Internes Kontrollsystem

092024_IIA_Blog

1 Einleitung

Der historische Ursprung des Internen Kontrollsystems (IKS) liegt vor ca. 100 Jahren in den USA und fußt auf dem „Internal Control Concept“ des Federal Reserve Board. Vor dem Hintergrund einer Vielzahl an Betrugsfällen sollte dieses Konzept dem Schutz vor illegalen Handlungen dienen und fokussierte sich zunächst ausschließlich auf das Rechnungswesen und die Rechnungslegung1Holzer/Kölblinger, Entwicklung des Internen Kontrollsystems, RWZ 1993, 280 (280).. Im Rahmen einer angestrebten Vereinheitlichung unterschiedlicher Ausprägungen des Begriffs „Interne Kontrollen“ erarbeitete das Committee of Sponsoring Organizations of the Treadway Commission (COSO) im Jahr 1992 einen Leitfaden, welcher drei Kategorien eines IKS definiert,

  1. Durchführung und Effizienz betrieblicher Abläufe
  2. Verlässlichkeit der finanziellen Berichterstattung
  3. Einhaltung aller einschlägigen Gesetze und Vorschriften,

und den Anwendungsbereich des IKS erheblich ausweitete2Holzer/Kölblinger, Entwicklung des Internen Kontrollsystems: Der COSO-Report, RWZ 1993, 313 (313 f).. Gemeinhin wurde die Entwicklung des IKS vor allem durch die Wirtschaftsprüfung vorangetrieben, um die Richtigkeit des Jahresabschlusses gewährleisten zu können. Dies traf auch auf Österreich und Deutschland zu3Holzer/Kölblinger, RWZ 1993, 280 (283)., wurde jedoch mit der Zeit auf das gesamte Unternehmen ausgeweitet, um ein vollumfängliches Risikomanagement zu gewährleisten4Stengel/Jaster/Soltani-Shirazi, IKS – Interne Kontrollsysteme nach der 8. EU-Richtlinie, RWZ 2010, 86 (90).. Schließlich wurde in Österreich im Zuge des Insolvenzrechtsänderungsgesetz 19975Bundesgesetz, mit dem die Konkursordnung, die Ausgleichsordnung, die Kaiserliche Verordnung über die Einführung einer Konkursordnung, einer Ausgleichsordnung und einer Anfechtungsordnung, das Rechtspflegergesetz, das Handelsgesetzbuch, das Aktiengesetz, das Gesetz über Gesellschaften mit beschränkter Haftung, das Gerichtsgebührengesetz, das Gerichtsorganisationsgesetz und das Bankwesengesetz geändert werden sowie ein Bundesgesetz über die Reorganisation von Unternehmen (Unternehmensreorganisationsgesetz – URG) geschaffen wird (Insolvenzrechtsänderungsgesetz 1997 – IRÄG 1997), BGBl I 114/1997 das IKS sowohl in §22 Abs. 1 GmbHG als auch im §82 AktG gesetzlich vorgeschrieben, während die Aufnahme in den Lagebericht eines Unternehmens erst 2008 im §243a Abs. 2 UGB geregelt wurde6Vgl. Kraner, (2020) S. 11. Darüber hinaus fordern §30g Abs. 4a GmbHG und §92 Abs. 4a AktG, dass die Wirksamkeit des IKS bei großen Gesellschaften durch einen Prüfungsausschuss überwacht wird, diese jedoch risikoadjustiert erfolgen kann.

2 Prinzipien eines IKS

Ein IKS soll laut der am häufigsten verwendeten Definitionen vier Aufgabengebiete abdecken:

  1. Die Sicherung und der Schutz des vorhandenen Vermögens vor Verlusten aller Art
  2. Die Gewinnung genauer, aussagefähiger und zeitnaher Aufzeichnungen
  3. Die Förderung des betrieblichen Wirkungsgrades durch Auswertung der Aufzeichnungen
  4. Die Unterstützung bei der Befolgung der vorgeschriebenen Geschäftspolitik7Vgl. Kraner, (2020) S. 41

