Risikomanagement

Nachdem in den Teilen 1 und 2 dieser Reihe der Hintergrund des Internen Kontrollsystems ein wenig beleuchtet wurde, soll in diesem Teil die praktische Umsetzung beschrieben werden.

Jedes Unternehmen verfügt in irgendeiner Art und Weise über Kontrollstrukturen. Häufig sind diese aber nicht konzeptionell entworfen, dokumentiert und aufeinander abgestimmt. Als Beispiel sei genannt, dass in jedem auch noch so kleinen und informell organisierten Unternehmen klar ist, dass keine Rechnungen ohne vorherige Genehmigung bezahlt werden. Auch darf normalerweise niemand allein Überweisungen tätigen. Die zugehörigen Schritte sind oft unwirksam (was nützt eine Kontrolle des Überweisungsträgers, ohne die zugehörigen Belege zu kontrollieren?), nicht nachvollziehbar und stehen auch nicht immer in direktem Zusammenhang mit den wahren Risiken eines Prozesses.

Insofern muss die Einführung bzw. Strukturierung eines IKS immer das bestehende Kontrollumfeld einbeziehen und kritisch bewerten. Aber fangen wir vorne an:

In Teil 1 dieser Reihe haben wir die Elemente, die das IKS laut COSO ausmachen, ein wenig beleuchtet. Für die Umsetzung in der Praxis sind diese Elemente zu konkretisieren. Die einzelnen Elemente sind häufig zumindest teilweise nicht explizit, sondern eher implizit im IKS enthalten bzw. in die Organisation integriert.

Der folgende Beitrag stellt diese Elemente exemplarisch vor und zeigt die Beziehung zum COSO-Standard auf.

Das erste wesentliche Element ist das Kontrollumfeld. Hier werden wesentliche Voraussetzungen für eine Unternehmenskultur geschaffen, in der die Durchführung interner Kontrollen zur täglichen Arbeit gehören, ohne dass dadurch eine Atmosphäre des Mißtrauens geschaffen wird.

Im Zuge der Überlegung, welche Maßnahmen für die Compliance zu ergreifen sind, rückt zwangsläufig früher oder später der Aspekt des Business Continuity Management in den Fokus. Nicht nur einschlägige Anforderungen an die IT fordern dies (siehe beispielsweise hier), sondern es ist auch als risikokompensierende Maßnahme ein notwendiges Werkzeug. Der Autor dieses Beitrags stellt und beantwortet diese Frage:

Wie können externe Partner zum Erfolg des Risk- und Business Continuity Management in Ihrem Unternehmen beitragen?

Häufig stellt sich für Unternehmen die konkrete Frage, wie externe Berater sie bei der Einführung eines angemessenen Risk- und Business Continuity Management unterstützen können. In der Regel steht bei dieser Fragestellung immer der Kostenaspekt mit einem alles überragenden Gewicht im Vordergrund. Die aus einer externen Unterstützung resultierenden Vorteile werden demgegenüber in der Betrachtungsweise allzu häufig besonders stark und gerne vernachlässigt.

Das Interne Kontrollsystem – das unbekannte Wesen?

COSO (Committee of Sponsoring Organizations of the Treadway Commission) definiert – unsererseits etwas frei übersetzt – interne Kontrollen wie folgt (im Original hier):

Interne Kontrolle ist ein Prozess, der vom Aufsichtsorgan, dem Management oder anderem Personal einer Organisation durchgeführt oder veranlasst wird. Dieser Prozess soll mit hinreichender Sicherheit gewährleisten, dass die Ziele im Hinblick auf Effektivität und Effizienz des Geschäftsbetriebs, die Verlässlichkeit der Finanzberichterstattung und Einhaltung von anwendbaren Vorschriften und Gesetzen erreicht werden.

1. Interne Kontrolle ist ein Prozess. Sie ist ein Weg zum Ziel, nicht das Ziel selbst.
2. Interne Kontrolle ist nicht lediglich in Verfahrensanweisungen und Formularen dokumentiert. Interne Kontrolle wird von den Menschen jeder Hierarchieebene eines Unternehmens umgesetzt.
3. Interne Kontrolle kann der Organisation und dem Management hinreichende, aber nicht absolute Sicherheit geben.
4. Interne Kontrolle ist auf die Erreichung von Zielen in separaten, aber überlappenden Kategorien ausgerichtet.

Wir möchten Gutes nicht ersetzen oder noch einmal erfinden. Diesem Grundsatz folgend empfehlen wir für Grundlageninformationen und aktuelle Themen im Bereich des Risk-Managements die Seite RiskNET.de, mit der compliance-net in keinerlei Beziehung steht.

Gemäß § 289a E-HGB (BilMoG) müssen

• börsennortierte Aktiengesellschaften und
• Aktiengesellschaften, die ausschließlich andere Wertpapiere als Aktien an einem organisierten Markt im Sinne des § 2 Abs. 5 WpHG ausgegeben haben und deren ausgegebene Aktien auf eigene Veranlassung über ein mulitlaterales Handelssystem (gemäß § 2 Abs. 3 Satz 1 Nr. 8 WpHG)  gehandelt werden,

eine Erklärung über die Unternehmensführung in einem gesonderten Abschnitt des Lageberichts abgeben.

Kapitalmarktorientierte Kapitalgesellschaften im Sinne des § 264d HGB-E müssen gemäß § 324 HGB-E künftig einen Prüfungsausschuss einrichten, falls sie nicht über einen Aufsichts- oder Verwaltungsrat verfügen, der die Voraussetzungen des neuen § 100 Abs. 5 AktG-E erfüllt.

Die Anforderung des § 100 Abs. 5 AktG-E fordert, dass mindestens ein unabhängiges Mitglied des Aufsichtsrats über Sachverstand auf den Gebieten Rechnungslegung und Abschlussprüfung verfügen muss. Mindestens ein Mitglied des einzurichtenden Prüfungsausschusses muss diese Voraussetzung erfüllen.

Anforderungen an Unabhängigkeit und Sachverstand werden nunmehr gesetzlich kodifiziert, was bei manchen Unternehmen möglicherweise Veränderungen erfordert.

Die Aufgaben des Prüfungsausschusses, die grundsätzlich auch durch den Aufsichtsrat wahrgenommen werden können, werden konkretisiert, wobei klar sein dürfte, dass dies keine abschließende Aufstellung sein kann. Der Prüfungsausschuss befasst sich laut § 107 Abs. 3 Satz 2 AktG-E mit

• der Überwachung des Rechnungslegungsprozesses,
• der Wirksamkeit des Internen Kontrollsystems, des Internen Risikomanagementsystems und des Internen Revisionssystems sowie
• der Abschlussprüfung, hier insbesondere der Unabhängigkeit des Abschlussprüfers und der vom Abschlussprüfer zusätzlich erbrachten Leistungen.

Das Bilanzmodernisierungsgesetz (BilMoG) setzt eine Reihe von EU-Richtlinien um, über die man im Vorfeld schon viel gehört hat. "EURO-SOX" und "Abschlussprüferrichtlinie" sind die Schlagworte, die damit in Verbindung gebracht wurden und werden.

Im Hinblick auf die Neuerungen der Anforderungen an das interne Kontrollsystem (IKS) und die Corporate Governance ist erforderlich, den Geltungsbereich abzustecken.