Ressourcenschonende interne Kontrollsysteme (IKS): Skalierung konzeptioneller Grundlagen für mittel­ständische Familienunternehmen

zuletzt aktualisiert am 30. April 2020 | Lesedauer ca. 3 Minuten

Mittelständische Unternehmen sind der Erfolgsfaktor der deutschen Wirtschaft: Über 99 Prozent aller Unternehmen in Deutschland sind Mittelständler. Sie erwirtschaften mehr als die Hälfte der Wertschöpfung, stellen fast 60 Prozent aller Arbeitsplätze sowie rund 82 Prozent der betrieblichen Ausbildungsplätze bereit.^[1] Der deutsche Mittelstand ist international stark aufgestellt. Ab einem Jahresumsatz von zwei Mio. Euro weist mindestens jedes zweite Unternehmen Auslandsaktivitäten auf.^[2] Mit zunehmender Internationalisierung steigt der Druck, die Steuerung und Überwachung – „Governance“ – der Auslandsaktivitäten nicht nur zu intensivieren, sondern auch zu institutionalisieren.

Die mit der Internationalisierung einhergehende Zunahme der Komplexität der Geschäftsprozesse und externer Anforderungen löst bei Inhabern, Unternehmensleitungen und Aufsichtsorganen mittelständischer Familien­unternehmen verstärkt Fragen nach der Effektivität und Effizienz der Governance-Systeme und damit letztlich nach einem zeitgemäßen und effizienten internen Kontrollsystem des eigenen Unternehmens aus.

Die Institutionalisierung der in mittelständischen Familienunternehmen bereits vorhandenen Tätigkeiten des Risikomanagements, der internen Kontrolle, Steuerung und Überwachung ist kein Selbstzweck. Sie versetzt Inhaber, Aufsichtsorgane und nicht zuletzt die Unternehmensleitung in die Lage, die Verantwortlichkeiten der einzelnen Führungsebenen sowie fehlende, ineffektive oder ineffiziente Steuerungs- und Überwachungsmaß­nahmen transparent zu machen und erforderliche Verbesserungen des internen Kontrollsystems anzustoßen.

Unter Berücksichtigung von Unternehmensstrategie und Risikokultur sowie der gesetzlichen Anforderungen (Compliance) muss die Unternehmensleitung untersuchen, welche individuelle Risikosituation existiert und wie ein System zur Steuerung der Risiken ausgestaltet sein muss. ^[3] Aufgrund der bewussten Zurückhaltung des Gesetzgebers, die konkrete Ausgestaltung des internen Kontrollsystems vorzugeben, sind Konzepte bekannter Standardsetter für die Analyse und Systematisierung des internen Kontrollsystems hilfreich.

Zu nennen ist v.a. das Konzept „Internal Control – Integrated Framework” des Committee of Sponsoring Organizations of the Treadway Commission (COSO), das im Jahr 2004 unter dem Titel „Enterprise Risk Management – Integrated Framework” veröffentlicht und zuletzt im Juni 2017 unter dem Titel „Enterprise Risk Management – Integrating with Strategy and Performance” (COSO-ERM 2017) aktualisiert wurde. Das COSO-ERM 2017 ist weltweit das am häufigsten angewandte Konzept für die Systematisierung eines internen Kontroll­systems.

Inwiefern die verschiedenen Rollen des Managements und die Maßnahmen des Risikomanagements, der Steuerung und Überwachung dem COSO-ERM 2017 entsprechend systematisiert sind, kann sehr anschaulich mithilfe des Three Lines of Defense-Modells geprüft werden.

Die Verantwortung liegt zunächst bei den Mitarbeitern in der ersten Verteidigungslinie, die neben dem Aufbau operativer Kontrollen auch eigene Kontrollen durchführen und Steuerungsmechanismen etablieren müssen. Mit zunehmender Unternehmensgröße richtet die Unternehmensleitung ein Controlling, ein Risikomanagement und eine Compliance-Abteilung ein. Die interne Revision ist Kern der dritten Verteidigungslinie und sollte Risiken aufdecken, wenn die vorgelagerten Systeme sie nicht verhindern konnten. Der Abschlussprüfer ist nicht Bestandteil des internen Kontrollsystems. Das interne Kontrollsystem hat versagt, wenn der Abschluss­prüfer bis dato nicht bekannte Risiken aufdeckt.

Das COSO-ERM 2017 bietet gegenüber anderen Konzepten entscheidende Vorteile, die die Systematisierung der erforderlichen Maßnahmen der Corporate Governance im Unternehmen praxisgerecht ermöglichen. Den einzelnen Komponenten werden dabei Prinzipien zugeordnet, deren Einhaltung zentrale Indikatoren für die Einschätzung der jeweiligen Komponente darstellen.

Die optimale Ausgestaltung des internen Kontrollsystems mittelständischer Unternehmen wird nicht nur wegen des Aufwands, der bei der Implementierung entsteht, durch die individuellen Ressourcen und organi­sato­ri­schen Voraussetzungen begrenzt. Deshalb sind die konzeptionellen Anforderungen angemessen auszu­gestalten – zu skalieren – und nicht sämtliche zur Verfügung stehenden Instrumente ausgefeilt zu struk­turieren.

• COSO-ERM 2017 »

• Kontrollumfeld (Governance & Culture)»

• Unternehmensstrategie und -ziele (Strategy & Objective Setting)»

• Risikobeurteilung (Performance)»

• Überwachung (Review & Revision)»

• Information und Kommunikation (Information, Communication & Reporting)»

COSO-ERM 2017

Quelle: Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management, Integrating with Strategy and Performance, Executive Summary (https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf)

Kontrollumfeld (Governance & Culture)

Unternehmensstrategie und -ziele (Strategy & Objective Setting)

Risikobeurteilung (Performance)

Überwachung (Review & Revision)

Information und Kommunikation (Information, Communication & Reporting)

Vor dem Hintergrund dieser Systematisierung und der entsprechenden Anforderungen lässt sich ressourcen­schonend ein zeitgemäßes internes Kontrollsystem etablieren, das den Erwartungen der Unternehmensleitung, der Überwachungsorgane und externer Stakeholder entspricht.