Ein altes Sprichwort lautet: Es gibt nichts, was es nicht gibt. Wohl wahr bei einem Blick auf die Risikolandkarte unserer Zeit. Rund 2.000 Gesetze und etwa 3.500 Verordnungen mit insgesamt rund 77.000 Artikeln und Paragrafen allein in Deutschland. Hinzu kommen Haftungsfragen, Cyberrisiken und Reputationsverlust, globale Marktschwankungen und das Auf und Ab der Finanzkrise(n).
Organisationen stehen heute vor einem bunten und zugleich dornigen Strauß potenzieller Gefahren und Chancen und damit vor immensen Herausforderungen im Risikomanagementumfeld. Dies macht ganzheitliche und integrierte Managementprozesse in der Gesamtorganisation wichtiger denn je. In diesem Kontext spielen interne Kontrollsysteme (IKS) als Teil eines eng verzahnten Gesamtrisikomanagementsystems eine entscheidende Rolle: Denn nur mit Gesamtlösungen kann das Topmanagement seinem Auftrag gerecht werden.
Das Damoklesschwert der persönlichen Haftung
Und dieser heißt: die Wirksamkeit interner Kontrollen sicherstellen, überwachen und die jeweiligen Prozesse im Sinne verschärfter Gesetze wahrnehmen – bei gleichzeitiger Risikominimierung und Chancenwahrung. Doch gerade in puncto wirksamer Prozesse haben viele Unternehmen Nachholbedarf trotz des bereits im Jahr 2009 in Kraft getretenen Gesetzes zur Modernisierung des Bilanzrechts (Bilanzrechts¬modernisierungsgesetz, BilMoG).
Die Gesetzgebung legt diverse Regeln für Unternehmen und ein integriertes Risikomanagement fest. Sei es der Aufbau eines Früherkennungs- und Überwachungssystem im Risikomanagement oder die Sorgfaltspflicht der Geschäftsführung, aus der sich ein angemessener Umgang der Unternehmensleitung mit Risiken ableitet. Weitere Regelungen finden sich im Deutschen Corporate Governance Kodex (DCGK), laut dem der Vorstand für ein "angemessenes Risikomanagement und Risikocontrolling im Unternehmen" sorgen soll, oder in der sogenannten "Business Judgement Rule". Diese geht davon aus, dass Entscheidungen des Vorstands mit Risiken verbunden sind.
Gleichzeitig droht Vorständen die persönliche Haftung aufgrund von Fehlschlägen durch Pflichtverletzungen. Wobei: "Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln" (§ 93 Abs. 1 Satz 2 AktG). Ohne ein angemessenes Risikomanagement wird ein Vorstand nur schwer nachweisen können, dass er basierend auf einer angemessenen Informationsgrundlage entschieden hat.
Grundsätzlich geht die Prüfung interner Kontrollen aus gesetzlichen Anforderungen wie dem Sarbanes Oxley Act oder dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hervor. Eine weitere Verschärfung resultiert aus BilMoG. § 107 Abs. 3 AktG schreibt vor, dass Aufsichtsräte beispielsweise die Wirksamkeit des eingeführten Risikomanagementsystems in der Organisation überwachen müssen.
Im Zuge der BilMoG-Modernisierung und der damit einhergehenden Änderungen im HGB ergänzte der Gesetzgeber die Vorschriften zum internen Kontrollsystem (IKS) und Risikomanagementsystem (RMS) an drei Stellen. Diese Neuerungen adressieren folgende Organe in kapitalmarktorientierten Unternehmen:
- die Geschäftsführung/den Vorstand,
- den Aufsichtsrat/den Prüfungsausschuss und
- die Abschlussprüfer.
Die Neugestaltung beinhaltet erweiterte Pflichten für die Geschäftsführungsorgane. Beispielsweise müssen kapitalmarkt-orientierte Unternehmen nach § 289 Abs. 5 HGB n. F. im Lagebericht "die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess" beschreiben.
