Internes Kontrollsystem (IKS) – Definition, Vorteile, Implementierung

Ein internes Kontrollsystem (IKS) besteht aus Regeln, mit denen die Kontrollen innerhalb eines Unternehmens zentral gesteuert werden. Diese Kontrollen wiederum dienen der Einhaltung von intern gesetzten wie extern auferlegten Richtlinien oder Gesetzen sowie der Verhinderung von Schäden.

Mit einem IKS wird demnach „blinder Aktionismus“ verhindert – also ungesteuerte Geschäftsabläufe, die Fehler bergen können und oft undokumentiert stattfinden. Stattdessen existieren bei einem gut umgesetzten IKS systematische Vorgehensweisen für Selbstkontrollen. Diese können den Arbeitsabläufen vor- oder nachgeschaltet sein oder währenddessen stattfinden. Sie können demnach auch präventiv durchgeführt werden.

Das IKS ist ein Bestandteil der Aufbau- und Ablauforganisation. Somit liegt es im Aufgabenbereich des Managements beziehungsweise Vorstands. Die Umsetzung der Regeln erstreckt sich über die gesamte Organisation und wird über Prozesse gesteuert. Ein IKS regelt Berechtigungen, Freigaben (üblicherweise nach dem 4-Augen-Prinzip) und definiert klar und zielgerichtet, wie ein Geschäftsprozess im Alltag auszusehen hat. Eng damit verwoben sind geregelte Verantwortlichkeiten, sodass eindeutig geklärt ist, wer bestimmte Prozesse oder Abläufe zu verantworten hat. Vorfälle lassen sich somit Einzelpersonen zuordnen. Diese Möglichkeit, zur Rechenschaft gezogen zu werden, ist in der Praxis ein effektives Mittel zur Einhaltung von Verfahrensanweisungen, Richtlinien und Vorgaben.

Zentral ist die Steigerung der Wirtschaftlichkeit; der Gewinn soll maximiert werden. Vorhandenes Geschäftsvermögen soll geschützt werden. Sei es zum einen, indem qualitätsrelevante Geschäftsprozesse sauber abgearbeitet und stetig verbessert werden. Zum anderen hilft ein IKS, rechtskonform zu agieren. Risiken von Bußgeldern, Vertragsstrafen, Imageschäden werden gering gehalten.

Um diese Ziele zu erreichen, wird die Wirksamkeit festgelegter Regeln getestet: Man prüft, ob in der Praxis alles so läuft, wie es vorgesehen ist und ob die festgelegten Kontrollmechanismen effektiv greifen. Sollten Differenzen zwischen den Vorgaben und Beobachtungen auftauchen, müssen Maßnahmen ergriffen werden.

Meist wird der Begriff „internes Kontrollsystem“ mit der Rechnungslegung verbunden. Ein IKS beinhaltet jedoch Kontrollen und Sicherungsmaßnahmen für viele Geschäftsbereiche. Dazu gehören Compliance-Audits oder auch die Überprüfung des eigenen Führungsstils und der ethischen Werte. Man möchte insgesamt mehr (interne wie externe) Transparenz erreichen, sich selbst höhere Qualitätsstandards setzen und weniger Risiken (durch uneindeutige Anweisungen, ungeklärte Verantwortlichkeiten etc.) eingehen. Spätestens wenn ein Unternehmen zur Einhaltung von Normen verpflichtet ist und damit verbunden gewisse Standards auditsicher erfüllen muss, wird ein IKS benötigt.

Viele Unternehmen kontrollieren zwar bereits ihre Arbeitsprozesse, sie haben aber kein standardisiertes und systematisch dokumentiertes System eingeführt. Stattdessen prüft meist jeder, wie er oder sie es für richtig hält. Ein IKS bringt Vereinheitlichung und nachweisbare Einhaltung gesetzter Maßstäbe.

Die meisten Kapitalgesellschaften sind gesetzlich zur Einrichtung eines IKS verpflichtet (siehe §§ 91 sowie 107 des AktG). Der Aufsichtsrat hat hierfür die Haftung. Nach § 289 Abs. 4 HGB sind außerdem kapitalmarktorientierte Unternehmen dazu verpflichtet, in einem Lagebericht „die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess“ darzustellen.

Kapitalgesellschaften sind haftungsbeschränkte Unternehmen und somit AGs (und die Sonderform SE), KGaA und GmbH. Kapitalmarktorientierte Unternehmen handeln mit Wertpapieren. Für die meisten anderen Unternehmen und Organisationen ist ein IKS freiwillig. Wenn es in Ihrer Branche Standards gibt, wird Ihnen ein IKS dabei helfen, sie einzuhalten. Außerdem können Kontrollen von externen Stellen (Aufsichtsbehörden, Kunden mit entsprechendem Interesse) eingefordert werden. Doch auch ohne solche Instanzen ist ein IKS empfohlen. Denn es geht dabei unter anderem darum, qualitätsrelevante Prozesse sicher umzusetzen und Unternehmensziele zu erreichen.

Bevor ein internes Kontrollsystem eingeführt wird, sollte sich das Mindset im Team davon wegbewegen, dass es sich um eine Überwachung der Mitarbeiter handelt. Ein IKS ist auch nicht gleichbedeutend mit Micromanagement aufgrund mangelnden Vertrauens. Viel mehr führen die Teammitglieder selbst die Regeln des IKS aus. Sie überwachen, dokumentieren und optimieren ihre eigenen Prozesse.

Aus rein pragmatischer Sicht starten einige Unternehmen bei der Einführung eines IKS bei der Rechnungslegung, was mit den oben genannten rechtlichen Pflichten zusammenhängt. Mit der Zeit kann das System umfassender werden, etwa um die Umsetzung von ISO-Standards zu gewährleisten. Thematisch lassen sich so weitere Bereiche wie etwa die Informationssicherheit oder Qualitätsstandards erweitern.

Wir empfehlen diesen Ablauf für die Implementierung:

• Definieren Sie Ihre Unternehmensziele. Das können finanzielle Ziele sein, aber auch Strafvermeidung bzw. Gesetzeskonformität.
• Identifizieren Sie mögliche Risiken und/oder Richtlinien für die zu erreichenden Ziele.
• Setzen Sie die Risiken bzw. die gesetzlichen Regelungen mit den jeweiligen Prozessen in Verbindung. Das heißt: Welchem Prozess ist ein erkanntes Risiko zugeordnet? Wer ist für diesen Prozess verantwortlich?
• Entwerfen Sie Kontrollmechanismen, die regelmäßig effektiv prüfen, ob die Sollwerte auch tatsächlich erreicht wurden. Abweichungen und erreichte Ziele sind jeweils zu dokumentieren.
• Achten Sie darauf, die Kontrollen zum Teil des Prozesses zu machen. Die Prüfung steht also nicht außerhalb des Geschäftsalltags, sondern ist integriert.
• Kontrollen – vor allem wenn sie neu eingeführt werden – müssen ebenfalls getestet werden. Es ist wie in der Wissenschaft: Ist der festgelegte Messwert in Bezug auf die Zielerreichung sinnvoll?
• Ohnehin ein wichtiger Punkt: Dokumentation nicht vergessen! Idealerweise wird die Dokumentation von der eingesetzten Software übernommen.
• Optimieren Sie daraufhin Ihre Kontrollprozesse (nach dem Plan-Do-Check-Act-Prinzip), indem Sie Kontrollergebnisse zyklisch auswerten.
• Nutzen Sie grafische Darstellungen oder Reports, um Ergebnisse leichter zu erfassen und geeignete Maßnahmen abzuleiten.

Nehmen wir an, es wurden Rechnungen für Dienstleistungen oder Waren bezahlt, die nie erbracht oder geliefert wurden. Dies geschah entweder durch mangelnde Kommunikation, zu geringe Kontrolle oder absichtlich, im Rahmen eines Betrugs.

In jedem Fall wäre der Bezahlprozess von Rechnungen von nun an ein Kapitel Ihres IKS-Fragenkatalogs. Es muss einiges dazu geklärt werden. Ein anderes Beispiel wäre die Qualitätskontrolle der eigenen Produkte und Services.

Mit einer Software kann man nun ein Objekt dazu anlegen und Fragen sowie Anweisungen hinterlegen. Auch Grafiken, Checklisten oder Fragenkataloge mit konkreten Handlungsschritten können in einer geeigneten Compliance-Software angefügt werden.

Wurden die Regeln festgelegt, sollten sie regelmäßig geprüft werden. Wieder ist es hilfreich, eine Software zu verwenden, da diese nach Wunsch Erinnerungen versendet, zum Beispiel wenn eine Frist bald abläuft. Im Anschluss sollte nicht nur zwischen „Regel wurde umgesetzt“ oder „wurde nicht umgesetzt“ unterschieden werden, sondern in Abstufungen wie „nur teils erfüllt“. Bei ungenügenden Ergebnissen sollten Begründungen hinzugefügt werden, denn nur durch konstruktive Kritik gibt es Verbesserung.

Es könnte auch mit unterschiedlicher Software wie Tabellen- und Textprogrammen gearbeitet werden, doch ab einer gewissen Komplexität der Prozesse ist hier Chaos im wahrsten Sinne vorprogrammiert. Eine Excel-Tabelle beispielsweise versendet auch keine Reminder und es können in diesen Programmen keine Rechte und Rollen vergeben werden – die für ein Kontrollsystem zentral sind. Tabellenkalkulationen sind zudem nicht auditsicher; Manipulationen oder Bedienungsfehler können zu Datenverlusten führen. Die qualitative Dokumentation sollte auch möglichst nicht von den quantitativen Messungen getrennt sein, sondern in einer Anwendung vereint.

OMNITRACKER bietet keine eigenständige Software für interne Kontrollsysteme an, da jedes Unternehmen eine individuelle Prozesslandschaft sowie spezifische Unternehmensziele besitzt. Jedoch beinhaltet das OMNITRACKER Governance, Risk and Compliance Center als Audit- und Compliance-Software alle nötigen Funktionen, um ein passgenaues (und später anpassbares) IKS abzubilden. Die Vorgehensweise kann ähnlich sein wie bei Audits für ISO-Zertifizierungen. Der Unterschied liegt beim IKS lediglich darin, dass die abzuprüfenden „Normen“ vom Unternehmen selbst definiert werden. Achten Sie also darauf, eine Software zu nutzen, die ein freies Definieren von Richtlinien und Arbeitsanweisungen zulässt.

Ein IKS ist Teil der Compliance-Strategie einer Institution (Unternehmen, Behörde, NGO etc.). Diese Compliance-Strategie umfasst Elemente des Risikomanagements. Da alle Objekte, Prozesse, das zugehörige Berechtigungs- und Rollenkonzept miteinander in Bezug stehen, sollten die verschiedenen Disziplinen nicht isoliert voneinander betrachtet werden. Im Zuge von Auditplanung und -durchführung, bei der Vorbereitung auf Notfälle, der Etablierung eines IKS, bei der Bewertung von Lieferanten (Pflicht durch das LKsG) im Rahmen einer ISO-27001-Zeritifizierung werden etwa Risiken identifiziert, die die Zielerreichung beeinträchtigen könnte. Ein zentrales GRC-Tool schafft hier Synergieeffekte.

Für jeden dieser Teilbereiche des GRC-Kosmos ein separates Tool einzuführen, wäre weder wirtschaftlich noch in der alltäglichen Bedienung zielführend.