Dr. Matthias Heiden, Dr. Christian F. Bosse
Rn. 176
Stand: EL 42 – ET: 05/2024
Die Neuregelung erwähnt ausdrücklich nur zwei der vier betriebswirtschaftlichen Kontrollsysteme, so dass sich die Frage stellt, ob künftig bei börsennotierten AG auch die Einrichtung eines internen Revisionssystems und CMS gefordert wird. Beide Systeme werden in Abs. 3 nicht ausdrücklich erwähnt.
Rn. 177
Stand: EL 42 – ET: 05/2024
Die Interne Revision ist i. d. R. eine UN-eigene prozessunabhängige organisatorische Einheit, welche u. a. die Wirksamkeit der vom Vorstand eingesetzten Kontrollsysteme, insbesondere des IKS und Risikomanagementsystems, überprüft. Damit sind diese Systeme Gegenstand der Überwachung durch die interne Revision, die Schwachstellen aufzeigen und Vorschläge für Verbesserungen der Systeme machen soll. Infolge dieses untrennbaren Zusammenhangs sprechen die besseren Argumente dafür, das interne Revisionssystem als Teil des IKS zu verstehen (vgl. MünchKomm. AktG (2023), § 91, Rn. 110; Hüffer-AktG (2024), § 91, Rn. 24; Fischer/Schuck, NZG 2021, S. 534 (537)). Auch nach Ansicht des Gesetzgebers gehört das interne Revisionssystem zum IKS (vgl. BT-Drs. 16/10067, S. 102).
Rn. 178
Stand: EL 42 – ET: 05/2024
Ebenfalls offen ist nach dem Wortlaut der Vorschrift, ob sich eine Verpflichtung zur Implementierung eines CMS ergibt. Während das CMS die Einhaltung rechtlicher Vorgaben sichern soll, betrifft ein Risikomanagementsystem vornehmlich wirtschaftliche Risiken (vgl. Fischer/Schuck, NZG 2021, S. 534). Da sich aber auch aus Gesetzesverstößen wirtschaftlich ungünstige Entwicklungen ergeben können, werden auch diese vom Risikomanagementsystem erfasst, so dass hier beide Systeme Überschneidungen haben.
Für die Auslegung hilft im vorliegenden Fall die Gesetzgebungsgeschichte. Im RefE zum FISG sollte es bezüglich der Einrichtung von CMS nach Ansicht des Gesetzgebers dabei verbleiben, dass sich aus der Legalitätskontrollpflicht des Vorstands die Pflicht zur Einrichtung eines solchen Systems nur ergibt, wenn ein entsprechendes Gefahr- bzw. Risikopotenzial besteht (vgl. BMF/BMJV (2020), S. 116). Unter dem Eindruck von verschiedenen kritischen Stimmen (vgl. hierzu MünchKomm. AktG (2023), § 91, Rn. 111) stellte der Gesetzgeber dann im RegE klar, dass das IKS auch die "Einhaltung der maßgeblichen rechtlichen Vorschriften" (BT-Drs. 19/26966, S. 115) beinhalte. Die wohl h. M. folgert daraus, dass das IKS auch die Compliance zu umfassen habe (vgl. MünchKomm. AktG (2023), § 91, Rn. 111; Hüffer-AktG (2024), § 91, Rn. 28; Fischer/Schuck, NZG 2021, S. 534 (537)). Dies ist zutreffend und folgerichtig, sieht man das CMS als Teil des IKS.
Das bedeutet aber nach wie vor, dass die Compliance-Pflicht als Organpflicht für alle AG (unabhängig von einer Börsennotierung) auch künftig aus den §§ 76 Abs. 1, 93 Abs. 1 Satz 1 AktG abzuleiten ist. Angesprochen in Abs. 3 ist dagegen die Verpflichtung zu einer systemgestützen Compliance, die eine Einrichtung von entsprechenden Systemen erfordert. Bei einer nicht börsennotierten AG mit überschaubarem Geschäftsumfang mag dagegen im Einzelfall auch eine weniger verdichtete und nicht systemgestützte Compliance angemessen und wirksam sein.