Unter einem internen Kontrollsystem (IKS) versteht man die vom Management eingeführten Grundsätze, Verfahren und Kontrollen, die die ordnungsgemäße, gesetzes- und richtlinienkonforme Abwicklung der Geschäftsprozesse sicherstellen und Risiken auf ein tragbares Niveau begrenzen. Es umfasst typischerweise Komponenten wie Kontrollumfeld, Risikoidentifikation und -bewertung, Kontrollaktivitäten, Information/Kommunikation und Überwachungsaktivitäten und ist integraler Bestandteil des Risikomanagements. In Finanzinstituten wird das IKS häufig entlang des Drei-Linien-Modells organisiert: operative Einheiten als erste Linie, unabhängige Kontrollfunktionen (z. B. Risikocontrolling, Compliance) als zweite Linie und die Interne Revision als dritte Linie. Aufsichtsrechtlich prägen insbesondere MaRisk sowie Governance-Leitlinien von Aufsehern die Anforderungen an Aufbau, Verantwortlichkeiten und Wirksamkeit des IKS.
Für den Aufsichtsrat ist das IKS zentraler Indikator für die Qualität der Governance, weil es unmittelbar beeinflusst, wie zuverlässig Informationen sind und wie gut Risiken, Regelverstöße und dolose Handlungen verhindert oder entdeckt werden. Gesetzlich ist die Geschäftsleitung zur Einrichtung eines angemessenen IKS verpflichtet, während der Aufsichtsrat die Funktionsfähigkeit des Systems zu überwachen hat. In der Praxis geschieht dies vor allem über Berichte des Vorstands, der Internen Revision und ggf. der externen Abschlussprüfer sowie über gezielte Nachfragen zu identifizierten Schwachstellen und deren Abarbeitung. Ein belastbares IKS wirkt risikomindernd auch im Hinblick auf Organhaftung, während wiederkehrende Feststellungen und Prozessmängel ein deutliches Warnsignal für das Überwachungsorgan sind.
Das IKS soll sicherstellen, dass wesentliche Risiken, Fehler und Regelverstöße in den Geschäftsprozessen verhindert oder frühzeitig erkannt werden und Entscheidungen auf verlässlichen Daten beruhen. Damit ist es ein Kerninstrument, um die Wirksamkeit der Geschäftsorganisation und die Einhaltung von Gesetzen, MaRisk und internen Richtlinien zu überwachen.
Wesentlich sind Fragen nach Aufbau und Verantwortlichkeiten (inklusive Drei-Linien-Modell), nach Abdeckung der kritischen Prozesse und nach der systematischen Identifikation und Behebung von IKS-Schwachstellen. Sie sollten sich außerdem erläutern lassen, wie oft und wie tief Kontrollen getestet werden und wie über wesentliche Defizite an Vorstand und Aufsichtsrat berichtet wird.
Hinweise sind häufige oder wiederkehrende Feststellungen von Interner Revision und Prüfern, unzureichende oder inkonsistente Dokumentation von Kontrollen und ein niedriges Bewusstsein für Compliance- und Reputationsrisiken im Management. Wenn wesentliche IKS-Mängel lange offen bleiben oder sich wiederholen, sollte der Aufsichtsrat kritisch nachfassen und verstärkte Maßnahmen einfordern.
Die Interne Revision bildet die dritte Verteidigungslinie und prüft unabhängig, wie wirksam das IKS in den Bereichen tatsächlich funktioniert. Ihre Prüfungsberichte und Follow-up-Übersichten sind für den Prüfungsausschuss ein zentrales Instrument, um den Gesundheitszustand des IKS zu beurteilen.
Bewährt hat sich, das IKS regelmäßig im Prüfungsausschuss zu behandeln und mindestens einmal jährlich eine zusammenfassende IKS-Bewertung von Vorstand und Interner Revision einzuholen. Ergänzend sollte der Aufsichtsrat bei strategischen Projekten, IT-Vorhaben und wesentlichen Auslagerungen gezielt nach IKS-Auswirkungen fragen und entsprechende Kontrollen einfordern.