IKS: Internes Kon­troll­sys­tem erklärt

Jedes Un­ter­neh­men möchte Risiken mi­ni­mie­ren. Unfälle, Fehler oder gar kri­mi­nel­le Hand­lun­gen sollten keinen Platz in Betrieben haben. Das gilt z. B. in puncto Ar­beits­schutz oder beim Schutz der Be­triebs­stät­ten gegen den un­be­fug­ten Zugriff durch Dritte. Während für diese recht hand­fes­ten Aspekte eben­sol­che Maßnahmen und Regeln umgesetzt werden können, ist das korrekte Fi­nanz­we­sen oder eine gute Ge­schäfts­füh­rung schwie­ri­ger si­cher­zu­stel­len. Deshalb eta­blie­ren viele Un­ter­neh­men ein internes Kon­troll­sys­tem (IKS). Es soll dafür sorgen, dass alles den vom Un­ter­neh­men ge­wünsch­ten Weg geht.

Die Ge­schäfts­füh­rung eines Un­ter­neh­mens kon­trol­liert in gewissem Rahmen die Mit­ar­bei­ter. Aber wer überprüft die Hand­lun­gen und Ent­schei­dun­gen der Ge­schäfts­füh­rung? Für diese und andere Teile des Betriebs kann ein internes Kon­troll­sys­tem die Si­cher­heit der Un­ter­neh­mung ver­bes­sern. Dabei sollen sowohl Fehler als auch kri­mi­nel­le Hand­lun­gen ver­hin­dert werden. Um die Risiken zu mi­ni­mie­ren, besteht ein IKS aus Regeln und Ar­beits­ab­läu­fen, die ein Fehl­ver­hal­ten so weit wie möglich ver­hin­dern sollen. Halten sich alle Mit­ar­bei­ter an diese Re­gu­la­ri­en, können Fehler kaum noch auftreten, und eine Miss­ach­tung der Regeln kann schnell fest­ge­stellt werden.

Die Kon­troll­me­cha­nis­men sind der zu über­wa­chen­den Arbeit vor-, gleich- oder nach­ge­schal­tet – abhängig von der Sinn­haf­tig­keit und den Mög­lich­kei­ten in jedem spe­zi­fi­schen Kontext. Die Be­son­der­heit liegt beim internen Kon­troll­sys­tem in der in­ner­be­trieb­li­chen Über­wa­chung. Statt wie bei anderen Konzepten Au­ßen­ste­hen­de als Kon­troll­in­stan­zen ein­zu­set­zen (bei­spiels­wei­se die Fi­nanz­auf­sicht oder Wirt­schafts­prü­fer), er­mög­licht ein gutes IKS den Mit­ar­bei­tern, sich ge­gen­sei­tig zu kon­trol­lie­ren.

Um ein wirksames internes Kon­troll­sys­tem zu eta­blie­ren, müssen Un­ter­neh­men zwei Bereiche bedenken: ein internes Steue­rungs­sys­tem und ein internes Über­wa­chungs­sys­tem. Die erste Kategorie befasst sich mit Regeln zur Steuerung des Un­ter­neh­mens. Die Über­wa­chung ist der auf­wen­di­ge­re und weiter ver­zweig­te Teil des IKS. Die Maßnahmen sollen so gut es geht au­to­ma­tisch ablaufen.

Im All­ge­mei­nen sollen interne Kon­troll­sys­te­me si­cher­stel­len, dass niemand im Un­ter­neh­men sich feh­ler­haft verhält, alle Prozesse ord­nungs­ge­mäß ablaufen und Kor­rup­ti­on sowie Wirt­schafts­kri­mi­na­li­tät ver­hin­dert werden. Der Auf­ga­ben­be­reich von IKS lässt sich aber auch noch kon­kre­ti­sie­ren:

• Ver­mö­gens­si­che­rung: Das vor­han­de­ne Vermögen soll gegen Verluste geschützt werden.
• Auf­zeich­nung: Alle Vorgänge müssen korrekt und zeitnah erfasst werden.
• Ver­bes­se­rung: Mithilfe der Auf­zeich­nun­gen können Prozesse ver­bes­sert werden.
• Re­gel­ein­hal­tung: Das System stellt sicher, dass alle Be­tei­lig­ten den Regeln folgen.

Um diese Ziele zu erreichen, setzt ein internes Kon­troll­sys­tem auf vier ver­schie­de­ne Prin­zi­pi­en:

• Funk­ti­ons­tren­nung: Es ist wichtig, dass voll­zie­hen­de (z. B. Einkauf), buch­hal­te­ri­sche (z. B. La­ger­buch­hal­tung) und ver­wal­ten­de (z. B. La­ger­ver­wal­tung) Funk­tio­nen innerhalb eines Un­ter­neh­mens­pro­zes­ses nicht von ein und derselben Person oder Gruppe durch­ge­führt werden.
   
• Kontrolle: Jeder wichtige Vorgang eines Mit­ar­bei­ters muss durch jemand anderen kon­trol­liert werden.
   
• Min­dest­in­for­ma­ti­on: Jeder Mit­ar­bei­ter sollte nur die In­for­ma­tio­nen erhalten, die für seine Aufgaben nötig sind, und nicht mehr.
   
• Trans­pa­renz: Mit einer klaren Vor­stel­lung vom Ide­al­zu­stand können auch Au­ßen­ste­hen­de be­ur­tei­len, ob Aufgaben korrekt durch­ge­führt werden.

Es gibt zwei Modelle, die immer wieder für interne Kon­troll­sys­te­me ein­ge­setzt werden und sehr er­folg­reich sind. Sie verbergen sich hinter den Akronymen COSO und COBIT.

COSO ist ei­gent­lich eine private US-ame­ri­ka­ni­sche Or­ga­ni­sa­ti­on, die sich der all­ge­mei­nen Ver­bes­se­rung von Un­ter­neh­mens­struk­tu­ren ver­schrie­ben hat. Das be­inhal­tet bei­spiels­wei­se Fragen der Ethik – aber eben auch vieles, was ein IKS erfasst. Deshalb hat die Or­ga­ni­sa­ti­on bereits in den 1990er-Jahren ein prak­ti­sches Rah­men­werk ent­wi­ckelt, das 2004 ein Update bekam.

Das Modell visiert vier ver­schie­de­ne Ka­te­go­rien an:

• Strategic: Über­ge­ord­ne­te Ziele der Ge­schäfts­tä­tig­keit
• Ope­ra­ti­ons: Ef­fi­zi­en­ter Einsatz von Res­sour­cen
• Reporting: Zu­ver­läs­si­ge Be­richt­erstat­tung
• Com­pli­ance: Ein­hal­tung von Gesetzen

Diese Ka­te­go­rien sind verzahnt mit fünf Kom­po­nen­ten:

• Kon­troll­um­feld: Diese Kom­po­nen­te befasst sich vor allem mit Ethik, Phi­lo­so­phie, Kom­pe­ten­zen, aber auch struk­tu­rel­len Aspekten des Un­ter­neh­mens. Das Kon­troll­um­feld besteht aus ver­schie­de­nen Standards zur Durch­füh­rung von Kon­trol­len. Außerdem werden Me­cha­nis­men benannt, die der Un­ter­neh­mens­füh­rung die Vergabe von Ver­ant­wort­lich­kei­ten er­mög­licht.
   
• Ri­si­ko­be­ur­tei­lung: Welche Risiken können für das Un­ter­neh­men entstehen? Die Ri­si­ko­be­ur­tei­lung findet auf Basis der konkreten Un­ter­neh­mens­zie­le statt. Alles, was das Erreichen der Ziele ver­hin­dern kann, wird als Risiko wahr­ge­nom­men.
   
• Kon­troll­ak­ti­vi­tä­ten: Diese Kom­po­nen­te befasst sich mit der Umsetzung von Kon­trol­len. Die Ent­schei­dun­gen und Soll-Vorgaben der Ge­schäfts­füh­rung müssen voll­um­fäng­lich aus­ge­führt werden. Für die Umsetzung werden spe­zi­fi­sche Verfahren ein­ge­setzt.
   
• In­for­ma­ti­on und Kom­mu­ni­ka­ti­on: Die Ver­brei­tung von In­for­ma­tio­nen sowie die interne und externe Kom­mu­ni­ka­ti­on werden durch diese Kom­po­nen­te bedacht. Für die In­for­ma­ti­ons­ver­mitt­lung kommen sowohl mündliche Berichte als auch Hand­bü­cher und nie­der­ge­schrie­be­ne Richt­li­ni­en in Frage.
   
• Über­wa­chung: Die Über­wa­chung bezieht sich auf die Be­ur­tei­lun­gen des Vorgehens. Dabei wird laufend oder re­gel­mä­ßig überprüft, inwieweit das IKS durch­ge­setzt wird und funk­tio­niert.

Alle Ka­te­go­rien beziehen sich auf alle Kom­po­nen­ten. Allesamt sollten auf jeder Ebene des Un­ter­neh­mens durch­ge­führt werden.

Ein weiteres Update des Rah­men­werks aus dem Jahr 2017 adres­siert neue Her­aus­for­de­run­gen, die mit der Di­gi­ta­li­sie­rung auf­ge­kom­men sind.

Das Framework des in­ter­na­tio­na­len Verbands der IT-Prüfer zielt auf die IT eines Un­ter­neh­mens ab. Während COSO also in erster Linie das Rech­nungs­we­sen und die Ge­schäfts­füh­rung im Fokus hat, befasst sich COBIT mit den tech­no­lo­gi­schen Struk­tu­ren innerhalb eines Un­ter­neh­mens. Dafür besteht COBIT (in der fünften Version) aus fünf Prin­zi­pi­en, sieben Ka­te­go­rien und 37 Prozessen in fünf Domänen.

Die fünf Prin­zi­pi­en von COBIT sind grund­le­gen­de Annahmen:

• Alle An­for­de­run­gen erfüllen: An­spruchs­grup­pen (Stake­hol­der) müssen alle Wünsche durch das System erfüllt bekommen. Zu diesem Prinzip gehört es also auch, Stake­hol­der zunächst zu de­fi­nie­ren.
   
• Das komplette Un­ter­neh­men abbilden: Damit es nicht zu In­for­ma­ti­ons­ver­lus­ten kommt, muss jeder Teil des Un­ter­neh­mens in das IKS in­te­griert sein – auch abseits von IT-Lösungen.
   
• Ein einziges Framework in­te­grie­ren: Damit COBIT möglichst effektiv funk­tio­niert, sollte man keine zwei Frame­works ne­ben­ein­an­der einsetzen. Zwei Systeme erhöhen nicht nur den Aufwand, es kommt so auch vermehrt zu Fehlern.
   
• Einen ganz­heit­li­chen Ansatz verfolgen: COBIT 5 greift in alle Prozesse eines Un­ter­neh­mens ein und er­mög­licht es so, Un­ter­neh­mens­zie­le ge­mein­schaft­lich zu erreichen.
   
• Über­wa­chung und Ma­nage­ment von­ein­an­der trennen: Ma­nage­ment und Über­wa­chung müssen in einem funk­tio­nie­ren­den internen Kon­troll­sys­tem deutlich von­ein­an­der getrennt sein, damit es nicht zu Fehl­ent­schei­dun­gen der aus­füh­ren­den Personen kommt.

Um er­folg­reich zu sein, verfolgt man in COBIT 5 sieben ver­schie­de­ne Enabler, die un­ter­ein­an­der verknüpft sind.

• Prin­zi­pi­en, Richt­li­ni­en und Rah­men­wer­te: Die ge­wünsch­ten Ziele werden in prak­ti­sche Aus­füh­run­gen übersetzt, um die tägliche Arbeit zu er­mög­li­chen.
   
• Prozesse: Dieser Enabler umfasst ein Set von Praktiken, mit denen die ge­steck­ten Ziele erreicht werden können.
   
• Or­ga­ni­sa­ti­ons­struk­tu­ren: Mit diesem Enabler wird ent­schie­den, wofür man unter den Mit­ar­bei­tern klare Rollen vergibt.
   
• Kultur, Ethik und Verhalten: Sowohl für das komplette Un­ter­neh­men als auch jeden einzelnen Mit­ar­bei­ter werden Ver­hal­tens­wei­sen ein­ge­führt, die die Kultur des Un­ter­neh­mens lang­fris­tig ver­bes­sern sollen.
   
• In­for­ma­ti­on: Damit korrekt mit In­for­ma­tio­nen – sowohl solchen, die aus dem Un­ter­neh­men stammen, als auch solchen, die von außen in die Or­ga­ni­sa­ti­on kommen – um­ge­gan­gen wird, gibt dieser Enabler Hinweise zu Qualität, Si­cher­heit und Zugang.
   
• Services, In­fra­struk­tur und An­wen­dun­gen: Dieser Punkt legt fest, welche Tech­no­lo­gien und An­wen­dun­gen ein­ge­setzt werden müssen, damit die IT ab­ge­si­chert ist und jederzeit be­reit­steht.
   
• Mit­ar­bei­ter, Fä­hig­kei­ten und Kom­pe­ten­zen: Das Niveau von Bildung und Qualität jedes Mit­ar­bei­ters ist wichtig, damit korrekte Ent­schei­dun­gen getroffen und kor­ri­gie­ren­de Hand­lun­gen durch­ge­führt werden können.

Die 37 von COBIT de­fi­nier­ten Prozesse wiederum beziehen sich auf konkrete An­wen­dungs­fäl­le in einem Un­ter­neh­men. Sie geben Hinweise, wie sich bestimmte Per­so­nen­grup­pen – COBIT un­ter­schei­det hier wieder zwischen Ma­nage­ment und Go­ver­nan­ce – in den spe­zi­fi­schen Si­tua­tio­nen verhalten sollen.

In den USA hat der Sarbanes Oaxley Act zur ver­pflich­ten­den Ein­rich­tung von internen Kon­troll­sys­te­men geführt. Aus­schlag­ge­bend waren Skandale rund um große Un­ter­neh­men wie Enron und Worldcom, die ihre Bilanzen nicht mit der ge­büh­ren­den Ehr­lich­keit erstellt hatten. Viele Praktiken in internen Kon­troll­sys­te­men (auch in­ter­na­tio­nal) sind von den in den USA ge­setz­lich vor­ge­schrie­be­nen An­for­de­run­gen des Sarbanes Oaxley Act ab­ge­lei­tet. Auch in Deutsch­land gibt es Gesetze, die ein IKS zwar nicht explizit benennen, aber die Effekte und Praktiken eines solchen Systems fordern.

Hier­zu­lan­de gibt es al­ler­dings nicht nur einen Ge­set­zes­text, der interne Kon­trol­len fordert, sondern mehrere. Zu nennen wären bei­spiels­wei­se § 315 II HGB, mehrere Pa­ra­gra­fen des Ak­ti­en­ge­set­zes (§ 91 II, § 93 I, § 107 III), § 91 II KonTraG oder § 25a KWG. Schon an den ver­schie­de­nen Ge­set­zes­tex­ten kann man erkennen, dass die An­for­de­run­gen z. T. von den Rechts­for­men der Un­ter­neh­men abhängen. Auch durch die Grund­sät­ze der ord­nungs­mä­ßi­gen Buch­füh­rung (GoB) oder die GoBD lassen sich Re­ge­lun­gen für ein internes Kon­troll­sys­tem ableiten.

Hinzu kommen noch andere of­fi­zi­el­le An­for­de­run­gen, die nicht ge­setz­lich sind, sondern von Or­ga­ni­sa­tio­nen erhoben werden. Hier sind in erster Linie die Standards des Instituts der Wirt­schafts­prü­fer (IDW) ent­schei­dend. Auf frei­wil­li­ger Basis kann man das IKS im eigenen Un­ter­neh­men auch vom IDW über­prü­fen lassen. Hierfür hat das Institut die „Grund­sät­ze ord­nungs­mä­ßi­ger Prüfung des internen Kon­troll­sys­tems des internen und externen Be­richts­we­sens“ (IDW PS 982) auf­ge­stellt.

In der Praxis wird ein IKS an die Umstände und An­for­de­run­gen eines Un­ter­neh­mens (oder auch einer Or­ga­ni­sa­ti­on bzw. Behörde) angepasst. Kein internes Kon­troll­sys­tem gleicht also einem anderen. Dabei ga­ran­tiert oft nicht in erster Linie die Do­ku­men­ta­ti­on sichere und klare Prozesse in einem Un­ter­neh­men, viel ent­schei­den­der sind oft die gelebte Un­ter­neh­mens­kul­tur und ver­in­ner­lich­te Ver­hal­tens­wei­sen. Das erfordert deutliche Signale der Un­ter­neh­mens­lei­tung an jeden einzelnen Mit­ar­bei­ter.

Andere Punkte wiederum funk­tio­nie­ren über genaue Auf­zeich­nun­gen. So kann si­cher­ge­stellt werden, dass Kon­troll­in­stan­zen die benötigte Einsicht haben, um das Ma­nage­ment (bzw. andere ent­spre­chen­de Bereiche eines Un­ter­neh­mens) zu über­wa­chen. Dies funk­tio­niert in Form von Berichten, die re­gel­mä­ßig, aber auch si­tua­ti­ons­be­dingt entstehen können. Natürlich ist besonders die de­tail­lier­te Fi­nanz­be­richt­erstat­tung von erhöhtem Interesse für ein internes Kon­troll­sys­tem.

Gerade für kleinere Un­ter­neh­men stellen IKS oftmals eine Her­aus­for­de­rung dar. Um ein solches Kon­troll­sys­tem er­folg­reich ein­zu­set­zen, bedarf es Personal, das die Kontrolle übernimmt. Da in kleineren Un­ter­neh­men aber oftmals viele ver­schie­de­ne Bereiche von nur einer oder zumindest wenigen Personen durch­ge­führt werden, fällt die Kontrolle schwer. Das wird noch verstärkt, wenn es bei­spiels­wei­se nur eine Person in der Un­ter­neh­mens­füh­rung gibt: Mit­ar­bei­ter müssten dann die Über­wa­chung des Ma­nage­ments über­neh­men, was sich in der Praxis als schwierig erweist.

Helfen kann ein Bottom-up-Konzept, bei dem erst nach und nach einzelne Aspekte in das IKS in­te­griert werden, bevor ein ganz­heit­li­ches System ein­ge­führt wird. Aus­gangs­punkt kann bei­spiels­wei­se das Rech­nungs­we­sen sein, für das jedes Un­ter­neh­men ohnehin bereits ein Be­richts­we­sen etabliert hat. Neben Selbst­dis­zi­plin hilft vor allem or­dent­li­che Do­ku­men­ta­ti­on, um auch in KMU ein er­folg­rei­ches IKS zu eta­blie­ren.

Un­ter­neh­mer kennen auch andere Kon­troll­sys­te­me, die sie viel­leicht schon in ihrem Betrieb etabliert haben oder für sich in Betracht ziehen. Hierzu gehört bei­spiels­wei­se das Ri­si­ko­ma­nage­ment­sys­tem (RMS). Man könnte annehmen, dass ein RMS und ein IKS identisch wären, schließ­lich befassen sich beide Systeme mit der Über­wa­chung des Un­ter­neh­mens und dem Umgang mit Risiken, doch es handelt sich um recht un­ter­schied­li­che Verfahren, wenn­gleich es auch Über­schnei­dun­gen gibt.

Das Ri­si­ko­ma­nage­ment dreht sich um komplexe Stra­te­gien der Un­ter­neh­mens­füh­rung und die Gefahren, die von solchen Ent­schei­dun­gen ausgehen können. Das interne Kon­troll­sys­tem zielt stärker auf die tat­säch­li­che Tätigkeit der Mit­ar­bei­ter und Ge­schäfts­füh­rer ab. Es wird hierbei beständig kon­trol­liert, ob sich alle an die Vorgaben halten – und diese Vorgaben verfolgt auch ein RMS. Das bedeutet erstens, dass Ri­si­ko­ma­nage­ment­sys­te­me und interne Kon­troll­sys­te­me Hand in Hand gehen, und zweitens, dass es sinnvoll ist, beide Systeme parallel im Un­ter­neh­men zu in­stal­lie­ren.

Auch ein Com­pli­ance-Ma­nage­ment-System (CMS) ist nicht de­ckungs­gleich mit einem der beiden anderen Systeme. Ein CMS soll ganz konkret rechts­wid­ri­ge Aktionen oder Praktiken ver­hin­dern. Auch dies sind ganz klar Risiken, doch eben nicht die einzigen. Man kann sich auch rechts­kon­form verhalten und trotzdem durch bestimmte Hand­lun­gen die Un­ter­neh­mung gefährden.

Die interne Revision – ein weiterer Begriff, der re­gel­mä­ßig im Kontext der Über­wa­chung eines Un­ter­neh­mens auftaucht – kann wiederum als Maßnahme eines IKS gesehen werden. Es handelt sich dabei um eine tie­fer­ge­stell­te Kategorie, wo­hin­ge­gen IKS, RMS und CMS gleich­ran­gig auf einer Ebene agieren.

Bitte beachten Sie den recht­li­chen Hinweis zu diesem Artikel.