Interne Kontrollsysteme, Audit-Risiko und COSO-Framework

Eingeordnet in Lehre und Ausbildung

Geschrieben am in Deutsch mit einer Größe von 35,81 KB

Interne Kontrollstruktur: Grundlagen

Der Aufbau eines internen Kontrollsystems (IKS) besteht aus Richtlinien und Verfahren, die eingerichtet wurden, um ein vernünftiges Maß an Sicherheit zu gewährleisten, dass bestimmte Unternehmensziele erreicht werden können. Im Allgemeinen beziehen sich die Grundsätze und Verfahren, die für eine Prüfung relevant sind, auf die Fähigkeit des Unternehmens, Finanzdaten im Einklang mit den in den Finanzberichten enthaltenen Aussagen zu erfassen, auszuwerten, zusammenzufassen und zu berichten.

Aspekte der Internen Kontrollstruktur

Für die Zwecke einer Abschlussprüfung umfasst die interne Kontrollstruktur eines Unternehmens die folgenden Elemente:

  • Die Kontrollumgebung.
  • Das Buchführungssystem.
  • Kontrollverfahren.

Diese Unterteilung der Kontrollstruktur erleichtert die Diskussion über die Vorgehensweise des Prüfers bei einem Audit.

Die Kontrollumgebung

Die Kontrollumgebung stellt die kombinierte Wirkung mehrerer Faktoren dar, die die Wirksamkeit der spezifischen Richtlinien und Verfahren beeinflussen. Zu diesen Faktoren gehören die folgenden:

  • Die Philosophie und der Arbeitsstil des Managements.
  • Die organisatorische Struktur des Unternehmens.
  • Die Arbeitsweise des Verwaltungsrats und seiner Ausschüsse, einschließlich des Prüfungsausschusses.
  • Die Methoden der Zuweisung von Autorität und Verantwortung.
  • Management-Kontrollmethoden zur Überwachung und Verfolgung der Leistung, einschließlich der internen Rechnungsprüfung.
  • Personalauswahl und -praktiken.
  • Verschiedene äußere Einflüsse, die die Vorgänge und Praktiken eines Unternehmens beeinflussen, wie z.B. Untersuchungen von Aufsichtsbehörden.

Das Buchführungssystem

Das Buchführungssystem besteht aus den etablierten Methoden und Aufzeichnungen, um die Geschäfte des Unternehmens zu ermitteln, zu sammeln, zu analysieren, zu klassifizieren, aufzuzeichnen und zu melden sowie die damit verbundenen Aktiv- und Passivkonten zu führen. Eine effektive Buchführung sollte Methoden und Aufzeichnungen etablieren, die:

  • Alle gültigen Transaktionen identifizieren und aufzeichnen.
  • Alle Transaktionen rechtzeitig und detailliert genug beschreiben, um eine geeignete Klassifizierung für die Finanzberichterstattung zu ermöglichen.
  • Den Wert der Transaktionen quantifizieren, sodass ihr ordnungsgemäßer Geldwert in der Jahresrechnung ausgewiesen wird.
  • Den Zeitraum bestimmen, in dem Transaktionen stattfinden, um die Aufnahme in den entsprechenden Abrechnungszeitraum zu gewährleisten.
  • Die Transaktionen und die zugehörigen Angaben in der Jahresrechnung korrekt präsentieren.

Kontrollverfahren

Kontrollverfahren sind zusätzliche Richtlinien und Maßnahmen der Kontrolle und Rechnungsführung, die vom Management etabliert wurden, um ein vernünftiges Maß an Sicherheit zur Erreichung der spezifischen Unternehmensziele zu bieten. Normalerweise können die Verfahren wie folgt kategorisiert werden:

  • Ordnungsgemäß autorisierte Transaktionen und Aktivitäten.
  • Aufgabentrennung, um die Wahrscheinlichkeit zu verringern, dass eine Person Fehler oder Unregelmäßigkeiten bei normalen Tätigkeiten begeht oder verbirgt, indem unterschiedlichen Personen die Verantwortung für die Autorisierung, Verbuchung von Transaktionen und die Verwahrung von Vermögenswerten zugewiesen wird.
  • Gestaltung und Anwendung geeigneter Unterlagen und Aufzeichnungen.
  • Einrichtung und Aufrechterhaltung geeigneter Sicherheitsvorkehrungen für den Zugang und die Nutzung von Vermögenswerten und Aufzeichnungen.
  • Unabhängige Überprüfung der Erfassung und angemessenen Bewertung der genannten Zahlen.

Audit-Risiko

Entwicklung des Audit-Risikokonzepts

  • Der Prüfer befasst sich mit Kontoständen.
  • Angesichts der Komplexität des Unternehmens kann der Prüfer nicht alle Bestände prüfen.
  • Aus diesem Grund zieht er es vor, Validierungen der internen Kontrolle zu bewerten, um seine Prüfung zu rationalisieren.
  • Allerdings bleibt sein Fokus auf den Guthaben.
  • Offensichtlich verbringt der Prüfer viel Zeit damit, etwas (interne Kontrolle) zu überprüfen, zu dem er keine Meinung abgibt, was ein gewisses Risiko birgt.

Klassifizierung der Audit-Risiken

Die klassische Sichtweise begrenzt Audit-Risiken auf drei Arten:

  • Kontrollrisiko (bezogen auf das interne Kontrollsystem)
  • Inhärentes Risiko (bezogen auf die Art des Geschäfts)
  • Entdeckungsrisiko (im Zusammenhang mit der Durchführung des Audits)

(Referenz: ISA 312)

Risikobewertung im Audit

Die erste Regel für die Durchführung der Arbeit erfordert, dass die Prüfung ordnungsgemäß geplant wird. Während der Planungs- und Ausführungsphase der Prüfung trifft der Prüfer viele Entscheidungen, die von der umfassenden Strategie bis zu den Details besonderer Prüfungshandlungen und deren Umsetzung reichen. Bei jeder dieser Entscheidungen ist der wichtigste Faktor die Beurteilung der vorherrschenden Risiken, die möglicherweise finanzielle Auswirkungen haben. Diese Norm betont die Wichtigkeit, dass Fachleute bei der Planung das Risiko berücksichtigen, die relative Bedeutung festlegen und dann die Überprüfung der Finanzdaten in Übereinstimmung mit allgemein anerkannten Prüfstandards durchführen.

Audit-Risiko und Wesentlichkeit

Audit-Risiko und Wesentlichkeit müssen zusammen mit anderen Aspekten analysiert werden, um Art, Umfang und Zeitpunkt der Prüfungsverfahren sowie die Bewertung der Ergebnisse zu bestimmen. Das Audit-Risiko ist definiert als das Risiko, dass der Abschlussprüfer unwissentlich oder versehentlich seine Meinung zu wesentlich falschen Angaben im Jahresabschluss nicht entsprechend ändert. Dies bedeutet das Risiko, dass der Abschlussprüfer die Finanzberichte als Ganzes für korrekt hält, obwohl sie es in Wirklichkeit nicht sind.

Komponenten des Audit-Risikos

Um einen Rahmen zu schaffen, wird davon ausgegangen, dass das Audit-Risiko (das Risiko, dass der Prüfer versehentlich seine Meinung zu einem fehlerhaften Jahresabschluss nicht korrekt qualifiziert) die folgenden Komponenten hat:

1. Inhärentes Risiko

Es bezieht sich auf die Wahrscheinlichkeit des Auftretens von verzerrten finanziellen Angaben, die sich auf die Art oder Merkmale der aufgezeichneten Transaktionen oder auf menschliche, subjektive Entscheidungen beziehen, je nachdem, ob bessere oder schlechtere Ergebnisse präsentiert werden sollen.

Beispiele für inhärentes Risiko:
  • a) Bezogen auf die Art der Operation: Berücksichtigung aller Vorgänge, die ein Berechnungsverfahren erfordern, wie z.B. Neudarstellung, Abschreibungsmethoden, nach der Equity-Methode bilanzierte Unternehmen oder die Einbeziehung aller Steuertransaktionen.
  • b) Bezogen auf menschliche Faktoren: Alle Vorgänge im Zusammenhang mit Rückstellungen.

2. Kontrollrisiko

Es ist definiert als der Grad der Fähigkeit der Unternehmensleitung, Fehler bei der Erstellung von Finanzinformationen zu erkennen.

Es hängt direkt von der Qualität des vom Management implementierten internen Kontrollsystems ab. Je besser das interne Kontrollsystem geeignet ist, desto geringer ist das Kontrollrisiko. Je mehr Lücken oder Schwächen das interne Kontrollsystem aufweist, desto größer ist das Kontrollrisiko; sie sind also direkt proportional.

3. Entdeckungsrisiko

Es bezieht sich auf die Wahrscheinlichkeit, dass der Prüfer im Verlauf der Überprüfung Situationen, die die wahrheitsgetreue Darstellung des Jahresabschlusses beeinträchtigen, nicht ermittelt oder feststellt. Das Entdeckungsrisiko ist eine Funktion der Wirksamkeit eines Prüfungsverfahrens und dessen Umsetzung durch den Abschlussprüfer.

Das inhärente Risiko und das Kontrollrisiko unterscheiden sich vom Entdeckungsrisiko dadurch, dass erstere unabhängig von der Prüfung existieren, während das Entdeckungsrisiko mit den vom Abschlussprüfer durchgeführten Verfahren zusammenhängt und nach dessen Ermessen geändert werden kann.

Die Abschlussprüfung ist dynamisch und kumulativ. Wenn der Prüfer geplante Prüfungshandlungen durchführt und Beweise erhält, kann dies zu Änderungen in Art, Zeitpunkt und Umfang weiterer geplanter Verfahren führen. Ja, in bestimmten Situationen kann es erforderlich sein, dass der Abschlussprüfer die vorgesehenen Prüfungsverfahren neu bewertet.

Es ist wichtig zu analysieren, dass das Entdeckungsrisiko in einer inversen Beziehung zum inhärenten Risiko und Kontrollrisiko steht. Je niedriger das inhärente Risiko und das Kontrollrisiko sind, die der Prüfer annimmt, desto höher ist das Entdeckungsrisiko, das er akzeptieren kann. Im Gegensatz dazu, je größer das inhärente Risiko und das Kontrollrisiko sind, die der Prüfer annimmt, desto geringer ist das Entdeckungsrisiko, das er akzeptieren kann.

Prüfung der Internen Kontrollstruktur für ein Audit

Es ist notwendig, dass der Abschlussprüfer Kenntnis aller Komponenten des internen Kontrollsystems erwirbt, um seine Prüfung des Jahresabschlusses zu planen. Diese Kenntnisse umfassen: die Entwicklung von Strategien, Verfahren und einschlägigen Unterlagen zu prüfen und festzustellen, inwieweit das Unternehmen diese in Betrieb genommen hat.

Bei der Planung der Prüfung sollte dieses Wissen für folgende Zwecke verwendet werden:

  • Mögliche Fehlerarten identifizieren.
  • Risikofaktoren berücksichtigen.
  • Umfassende Prüfungen gestalten.

Es gibt Zeiten, in denen das Verständnis des Prüfers über die Struktur des internen Kontrollsystems Zweifel an der Fähigkeit zur Beurteilung der Abschlüsse eines Unternehmens aufkommen lassen könnte.

Bedenken hinsichtlich der Ehrlichkeit des Managements könnten schwerwiegend sein und den Fachmann zu dem Schluss führen, dass das Risiko falscher Behauptungen des Managements in den Abschlüssen so hoch ist, dass eine Rechnungsprüfung nicht mehr praktikabel ist. Bedenken hinsichtlich der Art und Ausführlichkeit der Aufzeichnungen eines Unternehmens können dazu führen, dass es in den Prüfungsberichten des Abschlusses nicht möglich ist, die entsprechenden Nachweise zur Unterstützung einer Stellungnahme zum Jahresabschluss zu erhalten.

Verständnis der Internen Kontrollstruktur

Bei der Abgabe einer Stellungnahme, die auf einem Verständnis der internen Kontrollstruktur basiert, berücksichtigt der Prüfer:

  • Einflussfaktoren auf die Gestaltung umfassender Prüfungen.
  • Ergebnisse früherer Audits.
  • Verständnis der Branche, in der das Unternehmen tätig ist.
  • Seine Einschätzung des inhärenten Risikos.
  • Seine Beurteilung der Bedeutung, Komplexität und Raffinesse der Operationen.
  • Die Systeme des Unternehmens.
  • Wissen aus anderen Quellen über die Art der Fehler, die auftreten könnten.
  • Das Risiko, dass solche Fehler auftreten.

Da Operationen und organisatorische Systeme immer komplexer und differenzierter werden, muss möglicherweise mehr Aufmerksamkeit den Elementen des internen Kontrollsystems gewidmet werden: der Kontrollumgebung, der Buchführung und den Kontrollverfahren. Es ist notwendig, ein ausreichendes Verständnis dieser zu erlangen, um wirksame umfassende Prüfungen zu gestalten.

Der Wirtschaftsprüfer muss bestimmte Verfahren durchführen, die ihm ein breiteres Verständnis für die Ziele und Verfahren des internen Kontrollsystems ermöglichen. Dies dient dazu, ausreichende Kenntnisse über die Entwicklung von Strategien, Verfahren und Aufzeichnungen für jedes der drei Elemente der internen Kontrollstruktur zu erhalten und festzustellen, ob diese in Betrieb sind.

Dieses Wissen wird in der Regel durch Erfahrungen im Unternehmen und Verfahren wie z.B. gewonnen:

  • Anfragen bei Führungskräften, Supervisoren und Verwaltungsmitarbeitern.
  • Überprüfung von Dokumenten und Geschäftsunterlagen.
  • Beobachtung der Aktivitäten und Operationen des Unternehmens.

Art und Umfang der durchzuführenden Verfahren variieren von Unternehmen zu Unternehmen und hängen ab von: der Größe und Komplexität des Unternehmens, den bisherigen Erfahrungen des Wirtschaftsprüfers, der Art einer Richtlinie oder eines Verfahrens und der von der Organisation erhaltenen Dokumentation, Richtlinien und Verfahren.

