Nachdem in den Teilen eins und zwei dieser Reihe der Hintergrund des internen Kontrollsystems ein wenig beleuchtet wurde, soll in diesem Teil die praktische Umsetzung beschrieben werden.

Jedes Unternehmen verfügt in irgendeiner Art und Weise über Kontrollstrukturen. Häufig sind diese aber nicht konzeptionell entworfen, dokumentiert und aufeinander abgestimmt. Als Beispiel sei genannt, dass in jedem auch noch so kleinen und informell organisierten Unternehmen klar ist, dass keine Rechnungen ohne vorherige Genehmigung bezahlt werden. Auch darf normalerweise niemand allein Überweisungen tätigen. Die zugehörigen Schritte sind oft unwirksam (was nützt eine Kontrolle des Überweisungsträgers ohne die zugehörigen Belege zu kontrollieren?), nicht nachvollziehbar und stehen auch nicht immer in direktem Zusammenhang mit den wahren Risiken eines Prozesses.

Insofern muss die Einführung bzw. Strukturierung eines IKS immer das bestehende Kontrollumfeld einbeziehen und kritisch bewerten. Aber fangen wir vorne an:

Scope

Im einem ersten Schritt ist das Ziel des einzurichtenden IKS festzulegen. In diesen Tagen ist dieses Ziel häufig, sicherzustellen, dass rechnungslegungsrelevante Transaktionen richtig, zeitnah, autorisiert und vollständig durchgeführt werden, um die Richtigkeit der Finanzberichterstattung sicherzustellen. Daraus leitet sich unmittelbar ab, welche Bereiche und Geschäftsprozesse betroffen sind. Die Analyse erfordert eine strukturierte Vorgehensweise, sollte aber in einem klaren „Scope“ resultieren. 

Projektorganisation

Die Implementierung sollte als Projekt organisiert werden. Die Praxis zeigt, dass es unabdingbar ist, ein Mitglied der Organisation als verantwortlichen Projektleiter zu definieren. Unterstützung durch Berater ist sicherlich sinnvoll, aber die Organisation muss die Verantwortung selbst wahrnehmen. Der Projektleiter der Organisation sollte Zugang zu allen Hierarchieebenen haben und schnell Entscheidungen herbeiführen können.

Das Kontrollumfeld, Kommunikation und Information

Dem Top-Down Ansatz folgend, widmen wir uns im ersten Schritt aber nicht den Kontrollen bei der Durchführung einzelner Transaktionen, sondern betrachten das Kontrollumfeld insgesamt.

Hierbei sind beispielsweise folgende Fragen zu beantworten:

• Welche Grundeinstellung zu internen Kontrollen hat das Management und wie wird dies kommuniziert? Hier ist der viel zitierte „Tone at the top“ gefragt.
• Gibt es eine klare Kommunikation in der Organisation?
• Bestehen Verfahren zur Kommunikation von Richtlinien und Arbeitsanweisungen?
• Gibt es einen „Code of Conduct“?
• Folgen Personalauswahl und -entwicklung klaren Methoden und Vorgaben?
• Sind Verantwortlichkeiten und Kompetenzen klar und nachvollziehbar verteilt?

Sind die Antworten auf diese Fragen unbefriedigend, sollten diese Themen zunächst bearbeitet werden. Sie stellen die Fundamente der Detailarbeit in den Prozessen dar. Die Erfahrung zeigt, dass ungenügende Kommunikation und ein fehlendes Bekenntnis des Managements zur anstehenden Implementierung solche Projekte massiv gefährden können. Dies liegt nicht zuletzt daran, dass sie zunächst einmal Arbeit bedeuten, ohne dass für die meisten Betroffenen ein direkter Nutzen erkennbar ist. 

Monitoring

Das zu implementierende Kontrollsystem muss Maßnahmen beinhalten, die die Funktionssicherheit des IKS verifizieren. Dazu sind an geeigneter Stelle Kontrollen zu implementieren, die die Funktion anderer Kontrollen überwachen. Bei den Kontrollen wird ein entsprechendes Merkmal vergeben, das die Überwachungsfunktion einer Aktivität kennzeichnet. Wesentlich ist, dass im Zuge von Routinetätigkeiten eine fehlende Einhaltung oder Wirksamkeit von definierten Kontrollen auffällt.

In diesem Zusammenhang wird häufig die interne Revision gesehen, der im Gesamtkontext sicher eine wichtige Rolle zukommt. Sie stellt aber keine verlässliche Kontrolle einzelner Aktivitäten sicher, da sie nur periodisch und im Rahmen von Stichproben arbeitet. Sie ist als prozessextern zu betrachten und -wie übrigens die externe Jahresabschlussprüfung auch - nicht für die Durchführung von Kontrollen im Geschäftsprozess verantwortlich.

Die Risikoeinschätzung und prozessbezogene Kontrollen sowie die zugehörigen Attribute einschließlich einer direkt verwendbaren Matrix werden Gegenstand der Fortsetzung dieser Reihe