Lexipedia

Eidgenössisches Departement des Innern EDI

Bundesamt für Sozialversicherungen BSV Bereich Aufsicht und Organisation

Bundesamt für Sozialversicherungen, Bereich Aufsicht und Organisation

Leitfaden für den Aufbau eines internen Kontrollsystems (IKS) in einer Ausgleichskasse

11.02.2025

Inhaltsverzeichnis

Einleitung .................................................................................................................... 2 1 Grundlagen zum Aufbau eines IKS ...................................................................... 4 1.1 Interne Kontrolle und ihre Bestandteile.......................................................... 4 1.2 Akteure, Rollen und Zuständigkeiten ............................................................. 5 1.2.1 Kassenleiter ......................................................................................... 5 1.2.2 Kassenvorstand oder Verwaltungskommission ................................... 5 1.2.3 Bereichsverantwortliche....................................................................... 6 1.2.4 Verantwortliche für das Finanz- oder Rechnungswesen...................... 6 1.2.5 Verantwortliche für die Qualitätssicherung .......................................... 6 1.2.6 Übriges Personal ................................................................................. 6 1.2.7 Revisionsstelle ..................................................................................... 6 1.2.8 Bundesamt für Sozialversicherungen (BSV) ........................................ 6 1.3 Schritte beim Aufbau eines IKS ..................................................................... 7 1.3.1 Kontrollumfeld ...................................................................................... 7 1.3.2 Risikoidentifikation, -analyse und -steuerung ...................................... 8 1.3.3 Einbezug der Kontrollaktivitäten in die Prozesse ................................. 8 1.3.4 Steuerung des IKS............................................................................... 9 1.3.5 Aufsicht und Evaluation des IKS ........................................................ 10 2 Grenzen der internen Kontrolle .......................................................................... 12 3 Schlussfolgerung ............................................................................................... 13 4 Anhänge............................................................................................................. 14 4.1 Beispiel Risikoliste ....................................................................................... 14 4.2 Beispielmatrix Risikoevaluation ................................................................... 15 4.3 Beispiel Liste interner Kontrollen ................................................................. 16

1

Einleitung

Wenn die Leiterin oder der Leiter einer Ausgleichskasse (AK) die Risiken auflistet, denen die AK ausgesetzt ist, die erforderlichen Kompetenzen für die verschiedenen Bereiche regelt oder die Entscheidungen definiert, die eine Zweitmeinung erfordern, stärkt sie oder er das interne Kontrollsystem (IKS). So kann die AK ihre Tätigkeiten wirkungsvoller ausüben und die Risiken verringern. Für den Aufbau und die Umsetzung eines IKS ist der Kassenleiter1 verantwortlich, die Genehmigung obliegt dem Kassenvorstand. Gemäss Artikel 66 des Bundesgesetzes über die Alters- und Hinterlassenenversicherung (AHVG) müssen die AK mehrere Systeme einrichten: ein Qualitätsmanagementsystem, ein Risikomanagementsystem und ein internes Kontrollsystem (IKS). Alle drei Systeme haben Schnittstellen und Überschneidungen, unterscheiden sich jedoch in ihrer Ausrichtung. So befasst sich das Risikomanagementsystem mit den existenziellen Gefahren für die Ausgleichskasse wie Wegfall von Schlüsselpersonal, Wegfall von Schlüsselkunden, IT-Herausforderungen und Finanzierungsproblemen. Es sucht die Antwort auf die Frage: "Was bedroht meine Existenz als Ausgleichskasse?" Das Qualitätsmanagementsystem befasst sich mit der Kunden- und Mitarbeiterzufriedenheit. Es sucht die Antwort auf die Frage: "Wie kann ich mich verbessern oder zumindest gut bleiben?" Das IKS hat das Ziel sicherzustellen, dass in der täglichen Arbeit Fehler vermieden und Betrug verhindert wird. Der vorliegende Leitfaden befasst sich mit dem IKS im Zusammenhang mit prozessbezogenen Risiken. Bei Prüfungen werden immer wieder Lücken im IKS festgestellt, die die AK unnötigen Risiken aussetzen, z.B.: • Die Kontrollen sind nicht genügend auf die tatsächlichen Risiken in den Prozessen ausgerichtet; • mangelhafte Beschreibung der Verfahren; • mangelnde Kenntnis automatisierter Kontrollen, die die Einhaltung der Vorschriften unterstützen; • lückenhafte Einhaltung der in den Prozessen integrierten Kontrollen. Die nachstehenden Erläuterungen orientieren sich am COSO-Modell (Committee of Sponsoring Organization of the Treadway Commission), das in Sachen interne Kontrolle als Referenz gilt. Dieser Leitfaden ist speziell für AK konzipiert und stützt sich auf die Grundsätze des IKS-Leitfadens der Eidgenössischen Finanzkontrolle2. Ein IKS umfasst verschiedene Ziele und Elemente wie Kontrollumfeld, Risikobeurteilung und Kontrollaktivitäten. Beim Aufbau eines IKS muss zudem ein optimales Zusammenspiel zwischen regulatorischen (Weisungen und Richtlinien), organisatorischen (Aufbau-

1 Im weiteren Verlauf der Erläuterungen wird zur besseren Lesbarkeit wie im AHVG nur noch das generische Maskulinum verwendet. Es sind immer alle Geschlechter gemeint. 2 Broschüre EFK: Aufbau eines Internen Kontrollsystems (IKS), zweite Auflage, Oktober 2007 2

und Ablauforganisation) und technischen (Informatik und Kommunikation) Kontrollaktivitäten angestrebt werden. Interne Kontrollen sind keine statischen Regeln, sondern ein dynamischer Prozess, der die Leitung der AK unterstützen und eine effiziente, rechtskonforme und wirtschaftliche Geschäftsführung sicherstellen soll. Entsprechend muss auch die Frage nach Kosten und Nutzen von Kontrollaktivitäten beantwortet werden. Jede AK muss sich kritisch damit auseinandersetzen. Es ist wichtig, dass sich das IKS an der Grösse der AK und dem Umfang ihres Aufgabengebietes orientiert. Dieser Leitfaden ist keine Weisung, sondern eine Orientierungshilfe für AK. Sie soll ihnen helfen, jene Aspekte zu identifizieren, die für ihre Geschäftstätigkeit wesentlich sind.

3

1 Grundlagen zum Aufbau eines IKS

1.1 Interne Kontrolle und ihre Bestandteile

Die interne Kontrolle wird als Prozess definiert, der vom Kassenleiter, den Führungskräften und den Mitarbeitenden der AK umgesetzt wird, um für die Erreichung folgender Ziele eine angemessene Sicherheit zu bieten: • Optimierung der Prozesse und Tätigkeiten der AK mit dem Ziel, eine effektive und effiziente aber trotzdem sichere und möglichst fehlerfreie Arbeitsweise zu unterstützen; • Zuverlässigkeit der Finanz- und Führungsinformationen; • Einhaltung von Gesetzen, Reglementen und Weisungen. Die Bedeutung der internen Kontrolle für AK ist anerkannt und gesetzlich verankert. Die AK sind verpflichtet, ein IKS einzurichten. Art. 66 AHVG

Art. 132sexies AHVV

Die Definition beruht auf folgenden Grundideen: • Die interne Kontrolle ist ein Mittel zum Zweck und kein Selbstzweck. • Die interne Kontrolle ist keine isolierte Tätigkeit und kein einmaliger Umstand, sondern die Gesamtheit verschiedener Aktionen, die sämtliche Tätigkeiten der AK betreffen. Sie dient dem Kassenleiter und dem Kassenvorstand als Führungsinstrument, kann Führung jedoch nicht ersetzen. Interne Kontrollverfahren sind dann am erfolgreichsten, wenn sie 4

zum Bestandteil der Infrastruktur und der Kultur der AK geworden sind. Sie dürfen nicht aufgesetzt wirken, sondern müssen sich in das Ganze einfügen. • Die interne Kontrolle wird von Menschen umgesetzt. Sie besteht nicht nur aus Handbüchern, Verfahren und Unterlagen. Die interne Kontrolle muss von den Menschen sichergestellt werden, die auf allen Hierarchiestufen gemeinsame Ziele verfolgen. Die interne Kontrolle ist eine Aufgabe aller. Ziele werden immer von Menschen festgelegt, Kontrollen immer von Menschen vorgenommen. • Der Kassenvorstand kann von der internen Kontrolle eine angemessene, nicht aber eine absolute Sicherheit erwarten. Die Wahrscheinlichkeit die gesetzten Ziele zu erreichen hängt von den Grenzen ab, die jedem IKS eigen sind. Dazu gehören Fehlentscheide, Kosten-Nutzen-Überlegungen bei der Einführung von Kontrollen, sowie Funktionsstörungen aufgrund von menschlichem oder technischem Versagen. Wenn sich schliesslich mehrere Personen zusammentun, um deliktische Handlungen vorzunehmen (Kollusion), können Kontrollen auch versagen. Das IKS in den AK zielt darauf ab, die Konformität und Effizienz der Prozesse zu gewährleisten. Es konzentriert sich hauptsächlich auf die Risiken im Zusammenhang mit der Durchführung der operativen Prozesse der 1. Säule.

1.2 Akteure, Rollen und Zuständigkeiten

Alle Mitarbeitenden der AK leisten in Ihrem Verantwortungsbereich einen Beitrag zur internen Kontrolle. Die einzelnen Funktionen verlangen jedoch ein unterschiedliches Mass an Verantwortung und Einsatz.

1.2.1 Kassenleiter

Der Kassenleiter ist für die Ausgestaltung, den Aufbau und die Einführung des IKS verantwortlich. Er muss das IKS im Sinne von Artikel 132sexies Absatz 1 AHVV an die Gegebenheiten der eigenen AK anpassen, z. B. die Grösse, die Organisationsstruktur oder die verfügbaren Ressourcen. Der Umfang, die Ausrichtung und die Anwendungsmodalitäten des vom Kassenleiter umzusetzenden IKS müssen schriftlich dokumentiert werden. Als höchste verantwortliche Stelle in der operativen Durchführung muss der Kassenleiter für die Schaffung eines effizienten Kontrollumfelds sorgen und mit gutem Beispiel vorangehen, indem er z. B. Verhaltensregeln aufstellt und die wesentlichen Kontrollelemente beaufsichtigt. Er bezeichnet ausserdem einen «Risk Owner» als Koordinator für die Identifikation, Analyse und Bewältigung von Risiken innerhalb der AK.

1.2.2 Kassenvorstand oder Verwaltungskommission

Der Kassenvorstand (für Verbands-AK) oder die Verwaltungskommission (für kantonale AK) hat die Oberaufsicht über das IKS. Gemäss Artikel 132sexies Absatz 3 AHVV genehmigen diese Organe das IKS jährlich und entscheiden gegebenenfalls über Verbesserungsmassnahmen. Sie können zusätzliche Massnahmen anordnen oder die vorgelegte Fassung genehmigen, wobei der Übereinstimmung des IKS mit den gesetzlichen Anforderungen und den Bedürfnissen der AK besonders Rechnung zu tragen ist.

5

1.2.3 Bereichsverantwortliche

Die Bereichsverantwortlichen spielen bei der Umsetzung und der Weiterentwicklung der internen Kontrollverfahren eine besonders wichtige Rolle. Sie sorgen dafür, dass die Ziele ihres jeweiligen Bereichs in Einklang mit den allgemeinen Zielen der AK stehen und erreicht werden. Im Rahmen des Gesamt-IKS gewährleisten sie die Durchführung bereichsspezifischer Kontrollen. Die Verantwortlichen müssen mit den notwendigen Kompetenzen ausgestattet sein, um die entsprechenden Kontrollen durchzuführen. Zudem ist es wichtig, dass sie ihren Vorgesetzen regelmässig über ihre Handlungen Bericht erstatten.

1.2.4 Verantwortliche für das Finanz- oder Rechnungswesen

Die Finanzverantwortlichen nehmen im IKS eine Querschnittsrolle ein. Neben der Kontrolle der Buchhaltung müssen sie dafür sorgen, dass das IKS alle kritischen Prozesse abdeckt, wie z. B. die Leistungszahlungen. Sie beteiligen sich ausserdem an der Definition der strategischen Ziele und am Management der Finanzrisiken der AK. Nach dem Kassenleiter sind die Finanzverantwortlichen dafür zuständig, dass das Finanzwesen rechtskonform ist und das IKS mit den geltenden Buchführungsnormen übereinstimmt.

1.2.5 Verantwortliche für die Qualitätssicherung

Die Verantwortlichen für die Qualitätssicherung arbeiten eng mit dem Kassenleiter, der für das IKS zuständig ist, zusammen. Die beiden Funktionen haben ähnliche Ziele, namentlich die laufende Verbesserung der Prozesse und die Errichtung von Kontrollpunkten, die die Konformität und die Leistungsfähigkeit der AK sicherstellen. Die Synergien in diesen beiden Bereichen ermöglichen eine bessere Integration der Qualitäts- und Konformitätsanforderungen in die Tätigkeiten der AK.

1.2.6 Übriges Personal

Alle Mitarbeitenden der AK sind auf unterschiedlichen Ebenen vom IKS betroffen. Sie tragen zur Umsetzung der internen Kontrollen bei, sei es bei der Rechnungsprüfung, bei physischen Kontrollen oder bei der Nachkontrolle von Anomalien. Es ist wesentlich, dass die Mitarbeitenden ihren Vorgesetzten Probleme, Verletzungen des Verhaltenskodex oder Verstösse gegen interne Vorschriften melden. Ein IKS kann nur effizient sein, wenn alle wachsam sind und die Aufgabenteilung eine gegenseitige Kontrolle und eine rasche Bewältigung von Risiken gewährleistet.

1.2.7 Revisionsstelle

Die externe Revisionsstelle prüft, ob die AK ein IKS zur Überwachung ihrer Tätigkeiten eingeführt hat. Sie kontrolliert ausserdem, ob das IKS vom Kassenvorstand genehmigt wurde und ob es angewandt wird. Die Revisionsstelle hat nicht die Aufgabe zu bestimmen, wie die Kontrollen eingerichtet werden müssen, aber wenn sie einen Fehler in den Ergebnissen feststellt, kann sie eine gezielte Kontrolle empfehlen.

1.2.8 Bundesamt für Sozialversicherungen (BSV)

Obwohl das BSV nicht zu den internen Akteuren der AK gehört, spielt es als externe Aufsichtsbehörde eine wichtige Rolle. Das BSV beaufsichtigt schweizweit alle AK und sorgt für die Einhaltung der geltenden Gesetze und Reglemente. Es prüft die von den AK vorgelegten Revisionsberichte und kann Anpassungen empfehlen oder verlangen,

6

wenn es Schwachstellen im IKS oder in anderen Prozessen feststellt. Ausserdem kann das BSV Weisungen und Empfehlungen zur Verbesserung der Kontrollen und dadurch zur Gewährleistung der Rechtskonformität der AK herausgeben

1.3 Schritte beim Aufbau eines IKS

1.3.1 Kontrollumfeld

1. Gestaltung der 3. Evaluation der

IKS Prozesse Risiken

1 2 3 4 IKS

2. Definition der 4.

Ziele Kontrollaktivitäten

Kontrollumfeld

Information und Kommunikation

Abbildung 1: Schritte bei der Einführung eines IKS

Die AK-Kultur ist ein wichtiger Bestandteil des Kontrollumfelds, weil sie das Kontrollbewusstsein des Personals prägt. Die damit verbundene Disziplin und Organisation bilden das Fundament aller anderen internen Kontrollelemente. Den grössten Einfluss auf das Kontrollumfeld üben die folgenden Faktoren aus: Integrität, Ethik und Sachkompetenz des Personals, Führungsphilosophie und -stil, Organisations- und Ausbildungspolitik, Delegation von Verantwortung. Der Aufbau eines Kontrollumfelds ist die erste Etappe auf dem Weg zur Errichtung eines IKS und eine unerlässliche Grundvoraussetzung für die Schaffung und Pflege eines effizienten IKS. Elemente des Kontrollumfelds sind beispielsweise ein Gesamtkonzept für die interne Kontrolle, Ethikgrundsätze, Stellenbeschreibungen, Stellvertretungs- und Unterschriftenregelungen und eine systematische Einführung von neuen Mitarbeitenden in die AK-Kultur.

7

1.3.2 Risikoidentifikation, -analyse und -steuerung

Jede AK ist mit einer Vielzahl externer und interner Risiken konfrontiert, die eingehend analysiert werden müssen. Der Prozess beginnt mit der Risikoidentifikation, das heisst mit dem Erkennen und Analysieren derjenigen Faktoren, die das Erreichen der Ziele der AK, namentlich jener im Zusammenhang mit den Tätigkeiten und den Verfahren, gefährden könnten. (Vgl. Tabelle 1: Beispiel Risikoliste) Es folgt die Risikoanalyse, bei der die identifizierten Faktoren detailliert untersucht werden, um die Eintrittswahrscheinlichkeit der einzelnen Risiken und das Schadenspotenzial zu bewerten. Da sich das wirtschaftliche Umfeld, die rechtlichen und reglementarischen Grundlagen sowie die Arbeitsbedingungen ständig verändern, braucht es solide und flexible Methoden, um die spezifischen Risiken, die sich daraus ergeben, zu ermitteln und zu bewältigen. (Vgl. Tabelle 2: Beispielmatrix Risikoevaluation) Nach der Risikoidentifikation und -analyse ist schliesslich die Frage zu beantworten, wie die Risiken vermieden, vermindert, versichert oder akzeptiert werden können. (Vgl. Tabelle 3: Beispiel Liste interner Kontrollen)

1.3.3 Einbezug der Kontrollaktivitäten in die Prozesse

Die Kontrollaktivitäten basieren auf der Einbettung von Kontrollmechanismen in die Prozesse, um die Umsetzung der Vorgaben des Vorstands sicherzustellen.

Risikomanagement

Kontrollaktivitäten

Prozess A Prozess B Prozess C Prozess D Prozess E Prozess F

Kontrollumfeld

Information und Kommunikation

Aufsicht und Steuerung

Abbildung 2: Elemente eines IKS

8

Verschiedene Risiken können die operativen Ziele in den einzelnen Prozessen beeinträchtigen. Es ist deshalb wichtig, geeignete Massnahmen zu treffen, um diese Risiken zu steuern. Entsprechende Kontrollen müssen sicherstellen, dass diese Massnahmen effektiv sind. Die entsprechenden Kontrollen finden auf allen Hierarchiestufen und Funktionsebenen der AK statt und betreffen die unterschiedlichsten Tätigkeiten wie Genehmigen und Bewilligen, Überprüfen und Abstimmen oder Beurteilen von Leistungsfähigkeit (Performance) sowie Funktionentrennung. Um effizient zu sein, müssen die Kontrollaktivitäten über alle Prozessschichten kohärent sein.

1.3.4 Steuerung des IKS

Ein internes Kontrollsystem ist kein Führungsinstrument, das einmalig in einer bestimmten und unabänderlichen Form errichtet wird. Bestimmte Veränderungen im Umfeld eines IKS können Anpassungen erforderlich machen. Deshalb muss auch das IKS selbst periodisch überprüft werden, um die Wirksamkeit sicherzustellen. Dabei sind folgende Kriterien denkbar:

Optimiert Niveau 5 IKS-Aktivitäten wurden mit anderen Kontrollfunktionen harmonisiert. Risikomanagement und IKS bilden ein integriertes System. Die Kontrollaktivitäten sind weitgehend automatisiert, der Einsatz von Tools erlaubt eine rasche Anpassung an veränderte Bedingungen. Es gibt eine detaillierte Beschreibung der grundlegenden IKS-Abläufe. Gesichert Niveau 4 Die Kontrolltätigkeit wird regelmässig überprüft und ist rückverfolgbar. Die Kontrolle wird laufend dem Risiko angepasst, die Dokumentation aktualisiert. Der Leitung wird jährlich über das IKS Bericht erstattet (Wirksamkeit, Rückverfolgbarkeit, Wirtschaftlichkeit). Die Kontrollaktivitäten werden standardmässig dokumentiert. Sie werden von einer oder einem IKS-Verantwortlichen koordiniert und überwacht. Standardisiert Niveau 3 Einfache Abläufe des IKS wurden definiert, die Prozesse (Aktivitäten und Kontrollen) werden dokumentiert. Erfolgte Kontrollen sind rückverfolgbar. Die Kontrollen werden regelmässig an die Risikoentwicklung angepasst. Die Mitarbeitenden haben eine Basisausbildung erhalten.

Informell Niveau 2 Es gibt zwar Kontrollen, aber sie sind nicht standardisiert. Sie werden nur selten oder nie durchgeführt und sind stark von einzelnen Personen abhängig. Es findet keine Schulung oder Kommunikation statt.

Unzuverlässig Niveau 1 Es gibt keine oder praktisch keine internen Kontrollen. Unter Umständen sind die bestehenden Kontrollen unzuverlässig.

Abbildung 3: Reifegrade eines IKS

9

Ohne eine kontinuierliche Bewertung und Anpassung des IKS nimmt dessen Qualität mit der Zeit ab, bis es schliesslich seine Wirksamkeit verliert:

Optimisiert

Qualität Niveau 5

A Überwacht Niveau 4

B Standardisiert Niveau 3

Informell Niveau 2

Unzuverlässig C Niveau 1

Zeit

Qualitätsanspruch an das IKS

A Prozess mit kontinuierlicher Bewertung der Qualität der Kontrolle B Einmalige Kontrollen (nicht integrierter Verbesserungsprozess) C Normale Abschwächung der Kontrollqualität im Laufe der Zeit.

Abbildung 4: Entwicklung eines IKS

1.3.5 Aufsicht und Evaluation des IKS

Um die Wirksamkeit des IKS sicherzustellen, ist eine permanente Steuerung und eine periodische Überprüfung der Risiken unabdingbar. Der Steuerungsprozess umfasst regelmässige Kontrollen, die von den Bereichsverantwortlichen durchgeführt werden, sowie weitere Kontrolltechniken, die das Personal bei der täglichen Arbeit anwenden kann. Es wird empfohlen, alle Fehler systematisch zu analysieren. Fehler sind wertvolle Hinweise, die es ermöglichen, wiederkehrende Probleme zu identifizieren und zu lösen. Umfang und Häufigkeit der Überprüfungen sind den operationellen Risiken der AK und der Wirksamkeit des Überwachungsprozesses anzupassen.

10

Schwachstellen der internen Kontrolle müssen der Leitung gemeldet werden, wobei gravierende Lücken von besonderer Bedeutung sind. Diese sind dem Kassenvorstand zu melden, damit die notwendigen Korrekturmassnahmen getroffen werden können.

7. Steuerungsverfahren

1. Kontrollumfeld

6. Integration der

Kontrollaktivitäten IKS

2. Informations- und

Kommunikationsmana gement

5. Evaluation der

Risiken

3. Gestaltung der

Prozesse

4. Definition der Ziele

Abbildung 5: Die Steuerung ist Bestandteil des IKS

11

2 Grenzen der internen Kontrolle

Man muss sich stets vor Augen halten, dass ein IKS, auch wenn es noch so gut konzipiert ist und noch so konsequent angewendet wird, dem Kassenvorstand bezüglich der Erreichung der AK-Ziele bestenfalls eine angemessene Sicherheit bieten kann. Da sich jede interne Kontrolle in erster Linie auf den Faktor Mensch abstützt, kann sie durch Überlegungsfehler, Fehleinschätzungen oder Fehlinterpretationen, Missverständnisse, Nachlässigkeit, Müdigkeit oder Zerstreutheit beeinträchtigt werden. Die nachstehenden Faktoren können die Effizienz der internen Kontrolle schmälern: • Fehleinschätzung

Die Effizienz der Kontrollen kann durch das Risiko eines menschlichen Versagens beeinträchtigt werden. Entscheide müssen oft innert kurzer Zeit, aufgrund ungenügender Informationen und unter dem Druck der laufenden Geschäfte getroffen werden. • Funktionsstörungen

Selbst gut konzipierte IKS können versagen, beispielsweise wenn die Mitarbeitenden die Weisungen falsch interpretieren, der Routine verfallen oder wenn aus mangelnder Aufmerksamkeit Fehler unterlaufen. Eine Untersuchung über Missstände geht unter Umständen nicht weit genug oder Mitarbeitende, die eine Vertretung übernehmen müssen, sind nicht in der Lage, diese Aufgabe korrekt zu erfüllen. Auch kommt es immer wieder vor, dass Systemänderungen vorgenommen werden, ohne das Personal entsprechend zu schulen. • «Übertriebene» oder umgangene Kontrollen

Ein IKS kann nicht effizienter sein als die Mitarbeitenden, die für sein Funktionieren zuständig sind. Auch in einer wirksam kontrollierten AK kann eine verantwortliche Person das IKS umgehen und von den vorgeschriebenen Normen und Verfahren unrechtmässig abweichen, um einen persönlichen Vorteil zu erzielen oder die Nichterfüllung gesetzlicher Auflagen zu vertuschen. • Kollusion und Fälschung

Die Funktionentrennung ist oft eines der Hauptinstrumente des IKS. Zwei oder mehr Mitarbeitende können die Finanz- oder Führungsinformationen verfälschen, um gemeinsam ein Delikt zu begehen und zu vertuschen. Das kann die Funktionentrennung nicht verhindern. Eine für Kontrollen verantwortliche Person kann diese mit weiteren AK-internen oder -externen Komplizen völlig ausser Kraft setzen. • Kosten-Nutzen-Verhältnis

Angesicht der begrenzten Ressourcen müssen die AK vor dem Aufbau von Kontrollmechanismen Kosten und Nutzen gegeneinander abwägen. Bei der Erwägung zusätzlicher Kontrollen sind nicht nur die Auswirkungen eines eventuellen Risikoeintritts auf die AK, sondern auch die Kosten der Kontrolle zu analysieren. Der Entscheid wird auch auf subjektiven Kriterien beruhen. Bei der Beurteilung des Kosten- Nutzen-Verhältnisses stellt sich die Frage des tolerierbaren Restrisikos. Bestimmte

12

Kontrollen sind unentbehrlich; zu viele Kontrollen können sich jedoch als kontraproduktiv und kostspielig erweisen. Es wird empfohlen, jene Kontrollen zu priorisieren, die die grössten Risiken abdecken.

3 Schlussfolgerung

Ein IKS aufbauen heisst: • ein günstiges Kontrollumfeld schaffen; • ein gutes Informations- und Kommunikationsmanagement errichten; • Prozesse gestalten; • Ziele festlegen; • die Risiken der Nichterreichung der Ziele abschätzen; • Kontrollmassnahmen in die Prozesse integrieren, mit denen die Risiken vermindert werden können. Aber damit ist es noch nicht getan! Ein solches System erfordert eine regelmässige Bewertung unter Berücksichtigung der Veränderungen, die die AK beinflussen können, um die Relevanz und Effektivität des IKS sicherzustellen. Damit das IKS effektiv ist, muss es täglich von allen Mitarbeitenden gelebt, in die Kassenkultur integriert und von der gesamten Hierarchie unterstützt werden. Ein kontinuierlicher Informationsaustausch zwischen den Mitarbeitenden ist entscheidend, um einen reibungslosen Ablauf zu gewährleisten. Zudem muss es regelmässig analysiert und dokumentiert werden, um seine langfristige Relevanz sicherzustellen.

13

4 Anhänge

4.1 Beispiel Risikoliste3

Beurteilung Beurteilung Prozess Zuständigkeit Risikoidentifikation Risikoanalyse Risikosteuerung Kontrollrhythmus Bruttorisiko Nettorisiko

Weil die IK zusammen mit der Stichproben und Bereich Falsche AHV-Lohnsumme Jahresabrechnung erfasst werden, Jährlich / C systematische C Beiträge erfasst Eintrittswahrscheinlichkeit sehr klein. Wenn Laufend Plausibilisierung im System doch: katastrophal

Jahresabrechnung Stichproben, Plausibilisierung Bereich AHV- und FAK-Lohnsummen Eintrittswahrscheinlichkeit gelegentlich, im System und A C Jährlich Beiträge stimmen nicht überein Risikostufe katastrophal Systemauswertung für Kontrolle

Mit einem Teilprozess wird der BVG- Stichproben und Bereich BVG-Anschlusskontrolle wurde Anschluss geprüft, Eintrittswahrscheinlichkeit B Systemauswertung für C Jährlich Beiträge nicht durchgeführt vorstellbar, Risikostufe kritisch Kontrolle

Stichproben und Akonto- Bereich Akontobeiträge falsch oder Eintrittswahrscheinlichkeit wahrscheinlich, A Systemauswertung für C Laufend Beiträge vergessen Risikostufe katastrophal Kontrolle Lohnsummenanpa Bereich Erfassen der Akonto- Eintrittswahrscheinlichkeit wahrscheinlich, Stichproben zusammen mit B C Laufend ssung Arbeitgeber Beiträge Lohnsummenanpassung Risikostufe mittel Prüfung Akonto-Lohnsumme

Bereich Nicht alle Mitglieder wurden Eintrittswahrscheinlichkeit wahrscheinlich, Systemauswertung für A C Laufend Finanzen fakturiert Risikostufe katastrophal Kontrolle, Vieraugenprinzip

Inkasso Bereich Offene Rechnungen werden Eintrittswahrscheinlichkeit wahrscheinlich, A Vieraugenprinzip C Laufend Finanzen nicht nach 40 Tagen gemahnt Risikostufe kritisch

Arbeitgebe Nicht bei jedem Arbeitgeber ist Bereich Eintrittswahrscheinlichkeit wahrscheinlich, Systemauswertung für eine Arbeitgeberkontrolle A C Laufend Beiträge Risikostufe katastrophal Kontrolle, Vieraugenprinzip rkontrolle hinterlegt

Tabelle 1: Beispiel Risikoliste

3 Diese Beispiele dienen nur zur Veranschaulichung und spiegeln nicht notwendigerweise die Realität wider 14

4.2 Beispielmatrix Risikoevaluation

Eintrittswahrscheinlichkeit Risikostufe

Minimal Wenig Mittel Kritisch Katastrophal

Fast sicher B B A A A

Wahrscheinlich C B B A A

Gelegentlich C B B A A

Vorstellbar C C B B A

Unwahrscheinlich C C C B B

Sehr unwahrscheinlich C C C C C

A Risiken vermeiden => zwingend mit IKS Risiken vermeiden

B Risiken überwachen => kritische Bereiche mit IKS kontrollieren

C Risiken akzeptieren => zu vernachlässigen, kein Handeln nötig

Tabelle 2: Beispielmatrix Risikoevaluation

15

4.3 Beispiel Liste interner Kontrollen4

Risikosteuerung

Mit Kontrolle mit Wer Durchgängig im Ist die Prozes Zuständigk Risikobeurtei Stichpro Systemauswertu Kontrollrhythm Risikoidentifikation separater Systemplausibilisier kontrolliert Vieraugenprinzi Kontrolle s eit lung ben ng für Kontrolle us Checkliste ung ? p wirksam?

Bereich Falsche AHV-Lohnsumme Mitarbeiter/ C Ja Nein Ja Nein Täglich Nein Ja Beiträge erfasst -in

Jahresabrechnung AHV- und FAK- Bereich Mitarbeiter/ Lohnsummen stimmen A Ja Nein Ja Ja Wöchentlich Nein Ja Beiträge -in nicht überein

Bereich BVG-Anschlusskontrolle Mitarbeiter/ B Ja Ja Nein Ja Monatlich Nein Ja Beiträge wurde nicht durchgeführt -in

Akonto- Bereich Akontobeiträge falsch oder Teamleiter/ A Ja Nein Nein Ja Laufend Nein Ja Beiträge vergessen -in

Lohnsummenanpass Bereich Erfassen der Akonto- Teamleiter/ B Ja Nein Nein Nein Laufend Nein Ja ung Arbeitgeber Beiträge Lohnsummenanpassung -in

Bereich Nicht alle Mitglieder wurden Finanzchef A Nein Nein Nein Ja Monatlich Ja Nein Finanzen fakturiert /-in

Inkasso Offene Rechnungen Bereich Finanzchef werden nicht nach 40 A Nein Ja Ja Nein Laufend Ja Ja Finanzen /-in Tagen gemahnt

Arbeitgeb Nicht bei jedem Arbeitgeber Bereich Teamleiter/ ist eine Arbeitgeberkontrolle A Nein Nein Nein Ja Laufend Nein Ja erkontroll Beiträge -in hinterlegt e

Tabelle 3: Beispiel Liste interner Kontrollen

4 Diese Beispiele dienen nur zur Veranschaulichung und spiegeln nicht notwendigerweise die Realität wider 16

Leitfaden für den Aufbau eines internen Kontrollsystems (IKS) in einer Ausgleichskasse | Lexipedia | Lexipedia