Internes Kontrollsystem (IKS)

Handelsrecht

Einführung

Das Interne Kontrollsystem (im Folgenden kurz: IKS) umfasst bestimmte Ziele und alle darauf gerichteten Grundsätze, Verfahren und Maßnahmen.

Dazu gehören:

• die Einhaltung der für das Unternehmen einschlägigen gesetzlichen bzw. rechtlichen Vorschriften,
• die Ordnungsmäßigkeit und Verlässlichkeit der internen als auch externen Rechnungslegung (sowie auch der Geschäftsprozesse),
• die Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sowie
• der Schutz des betrieblichen Vermögens (dazu gehören auch die Vermeidung und Aufdeckung von Vermögensschädigungen).

Was umfasst das Interne Kontrollsystem?

Das interne Kontrollsystem umfasst das interne Steuerungssystem (Regelungen zur Steuerung der Unternehmensaktivitäten) sowie das interne Überwachungssystem (Regelungen zur Überwachung der Einhaltung dieser Regelungen). Die Maßnahmen des internen Überwachungssystems sind zum einen in die Arbeitsprozesse integriert (sog. organisatorische Sicherungsmaßnahmen und Kontrollen) und zum anderen prozessunabhängig (insbesondere Maßnahmen der Internen Revision).

Das IKS soll sich nach neuerem Verständnis auf alle wesentlichen Geschäftsprozesse inkl. der unterstützenden Prozesse (z. B. Einkauf, Produktion, Vertrieb, Lagerhaltung, Personal, EDV, etc.) beziehen.

Das IKS ist kein unveränderliches System, sondern unterliegt fortlaufenden Verbesserungen und Anpassungen an neue Gegebenheiten (z. B. neue Gesetze, Unternehmenswachstum, Feststellungen des Abschlussprüfers oder der Internen Revision etc.).

Die Notwendigkeit eines IKS ergibt sich auf Grundlage mehrerer Vorschriften

§ 91 Abs. 1 AktG verpflichtet den Vorstand, dafür zu sorgen, dass die erforderlichen Handelsbücher geführt werden. Bereits daraus lässt sich für Aktiengesellschaften die Erfordernis eines IKS ableiten, das sicherstellt, dass die Handelsbücher und v. a. die Tätigkeiten, die mit deren Führung zusammenhängen, ordnungsgemäß und gewissenhaft geführt bzw. ausgeführt werden. § 91 Abs. 2 AktG konkretisiert die Erfordernis weiter: der Vorstand hat geeignete Maßnahmen zu treffen und insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Das dadurch geforderte Risikofrüherkennungssystem (und auch ein Risikomanagementsystem) hat zahlreiche Überschneidungspunkte mit dem IKS.

§ 93 Abs. 1 AktG verlangt zudem von Vorstandsmitgliedern, bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Vergleicht man diese Anforderungen mit den o.g. Zielen, die ein IKS erfüllen soll, gehören diese Ziele sicherlich in den Bereich der Sorgfaltspflichten eines Vorstands.

Bei prüfungspflichtigen Aktiengesellschaften muss der Abschlussprüfer dem Aufsichtsrat über wesentliche Schwächen des internen Kontroll- und Risikomanagementsystems, bezogen auf den Rechnungslegungsprozess, berichten (§ 171 Abs. 1 Satz 2 AktG).

Von den Geschäftsführern einer GmbH verlangt § 43 Abs. 1 GmbHG, dass diese in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden haben. Dies impliziert – analog der o.g. Anforderung an den Vorstand einer Aktiengesellschaft – die Notwendigkeit der Aufrechterhaltung eines IKS.

Für Kapitalgesellschaften lässt sich die Notwendigkeit eines IKS somit direkt aus den einschlägigen Gesetzen ableiten. Für Personengesellschaften wie die OHG und KG ist dies nicht der Fall. Allerdings ist es allgemein anerkannt, dass die Aufrechterhaltung eines IKS (ggf. weniger „formell“ ausgestaltet) generell und unabhängig von der Rechtsform und Unternehmensgröße unter die Sorgfaltspflichten ordentlicher Geschäftsleiter, und damit auch der geschäftsführenden Gesellschafter auch einer OHG oder KG, fällt.

Das Video wird von YouTube eingebettet. Es gelten die Datenschutzerklärungen von Google. Erst nachdem Sie hier klicken, werden die Daten von YouTube geladen.

Zum Gratis-Video

§ 289 Abs. 5 sowie analog § 315 Abs. 2 Nr. 5 HGB verlangt von kapitalmarktorientierten Kapitalgesellschaften i. S. d. § 264d HGB, im Lagebericht die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess (d. h. nicht alle Bereiche und Geschäftsprozesse des Unternehmens betreffend) zu beschreiben. Bei Konzernlageberichten erstreckt sich die Verpflichtung auf den Konzernrechnungslegungsprozess, sofern eines der in den Konzernabschluss einbezogenen Tochterunternehmen oder das Mutterunternehmen kapitalmarktorientiert i. S. d. § 264d HGB ist.

Für in den USA börsengelistete Unternehmen verlangt der Sarbanes-Oxley-Act die jährlich zu erbringende und vom Abschlussprüfer zu bestätigende Erklärung, dass der Vorstandsvorsitzende (CEO) sowie die Finanzvorstand (CFO) die Verantwortung für den Aufbau und die Aufrechterhaltung eines IKS hinsichtlich der Finanzberichterstattung übernehmen. Darüber hinaus wird deren Einschätzung der Wirksamkeit der internen Kontrollen sowie der Finanzberichtsprozesse gefordert.

Wie das interne Kontrollsystem in der Praxis im Einzelnen bei dem jeweiligen Unternehmen bzw. Konzern ausgestaltet ist, hängt von mehreren Faktoren ab:

• die Größe, Komplexität und Organisation eines Unternehmens bzw. Konzerns. So erfordert ein großes, in mehreren verschiedenen Geschäftsfeldern global tätiges und nach der Matrixorganisation strukturiertes Unternehmen üblicherweise mehr Regelungen als ein kleines, nur im Inland operierendes Einproduktunternehmen mit flachen Hierarchien;
• die Rechtsform des Unternehmens: für Aktiengesellschaften, insbesondere börsennotierte, gelten aufgrund des umfangreichen Aktiengesetzes und der Voraussetzungen für Börsenzulassungen strengere Anforderungen als für GmbHs oder Personengesellschaften;
• die Art der Geschäftstätigkeit, der Branche und der zu beachtenden gesetzlichen Vorschriften des Unternehmens (Kernkraftwerksbetreiber und Pharmaunternehmen unterliegen in stärkerem Maße rechtlichen Vorschriften als z. B. der Hersteller von Schreibgeräten).

Die Größe des Unternehmens und dessen Eigentümerstruktur wirken sich insbesondere auf die Formalisierung des IKS aus. So haben kleine und mittelgroße GmbHs oder Personengesellschaften, die durch einen oder wenige geschäftsführende Gesellschafter geprägt sind, oft wenig Verwaltungspersonal sowie flache Hierarchien und die geschäftsführenden Gesellschafter sind im Tagesgeschäft nahe dran und treffen den Großteil der Entscheidungen.

Allgemeine Anforderungen an das IKS

Als allgemeine Anforderungen an ein internes Kontrollsystem kann man folgende drei Punkte festmachen, die unabhängig von der Unternehmensform und -größe gelten:

• das IKS sollte wirksam sein, d. h. nicht nur auf dem Papier bestehen, sondern auch wie vorgesehen durchgeführt und überwacht werden;
• das IKS und seine Durchführung sollten nachvollziehbar sein, d. h. es muss geprüft werden können, ob die Kontrollen wirklich durchgeführt wurden. Das setzt eine ausreichende Dokumentation voraus: der Vertriebsleiter sollte nicht nur auf Nachfrage z. B. des Abschlussprüfers oder der Internen Revision sagen „Die Deckungsbeiträge aller Aufträge habe ich mir jeweils am Monatsende angesehen“, sondern es sollte eine Auftrags-/Deckungsbeitragsliste für jeden Monat vorliegen, die von dem Vertriebsleiter abgezeichnet ist und ggfs. einen Kontrollvermerk oder etwaige Feststellungen enthält;
• effizient: das IKS muss auch effizient sein in dem Sinne, dass möglichst wenige, aber notwendige Kontrollen durchgeführt werden (nicht jede Bestellung muss dreifach überprüft werden oder durch fünf Abteilungen laufen); das IKS sollte nicht dazu führen, dass das Unternehmen langsam wird (der Kundenauftrag braucht fünf Tage zur Bearbeitung) und hohe Kosten für lediglich kontrollierende Tätigkeiten hat, die nichts zur Wertschöpfung des Unternehmens beitragen. Ggfs. lassen sich manuelle Kontrollen durch automatisierte Kontrollen ersetzen oder statt Einzelfallprüfungen lassen sich Kontrollen auf höherer Ebene durchführen (z. B. auf Kennzahlenbasis: Deckungsbeiträge, Renditen etc.).

Das IKS und die Abschlussprüfung

Auch für Abschlussprüfungen ist ein internes Kontrollsystem hilfreich.

Das Interne Kontrollsystem spielt auch im Rahmen der Abschlussprüfung eine große Rolle. Über die o.g. gesetzlichen Anforderungen hinaus wenden Abschlussprüfer i. d. R. einen risiko- und geschäftsprozessorientierten Prüfungsansatz an. D.h., es werden zum einen Prüfungsfelder (z. B. Vorräte) intensiver geprüft, wenn dieser Bereich mit hohen Risiken behaftet ist (z. B. schnelllebige Produkte, verderbliche Waren, hochwertige / teure Produkte etc.) und wenn dieser Bereich vom Unternehmen nur unzureichend gehandhabt und kontrolliert wird. Hierzu werden üblicherweise im Rahmen der Vorprüfung die Prozesse evaluiert und anhand vergangener Transaktionen Prozesskontrollen seitens des Abschlussprüfers durchgeführt.

Ergibt sich daraus, dass das Unternehmen die Prozesse und Risiken beherrscht (z. B.: monatliche Inventuren, regelmäßige Abschreibungen / Ausbuchungen veralteter Waren, Überwachung von Kennzahlen wie Lagerreichweite etc.), können die Prüfungen der Bilanzposten (und der dahinter stehenden Einzelsachverhalte wie hier der Vorratsbestandteile) am Jahresende reduziert werden.

Das Prüfungsrisiko – das Risiko, ein positives Prüfungsurteil in Form eines Bestätigungsvermerks bei einem fehlerhaften Abschluss bzw. Lagebericht abzugeben – setzt sich aus dem Fehlerrisiko und aus dem Entdeckungsrisiko zusammen. Das Fehlerrisiko wiederum setzt sich aus dem sog. inhärenten Risiko (dem Risiko, das z. B. einem Prüfungsbereich oder Bilanzposten aufgrund der Geschäftstätigkeit des Unternehmens oder der Art der Bestände des Bilanzpostens innewohnt) und dem Kontrollrisiko zusammen. Das Kontrollrisiko wird maßgeblich durch den Umfang und die Effektivität des IKS beeinflusst.

Das IKS steht auch in unmittelbarem Zusammenhang mit den GoBD. Die Finanzverwaltung fordert den Einbezug des IKS in die notwendige Verfahrensdokumentation.