Dies geschieht, indem im IKS-Fehler oder Abweichungen in dokumentierten oder nicht dokumentierten Prozessen identifiziert werden und Maßnahmen gegen diese Abweichungen definiert werden. Dadurch ist das IKS heutzutage ein Bestandteil aller Unternehmensprozesse mit dem Ziel die operationellen Risiken des Unternehmens risikoadjustiert zu minimieren und stellt damit einen wesentlichen Bestandteil des Risikomanagementsystems eines Unternehmens dar. Dabei lauten die vier Grundprinzipien eines IKS wie folgt:

  1. Funktionstrennung
  2. 4-Eyes-Principle
  3. Transparenz
  4. Need-to-know8Vgl. Fritz, Koch, Wildmoser (2016), S. 38

3. Definition des Risikos

Wenn ein IKS auf einer „grünen Wiese“, z.B. einem neugegründeten Unternehmen ohne jegliche Vorgaben oder Prozesse implementiert werden soll, ist es von Vorteil sich zunächst vor Augen zu führen an welcher Stelle des Unternehmens die größten Risiken verborgen liegen und diese zu identifizieren. Dazu können entweder Benchmarks, wie z.B. Schadenfalldatenbanken genutzt oder Interviews mit den Risikoverantwortlichen geführt werden. Risikoverantwortliche sind in den meisten Fällen die Geschäftsführung, Abteilungsleitung und die Inhaber besonderer Funktionen, wie z.B. Datenschutz- oder Informationssicherheitsbeauftragte. Im Rahmen der Interviews können die klar abgegrenzten identifizierten Risiken mithilfe ihres Schadenerwartungswertes bewertet werden9Vgl. M. Müller, (2014), S. 10.

Der Schadenerwartungswert beschreibt dabei die Schadenshöhe und Häufigkeit eines Risikos innerhalb eines zuvor definierten Betrachtungszeitraums.

Grundsätzlich wird zwischen einem Brutto- und einem Netto-Schadenerwartungswert unterschieden. Der Bruttowert beschreibt hierbei den Schadenerwartungswert des Risikos ohne Maßnahmen zur Risikominderung, während der Nettowert diese bereits berücksichtigt.

Beispiel:

Der Betrachtungszeitraum liegt bei einem Jahr, aber alle zwei Jahre wird eine Rechnung in Höhe von 100.000 EUR nicht gezahlt.

Zur Risikominderung wird im Vorfeld die Bonität des Debitors geprüft. Dadurch wird nur noch alle vier Jahre eine Rechnung in Höhe von 100.000 EUR nicht gezahlt.

 

Die systematische Identifikation und Bewertung der Risiken mithilfe des Schadenerwartungswertes machen die Risiken vergleichbar und erlaubt eine risikoadjustierte Bearbeitung der Risiken. (Das heißt) die Risiken mit dem höchsten Schadenerwartungswert werden prioritär behandelt.

4 Arten von Kontrollen

Im Fall des neuen Unternehmens ohne Prozesse und Vorgaben sollten in einem ersten Schritt, zur Reduktion des Bruttoschadenerwartungswertes nach der erfolgten Risikoanalyse, zunächst „Regeln und Richtlinien in Form von Arbeits- und Organisationsanweisungen für Tätigkeitsabläufe“10Demut in Handbuch IKS (2011), S. 19f. unter Berücksichtigung der zuvor genannten Prinzipien eines IKS etabliert werden. Einen wesentlichen Bestandteil bilden die Definition und Dokumentation von Kontrollen. Hierbei wird zwischen prozessintegrierten und prozessunabhängigen Kontrollstellen unterschieden. Während erstere im Zuge einer Tätigkeit bzw. eines Prozesses verankert werden und präventiv zum Beispiel einen 4-Augen-Check vor Überweisung einer Rechnung vorsehen, handelt es sich bei prozessunabhängigen Kontrollstellen ex-post um eine retrospektive Überprüfung der Einhaltung eines Prozesses durch zum Beispiel Compliance oder die Interne Revision.11Vgl. K. Gammelin, (2023), S.246

Beispiel:

Herr A erhält eine Rechnung über 100.000 EUR. Nachdem er die Rechnung sachlich und fachlich geprüft hat, lässt er die Rechnung dem Prozess entsprechend durch seinen Vorgesetzten im 4-Augen-Prinzip prüfen, bevor die Buchhaltung die Zahlung veranlasst – es handelt sich um eine präventive prozessintegrierte Kontrolle, die ex-ante durchgeführt wird.

Frau B überprüft als Interne Revisorin, ob alle Rechnungen entsprechend den Vorgaben im 4-Augen-Prinzip freigegeben wurden, bevor die Buchhaltung die Zahlung veranlasst hat – es handelt sich um eine detektive prozessunabhängige Kontrolle, die ex-post retrospektiv durchgeführt wird.

Grundsätzlich sollten Kontrollen unabhängig von ihrer Art über eine Beschreibung verfügen, die folgende Fragewörter beantwortet:

  • Wer macht
  • Was
  • Wie
  • Wann
  • Wie oft

Die Definition einer Kontrolle kann dabei als Voll- oder Teilprüfung erfolgen. Indes bei ersterer die gesamte Anzahl eines bestimmten Geschäftsvorfalls geprüft wird, werden bei einer Teilprüfung lediglich ein Teil der Anzahl des bestimmten Geschäftsvorfalls überprüft. Die Entscheidung zwischen einer Voll- oder Teilprüfung muss risikoorientiert erfolgen. Bei einem sehr hohen Risiko sollte eine Vollprüfung erfolgen, während bei einem höheren Prozessrisiko die Stichprobe der Teilprüfung z.B. bei 50% liegt und bei einem niedrigen bzw. sehr niedrigem Risiko nur 20% bzw. 10% geprüft werden. Der Anteil der zu prüfenden Kontrollen bei einer Teilprüfung sollte bereits zuvor in einem Handbuch festgelegt worden sein.

In der Durchführung der Kontrollen wird zwischen manuellen und (teil-)automatisierten Kontrollen unterschieden. Die manuelle Kontrolle stellt zum Beispiel die Wahrung des 4-Augen-Prinzips dar. Demgegenüber stellt die teilautomatisierte Kontrolle bereits eine personelle Entlastung dar. Indes sind für die Durchführung von vollautomatisierten Kontrollen keinerlei personelle Ressourcen mehr notwendig, da diese durch Systeme übernommen werden. Die durchzuführenden Kontrollen erfolgen entweder laufend, anlassbezogen oder in einem zuvor definierten Intervall, welches häufig ebenfalls risikoorientiert ist.12Vgl. K. Gammelin, (2023), S.246f

Beispiel:

Herr M. führt im Rahmen einer Auftragsvergabe eine Geldwäscheprüfung durch (manuell + anlassbezogen). Aufgrund verschiedener Eigenschaften eines potentiellen Dienstleisters wird eine höhere Risikoklassifizierung durch das System vergeben. Laut interner Vorgaben muss eine höhere Klassifizierung immer durch den Geldwäschebeauftragten überprüft werden, andernfalls werden nur 15% der KYC-Checks durch den Geldwäschebeauftragten geprüft (risikoorientiert + teilautomatisiert). Nachdem der Geldwäschebeauftragte die Auftragsvergabe trotz des erhöhten Risikos freigegeben hat, muss Herr M. bereits nach einem statt drei Jahr(en) die Geldwäscheprüfung aktualisieren (Intervall). Dies liegt an der Risikoklassifizierung des Dienstleisters. Zugleich werden alle Dienstleister laufend durch ein System mit den aktuellen Sanktions- und Embargolisten verglichen, um etwaige Verstöße zu vermeiden (laufend + vollautomatisiert).

Die Art der Durchführung der Kontrollen ist im Wesentlichen abhängig von der Häufigkeit der Kontrollwiederholung und des Geschäftsprozesses sowie der Individualität des Vorgangs. Denn je häufiger der Prozess abläuft, desto standardisierter wird bzw. sollte er sein, um bestenfalls eine Vollautomatisierung zu ermöglichen.

