Ressourcenschonende interne Kontrollsysteme (IKS) – Skalierung konzeptioneller Grundlagen für mittelständische Familienunternehmen

PrintMailRate-it

95 Prozent aller deutschen Mittelständler sind Familien­unternehmen, oft inhabergeführt, die sich sehr erfolg­reich durch eine nachhaltige Unternehmens­strategie, stabile Kundenbeziehungen, eine verantwortungs­bewusste Personalpolitik und eine starke Bindung zur Region auszeichnen1. Mit Wachstum und zunehmender Internationalisierung steigt der Druck, Maßnahmen des Risiko- und Compliancemanagements sowie interner Kontrollaktivitäten und Überwachungs­maßnahmen zu institutionalisieren.
 
Die mit Wachstum und Internationalisierung einher­gehende Zunahme der Komplexität der Geschäfts­prozesse und externer Anforderungen löst bei Inhabern, Unternehmensleitungen, Aufsichts- oder Beiräten Fragen nach der Effektivität und Effizienz der Steuerungs- und Überwachungsmaßnahmen und damit letztlich nach einem zeitgemäßen und modernen internen Kontrollsystem des eigenen Unternehmens aus.
 
Die Institutionalisierung der zweifelsohne in mittelständischen Familienunternehmen vorhandenen Tätig­keiten des Risikomanagements, der internen Kontrollaktivitäten und Sicherungsmaßnahmen sowie der Steuerungs- und Überwachungsmaßnahmen ist kein Selbstzweck. Sie versetzt Inhaber, Aufsichtsorgane und nicht zuletzt die Unternehmensleitung in die Lage, die Verantwortlichkeit der einzelnen Führungs­ebenen sowie fehlende, ineffektive oder ineffiziente Steuerungs- und Überwachungsmaßnahmen transparent zu machen und erforderliche Verbesserungen des internen Kontrollsystems anzustoßen.
 

Unter Berücksichtigung der Unternehmensstrategie, der Risiko- und Compliancekultur sowie der gesetz­lichen Anforderungen muss die Unternehmensleitung untersuchen, welche individuelle Risikosituation existiert und wie ein System zur Steuerung der Risiken ausgestaltet sein muss2.  Aufgrund der bewussten Zurückhaltung des Gesetzgebers die konkrete Ausgestaltung des internen Kontrollsystems vorzugeben, sind Konzepte unterschiedlicher Standardsetter für die Analyse und Systematisierung des internen Kontrollsystems hilfreich. 

 

Zu nennen sind hier v.a. das Konzept „Internal Control – Integrated Framework” des Committee of Sponsoring Organizations of the Treadway Commission (COSO), das im Jahr 2013 unter dem Titel „Enterprise Risk Management – Integrated Framework” und zuletzt im Juni 2016 unter dem Titel „Enterprise Risk Management, Aligning Risk with Strategy and Performance” (COSO-ERM 2016) geschärft wurde, aber auch das im Jahr 2014 veröffentlichte Konzept der International Organization for Standardization (ISO 31000).
 
Das COSO-ERM 2016 ist das am häufigsten angewandte Systematisierungskonzept für ein internes Kontrollsystem weltweit. Zwar sind diese konzeptionelle Grundlagen und Standards im Mittelstand namentlich wenig bekannt. Nichtsdestotrotz werden sie aber oft angewendet.

 

Inwiefern die verschiedenen Rollen des Managements und die Maßnahmen des Risikomanagements, der Steuerung und Überwachung dem COSO-ERM 2016 entsprechend systematisiert sind, kann sehr anschaulich mit Hilfe des Three Lines of Defense-Modell geprüft werden.


 
 
Die Verantwortung liegt zunächst bei den Mitarbeitern in der ersten Verteidigungslinie, die neben dem Aufbau operativer Kontrollen auch eigene Kontrollen durchführen und Steuerungsmechanismen etablieren müssen. Mit zunehmender Unternehmensgröße richtet die Unternehmensleitung ein Controlling, ein Risikomanagement und eine Compliance-Abteilung ein. Die interne Revision ist Kern der dritten Ver­teidigungslinie und sollte Risiken aufdecken, wenn die vorgelagerten Systeme diese nicht verhindern konnten. Der Abschlussprüfer ist nicht Bestandteil des internen Kontrollsystems. Das interne Kontroll­system hat versagt, wenn der Abschlussprüfer bis dato nicht bekannte Risiken aufdeckt.
 
Das COSO-ERM 2016 bietet gegenüber anderen Konzepten entscheidende Verbesserungen, die die Systematisierung der Tätigkeiten des Risikomanagements sowie der Steuerungs- und Überwachungs­maßnahmen praxisgerecht ermöglichen. Den einzelnen Komponenten werden dabei Prinzipien zugeordnet, deren Einhaltung zentrale Indikatoren für die Einschätzung der jeweiligen Komponente darstellen.
 
Die optimale Ausgestaltung des internen Kontrollsystems mittelständischer Unternehmen wird nicht nur wegen des Aufwands, der bei der Implementierung entsteht, durch die individuellen Ressourcen und organisatorischen Voraussetzungen begrenzt. Deshalb sind die konzeptionellen Anforderungen angemessen auszugestalten – zu skalieren – und nicht sämtliche zur Verfügung stehenden Instrumente ausgefeilt zu strukturieren.
 

COSO-ERM 2016

Quelle: Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management, Aligning Risk with Strategy and Performance, Figure 5.2: Enterprise Risk Management Principles (www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf)


 

IKS-Komponente Prinzip nach dem COSO-­Regelwerk 20133 Mögliche Umsetzung durch Skalierung​
​Kontrollumfeld
  • ​Die Organisation bekennt sich zu Integrität und ethischen Werten.
  • Das Aufsichtsorgan demonstriert Unabhängigkeit von der Geschäfts­führung und überwacht die Entwicklung und Leistungsfähigkeit des IKS.
  • Das Management etabliert unter der Aufsicht des Aufsichtsorgans Strukturen, Berichtslinien sowie angemessene Befugnisse und Verantwortlichkeiten zur Zielerreichung.
  • Die Organisation bekennt sich offen dazu, geeignete Mitarbeiter entsprechend den Zielen der Organisation anzuziehen, zu entwickeln und zu binden.
  • Die Organisation zieht IKS-Verantwortliche für die Zielerreichung zur Rechenschaft.
  • ​Im Intranet sind Integrität und ethische Werten der Inhaber, Aufsichtsorgane und Unternehmensleitung kommuniziert.
  • Beirat/Aufsichtsrat oder Inhaber wurden genehmigungspflichtige Geschäfte im Gesellschaftsvertrag zugewiesen.
  • Beirat/Aufsichtsrat oder Inhaber überwachen den Unternehmenserfolg auf Basis monatlicher Finanzbericht­er­stat­tung und quartalsweiser Sitzungen.
  • Vergütungen der Unternehmensleitung sind klar geregelt; variable Bestandteile sind messbar und orientieren sich an Unternehmenskennzahlen.
     
     
     
     
​Risikobeurteilung
  • ​Organisation definiert hinreichend klare Ziele, um eine Identifikation und Einschätzung für die Zielerreichung relevanter Risiken zu ermöglichen.
  • Organisation identifiziert Risiken, welche die Zielerreichung gefährden können, über alle Einheiten hinweg und analysiert sie, um zu bestimmen, wie diese behandelt werden müssen.
  • Organisation berücksichtigt die Möglichkeiten von Unregelmäßigkeiten, die die Zielerreichung gefährden können, bei der Risikoeinschätzung.
  • Organisation identifiziert und bewertet Veränderungen, die das IKS wesentlich beeinträchtigen können.
  • ​Die Risikokultur ist an der Unter­nehmens­philosophie ausgerichtet; die darauf aufbauende Risikostrategie ist formuliert und im Unternehmen kommuniziert.
  • Als wesentliche Maßnahme des Risiko­managements wurden regelmäßige Risk-Assessment-Workshops eingerichtet.
  • Es findet eine jährliche Risikoinventur statt auf deren Basis eine Berichter­stat­tung an Inhaber, Beirat/Aufsichtsrat sowie im Rahmen der externen Finanz­berichterstattung erfolgt.
  • Für wesentliche Risiken zumindest aber für alle Risikoklassen sind Risikosteue­rungs­maßnahmen festgelegt.
​Kontrollaktivitäten
  • ​Organisation wählt und entwickelt Steuerungs- und Überwachungsakti­vi­tä­ten, die dazu beitragen, die Risiken in Bezug auf die Zielerreichung auf ein vertretbares Maß abzusenken.
  • Organisation wählt und entwickelt allgemeine Steuerungs- und Über­wa­chungs­aktivitäten zu Technologien, die die Zielerreichung unterstützen.
  • Organisation verwendet Steuerungs- und Überwachungsaktivitäten in Form von Richtlinien, die Erwartungen klarstellen und Wege zur Umsetzung aufzeigen.
     
     
     
     
     
  • ​Organisatorische Sicherungs­maß­nahmen wie Unterschriftenregelungen, Funktions­trennung und Vertretungs­rege­lun­gen sind vorhanden und dokumentiert.
  • Funktionstrennungen existieren für alle sensiblen Bereiche v.a. im Zusammen­hang mit dem Zahlungsverkehr oder anderen sensiblen Vermögensgegen­ständen.
  • Schlüsselkontrollen sind in allen Geschäftsprozessen auf Basis der Risikobeurteilungen für strategische Risiken, für die Wirksamkeit und Wirtschaftlichkeit des Geschäfts­betriebs, der Finanzbericht­erstattung und zur Verhinderung von Regel­verstößen (Compliance) z.B. in Risikokontroll­matrizen dokumentiert.
​Information und Kommunikation
  • ​Organisation verschafft sich Zugang zu oder erzeugt relevante und qualitativ hochwertige Informationen, welche die Funktion des IKS unterstützen.
  • Organisation kommuniziert relevante Informationen intern, z.B. Ziele und Verantwortung für die internen Steue­rungs­systeme und IKS, soweit diese für dessen Wirksamkeit notwendig sind.
     
     
  • ​Die Finanzberichterstattung beschränkt sich nicht nur auf die Aufstellung und Offenlegung des Jahresabschlusses, sondern beinhaltet auch monatliche kurzfristige Erfolgsrechnungen, Liqui­di­täts­vorschau und Kostenträgernach­kalkulationen.
  • Im Intranet sind alle Maßnahmen des Risikomanagements, Risikokontroll­ma­trizen und organisatorische Siche­rungsmaßnahmen.
​Überwachung
  • ​Organisation wählt, entwickelt und führt laufende und/oder gesonderte Beurteilungen durch, um sich zu versichern, dass die Komponenten des IKS vorhanden sind und funktionieren.
  • Organisation beurteilt und kommuniziert IKS-Probleme rechtzeitig an die für die Gegenmaßnahmen Verantwortlichen sowie die Geschäftsführung und das Aufsichtsorgan, soweit dies angemessen ist.
     
     
     
  • ​Beirat/Aufsichtsrat oder Inhaber über­wachen den Unternehmenserfolg auf Basis monatlicher Finanzbericht­er­stat­tung und quartalsweiser Sitzungen.
  • Ergebnisse der Abschlussprüfung, die auf Schwächen und Verbesserungsmög­lichkeiten des internen Kontrollsystems hinweisen, werden vom Abschlussprüfer eingefordert und intensiv besprochen.
  • Prüfung einzelner Bestandteile des IKS, Compliance-Management-System (IDW PS 980), Risikomanagement (IDW PS 981), IKS der Finanzberichterstattung (IDW PS 982) und Internes Revisions­system (IDW PS 983) durch einen Wirtschaftsprüfer.
  • Outsourcing von Funktionen der internen Revision auf einen Wirtschaftsprüfer.
 
Vor dem Hintergrund dieser Systematisierung und der entsprechenden Anforderungen lässt sich ressourcen­schonend ein zeitgemäßes internes Kontrollsystem etablieren, das den Erwartungen der Unternehmens­leitung, der Überwachungsorgane und externer Stakeholder genügt.
    


1Vgl. Bundesministerium für Wirtschaft und Energie: German Mittelstand: Motor der deutschen Wirtschaft, Zahlen und Fakten zu deutschen mittelständischen Unternehmen, Mai 2014 

2Vgl. Arbeitskreis Externe und interne Überwachung der Unternehmung der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. (AKEIÜ): Aktuelle Herausforderungen im Risikomanagement – Innovationen und Leitlinien. In: Der Betrieb 2010, S. 1251-1252

3Quelle: In Anlehnung an Amling/Bantleon, WPg z/2014, S. 351ff
 

zuletzt aktualisiert am 17.07.2017

 Themenspecial

Kontakt

Contact Person Picture

Steffen Freytag

Wirtschaftsprüfer, Steuerberater

Partner

+49 911 9193 2220
+49 911 9193 2149

Anfrage senden

Contact Person Picture

Dr. Bernd Keller

Diplom-Kaufmann, Wirtschaftsprüfer, Steuerberater, IT-Auditor IDW

Partner

+49 911 9193 2200
+49 911 9193 8200

Anfrage senden

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu