Handbuch Interne Kontrollsysteme (IKS) · • über 200 Fraud-Indikatoren und 170 Kennzahlen für die Steuerung und Überwachung wichtiger Unternehmensprozesse. Diese Neuauflage enthält

www.ESV.info erich schmidt verl ag

ESES

Vertrauen ist gut – Kontrolle ist besser

^ Korruption, Betrug und Datenskandale zeigen es immer wieder: Ein Internes Kontrollsystem (IKS) ist für den Erfolg von Unternehmen dringlicher denn je. Nur so gelingt es Ihnen, wirtschaftlichen Schaden vom Unternehmen abzuwenden, Vorgaben effizient zu erfüllen und die Außendarstellung zu verbessern.

Oliver Bungartz zeigt Ihnen, wie Sie Schritt für Schritt ein IKS erfolgreich aufbauen und zielgerichtet einsetzen. Know-how aus der Praxis für die Praxis mit

• einemaktuellenÜberblickübernationale und inter nationale Vorgaben,

• allenZielkategorienundKomponenten nach dem COSO-Rahmenmodell,

• umfangreichenFragebögenundKontrollmatrizen zur Identifikation zentraler Risiken,

• mehrals700BeispielenzuRisiko-Kontroll- Kombinationen,

• über200Fraud-Indikatorenund170Kennzahlen fürdieSteuerungundÜberwachungwichtiger Unternehmensprozesse.

Diese Neuauflage enthält auch Anforderungen für Compliance Management Systeme (CMS) und deren Integration in das ERM-FrameworksowierechtlicheGrundlagenfürÖsterreich und die Schweiz.

Ein Leitfaden und Nachschlagewerk, um Risiken im Unter- nehmen aufzudecken und zu vermeiden!

SteuerungundÜberwachung von Unternehmen

Handbuch Interne Kontrollsysteme (IKS)

Han

dbu

ch In

tern

e K

ontr

olls

yste

me

(IK

S)B

un

gart

z

Oliver Bungartz

€(D)

74,959 783503 126323

2.,neubearbeiteteunderweiterteAuflage

2.Aufl.

Leseprobe, mehr zum Buch unter ESV.info/978 3 503 12632 3

http://www.esv.info/978%203%20503%2012632%203

ERICH SCHMIDT VERLAG

Steuerung und Überwachungvon Unternehmen

VonDr. Oliver Bungartz

2., neu bearbeitete und erweiterte Auflage

Handbuch InterneKontrollsysteme (IKS)


http://www.esv.info/978%203%20503%2012632%203

Weitere Informationen zu diesem Titel finden Sie im Internet unterESV. info/978 3 503 12989 8

Gedrucktes Werk: ISBN 978 3 503 12632 3eBook: ISBN 978 3 503 12989 8

Alle Rechte vorbehalten© Erich Schmidt Verlag GmbH & Co. KG, Berlin 2011www.ESV.info

Ergeben sich zwischen der Version dieses eBooks und dem gedruckten Werk Abweichungen,ist der Inhalt des gedruckten Werkes verbindlich.

5

Vorwort zur zweiten Auflage

Die Themen Interne Kontrollsysteme (IKS) und Risikomanagement sind nach wievor brandaktuell und nehmen für die Praxis stetig an Bedeutung zu. Das ungebro-chene Interesse an diesen Themen hat dazu geführt, dass die erste Auflage vom„Handbuch Interne Kontrollsysteme (IKS) – Steuerung und Überwachung vonUnternehmen“ schnell vergriffen war. Aufgrund der positiven Resonanz und derstar-ken Nachfrage nach einem praktischen Leitfaden, freue ich mich eine zweite,bear-beite und erweiterte Auflage herauszubringen.

Über die notwendigen Aktualisierungen hinaus, sind die rechtlichen Grundlagen umrelevante Regelungen zum IKS in Österreich und der Schweiz ausgeweitet worden.Dies ermöglicht einen umfassenden Vergleich der gesetzlichen Anforderungen zumIKS und steigert die Attraktivität des Werkes für den gesamten deutschsprachigenRaum.

Neben den Ergänzungen zu den rechtlichen Grundlagen ist das Handbuch u.a. umfolgende Aspekte und Teile ergänzt worden:

– Praxisthesen zur Vorteilhaftigkeit von Kontrollen

– Praktische Beispiele zu den verschiedenen IKS-Komponenten

– Darstellung eines Ansatzes zur effektiven Überwachung

– Herausforderungen der Projektorganisation zur Implementierung eines IKS

– Darstellung des Capability Maturity Model Integration (CMMI) zur Bestimmungdes Reifegrades eines IKS

– Kapitel zum Compliance Management System (CMS)

Die Bearbeitungen und Ergänzungen für die zweite Auflage führten zu zahlreichenneuen Tabellen und Abbildungen.

Ganz herzlich danken möchte ich allen Personen, die mich bei der Erstellung derzweiten Auflage unterstützt haben. Meinen Kollegen von der „RSM Altavis“ inHamburg, insb. den Herren Marco Michelsen, Maik Wellenbrock und Gregor Strobl,bin ich Dank für wertvolle Hinweise und konstruktive Kritik schuldig. Auch für diegewohnt reibungslose Zusammenarbeit mit dem Erich Schmidt Verlag in Berlinmöchte ich Dr. Joachim Schmidt und Sebastian Engler ganz herzlich danken. Nichtzuletzt gilt mein Dank den vielen Teilnehmern meiner Seminare, die mir durch kons-truktive Diskussionen und hilfreiche Hinweise geholfen haben, dieses Handbuch zuoptimieren.

Aus: Bungartz, Handbuch Interne Kontrollsysteme (IKS). © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2011.

Vorwort zur zweiten Auflage

6

Ich wünsche Ihnen eine anregende und hilfreiche Lektüre und freue mich weiterhinüber jegliche Rückfragen und Anregungen.

Hamburg, im September 2010 Dr. Oliver Bungartz


7

Vorwort zur ersten Auflage

Fehlende Kontrollen, mangelhaftes Risikomanagement, Wirtschaftskriminalität undKorruption werden in der Öffentlichkeit verstärkt diskutiert und scheinen in der Pra-xis an der Tagesordnung zu sein. Dabei lässt sich die Verpflichtung zur Einrichtungund Dokumentation eines Internen Kontrollsystems (IKS) als Verantwortlichkeit derUnternehmensleitung schon seit langer Zeit aus der deutschen Gesetzgebung herlei-ten. Das nationale Gesetz zur Kontrolle und Transparenz im Unternehmensbereich(KonTraG) sowie der Sarbanes-Oxley Act (SOX) auf internationaler Ebene sind nurzwei gesetzgeberische Meilensteine auf dem Weg zu einer weltweit neuen Überwa-chungskultur. In Deutschland ist dieser Trend zuletzt durch das Bilanzrechtsmoder-nisierungsgesetz (BilMoG) zur Transformation der 8. EU-Richtlinie ins nationaleRecht verstärkt worden, in dem u.a. die Verpflichtung des Aufsichtsrats konkretisiertwurde, die Wirksamkeit des IKS, der Internen Revision und des Risikomanagement-systems zu beurteilen.

Vor diesem Hintergrund soll das hier vorliegende Handbuch eine geschlossene,ganzheitliche und praxisgerechte Konzeption für ein umfassendes und unterneh-mensweites IKS dienen, welches mit vertretbarem Aufwand zu realisieren ist undgleichzeitig nationalen sowie internationalen Standards genügt.

Kapitel I vermittelt die Grundlagen eines IKS in kompakter Form, um im folgendenKapitel von Prozess zu Prozess an ein modernes und vollumfängliches IKS heranzu-führen. Kapitel I enthält dabei alle Informationen zu einem IKS, die prozessübergrei-fend gültig sind, so dass sie in geschlossener Form der prozessorientierten Darstel-lung vorangestellt werden können. Das Rahmenwerk des Committee of SponsoringOrganizations of the Treadway Commission (COSO) dient dabei als Richtschnur fürden Aufbau eines IKS und somit als Basis für das gesamte Handbuch.

Kapitel II enthält ausführliche Informationen zu wichtigen ausgewählten Prozessen:

– Beschaffung– Produktion– Absatz– Anlagevermögen– Personal– Rechnungslegung– Finanzen– Steuern– Informationstechnologie


Vorwort zur ersten Auflage

8

Kapitel III gibt Hinweise für ein erfolgreiches Projektmanagement zur Prozessauf-nahme, zur Implementierung, zu Prozessdurchlaufbeobachtungen und zur Optimie-rung eines IKS. Die Prüfung der Funktionsfähigkeit sowie die laufende Pflege einesIKS vervollständigen die Darstellung des Projektmanagements zur Implementie-rung. Aus der langjährigen Erfahrung im Aufbau von IKS in der Praxis, werdenabschließend zentrale Erfolgsfaktoren herausgearbeitet.

Kapitel IV gibt einen Ausblick auf die Erweiterung eines IKS von COSO I hin zueinem gesetzlich geforderten umfassenden Überwachungssystems (d.h. internesKontroll-, Revisions- und Risikomanagementsystem). Als ganzheitliches Rahmen-werk zur Integration dieser drei Überwachungselemente wird das ERM-Modell(COSO II) für ein unternehmensweites Risikomanagement herangezogen.

