close
Share with your friends

Es gibt verschiedene Gründe, sich für eine Prüfung des Internen Kontrollsystems zu entscheiden. Neben der Aufsichtspflicht im Rahmen der Aufsichtsratstätigkeit kann die Prüfung des IKS aus unterschiedlichen regulatorischen oder betriebswirtschaftlichen Gründen notwendig oder aus Effizienzgründen für Ihr Unternehmen von Interesse sein.

In Abgrenzung zur Beurteilung des IKS im Rahmen der Abschlussprüfung stehen Ihnen unsere IKS-Experten mit unterschiedlichen IKS-Prüfungsansätzen zur Verfügung. 

1. Prüfung der Wirksamkeit des Internen Kontrollsystems nach IDW PS 982

Das Interne Kontrollsystem ist spätestens seit Inkrafttreten des BilMoG Teil des der Überwachungspflicht eines Prüfungsausschusses bzw. Aufsichtsrats unterliegenden Corporate-Governance-Systems. Neben dem Rechnungslegungsprozess fokussieren die Überwachungspflichten des Aufsichtsorgans (§ 107 Abs. 3 AktG) die Wirksamkeit des IKS, des Risikomanagementsystems (RMS) und des internen Revisionssystems (IRS).

Bei der IKS-Prüfung nach IDW PS 982 handelt es sich um eine freiwillige betriebswirtschaftliche Systemprüfung. Ziel der Prüfung ist es, eine hinreichende Sicherheit über einen definierten Umfang des IKS als eigenständigen Prüfungsgegenstand zu erlangen und darüber ein Gesamturteil abzugeben. Insofern geht dieses Vorgehen über die Prüfung ausgewählter Teile des rechnungslegungsbezogenen IKS im Rahmen der Abschlussprüfung entsprechend IDW PS 261 n. F. hinaus. Für Abschlussprüfungen, die am oder nach dem 15.12.2020 beginnen sei auf den neuen IDW PS 475 hingewiesen, der eine Berichterstattung bei wesentlichen Mängeln im IKS im Prüfungsbericht fordert.

Die Prüfung gemäß dem IDW PS 982 umfasst sämtliche Grundelemente des IKS und erstreckt sich in Abhängigkeit von Art, Umfang und Zielsetzung der Unternehmensberichterstattung auf die zugrunde liegenden Kerngeschäftsprozesse mit ihren Steuerungs- und Kontrollmaßnahmen. Die Inhalte der Berichterstattung (beispielsweise Bilanz, Gewinn- und Verlustrechnung oder Lagebericht) sind bei dieser Systemprüfung nicht Betrachtungsgegenstand. Dies sind vielmehr die in der IKS-Beschreibung enthaltenen Aussagen des Unternehmens über das IKS und seine Ausgestaltung. Die Beschreibung hat dabei bestimmte Mindestinhalte zu umfassen und sollte das IKS so darstellen, dass dessen Grundstruktur für einen sachverständigen Dritten in relativ kurzer Zeit nachvollziehbar ist.

Im Rahmen der Prüfung ist zwischen einer Bescheinigung der Angemessenheit und einer Bescheinigung der Wirksamkeit zu unterscheiden.

  • Angemessenheit: Bewertung der Regelungen des in der Beschreibung dargestellten IKS sowie deren Implementierung zu einem bestimmten Zeitpunkt
  • Wirksamkeit: Bewertung der Regelungen des in der Beschreibung dargestellten IKS und deren Implementierung sowie deren adäquater Anwendung in einem bestimmten Zeitraum

2. Weitere Überprüfungen des Internen Kontrollsystems

Für ein Shared Service Center (SSC) kann die Bescheinigung über das Interne Kontrollsystem notwendig werden, da es sich um ein rechtlich getrenntes Unternehmen handelt, das eine oder mehrere betriebliche Funktionen (Buchführung, IT-Betrieb, Vertriebslogistik etc.) eines auslagernden Unternehmens in dessen Auftrag eigenständig durchführt. Die Verantwortung für die ausgelagerten Funktionen verbleibt jedoch grundsätzlich beim auslagernden Unternehmen und dessen gesetzlichen Vertretern. Mit Auslagerung der Funktionen erlangt das Interne Kontrollsystem (IKS) des SSC für die Beurteilung der Frage Bedeutung, ob sich aus der Ausgestaltung der Kontrollen Risiken für die (rechnungslegungsbezogenen) Unternehmensaktivitäten des auslagernden Unternehmens ergeben können.

Unsere IKS-Experten können Ihnen bei einer Prüfung nach ISAE 3402 bzw. IDW PS 951 bzw. SSAE 18 zur Seite stehen, um das (rechnungslegungsbezogene) Interne Kontrollsystem (IKS) des Dienstleistungsunternehmens auf Angemessenheit und Wirksamkeit zu prüfen und über das Ergebnis eine Bescheinigung zu erteilen.

Der Prüfungsstandard SSAE 18 des Auditing Standard Board (ASB) gilt hier insbesondere für US-amerikanische Gesellschaften. Der Standard definiert Anforderungen und Qualität der Berichterstattung für Service Organization Control-Berichte (SOC). Alle unter dem Standard erstellbaren Prüfungsberichte (SOC1, SOC2, SOC3) sind jeweils als Typ 1 oder Typ 2 möglich.

Besonderheit: Der Anforderungskatalog C5 des Bundesamts für Sicherheit in der Informationstechnik (BSI) kann durch ein Audit analog zu ISAE 3000 beim Cloud-Anbieter geprüft werden, woraus ein so genannter SOC2-Bericht über die Angemessenheit und Wirksamkeit der Kontrollen entsteht.

Unsere IKS-Experten stehen Ihnen gerne für alle Fragen zu aktuellen Entwicklungen und Themen rund um IKS-Assurance zur Verfügung. Wir unterstützen Sie dabei, mit den regulatorischen Anforderungen an das Interne Kontrollsystem Schritt zu halten und durch die erweiterte Prüfung der internen Kontrollen in Ihrem Unternehmen für kontinuierliche Sicherheit in Ihren Geschäftsabläufen zu sorgen.

Ihre Ansprechpartner