Internes Kontrollsystem und COSO

Die Interne Revision unterstützt die Unternehmensführung und –überwachung bei der Verbesserung der Corporate Governance. Im Detail liegen die Beiträge der Internen Revision zunächst wesentlich in der Überwachung sämtlicher Aktivitäten des Internen Kontrollsystems. Mit COSO besteht ein strukturgebendes Framework, das bereits in die deutsche Revisionspraxis eingegangen ist. Dieser Beitrag möchte Ihnen die Bedeutung des Coso-Modells für das Interne Kontrollsystem näher bringen.

Nach Insolvenzen und Skandale der 90er Jahre sah der deutsche Gesetzgeber sich veranlasst, 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (kurz KonTraG) zu verabschieden. Spätestens mit der Verabschiedung des KonTraG hat sich die Haftungslage für Unternehmen und deren Führungspersonal merklich verschärft. Der Gesetzbegeber fordert neben der ordnungsgemäßen Unternehmensführung auch das Verankern von Früherkennungssystemen zum Risikomanagement. Hierzu gehört vor allem die Überwachung der eingesetzten Systeme auf ihre Wirksamkeit sowie die Risikomanagementsteuerung über die gesamte Organisation. Im Umkehrschluss heißt das: Auf die Leitungsgremien eines Unternehmens kommen jede Menge Aufgaben und Pflichten zu, deren Missachtung zu empfindlichen Strafen führen können. Umso wichtiger sind klare Handlungslinien und Konzepte zum gesamten Chancen- und Risikomanagementprozess. In diesem Kontext können transparente Risikomanagementstandards eine wesentliche Stütze sein, um regulatorische Vorschriften umzusetzen und den Prozessweg zu erleichtern. Im Grunde eine Hilfestellung für Geschäftsführer, den Aufsichtsrat und Risikomanager.

Mit dem KonTraG wurde der Grundstein für ein systematisches Risikomanagement in Deutschland gelegt. Natürlich wurden Risiken auch schon vorher erfasst und bewertet, doch die Einführung von umfassenden Risikomanagement-Systemen hat seitdem eine ganz neue Bedeutung bekommen. Obwohl ursprünglich nur für größere, börsennotierte Aktiengesellschaften gedacht, hatte das KonTraG schnell eine Ausstrahlungswirkung auf andere Rechtsformen und damit auch auf mittelständische Unternehmen. Mittlerweile kommt kaum ein Unternehmen mehr an einer systematischen Erfassung, Bewertung und Berichterstattung der Unternehmensrisiken vorbei. Diese Entwicklung wurde durch weitere Gesetze und Empfehlungen verstärkt.

Ergänzt wird das KonTraG insbesondere durch Gesetze, die zwar primär den Finanzsektor betreffen, die aber aufgrund ihrer Anforderungen zur Kreditvergabe und ähnlich ebenfalls Auswirkungen auf die deutsche Unternehmenslandschaft und deren Umgang mit unternehmensspezifischen Risiken haben: Die Rede ist von Basel I bis III, den MaRisk für Banken, Versicherungen und Investmentgesellschaften sowie Solvency I und II.

Das Institut der Wirtschaftsprüfer (IDW) publiziert sogenannte „IDW-Verlautbarungen“. Nach diesen Grundsätzen können „Wirtschaftsprüfer unbeschadet ihrer Eigenverantwortlichkeit“ ihrer Prüfungstätigkeit nachgehen. Zu den IDW-Verlautbarungen zählen unter anderem “IDW Prüfungsstandards (IDW PS)”. Das Institut der Wirtschaftsprüfer hat das COSO-Konzept im Jahr 2001 übernommen und dadurch wurde COSO als Teil des Prüfprogramms des IDW in Deutschland zur Anwendung gebracht.

Der COSO-Würfel soll dabei die Gesamtheit der Dimensionen des internen Kontrollsystem im Unternehmen repräsentieren, die sich in Ziele, Komponenten und Unternehmenseinheiten gliedern. Das Interne Kontrollsystem definiert der COSO dabei als einen „Prozess, der von Aufsichtsgremien, Management und Mitarbeitern ausgeführt wird, und mit hinreichender Sicherheit das Erreichen der vorgegebenen Ziele gewährleistet“. Diese Betrachtung des IKS als fortlaufender, sich ständig anpassender und weiterentwickelnder Prozess stellt einen wesentlichen Unterschied des COSO- Modells im Vergleich zu der bisherigen Betrachtung des IKS als statisches und zeitpunktbezogenes Gebilde in Deutschland dar.

Bereits 1992 wurde in den USA mit dem COSO I-Modell ein Standard für die Ausgestaltung eines Internen Kontrollsystems veröffentlicht. Der Fokus der Regelungen liegt sehr stark auf der Finanzbericht-Erstattung. Nur zwei Jahre später wird mit dem „Enterprise Risk Management – Integrated Framework“, kurz COSO ERM oder COSO II, ein weiterer, international anerkannter Standard geschaffen, der das unternehmerische Risikomanagement als laufenden Prozess mit den drei Dimensionen Zielkategorien, Komponenten und Unternehmenseinheiten definiert.

Die bekannteste Vorschrift, die eine gesetzliche Notwendigkeit zur Einrichtung, Dokumentation und Kontrolle eines Internen Kontrollsystems begründet, ist der am 30. Juli 2002 in Kraft getretene Sarbanes-Oxley Act (auch SOX, SarbOx oder SOA). Dieses US-Bundesgesetz wurde als Reaktion auf die Bilanzskandale amerikanischer Unternehmen 2002 beschlossen. Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen. Der Sarbanes Oxley Act richtet sich gleichermaßen an die Vorstände von Unternehmen wie an die Wirtschaftsprüfer. Der Sarbanes Oxley Act sollte weniger den Einflussbereich der Anleger stärken, als vielmehr neue Pflichten und Regelungen für Unternehmen und deren Corporate Governance sowie Wirtschaftsprüfer festlegen, um somit präventiv vorzubeugen. Das Gesetz gilt unter anderem für US-amerikanische und ausländische Unternehmen, deren Wertpapiere an US-Börsen (National Securities Exchanges) gehandelt werden. Wesentliches Ziel des SOX ist die Vermeidung von Fehlinformationen in der Finanzberichterstattung aufgrund mangelnder Interner Kontrollen innerhalb des Unternehmens. Da der SOX selbst kein Internes-Kontroll-Rahmenwerk vorgibt, wird als Referenzrahmen für Dokumentation und Reporting auf das sogenannte COSO-Reporting zurückgegriffen: Beim „Internal Control – Integrated Framework“ des Committee of Sponsoring Organizations of the Tradeway Commission (1992), kurz COSO, handelt es sich um ein strukturiertes Rahmenwerk, welches eine im Unternehmen implementierbare Architektur für ein Internes Kontrollsystem enthält. Ein allgemein einheitliches Konzept hinsichtlich der Strukturierung und Gestaltung eines Internen Kontrollsystems (IKS) ist erstmalig durch den COSO-Report in den USA entwickelt worden. Dieses Konzept ist in Deutschland übernommen worden beziehungsweise in nationale Standards und Empfehlungen eingeflossen, sodass auch die Definition von Begriff und Aufgaben eines IKS letztlich auf US-amerikanischen Vorgaben beruht.

COSO hat 1992 einen Standard für interne Kontrollen, das COSO-Modell, publiziert. Dieses Kontrollmodell dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems (IKS), es gliedert sich in die drei Zielkategorien:

• operationelle Risiken
• Finanzberichterstattung
• Compliance

Die Bestandteile des internen Kontrollsystems nach dem COSO-Modell sind:

• Kontrollumfeld
• Risikobeurteilung
• Kontrollaktivitäten
• Information und Kommunikation
• Überwachung

2004 veröffentlichte COSO eine Weiterentwicklung seines ursprünglichen Modells, das COSO ERM – Enterprise Risk Management Framework. Hiermit sollte es Unternehmen ermöglicht werden, ihr eigenes Risikomanagementsystem zu entwickeln oder zu verbessern.

Folgende Definition für ein Enterprise Risk Management ist in COSO festgehalten:

“Enterprise Risk Management (ERM) ist ein Prozess, der von der Unternehmensführung, den Führungskräften und anderen Mitarbeitern durchgeführt wird. Er wird in der strategischen Planung und im gesamten Unternehmen eingesetzt und dient dazu, potenzielle Ereignisse zu identifizieren, die das Unternehmen beeinflussen können, das Risiko eines Unternehmens innerhalb dessen “Risikoappetits” zu halten sowie eine relative Sicherheit bzgl. der Erreichung der Unternehmensziele zu gewährleisten.”

Der COSO-Würfel veranschaulicht die drei Dimensionen des Modells:

• Komponenten des unternehmensweiten Risikomanagements
• Kontrollumfeld (Internal Environment)
• Zielsetzung (Objective Setting)
• Risikoidentifikation (Event Identification)
• Risikobeurteilung (Risk Assessment)
• Maßnahmen, Risikoreaktion (Risk Response)
• Kontroll- und Steuerungsaktivitäten (Control Activities)
• Information und Kommunikation (Information and Communication)
• Überwachung (Monitoring)
• Zielkategorien
• Strategische Ziele (Strategic)
• Operative Ziele (Operations)
• Berichterstattungsziele (Reporting)
• Compliance-Ziele (Compliance)
• Organisationseinheiten
• Gesamtunternehmen (Entity-Level)
• Division (Division)
• Geschäftsbereiche (Business Unit)
• Tochtergesellschaft, Zweigstellen, Niederlassungen (Subsidiary)

Es gibt eine direkte Beziehung zwischen den Zielen einer Organisation und den Vorgaben eines unternehmensweiten Risikomanagements. Diese Beziehungen werden in einem dreidimensionalen Modell in Form eines Würfels dargestellt. Die vier Zielkategorien – Strategie, Operations, Reporting  und Compliance – sind in den vertikalen Spalten dargestellt, die acht Komponenten des unternehmensweiten Risikomanagements durch horizontale Reihen, und die Einheiten einer Organisation durch die dritte Dimension. Diese Darstellung gibt die Möglichkeit wieder, sich entweder auf die Gesamtheit des unternehmensweiten Risikomanagements einer Organisation zu beziehen oder auf Zielkategorien, Komponenten, Organisationseinheiten oder jede Untermenge davon.

Mit dem Framework 2013 wurden den fünf Komponenten des COSO-Modells insgesamt 17 Prinzipien effektiver Kontrolle zugeordnet; mit diesen Prinzipien werden die Komponenten näher ausgeführt, sie machen das Modell damit verständlicher und besser anwendbar:

Die neue Version von COSO „Internal Control – Integrated Framework“, die seit Dezember 2013 gültig ist, stellt keine komplette Neuerung des Rahmenwerks dar. Vielmehr ergänzt sie die bestehenden Regelungen insbesondere um 17 Prinzipien, die die Ziele und Vorgaben für die fünf Komponenten des COSO-Modells genauer definieren. Den fünf Komponenten des COSO-Würfels „Kontrollumfeld“, „Risikobeurteilung“, „Kontrollaktivitäten“, „Information und Kommunikation“ sowie „Überwachung“ sind jetzt insgesamt 17 Prinzipien zugeordnet. Diese Prinzipien waren inhaltlich bereits in der Version von 1992 enthalten, wurden in der überarbeiteten Darstellung aber explizit ausformuliert, um ihre Bedeutung zu unterstreichen. (siehe Tabelle)

In den letzten Jahren hat sich ein stärkeres Interesse in Bezug auf die Ausrichtung des Risikomanagements entwickelt. Es bestand immer mehr ein Bedarf an einem schlüssigen Rahmenwerk zur wirksamen Bestimmung, Bewertung und Steuerung von Risiken besteht.

Mit der Veröffentlichung Anfang September 2017 hat COSO ein aktualisiertes Enterprise Risk Management-Modell („Enterprise Risk Management – Integrating with Strategy and Performance“) veröffentlicht, welches die Bedeutsamkeit der Verzahnung zwischen Strategie, Risikomanagement und Unternehmenserfolg hervorhebt. Der COSO-„Würfel“ wurde zu Gunsten eines dreistufigen Prozessmodels abgelöst. Das aktualisierte COSO-Modell verfolgt einen ganzheitlichen Risikomanagement-Ansatz mit einem besonderen Augenmerk auf performance- und Entscheidungs-orientierte Gesichtspunkte. Risikomanagement wird dadurch stärker als wiederholender Prozess verstanden, den es in die Strategieplanung, Organisationsstruktur und tägliche Management-Praxis zu integrieren gilt.

Inwieweit sich dieser neuer Standard durchsetzt, wird sich erst in den nächsten Jahren zeigen.