Abkürzungsverzeichnis
Abbildungsverzeichnis
1. Einleitung
2. Entwicklung und Aufgaben des internen Kontrollsystems
2.1. Pflichten und Haftung der Geschäftsführer
2.2. Funktionsweise des internen Kontrollsystems
2.3. Definition und Entwicklung des internen Kontrollsystems
2.3.1. Das interne Kontrollsystem
2.3.2. Compliance
2.3.3. Insolvenzrechts-Änderungsgesetz
2.3.4. Unternehmensrechts-Änderungsgesetz
2.4. Internationale Gesetze und Ausprägungen des internen Kontrollsystems
2.4.1. Bilanzrechtsmodernisierungsgesetz
2.4.2. Sarbanes-Oxley-Act
3. Das COSO-Modell als Grundlage für ein effektives internes Kontrollsystem
3.1. Funktionsweise des COSO-Modells
3.2. Entwicklung des COSO-Modells
3.2.1. COSO I
3.2.2. COSO II
3.2.3. Ausblick COSO neu
3.3. COSO-Würfel
3.4. Kontrollarten und deren Kategorisierung
4. Implementierung des internen Kontrollsystems und Überprüfung der Wirksamkeit
4.1. Wesentliche Bestandteile des internen Kontrollsystems und dessen Effektivität
4.1.1. Vieraugenprinzip
4.1.2. Funktionstrennung
4.1.3. Berechtigungssystematik
4.1.4. Dokumentation
4.1.5. Standardisierung der Prozessabläufe
4.1.6. Checkliste zur Beurteilung der Wirksamkeit des IKS
4.2. Mitarbeiter als Erfolgsfaktor
4.3. EDV-Absicherung und Überprüfung der automatischen Kontrollen
4.4. Interne Revision
4.5. Vorteile eines effektiven IKS
5. Zusammenfassung
Literatur- und Quellenverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: COSO-Würfel 10
Das interne Kontrollsystem, kurz IKS genannt, stellt ein wichtiges Werkzeug der Unternehmensführung dar. Bei der Implementierung handelt es sich um eine gesetzliche Verpflichtung gemäß § 22 GmbHG. Durch diese gesetzliche Bestimmung müssen sich Geschäftsführer wichtigen Fragen stellen, da die Einrichtung dieses Systems in deren Aufgabenbereich liegt. Das Thema ist besonders heikel, da Geschäftsführer in die Haftung genommen werden können, wenn das interne Kontrollsystem erhebliche Schwachstellen aufweist.
Das Ziel dieser Arbeit ist es, Geschäftsführern einer GmbH Werkzeuge zur Umsetzung eines wirksamen internen Kontrollsystems zu liefern. Um dieses Ziel zu erreichen, wird auf das COSO-Modell und auf dessen Implementierung besonderes Augenmerk gelegt.
Das COSO-Modell umfasst alle Teilbereiche des Unternehmens, dadurch haben Geschäftsführer die Möglichkeit, die beste Lösung flexibel auf jeden Prozess anzupassen und umzusetzen.
Aufgrund dieser Zielsetzung ergeben sich folgende Forschungsfragen:
- Welche Voraussetzungen für das interne Kontrollsystem gemäß GmbHG gibt es?
- Welche sind die Schlüsselfaktoren eines effektiven internen Kontrollsystems?
- Was versteht man unter COSO, und wie kann dieses Modell eingesetzt werden?
- Woran kann die Wirksamkeit eines internen Kontrollsystems gemessen werden?
Die wissenschaftliche Methode besteht ausschließlich aus Literaturrecherche.
Der Aufbau der Arbeit sieht folgendermaßen aus:
Im ersten Kapitel werden die gesetzlichen Vorgaben beleuchtet, die zu einem internen Kontrollsystem verpflichten. Es wird auch über die Grenzen Österreichs hinaus auf Vorschriften und Modelle aus Deutschland und den USA eingegangen.
Um die Inhalte des internen Kontrollsystems zu präzisieren, wird im zweiten Kapitel das COSO-Modell aufgegriffen. Dieses zeigt, wie führende Wirtschaftsprüfungskanzleien interne Kontrollsysteme überprüfen und wie Unternehmen diese umsetzen sollten.
Im letzten Kapitel wird die tatsächliche Implementierung herangezogen. Dabei werden die essentiellen Punkte eines wirksamen internen Kontrollsystems erörtert.
Gemäß § 25 Abs. 1 iVm § 43 GmbHG hat der Geschäftsführer in seiner Rolle die Sorgfalt eines ordentlichen Geschäftsmannes im laufenden Betrieb zu erbringen (vgl. Mandl 1997, S. 358). Wenn mehrere Geschäftsführer vorhanden sind, so trifft jeden die Überwachungspflicht des jeweils anderen (vgl. Winter et al 2013, S. 154 − 155). Wird kein wirksames IKS durch die Geschäftsführung umgesetzt, stellt das eine Verletzung der Sorgfaltspflichten dar, und es kann zu privatrechtlichen und strafrechtlichen Folgen kommen (vgl. Winter et al 2012, S. 98).
Nach § 25 Abs. 2 GmbHG haften die Geschäftsführer für ihr fahrlässiges Handeln, egal ob dieses selbst oder von anderen Geschäftsführern verschuldet wurde (vgl. Winter et al 2013, S. 156). Jeder Geschäftsführer hat die Pflicht einzuschreiten, wenn eine Pflichtverletzung eines anderen Geschäftsführers vorliegt (vgl. Winter et al 2013, S. 156).
Gemäß § 22 GmbHG sind die Geschäftsführer verpflichtet, ein Rechnungswesen gemeinsam mit einem funktionierenden internen Kontrollsystem zu führen (vgl. 2013, S. 13). Das IKS muss mit den Anforderungen des Betriebes abgestimmt und an diese angepasst werden (vgl. Institut für Interne Revision Österreich 2009, S. 16).
Die Geschäftsführer haben den Jahresabschluss nach den Grundsätzen der ordnungsgemäßen Buchführung aufzustellen und dem Wirtschaftsprüfer zu übergeben (vgl. Winter et al 2013, S. 154 − 155). Die ordnungsgemäße Buchführung beinhaltet Grundsätze, wie zum Beispiel, den Grundsatz der Vollständigkeit, den Grundsatz der Klarheit und keine Buchung ohne Beleg (vgl. Burger/Schmelter 2012, S. 58 −59).
Für falsche Tatsachen, die zum Jahresabschluss bestanden haben, die nicht aus dem Jahresabschluss ersichtlich sind und die die Geschäftsführer verschweigen, besteht eine Haftung für fünf Jahre (vgl. Winter et al 2013, S. 155 − 156). Diese Haftung der Geschäftsführer besteht gegenüber der GmbH (vgl. Winter et al 2013, S. 155 − 156).
Es müssen folgende Teilbereiche des Rechnungswesens durch die Geschäftsführung abgedeckt werden (vgl. Mandl 1997, S. 358):
- Buchführungspflicht
- Berichtspflicht
- Verlustanzeigepflicht gemäß § 36 Abs. 2 GmbHG
- Informations- und Kontrollpflicht gemeinsam mit dem Management Accounting
Die Buchführungspflicht wurde bereits oben erläutert. Grundsätzlich besteht die Pflicht zur Einrichtung eines Aufsichtsrates nur bei großen GmbHs (§ 29 Abs. 1 GmbHG). Durch die Berichtspflicht trifft die Geschäftsführung die Notwendigkeit gemäß § 28a Abs. 1 GmbHG, den Aufsichtsrat über die zukünftige Entwicklung des Unternehmens und die Auswirkungen auf die Vermögens-, Finanz- und Ertragslage quartalsmäßig zu informieren (vgl. Stiegler 2003, S. 251). Dies muss im Zuge einer Vorschaurechnung mindestens einmal jährlich erfolgen (vgl. Mandl 1997, S. 358 − 359). Weiters muss vierteljährlich an den Aufsichtsrat die tatsächliche Entwicklung im Vergleich zur Vorschaurechnung berichtet werden (vgl. Mandl 1997, S. 359). Unter einer Vorschaurechnung versteht man Plan-Bilanz, Plan-Gewinn- und Verlustrechnung und Plan-Geldflussrechnung (vgl. Mandl 1997, S. 359).
