Um operative Fehler zu vermeiden, Betrug frühzeitig aufzudecken und Rufschädigung zu verhindern, ist eine gut funktionierende interne Kontrolle unerlässlich. Damit sie wirklich greift, gilt es einiges zu beachten. Der Autor erklärt, welche Bereiche das Interne Kontrollsystem (IKS) erfassen sollte, welche typischen Fehler gemacht werden und was die wichtigsten Schritte zur optimalen Kontrolle sind.
Wichtigste Voraussetzung: Das Vier-Augen-Prinzip
Prozesse mit Vier-Augen-Prinzip verfügen über eine inhärente Kontrolle, da die Freigabe des kritischen Arbeitsschritts durch eine Drittperson erfolgt. Nicht umsonst sind NPO mit Zewo-Gütesiegel verpflichtet, die Einhaltung der kollektiven Zeichnungsberechtigung zu kontrollieren.
Verhindern und Aufdecken des Risikoeintritts
Das Interne Kontrollsystem (IKS) sollte so aufgebaut sein, dass vorbeugende und überwachende Kontrollen periodisch automatisch durchgeführt und protokoliert werden. Regelnde Kontrollen, die während der Durchführung erfolgen, wie die zweite Unterschrift auf der Zahlungsfreigabe, sollten periodisch in Stichproben durch ein drittes Augenpaar erfolgen.
Die Kontrollen können risikobasiert sein oder einer operativen Notwendigkeit entsprechen. Ein gutes IKS verhindert auch unangenehme Qualitätsfehler, wie verspätete Zahlungen oder falsche Anschriften von Kunden und Lieferanten.
Betrug und Rufschäden im Keim ersticken
Ebenso wichtig ist das frühestmögliche Aufdecken von Betrug und potentiellen Rufschäden. Es sind Einzelfälle, aber sie kommen vor. Mittels IKS lässt sich das früh genug aufdecken – und damit strafrechtliche Konsequenzen für das Unternehmen, die Geschäftsführung und die Mitarbeiter vermeiden.
Typische Fehlerquellen
Typische Fehlerquellen sind: Keine angemessene Trennung von Funktionen, über die Jahre einschleichende Routine in den Abläufen oder blindes gegenseitiges Vertrauen. Das setzt Vorsichtsmassnahmen ausser Kraft und führt dazu, dass die erforderlichen Kontrollschritte nicht mehr mit Ernsthaftigkeit und Genauigkeit durchgeführt werden.
Da Wirtschaftsprüfer nur die Existenz des IKS prüfen, werden diese Fehlerquellen nicht aufgedeckt, wenn die Organisation nicht regelmässig selbst einen prozessualen Check-up durchführen lässt.
Für ein IKS das lebt und von allen akzeptiert ist
Das IKS ist nur so gut, wie Risikobeschrieb und Kontrollauftrag auf Anhieb verständlich und umsetzbar sind. Das äussert sich auch darin, ob Kontrollpersonen tatsächlich kontrollieren (können) und zeitig die Resultate melden. Den ultimativen Test, ob das IKS-System von den Mitarbeitenden akzeptiert ist, haben Sie bestanden, wenn Mitarbeitende das System freiwillig auch für ihre operativen Arbeiten verwenden wollen.
Mit einem funktionierenden und qualitativ guten IKS, das „lebt“ und von den Mitarbeitenden akzeptiert ist, können der gute Name der Organisation geschützt und alle wirtschaftlich und strafrechtlich abgesichert werden.