Am 14. Mai 2013 hat das Committee of Sponsoring Organizations of the Treadway Commission (COSO) eine überarbeitete Version des Rahmenwerks "Internal Controls – Integrated Framework" veröffentlicht. Die 2013er Version des in der Praxis als COSO I geläufigen Rahmenwerks löst am 15. Dezember 2014 die bisherige Version von 1992 ab. Dabei ist die Überarbeitung zwar nicht als fundamentale Neuausrichtung zu sehen, doch ist sie als prinzipienbasierte Konkretisierung samt breiterem Umfang zu charakterisieren. Das überarbeitete Rahmenwerk betrifft weiterhin das interne Kontrollsystem und ist somit kein Ersatz von COSO ERM, in der Praxis als COSO II geläufig. Beide Rahmenwerke sind weiterhin miteinander vereinbar.
Zielsetzung der Überarbeitung von COSO I
Das COSO Board verfolgte mit der Überarbeitung des bisherigen Rahmenwerks die folgenden Ziele:
Deutliches Herausstellen der in der bisherigen Version des Rahmenwerks implizit enthaltenen Prinzipien, um die Implementierung von wirksamen internen Kontrollsystemen und die Beurteilung der Wirksamkeit zu unterstützen;
Berücksichtigung des sich seit 1992 stark veränderten Markt- und Unternehmensumfeldes; und
Hinterfragen des Umfangs der einzelnen Zieldimensionen "Operativer Betrieb", "Externe Finanzberichterstattung" und "Compliance".
Änderungen gegenüber der bisherigen Version
Zunächst ist festzuhalten, dass keine fundamentale Neuausrichtung des internen Kontrollsystems stattfindet. Vielmehr wird an der Definition des internen Kontrollsystems und an den fünf Komponenten "Kontrollumfeld", "Risikobeurteilung", "Kontrollaktivitäten", "Information und Kommunikation" sowie "Überwachung" festgehalten. Die Änderungen lassen sich wie folgt zusammenfassen:
Die Ausgestaltung eines wirksamen internen Kontrollsystems wird prinzipienbasiert konkretisiert. Die fünf Komponenten werden unterstützt von 17 Prinzipien, die wiederum durch sogenannte Points of Focus spezifiziert werden.
Die Änderungen im Markt- und Unternehmensumfeld finden stärkere Berücksichtigung. Dazu zählen Entwicklungen wie die Globalisierung der Märkte, die steigende Rolle von Technologie, die Erwartungen an die Prävention und Aufdeckung von Fraud sowie an die Unternehmensüberwachung. Die Konsequenz für die Unternehmen ist, dass das eigene interne Kontrollsystem dynamisch ausgestaltet sein muss, um Veränderungen gerecht werden zu können. Somit wird Agilität von den Unternehmen verlangt.
Im Kontext der Zieldimension "Berichterstattung" liegt der Fokus nicht mehr allein auf der externen Finanzberichterstattung, sondern umfasst auch die anderen Formen der Berichterstattung. Der Ausprägungsmatrix intern/extern und finanziell/nicht-finanziell folgend finden somit auch die interne Finanzberichterstattung und die nicht-finanzielle Berichterstattung Berücksichtigung. Hierzu gehören u. a. die Berichterstattung über die Berechnungen zur Covenant-Einhaltung (interne Finanzberichterstattung), die Nachhaltigkeitsberichterstattung (nicht-finanzielle externe Berichterstattung) als auch die interne Risikoberichterstattung und das Berichtswesen an den Aufsichtsrat (nicht-finanzielle interne Berichterstattung).
Den Zieldimensionen "Operativer Betrieb" und "Compliance" wird größere Bedeutung als zuvor beigemessen – eine Betrachtungsweise weg vom rechnungslegungsbezogenen internen Kontrollsystem. Denn unter "Operativer Betrieb" ist mehr als nur der Vermögensschutz zu subsumieren. Das interne Kontrollsystem hat auch den komplexer werdenden Geschäftsprozessen durch das stärkere Heranziehen von Lieferanten und Geschäftspartnern gerecht zu werden. Vorwürfe der Kinderarbeit, der fehlenden Gebäudesicherheit oder der fehlenden Aufklärung bei Versuchen an Menschen ist aus Sichtweise des internen Kontrollsystems nicht damit genüge getan, indem auf die Lieferanten und Geschäftspartner verwiesen wird.
Vereinbarkeit mit COSO II Rahmenwerk
Im Jahr 2004 veröffentlichte COSO das Rahmenwerk "Enterprise Risk Management (ERM) – Integrated Framework". Dieses Rahmenwerk befasst sich mit dem unternehmensweiten Risikomanagement. COSO vertritt weiterhin die Auffassung, dass ERM umfangreicher ist als das interne Kontrollsystem. Letzteres wird weiterhin als Bestandteil des Risikomanagementsystems gesehen. An diesem Verhältnis ändert sich durch die Überarbeitung des COSO I Rahmenwerks nichts.
Vielmehr wird erkenntlich, dass die beiden Rahmenwerke komplementär sind. So enthält das COSO II Rahmenwerk bereits seit seiner Veröffentlichung in 2004 die breiter gefassten Zieldimensionen. Dies wird vor allem bei der Berichterstattung deutlich. Nicht nur heißt die Zieldimension im COSO II Rahmenwerk bereits "Berichterstattung" statt "Externe Finanzberichterstattung" wie im COSO I Rahmenwerk von 1992; vielmehr ist den Erläuterungen der Zieldimension "Berichterstattung" die vollständige Abdeckung der Ausprägungsmatrix intern/extern und finanziell/nicht-finanziell zu entnehmen. Für Unternehmen, die ihr IKS als Teil des RMS am COSO II Rahmenwerk orientiert haben, sollte die Ausweitung der Zieldimensionen demnach nicht zwangsweise eine Neuerung darstellen.
Fazit
Die Übergangsphase bis Ende 2014 gibt Unternehmen Zeit, um die Änderungen an der eigenen Institution zu spiegeln, Handlungsbedarf zu identifizieren und Maßnahmen zur Optimierung zu ergreifen.
Handlungsbedarf ist vor allem für diejenigen Unternehmen auszumachen, die ihr IKS an COSO I orientiert haben und dessen Ausgestaltung bis dato auf das rechnungslegungsbezogene IKS beschränkt wurde. Für diese Unternehmen empfiehlt sich u. a.
das Einrichten hinreichender IT-Kontrollen im Zuge der verstärkten IT-Nutzung,
der Stärkung des Compliance-IKS (Kontrollmechanismen hinsichtlich der Compliance-Risiken wie Kartellrecht, Korruption oder Datenschutz),
das Schaffen von Transparenz über Kontrollmechanismen im Kontext der Zieldimension "Operativer Betrieb" (u. a. die Schnittstellen zu Lieferanten, Handelspartnern und anderen Geschäftspartnern) und
die Ausweitung der Wirksamkeitsüberwachung auf das vollständige interne Kontrollsystem des Unternehmens.
Bernd Rosenberg (KPMG), Justin Pawlowski (KPMG)