Internes Kontrollsystem - COSO I Framework

  PDF Download Fach-Publikationen
 

  Screenshots von Vorlagen und Tools
 

  Beratung oder Fragen? Schreiben Sie uns.

Die Gesamtheit interner Überwachung

Jede der fünf im Rahmenwerk dargestellten internen Überwachungskomponenten ist erforderlich, um das Ziel einer zuverlässigen Finanz-, Compliance- und Operations-Berichterstattung zu erreichen. Die Beurteilung, ob die interne Überwachung eines unternehmens leistungsfähig ist, erfordert eine Ermessensentscheidung. Die interne Überwachung hat fünf Komponenten, die zusammenwirken, um wesentliche Falschdarstellungen in der Finanz-, Compliance- und Operations-Berichterstattung zu vermeiden oder zu erkennen und zu korrigieren. Wenn die fünf Komponenten soweit vorhanden und funktionsfähig sind, dass die Führungskräfte hinreichend Sicherheit bezüglich der zuverlässigen Erstellung der Finanz-, Compliance- und Operations-Berichterstattung haben, kann die interne Überwachung als wirksam betrachtet werden.

Die 5 Komponenten der internen Überwachung bzw. eines internen Kontrollsystems (IKS) nach dem international anerkannten COSO I Modell. Die anschliessende Zusammenfassung der Methodik bei der Einführung eines unternehmensweiten internen Kontrollsystems basiert an dem IDW PS 260 (Institut der Wirtschaftsprüfer, Prüfungsstandard) bzw. in der Schweiz nach dem Art. 728a und b OR und international gemäss dem COSO (Committee of Sponsoring Organisation of the Treadway Commission) Rahmenwerk „Interne Kontrolle – Übergreifendes Rahmenwerk“.

Methodik der Umsetzung eines internen Kontollsystems

Unter einem internen Kontrollsystem werden die von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Massnahmen (Regelungen) verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung

• zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit
• (hierzu gehört auch der Schutz des Vermögens, einschliesslich der Verhinderung und
• Aufdeckung von Vermögensschädigungen),
• zur Ordnungsmässigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie
• zur Einhaltung der für das Unternehmen massgeblichen rechtlichen Vorschriften.

Projektdefinition

Auf Grund einer möglichen hohen Komplexität und Dauer der Einführung sowie der Bedeutung eines internen Kontrollsystems für ein Unternehmen ist es erforderlich, die Etablierung eines solchen Systems im Rahmen eines Projektes durchzuführen. Über dem Erfolg des IKS-Projektes entscheidet nicht nur die eingesetzte strukturierte Vorgehensweise (Projektmanagement) und das Projektteam, sondern auch die aktive Beteiligung und Unterstützung der Geschäftsleitung. Die Projektziele und die Bedeutung des IKS-Projektes für das Unternehmen sollen mit entsprechender Sorgfalt und Transparenz an alle Mitarbeiter kommuniziert werden.

Die Aufbauorganisation beschreibt die organisatorischen Einheiten eines Unternehmens und deren Beziehung bzw. Zusammenhang. Die kleinste organisatorische Einheit (ein Grundelement) eines Unternehmens ist die Stelle. Danach folgen die Instanzen und Abteilungen, die überwiegend hierarchisch in so genannte Systeme geordnet werden. Die wesentlichen Eigenschaften der Stelle sind u. a. die Stellenbeschreibung und der Stelleninhaber, dem bestimmte Pflichten und Rechte zugeteilt werden. Die Stelleninhaber sind ein wesentlicher Faktor, der einen unmittelbaren Einfluss auf die betrieblichen Risiken haben kann. Sehr oft wird die Aufbauorganisation in Form von Organigrammen dargestellt. Die Aufbauorganisation bildet gemeinsam mit der Ablauforganisation die formelle Organisationsstruktur eines Unternehmens. Eine Aufnahme und Dokumentation der Aufbau- und Ablauforganisation ist bei der Etablierung eines internen Kontrollsystems in einem Unternehmen absolut unerlässlich. Sie ist bei der Identifikation der betrieblichen Risiken und zur Definition der vorbeugenden Massnahmen zur Minimierung bzw. Ausschluss der genannten Risiken erforderlich. Im Rahmen der innenbetrieblichen Kommunikation sollte die Aufbau- und Ablauforganisation allen Mitarbeitern bekannt sein.
 

Die Ablauforganisation beschreibt die Gestaltung der Arbeitsprozesse im Unternehmen. Zu den wesentlichen Prozessarten gehören u. a. Leistungserstellungsprozesse, Rechnungslegungsprozesse, IT-Prozesse sowie Management- und Unterstützungsprozesse. Wobei bei den Leistungserstellungsprozessen der Einkauf, die Produktion und der Verkauf mit allen Facetten gemeint sind. Die Arbeitsprozesse können in diversen Detaillierungsgraden (Verfahren und Arbeitsanweisung, Kern- und Teilprozesse) dargestellt werden. Ein Prozess wird mindestens einer organisatorischen Einheit zugeordnet. Ohne genaue Kenntnisse und Dokumentation der genannten Prozesse ist es nicht möglich die damit verbundenen Risiken vollständig zu identifizieren und ihnen vorzubeugen. Im Rahmen der innenbetrieblichen Kommunikation sollte die Aufbau- und Ablauforganisation allen Mitarbeitern bekannt sein.
 

Unter den Unternehmensrisiken sind alle negativen Ereignisse zu verstehen, die die Wertschöpfung verhindern oder die bestehenden Unternehmenswerte reduzieren können. Zusammenfassend handelt es sich um die Risiken in den Prozessen (nicht nur Finanzprozesse), die in der Ablauforganisation identifiziert und dokumentiert wurden. Darüber hinaus gehören noch weitere Risiken z. B. im Bereich Recht und Unternehmensstrategie dazu. Die Identifikation, Zuordnung sowie die Bewertung und Dokumentation der Unternehmensrisiken sind die Basis für Entscheidungen der Geschäftsleitung über die notwendigen, Risiko minimierenden Massnahmen und Kontrollaktivitäten. Grundsätzlich sind bei jedem Risiko die Eintrittswahrscheinlichkeit, die mögliche Auswirkung und Gewichtung, sowie die Ursache festzustellen. Einem Prozess können ein oder mehrere Risiken zugeordnet werden.
 

Die primäre Aufgabe der Kontrollaktivitäten ist die Vorbeugung bzw. Minimierung der festgestellten Unternehmensrisiken. Darüber hinaus sollen durch die Kontrollaktivitäten weitere Risiken aufgedeckt werden. Die Kontrollen werden durch entsprechende organisatorische Massnahmen, die in die Unternehmensprozesse integriert sind, gewährleistet. Die Wirksamkeit der internen Kontrollen wird mit Hilfe von Kontrolltests regelmässig geprüft. Die Kontrolltest dienen der Prüfung, ob die Kontrollen wie definiert funktionieren und die zugeordneten Risiken abgedeckt werden. Sämtliche Kontrollaktivitäten, organisatorische Massnahmen und die Kontrolltests werden dokumentiert. Ein wesentlicher Bestandteil der Dokumentation ist so die genannte Risiko-Kontroll-Matrix.
 

Das interne Kontrollsystem, als Sammlung eingeführte Grundsätze, Verfahren und Massnahmen (Regelungen) zur Vorbeugung von negativen Ereignissen, ist als permanente Handlung zu etablieren. Als solche wird sie von dem Abschlussprüfer bewertet, insbesondere das Problembewusstsein und das Verhalten der Unternehmensleitung und der leitenden Angestellten sowie der mit der Überwachung des Unternehmens betrauten Mitarbeiter (Art. 728a und b OR in der Schweiz bzw. IDW PS 260, §6.2.1 Abs. 44 in Deutschland). Die Dokumentation ist ein unerlässlicher Bestandteil des internen Kontrollsystems. Eine vollständige und sachgerechte Dokumentation stellt die Basis einer erfolgreichen Umsetzung des IKS-Projektes dar und dient dem Nachweis der getroffenen organisatorischen und technischen Massnahmen im Unternehmen. Sie dient als sehr effektives, organisationsweites Kommunikationsmedium bei der Bekanntmachung und Verbreitung der getroffenen Compliance-Massnahmen für alle Mitarbeiter. Sie ist bei jeder Art von Audits unabdingbar, die durch interne bzw. externe Auditoren und Prüfer durchgeführt werden können.