Beschreibung von IKS und RMS im Lagebericht

Transkript

1 November 2009 Beschreibung von IKS und RMS im Lagebericht AUDIT Inhalt Editorial Betroffene Unternehmen Verbindung zwischen RMS und IKS Verbindung zur Risikoberichterstattung Struktur und Inhalt der beschreibenden Darstellung Allgemeine Aussagen Zielsetzung Organisatorischer Aufbau Maßnahmen zur Sicherstellung der Wirksamkeit Editorial Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wurden die Vorschriften zum Inhalt des (Konzern-)Lageberichts in den 289, 289a und 315 HGB geändert bzw. erweitert. Kapitalmarktorientierte Kapitalgesellschaften in Sinne von 264d HGB müssen in den Lagebericht eine Beschreibung der wesentlichen Merkmale des internen Kontroll- (IKS) und des Risikomanagementsystems (RMS) im Hinblick auf die Rechnungslegung aufnehmen ( 289 Abs. 5 HGB). Für den Konzernlagebericht fordert 315 Abs. 2 Nr. 5 HGB eine Beschreibung im Hinblick auf die Konzernrechnungslegung, sofern eines der in den Konzernabschluss einbezogenen Tochterunternehmen oder das Mutterunternehmen kapitalmarktorientiert im Sinne des 264d HGB ist. Die Vorschrift ist bereits bei der Erstellung des (Konzern-)Lageberichts für das nach dem beginnende Geschäftsjahr zu beachten. Da der Wortlaut der gesetzlichen Bestimmungen wenig konkrete Anforderungen enthält, ist mit Unklarheit und daraus folgend mit einer uneinheitlichen Umsetzung durch die verpflichteten Unternehmen zu rechnen. Daher ist davon auszugehen, dass sich Umfang und Inhalt erst in der Zukunft durch die praktische Anwendung konkretisieren werden. Gleichwohl bietet sowohl die Gesetzesbegründung als auch der bereits vorliegende Entwurf eines Rechnungslegungs-Änderungsstandards (E-DRÄS 5) durch den Deutschen Standardisierungsrat (DSR) wertvolle Hinweise. Hierauf aufbauend werden nachfolgend Grundsätze aufgezeigt, deren Heranziehung bei der Erfüllung der neuen gesetzlichen Vorschriften empfehlenswert erscheinen.

2 2 Betroffene Unternehmen Die diesbezüglichen Vorschriften zum Lagebericht ( 289 Abs. 5 HGB) bzw. Konzernlagebericht ( 315 Abs. 2 Nr. 5 HGB) unterscheiden sich nur geringfügig. Eine Berichterstattung im Lagebericht ist nur erforderlich, wenn das Unternehmen selbst eine kapitalmarktorientierte Kapitalgesellschaft ist. Im Konzernlagebericht muss eine Beschreibung auch dann aufgenommen werden, wenn das Mutterunternehmen oder ein in den Konzernabschluss einbezogenes Tochterunternehmen kapitalmarktorientiert im Sinne des 264d HGB ist. Der Umfang der Berichterstattung über IKS und RMS umfasst die wesentlichen Merkmale des (Konzern-)Rechnungslegungsprozesses. Unter Konzernrechnungslegungsprozess ist nicht eine Beschränkung auf z.b. die Konsolidierung zu verstehen, vielmehr ist die Rechnungslegung aller einbezogenen Unternehmen - nicht nur der kapitalmarktorientierten zu berücksichtigen. Nachfolgend wird daher nur insoweit zwischen der Darstellung im Lagebericht bzw. Konzernlagebericht unterschieden, als sich hieraus inhaltliche Unterschiede beim IKS oder RMS selbst ergeben. Verbindung zwischen Risikomanagement und Internem Kontrollsystem RMS bzw. IKS eines Unternehmens beschränken sich grundsätzlich nicht auf den Rechnungslegungsprozess. Es gibt eine Vielzahl von Definitionen und Beschreibungen für solche Systeme, die sich zumeist von unterschiedlichen Fokussierungen (z.b. IT-Systeme (COBOL) oder Compliance (CMS)) oder der Herkunft (z.b. Turnbull (UK), CoCo (Kanada), AMF (Frankreich)) ableiten lassen. Letztlich sind aber alle Definitionen und Beschreibungen in grundsätzlichen Aussagen miteinander vergleichbar. Weltweit stark verbreitet sind die COSO Rahmenwerke zu RMS (Enterprise Risk Management Integrated Framework) und zu IKS (Internal Control Integrated Framework). Diese zeichnen sich dadurch aus, dass sie eine umfassende und trotzdem sehr flexible Beschreibung der Rahmenbedingungen für solche Systeme beinhalten. Das Rahmenwerk zum RMS ist weiter gefasst und stellt dar, dass das IKS ein integraler Bestandteil des RMS ist. Der Schwerpunkt des RMS liegt auf der Definition der Strategie und Risikobereitschaft des Unternehmens und hierauf aufbauend auf der Erkennung und Beurteilung von Risiken sowie der grundsätzlichen Entscheidung zur Handhabung dieser Risiken (Vermeidung, Überwälzung oder Eingehen von Risiken). Hierauf aufbauend folgt dann die Überwachung und Steuerung von Risiken, die den Schwerpunkt des IKS darstellen. Eine Beschreibung des RMS umfasst nach dieser Abgrenzung immer auch eine Beschreibung des IKS. Eine Trennung der Beschreibung ist sinnvoll nicht möglich. Nachfolgend wird entsprechend von einer zusammengefassten Beschreibung ausgegangen.

3 3 Verbindung zur Risikoberichterstattung Neben strategischer Ausrichtung, Effizienz und Effektivität der Betriebsabläufe und Compliance stellt die Berichterstattung einen der Bereiche der Rahmenwerke dar, die vom RMS bzw. IKS abgedeckt werden. Die vom HGB in 289 Abs. 5, 315 Abs. 2 Nr. 5 HGB geforderte Beschreibung im Hinblick auf den (Konzern-)Rechnungslegungsprozess bezieht sich auf die externe Finanzberichterstattung (Jahresabschluss, Konzernabschluss, Lagebericht, Konzernlagebericht) und beschränkt sich insoweit auf einen Teilbereich der Systemkomponente Berichterstattung. Zu beachten ist aber, dass bereits vor dem Inkrafttreten des BilMoG Aussagen zum Risikomanagement im Lagebericht notwendig waren und auch weiterhin notwendig sind. Neben den in 289 Abs. 1 HGB geforderten Angaben zu den Risiken und Chancen der voraussichtlichen Entwicklung verlangt 289 Abs. 2 Nr. 2a HGB Angaben zu Risikomanagementzielen und methoden in Bezug auf die Verwendung von Finanzinstrumenten, soweit dies für die Beurteilung der Lage oder der voraussichtlichen Entwicklung von Belang ist. Für den Konzernlagebericht bestehen in 315 HGB identische Anforderungen. Desweiteren stellt der Deutsche Rechnungslegungsstandard 5 (DRS 5) zur Risikoberichterstattung im Konzernlagebericht nach 315 Abs. 1 Satz 5 HGB klar, dass diese Berichterstattung eine angemessene Beschreibung des Risiko-managements umfasst (DRS 5.28). Die Regierungsbegründung zu 289 Abs. 5 HGB sieht ausdrücklich eine zusammengefasste Darstellung der Angaben zum Risikomanagementsystem nach 289 Abs. 5 HGB mit den Angaben nach 289 Abs. 2 Nr. 2a HGB in einem Risikobericht vor. Da das IKS ein integraler Bestandteil des RMS ist, sollten die diesbezüglichen Beschreibungen in diesen Risikobericht integriert werden. Die Beschreibung sollte innerhalb des Risikoberichts nach 289 Abs. 1 Satz 4, 315 Abs. 1 Satz 5 HGB vorgenommen werden. Die Berichterstattung über das RMS / IKS beschränkt sich somit tatsächlich nicht auf die (Konzern-)Rechnungslegung. Die durch das BilMoG neu eingeführten Vorschriften in 289 Abs. 5, 315 Abs. 2 Nr. 5 HGB erfordern aber innerhalb der bisher schon notwendigen Berichterstattung über Risikomanagementsysteme im Lagebericht ein explizites Eingehen auf die (Konzern-)Rechnungslegungsprozesse sowie explizite Beschreibungen des IKS. Zwar stellt das IKS einen integralen Bestandteil des RMS dar, eine Beschreibung der wesentlichen Merkmale war aber bisher nicht ausdrücklich gefordert. Diese in das Gesetz neu aufgenommenen expliziten Anforderungen zur Beschreibung der wesentlichen Merkmale des IKS und RMS in Hinblick auf die (Konzern-)Rechnungslegungsprozesse gehen somit über die bisherigen Anforderungen hinaus, d.h. die Darstellung muss konkreter sein, als die bisher allgemein notwendigen Angaben zum RMS nach 289 Abs. 1 Satz 4, Abs. 2 Nr. 2a, bzw. 315 Abs. 1 Satz 5, Abs. 2 Nr. 2a HGB. Die Berichtspflicht erstreckt sich hierbei wie im Entwurf des DRÄS 5 ausgeführt auf alle Teile des IKS und RMS, die den (Konzern-)Abschluss wesentlich beeinflussen können. Dies sind neben der Abschlusserstellung unter Wesentlichkeitsgesichtspunkten auch die Bestandteile des IKS und RMS, die z.b. auf die originär zutreffende Erfassung von Transaktionen in der Buchhaltung abstellen.

4 4 Struktur und Inhalt der beschreibenden Darstellung Die Beschreibung der wesentlichen Merkmale des IKS und RMS der Rechnungslegungsprozesse soll dem Leser ermöglichen, sich ein Bild von den Systemen machen zu können. Hierzu ist eine klare Gliederung der Darstellung erforderlich. Die Beschreibung sollte hierbei die nachfolgenden Inhalte abdecken: Allgemeine Aussagen Zielsetzungen Organisatorischer Aufbau Darstellung der wesentlichen Risiken und der hiermit verbundenen internen Kontrollen Darstellung der Maßnahmen zur Sicherstellung der Wirksamkeit des Internen Kontroll- und des Risikomanagementsystems Welche Darstellungen genau angemessen und notwendig sind, richtet sich nach den Gegebenheiten des Unternehmens und der Ausgestaltung der Systeme im jeweiligen Unternehmen. Beispielhaft können sich folgende inhaltlichen Aussagen empfehlen: Allgemeine Aussagen Das Unternehmen sollte seinen Ausführungen zunächst eine Definition der Begrifflichkeiten vorwegstellen. Hierbei kann z.b. auf die bereits im Deutschen Rechnungslegungsstandard Nr. 5 zur Risikoberichterstattung enthaltene Definition des RMS zurückgegriffen werden. Hiernach ist das RMS ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes System, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation, Analyse, Bewertung, Steuerung, Dokumentation und Kommunikation von Risiken sowie die Überwachung dieser Aktivitäten. Des Weiteren sollte darauf hingewiesen werden, dass zur Steuerung der Risiken das IKS einen integralen Bestandteil des RMS darstellt und entsprechend eine zusammengefasste Darstellung erfolgt. Soweit das Unternehmen sein RMS und IKS auf der Grundlage von anerkannten Rahmenwerken (z.b. COSO ERM, COSO IKS, Turnbull) eingerichtet hat, kann ein Verweis auf diese Rahmenwerke das Verständnis des Abschlussadressaten für die Systeme erleichtern. Zur Verdeutlichung der Verantwortlichkeiten empfehlen sich Aussagen dazu, dass der Vorstand Umfang und Ausrichtung der eingerichteten Systeme in eigener Verantwortung anhand der unternehmensspezifischen Anforderungen ausgestaltet. Alle entsprechenden Rahmenwerke stellen klar, dass auch angemessen und funktionsfähig eingerichtete Systeme keine absolute Sicherheit zur Identifikation und Steuerung der Risiken gewähren können. Da beim Abschlussadressaten dieses Verständnis nicht unterstellt werden kann, sollte hierauf zur Vermeidung einer Erwartungslücke hingewiesen werden.

5 5 Zielsetzungen Zum Verständnis der Struktur und Prozesse des RMS und IKS ist es notwendig, die Zielsetzung der zu beschreibenden Systeme anzugeben. In Bezug auf die (Konzern-)Rechnungslegungsprozesse sind dies nach E-DRÄS 5 in Hinblick auf das RMS: Identifizierung und Bewertung von Risiken, die dem Ziel der Regelungskonformität des (Konzern-)Abschlusses entgegenstehen könnten Begrenzung erkannter Risiken, z.b. durch Hinzuziehung von externen Spezialisten Überprüfung erkannter Risiken hinsichtlich ihres Einflusses auf den Konzernabschluss und die entsprechende Abbildung dieser Risiken. Die Zielsetzung des IKS des Rechnungslegungsprozesses ist es, durch die Implementierung von Kontrollen hinreichende Sicherheit zu gewährleisten, dass trotz der identifizierten Risiken ein regelungskonformer (Konzern-)Abschluss erstellt wird. Sofern die Beschreibung der wesentlichen Merkmale des RMS / IKS in einem zusammengefassten Risikobericht erfolgt, ist auch auf die Zielsetzung der Systeme in Hinblick auf andere Risiken (betriebliche Abläufe, Compliance, interne Berichterstattung) einzugehen. Organisatorischer Aufbau Die Regierungsbegründung verlangt zur Beschreibung der wesentlichen Merkmale des RMS / IKS der Rechnungslegungsprozesse eine Beschreibung der Strukturen und Prozesse. Hierzu gehört auch eine Beschreibung des organisatorischen Aufbaus. Abhängig von den Gegebenheiten im Unternehmen kann die Darstellung der Organisationsstruktur für das RMS / IKS einheitlich oder nach einzelnen Bereichen (Rechnungslegungsprozess, betriebliche Abläufe, Compliance) getrennt erfolgen. Im Einzelnen werden Angaben zu folgenden Themen zu erwarten sein: Darstellung des grundsätzlichen Aufbaus - Einheitliche, zentrale Ausrichtung aller Systeme oder dezentrale Organisation, ausgerichtet an Tochterunternehmen - Angaben zu Konzernrechnungslegungseinheiten - Soweit einzelne Konzerneinheiten nicht in das System eingebunden sind, oder eigene Systeme haben, muss dies klar dargestellt werden (z.b. im Falle von Neu-Akquisitionen) Nennung von Zuständigkeiten z.b. : - Finanzvorstand - Interne Revision - Risiko-Komitees Angaben zu den wesentlichen Unternehmensrichtlinien (allgemeine Beschreibung, keine detaillierte Wiedergabe) - Code of Ethics - Compliance Richtlinien - Betriebsorganisation-Handbücher - Bilanzierungs- und Konsolidierungshandbücher - Gegebenenfalls Verweis auf Entsprechenserklärung - Gegebenenfalls Verweis auf Erklärung zur Unternehmensführung

6 6 In Bezug auf die Prozesse des RMS wird allgemein eine Beschreibung der Prozesse zur Risikoidentifizierung, -bewertung und Entscheidung über die Risikoakzeptanz des Unternehmens, bzw. zur Risikophilosophie des Unternehmens zu erwarten sein. In Bezug auf die Rechnungslegungsprozesse kann z.b. eine Beschreibung der Prozesse zur Identifizierung von Rechnungslegungsrisiken sowie zur Beurteilung der Wesentlichkeit von potentiellen Fehlaussagen im Jahresabschluss erfolgen. Aus E-DRÄS 5 sind verschiedene Angaben zu den Prozessen des IKS der Rechnungslegung ableitbar: Bilanzierungsrichtlinien (z.b. zur Vorratsbewertung, zur Darstellung von Steuersachverhalten, Kontierungsanweisungen) Organisation und Kontrolle der Buchhaltung, Ablauf der (Konzern-)Abschlusserstellung Grundzüge der Funktionstrennung zwischen den Abteilungen Zuordnung der Aufgaben bei der Erstellung der Abschlüsse (z.b. Abstimmung von Forderungen und Verbindlichkeiten durch Saldenbestätigungen) Mitwirkung externer Dienstleister am (Konzern-)Abschlusserstellungsprozess Zugriffsregelungen im EDV-System (Schreib-, Leseberechtigung) Aufgaben im Zusammenhang mit der (Konzern-)Rechnungslegung, die vom Bereich Interne Revision wahrgenommen werden Konzerninterne Richtlinien zur Abstimmung konzerninterner Liefer- und Leistungsbeziehungen, beispielsweise für Zwecke der Eliminierungen Zuordnung der Aufgaben bei der Erstellung der Konzernabschlüsse (z.b. Abstimmung konzerninterner Salden, Kapitalkonsolidierung, Überwachung der Berichtsfristen und der Berichtsqualität in Bezug auf die Daten der einbezogenen Unternehmen) Nutzung von externen Sachverständigen bei der (Konzern-)Abschlusserstellung Zugriffsvorschriften im Konsolidierungs-EDV-System (Schreib-, Leseberechtigungen auf Ebene von einbezogenen Unternehmen oder auf Ebene des Konzerns oder Teilkonzernen/Segmenten) Kontrollprozesse hinsichtlich der (Konzern-)Rechnungslegung (z.b. Vier-Augen- Prinzip) Eine Berichterstattungspflicht über die Risiken der (Konzern-)Rechnungslegung besteht nur insoweit, als es sich um Risiken der zukünftigen Entwicklung handelt, über die entsprechend nach 289 Abs. 1, bzw. 315 Abs. 1 HBG zu berichten ist. Eine darüber hinausgehende Beschreibung der (Konzern-)Rechnungslegungsrisiken im Zusammenhang mit der Beschreibung der IKS-Prozesse kann das Verständnis des Abschlussadressaten für die Beschreibung des rechnungslegungsbezogenen IKS erhöhen. Im Rahmen der Risikoberichterstattung nach 289 Abs. 1, 315 Abs. 1 HGB sind die zu berichtenden Risiken der zukünftigen Entwicklung umgekehrt auch im Zusammenhang mit den jeweils ergriffenen Maßnahmen zu beschreiben (DRS 5.21).

