Internes Kontrollsystem und Risikomanagement

Unternehmerische Überwachungssysteme gewinnen weiter an Bedeutung. Neben der Überwachung und Steuerung unternehmerischer Risiken, rücken das Interne Kontrollsystem (IKS) sowie das Risikomanagementsystem (RMS) in Fokus der Corporate Governance Diskussion. Gerade bei unvorhergesehenen Entwicklungen – bspw. bei Eintritt eines existenzgefährdenden Risikos - oder auch auftretenden Fraud-Fällen im Unternehmen, wird häufig hinterfragt, warum die Überwachungssysteme diese nicht verhindern konnten und ob das Interne Kontrollsystem, das Risikomanagementsystem oder auch ein Compliance-Management-System angemessen und wirksam ausgestaltet waren. Diese Frage beschäftigt dann häufig das Management und die Aufsichtsgremien.

Mit dem neuen Gesetz zu Stärkung der Finanzmarkintegrität besteht für börsennotierte Aktiengesellschaften die Pflicht zur Einrichtung eines angemessenen und wirksamen IKS sowie eines entsprechenden RMS:

Neue Anforderungen an IKS und RMS durch das Finanzmarktintegritätsgesetz (FISG)

Wir unterstützen Sie sowohl beim Aufbau, bei der Neueinrichtung als auch bei der Weiterentwicklung sowie Funktions- bzw. Wirksamkeitsprüfung ihrer Überwachungssysteme durch zielführende Lösungen.

Internes Kontrollsystem

Unter einem IKS versteht man die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die auf die organisatorische Umsetzung der Entscheidungen des Managements gerichtet sind, beispielsweise zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit. Ein Internes Kontrollsystem setzt sich aus den Komponenten „Kontrollumfeld“, „Risikoassessment“, „Kontrollaktivitäten“, „Information und Kommunikation“ sowie „Überwachungsaktivitäten“ zusammen, welche im Wesentlichen in die Unternehmensprozesse zu integrieren sind (vgl. COSO 2013 - Internal Control – Integrated Framework).

Um die Funktionsfähigkeit aller wesentlichen Geschäftsabläufe sicherzustellen, ist ein effektives Internes Kontrollsystems notwendig. Das übergeordnete Ziel eines IKS liegt darin, als integraler Bestandteil des unternehmensweiten Risikomanagement alle wesentlichen operativen und finanziellen Unternehmensrisiken abzubilden und auf ein für das Unternehmen tragbares Niveau zu reduzieren. Das IKS hat somit eine präventive und aufdeckende Funktion und unterstützt den optimalen Ablauf der Unternehmensprozesse.

Für die meisten Kapitalgesellschaften ist die Einrichtung und die Wirksamkeitsüberwachung eines IKS eine gesetzliche Pflicht (§§ 91 Abs. 2, 91 Abs. 3, 107 Abs. 3 AktG) und folglich mit Haftungsrisiken für den Aufsichtsrat verbunden (§ 93 Abs. 2 i.V.m. § 116 AktG). Als integraler Bestandteil der Corporate Governance, die sich mit der Leitung und Überwachung von Unternehmen beschäftigt, trägt das IKS dazu bei, durch Regelungen sicherzustellen, dass die Organisation und die Prozesse ordnungsgemäß eingerichtet sind. Das Interne Kontrollsystem ermöglicht daher die Steigerung und Sicherung des Unternehmenserfolgs und dient dem Schutz des Unternehmensvermögens bzw. der Vermeidung oder Aufdeckung von dolosen Handlungen.

Die Beurteilung des Internen Kontrollsystems bezüglich der Effektivität und Effizienz der prozessabhängigen Kontrollen umfasst die wesentlichen Prozesskontrollen insbesondere hinsichtlich der implementierten Funktionstrennung und Vier-Augen-Prinzipien sowie der Qualifikation der Mitarbeiter, die diese Kontrolle durchführen. Darüber hinaus sind die prozessunabhängigen Kontrollen (u. a. Genehmigungsrichtlinien, Interne Revision) sowie die die Dokumentation (u. a. hinsichtlich der Nachweise über die Wirksamkeit der Kontrollen) zu beurteilen.

