Inhaltsübersicht I. Begriff, Aufgaben und Merkmale interner Kontrollsysteme II. Interne Kontrollsystem-Beurteilung in der Abschlussprüfung I. Begriff, Aufgaben und Merkmale interner Kontrollsysteme 1. Überwachungstheoretischer Ansatz a) Grundlagen „ Internes Kontrollsystem “ und damit verwandte Begriffe werden im betriebswirtschaftlichen Schrifttum nicht einheitlich interpretiert. Zur Erklärung interner Kontrollsysteme im Rechnungs- und Prüfungswesen sind der überwachungstheoretische Ansatz (vgl. z.B. Kromschröder, 1972; Baetge, J. 1992; Baetge, J. 1993, dessen Erklärung hier im Wesentlichen gefolgt wird) und das internal control-Konzept von besonderer Bedeutung. Nach der häufig verwendeten überwachungstheoretischen Begriffsbildung sind Kontrolle und Revision Unterbegriffe der Überwachung. Die Überwachung stellt den Vergleich eines Ist-Objekts mit einem Soll-Objekt (einer Soll- oder Norm-Vorstellung) mit anschließender Ergebnisbewertung dar. Wenn sich Ist-Objekt und Soll-Objekt entsprechen, wird das Ist-Objekt als korrekt oder als richtig betrachtet. Wird dagegen eine Soll-Ist-Abweichung festgestellt, so gilt das Ist-Objekt als nicht korrekt oder falsch. Die konkrete Bezeichnung der Abweichung, etwa Mangel, Schwäche, Ungenauigkeit, Unwirtschaftlichkeit, Manipulation, Fälschung u.Ä., richtet sich nach dem jeweils zu beurteilenden Sachverhalt; als eine allgemeine Bezeichnung der Soll-Ist-Abweichung wird oft „ Fehler “ verwendet. Fehler sind unerwünscht; gleichwohl ist nicht jede festgestellte Soll-Ist-Abweichung zu berichtigen. Eine Soll-Ist-Abweichung ist vielmehr auf ihre Tolerierbarkeit hin zu beurteilen. Dem Überwachungsvorgang zurechenbar ist auch die Ergebnismitteilung an die Überwachungsadressaten. Nicht zum Überwachungsvorgang im eigentlichen Sinne gehören die zu überwachenden Arbeitsschritte sowie Korrekturschritte. Nicht nur das Ist-Objekt, auch das Soll-Objekt und der Soll-Ist-Vergleich als solcher können fehlerhaft sein. Die Beurteilung eines Ist-Objekts als „ richtig “ oder „ falsch “ entspricht dann nicht den Tatsachen, wenn das Soll-Objekt fehlerhaft ermittelt, wenn als Ist-Objekt nicht das tatsächliche Ist-Objekt verwendet oder wenn die Vergleichshandlung als solche fehlerhaft vollzogen wird. Ein mitunter übersehener Sonderfall der Überwachung ist der Ist-Ist-Vergleich (vgl. Baetge, J. 1992), bei dem auf eine Soll-Objekt-Ermittlung verzichtet wird und statt dessen mehrere (meist zwei) Ist-Objekte bestimmt werden und für den Fall der Ist-Objekt-Übereinstimmung auf die Korrektheit der Ist-Objekte geschlossen wird. Weichen jedoch die Ist-Objekte von einander ab, kann mangels eines Soll-Objekts ohne weitere Überwachungsschritte nicht gesagt werden, welches der Ist-Objekte fehlerhaft ist bzw. welche der Ist-Objekte fehlerhaft sind. Übereinstimmende Ist-Objekte können zudem gleichermaßen fehlerhaft sein. Bei schwieriger Soll-Objekt-Ermittlung sind Ist-Ist-Vergleiche oft bequemer als Soll-Ist-Vergleiche durchzuführen. Bei Überwachungsvorgängen im Rechnungswesen sind diese Vergleiche recht häufig anzutreffen, z.B. bei Globalabstimmungen (den Vergleichen solcher Summen oder Salden auf Identität, die nach der Logik der doppelten Buchführung identisch sein müssen). Die Überwachungsmaßnahmen eines Unternehmens oder eines abgegrenzten Unternehmensteils bilden das Überwachungssystem des Unternehmens oder des betrachteten Teils. Überwachungsmaßnahmen haben keinen Selbstzweck, sondern richten sich auf Arbeitsvorgänge und die Sicherung des Unternehmensvermögens. In der Regel billigt man deshalb einem Unternehmen nur dann zu, ein „ Überwachungssystem “ zu besitzen, wenn die Überwachungsmaßnahmen auf die Arbeitsschritte und die zu sichernden Vermögensgegenstände abgestimmt sind; nicht jede willkürliche Ansammlung von Überwachungsvorkehrungen konstituiert insofern ein „ Überwachungssystem “ . b) Aufgaben der Überwachung Unternehmen identifizieren üblicherweise die ihren betrieblichen Bearbeitungsvorgängen innewohnenden (inhärenten) Fehlerrisiken und richten Überwachungssysteme ein. Deren Aufgabe ist es, unter Beachtung des Wirtschaftlichkeitsziels Fehler zu verhüten (präventive Aufgabe) und entstandene Fehler zu entdecken (detektive Aufgabe), mitunter auch entdeckte Fehler zu berichtigen (korrektive Aufgabe). Die Überwachung von Arbeitsschritten und Arbeitsergebnissen des Rechnungswesens soll die Qualität der Bearbeitungsergebnisse sichern, die Unternehmensmitarbeiter zur Fehlervermeidung motivieren und Fehler nach Erkennung ihrer Ursachen vermeiden helfen. Bei einer Objektüberwachung werden die an den Ist-Objekten festgestellten Fehlerergebnisse insbes. an die ausführenden Mitarbeiter (z.B. an die ursprünglichen Bearbeiter) zurückgemeldet, zumeist laufend im Anschluss an die Bearbeitungsvorgänge. Bei einer Dispositionsüberwachung wird – meist nur von Zeit zu Zeit – die für Planungs- und Gestaltungszwecke relevante Fehlerinformation den dispositiv zuständigen Personen gemeldet. Im Bereich des Finanz- und Rechnungswesens haben Objekt- und Dispositionsüberwachungen, die der Ordnungsmäßigkeit der Rechnungslegung dienen, große Bedeutung. Die Objekt- und Dispositionsüberwachungen können aber auch andere Zielen verfolgen, etwa den Arbeitsablauf zu beschleunigen oder den innerbetrieblichen Informationsfluss zu verbessern. Da die Dispositionsüberwachung Planungs- und Gestaltungszwecken dient, wird sie oftmals von den Planungsabteilungen eines Unternehmens wahrgenommen. c) Interne Kontrolle und internes Kontrollsystem Unter Kontrollen werden fest in die betrieblichen Arbeitsabläufe integrierte Überwachungen verstanden. Mit Kontrollen betraut sind in der Regel unternehmenszugehörige Personen; deshalb spricht man auch von internen Kontrollen. Die Kontrollen eines Unternehmens oder eines abgegrenzten Unternehmensteils bilden das (interne) Kontrollsystem des Unternehmens oder des betrachteten Teils. Analog zur Begriffsbildung beim Überwachungssystem wird allerdings zumeist nur von einem „ Kontrollsystem “ gesprochen, wenn die Kontrollregeln auf die Arbeitsschritte und die zu sichernden Vermögensgegenstände abgestimmt sind. Die Wirtschaftlichkeit und Zuverlässigkeit interner Kontrollsysteme ist Gegenstand umfangreicher modelltheoretischer Untersuchungen (vgl. z.B. Kromschröder, 1972; Cushing, 1974; Baetge, J./Mochty, 1980; Sanders, 1987). Im Gegensatz zur internen Kontrolle ist die Revision (Synonym: Prüfung) nicht in betriebliche Arbeitsabläufe fest eingebettet; bei einer externen Revision wird von unternehmensfremden Personen geprüft, z.B. von Wirtschaftsprüfern oder vereidigten Buchprüfern, bei einer internen Revision von unternehmenszugehörigen Personen, z.B. – aber nicht nur – von Mitarbeitern der Abteilung „ Interne Revision “ des Unternehmens. Im Sinne dieser Begriffsbildung bilden das interne Kontrollsystem und die interne Revision das interne Überwachungssystem. Die Antwort auf die Frage, ob Überwachungsvorgänge in betriebliche Arbeitsabläufe als fest eingebaut anzusehen sind oder nicht, hängt bisweilen davon ab, wie detailliert die Abläufe betrachtet werden. Deshalb existiert nicht stets eine strenge Trennung zwischen Kontrolle und Revision. Überwachungsmaßnahmen besitzen im Finanz- und Rechnungswesen eine lange Tradition; manche Fachausdrücke, etwa „ interne Kontrolle “ oder „ interne Revision “ , gelten deshalb im betriebswirtschaftlichen Sprachgebrauch vielfach als für das Finanz- und Rechnungswesen reserviert, obwohl sie im Sinne der recht allgemeinen überwachungstheoretischen Definition auch auf andere Unternehmensbereiche anwendbar sind. 2. Internal control-Ansatz a) Grundlagen Eine zweite wichtige und häufig verwendete Begriffsbildung des (internen) Kontrollsystems baut auf dem angelsächsischen Verständnis des Begriffes control auf. Dieses Verständnis liegt auch der Bezeichnung „ Controlling “ zugrunde (vgl. Horváth, 1992; Horváth, 1998; zu Kontroll- und Controllingauffassungen ferner Sjurts, 1995). Für das Wort control bestehen zahlreiche Übersetzungen ins Deutsche, für den Unternehmensbereich insbes. Lenken, Steuern, Überwachen, Planen sowie auch Kontrollieren. Der Begriffsinhalt von internal control geht somit über jenen der Kontrolle im Sinne des überwachungstheoretischen Begriffes hinaus. Der U.S. Auditing Standard 319 (Consideration of Internal Control in a Financial Statement Audit; vgl. AICPA, 1998, AU § 319.06) definiert internal control als einen von der Unternehmensleitung und anderen Mitarbeitern bewirkten Prozess, der darauf abzielt, - die Zuverlässigkeit der Rechnungslegung (financial reporting), - zweckmäßig und effizient ausgeführte Arbeitsabläufe und - die Einhaltung relevanter Gesetze und Vorschriften hinreichend sicher zu erreichen. Diese Definition folgt der 1992 herausgegebenen Verlautbarung Internal Control – Integrated Framework des Committee of Sponsoring Organizations of the Treadway Commission (sog. COSO-Report). Die Verlautbarung wird im erheblichen Ausmaß vom Schrifttum der Wirtschaftsprüfung rezipiert (vgl. neben AICPA, 1998 z.B. Arens, /Loebbecke, 2000; Boynton, /Kell, 1996; Cosserat, 2000; Wallace, 1995). Die Verlautbarung will internal control definieren, beschreiben und damit differierende Auffassungen vereinheitlichen. Die COSO-Kommission (vgl. – auch zur Verlautbarung Internal Control – www.coso.org) wird von mehreren der Rechnungslegung verpflichteten US-amerikanischen Organisationen, darunter American Accounting Association, American Institute of Certified Public Accountants (AICPA) und Institute of Internal Auditors, unterstützt. b) Ausgestaltung des internal control-Ansatzes und Vergleich mit dem überwachungstheoretischen Ansatz Folgende Anforderungen werden an internal control gestellt (vgl. Committee of Sponsoring Organizations of the Threadway Commission (COSO), 1994; AICPA, 1998, AU § 319.7, § 319.84): - für ein angemessenes Kontrollumfeld zu sorgen (control environment), - die unternehmensexternen und unternehmensinternen Gefahren, die der Erreichung der Unternehmensziele potenziell entgegenstehen, zu identifizieren und zu analysieren, so dass ein Risikomanagementsystem eingerichtet werden kann (risk assessment), - Kontrollmaßnahmen zur Einhaltung von Unternehmensrichtlinien auszuwählen (control activities), - über die Geschäftsvorfälle und Bestände ein angemessenes Informationssystem (einschließlich Buchhaltungssystem) und Kommunikationssystem einzurichten (information and communication), - die Qualität des Kontrollsystems laufend zu überwachen (monitoring). Die vorgenannten Forderungen werden ihrerseits durch zahlreiche Detailforderungen und Erläuterungen konkretisiert. So verlangt das angemessene Kontrollumfeld u.a. eine integere Grundhaltung der mit den Kontrollen befassten Personen. Risikofaktoren sind z.B. neue Mitarbeiter oder schnelles Unternehmenswachstum. Kontrollmaßnahmen sind u.a. physische Kontrollen oder die Befolgung des Grundsatzes der Funktionstrennung. Internal control hat im Kern das gleiche Anliegen wie das Überwachungssystem im Sinne des überwachungstheoretischen Ansatzes. Allerdings liegt, wie bereits die vorgenannten Forderungen zeigen, eine besondere Betonung des internal control-Ansatzes auf weitgefassten Forderungen und Regeln zur Gestaltung des Systems und auf präventiven Maßnahmen. Statt von internal control wird oft auch von internal control structure ( „ interne Kontrollstruktur “ ) oder auch von internal control system ( „ internes Kontrollsystem “ ) gesprochen; die Begriffsbildung ist allerdings nicht einheitlich und unterliegt einem zeitlichen Wandel. Im Deutschen wird internal control teils als „ interne Überwachung “ oder „ internes Überwachungssystem “ interpretiert (z.B. Lück, 1998). Teils ist „ interne Kontrolle “ oder „ internes Kontrollsystem “ gebräuchlich; insbes. wird im Rahmen der Abschlussprüfung in der Regel nicht von einer Prüfung des „ internen Überwachungssystems “ , sondern des „ internen Kontrollsystems “ (oder des „ Kontrollsystems “ ) gesprochen. Die Kontrollsystem-Prüfung wird kurz auch als Systemprüfung bezeichnet; mitunter dient „ Systemprüfung “ indes als Überbegriff für die Prüfung von „ Systemen “ (etwa Kontroll- und EDV-Systemen). II. Interne Kontrollsystem-Beurteilung in der Abschlussprüfung 1. Aufgabe und Bedeutung der internen Kontrollsystem-Prüfung Um Risikobereiche möglicher Unrichtigkeiten und Verstöße zu identifizieren, sammeln und analysieren Wirtschaftsprüfer im Rahmen der Ausgangsplanung einer Abschlussprüfung Informationen u.a. über das interne Kontrollsystem. „ Internes Kontrollsystem “ wird dabei im Sinne des internal control-Konzeptes verstanden; potenziell prüfungsrelevant sind allerdings nicht alle Aspekte des internal control, sondern nur die mit der Rechnungslegung verbundenen. Im Rahmen der Prüfprogrammentwicklung und der Prüfungsdurchführung ist sodann das Kontrollrisiko zu schätzen; dabei wird dieses Risiko zumeist detailliert für einzelne Prüfziele oder Prüfkategorien geschätzt, also nicht nur bezogen auf ein Prüffeld oder eine Prüffeldergruppe insgesamt. Das Kontrollrisiko ist das Risiko, dass ein bestehender wesentlicher Fehler durch betriebliche Kontrollen nicht verhütet oder nicht entdeckt wird. Ist ein unternehmensinternes Kontrollsystem vorhanden, ist es für den Wirtschaftsprüfer bei dessen Abschlussprüfung vielfach notwendig oder zumindest sinnvoll, festzustellen, inwieweit das System zur Verhütung sowie zur Entdeckung und Korrektur bestehender wesentlicher Fehler geeignet ist. Eine derartige (interne) Kontrollsystem- oder Verfahrensprüfung besteht typischerweise aus einer Erfassungsprüfung der Arbeitsabläufe und der für diese vorgeschriebenen Kontrollregeln (einschließlich der Sicherungseinrichtungen für Vermögensgegenstände), einer Konzeptionsprüfung, in der die Kontrollregeln auf ihre grundsätzliche Eignung zur Fehlerverhütung und Fehlerbeseitigung beurteilt werden, und der Funktionsprüfung, in der festgestellt wird, ob die internen Kontrollen in praxi so angewandt und befolgt werden, wie sie konzipiert sind. Ausgehend von dem – aufgrund der Kontrollsystem-Prüfung geschätzten – Kontrollrisiko oder, anders ausgedrückt, dem gewonnenen Vertrauen in die Fähigkeit des unternehmensinternen Kontrollsystems zur Verhütung und zur Entdeckung/Beseitigung wesentlicher Fehler werden die weiteren Prüfungshandlungen nach Art und Umfang festgelegt. Dabei ist vom Wirtschaftsprüfer stets abzuwägen, welche Kombination von Prüfungshandlungen mutmaßlich am wirtschaftlichsten erscheint. Vielfach erlaubt ein aufgrund der Kontrollsystem-Prüfung als gut konzipiert und gut funktionierend beurteiltes Kontrollsystem – teilweise drastisch – reduzierte Ergebnisprüfungen. Falls sich im Verlauf der Prüfung das Kontrollsystem jedoch als schlecht konzipiert oder als in praxi nicht wirksam erweist, kann eine erwartete Wirtschaftlichkeitssteigerung nicht eintreten. Auf die Beurteilung eines internen Kontrollsystems gänzlich verzichten kann der Abschlussprüfer nach den geltenden Prüfungsstandards heute nicht mehr; nach den International Standards on Auditing (ISA) (ISA 400.2; Risk Assessment and Internal Control – Stand 2002) hat er sich ein zur Prüfungsplanung und zur Entwicklung eines effektiven Prüfungsansatzes hinreichendes Verständnis des Rechnungslegungssystems und des internen Kontrollsystems anzueignen. Darüber hinaus sind manche gesetzlich vorgeschriebenen Prüfungsgegenstände ohne sorgfältige Kontrollsystem-Prüfungen nicht beurteilbar, so bei einer Geschäftsführungsprüfung nach § 53 I HGrG. 2. Hilfsmittel zur Erfassung und Beurteilung des internen Kontrollsystems Die Prüfung des internen Kontrollsystems findet i.d.R. im Wesentlichen bereits im Rahmen der Zwischenprüfung statt. Tätigkeiten zur Prüfung des Kontrollsystems sind insbes. die Befragung von Mitarbeitern des Mandanten, die Sichtung und Auswertung von Dokumenten, die Beobachtung von Arbeitsabläufen und örtlichen Gegebenheiten und der Nachvollzug von Arbeitsergebnissen. Zur Prüfung des Kontrollsystems werden traditionell Fragebögen als Prüfungshilfsmittel eingesetzt. Insbesondere nützlich für die Erfassungs- und Konzeptionsprüfung sind Belegflusspläne und Kontrollmatrizen. Zur Analyse des Belegflusses können dem Prüfer von ihm selbst erstellte oder vom Unternehmen vorgelegte Belegflusspläne dienen. Mit Hilfe von Symbolen, ggf. unter Hinzufügung von Kurzkommentaren für nicht illustrierte Sachverhalte, wird der Fluss der Belege des Rechnungswesens zwischen den verschiedenen Mitarbeitern und Abteilungen des Rechnungswesens dokumentiert. Die Belegflusspläne lassen – zumindest orientierend – auch den Informationsfluss sowie die Arbeits- und Kontrollschritte erkennen. Die Pläne werden ausgewertet, indem der Prüfer den Belegfluss schrittweise gedanklich daraufhin analysiert, ob und an welchen Stellen bewusste und zufällige Fehler möglich sind und wie sie sich jeweils auswirken. Eine Kontrollmatrix nimmt für den Teil des Rechnungswesens, für den sie aufgestellt wird, die Kontrollziele und Kontrollmaßnahmen auf. In ihrer einfachsten Form wird eine Kontrollmatrix wie folgt gebildet. In der einen Dimension, z.B. in den Zeilen der Matrix, werden die vom Prüfer zur Fehlerverhütung und Fehlerentdeckung als notwendig identifizierten Kontrollziele vermerkt. In der anderen Dimension (den Spalten) werden die vom Unternehmen vorgesehenen internen Kontrollen (Kontrollmaßnahmen) vermerkt. In den Matrixzellen wird vermerkt, welche Kontrollen zur Zielerreichung jeweils beitragen. Zur Erreichung eines gegebenen Ziels können mehrere Kontrollen beitragen; ferner mag eine bestimmte Kontrolle zur Erreichung mehrerer Ziele dienen. Die grundsätzlichen Zusammenhänge zwischen Zielen und Maßnahmen werden aufgrund der Matrixdarstellung deutlich. In einer zusätzlichen Schlussspalte der Matrix vermerkt der Prüfer, ob durch die vorgesehenen Kontrollen die jeweils angestrebten Ziele erfüllt werden bzw. welche – nachfolgend von ihm weiter zu prüfenden – „ Kontrollschwächen “ vorhanden sind. Auf die Kontrollsystem-Prüfung ist im Prüfungsbericht der handelsrechtlichen Pflichtprüfung einzugehen, da gem. § 321 III HGB in einem besonderen Abschnitt des Berichts Gegenstand, Art und Umfang der Prüfung zu erläutern sind. § 322 I HGB verlangt u.a. eine Beschreibung von Gegenstand, Art und Umfang der Prüfung im Bestätigungsvermerk; insofern kann es auch notwendig sein, auf die Kontrollsystem-Prüfung im Testat näher einzugehen. 3. Probleme der Beurteilung interner Kontrollsysteme im Rahmen der Abschlussprüfung Prüfungen des internen Kontrollsystems sind ein maßgeblicher Bestandteil der Abschlussprüfung. Die in der Systemprüfung gewonnenen Erkenntnisse, insbes. über Kontrollregeln mit Präventionswirkung, sind allerdings oftmals schwierig zu interpretieren. Einerseits schließen bei nicht deterministischen Arbeits- und Kontrollvorgängen interne Kontrollen, die als wirksam eingeschätzt werden, die Fehlerentstehung nicht aus. Andererseits kann aus fehlenden oder nicht wirksam beurteilten Kontrollregeln die Existenz von Fehlern nicht schlüssig abgeleitet werden, zumal Kontrollmaßnahmen potenziell auch informell, ohne Vorschrift praktiziert werden. Zudem können die bei der Gestaltung und der Beurteilung von Kontrollsystemen angenommenen inhärenten Risiken von den tatsächlich existierenden Risiken abweichen. Ob und wie vorgeschriebene Kontrollen von den Unternehmensmitarbeitern tatsächlich befolgt werden, ist vielfach nicht exakt festzustellen, wenn die Überwachungsvorgänge nicht oder nicht laufend von Dritten beobachtet werden. Zwar wird bei vielen Kontrollvorgängen vorgeschrieben, die Kontrolle durch Kontrollzeichen von seiten der zuständigen Unternehmensmitarbeiter zu dokumentieren, doch garantiert weder ein vorhandenes Zeichen die tatsächliche Vornahme der Kontrolle noch beweist ein fehlendes Zeichen deren Abwesenheit. Ferner ist es der Unternehmensleitung, z.B. bei der Verfolgung eigener illegaler Ziele, vielfach leicht möglich, die von ihr vorgeschriebenen Kontrollregeln zeitweise außer Kraft zu setzen, ohne dass ein solches Vorgehen externen Prüfern erkennbar wird. Rückschlüsse auf die Wirksamkeit von Kontrollen lassen sich teilweise aus den – sich als fehlerhaft oder fehlerfrei zeigenden – Arbeitsergebnissen ableiten. Die Ergebnisprüfung des Wirtschaftsprüfers dient in diesem Fall zugleich der Kontrollsystem-Prüfung; es liegt ein „ dual-purpose-test “ vor. Kontrollsystem-Prüfungen vermögen somit zumeist nicht das Vorhandensein oder Nichtvorhandensein von Fehlern schlüssig zu belegen; die Prüfungsfeststellungen einer risikoorientiert vorgenommenen Prüfung erlauben i.d.R. nur, das Kontrollrisiko intersubjektiv nachvollziehbar zu schätzen. Literatur: AICPA, : AICPA Professional Standards as of June 1, 1998, New York 1998 Arens, A. A./Loebbecke, J. K. : Auditing, An Integrated Approach, 8. A., Upper Saddle River 2000 Baetge, J. : Überwachungstheorie, kybernetische, in: HWRev, hrsg. v. Coenenberg, A. G./v. Wysocki, K., 2. A., Stuttgart 1992, Sp. 2038 – 2054 Baetge, J. : Überwachung, in: Vahlens Kompendium der Betriebswirtschaftslehre, hrsg. v. Bitz, M./Dellmann, K./Domsch, M. et al., Bd. 2, 3. A., München 1993, S. 175 – 218 Baetge, J./Mochty, L. : Die Zuverlässigkeit und Wirtschaftlichkeit „ Interner Kontrollsysteme “ , in: Anwendungen der Systemtheorie und Kybernetik in Wirtschaft und Verwaltung. Beiträge zur Tagung der Gesellschaft für Wirtschafts- und Sozialkybernetik 1979, hrsg. v. Hauptmann, H./Schenk, K.