Internes Kontrollsystem (IKS) Internes Überwachungssystem Kontrollen Internes Steuerungssystem Organisatorische Sicherungsmaßnahmen Prozessunabhängige Überwachungsmaßnahmen Prozessintegrierte Überwachungsmaßnahmen Interne Revision Sonstige Quelle: In Anlehnung an IDW (Hrsg., 2006), S. 1437 Abb. 1: Differenzierung eines Internen Kontrollsystems Internes Kontrollsystem (IKS) Stefan Hübner ........................................................ 1. Begriff, Aufgaben und gesetzliche Regelungen zum Internen Kontrollsystem ........................................................ Zahlreiche Unternehmensskandale (z. B. Enron, WorldCom) in der jüngeren Vergangenheit haben die öffentliche Diskussion um eine verbesserte Überwachung und Kontrolle von Unternehmen vorangetrieben. Infolgedessen wurde im Jahr 2002 vom US-Kongress der Sarbanes- Oxley Act (SOX) verabschiedet. Dieser fordert von allen an US-Börsen notierten Unternehmen (sowie deren Tochtergesellschaften) u. a. ein wirksames Internes Kontrollsystem (IKS) für die Finanzberichterstattung (Section 404 SOX). Während der SOX einerseits als Chance für die Optimierung des IKS begriffen wird, sind andererseits aber auch Stimmen zu hören, die ihn als überflüssigen bürokratischen Aufwand deklarieren. Trotz dieser anhaltenden intensiven Debatte lässt sich in der Literatur bisher keine durchgehend einheitliche Definition von IKS finden. Große Beachtung findet jedoch die Definition des Committee of Sponsoring Organizations of the Treadway Commission (COSO). Gemäß dem international anerkannten COSO-Framework wird das IKS als Prozess definiert, für dessen Umsetzung sowohl das Management und der Aufsichtsrat als auch die Mitarbeiter eines Unternehmens verantwortlich sind. Dieser Prozess soll zur Sicherheit im Hinblick auf die Zielerreichung in den drei folgenden Kategorien beitragen (vgl. CO- SO (Hrsg., 1992), S. 13; Ruud, T. F., Isufi, S. und Friebe, P. (2008), S. 939):  Wirksamkeit und Wirtschaftlichkeit der operativen Tätigkeiten (Operations),  Ordnungsmäßigkeit und Verlässlichkeit der Finanzberichterstattung (Financial Reporting) sowie  Befolgung von für das Unternehmen maßgeblichen Gesetzen und Vorschriften (Compliance). Im deutschsprachigen Raum wurde der Begriff „Internes Kontrollsystem“ aus dem angelsächsischen Term „Internal Control System“ übersetzt. Es ist jedoch unzureichend, den englischen Begriff „Control“ nur mit Kontrolle – verstanden als Maßnahmen zur Aufdeckung unerwünschter Vorgänge – gleichzusetzen. Vielmehr sind auch Steuerungsaspekte, also Maßnahmen zur Gestaltung erwünschter Vorgänge, zu berücksichtigen (vgl. Ruud, T. F., Isufi, S. und Friebe, P. (2008), S. 938 f.). Dieser Begriffsauffassung folgend lässt sich der Regelungsbereich des IKS in das Interne Steuerungssystem und das Interne Überwachungssystem unterteilen (vgl. Abb. 1). Während das Interne Steuerungssystem Maßnahmen zur Steuerung und Gestaltung von Aktivitäten im Unternehmen darstellt, dient das Interne Überwachungssystem zur Überwachung der Einhaltung dieser Maßnahmen. Im Wesentlichen werden die Aufgaben des Controllings und Risikomanagements unter dem Begriff Internes Steuerungssystem subsumiert. Das Interne Überwachungssystem setzt sich aus prozessintegrierten sowie aus prozessunabhängigen Überwachungsmaßnahmen zusammen. Die prozessintegrierten Überwachungsmaßnahmen lassen sich in Kontrollen und organisatorische Sicherungsmaßnahmen unterteilen. Kontrollen stellen in dem jeweiligen Prozess integrierte Maßnahmen zur Verhinderung und Aufdeckung von Fehlern dar (z. B. Soll/Ist-Vergleiche, Plausibilitätsprüfungen in der Software), während die organisatorischen Sicherungsmaßnahmen durch laufende, automatische und manuelle Einrichtungen zur Fehlerverhinderung erfolgen, die sowohl in der Aufbauals auch in der Ablauforganisation eines Unternehmens eingegliedert sind (z. B. Funktions- und Aufgabentrennung, Zugriffsbeschränkungen im IT-Bereich). Zu den prozessunabhängigen Überwachungsmaßnahmen zählt in erster Linie die Interne Revision, welche von prozessunabhängigen Personen des Unternehmens zur Überprüfung und Beurteilung von Strukturen und Aktivitäten durchgeführt wird. Darüber hinaus können sonstige prozessunabhängige Überwachungsmaßnahmen festgelegt sein, z. B. in Form von High-level controls, die mit besonderem Auftrag der gesetzlichen Vertreter oder durch diese selbst vorgenommen werden (vgl. Heese, K. und Ossadnik, W. 276 CONTROLLING-COMPACT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG 5) Monitoring 4) Information and Communication 3) Control Activities 2) Risk Assessment 1) Control Environment U n it A U n it B A c ti v it y 1 A c ti v it y 2 O pe ra tio ns Fi na nc ia l R ep or tin g Co m pl ia nc e z- E b e n e : K o n tr o ll e le m e n te x-Ebene: Ziele der Organisation y- E be ne : O rg an is at io ns ei nh ei te n Quelle: In Anlehnung an Westhausen, H.-U. (2005), S. 99 Abb. 2: COSO-Würfel (2008), S. 325 f.; IDW (Hrsg., 2006), S. 1437). Die Pflicht zur Implementierung eines IKS kann in Deutschland, neben der sich für an US-Börsen gelistete Unternehmen aus dem SOX ergebenden Verpflichtung, aus verschiedenen gesetzlichen Bestimmungen abgeleitet werden. Das Institut der Wirtschaftsprüfer (IDW) interpretiert die allgemeine Leitungspflicht (§ 76 Abs. 1 AktG) und die Sorgfaltspflicht des Vorstandes (§ 93 Abs.1 AktG) dahingehend, dass die Unternehmen zur Einrichtung eines IKS, das Fehlentwicklungen aufdecken und die Grundlage für entgegensteuernde Maßnahmen bieten kann, verpflichtet sind. Des Weiteren fordert das Aktiengesetz nach einer Änderung durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) explizit, dass „geeignete Maßnahmen zu treffen [sind], insbesondere ein Überwachungssystem einzurichten [ist], damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden [können]“ (§ 91 Abs. 2 AktG). ........................................................ 2. Ausgestaltung eines Internen Kontrollsystems (COSO-Würfel) ........................................................ Mit dem COSO-Framework wurde für die Unternehmen eine Empfehlung für die Ausgestaltung, Verwendung, Überwachung und Beurteilung des IKS geschaffen, die zwar de jure nicht verbindlich ist, sich aber de facto auf breiter Front etabliert hat. Der COSO-Würfel (vgl. Abb. 2) verdeutlicht den mehrdimensionalen Aufbau eines IKS und zeigt auf, dass ein IKS durch die Ausprägung verschiedener Kontrollelemente (z-Ebene) bestimmt ist. Die drei bereits genannten Kernziele (x-Ebene) Operations, Financial Reporting und Compliance einer jeden Organisation werden auf die jeweiligen Ziele der einzelnen Organisationseinheiten und Prozesse (y-Ebene) heruntergebrochen. Aufgabe bzw. Ziel der fünf zueinander in Beziehung stehenden Kontrollelemente ist es, die Erreichung dieser Organisationsziele angemessen sicherzustellen (vgl. Westhausen, H.-U., (2005), S. 98 f.; IDW (Hrsg., 2006), S. 1438 f.). Das Steuerungs- und Kontrollumfeld (Control Environment) stellt das Fundament für die anderen vier Elemente dar. Dieses Kontrollelement wird u. a. bestimmt durch die existierenden Corporate Governance- und Ethik-Regelungen, den Führungsstil des Managements, die Bedeutung der fachlichen Kompetenz im Unternehmen sowie die Zuordnung von Weisungsrechten und Verantwortung. Insofern beeinflusst das Steuerungs- und Kontrollumfeld die Unternehmenskultur, das Betriebsklima, die Struktur der operativen Tätigkeiten sowie den Umgang mit Risiken. Daher kommt dem Steuerungs- und Kontrollumfeld eine wesentliche Bedeutung beim Aufbau von Verantwortungs- und Kontrollbewusstsein der Mitarbeiter zu. Ein günstiges Steuerungs- und Kontrollumfeld bildet somit die Voraussetzung (nicht aber die Gewährleistung) für die angemessene Wirksamkeit des IKS, während ein ungünstiges Umfeld hingegen dazu führen kann, dass die Mitarbeiter die dem IKS zugrunde liegenden Regelungen nicht oder nur der Form halber anwenden. Im Zuge der Globalisierung, die durch eine zunehmende Verflechtung der einzelnen nationalen Märkte geprägt ist, haben sich die rechtlichen, wirtschaftlichen sowie kulturellen Rahmenbedingungen im Unternehmensumfeld verändert und die Unternehmen stehen einem erhöhten Wettbewerbsdruck gegenüber. Infolgedessen sehen sich die Unternehmen auch mit zunehmenden Risiken konfrontiert. Um eine Beurteilung bzw. Bewertung von Risiken (Risk Assessment) vornehmen zu können, müssen zunächst Ziele definiert werden. Die Umsetzung dieser Unternehmensziele kann durch die vorhandenen Risiken negativ beeinflusst werden. Daher ist es notwendig, im Zuge einer laufenden Risikobeurteilung die Risiken systematisch zu identifizieren sowie im Hinblick auf ihre Eintrittswahrscheinlichkeit und ihre Wirkung im Falle des Eintretens zu analysieren. Auf Basis einer solchen Risikobeurteilung kann die Unternehmensleitung sodann Entscheidungen in Bezug auf den Umgang mit den jeweils identifizierten Risiken treffen. Durch entsprechende Steuerungs- und Kontrollaktivitäten (Control Activities) soll erreicht werden, dass die vom Management angeordneten Maßnahmen zur Identifikation von und zum Umgang mit Risiken verstanden und umgesetzt werden, um die Erreichung der Organisations- und Prozessziele sicherzustellen. Internes Kontrollsystem (IKS) 277 21. Jahrgang 2009, Heft 4/5 Hierbei kommt sowohl der Steuerungsals auch der Kontrollgedanke des IKS zur Geltung. Steuerungsaspekte werden durch lenkende und präventive Maßnahmen abgedeckt. Die lenkenden Maßnahmen sind darauf ausgerichtet, ein erwünschtes Verhalten hervorzurufen, während durch die präventiven Maßnahmen ein unerwünschtes Verhalten vermieden werden soll. Der Kontrollgedanke des IKS wird durch die aufdeckenden Maßnahmen unterstrichen. Diese dienen der Feststellung von vorhandenen Fehlern und der Einleitung von entsprechenden korrektiven Maßnahmen. Um die Wirksamkeit der Steuerungsund Kontrollmaßnahmen zu gewährleisten, ist eine ausgeprägte Information und Kommunikation (Information and Communication) im Unternehmen unerlässlich. Hierfür müssen die entsprechend benötigten Informationen identifiziert, aufbereitet und so kommuniziert werden, dass sie für die Mitarbeiter bzw. Entscheider zeitnah, aktuell und zuverlässig zur Verfügung stehen. Nur dann ist es den Mitarbeitern bzw. Entscheidern möglich, ihre Steuerungs- und Kontrollaufgaben im Unternehmen in gewünschter Form wahrzunehmen. Dies impliziert jedoch auch, dass es für eine effektive Information und Kommunikation eines zugänglichen und vertrauensvollen Umgangs zwischen Mitarbeitern und Management bedarf. Die kontinuierliche Überwachung (Monitoring) bildet das letzte Element des IKS. Da sich das IKS eines Unternehmens z. B. durch Ressourcenrestriktionen oder Personalwechsel mit der Zeit verändert, besteht die Notwendigkeit, dessen Wirksamkeit durch die Mitarbeiter des Unternehmens laufend zu überwachen und zu beurteilen. Im Rahmen dieses Überwachungsprozesses ist durch das Management sicherzustellen, dass festgestellte Mängel behoben werden. (Zu den einzelnen Kontrollelementen: vgl. Westhausen, H.-U. (2005), S. 99; Ruud, T. F., Isufi, S. und Friebe, P. (2008), S. 939 f.; IDW (Hrsg., 2006), S. 1438 f.; Heese, K. und Ossadnik, W. (2008), S. 329 f.) ........................................................ 3. Aktuelle Entwicklungen ........................................................ Im Mai 2006 wurde von der Europäischen Kommission die 8. EU-Richtlinie verabschiedet, die gemäß der Richtlinienvorgabe bis zum 29. Juni 2008 in nationales Recht der einzelnen Mitgliedsstaaten umgesetzt werden musste. Im Kontext des IKS steht insbesondere der Artikel 41 der Richtlinie im Fokus, welcher von kapitalmarktorientierten Unternehmen die Einrichtung eines Prüfungsausschusses fordert und als dessen Aufgabe u. a. die Überwachung der Wirksamkeit des IKS definiert. Insofern besteht bereits heute für zahlreiche Unternehmen aktueller Handlungsbedarf. Eine weitere Herausforderung durch die 8. EU-Richtlinie ergibt sich für Unternehmen, die an Standorten in mehreren EU-Ländern operieren. Durch Spielräume bei der Umsetzung der Richtlinie in nationales Recht wird es zu unterschiedlichen Auslegungen in den einzelnen Ländern kommen. Dies wird – auch um drohenden Sanktionen wegen Gesetzesverstößen entgegen zu wirken – im Bereich Compliance eine verstärkte Steuerung und Überwachung erforderlich machen. Literatur COSO (Hrsg.), Internal Control – Integrated Framework, Jersey City/New Jersey 1992. Heese, K. und Ossadnik, W., Prüfung des rechnungslegungsbezogenen Internen Kontrollsystems, in: Freidank, C.-C. und Peemöller, V. H. (Hrsg.), Corporate Governance und Interne Revision – Handbuch für die Neuausrichtung des Internal Auditings, Berlin 2008, S. 323–350. IDW (Hrsg.), IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261), in: Die Wirtschaftsprüfung, 59. Jg. (2006), H. 22, S. 1433–1445. Ruud, T. F., Isufi, S. und Friebe. P., Pflicht zur Prüfung der Existenz des Internen Kontrollsystems – Bestandsaufnahme zur Steuerung und Kontrolle mittelgrosser Unternehmen in der Schweiz, in: Der Schweizer Treuhänder, 82. Jg. (2008), H. 11, S. 938–942. Westhausen, H.-U., Das COSO-Modell: bisher nur eine Randerscheinung in Deutschland?, in: ZIR, 40. Jg. (2005), H. 3, S. 98–103. Dipl.-Kfm. techn. Stefan Hübner ist wissenschaftlicher Mitarbeiter am Lehrstuhl Controlling an der Universität Stuttgart. 278 CONTROLLING-COMPACT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG