IKS: Internes Kontrollsystem erklärt

Jedes Unternehmen möchte Risiken minimieren. Unfälle, Fehler oder gar kriminelle Handlungen sollten keinen Platz in Betrieben haben. Das gilt z. B. in puncto Arbeitsschutz oder beim Schutz der Betriebsstätten gegen den unbefugten Zugriff durch Dritte. Während für diese recht handfesten Aspekte ebensolche Maßnahmen und Regeln umgesetzt werden können, ist das korrekte Finanzwesen oder eine gute Geschäftsführung schwieriger sicherzustellen. Deshalb etablieren viele Unternehmen ein internes Kontrollsystem (IKS). Es soll dafür sorgen, dass alles den vom Unternehmen gewünschten Weg geht.

Die Geschäftsführung eines Unternehmens kontrolliert in gewissem Rahmen die Mitarbeiter. Aber wer überprüft die Handlungen und Entscheidungen der Geschäftsführung? Für diese und andere Teile des Betriebs kann ein internes Kontrollsystem die Sicherheit der Unternehmung verbessern. Dabei sollen sowohl Fehler als auch kriminelle Handlungen verhindert werden. Um die Risiken zu minimieren, besteht ein IKS aus Regeln und Arbeitsabläufen, die ein Fehlverhalten so weit wie möglich verhindern sollen. Halten sich alle Mitarbeiter an diese Regularien, können Fehler kaum noch auftreten, und eine Missachtung der Regeln kann schnell festgestellt werden.

Die Kontrollmechanismen sind der zu überwachenden Arbeit vor-, gleich- oder nachgeschaltet – abhängig von der Sinnhaftigkeit und den Möglichkeiten in jedem spezifischen Kontext. Die Besonderheit liegt beim internen Kontrollsystem in der innerbetrieblichen Überwachung. Statt wie bei anderen Konzepten Außenstehende als Kontrollinstanzen einzusetzen (beispielsweise die Finanzaufsicht oder Wirtschaftsprüfer), ermöglicht ein gutes IKS den Mitarbeitern, sich gegenseitig zu kontrollieren.

Um ein wirksames internes Kontrollsystem zu etablieren, müssen Unternehmen zwei Bereiche bedenken: ein internes Steuerungssystem und ein internes Überwachungssystem. Die erste Kategorie befasst sich mit Regeln zur Steuerung des Unternehmens. Die Überwachung ist der aufwendigere und weiter verzweigte Teil des IKS. Die Maßnahmen sollen so gut es geht automatisch ablaufen.

Im Allgemeinen sollen interne Kontrollsysteme sicherstellen, dass niemand im Unternehmen sich fehlerhaft verhält, alle Prozesse ordnungsgemäß ablaufen und Korruption sowie Wirtschaftskriminalität verhindert werden. Der Aufgabenbereich von IKS lässt sich aber auch noch konkretisieren:

• Vermögenssicherung: Das vorhandene Vermögen soll gegen Verluste geschützt werden.
• Aufzeichnung: Alle Vorgänge müssen korrekt und zeitnah erfasst werden.
• Verbesserung: Mithilfe der Aufzeichnungen können Prozesse verbessert werden.
• Regeleinhaltung: Das System stellt sicher, dass alle Beteiligten den Regeln folgen.

Um diese Ziele zu erreichen, setzt ein internes Kontrollsystem auf vier verschiedene Prinzipien:

• Funktionstrennung: Es ist wichtig, dass vollziehende (z. B. Einkauf), buchhalterische (z. B. Lagerbuchhaltung) und verwaltende (z. B. Lagerverwaltung) Funktionen innerhalb eines Unternehmensprozesses nicht von ein und derselben Person oder Gruppe durchgeführt werden.
   
• Kontrolle: Jeder wichtige Vorgang eines Mitarbeiters muss durch jemand anderen kontrolliert werden.
   
• Mindestinformation: Jeder Mitarbeiter sollte nur die Informationen erhalten, die für seine Aufgaben nötig sind, und nicht mehr.
   
• Transparenz: Mit einer klaren Vorstellung vom Idealzustand können auch Außenstehende beurteilen, ob Aufgaben korrekt durchgeführt werden.

Es gibt zwei Modelle, die immer wieder für interne Kontrollsysteme eingesetzt werden und sehr erfolgreich sind. Sie verbergen sich hinter den Akronymen COSO und COBIT.

COSO ist eigentlich eine private US-amerikanische Organisation, die sich der allgemeinen Verbesserung von Unternehmensstrukturen verschrieben hat. Das beinhaltet beispielsweise Fragen der Ethik – aber eben auch vieles, was ein IKS erfasst. Deshalb hat die Organisation bereits in den 1990er-Jahren ein praktisches Rahmenwerk entwickelt, das 2004 ein Update bekam.

Das Modell visiert vier verschiedene Kategorien an:

• Strategic: Übergeordnete Ziele der Geschäftstätigkeit
• Operations: Effizienter Einsatz von Ressourcen
• Reporting: Zuverlässige Berichterstattung
• Compliance: Einhaltung von Gesetzen

Diese Kategorien sind verzahnt mit fünf Komponenten:

• Kontrollumfeld: Diese Komponente befasst sich vor allem mit Ethik, Philosophie, Kompetenzen, aber auch strukturellen Aspekten des Unternehmens. Das Kontrollumfeld besteht aus verschiedenen Standards zur Durchführung von Kontrollen. Außerdem werden Mechanismen benannt, die der Unternehmensführung die Vergabe von Verantwortlichkeiten ermöglicht.
   
• Risikobeurteilung: Welche Risiken können für das Unternehmen entstehen? Die Risikobeurteilung findet auf Basis der konkreten Unternehmensziele statt. Alles, was das Erreichen der Ziele verhindern kann, wird als Risiko wahrgenommen.
   
• Kontrollaktivitäten: Diese Komponente befasst sich mit der Umsetzung von Kontrollen. Die Entscheidungen und Soll-Vorgaben der Geschäftsführung müssen vollumfänglich ausgeführt werden. Für die Umsetzung werden spezifische Verfahren eingesetzt.
   
• Information und Kommunikation: Die Verbreitung von Informationen sowie die interne und externe Kommunikation werden durch diese Komponente bedacht. Für die Informationsvermittlung kommen sowohl mündliche Berichte als auch Handbücher und niedergeschriebene Richtlinien in Frage.
   
• Überwachung: Die Überwachung bezieht sich auf die Beurteilungen des Vorgehens. Dabei wird laufend oder regelmäßig überprüft, inwieweit das IKS durchgesetzt wird und funktioniert.

Alle Kategorien beziehen sich auf alle Komponenten. Allesamt sollten auf jeder Ebene des Unternehmens durchgeführt werden.

Ein weiteres Update des Rahmenwerks aus dem Jahr 2017 adressiert neue Herausforderungen, die mit der Digitalisierung aufgekommen sind.

Das Framework des internationalen Verbands der IT-Prüfer zielt auf die IT eines Unternehmens ab. Während COSO also in erster Linie das Rechnungswesen und die Geschäftsführung im Fokus hat, befasst sich COBIT mit den technologischen Strukturen innerhalb eines Unternehmens. Dafür besteht COBIT (in der fünften Version) aus fünf Prinzipien, sieben Kategorien und 37 Prozessen in fünf Domänen.

Die fünf Prinzipien von COBIT sind grundlegende Annahmen:

• Alle Anforderungen erfüllen: Anspruchsgruppen (Stakeholder) müssen alle Wünsche durch das System erfüllt bekommen. Zu diesem Prinzip gehört es also auch, Stakeholder zunächst zu definieren.
   
• Das komplette Unternehmen abbilden: Damit es nicht zu Informationsverlusten kommt, muss jeder Teil des Unternehmens in das IKS integriert sein – auch abseits von IT-Lösungen.
   
• Ein einziges Framework integrieren: Damit COBIT möglichst effektiv funktioniert, sollte man keine zwei Frameworks nebeneinander einsetzen. Zwei Systeme erhöhen nicht nur den Aufwand, es kommt so auch vermehrt zu Fehlern.
   
• Einen ganzheitlichen Ansatz verfolgen: COBIT 5 greift in alle Prozesse eines Unternehmens ein und ermöglicht es so, Unternehmensziele gemeinschaftlich zu erreichen.
   
• Überwachung und Management voneinander trennen: Management und Überwachung müssen in einem funktionierenden internen Kontrollsystem deutlich voneinander getrennt sein, damit es nicht zu Fehlentscheidungen der ausführenden Personen kommt.

Um erfolgreich zu sein, verfolgt man in COBIT 5 sieben verschiedene Enabler, die untereinander verknüpft sind.

• Prinzipien, Richtlinien und Rahmenwerte: Die gewünschten Ziele werden in praktische Ausführungen übersetzt, um die tägliche Arbeit zu ermöglichen.
   
• Prozesse: Dieser Enabler umfasst ein Set von Praktiken, mit denen die gesteckten Ziele erreicht werden können.
   
• Organisationsstrukturen: Mit diesem Enabler wird entschieden, wofür man unter den Mitarbeitern klare Rollen vergibt.
   
• Kultur, Ethik und Verhalten: Sowohl für das komplette Unternehmen als auch jeden einzelnen Mitarbeiter werden Verhaltensweisen eingeführt, die die Kultur des Unternehmens langfristig verbessern sollen.
   
• Information: Damit korrekt mit Informationen – sowohl solchen, die aus dem Unternehmen stammen, als auch solchen, die von außen in die Organisation kommen – umgegangen wird, gibt dieser Enabler Hinweise zu Qualität, Sicherheit und Zugang.
   
• Services, Infrastruktur und Anwendungen: Dieser Punkt legt fest, welche Technologien und Anwendungen eingesetzt werden müssen, damit die IT abgesichert ist und jederzeit bereitsteht.
   
• Mitarbeiter, Fähigkeiten und Kompetenzen: Das Niveau von Bildung und Qualität jedes Mitarbeiters ist wichtig, damit korrekte Entscheidungen getroffen und korrigierende Handlungen durchgeführt werden können.

Die 37 von COBIT definierten Prozesse wiederum beziehen sich auf konkrete Anwendungsfälle in einem Unternehmen. Sie geben Hinweise, wie sich bestimmte Personengruppen – COBIT unterscheidet hier wieder zwischen Management und Governance – in den spezifischen Situationen verhalten sollen.

In den USA hat der Sarbanes Oaxley Act zur verpflichtenden Einrichtung von internen Kontrollsystemen geführt. Ausschlaggebend waren Skandale rund um große Unternehmen wie Enron und Worldcom, die ihre Bilanzen nicht mit der gebührenden Ehrlichkeit erstellt hatten. Viele Praktiken in internen Kontrollsystemen (auch international) sind von den in den USA gesetzlich vorgeschriebenen Anforderungen des Sarbanes Oaxley Act abgeleitet. Auch in Deutschland gibt es Gesetze, die ein IKS zwar nicht explizit benennen, aber die Effekte und Praktiken eines solchen Systems fordern.

Hierzulande gibt es allerdings nicht nur einen Gesetzestext, der interne Kontrollen fordert, sondern mehrere. Zu nennen wären beispielsweise § 315 II HGB, mehrere Paragrafen des Aktiengesetzes (§ 91 II, § 93 I, § 107 III), § 91 II KonTraG oder § 25a KWG. Schon an den verschiedenen Gesetzestexten kann man erkennen, dass die Anforderungen z. T. von den Rechtsformen der Unternehmen abhängen. Auch durch die Grundsätze der ordnungsmäßigen Buchführung (GoB) oder die GoBD lassen sich Regelungen für ein internes Kontrollsystem ableiten.

Hinzu kommen noch andere offizielle Anforderungen, die nicht gesetzlich sind, sondern von Organisationen erhoben werden. Hier sind in erster Linie die Standards des Instituts der Wirtschaftsprüfer (IDW) entscheidend. Auf freiwilliger Basis kann man das IKS im eigenen Unternehmen auch vom IDW überprüfen lassen. Hierfür hat das Institut die „Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems des internen und externen Berichtswesens“ (IDW PS 982) aufgestellt.

In der Praxis wird ein IKS an die Umstände und Anforderungen eines Unternehmens (oder auch einer Organisation bzw. Behörde) angepasst. Kein internes Kontrollsystem gleicht also einem anderen. Dabei garantiert oft nicht in erster Linie die Dokumentation sichere und klare Prozesse in einem Unternehmen, viel entscheidender sind oft die gelebte Unternehmenskultur und verinnerlichte Verhaltensweisen. Das erfordert deutliche Signale der Unternehmensleitung an jeden einzelnen Mitarbeiter.

Andere Punkte wiederum funktionieren über genaue Aufzeichnungen. So kann sichergestellt werden, dass Kontrollinstanzen die benötigte Einsicht haben, um das Management (bzw. andere entsprechende Bereiche eines Unternehmens) zu überwachen. Dies funktioniert in Form von Berichten, die regelmäßig, aber auch situationsbedingt entstehen können. Natürlich ist besonders die detaillierte Finanzberichterstattung von erhöhtem Interesse für ein internes Kontrollsystem.

Gerade für kleinere Unternehmen stellen IKS oftmals eine Herausforderung dar. Um ein solches Kontrollsystem erfolgreich einzusetzen, bedarf es Personal, das die Kontrolle übernimmt. Da in kleineren Unternehmen aber oftmals viele verschiedene Bereiche von nur einer oder zumindest wenigen Personen durchgeführt werden, fällt die Kontrolle schwer. Das wird noch verstärkt, wenn es beispielsweise nur eine Person in der Unternehmensführung gibt: Mitarbeiter müssten dann die Überwachung des Managements übernehmen, was sich in der Praxis als schwierig erweist.

Helfen kann ein Bottom-up-Konzept, bei dem erst nach und nach einzelne Aspekte in das IKS integriert werden, bevor ein ganzheitliches System eingeführt wird. Ausgangspunkt kann beispielsweise das Rechnungswesen sein, für das jedes Unternehmen ohnehin bereits ein Berichtswesen etabliert hat. Neben Selbstdisziplin hilft vor allem ordentliche Dokumentation, um auch in KMU ein erfolgreiches IKS zu etablieren.

Unternehmer kennen auch andere Kontrollsysteme, die sie vielleicht schon in ihrem Betrieb etabliert haben oder für sich in Betracht ziehen. Hierzu gehört beispielsweise das Risikomanagementsystem (RMS). Man könnte annehmen, dass ein RMS und ein IKS identisch wären, schließlich befassen sich beide Systeme mit der Überwachung des Unternehmens und dem Umgang mit Risiken, doch es handelt sich um recht unterschiedliche Verfahren, wenngleich es auch Überschneidungen gibt.

Das Risikomanagement dreht sich um komplexe Strategien der Unternehmensführung und die Gefahren, die von solchen Entscheidungen ausgehen können. Das interne Kontrollsystem zielt stärker auf die tatsächliche Tätigkeit der Mitarbeiter und Geschäftsführer ab. Es wird hierbei beständig kontrolliert, ob sich alle an die Vorgaben halten – und diese Vorgaben verfolgt auch ein RMS. Das bedeutet erstens, dass Risikomanagementsysteme und interne Kontrollsysteme Hand in Hand gehen, und zweitens, dass es sinnvoll ist, beide Systeme parallel im Unternehmen zu installieren.

Auch ein Compliance-Management-System (CMS) ist nicht deckungsgleich mit einem der beiden anderen Systeme. Ein CMS soll ganz konkret rechtswidrige Aktionenoder Praktikenverhindern. Auch dies sind ganz klar Risiken, doch eben nicht die einzigen. Man kann sich auch rechtskonform verhalten und trotzdem durch bestimmte Handlungen die Unternehmung gefährden.

Die interne Revision – ein weiterer Begriff, der regelmäßig im Kontext der Überwachung eines Unternehmens auftaucht – kann wiederum als Maßnahme eines IKS gesehen werden. Es handelt sich dabei um eine tiefergestellte Kategorie, wohingegen IKS, RMS und CMS gleichrangig auf einer Ebene agieren.

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.