Die Unternehmensüberwachung im Hinblick auf Ordnungsmäßigkeit der Finanzberichtserstattung und bestandsgefährdenden Risiken gehört zu den gesetzlich kodifizierten Pflichten von Vorständen und Geschäftsführern größerer Kapitalgesellschaften. Die Größe und Komplexität von global agierenden Unternehmen stellt die Unternehmensführung dabei vor das Problem einer wirksamen und strukturierten Überwachung des Gesamtunternehmens. Erfahren Sie in diesem Blog Post mehr über das Konzept des „Continuous Business Monitoring“.
Neben den Vorständen und Geschäftsführern ist auch der Aufsichtsrat gesetzlich dazu verpflichtet, die Geschäftsführung zu überwachen. Gerade im Hinblick auf die vergangene Finanzkrise 2008 steht die Machbarkeit und Wirksamkeit einer Kontrolle des Aufsichtsrats über die Geschäftsführung zurzeit intensiv in der Öffentlichkeit zur Diskussion. Der vorliegende Beitrag beschreibt überblicksartig die Möglichkeit einer stetigen und fortwährenden Unternehmensüberwachung durch Automatisierung von Revisionsdienstleistungen als Antwort auf die geschilderten Kontrollpflichten. Dabei wird davon ausgegangen, dass Geschäftsprozesse weitestgehend durch unterstützende Informationstechnologie (Enterprise-Ressource-Planning-Systeme) abgewickelt werden und deshalb eine Überwachung dieser Systeme einen wesentlichen Teil der Kontrollpflichten effizient abdeckt. Der Beitrag beschreibt wie eine solche Überwachung stattfinden kann, welche Adressatengruppen es im Unternehmen für eine solche Unternehmensüberwachung gibt und für welche Unternehmen Relevanz besteht. Die dargestellten Revisionsdienstleistungen sind insbesondere für Beratungsdienstleistungen von Wirtschaftsprüfungsgesellschaften relevant.
Dieser Blog Post beschreibt ein Rahmenwerk zur Unternehmensüberwachung und – kontrolle. Die hauptsächliche Motivation des Themas kann aus vergangenen Compliance- und Bilanzskandalen, wie diese sich bspw. bei Enron, Worldcom oder Siemens in der jüngeren Vergangenheit ereignet haben, abgeleitet werden. Aufgrund der inzwischen hohen Integration von Geschäftsprozessen und Informationssystemen wird ein effizienter IT-gestützter Überwachungsansatz entwickelt. Diese Effizienz wird durch einen hohen Automatisierungsgrad erreicht, da der bereits verfügbare Datenbestand in den Enterprise-Ressource-Planning-Systemen (ERP-Systeme) des Unternehmens in Hinblick auf Kontrollfunktionen ausgewertet und aufbereitet wird. Das vorgestellte Rahmenwerk wird im Folgenden als „Continuous Business Monitoring“ bezeichnet, da eine fortlaufende Revision von IT-Systemen angestrebt wird. Selbstverständlich können nicht alle Überwachungsfunktionen in einem Unternehmen durch IT-gestützte Methoden abgedeckt werden. Manuelle Kontrollprozeduren und die Tätigkeit der Internen Revision können niemals vollständig ersetzt werden. Jedoch kann durch ein kontinuierliches IT-gestütztes Überwachungssystem ein wesentlicher Teil der Überwachung erreicht werden. Der Beitrag geht folgenden Fragen nach:
- Wie kann Continuous Business Monitoring (CBM) definiert werden?
- Welche gesetzlichen und betriebswirtschaftlichen Beweggründe sind für den Einsatz von CBM vorhanden?
- Welche Nutzenargumente sprechen für CBM in Bezug auf die Beteiligten?
- Für welche Unternehmen ist CBM von Relevanz?
- Wie kann ein CBM System aufgebaut werden und aus welchen Komponenten besteht es?
Definition von Continuous Business Monitoring (CBM)
Bevor das Thema CBM ausführlich behandelt wird, ist zunächst eine Definition notwendig. Diese kann wie folgt gefasst werden: „Continuous Business Monitoring bezeichnet ein Instrument der Geschäftsführung zur kontinuierlichen, IT-gestützten Steuerung und Überwachung der im Unternehmen ablaufenden Prozesse. Es basiert auf (teil-)automatisierten, strukturierten Analysen der in den Informationssystemen des Unternehmens vorhandenen Daten. Durch die Automatisierung der Analysen können die Analysezyklen eine beliebig hohe Frequenz annehmen, wodurch eine kontinuierliche Steuerung und Überwachung der Geschäftsprozesse ermöglicht wird. Somit lässt sich der Status der betrachteten Prozesse nahezu in Echtzeit ermitteln. Continuous Business Monitoring erstreckt sich dabei von der Identifikation der Überwachungspunkte über die Implementierung der Analysen bis zur Interpretation der Ergebnisse sowie der Ableitung und Umsetzung geeigneter Maßnahmen.“ (siehe auch [Co09], S. 72).
