Kontrollaktivitäten bzw. Kontrollen sind Grundsätze und Verfahren, die sicherstellen sollen, dass die Entscheidungen des Managements beachtet werden. Kontrollen tragen dazu bei, dass die notwendigen Maßnahmen getroffen werden, um den Risiken des Unternehmens zu begegnen. Kontrollaktivitäten existieren auf allen Ebenen sowie in allen Funktionen eines Unternehmens und beinhalten i.d.R. zwei Elemente:
Die Kontrollaktivitäten sind je nach Unternehmen verschieden ausgestaltet und reflektieren das Umfeld, die Branche, die interne Struktur, die Historie und die Kultur des Unternehmens. Kontrollaktivitäten sind ein wichtiger Teil des Zielerreichungsprozesses eines Unternehmens und können als ein Mechanismus zur Steuerung der Zielerreichung betrachtet werden.
Eine Vielzahl an Beschreibungen und Systematisierungen von Kontrollaktivitäten existiert, von denen nachfolgend nur die wichtigsten dargestellt werden sollen:
Die nachfolgende Abbildung verdeutlicht die grundsätzliche Tendenz und den Zusammenhang von automatischen (systembasierten), manuellen, präventiven und aufdeckenden Kontrollen auf Prozessebene:
Gängige Typen von allgemeinen Kontrollaktivitäten sind nachfolgend beispielhaft aufgeführt. Die Auflistung soll die Bandbreite und Variation von Kontrollaktivitäten verdeutlichen, ohne dabei eine bestimmte Systematisierung oder Kategorisierung zu unterstellen:
Häufig sind Kombinationen von verschieden Kontrolltypen implementiert, um eine angemessene und umfassende Risikosteuerung zu gewährleisten.
Die hohe Bedeutung und Abhängigkeit von der Informationstechnologie (IT) machen Kontrollen über die wesentlichen Systeme unerlässlich. Die Verlässlichkeit der automatischen Datenverarbeitung hängt von verschiedenen unterstützenden IT-Komponenten, wie z.B. Netzwerken, Datenbanken und Betriebssystemen ab. Das Management und die internen sowie externen Prüfer benötigen ein grundlegendes Verständnis dafür wie IT-gestützte Transaktionen initiiert, autorisiert, eingegeben und verarbeitet werden. Viele Transaktionen werden automatisch vollzogen. IT-Systeme ermöglichen die Verarbeitung einer hohen Anzahl von komplexen Transaktionen in einer gleich bleibenden Qualität.
IT-Kontrollaktivitäten lassen sich in
unterteilen.
Generelle IT-Kontrollen (sog. General IT Controls – ITGC) sind übergreifende und durchdringende Kontrollen der IT-Umgebung (auch „General Computer Controls – GCC“ genannt) und betreffen die IT-Systeme in ihrer Gesamtheit (mit all ihren Subprozessen).
In Anlehnung an die Standards des IDW werden die generellen IT-Kontrollen in folgende Bereiche aufgeteilt (vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Stellungnahme zur Rechnungslegung. Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie – IDW RS FAIT 1):
Anwendungskontrollen sind Kontrollen, die durch die IT-Anwendung selbst unterstützt werden und den einzelnen Geschäftsprozess betreffen; sie sind Bestandteil der Anwendung um beispielsweise nicht autorisierte Transaktionen zu verhindern bzw. aufzudecken. Anwendungskontrollen können sowohl vorbeugende als auch nachgelagerte Kontrollen sein und sind immer in Kombination mit manuellen Kontrollen einzusetzen, um eine umfassende Wirksamkeit des gesamten IKS zu erreichen.
Eine abschließende Auflistung aller Anwendungskontrollen ist nicht praktizierbar, da sie sehr stark von den betrachteten Prozessen und von der Anwendung selbst abhängen und somit von Fall zu Fall unterschiedlich ausgeprägt sind. Nachfolgend wird eine Auswahl der gängigsten Anwendungskontrollen beispielhaft aufgelistet, um einen Eindruck der Vielfalt dieser Kontrollart zu vermitteln:
Die weit reichenden Entwicklungen in der Informationstechnologie (IT) und die stets zunehmende Abhängigkeit der wesentlichen Geschäftsprozesse einer Organisation von den zugrunde liegenden IT-Prozesse, hat in den letzten Jahren das Bedürfnis von Management, Benutzern und Prüfern nach praxisgerechten Standards und Empfehlungen im IT-Bereich voran getrieben.
COSO hat mit seinem Bericht eines der ersten Rahmenwerke für die Ausgestaltung eines IKS zur Steuerung und Überwachung eines Unternehmens erstellt. Für die spezifischen Anforderungen an ein IKS im IT-Bereich ist der COSO-Report jedoch nicht speziell ausgelegt. Die Empfehlungen des COSO-Report sind nicht auf die spezifischen Anforderungen eines IT-Prozesses zugeschnitten (z.B. bei der Identifizierung automatisierter Lösungen, der Sicherstellung eines kontinuierlichen Betriebs und des Managements von Störungen in IT-Prozessen).
Anfang der 90er Jahre wurde deshalb mit der Entwicklung eines speziell auf die Bedürfnisse der IT ausgerichteten Rahmenswerks begonnen, welches sich sehr stark an den COSO-Report anlehnt. Das Ergebnis ist das CobiT-Rahmenwerk (vgl. IT Governance Institute (ITGI) (Hrsg.): Control Objectives for Information and related Technology (CobiT) 5.0. Rolling Meadows, USA. 2012 sowie für allgemeine Informationen rund um das CobiT: www.itgi.org und www.isaca.org).
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: