Internes Kontrollsystem und Internal Control System

Inhaltsübersicht

 

Rückblick

ICS– Internal Control System

IKS– Internes Kontrollsystem

Das COSO Modell

Sarbanes-OxleyAct of 2002 - COSO/CobiT

RISIKO– COSO ERM

BSI– ausgefeilte Terminologie

Wege zum IKS/ICS bzw. RM

Aufwand und Kosten

 

 

 

 


Rückblick

Im Jahre 1939 prägte der amerikanische Soziologe/Kriminologe Edwin Sutherland den Begriff des White Collar Crime. Seit 1921 beschäftigter er sich mit Kriminologie und politischer Ökonomie. Mit White Collar Crime bezeichnete er Straftaten, die von „Personen mit hohem Status im Rahmen ihrer beruflichen Tätigkeit“ begangen würden..Dabei geht es um Kreditbetrug, Bilanzfälschung, Bilanzverschleierung und andere Delikte. Bis heute reißen derartige Finanzskandale nicht ab; ganz im Gegenteil, sie scheinen sich zu häufen und immer größere Ausmaße anzunehmen.

Nach diversen Finanz- und Börsenskandalen trat  1934 der Securities Exchange Act 1934 in Kraft und die Aufsichtsbehörde SEC (Securities Exchange Commission) wurde ins Leben gerufen.

 

ICS – Internal Control System

Eine erste Definition des Begriffs „internal control“, dessen Ausprägung mehrere Jahrzehnte dauerte,  findet sich einer Veröffentlichung des AICPA, American Institute of Certified Public Accountants (etwa: vereidigte Buch- bzw. Wirtschaftsprüfer) im Jahre 1949 (internal control – elements of a coordinated system).

Unter einem ICS sind alle Maßnahmen und Vorkehrungen mit folgenden Zielen zu verstehen:

  • Bewahrung des Unternehmensvermögens
  • Sicherung der Zuverlässigkeit des Rechnungswesens
  • Verbesserung der Effizienz betrieblicher Abläufe
  • Sicherung der Einhaltung der Geschäftspolitik

Bedingt durch die seinerzeit marktbeherrschende Rolle Amerikas kam es bei der Vertretung von Wirtschaftinteressen im Ausland fortlaufend zu Korruptionsfällen; das führte zum Foreign Corrupt Practices Act of 1977 (FCPA), der zwei Kernthemen adressierte:

a) Transparenz in der Buchführung (auch elektronische Buchführung) gem. den Forderungen des Securities Exchange Act von 1934, der den Börsenhandel mit Securities (Wertpapiere, Anleihen, Schuldverschreibungen) regulieren sollte, und 

b) Bestechung ausländischer Amtsträger (foreign officials).

 In dem Bundesgesetz der FCPA erscheint zum ersten Mal der Begriff  „system of internal accounting controls“ in folgendem Zusammenhang: “…require corporations covered by the provisions to make and keep books and records that accurately and fairly reflect the transactions of the corporation and to devise and maintain an adequate system of internal accounting controls”. (erstes Auftreten in einem Gesetzestext).

Zielsetzung: Anlegerschutz.

Bedingt durch den wachsenden Einsatz Computer-gestützter Buchführung wurde es für die CPAs  (Certified Public Accountant:  Berufstitel für US-amerikanischer Wirtschaftsprüfer) zusehends schwieriger, ihrer Aufgabe nachzukommen; dies insbesondere durch das Fehlen von Prüfungsstandards.

Als Initiative der Privatwirtschaft wurde im Jahre 1985 die National Commission on Fraudulent Financial Reporting (betrügerische Finanzberichterstattung), gestützt von 5 Berufsverbänden [1] ins Leben gerufen: ...an independent private-sector initiative which studied the causal factors that can lead to fraudulent financial reporting.

Im selben Jahre wurde COSO gegründet als Sponsor der National Commission on Fraudulent Financial Reporting (nach ihrem ersten Präsidenten auch Treadway Commission genannt).

COSO Mission Statement liest sich folgendermaßen: …provide thought leadership through the development of comprehensive frameworks and guidance on enterprise risk management, internal control and fraud deterrence designed to improve organizational performance and governance and to reduce the extent of fraud in organizations.

COSO manifestiert damit seinen Anspruch auf “geistige Führerschaft” (thought leadership) bei der Entwicklung umfassender “Modelle” (frameworks) in Sachen Risikomanagement, Interne Kontrolle und Betrugssprävention (fraud deterrence ist eher Betrugsabschreckung).

Im Jahre 1987 erschien der Bericht der Treadway Commission und untersuchte auch die Rolle von „Computern und Informationssystemen“ im Zusammenhang mit betrügerischer Finanzberichterstattung. Der erste Absatz im Original:  “The increasing power and sophistication of computers and computer-based information systems may contribute even more to the changing nature of fraudulent financial reporting. The last decade has seen the decentralization and the proliferation of computers and information systems into almost every part of the company. This development has enabled management to make decisions more quickly and on the basis of more timely and accurate information. Yet by doing what they do best-placing vast quantities of data within easy reach-computers multiply the potential for misusing or manipulating information, increasing the risk of fraudulent financial reporting.

Zielsetzung: Anlegerschutz; Hauptursache: Betrügerische Rechnungslegung.


[1] the American Accounting Association (AAA), the American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA), and the National Association of Accountants (now the Institute of Management Accountants [IMA]). Wholly independent of each of the sponsoring organizations, the Commission contained representatives from industry, public accounting, investment firms, and the New York Stock Exchange.

 

IKS – Internes Kontrollsystem

In Deutschland wird der Berufsstand der Wirtschaftsprüfer faktisch durch das IDW e.V. als Berufsverband repräsentiert. Die Geschichte des IDW lässt sich bis 1890, das Jahr der Gründung der Deutschen Treuhandgesellschaft, zurückverfolgen, die 1932 in Institut der Wirtschaftsprüfer umbenannt wurde. Das IDW beschreibt die Aufgabe des Wirtschaftsprüfers wie folgt: „Seine Vorbehaltsaufgabe ist es - gemäß § 2 Abs. 1 der Wirtschaftsprüferordnung (WPO) - "die betriebswirtschaftliche Prüfung, insbesondere von Jahresabschlüssen wirtschaftlicher Unternehmen, durchzuführen und Bestätigungsvermerke über die Vornahme und das Ergebnis solcher Prüfungen zu erteilen". Diese Zielsetzung schlägt sich auch in den vom IDW herausgegebenen Definitionen und Standards nieder, die eine methodische Prüfung der Ordnungs­mäßigkeit des Jahresabschlussberichts in den Vordergrund stellen. Hierbei wird die Ordnungsmäßigkeit durch gesetzliche Vorgaben bestimmt

In Anlehnung an die Grundsätze der Internal Control haben Wirtschaftsprüfer (Mitglieder des IDW) im WPH (Wirtschaftsprüferhandbuch) auf notwendige und angemessene Kontrollen zur sachgerechten Beurteilung der Ordnungsmäßigkeit des Jahresabschlusses hingewiesen. Das IDW selbst publizierte im Juli 2001 den Prüfungsstandard 260 „Das interne Kontrollsystem im Rahmen der Abschlussprüfung“
Zielsetzung: Prüfbarkeit der Rechnungslegung.

Bereits die Reichsabgabenordnung von 1919, die erst 1977 durch die Abgabenordnung abgelöst wurde, formuliert erste Grundsätze der Ordnungsmäßigkeit der Buchführung. 1978 erscheinen die GoS, die „Grundsätze ordnungsmäßiger Speicherbuchführung“ und schließlich 1995 die GoBS, die zu Einsatz und Nachweis eines Internen Kontrollsystems verpflichten.

Die GoBS, als Erlass unter der AO veröffentlicht, adressieren alle „Buchführungspflichtigen“, also eine wesentlich breitere Klientel als das amerikanische Internal Control System.

Zielsetzung: Gestaltungsvorgaben für die Buchführung zur Gewährleistung der Prüfbarkeit unter steuerlichen Aspekten (Steuer-/Betriebsprüfung).
 

Obwohl die Hinweise auf das IKS in den GoBS nicht kodifiziert (konkretisiert) sind, weisen die GoBS auf ein Grundsatz-basiertes (principle based versus rule based) IKS hin, wie es heute noch beim DIIR  als Überbetriebliches Prüfungshandbuch für Interne Revision in Bausparkassen zu finden ist.

Trotz dieser unterschiedlichen Ansätze hat sich unter dem Einfluss der Corporate Governance der Begriff des IKS mehr und mehr in Richtung des ICS verschoben und auch die Rolle des Controlling für börsennotierte Unternehmen verändert (Freidank, Uni Hamburg). Das COSO-Modell hat sich fast als Quasi-Standard für ein ICS/IKS  international durchgesetzt.

 

Das COSO Modell

Im Jahre 1992 hat COSO einen inzwischen von der SEC anerkannten Standard für das Internal Control Systeme veröffentlicht. Dieses Kontrollmodell dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems; Ziel war es, um die Qualität (Ehrlichkeit/Zuverlässigkeit) der Finanzberichterstattung börsennotierter Unternehmen zu verbessern. 1994 erschien nach einer Auseinandersetzung  mit dem U.S. Government Accountability Office (GAO) über die Anwendbarkeit im öffentlichen Bereich eine leicht geänderte zweite Auflage des Modells.

Die Bestandteile (Komponenten/Operationsfelder) des internen Kontrollsystems nach dem COSO-Modell sind:

  • Kontrollumfeld

  • Risikobewertung

  • Kontrollaktivitäten

  • Information und Kommunikation

  • Überwachung

Als Kontroll(ziel)felder  werden formuliert:

  • Wirksamkeit und Effizienz betrieblicher Abläufe (operations)

  • Verlässlichkeit der finanziellen Berichterstattung (financial reporting)

  • Einhaltung der geltenden Gesetze und Vorschriften (compliance)

 Anmerkung: Bei den Bewertungsattributen (dort information criteria) findet sich später eine Auffächerung in 5 Felder; in deutschen Quellen wird ebenfalls aufgefächert auf vier und teilweise 5 Felder).
 

Eine umfängliche Einführung in COSO ICS im Vergleich zu deutschen Ansätzen des IKS und Risikomanagements im Hinblick auf neuere Gesetze stammt  ebenfalls vom Lehrstuhl Freidank, Hamburg. 

Wie funktioniert COSO? In COSO stellt Internal Control ( des Öfteren als Überwachung und weniger oft als Kontrolle bzw. Steuerung zu übersetzen) einen Prozess dar. Das Management (Geschäftsleitung) ist  der Owner des Prozesses.

Die COSO Definition hierfür: “a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:

  • Effectiveness and efficiency of operations

  • Reliability of financial reporting

  • Compliance with applicable laws and regulations."

Die Beziehung der Kontrollzielfelder und Operationsfelder zu Unternehmenseinheiten veranschaulicht der COSO-Würfel; die COSO Pyramide soll die Beziehung zwischen Kontrollumgebung, Risikobewertung, Kontrollaktivitäten und Monitoring darstellen, die alle von Information und Kommunikation geklammert werden.

 


Der COSO-Prozess wird in dem unten stehen Bild durch die farbigen Blockpfeile am Beispiel des Financial Reporting dargestellt.

 

Control Objective ist das zentrale Element im COSO-Prozess, meist mit Kontrollziel übersetzt, obgleich das oft nicht passt, da control objectives auch durch Imperativ/Infinit-Sätze bzw. Aussagen ausgedrückt werden, die verdeutlichen sollen, was zu tun ist. Man muss also ständig auf den Kontext bzw. die Semantik des Satzes achten, um klar zu verstehen, was jeweils gemeint ist (semantische Wolke). COSO Control Objectives werden für Prozesse als Ziele definiert, die durch die Kontrolle / Überwachung erreicht werden sollen.
 

  1. Schritt: Zunächst wird ein Prozess aus einem Kontrollzielfeld ausgewählt (ganzer Geschäftsprozess oder ein Teilprozess oder Geschäftsvorfall (Typ). (Die strategischen Zielsetzungen der Unternehmensleitung müssen bereits vorliegen.)

  2. Schritt: Im Rahmen der Risikoerkennung (-feststellung) werden möglichst klare Kontrollziele formuliert. Diese Kontrollziele werden durch die Vorgaben des Management bestimmt (Sicherheit, Effizient, evtl. Schnelligkeit (beim Schreiben von Rechnungen), usw.);

  3. Schritt: Als Ergebnis der Bearbeitung werden ein oder mehrere Instrumente (controls) definiert, mit Hilfe derer das oder die gewünschten Ziele erreicht werden können. Jedes Instrument gehört einem der Operationsfelder an. Nach dem sogen. Reifegradmodell (eigentlich kein Modell, sonder eine Maßzahl zwischen 0 und 6) wird dem Instrument ein Reifegrad zugeordnet, für den es eine Kriterienliste gibt.

  4. Zur Implementierung müssen diese  „controls“ den entsprechenden Mitarbeitern kommuniziert werden.

  5. In der letzten Phase wird festgestellt, ob die Instrumente wirklich greifen, wirksam und effizient sind, ob die anvisierten Ziele wirklich erreicht werden. Sollte dies nicht der Fall sein, kommt es zu einer neuerlichen Überarbeitung. (z.B. kann durch gewisse Überwachungen, Kontrollen ein Prozess langsamer, kostenintensiver  werden oder  die eingeführte Kontrolle wirtschaftlich nicht vertretbar sein.). Das Reporting über das Verhalten und Wirken der Instrumente fällt in das Operationsfeld Information (hier Information des Management).
     

Eine zwar nicht explizit auf COSO abgestimmte, aber exzellente Ausarbeitung zu Prüf- und Kontrollhandlungen speziell für SAP stammt von Marie-Luise Wagener.

 

Sarbanes-Oxlex Act of 2002 - COSO/CobiT

Als Reaktion auf den Enron-Skandal  (und Worldcom-Skandal)  wurde 2002 der Sarbanes-Oxley Act (US-Bundesgesetz, auch als SOX, SOA abgekürzt) verabschiedet.

Ziel des Gesetzes war es, das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen, die auf dem öffentlichen Kapitalmarkt der USA agieren. Zur Durchsetzung des Gesetzes wurde die Bundesüberwachungsbehörde PCAOB ins Leben gerufen. Abschnitt 404(a) des Gesetzes verlangt eine Beurteilung der Wirksamkeit des ICS für die Rechnungslegung durch die Geschäftsleitung;  Abschnitt 404(b) fordert die Prüfung der Wirksamkeit (effectiveness) des ICS für die Rechnungslegung durch einen Wirtschaftsprüfer.

Nach der Erhebung der Anklage im Enron-Fall wurde offenbar Mengen von Papier­dokumenten geschreddert, aber auch digitale Aufzeichnungen, andere digitale Dokumenten und E-Mails vernichtet/gelöscht. Das war ein Signal für die  Information Systems Audit and Control Association (ISACA), das ITGI (IT Governance Institute) auf eine Erweiterung (eher Nutzung) des COSO-Modell auf IT-Governance anzusetzen; das bisherige CobiT-Modell  mit dem COSO-Modell zu „verheiraten“. Nach der ersten Fassung 2003 erschien eine zweite in 2006. Dieses IT-Governance „Korsett“ für das IT-Management übernimmt die Kontrollziele des ICS bzgl. der Gestaltung und Kontrolle der IT nach Governance Vorgaben.

COSO/Cobit ist sehr griffig, pragmatisch und relativ übersichtlich zu implementieren. Außerdem umfasst es alles Ressourcen (auch Personal, Räume, Gebäude etc.) und bietet viele beispielhaften Kontrollziele für Geschäftsprozesse und lässt sich zum IKS erweitern.

 

RISIKO – COSO ERM

Nach Meinung einiger Etymologen stammt das Wort Risiko vom Altitalienischen risicare, das viel wie wagen oder eine mögliche Gefahr in Kauf nehmen bedeutet. Die mögliche Gefahr sollte bekannt sein bzw. die Wahrscheinlichkeit, dass ein Risikoereignis eintritt. Demnach ist ein Ansatz, der nicht von der Erkennung aller möglichen Risiken ausgeht, sonder zunächst Ziele für bekannte Objekte vorgibt, eher Audit- als Unternehmensorientiert. Diese häufig formulierte Kritik führte dazu, dass COSO ICS deutlich umgekrempelt wurde, die Zahl der Operationsfelder  erweitert und das gesamte Konzept zwei Jahre nach Sarbanes-Oxley auf Risikomanagement-Füße gestellt wurde. COSO II oder COSO ERM (enterprise resource management).

Das Monitoring der Kontrollen war anfängliche eine Schwachstelle in den ersten COSO ERM Versionen. 2009 erschienen 3 dicke Guidance Bände zum Monitoring.

Anmerkung: COSO ist Sponsoren-finanziert und benötigt die Einnahmen aus den Veröffentlichungen. Daher sind diese alle kostenpflichtig. Interview mit Dr. Rittenberg, ( Ernst & Young), COSO Chairman..

Der neue COSO-Würfel hat nunmehr 8 Ebenen bzw. Operationsfelder. Hinzugekommen sind: "Setzen von Zielen, Identifizierung von Ereignissen und Reaktion auf Risiken". als  die neuen Operationsfelder zur Erweiterung eines internen Kontrollsystems zu einem unternehmensweiten Risikomanagement Modell.
 

COSO ERM hat sich zu einem echten Governance Instrumentatrium entwickelt und ist über die Ziele der Anti-Fraud Auditing Konzepte hinausgewachsen. Eine derart ausgefeilte Überwachungs- und Gestaltungssystematik hat allerdings ihren Preis.

Die TU Wien hat ein umfängliches Anwendungsbeispiel  des COSO-ERM zu einer virtuellen Firma erstellt.

Einen guten und kompakten Überblick zu COSO ERM (in Deutsch) verschafft die Ausarbeitung des DIIR.

 

BSI ausgefeilte Terminologie

Die CobiT Termini zur Klassifizierung der Ressourcen wirken im Vergleich zur Terminologie des BSI-Grundschutzes etwas hemdsärmelig (people, technology, application systems, data, facilities). Die Begrifflichkeit des BSI ist straffer, schärfer definiert, umfasst aber naturgemäß keine Prozesse (Geschäftsprozesse). Von besonderer Eleganz ist das Baustein-Konzept. Bausteine wirken wie Operatoren auf Kontrollobjekte und liefern als Ergebnis einen Satz von Paaren aus Gefahr und Maßnahme. Gefahren (potentielle Risiken) und Maßnahmen sind jeweils in eigenständigen Katalogen zusammengefasst.

Beim Aufbau eines eigenen IKS bzw. ERM ist in jedem Fall zu empfehlen, beim Aufbau des hauseigenen Wörterbuchs diese stringente Terminologie zu nutzen.

Prinzipiell wäre es möglich und auf längere Sicht auch effizient, ein Baustein-ähnliches Konzept für IKS oder ERM zu entwickeln. Leider fehlt eine derartige vervollständigte Systematik beim Arbeiten mit COSO und control objectives.

Falls in einem geplanten IKS Datenschutzgesetze zu beachten sind, kann sich der Baustein zum Datenschutz als äußerst nützlich erweisen.

 

Wege zum IKS/ICS bzw. RM

In jedem Unternehmen (mit  Buchhaltung und IT) gibt es Kontrollen, Richtlinien, Policies, Berichte, evtl. Qualitätssicherung, eingerichtete Standards nach denen es zertifiziert wurde etc. Vor dem Start grundlegender Aktivitäten in Richtung IKS/ICS sollte das evtl. bestehende Risiko-Management begutachtet werden; das RM durchweg wird durchweg als der umfassendere Ansatz angesehen und bessere Ausgangspunkt (KPGM, Combined Code, Turnbull). Ziel der Corporate Governance soll ja möglichst das Management aller Geschäftsrisiken sein und nicht nur derer rund um die Rechnungslegung. "RM mit IKS als Untermenge oder IKS mit Risikohandling ausgerichtet auf die Prozesse der Rechnungslegung" ist die erste und wichtigste Entscheidung des Managements, bevor ein Projektplan in Angriff genommen wird.
 

Erster Weg: Ohne oder wenig externe Unterstützung

  1. Schritt: Bilden einer Gruppe aus Geschäftsleitung, Rechnungswesen, Organisation, IT und evtl. innere Revision

·         Aufgabe1: Festlegen des Sprachgebrauchs ( rein deutsch, gemischt  oder englisch) für die wichtigsten Begriffe; einer wird zum Owner des Firmen-Wörterbuchs / Dictionary’s / Glossars / Definitionensammlung. (Das soll kein DATA DICTIONARY sein, wie es zum Arbeiten mit Repositories genutzt wird,!) Ein solches Wörterbuch ist insbesondere für verteilte Unternehmen (Holdings) mit jährlichen Konsolidierungsaufgaben von Bedeutung.

·         Aufgabe2: Sammeln von Policies & Unternehmenswirksamen Gesetzen (GL/IR), Arbeitsanweisungen (IT und FIBU), Organisationsanweisungen (Org), Richtlinien der Haus-IT (IT). Je ein OWNER wird festgelegt. Die Owner-Org/Fibu  werden prozess-integrierte /prozess-unabhängige  Kontrollen identifizieren/notieren; dies ist die wohl wichtigste und umfangreichste Aufgabe, die sich für SAP-Anwender als nicht ganz so schwierig stellt; einerseits hat SAP ein eigenes IKS-Konzept und Produkt entwickelt, andererseits findet sich hierzu umfangreiches Material in der Literatur.

·         2 Personen (extern oder intern, wahlweise aus der Wirtschaft oder dem akademischen Umfeld) werden ausgesucht: a) Vortrag/Workshop COSO/COSO-ERM und COSO/Cobit (Folien gibt es im Netz zu Hauf);

·         Festlegen Kommunikationsmodus (einrichten einer Intranet Site

·         Zugelassenen Dokument-Arten (WORD, EXCEL, POWERpoint etc.)

·         Danach Zieltermin internes Folgemeeting: nach einer Woche

  1. Schritt: Gemeinsamer Wissenstand/gemeinsame Sprache

·         Präsentation COSO/COSO-ERM/CobiT Modelle

·         GL: Berichte über gesammelte Policies/ Feststellen was fehlt!!!

·         Owner-Dictionary: Kurzvortrag/ Verteilen des Bericht/Einstellen in Intranet

·         Owner-Arbeitsanweisungen. Bericht

·         Owner-Richtlinien IT: Bericht über IT-Prozesse (evtl. Kontrollobjekte);

·         Owner-Organweisungen/FIBU: Anweisungen und identifizierte Geschäftsprozesse (evtl. Tool vorhanden, Grafiken, Beschreibungen ??)

·         Festlegen eindeutiger Bezeichner  für Prozesse, Kontrollen, Richtlinien, Anweisungen Policies etc, die erste Identifikation von Kontrollobjekten.

·         Aufnahme der Bezeichner ins Dicitonary

·         Diskussion: Modellwahl (COSO/COSO-ERM/Cobit); (Anmerkung: Falls Sie KonTraG, BilMoG unterliegen, ist COSO(-ERM) ohnehin die kanonische Wahl! Falls Sie auch nach IFRS Rechnung legen, gilt dasselbe.)

·         Gruppenbildung: IT/FIBU: Versuchen, Risiken zu identifizieren in Prozessen; Gruppenbildung ORG/REV: Versuchen Risiken in der Organisation und Umgebungsrisiken zu finden; (danach internes Brainstorming mit „Unbeteiligten“). 

