Die Einrichtung eines Internen Kontrollsystems bei kleinen und mittelständischen Unternehmen

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung und Vorgehensweise der Arbeit

2 Grundlagen
2.1 Das Interne Kontrollsystem (IKS)
2.2 Kleine und mittelständische Unternehmen (KMU)
2.3 Das COSO- Komitee
2.3.1 COSO I “Internal Control - Integrated Framework”
2.3.2 COSO II “ERM - Integrated Framework“

3 Der COSO SME-Report (COSO III)
3.1 Einführung
3.2 Kontrollumfeld (Control Environment)
3.2.1 Bewertung
3.2.2 Beispielhafte Kontrollen
3.3 Risikobeurteilung (Risk Assessment)
3.3.1 Bewertung
3.3.2 Beispielhafte Kontrollen
3.4 Kontrollaktivitäten (Control Activities)
3.4.1 Bewertung
3.4.2 Beispielhafte Kontrollen
3.5 Information & Kommunikation (Information & Communication)
3.5.1 Bewertung
3.5.2 Beispielhafte Kontrollen
3.6 Überwachung (Monitoring)
3.6.1 Bewertung
3.6.2 Beispielhafte Kontrollen

4 Fazit
4.1 Zusammenfassung & Ausblick
4.2 Beispielhaftes IKS für KMU

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Der COSO-Würfel nach COSO I

Abbildung 2: Der COSO-Würfel nach COSO II

Abbildung 3: Vergleich der Komponenten nach COSO I & II

Abbildung 4: Prinzipien und Merkmale des Kontrollumfelds

Abbildung 5: Beispielhafte interne Kontrollen des Kontrollumfelds

Abbildung 6: Prinzipien und Merkmale der Risikobeurteilung

Abbildung 7: Beispiel eines Geschäftsprozesses - hier Verkauf

Abbildung 8: Risikobeurteilungsmatrix

Abbildung 9: Beispielhafte interne Kontrollen der Risikobeurteilung

Abbildung 10: Prinzipien und Merkmale der Kontrollaktivitäten

Abbildung 11: Beispielhafte interne Kontrollaktivitäten

Abbildung 12: Prinzipien und Merkmale der Information & Kommunikation

Abbildung 13: Beispielhafte interne Kontrollen der Information & Kommunikation

Abbildung 14: Prinzipien und Merkmale zur Überwachung der internen Kontrollen

Abbildung 15: Beispielhafte interne Kontrollen der Überwachung

Abbildung 16: Beispielhaftes Internes Kontrollsystem für KMU

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Problemstellung

Wegen der US-amerikanischen Entwicklungen post Enron, WorldCom & Co, haben Interne Kontrollsysteme als Bestandteil guter Corporate Governance¹ zunehmend an Bedeutung gewonnen.

Die Bilanzskandale von Enron, WorldCom & Co. haben in den vergangenen Jahren das Ver- trauen der Anleger in den US-amerikanischen Kapitalmarkt stark erschüttert. Es wurden Ver- luste bei Partnerfirmen versteckt, nicht realisierte Gewinne ausgewiesen und Verluste als Gewinne deklariert. Der wohl dramatischste Unternehmensbankrott der US-Wirtschaft war das Insolvenzverfahren des Telekommunikationsanbieters WorldCom Corp., der Verluste über Falschbuchungen in Gewinne verwandelte und Schulden von mehr als 30 Milliarden US-Dollar hinterließ. Besonders die Verlässlichkeit der Überwachung ns der Abschluss- prüfer geriet zunehmend in die Kritik, hätten diese die Manipulationen doch spätestens im Rahmen der Abschlussprüfung entdecken müssen. In den Fällen von WorldCom und Enron gipfelte das Ausmaß der fehlenden beruflichen Verlässlichkeit ns der Abschlussprüfer sogar durch direkte Teilnahme an den Verschleierungsprozessen und Manipulationen. Um das Vertrauen der Anleger in die Richtigkeit der veröffentlichten Finanzberichte wieder her- zustellen, verabschiedete die US-Regierung am 30. Juli 2002 den Sarbanes-Oxley Act (SOX), einem Gesetz zur Verbesserung der Unternehmensberichterstattung.² Das Gesetz fokussiert dabei die Selbstregulierung der Wirtschaftsprüfer und die Einhaltung von Corpora- te Governance-Richtlinien. Dies wird u.a. durch die Vorschrift zur Schaffung des PCAOB³, sowie durch überarbeitete Vorschriften zur Unabhängigkeit der Wirtschaftsprüfer verfolgt. Das Gesetz ist für alle an der SEC⁴ gelisteten Unternehmen, einschließlich der Tochterge- sellschaften maßgebend. Damit betrifft es auch alle ausländischen⁵ an der SEC gelisteten Unternehmen sowie im Ausland ansässige Tochterunternehmen von SEC-registrierten Unternehmen.⁶ Eine Umgehung des Gesetzes ist nur dann möglich, wenn sich die Unternehmen von den amerikanischen Kapitalmärkten zurückziehen.⁷ Besonders die Regelungen der Section 404 (Management Assessment of Internal Control), die den größten Umsetzungsaufwand enthalten, müssen an dieser Stelle genauer betrachtet werden.

