Handbuch Interne Kontrollsysteme (IKS) · 978350310785 Steuerung und Überwachung von Unternehmen...

978350310785978350310785

Steuerung und Überwachung von Unternehmen

Handbuch Interne Kontrollsysteme (IKS)

Oliver Bungartz

4., neu bearbeitete und erweiterte Aufl age

Leseprobe, mehr zum Buch unter ESV.info/978-3-503-15424-1

http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

978350310785978350310785

ERICH SCHMIDT VERLAG

Steuerung und Überwachungvon Unternehmen

VonDr. Oliver Bungartz

4., neu bearbeitete und erweiterte Auflage

Handbuch InterneKontrollsysteme (IKS)


http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Bibliografische Information der Deutschen NationalbibliothekDie Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografi e; detaillierte bibliografi sche Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Weitere Informationen zu diesem Titel finden Sie im Internet unterESV. info/978 3 503 15424 1

Gedrucktes Werk: ISBN 978 3 503 15424 1eBook: ISBN 978 3 503 15425 8

Alle Rechte vorbehalten© Erich Schmidt Verlag GmbH & Co. KG , Berlin 2014www.ESV.info

Dieses Papier erfüllt die Frankfurter Forderungender Deutschen Nationalbibliothek und der Gesellschaftfür das Buch bezüglich der Alterungsbeständigkeit undentspricht sowohl den strengen Bestimmungen der US NormAnsi/Niso Z 39.48-1992 als auch der ISO-Norm 9706.

Druck und Bindung: Hubert & Co., Göttingen

1. Aufl age 20102. Aufl age 20113. Aufl age 20124. Aufl age 2014

Aus: Bungartz, Oliver, Handbuch Interne Kontrollsysteme (IKS) © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2014.

978350310785978350310785

5

Vorwort zur vierten Auflage

Zu unserer großen Freude hat sich das „Handbuch Interne Kontrollsysteme (IKS) -Steuerung und Überwachung von Unternehmen“ im Laufe der Jahre zu einem Stan-dardwerk auf diesem Gebiet etabliert. Aufgrund der unvermindert starken Nachfragesowie den aktuellen Entwicklungen im Bereich IKS - insbesondere die neuen Fas-sungen von COSO und COBIT - ist der Zeitpunkt für eine Neuauflage optimal.

Für die nun vorliegende vierte, neu bearbeitete und erweiterte Auflage wurde diebewährte Konzeption und Struktur der Vorauflagen beibehalten, da sie die Zustim-mung der Leser gefunden hat.

Neben Änderungen und Erweiterungen aufgrund neuer Gesetze und Standardswurde die vierte Auflage u.a. um folgende Aspekte und Abschnitte ergänzt:

– Berücksichtigung und Integration der Änderungen aus der aktuellen Überarbei-tung des Rahmenwerks vom Committee of Sponsoring Organizations of theTreadway Commission (COSO 2013)

– Ergänzung des „Kapitels I: Grundlagen eines Internen Kontrollsystems (IKS)“um die 17 grundlegenden Prinzipien und 87 Attribute zur umfassenden Charakte-risierung aller COSO-Komponenten

– Berücksichtigung und Integration des völlig neu bearbeiteten Rahmenwerks derInformation Systems Audit and Control Association (ISACA) - Control Objecti-ves for Information and Related Technology (COBIT 5)

– Ergänzung eines Überblicks zu den chinesischen Regelungen und Verlautbarun-gen betreffend das IKS (C-SOX)

– Umstrukturierung und Erweiterung des Kapitels zur Auslagerung von (Teil-) Pro-zessen (Outsourcing) um relevante Inhalte des „IDW-Prüfungsstandards: Die Prü-fung des internen Kontrollsystem bei Dienstleistungsunternehmen (IDW PS 951n.F.)“

– Betonung der Besonderheiten kleiner und mittelständischer Unternehmen sowieder wettbewerblichen Notwendigkeit eines IKS

– Erweiterung des Kapitels zu Compliance Management Systemen (CMS) um inter-nationale Vorschriften und Grundsätze

Das gesamte Werk wurde wieder gründlich geprüft, wobei kleinere Fehler bereinigtund die Literaturhinweise aktualisiert wurden. Die Bearbeitung und Erweiterung fürdie vierte Auflage führten zu zahlreichen neuen Tabellen, Übersichten und Abbil-dungen, die Verzeichnisse wurden entsprechend aktualisiert und erweitert.


978350310785978350310785

Vorwort zur vierten Auflage

6

Bei den Vorauflagen wurden bereits die jeweils notwendigen Ergänzungen undAktualisierungen bei den rechtlichen Grundlagen und Standards berücksichtigt. Diedritte, neu bearbeitete Auflage 2012 wurde u.a. um folgende Aspekte und Abschnitteergänzt:

– Erweiterung des IKS um Krisenindikatoren– Anzeichen für Krisensymptome in den jeweiligen Prozessen– ISO Standard zum Risikomanagement– Einordnung in ein Integriertes Managementsystem

In der zweiten, neu bearbeiteten und erweiterten Auflage aus dem Jahr 2011 wurdedas Handbuch u. a. um folgende Aspekte und Teile erweitert:

– Praxisthesen zur Vorteilhaftigkeit von Kontrollen– Praktische Beispiele zu den verschiedenen IKS-Komponenten– Darstellung eines Ansatzes zur effektiven Überwachung– Herausforderungen der Projektorganisation zur Implementierung eines IKS– Darstellung des Capability Maturity Model Integration (CMMI) zur Bestimmung

des Reifegrads eines IKS– Kapitel zum Compliance Management System (CMS)

Für ihre Hilfe bei der Realisierung der vierten Auflage danke ich meinen Kollegen,die mich bereits bei den Vorauflagen unterstützt haben. Besonders hervorzuhebensind wertvolle Hinweise meiner Kolleginnen und Kollegen Frau Sabrina Reichardsowie den Herren Gregor Strobl und Matthias Stengel bei der RSM Altavis in Ham-burg. Auch für die gewohnt reibungslose Zusammenarbeit mit dem Erich SchmidtVerlag in Berlin möchte ich Dr. Joachim Schmidt und Claudia Splittgerber ganzherzlich danken. Nicht zuletzt gilt besonderer Dank meinen Seminarteilnehmern undStudenten, die mir durch konstruktive Diskussionen und hilfreiche Anmerkungengeholfen haben, dieses Handbuch weiter zu verbessern.

Ich wünsche Ihnen eine anregende und hilfreiche Lektüre und freue mich weiterhinüber jegliche Rückfragen und Anregungen. Hinweise und Verbesserungsvorschlägesind stets willkommen.

Hamburg, im März 2014 Dr. Oliver Bungartz


978350310785978350310785

7

Vorwort zur ersten Auflage

Fehlende Kontrollen, mangelhaftes Risikomanagement, Wirtschaftskriminalität undKorruption werden in der Öffentlichkeit verstärkt diskutiert und scheinen in der Pra-xis an der Tagesordnung zu sein. Dabei lässt sich die Verpflichtung zur Einrichtungund Dokumentation eines Internen Kontrollsystems (IKS) als Verantwortlichkeit derUnternehmensleitung schon seit langer Zeit aus der deutschen Gesetzgebung herlei-ten. Das nationale Gesetz zur Kontrolle und Transparenz im Unternehmensbereich(KonTraG) sowie der Sarbanes-Oxley Act (SOX) auf internationaler Ebene sind nurzwei gesetzgeberische Meilensteine auf dem Weg zu einer weltweit neuen Überwa-chungskultur. In Deutschland ist dieser Trend zuletzt durch das Bilanzrechtsmoder-nisierungsgesetz (BilMoG) zur Transformation der 8. EU-Richtlinie ins nationaleRecht verstärkt worden, in dem u.a. die Verpflichtung des Aufsichtsrats konkretisiertwurde, die Wirksamkeit des IKS, der Internen Revision und des Risikomanagement-systems zu beurteilen.

Vor diesem Hintergrund soll das hier vorliegende Handbuch eine geschlossene,ganzheitliche und praxisgerechte Konzeption für ein umfassendes und unterneh-mensweites IKS dienen, welches mit vertretbarem Aufwand zu realisieren ist undgleichzeitig nationalen sowie internationalen Standards genügt.

Kapitel I vermittelt die Grundlagen eines IKS in kompakter Form, um im folgendenKapitel von Prozess zu Prozess an ein modernes und vollumfängliches IKS heranzu-führen. Kapitel I enthält dabei alle Informationen zu einem IKS, die prozessübergrei-fend gültig sind, so dass sie in geschlossener Form der prozessorientierten Darstel-lung vorangestellt werden können. Das Rahmenwerk des Committee of SponsoringOrganizations of the Treadway Commission (COSO) dient dabei als Richtschnur fürden Aufbau eines IKS und somit als Basis für das gesamte Handbuch.

Kapitel II enthält ausführliche Informationen zu wichtigen ausgewählten Prozessen:

– Beschaffung– Produktion– Absatz– Anlagevermögen– Personal– Rechnungslegung– Finanzen– Steuern– Informationstechnologie


978350310785978350310785

Vorwort zur ersten Auflage

8

Kapitel III gibt Hinweise für ein erfolgreiches Projektmanagement zur Prozessauf-nahme, zur Implementierung, zu Prozessdurchlaufbeobachtungen und zur Optimie-rung eines IKS. Die Prüfung der Funktionsfähigkeit sowie die laufende Pflege einesIKS vervollständigen die Darstellung des Projektmanagements zur Implementie-rung. Aus der langjährigen Erfahrung im Aufbau von IKS in der Praxis werdenabschließend zentrale Erfolgsfaktoren herausgearbeitet.

Kapitel IV gibt einen Ausblick auf die Erweiterung eines IKS von COSO I hin zueinem gesetzlich geforderten umfassenden Überwachungssystem (d.h. internes Kon-troll-, Revisions- und Risikomanagementsystem). Als ganzheitliches Rahmenwerkzur Integration dieser drei Überwachungselemente wird das ERM-Modell (COSO II)für ein unternehmensweites Risikomanagement herangezogen.

Der Aufbau des Handbuchs ist im „Baukasten-Prinzip“ gestaltet, d.h. jedes einzelneKapitel ist für sich geschlossen dargestellt und kann isoliert gelesen werden. Darüberhinaus können auch einzelne Prozesse isoliert betrachtet werden, wobei für jedendieser Prozesse die folgenden Aspekte behandelt werden:

– Allgemeine Informationen– Risiko-Kontroll-Matrizen– Fraud-Indikatoren– Kennzahlen

Ein Werk wie das vorliegende ist stets in einem weiteren Sinn das Produkt einerVielzahl von Personen, Quellen und Anregungen. Besonderer Dank gilt meinen Kol-legen Maik Wellenbrock und Marco Michelsen von „RSM Altavis“ in Hamburg, diemich mit wertvollen Anregungen, fachmännischem Rat und durch konstruktive Kri-tik unterstützt haben. Außerdem möchte ich mich bei den Herren Dr. JoachimSchmidt sowie Sebastian Engler vom Erich Schmidt Verlag in Berlin für die außer-gewöhnliche gute Zusammenarbeit und die schnelle Realisierung des Projektsbedanken. Nicht zuletzt gilt mein ganz besonderer Dank meiner Familie, der diesesBuch gewidmet ist.

Ich hoffe, Ihnen mit diesem Handbuch wertvolle Anregungen, Ideen und Hilfestel-lungen zum IKS geben zu können und wünsche Ihnen eine anregende und hilfreicheLektüre. Für jegliche Rückfragen und Anregungen bin ich dankbar.

Hamburg, im Juli 2009 Dr. Oliver Bungartz


978350310785978350310785

9

Inhaltsverzeichnis

Vorwort zur vierten Auflage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Vorwort zur ersten Auflage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Abkürzungsverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Abbildungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Tabellenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Kapitel I: Grundlagen eines Internen Kontrollsystems (IKS) . . . . . . . . 23

1 Einführung in ein Internes Kontrollsystem (IKS) . . . . . . . . . . . . . . . . . 231.1 Begriff und Aufgaben eines IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231.2 Internationale Anforderungen an ein IKS. . . . . . . . . . . . . . . . . . . . . . . . 251.3 Nationale Anforderungen an ein IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . 391.4 Mehrwert und Grenzen eines IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441.5 Zusammenfassung: Definition und Anforderungen an ein IKS . . . . . . . 47

2 Ausgestaltung eines Internen Kontrollsystems (IKS) nach den Empfehlungen des Committee of Sponsoring Organizations of the Treadway Commission (COSO). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

2.1 Aufbau eines IKS nach COSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492.2 „Kontrollumfeld“ als Komponente eines IKS . . . . . . . . . . . . . . . . . . . . 522.3 „Risikobeurteilung“ als Komponente eines IKS . . . . . . . . . . . . . . . . . . 602.4 „Kontrollaktivitäten“ als Komponente eines IKS . . . . . . . . . . . . . . . . . 642.5 „Information und Kommunikation“ als Komponente eines IKS . . . . . . 702.6 „Überwachungsaktivitäten“ als Komponente eines IKS . . . . . . . . . . . . 732.7 Grundlegende Prinzipien und Attribute der COSO-Komponenten . . . . 822.8 Kontrollaktivitäten auf Unternehmensebene zur Überwachung der

COSO-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 902.9 Zusammenfassung: IKS nach COSO . . . . . . . . . . . . . . . . . . . . . . . . . . . 1082.10 Exkurs: COSO und die Control Objectives for Information

and Related Technology (COBIT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

3 Dokumentation eines Internen Kontrollsystems (IKS) . . . . . . . . . . . . . 1233.1 Allgemeine Anforderungen an die Dokumentation eines IKS. . . . . . . . 1233.2 Verbale Prozessbeschreibung als Möglichkeit der Dokumentation von

Prozessabläufen im IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1253.3 Flussdiagramm als Möglichkeit zur Dokumentation von

Prozessabläufen im IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1263.4 Risiko-Kontroll-Matrix als Möglichkeit zur Dokumentation

des Aufbaus und der Funktion eines IKS . . . . . . . . . . . . . . . . . . . . . . . . 128


978350310785978350310785

Inhaltsverzeichnis

10

3.5 Testblatt als Möglichkeit zur Dokumentation von Funktionsprüfungen im IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

3.6 Matrix als Möglichkeit zur Dokumentation der Funktionstrennung im IKS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

3.7 Maßnahmeplan als Möglichkeit zur Dokumentation von Schwachstellen und Überwachungstätigkeiten im IKS . . . . . . . . . . . . . 136

3.8 Zusammenfassung: Dokumentationsmöglichkeiten eines IKS . . . . . . . 138

Kapitel II: Prozesse eines Internen Kontrollsystems (IKS) . . . . . . . . . . . 139

1 Grundlagen der Organisation von Prozessen im Internen Kontrollsystem (IKS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

1.1 Organisation von Prozessen im Unternehmen . . . . . . . . . . . . . . . . . . . . 1391.2 Organisation „Beschaffung“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1411.3 Organisation „Produktion“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1461.4 Organisation „Absatz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1501.5 Organisation „Anlagevermögen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1521.6 Organisation „Personal“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1541.7 Organisation „Rechnungslegung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1571.8 Organisation „Finanzen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1591.9 Organisation „Steuern“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1651.10 Organisation „Informationstechnologie“ . . . . . . . . . . . . . . . . . . . . . . . . 173

2 Risiko-Kontroll-Matrizen für die Prozesse im Internen Kontrollsystem (IKS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

2.1 Grundlagen der Erstellung von Risiko-Kontroll-Matrizen. . . . . . . . . . . 1822.2 Risiko-Kontroll-Matrix „Beschaffung“ . . . . . . . . . . . . . . . . . . . . . . . . . 1832.3 Risiko-Kontroll-Matrix „Produktion“ . . . . . . . . . . . . . . . . . . . . . . . . . . 1982.4 Risiko-Kontroll-Matrix „Absatz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2172.5 Risiko-Kontroll-Matrix „Anlagevermögen“. . . . . . . . . . . . . . . . . . . . . . 2292.6 Risiko-Kontroll-Matrix „Personal“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2392.7 Risiko-Kontroll-Matrix „Rechnungslegung“ . . . . . . . . . . . . . . . . . . . . . 2562.8 Risiko-Kontroll-Matrix „Finanzen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2692.9 Risiko-Kontroll-Matrix „Steuern“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2902.10 Risiko-Kontroll-Matrix „Informationstechnologie“. . . . . . . . . . . . . . . . 3102.11 Funktionstrennungs-Matrix als Ergänzung der

Risiko-Kontroll-Matrix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334

3 Fraud-Indikatoren für die Prozesse im Internen Kontrollsystem (IKS) . 3393.1 Einführung in die Fraud-Thematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3393.2 Fraud-Indikatoren „Beschaffung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3553.3 Fraud-Indikatoren „Produktion“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3593.4 Fraud-Indikatoren „Absatz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3623.5 Fraud-Indikatoren „Anlagevermögen“ . . . . . . . . . . . . . . . . . . . . . . . . . . 3663.6 Fraud-Indikatoren „Personal“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3673.7 Fraud-Indikatoren „Rechnungslegung“ . . . . . . . . . . . . . . . . . . . . . . . . . 368


978350310785978350310785

Inhaltsverzeichnis

11

3.8 Fraud-Indikatoren „Finanzen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3703.9 Fraud-Indikatoren „Steuern“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3733.10 Fraud-Indikatoren „Informationstechnologie“ . . . . . . . . . . . . . . . . . . . . 376

4 Kennzahlen für die Prozesse im Internen Kontrollsystem (IKS) . . . . . . 3794.1 Begriff und Aufgaben von Kennzahlen . . . . . . . . . . . . . . . . . . . . . . . . . 3794.2 Kennzahlen „Beschaffung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3814.3 Kennzahlen „Produktion“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3884.4 Kennzahlen „Absatz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3984.5 Kennzahlen „Anlagevermögen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4054.6 Kennzahlen „Personal“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4074.7 Kennzahlen „Rechnungslegung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4124.8 Kennzahlen „Finanzen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4224.9 Kennzahlen „Steuern“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4294.10 Kennzahlen „Informationstechnologie“ . . . . . . . . . . . . . . . . . . . . . . . . . 431

Kapitel III: Projektmanagement zur Einrichtung eines Internen Kontrollsystems (IKS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439

1 Konzeption und Planung eines IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4412 Implementierung und Dokumentation eines IKS . . . . . . . . . . . . . . . . . . 4473 Überwachung und Pflege eines IKS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 4514 Besonderheiten von kleinen und mittelständischen Unternehmen

in Bezug auf ein IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4595 Erweiterung des IKS um Krisenindikatoren . . . . . . . . . . . . . . . . . . . . . 4676 Prüfung des Projekts zur Implementierung eines IKS . . . . . . . . . . . . . . 4757 Zusammenfassung: Erfolgsfaktoren aus der Praxis bei der

Einführung eines IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477

Kapitel IV: Enterprise Risk Management (ERM) als Modell zur Integration von Internen Kontrollsystemen (IKS), Interner Revision und Risikomanagement . . . . . . . . . . . . . . . 481

1 Einführung in die gesetzlichen Grundlagen des Risikomanagement . . . 4812 Weiterentwicklung des COSO-Report zum ERM-Framework . . . . . . . 4873 Aufbau des ERM-Framework für ein unternehmensweites

Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4914 Rolle der Internen Revision im ERM-Framework . . . . . . . . . . . . . . . . . 4995 Compliance Management System (CMS) im ERM-Modell . . . . . . . . . 5076 Kompatibilität des ERM-Framework mit ISO Standards zum Risiko-

management und Einordnung in ein integriertes Managementsystem . 5237 Zusammenfassung: IKS, Interne Revision und Risikomanagement als

integrale Bestandteile des ERM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533Stichwortverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543


978350310785978350310785

23

Kapitel I: Grundlagen eines Internen Kontrollsystems (IKS)

1 Einführung in ein Internes Kontrollsystem (IKS)

Ein allgemein einheitliches Konzept hinsichtlich der Strukturierung und Gestaltungeines Internen Kontrollsystems (IKS) ist erstmalig in den USA entwickelt worden.Dieses Konzept ist in Deutschland übernommen worden bzw. in nationale Standardsund Empfehlungen eingeflossen, so dass auch die Definition von Begriff und Aufga-ben eines IKS letztlich auf US-amerikanischen Vorgaben beruht.

1.1 Begriff und Aufgaben eines IKS

Nach dem IDW Prüfungsstandard „Feststellung und Beurteilung von Fehlerrisikenund Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS261)“1 werden unter einem IKS die vom Management im Unternehmen eingeführtenGrundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerichtet sindauf die organisatorische Umsetzung der Entscheidungen des Managements

– zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit(hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderungund Aufdeckung von Vermögensschädigungen),

– zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rech-nungslegung sowie

1 Zu einer tiefer gehenden Analyse hinsichtlich des Begriffs, den Aufgaben und Regelungsberei-chen des IKS vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) (Hrsg.): Feststel-lung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteil-ten Fehlerrisiken (IDW PS 261). In: Die Wirtschaftsprüfung 2006, S. 1433-1445. Gegenüberder alten Verlautbarung ergeben sich bei der Neufassung folgende Änderungen:– Bedeutsame Schwächen des rechnungslegungsbezogenen IKS sind dem Aufsichtsorgan

sowie den gesetzlichen Vertretern und ggf. anderen Führungskräften auf entsprechenderZuständigkeitsebene in angemessener Zeit und schriftlich vom Abschlussprüfer mitzuteilen

– Schriftliche Mitteilung des Abschlussprüfers hat eine Beschreibung der Schwächen, eineErläuterung ihrer möglichen Auswirkungen sowie ausreichende Informationen aufzuneh-men, um die Mitteilung richtig einordnen zu können

– Erfordernis der Berichterstattung in angemessener Zeit führt ggf. dazu, dass neben derBerichterstattung im Prüfungsbericht vorab gesondert schriftlich zu berichten ist

Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) (Hrsg.): IDW Prüfungsstandard:Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf diebeurteilten Fehlerrisiken (IDW PS 261 n. F.). In: IDW-Fachnachrichten 2012, S. 239-255.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Kapitel I: Grundlagen

24

– zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.

Ein IKS sollte nicht nur auf die Rechnungslegung beschränkt sein. Vielmehr sindalle wesentlichen Geschäftsprozesse in die Betrachtung einzubeziehen, um dieWirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sicherzustellen. DieseForderung ergibt sich unter anderem aus der Begriffsdefinition des IKS, denn die„organisatorische Umsetzung von Entscheidungen der Unternehmensleitung“betrifft nicht nur den Bereich der Rechnungslegung, sondern alle wichtigen Ent-scheidungsfelder des Unternehmens.

Ein IKS hat die folgenden Bestandteile:

– Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssys-tem) und

– Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Über-wachungssystem).

Das interne Überwachungssystem beinhaltet prozessintegrierte (organisatorischeSicherungsmaßnahmen, Kontrollen) und prozessunabhängige Überwachungsmaß-nahmen (vor allem durch die Interne Revision):

Abb. 1: Regelungsbereiche eines IKS

Quelle: Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) (Hrsg.): IDWPrüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken undReaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDWPS 261 n. F.). In: IDW-Fachnachrichten 2012, Tz. 20.

Internes Kontrollsystem

Internes Steuerungssystem

Internes Überwachungssystem

ProzessunabhängigeÜberwachungsmaßnahmen

Prozessintegrierte Überwachungsmaßnahmen

Interne RevisionKontrollenOrganisatorische

Sicherungs-maßnahmen

Sonstige

Internes Kontrollsystem

Internes Steuerungssystem

Internes Überwachungssystem

ProzessunabhängigeÜberwachungsmaßnahmen

Prozessintegrierte Überwachungsmaßnahmen

Interne RevisionKontrollenOrganisatorische

Sicherungs-maßnahmen

Sonstige



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

25

Organisatorische Sicherungsmaßnahmen werden durch laufende, automatischeEinrichtungen wahrgenommen und umfassen fehlerverhindernde Maßnahmen, diesowohl in die Aufbau- als auch die Ablauforganisation eines Unternehmens integ-riert sind und ein bestimmtes Sicherheitsniveau gewährleisten sollen (z.B. Funkti-onstrennung, Zugriffsbeschränkungen im IT-Bereich und Zahlungsrichtlinien).

Kontrollen erfolgen durch Maßnahmen, die in den Arbeitsablauf integriert sind.Erfolgen die Kontrollen durch Überwachungsträger, so können diese sowohl für dasErgebnis des überwachten Prozesses als auch für das Ergebnis der Überwachungverantwortlich sein. Kontrollen sollen vor allem die Wahrscheinlichkeit für das Auf-treten von Fehlern in den Arbeitsabläufen vermindern bzw. aufgetretene Fehler auf-decken (z.B. Überprüfung der Vollständigkeit und Richtigkeit von empfangenen undweitergereichten Daten, manuelle Soll-Ist-Vergleiche und programmierte Plausibili-tätsprüfungen).

Die Interne Revision ist eine prozessunabhängige Institution, die innerhalb einesUnternehmens Strukturen und Aktivitäten prüft und beurteilt. Dieser unternehmens-interne Überwachungsträger darf weder in den Arbeitsablauf integriert noch für dasErgebnis des überwachten Prozesses verantwortlich sein.

Daneben können sonstige prozessunabhängige Überwachungsmaßnahmen fest-gelegt sein, z.B. in Form von übergreifenden Kontrollen auf oberster Ebene (sog.High Level Controls), die im besonderen Auftrag der gesetzlichen Vertreter oderdurch diese selbst vorgenommen werden.2

1.2 Internationale Anforderungen an ein IKS

Internationale Anforderungen (wie z.B. auch die Definition von Begriff und Aufga-ben) an ein IKS sind ursprünglich in den USA entstanden. Erfahrungswerte zeigen,dass US-amerikanische Vorgaben mit einer gewissen zeitlichen Verzögerung auchEinfluss auf europarechtliche Entwicklungen haben.

US-amerikanische Vorgaben

Die wohl bekannteste Vorschrift hinsichtlich einer gesetzlichen Notwendigkeit zurImplementierung von detaillierten Maßnahmen zur Einrichtung, Dokumentation und

2 Zu einer tiefer gehenden Analyse hinsichtlich des Begriffs, den Aufgaben und Regelungsbrei-chen des IKS vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) (Hrsg.): IDW Prü-fungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschluss-prüfers auf die beurteilten Fehlerrisiken (IDW PS 261 n. F.). In: IDW-Fachnachrichten 2012,Tz. 20.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


26

Überprüfung von IKS resultiert aus dem am 30. Juli 2002 in Kraft getretenen Sarba-nes-Oxley Act (SOX), konkret aus der Section 404 „Management Assessment ofInternal Controls“.3

Mit der Verabschiedung des gesamten SOX-Regelwerks sollte vor allem das Ver-trauen der Investoren in die Kapitalmärkte nach zahlreichen Bilanzskandalen beiUS-amerikanischen Unternehmen wiederhergestellt werden. Hierzu wurden nebender Erweiterung der Offenlegungspflichten von Finanzinformationen der Unterneh-men durch einen Bericht über das IKS zur Rechnungslegung und Finanzberichter-stattung des Unternehmens auch zahlreiche weitere Vorschriften modifiziert sowieerstmalig gesetzlich verankert, die im Folgenden jedoch im Einzelnen nicht näheranalysiert werden sollen.

Die SOX Section 404, die unbestritten den wohl größten Umsetzungsaufwand(sowohl zeit- als auch kostenmäßig) für Unternehmen im Rahmen aller SOX-Vor-schriften verkörpert, weist als oberstes Ziel die Vermeidung von Fehlinformationender Finanzberichterstattung aufgrund mangelhafter interner Kontrollen des Unter-nehmens aus:

3 Vgl. Kongress der Vereinigten Staaten von Amerika (Hrsg.): The Sarbanes-Oxley Act of 2002vom 30. Juli 2002.

Sarbanes-Oxley Section 404: Management Assessment of Internal Controls

(a) RULES REQUIRED. The Commission shall prescribe rules requiring eachannual report required by section 13(a) or 15(d) of the Securities ExchangeAct of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report,which shall - (1) state the responsibility of management for establishing and maintainingan adequate internal control structure and procedures for financial reporting;and(2) contain an assessment, as of the end of the most recent fiscal year of theissuer, of the effectiveness of the internal control structure and procedures ofthe issuer for financial reporting.

(b) INTERNAL CONTROL EVALUATION AND REPORTING. With respectto the internal control assessment required by subsection (a), each registeredpublic accounting firm that prepares or issues the audit report for the issuershall attest to, and report on, the assessment made by the management of theissuer. An attestation made under this subsection shall be made in accordancewith standards for attestation engagements issued or adopted by the Board.Any such attestation shall not be the subject of a separate engagement.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

27

Konkret wird die Unternehmensleitung verpflichtet, ein wirksames IKS einzurich-ten und umfassend dessen Wirksamkeit zu dokumentieren. Gegenstand der Rege-lung sind hierbei sämtliche interne Kontrollen, die im Zusammenhang mit der Rech-nungslegung stehen. Neben der Berichterstattung ist auch eine jährliche Einschät-zung und Bewertung der Effektivität des IKS durch die Unternehmensleitung zuveröffentlichen. Diese Erklärung hat der Abschlussprüfer abschließend zu testierenund selbst eine eigene Stellungnahme über die Zuverlässigkeit des IKS abzugeben.

Der „Chief Executive Officer (CEO)“ und der „Chief Financial Officer (CFO)“ über-nehmen zusätzlich auch die persönliche Verantwortung für die bei der U.S. Securi-ties and Exchange Commission (SEC) eingereichten Berichte, da die Bestätigung derVollständigkeit und Richtigkeit der im Rahmen der Finanzberichterstattung veröf-fentlichten Unterlagen auch Aussagen über das eingerichtete IKS umfasst. Bei feh-lerhafter oder unrichtiger Bestätigung droht nach amerikanischem Recht dem CEOund dem CFO nach SOX Section 302 bzw. 906 eine verschärfte zivilrechtliche bzw.strafrechtliche Verfolgung.

Der Begriff des IKS sowie die konkrete Einrichtung und Dokumentation werden inSOX Section 404 nicht präzisiert. Als ein mögliches Rahmenkonzept wird u.a. derBericht des Committee of Sponsoring Organizations of the Treadway Commission(COSO) empfohlen (sog. COSO-Report). Hinsichtlich des Dokumentations- undBewertungsprozesses wird in der Praxis vor allem auf den speziellen Prüfungsstan-dard für die Prüfung des IKS vom Public Company Accounting Oversight Board(PCAOB) zurückgegriffen. Dieser ist zwar verbindlich nur für die Abschlussprüferzu berücksichtigen, stellt jedoch aufgrund der Testatsvergabe auch Anforderungenan das Management dar.4

Section 404 des SOX Act und die dazu erlassenen Verordnungen der SEC verlangen,dass jeder bei der SEC eingereichte Jahresbericht eines Emittenten einen Berichtüber die Wirksamkeit des IKS zur finanziellen Berichterstattung beinhaltet. DieRegelung ist verpflichtend für alle Unternehmen, die den öffentlichen Kapitalmarktin den USA in Anspruch nehmen (d.h. Handel an einer nationalen Börse, außerbörs-licher Handel oder öffentliches Angebot von Wertpapieren), sowie die Tochtergesell-schaften der Emittenten.5

4 Vgl. „Auditing Standard No. 2: An Audit of Internal Control Over Financial Reporting Perfor-med in Conjunction With an Audit of Financial Statements“ der Securities and Exchange Com-mission (SEC) vom 17.06.2004, der inzwischen ersetzt wurde durch „Auditing Standard No. 5:An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit ofFinancial Statements“ (verabschiedet durch die SEC am 25.07.2007 und gültig für Abschluss-prüfungen von Jahren, die am oder nach dem 15.11.2007 enden). Für allgemeine Informationenrund um das Public Company Accounting Oversight Board (PCAOB) und die U.S. Securitiesand Exchange Commission (SEC) wird auf die folgenden Internetadressen: www.pcaob.orgund www.sec.gov verwiesen.

5 Vgl. auch Menzies, Christof (Hrsg.): Sarbanes-Oxley Act. Professionelles Management inter-ner Kontrollen. Stuttgart 2004, S. 13-14.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


28

In diesem Zusammenhang mag es auf den ersten Blick verwundern, dass gerade dieneuesten regulatorischen Trends in Bezug auf SOX an kleine und mittelständischeUnternehmen adressiert sind. So haben das PCAOB im neuen Auditing StandardNo. 5 als auch die SEC und COSO Standards und Entwürfe veröffentlicht, dieErleichterungen für kleine und mittelständische Unternehmen beinhalten.6

Die Standards und Entwürfe zielen darauf ab, die Einhaltung der Vorschriften der Sec-tion 404 auch für kleine und mittlere Unternehmen in einem vertretbaren Zeit- undKostenaufwand zu erfüllen. Angesprochen sind in diesem Zusammenhang vor allemdie Tochterunternehmen, die aufgrund einer Inanspruchnahme des US-Kapitalmarktsdurch ihre Muttergesellschaft und Wesentlichkeitsbetrachtungen innerhalb des Kon-zerns ebenfalls unter die Bestimmungen der Section 404 fallen. Die letzten Jahrehaben gezeigt, dass die Regelungen für große Aktiengesellschaften nicht einfach aufkleine und mittelständische Unternehmen übertragen werden können.

Die folgenden Standards und Entwürfe enthalten beispielsweise Erleichterungenfür kleine und mittelständische Unternehmen:

– Committee of Sponsoring Organizations of the Treadway Commission (COSO):The 2013 COSO Framework & SOX Compliance: One Approach to an EffectiveTransition, June 2013.

– Committee of Sponsoring Organizations of the Treadway Commission (COSO):Internal Control - Integrated Framework. Guidance on Monitoring Internal Con-trol Systems. February 4th, 2009.

– Committee of Sponsoring Organizations of the Treadway Commission (COSO):Internal Control over Financial Reporting - Guidance for Smaller Public Compa-nies. July 11th, 2006.

– Advisory Committee on Smaller Public Companies to the U.S. Securities andExchange Commission (SEC): Final Report of the Advisory Committee on SmallerPublic Companies to the U.S. Securities and Exchange Commission. April 4th,2006.

Chinesische Vorgaben

Nach den im Jahre 2008 durch das chinesische Finanzministerium in Zusammenar-beit mit weiteren Behörden und Einrichtungen verabschiedeten „Basic Standardsfor Enterprise Internal Control“ (häufig auch bezeichnet als China-SOX oder C-SOX), müssen an der Börse (insb. Shanghai Stock Exchange und Shenzen Stock

6 Vgl. Bungartz, Oliver und Marc Szackamer: Interne Kontrollsysteme in kleinen und mittelstän-dischen Unternehmen. In: Zeitschrift für Corporate Governance 2007, S. 123-130 sowie Bun-gartz, Oliver und Marc Szackamer: Notwendigkeit und Aufbau von Internen Kontrollsystemenin Unternehmen. In: Steuer-Journal 2007, S. 45-50.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

29

Exchange) notierte sowie mittelgroße und große nicht notierte Unternehmen ein IKSnachweisen können (vgl. Art. 2 der Basic Standards for Enterprise Internal Con-trol).7

Die Basic Standards bestehen aus sieben Kapiteln, in denen die generellen Regelun-gen sowie fünf Komponenten beschrieben werden, die weitgehend mit dem COSO-Rahmenwerk übereinstimmen:8

– Internes Umfeld– Risikobeurteilung– Kontrollaktivitäten– Information und Kommunikation– Interne Überwachung

Die „Basic Standards for Enterprise Control“ wurden im Jahr 2010 um die vonFinanzministerium, Börsenaufsicht, Revisionskommission, Bankenaufsicht und Ver-sicherungsaufsicht verabschiedeten „Guidelines for the Internal Control of Com-panies“ ergänzt, die sich aus den folgenden drei Bestandteilen zusammensetzen:9

– „Application Guidelines for the Internal Control of Companies“– „Evaluation Guidelines for the Internal Control of Companies“– „Auditing Guidelines for the Internal Control of Companies“

Im Gegensatz zu vielen anderen nationalen Gesetzgebungen zielen die chinesischenVorgaben nicht nur auf Kontrollen im Bereich der Rechnungslegung und der finanzi-ellen Berichterstattung ab, sondern fordern explizit auch Kontrollen über das opera-tive Geschäft, Korruption und allgemeine Compliance-Themen.

Die Verantwortung für die Implementierung und jährliche Selbst-Beurteilung desIKS liegt nach Art. 12 der Basic Standards bei der Unternehmensleitung, wobei indie Beurteilung ein durch das Unternehmen einzurichtender Prüfungsausschuss ein-bezogen werden muss. Der Prüfungsausschuss - als unabhängige Instanz - soll fürdie Durchführung der Selbst-Beurteilung sorgen und diese überwachen (vgl. Art. 62der Basic Standards).10

7 Vgl. Takahiro, Sato und Pan Jia: Comparison of Internal Control Systems in Japan and China.In: International Journal of Business Administration. Januar 2012, S. 72; da die originalenGesetzestexte nur in chinesischer Sprache verfügbar sind, wird in dieser Übersicht auf direkteZitate aus dem Gesetz verzichtet.

8 Vgl. Strasser, Anne-Katrin: How to tackle C-SOX? - The success formula for the implementa-tion of the Basic Standard for Enterprise Internal Control - the Chinese answer to the Sarbanes-Oxley-Act. Norderstedt 2009, S. 9.

9 Vgl. Takahiro, Sato und Pan Jia: Comparison of Internal Control Systems in Japan and China.In: International Journal of Business Administration. Januar 2012, S. 67.




http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


30

Die Selbst-Beurteilung wird weiter konkretisiert in Art. 46 der Basic Standards, indem die Durchführung der Selbst-Beurteilung in Bezug auf die Funktionsweise derinternen Kontrollen vorgeschrieben wird. Das Unternehmen hat darüber zu berich-ten. Ähnlich wird dies auch in den „Evaluation of Internal Control Guidelines“gefordert, wo diese Beurteilung als ein Prozess zur Prüfung der Funktionsfähigkeitdes IKS inkl. anschließender Berichterstattung durch die Unternehmensleitung unddas Management beschrieben wird.11

Das primäre Ziel der verabschiedeten Standards und Verlautbarungen ist - wie inanderen Ländern auch - die Erhöhung der Effektivität interner Kontrollen und diedamit verbundene Reduzierung des Risikos für die betroffenen Unternehmen sowieinsb. die Shareholder und Stakeholder der Unternehmen.12

In den oben beschriebenen Richtlinien ist die Frage nach der Notwendigkeit sowieArt und Weise einer Bestätigung durch einen externen Prüfer (Abschlussprüfer)nicht eindeutig beantwortet. Lediglich aus z. B. den „Internal Control Guidelines forListed Companies on the Shanghai Stock Exchange“ kann abgeleitet werden, dasszeitgleich mit der Veröffentlichung des jährlichen Berichts zur Funktionsfähigkeitder internen Kontrollen durch die Unternehmensleitung das Testat eines Wirtschafts-prüfers zu veröffentlichen ist (vgl. Art. 32). Nach Art. 32 muss der Abschlussprüferdie Berichte über die Selbst-Beurteilung prüfen und verifizieren. Art. 10 der BasicStandards besagt, dass der vom Unternehmen beauftragte Abschlussprüfer selbst dieFunktionsfähigkeit zu prüfen hat, erwähnt jedoch keine Form der Bestätigung. ImArt. 66 der „Internal Control Guidelines for Listed Companies on the ShenzhenStock Exchange“ wird darüber hinaus verlangt, dass das Unternehmen seinenBericht über die Selbst-Beurteilung zusammen mit der Bestätigung des Abschluss-prüfers innerhalb von vier Monaten nach Abschluss des Geschäftsjahres zu übermit-teln und diesen gemeinsam mit dem Jahresabschluss zu veröffentlichen hat.13

Europarechtliche Vorgaben

Die bisher noch weitestgehend abgrenzbare Anzahl von Unternehmen, die sichexplizit verpflichtend mit der Ausgestaltung von IKS beschäftigen müssen, wird sichzukünftig aufgrund europarechtlicher Vorgaben deutlich erhöhen. Maßnahmen zurRegulierung des US-amerikanischen Kapitalmarkts waren in der Vergangenheit häu-fig Anstoß für vergleichbare rechtliche Veränderungen in Europa und somit nachfol-


12 Vgl. Strasser, Anne-Katrin: How to tackle C-SOX? - The success formula for the implementa-tion of the Basic Standard for Enterprise Internal Control - the Chinese answer to the Sarbanes-Oxley-Act. Norderstedt 2009, S. 9.

13 Vgl. Takahiro, Sato und Pan Jia: Comparison of Internal Control Systems in Japan and China.In: International Journal of Business Administration. Januar 2012, S. 72-73.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

31

gend auch in Deutschland. Auch bei der vollzogenen Änderung der 4., der 7. undder 8. EU-Richtlinie sind einzelne Elemente der SOX Section 404 in modifizierter,wenn auch abgeschwächter Form, berücksichtigt worden. Die geänderte 4. und7. EU-Richtlinie ist ebenso wie die Umsetzung der 8. EU-Richtlinie durch den deut-schen Gesetzgeber in nationales Recht zu transformieren:

– Verbale Darstellung im (Konzern-) Lagebericht: Die hier relevanten Änderun-gen und Erweiterungen ergeben sich bei der geänderten 4. und 7. EU-Richtlinievor allem durch die Einfügung von Art. 46a14, der von allen Unternehmen, derenWertpapiere zum Handel an einem geregelten Markt im Sinne der EuropäischenUnion zugelassen sind, eine Beschreibung der wichtigsten Merkmale des internenKontroll- und des Risikomanagementsystems der Gesellschaft im Hinblick aufden Rechnungslegungsprozess fordert. Diese Beschreibung, als Bestandteil desjährlich zu veröffentlichenden „Corporate Governance Statement“, kann entwederals gesonderter Abschnitt im Lagebericht oder in einem gesonderten Bericht erfol-gen, der zusammen mit dem Lagebericht offen gelegt wird oder auch nur durcheine Bezugnahme im Lagebericht, falls dieses Dokument auf der Internetseite derGesellschaft öffentlich zugänglich ist (wahlweise durch die Mitgliedstaaten in na-tionales Gesetz transformierbar). In jedem Fall hat jedoch der Abschlussprüfereine Einklangsprüfung dieser Beschreibung vorzunehmen, d.h. es ist zu überprü-fen, ob die Angaben mit dem Jahresabschluss in Einklang stehen. Diese Ein-klangsprüfung ist jedoch nicht vergleichbar mit den umfassenden SOX-Anforde-rungen bezüglich der Prüfungstätigkeit des Abschlussprüfers.15

– Konkretisierung der Überwachungspflicht: Entsprechend Art. 4116 hatzunächst jedes Unternehmen von öffentlichem Interesse grundsätzlich einen Prü-fungsausschuss (sog. Audit Committee) zu bilden. Die Aufgabe dieses Prüfungs-ausschusses besteht dabei unabhängig von der Verantwortung der Mitglieder desVerwaltungs-, Leitungs- oder Aufsichtsorgans des geprüften Unternehmens u.a.auch darin, den Rechnungslegungsprozess und die Wirksamkeit des IKS, ggf. desinternen Revisionssystems und des Risikomanagementsystems des Unternehmenszu überwachen, wobei insb. das Kriterium der Wirksamkeit den Prüfungsaus-

14 Vgl. für die sog. „Abänderungs-Richtlinie“: Europäisches Parlament und Rat (Hrsg.): Richtli-nie 2006/46/EG des Europäischen Parlaments und des Rates vom 14. Juni 2006 zur Änderungder Richtlinien des Rates 78/660/EWG über den Jahresabschluss von Gesellschaften bestimm-ter Rechtsformen, 83/349/EWG über den konsolidierten Abschluss, 86/635/EWG über den Jah-resabschluss und den konsolidierten Abschluss von Banken und anderen Finanzinstituten und91/674/EWG über den Jahresabschluss und den konsolidierten Abschluss von Versicherungs-unternehmen. In: Abl. L224 vom 16.08.2006.

15 Hier sei nur kurz darauf hingewiesen, dass eine Effizienzüberprüfung der internen Kontrollendurch den Abschlussprüfer nicht Bestandteil der Regelung ist.

16 Vgl. zur sog. „Abschlussprüfer-Richtlinie“: Europäisches Parlament und Rat (Hrsg.): Richtlinie2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Abschlussprü-fungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinien78/660/EWG und 83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG desRates. In: Abl. L 157 vom 9.06.2006.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


32

schuss vor eine nicht zu unterschätzende Herausforderung stellen dürfte. Entspre-chend den Ausnahmemöglichkeiten im Sinne der EU-Mitgliedstaatenwahlrechtedes Art. 41 ist es hierbei auch möglich, dass bei kleinen und mittleren Unterneh-men von öffentlichem Interesse die Funktion des Audit Committee durch denAufsichtsrat insgesamt ausgeübt oder auch auf einen Ausschuss eines bereitsgesetzlich vorgesehenen Unternehmensorgans zurückgegriffen werden kann.

Eine gesetzliche Konkretisierung von Sorgfaltspflichten hinsichtlich der Überwa-chung der Wirksamkeit des IKS wird eine neue Stufe der Überwachungskultur ein-leiten, die dazu führen kann, dass ein Verstoß gegen die Sorgfaltspflichten eher fest-gestellt wird. Die beabsichtigte Konkretisierung schafft somit mittelbar einen Anreizfür die Mitglieder des Aufsichtratsausschusses stringentere Kontrollsysteme undInformationsabläufe zu installieren, um mögliche Überwachungsdefizite von vorn-herein zu minimieren. Aber auch die übrigen Mitglieder des Aufsichtsrats werdensich aufgrund ihrer allgemeinen Überwachungspflicht verstärkt um die ordnungsmä-ßige Überwachung des IKS bemühen, denn eine Befreiung von der allgemeinenSorgfaltspflicht hat die Bildung von Ausschüssen nach geltender Rechtslage nichtzur Folge.

Letztendlich werden auch die Anforderungen an die Ausgestaltung und Überwa-chung des IKS durch die gesetzlichen Vertreter erhöht. Die gesetzlichen Vertreterund nicht der Aufsichtsrat oder ein Aufsichtsratsausschuss tragen die primäre Ver-antwortung für die Aufstellung von Jahres- und Konzernabschlüssen, aber auch fürdas IKS, die Interne Revision und das Risikomanagementsystem. Diese konkreteVerantwortung kann (auch indirekt) nicht einem Aufsichtsratsausschuss übertragenwerden.

Diese Betrachtungsweise ist insb. auch durch eine Änderung der 4. und 7. EU-Richt-linie nochmals klargestellt worden. Es wurde verdeutlicht, dass zwar eine gemein-same Verantwortlichkeit der Verwaltungs-, Leitungs- und Aufsichtsorgane derGesellschaft für die Rechnungslegung und das Corporate Governance Statementbesteht, die jeweiligen Organe aber im Rahmen der ihnen durch innerstaatlichesRecht zugewiesenen Zuständigkeiten handeln. Die kollektive Gesamtverantwortungvon Vorstand und Aufsichtsrat für die Erstellung des Jahresabschlusses wird abge-lehnt. Es wird vermutet, dass auch hinsichtlich der Überwachungstätigkeit des IKSnur die wesentlichen Geschäftsprozesse des Unternehmens mit einzubeziehensind. Diese sind unter Berücksichtigung einer risikoorientierten Vorgehensweisenach US-amerikanischem Vorbild zu ermitteln. Die Überwachung aller Geschäfts-prozesse würde zu einem nicht vertretbaren finanziellen, personellen und zeitlichenAufwand führen.

Die Analyse der europarechtlichen Vorgaben zeigt, dass nicht nur die Beschreibungder wichtigsten Merkmale des IKS und des Risikomanagementsystems des Unter-nehmens im Hinblick auf den Rechnungslegungsprozess durch die gesetzlichen Ver-



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

33

treter vorzunehmen ist, sondern zusätzlich auch gewährleistet sein muss, dass dieWirksamkeit des IKS, ggf. des internen Revisionssystems, und des Risikomanage-mentsystems des Unternehmens adäquat überwacht werden kann.

Der Gesetzgeber hat darauf verzichtet, konkrete und explizite Anforderungen an einIKS zu stellen bzw. dessen regelmäßige Effektivitätsmessung im Gesetz zu kodifi-zieren. Der Aufsichtsrat bzw. ein Prüfungsausschuss des Aufsichtsrats muss aller-dings entsprechende Effektivitätstests durchführen und dokumentieren lassen,wenn die Wirksamkeit des IKS überwacht werden soll. Ob sich durch die Formulie-rung der EU-Richtlinien implizit vielleicht doch noch die gesetzliche Pflicht zurDurchführung von Effektivitätsmessungen analog der SOX-Vorschriften ergebenkann, ist von der Durchsetzung des geltenden Rechts und der Rechtsprechung in die-sem Zusammenhang abhängig.

Die Umsetzung der europarechtlichen Vorgaben hat ebenfalls Auswirkungen aufdie österreichische Gesetzgebung. Dabei wurden die Anforderungen an ein IKS zwarvom Gesetzgeber in neuen Gesetzen definiert, die Ausgestaltung wurde jedoch nichtnäher präzisiert.

Österreichische Vorgaben

Der österreichische Gesetzgeber hat mit dem Unternehmensrechts-Änderungs-gesetz 2008 (URÄG) versucht, eine Verbesserung der Transparenz der Finanz-berichterstattung herbeizuführen. Neben der Stärkung des Vertrauens in die Tätigkei-ten des Abschlussprüfers hat das Gesetz eine Konkretisierung der Anforderung anein IKS zum Ziel.17

Primär handelt es sich dabei um neue Offenlegungspflichten zum IKS und Risiko-managementsystem im Lagebericht von kapitalmarktorientierten Unternehmen. DieBeschreibung der Ausgestaltung und Merkmale des vorhanden IKS und Risikoma-nagementsystems im Hinblick auf den Rechnungslegungsprozess18 hat dabei sowohlfür den Konzern- als auch für den Jahresabschluss zu erfolgen. Neben börsennotier-ten Gesellschaften sind nun auch jene Unternehmen verpflichtet, die börsennotierteWertpapiere emittiert haben. Die neu geregelten Offenlegungspflichten sind mit

17 Vgl. für den Wortlaut des URÄG 2008: Bundesministerium für Justiz (BMJ): Unternehmens-rechts-Änderungsgesetz - URÄG 2008 vom 7. Mai 2008. In: BGBl. I Nr. 70/2008. Abrufbarunter: www.ris.bka.gv.at.

18 Der Prozess der Rechnungslegung beschränkt sich nicht nur auf die Rechnungslegung, sondernbezieht die buchmäßige Erfassung aller relevanten unternehmensspezifischen Daten mit ein.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


34

1. Januar 2009 in Kraft getreten und auf alle Geschäftsjahre anzuwenden, die nachdem 31. Dezember 2008 beginnen:

Neben der Aufnahme einer Stellungnahme zum IKS und zum Risikomanagementdes Unternehmens im Lagebericht, hat der Gesetzgeber auch die Überwachung derWirksamkeit des IKS durch den Aufsichtsrat bzw. einen ggf. einzurichtenden Prü-fungsausschuss durch das URÄG 2008 gesetzlich neu geregelt: 19

Die Bestätigung des Abschlussprüfers, dass die Aussagen zum IKS im Lageberichthinsichtlich des Rechnungslegungsprozesses im Einklang mit dem Jahresabschlussstehen und die Angaben des § 243a UGB zutreffen, wurden im § 274 Abs. 5 UGBneu geregelt. Ebenso wurde eine Rede- und Warnpflicht des Abschlussprüfers beider Feststellung von wesentlichen Schwächen der internen Kontrollen des Rech-nungslegungsprozesses in § 273 Abs. 2 UGB neu aufgenommen:

„Eine Gesellschaft, deren Aktien oder andere von ihr ausgegebene Wertpapierezum Handel auf einem geregelten Markt im Sinn des § 1 Abs. 2 BörseG zugelas-sen sind, hat im Lagebericht darüber hinaus die wichtigsten Merkmale des inter-nen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rech-nungslegungsprozess zu beschreiben.“ (§ 243a Abs. 2 UGB)

Zu den Aufgaben des Aufsichtsrats bzw. Prüfungsausschusses gehört die Überwa-chung der Wirksamkeit des internen Kontrollsystems, ggf. des internen Revisions-systems und des Risikomanagementsystems der Gesellschaft (vgl. § 92 Abs. 4aS. 7 Nr. 2 AktG).19

19 Für ähnliche Regelungen in Bezug auf Unternehmen anderer Rechtsform vgl. beispielsweise§ 30g Abs. 4a GmbHG und § 24c Abs. 6 GenG.

„Der Bestätigungsvermerk hat auch eine Aussage darüber zu enthalten, ob derLagebericht oder der Konzernlagebericht nach dem Urteil des Abschlussprüfersmit dem Jahresabschluss oder mit dem Konzernabschluss in Einklang steht und obdie Angaben nach § 243a zutreffen.“ (§ 274 Abs. 5 UGB)

„Stellt der Abschlussprüfer bei Wahrnehmung seiner Aufgaben Tatsachen fest, dieden Bestand des geprüften Unternehmens oder Konzerns gefährden oder seineEntwicklung wesentlich beeinträchtigen können oder die schwerwiegende Ver-stöße der gesetzlichen Vertreter oder von Arbeitnehmern gegen Gesetz, Gesell-schaftsvertrag oder Satzung erkennen lassen, so hat er darüber unverzüglich zuberichten. Darüber hinaus hat er unverzüglich über wesentliche Schwächen bei derinternen Kontrolle des Rechnungslegungsprozesses zu berichten.“ (§ 273 Abs. 2UGB)



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

35

Gesetzliche Verpflichtungen zur Führung eines IKS, das den Anforderungen desUnternehmens entspricht, ergeben sich außerdem aus dem § 82 AktG und dem § 22GmbHG:

Neben den gesetzlichen Verpflichtungen ergeben sich für Unternehmen zusätzlichauch Regelungen zum IKS aus dem Österreichischen Corporate GovernanceKodex (ÖCGK).20

Schweizerische Vorgaben

Ähnlich der Regelungen in Österreich wurden auch in der Schweiz gesetzlicheÄnderungen in Bezug auf das IKS eingeführt. Mit dem Ziel die Corporate Gover-nance zu verbessern und die schweizerische Gesetzgebung an internationale Ent-wicklungen anzupassen, wurden verschiedene Änderungen des Gesellschaftsrechtssowie des Revisionsaufsichtsrechts eingeführt. Wie schon in Österreich war das Zielin der Schweiz, eine Verbesserung der Transparenz und ein ausgewogenes Verhältniszwischen Führung und Kontrolle zu schaffen.21

„Der Vorstand hat dafür zu sorgen, dass ein Rechnungswesen und ein internesKontrollsystem geführt werden, die den Anforderungen des Unternehmens ent-sprechen.“ (§ 82 AktG)

„Die Geschäftsführer haben dafür zu sorgen, dass ein Rechnungswesen und eininternes Kontrollsystem geführt werden, die den Anforderungen des Unterneh-mens entsprechen.“ (§ 22 GmbHG)

„... Darüber hinaus hat der Prüfungsausschuss die Wirksamkeit des unternehmens-weiten internen Kontrollsystems, gegebenenfalls des internen Revisionssystemsund des Risikomanagementsystems der Gesellschaft zu überwachen. ...“ (Regel40, ÖCGK 2012)

„Die Gesellschaft legt im Konzernlagebericht eine angemessene Analyse desGeschäftsverlaufes vor und beschreibt darin wesentliche finanzielle und nicht-finanzielle Risiken und Ungewissheiten, denen das Unternehmen ausgesetzt istsowie die wichtigsten Merkmale des internen Kontrollsystems und des Risikoma-nagementsystems im Hinblick auf den Rechnungslegungsprozess.“ (Regel 69,ÖCGK 2012)

20 Österreichischer Arbeitskreis für Corporate Governance (Hrsg.): Österreichischer CorporateGovernance Kodex in der Fassung vom Juli 2012. Abrufbar unter: www.corporate-governance.at.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


36

Ausgelöst durch die am 1. Januar 2008 in Kraft getretenen Änderungen des Obliga-tionenrechts (OR)22, müssen Unternehmen, unabhängig von ihrer Rechtsform, einIKS nachweisen, sofern sie der ordentlichen Revision unterliegen (vgl. Art. 728aAbs. 1 Ziff. 3 OR).

Unternehmen, die der ordentlichen Revision unterliegen, sind im OR wie folgtdefiniert:

21 Vgl. Pfaff, Dieter: IKS-Leitfaden. Empfehlungen des veb.ch zum internen Kontrollsystem IKSund zu den Angaben über die Risikobeurteilung im Anhang. Zürich 2008. Abrufbar unter:www.veb.ch sowie Schweizerischer Bundesrat: Botschaft zur Änderung des Obligationen-rechts (Aktienrecht und Rechnungslegungsrecht sowie Anpassungen im Recht der Kollektiv-und der Kommanditgesellschaft, im GmbH-Recht, Genossenschafts-, Handelsregister- sowieFirmenrecht) vom 21. Dezember 2007, S. 1606-1607 (abrufbar unter: www.admin.ch) wonachdie Corporate Governance durch eine effiziente unternehmensinterne Kontrolle wirtschaftlicheFehlentwicklungen im volkswirtschaftlichen Interesse so weit wie möglich vermieden werdensollen.

22 Vgl. Bundesversammlung der Schweizerischen Eidgenossenschaft: Bundesgesetz betreffenddie Ergänzung des Schweizerischen Zivilgesetzbuches (Fünfter Teil: Obligationenrecht) vom30. März 1911 (Stand am 1. Januar 2014). Abrufbar unter: www.admin.ch.

„1) Folgende Gesellschaften müssen ihre Jahresrechnung und gegebenenfallsihre Konzernrechnung durch eine Revisionsstelle ordentlich prüfen lassen1. Publikumsgesellschaften; als solche gelten Gesellschaften, die:

a. Beteiligungspapiere an einer Börse kotiert haben,b. Anleihensobligationen ausstehend haben,c. mindestens 20 Prozent der Aktiven oder des Umsatzes zur Kon-

zernrechnung einer Gesellschaft nach Buchstabe a oder b beitra-gen;

2. Gesellschaften, die zwei der nachstehenden Größen in zwei aufein-ander folgenden Geschäftsjahren überschreiten: a. Bilanzsumme von 20 Millionen Franken,b. Umsatzerlös von 40 Millionen Franken,c. 250 Vollzeitstellen im Jahresdurchschnitt;

3. Gesellschaften, die zur Erstellung einer Konzernrechnung verpflichtetsind.

2) Eine ordentliche Revision muss auch dann vorgenommen werden, wennAktionäre, die zusammen mindestens 10 Prozent des Aktienkapitals vertre-ten, dies verlangen.

3) Verlangt das Gesetz keine ordentliche Revision der Jahresrechnung, so kön-nen die Statuten vorsehen oder kann die Generalversammlung beschließen,dass die Jahresrechnung ordentlich geprüft wird.“ (Art. 727 OR)



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

37

Neben der Überprüfung der Existenz eines IKS, hat die Revisionsstelle zu prüfen,ob der Verwaltungsrat Maßnahmen zur Sicherstellung einer ordnungsgemäßenBuchführung und Rechnungslegung getroffen hat und ob diese Maßnahmen ein-gehalten werden. Stellt die Revisionsstelle dabei fest, dass das IKS Mängel aufweist,so kompensiert sie diese durch eigene Prüfungshandlungen. Andererseits berück-sichtigt die Revisionsstelle das IKS bei der Festlegung des Umfangs ihrer Prüfungen.Über die Feststellungen hat sie der Generalversammlung summarisch und dem Ver-waltungsrat umfassend Bericht erstatten:

Der Gesetzgeber hat konkrete Hinweise unterlassen, wie die Ausgestaltung einesIKS, die Dokumentation und Anhangsangaben sowie die Existenzprüfung zu erfol-gen haben. Hinsichtlich des Art. 728a OR hat der Bundesrat präzisiert, dass das IKSim Sinne dieses Artikels lediglich die Buchführung und Rechnungslegung betrifft.Operative Prozesse und Compliance (Regeleinhaltung) sind - sofern keine Auswir-kungen auf die Jahresrechnung bestehen - nicht betroffen.23

Bei Prüfung der Existenz eines IKS kann der Schweizer Prüfungsstandard „Prü-fung der Existenz des internen Kontrollsystems (PS 890)24 eine Hilfestellung leis-ten. Demnach kann nach Auffassung der Treuhand-Kammer von der Existenz einesIKS insb. dann ausgegangen werden, wenn

Die Revisionsstelle prüft nach Art. 728a Abs. 1 OR, ob 1. die Jahresrechnung und ggf. die Konzernrechnung den gesetzlichen Vor-

schriften, den Statuten und dem gewählten Regelwerk entsprechen;2. der Antrag des Verwaltungsrats an die Generalversammlung über die Ver-

wendung des Bilanzgewinns den gesetzlichen Vorschriften und den Statutenentspricht;

3. ein IKS existiert („Existenzprüfung“).Nach Art. 728a Abs. 2 OR berücksichtigt die Revisionsstelle bei der Durchfüh-rung und bei der Festlegung des Umfangs der Prüfung das IKS.

„Die Revisionsstelle erstattet dem Verwaltungsrat einen umfassenden Bericht mitFeststellungen über die Rechnungslegung, das interne Kontrollsystem sowie dieDurchführung und das Ergebnis der Revision.“ (Art. 728b Abs. 1 OR)

23 Vgl. auch Treuhand-Kammer - Schweizerische Kammer der Wirtschaftsprüfer und Steuerex-perten: Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems vom17. Dezember 2007, Ziff. I, Buchst. c.

24 Vgl. Treuhand-Kammer - Schweizerische Kammer der Wirtschaftsprüfer und Steuerexperten:Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems vom 17.Dezember 2007. Der Prüfungsstandard gilt für Prüfungen der Existenz des internen Kontroll-systems für Perioden, die am 1. Januar 2008 oder danach beginnen. Abrufbar unter: www.treuhand-kammer.ch.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


38

– das IKS vorhanden und überprüfbar (d.h. dokumentiert) ist;– das IKS den Geschäftsrisiken und der Geschäftstätigkeit angepasst ist;– das IKS den zuständigen Mitarbeitenden bekannt ist;– das definierte IKS angewendet wird;– ein Kontrollbewusstsein im Unternehmen vorhanden ist.25

Das IKS ist nach Auffassung der Treuhandkammer derart zu dokumentieren,dass wesentliche Vorgänge nachvollzogen werden können. Auf Unternehmensebenemuss die Dokumentation darlegen,

– was der Verwaltungsrat mit dem IKS erreichen will;– wie die Unternehmensleitung das IKS umsetzt;– wie die Risiken einer wesentlichen falschen Angabe in der Buchführung und

Rechnungslegung eingeschätzt werden und– wie das IKS solche Risiken verhindern oder vermindern soll.26

Des Weiteren bezieht sich die Schweizer Treuhandkammer in ihrem Prüfungsstan-dard PS 890 bei der Ausgestaltung und des Umfangs eines IKS auf die Größe desUnternehmens, die Komplexität der Geschäftstätigkeit und die Art der Finan-zierung.

