Die Relevanz eines funktionierenden IKS im Unternehmen

Die Relevanz eines funktionierenden IKS im Unternehmen
Governance, Risk & Compliance
19.11.2025
Artikelübersicht

In einer Welt, in der Digitalisierung, Regulierung und wirtschaftliche Dynamik Hand in Hand gehen, stehen Unternehmen mehr denn je vor der Herausforderung, ihre Prozesse sicher, transparent und effizient zu gestalten. Doch während Themen wie Cybersecurity, Risikomanagement oder Nachhaltigkeitsberichterstattung viel Aufmerksamkeit erhalten, bleibt ein zentraler Erfolgsfaktor häufig im Hintergrund: ein wirksames Internes Kontrollsystem (IKS). Dabei entscheidet genau dieses System häufig darüber, ob Unternehmen stabil wachsen oder von Risiken ausgebremst werden. Was macht ein gutes IKS aus? Warum ist es für Unternehmen, gerade im Mittelstand, so wichtig? Und was passiert, wenn Kontrollen fehlen oder nur auf dem Papier bestehen? Tauchen Sie mit uns ein in eine zentrale Säule moderner Unternehmensführung.

Was ist ein IKS  - und was zeichnet ein gutes IKS aus?

Ein Internes Kontrollsystem (IKS) bezeichnet das in einer Organisation eingeführte Bündel von Grundsätzen, Verfahren und Maßnahmen, mit dem Ziel, Risken zu identifizieren, zu steuern und die unternehmerische Zielerreichung zu sichern, insbesondere in Bezug auf Ordnungsmäßigkeit, Wirksamkeit und Wirtschaftlichkeit von Geschäftsprozessen. Das bedeutet: Ein IKS fordert nicht nur „nachträgliche Prüfung“, sondern proaktive Gestaltung von Kontrollen, Verantwortlichkeiten und Berichtslinien.

Was zeichnet ein gutes IKS aus?

• Es ist angemessen und auf die Risikosituation des Unternehmens abgestimmt, also nicht eine überdimensionierte Kontrolle über alle Prozesse, sondern eine „vernünftige Kontrolle“ dort, wo Risiken bedeutsam sind.

• Es ist integriert in Prozesse. Kontrollen und Prüfungen sind nicht „nachträglich oben drauf“, sondern von Anfang an im Ablauf berücksichtigt.

• Es basiert auf klaren Prinzipien und Konzepten: Funktions- und Aufgaben-Trennung („Segregation of Duties“), Vier-Augen-Prinzip, Transparenz, Dokumentation, Überwachung („Monitoring“) sowie kontinuierliche Weiterentwicklung.

• Es liefert verlässliche Informationen für das Management und die Steuerung, sowohl operativ wie auch strategisch.

• Es wird regelmäßig überprüft und weiterentwickelt. Ein IKS darf nicht „gestellt“ und dann ignoriert werden. Die Anforderungen an Zeit, Technik, Digitalisierung steigen.

Kurzum: Ein gutes IKS ist kein Selbstzweck, sondern ein Steuerungs- und Sicherheitsinstrument, passend zur Unternehmensgröße, Kultur und Risikoprofil.

Wozu ein IKS, wenn ein RMS vorhanden ist?

Das Interne Kontrollsystem (IKS) und das Risikomanagement (RMS) werden oft in einem Atemzug genannt, verfolgen aber unterschiedliche Schwerpunkte.

Das RMS befasst sich mit der systematischen Identifikation, Bewertung und Steuerung aller relevanten Unternehmensrisiken. Es zielt darauf ab, Chancen und Gefahren frühzeitig zu erkennen und strategische Maßnahmen abzuleiten.

Das IKS hingegen fokussiert sich auf operative Abläufe und konkrete Kontrollen, um Fehler, Regelverstöße und Missbrauch zu verhindern sowie Ordnungsmäßigkeiten und Effizienz der Prozesse sicherzustellen. Während das RMS eher ein „strategischer Radarschirm“ mit Fokus auf die von außen auf das Unternehmen einwirkenden Risiken ist, fungiert das IKS als „operative Sicherheitsarchitektur“ für die im Unternehmen selbst entstehenden oder zumindest dort vermeidbaren Risiken.

Wie relevant ist ein IKS für Unternehmen  - und warum?

Für Unternehmen ist ein IKS aus mehreren Gründen hochrelevant.

Wesentliche Aspekte der Relevanz:

• Schutz vor Vermögenswerten: Ein IKS hilft, Vermögensverluste durch Fehlbuchungen, Prozessfehler, Betrug oder Missbrauch zu vermeiden.

• Verlässlichkeit der Berichterstattung: Für Abschlüsse, Steuererklärungen, Finanzberichte – ein funktionierendes IKS sichert, dass die Daten korrekt, vollständig und aktuell sind.

• Erfüllung gesetzlicher und regulatorischer Anforderungen: Insbesondere Unternehmen stehen heute vor steigenden Anforderungen im Bereich Governance, Risk & Compliance (GRC). Ein IKS ist elementarer Bestandteil dieser Governance-Struktur. Darüber hinaus kann ein wirksames IKS auch eine enthaftende Wirkung für Geschäftsleitung und Aufsichtsorgane entfalten: Wer nachweisen kann, dass angemessene Kontrollen implementiert, dokumentiert und überwacht wurden, kann im Schadens- oder Prüfungsfall zeigen, dass er seinen Organisations- und Überwachungspflichten nachgekommen ist.

• Effizienz und Wirtschaftlichkeit der Prozesse: Durch klar strukturierte Kontrollen können Fehler reduziert und Prozesse optimiert werden, was letztlich Kosten senkt und Wert schafft.

• Vertrauen bei Stakeholdern: Investoren, Banken, Geschäftspartner und auch Mitarbeitende haben ein Interesse daran, dass das Unternehmen steuerbar, transparent und zuverlässig aufgestellt ist. Ein IKS signalisiert genau das.

Kurz gesagt: Ohne ein durchdachtes IKS läuft ein Unternehmen Gefahr, Kontrolllücken, Unsicherheit und Risiken einzugehen, was sich negativ auf Stabilität, Wachstum und Reputation auswirken kann.

Welche potenziellen Folgen bestehen ohne ein IKS?

Wenn kein oder nur ein schwach ausgestaltetes IKS vorhanden ist, können vielfältige negative Auswirkungen entstehen. Hier einige typische Szenarien:

• Fehlerhafte Buchungen und Abschlüsse: Ohne Kontrollen kann es zu Fehlbewertungen, unentdeckten Buchungsfehlern oder falscher Darstellung der Lage kommen, was z. B. Steuerfolgen, Nachprüfungen oder Haftungen nach sich ziehen kann.

• Fraud und Missbrauch: Fehlende Funktions-/Aufgabentrennung (z. B. Einkauf, Rechnungsstellung und Zahlung in einer Hand) begünstigt bewusstes Fehlverhalten.

• Unklare Prozesse und Verantwortlichkeiten: Wenn niemand genau weiß, wer wofür zuständig ist, steigen Prozessrisiken, Verzögerungen und Reibungsverluste.

• Verpasste Risiken und Unternehmensgefahren: Ohne systematische Risikoidentifikation und Wirkungskontrollen werden potenzielle Gefahren nicht erkannt (z. B. IT-Systemausfälle, Cyberangriffe, Lieferkettenprobleme).

• Reputationsschäden und wirtschaftliche Folgen: Ein unkontrolliertes Ereignis kann negativ in die Öffentlichkeit gelangen, Geschäftspartner verunsichern oder Versicherungen/Banken misstrauisch machen.

• Regulatorische und haftungsrechtliche Konsequenzen: Gerade mit wachsender regulatorischer Last (z. B. im Bereich Nachhaltigkeit, Digitalisierung, Governance) kann das Fehlen eines adäquaten Kontrollsystems zu Bußgeldern, Prüfungen oder gar strafrechtlicher Verantwortung führen.

Fallbeispiel A: Kein vorhandenes IKS

Ein mittelständisches Produktionsunternehmen hat keinen klaren Prüfprozess für Eingangsrechnungen. Der Einkauf tätigt Bestellung und Freigabe, dieselbe Person nimmt die Lieferung an und zahlt diese. Unbemerkt werden Überzahlungen geleistet, Lieferungen doppelt verrechnet. Es entsteht ein finanzieller Schaden. Zudem reagiert das Unternehmen erst spät auf steigende Fehlrechnungen, was dazu führt, dass die Liquidität belastet wird, das externe Audit darauf hinweist und die Geschäftsführung unter Druck gerät. Zudem fällt irgendwann auf, dass eine Person im Einkauf einen erfundenen Lieferanten angelegt, ihre eigene Kontonummer in den Stammdaten hinterlegt, fingierte Buchungen vorgenommen und sich selbst jahrelang Geld überwiesen hat.

Mögliche Maßnahmen:

• Vier-Augen-Prinzip bei Rechnungseingang und Zahlungsfreigabe

• Funktionstrennung: Einkauf ≠ Buchhaltung ≠ Zahlungsfreigabe

• Systembasierte Rechnungsprüfung (Abgleich Bestellung – Lieferschein – Rechnung)

• Automatisierte Dublettenprüfung in der Buchhaltungssoftware

• Kontrolljournal zur Nachverfolgung aller Freigaben

Fallbeispiel B: Schlechtes IKS vorhanden

Ein Dienstleistungsunternehmen setzt zwar ein Kontrollhandbuch ein, aber die Mitarbeitenden kennen die Kontrollen kaum und Prüfungen erfolgen nur einmal jährlich. Mit dem Übergang zu automatisierten Prozessen wird das Handbuch nicht angepasst, wodurch neue Software-Schnittstellen unkontrolliert bleiben. Nach einem Cybervorfall wird deutlich: Zugriff von außen ermöglichte Manipulationen, da interne Prozesslücken unerkannt blieben. Die Folgen: Datenverlust, erheblicher Aufwand zur Schadensbegrenzung, Betriebsunterbrechung und Imageverlust.

Mögliche Maßnahmen:

• Aktualisierung des IKS bei Software-/Prozessänderungen

• Zugriffs- und Berechtigungskontrollen

• Regelmäßige IT-Risikoprüfung

• Monitoring- und Logging-Systeme für kritische Schnittstellen

• Awareness-Schulungen für Mitarbeitende

Wohin führt ein schlechtes IKS?

Auch wenn ein Unternehmen formal ein IKS eingerichtet hat, bedeutet das nicht automatisch, dass es wirksam ist. Ein schlechtes IKS, z. B. nicht gepflegt, nicht in Prozesse integriert, ohne Monitoring oder Verantwortlichkeiten, kann ebenfalls gefährlich sein.

Typische Symptome eines schlechten IKS:

• Kontrollen sind vorhanden, aber nicht gelebt: Mitarbeitende umgehen sie, Prozesse werden nicht angepasst.

• Kein klarer Organisationsrahmen: Verantwortlichkeiten unklar, Prüfungen selten oder formell, aber wirkungslos.

• Veraltete Kontrollen: Digitalisierung, Automatisierung oder neue Risiken sind nicht berücksichtigt.

• Mangelnde Dokumentation und Überwachung: Es wird nicht gemessen, ob Kontrollen wirken, keine regelmäßige Prüfung z. B. nach den Standards IDW PS 982.

Konsequenzen:

• Die Kontrollen bringen keine echte Risikoreduktion: Risiken existieren, werden aber nicht erkannt oder gesteuert.

• Es entsteht eine trügerische Sicherheit: das Unternehmen glaubt „wir haben doch ein IKS“, in Wahrheit ist es wirkungslos.

• Im Ernstfall bleibt das Unternehmen verletzlich: Schaden, Verlust oder Reputationsverlust treten unerwartet ein und die Organisation ist unvorbereitet.

• Es folgt ggf. Mehr-Aufwand und hohe Kosten: um ein mangelbehaftetes System nachträglich zu sanieren, entstehen Aufwand, externe Beratung, ggf. Haftung für Management.

• Für mittelständische Unternehmen kann ein schlechtes IKS sogar eine Wachstumsbremse sein: Banken und Investoren fordern zunehmend Nachweise solider Steuerungssysteme, das Fehlen oder die Schwäche solcher Systeme kann Finanzierung verteuern oder erschweren.

• Der Versuch, ein solches System „zu retten“ verursacht oftmals mehr Aufwand, als ein komplett neues System zu implementieren.

Fazit

Gerade in einem Umfeld wachsender regulatorischer und digitaler Anforderungen, wie etwa im Bereich Governance, Risk & Compliance, ist ein angemessen ausgestaltetes, lebendiges IKS kein „nice to have“, sondern ein zentraler Bestandteil solider Unternehmensführung.

Wir empfehlen Ihnen:

1. Prüfen Sie den Reifegrad Ihres IKS: wie steht es aktuell um Ihre Kontrollen, Prozesse und Verantwortlichkeiten?

2. Stellen Sie sicher, dass das IKS prozessnah, digital gedacht und regelmäßig überwacht wird und keine statische Maßnahme ist.

3. Nutzen Sie das IKS als Werttreiber, nicht nur als Pflicht – Prozesse effizienter gestalten, Risiken minimieren, Vertrauen stärken.

4. Gehen Sie das Thema schrittweise und angemessen an. Insbesondere für KMU gilt: ein überdimensioniertes System ist selten zielführend. Identifizieren Sie zentrale Risiken und steuern Sie diese gezielt.

Sie haben Fragen zu diesem Thema? Wenden Sie sich gerne an uns!

Leistungen
Sustainability AdvisoryGovernance, Risk & Compliance
Unternehmen
AktuellesÜber unsKarriereInternationalKontakt
Rechtliches
Cookie-EinstellungenDatenschutzImpressum
Steuerberatung &
Wirtschaftsprüfung
www.mauer-berater.com
Newsletter
Mit Klick auf den Link „Cookies akzeptieren” erteilen Sie Ihre Einwilligung, dass auf dem von Ihnen verwendeten Endgerät Cookies gesetzt werden, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen können.
Cookies akzeptieren und Medien laden