Der Aufbau des Handbuchs ist im „Baukasten-Prinzip“ gestaltet, d.h. jedes einzelneKapitel ist für sich geschlossen dargestellt und kann isoliert gelesen werden. Darüberhinaus können auch einzelne Prozesse isoliert betrachtet werden, wobei für jedendieser Prozesse, die folgenden Aspekte behandelt werden:

– Allgemeine Informationen– Risiko-Kontroll-Matrizen– Fraud-Indikatoren– Kennzahlen

Ein Werk wie das vorliegende ist stets in einem weiteren Sinn das Produkt einerVielzahl von Personen, Quellen und Anregungen. Besonderer Dank gilt meinen Kol-legen Maik Wellenbrock und Marco Michelsen von „RSM Altavis“ in Hamburg, diemich mit wertvollen Anregungen, fachmännischen Rat und durch konstruktive Kri-tik unterstützt haben. Außerdem möchte ich mich bei den Herren Dr. JoachimSchmidt sowie Sebastian Engler vom Erich Schmidt Verlag in Berlin für die außer-gewöhnliche gute Zusammenarbeit und die schnelle Realisierung des Projektsbedanken. Nicht zuletzt gilt mein ganz besonderer Dank meiner Familie, der diesesBuch gewidmet ist.

Ich hoffe, Ihnen mit diesem Handbuch wertvolle Anregungen, Ideen und Hilfestel-lungen zum IKS geben zu können und wünsche Ihnen eine anregende und hilfreicheLektüre. Für jegliche Rückfragen und Anregungen bin ich dankbar.

Hamburg, im Juli 2009 Dr. Oliver Bungartz


9

Inhaltsverzeichnis

Vorwort zur zweiten Auflage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Vorwort zur ersten Auflage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Abkürzungsverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Abbildungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Tabellenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Kapitel I: Grundlagen eines Internen Kontrollsystems (IKS) . . . . . . . . 21

1 Einführung in ein Internes Kontrollsystem (IKS) . . . . . . . . . . . . . . . . . 211.1 Begriff und Aufgaben eines IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211.2 Internationale Anforderungen an ein IKS. . . . . . . . . . . . . . . . . . . . . . . . 231.3 Nationale Anforderungen an ein IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . 351.4 Mehrwert und Grenzen eines IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411.5 Zusammenfassung: Definition und Anforderungen an ein IKS . . . . . . . 43

2 Ausgestaltung eines Internen Kontrollsystems (IKS) nach den Empfehlungen des Committee of Sponsoring Organizations of the Treadway Commission (COSO). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

2.1 Aufbau eines IKS nach COSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452.2 „Kontrollumfeld“ als Komponente eines IKS . . . . . . . . . . . . . . . . . . . . 482.3 „Risikobeurteilung“ als Komponente eines IKS . . . . . . . . . . . . . . . . . . 542.4 „Kontrollaktivitäten“ als Komponente eines IKS . . . . . . . . . . . . . . . . . 582.5 „Information und Kommunikation“ als Komponente eines IKS . . . . . . 632.6 „Überwachung“ als Komponente eines IKS. . . . . . . . . . . . . . . . . . . . . . 642.7 Grundlegende Konzepte der COSO-Komponenten . . . . . . . . . . . . . . . . 702.8 Kontrollaktivitäten auf Unternehmensebene zur Überwachung der

COSO-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722.9 Zusammenfassung: IKS nach COSO . . . . . . . . . . . . . . . . . . . . . . . . . . . 902.10 Exkurs: COSO und die Control Objectives for Information

and related Technology (CobiT). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

3 Dokumentation eines Internen Kontrollsystems (IKS) . . . . . . . . . . . . . 993.1 Allgemeine Anforderungen an die Dokumentation eines IKS. . . . . . . . 993.2 Verbale Prozessbeschreibung als Möglichkeit der Dokumentation von

Prozessabläufen im IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1013.3 Flussdiagramm als Möglichkeit zur Dokumentation von

Prozessabläufen im IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1023.4 Risiko-Kontroll-Matrix als Möglichkeit zur Dokumentation

des Aufbaus und der Funktion eines IKS . . . . . . . . . . . . . . . . . . . . . . . . 104


Inhaltsverzeichnis

10

3.5 Testblatt als Möglichkeit zur Dokumentation von Funktionsprüfungen im IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

3.6 Matrix als Möglichkeit zur Dokumentation der Funktionstrennung im IKS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

3.7 Maßnahmeplan als Möglichkeit zur Dokumentation von Schwachstellen und Überwachungstätigkeiten im IKS . . . . . . . . . . . . . 112

3.8 Zusammenfassung: Dokumentationsmöglichkeiten eines IKS . . . . . . . 114

Kapitel II: Prozesse eines Internen Kontrollsystems (IKS) . . . . . . . . . . . 115

1 Grundlagen der Organisation von Prozessen im Internen Kontrollsystem (IKS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

1.1 Organisation von Prozessen im Unternehmen . . . . . . . . . . . . . . . . . . . . 1151.2 Organisation „Beschaffung“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1171.3 Organisation „Produktion“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1221.4 Organisation „Absatz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1261.5 Organisation „Anlagevermögen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1281.6 Organisation „Personal“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1301.7 Organisation „Rechnungslegung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1341.8 Organisation „Finanzen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1371.9 Organisation „Steuern“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1431.10 Organisation „Informationstechnologie“ . . . . . . . . . . . . . . . . . . . . . . . . 151

2 Risiko-Kontroll-Matrizen für die Prozesse im Internen Kontrollsystem (IKS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

2.1 Grundlagen der Erstellung von Risiko-Kontroll-Matrizen. . . . . . . . . . . 1602.2 Risiko-Kontroll-Matrix „Beschaffung“ . . . . . . . . . . . . . . . . . . . . . . . . . 1612.3 Risiko-Kontroll-Matrix „Produktion“ . . . . . . . . . . . . . . . . . . . . . . . . . . 1762.4 Risiko-Kontroll-Matrix „Absatz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1952.5 Risiko-Kontroll-Matrix „Anlagevermögen“. . . . . . . . . . . . . . . . . . . . . . 2082.6 Risiko-Kontroll-Matrix „Personal“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2182.7 Risiko-Kontroll-Matrix „Rechnungslegung“ . . . . . . . . . . . . . . . . . . . . . 2352.8 Risiko-Kontroll-Matrix „Finanzen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2482.9 Risiko-Kontroll-Matrix „Steuern“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2692.10 Risiko-Kontroll-Matrix „Informationstechnologie“. . . . . . . . . . . . . . . . 2892.11 Funktionstrennungs-Matrix als Ergänzung der

Risiko-Kontroll-Matrix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

3 Fraud-Indikatoren für die Prozesse im Internen Kontrollsystem (IKS) . 3193.1 Einführung in die Fraud-Thematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3193.2 Fraud-Indikatoren „Beschaffung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3353.3 Fraud-Indikatoren „Produktion“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3393.4 Fraud-Indikatoren „Absatz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3423.5 Fraud-Indikatoren „Anlagevermögen“ . . . . . . . . . . . . . . . . . . . . . . . . . . 3463.6 Fraud-Indikatoren „Personal“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3473.7 Fraud-Indikatoren „Rechnungslegung“ . . . . . . . . . . . . . . . . . . . . . . . . . 348


Inhaltsverzeichnis

11

3.8 Fraud-Indikatoren „Finanzen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350

3.9 Fraud-Indikatoren „Steuern“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353

3.10 Fraud-Indikatoren „Informationstechnologie“ . . . . . . . . . . . . . . . . . . . . 356

4 Kennzahlen für die Prozesse im Internen Kontrollsystem (IKS) . . . . . . 359

4.1 Begriff und Aufgaben von Kennzahlen . . . . . . . . . . . . . . . . . . . . . . . . . 359

4.2 Kennzahlen „Beschaffung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

4.3 Kennzahlen „Produktion“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368

4.4 Kennzahlen „Absatz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

4.5 Kennzahlen „Anlagevermögen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

4.6 Kennzahlen „Personal“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387

4.7 Kennzahlen „Rechnungslegung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

4.8 Kennzahlen „Finanzen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402

4.9 Kennzahlen „Steuern“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

4.10 Kennzahlen „Informationstechnologie“ . . . . . . . . . . . . . . . . . . . . . . . . . 411

Kapitel III: Projektmanagement zur Einrichtung eines Internen

Kontrollsystems (IKS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419

1 Konzeption und Planung eines IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

2 Implementierung und Dokumentation eines IKS . . . . . . . . . . . . . . . . . . 427

3 Überwachung und Pflege eines IKS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

4 Besonderheiten von kleinen und mittelständischen Unternehmen in Bezug auf ein IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439

5 Prüfung des Projekts zur Implementierung eines IKS . . . . . . . . . . . . . . 443

6 Zusammenfassung: Erfolgsfaktoren aus der Praxis bei der Einführung eines IKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445

Kapitel IV: Enterprise Risk Management (ERM) als Modell zur

Integration von Internen Kontrollsystemen (IKS),

Interner Revision und Risikomanagement . . . . . . . . . . . . . . . 447

1 Einführung in die gesetzlichen Grundlagen des Risikomanagement . . . 447

2 Weiterentwicklung des COSO-Report zum ERM-Framework . . . . . . . 453

3 Aufbau des ERM-Framework für ein unternehmensweites Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457

4 Rolle der Internen Revision im ERM-Framework . . . . . . . . . . . . . . . . . 465

5 Compliance Management System (CMS) im ERM-Modell . . . . . . . . . 473

6 Zusammenfassung: IKS, Interne Revision und Risikomanagement als integrale Bestandteile des ERM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485

Stichwortverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493


21

Kapitel I: Grundlagen eines Internen Kontrollsystems (IKS)

1 Einführung in ein Internes Kontrollsystem (IKS)

Ein allgemein einheitliches Konzept hinsichtlich der Strukturierung und Gestaltungeines Internen Kontrollsystems (IKS) ist erstmalig in den USA entwikkelt worden.Dieses Konzept ist in Deutschland übernommen worden bzw. in nationale Standardsund Empfehlungen eingeflossen, sodass auch die Definition von Begriff und Aufga-ben eines IKS letztlich auf US-amerikanischen Vorgaben beruht.

1.1 Begriff und Aufgaben eines IKS

Nach dem IDW Prüfungsstandard „Feststellung und Beurteilung von Fehlerrisikenund Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS

261)“1 werden unter einem IKS die vom Management im Unternehmen eingeführtenGrundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerichtet sindauf die organisatorische Umsetzung der Entscheidungen des Managements

– zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit(hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderungund Aufdeckung von Vermögensschädigungen),

– zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rech-nungslegung sowie

– zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.

Ein IKS sollte nicht nur auf die Rechnungslegung beschränkt sein. Vielmehr sindalle wesentlichen Geschäftsprozesse in die Betrachtung einzubeziehen, um dieWirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sicherzustellen. DieseForderung ergibt sich unter anderem aus der Begriffsdefinition des IKS, denn die„organisatorische Umsetzung von Entscheidungen der Unternehmensleitung“betrifft nicht nur den Bereich der Rechnungslegung, sondern alle wichtigen Ent-scheidungsfelder des Unternehmens.

1 Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Prüfungsstandard: Fest-stellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beur-teilten Fehlerrisiken (IDW PS 261). In: Die Wirtschaftsprüfung 2006, S. 1433-1445.



http://www.esv.info/978%203%20503%2012632%203

Kapitel I: Grundlagen

22

Ein IKS hat die folgenden Bestandteile:

– Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssys-tem) und

– Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Über-wachungssystem).

Das interne Überwachungssystem beinhaltet prozessintegrierte (organisatorischeSicherungsmaßnahmen, Kontrollen) und prozessunabhängige Überwachungsmaß-nahmen (vor allem durch die Internen Revision):

Abb. 1: Regelungsbereiche eines IKS

Quelle: Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): IDW Prüfungs-standard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionendes Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261),Tz. 20.

Organisatorische Sicherungsmaßnahmen werden durch laufende, automatischeEinrichtungen wahrgenommen und umfassen fehlerverhindernde Maßnahmen, diesowohl in die Aufbau- als auch die Ablauforganisation eines Unternehmens integ-riert sind und ein bestimmtes Sicherheitsniveau gewährleisten sollen (z.B. Funkti-onstrennung, Zugriffsbeschränkungen im IT-Bereich und Zahlungsrichtlinien).

Kontrollen erfolgen durch Maßnahmen, die in den Arbeitsablauf integriert sind.Erfolgen die Kontrollen durch Überwachungsträger, so können diese sowohl für dasErgebnis des überwachten Prozesses als auch für das Ergebnis der Überwachungverantwortlich sein. Kontrollen sollen vor allem die Wahrscheinlichkeit für das Auf-

Internes Kontrollsystem

Internes Steuerungssystem

Internes Überwachungssystem

ProzessunabhängigeÜberwachungsmaßnahmen

Prozessintegrierte Überwachungsmaßnahmen

Interne RevisionKontrollenOrganisatorische

Sicherungs-maßnahmen

Sonstige

Internes Kontrollsystem

Internes Steuerungssystem

Internes Überwachungssystem

ProzessunabhängigeÜberwachungsmaßnahmen

Prozessintegrierte Überwachungsmaßnahmen

Interne RevisionKontrollenOrganisatorische

Sicherungs-maßnahmen

Sonstige



http://www.esv.info/978%203%20503%2012632%203

Einführung

23

treten von Fehlern in den Arbeitsabläufen vermindern bzw. aufgetretene Fehler auf-decken (z.B. Überprüfung der Vollständigkeit und Richtigkeit von empfangenen undweitergereichten Daten, manuelle Soll-Ist-Vergleiche und programmierte Plausibili-tätsprüfungen).

Die Interne Revision ist eine prozessunabhängige Institution, die innerhalb einesUnternehmens Strukturen und Aktivitäten prüft und beurteilt. Dieser unterneh-mensinterne Überwachungsträger darf weder in den Arbeitsablauf integriert noch fürdas Ergebnis des überwachten Prozesses verantwortlich sein.

Daneben können sonstige prozessunabhängige Überwachungsmaßnahmen fest-gelegt sein, z.B. in Form von übergreifenden Kontrollen auf oberster Ebene (sog.High Level Controls), die im besonderen Auftrag der gesetzlichen Vertreter oderdurch diese selbst vorgenommen werden.2

1.2 Internationale Anforderungen an ein IKS

Internationale Anforderungen (wie z.B. auch die Definition von Begriff und Aufga-ben) an ein IKS sind ursprünglich in den USA entstanden. Erfahrungswerte zeigen,dass US-amerikanische Vorgaben mit einer gewissen zeitlichen Verzögerung auchEinfluss auf europarechtliche Entwicklungen haben.

US-amerikanische Vorgaben

Die wohl bekannteste Vorschrift hinsichtlich einer gesetzlichen Notwendigkeit zurImplementierung von detaillierten Maßnahmen zur Einrichtung, Dokumentation undÜberprüfung von IKS resultiert aus dem am 30. Juli 2002 in Kraft getretenen Sarba-

nes-Oxley Act (SOX), konkret aus der Section 404 „Management Assessment ofInternal Controls“.3

Mit der Verabschiedung des gesamten SOX-Regelwerks sollte vor allem das Ver-

trauen der Investoren in die Kapitalmärkte nach zahlreichen Bilanzskandalen beiUS-amerikanischen Unternehmen wiederhergestellt werden. Hierzu wurden nebender Erweiterung der Offenlegungspflichten von Finanzinformationen der Unterneh-men durch einen Bericht über das IKS zur Rechnungslegung und Finanzberichter-stattung des Unternehmens auch zahlreiche weitere Vorschriften modifiziert sowie

2 Zu einer tiefer gehenden Analyse hinsichtlich des Begriffs, den Aufgaben und Regelungsbrei-chen des IKS vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW): Feststellung undBeurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehler-risiken (IDW PS 261). In: Die Wirtschaftsprüfung 2006, S. 1433-1445.

3 Vgl. Kongress der Vereinigten Staaten von Amerika (Hrsg.): The Sarbanes-Oxley Act of 2002vom 30. Juli 2002.



http://www.esv.info/978%203%20503%2012632%203


24

erstmalig gesetzlich verankert, die im Folgenden jedoch im Einzelnen nicht näheranalysiert werden sollen.

Die SOX Section 404, die unbestritten den wohl größten Umsetzungsaufwand(sowohl zeit- als auch kostenmäßig) für Unternehmen im Rahmen aller SOX-Vor-schriften verkörpert, weist als oberstes Ziel die Vermeidung von Fehlinformationender Finanzberichterstattung aufgrund mangelhafter interner Kontrollen des Unter-nehmens aus:

Konkret wird die Unternehmensleitung verpflichtet, ein wirksames IKS einzurich-ten und umfassend dessen Wirksamkeit zu dokumentieren. Gegenstand der Rege-lung sind hierbei sämtliche interne Kontrollen, die im Zusammenhang mit der Rech-nungslegung stehen. Neben der Berichterstattung ist auch eine jährliche Einschät-zung und Bewertung der Effektivität des IKS durch die Unternehmensleitung zuveröffentlichen. Diese Erklärung hat der Abschlussprüfer abschließend zu testierenund selbst eine eigene Stellungnahme über die Zuverlässigkeit des IKS abzugeben.

Der „Chief Executive Officer (CEO)“ und der „Chief Financial Officer (CFO)“ über-nehmen zusätzlich auch die persönliche Verantwortung für die bei der U.S. Securi-

Sarbanes-Oxley Section 404: Management Assessment of Internal Controls

(a) RULES REQUIRED. The Commission shall prescribe rules requiring eachannual report required by section 13(a) or 15(d) of the Securities ExchangeAct of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report,which shall – (1) state the responsibility of management for establishing and maintainingan adequate internal control structure and procedures for financial reporting;and(2) contain an assessment, as of the end of the most recent fiscal year of theissuer, of the effectiveness of the internal control structure and procedures ofthe issuer for financial reporting.

