Fragen und Antworten zu den IKS-relevanten Änderungen durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG)

1           Was sind die wesentlichen Änderungen mit Bezug zum Themenkomplex „interne Kontrollsysteme“?

Gemäß des neueingeführten § 91 Abs. 3 AktG hat der Vorstand einer börsennotierten Gesellschaft ein - im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens - angemessenes und wirksames internes Kontrollsystem einzurichten.

Die Verpflichtung besteht neben der bereits bestehenden Vorgabe die Einrichtung eines Überwachungssystems betreffend (§ 91 Abs. 2 AktG). Dem Gesetzeswortlaut ist zu entnehmen, dass ein internes Kontrollsystem (oder auch IKS) i.S.d. § 91 Abs. 3 AktG nicht mit dem Überwachungssystem i.S.d. § 91 Abs. 2 AktG gleichzusetzen ist.

2           Was ist unter „Angemessenheit und Wirksamkeit“ des IKS zu verstehen?

Das IKS i.S.d. § 91 Abs. 3 AktG muss sowohl angemessen als auch wirksam sein. Weder dem Gesetzestext noch der Gesetzesbegründung ist eine unmittelbare Definition der „Angemessenheit“ zu entnehmen. Der herrschenden Meinung folgend ist ein IKS dann als angemessen anzusehen, wenn es den gesetzlichen Anforderungen entspricht. Es ist daher als angemessen anzusehen, wenn es die Grundsätze, Verfahren und Maßnahmen

·        zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit,

·        zur Sicherung der Ordnungsmäßigkeit der Rechnungslegung und

·        zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften

umfasst. Aufgrund des prozessualen Zusammenhangs („…Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit…“) sind auch unternehmensinterne Vorgaben in die Beurteilung einzubeziehen.

Ein IKS ist als „wirksam“ anzusehen, wenn es zur Aufdeckung, Steuerung und Bewältigung aller wesentlichen Risiken geeignet ist. Folgerichtig ist es auch dann als wirksam zu beurteilen, wenn sich bspw. nicht wesentliche Risiken verwirklichen. Somit zieht eine (und sei es auch noch so geringfügige) Pflichtverletzung nicht automatisch die Unwirksamkeit nach sich.

Weil der Begriff risiko- und prozessorientiert auszulegen ist, stellt sich die Frage nach einem Beurteilungsmaßstab. Im Gegensatz zum „ob“ der Einrichtung eines IKS, steht das „wie“ und somit die konkrete Ausgestaltung nach wie vor im Ermessen des Vorstands. Daher können sowohl klassische betriebswirtschaftliche Ansätze als auch datengestützte mathematisch-statistische Verfahren eingesetzt werden. Unabhängig von den getroffenen Maßnahmen muss ein Zusammenhang zwischen dem Risiko, dem Kontrolldesign und der Funktionsfähigkeit der Kontrolle bestehen und messbar sein.

3           Worin unterscheiden sich Überwachungssysteme und interne Kontrollsysteme?

Gemäß § 91 Abs. 2 AktG hat der Vorstand geeignete Maßnahmen zu treffen, damit die den Fortbestand der Gesellschaft gefährdenden Entwicklungen früh erkannt werden. Hierzu gehört insbesondere die Einrichtung eines Überwachungssystems.

Zu den „gefährdenden Entwicklungen“ zählen ausschließlich jene, die (ob einzeln oder kumuliert) zu einer Bestandsgefährdung führen können. Der Begriff ist in einem engen Zusammenhang mit dem Insolvenzrisiko zu interpretieren. Somit fällt eine bloße (wenn auch möglicherweise dauerhafte) Gefährdung der Rentabilität nicht in den Regelungsbereich der Vorschrift.

Die Entwicklungen müssen auch frühzeitig erkannt werden können. Dem Merkmal der Frühzeitigkeit ist Genüge getan, wenn Gegenmaßnahmen oder Reaktionen auf die Entwicklung schnell genug eingeleitet werden können, damit sie keine bestandsgefährdenden Ausmaße annimmt. Eine unmittelbare Verpflichtung zur Reaktion und Bewältigung der erkannten Risiken besteht jedoch nicht.

Demgegenüber umfasst ein internes Kontrollsystem die Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Sicherung der Ordnungsmäßigkeit der Rechnungslegung und zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften. Im Gegensatz zu einem Überwachungssystem bilden die angemessene Reaktion auf die erkannten Risiken einen immanenten Bestandteil von internen Kontrollsystemen.

Auch muss das Überwachungssystem weder angemessen noch wirksam sein. Somit deckt das Überwachungssystem nach neuer Rechtslage lediglich einen Teil des Umfangs des gem. § 91 Abs.3 AktG einzurichtenden IKS ab. Mit seiner Einrichtung kommt der Vorstand i.d.R. auch der Verpflichtung zur Einrichtung eines Überwachungssystems nach. Denn ein wesentliches Risiko wird grundsätzlich immer auch als eine bestandsgefährdende Entwicklung eingestuft, jedoch nicht vice versa.

4           Bedarf es einer Neudefinition des Terminus „IKS“?

Grundsätzlich bedarf es keiner Neudefinition, jedoch einer Anpassung der Begriffseinordnung. Der Begründung des FISG folgend, umfasst das IKS u.a. die „…Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit […] …“. Dabei verweist der Gesetzgeber auf eine bereits in der Gesetzesbegründung des BilMoG enthaltenen Definition. Während das FISG jedoch von „…der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit…“ spricht, zielt das BilMoG auf die „…Wirksamkeit und Wirtschaftlichkeit der Rechnungslegung…“ ab und bezieht sich damit auf die Berichtspflicht des § 289 Abs. 4 HGB, wonach bestimmte Kapitalgesellschaften im Lagebericht die wesentlichen Merkmale des IKS im Hinblick auf den Rechnungslegungsprozess zu beschreiben haben.

Aufgrund der Zielsetzung des FISG ist festzuhalten, dass ein sog. rechnungslegungsbezogenes IKS vom Begriff eines umfassenden oder allgemeinen IKS i.S.d. § 91 Abs. 3 AktG zwar erfasst ist, das allgemeine IKS jedoch mehr umfasst als nur die Rechnungslegung. Anderenfalls würde der Gesetzgeber an der wortgleichen Definition festhalten.

5           Zieht das FISG neue Berichtspflichten nach sich?

Gemäß § 289 Abs. 4 HGB sind im Lagebericht die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben. Dabei wird weder die Einrichtung noch die inhaltliche Ausgestaltung eines IKS verpflichtend vorgeschrieben. Auch ist die Beschreibung nicht auf das gesamte IKS auszudehnen, sondern auf den Rechnungslegungsprozess zu beschränken ist. Eine wie auch immer geartete Beurteilung der Angemessenheit und der Wirksamkeit des IKS ist von der Berichtspflicht nicht erfasst.

Anhand der Formulierung wird ersichtlich, dass der Gesetzgeber zwischen dem gesamten (oder einem „allgemeinen“) IKS und einem rechnungslegungsbezogenen Anteil differenziert. Die Unterscheidung wurde bei der Einführung des § 91 Abs. 3 AktG aufgegeben, ohne jedoch die handelsrechtlichen Berichtspflichten zu tangieren. Trotz der neuen Vorgaben besteht keine Verpflichtung Ausführungen, welche nicht den Rechnungslegungsprozess betreffen, in den Lagebericht aufzunehmen.

6           Welche Aufgabe kommt dem Abschlussprüfer im Zusammenhang mit der zu?

Gemäß § 317 Abs. 4 HGB muss der Abschlussprüfer die Pflichterfüllung nach § 91 Abs. 2 AktG im Rahmen der Abschlussprüfung beurteilen. § 317 Abs. 4 HGB spricht explizit von einem Überwachungssystem. Ist eine solche Beurteilung erfolgt, muss gem. § 321 Abs. 4 HGB das Ergebnis in einem besonderen Teil des Prüfungsberichts dargestellt werden. Ebenso wie die Beurteilung, beschränkt sich die Berichterstattung auf das Überwachungssystem. Hieraus lässt sich keine unmittelbare Verpflichtung zur Prüfung des IKS ableiten. Denn der Gesetzgeber betont, dass der Abschlussprüfer lediglich ein Urteil darüber abgeben soll, ob die erforderlichen Maßnahmen getroffen und zweckentsprechend sind. Auch soll ein Urteil abgegeben werden, ob die Maßnahmen während des gesamten Prüfungszeitraums bestanden haben.

Darüber hinaus hat der Abschlussprüfer gem. § 171 Abs. 1 S. 2 AktG über wesentliche Schwächen des IKS bezogen auf den Rechnungslegungsprozess an den Aufsichtsrat zu berichten. Der Bericht setzt voraus, dass eine Prüfung stattgefunden hat. Es handelt sich jedoch nicht um eine Ausweitung des eigentlichen Prüfungsauftrages oder eine gesonderte Prüfung des IKS, sondern um eine Berichtspflicht im Hinblick auf die im Rahmen der Prüfung gewonnenen Erkenntnisse.

Die Berichts- und somit auch den Prüfungspflicht erstreckt sich ausschließlich auf das rechnungslegungsbezogene IKS. Bei der Feststellung des Prüfungsumfangs ist zu konstatieren, dass die Vorgehensweise des Abschlussprüfers von nationalen (Institut der Wirtschaftsprüfer - IDW) sowie internationalen (International Standards on Auditing - ISA) Prüfungsstandards bestimmt wird. Demnach müssen die Prüfungsaussagen nicht mit einer absoluten, sondern einer hinreichenden Sicherheit getroffen werden. Es wird somit nicht garantiert, dass wesentliche Falschdarstellungen im Rahmen der Abschlussprüfung aufgedeckt werden. Die risiko-orientierte Vorgehensweise ist maßgeblich für die Art und den Umfang der vom Abschlussprüfer vorzunehmenden Prüfungshandlungen. In bestimmten Fällen kann daher auf die Prüfung bestimmter Bilanzposten oder Geschäftsprozesse verzichtet werden.

Die Verantwortung des Abschlussprüfers interne Kontrollsysteme betreffend, wird in den Prüfungsstandard und den Bestätigungsvermerken wie folgt beschrieben: „…[wir] gewinnen […] ein Verständnis von dem für die Prüfung des Jahresabschlusses relevanten internen Kontrollsystem und den für die Prüfung des Lageberichts relevanten Vorkehrungen und Maßnahmen, um Prüfungshandlungen zu planen, die unter den gegebenen Umständen angemessen sind, jedoch nicht mit dem Ziel, ein Prüfungsurteil zur Wirksamkeit dieser Systeme der Gesellschaft abzugeben…“.

Erneut wird betont, dass der Fokus auf dem rechnungslegungsbezogenen IKS liegt. Eine weitergehende Auseinandersetzung mit über die Rechnungslegung hinaus implementierten Vorkehrungen und Maßnahmen findet nicht statt. Auch dient das erlangte Verständnis das IKS betreffend primär der Planung von Prüfungshandlungen. Somit entfaltet die Ausgestaltung bzw. der Reifegrad des IKS in erster Linie einen direkten Einfluss auf für die Vornahme der Abschlussprüfung benötigten Zeit- und Personalressourcen. Bei einem nicht angemessenen bzw. nicht wirksamen IKS wird die Prüfung (im Einklang mit den Prüfungsstandards) i.d.R. ohne rechtliche Konsequenzen ausgeweitet, um die Qualität des Prüfungsurteils sicherzustellen. Abschließend ist festzustellen, dass der Abschlussprüfer (ungeachtet seiner Feststellungen) kein Urteil im Hinblick auf die Wirksamkeit des IKS abgibt.

Weil durch das FISG keine entsprechenden Vorschriften im HGB angepasst wurden, haben sich auch weder Berichts-, noch Prüfungspflichten geändert. Zu beachten ist hierbei, dass die Vorgehensweise im Rahmen der Abschlussprüfung nicht mit der kodifizierten Verpflichtung des Vorstandes im Hinblick auf die Einrichtung eines angemessenen IKS sowie der Feststellung seiner Wirksamkeit i.S.d. § 91 Abs. 3 AktG gleichzusetzen ist.

7           Wurde die Haftung des Abschlussprüfers verschärft?

Mit dem Inkrafttreten des FISG wird die zivilrechtliche Haftung des Abschlussprüfers von Kapitalgesellschaften gegenüber dem geprüften Unternehmen für Pflichtverletzungen verschärft. Dies gilt auch für seine Gehilfen und die bei der Prüfung mitwirkenden gesetzlichen Vertreter einer Prüfungsgesellschaft. Mithilfe der Maßnahmen soll die Qualität der Abschlussprüfung gestärkt und die erforderlichen Anreize für eine sorgfältige und gewissenhafte Prüfung gesetzt werden.

Die Haftungshöchstgrenzen werden für die Prüfung kapitalmarktorientierter Unternehmen auf 16 Mio. €, für die Prüfung nicht kapitalmarktorientierter Kreditinstitute und Versicherungsunternehmen auf 4 Mio. € und für die Prüfung sonstiger Unternehmen auf 1,5 Mio. € heraufgesetzt. In bestimmten Fällen gibt es für grob fahrlässiges Verhalten keine Haftungshöchstgrenzen mehr. Gleiches gilt für vorsätzliches Handeln.

8           Welche Konsequenzen ergeben sich aus der Haftungsverschärfung?

Im Verlauf des Gesetzgebungsverfahrens äußerte das IDW die Befürchtung, dass aufgrund der Rechtsprechung des BGH zur „Expertenhaftung“ eine Vielzahl von Pflichtverletzungen durch den Abschlussprüfer im Bereich der groben Fahrlässigkeit angesiedelt werden könnten. Die Haftungsverschärfung wird daher Auswirkungen auf die Höhe der Versicherungsprämien für die Berufshaftpflichtversicherung des Abschlussprüfers haben, um das zuvor aufgeführte Risiko zu reduzieren oder abzufangen. Dies wiederum wird vermutlich zu einer Erhöhung der Prüfungshonorare führen.

Auch wird die Tatsache, dass das FISG maßgebliche Auswirkungen auf das Geschäftsmodell der Abschlussprüfer entfaltet, zu einer Honorarerhöhung führen. Denn die Haftungsvermeidung bedingt eine Modifikation interner Abläufe und Prozesse, was wiederum zu einem höheren Abstimmungs- und Dokumentationsaufwand führt. Auch ist von einer Ausweitung der Prüfungshandlungen auf bislang als unwesentlich beurteilte Prüffelder und Geschäftsprozesse sowie einem Anstieg der Stichproben auszugehen. Konnte der Abschlussprüfer sich früher auf den risiko-orientierten Prüfungsansatz zur Steuerung der Prüfungsprozesses berufen, wird nach der Haftungsverschärfung allein aus „Selbstschutz“ weniger risiko-orientiert geprüft werden. Denn die notwendige Prüfungssicherheit bedingt einen höheren Zeit- und Personalaufwand, welcher sich konsequenterweise in den Prüfungshonoraren widerspiegeln wird.