Wirtschaftlichkeit und Wirksamkeit von Internen Kontrollsystemen auf Basis von COSO II E-Book

Page 1

Page 2

A Inhaltsverzeichnis

1. Einleitung

1.1 Ausgangssituation, Problemstellung und Zielsetzung …………………………...-8-1.2 Gang der Untersuchung………………………………………………………….-10-2. Regulatorisches Umfeld

2.1 Vertrauensverlust in die Kapitalmärkte durch Finanzskandale.…………………-11-2.2 Internationale Anforderungen 2.2.1 Sarbanes Oxley Act………………………………………………………..-15-2.2.2 COSO I als internationaler Standard………………………………………-18-2.2.3 COSO II Enterprise Risk Management……………………………………-20-2.3 Nationale Anforderungen.…………………….…………………………………-21-3. Grundlagen und Terminologie des Risikomanagements und Risikocontrollings3.1. Risikobegriff

3.1.1 Allgemein ……..……………………………………..……………………-23-3.1.2 Am Beispiel Kreditrisiko auf dem Subprime-Markt .…………………….-26-3.2 Begriff und Ziele des Risikomanagements...……….………....…………………-28-3.3 Risikomanagement und Risikocontrolling ……….……………………………-31-4. Das interne Kontrollsystem

4.1 Die Bedeutung des IKS ..……………….……….………….………………….-34-4.2 Definition des internen Kontrollsystems (IKS) 4.2.1 Grundlegende Definition….….…………….………………………………-35-4.2.2 Abgrenzung der internen Kontrolle ...…….……………………………….-36-4.2.3 Ziele interner Kontrollsysteme ..........…….……………………………….-38-4.2.4 Kontrollarten in einem IKS........…….…….………………………………..-39-5. COSO II als Rahmenwerk für das interne Kontrollsystem5.1 COSO II

5.1.1 Zweck, Ziele und Auftrag von COSO II .....….……………………………-41-5.1.2 Definition vom Enterprise Risk Management...........………………………-43-5.2 Das ERM-Rahmenwerk (COSO II) 5.2.1 Vorstellung..…………………………………..……………………………-46-

Page 3

5.2.2 Zielbereiche von ERM....…………….……………………………………-47-5.2.3 Komponenten von ERM

5.2.4 Entity von ERM....………………………………………………………….-68-5.3 Gemeinsamkeiten und Unterschiede von COSOI und COSOI.….………………-70-6. Optimierung der Wirtschaftlichkeit und Wirksamkeit des IKS mit COSOII6.1 Unterschied zwischen IKS und COSOII.………………………….……………..-74-6.2 Implementierung eines effektiven ERM Programms 6.2.1 Einleitung.…………………………………………………….…….………-76-6.2.2 Rollen und Verantwortungsverteilung

6.2.3 Fazit ..…………………………………….…………………………………-93-

6.3 Analyse der Wirtschaftlichkeit und Wirksamkeit des IKS im ERM Rahmenwerk 6.3.1 Einleitung.…………..……………………………………………………….-94-

6.3.2 Möglichkeiten und Grenzen der Steigerung der Wirtschaftlichkeit durch COSOII..……………………..…………………………………………….. -95-7. Zusammenfassung und Ausblick…………………………………….……………-101-8. Quellenverzeichnis.……………………..………………………………………….-105-

Page 4

Page 5

C Tabellenverzeichnis

Tabelle 1: Übersicht der 11 Abschnitte vom SOA………………………………………-16-Tabelle 2: Abgrenzung zwischen Prüfung und Kontrolle ..……………………..………-37-Tabelle 3: Abgrenzung zwischen IKS und ERM………………..………………………-75-Tabelle 4: Event Identification…………………………………………………………-117-

Page 6

D Abkürzungsverzeichnis

AAA - American Accounting Association

ABS - Asset Backed Securities, forderungsbesichertes Wertpapier AG - Aktiengesellschaft

AICPA - American Institute of Certified Public Accountants BASF - Badische Anilin- & Soda-Fabrik BilReG - Bilanzrechtsreformgesetz CEO - Chief Executive Officer CFO - Chief Financial Officer CRO - Chief Risk Officer

COSO - Committee of Sponsoring Organizations of the Treadway Commission COSO-Report - Internal Control - Integrated Framework COSOII - Enterprise Risk Management - Integrated Framework ERM - Enterprise Risk Management - Integrated Framework FED - Federal Reserve System

