ZU DEN KURSEN!

Internes Kontrollsystem - Überwachungsaktivitäten

Kursangebot | Internes Kontrollsystem | Überwachungsaktivitäten

Internes Kontrollsystem

Überwachungsaktivitäten

Elemente der Überwachungsaktivitäten nach COSO

Wieder kommen wir auf das COSO-Regelwerk zu sprechen. Es ist auf die Unternehmensziele fokussiert und besteht aus unterschiedlichen Elementen:

Kontrollumfeld

Das Kontrollumfeld ist stark durch das Unternehmensleitbild definiert, es wird also beeinflusst durch Verhaltensregeln, Leistungsvorgaben und die Rolle, welche Aufsichtsorgane innerhalb des Unternehmens ausüben.

Risikobeurteilung

Die Risikobeurteilung erfolgt durch

  • die Analyse der Zielsetzung,

  • die Identifikation von Risiken,

  • die Risikocharakteristiken und durch

  • Maßnahmen.

Zunächst ist es für die Risikobeurteilung wichtig, welche Ziele das Unternehmen folgt. Die Identifikation von Risiken ist abhängig von den Märkten, in denen sich das Unternehmen bewegt, der jeweiligen Branche, den jeweiligen produzierten und verkauften Produkten als auch den Unternehmensprozessen. Risikocharakteristik bedeutet, dass man die möglichen Schäden und ihre Eintrittswahrscheinlichkeiten ermitteln kann, um hieraus aus der Erwartungswertberechnung den erwarteten Schaden kalkulieren zu können. Schließlich ist es von Risikoaversion bzw. Risikopräferenz der Unternehmensbeteiligten abhängig, ob und welche Maßnahmen im Rahmen der Risikobeurteilung getroffen werden.

Kontrollaktivitäten

Wichtig ist, dass im Rahmen der Kontrollaktivitäten geschaut wird, ob Maßnahmen, welche zur Reduktion der Risiken ergriffen werden, auch von Erfolg gekrönt sind. Kontrollaktivitäten werden hierbei in die Geschäftsprozesse direkt einbezogen, weil dies effektiver ist als sie erst danach greifen zu lassen. Die Kontrollmaßnahmen werden hierbei automatisch oder manuell einbezogen.

Ein Internes Kontrollsystem umfasst insbesondere auch Überwachungsaktivitäten, um sicherzustellen dass rechtlichen Anforderungen genüge getan wird, Schwachstellen erkannt und Verbesserungen entwickelt werden können. Bei den Überwachungsmaßnahmen unterscheiden wir

  • prozessunabhängige und

  • prozessabhängige Überwachungsmaßnahmen.

Die prozessunabhängigen Überwachungsmaßnahmen sollen die Wirtschaftlichkeit der Überwachung sicherstellen und Verbesserungspotenziale aufzeigen. Prozessunabhängig agieren beispielsweise die Interne Revision und der Abschlussprüfer, aber auch Organe von Kapitalgesellschaften wie beispielsweise der Aufsichtsrat. Prozessabhängige Überwachungsmaßnahmen hingegen werden durch einzelne Stellen realisiert, welche Teil des Risikomanagements sind.

Information und Kommunikation

Die Überwachungsaktivitäten eines Unternehmen sind Prozesse, die fortlaufend durchgeführt werden müssen. Diese dienen der Qualitätssicherung des Internen Kontrollsystemes und müssen bei Fehlfunktionen angepasst werden. Die COSO-Komponente Überwachung umfasst alle Komponenten des IKS, da alle Aktivitäten zur Risikovermeidung bzw. Risikobehebung überwacht werden müssen. Nach COSO ist eine Überwachung in drei Schritten gewährleistet. Diese beinhaltet Folgendes:

  • die Etablierung einer Basis

  • eine Grundkonzeption und ihre Ausführung

  • die Sichtung und die Berichterstattung

Ein IKS wird im gesamten Unternehmen auf allen Hierarchiestufen überwacht. Betroffen sind unter anderem folgende Hierarchiestufen:

  • Topmanagement

  • Aufsichtsrat oder Beirat

  • Interne Revision

  • finanzielles oder operatives Management

Bei den Überwachungsaktivitäten kann zwischen laufenden und gesonderten unterschieden werden. Die laufenden werden kontinuierlich vom Management durchgeführt, wobei die gesonderten Überwachungsaktivitäten bei bevorstehenden Risiken oder Indizien durchgeführt werden. Diese sollen dazu dienen, ein fortlaufend funktionsfähiges IKS zu haben. Fehler des IKS sind stets durch das Management zu beseitigen. Hierfür werden Aufbau- und Funktionsprüfungen durchgeführt.

Aufbau- und Funktionsprüfungen 

Aufbauprüfungen

Die Beurteilung des Aufbaus eines IKS ist in den meisten Fällen subjektiv, jedoch kann die Prüfung durch einige Schritte objektiviert werden. Der Aufbau eines IKS ist sehr wichtig, da ein IKS nur dadurch funktionsfähig ist. Ein Indiz für einen schlechten Aufbau könnten z. B. fehlende oder unzureichende Kontrollaktivitäten sein. Um den Aufbau eines IKS objektiv bewerten zu können, sind folgende Prüfungshandlungen möglich:

  • Mitarbeiterbefragungen mit Überwachungsfunktionen

  • Beurteilung von Arbeitsabläufen und der IT-Strukturen

  • Kontrolle von Unternehmsrichtlinien oder Organisationshandbüchern usw.

  • Dokumente des IKS kontrollieren

  • die Kontrollaktivitäten nach ihrer Wesentlichkeit und Wirksamkeit beurteilen

Funktionsprüfungen

Für die Funktionsprüfung sind alle Tochtergesellschaften oder Prozesseinheiten zu betrachten. Die Funktionsprüfung ist für die Aufdeckung von Kontrollschwächen gedacht. Falls Kontrollschwächen gefunden werden, müssen diese beseitigt und nochmals überprüft werden. Durch die Funktionsprüfung soll die Funktionsfähigkeit des Aufbaus und die Kompetenz der Mitarbeiter die für den Aufbau zuständig sind gewährleistet werden. Anhand der Funktionsprüfung kann die Funktion des IKS beurteilt werden. Diese Prüfung sollte alle Unternehmensziele mit einbeziehen.

Die Kontrollen der Funktionsfähigkeit des IKS sollten auf folgende Merkmale erstreckt sein:

  • Die Art,

  • die Wesentlichkeit,

  • die Risiken und auf

  • die Komplexität.

Damit das IKS auch personenunabhängig funktionsfähig ist, ist eine Dokumentation der Prüfungshandlungen notwendig.