Corporate Governance Inside
Audit & Assurance
Angemessenheit und Wirksamkeit von IKS und RMS
Angabenanforderungen nach A.5 DCGK 2022 und Auswirkungen für den Aufsichtsrat
Am 27. Juni 2022 wurde die finale Fassung der Kodexreform des Deutschen Corporate Governance Kodex (DCGK 2022) im amtlichen Teil des Bundesanzeigers bekannt gemacht und ist mit diesem Tag in Kraft getreten. Aus dem neuen DCGK 2022 ergeben sich u.a. konkretisierte Anforderungen an die Einrichtung und Überwachung der Corporate-Governance-Systeme durch die Unternehmensorgane. Eine zentrale Rolle spielen dabei das interne Kontrollsystem (IKS) sowie das Risikomanagementsystem (RMS). Gemäß Empfehlung A.5 des DCGK 2022 sollen im Lagebericht die wesentlichen Merkmale des gesamten IKS und des RMS beschrieben sowie zur Angemessenheit und Wirksamkeit dieser Systeme Stellung genommen werden.
Das Gesetz zur Stärkung der Finanzmarktintegrität als Auslöser
Den Startschuss für die Kodexreform lieferte zunächst das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) mit seinen grundlegenden neuen Aspekten für die Corporate Governance börsennotierter Gesellschaften. Insbesondere waren dies die Einführung des neuen § 91 Abs. 3 AktG, der den Vorstand nunmehr ausdrücklich zur Einrichtung eines angemessenen und wirksamen internen Kontrollsystems (IKS) und Risikomanagementsystems (RMS) verpflichtet. Der Prüfungsausschuss hat sich nach § 107 Abs. 3 Satz 2 AktG mit der Wirksamkeit dieser Systeme zu befassen. Für Unternehmen von öffentlichem Interesse nach § 316a Satz 2 HGB (z.B. börsennotierte Unternehmen, Banken oder Versicherungen) hat der Aufsichtsrat nach § 107 Abs. 4 AktG einen Prüfungsausschuss einzurichten. Im DCGK 2022 wurde aus dem bisherigen Wahlrecht zur Einrichtung eines Prüfungsausschusses durch den erweiterten Grundsatz 14 die Pflicht zur Einrichtung desselben. Aus dem FISG ergab sich für den Kodex erheblicher Anpassungsbedarf, der dort an unterschiedlichen Stellen entsprechend adressiert wurde.
Berücksichtigung von Nachhaltigkeitsaspekten und Compliance-Management im IKS und RMS
Das Thema Nachhaltigkeit ist wesentlicher Bestandteil der Kodexrefrom mit Auswirkungen auf die Anforderungen an die Ausgestaltung angemessener und wirksamer IKS und RMS.
Grundsatz 4 und Empfehlung A.3. fordern hierzu insbesondere: „Das interne Kontrollsystem und das Risikomanagementsystem sollen, soweit nicht bereits gesetzlich geboten, auch nachhaltigkeitsbezogene Ziele abdecken. Dies soll die Prozesse und Systeme zur Erfassung und Verarbeitung nachhaltigkeitsbezogener Daten mit einschließen.“ In der Praxis bedeutet dies für den Großteil der Unternehmen eine intensive Auseinandersetzung bzw. auch Implementierung eines angemessenen und wirksamen IKS für die nicht-finanzielle Berichterstattung, welches die Vollständigkeit („completeness“) und Richtigkeit („accuracy“) der Informationen sicherstellt, perspektivisch auch eine Überprüfung der nicht-finanziellen Berichterstattung mit hinreichender Sicherheit („reasonable assurance“) durch einen unabhängigen Wirtschaftsprüfer ermöglichen soll und zudem durch den Finanzmarkt und institutionelle Anleger immer stärker gefordert wird.
Mit einer weiteren wichtigen Ergänzung im DCGK 2022 werden ferner erstmalig das Compliance-Management-System (CMS) explizit erwähnt sowie auf dessen angemessene und wirksame Ausgestaltung als integraler Bestandteil von IKS und RMS hingewiesen.
So stellt Grundsatz 5 Satz 2 nunmehr klar, dass „der Vorstand […] für die Einhaltung der gesetzlichen Bestimmungen und der internen Richtlinien zu sorgen“ hat und „auf deren Beachtung im Unternehmen […] (Compliance)“ hinzuwirken hat. „Das interne Kontrollsystem und das Risikomanagementsystem umfassen auch ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System.“
Anforderungen an Lageberichtsangaben zum IKS und RMS
Der DCGK 2022 konkretisiert ferner die Anforderungen des § 289 Abs. 4 HGB im Lagebericht, die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben. In der dazugehörigen Empfehlung A.5 heißt es: „Im Lagebericht sollen die wesentlichen Merkmale des gesamten internen Kontrollsystems und des Risikomanagementsystems beschrieben werden und [es] soll zur Angemessenheit und Wirksamkeit dieser Systeme Stellung genommen werden.“
Die Beschreibung der wesentlichen Merkmale des gesamten IKS und RMS inklusive des CMS kann sich dabei an den Grundelementen nach IDW PS 980 n.F., IDW PS 981 oder IDW PS 982 orientieren. Art und Umfang der Beschreibungen hängen dabei von den Zielen dieser Corporate-Governance-Systeme sowie der Struktur und Geschäftstätigkeit des Unternehmens ab.
In Bezug auf die Darstellungen zum IKS ist auch hier wichtig hervorzuheben, dass sich die Aussage auf das gesamte IKS zu beziehen hat und damit eben nicht „nur“ auf dessen rechnungslegungsbezogenen Teil. Gerade bei der erstmaligen Anwendung führt dies in der Praxis bei vielen betroffenen Unternehmen zu Unsicherheiten.
Durch den DCGK 2022 wurde im Grundsatz 4 klargestellt, dass die Angemessenheit und Wirksamkeit des internen Kontrollsystems und des Risikomanagementsystems deren interne Überwachung durch den Vorstand voraussetzen. Die geforderte Stellungnahme zur Angemessenheit und Wirksamkeit der Governance-Systeme wird sich regelmäßig darauf beziehen, worin die interne Überwachung und ggf. externe Prüfung der Systeme bestanden haben. Diese Überwachung durch den Vorstand schafft für diesen die Voraussetzung, eine Stellungnahme im Sinne der Empfehlung A.5 abgeben zu können. Die Überwachung des internen Kontrollsystems und des Risikomanagementsystems ist eine der Kernaufgaben der Internen Revision. Ergänzend zu dieser unternehmensinternen Überwachung kann von Zeit zu Zeit eine entsprechende ergänzende externe Prüfung sinnvoll und notwendig sein.
In der Berichterstattungspraxis zur Bilanzsaison 2022 enthalten die veröffentlichten Fälle vielfach „Negativformulierungen“, wie z.B. dass dem Vorstand auf Basis der Befassung mit diesen Systemen und der weiteren internen Überwachungsmaßnahmen keine Hinweise vorliegen, die gegen die Angemessenheit und Wirksamkeit dieser Systeme sprechen. Andere Unternehmen verzichten auf eine solche Negativaussage und beschränken sich auf eine reine Beschreibung der prozessunabhängigen Überwachung der Systeme durch die Interne Revision ggf. in Ergänzung um durchgeführte externe Prüfungen entlang der relevanten IDW Prüfungsstandards. Aus der Begründung der Novellierung des DCGK lässt sich eine solche Anforderung zur Abgabe eines negativen Statements oder sogar eines positiven Statements in Analogie zu einer Aussage mit „reasonable assurance“ durch einen unabhängigen Dritten nicht eindeutig ableiten. Der weitere Diskurs zwischen Unternehmensvertretern, der Kommission, den Wirtschaftsprüfern und anderen Stakeholdern wird hier zeigen, wohin sich eine „good practice“ in der Berichterstattung entwickeln wird. In der Unternehmenspraxis wird sich herausbilden, wie der Vorstand die Angemessenheit und Wirksamkeit des internen Kontrollsystems und des Risikomanagementsystems tatsächlich effektiv und effizient überwacht.
Auswirkungen für den Aufsichtsrat
Der Aufsichtsrat bzw. Prüfungsausschuss muss sich gemäß § 107 Abs. 3 Satz 2 AktG mit der Überwachung des Rechnungslegungsprozesses und der Wirksamkeit des IKS, RMS, CMS und des Internen Revisionssystems befassen. Durch die Anforderung des A.5 DCGK 2002 zur Stellungnahme im Lagebericht zur Angemessenheit und Wirksamkeit des internen Kontrollsystems und des Risikomanagementsystems wird die Bedeutung funktionierender interner Überwachungssysteme unterstrichen. Indem der Vorstand die Voraussetzungen für die Stellungnahme zur Angemessenheit und Wirksamkeit dieser Systeme schafft, versetzt er zugleich den Prüfungsausschuss in die Lage, sich nach § 107 Abs. 3 Satz 2 AktG mit der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems befassen zu können.
Für diese Überwachungsaufgabe des Prüfungsausschusses kann es sich anbieten, von den folgenden Praxisfragen auszugehen:
- Wie stellt der Vorstand die Angemessenheit und Wirksamkeit des internen Kontrollsystems und des Risikomanagementsystems in allen relevanten Bereichen und Einheiten sicher und weist dies gegenüber dem Prüfungsausschuss nach?
- Wie wird die Wirksamkeit des internen Kontrollsystems und des Risikomanagementsystems durch den Vorstand tatsächlich überwacht?
Die Basis hierfür liefert insbesondere eine Auseinandersetzung mit den durch den Vorstand initiierten Überwachungsmaßnahmen in Bezug auf IKS, RMS und CMS sowie der Arbeit der Internen Revision zur Überwachung dieser Corporate-Governance-Systeme. Diese Informationsbasis zur Verschaffung eines Bildes der Angemessenheit und Wirksamkeit von IKS und RMS inklusive CMS kann durch die gezielte Beauftragung von Externen mit Prüfungen der Corporate-Governance-Systeme gemäß der relevanten IDW Prüfungsstandards sinnvoll ergänzt werden.
Ferner wurde im Zuge des FISG den Mitgliedern des Prüfungsausschusses mit § 107 Abs. 4 Satz 4 AktG das explizite Recht eingeräumt, sich einen Überblick über die Angemessenheit und Wirksamkeit der Corporate-Governance-Systeme aus erster Hand durch direkte Ansprache der Funktionsverantwortlichen inklusive des Leiters der Internen Revision zu verschaffen.
Dr. Claus Buhleier Partner| Audit and Assurance, Deloitte Deutschland
René Scheffler Partner| Audit and Assurance, Deloitte Deutschland
Hier können Sie das gesamte Magazin als PDF herunterladen:
Teilen Sie diesen Artikel:
<< Zurück zum Inhaltsverzeichnis