Basic HTML-Version
31
porting ist zudem eine Ausrichtung von Format
und Strukturen der Berichte an den generellen
Unternehmensstandards zu empfehlen.
Dennoch weist gerade hier die Berichterstat-
tung in vielen Unternehmen noch
Optimie-
rungspotenziale
auf. Es ist zu erwarten, dass
die Standardisierung von Inhalten, Formaten
und Strukturen im GRC Reporting künftig stär-
ker gefordert wird – sei es durch die zuneh-
mende Etablierung von integrierten GRC-An-
sätzen, regulatorische Vorgaben sowie eine
stärkere Automatisierung von Verfahren und
Wirksamkeitsmessungen.
Regelmäßigkeit
der Berichtsbereitstellung
Eine weitere Voraussetzung, damit Manage-
ment und Aufsichtsgremien ihrer Aufgabe, die
Wirksamkeit des Internen Kontrollsystems zu
prüfen, systematisch nachkommen können, ist
die Regelmäßigkeit der Berichterstattung (vgl.
Abbildung 4). In der Praxis zeigt sich allerdings,
dass, obwohl nahezu alle Befragten angeben,
dass sie über eine IKS-Berichterstattung verfü-
gen, diese nur bei einem Teil der Unternehmen
auch regelmäßig erfolgt. Vor diesem Hinter-
grund stellt sich natürlich die Frage, wie Ma-
nagement und Aufsichtsgremien ihre Pflichten
ohne kontinuierliche Berichterstattung erfüllen
können.
Bei Berücksichtigung der Unternehmens-
größe ergibt sich ein differenzierteres Bild.
Nur neun von zehn Unternehmen mit weniger
als eine Milliarde Euro Umsatz weisen eine
GRC-Berichterstattung auf. Gerade einmal 44
Prozent dieser Befragten berichten regelmäßig
über ihr GRC Management. Insbesondere
Unternehmen ohne obligatorischen Aufsichtsrat
sehen scheinbar mangels einer gesetzlichen
Verpflichtung die Vorteile einer regelmäßigen
IKS-Berichterstattung nicht.
Bei Unternehmen mit einem Umsatz größer ei-
ner Milliarde zeigt sich ein ähnliches Bild. Zwar
geben 90 Prozent von ihnen an, eine GRC-Be-
richterstattung zu haben, jedoch in nur etwas
mehr als zwei Drittel der befragten Unterneh-
men findet diese auch regelmäßig statt. Da
jedoch in jedem Unternehmen dieser Größen-
ordnung ein Aufsichtsrat vorhanden ist, bleibt
fraglich, wie dieser im konkreten Fall die Wirk-
samkeit von Internen Kontrollen und Risiko-
managementstrukturen überprüft.
Die Tatsache, dass alle Unternehmen mit einem
Umsatz von über zehn Milliarden Euro, die an
der Studie teilgenommen haben, über eine
regelmäßige Berichterstattung (wenn auch mit
unterschiedlichen Berichtszyklen) verfügen,
zeigt, dass besonders die Großunternehmen
möglichen Haftungsfolgen für den Aufsichtsrat
durch eine Sorgfaltspflichtverletzung zuvor-
kommen wollen.
Bei denjenigen Unternehmen, die über eine re-
gelmäßige Berichterstattung verfügen, sind die
Berichtszyklen unterschiedlich gewählt
.
Diese reichen von einem Reporting auf monat-
licher Basis über eine quartalsweise, halbjähr-
liche und jährliche Berichterstattung bis zu
mehrjährigen Zyklen. Diejenigen Unternehmen,
die größere Berichtszyklen ( jährlich, mehrjährig)
verwenden, ergänzen ihr GRC-Standard-
reporting durch ein anlassbezogenes Reporting,
während Teilnehmer mit kürzerem Turnus auf
dieses eher verzichten.
Effiziente Bereitstellung durch
geeignete IT-Unterstützung
Der Einsatz von IT-Tools trägt erfahrungsgemäß
zu einer signifikanten Steigerung der Effizienz in
der Berichtsbereitstellung bei. Nach Angaben
der Studienteilnehmer
führt die Verwendung
von unterstützenden IT-Lösungen
im GRC-
Umfeld insgesamt
zu einer höheren Zufrie-
denheit
mit den Systemen zur Unternehmens-
steuerung und -überwachung. Das wird dadurch
untermauert, dass von denjenigen Unterneh-
men, die ihr GRC Management mit sehr gut oder
gut bewerten, 77% angeben, bereits eine geeig-
nete IT-Unterstützung zu haben.
Zudem schätzen drei Viertel der Unternehmen
eine effiziente IT-Unterstützung mindestens
als wichtig ein. Allerdings verwendet erst die
Abb. 4: Ausgestaltung der Berichterstattung in Abhängigkeit der Unternehmensgröße
CM März / April 2013