Um die Funktionsfähigkeit des Internen Kontrollsystems zu sichern, ist eine regelmäßige Überwachung der Risiken und Kontrollen, sowie der internen schriftlichen Vorgaben notwendig. Zudem müssen alle Mitarbeiter die für sie notwendigen Informationen über Risiken und Kontrollen erhalten und auch weitergeben können.

Das Prüfer- und Beraterteam der BDO AG Wirtschaftsprüfungsgesellschaft (BDO) unterstützt Sie bei dieser Aufgabe mit folgenden Leistungen:

  • Konzeption und Implementierung eines (unternehmensweiten) Internen Kontrollsystems
  • Neuausrichtung / Weiterentwicklung des Internen Kontrollsystems
  • Prüfung der Angemessenheit und Wirksamkeit des Internen Kontrollsystem, bspw. anhand des IDW Prüfungsstandards 982 (Prüfung des Internen Kontrollsystems) oder gemäß der Sarbanes-Oxley-Act Anforderungen
  • Quick-Check des gesamten Internen Kontrollsystem oder ausgewählter Bereiche (bspw. IKS im Bereich Einkauf oder Steuern)

Risikomanagement

Eine RMS umfasst die Gesamtheit der Regelungen, die einen strukturierten Umgang mit Risiken im Unternehmen sicherstellt, wobei Risiken als mögliche künftige Entwicklungen oder Ereignisse angesehen werden. Für Aufsichtsräte ist das RMS somit ein wichtiges Instrument, um die Risikoeinschätzung von Managemententscheidungen nachzuvollziehen, insbesondere wenn es sich um zustimmungspflichtige Entscheidungen handelt. Aber auch für das Management ist das RMS in Zeiten zunehmender Digitalisierung und den damit verbundenen zunehmenden Informationen ein wesentlicher Bestandteil der Unternehmenssteuerung, um Risiken und Chancen rechtzeitig in die Entscheidungsprozesse einbeziehen zu können.

Abgrenzung zwischen Risikofrüherkennungs- und Risikomanagementsystem 

Für den Vorstand besteht gem. § 91 Abs. 2 AktG die gesetzliche Pflicht zur Einrichtung eines Risikofrüherkennungssystems (RFS), wonach der Vorstand geeignete Maßnahmen zu treffen hat, damit der Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt werden. Das RFS muss bei börsennotierten Aktiengesellschaften durch den Abschlussprüfer geprüft werden (§ 317 Abs. 4 HGB), welche auf Grundlage des neuen IDW Prüfungsstandards PS 340 (Prüfung des Risikofrüherkennungssystems) erfolgt. Das RFS ist lediglich auf die frühzeitige Erkennung bestandgefährdender Entwicklungen ausgerichtet. Risiken, die unterhalb des Schwellenwerts der Bestandgefährdung liegen, sind im Gegensatz zum RMS, welches auch allgemeine und wesentliche Risiken betrachtet, nicht Gegenstand des RFS. Folglich kann das RFS lediglich als Teilsystem eines umfassenden RMS i.S.v. § 107 Abs. 3 AktG verstanden werden.

Für den Aufsichtsrat besteht gem. § 107 Abs. 3 AktG die Pflicht zur Überwachung der Wirksamkeit von Corporate Governance-Systemen, wozu auch das RMS zählt. Eine Pflichtverletzung kann zu einer persönlichen Haftung des Aufsichtsrates führen (§ 93 Abs. 2 i.V.m. § 116 AktG). Für den Vorstand besteht gegenüber dem Aufsichtsrat eine Nachweispflicht hinsichtlich der Wirksamkeit des RMS (§ 90 Abs. 1 AktG) und ist bei einer Verletzung der Sorgfaltspflicht mit Haftungs- bzw. Bußgeldrisiken verbunden (§§ 30, 130 OWiG, § 93 Abs. 2 AktG, §§ 831, 823 ff. HGB).

Mit dem interdisziplinären Fachwissen unserer Experten begleiten wir Sie umfassend bei allen Fragestellungen rund um Risikofrüherkennung oder Risikomanagement. Das Prüfer- und Beraterteam der BDO unterstützt Sie bei dieser Aufgabe mit folgenden Leistungen:

Kontaktieren Sie uns!