Nutzung von IKS-Rahmenwerken in KMU

Überblick

Neben quantitativen Kriterien, wie Bilanzsumme, Umsatz oder Zahl der Mitarbeiter können KMU auch durch qualitative Kriterien gekennzeichnet werden, die insbesondere Einfluss auf die Gestaltung der Aufbau- und Ablauforganisation und der Prozesse und Kontrollen nehmen. In der Literatur1 werden häufig genannt:

  • Einheit von Eigentum und Haftung, d.h. die wirtschaftliche Existenz der Unternehmensführung ist eng mit der des Betriebs verbunden,
  • Flache Hierarchie und ein geringer Formalisierungsgrad durch einen direkten Kontakt zwischen Mitarbeitern und Unternehmensleitung.

Auch für KMU ist die Einrichtung geeigneter Prozesse in Verbindung mit einem Internen Kontrollsystems (IKS) erforderlich, um den spezifischen Risiken dieser Unternehmensform gerecht zu werden. Bei der Implementierung eines Internen Kontrollsystems können sich auch KMU an sogenannten Frameworks (englisch für Rahmenstruktur oder Rahmenwerk) orientieren. Mit der Anwendung von Rahmenwerken dokumentieren Unternehmen, dass sie Prozesse auf der Basis anerkannter Mindeststandards ausprägen. Der Aspekt einer Rechtfertigung gegenüber Dritten (z.B. Kunden, Aufsichtsbehörden, Öffentlichkeit) wird für KMU in der Regel weniger ausschlaggebend sein. Allerdings können Frameworks auch wertvolle Hinweise geben, Prozesse effizient und effektiv zu gestalten.

Im Folgenden werden die die in der Praxis vorherrschenden Frameworks für die Gestaltung Interner Kontrollsysteme vorgestellt und auf ihre Eignung für KMU beurteilt:

  • COSO-Modell
  • COSO Enterprise Risk Management Framework
  • COBIT
  • 3 Lines of Defense (3LoD-) Modell

COSO Framework

Grundlagen

Die heute verwendeten Frameworks für die Gestaltung von Internen Kontrollsystemen basieren im wesentlichen auf dem COSO-Modell, welches im Jahre 1992 von der Kommission “Committee of Sponsoring Organizations of the Treadway Commission” zur Verbesserung der Finanzberichterstattung durch ethisches Handeln, interne Kontrollsysteme und gute Unternehmensführung entwickelt worden ist. Durch den Sarbanes-Oxley-Act ist COSO zum Quasi-Standard für die Gestaltung Interner Kontrollsysteme für US-amerikanische, börsennotierte Unternehmen geworden.

Die Elemente des sogenannten COSO-Würfels werden charakterisiert durch das Zielsystem (objectivs), die Bestandteile (components) und die Zuordnung zur Unternehmensorganisation (entitiy). Die Ziele des COSO-Frameworks richten sich auf Operations (z.B. Verbesserung der Effizienz und Effektivität von Prozessen), Reporting (Verlässlichkeit der externen und internen Finanzberichterstattung) und Compliance (Einhaltung rechtlicher Vorschriften).

Zur Erreichung dieser Ziele sind fünf Bestandteile (Components) eines Internen Kontrollsystems auszuprägen:

  • Kontrollumfeld (Control Environment)
  • Risikoeinschätzung und -beurteilung (Risk Assessment)
  • Kontrollaktivitäten (Control activities)
  • Informations- und Kommunikationssysteme (Information & Communication)
  • Überwachung (Monitoring Activities)

Das Kontrollumfeld ist Basis für die Funktionsfähigkeit eines Internen Kontrollsystems und umfasst bspw. die Verhaltensweisen der Geschäftsführung (tone of the top), die unabhängige Überwachung der Geschäftsführung durch Aufsichts- oder Beirat und die Schaffung von Strukturen, Rollen und Verantwortlichkeiten zur Etablierung von Kontrollsystemen.

Die Prozesse zur Riskoeinschätzung und -bewertung sollen Risiken, die der Erreichung von Unternehmenszielen entgegenstehen, frühzeitig erkennen, die Auswirkungen beurteilen und durch angemessene Maßnahmen entgegenwirken.

Kontrollaktivitäten sind nach der COSO-Definition weiter als im deutschen Sprachgebrauch gefasst. Unter control activities werden Verfahren und Maßnahmen verstanden, die im gesamten Unternehmen ausgeführt werden, um Risiken für die Erreichung der Unternehmensziele zu vermeiden. Hierzu zählen u.a. manuelle Kontrollen in Geschäftsprozessen und automatisierte Kontrollen in IT-Anwendungen.

