26.1.2014

Risikomanagement und internes Kontrollsystem

Wie bereits in der Mai-Ausgabe ausgeführt, ist mit Inkrafttreten des URÄG 2008 (UnternehmensrechtsÄnderungsgesetz) bei börsennotierten Unternehmen und den sogenannten „XL-Unternehmen“ (Bilanzsumme > 96,25 Mio € oder Umsatzerlöse > 192,5 Mio €) in Zukunft ein Prüfungsausschuss einzurichten. Zu seinen erweiterten umfangreichen Aufgaben gehört ua die Überwachung der Wirksamkeit des Internen Kontrollsystems (IKS), eines allfälligen internen Revisionssystems (IRS), und des Risikomanagementsystems (RMS).

Die Überwachung der Wirksamkeit dieser Systeme ist als „Prozesskontrolle“ zu sehen. Das heißt, dass der Prüfungsausschuss zu prüfen hat, ob entsprechende Systeme in der Gesellschaft eingerichtet und ob diese grundsätzlich wirksam sind. Eine detaillierte Überprüfung oder einzelnen internen Kontrollen ist damit nicht gemeint.

Im Folgenden werden diese Systeme beschrieben, eine Checkliste und mögliche Maßnahmen angeführt mit deren Hilfe man die Wirksamkeit der Kontrollsysteme im eigenen Unternehmen überprüfen kann.

Risikomanagementsystem (RMS)

Ein Risikomanagementsystem beinhaltet die systematische Erfassung, Bewertung und Steuerung von Unternehmensrisiken. Es soll Unternehmen in die Lage versetzen, bei der Entscheidung für oder gegen eine Alternative eine klare Vorstellung vom involvierten Risiko zu haben.

Checkliste für den Aufsichtsrat:

  • Ist ein Risikomanagementsystem eingerichtet?
  • Welche Prozesse bestehen, um wesentliche Unternehmensrisiken zu identifizieren und auf ein bewusst festgesetztes Ausmaß zu vermindern?
  • Sind diese Prozesse wirksam? Wird ihre Wirksamkeit regelmäßig beurteilt?
  • Sind die Risiken mit Geldeinheiten bewertet und wurde eine Eintrittswahrscheinlichkeit ermittelt?
  • Wie erfolgt die Dokumentation des Systems? Gibt es ein Risikohandbuch?
  • Ist sicher gestellt, dass die Geschäftsführung alle relevanten Hinweise/Warnungen erhält?
  • Wie wird über das System im Aufsichtsrat berichtet?
  • Wie wird der Aufsichtsrat über riskante Geschäfte informiert? Gibt es einen Katalog zustimmungspflichtiger Geschäfte, nach dem besonders riskante Geschäfte der Zustimmung des Aufsichtsrats bedürfen?

Internes Kontrollsystem (IKS)

Ein Internes Kontrollsystem umfasst alle organisatorisch gestalteten Maßnahmen und Kontrollen im Unternehmen, die feststellen, ob betriebliche Abläufe und Handlungen normgerecht verlaufen. Inhaltlich geht es um die Sicherung des Vermögens, um die effiziente Gestaltung betrieblicher Abläufe, um die Einhaltung der Geschäftspolitik sowie um die Verlässlichkeit und Genauigkeit des Rechnungswesens.

Checkliste für den Aufsichtsrat:

  • Wie ist das IKS, insbesondere imkaufmännischen Bereich ausgestaltet? Welche Kontrollprinzipien gibt es?
  • Welche Arten von Kontrollen wurden eingebaut? Denkbar sind ua: klare (getrennte) Kompetenzbereiche, Unterschriftenregelung, Vier-Augen-Prinzip, Betragslimits, Kennwörter, Regelungen für Belegwesen, Kennzahlen, Plausibilitätskontrollen, ...
  • Sind die wesentlichen Prozesse und Kontrollen in Zusammenhang mit der Finanzberichterstattung dokumentiert?
  • Findet eine regelmäßige Evaluierung dieser Kontrollen statt? Werden festgestellte Kontrollschwächen unverzüglich beseitigt?

Internes Revisionssystem (IRS)

Die interne Revision ist eine direkt der obersten Leitung unterstellte unabhängig agierende Stabstelle. Sie prüft ua, ob das Interne Kontrollsystem und das Risikomanagementsystem funktionieren. Daher sollte die IR jedenfalls von den zu überprüfenden Bereichen organisatorisch getrennt sein.

Checkliste für den Aufsichtsrat:

  • Besteht eine Interne Revision? Wenn nein, wer übernimmt deren Aufgaben?
  • Welche Aufgaben nimmt die IR wahr?
  • An wen berichtet die Interne Revision?
  • Wie läuft die Abstimmung zwischen IR und dem RMS?
  • Stellt die organisatorische Verankerung der IR ausreichende Objektivität und Unabhängigkeit sicher?
  • Sind die Methoden und das Know-how der IR so ausgeprägt, dass sie die an sie gestellten Anforderungen erfüllen kann?
  • Stellt der Revisionsplan sicher, dass alle wesentlichen Risikobereiche abgedeckt werden und keine „weißen Flecken“ bestehen bleiben?
  • Ergibt sich aus dem Bericht der IR an den Aufsichtsrat ein Handlungsbedarf?

Mögliche Überwachungsmaßnahmen

Als konkrete Maßnahmen zur Überwachung dieser Systeme sind folgende denkbar:

  • Befragung der verantwortlichen Mitarbeiter, ua aus den Bereichen Finanzwesen, Unternehmensführung sowie der internen Revision hinsichtlich ihrer Aufgaben und Verantwortung
  • Einsicht in die von der Geschäftsleitung vorgelegte Risikoanalyse und -bewertung sowie Beurteilung der daraus abgeleiteten Maßnahmen zur Risikobewältigung
  • Beurteilung der Qualität und Unabhängigkeit der Internen Revision
  • Kritische Würdigung der Berichte der Internen Revision und Nachverfolgung der Umsetzung der empfohlenen Maßnahmen
  • Diskussion mit dem Abschlussprüfer hinsichtlich seiner Erkenntnisse aus der Abschlussprüfung und seiner Anmerkungen zum vorhanden IKS und RMS.