Für den Aufbau eines IKS und die Anforderungen an ein IKS gibt es verschiedene Quellen bzw. Richtlinien und Rahmenwerke, z. B. das international etablierte "Internal Control Framework – COSO" (ergänzt um COSO II "Enterprise Risk Management – Integrated Framework") sowie den IDW PS 261.
Das COSO-Modell muss zwar nicht (vollumfänglich) angewendet werden, es empfiehlt sich aber als Ausgangsbasis und Hilfsmittel, um ein IKS erstmalig aufzubauen, das im Zuge dessen unternehmensindividuell zugeschnitten wird.
Für den Aufbau eines IKS und die Anforderungen an ein IKS gibt es verschiedene Quellen bzw. Richtlinien und Rahmenwerke, z. B. das international etablierte "Internal Control Framework – COSO" (ergänzt um COSO II "Enterprise Risk Management – Integrated Framework") sowie den IDW PS 261.
© Konstantin Yuganov / Adobe Stock
Die richtige Wahl treffen: Für Ihr persönliches IKS müssen Sie sich zwischen verschiedenen Richtlinien und Quellen zurechtfinden.
Das aktuelle Rahmenwerk bezieht sich im Hinblick auf das IKS nicht mehr ausschließlich auf die externe Finanzberichterstattung, sondern auch auf die nicht-finanzielle Berichterstattung, auf die sog. Corporate Responsibility sowie auf externe Risiken, z. B. bei Lieferanten, Kooperations- und Vertragspartnern. Nach diesem erweiterten Ansatz sollte das IKS z. B. auch dahingehend Vorkehrungen treffen, dass bzgl. der Lieferanten ein Controlling stattfindet und Vorsorge für den Ausfall von Hauptlieferanten getroffen wird.
Das COSO-Modell muss zwar nicht (vollumfänglich) angewendet werden, es empfiehlt sich aber als Ausgangsbasis und Hilfsmittel, um ein IKS erstmalig aufzubauen, das im Zuge dessen unternehmensindividuell zugeschnitten wird.
Es gibt vier Prinzipien, die beim Aufbau eines IKS beachtet werden sollten:
- Funktionstrennung
- Vier-Augen-Prinzip
- Transparenzprinzip
- Prinzip der Mindesinformation
Geschäftsprozesse umfassen i. d. R. mehrere Schritte, von der Annahme und Genehmigung z. B. eines Auftrags über die Durchführung bis hin zur Verbuchung und Kontrolle. Funktionstrennung bedeutet, dass Geschäftsprozesse sich nicht in einer Hand befinden, sondern dass verschiedene Personen bzw. Abteilungen involviert sind, die sich gegenseitig kontrollieren. Allgemein sollten vollziehende Funktionen (z. B. der Einkauf), verbuchende Funktionen (z. B. Kreditorenbuchführung) und verwaltende Funktionen (z. B. Eingangslager) getrennt sein.
Beispiel
Ein Mitarbeiter der Einkaufsabteilung des Unternehmens legt in den Stammdaten einen neuen Lieferanten an. Wenn der gesamte Prozess bis hin zur Bezahlung in seiner Hand läge, könnte er theoretisch einen "Strohmann" anlegen, fingierte Rechnungen z. B. für Lieferungen oder Dienstleistungen erstellen und die Bezahlung anweisen.
Das lässt sich durch Funktionstrennung verhindern: der Einkäufer bereitet die Stammdaten vor, die Freigabe des neuen Lieferanten erfolgt durch den Abteilungsleiter. Die Lieferungen müssen durch die Wareneingangsabteilung erfasst oder im Falle von Dienstleistungen durch den Empfänger (z. B. Rechnungswesen für Steuerberaterrechnungen, Produktionsabteilung für Maschineninstandhaltung etc.) bestätigt und abgezeichnet werden. Die Zahlung der Rechnungen wird durch die Kreditorenabteilung veranlasst, der Zahlungslauf wird durch zwei Geschäftsführer genehmigt.
