Jörg Berwanger | Stefan Kullmann Interne Revision
Jörg Berwanger | Stefan Kullmann
Interne Revision Wesen, Aufgaben ...
57 downloads
2112 Views
1MB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Jörg Berwanger | Stefan Kullmann Interne Revision
Jörg Berwanger | Stefan Kullmann
Interne Revision Wesen, Aufgaben und rechtliche Verankerung
Bibliografische Information Der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.
1. Auflage 2008 Alle Rechte vorbehalten © Betriebswirtschaftlicher Verlag Dr. Th. Gabler | GWV Fachverlage GmbH, Wiesbaden 2008 Lektorat: RA Andreas Funk Der Gabler Verlag ist ein Unternehmen von Springer Science+Business Media. www.gabler.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung: KünkelLopka Medienentwicklung, Heidelberg Druck und buchbinderische Verarbeitung: Wilhelm & Adam, Heusenstamm Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Printed in Germany ISBN 978-3-8349-0439-3
Vorwort Die Interne Revision in deutschen Wirtschaftsunternehmen ist ein wichtiger, man darf sogar sagen regelmäßig unverzichtbarer Bestandteil eines effizienten unternehmensinternen Überwachungssystems. Die Richtigkeit dieser Aussage ergibt sich trotz wenig ergiebiger rechtlicher Grundlagen. Sie wird mindestens getragen von Best Practice Überlegungen zu moderner Unternehmensführung. Die Interne Revision erbringt im Auftrag der Unternehmensleitung unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, was sie von anderen unternehmensinternen Kontrollstellen, etwa dem Controlling, unterscheidet. Ihre Tätigkeit ist darauf ausgerichtet, Mehrwerte zu schaffen und Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie systematisch und zielgerichtet die Effektivität des Risikomanagements, der Kontrollen in einem Unternehmen und die Führungs- und Überwachungsprozesse bewertet und verbessern hilft. Ihre Prüfungsfelder erfassen alle Bereiche des Unternehmens und beziehen sich auf kaufmännische, technische und juristische Aufgaben und betreffen auch Organisationsthemen. Sie kommt bei ihrer Arbeit in Berührung mit im öffentlichen Diskurs erörterten Problemen, etwa zu sozialen Werten und Maßstäben in der Wirtschaftswelt, und gestaltet hier die Meinungsbildungsprozesse mit. Wegen der stetigen Veränderungen, denen sich die Wirtschaft ausgesetzt sieht, beispielsweise aufgrund der zunehmenden internationalen Verflechtung, ist auch die Interne Revision einem permanenten Wandel unterworfen. Ihre Veränderungsbereitschaft betrifft ein Lernen und Sich-Einarbeiten in neue Aufgaben und Probleme ihrer Prüfobjekte ebenso, wie die damit in Wechselwirkung stehenden Anpassungsbedürfnisse bei ihren internen Grundsätzen, etwa denen zur Berufsethik. Die Verfasser wollen mit dem vorliegenden Werk ein Grundkompendium zur Revision bieten. Sie verfolgen den Anspruch, in erster Linie Angehörige der Internen Revision relativ kompakt für vorstehend erläuterte Thematiken zu sensibilisieren. Von dem Buch profitieren sollen auch Angehörige der sog. Externen Revision, also z.B. Mitarbeiter von Wirtschaftsprüfungsgesellschaften. Es soll ein Leitfaden rund um alle Kernfragen zur Internen Revision gegeben werden. Zudem wird ab und an ein Blick über den revisorischen Tellerrand hinaus gewagt. Dem Anliegen der schnellen Versorgung mit Fakten folgt die Idee, im Werk ein gut sortiertes Glossar mit Definitionen, Fachbegriffen, Eigennamen und gängigen Abkürzungen zur Internen Revision zu bieten. Schließlich wendet sich das Buch auch an die Revisionskundschaft, also an die Leitung und letztlich an alle anderen Mitarbeiter des Unternehmens. Sie sollen ihre Interne Revision und ihren Wert fürs Unternehmen richtig einordnen und (ein-) schätzen können. Diesem Aspekt fühlt sich das Buch besonders verpflichtet, denn die Interne Revision hat gar nicht so selten mit Akzeptanzproblemen zu kämpfen. Diese sind psychologisch leicht zu erklären, denn Fremdbeobachtung wirkt störend. Jeder, dem ein anderer beim Schreiben über die Schulter geschaut hat, weiß das. Das aber ist der Job der Internen Revision. Bei der Konzeption des Werks und der Themenauswahl musste aus Kapazitätsgründen Mut zur Lücke aufgebracht werden. Zuweilen werden aber auch Themen bewusst breiter aufbereitet. Das gilt neben „soziologischen Ausflügen“ vor allem für die rechtlichen Ausführungen, die sich dadurch stellenweise einem Lehrbuch oder einem Rechtskommentar annähern. So soll Mitarbeitern der Internen Revision, die regelmäßig keine juristische Ausbildung aufweisen, eine Vermittlung einschlägiger rechtlicher Grundkenntnisse geboten werden. Außerdem stellen die Verfasser die 5
Forderung auf, dass sich Revisionsabteilungen, weitgehend „juristische Diaspora“, tunlichst mit juristischem Personal verstärken sollten, um den auf diesem Feld bestehenden blinden Fleck zu beseitigen. Im Übrigen werden zu einzelnen Fragen differenzierte Standpunkte und provokante Antworten geboten, die vom Mainstream anderer Beschreibungen über die Interne Revision abweichen. Wegen ihrer Bedeutung für die Interne Revision und für ihre Arbeit wird relativ ausgedehnt auf Merkwürdigkeiten und Verwerfungen in Unternehmen eingegangen – sehr oft ein schwieriges Terrain, auf dem sich die Interne Revision da bewegt. Auch scheinbar klare Positionen zur Internen Revision selbst werden kritisch hinterfragt. Vorstehende Themen werden mittels einer zuweilen recht pointierten und zugespitzten Darstellungsweise erörtert. Und auch wenn, wie früher in der Revisionsliteratur festgestellt wurde, die Suche nach heiteren Aspekten der Internen Revision schnell an natürliche Grenzen stößt und angeblich nur Unbetroffene ungestraft Witze über die Interne Revision machen dürfen – die Verfasser nehmen diese Herausforderungen an. Daher möchten auch mal Schilderungen von Anekdoten und Schnurren aus der Wirklichkeit und ein bewusst gewählter locker-lässiger Schreibstil zum Schmunzeln einladen. Das soll dazu dienen, die schwierigen Sachthemen und die zuweilen bestehenden Probleme möglichst leicht bekömmlich zu servieren, um so ihre gedankliche Aufnahme und Verarbeitung zu erleichtern. Der Humorfaktor soll auch durch Eigenironie bedient werden. Sich selbst mal auf die Schippe nehmen, sich den Spiegel vorhalten und sich und seinen Berufsstand nicht zu wichtig zu nehmen, kann vieles leichter machen. Dieser Appell mag so manchen Kollegen ansprechen, der bei seinen „field activities“ bei der geprüften Stelle mit entsprechender Attitüde und einem Blick wie dem von DschingisKhan unterwegs ist. Das hilft niemanden – am wenigsten dem Ansehen der Internen Revision im Unternehmen. Für Anregungen und Kritik sind wir dankbar. Wir danken unseren Ehefrauen – wegen etlicher nicht stattgefundener Wochenenden. Neunkirchen/Gelsenkirchen, im Oktober 2007 Dr. Dr. Berwanger Dr. Kullmann
6
Inhaltsübersicht Vorwort Inhaltsübersicht Abkürzungsverzeichnis Literaturverzeichnis Autorenverzeichnis §1 Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen A. Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs I. Globalisierung als Initial-Stichwort II. Verschiebung von Werten in der Gesellschaft 1. Die soziologische Systemtheorie 2. Ziele und Werte in Unternehmen – Anspruch und Wirklichkeit III. Auswirkungen auf die Interne Revision B. Die Organisation des Berufsstands I. The Institute of Internal Auditors (IIA) II. Das Institut für Interne Revision e.V. (IIR) III. The ECIIA – die europäische Interessenvertretung IV. Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. und andere C. Die Position der Internen Revision im Unternehmen I. Glossar 1. Termini/Definitionen – Notwendigkeit eines Begriffsformalismus 2. Fachbegriffe in alphabetischer Reihenfolge II. Aufgaben, Rechte, Pflichten, organisatorische Eingliederung 1. Kurzabriss zur Historie der Revision 2. Die Interne Revision als Bestandteil des Internen Kontrollsystems 3. Interne Revision und Risikomanagement 4. Die Interne Revision als Bestandteil der Corporate Governance 5. Zusammenarbeit zwischen der Internen Revision und dem Abschlussprüfer 6. Zusammenarbeit der Internen Revision mit dem Aufsichtsrat 7. Revisionsfelder 8. Abgrenzung der Internen Revision zum Controlling 9. Interne Revision und Compliance 10. IT-Revision und Datenschutz 11. Interne Revision: zentral oder dezentral? 12. Outsourcing von Revisionsleistungen §2 Rechtsgrundlagen zur Internen Revision A. Überblick – das KonTraG und andere Rechtsquellen B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG I. Vorgeschichte und Motive zum KonTraG II. Auslegung und Anwendung von § 91 Abs. 2 AktG 1. Systematische Einordnung der Vorschrift
5 7 11 15 17 19 19 19 22 22 23 28 32 32 35 37 38 39 39 39 40 53 53 54 62 64 67 68 71 78 80 82 86 87 89 89 92 92 93 93 7
Inhaltsübersicht
§3
8
2. Meinungsstand zum Inhalt der Vorschrift 3. Hier vertretene Auffassung 4. Speziell zur Rechtspflicht der Schaffung einer Internen Revision III. Die Ausstrahlungswirkung von § 91 Abs. 2 AktG 1. Zur Rechtsfigur und Abgrenzung zur Analogie 2. Eigene Rechtsauffassung C. Innenrecht I. Bedeutung für die Interne Revision II. Betriebswirtschaftliche und soziologische Grundlagen 1. Organisation 2. Koordinationsinstrumente III. Institutsnormen für die Interne Revision 1. Revisionsrichtlinie 2. Revisionshandbuch IV. Sonstige Normen D. Deutscher Corporate Governance Kodex I. Grundlagen 1. Regelungsgegenstand, Zweck und Hintergrund 2. Basistheorien zur Corporate Governance 3. Regelungsarten und abstrakte Umschreibung der Inhalte II. Kritik am DCGK III. DCGK und § 161 AktG – Rechtliche Folgerungen E. Internationale Rechtsregelungen I. SOX 1. Allgemeines 2. Section 302 SOX 3. Section 404 SOX II. 8. EU-Richtlinie 1. Überblick 2. Audit Committee und Internes Kontrollsystem F. Zusammenfassung zum Rechtsteil Prüfungsprozess A. Allgemeine Ausführungen zum Prüfungsprozess B. Prüfungsplanung I. Planungsebenen II. Risikoorientierte Prüfungsplanung 1. Audit Universe als Planungsgrundlage 2. Kriterien für die Risikobewertung III. Mitarbeitereinsatzplanung C. Prüfungsvorbereitung I. Prüfungsauftrag und -ankündigung II. Prüfungsprogramm, Prüfungsdisposition und die Einholung relevanter Informationen
93 95 100 101 101 102 103 103 104 104 105 106 106 108 108 109 109 109 110 111 113 115 121 121 121 123 123 124 124 125 126 128 128 129 130 131 131 132 135 137 137 138
Inhaltsübersicht D. Prüfungsdurchführung I. Kick-off II. Prüfungsumfang (Notwendigkeit und Wesentlichkeit) III. Prüfungsverhalten und Prüfungshandlungen IV. Technische und methodische Hilfsmittel V. Arbeitspapiere VI. Abschluss der „Field Activities“ E. Prüfungsbericht I. Berichtsgrundsätze II. Berichtsaufbau und Berichtsempfänger F. Maßnahmenmonitoring und Follow-up I. Grundlagen des Nachhalteprozesses II. Maßnahmenmonitoring III. Follow-up-Prüfungen G. Qualitätssicherung des Revisionsprozesses I. Grundlagen der Qualitätssicherung II. Die Anforderungen der Revisionsstandards 1. Der IIA-Standard 1300 2. IIR Revisionsstandard Nr. 3 „Qualitätsmanagement“ III. Revisionshandbuch IV. Der Einsatz von Audit-Management-Systemen §4 Ausgesuchte besondere Aspekte der Revisionsarbeit A. Regel und Ausnahme, Verantwortung und Kontrolle B. Voraussetzungen für den wirksamen Einsatz der Internen Revision C. Der Revisor als Change Agent? D. Der Revisor als „Übermensch“? I. Das Berufsbild des Revisors II. Das Anforderungsprofil an einen Revisor III. Der Revisor mit Spezialausbildung: Das CIA-Examen IV. Die Wirklichkeit E. Korruption I. Definition und wissenschaftliche Ansätze II. Zahlen, Daten und Fakten III. Ursachen – insbesondere: (Top-)Management-Fraud IV. Bekämpfung 1. Prävention 2. Rolle der Internen Revision §5 Zusammenfassung von Kernfragen Stichwortverzeichnis
141 141 142 143 146 148 150 150 151 153 154 155 155 156 156 156 158 158 160 163 164 167 167 171 175 178 178 179 180 181 184 184 186 187 194 194 194 197 199
9
Abkürzungsverzeichnis a.a.O. abzgl. a.F. Abs. AG AGG AktG AO Aufl.
am anderen Ort abzüglich alte Fassung Absatz Aktiengesellschaft Allgemeines Gleichbehandlungsgesetz Aktiengesetz Abgabenordnung Auflage
BaFin BB BGBl. BGH BT-Drucks. BVerfG BVerfGE bzw.
Bundesanstalt für Finanzdienstleistungsaufsicht Betriebsberater Bundesgesetzblatt Bundesgerichtshof Bundestagsdrucksache Bundesverfassungsgericht Bundesverfassungsgericht Entscheidung Band beziehungsweise
CFE CGAP CIA CISA CMA CPA
Certified Fraud Examiner Certified Government Auditing Professional Certified Internal Auditor Certified Informaton Systems Auditor Certified Management Accountant Certified Public Accountant
DB DCGK d.h.
Der Betrieb Deutscher Corporate Governance Kodex das heißt
ECIIA EG ERP ESt EStG etc. ETF EU EUR EuGH
European Confederation of Institutes of Internal Auditors Europäische Gemeinschaft Enterprise Resource Planning Einkommensteuer Einkommensteuergesetz et cetera Exchange Traded Fonds Europäische Union Euro europäischer Gerichtshof 11
Abkürzungsverzeichnis EURIBOR EWG
European Interbank Offered Rate Europäische Wirtschaftsgemeinschaft
f. ff. FA FG
folgende fortfolgende Finanzamt Finanzgericht
gem. GenG GG ggf. GmbH GmbHG
gemäß Genossenschaftsgesetz Grundgesetz gegebenenfalls Gesellschaft mit beschränkter Haftung Gesetz betreffend die Gesellschaften mit beschränkter Haftung
HGB Hrsg.
Handelsgesetzbuch Herausgeber
i.d.F. i.d.R. IDW IFRS IIA IIR IKS i.S.d. i.ü. i.V.m. InvG
in der Fassung in der Regel Institut der Wirtschaftsprüfer e.V. International Financial Reporting Standards The Institute of Internal Auditors Inc. Deutsches Institut für Interne Revision e.V. Internes Kontrollsystem im Sinne des im Übrigen in Verbindung mit Investmentgesetz
JZ
Juristenzeitung
Komm. KonTraG KWG KZfSS
Kommentar Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Kreditwesengesetz Kölner Zeitschrift für Soziologie und Sozialpsychologie
Mio. m.w.N.
Millionen mit weiteren Nachweisen
Nr. NJW
Nummer Neue Juristische Wochenschrift
12
Abkürzungsverzeichnis o.ä. OECD
oder ähnlich Organization for Economic Cooperation and Development
PCAOB
Public Company Accounting Oversight Board
RL Rn.
Richtlinie Randnummer
S. SAP SEC sog. SOX StGB
Seite Systemanalyse und Programmentwicklung Securities and Exchange Commission so genannte Sarbanes-Oxley-Act Strafgesetzbuch
u.a. u.E. USGAAP usw. u.U.
unter anderem unseres Erachtens U.S. Generally Accepted Accounting Principles und so weiter unter Umständen
v.a. VersR VorstOG VG vgl.
vor allem Zeitschrift für Versicherungsrecht Vorstandsvergütungs-Offenlegungsgesetz Verwaltungsgericht vergleiche
WPg
Die Wirtschaftsprüfung (Zeitschrift)
z.B. z.T. ZGR ZIR ZRFG zzgl.
zum Beispiel zum Teil Zeitschrift für Unternehmens- und Gesellschaftsrecht Zeitschrift Interne Revision Zeitschrift für Risk, Fraud & Governance zuzüglich
13
Literaturverzeichnis Bahrdt, H. P.: Schlüsselbegriffe der Soziologie, 7. Aufl. München 1997; Beck, U.: Schöne neue Arbeitswelt, 2. Aufl., Frankfurt/Main und New York 1999; Beck, U., Brater, M., Daheim, H.: Soziologie der Arbeit und der Berufe, Reinbek b. Hamburg 1980; Bourdieu, P.: Gegenfeuer. Wortmeldungen im Dienste des Widerstands gegen die neoliberale Invasion, Konstanz 1998; Buchanan, J. M.: Die Grenzen der Freiheit. Zwischen Anarchie und Leviathan, Tübingen 1984; Busch, R.: (Hrsg.): Shareholder value – Neue Unternehmensmoral?, Berlin 1998; Coenenberg, A. G., Wysocki, K. v. (Hrsg.): Handwörterbuch der Revision, 2. Aufl., Stuttgart 1992 Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Integrated Framework, Executive Summary, Jersey City (NJ) 2004; Dölling, D. (Hrsg.): Handbuch der Korruptionsprävention für Wirtschaftsunternehmen und öffentliche Verwaltung, München 2007; Drucker, P. F.: Die Kunst des Managements, München 2000; Endruweit, G.: Organisationssoziologie, Berlin/New York 1981; Förster, A., Kreuz, P.: Alles, außer gewöhnlich, Berlin 2007; Füss, R.: Die Interne Revision, Berlin 2005; Gladwell, M.: The Tipping Point, New York/Boston 2002; Glotz, P.: Die beschleunigte Gesellschaft, Reinbek b. Hamburg 1999; Hamel, G.: Leading the Revolution, New York 2002; Hofmann, R.: Prüfungshandbuch, 4. Aufl., Berlin 2002; Hofstede, G., Hofstede, G. J.; Culture and Organizations, New York 2005; Horváth, P.: Controlling, 10. Aufl., München 2006; Hüffer, U.: AktG-Kommentar, 7. Aufl., München 2006; Hunecke, J.: Interne Beratung durch die Interne Revision, Sternenfels 2001; Kaehlbrandt, R.: Deutsch für Eliten, München 2001; Kagermann, H., Küting, K., Weber, C.-P.: Handbuch der Revision, Management mit der SAPRevisions-Roadmap, Stuttgart 2006; Kracauer, S.: Die Angestellten. Aus dem neuesten Deutschland, Frankfurter Zeitung 1929, als Buchausgabe erstmals 1930; Frankfurt am Main 1971; Kurbjuweit, D.: Unser effizientes Leben, Reinbek bei Hamburg 2003; Leif, T.: beraten und verkauft, München 2006; 15
Literaturverzeichnis Lehnartz, S.: Global Players – Warum wir nicht erwachsen werden, Frankfurt a.M. 2005; Lück, W. (Hrsg.): Lexikon der Rechnungslegung und Abschlussprüfung, 4. Aufl., München/Wien 1998; Lück, W. (Hrsg.): Zentrale Tätigkeitsbereiche der Internen Revision, Berlin 2006; Luhmann, N.: Die Wirtschaft der Gesellschaft, Frankfurt a.M. 1988; Luhmann, N.: Funktionen und Folgen formaler Organisation, Berlin 1964; Luhmann, N.: Die Gesellschaft der Gesellschaft, 2 Bde., Frankfurt a.M. 1997; MacIntyre, A.: Der Verlust der Tugend, Zur moralischen Krise der Gegenwart, Frankfurt/New York 1987; Mayntz, R.: Soziologie der Organisation, Reinbek 1963; Neuberger, O.: Zur Verkommenheit der Manager – Pathologien der Individualisierung, in: Scholz (Hrsg.), Individualisierung als Paradigma, Festschrift für Hans Jürgen Drumm, Stuttgart etc. 1997; Pinchot, C.: Intrapreneuring. Why you don’t have to leave the corporation to become an Entrepreneur, New York etc. 1985; Robbins, S.: Organizational Behavior, Upper Saddle River, New Jersey 2005; Romeike, F., Finke, R. (Hrsg.): Erfolgsfaktor Risikomanagement: Chance für Industrie und Handel, Wiesbaden 2003; Schneider, W.: Deutsch für Profis, Hamburg 1984; Schneider, W.: Deutsch!, 3. Aufl., Reinbek bei Hamburg 2006; Scholz, C.: Personalmanagement, 5. Aufl., München 2000; Schrott, R.: Handbuch der Wolkenputzerei, München, Wien 2005; Schumpeter, J.: Kapitalismus, Sozialismus und Demokratie, 2. Aufl., Bern 1950; Simon, F. B.: Gemeinsam sind wir blöd, 2. Aufl., Heidelberg 2005; Sprenger, R. K.: Aufstand des Individuums, Frankfurt a.M./New York 2000; Sprenger, R. K.: Vertrauen führt, Frankfurt a.M./New York 2005; Steppan, R.: Versager in Dreiteilern, Frankfurt 2003; Tröndle H./Fischer T.: Strafgesetzbuch-Kommentar, 51. Aufl., München 2003; Vahs, D.: Organisation, Einführung in die Organisationstheorie und -praxis, 3. Aufl., Stuttgart 2001; Watzlawick, P.: Anleitung zum Unglücklichsein, München 1983; Wells, J. T.: 2004 Report to the Nation on Occupational Fraud and Abuse, Austin, Texas 2004; Wöhe, G.: Einführung in die allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000; Zimmer, D. E.: Die Wortlupe, Hamburg 2006. 16
Autorenverzeichnis Dr. iur. Dr. phil. Jörg Berwanger, Neunkirchen/Saar, Jahrgang 1959, Assessorexamen 1989, Promotionen 2000 und 2004, war von 1989 bis 1995 Geschäftsführer und Prozessbevollmächtigter beim Arbeitgeberverband des Saarländischen Handwerks. Seit 1995 war er im Saarbergwerke AG Konzern, später bei RAG Saarberg AG (beide Saarbrücken), als Justitiar tätig. Von 2002 bis 2004 war der Autor Leiter Umweltschutz und leitender Justitiar bei der Saar Energie GmbH. Seit Ende 2004 war Dr. Dr. Berwanger in Führungsfunktionen in Sachen Revision/Datenschutz tätig, zunächst bei der Saar Energie AG, ab April 2005 als Leiter des Regionalbüros Saar der neu formierten RAG Konzernrevision GmbH. Seit Mai 2007 ist er wieder im juristischen Bereich des neu aufgestellten RAG Konzerns, im Herbst 2007 mit dem neuen Namen Evonik Industries AG, tätig. Der Autor setzt seine fachlichen Akzente im Wirtschaftsrecht und Unternehmensrecht. Es gibt zahlreiche Veröffentlichungen, u.a. ist er Mitautor eines Steuerberaterbranchenhandbuchs und eines Kommentars zum SchwarzArbG. Er ist auch als Lehrbeauftragter an der FH Trier (Umweltcampus Birkenfeld) tätig. Dr. rer. pol. Stefan Kullmann, Gelsenkirchen, Jahrgang 1963, Diplom-Kaufmann 1990, Promotion 1997, war von 1990 bis 1999 in verschiedenen Positionen beim Gesamtverband des deutschen Steinkohlenbergbaus (Essen) tätig. Nach einer einjährigen Stabstätigkeit bei der Deutschen Steinkohle AG (Herne) übernahm der Autor seit 2000 Führungsaufgaben im Bereich Revision/Datenschutz der RAG Aktiengesellschaft (Essen), zunächst als stellvertretender Leiter des Zentralbereichs der Konzernrevision. Ab April 2005 verantwortete er die Leitung des Competence Centers Energie der neu formierten RAG Konzernrevision GmbH. Gleichzeitig übernahm der Autor die Aufgaben des Datenschutzbeauftragten für eine Reihe von Konzerngesellschaften. Seit 2007 ist er Leiter des Bereichs Kaufmännische Revision II der neu errichteten RAG Service GmbH, im Herbst 2007 mit dem neuen Namen Evonik Services GmbH. Der Autor hat bereits an zahlreichen Veröffentlichungen insbesondere zum Thema Risikomanagement mitgewirkt.
17
1
§ 1 Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen A.
Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs
I.
Globalisierung als Initial-Stichwort
1
Der in Deutschland erstmals Anfang der siebziger Jahre verwandte Begriff wurde spätestens im Jahr 1983 weltweit durch den Artikel „Globalization of Markets“ (von Theodore Levitt) verbreitet. Er bezeichnet einen Entwicklungsprozess, über dessen Beginn in der Literatur unterschiedliche Angaben gemacht werden. Mitunter wird zurückgegangen bis in die Antike, wo auch immer schon nach neuen Handelsmärkten und –wegen gesucht wurde. Weitere zeitliche Meilensteine sind 1492 (Kolumbus in Amerika), 1499 (Rückkehr von Vasco da Gama aus Indien) und das 19. Jahrhundert mit den Anfängen der Industrialisierung. Andere plazieren die zeitliche Verortung ihres Beginns wesentlich später, nämlich in die 70/80 er Jahre des letzten Jahrhunderts, indem auf die Einführung der „floatenden“ Wechselkurse (1971/1973) oder auf die Ölkrisen (1973 und 1980) hingewiesen wird. In Deutschland werden besonders die Jahre 1989 (die Wende in Europa) und 1993/1994 (Nachkriegsrezession) markiert. Vielen Ansätzen gemein ist die Aussage, dass es sich um einen stetig voranschreitenden Prozess handelt. Definitionen und Beschreibungen haben sich im Laufe der Zeit von ihrem Bedeutungsinhalt her nicht groß verändert, lediglich die Wortwahl changiert. Nach einer Definition der OECD handelt es sich bei Globalisierung um einen „Prozess, durch den Märkte und Produktion in verschiedenen Ländern immer mehr voneinander abhängig werden – dank der Dynamik des Handels mit Gütern und Dienstleistungen und durch die Bewegungen von Kapital und Technologie.“1 Globalisierung als die so umschriebene Verdichtung von Raum und Zeit, hervorgerufen durch sinkende Transport- und Informationskosten und durch fallende Grenzen, wurde bereits im 19. Jahrhundert ähnlich gedeutet. Solche frühere Vorlagen hatten sicherlich auch Beispielfunktion für spätere Ansätze: „Wenn Dampfkraft erst perfektioniert ist, wenn sie zusammen mit Telegraphie und Eisenbahn die Distanzen schwinden läßt, werden nicht nur Güter reisen. Auch Ideen werden Flügel haben. Wenn Steuer- und Handelshemmnisse zwischen den Staaten gefallen und die Völker einander immer näher rücken, wie wollen wir dann die alte Trennung wiederbeleben?“ (Chateaubriand, 1841). Man kann Globalisierung und ihre Überwindung von Grenzen im großen Stil in fünf Teilaspekte, die internationale Handelsverflechtung, ausländische Direktinvestitionen, die Operationen transnationaler Unternehmen, die verbesserten Kommunikationsmöglichkeiten und in die in-
1
OECD, zitiert bei Bernard von Plate, Grundelemente der Globalisierung, in: Informationen zur politischen Bildung, Heft 263 (2. Quartal 1999), Bundeszentrale zur politischen Bildung (Hrsg.).
19
1
2
1
§1
1
3
4
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
ternationalen Finanzmärkte zerlegen.2 Neben kulturellen und gesellschaftlichen Entwicklungen3 geht es – auch im Fokus dieses Buches – vorrangig um ein ökonomisches Phänomen in Form der Entstehung weltweiter Märkte für Produkte, Kapital und Dienstleistungen durch Zunahme und Verdichtung von grenzüberschreitenden Aktivitäten. Haupttreiber und Betroffene dieser Internationalisierung sind die Unternehmen als die Produzenten von Gütern und/oder Dienstleistungen, die auf diesen Märkten gehandelt werden. Sie müssen sich neuen Herausforderungen stellen, etwa in Form einer zunehmenden Vereinheitlichung von Rechnungslegungsgrundsätzen (Stichworte: IFRS und US-GAAP) oder durch das Festgelegtwerden auf internationale Standards bei interner Unternehmenskontrolle (SOX und 8. EU-Richtlinie). Über Globalisierung ist schon sehr viel geredet und geschrieben worden. Insbesondere wird sie – gemeinsam mit gleichzeitig eingeführten, zum Teil anglizistisch geprägten „neuen revolutionären Rätselwörtern aus der Gesellschaftsretorte des Managements“ (Ulrich Beck), wie z.B. Neoliberalismus bzw. -konservatismus, Intrapreneurship oder Shareholder Value – vielfach auch kritisch diskutiert. Das kann alle Jahre wieder anschaulich und eindrucksvoll, etwa anlässlich von Konferenzen, so etwa beim G 8 Gipfel in Heiligendamm im Juni 2007, besichtigt werden. Oft wird in Diskussionen das Verhältnis zwischen Wirtschaft und Politik angesprochen und erörtert, wer hier wen dominiert. Bourdieu bezeichnete Globalisierung als die „entscheidendste Waffe der Kämpfe gegen die Errungenschaften des welfare state“.4 Polemisch gewendet kommt das wie folgt daher: „Globalisierung ist, wenn du deinen Job verlierst, damit dein Unternehmen mehr Gewinn macht.“ (Gewerkschafter). Mit der Attac hat sich eine weltweit operierende Gegenbewegung gebildet. Sie vertritt u.a. soziale Interessen der Beschäftigten. Der Globalisierung werden vielfache zwanghafte Wirkungen auf deutsche Unternehmen zugeschrieben: Ein verschärfter Preiswettbewerb auf den Absatzmärkten mit hohem Aufwand für die Sicherung der Kundenanforderungen mit etlichen Begleitumständen (u.a. ggf. mit der Aufbringung der Flexibilität zur Produktionsverlagerung zum ausländischen Kunden hin und höchste Anforderungen an die Termintreue) führe zu einem Diktat der Dauerbewegung. Der „digitale Kapitalismus“ erbringe eine „Nanosekunden-Kultur“, d.h., die davon Betroffenen müssten schnell, mobil, flexibel und ubiquitär sein.5 In der Literatur wird insoweit ein Fetisch des Wandels kritisiert: „Unternehmen tun so, als würden sie sich immer wieder neu erfinden. Sie machen den Übergang zum Dauerzustand: „Wir tun was!“ Das Unternehmen wird zum Chamäleon, um bloß nicht als Verlierer dazustehen.“6 Selbst wenn in der einen oder anderen Facette objektiv nichts dahinter sein mag und kein Handlungsbedarf besteht, lassen sich viele Unternehmen doch davon beeindrucken und zu Aktionismus verleiten. Das wiederum fordert andere Unternehmen, dies nachzuahmen und in den Wettkampf dieses „Beschleunigungsrennens“ einzutreten – „selbst,
2
3
4 5 6
20
Friedhelm Hengsbach, „Globalisierung“ – eine wirtschaftsethische Reflexion, in: Aus Politik und Zeitgeschichte, Beilage zur Wochenzeitung Das Parlament, 11. Aug. 2000, S. 10, 12. Er beschränkt sich allerdings auf vier Schwerpunkte und hält den Kommunikationsaspekt und die von anderen ebenfalls noch genannte Arbeitsmigration für nicht so prägend. So z.B. werden nach soziologischer Theorie in modernen Industriegesellschaften alte nachbarschaftliche Institutionen des wechselseitigen Helfens und des Dankes zunehmend obsolet, weil die Versorgung des einzelnen in generalisierten und differenzierten Versorgungssystemen über Rechtsansprüche und Kaufchancen sichergestellt würden, vgl. Niklas Luhmann, Funktionen und Folgen formaler Organisation, Berlin 1964, S. 335 (FN 5). Pierre Bourdieu, Gegenfeuer. Wortmeldungen im Dienste des Widerstands gegen die neoliberale Invasion, Konstanz 1998, S. 43. Peter Glotz, Die beschleunigte Gesellschaft, Reinbek 1999, S. 125. Judith Mair, zitiert von Horst W. Opaschowski, Neue Welt der Arbeit, Studie über eine Repräsentativbefragung aus dem Jahr 2003, B.A.T. Freizeit-Forschungsinstitut, Hamburg 2003, S. 2 f.
A.
1
Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs
wenn man erkennt, dass es im Abgrund enden wird.“7 Die Situation erinnert an die scheinbare Verlockung, die von verbotenen Liebesaffären ausgehen kann8 und entspricht ganz dem Bild Schumpeters9 vom Wettbewerb im Kapitalismus, den er als „Prozess der schöpferischen Zerstörung“ beschreibt: „In der kapitalistischen Wirklichkeit (wirkt)... die Konkurrenz der vorhandenen Ware,... des neuen Organisationstyps... nicht nur..., wenn sie tatsächlich vorhanden ist, sondern auch, wenn sie nur eine allgegenwärtige Drohung ist. Sie nimmt in Zucht, bevor sie angreift.“ Wenn es denn glücklicherweise nicht im Abgrund endete, wird dann eben Jahre später die Umsetzung scheinbar großer (Ent-)Würfe u.U. unter Inkaufnahme von Milliardenverlusten wieder revidiert. Dazu können auch Scheidungen gehören. Das zeigt das Beispiel der Daimler-Chrysler Fusion („Welt-AG“), denn schließlich handelte es sich dabei um eine „Ehe, wie sie im Himmel geschlossen wird.“ (Jürgen Schrempp im Mai 199810 ). Ob der eine Partner nicht vielleicht doch noch im Abgrund enden wird, wird die Zukunft zeigen. Immerhin wurde Chrysler im Jahr 2007 an den Finanzinvestor Cerberus abgegeben, nach der griechischen Mythologie der mehrköpfige Hund, der den Hölleneingang bewacht. Wenngleich oft arg strapaziert und überbewertet ist „Globalisierung“ jedenfalls ein Schlüsselwort in unserer Zeit. Als in erster Linie wirtschaftliches Phänomen fungiert es daher als eine Art Initial-Stichwort, als thematischer Impulsgeber für das gesamte Untersuchungsprogramm auch dieses Buches. Viele der hier besprochenen Themen zur Internen Revision sind nämlich zumindest mittelbar darauf zurückzuführen. Denn es ist – wie skizziert – die Globalisierung, die zurzeit den nachhaltigsten Eindruck auf deutsche Unternehmen ausübt. Das betrifft insbesondere größere Unternehmen und Konzerne, die oft international agieren. Auch verfügen sie regelmäßig über eine Interne Revision.11 Für eine Diskussion der verschiedenen mit dem Globalisierungsbegriff verbundenen, sehr interessanten Implikationen und Auswirkungen auf andere Gebiete (soziale, politische, kulturelle und mediale) ist das vorliegende Buch allerdings nicht die richtige Plattform. Die weitere Ausbreitung und auch nur das Anreißen aller Themen würde seinen Rahmen sprengen. Die Verfasser müssen sich daher im Wesentlichen auf eine holzschnittartige Darstellung der Auswirkungen auf die Unternehmen beschränken, soweit diese für die Beschreibung der Auswirkungen für die Interne Revision von Bedeutung sind. Diesem Ansatz folgt der gedankliche Duktus des gesamten Buches. Vor allem ökonomische und rechtliche Umstände bilden daher die roten Fäden, entlang derer Fragen rund um die Interne Revision aufgeworfen und beantwortet werden sollen. Von den skizzierten Entwicklungen sind natürlich alle Mitarbeiter in diesen Unternehmen betroffen. Davon besonders stark berührt werden aber ihre Revisionsabteilungen, weil es der Arbeit der Internen Revision, ähnlich wie der des Controlling,12 inhärent ist, alle anderen Unternehmensteile im Fokus zu haben. Dazu gehören auch sozio-kulturelle Auswirkungen auf die Unternehmen, weil sich deren Leitungen im Druck sehen, Kulturen und Wertmaßstäbe diesen Entwicklungen anzupassen. Daraus ergeben sich dann regelmäßig auch Aufgabenfelder für die Interne Revision, etwa 7 Klaus Backhaus, Im Geschwindigkeitsrausch, Aus Politik und Zeitgeschichte, Beilage zur Wochenzeitung Das Parlament, 1999, B-31/99, S. 18, 24. 8 „Wer keine hat glaubt er verpasse etwas Wunderbares, wer eine hat fühlt sich die meiste Zeit elend.“, so ein namentlich nicht genannter Personalmanager zu Zielvereinbarungen. 9 Joseph Schumpeter, Kapitalismus, Sozialismus und Demokratie, 2. Aufl., Bern 1950, S. 134, 140. 10 ... der sich als gescheiterter Ehestifter im Jahr 2007 wegen des Kursanstiegs der Daimler-Chrysler-Aktie aufgrund der Trennungsnachricht über Zusatz-Einnahmen von 5,9 Mio. Euro freuen durfte. 11 Laut PWC-Gutachten „Wirtschaftskriminalität 2005“ von Nestler/Salvenmoser/Bussmann, Frankfurt am Main und Halle, November 2005, S. 37, verfügen weltweit 82 % der Unternehmen über eine Interne Revision. 12 Daher gilt wohl auch: „Controller und Revisionsmanager sind gleichermaßen tief von ihrer Unentbehrlichkeit überzeugt.“, so Sebastian Hakelmacher, ZIR 2001, S. 1, 3.
21
1
5
6
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
wenn ein Verhaltenskodex überprüft werden soll. Dass die Aufgaben gerade in diesem Bereich für die Interne Revision zuweilen schier unlösbar erscheinen und die Revision in das Dilemma einer Zwickmühle gebracht wird – etwa, wenn sich das Top-Management selbst nicht an die von ihm ausgegebenen Werte hält und vielleicht in manchen Fällen (etwa bei Korruption) sogar gegen Gesetze verstößt und die Revision dies erkennt – auch darauf wird in diesem Buch einzugehen sein.
1
7
8
II.
Verschiebung von Werten in der Gesellschaft
1.
Die soziologische Systemtheorie
Wertet man das Wirken und Werken der Unternehmen in makro-soziologischen Kategorien, betreiben sie als Teile des gesellschaftlichen Subsystems „Wirtschaft“ Daseinsvorsorge für das gesamtgesellschaftliche System. Nach der soziologischen Systemtheorie hat die moderne Gesellschaft für die Erfüllung ihrer wesentlichen Funktionen und Aufgaben eigene Subsysteme ausdifferenziert, um das Ganze am Laufen zu halten: Neben der Wirtschaft (zuständig für die zukunftsstabile Vorsorge) sind das die Politik (zur Herstellung allgemeinverbindlicher Entscheidungen), das Recht (Sicherung von Erwartungen), die Familie (Reproduktion), die Religion (Sinn- und Jenseitsfragen) und die Wissenschaft (Wahrheit). Obwohl sie alle aufeinander angewiesen sind, sind sie nach der Theorie in ihren Regeln und ihrem Verhalten zum großen Teil voneinander unabhängig. Sie formulieren jeweils ihre eigenen Universalitätsansprüche an die Behandlung aller Themen und folgen dabei ihren eigenen Regeln. Nach der Theorie sie sind füreinander blind, sie befolgen relativ „stur“ nur ihre eigenen Parameter und Regeln und sollen sich so allein aus eigener Kraft (weiter-) entwickeln.13 Im Laufe der Geschichte haben sich diese unterschiedlichen Universalitätsansprüche gegeneinander verschoben, mal hatte das eine Teilsystem die Oberhand, mal ein anderes. So stand im 16. Jahrhundert in Zentraleuropa die Religion im Vordergrund, sie wurde im 17. Jahrhundert von der Macht abgelöst, die im 18. Jahrhundert dem Recht weichen musste. Dieses wiederum wurde im 19. Jahrhundert von der Wirtschaft abgelöst, dem im 20. Jahrhundert die Fokussierung auf das Individuum folgte. Im Moment – Globalisierung! – sieht es so aus, dass für das 21. Jahrhundert ein comeback der Wirtschaft zu konstatieren sein wird.14 Des Öfteren zu beobachtende „grenzüberschreitende Konflikte“ bieten praktische Anhaltspunkte dafür, dass diese Ansicht der Systemtheorie zumindest in Teilaussagen zutrifft. Besonders augenscheinlich wird ein solcher Konflikt zwischen den Teilsystemen Wirtschaft und Recht bei der ökonomischen Theorie des „effizienten Vertragsbruchs“, die Vertreter der sog. Konstitutionellen Politischen Ökonomie bemühen: Warum nicht einen Vertrag brechen, wenn es hierfür gute ökonomische Gründe gibt, es sich – auch nach Abzug aller Pönalen, Schadensersatzansprüche und sonstiger Kosten (z.B. für den Anwalt) – noch rechnet?!15 Das nicht kompatible Werteverständnis zwischen der Wirtschaft und dem Recht kommt auch in der Äußerung „Deutschland ist das einzige Land, wo diejenigen, die erfolgreich sind und Werte schaffen, deswegen vor Gericht stehen.“ 13 Niklas Luhmann, Die Wirtschaft der Gesellschaft, Frankfurt a.M. 1988, S. 64. Speziell zur Rolle des Rechts im Kontext der Systemtheorie vgl. auch Luhmann, Recht als soziales System, Zeitschrift für Rechtssoziologie 1999, S. 1 ff. Für den schnellen Leser – Luhmann kann ganz schön anstrengend und damit zeitintensiv sein – vgl. die Zusammenfassung von Gerd Roellecke, Zur Unterscheidung und Koppelung von Recht und Wirtschaft, Rechtstheorie 31 (2000), S. 1, 6 f. 14 Vgl. dazu Roellecke, ebd. S. 9. Er meint i.ü., diesen Rückblick könne man frühestens in 150 Jahren halten. Obwohl wir erst am Anfang des neuen Jahrhunderts stehen, wagen die Verfasser diese Aussage schon jetzt und haben im Übrigen für den von Roellecke markierten Zeitpunkt bereits fest eine weitere Neuauflage des Buches in der Planung. 15 James M. Buchanan, Die Grenzen der Freiheit. Zwischen Anarchie und Leviathan, Tübingen 1984, S. 109.
22
A.
1
Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs
(Josef Ackermann zum Thema Mannesmann) zum Ausdruck. Das letzte hier anzuführende Beispiel betrifft den Fall, dass viele den Kopf schütteln, wenn die katholische Kirche oder ihr Oberhaupt gegen Empfängnisverhütung in Entwicklungsländern plädiert. Manche glauben dann, sie verstehen die Welt nicht mehr, vergessen aber dabei, dass der andere – sprichwörtlich – in seiner eigenen Welt (Systemtheorie!) lebt, und ausschließlich dort geltende Maßstäbe zur Lösung des Problems definiert hat und auch anwendet. Vielleicht sind aber diese Divergenzen bei den Sichtund Herangehensweisen an dasselbe Thema so schlecht auch wieder nicht – kann sich doch ein streitig ausgetragener Diskurs auch belebend und produktiv auf die gesellschaftliche Fortentwicklung auswirken, meinen die Verfasser.
2.
1
Ziele und Werte in Unternehmen – Anspruch und Wirklichkeit
Das Leben in einer eigenen Welt gibt auch das Stichwort für eine Hinwendung des Blicks auf die Unternehmen selbst. Diese sind im Sinne der Organisationssoziologie Organisationen. Die Organisationssoziologie sieht sie als sog. soziale Subjekte mit jeweils eigener Kultur und eigenem Wertesystem. Die daraus hergeleitete soziale Handlungsfähigkeit des Unternehmens wird maßgeblich von seinen Zielsetzungen beeinflusst, was auch in einer weiteren allgemeinen Definition der Organisation als „einem sozialen System mit überdurchschnittlich spezifizierter Zielbestimmung und überdurchschnittlich spezifizierter Struktur“16 zum Ausdruck kommt. Solche Sozialsysteme bilden Geflechte sozialer Positionen, die den Beitrag und die Rolle des einzelnen Akteurs zur Erreichung von Systemzielen definieren. Werte sind allgemein zu beschreiben als übergreifende „Orientierungsleitlinien zentralen Charakters, welche Realitätssicht, Einstellungen, Bedürfnisse und Handlungen einer Person steuern.“ Ziele sind „Aussagen oder Vorstellungen über zukünftig gewünschte Zustände, die durch Entscheidungen und entsprechende Handlungen realisiert werden sollen.“17 Die Systemtheorie sieht Organisationen – und damit auch Betriebe und Unternehmen – als relativ geschlossene Systeme an, die intern mit unabhängigen Organisationsvariablen (Ziele, Instrumente, Bedingungen, diese jeweils untereinander verbunden) und mit abhängigen Organisationsvariablen (Strukturen, Funktionen, Verhalten, jeweils untereinander verbunden) ausgestattet sind. Zwischen beiden Variablen bestehen regelmäßig keine gegenseitigen Beziehungen, sondern es existiert vielmehr eine einseitige Abhängigkeit. Jede Organisationsanalyse hat in den Zielen ihren wichtigsten Ansatzpunkt, die Wichtigkeit von Zielen ist damit für das praktische Funktionieren der Organisation gewissermaßen immanent. Das gilt auch für Unternehmen und Betriebe, denn „oberste Aufgabe der Betriebsführung ist die Formulierung von Zielfunktionen des Betriebes.“18 In der Soziologie wird allerdings zu Recht auch darauf hingewiesen, dass aus diesem Ansatz nicht zwangsläufig wirklich weiter Führendes resultieren muss, denn „ebenso wie edle Ziele, können die wahnwitzigsten Ideen mit konsequenter Zweckmäßigkeit durch eine Organisation verwirklicht werden. Die interne Rationalität der Organisation vermag dabei ihre Mitglieder sogar über die Irrationalität eines Zweckes zu täuschen“, die interne Rationalität der Organisation sagt also nichts über die Vernunft und die moralische Qualität ihrer Ziele aus.19 Oft versuchen hier Wunschvor16 Vgl. hierzu und zum Folgenden Günter Endruweit, Organisationssoziologie, Berlin/New York 1981, S. 17 f. , 51 f., 57, 60. 17 Vgl. zu beiden Begriffen (m.w.N.): Stephan Wuttke, Verantwortung und Controlling, Berlin etc. 2000 (Diss.), S. 13. 18 Vgl. Günter Wöhe, Einführung in die allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 118. 19 Renate Mayntz , Soziologie der Organisation, Reinbek 1963, S. 25.
23
9
10
1
§1
1 11
12
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
stellungen des Managements die reale Welt zu dominieren. Wenn aber die reale Welt nicht so ist, wie sie sein soll, gilt ein Wort Hegels: „Umso schlimmer für die Tatsachen.“ Dieses Dilemma offenbart sich oft bei Wertediskussionen in Unternehmen. Zu den Zielen gehören neben Vorgaben zu den strategischen und operativen Ausrichtungen des Unternehmens nämlich auch das Anhalten der Mitarbeiter, zum Voranbringen des Unternehmens, u.a. durch Unterlassung von Korruption, bestimmte Werte zu pflegen. Befördert wird dies durch eine wahre Industrie von Unternehmensberatern, die wohlfeile Konzepte liefern und ein offensichtliches Eigeninteresse an immer neuen Veränderungen haben.20 Die Vermittlung von Werten und „Business Ethics“ an angehende Manager haben sich auch Lehrstühle an Hochschulen (manche nennen sich „Business School“) auf die Fahnen geschrieben. Mancher Manager mag sich vielleicht besser das von ihm bezahlte Lehrgeld wieder zurückzahlen lassen.21 Werte als „Leuchttürme in stürmischer See“ (so eine Veröffentlichung zur Unternehmensethik) sollen Unternehmenskulturen schaffen, in denen über Fragen der Unternehmensethik offen und ohne Berührungsängste diskutiert werden soll. Wenn die Mitarbeiter diese Philosophie des Unternehmensleitbildes verinnerlichen und vorleben, zeigen sie nach der Theorie Führungskompetenz. Die von den Unternehmen propagierten Leitbilder erinnern inhaltlich an Tugendvorstellungen, wie sie schon von Platon und Aristoteles in der Antike entwickelt wurden. Insbesondere die vier sog. Kardinaltugenden Gerechtigkeit, Weisheit, Tapferkeit (= Mut) und Besonnenheit müssen als Paten herhalten und werden im Neusprech in Losungen verwendet wie etwa: „Wir wollen wachsen durch – vollen Einsatz, Mut zum Neuen, verantwortliches Handeln“. Bei so hohen Ansprüchen bleibt es nicht aus, dass diese Idee oft von der Wirklichkeit blamiert wird. Dabei reicht es oft nicht einmal zu einem Reißen der Meßlatte, weil sie mit deutlichem Abstand untersprungen wird. Trotz den in Firmenzeitschriften und Wertefibeln suggerierten Bildern einer heilen Welt mit „hehren Organisationszielen“ mit dem Aufbau einer Corporate Identity trifft man nämlich in der Realität mancher Unternehmen auf Führungskräfte ohne Charisma und ein von Darwinismus und Opportunismus geprägtes Betriebsklima. Die Sprüche von der Einmaligkeit, der Hierarchiefreiheit, Fairness und Partnerschaft entsprechen in vielen Fällen nicht der Realität.22 Wie von Hobbes beschrieben geht es munter kreuz und quer und jeder ge20 ... und die daher – wenn schon nicht von den sie beauftragenden Unternehmen – von objektiveren Beobachtern wesentlich kritischer gesehen werden: „Anyone who tells you it is easy to change the way groups of people do things is either a liar, a management consultant or both.“ Zitat aus dem Economist, siehe bei Dietmar Vahs, Organisation, 3. Aufl., Stuttgart 2001, S. 228. Sehr pointiert – und wohl mit einer Anleihe bei Ludwig Thoma – auch Sebastian Hakelmacher, ZIR 2001, S. 1, 7: „Was für pensionierte oder unausgefüllte Topmanager das Aufsichtsratsmandat ist, ist für Manager, die versagt haben, und für Hochschulabsolventen mit Prädikatsexamen und auch sonst mäßigem Verstand die Beratertätigkeit.“ 21 So der von früher hergebrachte Satz, wenn die Ausbildung nichts getaugt hat. Vgl. auch Bernd Schünemann, Brennpunkte des Strafrechts in der entwickelten Industriegesellschaft, in: Roland Hefendehl (Hrsg.), Kriminologische und dogmatische Fundamente, kriminalpolitischer Impetus, 2005, S. 349, 361: „... Natürlich kann...die Aufnahme von Vorlesungen zur Wirtschaftsethik in den betriebswirtschaftlichen Studienplan nicht den totalen Verfall gesinnungsethischer Norminternalisierung ungeschehen machen, der Wirtschaft und Gesellschaft in den letzten Jahrzehnten in Deutschland heimgesucht hat, schon in den 70er Jahren des vorigen Jahrhunderts in der zunehmenden Verbreitung der Kick-Back-Praxis greifbar war und in den Wirtschaftsskandalen der letzten Zeit einen für die Selbstbedienungsmentalität der die deutschen Großunternehmen im Management oder Betriebsrat führenden Klasse exemplarischen Ausdruck gefunden hat.“ 22 Vgl. Christian Scholz, Personalmanagement, 5. Aufl., München 2000, S. 775; ders., in: Wirtschaftswoche v. 5.10.2000, S. 200. Reaktion eines Mitarbeiters zum Thema „offene Diskussionskultur“ anlässlich eines Unternehmensworkshops über Werte: „Wenn ich hier wirklich ehrlich meine Meinung sagen würde, und zwar konstruktiv und ohne Obstruktionsabsicht, dann bekäme ich eins vor die Fresse. Also halt’ ich sie lieber.“ Hingegen gilt für Josef Ackermann die Losung „Don’t shoot the messenger – sagt ganz offen, was ihr denkt“, so in seinem Interview, in: Zeit magazin Leben, Nr. 22, v. 25.5.2007, S. 44, 46. Ob das wirklich ein durchgängiges Prinzip bei der Deutschen Bank sein soll? – schwer zu glauben, meinen die Verfasser.
24
A.
1
Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs
gen jeden: Neben den „klassischen Fallgruppen“ Mitarbeiter gegen Management und umgekehrt finden sich auch die Konstellationen des „peer-to-peer-pressure“: Management untereinander und Mitarbeiter untereinander. Schütz23 hat das Abteilungsdenken in deutschen Unternehmen erforscht. Er hat dabei herausgefunden bzw. folgert aus den Befragungsergebnissen: „... Aus diesem Fundus habe ich ein Portfolio von Fallbeispielen ausgewählt, die vor allem einen zentralen Aspekt verdeutlichen: Wer in seinem Unternehmen laufend Grabenkriege erlebt, der steht nicht alleine da. Denn das Abteilungsdenken grassiert auf breiter Front. Dabei tauchen immer wieder dieselben skurrilen Symptome auf. Sollten Sie also bei der Lektüre eine gewisse Ähnlichkeit mit Ihrem Unternehmen entdeckt haben, so ist das natürlich zufällig. Gleichzeitig ist es jedoch hoch wahrscheinlich...“ (Schütz, ebd., S. 223). Manager erscheinen in diesem Zusammenhang als „Mythopoeten“24, deren Arbeit in einem wichtigen Teil in der Erzeugung schönen Scheins besteht, der verbreitet wird durch „ubiquitäres Visionsgeraune“ (Reinhard Sprenger). „Eindrucksmanagement“, „Ranküne“ oder „Schaulaufen“ als sog. leistungsferne Strategien, und Mißgunst und Neid25 sind weitere Stichworte, die die Situation in Unternehmen charakterisieren. Speziell zum Anspruch auf Expertentum etwa, erhoben von Managern, spricht MacIntyre26 von einer „metaphysischen Überzeugung vom Expertentum der Manager“. Die werde in Unternehmen institutionalisiert und als „Scharade“ vorgeführt: „Es ist der theatralische Erfolg, der in unserer Zivilisation Macht und Autorität verschafft. Der effektivste Bürokrat ist der beste Schauspieler... Die theatralischen Begabungen der Spieler in unbedeutenden Statistenrollen sind für das bürokratische Schauspiel ebenso notwendig wie die Beiträge der großen Charakterdarsteller aus der Chefetage.“ Beispielgebend für diese Realmisere ist ein schon inflationär gebrauchter Begriff, der bei kaum einer Diskussion in modernen Unternehmen fehlen darf. Es geht um das Team (das ist die Unterwerfung der Begabten unter die Mittelmäßigen, so Reinhard Sprenger). Eine – auch aus Sicht der Verfasser – zutreffende Einschätzung zur Bedeutung des Teamgedankens, wie er in der Realität (leider!) oft gelebt und verstanden wird, und die man besser kaum formulieren kann, vertritt Sprenger27: „Team ist in der Welt des Managements ein nahezu sakrosanter Begriff mit immunisierender Aura: positiv, populär, produktiv. Er trägt eine Vorentscheidung für etwas Angenehmes und moralisch Hochstehendes in sich... Wir erleben geradezu eine Team-Inflation: Chefs, die oft gerade nicht „teamfähig“ in dem von ihnen proklamierten Sinn sind, nennen ihre Mitarbeiter „mein Team“ (heißt etwa: „Seid fleissig und zankt euch nicht!“)... Teamwork ist... unter Wettbewerbsbedingungen schwierig, und wirklich erfolgreiche Teams sind äußerst selten. Am seltensten an der Unternehmensspitze. Da sitzen im Regelfall Menschen, die ihre Karriere ihrer Teamfähigkeit gerade nicht (Hervorhebung auch bei Sprenger) verdanken – aber andere zur Teamarbeit auffordern.“ Die Aussage Sprengers, dargeboten in populär-sprachlicher Verpackung, wird von wissenschaftlicher Seite geteilt. Beck/Brater/Daheim meinen, wegen der Rivalität um den Aufstieg könnten Manager kaum im Team arbeiten, ohne ein wesentliches Mittel in der Rivalität um 23 Peter Schütz, Grabenkämpfe im Management, Frankfurt a.M. 2003. Er stützt sich auf von ihm durchgeführte 240 schriftliche Befragungen und 100 persönliche Interviews in etlichen deutschen Unternehmen (allerdings ohne nähere Angaben zum Auswahlverfahren etc.). 24 Oswald Neuberger, Zur Verkommenheit der Manager – Pathologien der Individualisierung, in: Scholz (Hrsg.), Individualisierung als Paradigma, FS für Hans Jürgen Drumm, Stuttgart etc. 1997, S. 149. 25 Belegt durch Aussagen (von Managern und Mitarbeitern) wie: „Unter kompetitiven Bedingungen ist das einzige, was mich an meinem Teampartner wirklich interessiert, sein Versagen.“ oder „Es reicht mir nicht, erfolgreich zu sein. Ich benötige für meinen Erfolg den Mißerfolg meines Konkurrenten.“ 26 Alasdair MacIntyre, Der Verlust der Tugend, Zur moralischen Krise der Gegenwart, Frankfurt/New York 1987, S. 148. 27 Reinhard Sprenger, Aufstand des Individuums, Frankfurt a.M./New York 2000, S. 127 f. u. S. 131.
25
1
13
14
1
§1
1
15
16
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
den Aufstieg aus der Hand zu geben. Spannungen aus der erforderlichen Arbeit im Team führten dazu, dass der Manager trotz der individualistischen Konkurrenz Entscheidungen kollegial erarbeiten müsse. Dies falle ihm der Statuskonkurrenz wegen aber schwer. Damit seien Klagen verbunden, dass harte Arbeit nicht einmal genüge, vielmehr müsse man sich dann auch noch als „netter Kerl“ zeigen.28 Trotz des ernsten und bedenklich stimmenden Hintergrunds vergnüglich zu lesen sind die nach wie vor aktuellen Geschichten über einen verfehlten Führungsstil aus der Weimarer Zeit29, in der sich ein „Wirtschaftsführer“ in seinem Büro ganz abschottet von den Mitarbeitern: Kein Lärm dringt in die „mönchische Abgeschiedenheit“ seines Zimmers, der Schreibtisch ist mit wenigen Papieren bedeckt, er thront ganz weit oben in einer Wipfelruhe30, die „überall in den oberen Sphären zu herrschen scheine.“ Ähnlich auch der Kriegsminister, der angesichts der vorgefertigen Aufmarschpläne ebenfalls friedlich und unbeschäftigt in seinem Arbeitsraum saß, während draußen die Truppen marschierten – „Der Krieg selbst ging dann freilich verloren...“. Soweit ersichtlich, gibt es zum mangelnden Teamverhalten von Managern keine belastbaren empirischen Untersuchungen, denn welcher Manager wird eine vorhandene Egomanie bei seiner Befragung schon eingestehen. Zumal, wenn er möglicherweise nicht in der Lage ist, diese sich selbst einzugestehen. Dennoch darf das Vorhandensein dieser Probleme hier unterstellt werden. Auch im Bereich der gewöhnlichen Mitarbeiter untereinander kann es „sportlich“ zugehen, was neben persönlichen Eigenheiten der Protagonisten auch den von der Leitung geschaffenen Strukturen zuzuschreiben ist. Voß/Pongratz31 gehen mit Bezug auf Gruppenprozesse im Arbeitsbereich (am Beispiel der sog. lean production) davon aus, dass bei der Lösung der kollektiven Aufgaben der Gruppendruck dem Druck des Vorgesetzten oft in nichts nachstehe. Speziell zum Team auch Opaschowski32: „Teamarbeit wird oft beschworen, aber nur selten gelebt. Meist spielt dieser Begriff im Arbeitsalltag nur eine taktische Rolle: Er suggeriert Modernität und überdeckt Interessengegensätze zwischen Mitarbeitern. Teams erzeugen mitunter einen größeren Druck auf den Einzelnen als eine starre Hierarchie. So kann das Team schnell zu einem Instrument sozialer Kontrolle umfunktioniert werden.“ Moderne oder als modern erachtete Managementkonzepte verstärken denn auch eher das Gegeneinander als das Miteinander. So z.B. das sog. Intrapreneurship, ein partizipatives Managementprinzip, das auf den Amerikaner Pinchot zurückgeht. Er hat zu seinen „Intrapreneur’s Ten Commandments“ u.a. folgendes formuliert: „Circumvent any orders aimed at stopping your dream“; „Do any job needed to make your project work, regardless of your job description“; „Follow your intuition about the people you choose, and work only with the best“; Work underground as long as you can – publicity triggers the corporate immune mechanism“; „Remember it is easier to ask for forgiveness than for permission“; „Never bet on a race unless you are running in it“.33 28 Ulrich Beck/Michael Brater/Hansjürgen Daheim, Soziologie der Arbeit und der Berufe, Reinbek 1980, S. 153, 166, zum Teil speziell bezogen auf amerikanische empirische Untersuchungen (von Whyte). 29 Siegfried Kracauer, Die Angestellten. Aus dem neuesten Deutschland, Frankfurter Zeitung 1929, als Buchausgabe erstmals 1930; Frankfurt am Main 1971, S. 26. 30 Dazu paßt die launige Feststellung von Sebastian Hakelmacher zum „gestandenen Revisionsmanager“, der „mehr übersieht als der Revisor. Je mehr er über den Banalitäten der realen Revisionsaufgaben schwebt, um so mehr wird aus der verlorenen Übersicht die weitsichtige Aufsicht über die Wiederdurchsicht.“, in: Der Revisionsmanager, ZIR 2001, S. 1. 31 Günter G.Voß/Hans J. Pongratz, Der Arbeitskraftunternehmer, KZfSS 1998, S. 131, 135. 32 Horst W. Opaschowski, Neue Welt der Arbeit, Studie über eine Repräsentativbefragung aus dem Jahr 2003, B.A.T. Freizeit-Forschungsinstitut, Hamburg 2003, S. 9 (m.w.N.). 33 Clifford Pinchot, Intrapreneuring. Why you don’t have to leave the corporation to become an Entrepreneur, New York etc. 1985, S. 22.
26
A.
1
Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs
Wohl als verlorenes Rennen, auf das er nicht wetten würde, sieht Neuberger die Bemühungen um den Aufbau einer sog. Corporate Identity. Er meint, zur Rolle der Manager als „Mythopoeten“ gehöre die Produktion von „Management-Kitsch“, die Corporate Identity gehöre hier dazu.34 Wolf verweist darauf, dass der Aufbau einer Corporate Identity einer von etlichen Bausteinen sei, mit denen in Unternehmen Rationalisierung betrieben werden soll. Dies führe nämlich zu einer „Moralisierung des betrieblichen Sozialzusammenhangs“, Werte und Normen sollen so bewusst zu Medien des Rationalisierungshandelns gemacht werden.35 Oft als Mythen entpuppen sich z.B. auch Losungen wie: Leistung lohnt sich; der Beste setzt sich durch; es geht fair zu; man muss der Sache dienen, und zwar gemeinsam und begeistert! Ähnlich kritisch auch der amerikanische Schriftsteller Douglas Coupland:36 Die moderne Arbeitswelt stecke zwar in der Krise, jedoch sei „die damit einhergehende zynische Unternehmenskultur...voll intakt: junge, naive Mitarbeiter an Schreibtische zu ketten und mit Süßigkeiten, Tischtennis und „Spaß“ ruhig zu stellen.“ In der Literatur wird im Übrigen aber auch darauf hingewiesen, dass sich aus der unvermeidlichen Spannung zwischen Entscheidung, Kommunikation und Handlung manchmal sogar eine gewisse Notwendigkeit zur Heuchelei und Scheinheiligkeit in Organisationen ergebe.37 Getroffene Entscheidungen müssen im Nachhinein oft gerechtfertigt werden, was dann – notgedrungen – oft so geschieht, dass die nicht zum Zug gekommenen Alternativen minimiert oder schlecht gemacht werden müssen. In der Psychologie wird das als postdezisionale Dissonanz-Reduktion bezeichnet. „Zu Fehlern zu stehen und nüchtern zu handeln, ist allerdings schwierig, wenn eine Gesellschaft – im Spiegel ihrer Medien – nur noch in Kriterien von Sieg oder Niederlage zu urteilen vermag“. So äußert auch Vontobel38 ein gewisses Verständnis für die Situation und die Befindlichkeiten von Managern. Der Grat vom „Heilsbringer zum Sündenbock“39 ist schmal. Manager werden anfangs gehätschelt als „Great Man“, wenn es schief geht, werden sie oft gefeuert. Die „wahren“ Gründe einer Angelegenheit können daher vom Management in Unternehmen oft nicht kommuniziert werden, es würden dann stattdessen vernünftige und sozial akzeptierte genannt. „Scheinheiligkeit“ sei daher nicht zufällig, sondern im Ergebnis mitunter sogar überlebensnotwendig für das System (Neuberger).40 Es gebe daher, so Neuberger weiter, in Organisationen ein latentes Wissen, das viele oder gar alle haben, das aber nicht thematisiert werden dürfe, weil ansonsten Abwehrmaßnahmen in Gang gesetzt werden müßten, die eine systemzerstörerische Wirkung haben könnten. Es geht dabei also um Regeln einer Organisation als Konventionen, die wirksam sind und trotzdem oder gerade deshalb nicht öffentlich diskutiert werden könnten.41 Das erinnert an den Fatalismus, der bei den Rolling Stones zum Ausdruck kommt, wenn sie den Teufel sagen lassen: „And what’s puzzling you is just the nature of my game.“42 Eine Begleiterscheinung 34 Oswald Neuberger, Zur Verkommenheit der Manager – Pathologien der Individualisierung, in: Scholz (Hrsg.), Individualisierung als Paradigma, FS für Hans Jürgen Drumm, Stuttgart etc. 1997, S. 149. 35 Harald Wolf, Rationalisierung und Partizipation, Leviathan 1994, S. 243, 249. 36 Zitiert von Horst W. Opaschowski (siehe FN soeben), S. 2. 37 Oswald Neuberger (siehe FN soeben), S. 152. 38 Hans-Dieter Vontobel, „Shareholder-Value“ – ein trügerischer Reiz? Ein Plädoyer wider die Darwinisierung der Sitten, in: Busch (Hrsg.), Shareholder value – Neue Unternehmensmoral?, Berlin 1998, S. 115, 119. 39 Vgl. den Artikel von Arne Storn mit diesem Titel, in: Die Zeit, vom 24.5.2007, Wirtschaft S. 29. 40 Oswald Neuberger (siehe FN soeben), S. 153. 41 Vgl. Peter Glotz, Die beschleunigte Gesellschaft, Reinbek 1999, S. 115, in anderem Zusammenhang: „Laßt uns um Gottes willen die Leute nicht durch die Prognose kritischer Entwicklungen verunsichern“ und ders. S. 152: „Das Unternehmerlager muss „ins Gelingen verliebt sein“; Suggestion und Selbstsuggestion sind Vehikel des Erfolgs... Eine realistische Nebenbemerkung in der Aufsichtsratspause über die Bohnensuppe hinweg – in Ordnung. Aber keine öffentlichen Bekenntnisse.“ 42 Gerhard Westermayer, „Sympathy for the devil“ oder: Warum es sich bei Shareholder value und Salutogenic management tatsächlich um unversöhnliche Gegensätze handelt, in: Busch (Hrsg.), Shareholder Value – neue Unternehmermoral?, Berlin 1998, S. 121, 130 f.
27
17
18
1
1
§1
1
19
20
davon sei, dass nicht konsequent gegen die Verletzung von Vorschriften, gegen Blaumachen, gegen Mobbing etc. vorgegangen werde. Keine solchen Rechtfertigungen verdient indes der von Gesterkamp43 erwähnte Fall: Putzfrauen in einem Unternehmen waren angewiesen, bei den Spitzenmanagern abends auf keinen Fall das Licht zu löschen – auch wenn die längst gegangen sind. Andere sollten glauben, dass die noch fleißig sind, denn: Karrieren werden angeblich nach 17 Uhr entschieden. Zum Abschluss dieser Überlegungen zur vielfach anzutreffenden Unternehmenswirklichkeit noch eine Metapher in Form einer kleinen Geschichte. Mit ihr soll die stetige Verfälschung, Brechung, Veränderung, oder eben „Organisation“ von Wahrheit illustriert werden: „Als Gott und der Teufel einst spazieren gingen, sah Gott plötzlich vor sich ein helles, leuchtendes Licht. Er bückte sich, betrachtete es, und hob es auf. „Sieh her“, sagte er zum Teufel „das ist die Wahrheit.“ Der Teufel betrachtete das Licht kurz, nahm es und antwortete: „Sehr schön, ich behalte es und verwalte es für Dich.“44 Selbstverständlich liegt es den Verfassern fern, Manager mit Teufeln, auch nicht mit „armen Teufeln“, zu vergleichen. Dass sich diese innere Zerrissenheit der Unternehmen auch in ihrem Umgang und ihrer Präsentation nach außen spiegeln kann, wird später unter dem Stichwort „Korruption“ zu behandeln sein.
III. 21
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Auswirkungen auf die Interne Revision
Vorstehend dargestelltes Gedankengebäude mag manchen Leser irritieren und ihm schief erscheinen. Sicherlich ist es nur zum Teil der Globalisierung zuzuschreiben, es ist aber doch oft real. Es wurde deshalb relativ ausführlich beschrieben und zur Untermauerung mit etlichen Zitaten und Fundstellen unterlegt, weil die besondere Herausforderung für die Interne Revision herausgestellt werden soll. Denn die Interne Revision ist diesen Widrigkeiten im besonderen Maße ausgesetzt. Die Situation erbringt nämlich für ihre Mitarbeiter eine weitere Erschwerung ihrer Arbeit. Zwar besteht ihre Tätigkeit – zumindest nach der unternehmensoffiziellen Lesart von ihrer Aufgabe – u.a. gerade darin, die Wahrheit über heikle „Nicht-Themen“ aussprechen zu müssen oder doch zumindest „zu sollen“. Ihre Mitarbeiter sollen als eine Art „hauptberuflicher Whistleblower“ Handlungsempfehlungen vorschlagen, über die niemand anderes im Unternehmen sprechen und die keiner anpacken will. Die Realität ist aber oft eine andere. Wenn es auch nicht so sein mag, dass „Topmanager vom Revisionsmanager einen kurzweiligen Vortrag über amüsante Ergebnisse der Revision“ erwarten45, werden kritische Anmerkungen und Überlegungen der Internen Revision eben nur zu gerne verdrängt. So etwa kann schon der eigentlich als harmlos einzustufende Vorschlag, vor dem Hintergrund einschlägiger Erfahrungen in einem deutschen Unternehmen (Stichworte: „VW“ und „Brasilien“) auch einmal – ohne besondere Verdachtsmomente – das Geschäfts- und Abrechnungsgebaren des eigenen Betriebsrats einer Revisionsprüfung zu hinterziehen, Abwehrmechanismen des Vorstands („Da lassen Sie mal besser die Finger davon!“) auslösen.46 Dazu bleibt nur festzustellen: „Ein Schelm, der sich Böses dabei denkt!“ – oder, frei nach Nikolaj Gogol, zu seinem literarischen Werk „Der Revisor“: „Der kleinste Schein von Wahrheit –
43 Thomas Gesterkamp, Arbeitszeit und Lebensstil, in: Wieland/Scherrer (Hrsg.), Arbeitswelten von Morgen, 1. Aufl., Wiesbaden 2000, S. 97. 44 Erzählt von Gerhard Westermayer, (siehe FN soeben), S. 130. 45 So in der Glosse von Hakelmacher, ZIR 2001, S. 1, 6. 46 Schilderung befreundeter Revisionskollegen aus einem anderen deutschen Konzern gegenüber den Verfassern.
28
A.
1
Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs
und man steht gegen dich auf, und nicht nur ein einzelner Mensch, sondern ganze gesellschaftliche Gruppen.“ Dabei ist schon die gewöhnliche Arbeit, etwa die Überprüfung von Arbeitsprozessen im Einklang mit bestehenden Handlungsanweisungen, vor dem Hintergrund der Aufgabe und der Rolle der Revision nicht einfach. Sie hat bei den geprüften Stellen im Unternehmen oft gegen das Image des „Besserwissers, der ja eigentlich gar keine Ahnung hat“47 anzukämpfen. Weiter zugeschriebene Attribute wie das des „Wadenbeissers“ oder des „Schienbeintreters des Vorstands“48 kommen dazu. Da ist es für den Revisionsmitarbeiter besonders misslich und undankbar, wenn es an der nötigen Rückendeckung des Vorstands für „seine“ Revision fehlt und ihr Standing im Unternehmen entsprechend schwach ausgebildet ist. Das soll auch vorkommen. Dennoch darf die Interne Revision nicht müde werden, den Widrigkeiten unter Aufwendung aller zur Verfügung stehenden Überzeugungskräfte und vor allem durch Erbringung von professioneller und handwerklich guter Arbeit entgegenzutreten.49 Jeder Mitarbeiter der Revision muss dieses grundlegende Identitätsproblem bei seinen Diskussionen mit der geprüften Stelle und mit „seinem“ Vorstand verinnerlichen. Im Umgang mit der geprüften Stelle muss er ebenso sensibel wie ggf. nachhaltig und verbindlich – gewissermaßen unter dem Motto „Hart, aber liebreich ist meine Hand“ – Überzeugungsarbeit im Interesse der Revision, und damit des Unternehmens leisten. Und er muss den geprüften Kollegen den Dienstleistungsgedanken plausibel und ihnen begreiflich machen, dass man die Unterstützung der Arbeit der Revision tunlichst als das begreifen sollte was es ist, nämlich als sinnvolle Investition. Das ist also die große Stunde des Revisors als ein in seiner charakterlichfachlichen Integrität unantastbarer „Übermensch“, als der er von der organisierten Revisionslobby gerne verklärt wird. Ob er das wirklich ist, ist im weiteren Verlauf des Buches zu erörtern. Die oben skizzierten Veränderungsprozesse, die an anderen Stellen im Buch zum Teil vertieft dargestellt werden, wirken sowohl extern als auch innerhalb der Unternehmen. Von außen ergeben sich eine Fülle von (neuen) Einflüssen in Form von nationalen (z.B. KonTraG) und internationalen Rechtsvorschriften (etwa zur Rechnungslegung), sonstigen Rahmenbedingungen und Kontakten mit Vertragspartnern in aller Welt. Neue Dinge müssen erlernt werden, vieles wird komplexer und bereitet mehr Aufwände. Unternehmen müssen ihre Organisation, ihre Abläufe und Prozesse (z.B. Kommunikation) stetig anpassen. Da es die Aufgabe der Internen Revision ist, den Vorstand und die übrigen Unternehmensteile hierbei als Ratgeber zu begleiten, erfordern diese Entwicklungen auch Anpassungen bei der Internen Revision selbst. Sie hat dem durch ein Bündel von Maßnahmen Rechnung zu tragen, die hier ohne Anspruch auf Vollständigkeit nur angerissen50 werden: Dazu gehört eine internationale Ausrichtung mit entsprechender Ertüchtigung ihrer Mitarbeiter ebenso (vielleicht durch Erwerb des CIA, siehe dazu eingehender im hinteren Teil des Buches), wie die Anpassung der Prüfungsplanung an neue nationale und internationale Standards. Auch die Berücksichtigung neuerer Entwicklungen im Bereich des Compliance-Instrumentariums (Risiko-Management, Internes Kontrollsystem) mit Einrichtung neuer Institutionen und Funktionen (Compliance-Officer, Audit-Committee) gehört dazu. Generell ist eine 47 Kritisch zur IIA-Definition von Interner Revision („... Mehrwerte schaffen und Geschäftsprozesse verbessern...“) Ottokar R. Schreiber: „... ein gehöriges Maß an eigener Anmaßung und Unterstellung von Nichtvermögen bei den Fachbereichen...“), in: Revision, Ausgabe IV 2003, S. 9. 48 Sebastian Hakelmacher, ZIR 2001, S. 1, 3 dazu: „Wachbataillion des Topmanagements, dessen Nützlichkeit alle loben, die nicht von ihm heimgesucht werden... und das einem Truppenteil gleicht, der während der Schlacht hinter dem Hügel verborgen bleibt, um danach die Gefallenen zu zählen.“ 49 Vgl. auch Rolf Hofmann, Prüfungshandbuch, 3. Aufl., Berlin 2000, S. 142: „Das Image des Berufsstands steht... in einem interdependenten Zusammenhang mit der Fachqualifikation.“ 50 Insofern wird auf andere Darstellungen zur Revision verwiesen, vgl. etwa bei Henning Kagermann/Karlheinz Küting/ Claus-Peter Weber, Handbuch der Revision, Stuttgart 2006, S. 16 ff.
29
1 22
23
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
verstärkte Hinwendung auf die Erledigung von Beratungs- und Servicediensten angezeigt. Das vor gar nicht so langer Zeit noch vorherrschende Bild und Selbstverständnis der Internen Revision als einer Stelle mit rein retrospektiver Prüftätigkeit als bloßer „Wiederdurchseher“ (Sebastian Hakelmacher) ist Vergangenheit.
1
24
! Praxishinweis: Einen speziellen Aspekt zur Aus- und Weiterbildung innerhalb der Internen Revision wollen die Verfasser nachfolgend etwas ausführlicher beleuchten. Es geht um die weitgehend nicht vorhandene juristische Expertise, mit der Revisionsabteilungen für gewöhnlich aufwarten. Zwar gibt es, soweit ersichtlich, dazu keine empirischen Untersuchungen. Lediglich zur Frage, ob und inwieweit Juristen als Revisionsleiter tätig waren, existiert empirisches Material, auch insoweit sind Juristen die absolute Ausnahme.51 Aufgrund des Kenntnisstands der Verfasser von der deutschen Revisionslandschaft darf die Behauptung aufgestellt werden, dass in den Revisionen überwiegend kaufmännische und technische Expertise anzutreffen ist. Juristisches Know-how ist in deutschen Revisionsabteilungen, auch speziell bezogen auf den Kreis der Prüfer, eher Mangelware.
25
Das ist ein ebenso erstaunlicher wie bedenklich stimmender Befund, dem auch in der Revisionsliteratur weiter keine Beachtung geschenkt wird. Zwar werden in der Öffentlichkeit vielfach Klagen über eine Verrechtlichung der Gesellschaft erhoben, vieles sei dadurch komplizierter und schwerer durchschaubar geworden. Speziell im Unternehmensbereich spielt eine zunehmende rechtliche Durchdringung, gerade vor dem Hintergrund der Internationalisierung, eine sehr bedeutende Rolle. Alle einschlägigen Bücher und Abhandlungen, auch solche zur Internen Revision, betonen diesen Aspekt. Die Revisionsliteratur verweist auf die Aufgabe der Internen Revision, als Berater des Vorstands oder der geprüften Stelle auch rechtliche Themen abzudecken. Die Revisionsabteilungen in den Unternehmen lassen sich jedoch von all dem nicht sonderlich beeindrucken und verlegen sich auf die Annahme, das in der Internen Revision vorhandene weitgehend kaufmännisch und technisch ausgebildete Personal könne juristische Fragestellungen quasi nebenbei mit erledigen. In schwierigeren (Spezial-)Fällen könne man die Rechtsabteilung des Unternehmens hinzuziehen oder auf externen Rechtsrat über Beauftragung eines fremden Rechtsanwalts zurückgreifen. Dem ist entgegenzutreten. Zunächst ist festzustellen, dass der gezeigte Ausdruck revisorischer Indolenz gegenüber dem juristischen Nachrüstungsbedarf nicht relativiert wird durch die juristische Ausschussarbeit in Verbänden, wie etwa im IIR. Sie kann im Grundsatz sicherlich eine wertvolle Unterstützung für die Arbeit der Internen Revisionen in den Unternehmen sein. Es müsste dort allerdings jemand sein, der den verdienstvollen Output der Verbandsarbeit effektiv verwerten kann – was aber eben nicht der Fall ist. Die Ausschussarbeit kann jedenfalls in den Unternehmen zu implementierendes juristisches Know-how nicht ersetzen. Natürlich bleibt es dabei, dass Revisionstätigkeit zu einem Großteil eine kaufmännische Angelegenheit ist, die durch technische Sachverhalte und durch IT – Themen komplettiert wird. Der springende Punkt ist aber eben der, dass die meisten Vorgänge und Prüfangelegenheiten der Internen Revision auch einen rechtlichen Einschlag aufweisen – und das mit zunehmender Tendenz. Ein Kaufmann oder ein Techniker als Revisor ist ohne fundierte juristische (Zusatz-)Ausbildung nicht in der Lage, schon mittelschwere juristische Probleme bzw. Fragestellungen auch nur zu erkennen, geschweige sie zu lösen. Das zeigt die vielfache Erfahrung der Verfasser aus der täglichen Praxis. Die offenbart nämlich, dass ein Revisor anlässlich einer Prüfung oft Verträge und sonstige juristische Sachverhalte vorgelegt bekommt, die er dann mit kenntnisfreien Blick würdigen soll. Als Rechtsunkundiger wird er aber
26
51 Zu Befragungen in Revisionsabteilungen zur Profession des Revisionsleiters vgl. Roland Füss, Die Interne Revision, Berlin 2005, S. 337: Nur 4,6 % der Revisionsleiter waren Juristen.
30
A.
1
Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs
alle wesentlichen rechtlichen Implikationen, die Basis für ein fundiertes Prüfungsergebnis sind, in den wenigsten Fällen durchschauen. Das wird er vielleicht öfter auch realisieren. Nach der offiziellen Lesart der Revisionsabteilungen müsste er dann zumindest bei der Prüfung von bedeutsameren Themen oder Fragen die Rechtsabteilung damit befassen, wie es für eine wirklich sorgfältige Revisionsprüfung geboten wäre. Das kommt aber in der Praxis nach Kenntnis der Verfasser eher selten vor, ist die Ausnahme. Das Risiko, nicht alles Juristische verstanden zu haben, nimmt der Revisor oftmals in Kauf. Eine missliche Folge davon kann z.B. sein, dass es anhand des vorliegenden Entwurfs des Revisionsberichts zu schwierigen Diskussionen mit der geprüften Stelle kommen kann. Keine Seltenheit dürfte eine andere gegenläufige, aber nicht minder problematische Fallgruppe darstellen. Hier geht es um den Fall, bei dem der Revisor – vielleicht auch in einem Anflug eigener Selbstüberschätzung – einen von ihm gelesenen Vertrag zu verstanden haben glaubt, in Wahrheit mit seiner juristischen Würdigung aber haarscharf daneben liegt. Er wird dann noch nicht einmal auf die Idee kommen, die Rechtsabteilung einzuschalten, um sich hier Rechtsrat einzuholen. Die Hemmschwelle, eine fremde Abteilung anzusprechen (die vielleicht zudem geprüfte Stelle ist oder dieser nahe steht), kann schließlich ein weiterer Grund für den Revisor sein, von der Einholung des Rechtsrats Abstand zu nehmen. Den Problemen, die sich aus diesen Fallgruppen ergeben können, kann und muss man bei der Internen Revision begegnen. Wer dies als Revisionsleiter negiert, muss sich an den ehernen Berufsgrundsatz der Rechtschaffenheit, aufgestellt durch das IIR, erinnern lassen. Als Verhaltensregel besagt der, dass allgemein das Vertrauen in die Arbeit der Internen Revision begründet werden soll. Das sei eine fundamentale Voraussetzung für die Zuverlässigkeit der Internen Revision im Unternehmen. Revisoren müssen in dem Zusammenhang u.a. ihre Aufgaben korrekt, sorgfältig und verantwortungsbewusst wahrnehmen. Dies kann und muss hier u.E. umgesetzt werden durch die vermehrte Einstellung von juristisch ausgebildetem Personal als Revisoren. Doppelt ausgebildete Prüfer – es müssen keine Volljuristen sein, Diplomwirtschaftsjuristen (künftig: Bachelor of Laws und Master) von der FH können von der gebotenen Querschnitts-Ausbildung her einen idealen Mix bieten und sind Volljuristen sogar grundsätzlich vorzuziehen – würden eine ideale Ergänzung der vorhandenen Mannschaft bilden. Auch die Einrichtung einer revisionsinternen juristischen Stabsstelle als juristisches „back-office“ kann ein pragmatischer Lösungsansatz sein. Der juristische Mitverfasser dieses Buches weist im Übrigen in diesem Zusammenhang einen möglichen Verdacht des Lesers auf „Berufsimperialismus“ von sich. Beck/Brater/Daheim52 meinen, dass Juristen (das gelte im Übrigen auch für Techniker und Psychologen) zu einem „Imperialismus“ ihres Berufsstandes neigen. Sie tendierten dazu, alle wesentlichen Probleme ausschließlich juristisch zu sehen. Das könne zu Kommunikationsschwierigkeiten und auch zu einer weiteren Abschottung von Spezialisten untereinander durch deren gegenseitige „Immunisierung“ führen. Diese Immunisierung des Spezialisten führe im Übrigen zuweilen auch zum Vertreten von Patent- und Trivialdeutungen durch ihn selbst. Dies könne sogar in Fällen geschehen, wo solche Lösungen eigentlich nicht angebracht seien. Das wiederum eröffne die Gefahr von Eigenversuchen durch Laien, weil die fremde Spezialkompetenz des Juristen nicht so ganz handgreiflich nachgewiesen werden konnte. Diese soziologische Sicht mag einzelfallabhängig zutreffen. Fakt ist aber, dass zum Umgang mit Gesetzen Kompetenz zu dieser Interpretations- und Subsumtionsarbeit (judgemental work) notwendig ist53 – und das eben auch und gerade in der Internen Revision. Es geht daher darum, dass sich die Interne Revision personell auf diesem Gebiet ebenso verhält, 52 Ulrich Beck/Michael Brater/Hansjürgen Daheim, Soziologie der Arbeit und der Berufe, Reinbek 1980, S. 259 f. 53 So wörtlich Martin Morlok/Ralf Kölbel/Agnes Launhardt, Recht als soziale Praxis, Eine soziologische Perspektive in der Methodenlehre, in: Rechtstheorie 31 (2000), S. 15, 31.
31
1
27
28
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
wie sie es mit Bezug auf andere Charakteristika ihrer Prüfobjekte auch tut. Eine gut aufgestellte Interne Revision beschäftigt nämlich ausgesuchte Spezialisten, wie es sich an den Beispielen des ITFachmanns, des SAP-Versierten oder des Personalexperten zeigt. Dem ist auf juristischem Gebiet gleichzutun, damit die Revision auf diesem Feld auf gleicher Augenhöhe mit der geprüften Stelle diskutieren kann. Im Übrigen geht es auch nicht darum, im Unternehmen in unzulässiger Weise eine Konkurrenzorganisation zur Rechtsabteilung aufzubauen. Das Argument des „Da könnte ja jeder kommen“, da sich wegen der Verrechtlichung im Prinzip auch jede andere Abteilung (z.B. Einkauf oder Personalabteilung) eigene Juristen zulegen könnte, ist nicht stichhaltig. Wegen der Besonderheit der Aufgaben der Revision ist diese nicht mit anderen Abteilungen vergleichbar. Und obwohl die Verfasser von diesem Wort im Zusammenhang mit der Internen Revision eher einen sparsamen Gebrauch machen wollen – diese Besonderheit der Aufgabe wird z.B. deutlich an dem „hoheitlichen Charakter“, weil die Revision im direkten und unmittelbaren Auftrag des Vorstands ihre sensiblen und heiklen Missionen im strategischen Funktionsbereich des Unternehmens erfüllt. Das macht den Unterschied zu den ressourcenorientierten operativen Funktionsbereichen, wie etwa den des Einkaufs oder der Personalabteilung, die vom strategischen Funktionsbereich – zu dem auch die Interne Revision gehört – gesteuert werden.
1
29
B.
Die Organisation des Berufsstands
I.
The Institute of Internal Auditors (IIA)
Das Erreichen einer hohen Qualität des Berufsstandes, seines Ansehens und seiner Leistungen soll u.a. durch ein Netzwerk gewährleistet werden. Institute, Verbände und Arbeitsgemeinschaften halten ein großes Angebot an Möglichkeiten für Angehörige der Internen Revision vor, damit diese sich in den Arbeitsgebieten aktiv einbringen und fortbilden können. Dazu gehören Veranstaltungen wie Seminare, Tagungen oder Diskussionsforen, die einen gegenseitigen Erfahrungsaustausch mit großen Lerneffekten erbringen sollen. Eine besondere Rolle hierbei spielt das IIA, es ist als weltweiter Standardsetter im Bereich der Internen Revision tätig. ■
30
Allgemeines Das IIA Inc. stellt die größte organisierte Vereinigung des Berufsstands der Internen Revision dar. Es hat seinen Sitz in Altamonte Springs, Florida (www.theiia.org). Dem IIA Inc. gehört als Mitglied auch das Deutsche Institut für Interne Revision e.V. (IIR) an. Das IIA wurde 1941 gegründet und umfasste eigenen Angaben zufolge im April 2007 mehr als 130.000 Mitglieder aus mehr als 100 Ländern. Davon entfallen ein Drittel auf Länder außerhalb den USA und Kanada. Das Institut dient weltweit als Quelle und Hüter des Berufsstands bei der Klärung wichtiger Fragen zur Prüfung. Als sein Publikationsorgan dient die Zeitschrift „The Internal Auditor“. ■
31
Aufgaben und Ziele Die Mission und der Anspruch des IIA bestehen darin, die wichtigste internationale Berufsvereinigung zu sein, die sich der Unterstützung und Entwicklung der Praxis der Internen Revision widmet. Das IIA arbeitet nach dem Leitspruch „Progress Through Sharing“. Es versorgt Interne Revisoren, Manager, Boardmitglieder und Audit Committees mit Grundsätzen und Informationen zur Best Practice der Internen Revision. Im April 2007 ergab sich laut der Angaben auf der Website des IIA Inc. als 32
B.
1
Die Organisation des Berufsstands
Mission: The mission of The Institute of Internal Auditors is to provide dynamic leadership for the global profession of internal auditing. Activities in support of this mission will include, but will not be limited to: ■ Advocating and promoting the value that internal audit professionals add to their organizations; ■ Providing comprehensive professional educational and development opportunities; standards and other professional practice guidance; and certification programs; ■ Researching, disseminating, and promoting to practitioners and stakeholders knowledge concerning internal auditing and its appropriate role in control, risk management, and governance; ■ Educating practitioners and other relevant audiences on best practices in internal auditing; and ■ Bringing together internal auditors from all countries to share information and experiences.
32
Folgende konkreten Ziele waren ausgegeben: 2005–2007 IIA Objectives ■ To be the recognized voice for the internal audit profession; ■ To develop and sustain the internal audit profession globally through appropriate infrastructure, coordination, support and communication; ■ To provide exceptional service to IIA members.
33 34
Für die Mitglieder des IIA bestehen folgende verbindliche Vorschriften: ■ Statement of Responsibilities for Internal Auditors (Verlautbarung zu den Aufgaben), ■ Code of Ethics (Grundsätze der Berufsethik), ■ Standards for the Professional Practice of Internal Auditing (Grundsätze für die Praxis), ■ Statements on Internal Auditing Standards (Verlautbarungen zu den Grundsätzen), ■ Professional Standards Practice Release (Veröffentlichung zum berufsspezifischen Einsatz der Standards).
35
Die Ausrichtung der Arbeit des IIA für die nächsten Jahre umfasste im Jahr 2007 folgende Punkte: ■ Professionalisierung: Das IIA will dafür arbeiten, dass die Aufgabenstellung, der Code of Ethics und die Standards international zunehmend Beachtung finden. ■ Technologie: Forschung, Unterstützung und Weiterbildung sollen die Prüfer in die Lage versetzen, mit der neuesten Technologie zu arbeiten. ■ Global Voice: Das IIA will die Bedeutung und Integration des Berufes weiter steigern. ■ Prozess: Das IIA will die Mitglieder durch seine Leistungen unterstützen, um diese ständigen neuen Herausforderungen bewältigen zu können.
36
Da im Verlaufe dieses Buches immer wieder Bezug genommen wird auf die Berufsstandards, die durch das Institute of Internal Auditors gesetzt wurden und permanent aktuell gehalten werden, sei auf diesen Referenzrahmen für die Revisionsarbeit hier in Kürze eingegangen.
37
33
1
1 38
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Die IIA-Standards, die 1978 erstmals veröffentlicht wurden, bilden das Herzstück des Regelwerks für die berufliche Praxis der Internen Revision. Das Professional Practices Framework (PPF) besteht darüber hinausgehend aus dem Ethikkodex sowie den Praktischen Ratschlägen (Practice Advisories). Abbildung 1-1 zeigt das PPF im Überblick.
Professional Practices Framework
• Fachkompetenz • Beachten der Standards
• Ausführungsstandards • Steuern der Revisionsfunktion • Risikomanagement und Führung bewerten • Aufträge planen • Daten testen und analysieren • Informationen bewerten • Ergebnisse kommunizieren
Hilfsmittel – Praktische Ratschläge
Definition Interne Revision
Standards
Prüfungsleistungen
• Objektivität und Unabhängigkeit
Beratungsleistungen
• Attributstandards
Umsetzungsstandards
Ethikkodex
Definition Interne Revision
1
§1
Hilfsmittel – Andere Abbildung aus Hahn, U., Aktualisierung der Grundlagen der Internen Revision, in: ZIR Zeitschrift Interne Revision, 3/2005, S. 123–127.
39
40
41
Abbildung 1-1: Professional Practices Framework Das IIA-Board of Directors genehmigte im Juni 1999 eine umfassende Überarbeitung der Standards. Diese traten dann zum 1. Januar 2002 in Kraft. Verbindlich sind die Standards grundsätzlich für alle Mitglieder nationaler Revisionsverbände, die Mitglied sind im IIA. D.h., durch die Mitgliedschaft im Institut für Interne Revision, das Mitglied ist im IIA, werden die Standards zur verbindlichen Arbeitsgrundlage. Des Weiteren sind die Standards für alle Certified Internal Auditors (CIA) maßgeblich. Die IIA-Standards gliedern sich in die so genannten Attribute Standards und in die Performance Standards. Mit den Attribute Standards werden im Wesentlichen Eigenschaften beschrieben, die die Interne Revision aufweisen sollte. Die Performance bzw. Ausführungsstandards hingegen zeigen auf, wie bestimmte Aufgaben und Tätigkeiten ausgeführt werden sollen, um die entsprechenden Soll-Eigenschaften realisieren zu können. Sowohl Attribute als auch Performance Standards werden durch Umsetzungsstandards ergänzt, die die jeweiligen Standards hinsichtlich Prüfung (Zusatz A für Audit) oder hinsichtlich Beratung (Zusatz C für Consulting) präzisieren. Außerdem umfassen die Standards noch die so genannten Practices Advisories. Diese sind zwar unverbindlich, werden aber zur Anwendung empfohlen. Das Rahmenwerk wird durch nationale Standards abgerundet. In Deutschland sind durch das Institut für Interne Revision bisher drei zusätzliche Standards veröffentlichen worden. Diese beziehen sich auf die Zusammenarbeit mit dem Abschlussprüfer, die Prüfung des Risikomanagements und auf das Qualitätsmanagement. Auf diese drei Normen werden wir im Verlaufe der Ausführungen zurückkommen. 34
B.
II.
1
Die Organisation des Berufsstands
Das Institut für Interne Revision e.V. (IIR)
1
Das Deutsche Institut für Interne Revision e.V. (IIR) wurde im Jahr 1958 mit Sitz in Frankfurt a.M. gegründet. Das IIR ist ein gemeinnütziger Verein zur wissenschaftlichen und praktischen Förderung der Internen Revision. Im April 2007 hatte es nach Angabe auf seiner Website (www. iir-ev.de) über 1.700 Mitglieder aus allen Bereichen der Wirtschaft, Wissenschaft und Verwaltung. Davon waren 40 % Fördermitglieder (Unternehmen, Wirtschaftsverbände und betriebswirtschaftliche Institute bzw. Vereine) und 60 % ordentliche Mitglieder (natürliche Personen). Ordentliche Mitglieder können insbesondere Leiter und Mitarbeiter von Revisionsabteilungen und andere Stellen werden, denen die Durchführung der Internen Revision im Unternehmen übertragen ist. Ferner werden Personen aufgenommen, von denen aufgrund ihrer Ausbildung oder beruflichen Tätigkeit eine Ziel fördernde Mitarbeit erwartet werden kann. Fördernde Mitglieder sind Unternehmen und Wirtschaftsverbände sowie betriebswirtschaftliche Institute und Vereine. Das IIR unterstützt die für Prüfungs- und Beratungsaufgaben zuständigen Fach- und Führungskräfte in ihrer praktischen Arbeit. Mit getragen wird die Arbeit des IIR durch fachkundige Personen aus Praxis und Wissenschaft.
42
■
Aufgaben und Ziele Das IIR vertritt in Deutschland den Berufsstand der Internen Revision. Eine der wesentlichen Aufgaben des IIR ist es, die internationalen Standards in die deutsche Berufsauffassung zu adaptieren und diese Standards in der Praxis zu verbreiten. Das Institut versteht sich als Mittler zwischen Wissenschaft und Praxis, als Ansprechpartner und als Koordinator der Aktivitäten zur Förderung und Weiterentwicklung von Praxis und Ausbildung. Insofern stellt das Institut die zentrale Kapazität für die Interne Revision in Deutschland dar. In der Satzung (Fassung vom 26.9.2000) wird die umfangreiche Aufgabenstellung näher dargelegt (siehe auf der Website). Es geht nach der Satzung maßgeblich um die ■ Bereitstellung von Informationen über die Interne Revision. ■ Wissenschaftliche Forschung im Tätigkeitsbereich der Internen Revision. ■ Entwicklung von Revisionsgrundsätzen und Revisionsmethoden und deren laufende Anpassung an die betriebswirtschaftlichen, organisatorischen und technischen Gegebenheiten. ■ Wissenschaftliche und praktische Weiterbildung von Mitarbeitern und Mitarbeiterinnen der Internen Revision. ■ Vorbereitung und Durchführung des Certified Internal Auditor-Examens. ■ Pflege von Beziehungen zur Praxis und Wissenschaft im In- und Ausland. ■ Pflege von Kontakten zu Institutionen der Wirtschaftsprüfung.
43
44
■
Organe Die Organe des IIR sind die Mitgliederversammlung, der Verwaltungsrat, der Vorstand und die Geschäftsführung. Neben diesen satzungsmäßigen Organen besteht ein wissenschaftlicher Beirat, welchem Hochschullehrer aus dem Bereich Prüfungswesen angehören.
35
45
1
§1 ■
1 46
47
48
49
50
51
52
36
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Schwerpunkte der Institutsarbeit ■ Programmausschuss Die Grundsatzarbeit sowie die konzeptionelle Gestaltung des Gesamtarbeitsprogramms des IIR werden vom Programmausschuss geleistet. Darin vertreten sind erfahrene Führungskräfte der Internen Revision aus Industrie, Kreditinstituten, Versicherungen sowie Versorgungs- und Dienstleistungsunternehmen. ■ Arbeitskreise Schwerpunkt der Institutsarbeit bilden die Arbeitskreise innerhalb des Instituts. Im April 2007 waren 24 Arbeitskreise installiert. Leiter und Mitarbeiter von Internen Revisionen beschäftigen sich dort mit der systematischen Durchdringung aller wesentlichen Prüfungsund Beratungsgebiete. Sie legen ihre Arbeitsergebnisse in Form von Artikeln, Checklisten und anderen Ausarbeitungen vor, die vom Institut in Fachzeitschriften veröffentlicht werden. Die Ergebnisse der IIR-Arbeitskreise sollen innovativen, richtungsweisenden Charakter haben. So haben sich Arbeitskreise für die Industrie (z.B. Revision des Vertriebs), für Kreditinstitute (z.B. Internen Revision in Bausparkassen) sowie für andere Branchen (z.B. Interne Revision im Handel) gebildet. ■ Erfahrungsaustausch Im Institut werden von engagierten Mitgliedern und Fachleuten in regelmäßigen Abständen Erfahrungsaustauschtage durchgeführt. In diesen Veranstaltungen werden aktuelle Fragen und Probleme aus der Praxis der Internen Revision für die Bereiche Handel, Industrie, Krankenhäuser, Kreditinstitute, Energie und Verkehr, Öffentliche Verwaltung und Technische Revision diskutiert. ■ Akademie Alle die vom IIR angebotenen überbetrieblichen Aus- und Weiterbildungsmaßnahmen wurden 1992 in der IIR-Akademie zusammengefasst. Dies ist ein Weiterbildungsprogramm für Führungskräfte und Mitarbeiter der Internen Revision. Es basiert auf dem Grundsatz: „Aus der Praxis – für die Praxis“ und steht allen Interessierten offen. Die Veranstaltungen werden von Wissenschaftlern und Fachleuten geleitet und lassen sich unterscheiden in allgemeine und spezielle Seminare und Sonderveranstaltungen. ■ Kongresse und Jahrestagungen Es werden in einem zweijährigen Turnus Kongresse und Jahrestagungen durchgeführt. Diese informieren Führungs- und Fachkräfte über aktuelle Entwicklungen im relevanten Umfeld der Internen Revision. ■ Forschungsvorhaben Vom IIR wird ebenfalls Forschungs- und Entwicklungsarbeit geleistet. So wurden die Grundlagenwerke „Grundsätze der Internen Revision“, „Muster-Revisionshandbuch“ und „Mitarbeiterentwicklung in der Internen Revision“ im Institut erarbeitet und veröffentlicht. Außerdem werden in regelmäßigen Abständen Umfragen durchgeführt, die über den Stand und die Entwicklung der Internen Revision in Deutschland berichten. ■ Internationale Zusammenarbeit Neben der internen Arbeit unterhält das IIR seit vielen Jahren einen intensiven Gedankenund Erfahrungsaustausch mit verwandten in- und ausländischen Institutionen. Hierzu zählen unter anderem das Institut für Interne Revision Austria (IIR Austria) in Österreich
B.
■
III.
1
Die Organisation des Berufsstands
sowie der Schweizerische Verband für Interne Revision (SVIR). Aufgrund der Mitgliedschaften im „Institute of Internal Auditors Inc. (IIA)“ und der „European Confederation of Institutes of Internal Auditing (ECIIA)“ bestehen auch zu diesen Institutionen enge Kontakte. Veröffentlichungen Seit 1966 wird die Zeitschrift Interne Revision (ZIR) veröffentlicht, welche sich vorwiegend mit den Arbeitsergebnissen des IIR befaßt, sowie Fragen bezüglich der Weiterbildung klärt. Diese bildet eine gute Informationsquelle für aktuelle Entwicklungen innerhalb des Berufsstandes, welche für jedermann zugänglich ist.
1
53
The ECIIA – die europäische Interessenvertretung
Auch auf europäischer Ebene hat sich die Interne Revision organisiert. In der European Confederation of Institutes of Internal Auditing, ECIIA (www.eciia.org), werden insbesondere grenzüberschreitende Fragestellungen erörtert und Probleme in internationaler Zusammenarbeit gelöst. Das ECIIA ist ein Zusammenschluss nationaler Revisionsinstitute, die in den Ländern des Großraums Europa beheimatet sind. Es wurde 1982 gegründet und hat seinen Sitz in Brüssel. 2007 hatte das ECIIA vierzig Institutionen in 30 Ländern als Mitglieder. Das IIR schloss sich schon früh der ECIIA an. Einzelpersonen können nicht Mitglied werden, sondern nur Institute.
54
■
Aufgaben Die Mission des ECIIA besteht darin, die einhellige Stimme für den Berufsstand Interne Revision in einem umfassenden Europa, durch Zusammenarbeit mit dem Europäischen Parlament, den Kommissionen und anderen Institutionen mit Einfluss, zu sein. Dazu werden Untersuchungen zu Themen der Internen Revision wie IKS, Risikomanagementsysteme und Corporate Governance durchgeführt. Daneben werden Grundsatzpapiere und Berichte veröffentlicht und Unterstützung der Mitglieder zu Fragen der Internen Revision angeboten. Auf seiner Website hat ECIIA dies im April 2007 wie folgt vertont: Mission ■ To be the consolidated voice for the profession of internal auditing in a widely defined Europe by dealing with the European Union, its Parliament and Commission and any other European or global institutions of influence. ■ To represent and develop the internal auditing profession throughout the wider geographic area of Europe and the Mediterranean basin. ■ To represent the European internal auditing profession on the global stage in tandem – and in consultation – with IIA Inc. ■ To promote the profession in economically emerging countries, as appropriate, within the wider geographic area of Europe and the Mediterranean basin. Die ECIIA will demnach den Beruf Interne Revision in Europa (re-)präsentieren und entwickeln. Dies geschieht auf globaler Basis in enger Zusammenarbeit mit dem IIA. Auch in noch jungen Mitgliedsstaaten der Europäischen Union sollen zukünftig die Grundsätze verbreitet werden. Die Strategien des ECIIA für die nächsten Jahre sehen eine stärkere Koordination der Aktivitäten und Interessen vor, die Verbreitung der „best practice“, die Weiterentwicklung des Berufs, die Ver37
55
56 57
58
59
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
besserung der Akzeptanz der Standards, die Entwicklung von Weiterbildungsprogrammen sowie die Einrichtung eines Forums zum Gedankenaustausch über anstehende Probleme.
1
IV. 60
61
62
63 64
Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. und andere
Wie ihr Name schon sagt, bietet die Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. ein Forum für Themengebiete aus der gesamten Betriebswirtschaft. Auf ihrer Website (www. schmalenbach.org) bezeichnet sie sich als „die einzige übergreifende betriebswirtschaftliche Vereinigung in der Bundesrepublik Deutschland.“ Auch bei ihr befassen sich Arbeitskreise mit Thematiken der Internen Revision. Das betrifft insbesondere den Arbeitskreis „Externe und Interne Überwachung der Unternehmung“.54 Die Gesellschaft nimmt, im Gegensatz zu den Instituten IIR, IIA und ECIIA, nicht für sich in Anspruch, auf Angehörige der Internen Revision einen weisenden Charakter auszuüben. Durch ihren eher allgemeinen Ansatz ergeben sich durch die Arbeit der Gesellschaft besondere Möglichkeiten, die Schnittstellen zwischen Interner Revision und Abschlussprüfer näher zu beleuchten. ■ Gründung, Mitglieder, Organe Die Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. entstand durch den Zusammenschluss der Schmalenbach-Gesellschaft zur Förderung betriebswirtschaftlicher Forschung und Praxis, Köln (gegr. 1932) und der Deutschen Gesellschaft für Betriebswirtschaft, Berlin (gegr. 1936). In Form eines gemeinnützigen Vereins ist sie unabhängig und arbeitet nicht gewinnorientiert. Der Geschäftssitz befindet sich in Köln. Die Aktivitäten der Gesellschaft werden durch die ehrenamtliche Arbeit ihrer Mitarbeiter ermöglicht. 2007 zählte die Gesellschaft ca. 1.600 persönliche Mitglieder, darunter Führungskräfte aus Unternehmen und Behörden sowie Wissenschaftler. Des Weiteren gab es 2007 ca. 300 Firmenmitgliedschaften. Der Vorstand ist paritätisch mit Wirtschaftswissenschaftlern und Praktikern ausgestattet. Der Beirat setzt sich zusammen aus den Leitern der Arbeitskreise, den Herausgebern der Zeitschrift für betriebswirtschaftliche Forschung (zfbf) sowie weiteren Personen aus der Wissenschaft und Praxis. ■
65
66
Arbeit Hauptziel der Gesellschaft ist, den Dialog zwischen betriebswirtschaftlicher Forschung, Lehre und Praxis zu fördern. Unter ihrem Dach arbeiteten 2007 26 Arbeitskreise, in denen nahezu 600 Fachleute aus Wissenschaft und Praxis tätig waren. Die Arbeitskreise bilden die Grundlage der Arbeit der Gesellschaft. Die Arbeitskreise werden für die Bearbeitung konkret umrissener Themenstellungen vom Vorstand der Schmalenbach-Gesellschaft eingerichtet und jeweils von einem Hochschullehrer und einem Wirtschaftspraktiker gemeinsam geleitet. Die Arbeitsergebnisse werden als Berichte herausgegeben und in Zeitschriften (insbesondere der zfbf) veröffentlicht. Weitere für den Berufsstand der Internen Revision relevante Institute sowie Vereinigungen sind die Wirtschaftsprüferkammer als Körperschaft des öffentlichen Rechts (Sitz in Berlin) und das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW). Diese Vereinigungen befassen sich vor54 Vgl. z.B. dessen Thesenpapier „Best Practice für die Interne Revision“, in: DB 2006, S. 225.
38
C.
1
Die Position der Internen Revision im Unternehmen
wiegend mit dem Berufsstand der Wirtschaftsprüfer, natürlich werden hier auch Schnittstellenthematiken und Standards für die Interne Revision – aus Sicht der Wirtschaftsprüfung – beleuchtet.
C.
Die Position der Internen Revision im Unternehmen
I.
Glossar
1.
Termini/Definitionen – Notwendigkeit eines Begriffsformalismus
Die Interne Revision ist ein Teil des Unternehmens, das sich als betriebswirtschaftlich organisierte Einheit einem breiten Spektrum von Rechtsvorschriften aus nahezu allen rechtlichen Bereichen gegenüber sieht. Diese Ausgangssituation bringt es mit sich, dass ein nicht unerheblicher Teil der Themen rund um das Unternehmen – und damit auch zur Internen Revision – betriebswissenschaftlich und rechtswissenschaftlich erörtert und zuweilen auch streitig diskutiert werden. Insbesondere dort, wo Themen und Begriffe rechtlich in Gesetzen und sonstigen Vorschriften gefasst sind, ergeben sich nicht zuletzt wegen deren weiten Abstraktionsgrads nicht selten Unklarheiten. Handwerkliche Unzulänglichkeiten bei der Abfassung von Gesetzen können weiter gehende Belastungen erbringen (siehe zum Beispiel zu § 91 Abs. 2 AktG die Ausführungen im Rechtsteil). Wie bei vielen anderen wissenschaftlichen Diskussionen taucht vor diesem Hintergrund auch mit Bezug auf die Interne Revision die Streitfrage auf, ob ein gewisser Begriffsformalismus notwendig ist oder ob er überflüssig oder vielleicht sogar schädlich ist. Das Postulat der Notwendigkeit der Schaffung von festen Begriffsbestimmungen und Definitionen, um eine ergebnisorientierte Diskussion über eine Sache führen zu können, streitet dabei mit der konträren Idee, bewusst eine Begriffsdynamik zuzulassen, um dadurch eine Erweiterung des wissenschaftlichen Erkenntnisstands zu erreichen. Welche Vorgehensweise bei einer konkreten Diskussion im einzelnen zu treffen ist, muss dem Einzelfall überlassen bleiben. Derartige Strategien haben indes in einem Buch für Praktiker regelmäßig keinen Platz. Mitarbeitern der Internen Revision und Abschlussprüfern kann nicht daran gelegen sein und es ist ihnen auch nicht zuzumuten, sich mit Problemen der wissenschaftlichen Legitimität dialektischer Denkfiguren oder mit Feinheiten von definitionstheoretischen Fragen befassen zu müssen. Immerhin können diese sehr reizvoll und geeignet sein, den Intellekt des Mitarbeiters der Internen Revision zu schulen. So etwa vermag das definitionstheoretische Beispiel zum Schimmel: „Ein Schimmel kann mit gleichem Recht als „weißes Pferd“ und als „pferdeartiges Weißes“ definiert werden.“55 durchaus zu interessanten Gedankengängen über den revisorischen Tellerrand hinaus verleiten. Einmal abgesehen davon, dass die Verfasser den Lesern ihres Buches nichts vom Pferd erzählen wollen, haben aber derlei abstrakte Erörterungen – natürlich geht es um Vergleichbare mit Bezug auf die Interne Revision – in einem Buch für Praktiker grundsätzlich nichts verloren. Sie müssen in anderen Foren ausgebreitet und der wissenschaftlichen Diskussion und Disputation dort überlassen werden. Deren verdienstvoller Output ist anschließend dem Praktiker als Handreichung zur Verfügung zu stellen. Natürlich sollte der gestandene Revisionsmann in Zeiten, in 55 Vgl. Bahrdt, Schlüsselbegriffe der Soziologie, 7. Aufl. München 1997, S. 16.
39
1
67
68
69
1
§1
1 70
71
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
denen in der Berufswelt das Credo des „lebenslangen Lernens“ ausgegeben ist56, auch die Muße und die Kraft aufbringen, wissenschaftliche Abhandlungen über seinen Beruf zu verarbeiten. Die praktische Auseinandersetzung mit wissenschaftlich diskutierten Problemen und Themen, insbesondere die Ertüchtigung des Praktikers zu deren Bewältigung, erfordert die Bereitstellung eines verlässlichen und möglichst einfach zu bedienenden Handwerkszeugs in Form möglichst leicht verständlicher Termini mit Definitionen. Darauf muss sich der Praktiker verlassen können. Dabei wird nicht verkannt, dass mancher Ansatz in Definitionen interpretationswürdig und manchmal sogar fragwürdig sein kann. So stellt sich etwa die Frage, was genau unter „objektiver Prüfungs- und Beratungsdienstleistung“ (in der Definition von Interner Revision) zu verstehen ist.57 Die Auseinandersetzung damit muss aber grundsätzlich der weitergehenden Diskussion überlassen bleiben. Ausschließlich dem Anliegen, dem Praktiker ein möglichst fertiges begriffliches Instrumentarium an die Hand zu geben und ohne ihn mit Theorienstreit und theoretischer Herleitung zu befassen, folgt dieses Werk. Nur in Ausnahmefällen, etwa mit Bezug auf bestimmte in Gesetzen verwendete wichtige Begriffe und Ausdrücke, erfolgt im Rechtsteil bewusst eine breiter angelegte wissenschaftliche Auseinandersetzung. Die übrigen Standardbegriffe aus dem tagtäglichen fachlichen Sprachgebrauch des Revisors, so etwa der Terminus der „Prüfung“ oder Überlegungen der allgemeinen Frage, wie sich „Interne Revision“ oder „Internes Kontrollsystem“ überhaupt definiert, werden daher nachfolgend – mit möglichst kurzer Erläuterung und ohne (kritisches) Hinterfragen – wiedergegeben. Diese Begriffe stellen den Grundstock des revisorischen Handwerkszeugs dar und werden zum großen Teil an anderer Stelle im Buch eingehender behandelt. Im Einzelfall werden Definitionen als deutsche Übersetzung und zusätzlich im Ursprungstext in Englisch geboten, um ihre Authentizität, die durch die Übersetzung zuweilen leidet, zu erhalten. Das gilt vor allem für Ansätze, die das IIA geprägt hat. Angereichert wird das nachfolgende Glossar durch weitere in der fachlichen Diskussion immer wieder auftauchende sonstige Begriffe, Eigennamen und Abkürzungen. Diese werden zum Teil etwas ausführlicher erläutert. Dazu gehören auch einige in der Wirtschaftswelt universell verwandte Begriffe (z.B. Outsourcing), die mit ihrem spezifischen Bezug zur Internen Revision skizziert werden. Mit dem Glossar soll insbesondere den Lesern, die nicht aus den Kreisen der Internen Revision stammen und an die sich das Buch auch wendet (siehe im Vorwort), ein schneller Einstieg in die Themen ermöglicht werden.
2.
Fachbegriffe in alphabetischer Reihenfolge
■
72
Abschlussprüfung Durch die Aktiennovelle von 1931 eingeführte Pflichtprüfung des Jahresabschlusses von bestimmten Wirtschaftsgesellschaften, wobei gleichzeitig der Berufsstand der Wirtschaftsprüfer eingeführt wurde. Die Prüfung des Jahresabschlusses und des Konzernabschlusses hat sich darauf zu erstrecken, ob die gesetzlichen Vorschriften und sie ergänzende Bestimmungen des Gesellschaftsvertrags beachtet worden sind.
56 „Wissen ist ... die wichtigste Ressource des Individuums wie auch der gesamten Gesellschaft. Grundbesitz, Arbeit und Kapital – für einen Ökonomen die traditionellen Produktionsfaktoren – sind zwar nicht verschwunden, aber zweitrangig geworden. Sie können erworben werden, und dies mit Leichtigkeit – solange man über spezialisiertes Wissen verfügt.“ Peter F. Drucker, Die Kunst des Managements, München 2000, S. 163 f. (Hervorhebung auch bei Drucker). Neues Wissen muss alle vier oder fünf Jahre erworben werden, um nicht überflüssig zu werden (Drucker, ebd. S. 165). 57 Sebastian Hakelmacher, ZIR 2001, S. 1, 3, u.a. dazu: „Kritisch ist, wer alles schlimmer darstellt, als es tatsächlich ist. Objektiv ist schließlich derjenige, der anderen sagt, was sie tun sollen, es aber selbst nicht tun darf.“
40
C.
1
Die Position der Internen Revision im Unternehmen
■
Arbeitspapiere Schriftliche Aufzeichnungen und sonstige Materialsammlungen, zunehmend auch elektronischer Art, die der Revisor während einer Revisionsprüfung anfertigt. Ihnen kommt eine wichtige Dokumentationsfunktion zur Unterstützung der Revisionsergebnisse und Schlussfolgerungen zu.
73
■
Audit Charter Englische Bezeichnung für → Revisionsrichtlinie.
74
■
Audit Committee Englisches Wort für „Prüfungsausschuss“. Besonderer Ausschuss des Aufsichtsrats, der sich mit div. Fragen (u.a. zur Rechnungslegung, Erteilung Prüfungsauftrag an Abschlussprüfer, Wirkungsgrad der Internen Revision und Risikomanagement) befasst. Für Aktiengesellschaften ist nach deutschem Recht in § 107 Abs. 3 AktG allgemein geregelt, dass der Aufsichtsrat Ausschüsse bilden kann. Darunter sind auch die Prüfungsausschüsse zu subsumieren. Prüfungsausschüsse werden auch vom DCGK, SOX und von der 8. EU-Richtline angesprochen.
75
■
BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, Sitz in Berlin. Die BaFin wurde am 1.5.2002 durch die Zusammenfassung der Bundesaufsichtsämter für das Kreditwesen, für das Versicherungsgewerbe und für den Wertpapierhandel geschaffen. Aufgabe nach dem KWG: Aufsichtsinstitution über die Wirtschaftsunternehmen in den betroffenen Branchen. Wichtige Verlautbarungen erfolgen über sog. Rundschreiben. Für die Interne Revision sind solche Meinungsäußerungen vor allem im Bankenbereich wichtig, wo es u.a. ein Rundschreiben zu Mindestanforderungen an die Ausgestaltung von deren Internen Revision gibt. ■ Basel II Die Gesamtheit der Eigenkapitalvorschriften, die vom Baseler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden, wird unter dem Stichwort Basel II zusammengefasst. Kreditinstitute wie Finanzdienstleister müssen die Regeln gemäß EU-Richtlinien seit dem 1. Januar 2007 in den Mitgliedsstaaten der Europäischen Union anwenden. Mit dem Kreditwesengesetz, den „Mindestanforderungen an das Risikomanagement“ (MaRisk), sowie mit der Solvabilitätsordnung (SolvV) erfolgte die Umsetzung in deutsches Recht. Ziel von Basel II ist die Sicherung einer angemessenen Eigenkapitalausstattung von Banken und Finanzinstituten sowie die Etablierung einheitlicher Wettbewerbsbedingungen für die Kreditvergabe und den Kredithandel. Basel II beruht auf drei sich gegenseitig ergänzenden Säulen: 1.) Mindesteigenkapitalanforderungen, 2.) Bankaufsichtlicher Überprüfungsprozess und 3.) Erweiterte Offenlegung.
76
77
■
Certified Internal Auditor (CIA) Mit dieser Zusatzqualifikation, die von den im internationalen → Institute of Internal Auditors (IIA) organisierten nationalen Verbänden für die Interne Revision angeboten wird, wird der Versuch unternommen, das Berufsbild des Revisors zu standardisieren. Um die Bezeichnung Certified Internal Auditor erwerben zu können, muss der Bewerber zunächst vorgegebene Ausbildungs- und Erfahrungsvoraussetzungen erfüllen. Darüber hinaus müssen positive Referenzen bezüglich seiner persönlichen Zuverlässigkeit vorliegen. Damit ist die Zulassungsvoraussetzung für die Teilnahme eines weltweit angebotenen, vierteiligen Examens erfüllt. Nach bestandenem Examen ist der CIA verpflichtet, sich an einen gemeinsamen Ethikkodex zu halten sowie regelmäßig an Fortbildungsmaßnahmen teilzunehmen. Die Zusatzqualifikation CIA wird heute zunehmend zur Einstellungsvoraussetzung für Revisoren. 41
78
1
1 1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
■
79
CFE Certified Fraud Examiner (CFE) ist eine Zusatzqualifikation, die durch die Association of Certified Fraud Examiners durchgeführt wird. Die ACFE hat weltweit 39.000 Mitglieder und verfolgt das Ziel, global Ausbildungs- und Trainingsmöglichkeiten für die Bekämpfung von → Fraud bereitzustellen. Um ein CFE zu werden, muss neben einer Mitgliedschaft in der ACFE und bestimmten Ausbildungsvoraussetzungen insbesondere gewährleistet sein, dass der Kandidat von hoher moralischer Integrität ist („Be of high moral character“).
■
80
Checkliste Auch als Prüfungsfragebögen bezeichnet, dienen sie bei Routine- und Standardprüfungen einer Rationalisierung des Prüfungsablaufs. Checklisten sollten praktische Hilfestellung leisten und konkrete Prüfungsanweisungen geben. Die Abarbeitung von Checklisten dokumentiert die ordnungsgemäße Durchführung der Prüfung. Allerdings ersparen es auch Checklisten dem Revisor nicht, sich intensiv mit dem Prüfungsobjekt auseinanderzusetzen.
■
81
CISA Abkürzung für Certified Information Systems Auditor (CISA). Seit 1978 angebotenes Berufsexamen der → ISACA für → IT-Revisoren und IT-Sicherheitskräfte. Kann als weltweit führender Standard betrachtet werden.
■
82
COBIT Abkürzung für Control Objectives for Information and related Technology. COBIT ist das international anerkannte Rahmenwerk zur IT-Governance. Das ursprünglich im Jahr 1993 von der → Information Systems Audit and Control Association (ISACA) entwickelte Framework wird seit 2000 durch das IT-Governance Institute fortentwickelt. COBIT lehnt sich stark an → COSO an, um die Integration der IT-Governance in die Gesamtheit der Corporate Governance zu gewährleisten. Für die IT-Revision gewinnt COBIT aufgrund der zunehmenden Verbreitung immer mehr an Bedeutung.
■
83
Code of Conduct Englisches Wort für → Verhaltenskodex
■
84
Compliance Die Gesamtheit sämtlicher Maßnahmen, die zur Einhaltung von Gesetzen und Richtlinien, aber auch freiwilliger unternehmensinterner Verhaltenskodizes durch ein Unternehmen und seine Organisationsmitglieder führt, wird unter dem Begriff Compliance zusammengefasst. Die Sicherstellung der Compliance wird im Regelfall durch entsprechende organisatorische Maßnahmen unterstützt. Dazu zählen insbesondere die Einrichtung einer Compliance-Abteilung und die Etablierung eines Compliance-Officers. Eine funktionierende Compliance Organisation ist als ein bedeutendes Element der Corporate Governance anzusehen.
■
85
Control- and Risk Self-Assessment (CSA) Allgemein eine intern gesteuerte Sammlung und Auswertung von Werten. Bei einem CSA füllen eine oder mehrere befragte Einheiten Fragebögen aus, die dann ausgewertet werden können. Diese Befragung kann den Einheiten helfen, sich ihrer Position, Stärken oder Risiken bewusst zu werden. Im Kontext der Internen Revision dient das CSA der Analyse, Bewertung und Verbesserung des → Internen Kontrollsystems unter der Leitung der Revision mit aktiver Beteiligung der operativen Funktionen des Unternehmens. Durch die Übertragung revisionsspezifischer Prozesse und
42
C.
1
Die Position der Internen Revision im Unternehmen
Know-how auf die Fachbereiche wird die Effizienz der Überwachungsfunktion erhöht. Ein CSA erlaubt es, die Revisionsarbeit effizienter zu gestalten, kann sie aber in keinem Fall ersetzen.
1
■
Controlling Unternehmensabteilung, die die Unternehmensführung systematisch mit den erforderlichen Instrumenten und Informationen zur Planung, Überwachung und Steuerung des laufenden Geschäfts – auch mit Blick auf längerfristige und grundlegende Entscheidungen (strategisches Controlling) – versorgen soll. Das Controlling ist, im Gegensatz zur Internen Revision, in die laufenden Geschäftsprozesse eingebunden.
86
■
Corporate Governance Der Begriff bedeutet ganz allgemein soviel wie Führungsgrundsätze und die Art und Weise, wie diese ihren konkreten rechtlichen und faktischen Niederschlag bei Leitung und Überwachung eines Unternehmens gefunden haben. Der somit neutral zu verstehende Begriff wird oft in dem Sinne einer „guten“ Corporate Governance gebraucht und verstanden. Durch international und national anerkannte Standards soll nämlich eine gute und verantwortungsvolle Unternehmensführung mit einem entsprechenden Qualitätsniveau bei den Unternehmensleitungen und für deren Überwachung herbeigeführt werden. In Deutschland umgesetzt werden soll dies durch den → Deutschen Corporate Governance Kodex (DCGK), einem von einer Wirtschaftskommission im Auftrag der Bundesregierung erstellten Regelwerk, das die Unternehmen zur entsprechenden Selbstverpflichtung anhalten soll.
87
■
COSO Abkürzung für Committee of Sponsoring Organizations of the Treadway Commission. Es handelt sich um eine US-amerikanische Organisation, die auf privater Ebene betrieben wird. Sie hat sich zum Ziel gesetzt, die Qualität der Finanzberichterstattung u.a. durch interne Kontrollen zu erhöhen. Wegweisend ist die Veröffentlichung eines Berichts der COSO aus 1992. Dessen Ziel war es, den Begriff des → Internen Kontrollsystems (IKS) einer einheitlichen Definition zuzuführen und einen einheitlichen Standard für Überwachungssysteme in Unternehmen zu schaffen, also einem Kontrollkonzept für das Management (sog. COSO I –Internal Control Integrated Framework). In Fortentwicklung dessen wurde mittlerweile COSO II – Enterprise Risk Mangement Framework geschaffen, der die Belange eines im Unternehmen abteilungsübergreifenden Risikomanagementsystems betrifft.
88
■
DCGK → siehe Corporate Governance ■
Deutscher Corporate Governance Kodex → siehe Corporate Governance ■
Dolose Handlung In der Fachsprache von Wirtschaftsprüfung und Interner Revision umfasst der Begriff Bilanzmanipulationen, Untreue, Unterschlagung, Diebstahl, Betrug und ähnliche Tatbestände, die zum Schaden des Unternehmens absichtlich durchgeführt werden. Unternehmensleitung und Abschlussprüfer werden heute durch neue oder durch erweiterte Gesetze und Richtlinien zunehmend aufgefordert, verstärkt Maßnahmen zu Aufdeckung und zur Prävention von dolosen Handlungen vorzunehmen. Zu diesen Gesetzen und Regelungen zählen etwa → das KonTraG, das TransPuG, → der DCGK, → der Sarbanes-Oxley Act sowie die Richtlinienwerke SAS 99 „Conside43
89
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
ration of Fraud in a Financial Statement Audit“ vom Oktober 2002, IDW PS 210 „Zur Aufdeckung von Unregelmäßigkeiten im Rahmen der Abschlussprüfung“ vom Mai 2003 und ISA 240 „The Auditor’s Responsibility to Consider Fraud in an Audit of Financial Statements“ vom Februar 2004. Ziel sämtlicher Maßnahmen ist es, das Vorkommen doloser Handlungen zu verringern, indem das Entdeckungsrisiko für den Täter erhöht wird. Vor diesem Hintergrund werden insbesondere in Großunternehmen zunehmend auch so genannte Anti-Fraud-Management-Systeme installiert, die von den Wirtschaftsprüfungsgesellschaften angeboten werden.
1
■
90
91
92
ECIIA Abkürzung für European Confederation of Institutes of Internal Auditing. Das ECIIA ist ein Zusammenschluss nationaler Revisionsinstitute, die in den Ländern des Großraums Europa beheimatet sind. Der europäische Berufsverband der Internen Revision wurde 1982 gegründet und hat seinen Sitz in Brüssel (www.eciia.org). ■ ERP-System Abkürzung für Enterprise Resource Planning. ERP-Systeme sollen alle Geschäftsprozesse im Unternehmen abbilden. Dabei wird auf eine integrative Betrachtung aller Ressourcen gezielt. ■ Externe Revision Bei der externen Revision handelt es sich um ein vom Vorstand oder vom Aufsichtsrat bestelltes externes Prüfungsorgan (Wirtschaftsprüfer, Steuer-/Unternehmensberater, auch Rechtsanwalt), das insbesondere in gesetzlich vorgeschriebenen Fällen (z.B. Jahresabschluss) mit dem Ziel prüft, Aktionärs- und/oder Gläubigerinteressen zu schützen. → siehe auch Abschlussprüfung. ■
93
Financial Audit Der klassischen Unterteilung der → Revisionstypen folgend sind Financial Audits Prüfungen im Rechnungswesen. Die Untersuchung des Rechnungswesens erfolgt insbesondere hinsichtlich der ordnungsgemäßen Anwendung von Rechnungslegungsgrundsätzen, z.B. nach dem Handelsgesetzbuch oder nach steuerlichen Gesetzen. Dementsprechend versteht man unter Financial Audits vergangenheitsorientierte Prüfungen, die die Aussagefähigkeit, Verlässlichkeit und Ordnungsmäßigkeit der Aufzeichnungen und Vorgänge des Finanz- und Rechnungswesens beurteilen und bewerten sollen. Dies umfasst ganz wesentlich auch eine qualifizierte Beurteilung der Funktionsfähigkeit des → Internen Kontrollsystems. ■
94
Follow-up-Prüfung Ist eine mögliche Alternative der Maßnahmenüberwachung im Rahmen des Revisionsprozesses. Entscheidend für die Durchführung von gesonderten Follow-up-Prüfungen ist die Bedeutung der Revisionsergebnisse sowie die potentiellen Risiken einer Nicht-Beachtung von Empfehlungen. Aufwand und Nutzen von Follow-up-Prüfungen müssen in einem akzeptablen Verhältnis stehen. ■
Fraud Action → siehe Dolose Handlung ■
95
Frühwarnsystem Dient sowohl der operativen als auch der strategischen Risikoerkennung. Die Frühaufklärungsansätze werden wie folgt typologisiert: Die operative Frühwarnung basiert auf Kennzahlen, die betriebswirtschaftliche Sachverhalte aufzeigen und Gegenstand der Bilanzanalyse sind (z.B. das Du-Pont-System, das ausgehend vom Return on Investment als Spitzenzahl eine systematische 44
C.
1
Die Position der Internen Revision im Unternehmen
Analyse der Haupteinflussfaktoren des Unternehmensergebnisses erlaubt). Der Frühwarnung schließt sich die zweite Phase – die Früherkennung – an. Der Ifo-Konjunkturtest stellt ein Beispiel für die indikatororientierte Früherkennung dar. Die erfolgspotentialorientierte Frühaufklärung dient dem Krisenmanagement. Mit einem „strategischen Radar“ sollen Informationen, die sich in Form schwacher Signale ankündigen (z.B. Medien, Rechtsprechung), aufgenommen werden. Solche Informationen dienen der Szenarioanalyse und der Ermittlung von Störgrößen. Prinzipiell sollten im Unternehmen alle drei Generationen von Frühaufklärungsansätzen genutzt werden. Die Effizienz von Frühwarnsystemen hängt von der Filterung frühwarnrelevanter Informationen und deren Weiterleitung innerhalb der Unternehmenshierarchie ab.
1
■
Funktionstrennung Eine angemessene (i.S. wirtschaftlich zumutbare) Funktionstrennung (separation/segregation of duties) dient als vorbeugende Kontrolle den Unternehmensinteressen. Ziel ist es, die Anhäufung von Kompetenzen zu vermeiden, welche zusammen eine Gefährdung des jeweils untersuchten Prüfungsgegenstandes bedeuten. In der Funktionstrennung kommt der Grundsatz der unvereinbaren Funktionen und Aufgaben bzw. der Grundsatz der Unterteilung der Arbeitsabläufe zum Ausdruck. Ein und dieselbe Person oder Stellengruppe sollte grundsätzlich nie alle Phasen eines Geschäftsvorfalls alleine durchführen und kontrollieren können, ohne dass eine andere Person in den Geschäftsvorfall eingreift. Der Grundsatz der Funktionstrennung ist die wichtigste Voraussetzung für die Wirksamkeit der organisatorischen Sicherungsmaßnahmen. Wird die Funktionstrennung nicht realisiert, muss ein Äquivalent an ihre Stelle treten (z.B. stichprobenweise nach gelagerte Kontrollen).
96
■
IAS → siehe IFRS
■ IDW Abkürzung für Institut der Wirtschaftsprüfer in Deutschland e.V. Das IDW vereint die Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften Deutschlands auf freiwilliger Basis. Das IDW ist ein eingetragener Verein, dessen Zweck gemäß Satzung nicht auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist. Der Sitz des IDW ist in Düsseldorf. Aufgaben des IDW sind u.a. die Interessenvertretung für den Wirtschaftsprüferberuf auf nationaler und internationaler Ebene, Facharbeit zur Förderung der Tätigkeitsbereiche des Wirtschaftsprüfers und die Ausbildung des beruflichen Nachwuchses und Fortbildung der Wirtschaftsprüfer. Mit Stand vom 1. Juni 2006 hatte das IDW 12.647 ordentliche Mitglieder.
97
■
IFRS Abkürzung für International Financial Reporting Standard(s). Die IFRS sind internationale Rechnungslegungsvorschriften. Sie umfassen die Standards des International Accounting Standards Board (IASB), die International Accounting Standards (IAS) des International Accounting Standards Committee sowie die Interpretationen des International Financial Reporting Interpretations Committee (IFRIC) bzw. des ehemaligen Standing Interpretations Committee (SIC). Abschlüsse nach IFRS dienen primär der Information über die Vermögens-, Finanz- und Ertragslage des Unternehmen. Nach deutschem Recht dient der klassische HGB-Abschluss vorrangig dem Gläubigerschutz. Die IFRS sollen vor allem die Vergleichbarkeit der Abschlüsse kapitalmarktorientierter Unternehmen weltweit erleichtern und den Schutz der Anleger verbessern.
45
98
1 1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
■
99
IIA Abkürzung für Institute of Internal Auditors. Das IIA Inc. (www.theiia.org) stellt die größte organisierte Vereinigung des Berufsstands der Internen Revision dar. Es hat seinen Sitz in Altamonte Springs, Florida und es wurde 1941 gegründet. Das Institut dient weltweit als Quelle und Hüter des Berufsstands bei der Klärung wichtiger Fragen zur Internen Revision.
■
100
IIR Abkürzung für das Deutsche Institut für Interne Revision e.V. (www.iir-ev.de). Es ist der deutsche Berufsverband für die Interne Revision und wurde im Jahr 1958 mit Sitz in Frankfurt a.M. gegründet. Als gemeinnütziger Verein widmet es sich der wissenschaftlichen und praktischen Förderung der Internen Revision.
■
101
IIR Austria Das Institut für Interne Revision – IIA Austria (www.internerevision.at) ist die Interessensvertretung des Berufsstandes der Internen Revisoren in Österreich. Ziel des Verbandes ist die Förderung und Entwicklung der Internen Revision in Österreich durch Aus- und Weiterbildung, Wissenstransfer und Arbeitskreise. Sitz des Instituts ist Wien. ■
IKS → siehe Internes Kontrollsystem
■
102
103 104
105
Interne Revision „Die Interne Revision erbringt unabhängige und objektive Prüfungs („Assurance“-) und Beratungs(„Consulting“-)dienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und verbessern hilft.“ So lautet die Definition der Internen Revision, wie sie das IIR – als Übersetzung der Begriffsbestimmung des IIA – im Revisionsstandard Nr. 1 formuliert. Das Original des IIA lautet: „Internal Auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance process.“ Interne Revision in institutioneller Hinsicht ist demnach eine Abteilung, in der unabhängige, objektive Prüfungs- und Beratungsleistungen erbracht werden, die darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Die Interne Revision unterstützt die Unternehmen bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft. ■
106
Internes Kontrollsystem Das Interne Kontrollsystem wird vom → IDW definiert als „Gesamtheit der von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen…, die auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung“ gerichtet ist. Die Aufgaben des Internen Kontrollsystems umfassen die Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, die Ordnungsmäßigkeit und Verlässlichkeit der internen
46
C.
1
Die Position der Internen Revision im Unternehmen
und externen Rechnungslegung sowie die Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.
1
■
Internes Überwachungssystem Das interne Überwachungssystem ist wesentlicher Bestandteil des → internen Kontrollsystems und beinhaltet prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) und prozessunabhängige Überwachungsmaßnahmen, die vor allem von der Internen Revision durchgeführt werden.
107
■
ISACA Abkürzung für Information Systems Audit and Control Association. ISACA ist ein weltweiter, nicht kommerzieller Berufsverband mit mehr als 65.000 praxisorientierten Information Systems (IS) Fachleuten aus mehr als 140 Ländern, deren berufliches Anliegen die Prüfung, die Überwachung und die Sicherheit von Informationssystemen ist. Dies wird durch Weiterbildung, das Ablegen eines Berufsexamens (→ CISA) und die Vorgabe fachlicher Mindestanforderungen erreicht. Das Anliegen der angeschlossenen, ebenso nicht kommerziellen Stiftung ist die permanente Erweiterung des Fachwissens des Berufstandes durch Forschung. ■ IT Revision Die Revision der Informationstechnologie ist gekennzeichnet durch eine zunehmende Regulierung, organisatorischen Wandel und einen engen Markt für IT-Fachkräfte. Die IT Revision bezieht sich bei ihren Prüfungen u.a. auf die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), die Stellungnahme des Fachausschuss für Informationstechnologie (FAIT) zu den Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (ERS FAIT 1) sowie dazu ergänzend der Prüfungsstandard EPS 330 Abschlussprüfung bei Einsatz von Informationstechnologie des Instituts für Wirtschaftsprüfer (IDW). Daneben sind vor allem die → COBIT zu nennen.
108
109
■
Management Audit Bezeichnet im Personalmanagement ein in der Regel von unternehmensexternen Beratungsfirmen durchgeführtes Verfahren zur Evaluation von Managern und Führungskräften, wird aber klassischerweise auch heute noch als dritter Revisionstyp neben Financial und Operational Audit angesehen.
110
■
Managerial Audit Das Managerial Audit durch die Interne Revision zielt darauf ab, die Zweckmäßigkeit von Entscheidungen der Unternehmensleitung zu prüfen. Mithin stehen im Vordergrund der Prüfung: die Ordnungsmäßigkeit der vorhandenen Organisation, die Eignung der eingesetzten Planungs-, Steuerungs- und Kontrollinstrumente und die Beurteilung der Frage, ob das Management die Instrument professionell eingesetzt hat. D.h., es geht um Systeme und ihre Handhabung.
111
■
MaRisk Abkürzung für Mindestanforderungen für die Ausgestaltung des Risikomanagements der Kreditinstitute. Dieses Regelwerk des BaFin statuiert Standards und Anforderungen für die Aufbau- und Ablauforganisation und die Prüfung des Risikomanagementsystems in der Finanz- und Kreditbranche.
112
■
Maßnahmenmonitoring Neben dem Follow-up die zweite Alternative des revisorischen Nachhalteprozesses. Das Maßnahmenmonitoring wird i.d.R. dann zur Anwendung gelangen, wenn die Prüfungsfeststellungen 47
113
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
in einem Bericht es nicht erforderlich erscheinen lassen, dass durch eine gesonderte Follow-upPrüfung die Umsetzung der Empfehlungen aus dem Maßnahmenkatalog sicherzustellen ist. Dies wird dann der Fall sein, wenn das detektierte Risiko nicht als gravierend angesehen und die Prüfungsfeststellungen von eher untergeordneter Bedeutung sind. Die Revisionsleitung hat den Prozess des Maßnahmenmonitoring zu installieren.
1
■
114
KonTraG Abkürzung für das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, einem sog. Artikelgesetz (vom 27.4.1998). Es erbrachte wesentliche Änderungen, u.a. für das AktG und das HGB, insbesondere führte es zu einer Neuschaffung des § 91 Abs. 2 AktG, der große Auswirkungen für die Interne Revision mit sich bringt. ■
115
116
Korruption Der Begriff wird abgeleitet aus dem lateinischen corrumpere, was soviel wie „verleiten, bestechen, verderben, vernichten“ bedeutet. Sozialwissenschaftlich geht es um Missbrauch von öffentlicher Macht zu privatem Nutzen. In der Ökonomie wird Korruption als den Tausch zwischen dem Vorteilsgeber und dem Vorteilsnehmer unter Verletzung von Gesetzen und Verhaltensregeln verstanden. Rechtlichen Niederschlag findet die Korruption in den §§ 331 bis 336 StGB (Bestechung und Bestechlichkeit im öffentlichen Bereich) und in den §§ 299 f. StGB (Bestechung im geschäftlichen Verkehr). ■ Operational Audit Operational Audits sind prozessorientierte Prüfungen bestimmter Kernprozesse wie Einkauf, Vertrieb, Personal. Ziel ist die Verbesserung der Prozesse durch Verringerung von Kosten oder der Verminderung von Risiken durch dolose Handlungen (Wirtschaftskriminalität). Operational Audits sind im Gegensatz zu Financial Audits gegenwarts- und zukunftsorientiert. ■
117
Outsourcing Outsourcing der Internen Revision, also die Erledigung der Revisionstätigkeit durch Dritte (z.B. Wirtschaftsprüfer), ist ein immer wieder diskutiertes Thema. Rechtlich ist ein solcher Schritt grundsätzlich möglich. Über die betriebswirtschaftliche Sinnhaftigkeit und zum Für und Wider können beide Seiten mit guten Argumenten aufwarten. Pauschale Aussagen, die alle Unternehmen über einen Leisten spannen, lassen sich nicht treffen. Differenzierte, einzelfallbezogene Lösungen sind angesagt. Z.B. kann es in einem bestimmten Unternehmen opportun sein, eine eigene Interne Revision für Kernaufgaben einzusetzen, aber für arbeitsaufwändige oder spezifische Problemstellungen Know-how von außen einzukaufen. ■
118
PCAOB Abkürzung für Public Company Accounting Oversight Board. Es handelt sich um ein Aufsichtsorgan zur Kontrolle der Wirtschaftsprüfungsgesellschaften in den USA, das im Rahmen der Umsetzung des → Sarbanes-Oxley-Acts neu geschaffen wurde. Das PCAOB ist ein fünfköpfiges, privatrechtlich organisiertes Organ, welches selber durch die staatliche US-Wertpapieraufsicht „Securities and Exchange Commission“ → (SEC) überwacht wird. Das Aufgabenspektrum des PCAOB erstreckt sich auf investigative und disziplinarische Befugnisse. Seine Tätigkeiten umfassen den Bereich des sog. „Standard Setting“ (Verabschieden von Ethik-, Unabhängigkeits- und Prüfungsstandards) sowie Qualitätskontrollstandards. Weiterhin ist dem PCAOB das Recht auf Durchführung von Qualitätskontrollen innerhalb der registrierten Prüfungsgesellschaften eingeräumt. Nach einer Registrierung beim PCAOB unterliegen die betroffenen deutschen Wirt48
C.
1
Die Position der Internen Revision im Unternehmen
schaftsprüfungsgesellschaften der direkten Aufsicht des Gremiums und somit sämtlichen Bestimmungen des → SOA.
1
■
Peer Review Peer Review (dt. Begutachtung) ist ein Verfahren zur Beurteilung von wissenschaftlichen Arbeiten im Wissenschaftsbetrieb oder von Projekten in Unternehmen durch unabhängige Gutachter (so genannte „Peers“) mit dem Ziel der Qualitätssicherung. Innerhalb der Internen Revision erfolgt ein Teil der Qualitätssicherung durch die gesetzliche Abschlussprüfung. Für eine nicht durch Gesetze und aufsichtsrechtliche Vorschriften abgedeckte externe Qualitätsprüfung besteht u.a. die Möglichkeit, die Prüfung durch die Revision eines anderen Unternehmens, durch externe Institutionen oder externe Dienstleister durchführen zu lassen. ■ Prüfung Überwachungsvorgang eines Systems, gesteuert von außen; der Begriff ist charakteristischerweise auf die Tätigkeit der Internen Revision bezogen und kennzeichnet – unter Hinzunahme des Beratungselements – das Betätigungsfeld der Internen Revision nach modernem Verständnis. Durch den Blickwinkel der Internen Revision „von außen“ unterscheidet sich diese Tätigkeit insoweit von der Aktivität des Controlling, welches prozessabhängig überwacht. Hinsichtlich der Methodik der im Einzelfall durchzuführenden Prüfung ergeben sich etliche weitere Fachbegriffe, wie etwa formelle/ materielle Prüfung, progressive/retrograde Prüfung oder lückenlose/stichprobenweise Prüfung.58
119
120
■
Prüfungsausschuss → Audit Committee
■
Prüfungsplanung, risikoorientierte Nach dem IIR-Standard Nr. 3 „Qualitätsmanagement“ sind als Grundlagen für die Prüfungsprogrammplanung gesetzliche Anforderungen, systematische Analysen aller Geschäftsprozesse unter besonderer Berücksichtigung von Risiken und Chancen, besondere Anforderungen der Geschäftsleitung sowie Vorschläge von innerhalb und außerhalb der Internen Revision zu berücksichtigen. Die IIA-Standards verlangen vom Leiter der Internen Revision, die Vorlage einer risikoorientierten Prüfungsplanung zur Priorisierung der Aktivitäten seiner Abteilung. Im IIAPerformance Standard 2010 heißt es: „Der Leiter der Revision legt in der Planung die Prioritäten nach Risikokriterien und entsprechend den Unternehmenszielen fest.“ Mit der Prüfungsplanung wird generell das Ziel verfolgt, ausgehend von den zu identifizierenden Prüfungsobjekten unter Berücksichtigung der personellen, zeitlichen und sachlichen Ressourcen ein realisierbares Revisionsprogramm zu entwickeln.
121
■
Revisionsbericht Dient insbesondere der schriftlichen Darstellung der Prüfungsergebnisse und ist damit die „Visitenkarte“ der Revision. Empfänger des Prüfungsberichtes ist immer die Unternehmensleitung, die möglichst zeitnah, kurz und sachlich informiert werden sollte. Bestandteile eines Prüfungsberichtes sollten neben einer zusammenfassenden Bewertung immer der Prüfungsauftrag, die Prüfungsergebnisse im Einzelnen und die Prüfungsempfehlungen sein.
122
■
Revisionsgeschäftsordnung Nicht zwingend gefordert, kann mit ihr der Inhalt der Arbeit der Internen Revision kommuniziert werden. Innerhalb einer Geschäftsordnung sollten die Aufgaben, Kompetenzen und Pflichten be58 Vgl. eingehender mit weiteren Unterbegriffen Horváth, P., Controlling, 10. Aufl., München 2006, S. 760 f.
49
123
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
schrieben werden. Des Weiteren sollte die Stellung der Internen Revision im Unternehmen in der Geschäftsordnung enthalten sein. Die Geschäftsordnung richtet sich an die Mitarbeiter der Internen Revision, an die Geschäftsleitung, an die Mitarbeiter und an das Management zu prüfender Einheiten sowie etwa an die Wirtschaftsprüfer.
1
■
124
125
Revisionshandbuch Im Revisionshandbuch werden Aufbau- und Ablauforganisation der Internen Revision detailliert beschrieben. Die Festlegungen sind für alle Mitarbeiter der Internen Revision verbindlich. Das Revisionshandbuch ist die Voraussetzung für ein einheitliches, standardisiertes Revisionsverständnis. Der Leiter der Internen Revision ist verantwortlich für die Inhalte des Revisionshandbuchs, für dessen Akzeptanz bei den Mitarbeitern und für die Einhaltung der dokumentierten Standards. ■ Revisionskennzahlen Die Frage, die sich besonders in großen Revisionsabteilungen aufdrängt, ist die nach dem Steuerungsmechanismus zur optimalen Gestaltung der Revisionsdienstleistungen. Eine Antwort ist die Einführung von Revisionskennzahlen, etwa durch das Instrument einer Balanced Scorecard (BSC). Mit der Einführung von Revisionskennzahlen wird das Ziel verfolgt, sich regelmäßig wiederholende Prozesse einer externen Beurteilung zugänglich zu machen und eine effiziente Steuerung und Qualitätssicherung in Gang zu setzen. Inwieweit sich der Aufwand für die Revision lohnt, Kennzahlen zu erheben, hängt insbesondere von der Größe der Revisionsabteilung ab. Daneben sind Fragen der Methodik zu klären sowie die Kennzahlen generell zu definieren. Insbesondere letzteres erweist sich bei der Tätigkeit der Internen Revision als schwierig. Beispiele sind Berichte je Prüfer, Arbeitstage je Bericht oder auch Ergebnisse von Kundenbefragungen. Allerdings muss bei Wertungen stets darauf geachtet werden, dass sämtliche Kennzahlen beeinflusst werden durch die besonderen Bedingungen der jeweiligen Prüfungen, die untereinander nicht vergleichbar sind. ■
Revisionsrichtlinie → Revisionsgeschäftsordnung
■
126
Revisionssoftware Vor dem Hintergrund steigender Anforderungen an die Qualität der Revisionsarbeit, komplexer werdenden Abläufen und durch Berufsstandards geforderte Qualitätsaudits, setzen Revisionsabteilungen zunehmend Revisionssoftware ein. Damit wird das Ziel verfolgt, die Prozesse innerhalb der Revision zu standardisieren. Kernstück sämtlicher Produkte ist die Abbildung der unternehmerischen Prozess- und Organisationsstruktur. Auf dieser Basis vollzieht sich die → risikoorientierte Prüfungsplanung. Zu jeder geplanten Prüfung werden alle wesentlichen Informationen bereitgestellt. Die Prüfungsdurchführung wird etwa durch frei definierbare oder standardisierte Fragenkatalogen unterstützt. Z.T. bieten die Softwareprodukte die Möglichkeit einer automatisierten Ergebnisdarstellung. Über die Archivierungsfunktion besteht die Option des Aufbaus von Wissensdatenbanken. ■
127
Revisionsstandards Die IIA-Standards, die 1978 erstmals veröffentlicht wurden, bilden das Herzstück des Regelwerks für die berufliche Praxis der Internen Revision. Das Professional Practices Framework (PPF) besteht darüber hinausgehend aus dem Ethikkodex sowie den Praktischen Ratschlägen (Practice Advisories). Das IIA-Board of Directors genehmigte im Juni 1999 eine umfassende Überarbei50
C.
1
Die Position der Internen Revision im Unternehmen
tung der Standards. Diese traten dann zum 1. Januar 2002 in Kraft. Verbindlich sind die Standards für alle Mitglieder nationaler Revisionsverbände, die Mitglied sind im → IIA. D.h., durch die Mitgliedschaft im Institut für Interne Revision, das Mitglied ist im IIA, werden die Standards zur verbindlichen Arbeitsgrundlage. Des Weiteren sind die Standards für alle → Certified Internal Auditors (CIA) maßgeblich. Neben den internationalen Revisionsstandards hat das Deutsche Institut für Interne Revision selbst drei eigene Revisionsstandards vorgelegt.
1
■
Revisionstypen/Revisionsfelder Umfragen zur Entwicklung der Internen Revision zeigen, dass sich die Tätigkeitsfelder der Internen Revision heute auf zukunftsorientierte Prüfung und Beratung verlagern. Die Standards for the Professional Practice of Internal Auditing legen den Arbeitsumfang im Performance Standard 2100 Nature of work fest. Danach heißt es: „The internal audit activity evaluates and contributes to the improvement of risk management, control and governance systems“. Die Interne Revision führt als Servicefunktion des Managements zur Unternehmensüberwachung in allen Feldern und Funktionen eines Unternehmens Prüfungen auf Ordnungsmäßigkeit, Zweckmäßigkeit, Wirtschaftlichkeit durch. Klassischerweise unterteilt man die Tätigkeiten der Internen Revision in der betrieblichen Praxis in die Bereiche → Financial Audit, → Operational Audit und → Management Audit bzw. → Managerial Audit. ■ Risiko wird in der Betriebswirtschaftslehre nicht einheitlich definiert: Das spekulative Risiko bezieht sich sowohl auf die Verlustgefahr als auch auf die Erwartung von Chancen. Nach einer IIA Definition handelt es sich um „die Ungewissheit, dass ein Ereignis eintritt, das sich auf die Zielerreichung auswirken könnte.“ Es „wird im Hinblick auf seine Auswirkungen und seine Eintrittswahrscheinlichkeit gemessen.“ ■ Risikomanagementsystem Ein Risikomanagementsystem definiert organisatorische, finanzielle, methodische und technische Aspekte für ein wirksames und wirtschaftliches Risikomanagement im Unternehmen. Seit In-Kraft-Treten des → KonTraG wird das Vorhalten eines Risikomanagementsystems als obligatorisch angesehen, obgleich der Begriff im Gesetzestext nicht auftaucht. Das Risikomanagement umfasst die Festlegung der Risikostrategie, die Identifikation der Risiken, die Bewertung und Messung von Risiken, die Festlegung von Bewältigungsmaßnahmen, die Steuerung und das Monitoring von Risiken. Vorteile eines funktionierenden Risikomanagements sind neben einer besseren Fundierung von unternehmerischen Entscheidungen vor allem eine langfristig stabile Balance zwischen Chancen und Risiken. Im praktischen, betrieblichen Risikomanagement ist eines der Hauptprobleme die realistische Bewertung von Risiken, die fast immer auf subjektiven Annahmen beruht, aber auch die Festlegung von sinnvollen Frühwarnindikatoren zur Überwachung von identifizierten Risikopotentialen.
128
129
130
■
Sarbanes-Oxley-Act US-amerikanisches Gesetz vom Juli 2002, das die Stärkung der Corporate Governance Systeme in Unternehmen und in das Vertrauen der Kapitalmärkte in Unternehmen und ihre Wirtschaftsprüfer bewirken soll.
51
131
1 1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
■
132
SEC Abkürzung für Securities and Exchange Commission. Es handelt sich um die Bundesaufsicht im zweistufigen System der Börsen- und Wertpapieraufsicht in den USA. Die Behörde spielt insbesondere bei der Anwendung des Sarbanes-Oxley-Acts eine wichtige Rolle.
■
SOA → siehe Sarbanes-Oxley-Act
■
SOX → siehe Sarbanes-Oxley-Act
■
133
Stichprobe Eine bestimmte Auswahlmethode zur Selektion der Elemente (n) aus der Gesamtheit aller Elemente (N) ergibt n als Stichprobe. Die Stichprobe n wird dann überprüft und aus dem Ergebnis können zulässigerweise Aussagen mit Bezug auf die Situation der Gesamtheit getroffen werden. Beispiel: Aus den Buchungsvorgängen eines Jahres nimmt die Interne Revision eine Reihe von Vorgängen n heraus, die auf ihre Ordnungsmäßigkeit überprüft werden. Eine „Stichprobe“ liegt nur dann vor, wenn n unter Einhaltung ganz bestimmter Regeln gefunden wird. Andernfalls kann nicht von einer Stichprobe gesprochen werden, sondern von einer willkürlichen Auswahl. ■
134
SVIR Abkürzung für den Schweizerischen Verband für Interne Revision, dem eidgenössischen Berufsverband der Internen Revision. Er hat seinen Sitz in Zürich (www.svir.ch). Im SVIR sind angabegemäß die internen Revisionsabteilungen der bedeutendsten privaten, gemischtwirtschaftlichen und öffentlichen Unternehmungen sowie von Verwaltungen mit Sitz in der Schweiz und im Fürstentum Liechtenstein zusammengeschlossen. Der 1980 gegründete Verband steht auch natürlichen Personen offen, die mit internen Revisionsaufgaben betreut sind.
■
135
US-GAAP Abkürzung für U.S. Generally Accepted Accounting Principles. Es handelt sich um Rechnungslegungsgrundsätze in den USA, die im Wesentlichen durch die SEC und das Financial Accounting Standards Board erlassen werden und die verbindlichen Charakter haben.
■
136
Verhaltenskodex Auch → Code of Conduct, ist eine Sammlung von gewünschten Verhaltensweisen, die in unterschiedlichsten Umgebungen und Zusammenhängen abhängig von der jeweiligen Situation angewandt werden sollen. Ein Verhaltenskodex ist eine Abmachung, bestimmten Verhaltensmustern zu folgen oder diese zu unterlassen und dafür Sorge zu tragen, dass sich niemand durch Umgehung dieser Muster einen Vorteil verschafft. In Unternehmen wird die Einhaltung eines Verhaltenskodex als verbindlich angesehen und Verstöße werden entsprechend sanktioniert. Verhaltenskodizes verfolgen regelmäßig das Ziel, Fehlverhalten wie etwa Bestechung vorzubeugen, oder kulturell gewünschtes Verhalten zu regeln. Für den Berufsstand der Revisoren existiert ein von Seiten des → IIA vorgeschriebener Code of Ethics, der für Prüfer mit → CIA-Examen verbindlich ist und das Verhalten des Revisors regelt.
■
Wirtschaftsprüfer → Abschlussprüfung
52
C.
1
Die Position der Internen Revision im Unternehmen
II.
Aufgaben, Rechte, Pflichten, organisatorische Eingliederung
1.
Kurzabriss zur Historie der Revision
1
Wie schon eingangs des Buchs anhand der aktuellen wirtschaftspolitischen Entwicklung dargestellt, erbringen Veränderungen der gesamtwirtschaftlichen Situation auch Anpassungsbedürfnisse für die Unternehmen. Damit einher gehen auch Veränderungen für Unternehmensteile, so auch für die Interne Revision und für deren Arbeit. Auch historisch gesehen sind es stets wirtschaftliche Veränderungen gewesen, die entsprechende Beeinflussungen für die Entwicklung der Internen Revision erbracht haben. Im Laufe der Geschichte war es im Übrigen stets die Entwicklung des staatlichen Revisionswesens, die als ein Impulsgeber für die Entwicklung der Internen Revision in der privaten Wirtschaft fungierte. Erste Spuren von Revisionstätigkeit finden sich bereits in der Antike.59 Im alten Rom zeigten sich Adaptionen des römischen Rechnungswesens an die Fortentwicklung des römischen Handels. Auch im alten Babylon und in Ägypten sind auf vielen Buchhaltungsdokumenten Zeichen in Form von Kreisen, Punkten und Strichen zu finden, die von Geschichtsforschern als Revisionsvermerke gedeutet werden. Manche kryptische Anmerkung der Internen Revision, die in ihren heutigen Berichten auftaucht und die keiner so recht versteht, mag von späterer Geschichtsforschung ebenfalls als ein entsprechender Beleg und vielleicht als konsequente Fortsetzung dieser antiken Anfänge gedeutet werden. Insbesondere die Erweiterung der Wirkungskreise von Handel und Industrie im Mittelalter mit einhergehendem Wachstum der Organisationsstrukturen und zunehmender Dezentralisierung waren im weiteren Verlauf der Geschichte Schrittmacher für die Entwicklung der Internen Revision. Denn dadurch und durch die Trennung von Kapitalgebern und den Ausführenden entstand das Bedürfnis nach organisationsinterner Kontrolle fast zwangsläufig. Vor allem die Institutionalisierung von Rechnungshöfen im Mittelalter fungierte als ein Impulsgeber für die Entwicklung der Internen Revision in der privaten Wirtschaft. So etwa bildeten sich im ausgehenden Mittelalter in oberitalienischen Städten wie Genua und Mailand zuerst Rechnungshöfe als Kontrollorgane der Finanzverwaltung. Mit Einführung der doppelten Buchführung im 14./15. Jahrhundert zog die Privatwirtschaft nach, denn es zeigte sich, dass eine Prüfung der Bücher von entsprechend persönlich und fachlich qualifizierten Personen durchgeführt werden musste. In Genua etwa setzte man im Jahr 1330 zur Buchprüfung sog. Visitatores ein. Im Jahr 1581 wurde in Venedig ein Berufsverband für Revisoren gegründet. Bereits im Jahr 1494 hatte Luca Pacioli in seinem Werk „Summa de Arithmetica“ das Prinzip der doppelten Buchhaltung beschrieben. Vor diesem Gesamthintergrund wird Italien daher als das Geburtsland des Revisionswesens angesehen. Nachdem so im Mittelalter und in der Neuzeit ein erster Durchbruch geschafft worden war, wurden sodann weitere Quantensprünge für die Interne und die Externe Revision vollzogen. Insbesondere der weltweite Aufschwung der Handelshäuser (z.B. das der Fugger) mit der Eröffnung auswärtiger Stützpunkte brachte eine weitere räumliche Trennung, die auch dort eine Kontrolle der Geschäftsabläufe notwendig machte. Dies um so mehr, weil verstärkt externe Geldgeber (besonders Banken) eine Rolle spielten und so auch die Trennung von Kapital und Leitung innerhalb der Unternehmen eine neue Bedeutung erhielt. Das beförderte insbesondere die Entwicklung der 59 Vgl. dazu und zu dem Folgenden: Herbert Brönner, Geschichte der Revision, Sp. 663 ff., in: Adolf G. Coenenberg/ Klaus v. Wysocki (Hrsg.), Handwörterbuch der Revision, 2. Aufl., Stuttgart 1992.
53
137
138
139
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
externen Revision. Es läßt sich vor allem in England die Schaffung unabhängiger Institutionen zur Überprüfung der Rechnungslegung bis ins 17. Jahrhundert zurückverfolgen. So etwa waren im Directory of Edinburgh aus 1773 die Namen von sieben Bücherrevisoren verzeichnet. Im ersten separaten Verzeichnis der Bücherrevisoren von Edinburgh in 1805 waren 17 Buchprüfer gelistet. 1854 wurde ebenfalls in Edinburgh der erste Berufsverband der „Society of Accountants“ gegründet. In Deutschland entwickelte sich das Revisionswesen seit Beginn der Neuzeit etwas langsamer. Man nahm sich England zum Vorbild, 1886 etwa wurde der Verband der „Berliner Bücher-Revisoren“ gegründet. Ein ganz wichtiger Meilenstein für das deutsche Revisionswesen war die Aktiengesetzgebung vom 11.6.1870. Hier wurde zum ersten mal die Verpflichtung des Aufsichtsrats festgelegt, Bilanz, Jahresrechnung und die Gewinnverteilung zu prüfen und darüber der Generalversammlung Bericht zu erstatten. Eine weitere Aktienrechtsnovelle (vom 14.8.1884) führte das Institut einer Gründungspflichtprüfung, auszuführen durch besondere Revisoren, ein. Nikolaj Gogol, der dem Berufsstand ein literarisches Denkmal gesetzt hat, erläutert in seinen zeitgenössischen Anmerkungen zu „Der Revisor“ die Situation in Rußland. Wegen der Dezentralisierung der Finanz- und Verwaltungsaufgaben zur Zeit Peters des Großen wuchs im Zarenreich das Kontrollproblem bzgl. der Einnahmen und Ausgaben staatlicher Mittel, seit 1722 war ein Revisor im Rang eines Senators in den Gouvernements unterwegs. Ein Gesetz vom 6.12.1799 regelte dazu: „Der Revisor hat zu überprüfen, ob die Behörden effektiv arbeiten, ob genug, aber auch nicht zu viele Beamte angestellt sind, ob Korruption oder andere Missbräuche herrschen und ob die Steuern eingezogen und alle Anordnungen ausgeführt werden.“
1
2. 140
141
142
Die Interne Revision als Bestandteil des Internen Kontrollsystems
Spätestens mit den Regelungen des Sarbanes-Oxley Acts (SOA) müssen mindestens auch die an der New Yorker Börse gelisteten deutschen Großkonzerne ihr Augenmerk auf die Effektivität des Internen Kontrollsystems richten. Im Nachgang zu den skandalträchtigen Ereignissen um Enron und WorldCom hatte sich die U.S.-Regierung entschlossen, vor allem die gesetzlichen Anforderungen an die Finanzberichterstattung deutlich auszuweiten. U.a. ist danach sicherzustellen, dass die offenlegungspflichtigen Informationen ordnungsgemäß sind. Dazu wird im Regelfall ein funktionsfähiges Internes Kontrollsystem erforderlich sein. CEO, CFO und Abschlussprüfer haben gemäß Section 404 SOA zu bestätigen, dass das Interne Kontrollsystem für die Finanzberichterstattung effektiv arbeitet. Neben den Entwicklungen in den USA ist es auch in Europa und in Deutschland zu zahlreichen gesetzlichen Initiativen gekommen, die Auswirkungen auf das Interne Kontrollsystem und dessen Bewertung haben. Genannt seien an dieser Stelle das KontraG, das TransPuG sowie der Deutsche Corporate Governance Kodex. Selbst wenn man die rechtlichen Rahmenbedingungen und Entwicklungen beiseite lässt, so verbleibt für die Unternehmen dennoch das Erfordernis, sich dem Internen Kontrollsystem in einem weitaus stärkeren Ausmaß zu widmen als in früheren Jahren. Dieses Erfordernis resultiert im Wesentlichen aus der Globalisierung, dem beschleunigten Wettbewerb und dem Drang nach schlanken Organisationen mit optimierten Prozessabläufen. Diese Entwicklungen haben zur Folge, dass sich die Komplexität von Abläufen und Strukturen, mit der Unternehmen umgehen müssen, erhöht und dass die benötigte interne Transparenz schwerer zu erzielen oder gar nicht vorhanden 54
C.
1
Die Position der Internen Revision im Unternehmen
ist. Dies wiederum erschwert die Steuerung sämtlicher Einheiten und Prozesse. Um diese Herausforderungen meistern zu können, bedarf es unzweifelhaft verbesserter Interner Kontrollsysteme. Unbestreitbar haben gegenwärtig Ausführungen zum Internen Kontrollsystem Konjunktur. Allenthalben sind Ausführungen zu diesem Begriff in der Fachliteratur zu finden. Bei der Lektüre wird deutlich, dass es je nach Autor unterschiedliche Definitionen und Festlegungen gibt, mit der Folge einer entsprechenden Begriffsverwirrung. So wird mitunter das übergeordnete Interne Kontrollsystem als Risikomanagementsystem bezeichnet.60 Andere Autoren bezeichnen das übergeordnete Interne Kontrollsystem als Internes Überwachungssystem.61 Für die jeweiligen Sichtweisen gibt es sicher gute Begründungen. Die Verfasser halten gleichwohl an der eher klassischen, durch die Wirtschaftsprüfung geprägten, weit gefassten Begriffsdefinition des Internen Kontrollsystems fest. Diese wird entsprechend nachfolgend ausgeführt.62 Im Prüfungsstandard 260 des Instituts der deutschen Wirtschaftsprüfer (IDW) heißt es: „Das interne Kontrollsystem besteht aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem). Das interne Überwachungssystem beinhaltet prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) und prozessunabhängige Überwachungsmaßnahmen, die vor allem von der Internen Revision durchgeführt werden.“63 Das Interne Kontrollsystem wird vom IDW letztlich definiert als „Gesamtheit der von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen…, die auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung“64 gerichtet ist. Die Aufgaben des Internen Kontrollsystems umfassen die folgenden Kategorien: ■ Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, einschließlich Schutz des Vermögens sowie Verhinderung und Aufdeckung von Vermögensschädigungen (Operations) ■ Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung (Financial Reporting) ■ Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften (Compliance) Der Prüfungsstandard der Wirtschaftsprüfer knüpft damit an das so genannte COSO-Framework an, das nachfolgend noch näher betrachtet wird. Dem folgend, ist die Interne Revision integraler Bestandteil des Internen Kontrollsystems und vor allem verantwortlich für die prozessunabhängige Überwachung.
60 Etwa bei Freidank/Paetzmann, Bedeutung des Controlling im Rahmen der Reformbestrebungen zur Verbesserung der Corporate Governance, in: Corporate Governance und Controlling, C.-Chr. Freidank (Hrsg.), Heidelberg 2004, S. 1–23. Ähnlich bei Romeike, F.: Gesetzliche Grundlagen, Einordnung und Trends, in: Romeike, F.; Finke, R.; (Hrsg.): Erfolgsfaktor Risikomanagement: Chance für Industrie und Handel, Wiesbaden 2003. 61 Vgl. Lück, W., Lexikon der Rechnungslegung und Abschlussprüfung, 4. Aufl., München/Wien 1998, Stichwort: Internes Überwachungssystem (IÜS), S. 405–408. 62 Eine Darlegung unterschiedlicher Definitionen findet sich bei Horváth, P., Anforderungen an ein modernes Internes Kontrollsystem, in: WPg-Sonderheft 2003, S. 211–218. 63 Institut der deutschen Wirtschaftsprüfer e.V., IDW-Prüfungsstandard „Das interne Kontrollsystem im Rahmen der Abschlussprüfung“ (IDW PS 260), S. 2; IDW PS 260 wurde zwischenzeitlich ersetzt durch IDW PS 261 („Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken“). 64 Ebenda.
55
1 143
144
145
146
147 148
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Regelungsbereiche des Internen Kontrollsystems
1
Internes Kontrollsystem
Internes Steuerungssystem
Internes Überwachungssystem
Prozessunabhängige Überwachung
Frühwarnsystem
Controlling
Revision
Prozessintegrierte Überwachung
Organisatorische Sicherungen Kontrollen
Abbildung in Anlehnung an: Institut der Wirtschaftsprüfer e.V., IDW-Prüfungsstandard „Das interne Kontrollsystem im Rahmen der Abschlußprüfung (IDW PS 260)“
149
150
151
152
153
Abbildung 1-2: Regelungsbereiche des Internen Kontrollsystems Folgerichtig ist die Interne Revision auch für die Prüfung der prozessintegrierten Elemente des Internen Überwachungssystems verantwortlich sowie für die Prüfung des Internen Steuerungssystems, das aus Frühwarnsystem (Risikomanagement) und Controlling besteht. Alle Elemente des Internen Kontrollsystems sind mithin Prüfobjekte der Internen Revision. Die Leistungsfähigkeit und die Effektivität der Internen Revision selbst wiederum wird im Rahmen einer externen Revision durch die Abschlussprüfer bewertet oder durch Peer Reviews im Rahmen von Quality Assurance Reviews. Strittig ist in diesem Zusammenhang aus Sicht der Verfasser die Annahme, die Interne Revision sei eine unabhängige Institution. Sie sollte sich sicher durch eine professionelle Distanz auszeichnen und ist dazu in den meisten Fällen auch in der Lage. Doch spätestens gegenüber dem Vorstand oder der Geschäftsführung als Arbeitgeber der Internen Revision ist es mit der Unabhängigkeit wohl nicht mehr allzu günstig bestellt. Ohne Anspruch darauf, dass hier letzte Weisheiten verkündet werden, sei dennoch darüber hinausgehend auch in Frage gestellt, inwieweit die o.a. Definitionen und Festlegungen „einen wichtigen Schritt in Richtung eines echten Management Audits“ darstellen, wie es von Vertretern des Instituts für Interne Revision angenommen wird.65 (siehe hierzu unten zu den „Revisionsfeldern“) Ein Rahmenwerk für die Implementierung eines Internen Kontrollsystems gibt das „Internal Control – Integrated Framework“ des Committee of Sponsoring Organizations of the Treadway Commission (COSO) vor. Der IDW PS 260 orientiert sich daran. Im September 1992 veröffentlichte das COSO die Studie „Internal Control – Integrated Framework“ (COSO-Report). Dieser erste COSO-Report war die Reaktion auf den sog. „Fraud-Report“ aus dem Jahr 1987. Zwei Jahre lang hatte die Treadway-Commission damals Untersuchungen angestellt mit dem Ziel, Ursachen für wirtschaftskriminelle Handlungen zu identifizieren und Gegenmaßnahmen zu entwickeln. Der Bericht befasste sich in erster Linie mit betrügerischer Finanzberichterstattung. Mit dem COSO-Report des Jahres 1992 erfolgte eine Erweiterung des 65 Schartmann, B., Lindner, M., Prüfung des Internen Kontrollsystems (IKS) durch die Interne Revision (IR), in: Lück, W. (Hrsg.), Zentrale Tätigkeitsbereiche der Internen Revision, Berlin 2006, S. 33–60.
56
C.
1
Die Position der Internen Revision im Unternehmen
Blickwinkels auf die operativen Prozesse im Unternehmen und die Einhaltung interner wie externer Vorschriften. Die Aufgabe des COSO-Reports war es, einen allgemein akzeptierten Begriff „Internal Control“ zu definieren, in dem die verschiedenen existierenden Internal Control-Begriffe vereinheitlicht wurden. Zusätzlich sollten Normen zur Beurteilung der Wirksamkeit von Internal Control Systemen geschaffen werden. COSO bildet somit ein Rahmenkonzept für die Ausgestaltung des Internen Kontrollsystems. Im Jahr 2004 ist das COSO-Framework erweitert worden. Mit der Vorlage des Enterprise Risk Management Framework (COSO ERM) wurden Risikomanagement und Internes Kontrollsystem integriert betrachtet. Zunächst zum COSO-Framework: Innerhalb des COSO-Modells wird Internal Control (und damit nach dem Verständnis der Verfasser hier auch das Interne Kontrollsystem) als ein vom Management initiierter Prozess definiert. Dieser Prozess soll angemessene Sicherheit gewährleisten bei der Erreichung der Ziele einer Organisation. Das COSO-Modell basiert auf einer mehrdimensionalen Betrachtung, wobei drei gleichwertige Ebenen einander durchziehen: Die Ziele der Organisation, die Organisationseinheiten sowie die Kontrollelemente.
1
154
155
156
■
Ziele der Organisation Wie bereits oben bezüglich der Aufgaben des Internen Kontrollsystems angesprochen, können drei grundsätzliche Ziele für Organisationen festgehalten werden: ■ Ergebnisorientierung und Wirtschaftlichkeit (operations) ■ Zuverlässigkeit der Finanzberichterstattung (financial reporting) ■ Einhalten externer und interner Vorschriften (Compliance) Diese Ziele der Organisation werden heruntergebrochen auf die Ebene der Organisationseinheiten und Aktivitäten und sollen durch die Kontrollelemente abgesichert werden. Abbildung 1-3 gibt diesbezüglich einen Überblick.
COSO-Framework Monitoring •
• • •
Control Activities
Assessment of a control system’s performance over time Combination of ongoing and separate evaluation Management and supervisory activities Internal audit activities
Policies/procedures that ensure management directives are carried out • Range of activities including approvals, authorizations, verifications, recommendations, performance reviews, asset security and segregation of duties
•
Information & Communication •
•
•
Pertinent information identified, captured and communicated in a timely manner Access to internally and externally generated information Flow of information that allows for successful control actions from instructions on responsibilities to summary of findings for management action
Abbildung 1-3: COSO-Framework
Risk Assessment Control Environment • •
•
Sets tone of organization, influencing control consciousness of its people Factors include integrity, ethical values, competence, authority, responsibility, organization structure, HR policies and IT control environment Foundation for all other components of control
•
Risk assessment is the identification and analysis of relevant risks to achieving the entity’s objectives – forming the basis for determining control activities
57
157
158
1 1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
■
159
Organisationseinheiten Die Ebene der Organisationseinheiten innerhalb des COSO-Würfels umfasst die Unternehmenseinheiten und deren Aktivitäten und Prozesse. Damit wird festgelegt, welche Bereiche in das Interne Kontrollsystem einzubeziehen sind.
■
160
161
162
163
164
165
Kontrollkategorien Das Internal Control System umfasst fünf Kontrollbestandteile, die zur Erreichung der Zielvorgaben erfüllt sein müssen. Sie haben für die Funktionstüchtigkeit und für die Bewertung des Internen Kontrollsystem eine besondere Bedeutung. (1) Control Environment: Mit Kontrollumfeld ist das Überwachungsbewusstsein der Unternehmensmitglieder gemeint. Es umfasst u.a. Integrität, ethisches Bewusstsein, Managementphilosophie und Führungsstil, aber auch die fachliche Kompetenz des Managements. Letztlich meint Control Environment den Tone at the Top, also das, was gerade durch die Unternehmensleitung vorgelebt wird. Ein mangelhaftes Kontrollumfeld kann im Unternehmen illegale Handlungen befördern. Mit dem Kontrollumfeld wird die Internal Control-Struktur determiniert. Damit ist das Kontrollumfeld die Basis der weiteren vier Komponenten des Internal Control Systems. (2) Risk Assessment: Ausgehend von den Zielen auf Unternehmensebene werden für die Organisationseinheiten und Aktivitäten Ziele festgelegt. Die internen Kontrollen müssen so angelegt sein, dass Risiken, die eine Erreichung der definierten Ziele behindern, rechtzeitig erkannt werden. Zur Bestimmung der Risiken müssen diese identifiziert, analysiert und nach Eintrittswahrscheinlichkeit und Schadenshöhe bewertet werden. Daran anschließend sind entsprechende Maßnahmen für den Umgang mit dem Risiko zu entwickeln. Die Aufgabe des Internen Kontrollsystem ist es, dass Ziele definiert und damit verbundene Risiken erkannt werden. Der Umgang mit den Risiken gehört nicht dazu. (3) Control Activities: Zur Absicherung der erkannten Risiken und zur Erreichung der Unternehmensziele ist die Einrichtung von Grundsätzen und Verfahren zur Einhaltung der Unternehmensentscheidungen erforderlich, also die Festlegung von konkreten Kontroll- und Überwachungsaktivitäten auf allen Hierarchiestufen. Während durch Grundsätze die Funktion von speziellen Kontrollen beschrieben wird, dienen Verfahren der genauen Beschreibung der Durchführung von Kontrollen. Die Kontrollaktivitäten können nach unterschiedlichen Kategorien systematisiert sein. So lassen sich beispielsweise vor- und nachgelagerte Kontrollen oder manuelle und automatische Kontrollaktivitäten unterscheiden. (4) Information and Communication: Dieses Kontrollelement ist die Grundlage für die Entscheidungen des Managements und zielt auf eine effektive Kommunikation der Informationen durch die gesamte Organisation. Das Interne Kontrollsystem muss so aufgestellt sein, dass es Informationen identifiziert, erfasst, rechtzeitig verarbeitet und an die relevanten Ebenen im Unternehmen weitergibt. Die Voraussetzung dafür sind funktionierende Informations- und Kommunikationswege im Unternehmen. Die Kategorie Information und Kommunikation beschränkt sich nicht auf die interne und externe Berichterstattung, sondern bezieht explizit auch externe Ereignisse ein. Mitarbeiter, Kunden, Lieferanten, Aktionäre und sonstige denkbare Stakeholder des Unternehmens müssen bei Information und Kommunikation Berücksichtigung finden. 58
C.
1
Die Position der Internen Revision im Unternehmen
(5) Monitoring: Die laufende Überwachung des Internen Kontrollsystems soll dessen Funktionalität und Qualität dauerhaft sicherstellen. Bedingt durch wechselnde Umwelt- und Rahmenbedingungen können Kontrollen unwirksam werden oder es stellt sich die Notwendigkeit einer Überarbeitung der Kontrollen ein. Das Monitoring des Internen Kontrollsystems erfolgt ganz maßgeblich durch prozessintegrierte Maßnahmen. Prozessübergreifende Monitoringmaßnahmen sind etwa die Prüfungen durch die Interne Revision. Die Interne Revision ist dabei selbst Bestandteil des Systems, das sie prüft. Die nachfolgende Abbildung gibt die COSO-Komponenten noch einmal wieder und verknüpft sie mit beispielhaft genannten konkreten Umsetzungen.
166
167
168
COSO Komponenten und Beispiele Überwachung des IKS
Interne und externe Revision Überwachung durch das Management Überwachung durch den Aufsichtsrat
Information und Kommunikation
Interne Managementberichte Kommunikation von Grundsätzen und Verfahren Training / Weiterbildung
Kontrollaktivitäten
Trennung von Aufgabenbereichen Arbeitsanweisungen Überprüfung und Abstimmung
Risikobeurteilung
Bewertung und Angleichen der Geschäftsziele Identifikation und Analyse von Risiken Change- und Growth-Management
Kontrollumfeld
Code of Ethics Leistungsvorgaben und Vergütungsstruktur Delegation von Kompetenzen und Verantwortlichkeiten
Tabelle entnommen aus: Menzies, C. (Hrsg.), Sarbanes-Oxley Act – Professionelles Management interner Kontrollen; Stuttgart 2004, S. 80.
Abbildung 1-4: COSO-Komponenten und Beispiele Mit dem COSO-Report und dem daraus folgendem COSO-Framework sind erstmals neben der Finanzberichterstattung auch operative Betriebsabläufe in den Fokus des Internen Kontrollsystems geraten. Damit beinhaltet Internal Control in diesem Sinne nicht mehr lediglich eine statisch-rückwärts gewandte Perspektive, sondern auch und immer mehr eine zukunftsgerichtete Unternehmenssteuerung inklusive einer strategischen Überwachungskomponente. Die Veränderung des Internal Control-Ansatzes durch den COSO-Report besteht mithin im Wandel des Internen Kontrollsystems von einem eher statischen System hin zu einem von Management und Mitarbeitern initiierten Prozess. Es wird ein bereichs- und abteilungsübergreifendes Kommunikations- und Informationssystem gefordert und die Verantwortung für Internal Control wird den Führungskräften übertragen. Internal Control gemäß COSO ist keine neu einzurichtende Abteilung, sondern eine umfassende Unternehmensphilosophie, die von allen Mitarbeitern durchgeführt wird. Mit dem COSO-Framework ist dem Management nicht nur ein systematischer Ansatz an die Hand gegeben worden, um Organisationen effektiv zu steuern. Vielmehr wurde mit COSO auch ein normierter, ganzeinheitlicher Rahmen geschaffen, um interne wie externe Prüfungen des Internen Kontrollsystems durchführen zu können. 59
169
170
171
1
1 1
§1 172
173
174
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Das Committee of Sponsoring Organizations of the Treadway Commission hat im Jahr 2004 aktuellen Entwicklungen Rechnung getragen und als Ergänzung und Weiterentwicklung des Internal Control – Integrated Framework das Enterprise Risk Management-Integrated Framework (COSOERM) veröffentlicht. Das COSO-ERM baut auf dem ursprünglichen COSO-Framework auf und ergänzt diesen um den Fokus auf das Enterprise Risk Management. Das COSO-ERM verdeutlicht die gestiegene Bedeutung des Risikomanagements im Unternehmen und es betont die ganzheitliche Perspektive, womit es sich gegenüber den klassischen Risikomanagementansätzen unterscheidet, die eher auf finanzielle und versicherbare Risiken ausgerichtet waren. Dementsprechend definiert COSOERM Risikomanagement wie folgt: „Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.“66 Das COSO-ERM basiert auf den identischen Prinzipien wie das ursprüngliche Internal ControlFramwork, erweitert dieses aber um risikobezogene Aspekte. Im Vergleich zum Internal ControlFramework berücksichtigt das COSO-ERM im Rahmen der Ziele der Organisation auch die Strategie und dehnt die Berichterstattungsziele auf die Verlässlichkeit jeglicher Art von Berichterstattung im Unternehmen aus.
COSO Enterprise Risk Management – Integrated Framework
Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Integrated Framework, Executive Summary, Jersey City (NJ) 2004, S. 5.
175
Abbildung 1-5: Enterprise Risk Management – Integrated Framework Das COSO–ERM umfasst acht Komponenten, die einander gegenseitig beeinflussen. Durch das Interne Umfeld werden die Grundlagen für das Risikomanagement im Unternehmen geschaffen. Die Zielsetzung ist erforderlich, um letztlich die Ereignisse identifizieren zu können, die die Zielereichung beeinträchtigen oder fördern können. Darauf aufbauend können die Risiken bewertet und erforderliche Steuerungsmaßnahmen ausgearbeitet werden. Mittels Steuerungs- und 66 Zit. n. Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Integrated Framework, Executive Summary, Jersey City (NJ) 2004, S. 2.
60
C.
1
Die Position der Internen Revision im Unternehmen
Kontrollaktivitäten soll die erforderliche Maßnahmenumsetzung gewährleistet werden. Bedeutsam für den Gesamtprozess ist die Dokumentation und die entsprechende Information aller im Unternehmen vom Risikomanagement betroffenen Bereiche und Organisationseinheiten. Die Qualitätssicherung des Enterprise Risk Management erfolgt durch laufende Kontroll- und Überwachungsmaßnahmen. Zurückkommend auf die Aufgaben der Internen Revision innerhalb des Internen Kontrollsystems muss nochmals klar gestellt werden, dass die Interne Revision keine Steuerungs- und Kontrollfunktion darstellt, sondern eine Prüfungsfunktion im Unternehmen ist. Der Standard 2120 des Institute of Internal Auditors (IIA) legt fest, dass die Interne Revision das Unternehmen bei der Aufrechterhaltung wirksamer Steuerung und Kontrolle unterstützt, indem es deren Wirksamkeit und Effizienz beurteilt sowie kontinuierliche Verbesserungen fördert. Die Gestaltung und Durchführung von Steuerungs- und Kontrollaktivitäten liegt somit außerhalb des Aufgabengebiets der Internen Revision. Die Interne Revision ist ein Instrument der Überwachung des Internen Kontrollsystems. Im Vordergrund eines modernen Internen Kontrollsystems steht die Integration von Strukturen und Prozessen des Unternehmens in das Interne Kontrollsystem, die ganzheitliche Zieldefinition sowie die Integration der verschiedenen Steuerungs- und Kontrollfunktionen. Dieser Ansatz stellt sich auch als ein geeigneter Ausgangspunkt für eine zukunftsweisende Tätigkeit der Internen Revision dar. Die Interne Revision verfügt über umfassendes Wissen und umfassende Kenntnisse des Internen Kontrollsystems sowie der Menschen, Prozesse und Strukturen im Unternehmen. Die Interne Revision sollte auch mit der Unternehmenskultur vertraut sein und gleichzeitig die erforderliche Objektivität aufweisen. Damit kann die Interne Revision wie keine andere Stelle im Unternehmen ein Promotor für das Interne Kontrollsystem sein. Neben der Internen Revision sind auch das Controlling und das Risikomanagement Institutionen des Internen Kontrollsystems. D.h., dass die Interne Revision diese Prozessverantwortlichen nicht nur prüft, sondern mit ihnen im Rahmen der Überwachungs-, Steuerungs- und Kontrollaktivitäten auch in einer engen Beziehung steht. Eine entsprechende Zusammenarbeit dieser betrieblichen Funktionsbereiche ist für ein modernes und funktionsfähiges Internes Kontrollsystem unerlässlich. Mit dem erweiterten Kontrollverständnis durch die Etablierung des COSO-Frameworks muss sich die Interne Revision über ihre klassischen Kontrolltätigkeiten hinaus mit allen risikorelevanten Geschäftsprozessen im Unternehmen vertraut machen. Die Interne Revision muss über die Geschäftsprozesse und die Organisationseinheiten hinweg ein vollständiges und konsistentes Audit Universe abbilden. Durch das erweiterte Internal Control–Verständnis hat sich also auch der Aufgabenbereich der Internen Revision deutlich erweitert. Sie wird im Rahmen ihrer prozessualen Unabhängigkeit nicht nur die organisatorischen Sicherungsmaßnahmen und Kontrollen prüfen, sondern innerhalb eines engmaschigen Beziehungsgeflechtes auch mit Controlling und Risikomanagement zusammenarbeiten und diese als Prüfungsobjekte ansehen müssen. Die Frage des Umgangs mit dem Internen Kontrollsystem hat durch den in den USA verabschiedeten „Sarbanes-Oxley Act“ von 2002 eine neue Qualität erhalten hat. Gerade Unternehmen, die in Deutschland vom SOX betroffen sind, berichten von einem enormen Aufwand bei der Einhaltung von formalen Anforderungen. Section 404 SOX verlangt für in den USA börsennotierte Unternehmen einen Bericht über das Interne Kontrollsystem, in dem insbesondere die Wirk-
61
1
176
177
178
179
180
181
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
samkeit der internen Kontrollen beurteilt und bestätigt wird. Mit dem SOX und dessen Ausstrahlungswirkung auch auf nicht in den USA gelisteten Unternehmen ergibt sich für die Interne Revision die Chance, an der Entwicklung geeigneter Konzepte für das Interne Kontrollsystem mitzuwirken, ohne den als unnötig empfundenen formalen Ballast mitzuführen.
1
3. 182
183
184
185
186
187
Interne Revision und Risikomanagement
Das Thema Interne Revision und Risikomanagement wird in Deutschland spätestens seit der Verabschiedung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) am 21. April 1998 lebhaft erörtert. Der Vorstand einer Aktiengesellschaft ist seither verpflichtet, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Neben der Diskussion, inwieweit sich aus dieser Vorschrift und den dazugehörigen Begründungen die rechtliche Verpflichtung zur Einrichtung und Unterhaltung einer Internen Revision ergibt, wurde vor allem auch lebhaft darüber diskutiert, ob und inwieweit die Interne Revision Prüfungen des Risikomanagements neben den Abschlussprüfern durchführen sollte. Unabhängig von solchen Diskussionen erwarten die Anteilseigner von Unternehmen, dass die sich aus fortschreitender Globalisierung, neuen Technologien, Deregulierung, zunehmender Regelungsdichte und anderen Veränderungen ergebenden Chancen und Risiken in einer Weise gesteuert werden, die eine Optimierung des Unternehmenswertes ermöglicht. Dabei reicht es nicht, Schadensfälle oder negative Ereignisse zu vermeiden oder deren Auswirkung zu begrenzen. Das Spannungsverhältnis zwischen Ertrag und Risiko muss darüber hinaus so gesteuert werden, dass die Ausnutzung der Chancen optimiert wird. Der Einsatz von geeigneten Absicherungstechniken sollte sicherstellen, dass geplante Ergebnisse nicht über eine gewisse Bandbreite hinaus schwanken. Vor diesem Hintergrund kann die Interne Revision aufgrund ihrer Erfahrung und Spezialisierung wesentliche Beiträge zum Risikomanagement leisten: ■ eine systematische Erfassung und Bewertung kritischer Risiken ■ eine Analyse und Beurteilung des vorhandenen Überwachungssystems ■ die Bereitstellung von Methoden und Hilfsmitteln zum Risikomanagement. Wie der Risikomanagementprozess innerhalb eines Unternehmens ablaufen sollte, zeigt Abbildung 1-6 im Überblick. Dieser Prozess findet sich auch analog im Enterprise Risk Management–Integrated Framework wieder, das bereits behandelt wurde.
62
C.
1
Die Position der Internen Revision im Unternehmen
Risikomanagementprozess
1
Unternehmens- und Risikomanagementziele
Risikoidentifikation
Risikoüberwachung
Risikokommunikation
Risikoanalyse und -bewertung
Risikosteuerung bzw. -bewältigung
Abbildung 1-6: Risikomanagementprozess Die Institutionen innerhalb eines Unternehmens, die für die Funktionsfähigkeit und Effizienz des Risikomanagements Sorge tragen, sind insbesondere das Controlling und die Interne Revision. Schwerpunkt der Tätigkeiten der Internen Revision in diesem Zusammenhang ist ganz sicher die Prüfung des Risikomanagements. Die Interne Revision wird sich bei der Prüfung des Risikomanagements am IIR-Revisionsstandard Nr. 2 „Prüfung des Risikomanagements durch die Interne Revision“ orientieren müssen. Ziel des Revisionsstandards Nr. 2 des Instituts für Interne Revision ist die Festlegung von Grundsätzen für die Prüfung des Risikomanagementsystems durch die Interne Revision. Dabei definiert der Standard zunächst das zugrunde liegende Verständnis von Risikomanagement und Interner Revision und erläutert kurz die gesetzlichen Grundlagen. Der Standard führt weiterhin aus, dass der Internen Revision aufgrund ihrer Unabhängigkeit die Überwachung der Funktionsfähigkeit des Risikomanagements zu übertragen sei, sie auch bei der Konzeption und Einführung des Risikomanagementsystem mitwirken könne, ihr aber nicht die Verantwortung für die Durchführung des Risikomanagements übergeben werden dürfe. Bezüglich der eigentlichen Prüfungshandlungen wird im Revisionsstandard Nr. 2 die Risikostrategie als Ausgangspunkt einer entsprechenden Prüfung postuliert. Die Interne Revision habe festzustellen, ob eine entsprechende Dokumentation des Risikomanagements vorliege. Darüber hinaus habe sie zu beurteilen, wie die Risikoidentifikation, die Risikobewertung und die Zweckmäßigkeit der Maßnahmen inhaltlich ausgestaltet sind. Sowohl ■ für die Prüfung der vollständigen Erfassung und der Identifikation aller Risiken, ■ für die Beurteilung der Risikoanalyse und der Risikobewertung, ■ für die Prüfung der Realisierung und Zweckmäßigkeit der Maßnahmen zur Risikosteuerung und der Einhaltung der integrierten Kontrollen als auch ■ für die Prüfung der Kommunikation von Risiken 63
188
189
190
191
192
1
§1
1 193
194
195
196
werden im Standard inhaltliche Erläuterungen gegeben und Checklisten mit Prüfungsfragen zur Verfügung gestellt. Die Prüfung des Risikomanagements ist nicht nur eine Obliegenheit der Internen Revision. Der Abschlussprüfer hat nach § 317 Abs. 4 HGB bei einer Aktiengesellschaft, die Aktien mit einer amtlichen Notierung ausgegeben hat, im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 AktG obliegenden Pflichten und Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann. Gemäß § 321 Abs. 4 HGB muss der Abschlussprüfer das Ergebnis seiner Prüfung nach § 317 Abs. 4 HGB in einem besonderen Teil des Prüfungsberichts darstellen. Es ist darauf einzugehen, ob Maßnahmen erforderlich sind, um das Interne Kontrollsystem zu verbessern. Nicht Prüfungsgegenstand der Abschlussprüfer ist, ob die Unternehmensleitung Risiken effektiv und effizient entgegen getreten ist. Im IDW (Institut der Wirtschaftsprüfer)-Prüfungsstandard PS 340 „Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB“ heißt es in Randziffer 6: „Die Reaktion des Vorstands auf erfasste und kommunizierte Risiken selbst sind nicht Gegenstand der Maßnahmen i.S.d. § 91 Abs. 2 AktG und damit auch nicht Gegenstand der Prüfung nach § 317 Abs. 4 HGB. Ebenso gehört die Beurteilung, ob die von nachgeordneten Entscheidungsträgern eingeleiteten oder durchgeführten Handlungen zur Risikobewältigung bzw. der Verzicht auf solche sachgerecht oder wirtschaftlich sinnvoll sind, nicht zur Prüfung des Risikofrüherkennungssystems.“ Gerade die Prüfung der Maßnahmen zur Risikobewältigung und -steuerung gehört jedoch auch zum Prüfungsumfang nach dem Verständnis des o.g. IIR-Prüfungsstandards Nr. 2. Die bei der Risikoidentifikation und Risikoanalyse ermittelten Risikopositionen sollen im Rahmen der Risikobewältigung aktiv beeinflusst werden. Die entsprechenden Maßnahmen des Managements sollen auf die Verringerung der Eintrittswahrscheinlichkeit eines Risikos zielen oder auf die Begrenzung der Risikoauswirkungen. Durch die Prüfung der Internen Revision soll festgestellt werden, ob die vorgegebenen Maßnahmen auch tatsächlich kontinuierlich umgesetzt werden und zweckmäßig sind. Insofern werden die Systemprüfungen durch den Abschlussprüfer durch die weitergehenden Prüfungen der Internen Revision ergänzt. Die Prüfung der Maßnahmen zur Risikobewältigung stellt sich in der Praxis für die Revision als der schwierigste und bedeutendste Teil der Prüfung des Risikomanagements dar. Denn letztlich wird bei einer Prüfung der Qualität von Maßnahmen zur Risikobewältigung durch die Unternehmensleitung auch die Managementqualität beurteilt. Die Risikosteuerung durch die Unternehmensleitung muss im Einklang mit den Unternehmenszielen und den daraus abgeleiteten Risikomanagementzielen stehen. Voraussetzung für eine effektive Risikobewältigung ist die sofortige Einleitung von Sicherungsmaßnahmen und die zeitnahe, sachgerechte Information der Entscheidungsträger durch ein entsprechendes Berichtswesen. Grundsätzlich gilt es, bei der Auswahl einer adäquaten Risikostrategie eine Optimierung des Chancen-Risiko-Profils anzustreben.
4. 197
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Die Interne Revision als Bestandteil der Corporate Governance
Auch in Deutschland hat der Begriff der Corporate Governance als Bezeichnung für ein System der guten Unternehmensführung in den letzten Jahren Konjunktur. Die entsprechenden Systemelemente wie Aufsichtsrat, Wirtschaftsprüfer oder auch die Interne Revision haben dynamische 64
C.
1
Die Position der Internen Revision im Unternehmen
Entwicklungen genommen. Doch während das gesetzliche Regelwerk für die Elemente der externen Unternehmensüberwachung und -kontrolle wie Abschlussprüfer, Aufsichtsrat und auch Behörden immer dichter wird und zunehmend Verantwortlichkeiten auf Externe übertragen werden, besteht nach wie vor in Deutschlands Industrieunternehmen keine Verpflichtung zum Aufbau einer Internen Revision, geschweige denn, dass es Aussagen zu deren optimalen Aufbau und Funktionsweise gäbe. Gleichwohl darf man heute wohl sagen, dass das Nichtvorhandensein einer Internen Revision als eine materielle Schwäche des Internen Kontrollsystems angesehen wird oder – positiv gewendet – die Interne Revision wird heute als unverzichtbares Element der Corporate Governanvce angesehen. Gründe für die wachsende Bedeutung der Internen Revision im Gefüge der Corporate Governance sind die bereits vielfach beschriebenen Trends und Entwicklungen: Zunehmender Wettbewerb, die allgemeine Globalisierung der Geschäfte, die steigende Bedeutung der Kapitalmärkte. Unternehmen, die an sich den Anspruch an eine gute Unternehmensführung stellen, begegnen der mit diesen Trends verbundenen wachsenden Komplexität und den entsprechenden Risiken mit Steuerungs- und Kontrollmaßnahmen und -institutionen, unter anderem mit einer Internen Revision. Hinzu tritt die heute immer stärker werdende Bedeutung ethisch einwandfreien Handelns. Die Unternehmensskandale, sei es Enron oder Worldcom in Amerika oder sei es Siemens und VW in Deutschland, zeigen: Unternehmen stehen im Fokus des öffentlichen Interesses. Von Imageschäden bis hin zu einer Abstrafung durch die Kapitalmärkte ist als Reaktion auf entsprechende Vorfälle alles denkbar. Wer dies, wenn schon nicht verhindern, so mindestens weniger wahrscheinlich machen will, der setzt im Rahmen der Corporate Governance auch auf die Interne Revision. Wobei an dieser Stelle auf eine Geschichte verwiesen sei, die Paul Watzlawick im Zusammenhang der „Vermeidung eines Problems zum Zwecke seiner Verewigung“ erzählte: „… die Geschichte vom Manne, der alle zehn Sekunden in die Hände klatschte. Nach dem Grunde für dieses merkwürdige Verhalten befragt, erklärte er: Um die Elefanten zu verscheuchen.“ „Elefanten? Aber es sind doch hier gar keine Elefanten!“ Darauf er: „Na, also! Sehen Sie!“67 Damit sei nur gesagt, dass es durchaus mehr bedarf für eine gute Unternehmensführung als des Händeklatschens in Form der Einrichtung einer Internen Revision. Vor der Einordnung der Internen Revision in die Corporate Governance noch einige Anmerkungen zum Begriff an sich. Corporate Governance ist nach Werder der rechtliche und faktische Ordnungsrahmen für die Leitung eines Unternehmens.68 Der Begriff weist zwar Überschneidungen mit der „Unternehmensverfassung“ auf, geht aber insofern darüber hinaus, als die Corporate Governance neben der inneren Ordnung des Unternehmens auch dessen rechtliche und faktische Einbindung in sein Umfeld, insbesondere in den Kapitalmarkt umfasst. Gemäß des IIA-Standards 2130 „Governance“ trägt die Interne Revision zum Führungs- und Überwachungsprozess des Unternehmens bei, indem sie den Prozess bewertet und verbessert, durch den (1) Werte und Ziele vorgegeben und kommuniziert werden, (2) die Zielerreichung überwacht wird, (3) die Verantwortung sichergestellt ist und (4) Werte erhalten werden. 67 Zit. n.: Watzlawick, P., Anleitung zum Unglücklichsein, München 1983, S. 51. 68 Vgl. Werder, Axel v., Der German Code of Corporate Governance im Kontext der internationalen GovernanceDebatte, in: German Code of Corporate Governance, Werder, Axel v. (Hrsg.), 2. Aufl., Stuttgart 2001, S. 1–33.
65
1
198
199
200
201
202
1 1
§1 203
204
205
206
207
208
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Die Interne Revisoren soll nach dem Standard die Geschäftsprozesse und Programme überprüfen, um die Übereinstimmung mit den Werten des Unternehmens sicherzustellen. Die Ziele eines Beratungsauftrags für die Interne Revision sollten mit den Wert- und Zielvorstellungen des Unternehmens übereinstimmen. Ein wichtiger Governance-Aspekt ist die Unternehmenskultur sowie die ethische Grundhaltung innerhalb der Organisation. Diese beeinflussen maßgeblich die Ziele sowie die Werte und das Verhalten aller am Unternehmen beteiligten Parteien. Indem die Interne Revision die Unternehmensführung, das Management und die Mitarbeiter auf die vorhandenen Normen und Verhaltensrichtlinien aufmerksam macht, kann sie eine starke und aktive Rolle innerhalb der Etablierung einer ethisch einwandfreien Unternehmenskultur spielen. Die Interne Revision ist eine der wenigen Funktionen innerhalb von Unternehmen, die diese Kompetenzen und vor allem auch die Möglichkeiten besitzt. Auf diesem Wege kann die Interne Revision, wie bereits dargelegt, auch einen bedeutenden Beitrag zur Struktur und Überwachung der Unternehmensorganisation leisten. Das Kontrollumfeld bildet auch im COSO-Framework eine Plattform für einen umfassenden Überwachungs- und Kontrollprozess eines Unternehmens. Daneben sollen die Elemente Risikobeurteilung, Kontrollaktivitäten, Monitoring sowie die Kommunikation die Überwachungsaufgaben unterstützen. Des Weiteren soll die Interne Revision die Zielerreichung überwachen und mögliche Fehlentwicklungen erkennen. Aufgrund der Tätigkeiten im Bereich der Kontrolle und Überwachung sowie im Risk Management hat die Interne Revision die Möglichkeit, an die notwendigen Informationen zu gelangen. Dadurch können einerseits Unternehmensprobleme erkannt und andererseits Vermögenswerte gesichert und neue Chancen für die Organisation aufgezeigt werden. Die zunehmende Komplexität der unternehmerischen Strukturen verlangt eine veränderte und engere Zusammenarbeit der Internen Revision mit dem Aufsichtsrat bzw. mit dem Audit Committee. Der Aufsichtsrat wird zukünftig auch vermehrt die Interne Revision für eigene Überwachungsaufgaben einsetzen wollen, denn die Aufgaben, Kontrollfunktionen sowie Verantwortlichkeiten des Aufsichtrates nehmen an Umfang deutlich zu. An dieser Stelle wird die Interne Revision mindestens im gesellschaftsrechtlichen Rahmen in Deutschland auf Probleme stoßen. Denn einer Beauftragung durch den Aufsichtsrat oder das Audit Committee wird sich die Interne Revision kaum entziehen können. Andererseits ist nicht der Aufsichtsrat der Arbeitsgeber der Revisoren, sondern der Vorstand entscheidet über die Beschäftigung. Dieser Konflikt wird für die Interne Revision auf absehbare Zeit kaum lösbar sein. Corporate Governance soll die Unternehmensüberwachung und -kontrolle verbessern und zu einer Steigerung des Unternehmenswerts beitragen. Diese Zielsetzung verlangt von der Unternehmensleitung eine Abwägung der Interessen der Shareholder mit denen der Stakeholder. Oftmals ist die Unternehmensführung aber nicht in der Lage, alle notwendigen Kontroll- und Überwachungsaufgaben selbst wahrzunehmen, deshalb muss sie sich auf ein zuverlässiges Überwachungssystem abstützen können. Die Interne Revision leistet einen Beitrag zur Corporate Governance, indem sie den Vorstand bei seinen Aufgaben betreffend der Überwachungs- und Kontrollaufgaben unterstützt. Die Interne Revision kann darüber hinaus auch zusätzliche Aufgaben übernehmen, wie beispielsweise beratende Dienstleistungen oder weitere Spezialprojekte. Aufgrund der fundierten Unternehmenskenntnisse und der Vertrautheit mit dem Umfeld des Unternehmens ist die Interne Revision dafür geeignet.
66
C.
1
Die Position der Internen Revision im Unternehmen
Durch eine pflichtbewusste Aufgabenerfüllung durch die Interne Revision sowie einer permanenten und offenen Kommunikationspolitik zwischen den betroffenen Parteien kann die Interne Revision sicher einen bedeutenden Beitrag zur Corporate Governance leisten. Neben der bereits angesprochenen Zuarbeit für den Vorstand materialisiert sich der Beitrag der Internen Revision zur Corporate Governance insbesondere auch in der Zusammenarbeit mit dem Abschlussprüfer und mit dem Aufsichtsrat.
5.
209
210
Zusammenarbeit zwischen der Internen Revision und dem Abschlussprüfer
Die Interne Revision selbst hat ihr Verhältnis zu den Abschlussprüfern im Rahmen eines nationalen Standards definiert bzw. dargelegt.69 Ausgehend von den Entwicklungen der Internen Revision in den letzten Jahren und ihren diesbezüglich ihr zugewachsenen Aufgaben stellt der Standard zunächst fest, dass sich die Interne Revision im Bereich Finanz- und Rechnungswesen weitgehend mit dem gleichen Gegenstand wie die Abschlussprüfung durch Wirtschaftsprüfer beschäftigt. Ebenso verhält es sich bei Prüfungen des Internen Kontrollsystems durch die Interne Revision und durch den Abschlussprüfer. Beide sind im Wesentlichen durch vergleichbare Prüfungshandlungen gekennzeichnet. Daraus wird gefolgert, dass eine „Zusammenarbeit der beiden Überwachungsorgane mit einem ständigen Informationsaustausch notwendig“70 sei. Insbesondere wird die Interne Revision dazu beitragen können, die Prüfungshandlungen der Abschlussprüfer zu verringern. Aufgabe der Abschlussprüfer ist auch die Prüfung des Internen Überwachungssystems. Hier wird der Umfang der Prüfungshandlungen im Wesentlichen durch die Einschätzung des Überwachungsrisikos (Control Risk) determiniert. Durch die Arbeit der Internen Revision kann das Überwachungsrisiko gemindert werden und damit auch der Aufwand, den die Abschlussprüfer in diesem Feld zu bewältigen haben. Mithin ergeben sich zwischen den Tätigkeitsgebieten der Internen Revision und der Abschlussprüfung Schnittstellen im Bereich des Financial Auditing. Zwar kann diese durch die Interne Revision geleistete Arbeit für den Abschlussprüfer hilfreich sein. Allerdings betont das Fachgutachten HFA 1/1988 des IDW71: „Die Ergebnisse von Prüfungseinrichtungen des Unternehmens oder des Konzerns (IR) soll der Abschlussprüfer zur Kenntnis nehmen; er kann sie bei der Bemessung des Prüfungsumfangs berücksichtigen. Sie können seine eigenen Prüfungsfeststellungen nicht ersetzen.“ Der o.a. IIR-Standard stellt für die Zusammenarbeit der beiden Institutionen Interne Revision und Abschlussprüfer bestimmte Anforderungen. Diese beziehen sich bei den Abschlussprüfern auf die Einhaltung seiner beruflichen Standespflichten, die insbesondere auch die fachliche Kompetenz u.ä. Aspekte umfassen. Darüber hinaus fordert der Standard die Unterrichtung der Internen Revision über alle relevanten Feststellungen. Zur letztgenannten Anforderung sei lediglich angemerkt, dass dies in der betrieblichen Praxis durch die Interne Revision gegenüber dem Abschlussprüfer nicht eingefordert werden kann. Dieser hat grundsätzlich seinen Auftraggeber – also z.B. den Aufsichtsrat – zu informieren. Nichts69 Deutsches Institut für Interne Revision (IIR), Fachliche Mitteilung des IIR: IIR Revisionsstandard Nr. 1: Zusammenarbeit von Interner Revision und Abschlussprüfer, in: Zeitschrift Interne Revision, 1/2001, S. 34–38. 70 Ebenda, S. 34. 71 Institut der Wirtschaftsprüfer/HFA, Fachgutachten 1/1988: Grundsätze ordnungsgemäßer Durchführung von Abschlussprüfungen, in: Wirtschaftsprüfung, Jg. 42, 1989, S. 9–19:
67
211
212
213
214
215
216
1
1
§1
1
217
218
219
220
221
destotrotz wird die Interne Revision durch die permanente Pflege guter Beziehungen zum Abschlussprüfer die relevanten Informationen erhalten. Außerdem sollte es in jedem Unternehmen zu den Selbstverständlichkeiten zählen, dass die Interne Revision über relevanten Prüfungsfeststellungen informiert wird – sei es durch den Vorstand oder etwa auch durch das Rechnungswesen. So können die im Rahmen von Abschlussprüfungen erstellten Management Letter für die Interne Revision eine bedeutsame Informationsquelle für die risikoorientierte Prüfungsplanung sein. Für die Zusammenarbeit zwischen Interner Revision und Abschlussprüfer erscheint die Eignung der Internen Revision selbst aber von entscheidender Bedeutung. Wenn ein Unternehmen bei der Zusammenarbeit der beiden Prüfungseinrichtungen Wirtschaftlichkeitserwägungen zum Zuge kommen lassen will, dann muss die Interne Revision bestimmte Anforderungen erfüllen. Die Beurteilung der Internen Revision bezieht sich dabei insbesondere auf die Einhaltung der beruflichen Standards, ihre Unabhängigkeit sowie der Unbefangenheit und Eignung der eingesetzten Revisoren. Auch die Interne Revision ist aufgefordert, ihre Erkenntnisse und Prüfungsfeststellungen an die Abschlussprüfer zu kommunizieren. Hier wird in der betrieblichen Praxis abzuwägen sein, inwieweit die Interne Revision diesem durch einen Berufsstandard aufgestelltem Diktum wird folgen können. Bei allem Bemühen um Transparenz, um eine Minimierung des Überwachungsrisikos und um eine gedeihliche Zusammenarbeit mit dem Abschlussprüfer, wird es Dinge zwischen Vorstand und Revisionsleitung geben, die sich – vorsichtig ausgedrückt – für eine Weitergabe an den Abschlussprüfer nicht zwingend eignen. Trotz dieser Einschränkung lassen sich durch eine geeignete Zusammenarbeit zwischen Interner Revision und Abschlussprüfer insbesondere ineffiziente Doppelarbeiten vermeiden. Die beiden Prüfungseinrichtungen sollten sich deshalb über ihre Prüfungspläne abstimmen, Berichte und Meinungen austauschen und ggf. auch gemeinsame Prüfungen durchführen. So kann der Abschlussprüfer etwa auf Ergebnisse aus Risikomanagementprüfungen durch die Interne Revision zurückgreifen. Die Interne Revision wird sich im Regelfall über die Verhältnisse im Unternehmen besser informiert zeigen als der Abschlussprüfer und sie wird ihm deshalb gerade zu diesen abschlussrelevanten Sachverhalten fundiert Auskunft geben können. Letztlich führen die immer wieder aufgeführten Entwicklungen innerhalb des Systems „Wirtschaft“ dazu, dass die beiden Prüfungseinrichtungen zukünftig vermehrt interagieren müssen. Der Zwang zur Kostensenkung und zum wirtschaftlichen Einsatz der Ressourcen, die zunehmende Internationalisierung oder auch der steigende Einsatz der Informationstechnologie in allen Unternehmensbereichen seien nochmals genannt. Um den daraus resultierenden Anforderungen gerecht werden zu können, wird die Interne Revision nicht umhin kommen, sich weiter zu qualifizieren und fortzuentwickeln.
6. 222
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Zusammenarbeit der Internen Revision mit dem Aufsichtsrat
Der Aufsichtsrat ist nach deutschem Recht ein Pflichtorgan für Aktiengesellschaften. Nach § 95 AktG besteht ein Aufsichtsrat aus mindestens drei Personen. § 111 AktG legt die Aufgaben und Rechte des Aufsichtsrats fest. Danach hat der Aufsichtsrat insbesondere die Geschäftsführung zu
68
C.
1
Die Position der Internen Revision im Unternehmen
überwachen und festzulegen, dass bestimmte Arten von Geschäften nur mit seiner Zustimmung vorgenommen werden dürfen. Diese Aufgaben nimmt der Aufsichtsrat im Wesentlichen anhand der ihm durch den Vorstand nach § 90 AktG zur Verfügung zu stellenden Berichterstattung wahr. Das AktG sieht vor, dass der Vorstand dem Aufsichtsrat berichtet über ■ die beabsichtigte Geschäftspolitik und andere grundsätzliche Fragen der Unternehmensplanung (insbesondere die Finanz-, Investitions- und Personalplanung), wobei auf Abweichungen der tatsächlichen Entwicklung von früher berichteten Zielen unter Angabe von Gründen einzugehen ist; ■ die Rentabilität der Gesellschaft, insbesondere die Rentabilität des Eigenkapitals; ■ den Gang der Geschäfte, insbesondere den Umsatz, und die Lage der Gesellschaft; ■ Geschäfte, die für die Rentabilität oder Liquidität der Gesellschaft von erheblicher Bedeutung sein können. Außerdem sieht das AktG eine Berichterstattung an den Vorsitzenden des Aufsichtsrats aus sonstigen wichtigen Anlässen vor. Dabei handelt es sich auch um einen dem Vorstand bekannt gewordenen geschäftlichen Vorgang bei einem verbundenen Unternehmen, der auf die Lage der Gesellschaft von erheblichem Einfluss sein kann. Mit den aufgeführten Berichtspflichten des Vorstands an den Aufsichtsrat sind Mindestanforderungen definiert. Durch Satzung oder durch den Aufsichtsrat selbst können die Berichtspflichten – in einem für die Erfüllung der Überwachungsaufgaben sinnvollen Rahmen – erweitert werden. Problematisch bleibt aber immer, dass hier die Informationen von denjenigen zur Verfügung gestellt werden, die überwacht werden sollen. Zum Umgang des Aufsichtsrats mit der Internen Revision sieht das deutsche Recht keine expliziten Regelungen vor. Indirekt könnten sich aus Prüfungsfeststellungen von besonderer Schwere durch die Internen Revision Berichtspflichten aus „sonstigen wichtigen Anlässen“ an den Aufsichtsratsvorsitzenden ergeben. § 111 Abs. 2 AktG gestattet es dem Aufsichtsrat als Organ, sich selbst einen Einblick in Bücher und Sachverhalte zu verschaffen. Dieses Recht bezieht sich eindeutig auf Sachverhalte, die zur Überwachung des Vorstands erforderlich sind. In anderen Angelegenheiten kann der Aufsichtsrat lediglich über den Vorstand um Aufklärung des Sachverhaltes bitten und dazu einen Bericht anfordern. Selbst prüfen kann der Aufsichtsrat dann nicht. Daraus lässt sich auch ableiten, dass nach der gegenwärtigen Gesetzeslage ein unmittelbarer Kontakt des Aufsichtsrats zur Internen Revision, aber auch zu anderen Mitarbeitern eines Unternehmens, nicht vorgesehen ist. Allerdings wird sich etwa der Leiter einer Internen Revisionsabteilung vermutlich einer Anfrage des Aufsichtsrates nach direktem Kontakt kaum verschließen wollen. Um es nochmals zu betonen: Die Interne Revision ist in Deutschland dem Vorstand direkt unterstellt. Damit entfällt eine direkte Zuordnung der Internen Revision zum Aufsichtsrat oder auch zum Prüfungsausschuss. Mit den Empfehlungen des Deutschen Corporate Governance Kodex aus dem Jahr 2002 ist in deutschen Aktiengesellschaften die Etablierung von Prüfungsausschüssen en vogue. Anders als etwa in den USA, wo das Audit Committee als unabhängige Kontrollinstanz, bestehend aus nicht-geschäftsführenden Verwaltungsratmitgliedern, das Board of Directors überwacht, wird im deutschen Rechtssystem mit den getrennten Organen Vorstand und Aufsichtsrat ein Prüfungsausschuss gebildet, der nur Aufgaben und Kompetenzen des Aufsichtsrats ausübt. 69
1 223
224
225
226
227
228
229
1 1
§1 230
231
232
233
234
235
236
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Allerdings ist es durch die Initiativen auf der Ebene der Europäischen Union zu einer deutlichen Aufwertung des Prüfungsausschusses und auch seiner Stellung innerhalb der Corporate Governance gekommen, die auf eine regelrechte Eigenständigkeit hinausläuft. In der Prüferrichtlinie vom 17. Mai 2006 (8. EU-Richtlinie) heißt es: „Jedes Unternehmen von öffentlichem Interesse hat einen Prüfungsausschuss.“72 Bei Unternehmen von öffentlichem Interesse handelt es sich um börsennotierte Gesellschaften, Banken und Versicherungen. Die Aufgaben des Prüfungsausschusses legt Artikel 41 Abs. 2 der Richtlinie fest. Sie bestehen unter anderem darin, ■ den Rechnungslegungsprozess zu überwachen; ■ die Wirksamkeit des internen Kontrollsystems, gegebenenfalls des internen Revisionssystems, und des Risikomanagementsystems des Unternehmens zu überwachen; ■ die Abschlussprüfung des Jahres- und des konsolidierten Abschlusses zu überwachen; ■ die Unabhängigkeit des Abschlussprüfers oder der Prüfungsgesellschaft, insbesondere die von diesen für das geprüfte Unternehmen erbrachten zusätzlichen Leistungen, zu überprüfen und zu überwachen. Anders etwa als der Deutsche Corporate Governance Kodex, der in Ziffer 5.3.2 „Fragen der Rechnungslegung und des Risikomanagements“ die Aufgaben des Prüfungsausschusses definiert, wird in der sog. Prüferrichtlinie der EU die Interne Revision explizit genannt. Für die betriebliche Praxis darf aber wohl festgehalten werden, dass es in deutschen Unternehmen seit geraumer Zeit zu einer starken Zunahme der Zusammenarbeit von Aufsichtsrat bzw. Prüfungsausschuss und Interner Revision gekommen ist. Die Zusammenarbeit konkretisiert sich dabei insbesondere in der Teilnahme der Revisionsleiters bei Prüfungsausschusssitzungen. Dort wird der Revisionsleiter im Regelfall den Prüfungsplan präsentieren, summarisch über Prüfungen berichten oder einzelne Prüfungsberichte von besonderer Bedeutung en detail vorstellen. Umstritten ist bei der Zusammenarbeit von Aufsichtsrat und Interner Revision naturgemäß die Erteilung von Prüfungsaufträgen durch den Aufsichtsrat an die Interne Revision. Wie bereits angeführt, sind die Mitarbeiter der Internen Revision als Angestellte des Unternehmens direkt dem Vorstand unterstellt. Da es anzunehmen ist, dass eine Beauftragung durch den Aufsichtsrat bzw. durch den Prüfungsausschuss nur in gravierenden Fällen erfolgen wird, ist auch zu vermuten, dass in solchen Fällen die gesetzes- und ordnungsgemäße Geschäftsführung durch den Vorstand zumindest in Teilen betroffen sein wird. Aus dieser Konstellation erwächst für den Revisionsleiter und seine Mitarbeiter eine Konfliktsituation. Denn gerade in diesen Situationen zeigt sich, dass die Unabhängigkeit der Internen Revision wegen ihres Verhältnisses zum Vorstand an ihre Grenzen stößt. Dieses Dilemma kann für die Interne Revision nur durch eine direkte Beauftragung durch den Vorstand gelöst werden. D.h., keine Prüfung ohne Zustimmung des Vorstands. In der betrieblichen Praxis wird sich nach Auffassung der Verfasser kein Vorstand dem begründeten Wunsch des Aufsichtsrats oder des Prüfungsausschusses nach einer Untersuchung eines Sachverhalts durch die Interne Revision verweigern können. Bei allen rechtlichen und formalen Betrachtungen, die zur Zusammenarbeit von Aufsichtsrat, Vorstand und Interner Revision angestellt wurden, wird zumeist vergessen, dass es sich gerade 72 Vgl. Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinien 78/660/EWG und 83/349/ EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates.
