Es ist eine zentrale Aufgabe des Aufsichtsrats, sich mit der Überwachung der Wirksamkeit des internen Kontrollsystems (IKS) und des Risikomanagementsystems (RMS) seines Unternehmens zu befassen. Insofern ergibt sich die Frage, wie diese Aufgabe so effizient und so effektiv wie möglich erledigt werden kann.
1. Einleitung
Es ist eine zentrale Aufgabe des Aufsichtsrats, sich mit der Überwachung der Wirksamkeit des internen Kontrollsystems (IKS) und des Risikomanagementsystems (RMS) seines Unternehmens zu befassen. Das bedeutet keine formelle Beurteilung durch den Aufsichtsrat, jedoch die Überwachung.
Die Geschäftsleitung muss hingegen bereits bisher implizit für die Einrichtung eines IKS und RMS sorgen. Mit dem anstehenden Finanzmarktintegrationsgesetz wird die Geschäftsleitung kapitalmarktnaher Unternehmen voraussichtlich explizit dazu verpflichtet. Für Banken und Versicherungen ist dies bereits seit langem der Fall.
Aus der Überwachungsaufgabe des Aufsichtsrats ergibt sich, dass dieser sich zu dem IKS berichten lässt. Hierfür kommen einige Parteien als Berichtende in Frage: Geschäftsführung, Wirtschaftsprüfer aber auch im Unternehmen Verantwortliche für Risikomanagement, Compliance und Interne Revision. Wie immer gilt auch hier, dass Dokumentation ein wichtiges Element ist, nicht nur um Haftungsvermeidung für den Aufsichtsrat zu betreiben, sondern auch um die Informationen so transparent wie möglich zur Verfügung zu haben.
2. Ziele und Aufbau eines IKS
Um die Überwachung der Wirksamkeit des IKS zu bewerkstelligen, hilft es zunächst einmal, sich noch einmal vor Augen zu führen, welche Ziele mit dem IKS verfolgt werden und wie ein IKS grundsätzlich aufgebaut ist. Während in den Anfängen des IKS der Rechnungslegungsprozess im Vordergrund stand, ist diese begrenzte Sicht erweitert worden:
IKS umfasst die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die auf die organisatorische Umsetzung der Entscheidungen des Managements gerichtet sind, um
- die Effektivität und Effizienz der Geschäftstätigkeit (Leistungsziele),
- die Einhaltung von Gesetzen und Verordnungen (Complianceziele),
- den Schutz des Vermögens – insbesondere vor bewusster Schädigung von innen wie auch von außen (Vermögensschutzziele),
- die Angemessenheit, Vollständigkeit und Richtigkeit der Rechnungslegung und internen sowie externen Berichterstattung, insbesondere der Finanzberichterstattung und der Berichterstattung an Aufsichtsbehörden (Informationsziele) sicherzustellen.
Auch wenn hier die Rechnungslegung explizit genannt ist, geht es gleichwohl um alle wesentlichen Geschäftsprozesse im Unternehmen, denn letztlich fließen nahezu alle Geschäftsprozesse zumindest mit Kosten und Ergebnissen in die Rechnungslegung ein. Ein IKS hat daher folgende Bestandteile:
- Internes Steuerungssystem: Regelungen zur Steuerung der Unternehmensaktivitäten
- Internes Überwachungssystem: Regelungen zur Überwachung der Einhaltung dieser Regelungen
Das interne Steuerungssystem beinhaltet beispielsweise unternehmensinterne Regelungen wie der Richtlinienapparat, Arbeitsanweisungen, Verhaltenskodex etc.
Das Interne Überwachungssystem enthält dabei prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) und prozessunabhängige Überwachungsmaßnahmen.
Organisatorische Sicherungsmaßnahmen sind laufende manuelle bzw. insbesondere maschinelle fehlerverhindernde Maßnahmen, die in der Struktur (Aufbauorganisation) und in den Prozessen (Ablauforganisation) des Unternehmens verankert sind. Dazu gehören z.B. Funktionstrennung, Zugriffsrechte auf IT-Systeme, Kompetenzrichtlinien.
Kontrollen sind in die Arbeitsabläufe integrierte, wiederkehrende Maßnahmen und sollen Fehler verhindern oder aufdecken, z.B. durch Überprüfung der Vollständigkeit und Richtigkeit von Daten, manuelle Soll-Ist-Vergleiche, Plausibilitätsprüfungen in IT-Systemen.
Die Interne Revision prüft und beurteilt Strukturen und Aktivitäten. Deshalb darf diese Funktion weder in Arbeitsprozesse integriert noch für das Ergebnis eines derart überprüften Prozesses verantwortlich sein (Details siehe Leitlinie Interne Revision).
Sonstige Überwachungen können durch externe Wirtschaftsprüfer, Compliance oder aber auch Aufsichtsorgane wahrgenommen werden.
3. Vorschlag zur effizienten und effektiven Überwachung des IKS
Nun schließt sich die Frage an, wie die Wirksamkeit des IKS möglichst effizient und effektiv überwacht werden kann. Im Wesentlichen kann dies mit mehreren Handlungssträngen geschehen:
3.1 Dokumentation
Aus den nachfolgenden Dokumentationen kann recht schnell ein erster Überblick über das definierte IKS und dessen Design gewonnen werden.
- Richtlinien
- Prozessbeschreibungen
- Kontrollbeschreibungen
- Beschreibung der Methodik zur Überprüfung des IKS
- Prüfungsplan der Internen (oder externen) Revision
3.2 Internes und externes Berichtswesen mit Bezug zu IKS
Wenngleich die Dokumentation ein sehr wichtiges Kriterium des IKS ist, kann daraus noch nicht ersehen werden, ob das IKS auch tatsächlich implementiert ist. Dies ergibt sich eher aus den aussagekräftigen Berichten.
- Internes Berichtswesen: Hierunter fallen Berichte der Geschäftsleitung sowie besonderer Funktionen wie Risikomanagement, Compliance sowie Interner Revision. Soweit in diesen das IKS noch nicht thematisiert wird, ist hierbei eine Änderung ratsam.
- Externes Berichtswesen: Hierunter fallen Berichte des Wirtschaftsprüfers, behördliche Prüfberichte und Berichte der Externen Revision, falls diese Funktion nicht im eigenen Unternehmen wahrgenommen wird, sondern ausgegliedert wurde.
3.3 Gespräche mit der Geschäftsleitung:
Eine sehr gute und wichtige Ergänzung zu den gelieferten Dokumentationen und Berichten ergibt sich aus einem Gespräch mit der Geschäftsleitung, in denen Fragestellungen diskutiert werden können, soweit sie sich nicht bereits aus der Dokumentation oder den Berichten ergeben.
- Gibt es ein angemessenes Regelwerk / angemessenen Richtlinienapparat und gibt es dazu eine regelmäßige Überprüfung auf Aktualität?
- Wie wird die Befolgung durch die Mitarbeiter sichergestellt?
- Was sind die wesentlichen Geschäftsprozesse des Unternehmens, sind sie dokumentiert und werden sie regelmäßig aktualisiert?
- Hat die Geschäftsführung ein System implementiert, welches Maßnahmen zur Überwachung der wesentlichen Geschäftsprozesse enthält und wie ist dies ausgestaltet?
- Sind die Überwachungsmaßnahmen effektiv und effizient? Wie erfolgt die Messung?
- Wie ist die Grundeinstellung und das Verhalten der Unternehmensleitung in Bezug auf das IKS (tone from the top) und wird diese Haltung den Mitarbeitern klar kommuniziert?
- Liegt eine angemessene Dokumentation des IKS vor? Wie kann sie von jedem Mitarbeiter eingesehen werden?
- Prüft die Geschäftsführung das System?
- Wo liegen Schwachstellen im System und gibt es für diese einen dokumentierten Maßnahmenplan mit Verantwortlichkeiten und Zeitzielen?
- Was sind allgemeine und unternehmensspezifische Fraud Risiken und welche Kontrollmaßnahmen wurden vom Vorstand hierzu implementiert?
Aus den hierzu gegebenen Antworten lässt sich bereits ein gutes Verständnis entwickeln, ob ein IKS besteht und wie robust dies aufgestellt, überwacht und weiterentwickelt wird. Bei einigen der Fragestellungen ist es sinnvoll, sie in das regelmäßige Berichtswesen einfließen zu lassen.
Ein IKS muss an den Anforderungen und Rahmenbedingungen des Unternehmens ausgerichtet sein. Dabei ist es jedoch hilfreich, sich sogenannter best practises zu bedienen. Das bedeutet nicht, dass diese 1:1 umgesetzt werden müssen, jedoch kann sich daran orientiert werden.
In meinem nächsten Artikel erfahren Sie, wie das COSO Rahmenwerk (COSO = Committee of Sponsoring Organizations of the Treadway Commission) für die Installierung eines IKS geeignet ist.
Haben Sie dazu Fragen, Anregungen oder Diskussionsbedarf? Sprechen Sie mich sehr gerne an.