b) Grundlagen und Prinzipien
9
Wie unter Rn. 5 ff. bereits beschrieben, definiert COSO I das interne Kontrollsystem als durch die Unternehmensführung, das Management und die Mitarbeiter ausgeführte Prozesse, die eine hinreichende Sicherheit im Hinblick auf das Erreichen der Unternehmensziele Wirksamkeit und Wirtschaftlichkeit der operativen Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässlichkeit der finanziellen und nicht-finanziellen Unternehmensberichterstattung sowie Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften gewährleisten sollen. Damit ist die wesentliche Aufgabe des IKS sicherzustellen, dass die Unternehmensziele in den Bereichen operativer Betrieb, Berichterstattung und Compliance erreicht werden. Dabei handelt es sich bei dem IKS um Prozesse, die fortwährende Aufgaben und Tätigkeiten umfassen. Das IKS wird dabei maßgeblich durch die im Unternehmen tätigen Personen beeinflusst, welche die erforderlichen Aufgaben und Tätigkeiten ausüben. Damit handelt es sich beim IKS um mehr als Dokumentation (Richtlinien, Checklisten und Anweisungen) und automatisierte Kontrollen. Von hoher Bedeutung ist zudem das Verständnis, dass selbst ein wirksames IKS keine absolute Sicherheit, sondern lediglich eine hinreichende Sicherheit im Hinblick auf die Zielerreichung gewährleisten kann. Dabei ist das IKS flexibel abgrenzbar, d.h. es kann auf das Gesamtunternehmen oder einzelne Abteilungen, Funktionen oder Unternehmensprozesse ausgerichtet werden.[9]
c) Komponenten eines internen Kontrollsystems
10
Gem. COSO I sollte ein IKS aus fünf miteinander interagierenden Komponenten (bzw. Prozessen) bestehen. Dabei handelt es sich um die Elemente Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung.[10] Im Rahmenwerk werden zur Konkretisierung der fünf Komponenten 17 Grundprinzipien dargelegt, die bei der Umsetzung des Modells zu einem wirksamen internen Kontrollsystem führen sollen.[11]
11
Bei der Komponente Kontrollumfeld handelt es sich um die Grundeinstellungen, Verhaltensweisen und den Umgangston innerhalb eines Unternehmens. Diese sind von der Unternehmensleitung vorzugeben („tone from the top“) und vorzuleben (“tone at the top“). Das Kontrollumfeld hat einen maßgeblichen Einfluss auf das Kontrollbewusstsein innerhalb der Unternehmung – insbesondere der Mitarbeiter – und stellt damit zugleich die Basis für die anderen Komponenten des IKS dar. Wichtige Faktoren, die vom Kontrollumfeld umfasst werden und dieses beeinflussen, sind z.B. Integrität und ethische Werte, der Arbeits- und Führungsstil des Managements, die Art und Weise der Zuordnung von Aufgaben und Verantwortlichkeiten, die Kompetenz des Personals sowie das Setzen von Anreizen zur Stärkung des Verantwortungsgefühls der Mitarbeiter für ihre Aufgaben innerhalb des internen Kontrollsystems.[12]
12
Die hohe Bedeutung der zweiten Komponente, der Risikobeurteilung, resultiert aus dem Umstand, dass Unternehmen im Rahmen ihrer Geschäftstätigkeit einer Vielzahl von externen und internen Risiken ausgesetzt sind. Dabei liegt COSO I das Verständnis zugrunde, dass es sich bei Risiken um mögliche Ereignisse in der Zukunft handelt, welche das Erreichen der für die Kategorien operativer Betrieb, Berichterstattung und Compliance definierten Unternehmensziele negativ beeinflussen können. Daraus folgt, dass die Bestimmung der Unternehmensziele eine Voraussetzung für die Durchführung der Risikobeurteilung darstellt. Zudem ist die Kenntnis der Risikoneigung bzw. der Risikoeinstellung der Unternehmensleitung[13] für die Risikobeurteilung erforderlich. Auf Basis der definierten Ziele und der Risikoneigung der Unternehmensleitung umfasst die Risikobeurteilung die Identifizierung und Bewertung von Risiken, welche das Erreichen der definierten Ziele gefährden können. Erst die Kenntnis der bewerteten Risiken ermöglicht es der Unternehmensleitung und dem Management, die Risiken entsprechend ihrer Risikoneigung zu steuern. Bei der Risikobeurteilung handelt es sich nicht um eine einmalige Maßnahme, sondern um einen dynamischen, in einem definierten Turnus zu wiederholenden Prozess. Dabei sollten insbesondere die Auswirkungen von Änderungen der externen Rahmenbedingung (z.B. ökonomisches oder regulatorisches Umfeld) sowie des dem Unternehmen zugrunde liegenden Geschäftsmodells (z.B. neue Produkte bzw. Dienstleistungen oder neue Märkte) berücksichtigt und zu einer Anpassung der Beurteilung – ggf. auch außerplanmäßig (d.h. außerhalb des festgelegten Turnus) – führen.[14]
13
Die Kontrollaktivitäten, welche mittels Richtlinien und Verfahrensanweisungen im Unternehmen zu etablieren sind, sollen dafür sorgen, dass die Vorgaben der Unternehmensleitung und des Managements umgesetzt werden. Von besonderer Bedeutung ist dabei, dass die Kontrollaktivitäten auf allen Ebenen und in allen Funktionsbereichen des Unternehmens durchgeführt werden. Kontrollaktivitäten können einen präventiven oder einen aufdeckenden Charakter aufweisen und sowohl aus manuellen als auch aus automatisierten bzw. systemgesteuerten Maßnahmen bestehen. Beispiele für Kontrollaktivitäten sind Berechtigungskonzepte, Genehmigungsverfahren, Abstimmungsarbeiten oder die Analyse von Erfolgskennzahlen. Zudem stellt die Funktionstrennung ein Grundprinzip bei der Etablierung von Kontrollaktivitäten innerhalb eines IKS dar.[15]
14
Die Komponente Information und Kommunikation beinhaltet die Einholung, die Bereitstellung und das Teilen von Informationen. Die zeitgerechte Kommunikation relevanter Information an die zuständigen Personen ist erforderlich, damit die jeweiligen Verantwortlichkeiten innerhalb des IKS sachgerecht ausgeübt werden können. Daher ist es wichtig, dass die Informationsflüsse in sämtliche Richtungen innerhalb der Organisation funktionsfähig sind. Dabei können die für die Wirksamkeit des IKS benötigten Informationen sowohl aus internen als auch aus externen Quellen stammen.[16] Die Komponente Information und Kommunikation umfasst zudem die Erstellung von internen Berichten im Hinblick auf die Zielkategorien operativer Betrieb, Berichterstattung und Compliance sowie die Kommunikation mit externen Stakeholdern, wie beispielsweise Kunden, Lieferanten, Gesellschafter bzw. Aktionäre oder auch Gesetzgeber und Aufsichtsbehörden, über das IKS betreffende Sachverhalte.[17]
15
Die Aufgabe der fünften Komponente Überwachung ist es, die Qualität (Wirksamkeit und Wirtschaftlichkeit) des IKS zu überprüfen und zu bewerten. Dabei können die Überwachungstätigkeiten als laufende, in die Arbeitsprozesse der verschiedenen Ebenen und Funktionen der Unternehmung integrierte Maßnahmen, als separate, prozessunabhängige Überprüfungen oder als eine Kombination aus beiden Varianten erfolgen. Der Turnus der prozessunabhängigen Kontrollen sollte insbesondere von der Risikosituation des Unternehmens sowie der Effektivität der laufenden, prozessintegrierten Überwachungsmaßnahmen abhängen. Die Ergebnisse der Überwachungstätigkeiten sollten hinsichtlich Schwachstellen des IKS untersucht werden, die – sofern vorhanden – an das Management und die Unternehmensleitung kommuniziert werden müssen. Liegen Hinweise auf Schwächen des IKS vor, sind korrigierende Maßnahmen zu ergreifen.[18]
16
Um ein wirksames und wirtschaftliches IKS zu erhalten, ist gem. COSO I die Existenz und Funktionsfähigkeit sämtlicher fünf Komponenten erforderlich. Dabei ist jede Komponente grundsätzlich unabhängig; aufgrund der Vielzahl an Verflechtungen sollten sie jedoch als ganzheitliches, integriertes System zusammenwirken.[19] Die formale Ausgestaltung der Komponenten kann jedoch individuell in Abhängigkeit von Größe und Komplexität des Unternehmens oder der Art der Geschäftstätigkeit sehr unterschiedlich ausfallen.[20]
a) Hintergrund