70
C.
1
Die Position der Internen Revision im Unternehmen
auch in diesem Beziehungsgeflecht um ein typisches Beispiel von „People’s Business“ handelt. Für eine gute und harmonierende Zusammenarbeit zwischen dem Aufsichtrat, als das den Vorstand überwachende Organ, dem Vorstand als Inhaber der Leitungsmacht des Unternehmens, und der Internen Revision als Überwachungsinstrument des Vorstands, bedarf es des gegenseitigen Vertrauens in die Fähigkeiten und die sozialen Kompetenzen des/der jeweils anderen. Dann könnte die Interne Revision den Aufsichtsrat bzw. den Prüfungsausschuss insbesondere bei Fragen des Internen Kontrollsystems, des Risikomanagements und der Aufdeckung doloser Handlungen entsprechend unterstützen.73
7.
1
Revisionsfelder
Durch die schnellen Veränderungen in der Geschäftswelt wird auch die Interne Revision stark beeinflusst und damit auch die Anforderungen, Aufgaben und Zielsetzungen, die an die Arbeit der Internen Revision gestellt werden. Umfragen zur Entwicklung der Internen Revision zeigen, dass sich die Tätigkeitsfelder der Internen Revision heute auf zukunftsorientierte Prüfung und Beratung verlagern. Darüber hinaus verstärkt sich gegenwärtig der Umfang der Zusammenarbeit zwischen Aufsichtsrat bzw. Audit Committee sowie mit den externen Abschlussprüfern. Die „Standards for the Professional Practice of Internal Auditing“ legen den Arbeitsumfang im Performance Standard 2100 Nature of work fest. Danach heißt es: „The internal audit activity evaluates and contributes to the improvement of risk management, control and governance systems.“ Das heißt, dass die Interne Revision als Servicefunktion des Managements zur Unternehmensüberwachung in allen Feldern und Funktionen eines Unternehmens Prüfungen auf Ordnungsmäßigkeit, Zweckmäßigkeit, Wirtschaftlichkeit durchführt. Dabei kommen alle Prüfungstechniken zum Soll-/Ist-Vergleich wie Einzelfallprüfungen, Systemprüfungen, Auswahlprüfungen sowie Kosten-Nutzenanalysen, Wertanalysen und mehr zur Anwendung. Klassischerweise unterteilt man die Tätigkeiten der Internen Revision in der betrieblichen Praxis in die Bereiche ■ Financial Audit, ■ Operational Audit und ■ Management/Managerial Audit. Darüber hinaus sind Revisionsabteilungen heute in weitere Tätigkeitsgebiete maßgeblich eingebunden. Dazu zählen ■ Compliance Audits, ■ Internal Consulting, ■ Risk Management sowie ■ Due Diligence und Post Merger Integration Support. Ein weiteres bedeutsames Revisionsfeld ist die Mitwirkung der Internen Revision bei der Prävention und Aufklärung von dolosen Handlungen im Rahmen von Unterschlagungsprüfungen.
73 Siehe dazu Warncke, M., Zusammenarbeit von Interner Revision und Prüfungsausschuss, in: Zeitschrift Interne Revision, 5/2005, S. 182–187.
71
237
238
239
240
241
1 1
§1 ■
242
243
244
245
246
247
248
249
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Financial Audit Das Financial Auditing fußt auf der Erkenntnis, dass sich vom Grundsatz her sämtliche Entscheidungen und Handlungen eines Unternehmens in den Zahlen und Daten des Finanz- und Rechnungswesens wieder finden müssen, da dieses ein Abbild aller betrieblichen Vorgänge darstellt. Dementsprechend versteht man unter Financial Audits vergangenheitsorientierte Prüfungen, die die Aussagefähigkeit, Verlässlichkeit und Ordnungsmäßigkeit der Aufzeichnungen und Vorgänge des Finanz- und Rechnungswesens beurteilen und bewerten sollen. Dies umfasst ganz wesentlich auch eine qualifizierte Beurteilung der Funktionsfähigkeit des Internen Kontrollsystems. Dieses „klassische“ Aufgabengebiet der Internen Revision mit seinen eher formellen und materiellen Prüfungshandlungen weist große Schnittstellen mit den Tätigkeiten der Abschlussprüfer auf. Dabei werden von der Internen Revision heute im Wesentlichen Abschlussarbeiten lediglich für nicht prüfungspflichtige Gesellschaften innerhalb eines Konzerns durchgeführt oder die Interne Revision unterstützt den Abschlussprüfer. Die Prüfungsobjekte des Financial Audits sind in erster Linie ■ die Finanzbuchhaltung einschließlich Debitoren (mit Mahnwesen) und Kreditoren (mit Rechnungsprüfung) sowie die von ihr erstellten Abschlüsse; ■ die Anlagen- und Lagerbuchhaltung mit der Bestandsverwaltung und dem Kostenrechnungssystem zur Ermittlung und Zuordnung von Herstellungskosten (einschließlich interner Kostenverrechnung und Gemeinkostenanalyse) sowie ■ die Abrechnungssysteme in den Bereichen Einkauf (u.a. Bestellobligo, Lizenzen, Frachten), Verkauf (u.a. Liefer- und Projektabrechnungen, Provisionen, Boni), Personal (u.a. Lohn- und Gehalts-, Spesenabrechnungen), Treasury (u.a. Cash-Management, Zins- und Devisenterminsicherungen). Die Untersuchung der Prüfungsobjekte erfolgt mit dem Ziel, den Nachweis der Gesetzeskonformität des Rechnungswesens zu erbringen. Darüber hinaus ist beabsichtigt, auf die Einhaltung der innerbetrieblichen Anforderungen hinzuwirken. Es werden also die Fragen beantwortet, ■ ob die gesetzlichen Erfordernisse eingehalten werden, ■ ob das Vermögen geschützt wird, ■ ob die aus den Buchhaltungs- und Abrechnungssystemen abgeleiteten Entscheidungsgrundlagen verlässlich sind. Während in der Vergangenheit Financial Audits im Wesentlichen vollständige Einzelfallprüfungen umfassten, d.h. die vollständige Aufnahme eines Prüfungsobjektes, versuchen moderne Revisionen heute auch hier risikoorientiert vorzugehen. Dieser Ansatz ist verbunden mit dem Ziel, die begrenzten personellen Ressourcen für materielle Schwachstellen innerhalb des Rechnungswesens einzusetzen. Die vollständige Aufnahme von Prüfungsobjekten im Rahmen von Einzelfallprüfungen kommt heute regelmäßig nur noch dann vor, wenn ein Verdacht auf doloses Handeln besteht. Vor dem Hintergrund der Einsparungsorgien in vielen Unternehmen, die mit dem Verzicht auf Stellen und Stäbe mit Kontroll- und Überwachungsfunktionen verbunden sind, erscheint es nicht unwahrscheinlich, dass in Zukunft die Interne Revision wieder gefordert sein wird, vergangenheitsorientierte Ordnungsmäßigkeitsprüfungen durchführen zu müssen. Abschließend sei auch noch erwähnt, dass mit dem Begriff des „Financial Auditing“ heute häufig noch ein Revisionskonzept verbunden wird, das auf gezielte Nachschau und detektivische Fehler72
C.
1
Die Position der Internen Revision im Unternehmen
suche ausgerichtet ist. Ein solches Revisionskonzept ist verbunden mit dem Vorwurf, die Revision sei der innerbetriebliche Polizeiapparat und der Ansatz des Financial Auditing sei „old fashioned“. Wie auch immer: In Zeiten von SOX und einem zumindest gemessenen Anstieg der Wirtschaftskriminalität läuft vieles auf den traditionellen Revisionsansatz zu – ob man will oder nicht.
1
■
Operational Audit Das Operational Audit basiert auf dem Financial Audit. Während aber das zuvor erläuterte Financial Audit feststellt, ob die internen Kontrollen in den Abrechnungssystemen des Unternehmens vorhanden und funktionsfähig sind, werden die Systeme im Rahmen von Operational Audits dahingehend untersucht, ob sie wirtschaftlich arbeiten. Die Prüfungen im Rahmen von Operational Audits haben also das Ziel, die Prozesse und Strukturen innerhalb eines Unternehmens zu untersuchen, zu bewerten und zu verbessern. Damit sind Operational Audits im Gegensatz zu Financial Audits gegenwarts- und zukunftsorientiert. Es geht bei Operational Audits mithin nicht vordringlich um die Aufdeckung von Fehlern der Vergangenheit, sondern um einen zukunftsorientierten Beitrag zur Optimierung von Organisationsstrukturen und –abläufen. So werden Operational Audits zu einem Führungsinstrument. Die internen Kontrollsysteme und die ihnen zugrunde liegenden Geschäftsprozesse müssen den gestiegenen Anforderungen an Effektivität und Wirtschaftlichkeit genügen. D.h. aber auch, dass die Interne Revision im Rahmen von Operational Audits insbesondere die Prozesse der Beschaffung, der Auftragsabwicklung, der Logistik und Fertigung sowie des Vertriebs und Marketing untersucht. Aber auch weitere Bereiche, wie beispielsweise Forschung & Entwicklung, Personalmanagement oder Investitionscontrolling können im Fokus von Operational Audits stehen. Die wesentliche Aufgabe der Internen Revision bei der Prüfung der vorgenannten Prozesse besteht dann darin, Fehler, Lücken, Schwachstellen und Versäumnisse im Kontrollgefüge des untersuchten Prozesses aufzudecken. Dann müssen Empfehlungen gegeben werden, wie die Schwächen abgestellt und die Prozesspotentiale ausgeschöpft werden können. Neben der Sicherheit des Prozesses stehen Effektivität und Effizienz im Mittelpunkt. Das Operational Auditing umfasst also Prüfungen von Organisationsstrukturen, Arbeitsabläufen und Verfahren in allen Unternehmensbereichen. Prüfungsansätze wären etwa Kosten-Nutzenanalysen, Wertanalysen u.ä.m.
250
251
252
253
254
■
Management Audit/Managerial Audit Das Management Audit stellt nach Financial und Operational Audit das vorläufige Ende der historischen Entwicklung von Prüfkonzeptionen dar74 und rundet die Aufgabenbereiche der Internen Revision klassischerweise ab. Dabei sind dieser Themenkomplex und die Zuständigkeit der Internen Revision durchaus umstritten. Dies rührt vor allem auch daher, dass der Begriff in der betrieblichen Praxis anders besetzt ist, als dies von Seiten der Internen Revision interpretiert wird und auch überhaupt leistbar ist. So wird unter einem Management Audit im Regelfall ein von einer unternehmensexternen Consultingfirma durchgeführtes Verfahren zur Bewertung von Managern und Führungskräften verstanden. Das Management Audit umfasst verschiedene Analyse- und Beratungsmethoden aus den Bereichen der Eignungsdiagnostik, der Organisationsentwicklung, u.ä.m. Demnach ist das Management Audit im Bereich des Personalmanagements und der Führungskräfteentwicklung anzusiedeln. 74 Vgl. etwa Hein, G., Management Auditing, in: Lexikon der Internen Revision, Lück, W. (Hrsg.), München, Wien 2001, S. 190.
73
255
256
1 1
§1 257
258
259
260
261
262
263
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Gleichwohl sind die Aspekte, die sich aus Sicht der Internen Revision hinter einem Management Audit verbergen, von enormer Bedeutung für jedes Unternehmen. Um deshalb Begriffsverwirrungen zu vermeiden, plädieren die Verfasser für die Verwendung des Begriffs „Managerial Audit“, wenn im Sinne der Internen Revision das Führen von Geschäften unter betriebswirtschaftlichen Aspekten zu beurteilen ist. Die Verwendung dieses Begriffs und eine entsprechende Vorgehensweise verhindern auch den typischen Abwehrreflex bei der Unternehmensleitung, wenn es darum geht, die Zweckmäßigkeit und Wirtschaftlichkeit von Arbeitsabläufen und Kontrollsystemen für konkrete wirtschaftliche Wahlentscheidungen, etwa über Standorte, Investitionen, Personalstände, Lagerhaltungen oder das Marketing-Mix zu untersuchen. Denn eigentlich bedeutet das traditionell als „Management Audit“ bezeichnete Vorgehen nichts anderes. Die Interne Revision kommt (unabhängig vom verwandten Begriff) häufig in die Situation, auch die Grundlagen von Unternehmensentscheidungen (Planungsinstrumente, Management-Informationssysteme) und die Plausibilität der zu Grunde liegenden Entscheidungsprämissen kritisch zu hinterfragen. D.h., der Internen Revision geht es bei ihrer Prüfung im Rahmen von Managerial Audits nicht um die Erstellung eines Stärke-/Schwäche-Profils von Führungskräften. Dies ist Aufgabe der Personaler und ihrer externen Gehilfen. Das „Managerial Audit“ zielt darauf ab, die Zweckmäßigkeit von Entscheidungen der Unternehmensleitung zu prüfen. Mithin stehen im Vordergrund der Prüfung: die Ordnungsmäßigkeit der vorhandenen Organisation, die Eignung der eingesetzten Planungs-, Steuerungs- und Kontrollinstrumente und die Beurteilung der Frage, ob das Management die Instrumente professionell eingesetzt hat. D.h., es geht um Systeme und ihre Handhabung. Bei aller Wortklauberei sei noch eines in Erinnerung gerufen: Bei jeder Prüfung, egal ob aus dem Bereich Financial, Operational oder Managerial – es geht immer auch um die Bewertung der Leistung des zuständigen Managements und damit um dessen Kompetenz. ! Praxishinweis Ein nützliches Tool zur Durchführung von Managerial Audits kann der „Fragenkatalog zur Prüfung nach § 53 Haushaltsgrundsätzegesetz“ sein. Der Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW PS 720) ist nach Art einer Checkliste aufgebaut und ist nicht nur für Unternehmen im Geltungsbereich von § 53 HGrG geeignet, sondern lässt sich entsprechend angepasst auch auf Prüfungen von Unternehmen in anderen Rechtssphären anwenden. ■ Compliance Audit Unter dem schillernden Stichwort „Compliance“ wird die Einhaltung aller Ge- und Verbotsvorschriften zusammengefasst, die bei der täglichen Arbeit zu beachten sind. Dabei kommen diese Regelungen aus so unterschiedlichen Bereichen wie dem Kapitalmarktrecht, dem Wirtschaftsstrafrecht und dem Kartellrecht. Die Bedeutung sowohl externer als auch interner ComplianceAnforderungen hat in den letzten Jahren stetig zugenommen. Das AGG, regulatorische Anforderungen wie der Sarbanes-Oxley Act oder Basel II, aber auch die Umstellung auf internationale Rechnungslegungsstandards (IFRS) oder der Deutsche Corporate Governance Kodex (dort wurde der Begriff der „Compliance“ durch Beschluss der Kommission vom 14.6.2007 explizit in einige Regelungen eingeführt) stellen hier nur einige Schlagworte dar. Allen Regelungen gemeinsam ist, dass bei Nichtbeachtung die betroffenen Mitarbeiter, aber häufig auch die Unternehmensleitung, mit empfindlichen Bußgeldern und teilweise sogar strafrechtlichen Sanktionen bedroht werden. Darüber hinaus drohen gravierende Imageschäden. Die Einführung von Geschäftspro-
74
C.
1
Die Position der Internen Revision im Unternehmen
zesskontrollen und internen Steuerungs- und Überwachungssystemen stellt sicher, dass alle Anforderungen eingehalten werden (Compliance). Insbesondere für alle kapitalmarktorientierten, aber ebenso für alle größeren Unternehmen ist es von Bedeutung, organisatorische Strukturen zu schaffen, um dem Vorwurf zu begegnen, bereits allein durch mangelnde Organisation Rechtsvorschriften verletzt zu haben. Der Aufbau entsprechender Systeme ist Aufgabe der Unternehmensleitung. Die Aufgabe der Internen Revision im Rahmen von Compliance Audits ist es, die Angemessenheit und die Funktionsfähigkeit der eingeführten Systeme und die Einhaltung der entsprechenden internen wie externen Anforderungen der jeweiligen Prüfungsobjekte zu untersuchen. D.h., bei Compliance Audits werden die Systeme geprüft, die die Einhaltung von Gesetzen, Verordnungen, Verträgen und Richtlinien sicherstellen sollen.
1 264
265
■
Internal Consulting Die Frage, inwieweit die Interne Revision nicht nur als Überwachungs- und Kontrollorgan der Unternehmensleitung, sondern auch als interner Berater auftreten sollte, ist nach wie vor umstritten. Das Meinungsspektrum reicht von einer völligen Ablehnung der Beraterleistungen durch die Interne Revision bis hin zu der Auffassung, dass die Interne Revision nur dann Wert steigernd für ein Unternehmen wirken kann, wenn sie auch in der Lage ist, beratend tätig zu sein. Selbst die Erstellung einer Dissertation zum Thema hat den Streit darüber nicht auflösen können.75 Das beschriebene Spannungsfeld gibt es seit jeher. Kann die Interne Revision die Bereiche, die sie beraten hat, im Nachgang noch unbefangen und unabhängig prüfen? Andererseits ist die Interne Revision aufgrund der mannigfachen Prüfungen in allen Bereichen und Funktionen der Know-how-Träger im Unternehmen schlechthin. Ob bei der Einführung eines geeigneten Internen Kontrollsystems, beim sicheren Customizing eines SAP-Systems oder bei Fragen des optimalen Prozessdesigns kann die Interne Revision im Sinne des Best Practice-Sharing ihr Wissen in die Organisation tragen. Es darf auch nicht vergessen werden, dass die Interne Revision quasi standardmäßig Beratungsleistungen erbringt. Es ist eine Selbstverständlichkeit, im Anschluss an eine Prüfung einen Bericht vorzulegen, dessen wesentlicher Bestandteil ein Maßnahmenkatalog ist. Das Treffen von Feststellungen und damit verbundener Empfehlungen ist Bestandteil der tagtäglichen Arbeit der Internen Revision. Die Frage, ob man einen auditierten Bereich, der Empfehlungen der Internen Revision umgesetzt hat, nochmals prüfen kann oder sollte, hat noch niemand gestellt. Insofern ist die Diskussion um die Bereitstellung von Beraterleistungen durch die Interne Revision auch ein wenig akademisch. Zumal dann, wenn durch die Unternehmensleitung erwartet wird, dass das in der Internen Revision vorhandene Wissen um die Bereiche, Strukturen und Prozesse im Unternehmen in der Art verfügbar gemacht, indem das Unternehmen insgesamt davon profitiert. Letztlich entscheidet die Unternehmensleitung, wie im Spannungsfeld zwischen Prüfung und Beratung zu entscheiden ist. Nach Auffassung der Autoren wird eine Interne Revision immer dann von der Unternehmensleitung in Beraterfunktionen gebeten, wenn sie durch gute Leistungen die Akzeptanz der Unternehmensführung erworben hat. Dann wird sie sich den Bitten aber auch nicht entziehen können – unabhängig davon wie der oben angeführte akademische Streit ausgehen wird.
75 Hunecke, J., Interne Beratung durch die Interne Revision, Sternenfels 2001.
75
266
267
268
269
1 1
§1 270
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Von Bedeutung ist in diesem Zusammenhang auch noch die Frage nach der angemessenen personellen Kapazität der Internen Revision. Wird sie zunehmend für Beraterdienste eingesetzt, könnte die eigentliche Prüfungsaufgabe zu kurz kommen. Auch hier wird das interne Standing entscheidend dafür sein, ob die Unternehmensleitung zusätzliche Kapazitäten bereitstellt oder eben nicht. ■
271
272
273
274
275
276
277
Risk Management Spätestens seit dem KonTraG ist die Interne Revision ein wesentliches Element des Risikomanagements eines Unternehmens. Die Interne Revision bringt an dieser Stelle, ähnlich wie beim Internal Consulting, vor allem ihr umfangreiches Erfahrungswissen aus den Prüfungen mit ein. Die Interne Revision kann insbesondere ergänzend zu den Risk Ownern zur Risikoidentifikation und zur Risikobewertung eingesetzt werden. Darüber hinaus wird ihr Know-how nutzbar sein, um das Thema Risikomanagement im Unternehmen zu propagieren und den Nutzen dieses Management-Tools zu verdeutlichen. Selbstverständlich gehören heute auch Prüfungen des Risikomanagements zu den Aufgaben der Internen Revision. Neben so genannten Systemprüfungen, die in erster Linie darauf ausgerichtet sind, die ordnungsgemäße Umsetzung unternehmensinterner Leitlinien zum Risikomanagement zu prüfen sowie die Eignung, die Effizienz und die Effektivität des betrieblichen Risikomanagementsystems zu bewerten, treten heute vermehrt auch Prüfungen hinzu, die sich mit der Vollständigkeit der erfassten Risiken je Risikofeld beschäftigen sowie mit der angemessenen Bewertung der Risiken hinsichtlich Schadenhöhe und Eintrittswahrscheinlichkeit. Gerade der letztgenannte Aspekt der Prüfung des Risikomanagements bedeutet die Verpflichtung zu einer hohen Expertise des Prüfers, die es ihm ermöglicht, die erforderlichen Analysen durchzuführen und seine Ergebnisse mit den geprüften Bereichen kritisch zu besprechen. Gelingt dies, so kann die Interne Revision für jedes Unternehmen äußerst wertvoll sein. ■ Due Diligence und Post-Merger-Integration Support Im Bereich der Due Diligence kann die Interne Revision eine Vielzahl von Aufgaben übernehmen. Allgemein versteht man unter Due Diligence die sorgfältige Analyse, Prüfung und Bewertung eines Objektes bei einer beabsichtigten Unternehmenstransaktion. Die Due Diligence dient dabei insbesondere zur Beschaffung und Aufarbeitung von Informationen über das Kaufobjekt. Entsprechende Prüfungen werden vor allem im Vorfeld von Börseneinführungen und Unternehmensakquisitionen durchgeführt. Ziel dabei ist es, Chancen und Risiken beim Zielunternehmen zu ermitteln und natürlich den Wert des Unternehmens aufgrund detaillierter Informationen möglichst genau zu bestimmen. Die Interne Revision kann maßgebliche Unterstützungsleistungen im Bereich der Financial Due Diligence geben. Dabei geht es in erster Linie darum, die Bilanzierung, also die Vermögens- und die Schuldenlage des Unternehmens, zu prüfen. Analysiert werden außerdem die wirtschaftliche „Vergangenheit“ des Unternehmens sowie dessen Wettbewerbssituation. Des Weiteren umfasst die Financial Due Diligence ein Business Plan Review. Die entsprechenden Ergebnisse bilden die Grundlage zur Bewertung des Unternehmens. Je nach Know-how, Erfahrung und Qualifikation, über die die Interne Revision verfügt, kann sie auch über die Financial Due Diligence hinaus beim Unternehmenserwerb mitwirken, indem sie Fachkräfte für die Bereiche Recht, Steuern, IT oder Umwelt bereitstellt, die ähnlichen Prozessen unterworfen werden wie der Finanzbereich.
76
C.
1
Die Position der Internen Revision im Unternehmen
■
Unterschlagungsprüfungen Das Thema Wirtschaftskriminalität in allen seinen Ausformungen und Schattierungen wird auch im Rahmen dieses Buches noch seine gebührliche Beachtung finden. An dieser Stelle soll aber schon einmal deutlich gemacht werden, dass Unterschlagungsprüfungen zwischenzeitlich wieder weit mehr an Bedeutung gewonnen haben, als dies den Unternehmen lieb sein kann. Dolose Handlungen haben sich in den letzten Jahren wieder zu einem wesentlichen Geschäftsrisiko entwickelt, wie die Studien und Veröffentlichungen sowohl hinsichtlich Anzahl als auch hinsichtlich der hohen Schadenssummen belegen. Insbesondere in den USA hat der Gesetzgeber auf diese Entwicklung mit strengeren Gesetzen reagiert. In Europa sind solche oder ähnliche Normen zukünftig nicht unwahrscheinlich. Für die Unternehmen und ihre Interne Revision hat dies zur Folge, dass sie sich zunehmend mit der Thematik Wirtschaftskriminalität auseinanderzusetzen haben. Maßnahmen zur Prävention, Aufdeckung und Aufklärung sind zu entwickeln und durchzuführen. Ohne hier bereits zu sehr ins Detail zu gehen, darf der Hinweis nicht fehlen, dass aktuell ein weit verbreiteter Trend besteht, der die Interne Revision aufgrund der Entwicklungen im Bereich der Wirtschaftskriminalität wieder in Richtung „Unternehmenspolizei“ drängt – mit all seinen positiven wie negativen Auswirkungen. Abschließend zeigt die nachfolgende Abbildung noch einmal die Tätigkeitsgebiete der Internen Revision, verbunden mit einer kurzen Definition des jeweiligen Revisionsfeldes in der Übersicht:
Revisionsfelder Operational Audit Financial Audit
Prüfung und Bewertung von betrieblichen Strukturen und Prozessen, vor allem hinsichtlich Effektivität und Effizienz
Prüfung und Bewertung des Finanzund Rechnungswesens auf Aussagefähigkeit, Zuverlässigkeit und Ordnungsmäßigkeit
Beurteilung betrieblicher Führungsaufgaben mit dem Ziel der Verbesserung der Organisationseffizienz
Compliance Audit
Internal Consulting „ex ante“ – Prüfungen mit dem Ziel des „Best Practice Sharing“
Interne Revision
Prüfung der Unternehmensprozesse auf Einhaltung der gesetzlichen Vorschriften und der unternehmensinternen Regelungen
Due Diligence Post Merger
Risk Management Gestaltung und Mitwirkung beim Risikomanagement
Managerial Audit
Unterschlagungsprüfung
Unterstützung bei Unternehmensaquisitionen sowie bei der Integration erworbener Organisationen
Prävention und Aufdeckung doloser Handlungen
Abbildung 1-7: Revisionsfelder
77
278
279 280
281
1
1
§1
8.
1 282
283
284
285
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Abgrenzung der Internen Revision zum Controlling
Als Controller ist man geneigt, sich vom Revisor zu distanzieren, mindestens aber mit ihm nicht verwechselt zu werden – was aber umgekehrt wohl auch gilt. Roland Kaehlbrandt hat zudem verdeutlicht, was Laien für Controller halten und dass der Controller eigentlich nichts anderes ist als ein Buchhalter: „Ähnlich wie die Raumpflegerin die diskriminierende Berufsbezeichnung Putzfrau im Zuge sozialliberaler Emanzipationsbestrebungen abgelöst hat, ist der dynamische Controller an die Stelle des mit Ärmelschonern versehenen Buchhalters gerückt.“76 Gleichwohl der Revisor die Neigung verspüren mag, sich einer solchen Beschreibung und Begrifflichkeit anzuschließen, legt es die Redlichkeit doch nahe, nicht diesem Bonmot zu folgen, sondern den Definitionen und Festlegungen der Betriebswirtschaft. Danach soll Controlling „als integriertes Führungs- und Informationssystem, das die Koordination von Planung, Informationsversorgung, Steuerung und Kontrolle umfasst, verstanden werden.“77 Ohne der Vielfalt weiterer Definitionen zum Begriff des Controlling und ihrer Unterschiede nachspüren zu wollen, können anhand der vorliegenden Begriffsbestimmung zumindest die Aufgabenfelder des Controlling bestimmt werden. Aus diesen Aufgabenfeldern heraus werden dann auch die Unterschiede zur Internen Revision deutlich. Zu den Aufgaben des Controlling zählen ■
Informationsaufgaben Im Rahmen seiner Informationsaufgaben wird das Controlling in idealtypischer Weise den Informationsbedarf der Unternehmensführung ermitteln, die zu erfassenden Information definieren und ein entsprechendes Informationssystem entwickeln und implementieren. Die bedeutendste Komponente dieses Systems ist die Kommunikation der gewonnenen Erkenntnisse an die Unternehmensführung.
■
Planungsaufgaben Die Planungsaufgaben des Controlling sind so umfangreich wie heterogen. Neben der Ausgestaltung der Planungssystematik ist das Controlling auch in den Planungsprozess integriert. Informationssuche, Bewertung von Entscheidungsalternativen, Analysen von Planungsentwürfen und Abstimmung von Teilplänen sind als Planungsaufgaben zu nennen. Neben der Einbindung des Controlling in die operative Planung, sollte auch eine Beteiligung an der strategischen Planung erfolgen. Hier erkennt die Wissenschaft jedoch „erhebliche Gestaltungsdefizite“.78
■
Steuerungs- und Koordinationsaufgaben Die Steuerungs- und Koordinationsaufgaben des Controlling sind unmittelbare Folge der zuvor beschriebenen Aufgabenfelder Informationsversorgung und Planung sowie der nachfolgend zu beschreibenden Kontrollaufgaben. So ergeben sich Koordinationsaufgaben aus der Koordination der Pläne, Steuerungsaufgaben etwa aus der Festlegung von Reporting-Vorgaben. Daneben werden solche Aufgaben auch durch übergeordnete Projekte, wie etwa der Einführung eines Risikomanagements oder durch Post-Merger-Integration-Prozesse generiert, die üblicherweise in die Verantwortung des Controlling gestellt werden.
76 Zit. n. Kaehlbrandt, R., Deutsch für Eliten, München 2001, S. 30. 77 Zit. n. Lück, W., Jahns, C., Controlling, in: Lexikon der Internen Revision, Lück, W. (Hrsg.), München, Wien, 2001, S. 58. 78 Siehe Weber, J., Controlling, in: Wirtschaftslexikon – Das Wissen der Betriebswirtschaftslehre, Band 3, Stuttgart 2006, S. 1127.
78
C.
1
Die Position der Internen Revision im Unternehmen
■
Kontrollaufgaben Die Kontrollaufgaben stehen sicherlich im Zentrum des Betätigungsfelds des Controlling, auch wenn in der Diskussion um den Controlling-Begriff stets betont wird, dass Controlling über das deutsche Wort Kontrollieren hinausreicht. Das englische Wort „to control“ bedeutet: „to exercise restraining or directing influence over“79. Also etwa: Zwang ausüben, Einfluss steuern. Im Deutschen hingegen bedeutet Kontrolle aber Nachprüfung, Überprüfung.80 Insofern bliebe ein „Kontrolling“ inhaltlich hinter dem Controlling zurück, da es sich dabei um Fehlernachweise und Überwachung handeln würde. Die Aufgaben des Controlling hinsichtlich der Kontrolle beziehen sich im Wesentlichen auf die Ergebnisüberwachung und die damit verbundene Abweichungsanalyse. Dabei ist es das Ziel der Kontrollaufgaben, anhand der entsprechenden Ergebnisse Maßnahmen zu Gegensteuerung zu entwickeln, Ziele zu hinterfragen und Planungsprämissen kritisch zu bewerten. Das Tätigkeitsfeld des Controlling ist mithin weit aufgefächert, weiter als das Tätigkeitsfeld der Internen Revision. Während nämlich das Controlling die Bereiche Information, Planung, Steuerung und Kontrolle bedient, umfasst die Interne Revision lediglich den Kontrollbereich. Doch selbst in diesem Aufgabenbereich unterscheiden sich beide betriebliche Funktionen voneinander. Während die Interne Revision sich als unabhängiges Prüfungs- und Überwachungsinstrument der Unternehmensführung versteht, das in sämtlichen Unternehmensbereichen und Prozessen Analysen hinsichtlich Ordnungsmäßigkeit, Effizienz, Sicherheit und Effektivität durchführt, erfolgen die Kontrollaufgaben des Controlling laufend, zukunftsgerichtet und im Zusammenhang mit seinen Informations-, Planungs- und Koordinationsaufgaben. Die Unterschiede zwischen Controlling und Interner Revision haben Horváth/Gleich anschaulich in einer Tabelle zusammengefasst:81 Controller/Controlling
Interne Revision
■
ständig, kontinuierliche Informationen auswertend, ökonomische Begleitung für die laufenden Steuerungshandlungen u.U. zielbildend, indirekt Weisungen gebend und weisungsgebunden wertet erhaltende Unterlagen und Informationen aus ist unmittelbar auf Unternehmensziel ausgerichtet setzt managementorientiertes Rechnungswesen voraus zukunftsgerichtet
■
situationsbedingt, schwerpunktwechselnd, fall- und turnusweise tätige Überwachungseinrichtung
■
neutral und unabhängig, nicht weisungsbefugt
■
ist am Geschehensort eingesetzt
■
geht von Datenrichtigkeit aus veranlasst und prüft Informationen auf Steuerungseignung und -unterstützung
■
mittelbar dem Unternehmensziel durch Risikominderung verhaftet verwendet prüfungstechnische Instrumente in allen Unternehmensbereichen Sachverhalte aufnehmend, dokumentationsorientiert und präventiv zukunftsgerichtet prüft Daten auf Richtigkeit prüft vor allem Ordnungsmäßigkeit, daneben Zweckmäßigkeit und Wirtschaftlichkeit im betrieblichen Leistungsvollzug
■ ■ ■ ■ ■ ■ ■
■ ■
■
79 The Merriam-Webster Dictionary, Springfield 1997, S. 176. 80 Siehe: Das Bedeutungswörterbuch, Mannheim-Wien-Zürich 1970, S. 386 81 Horváth, P., Gleich, R., Controlling als Teil des Risikomanagements, Stuttgart 2000, S. 122.
79
1
286
287
288
1 1
§1 289
290
291
292
Ob es heute noch tatsächlich zutrifft, dass die Interne Revision sich vor allem mit der Ordnungsmäßigkeit im betrieblichen Leistungsvollzug befasst, sei dahingestellt und an dieser Stelle nicht weiter diskutiert. Fest steht, dass sich Controlling und Interne Revision in ihren Aufgabenbereichen weniger überschneiden als ergänzen. Schnittstellen gibt es allenfalls dort, wo Prüfungsergebnisse systematisch zu Verbesserung von Strukturen und Prozessen eingesetzt werden und die Interne Revision ähnlich wie das Controlling Beratungsfunktionen wahrnimmt. Doch selbst in diesem Bereich unterscheidet sich die Art der Herangehensweise an die Consulting-Funktion durch die beiden betrieblichen Funktionen. Letztlich sollte nicht vergessen werden, dass durch eine gute Zusammenarbeit zwischen Controlling und Interner Revision für das Unternehmen auch Optimierungspotentiale zu heben sind. Dies zeigt sich etwa, wenn im Falle von wesentlichen Soll-Ist-Abweichungen durch das Controlling veranlasste Spezialprüfungen durch die Interne Revision durchgeführt werden. Das Controlling identifiziert in solchen Fällen das Risiko, das dann durch die Interne Revision aufgenommen und entsprechend bearbeitet wird. Abschließend darf natürlich der Hinweis nicht fehlen, dass zu den Aufgaben der Internen Revision auch die Prüfung des Controlling gehört.
9. 293
294
295
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Interne Revision und Compliance
Der Begriff Compliance hat im Zuge der Diskussion um eine verbesserte Corporate Governvance an Bedeutung gewonnen, obwohl es doch als Selbstverständlichkeit anzusehen sein sollte, dass sich ein Unternehmen an Recht und Gesetz hält. Denn Compliance heißt ja in deutscher Übersetzung nichts anderes als Befolgung, Einhaltung. Man kann wohl getrost davon ausgehen, dass Unternehmen nicht nur bestrebt, sondern auch verpflichtet sind, Compliance gegenüber Gesetzen, Regelungen und Standards zu demonstrieren. Einschränkend muss jedoch ein enormer Anstieg der Regelungsdichte konzediert werden, insbesondere für international agierende Gesellschaften. Man ist gar geneigt, von einer Regelungswut zu sprechen. Das Erfordernis nach der Beherrschung dieses Dickichts von Gesetzen, Verordnungen und Regelungen führte im Zusammenhang mit den Diskussionen um die Corporate Governance zu der Frage, wie dies zu leisten sei. Die Lösung stellte die Compliance-Organisation oder das Compliance-Management dar. Dabei versteht man unter Compliance ein ganzheitliches Organisationsmodell mit Prozessen und Systemen, das die Einhaltung von gesetzlichen Bestimmungen, interner Standards sowie die Erfüllung wesentlicher Ansprüche der Stakeholder sicherstellt (vgl. auch die Ausführungen oben zu „Revisionsfelder“). Die mit Compliance verbundenen Ziele sind in erster Linie die Minimierung von Risiken in drei Bereichen: ■ die Minimierung des Reputation Risk (Risiko, durch Verstoß gegen relevante Regelungen an Reputation auf den Kapitalmärkten und in der Öffentlichkeit zu verlieren) ■ die Minimierung des Compliance Risk (Risiko, durch Verstoß oder Nichtbeachtung von gesetzlichen Normen straf- oder haftungsrechtlich belangt zu werden) ■ die Minimierung des Regulatory Risk (Risiko, durch die Nichterfüllung von Normen und Standards organisatorische Missstände mit entsprechenden Ergebnisbelastungen hinnehmen zu müssen).
80
C.
1
Die Position der Internen Revision im Unternehmen
Selbstverständlich ist aus Perspektive der Unternehmen Compliance zunächst mit erheblichem Zusatzaufwand verbunden. Dennoch kann in der betrieblichen Praxis – etwa am Beispiel der Umsetzung des Sarbanes-Oxley Acts – studiert werden, dass die betroffenen Gesellschaften bestrebt sind, den neuen Anforderungen gerecht zu werden. Zudem wächst die Erkenntnis, dass mit dem SOA auch objektive Verbesserungen des Internen Kontrollsystems erzielt werden können, also aus der Compliance auch ein Nutzen erwachsen kann. Problematisch ist und bleibt es natürlich, dass es fortlaufend im nationalen wie im internationalen Bereich zu immer komplexeren Anforderungen kommt, denen sich die Unternehmen gegenüber sehen.
296
Compliance Anforderungen KonTraG, Arbeitssicherheit, BAFIN, FCPA, Umweltschutz, 8. EU – Richtlinie etc.
Bilanzierungsrichtlinie, Transferpreis – Richtlinie, Auditor Independence, IFRS, HGB, IKS etc.
Gesetze und Textfeld Regularien Finanzrelevante Standards & Anweisungen
Operationale Standards & Anweisungen
Anti – Korruption, Geldwäsche, Risikomanagement, Ausführgenehmigungen, Produktsicherheit, ISO Standards
Anforderungsquellen
Code of Conduct, Compliance – Programm, Grundwerte und Leitlinien Insider – Richtlinie, Betriebliche Sozialleistungen etc.
Freiwillige Standards & Best Practices
Business Conduct Standards Verträge und Verpflichtungen
Corporate Identity, Corporate Social Responsibility, Globale Qualitätsstandards, UN Global Compact
Geschäfte mit Regierungen, Vertriebsprovisionen, Vertriebspartner – Management, Rahmenverträge, Betriebsvereinbarungen etc.
Abbildung 1-8: Compliance-Anforderungen In der aktuellen Diskussion um Compliance ist diese häufig verknüpft mit Corporate Governance und Internem Kontrollsystem. Durch die Finanz- und Korruptionsskandale der Vergangenheit sind die Kapitalmärkte sensibilisiert und reagieren auf negative Meldungen mit „Liebesentzug“. Eine geeignete Compliance-Organisation kann also für Anlageentscheidungen prägend sein und die Stellung einer Gesellschaft am Kapitalmarkt stärken. Darüber hinaus liegt es im Interesse von Vorstand und Aufsichtsrat, das Risiko einer persönlichen Haftung zu minimieren. Beide Organe sollten bemüht sein, wirksame Maßnahmen zur Compliance im Unternehmen zu etablieren. Um dies zu erreichen, werden im Regelfall detaillierte Informationen auf allen Ebenen des Unternehmens zu erheben sein. Dazu zählen beispielsweise ■ Geschäftsprozessbeschreibungen ■ Übersicht zu IT-Systemen und -Prozessen ■ Performance-Indikatoren u.ä.
81
297
298
1
1 1
§1 299 300
301
302
303
304
Mit den gewonnenen Erkenntnissen und der damit verbundenen Transparenz können Compliance-Anforderungen identifiziert und erfüllt werden. In diesem Prozess kann die Interne Revision eine wichtige Rolle spielen. Mit ihrem Wissen um die Strukturen und Prozesse im Unternehmen kann sie zunächst an der Implementierung eines effektiven Compliance-Managements mitwirken. Es zählt traditionell zum Aufgabenumfang der Internen Revision, die Ordnungsmäßigkeit und Sicherheit des Unternehmensgeschehens zu prüfen. Im Rahmen des Compliance-Managements nun kann die Interne Revision ihr Wissen bei der Einführung entsprechender Strukturen einbringen. Des Weiteren wird sie die Funktionsweise des Compliance-Managements regelmäßig prüfen und Optimierungsmaßnahmen empfehlen können. Sie wird aber als unabhängige Prüfungsinstanz für die Compliance nicht verantwortlich sein dürfen. Daraus folgt auch, dass die Bereiche Interne Revision und Compliance organisatorisch strikt voneinander zu trennen sind. Andererseits wird man schon aus Gründen des großen Überschneidungsbereiches beider Funktionen um einen möglichst breiten Informationsaustausch bemüht sein. Schlagworte sind hier Synergie und Effizienz. Die Interne Revision wird dennoch innerhalb von Prüfungen des Compliance-Managements nicht darum herumkommen, etwa die persönliche und die fachliche Qualifikation der Compliance-Verantwortlichen, die Dokumentation und Umsetzung von Compliance-Maßnahmen oder ähnliches zu prüfen. Insbesondere wird die Interne Revision sich auch mit den Compliance-Prozessen beschäftigen müssen, also etwa mit der Frage, wie die Unterrichtung über Änderungen der Gesetzeslage erfolgt oder wie eine Anpassung der Compliance-Regelungen für den Fall erfolgt, dass beispielsweise neue Produkte eingeführt werden. In vielen Organisationen ist zwischenzeitlich die Position des Compliance-Officers eingeführt worden, der sich nicht nur mit der Einhaltung von Gesetzen, Verordnungen und Regelungen zu beschäftigen hat, sondern ganz wesentlich auch mit der Einhaltung unternehmensinterner Richtlinien und besonders mit der Einhaltung von Verhaltens- oder Ethikkodizes. Gerade bei dieser Tätigkeit kommt eine schlanke Compliance-Organisation ohne die Unterstützung der Internen Revision nicht aus. Abschließend sei noch ein kurzer Kommentar erlaubt: Es klingt natürlich gut, wenn ein Unternehmen zeigt, dass es sich um Compliance bemüht und den Kampf gegen Korruption ernst nimmt. Allerdings bedeutet die Installation einer Compliance-Organisation oder die Ernennung eines Compliance-Officers gar nichts, wenn ethisch korrektes Verhalten nicht Teil der Unternehmenskultur ist. Gerade der Führung muss bewusst sein, dass sie durch ihr Vorbild im Unternehmen wirkt. Das heißt aber auch, dass gegen Unregelmäßigkeiten im Unternehmen ohne Ansehen von Personen vorgegangen wird und dass sich die Führung selbst korrekt verhält – also anständig im besten Sinne.
10. 305
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
IT-Revision und Datenschutz
Die Revision der Informationstechnologie stellt für die Interne Revision eine besondere Herausforderung dar. Drei Problembereiche verdeutlichen dies: 1. Regulierung Die zunehmenden externen Regulierungen wie etwa der Sarbanes-Oxley-Act, die 8. EU-Richtlinie und ähnliche Vorhaben werden den Druck auf die IT-Revision hinsichtlich der IT-Compli82
C.
1
Die Position der Internen Revision im Unternehmen
ance und der Anforderungen an IT-Controls deutlich erhöhen. Es besteht insbesondere die Gefahr des Imageschadens bei Versagen von automatisierten Kontrollen.
1
2. Organisatorischer Wandel Durch die Schnelligkeit des organisatorischen Wandels, der dauerhaften Veränderung von Geschäftsmodellen und insbesondere durch den immer rapideren technologischen Fortschritt im IT-Bereich werden die Herausforderungen an die IT-Revision immer größer. Kürzere Lebensdauerzyklen der IT-Technologien, eine hohe Komplexität der IT-Themen wie etwa Downsizing oder Netzwerke sowie die Integration neuer Systeme und Anwendungen in Situationen permanenten Wandels sorgen für wachsende Risiken im IT-Bereich des Unternehmens und erfordern damit eine verstärkte Überwachung und Kontrolle. 3. Ressourcen Der Bedarf an hoch qualifizierten IT-Revisoren wächst und gleichzeitig wird der Markt für solche Spezialisten eng. Der gewöhnliche Revisor bringt in der Regel nicht die Fähigkeiten und das Wissen mit, um die komplexen Fragestellungen der modernen Informationstechnologie bewältigen zu können. Hier sind Fachspezialisten gefragt. Diese müssen jedoch – wenn sie für die Revision gewonnen werden konnten – mit den Besonderheiten des Revisionsgeschäfts vertraut gemacht werden. Heute ist die Informationstechnologie zweifellos das wichtigste Hilfsmittel innerhalb von Unternehmen zur Erreichung seiner Ziele. Damit die Unternehmensziele erreicht werden können, müssen die von der IT bereit gestellten Informationen verlässlich sein und bestimmten Kriterien genügen. Eine Quelle für solche Kriterien können beispielhaft zunächst die so genannten Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sein. Diese wurden von der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. und vom Bundesministerium für Finanzen 1985 veröffentlicht. Sie legen in knappen Worten fest, wie die Anwendung der Grundsätze ordnungsgemäßer Buchführung auf Datenverarbeitungssysteme zu erfolgen hat. Eine zusätzliche Quelle maßgeblicher Kriterien für die Qualität der Informationstechnologie ist die Stellungnahme des Fachausschuss für Informationstechnologie (FAIT) zu den „Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“ (ERS FAIT 1) sowie dazu ergänzend der Prüfungsstandard EPS 330 „Abschlussprüfung bei Einsatz von Informationstechnologie“ des Instituts für Wirtschaftsprüfer (IDW). Neben diesen Quellen für die IT-Revision sind vor allem die COBIT zu nennen. COBIT ist die Abkürzung für „Control Objectives for Information and Related Technology“. Die COBIT wurden von der Information Systems Audit and Control Association (www.isaca.org), einer internationalen Berufsvereinigung der IT-Revisoren, entwickelt und 1998 als offener Standard zur Verfügung gestellt. Sie definieren als High Level IT- Revision die Arbeitsabläufe und Prozesse, die erforderlich sind, die IT auf die Erreichung der Unternehmensziele abzustimmen. Dabei beschäftigen sich die COBIT nicht mit Detailprüfungshandlungen zu den IT-Ressourcen. Zur Bearbeitung dieser Fragen sei auf das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) verwiesen. Ausgehend von den sieben Qualitätskriterien für Informationen und Informationssysteme (Effektivität, Effizienz, Vertraulichkeit, Integrität, Verfügbarkeit, Konformität und Zuverlässigkeit) und den Ressourcen (Personal, Anwendungen, Technologie, Einrichtungen und Daten) werden insgesamt 34 Kern-Prozesse definiert in den vier Bereichen: ■ Planung und Organisation, ■ Beschaffung und Entwicklung, 83
306
307
308
309
310
1
§1 ■
1 311
312
313
314
315
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
Betrieb und Unterstützung sowie ■ Überwachung. Die einzelnen COBIT-Prozesse orientieren sich an allgemeingültigen Anforderungen, wie sie in jedem Unternehmen an die Informatik zu stellen sind. Ausgehend von diesen Anforderungen werden für jeden der Prozesse konkrete Kontrollziele und die darin einzubeziehenden Überlegungen definiert. Der Vorteil der Anwendung von COBIT im Rahmen von IT-Prüfungen ist die Möglickeit einer klaren Strukturierung und einer zielgerichteten Prüfungsdurchführung. Jedem Prüfungsbeteiligten sind die einzelnen zu untersuchenden Prozesse und Kontrollziele bekannt. Als Schwäche von COBIT wird immer wieder genannt, dass mit Hilfe dieser Systematik zwar eine Offenlegung von IT-Problemen und Schwachstellen ermöglicht wird, eine Beschreibung von Optimierungsmaßnahmen jedoch nicht erfolgt. In der betrieblichen Praxis werden sich IT-Revisionen im Regelfall zunächst auf den Aspekt der Ordnungsmäßigkeit beziehen. Dabei wird im Wesentlichen untersucht, ob IT-Organisationspläne, Programmdokumentationen, Daten- und Netzwerksicherungsmaßnahmen, Zugriffsschutzsysteme (Benutzerberechtigungen, Passwortsysteme), Kontrollen im IT-Betrieb und Notfallpläne bei Systemabsturz für einzelne Anwendungen und Systeme vorliegen. Neben diesen Aspekten wird sich die IT-Revision auch mit Fragen nach der Wirtschaftlichkeit von IT-Applikationen und Systemen beschäftigen müssen. Es zählt zu den Erfahrungen mit Technikern, dass diese eine Neigung haben, Systeme überzudimensionieren. Eine weitere Frage, die im Zusammenhang mit der IT-Revision zu beantworten ist, ist die nach der Vereinbarkeit von Revision und Datenschutz. In vielen Unternehmen wird der Datenschutz als lästiges gesetzliches Erfordernis gesehen, das der Realisierung von „tollen“ IT-Projekten im Wege steht. Die Aufgabe wird häufig auf die Revision übertragen, getreu dem Motte: „Die haben eh keine Freunde, dann können sie den Datenschutz gleich mit machen.“ Dass dies eine Fehleinschätzung ist und den Anforderungen des Datenschutzes keineswegs gerecht wird, muss nicht weiter erörtert werden. Insbesondere dann, wenn Menschen persönlich mit Verletzungen ihrer Persönlichkeitsrechte konfrontiert werden, wächst die Sensibilität für das Thema Datenschutz. Aber auch die nachfolgende Übersicht zu den Aufgaben des betrieblichen Datenschutzbeauftragten mag verdeutlichen, wie umfangreich dieses Thema ist.
84
C.
1
Die Position der Internen Revision im Unternehmen
Aufgaben des Datenschutzbeauftragten Schulung und Zusammenarbeit
Beratung und Mitwirkung
Überwachungsaufgaben
Mitwirkung bei der Erstellung der Verfahrensverzeichnisse
Überprüfen von automatisierten Verarbeitungen vor Inbetriebnahme
Schulung der Mitarbeiter in datenschutzrechtlichen Fragen
Mitwirkung bei der Entwicklung / Weiterentwicklung des Datenschutzkonzeptes
Überwachung der Datenschutz- und Datensicherungsmaßnahmen sowie der ordnungsgemäßen Anwendung
Bericht an den Vorstand / die GF über den Stand des Datenschutzes im Unternehmen
Mitwirkung bei der Weiterentwicklung aller datenschutzrelevanten Richtlinien und Anweisungen
von Datenverarbeitungsprogrammen
Zusammenarbeit und Kontaktpflege in Bezug auf Datenschutz und
Mitwirkung bei der Einführung technischer Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten
vorschriften stehen, sowie Teilnahme an der Überprüfung von Datenschutzverletzungen
Mitwirkung bei datenschutzgerechten Formular- und Vertragsgestaltung Mitwirkung bei der Gestaltung von Verfahren zur Sicherstellung der Betroffenenrechte
Bearbeitung von Beschwerden, die in Beziehung zu Datenschutz-
Datensicherheit mit unternehmens-internen und externen Stellen Kontaktpflege zur zuständigen Datenschutzaufsichtsbehörde
Überwachung der Einhaltung von Verpflichtungserklärungen nach § 5
mitwirkende und eigenverantwortliche Vertretung des
BDSG
Unternehmens in Datenschutzangelegenheiten gegenüber der
Überwachung von Meldepflichten an die jeweils zuständige Aufsichts-
1
zuständigen Aufsichtsbehörde
behörden für Datenschutz
Mitwirkung bei der Auftragsvergabe zur Verarbeitung personenbezogener Daten durch Externe
Abbildung 1-9: Aufgaben des Datenschutzbeauftragten In der betrieblichen Praxis geschieht es häufig, dass der Leiter der Internen Revision nebenamtlich mit der Aufgabe des betrieblichen Datenschutzbeauftragten beauftragt wird. Die eigentliche operative Tätigkeit wird nicht selten an die IT-Revision delegiert. Nach Auffassung der Verfasser wird dieses Vorgehen den Ansprüchen an einen funktionsfähigen und effizienten Datenschutz nicht gerecht. Wie von Simitis dargestellt, wird bei einer Bestellung des Leiters einer Internen Revisionsabteilung zum Datenschutzbeauftragten die gesetzlich geforderte Zuverlässigkeit durch einen doppelten Interessenkonflikt infrage gestellt.82 Während sich die Revision im Rahmen ihrer Tätigkeiten an Wirtschaftlichkeitserwägungen ausrichtet, orientiert sich das Wirken des Datenschutzbeauftragten ausschließlich an einer datenschutzkonformen Datenverarbeitung. Zudem kann die Revision den Datenschutz prüfen, genauso wie der Datenschutzbeauftragte Kontrollen bei der Revision durchführen kann. Mithin würde sich der Leiter einer Revisionsabteilung zweimal selbst prüfen. Dies steht einer konsequenten Einlösung der Anforderungen an den betrieblichen Datenschutz entgegen. Mithin sollten IT-Revision und Datenschutz getrennten Führungsverantwortlichkeiten unterliegen. Dies bedeutet keineswegs, dass zwischen beiden Bereichen keine Zusammenarbeit stattfinden sollte – im Gegenteil. Jedoch ist die Ausrichtung des Datenschutzes eine gänzlich andere als die der Revision. Um der steigenden Bedeutung des Datenschutzes auch vor dem Hintergrund der Einhaltung von Compliance – Anforderungen gerecht zu werden, empfiehlt es sich, dem Datenschutz
82 Simitis, S. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5., völlig neu bearb. Auflage, Baden-Baden 2003, S. 472.
85
316
317
318
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
innerbetrieblich die notwendige Beachtung in Form einer entsprechenden organisatorischen Stellung einzuräumen.
1
11. 319
320
321
322
323
324
Interne Revision: zentral oder dezentral?
Die Frage nach zentraler oder dezentraler Organisation der Internen Revision wird immer wieder heftig diskutiert. Bei Diskussionen in Fachkreisen lässt sich dabei im Grunde feststellen, dass die Beantwortung dieser Frage ähnlich wie die Konjunktur Zyklen unterlegen ist, wobei die Zyklen nicht selten durch die Beraterbranche befeuert sind. Um es gleich vorweg zu sagen: Es gibt keine endgültige Wahrheit bei der Beantwortung dieser Frage. Jedes Unternehmen muss für sich die Vor- und Nachteile der Organisationsform abwägen und dann entscheiden. Dabei müssen die jeweils individuellen Rahmenbedingungen des Unternehmens genauso in Rechnung gestellt werden wie die Ziele, die die Unternehmensführung mit der Funktion der Internen Revision verfolgt. Grundsätzlich wird man zwar davon ausgehen müssen, dass das Organisationsprinzip für die Interne Revision dem Organisationsprinzip des Unternehmens insgesamt entspricht. Doch kann es durchaus der Fall sein, dass ein Unternehmen, das prinzipiell stark dezentralisiert organisiert ist, aus übergeordneten Gründen eine zentrale Interne Revision vorhält. Die Vorteile einer zentralen Internen Revision ergeben sich aus der Bündelung sämtlicher Prüfungsfunktionen. Durch die Möglichkeiten der rationalen Verwaltung und des optimalen Einsatzes der vorhandenen personellen Kapazitäten kann eine zentrale Interne Revision kostengünstiger agieren als mehrere dezentrale Einheiten. Durch die guten Koordinationsmöglichkeiten kann darüber hinaus sichergestellt werden, dass es nicht zu Arbeitsüberschneidungen zwischen dezentral organisierten Bereichen kommt. Die Zuständigkeiten für sämtliche Prüfungsfunktionen im Unternehmen sind eindeutig geklärt, Kompetenzgerangel ist nicht zu vermuten. Durch die Zentralisation der Internen Revision ist es möglich, unternehmensweit identische Standards für die risikoorientierte Prüfungsplanung, den Prüfungsablauf und die Berichterstattung zu etablieren. Gegenüber der Unternehmensleitung kann die Interne Revision dann mit einem einheitlichen Erscheinungsbild auftreten. Eine zentrale Interne Revision bietet zudem die Möglichkeit der Rekrutierung von Spezialisten für besonders komplexe Prüfungsthemen. Gerade die Entwicklung im Bereich der Informationstechnologie, aber auch im Bereich Finanzen verlangen von der Internen Revision heute das Vorhalten von absoluten Fachleuten, die auf Augenhöhe mit den Mitarbeitern und Führungskräften der jeweiligen Fachbereiche diskutieren und argumentieren können. Zentral organisierte Revisionsabteilungen haben sicherlich eher die Möglichkeit, solche Spezialisten zu entwickeln oder anzuwerben, als kleinere, dezentrale Einheiten. Im Endeffekt kommt es dann mit dem Einsatz qualifizierteren Personals tendenziell zu besseren Prüfungsergebnissen und damit zu einer Leistungssteigerung der Internen Revision. Die größten Vorteile eines zentral ausgerichteten Organisationsprinzips für die Interne Revision bietet jedoch die größere Unabhängigkeit einer zentralen Internen Revision gegenüber den zu prüfenden Einheiten im Vergleich mit einer dezentralen Internen Revision. Die zentrale Interne Revision wird aufgrund geringerer Verbindungen zu den dezentralen Prüfungseinheiten eine größere Autorität und Unabhängigkeit realisieren können. Das ist jedoch auch gleichbedeutend mit einer größeren Entfernung zum eigentlichen Geschäft. Hier setzt auch die Kritik an einer zentralen Internen Revision an. 86
C.
1
Die Position der Internen Revision im Unternehmen
Die dezentrale Interne Revision, die räumlich in der Nähe der zu prüfenden Einheit angesiedelt ist, ist mit dem Geschäft und den Besonderheiten vor Ort vertraut. Durch diese Nähe ist zwar die Unabhängigkeit der Internen Revision nicht in dem Maße gegeben, wie dies bei einer zentralen Internen Revision der Fall ist. Jedoch wird sich bei dieser Konstellation viel eher ein Vertrauensverhältnis herausbilden zwischen Interner Revision und zu prüfender Einheit. Die Folge dieses Vertrauens kann sein, dass sich die zu prüfenden Einheiten mit Problemen und Schwierigkeiten an die Interne Revision wenden. In jedem Fall sind dezentrale Interne Revisionen über die Risiken vor Ort besser und umfassender informiert als eine zentrale Interne Revision. Die Betriebsnähe ist mithin das entscheidende Argument für eine dezentrale Interne Revision. Ein solches Organisationsprinzip wird darüber hinaus zu kürzeren Prüfungszyklen und einer höheren Prüfungsintensität führen. Entscheidend ist jedoch, wie von der Unternehmensleitung die Gewichtung zwischen Unabhängigkeit und Betriebsnähe gesehen wird. In der betrieblichen Praxis finden sich beide Modellarten sowie Mischungen beider Systeme. So hat etwa ein deutsches DAX-Unternehmen die strategische und operative Revisionsfunktion getrennt und eine eigenständige Servicefunktion mit Kompetenzzentren geschaffen. D.h., dass sich die Funktion Corporate Audit auf strategische Aufgaben wie etwa Grundsatzaufgaben, strategische bedeutsame Prüfungen oder etwa auf die Bearbeitung von Projekten fokussiert. Währenddessen erfüllt eine Service-Einheit, die in einer separaten Gesellschaft organisiert ist, die operativen Revisionsaufgaben. Diese Gesellschaft ist intern nach Kompetenzzentren für die Bereiche Kaufmännische Revision, IT-Revision, Technische Revision und SOX gegliedert. Die Funktion Corporate Audit überwacht die operative Revisionseinheit und hat Richtlinienkompetenz. Mithin lässt sich sagen: Anything goes! Der Auffassung aber, dass mit der Zentralisierung eine Leistungssteigerung der Internen Revision zwingend folgt, schließen sich die Autoren – auch durch Erfahrung klüger geworden – nicht an.
12.
325
326
327
328
Outsourcing von Revisionsleistungen
Macht es Sinn, DIE Überwachungsfunktion im Unternehmen, DAS Instrument der Unternehmenskontrolle, aus der Hand zu geben? Macht es Sinn, dass einem Dritten intime Einblicke in ein Unternehmen gewährt werden? Die Fragestellungen mögen bereits verdeutlichen, dass dies für die Verfasser nur schwer vorstellbar ist. Der Trend zum Outsourcing und speziell zum Outsourcing von IT-Leistungen ist in Zeiten schwacher Konjunktur besonders ausgeprägt. Unternehmen meinen, sich auf ihre Kernkompetenzen besinnen zu müssen und versuchen, durch die Auslagerung von Bereichen, die sie als Nebentätigkeiten ansehen, Kostenersparnisse zu erzielen. Aber wie immer im Leben, bietet Outsourcing nicht nur Chancen. Insbesondere das Outsourcing der Internen Revision ist aus Sicht der Verfasser kritisch zu bewerten. Aktuell geht der Trend im Outsourcing der Internen Revision in zwei Richtungen. Zum einen werden einzelne Projekte an externe Beratungsgesellschaften vergeben, zum anderen bedienen sich Interne Revisionen des speziellen Know-hows von Beratungsgesellschaften in einzelnen Bereichen wie etwa IT oder Finanzen.
329
330
331
■
Projekte Das Angebot der Beratungsgesellschaften zielt bei der Wahrnehmung einzelner Projekte darauf, die Interne Revision eines Unternehmens bei Kapazitätsengpässen zu unterstützen. Die Bera87
332
1
1
§1
Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen
tungsfirmen stellen – meist auch sehr kurzfristig, so dies vom Kunden gewünscht wird – Teams zusammen. Diese Teams sind in der Regel in der Lage, ein spezifisches Prüfungsprojekt selbständig durchzuführen oder ein laufendes Prüfungsprojekt zu begleiten. Solche Einsätze werden relativ eigenständig durch die Beraterfirmen wahrgenommen. Es erfolgt lediglich eine Steuerung des externen Teams durch die Revisionsleitung.
1
■
333
334
Co-Sourcing Die wohl häufigste Art der Zusammenarbeit zwischen Interner Revision und Beratungsfirmen ist das so genannte Co-Sourcing. Das Unternehmen, das auf eine solche Variante der Zusammenarbeit zurückgreift, verfügt über eine eigene Revisionsabteilung. Zur Unterstützung bei personellen oder fachlichen Engpässen greift man jedoch auf externe Fachleute zurück. Mit dem Co-Sourcing sichert sich das Unternehmen den Zugang zu qualifizierten Revisoren und Beratern mit Spezialwissen (z.B. IT, Treasury und Unterschlagungsprävention) sowie eventuell erforderlicher branchenspezifischer Erfahrung. Daneben besteht die Möglichkeit, Revisoren zu kontrahieren, die besondere Kenntnisse über ausländische Kulturen und Sprachen mitbringen. Dies ist etwa bei Prüfungen in China aufgrund der Sprache unerlässlich. Das Co-Sourcing versetzt die Interne Revision in die Lage, flexibel und angemessen auf neue Herausforderungen reagieren zu können. Sowohl bei einzelnen Projekten als auch beim Co-Sourcing besteht für die Interne Revisionsabteilung die Möglichkeit, aufgrund der Zusammenarbeit mit den Beratern Zugang zu neuen Prüfungsmethoden, moderner Technologie und aktuellem Wissen zu erhalten. ■
335
336
Outsourcing Weitaus kritischer als die vorgenannten Arten der Zusammenarbeit ist das komplette Outsourcing der Internen Revision zu bewerten. Dabei übernehmen Beratungsgesellschaften die Aufgaben der Internen Revision vollständig. Die Argumentation der Berater lautet: Fixkosten werden zu variablen Kosten durch den Einkauf einer modernen Dienstleistung. Die Berater werben damit, anhand risiko- und prozessorientierter Methoden einen Revisionsplan zu erstellen, den sie mit erfahrenen Beratern abarbeiten. Sie vergessen dabei zu erwähnen, dass durch den Aufbau einer eigenen Internen Revision im Unternehmen selbst die Erfahrungen aufgebaut und genutzt werden können, die ansonsten den Beratern zufallen. Darüber hinaus wird eine eigene Revision stets einen Vorteil in der Zusammenarbeit mit den Mitarbeitern des Unternehmens haben. Die Interne Revision verfügt in der Regel über ein Detailwissen, das dem Branchenwissen der Berater weit überlegen ist. Wichtiger jedoch ist, dass sich ein Unternehmen, das seine Interne Revision in die Hände Dritter gibt, genau in diesen Händen befindet. Ein Externer würde mit Fragestellungen konfrontiert, die höchste Sensibilität und Vertraulichkeit bedingen. Aus Sicht der Verfasser garantiert das Vorhalten einer eigenen Revisionsabteilung, dass Risikoabdeckung, Effizienzsteigerung und das Schaffen von Mehrwert im Unternehmen optimal gesteuert werden.
88
2
§ 2 Rechtsgrundlagen zur Internen Revision 2
A.
Überblick – das KonTraG und andere Rechtsquellen
Es gibt eine Reihe von Regelungen mit rechtlichem Charakter, die als Grundlagen für die Interne Revision in deutschen Wirtschaftsunternehmen herangezogen werden können. Manche können sogar als eine Art Beleg für die „Existenzberechtigung“ der Internen Revision angeführt werden. Dazu gehört vor allem § 91 Abs. 2 AktG, der die Verpflichtung zur Implementierung eines Überwachungssystems zur Früherkennung existenzgefährdender Entwicklungen in Unternehmen regelt. § 91 Abs. 2 AktG lautet: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Um aber eine wesentliche Aussage gleich an den Anfang des Rechtsteils zu stellen: Abgesehen von Ausnahmen (im Bankenbereich) ist festzustellen, dass es keine Rechtsnorm gibt, die deutsche Wirtschaftsunternehmen zur Schaffung und Unterhaltung einer Internen Revision als Institution, etwa als Bestandteil eines solchen Überwachungssystems, verpflichtet. Auch § 91 Abs. 2 AktG kann so nicht interpretiert werden, zumal diese Vorschrift sehr vage geraten ist (siehe dazu ausführlich unten). In der Prüfungspraxis und im betriebswirtschaftlichen Schrifttum wird zum Teil die Ansicht vertreten, § 91 Abs. 2 AktG enthalte die Pflicht zur Schaffung eines umfassenden Risikomanagementsystems. Dabei wird mitunter der Eindruck erweckt, es sei auch formalrechtlich die Einrichtung einer Revisionsabteilung notwendig. Auch von staatlicher Seite wird die Vorschrift zuweilen mindestens missgedeutet: „Die Notwendigkeit einer Internen Revision ergibt sich zum Teil ausdrücklich aus spezifischen gesetzlichen Regelungen wie beispielsweise § 91 Abs. 2 AktG.“ (vgl. Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin, Rundschreiben 1/2000 vom 17.1.2000 – I 4–42–5/97, Nr. 2 Rn. 7, Satz 1). Soweit die Prüfungspraxis dies vertritt, ist das in vielen Fällen als Versuch eines Marketings in eigener Sache zu bewerten. Auch kann die in der Internen Revision eher seltener anzutreffende juristische Expertise zu einer solchen Ansicht beitragen. Ungeachtet dessen ist § 91 Abs. 2 AktG die Norm, die den herausragenden Aufhänger für eine rechtliche Betrachtung zur Internen Revision bildet und die daher auch den Schwerpunkt der nachfolgenden Betrachtungen des rechtlichen Abschnitts in diesem Buch darstellt. Die Vorschrift ist am 1.5.1998 als wesentlicher Bestandteil des „Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich“ in Kraft getreten (BGBl. I 1998, 786). Bei diesem „KonTraG“ (diese Abkürzung für das Gesetz war schon im Gesetzgebungsverfahren verwendet worden und wird auch heute in der Literatur gängig verwendet) handelte es sich um ein sog. Artikelgesetz. Das ist ein Gesetz, mit dem der Gesetzgeber verschiedene bestehende Fachgesetze ändert. Thematisch untergliedert wird dies in verschiedene Kapitel, die als „Artikel“ bezeichnet werden. Dazu gehörte im Falle des KonTraG vor allem das AktG (Artikel 1) und hier auch dessen so geschaffener § 91 Abs. 2, der eine Neuregelung darstellte. Ebenfalls durch das KonTraG eingeführt wurden einige Änderungen bei Vorschriften des HGB. Wegen ihres Sachzusammenhangs mit § 91 Abs. 2 AktG sind sie für dessen Verständnis von Bedeutung. Dazu gehörte die Neuerung bei amtlich notierten Aktiengesellschaften, dass der Ab89
1
2 3
4
5
2
§2
2
6
7
8
Rechtsgrundlagen zur Internen Revision
schlussprüfer bei ihnen die Ordnungsmäßigkeit der getroffenen Maßnahmen und des Überwachungssystems zu beurteilen hat (§ 317 Abs. 4 HGB) und darüber in einem besonderen Berichtsteil zu berichten hat (§ 321 Abs. 4 HGB). Ferner obliegt dem Abschlussprüfer auch bei nicht amtlich notierten Aktiengesellschaften die Prüfung, ob im Lagebericht der Gesellschaft die Risiken zukünftiger Entwicklung zutreffend dargestellt sind (§ 317 Abs. 2 Satz 2 HGB), worüber ebenfalls eine Aussage im Prüfungsbericht getroffen werden muss (§ 321 Abs. 1 HGB). Das Institut für Wirtschaftsprüfer hat am 25.6.1999 einen Prüfungsstandard „Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB“ (IDW PS 340) verabschiedet. Er bildet nach wie vor die Grundlage für die Arbeit der Abschlussprüfer in diesem Bereich. Um sich das Wesen der Internen Revision und die Grundlagen ihrer Betätigungsfelder in rechtlicher Hinsicht erschließen zu können, sind neben dem KonTraG von 1998 weitere Normen in dessen Folge von Bedeutung. Denn diese dem KonTraG nachfolgenden Vorschriften haben die Rolle des Risikomanagements zumindest noch einmal erwähnt bzw. setzen darauf auf, wenngleich eine nähere Konkretisierung der Inhalte eines solchen Systems auch hier nicht vorgenommen wurde. Dazu gehören zunächst Vorschriften des „Gesetzes zur weiteren Reform des Aktienund Bilanzrechts, zu Transparenz und Publizität“ (vom 25.7.2002, BGBl. I 2002, 2681, abgekürzt: „TransPuG“). Mit diesem Gesetz, ebenfalls ein Artikelgesetz, wurde u.a. ein neuer § 161 ins AktG aufgenommen. Er verpflichtet Vorstände und Aufsichtsräte von börsennotierten Gesellschaften jährlich zu erklären, ob ihre Gesellschaft die Empfehlungen des DCGK (siehe dazu weiter unten) eingehalten hat bzw. welchen nicht entsprochen wurde (griffig, wenngleich rechtlich unscharf: „comply or explain“). Obwohl für die unmittelbaren Belange der Internen Revision nur peripher von Bedeutung, soll ein weiteres Artikelgesetz, das „Gesetz zur Einführung internationaler Rechnungslegungsstandards und zur Sicherung der Qualität der Abschlussprüfung“ (Bilanzrechtsreformgesetz vom 4.12.2004, BGBl. I 2004, 3166), hier nicht unerwähnt bleiben. In Fortentwicklung von Aussagen aus dem TransPuG befasste es sich u.a. mit der Stärkung der Unabhängigkeit der Abschlussprüfer und diente zugleich der Fortentwicklung und Internationalisierung des deutschen Bilanzrechts. Dazu gehörte z.B. eine Erweiterung der Lageberichterstattung mit Eingehen auf Risikomanagementvorgänge (§ 289 HGB). Weiter ist der „Deutsche Corporate Governance Kodex“ (vom 26.2.2002, veröffentlicht im Internet unter www.corporate-governance-code.de sowie im amtlichen Teil des elektronischen Bundesanzeigers, abgekürzt: „DCGK“) zu nennen. Die Regeln des Kodex sind keine Rechtsnormen. Denn sie stellen keine staatliche Rechtsetzung dar, sondern es geht um Selbstverpflichtungen der Wirtschaft. Nicht zuletzt wegen ihrer gesetzlichen Inbezugnahme durch § 161 AktG erlangen sie jedoch wichtige Bedeutung für die Wirtschaftsunternehmen und sind daher auch für die Arbeit der Internen Revision von Belang. Besondere Vorgaben existieren im Bereich der Kreditinstitute. Mit § 25 a Abs. 1 Satz 3 Nr. 2 KWG findet sich hier eine gesetzliche Vorschrift, die die formale Schaffung einer prozessunabhängig tätigen Internen Revision als Teil einer ordnungsgemäßen Geschäftsorganisation bei Banken grundsätzlich vorschreibt. Für Aktienbanken kann § 25 a Abs. 1 Satz 3 Nr. 2 KWG als Konkretisierung des § 91 Abs. 2 AktG herangezogen werden. Der Gesetzgeber hat die BaFin ermächtigt, hierzu konkretisierende Regelungen zu schaffen (§ 25 a Abs. 1 Satz 4 KWG). Diese können auch in Ausnahmeregelungen bestehen. Das hat die BaFin im oben genannten Rundschreiben 1/2000 (dort Nr. 7 Rn. 39) für kleine Institute getan, weil bei ihnen die Einrichtung einer eigenen Revisionsabteilung übertrieben erscheint. Hier können daher die Revisionsaufgaben ausnahmsweise vom Geschäftsleiter des Instituts wahrgenommen werden oder ganz bzw. teilweise auf externe Stellen ausgelagert werden. Weiter von Bedeutung für die Interne Revision im Bankenbereich 90
A.
2
Überblick – das KonTraG und andere Rechtsquellen
sind die Regelungen, die in den letzten Jahren vom Baseler Ausschuss für Bankenaufsicht, „Basel II“, vorgeschlagen wurden. Sie befassen sich mit Fragen zur angemessenen Eigenkapitalausstattung von Banken und regeln in ihrer sog. zweiten Säule auch den bankenaufsichtlichen Überprüfungsprozess, bei dem auch die Interne Revision eine Rolle spielt. Die Weiterentwicklung der „Mindestanforderungen an das Risikomanagement“ in Deutschland (MaRisk; Rundschreiben 11/2001 vom 6.12.2001 der BaFin) war im Jahr 2007 in der Diskussion (vgl. die sog. Konsultation 1/2007 der BaFin zu den überarbeiteten Outsourcing-Regelungen). Die USA haben den Beginn der schrittweisen Einführung der Regelungen von Basel II, die dort ursprünglich zum 1.1.2007 vorgesehen war, mindestens verschoben. Es war sogar unklar, ob in den USA die Einführung überhaupt erfolgen wird. Wenn ja, wird dies frühestens zum 1.1.2009 erfolgen. Die zunehmende Internationalisierung des Geschäfts erbringt deutschen Unternehmen auch Berührungspunkte zu ausländischen und übernationalen Rechtsvorschriften. Für die Interne Revision bedeutsam sind hier vor allem der sog. Sarbanes-Oxley Act (oft abgekürzt mit „SOX“ oder „SOA“) und die 8. EU-Richtlinie. SOX ist ein amerikanisches Gesetz, das am 30.7.2002 in Kraft gesetzt wurde. Es gilt auch für ausländische Unternehmen, sofern sie an US-Börsen notiert sind. Section 404 von SOX verlangt für diese Unternehmen die Einrichtung eines funktionsfähigen Internen Kontrollsystems (IKS). Dem nachfolgend soll Ähnliches auch in den Mitgliedsstaaten der EU eingeführt werden, so das Gebot der sog. 8. EU-RL (Richtlinie 2006/43/EG vom 17.5.2006), die u.a. die Pflicht zur Errichtung eines sog. Audit Committees für Unternehmen von öffentlichem Interesse vorsieht. Obwohl auch diese beiden Regelwerke keine explizite Verpflichtung zur institutionellen Schaffung einer Internen Revision beinhalten, sind sie für die Interne Revision in deutschen Unternehmen doch von großem Belang. Neben den soeben aufgeführten Rechtsquellen, die auf die Unternehmen „von außen“ einwirken, sind für die Arbeit der Internen Revision auch vielfältige interne Unternehmensvorschriften von großer Wichtigkeit. Dazu gehören Dienstanweisungen und Richtlinien, mit denen Unternehmen Handlungsanweisungen in Form von Geboten und Verboten setzen. Das sind u.a. Revisionsrichtlinien, die die Aufgaben und Befugnisse der Internen Revision gegenüber den geprüften Stellen definieren. Sie alle werden hier unter dem Sammelbegriff „Innenrecht“ erörtert. Was die Rechtsquellen anbelangt, die für das Wesen der Internen Revision und für das Verständnis von deren Arbeit herangezogen werden können, ergibt sich folgender Überblick: ■ KonTraG (insbesondere: § 91 Abs. 2 AktG und § 317 Abs. 4 HGB) ■ „Innenrecht“: Richtlinien und Dienstanweisungen, z.B. Revisionsrichtlinie ■ TransPuG (insbesondere mit § 161 AktG) in Verbindung mit dem DCGK ■ SOX (insbes. Section 404), Einrichtung eines IKS ■ Richtlinie 2006/43/EG vom 17.5.2006, (8. EU RL), Audit Committee ■ Kreditinstitute: § 25 a Abs. 1 Satz 3 Nr. 2 KWG und Regelungen der BaFin. In die Reihenfolge dieser Aufzählung gliedern sich im Wesentlichen die folgenden Ausführungen. Wegen seiner großen Bedeutung für die Interne Revision wird dabei im Schwerpunkt auf § 91 Abs. 2 AktG eingegangen. Des Weiteren erfolgen Darstellungen zum „Innenrecht“, zum DCGK (i.V.m. § 161 AktG) und zu internationalen Rechtsregelungen (SOX und 8. EU-RL). Die besondere Erörterung zum „Innenrecht“ ist wegen der großen praktischen Bedeutung unternehmensinterner Regelungen für die Interne Revision unumgänglich, da interne Unternehmensvorschriften die Interne Revision institutionell (Revisionsrichtlinie als formale Legitimationsbasis) betreffen können. Daneben liefern Richtlinien und Handlungsanweisungen im Unternehmen als Soll-Vor91
2
9
10
11
12
2
§2
Rechtsgrundlagen zur Internen Revision
gaben das Handwerkszeug für die operative Revisionsarbeit. Vor diesem Hintergrund findet sich auch für die Empfehlungen des DCGK eine rechtliche Heimat. Das besondere Eingehen auf SOX und die 8. EU RL ist wegen der zunehmenden internationalen Verflechtungen geboten. Nicht mehr besonders eingegangen wird auf die rechtliche Situation im Bankenbereich. Insoweit soll es mit der eingangs gebrachten Zusammenfassung der rechtlichen Situation sein Bewenden haben. Wegen weiter gehender Fragen wird auf bestehende Spezialliteratur verwiesen.1
2
13
14
15
B.
§ 91 Abs. 2 AktG als „Herzstück“ des KonTraG
I.
Vorgeschichte und Motive zum KonTraG
Mitunter wird darauf hingewiesen, das KonTraG sei die Reaktion des deutschen Gesetzgebers auf spektakuläre Unternehmenskrisen gewesen. Richtig daran ist, dass in der Tat in einer zeitlichen Nähe zu dessen Inkrafttreten Aufsehen erregende Pleiten und Krisen die Öffentlichkeit beschäftigt haben. Verwiesen sei dabei beispielhaft auf die Fälle Balsam, Bremer Vulkan, Klöckner & Co, Metallgesellschaft und Schneider. Indes ist es zu kurz gegriffen, das KonTraG wesentlich darauf zurückzuführen. Zwar ist in der Regierungsbegründung auch einmal von „Verhaltensfehlsteuerungen“ die Rede (BT-Drs. 13/9712, S. 11), es fehlt aber ein ausdrücklicher Hinweis, aufgrund dessen sich diese Annahme rechtfertigen ließe. Es wird vielmehr darauf hingewiesen, dass das Gesetz den vorläufigen Abschluss eines bereits seit dem Jahr 1995 begonnenen umfassenden Reformvorhabens zur Weiterentwicklung des deutschen Aktien- und Kapitalmarktrechts und die Anpassung an internationale Standards bilden sollte (vgl. BT-Drs. 13/9712, S. 1, 11). Angestrebt waren u.a. Verbesserungen im Rahmen der Arbeit des Aufsichtsrats, die Erhöhung von Transparenz und die Verbesserung der Qualität der Abschlussprüfung. Speziell zu den Themen „Kontrollsystem“ und „Risikomanagement“ heißt es in der Allgemeinen Begründung zum Gesetz und in der Begründung speziell zu § 91 Abs. 2 AktG wörtlich (vgl. BTDrs. 13/9712, S. 11, 15): ... Das deutsche Aktienrecht hat ein vielschichtiges Kontrollsystem. Überwachung findet auf mehreren Ebenen statt. Entscheidend ist zunächst die Einrichtung einer unternehmensinternen Kontrolle durch den Vorstand (Interne Revision, Controlling). Die nächste Überwachungsebene ist der Aufsichtsrat, der vom Abschlussprüfer unterstützt wird. Sodann übt die Hauptversammlung im Rahmen ihrer gesetzlich definierten Befugnisse Kontrolle über die Verwaltung aus... Dieses System ist ausgewogen und hat sich insgesamt bewährt... Die Verpflichtung des Vorstands, für ein angemessenes Risikomanagement und für eine angemessene interne Revision zu sorgen, soll verdeutlicht werden. Es handelt sich um eine gesetzliche Hervorhebung der allgemeinen Leitungsaufgabe des Vorstands gemäß § 76 AktG, zu der auch die Organisation gehört... Die konkrete Ausformung der Pflicht ist von der Größe, Branche, Struktur, dem Kapitalmarktzugang usw. des jeweiligen Unternehmens abhängig. Dies bedarf keiner ausdrücklichen Erwähnung im Gesetz...
1
92
Vgl. etwa die Kommentierung zum KWG, von Reischauer/Kleinhaus, Berlin (Loseblatt).
2
B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG
II.
Auslegung und Anwendung von § 91 Abs. 2 AktG
1.
Systematische Einordnung der Vorschrift
2
Der Vorstand einer Aktiengesellschaft ist ihr maßgebliches Leitungsorgan. Er regelt ihre Interna und vertritt sie nach außen. Dies umreißt das AktG in seinen §§ 76–78. Danach hat der Vorstand die Gesellschaft unter eigener Verantwortung zu leiten und ist zu ihrer Geschäftsführung und Vertretung berechtigt und verpflichtet. Diese Rechte und Pflichten werden vom Gesetz konkreter in den §§ 83, 90–93 AktG benannt. Nach § 83 AktG hat der Vorstand die Pflicht, Maßnahmen, die unter die Zuständigkeit der Hauptversammlung fallen, auf deren Verlangen vorzubereiten und ihre Beschlüsse auszuführen. § 90 AktG regelt Einzelheiten des zwischen Vorstand und Aufsichtsrat bestehenden Berichtssystems und zum Zusammenwirken dieser beiden Organe. Nach § 91 Abs. 1 AktG trägt der Vorstand die sog. Buchführungsverantwortung, das heißt, er hat dafür Sorge zutragen, dass die Gesellschaft die Handelsbücher führt. Die beiden Absätze von § 92 AktG regeln Handlungspflichten für den Fall, dass die Gesellschaft finanziell in schweres Fahrwasser gerät bzw. für den Krisenfall (Pflicht zur Einberufung der Hauptversammlung wenn mehr als die Hälfte des Grundkapitals verloren ist bzw. Insolvenzbeantragungspflicht). § 93 AktG schließlich regelt weitere Gebote in Form eines allgemeinen Handlungsstandards (Absatz 1), zur Vertraulichkeit (Absatz 2) und fasst schließlich noch einmal eine Reihe von Pflichten zusammen, die im AktG an anderen Stellen geregelt sind (siehe in Absatz 3). § 91 Abs. 2 AktG als spezielle Pflichtennorm für den Vorstand ist demnach von seiner Plazierung im Gesetz her eingebettet in ein Gesamtsystem von Organpflichten. Vorstandsmitglieder trifft im Hinblick auf die Überwachungspflicht eine Gesamtverantwortung (in der Regierungsbegründung zu § 91 Abs. 2 besonders herausgestellt, vgl. BT-Drs. 13/9712, S. 15). Diese gilt auch für Stellvertreter (vgl. § 94 AktG) und bleibt auch bei ressortmäßiger Aufgabenteilung übergreifend für alle Mitglieder als Überwachungsaufgabe erhalten. Dieses Gesamtsystem dient dem Schutz der Gesellschaft, seiner Eigentümer und den Gläubigern der Gesellschaft.
2.
16
17
Meinungsstand zum Inhalt der Vorschrift
Der Inhalt von § 91 Abs. 2 AktG lässt sich nicht leicht erschließen. Es ist daher auch nicht überraschend, dass in der Lehre (zu den hier in Frage stehenden Problemen weiter führende Rechtsprechung liegt – soweit ersichtlich – nicht vor) unterschiedliche Auffassungen zum sachlichen Inhalt und zur Reichweite der Vorschrift existieren. Ebenfalls nimmt es nicht Wunder, dass es manche kritischen Stimmen zur Vorschrift gibt (z.B. die Bezeichnung als „Normvakuum“), von der man alles in allem sagen darf, dass sie keinen brillanten Gesetzgeber gefunden hat. Bei der Diskussion nicht immer einheitlich verwandte Begriffe (Früherkennungssystem, Überwachungssystem, Risikomanagementsystem im engeren und im weiteren Sinne etc.) tragen ein Übriges zur Verwirrung bei. Dem Vorschub geleistet hat der Gesetzgeber selbst. Wenngleich im Gesetzestext selbst nicht verwandt, werden in der Regierungsbegründung dazu (s.o.) die Begriffe des „angemessenen Risikomanagements“ und der „angemessenen internen Revision“ gebraucht. Neben dem vagen Gesetzeswortlaut ergibt sich daraus eine weitere Unzulänglichkeit, weil die Begriffe „angemessen“ und „geeignet“ unterschiedlich weit reichende Anforderungen umschreiben. „Angemessen“ bedeutet nämlich gegenüber der bloßen Geeignetheit ein Mehr. Die unterschiedlichen Begriffe wur93
18
19
2
§2
2 20
21
22
Rechtsgrundlagen zur Internen Revision
den in der Literatur übernommen, wobei sich zahlreiche Adaptionen und Ausformungen finden lassen. „Maßnahmen“ wurden in Neudeutsch zu „Management“, „Entwicklungen“ werden synonym mit „Risiko“ gleichgesetzt. Durch die Verquickung der Tätigkeit mit ihrer Überwachung werden die beiden Aktivitäten oft als Einheit innerhalb dieses „Managements“ erläutert. Auch der Unterschied der Wortbedeutungen von „geeignet“ und „angemessen“ spielt eine Rolle. Zur Aufhellung des Sinngehalts von § 91 Abs. 2 AktG hat das alles nicht beigetragen. Die zu § 91 Abs. 2 AktG vertretenen Interpretationen sehen im Wesentlichen wie folgt aus: Eine Auffassung interpretiert die Vorschrift sehr weit gehend, wonach aus ihr eine Pflicht zur Schaffung und Unterhaltung eines umfassenden Risikomanagementsystems abgeleitet wird. Das von der Vorschrift erwähnte Überwachungssystem sei demnach eine Vorkehrung, die Risiken überwachen soll und zu dessen Einrichtung der Vorstand der Gesellschaft verpflichtet sei. Das System habe die Aufgabe, alle Unternehmensbereiche und ihre Geschäftsvorfälle auf Risiken hin zu untersuchen. Bestandteile eines solchen Systems seien alle möglichen Maßnahmen, die zur Bewältigung von Risiken dienlich sind: Identifikation, Bewertung, Melde- und Berichtswesen und Kontrolle. Wie umfassend ein solches System konzipiert werden sollte, wird von Vertretern dieser weiten Auffassung unterschiedlich beantwortet, je nach Reichweite des jeweils vertretenen betriebswirtschaftlichen Modells. Die Vertreter dieser Auffassung rekrutieren sich weitgehend aus Kreisen der Betriebswirtschaftslehre und der Prüfungspraxis. Wesentlich anders – im Ergebnis enger – fällt das Auslegungsergebnis aus, das sich aus den Interpretationen ergibt, die in der rechtswissenschaftlichen Literatur zu finden sind. Diese Ansicht sieht für den Unternehmensvorstand aus § 91 Abs. 2 AktG eine zwei gestufte Pflicht: Zunächst bestehe die Pflicht zum Ergreifen von Maßnahmen, die in die Lage versetzen (sollen), den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkennen zu können. Welche Einrichtungen und Maßnahmen hierfür geeignet sind, das sei von § 91 Abs. 2 AktG nicht vorgegeben. Die Eignung dieser Maßnahmen sei zu bejahen, wenn erfahrungsgemäß zu erwarten sei, dass der Vorstand die erforderlichen Informationen rechtzeitig erhält. Der Vorstand habe bei der Ausgestaltung dieses Systems im Übrigen ein Leitungsermessen, dessen Ausübung beeinflusst werde durch die konkret in Frage stehenden nachteiligen Entwicklungen und durch die Eigenheiten des betroffenen Unternehmens. Sodann ergebe sich für den Vorstand aus § 91 Abs. 2 AktG auf einer zweiten Stufe die Pflicht zur Einrichtung eines Überwachungssystems. Durch es sei die Effizienz der auf der ersten Stufe ergriffenen Früherkennungsmaßnahmen fortlaufend zu überwachen. Dieses Überwachungssystem soll aber nicht die risikoträchtigen Entwicklungen selbst überwachen, auch nicht hieraus resultierende konkrete Risikozustände im Unternehmen. Die Zurückhaltung dieser Meinung erstreckt sich auch auf Detailfragen zu dieser Überwachung selbst: § 91 Abs. 2 AktG gebe nicht vor, wie Organisation, Struktur und die Methodik im Einzelnen auszusehen habe. Auch das sei vielmehr einzelfallabhängig von Unternehmen zu Unternehmen unterschiedlich, nur dem „angemessen“ müssten diese Detailfragen schon ausgestaltet sein. Es gibt schließlich noch eine dritte Meinung zum Verständnis von § 91 Abs. 2 AktG, die zwischen den beiden Ersten hin und her pendelt und damit eine Art Kompromisslösung anbietet. Auch sie leitet aus § 91 Abs. 2 AktG keine Pflicht des Vorstands zur Schaffung eines umfassenden Risikomanagementsystems ab, entspricht damit insoweit der engen Auffassung. Da es aber immerhin um die Abwehr existenzgefährdender Entwicklungen gehe, komme der Vorstand letzten Endes nicht umhin, sich doch mit einer systematisch angelegten Risikofrüherkennung (u.a. mit Differenzierung „bestandsgefährdend/nicht bestandsgefährdend“ und mit der Definition von Kommunikationswegen) zu befassen. Rechtstechnisch hergeleitet wird dies aus dem Ergebnis einer spezifischen Auslegung des Wortes „geeignet“ in § 91 Abs. 2 AktG. In diesem Punkt ähnelt diese 94
2
B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG Meinung der weiten Auffassung. Allerdings erteilt sie deren Annahme, der Vorstand werde durch § 91 Abs. 2 AktG auch zur Schaffung ganz bestimmter organisatorischer Maßnahmen verpflichtet, eine Absage. Angelehnt an den Zweistufenansatz der engeren Meinung fordert sie daneben ein weiteres Überwachungssystem, welches das Erste zu kontrollieren hat. Beide Systeme zusammen bildeten ein „Risikomanagementsystem“. Zusammengefasst geht es beim Streit um die Reichweite der Vorschrift um folgende Sachfragen: Es ist umstritten, was geeignete Maßnahmen im Sinne des § 91 Abs. 2 AktG sind bzw. sie sein können und ob das vom Gesetz „insbesondere“ geforderte Überwachungssystem einen Teil der geforderten Maßnahmen darstellt oder ob das System nur der Überwachung der Einhaltung dieser Maßnahmen dienen soll.
3.
2 23
Hier vertretene Auffassung
Hier wird eine enge Auffassung vertreten. Es geht um zwei unterschiedliche Systeme: Das eigentliche Früherkennungssystem und das zu dessen Überwachung installierte besondere System. Beide sind grundsätzlich einzurichten. „Grundsätzlich“ bedeutet aber, dass es schon bei dieser Frage nach dem „Ob“ Ausnahmen geben kann. Es kann davon abgesehen werden, wenn es aufgrund der besonderen Verhältnisse der Gesellschaft doch nicht notwendig ist. Dies einzuschätzen, unterliegt – entgegen zum Teil explizit in der Literatur vertretener Auffassung – dem Ermessen des Vorstands. Sind Systeme einzurichten, ist deren konkrete Ausgestaltung (das „Wie“) ebenfalls Entscheidungsspielräumen des Vorstands zugänglich. Bezüglich der Ausgestaltung keines der beiden Systeme existieren nämlich konkrete Vorgaben des Gesetzes. Das Früherkennungssystem muss durch die von ihm veranlassten Maßnahmen gewährleisten, dass existenzgefährdende Entwicklungen entsprechend gesehen und – vor allem – rechtzeitig an den Vorstand kommuniziert werden. Die Maßnahmen des Früherkennungssystems müssen nur „geeignet“ sein, so die Vorgabe des Gesetzes. Der Vorstand ist damit bei der konkreten Ausgestaltung relativ frei und hat Spielräume, welches Modell er wählt. Seine Spielräume sind lediglich insoweit beschränkt, als ihm die konkreten Umstände des Einzelfalles (z.B. Unternehmensgröße) bestimmte Maßnahmen nahe legen. Als zusätzliche Sicherung dient die Verpflichtung, eine Überwachungsinstanz einzurichten, die regelmäßig die Einhaltung und die Tauglichkeit der vom Früherkennungssystem vorgesehenen Maßnahmen ihrerseits überwacht. Bezüglich der konkreten Konzeption des Überwachungssystems existieren ebenfalls Gestaltungsspielräume.
24
Zur Herleitung dieses Ergebnisses im Einzelnen: Die Juristerei kennt im Wesentlichen vier verschiedene Auslegungsarten, wie man sich den Sinn von Gesetzen erschließen kann, ihn erforschen kann. Es handelt sich dabei um die wörtliche, die systematische, die historische und um die sog. teleologische Auslegung. Die wörtliche Auslegung untersucht den Sinngehalt der im Gesetz verwandten Worte und deren grammatikalischen Zusammenhänge im Abgleich mit dem sonstigen Sprachgebrauch. Da das Wort auch hier am Anfang steht, ist sie automatisch der Ausgangspunkt jeder Untersuchung und damit die zuerst anzuwendende Auslegungsmethode. Ihre Ergebnisse spielen daher auch bei der anschließenden Anwendung der anderen Methoden eine Rolle. Die systematische Auslegungsart versucht, aus der Stellung der Norm im Gesetz auf ihren Inhalt zu schließen, insoweit wird ihr Bedeutungszusammenhang herausgestellt. Die historische Auslegung ermittelt anhand des Studiums begleitender Verlautbarungen zur Entstehungsgeschichte. Insbesondere aus Aussagen der am Gesetzgebungs-
26
95
25
2
§2
2
27
28
29
30
Rechtsgrundlagen zur Internen Revision
verfahren Beteiligten zieht sie ihre Schlüsse, wobei ihr insoweit eine Hilfsfunktion zur Ermittlung des Gesetzeszwecks, der teleologischen Auslegung als vierter Auslegungsart, zukommt. Diese teleologische Auslegung will den Sinn und Zweck, der sich mutmaßlich hinter einer Norm verbirgt, zum Vorschein bringen. Mitbestimmt von allgemeinen Zweckmäßigkeits- und Gerechtigkeitserwägungen wird ermittelt, welche Zwecke die Norm verfolgt. Dem Ergebnis dieser Auslegungsart wird grundsätzlich ausschlaggebender Charakter beigemessen, das heißt, bei evtl. unterschiedlichen Ergebnissen der verschiedenen Auslegungsarten geht ihr Ergebnis vor. Keine der zum Inhalt des § 91 Abs. 2 AktG vertretenen Meinungen, also auch nicht die hier vertretene, erschließt sich unmittelbar aus dem Gesetz. Zu konturlos, zu lapidar und teilweise fast schon nichtssagend präsentiert sich der Wortlaut der Vorschrift. Durch die gedankliche Verbindung der Früherkennungsmaßnahmen mit dem Überwachungssystem, herbeigeführt durch die Verwendung des Worts „insbesondere“, führt der Wortlaut sogar in die Irre. Dadurch wird nämlich der Eindruck erweckt, beim Überwachungssystem handele es sich um einen beispielhaft genannten Unterfall der „geeigneten Maßnahmen“, gewissermaßen als hervorgehobenes Beispiel. Dem ist jedoch nicht so (siehe dazu im Folgenden). Die Anwendung der wörtlichen Auslegungsart lässt damit keine belastbare Aussage zur Inhaltsbestimmung zu. Auch die systematische Auslegung hilft nicht, weil aus der Stellung von § 91 Abs. 2 im Gesetz nichts herzuleiten ist. Weiterführend ist aber die Auslegung nach Sinn und Zweck der Vorschrift (teleologische Auslegung). Deren Ergebnis wird mit getragen durch die Analyse von konkreten Aussagen in der Regierungsbegründung, also unter Anwendung der historischen Auslegung als Hilfsfunktion. Methodischer Ausgangspunkt der Anwendung der teleologischen Auslegung ist die Sinnerforschung der verschiedenen „Wortelemente“ der Vorschrift, die nachfolgend aus praktischen Zwecken schon etwas modifiziert dargestellt werden: Es geht um die Vorstandspflicht („Der Vorstand hat...“) zum ■ Treffen von geeigneten Maßnahmen zur ■ Früherkennung von ■ den Fortbestand der Gesellschaft gefährdenden ■ Entwicklungen ■ insbesondere durch ■ Einrichtung eines Überwachungssystems. Vor Eingehen auf die einzelnen Punkte ist, sozusagen vor die Klammer gezogen zu sagen, dass es bei § 91 Abs. 2 AktG um Fragen der „Organisation“ einer Gesellschaft geht (so auch die amtliche Überschrift, die durch das KonTraG geändert wurde). Der Gesetzgeber will durch § 91 Abs. 2 AktG seine Vorstellungen zu Organisationszielen und -anforderungen in Sachen Früherkennung existenziell gefährdender Entwicklungen äußern. Es geht also um die aus Sicht des Gesetzgebers „richtige“ Organisation, um diese Entwicklungen zu erkennen. Diese Vorstandspflicht war vor dem KonTraG der allgemeinen Vorschrift des § 76 AktG (allgemeine Leitungsverantwortung) zu entnehmen. Mit § 91 Abs. 2 AktG sollte dies konkreter gefasst werden unter besonderer Herausstellung der entsprechenden Verpflichtung für den Vorstand. Die Pflicht kann auch als „Bestandssicherungsverpflichtung“ oder als „Sorge für die Rechtmäßigkeit der Organisation“ umschrieben werden. Es geht aber bei § 91 Abs. 2 AktG nur um die Pflicht zur Bereitstellung eines Instrumentariums. Hingegen umfasst die Norm nicht die Pflicht des Vorstands, auf über die Anwendung dieses Instrumentariums erkannte Risiken auch angemessen zu reagieren. Diese Handlungspflicht
96
2
B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG und die Folgen aus etwaiger Verletzung ergeben sich allein aus den §§ 76, 93 AktG und nicht aus § 91 Abs. 2 AktG. Dieser Punkt ist weitgehend unstreitig in der Literatur. Beim Begriff „Entwicklungen“ geht es allgemein um Veränderungen und Prozesse, die auf ein Unternehmen einwirken. Die Ursachen dieser Veränderungen sind für die Anwendung des Begriffs unerheblich. Sie können sich aus eigenem Verhalten des Unternehmens ergeben, sie können aber auch gänzlich in äußeren Einflüssen liegen. Ungeachtet der besonderen Ausprägung als „bestandsgefährdend“ (siehe dazu sogleich) geht es allgemein um nachteilige Entwicklungen. Dazu können z.B. zählen: Die Aufnahme risikobehafteter Geschäfte, Unrichtigkeiten bei der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanzund Ertragslage des Unternehmens auswirken (vgl. BT-Drs. 13/9712, S. 15). Als Beispiel für eine von Außen getriebene Veränderung kann ein bestimmtes Ereignis auf dem Markt (Erfindung eines Wettbewerbers) genannt werden. Der Begriff der Entwicklung ist abzugrenzen vom Risikobegriff. Beide sind in ihren Bedeutungen nicht deckungsgleich, wenngleich die von ihnen umschriebenen Inhalte (Prozesse und „Aggregatszustände“ des Unternehmens) miteinander einhergehen können. „Risiko“ bezeichnet Entscheidungssituationen mit fehlender oder nur unvollkommener Informationsbasis. Unternehmerisches Tätigwerden am Markt ist regelmäßig risikobehaftet, weil die Informationsbasis nur selten ganz vollständig ist. Dieses alltägliche Vorliegen von Risikozuständen birgt im Fall des sog. reinen Risikos eine Schadensgefahr, beim sog. spekulativen Risiko tritt neben die Schadensgefahr auch die Erwartung von Chancen (Risiko als Ausdruck einer Mehrwertigkeit von Zukunftserwartungen). Entwicklungen im Sinne § 91 Abs. 2 AktG als Prozesse und Veränderungen sind somit nicht Risikozustände in diesem Sinne. Es handelt sich bei ihnen um Größen, die Risikozustände beeinflussen, indem diese geschaffen bzw. weiter nachteilig verändert werden. Nicht jegliche nachteilige Entwicklung muss frühzeitig erkannt werden (durch die getroffenen geeigneten Maßnahmen), sondern nach dem insoweit ausdrücklichen Gesetzeswortlaut nur solche, die den Fortbestand gefährden. Eine solche Situation ist anzunehmen, wenn die soeben beispielhaft aufgezählten nachteiligen Entwicklungen so gravierend sind, dass sie ein Insolvenzrisiko erheblich steigern oder hervorrufen (Zahlungsunfähigkeit und Überschuldung, vgl. § 92 Abs. 2 AktG). Vorgänge, die unterhalb dieser Schwelle liegen, werden nicht erfasst. Früherkennung bedeutet in diesem Zusammenhang, dass der Vorstand so früh wie möglich die bestandsgefährdenden Entwicklungen erkennen muss. Das bedeutet, dass er noch in der Lage sein muss, Gegenmaßnahmen einleiten zu können. Der nachteiligen Entwicklung muss so rechtzeitig entgegen gewirkt werden können, dass bestandsgefährdende Ausmaße nicht erreicht werden. Das Tatbestandsmerkmal der geeigneten Maßnahmen ist vor dem Hintergrund des schon dargestellten allgemeinen Ansatzes der Vorschrift zu verstehen. Es geht um Organisationsfragen und speziell um die Einrichtung eines Früherkennungssystems zum Erkennen bestandsgefährdender Entwicklungen durch den Vorstand. Vor allem entsprechend taugliche organisatorische Maßnahmen sind gemeint. Dazu gehört die Ausstattung dieser Strukturen mit einer angemessenen personellen Besetzung. Die Eignungsfähigkeit eines Mittels beurteilt sich nach dem von ihm verfolgten Zweck. Dazu, wie dieser im Einzelfall konkret erreicht werden kann bzw. muss, schweigt das Gesetz. Es wird in der Regierungsbegründung (s.o.) relativ deutlich zum Ausdruck gebracht, dass nicht alle Unternehmen über einen pauschalen Leisten geschlagen werden können. Das ist nach dem Willen des Gesetzgebers vielmehr abhängig von deren konkreten Eigenheiten (Größe, Branche, Struktur, Kapitalmarktzugang etc.). Es liegt auf der Hand, dass beispielsweise eine kleine „Ein-Mann-AG“ 97
2
2
2
§2
Rechtsgrundlagen zur Internen Revision
ohne Mitarbeiter anderen Bedingungen unterliegt, als ein breit aufgestelltes Unternehmen mit mehreren tausend Mitarbeitern. Im Zweifel benötigt diese „Ein-Mann-AG“ überhaupt kein Früherkennungssystem (und im Übrigen auch kein Überwachungssystem, siehe dazu sogleich). An beide Unternehmen von Gesetzes wegen über § 91 Abs. 2 AktG gleiche Anforderungen für die Schaffung und Ausgestaltung des Früherkennungssystems zu richten, wäre unzweckmäßig und überdies auch unverhältnismäßig. Es kann nicht Sinn und Zweck der Vorschrift sein, zu etwas verpflichten, was objektiv niemand (weder die Gesellschaft und auch nicht zu schützende Dritte) braucht. Dies würde gegen Art. 14 GG (Organisationsfreiheit als Ausfluss des Eigentumsgrundrechts) verstoßen. Es entspricht daher allgemeinen Zweckmäßigkeits- und Gerechtigkeitserwägungen, wenn § 91 Abs. 2 AktG dem Vorstand sinnvoller Weise ein Leitungsermessen einräumt, ja von Rechts wegen sogar einräumen muss, um – abgestimmt auf die speziellen Bedürfnisse seiner AG – agieren zu können. Dieser Pflicht genügt er, wenn die von ihm in Ausübung dieses Ermessens konkret ergriffenen Maßnahmen erfahrungsgemäß ausreichen, dass er die erforderlichen Informationen rechtzeitig erhält. Dies kann, wie bereits gesagt, einzelfallabhängig sogar ohne Ergreifung von irgendwelchen Maßnahmen möglich sein und legaler Weise, weil eben durch § 91 Abs. 2 AktG unbeanstandet, durch Nichtstun erreicht werden. Vor diesem Hintergrund kann es eine aus § 91 Abs. 2 AktG ableitbare rechtliche Pflicht zur Einrichtung eines (umfassenden) Risikomanagementsystems oder gar auf die Anwendung eines bestimmten betriebswirtschaftlichen Modells nicht geben. Aus diesem Grund muss auch der Kompromissmeinung (s.o.) eine Absage erteilt werden. Es ist nicht möglich, die handwerkliche Unzulänglichkeit einer Rechtsvorschrift durch ihre unsachgemäße, weil regelwidrige Auslegung zu überspielen. Natürlich wäre es – auch unter Beachtung der grundsätzlichen Notwendigkeit einer Ermessenseinräumung – aus Gründen der Rechtssicherheit sehr wünschenswert gewesen, wenn sich der Gesetzgeber bereit gefunden hätte, im Hinblick auf die Ausgestaltung des Früherkennungssystems den Pflichtenstandard etwas konkreter zu fassen. Wenigstens um eine Art von Leitplanken zu setzen. Zwar können Interpretationslücken durch betriebswirtschaftliche Modelle und durch die Vorgaben von Standesorganisationen und von Verbänden ausgefüllt werden. Wiewohl einschränkend festzustellen ist, dass einheitliche und unumstrittene Lösungen nicht an der Tagesordnung sind, können sie über Kategorienbildungen Richtschnüre schaffen, welches Maß und welche Differenzierungen ein Risikomanagementsystem eines Unternehmens in Abhängigkeit von seinen bestimmten Eigenheiten aufweisen muss. Für die konkrete Ausgestaltung von Risikomanagementsystemen können sich daraus bestimmte Verkehrsübungen zur Sorgfaltspflicht eines Vorstands herausbilden. Solche Festlegungen sind als Kriterien tauglich, ob und inwieweit der Tatbestand des § 93 Abs. 1 Satz 1 AktG (Sorgfaltspflichten eines ordentlichen und gewissenhaften Geschäftsleiters) im Einzelfall eingehalten wurde oder nicht. Aber: Auf § 91 Abs. 2 AktG kann das alles keine unmittelbare Auswirkung erzielen, weil diese Vorschrift keinen Halt hierfür bietet und die Regierungsbegründung über das Eröffnen von Ermessensspielraum sogar in die andere Richtung tendiert. Es ist daher im Ergebnis nicht möglich, eine von der Betriebswirtschaft entwickelte Clusterbildung o.ä. von vornherein als Konkretisierung für das Wort „geeignet“ herauszulesen, die dann irgendwie rechtlich wirken soll. Eine solche Art von Nachholung der vom Gesetzgeber versäumten Typisierung ist nicht möglich. Diesen Effekt wird man allenfalls über eine Rechtsfortbildung durch die Rechtsprechung (zu beiden Vorschriften) erzielen können. Dafür ist aber notwendig, dass Rechtsprechung, die nicht allzu einzelfallgeprägt sein darf, hierzu überhaupt vorliegt. Das ist bis jetzt – soweit ersichtlich – noch nicht der Fall. Es ergibt sich so der Nachteil, dass Vorstände anhand § 91 Abs. 2 AktG nur schwerlich das Maß des Pflichtenstandards einschätzen können. Sie können Gefahr laufen, dass ihr Ver98
2
B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG halten (im Nachhinein) als ermessensfehlerhaft und damit als Pflichtverletzung qualifiziert wird. Um dem zu entgehen, sehen sich Unternehmen gezwungen, vorsichtshalber des „Guten zuviel“ (incl. Aufwendung unnötiger Organisationskosten) bei sich einzurichten, um sich auf die sichere Seite zu begeben. Befördert wird dies durch Vorstöße in der Literatur, mitunter wird hier die wegen dieser Unklarheiten verständliche Unsicherheit zur „Umsichtigkeit“ umdeklariert, um das gewünschte Untersuchungsergebnis zu rechtfertigen.2 Neben der Pflicht zur Schaffung eines Früherkennungssystems verlangt § 91 Abs. 2 AktG, zusätzlich ein besonderes Überwachungssystem einzurichten (so auch IDW PS 340). Das Überwachungssystem soll dazu dienen, die Einhaltung und das Funktionieren der Maßnahmen der Früherkennung zu gewährleisten. Trotz manchem in der Diskussion zum Überwachungssystem aufgebauten Popanz reduziert sich das Ganze neben der Kontrolle letztlich darauf, ob ein rechtzeitiger Informationsfluss an den Vorstand gewährleistet ist (schon lediglich aus Beweisgründen mit der dazugehörigen Dokumentation in Form einer Berichterstattung). Wie bereits festgestellt, kann ein solches Nebeneinander von zwei Systemen nicht aus dem Wortlaut des Gesetzes hergeleitet werden. Dieser kann wegen der Verwendung von „insbesondere“ sogar für die gegenteilige Annahme sprechen. Es ist in diesem Zusammenhang im Übrigen der Gegenmeinung auch zuzugestehen, dass die Unterscheidung von zwei Systemen wegen der in der Praxis vielfach anzutreffenden Verhältnisse durchaus etwas gekünstelt wirkt. Im betrieblichen Ablauf gehen nämlich „geeignete Maßnahmen“ zur Früherkennung und die Tätigkeit einer informationsvermittelnden Organisation zu deren Überwachung oft ineinander über. An dem hier angenommenen Trennungsprinzip ist jedoch trotzdem festzuhalten, weil nur diese Sicht vor dem Hintergrund der Gesetzgebungsgeschichte einen richtigen Ansatz zum Verständnis der Vorschrift bietet. Ohne weiteren Blick in die Gesetzesmaterialien kommt man hierfür nicht aus. In der Fassung des der amtlichen Regierungsbegründung vorangehenden Referentenentwurfs hieß es in einem besonderen Satz (§ 93 Abs. 1 Satz 3 RefE): „Dazu gehört auch die Einrichtung eines Überwachungssystems mit der Aufgabe, die Einhaltung der nach Satz 2 zu treffenden Maßnahmen zu überwachen.“ Dies macht deutlich, dass an zwei unterschiedliche Systeme gedacht wurde. Die im späteren Gesetz demgegenüber vorgenommene textliche Veränderung in Form der Weglassung dieses Satzes diente lediglich sprachlicher Vereinfachung. Auch aus der Begründung des Gesetzes (vgl. BT-Drs. 13/9712, S. 15) lässt sich der vorgesehene Dualismus von zwei Systemen noch ablesen, wenn es dort heißt: „... Die Verpflichtung des Vorstands, für ein angemessenes Risikomanagement und für eine angemessene interne Revision zu sorgen, soll verdeutlicht werden...“ (Unterstreichung durch die Verfasser). Auch hier muss im Übrigen – trotz des Wortlauts von § 91 Abs. 2 AktG, der die Einrichtung eines Überwachungssystems explizit fordert – das Gleiche gelten wie für das Früherkennungssystem. Es steht im Leitungsermessen des Vorstands, ob er dieses Überwachungssystem schafft und ggf. wie er es konkret ausgestaltet. Er ist in der Ermessensausübung allerdings beschränkt, wenn ihm die konkreten Umstände des Einzelfalles (z.B. Unternehmensgröße) die Ergreifung von Maßnahmen gebieten. In der Literatur wird von einer einfachen Organisationsanforderung gesprochen, der durch Begründung unmissverständlicher Zuständigkeiten, eines engmaschigen Berichtswesens und einer Dokumentation Rechnung getragen werden könne. 2
Vgl. etwa Manuel Lorenz, Rechtliche Grundlagen des Risikomanagements, in: ZRFG 1/06, S. 1, 8. Er untersucht die „Ausstrahlungswirkung“ u.a. des DCGK auf § 91 Abs. 2 AktG. Trotz Betonung, dass die Anforderungen an ein Risikomanagementsystem grundsätzlich unternehmensspezifisch (u.a. Größe und Zahl der Risiken) sind, kommt er so letztlich zur Annahme einer Rechtspflicht zur Einrichtung eines umfassenden Risikomanagementsystems.
99
2 31
32
33
34
2
§2
4. 2 35
36
Rechtsgrundlagen zur Internen Revision
Speziell zur Rechtspflicht der Schaffung einer Internen Revision
Die Richtigkeit der Annahme, dass die formale Schaffung einer Revisionsabteilung nicht obligatorisch ist, ergibt sich zunächst schon aus einem Vergleich mit der rechtlichen Situation im Bankenbereich. Während in § 91 Abs. 2 AktG nichts dergleichen geregelt ist, hat sich der Gesetzgeber in § 25 a Abs. 1 Satz 3 Nr. 2 KWG wegen der besonderen Situation des Metiers in der Pflicht gesehen, die Schaffung einer Internen Revision als Teil einer ordnungsgemäßen Geschäftsorganisation grundsätzlich vorzuschreiben. Hier wird für Banken auch Wert auf die Koexistenz eines prozessabhängigen Kontrollsystems und einer prozessunabhängigen Internen Revision gelegt. Hätte der Gesetzgeber das allgemein so haben wollen, ist zu unterstellen, dass er es auch in § 91 Abs. 2 AktG so geregelt hätte bzw. hätte regeln müssen. Seine Enthaltsamkeit in § 91 Abs. 2 AktG ist daher als sog. beredtes Schweigen anzusehen.3 Die von der BaFin zu § 25 a Abs. 1 Satz 3 Nr. 2 KWG mit Billigung des Gesetzgebers geschaffenen Ausnahmeregelungen bestätigen die hier vertretene Auffassung nachgerade. Auch aus den Materialien zu § 91 Abs. 2 AktG kann dieses Ergebnis hergeleitet werden. Trotz der Formulierung in der Gesetzesbegründung (... und eine angemessene interne Revision...) kann nicht geschlossen werden, es bestünde aus § 91 Abs. 2 AktG die Rechtspflicht zur Einrichtung einer eigenen Revisionsabteilung. Die Annahme einer solchen Rechtspflicht wäre nicht mit der Wertung des Grundrechts aus Art. 14 GG (Schutz des Eigentums) zu vereinbaren. „Interne Revision“ ist hier lediglich funktional als „Überwachung“ gemeint. Es geht um die grundsätzliche Pflicht zur Schaffung einer solchen Überwachungsinstanz, wenn die konkreten Eigenheiten des Unternehmens (Größe etc.) es gebieten, eine solche Sicherung einzurichten. Das mag z.B. bei kleinen Unternehmen nicht einmal notwendig sein, hier erledigt der Chef selbst die Überwachung.4 Auch dann wenn die Strukturen komplexer sind und die Pflicht zur Einrichtung einer dem Management zuarbeitenden besonderen Überwachungsstelle besteht, bietet sich für das Unternehmen insoweit eine über Art. 14 GG geschützte Organisationsfreiheit. Rein rechtlich gesehen ist der Vorstand auch in diesem Fall relativ frei, wie er das organisiert. Er kann eine eigene Revisionsabteilung als Prüf-Überwachung einrichten. Obwohl dies wegen der Prozessabhängigkeit des Controlling betriebswirtschaftlich sehr fragwürdig sein mag (zur Wahrung der Unabhängigkeit darf die Revisionsberichterstattung und -wertung der Prüfungsergebnisse keinen Weisungen unterworfen sein), kann er aber auch Überwachungsaufgaben des § 91 Abs. 2 AktG der Kontrolle des Controlling unterstellen oder – quasi als eine Art Mischform – einen vorhandenen Revisionsmitarbeiter an den Controllingabteilungsleiter berichten lassen. Auch der umgekehrte Weg der Betrauung einer internen Revisionsabteilung mit klassischen Controllingaufgaben ist rechtlich im Übrigen denkbar. Schließlich – das allgegenwärtige Make-or-buy-Prinzip gilt auch hier – kann sich der Vorstand zu einem Outsourcing entschließen, indem er die Revisionstätigkeit fremd vergibt, etwa an einen Wirtschaftsprüfer oder an sonstige externe Berater (etwa einen Rechtsanwalt). Natürlich können sich im Einzelfall vom Vorstand getroffene Maßnahmen im Nachhinein als untauglich herausstellen (Beispiele: Controllingabteilung ist mit Revisionsaufgaben überfordert; 3 4
100
Nicht akzeptabel ist daher die Rechtsprechung des VG Frankfurt, Urteil vom 8.7.2004, VersR 2005, S. 57, bei der mit Bezug auf ein Versicherungsunternehmen § 25 a Abs. 1 KWG zur Auslegung von § 91 Abs. 2 AktG herangezogen wird, weil sich beide Normen „in ihrer rechtlichen Bedeutung entsprechen“ und das vom Gesetzgeber so gewollt sei. Ähnlich auch der Arbeitskreis „Externe und Interne Überwachung“ der Schmalenbach-Gesellschaft in seiner These 1 zur „Angemessenheit der Internen Revision“, vgl. DB 2006, S. 225 – allerdings mit dem weiteren Hinweis, dass bei kapitalmarktorientierten Unternehmen in jedem Fall eine Interne Revision eingerichtet sein sollte.
2
B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG Wahl eines ungeeigneten Dienstleisters). Das kann u.U. zu einer Schadensersatzpflicht (gem. § 93 Abs. 2 Satz 1 AktG) führen und Grund zu Abberufung des Vorstands und wichtiger Grund einer fristlosen Kündigung sein. Trotzdem gilt, dass sich aus § 91 Abs. 2 AktG von vornherein kein grundsätzliches Gebot zur Einrichtung einer Revisionsabteilung ergibt.
III.
Die Ausstrahlungswirkung von § 91 Abs. 2 AktG
1.
Zur Rechtsfigur und Abgrenzung zur Analogie
Von praktischer Bedeutung für die Reichweite des Anwendungsbereichs von § 91 Abs. 2 AktG ist die Frage, für welche Gesellschaftsformen diese Norm Rechtswirkungen entfaltet. Das AktG gilt nur für Aktiengesellschaften und für Kommanditgesellschaften auf Aktien (vgl. §§ 1, 278 AktG). Es stellt sich der Aspekt, ob die Vorschrift auch für andere, zum Teil wesentlich häufiger in der Geschäftswelt vorkommende Rechtsformen dergestalt Anwendung findet, dass auch die Leitungsorgane jener Gesellschaften entsprechende Verpflichtungen trifft. Es geht hier insbesondere um GmbH’s und um Genossenschaften. Die Texte der einschlägigen Gesetze (AktG, GmbHG, GenG) schweigen hierzu. Es findet sich jedoch in der Regierungsbegründung zu § 91 Abs. 2 AktG (vgl. BT-Drs. 13/9712, S. 15) eine Aussage: „In das GmbHG soll keine entsprechende Regelung aufgenommen werden. Es ist davon auszugehen, dass für Gesellschaften mit beschränkter Haftung je nach ihrer Größe, Komplexität ihrer Struktur usw. nichts anderes gilt und die Neuregelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaftsformen hat.“ Ausgelöst durch diese Äußerung gibt es in der Literatur die ganze Bandbreite von möglichen Meinungen zu den Auswirkungen von § 91 Abs. 2 AktG. Von einer mehr oder weniger unreflektierten Bejahung der Anwendung der Vorschrift auf andere Rechtsformen über die Ablehnung dieser Möglichkeit bis hin zu differenzierten Ansätzen (Anwendung bzw. Nichtanwendung in Abhängigkeit an die Größen-Kriterien des § 267 HGB) findet sich alles im Angebot. „ Ausstrahlung“ meint eine in der Rechtswissenschaft eher seltener diskutierte und angewandte methodische Figur. Die schiere Existenz einer neu eingeführten Norm (hier: § 91 Abs. 2 AktG) zu einem bestimmten Regelungskomplex (Früherkennungs- und Überwachungssysteme bei der AG und KG aA) beeinflusst und drängt zumindest mittelbar auf die gleichförmige Beantwortung vergleichbarer Fragen bei anderen vergleichbaren Regelungskomplexen (hier: Notwendigkeit der Etablierung von Systemen bei anderen Gesellschaftsformen). Diese Ausstrahlungswirkung ist ähnlich, wenngleich sehr viel schwächer, wie sie sich aufgrund der sog. Analogiebildung ergibt. Bei der Analogie handelt es sich ebenfalls um eine methodische Figur der Rechtswissenschaft. Dabei wird eine Vorschrift analog (oder „entsprechend“) auf andere vergleichbare Sachverhalte regelrecht angewendet, wenn dort eine solche Vorschrift fehlt. Dieses Fehlen einer Vorschrift muss aber unbeabsichtigt sein, so z.B., wenn es vom Gesetzgeber schlichtweg übersehen oder vergessen wurde. Zur Ausfüllung der dann bestehenden „planwidrigen Lücke“ (so wird sie dann deswegen bezeichnet) wird bei der Analogie die vorhandene Norm des anderen Komplexes genommen und angewandt, obwohl sie dafür rechtssystematisch eigentlich gar nicht vorgesehen ist. Beiden methodischen Figuren, der Analogie wie der Ausstrahlung, liegt eine Forderung nach systematischer Geschlossenheit des Rechts zugrunde. Getragen wird diese Forderung von der 101
2
37
38
39
40
41
42
2
§2
Rechtsgrundlagen zur Internen Revision
Annahme, dass sich andernfalls Wertungswidersprüche ergeben könnten. So wird beispielhaft der Fall des Rechtsformwechsels angeführt: Soll es etwa möglich sein, dass bei einem Wechsel von AG zu GmbH (z.B. per Umwandlung) die vorher noch nach § 91 Abs. 2 AktG verpflichteten Vorstände als GmbH-Geschäftsführer plötzlich nicht mehr verpflichtet sein sollen, nur weil es im GmbHG keine Norm gibt? Also quasi diese Pflichten „an der Garderobe abgeben können?“, lauten die rhetorischen Fragen.
2
2. 43
44
45
46
Eigene Rechtsauffassung
Auf der Basis der – allerdings – nur schmalen Anwendungsebene dieser Figur wird eine Ausstrahlungswirkung von § 91 Abs. 2 AktG auf die Situation von anderen Gesellschaften auch von den Verfassern bejaht. Das entspricht der zitierten Annahme in der Regierungsbegründung. Die Vorschrift ist ins AktG aufgenommen worden, sie gilt daher nur für die von diesem Gesetz betroffenen Gesellschaften. Wenn der Gesetzgeber ihre generelle Geltung „rechtlich verbindlich“ gewollt hätte, hätte er diese auch ausdrücklich in die jeweiligen Fachgesetze (hier insbesondere GmbHG und GenG) aufnehmen können und letztlich auch müssen. Das hat er aber ganz offensichtlich bewusst nicht getan. Der Effekt einer Ausstrahlung kann daher nur eintreten, wenn sich zu § 91 Abs. 2 AktG zusätzlich eine „grenzüberschreitende Rechtsprechung“ zu anderen Gesellschaftsformen herausbildet. Dann, aber auch nur dann, kann sich in der Praxis eine solche Auswirkung des Gedankenguts von § 91 Abs. 2 AktG auf GmbH’s und Genossenschaften ergeben. Der positiv-rechtliche Aufhänger, über den diese Ausstrahlung wirken könnte, wäre nicht in § 91 Abs. 2 AktG selbst zu suchen. Vielmehr wären die zu diesen Gesellschaften bestehenden Gesetze anzuwenden, sofern sie durch die Rechtsprechung entsprechend konkretisiert wurden. Das ist für die GmbH § 43 Abs. 1 GmbHG (Geschäftsführung hat die „Sorgfalt eines ordentlichen Geschäftsmanns“ aufzuwenden) und für die Genossenschaft § 34 GenG (Vorstandspflicht zur Aufbringung der „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“). § 91 Abs. 2 AktG kann daher keinen Verpflichtungstatbestand für andere Gesellschaften abgeben. Dies anzunehmen hieße, die Möglichkeit einer Analogiebildung zu bejahen. Die aber war offensichtlich vom Gesetzgeber nicht gewollt. Es fehlt daher an einer „planwidrigen Lücke“, die Voraussetzung ist. Daran ist auch die Rechtsprechung gebunden. Dieses Ergebnis muss um so mehr gelten, weil – wie gezeigt – die Vorschrift sogar im Hinblick auf ihre Anwendung in ihrem angestammten Terrain (bei AG’s) alles andere als einfach zu handhaben ist. Weitere Unterschiede zwischen AG einerseits und GmbH bzw. Genossenschaft andererseits (etwa sind die Befugnisse der Leitungsorgane dieser Gesellschaftsformen unterschiedlich weit reichend ausgestaltet) sprechen ebenfalls gegen eine unbesehene Übernahme von § 91 Abs. 2 AktG auf die Situation anderer Gesellschaften.
102
C.
C.
Innenrecht
I.
Bedeutung für die Interne Revision
2
Für das Unternehmen gelten eine Fülle von Regelungen, die ihren Ursprung in Akten staatlicher Institutionen (als Gesetze, richterliche Entscheidungen oder behördliche Anordnungen) haben. Dazu kommen Normen, die sonstige Dritte (z.B. Kunden, Tarifpartner oder der Betriebsrat) gemeinsam mit dem Unternehmen geschaffen haben, so etwa bei einem Vertrag. Ferner können Vorgaben in einem Konzernverbund (etwa eine Konzernrichtlinie oder Kautelen eines Beherrschungsvertrages) allgemein gelten. All diesen Normen ist gemein, dass sie – weitgehend ohne Zutun des Unternehmens – „von außen“ auf das Unternehmen verpflichtend einwirken. Aufgrund seiner vielfach gegebenen eigenen Rechtspersönlichkeit richten sie sich regelmäßig an das Unternehmen selbst. Sie müssen durch das Unternehmen verarbeitet werden. Zur Umsetzung sind seine Organe und Mitarbeiter aufgerufen, die hierfür besonders berechtigt und/oder verpflichtet werden müssen. Das Unternehmen muss sich zu diesem Zweck Regeln und Strukturen geben, es muss sich eine Organisation zulegen. Auch dies kann „von außen“, z.B. über den Gesellschaftsvertrag, eine Geschäftsordnung oder über eine Weisung des Aufsichtsrates erfolgen. Regelmäßig aber geschieht die Ausstrukturierung der Organisation des Unternehmens durch eine eigene und eigenständige Rechtsschöpfung des Unternehmens selbst. Als Regeln (Gebote und Verbote) werden sie also „innen“ geschaffen und wirken auch ausschließlich hier. Unternehmensintern wirken sie ähnlich verbindlich wie von außen gesetzte Rechtsnormen. Daher werden sie hier als „Innenrecht“ bezeichnet. Viele Typen dieser internen Regelungen sind speziell an die Mitarbeiter adressiert, etwa eine allgemeingültige Handlungsanweisung zu einem bestimmten Prozess (z.B. Einkaufsrichtlinie) oder als allgemeine Verhaltensanweisung (z.B. sog. Ethikrichtlinie oder Geschenkerichtlinie). Solche Regelungen können aber auch die Organe des Unternehmens (Vorstand, Geschäftsführung) berechtigen und verpflichten. Alle Normen, das gilt gerade auch für die „innenrechtlichen“, setzen für die Arbeit einer Internen Revision Maßstäbe. Das ist besonders bei Vorliegen einer Revisionsrichtlinie (zuweilen auch Audit Charter oder Geschäftsordnung genannt) der Fall, die als formale Legitimationsbasis der Internen Revision im Unternehmen dient.5 Auch die Regelungen in einem Revisionshandbuch sind hier zu nennen. In ihm werden für die Interne Revision operative Abläufe verbindlich fixiert, etwa zu Art und Weise von Prüfungsabläufen und zur Berichterstattung. Zuweilen wird das als die „Kernprozesse“ der Internen Revision bezeichnet.6 Es kann in der Praxis vorkommen, dass beide Regelwerke – Revisionsrichtlinie und Revisionshandbuch – in einem einheitlichen Katalog dokumentiert sind. Auch sonst ist Innenrecht für die operative Prüfarbeit der Internen Revision von Bedeutung. So ergeben sich aus Richtlinien, Handlungsanweisungen, Kodexen etc. regelmäßig Definitionen mit Soll-Vorgaben, die die geprüften Stellen zu beachten haben. Insbesondere sind solche Richtlinien 5
6
2
Innenrecht
Vgl. – auszugsweise – die These 5 „Geschäftsordnung der Internen Revision“ des Arbeitskreises „Externe und Interne Überwachung“ der Schmalenbach-Gesellschaft, in: DB 2006, S. 225, 226: Die organisatorische Ausgestaltung der Internen Revision soll in einer Geschäftsordnung festgelegt werden. Die Geschäftsordnung der Internen Revision ist die Grundlage für die Zusammenarbeit zwischen Unternehmensleitung, Interner Revision und anderen Einheiten des Unternehmens. Sie wird von der Unternehmensleitung erlassen und dem Überwachungsgremium zur Kenntnis gebracht. Vgl. hierzu These 9 „Handbuch der Internen Revision“ des Arbeitskreises „Externe und Interne Überwachung“ der Schmalenbach-Gesellschaft, in: DB 2006, S. 225, 227.
103
47
48
49
50
2
§2
Rechtsgrundlagen zur Internen Revision
und Handbücher integrale Bestandteile eines Internen Kontrollsystems (IKS). Die Interne Revision wendet diese demzufolge bei ihrer Prüfung an und – mehr noch – „Das IKS auf Zweck, Funktion, Wirksamkeit und Vollständigkeit zu überprüfen, ist eine zentrale Aufgabe der Revision.“7
2
51
52
53
54
II.
Betriebswirtschaftliche und soziologische Grundlagen
1.
Organisation
Die Notwendigkeit zur Schaffung innenrechtlicher Regelungen folgt aus allgemeinen Strukturüberlegungen, die Gegenstand verschiedener organisationstheoretischer Ansätze sind. Damit befasst sind u.a. soziologische und betriebswirtschaftliche Forschungsrichtungen, deren Felder sich teilweise überlappen. Es geht um das Erkennen und die Lösung eines generellen Dualproblems jeder Organisation: Das Problem der Arbeitsteilung (organisatorische Differenzierung) und das Problem der Arbeitsvereinigung in Form der Wiederzusammenführung der aufgrund Arbeitsteilung getrennt gefundenen Teilergebnisse zu einer geschlossenen Leistungseinheit. „Ziel und Funktion einer jeden Organisation, ob im geschäftlichen oder im privaten Bereich, ist die Integration spezialisierten Wissens in eine gemeinsame Aufgabe.8 Vor diesem Hintergrund ist die Organisation des Unternehmens – und nachfolgende Ausführungen gelten sinngemäß auch für die Situation eines Konzernverbunds – von funktionalen Gesichtspunkten her aufgebaut. Die Gliederung in seine verschiedenen Abteilungen (Einkauf, Entwicklung, Personal etc.) beruht auf dem Prinzip der Arbeitsteilung und dient dem Systemziel der (langfristigen) Gewinnerzielung. Sowohl das Unternehmen als Gesamtsystem als auch seine Abteilungen als Subsysteme weisen jeweils ihre internen Funktionalitäten auf und verfügen außerdem auch auf über funktional gewordene „Außenweltbeziehungen“. Es gibt also gewissermaßen kreuz und quer und horizontal und vertikal Interaktionen. Diese Prozesse gilt es zu steuern und – im Sinne der Systemverantwortlichen – in geordnete Bahnen zu lenken. Dadurch soll die effiziente Erledigung der Teilaufgaben bewirkt werden und auch die sich anschließende organisatorische Integration in Form Zusammenführung der Ergebnisse zur geschlossenen Leistungseinheit. Wiewohl die Betrachtung informeller Aspekte auch durch sie nicht ganz vernachlässigt wird, fokussieren sich betriebswirtschaftliche Organisationslehren auf die Schaffung und Unterhaltung formaler Normen zur Unternehmenssteuerung. Sie befassen sich u.a. mit der Festlegung von dauerhaften Kommunikations- und Weisungsbeziehungen zwischen den über- und untergeordneten, sowie zwischen den gleichgeordneten Stellen. Dies dient der Sicherung eines koordinierten Handelns der einzelnen Organisationseinheiten im Hinblick auf die Unternehmensziele. Das so entstehende Leitungssystem umfaßt als Leitungs- und Führungsorganisation idealerweise die Struktur aller Leitungsbeziehungen in einem Unternehmen. In der Praxis finden sich insoweit als Organisationstypen verschiedenen Gestaltungsalternativen (Einlinien-, Mehrlinien-, Stablinienoder Matrixsysteme).9 Betriebswirtschaftliche Modelle verfolgen dabei im Wesentlichen technokratische Ansätze. Das heisst, es wird versucht, dem Sachzwang zur Herstellung einer optimalen Funktions- und Leis7 8 9
104
So wörtlich Boris Wicher, Die Rolle der Internen Revision bei Prävention und Aufdeckung von dolosen Handlungen, in: ZIR 2/2007, S. 58, 60. Peter F. Drucker, Die Kunst des Managements, München 2000, S. 164. Eingehend hierzu Vahs S. 104 ff.
C.
2
Innenrecht
tungsfähigkeit alles andere unterzuordnen, möglichst ohne weitere Diskussion über weiter gehende Sinnfragen oder über soziale (Folge- und Begleit-) Probleme. Soziologische Forschungsrichtungen (Organisations-, Betriebs- und Industriesoziologie) greifen die aus diesen Ansätzen entstehenden Effekte auf die sozialen Strukturen und Prozesse in (Industrie-) Betrieben auf. Durch sie soll eine Auseinandersetzung und ein Ausgleich zwischen der von Effizienz- und Wirtschaftlichkeitsgesichtspunkten dominierten betriebswirtschaftlichen Sicht und den dadurch verursachten sozialen Konsequenzen erreicht werden. Die Organisationssoziologie begreift eine Unternehmensorganisation als soziales Gebilde und auch als sog. soziale Assoziation, das heißt, als einen Zusammenschluss von Menschen zur Erreichung gemeinsamer Ziele. Gleichsam einem biologischen Lebewesen agiert das Unternehmen als „produktives soziales System“. Eine sehr wichtige Grundorientierung insbesondere der Organisationssoziologie ist die Erkenntnis, dass sich Organisationen nicht nur in planmäßigen Abläufen erschöpfen, sondern immer auch ungeplante und unvorhergesehene Prozesse ablaufen und sich informelle Gruppen und Beziehungen herausbilden können. Ihre Untersuchungsgegenstände betreffen u.a. Autoritäts-, Kommunikations- und Informationsstrukturen, das Zusammenspiel formaler und informaler Normen, Statusfragen, Rollenverhalten u.a.m.
2.
2
Koordinationsinstrumente
Wie bereits eben umrissen, kann es eine Vielzahl von Normen unterschiedlichen Ursprungs geben, die von außen und von innen auf ein Unternehmen und seine Mitarbeiter einwirken. Soweit es dabei speziell um Themen der internen Steuerung und der Koordination arbeitsteiliger Aktivitäten geht, werden in der betriebswirtschaftlichen Organisationslehre allgemein als Instrumente die ■ Koordination durch Selbstabstimmung ■ Koordination durch persönliche Weisung ■ Koordination durch Standardisierung unterschieden. Die Koordinierung durch Selbstabstimmung beruht auf unmittelbarer persönlicher Kommunikation zwischen den Organisationsmitgliedern, wobei der Kommunikationsfluss horizontal verläuft. Abstimmungen erfolgen hier ohne weitere Aufforderung und ohne Einschaltung von Vorgesetzten als auf Koordinationsaufgaben spezialisierte Mitarbeiter. Die beiden anderen Koordinationsformen (persönliche Weisung und Standardisierung) sind gekennzeichnet durch einen vertikalen (hierarchischen) Kommunikationsfluss (mündlich oder schriftlich). Sämtliche Verlautbarungen in diesem Bereich können Soll-Vorgaben für Prozesse abgeben. Voraussetzung hierfür ist das Vorhandensein formaler Über- und Unterordnungsbeziehungen zwischen Organisationseinheiten bzw. zwischen Personen. Soweit es in diesen Fällen um das Verhältnis zwischen Personen geht, äußert sich die Über-/Unterordnungsbeziehung regelmäßig in der Ausübung arbeitgeberseitiger Rechte. Der Arbeitgeber, im Falle einer juristischen Person der sog. abstrakte Prinzipal, agiert arbeitsrechtlich oft über Ausübung des sog. Direktionsrechts. Der dienstliche bzw. fachliche Vorgesetzte des Mitarbeiters artikuliert als sog. konkreter Prinzipal die persönlichen Weisungen. Standardisierte Koordinationsmaßnahmen spielen vor allem bei komplexen Organisationsstrukturen eine große praktische Rolle. Der Koordinationsaufwand durch persönliche Weisungen und durch die Koordination durch Selbstabstimmung (die ohnehin Gefahren der Fehlsteuerung beinhaltet) kann so reduziert werden. Standardisierte Koordinationsmaßnahmen beruhen weitgehend nicht auf der persönlichen Ansprache von (vorgesetzten) Personen, sondern auf Verhaltens105
55
56
57
2
§2
Rechtsgrundlagen zur Internen Revision
vorschriften, die abstrakt-generell (also einzelfallunabhängig und an eine unbestimmte Vielzahl von Adressaten gerichtet) wirken. In der Terminologie werden insoweit Programme (Verfahrensrichtlinien und Handbücher) und Pläne (verbindliche Zielvorgaben und Umsetzungsschritte für eine bestimmte Periode).10
2
58
59
60
III.
Institutsnormen für die Interne Revision
1.
Revisionsrichtlinie
Vor dem Hintergrund, dass gesetzliche Vorschriften eine nur unvollkommene Legitimationsbasis für die Interne Revision bieten, kommt einschlägigen innenrechtlichen Regelungen insoweit eine besondere Bedeutung zu. Sie schaffen eine grundsätzliche formale Basis für die Interne Revision und stellen so quasi deren Magna Charta im Unternehmen bzw. im Konzern dar. Niedergelegt werden können diese wesentlichen Grundsätze in Richtlinien bzw. in Geschäftsordnungen. Beide Begriffe werden mitunter synonym verwandt. Verlässliche statistische Zahlen darüber, wie viele Unternehmen in Deutschland von dieser Möglichkeit einer institutionellen Verankerung ihrer Internen Revision Gebrauch gemachten haben, liegen – soweit ersichtlich – nicht vor. Man darf jedoch davon ausgehen, dass zumindest größere Unternehmen, die über eine eigene Interne Revision verfügen, über derartige Regelwerke verfügen. Nachfolgend wird – grob auszugsweise – eine Richtlinie abgedruckt. Sie wird in dieser oder ähnlicher Form in der Praxis verwandt. Ihre Regelungen sind selbsterklärend und veranschaulichen deutlich, wie wichtig das Vorhandensein solcher allgemeingültiger Regelungen im Unternehmen für dessen Interne Revision ist. Die Richtlinie folgt einem allgemeinen Muster und sollte die Aufgabenstellung, Befugnisse und die Verantwortlichkeiten der Internen Revision fixieren. Dabei sollten Aussagen getroffen werden zu ihrer Stellung innerhalb des Unternehmens, zum Zugang zu den Aufzeichnungen, zu den Mitarbeitern und zu den Vermögensgegenständen des Unternehmens, soweit und sofern dies für die Erledigung von Prüfungs- und Beratungsaufträgen relevant und notwendig ist. ! Praxishinweis: Revisionsrichtlinie für den A-Konzern Gegenstand dieser Richtlinie ist die Festlegung konkreter Schritte und Instrumente zur Umsetzung der Aufgaben, die die Interne Revision im A-Konzern zu erledigen hat. Im A-Konzern besteht in Erfüllung der gesetzlichen Verpflichtungen ein Risiko-Managementsystem und ein darin integriertes Internes Kontrollsystem. Die Systeme sollen dazu beitragen, den Fortbestand des Konzerns gefährdende Entwicklungen möglichst früh zu erkennen. Insbesondere soll hierdurch das Konzernvermögen geschützt werden. Um diese Aufgaben als Teil des internen Kontrollsystems optimal zu erledigen, wurden die Revisionseinheiten im A-Konzern bei der „A-Konzernrevision“ zentral gebündelt. Vor diesem Hintergrund ist Zielsetzung dieser Richtlinie ■ die zentrale Steuerung der Revisionstätigkeit im A-Konzern durch die A-Konzernrevision, ■ Optimierung des Einsatzes von Revisionsressourcen
10 Näher Vahs S. 112 ff.
106
C. ■ ■
2
Innenrecht
die Vereinheitlichung von Revisionsmethoden, -Systemen und -Prozessen im A-Konzern mit Etablierung eines einheitlichen Revisionsverständnisses, die Transparenz sämtlicher bedeutungsvoller Prüfungsergebnisse für den Vorstand der A-Konzern-Obergesellschaft und der Vorstände der Teilkonzernobergesellschaften
2
zur ■ ■
Erledigung von Kontroll- und Überwachungsaufgaben Verbesserung von Sicherheit und Effizienz von organisatorischen Strukturen.