Kein Standard für Steuerungsstandards
Während Gesetze kompliziert sind, sind sie zumindest unumstößlich und bindend. Die Lage im Standardisierungsumfeld ist weniger eindeutig. Aktuell bestehen mehr als 80 Guidelines, Normen und Standards im Risikomanagementbereich. Hierzu zählen branchen- und themenspezifische Regelungen, wie die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder die internationalen Regelwerke ISO 17799 zur Informationssicherheit oder ISO 22301 zum Thema Business Continuity.
Bei den branchenübergreifenden Regelungen kann das COSO-ERM Framework (formuliert vom "Committee of Sponsoring Organizations of the Treadway Commission" und propagiert vor allem von Wirtschaftsprüfern) auf eine lange Historie zurückblicken. Als internationaler Standard für ein unternehmensweites Risikomanagement kam COSO in der Vergangenheit vor allem in den USA zum Einsatz und ist europaweit im Zusammenhang mit IKS bekannt. Aufgrund des komplexen COSO-Standards sehen Experten diesen in der Regel eher bei großen Konzernen als praktikablen Standard. Darüber hinaus bietet CobiT (Control Objectives for Information and Related Technology) als internationaler Standard und Framework einen wichtigen Kontroll- und Steuerungsansatz für Systeme und Prozesse in Organisationen. Neben dem Management der Unternehmens-IT zielt CobiT vor allem auf Führungs- und Kontrollaufgaben ab.
In vielen Fällen herrschte allerdings lange das Prinzip der "Wagenburgmentalität". Australien und Neuseeland entwickelten mit dem AS/NZS 4360 einen Risikomanagementstandard. Hinzu kommt die in Österreich und der Schweiz erarbeitete Norm "ONR 49000ff". Beide Regelwerke beeinflussten maßgeblich die Entwicklung des internationalen Standards ISO 31000, der international in den vergangenen Jahren vor allem den COSO-Standard bei vielen Unternehmen abgelöst hat. Letzterer wurde als "Top-level-Ansatz" entworfen und soll vor allem ein einheitliches Verständnis von Risikomanagement herstellen.
Mit der ISO-Norm 31000 zielen die Protagonisten darauf ab, Risikomanagement mit bestehenden Managementsystemen zu verbinden und ein aktives sowie vorbeugendes Risikokontrollsystem zu etablieren. Ziel ist ein integriertes Managementsystem. Die Grenzen zwischen Qualitätsmanagement, Arbeitssicherheit, Risikomanagement und weiteren Managementsystemen verschwimmen zu einem integrierten System.
Kritiker sehen auf der anderen Seite im ISO-Standard 31000 einen rein generischen Ansatz, ohne die unternehmensspezifischen Aspekte eines Risikomanagements angemessen zu berücksichtigen. Bei der Heterogenität der Branchen und Unternehmensgröße stellt sich hier die Frage, inwieweit ein Standard überhaupt alle spezifischen Anforderungen unter ein Dach bekommt. Anders als in anderen Ländern wurde das Regelwerk in Deutschland jedoch immer noch nicht in eine nationale DIN-Norm überführt. Aktuell laufen bereits wieder Bestrebungen für eine Überarbeitung des ISO 31000.
Zusätzlich wurden ergänzende Dokumente erarbeitet, wie beispielsweise die Norm ISO 31010, die eine kompakte Übersicht über Werkzeuge im Bereich Risiko-Assessment darstellt.
Management verpflichtet: Vorsicht vor Fehlerstellen
Das IKS wird als ein explizites Führungs- und Managementinstrument verstanden, und die Qualitätsüberwachung des jeweiligen Systems zählt zu diesen Führungsaufgaben. Ist ein IKS organisationsweit eingebunden, ergeben sich für die Führungsgremien wesentliche Vorteile aufgrund einer optimalen Informationsbasis für Entscheidungsgrundlagen.
Ein wichtiger Punkt, denn die Unternehmensführung muss sich nicht nur eine Übersicht über die Risiken verschaffen. Vielmehr muss sie sicherstellen, dass die richtigen Risiken überwacht und adressiert werden.
