Die am 28.4.2022 von der Regierungskommission beschlossenen Änderungen des Deutschen Corporate Governance Kodex sind mit seiner Bekanntmachung durch das Bundesministerium der Justiz im Bundesanzeiger am 27.6.2022 in Kraft getreten.
Über die Kodexänderungen haben wir in der Ausgabe 2/2022 dieses Newsletters berichtet. Vorstände und Aufsichtsräte börsennotierter Gesellschaften müssen die Neuerungen erstmals im zukunftsbezogenen Teil von nach dem 26.6.2022 abgegebenen Entsprechenserklärungen berücksichtigen.
Einen Schwerpunkt der Neuerungen stellen neben einer stärkeren Betonung der Nachhaltigkeit die Steuerungs- und Kontrollsysteme der Unternehmen dar. Damit knüpft die Regierungskommission an die durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) eingeführte Vorschrift des § 91 Abs. 3 AktG an, nach der der Vorstand einer börsennotierten Gesellschaft ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames internes Kontrollsystem (IKS) und Risikomanagementsystem (RMS) einzurichten hat. Nach dem überarbeiteten Kodex soll nun in der externen Rechnungslegung detaillierter über diese Systeme berichtet werden.
Weite Auslegung von IKS und RMS
Gem. Grundsatz 5 Satz 2 DCGK 2022 umfassen IKS und RMS auch das zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften eingerichtete Compliance Management-System (CMS). Diese weite Auslegung durch die Regierungskommission entspricht der Auslegung zu § 91 Abs. 3 AktG in der Regierungsbegründung zum FISG.
Darüber hinaus soll das interne Kontroll- und Risikomanagementsystem auch nachhaltigkeitsbezogene Ziele abdecken sowie Prozesse und Systeme zur Erfassung und Verarbeitung nachhaltigkeitsbezogener Daten mit einschließen (Empfehlung A.3).
Die Empfehlung A.5
Nach der Empfehlung A.5 sollen im Lagebericht „die wesentlichen Merkmale des gesamten internen Kontrollsystems und des Risikomanagementsystems beschrieben werden“ und es „soll zur Angemessenheit und Wirksamkeit dieser Systeme Stellung genommen werden“. Die Empfehlung umfasst somit einerseits eine Beschreibung der vom Vorstand implementierten Systeme und in einem zweiten Schritt eine Stellungnahme zu diesen.
In der Empfehlung wird der Begriff „Lagebericht“ statt „Konzernlagebericht“ verwendet. Da es sich bei IKS und RMS um konzernweite Systeme handelt, erscheint es sachgerecht, die Empfehlung auch im Konzernlagebericht umzusetzen.
Erweiterte Beschreibung der Systeme im Lagebericht
Kapitalmarktorientierte Gesellschaften müssen nach §§ 289 Abs. 4, 315 Abs. 4 HGB im Lagebericht die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess beschreiben. Der Kodex empfiehlt darüber hinaus eine Beschreibung des „gesamten internen Kontrollsystems und des Risikomanagementsystems“. Diese umfasst auch die nicht rechnungslegungsbezogenen Teile.
Nicht zwingend zu beschreiben ist das interne Revisionssystem. Eine Beschreibung empfiehlt sich aber, da das interne Revisionssystem bei der Beurteilung vor allem der Wirksamkeit des IKS und RMS eine zentrale Rolle spielt.
Im Kodex wird nicht weiter spezifiziert, was die wesentlichen Merkmale der Systeme sind, die beschrieben werden sollen. Hier kann auf Rahmenwerke wie bspw. das des Committee of Sponsoring Organizations of the Treadway Commission (COSO) zurückgegriffen werden. Darüber hinaus enthalten IDW PS 980 n.F. (09.2022), IDW PS 981 und IDW PS 982, auf welche in der Begründung des DCGK 2022 verwiesen wird, Ausführungen zu den Grundelementen solcher Systeme.
Stellungnahme zur Angemessenheit und Wirksamkeit
Eine Definition der Begriffe Angemessenheit und Wirksamkeit gibt die Regierungskommission im DCGK 2022 nicht. Nach dem in den IDW Prüfungsstandards zur Prüfung des IKS und RMS (IDW PS 981 und 982) dargelegten Verständnis ist ein System angemessen, wenn sein Aufbau geeignet ist, die Ziele des eingerichteten Systems zu erreichen. Wirksamkeit setzt zusätzlich voraus, dass die im Rahmen des Systems getroffenen Steuerungs- und Überwachungsmaßnahmen im Unternehmen während des Geschäftsjahres auch tatsächlich kontinuierlich durchgeführt wurden.
Damit der Vorstand in seiner Stellungnahme im Lagebericht die Angemessenheit und Wirksamkeit der von ihm eingerichteten Systeme bestätigen kann, müssen diese intern überwacht werden (Grundsatz 4). Diese interne Überwachung ist aus Sicht der Regierungskommission Aufgabe der Internen Revision (vgl. Kodexbegründung zu Empfehlung A.5). Darüber hinaus sind – so die Regierungskommission - von Zeit zu Zeit durchgeführte externe freiwillige Prüfungen nach IDW PS 980 n.F. (09.2022), 981 und 982 dazu geeignet, die Angemessenheit und Wirksamkeit der Systeme zusätzlich zu untermauern.
Fraglich ist, in welcher Form die Stellungnahme durch den Vorstand erfolgen soll. In der Begründung zur Empfehlung A.5 des DCGK führt die Regierungskommission aus, dass sich die Stellungnahme zur Angemessenheit und Wirksamkeit der Systeme regelmäßig darauf beziehen wird, worin die interne Überwachung und ggf. externe Prüfung der Systeme bestanden haben. Daraus lässt sich ableiten, dass in der Stellungnahme begründet werden soll, warum der Vorstand von der Angemessenheit und Wirksamkeit der Systeme ausgeht. Eine kurze Bestätigung von Angemessenheit und Wirksamkeit erscheint vor diesem Hintergrund nicht ausreichend. Erste Praxisbeispiele in Lageberichten von börsennotierten Gesellschaften für zum 30.9.2022 endende Geschäftsjahre bestätigen dies.
Prüfung im Rahmen der Abschlussprüfung
Da es sich bei der vom Kodex geforderten erweiterten Beschreibung des IKS und des RMS und bei der Stellungnahme zu deren Angemessenheit um Angaben handelt, die weder vom Gesetz noch von DRS 20 gefordert werden, (sog. lageberichtsfremde Angaben) sind diese Angaben nicht zwangsläufig auch Gegenstand der Abschlussprüfung.
Werden die lageberichtsfremden Angaben nicht freiwillig im Rahmen einer Auftragserweiterung in die Abschlussprüfung einbezogen, müssen sie im Lagebericht eindeutig abgegrenzt und als ungeprüft gekennzeichnet werden.
Eine eindeutige Abgrenzbarkeit setzt voraus, dass auch die Beschreibung des rechnungslegungsbezogenen IKS und RMS, die gesetzlich gefordert ist, von der darüber hinausgehenden Beschreibung der nicht rechnungslegungsbezogenen Teile der Systeme klar abgegrenzt ist.
Wenn eine Kennzeichnung der Angaben als ungeprüft nicht durch das Unternehmen erfolgt, hat der Abschlussprüfer neben der Anwendung des ISA [DE] 720 (Revised) über die ungeprüften Angaben in seinem Bestätigungsvermerk zu berichten. Auch bei einer Kennzeichnung der Angaben als ungeprüft im Lagebericht wird der Abschlussprüfer im Bestätigungsvermerk regelmäßig auf die nicht erfolgte Prüfung hinweisen.
Die über die gesetzlich geforderte Beschreibung des rechnungslegungsbezogen IKS und RMS hinausgehende Beschreibung der Systeme kann ohne Weiteres freiwillig in die Abschlussprüfung einbezogen werden. Dies gilt auch für Darstellungen zur internen Überwachung und zu durchgeführten internen und externen Prüfungen der bestehenden Systeme. Die Einbeziehung der Stellungnahme des Vorstands zur Angemessenheit und Wirksamkeit der von ihm implementierten Systeme hingegen würde den Rahmen einer Abschlussprüfung aus heutiger Sicht jedoch sprengen.
Kritisches Lesen und Würdigen der Angaben gemäß der Empfehlung A.5 des DCGK 2022
Angaben gemäß der Empfehlung A.5 des DCGK 2022, die vom Abschlussprüfer nicht inhaltlich geprüft werden, stellen sog. sonstige Informationen i.S.d. ISA [DE] 720 (Revised) dar. Der Abschlussprüfer ist dazu verpflichtet, diese kritisch zu lesen und zu würdigen, ob sie wesentliche Unstimmigkeiten zu den geprüften Angaben im Abschluss, im Lagebericht oder den bei der Prüfung erlangten Prüfungsnachweisen aufweisen oder anderweitig wesentlich falsch dargestellt sind. Wird dabei festgestellt, dass die Angaben wesentliche falsche Darstellungen enthalten (bspw. in Bezug auf die Stellungnahme zur Wirksamkeit der Systeme), muss der Abschlussprüfer über die falschen Darstellungen im Bestätigungsvermerk berichten, sofern im Hinblick auf die Berichterstattung über das kritische Lesen und Würdigen von sonstigen Informationen eine wirksame Entbindung von der Verschwiegenheitspflicht erteilt wurde.
Zudem wird der Abschlussprüfer im Rahmen der Redepflicht gem. § 321 Abs. 1 Satz 3 HGB oder aufgrund einer nach Empfehlung D.9 DCGK 2022 getroffenen Vereinbarung mit dem Aufsichtsrat über Abweichungen der Angaben zu Kenntnissen, die er bei der Prüfung gewonnen hat, berichten.