Darüber hinaus können Kontrollen eines IKS vom Zeitpunkt unterschiedlich wirken. Hierbei wird zwischen korrektiv, detektiv und präventiv unterschieden. Erstere Art der Kontrolle dient der Korrektur eines fehlerhaften Ergebnisses eines Prozesses, um die Korrektheit des Ergebnisses sicherzustellen. Zweitere dient dazu im Nachgang Fehler innerhalb eines Prozesses zu identifizieren und das zukünftige Auftreten dieses Fehlers zu unterbinden. Diese Art der Kontrolle wird häufig bei der stichprobenartigen Überprüfung eines Prozesses mit einer Vielzahl an Wiederholungen durchgeführt. Letztere Art der Kontrolle wird bereits zu Beginn eines Prozesses durchgeführt, um das Risiko eines fehlerhaften Ergebnisses vorab zu vermindern oder gänzlich zu vermeiden.13Vgl. K. Gammelin, (2023), S.246

Beispiel:

Nachdem der Monatsabschluss durch die Buchhaltung aufgestellt wurde, wird dieser durch die Abteilungsleitung geprüft (präventiv). Im Anschluss wird der aufgestellte Abschluss dem CFO zur Verfügung gestellt, welcher diesen überprüft (detektiv). Zuletzt wird der Monatsabschluss im Zuge des Jahresabschlusses inkl. Datengrundlage und Berechnung durch den Wirtschaftsprüfer auditiert (korrektiv).

Wenn die Definition einer Kontrolle abgeschlossen ist, muss diese innerhalb des IKS dokumentiert werden. Dazu bieten sich verschiedene Möglichkeiten an. Einerseits können die Kontrollen systemisch innerhalb von Prozessmodellen, Berechnungsschritten oder Anwendungen dokumentiert werden. Andererseits eignet sich auch eine schriftliche Dokumentation der definierten Kontrollen. Diese kann sowohl in Form eines Handbuchs oder einer Arbeitsanweisung als auch als Kontrollmatrix eines Fachbereichs erfolgen. Insofern das Unternehmen nicht über eine systemische Dokumentation verfügt, ist die Erstellung einer Kontrollmatrix besonders geeignet, da diese erlaubt den gesamten Prozess von Brutto- bis Nettorisiko inklusive der jeweils aktuellen Beurteilung einer Kontrolle abzubilden.

5 Überprüfung der Kontrollen

Die Verantwortung zur Überprüfung von Kontrollen liegt bei den Three-lines-of-defense. Grundsätzlich werden in der Regel eigenverantwortlich Überprüfungen der Kontrollen innerhalb der Geschäftsprozesse einer Abteilung durchgeführt (First-Level-Kontrolle). Zudem wird die Einhaltung der Kontrollen zumeist stichprobenartig und bestenfalls risikoorientiert durch die Compliance- oder Risikomanagement-Funktion überwacht (Second-Level-Kontrollen). Die Einhaltung der Kontrollen sowie deren Überwachung wird wiederum im Rahmen der Prüfungen der Internen Revision überprüft (Third-Level-Kontrolle). Aufgrund der Einbindung der Three-lines-of-defense in ein funktionierendes IKS ist die Einrichtung und Einhaltung der Funktionstrennung in diesem Zusammenspiel unabdingbar.

Die Bestimmung der zu überprüfenden Kontrollen kann auf Basis der Fehleranfälligkeit und Häufigkeit der Kontrollen sowie des Bruttoschadenerwartungswertes vorgenommen werden. Als besonders fehleranfällig sind Kontrollen von nicht standardisierten Prozessen oder Ausnahmeregelungen und -erscheinungen anzusehen, da in den meisten Fällen keine Vorgaben zum Umgang mit diesen definiert und dokumentiert wurden. Ein weiterer Aspekt ist die zentrale oder dezentrale Durchführung der Kontrollen. Denn es ist davon auszugehen, dass eine zentrale Durchführung von Kontrollen durch qualifiziertes und spezialisiertes Fachpersonal14Vgl. BDO, (2024) zu einer erhöhten Vergleichbarkeit der Resultate15Vgl. Bafin, (2018) und angemesseneren Beurteilung der Effektivität der Kontrollen führt.