Die Geschäftsführung hat die Verlustanzeigepflicht unverzüglich durchzuführen, wenn die Unternehmensreorganisationskennzahlen von einer geringeren Eigenmittelquote als 8 % und eine fiktive Schuldentilgungsdauer von mehr als 15 Jahre ausweist (vgl. Mandl 1997, S. 360).
Hauptziele des internen Kontrollsystems sind: Vermögen zu sichern, die Korrektheit der Daten zu gewährleisten und den lückenlosen Geschäftsbetrieb zu ermöglichen (vgl. Winter et al 2013, S. 154). Es soll aber auch die Leistungsfähigkeit des Unternehmens gefördert werden (vgl. Kobierski 1999, S. 282). Durch das IKS sollen interne Risiken im Unternehmen verhindert werden (vgl. Egarter 2007, S. 433).
Die Aufzeichnung der betrieblichen Vorgänge soll zeitlich chronologisch erfasst werden (vgl. Heiss 2013, S. 12). Weiters sollen die gesetzlichen Vorgaben erfüllt werden (vgl. Heiss 2013, S. 12). Das kann nur erfolgreich erreicht werden, wenn das interne Kontrollsystem an die Geschäftsvorgänge angepasst ist und vor Ablauf der Prozesse bereits Schritte getroffen wurden, um Fehler zu vermeiden bzw. auszuschalten (vgl. Winter et al 2013, S. 154). Das IKS zeigt bei der Beurteilung der Wirksamkeit Differenzen zwischen Soll- und Ist-Zuständen auf und ermöglicht die Beseitigungen dieser Ineffizienzen (vgl. Mandl 1997, S. 360).
Die Geschäftsführung muss das IKS so auslegen, damit die Unternehmensziele erreicht werden (vgl. Burger/Schmelter 2012, S. 83). Daher müssen Grundsätze festgelegt und Prozesse an die Unternehmensform angepasst werden (vgl. Burger/Schmelter 2012, S. 83). Durch das interne Kontrollsystem soll die Richtigkeit und Vollständigkeit von Unternehmensprozessen gewährleistet werden (vgl. Winter et al 2013, S. 154).
Man unterscheitet zwischen prozessintegrierten und prozessunabhängigen Überwachungsmaßnahmen (vgl. Hauer 2012, S. 54). Kontrollen stellen prozessintegrierte Maßnahmen dar, da sie Teil der täglichen Prozessabläufe sind (vgl. Burger/Schmelter 2012, S. 84). Diese sollen sicherstellen, dass die Abläufe richtig und sauber ablaufen und Unregelmäßigkeiten verhindert werden (vgl. Burger/Schmelter 2012, S. 85). Die interne Revision übernimmt die prozessunabhängigen Überwachungsmaßnahmen und stellt durch ihre Unabhängigkeit sicher, dass die Vorgänge im Unternehmen korrekt ablaufen (vgl. Hauer 2012, S. 54).
Das IKS wird als Überwachungssystem angesehen und unterliegt dabei mehreren Stufen im Unternehmen (vgl. Burger/Schmelter 2012, S. 68).
Die oberste Stufe sind die Leitlinien, welche die mittel- und langfristigen Ziele beinhalten (vgl. Burger/Schmelter 2012, S. 69). Der Code of Conduct, Fairness im globalen Wettbewerb, Führungskultur, Bekämpfung der Korruption usw. sind nur einige Punkte, die die Leitlinien verkörpern (vgl. Burger/Schmelter 2012, S. 70).
