Wirecard-Serie – Compliance und IKS

Compliance, CMS, IKS? Was verbirgt sich eigentlich dahinter?

Im zweiten Teil unserer Beitragsserie wollen wir aufbauend auf dem Thema „Corporate Governance“ zwei weitere wichtige Themen beleuchten. Zum einen soll es um die Themen Compliance und Compliance Management Systeme gehen. Diese helfen bei der Vermeidung von rechtlichen und wirtschaftlichen Risiken. 

Darüber hinaus wollen wir uns dem Thema der Internen Kontrollsysteme widmen. Diese gewährleisten wirksame und effiziente Kontrollmöglichkeiten für den Unternehmer. Außerdem schaffen sie Perspektiven für im Unternehmen noch nicht gehobene Verbesserungspotentiale.

Compliance Management System (CMS)

Compliance

Unter Compliance ist ganz allgemein die Einhaltung von Gesetzen und sonstigen externen, aber auch internen Regelungen gemeint. Ein Compliance Management System beinhaltet intern vorgegebene Ziele, Grundsätze und Maßnahmen. Diese sollen die Beachtung von Gesetzen und Regeln gewährleisten. Der Abbildung können Sie eine Übersicht der Bestandteile eines Compliance Management Systems entnehmen.

Was ist wichtig beim Compliance Management System?

Nachfolgend finden Sie einige Denkanstöße. Diese sollen für einige Aspekte eines Compliance Management Systems sensibilisieren. Dazu muss ein Unternehmen noch kein ein formales Compliance Management System installiert haben:

  • Ausgehend vom obigen „ehrbaren Kaufmann“ gilt der Grundsatz des „tone at the top“ oder umgangssprachlich: „Der Fisch stinkt vom Kopfe her“. 
  • Wie wird die Beachtung von Gesetzen und Regeln von der Unternehmensleitung vorgelebt?
  • Besteht bei Ihnen eine „Fehlerkultur“, die es Mitarbeitern erlaubt, Fehler zuzugeben?
  • Oder besteht die Gefahr, dass durch Vertuschen von Fehlern noch größerer Schaden entstehen kann?
  • Haben Sie einen Überblick, welche wichtigen gesetzlichen Regelungen für Sie gelten?
  • Müssen Sie in Ihrem Unternehmen Spezialgesetze beachten (z. B. Hygienevorschriften in der Gastronomie oder besondere Arbeitsschutzvorschriften)?
  • Wie halten Sie sich über gesetzliche Änderungen auf dem Laufenden?
  • Sind Ihnen die finanziellen oder gar strafrechtlichen Folgen bei Missachtung wichtiger Vorschriften bekannt?
  • Kommunizieren Sie mit Ihren Mitarbeitern regelmäßig über die relevanten Regelungen und deren Veränderungen? Werden auch neue Mitarbeiter informiert?
  • Welche Regelungen und Maßnahmen haben Sie eingeführt, um Gesetzesverstöße zu vermeiden oder frühzeitig aufzudecken?
  • Haben Sie Zuständigkeiten geregelt, wer die Einhaltung von Regelungen zu überwachen hat?
  • Lassen Sie sich bei Bedarf juristisch und steuerlich beraten?
  • Ist Ihnen bekannt, dass steuerliche Betriebsprüfer immer öfter nach einer Verfahrensdokumentation fragen?
  • Kennen Sie die Bedeutung einer Verfahrensdokumentation (auch als „Tax Compliance Management System light“)?

Internes Kontrollsystem (IKS)

Unter einem internen Kontrollsystem werden die von der Unternehmensleitung eingeführten Regelungen verstanden, die auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung gerichtet sind. 

Ziele eines IKS sind insbesondere:

  • die Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit
    • hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen
  • die Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie
  • die Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften; insofern besteht hier auch eine Überschneidung zu einem Compliance Management System

Solche Regelungen können darauf abstellen,…

  • Fehler gar nicht erst entstehen zu lassen (z. B. Vorbeugung durch Arbeitsanweisungen oder Schulungen, IT-technische Vorgaben)
  • entstandene Fehler noch frühzeitig zu entdecken (z. B. 4-Augen-Prinzip)
  • zumindest im Nachgang aus festgestellten Fehlern zu lernen (z. B. bei Feststellungen einer internen Revision).

Kontrollen können…

  • automatisch implementiert sein (z. B. IT-technisch vorgegebene Pflichteingaben, Sperren oder Plausibilitätsprüfungen) oder manuell erfolgen (z. B. zwei Unterschriften/Handzeichen, Freigabe von Eingaben durch zweite Person, Kontrollzählungen …)
  • prozessintegriert oder nachgelagert vorgenommen werden
  • in unterschiedlichen Umfängen (lückenlos, Stichproben), nach Risikovorgaben (z. B. nach Betragshöhe) und in unterschiedlichen Turni (z. B. täglich, monatlich) vorgegeben werden
  • auf verschiedenen Hierarchieebenen vorgesehen sein (z. B. tägliche Kontrolle durch Sachbearbeiter, Analyse wöchentlicher Auswertungen durch Vorgesetzten, monatliche Überwachung durch „den Chef“.