Die Häufigkeit der Wiederholung der Kontrollen kann auf der einen Seite bei wenigen Wiederholungen ein Indiz für die Fehleranfälligkeit des Prozesses aufgrund der vermutlich geringen Standardisierung sein. Auf der anderen Seite spricht eine hohe Zahl an Wiederholungen dafür, dass der Prozess eine hohe Relevanz innerhalb der Tätigkeit hat und somit ebenso einer stichprobenartigen Überprüfung unterzogen werden sollte. Jedoch sollte dies gemeinsam mit dem Schadenerwartungswert beurteilt werden.

Wenn im Zuge der Überprüfung der Kontrollen Abweichungen oder Mängel identifiziert werden, müssen diese abgearbeitet werden. Dazu ist eine Formalisierung der Abarbeitung in Form eines Prozesses eine geeignete Lösung16Vgl. Bafin, (2018). Ferner sollte auch ein Eskalationsprozess für die Feststellungen definiert sein, obwohl dies selten der Fall ist. Der Prozess dient dazu relevante Stakeholder über die Abweichungen und deren Abarbeitung zu informieren. Generell eignet sich hierzu ein vierteljährliches Reporting, welches die durchgeführten Kontrollen, die Ergebnisse derer und die Abarbeitung von Schwachstellen umfasst.

Grundsätzlich kann die Beurteilung der Kontrollen durch verschiedene Parteien erfolgen. Intern ist eine Evaluierung der Design Operating Effectivness möglich. Während die Design Effectivness prüft, ob die Kontrolle definiert und implementiert wurde sowie die Ergebnisse der Kontrolle zum definierten Kontrollziel passen, bewertet die Operating Effectivness, ob die Kontrolle über einen Zeitraum, z.B. 12 Monate, entsprechend den Vorgaben umgesetzt wurde17Vgl. K. Gammelin, (2023), S.252ff..

Beispiel:

Im Rahmen von Neueinstellungen muss die Zuverlässigkeit der künftigen Mitarbeitenden per Gesetz überprüft werden. Eine geeignete Kontrolle ist die Überprüfung des polizeilichen Führungszeugnisses (Design Effectivness). Nach einem Jahr wird überprüft, ob das polizeiliche Führungszeugnis bei allen Neueinstellungen oder einer Stichprobe derer eingeholt und überprüft wurde (Operating Effectivness)18Vgl. Linfordco, (2024).

Die Ergebnisse der Prüfung der Design Operating Effectivness haben eine Wechselwirkung auf die Risikoanalyse sowie -beurteilung und somit auf die Durchführung der Kontrollen. Denn wird im Rahmen der Überprüfung der Kontrollen festgestellt, dass die Design Operating Effectivness nicht gewährleistet ist, muss diese Erkenntnis in die mindestens jährlich zu aktualisierende Risikoanalyse einfließen. Bestenfalls wird die Aktualisierung bei wesentlichen internen sowie externen Änderungen adhoc vorgenommen.

Wenn der Prozess von Risikoanalyse über die Definition, Durchführung und Überprüfung der Kontrollen erstmalig erfolgt ist, verfügt das Unternehmen über sein erstes IKS.

Jedoch handelt es sich bei einem IKS um ein System, welches laufend weiterentwickelt werden muss. Gründe hierfür können nicht abschließend identifizierte Lücken im bestehenden System, neue Anforderungen oder aber eine sich verändernde Umwelt sein.

6 Aktuelle Herausforderungen des IKS

Mit der Implementierung und Weiterentwicklung des IKS sind eine Vielzahl von Herausforderungen verbunden, denn die Anforderungen an das IKS werden von Jahr zu Jahr höher. Dies liegt nicht nur an den zunehmenden regulatorischen und gesetzlichen Vorgaben, denen ein Unternehmen unterliegt, sondern auch den neu hinzugekommenen nicht-finanziellen Offenlegungspflichten, wie z.B. der EU-Taxonomie. Vielen Marktteilnehmern ist noch nicht bewusst auf welche Daten es in diesem Zusammenhang ankommt und an welchen Stellen Kontrollen etabliert werden müssen19Vgl. PwC DE&CH, (2022), S. 6ff.. Insgesamt führt dies zu einer immer höher werdenden Komplexität des IKS, Anforderungen an das Personal und höheren Bedarf personeller Ressourcen zur Durchführung der jährlichen Aktualisierungen20 Vgl. PwC AT, (2019). Aus diesem Grund kommt der Standardisierung der Kontrollen eine höher werdende Bedeutung zu, denn diese ermöglicht es mittelfristig die Kontrollen zu digitalisieren und wenn möglich zu automatisieren21Vgl. PwC DE&CH, (2022), S. 12. Dennoch ist die Nutzung von professionellen IKS-Systemen nicht weit verbreitet – zumeist wird Excel genutzt22Vgl. PwC DE&CH, (2022), S. 11.

Ferner ist gesetzlich festgehalten, dass die Geschäftsführung oder Vorstand eines Unternehmens verpflichtet ist, ein IKS einzurichten und der Aufsichtsrat die Funktionsweise des IKS überwachen muss. Dennoch ist weiterhin von einem Nachholbedarf hinsichtlich der sich aus dem IKS ergebenden Anforderungen bei Leitungs- oder Aufsichtsorganen auszugehen. Dabei bietet es sich auf Leitungsebene an IKS-Ziele als festen Bestandteil von Vergütungssystem zu etablieren, um das notwendige Bewusstsein zu schaffen23Vgl. PwC AT, (2019). Der Aufsichtsrat kann zum einen durch den entsprechenden Tone-at-the-Top das Bewusstsein für die Relevanz des IKS schärfen und zum anderen durch die Einforderung eines regelmäßigen Berichtswesen und direkte Gespräche mit der 2nd-Line-of-Defense seiner Überwachungspflicht nachkommen. Darüber hinaus bietet es sich an regelmäßig an Weiterbildungen für relevante Sachverhalte teilzunehmen oder aber auch die Zusammensetzung des Gremiums zu überprüfen, wenn gewisse Themengebiete nicht belegt sind.

7 Fazit

Die Einführung und Aufrechterhaltung eines IKS ist aufgrund der zunehmenden Komplexität der Unternehmensumwelt auf der einen Seite mit einem hohen Aufwand verbunden und schützt auf der anderen Seite vor vermeidbaren Schäden. Dennoch sollten beide Extreme nicht verfolgt werden:

  1. Der Verzicht auf die Einrichtung eines IKS und
  2. Die Vermeidung aller möglichen Risiken.

Denn sowohl ersteres führt dazu, dass das Unternehmen sehenden Auges große Risiken inkl. entsprechenden finanziellen Auswirkungen in Kauf nimmt, als auch zweiteres das Unternehmerische Handeln ausschaltet. Daher sollte die Definition, Durchführung und Überprüfung von Kontrollen innerhalb eines IKS immer dem Proportionalitätsprinzip folgen.

Vielmehr sollte das IKS als Wettbewerbsvorteil verstanden werden, denn es erhöht die Prozessresilienz bei gleichzeitiger Anpassungsfähigkeit auf externe und interne Veränderungen. Zudem erspart es zugleich Reibungsverluste innerhalb des Unternehmens. Außerdem kann das IKS das Risikobewusstsein des Unternehmens steigern, indem es das Chancen- und Schadenpotential einer Entscheidung unter Berücksichtigung des Kontrollaufwands veranschaulicht. Dies wiederum ermöglicht es Risiken bewusst einzugehen und vorhandene Ressourcen auf die wesentlichen Schadenpotentiale zu lenken.

  • 1
    Holzer/Kölblinger, Entwicklung des Internen Kontrollsystems, RWZ 1993, 280 (280).
  • 2
    Holzer/Kölblinger, Entwicklung des Internen Kontrollsystems: Der COSO-Report, RWZ 1993, 313 (313 f).
  • 3
    Holzer/Kölblinger, RWZ 1993, 280 (283).
  • 4
    Stengel/Jaster/Soltani-Shirazi, IKS – Interne Kontrollsysteme nach der 8. EU-Richtlinie, RWZ 2010, 86 (90).
  • 5
    Bundesgesetz, mit dem die Konkursordnung, die Ausgleichsordnung, die Kaiserliche Verordnung über die Einführung einer Konkursordnung, einer Ausgleichsordnung und einer Anfechtungsordnung, das Rechtspflegergesetz, das Handelsgesetzbuch, das Aktiengesetz, das Gesetz über Gesellschaften mit beschränkter Haftung, das Gerichtsgebührengesetz, das Gerichtsorganisationsgesetz und das Bankwesengesetz geändert werden sowie ein Bundesgesetz über die Reorganisation von Unternehmen (Unternehmensreorganisationsgesetz – URG) geschaffen wird (Insolvenzrechtsänderungsgesetz 1997 – IRÄG 1997), BGBl I 114/1997
  • 6
    Vgl. Kraner, (2020) S. 11
  • 7
    Vgl. Kraner, (2020) S. 41
  • 8
    Vgl. Fritz, Koch, Wildmoser (2016), S. 38
  • 9
    Vgl. M. Müller, (2014), S. 10
  • 10
    Demut in Handbuch IKS (2011), S. 19f.
  • 11
    Vgl. K. Gammelin, (2023), S.246
  • 12
    Vgl. K. Gammelin, (2023), S.246f
  • 13
    Vgl. K. Gammelin, (2023), S.246
  • 14
    Vgl. BDO, (2024)
  • 15
    Vgl. Bafin, (2018)
  • 16
    Vgl. Bafin, (2018)
  • 17
    Vgl. K. Gammelin, (2023), S.252ff.
  • 18
    Vgl. Linfordco, (2024)
  • 19
    Vgl. PwC DE&CH, (2022), S. 6ff.
  • 20
    Vgl. PwC AT, (2019)
  • 21
    Vgl. PwC DE&CH, (2022), S. 12
  • 22
    Vgl. PwC DE&CH, (2022), S. 11
  • 23
    Vgl. PwC AT, (2019)

Literaturverzeichnis

Müller, (2014). Arbeitshilfe für Aufsichtsräte 13 – Praktische Hinweise zum so genannten Risikomanagement. 4. Auflage, Düsseldorf: Hans-Böckler-Stiftung

FMB, (2019). Konsultation – FMA-Mindeststandards für die Interne Revision (FMA-MS-IR). Wien: Finanzmarktaufsichtsbehörde Bankenaufsicht

PwC AT, (2019) https://t1p.de/9mkh9 [abgefragt am: 24.03.2024]

BaFin, (2018) https://t1p.de/hynia [abgefragt am: 24.03.2024]

BDO, (2024) https://t1p.de/0no52 [abgefragt am: 24.03.2024]

Deloitte, (2024) https://t1p.de/wexod [abgefragt am: 24.03.2024]

Linfordco, (2024) https://t1p.de/o9yyb [abgefragt am: 01.05.2024]

Kraner, (2020). Diplomarbeit – Das interne Kontrollsystem (IKS) im Sinne des §22 Abs. 1 GmbHG. Graz: Rechtswissenschaftliche Fakultät der Karl-Franzens-Universität Graz

Fritz, Koch, Wildmoser, (2016). Gesellschaftsorgane. 6.1 Theoretische Einführung, in Fritz, Perktold (Hrsg.), Mustersammlung zum GmbH-Recht – Band 1 – Gründung, Gesellschaftsverträge. 2. Auflage, Österreich: LexisNexis ARD ORAC

Demut, (2011). 1.2 Organisation und praktische Umsetzung In: Löffler, Ahammer, Kerschbaumer, Nayer (Hrsg.), Handbuch zum Internen Kontrollsystem – Anforderungen anhand des Jahresabschlusses und organisatorischen Aufbau eines Unternehmens. 2. Auflage, Wien: Linde

PwC DE&CH, (2022). IKS Barometer 2022: Regulatorische Risiken wirksam managen – Status quo und Ausblick, Deutschland und Österreich: PWC

K. Gammelin, (2023). Non-Financial Risk Management – Wettbewerbsvorteile nachhaltig sichern, 1. Auflage, Stuttgart: Schäfer Poeschel

Über den Autor

Inhaltbars