Prof. Dr. Jana Heimel, Daniel Mönch
Ziele
Ziel des Internen Kontrollwesens (IK) ist es, die Finanzberichterstattungen durch wirksame interne Kontrollen qualitativ zu verbessern und so wesentliche Falschdarstellungen zu vermeiden, zu erkennen und ggf. zu korrigieren. Die Interne Kontrolle soll die Einhaltung von Normen und Richtlinien, die ein regelkonformes Verhalten (Compliance) aller Organisationsmitglieder fordern, sicherstellen und Verstöße gegen diese verhindern. Komplementär zum Risikomanagement zielt die Interne Kontrolle darauf ab, einen wesentlichen Beitrag zur Sicherung des Unternehmensbestands zu leisten. Im Fokus stehen dabei sowohl die Funktionsfähigkeit und Wirtschaftlichkeit von Geschäftsprozessen als auch die Zuverlässigkeit von betrieblichen Informationen und hier insbesondere die Sicherstellung der Verlässlichkeit der (Finanz-)Berichterstattung.
Inhalte
Die Interne Kontrolle beinhaltet die Dokumentation, Analyse und Gestaltung interner Kontrollmaßnahmen (vgl. Abb. 12), wie z. B. die Einrichtung wirksamer interner Kontrollen über die Finanzberichterstattung, die Beurteilung der Funktionsfähigkeit und Korrektheit sowie die Erstellung einer Dokumentation dieser internen Kontrollmechanismen für interne und externe Prüfer. Weiterhin tragen die (Organisations-)Strukturen und Prozesse zur Umsetzung einer wirksamen Compliance bei. Interne Kontrollen können in Form eines Internen Kontrollsystems (IKS), welches an einem standardisierten Kontrollmodell ausgerichtet ist (z. B. COSO), systematisch gestaltet sein. Teile der erwähnten Kontrollaktivitäten werden dabei auch in den einzelnen Bereichen, wie der Debitoren- oder Kreditorenbuchhaltung, durchgeführt und die Ergebnisse an das Interne Kontrollwesen geliefert.
Abb. 12: Gestaltung der Internen Kontrolle
Set-up und Pflege
Voraussetzung für die effektive und effiziente Durchführung der Internen Kontrolle ist die Identifizierung und Bewertung von Unternehmensrisiken sowie ein an diesen entsprechend ausgerichtetes Kontrollsystem. Hierfür sind Kontrollziele oder -maßnahmen, Compliance-Standards und Verantwortlichkeiten zu definieren. Diese werden in einem Kontrollhandbuch (KHB) dokumentiert und im IKS abgebildet. Wichtig für das Aufsetzen und die Pflege des IKS ist sowohl die regelmäßige Nachverfolgung von Änderungen relevanter unternehmensexterner Richtlinien und Gesetze als auch unternehmensinterner Prozess- bzw. Systemabweichungen (z. B. in Arbeitsanweisungen oder Betriebsvorschriften).
IKS Monitoring
Im Rahmen der Durchführung des Monitoring sind Prozesse, Systeme und Daten fortlaufend in vorgegebenen Zeitabständen zu prüfen, d. h. mit definierten Standards und Zielwerten zu vergleichen. Bei Feststellung eines kritischen Zielerreichungsgrads oder der Entdeckung eines Verstoßes gegen Gesetze, Richtlinien und Standards muss ein Compliance-Vorfall erfasst werden. Für diesen ist das finanzielle Risiko zu bewerten und die Auswirkung der Soll-Abweichung oder des Regelverstoßes auf das Finanzergebnis zu kalkulieren. Mit dem zuständigen Verantwortlichen sollten der Sachverhalt sowie die möglichen Konsequenzen besprochen und schriftlich festgehalten werden.
Maßnahmenumsetzung
Abweichungen sind an die Finanzbuchhaltung und ggf. das Management weiterzuleiten. Schließlich müssen die vorher definierten Maßnahmen in die Wege geleitet und Kontrollorgane informiert werden. Die Umsetzung der Maßnahme sollte durch einen Kontrollverantwortlichen geprüft werden. Erst bei Erfüllung der Internen Kontrolle bzw. der Compliance-Standards wird final die Bestätigung über ein funktionierendes IKS ausgestellt.
Interne Kommunikation
Über interne Kontrollaspekte sollte das gesamte Unternehmen informiert werden. Hierfür sind IK-Standards, insbesondere das KHB, regelmäßig zu aktualisieren und intern zu kommunizieren. Des Weiteren sind entsprechende Schulungsunterlagen zu erstellen und Schulungen durchzuführen.
Prozessleistungsmessung, KPIs
Für den Prozess der Internen Kontrolle lässt sich eine Vielzahl von Prozessleistungsmessgrößen ermitteln. Diese können genereller Natur sein, wie z. B. Abschreibungen bzw. Verluste, können jedoch auch sehr speziell aus den Aktivitäten des Prozesses abgeleitet werden. Zu nennen sind z. B. die Anzahl von Revisions-Findings oder der Anteil von Mitarbeitern, die bestimmte Schulungen besucht haben (z. B. Geldwäscheschulung). Weitere interessante Kenngrößen sind die Abschlussquote der Compliance-Weiterbildung, risikobedingte Ausfallzeiten, die Anzahl an Disziplinarverfahren oder die Höhe von Strafzahlungen.
Empfehlung für einen erfolgreichen Internen Kontrollprozess
- Geben Sie konkrete Sollkonzepte und messbare Zielwerte vor (Transparenzprinzip).
- Wenden Sie einheitliche Bewertungsmaßstäbe und -methoden an.
- Stellen Sie durch (Gegen-)Kontrollen gemäß des 4-Augen-Prinzips die Zuverlässigkeit wesentlicher Geschäftsvorfälle sicher.
- Betrauen Sie vollziehende, verbuchende und verwaltende Tätigkeiten mit verschiedenen Verantwortlichkeiten (Prinzip der Funktionstrennung).
- Entwickeln Sie effektive und na...