Prüfung des internen Kontrollsystems in mittelständischen Unternehmen

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1. Einleitung
1.1. Problemstellung
1.2. Ziel und Aufbau der Arbeit

2. Rahmenbedingungen für die Abschlussprüfung
2.1. Verantwortung der Geschäftsführung
2.1.1. Pflichtprüfungen
2.1.2. Freiwillige Prüfungen
2.2. Aufgaben des Abschlussprüfers im Rahmen der Abschlussprüfung

3. Das interne Kontrollsystem im Rahmen der Abschlussprüfung
3.1. Begriff und Ursprung
3.2. Ziele und Aufgaben
3.3. Bestandteile und Ausgestaltung eines internen Kontrollsystems durch die Unternehmensleitung
3.4. Prüfung des internen Kontrollsystems durch den Abschlussprüfer
3.4.1. Einbindung des internen Kontrollsystems in die Jahresabschlussprüfung: Der risikoorientierte Prüfungsansatz im Überblick
3.4.2. Die Berücksichtigung des internen Kontrollsystems im Rahmen der Prüfungsplanung
3.4.3. Die Prüfungsdurchführung unter Berücksichtigung des internen Kontrollsystems
3.4.3.1. Aneignung von Kenntnissen über das interne Kontrollsystem
3.4.3.2. Prüfung des Aufbaus des internen Kontrollsystems
3.4.3.2.1. Kontrollumfeld
3.4.3.2.2. Risikobeurteilungen
3.4.3.2.3. Kontrollaktivitäten
3.4.3.2.4. Information und Kommunikation
3.4.3.2.5. Überwachung des internen Kontrollsystems
3.4.3.2.6. Prüfungshandlungen Aufbauprüfung
3.4.3.3. Prüfung der Wirksamkeit des internen Kontrollsystems

4. Einrichtung und Prüfung interner Kontrollsysteme in mittelständischen Unternehmen
4.1. Merkmale mittelständischer Unternehmen
4.2. Besonderheiten der Einrichtung und Prüfung interner Kontrollsysteme in mittelständischen Unternehmen
4.2.1. Rechts- und Unternehmungsform
4.2.2. Unternehmensführung
4.2.3. Personalbereich
4.2.4. Organisationsstruktur
4.2.5. Rechnungswesen und Controlling
4.2.6. Fehlende unabhängige Kontrollorgane
4.2.7. Schlussfolgerungen für den Abschlussprüfer
4.3. Praxisbeispiele für die risiko- und kontrollorientierte Bewertung von Prüffeldern durch den Abschlussprüfer
4.3.1. Prüfung des IKS im Zusammenhang mit dem Aufwand für Roh-, Hilfs- und Betriebsstoffe
4.3.2 Prüfung des IKS im Zusammenhang mit dem Personalbereich

5. Betrachtung neuerer Entwicklungen
5.1. Auswirkungen des Sarbanes-Oxley Act auf deutsche Unternehmen
5.1.1. Hintergründe
5.1.2. Maßnahmen und Inhalt des Gesetzes
5.1.3. Internal Control over Financial Reporting nach Section 404 des SOA
5.1.4. Zukünftige Bedeutung des SOA

6. Schlussbetrachtung

Literaturverzeichnis

Eidesstattliche Versicherung

Anhang A

Abbildungsverzeichnis

Abb. 1: Regelungsbereiche des internen Kontrollsystems

Abb. 2: Komponenten des internen Kontrollsystems

Abb. 3: Risiken der Abschlussprüfung

Abb. 4: Der Prüfungsansatz

Abb. 6: Abgrenzungskriterien für den Mittelstand

Abb. 7: Übereinstimmung Aufgabe - Kompetenz - Verantwortung

Abb. 8: Nichtübereinstimmung Aufgabe - Kompetenz - Verantwortung

Abb. 9: Betriebsgröße und Kontrollausübung

Tabellenverzeichnis

Tab. 1: Quantitative Abgrenzungskriterien (HGB)

Tab. 2: Quantitative Abgrenzungskriterien (ifM)

Tab. 3: Quantitative Abgrenzungskriterien (EU)

Tab. 4: Problembereiche mittelständischer Unternehmen hinsichtlich interner Kontrollsysteme

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

1.1. Problemstellung

Die interne Kontrolle und die interne Überwachung in Unternehmen ist seit Jahren ein in der Öffentlichkeit und in den Medien viel diskutiertes Thema. Bei den spektakulären Schieflagen und Zusammenbrüchen von Unternehmen in Deutschland (z. B. Holzmann, Flowtex, Comroad), in Europa (z. B. Parmalat, Baring Bank) oder in den USA (Enron, Worldcom) wird immer wieder unter anderem auch die Frage aufgeworfen, inwieweit der aus diesen Fällen resultierende volkswirtschaftliche Schaden durch eine verstärkte Reglementierung im Bereich interner Kontrollen für Unternehmen zu vermeiden gewesen wäre.

So wurde in Deutschland in den letzten Jahren eine Reihe von Maßnahmen getroffen, um die Qualität der Unternehmensführung und -überwachung zu verbessern. Beispiele hierfür sind:

- Die Einrichtung und Prüfung eines Risikofrüherkennungssystems bei börsennotierten Aktiengesellschaften (vgl. § 91 Abs. 2 AktG, § 317 Abs. 4 HGB);
- Die Zuweisung der Befugnis zur Beauftragung des Abschlussprüfers an denAufsichtrat bei Aktiengesellschaften (vgl. § 111 Abs. 2 AktG);
- Die Erarbeitung des deutschen Cooperate Governance Kodex.

