Bildnachweis: tippapatt – stock.adobe.com.

Das interne Kontroll- und Risikomanagementsystem nimmt bei der Steuerung der Risiken des Unternehmens eine ­maßgebende Bedeutung ein. Neben der Identifikation, Bewertung und Behandlung von strategischen, operativen und ­regulatorischen Risiken stellt es die Grundlage für eine hochwertige (Finanz-)Berichterstattung von börsennotierten Gesellschaften dar.

Aus regulatorischer Sicht bestand bis zum Inkrafttreten des FISG keine ­explizite Verpflichtung für Geschäftsleitungen, ein IKS zu implementieren und zu betreiben. Hilfsweise wurde eine Pflicht zur Einrichtung eines IKS aus den Organisationspflichten des Vorstands aus § 93 Abs. 1 AktG sowie den Überwachungspflichten des Prüfungsausschusses aus § 107 Abs. 3 AktG abgeleitet.

Diesen Artikel finden Sie im GoingPublic Special „Reporting Trends“ – JETZT KOSTENFREI DOWNLOADEN!

Lediglich die Einführung und der Betrieb eines Risikofrüherkennungssystems waren ­gemäß § 91 Abs. 2 AktG verpflichtend und sind nach wie vor gemäß § 317 Abs. 4 HGB Pflichtbestandteil der Jahresabschlussprüfung.

Auswirkungen durch die FISG-Neuerung

Das am 1. Juli 2021 in Kraft getretene FISG kodifiziert erstmals gesetzlich mit § 93 Abs. 3 AktG n.F. die verpflichtende Einführung ­eines angemessenen und wirksamen internen Kontroll- und Risikomanagementsystems bei börsennotierten Aktiengesellschaften. Hierbei sollte das Augenmerk insbesondere auf die Begriffe „angemessen“ und „wirksam“ gelegt werden, da damit nun erstmals die wesentlichen Beurteilungsmerkmale für das interne Kontroll- und Risikomanagementsystem kodifiziert wurden, an denen sich nun jedes IKS und RMS messen lassen muss.

Abb. 1: Three-Lines-of-Defence-Modell. Zum Vergrößern bitte auf das Bild klicken. Quelle: EY

Darüber hinaus besteht nun nach § 107 Abs. 4 AktG in der ab dem 1. Juli 2021 geltenden Fassung die Pflicht des Aufsichtsrats ­eines Unternehmens von öffentlichem ­Interesse, einen Prüfungsausschuss einzurichten. Die Mitglieder des Prüfungs­ausschusses haben ein unmittelbares ­Auskunftsrecht beim Leiter IKS, beim Leiter RMS und beim Leiter der internen Revision.

Angemessenheit und Wirksamkeit als maßgebliche Kriterien für das IKS und RMS

Angemessen bedeutet in diesem Zusammenhang, dass die Methoden, Verantwortlichkeiten und Prozesse des internen ­Kontroll- und Risikomanagementsystems so ausgestaltet sein müssen, dass sie alle ­wesentlichen Risiken (strategische, operative, regulatorische und Risiken der Finanz­berichterstattung) berücksichtigen, konsistent implementiert und dokumentiert sind. Hierbei sind die unternehmerischen Gegebenheiten zu berücksichtigen.

Wirksam sind IKS und RMS dann, wenn die für sie eingeführten Methoden, Prozesse und Verantwortlichkeiten nachweislich und kontinuierlich über einen Zeitraum in der Praxis angewendet wurden. Das bedeutet u.a., dass regelmäßig Risiken identifiziert und bewertet sowie systematisch Risikosteuerungsmaßnahmen abgeleitet und umgesetzt werden und dass regelmäßig über Risiken und Kontrollmechanismen an die Geschäftsleitung berichtet wird. Darüber ­hinaus werden die Überwachungsgremien in die Lage versetzt (z.B. durch eine regelmäßige Berichterstattung), sich ein Bild über die Wirksamkeit der Systeme zu machen.

Um sicherzustellen, dass der Aufbau der beiden Systeme alle wesentlichen Elemente beinhaltet und damit die Grundvoraussetzung für die Angemessenheit geschaffen wird, können sich Unternehmen z.B. am ­COSO1-ERM-Rahmenwerk oder den IDW2-­Prüfungsstandards 981 und 982 orientieren.