(b) INTERNAL CONTROL EVALUATION AND REPORTING. With respectto the internal control assessment required by subsection (a), each registeredpublic accounting firm that prepares or issues the audit report for the issuershall attest to, and report on, the assessment made by the management of theissuer. An attestation made under this subsection shall be made in accordancewith standards for attestation engagements issued or adopted by the Board.Any such attestation shall not be the subject of a separate engagement.



http://www.esv.info/978%203%20503%2012632%203

Einführung

25

ties and Exchange Commission (SEC) eingereichten Berichte, da die Bestätigung derVollständigkeit und Richtigkeit der im Rahmen der Finanzberichterstattung veröf-fentlichten Unterlagen auch Aussagen über das eingerichtete IKS umfasst. Bei feh-lerhafter oder unrichtiger Bestätigung droht nach amerikanischem Recht dem CEOund dem CFO nach SOX Section 302 bzw. 906 eine verschärfte zivilrechtliche bzw.strafrechtliche Verfolgung.

Der Begriff des IKS sowie die konkrete Einrichtung und Dokumentation werden inSOX Section 404 nicht präzisiert. Als ein mögliches Rahmenkonzept wird u.a. derBericht des Committee of Sponsoring Organizations of the Treadway Commission(COSO) empfohlen (sog. COSO-Report). Hinsichtlich des Dokumentations- undBewertungsprozesses wird in der Praxis vor allem auf den speziellen Prüfungsstan-dard für die Prüfung des IKS vom Public Company Accounting Oversight Board(PCAOB) zurückgegriffen. Dieser ist zwar verbindlich nur für die Abschlussprüferzu berücksichtigen, stellt jedoch aufgrund der Testatsvergabe auch Anforderungenan das Management dar.4

Section 404 des SOX Act und die dazu erlassenen Verordnungen der SEC verlangen,dass jeder bei der SEC eingereichte Jahresbericht eines Emittenten einen Bericht

über die Wirksamkeit des IKS zur finanziellen Berichterstattung beinhaltet. DieRegelung ist verpflichtend für alle Unternehmen, die den öffentlichen Kapitalmarktin den USA in Anspruch nehmen (d.h. Handel an einer nationalen Börse, außerbörs-licher Handel oder öffentliches Angebot von Wertpapieren), sowie die Tochtergesell-schaften der Emittenten.5

In diesem Zusammenhang mag es auf den ersten Blick verwundern, dass gerade dieneuesten regulatorischen Trends in Bezug auf SOX an kleine und mittelständische

Unternehmen adressiert sind. So haben das PCAOB im neuen Auditing StandardNo. 5 als auch die SEC und COSO Standards und Entwürfe veröffentlicht, dieErleichterungen für kleine und mittelständische Unternehmen beinhalten.6

4 Vgl. „Auditing Standard No. 2: An Audit of Internal Control Over Financial Reporting Perfor-med in Conjunction With an Audit of Financial Statements“ der Securities and Exchange Com-mission (SEC) vom 17.06.2004, der inzwischen ersetzt wurde durch „Auditing Standard No. 5:An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit ofFinancial Statements“ (verabschiedet durch die SEC am 25.07.2007 und gültig für Abschluss-prüfungen von Jahren, die am oder nach dem 15.11.2007 enden). Für allgemeine Informationenrund um das Public Company Accounting Oversight Board (PCAOB) und die U.S. Securitiesand Exchange Commission (SEC) wird auf die folgenden Internetadressen: www.pcaob.orgund www.sec.gov verwiesen.

5 Vgl. auch Menzies, Christof (Hrsg.): Sarbanes-Oxley Act. Professionelles Management inter-ner Kontrollen. Stuttgart 2004, S. 13-14.

6 Vgl. Bungartz, Oliver und Marc Szackamer: Interne Kontrollsysteme in kleinen und mittelstän-dischen Unternehmen. In: Zeitschrift für Corporate Governance 2007, S. 123-130 sowie Bun-gartz, Oliver und Marc Szackamer: Notwendigkeit und Aufbau von Internen Kontrollsystemenin Unternehmen. In: Steuer-Journal 2007, S. 45-50.



http://www.esv.info/978%203%20503%2012632%203


26

Die Standards und Entwürfe zielen darauf ab, die Einhaltung der Vorschriften der Sec-tion 404 auch für kleine und mittlere Unternehmen in einem vertretbaren Zeit- und

Kostenaufwand zu erfüllen. Angesprochen sind in diesem Zusammenhang vor allemdie Tochterunternehmen, die aufgrund einer Inanspruchnahme des US-Kapitalmarktsdurch ihre Muttergesellschaft und Wesentlichkeitsbetrachtungen innerhalb des Kon-zerns ebenfalls unter die Bestimmungen der Section 404 fallen. Die letzten Jahrehaben nämlich gezeigt, dass die Regelungen für große Aktiengesellschaften nicht ein-fach auf kleine und mittelständische Unternehmen übertragen werden können.

Die folgenden Standards und Entwürfe enthalten beispielsweise Erleichterungen

für kleine und mittelständische Unternehmen:

– Committee of Sponsoring Organizations of the Treadway Commission (COSO):Internal Control – Integrated Framework. Guidance on Monitoring InternalControl Systems. February 4th, 2009.

– Committee of Sponsoring Organizations of the Treadway Commission (COSO):Internal Control over Financial Reporting – Guidance for Smaller PublicCompanies. July 11th, 2006.

– Advisory Committee on Smaller Public Companies to the U.S. Securities andExchange Commission (SEC): Final Report of the Advisory Committee on SmallerPublic Companies to the U.S. Securities and Exchange Commission. April 4th,2006.

Europarechtliche Vorgaben

Die bisher noch weitestgehend abgrenzbare Anzahl von Unternehmen, die sichexplizit verpflichtend mit der Ausgestaltung von IKS beschäftigen müssen, wird sichzukünftig aufgrund europarechtlicher Vorgaben deutlich erhöhen. Maßnahmen zurRegulierung des US-amerikanischen Kapitalmarkts waren in der Vergangenheit häu-fig Anstoß für vergleichbare rechtliche Veränderungen in Europa und somit nachfol-gend auch in Deutschland. Auch bei der vollzogenen Änderung der 4., der 7. und

der 8. EU-Richtlinie sind einzelne Elemente der SOX Section 404 in modifizierter,wenn auch abgeschwächter Form, berücksichtigt worden. Die geänderte 4. und 7.EU-Richtlinie ist ebenso wie die Umsetzung der 8. EU-Richtlinie durch den deut-schen Gesetzgeber in nationales Recht zu transformieren:

– Verbale Darstellung im (Konzern-) Lagebericht: Die hier relevantenÄnderungen und Erweiterungen ergeben sich bei der geänderten 4. und 7. EU-



http://www.esv.info/978%203%20503%2012632%203

Einführung

27

Richtlinie vor allem durch die Einfügung von Art. 46a7, der von allen Unter-nehmen, deren Wertpapiere zum Handel an einem geregelten Markt im Sinne derEuropäischen Union zugelassen sind, eine Beschreibung der wichtigstenMerkmale des internen Kontroll- und des Risikomanagementsystems der Gesell-schaft im Hinblick auf den Rechnungslegungsprozess fordert. Diese Besch-reibung, als Bestandteil des jährlich zu veröffentlichenden „Corporate Gover-nance Statement“, kann entweder als gesonderter Abschnitt im Lagebericht oderin einem gesonderten Bericht erfolgen, der zusammen mit dem Lagebericht offengelegt wird oder auch nur durch eine Bezugnahme im Lagebericht, falls diesesDokument auf der Internetseite der Gesellschaft öffentlich zugänglich ist (wahl-weise durch die Mitgliedstaaten in nationales Gesetz transformierbar). In jedemFall hat jedoch der Abschlussprüfer eine Einklangsprüfung dieser Beschreibungvorzunehmen, d.h. es ist zu überprüfen, ob die Angaben mit dem Jahresabschlussin Einklang stehen. Diese Einklangsprüfung ist jedoch nicht vergleichbar mit denumfassenden SOX-Anforderungen bezüglich der Prüfungstätigkeit des Abschlus-sprüfers.8

– Konkretisierung der Überwachungspflicht: Entsprechend Art. 419 hatzunächst jedes Unternehmen von öffentlichem Interesse grundsätzlich einenPrüfungsausschuss (sog. Audit Committee) zu bilden. Die Aufgabe diesesPrüfungsausschusses besteht dabei unabhängig von der Verantwortung der Mit-glieder des Verwaltungs-, Leitungs- oder Aufsichtsorgans des geprüften Unter-nehmens u.a. auch darin, den Rechnungslegungsprozess und die Wirksamkeit desIKS, ggf. des internen Revisionssystems und des Risikomanagementsystems desUnternehmens zu überwachen, wobei insbesondere das Kriterium derWirksamkeit den Prüfungsausschuss vor eine nicht zu unterschätzende Heraus-forderung stellen dürfte. Entsprechend den Ausnahmemöglichkeiten im Sinne derEU-Mitgliedstaatenwahlrechte des Art. 41 ist es hierbei auch möglich, dass beikleinen und mittleren Unternehmen von öffentlichem Interesse die Funktion desAudit Committee durch den Aufsichtsrat insgesamt ausgeübt oder auch auf einenAusschuss eines bereits gesetzlich vorgesehenen Unternehmensorganszurückgegriffen werden kann.

