Internes Kontrollsystem

IKS: Gesamtheit aller aufeinander abgestimmten Maßnahmen, Regelungen und Prozesse zur Erreichung von drei Zielkategorien (COSO-Rahmenwerk):

• Ordnungsmäßigkeit der Rechnungslegung (Grundsätze ordnungsmäßiger Buchführung)
• Compliance: Einhaltung gesetzlicher Vorschriften und interner Richtlinien
• Wirtschaftlichkeit und Wirksamkeit der Geschäftsprozesse

Klassische Struktur des internen Überwachungssystems:

• Internes Kontrollsystem (IKS): prozessintegrierte Kontrollen (z.B. Vier-Augen-Prinzip, Funktionstrennung)
• Interne Revision: prozessunabhängige, nachgelagerte Prüfung
• Risikomanagementsystem: Identifikation und Steuerung bestandsgefährdender Risiken

Rechtsgrundlagen: § 91 Abs. 2 AktG (Risikofrüherkennungssystem); § 317 Abs. 4 HGB (Prüfung bei börsennotierten AG); § 289 Abs. 4 HGB / § 315 Abs. 4 HGB (Angaben zum IKS im Lagebericht); GoBD (Dokumentation und IT-Kontrollen).

Das COSO-Rahmenwerk (Committee of Sponsoring Organizations of the Treadway Commission) ist der international anerkannte Standard für interne Kontrollsysteme. Es definiert fünf aufeinander aufbauende Komponenten:

1. Kontrollumfeld: Grundlage des IKS – Unternehmenskultur, Werte, Führungsstil, Kompetenz der Mitarbeiter und Verantwortlichkeiten. Ohne ein positives Kontrollumfeld sind alle anderen Komponenten wirkungslos.
2. Risikobeurteilung: Systematische Identifikation und Bewertung von Risiken, die die Erreichung der Unternehmensziele gefährden (Brutto- und Nettorisiko).
3. Kontrollaktivitäten: Konkrete Maßnahmen zur Risikominimierung – z.B. Vier-Augen-Prinzip, Funktionstrennung, Zugriffsberechtigungen, Abstimmungen, Genehmigungsverfahren.
4. Information & Kommunikation: Relevante Informationen müssen zeitgerecht erfasst, aufbereitet und an die richtigen Personen kommuniziert werden (intern und extern).
5. Überwachung: Laufende und periodische Beurteilung der Wirksamkeit des IKS durch interne Revision, Management-Reviews und externe Prüfungen.

Prüfungshinweis: Die fünf Komponenten gelten als Prüfungsmaßstab bei der Beurteilung des IKS durch den Wirtschaftsprüfer (§ 317 HGB).

Ein IKS ist notwendig, um folgende Ziele zu erreichen:

• Vermeidung von Fehlern: Buchungsfehler, Falschbewertungen und Verstöße gegen Rechnungslegungsvorschriften frühzeitig erkennen
• Schutz vor Betrug: Unterschlagungen, Manipulationen und Interessenkonflikte durch Kontrollen einschränken
• Compliance: Einhaltung gesetzlicher Anforderungen (HGB, AO, DSGVO, AktG)
• Verlässliche Berichterstattung: Kreditgeber, Investoren und Gesellschafter verlassen sich auf korrekte Zahlen
• Haftungsschutz: Geschäftsführer/Vorstand kommen ihrer Sorgfaltspflicht nach (§ 43 GmbHG, § 93 AktG)

Vier-Augen-Prinzip: Grundlegendes IKS-Kontrollprinzip, bei dem wichtige Entscheidungen oder Zahlungen von mindestens zwei unabhängigen Personen geprüft und freigegeben werden müssen.

Anwendungsbereiche:

• Zahlungsfreigaben ab bestimmten Beträgen
• Jahresabschlussaufstellung und -prüfung
• Vertragsunterzeichnung
• Buchung von Korrekturbuchungen

Ziel: Einzelperson kann keine Fehler oder Manipulationen unentdeckt durchführen. Wirksames Mittel gegen Unterschlagung und unbewusste Fehler.

Wichtig: Die prüfende zweite Person muss unabhängig von der ausführenden Person sein – sonst ist das Vier-Augen-Prinzip wirkungslos (kein wirksames Kontrollprinzip bei Kollusion oder Abhängigkeit).

Ergänzung: Funktionstrennung (Buchung ≠ Zahlung ≠ Kontrolle) verstärkt das Prinzip.

Risikomanagement: Systematischer Prozess zur Identifikation, Bewertung, Steuerung und Überwachung von Risiken, die die Erreichung der Unternehmensziele gefährden könnten.

