Das interne Kontrollsystem eines Unternehmens besteht aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem).
Das interne Überwachungssystem beinhaltet prozessintegrierte Überwachungsmaßnahmen (Kontrollen) und prozessunabhängige Überwachungsmaßnahmen, die vor allem von der internen Revision durchgeführt werden.
Wichtige Elemente sind:
- Kontrollumfeld,
- Risikobeurteilung,
- Kontrollaktivitäten,
- Information und Kommunikation sowie
- Überwachung des IKS.
Das Kontrollumfeld ist geprägt durch die Grundeinstellung der Unternehmensführung zur internen Kontrolle überhaupt. Allen Mitarbeitern muss die Bedeutung von Ordnungsmäßigkeit, Sicherheit und Integrität vermittelt werden (Problembewusstsein). Aufsichtsrat und Geschäftsleitung können das Kontrollumfeld durch klare Weisungen (Führungsstil) beeinflussen, indem sie aufzeigen, dass in Bezug auf die interne Kontrolle keine Kompromisse eingegangen werden. Alle Führungskräfte und Mitarbeiter sind somit für den Rahmen der internen Kontrolle mitverantwortlich (Zuordnung von Weisungsrechten und Verantwortung). Dies umfasst die allgemeine Einstellung, das Bewusstsein und die Maßnahmen der Geschäftsleitung. Die Schaffung eines effektiven Kontrollumfeldes bei gleichzeitiger Beibehaltung einer humanen Unternehmenskultur ist eine erhebliche Herausforderung.
Im Rahmen der Risikobeurteilung geht es darum, u. a. alle wirtschaftlichen, rechtlichen, finanziellen Unternehmensrisiken rechtzeitig zu erkennen und ihre Auswirkungen auf das Unternehmen zu analysieren. Die zunehmende Komplexität und Vernetzung sowie der rasche Wandel – z. B. bei der Technologie – und ständige Gesetzesänderungen auf allen Gebieten (nicht nur Steuerrecht) inkl. umfassender Rechtsprechung und damit jedes wirtschaftliche Handeln für das Unternehmen erfordern eine permanente und systematische Auseinandersetzung mit den Chancen und Risiken, die den Erfolg eines Unternehmens beeinflussen.
Kontrollaktivitäten im Rahmen des IKS sind die Verfahren und Maßnahmen, mit denen die Ziele der internen Kontrolle erreicht werden sollen.
Eine weitere Komponente des IKS ist die Information und Kommunikation innerhalb des Unternehmens. Dies umfasst die Erstellung und Umsetzung von Richtlinien und Handbüchern, die finanzielle Rechnungslegung sowie regelmäßige oder für spezielle Anlässe erstellte Berichte. Information und Kommunikation stellen wichtige Bestandteile des Kontrollumfeldes dar.
Auch die Überwachung des internen Kontrollsystems an sich ist Teil der Aktivitäten. Dabei ist in periodischen Abständen das IKS auf seine Wirksamkeit hin zu untersuchen, um Mängel/Schwächen zu beseitigen.
Die interne Kontrolle darf nicht mit der Internen Revision gleichgesetzt werden. Die Interne Revision prüft und überwacht das IKS durch eigene Mitarbeiter des Unternehmens.