-E., Berlin 1980, S. 1 – 63 Baetge, J./Sanders, M./Schuppert, A. : Zur theoretischen und empirischen Analyse von Überwachungsvorgängen betrieblicher Routinetätigkeiten, in: Information und Wirtschaftlichkeit, hrsg. v. Ballwieser, W./Berger, K.-H., Wiesbaden 1985, S. 451 – 480 Bolsenkötter, H. : Prüfungsplanung und Prüfungskontrolle, in: HdJ, hrsg. v. v. Wysocki, K./Schulze-Osterloh, J., Köln ab 1990, Abt. VI/4 Boynton, W. C./Kell, W. G. : Modern Auditing, 6. A., New York u.a. 1996 Committee of Sponsoring Organizations of the Threadway Commission (COSO), : Internal Control – Integrated Framework, 2 Bände, Jersey City 1994 Cosserat, G. W. : Modern Auditing, Chichester 2000 Cushing, B. E. : A Mathematical Approach to the Analysis and Design of Internal Control Systems, in: Acc.R. 1974, S. 24 – 41 Frese, E. : Kontrolle und Unternehmensführung, Wiesbaden 1968 Gaugler, E./Mungenast, M. : Personalbereich, Überwachung, in: HWRev, hrsg. v. Coenenberg, A. G./v. Wysocki, K., 2. A., Stuttgart 1992, Sp. 1362 – 1376 Göbel, R. : Interne Überwachung mit Hilfe von Auswahlverfahren, Berlin 1990 Hömberg, R. : Ein Vorschlag zur Analyse von Internen Kontrollsystemen für die Wirtschaftsprüfung, in: Information und Wirtschaftlichkeit, hrsg. v. Ballwieser, W./Berger, K.-H., Wiesbaden 1985, S. 481 – 500 Hömberg, R. : Grundlagen der Prüfungstechnik, in: HdJ, hrsg. v. v. Wysocki, K./Schulze-Osterloh, J., Köln ab 1990, Abt. VI/3 Horváth, P. : Internes Kontrollsystem, allgemein, in: HWRev, hrsg. v. Coenenberg, A. G./v. Wysocki, K., 2. A., Stuttgart 1992, Sp. 882 – 896 Horváth, P. : Controlling, 7. A., München 1998 IDW, : Abschlußprüfung nach International Standards on Auditing (ISA), Düsseldorf 1998 IDW, : WP-Handbuch, Bd. I, 12. A., Düsseldorf 2000 IDW, : Das interne Kontrollsystem im Rahmen der Abschlussprüfung, IDW Prüfungsstandard 260, in: WPg 2001, S. 821 – 831 Kromschröder, B. : Ansätze der Optimierung des Kontrollsystems der Unternehmung, Berlin 1972 Lück, W. : Internes Überwachungssystem (IÜS), in: Lexikon der Rechnungslegung und Abschlußprüfung, hrsg. v. Lück, W., 4. A., München, Wien 1998, S. 405 – 408 Sanders, M. : Quantitative Analyse Interner Kontrollsysteme, Berlin 1987 Sjurts, I. : Kontrolle, Controlling und Unternehmensführung, Theoretische Grundlagen und Problemlösungen für das operative und strategische Management, Wiesbaden 1995 Vogt, F. J. : Hintertüren der Buchführung, Freiburg 1956 Wallace, W. A. : Auditing, 3. A., Cincinnati 1995 WPK, : International Standards on Auditing (ISA), Internationale Prüfungsgrundsätze, autorisierte Übersetzung der Verlautbarungen der IFAC, Stand Januar 2000, Stuttgart 2000 v. Wysocki, K. : Soll-Ist-Vergleich bei der Revision, in: HWRev, hrsg. v. Coenenberg, A. G./v. Wysocki, K., 2. A., Stuttgart 1992, Sp. 1763 – 1772 Zünd, A. : Revisionslehre, Zürich 1982 Zünd, A. : Revision, interne, in: Lexikon des Rechnungswesens, hrsg. v. Busse von Colbe, W./Pellens, B., 4. A., München, Wien 1998, S. 606 – 609