IKS und Risikomanagement im BilMoG

PictureIm Hinblick auf die Neuerungen der Anforderungen an das interne Kontrollsystem (IKS) und die Corporate Governance ist erforderlich, den Geltungsbereich abzustecken. Für diese Bereiche, aber auch weitere Regelungen des BilMoG, wird der Begriff des "kapitalmarktorientierten Unternehmens" eingeführt. Die exakte Definition findet sich hier.

Für kapitalmarktorientierte Unternehmen sollen erweiterte Vorschriften zum internen Kontrollsystem (IKS) und der Corporate Governance zur Anwendung kommen. Da diese Anforderungen ursprünglich in den relevanten EU-Richtlinien manifestiert sind, ist im Gesetzgebungsprozess nicht mit wesentlichen Änderungen des vorliegenden Entwurfs zu rechnen.

Unter anderem bedeutet dies:

  • Kapitalmarktorientierte Unternehmen müssen im Lagebericht die wesentlichen Merkmale des internen Kontrollsystems und des internen Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess beschreiben. Diese Beschreibung ist Bestandteil der Prüfung durch den Abschlussprüfer.
  • Der Aufsichtsrat (ggf. der Prüfungsausschuss) soll sich mit der Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des internen Kontrollsystems, des internen Risikomanagementsystems (nicht beschränkt auf bestimmte Unternehmensbereiche), des internen Revisionssystems und der Abschlussprüfung (insbesondere der Unabhängigkeit des Abschlussprüfers) befassen.

Die Berichterstattung im Lagebericht ist – auch der Gesetzesbegründung zufolge – nicht gleichbedeutend mit einem Zwang, ein wirksames IKS bzw. Risikomanagementsystem einzurichten. Allerdings sind hier folgende Aspekte zu beleuchten:

  • Ein Unternehmen, das am Kapitalmarkt aktiv ist, wird in seiner Berichterstattung darauf zu achten haben, dass die abgegebenen Beschreibungen über den internen Organisationsgrad einem Mindeststandard genügen und dass die gegebene Beschreibung auch zutrifft. Die Mindestanforderungen dürften auch von der Erwartungshaltung des Kapitalmarkts geprägt sein, der Standards wie den Sarbanes-Oxley Act of 2002 und weitere internationale Standards kennt und inzwischen als normal akzeptiert oder sogar fordert.
  • Der Gesetzgeber hat in seiner Begründung zum Gesetzentwurf bereits ausgeführt, dass davon auszugehen ist,  dass sich die Geschäftsleitung im Rahmen der Berichterstattung mit der Frage der Angemessenheit und Wirksamkeit des IKS auseinandersetzen muß.

Der Aufsichtsrat ist zuständig für die Wirksamkeit des IKS, des Risikomanagementsystems und der internen Revision (soweit vorhanden) insgesamt. Diese Verantwortung ist nicht auf den Rechnungslegungsprozess beschränkt. Um seiner Sorgfaltspflicht nachzukommen und der nunmehr explizit im Gesetz formulierten Verantwortung (die auch früher schon bestand) Rechnung zu tragen, wird sich ein Aufsichtsrat geeigneter Instrumente bedienen müssen, um die geforderte Aufsicht auszuüben. Hierfür kommen unterschiedliche Ansätze in Frage, wie beispielsweise eine externe Prüfung oder auch eine entsprechende Berichterstattung der internen Revision.

Abschließend ist der Abschlussprüfer (§ 171 Abs. 1 Satz 2 AktG-E) verpflichtet, dem Aufsichtsrat bzw. dem Prüfungsausschuss über die wesentlichen Ergebnisse seiner Prüfung, "insbesondere wesentliche Schwächen des internen Kontroll- und des internen Risikomanagementsystems bezogen auf den Rechnungslegungsprozess" zu berichten.

Die Wirksamkeit der genannten Maßnahmen wird aber weder eine interne Revision noch ein externer Prüfer beurteilen können, wenn diese nicht in ausreichendem Maß dokumentiert sind. Um die Beurteilung der Wirksamkeit in der Praxis möglichst objektivierbar zu halten, wird ein Unternehmen darüber hinaus Standards bei der Implementierung anwenden müssen, an denen sich auch die Beurteilung der Maßnahmen orientiert. Das "Committee of Sponsoring Organizations of the Treadway Commission" (COSO) hat hier Pionierarbeit geleistet und den de-facto Standard für interne Kontrollsysteme gesetzt.

Praxishinweis:

Die obigen Ausführungen zeigen, dass betroffene (kapitalmarktorientierte) Unternehmen praktisch kaum Alternativen haben, als ein internes Kontrollsystem und Risikomanagementsystem einzurichten, das einem anerkannten Standard genügt, im Unternehmen durchgängig implementiert und dokumentiert ist und dessen Wirksamkeit nachgewiesen wurde.