  1. Schritt  Für alle kritischen Geschäftsprozesse und Geschäftsrisiken sind die Kontrollen zu identifizieren, zu klassifizieren und zu dokumentieren

·         Dokumentationsformat festlegen (Risikokontrollmatrix oder ähnlich zum identifizieren, klassifizieren, Zuordnungen von Kontrollzielen etc)

·         Einführung eines gemeinsamen IKS-Kalenders (Intranet)

·         Brainstorming: Offene Posten-Liste: Operationsfelder Kontrollziele und Risiko- bzw. Kontrollobjekte

·         Schwachstellenanalyse mit dem Ziel, das existierende System der internen Kontrollen zu verbessern. 

  1. Schritt: Empfehlungen  entsprechender Maßnahmen, prüfen ob die Nutzung von SW-Anwendungen zur Unterstützung der Projekt- und späteren IKS-Betriebsaufgaben und Anwendungen zum Audit-orientierten Datenhandling  (business audit platform speziell für verteilte Organisationen, Konzerne, Holdings etc.). Planung der Folgeaktivitäten (IKS-Kalender).
  1. Schritt: Reporting der Ergebnisse an  ein geeignetes GL-Gremium
  1. Schritt:  Jahresreport IKS/RM (geordnet nach Kalenderaktivitäten, und Zusammenfassung)

(Anmerkung: Dieser erste Weg entspricht in etwa der Vorgehensweise von PWC).

.

Zweiter Weg: Eigenvorbereitung durch Literatur und akademische Beratung

Nach Vorbereitung der  eigenen Entscheidungsgremien (Vorlagen aus Literaturstudium und Recherchen)  wird ein Workshop unter akademischer Ägide (Lehrstuhl Wirtschaftsprüfung) durchgeführt. Das verschafft den Beteiligten ein neutrales Bild und eine Übersicht zum status quo in Sachen RM/IKS im Zusammenhang mit der Gesetzgebung und den methodisch geeigneten Ansätzen.

Begründung: PWC ist seit Jahren ein wichtiger Sponsor von COSO; Rittenberg ist Ernst & Young Professor; KPMG verfolgt eigenes Modell;

  

Einen interessanten Weg hat die Bayer AG beschritten, der schon am Ende des Abschnitts COSO/CobiT angedeutet wurde.

Das interne Kontrollsystem der Finanzberichterstattung des Bayer-Konzerns basiert auf dem COSO (Committee of the Sponsoring Organisations of the Treadway Comission)-Rahmenwerk. Für die IT-Prozesse wurde eine Überleitung zum COBIT (Control Objectives for Information and related Technology)-Rahmenwerk hergestellt. Die konzernweit verbindlichen Internal-Control-System-(ICS-) Standards wurden daraus abgeleitet, zentral vorgegeben und in den Konzerngesellschaften umgesetzt. Das Management in den Gesellschaften des Konzerns trägt die Verantwortung für die Umsetzung und Überwachung des lokalen ICS. In einem konzernweit genutzten System werden alle ICS-relevanten Geschäftsprozesse, deren Risiken und Kontrollen einheitlich und prüfungssicher dokumentiert und in einem zentralen IT-System auf Konzernebene transparent dargestellt.

 

Aufwand und Kosten

Nach einer Untersuchung, die  in 2007 von der Financial Executives Research Foundation veröffentlicht wurde, betrugen die Kosten für  SOX compliance, und das bedeutet nicht nur den Aufwand für interne Kontrolle, im Durchschnitt ca. $1.2 Millionen  für ein börsennotiertes Unternehmen, um das Testat des Wirtschaftprüfers zu erhalten. Geschätzt waren durch SEC/PCAOB ursprünglich ca. $ 91.000 je Unternehmen. Im Schnitt ist der Aufwand ca. 10 Mal höher als erwartet. Die Klagen der Unternehmen häufen sich massiv und bei der SEC denkt man offenbar über Lockerungen nach.

Deutsche Unternehmen, die auf dem amerikanischen Kapitalmarkt vertreten sind, machten ähnliche Erfahrungen. Bezifferte Angaben zu Kosten und Personalaufwand finden sich in einem Papier der Universität Magdeburg.

 

 

 

S. Mack, Dortmund

29.9.2010