Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems des internen und externen Berichtswesens
Das interne Kontrollsystem (IKS) ist – seit dem Inkrafttreten des Bilanzrechtsmodernisierungsgesetzes (BilMoG) – ein wichtiger Bestandteil der Überwachungspflicht eines Prüfungsausschusses oder Aufsichtsrats im Rahmen des Corporate-Governance-Systems. Zudem besteht für börsennotierte Aktiengesellschaften gemäß § 91 Abs. 3 AktG die Pflicht zur Einrichtung eines angemessenen und wirksamen internen Kontrollsystems. Gemäß § 107 Abs. 3 AktG unterliegen die Überwachungspflichten des Aufsichtsorgans nicht nur dem Rechnungslegungsprozess, sondern erstrecken sich auch auf die Wirksamkeit des IKS, des Risikomanagementsystems (RMS) und des internen Revisionssystems (IRS).
Der Prüfungsstandard PS 982 des Instituts der Wirtschaftsprüfer (IDW) ist eine wichtige Grundlage für die Prüfung und Optimierung von internen Kontrollsystemen der Unternehmensberichterstattung. Der Standard legt Leitlinien fest, die Unternehmen bei der Implementierung wirksamer interner Kontrollsysteme unterstützen, um die Genauigkeit, die Zuverlässigkeit und die Vollständigkeit ihrer Berichterstattung sicherzustellen. Ein effektives IKS ist für Unternehmen unerlässlich, um die Qualität ihrer Berichterstattung zu gewährleisten und das Vertrauen der Stakeholder zu stärken. Das IKS sollte den gesamten Prozess der Informationsgewinnung, -verarbeitung, -weiterleitung und -darstellung umfassen, angefangen von der Datenerhebung bis hin zur Veröffentlichung von Berichten.
In Bezug auf die Unternehmensberichterstattung kann das interne Kontrollsystem verschiedene Formen annehmen, je nach Art und Umfang der Berichte, die erstellt werden. Dies kann sowohl die traditionelle handelsrechtliche Finanzberichterstattung als auch andere interne und externe Berichte, wie die Aufstellung eines Nachhaltigkeitsberichts, umfassen.
Ausgestaltung eines IKS
Ein internes Kontrollsystem ist die Gesamtheit aller systematisch gestalteten organisatorischen Maßnahmen und Kontrollen im Unternehmen zur Erreichung der Prozessziele und zur Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können.
Der IDW PS 982 bietet Prüfern und Prüferinnen klare Leitlinien dafür, wie die Prüfung von internen Kontrollsystemen im Bereich des internen und externen Berichtswesens durchgeführt wird. Die Ausgestaltung eines IKS baut auf sechs Grundelementen auf. Die Grundelemente stehen dabei in Wechselwirkung zueinander, was bei der Konzeption und Prüfung des IKS zu beachten ist.
Die Grundelemente des IDW PS 982 umfassen:
- Kontrollumfeld: Das Kontrollumfeld ist ein zentraler Bestandteil eines IKS und bildet den Rahmen, innerhalb dessen die Regelungen, die Richtlinien und das Verfahren eingeführt und angewendet werden. Dies umfasst beispielsweise die Grundeinstellung der gesetzlichen Vertreter und Vertreterinnen, die Rolle des Prüfungsausschusses, die Verhaltensgrundsätze im Unternehmen, die Aufbau- und Ablauforganisation sowie die relevanten IT-Systeme.
- IKS-Ziele: Die gesetzlichen Vertreter und Vertreterinnen eines Unternehmens sind dafür verantwortlich, die allgemeinen Unternehmensziele festzulegen sowie zu definieren, welche entscheidungsrelevanten Informationen für die Unternehmensführung und für die Rechenschaftslegung benötigt werden. Diese Informationen können sich auf verschiedene Aspekte des Unternehmens einschließlich finanzieller Leistung, operativer Effizienz, Compliance mit Gesetzen und Vorschriften sowie strategischer Ausrichtung beziehen. Basierend auf diesen Informationsbedürfnissen und den daraus abgeleiteten Anforderungen an das Berichtswesen werden die Ziele festgelegt, die mit dem IKS verfolgt werden sollen.
- Risikobeurteilung: Der Risikobeurteilungsprozess umfasst die systematische Identifizierung, Analyse und Bewertung von Risiken, welche die Prozesse zur Erstellung der Unternehmensberichterstattung sowie die Erreichung der IKS-Ziele beeinträchtigen können.
- Kontrollaktivitäten: Die Kontrollaktivitäten beinhalten konkrete Verfahren sowie Steuerungs- und Kontrollmaßnahmen, um den beurteilten Risiken zu begegnen und damit die Umsetzung der Kontrollziele im Rahmen des IKS sicherzustellen.
- Information und Kommunikation: Die Struktur und Prozesse der Kommunikation stellen einen angemessenen Informationsfluss im Zusammenhang mit dem IKS sicher. Im Rahmen des Informationsflusses spielen die mündliche Kommunikation, aber auch bspw. schriftliche Richtlinien für die interne und externe Unternehmensberichterstattung eine Rolle.
- Überwachung des internen Kontrollsystems: Das IKS wird fortlaufend auf Angemessenheit und Wirksamkeit einschließlich der Identifizierung von Verbesserungspotenzialen überwacht und bewertet. Die Überwachungsmaßnahmen können zwischen prozessunabhängige Überwachungsmaßnahmen (bspw. durch die Interne Revision) und prozessintegrierte Überwachungsmaßnahmen durch Mitarbeiter und Mitarbeiterinnen des Unternehmens unterschieden werden.
Prüfung der Angemessenheit und Wirksamkeit des IKS
Die Prüfung des IKS des internen und externen Berichtswesens kann als Angemessenheits- oder Wirksamkeitsprüfung durchgeführt werden. Durch eine Prüfung der Angemessenheit und Wirksamkeit des IKS können Unternehmen sicherstellen, dass ihre Kontrollen effektiv sind, und dazu beitragen, ihre Unternehmensziele zu erreichen und Risiken zu minimieren.
Grundlage einer jeden Prüfung stellt die IKS-Beschreibung dar. Die enthaltenen Darstellungen sind für alle Grundelemente auf die Abdeckung der erforderlichen Mindestinhalte i. S. des IDW PS 982 zu prüfen. Im Rahmen einer Angemessenheitsprüfung werden die dokumentierten Regelungen auf eine übereinstimmende Darstellung mit den IKS-Grundsätzen und auf die Eignung zur Zielerreichung der gesetzten IKS-Ziele geprüft. Eine Wirksamkeitsprüfung enthält des Weiteren die Beurteilung, ob die Regelungen eingehalten und sich über den geprüften Zeitraum hinweg als wirksam erwiesen haben.
- Insgesamt ist die Implementierung und die regelmäßige Prüfung eines IKS gemäß des IDW PS 982 entscheidend, um die Integrität und Zuverlässigkeit der Unternehmensberichterstattung sicherzustellen und
- den Anforderungen der verschiedenen Stakeholder gerecht zu werden.
Das Beratungsteam der BDO AG Wirtschaftsprüfungsgesellschaft (BDO) unterstützt Sie im Rahmen des internen Kontrollsystems mit folgenden Leistungen:
- IKS-Design und Implementierung
Beratung bei der Entwicklung und Implementierung eines maßgeschneiderten internen Kontrollsystems. - Risikomanagement
Unterstützung bei der Identifizierung, Bewertung und Steuerung von Risiken, um die Zuverlässigkeit und Integrität der Informationen sicherzustellen. - Prozessoptimierung
Beratung zur Optimierung der Prozesse zur Datenerhebung, -verarbeitung und -kommunikation. Identifizierung und Behebung von Redundanzen. - Integration in vorhandene Managementsysteme
Beratung zur ganzheitlichen Integration und Erweiterung in die bestehende Managementsystem-Landkarte (GRC und Integrated Governance). - Schulungen und Workshops
Durchführung von Schulungen und Workshops für Mitarbeiter und Mitarbeiterinnen, um das Verständnis für die Bedeutung des internen Kontrollsystems zu fördern und die Umsetzung zu unterstützen. - Prüfung und Validierung
Unabhängige Prüfung der Angemessenheit und Wirksamkeit des internen Kontrollsystems anhand des IDW Prüfungsstandards 982 (Prüfung des internen Kontrollsystems). - Interne Revision
Unabhängige Prüfung und Aufzeigen von Prozessoptimierungen durch die Interne Revision im Rahmen von Co- oder Outsourcing. - Monitoring und Reporting
Einrichtung eines Monitoring- und Reporting-Systems, um die Leistung des internen Kontrollsystems kontinuierlich zu überwachen und Berichte über die Angemessenheit und Wirksamkeit des Systems zu erstellen.