Internes Kontrollsystem (IKS) – Was ist das?
Unternehmungen möchten Risiken so weit wie möglich reduzieren. Eine Möglichkeit hierfür ist das Instrument eines Internen Kontrollwesens, kurz IKS. Es unterstützt die Funktionsfähigkeit von Geschäftsabläufen, wodurch die Sicherheit der Unternehmung erhöht wird.
Interne Kontrollsysteme unterstützen bei der richtigen Ausführung von Arbeitsabläufen und bei der Vermeidung von Fehlverhalten. Deshalb besteht es aus einem internen Steuerungssystem und einem internen Überwachungssystem.
Wie wird ein Internes Kontrollsystem definiert?
Ein Internes Kontrollsystem (IKS) umfasst alle Verfahren und Maßnahmen, um eine effiziente Geschäftsführung zu garantieren. Das Verfahren beinhaltet folgende Gesellschaftsorgane: den Aufsichtsrat, den Verwaltungsrat und die Geschäftsführung. Das IKS ist ein Teilsystem des Überwachungssystems eines Unternehmens, welches den Arbeitsabläufen vor- gleich- oder nachgelagert sein kann.
IKS – besser verstehen
In Deutschland gibt es Gesetze, die ein Internes Kontrollsystem zwar nicht explizit erwähnen, aber die Effekte und Praktiken eines solchen Systems fordern. Zu den zentralen Aufgaben des IKS zur Überwachung der Unternehmung gehört:
- die Sicherung der Vermögenswerte: Das vorhandene Vermögen soll präventiv vor Verlusten geschützt werden
- die Erfassung aller Vorgänge: Alle Vorgänge müssen sorgfältig aufgezeichnet werden
- die Verbesserung von Prozessen: Durch die Aufzeichnungen sollen Prozesse optimiert werden
- die Regeleinhaltung: Alle Mitarbeiter sollen den Regeln folgen
Um diese Aufgaben erfüllen zu können, folgt das IKS folgenden 4 Prinzipien:
1. Prinzip der Funktionstrennung: Vollziehende (z.B. Abwicklung vom Einkauf), buchhalterische (z.B. Finanzbuch-haltung) und verwaltende (z.B. Lagerverwaltung) Funktionen eines Unternehmensprozesses sollen nicht unter einer Hand ausgeführt werden
2. Prinzip der 4 Augen: Jeder wesentliche Vorgang soll überprüft werden
3. Prinzip der Mindestinformation: Jeder Mitarbeiter hat nur Zugang zu den Informationen, die er benötigt. Nicht mehr und nicht weniger
4. Prinzip der Transparenz: Für jeden Prozess werden Sollkonzepte erarbeitet. Anhand dieser wäre ein Außen-stehender in der Lage, das konforme Arbeiten zu überprüfen. Zusätzlich lässt sich die Erwartungshaltung an die Prozesse daran ablesen
Für ein effektives IKS ist eine regelmäßige Prüfung des Internen Kontrollsystems sehr wichtig.
IKS in der Umsetzung
Jedes Unternehmen hat andere Anforderungen an die interne Revision. Aus diesem Grund ist jedes IKS einzigartig. Bei der internen Kontrolle sind korrekte Aufzeichnungen das A und O. Dadurch kann jeder Vorgang überwacht werden. Die Finanzberichterstattung hat für das IKS dabei höchste Priorität.
Ebenso wichtig wie die Aufzeichnungen sind festgesetzte Verhaltensweisen und die Unternehmenskultur. Diese muss von den Führungspersonen vorgelebt und alle Mitarbeiter weitergegeben werden. Hilfreich sind Ratgeber, ob als Buch oder im Intranet. Darin können sich die Mitarbeiter über die gepflegten Unternehmenswerte und der Unternehmenskultur informieren.
Um Synergieeffekte zu erzielen werden IKS häufig in die Governance, in das Risk and Compliance Management und in die Unternehmensplanung integriert. Außerdem werden zunehmend mehr IT-Lösungen für die Interne Kontrolle eingesetzt.
Häufige Kontrollmodelle
Häufig werden die Modelle COSO und COBIT als internes Kontrollsystem verwendet. Die beiden Frameworks fokussieren sich jedoch auf unterschiedliche Punkte. COSO konzentriert sich stark auf das Rechnungswesen, COBIT stattdessen auf die technologischen Strukturen eines Unternehmens.
COSO (Committee of Sponsoring Organizations of the Treadway Commission)
COSO ist ein Zusammenschluss privatwirtschaftlicher Organisationen in den USA mit internationalem Ansehen. COSO bietet Konzepte für interne Kontrollen und das Risikomanagement an. 2017 hat COSO ein aktualisiertes Modell unter dem Namen “Enterprise Risk Management – Integrating with Strategy and Performance” veröffentlicht. Im Fokus steht die Verzahnung von Strategie, Risikomanagement und Unternehmenserfolg.
Das COSO-Modell beinhaltet folgende fünf Komponenten, welche miteinander verbunden sind:
Quelle: Enterprise Risk Management – Integrating with Strategy and Performance, © 2017 Committee of Sponsoring Organizations of the Treadway Commission (COSO).
1. Governance & Culture: Die Governance bestimmt die Bedeutung des Risikomanagements und die Aufsichtsverantwortung. Die Kultur beschreibt die gelebte Unternehmenskultur, verinnerlichte Verhaltensweisen und das Risikoverständnis im Unternehmen.
2. Strategy & Objective-Setting: Der gewählte Risikoappetit wird mit der Unternehmensstrategie in Einklang gebracht. Durch Unternehmensziele werden Strategien umgesetzt. Gleichzeitig werden sie als Grundlage genutzt, um Risiken zu erkennen, zu bewerten und zu reagieren.
3. Performance: Die Identifikation und Bewertung von Risiken, die sich auf die Strategie und das Erreichen der Geschäftsziele auswirken.
4. Review & Revision: Durch die Überprüfung der Leistung einer Einheit kann das Unternehmen die Komponenten des Risikomanagements überprüfen und Korrekturen vornehmen.
5. Information, Communication & Reporting: Risikomanagement kann nur bei andauerndem Austausch von internen und externen Informationen, über alle Hierarchiestufen hinweg, gut betrieben werden.
COBIT (Control Objectives for Information and Related Technology)
COBIT wurde ursprünglich vom internationalen Verband der IT-Prüfer in Anlehnung an COSO entwickelt. Es soll die IT-Governance besser in die Corporate Governance integrieren.
Der Steueransatz von COBIT wird auf Grundlage der Unternehmensziele IT-Ziele Top-Down festgelegt. Definierte IT-Prozesse gewährleisten die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen und die Erbringung von Services. Die Zielerreichung wird stattdessen Bottom-Up gemessen, wodurch es einen Steuerungs-Zyklus gibt. COBIT 5 besteht auf fünf Prinzipien, sieben Kategorien und 37 Prozessen.
Die 5 COBIT Prinzipien lauten folgendermaßen:
1. Alle Anforderungen erfüllen: Nachdem alle Stakeholder identifiziert wurden, sollen deren Anforderungen erfüllt werden.
2. Abbilden des gesamten Unternehmens: Um Verluste von Informationen zu vermeiden, müssen alle Teile des Unternehmens in das IKS integriert werden.
3. Anwendung eines Frameworks: Möglichst sollte nur ein Rahmenwerk eingesetzt werden. Zwei parallele Frameworks führen häufig zu Fehlern.
4. Ganzheitlichen Ansatz: Dadurch können Unternehmensziele gemeinschaftlich verwirklicht werden
5. Trennung von Überwachung und Management: Dadurch können Fehlentscheidungen vermieden werden.
Es werden sieben sogenannte Enabler-Kategorien beschrieben, durch welche die Unternehmensziele erreicht werden sollen:
1. Prinzipien, Richtlinien und Rahmenwerke
2. Prozesse
3. Organisationsstrukturen
4. Kultur, Ethik und Verhalten
5. Informationen
6. Services, Infrastruktur und Anwendungen
7. Mitarbeiter, Fähigkeiten und Kompetenzen
COBIT 5 definiert anschließend 37 Prozesse in fünf Domänen – eine Governance Domäne und vier Management Domänen. Die Prozesse beziehen sich auf konkrete Anwendungsfälle und zeigen, wie sich Personengruppen verhalten sollen.