Dr. Matthias Heiden, Dr. Christian F. Bosse
Rn. 156
Stand: EL 42 – ET: 05/2024
Die Begrifflichkeiten des IKS und Risikomanagementsystems sind seit der Reform durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) vom 25.05.2009 (BGBl. I 2009, S. 1102ff.) bereits im Aktien- und Handelsrecht kodifiziert. Bei Einführung von § 107 Abs. 3 Satz 2 AktG betonte der Gesetzgeber ausdrücklich, dass die Überwachung der Wirksamkeit des IKS und Risikomanagementsystems als "originäre Aufgabe[.]" (BT-Drs. 16/10067, S. 102) des AR einen Teil der dort explizit erwähnten Aufgaben darstellt. Eine Verpflichtung zur Einrichtung eines umfassenden internen Risikomanagementsystems enthalte § 107 Abs. 3 Satz 2 AktG aber nicht. Es sei dem Vorstand vorbehalten, über das "Ob" und "Wie" eines umfassenden internen Risikomanagementsystems zu entscheiden (vgl. BT-Drs. 16/10067, S. 102; zudem Art. 41 Abs. 2 der AP-R 2006/43/EG (ABl. EU, L 157/87ff. vom 09.06.2006, ABl. EU, L 158/196ff. vom 27.05.2014)).
Rn. 157
Stand: EL 42 – ET: 05/2024
Flankierend wurde durch das BilMoG in § 289 Abs. 5 ((a. F.); derweil: Abs. 4) eine Verpflichtung des Vorstands eingeführt, im Lagebericht die wesentlichen Merkmale des vorhandenen IKS und Risikomanagementsystems, mithin die Strukturen und Prozesse, zu beschreiben (vgl. BT-Drs. 16/10067, S. 102). Allerdings ist dieser Bericht – anders als in § 107 Abs. 2 Satz 2 AktG und § 91 Abs. 3 AktG – auf den RL-Prozess und damit einen Ausschnitt des IKS und Risikomanagementsystems beschränkt. Schließlich erweiterte § 171 Abs. 1 Satz 2 AktG (i. d. F. des BilMoG) die Berichtspflichten des AP auf wesentliche Schwächen des IKS und Risikomanagementsystems bezogen auf den RL-Prozess.
Rn. 158
Stand: EL 42 – ET: 05/2024
Die Regelung von § 91 Abs. 3 AktG enthält keine weitere Konkretisierung der Begrifflichkeiten, wohl aber die Gesetzesbegründung. Demnach umfasst das IKS die Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Sicherung der Ordnungsmäßigkeit der RL sowie zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften. Dabei ist zu beachten, dass es sich bei IKS und Risikomanagementsystem nicht um jeweils strikt getrennte Systeme handeln muss; dies ist vom Gesetz nicht gefordert. Überschneidungen und Kombinationen sind daher zulässig und können unter dem Gesichtspunkt funktionaler Zusammenhänge sogar geboten sein (vgl. Dreher/Hoffmann, ZGR 2016, S. 445 (464ff.); Fischer/Schuck, NZG 2021, S. 534 (538)).
Rn. 159
Stand: EL 42 – ET: 05/2024
Zur konkreten Ausgestaltung enthält weder das Gesetz noch die Gesetzesbegründung konkrete Hinweise. Die Ausgestaltung des IKS hängt von den von der Geschäftsleitung festgelegten Zielen, dem Gegenstand des Berichtswesens, sowie der Art, dem Umfang und der Komplexität der Geschäftstätigkeit des UN ab. Damit verbieten sich schematische Anforderungen, die für alle UN gelten. Das IKS betrifft jedenfalls Regelungen im Zusammenhang mit dem Berichtswesen, welches die Gewinnung, Verarbeitung, Weiterleitung und Darstellung von entscheidungsrelevanten Informationen in Form von UN-Berichterstattungen zum Gegenstand hat (Informationsverarbeitungsprozess). Die UN-Berichterstattungen beinhalten i. d. R. für eine vorgegebene Zielsetzung zusammengefasste entscheidungsrelevante Informationen aus den Kerngeschäfts- bzw. Unterstützungsprozessen des UN. Die Bandbreite der UN-Berichterstattungen reicht von einzelnen Informationen für das UN aus den Kerngeschäftsprozessen (bspw. Einkaufsprozess) bis hin zu komplexen UN-Berichterstattungen für externe Adressaten (vgl. IDW PS 982 (2017), Rn. 9).
Rn. 160
Stand: EL 42 – ET: 05/2024
Nach IDW PS 982 (2017) können dabei Grundelemente des Systems definiert werden, die in Geschäftsabläufe eingebunden sind und untereinander in Wechselwirkung stehen. Dabei handelt es sich um die Festlegung des Kontrollumfelds, der Ziele, der Risikobeurteilung, Kontrollaktivitäten sowie Information und Kommunikation. Geboten ist ferner die Überwachung des Systems und damit eine objektive Beurteilung der Wirksamkeit des IKS durch Mitarbeiter des UN (vgl. IDW PS 982 (2017), Rn. 30). Dennoch gibt es bestimmte Elemente, die bei Implementierung eines wirksamen Risikomanagementsystems berücksichtigt werden sollten (vgl. ausführlich hierzu Dreher/Hoffmann, ZGR 2016, S. 445 (485f.)). Erforderlich ist eine effektive Risikoerfassung und -bewertung, v.a. in Bezug auf Eintrittswahrscheinlichkeit und Folgen einer möglichen Realisierung. Der Vorstand muss dafür Sorge tragen, dass er über die Ergebnisse der Risikoermittlung und -bewertung informiert wird.
Rn. 161
Stand: EL 42 – ET: 05/2024
Das IKS muss nach dem Gesetzeswortlaut angemessen und wirksam sein. Das Leitungsermessen des Vorstands wird somit für börsennotierte UN insoweit eingeschränkt, als hier im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des UN angemessene und wirksame IKS und Risikomanagementsysteme verpflichtend werden sollen; die Frage der konkreten Ausgestaltung angemessener und wirksamer IKS...