Internes Kontrollsystem und seine Rolle für die Unternehmen

Insbesondere bei kleinen Gesellschaften kann der Eindruck entstehen, dass sie kein internes Kontrollsystem haben – was jedoch nicht richtig ist. Zum internen Kontrollsystem gehören die Zahlungsfreigaben, das Risikosteuerungssystem, die Programmausstattung, die Geschäftsstrategie und ihre Überwachung, interne Richtlinien oder der interne Informationsaustausch. Durch die Gesellschaft bzw. die Geschäftsleitung müssen interne Unternehmensprozesse definiert und auf ihre Wirksamkeit laufend geprüft werden. Erweist sich, dass das IKS nicht wirksam ist, sind Maßnahmen für effektive interne Kontrollinstrumente zu treffen. Durch ein schwaches IKS können die Effizienz und die Qualität der Unternehmensprozesse beeinträchtigt werden, was im scharfen Konkurrenzumfeld auch zum Kundenverlust führen kann. Ein starkes IKS vermindert des Weiteren das Risiko von Unterschlagungen.

Wenn wir die Kontrollmaßnahmen und Kontrollmechanismen im Einzelnen prüfen, stellen wir fest, dass alle Gesellschaften über ein IKS verfügen. Zu allgemeinen internen Prozessen gehört der Belegumlauf. Durch den richtigen Belegumlauf werden Fehler und Unregelmäßigkeiten verhindert, die z.B. zu Zahlungsverzügen führen können. Des Weiteren können Unterschlagungen vermieden werden. Die Ausgangsrechnungen sollten richtig gekennzeichnet, an zuständige Mitarbeiter weitergeleitet und von ihnen geprüft werden. Wichtig sind der Buchungstag und Zahlungsausgang. Probleme können  entstehen, wenn zur Zahlungsfreigabe nur ein Mitarbeiter berechtigt ist, der seinen Urlaub nimmt, oder wenn die Freigabe von Rechnungen nicht eindeutig geregelt ist („lass mir die Rechnung auf dem Tisch“). In diesen Fällen drohen Zahlungsverzüge oder die Nichtbezahlung. Es ist wichtig, die Ausgangsrechnungen zum richtigen Zeitpunkt zu verbuchen, von großer Bedeutung ist weiterhin der Informationsaustausch zwischen den beteiligten Abteilungen.

Mit dem Belegumlauf hängt die sachliche Prüfung von Geschäftsfällen zusammen. Es sind die Aufgabenbereiche zu definieren – z.B. für Investitionen, Darlehen, Einkäufe, Umlagerungen oder die Lohn-und Personalstrategie. Empfehlenswert ist das Vier-Augen-Prinzip, dessen Anwendung auf den Belegen vermerkt werden sollte (Stempel, Unterzeichnung von Unterlagen…), es sind die für die Prüfung der Geschäftsfälle verantwortlichen Personen zu ernennen. Ermöglicht die Größe der Gesellschaft die Trennung von Tätigkeiten und Funktionen, sollte sie vorgenommen werden. Dies bedeutet vor allem, dass die Mitarbeiter bei internen Prozessen Freigabe – Durchführung – Verbuchung – Prüfung nur für eine Tätigkeit verantwortlich sind. Risiken drohen dann, wenn die Person, die für die Zahlungsfreigabe verantwortlich ist, auch die Stammdaten – z.B. auch die Bankkonten von Lieferanten – ändern kann. Es sollte rechtzeitig entschieden werden, welche Maßnahmen bei der Ausscheidung von Mitarbeitern oder der Neugestaltung von Aufgabenbereichen getroffen werden  – vor allem kein Zugriff auf Programmdaten (z.B. keine Berechtigung zum Online-Banking).

Fast alle Unternehmen sind mehr oder weniger von EDV-Anlagen bzw. von Programmen abhängig. Die Programme bieten als Kommunikationskanal Informationen nicht nur für interne, sondern auch für externe Nutzer. Kleinere Gesellschaften nutzen eher traditionelle Programmmodelle – unterschiedliche Programme für die Buchhaltung, Kalkulationen oder Planungen. Von großen Gesellschaften werden oft integrierte, miteinander verknüpfte Programme genutzt – diese Programme werden auch als ERP bezeichnet. Sowohl gesonderte, als auch verknüpfte Programme müssen jedoch abgesichert sein – Zugriff durch ein Passwort, beschränkte Nutzungsrechte (beschränkter Zugriff auf gewisse Bereiche, beschränkte Änderung von Stammdaten) oder Freigaben von bestimmten Geschäftsfällen. Durch richtig gestaltete Programme können Fehler und Unterschlagungen verhindert werden.

Die IKS-Prozesse können weiterhin nach ihrem Zweck definiert werden – vorbeugende Kontrollprozesse verhindern die Entstehung von Fehlern, Risikoprozesse haben die entstandenen Fehler zu ent­decken. Kontrollprozesse können automatisiert oder auch manuell ablaufen, wobei die automatisierten Prozesse meistens effizienter sind.

Die Gestaltung eines wirksamen IKS und seine Dokumentation sind eine anspruchsvolle Aufgabe. Ein effektives IKS erhöht jedoch die Effizienz von Unternehmensprozessen und vermindert das Risiko von Unterschlagungen und Fehlern.