4.1 Aufbau- und Ablauforganisation
Die Aufbauorganisation bildet gemeinsam mit der Ablauforganisation die formelle Organisationsstruktur eines Unternehmens. Eine Dokumentation der Aufbau- und Ablauforganisation ist bei der Einführung eines IKS in einem Unternehmen zwingend und muss allen Mitarbeitern im Unternehmen bekannt und zugängig sein (z. B. Intranet). Die Aufbauorganisation gliedert die Aufgaben eines Unternehmens in Aufgabenbereiche. Aus dem Organigramm über die Aufbauorganisation ergeben sich die zuständigen Stellen, Instanzen und Abteilungen innerhalb des Unternehmens.
Es sind Stellenbeschreibungen bzw. Funktionsdiagramme zu erstellen, in denen die Aufgaben, Kompetenzen und Verantwortungsbereiche klar dokumentiert sind. Bei Krankheiten, Urlaub oder sonstigen Abwesenheitszeiten müssen Stellvertretungen geregelt sein. Die Stellenbeschreibungen bzw. Funktionsdiagramme sind regelmäßig zu prüfen und an geänderte oder zusätzliche Aufgaben und Abläufe anzupassen. Dadurch wird vermieden, dass Aufgaben doppelt oder gar nicht erledigt werden. Handlungen, die Mitarbeiter außerhalb ihrer Zuständigkeiten vornehmen, werden erkennbar und sollten dann einer besonderen Prüfung unterzogen werden.
Die Ablauforganisation (auch Prozessmanagement genannt) baut auf den Ergebnissen der Aufbauorganisation auf. Alle Arbeitsabläufe müssen im Unternehmen geordnet ablaufen hinsichtlich Inhalt, Zeit und Raum. Für wichtige wesentliche Prozesse im Unternehmen wie Einkauf, Verkauf, Produktion, Lagerhaltung, Buchhaltung sowie für Investitionen sollten Richtlinien (Prozessbeschreibungen) vorgegeben werden. Die Informationserstellung an die Mitarbeiter ist zu standardisieren und dabei ist sicherzustellen, dass jeder Mitarbeiter die für seine Arbeit erforderlichen Informationen besitzt; die Möglichkeit zu laufenden Rückfragen sollte ausdrücklich geschaffen und kommuniziert werden (Intranet).
Ein wichtiges Element eines funktionierenden IKS ist eine angemessene Kontrollspanne der leitenden Mitarbeiter. Dabei ist darauf zu achten, dass einer Führungsfunktion nur so viele Personen unterstellt werden, dass deren Aufgabenerfüllung noch ausreichend sicher überwacht und beurteilt werden kann.
Die Zuordnung von Personen zu Aufgaben umfasst auch die Sicherstellung einer ausreichenden Funktionstrennung in Unternehmen. Dabei ist sicherzustellen, dass logisch nicht vereinbare Aufgaben voneinander getrennt werden. Beispiele hierfür sind die Vornahme von Kassenauszahlungen und deren Verbuchung sowie die Durchführung von Bestellungen und die Kontrolle des Wareneinganges. Werden diese ausführenden und verwaltenden Aufgaben von denselben Personen erledigt, besteht z. B. das Risiko, dass Gelder/Waren unterschlagen werden. Ist im Einzelfall aufgrund der Unternehmensgröße oder organisatorischer Gegebenheiten eine Funktionstrennung nicht möglich, muss diese durch Stichproben und Plausibilitätsprüfungen ersetzt werden.
Im Rahmen der Aufbau- und Ablauforganisation ist für ein funktionierendes IKS darüber hinaus die Frage der zentralen Informationsversorgung innerhalb des Unternehmens von Bedeutung. Neu eintretende Mitarbeiter sollten durch sie allein betreffende, konkrete Arbeits- und Dienstanweisungen systematisch auf ihre Aufgaben vorbereitet werden (Mindestinformationen). Eine zentrale Stelle (Datenbank) sollte sämtliche Informationen, Prozessbeschreibungen und Formulare verwalten und deren Aktualisierung und Verbreitung im Unternehmen sicherstellen bzw. die Zugriffsrechte auf die Daten einschränken. Mit der Existenz der Datenbank ist dann auch das Prinzip der Transparenz erfüllt. Außenstehende können anhand der Prozessbeschreibungen die Arbeitsabläufe überprüfen.
Bei wichtigen Geschäftsvorgängen (z. B. bei Investitionen, die ein gewisses Volumen übersteigen) muss eine Gegenkontrolle stattfinden (Vier-Augen-Prinzip). In der Praxis ist das z. B. bei Erteilung einer Gesamtprokura gem. § 48 Abs. 2 HGB gewährleistet.
4.2 Kernprozesse und Unterstützungsprozesse
Das IKS ist auf die gesamte Geschäftstätigkeit gerichtet. Dazu gehören alle wesentlichen Geschäftsprozesse. In einem Fertigungsunternehmen sind das z. B. Kernprozesse (u. a. Beschaffung, Produktion, Marketing, Vertrieb, Vorräte, Anlagen etc.) und administrative Unterstützungsprozesse (IT, Datenverarbeitung, Datenschutz, Personalwesen, Finanzierung, Buchhaltung, Mahnwesen etc.). Bei Dienstleistungsunternehmen sind die Kernprozesse naturgemäß andere.
Die Kontrollmaßnahmen des IKS sind in die Prozesse integriert und werden während der Betriebsabläufe erledigt bzw. auch davor oder danach.
Im Folgenden soll an einigen Prozessen das IKS punktuell dargelegt werden. Ein Vollständigkeitsanspruch besteht nicht.
4.3 IT und Rechnungswesen
Im Rahmen des Rechnungswesens ist eine organisierte Belegablage sicherzustellen. Datensicherheit hat das technische Ziel, Daten jeglicher Art in ausreichendem Maße gegen Verlust, Manipulationen und andere Bedrohungen zu sichern. Die physische Unversehrtheit der Unterlagen, soweit in Papierform vorhanden, ist durch entsprechende Schränke, Feuerschutztüren oder Safes sicherzustellen. Daten der...