Bestandteile eines Internen Kontrollsystems (IKS) für die Prüfung

Ein internes Kontrollsystem (IKS) besteht aus Richtlinien und Verfahren, die mit angemessener Sicherheit gewährleisten, dass das Unternehmen seine spezifischen Ziele erreichen kann. Obwohl die interne Kontrollstruktur eine Vielzahl von Zielen und damit verbundenen Verfahren enthalten kann, sind nur einige davon für eine Prüfung des Jahresabschlusses des Unternehmens relevant. Im Allgemeinen betreffen für eine Prüfung relevante Richtlinien und Verfahren die Fähigkeit des Unternehmens, Finanzdaten im Einklang mit den Aussagen im Jahresabschluss zu erfassen, auszuwerten, zusammenzufassen und zu berichten. Jedoch können auch andere Richtlinien und Verfahren von Bedeutung sein, wenn sie sich auf Daten beziehen, die der Abschlussprüfer für Prüfungsverfahren verwendet. Zum Beispiel können Richtlinien und Verfahren, die sich auf Finanzdaten beziehen, welche der Prüfer in analytischen Verfahren nutzt (wie z. B. Produktionsdaten), für eine Prüfung relevant sein.

In der Regel verfügt ein Unternehmen über Strategien und Verfahren innerhalb seiner internen Kontrollstruktur, die für eine Prüfung nicht relevant sind und daher nicht berücksichtigt werden müssen. Zum Beispiel können Richtlinien und Verfahren bezüglich der Wirksamkeit, Wirtschaftlichkeit und Effizienz bestimmter Prozesse bei Managemententscheidungen – wie die Festlegung des angemessenen Preises für Produkte oder die Zweckmäßigkeit bestimmter Ausgaben für Forschung und Entwicklung oder Werbung – für das Unternehmen wichtig sein, sind aber in der Regel nicht relevant für die Abschlussprüfung.

Für die Zwecke einer Abschlussprüfung setzt sich die Struktur eines internen Kontrollsystems aus den folgenden Komponenten zusammen:

• Das Kontrollumfeld
• Das Rechnungslegungssystem
• Kontrollverfahren

Die Unterteilung der internen Kontrollstruktur in diese drei Elemente erleichtert die Erörterung der Vorgehensweise des Prüfers bei einer Prüfung. Allerdings sollte der Abschlussprüfer vorrangig berücksichtigen, ob eine Richtlinie oder ein Verfahren des internen Kontrollsystems die Aussagen im Jahresabschluss beeinflusst, anstatt sich auf deren Kategorisierung zu konzentrieren.

Das Kontrollumfeld

Das Kontrollumfeld stellt die kombinierte Wirkung mehrerer Faktoren dar, die die Wirksamkeit spezifischer Richtlinien und Verfahren bestimmen, verstärken oder abschwächen. Solche Faktoren sind etwa die folgenden:

• Die Philosophie und der Arbeitsstil des Managements
• Die organisatorische Struktur des Unternehmens
• Die Funktionsweise des Verwaltungsrates und seiner Ausschüsse, einschließlich des Prüfungsausschusses
• Methoden der Zuweisung von Autorität und Verantwortung
• Management-Kontrollmethoden zur Überwachung und Verfolgung der Leistung, einschließlich der internen Revision
• Personalpolitik und -praktiken
• Verschiedene äußere Einflüsse, die die Vorgänge und Praktiken eines Unternehmens beeinflussen, wie z. B. die Überprüfung durch Aufsichtsbehörden

Das Kontrollumfeld spiegelt die Haltung, das Bewusstsein und das Handeln des Vorstands, des Managements, der Eigentümer und anderer Beteiligter hinsichtlich der Bedeutung von Kontrollen und der Betonung der Einheit wider. (Die Faktoren des Kontrollumfelds werden ausführlicher in Anhang A, § 319, diskutiert).

Das Rechnungslegungssystem

Das Rechnungslegungssystem besteht aus den Methoden und Aufzeichnungen, die eingerichtet wurden, um Transaktionen der Einheit zu identifizieren, zu sammeln, zu klassifizieren, zu registrieren und zu berichten sowie die Rechenschaftspflicht für die damit verbundenen Vermögenswerte und Schulden sicherzustellen. Ein effektives Rechnungslegungssystem sollte Verfahren und Aufzeichnungen etablieren, die:

• Alle gültigen Transaktionen identifizieren und aufzeichnen
• Alle Transaktionen rechtzeitig und detailliert genug beschreiben, um eine ordnungsgemäße Klassifizierung der Finanzinformationen zu ermöglichen
• Den Wert der Transaktionen quantifizieren, sodass ihr korrekter Geldwert im Jahresabschluss erfasst wird
• Den Zeitraum bestimmen, in dem Transaktionen stattfinden, um sie dem entsprechenden Abrechnungszeitraum zuzuordnen
• Die Transaktionen und die dazugehörigen Angaben im Jahresabschluss korrekt darstellen

Kontrollverfahren

Kontrollverfahren sind die von der Geschäftsleitung festgelegten Verfahren und Richtlinien, die zusätzlich zum Kontrollumfeld und dem Rechnungslegungssystem ein angemessenes Maß an Sicherheit bieten sollen, um die spezifischen Ziele des Unternehmens zu erreichen. Kontrollverfahren haben unterschiedliche Ziele und werden auf verschiedenen Ebenen der Organisation und Datenverarbeitung angewendet. Sie können auch in bestimmte Komponenten des Kontrollumfelds und des Rechnungslegungssystems integriert werden. In der Regel können sie als Verfahren kategorisiert werden zur:

• Korrekten Autorisierung von Transaktionen und Aktivitäten.
• Trennung von Aufgaben, um die Möglichkeiten für Einzelpersonen zu verringern, Fehler oder Unregelmäßigkeiten bei der normalen Ausübung ihrer Pflichten zu begehen oder zu verbergen, indem unterschiedlichen Personen die Verantwortung für die Autorisierung und Verbuchung von Transaktionen sowie die Verwahrung von Vermögenswerten zugewiesen wird.
• Gestaltung und Nutzung von Dokumenten und Aufzeichnungen zur Gewährleistung der ordnungsgemäßen Verbuchung von Transaktionen und Ereignissen, wie z. B. die Überwachung der Nutzung vorab nummerierter Dokumente.
• Installation und Wartung geeigneter Sicherheitseinrichtungen für den Zugang und die Nutzung von Vermögenswerten und Aufzeichnungen, wie z. B. geeignete physische Einrichtungen und die Genehmigung für den Zugriff auf Computerprogramme und Dateien.
• Unabhängigen Überprüfung der Erfassung und ordnungsgemäßen Bewertung der verzeichneten Werte, wie z. B. administrative Kontrollen, Abstimmungen, der Abgleich von Vermögenswerten mit den erfassten Informationen, programmierte Computersteuerungen, die Management-Überprüfung von Berichten (z. B. eine Altersliste der Forderungssalden) und Berichte, die von Benutzern von Computersystemen erstellt werden.