Andreas Krimpmann, Prof. Dr. Stefan Müller
Rz. 85
Die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Konzernrechnungslegungsprozess sind in den Konzernlagebericht aufzunehmen, sofern kapitalmarktorientierte Unt i. S. d. § 264d HGB (§ 264d Rz 1 ff.) dem Konzernverbund angehören. Dabei ist es gleichgültig, ob das MU oder ein TU die Kriterien des § 264d HGB erfüllt. Auch ein nicht börsennotiertes MU hat diese Angaben zu machen, wenn ein TU kapitalmarktorientiert ist.
Rz. 86
Eine Berichtspflicht kann sich auch aus weiteren Vorschriften ergeben:
Rz. 87
Die Position des Berichts über die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Konzernrechnungslegungsprozess im Konzernlagebericht ist nicht explizit vorgeschrieben. Es ist daher zulässig, diese Angaben in den Risikobericht zu integrieren.
Rz. 88
Waren die Angaben über die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Konzernrechnungslegungsprozess bislang dann erforderlich, wenn ein entsprechendes System im Konzern implementiert war, wurde nun gesetzlich die Einrichtung eines derartigen Systems vorgeschrieben. Mit dem Finanzmarktintegritätsstärkungsgesetz (FISG) kam es zur verpflichtenden Einführung eines (wirksamen) internen Kontrollsystems und eines Risikomanagementsystems nach § 91 Abs. 3 AktG, die vom Gesetzgeber selber lediglich als Klarstellung der bisherigen Regelungen aus § 93 AktG dargestellt wurde, denn deren Vorhandensein wurde schon bisher betriebswirtschaftlich unter eine sorgsame Unternehmensführung subsumiert. Im Konzernlagebericht sind lediglich Ausführungen zu diesem System zu machen. Die Ausführungen sind über den Rechnungslegungsprozess des gesamten Konzerns zu machen, eine Beschränkung auf nur kapitalmarktorientierte Unt ist nicht zulässig.
Rz. 89
Gegenstand der Angabepflicht sind diejenigen Teile des internen Kontrollsystrems und des Risikomanagementsystems, die sich auf den Konzernrechnungslegungsprozess beziehen. Somit sind andere Elemente des internen Kontrollsystems und des Risikomanagementsystems explizit von den Berichtspflichten ausgenommen. Hierdurch soll dem Schutzbedürfnis des Konzerns Rechnung getragen werden.
Rz. 90
Angaben zur Effizienz des Systems sind zunächst nicht erforderlich (DRS 20.K178). Aus der Gesetzesbegründung zum BilMoG ergibt sich, dass sich bereits mit der Auseinandersetzung mit diesem System die Frage nach der Effizienz stellt. Mit dem DCGK 2022 wird jedoch in Empfehlung A.5 gefordert, auch zur Angemessenheit und Wirksamkeit dieser Systeme Stellung zu nehmen – wird der Empfehlung nicht gefolgt, so ist dies in der Entsprechenserklärung nach § 161 AktG zu begründen (§ 289f Rz 12). Die Ausführungen zum System sind so zu gestalten, dass sich ein fremder Dritter ein angemessenes Bild über das interne Kontrollsystem und das Risikomanagementsystem im Hinblick auf den Konzernrechnungslegungsprozess machen kann.
Rz. 91
Zu nennen sind die wesentlichen Merkmale des Systems, insb. deren Strukturen und Prozesse. Hierunter ist eine Systembeschreibung zu verstehen, die eine Darstellung der Struktur und der relevanten Kontroll-, Organisations- und Überwachungsmaßnahmen beinhaltet. Hinsichtlich der Ausführungen ist grds. nach Kontrollsystem und Risikomanagementsystemen zu trennen, wo sinnvoll, können sie aber zusammengefasst werden (DRS 20.K171). Dabei sind die Ausführungen auf die für einen externen Adressaten relevanten Informationen zu beschränken.
Rz. 92
Hinsichtlich der Kontrollsysteme sind Ausführungen zu den Grundsätzen und Verfahren der Wirksamkeit von Kontrollen zu machen (DRS 20.K174). Daneben sind über die Sicherung der Einhaltung maßgeblicher Vorschriften Ausführungen zu machen. Zu den maßgeblichen Vorschriften gehören neben externen Anforderungen durch Gesetze, Richtlinien und sonstigen Vorschriften auch interne Anforderungen und Regelungen des Konzerns. Unterhält der Konzern eine interne Revision, ist über die Revisionssysteme zu berichten, die sich auf die Konzernrechnungslegung beziehen.
Rz. 93
Hinsichtlich der Risikomanagementsysteme ist auf Maßnahmen zur Identifizierung und Bewertung von Risiken einzugehen (DRS 20.K177). Bei bekannten und erkannten Risiken sind im Konzernlagebericht zusätzlich Ausführungen zu deren Begrenzung und Überprüfung im Hinblick auf den Einfluss auf den Konzernabschluss aufzunehmen. Nach dem DCGK ist der Vorstand für ein angemessenes Risikomanagement und -controlling verantwortlich, wobei nach dem DCGK (2022) nun auch explizit die Berücksichtigung der ökologischen und sozialen Nachhaltigkeit zu erfolgen hat.