Information und Kommunikation beschreibt die Anforderungen (z.B. Vollständigkeit, Richtigkeit, Aktualität) an die von Unternehmen verarbeiteten Informationen und die zu diesem Zweck eingesetzten Informationssysteme. Zudem werden Regelungen für die Kommunikation des Managements sowohl nach Innen als auch nach Außen aufgeführt.

Die Überwachung des Internen Kontrollsystems ist Gegenstand der Internen Revision sowie besonderer, durch die Unternehmensleitung durchgeführten oder beauftragten Prüfungen.

Zu jedem Bestandteil eines IKS nach COSO 2013 sind zwischen 2 und 5 principles definiert, denen dann in der weiteren Stufe Verhaltensweisen und Maßnahmen zugewiesen werden. Principles läßt sich am besten mit dem Wort “Leitsätze” übersetzen. Insgesamt hat COSO 2013 für die 5 Komponenten 17 Leitsätze definiert:

Quelle: Positionen des Rechnungshofes, Leitfaden zur Überprüfung von Internen Kontrollsystemen, Wien, Reihe 2016 / 3; www.rechnungshof.gv.at

Dies zeigt das Beispiel des ersten Leitsatzes des Handlungsfeldes Kontrollumfeld: The organisation demonstrates a commitment to integrity and ethical values. Diesem Leitsatz sind dann Verhaltensweise wie “tone of the top” oder Maßnahmen wie die Formulierung eines “Code of conduct” zugeordnet.

Anwendbarkeit in KMU

Das COSO-Modell wurde als generisches Modell zunächst ohne Berücksichtigung von unterschiedlichen Unternehmensgrößen und Branchen entwickelt. In 2006 hat COSO ein Papier zur Anwendung des Frameworks herausgebracht, welches den Besonderheiten kleinerer Unternehmen Rechnung tragen soll (Internal Control over Financial Reporting — Guidance for Smaller Public Companies). Hier werden für die sogenannten basic  principles in den jeweiligen fünf Bestandteilen des COSO-Frameworks Aktivitäten genannt, die auch für kleinere Unternehmen geeignet sind, um ein wirksames internes Kontrollsystem aufzubauen.

Ein Beispiel soll dies verdeutlichen:

Bestandteil:Control enviroment
Basic PrincipleOrganizational Structure – The company’s organizational structure supports effective internal control over financial reporting.
AnforderungenMaintains Structure – Management maintains an organizational structure that facilitates effective reporting and other communications about internal control over
financial reporting among various functions and positions of management.
Ausprägung bei KMUIllustrations, such as flowcharts and diagrams, highlight reporting responsibilities across the entire organization.

Im Jahre 2015 wurde das o.g. Dokument mit dem Dokument 2013 Internal Control — Integrated Framework, Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples zusammengeführt. Für jedes principle werden anhand von Beispielen alternative Möglichkeiten aufgezeigt, wie die Leitsätze erreicht werden können. Das Principle The organisation demonstrates a commitment to integrity and ethical value kann alternativ erreicht werden durch

  • Verabschiedung eines Standards zu Code of Conduct
  • Führen durch Vorbildfunktion
  • Regelmäßige Beurteilung von Leitungskräften, Outsourcing- und Geschäftspartnern im Hinblick auf Befolgung des Code of Conduct

Diese alternativen Möglichkeiten können auch von KMU genutzt werden, um eine auf ihre Organisation und das Unternehmensumfeld angepasste Verhaltensweise / Maßnahme zu definieren.
Zum Seitenanfang

COSO Enterprise Risk Management Framework

Im Jahre 2004 wurde mit dem Dokument COSO Enterprise Risk Management Framework (COSO ERM) das COSO-Modells um spezifische Elemente zum Aufbau eines Risikomanagementsystems erweitert. Das Handlungsfeld Risk assessment aus COSO wurde erweitert auf vier Handlungsfelder:

  • Objective setting (formaler Prozess zur Ableitung von Zielen aus der Strategie)
  • Event Identification (Bestimmung von Ereignisse, die zu Risiken führen können)
  • Risk Assessment (Einschätzung der Auswirkung von Risiken)
  • Risk Response (Risikobehandlungsstrategie festlegen: Vermeiden, Vermindern, Akzetieren, Versichern)

COSO ERM ist für KMU eher weniger geeignet, da in dem Framework COSO ERM die Prozesse zum Risikomanagement dominieren. Die Umsetzung von COSO ERM setzt eine entsprechende personelle Ausstattung des Riskomanagments sowie darauf aufbauende Steuerungsfunktionen voraus.

Zudem wird das ursprüngliche COSO-Modell durch COSO ERM nicht ersetzt, beide Modelle werden parallel weiter entwickelt. Das zeigt sich auch an den Veröffentlichungen zur Anwendung von COSO etwa COSO in the​​ ​​Cyber Age: Report Offers Guidance on Using Frameworks to Assess Cyber Risks aus dem Jahre 2015.
Zum Seitenanfang

COBIT

Grundlagen

COBIT (Control Objectives for Information and Related Technology) wurde ursprünglich von der ISACA als Rahmenwerk für die Prüfung von IT-Systemen entwickelt. Mit der in 2012 erschienen Version 5 wurde COBIT zu einem Rahmenwerk weiterentwickelt, welches alle Steuerungs- und Kontrollfunktionen von IT-Governance abdecken soll. COBIT 5 verwendet ein Prozessreferenzmodell, dass eine Reihe von Governance- und Management-Prozessen enthält.

COBIT 5-Prozessreferenzmodell, COBIT 5, Rahmenwerk für Governance und Management der Unternehmens-IT, 2012

Die fünf Governance-Prozesse (EDM01 – EDM05) definieren die Führungs- und Strategiebildungsprozesse, die 32 Management-Prozesse die IT-Aktivitäten, die zur Erreichung der Unternehmensziele erforderlich sind. Innerhalb der Management-Prozesse werden nochmals 4 Domänen unterschieden, die die Prozesse in Planungs-, Implementierungs-, Ausführungs- und Überwachungsaktivitäten differenzieren.

COBIT5 enthält darüberhinaus ein umfangreiches Rollenmodell (RACI-Diagramme) sowie eine Reihe von Zusatzdokumenten zur Implementierung und Prüfung des Rahmenswerkes.

Anwendbarkeit in KMU

COBIT 5 hat den Anspruch, unabhängig von Branchen und Unternehmensgrößen eingesetzt werden zu können. Gleichwohl setzen die unterschiedlichen Rollen, Aufgaben und Verantwortlichkeiten eine gewisse personelle Ausgestaltung der IT voraus, die in kleineren und mittleren Unternehmen vielfach nicht gegeben ist.

In den letzten Jahren wurden in der Literatur verschiedene Ansätze entwickelt, um COBIT auch für KMU anzupassen.

Die ISACA hat im Jahre 2007 ein Framework für kleinere Unternehmen entwickelt und unter der Bezeichung “COBIT Quickstart”. publiziert.2. Die Prozesse wurde von 34 auf 32 nur leicht, die Control Objectives bzw. Management Practices von 210 auf 59 aber deutlich reduziert. Auf der Basis eines vereinfachten Modells wurde in einem Baseline Katalog die detaillierten Control Objectives zu vereinfachten Management Practice zusammengefasst. COBIT Quickstart wurde auf Basis von COBIT 4.1 entwickelt und nicht mehr an COBIT 5 angepasst. Die Verwendbarkeit ist hierdurch naturgemäß eingeschränkt.

Peter Josi hat 2012 eine Masterarbeit zum Thema “IT-Governance for SME”3 veröffentlicht, die aufbauend auf COBIT 5 und ISO/IEC 38500 ebenfalls auf wenige Prozesse reduziertes Framework vorlegt.

Peter Josi, IT-Governance for SME, Fundstelle: http://www.it-governance-for-sme.ch/media/framework.pdf

Obwohl auf weniger Prozesse reduziert, enthält die Beschreibung jedes Prozesses Prozessziele, eine Beschreibung der durchzuführenden Aufgaben, Vorgaben für die Dokumentation und Metriken zur Messung der Prozessgüte.

Einen mehr generischen Weg beschreitet Heinz Tschanett mit seiner an der HFS St. Gallen vorgelegten Masterarbeit, in der er einen “Leitfaden zur Einführung von IT-Strategie und IT-Governance in KMUs”4 entwickelt, wie KMU auf der Basis existierender Rahmenwerke und Standards ein für ihre Zwecke geeignetes Governance-Modell ausgestalten können.
Zum Seitenanfang

Three-Line of Defense Modell

Grundlagen

Das Modell “Three-Line of Defense” (Modell der drei Verteidigungslinien) ist im Gegensatz zu den oben genannten Rahmenwerken kein klassisches Prozess-Framework, sondern beschreibt einen methodischen Ansatz zur Bewältigung von Risiken in Unternehmen. Das Modell wurde im Jahre 2013 vom The Institute of Internal Auditors5 publiziert und hat in der Praxis weite Verbreitung und Anerkennung gefunden.

Das Modell definiert die organisatorischen Zuständigkeiten für die Unternehmensleitung, für Führungskräfte und für Überwachungsinstanzen, um ein funktionsfähiges Internes Kontroll- und Überwachungssystem aufzubauen. Die erste Verteidigungslinie besteht aus dem operativen Management, welches das Erkennen und Beurteilen von Risiken sowie die Einrichtung und Durchführung von Kontrollen zur Verminderung von Risiken verantwortet. Die zweite Line überwacht die Aktivitäten der ersten Linie und erstellt Vorgaben, die das operative Management durch Kontrollen operationalisiert. Die Überwachungstätigkeit der 2nd line ist prozessintegriert. Die dritte Verteidigungslinie, die interne Revision, ist prozessunabhängig und dient der Geschäftsführung und den Aufsichtsorganen als unabhängige Prüfungs- und Beratungsfunktion.

Anwendbarkeit in KMU

Der Vorteil des 3LOD-Modells ist die Unabhängigkeit von Unternehmensgröße und -organisation. Es trägt dem Grundsatz der Funktionstrennung in besonderer Weise Rechnung, da dem Modell ein strikte Trennung zwischen Einheiten, die Vorgaben erstellen und deren Einhaltung überwachen (2nd Line) , Einheiten, die nach diesen Vorgaben arbeiten und Kontrollen ausführen (1st Line) und der Internen Revision immanent ist. Auch wenn bei KMU personell nicht alle Aufgaben der zweiten Verteidigungslinie ausgeprägt sind, kann gleichwohl das Konzept einer Funktionstrennung zwischen Risikomanagement und Durchführung von Kontrollen im Tagesgeschäft und der Überwachung und Anpassung der Vorgaben durch die zweite Verteidigungslinie organisatorisch realisiert werden. Einzelne Aufgaben der 2nd Line könnte der Geschäftsführer übernehmen, andere Aufgaben Personen, die auf Grund ihrer Stellung eine gewisse Distanz zum Tagesgeschäft haben (z.B. Informationssicherheitsbeauftragter, Datenschutzbeauftragter).

Ergänzend sei darauf hingewiesen, dass vom The Institute of Internal Auditor ein Konzept zur Integration des 3LOD-Modells in die 17 COSO Prinzipien erarbeitet wurde.6. Die Aktivitäten zur Erreichung der Principles werden dabei den jeweiligen Verteidigungslinien zugeordnet.

Zum Seitenanfang

Fazit

Die klassischen Rahmenwerke für die Gestaltung von Internen Kontrollsysteme, wie COSO, COSO ERM oder COBIT, wurden in erster Linie für größere Unternehmenseinheiten entwickelt, die in besonderer Weise Risiken, wie Fraud, fehlerhafte interne und externe Finanzberichterstattung oder Vermögensverlusten durch Fehler in den Geschäftsprozessen, ausgesetzt sind. Zudem müssen diese, zumeist Publikumsgesellschaften, umfangreiche Transparenz- und Nachweispflichten gegenüber ihren Stakeholdern, der Öffentlichkeit und Aufsichtsbehörden erfüllen.

Aber auch für KMU haben die Standards durchaus eine Daseinsberechtigung, auch wenn aus personellen und organisatorischen Gründen eine 1:1 Umsetzung zumeist nicht möglich ist:

  • Rahmenwerke können als Benchmark dienen, um die Gestaltung der eigenen Prozesse kritisch zu hinterfragen.
  • Für eine Reihe von Rahmenwerken gibt es in der Literatur Adaptionen bzw. auf den Rahmenwerken aufbauende spezielle Standards für KMU.

Zum Seitenanfang

  1. Vgl. etwa die Definitionen des Instituts für Mittelstandsforschung; https://www.ifm-bonn.org/definitionen
  2. Vgl. COBIT Quickstart, 2nd Edition, ISACA 2007
  3. Vgl. Peter Josi, IT-Governance for SME, 2012, Fundstelle: http://it-governance-for-sme.ch/IT%20Governance%20for%20SME.pdf
  4. Vgl. Heinz Tschanett, Leitfaden zur Einführung von IT-Strategie und IT-Governance in KMU´s, 2017, Fundstelle: https://docplayer.org/77751172-Leitfaden-zur-einfuehrung-von-it-strategie-und-it-governance-in-kmus.html
  5. IIA Position Paper: The Tree Lines of Defense in effective Risk Management and Control, January 2013
  6. Douglas J Anderson, Gina Eubanks, Leveraging COSO across the Three Lines of Defense, The Institute of Internal Auditors, 2015, Fundstelle  https://www.coso.org/Shared%20Documents/COSO-2015-3LOD.pdf

Beitrag veröffentlicht