1. Kontrollumfeld als Fundament
Wenn wir bei der Prüfung interner Kontrollen ansetzen, ist für mich der erste und wichtigste Schwerpunkt stets das Kontrollumfeld. Man kann es sich wie das Fundament eines Hauses vorstellen – egal wie schön die Tapete oder wie teuer die Möbel sind, wenn das Fundament bröckelt, steht das ganze Gebäude auf wackeligen Beinen. In meiner Zeit bei der Jiaxi Steuerberatungsfirma habe ich es oft erlebt: Ein mittelständischer Maschinenbauer, dessen Geschäftsführer jedes Quartal persönlich die Account-Eröffnungen freigab, aber gleichzeitig die IT-Abteilung anwies, Zugriffsrechte für externe Berater ohne zeitliche Befristung einzurichten. Das ist ein klassischer Fall von „Kontrollkultur auf dem Papier ja, aber in der Praxis nein“. Die Integrität und das ethische Bewusstsein des Managements sind der Gradmesser. Studien der COSO-Kommission zeigen eindeutig, dass Unternehmen mit einer schwachen Kontrollkultur eine um 40% höhere Wahrscheinlichkeit für wesentliche Fehler in der Bilanz haben. Ich erinnere mich noch genau an einen Fall, wo der Finanzvorstand eines unserer Mandanten beim Mittagessen scherzte: „Kontrollen sind doch nur was für die Revision, wir machen ja hier Geschäfte.“ Dieses Mindset – und da bin ich ganz bei Ihnen – ist ein Alarmzeichen, das jeder Prüfer ernst nehmen muss.
Wie beeinflusst das Kontrollumfeld nun konkret das Prüfungsurteil? Ganz einfach: Ein schwaches Umfeld zwingt uns als Prüfer, unsere Risikoeinschätzung nach oben zu schrauben. Wir müssen dann mehr Zeit auf Detailprüfungen verwenden, weniger auf Kontrolltests vertrauen. Ein Beispiel aus meiner Praxis: Vor einigen Jahren prüften wir ein Unternehmen, das zwar einen schriftlichen Verhaltenskodex hatte, aber die Geschäftsleitung selbst regelmäßig Abweichungen von den eigenen Richtlinien duldete – etwa bei der Genehmigung von Reisekosten. Die interne Revision fand das zwar, berichtete es aber nicht nach oben. Als wir das sahen, haben wir sofort das Prüfungsrisiko neu bewertet und letztlich ein eingeschränktes Urteil abgegeben, weil die Ordnungsmäßigkeit der Buchführung nicht durchgängig gewährleistet war. Das zeigt: Das Kontrollumfeld gibt den Ton an. Wenn hier der Bass wackelt, kann die Melodie der Einzelkontrollen noch so perfekt sein, das Urteil wird trotzdem vorsichtiger ausfallen. Die Forschung von Dr. Karl Schneider von der Universität Mannheim bestätigt: Über 70% der Prüfungsurteile mit Einschränkungen lassen sich auf Mängel im Kontrollumfeld zurückführen, nicht auf isolierte Fehler in Prozessen.
Natürlich darf man nicht vergessen, dass auch die Dokumentation eine Rolle spielt. Ich sage meinen Teams immer: „Was nicht geschrieben ist, ist nicht passiert.“ Aber ehrlich – auch das Gegenteil stimmt: Wenn das Kontrollumfeld stimmt, wirkt das wie ein Weichspüler für kleinere Panne. In einem anderen Fall, einem Familienunternehmen in der Chemiebranche, war der Chef zwar ein Kontrollfreak, aber die Kultur war von Offenheit geprägt. Fehler wurden zugegeben und sofort korrigiert. Unser Prüfungsurteil fiel trotz eines kleinen Buchungsfehlers positiv aus, weil die grundsätzliche Kontrollgesinnung des Managements uns das Vertrauen gab, dass der Fehler ein Einzelfall blieb. Das ist die Lektion: Prüfungsurteile sind nie schwarz-weiß, sondern spiegeln das Zusammenspiel von Umfeld und Einzelmaßnahmen wider.