In der Section 404 regelt der SOX die Berichtspflicht über die Funktionsfähigkeit des internen Kontrollsystems (IKS), die verhindern soll, dass durch mangelhafte interne Kontrollen, fal- sche oder unzureichende Informationen Teil der Finanzberichterstattung werden und zu Fehlentscheidung der Investoren führen. Gem. der Section 404(a) muss jeder Jahresbericht der betroffenen Unternehmen einen Bericht über die Funktionsweise des Internen Kontroll- systems enthalten, der nach Section 404(b) im Rahmen der Abschlussprüfung vom Ab- schlussprüfer gesondert zu attestieren ist.⁸ Ursprünglich schätzte die SEC die Kosten zur Umsetzung dieser Anforderungen auf 91.000 US$ pro Unternehmen. Einer 2006 durchge- führte Studie⁹ der Financial Executives International, ein bedeutendes US-Wirtschaftsinstitut (u.a. Sponsor des COSO-Komitees), zufolge belaufen sich die durchschnittlichen Umset- zungskosten seit 2002 auf 4,36 Mio.US$ pro Unternehmen. D.h. der Umsetzungsaufwand ist beinahe 50-fach so hoch wie ursprünglich durch die SEC angenommen.¹⁰ Einer weiteren Untersuchung der New Yorker University of Rochester zufolge hatte der SOX im Februar 2005 bereits zu einer Verringerung der gesamten US-Marktkapitalisierung¹¹ i.H.v. 1,4 Billio- nen US$ geführt.¹² Diese Abnahme ist nicht zuletzt mit den Notierungslöschungen vieler US- amerikanischer Unternehmen von den US-Börsen zu erklären, die entweder den Kapital- markt durch Änderung der Rechtsform gänzlich umgehen¹³, oder sich an vergleichbaren Ka- pitalmärkten bedienen. So hatte z.B. die Londoner Börse (LSE) 2005 ein Rekordjahr für aus- ländische Notierungen zu verzeichnen.¹⁴ Besonders kleine und mittelständische Unterneh- men (KMU) sind von den Regelungen der Section 404 betroffen, zumal der zeitliche Auf- wand und die Kosten in keinem Verhältnis zum Nutzen stehen.¹⁵ Einer im April 2006 durch- geführte Untersuchung der US-Regierung (GAO) zufolge obliegen kleinen und mittelständi- schen Unternehmen im Durchschnitt Kosten von mehr als 1,4 Millionen US$.¹⁶ Diese Über- proportionalität der Kosten wird momentan verstärkt in den USA diskutiert und kann auch als Hauptproblem der US-Kapitalmärkte identifiziert werden. Wegen des weiten Regelkreises des Sarbanes-Oxley-Acts sehen sich allerdings auch europäische Unternehmen der gefor- derten Berichtspflicht über die Funktionsfähigkeit des Internen Kontrollsystems der Section 404 gegenüber.

Eine grundsätzliche Vorgabe, welches Rahmenwerk zum Einsatz oder zur Überprüfung an- zuwenden ist, existiert dabei nicht.¹⁷ Allerdings fordert der SOX, dass die Vergleichbarkeit und Qualität der Finanzberichte, die Unvoreingenommenheit, die qualitative und quantitative konstante Bewertung sowie die ausreichende und vollständige Erfassung aller relevanten Faktoren durch das Rahmenwerk gewährleistet werden. Dies ergänzt die SEC durch die Forderung, dass die Entwicklung des Rahmenwerkes innerhalb eines ordentlichen Verfah- rens erfolgt und Kommentarmöglichkeiten im Rahmen der Publizität (sog. Due Process) be- stehen.¹⁸

Das 1985 gegründete COSO-Komitee (siehe nähere Ausführungen unter Abschnitt 2.3 Das COSO-Komitee) veröffentlichte im Jahr 1994, als Reaktion einer Studie über betrügerische Finanzberichterstattungen, das Rahmenwerk „Internal Control - Integrated Framework“ (sie- he nähere Ausführungen unter Abschnitt 2.3.1 COSO I), das als erstes Rahmenwerk eine einheitliche Basis für Interne Kontrollsysteme lieferte. Dieses Rahmenwerk wurde dann durch das 2004 veröffentlichte COSO Rahmenwerk „Enterprise Risk Management - Integra- ted Framework“ um ein unternehmensweites Risikomanagement erweitert (siehe nähere Ausführungen unter Abschnitt 2.3.2 COSO II). Auf Grund des hohen Umsetzungsaufwands der Section 404 des Sarbanes-Oxley-Acts für kleine und mittelständische Unternehmen und einer Studie der Treadway Commission (Fraudulent Financial Reporting, veröffentlicht 1999), die zeigte, dass mehr als zwei Drittel der untersuchten Betrugsfälle (1987-1997) von kleinen und mittelständischen Unternehmen ausgingen¹⁹, entwickelt die Treadway Commission in Zusammenarbeit mit PricewaterhouseCoopers den Report „Internal Control over Financial Reporting - Guidance for Smaller Public Companies“, der am 11.07.2006 veröffentlicht wur- de und Hauptgegenstand dieser Arbeit ist (siehe nähere Ausführungen unter Kapitel 3 der COSO SME Report).

Die COSO-Rahmenwerke erfüllen die Voraussetzungen der SEC und des SOX und werden daher ns der SEC empfohlen.²⁰ Darüber hinaus wurde das COSO-Rahmenwerk aus 1994 bereits vor Verabschiedung des SOX als allgemeingültiges Rahmenwerk für Interne Kontrollsysteme akzeptiert²¹ und von der IFAC²² in den internationalen Prüfungsstandard ISA 400 „Risk Assessment and Internal Control“ übernommen. Auf Grund der Verpflichtung der nationalen Berufsverbände²³, die internationalen Prüfungsstandards (ISA) in nationale Prü- fungsstandards zu transferieren, wurde der ISA 400 durch das Institut der Wirtschaftsprüfer in den IDW PS 260 „Das Interne Kontrollsystem im Rahmen der Abschlussprüfung“ konver- tiert, der zukünftig durch den IDW PS 261 „Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Risiken“ (zurzeit IDW EPS 261²⁴ ), ersetzt wird.

Angesichts der Empfehlung der SEC, des bereits seit 1994 allgemeingültigen Verständnisses und der Adoption des COSO-Reports im ISA 400, bzw. im IDW PS 260 (IDW EPS 261), werden die COSO-Rahmenwerke mehrheitlich in den USA und Europa zur Umsetzung der Section 404 des Sarbanes-Oxley-Act angewandt.

1.2 Zielsetzung und Vorgehensweise der Arbeit

Zielsetzung der Arbeit ist die Untersuchung des COSO-SME-Reports (Internal Control over Financial Reporting - Guidance for Smaller Public Companies) und inwieweit dieser bei der Einrichtung eines Internen Kontrollsystems für kleine und mittelständische Unternehmen eine angemessene Relation zwischen Kosten und Nutzen berücksichtigt. Ergänzend verfolgt die Arbeit das Ziel, ein beispielhaftes Internes Kontrollsystem für kleine und mittelständische Unternehmen darzustellen, sowie die grundsätzlichen Kontrollmaßnahmen bzw. Verände- rungsmaßnahmen KMU zur Einrichtung eines wirksamen IKS nach COSO III zu identifizie- ren.

Inhaltlich werden zunächst die Grundlagen (Internes Kontrollsystem, kleine und mittelständi- sche Unternehmen, COSO-Komitee), und der ursprüngliche COSO-Report aus 1994 (CO- SO: Internal Control - Integrated Framework) vorgestellt. Basierend auf der Darstellung des COSO-Reports aus 1994 werden dann die Unterschiede bzw. Veränderungen des COSO- Reports aus 2004 (COSO: Enterprise Risk Management - Integrated Framework) erläutert. Das nachfolgende dritte Kapitel widmet sich dann dem COSO-Report aus 2006 (Internal Control over Financial Reporting - Guidance for Smaller Public Companies), indem die vor- geschlagenen Kontrollmaßnahmen pro Komponente detailliert beschrieben und analysiert werden. Die Analyse der Kosten- und Nutzenrelation erfolgt dabei auf Grundlage der typi- schen Gegebenheiten kleiner und mittelständischer Unternehmen, zumal der Arbeit kein konkretes Beispielunternehmen zugrunde liegt. D.h., sofern die vorgeschlagenen Kontroll- maßnahmen die typischen Charakteristika kleiner und mittelständischer Unternehmen be- rücksichtigen und diese in der Verfügungsmacht der Unternehmen stehen, kommt die Arbeit zu dem Urteil, dass die vorgeschlagenen Kontrollen ein angemessenes Verhältnis zwischen Kosten und Nutzen berücksichtigen. Darüber hinaus werden für jede Komponente beispiel- hafte Kontrollen illustriert, sodass abschließend ein beispielhaftes Internes Kontrollsystem für kleine und mittelständische Unternehmen dargestellt werden kann.

Die Ergebnisse der Analyse werden dann in Verbindung mit den aktuellen Entwicklungen der US-Wirtschaft in einem Fazit zusammengefasst und erläutert; auch wird ein beispielhaftes Internes Kontrollsystem für kleine und mittelständische Unternehmen illustriert. Darüber hin- aus werden abschließend, basierend auf dieser Illustration, die grundsätzlichen Kontroll- maßnahmen kleiner und mittelständischer Unternehmen zur Einrichtung eines solchen Sys- tems identifiziert.

2 Grundlagen

2.1 Das Interne Kontrollsystem (IKS)

In der Literatur existiert eine Vielzahl an Definitionen und Beschreibungen über das Interne Kontrollsystem.²⁵ Wie bereits in der Problemstellung geschildert, fordert der 2002 erlassene Sarbanes-Oxley-Act die Prüfung und Attestierung der Wirksamkeit des IKS durch den bestellten Abschlussprüfer.²⁶ Aus diesem Grund orientieren sich die folgenden Definitionen an den Auffassungen und Publikationen der Wirtschaftsprüfungsgesellschaften.

- „Bei der internen Kontrolle handelt es sich um die Gesamtheit aller vom Verwaltungs- rat und der Geschäftsleitung angeordneten Vorgänge, Methoden und Maßnahmen (Kontrollmaßnahmen), die dazu dienen, einen ordnungsgemäßen Ablauf des betrieblichen Geschehens sicherzustellen. Die organisatorischen Maßnahmen der internen Kontrolle sind in die Betriebsabläufe integriert, d.h., sie erfolgen arbeitsbegleitend o- der sind dem Arbeitsvollzug unmittelbar vor- oder nachgelagert.“²⁷
- „Ein Internes Kontrollsystem gewährleistet die Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit der internen Abläufe und bietet dem Management eine verlässliche Grundlage für dessen Entscheidungen.“²⁸
- „Ein IKS umfasst im Wesentlichen drei Elemente: organisatorische Massnahmen, Kontrollen durch das Management und organisatorische Hilfsmittel. Damit das IKS seine Wirkungen entfalten kann, muss eine Organisation entsprechende Kontrollmassnahmen etablieren.“²⁹
- “A company’s internal controls over financial reporting represent a process - imple- mented and monitored by an entity’s board of directors, management, and other per- sonnel - that relates to preparation of financial statements for external purposes that are fairly presented in conformity with generally accepted accounting principles. In- ternal controls over financial reporting generally include those policies and proce- dures enabling a company to properly initiate, record, process, and report financial data consistent with the assertions embodied in either the annual or interim financial statements.”³⁰
- “Internal control is a management tool, used to provide reasonable assurance that management objectives are being achieved.”³¹

Ziel und Aufgabe eines wirksamen Internen Kontrollsystems ist die Sicherstellung des ord- nungsgemäßen Ablaufs des betrieblichen Geschehens. Darüber hinaus wirkt es unterstüt- zend bei:

- „Der Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente Geschäftsführung (Corporate Governance)
- Der Einhaltung von Gesetzen und Vorschriften (Compliance)
- Dem Schutz des Geschäftsvermögens
- Der Verhinderung, Verminderung und Aufdeckung von Fehlern und Unregelmäßigkei- ten (Fraud & Error)
- Der Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung
- Der zeitgerechten und verlässlichen finanziellen Berichterstattung“³²

Nach Auffassung von Ernst & Young sollte noch die Steigerung der Effizienz und Wirksam- keit der Geschäfte (Prozesse) hinzugefügt werden, die durch den Einsatz eines wirksamen Interne Kontrollsystem optimiert und rationalisiert werden. Allerdings ist dieser Vorteil nur dann gegeben, wenn das Interne Kontrollsystem auch ganzheitlich in den Unternehmens- prozess integriert wird. Falls lediglich die Einhaltung der gesetzlichen Erfordernisse des Sar- banes-Oxley-Avts Zielvorgabe ist, dann könnte dieser Vorteil unter Umständen ausbleiben.³³

2.2 Kleine und mittelständische Unternehmen (KMU)

Nach Auffassung der EU-Kommission sind kleine und mittelständische Unternehmen solche die sich innerhalb gewisser Größenordnungen bewegen.³⁴ Auf Grund des weit reichenden Anwendungsbereiches des COSO-Reports aus 2006 beschreibt die Treadway Commission kleine und mittelständische Unternehmen als kleinere Unternehmen, denen folgende Charakteristika zugrunde liegen:

- Einfache, überschaubare Produktgruppe (Sortiment) und Produktion
- Dem Unternehmen obliegt eine geografisch begrenzte Konzentration, entweder bei der Produktion oder dem Vertrieb der Produkte/ Dienstleistungen
- Managemententscheidungen werden von Gründern bzw. von kleineren Eigentü- mergruppen dominiert
- Dem Management obliegt eine große Leitungsbreite (spans of control³⁵ )
- Weniger komplexe Transaktionen, Prozesse, Systeme und Sitzungsprotokolle
- Weniger Personal, sodass die Mitarbeiter dieser Unternehmen einen größeren Aufgaben- und Verantwortungsbereich innehaben
- Unternehmen mit einer Organisationsgröße (gemessen an den Erlösen, dem Per- sonal oder den Aktiva), die es erschwert, von „economies of scale“³⁶ zu profitieren

Ergänzend fügt die Treadway Commission hinzu, dass es nicht ausreichend sei, lediglich ein Charakteristikum zu erfüllen, da diese einzeln betrachtet nicht aussagekräftig genug sind, um ein kleines und mittelständisches Unternehmen zu definieren. Im Gegensatz dazu können sich auch durch zukünftiges Unternehmenswachstum Kostenvorteile (economies of scale) oder geringere Leistungsbreiten (spans of control) ergeben, sodass diese Charakteristika nicht zwingend zutreffen müssen.³⁷

