
Blog.

Accounting
Internes Kontrollsystem (IKS) – Definition und Nutzen
Bilanzskandale sind häufig das Ergebnis von Versäumnissen bei der internen Kontrolle, die zu erheblichen finanziellen und rufschädigenden Schäden führen können.
Im Jahr 2020 wurde beispielsweise bei einer Untersuchung festgestellt, dass der deutsche Anbieter von Zahlungstechnologien Wirecard seine Konten um bis zu 1,9 Milliarden Euro gefälscht hatte: Der Betrug führte zum Zusammenbruch des Unternehmens und zur Verhaftung seines CEO. Im Jahr 2023 erhob das britische Amt für schwere Betrugsdelikte Anklage gegen vier Personen wegen des Zusammenbruchs der Bäckereikette Patisserie Valerie: Bei dem Vorfall ging es um die Fehlbuchung(en) von bis zu 28 Millionen Pfund und die Verschleierung von Schulden in Höhe von 10 Millionen Pfund, was zum Verlust von fast 1000 Arbeitsplätzen führte.
Interne Kontrollsysteme sind nicht nur ein Schutzschild gegen Betrugsfälle und Buchhaltungsfehler, sondern tragen auch dazu bei, die Integrität, Zuverlässigkeit und den Ruf eines Unternehmens in einem überfüllten, wettbewerbsorientierten globalen Markt zu sichern. Die Implementierung eines effektiven internen Kontrollsystems kann eine Herausforderung sein, und deshalb ist es wichtig, dass CFOs und ihre Accounting-Teams wissen, wie sie ein System entwickeln, das dem Profil ihres Unternehmens entspricht
Was ist eine internes Kontrollsystem?
Internes Kontrollsystem (IKS) bezieht sich auf die Kontrollen und Gegenkontrollen, die ein Unternehmen einrichtet, um die Einhaltung sowohl interner Richtlinien als auch externer gesetzlicher Vorschriften zu gewährleisten, einschließlich Finanz-Reporting. Das IKS soll ein Unternehmen vor Risiken schützen, Vermögenswerte sichern und die betriebliche Effizienz unterstützen.
Eine IKS besteht in der Regel aus einzelnen Kontrollen, die Richtlinien und Verfahren sowie die praktischen Maßnahmen umfassen, die die Mitarbeiter im Rahmen ihrer Aufgaben und Zuständigkeiten durchführen müssen. Der Detaillierungsgrad einer IKS kann sich auf ihre Komplexität auswirken und damit auch auf die verwaltungstechnische Herausforderung, die Kontrollen wirksam anzuwenden. Angesichts dieser Komplexität sind viele Unternehmen bestrebt, ihre IKS so weit wie möglich zu automatisieren, um den Prozess der Einhaltung der Vorschriften zu beschleunigen und präziser zu gestalten.
Wann und warum braucht ein Unternehmen ein IKS?
Ein IKS ist ein wesentlicher Bestandteil der Risikomanagementstrategie eines Unternehmens und unerlässlich, um auf neue kriminelle Bedrohungen und regulatorische Änderungen reagieren zu können. Im Zuge der jüngsten Bilanzskandale haben viele Rechtsordnungen das Vorhandensein einer IKS für börsennotierte Unternehmen gesetzlich vorgeschrieben - und diejenigen, die dies nicht tun, müssen mit strengen Strafen rechnen.
Bei einem IKS geht es nicht nur um die Vermeidung von Bußgeldern. Effektiv angewandt, kann ein IKS einem Unternehmen helfen, Risiken zu erkennen und zu bewerten und deren Auswirkungen zu mindern oder sogar zu beseitigen. In diesem Sinne trägt das IKS zum reibungslosen Ablauf des Geschäftsbetriebs bei, stärkt den Ruf der Marke und das Vertrauen der Öffentlichkeit in Produkte und Dienstleistungen.
Anforderungen an ein Internes Kontrollsystem
Jedes IKS sollte auf die Risiken und geschäftlichen Bedürfnisse eines bestimmten Unternehmens zugeschnitten sein, aber eine Reihe von grundlegenden Anforderungen erfüllen. Unternehmen sollten ihr IKS unter Berücksichtigung der folgenden Faktoren entwickeln:
IKS Elemente
Das Committee of Sponsoring Organizations (COSO ) hat einen Modellrahmen für die Anwendung von Unternehmenskontrollen im Unternehmensumfeld vorgelegt. Es basiert auf den folgenden Elementen der internen Kontrolle:
Kontrollumfeld: Abschlussprüfung muss Unternehmen dabei helfen, die gesetzlichen Vorschriften und Bestimmungen einzuhalten, und sollte daher unter Berücksichtigung dieser rechtlichen Anforderungen entwickelt werden. Unternehmen, die weltweit tätig sind, müssen möglicherweise mehrere Kontrollumgebungen als Teil ihrer IKS berücksichtigen.
Risikobewertung: Die Höhe des Risikos, mit dem ein Unternehmen konfrontiert ist, gibt Aufschluss über die Kontrollen, die es durchführen muss. Dementsprechend sollte das Buchhaltungsteam eine detaillierte Risikobewertung durchführen, wenn es eine IKS entwickelt und implementiert, um sicherzustellen, dass die Kontrollen auf die Einhaltung der Vorschriften und die Unternehmensziele abgestimmt sind.
Kontrolltätigkeiten: Die Unternehmen sollten sich Gedanken über die praktischen Maßnahmen machen, aus denen die Kontrollen bestehen, die sie zur Bewältigung der Risiken entwickeln. Kontrollen können in Form von Richtlinien, Verfahren oder einzelnen Aufgaben durchgeführt werden, die alle dazu dienen, Finanzdaten und -informationen zu überprüfen oder zu verifizieren und die Einhaltung von Vorschriften zu erleichtern.
Information und Kommunikation: Ein IKS ist in der Regel abteilungsübergreifend und kann auch Beiträge von Vorstandsmitgliedern oder externen Dritten erfordern. Vor diesem Hintergrund sollten Unternehmen wirksame Kommunikations- und Informationsaustauschsysteme einrichten, um den Zugang zu wichtigen Dokumenten und Ressourcen zu erleichtern und sicherzustellen, dass Teammitglieder schnell auf Verzögerungen bei der Kontrolle reagieren können.
Überwachung: Die Unternehmen müssen die Wirksamkeit ihrer Kontrollen laufend überwachen und sie regelmäßig überprüfen und testen. CFOs sollten über einen Horizont-Scan nachdenken, um potenzielle Risiken zu erkennen, die sich aus der Einführung neuer Technologien oder aus regulatorischen Änderungen ergeben.
IKS Aufbau
Die Struktur eines IKS spielt eine Rolle für seine Wirksamkeit. Unternehmen sollten bei der Entwicklung und Umsetzung ihres eigenen Systems Folgendes beachten:
Rahmenwerk: Unternehmen können ihre IKS auf der Grundlage des COSO-Modells entwickeln und sich dabei auf die 5 Schlüsselkomponenten der Kontrolle (siehe oben) konzentrieren. Dieses Rahmenwerk sollte als Ausgangspunkt und nicht als einschränkender Faktor betrachtet werden, und die CFOs sollten versuchen, es im Hinblick auf die einzigartigen geschäftlichen Herausforderungen, denen ihr Unternehmen gegenübersteht, umzusetzen.
Grundsätzliches: Der Vorstand sollte sich Gedanken über die grundlegenden Ziele seiner IKS machen. Das bedeutet, dass er Kontrollen einführen muss, die sowohl den gesetzlichen als auch den ethischen Standards entsprechen, die das Unternehmen erwartet - und zwar in einer Weise, die den geschäftlichen Erfordernissen wie Budget-, Kompetenz- und Ressourcenbeschränkungen gerecht wird.
Transparenz: Interne Kontrollen sollten so transparent wie möglich sein - in dem Sinne, dass die Mitarbeiter verstehen können, warum sie eingesetzt werden, wie sie in den größeren Rahmen passen und wie sie funktionieren. Das bedeutet, dass Unternehmen ihre Kommunikationsinfrastruktur in ihr IKS integrieren sollten, wobei der Schwerpunkt auf Sichtbarkeit und Funktionen für den Informationsaustausch wie Instant Messaging und sicheren Dokumentenzugang liegen sollte.
Vier-Augen-Prinzip: Das Vier-Augen-Prinzip ist ein weit verbreiteter Mechanismus des Risikomanagements und besagt, dass eine bestimmte Aktivität von zwei Personen überprüft werden muss - im Wesentlichen eine doppelte Kontrolle. In einer IKS beinhaltet das Vier-Augen-Prinzip in der Regel die Zuweisung von zwei Prüfern zu einer Kontrolle und kann durch eine Softwareüberprüfung unterstützt werden.
Aufgabentrennung: Die Integrität einer IKS hängt oft von der Trennung bestimmter Aufgaben ab, um Interessenkonflikte, Betrug und andere potenzielle Fehler zu vermeiden. So sollten Unternehmen beispielsweise eine Kontrolle einführen, die sicherstellt, dass ein Mitarbeiter, der für den Erhalt von Kundenzahlungen zuständig ist, nicht auch für die Ausstellung von Rechnungen verantwortlich ist. Ebenso sollten die Zuständigkeiten für die Buchhaltung aufgeteilt werden, um sicherzustellen, dass verschiedene Teammitglieder für einzelne Prozesse, wie z. B. Prüfungen und Buchführung, verantwortlich sind.
Minimale Informationen: Abschlussprüfung ist auf ein Minimum an genauen, zeitnahen Informationen angewiesen, um eine effektive Entscheidungsfindung zu ermöglichen. Vor diesem Hintergrund sollten die Unternehmen sorgfältig darüber nachdenken, wie sie die relevanten Daten für ihre Kontrollen erfassen, wobei der Schwerpunkt auf Genauigkeit und Effizienz liegen sollte. Ebenso sollte die Website IKS allen Beteiligten Einblick in die Anwendung der Kontrollen gewähren - nicht nur, um die Rechenschaftspflicht zu fördern, sondern auch, um frühzeitig Hinweise auf mögliche Hindernisse und Verzögerungen zu geben.
Planung und Implementierung
Auch wenn die Details und die Struktur der einzelnen IKS unterschiedlich sind, sollte der Planungs- und Implementierungsprozess die folgenden Schritte umfassen:
- Überprüfung der Kontrollen: In Abstimmung mit dem Buchhaltungsteam sollten die CFOs eine Überprüfung der bestehenden Kontrollen durchführen, um Lücken bei der Einhaltung der Vorschriften oder Möglichkeiten zur Integration neuer technologischer Instrumente zu ermitteln.
- Entwicklung: Im Anschluss an die Überprüfung müssen die CFOs neue Kontrollen entwickeln, um den Risiken zu begegnen, denen sie ausgesetzt sind. Dabei sollte berücksichtigt werden, dass die Kontrollen so nahtlos wie möglich in die bestehenden Arbeitsabläufe integriert werden müssen.
- Politik und Verfahren: Die Website IKS sollte durch eine ausführliche Dokumentation, einschließlich schriftlicher Richtlinien und Verfahren, sowie Anweisungen zur Durchführung spezifischer Kontrollen unterstützt werden.
- Mitarbeiterschulung: Der Erfolg von IKShängt von der Fähigkeit der Mitarbeiter ab, es wirksam zu nutzen. Dementsprechend sollten die Mitarbeiter darin geschult werden, wie die Kontrollen anzuwenden sind und welche Rolle und Bedeutung sie innerhalb des größeren Rahmens haben.
- Kontrolltests: Die Website IKS muss vor ihrer Einführung getestet werden, um sicherzustellen, dass sie die Zielvorgaben für die Einhaltung der Vorschriften erfüllt, und anschließend in regelmäßigen Abständen, um die kontinuierliche Wirksamkeit zu gewährleisten.
- Laufende Überwachung: CFOs sollten die Effektivität ihrer IKS sorgfältig überwachen und den Blick auf kommende regulatorische Änderungen und aufkommende Risiken richten, die Anpassungen oder neue Kontrollen erforderlich machen könnten.
Die Einführung eines neuen internen Kontrollsystems kann zu organisatorischen Hindernissen führen und möglicherweise die Bereitstellung von Produkten und Dienstleistungen stören. Die Unternehmen sollten mögliche Störungen während des Entwicklungsprozesses berücksichtigen und, wenn möglich, Strategien zur Abschwächung entwickeln.
Prüfung des Internen Kontrollsystems durch Interne Revision
Interne Audits gewährleisten die fortlaufende Wirksamkeit einer IKS. Ein internes Auditteam hat einen einzigartigen Einblick in die Compliance-Ziele des Unternehmens und in weitere Faktoren, die die Anwendung der Kontrollen unterstützen oder behindern könnten. Zu diesem Zweck lohnt es sich, einen regelmäßigen IKS Prüfungsplan und ein Team einzurichten, das interne Prüfungen durchführt und dem Vorstand über den aktuellen Stand der Kontrollen berichtet.
IKS und Finanzberichterstattung
Eine der Hauptaufgaben einer IKS ist es, die Richtigkeit und Vollständigkeit der Finanzberichte sicherzustellen - eine Praxis, die als interne Kontrolle über Finanz-Reporting (ICFR) bekannt ist. Einige Rechtsordnungen haben Vorschriften erlassen, die Personen innerhalb eines Unternehmens die rechtliche Verantwortung für die ICFR zuweisen. In den USA beispielsweise macht das SOX-Gesetz die Führungskräfte eines Unternehmens für den ICFR verantwortlich, während in Europa die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (CSRD) und der aktualisierte Corporate Governance Code des Vereinigten Königreichs ähnliche Verantwortlichkeiten für Führungskräfte vorsehen.
Dementsprechend sollten sowohl der Verwaltungsrat als auch die leitenden Angestellten mit den Einzelheiten ihres IKS vertraut sein und in den Prozess der Umsetzung einbezogen werden:
- Einrichtung einer wirksamen Kontrolle über Finanzberichterstattung
- Bewertung der Funktionsfähigkeit der internen Finanzberichterstattungs-Kontrollen anhand geeigneter Kriterien, wie z. B. COSO.
- Erstellung von Nachweisen und Unterlagen, die interne und externe Prüfer zur Bewertung und Überprüfung von Kontrollen verwenden können.
- Vorlage einer schriftlichen Bewertung der Funktionsfähigkeit der Kontrollen am Ende des Finanzjahres.
IKS Effizienz mit FloQast
Bauen Sie effektive, effiziente und genaue Kontrollen in das Herzstück Ihres Unternehmens ein. Die Software FloQast compliance management unterstützt Unternehmen jeder Größe bei der Umsetzung ihrer IKS mit automatisierten Kontrollen, die in die täglichen Buchhaltungsabläufe integriert sind, um Kosten und administrative Reibungsverluste zu reduzieren und die betriebliche Flexibilität zu erhöhen.
Erfahren Sie mehr über FloQast Compliance Management: Nehmen Sie noch heute Kontakt auf.