Sie haben ein KMU in Genf (oder in der Romandie) und denken: "Wir sind zu klein für ein internes Kontrollsystem." Ehrlich gesagt: Genau dort entstehen oft die Probleme.
Das interne Kontrollsystem ist kein verstaubter Ordner und keine Marotte großer Unternehmen. Es sind konkrete Reflexe, um drei alltägliche Fehler zu vermeiden:
- dieselbe Rechnung zweimal bezahlen,
- auf eine gefälschte IBAN hereinfallen,
- beim Abschluss feststellen, dass die Mehrwertsteuer "nach Gefühl" behandelt wurde.
Und im Jahr 2026 taucht ein Thema in fast allen Fällen auf: Zugänge (Bank, E-Banking, ERP, Rechnungssoftware, Cloud). Die Rechte sind zu weit gefasst, werden nicht überprüft und nicht protokolliert. Ergebnis? Ein Fehler wird zum Vorfall. Ein Vorfall wird zum Streit. Und manchmal zur Betrugsmasche.
Welche konkreten Risiken für ein Schweizer KMU im Jahr 2026? (Fehler, Betrug, Bankzugang, OR-Konformität)
Risiko Nr. 1: Der "einfache" Fehler, der teuer wird
Es gibt immer noch KMU, bei denen eine Person:
- den Lieferanten anlegt,
- die Rechnung erfasst,
- die Zahlung vorbereitet,
- im E-Banking freigibt.
Achtung, das ist eine klassische Falle. Nicht weil die Person unehrlich ist. Sondern weil Fehler passieren, wenn sie gestresst, müde oder vertreten ist.
Sehr konkrete Beispiele:
- Rechnung zweimal erfasst (gleicher Betrag, Datum, leicht andere Referenz),
- Gutschrift vergessen,
- Mehrwertsteuer falsch codiert (8,1 % statt 2,6 % oder umgekehrt),
- Zahlung auf eine alte IBAN, "kopiert" aus einer E-Mail.
Risiko Nr. 2: Der "saubere" Betrug (der wie eine normale Transaktion aussieht)
Im Jahr 2026 ist der häufigste Betrug im KMU nicht der Raubüberfall. Es ist die Manipulation von Prozessen.
Zwei Szenarien:
- IBAN-Wechsel: Eine E-Mail "vom Lieferanten" kündigt ein neues Konto an. Die Rechnung ist echt, der Lieferant existiert, der Betrag ist plausibel. Nur die IBAN ist falsch.
- Falscher CEO / falscher Direktor: Dringende Anfrage für eine "vertrauliche" Überweisung. Es wird Druck gemacht. Man wird gelobt. Man wird isoliert.
Wenn Ihre Zahlungsprozesse auf "Ich erkenne den Stil der E-Mail" beruhen, sind Sie gefährdet.
Risiko Nr. 3: Bankzugang und zu weit gefasste Rechte
Das eigentliche Problem ist die Kombination:
- E-Banking-Zugang mit Zahlungsrechten,
- Zugang zur Buchhaltungssoftware,
- keine Rechteüberprüfung,
- kein Kontrolljournal.
Das bedeutet konkret, dass dieselbe Person einen Lieferanten anlegen, die IBAN ändern und dann zahlen kann. Und wenn niemand die Kontoauszüge kritisch prüft, merken Sie wochenlang nichts.
Risiko Nr. 4: OR-Konformität und Verantwortung des Verwaltungsorgans
Hier geht es nicht um "nette Best Practices". Das Obligationenrecht schreibt Führungsverantwortung und eine angemessene Organisation vor.
Zwei Artikel sind immer wieder Thema:
- Art. 716a OR (unübertragbare und unveräußerliche Aufgaben des Verwaltungsrats, für AG),
- Art. 961 OR (Darstellung der Rechnungen; praktisch alles, was die Zuverlässigkeit der Finanzinformationen betrifft).
Sie können die Ausführung delegieren. Nicht die Verantwortung.
Quelle: Angemessene Organisation des internen Kontrollsystems für AG/GmbH: gesetzliche Pflichten und Art. 716a & 961 OR.
Praxisbeobachtung (Genf): Das Problem taucht zum schlechtesten Zeitpunkt auf
Viele Genfer KMU entdecken ihre Schwachstellen beim Jahresabschluss. Warum? Weil:
- die Treuhand einfache Fragen stellt ("Wer validiert?", "Wer hat Zugang?", "Wo ist das Dokument?"),
- und dann merkt man, dass alles von einer Person abhängt.
Ergebnis? Notlösungen. Und Notfälle sind immer teurer.
Einfache Kontrollen pro Prozess: Wie handeln bei Rechnungsstellung, Einkauf, Zahlungen und Bankzugang?
Ganz einfach: Eine nützliche interne Kontrolle funktioniert ohne Heldentum. Wenn Ihre Kontrolle von einer "sehr gewissenhaften" Person abhängt, hält sie nicht.
Kundenrechnung: Lücken vermeiden
Ziel: Sicherstellen, dass alles Gelieferte/Erbrachte fakturiert wird und die Rechnung korrekt ist.
Konkrete Kontrollen:
- Fortlaufende Nummerierung der Rechnungen (und Kontrolle auf Lücken).
- Monatliche Gutschriftenliste: Wer hat sie ausgestellt, warum, und Validierung durch eine andere Person.
- Einfacher Abgleich: Aufträge/Verträge → Rechnungen → Zahlungseingänge.
- Mehrwertsteuer: Standardcodierung (8,1 %, 2,6 %, 3,8 % je nach Fall) und punktuelle Überprüfung von Ausnahmen.
Kleines Detail mit großer Wirkung: Wenn Sie "außergewöhnliche" manuelle Rechnungen erstellen, entsteht ein blinder Fleck. Entweder integrieren Sie sie in den normalen Ablauf oder dokumentieren eine verstärkte Validierung.
Einkauf und Lieferanten: Das eigentliche Risiko ist die Anlage/Änderung
Betrügerische Zahlungen laufen oft hier.
Konkrete Kontrollen:
- Lieferantenanlage: Pflichtnachweis (Auszug, Vertrag, Proforma-Rechnung, Kontaktdaten) + Validierung durch eine andere Person.
- IBAN-Änderung: Doppelte Validierung + Telefonanruf an eine bekannte Nummer (nicht die aus der E-Mail).
- Quartalsweise Liste neuer Lieferanten: Schnelle Überprüfung durch die Geschäftsleitung.
Zahlungen: "Blindes Validieren" beenden
Wenn Sie 30 Zahlungen in 2 Minuten validieren, validieren Sie nichts. Sie klicken nur.
Konkrete Kontrollen:
- Vier-Augen-Prinzip bei Zahlungen (Vorbereitung ≠ Validierung).
- Validierungsschwellen: z.B. jede Zahlung > CHF 5'000 von einem zweiten Unterzeichner validiert.
- Gruppierte Zahlungen: Überprüfung einer gedruckten/PDF-Liste mit Beträgen, Empfängern, IBAN, Zweck.
- Bankabgleich: Wöchentlich bei hohem Volumen, sonst monatlich, aber von jemandem, der keine Zahlungen initiiert.
Bankzugang: Minimale Rechte und Nachvollziehbarkeit
Konkrete Kontrollen:
- Zwei getrennte Profile: "Vorbereiter" und "Validierer".
- Kein gemeinsames generisches Konto.
- Halbjährliche Überprüfung der Zugänge: Wer hat Zugang zu was und warum.
- Sofortige Deaktivierung bei Austritt (auch wenn die Person "noch zwei Tage da ist").
