IKS: Gute Kontrolle verhindert teure Fehler

Allgemein formuliert besteht ein IKS aus Regelungen, Grundsätzen, Verfahren und Maßnahmen – diese sind auf die organisatorische und technische Umsetzung der Entscheidungen der gesetzlichen Vertreter*innen des Unternehmens ausgerichtet. Drei Ziele stehen dabei im Fokus:

• Absicherung der Wirtschaftlichkeit,
• Ordnungsmäßigkeit und Verlässlichkeit der internen und externen finanziellen sowie der nichtfinanziellen Berichterstattung und
• Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.

Mit diesen Funktionen bekommt das IKS eine herausragende Bedeutung für das Unternehmen. Sind operative oder strategische Entscheidungen rechtmäßig und gedeckt durch die vorgenannten Ziele? Unter anderem darauf liefert das IKS eine Antwort.

Unwissenheit und fehlende Verantwortung führen zu Problemen

„Das wirtschaftliche Umfeld für Unternehmen ist in den vergangenen Jahren von zunehmenden Unsicherheiten und Risiken geprägt. Vor diesem Hintergrund bekommt das IKS größere Bedeutung. In der Praxis verzichten viele Unternehmen jedoch darauf, ein standardisiertes und ausreichend dokumentiertes Kontrollsystem zu implementieren“, beobachtet Michael Fuchs, Wirtschaftsprüfer, Steuerberater und Partner bei Mazars. Der Grund dafür ist häufig eine Mischung aus Unwissenheit und dem Abschieben von Verantwortung.

Irrtümlich gehen viele Aufsichtsrät*innen und Unternehmensverantwortliche davon aus, dass Wirtschaftsprüfer das IKS im Rahmen der Jahresabschlussprüfung einem Check unterziehen. Die Überwachungspflicht erscheint aus ihrer Sicht damit delegiert. Doch das ist ein Trugschluss. „Die Abschlussprüfungstätigkeit bezieht sich nur auf ausgewählte rechnungslegungsbezogene Risiken, also nur auf Teilaspekte des IKS“, sagt Wirtschaftsprüfer Fuchs. „Eine Beurteilung des IKS ist dementsprechend nicht mit dem Bestätigungsvermerk des Abschlussprüfers verbunden.“

Wer ist zuständig für die Pflege des IKS?

„Ganz allgemein sind das die gesetzlich verantwortlichen Vertreter*innen beziehungsweise Organe des Unternehmens“, sagt Fuchs. Bei Aktiengesellschaften ist der Aufsichtsrat in der Pflicht, das IKS zu überwachen und sich über die Zweckmäßigkeit und Wirksamkeit der eingerichteten Maßnahmen regelmäßig zu informieren. So schreibt es das Aktiengesetz in Paragraf 107 Absatz 3 vor. Dabei darf der Aufsichtsrat den Fokus nicht nur eng auf das Feld der Rechnungslegung legen. Ein funktionsgerechtes IKS umfasst grundsätzlich alle unternehmenskritischen Bereiche, wie etwa auch die Nachhaltigkeitsberichterstattung. Dabei gilt: „Bestehen Zweifel an der Zuverlässigkeit des Systems als Ganzem oder bei einzelnen Maßnahmen, ist der Aufsichtsrat verpflichtet, eigene Maßnahmen zu veranlassen“, mahnt Fuchs. „Sofern der Aufsichtsrat zu dem Ergebnis kommt, dass es notwendig ist, das System weiterzuentwickeln, muss er diesen Prozess anstoßen und überwachen.“

Die deutsche Wirtschaft ist stark mittelständisch geprägt mit einer Vielzahl nicht börsennotierter Aktiengesellschaften und Zehntausenden von GmbHs. Eine unmittelbar gesetzliche Pflicht zur Einführung eines IKS besteht bei diesen Unternehmen vielfach nicht. Aber auch deren Eigentümer*innen und Verantwortliche sollten darüber nachdenken, ob und inwieweit die Implementierung eines IKS sinnvoll und zielführend ist. „Die Geschäftsführer*innen einer GmbH haben die Sorgfalt ordentlicher Kaufleute anzuwenden. Diese können in der Regel mit den ordentlichen und gewissenhaften Geschäftsleiter*innen des Aktiengesetzes gleichgesetzt werden“, kommentiert Mazars Experte Fuchs.

Strikte US-Gesetze, Ermessensspielraum in Deutschland

Die praktische Frage, die sich die Verantwortlichen dabei häufig stellen: Wie muss ein IKS ausgestaltet sein, damit es wirksam ist und den regulativen Anforderungen genügt? „In der Formalisierung und Dokumentation des IKS geht der deutsche Gesetzgeber nicht so umfassend ins Detail, wie dies in dem US-amerikanischen Sarbanes-Oxley Act von 2002 gefordert ist“, erläutert Fuchs. Dieses Gesetz sollte damals das Vertrauen der Anleger*innen in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten nach den Bilanzskandalen von Enron und Worldcom wiederherstellen. Das deutsche Gesetz und der Deutsche Corporate Governance Kodex indes schweigen sich über die konkrete Ausgestaltung des IKS aus. Damit unterliegt das System einem Ermessensspielraum nach den Grundsätzen der sogenannten Business Judgement Rule.

