Der Verwaltungsrat und die Geschäftsleitung tragen die Verantwortung, ein Internes Kontrollsystem (IKS) im Unternehmen auszugestalten. Ab dem Geschäftsjahr 2008 wird die Existenz eines IKS durch den externen Revisor geprüft (Art. 728a, 728b revOR). Auch sind im Anhang Angaben über die Durchführung einer Risikobeurteilung zu publizieren (Art. 663b revOR). Das Enterprise-Risk-Management-Framework von COSO (COSO ERM) kann als Führungsinstrument helfen, wichtige Chancen und Risiken zu erkennen und geeignete Massnahmen zu ergreifen, um die Erreichung von Unternehmenszielen besser zu gewährleisten.