2.2.3 Die interne Steuerung und Kontrolle eines Unternehmens

Das Audit Committee ist massgeblich für die Überwachung der internen Steuerung und Kontrolle verantwortlich. Um ein differenziertes Verständnis der Ausgestaltung der unternehmerischen Steuerung und Kontrolle erzielen zu können, ist eine grundlegende Abgrenzung und eine klärende Begriffsbestimmung ihrer Hauptelemente von Nöten. Dabei ist zu berücksichtigen, dass durch die blosse Übersetzung englischer Begriffe oftmals Inhalte nicht adäquat sprachlich abgebildet werden und wesentliche Elemente verloren gehen können. So umfasst der englische Ausdruck des Control nicht ausschliesslich die nachgelagerten, aufdeckenden Kontrolltätigkeiten, sondern stellt gleichsam auf die lenkenden, präventiven Steuerungsaktivitäten ab. Daher werden im Folgenden die wichtigsten Begriffe der internen Steuerung und Kontrolle anhand des „Three Lines of Defence“-Modells näher erläutert (Abb. 2.1).

In der ersten Verteidigungslinie wird festgehalten, dass das operative Management die organisatorische und disziplinarische Verantwortung und Rechenschaftspflicht über den Umgang mit Risiken innehat. Dies beinhaltet die Bewertung, Steuerung und Minimierung von Risiken im Unternehmen und wird massgeblich durch die prozessualen Massnahmen des internen Kontrollsystems vollzogen. Das interne Kontrollsystem kann mit engem und breitem Fokus sowie im engeren und weiteren Sinne ausgestaltet werden. Unter engerem Fokus versteht man die primäre Zielsetzung, die Verlässlichkeit der Finanzberichterstattung im Unternehmen zu gewährleisten. Der breite Fokus hingegen stellt auf eine umfassendere,

Abb. 2.1 Three Lines of Defence-Modell der internen Steuerung und Kontrolle (Quelle: In Anlehnung an Dennery et al. 2010, S. 9)

da ganzheitliche Definition des Zielumfangs ab und beinhaltet zusätzlich eine wirksame und effiziente Gestaltung von operativen Geschäftsprozessen sowie die Sicherstellung der Gesetzes- und Normenkonformität. Das interne Kontrollsystem im engeren Sinne beschreibt die prozessabhängigen Elemente der unternehmerischen Steuerung und Kontrolle. Prozessunabhängigen Elementen wie der internen Revision kommt dagegen zumeist die Überwachung der Angemessenheit und Wirksamkeit der internen Kontrollmechanismen zu. Auch die externe Revision fokussiert in ihrer Existenzprüfung nach Art. 728 OR auf die prozessabhängige Komponente der internen Steuerung und Kontrolle. Ein internes Kontrollsystem im weiteren Sinne würde hingegen auch die prozessunabhängige Tätigkeit der internen Revision umfassen. Um der Reichhaltigkeit der internen Steuerung und Kontrolle gerecht zu werden und die einzelnen Elemente gezielt abgrenzen zu können, wird in den folgenden Ausführungen das Definitionsverständnis des internen Kontrollsystems mit breitem Fokus, aber im engeren Sinne zugrunde gelegt, auch um die Funktion der internen Revision separat abbilden zu können. Diese Auffassung folgt zudem den Empfehlungen der massgeblichen Frameworks wie dem International Professional Practices Framework (IPPF) des Institut of Internal Auditors (IIA) und weiteren regulatorischen Bestimmungen.

In der zweiten Verteidigungslinie wird die Funktion des Risikomanagements, der Compliance und weiterer Überwachungselemente dargelegt. Das Risikomanagement unterstützt und überwacht die Implementierung einer effektiven Vorgehensweise durch das operative Management und dient der Festlegung der Risikoneigung der residual anspruchsberechtigten Risikoträger des Unternehmens.

Das interne Kontrollsystem stellt einen integrierten Bestandteil des Risikomanagements dar, welches die Umsetzung der durch das Risikomanagement definierten Massnahmen sicherstellt. Neben der zentralen Risikomanagementfunktion haben einige Unternehmen eine separate Compliance-Abteilung geschaffen, welche die Einhaltung anzuwendender Gesetze, Regulierungen und interner Richtlinien überwacht und direkt an das obere Management Bericht erstattet. Die weiteren Überwachungselemente können Bestimmungen zu Gesundheit, Sicherheit, Supply Chain, Umwelt oder Qualität umfassen.

In der dritten Verteidigungslinie wird schliesslich die interne Revision beschrieben. Nach der massgeblichen berufsständigen Norm des IIA (in der Schweiz: Schweizerischer Verband für Interne Revision, SVIR) erbringt die interne Revision „unabhängige und objektive Prüfungs(Assurance-) und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Wirksamkeit der Risikomanagement-, der Internen Steuerungs- und Kontrollsowie der Governance-Prozesse bewertet und diese verbessern hilft.“ In dieser Definition sind alle wesentlichen Merkmale eines modernen Verständnisses von interner Revision enthalten. Mittels risikoorientiertem Ansatz vermittelt die interne Revision dem Verwaltungsrat und der Geschäftsleitung einen Überblick, wie effektiv das Unternehmen seine Risiken beurteilt und managt und wie die erste und zweite Verteidigungslinie funktionieren und zusammenspielen.

Die externe Revision agiert als vierte Verteidigungslinie ausserhalb des Unternehmens und richtet ihre Tätigkeit eher auf die Anteilseigner, den Verwaltungsrat und die Geschäftsleitung aus. Die externe Revision überwacht mittels eines risikoorientierten Prüfungsansatzes, dass die Ergebnisse im Jahresabschluss ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage darstellen. Im Hinblick auf diese gesetzlich definierte Funktion und Aufgabe beschränken sich die risikobezogenen Informationen auf Risiken der externen Finanzberichterstattung und beinhalten nicht die Steuerung und Kontrolle der unternehmensweiten Risiken (strategisch, operativ und auf Compliance ausgerichtet), da diese insbesondere durch das Risikomanagement, die Compliance-Funktion und die interne Revision abgedeckt sind.

Um eine effektive Corporate Governance sicherzustellen, ist eine unternehmensspezifische Ausgestaltung der Strukturen der unternehmerischen Steuerung und Kontrolle von Nöten, da nur auf diese Weise der jeweiligen Wachstumssituation, den Überwachungs- und den Führungscharakteristika eines Unternehmens gebührend Rechnung getragen werden kann. Dies ist insbesondere im Hinblick auf die seit jeher geäusserte Kritik an den Strukturen und der Wirkungsweise von Corporate Governance wichtig. So moniert Drucker: „Boards do not function“. Auch Mace befürchtete, dass Boards als rein schmückende Beiwerke missbraucht werden könnten, anstatt Funktionsträger effektiver Corporate Governance darzustellen: Boards seien blosse „Ornamente“. Das Ziel muss es daher sein, durch Kenntnis der relevanten Einflussfaktoren und Wirkungszusammenhänge eine adäquate und effiziente Ausgestaltung der mit der Überwachungsfunktion betrauten Instrumente zu erreichen und folglich solche geartete Meinungen zu entkräften.