In den USA wurde im Jahr 2002 mit dem Sarbanes-Oxley Act ein Gesetz mit weit reichenden Verpflichtungen im Bereich interner Kontrollen in Kraft gesetzt (Vgl. SOA Section 404 " Management Assessment of internal control"). Von diesen neuen Pflichten sind auch deutsche Unternehmen betroffen, soweit sie den US Kapitalmarkt in Anspruch nehmen.

Bei der Skizzierung dieser Entwicklung wird deutlich, dass sich hieraus insbesondere für große, kapitalmarktorientierte Unternehmen in der Rechtsform der Aktiengesellschaft weit reichende Auswirkungen auf die internen Kontrollen und deren Prüfung durch den Abschlussprüfer ergeben haben.

Im Fokus der vorliegenden Arbeit steht jedoch nicht die börsennotierte Aktiengesellschaft, sondern ein typisches, mittelständisches Unternehmen, das von seinem Hauptgesellschafter als Geschäftsführer geleitet wird.

1.2. Ziel und Aufbau der Arbeit

Die Auswirkungen der internen Kontrollstrukturen auf die Abschlussprüfung bei kleineren und mittleren Unternehmen haben in der Literatur bislang wenig Beachtung gefunden. Es soll daher, ausgehend von einer allgemeinen Darstellung zur Prüfung des internen Kontrollsystems im Rahmen der Abschlussprüfung, herausgearbeitet werden, wie die Besonderheiten des internen Kontrollsystems bei mittelständischen Unternehmen in eine risiko-, kontroll- und prozessorientiert organisierte Abschlussprüfung einbezogen werden.

Vor diesem Hintergrund ist die nachfolgende Arbeit wie folgt gegliedert:

Zunächst wird auf die für das Thema wesentlichen Rahmenbedingungen für die Abschlussprüfung bei mittelständischen Unternehmen eingegangen.

Anschließend werden der Begriff und der Ursprung sowie Aufgaben und Ziele des internen Kontrollsystems und dessen grundsätzliche Ausgestaltung im Unternehmen näher beschrieben.

Unter Punkt 3 wird dargestellt, wie das interne Kontrollsystem eines Unternehmens in die Abschlussprüfung einbezogen wird und wie das interne Kontrollsystem und seine Wirksamkeit durch Aufbau und Funktionsprüfungen geprüft wird.

Im Gliederungspunkt 4 werden einige Besonderheiten deutscher mittelständischer Unternehmen dargestellt und untersucht, welche Folgerungen sich dabei für die Prüfung des internen Kontrollsystems durch den Abschlussprüfer ergeben.

Gliederungspunkt 5 enthält einen Exkurs zu den aktuellen Trends zum Thema IKS und geht auf die Regelungen des Sarbanes-Oxley Act und dessen Auswirkungen auf deutsche Unternehmen ein.

In einer Schlussbetrachtung werden die wesentlichen Ergebnisse und Schlussfolgerungen für mittelständische Unternehmen zusammengefasst.

2. Rahmenbedingungen für die Abschlussprüfung

2.1. Verantwortung der Geschäftsführung

2.1.1. Pflichtprüfungen

Die Verantwortung der gesetzlichen Vertreter^[1] eines Unternehmens ergibt sich aus § 238 ff HGB. Demnach hat der Kaufmann für den Schluss eines jeden Geschäftsjahres einen Jahresabschluss aufzustellen. Die Geschäftsführer einer GmbH sind weiterhin nach § 41 GmbHG verpflichtet, für die ordnungsmäßige Buchführung der Gesellschaft zu sorgen^[2].

Die Verpflichtung zur Aufstellung eines Jahresabschlusses und die Verpflichtung, den Jahresabschluss durch einen Abschlussprüfer prüfen zu lassen, sind größenabhängig gestaffelt.

Es liegt in der Verantwortung der gesetzlichen Vertreter von Kapitalgesellschaften, den Jahresabschluss erweitert um einen Anhang sowie ggf. einen Lagebericht aufzustellen^[3].

Im HGB werden die Unternehmen nach folgenden Kriterien eingeteilt (§ 267 HGB):

Abbildung in dieser Leseprobe nicht enthalten

Tab. 1: Quantitative Abgrenzungskriterien (HGB)

Jahresabschlüsse von Kapitalgesellschaften, die nicht kleine Gesellschaften im Sinne des § 267 Abs. 1 HGB sind, sind nach § 316 HGB durch den Abschlussprüfer zu prüfen. Hat keine Prüfung stattgefunden, kann der Jahresabschluss nicht festgestellt werden^[4].

Die Prüfung ist also Vorraussetzung für die Feststellung des Jahresabschlusses, wobei der festgestellte Jahresabschluss u. a. die Grundlage für die Gewinnverwendung darstellt. Die Feststellung sowie die Ergebnisverwendung müssen je nach Größe der Gesellschaft innerhalb von acht bzw. elf Monaten beschlossen werden^[5].

2.1.2. Freiwillige Prüfungen

Unabhängig von den oben genannten gesetzlich vorgeschriebenen Prüfungen werden häufig auch Jahresabschlüsse kleiner Gesellschaften im Sinne des § 267 HBG durch einen Abschlussprüfer auf freiwilliger Basis geprüft.

