Prüfung des internen Kontrollsystems einer Genossenschaft infolge einer Millionen-Unterschlagung

/in , /von

In einer Einkaufsgenossenschaft mit mehreren Betriebsstätten kam es zu Untreuehandlungen des Buchhalters. Über einen Zeitraum von mehr als 10 Jahren wurden von ihm Unterschlagungen in Millionenhöhe begangen.

Im Verfahren gegen den Vorstandsvorsitzenden auf Verletzung seiner Sorgfaltspflichten wurden wir vom Gericht beauftragt zu prüfen, ob der geschäftsführende Vorstand im Hinblick auf die Einführung und Funktionsfähigkeit des Internen Kontrollsystems, nachfolgend „IKS“ genannt, der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters Genüge getan hatte.

Einführende Hinweise zum IKS:

Unter einem IKS versteht man die Summe aller Aktivitäten in einem Unternehmen, die der Gewährleistung effektiver und störungsfreier Abläufe zur Erreichung der betrieblichen Ziele dienen.

Durch geeignete Maßnahmen in den Bereichen der Aufbau- und Ablauforganisation werden möglichst fehlerfreie Prozesse zur Erreichung des Unternehmenszwecks angestrebt. In diesem Zusammenhang wird auch von einem Risikomanagementsystem gesprochen.

Das heute in Deutschland angewandte Konzept geht auf den in den USA entwickelten COSO-Report zurück, welcher mittlerweile in nationale Standards und Empfehlungen eingeflossen ist.

Rechtliche Grundlagen, aus denen sich Anforderungen zur Einrichtung eines IKS und dessen Überwachungspflicht direkt oder indirekt ableiten lassen, existieren in vielfältiger Form. Zu nennen sind hier u.a. das HGB (§ 317 Abs. 4), AktG (§ 91 Abs. 2), die US-amerikanischen Vorschriften des Sarbanes-Oxley Act (kurz: SOX) sowie die Regelungen des Institut der Wirtschaftsprüfer (IDW) im Prüfungsstandard 261 n.F.

Der IDW Prüfungsstandard unterscheidet zwischen Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem). Nach dem IDW ergibt sich folgende Gliederung des IKS:

 

Quelle: IDW Prüfungsstandard 261 n.F. vom 14.06.2016, RN 20,
Abb. 2: Regelungsbereiche des internen Kontrollsystems

 

Auftragsgemäß beschränkte sich unsere Prüfung des IKS auf die Teile des Systems, die der Sicherung der Qualität des Rechnungswesens dienen. Demzufolge wurde die Aufbau- und Ablauforganisation im Bereich des Rechnungswesens geprüft.
Daneben wurde auch das Managementinformationssystem (MIS) der Genossenschaft auf seine Effizienz überprüft.
Schließlich war zu prüfen, ob die interne Revision ihrer Überwachungsaufgabe gerecht wurde.

Aufbauorganisation:

Es ist sicherzustellen, dass ein Organigramm die Aufgabenverteilung innerhalb des Unternehmens regelt. Stellenbeschreibungen und Organisationshandbücher stellen sicher, dass

  • die Aufgaben, Kompetenzen und Verantwortungsbereiche der Mitarbeiter klar verteilt und abgegrenzt sind,
  • Stellvertretungsregelungen dargelegt werden,
  • das Prinzip der Funktionstrennung eingehalten wird,
  • die Abläufe transparent und nachvollziehbar dargestellt werden.

Eine wichtige Komponente der Aufbauorganisation ist ihre Aktualität.

Ablauforganisation:

Auf der Aufbauorganisation aufbauend sollten für alle wichtigen Prozesse im Unternehmen wie z.B. Einkauf, Verkauf, Produktion und Rechnungswesen Prozessbeschreibungen in schriftlicher Form vorliegen. Auch hinsichtlich des Rechnungswesens sollten folgenden Kriterien erfüllt sein:

  • klar definierter Geschäftsverteilungsplan bei mehreren Geschäftsführern
  • Handlungs- und Unterschriftvollmachten
  • Stellenbeschreibungen vollständig und auf dem neuesten Stand
  • Arbeitsablauf- / Prozessbeschreibungen für alle wesentlichen Abläufe
  • Vier-Augen-Prinzip bei Arbeitsanweisungen und ggf. Vollmachten regelmäßige Überwachungshandlungen
  • eine den Erfordernissen entsprechende Kontrollspanne, d.h. einer Führungsfunktion sind nur so viele Personen zu unterstellen, dass deren Aufgabenerfüllung noch ausreichend sicher überwacht und beurteilt werden kann.

Prüfungsergebnisse:

Aufbau- und Ablauforganisation

Von den Parteien wurden für den relevanten Zeitraum keine schriftlichen Dokumentationen vorgelegt, die die Einrichtung und die Funktionsfähigkeit eines IKS im Rechnungswesen hätten belegen können.

Insbesondere wurden keine detaillierten Organigramme und konkrete Arbeitsanweisungen sowie konkrete Prozessbeschreibungen vorgelegt. Ebenso fehlten Dokumentationen von möglicherweise durchgeführten Funktionsprüfungen und daraus abzuleitenden Maßnahmeplänen.

Stattdessen war festzuhalten, dass das IKS im Unternehmen nur in „mündlicher“ Form vorlag und als „gelebte Praxis“ interpretiert werden konnte.

Die nicht existente Dokumentation der Aufbau- und Ablauforganisation sowie der Funktionsprüfungen und Kontrollmaßnahmen stellte eine signifikante Schwäche des IKS dar.

Demzufolge konnte der Nachweis über die Einrichtung und Funktionsfähigkeit eines rechnungslegungsbezogenen IKS sowie darauf aufbauender Überwachungsmaßnahmen nicht erbracht werden. Dokumentationen von Aufbau- und Ablauforganisation sowie der Funktionsprüfungen und Kontrollmaßnahmen wurden nicht vorgelegt.

Berichtswesen / Managementinformationssystem (kurz: MIS)

Zur Prüfung des MIS hatten wir von den Prozessbeteiligten insbesondere folgende Unterlagen angefordert:

  • Umsatz-, Ertrags- und Kostenvergleiche
  • Monatliche und jährliche Unternehmenspläne nebst Liquiditätsplänen
  • Monatliche betriebswirtschaftliche Auswertungen (BWA`s bzw. BAB`s)

Im Ergebnis war festzuhalten, dass das Berichtswesen / MIS im Wesentlichen geeignet war, die Führungsebene mit den für die Unternehmenssteuerung notwendigen Informationen zu versorgen. In komprimierter Form waren Auswertungen zur Umsatz- und Ertragslage, Umsatzentwicklung, Budgetierung und zur kurzfristigen Liquiditätsvorschau abrufbar. Defizite bestanden im Bereich der Kennzahlen. Hier wären eine Ergänzung um Kennzahlen der Liquidität sowie ein Vergleich mit Branchenkennzahlen geboten gewesen.

Interne Revision

Die Interne Revision wurde erst spät auf Empfehlung des Genossenschaftsverbandes im Jahr 2008 als Halbtagsstelle eingerichtet.

Die uns vorgelegten Tätigkeitsnachweise ließen den Schluss zu, dass nur einfache Prüfungen wie bspw. Kassen- und Lagerbestandsprüfungen durchgeführt wurden.

Eine notwendige risikoorientierte Prüfungsplanung wurde ebenso nicht vorgelegt wie Dokumentationen von Prüfungen größerer Themenkomplexe wie bspw. Prüfungen der Ablauforganisation im Bereich Rechnungswesen.

Es ist davon auszugehen, dass planmäßige risikoorientierte Prüfungen durch die Interne Revision nicht durchgeführt wurden.

Demzufolge wurde die Interne Revision ihrer Überwachungsaufgabe nicht gerecht.

Fazit:

Die Prüfung führte zu dem Ergebnis, dass der Vorstandsvorsitzende seinen Pflichten nicht vollumfänglich nachgekommen ist. Insbesondere konnte nicht nachgewiesen werden, dass ein der Größe der Unternehmung angemessenes funktionierendes IKS in der Genossenschaft eingerichtet war und regelmäßige Funktionsprüfungen des IKS durchgeführt wurden.

Die Unterschlagungen hätten höchstwahrscheinlich durch ein implementiertes funktionsfähiges IKS verhindert werden können bzw. die dolosen Handlungen des Buchhalters hätten zu einem früheren Zeitpunkt entdeckt werden können.