Governance-Risk-Compliance-Systeme (GRC-Systeme)

PrintMailRate-it

​veröffentlicht am 13. September 2018

 

Neben dem Erkennen und Nutzen von Chancen ist eine der grundlegenden Pflichten der Geschäftsführung das Unternehmen vor Schaden zu bewahren. Um dies zu gewährleisten, richtet die Unternehmensführung regelmäßig Governance-Risk-Compliance-Systeme (GRC) ein. Das Aufsichtsorgan eines Unternehmens ist verpflichtet, die Unternehmensleitung dahingehend zu überwachen, dass diese ihren Pflichten nachkommt. Die freiwilligen Prüfungen der GRC-Systeme unterstützen die Leitungs- und Aufsichtsorgane bei der Erfüllung der allgemeinen Sorgfaltspflichten.

 

Die Unternehmensleitung ist hinsichtlich der Qualität und Effizienz der Aufbau- und Ablauforganisation und somit der Ausgestaltung der Governance-Risk-Compliance-Systeme (GRC-Systeme) steigenden Anforderungen ausgesetzt. Die Digitalisierung, der Wettbewerbsdruck oder die Forderung nach zunehmender Transparenz der Unternehmen sind nur einige Beispiele hierfür. Um Chancen zu erkennen und zu nutzen sowie Schaden vom Unternehmen abzuwenden, muss die Unternehmensleitung geeignete Maßnahmen im Unternehmen im Sinne einer guten Unternehmensführung einrichten.

 

Ausgestaltung von GRC-Systemen

Eine Unterstützung zur Einrichtung solch geeigneter Maßnahmen erfahren Geschäftsleitung und Überwachungsorgan vom Institut der Wirtschaftsprüfer (IDW). Mithilfe konkreter Standards beschreibt das IDW die Ausgestaltung und Prüfung von GRC-Systemen. So können Wirtschaftsprüfer zu den Erfolgsfaktoren einer guten Unternehmensführung beitragen und die Unternehmensführung und das Aufsichtsorgan unterstützen. Die GRC-Systeme werden vom IDW in vier Prüfungsstandards abgebildet:

 

  • Compliance-Management-System (IDW PS 980)
  • Risikomanagementsystem (IDW PS 981)
  • Internes Kontrollsystem (IDW PS 982)
  • Internes Revisionssystem (IDW PS 983)

 

Das Compliance-Management-System (CMS) befasst sich mit der Einhaltung von gesetzlichen Vorschriften und internen Richtlinien. Vor dem Hintergrund des Antikorruptionsgesetzes ist es zu empfehlen, das Managementsystem daher um ein Compliance-Management-System zu ergänzen, da die Risiken aus möglichen Verstößen erkannt und verhindert werden sollen.

 

Der Fokus des Risikomanagementsystems (RMS) liegt auf der Frage, inwieweit das Unternehmen durch Einrichtung eines RMS Vorsorge getroffen hat, wesentliche strategische und operative Risiken, die dem Erreichen der festgelegten Ziele der Unternehmensführung entgegenstehen, rechtzeitig zu identifizieren, zu bewerten, zu steuern und zu überwachen.

 

Das Interne Kontrollsystem (IKS) umfasst das interne und externe Berichtswesen. Im Fokus steht die Sicherheit des Informationsverarbeitungsprozesses (außerhalb der Rechnungslegung) in der Unternehmensberichterstattung (z.B. Nachhaltigkeitsbericht, Controlling-Berichte, Corporate-Governance-Erklärungen).

 

Beim Internen Revisionssystem (IRS) geht es darum, inwieweit das Unternehmen durch Einrichtung eines IRS Vorsorge getroffen hat, dass die Einrichtung einer Internen Revisionsfunktion und die unabhängige und objektive Erbringung von Prüfungs- und Beratungsdienstleistungen durch die Interne Revision in Übereinstimmung mit den verbindlichen Elementen des International Professional Practices Framework (IPPF) erfolgt.

 

Die vom IDW entwickelten Standards können als Grundlage für die Ausgestaltung der GRC-Systeme herangezogen werden. In ihren Anwendungshinweisen enthalten die Standards Erläuterungen zu den Anforderungen und damit zu den Sollkonzepten der GRC-Systeme bzw. Prüfungsgegenstände. Die Standards beschreiben beispielsweise je GRC-System die Grundelemente, die Mindestanforderungen an die einzurichtenden Maßnahmen, die Dokumentation ihrer Durchführung sowie die Berichterstattung und Überwachung.

 

Verantwortung der Unternehmensleitung für GRC-Systeme

Grundsätzlich unterliegen die Einrichtung, Gestaltung und Überwachung der GRC-Systeme einer im Organisationsermessen der Geschäftsleitung stehenden unternehmerischen Entscheidung. Das Aktiengesetz formuliert in § 93 Abs. 1 Satz 2 AktG die Business Judgement Rule, die den Vorstandsmitgliedern einen Ermessensspielraum bei unternehmerischen Entscheidungen belässt. Allerdings ist die Unternehmensleitung verpflichtet, alle für ihre Entscheidung notwendigen Informationen einzuholen und die sich daraus ergebenden Argumente sachgerecht abzuwägen. Neben dem Aktiengesetz enthält beispielsweise auch der Public Corporate Governance Kodex des Bundes eine entsprechende Regelung in Ziffer 3.3.1.

 

Zu den Informationsquellen der Unternehmensleitung gehören die vier Governance-Elemente. Damit hat die Qualität der Ausgestaltung der GRC-Systeme eine entscheidende Bedeutung für die ermessensfehlerfreie Ausübung der Organisations- und Sorgfaltspflichten im Rahmen der Business Judgement Rule.

 

Verantwortung des Aufsichtsorgans für GRC-Systeme

Das Aufsichtsorgan eines Unternehmens ist verpflichtet, die Unternehmensleitung dahingehend zu überwachen, dass diese ihren Pflichten nachkommt. So hat sich das Aufsichtsorgan bzw. der Prüfungsausschuss neben der Überwachung des Rechnungslegungsprozesses mit der Wirksamkeit des IKS, RMS, IRS und CMS zu befassen. Entsprechende Regelungen hierzu finden sich beispielsweise im Aktiengesetz (§§111 Abs. 1, 107 Abs. 3 AktG), im Deutschen Corporate Governance Kodex (Ziffer 5.3.2.) oder auch im Public Corporate Governance Kodex des Bundes (Ziffer 5.1.7 zur Befassung mit dem RMS) sowie in einzelnen Länder-Kodizes.

 

Die Mitglieder des Überwachungsorgans sind zum Teil noch der Auffassung, der Abschlussprüfer habe auch die Wirksamkeit des GRC-Systems zu prüfen. Sofern aber keine entsprechenden besonderen Prüfungsschwerpunkte vereinbart wurden, ist die Abschlussprüfung in erster Linie eine umfassende Prüfung der Ordnungsmäßigkeit der Rechnungslegung. Das GRC-System wird nur insoweit erfasst, als dieses dem Zweck der Abschlussprüfung dient. So ist im Rahmen der Abschlussprüfung die Beurteilung des IKS auf die Rechnungslegungssysteme (samt Buchführungssystemen) beschränkt. Nur bei börsennotierten Unternehmen ist das Risikofrüherkennungssystem Bestandteil der Abschlussprüfung. Dieses umfasst lediglich das Erkennen von bestandsgefährdenden Risiken. Alle anderen Risiken sowie das Management der Risiken sind nicht umfasst. Die Interne Revision wird in der Regel nur insoweit vom Abschlussprüfer geprüft, als er ihre Ergebnisse eigenverantwortlich verwerten will. Das CMS ist nicht Gegenstand der Abschlussprüfung.

 

Das Überwachungsorgan kann die Erkenntnisse des Abschlussprüfers in seine eigene Prüfung einbeziehen. Diese werden aber regelmäßig nicht ausreichen, damit das Überwachungsorgan seinen Pflichten nachkommen kann.

 

Sicherheit für Leitungs- und Aufsichtsorgane durch Prüfung der GRC-Systeme

Die weitergehenden freiwilligen Prüfungen der GRC-Systeme unterstützen die Leitungs- und Aufsichtsorgane bei der Erfüllung der allgemeinen Sorgfaltspflichten. Die Prüfung der Managementsysteme umfasst eine Systemprüfung, die sich auf die Prüfung der Angemessenheit und Wirksamkeit des Systems erstreckt.

 

Gegenstand der Prüfung sind die in der Beschreibung des jeweiligen GRC-Systems enthaltenen Aussagen des Unternehmens über das IKS, RMS, CMS oder IRS. Die Prüfung der Angemessenheit des jeweiligen Systems beschäftigt sich mit der Frage, ob die implementierten Regelungen in der Beschreibung des jeweiligen GRC-Systems angemessen dargestellt sind und ob diese Regelungen geeignet sind, die Ziele des jeweiligen GRC-Systems zu erreichen. Die Wirksamkeitsprüfung liefert zusätzlich eine Aussage darüber, ob die Regelungen während des geprüften Zeitraums angewandt wurden und damit wirksam waren.

 

Die Prüfung der GRC-Systeme durch einen Wirtschaftsprüfer kann der Geschäftsführung Sicherheit hinsichtlich der Ausgestaltung und Wirksamkeit der Governance-Elemente geben. Die Angemessenheitsprüfung kann der Geschäftsleitung helfen, ihre getroffenen Maßnahmen zu validieren und ggf. nachzubessern und so die Basis für die Prüfung der Wirksamkeit in einem bestimmten Zeitraum zu schaffen.

 

Zudem ist die Prüfung eine geeignete Grundlage für die notwendige eigene Beurteilung der Wirksamkeit der Governance-Elemente durch das Überwachungsorgan. Die Einhaltung gesetzlicher Bestimmungen kann sichergestellt und Strafen oder gar die persönliche Haftung von Organmitgliedern können vermieden werden.

 

Die Prüfung der GRC-Systeme ist kein unnötiger Bürokratismus, sondern eine geeignete Hilfestellung für eine nachhaltige Unternehmensführung.

 

Kontakt

Contact Person Picture

Ralph Grässle

Wirtschaftsprüfer, Steuerberater, IT-Auditor IDW

Partner

+49 911 9193 3668

Anfrage senden

Contact Person Picture

Tino Schwabe

Wirtschaftsprüfer, Steuerberater

Associate Partner

+49 911 9193 3651

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu