Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
Interne Kontrollsysteme
I. Begriffliche Grundlagen
Bei dem Begriff des Internen Kontrollsystems handelt es sich um eine unvollständige und daher meist missverstandene Übersetzung des englischen „Internal Control Systems“. Im Vordergrund des „Internal Control Systems“ steht nicht die Kontrolle, wie oftmals vermutet wird, sondern vielmehr die Steuerung von Risiken bei gleichzeitiger Überwachung der dazugehörigen Prozesse.
Demnach stellt das Interne Kontrollsystem (IKS) die Gesamtheit aller Maßnahmen, Verfahren und Grundsätze in einem Unternehmen dar, die zur systematischen Prüfung aller Geschäftsprozesse eingesetzt werden und dient als zentraler Bestandteil des internen Überwachungssystems zur Sicherstellung einer effektiven Geschäftsführung. Alle Aktivitäten innerhalb des Internen Kontrollsystems sind also gerade auf die Risikominimierung einerseits und die Zielerfüllung innerhalb der Geschäftstätigkeit andererseits ausgerichtet.
Ein IKS setzt sich aus technischen Einrichtungen und organisationalen Prinzipien der internen Kontrolle zusammen. Zur kontinuierlichen Überprüfung und Anpassung des IKS an die Umweltbedingungen des Unternehmens wird das IKS von der Internen Revision ergänzt und überwacht. Ein IKS besteht aus mehreren Komponenten, die in gegenseitiger Wechselwirkung zueinanderstehen und i. d. R. in die regulären Arbeitsprozesse eingebunden sind.
Mithilfe eines IKS sollen Risiken und Entwicklungen, die den Fortbestand des Unternehmens gefährden, frühzeitig erkannt und die Einhaltung unternehmerischer, rechtlicher und ethischer Richtlinien i. S. einer guten Corporate Governance gewährleistet werden. Gleichzeitig soll die Effizienz aller unternehmerischer Vorgänge optimiert und damit das Erreichen strategischer und operativer Ziele unterstützt werden. Die Entwicklung, Implementierung, Überwachung sowie dauerhafte Weiterentwicklung eines IKS ist als unumgängliche Aufgabe der Geschäftsführung zu verstehen und unterliegt demnach dem Vorstand. Im Falle einer Nichteinhaltung der Sorgfaltspflicht haftet dieser für den entstandenen Schaden gegenüber der Gesellschaft. Natürlich werden die Verantwortlichkeiten für die Sicherstellung des IKS über die einzelnen Hierarchiestufen des Unternehmens weiter heruntergebrochen, so dass auf jeder Hierarchiestufe bzw. idealerweise jeder Angestellte des Unternehmens für den eigenen Bereich ein Verständnis über die Risikoposition und die zur Mitigation der Risiken notwendigen Internen Kontrollen hat.
Inkonsistenz sowie mangelnde Nachvollziehbarkeit im Rahmen des IKS stellen unternehmensinterne Fehlentwicklungen dar und führen häufig zu vorsätzlichen oder unbeabsichtigten Verstößen gegen unternehmenspolitische bzw. gesetzliche Richtlinien bzw. zu dolosen Handlungen (Fraud). Um die Einhaltung der Grundsätze zu jedem Zeitpunkt sicherzustellen und negativen Verhaltensdispositionen vorzubeugen, sind Kontrollsysteme stets auf allen Unternehmensebenen einzurichten und zu betreiben. Ein geeignetes Instrumentarium ist wichtig, um die Gelegenheiten für dolose Handlungen zu verringern bzw. zu erschweren und das Risikobewusstsein und die Integrität der Mitarbeiter zu steigern.
Bungartz, Handbuch Interne Kontrollsysteme (IKS) – Steuerung und Überwachung von Unternehmen, 6. Aufl. 2020
Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Integrating with Strategy and Performance, 2017
Deutsches Institut für Interne Revision (DIIR), Revision des Internen Kontrollsystems, Prüfungsleitfäden zu Funktion und Wirksamkeit, 2020
Eulerich, Die Interne Revision, 2018
Hunziker/Renggli/Fallegger, Interne Kontrollsysteme im Finanzbereich, 2018
Institut der Wirtschaftsprüfer (IDW), IDW PS 982 zur Prüfung des internen Kontrollsystems des internen und externen Berichtswesens, 2017
Kersten/Klett/Reuter/Schröder, IT-Sicherheitsmanagement nach der neuen ISO 27001, 2. Aufl. 2020
Klinger/Klinger, Das Interne Kontrollsystem im Unternehmen, Checklisten, Organisationsanweisungen, Praxisbeispiele und Muster-Prüfberichte, 2. Aufl. 2009
Rae/Sands/Subramaniam, Associations among the Five Components within COSO Internal Control-Integrated Framework as the Underpinning of Quality Corporate Governance, 2017
II. Gesetzliche Grundlagen
Regulatorisch verankert ist das IKS im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG § 91 Abs. 2 AktG). Dieses verpflichtet den Vorstand und die Geschäftsführung der Aktiengesellschaften, Kommanditgesellschaften auf Aktien und bestimmter GmbHs zur Einrichtung eines ganzheitlichen Überwachungs- und Kontrollsystems.
Durch § 289 Abs. 5 HGB werden kapitalmarktorientierte Unternehmen i. S. des § 264d HGB verpflichtet, die Merkmale ihres internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess im Lagebericht zu beschreiben. Bei einem Konzern findet diese Regelung Anwendung für das Mutterunternehmen sowie alle kapitalmarktorientierten Tochterunternehmen.
Dabei liegt keine konstitutive Vorgabe zur Implementierung oder möglichen Ausgestaltung des Kontrollsystems vor. Vielmehr sind die Kontrollobjekte an unternehmens- bzw. branchenspezifische Risiken und Richtlinien anzupassen. Je nach Zweck, Zielrichtung, Markt und Eigenarten einer Unternehmung sind die relevanten Anforderungen an das IKS individuell zu definieren.
Die Inkonsistenz sowie eine mangelnde Nachvollziehbarkeit von IKS stellen eine unternehmensinterne Fehlentwicklung dar und führen häufig zu vorsätzlichen oder unbeabsichtigten Verstößen gegen unternehmenspolitische bzw. gesetzliche Richtlinien (Fraud). Um die Einhaltung jener Grundsätze zu jedem Zeitpunkt sicherzustellen und negativen Verhaltensdispositionen vorzubeugen, sind Kontrollsysteme stets auf allen Unternehmensebenen einzurichten und zu betreiben. Dies stellt ein geeignetes Instrumentarium dar, um die Gelegenheit zu dolosen Handlungen zu verringern bzw. zu erschweren und das Risikobewusstsein und die Integrität der Mitarbeiter zu steigern. Seit 2009 beschreibt zudem das Bilanzrechtsmodernisierungsgesetz (BilMoG) explizit das IKS. Nach § 107 Abs. 3 AktG ist es Aufgabe des Aufsichtsrates, die Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des Revisionssystems zu überwachen. Der Gesetzgeber verzichtete indes auch hier auf eine nähere Definition und führte nicht aus, wie die Systeme auszugestalten sind.
Durch das Inkrafttreten des Gesetzes zur Stärkung der Finanzmarktintegrität (FISG) im Jahr 2021 ist die Überwachung der Wirksamkeit des Internen Kontrollsystems durch den Aufsichtsrat sogar über das BilMoG hinausgehend kodifiziert worden.
III. Ziele des internen Kontrollsystems
Als wesentliche Prinzipien verfolgt das IKS