7 Vgl. für die sog. „Abänderungs-Richtlinie“: Europäisches Parlament und Rat (Hrsg.): Richtli-nie 2006/46/EG des Europäischen Parlaments und des Rates vom 14. Juni 2006 zur Änderungder Richtlinien des Rates 78/660/EWG über den Jahresabschluss von Gesellschaften bestimm-ter Rechtsformen, 83/349/EWG über den konsolidierten Abschluss, 86/635/EWG über den Jah-resabschluss und den konsolidierten Abschluss von Banken und anderen Finanzinstituten und91/674/EWG über den Jahresabschluss und den konsolidierten Abschluss von Versicherungs-unternehmen. In: Abl. L224 vom 16.08.2006.

8 Hier sei nur kurz darauf hingewiesen, dass eine Effizienzüberprüfung der internen Kontrollendurch den Abschlussprüfer nicht Bestandteil der Regelung ist.

9 Vgl. zur sog. „Abschlussprüfer-Richtlinie“: Europäisches Parlament und Rat (Hrsg.): Richtlinie2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Abschlussprü-fungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinien78/660/EWG und 83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG desRates. In: Abl. L 157 vom 9.06.2006.



http://www.esv.info/978%203%20503%2012632%203


28

Eine gesetzliche Konkretisierung von Sorgfaltspflichten hinsichtlich der Überwa-chung der Wirksamkeit des IKS wird eine neue Stufe der Überwachungskultur ein-leiten, die dazu führen kann, dass ein Verstoß gegen die Sorgfaltspflichten eher fest-gestellt wird. Die beabsichtigte Konkretisierung schafft somit mittelbar einen Anreizfür die Mitglieder des Aufsichtratsausschusses stringentere Kontrollsysteme und

Informationsabläufe zu installieren, um mögliche Überwachungsdefizite von vorn-herein zu minimieren. Aber auch die übrigen Mitglieder des Aufsichtsrats werdensich aufgrund ihrer allgemeinen Überwachungspflicht verstärkt um die ordnungsmä-ßige Überwachung des IKS bemühen, denn eine Befreiung von der allgemeinenSorgfaltspflicht hat die Bildung von Ausschüssen nach geltender Rechtslage nichtzur Folge.

Letztendlich werden auch die Anforderungen an die Ausgestaltung und Überwa-

chung des IKS durch die gesetzlichen Vertreter erhöht. Die gesetzlichen Vertreterund nicht der Aufsichtsrat oder ein Aufsichtsratsausschuss tragen die primäre Ver-antwortung für die Aufstellung von Jahres- und Konzernabschlüssen, aber auch fürdas IKS, die Interne Revision und das Risikomanagementsystem. Diese konkreteVerantwortung kann (auch nicht indirekt) einem Aufsichtsratsausschuss übertragenwerden.

Diese Betrachtungsweise ist insb. auch durch eine Änderung der 4. und 7. EU-Richt-linie nochmals klargestellt worden. Es wurde verdeutlicht, dass zwar eine gemein-same Verantwortlichkeit der Verwaltungs-, Leitungs- und Aufsichtsorgane derGesellschaft für die Rechnungslegung und das Corporate Governance Statementbesteht, die jeweiligen Organe aber im Rahmen der ihnen durch innerstaatlichesRecht zugewiesenen Zuständigkeiten handeln. Die kollektive Gesamtverantwortungvon Vorstand und Aufsichtsrat für die Erstellung des Jahresabschlusses wird abge-lehnt. Es wird vermutet, dass auch hinsichtlich der Überwachungstätigkeit des IKSnur die wesentlichen Geschäftsprozesse des Unternehmens mit einzubeziehensind. Diese sind unter Berücksichtigung einer risikoorientierten Vorgehensweisenach US-amerikanischem Vorbild zu ermitteln. Die Überwachung aller Geschäfts-prozesse würde zu einem nicht vertretbaren finanziellen, personellen und zeitlichenAufwand führen.

Die Analyse der europarechtlichen Vorgaben zeigt, dass nicht nur die Beschreibungder wichtigsten Merkmale des IKS und des Risikomanagementsystems des Unter-nehmens im Hinblick auf den Rechnungslegungsprozess durch die gesetzlichen Ver-treter vorzunehmen ist, sondern zusätzlich auch gewährleistet sein muss, dass dieWirksamkeit des IKS, ggf. des internen Revisionssystems, und des Risikomanage-mentsystems des Unternehmens adäquat überwacht werden kann.

Der Gesetzgeber hat darauf verzichtet, konkrete und explizite Anforderungen an einIKS zu stellen bzw. dessen regelmäßige Effektivitätsmessung im Gesetz zu kodifi-



http://www.esv.info/978%203%20503%2012632%203

Einführung

29

zieren. Der Aufsichtsrat bzw. ein Prüfungsausschuss des Aufsichtsrats muss aller-dings entsprechende Effektivitätstests durchführen und dokumentieren lassen,wenn die Wirksamkeit des IKS überwacht werden soll. Ob sich durch die Formulie-rung der EU-Richtlinien implizit vielleicht doch noch die gesetzliche Pflicht zurDurchführung von Effektivitätsmessungen analog der SOX-Vorschriften ergebenkann, ist von der Durchsetzung des geltenden Rechts und der Rechtsprechung in die-sem Zusammenhang abhängig.

Die Umsetzung der europarechtlichen Vorgaben hat ebenfalls Auswirkungen aufdie österreichische Gesetzgebung. Dabei wurden die Anforderungen an ein IKS zwarvom Gesetzgeber in neuen Gesetzen definiert, die Ausgestaltung wurde jedoch nichtnäher präzisiert.

Österreichische Vorgaben

Der österreichische Gesetzgeber hat mit dem Unternehmensrechts-Änderungs-

gesetz 2008 (URÄG) versucht, eine Verbesserung der Transparenz der Finanz-berichterstattung herbeizuführen. Neben der Stärkung des Vertrauens in die Tätigkei-ten des Abschlussprüfers hat das Gesetz eine Konkretisierung der Anforderung anein IKS zum Ziel.10

Primär handelt es sich dabei um neue Offenlegungspflichten zum IKS und Risiko-managementsystem im Lagebericht von kapitalmarktorientierten Unternehmen. DieBeschreibung der Ausgestaltung und Merkmale des vorhanden IKS und Risikoma-nagementsystems im Hinblick auf den Rechnungslegungsprozess11 hat dabei sowohlfür den Konzern- als auch für den Jahresabschluss zu erfolgen. Neben börsennotier-ten Gesellschaften sind nun auch jene Unternehmen verpflichtet, die börsennotierteWertpapiere emittiert haben. Die neu geregelten Offenlegungspflichten sind mit 1.Januar 2009 in Kraft getreten und auf alle Geschäftsjahre anzuwenden, die nach dem31. Dezember 2008 beginnen:

10 Vgl. für den Wortlaut des URÄG 2008: Bundesministerium für Justiz (BMJ): Unternehmens-rechts-Änderungsgesetz – URÄG 2008 vom 7. Mai 2008. In: BGBl. I Nr. 70/2008. Abrufbarunter: www.ris.bka.gv.at.

11 Der Prozess der Rechnungslegung beschränkt sich nicht nur auf die Rechnungslegung, sondernbezieht die buchmäßige Erfassung aller relevanten unternehmensspezifischen Daten mit ein.

„Eine Gesellschaft, deren Aktien oder andere von ihr ausgegebene Wertpapierezum Handel auf einem geregelten Markt im Sinn des § 1 Abs. 2 BörseG zugelas-sen sind, hat im Lagebericht darüber hinaus die wichtigsten Merkmale des inter-nen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rech-nungslegungsprozess zu beschreiben.“ (§ 243a Abs. 2 UGB)



http://www.esv.info/978%203%20503%2012632%203


30

Neben der Aufnahme einer Stellungsnahme zum IKS und zum Risikomanagementdes Unternehmens im Lagebericht, hat der Gesetzgeber auch die Überwachung derWirksamkeit des IKS durch den Aufsichtsrat bzw. einen ggf. einzurichtenden Prü-fungsausschuss durch das URÄG 2008 gesetzlich neu geregelt: 12

Die Bestätigung des Abschlussprüfers, dass die Aussagen zum IKS im Lageberichthinsichtlich des Rechnungslegungsprozesses im Einklang mit dem Jahresabschlussstehen und die Angaben des § 243a UGB zutreffen, wurden im § 274 Abs. 5 UGBneu geregelt. Ebenso wurde eine Rede- und Warnpflicht des Abschlussprüfers beider Feststellung von wesentlichen Schwächen der internen Kontrollen des Rech-nungslegungsprozesses in § 273 Abs. 2 UGB neu aufgenommen:

Gesetzliche Verpflichtungen zur Führung eines IKS, das den Anforderungen desUnternehmens entspricht, ergeben sich außerdem aus dem § 82 AktG und dem § 22GmbHG:

Zu den Aufgaben des Aufsichtsrats bzw. Prüfungsausschusses gehört die Überwa-chung der Wirksamkeit des internen Kontrollsystems, ggf. des internen Revisions-systems und des Risikomanagementsystems der Gesellschaft (vgl. § 92 Abs. 4a

S. 7 Nr. 2 AktG).12

12 Für ähnliche Regelungen in Bezug auf Unternehmen anderer Rechtsform vgl. beispielsweise §30g Abs. 4a GmbHG und § 24c Abs. 6 GenG.

