IKS

Regelt die Vermeidung und Einschränkungen von Risiken durch Kontrollmaßnahmen

Umfasst alle im Unternehmen planvoll eingesetzten Methoden und Maßnahmen

- die das Vermögen des Unternehmens sichern

- die betriebliche Effizienz und somit die Wirtschaftlichkeit steigern

- die Zuverlässigkeit des Rechnungs

- und Berichtswesens gewährleisten

- die Einhaltung der vorgeschriebenen Geschäftsrichtlinien und gesetzl. Vorschriften sicherstellen

- Sicherung und Schutz des vorhandenen Vermögens vor Verlust aller Art

- Gewinnung genauer, aussagekräftiger und zeitnaher Aufzeichnungen

- Förderung des betrieblichen Wirkungsgrades durch Auswertung der Aufzeichnungen

- Unterstützung der Befolgung der vorgeschriebenen Geschäftstechniken

- § 289 (4) HGB

- § 315 (2) HGB

- § 91 (2) AktG

- § 93 (1) AktG

- § 107 (3) AktG

- § 43 (1) GmbHG

--> auf internationaler Ebene

--> Sarbane Oxley Act 404

- Jeder Jahresbericht von börsenorientierten Unternehmen muss eine Beurteilung der Wirksamkeit eines IKS der Rechnungslegung enthalten

1. Zielsetzung und Planung = Willensbildung2. Entscheidung, Organisation, Durchführung = Willensdurchsetzung3. Kontrolle, Überwachung = Willenssicherung

- Sicherheit (z. B. gegen Brand, Diebstahl, Vermögenssicherung, etc.)- Wirtschaftlichkeit (Kosten- und Erlöskontrolle, Effizienz gewährleisten)- Ordnungsmäßigkeit --> Sachliche und formelle Richtigkeit--> Vollständigkeit und termingerechte Durchführung--> Dokumentation, Nachvollziehbarkeit und Einhaltung der gesetzl. Vorschriften

- Wirksamkeit und Effizienz der betrieblichen Abläufe- Verlässlichkeit der finanziellen Berichterstattung- Einhaltung der einschlägigen Gesetzte

Für den Aufbau eines IKS gibt es keine konkrete gesetzliche Regelung. Es hängt ab von:- Größe des Unternehmens- Rechtsform- Komplexität der Prozesse- Art der Geschäftstätigkeit- Art und Umfang der rechtlichen Vorschriften, die zu beachten sind- dem praktizierten Informationsmangement, d. h. den Methoden zur Erfassung, Verarbeitung, Aufbewahrung und Sicherung von Informationen und Daten

- gezielter Einsatz geeigneter Maßnahmen unter Abwägung von Kosten und Nutzen- Überschaubarkeit und Pragmatik, um ein übersichtliches Überwachungsinstrument zu bleiben- ständige Wachsamkeit der Unternehmensleitung und Führungspersonen, sowie Professionalismus beim Umang miteinander

- Prinzip der Transparenz - Prinzip der vier Augen- Prinzip der Funktionstrennung- Prinzip der Mindestinformation

- Ein Prozess soll einem Sollzustand entsprechen, damit Außenstehende bewerten können, ob die Mitarbeiter auf der jeweiligen Organisationsebene dieses Sollkonzept befolgen (z. B. in Prozesshandbuch dokumentiert)

- Elementare und bedeutende Vorgänge müssen nochmals von einer anderen Person kontrolliert werden- Verstöße, eigennütziges Verhalten und Fehler können durch eine zusätzliche Kontrolle minimiert werden- Das Prinzip soll Veruntreuung, Korruption und die Überschreitung von Kompetenzen vermeiden

- Das Prinzip fordert die Verteilung von vollziehenden (z. B. Einkäufe bei Lieferanten), verbuchen (z. B. Finanzbuchhaltung) und verwaltenden (z. B. Lagerverwaltung) Tätigkeiten, die das Unternehmen innerhalb eines Unternehmensprozesses (z. B. Einkaufsprozess als Prozess von Bedarfsermittlung bis zum Zahlungsausgang) durchführt, auf mindestens zwei Ebenen

- Die Mitarbeiter sollen nur die Informationen erhalten, die sie für ihre Aufgabenerfüllung benötigen (vor allem bei Nutzungsrechten)

- internes Steuerungssystem- internes Überwachungssystem

= Organisatorische Maßnahmen bei der Einführung eines IKS- alle organisatorischen Maßnahmen, nur wer Struktur hat kann überprüfen ob etwas richtig oder falsch ist

Aufbauorganisation- Gliederung des Unternehmens in Aufgabenbereiche, Stellen, Abteilungen (= Organigramm)Ablauforganisation- Beschreibung der einzelnen Arbeitsabläufe / Arbeitsprozesse (= Prozessmanagement)---> Eine Dokumentation der Aufbau - und Ablauforganisation ist bei der Einführung eines IKS zwingend und muss allen MA bekannt und zugängig sein.

- Hierarchisches Gerüst einer Organisation- Beschreibt, wer welche Entscheidung von wem bekommt und an wen weitergegeben werden kann

- Die Stelle ist ein Teil der Aufbauorganisation:- Mehrere Stellen bilden eine Abteilung

- Aufgabe- Kompetenz- Verantwortung

- Einordnung der Stelle in die Unternehmensorganisation- Stellvertretung- Tätigkeitsbeschreibung--> Zielsetzung (Hauptaufgabe) der Stelle--> Aufgaben (Führungsaufgaben, Fachaufgabe, ...)--> Kompetenzen und Pflichten--> Anforderungen an den Stelleninhaber--> Zusammenarbeit mit anderen Stellen- Weiterbildungsmöglichkeiten - Leitungskriterien- Sachlich-organisatorische Angaben (z. B. Verteiler, nächste Überprüfung)

Linienstellen = eingebunden in die HierarchieStabstellen = ohne Weisungsbefungis, nur Vorschlagsrecht

- Dezentral --> eine Person in der Abteilung beschäftigt sich nebenbei noch mit dem Risikomangement- Zentral --> Es gibt eine eigene Abteilung

Vorteile:- geringere Aufwand- Operative Risiken sind leichter identifizierbar - Auswirkungen der Risiken leichter absehbarNachteile: - Gefahr des Übersehens von Risiken (Betriebsblindheit)- Bedeutung für Gesamtunternehmen schwer erkennbar- Parallele Organisationsstruktur erforderlich

Vorteile: - keine parallelen Organisationstrukturen- Einfluss und Führungskompetenz an einer Stelle gebündelt- Strategische Risiken können frühzeitig erkannt werden Nachteile:- Höherer Aufwand (müssen viel mit Leuten Reden um an die Informationen zu kommen- Übersehen von Risiken durch Ausgrenzen operativer Mitarbeiter- Längere Kommunikations - und Entscheidungswege

- Compliance - Management - System--> Einhaltung der rechtlichen Vorschriften (Datenschutz, Arbeitsbedingungen, Umweltschutz)- Eigenes IT-Risikomanagement--> Ausfälle & Probleme der IT- Riskboard--> beschäftigt sich zentral mit Unternehmsrisiken

- zeigt ablaufende Arbeits- und Informationsprozesse die horizontal durch die Aufbauorganisation fließen- Mit Programmablaufplänen werden einzelne Schritte eines Prozessablaufs in einer sachlichen und zeitlichen Reihenfolge dokumentiert

- Flussdiagramm- Balkendiagramm- Netzplan

- Der Verlauf eines Handlungsprozesses inkl. möglicher Variationen logisch darstellen- Eignet sich besonders für Handlungs - bzw. Ablaufprozesse zu planen und zu erklären- leicht verständlich und gut lesbar

