Zusammenfassung
Interne Kontrollsysteme (IKS) bestehen in den meisten KMU – sie sind oft nur nicht dokumentiert. Oftmals genügt es, lose Enden zusammenzuknüpfen und eine einheitliche Form herzustellen.
Eine IKS-Dokumentation ist gesetzlich verpflichtend für alle publizitätspflichtigen Unternehmen. Prüfer haben somit die Pflicht, eine Dokumentation einzufordern.
Ein IKS ist idealerweise Bestandteil eines Risikomanagementsystems.
Der Beitrag beschreibt die Aufgaben und Inhalte eines IKS und erläutert, auf welchen rechtlichen Grundlagen die Dokumentationspflichten basieren.
1 Praxisorientierte Definition eines IKS
Summe der Kontroll- und Prüfschritte bei RLP
Ein internes Kontrollsystem (IKS) kann als die Summe aufeinander abgestimmter Kontroll- und Prüfschritte bei Rechnungslegungsprozessen (RLP) verstanden werden, die letztlich die Recht- und Ordnungsmäßigkeit der Finanzberichterstattung an – insbesondere – externe Informationsempfänger garantieren sollen. Die Ordnungsmäßigkeit muss aber auch immer unter der Prämisse der Wirtschaftlichkeit beurteilt werden. Hier sind die Risiken einer fehlenden oder ungenügenden Kontrolle und die daraus möglichen Schäden den Kosten für die Kontrolle gegenüberzustellen.
Integration ins RMS
Ein IKS ist idealerweise in das Risikomanagementsystem (RMS) eines Unternehmens integriert (s. Abb. 1), da die allermeisten Kontroll- und Prüfroutinen oftmals unter beiden Gesichtspunkten Rechtmäßigkeit und Risikovermeidung vorgeschrieben sind. Durch eine Integration sollen Doppelroutinen vermieden werden.
1.1 Aufgaben eines IKS
IKS in erster Linie für Unternehmen wichtig
Die Einrichtung eines Systems interner Kontrollen ist ein erster Schritt zur Absicherung der internen Abläufe, Termine, Qualitätsziele und letztlich der wichtigsten aller Termine: des Auslieferungstermins und des Abnahmetermins. Im zweiten Schritt erst dient ein IKS dazu, den Stakeholdern (Wirtschaftsprüfern, Beirat, Aufsichtsrat, Vorstand, Geschäftsführung, ggf. Öffentlichkeit, Behörden), nachzuweisen, dass ein System interner Kontrollen verlässlich eingerichtet ist. Letztlich sollen – wie beim Risikomanagementsystem – nicht in erster Linie Prüferbedürfnisse befriedigt, sondern die Bestandsfestigkeit und Transparenz des Unternehmens gesichert werden.
Systematische Früherkennung
Es gilt, die Früherkennung von sich möglicherweise abzeichnenden Risiken systematisch zu betreiben. Dabei kann drohendes Unheil nur durch häufig kontrollierte, definierte und transparente Arbeitsschritte auf allen Stufen der Wertschöpfungskette im Rahmen einer Frühindikation erkannt werden. Zu diesem Risikomanagement gehören auch das Kommunizieren von erkannten Risikotatbeständen und das Kontrollieren von Maßnahmen, die zur Abhilfe vereinbart worden sind.
Abb. 1: Einbettung IKS in RMS
1.2 Der Rechnungslegungsprozess
Eine praxisbezogene Definition eines Rechnungslegungsprozesses (RLP) umfasst den RLP als die in sich zusammengehörige Summe aller Aktivitäten und Maßnahmen, die darauf gerichtet sind, kundenbezogene Forderungen oder Verbindlichkeiten von der Entstehung bis zum Ausweis in der Bilanz und Ergebnisrechnung korrekt abzubilden.
Umfang des RLP
Der RLP kann beginnen mit der dokumentierten Anbahnung von kunden-bezogenen Forderungen oder Verbindlichkeiten im Vorfeld der Auftragserteilung und endet in der längsten Version mit der Auflösung der für den ursprünglichen Tatbestand gebildeten Rückstellung.
Schnittstellen
Der RLP weist entlang seiner Wertschöpfungskette (nämlich der Realisierung des Abbildungstatbestands) Schnittstellen zu unterstützenden und kontrollierenden Systemen (IT) oder Funktionen (Vertrieb, Controlling, Einkauf etc.) auf.
Der Umfang des eigenen RLP ist vollständig zu definieren. Dabei ist zu beachten, dass dieser Prozess mit dem Jahresabschluss nicht beendet ist. Es könnten durch nachgelagerte, teils auch Jahre später erfolgende Postenauflösungen (z. B. Rückstellungen) die Umfangweiten des Rechnungslegungsprozesses deutlich ausgeweitet werden.
RLP ist mehr als Zeit zwischen Auftrag und Auslieferung
Ebenso können im Vorfeld der Auftragseinbuchung relevante Unterlagen, die zum Auftrag geführt haben, aus Prüfersicht durchaus mit zum RLP gerechnet werden. Beispielsweise werden bei strafrechtlich relevanten Prüfungen grundsätzlich Unterlagen gesichtet, die im Vorfeld der Auftragsvergabe im Rahmen der Geschäftsanbahnung verwendet wurden.
2 Rechtliche Grundlagen der Dokumentationspflichten
Bei Prüfungshandlungen im Rahmen der Jahresabschlussprüfung ist regelmäßig dem Wirtschaftsprüfer (WP) gegenüber nachzuweisen, dass den Anforderungen aus § 264d HGB und § 314 (2) 5 HGB ausreichend Genüge getan wird. Von diesen Regelungen sind zwar direkt nur kapitalmarktorientierte Firmen betroffen (ausgehend von § 289 (5) HGB), jedoch haben durch die Ausstrahlungswirkung des KonTraG vorgenannte Regelungen i. V. m. einschlägigen Vorschriften des GmbHG auch Entfaltungswirkungen auf nicht kapitalmarktorientierte Unternehmen. Deswegen richtet sich dieser Beitrag vorwiegend an die nicht kapitalmarktorientierten Unternehmen im Bereich der KMU.
Es ist jedoch nicht hinderlich zu erwähnen, dass diese Kontrollmechanismen...