Jun
21
2010

Das interne Kontrollsystem und das Risikomanagementsystem rücken durch das BilMoG stärker in den Blickpunkt

Die neuen Bilanzierungsregelungen des Bilanzrechtsmodernisierungsgesetzes (BilMoG) sind verpflichtend für Geschäftsjahre ab dem 01.01.2010 anzuwenden. Sie sind anzuwenden durch kapitalmarktorientierte (Konzern-)Unternehmen (*1) im Sinne des § 264d HGB n.F. Neben einer Vielzahl neuer HGB-Regelungen zur Bilanzierung und Bewertung innerhalb der Rechnungslegung eines Unternehmens werden mit dem BilMoG auch wesentliche Vorgaben aus EU -Recht (8. EU -Richtlinie) umgesetzt.

Auch das interne Kontrollsystem und das Risikomanagementsystem rücken durch BilMoG stärker in den Blickpunkt von Vorständen und Aufsichtsräten und insofern stehen in den Unternehmen die entsprechenden aufbau- und ablauforganisatorischen Fragestellungen, u.a. auch zu Themen wie Funktionstrennung und sichere Berechtigungskonzepte und -systeme, im Fokus. Im Lagebericht (§§ 289, 315 HGB n.F.)  sind die wesentlichen Merkmale des rechnungslegungsbezogenen, internen (IKS) Kontroll- und Risikomanagementsystems (RMS) zu beschreiben.

Der Aufsichtsrat hat die Verpflichtung zur Überwachung folgender Bereiche:

  • Rechnungslegungsprozess
  • internes Kontrollsystem (IKS)
  • Risikomanagementsystem (RMS)
  • internes Revisionssystem (Interne Revision)

Diese Überwachungspflichten werden dazu führen, dass sich Aufsichtsräte entsprechende Berichtswege mit wirksamen Überwachungsstrukturen einrichten und dies auch Auswirkungen auf effiziente und effektive Kontrollen insbesondere in solchen Unternehmensbereichen haben wird, die Daten zur Finanzberichterstattung beisteuern, besonders im Rechnungs- und Finanzwesen, Personalwesen, Materialwirtschaft, Produktion, Vertrieb.

Der Vorstand trägt die Verantwortung für Einrichtung, angemessene Ausgestaltung und den Nachweis der Wirksamkeit u. a. des IKS und des RMS. Dies erfordert eine Bestandsaufnahme der vorhandenen
Instrumente zum IKS / RMS :

  • Systematische Aufnahme vorhandener wesentlicher Instrumente (u. a. Softwareunterstützung) und deren Verzahnung
  • Analyse der Angemessenheit, insbesondere der „Nachweisfähigkeit“
  • Maßnahmen zur Verbesserung des IKS / RMS

Darüber hinaus ist ein Nachweis der Wirksamkeit von IKS / RMS zu führen:

  • Externe Zertifizierung der internen Revision (IR)
  • Etablierung eines Regelprozesses zum Monitoring der Wirksamkeit (Self Assessment, Prüfungsplanung der IR, Prüfung durch Externe, Konsolidierung der Überwachungsergebnisse)
  • Initiierung von Verbesserungsmaßnahmen bei festgestellten Schwächen
  • Berichterstattung an den Aufsichtsrat

Durch eine möglichst integrierte Steuerung und Überwachung der Risiken und Kontrollen innerhalb für das Unternehmen besonders kritischer Geschäftsabläufe mit Hilfe von Access Control, Process Control und Risk Management kann ein effektives und effizientes Management der Risiken und Kontrollen erreicht werden. Dies ist eine wesentliche Voraussetzung für die praktische Umsetzung der BilMoG-Anforderungen an Vorstand und Aufsichtsrat im Rahmen der Überwachung des internen Kontrollsystems und internen Risikomanagementsystems.

Eine der wesentlichen Maßnahmen zur Verbesserung des internen Kontrollsystems ist die Beseitigung von Risiken aufgrund von fehlender oder unzureichender Funktionstrennung beim Daten- und Programmzugriff (Stichwort: Segregation of Duties) und damit dem unkontrollierten, umfassenden Zugriff auf wesentliche IT -Systeme zur Abwicklung wichtiger finanzkritischer Geschäftsprozesse. Eine unter IKS -Gesichtspunkten wirksame Funktionstrennung in der Ablauforganisation eines Unternehmens lässt sich durch ein entsprechendes Benutzerkonzept mit auf den Arbeitsplatz zugeschnittenen Benutzerberechtigungen erreichen.

Der geschilderte Handlungsbedarf gilt übrigens nicht nur für große börsennotierte Unternehmen, sondern ist auch für kapitalmarktorientierte Mittelstandsunternehmen verpflichtend, die ein funktionierendes internes Kontrollsystem sicherstellen wollen.

Wen die detaillierten Schritte zur Einführung eines IKS interessieren, mag die IKS-Serie unserer Studentin Christine Mummert verfolgen.

Zum Thema Zugriffsrecht und Schriftgutverwaltung siehe auch den Post Das IKS muss auch die Schriftgutverwaltung (Records Management) steuern

Vom COSO (Committee of Sponsoring Organizations of the Treadway Commission,  a voluntary private sector organization dedicated to improving the quality of financial reporting through business ethics, effective internal controls and corporate governance – www.coso.org) wurde erstmal 1992 ein Rahmenwerk für ein interens Kontrollsystem veröffentlicht und seitdem fortgeschrieben: „Interne Überwachung – Ganzheitliches Rahmenwerk“.

Im daraus abgeleiteten, zusammendfassenden Dokument Interne Überwachung der Finanzberichterstattung – Leitfaden für kleinere Aktiengesellschaften werden die folgenden fünf Komponenten eines IKS dargestellt:

COSOs 5 Komponenten eines internen Kontrollsystems

COSOs fünf Komponenten eines internen Kontrollsystems

Dazu werden 20 grundlegende Prinzipien aufgeführt, welche mit den fünf Komponenten des Rahmenwerks zusammenhängen und direkt davon abgeleitete Konzepte wiedergeben.

Kontrollumfeld

1. Integrität und ethische Werte – Einwandfreie Integrität und ethische Werte, insbesondere auf den oberen Führungsebenen, sind entwickelt, werden verstanden und bilden die Verhaltensregel für das Durchführen der Finanz-berichterstattung.
2. Unternehmensleitung - Die Unternehmensleitung versteht und verfolgt ihre Überwachungsverantwortung in Bezug auf die Finanzberichterstattung und die entsprechende Interne Überwachung.
3. Führungsphilosophie und Geschäftsgebaren – Der Führungsstil und das Geschäftsgebaren der Führungskräfte unterstützen eine wirksame Interne Überwachung der Finanzberichterstattung.
4. Organisationsstruktur - Die Organisationsstruktur des Unternehmens fördert eine wirksame Interne Überwachung der Finanzberichterstattung.
5. Befähigung zur Finanzberichterstattung – Das Unternehmen beschäftigt Experten im Bereich der Finanzberichterstattung und der diesbezüglichen Überwachungsfunktionen.
6. Entscheidungskompetenz und Verantwortlichkeit - Führungskräften und Mitarbeitern wurde sachgerecht Verantwortlichkeit und Verantwortung zugeordnet, um eine wirksame Überwachung der Finanzberichterstattung zu ermöglichen.
7. Personal - Personalvorschriften und -vorgehensweisen sind so gestaltet und umgesetzt, dass sie eine wirksame Überwachung der Finanzberichterstattung fördern.

