Management Letter

Schriftliche Berichterstattung der Revisionsstelle an den Verwaltungsrat über wesentliche Feststellungen, Schwachstellen im IKS und Verbesserungsempfehlungen.

Definition

Der Management Letter ist die schriftliche Berichterstattung der Revisionsstelle an den Verwaltungsrat und die Geschäftsleitung über wesentliche Feststellungen aus der Abschlussprüfung. Er enthält Schwachstellen im internen Kontrollsystem, Empfehlungen zur Verbesserung von Prozessen und Hinweise auf Risiken, die nicht den Bestätigungsvermerk beeinflussen, aber für die Steuerung relevant sind.

Im Unterschied zum öffentlich zugänglichen Revisionsbericht ist der Management Letter ein internes, vertrauliches Dokument. Er ist eines der wichtigsten Frühwarn-Instrumente für den VR, da er externe, unabhängige Beobachtungen zur internen Steuerungsqualität liefert.

Aufbau und Inhalt

Ein professioneller Management Letter folgt einer klaren Struktur.

Einleitung

Bezug zur durchgeführten Abschlussprüfung.
Hinweis auf Wesentlichkeitsgrenze und Prüfungsumfang.
Klarstellung, dass keine vollständige Prüfung des IKS erfolgte.

Status Findings Vorjahr

Welche Massnahmen wurden umgesetzt?
Welche sind noch offen?
Begründung bei Verzögerungen.

Neue Feststellungen

Pro Finding eine eigene Sektion.
Beschreibung der Beobachtung.
Risiko-Einstufung (kritisch, hoch, mittel, niedrig).
Empfehlung der Revisionsstelle.
Stellungnahme und vereinbarte Massnahme der GL.
Frist und Verantwortlicher.

Bilanzierungsfragen

Komplexe Bewertungsfragen.
Anwendung neuer Rechnungslegungsstandards.
Schätzungs-Unsicherheiten.

IT und Sicherheit

Berechtigungs-Konzepte.
Backup und Recovery.
Logging und Monitoring.
Cyber-Risiko-Beobachtungen.

Compliance-Beobachtungen

Geldwäsche-Prävention.
Steuerliche Themen.
Branchenspezifische Regulierung.

Organisatorische Themen

Funktionstrennung.
Prozessdokumentation.
Schulungsbedarf.

Praxis Schweiz

In der Schweizer Prüfungs-Praxis hat der Management Letter feste Konventionen.

Bei ordentlicher Revision

Pflicht zur umfassenden Berichterstattung an den VR (OR Art. 728b). Der Management Letter ist die etablierte Form. Bei börsenkotierten Gesellschaften und reguliertem Sektor ist die Tiefe deutlich höher.

Bei eingeschränkter Revision

Keine Pflicht zur Berichterstattung an den VR ausser dem Bericht an die GV (OR Art. 729b). Ein Management Letter ist freiwillig, aber Best Practice. Viele KMU verzichten darauf, was eine Lücke in der Governance darstellt.

Zeitpunkt

Typisch zwei bis vier Wochen nach Abschluss der Prüfung. Diskussion im Audit Committee meist im Rahmen der Sitzung, die den Jahresabschluss verabschiedet.

Wesentlichkeit

Die Revisionsstelle berichtet, was aus ihrer Sicht wesentlich ist. Was wesentlich ist, wird vorab definiert. Bei KMU sind oft auch kleinere Findings relevant, da Schwellenwerte tiefer sind.

Sprache

DE, FR, IT je nach Sprachregion. Bei internationalen Gruppen häufig EN, mit deutscher Zusammenfassung für den Schweizer VR.

Rolle Audit Committee

Bei Gesellschaften mit Audit Committee ist dieses Hauptansprechpartner. Bei kleineren VRs ohne Audit Committee diskutiert der Gesamt-VR direkt mit dem leitenden Revisor.

Häufige Fehler

Typische Schwächen im Umgang mit dem Management Letter.

Auf VR-Seite

Findings werden zur Kenntnis genommen, ohne Massnahmen zu beschliessen.
Kein systematisches Tracking über mehrere Jahre.
Wiederkehrende Findings werden nicht eskaliert.
Die GL-Stellungnahme wird nicht kritisch hinterfragt.
Der leitende Revisor wird nicht direkt befragt.

Auf GL-Seite

Verharmlosung kritischer Findings.
Vereinbarte Massnahmen werden nicht umgesetzt.
Keine echte Ursachenanalyse, sondern Symptombehandlung.
Verteidigungs-Reflex statt Lernhaltung.

Auf Revisionsstelle-Seite

Generischer, kopierter Text ohne unternehmensspezifische Tiefe.
Findings ohne klare Risiko-Einstufung.
Empfehlungen ohne Praxisbezug.
Mangelnde Konfrontation bei wiederkehrenden Themen.