Die mittlere Linie stellt die Organisationsrichtlinien dar, welche Genehmigungsprozesse, Reisekostenrichtlinien und Funktionstrennungen innerhalb des Unternehmens vornehmen (vgl. Burger/Schmelter 2012, S. 72). Die Linie unterstützt die operativen Bereiche und meldet Ergebnisse an den Aufsichtsrat (vgl. Hauer 2012, S. 54).
Die dritte Stufe umfasst Arbeitsanweisungen, die die Arbeitsprozesse der einzelnen Mitarbeiter laut Stellenbeschreibung präzisieren und Mindeststandards enthalten (vgl. Burger/Schmelter 2012, S. 73). Es werden zum Beispiel Bestellprozesse und Zahlungsvorgehensweisen festgelegt und standardisiert (vgl. Burger/Schmelter 2012, S. 73).
Das IKS hat in den letzten Jahrzehnten immer mehr an Bedeutung gewonnen. Ausschlaggebend waren Skandale in den Unternehmen wie Enron, WorldCom und Siemens die durch gravierende Mängel der Überwachung des Unternehmens ausgelöst wurden (vgl. Seyfried 2013, S. 41). Oft lagen die Schwächen in der Funktionstrennung, Kontrollumsetzung und IT (vgl. Cerne-Stark 2013, S. 1).
Ein effektives IKS beugt Betrugsfällen vor, ermöglicht der Geschäftsführung früher auf Risiken zu reagieren und deckt betriebswirtschaftliche Ineffizienzen auf (vgl. Winter et al 2012, S. 97). Das bedeutet auch, dass für Bilanzierungszwecke unter Umständen eine Kostenrechnung verpflichtend zu führen ist (vgl. Manfreda 1999, S. 272). Ein Anwendungsfall ist die langfristige Auftragsfertigung, bei der eine verlässliche Kostenrechnung Voraussetzung ist, um angemessene Verwaltungs- und Vertriebskosten in den Auftrag einzurechnen (§ 206 Abs. 3 UGB). Die Geschäftsführung hat somit auch dafür zu sorgen, dass fachlich qualifiziertes Personal eingestellt wird und die Sicherheit der IT gewährleistet ist (vgl. Hausmaninger/Gratzl/Justich 2013, S. 539).
International wird oft der Begriff „Internal Control“ für IKS verwendet (vgl. Burger/Schmelter 2012, S. 83). „Control“ steht für steuern und kontrollieren (vgl. Lutz 2004, S. 122). Das IKS soll aber auch unterstützen, um die Unternehmensziele zu erreichen (vgl. Sommer 2010, S. 20).
Erstmals wurde „Internal Control“ vom „American Institute of Accountants“ im Jahr 1949 definiert (vgl. Lutz 2004, S. 122). Im Laufe der Zeit gab es immer wieder Anpassungen und Neuauflagen. COSO gilt dabei als eines der erfolgreichsten Modelle weltweit und kommt deshalb am öftesten zum Einsatz (vgl. Lutz 2004, S. 123). In Österreich war besonders das IRÄG ausschlaggebend zur verpflichtenden Umsetzung des IKS in Unternehmen (vgl. Mandl 1997, S. 356).
Das IKS erfüllt Schutzfunktionen, die durch vorbeugende Maßnahmen umgesetzt werden (vgl. Mandl 1997, S. 360). Es muss aber auch festgestellt werden, dass es für ein wirksames IKS keine Patentlösung gibt, sondern immer eine Anpassung an die Gegebenheiten des Unternehmens vorgenommen werden muss (vgl. Nayer/Reimoser/Wurzer 2010, S. 124). Wie im Kapitel 3 erläutert wird, zeigt das COSO-Modell Anhaltspunkte zur Umsetzung eines wirksamen IKS (vgl. Nayer/Reimoser/Wurzer 2010, S. 124).
