Überwachung ist ein Prozess, der die Existenz und die Funktionsfähigkeit der Komponenten des COSO-Report sowie die Qualität ihrer Funktion über die Zeit sicherstellt. Das IKS muss regelmäßig überprüft und ggf. angepasst werden.
Die Überwachung des IKS wird im gesamten Unternehmen durchgeführt, z.B. auf folgenden Hierarchieebenen:
Die Überwachung kann durch laufende oder gesonderte Beurteilungen sowie durch eine Kombination von laufenden und gesonderten Beurteilungen umgesetzt werden. Laufende Beurteilungen werden im Rahmen der normalen Managementaufgaben durchgeführt. Der Umfang und die Häufigkeit der gesonderten Beurteilungen hängen von der Risikobewertung und der Effektivität der laufenden Beurteilungen ab. Die Überwachung muss sicherstellen, dass das IKS funktionsfähig ist und kontinuierlich auf allen Ebenen im gesamten Unternehmen angewendet wird.
Die Überwachung soll die Wirksamkeit des IKS (d.h. sowohl die Angemessenheit des Aufbaus als auch die kontinuierliche Funktionsfähigkeit) durch die Mitarbeiter des Unternehmens sicherstellen. Das Management hat zusätzlich dafür zu sorgen, dass festgestellte Mängel im IKS in geeigneter Weise abgestellt werden. Überwachungsmaßnahmen können hierbei in die Unternehmensprozesse eingebaut sein (z.B. eine regelmäßige Durchsicht betrieblicher Statistiken durch die zuständigen Abteilungsleiter und die Beurteilung der Plausibilität der in den Statistiken enthaltenen Informationen). Neben diesen prozessintegrierten Überwachungsmaßnahmen wird das IKS beispielsweise auch von der Internen Revision überwacht. Die Entwicklung von Verbesserungsvorschlägen für die Wirksamkeit des IKS zählt dabei ebenfalls zu den Aufgaben der Internen Revision.
IKS sollten i.d.R. so aufgebaut sein, dass sie sich kontinuierlich selbst beurteilen. Laufende Beurteilungen (z.B. regelmäßige Durchsicht von Berichten durch das Management sowie Vergleich von Ist-Zahlen zu Plan- und Budget-Zahlen) sind in die normalen, wiederkehrenden betrieblichen Aktivitäten zu integrieren. Je größer der Anteil und die Effektivität der laufende Beurteilungen in einem IKS ist, desto geringer ist die Notwendigkeit für gesonderte Beurteilungen. Die Häufigkeit und Ausgestaltung der gesonderten Beurteilung zur Sicherstellung der Funktionsfähigkeit des IKS basiert auf der Einschätzung der Unternehmensleitung. Gesonderte Beurteilungen werden normalerweise periodisch durchgeführt.
Interne Kontrollaktivitäten müssen ordnungsgemäß gestaltet und hinreichend sein für die Erfüllung der Anforderungen sowie von qualifizierten, autorisierten Personen ausgeführt werden. In diesem Zusammenhang entspricht die Überwachung dem Prozess zur Feststellung, ob das IKS
sowie anpassungsfähig ist.
Obwohl die Beurteilung eines angemessenen Aufbaus des IKS letztendlich eine subjektive Einschätzung ist, sollte diese Beurteilung auf Nachweisen basieren, die durch ordnungsgemäße Prüfungshandlungen erlangt worden sind. Das Management sollte die Angemessenheit des Aufbaus beurteilen, indem es eine Verbindung zwischen den Unternehmenszielen (Kategorien: Betrieblich, Berichterstattung und Regeleinhaltung) und den Kontrollaktivitäten herstellt. Die Aufbauprüfung kann z.B. mit folgenden Prüfungshandlungen zur Erlangung der erforderlichen Nachweise durchgeführt werden:
Schwächen im Aufbau eines IKS bestehen, wenn eine notwendige Kontrolle nicht vorhanden ist oder eine Kontrolle zwar vorhanden ist, aber dem Kontrollziel nicht gerecht wird. Die Aufbauprüfung des IKS ist extrem wichtig, denn nur ein ordnungsgemäß und angemessen gestaltetes IKS kann effektiv funktionieren. Ein ordnungsgemäßer Aufbau von Kontrollaktivitäten bedeutet wiederum nicht automatisch, dass diese auch wirksam sind und funktioniert.
Zur Durchführung der Funktionsprüfung müssen vorab wesentliche (Tochter-) Unternehmen, Geschäftseinheiten und Prozesse sowie die zu prüfenden Kontrollen (d.h. primäre bzw. Schlüssel-Kontrollen) identifiziert werden. Falls bei der Funktionsprüfung Kontrollschwächen festgestellt werden, müssen diese behoben und nochmals geprüft werden. Die Durchführung von Funktionsprüfungen soll zur Feststellung kommen, ob die Kontrollen ihrem Aufbau entsprechend durchgehend funktionieren und die Person, welche die Kontrolle durchführt, die notwendige Qualifikation und Autorität besitzt. Das Ergebnis sollte ein Gesamturteil über die Funktionsfähigkeit des IKS sein.
Die Funktionsprüfung sollte Kontrollen über alle Unternehmensziele abdecken, wobei folgende Grundsätze zu beachten sind:
Bei der Funktionsprüfung sind insbesondere folgende Eigenschaften der Kontrollen zu beachten:
Bei der Identifikation von zu prüfenden Kontrollen sollte das Management auf jeden Fall die folgenden Typen von Kontrollen berücksichtigen:
Zur Sicherstellung der dauerhaften, personenunabhängigen Funktionsfähigkeit des IKS sowie zum Nachweis der Organisations- und Sorgfaltspflichten der Unternehmensleitung ist eine ordnungsgemäße und zeitnahe Dokumentation der Funktionsprüfung zwingend erforderlich.
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: