Unternehmen sind grundsätzlich einer Vielzahl von Risiken ausgesetzt, welche die Erreichung der Unternehmensziele in Übereinstimmung mit der von der Unternehmensleitung festgelegten Geschäftsstrategie gefährden können.

Risiko ist ein Ereignis oder ein Zustand, der die Möglichkeit des Unternehmens zur Erreichung seiner Ziele in den Kategorien (1) Betrieblich, (2) Berichterstattung und (3) Regeleinhaltung negativ beeinflussen kann. Risiko ist die Wahrscheinlichkeit eines Ereignisses multipliziert mit der Auswirkung des Ereignisses. Risiken werden auf Ebene des Unternehmens und auf Ebene der Prozesse beurteilt. Die Unternehmensrisiken lassen sich in finanzielle, rechtliche, leistungswirtschaftliche oder strategische Risiken unterteilen; solche Risiken sollen durch Risikobeurteilungen sorgfältig identifiziert und analysiert werden.

Risikobeurteilung ist die Identifikation und die Analyse relevanter Risiken, die die Zielerreichung behindern können. Risiken können identifiziert werden, indem vereinfacht die Frage gestellt wird: „Was kann falsch laufen?“ Die Risikobeurteilung stellt einen kontinuierlichen und sich wiederholenden Prozess dar: Ziele setzen – Identifikation von Risiken der Zielerreichung – Beurteilung von Wahrscheinlichkeit und Auswirkung der Risiken – Priorisierung der Risiken und Aufbau von Kontrollen zur Verminderung der Risiken – Abstimmen der Risiken auf Ebene der Prozesse mit den Risiken auf Ebene des Unternehmens.

Risiken auf der Ebene des Unternehmens bzw. Konzerns können die Zielerreichung behindern und lösen Bedenken auf höchster Ebene aus (z.B. dolose Handlungen, Wechsel des Informationssystems, neue Gesetzgebung und Regulierung sowie ineffektive Unternehmensüberwachung durch Aufsichtsrat bzw. Gesellschafterversammlung).

Risiken auf Ebene der Prozesse können Geschäftsaktivitäten u.a. eines Tochterunternehmens, einer Geschäftseinheit oder Abteilung betreffen (z.B. unvollständige Verbuchung von Zahlungen an einen Lieferanten). Risiken auf Ebene der Prozesse sollten kompatibel sein mit den zugehörigen Risiken auf Ebene des Unternehmens.

Maßnahmen sind notwendig, um spezielle Risiken die mit Veränderungen einhergehen zu identifizieren und zu steuern, da ökonomische, industrielle, regulatorische und betriebliche Gegebenheiten sich kontinuierlich verändern. Risikobeurteilungen stellen die Grundlage für die Entscheidungen der Unternehmensleitung über den Umgang mit den Risiken einer unternehmerischen Betätigung dar.

Eine notwendige Voraussetzung der Risikobeurteilung ist die Definition von Zielen in den einzelnen Zielkategorien des COSO-Report:

• Betrieblich
• Berichterstattung
• Regeleinhaltung

Betriebliche Ziele

Mit der Gestaltung eines IKS ist die systematische Untersuchung der Prozessabläufe verbunden. Die Strukturierung und Dokumentation der Prozessabläufe können Möglichkeiten zur Optimierung von Prozessen bzw. Subprozessen aufzeigen. Interne Kontrollen müssen so ausgestaltet sein, dass sie – unter Berücksichtigung des zugrundeliegenden Risikos – keine bzw. eine möglichst geringe Beeinträchtigung der operativen Geschäftstätigkeit mit sich bringen.

Kontrollaktivitäten zielen auf die Effektivität und Effizienz der operativen Geschäftstätigkeit durch standardisierte Prozesse ab und sichern den Schutz von Vermögensgegenständen. Betriebliche Ziele sollten zur Umsetzung der strategischen Ziele des Unternehmens beitragen, die Risikobewältigung unterstützen sowie den optimalen Einsatz der Ressourcen steuern. Operative Ziele sind hier nicht als Gegensatz zu strategischen Zielen zu verstehen, sondern beziehen sich auf die fachlichen Unternehmensziele.