„Der Bestätigungsvermerk hat auch eine Aussage darüber zu enthalten, ob derLagebericht oder der Konzernlagebericht nach dem Urteil des Abschlussprüfersmit dem Jahresabschluss oder mit dem Konzernabschluss in Einklang steht und obdie Angaben nach § 243a zutreffen.“ (§ 274 Abs. 5 UGB)

„Stellt der Abschlussprüfer bei Wahrnehmung seiner Aufgaben Tatsachen fest, dieden Bestand des geprüften Unternehmens oder Konzerns gefährden oder seineEntwicklung wesentlich beeinträchtigen können oder die schwerwiegende Ver-stöße der gesetzlichen Vertreter oder von Arbeitnehmern gegen Gesetz, Gesell-schaftsvertrag oder Satzung erkennen lassen, so hat er darüber unverzüglich zuberichten. Darüber hinaus hat er unverzüglich über wesentliche Schwächen bei derinternen Kontrolle des Rechnungslegungsprozesses zu berichten.“ (§ 273 Abs. 2

UGB)



http://www.esv.info/978%203%20503%2012632%203

Einführung

31

Neben den gesetzlichen Verpflichtungen ergeben sich für Unternehmen zusätzlichauch Regelungen zum IKS aus dem Österreichischen Corporate Governance

Kodex (ÖCGK).13

Ähnlich der Regelungen in Österreich wurden auch in der Schweiz gesetzliche

Änderungen in Bezug auf das IKS eingeführt. Mit dem Ziel die Corporate Gover-nance zu verbessern und die schweizerische Gesetzgebung an internationale Ent-wicklungen anzupassen, wurden verschiedene Änderungen des Gesellschaftsrechtssowie des Revisionsaufsichtsrecht eingeführt. Wie schon in Österreich war das Zielin der Schweiz eine Verbesserung der Transparenz und ein ausgewogenes Verhältniszwischen Führung und Kontrolle zu schaffen.14

„Der Vorstand hat dafür zu sorgen, dass ein Rechnungswesen und ein internesKontrollsystem geführt werden, die den Anforderungen des Unternehmens ent-sprechen.“ (§ 82 AktG)

„Die Geschäftsführer haben dafür zu sorgen, dass ein Rechnungswesen und eininternes Kontrollsystem geführt werden, die den Anforderungen des Unterneh-mens entsprechen.“ (§ 22 GmbHG)

„Darüber hinaus hat der Prüfungsausschuss die Wirksamkeit des unternehmens-weiten internen Kontrollsystems, gegebenenfalls des internen Revisionssystemsund des Risikomanagementsystems der Gesellschaft zu überwachen.“ (Regel 40,

ÖCGK 2009)

„Die Gesellschaft legt im Konzernlagebericht eine angemessene Analyse desGeschäftsverlaufes vor und beschreibt darin wesentliche finanzielle und nicht-finanzielle Risiken und Ungewissheiten, denen das Unternehmen ausgesetzt istsowie die wichtigsten Merkmale des internen Kontrollsystems und des Risikoma-nagementsystems im Hinblick auf den Rechnungslegungsprozess.“ (Regel 69,

ÖCGK 2009)

13 Österreichischer Arbeitskreis für Corporate Governance (Hrsg.): Österreichischer CorporateGovernance Kodex in der Fassung vom Jänner 2010. Abrufbar unter: www.corporate-gover-nance.at.

14 Vgl. Pfaff, Dieter: IKS-Leitfaden. Empfehlungen des veb.ch zum internen Kontrollsystem IKSund zu den Angaben über die Risikobeurteilung im Anhang. Zürich 2008. Abrufbar unter:www.veb.ch sowie Schweizerischer Bundesrat: Botschaft zur Änderung des Obligationen-rechts (Aktienrecht und Rechnungslegungsrecht sowie Anpassungen im Recht der Kollektiv-und der Kommanditgesellschaft, im GmbH-Recht, Genossenschafts-, Handelsregister- sowieFirmenrecht) vom 21. Dezember 2007, S. 1606-1607 (abrufbar unter: www.admin.ch) wonachdie Corporate Governance durch eine effiziente unternehmensinterne Kontrolle wirtschaftlicheFehlentwicklungen im volkswirtschaftlichen Interesse so weit wie möglich vermieden werdensollen.



http://www.esv.info/978%203%20503%2012632%203


32

Schweizerische Vorgaben

Ausgelöst durch die am 1. Januar 2008 in Kraft getretenen Änderungen des Obliga-tionenrechts (OR)15, müssen Unternehmen, unabhängig von ihrer Rechtsform, einIKS nachweisen, sofern sie der ordentlichen Revision unterliegen (vgl. Art. 728aAbs. 1 Ziff. 3 OR).

Unternehmen, die der ordentlichen Revision unterliegen, sind im OR wie folgtdefiniert:

15 Vgl. Bundesversammlung der Schweizerischen Eidgenossenschaft: Obligationenrecht (GmbH-Recht sowie Anpassungen im Aktien-, Genossenschafts-, Handelsregister- und Firmenrecht)(OR). Änderung vom 16. Dezember 2005. AS 2007, S. 4791-4850. Abrufbar unter:www.admin.ch.

„1) Folgende Gesellschaften müssen ihre Jahresrechnung und gegebenenfallsihre Konzernrechnung durch eine Revisionsstelle ordentlich prüfen lassen

1. Publikumsgesellschaften; als solche gelten Gesellschaften, die:

a. Beteiligungspapiere an einer Börse kotiert haben,

b. Anleihensobligationen ausstehend haben,

c. mindestens 20 Prozent der Aktiven oder des Umsatzes zur Kon-zernrechnung einer Gesellschaft nach Buchstabe a oder b beitra-gen;

2. Gesellschaften, die zwei der nachstehenden Größen in zwei aufein-ander folgenden Geschäftsjahren überschreiten:

a. Bilanzsumme von 10 Millionen Franken,

b. Umsatzerlös von 20 Millionen Franken,

c. 50 Vollzeitstellen im Jahresdurchschnitt;

3. Gesellschaften, die zur Erstellung einer Konzernrechnung verpflichtetsind.

2) Eine ordentliche Revision muss auch dann vorgenommen werden, wennAktionäre, die zusammen mindestens 10 Prozent des Aktienkapitals vertre-ten, dies verlangen.

3) Verlangt das Gesetz keine ordentliche Revision der Jahresrechnung, so kön-nen die Statuten vorsehen oder kann die Generalversammlung beschließen,dass die Jahresrechnung ordentlich geprüft wird.“ (Art. 727 OR)



http://www.esv.info/978%203%20503%2012632%203

Einführung

33

Neben der Überprüfung der Existenz eines IKS, hat die Revisionsstelle zu prüfen, obder Verwaltungsrat Maßnahmen zur Sicherstellung einer ordnungsgemässen

Buchführung und Rechnungslegung getroffen hat und ob diese Massnahmen ein-gehalten werden. Stellt die Revisionsstelle dabei fest, dass das IKS Mängel aufweist,so kompensiert sie diese durch eigene Prüfungshandlungen. Andererseits berück-sichtigt die Revisionsstelle das IKS bei der Festlegung des Umfangs ihrer Prüfungen.Über die Feststellungen hat sie der Generalversammlung summarisch und dem Ver-waltungsrat umfassend Bericht erstatten:

Darüber hinaus bestehen nach schweizerischem OR noch größenunabhängige Anga-

bepflichten zur Risikobeurteilung:

Der Gesetzgeber hat konkrete Hinweise unterlassen, wie die Ausgestaltung einesIKS, die Dokumentation und Anhangsangaben sowie die Existenzprüfung zu erfol-gen hat. Hinsichtlich des Art. 728a OR hat der Bundesrat präzisiert, dass das IKS imSinne dieses Artikels lediglich die Buchführung und Rechnungslegung betrifft. Ope-rative Prozesse und Compliance (Regeleinhaltung) sind – sofern keine Auswirkun-gen auf die Jahresrechnung bestehen – nicht betroffen.16

Die Revisionsstelle prüft nach Art. 728a Abs. 1 OR, ob

1. die Jahresrechnung und ggf. die Konzernrechnung den gesetzlichen Vor-schriften, den Statuten und dem gewählten Regelwerk entsprechen;

2. der Antrag des Verwaltungsrats an die Generalversammlung über die Ver-wendung des Bilanzgewinns den gesetzlichen Vorschriften und den Statutenentspricht;

3. ein IKS existiert („Existenzprüfung“).

Nach Art. 728a Abs. 2 OR berücksichtigt die Revisionsstelle bei der Durchfüh-rung und bei der Festlegung des Umfangs der Prüfung das IKS.

„Die Revisionsstelle erstattet dem Verwaltungsrat einen umfassenden Bericht mitFeststellungen über die Rechnungslegung, das interne Kontrollsystem sowie dieDurchführung und das Ergebnis der Revision.“ (Art. 728b Abs. 1 OR)

Nach Art. 663b Ziff. 12 OR müssen Unternehmen unabhängig von ihrer Größeund der Art der Revision Angaben über die Durchführung einer Risikobeurtei-

lung im Anhang machen.

16 Vgl. auch Treuhand-Kammer – Schweizerische Kammer der Wirtschaftsprüfer und Steuerex-perten: Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems vom17. Dezember 2007, Ziff. I, Buchst. c.



http://www.esv.info/978%203%20503%2012632%203


34

Bei Prüfung der Existenz eines IKS kann der Schweizer Prüfungsstandard „Prü-

fung der Existenz des internen Kontrollsystems (PS 890)17 eine Hilfestellungleisten. Demnach kann nach Auffassung der Treuhand-Kammer von der Existenzeines IKS insb. dann ausgegangen werden, wenn

– das IKS vorhanden und überprüfbar (d.h. dokumentiert) ist;– das IKS den Geschäftsrisiken und der Geschäftstätigkeit angepasst ist;– das IKS den zuständigen Mitarbeitenden bekannt ist;– das definierte IKS angewendet wird;– ein Kontrollbewusstsein im Unternehmen vorhanden ist.18

Das IKS ist nach Auffassung der Treuhandkammer derart zu dokumentieren,dass wesentliche Vorgänge nachvollzogen werden können. Auf Unternehmensebenemuss die Dokumentation darlegen,

– was der Verwaltungsrat mit dem IKS erreichen will;– wie die Unternehmensleitung das IKS umsetzt;– wie die Risiken einer wesentlichen falschen Angabe in der Buchführung und

Rechnungslegung eingeschätzt werden und– wie das IKS solche Risiken verhindern oder vermindern soll.19

Des Weiteren bezieht sich die Schweizer Treuhandkammer in ihrem Prüfungsstan-dard PS 890 bei der Ausgestaltung und des Umfangs eines IKS auf die Größe des

Unternehmens, die Komplexität der Geschäftstätigkeit und die Art der Finan-

zierung.

Für größere, insb. auch international tätige Unternehmen scheint unter diesenUmständen die Anwendung eines international anerkannten Rahmenwerks sinn-voll zu sein, um den gesetzlichen Anforderungen gerecht zu werden (z.B. COSO).Gerade für kleine und mittlere Unternehmen kann diese Gesetzesnovelle des Jahres2008 von großer Bedeutung sein und einen erheblichen Mehraufwand im Sinneeines erhöhten Dokumentationsaufwands bedeuten, da der Gesetzgeber in der Aus-gestaltung der Gesetzestexte auf eine Beschränkung hinsichtlich der Unternehmens-größe verzichtet hat.

17 Vgl. Treuhand-Kammer – Schweizerische Kammer der Wirtschaftsprüfer und Steuerexperten:Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems vom 17.Dezember 2007. Der Prüfungsstandard gilt für Prüfungen der Existenz des internen Kontroll-systems für Perioden, die am 1. Januar 2008 oder danach beginnen. Abrufbar unter: www.treu-hand-kammer.ch.

18 Vgl. Treuhand-Kammer – Schweizerische Kammer der Wirtschaftsprüfer und Steuerexperten:Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems vom 17.Dezember 2007, Ziff. VII, Buchst. a und b.

19 Vgl. Treuhand-Kammer – Schweizerische Kammer der Wirtschaftsprüfer und Steuerexperten:Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems vom 17.Dezember 2007, Ziff. VII, Buchst. c.



http://www.esv.info/978%203%20503%2012632%203

Einführung

35

Die Treuhandkammer fasst zusammen, dass i.S.d. schweizerischen Gesetzes (Art.716a Abs. 1 Ziff. 3 i.V.m. Art. 662a sowie Art. 957ff. OR) der Verwaltungsrat für dieAusgestaltung, Implementierung und Aufrechterhaltung eines geeigneten und

angemessenen IKS verantwortlich ist. Nach Art. 728a Abs. 1 Ziff. 3 OR bestätigtdie Revisionsstelle einmal jährlich die Existenz dieses vom Verwaltungsrat definier-ten IKS. Die Revisionsstelle wird die Existenz i.S.v. Art. 728a Abs. 1 Ziff. 3 ORgegenüber der Generalversammlung positiv bestätigen können, sofern das vom Ver-waltungsrat definierte IKS den minimalen Anforderungen aufgrund der Größe,Komplexität und dem Risikoprofil des Unternehmens entspricht. Voraussetzung die-ser Existenzbestätigung ist jedoch, dass das vom Verwaltungsrat definierte IKSschriftlich dokumentiert ist und im Tagesgeschäft des Unternehmens angewendetwird. Die Dokumentation der Ausgestaltung und die Umsetzung des IKS sind vonder Revisionsstelle im Rahmen der Jahresabschlussprüfung zu prüfen („Implemen-tierung“ und „Aufbau“). Nicht Bestandteil der „Existenzprüfung“ des IKS nach Art.728a Abs. 1 Ziff. 3 OR ist hingegen die Prüfung des dauerhaften und mängelfreienFunktionierens des IKS („Funktionsprüfung“).20

1.3 Nationale Anforderungen an ein IKS

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG21)von 1998 auf nationaler Ebene sowie der Sarbanes-Oxley Act von 2002 (insb. Sec-tion 404) auf internationaler Ebene sind nur zwei wichtige Beispiele einer Reihe vonneuen Vorschriften mit Relevanz für ein IKS. Jedoch ergab sich bereits vor Einfüh-rung des KonTraG eine in der Praxis weitestgehend verkannte Verpflichtung dergesetzlichen Vertreter von Kapitalgesellschaften zur Einführung eines wirksamenund funktionsfähigen IKS, die zudem nicht auf die Inanspruchnahme eines geregel-ten Marktes durch das Unternehmen beschränkt ist.22

20 Treuhand-Kammer – Schweizerische Kammer der Wirtschaftsprüfer und Steuerexperten:Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems vom 17.Dezember 2007, Ziff. I, Buchst. c. Die Treuhandkammer betont, dass das Parlament durch dasStreichen des Wortes „funktionierend“ bewusst von einer Wirksamkeits- und Funktionsprü-fung abgesehen hat.

21 Vgl. Bundesministerium der Justiz (BMJ): Entwurf eines Gesetzes zur Kontrolle und Transpa-renz im Unternehmensbereich (KonTraG) vom 28.01.1998. In: BT-Drucks. 13 / 9712.

22 Vgl. zur nachfolgenden Argumentation ausführlich z.B. Schoberth, Joerg et al.: Anforderungenan die Gestaltung von Internen Kontrollsystemen. In: Der Betriebs-Berater 2006, S. 2571-2577sowie Schoberth, Joerg und Oliver Bungartz: Zusammenarbeit zwischen Interner Revision undWirtschaftsprüfung. Lektion 4 des schriftlichen Management-Lehrgangs in 12 Lektionen„Interne Revision“. Hrsg. Euroforum Verlag. 2. Aufl. Düsseldorf 2008.



http://www.esv.info/978%203%20503%2012632%203


36

Leitungsaufgabe und Sorgfaltspflicht der Unternehmensleitung

Die Geschäftsleitung eines nicht börsennotierten Unternehmens ist verpflichtet,durch organisatorische Sicherungsmaßnahmen und entsprechende Kontrollmecha-nismen einen geregelten Arbeitsablauf im Unternehmen zu gewährleisten, um Fehl-entwicklungen zeitnah festzustellen und geeignete Gegenmaßnahmen ergreifen zukönnen. Nur so ist es der Unternehmensleitung möglich, sicherzustellen, dass sie dieRisiken ihres unternehmerischen Handelns stets erkennen kann. Diese Verpflichtungist Ausprägung der allgemeinen GmbH-Geschäftsführerpflichten nach § 43Abs. 1 GmbHG, die sich mit dem Sorgfaltsmaßstab in § 93 Abs. 1 S. 1 AktG decken.

Auch aus Sichtweise der Wirtschaftsprüfung liegt die Verantwortung für die Ausge-staltung, d.h. die Konzeption, Implementierung, Überwachung, laufende Anpassungund Weiterentwicklung eines angemessenen und wirksamen IKS ausschließlich beider Unternehmensleitung. Die durch das KonTraG eingeführte Regelung des § 91Abs. 2 AktG hingegen, die vom Vorstand einer Aktiengesellschaft explizit fordert„geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzu-richten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früherkannt werden“, ist letztlich als eine gesetzliche Hervorhebung der allgemeinen

Leitungsaufgabe des Vorstandes nach § 76 AktG zu verstehen, mit der kein neuerPflichtenkreis für Vorstandsmitglieder geschaffen wurde, sondern lediglich diebereits bestehenden Kontroll- und Überwachungspflichten des Geschäftsleiters einerKapitalgesellschaft aufgrund seiner Organstellung konkretisiert wurden.

§ 91 Abs. 2 AktG ist hierbei auf GmbH-Geschäftsführer mittlerer und großerGmbHs weit gehend der gesetzgeberischen Intention entsprechend anzuwenden(sog. Ausstrahlungswirkung). Der Gesetzgeber hat zwar keine (materielle) Ver-schärfung der Haftung der Organmitglieder angestrebt; dennoch ist Vorständen einesUnternehmens aufgrund der Hervorhebung in § 91 Abs. 2 AktG zu empfehlen, dasbestehende IKS nochmals dahingehend zu überprüfen, ob die Kontroll- und Siche-rungssysteme dem notwendigen Standard entsprechen und dies auch eingehend zudokumentieren. Auch wenn mit der Konkretisierung in § 91 Abs. 2 AktG keinematerielle Haftungsverschärfung einhergegangen ist, lassen sich zukünftig Sorgfalts-pflichtverletzungen aufgrund dieser Konkretisierung mit Einführung des KonTraGleichter begründen. Dies kann aus praktischer Sicht dann doch zu einer verschärftenHaftung der Geschäftsleiter führen.



http://www.esv.info/978%203%20503%2012632%203

Einführung

37

Dokumentationspflichten der Unternehmensleitung

Eine Verpflichtung zur Dokumentation des IKS kann im Zusammenhang mit denRegelungen der Prüfung von Jahresabschlüssen durch Wirtschaftsprüfer hergeleitetwerden. Demnach erstreckt sich der Umfang der Prüfung des Jahresabschlusses nach§ 317 Abs. 1 S. 1 HGB durch den Abschlussprüfer auch auf das IKS. Hierzu hat derAbschlussprüfer im Rahmen der Prüfung des IKS (vgl. IDW PS 261) und vor demHintergrund des IDW PS 300 (Prüfungsnachweise im Rahmen der Abschlussprü-fung) zur Beurteilung des rechnungslegungsbezogenen IKS, Prüfungshandlungenzur Risikobeurteilung (inkl. Aufbauprüfung) und Wirksamkeit (Funktionsprüfung)des auf die Rechnungslegung bezogenen IKS durchzuführen.

Der Abschlussprüfer muss nach den IDW Standards überprüfen, ob die Buchfüh-rung als Teil des IKS den gesetzlichen Anforderungen entspricht und das IKS wäh-rend des zu prüfenden Geschäftsjahrs kontinuierlich bestanden hat. Die dafür not-wendigen Informationen und Unterlagen müssen dem Abschlussprüfer zur Verfü-gung gestellt werden, damit dieser seinem Prüfungsauftrag gerecht werden kann.Ohne eine entsprechende Dokumentation ist dies nur schwer feststellbar.23

Aus der Dokumentation sollten das generelle Vorgehen, Maßnahmen zur Risikoiden-tifikation, Risikomessung, Risikosteuerung, allgemeine Risikorichtlinien, festge-legte Verantwortlichkeiten sowie Schulungsmaßnahmen hervorgehen. Die Pflichtzur Verfügungsstellung dieser Unterlagen, und damit auch die Verantwortung fürderen Erstellung obliegen dem Geschäftsführer, der für die ordnungsgemäße Buch-führung der Gesellschaft zu sorgen hat. Dieser kann einzelne Aufgabenbereichezwar delegieren und zur Erfüllung seiner Pflichten Dritte einschalten; seine Verant-wortlichkeit bleibt hiervon jedoch letztlich unberührt.

Pflichtverletzung und Haftung der Unternehmensleitung

Der gesetzliche Vertreter haftet der Gesellschaft nach § 93 Abs. 2 AktG bzw. § 43Abs. 2 GmbHG für den dadurch eingetretenen Schaden (d.h. für jeden vermögens-werten Nachteil der Gesellschaft, der bei pflichtgemäßem Verhalten der Geschäfts-führung nicht eingetreten wäre), wenn er seine Sorgfaltspflichten in Bezug auf dieangemessene Ausgestaltung eines IKS verletzt. Die Gesellschaft muss lediglich denEintritt und die Höhe des Schadens, die Handlung des Vorstands bzw. des Geschäfts-führers im Sinne eines pflichtwidrigen Unterlassens zur Einrichtung eines angemes-

23 Vgl. z.B. aber auch die Entscheidung des Landgerichts München (LG München I vom5.4.2007, 5 HK O 15964/06): Nach der Urteilsbegründung „gehört auch die Dokumentation desFrüherkennungssystems zu den zentralen Aufgaben des Vorstandes im Anwendungsbereichvon § 91 Abs. 2 AktG und der in dieser Vorschrift zum Ausdruck kommenden Bestandsverant-wortung.“



http://www.esv.info/978%203%20503%2012632%203


38

senen IKS und die adäquate Kausalität zwischen Handlung und Schaden darlegenund ggf. beweisen. Ist die Gesellschaft ihrer Darlegungs- und gegebenenfallsBeweispflicht nachgekommen, obliegt es dem beklagten gesetzlichen Vertreter dar-zulegen und gegebenenfalls zu beweisen, dass er nicht pflichtwidrig und / oderschuldhaft gehandelt hat oder dass der Schaden auch bei pflichtgemäßem Verhalteneingetreten wäre. Dem gesetzlichen Vertreter obliegt somit im Rahmen der Anwen-dung des § 93 Abs. 2 S. 2 AktG nicht nur die Beweislast für fehlendes Verschulden,sondern auch für fehlende Pflichtwidrigkeit.

Ist aufgrund der Art des Schadens zudem anzunehmen, dass dieser vermutlich aufein Unterlassen des gesetzlichen Vertreters zurückzuführen ist, wird die Gesell-schaft von der Darlegung der Kausalität befreit (d.h. den gesetzlichen Vertreter trifftzusätzlich auch die Kausalitätsvermutung). Zur Abwendung einer Haftung muss dergesetzliche Vertreter neben der oben dargelegten Beweislast in diesem Fall zusätz-lich die vermutete Kausalität zwischen Handlung und Schadenseintritt widerlegen.Diese Kausalitätsvermutung greift zusätzlich auch, wenn der Gesellschaft aufgrundunzureichend geführter Bücher der Nachweis der Kausalität erschwert oder unmög-lich gemacht wird. Die schriftliche Niederlegung aller wesentlichen Geschäftsvor-gänge und nicht nur der rechnungslegungsbezogenen Sachverhalte ist daher in derPraxis nicht nur üblich, sondern auch im Interesse des Geschäftsführers dringendanzuraten.

Die Untersuchung der Mindestanforderungen und Rechtsfolgen in Deutschland zeigtauf, dass die angemessene Ausgestaltung eines IKS zur Leitungsaufgabe und

gesetzlichen Sorgfaltspflicht der gesetzlichen Vertreter gehört. Diese Ausgestaltungumfasst auch zwingend die Dokumentation, also die schriftliche Niederlegung allerwesentlichen Geschäftsprozesse. In den Fällen, in denen das Absehen von derschriftlichen Dokumentation nicht bereits für sich als Sorgfaltspflichtverletzung ein-gestuft wird, wird dem gesetzlichen Vertreter sonst eine Haftungsbefreiung aufgrundder Kausalitätsvermutung erschwert.

Nicht zuletzt sollte es aber im Interesse eines jeden ordentlichen und gewissenhaf-

ten Kaufmanns (vgl. beispielsweise § 90 Abs. 1 S. 1 AktG und § 43 Abs. 1GmbHG) liegen, sein Unternehmen durch ein funktionsfähiges und auf die unterneh-mensspezifischen Bedürfnisse zugeschnittenes IKS basierend auf einem anerkanntenRahmenwerk zu schützen. Bei genauer Betrachtung sind in jedem UnternehmenKontrollmechanismen zu finden, die – vielleicht nicht immer formalisiert, dokumen-tiert und auf Funktionalität getestet – aber schon immer Bestandteil der Unterneh-mensprozesse waren und es auch in Zukunft sein werden.



http://www.esv.info/978%203%20503%2012632%203

www.ESV.info erich schmidt verl ag

ESES

Vertrauen ist gut – Kontrolle ist besser

^ Korruption, Betrug und Datenskandale zeigen es immer wieder: Ein Internes Kontrollsystem (IKS) ist für den Erfolg von Unternehmen dringlicher denn je. Nur so gelingt es Ihnen, wirtschaftlichen Schaden vom Unternehmen abzuwenden, Vorgaben effizient zu erfüllen und die Außendarstellung zu verbessern.

Oliver Bungartz zeigt Ihnen, wie Sie Schritt für Schritt ein IKS erfolgreich aufbauen und zielgerichtet einsetzen. Know-how aus der Praxis für die Praxis mit

• einemaktuellenÜberblickübernationale und inter nationale Vorgaben,

• allenZielkategorienundKomponenten nach dem COSO-Rahmenmodell,

• umfangreichenFragebögenundKontrollmatrizen zur Identifikation zentraler Risiken,

• mehrals700BeispielenzuRisiko-Kontroll- Kombinationen,

• über200Fraud-Indikatorenund170Kennzahlen fürdieSteuerungundÜberwachungwichtiger Unternehmensprozesse.

Diese Neuauflage enthält auch Anforderungen für Compliance Management Systeme (CMS) und deren Integration in das ERM-FrameworksowierechtlicheGrundlagenfürÖsterreich und die Schweiz.

Ein Leitfaden und Nachschlagewerk, um Risiken im Unter- nehmen aufzudecken und zu vermeiden!

SteuerungundÜberwachung von Unternehmen

Handbuch Interne Kontrollsysteme (IKS)

Han

dbu

ch In

tern

e K

ontr

olls

yste

me

(IK

S)B

un

gart

z

Oliver Bungartz

€(D)

74,959 783503 126323

2.,neubearbeiteteunderweiterteAuflage

2.Aufl.


http://www.esv.info/978%203%20503%2012632%203

Documents

Handbuch Interne Kontrollsysteme (IKS) · • über 200 Fraud-Indikatoren und 170 Kennzahlen für die Steuerung und Überwachung wichtiger Unternehmensprozesse. Diese Neuauflage enthält