Für größere, insb. auch international tätige Unternehmen scheint unter diesenUmständen die Anwendung eines international anerkannten Rahmenwerks sinn-voll zu sein, um den gesetzlichen Anforderungen gerecht zu werden (z.B. COSO).Gerade für kleine und mittlere Unternehmen kann diese Gesetzesnovelle des Jahres2008 von großer Bedeutung sein und einen erheblichen Mehraufwand im Sinneeines erhöhten Dokumentationsaufwands bedeuten, da der Gesetzgeber in der Aus-gestaltung der Gesetzestexte auf eine Beschränkung hinsichtlich der Unternehmens-größe verzichtet hat.

Die Treuhandkammer fasst zusammen, dass i.S.d. schweizerischen Gesetzes (Art.716a Abs. 1 Ziff. 3 i.V.m. Art. 662a sowie Art. 957ff. OR) der Verwaltungsrat für dieAusgestaltung, Implementierung und Aufrechterhaltung eines geeigneten undangemessenen IKS verantwortlich ist. Nach Art. 728a Abs. 1 Ziff. 3 OR bestätigtdie Revisionsstelle einmal jährlich die Existenz dieses vom Verwaltungsrat definier-ten IKS. Die Revisionsstelle wird die Existenz i.S.v. Art. 728a Abs. 1 Ziff. 3 OR

25 Vgl. Treuhand-Kammer - Schweizerische Kammer der Wirtschaftsprüfer und Steuerexperten:Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems vom 17.Dezember 2007, Ziff. VII, Buchst. a und b.

26 Vgl. Treuhand-Kammer - Schweizerische Kammer der Wirtschaftsprüfer und Steuerexperten:Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems vom 17.Dezember 2007, Ziff. VII, Buchst. c.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

39

gegenüber der Generalversammlung positiv bestätigen können, sofern das vom Ver-waltungsrat definierte IKS den minimalen Anforderungen aufgrund der Größe,Komplexität und dem Risikoprofil des Unternehmens entspricht. Voraussetzung die-ser Existenzbestätigung ist jedoch, dass das vom Verwaltungsrat definierte IKSschriftlich dokumentiert ist und im Tagesgeschäft des Unternehmens angewendetwird. Die Dokumentation der Ausgestaltung und die Umsetzung des IKS sind vonder Revisionsstelle im Rahmen der Jahresabschlussprüfung zu prüfen („Implemen-tierung“ und „Aufbau“). Nicht Bestandteil der „Existenzprüfung“ des IKS nach Art.728a Abs. 1 Ziff. 3 OR ist hingegen die Prüfung des dauerhaften und mängelfreienFunktionierens des IKS („Funktionsprüfung“).27

1.3 Nationale Anforderungen an ein IKS

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG28)von 1998 auf nationaler Ebene sowie der Sarbanes-Oxley Act von 2002 (insb. Sec-tion 404) auf internationaler Ebene sind nur zwei wichtige Beispiele einer Reihe vonneuen Vorschriften mit Relevanz für ein IKS. Jedoch ergab sich bereits vor Einfüh-rung des KonTraG eine in der Praxis weitestgehend verkannte Verpflichtung dergesetzlichen Vertreter von Kapitalgesellschaften zur Einführung eines wirksamenund funktionsfähigen IKS, die zudem nicht auf die Inanspruchnahme eines geregel-ten Marktes durch das Unternehmen beschränkt ist.29

Leitungsaufgabe und Sorgfaltspflicht der Unternehmensleitung

Die Geschäftsleitung eines nicht börsennotierten Unternehmens ist verpflichtet,durch organisatorische Sicherungsmaßnahmen und entsprechende Kontrollmecha-nismen einen geregelten Arbeitsablauf im Unternehmen zu gewährleisten, um Fehl-entwicklungen zeitnah festzustellen und geeignete Gegenmaßnahmen ergreifen zukönnen. Nur so ist es der Unternehmensleitung möglich, sicherzustellen, dass sie dieRisiken ihres unternehmerischen Handelns stets erkennen kann. Diese Verpflichtung

27 Treuhand-Kammer - Schweizerische Kammer der Wirtschaftsprüfer und Steuerexperten:Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems vom17. Dezember 2007, Ziff. I, Buchst. c. Die Treuhandkammer betont, dass das Parlament durchdas Streichen des Wortes „funktionierend“ bewusst von einer Wirksamkeits- und Funktions-prüfung abgesehen hat.

28 Vgl. Bundesministerium der Justiz (BMJ): Entwurf eines Gesetzes zur Kontrolle und Transpa-renz im Unternehmensbereich (KonTraG) vom 28.01.1998. In: BT-Drucks. 13/9712.

29 Vgl. zur nachfolgenden Argumentation ausführlich z.B. Schoberth, Joerg et al.: Anforderungenan die Gestaltung von Internen Kontrollsystemen. In: Der Betriebs-Berater 2006, S. 2571-2577sowie Schoberth, Joerg und Oliver Bungartz: Zusammenarbeit zwischen Interner Revision undWirtschaftsprüfung. Lektion 4 des schriftlichen Management-Lehrgangs in 12 Lektionen„Interne Revision“. Hrsg. Euroforum Verlag. 4. Aufl. Düsseldorf 2009.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


40

ist Ausprägung der allgemeinen GmbH-Geschäftsführerpflichten nach § 43Abs. 1 GmbHG, die sich mit dem Sorgfaltsmaßstab in § 93 Abs. 1 S. 1 AktG decken.

Auch aus Sichtweise der Wirtschaftsprüfung liegt die Verantwortung für die Ausge-staltung, d.h. die Konzeption, Implementierung, Überwachung, laufende Anpassungund Weiterentwicklung eines angemessenen und wirksamen IKS ausschließlich beider Unternehmensleitung. Die durch das KonTraG eingeführte Regelung des § 91Abs. 2 AktG hingegen, die vom Vorstand einer Aktiengesellschaft explizit fordert„geeignete Maßnahmen zu treffen, insb. ein Überwachungssystem einzurichten,damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkanntwerden“, ist letztlich als eine gesetzliche Hervorhebung der allgemeinen Lei-tungsaufgabe des Vorstandes nach § 76 AktG zu verstehen, mit der kein neuerPflichtenkreis für Vorstandsmitglieder geschaffen wurde, sondern lediglich diebereits bestehenden Kontroll- und Überwachungspflichten des Geschäftsleiters einerKapitalgesellschaft aufgrund seiner Organstellung konkretisiert wurden.

§ 91 Abs. 2 AktG ist hierbei auf GmbH-Geschäftsführer mittlerer und großer GmbHweitgehend der gesetzgeberischen Intention entsprechend anzuwenden (sog. Aus-strahlungswirkung). Der Gesetzgeber hat zwar keine (materielle) Verschärfung derHaftung der Organmitglieder angestrebt; dennoch ist Vorständen eines Unterneh-mens aufgrund der Hervorhebung in § 91 Abs. 2 AktG zu empfehlen, das bestehendeIKS nochmals dahingehend zu überprüfen, ob die Kontroll- und Sicherungssystemedem notwendigen Standard entsprechen und dies auch eingehend zu dokumentieren.Auch wenn mit der Konkretisierung in § 91 Abs. 2 AktG keine materielle Haftungs-verschärfung einhergegangen ist, lassen sich zukünftig Sorgfaltspflichtverletzungenaufgrund dieser Konkretisierung mit Einführung des KonTraG leichter begründen.Dies kann aus praktischer Sicht dann doch zu einer verschärften Haftung derGeschäftsleiter führen.

Dokumentationspflichten der Unternehmensleitung

Eine Verpflichtung zur Dokumentation des IKS kann im Zusammenhang mit denRegelungen der Prüfung von Jahresabschlüssen durch Wirtschaftsprüfer hergeleitetwerden. Demnach erstreckt sich der Umfang der Prüfung des Jahresabschlusses nach§ 317 Abs. 1 S. 1 HGB durch den Abschlussprüfer auch auf das IKS. Hierzu hat derAbschlussprüfer im Rahmen der Prüfung des IKS (vgl. IDW PS 261 n.F.) und vordem Hintergrund des IDW PS 300 (Prüfungsnachweise im Rahmen der Abschluss-prüfung) zur Beurteilung des rechnungslegungsbezogenen IKS, Prüfungshandlungenzur Risikobeurteilung (inkl. Aufbauprüfung) und Wirksamkeit (Funktionsprüfung)des auf die Rechnungslegung bezogenen IKS durchzuführen.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

41

Der Abschlussprüfer muss nach den IDW Standards überprüfen, ob die Buchfüh-rung als Teil des IKS den gesetzlichen Anforderungen entspricht und das IKS wäh-rend des zu prüfenden Geschäftsjahrs kontinuierlich bestanden hat. Die dafür not-wendigen Informationen und Unterlagen müssen dem Abschlussprüfer zur Verfü-gung gestellt werden, damit dieser seinem Prüfungsauftrag gerecht werden kann.Ohne eine entsprechende Dokumentation ist dies nur schwer feststellbar.30

Aus der Dokumentation sollten das generelle Vorgehen, Maßnahmen zur Risikoiden-tifikation, Risikomessung, Risikosteuerung, allgemeine Risikorichtlinien, festge-legte Verantwortlichkeiten sowie Schulungsmaßnahmen hervorgehen. Die Pflichtzur Verfügungstellung dieser Unterlagen, und damit auch die Verantwortung fürderen Erstellung obliegen dem Geschäftsführer, der für die ordnungsgemäße Buch-führung der Gesellschaft zu sorgen hat. Dieser kann einzelne Aufgabenbereichezwar delegieren und zur Erfüllung seiner Pflichten Dritte einschalten; seine Verant-wortlichkeit bleibt hiervon jedoch letztlich unberührt.

Pflichtverletzung und Haftung der Unternehmensleitung

Der gesetzliche Vertreter haftet der Gesellschaft nach § 93 Abs. 2 AktG bzw. § 43Abs. 2 GmbHG für den dadurch eingetretenen Schaden (d.h. für jeden vermögens-werten Nachteil der Gesellschaft, der bei pflichtgemäßem Verhalten der Geschäfts-führung nicht eingetreten wäre), wenn er seine Sorgfaltspflichten in Bezug auf dieangemessene Ausgestaltung eines IKS verletzt. Die Gesellschaft muss lediglich denEintritt und die Höhe des Schadens, die Handlung des Vorstands bzw. des Geschäfts-führers im Sinne eines pflichtwidrigen Unterlassens zur Einrichtung eines angemes-senen IKS und die adäquate Kausalität zwischen Handlung und Schaden darlegenund ggf. beweisen. Ist die Gesellschaft ihrer Darlegungs- und gegebenenfalls Beweis-pflicht nachgekommen, obliegt es dem beklagten gesetzlichen Vertreter darzulegenund gegebenenfalls zu beweisen, dass er nicht pflichtwidrig und / oder schuldhaftgehandelt hat oder dass der Schaden auch bei pflichtgemäßem Verhalten eingetretenwäre. Dem gesetzlichen Vertreter obliegt somit im Rahmen der Anwendung des § 93Abs. 2 S. 2 AktG nicht nur die Beweislast für fehlendes Verschulden, sondern auchfür fehlende Pflichtwidrigkeit.

Ist aufgrund der Art des Schadens zudem anzunehmen, dass dieser vermutlich aufein Unterlassen des gesetzlichen Vertreters zurückzuführen ist, wird die Gesell-schaft von der Darlegung der Kausalität befreit (d.h. den gesetzlichen Vertreter trifft

30 Vgl. z.B. aber auch die Entscheidung des Landgerichts München (LG München I vom5.4.2007, 5 HK O 15964/06): Nach der Urteilsbegründung „gehört auch die Dokumentation desFrüherkennungssystems zu den zentralen Aufgaben des Vorstandes im Anwendungsbereichvon § 91 Abs. 2 AktG und der in dieser Vorschrift zum Ausdruck kommenden Bestandsverant-wortung.“



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


42

zusätzlich auch die Kausalitätsvermutung). Zur Abwendung einer Haftung muss dergesetzliche Vertreter neben der oben dargelegten Beweislast in diesem Fall zusätz-lich die vermutete Kausalität zwischen Handlung und Schadenseintritt widerlegen.Diese Kausalitätsvermutung greift zusätzlich auch, wenn der Gesellschaft aufgrundunzureichend geführter Bücher der Nachweis der Kausalität erschwert oder unmög-lich gemacht wird. Die schriftliche Niederlegung aller wesentlichen Geschäftsvor-gänge und nicht nur der rechnungslegungsbezogenen Sachverhalte ist daher in derPraxis nicht nur üblich, sondern auch im Interesse des Geschäftsführers dringendanzuraten.

Die Untersuchung der Mindestanforderungen und Rechtsfolgen in Deutschland zeigtauf, dass die angemessene Ausgestaltung eines IKS zur Leitungsaufgabe undgesetzlichen Sorgfaltspflicht der gesetzlichen Vertreter gehört. Diese Ausgestaltungumfasst auch zwingend die Dokumentation, also die schriftliche Niederlegung allerwesentlichen Geschäftsprozesse. In den Fällen, in denen das Absehen von derschriftlichen Dokumentation nicht bereits für sich als Sorgfaltspflichtverletzung ein-gestuft wird, wird dem gesetzlichen Vertreter sonst eine Haftungsbefreiung aufgrundder Kausalitätsvermutung erschwert.

Nicht zuletzt sollte es aber im Interesse eines jeden ordentlichen und gewissenhaf-ten Kaufmanns (vgl. beispielsweise § 93 Abs. 1 S. 1 AktG und § 43 Abs. 1GmbHG) liegen, sein Unternehmen durch ein funktionsfähiges und auf die unterneh-mensspezifischen Bedürfnisse zugeschnittenes IKS basierend auf einem anerkanntenRahmenwerk zu schützen. Bei genauer Betrachtung sind in jedem UnternehmenKontrollmechanismen zu finden, die - vielleicht nicht immer formalisiert, dokumen-tiert und auf Funktionalität getestet - aber schon immer Bestandteil der Unterneh-mensprozesse waren und es auch in Zukunft sein werden.

Transformation europarechtlicher Vorgaben in die nationale Gesetzgebung

Der deutsche Gesetzgeber hat mit dem Gesetz zur Modernisierung des Bilanzrechts(Bilanzrechtsmodernisierungsgesetz - BilMoG)31 auf die europarechtlichen Vor-gaben zur rechnungslegungsbezogenen Corporate Governance reagiert und somit dieTendenz zur Hervorhebung der Bedeutung des IKS noch verstärkt:32

31 Vgl. Bundesministerium der Justiz (BMJ): Gesetz zur Modernisierung des Bilanzrechts (Bil-MoG) vom 27.03.2009. In: BT-Drucks. 270 / 09. Für eine vollständige Übersicht der Änderun-gen sowie der ausführlichen und wörtlichen Begründung des BilMoG vgl. Bundesministeriumder Justiz (BMJ): Gesetzentwurf der Bundesregierung. Gesetz zur Modernisierung des Bilanz-rechts (Bilanzrechtsmodernisierungsgesetz - BilMoG) vom 21.05.2008. In: BT-Drucks. 16 /10067. Abrufbar unter: www.bmj.de.

32 Vgl. auch Happ, Dominik und Christiane Pott: Auswirkungen des Sarbanes-Oxley Act Section404: Kosten und Nutzen für europäische Unternehmen. In: Zeitschrift für internationale undkapitalmarktorientierte Rechnungslegung 2007, S. 672.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

43

Nach der Begründung zum BilMoG ist dabei das Risikomanagementsystem umfas-send als allgemeines Risikomanagementsystem zu verstehen und nicht auf dieRechnungslegung beschränkt.

Der Aufsichtsrat ist verpflichtet zu beurteilen, ob Ergänzungen, Erweiterungen oderVerbesserungen des allgemeinen Risikomanagementsystems notwendig sind. Fehltes bislang an einem Risikomanagementsystem, ist die Notwendigkeit der Einrich-tung eines solchen zu prüfen. Der Aufsichtsrat muss den Vorstand anhalten, strin-gente interne Kontrollsysteme und Informationsabläufe einzurichten, um mögli-che Defizite im Risikomanagement zu minimieren und somit eigene Sorgfalts-pflichtverletzungen auszuschließen. Die vorstehenden Überlegungen geltenentsprechend auch bezüglich der Überwachung des IKS. Die Überwachung desRechnungslegungsprozesses dürfte i.d.R. mit der Überwachung des IKS und desRisikomanagementsystems einhergehen.

Die Berichterstattung im Lagebericht bzw. im Konzernlagebericht wurde durchdas BilMoG mit Bezug auf die Risikoberichterstattung wie folgt ergänzt:33

„Er (der Aufsichtsrat, Anmerkung des Verfassers) kann insbesondere einen Prü-fungsausschuss bestellen, der sich mit der Überwachung des Rechnungslegungs-prozesses, der Wirksamkeit des internen Kontrollsystems, des Risikomanagement-systems und des internen Revisionssystems sowie der Abschlussprüfung, hier ins-besondere der Unabhängigkeit des Abschlussprüfers und der vom Abschlussprüferzusätzlich erbrachten Leistungen, befasst.“ (§ 107 Abs. 3 S. 2 AktG)

„Ist der Jahresabschluss oder der Konzernabschluss durch einen Abschlussprüferzu prüfen, so hat dieser an den Verhandlungen des Aufsichtsrats oder des Prü-fungsausschusses über diese Vorlagen teilzunehmen und über die wesentlichenErgebnisse seiner Prüfung, insbesondere wesentliche Schwächen des internenKontroll- und des Risikomanagementsystems bezogen auf den Rechnungs-legungsprozess, zu berichten.“ (§ 171 Abs. 1 S. 2 AktG)

„Kapitalgesellschaften im Sinn des § 264d haben im Lagebericht die wesentlichenMerkmale des internen Kontroll- und Risikomanagementsystems im Hinblick aufden Rechnungslegungsprozess zu beschreiben.“ (§ 289 Abs. 5 HGB)

„5. die wesentlichen Merkmale des internen Kontroll- und des Risikomanage-mentsystems im Hinblick auf den Konzernrechnungslegungsprozess, sofern einesder in den Konzernabschluss einbezogenen Tochterunternehmen oder das Mutter-unternehmen kapitalmarktorientiert im Sinn des § 264d ist.“ (§ 315 Abs. 2 Nr. 5HGB)

33 Die Änderung des BilMoG für den Lagebericht bzw. den Konzernlagebericht verfolgt dieUmsetzung von Art. 46a Abs. 1 der Bilanzrichtlinie in der Fassung der Abänderungs-Richt-linie.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


44

In der Begründung zu § 289 HGB führt der Regierungsentwurf aus, dass mit derVorschrift weder die Einrichtung noch die inhaltliche Ausgestaltung eines IKS imHinblick auf den Rechnungslegungsprozess verpflichtend angegeben wird. Es bleibtden geschäftsführenden Organen überlassen, ein IKS nach den vorhandenen Bedürf-nissen unter Berücksichtigung der Unternehmensstrategie, des Geschäftsumfangsund anderer wichtiger Wirtschaftlichkeits- und Effizienzgesichtspunkte einzurichten.

Die Vorschrift verpflichtet nur dazu, die wesentlichen Merkmale des vorhandenenIKS - mithin die Strukturen und Prozesse - im Hinblick auf den Rechnungslegungs-prozess zu beschreiben. Das Maß an Beschreibungen ist von den individuellen Gege-benheiten eines jeden Unternehmens abhängig. Die Beschreibung muss aber so aus-gestaltet sein, dass die Abschlussadressaten sich ein Bild von den wesentlichenMerkmalen des IKS machen können. Besteht kein IKS, ist dies anzugeben.

Ausführungen zur Einschätzung der Effektivität des IKS sind nach der Begründungzum BilMoG nicht erforderlich. Bereits die Beschreibung des IKS zwingt dieOrgane der Geschäftsführung zu einer Auseinadersetzung mit dem IKS und damitauch mit der Frage nach dessen Effektivität. Dies gilt umso mehr, als die unzurei-chende Einrichtung eines IKS die Möglichkeit einer Sorgfaltspflichtverletzung durchdie Geschäftsführungsorgane bergen kann.

Der Vergleich der internationalen und nationalen Anforderungen an ein IKS kommtzu einem nicht vermuteten Ergebnis: Die lediglich impliziten deutschen gesetzlichenVorschriften zur Implementierung eines IKS und deren haftungsrechtliche Folgengehen insoweit über die strengen Anforderungen nach internationalem Ver-ständnis hinaus, als auch die Verletzung nicht nur rechnungslegungsrelevanterSorgfaltsvorschriften zu einer Haftung der gesetzlichen Vertreter nach deutschenRechtsvorschriften führen kann.34

1.4 Mehrwert und Grenzen eines IKS

Das IKS hilft einem Unternehmen, seine Entwicklungs- und Profitabilitätsziele zuerreichen und einen Verlust an Ressourcen zu vermeiden. Es unterstützt die Sicher-stellung einer verlässlichen finanziellen Berichterstattung sowie die Einhaltung vonGesetzen und Vorschriften zur Vermeidung von Reputationsschäden und anderenKonsequenzen. Zusammengefasst hilft das IKS einem Unternehmen bei dem Errei-chen seiner Ziele, indem es Stolpersteine und Überraschungen auf dem Weg dorthinaufdeckt und vermeidet.

34 Schoberth, Joerg et al.: Anforderungen an die Gestaltung von Internen Kontrollsystemen. In:Der Betriebs-Berater 2006, S. 2577.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

45

Allerdings kann auch ein sachgerecht gestaltetes IKS nicht in jedem Fall gewähr-leisten, dass die vom Unternehmen verfolgten Ziele erreicht werden. Als Gründehierfür kommen u.a. in Betracht:

– Menschliche Fehlleistungen, z.B. infolge von Nachlässigkeit, Ablenkung, Beur-teilungsfehlern und Missverstehen von Arbeitsanweisungen

– Nicht routinemäßige Geschäftsvorfälle, die vom IKS nur bedingt, schwer oderüberhaupt nicht erfasst werden können

– Umgehung oder Außerkraftsetzung des IKS durch das Management und andereMitarbeiter oder durch das Zusammenwirken dieser Personen mit unternehmens-externen Personen

– Missbrauch oder die Vernachlässigung der Verantwortung durch für bestimmteKontrollen verantwortliche Personen

– Zeitweise Unwirksamkeit des IKS aufgrund veränderter Unternehmens- undUmweltbedingungen

– Verzicht des Managements auf bestimmte Maßnahmen, weil die Kosten dafürhöher eingeschätzt werden als der erwartete Nutzen

Das IKS hat neben den definierten Hauptzielen noch andere positive Nebeneffekte,die einen Mehrwert für das Unternehmen schaffen können. Der Mehrwert eines IKSergibt sich zum einen aus den Ergebnissen der Prozessoptimierung und der Identifi-zierung von operativen Schwachstellen innerhalb der Prozesse und zum anderen ausdem Erreichen eines erhöhten Risikobewusstseins auf Mitarbeiterebene, das wiede-rum zur Aufdeckung und Vermeidung von Fehlerquellen im Unternehmen beiträgt.

Zusätzlich kann die im Rahmen der Einrichtung eines IKS entstandene Dokumenta-tion der Prozesse bei Personalwechsel innerhalb des Unternehmens von großem Nut-zen sein, da Einarbeitungszeiten verkürzt und eine Kontinuität und Stabilität derAbläufe erhalten werden können. Auch unternehmensexternen Interessenten wirddurch die bestehende Dokumentation ermöglicht, sich in kürzester Zeit einen Über-blick über die wesentlichen Prozesse des Unternehmens zu verschaffen.

Des Weiteren kann ein formalisiertes und dokumentiertes IKS gerade für kleine undmittlere Unternehmen vor dem Hintergrund der gesetzgeberischen Tendenzen undder Entwicklungen am Kapitalmarkt zukünftig die Mittelbeschaffung erleichtern.Entscheidungen im Rahmen des Kreditvergabeverfahrens werden unter demGesichtspunkt der Risikoklassifizierung durch ein vorzeigbares IKS sicherlichbegünstigt.

Auch im Hinblick auf eine spätere Unternehmensveräußerung sollte das Vorhan-densein eines formalisierten und dokumentierten IKS positive Auswirkungen aufVerhandlungen und Kaufpreisfindung haben. Die Ergebnisse einer europäischen Stu-die unter Kapitalanlagegesellschaften, die sowohl die Käufer- als auch die Verkäu-ferseite bei Unternehmenstransaktionen betrachtet, belegen diese These:35

35 Vgl. Bungartz, Oliver und Gregor Strobl: Mehrwert durch Interne Kontrollsysteme (IKS) -Ergebnisse einer europäischen Studie. In: Zeitschrift Interne Revision 2012, S. 143.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785


46

– Die Befragten schreiben einem IKS einen klaren Mehrwert zu. Konsequenter-weise sind viele Unternehmensvertreter bereit, einen signifikanten Teil des Trans-aktionsvolumens in die Entwicklung eines funktionierenden IKS zu investieren.Die Zahlung eines Aufpreises für ein dokumentiertes und effektives IKS im Rah-men einer Unternehmenstransaktion wird von der Mehrheit der Unternehmen inErwägung gezogen.

– Die Befragten sind fast einheitlich der Meinung, dass ein IKS Mehrwert schafft.Sowohl Käufer als auch Verkäufer von Unternehmen zeigen Bereitschaft, für dieImplementierung eines IKS oder den Erwerb eines bereits bestehenden IKS einenAufpreis von bis zu 15 % des Transaktionsvolumens zu zahlen.

Die Ergebnisse der Studie können durchschnittlich über Käufer- und Verkäuferseitein Bezug auf ein dokumentiertes und funktionsfähiges IKS wie folgt zusammenge-fasst werden:36

– 78 % der Unternehmen stimmen zu, dass ein funktionsfähiges IKS einen nachhal-tigen Mehrwert schafft, wobei „weniger negative Überraschungen“ und „höhereTransparenz“ die wichtigsten Mehrwerttreiber sind.

– 66 % der Unternehmen stimmen zu, dass eine Spanne von 1-15% des Transakti-onsvolumens für ein bereits implementiertes IKS gerechtfertigt ist.

– 73 % der Unternehmen stimmen zu, dass eine separate Beurteilung des IKS imSinne einer „IKS Due Diligence (IKS DD)“ sinnvoll wäre, wobei 88% der Unter-nehmen zwischen 1-20% des gesamten DD-Volumens dafür investieren würden.

– 76 % der Unternehmen sind bereit, nachträglich in ein IKS zu investieren undbeziffern die Investitionsbereitschaft auf bis zu 15 % des Investitionsvolumens.

Bei Fragen der Nachfolgeregelung kann ein formalisiertes und dokumentiertes IKSals wichtiges Instrument des Know-how-Transfers dienen.

Grundsätzlich werden viele Chancen vergeben, wenn ein angemessenes IKS nichtvorhanden ist. Die folgenden Thesen aus der Praxis beschreiben abschließendmögliche Vorteile von Kontrollen aus der Sicht von Führungskräften:37

– Kontrolle führt Mitarbeiter zu besseren Leistungen.– Kontrolle fördert Entwicklung und lässt Chancen erkennen.– Kontrolle unterstützt Freiheit, Autonomie und damit Kreativität.– Kontrolle vermittelt Informationen und gibt Überblick und Sicherheit.– Kontrolle als Dialog fördert Wissenstransfer, Verständnis und Orientierung.– Kontrolle kann Katastrophen, Skandale und Fehler verhindern.

36 Vgl. Bungartz, Oliver und Gregor Strobl: Mehrwert durch Interne Kontrollsysteme (IKS) -Ergebnisse einer europäischen Studie. In: Zeitschrift Interne Revision 2012, S. 144.

37 Vgl. Brandes, Dieter: Unbeliebt und vernachlässigt - Mut zur Kontrolle. In: Management undQualität 2010, S. 9.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

Einführung

47

– Kontrolle nimmt den Mitarbeitern Angst und stärkt ihr Vertrauen.– Kontrolle begleitet Vertrauen.– Kontrolle demonstriert dem Mitarbeiter Interesse an seiner Arbeit.– Kontrolle darf keine Fehlersuche sein.– Kontrolle ist nicht eine Frage des Ob, sondern des Wie.

1.5 Zusammenfassung: Definition und Anforderungen an ein IKS

Unter einem IKS werden entsprechend dem IDW PS 261 n.F. allgemein die von derUnternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren undRegelungen verstanden, die auf die organisatorische Umsetzung von Entscheidun-gen der Unternehmensleitung gerichtet sind.

US-amerikanische Vorschriften nach dem Sarbanes-Oxley Act (SOX) sind die wohlweltweit bekanntesten rechtlichen Vorgaben zum IKS. Die Töchter von den SOX-Bestimmungen unterliegenden Mutterunternehmen sind aber nicht die einzigenUnternehmen, die für ein funktionierendes IKS sorgen müssen.

Auch in China wurden 2008 mit den „Basic Standards for Enterprise Internal Con-trol“ (C-SOX) vergleichbare Anforderungen an ein IKS kodifiziert. Die „Basic Stan-dards for Enterprise Control“ wurden im Jahr 2010 noch um die „Guidelines for theInternal Control of Companies“ ergänzt.

Die Bestrebungen in der EU gehen ebenfalls in Richtung einer Verschärfung derRegelungen zum IKS. Einzelne Elemente der SOX-Vorschriften sind bereits mit der4., 7. und 8. EU-Richtlinie umgesetzt worden.

Auf nationaler Ebene lässt sich die Verpflichtung zur sorgfältigen und ordnungsge-mäßen schriftlichen Dokumentation aller geschäftswesentlichen Vorgänge ein-schließlich des rechnungslegungsbezogenen IKS bereits aus der allgemeinen Sorg-faltspflicht und Verantwortlichkeit der gesetzlichen Vertreter nach § 93 Abs. 2 AktGbzw. § 43 Abs. 2 GmbHG herleiten, wobei es sich dabei noch nicht einmal um Neu-erungen des KonTraG oder anderer aktueller Gesetzesreformen handelt. Die Ten-denz zum IKS verstärkt sich weiter durch die Transformation von europarechtlichenVorgaben wie zuletzt das Bilanzrechtsmodernisierungsgesetz (BilMoG).

Unter Berücksichtigung der naturgemäß immanenten Grenzen hat ein IKS viele Vor-teile für ein Unternehmen. Der Mehrwert, den ein IKS schaffen kann, sollte alleUnternehmen dazu bewegen, frühzeitig darüber nachzudenken ein ordnungsmäßigesIKS auf Grundlage eines anerkannten Rahmenwerks einzuführen, selbst wennmomentan noch kein unmittelbarer regulatorischer Druck oder gesetzlicher Zwangbesteht. In diesem Fall existiert für solche Unternehmen ein zeitlicher Vorsprung, dersinnvoll genutzt werden sollte.



http://www.esv.info/978%203%20503%2015424%201

978350310785978350310785

543

Stichwortverzeichnis

AAbsatz– Auftragsbearbeitung 218-221– Berichtigungen 224– Distribution 221-222– Fraud-Indikatoren 362-365– Funktionstrennung 336– Gutschriften 224– Kennzahlen 398-405– Kontrollaktivtäten 218-228– Kundenstammdaten 227-228– Organisation 150-151– Rechnungsstellung 222-224– Referenz 217– Risiken 218-228– Risiko-Kontroll-Matrix 217-228– Versand 221-222– Vertragsmanagement 228– Zahlungseingang 224-226– Ziele 218-228Absatzelastizität 400Abschreibungsquote 413Abschreibungsstruktur 405, 413Abwesenheitsstruktur 410Adressenausfallrisiken 160Altersstruktur 408Angebotserfolg 401Angebotsstruktur 401Anlagendeckung 406, 425Anlagestruktur 405Anlagevermögen– Abgang 234-235– Abschreibung 233-234– Anlagestammdaten 236– Anschaffung 230-232– Betrieb 232– Finanzanlage 152– Fraud-Indikatoren 366-367– Funktionstrennung 336– Immaterielle Vermögensgegenstände

152– Kennzahlen 405-407– Kontrollaktivitäten 230-238

– Leasing 237-238– Organisation 152-154– Pflege 232– Referenz 229– Risiken 230-238– Risiko-Kontroll-Matrix 229-238– Sachanlage 152– Ziele 230-238Anti-Fraud-Aktivitäten 353-354Arbeitszeit, Durchschnittliche 409Arbeitszeitstruktur 409Aufbauprüfung 75-76, 451-452Auftragsbestandsentwicklung 402Auftragsbestandsindex 402Auftragseingang, Quotienten zum 401Aufwandsanteil 418Aufwandsstruktur 417Ausbringungsgrad 395Auschussstruktur 393Ausschussquote 393Automatisierung 393Automatisierungsgrad 414Autragseingangsstruktur 401

BBasis Point Value 428Beanstandungsquote 384, 404Beanstandungsstruktur 404Begünstigung Dritter 340Bekenntnis zur fachlichen Kompetenz

54, 96Beschaffung– Berichtigungen 189-191– Bestellungen 184-185– Fraud-Indikatoren 355-359– Funktionstrennung 335– Kennzahlen 381-388– Kontrollaktivitäten 184-197– Lieferantenstammdaten 195-196– Organisation 141-146– Rechnungsverarbeitung 187-189– Referenz 183– Reisekosten 196-197


978350310785978350310785


544

– Risiken 184-197– Risiko-Kontroll-Matrix 183-197– Rücksendungen 189-191– Wareneingang 185-187– Zahlungsausgang 191-195– Ziele 184-197Beschaffungshäufigkeit 382Beschäftigungsgrad 394Beschäftigungsstruktur 407Bestellmenge, Optimale 381Bestellpunkt 389Bestellungen, Durchschnittliche Kosten je

383Bestellungen, Optimale Zahl der 382Bestellungen, Struktur der 383Bestellwert, Durchschnittlicher 382Betriebszugehörigkeitsstruktur 408Bezugskostenquote 384Bilanzgewinn 419Bilanzrechtsmodernisierungsgesetz

(BilMoG) 42-44, 483-484Bilanzverlust 419BilMoG siehe Bilanzrechtsmodernisie-

rungsgesetzBusiness Judgement Rule 481, 509

CCapability Maturity Model Integration

(CMMI) 456-457Cash Flow 423-426China-SOX 28-30– Basic Standards for Enterprise Internal

Control 29– Guidelines for the Internal Control of

Companies 29– Selbst-Beurteilung 30– Verantwortung 29CIM siehe Computer Integrated Manu-

facturingCMMI siehe Capability Maturity Model

Integration (CMMI)CMS siehe Compliance Management

System (CMS)COBIT siehe Control Objectives for In-

formation and Related Technology (COBIT)

COBIT-Prozesse 433-437Committee of Sponsoring Organizations of

the Treadway Commission (COSO)– Aufbau 49-52, 491-498

– Information 70-72, 496– Kommunikation 70-72, 496– Kontrollaktivitäten 64-69, 495– Kontrollumfeld 52-60– Konzepte 488– Report 27-28, 487– Risikobeurteilung 60-64, 494– Überwachung 73-77, 496– Würfel 51, 497, 532Compliance– Anforderungen 507-510– Grundelemente 510-516– Kommunikation 514– Kultur 510-511– Organisation 513– Programm 512-513– Risiken 512– Standard 509-510– Überwachung 514-516– Verbesserung 514-516– Ziele 511Compliance Management System (CMS)

507-516Compliance Rate 384Computer Intergrated Manufacturing 148Control Objectives for Information and

Related Technology (COBIT)– Anpassung, Planung und Organisation

(Align, Plan and Organise - APO) 115– Aufbau, Beschaffung und Implementie-

rung (Build, Acquire and Implement - BAI) 115

– Bereitstellung, Betrieb und Unterstüt-zung (Deliver, Service and Support - DSS) 116

– Evaluierung, Vorgabe und Überwa-chung (Evaluate, Direct and Monitor - EDM) 115

– Governance 112– IT-Governance 109-113– Kernprozesse 113– Management 112– Prinzipien 111– Rahmenwerk 110, 114-121– Top-Down-Approach 110– Überwachung, Evaluierung und Beurtei-

lung (Monitor, Evaluate and Assess - MEA) 116

– Vorteile 121– Ziele, IT-bezogene 116


978350310785978350310785


545

Control Self-Assessment (CSA) 91, 93Corporate Governance 481, 489, 490COSO siehe Committee of Sponsoring

Organizations of the Treadway Commis-sion

COSO-Würfel 51, 497, 532CSA siehe Control Self-AssessmentC-SOX siehe China-SOX

DDays Inventory Held 427Days Payable Outstanding 427Days Sales Outstanding 427Days Working Capital 427DCGK siehe Deutscher Corporate Gover-

nance Kodex (DCGK)Deckungsbeitrag 403Deckungsquote 403Deutscher Corporate Governance Kodex

(DCGK) 507-508DIH siehe Days Inventory HeldDIIR, Prüfungsstandard 475-476Dolose Handlungen siehe FraudDPO siehe Days Payable OutstandingDSO siehe Days Sales OutstandingDuration 428Duration, Modified 428Durchschnittszinssatz 427

EEarnings Before Interest and Taxes siehe

EBITEarnings Before Interest, Taxes, Deprecia-

tion and Amortisation siehe EBITDAEBIT 419EBITDA 419Eigenkapital-Rate 423Eigenkapitalrentabilität 431Eigenkapitalstruktur 415Einkauf, Struktur des 383Einkaufsmaßnahmen, Strategische 385Einkaufswert, Durchschnittlicher 383Eiserner Bestand 389Elastizitätskoeffizient 400Energieverbrauchsquote 392Enterprise Risk Management– Abbildung 497, 532– Aufbau 491-505– Definition 487-488– Ereignisidentifikation 494

– Framework 487-490– Grundlagen 481-485– Information 496– Integration 532– Interne Revision 499-505– Internes Umfeld 492-493– ISO Standards 523-530– Kommunikation 496– Komponenten 491-498– Kontrollaktivitäten 495– Konzepte 488– Risikobeurteilung 494– Risikosteuerung 495– Überwachung 496– Würfel 497, 532– Zertifizierung 527– Zielfestlegung 493– Zielsetzungen 491Entwicklungskosten, Struktur der 398Entwicklungskostenanteil 398ERM siehe Enterprise Risk ManagementErtragsstruktur 418Ethik-Grundsätze 91-95Ethische Werte 52-53, 95EU-Richtlinie 7, 31, 42-44

FFast Close 158FCPA siehe Foreign Corrupt Practices ActFinancial Covenants 474Finanzen– Berichterstattung 164, 288-289– Cash Management 162, 279-281– Derivatemanagement 163, 283-285– Finanzielles Risikomanagement

163-164, 285-288– Fraud-Indikatoren 370-373– Fremdwährungsmanagement 163,

282-283– Funktionstrennung 337-338– Kennzahlen 422-428– Kontrollaktivitäten 270-289– Liquiditätsmanagement 161-162,

275-278– Organisation 159-165– Organisation Treasury 270-274– Referenz 269– Risiken 270-289– Risiko-Kontroll-Matrix 269-289– Risikomanagement 163-164


978350310785978350310785


546

– Ziele 161, 270-289Finanzierungsstruktur 422Fluktuationsziffer 409Foreign Corrupt Practices Act 516– Kennzeichen 517– Leitfaden 517Fraud– Absatz 362-365– Anlagevermögen 366-367– Anreiz 343-346– Anti-, Aktivitäten 353-354– Beschaffung 355-359– Druck 343-346– Einstellung 343, 348-350– Finanzen 370-373– Gelegenheit 343, 346-348– Grundlagen 339-354– Indikatoren 350-378– Informationstechnologie 376-378– Personal 367-368– Produktion 359-361– Rechnungslegung 368-370– Rechtfertigung 343, 348-350– Red Flags siehe Indikatoren– Risiko 340-344– Steuern 373-376– Triangle 342-350, 355Fraud-Indikatoren 339-378Fraud-Triangle 342-350, 355Free Cash Flow 423Fremdkapitalstruktur 415-416Funktionsprüfung 76-77, 451-453Funktionstrennung 334-338Funktionstrennungs-Matrix 335-338

GGDPdU 174Gesamtkapitalrentabilität 431Gesamtkapitalumschlag 416Gesamtvermögensumschlag 417Geschäftsführerpflichten 483Geschäftsgebaren 56, 97Gesetz zur Kontrolle und Transparenz im

Unternehmensbereich 39-44, 481-482Gesetzesverstöße 341-342GoB 174GoBS 174Grundsätze ordnungsmäßiger Buchfüh-

rung siehe GoB

Grundsätze ordnungsmäßiger DV-gestütz-ter Buchführungssysteme siehe GoBS

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen siehe GDPdU

HHaftungsverhältnisse, Quote der 416Hedge Ratio 427

IIKS siehe Internes KontrollsystemInformation 70-72Informationssystem 71-72Informationstechnologie– Änderungsmanagement 321-322– Betrieb 315-320– Betriebskontinuität 322-323– Entwicklung 311-315– Fraud-Indikatoren 376-378– Funktionstrennung 338– Implementierung 311-315– Kennzahlen 431-437– Kontrollaktivitäten 311-333– Ordnungsmäßigkeit 173-174– Organisation 173-179– Referenz 310– Risiken 311-333– Risiko-Kontroll-Matrix 310-333– Sicherheit 174-175, 324-333– Ziele 311-333Integrität 52-53, 95Interne Revision– Anforderungen, gesetzliche 481-485– Aufgaben 500– Definition 499-500– Kontrollaktivität auf Unternehmens-

ebene 91, 93– Kriterien 501, 503– Rolle im ERM 499-505– Standard 501– Überwachungssystem 25– Unabhängigkeit 502– Zusammenarbeit 502Internes Kontrollsystem (IKS)– Ablauforganisation 178-179– Alterungsprozess 454– Anforderungen Deutschland 39-44– Anforderungen Europa 30-33– Anforderungen Österreich 33-35


978350310785978350310785


547

– Anforderungen Schweiz 35-39– Attribute 82– Aufbauorganisation 178– Ausgestaltung 49-109– Authentizität 175– Autorisierung 175– Begriff und Aufgaben 23-25– Bestandteile 24– CMMI siehe Capability Maturity Model

Integration (CMMI)– Dienstleistungsbezogenes 78-82– Dimensionen 51– Dokumentation 123-138, 447-449– Dokumentationspflicht 40– Durchlaufbeobachtung siehe Walk-

through– Erfolgsfaktoren 477-479– Ergebnis 133– Europarecht 30-33– Flowchart siehe Flussdiagramm– Flussdiagramm 126-127– Frequenz 129– Funktionstrennung 134-136, 334-338– Funktionstrennungs-Matrix 134-136– Grenzen 44-47– Haftung 41-42– Häufigkeit siehe Frequenz– Implementierung 447-449– Information und Kommunikation

70-72, 105-106– Integrität 175– Internationale Anforderungen 25-39– Kennzahlen 455-456– Kleine und mittelständische Unter-

nehmen 459-465– KMU siehe Kleine und mittelständische

Unternehmen– Know-how-Transfer 46– Komponenten 51– Kontrollaktivitäten 64-69, 103-105– Kontrollumfeld 52-60, 95-100– Konzeption 441-445– Krisenindikatoren 467-474– Krisensymptome 467-474– Leitungsaufgabe 39-40– Maßnahmeplan 136-138– Mehrwert 44-47– Narrative siehe Verbale Prozessbeschrei-

bung– Nationale Anforderungen 39-44

– Optimierung 456– Organisation 90-95– Pflege 451-456– Pflichtverletzung 41-42– Planung 441-445– Praxisthesen 46– Prinzipien 82– Projektprüfung 475-476– Prozessoptimierung 45– Prüfungshandlungen 131-132, 451-452– Reifegrad 456-457– Risiken 176-177– Risikobeurteilung 60-64, 101-103– Risiko-Kontroll-Matrix 128– Schlüsselfunktion 134– Sorgfaltspflicht 39-42– Stabs-Modell 57– Stichprobe 131-132– Testblatt 130– Transformation 42-44– Überwachungsaktivitäten 73-77, 90,

106-108, 451-456– Umfeld 91-92– Verantwortlichkeitsmatrix 58– Verbale Prozessbeschreibung 125– Verfügbarkeit 175– Vertraulichkeit 175– Wesentlichkeit 441-445– W-Fragen 124– Ziele 50-51, 62-64Internes Überwachungssystem 24Investition 413Investitionsdeckung 406Investitions-Finanzierung 424Investitionsquote 406, 413-414Investitionsstruktur 406, 414ISO Standards– Grundsätze 523– Integriertes Managementsystem 530– ONR-Serie 49000 527-528– Prozesslandschaft 529– Prozessmodell 529– Prozessschritte 526– Quality Management 528-530– Rahmenbedingungen 523-525– Risikomanagementprozess 525-526– Zertifizierung 527IT siehe InformationstechnologieIT-Kosten 432


978350310785978350310785


548

IT-Mitarbeiter 432IT-Verfügbarkeit 433

JJahresüberschuss 418JIT siehe Just-In-TimeJust-In-Time 148

KKapazitätsauslastungsgrad 394Kapitalaufbau 415Kapitaleinsatz 411Kapitalumschlagsdauer 416Kennzahlen– Absatz 398-404– Absatzelastizität 400– Abschreibungsquote 413– Abschreibungsstruktur 405-406, 413– Absolute 380– Abwesenheitsstruktur 410– Altersstruktur 408– Angebotserfolg 401– Angebotsstruktur 401– Anlagendeckung 406-407, 425– Anlagestruktur 405– Anlagevermögen 405-407– Arbeitszeit, Durchschnittliche 409– Arbeitszeitstruktur 409– Aufgaben 379-381– Auftragsbestandsentwicklung 402– Auftragsbestandsindex 402– Auftragseingang, Quotienten zum 401– Aufwandsanteil 418– Aufwandsstruktur 417– Ausbringungsgrad 395– Auschussstruktur 393– Ausschussquote 393– Automatisierung 393– Automatisierungsgrad 414– Autragseingangsstruktur 401– Basis Point Value 428– Beanstandungsquote 384, 404– Beanstandungsstruktur 404– Begriff 379-381– Beschaffung 381-388– Beschaffungshäufigkeit 382– Beschäftigungsgrad 394– Beschäftigungsstruktur 407– Bestellmenge, Optimale 381– Bestellpunkt 389

– Bestellung, Durchschnittliche Kosten je 383

– Bestellungen, Optimale Zahl der 382– Bestellungen, Struktur der 383– Bestellwert, Durchschnittlicher 382– Betriebszugehörigkeitsstruktur 408– Beziehungs- 380– Bezugskostenquote 384– Bilanzgewinn 419– Bilanzverlust 419– Cash Flow 423-426– COBIT-Prozesse 433-437– Compliance Rate 384– Days Inventory Held 427– Days Payable Outstanding 427– Days Sales Outstanding 427– Days Working Capital 427– Deckungsbeitrag 403– Deckungsquote 403– DIH siehe Days Inventory Held– DPO siehe Days Payable Outstanding– DSO siehe Days Sales Outstanding– Duration 428– Duration, Modified 428– Durchschnittszinssatz 427– Earnings Before Interest , Taxes, Depre-

ciation and Amortisation siehe EBITDA– Earnings Before Interest and Taxes

siehe EBIT– EBIT 419– EBITDA 419– Eigenkapital-Rate 423– Eigenkapitalrentabilität 431– Eigenkapitalstruktur 415– Einkauf, Struktur des 383– Einkaufsmaßnahmen, Strategische 385– Einkaufswert, Durchschnittlicher 383– Eiserner Bestand 389– Elastizitätskoeffizient 400– Energieverbrauchsquote 392– Entwicklungskosten, Struktur der 398– Entwicklungskostenanteil 398– Ertragsstruktur 418– Finanzen 422-428– Finanzierungsstruktur 422– Fluktuationsziffer 409– Free Cash Flow 423– Fremdkapitalstruktur 415-416– Gesamtkapitalrentabilität 431– Gesamtkapitalumschlag 416


978350310785978350310785


549

– Gesamtvermögensumschlag 417– Gliederungs- 380– Haftungsverhältnisse, Quote der 416– Hedge Ratio 427– Index- 380– Informationstechnologie 431-437– Investition 413– Investitionsdeckung 406– Investitions-Finanzierung 424– Investitionsquote 406, 413– Investitionsstruktur 406, 414– IT-Kosten 432– IT-Mitarbeiter 432– IT-Verfügbarkeit 433– Jahresüberschuss 418– Kapazitätsauslastungsgrad 394– Kapitalaufbau 415– Kapitaleinsatz 411– Kapitalumschlagsdauer 416– Konvexität 428– Konzernsteuerquote 430– Krankenquote 409– Krankenzeiten 409– Kundenentwicklung 403– Kundenstruktur 404– Lagerbestand, Durchschnittlicher 389– Lagerbestand, Optimaler 390– Lagerreichweite 390– Lagerstruktur 390-391– Lagerumschlag 391– Leistung 411– Leistungsgrad 394-395– Lieferanten 388– Liquidität, Statische 424– Losgröße, Mindest- 392-393– Losgröße, Optimale 392– Materialabfall 393– Materialeinsatz 412– Materialverbrauch 412– Mechanisierungsgrad 393, 414– Meldebestand 389– Mindestbestand 389– Mindestbestellmenge 382– Mindest-Kontostand 427– Mindestumsatz 403– Net Working Capital 425– Personal 407-412– Personalaufwand, Durchschnittlicher

410– Personalaufwandsstruktur 411

– Personalzugang 408– Preiselastizität 400– Preisindex 386, 400– Preisnachlassquote 400– Preisnachlassstruktur 400– Preisveränderungsquote 386– Produktion 388-398– Produktionsstruktur 396– Produktivität 395– Qualität 387– Rabatt, Durchschnittlicher 386– Rabattstruktur 387– Rechnungslegung 412-421– Relative 380– Rentabilität 420-421– Return On Capital Employed

siehe ROCE– Return On Net Assets siehe RONA– Return On Sales siehe ROS– ROCE 421– Rohgewinnspanne 418– RONA 420– ROS 421– Savings 384-385– Selbstkostenpreis 399– Skontosatz, Durchschnittlicher 386– Steueraufwandsquote 429– Steuer-Mitarbeiter-Quote 430– Steuern 429-431– Steuerquote, Tatsächliche 429-430– Systeme 380– Teilkapitalumschlag 416– Teilproduktivität 395– Teilvermögensumschlag 417– Teilvermögensumschlagsziffern 417– Theta 428– Umsatzentwicklung 402-403– Umsatzentwicklungsindex 402-403– Umsatzstruktur 402– Umschlaghäufigkeit 391– Umschlagsdauer 391-392– Urlaubsquote 410– Value at Risk 428– Verkaufspreis, Kalkulierter 399– Vermögenseinsatz 411– Vermögensstruktur 411– Vermögensumschlagsdauer 417– Werkzeugsverbrauchsquote 392– Wertschöpfung 396-397– Wertschöpfungsquote 397


978350310785978350310785


550

– Wirtschaftlichkeit 396Kleine und mittelständische Unterneh-

men 459-465KMU siehe Kleine und mittelständische

UnternehmenKommunikation 70-72KonTraG siehe Gesetz zur Kontrolle und

Transparenz im UnternehmensbereichKontrollaktivitäten– Allgemeine 67– Anwendungskontrollen 69– Aufdeckende 65– Automatische 65– Generelle IT-Kontrollen 68-69– Manuelle 65– Nicht-Routineprozesse 66– Prozessebene 65– Routineprozesse 66– Typen 67– Unternehmensebene 66-67– Vorbeugende 65Kontrollaktivitäten auf Unternehmensebene– Beispiele 91-93– Fragebogen 95-108– Prüfungshandlungen 91-108Kontrollbewusstsein 60Kontrollen 25, 452-454Konvexität 428Konzernsteuerquote 430Kosten-Nutzen-Analyse 445, 505Krankenquote 409Krankenzeiten 409Krisen– Absatz 472– Anlagevermögen 472– Art 467-468– Beispiele 467-468– Beobachtungsbereiche 469-470– Beschaffung 472– Financial Covenants 474– Finanzen 473– Herd 467– Indikatoren 467-474– Personal 473– Produktion 472– Rechnungslegung 473– Soll-Werte 469-470– Stadium 468– Symptome 467-474– Toleranzgrenzen 469-470

– Typologisierung 468-469– Ursachen 471Kundenentwicklung 403Kundenstruktur 404

LLagerbestand, Durchschnittlicher 389Lagerbestand, Optimaler 390Lagerreichweite 390Lagerstruktur 390-391Lagerumschlag 391Learning by doing 451Leistung 411Leistungsgrad 394-395Lieferanten 388Liquidität, Statische 424Liquiditätsrisiken 160Losgröße, Mindest- 392-393Losgröße, Optimale 392

MManagement Support 441Management-Fraud 339Marktpreisrisiken 160Materialabfall 393Materialeinsatz 412Materialverbrauch 412Mechanisierungsgrad 393, 414Mehrwert 44-47Meldebestand 389Mindestbestand 389Mindestbestellmenge 382Mindest-Kontostand 427Mindestumsatz 403Mitarbeiter-Fraud 340

NNet Working Capital 425

OOperationale Risiken 160Operative Geschäftstätigkeit 90-95Organisation– Absatz 150-151– Anlagevermögen 152-154– Beschaffung 141-146– Finanzen 159-165– Informationstechnologie 173-179– Personal 154-156– Produktion 146-149


978350310785978350310785


551

– Prozesse, allgemein 139-140– Rechnungslegung 157-159– Steuern 165-172– Unternehmen 139-140Organisationshandbuch 92Organisationsstruktur 56-57, 98-99Organisatorische Sicherungsmaßnahmen

25Outsourcing 78-82– Bereiche 78– Carve-out Methode 81– Einrichtung 80– Erklärung, Schriftliche 81– Formen 78– IKS, Dienstleistungsbezogenes 80– Inclusive Methode 81– Kontrollrisiko 78– Umsetzung 80– Verantwortung 80– Vertragliche Gestaltung 78

PPeriodenabschlussprozess 92, 93Personal– Abrechnung 242-248– Austritte 155-156, 249-250– Auszahlung 248-249– Berichterstattung 253-255– Eintritte 154-155, 240-241– Erfolgsfaktoren 59– Fraud-Indikatoren 367-368– Funktionstrennung 336-337– Kennzahlen 407-412– Kontrollaktivitäten 240-255– Leistungsmessung 59– Organisation 154-156– Personalstammdaten 250-253– Referenz 239– Risiken 240-255– Risiko-Kontroll-Matrix 239-255– Verwaltung 155– Zeiterfassung 241-242– Ziele 240-255Personalaufwand, Durchschnittlicher 410Personalaufwandsstruktur 411Personalpolitik 59, 91-95, 100-101Personalzugang 408PMBoK 475Preiselastizität 400Preisindex 386, 400

Preisnachlassquote 400Preisnachlassstruktur 400Preisveränderungsquote 386PRINCE2 475Produktion– Arbeitsvorbereitung 209-210– Fertigung 211-213– Fertigungsbreite 148– Fertigungstiefe 148– Fertigungswirtschaft 147-149– Fraud-Indikatoren 359-365– Funktionstrennung 335-336– Inventur 213-214– Kennzahlen 388-398– Kontrollaktivitäten 199-216– Kostenrechnung 215-216– Lagerabgang 207-208– Lagereingang 199-202– Lagerverwaltung 202-206– Lagerwirtschaft 147– Organisation 146-149– Referenz 198– Risiken 199-216– Risiko-Kontroll-Matrix 198-216– Vorrätestammdaten 214-215– Ziele 199-216Produktionsstruktur 396Produktivität 395Project Management Body of Knowledge

siehe PMBoKProjects IN Controlled Environments 2

siehe PRINCE2Projekt– Audit Universe 476– Definition 475– Herausforderungen 441– Management 439-479– Prüfgebiete 476– Standard 475-476Projektmanagement 439-479Prozesse– Absatz 150-151– Anlagevermögen 152-154– Beschaffung 141-146– Finanzen 159-165– Grundlagen 139-140– Informationstechnologie 173-179– Kern siehe Primäre– Personal 154-156– Primäre 139-179


978350310785978350310785


552

– Produktion 146-149– Rechnungslegung 157-159– Sekundäre 139-179– Steuern 165-172– Unterstützende siehe Sekundäre

QQA siehe Quality AssessmentQualität 387Quality Assessment 504Quick-Check, IKS 441

RRabatt, Durchschnittlicher 386Rabattstruktur 387Rechnungslegung– Allgemeine Rechnungslegungsfunk-

tionen 257-260– Buchungen 261-263– Fraud-Indikatoren 368-370– Funktionstrennung 337– Kennzahlen 412-422– Konsolidierung 264-265– Kontrollaktivitäten 257-268– Offenlegung 267-268– Organisation 157-159– Periodenabschluss 265-267– Rechnungslegungsstammdaten 268– Referenz 256– Risiken 257-268– Risiko-Kontroll-Matrix 256-268– Schnittstellen 263-264– Ziele 257-268Rechnungswesen– Externes 157– Internes 157Red Flags siehe Fraud-IndikatorenReisekosten 145-146, 196-197Rentabilität 419-421Return On Capital Employed siehe ROCEReturn On Net Assets siehe RONAReturn On Sales siehe ROSRisiko-Kontroll-Matrix– Absatz 217-228– Anlagevermögen 229-238– Beschaffung 183-197– Finanzen 269-289– Grundlagen 181-182– Informationstechnologie 310-333– Personal 239-255

– Produktion 198-216– Rechnungslegung 256-268– Steuern 290-309Risikomanagement siehe ERMRisikomanagementsystem 91, 93Risikophilosophie 56, 97ROCE 421Rohgewinnspanne 418RONA 420ROS 421

SSarbanes-Oxley Act (SOX) 25-28Savings 384-385SCM siehe Supply Chain ManagementScoping 441-445SDLC siehe Software Development Life

CycleSEC siehe Securities and Exchange Com-

mission (SEC)Securities and Exchange Commission

(SEC) 27, 489, 517Selbstbeurteilung 91-95Selbstkostenpreis 399Service Level Agreement 436Shared Serivce Center 92-95Skontosatz, Durchschnittlicher 386SLA siehe Service Level AgreementSoftware Development Life Cycle

311-312Sorgfaltspflicht 482SOX siehe Sarbanes-Oxley ActSteueraufwandsquote 429Steuer-Mitarbeiter-Quote 430Steuern– Abteilung 167– Archivierung 171-172, 308-309– Aufbewahrung 171-172, 308-309– Definition 165– Ertragsteuern 169-170, 301-304– Fraud-Indikatoren 373-376– Funktionstrennung 338– Funktionsverlagerung 172, 304-305– Kennzahlen 429-431– Kontrollaktivitäten 291-309– Organisation 165-172– Organisation Steuerabteilung 291-293– Pflichten 166-167– Referenz 290– Regeln 166-167


978350310785978350310785


553

– Risiken 291-309– Risiko-Kontroll-Matrix 291-309– Steuerliche Außenprüfung 306-308– Steuerstrukturierung 170, 305-306– System 166– Umsatzsteuer 168-169, 294-297– Verbrauchsteuern 169, 298-300– Verrechnungspreise 167-168, 304-305– Ziele 291-309– Zölle 169, 298-300Steuerquote, Tatsächliche 429-430Supply Chain Management 142-143, 149

TTäuschungen 342Teilkapitalumschlag 416Teilproduktivität 395Teilvermögensumschlag 417Teilvermögensumschlagsziffern 417Theta 428Tone at the Top 60, 441Top-Down-Ansatz 454Total Cost of Ownership 143Treasury siehe Finanzen

UÜberwachungskultur 439Überwachungsorgan 54-55, 92-95UK Bribery Act (UKBA) 519– Anwendungsbereich 520– Bestechungsdelikte 520– Kategorien 521– Prinzipien 522– Sanktionen 521UKBA siehe UK Bribery Act (UKBA)Umsatzentwicklung 402Umsatzentwicklungsindex 402-403

Umsatzstruktur 402Umschlagsdauer 391-392Umschlagshäufigkeit 391Unregelmäßigkeiten 341-342Unrichtigkeiten 341Urlaubsquote 410

VValue at Risk 428Verantwortung 58, 80, 99-100Verhaltenskodex 52-53, 91, 93Verkaufspreis, Kalkulierter 399Vermögenseinsatz 411Vermögensschädigungen 342Vermögensstruktur 405, 412-413Vermögensumschlagsdauern 417Verrechnungspreise 167-168, 304-305Verstöße 340-342Vier-Augen-Prinzip 178, 334, 352, 464

WWalkthrough 448Weisungsrechte 58, 99-100Werkzeugsverbrauchsquote 392Wertschöpfung 396-397Wertschöpfungsquote 397Whistleblower-System 91, 93Wirtschaftlichkeit 396

ZZahl der Bestellungen, Optimale 382Zentrale Dienstleistungszentren 92-93Ziele– Berichterstattung 62-63– Betrieblich 62– Regeleinhaltung 63-64Zugriffsrechtekonzept 334


978350310785978350310785

^ Korruption, Betrug und Datenskandale zeigen es immerwieder: Ein Internes Kontrollsystem (IKS) ist unverzichtbar –im Großkonzern genauso wie im Mittelstand. Nur so gelingtes, wirtschaftlichen Schaden abzuwenden, Vorgaben effi zientzu erfüllen und letztlich den Wert des Unternehmens zu steigern.

Wie Sie Schritt für Schritt ein IKS erfolgreich aufbauen undzielgerichtet einsetzen, zeigt Ihnen Oliver Bungartz in derumfassend aktualisierten 4. Aufl age dieses Standardwerks.

·· Nationale und internationale Vorgaben – neu mitden Regelungen nach dem sog. China-SOX und zumOutsourcing nach IDW PS 951 n.F.

·· COSO 2013 – das aktuelle Rahmenwerk mit den17 grundlegenden Prinzipien und 87 Attributenzur Charakterisierung aller COSO-Komponenten

·· Mit dem COBIT-Framework der ISACAin der neuesten Fassung (COBIT 5)

·· Nationale und internationale Anforderungen anCompliance Management Systeme (CMS) und ihreIntegration im ERM-Framework

Ein Leitfaden und Nachschlagewerk – mit umfangreichenFragebögen und Kontrollmatrizen, mehr als 700 Beispielenzu Risiko-Kontroll-Kombinationen, über 200 Fraud-Indikatorenund 170 Kennzahlen zur Identifi kation zentraler Risiken undSteuerung wichtiger Prozesse.

www.ESV.info

€ (D)84,959 783503 154241


http://www.esv.info/978%203%20503%2015424%201

Handbuch Interne Kontrollsysteme (IKS) · 978350310785 Steuerung und Überwachung von Unternehmen...

Documents

Transcript of Handbuch Interne Kontrollsysteme (IKS) · 978350310785 Steuerung und Überwachung von Unternehmen...