (oder schnell erkennen): Rechnungsstellung, Einkauf, Zahlungen, Bankzugänge, Mehrwertsteuer, Stammdaten. Kein Dokument, sondern Arbeitsweise mit Nachweisen.
2) Kontrollsystem vs Revision: Was ist der Unterschied?
Kontrollsystem ist das, was das Unternehmen täglich umsetzt. Revision ist eine Funktion (oft im KMU nicht vorhanden), die diese Kontrollen unabhängig prüft und bewertet. Im KMU ersetzt man Revision oft durch punktuelle Reviews (Geschäftsleitung, Treuhänder, Revisionsorgan je nach Fall).
3) Ist das Kontrollsystem im KMU gesetzlich vorgeschrieben?
Geschäftsleitung muss Unternehmen organisieren und überwachen, sowie konforme Buchhaltung sicherstellen. Je nach Größe und Prüfpflicht steigen die Erwartungen an das Kontrollsystem. Rechtsrahmen und Verantwortung sind im Obligationenrecht beschrieben (Quelle: Organisation des internen Kontrollsystems und Schweizer Rechtsrahmen (Obligationenrecht, Art. 716a, 961)).
4) Gibt es "PDF-Ressourcen" oder Praxis-Guides für KMU?
Ja. Es gibt Referenzrahmen (Quelle: Komponenten des internen Kontrollsystems COSO) und KMU-orientierte Guides zu Rechnungsstellung/Einkauf/Zahlungen (Quelle: Praxisguide internes Kontrollsystem KMU (Rechnungsstellung, Einkauf, Zahlungen – Ark Fiduciaire, 2025)).
5) Welche einfachen Tools ohne großes Budget?
Tabelle für Zugriffs-Matrix, E-Banking-Exports für Rechte und Freigaben, monatliche Checkliste und Lieferantenakte. Wenn Ihr ERP Workflows bietet, aktivieren Sie diese für sensible Aktionen (Lieferantenanlage, IBAN-Änderung, Gutschriften, Zahlungen).
6) Konkrete Rolle der Geschäftsleitung im Alltag?
Regeln festlegen (Schwellen, Freigaben), Ausnahmen freigeben, Nachweise verlangen (Logs, Belege), periodische Prüfung. Klare Botschaft: Dringlichkeit rechtfertigt keine Umgehung von Kontrollen.
Referenzen
- Komponenten des internen Kontrollsystems COSO
- Neueste Anpassungen zur Geldwäschereibekämpfung
- Revisionspflichten und gute KMU-Governance
- Organisation des internen Kontrollsystems und Schweizer Rechtsrahmen (Obligationenrecht, Art. 716a, 961)
- Cyber-Risikomanagement und spezifische Kontrollen 2024
- Praxisguide internes Kontrollsystem KMU (Rechnungsstellung, Einkauf, Zahlungen – Ark Fiduciaire, 2025)