2.3 Das COSO- Komitee

Das Committee of the Sponsoring Organizations of the Treadway Commission (kurz: COSO) ist eine gemeinsame, freiwillige Initiative privatwirtschaftlicher US- Wirtschaftsinstitute.³⁸ Ge- genstand der Treadway Commission (benannt nach dem Vorsitzenden James C. Treadway, Jr., ehemaliges Mitglied der SEC) ist die Determinierung von Ursachen und Faktoren, die zu einer betrügerischen Finanzberichterstattung führen können. Aus diesen Erkenntnissen wer- den dann Empfehlungen (Frameworks; Rahmenwerke) für kapitalmarktorientierte Unterneh- men, unabhängige Wirtschaftsprüfer, der SEC und für unterrichtende Institutionen entwi- ckelt.³⁹

2.3.1 COSO I “Internal Control - Integrated Framework”

Das 1985 gegründete COSO- Komitee führte 1987 eine Studie (Treadway Report; Fraud Report⁴⁰ ) über betrügerische Finanzberichterstattung US-amerikanischer Unternehmen durch, in der unwirksame Interne Kontrollsysteme als Problemfaktor identifiziert wurden.⁴¹ Grund für die Unwirksamkeit war das bis dato fehlende allgemein akzeptierte Verständnis interner Kontrollen und die fehlende Erkenntnis, dass ein IKS ein wesentlicher Bestandteil guter Corporate Governance ist.⁴²

Als Folge der Untersuchung entwickelte und veröffentlichte das COSO- Komitee in Zusammenarbeit mit Coopers & Lybrand (heute: PricewaterhouseCoopers) im Sep- tember 1992 den COSO Report „Internal Control - Integrated Framework (COSO I)“, der im Mai 1994 durch das Zusatzkapitel „Berichterstattung an externe Dritte“ erwei- tert wurde.⁴³ Der Report wendet sich an alle Unternehmen, unabhängig von Größe, Rechtsform und Kapitalmarktzugang.⁴⁴ Ziele und Aufgaben des COSO-Reports sind die Schaffung einer einheitlichen Definition, die Unterstützung hinsichtlich Aufbau und Evaluierung und die Darstellung der strukturellen Zusammenhänge Interner Kontroll- systeme, unter Berücksichtigung von Unternehmensrisiken.⁴⁵

Der Report ist in vier Teile untergliedert, wobei der erste Teil eine Zusammenfassung der Ergebnisse der Studie enthält (Executive Summary). Der zweite Teil ist das eben erwähnte Zusatzkapitel über die externe Berichterstattung aus 1994 (Reporting to Ex- ternal Parties), der dritte das eigentliche Rahmenwerk (Framework) und der vierte stellt Werkzeuge zur Evaluierung des Internen Kontrollsystems (Evaluation Tools) vor.

Besonders der dritte Teil (Framework) soll an dieser Stelle näher betrachtet werden, zumal sich dieser mit der Definition, den Zielen und den Komponenten eines Internen Kontrollsystems beschäftigt. Das Framework definiert die Interne Kontrolle als ein vom Management⁴⁶ eingeführter kontinuierlicher⁴⁷ Prozess, der hinreichende Sicherheit⁴⁸ hinsichtlich der Erreichung der Ziele eines Unternehmens sicherstellen soll.⁴⁹ Als Unternehmensziele definiert der COSO- Report drei Basis-Ziele, die von jeder Organisation/ Unternehmung, strategieunabhängig verfolgt werden.

Grundsätzliche Unternehmensziele (Objectives) nach COSO I:
- Die Sicherstellung von Effektivität und Effizienz der Geschäftstätigkeit (Ope- rations)
- Die Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der Finanzbe- richterstattung (Financial Reporting)
- Die Gewährleistung zur Einhaltung von relevanten Gesetzen und Vorschrif- ten (Compliance)⁵⁰

Der COSO-Report berücksichtigt als erstes Rahmenwerk den Einsatz eines Risiko- managements, wobei der Risikobegriff sehr breit formuliert ist, zumal jedes Hindernis, das die Erreichung der Basis-Ziele verhindert, ein Unternehmensrisiko darstellt. Durch interne Kontrollen sollen diese Hindernisse dann wirksam vermindert werden.⁵¹ Um dies zu gewährleisten, definiert der COSO-Report fünf in Wechselbeziehung zueinander stehende Komponenten eines Internen Kontrollsystems, die in alle Organisationseinheiten zu integrieren sind (siehe Abbildung 1).

