Content

12 Das Interne Kontrollsystem im Rechnungswesen in:

Michael A. Klinger, Oskar Klinger

Das Interne Kontrollsystem im Unternehmen, page 34 - 39

Checklisten, Organisationsanweisungen, Praxisbeispiele und Muster-Prüfberichte

2. Edition 2009, ISBN print: 978-3-8006-3656-3, ISBN online: 978-3-8006-4430-8, https://doi.org/10.15358/9783800644308_34

Series: Controlling Competence

Bibliographic information
12 Das Interne Kontrollsystem im Rechnungswesen 12.1 Zielsetzung Das Rechnungswesen ist die wichtigste Informationsquelle im Unternehmen. Es soll: die Grundlagen für das so genannte Management-Information-System (MIS) • liefern, d.h. die erforderlichen Berichte und Informationen rechtzeitig, richtig und klar der Geschäftsführung und sonstigen Stellen zur Verfügung stellen den gesetzlichen Anforderungen entsprechen und die Grundlage für die Be-• steuerung der Umsätze und Erträge bilden die Daten für die Kostenrechnung und Kalkulation liefern• nach den Prinzipien des IKS – Ordnungsmäßigkeit, Sicherheit, Wirtschaft-• lichkeit – aufgebaut und geführt werden. 12.2 Allgemeine Anforderungen Die Buchführungspflicht und die Führung der Handelsbücher sind im § 238 und § 239 HBG festgelegt. Die Buchführung hat nach den Grundsätzen der Ordnungsmäßigkeit zu erfolgen (P 4.3). Für die Ordnungsmäßigkeit ist (und bleibt) nur der VS/GF selbst verantwortlich. Deshalb ist auch die Auswahl und Überwachung der mit der Funktion der Buchführung und der Datenverarbeitung betrauten Personen sowie die Auswahl der Hard- und Software für die EDV mit der Sorgfalt eines ordentlichen Kaufmanns vorzunehmen. Die drei Säulen des IKS, Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit im Rechnungswesen werden im Folgenden behandelt. 12.3 Ordnungsmäßigkeit des Rechnungswesens 12.3.1 Die materielle Richtigkeit Die materielle Richtigkeit ist dann gegeben, wenn nur sachlich und rechnerisch richtige Belege verarbeitet werden. 00I-144.indd Abs1:31 04.08.2009 12:05:36 Uhr 12 Das Interne Kontrollsystem im Rechnungswesen32 12.3.2 Die formelle Richtigkeit Die formelle Richtigkeit ist gegeben, wenn folgende Grundsätze eingehalten werden: es muss ein Konten- und Kostenstellenplan, eine Regelung für die Kosten-• stellenrechnung und eine Beschreibung des MIS vorhanden sein keine Buchung ohne Beleg• Einhaltung der gesetzlichen Belegstrenge (die Belege sollten gut leserlich • und nicht verschmutzt sein, der Grund für Fotokopien als Ersatzbelege muss angegeben sein usw.) auch auf den Belegen muss mit dokumentensicheren Schreibgeräten gearbei-• tet werden (keine Bleistiftvermerke) die Zuordnungsmerkmale (Konto/Gegenkonto, Kostenstelle, Beleghinweis) • müssen auf jedem Beleg angegeben sein die vorgesehenen und verrechenbaren Drucksorten sind auf jeden Fall zu • verwenden, dies gilt besonders für die innerbetriebliche Leistungsverrechnung werden Zahlen, Buchstaben oder Symbole verwendet, so muss im Einzelfall • deren Bedeutung eindeutig festliegen (§ 146 III AO). 12.3.3 Die Vollständigkeit Die Vollständigkeit der Verarbeitung der Belege ist durch programmierte Kontrollen sicherzustellen. Der Belegfluss ist so zu regeln, dass die Vollständigkeit eingehalten werden kann. 12.3.4 Die Termingerechtigkeit Hier sieht § 239 des HGB vor, dass die Buchungen nicht nur vollständig und richtig, sondern auch zeitgerecht und geordnet vorgenommen werden müssen. Termingerechtigkeit kann nur durch eine tagfertige Buchhaltung erreicht werden. Arbeitsrückstände führen zu Unübersichtlichkeit und erschweren Kontrollen. 