Überblick: Internes Kontrollsystem (IKS)
Das Interne Kontrollsystem (IKS) ist ein wichtiges Führungsinstrument eines Unternehmens. Es umfasst den Organisationsplan, die Einrichtungen und die Gesamtheit aller aufeinander abgestimmten innerbetrieblichen Grundsätze, Verfahren und Maßnahmen.
Ein wirksames IKS muss auf das einzelne Unternehmen und dessen Risikoprofil zugeschnitten sein. Die Kosten der Kontrollen müssen dem Nutzen gegenübergestellt werden. Ziel ist es, die Risiken auf ein für das Unternehmen tragbares Niveau zu reduzieren.
Ziele des IKS
Das IKS verfolgt folgende übergeordnete Ziele:
Einhaltung der maßgeblichen rechtlichen Vorschriften und der vorgeschriebenen Geschäftspolitik
Gewährleistung der Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung
Sicherung und Erhöhung des Wirkungsgrads der betrieblichen Prozesse
Schutz des Vermögens und der Informationen
Komponenten des IKS
Das IKS besteht aus fünf Komponenten, die in wechselseitiger Beziehung zueinander stehen (gemäß IDW Prüfungsstandard PS 260):
Kontrollumfeld: Grundeinstellungen, Problembewusstsein und Unternehmenskultur
Risikobeurteilungen: Erkennung und Analyse von Unternehmensrisiken
Kontrollaktivitäten: Grundsätze, Verfahren und Maßnahmen
Information und Kommunikation: Richtlinien, Handbücher, Rechnungslegung und Berichte
Überwachung des IKS: Beurteilung der Wirksamkeit des gesamten Systems
Aufgaben des IKS
Sicherstellung der gesetzlich geforderten Ordnungsmäßigkeit der Buchführung und DV-gestützten Anwendungssysteme
Schutz von Vermögenswerten
Einhaltung der Geschäftspolitik und Unternehmensstrategie
Wirtschaftlichkeit und Transparenz der Arbeitsabläufe
Erhöhung der Informationsqualität durch genaue, aussagefähige und zeitnahe Aufzeichnungen
Fehlerprävention und Fehleraufdeckung
Verhinderung doloser Handlungen und Rechnungslegungsdelikte
Anforderungen an ein IKS
Zwangsläufigkeit von Arbeitsabläufen
Funktionstrennung
Kontrollmaßnahmen
Realisierung des Vier-Augen-Prinzips
Dokumentation der Prozesse
Angemessenheit der vorgesehenen Maßnahmen
Regelungsbereiche des IKS
Organisatorische Sicherungsmaßnahmen
Organisatorische Sicherungsmaßnahmen werden durch laufende, automatische Einrichtungen vorgenommen und in die Aufbau- und Ablauforganisation integriert. Sie sollen Fehler verhindern und eine vorgegebene Sicherheit gewährleisten.
Grundsatz der Funktionstrennung
Ein und dieselbe Person oder Stellengruppe sollte grundsätzlich nie alle Phasen eines Geschäftsvorfalls alleine durchführen und kontrollieren können. Konkret bedeutet das: Eine Person darf nicht gleichzeitig Entscheidungen über Vermögenswerte treffen, Belege ausstellen, Güter verwalten, Buchungen vornehmen und die eigene Arbeit selbst nachprüfen.
Die Funktionstrennung ist die wichtigste Voraussetzung für die Wirksamkeit organisatorischer Sicherungsmaßnahmen. Verwirklichen Sie sie nach Möglichkeit auf Abteilungsebene. Wird die Funktionstrennung aufgehoben (z. B. bei Dialog-Anwendungen), muss ein Äquivalent treten, etwa automatische Stichprobenverfahren oder nachgelagerte Kontrollen.
Sicherungsmaßnahmen in der EDV
Bei der Bearbeitung von Geschäftsvorfällen mit Hilfe der EDV achten Sie auf:
Zugriffsberechtigungen und -beschränkungen
Datenschutzmaßnahmen
Arbeitsanweisungen für die Dateneingabe und Eingabekontrolle
Regelungen für die Behandlung fehlerhafter Eingaben
Regelungen für Systementwicklung und -pflege
Sicherungsmaßnahmen durch Arbeitsanweisungen
Arbeitsanweisungen enthalten genaue Bezeichnungen der Arbeiten, deren personelle Zuordnung sowie Vorschriften zur Durchführung. Sie stellen sicher, dass betriebliche Vorgänge, die in großer Menge anfallen, einheitlich abgewickelt werden.
Innerbetriebliches Belegwesen
Das innerbetriebliche Belegwesen dient der identischen Bearbeitung gleichartiger Geschäftsvorfälle und der vollständigen Erfassung von Daten im betrieblichen Rechnungswesen. Es umfasst die Beleggestaltung, den Belegfluss und die Sicherung der Belegablage.
Kontrollen im Arbeitsablauf
Arbeitsgänge mit Risiken für Vermögens-, Informations- oder Wertverluste sollten nicht unkontrolliert bleiben. Kontrollen können dem zu kontrollierenden Arbeitsgang vorgeschaltet, gleichgeschaltet oder nachgeschaltet sein.
Bevorzugen Sie nach Möglichkeit vorgelagerte Kontrollen, da diese Fehler vor Beendigung des Arbeitsablaufs finden und verhindern können.
IT-Kontrollen
IT-Kontrollen umfassen zwei Bereiche:
Anwendungskontrollen: Unterstützen direkt Geschäftsprozesse, verhindern oder decken nicht autorisierte Transaktionen auf. Eine Kombination mit manuellen Kontrollen ist erforderlich.
Allgemeine Computerkontrollen: Durchdringende Kontrollen der IT-Umgebung, von denen Anwendungskontrollen abhängig sind. Dazu gehören IT-Umfeld, IT-Organisation, IT-Infrastruktur und Sicherheit, IT-Anwendungen und IT-Prozesse.
Risiken in Unternehmen
In der Aufbauorganisation
Unzureichende Kompetenzabstimmung
Unzureichende Funktionstrennung in der IT-Abteilung und im kaufmännischen Bereich
Abhängigkeit von einzelnen Mitarbeitern
In der Systementwicklung und -pflege
Nicht genehmigte, fehlerhafte oder manipulierte Programmänderungen, die zu Instabilität, Inkonsistenz oder fehlender Datenintegrität führen
Beim Datenfluss und der Datenerfassung
Unvollständige Datenerfassung oder -verarbeitung
Unautorisierte Veränderung von Daten
Fehlerhafte oder ausbleibende Datenübertragung an Schnittstellen
Bei der Verarbeitung
Unrichtige Datenverarbeitung
Fehleinstellungen von Tabellen und Parametern
Rückgriff auf eine fehlerhafte Stammdatenbasis
Bei der Verfahrensdokumentation
Abhängigkeit von den mit der DV beauftragten Personen
Keine Nachvollziehbarkeit der Verarbeitungsverfahren und Geschäftsvorfälle
Gesetzliche Grundlagen
Die Einrichtung eines IKS hat folgende rechtliche Grundlagen:
§ 317 Abs. 4 HGB: Bei börsennotierten Aktiengesellschaften muss im Rahmen der Prüfung beurteilt werden, ob das eingerichtete Überwachungssystem seine Aufgaben erfüllen kann.
§ 91 Abs. 2 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen und ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
§ 93 Abs. 2 AktG / § 43 Abs. 2 GmbHG: Mitglieder eines Geschäftsführungsorgans, die ihre Pflichten (z. B. durch unzureichende IKS-Einführung) verletzen, sind der Gesellschaft zum Schadensersatz verpflichtet. Es gilt die Beweislastumkehr.
Wichtig: Zur Vermeidung der Beweislastumkehr ist zwingend eine schriftliche Dokumentation des IKS erforderlich.
Ausgestaltung des IKS
Der Gesetzgeber regelt die konkrete Ausgestaltung nur in Grundzügen. Er hat keine Richtlinie erlassen, die Form und Umfang klar vorgibt. Wichtige Kriterien bei der Ausgestaltung sind:
Das Risikoprofil des Unternehmens
Die Komplexität der Geschäftsprozesse
Die Branche des Unternehmens
Die Wahrnehmung in der Öffentlichkeit
Ein IKS ist wirksam, wenn die vorgegebenen Kontrollen verlässlich implementiert, durchgeführt und überwacht werden. Eine angemessene Dokumentation stellt die Nachvollziehbarkeit sicher. Ein IKS ist effizient, wenn Kosten-Nutzen-Überlegungen in die Ausgestaltung einfließen und es konsequent an der Risikostruktur ausgerichtet ist.
Vorgehensmodell zur Realisierung
1. Bestandsaufnahme der Prozessorganisation
Aufnahme der Prozessorganisation im Geltungsbereich des IKS, einschließlich der Schnittstellen vor- und nachgelagerter Prozesse
Abstimmung mit der Geschäftsleitung und der definierten Unternehmensstrategie
Definition der Prozessverantwortlichen (Prozess-Owner)
Analyse vorhandener Risiken und Schwachstellen
2. Erarbeitung der Zielarchitektur
Herausarbeitung prozessintegrierter und prozessunabhängiger Überwachungsmaßnahmen
Aufteilung in abgrenzbare, überschaubare Kontrollbereiche
Abgrenzung der IKS-Bestandteile von anderen Systemen (z. B. Management-Informations-Systeme)
Bestimmung von Kontrollgremien und Verantwortlichkeiten, differenziert nach Planung, Steuerung und Kontrolle
3. Aufnahme und Bewertung
Bewertung der vorhandenen Planungs-, Steuerungs- und Überwachungselemente je Kontrollbereich
Prüfung der durch DV-Systeme unterstützten Abstimm- und Kontrollverfahren (Verprobung, Konsistenzprüfung, Datenübernahme-Prüfung)
Bewertung der Fehlerkontrollen und Plausibilitätsprüfungen
Überprüfung der Geschäftsverteilung, Funktionszuordnung und Verantwortungsabgrenzung einschließlich des Zugriffsberechtigungskonzepts
EU-Abschlussprüferrichtlinie
Die EU-Abschlussprüferrichtlinie (verabschiedet im Oktober 2005 durch ECOFIN) betrifft börsennotierte Unternehmen und den Berufsstand der Wirtschaftsprüfer.
Pflichten für Unternehmen
Einrichtung eines Prüfungsausschusses (Audit Committee)
Überwachung des Prozesses der Rechnungslegung und der Abschlussprüfung
Überwachung der Wirksamkeit der internen Kontrollen, der Innenrevision und des Risikomanagements
Überprüfung der Unabhängigkeit des Abschlussprüfers
Pflichten für Prüfer
Berichtspflicht über wichtigste gewonnene Tatsachen und Defizite bei den internen Kontrollen
Berichtspflicht über Unabhängigkeit und zusätzliche Leistungen
Relevante Normen und Standards
IDW PS 260 – Das interne Kontrollsystem im Rahmen der Abschlussprüfung
IDW PS 330 – Abschlussprüfung bei Einsatz von Informationssystemen
GoBS – Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme
IDW RS FAIT 1 – Ordnungsmäßige Buchführung bei Einsatz von Informationssystemen
IDW RS FAIT 2 – Ordnungsmäßige Buchführung bei Electronic Commerce
IDW RS FAIT 3 – Ordnungsmäßige Buchführung bei elektronischer Archivierung
CobiT – Control Objectives for Information and related Technology
§§ 238 f. und 257 HGB, §§ 145 bis 147 AO