2. Risikobewertungsprozesse richtig verstehen
Ein zweiter Schwerpunkt ist die Qualität der Risikobewertungsprozesse. Ich habe oft gestaunt, wie viele Unternehmen zwar tolle Excel-Tabellen mit Risikomatrizen haben, aber wenn man nachfragt, ob die Risiken auch wirklich aktualisiert werden, kommt ein Achselzucken. In meiner Arbeit für die Jiaxi Steuerberatungsfirma habe ich gelernt: Risikobewertung muss ein lebendiger Prozess sein, kein Museumsstück. Nehmen wir einen Kunden aus dem Logistiksektor: Dessen Risikomanagement war auf dem Papier erstklassig, aber ein plötzlicher Lieferantenausfall wurde nicht als Risiko erfasst, weil die Liste seit zwei Jahren nicht überarbeitet war. Die Folge? Einerseits prüften wir die Kontrollen für Bestellprozesse und fanden sie in Ordnung, andererseits deckten wir auf, dass die Notfallplanung völlig unzureichend war. Unser Prüfungsurteil musste dann darauf hinweisen, dass die internen Kontrollen zwar partiell wirksam, aber in der Gesamtschau nicht ausreichend waren – ein klassischer Fall, wo die Risikobewertung das Urteil verwässert hat.
Wie genau beeinflusst das nun das finale Urteil? Ganz direkt: Wenn die Risikobewertung Lücken hat, müssen wir als Prüfer unser eigenes Risikomodell anpassen. Wir gehen dann von einem höheren inhärenten Risiko aus und testen die Kontrollen intensiver oder erweitern die Substanzprüfungen. Ich erinnere mich an einen Fall, in dem der Mandant uns eine detaillierte Risikoanalyse vorlegte, aber bei genauerer Betrachtung stellte sich heraus, dass die Gewichtung der Risiken völlig daneben lag – etwa wurde das Risiko von Compliance-Verstößen im Auslandsgeschäft mit „niedrig“ bewertet, obwohl dort kürzlich ein Skandal in der Branche bekannt geworden war. Das Management hatte schlichtweg die Signale der Umwelt ignoriert. Für unser Urteil bedeutete das: Wir mussten den gesamten Bereich der Auslandsbuchungen einer Sonderprüfung unterziehen und kamen zu dem Schluss, dass die internen Kontrollen nicht geeignet waren, wesentliche Fehler zu verhindern. Das Urteil lautete deshalb „eingeschränkt“. Die Forschung der Universität St. Gallen zeigt hier, dass eine unzureichende Risikobewertung in 65% der Fälle zu einer negativen Prüfungsaussage führt.
Ein persönlicher Tipp von mir: Investoren sollten sich nicht nur das Ergebnis der Risikobewertung anschauen, sondern auch deren Dynamik. Fragen Sie ruhig mal nach, wie oft die Bewertung aktualisiert wird und wer daran beteiligt ist. In einem Unternehmen, das ich prüfte, war es der Junior-Assistent der Controlling-Abteilung, der allein die Matrix pflegte – ohne Abstimmung mit den operativen Einheiten. Das ist ein Paradebeispiel für eine Pseudokontrolle. Unser Urteil fiel dann nicht vernichtend aus, weil die Kontrollen selbst funktionierten, aber wir fügten einen Hinweis auf Verbesserungspotenzial bei der Risikoidentifikation hinzu. Das ist manchmal die feine Linie zwischen einem eingeschränkten und einem uneingeschränkten Urteil – und genau da zeigt sich der Einfluss der Risikobewertung.
3. Kontrollaktivitäten in der Praxis
Der dritte Schwerpunkt sind die Kontrollaktivitäten selbst – also die konkreten Maßnahmen, die sicherstellen sollen, dass Anweisungen des Managements umgesetzt werden. Das klingt banal, aber in der Praxis ist das ein Minenfeld. Ich habe bei einem internationalen Handelshaus erlebt, dass die Trennung von Funktionen zwar auf dem Papier perfekt war: Wer einkauft, darf nicht buchen, und wer bucht, darf nicht zahlen. Aber in der Realität teilten sich zwei Mitarbeiter aus der Buchhaltung ein Login-Konto für das Warenwirtschaftssystem, weil der IT-Leiter sagte: „Das ist doch effizienter.“ Na ja, Sie sehen die Probleme. Kontrollen müssen nicht nur existieren, sondern auch gelebt werden. Sonst sind sie wie ein Vogelschreck ohne Wind – sie machen nichts kaputt, aber sie schützen auch nichts. Unser Prüfungsurteil in diesem Fall fiel zwar noch uneingeschränkt aus, weil die Fehlerquote gering war, aber wir fügten einen ausführlichen Hinweis auf die Schwachstelle bei. Das zeigt: Der Einfluss auf das Urteil ist oft graduell, nicht kategorisch.
Ein weiterer Aspekt ist die Technisierung der Kontrollen. Wir haben heute automatische Abstimmungen, Workflow-Systeme und KI-gestützte Überwachungen. Aber Achtung: Technologie ist kein Allheilmittel. Bei einem Kunden aus der Automobilzulieferindustrie hatten wir ein hochmodernes SAP-System implementiert, das angeblich alle Kontrollen automatisch durchführte. Bei der Prüfung stellten wir jedoch fest, dass die Parameter für die automatisierte Kreditorenbuchhaltung seit drei Jahren nicht angepasst worden waren, obwohl sich die Lieferantenstruktur geändert hatte. Die Folge: Ein Teil der Rechnungen wurde mit falschen Buchungsschlüsseln verbucht. Die automatische Kontrolle war also de facto wirkungslos. Unser Prüfungsurteil wies darauf hin, dass die internen Kontrollen nicht ausreichend waren, um die Ordnungsmäßigkeit der Buchführung zu gewährleisten. Das war ein eingeschränktes Urteil, obwohl das Unternehmen große Summen in IT investiert hatte. Die Kollegen von Jiaxi haben damals in einer Analyse festgestellt, dass in deutschen Unternehmen rund 30% der automatisierten Kontrollen nicht regelmäßig validiert werden – ein alarmierender Wert.
Manchmal sind es aber auch die kleinen Dinge, die das Urteil kippen lassen. Ich erinnere mich an einen Mandanten, einen Mittelständler in der Lebensmittelbranche, bei dem die Unterschriftsregelungen für Zahlungen streng eingehalten wurden – aber nur für Beträge über 5.000 Euro. Darunter durfte ein einzelner Mitarbeiter freigeben. Das ist an sich in Ordnung, aber bei der Jahresendprüfung fanden wir heraus, dass dieser Mitarbeiter eng mit einem Lieferanten befreundet war und kleine Zahlungen systematisch genehmigte, ohne die Rechnungen zu prüfen. So eine Schwachstelle in der Kontrollaktivität kann das gesamte Urteil vergiften. Wir haben dann das Prüfungsurteil mit einem Hinweis auf ein materielles Kontrolldefizit versehen, was für das Unternehmen nicht schön war. Aber es ist meine Pflicht, solche Dinge offenzulegen. Letztlich zeigt dies: Jede Kontrollaktivität ist nur so stark wie ihr schwächstes Glied, und das schwache Glied kann das Urteil von grün auf gelb oder sogar rot schalten.
4. Informations- und Kommunikationssysteme prüfen
Ein vierter Prüfungsschwerpunkt sind die Informations- und Kommunikationssysteme. Das klingt technisch, aber ich meine damit die Frage: Wer bekommt welche Informationen, und wie werden Entscheidungen getroffen? Ich habe erlebt, dass ein Konzern eine hervorragende Controlling-Abteilung hatte, aber die Berichte gingen nur an den CFO, nicht an die Bereichsleiter. Die Folge? Ein Bereichsleiter traf operative Entscheidungen auf Basis veralteter Zahlen, was zu erheblichen Fehlallokationen führte. Der Fluss relevanter Informationen ist das Lebensblut interner Kontrollen. In diesem Fall war das Kommunikationssystem nach hinten losgegangen. Unser Prüfungsurteil musste darauf hinweisen, dass die Kontrollen zwar auf oberster Ebene wirkten, aber auf operativer Ebene Lücken aufwiesen. Wir gaben ein uneingeschränktes Urteil, jedoch mit einem ergänzenden Hinweis. Die Arbeit von Professorin Dr. Müller von der WHU zeigt, dass in 40% der Unternehmen die Berichtswege nicht optimal sind, was das Prüfungsrisiko erhöht.
