Die Studie mit dem Titel „Internal Control – Integrated Framework“ (COSO-Report) wurde im September 1992 von dem Committee of Sponsoring Organizations of the Treadway Commission (COSO) veröffentlicht und versuchte erstmals bis dahin undefinierte Begriffe aus dem Bereich Corporate Governance zu präzisieren und strukturelle Zusammenhänge aufzuzeigen. Der COSO-Report bildet den zentralen Standard für die Schaffung eines IKS (für allgemeine Informationen rund um COSO sowie dessen Verlautbarungen wird auf die folgende Internetadresse verwiesen: www.coso.org. Vgl. für die nachfolgende Darstellung des IKS nach dem COSO-Modell vor allem Committee of Sponsoring Organizations of the Treadway Commission (COSO): Internal Control – Integrated Framework. September 1992 sowie die Verlautbarungen Internal Control – Integrated Framework. Guidance on Monitoring Internal Control Systems. Februar 2009; Internal Control over Financial Reporting – Guidance for Smaller Public Companies. Juli 2006; Enterprise Risk Management – Integrated Framework. September 2004).
COSO hat mit dem COSO-Report ein allgemein einsetzbares Konzept hinsichtlich der Gestaltung des „Internal Control System“ vorgeschlagen.
Der Begriff des „Internal Control System“ wurde im deutschsprachigen Raum mit „Internes Kontrollsystem (IKS)“ übersetzt. Besser umschrieben wird „Internal Control“ jedoch durch die beiden Teilbereiche des IKS:
Es geht demnach um die Gestaltung eines Internen Steuerungs- und Überwachungssystems für alle wesentlichen Geschäftsprozesse eines Unternehmens. Welche Geschäftsprozesse als wesentlich einzuschätzen sind, ergibt sich aus dem jeweiligen Geschäftsmodell und seinen Möglichkeiten zur Nutzenstiftung für den Kunden sowie der wettbewerblichen Differenzierung.
Der COSO-Report besteht aus vier Teilen, wobei der erste Teil (Executive Summary) des Berichts eine Zusammenfassung über die Ergebnisse der Untersuchungen beinhaltet. Im zweiten Teil (Framework) wird ein IKS definiert und seine Komponenten näher beschrieben sowie Kriterien zur Systemeinschätzung dargestellt. Der dritte Teil (Reporting to External Parties) gibt den Unternehmen Hinweise zur externen Berichterstattung. Im abschließenden vierten Teil (Evaluation Tools) werden Werkzeuge dargestellt, anhand derer eine Bewertung des IKS ermöglicht werden soll.
Das COSO-Framework und das daraus entwickelte COSO-Modell (COSO I) fanden ihren Niederschlag im Wesentlichen inhaltsgleich in den berufsständischen Verlautbarungen der Wirtschaftsprüfer. Der IDW PS 261 gibt im Wesentlichen das Verständnis von Zielen und Komponenten eines IKS des COSO-Modells wieder.
Die Ausgestaltung (d.h. die Konzeption, Implementierung, Aufrechterhaltung, Überwachung sowie die laufende Anpassung und Weiterentwicklung) eines angemessenen und wirksamen IKS liegt explizit im Verantwortungsbereich der Unternehmensleitung und muss anhand von unternehmensspezifischen Merkmalen (z.B. Größe, Komplexität, Rechtsform und Organisation des Unternehmens; Art, Komplexität und Diversifikation der Geschäftstätigkeit; Methoden der Erfassung, Verarbeitung, Aufbewahrung und Sicherung von Informationen sowie Art und Umfang der zu beachtenden rechtlichen Vorschriften) erfolgen.
So wird z.B. das IKS in kleinen und mittelständischen Unternehmen, die von einem Gesellschafter-Geschäftsführer geleitet werden, übersichtlich sind, eine flache Hierarchie mit täglichen persönlichen Kontakten und einfache Geschäftsprozesse haben, i.d.R. weniger formalisiert sein als in großen Unternehmen mit mehreren hierarchischen Ebenen, örtlich getrennten Einheiten und komplexen Geschäftsprozessen.
COSO definiert „Internal Control“ als einen Prozess, der durch Überwachungs- und Leitungsorgane, das Management und andere Mitarbeiter einer Organisation ausgeführt wird, um hinreichende Sicherheit bezüglich des Erreichens der folgenden Zielkategorien zu gewährleisten (d.h. alle Mitarbeiter innerhalb einer Organisation sind in unterschiedlicher Art und Weise verantwortlich für das IKS):
Die Festlegung von Zielen in den drei Kategorien ist gleichzeitig die Voraussetzung der Risikobeurteilung zur Einschätzung von Ereignissen, welche die Zielerreichung negativ beeinflussen können.
Grundsätzlich besteht das IKS aus fünf Komponenten, die zueinander in wechselseitiger Beziehung stehen:
Das IKS nach COSO kann als dreidimensionales Modell interpretiert werden. Die drei Zielkategorien (erste Dimension) und die fünf Komponenten (zweite Dimension) stehen im direkten Verhältnis zueinander. Jede der fünf Komponenten bezieht sich jeweils auf alle drei Zielkategorien. Ebenso gelten die drei Zielkategorien für jede Komponente des IKS. Das IKS ist sowohl für das gesamte Unternehmen oder den Konzern als auch für die einzelnen betrieblichen Einheiten und Aktivitäten relevant (dritte Dimension). Die Zusammenhänge zwischen den drei Dimensionen werden mit der folgenden Abbildung zusammengefasst:
In Ergänzung seines Rahmenkonzepts zur „Internal Control“ hat COSO 2004 ein „Enterprise Risk Management (ERM) Framework“ (COSO II) zur Gestaltung eines unternehmensweiten Risikomanagement veröffentlicht, welches den COSO-Report (COSO I) erweitert und die zwischenzeitlich bedeutend gewordene Integration von Risikomanagementsystemen und IKS berücksichtigt.
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: