Internes Kontrollsystem (IKS) – Prinzipien, Einsatzbereiche und Anwendungsbeispiele

13 Nov Internes Kontrollsystem (IKS) – Prinzipien, Einsatzbereiche und Anwendungsbeispiele

Das Interne Kontrollsystem (IKS) dient der Einhaltung von Richtlinien, sowie der Abwehr von Schäden in Unternehmen. Diese könnten sowohl durch die Unachtsamkeit der eigenen Mitarbeiter als auch durch die Böswilligkeit Dritter hervorgerufen werden.

 

Die Einführung interner Kontrollsysteme (IKS) ist nicht nur in vielen Bereichen bereits gesetzlich EU-weit für Rechnungshöfe, Versicherungen und Banken vorgeschrieben, sie betrifft spätestens seit Inkrafttreten der EU-DSVGO im Mai 2018 alle, die Kundendaten prozessieren, speichern oder verwalten.

 

Zusätzlich wurde das Potenzial der internen Kontrollen zur Prozessoptimierung innerhalb der Unternehmens- und Betriebsabläufe erkannt. Dass interne Kontrollen erfolgen, wird zusätzlich durch externe Prüfungen in Audits und zu verschiedenen Zertifizierungsprozessen bestätigt, um gegenüber Kunden transparent die Einhaltung des unternehmensspezifischen Code of Conduct und Compliance-Vorgaben nachweisen zu können.

 

Verantwortliche und Haftung für interne Kontrollsysteme

 

Kommt es zu einem Schadensfall, wird immer hinterfragt, warum das bestehende Kontrollsystem den Vorfall nicht verhindern konnte. Verantwortlich für die Einhaltung der von Unternehmen einzuhaltenden oder vorgegebenen Maßnahmen und Prinzipien der Kontrollsysteme und ihrer Überwachung sind zunächst in der Regel deren Eigentümer und Führungskräfte. Die Pflichten jedes Verantwortlichen ergeben sich sowohl aus dem Gesetz als auch dem Dienstvertrag.

 

Verschiedene Gerichtsurteile haben gezeigt, dass das Management und seine Vertreter erheblichen Haftungsrisiken (Bußgelder, Strafen, Schadensersatzansprüche) ausgesetzt sein können: Etwa, wenn nachgewiesen wird, dass ein unzureichend funktionierendes IKS Schäden oder ein operatives oder finanzielles Unternehmensrisiko verursacht haben könnten.

 

Die Kompetenzen und Prinzipien des idealen IKS

 

Ein Internes Kontrollsystem hat mindestens fünf Kernkomponenten:

 

• Information und Kommunikation
• Überwachungsaktivitäten
• Kontrollumfeld
• Kontrollaktivitäten
• Risikoassessment

 

Da das IKS alle Abläufe einer Organisation umfasst, sind die IKS-Prozesse in alle organisatorischen und technischen Abläufe eingebunden und durch ihre Prinzipien strukturiert. Alle gebräuchlichen internen Kontrollsysteme folgen mindestens vier Prinzipien:

 

Transparenz

 

Damit Kontrolle funktioniert, muss zunächst ein Sollkonzept etabliert sein. Nur so kann ein Außenstehender einen vorgefundenen Ist-Zustand – als Ablauf bestimmter Prozesse – bewerten und beurteilen, ob alle Beteiligten konform zum Sollkonzept arbeiten. Das Sollkonzept definiert die Erwartungshaltung der Organisationsleitung an die Funktionalität und Gesetzmäßigkeit aller internen Abläufe.

 

Kontrollen

 

Damit das IKS funktioniert, müssen (potenzielle) Risiken mittels prozessintegrierter und prozessunabhängiger Kontrollen ausgeschaltet werden.

 

Funktionstrennung

 

Alle Zuständigkeiten müssen klar zugewiesen und verteilt sein. Beispielsweise sollen Entscheider-, Buchhaltungs– und Administrationsaufgaben innerhalb der Unternehmensprozesse unabhängig voneinander ablaufen. Damit sind sie auch redundant operativ und lassen sich wechselseitig kontrollieren.

 

Mindestinformation

 

Mitarbeiter sollen nur über die notwendigen Informationen für ihre Arbeitsprozesse verfügen. Das dient insbesondere der Einhaltung und Gewährleistung von Sicherungsstandards und Sicherungsmaßnahmen bei der Inbetriebnahme, Nutzung und Instandhaltung von IT-Systemen und Datenbankarchitekturen.

 

Das jeweilige IKS wird von der Führungsebene des Unternehmens angeordnet und von dazu bestimmten Verantwortlichen implementiert. Es liegt in ihrer Verantwortung, dessen Funktionsfähigkeit und Effizienz in regelmäßigen Abständen zu überprüfen und gegebenenfalls anzupassen.

 

IKS – Kontrollen

 

In welchen Abständen Kontrollen des IKS durchgeführt werden, bestimmt das Gesetz oder das Unternehmen. Finden die Kontrollen nicht in periodisch wiederkehrenden Zyklen statt, wird eine Kontrolle meist aus einem aktuellen, gegebenen Anlass, als Reaktion auf eine Krisensituation oder zur Erstellung eines Risikoszenarios durchgeführt.

 

Prüfungsinhalte einer Revision des IKS

 

Diese Fragen werden bei der Prüfung des IKS durch die Verantwortlichen beziehungsweise externe Prüfer gestellt:

 

• Wer überwacht die Einhaltung der Anforderungen des IKS und wie?
  (Wer hat Zutritt zu welchen Räumen? / Wer hat Zugriff auf Software oder auf bestimmte technische Geräte? / Wie werden Zutritts- und Zugriffsmöglichkeiten beschränkt, Rechte zugewiesen und Pflichten eingehalten?)

 

• Wie prüft das Unternehmen die Funktionsfähigkeit des IKS in ihren jeweiligen Bereichen und Aufgaben?

 

• Verfügen alle Mitarbeiter über die notwendigen Informationen zum IKS und den durchgeführten Kontrollen?

 

• Entsprechen die Kommunikationsabläufe den Prinzipien des IKS? (Wie ergehen Weisungen und wie vertraulich ist der Umgang mit Betriebsgeheimnissen? / Wie werden Vorgaben und Kommunikationsrichtlinien bei der Zusammenarbeit mit der Öffentlichkeit und Presse oder dem Risiko- und Krisenmanagement eingehalten oder in Krisenszenarios kommunikativ vorbereitet?)

 

• Erfolgen Prozesskontrollen nach den IKS-Prinzipien? (Arbeiten Mitarbeiter des Unternehmens nach dem Vier-Augen– Prinzip / dem Prinzip der Mindestinformation?)

 

• Welche organisatorischen Sicherungsmaßnahmen oder Kontrollen zur Einhaltung aller Unternehmensvorgaben bezüglich seiner Einrichtungen, Räumen und Anlagen, eingesetzter Geräte oder ihres Code of Conduct führt die Organisation durch?

 

• Ist eine Qualifizierung der Mitarbeiter erfolgt, damit sie den Prinzipien und sich ergebenden Vorgaben des IKS folgen können?

 

• Wie regelmäßig finden interne/externe Supervisionen oder Kontrollen und deren Dokumentation statt?

 

• Entspricht die Dokumentation den geltenden gesetzlichen Vorgaben? Kann die Dokumentation auch prozessunabhängigenKontrollen (einer Revision, nationalem Aktionärs- oder Wirtschaftsrecht, bestimmten Genehmigungsrichtlinien etc.) standhalten?

 

Alle Kontrollmaßnahmen werden prozessunabhängig und retrospektiv (Revision) durchgeführt oder sind Grundlage für präventive Regeln. Je nach gesetzlicher oder unternehmensinterner Vorgabe finden Kontrollen auf Tagesbasis, wöchentlich, monatlich oder jährlich statt.

 

Manuelle und automatisierte Kontrolle des IKS

 

Die häufigsten Kontrollen erfolgen automatisch bzw. systembasiert, ohne dass manuelle Eingriffe oder eine persönliche Interaktion im Unternehmen notwendig sind. Nach Abschluss ihrer Kontrollmaßnahmen erstellen die internen beziehungsweise externen Prüfer Berichte. Darin dokumentieren sie den Zustand und die Funktionalität des IKS und erbringen gegebenenfalls auch Nachweise für die Nicht-Einhaltung oder bestimmte Verstöße gegen Vorgaben des internen Kontrollsystems.

 

Am weitesten verbreitete IKS

 

Es gibt mehrere standardisierte, branchenspezifische Verfahren zur internen Kontrolle, die jeweils unterschiedliche Systeme einsetzen. Dazu zählen unter anderem die

 

• ICoFR zur internen Kontrolle der Finanzberichterstattung,
• IDW Prüfungsstandard (IDW PS),
• COSO zur internen Kontrolle der finanzwirtschaftlichen Funktionsfähigkeit, der Vermögenssicherung und Zuverlässigkeit betrieblicher Informationsverwaltung,
• das US-Kontrollsystem COBIT zur internen Kontrolle der IT-Infrastruktur.

 

Interne Kontrollsysteme zum Zweck effizienter Unternehmensführung

 

Wird das IKS nicht von Gesetzeswegen eingeführt und abgeprüft, dient es immer öfter zur Optimierung aller Unternehmensprozesse. Es gewährleistet und verbessert die Effizienz und Effektivität aller Betriebsprozesse.

 

Damit schützt das IKS die Vermögenswerte. Es soll den unternehmerischen Erfolg sichern und steigern und unterstützt die Rechnungsprüfung und alle Controlling-Vorgänge. So sichert das IKS die Verwirklichung der Unternehmensziele und –politik.

 

Fraud-Prevention und Fraud-Detection

 

Ein funktionierendes IKS soll vom Muster abweichenden Prozesse erkennen und bei der Detektierung möglicher Betrugsfälle unmittelbar reagieren, um Fraudfälle zu verhindern und jedwedes dubiose Vorkommen systematisch aufzudecken.

 

Der Nachweis der Einhaltung aller Prinzipien eines IKS kann im Bedarfsfall gegenüber Stakeholdern die eigenen Unternehmensentscheidungen rechtfertigen. Durch die Einführung und Überwachung der Funktionalität eines bestehenden Risikomanagementsystems (RMS) kann das IKS potenzielle, zukünftige Risiken prognostizieren, einschätzen und abwenden.

 

Interne Kontrollsysteme zum Zweck der Einhaltung von Vorgaben der EU-DSVGO

 

Im Zuge der Durchsetzung der EU-DSVGO ist es für Unternehmen noch wichtiger geworden, die Einhaltung aller Vorschriften zum Datenschutz nachzuhalten. Im Ernstfall muss das Unternehmen beweisen, dass Kundendaten vertraulich und nur für den vorgesehenen Zweck aufgenommen und gespeichert wurden.

 

Jeder Schritt der Datenerfassung und Weiterverarbeitung muss dem dafür Verantwortlichen zuzuordnen sein. Das Management muss für die Einhaltung aller Vorschriften durch Führungskräfte und Mitarbeiter auf allen Unternehmensebenen Rechnung tragen.

 

Datenschutz-Schulungen

 

Vorgaben zum sicheren Umgang mit sensiblen Daten müssen transparent vermittelt, der Umgang mit EDV-Systemen geübt und die Sicherheit und Gesetzmäßigkeit ihrer Eingabe nachgewiesen werden. Dazu muss ein Datenschutzbeauftragter bereitstehen.

 

Dieser gibt die gesetzlichen Vorgaben in Schulungen an Mitarbeiter weiter, prüft und sichert die Einhaltung der Datenschutzvorgaben und steht als Ansprechpartner für Auskünfte zur Sicherheit der Unternehmensdaten nach Außen zur Verfügung. Das betrifft den Umgang mit Passwörtern genau wie die Einhaltung von Zugriffsrechten zu Dateiarchiven sowie die Verwaltung der Zugangsrechte zu Serverräumen.

 

Zertifizierungs– und Auditionierungsverfahren

 

Unternehmen können eine Zertifizierung oder ein Prüfungsverfahren gegenüber unabhängigen Prüfstellen wünschen, weil sie diese freiwillig für ihre Kunden erbringen möchten. Geht diese Initiative für eine Prüfung des IKS zum Zweck der Verbesserung der Außenwahrnehmung eines Unternehmens gegenüber den Verbrauchern aus, lädt das Unternehmen zu einem Audit ein.

 

Dieses wird in vielen Fällen unangekündigt durch den beauftragten Prüfer durchgeführt. Das Ergebnis des Audits kann als Zertifizierung und Nachweis gegenüber Dritten vorgelegt und verlässlich damit geworben werden.