skip to Main Content

Was ist ein Internes Kontrollsystem?

Interne Kontrollsysteme (IKS) zählen zum zentralen Bestandteil der Aufbau- und Ablauforganisation eines Unternehmens und minimieren bei optimaler Durchführung die prozessualen Risiken auf ein Akzeptanzniveau.  Sie stellen eine ‚First Line of Defence‘ im Rahmen des Three Lines of Defence Modells (vgl.  Kapitel „Compliance“) dar. Die Interne Kontrolle ist dabei keine Angelegenheit nur von Eigentümern oder Führungskräften, sondern wird vielfach auch von externen Stellen (Gesetzgeber, EU, Rechnungshöfe, Wirtschaftsprüfer, Versicherungen und Banken) gefordert.

Unter einem IKS versteht man die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements:

  • zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit,
  • zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie
  • zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.

Basisanforderungen an ein Internes Kontrollsystem

Ausreichende Sicherheit bedeutet nicht einhundert Prozent Sicherheit; vielmehr wird immer eine Abwägung zwischen Kontrollkosten und verbleibendem Risiko vorzunehmen sein. Das Interne Kontrollsystem in seiner oft komplexen Form bindet nämlich viele Kapital- und Zeitressourcen bei seiner Ausführung.

Das Erschaffen und Erhalten einer zuverlässig funktionierenden internen Kontrolle verlangt die Mitwirkung von Leitung, Führungskräften und Mitarbeitern auf allen Ebenen. Durch Verbreitung mittels  Intranet, Organisationshandbücher, E-Mail Informationen und Schulungen schaffen die Unternehmensleitung so eine Sichtbarkeit und Transparenz in das Interne Kontrollsystem. Auf diese Weise wird das Bewusstsein für Kontrollen und das Risikodenken auf allen Ebenen der Unternehmenshierarchie geschärft.

Um die Risiken zu minimieren, stellen Unternehmen viele ihrer manuellen Kontrollen auf automatisierte Kontrollen um. Diese können um nachgelagerte manuelle Kontrollen, wie z.B. die Durchsicht der Fehlerprotokolle, erweitert werden.

Bestandteile eines Internen Kontrollsystem:

  • Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und
  • Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem).
Internes Kontrollsystem

Aufbau Internes Kontrollsystems:

Neben physischen Kontrollen basiert ein Internes Kontrollsystem im Wesentlichen auf den gezielten Einsatz von aufbau- und ablauforganisatorischen Maßnahmen:

Aufbau eines Internen Kontrollsystems

Grundlagen für ein Internes Kontrollsystems:

Es gelten 4 Prinzipien:

  1. Das Prinzip der Transparenz: Für Prozesse müssen Sollkonzepte etabliert sein, die es einem Außenstehenden ermöglichen zu beurteilen, inwieweit Beteiligte konform zu diesem Sollkonzept arbeiten.
  2. Das Prinzip der vier Augen: In einem gut funktionierenden Kontrollsystem soll kein wesentlicher Vorgang ohne (Gegen-) Kontrolle bleiben.
  3. Das Prinzip der Funktionstrennung: Vollziehende (z. B. Abwicklung von Einkäufen), verbuchende (z. B. Finanzbuchhaltung, Lagerbuchhaltung) und verwaltende (z. B. Lagerverwaltung) Tätigkeiten, die innerhalb eines Unternehmensprozesses vorgenommen werden, sollen nicht in einer Hand vereinigt sein.
  4. Das Prinzip der Mindestinformation: Mitarbeiter verfügen nur über diejenigen Informationen, die sie für ihre Arbeit brauchen. Dies schließt auch die entsprechenden Sicherungsmaßnahmen bei IT-Systemen mit ein.

Damit ein internes Kontrollsystem funktioniert, sollten folgende Komponenten vollständig abgedeckt sein:

Kontrollumfeld:

Je nach Größe und Komplexität der Unternehmen sollten folgende Komponenten abgedeckt und schriftlich dokumentiert sein:

  • Integrität und ethische Werte
  • Unternehmensführung
  • Führungsphilosophie und Führungsstil
  • Organisationsstruktur
  • Fachwissen in der Finanzabteilung
  • Kompetenzen und Verantwortlichkeit
  • Personalpolitik

Risikobeurteilung:

Die Durchführung der Risikobeurteilung spielt beim internen Kontrollsystem eine zentrale Rolle. Aufgabe ist es alle wirtschaftlichen, rechtlichen, finanziellen Unternehmensrisiken rechtzeitig zu erkennen und ihre Auswirkungen auf das Unternehmen zu analysieren.

Kontrollaktivitäten:

Die Kontrollaktivitäten stellen die effektiv getroffenen Kontrollmaßnahmen in den verschiedenen Geschäftsprozessen der Unternehmung dar. Kontrollen können eine detektive sowie eine präventive Wirkung haben. Detektive Kontrollen versuchen entstandene Fehler aufzudecken, während präventive Kontrollen hingegen versuchen, Fehler vorgängig zu vermeiden.

Information & Kommunikation:

Damit die internen Kontrollen wirksam sind, müssen Informationssysteme bestehen, die gewährleisten, dass alle relevanten Informationen zuverlässig und zeitgerecht erhoben und sachgerecht verteilt werden. Ebenfalls muss das fehlerfreie Funktionieren der IT-Systeme sichergestellt sein. Hierfür eignet sich eine separate IT-Risikobeurteilung. Damit das fehlerfreie Funktionieren der IT-Systeme sichergestellt werden kann, sollten in den Bereichen Computer-Betrieb, Zugriff zu Programmen und Daten sowie Programmänderungen entsprechende Kontrollen bestehen.

Überwachung:

Die Praxis zeigt, dass unterschiedliche Ursachen – etwa neue Märkte, neue Mitarbeiter, neue Produkte, etc. – dazu führen können, dass die einmal definierten Kontrollmaßnahmen die neue Risikosituation nicht mehr abdecken und Kontrollen nicht oder nur in einer sich verschlechternden Qualität durchgeführt werden. Aus diesem Grund empfiehlt es sich, das bestehende IKS regelmäßig den neuen Geschäftsgegebenheiten anzupassen. Zudem liegt die Verantwortung der Aufrechterhaltung des IKS innerhalb der Unternehmen. Es empfiehlt sich daher einen IKS-Verantwortlichen zu definieren, welcher für die Einhaltung des IKS verantwortlich ist.

Gründe für ein Scheitern der Unternehmensziele trotz Internen Kontrollsystems:

Allerdings kann auch ein sachgerecht gestaltetes IKS nicht in jedem Fall gewährleisten, dass die vom Unternehmen verfolgten Ziele erreicht werden. Als Gründe hierfür kommen u.a. in Betracht:

  • Menschliche Fehlleistungen, z.B. infolge von Nachlässigkeit, Ablenkung, Beurteilungsfehlern und Missverstehen von Arbeitsanweisungen
  • Nicht routinemäßige Geschäftsvorfälle, die vom IKS nur bedingt, schwer oder überhaupt nicht erfasst werden können
  • Umgehung oder Außerkraftsetzung des IKS durch das Management und andere Mitarbeiter oder durch das Zusammenwirken dieser Personen mit unternehmensexternen Personen
  • Missbrauch oder die Vernachlässigung der Verantwortung durch für bestimmte Kontrollen verantwortliche Personen
  • Zeitweise Unwirksamkeit des IKS aufgrund veränderter Unternehmens- und Umweltbedingungen
  • Verzicht des Managements auf bestimmte Maßnahmen, weil die Kosten dafür höher eingeschätzt werden als der erwartete Nutzen

Einschätzung des Reifegrades eines Internen Kontrollsystem

Zur Beurteilung Interner Kontrollsysteme werden häufig Reifegrad–Modelle herangezogen, wie etwa das Capability Maturity Model Integration (CMMI): Bei diesem Modell bauen die Reifegrade aufeinander auf; die höhere Stufe beinhaltet sämtliche Merkmale der vorangegangenen Reifegradstufen. In der Literatur wird bei einem Unternehmen ein Internes Kontrollsystem mit einem Reifegrad von zumindest Stufe 3 „Definiert“ gefordert.

Stufe 1:

Unzuverlässig – Kontrollen nicht nachvollziehbar; Kontrollen auf zufälliger Basis; keine Dokumentation

Stufe 2:

Informell – Kontrollen werden durchgeführt, sind jedoch teilweise nicht nachvollziehbar; keine ausreichende Dokumentation

Stufe 3:

Standardisiert – Tätigkeiten und Kontrollen sind definiert und dokumentiert (wer, wann, was, wie) und werden ausgewertet; Kontrollen werden vollständig durchgeführt; regelmäßige Anpassung an veränderte Risiken

Stufe 4:

Gesichert – Tätigkeiten und Kontrollen sind definiert und dokumentiert (wer, wann, was, wie) und werden ausgewertet; Kontrollen werden vollständig durchgeführt; regelmäßige Anpassung an veränderte Risiken; Kontrollen werden regelmäßig überprüft; Geschäftsführung bestätigt Funktionstüchtigkeit des IKS;     detaillierte Beschreibung der IKS-Abläufe

Stufe 5:

Optimiert – Tätigkeiten und Kontrollen sind definiert und dokumentiert (wer, wann, was, wie) und werden ausgewertet; Kontrollen werden vollständig durchgeführt; regelmäßige Anpassung an veränderte Risiken; Kontrollen werden regelmäßig überprüft; Geschäftsführung bestätigt Funktionstüchtigkeit des IKS; detaillierte Beschreibung der IKS-Abläufe; IKS-Aktivitäten zusätzlich mit anderen Prüffunktionen abgestimmt; Risikomanagement und IKS als integriertes System.

Reifegrad Internes Kontrollsystem

Reifegrad eines IKS

Prüfung des Internen Kontrollsystems durch Interne Revision

Die Interne Revision als eine prozessunabhängige Institution, innerhalb eines Unternehmens prüft und beurteilt die Strukturen und Aktivitäten. Die interne Revision

  • sichert die Funktionsfähigkeit der finanziellen Messinstrumente,
  • sorgt für die Einhaltung von Regeln,
  • deckt Prozess- und Zielabweichungen auf

und sie ist ein wichtiges Instrument, um den ordnungsgemäßen Ablauf betrieblicher Funktion und Organisation sowie die Inanspruchnahme von Ressourcen zu kontrollieren. Grundlegendes Ziel ist immer, Strukturen und Abläufe zu optimieren und einen Mehrwert für das Unternehmen zu schaffen. Die wichtigste Aufgabe der Internen Revision ist die Überwachung der Wirksamkeit des Systems. Sie kann dies im Rahmen von Regelprüfungen als Schwerpunkt definieren oder aber in regelmäßigem Turnus eine Wirksamkeitsprüfung vornehmen. Debei darf sie als unternehmensinterner Überwachungsträger weder in den Arbeitsablauf integriert noch für das Ergebnis des überwachten Prozesses verantwortlich sein.

Der übliche Ablauf einer Internen Revision sieht wie folgt aus:

  • Risikoorientierte Revisionslandkarte: üblicherweise für drei bis vier Jahre
  • Jährlicher Revisionsplan: Ziel, Umfang, Zeit- und Ressourcenplan
  • Durchführung von Revision: Abstimmung der Ergebnisse mit den geprüften Einheiten, Vereinbarung von Maßnahmen
  • Berichterstattung:
    – Revisionsbericht
    – üblicher Aufbau: Management Summary, Prüfziel, Prüfungshandlungen, Empfehlungen einschließlich Stellungnahme und vereinbarte Maßnahmen
    – Präsentation der Ergebnisse an Vorstand und Aufsichtsrat
  • Follow-up: Verfolgung der Umsetzung der vereinbarten Maßnahmen −
Ablauf einer Internen Revision

Für die Arbeit des Revisors ist dabei ein sehr breites Wissen über das Unternehmen, die Prozesse und rechtlichen Anforderungen erforderlich. Er muss sich in allen Prozessen mit handels- und steuerrechtlichen Aspekten sowie auch zu speziellen Branchenanforderungen auskennen. Hinzu kommen die Anforderungen aus den IT-Prozessen. Der Revisor muss die IT-Prozesse kennen und beurteilen können, ob sie State of the Art sind.

Back To Top