Ein Betrugsfall erschüttert das Unternehmen, Hacker greifen sensible Daten ab, eine extreme Entwicklung bei Rohstoffpreisen überrollt die Firma überraschend – in solchen Fällen stellt sich immer die Frage: Warum haben interne Kontroll- oder Risikomanagementsysteme nicht rechtzeitig Alarm geschlagen? Besonders dramatisch war zuletzt der Fall Wirecard. Bei dem Skandalunternehmen fehlten fast 2 Milliarden Euro in der Bilanz, viele Anleger stehen vor einem Totalverlust. Heute weiß man: Ein internes Kontrollsystem, das für einen Dax-Konzern angemessen wäre, hatte der Konzern überhaupt nicht. Womöglich hätten sonst viel früher die Alarmglocken geschrillt.
Der Wirecard-Skandal ist nun Anlass für den Gesetzgeber, bei internen Kontrollen die Zügel anzuziehen: Mit der Verabschiedung des Gesetzes zur Stärkung der Finanzmarktintegrität (FISG) sind ein „angemessenes und wirksames“ internes Kontrollsystem (IKS) und ein Risikomanagementsystem (RMS) für jedes börsennotierte Unternehmen Pflicht. Was genau bedeutet das für Unternehmen? Und welche Stolpersteine gibt es beim Aufbau solcher Systeme?
Unternehmen müssen IKS auf den Prüfstand stellen
Ein IKS umfasst Regeln und Prozesse, die so weit wie möglich sicherstellen sollen, dass im Unternehmen keine Fehler passieren – oder dass Fehler im Notfall zumindest schnell bemerkt werden. Zu den wichtigsten IKS-Prinzipien gehören Kontrollen von besonders wichtigen Vorgängen, die Transparenz und Dokumentation von Prozessen sowie eine Funktionstrennung. So darf beispielsweise der Mitarbeiter, der einen Auftrag an Land gezogen hat, diesen nicht gleichzeitig verbuchen. Das Risikomanagement hat ergänzend dazu vor allem die Aufgabe, betriebliche Risiken so früh wie möglich zu erkennen und ihren Eintritt zu verhindern oder zumindest die Konsequenzen abzumildern.
Wer bisher noch keine angemessenen IKS und RMS hat, muss sich schnellstens mit der Einrichtung auseinandersetzen, denn das Gesetz ist seit Juli in Kraft. In erster Linie sind es vor allem kleinere und mittelständische Unternehmen, die bisher noch keine Notwendigkeit sahen, systematische IKS und RMS aufzubauen. Große börsennotierte Konzerne hingegen haben schon seit vielen Jahren solche Systeme, da diese unter anderem auch vom Corporate Governance Kodex gefordert werden.
Besteht dort also kein Handlungsbedarf? „Es könnte der Eindruck entstehen, dass diese großen Unternehmen jetzt nichts tun müssen – doch das stimmt nicht, denn womöglich reicht das Bisherige nicht aus“, mahnt Jens Freiberg, Partner und Head of Capital Markets bei der Wirtschaftsprüfungs- und Beratungsgesellschaft BDO.
IKS und RMS: Was bedeutet „wirksam und angemessen“?
Zum einen waren bisherige IKS und RMS häufig vor allem auf Rechnungslegungsfragen bezogen, während der Gesetzgeber den Rahmen nun weiter gefasst hat. Zum anderen müssen sich Unternehmen durch die gesetzliche Verankerung mehr denn je damit auseinandersetzen, wie sie messen können, ob ihre Prozesse auch wirklich „wirksam und angemessen“ sind. „Diese unspezifische Formulierung hat Vorstände und Aufsichtsräte aufschrecken lassen“, sagt Freiberg. Unternehmen sollten sich jetzt daher ihren Status quo ansehen: „Reichen die bisherigen IKS und RMS wirklich aus, oder muss man nachjustieren?“
Als Dax-Konzern kann Siemens bereits ausdifferenzierte IKS und RMS vorweisen. „Unabhängig von einer gesetzlichen Verpflichtung halte ich ein IKS und ein RMS für wichtig für eine erfolgreiche Unternehmensführung“, meint Georg Klein, Chief Auditor und Head of Assurance bei Siemens. „Nur wer die Chancen und Risiken für sein Unternehmen rechtzeitig erkennt, kann sie gut managen und hat dadurch einen Wettbewerbsvorteil. Und nur wer sicher sein kann, dass die Geschäftszahlen korrekt sind, kann sie als Basis für gute Unternehmensentscheidungen nutzen.“
Das FISG habe Siemens zwar zum Anlass genommen, die Prozesse noch einmal unter der Lupe zu betrachten. „Aber wir sehen keine spezifischen Neuerungen, die wir jetzt aufgrund des Gesetzes vornehmen müssten“, sagt Klein.
Gleichwohl bedeute das nicht, dass sich IKS und RMS nicht ändern könnten: „Ein gutes System lebt davon, nicht statisch zu sein. Es gibt ständig neue Unternehmensrisiken oder neue Gesetze, die dazu führen, dass man die unternehmensinternen Kontrollen oder die Risikobeobachtung anpassen muss“, betont Klein.
IKS und RMS: Kein „One size fits all“
Wer seine Systeme im Zuge des FISG auf den Prüfstand stellen will, sollte zunächst den Status quo betrachten, rät Christoph Wunsch, Partner und stellvertretender Leiter Forensic, Risk & Compliance von BDO. „Gerade bei kleineren Unternehmen gibt es oftmals schon einige Mechanismen, die auf interne Kontrolle oder Risikomanagement ausgelegt sind, aber vielleicht in verschiedenen Bereichen angesiedelt sind und nicht systematisch ineinandergreifen.“ Eine „One size fits all“-Lösung gibt es bei IKS und RSM allerdings nicht: „Die konkrete Ausgestaltung ist sehr unternehmensspezifisch“, sagt Wunsch. Das mache es auch so schwer zu bewerten, ob die Systeme wirklich „wirksam und angemessen“ sind. „Tatsächlich wird dies oft erst hinterfragt, wenn das Kind in den Brunnen gefallen ist.“
Um die Angemessenheit nachzuweisen, kann man jedoch zumindest gewisse Kennzahlen zur Unterstützung heranziehen, rät Christoph Wunsch. „Wie viele Kontrollschwächen wurden im vergangenen Jahr aufgedeckt? Wie lange hat es gedauert, sie zu beheben? Wie viele Funktionstrennungskonflikte tauchten auf? Wie viele Feststellungen gab es seitens der internen Revision? Solche KPIs können ein Maß dafür sein, wie gut die bestehenden Systeme schon sind.“
So helfen Rahmenwerke wie COSO
Bei der Ausgestaltung ihrer Systeme orientieren sich viele Unternehmen zudem an anerkannten Rahmenwerken. Im Bereich Risikomanagement gibt beispielsweise das Committee of Sponsoring Organizations of the Tradeway Commission (COSO) ein solches Rahmenwerk heraus, an dem sich auch Siemens orientiert. Für das IKS richtet sich Siemens nach dem ebenfalls vom COSO entwickelten „Internal Control – Integrated Framework“. „Beide ergänzen sich gegenseitig, weil sie die vier Komponenten Strategie, Effizienz, Verlässlichkeit der Berichterstattung und Einhaltung von Gesetzen gleichermaßen gewichten“, berichtet Georg Klein von Siemens.
„Die Rahmenwerke zeigen meist das Maximalmögliche an, was das Unternehmen an Kontrolle leisten kann. Doch in vielen Fällen muss das Maximum nicht erreicht sein, damit IKS und RMS als angemessen und wirksam anerkannt werden“, meint Wirtschaftsprüfer Jens Freiberg von BDO. Auch der Dax-Konzern Fresenius orientiert sich an Frameworks. Um die für das eigene Unternehmen passgenaue Lösung zu finden, rät Sabine Scholz, Bereichsleiterin Internal Audit bei Fresenius: „Man sollte vom Ende her denken: Was brauchen die Adressaten – also Vorstand und Aufsichtsrat – für Informationen und Dokumentationen, um Entscheidungen zu treffen?“
Mut zu klarem Fokus
Dabei müsse man auch den Mut haben, sich risikoorientiert zu fokussieren: „Man muss nicht bei jedem Thema das maximale Kontrollniveau erreichen – das kann schnell unverhältnismäßig werden, auch aus finanzieller Sicht“, sagt Scholz. Das Risiko eines zu komplexen Systems besteht zum Beispiel bei reger M&A-Tätigkeit. Die Systeme der Zukäufe müssen schließlich in das bestehende System eingegliedert werden. Damit IKS und RSM konzernweit möglichst harmonisiert sind, setzt Fresenius auf ein selbstentwickeltes IT-Tool. „Das gibt für alle Konzerneinheiten eine einheitliche Methodik und Darstellung vor. Das macht es für Vorstände und Aufsichtsräte leichter, die Daten in der Granularität aufzubereiten, die sie brauchen“, berichtet Scholz‘ Kollege Michael Berberich, Abteilungsleiter Compliance bei Fresenius.
Auch die Umstellung auf das ERP-System SAP S/4 Hana nutzt Fresenius, um Prozesse, die noch manuell gemanagt werden, zu automatisieren. „Viele Unternehmen sind jetzt mitten in der Einführung des neuen SAP-Systems. Zusammen mit den Anforderungen des FISG ist es eine gute Gelegenheit, möglichst viele IT-gestützte und vollautomatisierte Kontrollen zu etablieren“, glaubt Berberich.
Typische Fehler bei Kontrollsystemen
Beim Auf- und Ausbau von IKS und RMS gibt es aber auch Stolperfallen. Fehler sieht BDO-Partner Jens Freiberg oft infolge unklarer Verantwortlichkeiten: „Wenn keiner weiß, wer sich um was kümmert, können Risiken versehentlich hinten runterfallen.“ Einen anderen Klassiker nennt sein Kollege Christoph Wunsch: „Gerade in großen, international agierenden Konzernen kann es passieren, dass die Systeme zwar durchdacht aufgebaut sind, aber die Kommunikation mit den Mitarbeitern unzureichend ist“, meint er.
Ein typisches Beispiel: „Man gibt Richtlinien auf Deutsch oder Englisch heraus – und denkt nicht daran, dass sie von Mitarbeitern in anderen Ländern womöglich nicht verstanden werden.“ Regelmäßige Workshops und eine richtige Ansprache seien daher unerlässlich, um IKS und RMS im gesamten Unternehmen zu verankern.
Georg Klein von Siemens sieht noch eine andere Herausforderung: „Wenn es dem Unternehmen gut geht, fehlt Mitarbeitern manchmal das Gefühl dafür, warum man solche Prozesse einführen muss.“ Bei Siemens hätte der Korruptionsskandal im Jahr 2006 dazu geführt, dass das Momentum da war: „Der Skandal war potentiell unternehmensgefährdend. Alle Kräfte wurden daraufhin gebündelt, um konsequent ein wirksames Kontrollsystem auf die Beine zu stellen.“ Unternehmen, die selbst keine solche Krise durchlaufen haben, rät Klein daher: „Nicht schadenfroh sein, sondern vielmehr hinterfragen, ob so etwas auch im eigenen Haus passieren könnte – und dann auf Basis dieser Erkenntnisse Kontrollsysteme aufbauen beziehungsweise weiterentwickeln.“
julia.schmitt[at]finance-magazin.de
Julia Schmitt ist Redaktionsleiterin von FINANCE-Online und Moderatorin bei FINANCE-TV. Nach ihrem Studium der Volkswirtschaftslehre und Publizistik an der Johannes-Gutenberg-Universität Mainz stieg sie 2014 bei F.A.Z. BUSINESS MEDIA ein. Sie betreut die Themenschwerpunkte Wirtschaftsprüfung und Bilanzierung und ist Trägerin des Karl Theodor Vogel Preises der Deutschen Fachpresse.