Motivation und Begründung von Continuous Business Monitoring
Die Motivation und Begründung für CBM kann aus gesetzlichen und betriebswirtschaftlichen Gründen abgeleitet werden. Das Gesetz schreibt an verschiedenen Stellen Kontrollpflichten der Beteiligten vor:
| Vorschrift | Inhalt |
| § 91 Abs. 2 AktG Adressat: Geschäftsführung | Früherkennung bestandsgefährdender Risiken als Aufgabe der Geschäftsführung (Risikofrüherkennungssystem) [Lü98, S. 8-14] |
| §238 HGB i.v.m. §140 – 148 AO, Grundsätze ordnungsmäßiger DVgestützter Buchführungssysteme [Go95, Tz. 4], Adressat: Geschäftsführung | Einhaltung und Sicherstellung der Ordnungsmäßigkeit der Finanzberichtserstattung |
| SOX Section 404 und 302, Adressat: Geschäftsführung | Installation & Testierung Internes Kontrollsystem [SR07, S. 44] |
| §25a Abs. 1 KWG, Adressat: Geschäftsführung | Internes Kontrollsystem bei Banken |
| §111 AktG, Adressat: Aufsichtsrat | Kontrolle der Geschäftsführung durch Aufsichtsrat |
| §107 Abs. 3 Satz 2 AktG-E (BilMog), Adressat: Aufsichtsrat | Kontrollmöglichkeiten des Aufsichtsrats |
Tabelle 1: Gesetzliche Vorschriften zu Kontrollpflichten
An dieser Stelle wird insbesondere auf die Stellung des Aufsichtsrats eingegangen. Eine durchaus problematische Kontrollfunktion ist gem. § 111 AktG den Aufsichtsräten von Aktiengesellschaften übertragen worden. Sie sollen die Geschäftsführung kontrollieren. Diese Überwachungsfunktion ist insofern schwierig wahrzunehmen, als Aufsichtsräte nicht zwingend im zu überwachenden Unternehmen arbeiten und ihnen Detailinformationen zur Überwachung fehlen. Weiterhin konkretisiert der Gesetzgeber im Rahmen des Entwurfes des Bilanzrechtsmoderniserungsgesetzes (BilMog) die Überwachungsfunktion des Aufsichtsrats, was insofern die zunehmende Wichtigkeit dieser Kontrollfunktion unterstreicht. §107 Abs. 3 Satz 2 AktG Entwurf verdeutlicht die Möglichkeiten des Aufsichtsrates, indem die Möglichkeit der Einrichtung eines Prüfungsausschusses eingeräumt wird. Auch die Rechtsprechung verlangt nicht nur die Einrichtung eines Risikomanagementsystems gemäß §92 Abs. (2) AktG, sondern auch dessen Dokumentation und eine Nicht zuletzt aus diesen Gründen ist die Methode des CBM in Kombination mit einer entsprechend hohen Aggregationsebene der Ergebnisdarstellung für Aufsichtsräte interessant. Weiterhin liefert die Überwachungsmethodik des CBM stets zeitnahe Ergebnisse und kommt insofern selbst etwaigen spontanen Informationsbedürfnissen von Aufsichtsräten nach. Nicht nur gesetzliche Pflichten motivieren den Einsatz von CBM. Folgende betriebswirtschaftliche Gründe können für die Anwendung von CBM sprechen:
- Zunehmende Integration von Geschäftsprozessen in ERP-Systemen („Digitale Spur“ von Geschäftsprozessen).
- Substitution von manuellen Kontrollhandlungen durch Systemkontrollen und dadurch Zeit- und Kostenersparnis.
- Erhebliche Steigerung der Überwachungsfrequenz (nahezu Echtzeit) / Geringe variable Kosten der Überwachung.
Nutzenargumente für Continuous Business Monitoring
Nutzenargumente bezüglich CBM für die am Überwachungsprozess Beteiligten lassen sich wie folgt skizzieren. Für den Finanzvorstand (CFO):
- Erhöhter Grad an Strukturiertheit des Internen Kontrollsystems.
- Automatisierte Überwachung spart Kosten und Zeit in Bezug auf Kontrollmaßnahmen.