- häufigster Diagrammtyp- Säulendiagramm sehr ähnlich allerdings werden die Balken waagerecht dargestellt- Gute Veranaschaulichung von Rangfolgen

- Durch Netzpläne ist eine zeitliche Verkettung von Aktionen möglich- Anwendung insbesondere in der Terminplanung von Projekten, wenn zahllreiche Arbeitsschritte aufeinander folgen

= systematische Überwachung

- Prozessintegrierte Überwachungsmaßnahmen- Prozessunabhängige Überwachungsmaßnahmen

- Maschinelle Kontrolle- Plausibilitätsprüfungen- Zugriffsbeschränkungen- Einheitliche Berichtstools

- Interne Revision- Aufsichtsrat- Wirtschaftsprüfer

- Regelmäßige Berichterstattung an die GF muss durchgeführt werden- Kommunikation muss angstfrei sein- ad-hoc Berichterstattung im Notfall

- zielgerichtete (Schwellenwerte --> Entscheider)- zeitnahe (rechtzeitige und regelmäßig)- verdichtete (zusammengefasst, Überschaubar)

Dokumentation = Grundvoraussetzunge eines IKS- Dokumentation der Aufbau - und Ablauforganisation- Lückenlose Darstellung der Kontrollinstrumente- Hinweise auf die Verantwortlichen und Informationen zur Durchführung und Ergebnisse der Kontrollen- Umfang richtet sich nach Größe und Komplexität des Unternehmens- Jeder Mitarbeiter ist zur Dokumentation verpflichtet- Wesentliche Aspekte werden in einem RMS Handbuch festgehalten

- Rechenschaftsfunktion- Sicherungsfunktion- Prüfbarkeitsfunktion

Nachweis des pflichtgemäßgen Verhaltens insb. in Bezug auf gesetzliche Verpflichtungen

Voraussetzung für personenunabhängie Funktionsfähigkeit des RMS. Durch Information der Mitarbeiter einheitliche und konsequente Umsetzung

Prüfung durch Aufsichtsrat, Wirtschaftsprüfer

1. Gründe für die Einrichtung eines RMS2. Grundlagen des RMS2.1. Definition2.2. Unternehmensziele3. Organisation3.1. Technische Ausstattung3.2. Aufgaben4. Prozesse des Risikomangements4.1. Risikoidentifikation4.2. Risikobewertung4.3. Risikosteuerung4.4. Risikoüberwachung

Kennzeichnung der Eventualität, dass mit einer Wahrscheinlichkeit ein Schaden bei einer Entscheidung eintritt oder ein erwarteter Vorteil ausbleiben kannRisiko im weiteren Sinne umfasst auch eine positive Abweichung = Chance

- Auswirkung des Risikos- Herkunft des Risikos- Bedeutung des Risikos- Ursache des Verhaltens- nach Art

Geringes- kein Handlungsbedarf- keine Risikoreduzierung notwendigMittleres- Handlungsbedarf- Risikoreduzierung notwendigHohes- dringeder Handlungsbedarf- Risikoreduzierung dringend notwendig

Interne Risiken- ergeben sich aus dem leistungswirtschaftlichen und finanzwirtschaftlichen Prozess im UnternehmenExterne Risiken- werden bestimmt durch unvorhergesehene unternehmerische Rahmenbedinungen (z. B. staatliche Vorgaben)

Strategische bedrohliche Risiken= Risiken, die sich aus langfristigen Entscheidungen der Unternehmensleitung ergebenOperative nicht bedrohliche Risiken= Beziehen sich auf die betrieblichen Prozesse und die Leistungserstellung

- Missbrauch, z. B. Veruntreuung von Geldern- Vorsätzlicher Fehler ohne Regelverstoß, z. B. kein Herunterfahren des PC- Fahrlässigkeit aus Unachtsamkeit, z. B. Türen in Büroräumen werden nicht abgeschlossen

- Prozessrisiken- Systemrisiken- Finanzrisiken- Personalrisiken- Rechnungslegungsrisiken- Regulatorische (rechtliche Risiken)

- Rechtliche Risiken- Wirtschaftliche Risiken- Finanzielle Risiken- Personalrisiken- Prozessrisiken- Datenrisiken- Fraud Risiken

- Steuerrechtliche Risiken- Vertragsrisiken- Rechtsstreitigkeiten- Unfälle (v. a. Arbeitsunfälle)- Schadensersatz (z. B. fehlerhafte Produkte)- Strafen

Vertieb u. Marketing = Mehrere Risiken, welche u. a. vom Kunden beeinflusst werden:- Erfüllungsrisiko --> Produkte können nicht geliefert werden- Verkaufsrisiko --> Es gibt keinen Käufer - Lagerrisiko --> Lagerschäden- Transportrisiko --> Schäden bei Lieferung- Zahlungsrisiko --> Kunden zahlen nicht- Haftungsrisiko --> Gewährleistung tritt ein

- Zahlungsunfähigkeit- Überschuldung

- Führungsrisiken- Engpassrisiko- Gesundheitsrisiko- Austrittsrisiko- Anpassungsrisiko- Loyalitätsrisiko- Motivationsrisiko

- unzureichende betriebswirtschaftliche und technische Kenntnisse- Unklare Aufgabenstellungen- Unvollständige und unklare Beschreibung der Abläufe- Unklare Verantwortlichkeiten- Unzureichende Kontrollen- Unzulässige Nutzung der IT- Technik- Ungeeignetes Personal ohne Fachkenntnisse - Sehr hohe Komplexität

Datensicherung:- Müssen immer zugreifbar sein- Müssen durchgeführt werden- Sicherheitsrichtlinien müssen aufgestellt werdenDatenverlust:- Bedienungsfehler, also Daten werden überschrieben oder gelöscht- Technische Defekt

vorsätzliche und / oder rechts- und regelwidrige Tat, wie z. B., Täuschung, Unterschlagung)- Täuschungen (Angaben werden bewusst gefälscht)- Unrichtigkeiten (keine bewusste Handlung, z. B. Rechenfehler)- Vermögensschäden (Widerrechtliche Aneignungen oder Verpflichtungen erhöht)

- Analyse der globalen (äußeren) Umwelt- Analyse der Wettbewerbsumwelt

- Früherkennungssysteme (Frühwarnsysteme) sollen in einem frühen Stadium Gefährdungen, aber auch positive Entwicklungstrends erfassen- sind primär ein Instrument zur strategischen Kontrolle und damit nicht Teil des IKS

Nach § 91 (2) AktG sind Aktiegesellschaften per Gesetz ausdrücklich zur Einrichtung eines Risikofrüherkennungssystems verpflichtet.

- Absolute Indikatoren- Verhältnisindikatoren- Benchmarktindikatoren- Umweltindikatoren

- Werden direkt aus den Unternehmens - und Marktdaten entnommen--> Stückzahlen, Auftragseingänge, Fluktuation, Preise

- Setzen Daten ins Verhältnis--> Ausschussquote, Reklamationsquote

- Vergleichen gesetzte Unternehmensziele mit tatsächlichen Ergebnissen

- Qualitative Indikatoren, die noch nicht eindeutig identifizierbare und vage Umwelteinflüsse zeigen hinsichtlich--> Konjunkturverlauf / Wirtschaftswachstum / Preis - und Lohnentwicklung / Konsumklima

- Wenn sie eindeutig die Ursache einzelner Risiken beschreiben- Kontinuierlich messbar und rechtzeitig verfügbar sowie- Ökonomisch sinnvoll mit einem angemessen Kosten-Nutzen - Verhältnis sind

- Schadenshöhe und Eintrittswahrscheinlichkeit definieren

- Wie hoch die Eintrittswahrscheinlichkeit- Welches Ausmaß der verursachte Schaden errichten kann

- tabellarische Übersichten - Risikomatrix- Risikoinventar- Risikoaggregation

- Dient der systematischen Abschätzung und Bewertung von Risiken- Es werden die Wahrscheinlichkeit des Auftretens eines Risiko (Eintrittswahrscheinlichkeit) und die Auswirkung des Risikos (Schadesnhöhe) tabellarisch dargestellt- Position der Risiken gibt Auskunft welche Bedeutung dem Risiko zugeschrieben wird- Aus der Position der Risiken kann die Dringlichkeit von Risikobewältigungsmaßnahmen abgelesen werden

- Erkenntnisse der Risikoidentifikation und - bewertung werden dort erfasst- Es enthält Informationen über --> einzelne Risiken, --> deren Bewertung, --> die Beurteilung der risikopolitischen Maßnahmen, --> Vorschläge zur Verbesserung des Status quo und --> eine Priorisierung der Maßnahmen- Komprimierter Überblick für Entscheidungsträger- Überprüfung wird Risikoinventur genannt

- ist eine ZUsammenfassung aller Risiken, aber keine einfache Addition- Ziel ist die Bestimmung der Gesamtrisikoposition, sowie die Ermittlung der relativen Bedeutung von Einzelrisiken auf die Unternehmensentwicklung- Summe der Risiken kann für das Unternehmen existenzgefährdend sein- Es muss für das Unternehmen auch das aggregierte Gesamtrisiko ermittelt werden- Die Beurteilung der Gesamtrisikosituation erlaubt dem Unternehmen zu entscheiden, ob es das Risiko tragen kann bzw. der Fortbestand des Unternehmens gefährdert ist

Beschäftigt sich mit der Fragestellung, welche Maßnahmen durchzuführen sind, um die identifizierten und bewerteten Risiken zu steuern.

- Aktive und passive

- Risikovermeidung- Risikominderung / Risikoverringerung- Risikobegrenzung- Risikodiversifikation / Risikosteuerung

-Risikotransfer / Risikoübertragung- Risikovorsorge- Risikoaktzeptanz

- Gänzlicher Verzicht auf risikobehaftete Tätigkeiten- Gewinne sind auch nicht möglich- z. B. Aufgaben risikoreicher Geschäftsbereiche

Eintrittswahrscheinlichkeit wird verinngert, durch:- Vertragliche Vereinbarungen (z. B. Vorauszahlung)- Hereinnahme von Kreditsicherheiten- Organisatorische od. Technische Wartung (z. B. regelmäßige Wartungen der Anlagen, Weiterbildungen)

- Höhe eines möglichen Schadens wird begrenzt- z. B. durch Devisentermingeschäfte

- Gesamtrisiko wird in mehrere Einzelrisiken aufgespalten "nicht alle Eier in einen Korb legen"--> Regionale Steuerung durch Produktion desselben Produktes in verschiedenen Betriebsstätten--> Objektbezogene Diversifizierung, z. B. durch Schaffung mehrerer gleichartiger Produktionsanlagen--> Personenbezogene Diversifizierung, z. B. Vorstandsmitglieder reisen getrennt zum Ziel

- Übertragung auf andere Wirtschaftssubjekte- Reduziert nicht Eintrittswahrscheinlichkeit, sondern nur Folgen des Risikoeintrittsz. B. Versicherungsgeschäfte

- Bilanzielle Maßnahmen, wie Rückstellungen, Wertberichtigungen, Abschreibungen- Schaffung einer aktzeptablen Eigenkapitalbasis

- Unfallschutz- Qualitätsmangement- Marktforschung- Controlling- Ethische Unternehmensführung

- Menschliche Fehlleistungen- Seltene Geschäftsvorfälle- Umgehung- Fehlende Kontrolle

- Automatisierte und manuelle Kontrollen- Detektive und Präventive Kontrollen- Primäre und Sekundäre Kontrollen (nach Relevanz)

- Checklisten - Risikokontrollmatrizen für Prozesse- MIssbrauchs - Indikatoren für Prozesse

- Teile aller Geschäftsvorfälle in Teilprozesse- Verantwortlichen jeden Teilprozess zuordnen- Steuerungs- und Kontrollmaßnahmen werden für jeden Teilprozess beschrieben und kommentiert- Danach Beurteilung und Schlussfolgerung

- Indikatoren sind Hinweise auf bestimmte Ereignisse- Unter Missbrauch (doloses Verhalten) versteht man folgendes:--> vorsätzliche rechtswidrige Handlungen--> ein oder mehere Personen, die das Unternehmen schädigen--> interne Regelverstößge--> unterlassenen Handlungen diese zu melden

- Unternehmensumfeld, Markt, Branche- Unternehmenskultur (schlechtes Betriebsklima, Laissez-faire-Führungsstil ohne Konsequenzen bei Regelverstößen)- Interne Organisation (Komplexe, unübersichtliche Unternehmensprozesse, fehlende Überwachung)- Einstellung des Topmanagements

- Management-Frauds (falsche Präsentation des Unternehmens)- Mitarbeiter -Frauds (Erlangung pers. Vorteile, z. B. durch Diebstahl)- Begünstigung Dritter (Gewährung ungerechtfertigter Leistungen an Dritte)

- Bestimmen, was man unter MIssbrauch versteht- Einzelne Missbräuche den Geschäftsprozessen, Funktionsbereiche, Organisationseinheiten zuordnen- Missbräuche in den einzelnen Gerschäftsprozessen beschreibe- Indikatoren und ggf. Kennzahlen für die einzelnen Missbräuche entwickeln- Diese Indikatoren in einer Liste oder einem Dokument festhalten

Motivation:- zu falschem Verhalten (Mitarbeiter ist jetzt in privaten finanziellen Schwierigkeiten)Geringe Moral:- schwer feststellbarGelegenheit (zum merken: Wie Möglichkeit - 3 M)- Insbesondere Gelegenheiten kann man mit einem IKS einwirken

Ist nur dann gegeben wenn,- sachli. Richtigkeit- formelle Richtigkeit- Vollständigkeit- termingerechte Durchführung- Dokumentation- Nachvollziehbarkeit- Einhaltung der gesetzl. Vorschriften

Internes Kontrollsystem:- zentraler Bestandteil des Risikomanagementsystems- Steuerung und Überwachung von RisikenRisikomangement:- Schwerpunkt auf der Identifikation, Analyse und der Bewertung von Risiken

- Ist Bestand im Verhältnis zum Soll-Bestand- Durchschnittl. Kosten pro Bestellung / Arbeitszeit / IT-Kosten pro Mitarbeiter- Qualitätsgrad- Ausschussquote / Flukutationsquote / Krankheitsquote / Eigenkapitalquote / - Auftragseingangstruktur / Vermögensstruktur / Abschreibungsstruktur /

- Diebstahl- Missbrauch- Missachtung von Regelungen / Gesetzen / Verordnungen- Verschweigen von Insolvenz / Diebstahl / existenzrelevanter Informationen- Zugriffe an Personen - Mobbing / Erpressung

- Veränderungsprozess muss durch vorbildliches Verhalten aktiv gestaltet und angeleitet werden- Grundvoraussetzung für TQM ist die Einbeziehung und Aktivierung aller Mitarbeiter- Zudem ist die ständige Veränderung durch ein funktionierendes QM-System, regelmäßige Audits, Qualitätszirkel, und die Integration von Lieferanten gewährleistet- Eine Auszeichnung durch EFQM ist ein langfristiges Ziel ---> Das TQM muss zuvor erst einige Jahre bestehen und gelebt werden