Das Interne Kontrollsystem nach FISG: Anforderungen und Möglichkeiten der Automatisierung

Digitalisierung & Innovation

Die Bundesregierung hat als Reaktion auf den Fall Wirecard am 28. Mai 2021 das Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz, FISG) beschlossen. Daraus ergeben sich viele Neuerungen für börsennotierte Unternehmen, u. a. auch die Pflicht, ein angemessenes und wirksames Internes Kontrollsystem (IKS) und Risikomanagementsystem zu etablieren, die in § 91 Abs. 3 AktG festgesetzt wird.

Bisher war dies nur in bestimmten Branchen verpflichtend, nun besteht das Erfordernis branchenunabhängig. Was müssen Unternehmen beim Aufbau und der Entwicklung eines solchen IKS beachten? Wie gehen sie dabei am besten vor? Wie lassen sich Kontrollen automatisieren? Wir haben die wichtigsten Informationen zusammengefasst.

Warum ist ein unternehmensweites IKS sinnvoll?

Steigende regulatorische Anforderungen und die zunehmende digitale Transformation stellen Unternehmen vor große Herausforderungen. So wird es immer schwieriger, sowohl von prozessualer als auch von organisatorischer Seite den Überblick über den Gesamtkontext zu wahren und alle Regelungen einzuhalten.

Das IKS stellt in diesem dynamischen Umfeld sicher, dass das Unternehmen rechtskonform wirtschaftet, die Geschäftsleitung entsprechend handelt und entscheidet. Kriminelle Handlungen, Fehler und eintretende Risiken können so aufgedeckt, eingegrenzt oder teilweise vermieden werden.

Wie sollte ein angemessenes und wirksames IKS aussehen?

Der Gesetzgeber definiert die Pflicht des Internen Kontrollsystems lediglich als angemessen und wirksam. Eine genaue Ausgestaltung des Aufbaus und Inhaltes geschieht nicht, es wird vielmehr auf das Ermessen des Vorstands verwiesen.

Für das Unternehmen stellt sich also die Frage, wann ein IKS als wirksam angesehen werden kann. Laut Referentenentwurf des Gesetzestextes ist das dann der Fall, wenn ein IKS den Eintritt eines Risikos aufdeckt. Es muss nicht zwingend den Eintritt verhindern. Es bietet somit die Möglichkeit, rechtzeitig gegenzusteuern.

Entscheidend für die Angemessenheit und Wirksamkeit sind also die Rahmenbedingungen des Unternehmens. Das IKS muss auf die Bedürfnisse individuell angepasst werden und sollte laufend optimiert werden.

Ein Lösungsansatz ist die Betrachtung der Wesentlichkeit der unternehmensweit vorhandenen Prozesse. Im Zuge einer Top-down-Betrachtung lassen sich die für die Geschäftstätigkeit wesentlichen Prozesse identifizieren und für das spätere IKS abgrenzen.

So kann das Unternehmen sich der Angemessenheit des Umfangs des IKS nähern.

Wie kann ein bestehendes IKS transformiert werden?

Um das bestehende IKS im Unternehmen zu überprüfen und nach den neuesten Regularien aufzubauen, empfehlen wir Ihnen, in mehreren Schritten vorzugehen:

  1. Aufnahme des Ist-Zustandes

    Bei der Aufnahme des Ist-Zustandes geht es darum, alle vorhandenen Dokumentationen zu Prozessen, Risiken und Kontrollen aufzunehmen und zu strukturieren. Hierzu zählen auch die Aufbau- und Ablauforganisation, die Governance- und Risikomanagement-Leitlinie sowie ggf. Abhängigkeiten zu Konzerngesellschaften.

  2. Aufnahme des Soll-Zustandes, z. B. anhand eines IKS-Frameworks

    Zur Gegenüberstellung des Ist-Zustandes muss ein Entwurf einer optimalen IKS-Umgebung geschaffen werden. Als Grundlage hierzu können Frameworks dienen. Diese sollten Sie jedoch zwingend an die individuellen Gegebenheiten Ihres Unternehmens anpassen.

  3. Gap-Analyse

    Durch die Zusammenführung der Soll- und der Ist-Analyse werden die bestehenden Defizite aufgedeckt und der Handlungsbedarf identifiziert. Eine strukturierte Dokumentation bietet den Ansatzpunkt für das weitere Vorgehen.

  4. Neuaufbau/Ausbau des bestehenden IKS

    Anhand der gewonnenen Erkenntnisse der Gap-Analyse können Sie nun das IKS auf- und ausbauen. Optimalerweise erfolgt die gesamte Dokumentation der Prozesse, Risiken und Kontrollen in einem übergreifenden IT-Tool. Hier lassen sich Prozesse, Risiken und Kontrollen definieren, zuordnen und miteinander vernetzen.

  5. Automatisierung der Kontrollen

    Durch die Nutzung eines IT-Tools, wie z. B. Signavio können Sie regelmäßige Kontrollen einfach automatisieren. So sparen Sie einerseits Arbeitszeit und schaffen andererseits ein sicheres Kontrollinstrument, da automatisierte Prüfungen weniger fehleranfällig als manuelle Prozesse sind.

    Vorab definierte Kontrollintervalle können Sie einfach festlegen, anstoßen und deren Wirksamkeit über eine automatisch generierte Berichterstattung überprüfen. Tasks und Informationen für Prozessverantwortliche werden automatisiert zugewiesen und können nachverfolgt werden.

    Der Grad der Automatisierung lässt sich hier auch individuell anpassen. Das Ergebnis ist ein effizientes und transparentes Internes Kontrollsystem.

  6. Audit

    Zum Abschluss des Transformationsprozesses empfehlen wir Ihnen ein risikoorientiertes Audit des neu entwickelten IKS. So können Sie in Korrelation mit den vorgenommenen Anpassungen die Wirksamkeit und Angemessenheit der Kontrollen prüfen.

Etablierung eines kontinuierlichen Optimierungsprozess


Durch die Einrichtung eines kontinuierlichen Prüfungs- und Optimierungsprozesses können Unternehmen regelmäßig auf wachsende Anforderungen, Gesetzesänderungen und technologischen Fortschritt reagieren. Der Aufwand der Optimierung wird gegenüber einer einmaligen Anpassung gering gehalten.

Das Interne Kontrollsystem ist stets gesetzeskonform, auf dem neuesten Stand und vorhandene Automatisierungspotenziale werden ständig ausgeschöpft.

Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, Twitter und XING.

Wir freuen uns auf den Austausch mit Ihnen!

Kommentare

Antwort

Ihre E-Mail Adresse wid nicht veröffentlicht. Pflichtfelder sind markiert*.