Gründe hierfür sind i. d. R. in besonderen Gesellschafterinteressen zu sehen:

- Vorlage geprüfter Jahresabschlüsse, um ein besseres Rating durch Kreditinstitute zu erreichen,
- Dokumentation einer Unternehmensentwicklung anhand geprüfter Jahresabschlüsse,
- Vorbereitung der Aufnahme neuer Gesellschafter (Investoren, Börsengang)
- Kontrolle der Geschäftsleitung, wenn die Gesellschaft nicht selbst an die Gesellschafter nicht selbst an der Geschäftsleitung beteiligt sind,
- Einbeziehung in einen Konzernabschluss

2.2. Aufgaben des Abschlussprüfers im Rahmen der Abschlussprüfung

Durch die Abschlussprüfung soll die Verlässlichkeit der Informationen von Jahresabschluss und Lagebericht bestätigt werden. Dies schließt auch deren Ordnungsmäßigkeit ein, da diese von den Adressaten, insbesondere von den Aufsichtsorganen, für die Interpretation der Informationen herangezogen werden und mit in deren Entscheidungen einfließen^[6].

Die konkreten Vorgaben für den Abschlussprüfer ergeben sich insbesondere aus dem § 317 HGB sowie ergänzend aus den vom Institut der Wirtschaftsprüfer veröffentlichten Prüfungsstandards^[7].

Der Abschlussprüfer führt die Prüfung mit dem Ziel durch, Prüfungsaussagen unter Beachtung des Prinzips der Wirtschaftlichkeit mit hinreichender Sicherheit treffen zu können^[8].

Der Gegenstand der Abschlussprüfung schließt neben dem Jahresabschluss^[9] die Buchführung und ggf. den Lagebericht mit ein. Die Abschlussprüfung hat sich darauf zu erstrecken, ob die für die Rechnungslegung geltenden gesetzlichen Vorschriften einschließlich der GoB und sie ergänzende Bestimmungen des Gesellschaftsvertrags oder der Satzung eingehalten werden. Demnach muss die Buchführung nachvollziehbar, unveränderlich, vollständig, richtig, zeitgerecht und geordnet vorgenommen werden. Der Jahresabschluss muss klar, übersichtlich und vollständig aufgestellt werden. Vermögen und Schulden sind richtig zu bewerten^[10].

Die vom Abschlussprüfer getroffenen Prüfungsaussagen erhöhen die Verlässlichkeit und Glaubwürdigkeit der Rechnungslegung und ermöglichen es den Adressaten, die Glaubhaftigkeit der Buchführung, des Jahresabschlusses und ggf. des Lageberichts besser einzuschätzen, wobei nicht davon ausgegangen werden darf, dass die Prüfungsaussagen eine Gewähr für die Lebensfähigkeit des geprüften Unternehmens oder die Effektivität und die Wirtschaftlichkeit der Geschäftsführung darstellen^[11].

Gemäß § 321 HGB hat der Abschlussprüfer über seine Prüfung einen Prüfungsbericht anzufertigen^[12]. Der Prüfungsbericht hat nach § 322 HGB ein zusammenfassendes Prüfungsurteil, in Form eines Bestätigungsvermerks zu enthalten^[13].

Nachfolgender Textauszug gibt einen Überblick über den Inhalt eines Bestätigungsvermerks. Dort heißt es u. a.

„…. Danach ist die Prüfung so zu planen und durchzuführen, dass Unrichtigkeiten und Verstöße, die sich auf die Darstellung des durch den Jahresabschluss unter Beachtung der Grundsätze ordnungsmäßiger Buchführung und durch den Lagebericht vermittelten Bildes der Vermögens-, Finanz- und Ertragslage wesentlich auswirken, mit hinreichender Sicherheit erkannt werden. Bei der Festlegung der Prüfungshandlungen werden die Kenntnisse über die Geschäftstätigkeit und über das wirtschaftliche und rechtliche Umfeld der Gesellschaft sowie die Erwartungen über mögliche Fehler berücksichtigt. Im Rahmen der Prüfung werden die Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems sowie Nachweise für die Angaben in Buchführung, Jahresabschluss und Lagebericht überwiegend auf der Basis von Stichproben beurteilt…^[14] .“

(Heraushebung des Verfassers)

3. Das interne Kontrollsystem im Rahmen der Abschlussprüfung

3.1. Begriff und Ursprung

Der Begriff des „internen Kontrollsystems“ ist im Rahmen der amerikanischen Wirtschaftprüfungspraxis entstanden und hat sich aus dem Begriff „Internal Control“ entwickelt^[15].

Eine Studienkommission des American Institute of Accountants (AIA, heute: American Institute of Certified Public Accountants, AICPA) definierte bereits 1949^[16]:

“Internal Control comprises the plan of organization and all of the coordinate methods and measures adopted within a business to safeguard its assets, check the accuracy and reliability of its accounting data, promote operational efficiency, and encourage adherence to prescribed managerial policies.”

Aus dieser Definition lassen sich die Aufgaben und Ziele des Internal Control ableiten. Diese sind zum einen die Sicherung und der Schutz der Vermögenswerte einer Unternehmung vor Verlusten aller Art. Weiterhin die Gewinnung genauer, aussagefähiger und zeitnaher Aufzeichnungen sowie die Förderung und Erhöhung des betrieblichen Wirkungsgrades durch die Auswertung der zuvor gewonnenen Aufzeichnungen und schließlich die Unterstützung der von der Unternehmensleitung vorgeschriebenen Geschäftspolitik^[17].

Demnach beschränken sich die Ziele des IKS nicht nur auf Gebiete der kaufmännischen Verwaltung. Funktionsbereiche, wie die Fertigung und Qualitätskontrolle, Arbeits- und Zeitstudien, Ausbildungs- und Schulungsprogramme oder Werksschutz zählen ebenfalls zum Begriff des Internen Kontrollsystems^[18].

Die Entstehung dieses Internal Control-Konzeptes ist hauptsächlich als Reaktion auf die in der amerikanischen Wirtschaft entstandenen Betrugsfälle zu sehen. Deshalb stand zunächst die Aufdeckung und Verhinderung von dolosen Handlungen im Vordergrund der Anstrengungen^[19].

