Prof. Dr. Dr. Carl-Christian Freidank
Rz. 168
Gemäß § 317 Abs. 4 HGB hat der Abschlussprüfer börsennotierter Aktiengesellschaften im Rahmen der periodischen Vorbehaltsprüfung zu beurteilen, ob das vom Vorstand nach § 91 Abs. 2 AktG einzurichtende RMS mit den Komponenten internes Überwachungssystem, Controlling und Frühwarnsystem installiert wurde und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann (vgl. Rz. 73 ff.). Darüber hinaus hat der Abschlussprüfer gem. § 321 Abs. 4 HGB die Beurteilung nach § 317 Abs. 4 HGB in einem besonderen Teil des Prüfungsberichtes darzulegen. Weiterhin ist darauf einzugehen "[…] ob Maßnahmen erforderlich sind, um das interne Überwachungssystem zu verbessern". Von Seiten des IDW liegt zu diesem Bereich der Prüfungsstandard: "Die Prüfung des Risikofrüherkennungssystems n. F." vor. Weiterhin obliegt dem Aufsichtsrat im Rahmen seiner allgemeinen Überwachungsaufgaben die Pflicht, das RMS auf seine Ordnungs-, Recht- und Zweckmäßigkeit sowie Wirtschaftlichkeit hin zu überprüfen.
Rz. 169
Aus diesen Prüfungsanforderungen an das RMS wurde die in Abb. 29 gezeigte Systematisierung entwickelt, der auch IDW PS 340 n. F. folgt. Demnach sind sowohl das Risikofrüherkennungssystem als auch das Risikoüberwachungssystem handelsrechtliche Pflichtprüfungsobjekte des Abschlussprüfers. Nicht in die handelsrechtliche Abschlussprüfung einzubeziehen ist das Risikobewältigungssystem (Risikosteuerungssystem), das aber vom Aufsichtsrat mitzuprüfen ist. In diesem Zusammenhang spielt das IKS eine entscheidende Rolle, das bereits im Rahmen der Jahresabschlussprüfung, wie oben dargestellt, untersucht wurde (vgl. Rz. 82 ff.).
Abb. 29: Revisionsumfang des RMS im Rahmen der Abschlussprüfung
Rz. 170
Darüber hinaus ist festzustellen, dass alle wesentlichen Risiken und Risikoarten des RMS zutreffend erfasst, bewertet, dokumentiert und kommuniziert wurden. Diese Gruppe von Risiken ist dadurch gekennzeichnet, dass sie sich im Falle des Eintretens in beträchtlichem Umfang auf den Geschäftsverlauf bzw. die Lage des Unternehmens auswirken. Weiter sind die identifizierten und bewerteten Risiken darauf hin zu untersuchen, ob sie eine Bestandsgefährdung für das Unternehmen darstellen. Zu den bestandsgefährlichen Risiken, die die Unternehmensfortführungsprämisse (Going Concern) infrage stellen, gehören z. B. Insolvenzrisiken (Überschuldung oder Zahlungsunfähigkeit), Erfolgsrisiken (z. B. Investitionen in Geschäftsfelder mit hoher, aber unsicherer Renditeerwartung) und externe Umfeldrisiken (z. B. Gefahr des Wegbrechens von Beschaffungs- und Absatzmärkten). Im Rahmen seiner Revisionshandlungen hat der Abschlussprüfer sowohl die wesentlichen als auch die bestandsgefährdenden Risiken daraufhin zu untersuchen, ob diese Eingang in das RMS gefunden haben und die Systemkomponenten in der Lage sind, die risikobezogenen Informationen angemessen zu verarbeiten.
Rz. 171
Im Kontext der Prüfungsplanung bietet es sich an, die Prüfung des RMS in die Phase der Vor- und Zwischenprüfung zu verlagern. Allerdings ist in diesem Zusammenhang zu berücksichtigen, dass einzelne Informationen über das RMS auch Eingang in den Lagebericht finden, sodass es naheliegt, die Prüfung des RMS mit der von bestimmten risikoorientierten Inhalten des Lageberichts zu verknüpfen. Im Grundsatz trägt die Prüfung des RMS den Charakter einer Systemprüfung der Aufbau- und Ablauforganisation, bei der vom Abschlussprüfer folgende Fragen, z. B. im Rahmen einer Checkliste, gestellt werden:
- Weist das RMS die in Abb. 11 dargelegten Komponenten auf (sog. Aufbauprüfung)?
- Sind die vom Unternehmen vorgenommenen Aktivitäten zur Identifikation, Analyse, Bewertung, Dokumentation und Kommunikation von Risiken und die entsprechenden Überwachungsmaßnahmen zweckentsprechend?
- Wurden diese Maßnahmen für den gesamten Prüfungszeitraum eingehalten?
- Arbeitet das RMS, insbesondere das Risikofrüherkennungs- und das Risikoüberwachungssystem, plausibel?
- Weisen die beiden Subsysteme des Risikoüberwachungssystems, das IKS und die Interne Revision, die erforderliche sachliche und personelle Ausstattung auf, um ihre Aufgaben zu erfüllen?
- Werden sämtliche Risiken, die wesentliche Auswirkungen auf die Vermögens-, Finanz- und Ertragslage haben oder bestandsgefährdenden Charakter tragen, durch das RMS mit hinreichender Qualität beschrieben?
Rz. 172
Aufgrund der Komplexität und von branchenbezogenen Besonderheiten (z. B. bei Kreditinstituten und Versicherungsunternehmen) des RMS kommen häufig bei seiner Revision spezifische Checklisten zum Einsatz, die eine vollständige Erfassung des gesamten risikobezogenen Prüfungsstoffes, unter Berücksichtigung der entsprechenden Inhalte des Lageberichts, im Rahmen der Abschlussprüfung sicherstellen sollen.