Checkliste #1 — Minimal notwendige Kontrollen (KMU 5–30 Personen)
- Fortlaufende Rechnungsnummerierung + Lückenkontrolle (monatlich)
- Gutschriftenüberprüfung (monatlich)
- Lieferantenanlage von einer anderen Person validiert (bei jeder Anlage)
- IBAN-Änderung: doppelte Validierung + Anruf an bekannte Nummer (bei jeder Änderung)
- Zahlungsvorbereitung ≠ Zahlungsvalidierung (immer)
- Schwelle für Doppelunterschrift (z.B. CHF 5'000) (konfiguriert)
- Bankabgleich von einer unabhängigen Person durchgeführt (monatlich)
- Überprüfung der E-Banking- und Buchhaltungszugänge (2x/Jahr)
Zugriffe meistern: Aufbau einer Rechte-Matrix und Aufgaben-Trennung
Aufgaben-Trennung bedeutet nicht "wir vertrauen uns". Es bedeutet "wir verhindern, dass eine Person eine komplette Operation ohne Kontrolle durchführen kann".
Was Sie vermeiden wollen
Die gefährliche Kombination:
- Dritten (Kunde/Lieferant) anlegen/ändern,
- Buchung oder Rechnung erstellen,
- Zahlung auslösen,
- Zahlung validieren,
- Bank abgleichen.
Wenn eine Person 1→5 machen kann, besteht ein strukturelles Risiko.
Tabelle 1 — Beispiel einer Aufgaben-Trennungs-Matrix (Genfer KMU)
| Prozess | Aktion | Rolle A (Buchhaltung) | Rolle B (Leitung) | Rolle C (Operationen) | Erwartete Kontrolle |
|---|---|---|---|---|---|
| Lieferanten | Lieferant anlegen | Ja | Validierung | Nein | Validierung B + Nachweis |
| Lieferanten | IBAN ändern | Nein (oder Anfrage) | Ja | Nein | Doppelte Validierung + Anruf |
| Einkauf | Rechnung erfassen | Ja | Nein | Ja (Wareneingang) | Freigabe Wareneingang |
| Zahlungen | Zahlungsliste vorbereiten | Ja | Nein | Nein | Zahlungsliste archiviert |
| Zahlungen | E-Banking-Zahlung validieren | Nein | Ja | Nein | Vier Augen + Schwellen |
| Bank | Bankabgleich | Ja (wenn keine Zahlungen) | Gelegentliche Überprüfung | Nein | Überprüfung von Abweichungen |
| Verkauf | Rechnung ausstellen | Ja | Nein | Ja (Leistung) | Vertrag/Lieferschein |
| Verkauf | Gutschrift ausstellen | Ja | Validierung | Nein | Monatliche Überprüfung |
Sie haben keine drei getrennten Rollen? Kein Problem. Man passt an. Ein KMU mit 6 Personen kann mit 2 Rollen und einer Leitungskontrolle eine intelligente Trennung erreichen.
Praxisanekdote: "Wir haben allen Admin gegeben"
Oft wird eine Buchhaltungssoftware oder ein Rechnungs-Tool schnell installiert. Um Zeit zu sparen, sind alle "Admin". Dann traut sich niemand, Rechte zu entziehen, weil "etwas kaputtgehen könnte".
Ergebnis? Niemand weiß, wer eine IBAN geändert, eine Rechnung storniert oder einen Mehrwertsteuersatz geändert hat.
Unser Tipp: minimale Rechte + dokumentierte Ausnahmen. Komfort darf nicht vor Nachvollziehbarkeit stehen.
Aufbau einer robusten Zugriffs-Matrix (Praxis-Methode)
Eine Zugriffs-Matrix ist eine Tabelle, die drei Fragen beantwortet:
- Wer hat Zugang,
- zu was,
- mit welchem Rechte-Level.
Schritt-für-Schritt (ohne Bürokratie)
- Listen Sie Ihre Systeme auf: E-Banking, Buchhaltungssoftware, Rechnungsstellung, ERP/CRM, Lohnverwaltung, Cloud (Drive/SharePoint), Spesen-Tool.
- Listen Sie die tatsächlichen Rollen auf (nicht die HR-Titel): "Zahlungen vorbereiten", "Zahlungen validieren", "Lieferanten anlegen", "Rechnungen erfassen", "Abgleich durchführen", "IT-Admin".
- Definieren Sie 4 Rechte-Level (meist ausreichend): Lesen / Erfassen / Validieren / Admin.
- Füllen Sie die Matrix aus: eine Zeile pro Nutzer, eine Spalte pro System und das Level.
- Markieren Sie Konflikte: ein Konflikt = eine Person hat inkompatible Rechte (z.B. Lieferantenanlage + Zahlungsvalidierung).
- Entscheiden Sie: entweder Rechte entziehen oder einen kompensierenden Kontrollmechanismus hinzufügen (z.B. monatliche Leitungskontrolle).
- Validieren und datieren Sie: Leitung unterschreibt. Ja, auch im KMU.
- Planen Sie die Überprüfung: alle 6 Monate und bei jedem Austritt/Einstieg.
Checkliste #2 — Was Ihre Matrix enthalten muss (sonst ist sie nutzlos)
- Name + tatsächliche Funktion (was die Person wirklich macht)
- Abgedeckte Systeme (Bank, Buchhaltung, Rechnungsstellung, Lohn, Cloud)
- Rechte-Level (Lesen/Erfassen/Validieren/Admin)
- Datum der letzten Überprüfung
- Systemverantwortlicher (wer entscheidet über Rechte)
- Aufgaben-Trennungsregeln (in 10 Zeilen geschrieben)
- Liste der Ausnahmen + Begründung + Dauer
Einfache Kontrollen pro Prozess (Version "Montagmorgen umsetzen")
Sie wollen etwas Konkretes? Hier eine operative Version nach Ablauf.
Ablauf 1 — Von Lieferantenrechnung zur Zahlung
- Rechnungseingang (Mail oder Post)
- Grundkontrolle: bekannter Lieferant? Auftrag? Wareneingang?
- Buchung
- Freigabe (Operationen oder Leitung)
- Zahlungsvorbereitung
- Zahlungsvalidierung
- Archivierung Zahlungsnachweis
Kontrollen, die alles verändern:
- Pflichtfreigabe vor Zahlung (auch ein "OK" im Tool, aber nachvollziehbar).
- Zahlungsblock wenn IBAN in den letzten 30 Tagen geändert wurde ohne verstärkte Validierung.
Ablauf 2 — Von Leistung zur Kundenrechnung
- Vertrag/Auftrag
- Leistung/Lieferung
- Rechnung
- Zahlungseingang
- Mahnung
Nützliche Kontrollen:
- Liste nicht fakturierter Leistungen (monatlich).
- Rabattüberprüfung: Wer gewährt was.
Ablauf 3 — Spesen und Firmenkarten
Karten und Spesen sind oft Wildwest.
Einfache Kontrollen:
- Pflichtnachweis,
- Validierung durch Vorgesetzten,
- Limits je Ausgabenart,
- monatliche Überprüfung von "außerhalb der Richtlinie" liegenden Ausgaben.
Ark Fiduciaire
Brauchen Sie Hilfe zu diesem Thema?
Unsere Experten stehen Ihnen für eine persönliche Beratung zur Verfügung. Erstes Gespräch kostenlos und unverbindlich.
Praxisfall (CHF) — Eine Genfer GmbH wird durch eine gefälschte IBAN getäuscht
KMU: Dienstleistungs-GmbH (12 Mitarbeitende), Genf. Volumen: ~80 Lieferantenrechnungen/Monat. Wöchentliche Zahlungen.
Szenario:
- Ein IT-Lieferant sendet eine Rechnung über CHF 18'740.
- Eine separate E-Mail kündigt eine "neue IBAN" an.
- Die Buchhalterin ändert die IBAN im System.
- Sie bereitet die Zahlung vor.
- Der Direktor validiert im E-Banking, ohne die IBAN mit einer zuverlässigen Quelle abzugleichen.
Ergebnis?
- Zahlung ausgeführt: CHF 18'740 auf ein betrügerisches Konto.
- Der echte Lieferant meldet sich 10 Tage später.
- Das KMU zahlt ein zweites Mal, um den Service nicht zu verlieren.
Direkte Gesamtkosten: CHF 37'480.
Indirekte Kosten (realistisch):
- 6 interne Stunden (Leitung + Buchhaltung) à CHF 150/h = CHF 900
- Bankgespräche + Anzeige + Nachverfolgung = CHF 600 (interne Zeit)
- externe Honorare (Analyse, Verfahren, Kontrolle stärken) = CHF 2'500
Gesamt: CHF 41'480.
Die Kontrolle, die das verhindert hätte:
- IBAN-Änderung = Anruf an bekannte Nummer + Validierung durch eine andere Person.
Nicht glamourös. Aber effektiv.
Warnsignale: Schwachstellen, Fehler oder Missbrauch im KMU erkennen
Sie brauchen keine Forensik-Software. Sie brauchen offene Augen.
Lieferanten/Zahlungen
- Dringende Zahlungen "heute ausführen" ohne vollständige Unterlagen.
- Bekannter Lieferant, aber IBAN geändert ohne plausible Erklärung.
- Rechnungen mit vagen Bezeichnungen ("Dienstleistungen", "Consulting") ohne Liefernachweis.
- Wiederholt runde Beträge (CHF 5'000, CHF 10'000) knapp unter Validierungsschwelle.
- Viele kleine "Einmal-Lieferanten".
Verkauf
- Häufige Gutschriften, besonders zum Monatsende.
- Nicht dokumentierte Rabatte.
- Rechnungen storniert und neu ausgestellt.
Zugang und IT
- Geteilte Konten ("buchhaltung@", "admin@").
- Admin-Rechte "zum Helfen" verteilt.
- Kein Audit-Log konsultiert.
- E-Banking-Zugang nach Austritt behalten.
Buchhaltung
- Bankabgleich verspätet.
- Offene Posten bleiben liegen (Wartekonten, Clearing).
- Viele manuelle Buchungen ohne Begründung.
3 teure Fehler bei Genfer GmbHs (und wie man sie korrigiert)
Fehler 1: "Internes Kontrollsystem" mit "Treuhandkontrolle" verwechseln
Die Treuhand prüft, was sie sieht. Wenn Sie unvollständige oder verspätete Unterlagen liefern, kann sie nicht raten.
Korrektur:
- monatlicher Zeitplan (Rechnungen, Bank, Löhne),
- interne Validierung vor Weitergabe.
Fehler 2: Bank im "Komfortmodus" lassen
Ein Unterzeichner oder ein Validierer, der alles blind freigibt. Ergebnis? Wenn es schiefgeht, geht es schnell.
Korrektur:
- Doppelunterschrift,
- Schwellen,
- getrennte Profile,
- monatliche Überprüfung der Empfänger.
Fehler 3: Nichts dokumentieren und dann beim Audit panisch werden
Wenn die Steuerbehörde (MwSt) oder der Revisor fragt, gilt "so machen wir das immer" nicht.
Korrektur:
- 2 Seiten Verfahren (nicht 40),
- eine datierte Zugriffs-Matrix,
- eine Liste der Kontrollen mit Frequenz und Verantwortlichem.
Dokumentation IKS: Was wird im KMU wirklich erwartet (und was nicht)?
Ehrlich: Niemand verlangt ein 200-seitiges Handbuch.
Nützlich ist:
- eine einfache Prozesskarte (Verkauf, Einkauf, Zahlungen, Löhne),
- eine Liste der Haupt-Risiken,
- die zugehörigen Kontrollen,
- die Zugriffs-Matrix,
- Nachweis, dass es lebt (datierte Überprüfungen, Validierungen, Logs).
Unnötig ist:
- ein generisches Modell ohne Bezug zur Realität,
- Verfahren, die nicht umsetzbar sind,
- "theoretische" Kontrollen, die niemand macht.
Quelle: Risikokartierung im KMU, Pflichten und Aufgaben-Trennung.
Reporting und Steuerung: Das interne Kontrollsystem, das der Leitung wirklich hilft
Das interne Kontrollsystem verhindert nicht nur Betrug. Es hilft auch beim Steuern.
Einfache Kennzahlen (monatlich):
- Lieferantenrechnungen, die auf Freigabe warten,
- abgelehnte/zurückgegebene Zahlungen,
- Anzahl IBAN-Änderungen,
- ausgestellte Gutschriften,
- Abweichungen beim Bankabgleich,
- offene Posten > 30 Tage.
Wenn diese Zahlen steigen, ist das kein "Buchhaltungströdel". Es ist ein Signal.
Quelle: Einfluss des internen Kontrollsystems auf Leistung und Reporting im KMU.
Digitale Kontrollen: Was Automatisierung gut kann… und was nie
Moderne Tools helfen:
- Freigabe-Workflows,
- Audit-Log,
- Rechte nach Rolle,
- halbautomatischer Bankabgleich.
Aber sie ersetzen nicht:
- menschliche Validierung bei Ausnahmen,
- Telefonanruf bei IBAN-Änderung,
- Überprüfung der Zugänge.
Achtung: Wenn Ihr Tool gut konfiguriert ist, aber alle Admin sind, haben Sie nur ein teures Tool.
Governance: Wer macht was (ohne Schuldzuweisung)
Im KMU vermischen sich Rollen schnell. Klarstellung:
- Leitung / Verwaltungsrat: legt Regeln fest, validiert Schwellen, verlangt Zugriffs-Überprüfung, akzeptiert (oder lehnt) Ausnahmen.
- Buchhaltung: führt aus, dokumentiert, meldet Abweichungen.
- Operationen: bestätigt Wareneingang/Leistung, validiert wirtschaftliche Realität.
- Treuhand: begleitet, strukturiert, fordert heraus, ersetzt aber nicht Ihre Organisation.
Für Unternehmen mit formaler Governance bietet der Swiss Code einen Rahmen für Best Practices.
Quelle: Swiss Code of Best Practice for Corporate Governance (economiesuisse).
FAQ
1) Was ist genau ein internes Kontrollsystem (IKS) im KMU?
Es ist das Set aus Regeln, Kontrollen und Gewohnheiten, das Ihre Prozesse absichert: Zuverlässigkeit der Buchhaltung, Schutz der Vermögenswerte, Compliance und Reporting-Qualität. Im KMU bedeutet das Validierungen, Aufgaben-Trennung, kontrollierte Zugänge und regelmäßige Überprüfungen.
Quelle: Einfluss des internen Kontrollsystems auf Leistung und Reporting im KMU.
2) Welche gesetzlichen Pflichten in der Schweiz (Art. 716a und 961 OR)?
Art. 716a OR legt nicht übertragbare Verwaltungsrats-Pflichten (für AG) zur Leitung und Organisation fest. Art. 961 OR betrifft die Rechnungsdarstellung; praktisch wird eine Organisation erwartet, die Finanzinformationen zuverlässig und nachvollziehbar macht. Ausführung kann delegiert werden, Verantwortung nicht.
Quelle: Angemessene Organisation des internen Kontrollsystems für AG/GmbH: gesetzliche Pflichten und Art. 716a & 961 OR.
3) Unterschied zwischen interner und externer Revision?
Externe Revision (Revisor) gibt Sicherheit über die Buchhaltung gemäß gesetzlichem/vertraglichem Auftrag. Interne Revision, wenn vorhanden, prüft laufend Prozesse und Kontrollen zur Risikoreduzierung. Viele KMU haben keine formale interne Revision; sie können trotzdem gezielte Überprüfungen (Zahlungen, Zugänge, MwSt) mit einer Treuhand durchführen.
4) Was bringt das COSO-Modell für KMU?
COSO ist ein Rahmen für das interne Kontrollsystem (Kontrollumfeld, Risikobewertung, Kontrollaktivitäten, Information/Kommunikation, Steuerung). Sie müssen kein "COSO machen". Aber sich daran zu orientieren hilft, nichts zu vergessen: z.B. Kontrollen ohne Steuerung oder Regeln ohne Nachweis.
Quelle: Einfluss des internen Kontrollsystems auf Leistung und Reporting im KMU.
