"Es kommt immer anders als man denkt ..."
                                

"Vertrauen ist gut, Kontrolle ist besser"

Interne Kontrollsystem sind seit KontraG (z. B. § 91 Abs. 2 AktG) vorgeschrieben. Sie sind zudem im Lagebericht einer Kapitalgesellschaft bestimmter Größe zu nennen und sollen die Chancen und Risiken beschreiben sowie der angemessene Einfluss darauf. 

International sind die Standards noch höher, z. B. mit dem SOX-System der amerikanischen SEC, das nach den damaligen Bilanzskandalen von Enron und WorldCom im Jahre 2002 als US-Bundesgesetz entstand. 

Kernstück eines jeden Kontrollsystems ist die Unternehmenskultur. Dort, wo schon der "Tone of the Top" nicht stimmt, kann auch nichts anderes in der ganzen Organisation erwartet werden. Wer als Unternehmensführer schon bei Reisekosten mogelt, muss sich nicht wundern, wenn das alle anderen auch tun. Wer Steuerverkürzung und -hinterziehung bagatellisiert, fördert eine Vielzahl "sportlicher" Ausflüge der Mitarbeiterschaft bei Abgabe- und Deklarierungs-Pflichten. Schlimmstenfalls "spülen" diese Mängel zeitversetzt bei Betriebsprüfungen an die Oberfläche - Risiken an Nachzahlungen und Strafen, die eigentlich keiner will.

Unternehmerisches Handeln beinhaltet immer Chancen und auch Risiken. Das betrifft alle Prozessbereiche vom Einkauf, Beschaffung, Logistik, Produktion, Produkte, Personal , Human Resources, Finanzen, IT, Vertrieb, Recht, etc.. 

In der Regel ist eine "Risikofrüherkennung" zu empfehlen. Das ist machbar mit Standardchecklisten für jeden Prozessbereich. Wie auch bei der Wetterprognose wäre dann zu entscheiden, was man anzieht oder mitnimmt. Die Sonnencreme hilft im Sommer, der "Ostfriesennerz" bei Regen und Sturm, ein Beispiel aus dem Alltag.

Neben einer Checkliste ist es ratsam, Regeln zu etablieren ("Policies"). Diese geben den Mitarbeitern Sicherheit, wie im Grenzfall zu entscheiden ist und wirken wie ein Regenschirm und ein Regenjacke für die Unternehmenswerte. So kann nicht jeder Kunde beliebiges Kreditlimit bekommen, jedes abschlusserhebliche Spreadsheet ist regelmäßig auf Formeln zu prüfen und kein Lieferanten-Bankkonto darf im Stammsatz geändert werden, nur aufgrund von dubiosen Mails oder Telefonanrufen. 

Schließlich ist das interne Kontrollsystem, unabhängig nun nach § 91 AktG oder § 404 SOX-Act, von Geschäftsleitern zu verantworten und unterliegen dem Testat von Wirtschaftsprüfern (ab einer gewissen Größenordnung). Grund genug, systematisch vorzugehen, zu dokumentieren und den Erfolg "risikoadjustiert" zu begegnen.