Interne Kontrollen sind die Strategien und Verfahren, die einer Organisation helfen, ihre Ziele zu erreichen. Sie dienen dem Schutz von Vermögenswerten, der Minimierung von Fehlern und Betrug und der Gewährleistung der Einhaltung von Gesetzen und Vorschriften. Interne Kontrollen können in fünf Hauptkategorien eingeteilt werden: Kontrollumfeld, Risikobewertung, Kontrolltätigkeiten, Information und Kommunikation sowie Überwachung.
Bevor interne Kontrollen bewertet werden können, müssen Risikobereiche identifiziert werden. Um Risikobereiche zu identifizieren, müssen Organisationen ihre Ziele und die potenziellen Bereiche, in denen Fehler, Betrug und Nichteinhaltung von Vorschriften auftreten können, berücksichtigen.
Sobald die Risikobereiche identifiziert sind, müssen die Organisationen die Wirksamkeit der bestehenden internen Kontrollen bewerten. Dies kann durch eine Analyse des Aufbaus und der Funktionsweise der internen Kontrollen sowie der Qualität der Aufzeichnungen und Berichte geschehen.
Organisationen müssen auch beurteilen, ob die internen Kontrollen ordnungsgemäß befolgt werden oder nicht. Dies kann durch die Analyse erfolgen, ob die Richtlinien und Verfahren eingehalten werden, und durch die Feststellung, ob Änderungen erforderlich sind.
Organisationen sollten ein Überwachungssystem einrichten, um sicherzustellen, dass die internen Kontrollen ordnungsgemäß funktionieren. Dies kann regelmäßig geplante Überprüfungen, Stichproben oder Tests umfassen.
Organisationen sollten alle internen Kontrolltätigkeiten, einschließlich Richtlinien, Verfahren und Überwachungsergebnisse, dokumentieren. Dadurch wird sichergestellt, dass die internen Kontrollen ordnungsgemäß durchgeführt werden und wie beabsichtigt funktionieren.
Organisationen sollten auch einen Prüfpfad einrichten, um festzustellen, ob die internen Kontrollen befolgt werden oder nicht. Dazu gehören die Aufzeichnung aller Transaktionen, die Führung von Aufzeichnungen und die Überprüfung von Berichten.
Organisationen sollten Verfahren für die Berichterstattung und Nachverfolgung einrichten. Dazu gehören die Meldung von Mängeln bei internen Kontrollen, die Ausarbeitung von Plänen für Abhilfemaßnahmen und die Sicherstellung, dass die Abhilfemaßnahmen ordnungsgemäß umgesetzt werden.
Checklisten für interne Kontrollen sind Instrumente, die von Prüfern zur Bewertung der internen Kontrollen eines Unternehmens verwendet werden. Die Checkliste soll dem Prüfer helfen, Bereiche zu identifizieren, in denen Kontrollschwächen bestehen könnten. Es handelt sich nicht um eine vollständige Liste aller möglichen Kontrollschwächen, aber sie kann ein nützlicher Ausgangspunkt für die Ermittlung potenzieller Risiken sein.
Die IFC-Checkliste ist ein Instrument, das von Unternehmen verwendet wird, um die Einhaltung der Anforderungen der International Financial Reporting Standards (IFRS) zu gewährleisten. Die Checkliste enthält eine Liste von Punkten, die Unternehmen bei der Erstellung ihrer Abschlüsse berücksichtigen sollten, und soll ihnen helfen sicherzustellen, dass sie die IFRS einhalten.
1) Kontrollumfeld – Das Kontrollumfeld ist die Gesamtheit der Normen, Verfahren und Prozesse, die dazu beitragen, die Wirksamkeit und Effizienz der Tätigkeiten einer Organisation zu gewährleisten. Dazu gehören auch die Unternehmenskultur, die ethischen Werte und die von der Geschäftsleitung vorgegebene Haltung. 2) Risikobewertung – Unter Risikobewertung versteht man den Prozess der Identifizierung und Bewertung von Risiken, die das Erreichen der Ziele einer Organisation gefährden. Die Risikobewertung hilft Organisationen dabei, Risiken zu identifizieren und zu priorisieren und Strategien zu deren Bewältigung zu entwickeln. 3) Kontrollaktivitäten – Kontrollaktivitäten sind die Richtlinien und Verfahren, die dazu beitragen, dass die Weisungen des Managements ausgeführt werden. Dazu gehören z. B. Genehmigungen, Ermächtigungen, Abstimmungen und Überprüfungen. 4) Information und Kommunikation – Informations- und Kommunikationssysteme sind die Mittel, mit denen eine Organisation Informationen sammelt, verarbeitet und verbreitet. Wirksame Informations- und Kommunikationssysteme tragen dazu bei, dass Informationen korrekt und rechtzeitig zur Verfügung stehen und denjenigen zugänglich sind, die sie benötigen. 5) Überwachung – Überwachung ist der Prozess der Bewertung der Wirksamkeit der internen Kontrollsysteme einer Organisation. Dazu gehört die Bewertung der Angemessenheit des Kontrollumfelds, der Angemessenheit der Risikobewertungsverfahren, der Wirksamkeit der Kontrolltätigkeiten, der Angemessenheit der Informations- und Kommunikationssysteme und der Wirksamkeit der Überwachung selbst.
Es gibt vier Möglichkeiten, interne Kontrollen zu testen:
1. Begehungen – Dabei geht jemand aus der Geschäftsleitung oder dem Prüfungsteam mit jemandem, der mit den vorhandenen Kontrollen vertraut ist, durch den Prozess. Dies geschieht, um zu verstehen, wie die Kontrollen in der Praxis funktionieren und um mögliche Schwachstellen zu ermitteln.
2. Substanzielle Tests – Diese Tests dienen dazu, die Wirksamkeit der eingerichteten Kontrollen zu überprüfen. Dies kann durch eine analytische Überprüfung oder durch das Testen von Transaktionen geschehen.
3. Wiederholung – Hier führt der Prüfer die Kontrollverfahren erneut durch, um ihre Wirksamkeit zu testen.
4. Simulation – Hier schafft der Prüfer eine simulierte Umgebung, um die Kontrollen zu testen. Dies wird häufig eingesetzt, wenn es nicht praktikabel ist, die Kontrollen in der realen Umgebung zu testen.