ZUNEHMENDE ANFORDERUNGEN AN DAS INTERNE KONTROLLSYSTEM

Das interne Kontrollsystem als prozessorientierter Bestandteil der Corporate Governance Systeme gewinnt zunehmend an Bedeutung - vor allem seit der Einführung des FISG am 1. Juli 2021, das die einschlägige Rechtsprechung weiter konkretisiert hat. Der eingeführte Absatz III des § 91 AktG verlangt nunmehr nicht nur das Vorhandensein eines formellen Internen Kontrollsystems, vielmehr muss u.a. zur Gewährleistung der Integrität der Finanzberichterstattung, dessen Angemessenheit und Wirksamkeit durch Geschäftsführung/Vorstand sichergestellt werden.
 

Angemessenheit eines Internen Kontrollsystems

Einschlägige Standards, wie COSO oder auch der Prüfungsstandard 982 des IDW können an dieser Stelle eine Hilfestellung geben, wie der Aufbau eines angemessenen IKS erfolgen kann.

Ausgangspunkt eines jeden Standards ist die Schaffung eines geeigneten Kontrollumfelds, welches grundsätzlich für alle Governance Systeme, also auch für das Risiko- und das Compliance Management System, gilt. Um die definierten Zielsetzungen des IKS umsetzen zu können, muss die Geschäftsführung neben einem klaren Bekenntnis zu den Governance Systemen auch für eine entsprechende Aufbauorganisation und ausreichende Ressourcen sorgen. Dabei ist die Integrität der Finanzberichterstattung nach wie vor die Triebfeder des IKS. Die Integration operativer und compliancerelevanter Themenstellungen gewinnt aber zunehmend an Bedeutung.

Ein zentraler Baustein für die Ausgestaltung eines IKS ist die Risikobeurteilung. Ohne eine ganzheitliche Methodik zur Erhebung der für das IKS relevanten Kernprozesse und weiterer risikobehafteter Kernbereiche ist der Aufsatz eines angemessenen IKS kaum möglich. Um den Dreiklang der Anforderungen aus operativer, finanz- und compliance-bezogener Sichtweise abbilden zu können, empfiehlt sich ein mehrstufiger Ansatz:

Primär fokussiert sich das IKS als prozessorientiertes Governance System auf die relevanten Geschäftsprozesse. Der Beurteilung relevanter Prozesse und derer Abbildung im IKS kommt daher besondere Bedeutung zu. Hierzu wird unter zu Hilfenahme der Finanzberichte, der Analyse von Berichten der internen Revision oder des WPs und durch Gespräche mit dem Management eine Risikoanalyse durchgeführt. Des Weiteren kommt der Betrachtung der von Unternehmensseite definierten Governance Anforderungen gesteigerte Bedeutung zu. Richtlinien, SOP`s, u.ä. geben den Rahmen vor, in dem sich der Prozess bewegen darf. Diese Anforderungen sind daher ein weiterer Baustein der Analyse und müssen im Rahmen der risikoorientierten Prozessbetrachtung Berücksichtigung finden. Darüber hinaus ist auch die IT-Infrastruktur in der Risikobeurteilung zu betrachten, da sie als grundlegendes Fundament eines jeden Geschäftsprozesses die Basis für die Verlässlichkeit der Daten darstellt.

Die Gesamtheit dieser Anforderungen lässt sich vereinfacht als „Scoping House of ICS“ zusammenfassen:

Nach abgeschlossener Risikobeurteilung müssen die relevanten Prozesse, Risiken und zugehörige Kontrollen strukturiert und für Dritte nachvollziehbar in einer Risiko-Kontroll-Matrix (RKM) dokumentiert werden. Die RKM sollte dabei als zentrales Steuerungsinstrument angesehen werden und neben klar definierten Verantwortlichkeiten auch die Durchführung und Dokumentation der Kontrollen regeln.

Die Aufbau- und Ablauforganisation des IKS sowie die Anforderungen aus der RKM sollten durch ein adressatengerechtes Schulungskonzept unterstützt werden. Durch die anwenderbezogenen Schulungen, bspw. für das Management oder auch ausführende Funktionen, kann sichergestellt werden, dass die Zielsetzung des IKS nachvollziehbar vermittelt wird sowie zugehörige Aufgaben und Verantwortlichkeiten die Adressaten erreichen.
 

Wirksamkeit eines Internen Kontrollsystems

Der Überwachung der Wirksamkeit des Internen Kontrollsystems als abschließender Teil des IKS-Zyklus ist essenziell für die Erfüllung der gesetzlichen Anforderungen. Auf Basis möglichst objektiver Kriterien müssen die identifizierten Kontrollen überprüft werden. Hierzu stehen im Wesentlichen drei Instrumente zur Verfügung:

Als etablierte Vorgehensweisen sind hier das (1) Control - Self Assessments oder die (2) Prüfung durch die Interne Revision zu nennen. Beide Optionen beurteilen die Wirksamkeit des Kontrollumfelds i.d.R. nachgelagert zum Jahresende. Eine weitere Methodik ist (3) die kontinuierliche Überwachung des Kontrollsystems. Hier wird unter Verwendung eines geeigneten IT-Tools die Effektivität des Kontrollsystems bspw. auf quartärlicher Basis erhoben.  Dies hat den Vorteil, dass Ergebnisse des IKS Testings der quartärlichen Finanzberichterstattung angeglichen werden kann. Dadurch wird es der Geschäftsführung, aber auch den Aufsichtsorganen ermöglicht, bereits unterjährig eine Indikation zur Güte des IKS zu erhalten und sofern erforderlich Gegenmaßnahmen einzuleiten.
 

FAZIT

Durch zunehmende regulatorische Anforderungen, steigt die Notwendigkeit für die Geschäftsführung ein angemessenes und wirksames IKS zu etablieren. Es empfiehlt sich hierbei die Angemessenheit auf Basis etablierter Standards auszurichten. Eine ganzheitliche Risikobetrachtung orientiert am Geschäftsprozess und zugehöriger Richtlinien ist essenziell. Die Dokumentation der Kontrollen, sollte in der Art erfolgen, dass diese sowohl für Dritte nachvollziehbar als auch hinreichend konkret ist, um die Effektivität der Kontrollen objektiv messbar zu machen.

Klare Verantwortlichkeiten und Schulungskonzepte tragen zu einem nachhaltigen Erhalt des Systems bei.