FEI - Financial Executives International IKS - Internes Kontrollsystem F&E - Forschung und Entwicklung GuV - Gewinn und Verlustrechnung IDW - Institut der Wirtschaftsprüfer in Deutschland e.V. IFRS - International Financial Reporting Standards IIA - The Institute of Internal Auditors IKB - IKB Deutsche Industriebank IMA - Institute of Management Accountants ISA - International Standard on Auditing (ISA) KfW - KfW Bankengruppe

KonTraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KPMG - Wirtschaftsprüfungsunternehmen „Klynveld, Peat, Marwick und Goerdeler

Page 7

NYSE - New York Stock Exchange NYSE PCAOB - Public Company Accounting Oversight Board PS - Prüfungsstandards PWC - PricewaterhouseCoopers

SEC - United States Securities and Exchange Commission SOA - Sarbanes-Oxley Act SOX - Sarbanes-Oxley Act TAN-Liste - Transaktionsnummer-Liste TransPuG - Transparenz- und Publizitätsgesetz USA - United States of America

US GAAP - United States Generally Accepted Accounting Principles

Page 8

1. Einleitung

1.1 Ausgangssituation, Problemstellung und Zielsetzung

Die Wirtschaft befindet sich im fortlaufenden Wandel und ist immer neuen Herausforderungen ausgesetzt. Das Management von Unternehmen muss diesen immer schneller veränderten Bedingungen des Marktes mit geeigneten Instrumenten gegenüber stehen. Verstärkt wird dies durch die Forderung nach einer Shareholder getriebenen Ausrichtung und die zunehmende Globalisierung der Märkte.

Die immer schneller verändernde Situation für die Unternehmen eröffnet neue Chancen aber auch höhere Risiken. Positive Beispiele mit weltweit stark wachsenden Unternehmen werden täglich kommuniziert aber auch skandalöse Unternehmenspleiten gehören zum täglichen Alltag einer Volkswirtschaft. Die Anzahl und das Ausmaß der einzelnen Skandale sind in den Phasen des Konjunkturabschwungs höher als im Aufschwung. Getrieben durch hohe Zielvorgaben und komplexe Abhängigkeiten unter den Unternehmen wird das Risiko in Phasen des Aufschwungs falsch eingeschätzt und teilweise das Vertrauen der Shareholder durch Angaben falscher Zahlen missbraucht. Besonders prägend waren die betrügerischen Finanzskandale in Milliardenhöhe bei den amerikanischen Unternehmen Enron und Worldcom im Jahr 2001. Der Gesetzgeber reagierte in den USA 2002 mit der Einführung des Sarbanes-Oxley Acts (SOX), welcher weitreichende Auswirkung auf die Unternehmen in den USA und darüber hinaus erreichte. Andere Länder reagierten ebenfalls mit neuen Gesetzesinitiativen, mit jedoch geringerem Ausmaß auf die Unternehmen. Die Schlüsselschwachstelle, die diese Skandale hervorgerufen hatten, waren die unwirksamen internen Kontrollsysteme und die damit im Zusammenhang stehenden fehlerhaften Berichterstattungen. Der Schwerpunkt von SOX liegt daher in den Sektionen 302 und 404, welche klare Vorschriften von dem Unternehmen fordern im Bezug auf die IKS Einrichtung und Dokumentation.1Die Unternehmensleitung ist demnach verpflichtet, die Überprüfung der Wirksamkeit des internen Kontrollsystems nach einem geeigneten Rahmenwerk durchzuführen. Als ein mögliches Rahmenwerk wird hierzu der so genannte COSO Report

1Vgl. Menzies Christof (2004), Sarbanes-Oxley Act, S. 2

Page 9

„Internal Control - Integrated Framework“ von 1992 empfohlen, welcher ein ganzeinheitliches IKS darstellt.2

Das „Committee of Sponsoring Organizations of the Treadway Commission“ (COSO) erweiterte 2004 das Rahmenwerk um ein unternehmensweites Risikomanagement, Enterprise Risk Management (ERM) oder auch COSO2 genannt.3Damit kam COSO der neuen Fokussierung der Risikobetrachtung nach, indem ein einheitliches allgemeingültiges unternehmensweites Risikorahmenwerk mit dem Zweck der besseren

Unternehmenszielerreichung entwickelt wurde.4

Ziel dieser Arbeit ist es, die Wirtschaftlichkeit und Anwendbarkeit dieses neuen Rahmenwerks (ERM) theoretisch zu untersuchen. Die Aufgabenstellung lautet: „Wirtschaftlichkeit und Wirksamkeit von Internen Kontrollsystemen auf Basis von COSO II“

Die Bedeutung von internen Kontrollsystemen und Risikomanagement ist zunehmend hoch und geprägt durch die regulatorischen Bestimmungen als auch die Notwendigkeit für die Unternehmen zur Erreichung der Ziele. In der Literatur befinden sich im Vergleich zur der Bedeutung erstaunlich wenig Interpretationen zu diesem speziellen Thema. Die Bestimmungen und Auswirkungen durch SOX werden zwar ausführlich in der Wissenschaft diskutiert, jedoch im genannten Schwerpunkt der Sektion 303 und 404 wird häufig nur das COSO Rahmenwerk unkritisch empfohlen.

Die Sichtweise und Beurteilung des Rahmenwerks wird in dieser Arbeit von der betriebswirtschaftlichen Sicht beleuchtet und nicht wie vielfach üblich, im Schrifttum auf Basis der Wirtschaftsprüfung. Die Interpretation bezieht sich daher nicht auf die Frage „wie es möglich ist, die Wirksamkeit und Wirtschaftlichkeit des IKS im Rahmen von COSO2 zu überprüfen“ sondern vielmehr, „ob das Rahmenwerk geeignet ist, die Wirksamkeit und Wirtschaftlichkeit des IKS zu gewährleisten“.

2Vgl. Glaum Martin; Thomaschewski Dieter; Weber Silke, Auswirkungen des Sarbanes-Oxley Acts auf deutsche

Unternehmen: Kosten, Nutzen Folgen für US-Börsennotierungen, S. 45

3Vgl. Moeller Robert, COSO Enterprise Risk Management, S. 3

4Vgl. Chapmann Robert, Simple Tools and Techniques for Enterprise Risk Management, S. 9

Page 10

1.2 Gang der Untersuchung

Die Aufgabenstellung dieser Arbeit ist komplex aufgrund der Betrachtung des ausführlichen ganzeinheitlichen Rahmenwerks ERM. Das interne Kontrollsystem isoliert betrachtet, benötigt alleine schon eine umfangreiche Darstellung. Das IKS, erweitert um ein Risikomanagementsystem, erhöht die Schwierigkeit, dieses ausreichend innerhalb des maximalen vorgegeben Umfanges zu untersuchen. Mit einem umfangreichen Grundverständnis muss der Leser daher an die Kernthematik herangeführt werden. Hierfür wird im Kapitel 2 zunächst das regulatorische Umfeld und damit die große Bedeutung des Rahmenwerks vermittelt. Das 3. Kapitel soll dem Leser das nötige Risikoverständnis vermitteln, das sich im Enterprise Risk Management widerspiegelt. Im 4. Kapitel wird das interne Kontrollsystem mit dem grundlegenden Fachwissen dargestellt, ohne bereits den Bezug auf das COSO Rahmenwerk zu nehmen. Hier liegt die Betrachtungsweise auf das herkömmliche IKS mit der eher formalgeprägten Sicht im Vordergrund. Im Kapitel 5 wird das Enterprise Risk Management - Integrated Framework vorgestellt. Besonderer Schwerpunkt sind die einzelnen Komponenten, die den Kern des Rahmenwerks darstellen. Nach dieser Vorstellung des Rahmenwerks von COSO wird im 6. Kapitel auf die Implementierung eingegangen, die verschiedenen Verantwortlichen des Prozesses betrachtet und der Unterschied zwischen IKS und ERM dargestellt. Das 6. Kapitel untersucht diese Implementierung als auch den Aufbau des Rahmenwerks (5.Kapitel) unter den Möglichkeiten und Grenzen der Wirksamkeit und Wirtschaftlichkeit des IKS durch ERM. Eine Zusammenfassung der Ergebnisse befindet sich im Kapitel 6.3.2.

Page 11

2. Regulatorisches Umfeld

2.1 Vertrauensverluste in die Kapitalmärkte durch Finanzskandale

Das Vertrauen eines Investors in ein Unternehmen ist eine der Grundvoraussetzung für eine gemeinsame erfolgreiche Zusammenarbeit. Letztlich hat jeder Shareholder eine gewisse Renditeerwartung mit seinem Investment, und hierzu benötigt er bereits für die Investitionsentscheidung(z.B. Finanzbeteiligung) verlässliche Informationen, um das Risiko/Chancen Verhältnis zu ermitteln und eine geeignete Bewertung zu erstellen. Die Vorstände der Unternehmen sind sich i.d.R. diesem Renditeziel der Investoren ausgesetzt aufgrund vorher kommunizierten Umsätzen und Gewinnerwartungen. Letztlich wird ein Unternehmenswert nur durch Wachstum bzw. positivem Cash-Flow geschaffen, und dieser ist in vielen Fällen durch Wirtschaftszyklen unterbrochen und kann nicht fortlaufend erreicht werden.

Durch die häufig hochgesteckten Ziele im Kapitalmarkt während eines Wirtschaftsaufschwungs sind die Unternehmen häufig risikobereiter. „Daher haben Informationen über die Existenz von und den Umgang mit existenzgefährdenden - oder zumindest wesentlich unternehmensbeeinflussenden - Risiken eine hohe Bedeutung.“5Eine Investor Relations mit schlechter Berichtserstattung in diesem Bereich schwächt das Interesse derzeitiger oder potentieller Investoren, die in diesem Fall ggf. ihr finanzielles Engagement anderweitig ausüben.

Das stark gewachsene Interesse an wirksamen Kontrollsystemen mit risikoorientierter Ausrichtung des Managements seitens der Öffentlichkeit liegt begründet in den seit Jahren spektakulären Unternehmenskrisen und Skandalen. Die derzeitige Kreditkrise auf dem Immobilienmarkt in den USA, welche sich bereits seit Jahren abgezeichnete, hat in seiner Dimension viele Experten überrascht.

Beim Bekanntwerden der ersten Zahlungsausfälle der Kredite an besonders bonitätsschwache Kreditnehmer und den damit beginnenden Preisverfall der Immobilien rechneten viele Marktteilnehmer mit hohen Verlusten bzw. Kreditausfällen bei den betreffenden Hypothekenbanken.

5Marc Dietrich (2004), Risikomanagement und Risikocontrolling, S.1

Page 12

Im Verlauf der Krise wurden jedoch immer mehr beteiligte Banken der Öffentlichkeit bekannt, welche ebenfalls auf dem renditestarken Subprime-Markt involviert waren. Deutsche Banken, wie die Sachsen LB und IKB Deutsche Industriebank, meldeten plötzlich ebenfalls ein hohes Engagement in diesem hoch riskanten Markt und überraschten die Investoren negativ.

Bei der IKB Deutsche Industriebank, die bekannt ist für langfristige Finanzierungen mittelständiger Unternehmen, hat sich dieses dramatisch ausgewirkt. Die IKB hat sich hohen Risiken mit neuen Geschäftsfeldern ausgesetzt, wie im folgendem PricewaterhouseCoopers(PwC) Bericht ersichtlich ist und muss im Geschäftsjahr 2007/08 mit mehr als 6 Mrd. € Verlust rechnen. “Ein zentraler Kritikpunkt des PwC-Berichts sind die Schwachstellen bei der Risikoanalyse, Risikosteuerung und dem Berichtswesen bei bestimmten Portfolio Investments.“6

Diese Investments hatten stark an Bedeutung zugenommen, da sie einen wesentlichen Beitrag zur Realisierung der ambitionierten Wachstumsziele der Bank leisteten. Das Management der Portfolio Investments wurde weitestgehend der IKB CAM einer Tochtergesellschaft übertragen. Die Rolle und Bedeutung, die dadurch der IKB CAM zukam, ging weit über eine reine Berater-Funktion für die IKB hinaus. Die für die IKB CAM geltenden Kontrollstrukturen waren im Vergleich zu dem großen Handlungsspielraum und damit dem Einfluss der IKB CAM auf die Risikoposition der Bank inadäquat. Entscheidungen über umfangreiche Investitionen im amerikanischen Subprime-Segment konnten so ohne angemessene Kontrolle getätigt werden.7