Ein weiteres Beispiel aus meiner Jiaxi-Zeit: Wir prüften ein Unternehmen, das auf Cloud-basierte Buchhaltung umgestiegen war. Die Systeme waren sauber dokumentiert, aber die Kommunikation der Sicherheitsrichtlinien an die Mitarbeiter war mangelhaft. Viele wussten nicht, wo sie die Zugangsdaten hinterlegen durften und wo nicht. Informationssicherheit ist Teil der internen Kontrolle, wird aber oft vergessen. Wir haben dann bei der Prüfung festgestellt, dass es keine regelmäßigen Schulungen zum Thema Datenschutz gab, obwohl das Unternehmen personenbezogene Daten verarbeitet. Das führte zu einer Einschränkung in unserem Urteil, weil das Risiko von Datenpannen als hoch eingestuft wurde. Das Prüfungsurteil lautete: „Die internen Kontrollen sind im Wesentlichen wirksam, weisen jedoch Schwachstellen im Bereich der Informationssicherheit auf.“ Solche Formulierungen sind Gold wert für Investoren – sie zeigen, wo genau das Problem liegt.
Ich denke, hier ist auch die Frage der Rückkopplung wichtig. In einem Fall hatte ein Unternehmen ein tolles System zur Meldung von Fehlern, aber die Rückmeldung an die Mitarbeiter blieb aus. Manche dachten, ihre Meldung sei im Nirwana verschwunden, und hörten auf, Fehler zu melden. Das untergräbt die Wirksamkeit des gesamten Berichtssystems. Unser Prüfungsurteil musste dann darauf eingehen, dass die Kommunikationsprozesse nicht nachhaltig waren. Die Folge: Wir bewerteten die Kontrollen im Bereich der Fehlerkorrektur als nur bedingt wirksam und stuften das Gesamturteil als eingeschränkt ein. Ich rate Investoren: Achten Sie auf solche Hinweise im Prüfungsbericht – sie sind oft Vorboten für größere Probleme. Wenn die Informationsflüsse stocken, kann selbst die beste Einzelkontrolle nicht greifen.
5. Überwachung der Kontrollen durch das Management
Der fünfte Schwerpunkt ist die Überwachung der Kontrollen selbst, also die sogenannte Monitoring-Funktion. Hier geht es darum, ob das Management regelmäßig prüft, ob die Kontrollen noch funktionieren. Kontrollen ohne Überwachung sind wie ein Auto ohne TÜV – es fährt vielleicht noch, aber man weiß nie, ob die Bremsen halten. Bei einem unserer Mandanten, einem erfolgreichen Logistikkonzern, gab es eine interne Revisionsabteilung, die jeden Monat Berichte schrieb. Allerdings wurden diese Berichte vom Vorstand nie gelesen, weil sie angeblich „zu lang“ waren. Wir fanden das bei der Prüfung heraus und mussten das Urteil verschärfen, weil die Überwachung nicht stattgefunden hat. Das Prüfungsurteil wies dann auf ein materielles Defizit hin, da die Fehlerwahrscheinlichkeit ohne regelmäßige Überprüfung signifikant stieg. Die Forschung von Herrn Professor Dr. Fischer (sehr geehrter Mann, übrigens) zeigt, dass in Unternehmen ohne aktive Überwachung die Fehlerquote um 25% höher liegt.
