Risikomanagement und Interne Kontrolle für AufsichtsräteHerausforderungen und praxisgerechte Lösungen

www.pwc.at/aufsichtsrat

Aus der Serie „Tool-Box für Aufsichtsräte“

Vorwort

Die kontinuierliche Überwachung der Unternehmensführung und eine periodische Evaluierung des Risikomanagements und Inter-nen Kontrollsystems gehören zu den strategischen Aufgaben des Aufsichtsrates. Nur so können Wirksamkeit und Nachhaltigkeit guter Corporate Governance und eine adäquate Anpassung an das sich dynamisch ändernde Umfeld des Unternehmens sicherge-stellt werden.

Das Unternehmensrechts-Änderungsgesetz (URÄG 2008) hat diese Aufgaben konkretisiert, insbesondere für Unternehmen, die einen Prüfungsausschuss einzurichten haben. Aber auch in Unternehmen ohne Prüfungsausschuss ist diese Überwachungs-funktion des Aufsichtsrates eine wichtige Kernaufgabe.

Der Aufsichtsrat sollte sich dabei als Coach und Impulsgeber für die Unternehmensleitung verstehen und deren Maßnahmen und Informationen kritisch hinterfragen.

4 PwC

Diese Broschüre wendet sich an Aufsichtsrats- und Prüfungsaus-schussmitglieder kapitalmarktorientierter und anderer großer Unternehmen. Sie beleuchtet die aktuellen Herausforderungen in einem turbulenten Wirtschaftsumfeld und zeigt praxisgerechte Lösungen auf.

Viel Erfolg beim Meistern dieser Herausforderungen wünscht Ihnen

Werner KrummPartnerLeiter Wirtschaftsprüfung PwC Österreich

5PwC

6 PwC

7PwC

Inhalt

Einführung 9

Aufgaben des Aufsichtsrates im Hinblick auf RMS und IKS 10

Praktische Empfehlungen für die Überwachung durch den Aufsichtsrat 12

Kritisches Hinterfragen des RMS und IKS durch den Aufsichtsrat 16

Fragenkatalog 17

Fazit 21

Ansprechpartner 22

Publikationen aus der Serie „Tool-Box für Aufsichtsräte“ 23

8 PwC

9PwC

Einführung

Auch bedingt durch das Unternehmensrechts-Änderungsgesetz (URÄG 2008) haben viele Unternehmen verstärkt begonnen, ihr Risikomanagementsystem (RMS) und ihr Internes Kontrollsystem (IKS) weiter auszugestalten und zu dokumentieren.

Aktuelle Herausforderungen wie Digitalisierung, Big Data, demographische und soziale Veränderungen sowie zunehmende Regulierung erfordern eine laufende effiziente Anpassung der Unternehmensabläufe. Die Anforderungen an verlässliche Risiko-einschätzungen und Führungsinformationen steigen. Darüber hinaus ist die Zunahme doloser Handlungen – wie Unterschla-gung und wissentliche Manipulation der Finanzberichterstat-tung – oftmals eine Begleiterscheinung in einem komplexen und unsicher werdenden Umfeld. Zahlreiche aktuelle Fälle bestätigen dies. Dem muss nun mehr denn je vorgebeugt werden.

Daher sollten das RMS und das IKS des Unternehmens verstärkt im Fokus der Aufsichtsräte stehen. Die Aufsichtsräte müssen die strategischen Weichen für eine unternehmensgerechte Weiterent-wicklung und Nachhaltigkeit dieser Systeme anstoßen.

10 PwC

Aufgaben des Aufsichtsrates im Hinblick auf RMS und IKS

Obwohl die tatsächliche Gestaltung und Umsetzung des RMS und IKS Aufgabe der Unternehmensleitung sind, ergeben sich auch in diesem Bereich Kernaufgaben für den Aufsichtsrat. Die Vorgaben und Rahmenbedingungen für einen effektiven Aufbau und ein effizientes Funktionieren der Systeme und Prozesse sind durch den Aufsichtsrat zu initiieren. Die effektive Umsetzung durch die Geschäftsleitung muss begleitend überwacht werden.