Beispiele für betriebliche Ziele eines Unternehmen bzw. eines Konzerns können sein (vgl. Menzies, Christof (Hrsg.): Sarbanes-Oxley Act. Professionelles Management interner Kontrollen. Stuttgart 2004, S. 95-96):

• Kostenkontrolle
• Optimierung des Cash Management
• Kurze Reaktionszeit gegenüber Kunden
• Steigerung der Produktivität
• Verbesserung der Qualität
• Kundenzufriedenheit
• Einhaltung von Lieferzeiten
• Erhaltung und Ausbau von Wettbewerbsvorteilen

Ziele Berichterstattung

Die Finanzinformationen stellen eine wichtige Grundlage für unternehmensinterne sowie für externe Entscheidungen u.a. der Anteilseigner und Gläubiger dar. Das Zahlenwerk und z.B. die in Anhang und Lagebericht dargestellten Sachverhalte müssen daher verlässlich sein. Die Integrität der verwendeten Daten auf der unternehmerische Entscheidungen beruhen, soll durch die Ziele der Berichterstattung gefördert werden. Die Prävention und Aufdeckung von Wirtschaftskriminalität (dolose Handlungen) wird durch die Ziele der Berichterstattung unterstützt, indem eine prüfbare Beweiskette für die folgenden Aussagen der Rechnungslegung generiert wird:

• Existenz oder Vorhandensein: Vermögensgegenstände, Schulden und Eigenkapital sind zu einem bestimmten Zeitpunkt vorhanden und erfasste Geschäftsvorfälle und Ereignisse haben in einer bestimmten Periode stattgefunden.
• Vollständigkeit: Alle Geschäftsvorfälle, Ereignisse und Umstände, die während einer bestimmten Periode stattgefunden haben, wurden auch tatsächlich erfasst.
• Rechte und Verpflichtungen: Aktiva sind die Rechte und Schulden sind die Verpflichtungen eines Unternehmens zu einem bestimmten Zeitpunkt.
• Bewertung und Zuordnung: Vermögensgegenstände, Schulden und Eigenkapital sind mit den zutreffenden Beträgen in Übereinstimmung mit den relevanten Rechnungslegungsgrundsätzen erfasst. Geschäftsvorfälle sind mathematisch korrekt, angemessen zusammengefasst und in den Büchern und dem Abschluss des Unternehmens enthalten.
• Ausweis und Angabe: Informationen zur Rechnungslegung und andere Informationen sind angemessen erläutert, dargestellt und klassifiziert.

Ziele der Regeleinhaltung

Die Einhaltung der unternehmensspezifischen, gesetzlichen bzw. vertraglich vereinbarten Regelungen und deren Umsetzung werden durch die Ziele der Regeleinhaltung unterstützt. Die Ziele der Regleinhaltung sind abhängig von der Branche sowie der für diese Branche gültigen Regulierung. Die Ziele der Regeleinhaltung sind in Abgrenzung zu den Zielen der Berichterstattung zu sehen und beinhalten alle Regeln, die nicht direkt die finanzielle Berichterstattung betreffen.

Die Nicht-Erreichung der Ziele der Regeleinhaltung kann u.a. mit den folgenden Risiken verbunden sein (vgl. Andras, Gabriel und Mirco Vedder: Das IKS für den Prozess Fertigung und Lagerwirtschaft. Lektion 4 des schriftlichen Management-Lehrgangs „Interne Kontrollsysteme“ in 10 Lektionen. Hrsg. Euroforum Verlag. 2. Aufl. Düsseldorf 2009, S. 26):

• Monetäre Sanktionen (z.B. Geldstrafen und Bußgelder)
• Rechtliche Auflagen und Einschränkungen
• Gefahr für Leib und Leben von Personen
• Bedrohungen für Natur und Umwelt
• Langwierige zivil- und strafrechtliche Prozesse
• Gefängnisstrafen

Einige Beispiele für Bereiche und Normen, bei denen das Ziel der Regeleinhaltung bestehen kann, sind nachfolgend aufgelistet (vgl. Menzies, Christof (Hrsg.): Sarbanes-Oxley Act. Professionelles Management interner Kontrollen. Stuttgart 2004, S. 97):

• Gesundheitsbestimmungen
• Sicherheitsvorschriften
• Umweltschutz
• Produkthaftung
• Strafrecht
• Arbeitsrecht
• Arbeitsschutz
• Gefahrstoffe
• Datenschutz

Literatur:

• Bungartz, Oliver: Handbuch Interne Kontrollsysteme (IKS) – Steuerung und Überwachung von Unternehmen. 3. Aufl. Berlin 2011
• Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261)
• Committee of Sponsoring Organizations of the Treadway Commission (COSO): Internal Control – Integrated Framework. September 1992; Menzies, Christof (Hrsg.): Sarbanes-Oxley Act. Professionelles Management interner Kontrollen. Stuttgart 2004