Das Thema Risikomanagement hat durch die Governance-Krisen an strategischer Bedeutung gewonnen und wird zunehmend als wesentlicher Teil des unternehmerischen Steuerungsprozesses verstanden. Neben der stärkeren Verzahnung von Risikomanagement mit dem Business Continuity Management und dem Controlling muss es auch zu einer vermehrten Einbindung des IKS in die Organisationsstrukturen kommen. Getrieben von eigenen historischen Erfahrungen und aufgrund gesetzlicher Rahmenbedingungen sind viele Unternehmen bereit, mehr in die Risikomanagementsteuerung in der Organisation zu investieren. Eines der Ergebnisse: Viele Unternehmen suchen nach einem integrierten Gesamtkonzept, das alle Unternehmensbereiche in eine Gesamtstrategie fasst.
Ein wichtiger Aspekt, denn neben der Darstellung des internen Kontroll- und Risikomanagementsystems im Lagebericht müssen die betreffenden Unternehmen wirksame Überwachungsprozesse integrieren. Mehr noch ist es entscheidend, dass in diesem Kontext die Überwachung interner Kontrollsysteme (IKS), eines durchgängigen Risikomanagements und der internen Revision durch den Aufsichtsrat und Vorstände vollzogen wird. Denn ein funktionierendes IKS liefert der Unternehmensführung wichtige Informationen, die sie zum Erfüllen ihrer Überwachungs- und Kontrollpflichten benötigt.
Für Aufsichtsräte und Vorstände besteht die Gefahr der persönlichen Haftung, wenn sie die Überwachungspflichten im Risikomanagement vernachlässigen oder nicht auf effektive Kontrollmechanismen achten. Zwar hat die Unternehmensführung in der Regel eine gute Erkenntnis von den eigenen Schwächen und Stärken. Darüber hinaus bestehen oft Lücken, wenn es darum geht, konkrete Risikobelastungen zu identifizieren und diese im Gesamtführungskonzept des Unternehmens zu adressieren. Generell entstehen diese Fehler oft durch uneinheitliche Managementsysteme. Diese Insellösungen stehen einem organisationsweiten Überwachungs- und Kontrollkonzept sowie einem durchgängigen Managementsystem entgegen.
Strategisches Risikomanagement: mehr als Compliance
Das Risikomanagementsystem (RMS) – und somit das integrale IKS – muss sicherstellen, dass das Unternehmen die gesetzten Ziele mit hinreichender Wahrscheinlichkeit erreichen kann. Hierzu zählt auch, dass die Risiken, die eine Zielerreichung beeinträchtigen könnten, innerhalb akzeptierter Grenzen liegen. Hier schließt sich die Frage an: Wie können Organisationen gesetzeskonform agieren und gleichzeitig ein sinnstiftendes internes Kontrollsystem einsetzen – als wesentlicher Teil einer unternehmensweiten Gesamtstrategie? Ein Blick auf die Ausgestaltung eines IKS lässt eine große Bandbreite an Möglichkeiten offen. Zwar soll das IKS ein integraler Bestandteil des RMS sein. Aber wie und in welcher Tiefe ein IKS den Gesamtablauf einer Organisation erfasst und durchdringt, muss bei jeder Firma in Bezug zu den Unternehmensaktivitäten entschieden werden. Die Abteilungen Audit und interne Kontrollsysteme benötigen dabei Unterstützung, um die Möglichkeiten zur höheren Transparenz von Risiko-, Kontroll- und Prozessmanagement in der Gesamtorganisation zu nutzen.
Da das Topmanagement das IKS nicht direkt ausführt, muss es bestimmte Anforderungen daran definieren. Und diese liegen in der Berichterstattung, die regelmäßig und zeitnah erfolgen muss, um im Zweifel Daten auf den Grund zu gehen sowie auf den Prüfstand zu stellen. Um zu einem möglichst sinnstiftenden Kontrollsystem zu gelangen, sehen Experten in Audit- und internen Kontrollteams mehr als manuelle "Spreadsheets" oder Speicherungssysteme. Förderlich sind mehr strategische Analysen, Empfehlungen zu alternativen Prozess- und Kontrollkonzepten und ein besseres Verständnis der Risiken und Chancen, die die Organisation bewältigen muss. Hierbei wird deutlich, dass es sich bei den definierten Kontrollen eines internen Kontrollsystems im Kern um Maßnahmen handelt, die als Teil eines integrierten Risikomanagements zu betrachten sind.
