Ein Internes Kontrollsystem (IKS) besteht aus systematisch gestalteten technischen und organisatorischen Regeln des methodischen Steuerns und von Kontrollen im Unternehmen zum Einhalten von Richtlinien und zur Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können. Die Maßnahmen können sowohl prozessunabhängig als retrospektive Kontrollen, beispielsweise durch die Interne Revision, als auch prozessabhängig als präventive Regeln durchgeführt werden.
Als Grundlage eines IKS kommen häufig Kontrollmodelle wie z. B. COSO oder COBIT zum Einsatz.
Kontrollmaßnahmen
Die Maßnahmen beruhen auf technischen und organisatorischen Prinzipien. Sie umfassen Aktivitäten und Einrichtungen zur unternehmensinternen Kontrolle sowie ihre Beziehungen zueinander. Sie umfassen z. B.
- bauliche und softwaretechnische Zutrittskontrollen,
- schriftliche Weisungen, z. B.
- zur Sicherheit
- zur Geheimhaltung von Betriebsgeheimnissen
- zur Kommunikation mit der Öffentlichkeit und Presse
- Maßnahmen zum Schutz der materiellen und immateriellen Vermögenswerte des Unternehmens
- Maßnahmen zur Abwehr von illegalen Vorgängen im Bereich der Wirtschaftskriminalität, z. B. das Vieraugenprinzip zur Verhinderung von Veruntreuung, Korruption und Kompetenzüberschreitung.
Einteilung von Kontrollmaßnahmen/Kontrollaktivitäten
Kontrollaktivitäten lassen sich in verschiedenen Einteilungen zusammenfassen. Die grundlegendste Einteilung ist die nach „manuellen“ oder „automatischen“ Kontrollen. Im Gegensatz zu manuellen Kontrollen werden „automatische/systembasierte“ Kontrollen durch ein automatisches System durchgeführt und ohne manuellen Eingriff oder eine Interaktion angewendet. Als ein gutes Beispiel ist hier die selbstständige Überwachung von Transaktionen auf eine Datenbank, zum Beispiel bei einer Buchhaltungssoftware, zu nennen. Es gibt auch die Mischform: „systembasierte manuelle Kontrollaktivitäten“. Dabei ist das System der Entscheidungsträger, welcher zum Beispiel die Auswahl für die Kontrolle von Umsätzen zuweist, wobei der Buchhalter den manuellen Vergleich der Umsätze (je Periode) tätigt.
Prüfaktivitäten kehren in unterschiedlichen Zyklen wieder. Es gibt tägliche, wöchentliche, monatliche und jährlich durchzuführende Kontrollen. Im Bereich Buchhaltung sind monatliche Kontrollen wie „Buchungen überprüfen“, „Rückstellungen prüfen“ oder die „Umsatzsteuerverprobung“ zu tätigen. Die Kontrollaufgaben werden verantwortlichen Personen vorgelegt, Checklisten helfen bei der Durchführung. Das Ergebnis der Kontrollen wird in einem Prüfbericht festgehalten. In Prüfungen werden neben der Organisation der Kontrollen diese Berichte stichprobenartig gesichtet.
Eine weitere Einteilung kann nach „detektiven“ oder „präventiven“ Kontrollaktivitäten durchgeführt werden. „Präventive“ Kontrollen dienen der Verhinderung von Fehlern und Auslassungen und werden besonders bei Prozessen angewandt, die ein hohes Risiko in sich bergen. Die Kontrolle kann „manuell“ oder „automatisch“ geschehen. „Detektive“ Kontrollen dienen im Gegensatz dazu zur Aufdeckung und Korrektur von Fehlern. Eine solche Kontrollaktivität ist z. B. die Überprüfung der Abschreibungsmethode (AfA) im Rahmen des Jahresabschlusses, die der Buchhalter durchführt.
Geht man von der Reihenfolge der Kontrollen aus, kann man zwischen „primären“ und „sekundären“ Kontrollen unterscheiden, wobei „primäre“ Kontrollen am häufigsten genutzt werden, da „sekundäre“ Kontrollen dem Management nicht entscheidend genug sind und sich außerdem durch „primäre“ Kontrollen ersetzen lassen.
Als am risikoreichsten zu beurteilen sind Kontrollen, die über Nicht-Routineprozesse stattfinden, wie die Bewertung von Rückstellungen, da diese eine subjektive Komponente enthalten und am anfälligsten auf die Manipulation des Managements sind.[1]
IKS-Prinzipien
Grundlage eines Internen Kontrollsystems bilden folgende Prinzipien:
- Das Prinzip der Transparenz: Dieses Prinzip besagt, dass für Prozesse Sollkonzepte etabliert sein müssen, die es einem Außenstehenden ermöglichen zu beurteilen, inwieweit Beteiligte konform zu diesem Sollkonzept arbeiten. Gleichzeitig wird dadurch die Erwartungshaltung der Organisationsleitung definiert.
- Das Prinzip der Kontrollen: Dieses Prinzip besagt, dass in einem gut funktionierenden Kontrollsystem den die IKS-Ziele gefährdenden Risiken mittels prozessintegrierter und prozessunabhängiger Aktivitäten entgegengewirkt werden soll.
- Das Prinzip der Funktionstrennung: Dieses Prinzip besagt, dass vollziehende (z. B. Abwicklung von Einkäufen), verbuchende (z. B. Finanzbuchhaltung, Lagerbuchhaltung) und verwaltende (z. B. Lagerverwaltung) Tätigkeiten, die innerhalb eines Unternehmensprozesses (z. B. Einkaufsprozess verstanden als Prozess von der Bedarfsermittlung bis zum Zahlungsausgang) vorgenommen werden, nicht in einer Hand vereinigt sein sollen.
- Das Prinzip der Mindestinformation: Dieses Prinzip besagt, dass für Mitarbeiter nur diejenigen Informationen verfügbar sein sollen, die sie für ihre Arbeit brauchen. Dies schließt auch die entsprechenden Sicherungsmaßnahmen bei IT-Systemen mit ein.
Ziele von IKS
Interne Kontrollsysteme (IKS), hier beispielhaft das COSO-Modell[2], verfolgen folgende Ziele:
- Funktionsfähigkeit und Wirtschaftlichkeit von Geschäftsprozessen
- Zuverlässigkeit von betrieblichen[3] Informationen
- Vermögenssicherung
- Regeleinhaltung
Struktur von IKS
Das IKS ist ein die ganze Organisation – im Minimum die der Rechnungslegung direkt oder indirekt dienenden Geschäftsprozesse – umspannendes Netz, dessen Elemente („Knoten“) auf vielfältige Weise in die organisatorischen und technischen Abläufe eingebunden sind. Es wird bedarfsgerecht von der Leitung angeordnet bzw. eingerichtet und bezüglich seiner Funktionsfähigkeit und Wirksamkeit periodisch überprüft und angepasst. Interne Kontrolle ist keine Angelegenheit von Eigentümern oder Führungskräften allein, sondern wird vielfach auch von externen Stellen (Legislative, EU, Rechnungshöfe, Wirtschaftsprüfer, Versicherungen und Banken) gefordert.
Durch die Definition von Zielen (englisch: Control Objectives) und Kontrollen (Controls) zu ihrer Absicherung kann die Leitung den Gesamtbedarf an Kontrollen schrittweise ausloten. Das Erschaffen und Erhalten einer zuverlässig funktionierenden internen Kontrolle verlangt die Mitwirkung von Leitung, Führungskräften und Mitarbeitern auf allen Ebenen.
Trends und Aussichten von IKS
Studien belegen zunehmend den Trend in der Praxis, das Interne Kontrollsystem in das Governance, Risk & Compliance Management und in die Unternehmensplanung zu integrieren, um Synergieeffekte zu erreichen. Auch ist der zunehmende Einsatz von IT-Lösungen in der Praxis zu beobachten, wenngleich der Markt dafür immer noch sehr weit gestreut ist und sich dadurch noch nicht einige wenige Standard-Lösungen durchgesetzt haben.
Bedeutung der Internen Kontrollen in Bezug auf die Finanzberichterstattung
(Interne Kontrolle über die Finanzberichterstattung), kurz ICoFR, hat insbesondere im Rahmen der Umsetzung des Sarbanes Oxley-Actes (SOX) zunehmende Bedeutung erlangt und sind seit je her ein wichtiger Bestandteil des IKS.
Dies wird unter anderem im deutschen IDW Prüfungsstandard 261 (Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261)) adressiert, welcher IDW PS 260 ersetzt. Des Weiteren referenziert der Prüfungsstandard 261 weitere Standards des IDW (PS 200, PS 210, PS 230, PS 240, PS 250, PS 300, PS 321) bzgl. der Ausprägung verfahrenstechnischer Fragen bei der Abschlussprüfung zur Berichterstattung über die Abschlussprüfung (PS 400, PS 450, PS 470) sowie den IDW PS 330 zur Prüfung des Einsatzes von Informationstechnologie zur Rechnungslegung.
Der IDW PS 261 hat in Form des IDW PS 951 eine Ergänzung (in Kraft seit 9/2007) erhalten, die die zusätzlichen Anforderungen an das Interne Kontrollsystem bei Auslagerung (beim auslagernden Unternehmen sowie beim Dienstleistungsunternehmen) im Rahmen der Abschlussprüfung betreffen.
In der Schweiz erfordern u. a. Bestimmungen des Aktienrechts (OR 728a und 728b:2006) ein funktionsfähiges Internes Kontrollsystem.
Das US-amerikanische Modell der Finanzberichterstattung
Definiert ist Interne Kontrolle über die Finanzberichterstattung in diesem Zusammenhang als
- ein Prozess, der hinreichend Sicherheit bezüglich der Zuverlässigkeit der Finanzberichterstattung bei Anwendung allgemein anerkannter Regeln der Finanzberichterstattung gibt
Abgedeckt werden sollen dabei:
- Sachgerechte und faire Berücksichtigung von Geschäftsvorfällen
- Die Genehmigung aufgezeichneter Geschäftsvorfälle
- Verhindern und Aufdecken betrügerischer Handlungen, die wesentliche Auswirkungen auf die Finanzberichterstattung haben könnten
Im Rahmen des Sarbanes Oxley-Actes (SOX) werden die Führungskräfte eines Unternehmens explizit dazu verpflichtet
- wirksame Kontrollen über die Finanzberichterstattung (ICoFR) einzurichten
- die Funktionsfähigkeit der internen Kontrollen über die Finanzberichterstattung unter zu Grunde legen angemessener Kriterien (z. B. der COSO-Standards) zu beurteilen
- für externe Prüfer Nachweise und Dokumentationen zu erstellen, anhand derer diese die Kontrollen beurteilen und nachprüfen können
- zum Ende des Geschäftsjahres eine schriftliche Beurteilung über die Funktionsfähigkeit der Kontrollen abzugeben
Siehe auch
- Securities and Exchange Commission (US-Börsenaufsichtsbehörde)
Anmerkungen
- ↑ Bungartz, Oliver: Handbuch Interne Kontrollsysteme (IKS) – Steuerung und Überwachung von Unternehmen. Erich Schmidt Verlag, Berlin, 2011, S. 58 ff.
- ↑ Committee of Sponsoring Organizations of the Treadway Commission (COSO) (Hrsg.): Internal Control – Integrated Framework. 2. Aufl. AICPA, Jersey NY 1994.
- ↑ Die in COSO I vorgesehene Einschränkung auf finanzwirtschaftliche Informationen wurde in den späteren COSO-Modellen fallen gelassen.