5) 10 Beispiele für einfache und effektive interne Kontrollen
- Doppelte Zahlungsvalidierung
- Unterschriftenschwellen (z.B. > CHF 5'000)
- Anruf an bekannte Nummer bei IBAN-Änderung
- Monatliche Überprüfung neuer Lieferanten
- Unabhängiger Bankabgleich
- Monatliche Gutschriftenüberprüfung
- Fortlaufende Rechnungsnummerierung + Lückenkontrolle
- Audit-Log aktiviert und konsultiert (Änderungen Dritter, IBAN, Stornierungen)
- Halbjährliche Zugriffs-Überprüfung (Bank, Buchhaltung, Löhne)
- Liste offener Posten > 30 Tage und Bearbeitung
6) Wie dokumentiert man das IKS ohne Wochen Aufwand?
Kurz und datiert:
- 1 Seite "Wer macht was" (Rollen)
- 1 Seite "Kontrollen pro Prozess" (Frequenz + Verantwortlicher)
- 1 Zugriffs-Matrix
- 1 Liste unterschriebener Ausnahmen Und Nachweise behalten: Validierungen, Exporte, Logs, Abgleiche.
7) Muss das IKS der GV präsentiert werden?
Die GV braucht kein detailliertes Handbuch. Leitung/Verwaltungsrat muss aber Organisation, Haupt-Risiken und Kontrollen erklären können. Der Revisor kann Fragen zur Existenz und Kohärenz der Kontrollen stellen.
8) Grenzen des internen Kontrollsystems?
IKS reduziert Risiken, beseitigt sie aber nicht. Es gibt immer:
- menschliche Fehler,
- Umgehungen (Kollusion),
- Ausnahmen. Ziel: Fehler schnell sichtbar machen, Betrug erschweren.
9) Zusammenhang zwischen IKS und Risikomanagement?
Risikomanagement identifiziert und priorisiert Risiken (Zahlungen, MwSt, Abhängigkeit von einer Person, Cyber). IKS setzt konkrete Barrieren: Validierungen, Zugänge, Überprüfungen, Nachweise. Ohne Kontrollen bleibt "Risikokartierung" nur ein schönes Dokument.
Quelle: Risikokartierung im KMU, Pflichten und Aufgaben-Trennung.
10) Verbessert das wirklich die Leistung?
Ja, wenn es gut gemacht ist. Weniger Korrekturen beim Abschluss, weniger Zeitverlust bei der Dokumentensuche, weniger Lieferantenstreit, zuverlässigeres Reporting. Und vor allem: Leitung entscheidet mit sauberen Zahlen, nicht nach Gefühl.
Quelle: Einfluss des internen Kontrollsystems auf Leistung und Reporting im KMU.
Tabelle 2 — 30-Tage-Umsetzungsplan (KMU ohne internen Dienst)
| Woche | Aktionen | Ergebnisse | Verantwortlicher |
|---|---|---|---|
| 1 | Verkauf/Einkauf/Zahlungen kartieren + Systeme auflisten | 1 Seite Prozesse + Systemliste | Leitung + Buchhaltung |
| 2 | Validierungsregeln + Schwellen + Aufgaben-Trennung schreiben | Unterschriebene Regeln (max. 2 Seiten) | Leitung |
| 3 | Zugriffs-Matrix erstellen + Konflikte beheben | Datierte Matrix + Parameter-Screenshots | Buchhaltung + IT/Bank |
| 4 | Monatliche Überprüfungen einrichten (Gutschriften, neue Lieferanten, offene Posten, Bank) | Checklisten + Kalender | Buchhaltung + Leitung |
Dieser Plan funktioniert, weil er realistisch ist. Wenn Sie alles gleichzeitig neu machen wollen, schaffen Sie nichts.
Quellen
- Einfluss des internen Kontrollsystems auf Leistung und Reporting im KMU
- Swiss Code of Best Practice for Corporate Governance (economiesuisse)
- Risikokartierung im KMU, Pflichten und Aufgaben-Trennung
- Angemessene Organisation des internen Kontrollsystems für AG/GmbH: gesetzliche Pflichten und Art. 716a & 961 OR