30.03.2015

COSO: Nichtfinanzieller Bereich

COSO (Committee of Sponsoring Organizations of the Treadway Commission) nennt sich der international anerkannte Standard für interne Kontrollsysteme bei der finanziellen Berichterstattung. Auch im nichtfinanziellen Bereich erhöht das Rahmenwerk nachhaltig das Vertrauen der Empfänger in operative Informationen.

Von: Ralf Hofstetter, Cristian Manganiello   Drucken Teilen   Kommentieren  

Ralf Hofstetter

Ralf Hofstetter ist seit mehr als 10 Jahren als Informatikrevisor bei der PwC tätig. In Rahmen dieser Funktion bewertet und prüft er regelmässig Interne Kontrollsysteme für finanzielle und operationelle Risiken - als Referenz dient dabei das COSO 2013 Internal Control Framework. Ralf Hofstetter verfügt über einen Master of Science der Universität Zürich und ist Certified Information Systems Auditor (CISA) sowie auch Certified Information Systems Security Professional (CISSP).

Cristian Manganiello

Cristian Manganiello ist seit mehr als 15 Jahren in der Funktion als Informatikrevisor bei PwC tätig und verfügt über ein fundiertes Fachwissen im Bereich von Governance, Risk and Compliance (GRC) sowie System- und Prozessprüfungen. Seit Beginn ist er auf die Durchführung von Projekte zur Aufnahme, Bewertung und Überprüfung von internen Kontrollsystemen für finanzielle und operative Risiken spezialisiert. Cristian Manganiello verfügt über ein Eidg. Diplom als Wirtschaftsinformatiker, ein Betriebswirtschaftsstudium an den Universitäten Bern und Rochester (NY, USA) und ist Certified Fraud Examiner (CFE) sowie Certified Information Systems Auditor (CISA).

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
COSO

Das COSO-Rahmenwerk

COSO soll vor allem die finanzielle Berichterstattung durch gute Unternehmensführung, ethisches Handeln und wirksame interne Kontrollen verbessern. Seit der Veröffentlichung des «Internal Control – Integrated Framework» im Jahr 1992 hat sich das Rahmenwerk als wohl bekanntestes etabliert. Mit der Überarbeitung im Jahr 2013 lässt es sich nun auch auf Bereiche ausserhalb der klassischen Finanzinformationen anwenden.

Diese nichtfinanzielle Berichterstattung umfasst operative Themen wie beispielsweise die Corporate Responsibility. Unternehmen werden zunehmend daran gemessen und messen sich selbst daran, wie erfolgreich sie die Ziele einer nachhaltigen Entwicklung verfolgen. Dazu bereiten sie Informationen über ihren sozialen, ökonomischen und steuerlichen Einfluss sowie über ihre Umweltbelastung auf und stellen diese interessierten Dialoggruppen zur Verfügung.

Das COSO-Rahmenwerk bietet eine umfassende Basis, aufgrund der ein Unternehmen seine internen Kontrollsysteme für die nichtfinanzielle Berichterstattung erarbeiten und einführen oder bestehende Kontrollen erweitern und verbessern kann. So wird es den steigenden Qualitätsansprüchen der internen und externen Anspruchsgruppen auch in diesen Bereichen gerecht.

Die Anwendung von COSO für die nichtfinanzielle Berichterstattung

Die 17 COSO-Prinzipien sind in die fünf Hauptgruppen Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachungsaktivitäten gegliedert. Die Anwendung dieser Prinzipien für die nichtfinanzielle Berichterstattung kann in der Praxis eine grosse Herausforderung darstellen. Inwiefern, zeigen wir nachfolgend am Beispiel der Corporate Responsibility.

Abbildung: Die 17 COSO-Prinzipien

Kontrollumfeld

Das Kontrollumfeld bildet das Fundament eines intakten internen Kontrollsystems. Es legt unter anderem den «Tone at the Top» fest, beeinflusst das Kontrollbewusstsein und damit auch intrinsische Faktoren wie ethische Werte, Integrität oder die Kompetenz der in die Berichterstattung involvierten Mitarbeitenden. Wie der Verwaltungsrat (VR) und die Geschäftsleitung (GL) das interne Kontrollsystem ausgestalten, beeinflusst dessen Definition und Implementierung wesentlich.

Unsere Erfahrung zeigt, dass VR und GL die nichtfinanzielle Berichterstattung nicht oder nur ungenügend unterstützen. Entsprechend ist nur ein unvollständiges Rahmenwerk für die Berichterstattung zur Corporate Responsibility vorhanden; die Organisation, die Prozesse und die Kontrollen sind nicht so ausgereift wie bei der finanziellen Berichterstattung. Häufig fehlen Anreizsysteme für die Mitarbeitenden, was sich negativ auf die Qualität der ausgewiesenen Informationen auswirkt.

Risikobeurteilung

Nach COSO muss ein Unternehmen seine relevanten Risiken aus der nichtfinanziellen Berichterstattung analog zur finanziellen in einem systematischen und kontinuierlichen Prozess identifizieren, analysieren und bewerten.

In der Praxis ist die Risikobeurteilung und -steuerung für den Bereich Corporate Responsibility jedoch meist nicht in die unternehmensweiten Prozesse eingebunden und entsprechend informell ausgeprägt oder gar nicht vorhanden. Zudem haben die verantwortlichen Mitarbeitenden erfahrungsgemäss wenig oder keinen direkten Bezug zur Risikobeurteilung und -steuerung, und ihr Risikobewusstsein im Kontext der Berichterstattung zur Corporate Responsibility ist beschränkt. Denn solche Risiken sind nur schwer erfass- und messbar. Eine direkte finanzielle Auswirkung besteht nicht, da es sich meist um Reputationsrisiken handelt.

