Bei der Implementierung und Prüfung des internen Kontrollsystems stellt sich immer wieder die Frage nach der Wirksamkeit, die zu beurteilen ist. Auch der aktuelle Gesetzestext im HGB, AktG und diversen anderen Gesetzestexten impliziert, dass sich Unternehmen mit der Wirksamkeit des IKS befassen müssen.
An sich ist die Beurteilung der "Wirksamkeit" des internen Kontrollsystems eine einfache Anforderung, die aber schnell komplex wird, wenn man sich mit der Frage im Detail beschäftigt. Oft sucht man ein klares "Ja" oder ein klares "Nein", was in einem komplexen Umfeld nach objektiven Kriterien kaum entschieden werden kann.
Der Begriff der Wirksamkeit wird unterschiedlich definiert.
Beispiele für Definitionen sind:
Wirksamkeit ist...
- das Ausmaß, in dem geplante Tätigkeiten verwirklicht und geplante Ergebnisse erreicht werden
- die Fähigkeit, die notwendigen oder erwünschten Resultate zu bewirken
In einem internen Kontrollsystem muss es also zunächst darum gehen, die gewünschten Resultate bzw. geplante Ergebnisse zu definieren. Häufig geschieht dies durch die Definition von (Kontroll-)Zielen, die durch ihnen zugeordnete Aktivitäten zu erreichen sind. Die Beurteilung der Wirksamkeit des internen Kontrollsystems wird sich also auch an der Erreichung der Ziele messen. Wenn alle Kontrollziele durch die ihnen zugeordneten Aktivitäten (mit hinreichender Sicherheit) erreicht werden, könnte man das Kontrollsystem als "wirksam" bezeichnen. Soweit ganz einfach.
In der Praxis wird man aber entweder kein vollständiges Bild haben, nicht durchgängig angemessen entworfene Kontrollen zur Erreichung der Kontrollziele vorfinden oder Ausnahmen in der Durchführung von Kontrollen finden. Wenn dann einzelne Ziele nicht erreicht werden oder Grauzonen bestehen, weil beispielsweise die Nachvollziehbarkeit einzelner Aktivitäten nicht lückenlos gegeben ist, muss die Antwort differenziert ausfallen. Ein klares, für das Gesamtsystem gültiges "Wirksam" oder "Unwirksam" wird dann sehr schnell angreifbar und der Komplexität der Situation nicht gerecht.
Insofern lohnt es sich, die Wirksamkeit differenziert, z.B. nach Prozessbereichen oder Organisationseinheiten zu betrachten und zu berichten. Auch eine Strukturierung nach Risiko kann sinnvoll sein.
Wenn man durch eine solche Betrachtung beispielsweise feststellt, dass alle unwirksamen Kontrollen bzw. nicht erreichte Kontrollziele eher als risikoarm einzustufen sind, wird man dies in der Gesamtschau berücksichtigen müssen. Zu einem anderen Ergebnis in der Berichterstattung führt sicher die Erkenntnis, dass in mehreren Organisationseinheiten derselbe, risikobehaftete Bereich wesentliche Kontrollziele nicht erreicht.
Die Frage "Ist unser internes Kontrollsystem wirksam?", die sich Vorstände und Aufsichtsräte derzeit stärker als bisher stellen, ist daher wahrscheinlich in den wenigsten Fällen kurz mit "Ja" oder "Nein" zu beantworten. Eine Antwort, die mit "Das kommt drauf an..." beginnt, führt unter Umständen zu Irritationen, weil die Erwartungshaltung an Struktur und Inhalt der Antwort sicherlich eine andere ist. Eine Reaktion wie "In den risikobehafteten Bereichen: ja, ansonsten gibt es noch Verbesserungspotenziale in den Bereichen x und y" dürfte der Erwartung schon eher entsprechen und professionell zu untermauern sein. Ganz nebenbei bringt eine solche Differenzierung für das Unternehmen einen gewissen Nutzen, weil sie eine zielgerichtete Behebung von Schwächen ermöglicht, die über das Maß der Risikoakzeptanz des Unternehmens hinaus gehen.
Allerdings erfordert sie auch entsprechend strukturierte Vorgehensweise:
- bei der Risikoanalyse,
- bei der Implementierung des internen Kontrollsystems,
- bei der Verifizierung der Wirksamkeit (z.B. durch die interne Revision), und
- bei der Analyse der Ergebnisse.
Darüber hinaus muss man sicher akzeptieren, dass immer eine gewisse Subjektivität ("judgement") eine Rolle spielen wird, auch wenn man sicher versucht, diesen Einflussfaktor zu minimieren. Diese Verantwortung muss jedoch übernommen werden.
Wir freuen uns über Kommentare, Feedback oder Fragen zum Thema.