Bestimmung eines angemessenen Ansatzes für RMS und IKS:• Konzeption von Rahmenbedingungen (in der Praxis häufig in

Anlehnung an das COSO-Rahmenwerk). Das 1992 von COSO herausgegebene Rahmenwerk für IKS wurde mit Unterstützung von PwC überarbeitet und 2013 veröffentlicht. Dabei werden für das neu gefasstes COSO-Rahmenwerk die jüngsten Entwick-lungen in Märkten und Organisation angemessen berücksichtigt. Es stellt die bisherigen Konzepte klarer dar und betont stärker die Zielkategorien „Operations“ und „Compliance“. Die Zielkategorie „Finanzberichterstattung“ heißt nur mehr „Berichterstattung“ und verdeutlicht daher, dass in der Berichterstattung auch Nicht-Finan-zielle Ziele und Themen wesentlich geworden sind. COSO ERM ergänzt das Rahmenwerk für IKS hinsichtlich unternehmensweites Risikomanagement (Enterprise Risk Management).

11PwC

• Vorgabe von Richtlinien für eine praxisgerechte Ausgestal-tung der einzelnen Komponenten des Rahmenwerks (im Wesentlichen Zielfestlegung, Ereignisidentifikation, Risikobe-urteilung, Risikosteuerung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung).

Entwicklung der Zielsetzung: Konzeption eines RMS und IKS, die der Struktur, der Organisation und den Geschäftsak-tivitäten des Unternehmens angepasst sind. Wichtig ist, dass sich dies zwischen den Polen einer minimalen Erfüllung der gesetzlichen Bestimmungen und eines voll integrierten unter-nehmensweiten RMS und IKS bewegt. Die Zielsetzung sollte auch Aussagen zum angestrebten Sollzustand und Reifegrad des RMS und IKS vorgeben.

Überwachung: Kontinuierliche Überwachung der Unterneh-mensleitung und regelmäßige Evaluierung des RMS und IKS mit folgenden Zielen:• Compliance mit den relevanten internen und externen Vorga-

ben und Regelungen,• ständige Optimierung entsprechend den strategischen Ziel-

setzungen des Unternehmens.

12 PwC

In der Praxis ergeben sich daraus zahlreiche komplexe Herausfor-derungen für den Aufsichtsrat, um diesen Aufgaben gerecht zu werden. Diese betreffen im Wesentlichen:• Nachhaltigkeit des implementierten RMS und IKS und deren

Anpassung an das sich ständig ändernde Unternehmensumfeld.• Notwendigkeit, sich angesichts eingeschränkter finanzieller

Mittel, insbesondere aber auch begrenzter Ressourcen auf das Wesentliche zu fokussieren.

• Abhängigkeit von Informationen, die durch die Geschäftslei-tung vorbereitet und dem Aufsichtsrat zur Verfügung gestellt werden.

Praktische Empfehlungen für die Überwachung durch den Aufsichtsrat

Die Komplexität dieser Herausforderungen erfordert, dass die Aufgaben des Aufsichtsrates im Hinblick auf das RMS und IKS sachkundig wahrgenommen werden.

Bei kapitalmarktorientierten und „sehr großen“ Kapitalgesell-schaften liegt diese Verantwortung bei dem verpflichtend einzu-richtenden Prüfungsausschuss. Spezielle Aufgaben der Mitglieder des Prüfungsausschusses:

13PwC

• Kritisches Hinterfragen der Aktivitäten der Geschäftsleitung.• Begleitung der Geschäftsleitung als Coach bei der kontinuier-

lichen Weiterentwicklung von RMS und IKS entsprechend den strategischen Vorgaben.

Sofern kein Prüfungsausschuss eingerichtet ist, kann der Gesamt-Aufsichtsrat – unter Umständen gemeinsam mit einer dafür einge-setzten Arbeitsgruppe – diese Verantwortung wahrnehmen.Weiters sollten Aufsichtsrat oder Prüfungsausschuss mehrere oder alle der folgenden Maßnahmen ergreifen und vorgeben:

Formale, periodische BerichterstattungFür eine wirksame Überwachung ist eine periodische Bericht-erstattung durch die Geschäftsleitung an den Aufsichtsrat unerlässlich. Je nach den spezifischen Rahmenbedingungen des Unternehmens kann diese Berichterstattung einige wenige Leistungskennzahlen (KPIs) umfassen oder aus einem voll integ-rierten, automatisierten Überwachungssystem bestehen. Anforderungen an die Berichterstattung:• Regelmäßiger Soll-Ist-Vergleich.• Aktueller Maßnahmenkatalog, wie und bis wann die Lücken

zum Sollzustand geschlossen werden.

14 PwC

Self-AssessmentDie einzelnen Unternehmensbereiche sollten regelmäßig selbst die Verlässlichkeit und den Reifegrad der jeweils für sie relevanten Teil-bereiche des RMS und IKS einschätzen. Dabei müssen auch poten-zielle Schwierigkeiten mit (IT-)Systemen und Prozessen erhoben und beurteilt sowie Vorschläge für eine effizientere Ausgestaltung des RMS und IKS entwickelt werden. Besonderes Augenmerk sollte dabei auf die für das Unternehmen kritischen operativen Bereiche gelegt werden.

Unternehmensinterne Überprüfung und Austausch von „Best Practices“Periodische, unabhängige Überprüfungen von RMS und IKS durch eine spezifische Funktion des Unternehmens, insbesondere durch die Interne Revision, lassen Rückschlüsse auf die Effekti-vität, Nachhaltigkeit und den Reifegrad des gelebten RMS und IKS zu. Die daraus gewonnenen Erfahrungen können als Best Practices für weitere Unternehmensteile genutzt werden. Die aufgedeckten Schwächen oder Lücken sind durch Nachverfolgung der vereinbarten Maßnahmen zeitnah zu beheben.

Nutzung der Ergebnisse der AbschlussprüfungWesentliche Schwächen im IKS fallen unter die Redepflicht des Abschlussprüfers. Geschäftsleitung und Aufsichtsrat werden

15PwC

darüber unverzüglich unterrichtet. Darüber hinaus empfehlen wir, den Abschlussprüfer zu seiner Einschätzung des RMS und IKS und zu Verbesserungsvorschlägen zu befragen, selbst wenn keine wesentlichen Schwächen festgestellt wurden.

Der Abschlussprüfer bietet sich daher als unabhängiger An-sprechpartner für den Aufsichtsrat in allen Fragen rund um RMS und IKS an. Allerdings gilt die Einschränkung, dass der Fokus der Abschlussprüfung auf jenen für die Finanzbericht-erstattung relevanten Risiken und internen Kontrollen liegt, deren Beurteilung für die Erlangung eines Prüfungsurteils notwendig ist. Risiken und interne Kontrollen hinsichtlich stra-tegischer, operationeller und Compliance-bezogener Ziele sind nicht das Hauptaugenmerk einer Abschlussprüfung. Da der Ab-schlussprüfer aber häufig fundiertes Prozess- und Risikowissen über die Finanzberichterstattung hinaus besitzt, kann er über gesonderte Aufträge in den genannten Bereichen wertvolle Analysen durchführen.

Spezifische Evaluierung durch unabhängige ExpertenWeiters kann der Aufsichtsrat auch gezielt Aufträge an unab-hängige Experten vergeben, um spezifische Evaluierungen des Gesamtsystems oder spezifischer Elemente von RMS und IKS einzelner Unternehmensbereiche durchführen und Verbes-

16 PwC

serungsvorschläge entwickeln zu lassen. Der Österreichische Corporate Governance-Kodex verlangt sogar diese Evaluierung durch den Abschlussprüfer. Wir empfehlen ein proaktives Verge-ben solcher Evaluierungen, ehe das Eintreten negativer Vorfälle diese nötig werden lassen. Oftmals beobachten wir in der Praxis ein eher reaktives Verhalten, nachdem es in Unternehmensabläu-fen zu erheblichen Problemen (z.B. wesentlichen Fehlern in der Finanzberichterstattung, Forderungsverlusten, Betrug) gekom-men ist.

Kritisches Hinterfragen von RMS und IKS durch den Aufsichtsrat

Um die Unternehmensleitung angemessen als Coach begleiten und überwachen zu können, sollte der Aufsichtsrat stets die Einschätzung des RMS und IKS seitens der Unternehmensleitung kritisch hinterfragen. Gleiches gilt für sämtliche Informationen, die ihm von der Unternehmensleitung darüber präsentiert wer-den. In bestimmten Situationen – insbesondere dann, wenn sich der Aufsichtsrat sonst kein umfassendes Bild verschaffen kann – ist auch die direkte Befragung bestimmter Mitarbeiter in Stabs-funktionen (z.B. aus den Bereichen Finanzwesen, Compliance,

17PwC

Interne Revision Recht, Steuern oder IT) oder aus der Linie (z.B. Leiter Produktion, Einkauf oder Verkauf wesentlicher Tochterge-sellschaften) möglich.

Der folgende Fragenkatalog soll dem Aufsichtsrat für diese anspruchsvolle Aufgabe Anregungen geben. Selbstverständlich können diese Fragen auch für die Diskussion des Aufsichtsrats mit der Internen Revision und dem Abschlussprüfer herangezogen werden. Sie können gleichzeitig auch dazu dienen, sich auf allfäl-lige Fragen der Gesellschafter an den Aufsichtsrat vorzubereiten.

Fragenkatalog

Fragen zu RMS und IKS• Wie ist die Einstellung und Verpflichtung der Unternehmens-

leitung für ein angemessenes RMS und IKS?

• Wie erfolgt im Unternehmen die Kommunikation (top-down und bottom-up) zum Thema RMS und IKS?

• Welche allgemeinen Vorgaben (z.B. Code of Conduct) gibt es und wie lebt die Unternehmensleitung die Einhaltung von Abläufen und Kontrollen vor?

18 PwC

• Bin ich ausreichend über Ausgestaltung, Implementierung und Wirksamkeit des RMS und IKS informiert?

• Wer ist im Unternehmen verantwortlich für das RMS, für Com-pliance, für die Umsetzung der Maßnahmen, für das IKS und für die Überwachung (z.B. Interne Revision)?

• Gibt es ein RMS und IKS und wie sind diese organisiert? Gibt es einen Regelkreis mit dem Ziel einer kontinuierlichen Optimie-rung und regelmäßigen Berichtserstattung?

• Wurde eine umfassende Risikoanalyse und -bewertung für das Gesamtunternehmen durchgeführt beziehungsweise aktualisiert?

• Werden durch das RMS alle Risikokategorien (strategische und operative Ziele, Ziele hinsichtlich der Finanzberichterstattung sowie Compliance-Ziele) abgedeckt?

• Wurden aus der Risikobeurteilung angemessene Maßnahmen zur Risikobewältigung, gegebenenfalls auch eine Anpassung des Internen Kontrollsystems, abgeleitet?

• Kennen Sie den aktuellen Status der Umsetzung dieser Maß-nahmen?

19PwC

• Wie wird sichergestellt, dass alle wesentlichen Risiken erfasst und berichtet werden, nicht aber jedes Fehlerrisiko in den Prozessen?

• Wie spielen IKS und RMS zusammen, sodass für wesentliche, risikobehaftete Bereiche, die auch über die Rechnungslegung hinausgehen, Kontrollen im IKS vorgesehen sind?

• Wie werden ablauf- und aufbauorganisatorische Anforderun-gen sowie die entsprechenden Kontrollen (z.B. die Trennung kritischer Funktionen und Tätigkeiten) in den wesentlichen IT-Systemen umgesetzt?

• Wie werden die unternehmensspezifischen Kontrollanforde-rungen bei ausgelagerten betrieblichen Funktionen (z.B. IT-Betrieb, Logistik) sichergestellt?

• Welche Prioritäten sieht die Unternehmensleitung hinsichtlich der kontinuierlichen Verbesserung des RMS und IKS in den Folgeperioden?

• Wird die Automatisierung der Prozesse auch in Form automa-tischer Kontrollen gemacht?

20 PwC

• Welche weitergehende Automatisierung der Abläufe und Kon-trollen bietet sich an, beziehungsweise welche Effizienzgewinne in diesen Bereichen strebt die Unternehmensleitung an?

• Wie wurde sichergestellt, dass das Gesamtsystem effektiv ist und die eingeführten Kontrollen wirksam sind?

• Hat die Unternehmensleitung die Ergebnisse der Internen Revision und des Abschlussprüfers – sowie gegebenenfalls unabhängiger Spezialisten – mit diesen diskutiert und eventuell festgestellte Schwächen im RMS und IKS und diesbezügliche Verbesserungs-vorschläge in ihrem Maßnahmenkatalog berücksichtigt?

• Wie schätzt die Unternehmensleitung das Kontrollbewusstsein der Mitarbeiter ein?

• Reichen die vorhandenen Kontrollen, um eventuelle dolose Handlungen wie Unterschlagung und Manipulation der Finanz-berichterstattung von Mitarbeitern zu verhindern? Oder zumindest zeitnah aufzudecken?

Fragen eines jeden Aufsichtsrates an sich selbst• Kann ich mich auf das RMS und IKS des Unternehmens und

auf die darauf basierenden Informationen der Unternehmens-leitung verlassen?

21PwC

• Sind die erhaltenen Informationen konsistent mit meinem sonstigen Wissen über das Unternehmen, das Umfeld und die Branche?

• Wäre ich überrascht, morgen von einem Betrugsfall im Unter-nehmen informiert zu werden?

• Bin ich mir bewusst, was ich alles nicht weiß, aber eventuell wissen sollte, um die Verlässlichkeit und Qualität des RMS und IKS beurteilen zu können?

• Was würde ich auf diesbezügliche Fragen der Gesellschafter antworten können?

Fazit

Das Thema RMS und IKS wird den Aufsichtsrat dauerhaft beglei-ten, ihn aber auch in seiner Überwachungsfunktion unterstützen. Im Sinne guter Corporate Governance sowie einer angestrebten Business Excellence besteht die Aufgabe des Aufsichtsrates darin, als Coach und Impulsgeber der Unternehmensleitung zu agieren. Das RMS und das IKS müssen nachhaltig an das sich permanent ändernde Unternehmensumfeld angepasst sein. Angemessene Optimierungspotenziale müssen realisiert werden.

22 PwC

Ansprechpartner

WP Dr. Aslan MillaSenior PartnerTel.: +43 1 501 88-1700aslan.milla@at.pwc.com

Dipl.-Ing. Jörg BuschPartnerTel.: +43 1 501 88-1105joerg.busch@at.pwc.com

Mag. Markus RamoserSenior Manager, IKS und RMS-ExperteTel.: +43 1 501 88-2129markus.ramoser@at.pwc.com

PwC Österreich GmbH WirtschaftsprüfungsgesellschaftErdbergstraße 200, 1030 Wienwww.pwc.at

23PwC

Publikationen aus der Serie „Tool-Box für Aufsichtsräte“

Aufsichtsrat von A bis ZDas Nachschlagewerk für den besseren ÜberblickPraktisches Nachschlagewerk mit den wichtigsten Themen der Aufsichtsratsmitglieder.

Der Aufsichtsrat im KonzernHerausforderungen und PflichtenWorauf muss der Aufsichtsrat achten, wenn er eine Konzernsicht wahrnehmen muss? Welche Aufgaben kommen auf ihn zu?

Der PrüfungsausschussPraxisleitfaden zur effizienten Überwachung Rahmenbedingungen für die Bildung eines Prüfungsausschusses und deren Tätigkeit sowie Darstellung von Best Practices.

Die innere Ordnung des AufsichtsratesRechte und PflichtenÜberblick über Rechte und Pflichten der Aufsichtsratsmitglieder. Relevante Bestimmungen zu Ausschüssen, Sitzungen, Beschlüssen und Niederschriften.

24 PwC

Fragen des Aufsichtsrates an den AbschlussprüferAnregungen und HerausforderungenAnregungen für den Aufsichtsrat, um das nachhaltige Verständnis des Abschlussprüfers für die Geschäftstätigkeit des Unternehmens und sein Umfeld zu überprüfen.

IFRS für AufsichtsräteÜberblick und Leitfaden für die ÜberwachungGrundlegender Überblick zu einzelnen wesentlichen Bilanzie-rungsfragen rund um die immer wichtiger werdende IFRS- Berichterstattung.

Interne Revision Überwachung und Nutzen für AufsichtsorganeAufgaben und Verantwortlichkeiten des Aufsichtsrates in der Internen Revision sowie Abhandlungen zu den wichtigsten Fragen der Informationsbeschaffung.

M&A für AufsichtsräteEin Leitfaden für die PraxisWesentliche Fragestellungen, Aufgaben, Pflichten und Haftung des Aufsichtsrates bei einer M&A-Transaktion.

25PwC

Nachhaltigkeit und UnternehmensverantwortungGemeinsame Pflichten und neue HerausforderungenAls Kontrollorgan kommt hierbei gerade dem Aufsichtsrat eine besondere Bedeutung zu.

Steuern für Aufsichtsräte Ein kompakter LeitfadenDurch die zunehmende Komplexität und Geschwindigkeit der Steuergesetzgebung wird es auch für Aufsichtsräte immer wich-tiger einen Überblick über den aktuellen Stand des Steuerrechts zu haben.

Sie können alle Broschüren aus der Serie „Tool-Box für Aufsichtsräte“ bei Ulrike Hammer bestellen:Tel.: +43 1 501 88-5101E-Mail: ulrike.hammer@at.pwc.com

Oder kostenlos als iPhone/iPad-App herunterladen:www.pwc.at/aufsichtsrat

26 PwC

Ihre Notizen

„PwC“ bezeichnet das PwC-Netzwerk und/oder eine oder mehrere seiner Mitgliedsfirmen. Jedes Mitglied dieses Netzwerks ist ein selbstständiges Rechtssubjekt. Weitere Informationen finden Sie unter www.pwc.com/structure.

Diese Broschüre wurde von PwC Österreich erstellt. Eine kommerzielle Vervielfältigung bedarf unserer Zustimmung. Der Autor übernimmt keine Haftung und Gewährleistung für Vollständigkeit und Richtigkeit; diese Broschüre kann nicht als Entscheidungsgrundlage für konkrete Sachverhalte dienen.

Für Rückfragen stehen Ihnen Ihre Berater von PwC gerne zur Verfügung.

28 PwC© 2014 PwC. Alle Rechte vorbehalten.

www.pwc.at