12.3.5 Dokumentation Die EDV-Programme des Rechnungswesens müssen dokumentiert sein. Die Beschreibung der Datenerfassung, Dateneingabe, Datensicherung, das Abstimmverfahren, die Überleitung der Daten an den Schnittstellen zu anderen Verfahren muss dokumentiert und jederzeit ohne großen Zeitaufwand verfügbar sein. Die Tests bei Neueinführung von Programmen müssen deshalb dokumentiert sein, weil sie als Beweis für die Richtigkeit und Sicherheit dienen und die Einhaltung der gesetzlichen Vorschriften nachweisen. Die Tests müssen nicht nur vom Programmersteller, sondern auch von jenen Mitarbeitern 00I-144.indd Abs1:32 04.08.2009 12:05:36 Uhr 12 Das Interne Kontrollsystem im Rechnungswesen 33 des eigenen Unternehmens, die am Test und am Freigabeverfahren mitgewirkt haben, unterschrieben sein. Archivierung: Für die Archivierung der Datenträger müssen folgende Regelungen getroffen werden: Einhaltung der gesetzlichen Vorschriften (gemäß § 257 HGB und § 146 AO)• Beschriftung der Datenträger• Archivnummernvergabe• Datei-Namensregelung• Aufbewahrungsdauer.• Die Ausgabe und Rücknahme der Datenträger sollte nur für berechtigte Mitarbeiter erfolgen. Die Ablage muss gegen Missbrauch gesichert sein, unberechtigte Belegentnahmen müssen vermieden werden. Die Entscheidung, wann welche Belege vernichtet werden können, muss geregelt sein. Die Ablagebehälter und -kartons müssen so beschriftet sein, dass jeder Beleg rasch auffindbar und für die Aufbewahrungsfrist erkennbar ist. Die Ablage und Archivierung als Wiedergabe auf Bildträgern (Mikroverfilmung) ist gemäß § 257 III Nr. 2 HGB und § 146 V AO möglich, sollte aber den Grundsätzen des IKS entsprechen. 12.3.6 Nachvollziehbarkeit § 239 III HGB und § 146 IV AO bestimmen, dass eine Eintragung oder eine Aufzeichnung nicht in einer Weise verändert werden darf, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind. So muss z.B. die Speicherung bei EDV-Dialogbuchführung sofort und unabänderlich geschehen. Ursprüngliche Buchungen dürfen nur durch Storno- und Umbuchungsbelege korrigiert werden. Die Richtigkeit der Verarbeitung muss durch einen sachverständigen Dritten nachvollziehbar sein. Sie muss progressiv vom Beleg über das Journal und das Konto bis zur Bilanz und der Gewinn- und Verlustrechnung einerseits und retrograd von der Bilanz, Gewinn- und Verlustrechnung über das Konto und Journal zum Beleg andererseits zurückverfolgbar sein (audit trail). Nicht nur die Mitarbeiter im Rechnungswesen, sondern auch der VS/GF und andere sachverständige Dritte müssen sich jederzeit ohne lange Erklärungen im Rechnungswesen zurechtfinden können. 12.4 Sicherheit im Rechnungswesen Der VS/GF ist für die Datensicherheit verantwortlich. Die Datensicherheit muss daher eine Forderung der Unternehmensleitung sein, denn sie schützt 00I-144.indd Abs1:33 04.08.2009 12:05:36 Uhr 12 Das Interne Kontrollsystem im Rechnungswesen34 vor schädigenden Vorfällen. Datensicherheit ist für jedes Unternehmen nur durch ein planvolles Konzept zu erreichen. Sie ist mehr ein organisatorisches als ein technisches Problem. Sicherheit im Belegwesen: Es soll keine Belegverarbeitung ohne Prüfung der formellen und materiellen Richtigkeit stattfinden. Erleichtert wird das dadurch, dass Belegvermerke standardisiert werden. Diktatzeichen und Unterschriften der Freigabeberechtigten im Unternehmen sollten dokumentiert sein, damit diese auf den Belegen als solche erkennbar sind. Die Berechtigung für die Ausstellung von Umbuchungs- und Stornobelegen sollte geregelt sein. Erfolgswirksame Umbuchungsbelege sollten nach dem Grundsatz des Vier-Augen-Prinzips die zweite Unterschrift eines Vorgesetzten aufweisen. Auch eine ausreichende Textierung und Begründung sowie eventuelle Unterlagen für solche erfolgswirksamen Umbuchungen müssen beigegeben sein. Die Belege müssen zwecks Vermeidung der Wiederverwendung entwertet werden. 12.5 Sicherheit bei der Dateneingabe Ein Zugríffsschutzsystem und die Möglichkeit zur Vergabe individueller Berechtigungen soll Folgendes gewährleisten: den Schutz vertraulicher Daten vor unberechtigter Kenntnisnahme• den Schutz der Daten vor unberechtigter Veränderung oder Löschung• Transparenz der Verfahren, damit sie nachvollziehbar sind.• Hierdurch sollen Verstöße gegen das elektronische Radierverbot verhindert werden. Auch die formellen Anforderungen zum Aufbau der Buchführung, insbesondere die Nachvollziehbarkeit der Buchungen soll gewährleistet sein. Der Zugriffsschutz muss auch gewährleisten, dass nur autorisierte Personen in das System und an bestimmte Daten gelangen können. Die entsprechenden Passwörter müssen verdeckt eingegeben werden können• nur vom Anwender selbst vergeben und verändert werden können• eine Änderung in definierbaren Abständen erzwingen.• Das Berechtigungskonzept muss es ermöglichen, die Rechte des Anwenders nur auf die Tätigkeiten im System zu beschränken, die er auf Grund seiner Stellung und Verantwortlichkeit im Unternehmen unabdingbar braucht (Prinzip der minimalen Berechtigung). Bei Ausscheiden eines Mitarbeiters aus dem Rechnungswesen muss die Löschung seiner Berechtigungen sichergestellt sein. Die vom Hersteller zur Verfügung gestellte Systemsoftware macht es oft auch den nicht besonders geschulten Mitarbeitern leicht, Dateien aufzubauen, zu verändern und zu löschen. Dadurch kann es sowohl absichtlich als auch irr- 00I-144.indd Abs1:34 04.08.2009 12:05:36 Uhr 12 Das Interne Kontrollsystem im Rechnungswesen 35 tümlich zu Veränderungen und Löschungen von Datenbeständen kommen. In der Regel können mehrere Bildschirme zur Dateneingabe genutzt werden. Dies erleichtert den nicht erlaubten Zugriff auf Datenbestände. Bei Magnetkarten (code cards) ist ein Nachweis über die vergebenen Ausweise zu führen. Alle Terminals müssen ein automatisches sign-off (log-off) aufweisen, wenn ein Gerät eine definierte Zeitspanne hindurch nicht benutzt wird. Wenn möglich, sollte man keine unzuvereinbarenden Funktionen zusammenfallen lassen. Zum Beispiel: Belegerstellung – Dateneingabe – Zahlungsverkehr• Kasse – Buchhaltung• Verbuchung von Ausgangsrechnungen und Eingangsrechnungen und die • gleichzeitige alleinige Möglichkeit von Umbuchungen und Stornobuchungen Buchhaltung – Verkauf• Buchhaltung – Einkauf• Lohnverrechnung – Kassenführung.• Durch ein unzureichendes IKS für die Überwachung von Stammdatenänderungen können sowohl die Ordnungsmäßigkeit als auch die Datensicherheit beeinträchtigt werden. Die Berechtigung für die Veränderung von Stammdaten (Kreditlimits, Zahlungsziele etc.) muss nach dem Vier-Augen-Prinzip geregelt sein. Bei unabsichtlich falscher Verwendung von Buchungssymbolen müssen diese nachträglich händisch auf den Konten korrigiert werden. Wer welche Programme wann gestartet hat, muss protokolliert werden. 12.6 Datensicherheit Bei falschen Ergebnissen muss die Informationspflicht an den Vorgesetzten bzw. Geschäftsleitung obligat sein. Die Unveränderbarkeit der auf Datenträgern gespeicherten Buchungen muss gesichert sein. Alle Umschlüsselungen und automatisierten Kostenumlagen der Betriebs- und Kostenrechnung müssen dokumentiert sein. Nur so kann nachgewiesen werden, dass die Ergebnisse der Kostenstellenrechnung korrekt sind. Alle Buchungen, die nur die Kostenrechnung, Betriebsabrechnung oder die profit-center-Rechnung (innerbetriebliche Buchungen) betreffen, sollten aus der Finanzbuchhaltung ausgelagert und in einer eigenen Kontengruppe verbucht werden (Kontengruppe 999). 00I-144.indd Abs1:35 04.08.2009 12:05:36 Uhr 12 Das Interne Kontrollsystem im Rechnungswesen36 Kein Unbefugter sollte Daten während der Erfassung, der Verarbeitung, des Datentransportes abfragen, verändern, eingeben, löschen oder kopieren können. Der betrügerische Datenverarbeitungsmissbrauch und die Datenbeschädigung sind nach den §§ 263a und 303b StGB strafbare Tatbestände. Die Beleg- und Kontoablage muss feuer- und diebstahlsicher sein. 00I-144.indd Abs1:36 04.08.2009 12:05:36 Uhr

Chapter Preview

References

Zusammenfassung

Für jeden Unternehmer ein Muss

Aus den Medien erfährt die Öffentlichkeit immer wieder über Aufsehen erregende Schadensfälle in der Wirtschaft, die durch Fehlmanagement, Fahrlässigkeit oder wirtschaftskriminelle Handlungen verursacht werden. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet aber die Geschäftsführung von Kapitalgesellschaften, alle den Fortbestand des Unternehmens gefährdende Entwicklungen durch ein Überwachungs- und Kontrollsystem frühzeitig zu erkennen und Schadensfälle zu vermeiden. Das vom KonTraG geforderte Überwachungssystem lässt sich nur durch ein planvoll installiertes und dauernd den Veränderungen des Unternehmens anzupassendes „Internes Kontrollsystem“ (IKS) erreichen.

* Gliederung und Aufbau eines Internen Kontrollsystems

* Das IKS in der Unternehmensplanung, der Aufbau- und Ablauforganisation

* Das IKS im Rechnungswesen und im Zahlungsverkehr

* Das IKS in der Personalabteilung, Produktion und im Vertrieb

* Einsatz von Checklisten zur Prüfung des IKS

* Beispiele für Organisationsanweisungen

Die Autoren

Dr. Michael A. Klinger ist Wirtschaftsprüfer, Steuerberater und Unternehmensberater sowie Lehrbeauftragter für Betriebswirtschaftslehre an der Universität Salzburg. Er ist Präsident des österreichischen Steuervereins, Vorstandsmitglied des Vereins IKS (Institut für Interne Kontrollsysteme) sowie Vizepräsident der Kammer der Wirtschaftstreuhänder, Salzburg.

Oskar Klinger war Leiter der Konzernvision der Porsche Holding Österreich und ist heute Vorstands-mitglied des Vereines IKS.