Abb. 2: Reifegradmodell RMS/IKS. Zum Vergrößern bitte auf das Bild klicken. Quelle: EY

Berücksichtigung bei der IPO-Vorbereitung

Im Rahmen einer IPO-Vorbereitung werden typischerweise die Governance-Elemente und -Prozesse hinsichtlich aktienrecht­licher Compliance einerseits und der ziel­orientierten Ausrichtung auf das Unternehmen andererseits untersucht und ggf. angepasst. Dies gilt in gleichem Maße für den Umfang und für die Ausgestaltung des IKS und RMS sowie die Einordnung in das Organisationsmodell. Dabei kann sich grundsätzlich am „Three-Lines-of-Defence-Modell“ orientiert werden (siehe Abb. 1).

Hierbei sollte zwingend darauf geachtet werden, dass für eine etwaige Anpassung oder Neugestaltung ausreichend Zeit vor ­einem Börsengang eingeplant wird. Erfahrungen aus unterschiedlichen Going-Public-­Prozessen haben gezeigt, dass je nach Unternehmensgröße und -komplexität mindestens sechs bis zwölf Monate erforderlich sind, um entsprechend angemessene Strukturen und Prozesse für das IKS und RMS zu etablieren und für einen Regelbetrieb nach der Pre-IPO-Phase vorzubereiten.

Dabei ist zu berücksichtigen, dass ­bestimmte Ergebnisse bereits in der Pre-IPO-Phase idealerweise zur Verfügung stehen sollten, beispielsweise um die im IPO-Prospekt zu veröffentlichenden Informationen bereitstellen zu können bzw. um dies zu unterstützen.

Effiziente Pre-IPO-Phase

Grundsätzlich sollten die IKS- und RMS-Strukturen und -Prozesse in die bestehenden Auf­gaben und Verantwortlichkeiten eingepasst und die etablierten Prozesse integriert sein, damit keine Parallelstrukturen geschaffen werden und die Akzeptanz bei den Entscheidungsträgern und Prozessverantwortlichen erhöht wird. Des Weiteren zeigt die unternehmerische Praxis, dass auch bei nicht-börsennotierten Unternehmen einzelne, wenn auch ggf. nicht formalisierte Elemente des IKS und RMS häufig bereits etabliert sind. Aus den ­vorgenannten Gründen empfiehlt es sich, zu Beginn der IPO-Vorbereitung eine Standort­bestimmung bzw. Reifegradanalyse der vorhandenen IKS- und RMS-Strukturen durch­zuführen (siehe Abb. 2). Dies stellt sicher, dass bestehende Komponenten effizient genutzt und in ein Gesamtkonzept eingebunden werden können. Diese Analyse sollte an allgemein anerkannten Rahmenwerken (siehe oben) ausgerichtet werden.

Fazit

Die nun seit 1. Juli 2021 explizit kodifizierte Verpflichtung zur Einführung eines angemessenen und wirksamen internen Kon­troll- und Risikomanagementsystems für börsennotierte Aktiengesellschaften sollte frühzeitig bei einer IPO-Vorbereitung ­berücksichtigt werden, um effizient und zeitgerecht zum Börsengang alle Stake­holder mit entsprechenden Informationen versorgen zu können. Gleichzeitig sollte dabei auf bestehende Strukturen und Prozesse im Unternehmen ­zurückgegriffen werden, um keine Redundanzen zu schaffen und die Akzeptanz zu erhöhen. Hierzu empfiehlt sich eine Reifegradanalyse zu Beginn der Pre-IPO-Phase anhand anerkannter Standards und Rahmenwerke.

www.ey.com/de_de

Autor/Autorin

Marc Grötzner

Marc Grötzner ist Partner bei der Ernst & Young GmbH Wirtschaftsprüfungs­gesellschaft am Standort in Düsseldorf im Bereich Financial Accounting Advisory Services. Er berät seit über 17 Jahren Unternehmen bei der Ausgestaltung und Weiterentwicklung von internen Kontroll- und Risikomanagementsystemen, insbesondere bei der Vorbereitung auf die Kapitalmarktfähigkeit.

Themenverwandte Artikel:

Keine verwandten Beiträge.