INTERNE REVISIONdigital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

DIIR

Logo DIIR

INTERNE REVISIONdigital Partner

Logo BRL

INTERNE REVISIONdigital Partner

zum Puhnani Podcast

Kontrollaktivitäten (IPPF Nr.2100)

Kontrollaktivitäten bzw. Kontrollen sind Grundsätze und Verfahren, die sicherstellen sollen, dass die Entscheidungen des Managements beachtet werden. Kontrollen tragen dazu bei, dass die notwendigen Maßnahmen getroffen werden, um den Risiken des Unternehmens zu begegnen. Kontrollaktivitäten existieren auf allen Ebenen sowie in allen Funktionen eines Unternehmens und beinhalten i.d.R. zwei Elemente:

  • Eine Richtlinie zur Etablierung von Soll-Vorgaben und
  • Verfahren zur Umsetzung der Richtlinie.

Die Kontrollaktivitäten sind je nach Unternehmen verschieden ausgestaltet und reflektieren das Umfeld, die Branche, die interne Struktur, die Historie und die Kultur des Unternehmens. Kontrollaktivitäten sind ein wichtiger Teil des Zielerreichungsprozesses eines Unternehmens und können als ein Mechanismus zur Steuerung der Zielerreichung betrachtet werden.

Eine Vielzahl an Beschreibungen und Systematisierungen von Kontrollaktivitäten existiert, von denen nachfolgend nur die wichtigsten dargestellt werden sollen:

  • Manuelle versus automatische (systembasierte) Kontrollaktivitäten: Manuelle Kontrollen beruhen hauptsächlich auf der manuellen Ausführung durch eine oder mehrere Personen. Automatische Kontrollen vertrauen bei der Ausführung hauptsächlich auf speziell programmierte Anwendungen oder IT-Systeme; dabei können die Anwendungen oder IT-Systeme ohne manuelle Interaktion oder Entscheidungsfindung bestimmte Transaktionen blockieren. Ebenso gibt es systembasierte, manuelle Kontrollen wie z.B. die manuelle Kontrolle (Vergleich zweier Komponenten), wobei die Auswahl der zum Vergleich stehenden Komponenten vom System bestimmt wurde. Die Qualität der manuellen Kontrolle hängt dabei von der Verlässlichkeit des Systems ab.
  • Vorbeugende (präventive) versus aufdeckende (detektive) Kontrollaktivitäten: Präventive Kontrollen, egal ob diese durch den Menschen oder ein System erfolgen, dienen zur Verhinderung des Auftretens von Fehlern oder Auslassungen und werden grundsätzlich für Geschäftsprozesse eingerichtet, die ein hohes Risikopotenzial haben. Nachträglich aufdeckende Kontrollen werden entweder durch den Menschen oder ein System durchgeführt und dienen zur rechtzeitigen Aufdeckung und zur Korrektur von Fehlern, Betrug oder Auslassungen, bevor sich diese in den Büchern des Unternehmens niederschlagen.

Die nachfolgende Abbildung verdeutlicht die grundsätzliche Tendenz und den Zusammenhang von automatischen (systembasierten), manuellen, präventiven und aufdeckenden Kontrollen auf Prozessebene:

Abb.: Zusammenhang zwischen Kontrollaktivitäten
  • Primäre versus sekundäre Kontrollaktivitäten: Primäre Kontrollen (Schlüsselkontrollen) vermindern das Risiko entscheidend und haben z.B. Einfluss auf einzelne oder mehrere Aussagen für wesentliche Kontosalden, Transaktionen sowie andere Angabepflichten im Rahmen der Finanzberichterstattung. Primäre Kontrollen sind die am häufigsten angewandten Kontrollen des Managements. Sekundäre Kontrollen sind ebenso wichtig bei der Verminderung des Risikos und haben Einfluss auf die Finanzberichterstattung. Das Management beurteilt sekundäre Kontrollaktivitäten jedoch nicht als „entscheidend“. Sekundäre Kontrollaktivitäten sind zwar aussagekräftig, können jedoch durch andere (vor allem primäre) Kontrollen ersetzt werden.
  • Kontrollaktivitäten über Routineprozesse versus Kontrollaktivitäten über Nicht-Routineprozesse: Kontrollaktivitäten über Routineprozesse sind manuelle und automatische Kontrollen über routinemäßige Transaktionen. Kontrollaktivitäten über Nicht-Routineprozesse sind manuelle und automatisierte Kontrollen über Schätzungen und Anpassungen zum Jahresende (z.B. Rückstellungen, die eine hohe subjektive Komponente beinhalten können). Kontrollaktivitäten über Nicht-Routineprozesse adressieren die größten Risiken z.B. im Finanzberichtserstattungsprozess und sind am anfälligsten für Manipulationen durch das Management.
  • Kontrollaktivitäten auf Unternehmensebene versus Kontrollaktivitäten auf Prozessebene: Kontrollaktivitäten auf Unternehmensebene (sog. Company Level Controls oder Entity Level Controls) sind überwiegend Kontrollaktivitäten des Managements, die auf Unternehmensebene, bei Tochterunternehmen oder der jeweiligen Geschäftseinheit dokumentiert werden. Kontrollen auf Unternehmensebene haben nicht zwangsweise einen Bezug zu einem bestimmten Geschäftsprozess, besitzen jedoch große Bedeutung für die Gesamtheit der Geschäftsprozesse und sind Grundlage für die Beuteilung des gesamten IKS. Die COSO-Komponenten „Kontrollumfeld“, „Risikobeurteilung“, „Information und Kommunikation“ sowie „Überwachung“ sind überwiegend von Kontrollaktivitäten auf Unternehmensebene betroffen. Für diese Art von Kontrollen bestehen keine einheitlichen Dokumentationsvorschriften. Die Dokumentation von Kontrollaktivitäten auf Unternehmensebene basiert oftmals auf Fragebögen, Checklisten und Interviews und wird durch zusätzliche Informationen vom Management gestützt. Kontrollen auf Ebene der Geschäftsprozesse werden zusammen mit dem Prozessfluss dokumentiert und sind typischerweise der COSO-Komponente „Kontrollaktivitäten“ zugeordnet.

Gängige Typen von allgemeinen Kontrollaktivitäten sind nachfolgend beispielhaft aufgeführt. Die Auflistung soll die Bandbreite und Variation von Kontrollaktivitäten verdeutlichen, ohne dabei eine bestimmte Systematisierung oder Kategorisierung zu unterstellen:

  • Abstimmung/Nachvollzug (z.B. Kontenabstimmung von Nebenbuch zu Hauptbuch und Nachvollziehen von wesentlichen Berechnungen)
  • Analytische Prüfung (z.B. Varianzanalyse sowie Vergleich von Plan- und Ist-Zahlen)
  • Verifizierung (z.B. physische Verifizierung von Vorräten und Anlagen)
  • Genehmigung (z.B. von Verträgen, Auszahlungen, Gutschriften und Zeitkonten)
  • Funktionstrennung von Rollen und Verantwortlichkeiten (z.B. zwischen der Initiierung, Genehmigung, Verbuchung und Verwaltung von Aktivvermögen)
  • Bestätigung (z.B. schriftliche Bestätigungen von Zulieferern und Kunden)
  • Checklisten (z.B. für Abläufe der finanziellen Berichterstattung)
  • Durchsicht (z.B. Prüfung von Ergebnissen/Kennzahlen durch die Unternehmensleitung)
  • Physische Kontrollen (physischer Schutz von materiellen und immateriellen Vermögensgegenständen durch z.B. Zugangsbeschränkungen und räumliche Abgrenzungen)

Häufig sind Kombinationen von verschieden Kontrolltypen implementiert, um eine angemessene und umfassende Risikosteuerung zu gewährleisten.

Die hohe Bedeutung und Abhängigkeit von der Informationstechnologie (IT) machen Kontrollen über die wesentlichen Systeme unerlässlich. Die Verlässlichkeit der automatischen Datenverarbeitung hängt von verschiedenen unterstützenden IT-Komponenten, wie z.B. Netzwerken, Datenbanken und Betriebssystemen ab. Das Management und die internen sowie externen Prüfer benötigen ein grundlegendes Verständnis dafür wie IT-gestützte Transaktionen initiiert, autorisiert, eingegeben und verarbeitet werden. Viele Transaktionen werden automatisch vollzogen. IT-Systeme ermöglichen die Verarbeitung einer hohen Anzahl von komplexen Transaktionen in einer gleich bleibenden Qualität.

IT-Kontrollaktivitäten lassen sich in

  • Generelle IT-Kontrollen und
  • Anwendungskontrollen

unterteilen.

Generelle IT-Kontrollen

Generelle IT-Kontrollen (sog. General IT Controls – ITGC) sind übergreifende und durchdringende Kontrollen der IT-Umgebung (auch „General Computer Controls – GCC“ genannt) und betreffen die IT-Systeme in ihrer Gesamtheit (mit all ihren Subprozessen).

In Anlehnung an die Standards des IDW werden die generellen IT-Kontrollen in folgende Bereiche aufgeteilt (vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Stellungnahme zur Rechnungslegung. Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie – IDW RS FAIT 1):

  • IT-Umfeld: Problembewusstsein für Risiken der IT und deren Stellenwert in der Unternehmensorganisation bei Management und Mitarbeitern sowie Abgleich der IT-Strategie mit Unternehmensstrategie (Grundeinstellung des Management und IT-Strategie).
  • IT-Organisation: Aufbau- und Ablauforganisation innerhalb der IT-Organisation (Organigramme, Regelungen und Verfahren).
  • IT-Infrastruktur: Integrität und Verfügbarkeit des IT-Systems auf Grundlage des Sicherheitskonzeptes sowie physische Sicherungsmaßnahmen, logische Zugriffskontrollen, Datensicherungs- und Auslagerungsverfahren sowie Notfallplanung und Notfall-Szenarien bzw. Verfahren für den Notbetrieb (Hardware, Betriebssysteme, Netzwerke und IT-Betrieb).
  • IT-Anwendungen: Erfüllung der verfahrensbezogenen Anforderungen der Grundsätze ordnungsmäßiger Buchführung (GoB) hinsichtlich der Einhaltung der Beleg-, Journal- und Kontenfunktion sowie Softwaresicherheit und die Korrektheit der rechnungslegungsrelevanten Verarbeitungsregeln. Teilweise finden sich diese in den Anwendungskontrollen wieder (Art, Bezeichnung, Aufgabengebiet und Datenhaltung).
  • IT-Geschäftsprozesse: Gewährleistung der Sicherheit und Ordnungsmäßigkeit der rechnungslegungsrelevanten Daten über den gesamten IT-gestützten Geschäftsprozess hinweg (rechnungslegungsrelevante Unternehmensabläufe anhand funktions- oder prozessorientierter Beschreibungen der Ablauforganisation).
  • IT-Überwachungssystem: Beurteilung der Wirksamkeit des IT-Kontrollsystems (Angemessenheit und Wirksamkeit) als Bestandteil des gesamten IKS.
  • IT-Outsourcing: Ordnungsmäßigkeit und Sicherheit des ausgelagerten Geschäftsprozesses und der zugrunde liegenden IT-Prozesse.

Anwendungskontrollen

Anwendungskontrollen sind Kontrollen, die durch die IT-Anwendung selbst unterstützt werden und den einzelnen Geschäftsprozess betreffen; sie sind Bestandteil der Anwendung um beispielsweise nicht autorisierte Transaktionen zu verhindern bzw. aufzudecken. Anwendungskontrollen können sowohl vorbeugende als auch nachgelagerte Kontrollen sein und sind immer in Kombination mit manuellen Kontrollen einzusetzen, um eine umfassende Wirksamkeit des gesamten IKS zu erreichen.

Eine abschließende Auflistung aller Anwendungskontrollen ist nicht praktizierbar, da sie sehr stark von den betrachteten Prozessen und von der Anwendung selbst abhängen und somit von Fall zu Fall unterschiedlich ausgeprägt sind. Nachfolgend wird eine Auswahl der gängigsten Anwendungskontrollen beispielhaft aufgelistet, um einen Eindruck der Vielfalt dieser Kontrollart zu vermitteln:

  • Logischer Zugriffsschutz: Kontrollen, die gegen Einsicht und Missbrauch von Daten schützen (z.B. durch Benutzer-ID und Kennwort).
  • Eingabekontrollen/Plausibilitätskontrollen: Maßnahmen, die sicherstellen sollen, dass bereits (präventiv) im Zeitpunkt der Erfassung von Daten deren Richtigkeit, Vollständigkeit und Plausibilität garantiert wird.
  • Verarbeitungskontrollen: Maßnahmen, die gewährleisten, dass die Daten den Verarbeitungsprozess vollständig und richtig durchlaufen; dabei sind Beleg-, Journal und Kontenfunktion von wesentlicher Bedeutung.
  • Ausgabekontrollen: Maßnahmen, die sicherstellen sollen, dass Verarbeitungsergebnisse richtig erstellt und verteilt werden.
  • Protokollierungen/Schnittstellenprotokolle: Kontrollen, die (vor allem im Bereich von Schnittstellen) durch Auswertung und Analyse von Fehlerprotokollen – also in Kombination mit manuellen Kontrollaktivitäten – eine vollständige und richtige Datenübertragung sicherstellen sollen.

Die weit reichenden Entwicklungen in der Informationstechnologie (IT) und die stets zunehmende Abhängigkeit der wesentlichen Geschäftsprozesse einer Organisation von den zugrunde liegenden IT-Prozesse, hat in den letzten Jahren das Bedürfnis von Management, Benutzern und Prüfern nach praxisgerechten Standards und Empfehlungen im IT-Bereich voran getrieben.

COSO hat mit seinem Bericht eines der ersten Rahmenwerke für die Ausgestaltung eines IKS zur Steuerung und Überwachung eines Unternehmens erstellt. Für die spezifischen Anforderungen an ein IKS im IT-Bereich ist der COSO-Report jedoch nicht speziell ausgelegt. Die Empfehlungen des COSO-Report sind nicht auf die spezifischen Anforderungen eines IT-Prozesses zugeschnitten (z.B. bei der Identifizierung automatisierter Lösungen, der Sicherstellung eines kontinuierlichen Betriebs und des Managements von Störungen in IT-Prozessen).

Anfang der 90er Jahre wurde deshalb mit der Entwicklung eines speziell auf die Bedürfnisse der IT ausgerichteten Rahmenswerks begonnen, welches sich sehr stark an den COSO-Report anlehnt. Das Ergebnis ist das CobiT-Rahmenwerk (vgl. IT Governance Institute (ITGI) (Hrsg.): Control Objectives for Information and related Technology (CobiT) 5.0. Rolling Meadows, USA. 2012 sowie für allgemeine Informationen rund um das CobiT: www.itgi.org und www.isaca.org).

Literatur:

  • Bungartz, Oliver: Handbuch Interne Kontrollsysteme (IKS) – Steuerung und Überwachung von Unternehmen. 3. Aufl. Berlin 2011
  • Committee of Sponsoring Organizations of the Treadway Commission (COSO): Internal Control – Integrated Framework. September 1992
  • Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261)
  • Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Stellungnahme zur Rechnungslegung. Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1)
  • IT Governance Institute (ITGI) (Hrsg.): Control Objectives for Information and related Technology (CobiT) 5.0. Rolling Meadows, USA. 2012

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        CONSULTINGBAY        Zeitschrift Interne Revision