Die Einrichtung eines Internen Kontrollsystems: Der COSO-Reports (Internal Control over Financial Reporting – Guidance for Smaller Public Companies)

2.2 Kleine und mittelständische Unternehmen (KMU)

Nach Auffassung der EU-Kommission sind kleine und mittelständische Unternehmen solche die sich innerhalb gewisser Größenordnungen bewegen.^[1] Auf Grund des weit reichenden Anwendungsbereiches des COSO-Reports aus 2006 beschreibt die Treadway Commission kleine und mittelständische Unternehmen als kleinere Unternehmen, denen folgende Charakteristika zugrunde liegen:

- Einfache, überschaubare Produktgruppe (Sortiment) und Produktion
- Dem Unternehmen obliegt eine geografisch begrenzte Konzentration, entweder bei der Produktion oder dem Vertrieb der Produkte/ Dienstleistungen
- Managemententscheidungen werden von Gründern bzw. von kleineren Eigentümergruppen dominiert
- Dem Management obliegt eine große Leitungsbreite (spans of control^[2] )
- Weniger komplexe Transaktionen, Prozesse, Systeme und Sitzungsprotokolle
- Weniger Personal, sodass die Mitarbeiter dieser Unternehmen einen größeren Aufgaben- und Verantwortungsbereich innehaben
- Unternehmen mit einer Organisationsgröße (gemessen an den Erlösen, dem Personal oder den Aktiva), die es erschwert, von „economies of scale“^[3] zu profitieren

Ergänzend fügt die Treadway Commission hinzu, dass es nicht ausreichend sei, lediglich ein Charakteristikum zu erfüllen, da diese einzeln betrachtet nicht aussagekräftig genug sind, um ein kleines und mittelständisches Unternehmen zu definieren. Im Gegensatz dazu können sich auch durch zukünftiges Unternehmenswachstum Kostenvorteile (economies of scale) oder geringere Leistungsbreiten (spans of control) ergeben, sodass diese Charakteristika nicht zwingend zutreffen müssen.^[4]

2.3 Das COSO- Komitee

Das Committee of the Sponsoring Organizations of the Treadway Commission (kurz: COSO) ist eine gemeinsame, freiwillige Initiative privatwirtschaftlicher US- Wirtschaftsinstitute.^[5] Gegenstand der Treadway Commission (benannt nach dem Vorsitzenden James C. Treadway, Jr., ehemaliges Mitglied der SEC) ist die Determinierung von Ursachen und Faktoren, die zu einer betrügerischen Finanzberichterstattung führen können. Aus diesen Erkenntnissen werden dann Empfehlungen (Frameworks; Rahmenwerke) für kapitalmarktorientierte Unternehmen, unabhängige Wirtschaftsprüfer, der SEC und für unterrichtende Institutionen entwickelt.^[6]

2.3.1 COSO I “Internal Control – Integrated Framework”

Das 1985 gegründete COSO- Komitee führte 1987 eine Studie (Treadway Report; Fraud Report^[7] ) über betrügerische Finanzberichterstattung US-amerikanischer Unternehmen durch, in der unwirksame Interne Kontrollsysteme als Problemfaktor identifiziert wurden.^[8] Grund für die Unwirksamkeit war das bis dato fehlende allgemein akzeptierte Verständnis interner Kontrollen und die fehlende Erkenntnis, dass ein IKS ein wesentlicher Bestandteil guter Corporate Governance ist.^[9]

Als Folge der Untersuchung entwickelte und veröffentlichte das COSO- Komitee in Zusammenarbeit mit Coopers & Lybrand (heute: PricewaterhouseCoopers) im September 1992 den COSO Report „Internal Control – Integrated Framework (COSO I)“, der im Mai 1994 durch das Zusatzkapitel „Berichterstattung an externe Dritte“ erweitert wurde.^[10] Der Report wendet sich an alle Unternehmen, unabhängig von Größe, Rechtsform und Kapitalmarktzugang.^[11] Ziele und Aufgaben des COSO-Reports sind die Schaffung einer einheitlichen Definition, die Unterstützung hinsichtlich Aufbau und Evaluierung und die Darstellung der strukturellen Zusammenhänge Interner Kontrollsysteme, unter Berücksichtigung von Unternehmensrisiken.^[12]

Der Report ist in vier Teile untergliedert, wobei der erste Teil eine Zusammenfassung der Ergebnisse der Studie enthält (Executive Summary). Der zweite Teil ist das eben erwähnte Zusatzkapitel über die externe Berichterstattung aus 1994 (Reporting to External Parties), der dritte das eigentliche Rahmenwerk (Framework) und der vierte stellt Werkzeuge zur Evaluierung des Internen Kontrollsystems (Evaluation Tools) vor.

Besonders der dritte Teil (Framework) soll an dieser Stelle näher betrachtet werden, zumal sich dieser mit der Definition, den Zielen und den Komponenten eines Internen Kontrollsystems beschäftigt. Das Framework definiert die Interne Kontrolle als ein vom Management^[13] eingeführter kontinuierlicher^[14] Prozess, der hinreichende Sicherheit^[15] hinsichtlich der Erreichung der Ziele eines Unternehmens sicherstellen soll.^[16] Als Unternehmensziele definiert der COSO- Report drei Basis-Ziele, die von jeder Organisation/ Unternehmung, strategieunabhängig verfolgt werden.

Grundsätzliche Unternehmensziele (Objectives) nach COSO I:

- Die Sicherstellung von Effektivität und Effizienz der Geschäftstätigkeit (Operations)
- Die Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der Finanzberichterstattung (Financial Reporting)
- Die Gewährleistung zur Einhaltung von relevanten Gesetzen und Vorschriften (Compliance)^[17]

Der COSO-Report berücksichtigt als erstes Rahmenwerk den Einsatz eines Risikomanagements, wobei der Risikobegriff sehr breit formuliert ist, zumal jedes Hindernis, das die Erreichung der Basis-Ziele verhindert, ein Unternehmensrisiko darstellt. Durch interne Kontrollen sollen diese Hindernisse dann wirksam vermindert werden.^[18] Um dies zu gewährleisten, definiert der COSO-Report fünf in Wechselbeziehung zueinander stehende Komponenten eines Internen Kontrollsystems, die in alle Organisationseinheiten zu integrieren sind (siehe Abbildung 1).

Die fünf Kontrollelemente sind aus zwei Dimensionen heraus zu betrachten. Innerhalb der ersten Dimension erstrecken sie sich über die einzelnen Organisationseinheiten, in der zweiten wirken sie, je nach Zielsetzung, auf Aspekte der operativen Geschäftstätigkeit, der Finanzberichterstattung und der Einhaltung von relevanten Gesetzen und Vorschriften. Nachfolgend werden die fünf Komponenten eines Internen Kontrollsystems nach COSO I erläutert:

Kontrollumfeld (Control Environment):

Unter Kontrollumfeld versteht man die Integrität, die ethischen Werte und die fachlichen Kompetenzen innerhalb einer Organisation.^[19] Existieren Schwachstellen innerhalb dieser Komponente, könnten das Management oder die Mitarbeiter zu illegalen Handlungen ermutigt werden. Der Führungsstil des Managements, das Kontroll- und Verantwortungsbewusstsein der Mitarbeiter oder der interne Regelungsgrad der Prozesse durch entsprechende Anweisungen charakterisieren das Kontrollumfeld einer Organisation. D.h., mithilfe dieser Komponente wird die Bedeutung des IKS in einer Organisation bestimmt, und bildet die Grundlage für die anderen Kontrollprozesse bzw. Kontrollelemente.^[20]

Risikobeurteilung (Risk Assessment):

Wie bereits im Vorfeld angeführt sollen alle internen & externen Risiken, die die Organisation an der Erreichung der Unternehmensziele hindern identifiziert, erfasst und bewertet werden. Dies ist Aufgabe der Risikobeurteilung, mit dem Ziel, Maßnahmen zur Vermeidung, Übertragung oder Reduzierung der Risiken zu ergreifen.^[21] Die Risikobeurteilung bildet die Grundlage für Managemententscheidungen in Bezug auf identifizierte Risiken.^[22] Darüber hinaus wird über diese Komponente bestimmt, welche Veränderungen in der Organisation und den Prozessen zur Risikobewältigung erforderlich sind.^[23]

Kontrollaktivitäten (Control Activities):

Die eigentlichen Maßnahmen zur Risikobewältigung bilden die Kontrollaktivitäten auf allen Organisationsebenen und haben daher unmittelbaren Einfluss auf die Verwirklichung der Unternehmensziele.^[24] Kontrollaktivitäten bestehen aus Grundsätzen und Verfahren, wobei die Grundsätze die Aufgabe, und die Verfahren die Durchführung der jeweiligen Kontrolle definieren.^[25] Sie können nach Kontrolltyp^[26], Kontrollziel^[27], manuellen und automatisierten^[28] Kontrollen unterschieden werden. Um geeignete Maßnahmen zur Risikobewältigung zu etablieren, müssen die Kontrollaktivitäten stets an die individuellen Bedürfnisse einer Organisation, unter Beachtung des Kontrollumfeldes und der Unternehmensziele, angepasst werden.

Information & Kommunikation (Information & Communication):

Ein funktionierender Informations- und Kommunikationsfluss innerhalb einer Organisation bildet die Grundlage für Entscheidungen des Managements. Ein funktionierender Informations- & Kommunikationsfluss ist gegeben, wenn die Informationen identifiziert, erfasst, rechtzeitig verarbeitet und effektiv kommuniziert^[29] werden. Darüber hinaus berücksichtigt eine funktionierende Information & Kommunikation auch externe Ereignisse, Zustände und Aktivitäten. Dies soll durch das Interne Kontrollsystem gewährleistet werden. Voraussetzung hierfür sind funktionierende Informations- und Kommunikationswege.^[30]

Überwachung des Internen Kontrollsystems (Monitoring)

Unter der Überwachung des Internen Kontrollsystems wird die permanente Beobachtung der beschriebenen Prozesse (Komponenten), zur Sicherstellung ihrer Funktionsfähigkeit verstanden.^[31] Auch die Rückkopplung des Systems ist Aufgabe dieser Komponente. Unter Rückkopplung versteht man die Anpassung einzelner Prozesse bzw. die teilweise oder vollständige Neuausrichtung des Systems. Mit diesen Anpassungen bzw. Neuausrichtungen des Systems soll veränderten Umwelt- und Rahmenbedingungen oder Mitarbeiterfluktuationen^[32] begegnet werden.^[33]

Die fünf Komponenten verdeutlichen, dass ein wirksames Internes Kontrollsystem weitaus mehr enthält, als angemessene Kontrollaktivitäten festzulegen und durchzuführen.^[34] Der Umfang, in dem die verschiedenen Komponenten berücksichtigt werden, wird durch die jeweiligen Gegebenheiten der Organisation/ Unternehmung maßgeblich bestimmt. Das Management hat diese jedoch angemessen zu berücksichtigen, um so die Wirksamkeit des Internen Kontrollsystems zu gewährleisten.^[35]

Auf Grund des bereits seit 1994 berücksichtigten Risikomanagement-Ansatzes (Risikofrüherkennung und –überwachung), kann COSO I als proaktives^[36] Rahmenwerk bezeichnet werden. Im Jahr 2004 hatte sich das Rahmenwerk bereits bei mehr als 63% der US-börsennotierten Unternehmen etabliert.^{[37] [38]}

Wegen der zunehmenden Bedeutung des Risikomanagements^[39], der Verabschiedung des Sarbanes-Oxley-Acts 2002^[40] und der verstärkten Corporate Governance-Diskussionen^[41] nach 1994 entstand allerdings der Bedarf an einem Rahmenwerk für ein ganzheitliches Risikomanagementsystem^[42]. Darüber hinaus wurde kritisiert, dass seit 1994 keine Anpassung des COSO-Reports erfolgte^[43]. Die Treadway Commission erkannte dies und entwickelte in Zusammenarbeit mit PricewaterhouseCoopers das Rahmenwerk „Enterprise Risk Management – Integrated Framework“ (COSO II).^[44]

2.3.2 COSO II “ERM – Integrated Framework“

Das am 29.09.2004 veröffentlichte Rahmenwerk „Enterprise Risk Management – Integrated Framework (COSO II)“ ist eine Weiterentwicklung des ursprünglichen Konzepts aus 1994 und fokussiert noch stärker auf ein an den Unternehmenszielen ausgerichtetes unternehmensweites Risikomanagement.^[45] Ein unternehmensweites Risikomanagement bedeutet, dass nicht nur die Risikofrüherkennung und -überwachung, sondern auch deren aktive Steuerung und Bewältigung vordergründig betrachtet werden müssen.^[46] Der Begriff „Risikomanagement, oder Enterprise Risk Management“ ist gemäß COSO II sehr weit definiert, zumal sich auch dieses Rahmenwerk an alle Unternehmen/ Organisationen, unabhängig von Größe, Rechtsform und Kapitalmarktzugang wendet.^[47]

Risikomanagement (Enterprise Risk Management) nach COSO II:

- Ist ein Prozess angestoßen durch das Management^[48], angewandt bei der unternehmensweiten Strategiefestlegung, unter Beachtung des Internen Kontrollsystems, mit dem Ziel der Identifikation und Bewältigung potenzieller Ereignisse (die das Unternehmen beeinträchtigen können) sowie ein Mittel, um die Unternehmensziele mit angemessener Sicherheit zu erreichen.^[49]

Die Unternehmensziele (Objectives) eines Unternehmens bzw. der jeweiligen Organisationseinheiten nach COSO II lauten wie folgt:

- Mit der Vision und Mission der Gesellschaft in Zusammenhang stehend und diese unterstützend (Strategic)
- Die Sicherstellung von Effektivität und Effizienz der Geschäftstätigkeit (Operations)
- Die Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der internen & externen Berichterstattung, einschließlich Finanz- und anderer Informationen (Reporting)
- Die Gewährleistung zur Einhaltung von relevanten Gesetzen und Vorschriften (Compliance).^[50]

Stellt man die Unternehmensziele von COSO I und II gegenüber, so fällt auf, dass sie sich lediglich durch zwei Merkmale unterscheiden. Zum einen erfolgt mit COSO II eine Ausrichtung an der Unternehmensstrategie, und zum anderen wird durch COSO II die Finanzberichterstattung durch die interne & externe Berichterstattung erweitert. Die Ausweitung der Finanzberichterstattung auf die interne & externe Berichterstattung hat zur Folge, dass auch nicht finanzielle Daten in die Risikofrüherkennung, Steuerung und Überwachung einfließen.^[51] Die Ausrichtung an der Unternehmensstrategie hingegen stellt sicher, dass auch die Risiken, die die Vision und Mission beeinträchtigen, erkannt, gesteuert und überwacht werden.

Ähnlich wie COSO I definiert COSO II wechselseitige Komponenten, die bei der Erreichung der eben genanten Ziele zu berücksichtigen sind. Auch sollen diese in die jeweiligen Organisationseinheiten integriert und unternehmensspezifisch ausgestaltet werden.^[52] Vergleichend zu COSO I müssen nun allerdings acht Komponenten berücksichtigt werden (siehe Abb. 2).

Die acht Komponenten sind wie COSO I aus zwei Dimensionen heraus zu betrachten. Innerhalb der ersten Dimension erstrecken sie sich über die einzelnen Organisationseinheiten (Unternehmensbereiche, Divisionen, Geschäftsbereiche, Niederlassungen), in der zweiten wirken sie, je nach Zielsetzung, auf Aspekte der Strategieprozesse (Strategic), der operativen Geschäftstätigkeit (Operations), der Berichterstattung (Reporting) und der Einhaltung von relevanten Gesetzen und Vorschriften (Compliance).^[53]

Wie zuvor bereits erwähnt, ist das COSO ERM- Modell eine Weiterentwicklung des ursprünglichen COSO-Konzepts von 1994. Aus diesem Grund werden nachfolgend lediglich die Unterschiede in der Ausgestaltung der einzelnen Komponenten beschrieben. Eine erste Übersicht der Unterschiede in der Ausgestaltung der einzelnen Komponenten nach COSO I und II verdeutlicht die folgende Abbildung 3.

Neben den bereits erläuterten Erweiterungen der Unternehmensziele (Ausrichtung auf die Unternehmensstrategie, Erweiterung der Finanzberichterstattung auf die interne und externe Berichterstattung) wurde auch die Komponente der Risikobeurteilung um drei weitere Komponenten ergänzt, bzw. detaillierter aufgegliedert. So werden z.B. die eigentlichen Maßnahmen zur Risikobewältigung nach COSO II mit der Komponente Reaktion auf Risiken definiert, da diesen, durch die Fokussierung auf ein unternehmensweites Risikomanagement, eine weitaus höhere Bedeutung obliegt.^[54] Diese Unterschiede werden im Folgenden näher betrachtet.

Zielsetzung (Objective Setting):

Basierend auf den unternehmerischen Zielsetzungen können risikobehaftete Ereignisse, identifiziert, bewertet und gesteuert werden. D.h. die unternehmerischen Zielsetzungen bilden die Grundlage für den Prozess der Risikobeurteilung als Ganzem. Ähnlich wie bei COSO I werden die Ziele zunächst auf strategischer Ebene formuliert und dann auf die Organisationsstruktur heruntergebrochen (Top-Down-Ansatz). Wichtig hierbei ist, dass die Ziele von Mitarbeitern auf allen Organisationseinheiten verstanden werden. Dies enthält auch die Definition von Risiko-Toleranzgrenzen für einzelne Aktivitäten, um somit die Zielerreichung zu gewährleisten.^[55]

Identifizierung von Ereignissen (Event Identification):

Sind die eben genannten über- und untergeordneten Ziele einer Organisation definiert und bekannt gegeben, so müssen nun die internen & externen Ereignisse, die diese Ziele beeinflussen, identifiziert werden. COSO II unterscheidet in dieser Komponente bewusst positive und negative Ereignisse, also Chancen und Risiken. Aufgabe des Managements ist die frühzeitige Identifikation und Bewertung dieser Ereignisse (Kategorisierung).^[56] Auf Grund möglicher Interdependenzen zwischen Chancen und Risiken oder einzelner Chancen und Risiken untereinander müssen diese Ereignisse unternehmensweit erfasst werden.^[57] Nach erfolgter Ereignisidentifikation können diese beurteilt werden.

Risikobeurteilung (Risk Assessment):

Die Risikobeurteilung nach dem ERM-Konzept erfolgt fast genauso wie bei der Risikobeurteilung nach COSO I. Grundsätzlich wird mit dieser Komponente die Bewertung der eben beschriebenen Ereignisse nach Eintrittswahrscheinlichkeit und Schadenshöhe verstanden. Anders als bei COSO I werden bei COSO II auch die positiven Ereignisse, also Chancen, berücksichtigt. Negative Ereignisse müssen sowohl vor erfolgten Maßnahmen als auch nach erfolgten Maßnahmen bewertet werden, um so etwaige Restrisiken zu berücksichtigen. Die Beurteilung von Chancen und Risiken hat auch ganzheitlich zu erfolgen, um etwaige Wechselwirkungen zu berücksichtigen. Nach erfolgter Risikobeurteilung können dann geeignete Maßnahmen abgeleitet werden.^[58]

Maßnahmen/ Reaktion auf Risiken (Risk Response):

Abweichend von COSO I definiert COSO II die Maßnahmen (Optionen) zur Risikobewältigung mit der Komponente Reaktion auf Risiken. Nach COSO II müssen diese hinsichtlich des Kosten-Nutzen-Verhältnisses (Maßnahme vs. Risiko) sowie der Wahrscheinlichkeit, inwieweit sie zur Bewältigung des Risikos beitragen können, identifiziert und bewertet werden. Sofern ein Restrisiko nach erfolgter Maßnahme verbleibt, ist auch hier abzuwägen, ob ggf. weitere Maßnahmen folgen müssen. Mögliche Maßnahmen sind die Vermeidung, Überwälzung, Reduzierung und die Aufteilung von Risiken. Besonders die möglichen Auswirkungen einzelner Reaktionen auf den gesamten Adressatenkreis sollen hierbei beachtet werden.^[59] Voraussetzung, um angemessene Maßnahmen in jeder Organisationseinheit zu etablieren, ist die konsequente Ausrichtung im Einklang mit der Risikopolitik.^[60]

Kontrollaktivitäten (Control Activities):

COSO II definiert Kontrollaktivitäten als solche, die die Umsetzung der eben genannten Maßnahmen sicherstellen sollen. Diese Kontrollen sollten zur Steigerung der Wirksamkeit und zur Vermeidung zusätzlicher Kosten direkt in den Geschäftsprozess integriert werden. Beispiele hierfür sind z.B. Berechtigungsabfragen, Abstimmungsprüfungen oder Einschränkungen des Systemzugriffs in Form von Passwörtern. Wie alle Komponenten ist auch diese Komponente zweidimensional zu berücksichtigen, d.h. Kontrollaktivitäten müssen im gesamten Unternehmen, auf allen Ebenen und für alle Funktionen stattfinden.^[61]

Festgehalten werden kann, dass sich die COSO-Rahmenwerke grundsätzlich durch die unterschiedlich gewichtete Berücksichtigung des Risikomanagements unterscheiden. Die Definition des IKS, sowie die Unterstützung hinsichtlich Aufbau, Evaluierung und Darstellung der strukturellen Zusammenhänge sind dabei weitestgehend identisch.

3 Der COSO SME-Report (COSO III)

3.1 Einführung

Die Zielsetzung des COSO-SME-Reports (nachfolgend auch COSO III, Report, bzw. Leitfaden genannt), ist die Unterstützung kleiner und mittelständischer Unternehmen bei der Einrichtung eines wirksamen Internen Kontrollsystems unter Berücksichtigung der Kosten-Nutzen-Relation.^[62]

Das Grundkonzept bildet dabei das COSO-Rahmenwerk aus 1994 (COSO I). Im Gegensatz zu dem COSO-Rahmenwerk aus 2004 (COSO II) ist COSO III keine Weiterentwicklung des ursprünglichen Konzepts, sondern kann als Leitfaden für KMU zur Umsetzung von COSO I verstanden werden.^[63] Daher bezieht sich auch COSO III auf die fünf wechselseitigen Komponenten der internen Kontrolle (Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information & Kommunikation, Überwachung). Dies resultiert aus der Erkenntnis von COSO, dass das Grundkonzept der internen Kontrolle bei allen Unternehmen identisch ist. Unterschiede ergeben sich laut COSO nur in den Ansätzen, in denen versucht wird, effektive interne Kontrollen zu etablieren.

Bei der Einrichtung wirksamer interner Kontrollen müssen alle fünf Komponenten angemessen berücksichtigt werden. Um sicherzustellen, dass jede Komponente auch angemessen beachtet wird, hat COSO Prinzipien und charakteristische Merkmale aus den jeweiligen Kontrollelementen abgeleitet, die nach Möglichkeit von jedem Unternehmen zu vollziehen sind. Anschließend beschreibt der Leitfaden spezielle Handlungsmaßnahmen für KMU, die der Erfüllung der Prinzipien und deshalb zur Erreichung der Kontrollziele der Komponenten dienen. Ergänzend illustriert der Leitfaden Praxisbeispiele, in denen die Anforderungen erfolgreich umgesetzt wurden. Diese Beispiele sollen allerdings nicht als „best-practice“^[64] -Methoden verstanden werden, sondern als mögliche Handlungsalternativen, die unternehmensindividuell angepasst werden können. Abschließend erklärt COSO, dass nicht alle aufgeführten Merkmale der Prinzipien zur Erfüllung der Kontrollziele der Komponenten zwingend umgesetzt werden müssen. Die Unternehmen haben jedoch sicherzustellen, dass die gewählten Ansätze, zur Einrichtung wirksamer interner Kontrollen, die Prinzipien angemessen berücksichtigen.^[65]

3.2 Kontrollumfeld (Control Environment)

Das Kontrollumfeld bildet die Basis für alle weiteren Komponenten der internen Kontrolle. Die folgende Abb. 4 zeigt die von COSO identifizierten Prinzipien des Kontrollumfelds und deren charakteristischen Merkmale. Basierend auf den Prinzipien und Merkmalen beschreibt COSO verschiedene Handlungsalternativen und Beispielmethoden, die nachfolgend näher betrachtet werden.

Integrität & Ethik

Kennzeichnend für das Kontrollumfeld kleiner und mittelständischer Unternehmen sind die flachen Hierarchiestufen, über die die Mitarbeiter in engem Kontakt zu der Unternehmensführung stehen. Diese enge Bindung hat die direkte Beeinflussung der Mitarbeiter durch das Verhalten des Managements zur Folge. Aus diesem Grund legt COSO der Unternehmensleitung nahe, die Bedeutung der Integrität & Ethik in ihrem täglichen Verhalten und in ihren Handlungen (z.B. auch durch die Interaktion mit Dritten) für andere Mitarbeiter zu reflektieren und zu bestärken.

Darüber hinaus sollten Verfahren etabliert werden, die regelmäßig die Bedeutung der Integrität und Ethik für neue und bestehende Mitarbeiter thematisieren.^[66] Einige Unternehmen setzen z.B. Mitarbeitermeetings an, oder veröffentlichen einen monatlichen Newsletter^[67] , um so regelmäßig, aktuell und unternehmensweit die Unternehmenswerte zu kommunizieren und zu betonen.^[68]

Auch sollten interne oder externe anonyme Anlaufstellen für Mitarbeiter existieren, die ethische Verstöße oder Missverhalten beobachtet haben. Das Management sollte diese Hinweise dann angemessen^[69] berücksichtigen, um so die Relevanz der Unternehmenswerte zu verdeutlichen. Ein praktisches Beispiel ist z.B. der Einsatz einer anonymen Hotline, die es den Mitarbeitern ermöglicht, Hinweise zu etwaigem Fehlverhalten zu melden, das dann direkt an den Verwaltungsrat oder an den Prüfungsausschuss berichtet wird.

Zusätzlich könnten auch Anerkennungsprogramme für Mitarbeiter, die die Unternehmenswerte positiv reflektieren, eingeführt werden, um so einen Anreiz für korrektes Verhalten zu schaffen. Ein Unternehmen schafft diesen Anreiz, indem es z.B. 30% seiner Incentive-Leistungen^[70] für korrektes Verhalten vergibt.^[71]

Aufgabe des Vorstandes

Grundsätzlich obliegt die Aufsichtsverantwortung der Finanzberichterstattung und der einhergehenden internen Kontrollen, dem Vorstand bzw. dem Verwaltungsrat. Im Rahmen der Corporate Governance-Entwicklung hat sich auch die Einrichtung eines aktiven Prüfungsausschusses zur Realisation dieser Verpflichtung etabliert.^[72] Auf Grund der hohen Verantwortung der Mitglieder haben sich die Unternehmen von ihrer Unabhängigkeit zu überzeugen. Der Leitfaden empfiehlt den Unternehmen, bereits im Vorfeld potenzielle Mitglieder anhand seriöser Quellen^[73] auszuwählen und deren Unabhängigkeit durch angemessene Prüfungen^[74] zu bestätigen. Darüber hinaus sollten die Unternehmen Verpflichtungserklärungen zur Unabhängigkeit der Mitglieder anfordern, die jährlich per Unterschrift zu erneuern sind.

Die Aufsichtsverantwortung des Verwaltungsrates beinhaltet nicht nur die Überprüfung der Finanzberichte, sondern auch die Identifikation etwaiger Risiken, die die Richtigkeit der Finanzberichterstattung gefährden. D.h. der Verwaltungsrat sollte die Bilanzierungspolitik und die Mechanismen, die zur Risikofrüherkennung eingesetzt werden, festlegen, regelmäßig kontrollieren und ggf. anpassen. Um dieser Verantwortung nachzukommen, schildert COSO III eine Methode, in der der Verwaltungsrat eines Unternehmens, neben der Festlegung und Überwachung der Risikofrüherkennungssysteme, auch an allen größeren Geschäftsentscheidungen, die die Berichterstattung beeinflussen könnten, partizipiert.

Ergänzend sollte auch das Risiko von Falschaussagen und mögliche Umgehungen der internen Kontrollen des Managements beachtet werden. D.h. es sollte ein gewisses Maß an Skepsis hinsichtlich der Aussagen des Managements über die Richtigkeit der Berichte berücksichtigt werden. Ein Beispiel von COSO III kommt dieser Verantwortung durch regelmäßige Befragungen des Managements und der Mitarbeiter und durch regelmäßige Meetings des Prüfungsausschusses nach, in denen die Risiken, Möglichkeiten und Motive der Kontrollumgehung erfasst werden.^[75]

Unternehmensphilosophie & Führungsstil

Die Unternehmensphilosophie und der Führungsstil unterstützen das Ziel, wirksame interne Kontrollen zu etablieren, indem die Verlässlichkeit der Berichterstattung hervorgehoben wird. Dies enthält z.B. auch die klare Definition von Rechnungslegungsgrundsätzen, Annahmen und Zielvorgaben des Managements.

Die Qualität und Transparenz der Berichterstattung, bzw. die Relevanz zur Minimierung der Risiken der Berichterstattung, sollte auch hier durch das Verhalten und Interaktionen der Unternehmensführung gegenüber Mitarbeitern und Dritten bestärkt werden. Um dies zu gewährleisten, schildert der Leitfaden ein Praxisbeispiel, indem die Unternehmenswerte in einer Zusatzklausel, als fester Bestandteil der Vertragsgestaltung berücksichtigt werden. Ergänzend dazu werden die Vertragspartner angehalten, etwaige Verstöße oder fragwürdiges Verhalten von Mitarbeitern zu melden.^[76] Ein weiteres Beispiel beschreibt den Einsatz von Überwachungsmechanismen des operativen Geschäfts^[77], die die Qualität der Berichterstattung gewährleisten sollen. Positiver Nebeneffekt ist dabei die regelmäßige Ermahnung der Mitarbeiter, dass unethische Handlungen nicht toleriert würden.

Darüber hinaus sollten die Ziele des Berichtswesens, unter Beachtung der Grundsätze der ordnungsgemäßen Buchführung, festgelegt und umfassend an die Verantwortlichen kommuniziert werden. Ergänzend führt COSO an, dass eine ordnungsgemäße Buchführung auch die korrekte Autorisierung und Dokumentation aller wesentlichen Hauptbucheintragungen erfordere.

Ein weiterer Ansatz ist laut COSO die Motivation der Mitarbeiter, ein gewisses Maß an Skepsis in Bezug auf Risken der Finanzberichterstattung zu entwickeln, sodass Fehler und Schwachstellen frühzeitig identifiziert werden können. Beispielhaft beschreibt COSO eine Methode, in der Verbesserungsvorschläge der internen Kontrollen fester Bestandteil der jährlichen Leistungsbewertungen sind.^[78]

Organisationsstruktur

Die Organisationsstruktur unterstützt wirksame interne Kontrollen, indem sie es ermöglicht, interne Berichtsverantwortlichkeiten der Bereiche und Positionen zu bilden. Voraussetzung ist dabei die Aufrechterhaltung der Organisationsstrukturen und der Arbeitsabläufe.

Zur Unterstützung der Zielerreichung der Berichterstattung und der einhergehenden internen Kontrollen soll nach Auffassung von COSO eine Organisationsstruktur etabliert werden, die eine klare Trennung der jeweiligen Aufgaben und Verantwortlichkeiten der Berichterstattung ermöglicht: Zur Illustration sollten Ablaufdiagramme und Grafiken, die die Aufgaben und Verantwortlichkeiten des Berichtswesens aufzeigen, erstellt werden. Ergänzend sollten auch Stellenbeschreibungen und Anforderungsprofile für entscheidende Positionen^[79], definiert, dokumentiert und regelmäßig überprüft sowie ggf. angepasst werden. COSO beschreibt eine Methode, in der der Geschäftsführer von jedem Abteilungsleiter ein detailliertes Anforderungsprofil der ihm unterstellten Positionen und die Dokumentation der Verantwortlichkeiten in Bezug auf die Berichterstattung der Stellen anfordert. Diese werden dann in unternehmensweiten und bereichsspezifischen Ablaufdiagrammen transparent dargestellt. Auf Grundlage dieser Diagramme kann das Management dann wirksame interne Kontrollen definieren, und es können die Mitarbeiter ihren Aufgaben- und Verantwortungsbereich besser identifizieren. Angesichts wechselnder Umstände findet eine regelmäßige Überprüfung und Aktualisierung der Diagramme statt.

Eine weitere Methode ist laut COSO die Unterteilung des Unternehmens in Hauptprozesse (Prozessströme: siehe Abb. 7), denen dann Aufgaben und Verantwortlichkeiten der Mitarbeiter zugeteilt werden. Auch diese werden in Ablaufdiagrammen dargestellt und ermöglichen den Einsatz wirksamer interner Kontrollen.^[80]

Einsatz von Fachkompetenzen

Nach Auffassung von COSO kann ein Unternehmen die Ordnungsmäßigkeit der Berichterstattung und die Wirksamkeit der internen Kontrollen nur durch den permanenten Einsatz von Fachkompetenzen gewährleisten. Aus diesem Grund sollte eine regelmäßige Bewertung der Soll-Ist-Kompetenzen der Mitarbeiter des Berichtswesens erfolgen. Sofern die vorhandenen Kompetenzen nicht die erforderlichen Kompetenzen erfüllen, sollte der Zugang zu adäquaten Schulungs- und Weiterbildungsmaßnahmen existieren. COSO nennt in diesem Zusammenhang ein Praxisbeispiel, indem ein Unternehmen mindestens einmal jährlich einen Soll- Ist-Kompetenzvergleich seiner Mitarbeiter des Berichtswesens durchführt. Als Maßstab für den Vergleich zieht das Unternehmen externe Kompetenzen heran, und es wird die Zusammenarbeit der Mitarbeiter mit dem externen Prüfer dabei berücksichtigt. Auf Grundlage dieser Bewertung werden dann Maßnahmen, in Form von Schulungs- und Weiterbildungsmaßnahmen oder strukturellen Veränderungen, eingeleitet.^[81]

Weitere Beispiele beschreiben die komplette Auslagerung des Berichtswesens kleinerer Unternehmen auf externe Spezialisten oder den vorläufigen Bezug von Beratungsleistungen, um den permanenten Einsatz von Fachkompetenzen zu gewährleisten.^[82]

Autoritäten & Verantwortlichkeiten

Um wirksame interne Kontrollen zu ermöglichen, sollen Unternehmen dem Management und den Mitarbeitern angemessene Autoritäten und Verantwortlichkeiten zuweisen. D.h., die Unternehmen sollen bei der Zuweisung der Autoritäten und Verantwortlichkeiten nicht nur die Notwendigkeit zur Erfüllung der Aufgaben, sondern auch die Notwendigkeit für wirksame interne Kontrollen berücksichtigen. Ein von COSO beobachtetes Unternehmen entwickelte z.B. klar definierte Autoritätsbefugnisse für Transaktionen bis zu einem bestimmten Kapitalvolumen. Überschreiten Transaktionen dieses Volumen, müssen jeweils Freigaben der übergeordneten Stelle erfolgen. Diese Freigaben regelt das Unternehmen anhand vorgegebener Formulare, die durch Unterschrift bestätigt und dokumentiert werden.

Zur Beaufsichtigung und Identifikation von Schwachstellen der Autoritätsbefugnisse rät COSO den Unternehmen erneut, Stellenbeschreibungen für Schlüsselqualifikationen zu erstellen, die neben den Aufgaben und Verantwortlichkeiten auch die Autoritätsbefugnisse illustrieren. Der Leitfaden erläutert auch hier ein Beispiel, indem die Mitarbeiter, durch die erhöhte Transparenz der Autoritäten und Verantwortlichkeiten, ein besseres Verständnis für ihre Unterstützungsleistungen zur Zielerreichung der Berichterstattung entwickelten.^[83]

Personalpolitik & Personalverfahren

Der letzte Grundsatz dieser Komponente ist das Vorhandensein von Personalpolitik und Verfahren, die es ermöglichen, wirksame interne Kontrollen zu etablieren.^[84]

Als möglichen Ansatz nennt COSO auch hier die genaue Beschreibung von Stellenanforderungen für neue Mitarbeiter, die neben den fachlichen Kompetenzen auch die Integritätsvoraussetzungen regulieren. Zusätzlich sollten alle Mitarbeiter, besonders im Bereich des Berichtswesens, eingehend überprüft werden. Die Überprüfungen der Mitarbeiter sollten in Abhängigkeit von der zu bekleidenden Position erfolgen, d.h. für potenzielle Mitarbeiter mit höheren Autoritätsbefugnissen sollten ausführliche Informationen berücksichtigt werden.

Darüber hinaus sollten den Mitarbeitern die Personalpolitik und die Verfahren eingehend verdeutlicht werden. Eine mögliche Methode wäre laut COSO z.B. die Entwicklung eines Mitarbeiterhandbuches, das jedem Mitarbeiter zugänglich gemacht wird.

Auch die bereits erwähnten Schulungs- und Weiterbildungsprogramme, zur Unterstützung und Verstärkung der ethischen Verhaltensweisen und zur Aufrechterhaltung der Fachkompetenzen sollten von der Personalabteilung angeboten werden.

Zur Kontrolle und Bewertung der Leistungserbringungen der Mitarbeiter sollte mindestens jährlich ein Aufsichts- und Beurteilungsprozess stattfinden. Neben der Bewertung der Leistungen sollten auch Vorschläge der Mitarbeiter zur Verbesserung der Berichterstattung und der internen Kontrollen berücksichtigt werden. Auf Grundlage dieser Beurteilungsprozesse sollen dann angemessene Vergütungssysteme etabliert werden, die die Leistungen der Mitarbeiter reflektieren. Die Verantwortung der Systeme sollte der Verwaltungsrat tragen, der neben einer angemessenen Vergütung auch mögliche Motivationen zur Umgehung der Kontrollen berücksichtigt und überprüft. Zur Reduzierung des Risikos einer fehlerhaften Berichterstattung rät COSO zusätzlich, die Leistungsbewertung der Führungskräfte nicht nur auf das Vollbringen kurzfristiger und finanzieller Ziele, sonder auch auf das Erreichen langfristiger und nicht finanzieller Ziele auszurichten (z.B. Kundenzufriedenheit).^[85]

[...]

^[1] Vgl. Amtsblatt der Europäischen Union, L124/36, 20.05.2003; Größenordnungen für KMU: < 250 Beschäftigte und Umsatz ≤ 50Mio.€, oder Bilanzsumme ≤ 43Mio.€.

^[2] Vgl. http://www.unternehmerinfo.de/Lexikon/L/Leitungsspanne.htm, 26.07.06; Leitungsbreite: Anzahl der Stellen, die einer Leitungsebene unmittelbar unterstellt sind.

^[3] Vgl. http://www.unternehmerinfo.de/Lexikon/E/Economies_of_Scale.htm; 26.07.06; Economies of Scale sind Kostenersparnisse, die durch Größenvorteile entstehen. Mit einer hohen Produktions- und Verkaufsmenge können ein hoher Marktanteil und die Kostenführerschaft erreicht werden. Für Konkurrenten wird es dadurch schwierig, überhaupt in den Markt einzusteigen.

^[4] Vgl. COSO III, Volume 1, 2006, S.2

^[5] Vgl. http://www.coso.org/; 15.07.06; US-Wirtschaftsinstitute: AAA, AICPA, FEI, IIA, IMA.

^[6] Vgl. http://www.coso.org/, 15.07.06

^[7] Vgl. http://www.coso.org/publications.htm; 16.07.06

^[8] Vgl. Menzies, 2004, S. 76

^[9] Vgl. Neubeck 2003, S.222

^[10] Vgl. Journal of Accountancy, Kelley, The COSO Report: Challenge and Counterchallenge, February 1993, p10-18; Journal of Accountancy, Kelley, The COSO Report: A new addendum results in GAO endorsement, p18-21, July 1994

^[11] Vgl. Kajüter, 2003, S.50 f.

^[12] Vgl. Menzies, 2004, S. 76

^[13] Vgl. COSO 1994, S.14; Management: Entity’s board of directors, management and other personnel.

^[14] Vgl. Menzies, 2004, S. 78; Voraussetzung eines wirksamen IKS: Interne Kontrollen müssen permanent ausgeübt werden.

^[15] Vgl. COSO 1994, S.15; Hinreichende Sicherheit (Reasonable Assurance): Das IKS steht in Abhängigkeit zu den handelnden Personen; Falsche Entscheidungen und Fehler können nicht ausgeschlossen werden.

^[16] Vgl. COSO 1994, S. 14; Interne Revision, Westhausen, Das COSO-Modell, S. 98/99,3/2005

^[17] Vgl. COSO 1994, S.13; Menzies, 2004, S.77

^[18] Vgl. Menzies, 2004, S. 77

^[19] Vgl. Menzies, 2004, S. 78

^[20] Vgl. Interne Revision, Westhausen, Das COSO-Modell, S.99, 3/2005; PWC, Unternehmensweites Risikomanagement, 2. überarb. Auflage, S.43, März 1999

^[21] Vgl. PWC, Unternehmensweites Risikomanagement, 2. überarb. Auflage, S.43, März 1999

^[22] Vgl. Menzies, 2004, S. 79

^[23] Vgl. PWC, Unternehmensweites Risikomanagement, 2. überarb. Auflage, S.43, März 1999

^[24] Vgl. PWC, Unternehmensweites Risikomanagement, 2. überarb. Auflage, S.44, März 1999

^[25] Vgl. Menzies, 2004, S. 79

^[26] Vgl. Menzies, 2004, S. 79; Kontrolltypen: Vor- und nachgelagerte Kontrollen.

^[27] Vgl. Menzies, 2004, S. 79; Kontrollziele: z.B. Festlegung von Kontrollen für relevante Konten, um Ordnungsmäßigkeit der Rechnungslegung zu gewährleisten.

^[28] Vgl. Menzies, 2004, S.79; Automatisierte Kontrollen: z.B. Kontrollen des IT-Systems; Differenzierung nach generellen und Applikations- Kontrollen; Generelle Kontrollen betreffen z.B. das Betriebssystem, Applikations- Kontrollen betreffen z.B. die Vollständigkeit und Richtigkeit der Autorisierung.

^[29] Vgl. Menzies, 2004, S. 79/80; Effektive Kommunikation; Intern: Mitarbeiter erhalten die Informationen, die für ihr Aufgabenfeld notwendig sind; Voraussetzung: offene, vertrauensvolle Atmosphäre zwischen Mitarbeitern und Management; Extern: Informationsgewinnung über Kunden, Lieferanten und Aktionären.

^[30] Vgl. Menzies, 2004, S. 79-80; Interne Revision, Westhausen, Das COSO-Modell, S.99, 3/2005

^[31] PWC, Unternehmensweites Risikomanagement, 2. überarb. Auflage, S.44, März 1999

^[32] Vgl. Menzies, 2004, S.80; Durch Mitarbeiterwechsel können Kontrollen unwirksam werden, oder wirksame Kontrollen werden unter Umständen nicht weiter ausgeführt.

^[33] Vgl. Interne Revision, Westhausen, Das COSO-Modell, S.99, 3/2005; Menzies, 2004, S. 80

^[34] Vgl. BDO Deutsche Warentreuhand AG, Beurteilung und Verbesserung der Effektivität interner Kontrollen, S. 21

^[35] Vgl. Menzies, 2004, S.81

^[36] Vgl. http://www.praxilogie.de/proaktivitaet.html; 27.07.06, Proaktiv: Die Phase des Vorausdenkens.

^[37] Vgl. Menzies, 2004, S. 81

^[38] Siehe auch: Internal Auditor, Applegate, Wills, Integrating COSO: The Boeing Company, Vol. 56 Issue 6, p60, Dec99

^[39] Vgl. Business Insurance, Bradford, COSO enterprise risk tool welcomed, Vol. 37, Issue 31, p8, 8/4/2003

^[40] Vgl. Business Insurance, Bradford, COSO offers framework for complying with Sarbanes requirements, Vol. 38, p10-14, 2/23/2004

^[41] Vgl. Internal Auditor, Barrier, The Crisis in Governance, 08/2002; Management Accounting, Risk management at the heart of good corporate governance, Vol. 75 Issue 1, p24, Jan97

^[42] Vgl. Harvard Business Review, Buchanan, Watch Your Back, Vol. 82 Issue 2, p36, Feb2004

^[43] Vgl. Internal Auditor, Future direction for COSO, Issue 3, p9, Jun96

^[44] Vgl. Neubeck, 2003, S.224

^[45] Vgl. Menzies, 2004, S.118

^[46] Vgl. Heese, 2003, S. 228

^[47] Vgl. COSO, 2004, S. 22

^[48] Vgl. COSO, 2004. S. 6; Management: Entity’s board of directors, management and other personnel.

^[49] Vgl. Menzies, 2004, S. 118; COSO, 2004, S. 3

^[50] Vgl. Menzies, 2004, S. 119; COSO, 2004, S.11

^[51] Vgl. Heese, 2003, S. 226

^[52] Vgl. COSO, 2004, S. 12

^[53] Vgl. PWC AG, Internes Kontrollsystem, 2006, S. 6

^[54] Vgl. Menzies, 2004, S.120/121; PWC, Internes Kontrollsystem, 2006, S.6

^[55] Vgl. Menzies, 2004, S. 120; PWC, Internes Kontrollsystem, 2006, S. 8

^[56] Vgl. Menzies, 2004, S. 120

^[57] Vgl. COSO, 2004, S. 42

^[58] Vgl. COSO, 2004, S. 50

^[59] Vgl. Menzies, 2004, S. 121

^[60] Vgl. PWC, Internes Kontrollsystem, 2006, S. 8

^[61] Vgl. Menzies, 2004, S.121

^[62] Vgl. COSO III, Volume 2, 2006, S.2

^[63] Vgl. COSO III, Volume 2, 2006, S.1

^[64] Vgl. http://www.olev.de/b.htm; 11.08.06, best practice: Vorbildliche Lösungen.

^[65] Vgl. COSO III, Volume 2, 2006, S.16-17

^[66] Leitsätze bereitstellen, die per Verpflichtungserklärung der Mitarbeiter bestätigt werden.

^[67] Newsletter = Unternehmensblatt; Weitere Instrumente: Rundschreiben, Intranet, E-Mails etc.

^[68] Weitere Instrumente: z.B. Rundschreiben, E-Mails, Intranetseiten etc.

^[69] Angemessen: zeitnah, konsequente und vollständige Untersuchung der Hinweise/ Vorfälle.

^[70] Incentives = Anreizsysteme – Unterscheidung nach intrinsischen (von innen kommend) und extrinsischen (von außen kommend) Anreizen – hier: extrinsische Anreize.

^[71] Vgl. COSO III, Volume 2, 2006, S.20-22

^[72] Auch COSO empfiehlt die Einrichtung eines Prüfungsausschusses für KMU.

^[73] US-amerikanische seriöse Quellen sind z.B. AICPA, FEI, NAOCD.

^[74] Angemessene Prüfungen: Vergangenheitscheck, Referenzen, Befragungen etc.

^[75] Vgl. COSO III, Volume 2, 2006, S.23-28

^[76] Die Klausel enthält zusätzliche Informationen, welche Maßnahmen einzuleiten seien.

^[77] z.B. Outsourcing der Internen Revision, zur Überwachung des operativen Geschäfts.

^[78] Vgl. COSO III, Volume 2, 2006, S.29-30

^[79] Entscheidende Positionen: Positionen des Berichtswesens und unterstützende Positionen.

^[80] Vgl. COSO III, Volume 2, 2006, S.31-32

^[81] Bereits vor Beschäftigung neuer Mitarbeiter hat das Unternehmen die erforderlichen Kompetenzen zu überprüfen (Fachwissen, Integrität, Fertigkeiten etc.).

^[82] Vgl. COSO III, Volume 2, 2006, S.33-34

^[83] Vgl. COSO III, Volume 2, 2006, S.35-37

^[84] Kostengünstige Alternative lt. COSO = Gründung einer Arbeitsgruppe „Personalpolitik“.

^[85] Vgl. COSO III, Volume 2, 2006, S.38-41