7 kpmg.de Maßnahmen zur Sicherstellung der Wirksamkeit des RMS / IKS Aussagen zur Wirksamkeit des RMS bzw. IKS sind weder im Hinblick auf die (Konzern-)Rechnungslegungsprozesse noch im Hinblick auf die übrigen RMS / IKS Bereiche gesetzlich gefordert. Hiervon unabhängig stellt die Sicherstellung der Wirksamkeit der implementierten Systeme einen integralen und wesentlichen Bestandteil der Systeme (Monitoring) dar. RMS und IKS können keine statischen Systeme sein, sondern müssen fortlaufend an geänderte Anforderungen und Rahmenbedingungen angepasst werden. Zur Identifizierung dieser Änderungsnotwendigkeiten ist die laufende Überwachung der gesamten Systeme auf Wirksamkeit notwendig. Die vom Vorstand im Rahmen der Sorgfaltspflicht ergriffen Maßnahmen zur nachhaltigen Wirksamkeit der Systeme stellen damit ein wesentliches Merkmal dar und sollten ebenfalls beschrieben werden. Die Beschreibung sollte dabei so ausgestaltet sein, dass der Leser des Lageberichts hierin nicht eine, wenn auch nur implizite Aussage zur tatsächlichen Wirksamkeit der Systeme zu verstehen meint. Im Einzelnen können sich Aussagen zu folgenden Sachverhalten anbieten: Fortlaufende Überwachung der Wirksamkeit - Regelmäßige Selbstbeurteilungen der mit den Kontrollen beauftragten Personen - Kennzahlenüberprüfungen zur Verprobung von Transaktionsergebnissen in Bezug auf Hinweise, die auf Kontrollschwächen schließen lassen - Informations- und Kommunikationswege, zur zeitnahen und vollständigen Vermittlung von Informationen über die Notwendigkeit von Veränderungen an den Kontrollen - Fortgesetzte Maßnahmen, um neu auftretende Risiken und Notwendigkeit zur Neu-Implementierung von Kontrollen zu erkennen - Stichprobenweise Prüfung der Wirksamkeit durch die Interne Revision Separate Überprüfungen der Wirksamkeit - Umfangreiche Wirksamkeitstest durch Interne Revision / spezielle Teams, z.b.: Konzernweit Für bestimmte Bereiche des RMS / IKS Für bestimmte Unternehmen Beurteilungen durch externe Prüfer Gegebenenfalls: Feststellungen aus solchen Prüfungen Berichterstattung an den Aufsichtsrat (AR)/Prüfungsausschuss (PA) - Regelmäßige Berichterstattung des Vorstands an AR / PA, z.b.: Welche Bereiche des RMS / IKS Art der Berichterstattung Turnus der Berichterstattung - Gesonderte Überwachungsmaßnahmen durch AR, z.b.: Gesonderte Beauftragung der IR auf Veranlassung des AR Gesonderte Beauftragung externer Dritter (z.b. als Schwerpunkt im Rahmen der JA-Prüfung) Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und gründliche Analyse der betreffenden Situation KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International, einer Genossenschaft schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.