Oft wird im Zusammenhang mit IKS der Begriff „Compliance“ verwendet (Menzies 2006, S. 350). Ziel von Compliance-Richtlinien ist es, die Regelkonformität der Abläufe in einem Unternehmen sicherzustellen und dessen Mitarbeiter in Einklang mit der Unternehmensphilosophie zu bringen (vgl. Burger/Schmelter 2012, S. 125). Die wichtigsten Begriffe des Compliance sind Nachhaltigkeit, Unternehmensethik und risikoorientiertes Handeln (Menzies 2006, S. 63).
Compliance übernimmt somit einen Teilbereich des IKS, nämlich den der gesetzlichen Vorgaben und des Risikomanagements (vgl. Chuprunov 2012, S. 42). Es soll von Beginn an vorgebeugt werden, Schmiergeldskandale und ähnliche Betrugsszenarien zu verhindern (vgl. Depré 2011, S. 10). Gleichzeitig soll aber auch das Vorhandensein eines Compliance-Konzepts eine positive Marketingwirkung auf Kunden und Lieferanten haben (vgl. Depré 2011, S. 12).
Das Insolvenzrechts-Änderungsgesetz, kurz IRÄG, wurde 1997 verabschiedet (vgl. Mair 2010, S. 167). Die Geschäftsführer einer GmbH werden im Zuge dessen verpflichtet, ein IKS, das den Anforderungen des Unternehmens entspricht, einzurichten (vgl. Heiss 2013, S. 12). Dies soll den Grundstein für eine geringere Anzahl an Unternehmensinsolvenzen legen und den Gläubigerschutz verbessern (vgl. Heiss 2013, S. 12). Andererseits soll das IKS der Geschäftsführung Informationen zur Umsetzung ihrer Sorgfalts- und Überwachungspflichten bereitstellen (vgl. Manfreda, S. 272).
Vor Einführung des IRÄG konzentrierten sich die Rechnungslegungsvorschriften nur auf die Buchführung (vgl. Mandl 1997, S. 356). Die Buchführung (externes Rechnungswesen) beinhaltete den Jahresabschluss, unter dem die Bilanz, die Gewinn- und Verlustrechnung und der Anhang verstanden werden (vgl. Mandl 1997, S. 357). Die Planungsrechnung, welche früher zur Kostenrechnung zählte, wurde jedoch durch das IRÄG Bestandteil des externen Rechnungswesens (vgl. Mandl 1997, S. 358). So müssen auch Plan-Ist-Vergleichsrechnungen vom Management geführt werden (vgl. Mandl 1997, S. 358). Allerdings gibt der Gesetzgeber keine Detailinformationen über die Umsetzung eines IKS und verweist im § 22 GmbHG nur auf die Anpassung an die Anforderungen des Unternehmens (vgl. Winter et al 2012, S. 98).
Das Unternehmensrechts-Änderungsgesetz (URÄG) hat Veränderungen im Bereich der aufsichtsratspflichtigen Unternehmen gebracht. Erstmals ist die Unternehmensführung verpflichtet das IKS auch ausreichend zu dokumentierten (vgl. Schultz 2010, S. 340). Aufsichtsräte haften bereits bei leicht fahrlässiger Pflichtverletzung in Zusammenhang mit der Aufsicht des Unternehmens (vgl. Kobierski 1999, S. 282).
Gemäß § 30g Abs 4a GmbHG iVm § 271a Abs. 1 UGB hat der Aufsichtsrat einen Prüfungsausschuss zu implementieren (vgl. Institut für Interne Revision Österreich 2009, S. 14). Zu den Pflichten des Prüfungsausschusses zählen neben der Überprüfung der Vollständigkeit und Richtigkeit des Jahresabschlusses auch die richtige Umsetzung von Gesetzen (vgl. Heiss 2013, S. 12). Der Prüfungsausschuss hat auch zu prüfen, ob die Bilanzierungs- und Bewertungsmethoden korrekt umgesetzt wurden (vgl. Balzar 2008, S. 7). Die Wirksamkeit des IKS sowie die Überwachung des Jahresabschlusses zählen ebenfalls zu den Aufgaben des Prüfungsausschusses (vgl. Reisenhofer 2011, S. 28). Der Ausschuss muss zweimal jährlich gemeinsam mit dem Aufsichtsrat eine Sitzung abhalten (vgl. Haudum 2010, S. 45). Wichtig ist auch die Umsetzung der strategischen Ziele im Zuge des ERM (vgl. Heiss 2013, S. 12). ERM wird noch im Kapitel 3.2.2 näher behandelt.
Nach § 237 Z 8b UGB müssen Unternehmensgeschäfte mit dem Unternehmen und nahestehenden Personen im Anhang vermerkt werden (vgl. Haudum 2010, S. 18). So soll sichergestellt werden, dass keine marktunüblichen Geschäfte, besonders mit Geschäftsführern und verbundenen Unternehmen, zustande kommen bzw. wenn doch, diese leicht aufgedeckt werden können.
Gemäß § 270 UGB hat der Abschlussprüfer ein angemessenes Entgelt zu erhalten, damit die Unabhängigkeit gewahrt bleibt (vgl. Rebhan 2012, S. 31). Weiters darf der Abschlussprüfer gemäß § 271c UGB bis zwei Jahre nach Unterzeichnung des Bestätigungsvermerks kein Organmandat oder eine leitende Funktion im geprüften Unternehmen einnehmen (vgl. Rebhan 2012, S. 31). So wird sichergestellt, dass es zu keinen Kompetenzüberschreitungen kommt und der Wirtschaftsprüfer seine Souveränität wahrt.
Durch § 273 UGB hat der Prüfer Redepflicht auszuüben, wenn das IKS essentielle Schwächen aufweist und dadurch die Vollständigkeit des Jahresabschlusses nicht festgestellt werden kann (vgl. Hauer 2012, S. 53).
Das Bilanzierungsrechtsmodernisierungsgesetz (BilMoG) ist in Deutschland 2009 in Kraft getreten (vgl. Hofem 2010, S. 17). Grundlage für das BilMoG ist die 8. EU-Richtlinie, die besagt, dass ein Unternehmen des öffentlichen Interesses einen Prüfungsausschuss umsetzen muss (vgl. Kessler 2009, S. 727). Das IKS beschränkt sich dabei nicht nur auf die Unternehmensrechnungslegung, sondern betrachtet alle Unternehmensprozesse als Ganzes (vgl. Bungartz 2011, S. 39).
Dieses Gesetz sieht vor, dass über das IKS in Zukunft Dokumentation geführt werden muss (vgl. Buderath et al 2010, S. 15). Konkrete Umsetzungsschritte für ein wirksames IKS werden aber nicht erwähnt, wodurch das COSO-Modell laut Wirtschaftsprüfungsgesellschaften anzuwenden ist (vgl. Burger/Schmelter 2012, S. 62). Das COSO-Modell wird noch im Kapitel 3 detailliert erläutert.
Das BilMoG gilt als bedeutender Schritt in die Modernisierung des deutschen Handelsgesetzbuches (vgl. Fülbier 2010, S. 65).
Der Sarbanes-Oxley-Act, kurz SOX, wurde aufgrund von Wirtschaftskriminalitätsfällen in den USA im Jahr 2002 erlassen (vgl. Menzies 2006, S. 15). Ziel war es, das Vertrauen der Anleger nach den Bilanzskandalen wieder zurückzugewinnen (vgl. Schultz 2010, S. 339). SOX darf mit dem österreichischen IKS nicht auf eine Stufe gestellt werden und wird daher oft als internes Überwachungssystem bezeichnet und nicht als Kontrollsystem (vgl. Bungartz/Henke, S. 23). Es muss festgehalten werden, dass SOX über den Anforderungen des IKS in der Umsetzung des URÄG liegt (vgl. Schultz 2010, S. 340).
Anzuwenden ist der SOX von allen börsennotierten US-Unternehmen (vgl. Institut für Interne Revision Österreich 2006, S. 22). Beim SOX handelt es sich um ein Bundesgesetz, welches aufgestellt wurde, um die Richtigkeit von Unternehmensfinanzdaten sicherzustellen (vgl. Burger/Schmelter 2012, S. 66).
Das Management hat dafür zu sorgen, dass das IKS funktioniert und ausreichend dokumentiert ist (vgl. Schultz 2010, S. 340). Das bloße Vorhandensein eines IKS erfüllt die Vorgaben des SOX nicht (vgl. Preisitz/Pieslinger 2005, S. 371).
Ausschlaggebend für die gesetzliche Verschärfung war der Enron-Skandal. Gerade in diesem Fall wurde im Nachhinein festgestellt, dass unter anderem, aufgrund gravierender Mängel im IKS, ein Betrug dieses Ausmaßes möglich war (vgl. Burger/Schmelter 2012, S. 2). Dieser Fakt wurde auch in einer KPMG-Analyse aus dem Jahr 2011 bestätigt, bei der sich herausstellte, dass 74% der Betrugsfälle auf ein fehlerhaftes IKS zurückzuführen sind (vgl. Burger/Schmelter 2012, S. 40).
Gemäß Section 404 des SOX muss die Wirksamkeit des IKS jährlich durch die Geschäftsführung überprüft und zusätzlich vom Wirtschaftsprüfer bewertet werden (vgl. Brünger 2009, S. 18). Die Geschäftsführung und leitende Rechnungswesenverantwortliche bestätigen dabei, dass sie die internen Kontrollen getestet haben und dass diese einwandfrei arbeiten (vgl. Lutz 2004, S. 123). Wird im Zuge einer Prüfung eine wesentliche Schwäche im IKS festgestellt, so gilt das gesamte IKS als unwirksam (vgl. Lutz 2004, S. 124). SOX stellt auch fest, dass bei essentieller Änderung des IKS dieses viermal im Jahr kontrolliert werden muss (vgl. Lutz 2004, S. 124)
Im SOX wird das COSO-Modell tatsächlich nicht als Basis für das IKS verlangt, allerdings schreibt die US-Börsenaufsicht (SEC) ein anerkanntes System vor und schlägt gleichzeitig COSO vor (vgl. Menzies 2006, S. 22). Daher gilt COSO als Vorbild für die effektive Implementierung des IKS (vgl. Burger/Schmelter 2012, S. 68).
Das COSO-Modell ist grundsätzlich für das gesamte Unternehmen anzuwenden und nicht, wie oft dargestellt, nur für den Finanz- und Rechnungswesenbereich (vgl. Burger/Schmelter 2012, S. 105).
COSO besteht aus drei Abwehr-Stufen. Die Erste setzt sich aus dem IKS und dem operativen Management zusammen (vgl. Burger/Schmelter 2012, S. 105). Es greifen prozessorientierte Kontrollen ein, die falsche bzw. nicht genehmigte Transaktionen verhindern sollen (vgl. Burger/Schmelter 2012, S. 105).
Im zweiten Schritt greift das Rechnungswesen gemeinsam mit dem Controlling sowie das Risk-Management ein und bildet eine „Verteidigungslinie“ zur Verhinderung von Fehlbuchungen (vgl. Burger/Schmelter 2012, S. 105).
Die dritte Stufe besteht aus der internen Revision und dem Wirtschaftsprüfer, die Fehler aufdecken und die Geschäftsführung auf IKS-Schwächen aufmerksam machen (vgl. Burger/Schmelter 2012, S. 105).
[...]
