Information und Kommunikation beeinflussen alle anderen Komponenten des COSO-Report und dienen dazu, dass die für die unternehmerischen Entscheidungen des Managements erforderlichen Informationen in geeigneter und zeitgerechter Form eingeholt, aufbereitet und an die zuständigen Stellen im Unternehmen weitergeleitet werden. Dies umfasst auch die für die Risikobeurteilung notwendigen Informationen sowie die Informationen der Mitarbeiter über Aufgaben und Verantwortlichkeiten im IKS. Neben der mündlichen Berichterstattung können Organisationshandbücher, Richtlinien für die interne und externe Rechnungslegung, Aktennotizen und ähnliches in Betracht kommen.

Relevante Informationen aus internen und externen Quellen müssen in einer Form und einem zeitlichen Rahmen identifiziert, dokumentiert und kommuniziert werden, die es der Unternehmensleitung und den Mitarbeitern ermöglichen, ihre jeweiligen Verantwortlichkeiten zu erfüllen. Hierfür sind Informationssysteme erforderlich, die für ihre Berichte sowohl Daten innerhalb des Unternehmens berücksichtigen als auch Informationen verarbeiten, die von unternehmensexternen Quellen stammen.

Das Informationssystem umfasst alle Teilbereiche des Unternehmens und kann formell oder informell operieren. Informelle Unterhaltungen mit Kunden, Zulieferern und Mitarbeitern bringen z.B. häufig die kritischen Informationen hervor, die nötig sind, Chancen und Risiken des Unternehmens zu identifizieren. Chancen und Risiken können ebenfalls formell beispielsweise durch die Teilnahme an Seminaren oder Mitgliedschaften in Berufsorganisationen identifiziert werden. Informationssysteme sollten so ausgestaltet sein, dass geeignete, aktuelle und richtige Informationen rechtzeitig verfügbar und jederzeit zugänglich sind.

Die Kommunikation innerhalb eines Unternehmens ist inhärenter Bestandteil des Informations-systems. Effektive Kommunikation muss den Informationsfluss von oben nach unten (down-stream), von unten nach oben (up-stream) und quer durch das Unternehmen (cross-stream) sicherstellen. Die Unternehmensleitung muss unmissverständlich jedem Mitarbeiter klarmachen, dass er eine diesbezügliche Verantwortlichkeit trägt. Jeder Mitarbeiter des Unternehmens muss seine eigene Position im System verstehen, muss wissen, wie sich individuelle Aktivitäten in Verbindung zu anderen auswirken und muss die Möglichkeit und die Mittel haben, die wesentlichen Informationen nach oben weiterzugeben.

Gerade für Informationen, die innerhalb der Unternehmenshierarchie nach oben geleitet werden, müssen einerseits offene Kommunikationswege bestehen und andererseits ist seitens der Unternehmensleitung die Existenz einer eindeutigen Aufnahmebereitschaft für solche Informationen zu signalisieren. Für den Fall, dass die üblichen Berichtswege des Unternehmens als Kommunikations-wege versagen, sollten separate Kommunikationswege als Sicherheitsmechanismus etabliert werden (z.B. wöchentliche Sprechstunden oder periodische Besuche des Managements, wobei insbesondere Risiken kommuniziert werden). Die Unternehmensleitung, die für die notwendigen Kommunikationswege sorgt und vor allem klar stellt, dass sie offen für Risikoinformationen ist und der Überbringer von „schlechten Nachrichten“ nicht mit Nachteilen rechnen muss, kann vermeiden, dass sie als letzte von eben jenen Risiken erfährt (vgl. Lück, Wolfgang und Oliver Bungartz: Risikoberichterstattung deutscher Unternehmen. Ein Beitrag zur Verbesserung der Wettbewerbsfähigkeit von Unternehmen am internationalen Kapitalmarkt. In: Der Betrieb 2004, S. 1789-1792.).

Neben der internen Kommunikation besteht die Notwendigkeit für eine effektive Kommunikation mit unternehmensexternen Gruppen wie z.B. Kunden, Aufsichtsbehörden, Zulieferern, Anteils-eignern, externen Prüfern und Finanzanalysten. Die externe Kommunikation sollte den externen Parteien entscheidungsrelevante Informationen zur Verfügung stellen, damit diese die Umstände und die Risiken verstehen, mit denen das Unternehmen konfrontiert ist. Die externe Kommunikation eines Unternehmens sollte bedeutungsvoll, angemessen und zeitnah sein sowie den Gesetzen und Vorschriften entsprechen.

Literatur:

• Bungartz, Oliver: Handbuch Interne Kontrollsysteme (IKS) – Steuerung und Überwachung von Unternehmen. 3. Aufl. Berlin 2011
• Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261)
• Lück, Wolfgang und Oliver Bungartz: Risikoberichterstattung deutscher Unternehmen. Ein Beitrag zur Verbesserung der Wettbewerbsfähigkeit von Unternehmen am internationalen Kapitalmarkt. In: Der Betrieb 2004, S. 1789-1792
• Committee of Sponsoring Organizations of the Treadway Commission (COSO): Internal Control – Integrated Framework. September 1992Bungartz, Oliver: Handbuch Interne Kontrollsysteme (IKS) – Steuerung und Überwachung von Unternehmen. 3. Aufl. Berlin 2011
• Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261)
• Lück, Wolfgang und Oliver Bungartz: Risikoberichterstattung deutscher Unternehmen. Ein Beitrag zur Verbesserung der Wettbewerbsfähigkeit von Unternehmen am internationalen Kapitalmarkt. In: Der Betrieb 2004, S. 1789-1792
• Committee of Sponsoring Organizations of the Treadway Commission (COSO): Internal Control – Integrated Framework. September 1992