Zum Inhalt gehen
Unternehmensvorschriften & Gesetze

IKS (Internes Kontrollsystem): Das müssen Unternehmen beachten

·
4 Minuten Lesezeit
Sie wollen ihre workflows optimieren?
Gesetzeskonform und up to date. Mit Factorial sind Sie auf der sicheren Seite. Sicherheit bei Factorial

Inhaltsangabe

Verfasst von

Ein Internes Kontrollsystem (IKS) sorgt dafür, dass alle Prozesse im Unternehmen regelkonform und sicher ablaufen, insbesondere im Hinblick auf Betrug und weitere Risiken. Mittlerweile gibt es Gesetze, die die Einrichtung bestimmter Maßnahmen festlegen, um Missbrauch zu verhindern. Welche Unternehmen ein solches IKS einrichten müssen und welche Inhalte es genau umfasst, erfahren Sie im folgenden Artikel.

Das Wichtigste in Kürze:

  1. Ein IKS (Internes Kontrollsystem) stellt sicher, dass in Unternehmen alle Prozesse sicher, rechtskonform und effizient ablaufen und auf finanziellen, operativen und Prozesskontrollen basieren.
  2. Ein IKS muss von börsennotierten Unternehmen eingerichtet werden – nicht börsennotierte Kapitalgesellschaften sind hingegen verpflichtet, ein Risikofrüherkennungssystem (RFS) einzurichten.

Gesetzliche Grundlage:

Die Pflicht zur Einrichtung eines angemessenen und wirksamen IKS für börsennotierte Aktiengesellschaften ergibt sich aus § 91 Abs. 3 AktG. Die Einrichtung eines Risikofrüherkennungssystems (RFS) für alle Aktiengesellschaften ist in § 91 Abs. 2 AktG festgeschrieben. Bei börsennotierten AGs ergibt sich die zusätzlich Prüfpflicht durch Wirtschaftsprüfer*innen nach § 317 Abs. 4 HGB.

Definition: Was versteht man unter einem IKS und wofür steht IKS?

Das Akronym IKS steht für Internes Kontrollsystem. Darunter ist ein organisatorischer Rahmen zu verstehen, der regelt, dass unternehmerische Prozesse sicher und effizient ablaufen. Dazu gehört sowohl die Sicherung der Vermögenswerte des Unternehmens, die Abwehr von Risiken und die Einhaltung von Richtlinien. Es wird auch Risikomanagement-System oder Compliance-System genannt. Es kommt insbesondere dann zum Einsatz, wenn ein Unternehmen seine Abläufe absichern muss, um Vertrauen bei allen Beteiligten zu schaffen.

Interne Kontrollsysteme geraten in den Medien meist erst dann in den Fokus, wenn sie versagt haben und die Frage aufkommt, wie ein Vorfall möglich war. Ein bekanntes Beispiel ist Wells Fargo: Dort eröffneten Mitarbeitende Bankkonten ohne Zustimmung der Kund*innen, oft mit gefälschten Unterschriften. Ursache für diese Missstände war eine Kombination aus unrealistischen Verkaufszielen und unzureichenden internen Kontrollen. Solche Vorfälle zeigen deutlich, wie wichtig ein funktionierendes Internes Kontrollsystem (IKS) ist, um Risiken frühzeitig zu erkennen und Schäden zu verhindern.

Wann ist ein IKS Pflicht?

Die Pflicht zur Einrichtung eines Internen Kontrollsystems (IKS) hängt in Deutschland von der Rechtsform und Börsennotierung des Unternehmens ab. Es gibt gesetzliche Vorgaben, die festlegen, welche Unternehmen wann ein IKS einrichten müssen.

Welche Unternehmen müssen ein IKS haben?

  • Pflicht für börsennotierte Unternehmen: Für börsennotierte Aktiengesellschaften besteht durch das Finanzmarktintegritätsstärkungsgesetz (FISG) seit 2021 die Pflicht, ein angemessenes und wirksames Internes Kontrollsystem (IKS) sowie ein Risikomanagementsystem (RMS) einzurichten. Rechtsgrundlage hierfür ist vor allem § 91 Abs. 3 Aktiengesetz (AktG).
  • Pflicht für alle Aktiengesellschaften (AG): Unabhängig von einer Börsennotierung gilt für den Vorstand jeder Aktiengesellschaft laut § 91 Abs. 2 AktG die Verpflichtung, ein Risikofrüherkennungssystem (RFS) einzurichten. Bei börsennotierten AGs muss das RFS zusätzlich von Abschlussprüfer*innen geprüft werden (§ 317 Abs. 4 Handelsgesetzbuch (HGB)).

Wie funktioniert ein IKS und was ist der Unterschied zu einem RFS?

Beim Risikofrüherkennungssystem (RFS) geht es vor allem um die Überwachung bestandsgefährdender Risiken – also solcher Gefahren, die die Fortführung der Gesellschaft bedrohen könnten. Man kann es sich als Mindestschutz gegen existenzielle Unternehmensrisiken vorstellen.

Beim Internen Kontrollsystem (IKS) handelt es sich hingegen um ein umfassendes System, das sicherstellen soll, dass alle wesentlichen Prozesse im Unternehmen ordnungsgemäß und zuverlässig ablaufen.
Es geht also nicht nur um existenzielle Risiken, sondern auch um Effizienz, Sicherheit und Ordnungsmäßigkeit des täglichen Geschäfts.

Das IKS umfasst insbesondere:

  • Prozesskontrollen: Sicherung der Abläufe im Unternehmen. Beispiel: Vier-Augen-Prinzip bei Zahlungen, damit keine Einzelperson Geld überweisen kann.
  • Finanzkontrollen: Kontrollen rund um die Buchführung und das Reporting. Beispiel: Abstimmung von Bankkonten, Prüfung von Rechnungen, Freigabe durch Vorgesetzte.
  • Operative Kontrollen: Regeln und Maßnahmen im Tagesgeschäft, um Fehler oder Betrug zu verhindern. Beispiel: IT-Zugriffsrechte so gestalten, dass Mitarbeitende nur auf die für sie relevanten Daten zugreifen können.

Wie funktioniert ein IKS konkret?

In der Regel folgt ein IKS in der Praxis folgendem Ablauf:

  • Bewertung und Identifizierung der Risiken: Unternehmen müssen mögliche Risiken analysieren – finanzieller, rechtlicher oder operativer Art. Beispiel: Welche rechtlichen Risiken drohen durch neue Datenschutzgesetze?
  • Steuerung und Maßnahmenplanung: Für jedes Risiko werden geeignete Maßnahmen entwickelt, um es zu minimieren oder zu vermeiden. Beispiele:
    • IT-Risiken: Firewall, regelmäßige Backups und geschützte IT-Systeme.
    • Betrugsrisiken: klare Funktionstrennung im Rechnungswesen.
  • Ein weiterer Bestandteil eines ISK ist die regelmäßige Überwachung und Anpassung der implementierten Kontrollmaßnahmen. Diese dürfen nicht statisch bleiben. Beispiel: Jährliche interne Audits, in denen geprüft wird, ob Prozesse wie geplant funktionieren, oder Anpassung bei neuen gesetzlichen Anforderungen.

Wer prüft das Interne Kontrollsystem?

Die Prüfung des Internen Kontrollsystems erfolgt sowohl intern als auch extern. Intern wird sie vom Management oder der Internen Revision durchgeführt, die regelmäßig die Wirksamkeit der Kontrollen überwachen. Extern übernehmen Wirtschaftsprüfer*innen die Prüfung nach dem IDW Prüfungsstandard PS 982 („Prüfung des Internen Kontrollsystems“), um die Angemessenheit und Wirksamkeit des IKS zu beurteilen.

So unterstützt Factorial Sie bei Ihrem Internen Kontrollsystem (IKS)

Um ein wirksames Internes Kontrollsystem (IKS) aufzubauen, benötigt jedes Unternehmen eine Kombination aus organisatorischen Maßnahmen, klaren Prozessen und passenden digitalen Tools. Diese sorgen dafür, dass Unternehmensrisiken reduziert werden, rechtliche Anforderungen erfüllt sind und Compliance gewährleistet bleibt.

Factorial unterstützt Sie dabei mit praxisnahen Lösungen, die sich direkt in Ihre Unternehmensprozesse integrieren lassen:

  • Zugriffsrechte & Benutzerrollen: Sie können Zugriffsrechte individuell steuern, sodass Mitarbeitende nur auf die Informationen zugreifen, die für ihre Arbeit erforderlich sind.
  • Automatisierte Freigabeprozesse: Wichtige Prozesse lassen sich durch ein digitales Vier-Augen-Prinzip absichern.
  • Reporting & Compliance-Monitoring: Mit Factorial können Sie Berichte und Analysen erstellen, die Transparenz in Ihren HR- und Finanzprozessen schaffen.


Julia Lehmann
Julia Lehmann ist Schriftstellerin, Philosophin, Künstlerin und Übersetzerin. Seit über drei Jahren setzt sie sich intensiv mit aktuellen Entwicklungen im Bereich Human Resources und der Arbeitswelt auseinander. Mit ihrem interdisziplinären Hintergrund analysiert sie Themen wie Unternehmenskultur, Führung, Wandel in der Arbeitsorganisation und rechtliche Rahmenbedingungen – und liefert dabei Impulse, die sowohl in Fachkreisen als auch in der unternehmerischen Praxis Anklang finden.

Ähnliche Beiträge