„Ist das Interne Kontrollsystem in Folge erhöhter Aufmerksamkeit für Risikomanagement- und Compliance-Management-Systeme in Vergessenheit geraten?“ – Ein Erfahrungsbericht aus der Prüferpraxis.

Erstellt von André Rutkis | |  BTadvice 2019-Q2

Das Interne Kontrollsystem (im Folgenden „IKS“) besteht aus systematisch gestalteten technischen und organisatorischen Regeln des methodischen Steuerns und aus Kontrollen im Unternehmen zur Einhaltung von Richtlinien und zur Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können. Nach dem IDW-Prüfungsstandard 261 werden unter einem IKS die vom Management in das Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die auf die organisatorische Umsetzung der Entscheidungen des Managements zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften gerichtet sind. Teile dieser Definitionen decken sich mit anderen Begriffsbestimmungen zum Compliance-Management-System (im Folgenden „CMS“) (Einhaltung sämtlicher interner und externer Regelungen) und zum Risikomanagement-System (im Folgenden „RMS“). Doch wie hängen diese Systeme zusammen und wer sorgt im Unternehmen für den optimalen Dreiklang zwischen IKS, RMS und CMS?

Das Baker Tilly Competence Center Fraud • Risk • Compliance ist tagtäglich in vielen Unternehmen unterschiedlicher Branchen unterwegs und beschäftigt sich mit allen Fragen der Corporate Governance. Dabei optimieren wir gemeinsam mit unseren Mandanten die oben genannten Systeme derart, dass unter Kosten-Nutzen-Aspekten eine organisationsspezifische passende Lösung entsteht. Dies ist eine herausfordernde Aufgabe, da das Verständnis, die Organisation und die Ausgestaltung der drei Systeme im Vergleich der Unternehmen alles andere als einheitlich ausgeprägt sind, diese jedoch zusammengehören.

Es stellt sich die Frage, wie mit dem vorhandenen IKS bei stattfindenden Corporate Governance-Projekten umgegangen wird. In der Praxis sehen wir oftmals eine fehlende Verknüpfung bereits implementierter IKS-Bestandteile mit dem unternehmensweiten Risikomanagement oder den Instrumenten des CMS.

Auffällig in der aktuellen Presseberichterstattung erscheint, dass nur selten öffentlich nach den Ursachen von Compliance-Verstößen gefragt wird bzw. dass nachhaltige IKS-Verbesserungen nach Compliance-Vorfällen nur selten mit Nachdruck eingefordert werden. Unsere Projekte zeigen, dass die Ursachen nach wie vor sehr häufig auf ein nicht ausreichendes oder in einigen Fällen sogar komplett fehlendes IKS zurückzuführen sind. Oftmals ist ein systematisch dokumentiertes IKS – beispielsweise in Form von Risiko-Kontroll-Matrizen oder mittels eines IT-Tools – nicht vorhanden, was unserer Erfahrung nach bereits ein erstes Indiz für Kontrollschwächen im Unternehmen sein kann.

Ziel sollte es sein innerhalb des Unternehmens ein einheitliches Verständnis mit eindeutigen Zuständigkeiten für das IKS zu schaffen und eine klare Abgrenzung der Aufgaben zum RMS und CMS vorzunehmen. Dabei ist zu beachten, dass die Systeme IKS, CMS und RMS sinnvoll miteinander verknüpft werden, um Synergien zu heben und Doppelarbeiten zu vermeiden. Dies geschieht beispielsweise durch einen gemeinsamen Zugriff der drei Funktionen auf dieselbe unternehmensweite Risiko-Datenbank.

Auch in der Berichtsstruktur an die obersten Leitungsebenen des Unternehmens ist sicherzustellen, dass Corporate-Governance-Themen, darunter das IKS, nicht von unterschiedlichen Einheiten der zweiten und dritten Verteidigungslinie entgegengesetzt dargestellt werden, wobei berechtigte unterschiedliche Auffassungen sehr wohl diskutiert werden müssen.

Nicht zuletzt ist zu beachten, dass das IKS im Unternehmen auch einen massiven Einfluss auf die Unternehmenskultur nimmt und daher so eingerichtet und dokumentiert werden sollte, dass es als Basis für RMS und CMS verstanden wird und einen Mehrwert bietet, um regelkonform zu agieren und Verstöße rechtzeitig zu erkennen bzw. sogar zu verhindern.

Folglich wäre eine erhöhte Aufmerksamkeit für das unseres Erachtens etwas in Vergessenheit geratene IKS eine sinnvolle Maßnahme auf dem Weg zu einer nachhaltigen und besseren Unternehmenskultur mit klaren Regeln und Vorgaben.
 

Zurück