Maßgeschneidert und strategisch ausgerichtet: das IKS der Zukunft
Ein erfolgreicher Kontrollrahmen muss den Unternehmenserfordernissen angepasst werden. Dabei gilt, dass die Kontrollrahmenwerke und damit einhergehende Prüfungen dem Risikoappetit, der Strategie und der Audit-Methode der Organisation dynamisch angepasst werden. Ziel ist es, die Risikolandkarte positiv zu beeinflussen sowie Frühwarninformationen aus einem IKS zur präventiven Steuerung einzusetzen.
Allerdings fehlt es in vielen Fällen an der strategischen Ausrichtung der eingesetzten Methoden und Prozesse im Umfeld des Risikomanagements. Beispielsweise zeigen die Studienergebnisse des vom Kompetenzportal RiskNET im Auftrag von Thomson Reuters durchgeführten "Chancen-/Risiko-Radars 2013", dass Analyse- und Kreativitätsmethoden nicht in der erforderlichen Güte zum Einsatz kommen oder generell unbekannt sind. An diesem Punkt fehlt es an Informationen über die Möglichkeiten zukunftsweisender Methoden und deren Mehrwert durch einen Einsatz in den eigenen Reihen.
Ein internes Kontrollsystem sollte auf die derzeitigen Tätigkeiten und zukünftigen Ziele eines Unternehmens zugeschnitten sein, um optimal zu wirken. In einem zukunftssicheren Programm für interne Kontrollen sollten die folgenden Punkte berücksichtigt werden:
- Das IKS sollte auf einer ganzheitlichen Sicht der Prozesse und Kontrollen (unter Berücksichtigung des operativen Umfelds und Risikorahmens) beruhen.
- Der Kontrollrahmen muss sich an den Unternehmenserfordernissen zum Ausgestalten des Geschäftsmodells und neuer strategischer Richtungen orientieren.
- Exemplarische Kontrollen können einen guten Anfangspunkt bieten, um diese flexibel bestehenden Kontrollen zu verfeinern oder gegebenenfalls durch neue Kontrollen zu ersetzen oder zu ergänzen.
- Das Bereitstellen von Informationen zu Kontrollen sollte über die reinen regulatorischen Erfordernisse hinausgehen, um der "Best Practice" proaktiv zu begegnen. Dies verringert die Wahrscheinlichkeit, dass die Organisation von gesetzlichen Veränderungen und neuen Anforderungen auf dem falschen Fuß erwischt wird.
- Das Endergebnis des IKS sollte sich nicht nur um das Risikomanagement drehen, sondern auch die Wertschöpfung im Fokus haben. Nur so erhalten Unternehmen eine gute Rendite auf ihre Investition in einem RMS.
Wirkungsvoll sind IKS-Methoden und -Lösungen, die nicht nur interne Kontrollpflichten vereinfachen und effizienter gestalten, sondern auch Innovationen fördern und Geschäftsrisiken minimieren.
IKS: alles unter Kontrolle?
Die Kontrollaktivitäten müssen sich über alle Bereiche einer Organisation erstrecken. Denn bei Unternehmen, die ihre Risiken nicht gesamtheitlich betrachten, können einzelne Schwächen einen regelrechten Dominoeffekt in anderen Geschäftsbereichen auslösen. Daher geht es in einem guten IKS in der Regel um alles oder nichts.
Ein wichtiger Faktor, um alle Aktivitäten zu erfassen und zu gewährleisten, ist, dass die Prüfung des IKS einen tragfähigen und wiederholbaren Prozess darstellt. Um diese einheitliche Vorgehensweise zu erreichen, verlassen sich viele Firmen auf klassische "Risikobuchhaltungs-Lösungen" in Form von Excel-Tabellen oder daraus resultierenden rudimentären Inhouse-Lösungen.
Diese können zu Kontrollschwächen führen: Beispielsweise steigt der Aufwand für die erforderliche Historisierung aller Daten und Aktionen mit reinen Tabellenkalkulationen immens – vor allem wenn Organisationen große und weitverzweigte Strukturen aufweisen.
Excel & Co. stoßen dann schnell an ihre Grenzen. Allerdings stellt sich dies meist dann erst heraus, wenn es zu spät ist. Plötzlich wird offensichtlich, dass die scheinbar klare Struktur im Risiko- und Berichtswesen tatsächlich ein unvollständiges Bild zeigt.
Ein neuer Trend, der diesem Phänomen entgegenwirkt, zeichnet sich dadurch aus, dass IKS-Lösungen stärker in die Bereiche Governance, Risk und Compliance eingebunden werden. Damit möchten Organisationen Synergien erzielen und eine ganzheitliche Unternehmensplanung abbilden. Ein positiver Impuls in die richtige Richtung, denn der Mehrwert einer guten Softwarelösung setzt voraus, dass Daten über Kontrollen und Verbesserungsmaßnahmen unternehmensweit von der Unternehmensführung abgerufen werden können.
So kann eine IKS-Lösung die Unternehmensleitung dabei unterstützen, die richtigen Entscheidungen zu treffen: angefangen bei besseren Produktionsprozessen über die Produktqualität bis hin zur langfristigen Stabilität und Wettbewerbsfähigkeit. Nicht zu vergessen ist die überwachende Funktion eines IKS über die Einhaltung gesetzlicher, vertraglicher und interner Regeln.
Ein anderes Beispiel ist die Risikoausrichtung des Unternehmens. Orientieren sich Organisationen mithilfe von "Risikobuchhaltungs-Lösungen" rein an den Mindestanforderungen eines IKS sowie dem Reporting und der vergangenheitsorientierten Risikobuchhaltung, verpassen sie einen zukunftsgewandten Blick und verlieren die Chancenbetrachtung aus den Augen. Um das zu vermeiden, gilt es, Faktoren frühzeitig zu identifizieren, die das Unternehmen negativ beeinträchtigen können. Und hierzu zählen beispielsweise externe Risiken, Leistungsschwächen oder Prozesslücken, die das eigene Unternehmen vor Betrug, Hinterziehung sowie Klagen schützen.
In diesem Spannungsfeld vielfältiger Anforderungen benötigen Unternehmen ein internes Kontrollsystem, das einen dynamischen Geschäftsbetrieb mit genauen Informationen und wirksamen Abläufen unterstützt. Und das vor dem Hintergrund, alle Risiken und Kontrollen auf einer Plattform zu verbinden. Der Vorteil liegt auf der Hand: Mit einem System verwaltet gehen keine Daten verloren. Aus Daten werden Informationen generiert, die der Entscheidungsebene eine solide Grundlage für die Unternehmenssteuerung bieten. Die Verknüpfungen zwischen einzelnen Informationen und Daten werden transparent. Sämtliche Informationen lassen sich einfach aufgerufen, und Kontrollen werden ganzheitlich überwacht, sodass Unternehmen strategische Verbesserungsmaßnahmen direkt im System identifizieren können. Beispielsweise bietet "Accelus Internal Controls Manager" von Thomson Reuters eine vollständig integrierte Systemlösung. Sämtliche Informationen und Daten werden in einer einzigen zentralen Datenbank erfasst und gespeichert. Eine flexible Verknüpfung aller erfassten Daten ermöglicht eine durchgängig integrierte Datenhaltung und Informationsdarstellung. Unterstützt wird zudem die Entwicklung eines strategisch ausgelegten Risiko- und Kontroll-Frameworks in Anlehnung an international anerkannte Standards wie dem COSO-Modell.
Mithilfe des im Accelus Internal Controls Manager eingebauten Assessment-Moduls können Unternehmen strukturierte Kontrollbeurteilungen einrichten. Diese reichen von einfachen Prüflisten bis zu komplexen Erhebungen mit Auswertungen und Berechnungen. Die Verwaltung der Assessmentprogramme ist benutzerfreundlich – vom Versand über die Beantwortung von Fragebögen bis zum Validierungs- und Auswertungsprozess. Nach Abschluss der Beurteilungen können die Ergebnisse auf dynamischen Dashboards dargestellt und anschließend als Bericht für weitere Aktionen herangezogen werden, unter anderem zur Dokumentation sowie der Berichterstattung an den Aufsichtsrat oder den Prüfungsausschuss. Mit einer Verknüpfung von Kontrollen, Risiken, Verlusten, Maßnahmen und Aktionen können Zusammenhänge einfach dargestellt und mit dem integrierten Berichtswesen ausgewertet werden. Dadurch lassen sich Kontrollen über die gesamte Organisation einheitlich und in ihrer Gesamtheit betrachten.
In Summe heißt das: Mithilfe einer professionellen Software kann aus einem IKS ein wesentlicher Teil des gesamten unternehmerischen Steuerungsprozesses entstehen.
Mitarbeiter als Schlüssel zum Erfolg
Trotz aller Lösungen und Prozessbeschreibungen steht und fällt ein IKS mit den eigenen Mitarbeitern. Sie sind der Schlüssel zum Erfolg einer IKS-Einführung und des späteren Regelbetriebs. An diesem Punkt müssen die Entscheidungsträger mit gutem Beispiel vorangehen, als Vorbild dienen und einen entsprechenden Wertekodex vorleben sowie Anreizsysteme bieten. In diesem Sinne steht eine gelebte Unternehmens- und Risikokultur im Mittelpunkt. Diese zu initiieren ist Kernaufgabe der Führungskräfte. Und hierzu gehören eine klare Kommunikation sowie ein eindeutiger Informationsfluss, unternehmensintern und im externen Kontakt mit Kunden oder Partnern. Entscheidend ist, dass jedes Unternehmen seinen eigenen Weg einer guten Kommunikation finden muss, um die speziellen Bedürfnisse, Feinheiten und Ausprägungen der eigenen Organisation zu berücksichtigen. Generell müssen alle Mitarbeiter frühzeitig in den Kommunikationsprozess eingebunden werden. Vor allem, um sie über die Bedeutung und Ziele eines IKS für die Gesamtorganisation aufzuklären sowie Prozesse und Verantwortlichkeiten festzulegen.
In diesem Kontext sollte ein besonderes Augenmerk auf den einzelnen Mitarbeiter gelegt werden – als Teil der Unternehmenskultur. Diesen Wert müssen Vorgesetzte ihren Mitarbeitern vermitteln. Was zählt, sind Kollegen und ihre Wertschätzung. Mit anderen Worten: Die Mitarbeiter ernst nehmen und ihnen das ehrliche Gefühl geben, dass sie ein vertrauensvoller und wichtiger Teil der Organisation sind. Trifft dies zu, bekommen Mitarbeiter ein Gefühl von Achtung und sind offen für Neues. In Kombination mit einer einfach zu bedienenden IKS-Lösung, regelmäßigen Schulungsmaßnahmen und Awareness-Programmen sind Unternehmen auf dem richtigen Weg zu einem erfolgreichen IKS-Einsatz. Und an dieser Stelle haben viele Unternehmen Nachholbedarf. Der "Chancen-/Risiko-Radar 2013" kommt beispielsweise zu dem Ergebnis, dass die Mehrheit der befragten Unternehmen die interne Kommunikation verbessern muss. Nur so kommt die jeweilige Organisation zu einer gelebten Risikokultur, die am Ende von allen Mitarbeitern verstanden, unterstützt und mitgetragen wird. Gelingt das in Verbindung mit einer stärkeren Ausrichtung auf zukunftsweisende Methoden, reift eine zukunftsweisende risiko- und chancenorientierte Unternehmenssteuerung heran.
Experten raten zudem, auf einen hohen Reifegrad der Prozesse zu achten. Aus diesem Grund sind Programme zur Verbesserung der Prozessqualität der richtige Weg – quer durch alle Hierarchiestufen und Unternehmensbereiche. Im Umkehrschluss heißt das: Organisationen müssen sich aktiv um wirkungsvolle Mechanismen im gesamten IKS-Prozess und letztendlich dem Risikomanagement bemühen. Hierzu gehört auch, Strukturen sowie Compliance- und Kontroll-Richtlinien regelmäßig zu hinterfragen und gegebenenfalls neu zu justieren. Im Sinne eines erfolgreichen und zugleich zukunftsweisenden IKS-Einsatzes in der gesamten Organisation besteht bei vielen Unternehmen Nachholbedarf. Gleichzeitig ist es eine Chance, die Unternehmensspitze mit einem neuen, mehrwerterzeugenden IKS auszustatten.