Internes Kontrollsystem (IKS)

Unternehmen sind einer Vielzahl von Risiken ausgesetzt, die die Erreichung der Unternehmensziele in Übereinstimmung mit der von der Unternehmensleitung festgelegten Geschäftsstrategie gefährden können. Unternehmensrisiken können finanzielle, rechtliche, leistungswirtschaftliche oder strategische Risiken sein. Risikobeurteilungen erkennen solche Risiken und analysieren diese. Sorgfältige Risikobeurteilungen sind die Grundlage für die Entscheidungen der Unternehmensleitung über den Umgang mit den Risiken unternehmerischer Betätigung.  

Kontrollaktivitäten sind Grundsätze und Verfahren, die sicherstellen sollen, dass die Entscheidungen der Unternehmensleitung beachtet werden. Sie tragen dazu bei, dass notwendige Maßnahmen getroffen werden, um den Unternehmensrisiken zu begegnen. Auf allen Ebenen und Funktionen eines Unternehmens existieren Kontrollaktivitäten. In der Regel beinhalten sie zwei Elemente: Eine Richtlinie zur Etablierung von Soll-Vorgaben und Verfahren zur Umsetzung der Richtlinie.  

Information und Kommunikation dienen dazu, dass die für die unternehmerischen Entscheidungen der Unternehmensleitung erforderlichen Informationen in geeigneter und zeitgerechter Form eingeholt, aufbereitet und an die zuständigen Stellen im Unternehmen weitergeleitet werden. Dies umfasst u.a. die Information der Mitarbeiter über Aufgaben und Verantwortlichkeiten im internen Kontrollsystem.

Ein internes Kontrollsystem besteht aus:

  • Regelungen zur Steuerung der Unternehmensaktivitäten (Internes Steuerungssystem)
  • Regelungen zur Überwachung der Einhaltung dieser Regelungen (Internes Überwachungssystem)  

Diese Regelungen sollen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften beitragen.

Regelungsbereiche eines IKS

Das interne Überwachungssystem beinhaltet zum einen prozessintegrierte Überwachungsmaßnahmen (Organisatorische Sicherungsmaßnahmen und Kontrollen). Organisatorische Sicherungsmaßnahmen werden durch laufende, automatische Einrichtungen wahrgenommen. Sie umfassen Fehler verhindernde Maßnahmen, die sowohl in die Aufbau- als auch die Ablauforganisation eines Unternehmens integriert sind und ein vorgegebenes Sicherheitsniveau gewährleisten sollen (z. B. Funktionstrennung, Zugriffsbeschränkungen im IT-Bereich, Zahlungsrichtlinien).  

Kontrollen erfolgen durch Maßnahmen, die in den Arbeitsablauf integriert sind. Kontrollen können fallweise und manuell vorgenommen werden, sie können aber auch systematisiert sein und sollten nach Möglichkeit programmiert und damit zwangsläufig sein. Kontrollen sollen die Wahrscheinlichkeit für das Auftreten von Fehlern in den Arbeitsabläufen vermindern bzw. aufgetretene Fehler aufdecken (z. B. Überprüfung der Vollständigkeit und Richtigkeit von erhaltenen oder weitergegebenen Daten, manuelle Soll/Ist-Vergleiche, programmierte Plausibilitätsprüfungen in der Software).

Prozessunabhängige Überwachungsmaßnahmen werden insbesondere durch die Interne Revision durchgeführt. Zudem werden sonstige prozessunabhängige Überwachungsmaßnahmen in Form von übergreifenden Kontrollen auf oberster Ebene (sog. High Level Controls), die im besonderen Auftrag der gesetzlichen Vertreter oder durch diese selbst vorgenommen werden.

Die Ausgestaltung des internen Kontrollsystems erfolgt anhand unternehmenspezifischer Merkmale wie z. B.: 

  • Größe und Komplexität des Unternehmens;
  • Rechtsform und Organisation des Unternehmens;
  • Art der Geschäftstätigkeit des Unternehmens; Komplexität und Diversifikation der Geschäftstätigkeit;
  • Methoden der Erfassung, Verarbeitung, Aufbewahrung und Sicherung von Informationen sowie
  • Art und Umfang der zu beachtenden rechtlichen Vorschriften.  

Zielkategorien, die durch den Prozess des internen Kontrollsystems mit hinreichender Sicherheit gewährleistet werden:

  • Effektivität und Effizienz der Geschäftsprozesse
  • Verlässlichkeit der Berichterstattung
  • Einhaltung der gültigen Gesetze und Vorschriften 

Mehrwert und Grenzen eines IKS  

Das IKS hilft einem Unternehmen, seine Entwicklungs- und Profitabilitätsziele zu erreichen und einen Verlust an Ressourcen zu vermeiden. Es unterstützt die Sicherstellung einer verlässlichen finanziellen Berichterstattung sowie die Einhaltung von Gesetzen und Vorschriften zur Vermeidung von Reputationsschäden und anderen Konsequenzen.  

Jedoch kann auch ein sachgerecht gestaltetes IKS nicht in jedem Fall gewährleisten, dass die Unternehmensziele erreicht werden. Gründe können sein:

  • Menschliche Fehlleistungen;
  • Nicht routinemäßige Geschäftsvorfälle, die vom IKS schwer oder gar nicht erfasst werden können;
  • Umgehung oder Außerkraftsetzung des IKS durch die Unternehmensleitung;
  • Missbrauch oder Vernachlässigung der Verantwortung durch für bestimmte Kontrollen verantwortliche Personen;
  • Zeitweise Unwirksamkeit des IKS aufgrund veränderter Unternehmens- und Umweltbedingungen.  

Insbesonders ergibt sich der Mehrwert eines IKS aus den Ergebnissen der Prozessoptimierung sowie der Identifizierung operativer Schwachstellen innerhalb der Prozesse. Zudem erhöht sich das Risikobewusstsein auf Mitarbeiterebene, das wiederum zur Aufdeckung und Vermeidung von Fehlerquellen im Unternehmen beiträgt.