Das Interne Kontrollsystem – das unbekannte Wesen?
COSO (Committee of Sponsoring Organizations of the Treadway Commission) definiert – unsererseits etwas frei übersetzt – interne Kontrollen wie folgt (im Original hier):
Interne Kontrolle ist ein Prozess, der vom Aufsichtsorgan, dem Management oder anderem Personal einer Organisation durchgeführt oder veranlasst wird. Dieser Prozess soll mit hinreichender Sicherheit gewährleisten, dass die Ziele im Hinblick auf Effektivität und Effizienz des Geschäftsbetriebs, die Verlässlichkeit der Finanzberichterstattung und Einhaltung von anwendbaren Vorschriften und Gesetzen erreicht werden.
- Interne Kontrolle ist ein Prozess. Sie ist ein Weg zum Ziel, nicht das Ziel selbst.
- Interne Kontrolle ist nicht lediglich in Verfahrensanweisungen und Formularen dokumentiert. Interne Kontrolle wird von den Menschen jeder Hierarchieebene eines Unternehmens umgesetzt.
- Interne Kontrolle kann der Organisation und dem Management hinreichende, aber nicht absolute Sicherheit geben.
- Interne Kontrolle ist auf die Erreichung von Zielen in separaten, aber überlappenden Kategorien ausgerichtet.
Diese zugegebenermaßen etwas sperrige Definition verdeutlicht, dass interne Kontrolle nicht durch Dokumentation entsteht, sondern laufend durch die Menschen in einer Organisation umgesetzt werden muss und sich an Zielen orientiert. Interne Kontrolle ist selbst kein Ziel, sondern muss laufend gelebt werden.
Elemente eines Internen Kontrollsystems
Vor einer kurzen Abhandlung über die Elemente des Internen Kontrollsystems, möchten wir auf das diesbezügliche Standardwerk verweisen, von dem inzwischen etliche Derivate existieren.
Auf der Website des COSO gibt es eine Executive Summary und einen Hinweis auf die Bezugsquelle des vollständigen Dokuments.
Das Interne Kontrollsystem besteht typischerweise aus folgenden wesentlichen Elementen:
-
Kontrollumfeld
Das Kontrollumfeld legt die Grundlagen für alle in der Organisation getroffenen Massnahmen und beeinflusst ganz wesentlich die Sensibilität der Menschen in der Organisation für das Thema Interne Kontrolle. Faktoren, die das Kontrollumfeld prägen, sind: Integrität, Ethische Werte und die Kompetenz der Menschen in der Organisation. Stil und Philosophie des Management gehören ebenso dazu wie Delegation von Verantwortung und Kompetenzen sowie Mitarbeiterentwicklung und -organisation. Abschließend sind hiermit auch die Aufmerksamkeit und Einflussnahme durch Aufsichtsorgane erfasst.
In der Praxis hängt die erfolgreiche Implementierung eines positiven, wirksamen Kontrollumfelds vom Top-Management ab, das den "Tone at the top" definiert und damit verdeutlicht, welche Priorität dieses Thema im Tagesgeschäft erhält.
-
Risikoeinschätzung
Die Risikoeinschätzung ist die Identifikation und Analyse von potenziell negativen Faktoren, die die Zielerreichung einer Organisation gefährden. Sie stellt die Basis für die Behandlung dieser Einflussfaktoren dar und ist damit die Grundlage für das Risikomanagement. In Bezug auf das Interne Kontrollsystem ist die Risikoanalyse erheblich, um sicherzustellen, dass die Maßnahmen auch die tatsächlichen Risiken einer Organisation angemessen adressieren. Die definierten Ziele eines Kontrollsystems (Kontrollziele) und Risiken korrespondieren im Idealfall miteinander.
-
Kontrollaktivitäten
Kontrollaktivitäten umfassen ein Regelungswerk und die dazugehörigen Prozesse, die sicherstellen, dass die Vorgaben des Managements eingehalten werden. Kontrollaktivitäten finden auf allen Ebenen und in allen Funktionen einer Organisation statt. Sie beinhalten eine Reihe von Aktivitäten, wie beispielsweise Genehmigungen, Prüfschritte, Abstimmungen, Reviews von KPIs, Sicherung von Vermögensgegenständen und die klassische Funktionstrennung.
-
Information und Kommunikation
Die Beteiligten in einer Organisation benötigen Informationen einerseits, um ihre Aufgabe inhaltlich erfüllen zu können. Hierzu gehören Informationssysteme, ohne die die operative Tätigkeit unmöglich wäre. Daneben sind externe Informationen relevant, die für sachgerechtes Handeln erforderlich sind.
Darüber hinaus ist erforderlich, dass Vorgaben, Ziele und Verantwortlichkeiten klar kommuniziert und verstanden werden. Nur so kann sichergestellt werden, dass jeder Beteiligte seine Rolle in der richtigen Weise wahrnimmt. Dies bezieht sich auch auf die Rolle des einzelnen im internen Kontrollsystem.
-
Monitoring
Die Überwachung des Internen Kontrollsystems stellt sicher, dass Verbesserungsmöglichkeiten identifiziert und realisiert werden können. Schwachstellen werden so aufgedeckt und je nach Schweregrad unterschiedlichen Zielgruppen berichtet. Diese Überwachung bezieht sich sinnvollerweise auf alle Bereiche und Hierarchieebenen der Organisation.
Wie so etwas in der Praxis aussieht, folgt in Teil 2.