EINFÜHRUNG EINES RECHNUNGSLEGUNGSBEZOGENEN INTERNEN KONTROLLSYSTEMS BEI DER GRAMMER AG

Die Grammer AG ist ein deutsches Unternehmen mit Sitz in Ursensollen. Es ist spezialisiert auf die Entwicklung und Herstellung von Komponenten und Systemen für die Pkw-Innenausstattung sowie von Fahrer- und Passagiersitzen für Offroad-Fahrzeuge, Lkw, Busse und Bahnen. Grammer ist zudem die börsennotierte Muttergesellschaft der global agierenden Grammer Gruppe. Mit rund 14.000 Mitarbeitern ist Grammer in 19 Ländern und 46 Standorten weltweit tätig. Der Umsatz betrug im Jahr 2021 rund 1,9 Milliarden Euro.

Grammer plante die Einführung eines systematischen und formalisierten Internen Kontrollsystems (IKS), um den Anforderungen an börsennotierte Unternehmen Rechnung zu tragen. Bereits bestehende IKS Komponenten sollten überarbeitet, formalisiert, verbessert und in ein ganzheitliches IKS überführt werden. Darüber hinaus sollten derzeitig bestehende Lücken im Hinblick auf ein systematisches, angemessenes und wirksames IKS identifiziert und geschlossen werden. Zur Vorbereitung des Projekts hatte Grammer den aktuellen Status-Quo des IKS bereits High-Level aufgenommen und einen Reifegrad ermittelt, welcher durch das Projekt sukzessive erhöht werden sollte.

Zur Bestimmung der wesentlichen Risikofelder und zu berücksichtigender Geschäftsprozesse haben wir zu Beginn des Projekts auf Basis des Geschäftsberichtes eine Risikoanalyse durchgeführt, um die für das Projekt wesentlichen Prozesse zu identifizieren. Im Ergebnis fokussierten wir uns auf die Bereiche:

• Einkauf
• Verkauf
• Personal
• Finanzen inkl. Konsolidierung
• IT
   

Unserem standardisierten Projektansatz folgend wurden für die identifizierten Risikobereiche Prozessworkshops durchgeführt. Hierbei wurde in mehreren Terminen der Ist Prozess end-to-end mit dem Fachbereich besprochen. Neben der Gewinnung eines grundlegenden Prozessverständnisses lag der Fokus auf der Identifikation prozessimmanenter Risiken und zugehöriger Kontrollaktivitäten. Sofern Prozesse im vorhandenen Prozesshaus nicht dokumentiert oder nicht aktuell hinterlegt waren, wurde diese durch die WTS unter Verwendung von SAP Signavio modelliert und im Prozesshaus ergänzt.

Nach abgeschlossenen Prozessinterviews haben wir für die identifizierten Risiken kompensierende Kontrollen aufgebaut. Oft sind Kontrollaktivitäten bereits im Geschäftsprozess integriert aber nicht strukturell dokumentiert. Die Gesamtheit aller Kontrollen wurde in der globalen Risiko-Kontroll-Matrix (RKM) auf Ebene der Grammer AG, als führende operative Einheit integriert. Aufgrund der heterogenen Konzernstruktur bestand jedoch die Anforderung die globale RKM auf die lokalen Gegebenheiten der Konzerneinheiten zu übertragen. Hierzu haben wir in den unterschiedlichen Regionen Workshops zur Lokalisierung durchgeführt. In diesem Rahmen wurde die globale RKM auf die lokal vorhandenen Prozessstrukturen angepasst, um so die Durchführbarkeit der Kontrollaktivitäten, gemäß der Soll-Vorgaben zu gewährleisten.   

Zielsetzung hierbei ist es eine einheitliche Kontrolllandschaft abzubilden, um so mittels Aggregation der Ergebnisse Rückschlüsse auf die Effektivität des IKS insgesamt sowohl auf lokaler und regionaler Ebene sowie für den Konzern zu bestimmen. Der Prozess zur Erhebung und Aggregation der nötigen Daten, mittels eines Control-Self Assessments, konnte unter zu Hilfenahme einer GRC Software, IT gestützt abgebildet werden.  

Neben dem Aufbau bzw. der Aktualisierung des Prozesshauses wurde auch das Rahmenkonzept, mit Richtliniencharakter, definiert. Neben den fachlichen Grundlagen eines IKS wurde auch die Zielsetzung sowie die Aufbau- und Ablauforganisation bestimmt. Eindeutig definierte Verantwortlichkeiten, gerade in Bezug auf das jährliche Control Self Assessment sind essentiell für einen funktionsfähigen IKS Zyklus.

Um die Organisation bestmöglich über das neu konzipierte IKS zu informieren, wurden regionale Schulungen durchgeführt. Zielsetzung hierbei war es neben den theoretischen Anforderungen des IKS Rahmenwerks auch die Kontrollanforderungen aus der RKM zu erklären und sofern nötig zu lokalisieren. Einem „train the trainer Konzept“ folgend, konnte somit durch eine geringe Anzahl von Workshops die IKS Anforderungen umfassend im Konzern kommuniziert werden.