Ein IKS muss an den Anforderungen und Rahmenbedingungen des Unternehmens ausgerichtet sein. Dabei ist es jedoch hilfreich, sich sogenannter best practices zu bedienen. Das bedeutet nicht, dass diese 1:1 umgesetzt werden müssen, jedoch kann sich daran sehr gut orientiert werden. Ein Beispiel eines solchen Rahmenwerks ist COSO (Committee of Sponsoring Organizations of the Treadway Commission). Nachfolgend beschreibe ich kurz, worum es genau bei COSO geht.
COSO ist eine freiwillige privatwirtschaftliche Organisation in den USA, die helfen soll, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern. Erstmals wurde der COSO-Standard in 1992 publiziert und wurde seitdem kontinuierlich weiterentwickelt. Es ist ein methodisches Konzept zur Unternehmenssteuerung und -überwachung und ein international anerkanntes Rahmenwerk, das bei konsistenter und konsequenter Anwendung sowohl eine klare Struktur liefert als auch für eine jederzeit transparente Kommunikationsbasis zwischen operativem Geschäft und Unternehmenssteuerung und -überwachung verwendet werden kann.
COSO definiert die Zuständigkeiten für verschiedene Elemente der Corporate Governance. Im Prinzip ist jeder im Unternehmen in seinem Bereich für den Erfolg von internen Kontrollen verantwortlich. Nach COSO lassen sich die Verantwortlichkeiten jedoch näher spezifizieren: so ist das geschäftsführende Organ (Geschäftsführung, Vorstand) für das Vorhandensein, die Funktionsfähigkeit und die Wirksamkeit des IKS verantwortlich. Die Verbesserung und Weiterentwicklung obliegen neben dem geschäftsführenden Organ auch dem gesamten Management. Für die „Einhaltung“ des IKS sind alle Mitarbeiter im Unternehmen verantwortlich. Die interne Revision prüft als prozessunabhängige Instanz die entsprechende Einhaltung. Die Überwachung der Wirksamkeit obliegt dem geschäftsüberwachenden Organ (Aufsichts-/Beirat).
Das IKS nach COSO wird dabei nach 5 Komponenten strukturiert, deren Ziele und Vorgaben wiederum in 17 Prinzipien spezifiziert werden:
Komponenten |
Prinzipien |
Kontrollumfeld - Grundeinstellung und Verhalten der Unternehmensleitung in Bezug auf IKS (tone at the top) |
1. Bekenntnis zu Integrität & ethischen Werten 2. Unabhängigkeit aufsichtsführendes Organ von Geschäftsführung 3. Geschäftsleitung etabliert Strukturen Berichtslinien, angemessene Autoritäten & Verantwortlichkeiten 4. Die Organisation fördert Kompetenz 5. Schaffung von Verantwortung im Unternehmen |
Risikobeurteilung - Erkennung, Analyse und Beurteilung von Risiken durch die Unternehmensleitung |
6. Die Organisation setzt klare Ziele 7. Risikoidentifikation & -analyse 8. Berücksichtigung/Bewertung von Betrugsrisiken bei der Risikoeinschätzung 9. Identifizierung und Analyse signifikanter Veränderungen |
Kontrollaktivitäten - Grundsätze und Verfahren, um sicherzustellen, dass Entscheidungen der Unternehmensleitung beachtet werden |
10. Kontrollaktivitäten zur Risikoreduzierung 11. Steuerungs- und Kontrollaktivitäten hinsichtlich eingesetzter Technologie 12. Steuerungs- und Kontrollaktivitäten durch Richtlinien, Leitlinien & Arbeitsanweisungen 13. Erhaltung / Generierung & Nutzung relevanter Informationen |
Methoden und Unterlagen, um Geschäftsvorfälle aufzuzeichnen und zu berichten |
14. Interne Kommunikation 15. Externe Kommunikation |
Überwachung des internen Kontrollsystems - Sicherstellung und Beurteilung der Wirksamkeit des IKS |
16. Fortlaufende und gesonderte Beurteilungen (Prüfungen) des IKS 17. Identifikation, Behebung und Kommunikation von Defiziten bestehender Steuerungs- und Überwachungsaktivitäten |
Für die einzelnen Prinzipien führt COSO zudem Fokuspunkte auf, die konkretisierende Handlungsanweisungen enthalten. Diese hier darzustellen, sprengt den Rahmen. Nehmen Sie bei Interesse gerne Kontakt mit mir auf.
Die Zielsetzungen und Komponenten werden jeweils auf unterschiedlichen Ebenen des Geschäftsbetriebes betrachtet, nämlich auf Ebene der Gesamtorganisation (Entity), Geschäftszweig (Division), Bereich (Operating Unit) und Funktion (Function). Die folgende Abbildung zeigt die Vernetzung des organisatorischen und methodischen Konzeptes (COSO) sowie die Zuständigkeiten.
Nachfolgend werden die 5 Komponenten etwas näher beleuchtet:
Steuerungs- und Kontrollumfeld (Control Environment)
Das Steuerungs- und Kontrollumfeld stellt das Fundament für die anderen IKS-Komponenten dar und ist damit eine Grundvoraussetzung für ein leistungsfähiges IKS. Es wird bestimmt durch die Unternehmensziele, den Führungsstil und die Führungsphilosophie, die Organisationsstruktur, die ethischen Grundsätze, die Intensität der Wahrnehmung der Aufsichtsfunktion durch das aufsichtsführende Organ sowie die personellen Gegebenheiten. Bei Letzterem ist insbesondere das Maß an Integrität, die ethischen Wertvorstellungen sowie das Wissen, die fachliche Kompetenz und die Fähigkeiten der Mitarbeiter von maßgeblicher Bedeutung.
Das Steuerungs- und Kontrollumfeld beeinflusst die Unternehmenskultur, das Betriebsklima, die Struktur der operativen Tätigkeit, den Umgang mit Risiken und damit letztlich die Leistung des Unternehmens. Dabei kommt dem Aufbau von Verantwortungs- und Kontrollbewusstsein der Mitarbeiter, das durch den Tone-at-the-Top und Tone-from-the-Top von dem geschäftsführenden und -überwachenden Organe determiniert wird, eine herausragende Bedeutung zu.
Risikobeurteilung (Risk Assessment)
Die zweite Komponente sieht eine Risikobeurteilung vor. Es sind die externen und internen Risiken anhand der Unternehmensziele zu identifizieren und zu analysieren. Das Ergebnis schafft die Basis für die Entscheidung der Unternehmensleitung in Bezug auf den Umgang mit diesen Risiken. Damit soll eine Gefährdung der Unternehmensziele und letztlich des Unternehmens vermieden werden. Grundlage der Risikobeurteilung dient das Prozessinventar. Anhand jeden Prozesses, der im Verantwortungsbereich des Fachbereichs liegt, ist durch den Fachbereichsverantwortlichen zu beurteilen, welche Risiken dem Prozess innewohnen. Die Risiken sind entsprechend zu dokumentieren.
Steuerungs- und Kontrollaktivitäten (Control Activities)
Steuerungs- & Kontrollaktivitäten tragen dazu bei, dass die vom Management vorgegebenen Direktiven, Unternehmensziele, angeordneten Maßnahmen und Prozesse, zum Umgang mit Risiken, umgesetzt werden. Der Steuerungsaspekt wird durch lenkende und präventive Maßnahmen abgedeckt. Lenkende Maßnahmen sollen ein erwünschtes Verhalten hervorrufen, wohingegen präventive Maßnahmen ein unerwünschtes Ereignis verhindern sollen. Der Kontrollaspekt wird durch aufdeckende Maßnahmen abgedeckt, die der Feststellung vorhandener Fehler und der Einleitung entsprechender korrektiver Maßnahmen dienen. Jede Kontrolle sollte angemessen, effektiv und wirtschaftlich ausgestaltet sein. Sofern geschäftspolitisch auf eine Kontrolle verzichtet wird, muss das Risiko, im Rahmen einer ex-Post Prüfung adressiert werden.
Information und Kommunikation (Information & Communication)
Um die Funktionsfähigkeit des IKS sicherzustellen und die Wirksamkeit der Steuerungs- uns sowie Kontrollmaßnahmen zu gewährleisten, müssen die für das Unternehmen relevanten – internen und externen – Informationen identifiziert und aufbereitet werden. Zudem sind sie so zu kommunizieren, dass sie für die Mitarbeiter und Entscheider schnell, aktuell und zuverlässig zur Verfügung stehen.
Die Kommunikation ist mithilfe geeigneter Informationsprozesse im gesamten Unternehmen sicherzustellen. Außerdem ist auf eine Kommunikation mit externen Adressaten zu achten: Einerseits fördert der Austausch mit externen Dritten, dass relevante externe Informationen in das Unternehmen fließen können. Andererseits wird das Unternehmen durch Veröffentlichungen externen Berichtsanforderungen sowie den Erwartungen externer „Informationsgläubiger“ gerecht.
Überwachung (Monitoring Activities)
Aufgrund stetiger Veränderungen im Unternehmen und im Umfeld des Unternehmens besteht die Notwendigkeit, das IKS regelmäßig zu überwachen und zu beurteilen. Durchlaufende sowie gesonderte Beurteilungen (Prüfungen) bzw. eine sinnvolle Kombination lässt sich feststellen, ob die Komponenten des IKS vorhanden, funktionsfähig und geeignet sind. Laufende Beurteilungen, die auf verschiedenen Hierarchieebenen in die Geschäftsprozesse einzubetten sind, liefern regelmäßig Informationen über das IKS. Frequenz und Umfang ergänzender gesonderter Beurteilungen sind abhängig von der jeweiligen Risikosituation, der Effektivität der laufenden Beurteilungen und anderen Rahmenbedingungen. Sollte die Ist- von der Soll-Situation abweichen, sind die Defizite rechtzeitig an die für die Gegenmaßnahmen Verantwortlichen und – falls angemessen – an das geschäftsführende und -überwachende Organ zu kommunizieren. Nur so lässt sich die Qualität des IKS im Zeitablauf sicherstellen und verbessern.
Die Gestaltung und Definition des IKS ist eine sehr wichtige Komponente für das Unternehmen. Sie zu entwickeln und abschließend zu definieren ist der erste aber freilich nicht der abschließende Schritt. Der Schlüssel zum Erfolg liegt letztlich in der Implementierung und der Sicherstellung, dass alle Beteiligten im Unternehmen ihre Aufgabe innerhalb des IKS kennen, ausfüllen und ausführen.
Sprechen Sie mich gerne bei Fragen an oder auch, wenn Sie für Ihr IKS Unterstützung benötigen.