In Teil 1 dieser Reihe haben wir die Elemente, die das IKS laut COSO ausmachen, ein wenig beleuchtet. Für die Umsetzung in der Praxis sind diese Elemente zu konkretisieren. Die einzelnen Elemente sind häufig zumindest teilweise nicht explizit, sondern eher implizit im IKS enthalten bzw. in die Organisation integriert.
Der folgende Beitrag stellt diese Elemente exemplarisch vor und zeigt die Beziehung zum COSO-Standard auf.
Das erste wesentliche Element ist das Kontrollumfeld. Hier werden wesentliche Voraussetzungen für eine Unternehmenskultur geschaffen, in der die Durchführung interner Kontrollen zur täglichen Arbeit gehören, ohne dass dadurch eine Atmosphäre des Mißtrauens geschaffen wird.
Das Management muss zu ethischen Werten, Integrität und der Notwendigkeit interner Kontrollen als Erfolgsfaktor Stellung beziehen, dies vorleben und auch kommunizieren. Wenn im Management die Auffassung vertreten wird, dass ethische Werte, interne Kontrollen und die damit verbundenen Aktivitäten ausschließlich ineffizient und damit entbehrlich seien, ist die Einstellung der Mitarbeiter zu diesen Fragen vorprogrammiert.
Vertraulichkeit wichtiger Fakten ist nicht gleichbedeutend mit "Geheimniskrämerei", um nur eine Unterscheidung zu nennen. Auch bei der Mitarbeiterentwicklung und im Entlohnungs-/Belohnungssystem sind entsprechende Mechanismen zu verankern, die nicht ausschließlich kurzfristigen Erfolg belohnen, sondern auch ethisches, integeres Verhalten als Beurteilungsmaßstab berücksichtigen.
Dass das Top-Management mit den Aufsichtsgremien vertrauensvoll zusammenarbeiten muss und dass dies möglichst nicht durch die Presse oder Gerüchte widerlegt werden sollte, versteht sich von selbst. Die Erfahrung in der Praxis zeigt, dass es sich hierbei um einen der unabdingbaren Erfolgsfaktoren bei der Implementierung und im Betrieb von Internen Kontrollsystemen und -strukturen handelt. Das Bild, das das Top-Management in dieser Frage abgibt, reflektiert sich binnen kürzester Zeit auf die Mitarbeiter und beeinflußt deren Handeln.
Die Risikoeinschätzung hängt eng mit dem Ziel des IKS zusammen. Grundsätzlich ist das IKS ein Teil des Instrumentariums, das für das Risikomanagement zur Verfügung steht. Wettbewerbsrisiken werden durch andere Kontrollen und Aktivitäten adressiert als beispielsweise Risiken für die Richtigkeit der Finanzberichterstattung. Die Risikoeinschätzung muss also direkten Einfluss auf die Gestaltung der hierfür zugrundeliegenden Kontrollen nehmen. Aus der Analyse der zu adressierenden Risiken läßt sich vielfach ein direktes Ziel des diesbezüglichen Internen Kontrollsystems (Kontrollziel) ableiten.
Womit wir bei den Kontrollaktivitäten wären. Grundsätzlich umfassen diese Regelungen (die mittels einer geeigneten Kommunikation bekannt zu geben sind) und Prozesse, die sicherstellen, dass die Vorgaben des Managements eingehalten werden. Es bietet sich an, diese Vorgaben in Kontrollziele zu fassen, die eine Zuordnung von konkreten Aktivitäten erlauben. Die mögliche Zielerreichung durch die zugeordneten Aktivitäten stellt eine wesentliche Aufgabe des Designs dieses Rahmenwerks dar. Ein mögliches Kontrollziel ist: "Alle Ausgaben der Gesellschaft werden durch das verantwortliche Management vor ihrer Verursachung genehmigt."
Weitere Details und Beispiele hierzu folgen im nächsten Teil dieser Reihe.
Neben den Kontrollaktivitäten ist wichtig, dass mittels Information und Kommunikation alle Beteiligten über ihre Verantwortlichkeiten informiert werden. Hierzu gibt es Verfahrensanweisungen, Policy-Handbücher, mündliche Informationen etc. Ein weiterer Aspekt ist, dass jeder Beteiligter die zur Aufgabenerfüllung erforderlichen Informationen erhält. Dazu gehört angemessener Systemzugriff, eine sachgerechte Prozessgestaltung und angemessene Informationsflüsse mittels Workflow-Systemen, E-Mail etc.
Abschließend ist mittels geeigneter Maßnahmen sicherzustellen, dass über ein internes Kontrollsystem ein Monitoring erfolgt. In der Praxis spielt in vielen Unternehmen die interne Revision eine wesentliche Rolle, indem sie die Funktionsfähigkeit des IKS überwacht. Darüber hinaus gehört aber auch ein mehrstufiges System von internen Kontrollen zu einem guten Design. Dadurch soll gewährleistet werden, dass Fehler oder unterlassene Kontrollhandlungen durch Routinetätigkeiten (eben durch die übergeordnete Kontrolle) entdeckt und korrigiert werden können und der Erfolg der Maßnahmen nicht davon abhängt, dass eine Aktivität zufällig in die Stichprobe einer Revision fällt. Ein Beispiel hierfür ist die regelmäßige Durchsicht von Reports auf zusammengefaßter Stufe, womit wesentliche Unstimmigkeiten der Einzelposten identifiziert werden sollen.
Fazit
Die dargestellten Elemente zeigen, dass das IKS sowohl prozessunabhängige Elemente als auch stark in den Prozessen verankerte Maßnahmen beinhaltet, sodass ein IKS nur mit einem übergreifenden Ansatz implementierbar ist.
In der Fortsetzung dieser Reihe stellen wir die Struktur eines IKS-Frameworks vor, das in der Praxis als Vorlage bei der Implementierung dienen kann.