Das Interne Kontrollsystem (IKS) ist im Kern ein organisatorisches Rahmenwerk, mit dem das Unternehmen sicherstellt, dass Risiken erkannt, gesteuert und minimiert werden und dass Gesetze, Vorschriften und interne Regeln eingehalten werden.
Ein IKS umfasst also:
- Richtlinien und Prozesse (wer macht was, wann und wie)
- Kontrollmechanismen (z. B. Vier-Augen-Prinzip, Plausibilitätsprüfungen)
- Dokumentation und Nachverfolgung (Nachweis, dass die Kontrollen wirklich stattfinden)
- Überwachung und Verbesserung (regelmäßige Überprüfung der Wirksamkeit)
Ein „Kontrollplan“ ist dabei das konkrete Arbeitsinstrument, das festhält:
- Welche Kontrollen existieren,
- wer sie durchführt,
- in welcher Frequenz,
- mit welchem Ziel und
- wie sie dokumentiert werden.
Praxisbeispiele (speziell im Bankenumfeld)
| Beispiel | Beschreibung | Kontrolle |
| Kreditvergabeprozess | Bei der Vergabe von Krediten an Kunden müssen Bonität, Sicherheiten und Genehmigungen geprüft werden. | Vier-Augen-Prinzip: Sachbearbeiter prüft, Teamleiter genehmigt. |
| Zahlungsverkehr | Bei größeren Überweisungen (> bestimmter Betrag) darf nicht dieselbe Person Zahlung und Freigabe durchführen. | Aufgabentrennung (segregation of duties): Systemische Trennung von Eingabe und Freigabe. |
| Bargeldbestand in der Filiale | Kassenbestände müssen regelmäßig mit Buchbeständen abgeglichen werden. | Kassenprüfung: Wöchentliche oder tägliche Kassenprüfung. |
| Datenschutz & IT-Zugriff | Mitarbeiter dürfen nur Zugriff auf Systeme haben, die sie für ihre Arbeit brauchen. | Regelmäßige Überprüfung der Berechtigungslisten (Access Review). |
| Meldewesen (z. B. BAIT, MaRisk) | Sicherstellen, dass regulatorische Meldungen (z. B. Verdachtsmeldungen, Kapitalanforderungen) korrekt erfolgen. | Kontrollschritte im Reporting-Prozess. |
Praktische Umsetzung im Alltag
In der täglichen Arbeit würde man z. B.:
- mit Fachbereichen (z. B. Kredite, Zahlungsverkehr, IT) sprechen, um deren
- Prozesse zu verstehen,
- identifizieren, wo Risiken bestehen,
- definieren, welche Kontrollen helfen, diese Risiken zu minimieren,
- dokumentieren, wer die Kontrolle durchführt und wann,
- sicherstellen, dass das Ganze in einem IKS-Tool oder Kontrollplan erfasst ist,
- und regelmäßig prüfen, ob alles noch aktuell und wirksam ist.