Abbildung in dieser Leseprobe nicht enthalten

Die fünf Kontrollelemente sind aus zwei Dimensionen heraus zu betrachten. Innerhalb der ersten Dimension erstrecken sie sich über die einzelnen Organisationseinheiten, in der zweiten wirken sie, je nach Zielsetzung, auf Aspekte der operativen Geschäftstätigkeit, der Finanzberichterstattung und der Einhaltung von relevanten Gesetzen und Vorschriften. Nachfolgend werden die fünf Komponenten eines Internen Kontrollsystems nach COSO I erläutert:

Kontrollumfeld (Control Environment):

Unter Kontrollumfeld versteht man die Integrität, die ethischen Werte und die fachli- chen Kompetenzen innerhalb einer Organisation.⁵² Existieren Schwachstellen inner- halb dieser Komponente, könnten das Management oder die Mitarbeiter zu illegalen Handlungen ermutigt werden. Der Führungsstil des Managements, das Kontroll- und Verantwortungsbewusstsein der Mitarbeiter oder der interne Regelungsgrad der Pro- zesse durch entsprechende Anweisungen charakterisieren das Kontrollumfeld einer Organisation. D.h., mithilfe dieser Komponente wird die Bedeutung des IKS in einer Organisation bestimmt, und bildet die Grundlage für die anderen Kontrollprozesse bzw. Kontrollelemente.⁵³

Risikobeurteilung (Risk Assessment):

Wie bereits im Vorfeld angeführt sollen alle internen & externen Risiken, die die Or- ganisation an der Erreichung der Unternehmensziele hindern identifiziert, erfasst und bewertet werden. Dies ist Aufgabe der Risikobeurteilung, mit dem Ziel, Maßnahmen zur Vermeidung, Übertragung oder Reduzierung der Risiken zu ergreifen.⁵⁴ Die Risi- kobeurteilung bildet die Grundlage für Managemententscheidungen in Bezug auf identifizierte Risiken.⁵⁵ Darüber hinaus wird über diese Komponente bestimmt, welche Veränderungen in der Organisation und den Prozessen zur Risikobewältigung erfor- derlich sind.⁵⁶

Kontrollaktivitäten (Control Activities):

Die eigentlichen Maßnahmen zur Risikobewältigung bilden die Kontrollaktivitäten auf allen Organisationsebenen und haben daher unmittelbaren Einfluss auf die Verwirkli- chung der Unternehmensziele.⁵⁷ Kontrollaktivitäten bestehen aus Grundsätzen und Verfahren, wobei die Grundsätze die Aufgabe, und die Verfahren die Durchführung der jeweiligen Kontrolle definieren.⁵⁸ Sie können nach Kontrolltyp⁵⁹, Kontrollziel⁶⁰, manuellen und automatisierten⁶¹ Kontrollen unterschieden werden. Um geeignete Maßnahmen zur Risikobewältigung zu etablieren, müssen die Kontrollaktivitäten stets an die individuellen Bedürfnisse einer Organisation, unter Beachtung des Kontrollumfeldes und der Unternehmensziele, angepasst werden.

Information & Kommunikation (Information & Communication):

Ein funktionierender Informations- und Kommunikationsfluss innerhalb einer Organi- sation bildet die Grundlage für Entscheidungen des Managements. Ein funktionieren- der Informations- & Kommunikationsfluss ist gegeben, wenn die Informationen identi- fiziert, erfasst, rechtzeitig verarbeitet und effektiv kommuniziert⁶² werden. Darüber hinaus berücksichtigt eine funktionierende Information & Kommunikation auch exter- ne Ereignisse, Zustände und Aktivitäten. Dies soll durch das Interne Kontrollsystem gewährleistet werden. Voraussetzung hierfür sind funktionierende Informations- und Kommunikationswege.⁶³

Überwachung des Internen Kontrollsystems (Monitoring)

Unter der Überwachung des Internen Kontrollsystems wird die permanente Beobachtung der beschriebenen Prozesse (Komponenten), zur Sicherstellung ihrer Funktionsfähigkeit verstanden.⁶⁴ Auch die Rückkopplung des Systems ist Aufgabe dieser Komponente. Unter Rückkopplung versteht man die Anpassung einzelner Prozesse bzw. die teilweise oder vollständige Neuausrichtung des Systems. Mit diesen Anpassungen bzw. Neuausrichtungen des Systems soll veränderten Umwelt- und Rahmenbedingungen oder Mitarbeiterfluktuationen⁶⁵ begegnet werden.⁶⁶

Die fünf Komponenten verdeutlichen, dass ein wirksames Internes Kontrollsystem weitaus mehr enthält, als angemessene Kontrollaktivitäten festzulegen und durchzu- führen.⁶⁷

[...]

¹ Vgl. Regierungskommission (2006): Deutscher Corporate Governance Kodex, Fassung vom

12.06.2006; Corporate Governance: Gute und verantwortungsvolle Unternehmensführung.

² Vgl. Tanski, Joachim S.: Aktuelle Entwicklungen von Corporate Governance und interner Revisioneine Analyse nach Enron und WorldCom, in: Interne Revision 3 (2003), S.90-98

³ Vgl. http://www.pcaobus.org/About_the_PCAOB/Internal_Oversight/index.aspx; 15.07.06: Der PCA- OB ist eine non-profit-Organisation, mit dem Ziel, die Interessen der Jahresabschlussadressaten zu wahren und die Wirtschaftsprüfer dahin gehend zu kontrollieren.

⁴ Vgl. http://www.sec.gov/about/whatwedo.shtml; 15.07.06; SEC: US- Börsenaufsicht; zuständig für die Kontrolle des US- Wertpapierhandels (NYSE, NASDAQ, AMEX).