Prozessschritte:

1. Risikoidentifikation: Welche Risiken bestehen (operativ, finanziell, strategisch, rechtlich)?
2. Risikobewertung: Eintrittswahrscheinlichkeit × Schadenshöhe = Risikoausmaß. Unterscheidung:
   • Bruttorisiko: Risiko vor Gegenmaßnahmen
   • Nettorisiko: Verbleibendes Risiko nach Gegenmaßnahmen (Restrisiko)
   Darstellung in einer Risikomatrix (hoch/mittel/niedrig nach Wahrscheinlichkeit und Schadenshöhe)
3. Risikosteuerung: Vermeiden, Reduzieren, Überwälzen (Versicherung) oder bewusste Risikoübernahme
4. Risikoüberwachung: Laufende Kontrolle und Berichterstattung

Pflicht: § 91 Abs. 2 AktG verpflichtet Vorstände zur Einrichtung eines Risikofrüherkennungssystems.

Früherkennung durch: Ziel ist es, bestandsgefährdende Entwicklungen frühzeitig zu erkennen (§ 91 Abs. 2 AktG):

• Frühwarnindikatoren / KPIs: Regelmäßige Überwachung von Kennzahlen (Liquiditätsgrade, Umsatzentwicklung, Forderungsbestand, Reklamationsquote)
• Rollierende Planung: Monatliche Soll-Ist-Vergleiche und unterjährige Forecasts
• BWA (Betriebswirtschaftliche Auswertung): Monatliche GuV-Darstellung zum schnellen Erkennen von Abweichungen
• Lieferanten-/Kundenbonität: Regelmäßige Bonitätsauskünfte bei wichtigen Partnern
• Mitarbeitermeldungen: Hinweisgebersysteme (Whistleblower-Strukturen)
• Interne Revision: Unangekündigte Prüfungen kritischer Prozesse

Organisatorische Maßnahmen:

• Funktionstrennung: Einkauf, Buchhaltung, Zahlung, Kontrolle durch verschiedene Personen
• Vier-Augen-Prinzip bei Zahlungen und Verträgen
• Zugriffsrechte im IT-System beschränken (Need-to-know-Prinzip)
• Klare Zeichnungsberechtigungen und Vollmachten

Prozessuale Maßnahmen:

• Standardisierte Arbeitsanweisungen und Richtlinien
• Regelmäßige Schulungen (Compliance, GoBD, Datenschutz)
• Vertretungsregelungen

Technische Maßnahmen: Automatische Plausibilitätsprüfungen in ERP-Systemen (Enterprise-Resource-Planning); revisionssichere Archivierung nach GoBD.

Dokumentation (GoBD-Pflicht!): Das IKS muss durch eine Verfahrensdokumentation belegt sein – schriftliche Beschreibung aller relevanten Buchführungs- und Kontrollprozesse (Anforderung der GoBD, BMF-Schreiben). Ohne Dokumentation ist das IKS nicht nachweisbar und steuerlich nicht anerkennbar.

Risiken können durch vier grundlegende Strategien gesteuert werden:

• Risikovermeidung: Geschäftstätigkeit in Hochrisikobereichen aufgeben (z.B. Rückzug aus bestimmten Märkten)
• Risikoreduktion: Diversifikation (mehrere Lieferanten, Märkte, Produkte); Notfallpläne; Homeoffice-Infrastruktur als Corona-Vorsorgemaßnahme
• Risikoübertragung: Versicherungen (Betriebsunterbrechungsversicherung, Warenkreditversicherung), Hedging (Finanzrisiken)
• Bewusste Risikoübernahme: Kalkulierbare Risiken werden gezielt eingegangen und Rücklagen gebildet (Risikorückstellungen) – das Risiko ist bekannt und akzeptiert, aber nicht übertragen

Im Fall von Corona: Kurzarbeit, staatliche Hilfsprogramme, Liquiditätsreserven, Lieferkettendiversifikation.

Wechselkursrisiken entstehen bei Ein- oder Auszahlungen in Fremdwährungen. Absicherungsinstrumente:

Natürliche Absicherung (Natural Hedging):

• Einnahmen und Ausgaben in derselben Währung halten (Matching)
• Produktion im Absatzland

Finanzielle Absicherung:

• Devisentermingeschäft: Kurs für zukünftige Zahlung heute fixieren
• Devisenoptionen: Recht (keine Pflicht) zum Kauf/Verkauf zu festem Kurs
• Fakturierung in Heimatwährung: Risiko auf Vertragspartner übertragen

Bilanzielle Behandlung (§ 256a HGB): Fremdwährungspositionen werden zum Devisenkassamittelkurs am Stichtag umgerechnet. Bei Restlaufzeit > 1 Jahr: Niederstwertprinzip bei Forderungen. Bei Restlaufzeit ≤ 1 Jahr: Stichtagskurs in beide Richtungen.

SWOT-Analyse

Wirtschaftsprüfer

Plausibilität & Prüfung