Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation, die bestrebt ist, das Finanzreporting durch ethisch fundiertes Verhalten, ein wirksames internes Kontrollsystem (IKS) und gute Unternehmensführung („Corporate Governance“) zu gewährleisten und laufend qualitativ zu verbessern.

COSO wurde 1985 als Plattform für die „National Commission on Fraudulent Financial Reporting” (Treadway Commission) gegründet.

1992 veröffentlichte COSO einen von der SEC anerkannten Standard für interne Kontrollen („COSO IC“).

Dieses COSO-Modell dient der Dokumentation, Analyse und Gestaltung des IKS mit klarem Fokus auf die Finanzberichterstattung. Daher wurde 2004 eine Ergänzung, das COSO ERM-Framework (Enterprise Risk Management Framework) veröffentlicht. Das COSO ERM fügte zum COSO-IC-Modell (bestehend aus den Komponenten: Überwachung, Information und Kommunikation, Kontrollaktivitäten, Risikobeurteilung und Kontrollumfeld) die vier Elemente Zielsetzung, Ereignisidentifikation, Risikobeurteilung und Risikobewältigung hinzu. Im Folgenden soll analysiert werden, wie die Praxis – und hier vor allem größere Unternehmen – mit den COSO-Modellen umgehen. In der Zwischenzeit ist

Von 292 befragten Schweizer großen und mittleren Unternehmen wendeten im Jahr 2005 erst 29 ein standardisiertes Kontrollmodell wie das COSO-Framework an.  

Es zeigte sich weiter, dass bei der Mehrheit der Unternehmen ein Gleichgewicht zwischen präventiven und detektiven Maßnahmen besteht. In der Umfrage wurde die tragende Rolle der Internen Revision bei Organisation, Durchführung und Überwachung der internen Kontrolle (IK) deutlich, was sich sowohl mit Forderungen der Theorie als auch mit anderen Studienergebnissen deckt. Aber nur gut ein Drittel der 292 Unternehmen verfügt über eine solche Instanz, bei den großen Unternehmen mehr als bei den mittleren. In Unternehmen ohne Interne Revision kommt bei  Durchführung der IK  bzw. von Kontrollaktivitäten zum Ausgleich dem Controlling höhere Bedeutung zu. Ebenfalls große Bedeutung in allen Phasen der IK hat ein eigenständiges Risikomanagement (RM). Aber nur jedes fünfte Unternehmen hat eine solche Instanz; auch hier bestehen dieselben Unterschiede nach der Unternehmensgröße. Dieser Befund deckt sich auch mit empirischen Ergebnissen aus 2011-12 in Österreich, wonach RM als Prozess häufiger anzutreffen ist als eine eigene Instanz RM. Andererseits sind Risiken, die das Unternehmen treffen könnten, der Mehrzahl der Unternehmen wohl bekannt.

Zum Kontrollumfeld (das u.a. Aspekte wie Integrität, ethische Werte, die Regelung von Aufgaben, Kompetenzen und Verantwortung, Personalpolitik sowie Philosophie und Führungsstil der Geschäftsführung betrifft) ist zu sagen, dass nur wenige Unternehmen auf konkrete Maßnahmen zur Förderung von integren, moralisch durchdachten Verhaltensweisen verzichten. 45 % der befragten Schweizer Unternehmen definieren Werte im Leitbild, ein Drittel hat Verhaltensleitlinien, z.B. Code of Ethics. Die meisten Unternehmen haben auch Stellenbeschreibungen, wenngleich deren Detaillierungsgrad unterschiedlich ausfällt, und auch Stellvertretungs-Regelungen.

Nur jedes fünfte der befragten Schweizer Unternehmen hat RM institutionalisiert. Immerhin wird in den meisten Aufsichtsorganen mit der Geschäftsführung systematisch über Risiken diskutiert, wenn auch bei jedem dritten Unternehmen nur unregelmäßig. Im Vordergrund stehen dabei – in Österreich – Markt-, IT- und Forderungsausfallrisiken.  Anspruchsvollere Methoden zur Quantifizierung von Risiken werden selten eingesetzt; das unterstreicht wiederum die Forderung der aufgeklärten Theorie, keine zu sophistischen Methoden einzusetzen, die der Geschäftsführung nur mühsam verständlich gemacht werden können, und deren Mehrwert an Erkenntnis in keinem Verhältnis zum Aufwand steht.

Zur Gestaltung der Kontrollaktivitäten:  Fast alle befragten Schweizer Unternehmen analysieren und kommentieren ihre Ergebnisse regelmäßig und systematisch hinsichtlich Effizienz und Wirksamkeit, und zwar mindestens quartalsweise. Kleinere Unternehmen tun dies mitunter nicht oder nur jährlich. Eine Berichterstattung der Finanzergebnisse an das Aufsichtsorgan erfolgt ebenfalls zumindest quartalsweise.

Viele Unternehmen haben eine dokumentierte IT-Strategie. Fast jedes zweite Unternehmen hat auch eine eigene IT-Abteilung. Fehlt eine solche, übernehmen die IT-Aufgaben der CFO oder die Leitung Rechnungswesen. Ähnliche Untersuchungen zeigen, dass moderne, im angelsächsischen Raum schon verbreitete Methoden der E-Discovery zur Aufdeckung von Wirtschaftskriminalität noch keine Verwendung finden.

Betreffend Information und Kommunikation ist festzustellen, dass Unternehmen selten über ein systematisches Weisungswesen verfügen, das gilt vor allem für kleine Unternehmen. Zur Informationsbeschaffung stehen Mitarbeitern neben Intranet auch traditionelle Quellen wie Schwarzes Brett oder die Mitarbeiterzeitung zur Verfügung. Die meisten Unternehmen halten regelmäßige Informationsveranstaltungen ab, auch weil sie von den Arbeitsgesetzen und den Rechten der Belegschaftsvertretung her dazu verpflichtet sind. Rund die Hälfte der Unternehmen hat ein mehr oder weniger standardisiertes MIS, kleine Unternehmen sind hier wieder die Ausnahme.  

Whistleblowing war 2005 bei 42 % der befragten Schweizer Unternehmen etabliert.  Dieser Prozentsatz dürfte sich in den letzten Jahren  aber deutlich erhöht haben.

Als Hauptgrund für Schwachstellen im IKS wurde oft Zeitdruck genannt. Auch mangelndes Kontrollbewusstsein der Mitarbeiter und mangelnde organisatorische Verankerung der IK wurden  genannt.  Als klar wichtigsten Grund für die Anpassung der IK wird die Optimierung der Geschäftsprozesse betrachtet. Weitere Gründe sind eine veränderte Risikolage, ein veränderter Informationsbedarf des Managements, das Aufdecken doloser Handlungen und regulative Entwicklungen.  Die globale Stärkung der Corporate Governance und striktere Compliance- und Publizitätsvorschriften  führt in der Praxis insgesamt sukzessive zu einem höheren Stellenwert der IK.