Der Prüfer sollte das gewonnene Verständnis der Elemente der internen Kontrollstruktur des Unternehmens im Prüfplan dokumentieren. Die Art der Dokumentation hängt von der Größe und Komplexität des Unternehmens ab. Zum Beispiel müssen in einem großen Unternehmen die Unterlagen Flussdiagramme, Fragebögen und Entscheidungstabellen umfassen. Für eine kleine Einheit kann eine Dokumentation in Form eines Memorandums ausreichend sein. Generell gilt: Je komplexer die interne Kontrollstruktur und die Verfahren sind, desto umfangreicher sollte die Dokumentation des Prüfers sein.

Interne Kontrolle und Organisation

  • Zuständigkeiten und Befugnisse sollten schriftlich klar definiert sein, z.B. in Handbüchern und Organigrammen.
  • Es muss Unabhängigkeit zwischen den Sektoren bestehen, die die Genehmigung, Durchführung und Kontrolle von Vorgängen sowie die Verwahrung von an Operationen beteiligten Vermögenswerten betreffen.
  • Die Anzahl der Untergebenen unter der Autorität des einzelnen Managers, Abteilungsleiters oder Betreuers sollte eine wirksame Aufsicht ermöglichen.
  • Die Arbeit sollte rational eingeteilt werden.
  • Die interne Revision sollte auf höchster Ebene angesiedelt sein.

Organisationsstruktur

Die Organisationsstruktur eines Unternehmens bietet einen allgemeinen Rahmen für die Planung, Leitung und Kontrolle der Maßnahmen. Eine Organisationsstruktur umfasst die Berücksichtigung der Form und Art der organisatorischen Einheiten eines Unternehmens, einschließlich der Organisation der Datenverarbeitung und der jeweiligen Rollen und Beziehungen des Informationsmanagements. Darüber hinaus sollte die Organisationsstruktur Kompetenzen und Verantwortlichkeiten innerhalb des Unternehmens adäquat zuordnen.

Zuteilungsmethoden für Befugnisse und Zuständigkeiten

Diese Methoden betreffen das Verständnis von Beziehungen und Verantwortlichkeiten für die innerhalb des Unternehmens bereitgestellten Informationen. Die Methoden der Zuordnung von Kompetenzen und Verantwortlichkeiten sind zu berücksichtigen:

  • Die Unternehmenspolitik in Bezug auf Fragen wie akzeptable Geschäftspraktiken, Interessenkonflikte und Verhaltenskodex.
  • Die Zuordnung von Verantwortung und Delegation von Befugnissen für Themen wie organisatorische Ziele, operationelle Anforderungen und die Adressierung von Aufsichtsgremien.
  • Die Beschreibung der Mitarbeiterpositionen, in der die spezifischen Funktionen, Abhängigkeitsstufen und Verpflichtungen aufgeführt sind.
  • Die Dokumentation der EDV-Systeme, unter Angabe der Verfahren zur Genehmigung von Transaktionen und genehmigten Änderungen der Systeme.

Kontrollbereiche im Unternehmen

Die Kontrolle funktioniert in allen Bereichen und auf allen Ebenen des Unternehmens. Praktisch alle Aktivitäten eines Unternehmens unterliegen irgendeiner Form von Kontrolle oder Überwachung. Die Schwerpunkte der Kontrolle im Unternehmen sind:

Produktionsbereiche

Wenn das Unternehmen industriell tätig ist, ist der Produktionsbereich der Ort, an dem Produkte hergestellt werden. Wenn das Unternehmen ein Dienstleister ist, ist der Produktionsbereich der Ort, an dem Dienstleistungen erbracht werden. Die wichtigsten Kontrollen im Produktionsbereich sind:

  • Fertigungssteuerung: Das Hauptziel dieser Steuerung ist die Planung, Koordinierung und Umsetzung aller Maßnahmen zur Erzielung einer optimalen Leistung in der Einheit und die Bestimmung der am besten geeigneten Art, Zeit und Ort zur Erreichung der Produktionsziele und damit zur Erfüllung aller Umsatzbedürfnisse.
  • Qualitätskontrolle: Korrektur aller Abweichungen vom Standard der Produkt- oder Dienstleistungsqualität innerhalb der einzelnen Abschnitte (Ausschusskontrolle, Inspektionen usw.).
  • Kostenkontrolle: Laufende Kontrolle der Produktionskosten, sei es für Material oder Arbeit.
  • Steuerung der Produktionszeiten: Für Bediener oder Maschinen, um Verschwendung oder unnötige Wartezeiten durch Anwendung von Zeit- und Bewegungsstudien zu vermeiden.
  • Bestandskontrolle: Rohstoffe, Teile und Werkzeuge sowie fertige Baugruppen, unter anderem.
  • Produktionsablaufkontrolle: Festlegung von Routen, Software und Zubehör, unter anderem.
  • Abfallkontrolle: Bezieht sich auf die kleinste erträgliche und wünschenswerte Einstellung.
  • Wartungs- und Instandhaltungskontrolle: Maschinenstillstandszeiten, Kosten, unter anderem.

Geschäftsfeld (Vertrieb und Marketing)

Der Bereich des Unternehmens, der für den Verkauf oder die Vermarktung von Produkten oder Dienstleistungen zuständig ist.

Verkaufssteuerung

Erfasst die täglichen, wöchentlichen und monatlichen Umsätze des Unternehmens nach Kunden, Lieferanten, Region, Produkt oder Dienstleistung, um Fehler oder Störungen im Zusammenhang mit Prognosen zu identifizieren.

Wichtige Kontrollen im Bereich Umsatz können sein:

  • Nach Umsatzvolumen.
  • Nach Art der verkauften Waren.
  • Saisonale Verkäufe nach Volumen.
  • Nach dem Preis der verkauften Artikel.
  • Nach Kunden.
  • Nach Gebieten.
  • Nach Anbietern.
  • Nach produzierten Versorgungsunternehmen.
  • Nach den Kosten der verschiedenen Umsatzarten.

Werbekontrolle

Zur Begleitung der vom Unternehmen beauftragten Werbung und zur Überprüfung ihrer Ergebnisse im Umsatz.

Kostenkontrolle

Zur laufenden Überprüfung von Verkäufen und Provisionen der Verkäufer, Werbekosten, unter anderem.

Finanzbereich

Der Bereich des Unternehmens, der für finanzielle Ressourcen wie Kapital, Fakturierung, Zahlungen, Cashflow und anderes zuständig ist. Die wichtigsten Kontrollen im Finanzbereich sind wie folgt:

  • Haushaltskontrolle: Die Steuerung der erwarteten finanziellen Kosten der Abteilung, um jegliche Abweichung bei den Ausgaben zu überprüfen.
  • Kostenkontrolle: Globale Kontrolle der vom Unternehmen entstandenen Kosten, sei es Produktions-, Vertriebs- oder Verwaltungskosten (einschließlich Verwaltungskosten, Gehälter der Führung und des Managements, Leasing von Gebäuden usw.), sowie Finanzkosten wie Zinsen und Tilgung, Darlehen und andere externe Finanzierungen.

Personalbereich (Humanressourcen)

Der Bereich, der das Personal verwaltet. Die wichtigsten Kontrollen sind wie folgt:

  • Anwesenheits- und Verspätungskontrollen: Überprüfung der Zeiterfassung oder Verspätungen des Personals, entschuldigte Fehlzeiten aus medizinischen Gründen und unentschuldigte Fehlzeiten.
  • Urlaubskontrolle: Signalisierung, wann ein Mitarbeiter Urlaub nehmen muss und für wie viele Tage.
  • Gehaltskontrolle: Überprüfung der Gehälter, ihrer Anpassungen und Korrekturen, Massenentlassungen, unter anderem.

Der COSO-Ansatz (Committee of Sponsoring Organizations)

Der Ausschuss der Sponsoring Organizations der Treadway Commission (COSO) hat aufgrund der integrierten Wirtschaftswelt von heute die Notwendigkeit erkannt, Methoden und Konzepte auf allen Ebenen der verschiedenen administrativen und operativen Bereiche zu integrieren, um wettbewerbsfähig zu sein und neuen Geschäftsanforderungen gerecht zu werden. Daraus entstand ein neues Konzept der internen Kontrolle, das eine gemeinsame Struktur bietet, die im sogenannten COSO-Bericht dokumentiert ist.

Die Definition der internen Kontrolle ist der Prozess, den das Management im Hinblick auf die Beurteilung von Geschäftsprozessen mit hinreichender Sicherheit in drei Hauptkategorien durchführt: Wirksamkeit und Wirtschaftlichkeit, Zuverlässigkeit der finanziellen Berichterstattung und die Einhaltung von Richtlinien, Gesetzen und Verordnungen.

Die interne Kontrolle hat fünf Komponenten, die in allen Unternehmen umgesetzt werden können, je nach administrativen Funktionen, Größe und Betrieb. Diese Komponenten sind: Kontrollumfeld, Risikobewertung, Kontrollaktivitäten (Grundsätze und Verfahren), Informations- und Kommunikationstechnologien und schließlich die Überwachung.

COSO I: Komponenten des Internen Kontrollsystems

COSO I

KONTROLLUMGEBUNG

RISIKOBEWERTUNG

KONTROLLAKTIVITÄTEN

INFORMATION UND KOMMUNIKATION

ÜBERWACHUNG

Kontrollumgebung (COSO)

Die Kontrollumgebung umfasst alle Umstände der Maßnahmen eines Unternehmens aus der Perspektive der internen Kontrolle und setzt daher die Grundsätze der internen Kontrolle für das Verhalten und die organisatorischen Verfahren durch.

Sie ist primär eine Folge der Haltung der Geschäftsleitung, der Verwaltung und anderer Beteiligter, die die Bedeutung der internen Kontrolle und deren Auswirkungen auf die Aktivitäten und Ergebnisse widerspiegelt.

Sie gibt den Ton der Organisation vor und bietet vor allem Disziplin durch den Einfluss auf das Verhalten aller Mitarbeiter.

Sie stellt das Gerüst für die Entwicklung von Maßnahmen dar und ist daher von Bedeutung, denn als Kombination von Mitteln, Akteuren und Regeln definiert, spiegelt sie den kollektiven Einfluss verschiedener Faktoren bei der Errichtung, Stärkung oder Schwächung wirksamer Vorschriften und Verfahren in einer Organisation wider.

Die wichtigsten Faktoren der Kontrollumgebung sind:

  • Die Philosophie und der Stil der Führung und des Managements.
  • Die Struktur, der Organisationsplan, die Vorschriften und Verfahrenshandbücher.
  • Die Integrität und ethischen Werte, die Fachkompetenz und das Engagement aller Bereiche der Organisation sowie ihr Bekenntnis zu den Strategien und Zielen.
  • Die Formen der Verantwortlichkeit sowie des Managements und der Personalentwicklung.
  • Der Grad der Dokumentation von Maßnahmen und Entscheidungen und die Entwicklung von Programmen, die Ziele und Kennzahlen enthalten.

In Organisationen rechtfertigt die Existenz von Vorständen und Prüfungsausschüssen mit einem ausreichenden Maß an Unabhängigkeit und Qualifikation ihre Bedeutung.

Die vorherrschende Kontrollumgebung wird so gut, mittelmäßig oder schlecht sein, wie es die Faktoren bestimmen, die sie prägen. Die Stärke oder Schwäche der Umgebung und damit der Ton der Organisation werden in dieser Reihenfolge durch die mehr oder weniger starke Entwicklung und Exzellenz dieser Faktoren erzeugt.

Risikobewertung (COSO)

Interne Kontrolle ist in erster Linie darauf ausgelegt, die Risiken zu begrenzen, die die Aktivitäten von Organisationen beeinflussen. Durch Forschung und Analyse der relevanten Risiken und des Ausmaßes, in dem die aktuelle Kontrolle diese neutralisiert, wird die Anfälligkeit des Systems bewertet. Dazu müssen Kenntnisse über das Unternehmen und seine Komponenten erworben werden, um Schwachstellen zu identifizieren, die sich auf die Risiken sowohl auf Organisationsebene (intern und extern) als auch auf Aktivitätsebene auswirken.

Die Zielsetzung geht der Risikobewertung voraus. Obwohl diese nicht Bestandteil der internen Kontrolle sind, sind sie eine Voraussetzung für deren Betrieb.

Die Ziele (bezogen auf Vermögenswerte, Finanzen und Compliance) können explizit oder implizit, allgemeiner oder spezifischer Natur sein. Durch die Festlegung allgemeiner Ziele und Aktivitäten kann ein Unternehmen kritische Erfolgsfaktoren erkennen und Kriterien zur Leistungsmessung festlegen.

In diesem Zusammenhang wird daran erinnert, dass die Kontrollziele konkret und angemessen, umfassend, sinnvoll und in die globale Institution integriert sein sollten.

Einmal identifiziert, umfasst die Risikoanalyse:

  • Eine Abschätzung ihrer Bedeutung / Signifikanz.
  • Eine Beurteilung der Wahrscheinlichkeit / Häufigkeit.
  • Eine Definition des Umgangs mit dem Risiko.

Da die Bedingungen, unter denen Unternehmen operieren, in der Regel Änderungen unterliegen, sind Mechanismen zur Identifizierung und Behandlung von Risiken im Zusammenhang mit Änderungen erforderlich. Obwohl der Bewertungsprozess mit anderen Risiken vergleichbar ist, verdient das Management von Änderungen eine separate Betrachtung, da es von großer Bedeutung ist und das Potenzial hat, von den in Routineprozessen involvierten Personen unbemerkt zu bleiben.

Es gibt Situationen, die im Hinblick auf mögliche Auswirkungen besondere Aufmerksamkeit rechtfertigen können:

  • Veränderungen im Umfeld.
  • Neudefinition der institutionellen Politik.
  • Interne Reorganisationen und Umstrukturierungen.
  • Eintritt neuer Mitarbeiter oder Fluktuation bestehender Mitarbeiter.
  • Neue Systeme, Verfahren und Technologien.
  • Beschleunigung des Wachstums.
  • Neue Produkte, Aktivitäten oder Funktionen.

Mechanismen zur Vorbeugung, Erkennung und Handhabung von Änderungen sollten zukunftsorientiert sein, sodass die bedeutendsten Fortschritte durch Alarmsysteme mit Plänen für ein angemessenes Vorgehen bei Abweichungen ergänzt werden.

Kontrollaktivitäten (COSO)

Bestehend aus besonderen Verfahren, die als Absicherung für die Umsetzung der festgelegten Ziele dienen, in erster Linie zur Verhütung und Neutralisierung von Risiken.

Kontrollaktivitäten werden auf allen Ebenen der Organisation und in jeder Phase der Verwaltung umgesetzt, basierend auf der Entwicklung einer Risikolandkarte, wie im vorherigen Punkt dargelegt: Mit dem Wissen über die Risiken werden Kontrollen angeordnet, um diese zu vermeiden oder zu minimieren, die je nach Zielsetzung des Unternehmens, mit denen sie verbunden sind, in drei Kategorien gruppiert werden können:

  • Die Operationen
  • Die Zuverlässigkeit der finanziellen Berichterstattung
  • Die Einhaltung von Gesetzen und Verordnungen

In vielen Fällen helfen Kontrollaktivitäten, die für einen Zweck entwickelt wurden, oft auch anderen Zwecken: operative Kontrollen können zur Zuverlässigkeit der Finanzberichterstattung beitragen, diese wiederum zur Einhaltung gesetzlicher Vorschriften und so weiter.

Gleichzeitig gibt es in jeder Kategorie verschiedene Arten von Kontrollen:

  • Präventive / Korrektive
  • Manuelle / Automatisierte oder computergestützte
  • Führungs- oder Exekutive

Auf allen Ebenen der Organisation sind Überwachungsaufgaben vorhanden, und wir müssen die einzelnen Akteure kennen, denen diese obliegen, und sie eindeutig für solche Funktionen benennen.

Der folgende Abschnitt zeigt eine umfassende Palette von Kontrollaktivitäten, die jedoch nicht alle gleich sind:

  • Analysen, die vom Management durchgeführt werden.
  • Überwachung und Überprüfung durch die Leiter der verschiedenen Funktionen oder Tätigkeiten.
  • Überprüfung von Transaktionen auf Richtigkeit, Vollständigkeit und entsprechende Genehmigung, Zulassungen, Bewertungen, Vergleiche, Neuberechnungen, Konsistenzanalysen, Vornummerierung.
  • Physische Kontrollen von Vermögenswerten: Sicherung, Übertragungen, Zählungen.
  • Sicherheitsvorrichtungen für den Zugriff auf Vermögenswerte und Aufzeichnungen.
  • Trennung von Aufgaben.
  • Verwendung von Leistungsindikatoren.

Es ist notwendig, die Bedeutung einer guten Steuerung der Informationstechnologien zu betonen, da sie eine grundlegende Rolle in der Verwaltung spielen und sich auf das Rechenzentrum, die Beschaffung, Ausführung und Wartung von Software, den Sicherheitszugang zu Systemen von Entwicklungsprojekten und die Wartung von Anwendungen erstrecken.

Gleichzeitig erfordern technologische Fortschritte eine professionelle und proaktive Reaktion der Steuerung.

Information und Kommunikation (COSO)

So wie es notwendig ist, dass alle Akteure wissen, welche Rolle sie in der Organisation spielen sollen (Rollen, Verantwortlichkeiten), ist es wichtig, regelmäßig und rechtzeitig Informationen zu erhalten, die es ihnen ermöglichen, ihre Maßnahmen im Einklang mit anderen Führungskräften zu koordinieren, um die bestmögliche Zielerreichung zu gewährleisten.

Die Informationen müssen gesammelt, verarbeitet und übertragen werden, sodass sie rechtzeitig in allen Sektoren ankommen, um die individuelle Verantwortung zu übernehmen.

Operative Informationen, Finanz- und Compliance-Informationen bilden ein System, das die Verwaltung, Durchführung und Kontrolle von Vorhaben ermöglicht.

Es besteht nicht nur aus intern generierten Daten, sondern auch aus solchen, die aus Aktivitäten und externen Voraussetzungen für die Entscheidungsfindung stammen.

Informationssysteme identifizieren, erheben, verarbeiten und verbreiten Informationen in Bezug auf interne und externe Ereignisse oder Aktivitäten, oft als Überwachungsinstrumente durch dafür vorgesehene Routinen.

Es ist jedoch wichtig, ein Informationssystem aufrechtzuerhalten, das mit den institutionellen Bedürfnissen im Rahmen eines ständigen und sich rasch entwickelnden Wandels im Einklang steht. Deshalb sollten Indikatoren angepasst werden, die zwischen Alarm- und täglichen Berichten unterscheiden, um strategische Initiativen und Aktivitäten zu unterstützen, indem rein finanzielle Systeme mit anderen Operationen integriert werden, um besser überwachen und kontrollieren zu können.

Da das Informationssystem die Fähigkeit des Managements beeinflusst, Managemententscheidungen zu treffen, ist die Kontrolle der Qualität desselben von großer Bedeutung und betrifft unter anderem die Aspekte Inhalt, Aktualität, Richtigkeit und Zugänglichkeit.

Kommunikation ist Informationssystemen inhärent. Die Menschen sollten die aktuellen Führungs- und Kontrollaufgaben kennen. Jede Rolle muss klar angegeben werden, wobei Aspekte der Verantwortlichkeit des Einzelnen innerhalb des Systems der internen Kontrolle verstanden werden.

Mitarbeiter müssen auch wissen, wie ihre Aktivitäten mit der Arbeit anderer zusammenhängen, welche Verhaltensweisen erwartet werden und auf welche Weise sie die relevanten Informationen übermitteln sollen, die sie erzeugen.

Die Berichte sollten ordnungsgemäß durch effektive Kommunikation übertragen werden. Dies umfasst im weitesten Sinne einen multidirektionalen Informationsfluss: aufsteigend, absteigend und quer.

Die Existenz offener Kommunikation und eine klare Bereitschaft der Führungskräfte zuzuhören ist lebenswichtig.

Neben einer guten internen Kommunikation ist eine wirksame externe Kommunikation wichtig, die den Fluss aller notwendigen Informationen fördert. In beiden Fällen ist es wichtig, wirksame Mittel zu haben, innerhalb derer die Politik so wichtig ist wie Handbücher, Berichte, die Verbreitung institutioneller, formeller und informeller Kanäle. Entscheidend ist die Haltung, die die Führung im Umgang mit Untergebenen einnimmt. Ein Unternehmen mit einer Geschichte der Integrität und einer starken Kontrollkultur wird keine Schwierigkeiten haben, dies zu kommunizieren. Taten sagen mehr als Worte.

Überwachung (COSO)

Es ist die Existenz einer geeigneten und wirksamen internen Kontrollstruktur zu adressieren, zu überprüfen und regelmäßig zu aktualisieren, um ein angemessenes Niveau aufrechtzuerhalten. Eine entsprechende Evaluierung der Kontrollaktivitäten der Systeme im Laufe der Zeit ist notwendig, da jede Organisation sich entwickelt und Kontrollen verstärkt oder ersetzt werden müssen, wenn sie ihre Wirksamkeit verloren haben oder nicht mehr anwendbar sind. Die Ursachen dafür sind in internen und externen Veränderungen im Management zu finden, die sich auf veränderte Umstände und neue Risiken beziehen.

Ziel ist es, sicherzustellen, dass die interne Kontrolle ordnungsgemäß funktioniert, durch zwei Arten der Überwachung: laufende Aktivitäten oder spezifische Beurteilungen.

Die ersten sind diejenigen, die in die normalen, wiederkehrenden Tätigkeiten integriert sind, die in Echtzeit ablaufen und im Management verankert sind, und die dynamische Reaktionen auf hinzukommende Umstände erzeugen.

In Bezug auf Evaluierungen sind folgende Überlegungen anzustellen:

  • a) Umfang und Häufigkeit: Werden durch die Art und das Ausmaß der Veränderungen und Risiken, die Fähigkeiten und Erfahrungen bei der Umsetzung der Kontrollen und die Ergebnisse der kontinuierlichen Überwachung bestimmt.
  • b) Durchführung: Erfolgt durch die Verantwortlichen der Managementbereiche (Selbstbewertung), die interne Revision (im Rahmen der Planung oder auf besonderen Wunsch der Verwaltung) und externe Prüfer.
  • c) Prozess: Bildet sich in einem Prozess, in dem, obwohl die Ansätze und Techniken variieren, entsprechende Disziplin und zwingende Grundsätze maßgebend sind.

Der Evaluator hat die Aufgabe zu prüfen, ob der eigentliche Betrieb des Systems, die vorhandenen und formalisierten Kontrollen, die täglich routinemäßig angewendet werden, für den beabsichtigten Zweck geeignet sind.

  • d) Methodik: Reagiert auf eine bestimmte Methodik, Techniken und Werkzeuge, um die Wirksamkeit direkt oder durch Vergleich mit anderen bewährten Kontrollen zu messen.
  • f) Aktionsplan: Umfasst die Feststellung von:
    • Der Umfang der Beurteilung.
    • Aktivitäten der bestehenden kontinuierlichen Überwachung.
    • Die Aufgabe der internen und externen Revisoren.
    • Bereiche oder Themen mit dem höchsten Risiko.
    • Programm für Evaluierungen.
    • Bewertung, Methoden und Werkzeuge zur Steuerung.
    • Präsentation der Ergebnisse und Unterlagen.
    • Nachverfolgung zur Verabschiedung der notwendigen Korrekturen.

Mängel oder Schwächen in der internen Kontrolle, die durch die verschiedenen Überwachungsverfahren festgestellt werden, sollten hinsichtlich ihrer Auswirkungen kommuniziert werden, um die Annahme geeigneter Anpassungsmaßnahmen zu ermöglichen.

Je nach den Auswirkungen der Beeinträchtigungen können die Empfänger der Informationen sowohl die Verantwortlichen für die Funktion oder Tätigkeit als auch höhere Behörden sein.

Karma: -30%
Besuche: 0

Verwandte Einträge:

Tags:
buchungssystem nsk +kontrollumgebung +coso NSK Buchungssystem compliance +coso kontrollumfeld prenummeriert bedeutung