News

Neufassung IKS: Aufbau und/oder Prüfung des internen Kontrollsystems (IKS) nach IDW PS 951 n.F. / ISAE 3402

Das interne Kontrollsystem umfasst die Gesamtheit aller Regelungen, Prozesse sowie technischen, organisatorischen und personellen Maßnahmen zur Steuerung von Risiken in Bezug auf die Erreichung der Ziele und den Schutz der Vermögenswerte einer Organisation. Es berücksichtig damit alle wesentlichen Geschäftsprozesse, die für Leistungsfähigkeit und Effizienz des Unternehmens von Bedeutung sind. So werden in einem internen Kontrollsystem Grundsätze, Verfahren und Regelungen vereint, die auf die Sicherung von Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit zielen. Sie gewährleisten u.a. ordnungsgemäße und verlässliche interne sowie externe Rechnungslegung unter Einhaltung der für das Unternehmen relevanten, rechtlichen Normen. Ein IKS umfasst dabei einerseits Regelungen zur Steuerung der Geschäftsprozesse und beinhaltet andererseits Regelungen, die die Einhaltung der ersteren überwachen und sicherstellen. Zudem muss eine angemessene Dokumentation dieser Prozesse gewährleistet sein. Die Angemessenheit und Wirksamkeit des IKS lässt sich nach dem IDW PS 951 n.F., ISAE 3402 oder SSAE16 zertifiziert bzw. bescheinigt werden. Dabei wird zwischen einer Zeitpunkt (Angemessenheit) und Zeitraumbetrachtung (Wirksamkeit) unterschieden.

Eine Vielzahl von Gesetzen und regulatorischen Vorgaben fordern ein IKS und stellen daran konkrete Anforderungen. Dazu zählen die "Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen, und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD), die die Dokumentation des IKS als Bestandteil der Verfahrensdokumentation erfordern, das Ordnungswidrigkeitengesetz (OWiG) §§30 und 130, dass die unzureichende Aufsicht des Geschäftsbetriebs mit Geldbuße und Strafe sanktioniert sowie andere.  Hierbei sind die einschlägigen, gesetzlichen Regelungen für ein internes Kontrollsystem sehr umfangreich und beinhalten nationale wie internationale Gesetzestexte. Wirtschaftsprüfer und die interne Revision prüfen das IKS auf Angemessenheit, Wirksamkeit und Einhaltung der gesetzlichen Vorgaben. Verstöße in der Ausgestaltung des IKS können zu Haftungstatbeständen für die Unternehmensleitung führen.

Folgende Grundregeln sollten für den Aufbau und die Dokumentation des unternehmenseigenen IKS beachtet werden:

  1. Das IKS sollte den etablierten Prozessen im Unternehmen folgen und möglichst non-invasiv umgesetzt werden.
  2. Das IKS sollte möglichst sogenannte "Key-Kontrollen" umfassen, die zahlreiche Risiken abdecken.
  3. Die Kontrollen sollten möglichst automatisiert bzw. präventiv umgesetzt sein, um Zusatzaufwand durch manuelle Tätigkeiten und nachträgliche Kontrolle zu vermeiden.
  4. Das IKS sollte jährlich auf sich verändernde Gegebenheiten angepasst und kontinuierlich verbessert (KVP) werden.
  5. Die Dokumentation sollte so ausführlich wie nötig ausfallen und kann in weitere Dokumente verweisen. Umfangreiche Prozess- und Kontrollbeschreibungen werden oftmals nicht verwendet oder aktuell gehalten.
  6. Für den Aufbau / Dokumentation des IKS ist initial eine Feststellung der Unternehmens- und Prozessrisiken notwendig, auf deren Basis geeignete Kontrollen identifiziert und ggf. neu etabliert werden.
  7. Als Überblick über das IKS empfiehlt sich der Aufbau einer sogenannten prozessbezogenen Risiko-Kontroll-Matrix (RKM).

Sprechen Sie uns gern zu diesem Thema an und nutzen Sie unsere Expertise und Erfahrung als langjährige Berater im Bereich interner Kontrollsysteme und interne Revision. Wir unterstützen Sie gern pragmatisch und ergebnisorientiert.