Aktuelles von Pohlmann & Company

23.06.2021

FISG soll Wirecard 2.0 verhindern

Worauf müssen Aufsichtsräte in Zukunft besonders achten?

Als Reaktion auf den Fall Wirecard wird am 1. Juli 2021 das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) in Kraft treten. Nach der Billigung durch den Bundestag am 20. Mai 2021 hat nun auch der Bundesrat dem Regierungsentwurf des FISG in der vom Finanzausschuss geänderten Fassung am 28. Mai 2021 zugestimmt.

Neben einer Reformierung des Bilanzkontrollverfahrens und der Aufsichtsstruktur der BaFin sieht das FISG weitreichende Änderungen des Aktiengesetzes zur Stärkung der Corporate Governance von Unternehmen vor:

  1. Was sind die wichtigsten Neuregelungen?
  • Pflicht zur Einrichtung eines internen Kontrollsystems und eines Risikomanagementsystems: Der Vorstand börsennotierter Aktiengesellschaften wird verpflichtet, ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten“ (§ 91 Abs. 3 AktG n.F.).
  • Sachverstand des Aufsichtsrats: Bei Unternehmen von öffentlichem Interesse im Sinne des § 316a Satz 2 HGB n.F., d.h. kapitalmarktorientierten Unternehmen, bestimmten der EU Kapitaladäquanz-VO unterfallenden Kreditinstituten (sog. CRR-Kreditinstituten) und Versicherungsunternehmen, soll die Fachkompetenz der Aufsichtsratsmitglieder gestärkt werden. Zukünftig soll im Aufsichtsrat
    • mindestens ein Mitglied über Sachverstand auf dem Gebiet der Rechnungslegung und
    • mindestens ein weiteres Mitglied über Sachverstand auf dem Gebiet der Abschlussprüfung

verfügen (§ 100 Abs. 5 AktG n.F.).

Die schon heute bestehende Anforderung, dass die Mitglieder des Aufsichtsrates in ihrer Gesamtheit mit dem Sektor, in dem die Gesellschaft tätig ist, vertraut sein müssen (§ 100 Abs. 5, 2. HS AktG), gilt weiterhin.

Die neue Vorschrift gilt für Aufsichtsratsmitglieder, die nach dem 1. Juli 2021 bestellt werden (§ 12 Abs. 6 EGAktG n.F.). Scheidet ein Aufsichtsratsmitglied vor Ablauf seiner Amtszeit aus (etwa wegen des Erreichens einer Altersgrenze) und wird infolgedessen ein bereits bestelltes Ersatzmitglied Mitglied des Aufsichtsrats, löst dies nach der Gesetzesbegründung keine Pflicht zur Anwendung der neuen Vorgaben aus.

  • Pflicht zur Einrichtung eines Prüfungsausschusses: Unternehmen von öffentlichem Interesse haben fortan zwingend einen Prüfungsausschuss einzurichten; dieser muss den oben erläuterten erforderlichen Sachverstand in sich vereinen, wobei auch hier die oben beschriebene Übergangsregelung für vor dem 1. Juli 2021 bestellte Mitglieder des Prüfungsausschusses gilt.Besteht der Aufsichtsrat nur aus drei Mitgliedern, stellt er ebenfalls den Prüfungsausschuss dar. Jedes Mitglied des Prüfungsausschusses wird zukünftig über den Ausschussvorsitzenden unmittelbar bei den Leitern derjenigen Zentralbereiche der Gesellschaft, die in der Gesellschaft für die Aufgaben zuständig sind, die den Prüfungsausschuss nach § 107 Absatz 3 Satz 2 [AktG] betreffen, Auskünfte einholen“ können. Die eingeholten Auskünfte hat der Ausschussvorsitzende allen Mitgliedern des Prüfungsausschusses mitzuteilen. Zudem ist der Vorstand über die Einholung solcher Auskünfte unverzüglich zu unterrichten (§ 107 Abs. 4 AktG n.F.).Für die Umsetzung der Einrichtung eines Prüfungsausschusses hat der Gesetzgeber den betroffenen Unternehmen eine Übergangsfrist eingeräumt. Die Regelungen der § 107 Abs. 4 Satz 1, 2, 4 bis 6 AktG n.F. sind erstmals ab dem 1. Januar 2022 anzuwenden (§ 26k Abs. 2 EGAktG n.F.).
  • Keine Teilnahme des Vorstandes an Aufsichtsratssitzungen mit dem Abschlussprüfer: Nach Änderung durch den Finanzausschuss sieht die nunmehr beschlossene Fassung des FISG überdies vor, dass der Vorstand an Sitzungen des Aufsichtsrats und seiner Ausschüsse, in denen der Abschlussprüfer als Sachverständiger hinzugezogen wird, nicht teilnimmt. Eine Ausnahme soll nur dann gelten, wenn der Aufsichtsrat oder der betreffende Ausschuss die Teilnahme des Vorstandes für erforderlich erachtet (§ 109 Abs. 1 Satz 3 AktG n.F.).

Nach bereits geltendem Recht (§ 107 Abs. 3 Satz 2 AktG) ist ein bestellter Prüfungsausschuss insbesondere mit der Überwachung der Wirksamkeit des internen Kontrollsystems (IKS), des Risikomanagementsystems (RMS) und des internen Revisionssystems (IRS) befasst. Ob der Prüfungsausschuss im Rahmen seiner Überwachungstätigkeit Mitarbeiter des Unternehmens auch ohne Vermittlung durch den Vorstand und ohne konkreten Verdacht im Hinblick auf Unregelmäßigkeiten befragen darf, war dabei bislang umstritten.

Für Kredit- und Finanzdienstleistungsinstitute sahen die Regelungen des § 25d Abs. 8 S. 7, Abs. 9 S. 3 KWG bereits einen direkten Auskunftsanspruch des Vorsitzenden des Prüfungsausschusses bzw. des Risikoausschusses gegenüber den Leitungsverantwortlichen der Internen Revision und des Risikocontrollings vor. Mit der Regelung in § 107 Abs. 4 AktG n.F. schafft der Gesetzgeber nun Klarheit und ermöglicht rechtssicher und branchenunabhängig eine Direktbefragung durch den Prüfungsausschussvorsitzenden. Obschon die Pflicht zur Etablierung eines effektiven Corporate Governance Systems beim Vorstand verbleibt, soll das Monopol des Vorstands zur Weitergabe diesbezüglich relevanter Informationen an den Aufsichtsrat entfallen. Nach bereits jetzt herrschender Ansicht soll das neue Direktinformationsrecht nicht nur für die Leiter IKS, RMS und IRS, sondern auch für einen etwaigen Leiter Compliance (Chief Compliance Officer) und im Hinblick auf das Compliance Management System (CMS) gelten.

  1. Was gilt es nun zu tun?

Mit den bevorstehenden Änderungen durch das FISG sollten Unternehmen einen kritischen Blick auf ihre Governance sowie Risikomanagement- und ‑kontrollsysteme werfen:

  1. Bewertung der Angemessenheit und Wirksamkeit von IKS/RMS/IRS/CMS durch inhaltliche Befassung

Der Prüfungsausschuss hat die Angemessenheit und Wirksamkeit der den Zentralbereichen zugeordneten Systeme (IKS, RMS, IRS sowie CMS) zu bewerten. Grundlage für eine solche Bewertung sind der regelmäßige Austausch und die kontinuierliche Überwachung. Der Prüfungsausschuss sollte sich daher in regelmäßigen Abständen und anlassbezogen (bspw. bei wichtigen personellen oder strukturellen Änderungen) mit den einzelnen Systemen und deren Integration/Verzahnung befassen. Innerhalb des Prüfungsausschusses muss geklärt sein, wer die Auswertungsverantwortung für die gelieferten Informationen übernimmt. Gleichzeitig ist sicherzustellen, dass in der ersten Führungsebene unter dem Vorstand zentrale Einheiten für IKS, RMS, IRS und CMS (unabhängig von deren Bezeichnung; hier: „Zentralbereiche“) eingerichtet und die jeweiligen Aufgaben und Verantwortungen an die entsprechenden Funktionsinhaber rechtssicher und trennscharf delegiert sind.

  1. Berichterstattung der Zentralbereiche an den Prüfungsausschuss

Nicht selten tritt bei der Auskunftserteilung durch die Leitungsverantwortlichen der Zentralbereiche IKS, RMS, IRS und CMS das Problem auf, dass risikorelevante Schnittstellen und Bezüge nicht hinreichend dargestellt werden, weil die Berichterstattungen getrennt voneinander erfolgen. Unabgestimmte Berichte können den Zweck verfehlen, wesentliche Schwachstellen zu identifizieren. Die Berichterstattung der Zentralbereiche stellt jedoch die Basis für die Beurteilung der Angemessenheit und Wirksamkeit des ganzheitlichen Risikomanagements und Kontrollwesens durch den Prüfungsausschuss dar. Daher sollte der Aufsichtsrat nicht nur festlegen, welche Inhalte berichtet werden müssen, sondern auch verlangen, dass die einzelnen Zentralbereiche sich austauschen und inhaltlich abstimmen. Die geforderten Inhalte der Berichterstattung sowie zugrundeliegende Prozesse sollten hierbei formal festgelegt werden, um dem Prüfungsausschuss von Anfang an effektiv und unmittelbar Einsicht zu gewähren.

Darüber hinaus können regelmäßige Treffen der Leitungsverantwortlichen der Zentralbereiche mit dem Prüfungsausschussvorsitzenden – ohne Beisein des Managements – helfen, mögliche Abstimmungs-, Verständnis- und Informationslücken zu schließen und Fehler bei der Berichterstattung und deren Auswertung vorzubeugen.

  1. Erstellung von Auskunfts-Richtlinien und Bereitstellung von Ressourcen

Es empfiehlt sich die Einführung einer unternehmensinternen Auskunftsrichtlinie, welche das Auskunftsrecht des Prüfungsausschusses formal festlegt sowie die sich hieraus ergebenden prozeduralen Details und insbesondere Pflichten für die Zentralbereiche bestimmt (z.B. Wann? Wie oft? In welcher Form?). Dies manifestiert die Erwartungshaltung und fördert die Kooperationsbereitschaft und Akzeptanz bei allen Beteiligten. Auf diesem Wege können auch die für die Berichterstattung an den Prüfungsausschuss nötigen Ressourcen frühzeitig ermittelt und bereitgestellt werden. Regelungen zur Einhaltung der Pflicht des Prüfungsausschusses gemäß neuem § 107 Abs. 4 Satz 6 AktG, den Vorstand von der Auskunftseinholung zu unterrichten, sollten in der Richtlinie ebenfalls enthalten sein.

  1. Errichtung eines funktionsübergreifenden Gremiums

Um die bereits erwähnte unbedingt erforderliche Abstimmung der Zentralbereiche sicherzustellen, empfehlen wir über die Auskunftsrichtlinien hinaus auch die Einrichtung eines regelmäßig zusammenkommenden, funktionsübergreifenden Gremiums bestehend aus den Leitungsverantwortlichen von IKS, RMS, IRS und CMS. Unter Umständen kann auch die Etablierung der Funktion eines „Chief Governance Officers“ (CGO) sinnvoll sein, der als Bindeglied zwischen den Leitungsverantwortlichen von IKS, RMS, IRS und CMS und deren Verantwortungsbereichen fungiert. Eine in dieser Weise institutionalisierte regelmäßige Abstimmung und der damit einhergehende stetige Informationsaustausch zwischen den Zentralbereichen helfen dabei, Risiken frühzeitig zu erkennen und effektiv zu mitigieren.

  1. Blick auf das Wesentliche

Um die richtigen Fragen stellen und den Finger auf etwaige Schwachstellen legen zu können, ist ein fundiertes Verständnis des Geschäftsmodells des Unternehmens unumgänglich. Der Prüfungsausschuss muss bei der von ihm erwarteten Beurteilung von IKS, RMS, IRS und CMS sowohl den Geschäftsbereich und -umfang (inhaltlich wie regional) als auch das spezifische Risikoprofil des Unternehmens berücksichtigen. Dies bedeutet, dass beispielsweise Elemente wie die internationale Ausrichtung, die Art des Geschäftsmodells oder tatsächliche Praktiken, z.B. in Bezug auf die Nutzung von „Petty Cash“, mit in die Beurteilung einbezogen werden müssen und damit auch gezielt zum Gegenstand der Informationsübermittlung gemacht werden müssen. Aktive Auskunftsersuchen und einzelfallbezogene Rückfragen des Prüfungsausschusses sind unumgänglich, um einen Blick „hinter den Vorhang“ zu werfen und damit eine adäquate Einschätzung ermöglichen zu können. Der Prüfungsausschuss sollte daher bereits bei der Formulierung seines Auskunftsersuchens den Schwerpunkt auf die Berichterstattung zu konkreten operativen Themen legen. Eine reine Übermittlung von Statistiken oder Vorfallbeschreibungen ist hier erfahrungsgemäß nicht hinreichend aussagekräftig.

Gleichermaßen wichtig ist die Kompetenz, die von den Leitungsverantwortlichen der Zentralbereiche zur Verfügung gestellten Daten und dort enthaltenen substanziellen Informationen auch hinterfragen und kritisch bewerten zu können. So sollte der Prüfungsausschuss in seinen Reihen beispielsweise auch Kenntnisse darüber vorweisen können, wie sich die Risikomatrix eines Risikomanagements zusammensetzt und welche Faktoren diesbezüglich einen Einfluss auf die Risikobewertung haben. Darüber hinaus sollten Kenntnisse zu aktuellen Entwicklungen in der Compliance-Gesetzgebung und deren Bedeutung für das Unternehmen vorhanden sein.

  1. Fazit

Im Hinblick auf das zeitnahe Inkrafttreten des FISG empfehlen wir Unternehmen dringend, ihre Aufbau- und Ablauforganisation auf die neuen gesetzlichen Anforderungen hin zu überprüfen und im Bedarfsfall entsprechend anzupassen. Es ist zu erwarten, dass sich die neuen Maßgaben und Verpflichtungen des FISG, auch über den formalen Anwendungsbereich der Unternehmen von öffentlichem Interesse hinaus, zu „Best Practices“ und guter und effektiver Corporate Governance etablieren und somit für viele weitere Unternehmen von Relevanz sein werden.

Bei Fragen oder Überlegungen in diesem Kontext stehen wir Ihnen hier von Anfang an als auch international erfahrene Sparring-Partner zur Verfügung. Sprechen Sie uns jederzeit gerne an!

 


Kennen Sie schon unseren Compliance Risiko Monitor? Mit Hilfe des Compliance Risiko Monitors können unsere Mandanten mit den sich schnell ändernden gesetzlichen Anforderungen Schritt halten und ihre Compliance-Aktivitäten weltweit kontrollieren und steuern. Dadurch können frühzeitig geeignete Maßnahmen ergriffen werden, um Compliance-Krisen zu vermeiden.