(IT) Compliance/(IT) Governance

Das Interne Kontrollsystem – das unbekannte Wesen?

COSO (Committee of Sponsoring Organizations of the Treadway Commission) definiert – unsererseits etwas frei übersetzt – interne Kontrollen wie folgt (im Original hier):

Interne Kontrolle ist ein Prozess, der vom Aufsichtsorgan, dem Management oder anderem Personal einer Organisation durchgeführt oder veranlasst wird. Dieser Prozess soll mit hinreichender Sicherheit gewährleisten, dass die Ziele im Hinblick auf Effektivität und Effizienz des Geschäftsbetriebs, die Verlässlichkeit der Finanzberichterstattung und Einhaltung von anwendbaren Vorschriften und Gesetzen erreicht werden.

1. Interne Kontrolle ist ein Prozess. Sie ist ein Weg zum Ziel, nicht das Ziel selbst.
2. Interne Kontrolle ist nicht lediglich in Verfahrensanweisungen und Formularen dokumentiert. Interne Kontrolle wird von den Menschen jeder Hierarchieebene eines Unternehmens umgesetzt.
3. Interne Kontrolle kann der Organisation und dem Management hinreichende, aber nicht absolute Sicherheit geben.
4. Interne Kontrolle ist auf die Erreichung von Zielen in separaten, aber überlappenden Kategorien ausgerichtet.

In der heutigen Zeit ist das Internet aus der Arbeitswelt nicht mehr wegzudenken. Zugänge zum Netz der Netze sind allerorten verfügbar. Das technische Equipment wird in vielen Fällen direkt durch den Internet-Provider beim Abschluss eines Vertrages mit geliefert. Die Konfiguration gestaltet sich i.d.R. für den Endanwender recht einfach, da die meisten Geräte über nicht sehr viele Einstellungen verfügen. Oft wird dem Anwender durch die Aufschrift „Firewall enthalten“ suggeriert, dass er sich sicher fühlen kann und „Bösewichte“  im Internet nicht auf seinen PC gelangen können. Das mag für bestimme Angriffe gelten, aber eben nicht für alle Arten von Angriffen.

In diesem Artikel wollen wir auch nicht über Angriffsarten aus dem Internet oder derer Gefahren schreiben, sondern darauf hinweisen, dass ein Firewall nicht nur die Verbindung zum Netz herstellt, sondern die modernen dedizierten Systeme am Markt längst noch andere wichtige Aufgaben übernehmen, als nur den Zugang herzustellen.

Wir möchten Gutes nicht ersetzen oder noch einmal erfinden. Diesem Grundsatz folgend empfehlen wir für Grundlageninformationen und aktuelle Themen im Bereich des Risk-Managements die Seite RiskNET.de, mit der compliance-net in keinerlei Beziehung steht.

Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sind nun schon ein wenig betagt, was aber an deren grundsätzlicher Aktualität nichts ändert.

Seit dem 1. Januar 2002 müssen Steuerpflichtige, die der Buchführungspflicht unterliegen, und solche, die eine Buchführung freiwillig erstellen, die originär elektronisch vorliegenden, steuerlich relevanten Daten aufbewahren und der Finanzverwaltung zugänglich machen.

Diese Aufbewahrung und das Bereitstellen für Besteuerungszwecke bezieht sich zwar primär auf die Buchhaltung und damit verbundene Nebensysteme, allerdings wird zunehmend auch über die Pflicht zur Aufbewahrung von E-Mails mit steuerlicher Relevanz diskutiert (nicht zu verwechseln mit der Aufbewahrung von E-Mails als Handelsbrief im Sinne des HGB!).

Gemäß § 289a E-HGB (BilMoG) müssen

• börsennortierte Aktiengesellschaften und
• Aktiengesellschaften, die ausschließlich andere Wertpapiere als Aktien an einem organisierten Markt im Sinne des § 2 Abs. 5 WpHG ausgegeben haben und deren ausgegebene Aktien auf eigene Veranlassung über ein mulitlaterales Handelssystem (gemäß § 2 Abs. 3 Satz 1 Nr. 8 WpHG)  gehandelt werden,

eine Erklärung über die Unternehmensführung in einem gesonderten Abschnitt des Lageberichts abgeben.

Kapitalmarktorientierte Kapitalgesellschaften im Sinne des § 264d HGB-E müssen gemäß § 324 HGB-E künftig einen Prüfungsausschuss einrichten, falls sie nicht über einen Aufsichts- oder Verwaltungsrat verfügen, der die Voraussetzungen des neuen § 100 Abs. 5 AktG-E erfüllt.

Die Anforderung des § 100 Abs. 5 AktG-E fordert, dass mindestens ein unabhängiges Mitglied des Aufsichtsrats über Sachverstand auf den Gebieten Rechnungslegung und Abschlussprüfung verfügen muss. Mindestens ein Mitglied des einzurichtenden Prüfungsausschusses muss diese Voraussetzung erfüllen.

Anforderungen an Unabhängigkeit und Sachverstand werden nunmehr gesetzlich kodifiziert, was bei manchen Unternehmen möglicherweise Veränderungen erfordert.

Die Aufgaben des Prüfungsausschusses, die grundsätzlich auch durch den Aufsichtsrat wahrgenommen werden können, werden konkretisiert, wobei klar sein dürfte, dass dies keine abschließende Aufstellung sein kann. Der Prüfungsausschuss befasst sich laut § 107 Abs. 3 Satz 2 AktG-E mit

• der Überwachung des Rechnungslegungsprozesses,
• der Wirksamkeit des Internen Kontrollsystems, des Internen Risikomanagementsystems und des Internen Revisionssystems sowie
• der Abschlussprüfung, hier insbesondere der Unabhängigkeit des Abschlussprüfers und der vom Abschlussprüfer zusätzlich erbrachten Leistungen.

Das Bilanzmodernisierungsgesetz (BilMoG) setzt eine Reihe von EU-Richtlinien um, über die man im Vorfeld schon viel gehört hat. "EURO-SOX" und "Abschlussprüferrichtlinie" sind die Schlagworte, die damit in Verbindung gebracht wurden und werden.

Im Hinblick auf die Neuerungen der Anforderungen an das interne Kontrollsystem (IKS) und die Corporate Governance ist erforderlich, den Geltungsbereich abzustecken.