durch den Hauptfachausschuss (HFA) des IDW in der Fassung vom 13.3.2013 verabschiedete IDW PS 261 zeigt primär die Berufsauffassung auf, nach der Wirtschaftsprüfer im Rahmen von Abschlussprüfungen Risiken wesentlicher falscher Angaben in der Rechnungslegung feststellen und beurteilen sowie angemessen darauf reagieren können.[21] In diesem Zusammenhang erläutert der Standard den Begriff und die Aufgaben des internen Kontrollsystems und legt zudem dar, wie ein internes Kontrollsystem ausgestaltet sein sollte.
b) Grundlagen und Prinzipien
18
Wie bereits vorstehend unter B.II.1. dargestellt, definiert der IDW PS 261 n.F. das interne Kontrollsystem als die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die auf die organisatorische Umsetzung der Entscheidungen des Managements zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften gerichtet sind.[22]
19
Das IKS setzt sich dabei aus dem internen Steuerungs- und dem internen Überwachungssystem zusammen. Während mit internem Steuerungssystem die Regelungen zur Steuerung der Unternehmensaktivitäten bezeichnet werden, ist Aufgabe des internen Überwachungssystems die Überwachung der Einhaltung dieser Regelungen. Dabei umfasst das interne Überwachungssystem sowohl prozessintegrierte Überwachungsmaßnahmen, wie z.B. organisatorische Sicherungsmaßnahmen oder Kontrollen, als auch prozessunabhängige Überwachungsmaßnahmen.[23]
20
Unter organisatorischen Sicherungsmaßnahmen sind laufende, automatische Verfahren zu verstehen, die primär der Vermeidung bzw. Verhinderung von Fehlern dienen sollen. Zu diesem Zweck sind diese Maßnahmen in der Aufbau- und Ablauforganisation von Unternehmen zu etablieren. Beispiele für organisatorische Sicherungsmaßnahmen sind das Prinzip der Funktionstrennung, Zugriffsbeschränkungen bzw. ein Berechtigungskonzept im unternehmensweiten IT-System oder Zahlungsrichtlinien.[24]
21
Kontrollen sind Maßnahmen, die in den Arbeitsablauf integriert werden sollten und die Wahrscheinlichkeit für das Auftreten von Fehlern reduzieren bzw. aufgetretene Fehler aufdecken sollen. Bei Kontrollen kann es sich um manuelle Maßnahmen, wie beispielsweise der Überprüfung der Vollständigkeit und Richtigkeit von erhaltenen oder weitergegebenen Daten, Soll/Ist-Vergleichen oder um im IT-System programmierte, automatische Plausibilitätsprüfungen handeln.[25]
22
Prozessunabhängige Überwachungsmaßnahmen müssen durch prozessunabhängige Akteure, wie beispielsweise die Interne Revision, die Unternehmensleitung (sog. High-level controls) oder von der Unternehmensleitung beauftragte Dritte (z.B. Wirtschaftsprüfer), durchgeführt werden und dienen der Überprüfung und Beurteilung der eingerichteten Strukturen und Maßnahmen des IKS.[26]
c) Komponenten eines internen Kontrollsystems
23
Hinsichtlich des Aufbaus des IKS greift der IDW PS 261 n.F. auf die fünf Komponenten des COSO I-Modells Kontrollumfeld, Risikobeurteilungen, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung zurück.[27]
24
Das Kontrollumfeld ist der Rahmen für die Grundsätze, Verfahren und Maßnahmen des IKS und wird maßgeblich durch die Grundeinstellungen, das Problembewusstsein und das Verhalten des Managements geprägt. Dadurch, dass das Kontrollumfeld das Kontrollbewusstsein der Mitarbeiter von Unternehmen stark beeinflusst, stellt ein günstiges Kontrollumfeld die notwendige, jedoch nicht hinreichende Voraussetzung für die Wirksamkeit des internen Kontrollsystems dar.[28]
25
Da Unternehmen beispielsweise finanziellen, rechtlichen, leistungswirtschaftlichen oder strategischen Risiken ausgesetzt sind, die das Erreichen der Unternehmensziele gefährden können, sind Risikobeurteilungen durchzuführen. Dabei stellt die Identifizierung und Analyse der unternehmensspezifischen Risiken die Grundlage für den Umgang der Unternehmensleitung mit den Risiken dar.[29]
26
Unter Kontrollaktivitäten werden gem. IDW PS 261 n.F. die Grundsätze und Verfahren verstanden, welche die Durchsetzung der Entscheidungen des Managements sicherstellen sollen.[30]
27
Das Element Information und Kommunikation dient der Einholung, Aufbereitung und Weiterleitung der erforderlichen Informationen als Grundlage der unternehmerischen Entscheidungen sowie der Risikobeurteilung. Daneben wird die Information der Mitarbeiter über ihre Aufgaben und Verantwortlichkeiten innerhalb des IKS umfasst.[31]
28
Die Komponente Überwachung beinhaltet die Überprüfung und Beurteilung der Angemessenheit und Wirksamkeit des IKS. Zudem soll im Rahmen eines Verbesserungsprozesses die Abstellung festgestellter Schwächen des IKS sichergestellt werden.[32]
29
Hinsichtlich der konkreten Ausgestaltung des IKS sind u.a. die Größe und Komplexität des Unternehmens, die Rechtsform und Organisation des Unternehmens, die Art, Komplexität und Diversifikation der Geschäftstätigkeit des Unternehmens sowie die Art und der Umfang der zu beachtenden rechtlichen Vorschriften die maßgeblichen Einflussfaktoren. Je nach individuellen Gegebenheiten kann somit ein unterschiedlicher Grad der Formalisierung des IKS angemessen sein. Die Verantwortung für die konkrete Ausgestaltung liegt insoweit bei der Unternehmensleitung.[33]
4. Fazit
30
Es zeigt sich, dass es sich beim internen Kontrollsystem primär um Maßnahmen und Prozesse zur Sicherstellung des Erreichens der Unternehmensziele in den Bereichen operative Geschäftstätigkeit, Unternehmensberichterstattung und Compliance handelt. Die Darlegung der Sollkonzepte für den Aufbau eines IKS im COSO I-Rahmenwerk und im Prüfungsstandard IDW PS 261 n.F. zeigen, dass ein IKS aus den fünf Komponenten Kontrollumfeld, Risikobeurteilungen, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung bestehen sollte, welche je nach den individuellen Gegebenheiten des jeweiligen Unternehmens unterschiedlich stark ausgeprägt sein können.
1. Vorbemerkung und Begriffsbestimmung
31
Die Notwendigkeit für Risikomanagement ergibt sich aus dem Umstand, dass jeder unternehmerischen Betätigung aufgrund der Unsicherheit künftiger Entwicklungen sowohl Chancen als auch Risiken innewohnen.[34] Einer weiten Definition folgend, stellt das Risiko eine positive oder negative Abweichung vom Erwartungswert dar.[35] Enger gefasste Definitionen verstehen im Risiko lediglich die negative Abweichung. Risiko wird demnach als „Möglichkeit ungünstiger künftiger Entwicklungen“[36] oder als „Gefahr der Zielverfehlung bzw. Strategieverfehlung aufgrund von hindernden Ereignissen oder Handlungen“[37] definiert.
32
In der betriebswirtschaftlichen Literatur zeigt sich bei Betrachtung der existierenden Definitionen für die Begriffe Risikomanagement bzw. Risikomanagementsystem ein ziemlich einheitliches Bild. Demnach wird das Risikomanagement als Instrument für die Steuerung von Risiken verstanden, dessen Aufgabe in der Risikoerkennung, Risikoanalyse und Risikobewertung mit dem Ziel der Bewältigung von Risiken zur Sicherstellung der Unternehmensfortführung und der Erzeugung