Governance, Risk und Compliance: Überwachung in der modernen Praxis

PrintMailRate-it

​zuletzt aktualisiert am 10. Januar 2018

  
Die Anforderungen an die Qualität und Effizienz der Aufbau- und Ablauforganisation der Unter­nehmen steigen. Relevante Treiber sind die Digitalisierung, der Wettbewerbsdruck, die zunehmende Transparenz der Unternehmen, Anforderungen von Stakeholdern und die Internationalisierung. Von daher lohnt ein konstruktiv-kritischer Blick auf die zentralen Erfolgsfaktoren einer zeitgemäßen Unternehmensorganisation mit Blick auf die rechtlichen Anforderungen.
    

 

 

Ausgangspunkt ist die Forderung nach „Good Governance”; d.h. einer guten Unternehmensführung. Quellen hierfür sind der „Deutsche Corporate Governance Kodex” für börsennotierte Gesellschaften und der „Governance Kodex für Familienunternehmen”. Einen breiten Raum in der guten Unternehmensführung nimmt die sog. „Compliance” ein. Ziel ist, dass die Unternehmen die wesentlichen (Spiel-)Regeln im Sinne von gesetzlichen Anforderungen regulatorischer Standards und der Erfüllung weiterer, wesentlicher und i.d.R. vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen kennen und befolgen. Die Einhaltung der Regeln ist unabhängig von der Unternehmensgröße. Rechtlich unzulässiges Verhalten wie z.B. Korruption, Bestechung, Geldwäsche oder Vorteilsgewährung, unübliche Rabatte oder Provisionen können zu Reputationsrisiken, Auftragsverlusten, Verhängung von Bußgeldern, Geldstrafen sowie Haftstrafen führen.
 

Unsere Erfahrungen zeigen, dass in Zusammenhang mit Regelkonformität v.a. die Bereiche Arbeits-, Steuer-, Marken-, Wettbewerbs- und Kartellrecht sowie Umwelt- und Handelsrecht stehen. Bereits eine große und weiter schnellwachsende Bedeutung hat der Bereich IT-Betrieb/Security und Datenschutz. Weitere elementare Bestandteile einer guten Unternehmensführung und Regelkonformität sind ein explizites Risiko-Management­system, ein Internes Kontrollsystem und eine Interne Revision. Controlling, strate­gische Frühwarnung und Unternehmensplanung dienen weniger der Regelkonformität als der Sicherung des wirtschaftlichen Erfolgs von Unternehmen.

  

Bestandteile einer guten Unternehmensführung und Regelkonformität

Grafik 1: Bestandteile einer guten Unternehmensführung und Regelkonformität
 
 

Wirtschaftsprüfung heute

Gegenstand der modernen Wirtschaftsprüfungspraxis ist eine risikoorientierte, an den wesentlichen Unter­nehmensprozessen ausgerichtete Jahresabschlussprüfung, die insbesondere auf die vorgenannten Aspekte einer guten Unternehmensführung abstellt. Der Wirtschaftsprüfer hat sich damit über die Jahre zu einem anerkannten Experten für gute Unternehmensführung und Compliance entwickelt. Insofern ist er der natürliche erste Ansprechpartner für die Unternehmen, wenn es um Fragen der Wirksamkeit bzw. des individuellen Zuschnitts der Systeme geht. Unterstützung erfahren die Unternehmen vom Institut der Wirtschaftsprüfer (IDW), das mit konkreten Standards zu den Erfolgsfaktoren einer guten Unternehmens­führung die professionelle Beratung und Prüfung fördert.
 

Standards des IDW zu den Erfolgsfaktoren einer guten Unternehmensprüfung   

Grafik 2: Standards des IDW zu den Erfolgsfaktoren einer guten Unternehmensprüfung

 
Die freiwillige Prüfung des Compliance Management Systems (CMS), des Risikomanagementsystems (RMS), des Internen Kontrollsystems (IKS) und des Internen Revisionssystems (IRS) unterstützt die Leitungs- und Aufsichtsorgane bei der Erfüllung der allgemeinen Sorgfaltspflichten; die Einhaltung gesetzlicher Bestimmungen kann so sichergestellt und Strafen oder gar die persönliche Haftung von Organmitgliedern können vermieden werden. Die Prüfung der Corporate Governance-Systeme (GRC-Systeme) ist kein unnötiger Bürokratismus, sondern eine geeignete Hilfestellung für eine nachhaltige Unternehmensführung.
 

Im März 2017 wurden die IDW Prüfungsstandards PS 981 (RMS), PS 982 (R-IKS) und PS 983 (IRS) durch den Hauptfachausschuss des IDW verabschiedet. Die Standards folgen dem IDW PS 980 aus dem Jahr 2011 und ergänzen bzw. vervollständigen die Reihe der Standards, die sich mit der Prüfung der Corporate Governance-Systeme befassen. Da es sich durchweg um die Prüfung von Managementsystemen handelt, ist in ihrem Kern eine Systemprüfung verankert, die sich auf die Prüfung der Angemessenheit und Wirksamkeit des Systems erstreckt.
 

Da alle Standards in ihren Anwendungshinweisen Erläuterungen zu den Anforderungen, mithin zu den Sollkonzepten der Prüfungsgegenstände enthalten, bilden sie eine hervorragende Grundlage für die Ausge­staltung der GRC-Systeme, ihrer Grundelemente sowie der Mindestanforderungen an die einzurichtenden Maßnahmen, der Dokumentation ihrer Durchführung, der Berichterstattung und ihrer Überwachung.
 

Compliance Management System

Seit seiner Veröffentlichung hat sich der IDW PS 980 als Standard sowohl für die inhaltliche Ausgestaltung (Mindestanforderungen) als auch für die Prüfung eines Compliance Management Systems (CMS) in den 3 Stufen Konzeption, Angemessenheit und Wirksamkeit etabliert. Die Prüfung der Konzeption des CMS klärt, ob bei  der CMS-Beschreibung auf alle Grundelemente eingegangen wird und die Aussagen zur Konzeption zutreffend sind. Bei der Prüfung der Angemessenheit eines CMS untersucht der Wirtschaftsprüfer, ob die Grundsätze und Maßnahmen des Compliance Management´Systems korrekt dargestellt und geeignet sind, mit hinreichender Sicherheit Risiken für wesentliche Regelverstöße rechtzeitig zu identifizieren und sie zu verhindern. Darüber hinaus wird die Wirksamkeit des Systems in einem 3. Schritt geprüft, also ob die Maßnahmen und Prozesse zu einem bestimmten Zeitpunkt implementiert und in einem bestimmten Zeitraum tatsächlich effektiv waren.
 

Risikomanagementsystem

Ziel der Prüfung des RMS ist es festzustellen, inwieweit das Unternehmen durch Einrichtung eines RMS Vorsorge getroffen hat, wesentliche strategische und operative Risiken, die dem Erreichen der festge­legten Ziele des RMS entgegenstehen, rechtzeitig zu identifizieren, zu bewerten, zu steuern und zu überwachen. Gegenstand der Prüfung sind die in der RMS-Beschreibung enthaltenen Aussagen des Unternehmens über das RMS. Die Prüfung ermöglicht ein Urteil darüber, ob die implementierten Regelungen des RMS in der RMS-Beschreibung in Übereinstimmung mit den angewandten RMS-Grundsätzen angemessen dargestellt sind, diese Regelungen geeignet sind, mit hinreichender Sicherheit die wesentlichen Risiken rechtzeitig zu erkennen, zu bewerten, zu steuern und zu überwachen und ob sie während des geprüften Zeitraums wirksam waren.
 

Internes Kontrollsystem des internen und externen Berichtswesens 

Ziel der Prüfung des Internes Kontrollsystems des internen und externen Berichtswesens (R-IKS) ist es, ein Prüfungsurteil mit hinreichender Sicherheit darüber abzugeben, ob – in Übereinstimmung mit den angewandten IKS-Grundsätzen – die Regelungen des Internen Kontrollsystems in der Beschreibung des Internen Kontrollsystems der Unternehmensberichterstattung in allen wesentlichen Belangen angemessen dargestellt sind und die dargestellten Regelungen in allen wesentlichen Belangen geeignet und implemen­tiert bzw. geeignet und wirksam waren. Gegenstand der Prüfung sind die in der IKS-Beschreibung enthaltenen Aussagen des Unternehmens über das IKS. Nach IDW PS 982 können Regelungen sowohl einzelner als auch mehrerer Prozesse bzw. Teilprozesse der internen und externen Unternehmensbericht­erstattung mit oder ohne Rechnungslegungsbezug Gegenstand der IKS-Beschreibung und damit Beur­teilungs­gegenstand sein. Die Prüfung nach IDW PS 982 geht über die Prüfung des Internen Kontroll­systems durch den Abschlussprüfer im Rahmen von Abschlussprüfungen gemäß IDW PS 261 n.F.6 hinaus. Die Prüfung des Internen Kontrollsystems bei der Abschlussprüfung erfolgt insoweit, als diese für die Durchführung der Prüfung und die Bildung des Prüfungsurteils zum Jahresabschluss und Lagebericht durch den Abschlussprüfer erforderlich ist. Hierbei gibt der Abschlussprüfer kein gesondertes Prüfungsurteil zum Internen Kontrollsystem ab.
 

Internes Revisionssystem

IDW PS 983 behandelt die Prüfung der Internen Revision innerhalb des Corporate Governance-Systems und als 3. Verteidigungslinie im Three-Lines-of-Defense Modell. Er wurde gemeinschaftlich mit dem DIIR (Deutsches Institut für Interne Revision e.V.) erarbeitet, welches einen inhaltlich weitestgehend gleichlautenden Standard („DIIR Revisionsstandard Nr. 3 „Prüfung von Internen Revisionssystemen (Quality Assessments)”) zur Nutzung durch Prüfer für Interne RevisionssystemeDIIR herausgegeben hat.
 

Zielsetzung einer nach dem IDW Prüfungsstandard durchgeführten Systemprüfung ist die Beurteilung, inwieweit das Unternehmen durch Einrichtung eines IRS Vorsorge getroffen hat, dass die Einrichtung einer Internen Revisionsfunktion und die unabhängige und objektive Erbringung von Prüfungs- und Beratungs­dienstleistungen durch die Interne Revision in Übereinstimmung mit den verbindlichen Elementen des International Professional Practices Framework (IPPF) erfolgt. Gegenstand der Prüfung sind die in der IRS-Beschreibung enthaltenen Aussagen des Unternehmens über das IRS. Die Prüfung eines Internen Revisionssystems ergibt sich grundsätzlich aus den Internationalen Grundlagen für die berufliche Praxis der Internen Revision (IPPF) des IIA (The Institute of Internal Auditors) oder aus aktienrechtlichen Vorgaben. Nach dem vom IIA herausgegebenen Attribute Standard AS 1312 – Externe Beurteilungen – muss mind. alle 5 Jahre eine externe Beurteilung der Internen Revision von einem qualifizierten und unabhängigen Beurteiler durchgeführt werden, um eine von Interessenkonflikten freie Beurteilung über die Übereinstimmung mit der Definition der Internen Revision und den Standards sowie die Einhaltung der Berufspflichten (Ethikkodex) zu gewährleisten.

 

Key Audit Matters plus

Rödl & Partner hat in die Praxis der Abschlussprüfung darüber hinaus weitere Elemente integriert, um bei einer guten Unternehmensführung zu unterstützen. Die Prüfungs- und Beratungspraxis wird hier mit dem Begriff „Key Audit Matters plus” (oder kurz KAMplus) bezeichnet. In dem Rahmen sollen besonders wichtige Prüfungssachverhalte, die eventuell Risiken für die Management- und Überwachungsorgane darstellen, sichtbar gemacht werden. Dabei wird Expertenwissen für die Themen Digitalisierung, Betrugs- und Korruptionsprävention, IT-Security/Datenschutz, Corporate Social Responsibility, Nachhaltigkeit, steuer­liches Internes Kontrollsystem (§ 153 AO) und ERP-Systeme eingebracht. Weiterhin können Rechtsanwälte zur Jahresabschlussprüfung hinzugezogen werden, um Unternehmen noch qualifizierter Hilfestellungen zum regulatorischen Umfeld ihres Geschäftsmodells zu geben.
 

Auf die Weise kann die Abschlussprüfung mehr leisten als lediglich den gesetzlichen Auftrag zu erfüllen. Mit dem Mehrwert wird eine gute Unternehmensführung nachhaltig unterstützt und damit ein Beitrag für den Erfolg der Unternehmen geleistet. Der Abschlussprüfer kennt das Unternehmen so genau wie kaum ein anderer, viele Informationen sind nur ihm zugänglich. Er nimmt eine unabhängige externe Perspektive ein. Als Berater in allen relevanten betriebswirtschaftlichen, steuerlichen, rechtlichen und planerisch-strategischen Aspekten ist er heute daher unverzichtbarer Bestandteil einer guten Unternehmensführung (Good Governance) und Teil der gelebten Governance. So wird das Thema Compliance zunehmend zum strategischen Dreh- und Angelpunkt in der modernen Wirtschaftsprüfung.
 

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu