UNTERNEHMENSFÜHRUNG | Kontrollaktivitäten im Rahmen des IKS

Über die Bedeutung des internen Kontrollsystems (IKS) und dessen Komponenten haben wir in unserem Newsletter vom 09.01.2024 informiert. Die Kontrollaktivitäten stellen das dritte Element des IKS dar und beinhalten die konkreten Grundsätze, Methoden und Maßnahmen, die zur Kontrolle und Überwachung vom Management definiert und eingeführt wurden. Auf diese dritte Säule – die Kontrollaktivitäten – und welche Arten von Kontrollaktivitäten es gibt, werden wir in diesem Newsletter in der Folge detaillierter eingehen. 

Die gesetzlichen Vertreter sind angehalten, das IKS an die Anforderungen des Unternehmens auszurichten. Das bedeutet, dass die Risiken des Unternehmens abgeschätzt, die Bedürfnisse des Unternehmens festgestellt und die Zusammenhänge der internen Abläufe analysiert werden müssen. Die Überwachungs- und Kontrollaktivitäten sind dann auf die identifizierten Risiken, Bedürfnisse und Abläufe auszurichten. Die Risikobeurteilung ist unerlässlich und stellt somit den vorgelagerten Schritt dar, um geeignete Kontrollaktivitäten einzuführen. Dazu müssen die relevanten Tätigkeitsbereiche analysiert werden und Prozessbeschreibungen formuliert werden. Darauf aufbauend können die Risiken für etwaige Schäden identifiziert und geeignete Kontrollaktivitäten, die den Eintritt von Schäden vermeiden sollen, gefunden werden. Dabei ist darauf zu achten, dass die implementierten Kontrollaktivitäten in einem Kosten-Nutzen-Verhältnis stehen. Die mit der Kontrollaktivität verbrauchten Ressourcen sollen sich in einem ausgewogenen Verhältnis zu dem zu vermeidenden Risiko (Schadensausmaß mal Eintrittswahrscheinlichkeit) bewegen. Der Umfang und Aufwand für die Kontrollaktivitäten hängen somit wesentlich von der Größe und Komplexität des Unternehmens ab. 

Die Umsetzung der einzelnen Kontrollen sind weiters im Unternehmen durch geeignete, in den Arbeitsprozess integrierte, Maßnahmen, wie organisatorische Sicherungsmaßnahmen (bspw. Funktionstrennung, 4-Augen-Prinzip, Unterschriftenregelungen, Checklisten, Handbücher), regulatorische Maßnahmen (bspw. Prozessdokumentationen, Stellenbeschreibungen, Weisungen) oder technische Maßnahmen (bspw. standardisierte Formulare, Änderungshistorie, Userprofile) zu unterstützen und sicherzustellen.

Arten von Kontrollaktivitäten

Kontrollaktivitäten lassen sich hinsichtlich der Art der Ausführung (manuell oder automatisiert), hinsichtlich des Zeitpunktes der Ausführung (präventive oder detektive) sowie hinsichtlich des Zyklus der Ausführung (täglich, wöchentlich, monatlich oder jährlich) unterscheiden. Bei automatisierten Kontrollen (bspw. Berechtigungskonzept oder Validierungen) handelt es sich um stets von einer IT-Anwendung - ohne manuellen Eingriff oder Interaktion - ausgeführte Kontrollen. Manuelle Kontrollen (bspw. Soll-Ist-Vergleiche oder Plausibilisierung) hingegen sind von einer Person bewusst ausgeführte Kontrollen. Präventive Kontrollen (bspw. 4-Augen-Prinzip oder Berechtigungseinschränkungen) werden bereits vorab ausgeführt, mit dem Ziel Fehler zu verhindern. Detektive Kontrollen (bspw. Soll-Ist-Vergleiche oder Plausibilisierung) hingegen werden nachgelagert durchgeführt, mit dem Ziel gemachte Fehler aufzudecken.  

Im Folgenden werden bespielhaft einige ausgewählte Kontrollaktivitäten kurz erläutert:

Beispiele für mögliche Kontrollaktivitäten

Prinzip der Funktionstrennung

Die Idee der Funktionstrennung besteht darin, dass gewisse Tätigkeiten personell voneinander getrennt ausgeführt werden. Keine Person sollte die Verantwortung und Macht haben, alle Funktionen innerhalb eines betrieblichen Prozesses vorzunehmen. Die Übertragung der Kompetenzen und Befugnisse sämtlicher Funktionen auf eine Person würde ein hohes Missbrauchsrisiko nach sich ziehen. Zudem ist eine konsequente Trennung von entscheidender, ausführender und kontrollierender Tätigkeit erforderlich. Durch die Funktionstrennung sollen Fehler und Missbräuche in vorgelagerten Prozessschritten aufgedeckt werden. Beispiele von Funktionen, welche miteinander nicht vereinbar sind und somit nicht in einer Person vereinigt sein dürfen sind ua die gleichzeitige Zuständigkeit für den Einkauf, den Verkauf und die Buchhaltung oder die gleichzeitige Zuständigkeit für den Einkauf, den Wareneingang und den Zahlungsausgang.

4-Augen-Prinzip

Das Prinzip basiert auf der Idee, dass durch eine unabhängige Überprüfung durch eine zweite Person potenzielle Fehler aufgedeckt, Schwächen in Prozessen identifiziert und das Risiko von Missbrauch reduziert werden. Das 4-Augen-Prinzip stellt demnach eine Erweiterung der Funktionstrennung dar. Dieses Prinzip sollte jedoch sinnvoll angewendet werden. Dabei ist zu beachten, dass als kontrollierende Mitarbeiter nur jene eingesetzt werden, welche aufgrund ihrer Stellung, Fachkenntnis bzw. Erfahrung in der Lage sind, die Gegenkontrolle tatsächlich auszuführen. Bspw. wird man von Mitarbeitern die Kontrolle der Arbeiten seiner Führungskraft nicht erwarten können. 

Soll-Ist-Vergleiche

Unter dem Soll-Ist-Vergleich im Rahmen des IKS wird die Erarbeitung von SOLL-Konzepten für unternehmensinterne Prozesse und Kontrollaktivitäten verstanden, die schließlich in regelmäßigen Abständen mit dem herrschenden IST-Zustand abgeglichen werden. Dadurch kann der Grad der Übereinstimmung mit der vom Management verfolgten Geschäftspolitik festgestellt werden. Wesentliche festgestellte Abweichungen sind im Weiteren zu analysieren. Daher handelt es sich um eine Kontrollaktivität, die insbesondere auf Ebene der Geschäftsführung durchgeführt werden sollte. 

IT- Maßnahmen

Durch geeignete IT-Maßnahmen ist insbesondere die Sicherheit der Systeme, Programme und Daten herzustellen. Wie diese Sicherheit gewährleistet wird, hängt dabei maßgeblich von der Art und dem Umfang der eingesetzten Technologien ab. Dabei handelt es sich bspw. um ein IT-Berechtigungskonzept oder um Validierungen.

IT-Berichtigungskonzepte stellen sicher, dass keine unberechtigten Zugriffe auf IT-Anwendungen oder Daten stattfinden können. Mit dem Einsatz eines adäquaten und effektiven Berechtigungskonzeptes kann die Funktionstrennung durch eine automatisierte Kontrolle sichergestellt werden.

Unter Validierungen ist die systemtechnische Überprüfung, ob eine Eingabe dem für ein Feld vorgesehenen Wertebereich entspricht. So kann beispielsweise beim Ausfüllen einer Eingabemaske sichergestellt werden, dass alle MUSS-Felder ausgefüllt sind und dass die Angaben plausibel sind.