Überwachung ist ein Prozess, der die Existenz und die Funktionsfähigkeit der Komponenten des COSO-Report sowie die Qualität ihrer Funktion über die Zeit sicherstellt. Das IKS muss regelmäßig überprüft und ggf. angepasst werden.

Die Überwachung des IKS wird im gesamten Unternehmen durchgeführt, z.B. auf folgenden Hierarchieebenen:

• Top Management
• Aufsichtsrat bzw. Beirat sowie ggf. ein Prüfungsausschuss dieser Überwachungsinstanzen
• Interne Revision im Auftrag der Unternehmensleitung
• Finanzielles Management
• Operatives Management

Die Überwachung kann durch laufende oder gesonderte Beurteilungen sowie durch eine Kombination von laufenden und gesonderten Beurteilungen umgesetzt werden. Laufende Beurteilungen werden im Rahmen der normalen Managementaufgaben durchgeführt. Der Umfang und die Häufigkeit der gesonderten Beurteilungen hängen von der Risikobewertung und der Effektivität der laufenden Beurteilungen ab. Die Überwachung muss sicherstellen, dass das IKS funktionsfähig ist und kontinuierlich auf allen Ebenen im gesamten Unternehmen angewendet wird.

Die Überwachung soll die Wirksamkeit des IKS (d.h. sowohl die Angemessenheit des Aufbaus als auch die kontinuierliche Funktionsfähigkeit) durch die Mitarbeiter des Unternehmens sicherstellen. Das Management hat zusätzlich dafür zu sorgen, dass festgestellte Mängel im IKS in geeigneter Weise abgestellt werden. Überwachungsmaßnahmen können hierbei in die Unternehmensprozesse eingebaut sein (z.B. eine regelmäßige Durchsicht betrieblicher Statistiken durch die zuständigen Abteilungsleiter und die Beurteilung der Plausibilität der in den Statistiken enthaltenen Informationen). Neben diesen prozessintegrierten Überwachungsmaßnahmen wird das IKS beispielsweise auch von der Internen Revision überwacht. Die Entwicklung von Verbesserungsvorschlägen für die Wirksamkeit des IKS zählt dabei ebenfalls zu den Aufgaben der Internen Revision.

IKS sollten i.d.R. so aufgebaut sein, dass sie sich kontinuierlich selbst beurteilen. Laufende Beurteilungen (z.B. regelmäßige Durchsicht von Berichten durch das Management sowie Vergleich von Ist-Zahlen zu Plan- und Budget-Zahlen) sind in die normalen, wiederkehrenden betrieblichen Aktivitäten zu integrieren. Je größer der Anteil und die Effektivität der laufende Beurteilungen in einem IKS ist, desto geringer ist die Notwendigkeit für gesonderte Beurteilungen. Die Häufigkeit und Ausgestaltung der gesonderten Beurteilung zur Sicherstellung der Funktionsfähigkeit des IKS basiert auf der Einschätzung der Unternehmensleitung. Gesonderte Beurteilungen werden normalerweise periodisch durchgeführt.

Interne Kontrollaktivitäten müssen ordnungsgemäß gestaltet und hinreichend sein für die Erfüllung der Anforderungen sowie von qualifizierten, autorisierten Personen ausgeführt werden. In diesem Zusammenhang entspricht die Überwachung dem Prozess zur Feststellung, ob das IKS

• angemessen aufgebaut (Aufbauprüfung),
• ausgeführt und funktionsfähig (Funktionsprüfung)

sowie anpassungsfähig ist.

Aufbauprüfung

Obwohl die Beurteilung eines angemessenen Aufbaus des IKS letztendlich eine subjektive Einschätzung ist, sollte diese Beurteilung auf Nachweisen basieren, die durch ordnungsgemäße Prüfungshandlungen erlangt worden sind. Das Management sollte die Angemessenheit des Aufbaus beurteilen, indem es eine Verbindung zwischen den Unternehmenszielen (Kategorien: Betrieblich, Berichterstattung und Regeleinhaltung) und den Kontrollaktivitäten herstellt. Die Aufbauprüfung kann z.B. mit folgenden Prüfungshandlungen zur Erlangung der erforderlichen Nachweise durchgeführt werden:

• Befragungen von Mitgliedern des Managements, Personen mit Überwachungsfunktionen und sonstigen Mitarbeitern auf unterschiedlichen organisatorischen Ebenen.
• Beobachtung von Aktivitäten und Arbeitsabläufen im Unternehmen, einschließlich der IT-gestützten Verfahren und der Art und Weise der Verarbeitung von Geschäftsvorfällen.
• Durchsicht von Dokumenten des Unternehmens, wie z.B. Organisationshandbücher, Arbeitsplatzbeschreibungen und Flussdiagrammen.
• Durchsicht von Unterlagen, die durch das IKS generiert werden.
• Beurteilung, ob Kontrollaktivitäten geeignet sind wesentliche Fehler und/oder dolose Handlungen zu verhindern oder aufzudecken.

Schwächen im Aufbau eines IKS bestehen, wenn eine notwendige Kontrolle nicht vorhanden ist oder eine Kontrolle zwar vorhanden ist, aber dem Kontrollziel nicht gerecht wird. Die Aufbauprüfung des IKS ist extrem wichtig, denn nur ein ordnungsgemäß und angemessen gestaltetes IKS kann effektiv funktionieren. Ein ordnungsgemäßer Aufbau von Kontrollaktivitäten bedeutet wiederum nicht automatisch, dass diese auch wirksam sind und funktioniert.

Funktionsprüfung

Zur Durchführung der Funktionsprüfung müssen vorab wesentliche (Tochter-) Unternehmen, Geschäftseinheiten und Prozesse sowie die zu prüfenden Kontrollen (d.h. primäre bzw. Schlüssel-Kontrollen) identifiziert werden. Falls bei der Funktionsprüfung Kontrollschwächen festgestellt werden, müssen diese behoben und nochmals geprüft werden. Die Durchführung von Funktionsprüfungen soll zur Feststellung kommen, ob die Kontrollen ihrem Aufbau entsprechend durchgehend funktionieren und die Person, welche die Kontrolle durchführt, die notwendige Qualifikation und Autorität besitzt. Das Ergebnis sollte ein Gesamturteil über die Funktionsfähigkeit des IKS sein.

Die Funktionsprüfung sollte Kontrollen über alle Unternehmensziele abdecken, wobei folgende Grundsätze zu beachten sind:

• Herstellung einer eindeutigen Verbindung zwischen den individuellen Kontrollen und den dadurch betroffenen wesentlichen Kennzahlen, Konten und Vorschriften.
• Berücksichtigung von sowohl vorbeugenden (präventiven) als auch aufdeckenden (detektiven) Kontrollen.
• Berücksichtigung nur von Schlüssel (primären) Kontrollen.

Bei der Funktionsprüfung sind insbesondere folgende Eigenschaften der Kontrollen zu beachten:

• Bereiche, an denen Fehler und dolose Handlungen vorkommen können.
• Art der zu prüfenden Kontrolle (z.B. manuell oder automatisch).
• Wesentlichkeit der zu prüfenden Kontrolle.
• Risiken, dass eine Kontrolle nicht effektiv funktioniert (z.B. aufgrund von Veränderungen im Umfang oder in der Art einer Transaktion, Änderungen im Aufbau der Kontrolle und personelle Veränderungen auf Schlüsselpositionen).
• Komplexität der zu prüfenden Kontrolle.

Bei der Identifikation von zu prüfenden Kontrollen sollte das Management auf jeden Fall die folgenden Typen von Kontrollen berücksichtigen:

• Kontrollen der Genehmigung, Initiierung, Verbuchung, Durchführung und Berichterstattung von Transaktionen sowie zur Sicherung von Vermögensgegenständen.
• Kontrollen der Auswahl und Anwendung von Bilanzierungsrichtlinien.
• Kontrollen des Prozesses zum Periodenabschluss.
• Kontrollen zur Vermeidung doloser Handlungen.
• Kontrollen für wesentliche Nicht-Routineprozesse oder Schätzungen.
• Kontrollen von denen andere Kontrollen abhängig sind (z.B. Allgemeine IT-Kontrollen).
• Kontrollen auf Unternehmensebene.

Zur Sicherstellung der dauerhaften, personenunabhängigen Funktionsfähigkeit des IKS sowie zum Nachweis der Organisations- und Sorgfaltspflichten der Unternehmensleitung ist eine ordnungsgemäße und zeitnahe Dokumentation der Funktionsprüfung zwingend erforderlich.

Literatur:

• Bungartz, Oliver: Handbuch Interne Kontrollsysteme (IKS) – Steuerung und Überwachung von Unternehmen. 3. Aufl. Berlin 2011
• Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261)
• Committee of Sponsoring Organizations of the Treadway Commission (COSO): Internal Control – Integrated Framework. September 1992