IKS. Risikomanagement und Compliance: Wirksames IKS wichtiger denn je! Spur halten in der Krise! In dieser Ausgabe lesen Sie: Editorial...

Transkript

1 IKS Spur halten in der Krise! In dieser Ausgabe lesen Sie: Editorial... 2 Risikomanagement und Compliance: Wirksames IKS wichtiger denn je! Brennpunkt Risikomanagement als Mittelstandsthema?... 2 Rechnungslegung und Abschlussprüfung Beschreibung des IKS als neuer Bestandteil des Lageberichts... 4 Compliance Compliance im Rahmen guter Unternehmensführung... 5 Archivierung von s und elektronischen Dokumenten.. 8 Corporate Governance Ethik und Nachhaltigkeit Einrichtung eines Prüfungsausschusses

2 Editorial Für die mittelständischen Unternehmen haben sich die Anforderungen an die Leistungsfähigkeit ihrer Kontrollund Steuerungssysteme in 2008 spürbar verschärft. Auf gesetzgeberischer Ebene ist hierbei insbesondere das zeitnah zur Verabschiedung anstehende Bilanzrechtsmodernisierungsgesetz zu nennen, dass Informationspflichten über das IKS im Lagebericht festschreibt und künftig Aufsichts- oder ggf. Beiräte dazu zwingt, die Wirksamkeit des IKS zu überprüfen. Dies trifft zwar zunächst nur die wenigen kapitalmarktorientierten Großunternehmen, wird aber ganz sicher zunehmend in den Kern des Mittelstands ausstrahlen (mehr dazu in den Beiträgen auf S. 4 und 11). Nicht nur gesetzgeberische Aktivitäten, zunehmend angetrieben von europäischen und internationalen Harmonisierungsbestrebungen, haben die verschärften Forderungen bewirkt, auch die Rechtsprechung hat beispielsweise mit der Formulierung eines Grundrechts auf Gewährleistung und Integrität informationstechnischer Systeme einen Rechtssatz geschaffen, dem sich alle Mittelständler werden stellen müssen lesen Sie in unserer neuen Rubrik Compliance mehr auf S. 8. Ob sich hinter dem Begriff Compliance, der kurz gefasst auf die Einhaltung von Normen abzielt, mehr verbirgt als nur alter Wein in neuen Schläuchen, erfahren Sie zuvor auf S. 5. Daneben zeigt ein weiterer Beitrag, dass auch wieder verstärkt gesellschaftliche Strömungen auf den zu beachtenden Pflichtenkanon einwirken: Muss die kurzfristige Gewinnmaximierung dem nachhaltigen Wirtschaften weichen? Wenn hier auch mancher Mittelständler den meisten DAX-Unternehmen weit voraus sein mag, so kommt es doch darauf an, das IKS an die Leistungsfähigkeit des Unternehmens anzupassen. Die IKS-Verantwortlichen sind also auch ohne die Effekte der Finanzkrise stark gefordert, die allerdings unserem Thema nochmals eine erhöhte Brisanz verliehen haben. Im nebenstehenden Brennpunkt wird deshalb herausgearbeitet, wie Sie Ihr Risikomanagement auf neue Herausforderungen einstellen können. Eine informative Lektüre wünscht Ihnen Ihr Team von PKF Brennpunkt Risikomanagement als Mittelstandsthema? Krisen zwingen zu besserer Risikoerkennung und -beherrschung Immer mehr Mittelständler müssen erfahren, dass sie in schwankenden und globalisierten Märkten mit ähnlichen Risiken kämpfen wie Großunternehmen. Folglich sollten diese auch zu ähnlichen Mitteln greifen, um drohende Risiken frühzeitig zu erkennen und sie beherrschbar zu machen. 1. Risiken erkennen und Chancen nutzen Tatsächlich sind kleine und mittelständische Unternehmen (KMU) ähnlich vielen Risiken ausgesetzt wie Großunternehmen. Diese reichen von abrupten Marktveränderungen bis zur Nachfolgeregelung. Besonders weit verbreitet sind Absatz-Preis-Risken, Probleme mit der IT- Sicherheit sowie Rohstoff- und Währungsschwankungen. Gerade im Jahr 2008 haben enorme Rohstoff- und Energiepreissteigerungen die Ertragssituation vieler KMU nachhaltig verschlechtert, was vor allem im Transportwesen und im Nahrungsmittel verarbeitenden Gewerbe existenzbedrohende Ausmaße annahm bzw. auch vor dem Hintergrund der nun extrem problemverschärfend hinzugekommenen Finanzkrise weiter annimmt. Umso wichtiger ist es, über das rechtzeitige Erkennen von Fehlentwicklungen Vermögensverluste zu vermeiden. Die regelmäßige und systematische Analyse der Marktbedingungen liefert die notwendigen Entscheidungsgrundlagen. Neben den Risiken können aber vor allem auch Chancen frühzeitig erkannt werden. Mit einem wirkungsvollen internen Risiko- und Chancenmanagement kann beispielsweise ein besseres Rating bei Banken erzielt werden, da dies bei der Bonitätsprüfung berücksichtigt wird. 2. Risikomanagement keine lästige Pflicht Grundsätzlich ist Risikomanagement keine lästige Pflicht, sondern ein Mittel, um wettbewerbsfähiger zu werden. Es soll Risiken, die der Erreichung von Unternehmenszielen potenziell entgegenstehen, identifizieren und analysieren; ferner soll es Chancen aufdecken, die die Zielrealisation fördern. 2 PKF Themen IKS November 2008

3 Bei der Risikoanalyse werden zweckmäßigerweise echte Risiken, wie z.b. der Verlust eines Großkunden durch Qualitätsmängel, von allgemeinen Schadensumschreibungen, wie z.b. mangelnde Liquidität, getrennt. Besonders wichtig ist es, Problematisches genau zu beschreiben und nicht nur nebulös von einem unzureichenden Vertriebssystem zu reden. Eintrittswahrscheinlichkeit wahrscheinlich mittel hoch hoch Dann geht es darum, für alle identifizierten Risiken mögliche Schadensverläufe zu beschreiben: Wie wahrscheinlich ist der Schaden? Wie groß wird er sein? Was ist das beste und was das schlechteste Szenario? Sind die Antworten auf diese Fragen herausgearbeitet, offenbaren sich die Stellschrauben, an denen gedreht werden muss, um drohendes Ungemach aufzuhalten. Abzuleiten sind konkrete Maßnahmen, die gewährleisten sollen, dass drohende Risiken vermieden oder zumindest rechtzeitig erkannt werden. 3. Beispiel aus der Unternehmenspraxis Der Praxisfall: Dem schwäbischen Maschinenbauer A galt ein professionelles Risikomanagement bislang als Firlefanz. Dann aber kam es knüppeldick: Die nicht mehr ganz zeitgemäße Kalkulation hatte die rasant ansteigenden Stahlpreise weitestgehend außer acht gelassen und einer von zwei Hauptlieferanten fiel aus. Man freute sich nicht mehr über das gefüllte Auftragsbuch, sondern kämpfte mit drückenden Lieferterminen und zu niedrig kalkulierten Preisen. Es handelt sich im Fall des Maschinenbauers um Probleme, deren Ausmaße durch ein installiertes Risikomanagement als Teil eines wirksamen internen Kontrollsystems zumindest hätten deutlich reduziert werden können. So kann z.b. das Risiko der Nichtberücksichtigung steigender Rohstoffpreise in der Kostenrechnung dadurch vermieden werden, dass der jeweils letzte Einkaufspreis automatisch in die Kostenrechnung übernommen wird. Das Risiko, dass einer von zwei Hauptlieferanten ausfällt, hätte durch regelmäßige Kontrollen der möglich gering mittel hoch unwahrscheinlich gering gering mittel unbedeutend moderat wesentlich Abb.: Muster einer Risikomatrix Einhaltung der Liefertermine und Liefermengen frühzeitig erkannt werden können. 4. Kosten-/Nutzenerwägungen Grundsätzlich muss jedoch auch berücksichtigt werden, dass die Umsetzung von Risikomanagement im Mittelstand nicht zu aufwendig sein darf der Nutzen muss immer im Verhältnis zum Aufwand gesehen werden. Empfehlung: Gutes Risikomanagement im Mittelstand zeichnet sich dadurch aus, dass nicht in jeder Ecke gekehrt wird, sondern die wesentlichen Risiken im Mittelpunkt stehen. Das Management dieser Risiken ist nicht so komplex wie oft befürchtet. Viele Risiken lassen sich mit einfachen und wirksamen Kontrollen managen. Grundlage wäre beispielsweise eine Risikomatrix wie Abb. 1, die das Risiko aus den folgenden Beispielen darstellt: Hauptkunde fällt aus (1), Dispositionsrahmen wird nicht verlängert (2), Lücken in der Nachfolgeregelung (3), Stromausfall, Produktion (4), Zahlungszielverlängerungen Debitoren (Kreditkrise) (5). PKF Themen IKS November

4 Rechnungslegung und Abschlussprüfung Beschreibung des IKS als neuer Bestandteil des Lageberichts Zukünftige Pflichten aufgrund des Bilanzrechtsmodernisierungsgesetzes (BilMoG) Mit dem BilMoG soll für kapitalmarktorientierte Unternehmen eine Verpflichtung festgeschrieben werden, bezogen auf den Rechnungslegungsprozess eine Beschreibung des internen Risikomanagementsystems in den Lagebericht aufzunehmen. Worauf haben sich die Unternehmen einzustellen? 1. Ziele und Komponenten des IKS Um das interne Risikomanagementsystem im Hinblick auf den Rechnungslegungsprozess zweckadäquat beschreiben zu können, bedarf es einer inhaltlichen Konkretisierung. Diese kann sich an den Zielen und den Komponenten eines, auf die Rechnungslegung bezogenen, internen Kontrollsystems nach einschlägigen Standards orientieren. Anhand dieser Ziele und Komponenten lassen sich dann die relevanten Strukturen und Prozesse beschreiben. 1.1 Ziele Die Ziele des IKS sind angelehnt an die Bestimmungen des Committee of Sponsoring Organizations (COSO), die sich als Folge des Sarbanes-Oxley-Act (SOX) in den USA durchgesetzt haben und die sich auch in den neueren deutschen Standards des IDW wiederfinden. Die Ziele des IKS sind im Wesentlichen definiert als Sicherstellung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit einschließlich des Schutzes des Vermögens, Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung sowie der Einhaltung von sonstigen Gesetzen und Vorschriften ( Compliance ). 1.2 Komponenten Ein IKS besteht sowohl nach den COSO-Bestimmungen als auch nach den IDW-Standards aus den folgenden fünf Komponenten: Im Lagebericht ist zukünftig zu berichten über das rechnungslegungsbezogene interne Kontroll-System als Bestandteil des Risiko-Management- Systems. (1) Kontrollumfeld: Hierunter sind einerseits die Einstellung, das Problembewusstsein und das Verhalten der Unternehmensleitung, der dieser nachgeordneten Führungskräfte sowie der mit der Überwachung des Unternehmens betrauten Mitarbeiter im Hinblick auf das interne Kontrollsystem zu verstehen. Diese das Kontrollumfeld prägenden Faktoren müssen einmal formuliert und daraufhin überprüft werden, ob sie auch tatsächlich im Unternehmen umgesetzt (im Sinne von gelebt ) werden. Andererseits gehört aber auch das Umfeld des Unternehmens insgesamt (Branche, Kunden-, Lieferantenbeziehungen etc.) zu dem Kontrollumfeld, das man sich sprichwörtlich einmal ausmalen (dokumentieren) muss. (2) Risikobeurteilungen: Hierbei handelt es sich um die Risikoeinschätzungen des Unternehmers selbst. Dabei kommt es insbesondere auf die Feststellung und die Analyse der für die Rechnungslegung relevanten Risiken an. Die Unternehmensleitung sollte darlegen können, wie sie ihre Risikobeurteilungen durchführt und über die Einrichtung von organisatorischen Regelungen zur Begrenzung möglicher Auswirkungen dieser Risiken entscheidet. (3) Kontrollaktivitäten: Hierunter sind diejenigen Kontrollen zu verstehen, die aufgrund der