Internes Kontrollsystem: Überwachung durch die Abschlussprüfung?

Reform & Debatte
15. April 2025

Es ist ein weitverbreitetes Missverständnis: Selbst Führungskräfte sind oft der Meinung, dass Abschlussprüfer*innen das interne Kontrollsystem (IKS) überwachen. Doch diese Annahme ist nicht nur falsch, sie kann auch zu Sicherheitslücken führen. Wir zeigen, wo Prüfer*innen dennoch zum Einsatz kommen – und was eine effektive Kontrolle ausmacht.

Es ist die Aufgabe von Abschlussprüfern*innen, den Jahresabschluss und gegebenenfalls den Lagebericht eines Unternehmens unabhängig und objektiv zu prüfen. Sie kontrollieren, ob der Jahresabschluss den gesetzlichen Vorgaben, den geltenden Rechnungslegungsstandards und den Grundsätzen ordnungsgemäßer Buchführung entsprechen. Hierbei analysieren die Prüfer*innen zwar auch das IKS, aber nur diejenigen Aspekte, die sich auf das rechnungslegungsrelevante interne Kontrollsystem beziehen. Stellen sie hierbei Schwächen fest, weisen sie die Unternehmensleitung in einem Management Letter und gegebenenfalls im Prüfungsbericht darauf hin. Im Einzelfall können wesentliche Mängel auch Auswirkungen auf den Bestätigungsvermerk haben – etwa, wenn sich die rechnungslegungsrelevanten Kontrollen als unzureichend herausstellen. Die Wirksamkeit des gesamten IKS eines Unternehmens kontrollieren Wirtschaftsprüfer*innen beim Audit aber nicht.

Dennoch besteht in vielen Unternehmen die Annahme, dass Abschlussprüfer*innen nicht nur die finanzielle Berichterstattung, sondern auch das gesamte interne Kontrollsystem überwachen. Diese Fehleinschätzung ist weit verbreitet und kann zu erheblichen Risiken führen. Börsennotierte Unternehmen sind dazu verpflichtet, ein IKS einzurichten und dieses auf seine Wirksamkeit hin zu kontrollieren. Gehen sie fälschlicherweise davon aus, ihre Abschlussprüfer*innen hätten diese Aufgabe bereits erledigt, erfüllen sie die gesetzlichen Anforderungen nicht. Gleichzeitig laufen sie Gefahr, dass ihr IKS unzureichend funktioniert – das kann Folgen für die Sicherheit und Effizienz des Unternehmens haben. Um diese Risiken zu verstehen, müssen wir uns zunächst die Bedeutung der Kontrollsysteme näher ansehen.

Bedeutung des internen Kontrollsystems

Im Juli 2021 ist das Finanzmarktintegritätsstärkungsgesetz (FISG) in Kraft getreten. Damit hat der Gesetzgeber insbesondere auf Schwachstellen reagiert, die durch den Zusammenbruch von Wirecard zutage getreten sind. Eine Maßnahme mit denen das FISG ähnliche Fälle verhindern will, ist die Verpflichtung für börsennotierte Unternehmen, interne Kontrollsysteme und entsprechende Mechanismen zu ihrer Überprüfung einzurichten.

Ein IKS hat im Wesentlichen drei Funktionen: Erstens soll es auf eine effiziente Wirtschaftlichkeit der Unternehmen hinwirken. Zweitens soll es die Ordnungsmäßigkeit und Verlässlichkeit der internen und externen finanziellen sowie nichtfinanziellen Berichterstattung gewährleisten. Das heißt: Auch die immer wichtiger werdende Nachhaltigkeitsberichterstattung braucht interne Kontrollen, um die teils sehr heterogenen Daten, die in die Berichterstattung einfließen, zu validieren und auf ihre Richtigkeit zu überprüfen. Bei der Erteilung eines Prüfvermerks mit hinreichender Sicherheit für die Nachhaltigkeitsberichterstattung werden diese Kontrollen auch getestet. Das dritte Ziel des IKS ist es, die Einhaltung der maßgeblichen rechtlichen Vorschriften durch die Unternehmen zu gewährleisten. Damit zielt das IKS darauf ab, Effizienz, Transparenz, Sicherheit und Compliance des Unternehmens zu sichern.