⁵ Beispielhafte deutsche Unternehmen, die im Jahr 2005 an der New Yorker Börse (NYSE) gelistet waren: Allianz AG, BASF AG, DaimlerChrysler AG, Bayer AG, Deutsche Bank AG, E.ON AG.

⁶ Vgl. Menzies, 2004, S.13

⁷ Vgl. Gruson/Kubicek, 2003, S.340; Notierungslöschung ist nur dann möglich, wenn weniger als 300 Anteilseigner ihren Wohnsitz in den USA halten; was für fast alle deutschsprachigen an der SEC gelisteten Unternehmen kaum zu erfüllen ist.

⁸ Vgl. Menzies, 2004, S. 21

⁹ Vgl.: http://www.fei.org/eweb/DynamicPage.aspx?Site=_fei&webcode=ferf_pubs; 03.08.06

¹⁰ Vgl. Murray, E.: SOX is costing America its capital market supremacy, in: Crain´s Chicago Business, 5/29/2006, Vol. 29, Issue 22, p.22

¹¹ Vgl. http://boersenlexikon.faz.net/marktkap.htm; 03.08.06; Die Marktkapitalisierung spiegelt den aktuellen Börsenwert eines Unternehmens wider (Aktien x Aktienkurs). Die Summe der Börsenwerte aller Unternehmen spiegelt dann die Marktkapitalisierung eines Landes wider.

¹² Vgl. Xiying Zhang, Ivy (2005): Economic Consequences of the SOX, February 2005, p.1-68, p.36

¹³ Vgl. Genn, Adina (2006): SOX regulations driving small public firms to go private, two reports show, in: Long Island Business News (NY), 05/12/2006.

¹⁴ Vgl. Murray, E.: SOX is costing America it’s capital market supremacy, in: Crain´s Chicago Business, 5/29/2006, Vol. 29, Issue 22, p.22

¹⁵ Vgl. Levine, Daniel (2006): Too tough?, in: Crain´s Chicago Business, Vol. 29, Issue 20, p.52-53.

¹⁶ Vgl. United States Government Accountability Office (2006): SOX - Consideration of Key Principles Needed in Adressing Implementation for Smaller Public Companies, April 2006, p.1-93.

¹⁷ Vgl. Tanski, Joachim S.: Aktuelle Entwicklungen von Corporate Governance, in: Interne Revision, Heft 3, 2003, S.90-98

¹⁸ Vgl. Menzies, 2004, S.75

¹⁹ Vgl. CPA Journal (1999): COSO Study released, in: CPA Journal, June 1999, Vol. 69, p.10

²⁰ Vgl. BDO, Beurteilung und Verbesserung der Effektivität interner Kontrollen; Auch andere Rahmen- werke erfüllen diese Voraussetzungen, wie z.B. das kanadische CoCo oder das britische Turnbull.

²¹ Vgl. Menzies, 2004, S.

²² Vgl. http://www.ifac.org/About/#Activities; 09.10.06 Die IFAC ist zuständig für die Entwicklung inter- nationaler Prüfungsstandards und eine Organisation der nationalen Berufsverbände.

²³ Deutsche nationale Berufsverbände: IDW, WPK.

²⁴ Vgl. http://www.idw.de/idw/generator/id=394872.html ;09.10.06; Der IDW EPS 261 reflektiert die geänderten Anforderungen an das Prüfungsvorgehen auf Grund von ISA 315 und ISA 330.

²⁵ Vgl.: Neumann & Göbel, 1998, Band II, S. 357; Bodnar, Hopwood, 2004, S. 108; http://www.brockport.edu/intcontrol/definition.html, 15.07.06; http://www.bc.edu/offices/audit/controls/definitions/, 13.07.06; http://www.newpaltz.edu/internalcontrols/about_basic.html; 13.07.06;

²⁶ Vgl. http://www.cfo.com/printable/article.cfm/3009556?f=options; 14.07.06

²⁷ PWC, Internes Kontrollsystem - Führungsinstrument im Wandel, 2006, S.4

²⁸ http://www.kpmg.at/de/services/2810_DEU_HTML.php, 12.07.06

²⁹ Ernst & Young, Markus Oppliger, Audit & Advisory News, April 2006, S.1

³⁰ http://www.bdo.com/about/publications/assurance/fr_mar_2003/def.asp; 19.07.06

³¹ Vgl. Public Expenditure & Financial Accountability (PEFA), Overview of International Public Sector Standards in Accounting, Auditing and Internal Control, March 2003, p.9.

³² PWC, Internes Kontrollsystem - Führungsinstrument im Wandel, 2006, S.4

³³ Vgl. Ernst & Young, Audit & Advisory News, April 2006, S.2

³⁴ Vgl. Amtsblatt der Europäischen Union, L124/36, 20.05.2003; Größenordnungen für KMU: < 250 Beschäftigte und Umsatz 50Mio.€, oder Bilanzsumme 43Mio.€.

³⁵ Vgl. http://www.unternehmerinfo.de/Lexikon/L/Leitungsspanne.htm, 26.07.06; Leitungsbreite: An- zahl der Stellen, die einer Leitungsebene unmittelbar unterstellt sind.

³⁶ Vgl. http://www.unternehmerinfo.de/Lexikon/E/Economies_of_Scale.htm; 26.07.06; Economies of Scale sind Kostenersparnisse, die durch Größenvorteile entstehen. Mit einer hohen Produktions- und Verkaufsmenge können ein hoher Marktanteil und die Kostenführerschaft erreicht werden. Für Konkurrenten wird es dadurch schwierig, überhaupt in den Markt einzusteigen.

³⁷ Vgl. COSO III, Volume 1, 2006, S.2

³⁸ Vgl. http://www.coso.org/; 15.07.06; US-Wirtschaftsinstitute: AAA, AICPA, FEI, IIA, IMA.

³⁹ Vgl. http://www.coso.org/, 15.07.06

⁴⁰ Vgl. http://www.coso.org/publications.htm; 16.07.06

⁴¹ Vgl. Menzies, 2004, S. 76

⁴² Vgl. Neubeck 2003, S.222

⁴³ Vgl. Journal of Accountancy, Kelley, The COSO Report: Challenge and Counterchallenge, February 1993, p10-18; Journal of Accountancy, Kelley, The COSO Report: A new addendum results in GAO endorsement, p18-21, July 1994

⁴⁴ Vgl. Kajüter, 2003, S.50 f.

⁴⁵ Vgl. Menzies, 2004, S. 76

⁴⁶ Vgl. COSO 1994, S.14; Management: Entity’s board of directors, management and other personnel.

⁴⁷ Vgl. Menzies, 2004, S. 78; Voraussetzung eines wirksamen IKS: Interne Kontrollen müssen permanent ausgeübt werden.

⁴⁸ Vgl. COSO 1994, S.15; Hinreichende Sicherheit (Reasonable Assurance): Das IKS steht in Abhän- gigkeit zu den handelnden Personen; Falsche Entscheidungen und Fehler können nicht ausgeschlos- sen werden.

⁴⁹ Vgl. COSO 1994, S. 14; Interne Revision, Westhausen, Das COSO-Modell, S. 98/99,3/2005

⁵⁰ Vgl. COSO 1994, S.13; Menzies, 2004, S.77

⁵¹ Vgl. Menzies, 2004, S. 77

⁵² Vgl. Menzies, 2004, S. 78

⁵³ Vgl. Interne Revision, Westhausen, Das COSO-Modell, S.99, 3/2005; PWC, Unternehmensweites Risikomanagement, 2. überarb. Auflage, S.43, März 1999

⁵⁴ Vgl. PWC, Unternehmensweites Risikomanagement, 2. überarb. Auflage, S.43, März 1999

⁵⁵ Vgl. Menzies, 2004, S. 79

⁵⁶ Vgl. PWC, Unternehmensweites Risikomanagement, 2. überarb. Auflage, S.43, März 1999

⁵⁷ Vgl. PWC, Unternehmensweites Risikomanagement, 2. überarb. Auflage, S.44, März 1999

⁵⁸ Vgl. Menzies, 2004, S. 79

⁵⁹ Vgl. Menzies, 2004, S. 79; Kontrolltypen: Vor- und nachgelagerte Kontrollen.

⁶⁰ Vgl. Menzies, 2004, S. 79; Kontrollziele: z.B. Festlegung von Kontrollen für relevante Konten, um Ordnungsmäßigkeit der Rechnungslegung zu gewährleisten.

⁶¹ Vgl. Menzies, 2004, S.79; Automatisierte Kontrollen: z.B. Kontrollen des IT-Systems; Differenzie- rung nach generellen und Applikations- Kontrollen; Generelle Kontrollen betreffen z.B. das Betriebs- system, Applikations- Kontrollen betreffen z.B. die Vollständigkeit und Richtigkeit der Autorisierung.

⁶² Vgl. Menzies, 2004, S. 79/80; Effektive Kommunikation; Intern: Mitarbeiter erhalten die Informatio- nen, die für ihr Aufgabenfeld notwendig sind; Voraussetzung: offene, vertrauensvolle Atmosphäre zwischen Mitarbeitern und Management; Extern: Informationsgewinnung über Kunden, Lieferanten und Aktionären.

⁶³ Vgl. Menzies, 2004, S. 79-80; Interne Revision, Westhausen, Das COSO-Modell, S.99, 3/2005

⁶⁴ PWC, Unternehmensweites Risikomanagement, 2. überarb. Auflage, S.44, März 1999

⁶⁵ Vgl. Menzies, 2004, S.80; Durch Mitarbeiterwechsel können Kontrollen unwirksam werden, oder wirksame Kontrollen werden unter Umständen nicht weiter ausgeführt.

⁶⁶ Vgl. Interne Revision, Westhausen, Das COSO-Modell, S.99, 3/2005; Menzies, 2004, S. 80

⁶⁷ Vgl. BDO Deutsche Warentreuhand AG, Beurteilung und Verbesserung der Effektivität interner Kontrollen, S. 21