Kategorien

Compliance-Management nach dem FISG

Dr. Jan-Hendrik Gnändiger
"Nur die aktuellen Top-Risiken oder Kontrollschwächen zu diskutieren, wird nicht ausreichen. " | Dr. Jan-Hendrik Gnändiger

Mit dem Entwurf für ein Finanzmarktintegritätsstärkungsgesetz (FISG) zieht der Gesetzgeber erste Konsequenzen aus dem Wirecard-Skandal und schlägt neben verschiedenen Maßnahmen in den Bereichen Abschlussprüfung und Bilanzkontrolle auch die verpflichtende Einrichtung von internen Kontrollsystemen und Risikomanagementsystemen in börsennotierten Unternehmen vor. Was im Zusammenhang mit der Einrichtung und Ausgestaltung solcher Systeme zu beachten ist und welche Möglichkeiten zur Gewährleistung von Compliance darüber hinaus hilfreich sind, erläutert Jan-Hendrick Gnändiger im DB-Interview.

DB: Mit dem FISG-Entwurf möchte der Gesetzgeber Rückschlüsse aus dem Wirecard-Bilanzskandal adressieren und schlägt neben Verschärfungen im Bereich der Abschlussprüfung und einer Neujustierung der aufsichtsrechtlichen Bilanzkontrolle auch Maßnahmen im Bereich der Corporate Governance von Unternehmen vor. Um welche Maßnahmen handelt es sich dabei?

Gnändiger: Mit dem neuen § 91 Abs. 3 im Aktiengesetz für börsennotierte Unternehmen verpflichtet das FISG Vorstände, ein angemessenes und wirksames internes Kontrollsystem (IKS) sowie ein entsprechendes Risikomanagementsystem (RMS) einzurichten. Beide Überwachungssysteme decken im Zusammenspiel auch Compliance ab – was ein eigenes Compliance Management System (CMS) genauso gut leisten kann. Überwachende Managementsysteme als zentraler Teil der Corporate Governance gewinnen also an Bedeutung. Zudem soll ein Prüfungsausschuss für Unternehmen von öffentlichem Interesse nach § 107 Abs. 4 AktG künftig verpflichtend sein.

DB: Worauf sollten sich Unternehmen in dem Zusammenhang besonders einstellen, bzw. wo erwarten Sie bei der Umsetzung in den Unternehmen besondere Schwierigkeiten?

Gnändiger: Die überwiegende Mehrheit der börsennotierten Unternehmen hat solche Governance-Systeme grundsätzlich eingerichtet. Die zentrale Frage ist daher nicht, ob diese Systeme vorliegen, sondern inwieweit sie in ihrer Konzeption geeignet sind, ob sie konzernweit implementiert sind und – ganz zentral – ob sie über einen zu betrachtenden Zeitraum wirksam sind. Diese Fragen wird der Vorstand vermutlich initial und dann jährlich stellen, auch weil sie für den Prüfungsausschuss relevant sind.

Nur die aktuellen Top-Risiken oder Kontrollschwächen zu diskutieren, wird nicht ausreichen. Risikomanagement und IKS sind in ihrer Gesamtausrichtung auf Angemessenheit und Wirksamkeit zu prüfen und benötigen ggf. eine Aktualisierung. Das RMS etwa resultiert aus dem KonTraG von 1998. Viele Systeme sind seitdem nicht wirklich angepasst worden. IKS entstammen der US-SOX Diskussion und sind daher meist rein auf Rechnungslegung bezogen. Doch ein angemessenes IKS sollte auch Compliance und Operations abdecken. Hier besteht teils großer Handlungsbedarf – das gilt auch für Themen rund um Nachhaltigkeit.

DB: Die explizite Einrichtung eines Compliance-Management-Systems wird im FISG-Entwurf nicht gefordert, obwohl es im Fall von Wirecard offenbar auch hier massive Mängel gab. Was raten Sie Unternehmen, wie sichergestellt werden kann, dass gesetzliche Bestimmungen eingehalten werden?

Gnändiger: Es ist richtig, dass der neue § 91 Abs. 3 AktG die Einrichtung eines CMS nicht explizit anspricht. Gleichwohl sind ein angemessenes RMS und ein entsprechendes IKS verpflichtend. RMS und IKS können ganzheitliche Angemessenheit nur erfüllen, wenn Compliance-Risiken im RMS identifiziert und bewertet werden und das IKS durch organisatorische Sicherungsmaßnahmen und Prozesskontrollen diese wirksam minimiert. Demnach kann Compliance entweder im RMS integriert und im IKS abgebildet werden oder wie in der Praxis üblich in einem eigenen CMS erfasst werden.

DB: Mit dem aktuell ebenfalls im Gesetzgebungsverfahren befindlichen Verbandssanktionengesetz plant der Gesetzgeber eine eigenständige gesetzliche Grundlage zur Sanktionierung von Unternehmen bei Compliance-Verstößen. Mit welchen Verschärfungen müssen Vorstands- und Aufsichtsratsmitglieder rechnen?

Gnändiger: Ein Verbandssanktionengesetz wird seit langem diskutiert – ein Fortschritt ist momentan jedoch nicht erkennbar. Der aktuelle Entwurf plant eine Verschärfung der Bußgelder für eine Verbandstat von bis zu 10% des durchschnittlichen Jahresumsatzes. Noch wichtiger ist das vorgesehene Legalitätsprinzip: Die Strafverfolgungsbehörde hat die Pflicht, ein Ermittlungsverfahren zu eröffnen, sofern sie eine den Anfangsverdacht rechtfertigende zureichende Kenntnis von einer möglichen Straftat erlangt hat.

Neben Verschärfungen bietet der Entwurf auch Anreize, in Compliance-Maßnahmen zu investieren. Sowohl Prävention als auch der Beitrag des Verbands zur Aufklärung und im Anschluss an die Verbandstat getroffene Maßnahmen können bei der Sanktionierung berücksichtigt werden. Doch die Angemessenheit der Maßnahmen nachzuweisen, ist eine Herausforderung. Übrigens ist durch die Ausweitung der Befugnisse der BaFin im FISG und der Vorschläge im Verbandssanktionengesetz auch mit einer gesteigerten Bedeutung der forensischen Sonderuntersuchungen zu rechnen.

DB: Bei börsennotierten Unternehmen hat der Abschlussprüfer bereits heute das Risikofrüherkennungssystem zu prüfen. Was sind die Charakteristika einer solchen Prüfung und wie könnte man sich eine Prüfung von Compliance-Management-System vorstellen?

Gnändiger: Für die börsennotierten Gesellschaften erfolgt die Prüfung des Risikofrüherkennungssystems aufgrund von § 317 Abs. 4 HGB und unter Anwendung des IDW Prüfungsstandards (PS) 340. Die Prüfung beschränkt sich auf den Teil des Systems, das bestandsgefährdende Entwicklungen im Unternehmen erkennt. Hier geht es also nicht um das gesamte RMS, wie jetzt durch das FISG angesprochen. 2021 gilt erstmalig die Neufassung des IDW PS 340, die bestehende Pflichten des Unternehmens hinsichtlich Risikotragfähigkeit, Risikoaggregation und Risikoreaktion zu einem festen Bestandteil der Prüfung macht. Zudem weitet die Neufassung das Prüfungsvorgehen mitsamt entsprechender Berichterstattung aus und konkretisiert es. Für die Nicht-Finanzunternehmen dürfte das Risikotragfähigkeitskonzept einschließlich der Dokumentation eine gewisse Herausforderung darstellen.

Die etablierteste Prüfung im DAX30 Kreis ist die Prüfung des CMS nach dem IDW PS 980. Hierbei handelt es sich um eine Systemprüfung – sprich eine Prüfung, die nicht auf das Erkennen von einzelnen Regelverstößen abzielt, sondern Konzeption, Angemessenheit, Implementierung und Wirksamkeit der eingerichteten Grundsätze, Maßnahmen und Kontrollen eines bestimmten Teilrechtsbereichs wie Anti-Korruption oder Kartellrecht beurteilt. Die CMS-Beschreibung des Unternehmens dient als Prüfungsgegenstand.

DB: Der FISG-Entwurf richtet sich in Sachen Risikomanagement und Compliance an große und kapitalmarktorientierte Unternehmen. Beide Themen werden allerdings auch im Mittelstand immer bedeutender, wobei den Unternehmen dort in den meisten Fällen weniger Mittel zur Verfügung stehen. Welche Möglichkeiten bieten sich solchen Unternehmen, um diese Themen anzugehen?

Für den Mittelstand bietet es sich an, Kompetenzen zu bündeln, ihre Governance-Systeme zu „vereinen“ und in ein integriertes Corporate Governance, Risk- und Compliance-Modell (GRC-Modell) zu überführen. Ein integriertes GRC-Modell hat den Vorteil, dass das Unternehmen Corporate-Governance-Bemühungen stringent und wertstiftend planen und die Effizienz der Corporate Governance steigern kann. Für den Mittelstand geht es darum, Risiken zu erkennen und Wettbewerbsnachteile bei Ausschreibungen oder Fremdfinanzierungen zu verhindern. Aktuell ist die EU-Taxonomie ein großer Treiber, ggf. auch das diskutierte Lieferkettengesetz. Indem Mittelständler eine Relevanz- und Risikoanalyse, ein schlankes Maßnahmenpaket aus wenigen Richtlinien und Kontrollen mitsamt Kultur- und Kommunikationskonzept einrichten, minimieren sie Risiken maßgeblich.

DB: Als Berater aus einer großen Prüfungsgesellschaft kann ich Sie natürlich nicht aus diesem Interview entlassen, ohne die angedachten Verschärfungen des FISG-Entwurfs bei der Trennung von Prüfung und Beratung anzusprechen. Wie würde sich eine Umsetzung des Gesetzentwurfs auf Ihre Arbeit und die Zusammenarbeit mit Ihren Kollegen aus der Prüfung auswirken?

Die Trennung von Prüfung und Beratung ist aus meiner Sicht bereits jetzt sehr klar im Gesetz geregelt. Unternehmen und Prüfungsgesellschaften halten sich an diese Vorgaben. Ich halte es eher für diskussionswürdig, die Erwartungslücke an die Jahresabschlussprüfung zu schließen. Nicht jedem Adressaten des Jahresabschlusses ist klar, dass die Jahresabschlussprüfung keine vollständige Prüfung der Governance-Systeme RMS, CMS oder IKS beinhaltet. Die Prüfungspflicht auf diese Systeme in einer bestimmten Art und Weise auszuweiten, wäre eine interessante Diskussion gewesen.

DB: Ich danke Ihnen herzlich für dieses Interview!

Das Interview führte Sebastian Boochs


Top