Die Überwachungspflicht des Aufsichtsrats

Aufgrund der hohen Bedeutung des IKS hat der Gesetzgeber die Überwachungspflicht in den Unternehmen beim Aufsichtsrat bzw. beim Prüfungsausschuss verortet. Laut Aktiengesetz muss sich das Gremium regelmäßig proaktiv über die Funktionsweise des IKS informieren. Anlaufstelle hierfür sind die Interne Revision oder das Risikomanagement, da diese Abteilungen kontinuierlich Audits durchführen und Schwachstellen im IKS aufdecken. Sollte der Aufsichtsrat/Prüfungsausschuss durch die Kommunikation mit diesen Stellen zu dem Schluss kommen, dass das IKS den gesetzlichen Anforderungen nicht genügt, ist er zum Handeln verpflichtet. In diesem Fall muss er den Vorstand auffordern, Maßnahmen zu ergreifen, um die Missstände zu beseitigen und die Funktionen des IKS zur optimieren.

Risiko-Kontroll-Matrix schafft Transparenz

Die Überwachung eines IKS ist keine einmalige, punktuelle Angelegenheit, sondern muss als fortlaufender Prozess verstanden werden. Die Zusammenarbeit zwischen gesetzlichen Vertretern, Aufsichtsrat/Prüfungsausschuss und Interner Revision ist entscheidend, um die langfristige Wirksamkeit des Systems sicherzustellen. Basis dieses Prozesses sollte die Erstellung einer Risiko-Kontroll-Matrix (RKM) für die wesentlichen Kernprozesse des Unternehmens sein. In einem solchen Dokument werden den potenziellen Unternehmensrisiken, Maßnahmen gegenübergestellt, mit denen das Unternehmen diesen Risiken begegnen kann.

Die gesetzlichen Vertreter sind für die Aufstellung der RKM in den wesentlichen Kernprozessen verantwortlich. Hierzu gehören unter anderem die Bereiche Beschaffung, Produktion, Absatz, Personal, Steuern, Finanzen und Rechnungslegung. In einem ersten Schritt sollten sie dafür eine Risikobeurteilung aufsetzen. Aus diesem Dokument gehen die potenziellen Gefahren und Bedrohungen hervor, gegen die sich das Unternehmen wappnen muss. Im Anschluss entwickeln die Verantwortlichen das Design der notwendigen Kontrollen und implementieren diese. Schließlich ist es ihre Aufgabe, die Kontrollen in regelmäßiger Folge auf ihre Wirksamkeit zu überprüfen.

Ein Beispiel aus dem Bereich „Absatz“: Umsatzerlöse dürfen nach deutschen Rechnungslegungsgrundsätzen nur realisiert werden, wenn die Lieferung tatsächlich erbracht wurde und die Verantwortung für die Ware damit auf den Kunden übergegangen ist. Die korrekte Erfassung der Umsatzerlöse ist damit als risikobehaftet einzuschätzen. Entsprechend sollten die Verantwortlichen diese Thematik in der RKM aufgreifen und Kontrollen einführen, die sicherstellen, dass der Erlös sachgerecht und in der korrekten Periode ausgewiesen wird.

Neben den möglichen Bedrohungsszenarien müssen die Vorstandsmitglieder auch die auf sie bezogenen Kontrollmaßnahmen beschreiben und dokumentieren. Hierbei gilt es aufzuzeigen, inwiefern die einzelnen Maßnahmen geeignet sind, um der identifizierten Schwachstelle konkret zu begegnen. Eine präzise Dokumentation der Kontrollen und der Art und Weise ihrer Handhabung ist eine unerlässliche Voraussetzung für die Evaluierung des IKS.

Mehr Sicherheit durch Wirtschaftsprüfer*innen

Ausgangsbasis für die Wirksamkeitsprüfung des IKS bildet die bereits erwähnte Risiko-Kontroll-Matrix. Die Aufbau- und Funktionsprüfung der RKM kann entweder durch die interne Revision des Unternehmens oder einen externen Dritten erfolgen. Bei der Vergabe der Prüfung nach außen kommen oft Wirtschaftsprüfer*innen zum Einsatz – wenngleich nicht in ihrer Rolle als Abschlussprüfer*innen. Aufgrund ihrer prüferischen Expertise und ihrer arbeitsethischen Verpflichtung zu Werten wie Unabhängigkeit und Objektivität dürfte eine IKS-Wirkungskontrolle durch Wirtschaftsprüfer*innen das höchste Maß an Sicherheit mit sich bringen. Das Institut der Deutschen Wirtschaftsprüfer (IDW) hat einen Standard (PS 982) für eine freiwillige IKS-Prüfung entwickelt. Der IDW PS 982 geht über die IKS-Prüfung bei der Jahresabschlussprüfung hinaus und sieht ein gesondertes Prüfungsurteil vor. Der Aufsichtsrat kann dieses Testat nutzen, um das IKS im eigenen Unternehmen zu evaluieren.

Fazit: IKS-Überwachung erfordert dauerhaften Prozess

Das IKS bildet die Grundlage für die Sicherheit und Effizienz der Unternehmensführung. Die Verantwortung für seine Überwachung liegt klar beim Aufsichtsrat bzw. Prüfungsausschuss und ist nicht Gegenstand der Jahresabschlussprüfung. Dennoch sind Wirtschaftsprüfer*innen gut geeignet, die Wirksamkeit der Systeme als externe Dritte zu auditieren. Die Kontrolle des IKS ist aber keine einmalige Angelegenheit, sondern muss als fortlaufender Prozess verstanden werden. Die Zusammenarbeit zwischen Vorstand, Aufsichtsrat/Prüfungsausschuss und internen oder externen Prüfer*innen ist entscheidend, um eine nachhaltige Wirksamkeit des internen Kontrollsystems sicherzustellen.

Für weitere Themen rund um die Wirtschaftsprüfung und Forvis Mazars folgen Sie uns auch auf LinkedIn.

Das könnte Sie auch interessieren
Banken: Bessere Stabilität durch unabhängige Beobachter*innen

Banken: Bessere Stabilität durch unabhängige Beobachter*innen

Banken müssen sich schon heute auf die Krisen von morgen vorbereiten. Insbesondere eine stetig optimierte Abwicklungsfähigkeit soll Staatshilfen beim nächsten Crash vermeiden. Um ihre Ziele zu erreichen, setzen die Institute auf unabhängige Beobachter*innen. Vor allem Wirtschaftsprüfer*innen eignen sich für die Rolle der „Independent Observers“. Banken spielen für die Stabilität des Finanzsystems eine zentrale Rolle. Sie […]

Weiterlesen
Nachhaltigkeit braucht Kontrolle

Nachhaltigkeit braucht Kontrolle

Die Corporate Sustainability Reporting Directive (CSRD) verlangt von den Unternehmen eine hohe Qualität bei der Nachhaltigkeitsberichterstattung. Dafür ist die Einrichtung eines internen Kontrollsystems für ESG-Themen erforderlich. Gibt es Unterschiede zum IKS für die Finanzberichterstattung? Wie gelingt der Aufbau des neuen Systems? Mit der Verabschiedung der CSR-Richtlinie wird ein neues Kapitel der Unternehmensberichterstattung aufgeschlagen. So erhalten […]

Weiterlesen
LSI-Stresstest: Europäische Banken im Härtetest

LSI-Stresstest: Europäische Banken im Härtetest

Der LSI-Stresstest 2024 beleuchtet die Widerstandsfähigkeit kleiner und mittlerer Banken in Europa gegenüber ökonomischen Schocks. Wir zeigen, was es mit diesem Stresstest auf sich hat und was die Ergebnisse bedeuten – auch für die Abschlussprüfung. Was macht Institute besonders robust? Ein Einblick in die Stabilität des Bankensektors. Seit 2013 führt die Deutsche Bundesbank gezielt Stresstests […]

Weiterlesen
Zahlen im Rampenlicht: Prüfer*innen auf der Hauptversammlung

Zahlen im Rampenlicht: Prüfer*innen auf der Hauptversammlung

Abschlussprüfer*innen nehmen nicht zwingend an der Hauptversammlung ihrer Mandanten teil. Rechnen Vorstand und Aufsichtsrat mit Fragen, kann es aber sinnvoll sein, sie hinzuzuziehen. Im Interview erklärt Patrick Riedel, Partner bei Forvis Mazars, was es hierbei zu beachten gilt. Welche Rolle spielen Jahresabschluss und Prüfungsbericht auf der Hauptversammlung? Patrick Riedel: Auf der Hauptversammlung stellt der Vorstand […]

Weiterlesen
Bilanzierung von CO2-Emissionen: Was heißt das für Unternehmen?

