4. Bestandteile und Grundlagen eines IKS · auch stabilisierend auf das IKS und ist daher bei der...

13
Bestandteile und Grundlagen eines IKS 33 Ab dem Zeitpunkt ihrer ausdrücklichen Zustimmung zur Bestellung tragen sie – und nicht mehr die oberste Organisationsleitung – die Verantwortung für die Einhaltung der Verwaltungsvorschriften. Die Delegation von der obersten Ebene, die sich kaum mit Detailaufgaben aus- einandersetzt, in die operativen Bereiche verlagert auch die Haftung dorthin, wo unmittelbar Übersicht, Einblick und Sachwissen gegeben sein müssten. Neben den formalrechtlichen Aspekten wirkt die sachkundige Tätigkeit der Be- auftragten durch die Überwachung der Einhaltung von Rechtsvorschriften, die Be- ratung bei der Prozessgestaltung, die Wahrnehmung der Aufsichtsfunktion als Pro- zessverantwortliche oder neben diesen, ihrer Rolle in der Prävention etc. natürlich auch stabilisierend auf das IKS und ist daher bei der Prüfung durch die Interne Re- vision besonders zu berücksichtigen. 3.5. Compliance Diese Funktion hat sich in den letzten Jahren im angloamerikanischem Raum im Rahmen des innerbetrieblichen Überwachungssystems herausgebildet. Die wortwörtliche Übersetzung des englischen Ausdrucks „to comply with“, also „übereinstimmen, einhalten“, beschreibt treffend die grundsätzliche Aufgabe dieser Unternehmensfunktion, nämlich die Überwachung der Einhaltung gesetz- licher und betrieblicher Bestimmungen. Während im angloamerikanischen Raum Compliance sehr oft die Überwachung sämtlicher Unternehmensbereiche umfasst, wurde diese Funktion historisch aus- schließlich im Bereich der Kapitalmärkte eingesetzt (z.B. Börsegesetz – Insider- geschäfte). Die zunehmende Internationalisierung in vielen Branchen führte jedoch zu einer verstärkten Nutzung dieser Funktion, die im Gegensatz zur Internen Re- vision nicht dem Ausschließlichkeitsprinzip unterliegt, sondern ganz im Gegenteil einen wichtigen Teil des Internen Kontrollsystems darstellt. Die moderne umfassende Compliance-Funktion widmet sich heute dort, wo sie schon eingerichtet ist, über den Kapitalmarkt hinaus der Überwachung unterschied- lichster gesetzlicher Regelungen und ist als Teil des IKS auch der Prüfung durch die Interne Revision unterworfen. 4. Bestandteile und Grundlagen eines IKS Das IKS als scheinbar nicht auf die produktive Performance der jeweiligen Orga- nisation ausgerichtete Kontrollsystematik hat sehr oft mit dem Vorwurf zu kämp- fen, zu kompliziert, zu formalistisch zu sein bzw. zu sehr die Wert schöpfenden Primärprozesse zwischen Kunden im weitesten Sinn und Unternehmen zu behin- dern und zu verzögern. Um den hohen Stellenwert des IKS als sinnvolles Element jedes Prozesses sicherzustellen, hat es sich den jeweiligen Umständen und Rah- menbedingungen so anzupassen, dass es bestmöglich Qualität, Nachhaltigkeit, Sicherheit und Vermögenswerte des betreffenden Bereiches sicherstellt.

Transcript of 4. Bestandteile und Grundlagen eines IKS · auch stabilisierend auf das IKS und ist daher bei der...

Bestandteile und Grundlagen eines IKS

33

Ab dem Zeitpunkt ihrer ausdrücklichen Zustimmung zur Bestellung tragen sie– und nicht mehr die oberste Organisationsleitung – die Verantwortung für dieEinhaltung der Verwaltungsvorschriften.Die Delegation von der obersten Ebene, die sich kaum mit Detailaufgaben aus-einandersetzt, in die operativen Bereiche verlagert auch die Haftung dorthin,wo unmittelbar Übersicht, Einblick und Sachwissen gegeben sein müssten.

Neben den formalrechtlichen Aspekten wirkt die sachkundige Tätigkeit der Be-auftragten durch die Überwachung der Einhaltung von Rechtsvorschriften, die Be-ratung bei der Prozessgestaltung, die Wahrnehmung der Aufsichtsfunktion als Pro-zessverantwortliche oder neben diesen, ihrer Rolle in der Prävention etc. natürlichauch stabilisierend auf das IKS und ist daher bei der Prüfung durch die Interne Re-vision besonders zu berücksichtigen.

3.5. Compliance

Diese Funktion hat sich in den letzten Jahren im angloamerikanischem Raum imRahmen des innerbetrieblichen Überwachungssystems herausgebildet.

Die wortwörtliche Übersetzung des englischen Ausdrucks „to comply with“,also „übereinstimmen, einhalten“, beschreibt treffend die grundsätzliche Aufgabedieser Unternehmensfunktion, nämlich die Überwachung der Einhaltung gesetz-licher und betrieblicher Bestimmungen.

Während im angloamerikanischen Raum Compliance sehr oft die Überwachungsämtlicher Unternehmensbereiche umfasst, wurde diese Funktion historisch aus-schließlich im Bereich der Kapitalmärkte eingesetzt (z.B. Börsegesetz – Insider-geschäfte). Die zunehmende Internationalisierung in vielen Branchen führte jedochzu einer verstärkten Nutzung dieser Funktion, die im Gegensatz zur Internen Re-vision nicht dem Ausschließlichkeitsprinzip unterliegt, sondern ganz im Gegenteileinen wichtigen Teil des Internen Kontrollsystems darstellt.

Die moderne umfassende Compliance-Funktion widmet sich heute dort, wo sieschon eingerichtet ist, über den Kapitalmarkt hinaus der Überwachung unterschied-lichster gesetzlicher Regelungen und ist als Teil des IKS auch der Prüfung durchdie Interne Revision unterworfen.

4. Bestandteile und Grundlagen eines IKS

Das IKS als scheinbar nicht auf die produktive Performance der jeweiligen Orga-nisation ausgerichtete Kontrollsystematik hat sehr oft mit dem Vorwurf zu kämp-fen, zu kompliziert, zu formalistisch zu sein bzw. zu sehr die Wert schöpfendenPrimärprozesse zwischen Kunden im weitesten Sinn und Unternehmen zu behin-dern und zu verzögern. Um den hohen Stellenwert des IKS als sinnvolles Elementjedes Prozesses sicherzustellen, hat es sich den jeweiligen Umständen und Rah-menbedingungen so anzupassen, dass es bestmöglich Qualität, Nachhaltigkeit,Sicherheit und Vermögenswerte des betreffenden Bereiches sicherstellt.

Gesamt.book Seite 33 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

34

Das bedeutet, dass nicht die Prozesse in das Korsett bestehender IKS-Rege-lungen gepresst bzw. wegen mangelnder Praktikabilität und Anwendbarkeit aus-genommen werden, sondern das IKS mit seinen Erfordernissen flexibel an dieRisikosituation angepasst wird, je nachdem, ob es sich z.B. um große Beschaf-fungsmaßnahmen im Hochtechnologiebereich, Büromaterialeinkauf oder umfang-reiche Transaktionen am Kapitalmarkt handelt.

Natürlich nimmt nach wie vor der Kontrollzweck für das Top-Managementim Rahmen des Internen Überwachungssystems breiten Raum ein, wobei die In-terne Revision als diesbezüglicher Delegationsträger praktisch im Rahmen jederPrüfung auch die Rolle eines zentralen Promotors für das IKS übernimmt.

Eine entsprechend hohe Akzeptanz auf allen Ebenen der Organisation kann nurdann erreicht werden, wenn das IKS für die jeweilige Situation maßgeschneidertwird, also weder wesentliche Risiken unbeachtet lässt noch einen unwirtschaft-lichen, komplizierten Sicherheits-„Overkill“ entwickelt, sondern die überzeu-gende Vermittlung eines Mehrwertes für die Bedarfsträger gelingt.

Dieser liegt einerseits für das Management in der Prävention gegenüber Orga-nisationsverschulden, dem Nachweis einer hohen Regelungskultur und der Erfül-lung prozessnaher Risikomanagement-Maßnahmen und andererseits für die Mit-arbeiter in der Fehler- bzw. Irrtumsprävention sowie der Dokumentation ord-nungsgemäßer Aufgabenerfüllung (z.B. im Finanzmanagement oder bei System-administratoren).

Die Ausgestaltung eines Internen Kontrollsystems, d.h. dessen Formalisierungs-grad, ist von internen und externen Einflussgrößen abhängig, wie z.B.:

Rechtsform, Betriebsgröße (Klein-, Mittel- und Großbetriebe),Struktur des Unternehmens (zentral/dezentral),Anzahl der Mitarbeiter,Branche, gekoppelt mit – der Komplexität der Geschäftstätigkeit, Vertriebskanäle etc.,– Art und Umfang der rechtlichen Vorschriften,Methoden der Erfassung, Verarbeitung und Sicherung von Dateninformationund insbesondere der Risikolage des Unternehmens als Gesamtes und in den einzelnen Funk-tionsbereichen.

4.1. IKS – Bestandteile

KontrollumfeldDas Kontrollumfeld bildet den Rahmen für die Einführung, Anwendung und Über-wachung der IKS-Grundsätze, -Verfahren und -Maßnahmen. Das Kontrollumfeldbeeinflusst wesentlich das Kontrollbewusstsein der Mitarbeiter. Das Managementsollte daher durch sein Verhalten und seine Äußerungen sowohl unternehmens-

Gesamt.book Seite 34 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

35

intern als auch unternehmensextern eine Firmenkultur etablieren, die den Mitar-beitern auf allen Ebenen die Bedeutung wirksamer interner Kontrollen bewusstmacht. Die Förderung hoher moralischer und ethischer Standards ist eine wesent-liche Voraussetzung für ein wirksames IKS. Bei der Durchsetzung moralischerWerte sollte die Geschäftsleitung eine Personalpolitik (insbesondere eine Beför-derungs- und Gehaltspolitik) einführen, mit welcher angemessenes Verhalten ho-noriert wird und Anreize, interne Kontrollmechanismen zu ignorieren oder zu um-gehen, auf ein Minimum reduziert werden.

Das Kontrollumfeld wird wesentlich von der Art und Weise geprägt, wie dieUnternehmensleitung auf festgestellte Betriebsprobleme, Fälle von Nichteinhal-tung des Verhaltenskodex, sonstige Verstöße gegen geschäftspolitische Grundsät-ze oder gesetzwidrige Handlungen reagiert.

Es ist unabdingbar, eine dokumentierte, transparente Organisationsstruktur zuschaffen, die Rechenschaftspflichten und Befugnisse klar aufzeigt und eine effi-ziente Kommunikation in der gesamten Organisation ermöglicht. RisikobeurteilungDamit das IKS wirksam ist, müssen die erheblichen Risiken, die die Unterneh-mensziele ungünstig beeinflussen könnten, erkannt und fortlaufend neu bewertetwerden. Dabei müssen sowohl interne Faktoren (wie z.B. Komplexität der Unter-nehmensstruktur, Art der Geschäfte, organisatorische Änderungen, neue Ge-schäftsfelder, Expansion, Personalfluktuation) als auch externe Einflüsse (wie z. B.sich wandelndes wirtschaftliches Umfeld, technologischer Fortschritt) untersuchtwerden. Diese Risikoeinschätzung sollte auf der Ebene der einzelnen Organisa-tionseinrichtungen (z.B. Abteilungen) sowie für das gesamte Spektrum der Ge-schäftsbereiche und Tochtergesellschaften durchgeführt werden.

Die internen Kontrollen müssen beim Erkennen von neuen oder zuvor nichtkontrollierten Risiken angepasst werden.

Die ermittelten Risiken lassen sich in kontrollierbare und nicht kontrollierbareunterteilen. Bei den kontrollierbaren Risiken muss die Unternehmensleitung ent-scheiden, inwieweit sie diese durch Kontrollmaßnahmen verringern kann, versi-chert oder selbst trägt. Bei den nicht kontrollierbaren Risiken muss sie sich ent-scheiden, ob sie sich aus dem Geschäftsfeld ganz oder zumindest teilweise zurück-zieht oder die Risiken bewusst in Kauf nimmt. KontrolltätigkeitenDiese beinhalten die Kontrollrichtlinien und Kontrollverfahren der Unternehmens-führung. Dabei sind für alle Geschäftsbereiche, und zwar für jeden Geschäftspro-zess der einzelnen Abteilungen, angemessene Kontrollmaßnahmen vorzusehen.Diese müssen integrierter Bestandteil der laufenden Geschäftstätigkeit sein.

Die Kontrollaktivitäten können dabei in folgende Kategorien unterteilt werden:Tätigkeitskontrollen: Analyse von Sachverhalten und Entwicklungen, Ver-gleich der Geschäftsergebnisse zu einem bestimmten Zeitpunkt mit dem Vor-

Gesamt.book Seite 35 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

36

anschlag, Prüfung der Berichte über Ausnahmefälle bzw. Abweichungen,Kennzahlenanalysen;Kontrolle der Richtigkeit, Vollständigkeit und Genehmigung von Vorgän-gen: z.B. Kontrollen betreffend die Beschaffung und Wartung von Softwareund die Anwendung von EDV-Programmen;Physische Kontrollen zur Sicherung von Vermögenswerten und Aufzeich-nungen: z.B. Zutritts- und Zugangskontrollen, Inventuren; Funktionstrennung: Es ist sicherzustellen, dass genehmigende, ausführende,verwaltende, abrechnende und auszahlende Funktionen durch unterschiedlichePersonen wahrgenommen werden.

Information und KommunikationIm Unternehmen müssen zuverlässige Informationssysteme und leistungsfähigeKommunikationskanäle eingerichtet sein, um zu gewährleisten, dass einerseits dieFührungskräfte alle für die Entscheidungsfindung notwendigen Informationen undandererseits alle Mitarbeiter die zur Ausübung ihrer betrieblichen Tätigkeiten undderen Kontrolle benötigten Daten aktuell und zeitgerecht erhalten.

Das Hauptaugenmerk sollte auf die Einrichtung und Pflege von Management-informationssystemen gelegt werden.

Da durch den Einsatz verschiedener Informationstechnologien und elektro-nischer Daten- und Informationssysteme auch die Risiken größer geworden sind,sollten besondere EDV-Kontrollen (Anwendungskontrollen) durchgeführt undPläne für die Wiederaufnahme der Geschäftstätigkeit bei Notfällen erstellt werden.

ÜberwachungDie Überwachung beinhaltet die laufende Qualitätskontrolle (Beurteilung der An-gemessenheit und Wirksamkeit) der internen Kontrollen sowie, bei Bedarf, derenrechtzeitige Modifikation durch die in die Prozesse integrierten Führungskräfte undMitarbeiter des Unternehmens.

Diese Überwachungsaufgaben müssen in den laufenden Geschäftsprozess in-tegriert sein und sollten aus einem Mix aus laufenden und fallweisen Kontrollenbestehen.

Die Analyse eines IKS muss sowohl die Vorgaben für das IKS als auch seine tat-sächliche Umsetzung umfassen. Im IKS werden zumeist folgende Informationenerfasst:

die Erfüllung von Aufgaben,die Übertragung von Autorität,Genehmigungen,Bestätigungen.

Die Dokumentation dieser durch das IKS auferlegten Pflichten muss ausgewertetwerden, um die Zuverlässigkeit des IKS beurteilen zu können. Die Zuverlässigkeitder IKS-Prozeduren ist in vielen Fällen von den ausführenden Personen abhängig.

Gesamt.book Seite 36 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

37

Häufig kommen bei diesen Analysen standardisierte IKS-Fragebogen zum Ein-satz, die, oftmals als Checklisten ausgestaltet, sicherstellen, dass kein wesentlichesElement des IKS übergangen wird.

4.2. IKS – Grundlagen

Als Grundlagen für die weitere Entwicklung eines funktionellen IKS dienen bei-spielsweise:

Definition der Abläufe, Aktivitäten und Aufgaben, die zur Werterhaltung/Wertsteigerung im Sinne der für das Unternehmen definierten Zielsetzung undseiner Kunden führen (organisatorische Regelungen/Richtlinien, wie Organi-sationshandbücher, Erlässe etc.);nach wirtschaftlichen Kriterien (dem Risiko entsprechend) gewählte Kontroll-mechanismen für die Geschäfte, unter Berücksichtigung der Strategien, Be-triebssicherheit und Sicherheit der Mitarbeiter;Funktionierender Informationsfluss an die Unternehmensleitung: Schaffungentsprechender Berichts-, Informations- und Datensysteme innerhalb des Un-ternehmens und nach außen;sorgfältige Auswahl von Mitarbeitern, die geeignet sind, die Unternehmens-ziele, Unternehmenskultur und Unternehmensethik mitzutragen und mitzuge-stalten (Prozessverantwortung);Informationen über externe Entwicklungen bzw. Einflussgrößen sowieNutzung von bestehenden Steuerungsinstrumenten wie– Managementinformationssysteme,– Planungstools,– Kostenrechnung etc.

4.2.1. Risikobereiche

Es empfiehlt sich, vor der Risikoprüfung das Unternehmen nach Bereichen zu un-terteilen und diese auf die Wahrscheinlichkeit eines Schadeneintritts zu analysieren(Messgrößen des IKS: Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit).

Risikobereiche im Unternehmen wären beispielsweise:

Zahlungsverkehr,Einkauf,Verkauf,Wareneingang,Know-how, Software.

Die Erstellung einer Risikoliste je Bereich (dolose Handlungen etc.) bildet den Ab-schluss des Analyseprozesses.

Gesamt.book Seite 37 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

38

4.2.2. Planung und organisatorische Einrichtung des IKS

Basierend auf den Ergebnissen der Risikoanalyse, den Vorgaben des Managements undallfälligen gesetzlichen Bestimmungen ist die Sollkonzeption des IKS zu entwickeln.

Dabei sind insbesonders folgende Punkte zu berücksichtigen:

Verhinderung von Kontrolllücken,Festlegen von Art und Umfang der Kontrollmechanismen und der Schwerpunkte,Gewährleistung der Erfüllung der gesetzlichen Anforderungen,Sicherstellung des Erreichens der Unternehmensziele,Aufrechterhaltung des reibungslosen Prozessablaufs,Benennung der Kontrollverantwortlichen,Definition des Reporting,Einrichtung eines effizienten Monitoringsystems zur laufenden Überprüfungder Wirksamkeit des IKS,Sicherstellung der Funktionstrennungen.

Die Implementierung der Kontrollen in den unterschiedlichen Bereichen des Un-ternehmens und in den einzelnen Prozessen ist der letzte Schritt zur Verwirklichungeines IKS.

4.3. IKS – Maßnahmen

FunktionstrennungDieser Grundsatz verlangt, dass die Ausübung bestimmter Funktionen durch einePerson unvereinbar ist, wie z.B.:

a) Beauftragung,b) Genehmigung,c) Durchführung,d) Bezahlung,e) Kontrolle.

Die Funktionstrennung ist der wichtigste Grundsatz des IKS. Kein Mitarbeiter soll-te alleinverantwortlich risikoreiche, relevante finanzielle Transaktionen durchfüh-ren können.

Die Aufgaben sollten daher immer auf mehrere Personen aufgeteilt werden. Istdies auf Grund von Personalknappheit nicht möglich, so ist für eine nachgelagerteKontrolle zu sorgen.Regelung der ArbeitsabläufeGrundsätzlich sollen alle Geschäftsabläufe von der Unternehmensleitung schrift-lich festgelegt werden wie z.B.:

a) klare und detaillierte Arbeits- und Dienstanweisungen für routinemäßige Ar-beitsabläufe sowie Flussdiagramme;

b) Festlegung der zu akzeptierenden Abweichungstoleranzen;

Gesamt.book Seite 38 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

39

c) Stellenbeschreibungen mit Ziel, Kompetenz und Aufgaben der einzelnen Stellen;d) Vollmachts- und Befugniserteilung;e) Verfahrensvorgaben für sensible Geschäftsfälle;f) Dokumentation bzw. Protokollierung von Soll-Ist-Abweichungen, wodurch je-

der Vorgang transparent bleibt und von einem sachverständigen Dritten in an-gemessener Zeit nachvollzogen werden kann.

KontrollautomatikDarunter versteht man systematisch eingebaute Kontrollen, die insbesondere inEDV-gestützten Abläufen vorzusehen sind.

a) Vollständigkeitskontrollen, Kontrollsummen, automatische Belegnummern-vergabe, Buchungskreise, …;

b) Wer hat was, wann, wo geändert (Verursacher)?c) Protokollierung von Be- und Verarbeitungsschritten; d) Querprüfung (identische Daten – verschiedener Herkunft).Organisatorische Vorkehrungena) Vier-Augen-Prinzip,b) Unterschriftsregelungen,c) Daten auf formale und sachliche Richtigkeit prüfen,d) Änderungen sollen immer nachvollziehbar und klar sein sowie nur von dazu

Berechtigten durchgeführt werden, e) Zugriffs- und Änderungsberechtigungen müssen eindeutig geregelt sein,f) Zugangskontrollen,g) Vernichtungsvorschriften,h) Aufbewahrungsvorschriften, …Mechanisch-technische Organisationsmittela) EDV-Systeme,b) Wiege- und Messeinrichtungen,c) Fahrtenschreiber,d) Torkontrollen,e) Zutrittsschutz, …Formulare und BelegeVorgefertigte Belege/Formulare erleichtern den Arbeitsablauf. Regelungen sollten be-züglich Belegentwertung bzw. etwaiger Ersatzbelege (Fotokopien) getroffen werden. Am Beispiel des Wareneinkaufs wären das:

a) Anfrage (Menge, Preis),b) Angebot,c) Annahme,d) schriftliche Bestellung (Unterschriftsregelung),e) Lieferung,

Gesamt.book Seite 39 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

40

f) Übernahmebestätigung auf dem Lieferschein (Original),g) Eingang Warenlager,h) Belege an Einkauf (Lieferschein, Wareneingang),i) Nachkalkulation durch Sachbearbeiter im Einkauf,j) Rechnung,k) Rechnungsprüfung, Zahlungsfreigabe (Unterschriftsregelung),l) alle Originalunterlagen erhält die Buchhaltung zur Buchung bzw. Zahlung un-

ter Einhaltung der Funktionstrennung. Belege werden nach Zahlung entwertetund abgelegt.

Verhinderung von unbefugtem Zugriff/ZutrittBesonders wichtig im EDV-Bereich. Niemandem sollte es möglich sein, Manipulati-onen, Änderungen, Löschen von Daten oder dgl. unberechtigt vorzunehmen.

Aber auch in der Logistik sind geeignete Maßnahmen zur Sicherung und La-gerung von (gefährlichen) Gütern etc. zu treffen.KontrolleDie Kontrollen haben zielorientiert, nach gesetzlichen Grundlagen und internenVorgaben zu erfolgen. Dies bedeutet jedoch nicht die ständige Kontrolle der Mit-arbeiter, sondern des Arbeitsablaufes und der Einhaltung der Richtlinien.

Kontrollen sind vom jeweiligen Vorgesetzten unvermutet und in unregelmä-ßigen Abständen durchzuführen und zu protokollieren. Eventuelle Missstände sindan die Geschäftsleitung zu berichten.

4.4. Kommunikation und Reporting

Im Rahmen der Implementierung eines Internen Kontrollsystems kommt dem Be-reich „Kommunikation & Reporting“ besondere Bedeutung zu. OrdnungsgemäßeKontrolle ist nur mit entsprechender Kommunikation sinnvoll möglich, da per de-finitionem eine Kontrolle bzw. ein Kontrollsystem auf der Verarbeitung von In-formationen beruht.

4.4.1. Relevanz der Information im IKS

Unternehmen sind in einem sich rasch ändernden Umfeld ständigem Anpassungs-druck ausgesetzt. Dadurch werden die Entscheidungsbereitschaft und die Entschei-dungsfähigkeit der Führungskräfte ausschlaggebend. Grundlage für die Steuerungeines Unternehmens bildet die Versorgung der Führungskräfte (und aller maßgeb-lichen Stellen, wie z.B. Abteilungsleiter, Stellenleiter) mit aktuellen und qualitativhochwertigen Umfeldinformationen sowie die systematische und vollständige In-formationsversorgung über die eigenen unternehmerischen Aktivitäten.12

12 Vgl. Groffmann, Führungsinformationssystem in: Eschenbach (Hrsg.), Controlling,Stuttgart, 1994, S. 459.

Gesamt.book Seite 40 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

41

Diese wichtigen Informationen zur konsistenten Weiterentwicklung der Unter-nehmensprozesse liefert unter anderem auch das IKS.

4.4.2. Praktische Anforderungen an Kommunikation und Reporting13

Die im Rahmen des Reporting weitergegebenen Informationen stellen die wich-tigste Grundlage des Internen Kontrollsystems dar. Dementsprechend hängt dieQualität des IKS direkt von der Qualität der eingesetzten Informationen und vonder Verwendung bzw. Weitergabe dieser Informationen im Rahmen der Kommu-nikation und damit des Reporting ab. Dabei sollte sichergestellt werden, dass wich-tige Informationen dem Management – eventuell auch im Rahmen von Sonderbe-richten – zeitnah zur Verfügung gestellt werden.

Dies bedeutet, dass bei der Gestaltung des IKS die Frage der Datengewinnungsowie die praktische Nutzung dieser Daten als Information absoluten Vorrang ha-ben sollte. Mängel im Prozess der Datengewinnung bzw. im Design des Kontroll-systems haben direkte und/oder indirekte negative Auswirkungen auf dasselbe. Be-trachtet man das IKS als Teil des Führungskräfteinformationssystems, so sind fol-gende generelle Anforderungen zu berücksichtigen:

Objektivität Informationen sollten idealerweise nicht durch un-terschiedliche Interessen verzerrt werden, sondernaufgrund ihrer Objektivität eine rationale Entschei-dungsbasis darstellen.

Nachprüfbarkeit sowie Nachvollziehbarkeit bilden wesentliche Vo-raussetzungen der Objektivität und Zuverlässigkeit.Methoden und Rechenwege, die zur Ermittlung vonInformationen angewandt werden, sind klar zu do-kumentieren.

Termintreue Abhängig von der geforderten zeitlichen Nähe derInformationen zu einem Geschehen (z.B. Lieferein-gänge, Buchungen) und der Komplexität der zu er-stellenden Informationen stellen Stichtage, Be-richtsintervalle etc. wichtige Vorgaben dar, um eineSystematik zu gewährleisten.

Aktionsorientierung Informationen im IKS müssen Reaktionen auslösenund Konsequenzen nach sich ziehen.

Benutzerfreundlichkeit Informationen und Unterlagen sind dann benutzer-freundlich, wenn der Inhalt, die Botschaft oder dieLogik vom Empfänger rasch erfasst werden können.

13 Vgl. Böhm/Müller, Führungskräfteinformation in: Eschenbach (Hrsg.) Controlling Stuttgart,1994, S. 464 ff.

Gesamt.book Seite 41 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

42

Konsistenz Je größer und komplexer eine Unternehmensorga-nisation ist, desto umfangreicher sind i.d.R. die not-wendigen Informationen und die notwendigen Ab-läufe der Informationsgewinnung. Die Gestaltungeines Informationssystems hat die Vermeidung vonInkonsistenzen zu berücksichtigen (z.B. Finanz-buchhaltung versus Managementinformationen,unterschiedliche Logik in der Datenabfrage durchunterschiedliche Stellen).

Wirtschaftlichkeit Immer öfter wird die Kostenrelevanz der Informa-tionsgewinnung hinterfragt. Vor allem das „Wo-zu?“ steht im Vordergrund der Analyse einerakzeptablen Kosten/Nutzen-Relation.

4.4.3. Gesetzliche Anforderungen an Kommunikation und Reporting

Neben allgemein gehaltenen gesetzlichen Bestimmungen, die die Einrichtung einesInternen Kontrollsystems vorsehen, verweist der Gesetzgeber des Öfteren auf spe-zifische Kontroll- und Berichtspflichten (z.B. § 41 Bankwesengesetz: Meldung ver-dächtiger Transaktionen an die Behörde; § 10 Wertpapieraufsichtsgesetz und ent-sprechende Verordnungen; Meldungen an die Oesterreichische Nationalbank samtVerordnungen).

4.5. Dokumentation des IKS

Von einer ordnungsmäßigen IKS-Dokumentation kann erst dann gesprochen wer-den, wenn sie den gesetzlichen und unternehmensinternen Bestimmungen in Form,Inhalt und Erstellungszeitpunkt entspricht und wenn gleichzeitig sichergestellt ist,dass sie die tatsächlichen Sachverhalte wahrheitsgetreu, exakt und lückenlos wie-dergibt. Sachverständige Dritte müssen jederzeit in der Lage sein, diese Kriteriennachzuvollziehen.

Vom Gesetzgeber vorgesehene Aufbewahrungsfristen (z.B. Finanzverwaltungsieben bis zehn Jahre; Rechnungshof zehn Jahre) geschäftlicher Unterlagen deckenviele Bereiche der täglichen Praxis – wie auch das IKS – nicht ab. Es ist jedochunerlässlich, die erforderliche Aufbewahrungsdauer je nach Relevanz der Infor-mationen individuell festzulegen.

4.5.1. Zweck

Zentrale Anforderung an die Dokumentation ist die Transparenz der durchgeführ-ten Kontrollen hinsichtlich:

Nachvollziehbarkeit der bestehenden Kontrollen, z.B. Art, Umfang, Inhalt, Zu-ständigkeit;

Gesamt.book Seite 42 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

43

Nachweis der formellen und materiellen Ordnungsmäßigkeit der Durchführungder Kontrollen;Nachweis der Wirksamkeit der Kontrollen.

Die IKS-Dokumentation verschafft die nötige Gewissheit, dass gesetzliche und un-ternehmensinterne Regelungen eingehalten werden und die beabsichtigte Sicher-heit, Effektivität und Wirtschaftlichkeit der Geschäftstätigkeit gegeben ist.

4.5.2. Inhalt

Es ist sowohl das IKS selbst (die Geschäftsprozesse und die vorhandenen Kon-trollmaßnahmen inklusive Risiken und Verantwortlichkeiten), wie auch die Durch-führung und die Ergebnisse der einzelnen Kontrollen zu dokumentieren.

Dies kann je nach Kontrollart, -inhalt und -zweck auf unterschiedliche Art undWeise erfolgen (z.B. Abhaken von Einzelposten auf Listen, separate Kommentare,automatische Systemkontrollen), muss aber als Mindesterfordernis enthalten, wer,was, wann mit welchem Ergebnis kontrolliert hat.

4.5.3. Form

Die Dokumentation erfolgt in elektronischer Form (Festplatte, Magnetbänder, Dis-kette, CD-ROM, ...) oder auf Papier (Aktenvermerke, Belegformulare, Listen, ...).

Durch den Trend zum papierlosen Büro (paperless office) gewinnen elektro-nische Datenträger und die damit verbundenen Technologien zunehmend an Be-deutung. Gerade in diesem Bereich sind die vorhandenen gesetzlichen Bestimmun-gen und Branchenstandards zu beachten. „Kontrollen sind zu dokumentieren, die Dokumentation der Kontrollen ist zu kon-trollieren.“

4.6. Kosten und Wirtschaftlichkeit des IKS

KostenDie Einrichtung eines angemessenen IKS, welches das Risiko auf ein akzeptablesMaß reduziert, verlangt von der Führungskraft ein klares und vollinhaltliches Ver-ständnis für die zu erreichenden Unternehmens- und Bereichsziele und die damitverbundenen Risiken. Andernfalls könnte dies dazu führen, dass FührungskräfteSysteme mit übermäßigen Kontrollen in einem Bereich einrichten, die sich nach-teilig in anderen Bereichen auswirken (z.B. vermehrte Gefahr der Umgehung not-wendiger Kontrollen, Verzögerungen durch übermäßige Kontrollen, Beeinträch-tigung von Kreativität und Problemlösungsfähigkeit der Mitarbeiter durch zu um-fangreiche Verfahrensanleitungen).

Gesamt.book Seite 43 Donnerstag, 22. Januar 2009 12:45 12

Bestandteile und Grundlagen eines IKS

44

Nicht nur das IKS als Ganzes, sondern auch jede einzelne Kontrolle verursachtKosten, von deren Höhe es abhängt, für welche Art von Sicherungsmaßnahmenman sich entscheidet.

Der Aufwand für eine Kontrolleinrichtung zerfällt in Personal- und Sachkosten,diese können je nach Verhalten bei Beschäftigungsänderungen in fixe und variableKosten unterteilt werden.

Fixe Kosten sind meist einmalige Anschaffungskosten, z.B. Kontrolleinrich-tungen, Prüfsoftware, die in Form der Abschreibung auf die Nutzungsdauerverteilt werden.Die fixen Kosten wirken sich bei wachsender Zahl der Arbeitsgänge immer we-niger belastend auf den einzelnen Vorgang aus, d.h. sie entwickeln sich mit je-der einzelnen Kontrolle degressiv.Die variablen Kosten fallen bei jeder Bedienung der Kontrolleinrichtung bzw.für eine etwa erforderliche persönliche Überwachungstätigkeit an. Diese Kos-ten belasten jeden einzelnen Arbeitsvorgang gleich hoch (je mehr Kontrolle,desto höher die Kosten!).

Fixe und variable Kosten zusammen ergeben die Gesamtkosten einer Kontrolle.Diese wird man der Gesamtsumme der Werte gegenüberstellen, die geschütztwerden müssen, um zu erkennen, ob der Schutz wirtschaftlich zu verantwor-ten ist.

WirtschaftlichkeitJede Kontrolle verursacht Kosten und die Kosten einer Kontrollaktivität dürfennicht die Vorteile, die damit erzielt werden können, übersteigen. Es ist Aufgabedes Managements (der Prozessverantwortlichen), dieses Verhältnis im Auge zubehalten und die Kontrollen flexibel den (unternehmensinternen und -externen)Veränderungen und den daraus resultierenden Risiken anzupassen.Ein zweckentsprechendes, bewusst gestaltetes, d.h. geplantes IKS sollte nach wirt-schaftlichen Gesichtspunkten folgende spezifische Merkmale aufweisen:

eine sorgfältig differenzierte Gestaltung, die sich an den unterschiedlichenRisiken in den einzelnen organisatorischen Bereichen orientiert, d.h. die Pe-riodizität und Intensität der Kontrollen nach Größe dieser Risiken bemisstund dabei auch auf die Wirtschaftlichkeit (Kosten) entsprechend Bedachtnimmt;bei der Risikoeinschätzung Berücksichtigung nicht nur in der Vergangenheittatsächlich aufgetretener Schäden, sondern auch solcher, die in Zukunft auftre-ten könnten;die Berücksichtigung der Tatsache, dass die Abdeckung eines Restrisikos durchKontrollen umso höhere Kosten verursacht, je kleiner es ist, und deshalb Rest-risiken entweder in Kauf genommen werden oder durch andere Maßnahmen alsKontrollmaßnahmen, z.B. durch technische Sicherungsmaßnahmen wie dickere

Gesamt.book Seite 44 Donnerstag, 22. Januar 2009 12:45 12

Prüfung des IKS

45

Mauern, stärkere Türen, bessere Schlösser und brandbeständigere Werkstoffe,durch Dezentralisierung der Vermögenswerte oder durch entsprechende Versi-cherungen, auf ein vernachlässigbares Maß herabgedrückt werden sollten.

Aus betriebswirtschaftlicher Sicht ist ein IKS nur in jenen Bereichen einzu-richten, in welchen unter Abschätzung der Risikosituation der Aufwand denNutzen rechtfertigt.

Die reinen risikostrategischen Kosten-Nutzen-Überlegungen in der IKS-Ausge-staltung können jedoch bei Vorliegen zwingender Verpflichtungen (z.B. Einhal-tung gesetzlicher Vorschriften) oder besonderer Schutzzwecke (Leib und Leben,Umweltgefährdung, Imageschäden) zu Gunsten aufwändigerer Kontrollmaßnah-men in den Hintergrund treten.

5. Prüfung des IKS5.1. Prüfungsnotwendigkeit

Die für die jeweilige Organisation zu beachtenden bzw. zwingend einzuhaltendenrechtlichen Vorschriften hinsichtlich Implementierung und Prüfung des IKS wur-den bereits dargestellt. Ebenso wurde darauf hingewiesen, dass zu den Aufgabender obersten Führung nicht nur die strategische Ausrichtung und Führung des Un-ternehmens (im umfassenden Sinn), sondern auch die Kontrolle gehört. Deshalbobliegt der Unternehmensleitung nicht nur die Implementierung, sondern auch dieSicherstellung der Prüfung des Internen Kontrollsystems.

Die Erfüllung der klassischen (unternehmensrechtlichen) Sorgfaltspflicht einesordentlichen Unternehmers bindet je nach Komplexität und Risikolage das Top-Management mit vielschichtiger (angloamerikanischer) Shareholder-Strukturebenso wie verwaltungsnahe Führungskräfte oder patriarchalische Familienunter-nehmer, wobei es vor allem darum geht, einerseits im Rahmen des Testats der Ab-schlussprüfung das entsprechend gute Niveau der Gestaltung des Unternehmens-aufbaues sowie der -prozesse zu dokumentieren und andererseits präventiv demVorwurf des Organisationsverschuldens entgegenzuwirken. Die aktuellen Ent-wicklungen, gerade auch im Unternehmensstrafrecht, zeigen eine zunehmend um-fassende Haftung von Organisationen, auch im Falle eines scheinbar nur sich selbstRechenschaft pflichtigen Einzelunternehmers, über Vermögensschäden weit hin-aus in Richtung umfassende Prävention und Sicherung der Interessen aller Stake-holder (Eigentümer, Kunden, Lieferanten, Anrainer, Steuerzahler usw.).

Hand in Hand mit dem IRÄG (Insolvenzrechtsänderungsgesetz) 1997 spielenauch die strafrechtliche Verantwortung, etwa für fahrlässige Krida, wenn jemandfahrlässig seine Zahlungsunfähigkeit herbeiführt (also nicht über die entspre-chenden Informations- und Kontrollmechanismen verfügt) oder „gewagte Ge-schäfte“ abschließt (also keine entsprechende Risikobeurteilung durchführt), undim öffentlichen Bereich die politische Verantwortung eine Rolle für die Notwen-digkeit eines adäquaten Internen Kontrollsystems.

Gesamt.book Seite 45 Donnerstag, 22. Januar 2009 12:45 12