Kontrollaktivitäten

Gemäss COSO müssen Prozesse und Kontrollen definiert und implementiert sein und konsequent durchgeführt sowie dokumentiert werden. Auf diese Weise kann das Unternehmen sicherstellen, dass es die operativen Ziele seiner Kontrollen erreicht und die im Risk Assessment identifizierten Schlüsselrisiken angeht.

Die Unternehmen sollten der nichtfinanziellen Berichterstattung ebenso viel Bedeutung beimessen wie der finanziellen. COSO geht ihnen dafür als praktisches Instrument zur Hand.

Die Praxis zeigt jedoch, dass weder die Prozesse noch die Kontrollen durchgeführt werden, weil verbindliche Vorgaben durch den VR und die GL fehlen und keine Identifikation von Risiken für die Berichterstattung zur Corporate Responsibility vorliegt. Technische Mitarbeitende in einer Produktionsgesellschaft beispielsweise wissen nicht, dass die Angaben zum lokalen Wasserverbrauch vollständig und richtig erfolgen müssen und dass Abweichungen die Genauigkeit der nichtfinanziellen Berichterstattung direkt beeinflussen können. Diese Abhängigkeit von personellen Ressourcen anstelle von systemunterstützten Prozessen führt zudem zu einer schwankenden, vom zuständigen Mitarbeitenden abhängigen Qualität der erfassten Informationen.

Information und Kommunikation

Mit der nichtfinanziellen Berichterstattung kann ein Unternehmen geschäftsrelevante Entscheidungen treffen und internen sowie externen Stakeholdern wichtige Informationen zukommen lassen. Dies setzt voraus, dass die relevanten Informationen vollständig, richtig und zeitnah an die zuständigen Kontrollverantwortlichen kommuniziert werden.

Aus Erfahrung wissen wir, dass aufgrund informeller Prozesse im Bereich Corporate Responsibility die Kommunikation oft nicht sichergestellt ist und die involvierten Mitarbeitenden den Radius ihrer Arbeit teilweise nicht ganz erfassen. Die bereits erwähnten technischen Mitarbeitenden in der Produktionsgesellschaft sind sich meist nicht bewusst, dass sie für das umfassende Kontrollsystem zentral sind. Sie sehen ihre Aufgabe der Erfassung von Daten eher als Zusatzbelastung, was sich entsprechend negativ auf die Datenqualität auswirkt.

Überwachungsaktivitäten

Ein Unternehmen sollte sein internes Kontrollsystem regelmässig überwachen. So kann es sicherstellen, dass die Prozesse und Kontrollen greifen. Diese Überwachungsaufgabe kann beispielsweise die Linienorganisation, die Interne Revision oder auch eine externe Prüfungsgesellschaft wahrnehmen.

Die nichtfinanzielle Berichterstattung – wie diejenige im Bereich der Corporate Responsibility – wird im Gegensatz zur finanziellen oft stiefmütterlich behandelt. Gerade die zuständigen Vorgesetzten nehmen Kontrollaktivitäten häufig nur informell wahr, und die Interne Revision beschäftigt sich meist nur punktuell mit dem Thema. Mangels gesetzlicher und regulatorischer Vorgaben ist ein Unternehmen nicht verpflichtet, eine regelmässige Prüfung seiner nichtfinanziellen Berichterstattung durchzuführen.

Nichtfinanzinformationen als Vorteil nutzen

Die nichtfinanzielle Berichterstattung gewinnt zunehmend an Bedeutung. Anspruchsgruppen treffen Investitionsentscheidungen längst nicht mehr ausschliesslich aufgrund von Finanzinformationen. Sie ziehen vermehrt auch das nachhaltige Engagement eines Unternehmens in ihre Entscheidungsfindung ein. Entsprechend sollten die Unternehmen der nichtfinanziellen Berichterstattung ebenso viel Bedeutung beimessen wie der finanziellen Berichterstattung. COSO als international anerkannter Standard geht ihnen dafür als praktisches Instrument zur Hand.

Quelle: Dieser Beitrag stammt aus dem Disclose - Update, PwC.

Produkt-Empfehlungen

  • ControllingPraxis

    ControllingPraxis

    Das Controlling-Cockpit für die erfolgreiche Planung und Steuerung.

    ab CHF 168.00

  • Jahrbuch Finanz- und Rechnungswesen 2018

    Jahrbuch Finanz- und Rechnungswesen 2018

    Hochkarätige Autoren informieren Sie über die aktuellen Trends im Finanz- und Rechnungswesen.

    Mehr Infos

  • Internes Kontrollsystem

    Internes Kontrollsystem

    Know-how, Tipps und viele Fallbeispiele unterstützen Sie bei der Konzeption bis hin zur Implementierung Ihres IKS.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internes Kontrollsystem in der öffentlichen Verwaltung

    So führen Sie das IKS in der öffentlichen Verwaltung ein

    Nächster Termin: 26. Juni 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internes Kontrollsystem (IKS)

    So richten Sie Ihr IKS nachhaltig und effizient aus

    Nächster Termin: 12. Juni 2018

    mehr Infos