Bilanzierung von CO2-Emissionen: Was heißt das für Unternehmen?

Die EU hat sich verpflichtet, den Ausstoß ihrer Treibhausgase (THG) bis 2030 um 55 Prozent gegenüber 1990 zu reduzieren. Um dieses Ziel zu erreichen, müssen auch die Unternehmen ihren Beitrag leisten. Die Corporate Sustainability Reporting Directive (CSRD) verpflichtet sie daher, ab 2025 ihre THG-Emissionen zu bilanzieren – und prüfen zu lassen. Die großen deutschen Unternehmen […]

Weiterlesen
BaFin wendet EBA-Leitlinie zur Gesamtsanierungskapazität an

BaFin wendet EBA-Leitlinie zur Gesamtsanierungskapazität an

Die Finanzaufsicht BaFin übernimmt die Leitlinien zur Gesamtsanierungskapazität der European Banking Authority (EBA). Das hat nicht nur Auswirkungen auf die Institute, die die Vorgaben in ihren Sanierungsplänen umsetzen müssen. Auch Wirtschaftsprüfer*innen sollten sich im Hinblick auf die Jahresabschlussprüfung mit der Thematik auseinandersetzen. Die Sanierungsplanung ist ein zentrales Element des Risikomanagements für Banken. Sie dient dazu, […]

Weiterlesen
Mit 7 Tipps durch die Busy Season

Mit 7 Tipps durch die Busy Season

Was Wirtschaftsprüfer*innen wirklich machen? Das ist für viele ein Buch mit sieben Siegeln. Entsprechend haben sich viele Vorurteile und Spekulationen über den Berufsstand entwickelt. Wir stellen 7 Mythen zum Thema vor – und fragen uns, ob etwas dran ist oder nicht. 1. Prüfungsprozess entzerren: In der Busy Season sind die Prüfer*innen extrem eng getaktet. Es […]

Weiterlesen
Wie prüft man Nachhaltigkeit?

Wie prüft man Nachhaltigkeit?

Durch die Corporate Sustainability Reporting Directive (CSRD) fällt Wirtschaftsprüfer*innen ein neuer Aufgabenbereich zu: die Prüfung der Nachhaltigkeitsberichte aus den Unternehmen. Doch welche Kenntnisse braucht es dazu? Welche Fortbildungsmöglichkeiten gibt es? Das erklärt die ESG-Audit-Expertin Yvonne Meyer im Interview. Die CSR-Richtlinie dürfte schon bald in deutsches Recht umgesetzt werden. Der Referentenentwurf zur Umsetzung der Richtlinie liegt […]

Weiterlesen
Behörden setzen im Kampf gegen Geldwäsche verstärkt auf Prüfer*innen

Behörden setzen im Kampf gegen Geldwäsche verstärkt auf Prüfer*innen

Korruption, Raub, Waffen- und Drogenhandel – Geld aus illegalen Geschäften wird später oft gewaschen und in den legalen Wirtschaftskreislauf überführt. Um diese Praktiken zu unterbinden, setzen Regulierer und Behörden auch auf Wirtschaftsprüfer*innen. Sie sind zur Abgabe von Verdachtsmeldungen verpflichtet – und müssen sich dazu registrieren. Spätestens seit Januar dieses Jahres müssen sich die Prüfer*innen auf […]

Weiterlesen
Continuous Auditing: Übertriebener Hype oder echte Innovation?

Continuous Auditing: Übertriebener Hype oder echte Innovation?

Innovationen in der Abschlussprüfung stehen nicht gerade häufig auf der Tagesordnung. Mit dem „Continuous Auditing“ steht jetzt aber eine Entwicklung in den Startlöchern, in der einige Expert*innen einen echten Paradigmenwechsel sehen. Was ist wirklich dran an der kontinuierlichen Prüfung? Wer profitiert davon? Und wo liegen die Herausforderungen? Die Idee des Continuous Auditing ist es, Daten […]

Weiterlesen

Kommentare

Antwort

Ihre E-Mail Adresse wid nicht veröffentlicht. Pflichtfelder sind markiert*.