Andere Problembereiche im Einkauf sind Bestechlichkeit bzw. Korruption (der Einkäufer wählt nicht den besten Lieferanten (Qualität, Preis-Leistungs-Verhältnis etc.), sondern einen, der ihm "Prämien" oder Sachleistungen zukommen lässt. Hier hilft z. B. eine standardisierte Festlegung nachvollziehbarer Kriterien für die Lieferantenauswahl, die vor Freigabe durch eine weitere Person (z. B. den Einkaufsleiter) geprüft wird. Das beseitigt die Gefahr nicht komplett, ist aber zumindest ein Schritt in die richtige Richtung.
Insbesondere der Zugriff auf die Kassen- und Bankbestände muss ausreichend geschützt werden, z. B. indem gestaffelt nach Höhe zum einen mehrere Unterschriften (z. B. Abteilungsleiter Einkauf und Geschäftsführer) und höherrangige verlangt werden (z. B. Unterschrift durch mindestens zwei Geschäftsführer oder Vorstände).
Das Vier-Augenprinzip besagt, dass wesentliche Transaktionen (z. B. die Unterzeichnung und Freigabe eines Zahlungslaufs, das Unterschreiben von Verträgen, die Annahme eines neuen Großkunden) von vier Augen bzw. zwei Personen vorgenommen werden sollten. Üblicherweise handelt es sich dabei um eine ausführende Person (Beispiel: ein Vertriebsmitarbeiter hat einen neuen Kunden gewonnen) und eine kontrollierende Person (Beispiel: Leiter Rechnungswesen, der den Kunden erst zur Belieferung freigibt, wenn die Kreditwürdigkeitsprüfung des Kunden erfolgreich war).
Das Transparenzprinzip ähnelt der Anforderung des § 238 Abs. 1 Satz 2 HGB, wonach die Buchhaltung für einen sachkundigen Dritten nachvollziehbar beschaffen sein muss. In Bezug auf das IKS fordert das Transparenzprinzip, dass Geschäftsprozesse (z. B. der Einkauf) als Sollprozesse vorliegen bzw. dokumentiert sein sollten, die festlegen, welche Aktivitäten und Kontrollen innerhalb des Prozesses vorgenommen werden und anhand derer ein sachkundiger Dritter (z. B. ein Mitarbeiter der internen Revision oder ein Abschlussprüfer) feststellen kann, ob der Sollprozess von allen beteiligten Abteilungen und Personen eingehalten wurde.
Jeder Mitarbeiter und jede Abteilung sollte nur so viele Informationen und Datenzugriffsmöglichkeiten haben, wie sie zur Erfüllung der Aufgaben benötigen. D.h. z. B., ein Einkäufer benötigt keine Vertriebsdaten oder Personaldaten. Ggfs. sind auch die Informationen innerhalb seines Bereichs eingeschränkt, z. B. wenn der Einkäufer nur für Käufe von Maschinen und technischen Anlagen (und nicht von RHB-Stoffen oder Zulieferteilen) zuständig ist. Allerdings muss man bei der Zuschneidung der Kompetenzen etwaige Vertretungsregelungen im Auge behalten (was passiert, wenn der Einkäufer für Zukaufteile krank oder im Urlaub ist?).
Das IKS umfasst in der Übersicht mehrere Bestandteile:
- Kontrollumfeld
- Risikobeurteilung
- Kontrollaktivitäten
- Information und Kommunikation
- Überwachung
Das Kontrollumfeld wird durch das Unternehmensleitbild, die Corporate Governance, die oberste Führungsebene sowie etwaige Verhaltenskodizes oder Ethikkodizes determiniert. In einem Verhaltenskodex legt die Unternehmensspitze (z. B. Vorstand zusammen mit Aufsichtsrat) z. B. fest, dass das Verhalten des Unternehmens und der Mitarbeiter rechtlich und ethisch einwandfrei sein soll. Das schließt ganz praktische Aspekte ein, z. B. den Verzicht auf Korruption bzw. Bestechung oder die Einhaltung von Exportbeschränkungen und Boykottauflagen etc. (auch wenn dies natürlich Umsätze verhindert und es andere, konkurrierende Unternehmen damit vielleicht nicht so genau nehmen).
Die Ausgestaltung und der Umfang des IKS sind letztlich unternehmensindividuell. Ausgangspunkt ist eine Risikoidentifikation, -analyse und -beurteilung im gesamten Unternehmen. Risiken hängen davon ab, in welcher Branche, auf welchen Märkten (nach Kundengruppen und Regionen), mit welchem Geschäftsmodell, mit welchen Produkten und unter welchen gesetzlichen, rechtlichen oder regulatorischen Rahmenbedingungen das Unternehmen operiert.
Die Risikobeurteilung umfasst mehrere Stufen:
-
Risikoidentifikation:
Die Risiken werden in allen Bereichen erfasst und systematisch geordnet (z. B. Vertriebsrisiken, Produktrisiken, Finanzrisiken etc.).
-
Risikoanalyse und -bewertung:
Diese umfassen zum einen die Bewertung der jeweiligen Risiken mit der geschätzten Eintrittswahrscheinlichkeit sowie mit dem Schadensausmaß (Bruttorisiko), zum anderen auch den Umgang mit den Risiken:
-
Risiken tragen bzw. in Kauf nehmen?
-
Risiken auf andere (v. a. Versicherungen) abwälzen?
-
Risiken durch Gegenmaßnahmen minimieren (z. B. Einsatz von Finanzinstrumenten)?
-
etc.
Die Risikobeurteilung entscheidet darüber, welche und wie Risiken durch Maßnahmen des IKS abgemildert oder gänzlich ausgeschaltet werden können.
Kontrollaktivitäten sind die eigentlichen Maßnahmen, die auf Basis der Risikobeurteilung im Unternehmen umgesetzt werden. Man kann dabei verschiedene Kontrollarten unterscheiden:
Präventive, vorbeugende Kontrollen bzw. organisatorische Sicherungsmaßnahmen werden eingesetzt, um Fehler bereits im Ansatz zu verhindern. Sie werden laufend bzw. regelmäßig (z. B. monatlich) und automatisch vorgenommen, indem sie fest in der Aufbau- und Ablauforganisation verankert werden, um Fehler und Vermögensschäden von vornherein zu vermeiden. Zu den organisatorischen Sicherungsmaßnahmen zählen z. B. die Funktionstrennung, Zugriffsbeschränkungen auf EDV-Programme, Verfahrensanweisungen und -richtlinien.
Beispiel:
Das IT-System wird dadurch geschützt, dass Benutzerberechtigungen entsprechend den Anforderungen der jeweiligen Stelle vergeben werden und der Zugang zum IT-System durch Benutzernamen, Passwörter und ggf. Kartensysteme gesichert wird.
Detektive bzw. aufdeckende Kontrollen werden eingesetzt, um Fehler systematisch entdecken zu können.
Beispiele:
Der Leiter Rechnungswesen kontrolliert am Tagesende, ob die Summe der Ausgangsrechnungen dem gebuchten Umsatz des Tages entspricht.
Die interne Revision prüft anhand von Stichproben, ob Zahlungsanweisungen die geforderten Unterschriften seitens der Zeichnungsberechtigten enthalten.
Automatisierte Kontrollen umfassen z. B. den Zugriffsschutz auf das IT-System (Autorisierung durch Benutzername und Passwort), die Verwendung von Prüfziffern und Prüfsummen, den Datenabgleich, die Vornahme von Plausibilitätskontrollen (z. B. negative Lagebestände) etc.
Manuelle Kontrollen sind z. B. die Inventuraufnahme, die Abstimmung von Konten, die Durchsicht einer Auftragsliste, die Klärung von Differenzen bei den Debitoren, die Vornahme von Saldenbestätigungen, die monatliche Erstellung und Verteilung eines Reportings etc.
Ein wirksames IKS setzt voraus, dass die Maßnahmen in der Organisation implementiert werden. Das umfasst z. B.
-
das Erstellen von Arbeitsanweisungen und Stellenbeschreibungen (Ziele, Aufgaben, Befugnisse) für jeden Arbeitsplatz (z. B. innerhalb eines Organisationshandbuchs);
-
die Festlegung, welche Fehlertoleranzen zugelassen werden (Beispiel: ein Kunde bezahlt eine Rechnung über 3.590,93 Euro aufgrund eines Zahlendrehers mit 3.590,39 Euro. Die Differenz in Höhe von 0,54 Euro sollte sicherlich keine aufwendigen Aktionen auslösen);
-
Unterschriftsregelungen: wer darf was und in welcher Höhe unterschreiben bzw. genehmigen, ab wann sind höhere Hierarchieebenen einzuschalten, etc.
Die Kontrollspannen innerhalb eines Unternehmens dürfen nicht zu groß sein. Gruppen- oder Abteilungsleiter können nur eine bestimmte Anzahl an unterstellten Mitarbeitern führen und überwachen. Wie groß diese Kontrollspanne im Einzelfall sein kann, hängt davon ab, wie sensibel und risikobehaftet der Bereich ist und davon, ob es sich um Routinearbeiten (z. B. die Verbuchung von Ausgangsrechnungen) oder um komplexe Aufgabenstellungen (z. B. die Kalkulation und das Projektcontrolling von Großprojekten) handelt.
Für Benutzerberechtigungen gilt der Grundsatz: jeder Mitarbeiter sollte in den EDV-Systemen so viel wie nötig dürfen, aber so wenig wie möglich Zugriffe haben.
Beispiel:
Ein Einkäufer benötigt für seine Arbeit im ERP-System keine Zugriffe auf Vertriebsdaten oder Rechnungswesendaten. Auch innerhalb des Einkaufsmoduls kann und sollte seine Berechtigung begrenzt werden, z. B. insoweit als Freigaben neuer Lieferanten zwar durch ihn vorbereitet, aber nur durch den Abteilungsleiter vorgenommen werden können.
Natürlich sollten IT-Zugänge durch ausreichenden Passwortschutz gesichert sein (Mindestlänge für Passwörter, Zusammensetzung aus Buchstaben, Zahlen und Sonderzeichen, regelmäßige verpflichtende Änderung der Passwörter, keine Merkzettel für Passwörter auf dem Schreibtisch etc.).
Beispiele für in der Organisation verankerte Kontrollen:
-
Ausgangsrechnungen und Lieferscheine werden am Folgetag durch einen Mitarbeiter des Rechnungswesens für den Vortag abgeglichen; damit ist sichergestellt, dass gelieferte Waren auch fakturiert wurden.
-
Vertriebsmitarbeiter können im Rechnungsprogramm für ihre Kunden nur manuelle Rabatte in Höhe von 5 Prozent des Listenpreises eingeben. Darüber hinausgehende Rabatte nimmt das System nicht an oder es wird der zuständige Vertriebsleiter um Genehmigung angefragt.
-
Die Controlling-Abteilung nimmt am Monatsende einen Soll-/Ist-Vergleich der Margen oder Deckungsbeiträge vor. Bei wesentlichen Abweichungen geht sie den Differenzen nach.
-
In der Personalabteilung / Lohnabrechnung können Gehaltszahlungen nur für Personen vorgenommen werden, die vorher in den Stammdaten angelegt wurden.
-
Es werden monatliche Inventuren durchgeführt.
-
etc.
Diese organisatorischen Sicherungsmaßnahmen und Kontrollen werden (sofern es sich nicht um bereits implementierte IT-Kontrollen handelt) dergestalt im Unternehmen verankert, dass sie sich z. B. in den Aufgaben-/Stellenbeschreibungen der Mitarbeiter wiederfinden oder in einem Organisationshandbuch (z. B. auch für ISO-Zwecke) niedergelegt sind. Dadurch werden Fehler bzw. unerwünschte Verhaltensweisen verhindert (z. B. im Falle der IT-gestützten Rabattbeschränkung) oder nachträglich aufgedeckt (z. B. im Falle der Abgleiche/Abstimmungsarbeiten, Soll-/Ist-Vergleiche und Inventuren).
In kleineren Unternehmen müssen vom optimalen Zustand eines IKS Abstriche gemacht werden, da die personellen Kapazitäten oft nicht vorhanden sind und eine Funktionstrennung unter Umständen gar nicht möglich ist. Bezogen auf das obige Beispiel zur Funktionstrennung gibt es vielleicht nur einen Einkäufer (und keinen Einkaufsleiter) und dieser ist auch noch für die Buchführung zuständig. Natürlich gibt es dann auch keine interne Revision. Das IKS sollte in dem Fall so optimal implementiert werden, wie es unter den gegebenen, einschränkenden Voraussetzungen möglich ist.
© undrey / Adobe Stock
Für jedes IKS unabdingbar: Korrekte und vollständige Informationen, um auf Risiken reagieren und Kontrollen durchführen zu können.
Mitarbeiter, Abteilungen und v. a. Entscheidungsträger müssen zeitnahe, korrekte und vollständige Informationen erhalten, um auf Risiken reagieren und Kontrollen durchführen zu können. Das betrifft sowohl das interne als auch das externe Berichtswesen; hier müssen die Informationen entsprechend aufbereitet und den jeweiligen Nutzern zur Verfügung gestellt werden. Auch die Schulung der Angestellten des Unternehmens im Hinblick auf die Soll-Geschäftsprozesse und die einzuhaltenden Kontrollen gehört dazu.
Das IKS muss überwacht werden (werden die Kontrollen durchgeführt? Sind sie wirksam und effizient? Gibt es neue Anforderungen oder Wesentlichkeitsgrenzen? Etc.). Insbesondere Fehler und Schwachstellen sind auf der oberen Führungsebene zu kommunizieren.
Die Überprüfung der Wirksamkeit eines IKS gehört zu den Aufgaben der Internen Revision (sofern eine solche – wohl nur in größeren Unternehmen – vorhanden ist). Die interne Revision wird teilweise selbst als Bestandteil des internen Überwachungssystems zum IKS gezählt.
Die Interne Revision prüft prozessunabhängig innerhalb eines Unternehmens Strukturen und vergangene bzw. durchgeführte Aktivitäten. Die interne Revision nimmt sich dabei üblicherweise turnusmäßig einzelne Prüffelder vor (z. B. alle drei Jahre die Personalorganisation oder den Vertrieb).
Beispiel
Die interne Revision prüft im September t1 die Prozesse der Personalabteilung bzw. Lohn- und Gehaltsabrechnung eines Unternehmens mit 1.000 Mitarbeitern. Dazu zieht sie ausgehend von den Lohnzahlungen am Monatsende 100 Stichproben und verfolgt hierfür den gesamten Prozess nach. Dafür lässt sie sich die Stammdaten zeigen, prüft, ob das ausgezahlte Gehalt mit den Anstellungsverträgen bzw. den Gehaltsvereinbarungen übereinstimmt, ob Sonderzahlungen eine adäquate Grundlage haben, ob Firmenwägen etc. richtig abgerechnet wurden, ob die Mitarbeiter im Unternehmen (noch) tätig sind etc.
Auch die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) beschäftigen sich in Abschnitt 6 des BMF-Schreibens vom 14. November 2014 explizit mit dem IKS.
Danach hat der Steuerpflichtige für die Einhaltung der Ordnungsvorschriften des § 146 AO Kontrollen einzurichten, auszuüben und zu protokollieren, z. B.:
- Zugangs- und Zugriffsberechtigungskontrollen auf Basis entsprechender Zugangs- und Zugriffsberechtigungskonzepte (z. B. spezifische Zugangs- und Zugriffsberechtigungen)
- Funktionstrennungen
- Erfassungskontrollen (Fehlerhinweise, Plausibilitätsprüfungen)
- Abstimmungskontrollen bei der Dateneingabe
- Verarbeitungskontrollen
- Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten
Die Beschreibung des IKS ist ein Mussbestandteil der Verfahrensdokumentation, die für jedes mit der Buchführung zusammenhängende DV-System von der Finanzverwaltung gefordert wird. Die Verfahrensdokumentation muss den Inhalt, Aufbau, Ablauf und die Ergebnisses des DV-Verfahrens vollumfänglich und verständlich beschreiben.
Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist.
Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten in angemessener Zeit nachprüfbar sein.
Autor: Oliver Glück
YouTube
XING
Facebook
X
Instagram
