Corporate Governance Inside
Herausforderung Unternehmensüberwachung heute
Reifegrade von internen Kontrollsystemen als Unterstützung für Vorstand und Aufsichtsrat
Vor dem Hintergrund wachsender regulatorischer Anforderungen gewinnt ein angemessenes und wirksames internes Kontrollsystem (IKS) für Vorstand und Aufsichtsrat weiter an strategischer Bedeutung. Es bildet die Grundlage für die Erfüllung gesetzlicher Pflichten, sichert die Qualität der Berichterstattung und unterstützt die wirksame Steuerung und Überwachung der Unternehmensführung. Darüber hinaus trägt ein leistungsfähiges IKS zur Effizienz operativer Prozesse, zur Risikoprävention und zur fundierten Entscheidungsfindung bei. Die strukturierte Einschätzung des Reifegrads liefert Leitungs- und Aufsichtsgremien dabei eine belastbare Grundlage zur Bewertung der Systemqualität, zur Identifikation gezielter Optimierungspotenziale, zur risikoorientierten Priorisierung von Weiterentwicklungsmaßnahmen sowie eine Grundlage zur Einschätzung der Angemessenheit des IKS. Sie schafft Transparenz über den Status quo und stärkt das Vertrauen interner wie externer Stakeholder in die Governance-Strukturen des Unternehmens. Als zentraler Bestandteil einer effektiven Corporate Governance übernimmt das IKS eine strategische Funktion in der Steuerung und Überwachung unternehmerischer Prozesse. Es gewährleistet die Effizienz und Effektivität operativer Abläufe, die Integrität und Verlässlichkeit der finanziellen und nicht-finanziellen Berichterstattung sowie die regelkonforme Umsetzung gesetzlicher und regulatorischer Anforderungen. Die rechtlichen Rahmenbedingungen für das IKS sind dabei vielschichtig und unterliegen je nach Gesellschaftsform, Branche und Unternehmensgröße spezifischen Ausprägungen.
Gesetzliche Anforderungen § 91 Abs. 3 AktG verpflichtet den Vorstand einer börsennotierten Gesellschaft zur Einrichtung eines internen Kontrollsystems, das in seiner Ausgestaltung der Geschäftstätigkeit und Risikolage des Unternehmens angemessen und wirksam sein muss. Der Aufsichtsrat ist gemäß § 107 Abs. 3 AktG verpflichtet, nicht nur den Rechnungslegungsprozess, sondern unter anderem auch die Wirksamkeit des internen Kontrollsystems – insbesondere über den Prüfungsausschuss – kontinuierlich zu überwachen. Für nicht börsennotierte Unternehmen kann sich die Pflicht zur Einrichtung eines IKS aus der allgemeinen Sorgfaltspflicht gemäß § 93 Abs. 1 AktG ergeben. Die §§ 9, 30 und 130 OWiG regeln die bußgeldrechtliche Verantwortlichkeit von Unternehmen und deren Organen bei Compliance-Verstößen. § 130 OWiG verpflichtet Leitungspersonen zur ordnungsgemäßen Aufsicht, wozu auch ein wirksames IKS zählt. Wird diese Pflicht verletzt, können nach § 30 OWiG das Unternehmen sanktioniert und über § 9 OWiG auch die persönliche Haftung von Vorstand und Aufsichtsrat begründet werden. Darüber hinaus sind Kapitalgesellschaften im Sinne des § 264d HGB gemäß § 289 Abs. 4 HGB verpflichtet, im Lagebericht die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess offenzulegen. Diese Berichtspflicht dient der Transparenz gegenüber Investoren und Aufsichtsbehörden und unterstreicht die Relevanz eines wirksamen IKS als Bestandteil der Corporate Governance. CSRD und DCGK Mit der zunehmenden regulatorischen Einbindung von Nachhaltigkeits- und Compliance-Aspekten – etwa durch die Corporate Sustainability Reporting Directive (CSRD) und die Empfehlungen des Deutschen Corporate Governance Kodex (DCGK 2022) – steigen die Anforderungen an ein IKS noch einmal deutlich. Neben der klassischen Finanzberichterstattung müssen Unternehmen künftig auch die Erfassung, Verarbeitung und Kontrolle nachhaltigkeitsbezogener Daten sowie Compliance-relevanter Prozesse in das IKS integrieren. Dies erhöht die Komplexität und erfordert eine systematische Weiterentwicklung bestehender Kontrollstrukturen. Der DCGK ergänzt diese Anforderungen durch Empfehlungen zur guten Unternehmensführung, die ebenfalls auf ein funktionierendes IKS abzielen. Der Vorstand muss demnach ein angemessenes und wirksames IKS und Risikomanagementsystem (RMS) einrichten, die alle wesentlichen Unternehmensrisiken abdecken. Im Lagebericht sollen die Struktur und Funktionsweise dieser Systeme sowie eine Einschätzung ihrer Wirksamkeit dargestellt werden. Der Prüfungsausschuss des Aufsichtsrats ist verpflichtet, sich regelmäßig mit der Wirksamkeit von IKS, RMS, Compliance-Managementsystem (CMS) und der Internen Revision zu befassen. Das bisher anwendbare CSR-Richtlinie-Umsetzungsgesetz (CSR-RUG) verpflichtet große, kapitalmarktorientierte Unternehmen mit mehr als 500 Beschäftigten zur jährlichen Veröffentlichung einer nicht-finanziellen Erklärung. Diese muss Informationen zu Umwelt-, Sozial-, Arbeitnehmerbelangen, Menschenrechten und Korruption enthalten. Um die Qualität und Verlässlichkeit dieser Angaben sicherzustellen, wird ein nicht-finanzielles internes Kontrollsystem (nIKS) empfohlen, das die Erhebung und Prüfung der ESG-Daten strukturiert unterstützt. Mit dem Inkrafttreten der CSRD, welche sich derzeit in Deutschland in der nationalen Umsetzung befindet, sowie der Veröffentlichung der ersten European Sustainability Reporting Standards (ESRS) werden die Anforderungen an die Nachhaltigkeitsberichterstattung für Unternehmen deutlich präzisiert und erweitert. Neben finanziellen Kennzahlen rücken nun auch Umwelt-, soziale und Governance-Themen (ESG) stärker in den Fokus. Damit die erhobenen Daten zuverlässig, vollständig und korrekt sind, ist ein internes Kontrollsystem speziell für die Nachhaltigkeitsberichterstattung unerlässlich. Ohne ein angemessenes und funktionierendes Nachhaltigkeits-IKS ist eine regelkonforme Umsetzung der Berichtspflichten nach der CSRD im Grunde nicht realisierbar. IKS als strategisches Führungsinstrument Ein ausgereiftes IKS ist weit mehr als ein operativer Mechanismus zur Fehlervermeidung – es ist ein integraler Bestandteil strategischer Unternehmenssteuerung. Es liefert belastbare Informationen, die als Grundlage für fundierte Entscheidungen auf Führungsebene dienen, und schafft Transparenz über unternehmensrelevante Risiken, bestehende Kontrolllücken sowie den Status der regulatorischen Compliance. Durch die Integration von Compliance-Anforderungen, operativen Risiken und prozessualer Effizienz in ein ganzheitliches Kontrollverständnis trägt das IKS wesentlich zur Sicherstellung der Unternehmensintegrität und zur nachhaltigen Wertschöpfung bei. Es ermöglicht eine risikoadäquate Steuerung, fördert die Einhaltung gesetzlicher und aufsichtsrechtlicher Vorgaben und unterstützt die kontinuierliche Optimierung von Geschäftsprozessen. Für Vorstand und Aufsichtsrat ist das IKS ein unverzichtbares Instrument zur Wahrnehmung ihrer Überwachungs- und Steuerungsverantwortung. Es schafft die Voraussetzungen für eine transparente und nachvollziehbare Entscheidungsfindung und stärkt das Vertrauen in die Unternehmensführung – sowohl intern gegenüber Mitarbeitenden und Führungskräften als auch extern gegenüber Investoren, Prüfern und Regulatoren. Ein leistungsfähiges IKS ist damit nicht nur Ausdruck guter Governance, sondern auch ein wesentlicher Erfolgsfaktor für die strategische Resilienz und Zukunftsfähigkeit des Unternehmens. Das Reifegradmodell Die systematische Bewertung des Reifegrads eines IKS erfolgt auf Basis eines Bewertungsrahmens, der eine strukturierte Einschätzung der Ausgestaltung und Wirksamkeit interner Steuerungsmechanismen ermöglicht. Diese Vorgehensweise schafft Transparenz über den aktuellen Status des IKS und liefert belastbare Erkenntnisse zu bestehenden Optimierungspotenzialen. In der Praxis kommen hierfür insbesondere das international anerkannte COSO-Rahmenwerk sowie der nationale Prüfungsstandard IDW PS 982 zur Anwendung. Beide Modelle bieten eine methodisch fundierte Grundlage zur Beurteilung der Ausgestaltung und Wirksamkeit interner Kontrollmechanismen. Die Reifegradeinschätzung von Governance-Systemen und -Funktionen erfolgt dabei häufig entlang eines Stufenmodells. Diese Methodik schafft Transparenz über den aktuellen Entwicklungsstand und liefert eine belastbare Grundlage für strategische Entscheidungen auf Führungsebene. Abb. 1 – Stufenmodell zur IKS-Reifegradeinschätzung
Die unterste Stufe („Immature“) kennzeichnet Systeme mit unstrukturierten oder nicht vorhandenen Prozessen und Kontrollen, fehlender Dokumentation und einer rein reaktiven Risikosteuerung. Auf der zweiten Stufe („Basic“) sind erste grundlegende Strukturen erkennbar, jedoch oft unvollständig, inkonsistent und nicht nachhaltig verankert. Governance-Verantwortlichkeiten sind zwar definiert, aber nicht klar kommuniziert. Ein System auf der dritten Stufe („Mature“) erfüllt die wesentlichen Mindestanforderungen: Prozesse und Kontrollen sind dokumentiert, implementiert und werden regelmäßig überprüft. Die Steuerung erfolgt risikoorientiert, Verantwortlichkeiten sind klar geregelt und Ressourcen zur Risikominderung stehen angemessen zur Verfügung. Die vierte Stufe („Advanced“) zeichnet sich durch effiziente, kontinuierlich weiterentwickelte Prozesse und angemessene Kontrollen aus, die aktiv neue Methoden und Technologien integrieren. Governance-Prinzipien sind fest in der Unternehmenskultur verankert. Die höchste Stufe („Leading“) beschreibt ein Governance-System, das im Peer-Vergleich als führend gilt. Es ist innovationsgetrieben, nutzt moderne Technologien zur Ressourcenoptimierung und leistet einen strategischen Beitrag zur Wertschöpfung des Unternehmens. Das IKS in der Abschlussprüfung Ein weitverbreitetes Missverständnis besteht darin, dass Abschlussprüfer das gesamte IKS im Rahmen ihrer Prüfung bewerten. Tatsächlich beschränkt sich die Prüfung auf jene Komponenten, die unmittelbar für die Ordnungsmäßigkeit der Rechnungslegung relevant sind. Schwächen werden im sogenannten Management Letter adressiert, jedoch erfolgt keine ganzheitliche Bewertung des Kontrollsystems. Für den Vorstand ergibt sich daraus die Verantwortung, ein angemessenes und wirksames IKS zu implementieren, das über die Anforderungen der Abschlussprüfung hinausgeht. Die Interne Revision übernimmt hierbei eine zentrale Rolle: Sie fungiert als unabhängige Prüf- und Beratungseinheit, die sowohl die Wirksamkeit des IKS überwachen als auch die Führungsgremien durch objektive Analysen und Berichte unterstützen kann. Risiken und Chancen Ein IKS mit niedrigem Reifegrad stellt nicht nur im regulatorischen Kontext eine Herausforderung dar, sondern birgt substanzielle Risiken für die Unternehmensführung insgesamt. Eine fehlende Systematik und begrenzte Wirksamkeit der Kontrollmechanismen beeinträchtigen die Transparenz über unternehmensrelevante Risiken, erschweren die Steuerung operativer Prozesse und gefährden die Einhaltung gesetzlicher sowie aufsichtsrechtlicher Vorgaben. Die Folgen sind vielschichtig: Der Aufwand zur Identifikation und Behebung von Mängeln bindet erhebliche personelle und zeitliche Ressourcen, häufig außerhalb geplanter Strukturen. Gleichzeitig steigt das Risiko doloser Handlungen, da Kontrolllücken nicht rechtzeitig erkannt und adressiert werden können. Die damit verbundenen Kosten für interne Untersuchungen, externe Prüfungen und nachgelagerte kompensierende Maßnahmen sind nicht nur finanziell belastend, sondern auch reputationsgefährdend. Vor diesem Hintergrund ist die kontinuierliche Weiterentwicklung des IKS – insbesondere auf Basis strukturierter Reifegradmodelle – ein zentraler Bestandteil wirksamer Corporate Governance. Nur ein leistungsfähiges, strategisch verankertes Kontrollsystem kann die Anforderungen an Transparenz, Sicherheit und Steuerungsfähigkeit nachhaltig erfüllen.
Markus Link Partner | Leiter Controls Assurance | Deloitte Deutschland
Barbara Bertels Director | Controls Assurance | Deloitte Deutschland
Hier können Sie das gesamte Magazin als PDF herunterladen: