Informationssysteme zur Corporate Governance in Unternehmen

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Informationssysteme und Corporate Governance
2.1 Systembildende Informationssysteme
2.2 Systemunterstützende Informationssysteme

3 Das interne Kontrollsystem
3.1 Orientierungsrahmen für ein internes Kontrollsystem (COSO)
3.1.1 Interne Kontrollprozesse
3.1.2 COSO-Entwicklung und Übergang zur IT-Governance
3.2 IT-Governance
3.2.1 CobiT- Framework, ITIL, ISO 17799
3.2.2 CobiT als Rahmenwerk zur Kontrolle interner IT-Prozesse
3.2.3 Struktur des CobiT-Rahmenwerks
3.3 Kontrollsystem für IT-Prozesse
3.4 Kontrollarten für IT-Prozesse

4 Risikomanagementsystem zur Corporate Governance
4.1 Risikofrühwarnsystem
4.2 Risikocontrolling und internes Überwachungssystem

5 Zusammenfassung

Anhang

Literaturverzeichnis

Abbildungsverzeichnis

Abb.1: Internes Kontrollsystem

Abb.2: COSO I – Internal Control Integrated Framework

Abb.3: COSO- CobiT Integration

Abb.4: CobiT- Framework

Abb.5: Bestandteile des Risikomanagementsystems

Abb.6: Einflussfaktoren auf die Corporate Governance und IT-Governance

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abstract

Informationssysteme zur Corporate Governance haben einen wesentlichen Einfluss auf die Wirksamkeit einer effektiven Unternehmenssteuerung und Kontrolle. Interne Kontrollsysteme und Risikomanagementsysteme sollen die Transparenz, insbesondere der Finanzberichterstattung erhöhen sowie die mit Chancen und Risiken behafteten Entwicklungen aufzeigen, denen das Unternehmen ausgesetzt ist. Neue Risiken ergeben sich für das Unternehmen durch den Einsatz von IT-Systemen. Um diese Risiken zu managen, sind die konventionellen Kontrollsysteme zu spezifizieren. Einen anerkannten Rahmen zur Implementierung von IT-Prozesskontrollen geben die „control Objectives“ des CobiT-Standards. Eine Informationsversorgung mit kontrollierten, relevanten Informationen für die jeweiligen Stakeholder ist die wichtigste Aufgabe von Informationssystemen. Zum einen kann dadurch das Vertrauen in die Richtigkeit der Daten zur Finanzberichterstattung gestärkt werden. Zum Anderen werden die Kontroll- und Steuerungsabläufe im Unternehmen effizienter gestaltet.

1 Einleitung

Corporate Governance ist kein einheitlich definierter Begriff. Er ist nicht nur auf die Begriffe Unternehmensleitung und –überwachung zu reduzieren. Vielmehr versteht man darunter aus betriebswirtschaftlicher Sicht eine an dem Unternehmenswert ausgerichtete Führung und Kontrolle sowie das Verhältnis zwischen dem Unternehmen und den Eigenkapitalgebern und weiteren Beteiligten^[1]. Betrachtet man die Unternehmung in einem sozialen Gefüge, ergeben sich eine Vielzahl von Anspruchsgruppen am Unternehmen. Diese werden Stakeholder genannt. Die Mitarbeiter, Lieferanten, Fremdkapitalgeber, Kunden, der Fiskus sowie private und institutionelle Investoren auf Seiten der Eigenkapitalgeber, haben in der Regel Ansprüche gegenüber dem Unternehmen. Ihre Pflichten ergeben sich auf Grundlage der jeweiligen Vertragsbeziehung (Dienstvertrag, Kreditvertrag, Liefervertrag, Kaufvertrag).

Der Ursprung der Corporate Governance liegt in der Trennung zwischen dem Eigentum am Unternehmen und der Entscheidungsmacht über das Vermögen des Unternehmens durch angestellte Manager^[2]. In der Literatur ist dieses Problem unter der Prinzipal-Agenten-Theorie aufgeführt.

An die Interessen der Prinzipale (Shareholder) knüpfend, folgt der Shareholder Value Ansatz. Danach haben die Anteilseigner das Ziel der stetigen Gewinn- und Unternehmenswertsteigerung um die eigenen Zahlungsansprüche wie Dividenden aus den Anteilen oder den Marktwert des Anteils selber zu erhöhen^[3].

Corporate Governance gestaltet sich in Abhängigkeit der kulturellen, rechtlichen und wirtschaftlichen Gegebenheiten unterschiedlich. Am bedeutsamsten ist wohl der Unterschied der Führungs- und Überwachungssysteme von amerikanischen und deutschen Aktiengesellschaften. Während in US-Aktiengesellschaften das monistische System als Boardmodell („one-tier System“) ohne eine organisatorische Trennung von Führung und Überwachung existiert, erfolgt die Unternehmensführung deutscher Aktiengesellschaften nach dem dualistischen System („two-tier System“)^[4]. Die eigentliche strategische Unternehmensführung im Vorstand ist dabei von der Überwachung des Aufsichtsrats organisatorisch und personell getrennt.

Ziel der Corporate Governance ist die transparente, vertrauensbildende Unternehmensführung. Ein Instrument ist die Publizität für die externen Anspruchsgruppen wie Investoren, Aufsichtsbehörden oder Kreditgeber. Dazu dient die externe Berichterstattung durch Jahresabschlüsse oder Ad-hoc Berichte. Aufgrund der in der Vergangenheit aufgetretenen Bilanzskandale von kapitalmarktorientierten Unternehmen in den USA und Europa, gibt es Bestrebungen der Gesetzgeber die Corporate Governance durch Standards zu verbessern. In den USA erfolgte die Verabschiedung des Sarbanes-Oxley-Acts (SOX). Die Forderungen des SOX zur Erhöhung der internen und externen Transparenz sowie der Haftung für die Richtigkeit der Finanzberichterstattung durch die Unternehmensführung und einer verschärften externen Kontrolle durch den Abschlussprüfer, wirken sich auch auf die europäische und deutsche Corporate Governance aus.

In Deutschland reagierte der Gesetzgeber mit der Einführung des Deutschen Corporate Governance Codex (DCGK) und den Ergänzungsrichtlinien, wie dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zum Aktiengesetz (AktG) oder dem Bilanzrechtsreformgesetz (BilReG) für das Handelsgesetzbuch (HGB). Aus den Ergänzungsrichtlinien im deutschen Recht, ergibt sich die Notwendigkeit zur Einführung eines Risikomanagement- und Risikoinformationssystems mit den Bestandteilen Frühwarnsystem, internes Überwachungssystem und Risikocontrolling.

Aufgrund der Durchdringung von IT-Systemen in den Unternehmen, entstehen neue Anforderungen für die Corporate Governance bezüglich der Steuerung und Kontrolle von IT-Prozessen. Neue Ansätze wie die IT-Governance und die dazu entwickelten Rahmenwerke CobiT, ITIL oder ISO 17799 versuchen die spezifischen IT-Risiken, Wertbeiträge sowie erhöhte Steuerungsanforderungen von IT-Prozessen aufzuzeigen und zu managen.

Die Bedeutung dieser Informationssysteme für die Corporate Governance soll in dieser Arbeit betrachtet werden.

2 Informationssysteme und Corporate Governance

Corporate Governance befasst sich mit Themenwie Publizität, Vertrauensbildung, Transparenz sowie Kontrolle. Um diese Aufgaben erfüllen zu können bedarf es komplexer Informationssysteme, die den Ansprüchen der internen und externen Stakeholder genügen. Die Funktion der Informationssysteme kann zwischen systemunterstützend und systembildend differenziert werden^[5]. Damit Informationssysteme wirksam und effizient arbeiten, ist der Einsatz moderner Informationstechnologien notwendig. Daraus ergibt sich auch die Notwendigkeit der Nutzung von Informationstechnologien um den Führungs- und Kontrollprozess (Corporate Governance) effizient durchführen zu können. Bei der Größe und dem anhaltenden Wachstum heutiger Unternehmenseinheiten wäre die Führung und Kontrolle ohne weitreichenden Einsatz von Informationstechnologie nicht mehr denkbar.

2.1 Systembildende Informationssysteme

Damit werden Ansätze bezeichnet, die eine Veränderung und neue Möglichkeiten in der Unternehmensführung ergeben. Die Informationstechnologie spielt dabei eine wesentliche Rolle. Als Beispiele lassen sich die elektronische Beschaffung (E-Procurement) oder die effektivere Koordination von unternehmensübergreifenden Lieferketten (Supply Chains), die erst durch IT-Einsatz möglich wurde, nennen^[6]. Ein Praxisbeispiel für eine komplett IT-basierte Supply Chain-Organisation, ist das Unternehmen DELL, dass technische Produkte ausschließlich über das Internet vertreibt^[7].

2.2 Systemunterstützende Informationssysteme

Als systemunterstützend wird die effizientere Prozessgestaltung durch Informationstechnologie innerhalb des Unternehmens verstanden. Dabei sollen die Prozessabläufe und die Unternehmensführung nicht verändert werden^[8].

Systemunterstützende Informationssysteme haben einen großen Anteil innerhalb der Corporate Governance. Im Managementbereich kommen sie häufig bei der Buchungsdurchführung, Berichterstellung und –verteilung oder bei automatischen Dokumentationen vor.

In der Praxis ergaben sich in der Vergangenheit Schwachstellen bei den systemunterstützenden Informationssystemen. Verschleierungen von tatsächlichen Vorgängen, Falschbuchungen und falsche Jahresabschlüsse führten bei Unternehmen wie Worldcom, Enron, Flow-Tex, Parmalat zu Schieflagen und Insolvenzen. Der daraus entstandene Vertrauensverlust in die Richtigkeit von Finanzberichten durch die Stakeholder wie Kapitalgeber, Mitarbeiter oder staatlichen Behörden führte zu einem offensiven Eingreifen Gesetzgebers.

Die Integration von Informationstechnologie zur Unterstützung der Corporate Governance ist ein komplexer Vorgang. Verschiedene Komponenten und Teilanwendungen zur Dokumentation und Kontrolle oder Berichterstattung sind zu koordinieren um einen effizienten, wirksamen Einsatz zu gewährleisten. Sarbanes-Oxley und das interne Kontrollsystem stellen hohe Anforderung an die technologische Umsetzung^[9].

3 Das interne Kontrollsystem

Unter einem internen Kontrollsystem versteht man ein System aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem)^[10].

Abbildung in dieser Leseprobe nicht enthalten

Abb.1: Internes Kontrollsystem^[11]

Das interne Kontrollsystem wird hier als Oberbegriff für das interne Steuerungssystem und das interne Überwachungssystem festgelegt^[12]. Das interne Überwachungssystem besteht aus prozessintegrierten Maßnahmen wie Kontrollen, organisatorischen Sicherungsmaßnahmen und prozessunabhängigen Maßnahmen, wie der Internen Revision^[13]. Die Definition des IKS orientiert sich an dem IDW Prüfungsstandard PS 260, der wiederum mit dem internationalen Prüfungsstandard ISA 400 übereinstimmt. Beide Standards orientieren sich an dem 1992 in den USA veröffentlichten COSO-Framework (COSO I)^[14]. An den COSO-Standards orientieren sich viele gesetzliche Vorschriften zur Einrichtung eines IKS. Besonders der im Jahr 2002 in den USA verabschiedete Sarbanes-Oxley-Act ist Auslöser einer neuen Diskussion über die Wirksamkeit von internen Kontrollsystemen.

Nach dem Platzen der Blase an den weltweiten Finanzmärkten und den damit verbunden Kursverlusten sowie den Bilanzskandalen namhafter Unternehmen war das Vertrauensverhältnis zwischen den Investoren und den kapitalmarktorientierten Unternehmen auf einem Tiefpunkt. Die Gesetzgeber reagierten vor allem in den USA sehr schnell, mit neuen Gesetzesinitiativen, um das Vertrauen in die Kapitalmärket wieder herzustellen. Worauf der Sarbanes-Oxley-Act 2002 im Schnelldurchlauf verabschiedet wurde. Der Kern des Gesetzes ist die Verbesserung des Kapitalanlegerschutzes und die rechtzeitige Information über substanzielle Risiken im Unternehmen^[15]. Die vielen Einzelvorschriften des SOX haben zum Ziel die Finanzberichterstattung börsennotierter Unternehmen zu verbessern, indem die Verantwortlichkeiten des Managements im Board of Directors und der externen Wirtschaftsprüfer genauer definiert, leistungsfähigere Kontrollen vorgeschrieben, sowie schärfere Sanktionen eingeführt werden^[16]. Der SOX schreibt zum ersten Mal direkt vor, dass die Unternehmen die Einrichtung und die Wirksamkeit des internen Kontrollsystems sicherzustellen haben. Das Management muss gemäß Section 404 SOX über die Einrichtung und Wirksamkeit der internen Kontrollen berichten. Die Kontrollen des IKS sind zu dokumentieren und nach der Einrichtung stetig auf ihre Wirksamkeit zu testen.

Weitere institutionelle Grundlagen für ein internes Kontrollsystem bilden der „Combined Code of London Stock Exchange (UK)“ oder das Kontrollkonzept „Guidance on Control“ des Canadian Institute of Chartered Accountants (Kanada)^[17]. Das interne Kontrollsystem ist eng mit dem Risikomanagementsystem verbunden.

3.1 Orientierungsrahmen für ein internes Kontrollsystem (COSO)

COSO steht für “Committee of Sponsoring Organisations at the Treadway Commission”. Diese Organisation ist eine gemeinsame Initiative privatwirtschaftlicher, amerikanischer Wirtschaftsinstitute. Sie wurde 1985 ins Leben gerufen, um Maßnahmen gegen manipulative Finanzberichterstattung zu ergreifen. In dem Bericht zu einer von ihr durchgeführten Studie („Fraud Report“) wurde festgestellt, das die Kontrollsysteme der Unternehmen zur Aufdeckung von Managementbetrug nicht ausreichend sind. Die Empfehlungen des „Fraud Reports“ finden sich im COSO-Framework oder im CobiT-Konzept wieder^[18].

Das COSO-Framework ist ein Rahmenkonzept zur Verbesserung der internen Kon-trollsysteme und wurde 1992 veröffentlicht^[19]. Mittlerweile ist dieses Rahmenkonzept als Standard anerkannt. Definiert nach COSO ist das interne Kontrollsystem ein von Unternehmensführung, Aufsichtsgremien und Mitarbeitern gesteuerter Prozess, der die Einhaltung der Unternehmensziele mit angemessener Sicherheit gewährleistet^[20]. Dieser Prozess lässt sich anhand dreier Dimensionen darstellen: Basisziele, Kontrollelemente, Organisationseinheiten. Die Basisziele jeder „profit“ und „non-profit“ Organisation lassen sich in drei Elemente unterteilen^[21].

- Ergebinsorientierung und Wirtschaftlichkeit operativer Prozesse (Opera-tions),
- Zuverlässigkeit der Finanzberichterstattung (Financial Reporting) und
- Einhalten externer und interner Vorschriften (Compliance).

Diese Basisziele werden auf der Ebene der Organisationseinheiten mit den jeweiligen Zielen der einzelnen Einheit abgestimmt. Die Zielerreichung soll mit Hilfe der internen Kontrollprozesse hinreichend abgesichert werden.

Anhand der Forderung der hinreichenden Absicherung zeigt sich, dass ein internes Kontrollsystem Fehler nicht mit 100%iger Sicherheit vermeiden kann, wie die Fälle Enron, Worldcom zeigen. Um wirksame Kontrollprozesse zu implementieren definiert das COSO-Framework fünf miteinander verbundene Kontrollelemente (Komponenten): Kontrollumfeld (control environment), Risikoeinschätzung (risk assessment), Kontrollaktivitäten (control activities), Information und Kommunikation (information & communication) und die Überwachung (monitoring)^[22].

[...]

^[1] Vgl. Lentfer (2005), S.27.

^[2] Vgl. Freidank/Velte (2006), S.24.

^[3] Vgl. Rappaport (1999), S. 6 ff.

^[4] Vgl. Freidank/Velte (2006), S.23.

^[5] Vgl. Gleich/Oehler (2006), S.15.

^[6] Vgl. Gleich/Oehler (2006), S.15.

^[7] Vgl. Kersten/Müller/Schröder (2007), S. 28

^[8] Vgl. Gleich/Oehler (2006), S.

^[9] Vgl. Gleich/Oehler (2006), S. 17.

^[10] Vgl. IDW PS 260, WPg (2001), S. 322.

^[11] Vgl. IDW PS 260, WPg (2001), S. 323.

^[12] Horváth (2003), S. 214.

^[13] Siehe Abb.1.

^[14] Siehe Abschnitt 3.1 dieser Arbeit.

^[15] Vgl. Kregel (2005), S. 263.

^[16] Vgl. Glaum/Thomaschewski/Weber (2006), S.206.

^[17] Vgl. Gleich/Oehler (2006), S.105.

^[18] Vgl. Westhausen (2005), S.98.

^[19] www.coso.org.

^[20] Vgl. Westhausen (2005), S.98.

^[21] Vgl. Glaum/Thomaschewski/Weber (2006), S.208.

^[22] Vgl. Glaum/Thomaschewski/Weber (2006), S.208.