Im Moment stellt sich für viele Verantwortliche die Frage, was im Bereich IKS, Risikomanagement und interne Revision denn wirklich gemacht werden muss.
Ausgangspunkt
Das BilMoG setzt die einschlägigen EU-Richtlinien um, die gemeinhin als EURO-SOX bezeichnet wurden. Jeder, der sich in diesem Thema etwas tummelt, weiß, dass SOX für die Unternehmen viel Arbeit und Aufwand bedeutet haben.
Andererseits wird uns immer wieder versichert, dass der Gesetzgeber den deutschen Unternehmen all das ersparen möchte. In Zeiten, in denen alles Bestreben in Richtung Entbürokratisierung und Entlastung der Wirtschaft gerichtet ist (zumindest vordergründig), wäre alles andere auch nicht besonders klug.
Andererseits hat die EU bei der Formulierung der Richtlinien natürlich gewisse Mindeststandards gesetzt, die die Mitgliedstaaten nicht "unterschreiten" dürfen. Der Grundgedanke der EU war dabei, Anlegervertrauen wiederherzustellen (wir erinnern uns, dass die Richtlinien lange vor der aktuellen Wirtschafts- und Finanzkrise verfasst wurden) und Transparenz für Anleger, Gläubiger und sonstige Stakeholders zu schaffen. Nicht zuletzt soll der europäische Raum auch im Wettbewerb um Anlegervertrauen den USA (mit ihrem Sarbanes-Oxley Act) und Asien (insbesondere Japan mit den unter "J-SOX" bekannten Vorschriften) nicht nachstehen.
Lagebericht
"Kapitalgesellschaften im Sinn des § 264d haben im Lagebericht die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben"
Sinngemäß ist dies für Konzerne anzuwenden, bei denen eine Tochtergesellschaft oder die Muttergesellschaft unter den § 264d fällt.
Auch wenn damit kein Zwang zur Einrichtung bzw. Ausgestaltung eines IKS bzw. Risikomanagementsystems in einer bestimmten Form ausgeübt wird, so stellen sich doch drei Fragen:
- Welche Art der Darstellung der eigenen Organisation wünscht die Geschäftsleitung im Lagebericht und damit in der Öffentlichkeit? Dass die o.g. Beschreibung Bestandteil der Prüfung durch den Abschlussprüfer ist, wird hier besondere Anforderungen an die Nachvollziehbarkeit der jeweils getroffenen Aussagen und Beschreibungen stellen. Zugleich soll die Beschreibung natürlich Anlegervertrauen wecken und "wettbewerbsfähig" sein.
- Wie muss ein sorgfältiger Kaufmann agieren, wenn er über seine Organisation in dieser Form Bericht erstattet? Eine -wie auch immer geartete- Beschreibung des IKS erfordert doch eine Auseinandersetzung mit der Wirksamkeit - selbst, wenn darüber nicht öffentlich zu berichten ist.
- Wie würde eine zutreffende Beschreibung aussehen, wenn das IKS einer Organisation nicht strukturiert, nicht dokumentiert oder nicht wirksam wäre und die Geschäftsleitung über diesen Sachverhalt informiert wäre?
Aufsichtsrat
Weiterhin hat der Aufsichtsrat (bzw. der zu bildende Prüfungsausschuss) sich mit der Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des internen Kontroll- und Risikomanagementsystems sowie der internen Revision zu befassen.
Hierzu ist festzustellen, dass keine bestimmte Art und Weise der Ausgestaltung vorgeschrieben wird, allerdings ist festzustellen, dass das IKS und Risikomanagementsystem sowie die interne Revision insgesamt dieser Betrachtung zu unterziehen und eben nicht auf den Rechnungslegungsprozess beschränkt sind.
Zusammenfassung
Betroffene Unternehmen werden nicht umhin kommen, sich einen Überblick über den Status Quo zum IKS, Risikomanagement und der internen Revision zu verschaffen.
Daraus wird abzuleiten sein, ob Maßnahmen zu ergreifen sind, weil in diesem Kontext beispielsweise Schwachstellen aufgetreten sind.
Darüber hinaus ist es sicher eine sinnvolle Übung, den vorgefundenen Status einmal daraufhin zu untersuchen, ob eine klare, zutreffende Beschreibung des Status den Vorstellungen der Geschäftsleitung genügt. Diese Einschätzung wird sich sicher an der Erwartunghaltung der Adressaten (Gläubiger, Kapitalmarkt, Kunden etc.) orientieren.
Bei der Betrachtung sollten folgende Fragen eine Rolle spielen:
- Folgen das IKS, das Risikomanagementsystem und die interne Revision gängigen, anerkannten Standards, auf die eine Beschreibung Bezug nehmen könnte?
- Sind diese Systeme dokumentiert, nachvollziehbar und in der gesamten Organisation (soweit anwendbar) implementiert?
- Wie wird die Wirksamkeit untersucht und nachgewiesen?
- Bestehen Zweifel an der Wirksamkeit der Systeme?
- Bezieht das IKS auch die Managementebene ein?
Diese Betrachtung sollte durchaus sehr kritisch erfolgen. Denn der Abschlussprüfer wird hier ebenfalls mit strengen Maßstäben messen müssen. Um ein neutrales Bild zu erhalten, wie es sich der Abschlussprüfer auch bilden muss, kann es sinnvoll sein, für diese Betrachtung Berater einzuschalten, die eine Statusaufnahme durchführen und die Ergebnisse bewerten.
Ob sich dann zusätzlicher Aufwand ergibt, hängt sicher vom Einzelfall ab.
Wenn eine Organisation zum Jahresende nicht von den Berichtspflichten (und deren Inhalten) überrascht werden will, lohnt sich eine frühzeitige Bestandsaufnahme, damit eventuell erforderliche Schritte bis zum Stichtag geordnet umgesetzt werden können.
Wir freuen uns auf Ihre Kommentare und Feedback!