Was ist ein internes Kontrollsystem (IKS)?
Ein internes Kontrollsystem ist ursprünglich ein Instrument für das interne Risikomanagement von Unternehmen. Es beschreibt Prozesse, Rollen und Kontrollen, die gewährleisten, dass in Organisationen alles mit rechten Dingen zugeht – insbesondere im Bereich der Rechnungslegung. Das ist etwas vereinfacht ausgedrückt.
Das Institut der Wirtschaftsprüfer (IDW) definiert ein internes Kontrollsystem im Prüfungsstandard (PS) 261 “Feststellung und Beurteilung von Fehlerrisiken und Reaktion des Abschlussprüfers auf die beurteilten Fehlerrisiken” als: “… die von dem Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) [verstanden], die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements
- zur Sicherung der Wirksamkeit und Wirtschaftlichkeit des Geschäftstätigkeit (hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschäden),
- zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung
- zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.”
Inhalt eines IKS
Das IKS besteht aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem). Zum internen Überwachungssystem gehören sowohl prozessabhängige Maßnahmen und Kontrollen, als auch prozessunabhängige, wie z. B. eine Innenrevision.
Eine mögliche Gliederung des IKS kann nach dem IDW wie folgt aussehen:
- IKS
- internes Steuerungssystem
- internes Überwachungssystem
- prozessintegrierte Überwachungsmaßnahmen
- organisatorische Sicherungsmaßnahmen
- Kontrollen
- prozessunabhängige Überwachungsmaßnahmen
- Interne Revision
- Sonstige
- prozessintegrierte Überwachungsmaßnahmen
Grundsätze von internen Kontrollsystemen
Die wichtigsten Grundsätze eines IKS sind:
- Transparenz – Prozesse definieren und einhalten, sodass “Außenstehende” (Betriebsprüfer!) die Konformität beurteilen können.
- Vier-Augen-Prinzip – Das Kontrollsystem soll gewährleisten, dass kein wichtiger Vorgang von einer Person alleine ohne Gegenkontrolle ausgeführt wird.
- Funktionstrennung – Ein Prozess, der operative, buchhalterische und verwaltende Tätigkeiten umfasst, darf nicht in einer Hand liegen. Ein Beispiel hierfür wäre der Einkaufsprozess von der Bedarfsermittlung über die Bestellung, Eingangsrechnungsbearbeitung, Buchung, Zahlung und Lagerhaltung. Wichtig ist hier die Abgrenzung von Aufbau- und Ablauforganisation im Unternehmen.
- Berechtigungen – Hier gilt das Prinzip der Mindestinformation: Jeder Mitarbeiter weiß so viel wie nötig und so wenig wie möglich, um seine Arbeit zu tun. Entsprechende Rollen und Berechtigungen sind im IKS zu dokumentieren und in der Praxis im Unternehmen zu beachten.
Rechtsgrundlagen
Die neueste und wesentliche Rechtsgrundlage für IKS sind die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).
Der Punkt 6 der GoBD – Internes Kontrollsystem – besagt: “Für die Einhaltung der Ordnungsvorschriften des § 146 AO hat der Steuerpflichtige Kontrollen einzurichten, auszuüben und zu protokollieren.” Darauf folgt eine kurze Aufzählung wichtiger Bestandteile bzw. Kontrollen, die ein IKS definieren sollte:
- Zugangs- und Zugriffsberechtigungskontrollen
- Funktionstrennungen
- Erfassungskontrollen (durch Fehlermeldungen und Plausibilitätsprüfungen)
- Abstimmungskontrollen bei der Dateneingabe
- Verarbeitungskontrollen und
- Schutzmaßnahmen gegen die Verfälschung von digitalen Verarbeitungen und Inhalten
Allerdings konzediert das Finanzministerium, dass sich die konkrete Ausgestaltung nach Unternehmenstyp, Unternehmensgröße und eingesetzer Software richtet. In kleinen Unternehmen können schon einmal mehrere Prozess-Schritte in einer Hand liegen, das ist unvermeidlich.
Darüber hinaus existieren einschlägige Vorschriften im Aktiengesellschaftengesetz, Handelsgesetzbuch und Kreditwesengesetz, da früher ein IKS hauptsächlich für Kapitalgesellschaften und insbesondere Unternehmen der Kreditwirtschaft vorgeschrieben war.
Auch die euroäische Solvency II Richtlinie verlangt in Artikel 46 ein internes Kontrollsystem.
Interne Kontrolle über die Finanzberichterstattung (IcoFR) hat für Umsetzung des Sarbanes Oxley Act (SOX) besondere Bedeutung. Dieser entstand als Reaktion auf verschiedene Bilanzskandale und hat das Ziel, das Vertrauen in die Rechnungslegung von Unternehmen wiederherzustellen.
IKS und Verfahrensdokumentation
Das IKS ist Bestandteil der Verfahrensdokumentation, die ebenfalls in den GoBD vorgeschrieben ist. Da eine Verfahrensdokumentation allen Unternehmen abverlangt wird, gilt dies sinngemäß auch für das IKS. Über die Verfahrensdokumentation haben wir im Rahmen der GoBD-Beiträge in diesem Ratgeber bereits berichtet.
Ziele des IKS
Die Ziele von internen Kontrollsystemen sind im Grunde recht simpel: Die Verfahrensdokumentation sowie auch das IKS sollen sicherstellen, dass
- die Geschäftsprozesse im Unternehmen transparent sind und funktionieren
- die Informationen, Daten und Software-Lösungen zuverlässig und konsistent sind und
- dass gesetzliche Regelungen eingehalten werden (Compliance).
Insgesamt wird das IKS oft in den Kontext eines funktionierenden Risikomanagements im Unternehmen gestellt: Durch Prozesskonsistenz, Funktionstrennung sowie entsprechende Kontrollen wird das Risiko von Vertrauensschäden oder wirtschaftlichen Schäden – sowohl für das Unternehmen selbst als auch für die Finanzbehörden – minimiert, die durch Vorsatz oder Fahrlässigkeit begangen werden können.
Das IKS in der Praxis
Ein internes Kontrollsystem hat große Schnittmengen mit anderen Dokumenten im Bereich Governance, Risikomanagement, Compliance-Management und Unternehmenssteuerung sowie mit der Verfahrensdokumentation nach GoBD. Hier können sich Synergie-Effekte ergeben.
Das bedeutet: Selbstverständlich haben Sie bereits Prozesse und Kontrollmechanismen in Ihrem Unternehmen etabliert. Höchstwahrscheinlich, sofern Sie kein Einzelkaufmann sind, praktizieren Sie auch das Vier-Augen-Prinzip. Ganz besonders gilt dies für die Unternehmensfunktionen, die steuer- oder rechnungslegungsrelevant sind. Es ist wichtig, diese Prozesse zu standardisieren, zu dokumentieren und zu überwachen. Dies alles muss in einer Weise geschehen, die auch vor den Augen eines Betriebsprüfers Bestand hat.
Software hilft bei der IKS-Compliance
An anderer Stelle haben wir bereits auf die Bedeutung der Software für die Erfüllung von GoBD-Anforderungen hingewiesen. Es existieren Software-Lösungen, die alle Vorgänge rund um Ihre Geschäftsprozesse protokollieren und dokumentieren. Des Weiteren werden in der Software Berechtigungen eingerichtet, die eine Funktionstrennung und den obligatorischen Zugriffsschutz gewährleisten.
Die Anforderungen an die Ordnungsmäßigkeit, Nachprüfbarkeit und Zeitigkeit der geschäftlichen Aufzeichnungen können durch eine integrierte Software-Lösung ebenfalls sehr gut erfüllt werden. Hinzu kommt eine GoBD-konforme Belegarchivierung in einem entsprechenden Dokumentenmanagementsystem.
Reibungslose Betriebsprüfung
Externe Prüfer sind in der Regel hoch erfreut, wenn ein Unternehmen ein internes Kontrollsystem vorweisen kann. Denn das IKS ist ein starkes Indiz dafür, dass das Unternehmen seine Geschäftsvorfälle in chronologischer Reihenfolge vollständig, systematisch und rechnerisch korrekt erfasst.
Das schafft Vertrauen, weil ein funktionierendes IKS im Prinzip ein Instrument zur Verhütung von Fehlern ist. Wenn der externe Prüfer es für gut befindet, wird er oft die weiteren Prüfungshandlungen nur noch überblicksartig vornehmen.
Fazit
Das IKS sorgt dafür, dass Fehler gar nicht erst passieren und dass die Prozesse im Unternehmen transparent und auch für externe Prüfer nachvollziehbar sind. Zu einem IKS gehören verschiedene Dokumente, darunter z. B. ein Organisationsplan, Arbeitsanweisungen, der Kontenplan sowie die Dokumentation von Kontrollen und Kontrolleinrichtungen – sowohl menschliche als auch organisatorische und EDV-mäßige.
Eine professionelle Unternehmenssoftware kann die Dokumentation und Nachvollziehbarkeit von Geschäftsprozessen wesentlich erleichtern! Grundsätzlich gilt: Je mehr Sie digitalisieren, umso besser können Sie dokumentieren.
Unternehmen, die noch kein IKS haben, sollten sich mit dieser Thematik auseinandersetzen. Eventuell sollte dazu die Hilfe eines Steuerberaters oder Wirtschaftsprüfers in Anspruch genommen werden.