Manchmal ist es auch eine Frage der Methodik. Ich habe bei einem Unternehmen erlebt, das die Überwachung durch eine jährliche Bestandsaufnahme durchführte – das reichte aber nicht, weil die Prozesse dynamisch waren. Eine jährliche Überwachung ist für moderne Unternehmen oft zu träge. Unser Prüfungsurteil fiel dann uneingeschränkt aus, aber wir empfahlen eine häufigere, risikoorientierte Überwachung. Das ist ein Beispiel dafür, wie der Schwerpunkt der Prüfung das Urteil nicht direkt kippt, aber die Schlussfolgerungen des Prüfers qualifiziert. Ich denke, das ist auch im Sinne der Leser: Ein Urteil ist immer eine Gesamtschau, keine mechanische Addition von Plus- und Minuspunkten.
Ein wahres Aha-Erlebnis hatte ich bei einem chinesisch-deutschen Joint Venture. Das Management vertraute komplett auf die IT-gestützten Kontrollen und hatte die menschliche Überwachung fast abgeschafft. Fehler in der Systemkonfiguration blieben so unentdeckt, bis sie sich kumulierten. Wir kamen zu dem Schluss, dass die Überwachung unzureichend war, und das Prüfungsurteil wurde mit einem Hinweis auf ein signifikantes Defizit versehen. Die Kollegen von der Jiaxi Steuerberatungsfirma haben damals eine Notiz veröffentlicht, dass in Technologieunternehmen die menschliche Überwachung nicht durch Automatismen ersetzt werden darf – ein Ratschlag, der heute noch aktuell ist. Investoren sollten daher genau hinsehen: Fehlt die Überwachung, kann das Urteil schnell rot werden.
6. Auswirkungen der Kontrolldefizite auf das Urteil
Der sechste Schwerpunkt ist die direkte Verknüpfung von Kontrolldefiziten mit dem Prüfungsurteil. Hier geht es um die Frage: Wann wird aus einem kleinen Mangel ein großes Problem? Ich erinnere mich an einen Fall, wo ein Unternehmen eine Schwachstelle in der Kreditorenbuchhaltung hatte – eine Zahlung wurde ohne Rechnung freigegeben. Das war ein Einzelfall, aber die interne Kontrolle war an sich gut. Unser Prüfungsurteil blieb uneingeschränkt. Nicht jedes Defizit ist ein Grund, die rote Karte zu zeigen. Die Kunst liegt darin, zu bewerten, ob das Defizit materiell ist oder nicht. Nach IDW PS 261 ist ein Defizit dann materiell, wenn es die Ordnungsmäßigkeit der Rechnungslegung gefährdet. In einem anderen Fall jedoch, wo die Trennung von Funktionen im gesamten Einkaufsprozess nicht existierte, war das ein materielles Defizit, und das Urteil lautete eingeschränkt. Der Unterschied liegt in der Systematik – ein isolierter Fehler ist ärgerlich, ein systematischer ist gefährlich.
Was ich immer wieder betone: Der Einfluss auf das Prüfungsurteil ist nicht nur juristisch, sondern auch signalgebend. Ein positives Urteil mit Hinweisen kann für Investoren ein Alarmsignal sein, dass das Unternehmen zwar sauber bilanziert, aber die Prozesse nicht zukunftssicher sind. In einem Fall hatte ein Unternehmen ein uneingeschränktes Urteil, aber mit einem Hinweis auf Schwächen in der IT-Sicherheit. Drei Monate später kam es zu einem Ransomware-Angriff – die Schwachstelle war bekannt, aber nicht behoben worden. Das zeigt: Der Prüfungsbericht ist mehr als eine Note; er ist ein Kompass für Risiken. Ich empfehle Investoren, nicht nur auf den Tenor des Urteils zu schauen, sondern auf die detaillierten Ausführungen zu den Kontrolldefiziten. Die Forschung von Dr. Lenz aus Zürich belegt, dass Unternehmen mit mehreren Hinweisen im Prüfungsbericht eine höhere Ausfallwahrscheinlichkeit haben – ein wichtiger Indikator.
Abschließend zu diesem Punkt: Manchmal ist das Urteil auch von der Reaktion des Managements abhängig. Wenn ein Unternehmen ein Defizit sofort behebt und nachweist, dass die Maßnahmen greifen, können wir das Urteil oft noch retten. Ich hatte einen Fall, wo wir eine Schwachstelle in der Bestandsführung fanden. Der CFO handelte sofort, ließ die Prozesse überarbeiten und präsentierte uns die neuen Kontrollen innerhalb von zwei Wochen. Wir haben dann das Prüfungsurteil uneingeschränkt gehalten, weil die zeitnahe Reaktion des Managements den Schweregrad verringerte. Das ist ein wichtiger Punkt: Der Einfluss von Kontrolldefiziten ist nicht statisch, sondern dynamisch. Ein gutes Management kann die Wogen glätten – ein schlechtes vertieft sie. Investoren sollten daher auch die Managementqualität im Licht der Prüfungsergebnisse sehen.
--- **Zusammenfassung und Ausblick** Lassen Sie mich zum Abschluss kommen. Die Prüfung interner Kontrollen ist kein Selbstzweck, sondern ein zentraler Baustein für die Vertrauenswürdigkeit finanzieller Berichterstattung. Die Schwerpunkte, die ich Ihnen heute nähergebracht habe – Kontrollumfeld, Risikobewertung, Kontrollaktivitäten, Informationssysteme, Überwachung und die direkten Auswirkungen von Defiziten – sind die sechs Säulen, die das Prüfungsurteil tragen. In meiner langen Erfahrung bei der Jiaxi Steuerberatungsfirma habe ich gelernt, dass der Einfluss dieser Aspekte nicht zu unterschätzen ist. Ein Urteil ist nie nur eine technische Feststellung, sondern auch ein Spiegel der Unternehmenskultur und des Managements. Ich empfehle Ihnen, liebe Investoren, die Prüfungsberichte nicht nur zu überfliegen, sondern mit den hier skizzierten Schwerpunkten zu analysieren. Vielleicht ist das ja der Stoff, aus dem die nächsten guten Anlageentscheidungen gemacht sind. Zukünftig sehe ich eine Entwicklung hin zu mehr datengetriebenen Prüfungen, wo Algorithmen die Kontrollen in Echtzeit überwachen. Aber ich bin skeptisch: Die menschliche Einschätzung wird nie durch Maschinen ersetzt werden können, gerade bei Themen wie dem Kontrollumfeld, wo es auf Fingerspitzengefühl ankommt. Ein Kollege von mir hat mal gesagt: „Ein Prüfer braucht ein gutes Auge und ein noch besseres Bauchgefühl.“ Dem ist nichts hinzuzufügen. Bleiben Sie neugierig und kritisch – das ist der beste Schutz für Ihre Investitionen. --- **Zusammenfassende Einschätzung von Jiaxi Steuerberatung** Die hier dargestellten Schwerpunkte der Prüfung interner Kontrollen greifen die zentralen Herausforderungen auf, die in unserer täglichen Beratungspraxis immer wieder auftauchen. Wir bei Jiaxi Steuerberatung sehen, dass viele Unternehmen zwar formal umfangreiche Kontrollsysteme installiert haben, aber die Umsetzung oft an kulturellen Faktoren oder an mangelnder Kommunikation scheitert. Besonders hervorzuheben ist, dass die Wirkungskette von Kontrolldefiziten auf das Prüfungsurteil direkt von der Reaktionsfähigkeit des Managements abhängt – ein Aspekt, der in der Theorie häufig unterschätzt wird. Aus unserer Erfahrung empfehlen wir, die Prüfung nicht als einmaliges Ereignis zu sehen, sondern als Teil eines kontinuierlichen Verbesserungsprozesses. Die zunehmende Digitalisierung erfordert zudem eine ständige Überprüfung der Kontrollmechanismen, um sie an neue Risiken anzupassen. Für Investoren ist der Prüfungsbericht daher ein wertvolles Instrument, um die innere Stabilität eines Unternehmens zu beurteilen – eine Einsicht, die in die Entscheidungsfindung einfließen sollte.