Grundsätze Die A-Konzernrevision handelt als aktives Führungs- und Steuerungsinstrument des Vorstands der A-Konzern-Obergesellschaft11 und der Vorstände der Teilkonzernobergesellschaften. Sie übernimmt Überwachungs- und Kontrollaufgaben (Prüfungsleistungen), sowie erledigt Beratungsleistungen als Dienstleistungsaufgaben. Prüfungsleistungen und Beratungsdienstleistungen sind voneinander abzugrenzen. Alle im A-Konzern anfallenden Revisionsaufgaben werden ausschließlich durch die A-Konzernrevision erledigt, diese ist dazu gegenüber den Konzerngesellschaften berechtigt und verpflichtet. Die Interne Revision erfüllt ihre Aufgaben objektiv. Das bedeutet, dass die Interne Revision bei der Prüfungsplanung, bei der Durchführung der Prüfung und bei der Abfassung ihres Prüfberichts keinen Beeinflussungen oder Einschränkungen ausgesetzt sein darf. ...
61
Prüfungsplanung und Beauftragung der A-Konzernrevision Der Jahresprüfungsplan für konzernrelevante und –weite Themen (Konzernprüfungen) wird von der A-Konzernrevision jährlich für jeweils das folgende Kalenderjahr erstellt. Dies soll im letzten Quartal des Jahres erfolgen. Basis für die Prüfungsplanung ist eine Zusammenstellung aller maßgeblichen Prüffelder, die alle Prozesse, Einheiten (z.B. business units und Gesellschaften) und wesentliche Projekte abbildet. Hierbei ist den Grundsätzen einer sog. risikoorientierten Prüfungsplanung wie folgt Rechnung zu tragen: ...
63
Neben der Erledigung der sich aufgrund des Jahresprüfplans ergebenden Prüfungen besteht das jährliche Prüfprogramm der A-Konzernrevision auch aus Einzelprüfungen, die sich aus besonderen Situationen ergeben und die aufgrund besonderer Beauftragung der A-Konzernrevision resultieren...
64
Informationsbeschaffung/Rechte der Revisionsmitarbeiter Die A-Konzernrevision hat im Rahmen von Prüfungen ein uneingeschränktes aktives und passives Informationsrecht. Das beinhaltet das Recht der Prüfer, alle Informationen eigenhändig einzuholen, der freie und ungehinderte Zugang zu unternehmensinternen Daten, Aufzeichnungen und betrieblichen Einrichtungen und das Führen von Gesprächen mit allen Mitarbeitern ist ihnen zu ermöglichen. Auch und insbesondere ist den Prüfern Zugang zu den IT-Systemen zu ermöglichen. ...
65
11 Zu welchem Vorstand der Revisionsleiter zugeordnet ist, vgl. die launigen Ausführungen von Sebastian Hakelmacher, ZIR 2001, S. 1 f.: „Häufig ist er disziplinarisch dem Finanzvorstand zugeordnet, weil der angeblich als einziges Vorstandsmitglied weiß, wie man „Revision“ schreibt. Reputierlicher ist allerdings die Zuordnung zum Vorstandsvorsitzenden. Die höhere Aufhängung ermöglicht dem Revisionsmanager, die ihm obliegende Aufsicht über die Revision mit unverbindlichen Unternehmensstrategien und ähnlich abstrakten Überlegungen bedeutungsschwer aufzuwerten.“
107
62
2
§2 66
Rechtsgrundlagen zur Internen Revision
Prüfungsdurchführung Die Revisionstätigkeit der A-Konzernrevision richtet sich nach einem einheitlichen, risikoorientierten Prüfungsansatz. Das bedeutet, dass die bei der Jahresplanung ermittelten Risiken berücksichtigt werden und Risikomanagement- und Interne Kontrollsysteme maßgeblich in die Prüftätigkeit einbezogen werden. Risikomanagementsysteme umfassen alle Bemühungen zur Risikoerkennung, -analyse und -bewertung, wobei diese durch den Einsatz geeigneter Instrumente so zu beherrschen sind, dass die Unternehmensziele erreicht werden. Die Internen Kontrollsysteme sind Bestandteil der so definierten Risikomanagementsysteme. Sie sollen die Zuverlässigkeit betrieblicher Prozesse gewährleisten. Sie bestehen u.a. aus organisatorischen Sicherungsmaßnahmen, wie Richtlinien und Arbeitsanweisungen, internen Kontrollen/Prüfungen und Informationssystemen.
2 67 68
69
Bei der Beurteilung Interner Kontrollsysteme durch die A-Konzernrevision sind folgende Faktoren zu berücksichtigen: ■ Zuverlässigkeit und Integrität von Daten und betrieblichen Informationen, ■ Effektivität und Effizienz von Geschäftsprozessen, ■ Sicherung des Betriebsvermögens und ■ Einhaltung von internen Vorschriften.
70
Berichterstattung Die Ergebnisse der durch die A-Konzernrevision durchgeführten Prüfungen sind in geeigneter Form, das heißt, insbesondere unter Beachtung einer angemessenen Berichtssystematik, zu kommunizieren...
2. 71
Ähnlich wichtige Bedeutung für die Interne Revision können Regelungen aufweisen, die in einem Revisionshandbuch fixiert sind. Auch dessen Regelungen formulieren Handlungsanweisungen für die operative Revisionsarbeit, sie sind meistens konkreter und richten sich ausschließlich an die Mitarbeiter der Internen Revision selbst. Wegen weiterer Einzelheiten zum Revisionshandbuch wird auf die Ausführungen an anderer Stelle im Buch verwiesen.
IV. 72
73
Revisionshandbuch
Sonstige Normen
Im Übrigen existieren insbesondere in größeren Unternehmen zu den Tätigkeitsfeldern vieler Bereiche Richtlinien etc., die den betroffenen Mitarbeitern Soll-Vorgaben für die Erledigung der täglichen Arbeit machen. Beispielhaft seien hier Personalabteilung, Rechtsabteilung, Controlling, Einkauf, Vertrieb, Marketing, Konzernrechnungswesen und die Kreditoren- und Debitorenbuchhaltung genannt. So kann beispielsweise der Mitarbeiter im Einkauf eines Unternehmens von einer Einkaufsrichtlinie betroffen sein, die ihm im einzelnen vorgibt, wie bestimmte Vorgänge (etwa die Ausschreibung bei großvolumigen Einkäufen) zu bearbeiten sind. Andere Richtlinien können Thematiken betreffen, die von der eigentlichen operativen Arbeit losgelöst sind und eher allgemeine Handlungsstandards formulieren. Dazu gehören z.B. sog. Ethikrichtlinien, mit denen Mitarbeiter zu einem verantwortungsbewussten Verhalten angehalten werden sollen. Diese sind rechtlich nicht immer unproblematisch und können zudem auch mit-
108
D.
2
Deutscher Corporate Governance Kodex
bestimmungspflichtig sein, wie sich etwa an der umstrittenen Wal-Mart Ethikrichtlinie gezeigt hat.12 Vom Abdruck solcher Richtlinien muss aus Kapazitätsgründen hier abgesehen worden. Insoweit wird auf die einschlägige Spezialliteratur verwiesen.
D.
Deutscher Corporate Governance Kodex
I.
Grundlagen
1.
Regelungsgegenstand, Zweck und Hintergrund
Der Deutsche Corporate Governance Kodex (DCGK) ist ein 14-Seitiges Regelwerk, das sich hauptsächlich an die Unternehmensleitungen deutscher börsennotierter Gesellschaften wendet. Nicht an der Börse notierten Gesellschaften wird seine Beachtung empfohlen. Er ist von einer Kommission (sog. Cromme-Kommission; benannt nach ihrem Vorsitzenden, dem Aufsichtsratsvorsitzenden von Thyssen-Krupp und des Siemens-Konzerns, Gerhard Cromme) im Auftrag der Bundesregierung erarbeitet worden und am 26.2.2002 der Bundesministerin der Justiz übergeben worden. Der Begriff der „Corporate Governance“ bedeutet ganz allgemein soviel wie Führungsgrundsätze. Es geht es um international und national anerkannte Standards „guter und verantwortungsvoller Unternehmensführung“ (vgl. Nr. 1, Präambel, DCGK). Der DCGK will nach eigenem Anspruch ein bestimmtes Qualitätslevel bei den Unternehmensleitungen und für deren Überwachung erreichen. Hierzu strebt der Kodex an, „das deutsche Corporate Governance System transparent und nachvollziehbar machen. Er will das Vertrauen der internationalen und nationalen Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Leitung und Überwachung deutscher börsennotierter Aktiengesellschaften fördern.“ (vgl. Nr. 1, Präambel, DCGK). Infolge seiner gesetzlichen Inbezugnahme durch § 161 AktG (siehe dazu unten eingehender) erlangen die Empfehlungen des DCGK, die über den gesamten Kodextext verstreut sind, eine Bedeutung, die sie in eine gewisse Nähe von Rechtsnormen rückt. Dieser Eindruck wird durch den Abdruck des Kodex im amtlichen Teil des elektronischen Bundesanzeigers zusätzlich verstärkt. Die Empfehlungen erhalten dadurch jedenfalls einen „offiziösen Charakter“, wie das in der Literatur bezeichnet wurde. Der DCGK verfolgt nach seinen Grundsätzen u.a. das Ziel, den Standort Deutschland für Investoren anziehender zu machen. Gerade auch ausländische Geldgeber sollen angelockt werden. Es geht um Transparenz und um Vertrauen. Insoweit gilt es, Investoren erst einmal über die einschlägigen rechtlichen Umstände vor Ort zu informieren und diese transparent machen. Das regeln die sog. Muss-Vorschriften des Kodex, mit denen zwingende gesetzliche Regelungen verkürzt und zusammengefasst wiedergegeben werden. DCGK will dadurch verdeutlichen, welche Grundstrukturen deutsche börsennotierte Gesellschaften aufweisen. Vor dem Hintergrund einiger Unterschiede zu anderen Ländern (beispielhafte Stichworte sind: Two-Tier-Modell vs. One-Tier-Modell oder die spezifische deutsche Unternehmensmitbestimmung) ist dies angezeigt, weil ausländische Investoren die deutschen Eigenheiten nicht ohne weiteres kennen. Auch sind einschlägige Vorschriften in Deutschland über mehrere Gesetze verstreut. Der DCGK soll daher auch das Bedürfnis nach möglichst kompakter Information befriedigen. Des Weiteren sollen Investoren dazu gebracht 12 Vgl. dazu LAG Düsseldorf, DB 2006, S. 162.
109
74
2
75
76
2
§2
2
77
werden, Vertrauen in den Wirtschaftsstandort Deutschland zu entwickeln. Dem dienen die sog. optionalen Vorschriften des Kodex, die bezüglich „guter Unternehmensführung“ (bzw. dem, das dafür gehalten wird) Soll-Empfehlungen oder Kann-Anregungen aussprechen. Insgesamt gibt es rund 60 Soll-Empfehlungen und 17 Kann-Anregungen. Wenn sich deutsche Unternehmen möglichst umfänglich an alle diese Dinge halten, dann stärkt dies allgemein das Vertrauen in die deutsche Wirtschaft und ist auch in der Lage, potentielle Investoren zu überzeugen – so die zugrunde liegende Annahme. Das Postulat einer „guten Unternehmensführung“ blickt auf eine Geschichte zurück. Vor dem Hintergrund von Aufsehen erregenden Firmenschieflagen und -pleiten war es schon seit längerem vor allem im anglo-amerikanischen Raum zu Diskussionen gekommen, wie man dem besser entgegen wirken könne. Die Ideen kreisten im Wesentlichen um Verbesserungsvorschläge im Hinblick auf die Unternehmensführung. Speziell die Leitung und Überwachung börsennotierter Gesellschaften stand dabei im Fokus. Auch die Wirkungen der Globalisierung der Kapitalmärkte hatten Einfluss auf diese Diskussionen. U.a. das weltumspannende Agieren einflußreicher Investoren und Analysten und das in den Augen dieser Akteure bestehende Bedürfnis nach der Schaffung effizienter Formen trieb die Entwicklung voran. In etlichen Ländern bildeten sich so entsprechende Regelwerke in Form von Guidelines, Codes, Principles u.a.m. In Deutschland kam man insoweit erst relativ spät in die Gänge. Im Jahr 2000 wurden schließlich auch hier erste Entwürfe (Frankfurter Grundsätze zu Corporate Governance) vorgelegt. Auf deren Basis hat die Kommission am 6.9.2001 ihre Arbeit aufgenommen, die sie dann 2002 unter Vorlage des Kodex abschloss. Die Diskussion wird permanent weiter geführt. Auch die Regelungen des DCGK werden daher kontinuierlich, in der Regel einmal jährlich, überprüft und anhand eventueller nationaler und internationaler Entwicklungen angepasst.
2. 78
79
Rechtsgrundlagen zur Internen Revision
Basistheorien zur Corporate Governance
„Corporate Governance“ bedeutet, wie bereits gesagt, ganz allgemein soviel wie Führungsgrundsätze. In einer mehr juristisch geprägten Lesart umschreibt der Begriff den rechtlichen und faktischen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens. Im Mittelpunkt steht die rechtliche und tatsächliche Verteilung der Aufgaben zwischen den verschiedenen Organen des Unternehmens auch im Verhältnis zu den Eigentümern (Aufsichtsrat, Vorstand und Gesellschafter). Die eher betriebswirtschaftliche Sicht beleuchtet die an dem Unternehmenswert ausgerichtete Führung und Kontrolle, sowie das Verhältnis zwischen dem Unternehmen, den Kapitalgebern und ggf. anderen Interessengruppen. Beide Perspektiven zeigen auf, dass in der Trennung von Eigentum und Unternehmensführung ein Kernproblem für das Gelingen eines „guten Wirtschaftens“ gesehen wird. Dessen Lösung widmen sich verschiedene Organisationstheorien. Diese Ansätze haben allgemein den Zweck und die Aufgabe, Organisationen zu erklären und zu verstehen. Dazu gehören u.a. die sog. Agenturtheorie (weil aus den USA kommend auch Principal-Agent-Theory) und der Property-Rights-Ansatz (verfügungsrechtlicher Ansatz). Bei beiden handelt es sich bei um ökonomisch geprägte Organisationstheorien. Ökonomische Ansätze unterstellen den Individuen als Akteuren der sozialen und wirtschaftlichen Welt das Ziel, weitgehend nur ihren jeweiligen eigenen Nutzen maximieren zu wollen (sog. individuelle Nutzenmaximierung). Dabei werde von den Akteuren die mögliche Schädigung anderer in Kauf genommen. Die Theorien setzen weiter voraus, dass die Akteure nur begrenzt rational handeln. Im Übrigen seien ihr Wissen, ihre Informationsverarbeitungskapazitäten und ihre Moral nur eingeschränkt ausgeprägt. Der verfügungsrecht110
D.
liche Ansatz will das durch diese Grundkonstellation hervorgerufene Problem durch geordnete und wohlüberlegte Zuordnung und Verteilung von Eigentums-, Verfügungs-, Handlungs- und Nutzungsrechten lösen. Dadurch soll das Optimum an „guter Betriebsführung“ erreicht werden. Die Agenturtheorie untersucht den Nutzen der Aufgabendelegation und die mit ihr verbundenen potentiellen Nachteile (Kosten). Als „hidden information“ wird von ihr beim Agenten (z.B. Vorstand, Geschäftsführer) gegenüber dem Prinzipal (z.B. Aktionäre, Gesellschafter) ein Informationsvorsprung unterstellt. Der Agent nutze diesen Vorsprung aus, indem er sich oft nicht wie vom Prinzipal gewünscht einsetze („hidden action“). Die Agenturtheorie will das verhindern und die Abhängigkeit des Prinzipals möglichst minimieren. Das soll bei der sog. einstufigen Agenturtheorie durch eine Interessenpoolung zwischen beiden Lagern herbeigeführt werden. Als solche Maßnahme zur Poolung können z.B. leistungsabhängige Vergütungssysteme (z.B. Zielvereinbarungen) dienen. Sie können begleitet werden durch ausgeklügelte interne Kennzahlensysteme (zu nennen ist z.B. der sog. Fair Value-Ansatz bei der internen Rechnungslegung). Auf die Gestaltung und die Handhabung dieser Instrumente erhält das Management beschränkten Einfluss, wodurch es auf Linie gebracht werden soll. Die zweistufige Agenturtheorie bringt mit dem Supervisor (Aufsichtsrat) zusätzlich eine dritte Funktion in die Betrachtungen ein. Der Eigentümer bedient sich dieser Stelle zur Überwachung des Agenten. Das ist freilich mit einem weiteren Nachteil verbunden. Denn auch der Aufsichtsrat wird als Agent in diesem Sinne angesehen, dem ebenfalls Opportunismus unterstellt wird. Also gilt es für die Aktionäre, auch dessen Eigenbestrebungen in Schach zu halten. Das soll ebenfalls durch Maßnahmen der Corporate Governance erreicht werden (vgl. z.B. im DCGK die Ziff. 5.5 über „Interessenkonflikte“ beim Aufsichtsrat). Diese Gemengelage an Interessenkonflikten zwischen Prinzipal, Agenten und Supervisor und der den beiden letzteren hierbei unterstellte Opportunismus verursacht sog. Residualkosten, die der Unternehmung einen Wohlfahrtsverlust einbringen. Zu ihrer Minimierung muss der Prinzipal mit entsprechendem Kostenaufwand Monitoring (Überwachung und Kontrolle) der Agenten betreiben. Es wird davon ausgegangen, dass der Prinzipal seine Kostenfunktion optimieren kann, wenn es ihm gelingt, die Residualkosten und die Monitoringkosten in ein „gesundes Verhältnis“ zu bringen. Es zeigt sich, dass die skizzierten Ansätze letztlich auch als theoretische Grundlagen für IKS, Prüfungen, Kontrollen etc., wie es als Gedankengut u.a. auch § 91 Abs. 2 AktG zugrunde liegt, dienen. Sie entsprechen so auch dem viel strapazierten Satz „Vertrauen ist gut, Kontrolle ist besser.“ (frei nach einer Lenin’schen Äußerung) und postulieren auch die Anforderungen an den Erfahrungsschatz des gestandenen Revisionsmanns: „Revisionserfahren ist derjenige, der an das Gute im Menschen glaubt, aber sich auf das Schlechte verläßt...“.13 Nicht zuletzt geben sie auch für das Bedürfnis der Schaffung einer Internen Revision einen theoretischen Hintergrund ab.
3.
2
Deutscher Corporate Governance Kodex
2
80
81
Regelungsarten und abstrakte Umschreibung der Inhalte
Es können grob zwei Klassen an Vorschriften, die Muss-Vorschriften und die optionalen Vorschriften, unterschieden werden. Die Muss-Vorschriften spiegeln, was gesetzlich niedergelegt ist und von daher von den Unternehmen im Falle ihrer Einschlägigkeit (ohnehin schon) zu beachten ist. Die optionalen Vorschriften des Kodex in Form der Soll-Empfehlungen und der KannAnregungen (bloße Anregungen werden mitunter auch durch „sollte“ zum Ausdruck gebracht)
13 Sebastian Hakelmacher, Der Revisionsmanager, ZIR 2001, S. 1,3.
111
82
2
§2
83
2
Rechtsgrundlagen zur Internen Revision
enthalten Handreichungen der Kommission, die in dieser Form in gesetzlichen Vorschriften nicht zu finden sind. Sie gehen damit über die Vorgaben des Gesetzes hinaus. Der Kodex besteht aus sieben Abschnitten. Der erste Abschnitt dient als Präambel. In diesem Vorspann wird die allgemeine Zwecksetzung des Kodex und der Geltungsbereich seiner Bestimmungen mit Erläuterung der Differenzierung in Soll-Empfehlungen oder Kann-Anregungen vorgenommen. Auch das nach deutschem Aktienrecht gesetzlich vorgegebene duale Führungssystem (Neudeutsch: Two-Tier-Modell) wird hier zusammengefasst. Der zweite Abschnitt beschreibt anhand der Wiedergabe von Aussagen in gesetzlichen Vorschriften die Rechte der Anteilseigner (Aktionäre), die diese insbesondere über die Hauptversammlung wahrnehmen. Auch Empfehlungen werden hier ausgesprochen. Der dritte Abschnitt befasst sich mit dem Verhältnis von Vorstand und Aufsichtsrat, die – ungeachtet ihrer originären Rollen als Leitungs- bzw. Überwachungsorgan – zum Wohle des Unternehmens möglichst konstruktiv und einvernehmlich zusammenarbeiten sollen. Abschnitt Nr. 4 widmet sich grundlegenden Themen rund um den Vorstand. Z.B. wird in 4.1.4 die von der Kodex-Kommission entwickelte Interpretation zum Grundgedanken von § 91 Abs. 2 AktG wiedergegeben: „Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen.“ Weitere Regelungen betreffen Fragen zur Vorstandszusammensetzung, zu dessen Vergütung und zum Problem der Interessenkonflikte. Zu den hier geregelten monetären Themen gehört z.B. die Offenlegung der Vorstandsgehälter als SollVorschrift (4.2.5). Diese stand wegen der Weigerung einiger Gesellschaften immer mal wieder in der öffentlichen Diskussion. Das Thema war von Kritikern auch als Anzeichen für die generelle Untauglichkeit des DCGK angeführt worden. Schließlich hat sich der Gesetzgeber veranlaßt gesehen, die Sache in die Hand zu nehmen. 14 Der fünfte Abschnitt regelt vergleichbare Themen für den Aufsichtsrat. Die besondere Bedeutung für eine gute Governance, die der Arbeit von dessen Vorsitzenden beigemessen wird, spiegelt sich im Vorhandensein einer besonderen Vorschrift zu dessen Aufgaben und Befugnissen. Weiter verdient bzgl. des Aufsichtsrats die Nr. 5.3.2 besondere Erwähnung. Als Soll-Vorschrift wird hier die Einrichtung eines Prüfungsausschusses (Audit Committee) als einem besonderen Ausschuss des Aufsichtsrats empfohlen. Er soll sich vor allem mit Fragen der Rechnungslegung und des Risikomanagements, der erforderlichen Unabhängigkeit des Abschlussprüfers, der Erteilung des Prüfungsauftrages an den Abschlussprüfer, der Bestimmung von Prüfungsschwerpunkten und der Honorarvereinbarung befassen. Durch Beschluss der Kommission vom 14.6.2007 wurde als zusätzlicher Untersuchungsgegenstand für den Aufsichtsrat bzw. für den Ausschuss das Thema „Compliance“ in Nr. 5.3.2 (und in andere Regelungen) eingefügt. Abschnitt Nr. 6 regelt Fragen zur „Transparenz“, so etwa das Gebot für den Vorstand, Insiderinformationen unverzüglich zu veröffentlichen, sofern er nicht im Einzelfall von der Veröffentlichungspflicht befreit ist (Ziff. 6.1). Der letzte Abschnitt Nr. 7 will grundlegende Fragen zur „Rechnungslegung und Abschlussprüfung“ einer geordneten Handhabung durch die Unternehmen zuführen. Ebenso wie schon der sechste Abschnitt legt er Standards zu einer guten und verantwortungsbewussten Unternehmenskommunikation fest. So existiert z.B. die Empfehlung zur unterjährigen Veröffentlichung von Zwischenberichten (Ziff. 7.1.1 Satz 2).
14 Am 8.11.2005 ist Vorstandsvergütungs-Offenlegungsgesetz – VorstOG – in Kraft getreten. Beginnend für Geschäftsjahre ab dem 1.1.2006 (also seit im Frühjahr 2007 veröffentlichten Abschlüssen) ist die Offenlegung der Bezüge für jedes einzelne Vorstandsmitglied vorgeschrieben. Die Aktionäre können allerdings darauf verzichten, vgl. näher im VorstOG (vom 3.8.2005, BGBl. I v. 10.8.2005, S. 2267).
112
D.
II.
2
Deutscher Corporate Governance Kodex
Kritik am DCGK
Die öffentliche Meinung über die Managermoral ist nicht die Beste. Als unangemessen hoch empfundene Gehälter und Abfindungen (vgl. etwa das Stichwort „Mannesmann“) werden dabei als Grundlage für die Unterstellung herangezogen, bei der Wirtschaft seien Selbstreinigungskräfte nur in höchst unzureichendem Maß vorhanden. In der öffentlichen Diskussion mit diesen Themen zuweilen in Verbindung gebracht wird ein behauptetes Missverhältnis zwischen Einkommen und Leistung („Nieten in Nadelstreifen“, so der Titel einer in Buchform existierenden Phillipika), das die Verkommenheit und die Selbstbedienungsmentalität von Managern unterstreichen soll. Dass ikonische Verdichtungen, die sich Manager zuweilen selbst zulegen oder die ihnen von der sie umgebenden Entourage mit ihrer Billigung zugeschrieben werden, in Wahrheit oft löchrig sein können wie ein Schweizer Käse, wurde bereits eingangs des Buches beschrieben. Vor dem Hintergrund mancher Negativbeispiele darf die gegen Manager im Allgemeinen und auch gegen einzelne Vertreter erhobene Kritik auch nach Meinung der Verfasser nicht vorschnell als unqualifiziertes und von Neid getriebenes „Manager-Bashing“ abgetan werden. Dementsprechend sind auch die Meinungen über den DCGK geteilt. Sein Wert, vor allem aber die Aufrichtigkeit seiner Verfasser, eine gute Corporate Governance auch unter Preisgabe von liebgewonnenen Positionen wirklich herbeiführen zu wollen, ist umstritten. Teilweise finden sich positive Äußerungen, nach deren Tenor dem DCGK eine wichtige Schrittmacherfunktion bei der Hinführung der Unternehmen zu guter Corporate Governance zukomme.15 Hingegen sehen andere Vertreter der Fachöffentlichkeit den DCGK als wenig sachdienlich und weiterführend an. Die Regelungen seien „wachsweich und unverbindlich“.16 In den Augen der Kritiker einen besonderen Akzent von Unglaubwürdigkeit setzte ausgerechnet Gerhard Cromme selbst, in dessen Thyssen-Krupp Konzern Anfang 2007 der Krupp-Stiftung gegenüber den übrigen Aktionären Sonderrechte bei der Besetzung des Aufsichtsrats eingeräumt wurden. Gerhard Cromme sanktioniere hier als Aufsichtsrat, was nicht den Grundsätzen guter Unternehmensführung entspreche und was er als Kommissionschef daher verwerfen müsste, so der Vorwurf (vgl. Handelsblatt v. 19.–21.1.2007, S. 1). In Sachen „Taktik“ werden ihm im Übrigen beste Haltungsnoten attestiert: „Als Chef einer Regierungskommission zwingt Cromme Deutschlands Unternehmen, ihre Führungsprinzipien zu überarbeiten, zugleich aber schirmt der gut verdrahtete Aufseher sie vor weiter reichenden Forderungen aus Politik oder Medien ab. Cromme treibt das Neue voran und ist doch stets dem Alten verhaftet ... Soviel wie nötig, so wenig wie möglich, das könnte Crommes Maxime sein ... Für die deutsche Wirtschaft ist der Taktiker Cromme am Ende somit der ideale Mann auf diesem Posten – für die Sache der Corporate Governance nur bedingt.“17 Dazu ist von Seiten der Verfasser zu bemerken, dass jeder seine Rolle nur so (gut) spielt bzw. spielen kann, wie andere – das ist hier insbesondere die ohnmächtige und offenbar überforderte Politik – das zulassen. Ein weiteres Beispiel zum DCGK rundet dieses fragwürdige Bild ab. Nach wie vor ist z.B. geübte Praxis, dass der Vorstandsvorsitzende direkt nach Ablauf seiner Amtszeit den Aufsichtsratsvorsitz des von ihm zuvor geleiteten Unternehmens übernimmt. Er kann sich dann selbst prüfen. Das ist mit einer „guten“ Corporate Governance schwerlich in Einklang zu bringen. Im DCGK findet sich zu dem Thema „Wechsel vom Vorstand in den Aufsichtsratsvorsitz“ nur die weitge15 Vgl. z.B. Christian Schlitt, Die strafrechtliche Relevanz des Corporate Governance Kodexes, in: DB 2007, S. 326 oder Volker Peemöller/Markus Warncke, Prüfungsausschüsse deutscher Aktiengesellschaften, in: DB 2003, S. 401. 16 Vgl. z.B. den Artikel „Die Macht ist ungezähmt“ von Udo Perina, in: Die Zeit, Nr. 12 vom 15.3.2007 (Geld spezial, S. 33). Hier wird ein Fondsmanager zitiert, der die Regeln des DCGK wie folgt bewertet: „Die sind nicht mehr wert als ein Arschwisch“. 17 Vgl. Arne Storn, Der Taktiker, in: Die Zeit vom 3.5.2007, Wirtschaft S. 28, zum Fall Siemens.
113
84
85
86
2
2
§2
2
87
88
Rechtsgrundlagen zur Internen Revision
hend untaugliche Empfehlung, dass ein solcher Wechsel „nicht die Regel sein“ soll (Ziff. 5.4.4 Satz 1 DCGK). Natürlich wird nicht verkannt, dass in einem solchen Regelwerk grundsätzlich ein gewisses Bedürfnis für die Verwendung unbestimmter Begriffe besteht, so der Hinweis des Roundtable des Berlin Center of Corporate Governance (BCGK).18 Speziell mit Bezug auf den hier erörterten Fall könnte aber der Hinweis, sollte er darauf bezogen sein, allenfalls als untauglicher Versuch einer unternehmerpolitisch motivierten Verschleierung gesehen werden. Verstärkt wird dieser Eindruck durch verschiedene Thesen des BCGK. Diese beschreiben mit zum Teil bedeutungsschwangeren Worten (Kostprobe: „Interessenabhängigkeiten aufgrund kasuistischer Integritätsprobleme...“, These 3.11) die möglichen Probleme, denen Aufsichtsratsmitglieder ausgesetzt sein können.19 Auch These 3.8 („Vorstandsabhängigkeiten sollten vermieden werden.“) mahnt dringlich davor, weil sie in „hohem Maße problematisch“ seien, „da für Dritte letztlich kaum ersichtlich ist, von welchen (sachdienlichen oder sachfremden) Überlegungen sich das Aufsichtsratsmitglied im jeweiligen Einzelfall leiten läßt.“ Zu allem Überfluss verweist These 3.8 zu ihrer argumentativen Untermauerung auch noch auf Ziff. 5.4.4 DCGK, „der in die richtige Richtung weise“.20 Wirklich ein sehr schwieriges Terrain, auf dem sich der Aufsichtsrat da bewegt! Immerhin – und hier sei den Verfassern eine Spitze gestattet – wird es für Dritte offen ersichtlich sein, von welchen Überlegungen sich das Aufsichtsratsmitglied wird leiten lassen, wenn es seine eigene Vorstandsarbeit überprüft. Mitunter gibt es dann auch noch ausgerechnet in solchen Fällen des unmittelbaren Wechsels vom Vorstand in den Aufsichtsratsvorsitz Aufsehen erregende Skandale. So etwa beim SiemensKorruptionsfall, der 2006 und 2007 negative Schlagzeilen machte und der im April 2007 zum Rücktritt Heinrich von Pierers vom Aufsichtsratsvorsitz bei Siemens führte. Auch der Vorstandsvorsitzende Kleinfeld musste das Feld räumen. Bis zum Redaktionsschluss dieses Buches war ungeklärt, ob die Herren von den illegalen Praktiken in ihrem Konzern gewusst haben oder sogar in sie verstrickt waren. Der Fall Siemens veranlaßte die Große Koalition, dann doch mal über die Einführung einer gesetzlichen Regelung nachzudenken, wonach der Vorstandsvorsitzende nicht sofort in das Amt des Aufsichtsratsvorsitzenden wechseln darf. Das wurde von der Wirtschaft abgelehnt (vgl. Bericht Handelsblatt vom 21.12.2006, S. 3). Hierzu wird die weitere Entwicklung ebenfalls zu beobachten sein. Mit einiger Wahrscheinlichkeit ergibt sich aus solchen Themen auch ein Grund, dass manche Unternehmensumfragen dem DCGK und seiner Befolgung eine nur eingeschränkte Bedeutung für das Verhalten des Marktes attestieren. Damit wird zugleich die Geschäftsgrundlage für den DCGK generell in Frage gestellt: „Die Antwort auf die in der Überschrift gestellte Frage (scil.: Wer den Kodex nicht einhält, den bestraft der Kapitalmarkt?) lautet daher: „Wer den Kodex überdurchschnittlich gut befolgt, wird dafür vom Kapitalmarkt nicht belohnt, ebenso wie derjenige keine Bestrafung erfährt, der den Kodex nur unterdurchschnittlich befolgt!“ Ergo ist die Befolgung der Kodex-Empfehlungen für den Börsenkurs irrelevant. Auch eine Ad-hoc-Pflicht der Entsprechenserklärung ist damit zu verneinen.“21 Mögliche Schlüsse daraus: Die Wirtschaft selbst hält nicht viel von ihren eigenen Maßnahmen. Oder – gravierender – sie geht davon aus, dass es 18 Vgl. Axel v. Werder/Bernd J. Wieczorek, Anforderungen an Aufsichtsratsmitglieder und ihre Nominierung, in: DB 2007, S. 297 (Hinweis: beide Verfasser des Aufsatzes sind Roundtablemitglieder). 19 v. Werder/Wieczorek, ebd., S. 301. 20 v. Werder/Wieczorek, ebd., S. 301. 21 Vgl. Nowak/Rott/Mahr, ZGR 2005, 252, 279, die 317 deutsche Unternehmen befragt haben. Vgl. dazu auch Hefendehl, JZ 2006, 119, 123 f. mit Hinweisen auf eine weitere Studie, die ebenfalls eine nur schwache empirische Evidenz für den unterstellten Zusammenhang zwischen den Erfüllungsgraden des DCGK und dem Unternehmenserfolg ermittelt hat. Hefendehl (a.a.O., S. 123) weist allerdings auch auf eine andere deutsche Erhebung aus dem Jahr 2004 hin, aus der hervorging, dass Unternehmen mit guter Corporate Governance eine um 10 % höhere Aktienrendite erzielten.
114
D.
2
Deutscher Corporate Governance Kodex
sich beim DCGK nur um ein Placebo handelt – und auch nur handeln soll. In diesem Sinne auch Schünemann22: „Mittlerweile hat eine sehr starke Ernüchterung über die Wirksamkeit von Compliance-Programmen stattgefunden, weil man festgestellt hat, dass sie in vielen Fällen nur zur äußerlichen Verbrämung dienen, aber zu keiner wirklichen Änderung der Unternehmenskultur führen, die nach wie vor auf Profitmaximierung angelegt ist – weshalb dann häufig genug äußerlich eindrucksvolle Compliance-Programme durch das Augenzwinkern (blinking) der Führungsorgane praktisch wirkungslos gemacht wurden.“ Darauf, dass dies zutreffen könnte und noch mehr Beobachtern aufgefallen ist, könnten auch die 2007 vorgestellten Ergebnisse aus einer empirischen Untersuchung zur Frage: „Wie verhält sich die Entsprechenserklärung zur Erklärungsentsprechung?“ hindeuten. Sie fand auch keine zufrieden stellenden Antworten, sondern präsentiert als Ergebnis eine rhetorische Frage: „ ...Soll der so Angesprochene aber nur glauben, was erklärt wird und nichts überprüfen können, und wie verhält sich insgesamt die Entsprechenserklärung zum Erklärungsversprechen? Aus Sicht der Forscher ein paradoxes Ergebnis: Dieser Praxistest wirft mehr Forschungsfragen auf, als er eigentlich beantworten sollte. Fazit: Eine erklärte bessere Corporate Governance muss noch keine gute sein.“23
III.
2
DCGK und § 161 AktG – Rechtliche Folgerungen
Trotz dieser Probleme rund um den DCGK entfaltet dieser gewisse rechtliche Implikationen. Rechtlich eine besondere Bedeutung erlangen die Soll-Empfehlungen des Kodex, weil aufgrund des TransPuG mit § 161 AktG eine gesetzliche Vorschrift bereitsteht, die ihnen einen gewissen Nachdruck verleiht. Die Vorschrift lautet: „Vorstand und Aufsichtsrat der börsennotierten Gesellschaft erklären jährlich, dass den vom Bundesministerium der Justiz im amtlichen Teil des elektronischen Bundesanzeigers bekannt gemachten Empfehlungen der „Regierungskommission Deutscher Corporate Governance Kodex“ entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden oder werden. Die Erklärung ist den Aktionären dauerhaft zugänglich zu machen.“ Gegen die Empfehlungen werden verfassungsrechtliche Bedenken erhoben. Des Weiteren werden auf der Ebene des einfachen Rechts Fragen der Nicht- oder Schlechtbefolgung der Pflichten aus § 161 AktG und daraus resultierende Haftungsfolgen zum Teil kontrovers diskutiert. Zu strittigen Einzelfragen hat sich – soweit ersichtlich – in der Juristerei noch keine herrschende Meinung herausgebildet. Die Einzelprobleme können aus Platzgründen hier nicht alle ausgebreitet werden. Insoweit wird auf die einschlägige Kommentarliteratur verwiesen. Es ergeben sich aus der Norm und den Empfehlungen nach hier vertretener Auffassung nachfolgend skizzierte Rechtswirkungen: Während die Kann-Anregungen und die Muss-Vorschriften nicht erfasst werden, verpflichtet § 161 Satz 1 AktG Vorstände und Aufsichtsräte von börsennotierten Gesellschaften zur Abgabe von jährlichen Erklärungen, ob und inwieweit den Soll-Empfehlungen des Kodex entsprochen wurde oder nicht. Auch darüber, wie man dies zukünftig im einzelnen zu halten gedenkt, ist zu erklären (Entsprechenserklärungen). Es besteht bei (beabsichtigten) Abweichungen aber keine Rechtfertigungs- bzw. Erläuterungspflicht in der Sache, wenngleich es aus kaufmännischen 22 Bernd Schünemann, Brennpunkte des Strafrechts in der entwickelten Industriegesellschaft, in: Roland Hefendehl (Hrsg.), Kriminologische und dogmatische Fundamente, kriminalpolitischer Impetus, 2005, S. 349, 361 f. 23 Manuel Réné Theisen/Mario Raßhofer, Wie gut ist „Gute Corporate Governance“? – Ein aktueller Praxistest, in: DB 2007, S. 1317, 1321.
115
89
90
91
92 93
2
2
§2
94
95
96
97
Rechtsgrundlagen zur Internen Revision
Erwägungen sinnvoll sein kann, dem Kapitalmarkt die Gründe hierfür anzugeben.24 Das gilt trotz u.U. nur relativ marginal vorhandenen Markteinflüssen des DCGK (vgl. dazu die Ausführungen soeben). Die Verlautbarungen sind gegenüber den Aktionären zu kommunizieren. Das kann auf der WebSite der Gesellschaft oder in ihren Gesellschaftsblättern (Wirtschaftszeitungen etc.) geschehen. Vorstand und Aufsichtsrat werden von § 161 AktG getrennt angesprochen. Als Kollegialorgane artikulieren sie ihre Willensbildung jeweils über Beschlussfassung. Jedes Organ trifft im Zweifel die Entscheidung über die Abgabe, Nichtabgabe oder die nur eingeschränkte Abgabe der Erklärung für seinen Zuständigkeitsbereich alleine. In der Praxis wird es sich jedoch oft um gemeinsame oder jedenfalls auf einander abgestimmte Erklärungen der beiden Organe handeln. „Jährlich“ ist bezogen auf das Geschäftsjahr. Unterjährige Änderungen des DCGK selbst lösen keine erneute Erklärungspflicht aus. Bei den Entsprechenserklärungen handelt sich nach ihrem abstrakten Erklärungsinhalt um vergangenheitsbezogene Wissenserklärungen und um in die Zukunft gerichtete Absichtserklärungen. Bei der Wissenserklärung erklären sich die Organe über ihr jeweils eigenes Wissen, wie es in der Vergangenheit gelaufen ist. Die Grundlagen hierfür müssen sie sich ggf. durch Ermittlung im Unternehmen beschaffen. Wegen möglicher Haftungsfolgen (vgl. dazu etwas weiter unten) ist eine besondere Sorgfalt angeraten. In rechtlicher Hinsicht weniger gravierend erscheinen auf den ersten Blick die Absichtserklärungen. Eine hierdurch herbeigeführte Bindungswirkung ist rechtlich grundsätzlich nicht ersichtlich. Jedes Organ kann daher im Prinzip von seinen erklärten Absichten später wieder abrücken, und zwar ebenfalls ohne besondere Rechtfertigung. Ungeachtet dessen können sich in Ausnahmefällen auch hier Haftungsfragen ergeben. Jedenfalls muss ein solcher Meinungswechsel, sofern er unterjährig und unter Abweichung von einer vorher abgegebenen Erklärung erfolgt, nach § 161 Satz 2 AktG gegenüber den Aktionären bekannt gemacht werden. Ein solcher Meinungswechsel kann in der Praxis vor allem nach Neubesetzungen der Gremien in Betracht kommen. Teilweise wird in der Literatur mit Hinweis auf den Wortlaut der Vorschrift vertreten, § 161 Satz 1 AktG gebiete zumindest doch mittelbar, dass den Empfehlungen entsprochen werden soll. Sie seien im Ergebnis als „Verhaltensregeln gesetzesgleichen Inhalts“ oder als jedenfalls als „mittelbare Rechtsquellen“ anzusehen. Es lägen daher verfassungsrechtliche Bedenken wegen eines möglichen Verstoßes gegen den Gesetzesvorbehalt (Herleitung aus Art. 20 Abs. 3 GG) und auch gegen das Demokratiegebot (Art. 20 Abs. 2 Satz 2 GG) auf der Hand. Konkret bezogen wird sich dabei auf die sog. Wesentlichkeitstheorie des Bundesverfassungsgerichts als Konkretisierung der genannten verfassungsrechtlichen Postulate. Danach sei es geboten, dass es in grundlegenden Bereichen keine Normen geben darf, die nicht vom Gesetzgeber selbst getroffen wurden. Enthalte sich dieser und überlässt sie statt dessen untergesetzlichen oder nichtstaatlichen Instanzen, werde dies als verfassungswidrig erachtet.25 Nach hier vertretener Auffassung bestehen keine durchgreifenden verfassungsrechtlichen Bedenken gegen die Empfehlungen (in Verbindung mit den Rechtswirkungen des § 161 Satz 1 AktG). Insbesondere sind die zur Wesentlichkeitstheorie entwickelten Postulate nicht verletzt. Dieses 24 Die am 5.9.2006 in Kraft getretene EU-RL 2006/46/EG (Abl. L 224 vom 16.8.2006, S. 1–17) zur Abänderung der 4. und 7. EU-RL, sog. Abänderungs-RL, sieht für kapitalmarktorientierte Unternehmen ein sog. Corporate Governance Statement (CGS) vor. Dieses Statement geht inhaltlich weit über die Entsprechungserklärung des § 161 AktG hinaus. Vgl. dazu näher Lentfer/Weber, Das Corporate Governance Statement als neues Publizitätsinstrument, DB 2006, S. 2357. Die Abänderungs-RL ist bis zum 5.9.2008 in nationales Recht umzusetzen. 25 Vgl. z.B. Hüffer, AktG-Komm., § 161 Rn. 3 f.
116
D.
2
Deutscher Corporate Governance Kodex
Ergebnis ergibt sich aus einer Analyse der rechtlichen Qualität der Empfehlungen und aus der Auslegung des § 161 AktG nach dessen Sinn und Zweck. Die vom BVerfG entwickelte Wesentlichkeitstheorie greift bei wirklich weitreichenden Auswirkungen auf die Bürger und auf deren allgemeine Lebensverhältnisse. Der Gesetzgeber ist – losgelöst vom Merkmal eines „Eingriffs“ – in grundlegenden normativen Bereichen aufgefordert, alle wesentlichen Entscheidungen selbst zu treffen. Das gilt vor allem im Bereich der Grundrechtsausübung. Das BVerfG hat weiter festgestellt, dass sich nur einzelfallabhängig und mit Blick auf den jeweiligen Sachbereich und die Intensität der geplanten oder getroffenen Regelung ermitteln lässt, in welchen Bereichen der Gesetzgeber selbst über die Schaffung eines förmlichen Gesetzes handeln muss. So wurde das z.B. zur Frage der Regelung der rechtlichen Zulässigkeit von friedlicher Nutzung der Kernenergie in Deutschland bejaht (BVerfGE 49, 89, 126 f. – Kalkar). Zunächst ist festzustellen, dass es sich nur um Empfehlungen handelt, was durch das Hilfsverb „soll“ kenntlich gemacht wird. Obwohl die Unternehmen deren Befolgung erklärter maßen beachten sollen, kann das „soll“ nicht als „muss“, ähnlich wie das zuweilen etwa in verwaltungsrechtlichen Vorschriften zu Lasten von Behörden anzuwenden ist, gesehen werden. Unternehmen sind keine Behörden. Die Möglichkeit der Nichtbeachtung der Empfehlungen wird zudem im Kodex ausdrücklich angesprochen. Die Kommission selbst ist nicht als öffentliche Stelle anzusehen, die ein solches „Muss“ mit hoheitlicher Autorität anordnen könnte. Ihre Beauftragung durch die Bundesregierung und der Umstand, dass diese die Empfehlungen mit trägt, kann einen solchen Effekt ebenfalls nicht erzeugen. Mangels eines insoweit notwendigen Gesetzes erledigt sich der Gedanke, den Empfehlungen den Charakter einer Rechtsverordnung (Art. 80 Abs. 1 GG) beimessen zu können. Der Kommission fehlt die Kompetenz als staatlicher Gesetzgeber. Trotz ihrer Aufmachung und trotz Vorhandenseins von in die Gegenrichtung deutenden Umständen (Bundesanzeiger, Involvierung der Bundesregierung, gesetzliche Inbezugnahme durch § 161 AktG) stellen die Empfehlungen kein staatliches gesetztes Recht dar. Sie können Rechtswirkungen, vergleichbar mit denen von staatlich gesetztem Recht, nicht herbeiführen. Daneben wird man ihren Inhalten eine Wesentlichkeit im geforderten Sinne absprechen müssen. Die von der Wesentlichkeitstheorie geforderte entsprechend hervorragende Qualität weisen die Themenkomplexe des Kodex nicht auf. Das gilt auch unter Berücksichtigung der Wertung des Eigentumsgrundrechts (Art. 14 GG), dessen Schutz Unternehmen beanspruchen können. Wiewohl manches Thema durchaus von einer gewissen unternehmenspolitischen Brisanz ist, geht es bei den Empfehlungen insgesamt mehr um profane Fragen der Gestaltung des unternehmerischen Alltags.26 Man kann aber vor allem wegen der spezifischen Inbezugnahme der Empfehlungen durch § 161 AktG keinen Rechtsverstoß annehmen. Vorweg schickend ist zu bemerken, dass die Empfehlungen alleine, ohne Existenz des § 161 AktG, nach dem schon eben Gesagten rechtlich letztlich bedeutungslos wären, gewissermaßen ein (verfassungs-) rechtliches Nullum. Ein solches Nullum kann im Kontext der Wesentlichkeitstheorie bei einem Fehlen jeglichen Bezugs zum Gesetzgeber kein tauglicher Gegenstand einer verfassungsrechtlichen Überprüfung sein. Es fehlt ihm die Qualität dazu. Nur im Verband mit einer Rechtsvorschrift als einer die Empfehlungen billigenden Verlautbarung, die dem Gesetzgeber zuzurechnen ist, können diese rechtlich entsprechend aufgewertet werden und erhalten so die erforderliche rechtliche Dignität. Im Falle einer Rechtswidrigkeit
26 Das kann man mit Bezug auf die individualisierte Offenlegung von Vorstandsgehältern u.U. anders sehen. Das Problem hat sich jedoch durch die Tätigkeit des Gesetzgebers durch Schaffung des VorstOG erledigt.
117
98
2
99
100
101
2
§2
102
2
103
Rechtsgrundlagen zur Internen Revision
von § 161 AktG wären beide Normen bzw. Normkomplexe, § 161 AktG und die Empfehlungen des Kodex, als Einheit verfassungswidrig.27 Eine rechtlich durchgreifend wirkende „Verklammerung“ oder auch nur der rechtlich zu beanstandende Anschein einer solchen kann aber nicht bejaht werden. Das gilt trotz des Wortlauts „... dass... entsprochen wurde...“ in § 161 Satz 1 AktG. Die Gesetzesauslegung hat unter Berücksichtigung von allgemeinen Zweckmäßigkeits- und Gerechtigkeitserwägungen, gerade auch von solchen mit verfassungsrechtlichem Hintergrund, zu erfolgen. Zwar ist einzuräumen, dass durch die Art der Befassung des Gesetzgebers mit der Materie ein besonderer Erwartungsdruck der Kapitalmärkte auf Einhaltung der Empfehlungen erzeugt wird. Auch wollte der Gesetzgeber ihnen durchaus zu einer grundsätzlichen Beachtung verhelfen (vgl. Regierungsbegr. zu § 161 AktG, BTDrs. 14/8769, S. 21). Zudem besteht vor Abdruck eine Rechtskontrolle der Bundesjustizministers über die Empfehlungen, wonach verfassungs- oder rechtswidrigen Inhalten die Bekanntmachung verwehrt werden soll (vgl. Ausschussbericht zu § 161 AktG, BT-Drs. 14/9079, S. 18). Im Ergebnis ist das alles jedoch unerheblich. Es geht bei § 161 AktG hauptsächlich um die Herstellung von Publizität. Angaben über die Befolgung oder Nichtbefolgung der Empfehlungen soll den Kapitalmarktteilnehmern über die Einführung einer Erklärungsverpflichtung zugänglich gemacht werden (vgl. BT-Drs. 14/8769, S. 21 f.). Die durch die Regierung ausgeübte Sicherungsfunktion ist nur mehr als eine Vorsichtsmaßnahme zugunsten des Marktes anzusehen, gewissermaßen eine Serviceleistung der Verwaltung. Es kann und darf daher den Äußerungen aus den Materialien und der Vorschrift selbst nicht entnommen werden, dass sich der Gesetzgeber die einzelnen Empfehlungen auch im „gesetzestechnischen Sinn“ zu eigen machen wollte. Das wäre dann in der Tat verfassungsrechtlich sehr bedenklich, weil § 161 AktG dann wahrscheinlich gegen Grundprinzipien der Gesetzesklarheit (Bestimmtheitsgebot als Ausfluss des Rechtsstaatsgebots, Art. 20 Abs. 2 Satz 2, 28 Abs. 1 Satz 1 GG) verstoßen würde. § 161 Satz 1 AktG und seine ihm zugrunde liegenden Äußerungen, die während des Gesetzgebungsverfahrens gemacht wurden, dürfen nicht so ausgelegt werden, dass der Vorschrift eine Pflicht zur sachlichen Befolgung der Empfehlungen entnommen werden kann (Anwendung einer sog. verfassungskonformen Auslegung). In § 161 AktG kann es daher nur um die Erklärungspflicht zu den Empfehlungen gehen. Das hier vertretene Ergebnis muss um so mehr gelten, weil die Empfehlungen ihre Nichtanwendungsmöglichkeit selbst eröffnen und der Wortlaut des § 161 Satz 1 AktG dies selbst ebenfalls ausdrückt. Gegenteiligen Rechtsmeinungen in der Literatur, die teilweise sogar eine strafrechtliche Relevanz aus der Nichtbefolgung der Empfehlungen des DCGK konstruieren wollen, sind daher abzulehnen. Danach sollen sich aus der Nichtbefolgung der im Kodex beinhalteten Empfehlungen „strafrechtliche Risiken“ ergeben, weil dieser Sachverhalt zur Ausfüllung von Rechtsbegriffen, etwa für den Treubruchtatbestand des § 266 StGB (Untreue), herangezogen werden könnte. Der Kodex konkretisiere nämlich die Anforderungen an die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ i.S. §§ 93 Abs. 1, 116 Abs. 1 AktG ebenso, wie sich aus ihm Anknüpfungspunkte für die Bestimmung der Pflichtwidrigkeit bei dem Untreuetatbestand des § 266 StGB herleiten
27 Dies wird in der Literatur z.T. übersehen, wo nur auf die Verfassungswidrigkeit der Empfehlungen abgestellt wird, vgl. z.B. Hüffer, AktG-Komm., § 161 Rn. 3 f. Infolge der Bejahung der Möglichkeit einer Verletzung der Erklärungspflicht des § 161 AktG werden die hieraus resultierenden Haftungsfolgen in Beziehung gesetzt zum angenommenen Verfassungsverstoß der Empfehlungen. Die Annahme, der Verstoß durch die Empfehlungen wäre zu verneinen, wenn (nur) eine Verletzung der Erklärungspflicht folgenlos bliebe, zeigt den Charakter eines Zirkelschlusses. Zudem ist festzustellen, dass ein Verstoß gegen eine nichtige Vorschrift grundsätzlich keine Haftungsfolgen auslösen kann.
118
D.
2
Deutscher Corporate Governance Kodex
lassen.28 Eine solche Ansicht setzt sich massiven verfassungsrechtlichen Bedenken aus, weil der sehr weit gefasste Treubruchtatbestand wegen „verdächtiger Nähe“ zu Art. 103 Abs. 2 GG („Eine Tat kann nur bestraft werden, wenn die Strafbarkeit bestimmt war, bevor die Tat begangen wurde.“) verfassungsrechtlich ohnehin nicht unproblematisch ist. Diese Strafvorschrift dann auch noch rechtlich „aufpäppeln“ zu wollen durch Empfehlungen einer privaten Kommission, die zudem selbst die Möglichkeit der Abweichung davon eröffnet (!), und dann auf dieser Basis zu bestrafen, ist nicht vertretbar. Wenn man sich zu der Annahme der Möglichkeit entschließt, den Empfehlungen überhaupt eine das Gesetz ausfüllende Wirkung zuschreiben zu können, muss man richtiger Weise wegen des bloßen Soll-Charakters der Empfehlungen zum gegenteiligen Ergebnis kommen. Es ist dann der Tatbestand von § 266 StGB mangels Pflichtwidrigkeit auszuschließen. Denn eine Pflicht besteht ja gerade nicht, wie die Kodex-Kommission selbst erklärt. Aus diesen grundsätzlichen Erwägungen heraus bestehen auch große Vorbehalte, Regelungen des DCGK als „Lückenfüller“ im privatrechtlichen Bereich anzuwenden. Das gilt insbesondere bei Regelungen mit Haftungsfragen und -folgen, deren Tragweite durchaus mit der von Strafvorschriften vergleichbar sind.29 ! Praxishinweis: Bei Haftungsfragen ist im Übrigen zu differenzieren zwischen der Innen- und der Außenhaftung.
2
104
■ Innenhaftung Bei ihr geht es darum, ob Mitglieder des Vorstands und/oder des Aufsichtsrats (gem. § 93 Abs. 2 bzw. § 116 AktG) gegenüber der Gesellschaft haften. Als mögliche Auslöser einer solchen Haftung können die formwidrige, eine gänzlich unterlassene oder die nicht dauerhaft zugänglich gemachte Entsprechenserklärung in Betracht kommen. Auch die unrichtige vergangenheitsbezogene Wissenserklärung kann dazugehören, etwa bei wahrheitswidriger Angabe, bestimmte Empfehlungen seien eingehalten worden. In allen Fällen können von den Organen zu vertretende Pflichtverletzungen gesehen werden. Um eine Haftung zu bejahen, müssen hierdurch Schäden der Gesellschaft verursacht worden sein. Diese können z.B. in einer unterlassenen oder revidierten Investitionsentscheidung bestehen, wenn sich ein Geldgeber von solchen Unregelmäßigkeiten bei der Entsprechenserklärung nachweisbar (daran wird der Anspruch in der Praxis oft scheitern) von einem Engagement bei der Gesellschaft abhalten ließ bzw. dieses wieder rückgängig gemacht hat. Die Lösung von Innenhaftungsproblemen, wie sie mit Bezug auf die sachliche Nichtbeachtung der Soll-Empfehlungen auftreten können, werden in einer zweiten Fallgruppe diskutiert. Wegen der Verquickung der hier auftretenden Themen mit der Erklärungspflicht ist hier Manches umstritten. Zwei Erscheinungsformen sind zu unterscheiden. Die erste Variante betrifft die offen zu Tage tretende Erklärung der Organe, dass diese sich (ganz oder teilweise) nicht an die SollEmpfehlungen des Kodex halten wollen. Die zweite Variante betrifft Sachverhalte, dass von den Organen Entsprechenserklärungen zwar abgegeben werden, jedoch diese sich gleichwohl daran nicht halten. Bei der ersten Variante kann sich zu Lasten der Organe keine Schadensersatzpflicht ergeben. Sofern sich nicht ausnahmsweise aus anderen Normen vergleichbare Tatbestände wie in der betroffenen Soll-Empfehlung ergeben (neben der Satzung und Geschäftsordnungen können insoweit auch 28 So Christian Schlitt, Die strafrechtliche Relevanz des Corporate Governance Kodexes, in: DB 2007, S. 326, 327. Im Übrigen, so Schlitt, begründeten die Kodex-Empehlungen die Vermutung, Bestandteil einer ordnungsgemäßen Geschäftsführung zu sein, ihre Nichtbefolgung lasse sich daher als Indiz für eine nicht ordnungsgemäße Geschäftsführung werten. 29 Vgl. dazu ebenfalls Schlitt, ebd.
119
105
106
107
2
§2
2
108
Rechtsgrundlagen zur Internen Revision
Anstellungsverträge in Betracht kommen), fehlt es an einer pflichtwidrigen Sorgfaltspflichtverletzung. Es ist noch einmal zu betonen, dass kein rechtlicher Zwang besteht, den Empfehlungen auch in der Sache zu folgen. Vorstand und Aufsichtsrat müssen nur Willensbildungen herbeiführen, ob den Empfehlungen ganz oder teilweise gefolgt werden soll. Insoweit besteht Ermessen sowohl zur Frage der Anwendung einzelner Empfehlungen als auch zur Anwendung bzw. Verwerfung des Kodex in seiner Gesamtheit. Es geht bei § 161 AktG lediglich um die Verpflichtung zur Erklärung, wie man sich zu den Empfehlungen im einzelnen verhält. Folglich ist § 161 AktG insoweit auch nicht in der Lage, die notwendigen Konkretisierungen für die Haftungstatbestände der noch die §§ 93 Abs. 2, 116 AktG zu liefern. Anders kann es bei der zweiten Sachverhaltsvariante liegen. Soweit es sich dabei um eine vergangenheitsbezogene Wissenserklärung handelt, wurde dieser Fall bereits oben angesprochen. Hier kann eine Haftung in Betracht kommen, denn es widerspricht offenbar den Sorgfaltspflichten eines ordentlichen und gewissenhaften Geschäftsleiters. Dies wird man auch im Hinblick auf abgegebene zukunftsgewandte Absichtserklärungen annehmen können, wenn diese von vornherein mit der Absicht abgegeben werden, sie nicht einzuhalten. Dann liegt nicht mehr nur ein Fall der Ausübung von Ermessens der Organe vor. Vielmehr handelt es sich um eine absichtliche Täuschungshandlung, die eine Anwendung der Haftungstatbestände nach sich ziehen muss. Freilich wird sich hier das Problem der Nachweisbarkeit regelmäßig stellen. ■
Außenhaftung Sie betrifft die Frage, ob Außenstehende die Aktiengesellschaft und/oder Organmitglieder im Zusammenhang mit Themen des § 161 AktG in Anspruch nehmen können. Als mögliche Gläubiger kommen bei beiden Varianten vor allem enttäuschte Aktionäre der Gesellschaft in Betracht, sofern bei ihnen durch eine Verletzung der Erklärungspflicht adäquat kausal Vermögensschäden verursacht wurden. Diese können in Kursverlusten oder in entgangenen Kursgewinnen bestehen. Weil sich spezielle aktienrechtliche Ansprüche tatbestandlich nicht ergeben – dies gilt insbesondere für §§ 93 Abs. 2, 116 AktG, die nur das Innenverhältnis betreffen – kommen als Anspruchsgrundlagen im Verhältnis zur Aktiengesellschaft mit den §§ 823 Abs. 1, 826 BGB nur sog. deliktische Ansprüche in Betracht. § 823 Abs. 1 BGB (Unerlaubte Handlung) wird aber im Ergebnis regelmäßig ausscheiden. Grund: Die Nichtbefolgung einzelner DCGK-Empfehlungen und eine damit zusammenhängende Unrichtigkeit der Entsprechenserklärung kann keinen haftungsbegründenden Eingriff in das Mitgliedschaftsrecht des einzelnen Aktionärs (als sog. sonstiges Recht im Sinne der Vorschrift) auslösen, weil das Fehlverhalten nicht individuell darauf bezogen werden kann. Die Einschlägigkeit von § 826 BGB (sittenwidrige vorsätzliche Schädigung) ist grundsätzlich denkbar. Jedoch wird sich in der Praxis auch hier das Nachweisproblem ergeben, ob zwischen der nicht eingehaltenen Empfehlung und dem Schaden ein kausaler Zusammenhang besteht. Weiter wird das zur Bejahung des Anspruchs notwendige Erfordernis einer vorsätzlichen Schädigung schwer herzuleiten sein. Da § 161 AktG zudem speziell die beiden Organe als Verpflichtete der Vorschrift angibt (und nicht die Gesellschaft), ist schließlich problematisch, ob im Falle ihres Fehlverhaltens dies der Gesellschaft angelastet werden kann. § 31 BGB (Haftung des Vereins für Organe) als allgemeine Zurechnungsnorm will dann nämlich unter Umständen nicht so recht passen.30 Vorstandsmitglieder und Aufsichtsratsmitglieder haften ggf. persönlich gegenüber außen stehenden Gläubigern, wenn eine Deliktshaftung nach § 826 BGB oder eine sog. Vertrauenshaftung aus sog. rechtsgeschäftsähnlichem Schuldverhältnis (§§ 280 Abs. 1, 311 Abs. 3 BGB) bejaht werden 30 In diesem Sinne Hüffer, AktG-Komm., 7. Aufl., München 2006, § 161 Rn. 29.
120
E.
2
Internationale Rechtsregelungen
kann. Bei der Haftung nach § 826 BGB bestehen aber die gleichen Unwägbarkeiten und Probleme wie eben dargestellt (Kausalität und Nachweis des spezifischen Vorsatzes). Nach § 311 Abs. 3 BGB kann ein Schuldverhältnis mit den Pflichten des § 241 Abs. 2 BGB (sonstige Rücksichtnahmepflicht mit Bezug auf Rechte und Rechtsgüter des anderen Vertragsteils) auch zu Personen entstehen, die nicht selbst Vertragspartei werden sollen. Dies kann der Fall sein, wenn diese Personen (Vorstände und Aufsichtsräte) besonderes Vertrauen in Anspruch nehmen und dadurch das Verhalten des Partners (Aktionär) wesentlich beeinflusst wird. Das könnte auf Organmitglieder grundsätzlich zutreffen. Der letztendlichen Durchsetzung eines Vertrauenshaftungsanspruchs gegen diese kann aber entgegen stehen, dass zum Fall des § 161 AktG eine spezifische Schutzpflicht der Organmitglieder gegenüber den Aktionären bzw. Anlegern nur schwerlich konstruiert werden kann. Dafür gibt § 161 AktG nämlich keinen Halt. Unter dem Strich bleiben Pflichtverletzungen nach § 161 AktG insoweit rechtlich weitgehend folgenlos. Dem enttäuschten Aktionär bleibt letzten Endes nur die Möglichkeit zu versuchen, über die Ausübung seines Mitgliedschaftsrechts Konsequenzen herbeizuführen. Die Erreichung der Ablösung von Organmitgliedern wird dem Einzelnen aber ebenfalls nicht leicht fallen.
E.
Internationale Rechtsregelungen
I.
SOX
1.
Allgemeines
SOX wird als die bekannteste, internationale Konkretisierung der Corporate Governance bezeichnet.31 Das Gesetz wurde am 25.7.2002 vom amerikanischen Kongress verabschiedet und am 30.7.2002 vom US-Präsidenten George W. Bush unterzeichnet und in Kraft gesetzt. Es gilt als eines der weitreichendsten US-Kapitalmarktgesetze seit dem Securities Act und dem Securities Exchange Act (aus den Jahren 1933 und 1934).32 Benannt wurde es nach seinen beiden Verfassern, dem Abgeordneten Michael Oxley (Republikaner) und dem Senator Paul S. Sarbanes (Demokrat). Das Gesetz stellte eine Reaktion auf die Unternehmensskandale um Enron, Worldcom etc. dar, in die auch Wirtschaftsprüfer involviert waren. Sein Anlass bestand demnach hauptsächlich in Form von zwei durch diese Skandale zum Vorschein getretenen Kritikpunkten: Die bisherige Selbstregulierung des US-Prüferberufs und die Corporate Governance der an US-Börsen gelisteten Unternehmen wurden als regelungsbedürftig angesehen und sollten durch SOX reglementiert werden. Abhilfe schaffen will das 66 Seiten lange und in elf Abschnitte (diese wiederum sind in Sections untergliedert) aufgeteilte Gesetz durch die Einführung einer neuen, mit weit reichenden Kompetenzen ausgestatteten Berufsaufsicht für Prüfer, dem Public Company Accounting Oversight Board, „PCAOB“. Bei ihm handelt es sich um ein fünfköpfiges, privatrechtlich organisiertes Aufsichtsorgan, das gegenüber Prüfgesellschaften weit reichende Befugnisse innehat. Nähere Einzelheiten sind in Section 103 SOX („Auditing, quality control and independence standards and rules“) festgelegt. U.a. ist es möglich, dass das PCAOB Qualitätskontrollen bei den registrierten 31 Horváth S. 790. 32 „... most far-reaching reform of American business practices since the time of Franklin Delano Roosevelt.“ (George W. Bush), vgl. Lenz, BB 2002, S. 2270.
121
2
109
110
2
§2
2 111
112
113
Rechtsgrundlagen zur Internen Revision
Prüfern und Prüfungsgesellschaften durchführt. Das PCAOB seinerseits wird durch die staatliche Wertpapieraufsichtsbehörde der USA, die Securities and Exchange Commission („SEC“), überwacht. Der SEC obliegt es u.a., die im SOX mitunter nur relativ grob umrissenen Themen konkreteren Detailregelungen („Final Rules“) zuzuführen. Weiter sah SOX die Einführung von einschneidenden Corporate Governance Regelungen vor. Damit sollen eine Verbesserung der Transparenz von Unternehmensprozessen und die Herstellung von Vertrauen in die Richtigkeit der Finanzberichterstattung erreicht werden. SOX nimmt die Unternehmensleitungen verstärkt für die Vollständigkeit und für die Richtigkeit der Angaben bei der Berichterstattung in die Pflicht – und ggf. in die Haftung. Abschnitt IX. (White Collar Crime Penalty Enhancement) bedroht CEO’s und CFO’s im Falle von gegenüber SEC fahrlässig unzutreffend abgegebenen Erklärungen zur Richtigkeit des Zahlenwerks und zum Vorhandensein und der Wirksamkeit interner Kontrollen mit Geldstrafen von bis zu einer Mio. Dollar oder mit Gefängnisstrafen von max. 20 Jahren. Zusätzlich wurden neue Anforderungen postuliert, indem die Unternehmensleitungen fortlaufend über die Funktionsfähigkeit der Internen Kontrollsystems zu berichten haben. Eines der zentralen Themen des SOX ist die Errichtung eines Audit Committees (nach Section 301 SOX allerdings nicht zwingend vorgeschrieben, bei Fehlen werden dessen Aufgaben auf das gesamte Board of Directors übertragen, vgl. Section 205 SOX), das für die Überwachung der Ordnungsmäßigkeit der Rechnungslegung sowie der Abschlussprüfung im Unternehmen verantwortlich ist. Zwar regelt Section 301 SOX nichts zum Verhältnis des Audit Committees zur Internen Revision. Im Zusammenhang mit der Vorschrift wird jedoch diese Frage häufig in dem Sinne beantwortet, dass das Audit Committee die gleichen Verantwortlichkeiten und Rechte, wie sie gegenüber den externen Abschlussprüfern bestehen, auch über die Interne Revision erhalten sollte. In US-amerikanischen Unternehmen ist es daher gängige Praxis. Alle hier skizzierten Vorschriften von SOX sollen dem Schutz der Anleger dienen, deren Vertrauen durch die Einhaltung genauerer und verlässlicherer Angaben (wieder-)gewonnen werden sollte. Durch die explizite Einbeziehung sog. Foreign Private Issuers werden auch ausländische zweitgelistete Unternehmen, die bei der SEC registrierungspflichtig sind, erfasst. Zum einen betrifft das SOX insoweit direkt die Unternehmen, welche ein sog. Dual Listing in den USA vorgenommen haben. Außerdem müssen auch deutsche Tochterunternehmen US-amerikanischer börsennotierter Unternehmen ihre Berichterstattung an den Vorgaben des SOX ausrichten. Auch die für diese Unternehmen zuständigen ausländischen Prüfgesellschaften werden daher von SOX erfasst (Sec. 102 SOX). 2007 waren 18 deutsche Unternehmen in den USA geleistet und von SOX betroffen. Umfragen unter diesen zu Kosten- und Nutzen-Relationen der Anwendung von SOX haben teilweise kritische Stimmen hervorgebracht. Manche meinten, das angestrebte Ziel der Verbesserung der Finanzberichterstattung und des Internen Kontrollsystems werde konterkariert durch zusätzliche Bürokratisierung der betroffenen Unternehmen. Die hierdurch entstehenden Kosten würden nicht durch einen Zusatznutzen kompensiert. Mögliche Vorteile aus der Befolgung von SOX werden daher teilweise als eher gering eingeschätzt. Einige deutsche Unternehmen haben aus diesem Grund auch schon laut über einen möglichen Rückzug ihrer amerikanischen Listung nachgedacht (so z.B. strebte BASF im Sommer 2007 das freiwillige Delisting ihrer Aktien und die Deregistrierung an der NYSE an). 33 Dem standen bisher die relativ strikten Vorschriften der 33 Vgl. zu den Ergebnissen von Befragungen Stadtmann/Wißmann, ZRFG 2006, S. 16, 18 (m.w.N.): Etwa ein Drittel der befragten 18 deutschen Unternehmen hatte für die Erstentsprechung mit SOX 5 Mio. Euro aufgewandt bzw. erwartete noch anfallende Kosten von mehr als 5 Mio. Euro; im Durchschnitt werden die Gesamtkosten auf 7,1 Mio. Euro pro Unternehmen geschätzt.
122
E.
Deregistrierung (diese ist möglich, wenn weniger als 300 Personen mit einem Wohnsitz in den USA Aktien des betroffenen deutschen Unternehmens halten) entgegen. Auch in den USA hat ein Prozess des Umdenkens stattgefunden: „Has the shift in intensity gone too far?“, diese Frage stellte eine von der US Regierung einberufenen Kommission (Committee on Capital Markets Regulations) mit Bezug auf SOX. Ein erster Zwischenbericht dieser Kommission aus dem November 2006 wartete auf mit herber Kritik am amerikanischen Rechtssystem im Allgemeinen und speziell an SOX. Speziell zu Sec. 404 SOX wurden vom Zwischenbericht Lockerungen vorgeschlagen, so u.a. eine Neudefinition des Begriffes von Material Weakness in Sec. 404 SOX.34 Von den angesprochenen Corporate Governance Regelungen von SOX sind im vorliegenden Rahmen für die Interne Revision zwei bestimmte Sections des SOX von hervorgehobener Bedeutung. Es handelt sich um 302 und 404. Section 302 befasst sich mit der Richtigkeitsbestätigung durch den Vorstand bzgl. des Zahlenwerks, Section 404 bezieht sich auf die Bestätigung über das Vorhandensein und die Wirksamkeit der erforderlichen internen Kontrollen.
2.
2
114
Section 302 SOX
Section 302 regelt die „Corporate responsibility for financial reports“. Er verlangt u.a. die Einrichtung, Pflege, und Bewertung von Kontrollmechanismen, die eine vollständige und den tatsächlichen Verhältnissen des Unternehmens entsprechende effektive Berichterstattung sicher stellen sollen. Insbesondere muss die Unternehmensleitung (das betrifft besonders den CEO und den CFO) in Zusammenhang mit dem Quartals- bzw. dem Jahresbericht bestätigen, dass die Angaben der Berichterstattung vollständig sind und den tatsächlichen wirtschaftlichen Verhältnissen des Unternehmens entsprechen. Außerdem sind beide verpflichtet, die Wirksamkeit der Kontrollen und Verfahren schriftlich eidesstattlich zu bestätigen, sowie jeden Betrugsfall, der das Management oder andere am internen Kontrollsystem mitwirkende maßgebliche Mitarbeiter betrifft, gegenüber dem Jahresabschlussprüfer und ggf. gegenüber dem Audit Committee bekanntzugeben.
3.
2
Internationale Rechtsregelungen
115
Section 404 SOX
Diese Vorschrift befasst sich mit „Management assessment of internal controls“. Konkretisiert durch die von der SEC erlassenen Final Rule verlangt sie eine Berichterstattung über die im Unternehmen eingerichteten internen Kontrollen bzgl. der Finanzberichterstattung. Hier ist auf Themen wie die Einrichtung und Unterhaltung sowie auf eine Dokumentation und Bewertung der Wirksamkeit von internen Kontrollen einzugehen. Im Jahresabschluss müssen Aussagen enthalten sein, wonach das Management die Verantwortung für Einrichtung und Pflege eines angemessenen internen Kontrollsystems der Finanzberichterstattung übernimmt. Ferner muss das Rahmenwerk, das als Grundlage für die Bewertung der Effektivität der internen Kontrolle verwendet wurde, erläutert werden. Weiter sind Aussagen über die Vorgehensweise und ermittelten Ergebnisse zur Bewertung des IKS zu machen. Insbesondere ist hierzu eine Gesamtaussage zu treffen, ob das System wirksam ist. Die Bewertung muss die Offenlegung von sog. Material Weaknesses bzw. Significant Deficiencies umfassen. Diese Fälle sind laut PCAOB dann gegeben, wenn eine bestimmte Wahrscheinlichkeit dafür besteht, dass die Kontrollschwäche einen falsch gemeldeten Betrag bei der Finanzberichterstattung verursachen kann, sofern dieser nicht als belanglos ein34 Vgl. Interim Report of the Committee on Capital Markets Regulation (http.//www.capmktsreg.org./index.html). Einen guten Einstieg ins Thema bietet Isabella Arndorfer mit ihrem Aufsatz „Ist Sarbanes-Oxley zu weit gegangen?“, in: ZIR 2/2007, S. 70.
123
116
2
§2
Rechtsgrundlagen zur Internen Revision
zustufen ist bzw. jedenfalls in eine wesentliche Falschmeldung einmünden könnte.35 Der Bericht des Managements über die Funktionsfähigkeit des internen Kontrollsystems der Finanzberichterstattung und die Wirksamkeit der Kontrollen ist durch den Abschlussprüfer zu testieren, er ist jährlich bei der SEC einzureichen.
2
117
118
119
II.
8. EU-Richtlinie
1.
Überblick
Die durch SOX in den USA entwickelten Ansätze zu guter Corporate Governance sind auch den zuständigen Stellen in Europa nicht verborgen geblieben. Die EU konnte und wollte im Rahmen des weltweiten Systemwettbewerbs um das Setzen von Benchmarks in diesem Bereich nicht zurückstehen. Mit der sog. 8. EU-Richtlinie (Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates, vom 17.5.2006, Amtsblatt der EU L 157/87) legte die Kommission einen Regelungsrahmen für die in der EU durchzuführenden Abschlussprüfungen fest. Die so modernisierte 8. EU-Richtlinie löste die am 10. April 1984 beschlossene 8. EG-Richtlinie 84/253/EWG ab. Die Umsetzung in nationales Recht der Mitgliedsstaaten soll bis zum 29. Juni 2008 erfolgen. Die 8. EU-Richtlinie ist für jeden Mitgliedsstaat in der Zielvorgabe verbindlich, sie überlässt jedoch diesen die Wahl der Form und Mittel, wie im einzelnen ■ die Schaffung einer Regelung zur weltweiten Anerkennung der EU-Unternehmensabschlüsse ■ die Anwendung internationaler Prüfungsgrundsätze bei allen gesetzlichen Abschlussprüfungen in der EU ■ die Harmonisierung eines europäischen Marktes für das Prüfwesen ■ die Forderung nach Rotation bei Prüfungen von Unternehmen des öffentlichen Interesses ■ das Etablieren einer öffentlichen Aufsicht über den Berufsstand in Form eines Aufsichtsgremiums (public oversight) als Ziele angesteuert werden können. Mit der Neufassung der 8. EU-Richtlinie wird die unmittelbare Anwendung der anglo-amerikanisch geprägten International Standards on Auditing (ISA) für die Durchführung der gesetzlichen Abschlussprüfungen kapitalmarktorientierter Unternehmen in der EU verbindlich vorgeschrieben. Die Richtlinie enthält außerdem ausführliche Vorschriften über die Durchführung gesetzlicher Abschlussprüfungen sowie über die Anforderungen an den damit beauftragten Abschlussprüfer und beinhaltet damit ähnliche Vorschriften wie SOX. Die modernisierte Richtlinie fordert die Umsetzung folgender Vorgaben, die weitgehend mit den SOX-Vorgaben übereinstimmen: ■ Einrichtung unabhängiger Branchenaufsichtsbehörden nach dem Vorbild der PCAOB ■ Registrierung der zugelassenen Auditoren ■ Pflicht zur Offenlegung der Informationen ■ Interne Qualitätspolitik ■ Externe Qualitätskontrollpolitik
35 Das PCAOB legte in seinem Prüfungsstandard Nr. 2 (vom 9.3.2004) u.a. Regeln für die Internal-Control-Strukturen und für die Prozesse fest.
124
E. ■ ■ ■ ■ ■ ■ ■
2.
2
Internationale Rechtsregelungen
Verbindliche Übernahme der internationalen Standesregelungen (ISA) der International Federation of Accountants (IFAC) Einrichtung eines Prüfungsausschusses Überwachung des Rechnungslegungsprozesses Überprüfung der Wirksamkeit des Internen Kontrollsystems (IKS), der Internen Revision sowie des Risikomanagementsystems Beaufsichtigung der Abschlussprüfung Überprüfung und Überwachung der Unabhängigkeit des Prüfers Vorauswahl eines Abschlussprüfers oder einer Prüfungsgesellschaft, bevor das Verwaltungsoder Aufsichtsorgan der Gesellschafterversammlung einen Prüfer vorschlägt.
2
Audit Committee und Internes Kontrollsystem
Bei Unternehmen des öffentlichen Interesses ist nach Art. 41 grundsätzlich ein sog. Prüfungsausschuss (ebenfalls „ Audit Committee“ genannt) einzurichten, um die Wirksamkeit der internen Kontrollen des Unternehmens, der Internen Revision und des Risikomanagementsystems und der Abschlussprüfung (incl. der Unabhängigkeit des Prüfers) zu überwachen. Unternehmen von öffentlichem Interesse sind neben Kreditinstituten und Versicherungen auch solche Unternehmen, deren Wertpapiere auf einem Markt eines Mitgliedsstaats zum Handel zugelassen sind. Es obliegt im Weiteren der Regelungsbefugnis der Mitgliedsstaaten, wie sich der Prüfungsausschuss personell zusammensetzt. Art. 41 Abs. 1 Satz 2 der RL regelt hierzu: „Der Mitgliedsstaat legt fest, ob Prüfungsausschüsse sich aus nicht an der Geschäftsführung beteiligten unabhängigen Mitgliedern des Verwaltungsorgans und/oder des Aufsichtsorgans des geprüften Unternehmens und/ oder Mitgliedern zusammensetzen sollen, die durch Mehrheitsentscheidung von der Gesellschafterversammlung des geprüften Unternehmens bestellt werden. Mindestens ein Mitglied des Prüfungsausschusses muss unabhängig sein und über Sachverstand in Rechnungslegung und/oder Abschlussprüfung verfügen. Insbesondere können die Mitgliedsstaaten festlegen, dass „... die dem Prüfungsausschuss zugewiesenen Funktionen durch den Verwaltungs- oder Aufsichtsrat als Ganzes ausgeübt werden können.“ (vgl. Grund 24 Satz 3 zur 8. EU Richtlinie). Um die Qualität der Finanzberichterstattung zu verbessern, muss im Übrigen zwischen dem Abschlussprüfer und dem Audit Committee eine enge Beziehung bestehen. Der Abschlussprüfer oder die Prüfungsgesellschaft muss das Audit Committee über wesentliche Sachverhalte in Kenntnis setzen, die sich aus der Abschlussprüfung ergeben haben, insbesondere über wesentliche Schwachpunkte des internen Kontrollsystems einschließlich der Finanzberichterstattung (vgl. Art. 41 Abs. 4 der RL). Speziell bezogen auf die Interne Revision heißt es in der RL: „... besteht die Aufgabe des Prüfungsausschusses unter anderem darin,...die Wirksamkeit des internen Kontrollsystems, gegebenenfalls des internen Revisionssystems, und des Risikomanagementsystems des Unternehmens zu überwachen...“ (Art. 41 Abs. 2 lit b).
125
120
121
122
2
§2
F. 2
123
124
125
126
Rechtsgrundlagen zur Internen Revision
Zusammenfassung zum Rechtsteil
Keine der näher vorgestellten Rechtsnormen verpflichtet zur Einrichtung einer Internen Revision als formaler Institution in einem Unternehmen. Es wird lediglich klargestellt, dass die Unternehmen grundsätzlich über funktionsfähige interne Kontrollsysteme verfügen müssen, wobei deren Ausgestaltung im Einzelnen in das Ermessen der Unternehmensleitungen gestellt wird. Das aber muss – rechtlich gesehen – nicht unbedingt zur Etablierung einer Revisionsabteilung im Unternehmen führen. Unterstrichen wird diese Aussage durch die bis dato jüngste einschlägige gesetzgeberische Verlautbarung in Art. 41 Abs. 2 lit. b) 8. EU RL, wo davon die Rede ist, dass sich die Überwachungsaufgabe des Prüfungsausschusses „gegebenenfalls“ auf ein internes Revisionssystem erstreckt. Auch Section 404 SOX verpflichtet nicht zur Einrichtung einer Internen Revision. Speziell zu § 91 Abs. 2 AktG wurde näher aufgezeigt, dass der Hinweis in der Gesetzesbegründung (... und eine angemessene interne Revision...) nur funktional als „Überwachung“ gemeint ist. Die Norm regelt die grundsätzliche Pflicht zur Schaffung einer Überwachungsinstanz, wenn es die konkreten Eigenheiten des Unternehmens gebieten. Selbst wenn die Unternehmensstrukturen komplexer sind und die Pflicht zur Einrichtung besteht, hat das Unternehmen im Rahmen seiner grundrechtlich geschützten Organisationsfreiheit Spielräume. Rein rechtlich gesehen ist das Management frei, wie es das Unternehmen im einzelnen organisiert. Er kann eine eigene Revisionsabteilung als Überwachungsstelle einrichten, muss es aber rechtlich nicht. Indes muss eine Unternehmensführung mit diesem vom Recht gebotenen Spielraum sorgfältig umgehen, da ansonsten eine Haftung droht. Sätze wie „Ich bin bereit, auf die Kontrolle eines anderen zu verzichten, weil ich erwarte, dass er kompetent, integer und wohlwollend ist. Dabei nehme ich in Kauf, manchmal enttäuscht zu werden.“36 sind wohlfeil, aber zu theorielastig. Die Praxis zeigt, dass es ohne Kontrollen nicht geht. Eine solche Einlassung im Haftungsprozess hätte daher wahrscheinlich nachteilige Konsequenzen. Dass eine Unternehmensleitung betriebswirtschaftlich oder im Sinne von Überlegungen zu Best Practice-Gedankengut gut beraten sein kann und sich daraus sogar handfeste Gründe ergeben können eine Interne Revision einzurichten, steht daher auf einem anderen Blatt. Sätze wie etwa „Ein Unternehmen soll grundsätzlich eine angemessene Interne Revision haben. Darauf kann nur dann ausnahmsweise verzichtet werden, wenn die Unternehmensleitung die Überwachung des Unternehmens selbst wahrnimmt. Bei kapitalmarktorientierten Unternehmen soll in jeden Fall eine Interne Revision eingerichtet sein...Eine maßgebliche Unterstützungs- und Entlastungsfunktion kommt bei größeren und komplexeren Unternehmen der Internen Revision zu. Ein Verzicht auf die Einrichtung einer Internen Revision bedeutet den Verzicht auf eine wesentliche Überwachungsfunktion, die nur schwerlich durch andere Maßnahmen ersetzt werden kann.“37 sind daher jedenfalls vor einem rein betriebswirtschaftlichen Hintergrund zu sehen. Es kann betriebswirtschaftlich sinnvoll und insoweit sogar notwendig sein, eine Interne Revision einzurichten. Immerhin haftet die Unternehmensleitung aufgrund der Sorgfaltspflicht (§ 93 AktG) für Verschulden im Bereich der Kontrolle, der Auswahl und Einweisung von Mitarbeitern und der Organisation. Die Interne Revision trägt durch ihre Arbeit zur zivil- und strafrechtlichen Absicherung von Aufsichtsräten, Vorständen und Geschäftsführern bei.
36 Sprenger, zitiert bei Horváth, WPg-Sonderheft 2003 (vom 19.12.2003), S. 211. 37 Arbeitskreis „Externe und Interne Überwachung“ der Schmalenbach-Gesellschaft in seiner These 1 als „Best-PracticeEmpfehlungen“ zur Angemessenheit der Internen Revision, vgl. DB 2006, S. 225.
126
F.
2
Zusammenfassung zum Rechtsteil
Sogar so ähnlich wie staatlich gesetzte Vorschriften wirken innerhalb des Unternehmens Revisionsrichtlinien. Solche sind innerhalb des Unternehmens von dessen Mitarbeitern als verbindliche Vorgaben (Gebote, Verbote) zu beachten und sind in der Lage, eine Revisionsabteilung auch institutionell im Unternehmen zu verankern und mit Rechten und Pflichten auszustatten. Diese wurden daher als „innenrechtliche Vorschriften“ bezeichnet. Sonstige Richtlinien im Unternehmen sind wichtig für die operative Prüfarbeit der Internen Revision. Das gilt insbesondere auch für Corporate Governance Regelungen, die durch die Anwendung des DCGK in einem Unternehmen gesetzt wurden. Trotz dessen unübersehbarer grundlegender Schwächen können auch sie für die Arbeit der Internen Revision von sehr großer Bedeutung sein. Denn die Normen des DCGK beeinflussen die Arbeit des Unternehmens und die Tätigkeit der Mitarbeiter und Organe. Auch wenn sie für sich gesehen nur eine eingeschränkte rechtliche Wirkung haben, können sich zudem im Zusammenhang mit der praktischen Handhabung des § 161 AktG („Comply or explain“) etliche Fehlerquellen auftun, die dann letztlich doch zu weit reichenden – auch außerrechtlichen – Konsequenzen für das Unternehmen führen können. Im Übrigen zeigen sich Ansätze, dass manche vom DCGK nur halbherzig angepackte Themen später weitergehenden Regelungen zugeführt werden, indem sich der Gesetzgeber schließlich – man möchte sagen: „dann doch endlich“ – ihrer annimmt. Die gesetzliche Verpflichtung, Vorstandsgehälter offen zu legen, ist ein Beispiel dafür. Die Vorhersage, dass andere Themen folgen werden, bedarf keiner prophetischen Gabe. Der Koordinationsbedarf insbesondere in den größeren Unternehmen wird daher stetig ansteigen, was durch eine weiter gehende Internationalisierung und durch entsprechende Entwicklungen bei den Kapitalmärkten zusätzlich befördert wird. Damit erlangen auch die dargestellten internationalen Vorschriften eine besondere Bedeutung für die Arbeit der Internen Revision. Zwar ergibt sich, wie bereits gesagt, weder aus Sec. 404 SOX noch aus der 8. EU Richtlinie eine Verpflichtung zu Einrichtung einer Internen Revision. Aus diesen Vorschriften ergeben sich indes Auswirkungen auf die Unternehmensabläufe. Das zeigt sich z.B. beim Internen Kontrollsystem (IKS). An dieses werden in Zukunft höhere Maßstäbe angelegt als dies bisher der Fall war. Durch ein wirksames Internes Kontrollsystem sollen finanzielle und betriebliche Risiken sowie das Risiko von Gesetzesverstößen auf ein Mindestmaß beschränkt und die Qualität der Rechnungslegung verbessert werden. Das IKS soll sicherstellen, dass Prozesse und Kontrollen im Unternehmen so gelebt und dokumentiert werden, damit alle Geschäftsvorfälle mit der größtmöglichen Sicherheit korrekt abgewickelt werden. Das Management muss die Verantwortung für die Einrichtung und Aufrechterhaltung des IKS übernehmen, es dokumentieren und die Effektivität des IKS beurteilen. Schließlich ist ein Bericht über das IKS zu erstellen. Die Unternehmensleitungen benötigen dafür eine schlagkräftige Unterstützung. Diese kann die Interne Revision liefern, indem sie – prozessunabhängig – externe wie interne Regelungen stetig auf ihre Sinnhaftigkeit und Praktikabilität überprüft und deren Umsetzung und Einhaltung im Unternehmen überwachen hilft.
127
127
2 128
129
3
§ 3 Prüfungsprozess 1
3
2
Der Prüfungsprozess (Revisionsprozess, Revisionsmanagementprozess) ist das Kernelement der revisorischen Arbeit. In ihm bildet sich das tagtägliche Tun der Internen Revision ab. Der Prüfungsprozess beginnt mit der Planung als strategischer Komponente. Der Planung folgt die Realisation der Prüfung mit den Prozessschritten Vorbereitung, Durchführung, Berichterstattung und der Nachschau (Follow-up, Maßnahmenmonitoring) als abschließendem Prozessschritt. Der gesamte Prüfungsprozess unterliegt einer permanenten Überwachung und Kontrolle, die der Einhaltung von externen wie internen Standards sowie von Zeit- und Budgetvorgaben dient. Der Erfolg eines Prozesses bemisst sich an seiner Effektivität, d.h. an seiner Wirksamkeit und an seiner Leistungsfähigkeit. Aus Sicht der Internen Revision ist es mithin unerlässlich, sich als strategische Ressource im Unternehmen zu positionieren und mit dem Aufbau von nicht imitierbaren Kernkompetenzen an der langfristigen Wertsteigerung des Unternehmens mitzuwirken.1 Wie diese abstrakte Zielsetzung erreicht werden kann, mögen die nachfolgenden Ausführungen zu den einzelnen Prozessschritten im Detail verdeutlichen.
A. 3
4
Allgemeine Ausführungen zum Prüfungsprozess
Wie bereits angeführt, lässt sich die Tätigkeit der Internen Revision als Prozess beschreiben. Dabei wird ein Prozess definiert als „eine zeitlich und räumlich spezifisch strukturierte Menge von Aktivitäten mit einem Anfang und einem Ende sowie klar definierten Inputs und Outputs.“2 Vor dem Hintergrund dieser Definition und der formalen und inhaltlichen Aufgaben einer Internen Revision kann der Revisions- bzw. Prüfungsprozess nun mehr wie folgt visualisiert werden:
Revisionsprozess Audit Universe Risikokriterien Genehmigung Mitarbeitereinsatz
Kick-off Prüfungsumfang und -handlungen Hilfsmittel Arbeitspapiere
1 Planung
2
3
Vorbereitung
Durchführung
Prüfungsankündigung Prüfungsprogramm (Disposition)
Maßnahmenmonitoring Follow-upPrüfungen
4
5
Bericht
Nachschau
Berichtsgrundsätze Aufbau Adressaten Qualitätssicherung
Qualitätssicherung
Abbildung 3-1: Revisionsprozess 1 2
128
Vgl. Gaitanides, M., Prozessorganisation, in Wirtschaftslexikon, Band 9, Stuttgart 2006, Sp. 4837. Definition nach ebenda, Sp. 4836.
B.
Jeder Prozessschritt stellt einen notwendigen, in sich abgeschlossenen Abschnitt dar, der wiederum in sich individuell gegliedert ist. Die Einhaltung der einheitlichen Grundstruktur des Revisionsprozesses gewährleistet, dass sämtliche Prüfungen – unabhängig von Ort und Zeitpunkt – an identischen Rahmenbedingungen und Kriterien ausgerichtet sind. Damit besteht die Möglichkeit des einheitlichen Auftritts gegenüber den geprüften Stellen sowie einer verbesserten Qualitätssicherung. Aspekte der Qualitätssicherung sind in sämtlichen Prozessphasen relevant. Bei der Qualitätssicherung handelt es sich aus prozesstheoretischer Sicht um einen Unterstützungsprozess für die Kernprozesse. Die Fragen der Qualitätssicherung des Revisionsprozesses werden für sämtliche Phasen zum Abschluss dieses Kapitels gemeinsam behandelt. Dabei wird es auch darum gehen, welche Anforderungen diesbezüglich durch berufsständische Organisationen und durch die Wirtschaftsprüfer an die Interne Revision herangetragen werden.
B.
3
Prüfungsplanung 5 6
3 7
Prüfungsplanung
Um ihre Funktion dauerhaft wirksam ausüben zu können, muss die Interne Revision konzeptionell sicherstellen, dass das gesamte Unternehmensgeschehen sowie dessen Veränderungen systematisch erfasst werden. Als Instrument nutzt die Interne Revision dazu die Prüfungsplanung, die in ihrer Ausgestaltung stark abhängig ist von Art und Umfang der Geschäftstätigkeiten, der Größe des Unternehmens und zunehmend auch von dessen Internationalisierungsgrad. Nach dem IIR-Standard Nr. 3 „Qualitätsmanagement“ sind als Grundlagen für die Prüfungsprogrammplanung (Ein- und/oder Mehrjahresplanung) die folgenden Aspekte zu beachten: ■ Gesetzliche Anforderungen, ■ Systematische Analysen aller Geschäftsprozesse unter besonderer Berücksichtigung von Risiken und Chancen, ■ Besondere Anforderungen der Geschäftsleitung, ■ Vorschläge von innerhalb und außerhalb der Internen Revision. Darüber hinaus verlangen die IIA-Standards vom Leiter der Internen Revision, die Vorlage einer risikoorientierten Prüfungsplanung zur Priorisierung der Aktivitäten seiner Abteilung. Im IIAPerformance Standard 2010 heißt es: „Der Leiter der Revision legt in der Planung die Prioritäten nach Risikokriterien und entsprechend den Unternehmenszielen fest.“ Die Notwendigkeit eines solchen Vorgehens und die Beachtung der o.g. Aspekte folgt aber nicht nur aus den formalen Anforderungen der Berufsstandards. Sie ergibt sich auch und vielleicht viel dringlicher aus den beschränkten Ressourcen, die der Internen Revision in der Regel zur Verfügung stehen. Zudem verfolgt auch die Interne Revision das Ziel, wertschöpfend für das Unternehmen wirken zu können. Es bedarf mithin einer sorgfältigen Planung, damit die bereitstehenden Mittel unter sachlichen und zeitlichen Aspekten so effektiv und effizient wie möglich zum Einsatz gelangen können. Wenn hier von Ressourcen und Mitteln die Rede ist, dann sind selbstverständlich in erster Linie die Mitarbeiter der Internen Revision gemeint, die Prüfer mit ihren Fähigkeiten, Kenntnissen und ihrem Fachwissen.
129
8
9
10
11 12
3
§3 13
Mit der Prüfungsplanung wird also generell das Ziel verfolgt, ausgehend von den zu identifizierenden Prüfungsobjekten unter Berücksichtigung der personellen, zeitlichen und sachlichen Ressourcen ein realisierbares Revisionsprogramm zu entwickeln.
I.
3 14
Prüfungsprozess
Planungsebenen
Da die Revisionsplanung Ausgangspunkt und Basis des Revisionsprozesses ist, gewinnt die gesamte Planungsphase zunehmend an Bedeutung. Grundsätzlich sollten die vier nachfolgend aufgeführten Ebenen innerhalb der Revisionsplanung unterschieden werden:
Planungsebenen Gesamtprüfungsplanung
Mehrjahresprüfungsplanung
Jahresprüfplanung
Einzelprüfungsplanung
Abbildung 3-2: Planungsebenen 1. Gesamtprüfungsplan3 Der Gesamtprüfungsplan, der heute auch als „Audit Universe“ bezeichnet wird, enthält alle Prüfungsobjekte des Unternehmens. Die Erfassung und Gliederung eines solchen „Prüfungsuniversums“ sollte insbesondere bei Großkonzernen nach solchen Kriterien erfolgen, die es den Beteiligten noch ermöglicht, die erforderliche Übersichtlichkeit zu gewährleisten. Maßnahmen zur Komplexitätsreduktion sind bei der Erstellung des Gesamtprüfungsplans unerlässlich. Die Kriterien, die bei der Aufstellung eines Gesamtprüfungsplans i.d.R. zur Anwendung kommen, sind Funktionen, Prozesse und Institutionen (Beteiligungen, Tochterunternehmen u.ä.). Eine gute Quelle für den Beginn der Aufstellung und Aktualisierung eines Gesamtprüfungsplans dürfte regelmäßig das Beteiligungsverzeichnis sein. (Zur Aufstellung eines Gesamtprüfungsplans siehe insbesondere die weiter hinter folgenden Ausführungen zum „Audit Universe als Planungsgrundlage“). 2. Mehrjahresprüfungsplan Auf der zweiten Ebene der Revisionsplanung ist eine Mehrjahresplanung zu erstellen. Neben einer mittelfristig angelegten Übersicht zu den einzelnen Prüfungsvorhaben bietet die Mehrjahresplanung die Möglichkeit zur vorausschauenden Abschätzung des zukünftigen Personalbedarfs in der Internen Revision in quantitativer wie qualitativer Hinsicht. Die Bildung von 3
130
Siehe Füss, Roland: Die Interne Revision, Berlin 2005, S. 167.
B.
3
Prüfungsplanung
Prüfungsschwerpunkten in der Zukunft ist unabdingbar an die Erstellung einer Mehrjahresplanung geknüpft, da mit dieser Planungsebene die Möglichkeit geschaffen wird, die für die Bearbeitung solcher Prüfungsschwerpunkte erforderlichen personellen und sachlichen Kapazitäten bereitzuhalten. Als ein Beispiel mag die Prüfung des Emissionszertifikatehandels dienen. Mit Aufkommen dieses Themas galt es für die Interne Revision betroffener Unternehmen, dieses neue Prüfungsobjekt in der Planung zu berücksichtigen und entsprechende Kapazitäten mit dem erforderlichen Know-how aufzubauen. Ohne eine Mehrjahresplanung besteht die Gefahr, solche neuen Themen nicht abdecken zu können aufgrund von mangelndem Personal oder fehlendem Know-how. 3. Jahresprüfungsplan Mit dem Jahresprüfungsplan werden die konkreten Prüfungen des jeweils kommenden Jahres konkretisiert und festgelegt. Der Umfang des Jahresprüfungsplans orientiert sich an den zur Verfügung stehenden Kapazitäten der Internen Revision. Inhaltlich sollte sich der Jahresprüfungsplan an dem Ergebnis einer Risikobewertung ausrichten. Die Risikoorientierung der Prüfungsplanung ist ein Ansatz für eine effiziente Allokation der limitierten Ressourcen der Revision sowie eine Basis für die Steuerung des optimalen Einsatzes des Revisionspersonals. 4. Einzelne Prüfung Für jede einzelne Prüfung hat eine sachliche, personelle und zeitliche Konkretisierung zu erfolgen. Insbesondere müssen die Prüfungsziele im Rahmen einer schriftlich fixierten Prüfungsdisposition festgehalten werden. Die Prüfungsdisposition sollte Art, Umfang und Methodik der Prüfung umfassen, um bereits im Vorfeld der Prüfung möglichst sicherzustellen, dass die Prüfungsergebnisse einen verlässlichen Aufschluss über das Prüfungsgebiet geben.
II.
Risikoorientierte Prüfungsplanung
Gemäß IIA-Standard 2010.A1 erfolgt die Prüfungsplanung der Internen Revision auf Basis einer Risikobeurteilung, die mindestens einmal pro Jahr durchzuführen ist. Im dazugehörigen Practice Advisory 2010-2 wird darüber hinaus ausgeführt, dass der Prüfungsplan der Internen Revision auf Grundlage einer Beurteilung der Risiken und Risikopotenziale, die sich auf das Unternehmen auswirken könnten, zu erstellen ist. Dies bedeutet nichts anderes, als dass die Revisionsplanung risikoorientiert zu erfolgen hat. Eine risikoorientierte Prüfungsplanung muss die risikoträchtigen Objekte des Unternehmens identifizieren (Audit Universe) und bewerten.
1.
3
15
Audit Universe als Planungsgrundlage
Mit der Aufstellung des Audit Universe (Gesamtprüfungsplan) wird das Tätigkeitsfeld der Internen Revision umfassend abgesteckt. Das Audit Universe bildet das gesamte Unternehmen ab und dient dann als Basis für die Risikobewertung der einzelnen Elemente nach zuvor definierten Kriterien. D.h., die zentrale Frage zu Beginn der Aufstellung eines Audit Universe ist, welche Abläufe, Funktionen, Systeme und Einheiten existieren im Unternehmen und wie sind diese zu strukturieren. In großen Konzernen bietet es sich grundsätzlich an, zunächst vom Beteiligungsverzeichnis auszugehen, um die Gesellschaften des Konzerns zu erfassen. In kleineren Unternehmen wird man ebenfalls mit einer Erhebung der relevanten organisatorischen Einheiten beginnen. Die Gesamtstruktur des Audit Universe sollte dann eine Kombination von Unternehmenseinheiten, Funk131
16
17
3
§3
18
Prüfungsprozess
tionen und Prozessen sein, also die Organisationsform und die Wertschöpfung des Unternehmens umfassen und sinnvoll verbinden. Denkbare Elemente für die Strukturierung eines Audit Universe zeigt die nachstehende Abbildung.
Prüfungsfelder/Prüfungsobjekte
3
19
Organisatorische Einheiten
Beteiligungen Unternehmenseinheiten Fachabteilungen
2.
Unternehmensfunktionen
Finanzierung Beschaffung Informationstechnik PersonalInvestitionen/Desinvestitionen Risikomanagement u.ä.
3.
Steuerungsinstrumente
Planungsinstrumente Steuerungsinstrumente Kontrollinstrumente
4.
Sonderprojekte
aktuelle Projekte im Unternehmen Sonderprüfungen
Abbildung 3-3: Prüfungsfelder und Prüfungsobjekte Aufgrund der organisatorischen Komplexität und der permanenten Veränderungen insbesondere moderner Großunternehmen gestaltet sich die Aufstellung des Audit Universe häufig schwierig.
2. 20
1.
Kriterien für die Risikobewertung
Um entscheiden zu können, welche Prüffelder in den zu erstellenden Jahresplan aufgenommen werden sollten, müssen diese an geeigneten Beurteilungsmassstäben gemessen werden können.4 Demnach sind so genannte Risikokriterien festzulegen, anhand derer zu beurteilen ist, welche Prüffelder des Gesamtprüfungsplans zweckmäßigerweise geprüft werden sollten. Die Ableitung der geeigneten Risikokriterien folgt aus der Zielsetzung, die auch für jede Prüfung maßgeblich ist: nämlich der Aufdeckung und Vermeidung von Fehlern! Durch eine Risikobewertung auf Basis der Risikokriterien ist die Wahrscheinlichkeit zu ermitteln, mit der in einem Prüffeld Fehler vorhanden sind.
4
132
Vgl. hierzu und zum Folgenden: Schiffer, Thomas; Risikoorientierte Prüfungsplanung in deutschen Banken, in: Der Schweizer Treuhänder, 11/2000, S. 1227 ff.
B.
3
Prüfungsplanung
Mögliche Risikokriterien sind in der Darstellung aufgeführt.
21
Mögliche Risikokriterien Zeit
das Fehlerrisiko steigt mit zunehmendem Zeitabstand zur letzten Prüfung!
Verfahrensumstellungen/ Änderungen im Management
bei Veränderungen steigt das Fehlerrisiko (u.a. Unerfahrenheit, mangelnder Vertrautheit)
Ergebnisse der letzten Prüfung
eine Vielzahl von Fehlern in der letzten Prüfung führt zur Annahme eines erhöhten Fehlerrisikos des betreffenden Prüffeldes
Soll/Ist - Abweichungen
starke Budget/V-Ist - Abweichungen legen eine erhöhte Fehlerwahrscheinlichkeit nahe
Hinweise/Beschwerden
begründete Hinweise auf Schwachstellen oder Beschwerden erhöhen die Prüfdringlichkeit
Schadenpotential/Bedeutung für das Unternehmen/Marktrisiken
Informationen aus der Planung, der Controllingund Risikoberichterstattung geben Hinweise auf das Schadenpotential eines Prüffeldes
3
Abbildung 3-4: Mögliche Kriterien für das Risk Assessment Hinsichtlich der Eignung der Risikokriterien ist bei deren Auswahl vor allem zu bedenken, ob zu den geplanten Messgrößen in sämtlichen Prüfungsfeldern Aussagen getroffen werden können. Ein Kriterium, das für die Mehrzahl der vorgesehenen Prüfungsfelder nicht erhoben werden kann, ist ungeeignet. Dies sollte bereits bei der Entwicklung der Struktur für den Gesamtprüfungsplan (Audit Universe) berücksichtigt werden. Des Weiteren muss gewährleistet sein, dass die in Betracht kommenden Risikokriterien weitgehend unabhängig voneinander sind. Liegen die Kriterien sachlich oder inhaltlich zu nahe beieinander, so besteht die Gefahr, dass der durch diese Kriterien abgedeckte Aspekt die Risikobewertung dominiert. Grundsätzlich sollten qualitative und quantitative Risikokriterien in einem angemessenen Verhältnis zueinander stehen. Durch qualitative Risikokriterien wird sichergestellt, dass das „Bauchgefühl“ des Revisors im Rahmen der Jahresplanung nicht ausgeblendet wird. Ein weiterer wichtiger Gesichtspunkt für die Qualität des für alle Prüffelder durchzuführenden Risk Assessment ist die Gewinnung und Auswertung von Informationen bezüglich der einzelnen Risikokriterien. D.h., die Einbindung in die Informationsflüsse des Unternehmens ist für die Interne Revision zur Erfüllung ihrer Aufgaben unerlässlich. Die genaue Kenntnis sowie die intensive kontinuierliche Beobachtung der Prüffelder insbesondere hinsichtlich der gewählten Risikokriterien hat insoweit eine große Bedeutung. Für die ausgewählten Risikokriterien ist eine Bewertungsskala festzulegen. Bei der Definition der einzelnen Bewertungsstufen innerhalb des Bewertungssystems bzw. bei der Konzeption der Bewertungsskala generell, sollte zunächst eine gleiche Anzahl von Bewertungsstufen je Risikokriterium vorgegeben werden. Ein anderes Vorgehen würde vorab zu einer Verzerrung innerhalb des Risk Assessment führen, da Kriterien mit einer größeren Anzahl von Bewertungsstufen auch grö133
22
23
24
25
26
3
§3
27
3 28
Prüfungsprozess
ßere Bedeutung innerhalb des Bewertungsverfahrens erhalten. Die einzelnen Bewertungsstufen der einzelnen Risikokriterien sind jeweils exakt festzulegen. Da nicht alle Risikokriterien gleichbedeutend sind, sondern in ihrer Auswirkung auf das Unternehmen unterschiedlich, muss auch für die Risikokriterien untereinander eine Gewichtung vorgenommen werden. Mit der Gewichtung der Risikokriterien wird deren Bedeutung unabhängig von ihrer Ausprägung bestimmt. Die nachfolgende Abbildung fasst die Bewertungssystematik anhand eines Beispiels zusammen.
Bewertungsverfahren Risikoziffern
Gewich tung
Gewichtung 1
Gewichtung 2
Gewichtung 3
Gewichtung 4
Zeitabstand zur letzten Prüfung
1
mehr als 1 Jahr
mehr als 2 Jahre
mehr als 3 Jahre
mehr als 4 Jahre
Management-/ Verfahrensänderungen
2
keine Änderung
geringe Veränderungen
erhebliche Veränderungen
grundsätzliche Änderung
Ergebnis der letzten Prüfung
3
keinerlei Beanstandungen
keine wesentlichen Beanstandungen
wesentliche Beanstandungen Nachprüfung erforderlich
grobe Beanstandungen, dringender Handlungsbedarf
Budgetabweichungen
4
unter 5%
unter 15%
über 15%
über 30%
ManagementLetter,Hinweise, Beschwerden
5
unbedeutend
geringe Bedeutung
große Bedeutung
erhebliche Bedeutung mit Außenwirkung
Schadenspotential bzw. Bedeutung für das Unternehmen
6
gering
durchschnittlich
hoch
sehr hoch
Wert
Summe:__________
29
30
Abbildung 3-5: Beispiel für ein Verfahren der Risikobewertung Das hier dargestellte System ist vergleichsweise transparent und leicht nachvollziehbar. Andere Ansätze, die heute zur Erstellung der risikoorientierten Prüfungsplanung eingesetzt werden, richten sich häufig an anerkannten Modellen und Standards wie dem „Internal Control-Integrated Framework“ der COSO aus 5. Unabhängig von der zugrunde gelegten Konzeption ist die erstmalige Erstellung eines risikoorientierten Prüfungsplans mit einem enormen Aufwand verbunden. Denn neben der konzeptionellen Arbeit, die hier skizziert wurde, müssen vor allem die Informationen beschafft und eingepflegt werden. Insofern ist es auch wichtig, dass die gewählte Konzeption stabil und der Aktualisierungsaufwand nicht zu hoch ist. ! Praxishinweis Abschließend sei noch auf ein Problem bei der risikoorientierten Prüfungsplanung hingewiesen: Es handelt sich dabei um ein System, das Abläufe formal vorgibt. Abläufe in institutionalisierten Systemen führen häufig dazu, dass sie als selbstverständlich angesehen, nicht hinterfragt und formal abgearbeitet werden. Die Umwelt der Unternehmen verändert sich jedoch immer schneller und die Unternehmen selbst passen ihre Strukturen und Prozesse an. Das bedeutet für die Interne Revision, dass sie ihre Vorgehensweisen, Konzeptionen und Systeme à jour halten und den sich ändernden Risikosituationen entsprechend anpassen muss. Eine herausfordernde Aufgabe, deren zeitlicher Aufwand keineswegs unterschätzt werden darf.
5
134
COSO = Committee of Sponsoring Organizations of the Treadway Commission.
B.
III.
Mitarbeitereinsatzplanung
Fasst man die Prüfungen der Internen Revision als je einzelne Projekte auf, so sind klare und eindeutige Aufstellungen und Gliederungen der verfügbaren zeitlichen, sachlichen und fachlichen Kapazitäten erforderlich. Diese zu koordinieren, ist Aufgabe einer umfassenden Mitarbeitereinsatzplanung. Ausgehend von der Gesamtprüfungsplanung und der Mehrjahresplanung ergeben sich für die Interne Revision sowohl ein bestimmter Bedarf an Mitarbeitern sowie entsprechende fachliche Anforderungen an diese. Während sich die Anzahl der Mitarbeiter in der Internen Revision an der Größe des Unternehmens, der Anzahl der Prüfungsobjekte und des Industriezweigs bemisst, folgen die fachlichen Anforderungen aus der Art der Prüfungsobjekte. Heute wird gerade vor dem Hintergrund der wieder zunehmenden Bedeutung der Internen Revision hinsichtlich der Diskussionen um eine verbesserte Corporate Governance vielfach angenommen, dass sich die erforderliche Größe einer Revisionsabteilung an objektiven und messbaren Größen ausrichtet. Relationszahlen oder Benchmarks sollen für die Abteilungsgröße relevant sein. Im Rahmen einer Erhebung der Revisionsinstitute in Deutschland, Österreich und der Schweiz vom Oktober 20036 werden folgende Faktoren für die Bemessung der Anzahl von Revisionsmitarbeitern genannt: ■ Erfahrungswerte ■ Relationszahlen (Prüfer je Beschäftigten, Bilanzsumme, Geschäftsentwicklung, letzte IIR-Umfrage, Kundenzahl, branchenspezifische Kennzahlen) ■ Festlegung des Prüffeldes mit entsprechender Risikobewertung ■ Verfügbares Budget bzw. vorgegebener Stellenplan ■ Benchmarking
6
3
Prüfungsplanung
Die Interne Revision in Deutschland, in Österreich und in der Schweiz 2004; hrsg. vom Institut für Interne Revision e.V., Institut für Interne Revision Österreich, Schweizerischer Verband für Interne Revision, verfasst von Roland Füss, Frankfurt, Wien, Zürich 2004.
135
31
3 32
33
3
§3 34
Prüfungsprozess
Die nachfolgende Abbildung verdeutlicht die Verteilung im Rahmen der Erhebung:
Personalbemessung Erfahrungswerte
3
Relationszahlen
Risikoorientierung
Verfügbares Budget
Benchmarking
0
100
200
300
400
500
Quelle: Die Interne Revision in Deutschland, in Österreich und in der Schweiz 2004
35
36 37
38
Abbildung 3-6: Ansatzpunkte für eine angemessene Personalausstattung der Internen Revisionsabteilung Danach gilt für die Unternehmen, die an der Befragung teilgenommen haben, dass die Macht des Faktischen die Größe der Abteilung bestimmt, nicht aber solche Kriterien, die aus der Aufgabe der Revision, ihrer Stellung im Unternehmen oder aus dem Vergleich mit Wettbewerbern resultieren. Insofern bleibt mit Blick auf die Mitarbeitereinsatzplanung festzuhalten, dass der Revisionsleiter weniger planen als hinnehmen muss. Wie erwähnt, muss die Mitarbeitereinsatzplanung unabhängig von ihrem zeitlichen Horizont (Mehrjahresplanung, Jahresplanung) das Qualifikationsprofil der Mitarbeiter berücksichtigen. Zwar hat es mit der Einführung der Berufsexamina für Revisoren (CIA, CISA, CFE u.ä.) eine Professionalisierung des Berufsstands gegeben und die Unternehmen begreifen die Revision aufgrund ihres Einsatzes in allen relevanten Bereichen auch zunehmend als Ausbildungsstätte und Rekrutierungspool für Führungskräfte. Doch unabhängig von diesen generellen Entwicklungen ist bei der Mitarbeitereinsatzplanung darauf zu achten, dass die Revisoren entsprechend ihrer Eignung eingesetzt werden. D.h. zunächst, dass Stellenbeschreibungen der Internen Revision vorliegen müssen und diese müssen zu den Anforderungen passen, die aus den Planungen resultieren. Des Weiteren sind Mitarbeiterprofile vorzuhalten, so genannte Skill Sets.7 Die Mitarbeiterprofile sollten sich aus Sicht des Planenden nicht auf die unmittelbare „technische“ Eignung des Prüfers beschränken. Zwar ist es für eine Prüfung im Ausland erheblich, dass der Prüfer mindestens die englische Sprache beherrscht. Darüber hinaus wären aber insbesondere Fähigkeiten der interkulturellen Zusammenarbeit wünschenswert. Mit anderen Worten: Neben revisionsspezifischen Kenntnissen (ggf. erworben durch ein Berufsexamen) und Wissen über den zu prüfenden Bereich (z.B. Finanzen) sollte das Mitarbeiterprofil Aussagen enthalten zur sozialen Kompetenz, zur 7
136
Dass das Vorhalten solcher Mitarbeiterprofile (insbesondere in elektronischer Form) datenschutzrechtlichen Regelungen unterliegt und zudem mit Betriebsräten abzustimmen ist, sei hier nicht weiter ausgeführt, aber ausdrücklich erwähnt.
C.
Kooperationsfähigkeit, zur Kommunikationsfähigkeit und zur Fähigkeit, sich mit fremden Kulturen auseinanderzusetzen. Die Mitarbeiterprofile sind dann die Basis für die konkrete Einsatzplanung, die in modernen Revisionsabteilungen heute mit elektronischen Hilfsmitteln erfolgt, die bereits automatisch Sperrzeiten (Feiertage, Urlaub) anzeigen, Überschneidungen verdeutlichen und bei der Auswahl freier Kapazitäten unterstützen. Eine strukturierte Mitarbeitereinsatzplanung, verbunden mit einer geeigneten Zeiterfassung, ermöglicht vor allem die Erstellung eines zuverlässigen Prüfungsprogramms für die einzelnen Revisoren. Darüber hinaus wird neben der ganzheitlichen Steuerung der Revisionsabteilung die Option für eine Analyse von Leistungskennzahlen bestehen. Auf Basis von Erfahrungen aus den Vorjahren kann die Einsatzplanung stetig verfeinert werden, indem Standardwerte zum Zeitbedarf bei regelmäßig wiederkehrenden Prüfungen ermittelt werden. Letztlich muss die Mitarbeitereinsatzplanung eine an der Kapazität der Abteilung und den Fähigkeiten, Erfahrungs- und Wissengraden der einzelnen Revisoren orientierte Vorgehensweise ermöglichen. Eine besondere Problematik innerhalb der Mitarbeitereinsatzplanung stellen so genannte Ad hocPrüfungen dar, die regelmäßig in Fällen dolosen Handelns auftreten. Solche Prüfungen lassen sich weder inhaltlich noch zeitlich hinsichtlich Auftreten und Dauer prognostizieren. Es ist eher eine Glaubensfrage als gesichertes Wissen, wie solche Prüfungsfälle in der Jahresplanung und der Mitarbeitereinsatzplanung berücksichtigt werden. Wer eine Vollauslastung seiner Kapazitäten plant, geht das Risiko ein, den risikoorientierten Prüfungsplan des Jahres nicht abarbeiten zu können. Andererseits besteht das Problem, dass bei Vorhalten eines Puffers für Ad hoc-Prüfungen Kapazitäten im Falle des Nicht-Auftretens von Sonderfällen ungenutzt bleiben.
C.
3 40
41
42
43
44
45
Prüfungsauftrag und -ankündigung
Die risikoorientierte Prüfungsplanung umfasst auch die Priorisierung der einzelnen Prüfungen. Um dann letztlich die Prüfung gemäß der von der Unternehmensführung genehmigten Planung durchführen zu können, erfolgt im Regelfall die Ausformulierung eines konkreten Prüfungsauftrags und die entsprechende Ankündigung der Prüfung bei der betroffenen Stelle bzw. Einheit. 8
39
Prüfungsvorbereitung
Die Phase der Prüfungsvorbereitung ist für den Erfolg der eigentlichen Prüfungsarbeit von maßgeblicher Bedeutung. Die Intensität der Vorbereitung hängt selbstverständlich auch vom eigenen Qualitätsanspruch ab, aber daneben auch von Ziel, Art und Umfang der Prüfung sowie von der Bedeutung des Prüfungsobjektes.8 Neben der Ausformulierung des Prüfungsauftrags und der entsprechenden Prüfungsankündigung ist die Prozessphase der Prüfungsvorbereitung vor allem geprägt durch die Erstellung einer dezidierten Prüfungsdisposition sowie durch die Einholung von entsprechenden diesbezüglichen Informationen. Es gilt, dass eine sorgfältige und zielgerichtete Prüfungsvorbereitung ganz wesentlich dazu beiträgt, die Prüfungsqualität zu verbessern und die Dauer von Prüfungen vor Ort zu minimieren.
I.
3
Prüfungsvorbereitung
Füss, R.: Die Interne Revision, S. 179.
137
46
3
§3
47
3
48
49
50
51
52
53
D.h., dass der Leiter der Internen Revision vor jeder Prüfung eine Prüfungsankündigung an den zu prüfenden Bereich zu versenden hat, die den Prüfungsauftrag durch die Unternehmensleitung bestätigt. In welchem Zeitraum vor Prüfungsbeginn dies geschieht, ist unternehmensweit einheitlich zu regeln. Ggf. wird auf eine Prüfungsanmeldung verzichtet, wenn im Rahmen der Prüfung dolose Handlungen untersucht werden müssen. Hier wird in der Regel eine Ad hoc-Prüfung durchgeführt. Eine Benachrichtigung bzw. eine formale Ankündigung der Prüfungshandlung im Sinne einer Legitimation durch die Unternehmensleitung wird hier in jeweils geeigneter Weise erfolgen müssen. Prüfungsankündigungen im Rahmen von Regelprüfungen sollten in jedem Fall den Auftraggeber der Prüfungshandlungen beinhalten, um die Frage nach der Legitimation nicht aufkommen zu lassen. Die nachfolgenden Informationen sollten der Prüfungsankündigung immer zu entnehmen sein: ■ geplanter Prüfungsbeginn und Prüfungszeitraum ■ Prüfungsinhalt und –umfang ■ Mitglieder des Prüfungsteams. Darüber hinaus bietet es sich an, dass die Prüfungsankündigung auf das vorab bilateral vereinbarte Kick-off-Meeting verweist und dass der geprüfte Bereich gebeten wird, notwendige Daten und Dokumentationen mit Bezug zum Prüfungsinhalt bereit zu halten. Der in der Prüfungsankündigung festgelegte Prüfungszeitraum sollte durch den zu prüfenden Bereich bestätigt werden. Die Interne Revision sollte für sich grundsätzlich regeln, wie mit etwaigen Prüfungsverschiebungen umzugehen ist. D.h. insbesondere, dass Eskalationsstufen definiert sein müssen, damit eine Prüfung nicht dauerhaft aufgeschoben wird. Die mit der Prüfungsankündigung verbundenen Risiken einer Verschleierung oder der Einleitung von Korrektur- und Abwehrmaßnahmen durch den zu prüfenden Bereich sind eher unbedeutend. Einerseits werden die Empfänger der Prüfungsankündigung, nämlich in der Regel Führungsgremien, ein eigenes Interesse an der objektiven Analyse des zu prüfenden Bereichs haben. Andererseits hat der Revisor es selbst in der Hand, welche Stichprobe eines Prüffeldes er zieht oder welche Periode er anschaut. Umfangreiche Manipulationen lassen sich insofern im Vorfeld einer Prüfung kaum verschleiern.9 Für die Formulierung des Prüfungsanschreibens sollte grundsätzlich gelten, dass dieses flexibel und offen zu gestalten ist. Auf diese Weise kann sichergestellt werden, dass während der Prüfung auftauchender Anpassungsbedarf aufgrund von Prüfungsfeststellungen problemlos unter den Prüfungsauftrag subsumiert werden kann.
II. 54
Prüfungsprozess
Prüfungsprogramm, Prüfungsdisposition und die Einholung relevanter Informationen
Ein wichtiges internes Steuerungsinstrument für die Leitung der Internen Revision ist die Festlegung des Prüfungsprogramms bzw. der Prüfungsdisposition. Auch um den Anforderungen an ein effizientes und effektives Qualitätsmanagement für die Interne Revision gerecht zu werden, ist die Aufstellung eines konkreten Arbeitsprogramms vor Prüfungsbeginn erforderlich. 9
138
Vgl. auch Hofmann, Rolf: Prüfungshandbuch, 4. völlig überarbeitete und erweiterte Auflage, Berlin 2002, S. 276 f.
C.
3
Prüfungsvorbereitung
Das Prüfungsprogramm sollte mindestens die nachfolgenden Inhalte abdecken: ■ Prüfungsmeldung mit Prüfungstitel, laufende Prüfungsnummer, Prüfungsbeginn und -ende, zu prüfender Zeitraum, Prüfer ■ Prüfungsziele ■ Prüfungsumfang ■ erforderliche Prüfungsunterlagen ■ beabsichtigte Prüfungshandlungen. Mit der Erstellung des Arbeitsprogramms sollten revisionsintern zwischen Prüfer und Prüfungsleiter auch Meilensteine für das Prüfungsprojekt vereinbart werden, die dann letztlich die Prüfungsdauer definieren. Wie bereits ausgeführt, muss das Prüfungsprogramm insbesondere die relevanten Prüfungsziele umfassen. Für eine Prüfung im Funktionsbereich Einkauf könnten die entsprechenden Prüfungsziele beispielsweise wie folgt aussehen:
55
3 56
57
Beispiel für Prüfungsziele Im Rahmen der Prüfung des Einkaufs soll festgestellt werden, dass •
Gegenstände und Dienstleistungen preisgünstig beschafft und in Übereinstimmung mit den Qualitätsspezifikationen der Gesellschaft eingekauft werden.
•
der Einkaufsprozess mit Hilfe eines DV-Systems in effizienter Weise organisiert und überwacht wird.
•
die internen Kontrollen funktionsfähig und effizient sind.
•
die Richtlinien und Vorgaben des Managements beachtet werden.
•
Bedarfsanforderungen, Angebote, Bestellungen, Wareneingänge oder Leistungsnachweise und Lieferantenrechnungen ordnungsgemäß dokumentiert sind und vollständig, richtig und zeitnah erfasst werden.
•
die Rechnungsprüfung sicherstellt, dass nur erhaltene Güter und Dienstleistungen zu den vereinbarten Preisen und Konditionen bezahlt werden.
•
nur Beschaffungsvorgänge initiiert werden, die betrieblich notwendig und wirtschaftlich sinnvoll sind.
Abbildung 3-7: Beispiel für Ziele einer Einkaufsprüfung Mit Bezug auf den Prüfungsumfang gilt es, Tiefe und Detaillierungsgrad der Untersuchung zwischen Revisor und Prüfungsleitung zu vereinbaren. Dabei gilt es zunächst festzulegen, welchen Untersuchungszeitraum die Prüfung zu umfassen hat. Neben der zeitlichen Komponente umfasst der Prüfungsumfang des Weiteren eine sachliche Dimension. Zwischen Prüfer und Prüfungsleitung gilt es demnach im Rahmen der internen Prüfungsdisposition auch zu vereinbaren, ob ggf. eine Vollprüfung des zu untersuchenden Bereichs geplant ist oder ob nur in Stichproben geprüft wird. Bei Stichprobenprüfungen ist dann die Art und Weise zu klären, wie die Stichprobe gezogen wird. Mit der Festlegung des Prüfungsumfangs in zeitlicher wie sachlicher Hinsicht ist jedoch nicht intendiert, dass in keinem Fall weitergehend geprüft werden darf. Es muss zwischen Prüfer und Prüfungsleitung immer klar sein, dass im Falle des Auftretens von Fehlern, Unkorrektheiten oder von Verdachtsmomenten tiefer gehende Analysen nicht nur erlaubt, sondern verlangt sind. 139
58
3
§3 59
60
3
Prüfungsprozess
Prüfungsumfang und die vorgesehenen Prüfungshandlungen bedingen sich gegenseitig. Dabei beschreiben die Prüfungshandlungen das Vorgehen innerhalb der Prüfung. Die Auswahl der entsprechenden Methoden und Techniken sollte zwischen Prüfer und Prüfungsleitung abgesprochen sein, wobei dem Prüfer vor Ort stets die Freiheit eigenständigen Handelns einzuräumen ist. Die nachfolgende Abbildung führt die Prüfungstechniken der Internen Revision stichpunktartig auf.10 Näheres zu einzelnen Prüfungstechniken findet sich in den weiter hinten folgenden Ausführungen zum Prüfungsumfang.
Prüfungstechniken formell informell
Form lückenlos
Umfang
stichprobenartig progressiv
Richtung Inhalt Gegenstand
retrograd einfach komplex Einzelgegenstand System
Methode
direkt indirekt
Vorgehensweise konventionell automatisiert
61
62
Abbildung 3-8: Prüfungstechniken Abschließend wird im Prüfungsprogramm aufgeführt, welche Unterlagen vorab von der zu prüfenden Stelle einzufordern sind. Dazu sollten standardmäßig zählen: ■ möglicherweise aus früheren Prüfungen vorhandene Berichte, auch solche anderer Prüfungseinrichtungen als der Internen Revision ■ Berichte der Jahresabschlussprüfer sowie ggf. vorhandene Management Letter ■ Organisationshandbücher, Richtlinien und Dienstanweisungen ■ Management Reporting. Darüber hinaus muss zu Prüfungsbeginn geklärt sein, welches ERP-System in der zu prüfenden Einheit zum Einsatz kommt. Daten und Fakten aus den Informationssystemen können bereits im Vorfeld der eigentlichen Prüfungsdurchführung vor Ort abgefragt werden. Dabei ist es selbstverständlich, dass sämtliche Informationen, die im Prüfungsprogramm aufgeführt und abgefragt werden sollen, im Kontext mit dem Prüfungsthema stehen müssen. Im Prüfungsprogramm sollte zwischen Prüfungsleiter und Revisor auch der Einsatz von Prüfungsfragebögen, Checklisten oder elektronischen Tools konkretisiert werden. Darüber hinaus besteht die Möglichkeit, Fachliteratur über das zu prüfende Fachgebiet entsprechend aufzunehmen. 10 Abbildung in Anlehnung an Füss, R., Die Interne Revision, S. 170.
140
3
D. Prüfungsdurchführung Das Prüfungsprogramm ist ein internes Arbeitspapier für die Interne Revision und sollte als solches innerhalb der Abteilung verbleiben. Es dient insbesondere der Vereinbarung zwischen Prüfungsleitung und Prüfer in Bezug auf das Prüfungsobjekt und ist als ein wesentliches Werkzeug der internen Steuerung und Qualitätssicherung anzuwenden.
D.
3
Prüfungsdurchführung
Grundsätzlich hat ein Prüfer im Rahmen der Durchführung seiner Tätigkeit ein deutlich höheres Maß an Freiraum als andere Stellen im Unternehmen. Dies ist aber gleichbedeutend verbunden mit einer hohen Eigeninitiative und Verantwortung des Prüfers. Im Verlaufe einer Prüfung können Situationen entstehen, die von dem Prüfer eigenverantwortlich und fachgerecht beurteilt werden müssen. Die „Kunden“ der Internen Revision erwarten heute den qualifizierten Prüfer, der in der Lage sein muss, die gesamte Wertschöpfungskette des Unternehmens abdecken zu können. Weitere Erwartungen, die heute an die Durchführung von Revisionsprüfungen gestellt werden, sind ■ kurze Prüfungen, ■ ggf. multidisziplinäre Audits, ■ Co-Sourcing, wo erforderlich, ■ sorgfältige Planung der Prüfungsgespräche und ■ ein Abschlussgespräch, in dem die wesentlichen Ergebnisse professionell präsentiert werden. Vor diesem Hintergrund kann eine standardisierte Prüfungsdurchführung den Prüfer in seiner Arbeit nur unterstützen. Zudem verlangt der IIA–Standard 2340, dass „die Durchführung der Aufträge… in geeigneter Weise zu beaufsichtigen“ ist, „um sicherzustellen, dass die Ziele erreicht, die Qualität gesichert und die Weiterentwicklung des Personals gefördert wird.“ Der entsprechende Praktische Ratschlag 2340–1 verdeutlicht, dass sich die Aufsicht des Prüfungsleiters über den gesamten Prozess der Prüfungsdurchführung erstreckt.
I.
63
64
65 66
67
Kick-off
Zu Beginn der eigentlichen Prüfung vor Ort („Field Activities“) empfiehlt es sich, ein Kick-offMeeting durchzuführen. Durch die Zusammenkunft der Prüfungsbeteiligten zum Start der Prüfung soll die Prüfung zu einem gemeinsamen Vorhaben werden. Eine gute Planung des Treffens und eine hochkarätige Besetzung von Unternehmensseite sollen dazu beitragen, den Anwesenden die Bedeutung der Prüfung zu verdeutlichen. Das Treffen bietet die Möglichkeit, den Auftrag der Internen Revision und ihr Selbstverständnis den geprüften Stellen im Unternehmen bekannt zu machen. Das Kick-off-Meeting soll entsprechende Dynamik in den Prüfungsstart bringen. Es ist für alle Beteiligten eine gute Gelegenheit, sich zum Prüfungsbeginn zu begegnen und Ideen, Erwartungen und Fachwissen auszutauschen. Das Meeting sollte dazu genutzt werden, ■ Interesse an der Prüfung zu wecken, ■ Ziele, Strategien und Maßnahmen zu präsentieren, ■ die Aufgaben und Rollen aller Beteiligten transparent zu machen, 141
68
69
3
§3
Prüfungsprozess
■
70
3
Erfahrungen auszutauschen, ■ die geprüfte Stelle als Kooperationspartner zu gewinnen. Neben diesen übergeordneten Zielsetzungen eines Kick-off-Meetings sollte das Treffen dem Prüferteam dazu dienen, ■ die Inhalte der Prüfung vorzustellen und ggf. zu diskutieren, ■ etwaige Prüfungswünsche des geprüften Bereichs aufzunehmen, ■ die eigene Vorgehensweise zu erläutern, ■ den zeitlichen Ablauf der Prüfung abzustimmen, ■ prüfungsrelevante Unterlagen zu erhalten oder anzufordern. Insbesondere bietet es sich an, erste Gesprächstermine festzulegen und einen verbindlichen Termin für die Abschlusspräsentation zu vereinbaren. Ein Kick-off-Meeting obligatorisch als Prüfungsbeginn vorzuschreiben, erscheint auf den ersten Blick zwingend. Jedoch sollte dieses Vorgehen insbesondere dann überdacht werden, wenn es sich um Standardprüfungen handelt, bei denen sich die handelnden Personen kennen und auch inhaltlich eine Klärung überflüssig ist. Eine Entscheidung bezüglich der Durchführung eines Kick-off-Meetings obliegt dem Revisionsleiter.
II. 71
72
73
74
Prüfungsumfang (Notwendigkeit und Wesentlichkeit)
Für die erfolgreiche Prüfung und damit auch für die Akzeptanz der Internen Revision im Unternehmen sind neben der fachlichen Expertise des Prüfers und dessen sozialer Kompetenz auch entscheidend, dass die geprüften Bereiche die Notwendigkeit einer Prüfung nachvollziehen können und die Prüfung einen angemessenen Umfang hat. Da die Interne Revision auf flächendeckende Wirkung zielt, sind alle Unternehmensbereiche und Sachgebiete mögliche Themen für Revisionsaufträge. Diese Vielfalt birgt das Risiko in sich, dass Themengebiete bearbeitet werden, die zwar vordergründig aus Revisionssicht interessant erscheinen, aber jeglichen Bezug zum Gesamtunternehmen vermissen lassen. Eine solche Beschäftigung auf „Nebenkriegsschauplätzen“, die auch noch die zeitlichen Ressourcen der geprüften Stelle beanspruchen, sorgt zwar für eine kontinuierliche Auslastung der Revisoren; es wird aber bereits bei der Prüfungsankündigung zu Unmut bei den Geprüften kommen. Mit anderen Worten: Die Revision muss auf Basis der risikoorientierten Prüfungsplanung den Bereichen verdeutlichen können, warum geprüft wird. Neben der Verdeutlichung der grundsätzlichen Notwendigkeit einer Prüfung ist deren Erfolg häufig auch von ihrem Umfang abhängig. Dabei ist insbesondere zu klären, ob eine objektivierte Urteilsfindung nur durch eine Vollprüfung erreichbar ist oder ob eine wie auch immer geartete Teilprüfung ausreicht. Vollprüfungen sind grundsätzlich nur dann sinnvoll durchführbar, wenn der zu untersuchende Bereich begrenzt und überschaubar ist. Notwendig können sie sein, wenn bezüglich eines Sachgebietes vollständig Klarheit über sämtliche Geschäftsvorfälle geschaffen werden muss. Dies wird für gewöhnlich nur in Fällen von Unterschlagung, Korruption u.ä. erforderlich sein. Ansonsten sind Vollprüfungen weder aus Zeit- und Kostengründen vertret- und durchführbar, noch zur fundierten Urteilsfindung notwendig.
142
3
D. Prüfungsdurchführung Insofern ist es sinnvoll, sich durch Stichprobenprüfungen zu behelfen. Bei Stichprobenprüfungen werden Teilbereiche einer Prüfungsgesamtheit ausgewählt und untersucht. Die Auswahl der zu untersuchenden Teilbereiche muss so ausgerichtet sein, dass aufgrund der Untersuchung des Teilbereichs mit hinreichender Sicherheit auf die Beurteilung der Gesamtheit geschlossen werden kann. Stichprobenprüfungen können in Hinblick auf ihre Auswahlkriterien unterschieden werden.11 So lassen sich ■ die bewusste Auswahl und ■ die Zufallsauswahl unterscheiden. Bei der bewussten Auswahl einer Stichprobe wird gezielt festgelegt, welche Elemente Bestandteil der Stichprobe werden sollen. So kann die Auswahl etwa nach dem Fehlerrisiko eines Elements erfolgen, nach der Bedeutung innerhalb der Grundgesamtheit oder danach, ob bestimmte Elemente für die Grundgesamtheit typisch sind. Die Kriterien, die einer bewussten Auswahl im Rahmen einer Stichprobenprüfung zugrunde liegen, sind zwischen Prüfer und Prüfungsleitung abzusprechen. Neben der bewussten Auswahl können Stichprobenprüfungen auch auf einer Zufallsauswahl beruhen. Bei der Zufallswahl werden anders als bei der bewussten Auswahl keine subjektiven Kriterien für die Auswahl der zu untersuchenden Elemente der Grundgesamtheit vorgegeben, sondern die zu prüfenden Elemente werden mit Hilfe mathematisch-statistischer Methoden festgelegt. Die vorstehenden Aussagen zum Prüfungsumfang gehen implizit von so genannten Einzelprüfungen aus, deren Gegenstand einzelne Ergebnisse von Informationsverarbeitungsvorgängen sind. Schwerpunktmäßig finden solche Einzelprüfungen im Finanz- und Rechnungswesen statt und betreffen Arbeitsgebiete wie die Geschäftsbuchhaltung, den Zahlungsverkehr, Inventuren oder die Rechnungsprüfung u.ä.m.12 Ergänzend zu Einzelprüfungen finden heute im Anschluss an ein moderneres Revisionsverständnis zunehmend Systemprüfungen statt. Die stets ansteigende Komplexität der Unternehmen bedingt einen Bedarf nach Prüfungen, die über die Belegprüfungen und Ausschnittsbetrachtungen im Finanz- und Rechnungswesen hinausgehend die Funktionsfähigkeit von Strukturen und Prozessen in Systemen auf den Prüfstand stellen. Systemprüfungen verfolgen das Ziel, alle wesentlichen Bereiche des Unternehmens abzudecken, Verfahren und Strukturen zu erfassen und letztlich durch geeignete Empfehlungen und Maßnahmen die geprüften Systeme zu verbessern. Gebiete für Systemprüfungen sind beispielsweise Materialwirtschaft, Vertrieb, Fertigung oder auch Tochter- und Beteiligungsgesellschaften. Neben Aspekten der Effektivität und Effizienz der geprüften Bereiche bezieht die Systemprüfung immer auch die Ordnungsmäßigkeit der Abläufe sowie die Überprüfung des Internen Kontrollsystems und der Steuerungsmechanismen mit ein.
III.
75
3
76
77
78
79
80
81
Prüfungsverhalten und Prüfungshandlungen
Das Verhalten der Prüfer hat sich an den allgemeinen Berufsgrundsätzen zu orientieren. Diese sind niedergelegt im Kodex der Berufsethik (Code of Ethics) des IIA. 11 Vgl. hierzu Hofmann, R.: Prüfungshandbuch, Berlin 2002, S. 280 ff. 12 Vgl. Horváth, P., Controlling, S. 759.
143
82
3
§3 83
3 84
85
86
87
Prüfungsprozess
Mit dem Code of Ethics verfolgt die Standesvertretung der Revisoren das Ziel, eine von ethischen Grundsätzen geprägte Kultur für den Berufsstand der Revisoren zu fördern. Die im Code of Ethics niedergelegten Regeln beschreiben, wie sich Interne Revisoren verhalten sollen. Diese Regeln müssen insbesondere von Mitgliedern des Instituts für Interne Revision e.V. bzw. Mitgliedern des IIA und Inhabern von oder Kandidaten/Kandidatinnen für CIA-Bestätigungen eingehalten werden. Verstöße gegen die Berufsethik werden entsprechend der Satzung des Instituts und den Verwaltungsvorschriften beurteilt und behandelt. Im Code of Ethics werden die folgenden Erwartungen an das Verhalten Interner Revisoren formuliert: ■ Rechtschaffenheit ■ Objektivität ■ Vertraulichkeit ■ Fachkompetenz. Zu den einzelnen Bereichen sind Verhaltensregeln formuliert worden, die die Erwartungen an den Internen Revisor spezifizieren. So heißt es etwa zur „Rechtschaffenheit“, dass die Revisoren ihre Aufgabe korrekt, sorgfältig und verantwortungsbewusst wahrnehmen und die Gesetze beachten und rechtliche sowie berufliche Offenlegungspflichten erfüllen müssen. Des Weiteren dürfen sie nicht wissentlich in illegale Aktivitäten involviert sein oder bei Handlungen mitwirken, die den Berufsstand der Internen Revision oder ihr Unternehmen in Misskredit bringen. Auf der Basis dieser eher allgemein gehaltenen Verhaltensregeln sind die Prüfungshandlungen der Internen Revision auszurichten. Dass man sich diesem Grundgerüst des Handelns für die Interne Revision auch kritisch annähern kann, wird im weiteren Verlauf der Ausführungen noch zu sehen sein. Die Vorgehensweise bei Prüfungen wird im Regelfall wie nachfolgend dargestellt aussehen:
Prüfungshandlungen 1
2
3
4
Familiarization
Verification
Evaluation and Recommendation
Reporting
Der Prüfer muss sich mit dem zu prüfenden Bereich vertraut machen. Er muss Zielsetzungen kennen lernen und erfahren, wie diese erreicht werden. Die beste Orientierung bieten Organisationspläne und Richtlinien.
Der Prüfer muss die ihm aus Gesprächen und Unterlagen bekannt gewordenen Sachverhalte der Realität gegenüberstellen. Z.B. muss er feststellen, ob die in den Richtlinien festgelegten Abläufe tatsächlich in der vorgeschrieben Art und Weise vor sich gehen.
Quelle: in Anlehnung an Horváth, P., Controlling, S. 763
Abbildung 3-9: Prüfungshandlungen
144
Der vorgefundene IstZustand wird vom Prüfer mit den vorgegebenen Zielen verglichen und das Ziel kritisch geprüft. Die Bewertung sollte mit Empfehlungen zur Verbesserung verbunden sein.
Die Arbeitsergebnisse der Prüfung sind der Unternehmensleitung in geeigneter Form zu präsentieren.
3
D. Prüfungsdurchführung Zunächst wird sich der Prüfer bzw. das Prüfungsteam mit den Gegebenheiten des Prüfungsobjektes vertraut machen müssen. In dieser Phase ist es bedeutsam, das Vertrauen der geprüften Stelle zu erlangen und sich als kompetenter Partner zu etablieren. Die im Rahmen der ersten Phase der Prüfungshandlungen erlangten Informationen müssen sodann verifiziert werden. D.h., dass z.B. die in Prozessabläufen und Richtlinien dokumentierten Strukturen und Abläufe mit der Realität abgeglichen werden müssen. Aus dem Abgleich von Soll- und Ist-Objekt ergeben sich anschließend entsprechende Bewertungen und Empfehlungen. Dabei geht es nicht ausschließlich um die Feststellung von Normabweichungen. Wichtiger sind letztlich solche Feststellungen und Empfehlungen, die zu Verbesserungen der Strukturen und Abläufe innerhalb des geprüften Bereichs führen. Die Anerkennung der Internen Revision innerhalb eines Unternehmens bemisst sich heutzutage wesentlich daran, wie und im welchem Maße es ihr gelingt, Strukturen und Prozesse durch geeignete Maßnahmenvorschläge zu verbessern. Die Prüfungshandlungen finden ihren Abschluss durch die Berichterstattung an einen geeigneten Empfängerkreis. Die konkret durchzuführenden Prüfungshandlungen müssen sich am Grundsatz der Wesentlichkeit und der Notwendigkeit orientieren. D.h., dass aus der Vielzahl von Datenquellen und Handlungsoptionen diejenigen ausgewählt werden müssen, die am ehesten dazu geeignet sind, das im Prüfungsprogramm spezifizierte Prüfungsziel zu erreichen. Die Auswahl der konkreten Prüfungshandlungen ist stets im Gesamtzusammenhang von Prüfungsobjekt und Prüfungsziel vorzunehmen. Mit Hilfe der ausgewählten Prüfungshandlungen muss eine belastbare Aussage über den Zustand des Prüfobjektes gewährleistet sein. Gegebenenfalls sind die vor Beginn der Prüfung festgelegten Prüfungshandlungen aufgrund von Erkenntnissen während der Prüfung vor Ort zu erweitern. Im Einzelnen umfassen Prüfungshandlungen das Sammeln, Analysieren und Bewerten von prüfungsrelevanten Beweisen.13 Folgende Arten von Prüfungshandlungen sind im Wesentlichen relevant:14 ■ Bestätigung von Sachverhalten durch externe Parteien ■ Analyse von Dokumenten ■ Stichprobenprüfungen ■ Analytische Prüfungshandlungen ■ Exemplarischer Prozessdurchlauf ■ Direkte Beobachtung ■ Testen der internen Kontrollen ■ Interviews. Mit der richtigen Auswahl der Prüfungshandlungen wird der Erfolg einer Prüfung vorbestimmt. Insofern gilt es, dass sich Revisionsleiter, Prüfungsleiter und Prüfer im Vorfeld eines Prüfungsprojektes genau über die beabsichtigten Prüfungsziele verständigen und dementsprechend ihre Handlungen ausrichten.
13 Definition gem. Kagermann, H., Küting, K., Weber, C.-P.; Handbuch der Revision, Management mit der SAPRevisions-Roadmap, Stuttgart 2006, S. 241. 14 Ebenda, S. 242.
145
88
3
89
90
91
3
§3
IV. 92
3
93
94
95
96
97
Prüfungsprozess
Technische und methodische Hilfsmittel
Die Basis jeder Prüfung ist die Aufnahme des Ist-Zustandes des Prüfungsobjektes. Um ein realistisches Bild von der Situation vor Ort zu erhalten, muss der Prüfer die angemessenen Erhebungsinstrumente auswählen und anwenden. Die grundlegenden Erhebungsinstrumente sind wie folgt: ■ Sichtung und Auswertung von Anweisungen, Richtlinien, Systembeschreibungen, DV-Programmen, Geschäftsvorfällen und statistischen Aufzeichnungen ■ Interviews ■ Fragebögen ■ Systematische Beobachtung ■ Analyse vorhandener Reportings und anderer Dokumente ■ Erhebung eigener Daten. Ein nach wie vor bedeutsames Hilfsmittel für die Arbeit der Internen Revision sind die bereits erwähnten Fragebögen oder Checklisten. Mitunter sind Checklisten als methodisches Hilfsmittel etwas in Verruf geraten. Schließlich war man bemüht, unternehmensintern mehr als Berater wahrgenommen zu werden und nicht so sehr als „Hakenmacher“. Aber dennoch bleibt wohl festzuhalten, dass sich gerade in der Phase der Prüfungsvorbereitung Checklisten nach wie vor als hilfreich erweisen. Nicht immer kann der Revisor auf allen Fachgebieten Expertise en detail vorhalten. Checklisten können dabei helfen, eventuell vorhandene Wissenslücken zu schließen. Gute Checklisten bieten darüber hinaus die Gewähr, ein Prüfungsfeld vollständig erfasst zu haben. Ein immer wichtiger werdendes Hilfsmittel im Rahmen von Prüfungen sind Software-Anwendungen zur Datenanalyse. Sämtliches Unternehmensgeschehen bildet sich heute in den elektronischen Systemen der Gesellschaften ab. In der Regel finden sich heutzutage in den Unternehmen ERP (Enterprise Resource Planning) – Systeme von SAP, Navision, Microsoft oder anderen Anbietern. Darüber hinaus werden Daten in den Anwendungen wie Excel, Access u.a. verarbeitet. Insbesondere bei großen Datenmengen besteht dann das Problem, die „richtigen Daten“ für ein Prüfungsfeld zu erfassen. Nur mit Gespür, der Erfahrung und den EDV-technischen Kenntnissen des Prüfers wird man dem Datenwust heutzutage nicht mehr Herr. Um die in den Unternehmenssystemen enthaltenen Informationen auswerten zu können, bedient sich die Interne Revision vermehrt spezieller digitaler Datenanalyseprogramme wie etwa ACL oder IDEA. Diese Softwaretools sind dazu geeignet, Massendaten auszuwerten. Der Einsatz von computer-gestützten Prüfungswerkzeugen gilt allgemein als Best Practice. So sieht der IIA-Standard 1220 vor, dass der Interne Revisor im Rahmen seiner beruflichen Sorgfaltspflicht den Einsatz computergestützter Methoden und weitere Datenanalysetechniken zu berücksichtigen hat. Das bedeutet auch, dass sich bei einem Quality Review der Internen Revision die Nutzung von EDV-Tools in der Bewertung niederschlagen wird. Die Vorteile der Datenanalyseprogramme mögen durch die nachfolgende Aufzählung dargestellt sein: ■ erweiterter Prüfungsrahmen durch Zeitersparnis ■ Geringere Fehlerquote, da eine Vielzahl von Geschäftsfällen zu 100 % überprüft werden kann ■ Verwendung tatsächlich signifikanter Stichproben und nicht einer zufälligen Auswahl ■ Zusätzliche Analysemöglichkeiten und ABC-Schichtungen 146
3
D. Prüfungsdurchführung ■
Benford- und Chi2- Analysen zur Erkennung von Unregelmäßigkeiten ■ Möglichkeit, auf IT-Spezialisten zu verzichten ■ Keine Einschränkung von Systemfunktionen, Leistung und Datenintegrität. Das Institute of Internal Auditors hat ermittelt, dass sich Revisoren für die Analyse von Massendaten heute noch mehrheitlich auf das Kalkulationsprogramm Excel von Microsoft (49 %) stützen. Excel bietet jedoch nur die Möglichkeit, Tabellen mit maximal 65.536 Zeilen mit maximal 256 Spalten (= 65.535 Datensätze) in einer Datei zu verarbeiten. Der Import größerer Datenmengen – beispielsweise aus SAP – ist deshalb nicht möglich. Hingegen bieten Produkte, wie ACL oder IDEA, die speziell für die Datenanalyse geschaffen worden sind, nach Angabe ihrer Hersteller die Möglichkeit einer Verarbeitung von bis zu 2,1 Milliarden Datensätzen. Die Datensätze können dabei aus fast allen Programmen und Datenbanken importiert und im Datenanalyseprogramm verarbeitet werden. Darüber hinaus erlauben diese Programme, vorgefertigte Analysen vorzunehmen, wie etwa Gültigkeitsprüfungen (Sonderfalltests, Stichproben und Mehrfachbelegung). Solche Tests können zur Auffindung von Ausnahmen und Sonderfällen eingesetzt werden, um unübliche oder auffällige Positionen zu ermitteln. Dies können ungewöhnlich große Werte sein oder Datensätze, bei denen die Werte zweier Positionen nicht zusammenpassen. Zur Auffindung von Ausnahmen und Sonderfällen wenden die Datenanalyseprogramme u.a. Benford’s Law und die Chi2-Methode an. Benford’s Law beschreibt die Gesetzmäßigkeit der Verteilung von Ziffernstrukturen der Zahlen in Datensätzen So gilt für die Anfangsziffern in Zahlen des Zehnersystems, dass Zahlen mit der Anfangsziffer „1“ etwa 6,5-mal häufiger sind als solche mit der Anfangsziffer „9“. Mit anderen Worten: Eine Abweichung von der Häufigkeitsverteilung von Ziffern gemäß Benford’s Law im Rahmen einer Datenanalyse kann ein Hinweis auf eine Manipulation des Zahlenwerkes sein. Wenn es etwa einem Mitarbeiter erlaubt ist, Bestellungen bis zu 1.000 € ohne weitere Genehmigung durch einen Vorgesetzten zur Genehmigung freizugeben, kann das System bei einer Umgehung dieser Anordnung einen Hinweis auf eine eventuelle Manipulation liefern. So etwa, wenn er bei höheren Bestellwerten die Bestellung auf mehrere Positionen aufteilt, denn dann würde bei einer Datenanalyse auf Basis von Benford´s Law die Anfangsziffer „1“ weniger häufig als erwartet erscheinen. Weitere Prüfungen können mit Hilfe des sog. Chi-Quadrat-Test durchgeführt werden. Beim Chi2-Test steht die letzte Vorkommastelle (oder auch die erste Nachkommastelle) im Fokus. Wie bei Benford werden Abweichungen von der „Sollverteilung“ angezeigt. Bei einer größeren Anzahl fingierter Buchungen, Kassenbucheinträge oder manipulierten Kilometerabrechnungen sind somit systematische Abweichungen zu erwarten. Der Chi2-Test liefert mit dem Chi-Wert ein empfindliches Maß für eine Abweichung der Vorkommastelle von der erwarteten Gleichverteilung. Je höher der ermittelte Chi-Wert ist, desto höher ist die Wahrscheinlichkeit, dass es sich um manipulierte Zahlen handelt. Neben diesen statistischen Auswertungsansätzen werden mit den Datenanalyseprogrammen darüber hinaus die Vollständigkeit von Datensätzen mit Hilfe von Lückenanalysen oder Mehrfachbelegungen getestet oder Zeitreihenanalysen durchgeführt. So können beispielsweise fehlende Rechnungsnummern oder doppelte Rechnungen ermittelt sowie Altersstrukturanalysen von Forderungen vorgenommen werden.
147
98
3
99
100 101
102
103
3
3
§3
Prüfungsprozess
104
Mit Hilfe der speziellen Datenanalyseprogramme sollte es zudem leichter möglich sein, die Manipulation von Zahlungsinformationen zu erkennen. Insbesondere in den Bereichen Einkauf sowie Lohn- und Gehalt bieten die Programme Analyse- und Auswertungsmöglichkeiten, die das Aufspüren von möglichen Unregelmäßigkeiten erleichtern.
105
! Praxishinweis Es muss an dieser Stelle betont werden, dass sich die betriebliche Praxis häufig anders darstellt, als es an dieser Stelle den Anschein erweckt. So sind in vielen Unternehmen Lizenzen für ACL oder WinIdea vorhanden, doch außer ein paar Spezialisten werden die Möglichkeiten dieser Auditing Tools nicht wirklich genutzt. An diese Problematik sowie an der Tatsache, dass sich insbesondere die Extraktion von Massendaten aus operativen (SAP-)Systemen als schwierig erweist und ein hinreichendes betriebswirtschaftliches Prozessverständnis häufig nicht gegeben ist, knüpft ein aktuelles Projekt der Bayer AG, der Fachhochschule Deggendorf und dem Unternehmen dab: Daten-Analyse & Beratung GmbH an. 15 Ziele dieses Projektes mit Namen STAAN (Standard Audit Analysis) sind u.a.: ■ Prüfung von Grundgesamtheiten anstelle von Stichproben ■ Standardisierung der Analysen ■ Möglichkeit, Massendatenprüfung durch alle Revisoren durchführen lassen zu können.
106
Mit der Verwirklichung dieses Projektes wären für die Interne Revision enorme Vorteile verbunden, die weit über die reine Nutzung im Zusammenhang konkreter Prüfungsvorhaben hinausgingen. So ließe sich ein solches Tool auch im Rahmen der risikoorientierten Prüfungsplanung einsetzen oder durch Fachabteilungen, die eigene Prozessschwächen erkennen und bearbeiten wollen.
V. 107
108
109
Arbeitspapiere
Das Führen der Arbeitspapiere ist in der revisorischen Praxis eines der schwierigsten Themen innerhalb des Revisionsmanagements. Die Prüfer argumentieren nur allzu häufig, dass das aufwendige Führen von Arbeitspapieren äußerst zeitraubend sei, lediglich formalen Anforderungen nachhänge und somit von der eigentlichen prüferischen Tätigkeit abhalte. Nichtsdestotrotz müssen die Arbeitspapiere die bei einer Prüfung erhaltenen Informationen, Analysen und daraus gezogenen Schlussfolgerungen umfassen. Der Hinweis auf die hohe zeitliche Belastung für das Führen der Arbeitspapiere darf keinesfalls zu einer nicht ordnungsgemäßen Behandlung dieser Aufgabe führen. Grundsätzlich sollte gelten, dass die Arbeitspapiere durch das Prüfungsteam zur Informationssammlung sowie zur Dokumentation des Prüfungsverlaufes und der Prüfungsfeststellungen gewissenhaft zu erstellen sind. Die Arbeitspapiere dienen zum Nachweis der gemachten Feststellungen und dies sowohl gegenüber der geprüften Stelle als auch gegenüber etwaigen Dritten (z.B. bei Peer Reviews). Arbeitspapiere in Form von Notizen, elektronischen Dateien oder sonstige Unterlagen dokumentieren das Prüfungsvorgehen, die Prüfungshandlungen und Ergebnisse. Ordnungsgemäß geführt, geben sie Aufschluss über die verwendeten Informationen und die geführten Gespräche und haben damit auch eine Beweisfunktion. Sie sind im Idealfall so anzulegen, dass auch ein nicht mit der Prüfung befasster Revisionsmitarbeiter die vorgenommenen Prüfungshandlungen und -fest15 Vgl. dazu Bönner, A., Herde, G., Riedl, M., Wenig, S., STAAN: Standard Audit Analysis, in: Zeitschrift Interne Revision, 6/2006, S. 256–260.
148
3
D. Prüfungsdurchführung stellungen erkennen und nachvollziehen sowie danach erforderlichenfalls die begonnene Prüfung fortführen kann. Als Grundsatz für das Führen von Arbeitspapieren muss demnach gelten: Arbeitspapiere müssen dem Prinzip des ordnungsgemäßen Nachweises von Prüfungsdurchführungen Rechnung tragen. Dies bedeutet im Einzelnen: ■ Systematische Ablage ■ Verständlichkeit ■ Dokumentation der Prüfungshandlungen ■ Nachvollziehbarkeit der getroffenen Feststellungen. Um den Anforderungen an die ordnungsgemäße Führung von Arbeitspapieren gerecht werden zu können, bietet sich die Methodik der Referenzierung an. Bei der Referenzierung wird jede Prüfungshandlung bzw. Prüfungsfeststellung mit einem Verweis auf die entsprechende Dokumentation in den Arbeitspapieren versehen. Auf diese Weise wird ein schneller Zugriff auf die jeweiligen Dokumente sichergestellt und einem Dritten fällt eine eventuell erforderliche Nachschau leicht. Abschließend sei noch darauf hingewiesen, dass auch die Internationalen Standards für die berufliche Praxis der Internen Revision die Erstellung und Handhabung von Arbeitspapieren beinhalten und regeln. Der IIA-Standard 2330 „Aufzeichnung von Informationen“ in Zusammenhang mit den entsprechenden „Practice Advisories“ verlangt vor allem, dass ■ die Arbeitspapiere die berichteten Feststellungen untermauern müssen, ■ die Prüfung vollständig aus den Arbeitspapieren heraus nachvollzogen werden können muss, ■ es eine verbindliche Vorgabe des Leiters der Internen Revision für die Dokumentation der Arbeitspapiere geben muss. Die Realität in deutschen Revisionsabteilungen dürfte nach unseren Erfahrungen in vielen Fällen deutlich von diesen Anforderungen abweichen. Vor dem Hintergrund, dass die Erstellung, Verwaltung und Archivierung der Arbeitspapiere sehr zeitintensiv ist und gleichzeitig die Standards sehr hohe Anforderungen stellen, ist zu empfehlen, dass sich jede Revisionsabteilung bemüht, ein Verfahren für die Behandlung der Arbeitspapiere zu entwickeln, das Kosten-Nutzen-Überlegungen mit einbezieht. Solche „Good Practices“ für den Umgang mit Arbeitspapieren haben Westhausen/Hahn vorgelegt.16 Folgt man ihren Vorschlägen, dann sind vier wesentliche Aspekte für den vernünftigen Umgang mit den Arbeitspapieren von Bedeutung: 1. Schriftform 2. Aktenordnung und Sicherheit 3. Referenzierung 4. Aufbewahrungsfrist. Bei allem Bemühen, die Berufsstandards insbesondere im Vorfeld von Quality Assessments umsetzen zu wollen, sei darauf hingewiesen, dass ausufernde Dokumentationspflichten nicht nur zeit- und kostenintensiv sind, sondern vor allem der Revision und dem Unternehmen nur geringen Nutzen stiften.
16 Siehe dazu Westhausen, H.-U., Hahn, U.; Haben wir unsere Arbeitspapiere im Griff?, in: Zeitschrift Interne Revision, 2/2007, S. 72–74.
149
110
3
111
112
113
114
115
3
§3
VI. 116
3
117
118
119
120
121
123
Abschluss der „Field Activities“
Die Prüfung vor Ort muss formal einen geordneten Abschluss finden. Dazu bietet es sich an, dass die Prüfungsergebnisse mit dem Management des geprüften Bereichs im Rahmen eines Abschlussgesprächs oder einer Abschlusspräsentation unmittelbar mit Beendigung der „Field Activities“ erörtert und abgesichert werden. Das Abschlussgespräch bzw. eine entsprechende Präsentation der Prüfungsergebnisse verfolgt in erster Linie den Zweck der Ergebnisabsicherung. Mit dieser Kommunikationsmaßnahme wird der geprüften Einheit nochmals die Möglichkeit zur Stellungnahme und Richtigstellung von Sachverhalten eingeräumt. Insofern ist die Abschlusspräsentation als eine Maßnahme der Qualitätssicherung im Revisionsgesamtprozess von erheblicher Bedeutung. Die Abschlusspräsentation bzw. die Abschlussbesprechung ist rechtzeitig während der laufenden Prüfung zu terminieren, um gewährleisten zu können, dass die maßgeblichen Personen teilnehmen können. Denn es ist Wert darauf zu legen, dass die geprüfte Einheit durch alle fachlich zuständigen Personen vertreten ist, damit während der Präsentation bzw. des Gesprächs Unklarheiten oder Missverständnisse ausgeräumt werden können. Bei umfassenden und bedeutenden Prüfungsthemen sollte das verantwortliche Top-Management entsprechend vertreten sein. Die Interne Revision wird im Abschlussgespräch in der Regel durch den Prüfer oder das Prüfungsteam sowie durch den Prüfungsleiter vertreten. Die Interne Revision sollte am Ende der Präsentation bzw. des Gesprächs die Ergebnisse zusammenfassen und das weitere Vorgehen erläutern. Während des Abschlussgesprächs sollte Einigkeit über die wesentlichen Inhalte der Revisionsprüfung erzielt werden. Insbesondere sind unterschiedliche Interpretationen von Geschäftsvorgängen und -ereignissen auszuräumen sowie strittige Punkte zu klären. Das Abschlussgespräch bzw. die Abschlusspräsentation als formaler Abschluss der Prüfungshandlungen vor Ort dient nicht dazu, Berichtsformulierungen im Detail zu besprechen. Solche Abstimmungen werden erst mit der Vorlage des Berichtsentwurfs sinnvoll möglich sein. Prinzipiell sollte auf die Durchführung von Schlussbesprechungen des Berichtsentwurfs verzichtet werden können, da gravierende Meinungsverschiedenheiten zumeist bereits während des Abschlusses der Prüfung vor Ort ausgeräumt werden können. Selbstverständlich entbindet das Führen eines Abschlussgesprächs bzw. die Durchführung einer Abschlusspräsentation den Prüfer nicht davon, auch während der Prüfung verbale Zwischenberichte an die Beteiligten zu geben.
E. 122
Prüfungsprozess
Prüfungsbericht
Es wird immer wieder gesagt und es ist auch unvermeidlich, es an dieser Stelle zu wiederholen: Der Prüfungsbericht ist die Visitenkarte der Internen Revision. Dem eigentlichen Produkt der Revisionstätigkeit, mit dem die Abteilung nach Außen wahrnehmbar auftritt, ist entsprechend hohe Aufmerksamkeit zu widmen. Erscheinungsbild (Umfang, Form, Struktur) und Inhalt des Revisionsberichts müssen den hohen Erwartungen entsprechen, die die Interne Revision selbst an Systeme und Prozesse im Unternehmen stellt. Insbesondere aber muss sich der Revisionsbericht zur Übermittlung und Kommunikation der Prüfungsergebnisse sowohl an die Unternehmensführung als auch an die geprüfte Stelle eignen. 150
E.
Aus Sicht der modernen Systemtheorie, die soziale Systeme wie etwa Unternehmen als Kommunikationssysteme versteht, kann die Anforderung an die Berichterstattung der Internen Revision zusammenfassend mit folgendem Zitat formuliert werden: „Was nicht in die Aufmerksamkeit der Kommunikationsteilnehmer kommt, wird in der Organisation nicht beobachtet, und was nicht beobachtet wird, hat keine soziale Realität. Es bewirkt nichts, es provoziert nichts, nicht einmal Widerspruch.“17 Dieses Zitat sollte sich die Leitung einer Internen Revision als Merksatz für die Berichterstattung konsequent vor Augen halten. Leider werden solche Ansprüche nur dann erfüllbar, wenn sie mit der Qualität der Prüfer in Einklang stehen. Hingegen lehrt die betriebliche Erfahrung anderes. Die am häufigsten anzutreffende Methodik der Berichtserstellung ist nach Einführung der Textverarbeitung die des „copy & paste“. Nach dem Motto „Wenn dir selber scheint kein Licht, dann schaue in den Vorbericht!“ kopiert man sich gegenseitig, in der Hoffnung, nicht weiter aufzufallen. Tatsächlich hilft ein solches Vorgehen nur den wirklich Miserablen, so dass sie wenigstens mittelmäßig werden. Was in Teilen als Rohentwurf eines Berichtes auf die Schreibtische der Revisionsleiter und ihrer Führungskräfte gelangt, ist einerseits Spiegelbild des gesellschaftlichen Umgangs mit Sprache, andererseits so nicht hinnehmbar. Im Übrigen kontrastiert dies deutlich mit dem Anforderungsprofil, das das Institut für Interne Revision von einem Revisor zeichnet.
I.
3
Prüfungsbericht 124
3 125
Berichtsgrundsätze
Der IIA-Standard 2410-1 besagt: „Die Berichterstattung enthält Ziele und Umfang sowie anwendbare Schlussfolgerungen, Empfehlungen und Aktionspläne.“
126
Die Prüfungsberichte der Internen Revision müssen demnach Aussagen enthalten zu: ■ Prüfungsziel und -umfang Das Prüfungsziel ergibt sich aus der Jahresplanung oder im Falle von Ad-hoc-Prüfungen aus dem konkret vorliegenden Sachverhalt. Der Prüfungsumfang sollte die geprüften Sachverhalte umfassen und ggf. verdeutlichen, welche Bereiche nicht geprüft wurden, so dies inhaltlich erforderlich ist. ■ Prüfungsergebnisse Die Prüfungsergebnisse umfassen selbstverständlich jegliche Prüfungsfeststellung sowie die daraus resultierenden Empfehlungen und Maßnahmen. Ggf. werden auch Stellungnahmen der geprüften Einheiten zu einzelnen Prüfungsfeststellungen im Bericht zu dokumentieren sein. Der IIA-Standard 2420 – Qualität der Berichterstattung verlangt von Revisionsberichten, dass diese richtig, objektiv, klar, prägnant, konstruktiv und vollständig sein und zeitnah erstellt werden müssen. Die entsprechenden Practice Advisories erläutern die entsprechenden Qualitätsmerkmale von Revisionsberichten. Neben diesen – fast ist man geneigt zu sagen „selbstverständlichen“ – Anforderungen an einen Revisionsbericht haben sich in der betrieblichen Praxis Kriterien herauskristallisiert, die vor allem von den Unternehmensführungen ausgehen. Diese Kriterien sind geprägt von der Tatsache, dass sich Vorstände und Geschäftsführer heute zunehmend unter zeitlichem Druck sehen und demnach auch von ihren Revisionsabteilungen verlangen, „Berichtsabstimmungsorgien“ und all-
127
17 Zit. n. Simon, F. B., Gemeinsam sind wir blöd!? Die Intelligenz von Unternehmen, Managern und Märkten, 2. Aufl., Heidelberg 2006, S. 13.
151
128
129
3
§3
3
130
Prüfungsprozess
zu ausufernde „epische Ergüsse“ zu vermeiden. Demnach werden aus Sicht der Unternehmensleitung folgende Anforderungen an einen Revisionsbericht gestellt: ■ Schnelle Berichtsabstimmung: Die Prüfer müssen im Rahmen von Abstimmungsgesprächen zum Ende der Prüfung ihre Feststellungen mit den Geprüften diskutieren und abstimmen, damit nach Möglichkeit nicht erst in der Phase der eigentlichen Berichtsschreibung differierende Auffassungen zu langatmigen Auseinandersetzungen führen. Ein Prüfungsbericht sollte möglichst zeitnah nach der Prüfung veröffentlicht werden. ■ Kurze Berichte: Berichte müssen kurz sein, um den verantwortlichen Empfänger anzusprechen. Die Unternehmensführung verfügt im Regelfall nur über begrenzte zeitliche Ressourcen. Mithin ist es erforderlich, dass auch Revisionsberichte dies berücksichtigen und die bedeutsamen Fakten einer Prüfung so aufbereitet, dass es dem Leser möglich ist, in kurzer Zeit den Sachzusammenhang zu erfassen. ■ Visualisierte Executive Summary: Mit einem sog. One Pager, auf dem die Ergebnisse einer Prüfung prägnant und mit Hilfe optischer Darstellungsmethoden wie etwa einer Ampel visualisiert werden, kann den verantwortlichen Stellen signalisiert werden, dass der vorliegende Bericht zwingend zur Lektüre empfohlen wird oder eben auch nicht. Ein solches Berichtsmittel sollte heute Standard sein. ■ Einheitliche Sprache und Struktur: Die Erkennbarkeit eines Revisionsberichts ist ein wichtiges Marketinginstrument. Deshalb sollte sich die Revision um eine weitgehende Einheitlichkeit von Struktur und Sprache ihrer Berichte bemühen. Der Bericht muss mithin so verfasst werden, dass die Adressaten sich angesprochen fühlen. ■ Umsetzungsorientierte Aktionsplanung mit Zeitvorgabe und Verantwortlichkeiten: Ohne einen Maßnahmenkatalog mit exakten, abgestimmten zeitlichen Rahmenbedingen und einer genauen Zuordnung von Verantwortlichkeiten verliert jeder Revisionsbericht an Wirksamkeit. Die Unternehmensführung will wissen, was zur Verbesserung einer Situation zu tun ist, sie will Handlungsoptionen und sie will wissen, wer für deren Umsetzung Verantwortung trägt. ■ Klare Priorisierung der Aktionen: Im Maßnahmenkatalog muss klar erkennbar sein, welche Handlungen die höchste Bedeutung für den geprüften Bereich besitzen. Es muss klar erkennbar sein, welche Maßnahmen die Risikosituation des Bereichs und des Unternehmens insgesamt am ehesten verbessern. Diese sechs Kriterien stehen heute aus Sicht der Unternehmensleitung bei Berichten der Internen Revision im Vordergrund. Die Leitung der Internen Revision als für die Berichterstattung verantwortliche Stelle muss letztlich dafür Sorge tragen, dass „empfängerorientiert“ berichtet wird. Nur mit einer strengen Ausrichtung der Berichte an den Bedürfnissen der maßgeblichen Berichtsempfänger – und dies kann stets nur die Unternehmensleitung sein – kann sichergestellt werden, dass die im Rahmen von Prüfungen gewonnenen Informationen im erforderlichen Maße gewürdigt werden und damit auch die Leistung der Revision angemessen beurteilt wird.
152
E.
II.
3
Prüfungsbericht
Berichtsaufbau und Berichtsempfänger
Ein Revisionsbericht sollte sowohl einer inneren wie einer äußeren Ordnung folgend aufgebaut sein. Die innere Ordnung eines Berichts ergibt sich aus seiner Struktur. In den allermeisten Revisionsabteilungen dürften diesbezüglich einheitliche Vorgaben existieren. Diese Vorschriften sind dann entsprechend verbindlich und von allen Revisoren einzuhalten. Ein Beispiel für eine solche Struktur zeigt die nachfolgende Abbildung:
131 132
3
Struktur eines Prüfungsberichts 1. Deckblatt 2. Kurzübersicht 3. Inhaltsverzeichnis 4. Zusammenfassung • • • • •
Prüfungsauftrag und Zielsetzung Hintergrundinformation/Ausgangssituation Prüfungsdurchführung Prüfungsfeststellungen/Empfehlungen Schlussbemerkung mit Unterschrift
5. Maßnahmenkatalog 6. Anhang
Abbildung 3-10: Struktur eines Prüfungsberichts Grundsätzlich sollte angestrebt werden, dass „die Struktur des Prüfungsberichts den Prüfungsverlauf und die Prüfungsergebnisse angemessen widerspiegelt.“18 Neben der inneren Ordnung eines Textes bedarf ein Bericht, der das Interesse der Empfänger wecken soll, auch einer äußeren Ordnung. D.h., der Bericht muss in seiner äußerlichen Erscheinung attraktiv erscheinen. Dies erreicht man durch ein klares Inhaltsverzeichnis, durch eine klare Gliederung mit Hilfe von Überschriften und Absätzen, durch Hervorhebungen und attraktive Textformatierungen, durch eine Management Summary und eine Konzentration auf das Wesentliche.19 Neben diesen eher äußerlichen Aspekten der Berichtserstellung müssen Berichte im Grunde genommen kurz, einfach und interessant sein. Diese Forderung soll hier nicht weiter ausgewalzt werden, denn dazu existiert eine Fülle an Literatur. Die Gestaltung von Texten und die richtige Handhabung der Sprache wird von den entsprechenden Autoren mit sehr viel mehr Expertise dargestellt, als dies hier von den Autoren zu leisten wäre. Nach dem Motto „Schuster, bleib’ bei deinen Leisten!“ dürfen wir an dieser Stelle beispielsweise auf die Bücher von Dieter E. Zimmer und Wolf Schneider verweisen.20 Diese sollten Pflichtlektüre für Revisoren werden, denn sie helfen, Berichte kurz, einfach und interessant zu gestalten. 18 Zit. n. Wesel, P., Jackmuth, H.-W., Berichterstattung der Internen Revision, in: Lück, W. (Hrsg.), Zentrale Tätigkeitsbereiche der Internen Revision, Berlin 2006, S. 84. 19 Ebenda, S. 86. 20 siehe etwa Zimmer, D. E., Die Wortlupe, Hamburg 2006; Schneider, W., Deutsch für Profis, Hamburg 1984; Schneider, W.; Deutsch!, 3. Aufl., Reinbek bei Hamburg 2006.
153
133 134
135
3
§3 136
3
Prüfungsprozess
Die angesprochenen Fragen nach innerer und äußerer Ordnung der Revisionsberichte sind ganz wesentlich von der Grundsatzentscheidung abhängig, in welcher Form berichtet werden soll. Die betriebliche Praxis zeigt, dass mindestens vier bedeutsame Berichtsformate unterschieden werden können. Die nachfolgende Tabelle beschreibt diese Berichtsformate und unternimmt den Versuch einer Bewertung. Berichtsformat
Beschreibung
Bewertung
Fließtext
Darstellung der Prüfungsergebnisse in einem zusammenhängenden Fließtext, i.d.R. gegliedert in Zusammenfassung und Darstellung der Einzelfeststellungen. Darstellung der Einzelfeststellungen in tabellarischer Form, i.d.R. mit vorangestellter Zusammenfassung als Fließtext. Darstellung der Einzelfeststellungen auf je einem Chart; i.d.R. vorangestelltes Chart mit Zusammenfassung. Komprimierte Zusammenfassung der Prüfungsergebnisse; i.d.R. durch eine Ampelsystematik oder andere Form der Visualisierung unterstützt.
Weite Praxisverbreitung; hoher Informationsgehalt; Gefahr der inhaltlichen Überfrachtung → empfehlenswertes Format
Tabellarischer Aufbau Präsentation
One-Pager
137
138
139
Geringerer Informationsgehalt; gut geeignet für Abschlussgespräch → eher ergänzend nutzen! Hoher Informationsverlust durch Komprimierung; für Top Management – Information geeignet → nur für Top Management zu empfehlen
Tabelle 3-1: Beschreibung und Bewertung von Berichtsformaten Das Berichtsformat richtet sich demnach also durchaus nach dem Berichtsempfänger, wobei zu beachten ist, dass die Anforderungen von Top Management und geprüfter Stelle häufig auseinander laufen. Aus Revisionssicht ist das Ziel der Berichtsverteilung eine durchgängige Weitergabe der gewonnenen Informationen. Die Zusammenstellung eines adäquaten Berichtsverteilers ist in der betrieblichen Praxis ein meist größeres Problem, als dies auf den ersten Blick erscheint. Die unterschiedlichen Anspruchsgruppen artikulieren ihre Ansprüche gegenüber der Revision und diese unterscheiden sich zumeist deutlich voneinander. Da jedoch nicht je Zielgruppe ein spezieller Bericht gefertigt werden kann, muss sich die Berichterstattung an den Maßgaben orientieren, die von der Unternehmensleitung vorgegeben werden. Denn die Unternehmensleitung ist der Auftraggeber der Internen Revision. Der Berichtsverteiler muss neben der Unternehmensleitung selbstverständlich auch die unmittelbar von der Prüfung Betroffenen einbinden. Sollten Berichte auch an externe Stellen wie Abschlussprüfer, Aufsichtsbehörden o.ä. gehen, dann sollte im besonderen Maße Wert auf die ordnungsgemäße Einhaltung von Gesetzen und Verordnungen gelegt werden.
F. 140
Ähnlich wie Fließtext; Vorteil der stärkeren optischen Gliederung → Favorit
Maßnahmenmonitoring und Follow-up
Mit der Erfüllung ihrer Aufgaben und Pflichten kann die Interne Revision in einem Unternehmen Werte schaffen, sei es durch die Verbesserung von Prozessen und Strukturen oder durch die präventive Schutzwirkung ihres Handelns. Dies geschieht jedoch nur dann, wenn die Erkenntnisse aus den Prüfungen zeitnah und effektiv an die Unternehmensführung berichtet werden. Die Unternehmensführung ist dann dafür verantwortlich, dass auf die geprüften Stellen der erforderliche 154
F.
3
Maßnahmenmonitoring und Follow-up
Druck zur Umsetzung der empfohlenen Maßnahmen ausgeübt wird. Denn ohne diesen Druck durch die Unternehmensleitung wird die Interne Revision nicht die Wirkung entfalten können, die sich jede Unternehmensleitung wünschen sollte. Die Unternehmensführung muss die Revision nachhaltig unterstützen, damit sie zu einem wirksamen Instrument wird, mit dem aktiv agiert werden kann. Sie muss das Umfeld schaffen, damit Revision wirksam wird. Erst in diesem Umfeld können Maßnahmenmonitoring und Follow-up nachhaltig wirken.
I.
Grundlagen des Nachhalteprozesses
Jeder Prüfungsbericht muss einen Maßnahmenkatalog enthalten. Ausgehend von den Bewertungen und Empfehlungen der im Prüfungsbericht verzeichneten Feststellungen wird der Maßnahmenkatalog unter Benennung der entsprechenden Verantwortlichkeiten in Abstimmung mit der geprüften Stelle vereinbart. Die Interne Revision überwacht die Einhaltung der für die Realisierung vereinbarten Fristen. Die Kontrollfunktion nimmt die Interne Revision entweder auf dem Wege des Maßnahmenmonitorings oder durch Follow-up-Prüfungen wahr. Die festzulegende Art der Maßnahmenüberwachung richtet sich in erster Linie nach der Risikoeinschätzung bezüglich des geprüften Bereichs. Darüber hinaus spielen auch die Anzahl der umzusetzenden Maßnahmen und die Komplexität der geprüften Stelle bei der Einschätzung eine besondere Rolle. Erst mit der Beendigung der Kontrolle der Maßnahmenumsetzung findet der Revisionsprozess formal seinen Abschluss. Dabei werden Angemessenheit, Effizienz und Rechtzeitigkeit der durchgeführten Maßnahmen überprüft. Eine hochwertige Kontrollpraxis beruht im Regelfall auf einem (EDV-)System, das hilft, die Ausführung von Empfehlungen aus den Revisionsberichten zu überwachen.
II.
3
141
142
143
Maßnahmenmonitoring
Das Maßnahmenmonitoring wird i.d.R. dann zur Anwendung gelangen, wenn die Prüfungsfeststellungen in einem Bericht es nicht erforderlich erscheinen lassen, dass durch eine gesonderte Follow-up-Prüfung die Umsetzung der Empfehlungen aus dem Maßnahmenkatalog sicherzustellen ist. Dies wird dann der Fall sein, wenn das detektierte Risiko nicht als gravierend angesehen und die Prüfungsfeststellungen von eher untergeordneter Bedeutung sind. Die organisatorische Durchführung des Maßnahmenmonitorings beginnt mit der Erfassung der im Maßnahmenkatalog zwischen Revision und geprüfter Stelle vereinbarten Empfehlungen. Sämtliche Maßnahmen, die durchzuführen sind, sollten mit Fristen, Terminen und Verantwortlichkeiten EDV-technisch erfasst werden. Die geprüften Stellen sind anzuhalten, die Umsetzungsvorgaben einzuhalten und die entsprechende Realisierung der Maßnahmen an die Revision zu melden. Die Interne Revision überwacht die Einhaltung der jeweiligen Terminvorgaben. Sollten die Umsetzungsmeldungen nicht erfolgen, dann muss die Revision die verantwortliche Stelle erinnern, ggf. mahnen. Für eine angemessene Beurteilung der Maßnahmenumsetzung müssen die geprüften Stellen aussagefähige Unterlagen und Dokumente zur Verfügung stellen. Die Unternehmensleitung ist über die Einhaltung der Umsetzung des Maßnahmenkatalogs zu informieren. Sollten aufgrund nicht umgesetzter Maßnahmen Schwachstellen und Risiken weiterhin bestehen bleiben, wird die Berichterstattung an die Unternehmensleitung umso dringlicher. Die Interne Revision wird sich insbesondere in solchen Situationen nur dann durchsetzen können, wenn sie aufgrund ihrer Expertise und Erfolge über ein hohes Ansehen bei der Unterneh155
144
145
146
3
§3
Prüfungsprozess
mensleitung verfügt. Andernfalls würde das Wirken ihres Handelns spätestens an dieser Stelle vollständig verpuffen.
III. 3
147
148
149 150
Was über das Maßnahmenmonitoring gesagt wurde, gilt auch für Prüfungen, für die ein Followup vorgesehen ist. Sämtliche während der Erstprüfung empfohlenen Maßnahmen sind mit Fristen, Terminen und Verantwortlichkeiten in der Datenbank zu erfassen. Entscheidend für die Durchführung von gesonderten Follow-up-Prüfungen sind mehrere Kriterien: ■ Die berichteten Feststellungen und Empfehlungen des ursprünglichen Berichts sind so schwerwiegend, dass eine Follow-up-Prüfung zwingend erforderlich ist. ■ Die Auswirkungen, die sich im Falle einer Nicht-Umsetzung der Maßnahmen ergeben, sind so gravierend, dass eine Follow-up-Prüfung zwingend erforderlich ist. ■ Die berichteten Feststellungen und Empfehlungen waren zwischen geprüfter Stelle und Interner Revision (als Repräsentant der Unternehmensführung) umstritten, so dass mit einem Follow-up die Umsetzung sichergestellt werden soll. Selbstverständlich muss, wie bei allen Prozessen und Handlungen in einem Unternehmen, auch bei der Initiierung und Durchführung von Follow-up-Prüfungen eine Abwägung von Aufwand und Ertrag erfolgen. Die Revisionsleitung ist gefordert, den erforderlichen Arbeitsaufwand hinsichtlich Zeit und Kosten zu kalkulieren und gegen die „Erträge“ der Prüfung zu stellen. Am Ende der Follow-up-Prüfung ist wie bei Standardprüfungen auch ein Bericht zu erstellen, der den Stand der Realisierung der Empfehlungen sowie verbliebene Schwachstellen dokumentiert. Für den Fall, dass eine geprüfte Stelle bestimmte Empfehlungen nicht oder nicht termingerecht umgesetzt hat, muss das verantwortliche Management dies gegenüber der Unternehmensleitung rechtfertigen. Aus Sicht der Revision sollte jedenfalls nicht in Erwägung gezogen werden, Fälligkeitstermine zu verschieben. Dies würde sowohl für das Maßnahmenmonitoring als auch für Follow-up-Prüfungen zu Lasten der Revision gehen müssen.
G. 151
Qualitätssicherung des Revisionsprozesses
Nichts kann den Menschen mehr stärken, als das Vertrauen, das man ihm entgegenbringt. Nur lehrt die betriebliche Praxis, dass Vertrauen allein nicht genügt, um anspruchsvollen Zielen gerecht werden zu können. Es ist vielmehr erforderlich, die Strukturen und Prozesse zur Erreichung von Zielen abzusichern. Dies geschieht durch Maßnahmen der Qualitätssicherung, denen sich auch die Interne Revision zu unterwerfen hat.
I. 152
Follow-up-Prüfungen
Grundlagen der Qualitätssicherung
Die Interne Revision wird innerbetrieblich zunehmend als interne Dienstleistungsfunktion angesehen und nicht ausschließlich als Überwachungsorgan. Von daher muss sie sich stets mit der Frage auseinandersetzen, ob die von ihr erbrachten Leistungen den Anforderungen der Leitungsorgane des Unternehmens als unmittelbare Auftraggeber entsprechen. Neben der Frage nach der Effektivität der Internen Revision muss auch die Frage nach dem Verhältnis des Aufwands zu den 156
G.
3
Qualitätssicherung des Revisionsprozesses
erbrachten Leistungen beantwortet werden, also die Frage nach der Effizienz der Internen Revision. Die vordergründig auf der Hand liegenden Messgrößen für die Effektivität und die Effizienz der durch die Interne Revision erbrachten Leistungen sind beispielsweise die Erfüllung gesetzlicher Anforderungen, die Zahl der Revisionsberichte oder die Einhaltung von Budgets und Terminen. Weit wichtiger und für das Ansehen der Internen Revision innerhalb eines Unternehmen von größerer Bedeutung ist aber die Sicht derjenigen, die unmittelbar mit der Internen Revision zu tun haben. D.h., die Interne Revision muss dafür Sorge tragen, dass der subjektiv wahrgenommene Nutzen der Revisionsarbeit aus der Sicht der Betroffenen maximiert wird. Das Ansehen der Revision und die Qualität ihrer Arbeit bemessen sich daher nicht ausschließlich an den o.g. Messkriterien, sondern werden maßgeblich durch weit schwerer quantifizierbare Größen bestimmt. Dazu zählen etwa ■ die Akzeptanz der Prüfungsfeststellungen, ■ die Bereitschaft zur Umsetzung von Empfehlungen, ■ der Verzicht des Vorstands oder des Aufsichtsrats auf den Einsatz externer Prüfer oder von Abschlussprüfern mit eigenen Prüfungshandlungen in den von der Internen Revision durchleuchteten Bereichen. Um diese Zielgrößen zu erreichen, bedient sich die Interne Revision gemäß internationaler und nationaler Standards einer systematischen Qualitätskontrolle. Die Qualitätskontrolle ist eine gezielte Überwachung aller qualitätsbeeinflussenden Faktoren im Prüfungsprozess. Wie in der Qualitätskontrolle von Fertigungsbetrieben geht es darum, Ausschuss und Nacharbeitungserfordernisse zu vermindern und das Image beim Kunden zu festigen. Die Qualität richtet sich dabei auf die Einhaltung von Qualitätsstandards. Die Qualitätsstandards wiederum setzt sich die Interne Revision eines Unternehmens selbst, verhandelt sie mit ihren Kunden oder sie sind überbetrieblich vereinbart. Gerade dieser Aspekt der Qualitätssicherung muss nach wie vor kritisch betrachtet werden. Die vorliegenden Konzepte und Instrumente der Qualitätssicherung in der Internen Revision sind von Praktikern und Unternehmensberatern entwickelt worden. Sie orientieren sich an den Beiträgen, die sie zu einem weit gefassten – um nicht zu sagen, weitgehend unspezifizierten – Qualitätsziel leisten können. Eine wissenschaftliche Fundierung der Qualitätsstandards, insbesondere eine systematische Entwicklung von Hypothesen über spezifische Wirkungszusammenhänge, steht bisher weitgehend aus. Gleichwohl haben die überwiegend auf Plausibilitätsüberlegungen fußenden Ansätze und Qualitätsstandards in der betrieblichen Praxis der Internen Revision eine weite Verbreitung gefunden. Dies deutet darauf hin, dass die Idee der Qualitätssicherung in der betrieblichen Praxis der Internen Revision als ein wesentliches Instrument zur Sicherstellung von Qualitätserfordernissen angesehen wird. Gleichwohl muss vor dem schlichten Kopieren, vor Me-too-Strategien gewarnt werden. Hinter Best Practice-Überlegungen und Benchmarking versteckt sich häufig nichts anderes als der Versuch, die eigene Ideenlosigkeit zu verstecken. So kann aus Qualitätsmanagement sehr schnell Karaoke werden.21
21 Siehe auch Förster, A., Kreuz, P., Alles, außer gewöhnlich, Berlin 2007, S. 47.
157
153
3
154
155
156
157
3
§3
II. 158
3
159
161
162
Die Anforderungen der Revisionsstandards
Qualitätsstandards definieren bestimmte Ausprägungen von Qualität, denen eine vereinheitlichte Auffassung zu Grunde liegt. Somit spiegeln solche Standards ein objektiviertes Qualitätsverständnis wider.22 Die seit 1998 auch in deutscher Sprache vorliegenden Standards for the Professional Practice of Internal Auditing (Standards für die berufliche Praxis der Internen Revision) des Institute of Internal Auditors (IIA) umfassen auch einen gesonderten Abschnitt zur Qualitätssicherung. Das Deutsche Institut für Interne Revision (IIR) hat diese Standards übernommen. Damit sind sie für alle Mitglieder und insbesondere für die Certified Internal Auditors (CIA) bindend.
1. 160
Prüfungsprozess
Der IIA-Standard 1300
Die IIA-Standards verlangen seit 2002 die Durchführung eines Programms zur Qualitätssicherung und -verbesserung. Im IIA-Standard 1300 heißt es: „Der Leiter der Revision entwickelt und pflegt ein Programm zur Qualitätssicherung und -verbesserung“. Abbildung 3-11 verdeutlicht den Aufbau des IIA-Standards 1300 ff. Die Überwachung der Einhaltung des Qualitätsprogramms sowie die Beurteilung von dessen Effektivität erfolgt gemäß des IIA-Standards zweidimensional: Es sollen sowohl eine interne wie eine externe Beurteilung vorgenommen werden. Durch die Standards und Practice Advisories des IIA sind Quality Reviews verpflichtend. Dabei sollen die internen Beurteilungen gem. IIA-Standard 1311 laufende Reviews umfassen, mit denen die Aufgabenerfüllung der Internen Revision kontinuierlich beurteilt wird. Die interne Beurteilung wird ergänzt durch periodisch durchzuführende Self Assessments oder durch Beurteilung von Personen innerhalb des Unternehmens, die die erforderlichen Kenntnisse zur Bewertung der Arbeit der Internen Revision mitbringen. Gemäß IIA-Standard 1312 sind externe Quality Reviews mindestens alle fünf Jahre durch qualifizierte und unabhängige Prüfer durchzuführen.
22 Vgl. Lindgens, Ursula: Qualitätsstandards, in: Lück, Wolfgang; Lexikon der Internen Revision, München 2001, S. 257.
158
G.
3
Qualitätssicherung des Revisionsprozesses
IIA-Standards 1300 ff. 1300 Programm zur Qualitätssicherung und -verbesserung
3 1310 Beurteilung des Qualitätsprogramms 1311 Interne Beurteilung
1312 Externe Beurteilung
1320 Berichterstattung zum Qualitätsprogramm
1330 Gebrauch der Formulierung „In Übereinstimmung mit den Standards durchgeführt“
1340 Offenlegung von Fällen des Nichteinhaltens
Abbildung 3-11: IIA-Standards 1300 ff. Bedeutsam für externe Quality Reviews ist natürlich die Qualifikation des externen Prüfers. Die Durchführung solcher Reviews, verbunden mit Empfehlungen zur Verbesserung der Revisionsarbeit und damit zur Steigerung ihrer Effizienz, wird heute zunehmend von den führenden Wirtschaftsprüfungsgesellschaften vorgenommen. Allerdings sollten Abschlussprüfer und Prüfungsgesellschaften, die mit der Pflichtprüfung beauftragt sind, nicht mit einem Quality Review betraut werden. Dies könnte zu Interessenkonflikten führen sowie die erforderliche Neutralität und Objektivität negativ beeinflussen.23 Möglich ist es hingegen, dass sich eine Revisionsabteilung durch die Revision eines anderen Unternehmens einem sog. Peer Review unterzieht. Dabei sollte jedoch vermieden werden, dass sich die Revisionsabteilungen gegenseitig prüfen und möglicherweise sich gegenseitig ein unangemessen gutes Zeugnis ausstellen. Die Auswahl eines Qualitätsprüfers erfolgt auf Basis der fachlichen Eignung. Voraussetzung für die Durchführung eines externen Quality Reviews ist die persönliche Qualifikation des Prüfers, die dieser z.B. durch ein CIA-Examen nachweisen kann. Des Weiteren sind ein ausreichender Praxisnachweis (mindestens 3 Jahre Berufserfahrung in der Internen Revision) und der Ausweis von Führungskompetenz erforderlich. Selbstverständlich muss der Prüfer, wie bereits erwähnt, unabhängig von der zu prüfenden Organisation sein. Die Anerkennung des Quality Reviews durch das IIR bzw. das IIA erfordert es darüber hinaus, dass der Prüfer an einer vom IIR durchgeführten Trainingsveranstaltung mit abschließender Registrierung erfolgreich teilgenommen hat. Weiter hinten wird insbesondere zu weiteren Titelvergabe (QA-Assessor) noch einiges kritisch anzumerken sein. Die Beauftragung eines externen Quality Reviews kann sowohl durch die Revisionsleitung, den Vorstand bzw. die Geschäftsführung, den Prüfungsausschuss des Aufsichtsrats oder durch den Abschlussprüfer erfolgen.
23 Vgl. Füss, R. Die Interne Revision, Berlin 2005, S. 233.
159
163
164
165
3
§3
2. 166
3 167
168
169
170 171
172
173
Prüfungsprozess
IIR Revisionsstandard Nr. 3 „Qualitätsmanagement“
Das Deutsche Institut für Interne Revision e.V. hat mit dem Revisionsstandard Nr. 3 zum Qualitätsmanagement in der Internen Revision vom 12. August 2002 seine Vorstellung für die Anforderungen an eine hochwertige Revision formuliert. Mit Datum zum 1. Juli 2005 stellte das Institut einen Leitfaden zur Durchführung von Quality Assessments bereit, der in Ergänzung zum IIR–Standard Nr. 3 die Interne Revision bei dem nach IIA-Standards mindestens alle fünf Jahre durchzuführenden Quality Assessment unterstützen soll. Grundsätzlich stellt der IIR Revisionsstandard Nr. 3 „Qualitätsmanagement in der Internen Revision“ ein Programm dar, das die Qualität der Revisionsarbeit absichern und verbessern und zur kontinuierlichen Überwachung der Revisionsarbeit herangezogen werden soll. Der Standard gliedert sich in drei Kapitel: 1. Bestandteile des Qualitätsmanagements 2. Einführung eines Qualitätsmanagements 3. Grundlagen für die qualitätssichernde Arbeit der Internen Revision. Während die beiden ersten Kapitel definitorischen Charakter haben bzw. Vorgaben für die Implementierung eines Qualitätsmanagementsystems machen, wird in Kapitel 3 das Soll für die revisorische Tätigkeit und deren organisatorische Einbindung im Unternehmen dargelegt. Im Einzelnen werden Aussagen über Zielsetzung, Tätigkeitsfelder, Organisation, Budget, die eigentliche revisorische Facharbeit, Berichterstattung und Mitarbeiter getroffen. Der Standard wird um zwei Anlagen ergänzt. Dabei werden in Anlage 1 ausgewählte Qualitätskriterien mit konkreten Ausprägungen an die Anforderungen an eine qualitativ hochwertige Interne Revision vorgestellt. Die in der Anlage 1 aufgeführten Qualitätskriterien sollen die Basis für eine Beurteilung der Internen Revision sein, wobei die Beurteilung sowohl durch den Leiter der Revisionseinheit, durch ein Internal Review oder durch Dritte erfolgen kann. In der Anlage 2 zum IIR Revisionsstandard Nr. 3 finden sich ausgewählte Inhalte zu Kundenbefragungen. Ziel von Kundenbefragungen ist es regelmäßig, die Erfahrungen und Wünsche der Kunden in das eigene Tun zu integrieren und die Arbeit zukünftig stärker an den Ergebnissen der Kundenbefragungen auszurichten. Insofern bieten Kundenbefragungen die Möglichkeit, einen Beitrag zu einem kontinuierlichen Verbesserungsprozess zu leisten. Es muss jedoch kritisch angemerkt werden, dass das Verhältnis zwischen Revision und geprüfter Stelle nicht als klassisches Dienstleister/Kunden-Verhältnis beschrieben werden kann. Im Regelfall kommt die Interne Revision ungefragt im Auftrag des Vorstands oder der Geschäftsführung zu der zu prüfenden Einheit und bedient einen Wunsch, der dort zweifellos nur selten vorhanden ist. Insofern sind Kundenbefragungen durch die Interne Revision schon vorbelastet, es sei denn die Interne Revision wird als interner Berater gerufen. Zudem kann es passieren, dass Prüfungsergebnisse – zumeist wohl negative – Auswirkungen auf die Ergebnisse der Kundenbefragung haben. Dies gilt es im Hinterkopf zu behalten, wenn Ergebnisse von Kundenbefragungen interpretiert werden. Ganz grundsätzlich können aber durch Kundenbefragungen Hinweise auf Verbesserungspotentiale gewonnen werden, die für die weitere Tätigkeit der Internen Revision im Unternehmen wertvoll sind.
160
G.
3
Qualitätssicherung des Revisionsprozesses
Ergänzend zum IIR Revisionsstandard 3 liegt seit dem 1. Juli 2005 ein Leitfaden zur Durchführung eines Quality Assessments (QA) vor.24 Dieser Leitfaden beschreibt den Prozess und die Anforderungen für die Durchführung einer Qualitätsbeurteilung durch Dritte. Insbesondere werden in dem Leitfaden die Qualifikationsanforderungen an den das QA durchführenden Prüfer beschrieben sowie das Vorgehen innerhalb des Assessments-Prozesses. Der QA-Prüfer muss neben einem Ausweis an persönlicher Qualifikation, etwa durch ein CIAExamen, an Führungskompetenz und ausreichender Praxiserfahrung vor allem unabhängig sein von der zu prüfenden Organisation. Er sollte in der Lage sein, die erfolgreiche Teilnahme an einer vom IIR durchgeführten Trainingsveranstaltung mit anschließender Registrierung nachzuweisen. Inhaltlich umfasst das QA elf Betrachtungsfelder mit insgesamt 86 zu bewertenden Fragen. Die Fragen handeln ähnliche Qualitätskriterien ab, wie sie bereits in der Anlage 2 zum IIR Revisionsstandard Nr. 3 aufgeführt sind. Insbesondere werden Fragen formuliert zur Organisation, zum Budget, zur Planung, zur Prüfungsvorbereitung, zur Prüfungsdurchführung, zur Berichterstattung, zur Prüfungsnacharbeit, zum Follow-up, zur Mitarbeiterauswahl und zur Mitarbeitentwicklung sowie zur Führung der Interne Revision. Je Frage sind zwischen 0 und 3 Punkte erreichbar, wobei es insgesamt fünf „K.O.-Fragen“ gibt, Mindeststandards mithin, deren Einhaltung als wesentlich angesehen wird. Werden diese Fragen mit Null bewertet, fällt die Gesamtbewertung negativ mit der Note „Unzureichend“ aus.
Mindeststandards
Das Vorhandsein einer offiziellen schriftlichen „Regelung“
Die Interne Revision muss weisungs- und prozessunabhängig sein und das uneingeschränkte Informationsrecht haben
Der Prüfungsplan der Internen Revision wird auf Grundlage eines risikoorientierten und standardisierten Planungsprozesses erstellt
Art und Umfang der Prüfungshandlungen und – ergebnisse werden einheitlich, sachgerecht und ordnungsgemäß dokumentiert
Mittels eines etablierten Follow-up Prozesses wird die Umsetzung der im Bericht dokumentierten Maßnahmen von der Internen Revision überwacht.
Abbildung 3-12: Qualitätsmindeststandards
24 Siehe www.iir-ev/deutsch/intern/mitglieder/IIR_QA_Leitfaden_8–2005.pdf.
161
174
175
176
177
3
3
§3 178
3
179 180
181
182 183
Prüfungsprozess
Die Bewertung erfolgt grundsätzlich je Betrachtungsfeld, wobei in Abhängigkeit der erreichbaren Punkte folgende Bewertungsskala (hier am Beispiel Organisation dargestellt) gilt: Zielerreichung
Punkte
Bewertung
> 90 % 75–90 % 50–74 % < 50 %
30–28 23–27 15–22 < 15
Angemessen/erfüllt Leichte Verbesserungspotentiale Deutliche Verbesserungspotentiale Unzureichend
Tabelle 3-2: Bewertungsskala für das Betrachtungsfeld Organisation Wie im Rahmen einer Prüfung des Qualitätsmanagements in der Internen Revision vorgegangen wird, lässt sich am anschaulichsten anhand eines Beispiels illustrieren. So sind etwa für das Betrachtungsfeld „Planung“ und hier für die Frage, ob ein standardisierter, risikoorientierter Prüfungsprozess vorhanden ist, folgende Unterlagen anzufordern: ■ Revisionshandbuch ■ Risikomodell ■ Jahresplanung und entsprechende Dokumentation. Es sind Gespräche zu führen mit der Revisionsleitung und dem Abschlussprüfer, ggf. auch mit dem Qualitätsmanager, soweit es diesen in der entsprechenden Organisation gibt. Zu prüfen ist der Zuschnitt des Planungsprozesses, die Abstimmung und die Dokumentation der Planung und letztlich vor allem die entsprechende Umsetzung. Im Prüfungsprozess sind vor allem nachfolgende Punkte zu beachten: ■ Unternehmensstruktur ■ Risikomanagement und Risikomanagementberichte ■ Prüfungsobjekte (Prozessorientierung, Funktionsorientierung, Gesellschaften, Business Units) ■ Wesentlichkeitsmerkmale im Risikomodell. Da sämtliche Unternehmen unterschiedlichste Randbedingungen zu beachten haben, ist auch beim QA auf solche Besonderheiten bei der Bewertung zu achten. Wie die Bewertung der Qualität einer Internen Revision nach dem Leitfaden zur Durchführung eines Quality Assessments aussehen könnte, demonstriert die Abbildung.
162
G.
3
Qualitätssicherung des Revisionsprozesses
Beispiel für ein QA unzureichend
Deutliche Verbesserungspotentiale
Leichte Verbesserungspotentiale
Angemessen/ erfüllt
Organisation
3
Budget Planung Vorbereitung Prüfung Berichterstattung Prüfungsnacharbeit Follow-up Mitarbeiterauswahl Mitarbeiterentwicklung Führung 0
5
10 15 20 25 30 35 40 45 50 55 60 65 70 75 80 85 90 95 100
Abbildung 3-13: Beispiel für das Ergebnis eines Quality Assurance Reviews Über die Ergebnisse des Quality Assessments muss ein schriftlicher Bericht erstellt werden, der die Prüfungsresultate erläutert und darstellt, wie der Prüfer zu seiner Einschätzung gelangt ist. Der Bericht sollte vernünftigerweise mit der Revisionsleitung besprochen werden, um ein einheitliches Verständnis bezüglich der Prüfungsergebnisse zu erlangen und um ggf. erforderliche Verbesserungsmaßnahmen abzustimmen. Um den Handlungsdruck bei der geprüften Internen Revisionsabteilung zu erhöhen, sollte für einen späteren Zeitpunkt ein Follow-up vereinbart werden.
III.
184
Revisionshandbuch
Um eine gleich bleibend hohe Qualität der Geschäftsprozesse sicherzustellen, werden diese zumindest in größeren Unternehmenseinheiten häufig schriftlich oder elektronisch via Firmenintranet abrufbar dokumentiert. Dieses Erfordernis sollte auch und insbesondere für die Interne Revision und ihren Prozess gelten. Demnach empfiehlt es sich, die Einzelheiten des Vorgehens innerhalb des Revisionsprozesses in einem Revisionshandbuch zusammenzufassen und in geeigneter Weise zu dokumentieren. Das Revisionshandbuch stellt dann die Richtschnur für die Arbeit der Revisionsabteilung dar und sollte im Idealfall die Effektivität und die Effizienz der Revisionsarbeit optimieren. Letztlich ist ein Revisionshandbuch nichts anderes als die vollständige und systematische Aufnahme des Revisionsprozesses, definierter Teilschritte, der Vorgaben für Arbeitsergebnisse und der zu verwendenden Hilfsmittel und Methoden. Es wird dadurch zu einem zentralen Element der Qualitätsplanung und Grundlage für die Qualitätssicherung. Zugleich ist das Revisionshandbuch bedeutsam als Führungs- und Leitungsinstrument.
163
185
186
3
§3
Prüfungsprozess
Revisionshandbuch istt ein WWas as is ein Revisionshandbuch? R evis ions handbuc h?
Revisionshandbuchwerden werdenAufbau Aufbau - und ImImRevisionshandbuch undAblauforganisation Ablauforganisation derInternen InternenRevision Revisiondetailliert detailliertbeschrieben beschrieben. der
wird ein WWarum arum wird Revisionshandbuch R evis ions handbuc h benötigt? benötigt?
Um die revisorischenSysteme Systemeund undProzesse Prozesseeffektiv effektivund und revisorischen effizient gestalten, werden diese Revisionshandbuch effizient zu zu gestalten, werden diese imim Revisionshandbuch festgehalten und beschrieben. Festlegungen sind festgehalten und beschrieben. DieDie Festlegungen sind fürfür allealle Mitarbeiter der Internen Revision verbindlich. Das Mitarbeiter der Internen Revision verbindlich. Das Revisionshandbuch ist die Voraussetzung einheitliches, Revisionshandbuch ist die Voraussetzung für für einein einheitliches, standardisiertes Revisionsverständnis. standardisiertes Revisionsverständnis
Werisist für das das W er t für Revisionshandbuch ions handbuc h R evis verantwortlich? verantwortlic h?
Der Leiter der Internen Revision verantwortlich die Inhaltelte Der Leiter der Internen Revision istist verantwortlich fürfür die Inha des Revisionshandbuchs, dessen Akzeptanz den des Revisionshandbuchs, fürfür dessen Akzeptanz beibei den Mitarbeiternund undfür fürdie dieEinhaltung Einhaltungder derdokumentierten dokumentierten Mitarbeitern Standards. Standards
3
187
188
189
190
Abbildung 3-14: Was ist ein Revisionshandbuch? Das Revisionshandbuch muss deutlich unterschieden werden von anderen revisionsspezifischen Äußerungen wie etwa einem Mission Statement, einer Geschäftsordnung oder einer Revisionsrichtlinie. (Vgl. dazu im Rechtsteil zum „Innenrecht“) Der Leiter der Internen Revision hat letztlich sicherzustellen, dass das Revisionshandbuch als Führungsinstrument genutzt wird, d.h. die Inhalte des Revisionshandbuchs sollen angemessen an die Mitarbeiter und ggf. an externe Dritte kommuniziert und die Arbeit konform zu diesen Inhalten durchgeführt werden. Da ein Revisionshandbuch alle Informationen über den Prozess innerhalb der Internen Revisionsabteilung enthält, kann es zur Schulung der Prüfer sowie zur Einarbeitung neuer Mitarbeiter genutzt werden. Des Weiteren bietet es die Grundlage für interne, aber auch für externe Quality Assurance Reviews, da mit dem Revisionshandbuch das Soll-Objekt für solcherlei Untersuchungen definiert ist. Selbstverständlich kann sich als Ergebnis eines Reviews auch ergeben, dass das Revisionshandbuch selbst, da es ebenfalls ein Gegenstand der Beurteilung ist, erweitert, ergänzt oder korrigiert werden muss.
IV. 191
Der Einsatz von Audit-Management-Systemen
Ein zunehmend an Bedeutung gewinnendes Hilfsmittel zur Sicherung einer auf hohem Niveau gleich bleibenden Qualität der Revisionsarbeit sind sog. Audit-Management-Systeme (Revisionssoftware). Darunter sind nicht spezielle Tools zur Datenanalyse o.ä. zu verstehen, wie sie bereits beschrieben wurden. Vielmehr bilden solche Systeme den Revisionsprozess von der Planung über die Prüfungsdurchführung bis hin zur Berichterstattung und Archivierung EDV-technisch ab. Einige Systeme halten darüber hinaus Funktionalitäten für ein revisionsspezifisches Wissensmanagement bereit. 164
G.
3
Qualitätssicherung des Revisionsprozesses
Neben dem Aspekt der Qualitätssicherung bieten Audit-Management-Systeme auch die Option, durch die Festlegung standardisierter Abläufe den Zeit- und Personalaufwand für die formalen Tätigkeiten innerhalb des Revisionsprozesses zu reduzieren. Wie bereits angesprochen, werden etwa durch die permanent erforderliche Aktualisierung des Audit Universe, durch den Zwang zur Dokumentation des prüferischen Handelns oder durch verwaltende Tätigkeiten der Zeitrahmen, der für das eigentliche Prüfen bereitsteht, vermindert. Ziel des Einsatzes von Audit-ManagementSystemen ist es, dieser Entwicklung entgegenzutreten. Eine Untersuchung der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) verdeutlicht, dass in den revisorischen Kernprozessen Planung, Dokumentation, Prüfungsaufsicht (Review) und Berichterstellung 56 % der Arbeitszeit von Revisoren gebunden wird. 25 Durch die Einführung eines geeigneten Audit-Management-Systems ist gerade in den vorgenannten Bereichen ein signifikanter Anstieg der Produktivität zu erwarten. Die bereits angesprochene Umfrage der PwC kommt zu dem Ergebnis, dass die Nutzer IT-gestützter Systeme eine Effizienzsteigerung von 20 % bis 25 % erwarten können.
192
3 193
Aufteilung der Revisionsarbeit 28% Auditing
Prüfungsaufsicht 10%
Berichtserstellung 6% 7%
4%
Dokumentation
33%
Planung Reisen & Meetings
9%
3%
Zeitplanung und Überwachung
sonstiges Quelle: Internet; Homepage PwC
Abbildung 3-15: Arbeitsverteilung innerhalb des Prüfprozesses Die Effizienzsteigerungen ergeben sich in erster Linie durch die Verknüpfung und Standardisierung der Prozessschritte Risikobewertung, risikoorientierte Planung, Mitarbeitereinsatzplanung, Prüfungsdurchführung, Berichterstellung und Maßnahmenverfolgung.
25 Vgl. Schwager, E.; Kerner, M., Röttger, S., Stauß, U.: Effiziente Prüfungsdurchführung, in: Zeitschrift Interne Revision, 1/2005, S. 8.
165
194
3
§3 195
3
196
197
Prüfungsprozess
Die heute wohl bedeutendsten Software-Tools zum Audit Management seien nachfolgend kurz aufgeführt: Softwareprodukt
Bemerkung
ManPlan REVIS RESY-Plan REDIS R2C_internal audit AuditMaster TeamMate
Schweizer Software, speziell für Finanzkontrolleure Speziell für Banken entwickelte Revisionssoftware Banken-orientierte Revisionssoftware der Consulting-Firma Agens Produkt der Firma IIT-GmbH Anbieter Schleupen, die auch Risikomanagement-Tool R2C anbieten Entwickelt in Zusammenarbeit von Telekom und Deutschen Bahn Entwickelt von PwC
Tabelle 3–3: Softwareprodukte für das Audit Management Bei der Auswahl einer IT-Lösung für die Prozessabläufe der Internen Revision sollte darauf geachtet werde, dass die Software in der Lage ist, sämtliche Prozessschritte integriert abzubilden. Idealtypischerweise sollte eine solche Software die folgenden Komponenten umfassen: ■ Risk Assessment ■ Risikoorientierte Prüfungsplanung ■ Mitarbeiterverwaltung und Mitarbeitereinsatzplanung ■ Elektronische Ablage für Arbeitspapiere mit Referenzierung ■ Knowledge-Datenbank, insbesondere zur Prüfungsvorbereitung ■ Berichtserstellungskomponente ■ Auswertungs- und Analysetools ■ Maßnahmennachverfolgung. Neben dem unmittelbaren operativen Nutzen, den ein Audit-Management-System bringt, kann durch dessen Einführung und Nutzung ein ganz wesentlicher Beitrag zur Qualitätssicherung geleistet werden. Insbesondere wird durch die eindeutigen Vorgaben die Einhaltung der Anforderungen der Standards for the Professional Practice of Internal Auditing des IIA sichergestellt.
166
4
§ 4 Ausgesuchte besondere Aspekte der Revisionsarbeit Nachdem in Kapitel 2 eine rechtliche Verortung der Revision und in Kapitel 3 eine Darstellung der operativen Revisionsarbeit vorgenommen wurde, sollen nun in Kapitel 4 ausgesuchte Einzelaspekte der Revisionsarbeit dar- und zur Diskussion gestellt werden. Dies geschieht – wie es im Vorwort bereits angeklungen ist – durchaus mit der Absicht, diese einzelnen Themen und Aspekte der Revisionsarbeit sozusagen gegen die herrschende Meinung zu kommentieren, die herrschende Meinung quasi einmal ins Abseitige zu führen. Dabei verfolgen die Verfasser selbstverständlich das Ziel, zu provozieren – nämlich Debatten, Streitgespräche und Auseinandersetzungen innerhalb des Berufsstandes der Internen Revision. Die Themenauswahl erfolgt in loser Schüttung. Ausgehend von eher grundsätzlichen Erörterungen zum Spannungsfeld zwischen Überwachung und Führung werden anschließend die Voraussetzungen für den effizienten Einsatz der Internen Revision diskutiert. Die weiteren Ausführungen beschäftigen sich mit dem Bild, das der Interne Revisor, vielleicht aber auch nur dessen berufsständischen Vertreter in der Öffentlichkeit proklamieren. Der Revisor als Change Agent einerseits sowie als Übermensch, der allen ethischen und fachlichen Anforderungen, die an ihn gestellt werden, locker gerecht wird. U.a. mit einer eigenen Gattungsordnung, dem CIA, soll all dem nachgekommen werden. Kapitel 4 wird mit einigen grundsätzlichen Ausführungen zum Thema Wirtschaftskriminalität abgeschlossen.
A.
4
Regel und Ausnahme, Verantwortung und Kontrolle
Die Interne Revision ist der Gralshüter der Regelkonformität, der Ordnungsmäßigkeit und der Sicherheit im Unternehmen. Und damit fangen die Probleme und Spannungen auch gleich an. Denn es gibt ganz offensichtlich einen Widerspruch. Auf der einen Seite die Regelungswut vor dem Hintergrund von Bilanzskandalen, Managementfehlverhalten sowie allen Arten von Korruption im Unternehmen. Auf der anderen Seite das Credo der modernen Management- und Führungsliteratur, welches einhellig fordert, Innovation nicht durch Kontrollen zu hemmen, den Mitarbeitern und Führungskräften zu vertrauen und keine Kontrollbürokratie zu etablieren, die Schaffenskraft und Kreativität blockiert. Das, was für Präsident George W. Bush und die Amerikaner der 11. September 2001 war mit samt seinen Folgen und Auswirkungen, war für die Profession der Kontrollorgane und ihre Apologeten im Unternehmen der Fall Enron. Mit den in diesem Fall aufgetretenen Bilanz- und Geschäftsmanipulationen setzte eine Überwachungs- und Kontrollwelle ein, die bis heute nicht abgeebbt ist und die auch Europa zwischenzeitlich erreicht hat. Eine der Folgen des Falls Enron und weiterer Unternehmensskandale war der so genannte Sarbanes-Oxley-Act: Ein Bürokratiemonster! Aber auch der Beweis für eine These Luhmanns: „An den Tag auf Tag und Tat auf Tat folgenden Mitteilungen der Massenmedien kristallisiert sich das, was in der gesellschaftlichen Kommunikation als >>Wissen