Compliance-Management und IKS hängen mit einander zusammen.
Die COSO definiert IKS wie folgt:
A process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance.
Internal Control – Integrated Framework (2013)
Mit dieser Definition stellt die COSO klar, dass das interne Kontrollsystem (IKS) nicht nur für die Rechnungslegung wichtig ist. Die Einhaltung geltenden Rechts ist aber eines der drei fundamentalen Ziele jedes IKS, die durch die folgenden fünf wesentlichen Bestandteile gewährleistet werden.
- Kontrollumfeld
- Risikoanalyse
- Kontrollaktivitäten
- Information und Kommunikation
- Überwachung
Im aktuellen Leitfaden Compliance Risk Management: Applying the COSO ERM ergänzt die COSO, dass Compliance Risiken sich nicht nur auf Gesetze oder Regulatorik beziehen, auch auf der Verletzung von vertraglichen Vereinbarungen, professionellen Standards, Geschäftspolitik und ethischen Werten beruhen können.
Außerdem zeigt die COSO, wie Risikomanagement und Compliance-Management über ein effektives IKS verzahnt werden.