- Reduktion des Management-Testing bei Sarbanes-Oxley-pflichtigen (SOX) Unternehmen durch Automatisierung (zum Management-Testing siehe [PC04, Tz. 40]).
- Verringerung des Prüfungsaufwandes des Wirtschaftsprüfers und somit Verringerung des Prüfungshonorars, sofern der Abschlussprüfer bei der Einführung von CBM projektbegleitend unterstützt hat.
Für den Leiter der Informationstechnologie (CIO):
- Kenntnis von Compliance relevanten Systemeinstellungen (Customizing).
- Transparenz bei Systemänderungen in Hinblick auf das Interne Kontrollsystem.
- Definierte Systemeinstellungen für alle Systeme / Möglichkeit der Systemharmonisierung.
Für die Interne Revision (siehe zu Vorteilen der internen Revision auch [Br08]):
- Entlastung von umständlichen und zeitraubenden Datenaufbereitungen.
- Konzentration auf Kernkompetenzen (Prüfung) durch Entlastung aufgrund Automatisierung.
- Revisionsprüfungen erreichen höhere Qualität und Tiefe.
- Bessere Kommunikation der Prüfungsergebnisse.
Für die Externe Revision oder den Wirtschaftsprüfer:
- Effizientere Prüfung des Internen Kontrollsystem.
- Höhere Verlässlichkeit des Internen Kontrollsystems, da interne Kontrollen im System eingebettet sind.
Für den Aufsichtsrat:
- Hochaggregiertes Berichtswesen ermöglicht Aufsichtsräten eine Einschätzung des Kontrollsystems.
- Zeitnahe Möglichkeit der Überwachung.
- Vergleich von Überwachungskennzahlen im Zeitablauf.
Treiber für den Einsatz von Continuous Business Monitoring
Nachdem nun der Nutzen des CBM dargestellt wurde, soll an dieser Stelle dargestellt werden, für welche Unternehmen dieses Konzept relevant sein kann. Die Implementierung von CBM kann als Investition angesehen werden. Insofern muss zunächst bei der Implementierung eine Investitionssumme veranschlagt werden, die sich in den folgenden Jahren durch Kosteneinsparungen amortisiert. Es können technische und ökonomische Treiber identifiziert werden, die den Einsatz von CBM jeweils befürworten oder nicht. Als technische Treiber für einen Einsatz von CBM können angegeben werden [Ne03]:
- Geringe Anzahl der Systeme (Anzahl Installationen)
- Homogenität der Anwendungslandschaft (Anzahl verschiedener Hersteller)
- Hoher Grad der Integration der Geschäftsprozesse durch Anwendungen
- Grad der Integration der Anwendungen untereinander; Medienbrüche
- Größe der relevanten Systeme (Anzahl Nutzer) / Hoher Grad an Arbeitsteilung.
Als ökonomische Treiber für CBM lassen sich u. a. aufzählen:
- Hohe Öffentlichkeitswirksamkeit des Unternehmens (z.B. DAX-Unternehmen)
- Hohe Anzahl der Tochterunternehmen / Hohe Komplexität der Überwachung
Im nächsten Blog Post über Continuous Business Monitoring zeigen wir die verschiedenen Komponenten eines CBM, ein Vorgehen zur Umsetzung von CBM und beispielhafte Anwendungsfälle auf. Außerdem gibt es das komplette wissenschaftliche Paper dann auch zum Download.
Erstmalig erschienen in: Gehrke, N.: Zur Automatisierung von Revisionsdienstleistungen zwecks Unternehmensüberwachung – Ein Überblick, Lecture Notes in Informatics, Proceedings der Jahrestagung Informatik 2009, Lübeck, 2009
Quellen:
[Br08] Brennan, G.: Continuous Auditing Comes of Age, in: Information Systems Control Journal 2008, Vol. 1.
[Co09] Coderre, D. G: Internal audit. Efficiency through automation. Hoboken, NJ: Wiley, 2009.
[Go95] Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), 7. November 1995 – IV A 8 – S 0316 – 52/95- BStBl 1995 I S. 738, 1995.
[Lü98] Lück, W.: Elemente eines Risiko-Managementsystems, DB vom 09.01.1998, Heft 01/02, Seite 8-14, 1998.
[Ne03] Nehmer , R.: Continuous Audits: Taking the Plunge, in: Information Systems Control Journal 2003, Vol. 1., 2003.
[PC04] PCAOB, Auditing Standard No. 2 – An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements, 2004, Nachfolgeversion: 2008.
[SR07] Status: Recht vom 26.01.2007, Heft 02, Seite 44-44, 2007.