Grundsätzlich ist festzustellen, dass „control“ in der englischsprachigen Literatur wesentlich weiter gefasst wird als der Begriff „Kontrolle“ im deutschsprachigen Raum. In der deutschsprachigen Literatur wird unter Kontrolle hauptsächlich die Durchführung eines Vergleichs verstanden, während auch Darstellungen existieren, die Kontrolle nicht nur als Vergleich sehen, sondern auch im Sinne von Steuerung und Regelung inter­pretieren. Diese Sichtweise stellt eine Annäherung an den englischen Begriff „control“ dar, der nicht nur den Soll-Ist-Vergleich, sondern auch eine Abweichungsanalyse und anschließende Korrekturmaßnahmen mit einschließt. Im amerikanischen Raum wird der Begriff „control“ allerdings nicht nur auf fehlerkorrigierende Maßnahmen beschränkt. Er erstreckt sich auf alle veranlassenden Aktivitäten zur Zielrealisierung. Er wird als wesentliche Führungsfunktion verstanden^[20].

Im September 1992 stellte das Committee of Sponsoring Organisations of the Treadway Commission (COSO) in den USA einen Bericht mit dem Titel „Internal Control – Integreated Framework“ vor^[21]. Dieser Bericht sollte erstmals eine einheitliche Beurteilung der Wirksamkeit von Internal Control Systems in den USA ermöglichen^[22]. Die Studie ist eine gemeinsame Initiative privatwirtschaftlicher Wirtschaftsinstitute, die auf Grund betrügerischer Finanzberichterstattungen in den USA durchgeführt wurde.

Dabei war festzustellen, dass bei den untersuchten Betrugsfällen das interne Kontrollsystem der Unternehmen nicht angemessen ausgestaltet war oder von der Unternehmensführung umgangen werden konnte^[23].

Im COSO-Report wurden Ziele festgelegt, die ein Unternehmen hinsichtlich des vor­handenen Internal Control System realisieren muss^[24]:

- Operations - Wirksamkeit und Wirtschaftlichkeit der betrieblichen Abläufe
- Financial Reporting - Zuverlässigkeit der Finanzberichterstattung
- Compliance - Einhaltung der Gesetze und Verordnungen

Nach den Ausführungen des COSO-Reports besteht ein internes Kontrollsystem aus den Elementen Kontrollumfeld, Risikobeurteilung, Kontrolltätigkeiten, Information und Kommunikation und Überwachung^[25].

Der deutsche Prüfungsstandard (IDW PS 260) stimmt im Wesentlichen mit dem International Standard on Auditing (ISA) 400 –Risk Assessments and Internal Control- überein. Beide Standards sind auf die Prüfung des internen Kontrollsystems ausgerichtet und nehmen Bezug auf die Verlautbarung –Internal Control – Integreated Framework des Committee of Sponsoring Organizations of the Treadway Commission (COSO-Report)^[26].

Nach dem deutschen Prüfungsstandard versteht man unter dem internen Kontrollsystem die von der Unternehmensleitung eingeführten Grundsätze, Verfahren und Maßnahmen, die auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung gerichtet sind^[27].

Mit der Verabschiedung des amerikanischen Artikelgesetzes Sarbanes-Oxley Act im Juli 2002, auf Grund weit reichender Finanzskandale in den USA, hat die Thematik des internen Kontrollsystems wieder an Bedeutung gewonnen^[28]. Im Hinblick auf Sarbanes-Oxley erkennen sowohl die Final Rule^[29] der Securities and Exchange Commission (SEC) und auch der Public Company Accounting Oversight Board (PCAOB) das Rahmenwerk COSO als gültige Definition für das interne Kontrollsystem an^[30].

3.2. Ziele und Aufgaben

Bei internen Kontrollsystemen geht es zum einen um die Abwendung von Schadens­fällen und um die Kontrolle der Einhaltung von Richtlinien und Vorgaben, die von der Unternehmensleitung eingeführt wurden. Ein weiterer wichtiger Bestandteil ist jedoch auch, dass das Rechnungs- und Berichtswesen wahr, transparent und somit für die betriebswirtschaftliche Führung geeignet sein muss. Das interne Kontrollsystem muss Maßnahmen und Methoden zur Effizienzsteigerung bereitstellen, um Verlustquellen aufzuspüren und um Rationalisierungen, die zu einer Kosteneinsparung und Gewinn­optimierung führen, auch realisieren zu können^[31].

Unter einem internen Kontrollsystem werden die von der Unternehmensleitung eingeführten Grundsätze, Verfahren und Maßnahmen verstanden, die auf die orga­nisa­torische Umsetzung der Entscheidungen der Unternehmensleitung gerichtet sind:

- Zur Sicherung des vorhanden Vermögens,
- Zur Steigerung der betrieblichen Effizienz,
- Zur Einhaltung der vorgeschriebenen Geschäftsrichtlinien,
- Zur frühzeitigen Erkennung von Insolvenzrisiken^[32],
- Zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungs­legung,
- Zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vor­schriften^[33]

3.3. Bestandteile und Ausgestaltung eines internen Kontrollsystems durch die Unternehmensleitung

Laut IDW Prüfungsstandard (IDW PS 260) besteht das interne Kontrollsystem aus dem internen Steuerungssystem zur Steuerung der Unternehmensaktivitäten und dem internen Überwachungssystem zur Überwachung der Einhaltung der eingeführten Regelungen. Folgende Abbildung verdeutlicht die Sichtweise des IDW:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Regelungsbereiche des internen Kontrollsystems

(Quelle: In Anlehnung an: Deutsches Institut für interne Revision e. V., im Internet: http://www.revision-intern.de/Arbeitskreise/bsk/handbuch/061.htm, (Stand: 25.06.04))

Das interne Steuerungssystem beinhaltet die Regelungen zur Steuerung der Unternehmensaktivitäten. Das interne Überwachungssystem beinhaltet zum einen prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) und zum anderen prozes­sunabhängige Überwachungsmaßnahmen, die bspw. von der Internen Revision durchgeführt werden. Sie dienen der Einhaltung der eingeführten Regelungen^[34].

Organisatorische Sicherungsmaßnahmen werden durch laufende, in den Prozess integrierte, Einrichtungen wahrgenommen. Sie beinhalten fehlerverhindernde Maßnahmen, die in die Aufbau- und Ablauforganisation eingebunden sind und ein definiertes Sicherheitsniveau gewährleisten sollen. Darunter fallen z. B. Funktionstrennung, Zugriffbeschränkungen oder Zahlungsrichtlinien. Kontrollen erfolgen durch Maßnahmen, die ebenfalls in den Arbeitsablauf eingebunden sind. Kontrollen sollen die Wahrscheinlichkeit für das Auftreten von Fehlern verhindern und aufgetretene Fehler aufdecken, um auf diese zu reagieren und sie für die Zukunft ausschließen zu können. Kontrollen sind z. B. die Überprüfung der Vollständigkeit und Richtigkeit von erhaltenen Daten, Soll/Ist-Vergleiche oder Plausibilitätsprüfungen von genutzter Software^[35].

Prozessunabhängige Überwachungsmaßnahmen werden meist von der Internen Revision wahrgenommen. Sie prüft im Unternehmen Strukturen und Aktivitäten. Die Interne Revision darf innerhalb des Unternehmens weder in den Arbeitsablauf integriert sein noch für das Ergebnis des überwachten Prozesses verantwortlich sein^[36].

Die Verantwortung für die Entwicklung, Einführung und Ausgestaltung eines internen Kontrollsystems liegt bei der Unternehmensleitung. Dieses interne Kontrollsystem muss einer laufenden Überwachung, Anpassung und Weiterentwicklung unterzogen werden. Dies fällt ebenfalls in den Verantwortungsbereich der Unternehmensleitung^[37].

Bei der Ausgestaltung sind insbesondere folgende Sachverhalte zu berücksichtigen^[38]:

- Größe und Komplexität des Unternehmens,
- Rechtsform und Organisation des Unternehmens,
- Komplexität und Diversifikation der Geschäftstätigkeit,
- Methoden der Erfassung, Verarbeitung, Aufbewahrung und Sicherung von Informationen,
- Art und Umfang der zu beachtenden rechtlichen Vorschriften

Das interne Kontrollsystem besteht aus folgenden Komponenten, die zueinander in wechselseitiger Beziehung stehen^[39]:

- Kontrollumfeld,
- Risikobeurteilungen,
- Kontrollaktivitäten,
- Information und Kommunikation,
- Überwachung des internen Kontrollsystems

Der äußere Rahmen besteht aus dem Kontrollumfeld, in dem die Grundsätze, Verfahren und Maßnahmen entwickelt, umgesetzt und angewendet werden. Seine Ausprägung wird im Wesentlichen von den Grundeinstellungen und dem Problembewusstsein sowie dem Verhalten der Unternehmensleitung hinsichtlich des internen Kontrollsystems beeinflusst^[40].

Das Kontrollumfeld wird durch folgende Faktoren bestimmt^[41]:

- Integrität und ethische Werte im Unternehmen,
- fachliche Kompetenz im Unternehmen,
- Unternehmenskultur sowie das Werteverständnis der Mitarbeiter,
- Führungsstil des Unternehmers bzw. der Unternehmensleitung,
- Regelung von Weisungsrechten und Verantwortung,
- Die Überwachungstätigkeit des Aufsichtsrats, Beirats und der Gesellschafterversammlung,
- Betriebene Personalpolitik

Da das Kontrollumfeld in starkem Maße die Sensibilität der Mitarbeiter bestimmt, ist es neben den anderen Komponenten eine wichtige Voraussetzung für die Wirksamkeit des internen Kontrollsystems^[42].

Unternehmerisches Handeln ist immer mit Risiken verbunden, die die Erreichung der Unternehmensziele gefährden können. Unternehmensrisiken können z. B. finanzieller, rechtlicher, leistungswirtschaftlicher oder strategischer Natur sein. Mit Hilfe von Risikobeurteilungen werden solche Risiken erkannt und analysiert. Risikobeurteilungen bilden somit die Grundlage für Entscheidungen der Unternehmensleitung über den Umgang mit erkannten Risiken^[43]. Solche Risikobeurteilungen können sich allerdings von denen des Wirtschaftsprüfers unterscheiden, da sie unterschiedliche Zielsetzungen haben. Der Wirtschaftsprüfer nimmt die Risikobeurteilung vor allem im Hinblick auf die Weiterentwicklung seiner Prüfungsstrategie, der Festlegung der aussagebezogenen Prüfungshandlungen vor und nicht im Hinblick auf die Realisierung der Unternehmensziele^[44].

Kontrollaktivitäten sind die Grundsätze und Verfahren, die sicherstellen sollen, dass die Entscheidungen der Unternehmensleitung auch eingehalten und beachtet werden. Sie tragen dazu bei, dass dringend notwendige Maßnahmen getroffen werden, um unternehmerischen Risiken zu begegnen^[45].

Kontrollaktivitäten haben folgende Zielsetzungen^[46]:

- Sicherstellung, dass alle Vermögensgegenstände und Schulden vorhanden sind,
- Korrekte Zuordnung zum Betriebsvermögen,
- Zutreffende Bewertung,
- Vermögensgegenständen, Schulden, Geschäftsvorfälle, Ereignisse und sonstige Pflichtangaben in Jahresabschluss und Lagebericht müssen vollständig erfasst sein,
- Korrekte zeitliche Abgrenzung von Aufwand und Ertrag,
- Verwendung der anzuwendenden Rechnungslegungsvorschriften

Innerhalb der Kontrollaktivitäten kann man in fehlervermeidende (vorbeugende Kontrollen), die die Weiterverarbeitung von fehlerhaften Zahlen verhindern sollen, und fehleraufdeckende Kontrollaktivitäten (Entdeckungskontrollen), die dem Geschäftsprozess folgen und somit sicherstellen, dass das Ergebnis richtig ist^[47].

Die Information und Kommunikation ist die Komponente des internen Kontrollsystems, die sicherstellen soll, dass die für die unternehmerischen Entscheidungen notwendigen Informationen in geeigneter und zeitgerechter Weise eingeholt und aufbereitet werden und schließlich an die zuständigen Adressaten im Unternehmen weitergeleitet werden^[48]. Als Informationsträger sind dabei Organisationshandbücher, Richtlinien für interne und externe Rechnungslegung, Aktennotizen sowie die mündliche Kommunikation zu nennen. Einen wichtigen Bestandteil des Informations- und Kommunikationssystems bildet das Rechnungslegungssystem. Es umfasst die Methoden und Aufzeichnungen zur korrekten Behandlung von Geschäftsvorfällen, Vermögensgegenständen, Schulden und den sonstigen Bestandteilen von Jahresabschluss und Lagebericht^[49].

Die Überwachung des internen Kontrollsystems dient dem Unternehmen zur Überprüfung der Funktionsfähigkeit und Wirksamkeit des eingerichteten internen Kontrollsystems. Ziel ist es, Fehler oder Abweichungen zu erkennen und abzustellen. Dies kann zum einen durch in den Prozess eingebaute Überwachungsmaßnahmen erfolgen oder durch prozessunabhängige Maßnahmen, z. B. durch die eigenständige Abteilung der Internen Revision geschehen^[50]. Zu den Aufgaben der Internen Revision gehört es auch, Vorschläge zur Verbesserung der Wirksamkeit des internen Kontrollsystems zu entwickeln^[51].

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Komponenten des internen Kontrollsystems

(Quelle: IDW, PS 260, Tz. 20)

3.4. Prüfung des internen Kontrollsystems durch den Abschlussprüfer

3.4.1. Einbindung des internen Kontrollsystems in die Jahresabschlussprüfung: Der risikoorientierte Prüfungsansatz im Überblick

Das Ziel der Abschlussprüfung wird in den vom Institut der Wirtschaftsprüfer vorgegebenen Grundsätze wie folgt umrissen:

„Der Wirtschaftsprüfer führt die Abschlussprüfung mit dem Ziel durch, die Aussagen über das Prüfungsergebnis…unter Beachtung des Grundsatzes der Wirtschaftlichkeit mit hinreichender Sicherheit treffen zu können^[52].“

Eine absolute Sicherheit, dass der Jahresabschluss frei von wesentlichen Fehlern ist, wäre theoretisch nur dann zu erreichen, wenn der Abschlussprüfer alle Geschäftsvor­fälle und Belege im Rahmen einer Einzelfallprüfung nachprüfen würde. Für die Abschlussprüfung wurden daher Grundsätze entwickelt, um durch die Prüfung im Rahmen von Stichproben zu einem hinreichend sicheren Prüfungsurteil zu gelangen. Dazu hat der Abschlussprüfer zum einen die Risiken zu beurteilen, die sich für das Unternehmen aus der Geschäftstätigkeit ergeben. Auf dieser Grundlage wird er für einzelne Prüfungsgebiete (z. B. Bilanzposten) Annahmen über die Fehleranfälligkeit^[53] (inhärentes Risiko) bei der Verarbeitung von Geschäftsvorfällen und Belegen treffen^[54].

Beispiele könnten sein:

- Fehlende Erfassung von Geschäftsvorfällen,
- Doppelerfassung von Geschäftsvorfällen,
- Erfassung von Geschäftsvorfällen auf einem falschen Konto (Ausweisfehler),
- Erfassung von Geschäftsvorfällen in einer falschen Periode (fehlerhafte Periodenabgrenzung)

Anschließend wird der Abschlussprüfer beurteilen, inwieweit im Unternehmen eingerichtete interne Kontrollen derartige Bearbeitungsfehler (Kontrollrisiken) systematisch aufzudecken helfen^[55].

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3: Risiken der Abschlussprüfung

(Quelle: IDW, PS 260, Tz. 24)

Die nachfolgende Übersicht verdeutlicht, welche Auswirkungen die Einschätzung der grundsätzlichen Fehleranfälligkeit eines Prüffeldes und die Einschätzung der fehleraufdeckenden Wirkungen interner Kontrollen auf den Umfang der Stichprobe des Abschlussprüfers haben^[56]:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4: Der Prüfungsansatz

(Quelle: In Anlehnung an: Dr. Rödl. Stuttgart GmbH, interne Schulungsunterlagen zum Prüfungsansatz)

Ein zeitgemäßer Prüfungsansatz berücksichtigt somit die in einem Unternehmen eingerichteten Kontrollstrukturen für die Gewinnung eines hinreichend sicheren und wirtschaftlich erarbeiteten Prüfungsurteils. Der Vorteil für das geprüfte Unternehmen besteht darin, dass eine mit einem zeitgemäßen Prüfungsansatz durchgeführte Abschlussprüfung effizienter und schneller durchgeführt werden kann und dass dem Unternehmen gleichzeitig wertvolle Hinweise zum Stand und zur Weiterentwicklung der internen Kontrollstrukturen gegeben werden.

3.4.2. Die Berücksichtigung des internen Kontrollsystems im Rahmen der Prüfungsplanung

Der Abschlussprüfer muss, wie zuvor bereits beschrieben, zunächst eine allgemeine Einschätzung der inhärenten Risiken im Rahmen der Entwicklung der Prüfungsstrategie vornehmen. Dies nimmt er im Allgemeinen im Rahmen der Erlangung von Kenntnissen über das zu prüfende Unternehmen vor. Eine anschließende prüffeldspezifische Einschätzung der inhärenten Risiken nimmt der Abschlussprüfer bei der Entwicklung des Prüfprogramms vor. Die allgemeine Einschätzung umfasst z. B. die Integrität und Kompetenz der Geschäftsleitung, Art und Umfang der Geschäftstätigkeit, Besonderheiten der Geschäftsentwicklung und branchenspezifische Faktoren, wie beispielsweise neue Technologien, Entwicklungen auf dem Nachfragemarkt oder das Wettbewerberverhalten. Bei der prüffeldspezifischen Einschätzung von Risiken sind insbesondere die Faktoren Fehleranfälligkeit von Abschlussposten, die Komplexität von Geschäftsvorfällen, Bestände an Roh-, Hilfs- und Betriebsstoffen und Schulden von Bedeutung. Ein ebenfalls wichtiger Faktor im Hinblick auf die prüffeldspezifische Einschätzung sind der Ansatz und Bewertung von Vermögensgegenständen sowie das Risiko von Unterschlagungen und der Abschluss von größeren Geschäften gegen Ende des Geschäftsjahres^[57].

Anschließend hat der Abschlussprüfer die organisatorischen Maßnahmen zu beurteilen, die von der Unternehmensleitung auf Grund der inhärenten Risiken eingeführt worden sind^[58]. Diese Maßnahmen umfassen die Einführung eines internen Kontrollsystems.

Wenn sich der Prüfer im Rahmen der Prüfungsplanung einen ersten Überblick über den für die Abschlussprüfung relevanten Teil des internen Kontrollsystems gemacht hat, muss er eine vorläufige Einschätzung der Kontrollrisiken vornehmen und vorläufig beurteilen, ob diese Maßnahmen wesentliche Fehler in der Rechnungslegung verhindern, aufdecken und korrigieren können^[59].

Bestehen bereits nach der vorläufigen Beurteilung des internen Kontrollsystems erhebliche Zweifel an seiner Wirksamkeit, gehen Funktionsprüfungen ins Leere. Damit aus dem erhöhten Fehlerrisiko nicht eine Erhöhung des Prüfungsrisikos resultiert, sind statt Funktionsprüfungen aussagebezogene Prüfungshandlungen in Form von analytischen oder Einzelfallprüfungen durchzuführen^[60].

Ein hohes Kontrollrisiko ist immer zu unterstellen, wenn das Interne Kontrollsystem ganz oder teilweise nicht wirksam ist. Von einem niedrigen Kontrollrisiko kann der Abschlussprüfer nur dann ausgehen, wenn er die Durchführung von Funktionsprüfungen zur Einschätzung der vorläufigen Situation plant. Die Unternehmensleitung reagiert mit der Einrichtung eines Internen Kontrollsystems auf die inhärenten Risiken. Deshalb besteht zwischen Ihnen und den Kontrollrisiken ein enger Zusammenhang. Eine separate Betrachtung beider Risiken kann zu einer Fehleinschätzung führen^[61].

Die Beurteilung der inhärenten Risiken und Kontrollrisiken hat eine unmittelbare Bedeutung für die Festlegung des Entdeckungsrisikos, das abhängig von Art, Zeitpunkt und Umfang der aussagebezogenen Prüfungshandlungen ist. Sind inhärente und Kontrollrisiken hoch, dann muss das Entdeckungsrisiko niedrig sein, um ein hinreichend sicheres Prüfungsurteil abzugeben. Sind inhärente und Kontrollrisiken niedrig, kann ein höheres Entdeckungsrisiko festgelegt werden. Die aussagebezogenen Prüfungshandlungen können also verringert werden^[62].

[...]

---

^[1] Anm.: Nachfolgend wird typisierend von einem Gesellschaftergeschäftsführer einer mittelgroßen Gesellschaft ausgegangen. Auf rechtsformbedingte Besonderheiten soll nicht eingegangen werden.

^[2] Vgl. § 242 HGB; § 41 GmbHG

^[3] Vgl. Beck`scher Bilanz-Kommentar, Handels- und Steuerrecht, München, 2003, S. 729

^[4] Vgl. Beck`scher Bilanz-Kommentar, Handels- und Steuerrecht, S. 1805

^[5] Vgl. § 42a GmbHG

^[6] Vgl. IDW, PS 200, Tz. 8

^[7] Vgl. § 317 HGB

^[8] Vgl. IDW, PS 200, Tz. 9

^[9] Anm.: Bestandteile eines Jahresabschlusses sind Bilanz, Gewinn- und Verlustrechnung und ggf. Anhang

^[10] Vgl. IDW, PS 200, Tz.12

^[11] Vgl. IDW, PS 200, Tz.15

^[12] Anm.: Nähere Erläuterungen befinden sich im IDW, PS 450: Grundsätze ordnungsgemäßer Berichterstattung bei Abschlussprüfungen

^[13] Vgl. IDW, PS 400

^[14] IDW, PS 400, Anhang: Formulierung für Bestätigungsvermerke und Versagungsvermerke bei Abschlussprüfungen

^[15] Vgl. Wanik, O.: Internes Kontrollsystem, in: Coenenberg, A., Wysocki, K.: Handwörterbuch der Revision, Stuttgart, 1983, S. 628

^[16] Zitiert nach: Wanik, O.: … a. a. O., S. 629

^[17] Vgl. Lück, W. (Hrsg): Lexicon der Wirtschaftsprüfung – Rechnungslegung und Prüfung -, Berlin, 1980, S. 250

^[18] Vgl. Mittermair, K., Löffler, H.,: Definition des Begriffs Internes Kontrollsystem, in: Löffler, H., Mittermair, K. (Hrsg.), Handbuch zum Internen Kontrollsystem: Anforderungen durch Jahresabschluß und organisatorischen Aufbau eines Unternehmens, Wien, 2000, S. 418

^[19] Vgl. Wanik, O.: … a. a. O., S.629

^[20] Vgl. Horváth, P.: Benutzung des internen Kontrollsystems zur Urteilsbildung, in: Handbuch der Abschlussprüfung, Coenenberg, A. G., v. Wysocki, K. (Hrsg.): Stuttgart, 1985, S. 836 f

^[21] Vgl. Hömberg, R.: Internes Kontrollsystem, in: Ballwieser, W., Coenenberg, A, G., v. Wysocki, K. (Hrsg.): Handwörterbuch der Rechnungslegung und Prüfung, Stuttgart, 2002, S. 1228

^[22] Vgl. Mittermair, K., Löffler, H.: ... a. a. O., S. 15

^[23] Vgl. Menzies, C. (Hrsg.): Sarbanes-Oxley Act – Professionelles Management interner Kontrollen, Das interne Kontrollsystem, Stuttgart, 2004, S. 76

^[24] Vgl. Lück, W., Makowski, A.: Internal Control, COSO-Report; Guidance on Criteria of Control; Internal Financial Control, in: WPK-Mitteilungen, Band 35, 1996, S. 158

^[25] Vgl. Mittermair, K., Löffler, H.: ... a. a. O., S. 16

^[26] Vgl. Menzies, C. (Hrsg.): … a. a. O., S. 74

^[27] Vgl. Die Wirtschaftsprüfung: IDW PS 260: Das interne Kontrollsystem im Rahmen der Abschlussprüfung, 54. Jahrgang, S. 822

^[28] Vgl. Menzies, C. (Hrsg.): … a. a. O., S. 74

^[29] Anm.: Seitens der SEC erlassene Richtlinien zur Konkretisierung und Umsetzung des SOA

^[30] Vgl. Menzies, C. (Hrsg.): … a. a. O., S. 74

^[31] Vgl. Klinger, M., A., Klinger, O.: Das interne Kontrollsystem im Unternehmen – Praxisbeispiele, Checklisten, Organisationsanweisungen und Muster-Prüfberichte für alle Unternehmensbereiche, München, 2000, S. 5

^[32] Vgl. Klinger, A., Klinger, O.: … a. a. O., S. 5 f

^[33] Vgl. Die Wirtschaftsprüfung: IDW PS 260: … a. a. O., S. 822

^[34] Vgl. IDW, PS, 260, Tz. 6

^[35] Vgl. IDW, PS 260, Tz. 6

^[36] Vgl. IDW, PS 260, Tz. 6

^[37] Vgl. IDW, PS 260, Tz. 12

^[38] IDW, PS 260, Tz. 13

^[39] IDW, PS 260, Tz. 15

^[40] Vgl. IDW, PS 260, Tz. 16

^[41] Vgl. IDW, PS 260, Tz. 16

^[42] Vgl. Klöbb, M.: Das interne Kontrollsystem im Rahmen der Jahresabschlussprüfung: IDW PS 260 versus ISA 400, DStR, Heft 10, 2002, S. 416

^[43] Vgl. IDW, PS 260, Tz. 17

^[44] Vgl. Klöbb, M.: … a. a. O., S. 416

^[45] Vgl. IDW, PS 260, Tz. 18

^[46] Vgl. Klöbb, M.: … a. a. O., S. 416

^[47] Vgl. Klöbb, M.: … a. a. O., S. 416

^[48] Vgl. IDW, PS 260, Tz. 19

^[49] Vgl. Klöbb, M.: … a. a. O., S. 417

^[50] Vgl. Klöbb, M.: … a. a. O., S. 417

^[51] Vgl. IDW, PS 260, Tz. 20

^[52] IDW, PS 200, Tz.9

^[53] Anm.: Als inhärentes Risiko bezeichnet man die Anfälligkeit eines Prüffeldes für Fehler, vgl. IDW, PS 260, Tz. 24

^[54] Vgl. IDW, PS 260, Tz. 23

^[55] Anm.: Als Kontrollrisiko bezeichnet man das Risiko, dass Fehler in einem Prüffeld durch das vom Unternehmen eingerichtete interne Kontrollsystem nicht verhindert, aufgedeckt und korrigiert werden, vgl. IDW, PS 260, Tz. 24

^[56] In Anlehnung an: Dr. Rödl. Stuttgart GmbH, interne Schulungsunterlagen zum Prüfungsansatz

^[57] Vgl. Schmidt, S.: … a. a. O., S 230

^[58] Vgl. IDW, PS 260, Tz. 30

^[59] Vgl. Schmidt, S.: … a. a. O., S 230

^[60] Vgl. IDW, PS 260, Tz. 33

^[61] Vgl. Schmidt, S.: … a. a. O., S 230

^[62] Vgl. IDW, PS 260, Tz. 24