Risikobeurteilung

8. Ziele der Finanzberichterstattung – Die Führungskräfte legen hinreichend eindeutige Ziele und Kriterien für die Finanzberichterstattung fest, anhand derer die Risiken für eine zuverlässige Finanzberichterstattung bestimmt werden können.
9. Risiken der Finanzberichterstattung – Das Unternehmen definiert und untersucht Risiken für das Erreichen der Finanzberichterstattungsziele als Grundlage dafür, wie Risiken gehandhabt werden sollen.
10. Risiko doloser Handlungen – Die Gefahr möglicher Falschdarstellungen auf Grund doloser Handlungen ist bei der Bewertung der Risiken für das Erreichen der Finanzberichterstattungsziele explizit berücksichtigt.
11. Einbindung in die Risikobewertung – Maßnahmen in Bezug auf Risiken, die das Erreichen der Finanzberichterstattungsziele gefährden, werden ergriffen.
12. Auswahl und Aufbau von Kontrollaktivitäten – Kontrollaktivitäten sind unter Berücksichtigung der entstehenden Kosten und ihrer möglichen Wirksamkeit beim Vermindern von Risiken für das Erreichen der Finanzberichterstattungs-ziele ausgewählt und entwickelt.
13. Vorschriften und Verfahren – Vorschriften bezüglich der zuverlässigen Finanzberichterstattung sind festgelegt und im gesamten Unternehmen verbreitet, sowie entsprechende Verfahren, die dazu führen, dass die Vorgaben der Führungskräfte ausgeführt werden.
14. Informationstechnologie - EDV-Kontrollen sind dort sachgerecht entwickelt und eingesetzt, wo sie das Erreichen der Finanzberichterstattungsziele unterstützen.

Information und Kommunikation

15. Information für die Finanzberichterstattung – Einschlägige Informationen werden auf allen Ebenen des Unternehmens in Art und Zeitrahmen so bestimmt, erfasst, verwendet und verbreitet, dass sie dem Erreichen der Finanzberichterstattungsziele zweckdienlich sind.
16. Information über Interne Überwachung – Informationen aus der Ausführung anderer Überwachungskomponenten sind in Art und Zeitrahmen so bestimmt, erfasst und verbreitet, dass Mitarbeiter ihrer Verantwortung für Interne Überwachung nachkommen können.
17. Interne Kommunikation – Mitteilungen ermöglichen und unterstützen das Verständnis und die Ausübung der Verantwortung für Interne Überwachungs-ziele und Überwachungsabläufe sowie individuelle Verantwortlichkeiten auf allen Ebenen des Unternehmens.
18. Externe Kommunikation – Aspekte, die das Erreichen der Finanzbericht-erstattungsziele betreffen, sind außen stehenden Beteiligten kommuniziert.

Überwachung

19. Laufende und gezielte Beurteilungen – Laufende und/oder gezielte Beurtei-lungen ermöglichen es Führungskräften, zu bestimmen, ob die Interne Überwachung der Finanzberichterstattung vorhanden und wirksam ist.
20. Schwächen der Berichterstattung – Schwächen Interner Überwachung sind erkannt und zeitnah an die für Abhilfemaßnahmen verantwortlichen Parteien kommuniziert, sowie soweit erforderlich an Führungskräfte und Geschäftsleitung.

In welchen Schritten ein Internes Kontrollsystem eingeführt wird, hat Klaus D. Krause sehr schön in seinem Artikel Implementierung eines Compliance-Management-Systems auf compliance-net beschrieben.

 

Prozess der Einführung eines Compliance Management Systems nach, © 2010 compliance-net GmbH

Einführungsprozess eines Compliance Management Systems, © 2010 compliance-net GmbH

Für die Prüfung eines Internen Kontrollsystems siehe auch den Post Auch die Compliance-Wolke nimmt weiter Strukturen an: noch in diesem Jahr wird der IDW Prüfungsstandard 980 freigegeben

——————-

*1 “Eine Kapitalgesellschaft ist kapitalmarktorientiert, wenn sie einen organisierten Markt im Sinn des § 2 Abs. 5 des Wertpapierhandelsgesetzes durch von ihr ausgegebene Wertpapiere im Sinn des § 2 Abs. 1 Satz 1 des Wertpapierhandelsgesetzes in Anspruch nimmt oder die Zulassung solcher Wertpapiere zum Handel an einem organisierten Markt beantragt hat.

Verweise aus anderen Vorschriften auf diese Definition (z. B. aus dem Genossenschaftsgesetz) führen auch für Unternehmen, die nicht Kapitalgesellschaft sind, zu einer Anwendbarkeit der damit verknüpften Vorschriften.

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: deutsch,general,language | Tags: , , , , ,

3 Comments »

RSS feed for comments on this post. TrackBack URL

Leave a comment


4 × = twenty

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions