Interne Kontrollsysteme (IKS) zählen zum zentralen Bestandteil der Aufbau- und Ablauforganisation eines Unternehmens und minimieren bei optimaler Durchführung die prozessualen Risiken auf ein Akzeptanzniveau. Sie stellen eine ‘First Line of Defence’ im Rahmen des Three Lines of Defence Modells (vgl. Kapitel „Compliance“) dar. Die Interne Kontrolle ist dabei keine Angelegenheit nur von Eigentümern oder Führungskräften, sondern wird vielfach auch von externen Stellen (Gesetzgeber, EU, Rechnungshöfe, Wirtschaftsprüfer, Versicherungen und Banken) gefordert.
Unter einem IKS versteht man die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements:
Ausreichende Sicherheit bedeutet nicht einhundert Prozent Sicherheit; vielmehr wird immer eine Abwägung zwischen Kontrollkosten und verbleibendem Risiko vorzunehmen sein. Das Interne Kontrollsystem in seiner oft komplexen Form bindet nämlich viele Kapital- und Zeitressourcen bei seiner Ausführung.
Das Erschaffen und Erhalten einer zuverlässig funktionierenden internen Kontrolle verlangt die Mitwirkung von Leitung, Führungskräften und Mitarbeitern auf allen Ebenen. Durch Verbreitung mittels Intranet, Organisationshandbücher, E-Mail Informationen und Schulungen schaffen die Unternehmensleitung so eine Sichtbarkeit und Transparenz in das Interne Kontrollsystem. Auf diese Weise wird das Bewusstsein für Kontrollen und das Risikodenken auf allen Ebenen der Unternehmenshierarchie geschärft.
Um die Risiken zu minimieren, stellen Unternehmen viele ihrer manuellen Kontrollen auf automatisierte Kontrollen um. Diese können um nachgelagerte manuelle Kontrollen, wie z.B. die Durchsicht der Fehlerprotokolle, erweitert werden.
Neben physischen Kontrollen basiert ein Internes Kontrollsystem im Wesentlichen auf den gezielten Einsatz von aufbau- und ablauforganisatorischen Maßnahmen:
Damit ein internes Kontrollsystem funktioniert, sollten folgende Komponenten vollständig abgedeckt sein:
Kontrollumfeld:
Je nach Größe und Komplexität der Unternehmen sollten folgende Komponenten abgedeckt und schriftlich dokumentiert sein:
Risikobeurteilung:
Die Durchführung der Risikobeurteilung spielt beim internen Kontrollsystem eine zentrale Rolle. Aufgabe ist es alle wirtschaftlichen, rechtlichen, finanziellen Unternehmensrisiken rechtzeitig zu erkennen und ihre Auswirkungen auf das Unternehmen zu analysieren.
Kontrollaktivitäten:
Die Kontrollaktivitäten stellen die effektiv getroffenen Kontrollmaßnahmen in den verschiedenen Geschäftsprozessen der Unternehmung dar. Kontrollen können eine detektive sowie eine präventive Wirkung haben. Detektive Kontrollen versuchen entstandene Fehler aufzudecken, während präventive Kontrollen hingegen versuchen, Fehler vorgängig zu vermeiden.
Information & Kommunikation:
Damit die internen Kontrollen wirksam sind, müssen Informationssysteme bestehen, die gewährleisten, dass alle relevanten Informationen zuverlässig und zeitgerecht erhoben und sachgerecht verteilt werden. Ebenfalls muss das fehlerfreie Funktionieren der IT-Systeme sichergestellt sein. Hierfür eignet sich eine separate IT-Risikobeurteilung. Damit das fehlerfreie Funktionieren der IT-Systeme sichergestellt werden kann, sollten in den Bereichen Computer-Betrieb, Zugriff zu Programmen und Daten sowie Programmänderungen entsprechende Kontrollen bestehen.
Überwachung:
Die Praxis zeigt, dass unterschiedliche Ursachen – etwa neue Märkte, neue Mitarbeiter, neue Produkte, etc. – dazu führen können, dass die einmal definierten Kontrollmaßnahmen die neue Risikosituation nicht mehr abdecken und Kontrollen nicht oder nur in einer sich verschlechternden Qualität durchgeführt werden. Aus diesem Grund empfiehlt es sich, das bestehende IKS regelmäßig den neuen Geschäftsgegebenheiten anzupassen. Zudem liegt die Verantwortung der Aufrechterhaltung des IKS innerhalb der Unternehmen. Es empfiehlt sich daher einen IKS-Verantwortlichen zu definieren, welcher für die Einhaltung des IKS verantwortlich ist.
Allerdings kann auch ein sachgerecht gestaltetes IKS nicht in jedem Fall gewährleisten, dass die vom Unternehmen verfolgten Ziele erreicht werden. Als Gründe hierfür kommen u.a. in Betracht:
Zur Beurteilung Interner Kontrollsysteme werden häufig Reifegrad–Modelle herangezogen, wie etwa das Capability Maturity Model Integration (CMMI): Bei diesem Modell bauen die Reifegrade aufeinander auf; die höhere Stufe beinhaltet sämtliche Merkmale der vorangegangenen Reifegradstufen. In der Literatur wird bei einem Unternehmen ein Internes Kontrollsystem mit einem Reifegrad von zumindest Stufe 3 „Definiert“ gefordert.
Stufe 1: Unzuverlässig – Kontrollen nicht nachvollziehbar; Kontrollen auf zufälliger Basis; keine Dokumentation
Stufe 2: Informell – Kontrollen werden durchgeführt, sind jedoch teilweise nicht nachvollziehbar; keine ausreichende Dokumentation
Stufe 3: Standardisiert – Tätigkeiten und Kontrollen sind definiert und dokumentiert (wer, wann, was, wie) und werden ausgewertet; Kontrollen werden vollständig durchgeführt; regelmäßige Anpassung an veränderte Risiken
Stufe 4: Gesichert – Tätigkeiten und Kontrollen sind definiert und dokumentiert (wer, wann, was, wie) und werden ausgewertet; Kontrollen werden vollständig durchgeführt; regelmäßige Anpassung an veränderte Risiken; Kontrollen werden regelmäßig überprüft; Geschäftsführung bestätigt Funktionstüchtigkeit des IKS; detaillierte Beschreibung der IKS-Abläufe
Stufe 5: Optimiert – Tätigkeiten und Kontrollen sind definiert und dokumentiert (wer, wann, was, wie) und werden ausgewertet; Kontrollen werden vollständig durchgeführt; regelmäßige Anpassung an veränderte Risiken; Kontrollen werden regelmäßig überprüft; Geschäftsführung bestätigt Funktionstüchtigkeit des IKS; detaillierte Beschreibung der IKS-Abläufe; IKS-Aktivitäten zusätzlich mit anderen Prüffunktionen abgestimmt; Risikomanagement und IKS als integriertes System.
Die Interne Revision als eine prozessunabhängige Institution, innerhalb eines Unternehmens prüft und beurteilt die Strukturen und Aktivitäten. Die interne Revision
und sie ist ein wichtiges Instrument, um den ordnungsgemäßen Ablauf betrieblicher Funktion und Organisation sowie die Inanspruchnahme von Ressourcen zu kontrollieren. Grundlegendes Ziel ist immer, Strukturen und Abläufe zu optimieren und einen Mehrwert für das Unternehmen zu schaffen. Die wichtigste Aufgabe der Internen Revision ist die Überwachung der Wirksamkeit des Systems. Sie kann dies im Rahmen von Regelprüfungen als Schwerpunkt definieren oder aber in regelmäßigem Turnus eine Wirksamkeitsprüfung vornehmen. Debei darf sie als unternehmensinterner Überwachungsträger weder in den Arbeitsablauf integriert noch für das Ergebnis des überwachten Prozesses verantwortlich sein.
Der übliche Ablauf einer Internen Revision sieht wie folgt aus:
Für die Arbeit des Revisors ist dabei ein sehr breites Wissen über das Unternehmen, die Prozesse und rechtlichen Anforderungen erforderlich. Er muss sich in allen Prozessen mit handels- und steuerrechtlichen Aspekten sowie auch zu speziellen Branchenanforderungen auskennen. Hinzu kommen die Anforderungen aus den IT-Prozessen. Der Revisor muss die IT-Prozesse kennen und beurteilen können, ob sie State of the Art sind.
Laden Sie sich jetzt den Seminarkatalog 2025 herunter!
Auf über 120 Seiten erhalten Sie das komplette aktuelle Seminarangebot zur Internen Revision und Soft Skills im Überblick.
Um den Seminarkatalog zu erhalten, füllen Sie einfach das Download-Formular aus. Sie können den Seminarkatalog auch ohne Einwilligung telefonisch über unseren Kundenservice bekommen: +49 6196 50952-300