Interne Kontrollsysteme sind äußerst vielseitig und individuell. Die nachfolgenden Fragen sollen daher einige Denkanstöße liefern.

Grundsätzlich

  • Haben Sie überhaupt ein Internes Kontrollsystem?
    • Die Antwort, wenn z. B. von einem steuerlichen Betriebsprüfer gestellt, lautet immer JA! 
    • Es ist nur die Frage, wie umfangreich und sachgerecht es ausgestaltet ist, ob und wie es dokumentiert ist und ob es auch gelebt wird

Informationstechnik

  • Haben Sie ein Berechtigungssystem für Ihre wichtigsten IT-Systeme eingerichtet und an Ihre Verhältnisse angepasst? 
  • Stimmen die IT-Berechtigungen mit den sonstigen Kompetenzen, Vollmachten etc. überein?
  • Haben Sie in Ihrem IT-System für wesentliche Prozesse automatische Kontrollen, Freigaben im 4-Augen-Prinzip etc. implementiert?
  • Lassen Sie sich bei der Implementierung des IT-Systems von einem IT-Experten beraten?
  • Wer stellt sicher, dass beispielsweise IT-Berechtigungen oder Bankvollmachten bei ausscheidenden Mitarbeitern gelöscht werden?

Wichtige Arbeitsprozesse

  • Haben Sie für wesentliche Prozesse Arbeitsanweisungen oder sonstige organisatorische Regelungen getroffen oder genügen mündliche Anweisungen? 
  • Wer ist ggf. für die regelmäßige Überprüfung der Regelungen verantwortlich?
  • Haben Ihre Mitarbeiter sich selber Notizen über ihre regelmäßigen Arbeitsschritte und „To Do‘s“ gemacht? 
  • Macht hier eine systematische Aufnahme für Alle mehr Sinn, auch zur Einarbeitung neuer Mitarbeiter?
  • In welchen Bereichen haben Sie ein 4-Augen-Prinzip vorgesehen? Wird dessen Beachtung dokumentiert?
  • Bestehen bei Ihnen für sensible Bereiche Zugangsregelungen?
  • Wann haben Sie zuletzt überprüft, wer bei Ihren Bankkonten Bankvollmacht oder Zeichnungsberechtigung in welchem Umfang hat?
  • Haben Sie für regelmäßig vorkommende Geschäftsvorfälle oder Kontrollhandlungen Formulare im Einsatz?
  • Kontrolliert jemand bei Excel-Berechnungen die Formeln? Wird dies dokumentiert?
  • Welche Auswertungen werden bei Ihnen regelmäßig erstellt? Wer wertet diese aus und worauf ist zu achten?
  • Wie werden neue Mitarbeiter eingearbeitet?
  • Haben Sie klare Kompetenzregelungen mit Betragsgrenzen und für Konditionen, z. B. für
    • Einkäufe / Warenbeschaffung / Beauftragung von Dienstleistungen
    • Zusagen an Kunden (z. B. Lieferfristen, Preise, Zahlungsfristen)
    • Zahlungsfreigaben für Rechnungen
  • Gibt es Regelungen für Wareneingangskontrollen?
  • Wer darf Rechnungen erstellen? Wie erfolgt der Abgleich mit der erbrachten Leistung (z.B. Stundenzettel, Lieferschein etc.) und den vereinbarten Preisen (Angebot, Preisliste, individuelle Absprachen)?

Sind Sie gleicher als gleich?

  • Gelten die im Unternehmen getroffenen Regelungen und Kontrollen auch für den Unternehmer / Geschäftsführer?  Darf und kann (technisch) der Chef interne Kontrollen umgehen bzw. außer Kraft setzen?
  • Diese Fragen nach dem „Management Override“ wird sicher auch in der Aufarbeitung des Wirecard-Skandals eine nicht unerhebliche Rolle spielen.

Wirtschaftsprüfung

Wir haben Ihr Interesse geweckt? Nehmen Sie Kontakt zu uns auf! Wir beraten Sie gerne zur Bedeutung von „Compliance Management“ und „Internen Kontrollsystemen“ in Ihrem Unternehmen.
Mehr erfahren

Wie Sie sehen, betreffen das „Compliance Management System“ und das „Interne Kontrollsystem“ viele wichtige Bereich Ihres Unternehmens. Eine fundierte Analyse und darauf aufbauende Maßnahmen tragen zu Verbesserung Ihrer Unternehmensstrukturen bei. 

„Compliance Management Systeme“ und „Interne Kontrollsysteme“ helfen, wesentliche und eventuell bestandsgefährdende Risiken zu vermeiden. Worauf bei einer umfassenden Risikoinventur und einem darauf aufbauenden Risikomanagementsystem geachtet werden sollte, stellen wir Ihnen im letzten Teil unserer Beitragsserie vor.

Schauen Sie auch gerne in den ersten Teil unserer Beitragsserie, welcher sich mit dem Thema „Corporate Governance“ befasst.

Wirecard - lessons learned?

Wir zeigen Ihnen im ersten Teil unserer Serie, wie mittelständische Unternehmen aus dem Wirecard Skandal lernen können und welche Instrumente dafür zur Verfügung stehen.
Mehr erfahren