Seit einigen Jahren wird zunehmend diskutiert, inwieweit die an ein Internes Kontrollsystem (IKS) gestellten Anforderungen bereits im Rahmen des Risikomanagements mit abgedeckt werden können oder ob hier Interdependenzen bestehen, die zu berücksichtigen sind.
Vergleicht man daher die verschiedenen Rahmenwerke, die die Anforderungen an ein IKS oder an das Risikomanagementsystem des Unternehmens definieren, sind einige Gemeinsamkeiten, aber auch wesentliche Unterschiede festzustellen.
Die Anforderungen an ein IKS werden in verschiedenen Rahmenwerken beschrieben. Das Bekannteste ist das “Internal Control Framework – COSO”. COSO gliedert den Inhalt und den Aufbau eines IKS in Komponenten, deren Zusammenwirken gewährleisten soll, dass die Ziele des IKS erreicht werden. Ursprünglich 1992 vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) veröffentlicht, wurde das Rahmenwerk „COSO I“ im Jahr 2013 überarbeitet. Die neue Version enthält jedoch keine wesentlichen Veränderungen, sondern fokussiert vor allem die Konkretisierung des Ansatzes.
Mit COSO I vergleichbar ist der IDW PS 261 n.F. zur Feststellung und Beurteilung von Fehlerrisiken. Der Prüfungsstandard dient ebenfalls der Beschreibung der Komponenten und der Ziele eines IKS-Systems und ist im Aufbau dem COSO-Würfel sehr ähnlich:
2004 wurde das Rahmenwerk COSO I durch COSO II “Enterprise Risk Management – Integrated Framework” erweitert. COSO II baut auf dem ursprünglichen Konzept auf und fokussiert noch stärker auf ein an den Unternehmenszielen ausgerichtetes unternehmensweites Risikomanagement. Die folgende Darstellung visualisiert, wie COSO I ein Bestandteil von COSO II darstellt und somit IKS als integraler Bestandteil des Risikomanagementsystems eines Unternehmens zu sehen ist:
Die in COSO II vorhandenen Prozessschritte Zielsetzung, Risikoidentifikation, Risikobeurteilung und Maßnahmen, werden in COSO I unter dem Begriff Risikobeurteilung zusammengefasst. Es gibt hier demnach einige Überschneidungen. Aber während sich das IKS mehr auf die operationellen Risiken und deren Kontrollen fokussiert, werden im Risikomanagement verstärkt strategische Risiken betrachtet, die nicht durch Kontrollen abgedeckt werden können. Zudem wird im IKS überwacht, ob die im Risikomanagement definierten Maßnahmen auch umgesetzt werden.
Insgesamt unterstreicht diese kurze Betrachtung von COSO I und COSO II, dass IKS und Risikomanagement ähnliche Zielsetzungen haben und es notwendig ist zu prüfen, inwieweit hier eine integrierte Betrachtung zielführend ist. Nach den genannten Gemeinsamkeiten stellt sich daher die Frage nach den wesentlichen Unterschieden, die eine integrierte Betrachtung verhindern oder zumindest erschweren. Einen Überblick gibt die folgende Tabelle:
Es wird deutlich, dass der Schwerpunkt des IKS in der eher vergangenheitsbezogenen Überwachung und Steuerung von Risiken liegt, während das Risikomanagementsystem zukunftsorientiert auf die Definition der Risikostrategie und der Risikobereitschaft eines Unternehmens fokussiert. Zudem gibt das Risikomanagement Antwort auf die Frage, wie grundsätzlich mit Risiken umzugehen ist.
Obwohl die Systeme – wie oben dargestellt – doch sehr verschieden sind und einen ganz unterschiedlichen Fokus haben, versuchen einige Unternehmen einen integrierten Ansatz zu verfolgen. Dieser basiert dann in der Regel auf der untenstehenden Systematik. Hierbei bekommen die identifizierten Prozessrisiken noch eine Zuordnung zu dem jeweiligen Prozess und werden mit entsprechenden Kontrollen (ergänzend zu Maßnahmen) versehen.
Stand heute kann nicht gesagt werden, ob sich dieser Ansatz in der Praxis durchsetzen wird. Er birgt auf jeden Fall die Gefahr, dass das Risikomanagement sehr kontrollastig wird und die Nähe zum Controlling und der strategischen Unternehmensführung verliert. Ob es dann noch seine Aufgabe als strategisches Steuerungsinstrument im Unternehmen wahrnehmen kann ist mehr als fraglich.