Das interne Kontrollsystem definiert ein technisches und organisatorisches Regelwerk zur Prävention von Schäden

Per Definition wird ein internes Kontrollsystem (IKS) systematisch aus technischen und organisatorischen Regeln aufgebaut. Mit diesen Regeln wird das Unternehmen so gesteuert und kontrolliert, dass die Richtlinien, Arbeitsanweisungen und sonstigen Maßnahmen zur Prävention von Schäden eingehalten werden.

Das interne Kontrollsystem dient dazu, die gesetzlichen Rahmenbedingungen bzw. das regulatorische Umfeld des Unternehmens zu respektieren. Es soll das Wachstum sowie die Leistungs- und Funktionsfähigkeit des Unternehmens gewährleisten, Vermögensverluste vermeiden und die Zuverlässigkeit des Rechnungswesens sicherstellen. Kurz gesagt: Das interne Kontrollsystem stellt ein zentrales Führungsinstrument von Unternehmen dar. Einerseits obliegt es intern den Eigentümern und den Führungskräften. Andererseits wird es auch extern gefordert, sei es vom Gesetzgeber oder von Wirtschaftsprüfern, Versicherungen und Banken.

Um ein zuverlässiges und funktionierendes IKS zu gewährleisten, müssen alle Ebenen und Bereiche im Unternehmen mitwirken. Dafür ist eine regelmäßige Auseinandersetzung mit den internen Prozessen nötig, die wiederum die Möglichkeit bietet, die interne Organisation stetig zu verbessern. Ein IKS stützt sich inhaltlich auf fünf Säulen, die in der Unternehmensführung und -organisation abgebildet sein sollten:

  • Kontrolle des unternehmerischen Umfelds
  • Risikobeurteilung
  • Kontrolle der Aktivitäten
  • Information und Kommunikation
  • Überwachung

Kontrolle des unternehmerischen Umfelds

Hierbei werden im Wesentlichen die Grundeinstellung und das Verhalten der Unternehmensleitung verstanden. Also:

  • Wie werden die Unternehmensziele definiert?
  • Werden die entsprechenden Strukturen bereitgestellt?
  • Wird entsprechend Verantwortung, und damit verbundene Befugnisse übertragen, und findet eine angemessene Organisation und Entwicklung der Mitarbeiter statt?

Risikobeurteilung

Um Risiken adäquat beurteilen zu können, müssen diese identifiziert und die relevanten Risiken eingehend analysiert werden. Daraus sind Maßnahmen zur Risikobewältigung abzuleiten und strategische Lösungen zu entwickeln.

Kontrolle der Aktivitäten

Damit die Entscheidungen der Unternehmensleitung gebührend Beachtung finden, sind Grundsätze und Verfahren zu etablieren, die das sicherstellen. Dazu gehören beispielsweise Genehmigungen, Vollmachten, Nachweise, die laufende Überprüfung des operativen Geschäftes, eine Trennung von Zuständigkeiten, die Aufstellung von Budgets, ein funktionierendes Rechnungswesen sowie eine Planungskontrolle, damit eine Sicherung der Vermögenswerte stattfinden kann.

Information und Kommunikation

Zu dieser Dimension eines IKS gehören Methoden und Unterlagen, um Geschäftsvorfälle aufzuzeichnen und zu berichten. Dies beginnt bei der Einführung eines Informations- und Kommunikationssystems, geht weiter über die Qualitätsbeurteilung des verwendeten Informations- und Kommunikationssystems bis hin zur Einführung eines Anti-Betrugs-Systems. Oftmals finden sich diese in Organisationshandbüchern, dem Rechnungslegungssystem, Richtlinien usw. wieder.

Überwachung

Zur Sicherstellung und Beurteilung der Wirksamkeit des IKS ist dieses zu überwachen. Das kann durch prozessintegrierte Überwachungsmaßnahmen geschehen, wie zum Beispiel mit einem regelmäßigen Überwachen der Prozesse, separaten Auswertungen oder auch mittels einer internen Revision.

Individuelle Anpassung

Das IKS ist ganz individuell unter Berücksichtigung von Größe und Komplexität des Unternehmens für das jeweilige Unternehmen zu entwickeln. Dies bedeutet, dass die konkrete Ausgestaltung des IKS abhängig ist von der Rechtsform und Organisation sowie der Geschäftstätigkeit des Unternehmens. Berücksichtigt werden müssen beispielsweise die Komplexität und Diversifikation der Geschäftstätigkeit, die Methoden der Erfassung, Verarbeitung, Aufbewahrung und Sicherung von Informationen sowie die geltenden rechtlichen und vertraglichen Rahmenbedingungen.

Was ein IKS leisten kann und was nicht

Als Unternehmer sollte man sich bewusst sein, was das IKS leisten kann und was nicht. Das IKS hilft dem Unternehmen, seine Leistungsfähigkeit zu verbessern und seine Ziele zu erreichen. Es versorgt die Geschäftsleitung mit Informationen zur Entwicklung des Unternehmens und zu möglichen Mängeln. Es stellt sicher, dass das Unternehmen sich seinem regulatorischen Umfeld angemessen verhält, und es stellt die Verlässlichkeit des Rechnungswesens sicher.

Mit einem Wort: Das IKS hilft dem Unternehmen, seine Ziele zu erreichen. Es kann aber nicht den Erfolg garantieren. Es kann ein vernünftiges Maß an Sicherheit bieten, aber keine absolute Sicherheit. Man sollte auch beachten, dass gesetzliche Vorgaben und Wettbewerbsbedingungen nicht dem Einfluss der Geschäftsleitung unterliegen.

Richtlinien und Maßnahmen

Für den Aufbau und den Betrieb eines IKS sind, wie schon erwähnt, Richtlinien und Maßnahmen erforderlich. Exemplarisch und um die Ansätze der Richtlinien etwas zu verdeutlichen, sollen im Folgenden einige wichtige Elemente ohne Anspruch auf Vollständigkeit vorgestellt werden:

Kontrollmaßnahmen

Es sollte darauf geachtet werden, dass vor der Genehmigung betrieblicher Abläufe ggf. ein ordnungsgemäßer Antrag vorliegt und dieser auch einer Überprüfung unterzogen wird. Die Überprüfung untersucht die Grenzen der Vollmacht, verlangt ggf. entsprechende Nachweise und hinterfragt unübliche Punkte. Hierbei ist wichtig, dass keine Freibriefe erteilt werden. Dies könnte etwa durch Blankounterschriften erfolgen. Deshalb sollte der Bearbeiter sicherstellen, dass ihm alle notwendigen Dokumente und Informationen vorliegen, bevor unterschrieben wird. Zusätzlich sollte bei einem Vorhabens von der Genehmigung, über die Zahlungen bis zur Dokumentation das Vieraugenprinzip gewahrt werden.

Personal-Richtlinien

Unter die Personalrichtlinien und Maßnahmen fallen Regelungen zur Anstellung, dem Training, der Entwicklung, der (Be-)Förderung und der Entlassung von Mitarbeitern. Ferner sind Entgeltregelungen bspw. zu den Boni und zum 13. Gehalt festzuhalten. Die wesentlichen Personal-Richtlinien sollten sich im Mitarbeiterhandbuch wiederfinden. Dazu gehören Regelungen zur Arbeitszeit, wie z. B. Anwesenheit, Überstunden oder Probezeit.

Im Handbuch werden Abwesenheitsnachweise, Urlaubsanträge und Krankmeldungen geregelt, sowie die Aufwands- und Reisekostenerstattung. Es sollten ebenfalls der Gebrauch und Schutz von Unternehmenseigentum und -informationen und die Vertraulichkeitserklärung hier geregelt werden.

In den Personal-Richtlinien wird auch der Verhaltenskodex bestimmt. Ausgerichtet an den Unternehmenswerten ist die Umsetzung des Kodexes im Unternehmen zu integrieren. Der Kodex enthält Regelungen zur Attraktivität als Arbeitgeber, zu den Beziehungen der Mitarbeiter untereinander, zum Verhalten und zum Umgang nach außen, also mit Geschäftspartnern und Dritten und zur Vermeidung von Interessenkonflikten.

Finanz-Richtlinien

Die Finanzrichtlinien betreffen im Wesentlichen zwei Bereiche: den Bankverkehr und die Kassenführung. Diese Richtlinien bezwecken, dass alle Finanztransaktionen vor ihrer Durchführung genehmigt werden müssen. Für den Bankverkehr beinhaltet das die Abläufe, die Bankvollmachten, die Durchführung von Transaktionen und die Durchsicht von Kontoauszügen. Bei der Kassenführung ist zu regeln, wofür die Kasse verwendet werden darf, ob Bargeldgeschäfte durchgeführt werden, wie die allgemeinen Abläufe sind, wie eine Prüfung und eine Nachschau durchgeführt werden.

Im zweiten Teil werden wir weitere Anwendungsbereiche vorstellen und zusammenfassend darstellen, wie Sie den Aufbau eines internen Kontrollsystems angehen sollten.

Internes Kontrollsystem