Strukturelle Probleme

Letter erst nach Beschluss der Jahresrechnung verfügbar.
Keine Executive Session mit dem leitenden Revisor.
Keine Vorbereitung der Audit-Committee-Sitzung.

Abgrenzung

Der Revisionsbericht (OR Art. 728a/729a) richtet sich an die Generalversammlung und enthält den formellen Bestätigungsvermerk. Der Management Letter ist intern und detailliert. Beide entstehen aus derselben Prüfung, haben aber unterschiedliche Adressaten und Zwecke.

Der umfassende Bericht (OR Art. 728b) ist die gesetzliche Pflicht bei ordentlicher Revision. Der Management Letter ist die praktische Ausgestaltung dieser Pflicht.

Ein Governance-Audit prüft die Steuerungs-Architektur des VR und ist viel breiter als der Management Letter, der sich auf die Abschlussprüfung bezieht.

Der Compliance Report betrifft die Einhaltung regulatorischer Anforderungen, der Management Letter primär die Finanz- und IKS-Themen. Die Themen überschneiden sich teilweise.

Häufige Fragen

Was ist ein Management Letter?

Ein Management Letter ist die schriftliche Berichterstattung der Revisionsstelle an den Verwaltungsrat und die Geschäftsleitung über wesentliche Feststellungen aus der Abschlussprüfung. Er enthält Schwachstellen im internen Kontrollsystem, Empfehlungen zur Verbesserung und Hinweise auf Risiken, die nicht zwangsläufig den Bestätigungsvermerk beeinflussen, aber für die Steuerung relevant sind.

Ist der Management Letter gesetzlich vorgeschrieben?

Bei ordentlicher Revision verlangt OR Art. 728b einen umfassenden Bericht an den VR. Der Management Letter ist die etablierte Form dieses Berichts und konkretisiert die Findings. Bei eingeschränkter Revision ist nur ein kurzer Bericht an die GV Pflicht, ein Management Letter ist freiwillig, aber Best Practice in gut geführten KMU.

Wer erhält den Management Letter?

Adressat ist primär der Verwaltungsrat, insbesondere das Audit Committee. In der Praxis wird er parallel mit der Geschäftsleitung diskutiert, da diese die Massnahmen umsetzen muss. Bei börsenkotierten Gesellschaften gehen Auszüge oft an die Hauptaktionäre. Der Brief selbst ist vertraulich und nicht für die Öffentlichkeit bestimmt.

Was steht typischerweise in einem Management Letter?

Typische Inhalte sind Feststellungen zum IKS (Schwachstellen, fehlende Kontrollen), Bilanzierungs- und Bewertungsfragen, Compliance-Beobachtungen, IT- und Sicherheitsthemen, organisatorische Empfehlungen sowie ein Statusbericht zu Findings aus dem Vorjahr. Jede Feststellung hat typisch Risiko-Einstufung, Empfehlung und vereinbarte Massnahme.

Wie unterscheidet sich der Management Letter vom Revisionsbericht?

Der Revisionsbericht (OR Art. 728a) richtet sich an die Generalversammlung und enthält den Bestätigungsvermerk zur Jahresrechnung. Der Management Letter ist intern, an VR und GL gerichtet, und enthält detaillierte Feststellungen und Empfehlungen, die für die externe Berichterstattung nicht wesentlich, aber für die interne Steuerung wichtig sind.

Wie geht der VR mit einem Management Letter um?

Der VR muss den Brief im Audit Committee diskutieren, eine Stellungnahme der GL einholen, Massnahmen mit Verantwortlichen und Fristen beschliessen und die Umsetzung im Folgejahr überprüfen. Ein verantwortungsvolles Tracking aller Findings über mehrere Jahre ist Best Practice und Indikator für eine reife Governance.

Welche Risiko-Stufen gibt es im Management Letter?

Üblich sind drei bis vier Stufen: kritisch (sofortiger Handlungsbedarf, wesentliches Risiko), hoch (zeitnahe Behebung, signifikantes Risiko), mittel (innerhalb des nächsten Geschäftsjahrs) und niedrig (langfristige Verbesserung). Die Einstufung sollte begründet sein und die Wesentlichkeit aus Sicht der Abschlussprüfung berücksichtigen.

Was sind häufige Findings im Management Letter?

Wiederkehrende Themen sind Schwächen in der Funktionstrennung, unzureichende IT-Berechtigungs-Konzepte, lückenhafte Dokumentation kritischer Prozesse, fehlende Backup-Reviews, Schwächen im Forderungs- und Vorratsmanagement sowie unklare Bilanzierungsregeln bei komplexen Transaktionen. Bei wachsenden Unternehmen sind oft Prozesse nicht mit der Grösse mitgewachsen.