Risikobeurteilungen installiert und deren Ausführungen dokumentiert worden sind bzw. werden sollen. (4) Information und Kommunikation: Das betriebliche Informationssystem sollte im Unternehmen so eingerichtet sein, dass alle wichtigen rechnungslegungsrelevanten Informationen erfasst und verarbeitet werden (Das Hauptbuch als Logbuch des Unternehmens). Erfassen bedeutet, diejenigen Informationsquellen zu bestimmen, die der Geschäftsleitung als Grundlagen zur Durchführung der Risikobeurteilungen regelmäßig zur Verfügung stehen sollen (z.b. Berichte aus Abteilungen, Gesellschaftsorganen etc.). Kommunikation bedeutet festzulegen, welche Informationen an welche Stellen in der Organisation weitergegeben werden sollen. (5) Monitoring: Das Monitoring meint, die Überwachung des IKS selbst d.h. Sinn und Zweck der im Kontrollumfeld beschriebenen Faktoren, der Art und Weise der 4 PKF Themen IKS November 2008

5 Risikobeurteilungen, der Kontrollaktivitäten und der festgelegten Informationen und Kommunikationsarten regelmäßig auf den Prüfstand zu setzen. 2. Die Neuregelungen zur IKS- Beschreibung im Lagebericht In dem Ende Mai 2008 von der Bundesregierung veröffentlichten Entwurf zum Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz, BilMoG-RegE) ist u.a. jeweils ein neuer Absatz 5 in den 289, 315 HGB über den Lagebericht bzw. den Konzernlagebericht vorgesehen, wonach ein kapitalmarktorientiertes Unternehmen im Sinne des 2 Abs. 5 WpHG im Lagebericht die wesentlichen Merkmale des internen Kontrollsystems (IKS) im Hinblick auf den Rechnungslegungsprozess beschreiben muss. In der Regierungsbegründung wird dazu näher erläutert, dass über das rechnungslegungsbezogene IKS als Bestandteil des internen Risikomanagementsystems (RMS) zu berichten ist. Dementsprechend kann (aufgrund berechtigter schutzwürdiger Interessen) auf die Beschreibung der nicht rechnungslegungsbezogenen Teilsysteme verzichtet werden. Die neue Vorschrift bedeutet nicht, dass die Einrichtung oder die inhaltliche Ausgestaltung eines internen RMS verpflichtend vorgeschrieben wird. Zu berichten ist über das Ob?. Es sind keine Ausführungen zur Einschätzung der Effektivität des internen RMS erforderlich. Wenn allerdings kein internes RMS besteht, ist dies im Lagebericht anzugeben. Praxishinweis: Mögliche Strukturen und Prozesse, die im Lagebericht zu beschreiben sind, sind beispielsweise Abwicklungen des Cash Management, im Einkauf oder Verkauf oder das Vorgehen bei Investitionsprojekten. Ausstrahlungswirkung auch auf nicht kapitalmarktorientierte Unternehmen Kunden (auch) anhand des Jahresabschlusses ein Bild über die Kreditwürdigkeit bzw. über die Leistungsqualität. Selbst wenn sich die neue Vorschrift unmittelbar nur auf kapitalmarktorientierte Unternehmen bezieht, so wird dies erfahrungsgemäß nicht ohne Ausstrahlungswirkung auch auf nicht kapitalmarktorientierte Unternehmen bleiben. Ein wirksames rechnungslegungsbezogenes IKS wird mehr und mehr zum Kennzeichen einer guten Unternehmensführung. Nach dem BilMoG i.d.f. des Regierungsentwurfs ist die erstmalige Anwendung der Vorschrift für Jahres- und Konzernabschlüsse unter Zugrundelegung eines Kalenderjahres als Geschäftsjahr ab 2009 vorgesehen, allerdings bleibt die aktuelle Entwicklung abzuwarten, derzufolge eine Verschiebung auf 2010 hoffentlich nicht unwahrscheinlich bleibt. Empfehlungen: Betroffene Unternehmen sollten sich bereits jetzt mit den Begrifflichkeiten des internen Kontroll- und des Risikomanagementsystems auseinander setzen. Im Vorfeld sollte geklärt werden, wo bereits wirksame rechnungslegungsbezogene Kontrollen bestehen, die den Anforderungen an die allgemeinen Sorgfalts- und Organisationsverpflichtungen der Geschäftsleitung ( 91 AktG, 43 GmbHG) entsprechen. Dies kann erste Grundlage für die Entscheidung sein, ob und ggf. wann (freiwillig) eine Beschreibung der wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems in den Lagebericht aufgenommen werden soll. Compliance Vor dem Hintergrund der Pflicht zur Veröffentlichung eines Lageberichts im elektronischen Bundesanzeiger könnte es sein, dass keine oder nur rudimentäre Ausführungen zum rechnungslegungsbezogenen IKS bzw. zum internen RMS bei den Adressaten des Jahresabschlusses (z.b. Mitarbeiter, Banken, Lieferanten oder Kunden) einen unglücklichen Eindruck hinterlassen. Insbesondere Banken ziehen für das Kreditrating auch Informationen über sog. weiche Faktoren heran, wie beispielsweise interne Kontrollen; ähnlich machen sich wichtige Lieferanten und Compliance im Rahmen guter Unternehmensführung Inhalte und Aufgaben des Compliance- Ansatzes Der Compliance-Gedanke hat seine Wurzeln in der Verpflichtung zur Aufstellung von Risikomanagementkonzepten. Ursprünglich aus den USA stammende PKF Themen IKS November

6 Entwicklungen wie das COSO-Framework haben den Rahmen gegeben, der zwischenzeitlich (unter Weiterentwicklung z.b durch das IDW) auch für die Ausgestaltung von internen Kontrollsystemen deutscher Unternehmen auf breite Akzeptanz stößt. 1. Compliance: Nur ein neuer Begriff für Altbekanntes... Compliance ist heute in Deutschland in aller Munde. Im Kern bedeutet der Begriff Compliance (engl. to comply with something: etwas befolgen, einhalten, entsprechen oder auch: übereinstimmen mit) die Übereinstimmung der tatsächlichen Verhältnisse mit etwas Niedergeschriebenem, also die tatsächliche Einhaltung beispielsweise von Gesetzen oder internen bzw. externen Richtlinien. Compliance ist damit eigentlich nichts Neues, Gesetze mussten immer schon eingehalten werden, was im deutschen Recht abgeleitet wird aus der allgemeinen Organisationsverantwortung (Sorgfaltspflicht) für Vorstände bzw. Geschäftsführer ( 92 AktG, 43 GmbHG); erstmals kodifiziert wurde der Compliance-Begriff in 2007 in dem Deutschen Corporate Governance Kodex. So irrsinnig es klingen mag, ein System einzuführen, um Gesetze zu beachten die Praxis zeigt aber: Gesetze sind auch immer wieder gebrochen oder Bilanzen gefälscht worden. Die Geschichte der Wirtschaftskriminalität und ihrer Gegenmaßnahmen zur Vermeidung erzählt sich in neuerer Zeit wie das unendliche Spiel von Computerviren, Antiviren und Hackern. Deshalb ist Compliance untrennbar verbunden mit dem Begriff des Internen Kontrollsystems (IKS). Bei der Compliance geht es einerseits um materielle Verhaltensnormen für handelnde Personen (Rechtschaffenheit, Einhaltung von Pflichten), andererseits aber auch um materielle oder formelle Eigenschaften von Informationen bzw. Informationsträgern (Beispiel: richtige und fristgerechte Abgabe von Steuererklärungen auf den richtigen Formularen). Beispiel einer Compliance-Prüfung: Eine zentrale Variante einer Compliance-Prüfung ist die Jahresabschlussprüfung im Sinne der 316 ff. HGB. Hiernach entsteht im Ergebnis eine Beurteilung darüber, ob eine Rechnungslegung den jeweils anzuwendenden Rechnungslegungsnormen z.b. den IFRS oder den deutschen handelsrechtlichen Vorschriften entspricht; dies schließt eine Aussage darüber ein, inwieweit die Rechnungslegung ein zutreffendes Bild über das Vermögen, die Finanzen und die Ertragskraft eines Unternehmens vermittelt, das also mit den tatsächlichen Verhältnissen übereinstimmt oder neue grundsätzliche Ausrichtung? 2.1 COSO-Standards als Grundlage Es war kein Zufall, dass in 1994 vor allem in US-amerikanischen Konzernzentralen Compliance durch die Flure hallte. Just in diesem Jahr hatte das Committee of Sponsoring Organizations of the Treadway Commission (COSO) die zweite, bis heute gültige Auflage seines sog. COSO-Frameworks veröffentlicht (COSO II, folgend der ersten Auflage aus 1992). Ein Praxisbericht: 1994 Der Verfasser dieses Beitrags hatte gerade seine neue Stelle als Verantwortlicher für die zentrale Steuerabteilung Deutschland eines US-amerikanischen, an der New York Stock Exchange gelisteten Konzerns angetreten, da wurde ihm Compliance als die damals oberste strategische Zielsetzung durch den Chef im Global Tax der Konzernzentrale in Milwaukee vermittelt. Als Neuer hatte er in der offiziellen Sitzung nicht gefragt, was denn darunter zu verstehen sei. Später hatte sich dazu allerdings herausgestellt, dass tatsächlich niemand in der Zentralabteilung für die europäischen Aktivitäten den Begriff der Compliance genau zu definieren vermochte, selbst eine US-amerikanische Kollegin aus der Rechtsabteilung monierte: He is talking about compliance, but what the hell does that mean? Hinter dem strategischen Ziel stand das Anliegen, ein weltweites Tax Planning einzuführen. Da aber die steuerliche Compliance zu dem damaligen Zeitpunkt noch nicht ganz auf aktuellem Stand war, war die Planungsbasis mit zu großen Unsicherheiten behaftet, insbesondere zu groß, um einigermaßen sinnvolle Entscheidungen zwecks steuerlicher Optimierung vorzubereiten. Der Konzern, der schon damals zu den Global Playern in einem der bedeutendsten Industriezweige zählte, war nämlich gerade erst kurz zuvor in den europäischen Markt eingetreten und Antworten auf Fragen wie z.b. nach steuerlich wirksamen Firmenwertabschreibungen waren zu dem Zeitpunkt noch nicht durch eine abschließende Konzernbetriebsprüfung gefestigt. 6 PKF Themen IKS November 2008

7 Dieses Beispiel verdeutlicht, dass eine zeitnahe Compliance nicht (allein) von externen (z.b. gesetzlichen) Anforderungen her betrachtet werden sollte, sondern durchaus und primär der originären Interessenlage eines Unternehmens selbst dienen kann, die ja darin bestand, durch ein sauberes Tax Planning die Konzernsteuerquote zu optimieren bzw. zu minimieren. COSO II definiert das IKS als einen durch die Unternehmensführung implementierten Prozess mit dem Ziel, das Folgende kumulativ zu erreichen: Effektivität und Effizienz der Unternehmensaktivitäten (Operations), Verlässlichkeit der Rechnungslegung (Financial Reporting), Compliance mit den einschlägigen Normen (Applicable Laws and Regulations). Das COSO-Committee war ursprünglich eine freiwillige privatwirtschaftliche Organisation in den USA, gegründet 1985 als Plattform für die National Commission on Fraudulent Financial Reporting (Treadway Commission), um Ursachen für betrügerische oder missbräuchliche Finanzberichterstattungen zu erforschen und um Gegenmaßnahmen zu entwickeln. Bereits 1992 hatte die SEC (Securities and Exchange Commission) als amerikanische Aufsichtsund Kontrollbehörde für den Wertpapierhandel an Börsen in den USA das COSO-Framework als Standard für das IKS offiziell anerkannt. Besondere Bedeutung hat COSO II durch den Sarbanes Oxley Act (SOA bzw. SOX) von 2002 gewonnen, als die an den Börsen in den USA notierten Unternehmen verpflichtet wurden, ihre internen Kontrollsysteme zu dokumentieren und durch den Abschlussprüfer prüfen zu lassen. 2.2 Risikomanagement auf der Basis des COSO-Frameworks Das COSO-Framework gilt heute als das älteste Regelwerk ( Standard ) für ein Risikomanagement in Unternehmen und basiert auf dem grundlegenden Ansatz, eine hohe Qualität für die Finanzberichterstattung durch Bei der Compliance liegt der Fokus nicht in der Pflicht zur Einhaltung von Gesetzen selbst, sondern in der Einführung von organisatorischen Maßnahmen, um Unternehmensziele in einem normenkonformen Rahmen zu erreichen. gute Unternehmensführung, ethisches Handeln und durch wirksame interne Kontrollen zu gewährleisten (Good Governance). Der COSO-Ansatz hat nachweislich als Grundlage für die Entwicklung nationaler und internationaler Prüfungsnormen gedient; er findet sich in den Prüfungsstandards der International Federation of Accountants (IFAC) genauso wieder wie in den Prüfungsstandards des IDW. Eine sog. gute Unternehmensführung beinhaltet danach auch die Abwägung von Risikoindikatoren im Hinblick auf die Gefahr (das Risiko), dass eine Finanzberichterstattung fehlerhaft, also non-compliant mit den geltenden Rechnungslegungsnormen oder mit den tatsächlichen Verhältnissen ist. Praxishinweis: Am Rande erwähnt sei, dass bei der Betrachtung von solchen Risikoindikatoren die wesentliche Schwierigkeit in dem Gewöhnungsprozess besteht, stets und ständig einen Zusammenhang zwischen Risiken und den einzelnen Aussagen in der Rechnungslegung zu bilden ( consider financial risks only ). Auf das PKF themen-heft IKS 01/06 (S. 7: Was sagt Ihre Rechnungslegung aus, abrufbar unter kann verwiesen werden. 2.3 Ableitung von Compliance-Aufgaben Compliance ist der Zweck, das IKS ein Mittel zum Zweck. Der Fokus bei der Compliance liegt nicht in der Pflicht zur Rechtmäßigkeit bzw. nicht in der Einhaltung von Gesetzen selbst, sondern in der Einführung und Aufrechterhaltung von organisatorischen Maßnahmen, um ein normenkonformes Verhalten im Unternehmen zu gewährleisten. Vor dem Hintergrund der Geschichte des COSO mit seinem grundlegend auf ethischem Handeln basierenden Ansatz ist es nicht verwunderlich, dass die meisten explizit ausformulierten Compliance-Richtlinien, die sich heute in den großen deutschen, auch DAX-notierten Unternehmen finden, Normen für das Verhalten von Mitarbeitern/ -innen beinhalten. PKF Themen IKS November

8 Archivierung von s und elektronischen Dokumenten Aufbewahrungspflichten und datenschutzrechtliche Anforderungen Kenntnisse über Archivierungspflichten und Datenschutzbestimmungen sind in Unternehmen oft wenig verbreitet. Welche Risiken sich aus der Unkenntnis bzw. unbewussten Missachtung des regulatorischen Umfelds ergeben können, wird nachfolgend an dem Beispiel von s und anhängenden elektronischen Dokumenten veranschaulicht. 1. Dokumentationspflichten im -Zeitalter Die elektronische Kommunikation durch s und der Austausch von anhängenden elektronischen Dokumenten sind in Unternehmen mittlerweile eine Selbstverständlichkeit und aus dem Wirtschaftsleben nicht mehr wegzudenken. Kaum jemand macht sich jedoch Gedanken über die Risiken im Zusammenhang mit dieser Form der Kommunikation: Was hat beispielsweise die -Korrespondenz mit Datenschutz zu tun? Warum sind s und deren anhängende Dokumente strukturiert aufzubewahren? Die strukturierte Archivierung von Dokumenten in Papierform ist uns allen geläufig, die der s eher nicht. Doch allein in diesen Überlegungen steckt schon das Problem: Vielen Unternehmen fehlt in Unkenntnis der Archivierungs- und Datenschutzbestimmungen das Risikobewusstsein. Warum wohl sind jetzt die Pflichtangaben in Geschäftsbriefen inzwischen auch in s vorgeschrieben? Die Folgen der Nichteinhaltung der rechtlichen und regulativen Vorgaben zur Archivierung und zum Datenschutz für das Unternehmen können schon mal gravierend werden. 2. Rahmenbedingungen der - Archivierung Ein allgemeingültiges Aufbewahrungs- oder Archivierungsgesetz gibt es nicht, vielmehr enthält eine Vielzahl unterschiedlicher Regelungswerke einzelne hier themenrelevante Bestimmungen. Zunächst anzuführen sind die Vielen Unternehmen fehlt in Unkenntnis der Archivierungsund Datenschutzbestimmungen das Risikobewusstsein. Es drohen teils empfindliche Sanktionen. buchführungsspezifischen Archivierungserfordernisse, insbesondere aus dem Handelsrecht ( 239 und 257 HGB) und dem Steuerrecht ( 146 und 147 AO). Ferner sind Anforderungen aus den Grundsätzen ordnungsmäßiger Buchführung für IT-Systeme (IDW RS FAIT 1), ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sowie zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu beachten. Darüber hinaus existieren nicht auf den ersten Blick erkennbare Regelungen im Aktiengesetz, im GmbH-Gesetz und in der ZPO. So sollte die -Archivierung aufgrund der enormen Bedeutung von s als Geschäftskorrespondenz dem unternehmensweit ausgerichteten Risikofrüherkennungssystem unterliegen. Indirekte Archivierungspflichten ergeben sich auch aus Nachweissicherungs- (z.b. Sicherung von Beweismitteln: elektronische Signatur, Nachweis bei Streitigkeiten, Revisionssicherheit) und allgemeinen Sorgfaltspflichten (z.b. Kommunikationshilfen, Verhaltensregeln bei der Verwendung von s). Schließlich sind die Zugriffsbefugnisse der Unternehmen auf das - Account von Mitarbeitern begrenzt durch Regelungen des Bundesdatenschutzgesetzes (BDSG), des Telekommunikationsgesetzes (TKG) sowie insbesondere des allgemeinen Persönlichkeitsrechts. Immer wieder stellt sich die Frage, welche s aufzubewahren sind. Dies ist vor dem Hintergrund der Fülle von Regelungen nur schwer zu beantworten und hängt vom Inhalt und Zweck der s ab. In der Buchführung bestimmt 257 Abs. 2 HGB, dass Handelsbriefe, also Schriftstücke, die ein Handelsgeschäft betreffen, aufzubewahren sind. Ein Handelsgeschäft ist immer betroffen, wenn es um Vorbereitung, Abschluss, Durchführung oder Rückgängigmachung eines Geschäfts geht. s, die in diesem Zusammenhang empfangen oder versendet werden (z.b. bei einem Auftrag, einer Auftragsbestätigung, einer Mängelrüge, einer Reklamation oder einem Vertragsabschluss), sind aufzubewahren. Gleiches gilt für die elektronisch angehängten Dateien (z.b. Vertragsentwürfe). Allein schon in der Abgrenzung 8 PKF Themen IKS November 2008

9 der insoweit nicht eingeschlossenen -Korrespondenz einerseits zum Handelsbrief andererseits zeigt sich die dahinter stehende Problematik. Die Nichteinhaltung von Archivierungspflichten hat für die Unternehmen diverse, teils empfindliche Sanktionen zur Folge. Sie reichen u.a. vom Strafrecht (z.b. Verletzung von Buchführungspflichten, Beseitigung beweiserheblicher Daten) über das Steuerrecht (z.b. Schätzung von Besteuerungs grundlagen) bis hin zum Zivilrecht (z.b. persönliche Haftung der Geschäftsleitung, Kündigung des Arbeitsverhältnisses). 3. Archivierung versus Datenschutz Problematisch kann es für Unternehmen werden, wenn die Zugriffsbefugnisse auf die -Accounts von Mitarbeitern, insbesondere von ausgeschiedenen Mitarbeitern, mit bestehenden Regelungen des Datenschutzes und des Fernmelderechts sowie dem Grundrecht auf Schutz der persönlichen Daten kollidieren. Wenn beispielsweise ein Zugriff auf den -Account eines Mitarbeiters für Zwecke der Archivierung oder aufgrund seiner Abwesenheit oder seines Ausscheidens erfolgen soll, ist dies problematisch, wenn der betroffene Mitarbeiter darin nicht nur geschäftliche Korrespondenz, sondern auch private s verwaltet. Fraglich ist, wie der durch Persönlichkeitsrechte verbotene Zugriff auf das personalisierte -Account nicht mit den Unternehmensinteressen kollidiert. Ist die private Nutzung vom Arbeitgeber ausdrücklich untersagt, wird das Persönlichkeitsrecht nicht verletzt. Anderenfalls sind die schutzwürdigen Interessen des Arbeitnehmers mit dem Schutz des eingerichteten und ausgeübten Gewerbebetriebs abzuwägen. Bei effizienter Gestaltung der Prozesse sind bessere Ratings erzielbar. Nach dem TKG tritt der Arbeitgeber sogar als Diensteanbieter auf, wenn er die private Nutzung gestattet. Als Diensteanbieter ist der Arbeitgeber zur Wahrung des Fernmeldegeheimnisses verpflichtet, d.h. ein Zugriff auf das -Account, auf dem sich auch private Korrespondenz befindet, verletzt das Fernmeldegeheimnis. In den Schutzbereich des Fernmeldegeheimnisses sind grundsätzlich auch Absender von an Arbeitnehmer gerichteten s einzubeziehen. Zudem hat das Bundesverfassungsgericht mit seinem Urteil vom den Schutz des Persönlichkeitsrechts ausgeweitet und daraus ein neues Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme abgeleitet. Dieses neue IT- Grundrecht soll u.a. die Einsichtnahme in Umstände des Kernbereichs privater Lebensgestaltung schützen. Das Urteil ist nun zusätzlich durch die Unternehmen beim Zugriff auf s ihrer Mitarbeiter zu beachten. Die Praxis zeigt: Überwiegend fehlt es in den Unternehmen an Bestimmungen über den Umfang der Nutzung oder etwaige Zugriffsrechte auf das auch privat genutzte -Account angesichts der Risiken für das Unternehmen ein fahrlässiger Umstand. Empfehlung: Eine ausdrückliche Regelung ist anzuraten, sowohl hinsichtlich der zeitlichen und inhaltlichen Nutzung als auch hinsichtlich der Zugriffsrechte. Möglich ist auch ein ausdrückliches Verbot. Eine Betriebsvereinbarung kann Abhilfe schaffen, Regelungen in den Arbeits- und Dienstverträgen sind ebenfalls hilfreich. Insbesondere im Falle des Ausscheidens oder bei längerer krankheitsbedingter Abwesenheit eines Mitarbeiters kann so ein rechtlich korrekter Zugriff schnell gewährleistet werden. 4. Fazit: Neben Pflichten auch Chancen Die vorstehend skizzierten Archivierungspflichten und Datenschutzbestimmungen zeigen am Beispiel von s und anhängenden elektronischen Dokumenten nur allzu deutlich, welche Risiken sich aus der Unkenntnis des regulatorischen Umfelds ergeben können. Hier schlägt der im vorstehenden Beitrag näher erläuterte Compliance-Gedanke praktisch stark durch; es ist erforderlich: die einschlägigen Regelungen zu kennen, das Bewusstsein dafür zu stärken und die richtigen Maßnahmen zu treffen, um die Unternehmensziele und den normenkonformen Rahmen abzustecken. Das sind die Grundlagen für deren Einhaltung (Compliance). Dies muss ein Kontrollsystem gewährleisten. PKF Themen IKS November

10 Daraus ergeben sich auch Chancen für das Unternehmen. Durch den schnelleren Zugriff auf die Dokumente können Arbeitsabläufe im Unternehmen effizienter gestaltet werden. Die elektronische Archivierung kann zudem zu einer Platzersparnis in Richtung eines papierfreien Büros führen. Praxishinweis: Ein weiterer gewichtiger Vorteil liegt darin, dass mittels einer effizienteren Gestaltung der Prozessabläufe bessere Ratings erzielt werden können, sowohl bei wichtigen Lieferanten als auch bei Banken. Corporate Governance Ethik und Nachhaltigkeit Unternehmensführung jenseits kurzfristiger Gewinnmaximierung Nachhaltiges Wirtschaften lässt sich als ethisches Handeln leicht einfordern, zumal wenn wie derzeit im Zusammenhang mit der Finanzmarktkrise entsprechende Defizite unübersehbar werden. Schwieriger ist es jedoch, in der alltäglichen Betriebspraxis ein entsprechendes Verhalten zu gewährleisten. 1. Begriffliche Grundlagen Für erschöpfende Begriffsgeschichten ist hier kein Raum, sodass nur einige wichtige Aspekte der Begrifflichkeiten kurz skizziert werden können. 1.1 Ethik Das altgriechische Wort ethos bedeutet Gewohnheit, Sitte, Brauch, Übung. Über Sokrates, Platon und Aristoteles wurde die philosophische Ethik in der Antike reich entwickelt. Aus heutiger Sicht ist Ethik eine praktische Philosophie, indem sie die Frage zu beantworten sucht: Was sollen wir tun? Und in der Folge: Wie ist ein Leben zu führen, dass den Verbindlichkeiten des Menschen gegen sich, gegen andere, eventuell gegen Gott und gegen die Natur gerecht wird? Neben dieser allgemeinen Ethik gibt es auch spezifische Ausprägungen: Erinnert sei hier an den hippokratischen Erforderlich ist eine ausgeprägte Verantwortung gegenüber dem Allgemeinwohl jenseits nur kurzfristigen ökonomischen Erfolgsstrebens. Eid (etwa 400 v. Chr.) der Ärzte oder die Regeln des ehrbaren Kaufmanns (per fidem bonae et fidelis mercatoris bei der Ehre des wahren Kaufmanns; 1495 n. Chr.). 1.2 Nachhaltigkeit Nachhaltigkeit ist ursprünglich ein Begriff aus der Forstwirtschaft, der von Hans-Carl von Carlowitz angesichts des Holzmangels nach dem Dreißigjährigen Krieg geprägt wurde. Unter diesen Umständen plädierte von Carlowitz für eine nachhaltige Nutzung des Waldes und erinnerte daran, dass die Ökonomie dem Gemeinwesen zu dienen habe. Mittlerweile ist Nachhaltigkeit ein wichtiger Begriff in nahezu allen Bereichen der Gesellschaft, um verantwortungsbewusstes Handeln zu bezeichnen. Dabei wird zumeist auf die Definition für eine nachhaltige Entwicklung im sog. Brundtland-Bericht von 1987 Bezug genommen: Entwicklung zukunftsfähig zu machen, heißt, dass die gegenwärtige Generation ihre Bedürfnisse befriedigt, ohne die Fähigkeit der zukünftigen Generation zu gefährden, ihre eigenen Bedürfnisse befriedigen zu können. 2. Ethik nur als Etikett... Nach den Unternehmensskandalen der letzten Jahre stellt sich die Frage, ob Schlagworte wie Unternehmensethik und Nachhaltigkeit (die häufig synonym verwendet werden) eher nur der Imagepolitur einer Firma dienen oder eine grundlegende Ausrichtung der Unternehmenspolitik beschreiben sollen. In der Tat berichten viele Unternehmen in Broschüren und auf Internet-Seiten von ihren Anstrengungen und Erfolgen bei der Einführung von ethischen Standards und Konzepten nachhaltigen Wirtschaftens. Wird die Reklamierung von Ethik und Nachhaltigkeit damit zur reinen Vermarktungsstrategie? Innerhalb der Unternehmen versucht man durch Qualitätssicherungsmaßnahmen wie den Einsatz von IKS, solchen Entwicklungen oder Handlungen entgegenzuwirken, die ungesetzlich sind, dem Unternehmenszweck schaden oder sogar den Fortbestand des Unternehmens gefährden. Nach außen wird mittels Werbekampagnen in Zeitungen und entsprechende Internetauftritte Entschlossenheit zu nachhaltigem Wirtschaften beteuert. 10 PKF Themen IKS November 2008

11 3.... oder als Taktgeber für die tatsächlich gelebte Unternehmens politik? Ethisches Handeln im Sinne von Nachhaltigkeit geht über die Grenzen betriebswirtschaftlichen Denkens hinaus; umgekehrt sind allgemeingesellschaftliche Handlungsmaximen durchaus Maßstäbe für ein Unternehmen. Nachhaltigkeit hat also mit der politischen Wirklichkeit zu tun. In der Literatur wird der Begriff der Lebensdienlichkeit einer Ökonomie als ein Maßstab für unternehmerisches Handeln verwendet. Wirtschaften ist demnach ein Mittel zu höheren Zwecken, und nicht umgekehrt. Diese Position vertritt z.b. Peter Ulrich als Inhaber einer Professur für Wirtschaftsethik an der Universität St. Gallen. Dabei geht es ihm auch um die Formulierung von Geschäftsgrundsätzen, die aber nicht innerhalb eines Unternehmens von oben nach unten durchgesetzt werden sollten, weil dies die Verantwortungsfähigkeit der Mitarbeiter untergrabe. Vielmehr setzt er auf den fairen Diskurs auf und zwischen allen Ebenen, der diese ethischen Grundsätze erst lebendig werden lasse. Soweit das gelingt, ist damit auch der Boden geebnet, auf dem Compliance (siehe vorherige Beiträge in diesem Heft) in einem Unternehmen umfassend gewährleistet werden könnte. Im Verhältnis nach außen erfordert dies eine ausgeprägte Verantwortung gegenüber dem Allgemeinwohl jenseits nur kurzfristigen ökonomischen Erfolgsstrebens. Ist dabei der nachhaltig Handelnde, was die Gewinnmaximierung betrifft, der Dumme? Vielleicht kann ein Einzelner z.b. durch Ausbeute von Ressourcen zu Vorteilen gelangen, weil er keine Rekultivierungskosten trägt. Eine solche Perspektive ist jedoch nicht zukunftsfähig. Langfristig und auch wirtschaftlich sinnvoller ist es, sich frühzeitig um die Verfügbarkeit von notwendigen Ressourcen auch für zukünftige Erträge zu sorgen. 4. Ausblick Sicherlich kann man nachhaltiges Wirtschaften als ethisches Handeln leicht einfordern, die Verwirklichung bleibt aber daran gebunden, ob die Verantwortung von Unternehmern und Angestellten in der Praxis überhaupt gesehen und nachhaltiges unternehmerisches Handeln als Verpflichtung ernst genommen wird. Netzwerke, in denen sich Unternehmen auf bestimmte Grundsätze einigen und verpflichten, sind dabei wichtige Instrumente. Ein internationales Netzwerk, in dem sich in Deutschland bereits 31 Unternehmen, aber auch Organisationen der Zivilgesellschaft, Wissenschaft und Politik engagieren, ist der Global Compact. Entstanden auf Vorschlag des ehemaligen Generalsekretärs der Vereinten Nationen, Kofi Annan, wurden dort zehn Prinzipien aus den Bereichen Menschenrechte, Arbeitsnormen, Umweltschutz und Korruptionsbekämpfung formuliert. Praxishinweis: Unternehmen, die den Global Compact unterschreiben, sollen beispielsweise die international verkündeten Menschenrechte respektieren und ihre Einhaltung innerhalb ihrer Einflusssphäre fördern; alle Formen von Zwangsarbeit bzw. erzwungener Arbeit ausschließen; jede Diskriminierung in Bezug auf Beschäftigung und Beruf ausschließen; eine vorsorgende Haltung gegenüber Umweltgefährdungen einnehmen; die Entwicklung und die Verbreitung umweltfreundlicher Technologien ermutigen; gegen alle Arten der Korruption eintreten, einschließlich Erpressung und Bestechung. Netzwerke und Selbstverpflichtungen dieser Art ersetzen nicht gesetzliche Rahmen, können aber sehr wohl das Bewusstsein für die gesellschaftliche Verantwortung von Unternehmen befördern. Die Einrichtung eines Prüfungsausschusses Ein neues Gremium mit welchem Aufgabenzuschnitt? Das zur Verabschiedung anstehende BilMoG beinhält neben zahlreichen materiellrechtlichen Änderungen und neben der Erweiterung der Lageberichterstattung (vgl. dazu den Beitrag auf S. 4 in diesem Heft) auch eine neue aktienrechtliche Vorschrift, die den Auf gabenbereich eines im Aufsichtsrat einzurichtenden Prüfungsausschusses konkretisiert. 1. Wer hat einen Prüfungsausschuss einzurichten? Bereits nach geltendem Recht kann der Aufsichtsrat aus seinen Mitgliedern einen Prüfungsausschuss bilden. Der wesentliche Grund für die Bildung eines solchen Aus- PKF Themen IKS November

12 schusses besteht i.d.r. in der dadurch erreichbaren deutlich höheren Arbeitseffizienz. Nunmehr wird diese Möglichkeit (Kür) mit der Einführung des 107 Abs. 3 AktG-E zur Pflicht. 324 HGB-E verpflichtet alle kapitalmarktorientierten Unternehmen nun auch nach Handelsrecht ( 264d HGB- E), d.h. auch außerhalb der Geltung des Aktienrechts ( 100 Abs. 5 AktG), im Aufsichts- oder Verwaltungsrat einen Prüfungsausschuss einzurichten, der sich insbesondere mit den in 107 Abs. 3 AktG-E beschriebenen Aufgaben befassen muss. Ausnahmen bilden die Kapitalgesellschaften, deren ausschließlicher Zweck die Ausgabe von Wertpapieren ist, sowie Kreditinstitute im Sinne des 340 Abs. 1 HGB. Die Mitglieder des ggf. einzurichtenden Prüfungsausschusses sind von den Gesellschaftern zu wählen. Mindestens ein Mitglied muss die Voraussetzungen des 100 Abs. 5 AktG-E erfüllen. Der Vorsitzende darf nicht mit der Geschäftsführung betraut sein. Insoweit wirkt der 324 HGB-E wie ein Auffangnetz für alle solche Fälle, die nicht unter das Aktiengesetz fallen. 2. Aufgaben des Prüfungsausschusses In der neuen Vorschrift wird der Aufgabenbereich des Prüfungsausschusses konkretisiert. Dieser soll sich u.a. insbesondere mit der Wirksamkeit des internen Kontrollsystems sowie des Risikomanagementsystems befassen. Die nach 91 Abs. 2 AktG bestehende Verpflichtung des Vorstands einer börsennotierten Aktiengesellschaft, für eine methodische und fortdauernde Risikofrüherkennung und ihre systematische Überwachung Sorge zu tragen, wird durch die neue Vorschrift zwar nicht berührt. Gleichwohl wird dem Aufsichtsorgan über die Institution des Prüfungsausschusses nunmehr die Aufgabe übertragen, die Wirksamkeit des internen Kontrollsystems sowie des internen Risikomanagementsystems zu beurteilen sowie diesbezüglich dem Vorstand gegebenenfalls Erweiterungs- und Verbesserungsvorschläge zu unterbreiten und auch soweit vorhanden die Missstände konkret zu benennen. Mit dem 107 Abs. 3 AktG-E wird insgesamt gesehen deutlich, dass der Gesetzgeber der Einrichtung eines wirksamen internen Kontrollsystems sowie des Risikomanagementsystems verstärkt Rechnung trägt. Auch wenn ein Aufsichtsrat keinen Prüfungsausschuss einrichten würde, muss aus der neuen Vorschrift gefolgert werden, dass die hier beschriebenen Verpflichtungen des Aufsichtsrats gleichwohl bestehen. Impressum PKF Wirtschaftsprüfungsgesellschaft Jungfernstieg Hamburg Tel. +49 (0) Fax +49 (0) Die Inhalte der PKF* Themen IKS können weder eine umfassende Darstellung der jeweiligen Problemstellungen sein noch den auf die Besonderheiten von Einzelfällen abgestimmten steuerlichen oder sonstigen fachlichen Rat ersetzen. Wir sind außerdem bestrebt sicherzustellen, dass die Inhalte der PKF* Themen IKS dem aktuellen Rechtsstand entsprechen, weisen aber darauf hin, dass Änderungen der Gesetzgebung, der Rechtsprechung oder der Verwaltungsauffassung immer wieder auch kurzfristig eintreten können. Deshalb sollten Sie sich unbedingt individuell beraten lassen, bevor Sie konkrete Maßnahmen treffen oder unterlassen. * PKF bezieht sich auf PKF International, eine internationale Verbindung eigenständiger und rechtlich unabhängiger Gesellschaften. 12 PKF Themen IKS November