Was ist beim Aufbau eines Internen Kontrollsystems (IKS) zu beachten?
Ein effektives und effizientes internes Kontrollsystem, kurz IKS, ist kein Selbstläufer. Dessen Entwicklung und Umsetzung stellt Unternehmen regelmäßig vor große Herausforderungen.
Ein effektives und effizientes internes Kontrollsystem, kurz IKS, ist kein Selbstläufer. Dessen Entwicklung und Umsetzung stellt Unternehmen regelmäßig vor große Herausforderungen.
Nicht nur externe Einflüsse, wie sich ändernde regulatorische Anforderungen, sondern auch unternehmensinterne Faktoren üben großen Einfluss auf das interne Kontrollsystem aus. Sei es aufgrund des stärkeren Einsatzes von Technologien oder durch sich schnell verändernde Geschäftsmodelle, Regeln und Prozesse müssen sich flexibel anpassen lassen.
Gerade wegen allgegenwärtiger Veränderungen im geschäftlichen, betrieblichen und regulatorischen Umfeld, sollten die Vorteile des IKS wie eine erhöhte Sicherheit, mehr Transparenz und letztendlich eine gesteigerte Effizienz überwiegen.
Was ist ein IKS?
IKS steht für Internes Kontrollsystem und umfasst von der Unternehmensführung implementierte Richtlinien, Prozesse und Maßnahmen, um das Erreichen der Unternehmensziele zu gewährleisten. Damit sollen Fehlverhalten sowie kriminelle Handlungen verhindert werden.
Um die Wirksamkeit des internes Kontrollsystems zu gewährleisten, besteht es aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem).
Grundsätze für Prozesse eines internen Kontrollsystems
Die folgenden fünf Grundsätze helfen Ihnen dabei, ein IKS in Ihrem Unternehmen erfolgreich einzusetzen.
Aufbau einer internen Kontrolle ist unternehmensabhängig
Beim Aufbau einer internen Kontrolle ist ein linearer Prozess nicht zielführend. Stattdessen ist eine dynamische Verfahrensweise notwendig. Es existiert keine starre Vorlage, die in jedem Unternehmen angewendet werden kann.
Eine große Organisationen wird im Gegensatz zu einem kleineren Unternehmen mehr Verfahren und ein umfassenderes Regelwerk formulieren. Trotzdem können beide effektive interne Kontrollen implementieren.
Menschliches Urteilsvermögen der Geschäftsführung ist gefragt
Wie viel interne Kontrolle notwendig ist, entscheidet letztendlich das Management jedes Unternehmens selbst. Täglich überwacht und beurteilt die Geschäftsleitung die laufenden Verfahren. Doch nicht nur sie, auch die interne Revision und beteiligte Mitarbeiter handeln nach menschlichem Ermessen.
Flexible und integrierte Prozesse
Interne Kontrollen sind nur dann wirkungsvoll, wenn sie sich fortlaufend an die Unternehmensrealität anpassen lassen. Die Verfahren sind als dynamische Prozesse zu verstehen.
Sie müssen sich im Unternehmensalltag flexibel im gesamten Unternehmen oder Teilbereichen anwenden lassen.
IKS als Teil der Unternehmenskultur
Die interne Kontrolle wird auf allen Ebenen von den Handlungen der Mitarbeiter beeinflusst. Daher ist es notwendig, Richtlinien und Maßnahmen des IKS fest im Unternehmensalltag zu verankern.
Absolute Sicherheit ist nicht möglich
Auch das aufwendigste System ist nicht in der Lage, der Unternehmensführung eine absolute Sicherheit zu garantieren. Stattdessen kann nur eine hinreichende Sicherheit erwartet werden.
Empfehlungen zum Aufbau eines IKS
Einigen Sie sich auf aufsichtsrechtliche Ziele, die ohne Vorgabe eines konkreten Umsetzungsweges anhand eines prinzipienorientierten Ansatzes erreicht werden. Auf diese Weise bleibt bei der Umsetzung der internen Kontrolle ausreichend Flexibilität für alle Beteiligten.
Inhärentes Ziel eines Kontrollsystems ist die Minimierung von Risiken. Interne Kontrollen, die sich als ungeeignet erweisen, sollten in Frage gestellt bzw. entfernt werden. Nur effiziente Kontrollen haben einen Nutzen für das Erreichen der Unternehmensziele.
Planen Sie Kapazitäten ein, um alle internen Kontrollen stetig zu überwachen und auf einem aktuellen Stand zu halten.
Sie müssen gewährleisten, dass Ihre Mitarbeiter alle für sie relevanten Informationen über das interne Kontrollsystem und damit verbundene Maßnahmen erhalten.
Darüberhinaus ist es erforderlich, dass Sie das IKS im Unternehmensalltag etablieren und es sich nahtlos in bestehende Prozesse einfügt. Das Kontrollsystem wird von den einzelnen Mitarbeitern und deren Verhalten getragen.
Was gehört zum Internen Kontrollsystem?
Eine gängige Definition stammt vom COSO-Modell „Internal Control – Integrated Framework“ (Committee of Sponsoring Organizations of the Treadway Commission). Es besagt, dass ein internes Kontrollsystem aus den fünf Komponenten Kontrollumfeld, Risikobewertung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachungsmaßnahmen besteht.
Das Modell zielt auf vier Zielkategorien ab:
Strategische Ziele (Strategic): Übergeordnete Ziele des Unternehmens
Operative Ziele (Operations): Operative Effektivität und Effizienz
Berichterstattungsziele (Reporting): Sicherer Informationsfluss
Compliance-Ziele (Compliance): Einhaltung von gesetzlichen Vorgaben
Die Komponenten werden im COSO-Modell von 2013 durch 17 Prinzipien ergänzt, mit denen die Ziele und Vorgaben genauer definiert werden.
Kontrollumfeld (Control Environment)
1. Bekennt sich zu Integrität und ethischen Werten
2. Nimmt Aufsichtspflichten wahr
3. Schafft Strukturen und legt Verantwortung und Zuständigkeiten fest
4. Bekennt sich zu Kompetenz
5. Fordert Verantwortung und Rechenschaftspflicht ein
Das Kontrollumfeld ist die Grundlage der Funktionsfähigkeit eines internen Kontrollsystems. Es besteht aus allen Standards, Prozessen und Strukturen, die für die Durchführung von Kontrollen im Unternehmen notwendig sind.
Neben den Grundwerte nach denen die Organisation arbeitet, beinhaltet es außerdem die Organisationsstruktur und die Verteilung von Befugnissen und Verantwortlichkeiten.
Zur Etablierung eines internen Kontrollsystems umfasst es auch die Kriterien, mit deren Hilfe der Vorstand und die Geschäftsführung ihre Pflichten wahrnehmen.
Risikobewertung (Risk Assessment)
6. Legt angemessene Ziele fest
7. Identifiziert und analysiert bestehende Risiken
8. Bewertet Betrugsrisiken
9. Identifiziert und analysiert wesentliche Veränderungen
Prozesse zur Identifizierung und Risikobewertung sind dynamisch und iterativ. Alle Unternehmen werden mit internen und externen Risiken konfrontiert, die eine Gefahr für die Erreichung der Unternehmensziele darstellen.
Jeder Bereich einer Organisation wird bei der Risikobewertung berücksichtigt und im Hinblick auf eine mögliche Risikobewältigung überprüft.
Kontrollaktivitäten (Control Activities)
10. Legt fest und entwickelt Kontrollaktivitäten
11. Legt fest und Entwicklung allgemeiner IT– Kontrollen
12. Setzt Richtlinien und Verfahren ein
Unter Kontrollaktivitäten werden technische und organisatorische Verfahren und Maßnahmen zum Umgang mit Risiken verstanden, die im gesamten Unternehmen ausgeführt werden.
Es wird unterschieden in präventive und aufdeckende sowie in manuelle und automatisierte Aktivitäten. Hierzu zählen u.a. manuelle Kontrollen in Geschäftsprozessen und automatisierte Kontrollen in IT-Anwendungen.
Eine organisatorische Maßnahme ist das Verfassen von Richtlinien und Handlungsanweisungen für Mitarbeiter, etwa eine Nutzungsvereinbarung für eine Firmenkreditkarte. Technische Vorkehrungen werden in Bezug auf Kreditkarten mit einem effektiven Kartenmanagement und vielen weiteren Funktionen sichergestellt.
Information und Kommunikation (Information and Communication)
13. Verwendet relevante Informationen
14. Kommuniziert intern
15. Kommuniziert extern
Ein Unternehmen benötigt für eine effektive Kontrolle alle relevanten Informationen. Die eingesetzten Informationssysteme müssen die Anforderungen an die zu verarbeitenden Daten erfüllen. Das Funktionieren der anderen Komponenten ist abhängig von der Nutzung relevanter und qualitativer Daten aus internen und externen Quellen.
Unter Kommunikation werden wiederkehrende Prozesse zur Sammlung, Aufbereitung und der Verteilung wichtiger Informationen zusammengefasst.
Überwachungsmaßnahmen (Monitoring Activities)
16. Führt laufende (prozessintegrierte) und/oder getrennte Überprüfungen durch
17. Beurteilt und kommuniziert Mängel
Sind alle Komponenten der internen Kontrolle vollständig vorhanden und sind diese funktionsfähig? Diese Frage beantworten fortlaufende und separate Audits der Geschäftsprozesse.
Laufende Bewertungen liefern zeitnahe Informationen, da sie in die Geschäftsprozesse auf verschiedenen Ebenen der Einheit integriert sind.
Separate, regelmäßig durchgeführte Bewertungen unterscheiden sich in jedem Unternehmen in Umfang und Häufigkeit entsprechend der Risikobewertung, der erzielten Wirksamkeit der laufenden Bewertungen und weiteren Überlegungen der Geschäftsleitung.
Wann ist ein IKS Pflicht?
In Deutschland besteht für viele Kapitalgesellschaften eine gesetzliche Pflicht zur Einrichtung und Überwachung eines IKS:
"Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden."
Für den Aufsichtsrat gehen damit Haftungsrisiken gemäß § 93 Abs. 2 i.V.m. § 116 AktG einher:
Aktiengesetz § 93 Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder
Aktiengesetz § 116 Sorgfaltspflicht und Verantwortlichkeit der Aufsichtsratsmitglieder
In Österreich ist der Vorstand einer Kapitalgesellschaft ebenfalls nach § 82 Aktiengesetz (AktG) dazu verpflichtet, ein internes Kontrollsystem zu führen.