„Aus dem allgemeinen Verständnis lässt sich jedoch herleiten, was erwartet werden kann“, sagt der Mazars Experte. „Wenn der Aufsichtsrat eine Wirksamkeitsprüfung des IKS vornehmen will, kann dies nur geschehen, wenn ein entsprechendes Soll-Objekt definiert ist, das allein schon aus praktischen Erwägungen heraus dokumentiert sein sollte. Es muss Standards und klare Regeln geben, um Effizienz in einem hochskalierten operativen Geschäftsbetrieb zu erreichen und um Betrug, Missbrauch und Manipulation vorzubeugen. Doch auch ein noch so gut durchdachtes System wird das nicht vollständig verhindern können. Aus Sicht von Geschäftsführung und Aufsichtsrat geht es indes darum, zu dokumentieren, dass man diese Tatbestände so weit wie möglich verhindert hat.“

Wichtig ist, dass Unternehmen vorab eine Risikobeurteilung vornehmen, die nicht nur die operativen Risiken, sondern auch Risiken in der Finanzberichterstattung dokumentiert. „Typische bedeutsame Risiken der Finanzberichterstattung sind zum Beispiel die Erlöserfassung und das Management Override of Controls“, erläutert Fuchs. Dafür können Kennzahlen, Vergleiche, Datenanalysen und Ähnliches herangezogen werden. Da eine solche Beurteilung auch Schätzgrößen umfasst, sollte eine ausreichende Dokumentation vorliegen, die sachverständige Dritte in angemessener Zeit nachvollziehen können, empfiehlt er.

Flussdiagramme helfen beim Erkennen von Risiken

Wenn die Risiken zusammengetragen wurden und vorliegen, ist es zielführend, die relevanten Prozesse entweder in schriftlicher Form oder – besser – durch Flussdiagramme aufzubereiten. „Dabei ist es wichtig zu definieren, an welchen Stellen händische Kontrollen stattfinden und wo sie automatisiert über die IT laufen“, sagt Fuchs.

„Klarheit ist das oberste Gebot. Sachverständige Dritte müssen in einer angemessenen Zeit alle relevanten Kontrollen nachvollziehen können. Dafür muss klar geregelt sein, welche Unterlagen und Informationen von wem, wann und in welcher Frequenz kontrolliert werden und was am Ende der Output sein soll“, beschreibt er den Prüfprozess. In die Dokumentation gehört auch eine klar formulierte Begründung, warum die Kontrolle angemessen ist und wie diese Risiken reduziert. „Begründet werden sollte etwa aber auch, warum Toleranzabweichungen nicht gleich als Versagen der Kontrolle gedeutet werden dürfen. Sie können unter Umständen sachgerecht sein. Entscheidend ist, dass diese Schwellenwerte einheitlich sind und nicht innerhalb einer Kontrolle schwanken“, führt der Mazars Experte aus.

Das Ergebnis der Analyse ist optimalerweise eine Risiko-Kontroll-Matrix: Sie stellt die implementierten Kontrollen den Risiken aus der Risikobeurteilung übersichtlich gegenüber. Die Beurteilung, ob ausreichende Kontrollen für unternehmensspezifischen Risiken vorhanden sind, wird so erleichtert.

Klare Standards für die Wirtschaftsprüfung

Die Geschäftsführung muss die Wirksamkeit des IKS durch ein Testen der Kontrollen nachweisen. Dies ist Fuchs zufolge grundsätzlich auf verschiedenen Wegen möglich. Mit dem geringsten Aufwand verbunden ist eine Selbsteinschätzung durch die jeweiligen Bereiche. Eine höhere Sicherheit wird durch eine Prüfung der Internen Revision oder eines Dritten, eines Wirtschaftsprüfers, erzielt. Das Institut der Wirtschaftsprüfer in Deutschland e. V. hat hierzu einen entsprechenden Prüfungsstandard (IDW PS 982) veröffentlicht.

„Die Hürde bei der Einführung eines IKS in der Praxis ist häufig das Kostenargument. Oder man verlässt sich darauf, dass bislang kein Schadenfall aufgetreten ist. Doch diese Strategie ist kurzsichtig“, warnt Fuchs. „Dabei kann zum Beispiel die Einführung einer neuen Unternehmensstandardsoftware eine gute Gelegenheit sein, gleichzeitig ein IKS zu implementieren. Denn damit stehen ohnehin meist erhebliche organisatorische Prozessänderungen an, die externe fachliche Expertise erfordern.“