Beschreibung von IKS und RMS im Lagebericht

November 2009
AUDIT

Inhalt Editorial Betroffene Unternehmen Verbindung zwischen RMS und IKS Verbindung zur Risikoberichterstattung Struktur und Inhalt der beschreibenden Darstellung Allgemeine Aussagen Zielsetzung Organisatorischer Aufbau Manahmen zur Sicherstellung der Wirksamkeit

Editorial
Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wurden die Vorschriften zum Inhalt des (Konzern-)Lageberichts in den 289, 289a und 315 HGB gendert bzw. erweitert. Kapitalmarktorientierte Kapitalgesellschaften in Sinne von 264d HGB mssen in den Lagebericht eine Beschreibung der wesentlichen Merkmale des internen Kontroll- (IKS) und des Risikomanagementsystems (RMS) im Hinblick auf die Rechnungslegung aufnehmen ( 289 Abs. 5 HGB). Fr den Konzernlagebericht fordert 315 Abs. 2 Nr. 5 HGB eine Beschreibung im Hinblick auf die Konzernrechnungslegung, sofern eines der in den Konzernabschluss einbezogenen Tochterunternehmen oder das Mutterunternehmen kapitalmarktorientiert im Sinne des 264d HGB ist. Die Vorschrift ist bereits bei der Erstellung des (Konzern-)Lageberichts fr das nach dem 31.12.2008 beginnende Geschftsjahr zu beachten. Da der Wortlaut der gesetzlichen Bestimmungen wenig konkrete Anforderungen enthlt, ist mit Unklarheit und daraus folgend mit einer uneinheitlichen Umsetzung durch die verpflichteten Unternehmen zu rechnen. Daher ist davon auszugehen, dass sich Umfang und Inhalt erst in der Zukunft durch die praktische Anwendung konkretisieren werden. Gleichwohl bietet sowohl die Gesetzesbegrndung als auch der bereits vorliegende Entwurf eines Rechnungslegungs-nderungsstandards (E-DRS 5) durch den Deutschen Standardisierungsrat (DSR) wertvolle Hinweise. Hierauf aufbauend werden nachfolgend Grundstze aufgezeigt, deren Heranziehung bei der Erfllung der neuen gesetzlichen Vorschriften empfehlenswert erscheinen.

Beschreibung von IKS und RMS im Lagebericht November/2009

Betroffene Unternehmen
Die diesbezglichen Vorschriften zum Lagebericht ( 289 Abs. 5 HGB) bzw. Konzernlagebericht ( 315 Abs. 2 Nr. 5 HGB) unterscheiden sich nur geringfgig. Eine Berichterstattung im Lagebericht ist nur erforderlich, wenn das Unternehmen selbst eine kapitalmarktorientierte Kapitalgesellschaft ist. Im Konzernlagebericht muss eine Beschreibung auch dann aufgenommen werden, wenn das Mutterunternehmen oder ein in den Konzernabschluss einbezogenes Tochterunternehmen kapitalmarktorientiert im Sinne des 264d HGB ist. Der Umfang der Berichterstattung ber IKS und RMS umfasst die wesentlichen Merkmale des (Konzern-)Rechnungslegungsprozesses. Unter Konzernrechnungslegungsprozess ist nicht eine Beschrnkung auf z.B. die Konsolidierung zu verstehen, vielmehr ist die Rechnungslegung aller einbezogenen Unternehmen - nicht nur der kapitalmarktorientierten zu bercksichtigen. Nachfolgend wird daher nur insoweit zwischen der Darstellung im Lagebericht bzw. Konzernlagebericht unterschieden, als sich hieraus inhaltliche Unterschiede beim IKS oder RMS selbst ergeben.

Verbindung zwischen Risikomanagement und Internem Kontrollsystem

RMS bzw. IKS eines Unternehmens beschrnken sich grundstzlich nicht auf den Rechnungslegungsprozess. Es gibt eine Vielzahl von Definitionen und Beschreibungen fr solche Systeme, die sich zumeist von unterschiedlichen Fokussierungen (z.B. IT-Systeme (COBOL) oder Compliance (CMS)) oder der Herkunft (z.B. Turnbull (UK), CoCo (Kanada), AMF (Frankreich)) ableiten lassen. Letztlich sind aber alle Definitionen und Beschreibungen in grundstzlichen Aussagen miteinander vergleichbar. Weltweit stark verbreitet sind die COSO Rahmenwerke zu RMS (Enterprise Risk Management Integrated Framework) und zu IKS (Internal Control Integrated Framework). Diese zeichnen sich dadurch aus, dass sie eine umfassende und trotzdem sehr flexible Beschreibung der Rahmenbedingungen fr solche Systeme beinhalten. Das Rahmenwerk zum RMS ist weiter gefasst und stellt dar, dass das IKS ein integraler Bestandteil des RMS ist. Der Schwerpunkt des RMS liegt auf der Definition der Strategie und Risikobereitschaft des Unternehmens und hierauf aufbauend auf der Erkennung und Beurteilung von Risiken sowie der grundstzlichen Entscheidung zur Handhabung dieser Risiken (Vermeidung, berwlzung oder Eingehen von Risiken). Hierauf aufbauend folgt dann die berwachung und Steuerung von Risiken, die den Schwerpunkt des IKS darstellen. Eine Beschreibung des RMS umfasst nach dieser Abgrenzung immer auch eine Beschreibung des IKS. Eine Trennung der Beschreibung ist sinnvoll nicht mglich. Nachfolgend wird entsprechend von einer zusammengefassten Beschreibung ausgegangen.

Beschreibung von IKS und RMS im Lagebericht November/2009

Verbindung zur Risikoberichterstattung

Neben strategischer Ausrichtung, Effizienz und Effektivitt der Betriebsablufe und Compliance stellt die Berichterstattung einen der Bereiche der Rahmenwerke dar, die vom RMS bzw. IKS abgedeckt werden. Die vom HGB in 289 Abs. 5, 315 Abs. 2 Nr. 5 HGB geforderte Beschreibung im Hinblick auf den (Konzern-)Rechnungslegungsprozess bezieht sich auf die externe Finanzberichterstattung (Jahresabschluss, Konzernabschluss, Lagebericht, Konzernlagebericht) und beschrnkt sich insoweit auf einen Teilbereich der Systemkomponente Berichterstattung. Zu beachten ist aber, dass bereits vor dem Inkrafttreten des BilMoG Aussagen zum Risikomanagement im Lagebericht notwendig waren und auch weiterhin notwendig sind. Neben den in 289 Abs. 1 HGB geforderten Angaben zu den Risiken und Chancen der voraussichtlichen Entwicklung verlangt 289 Abs. 2 Nr. 2a HGB Angaben zu Risikomanagementzielen und methoden in Bezug auf die Verwendung von Finanzinstrumenten, soweit dies fr die Beurteilung der Lage oder der voraussichtlichen Entwicklung von Belang ist. Fr den Konzernlagebericht bestehen in 315 HGB identische Anforderungen. Desweiteren stellt der Deutsche Rechnungslegungsstandard 5 (DRS 5) zur Risikoberichterstattung im Konzernlagebericht nach 315 Abs. 1 Satz 5 HGB klar, dass diese Berichterstattung eine angemessene Beschreibung des Risiko-managements umfasst (DRS 5.28). Die Regierungsbegrndung zu 289 Abs. 5 HGB sieht ausdrcklich eine zusammengefasste Darstellung der Angaben zum Risikomanagementsystem nach 289 Abs. 5 HGB mit den Angaben nach 289 Abs. 2 Nr. 2a HGB in einem Risikobericht vor. Da das IKS ein integraler Bestandteil des RMS ist, sollten die diesbezglichen Beschreibungen in diesen Risikobericht integriert werden. Die Beschreibung sollte innerhalb des Risikoberichts nach 289 Abs. 1 Satz 4, 315 Abs. 1 Satz 5 HGB vorgenommen werden. Die Berichterstattung ber das RMS / IKS beschrnkt sich somit tatschlich nicht auf die (Konzern-)Rechnungslegung. Die durch das BilMoG neu eingefhrten Vorschriften in 289 Abs. 5, 315 Abs. 2 Nr. 5 HGB erfordern aber innerhalb der bisher schon notwendigen Berichterstattung ber Risikomanagementsysteme im Lagebericht ein explizites Eingehen auf die (Konzern-)Rechnungslegungsprozesse sowie explizite Beschreibungen des IKS. Zwar stellt das IKS einen integralen Bestandteil des RMS dar, eine Beschreibung der wesentlichen Merkmale war aber bisher nicht ausdrcklich gefordert. Diese in das Gesetz neu aufgenommenen expliziten Anforderungen zur Beschreibung der wesentlichen Merkmale des IKS und RMS in Hinblick auf die (Konzern-)Rechnungslegungsprozesse gehen somit ber die bisherigen Anforderungen hinaus, d.h. die Darstellung muss konkreter sein, als die bisher allgemein notwendigen Angaben zum RMS nach 289 Abs. 1 Satz 4, Abs. 2 Nr. 2a, bzw. 315 Abs. 1 Satz 5, Abs. 2 Nr. 2a HGB. Die Berichtspflicht erstreckt sich hierbei wie im Entwurf des DRS 5 ausgefhrt auf alle Teile des IKS und RMS, die den (Konzern-)Abschluss wesentlich beeinflussen knnen. Dies sind neben der Abschlusserstellung unter Wesentlichkeitsgesichtspunkten auch die Bestandteile des IKS und RMS, die z.B. auf die originr zutreffende Erfassung von Transaktionen in der Buchhaltung abstellen.

Beschreibung von IKS und RMS im Lagebericht November/2009

Struktur und Inhalt der beschreibenden Darstellung

Die Beschreibung der wesentlichen Merkmale des IKS und RMS der Rechnungslegungsprozesse soll dem Leser ermglichen, sich ein Bild von den Systemen machen zu knnen. Hierzu ist eine klare Gliederung der Darstellung erforderlich. Die Beschreibung sollte hierbei die nachfolgenden Inhalte abdecken:

Allgemeine Aussagen Zielsetzungen Organisatorischer Aufbau Darstellung der wesentlichen Risiken und der hiermit verbundenen internen
Kontrollen

Darstellung der Manahmen zur Sicherstellung der Wirksamkeit des Internen

Kontroll- und des Risikomanagementsystems Welche Darstellungen genau angemessen und notwendig sind, richtet sich nach den Gegebenheiten des Unternehmens und der Ausgestaltung der Systeme im jeweiligen Unternehmen. Beispielhaft knnen sich folgende inhaltlichen Aussagen empfehlen: Allgemeine Aussagen Das Unternehmen sollte seinen Ausfhrungen zunchst eine Definition der Begrifflichkeiten vorwegstellen. Hierbei kann z.B. auf die bereits im Deutschen Rechnungslegungsstandard Nr. 5 zur Risikoberichterstattung enthaltene Definition des RMS zurckgegriffen werden. Hiernach ist das RMS ein nachvollziehbares, alle Unternehmensaktivitten umfassendes System, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation, Analyse, Bewertung, Steuerung, Dokumentation und Kommunikation von Risiken sowie die berwachung dieser Aktivitten. Des Weiteren sollte darauf hingewiesen werden, dass zur Steuerung der Risiken das IKS einen integralen Bestandteil des RMS darstellt und entsprechend eine zusammengefasste Darstellung erfolgt. Soweit das Unternehmen sein RMS und IKS auf der Grundlage von anerkannten Rahmenwerken (z.B. COSO ERM, COSO IKS, Turnbull) eingerichtet hat, kann ein Verweis auf diese Rahmenwerke das Verstndnis des Abschlussadressaten fr die Systeme erleichtern. Zur Verdeutlichung der Verantwortlichkeiten empfehlen sich Aussagen dazu, dass der Vorstand Umfang und Ausrichtung der eingerichteten Systeme in eigener Verantwortung anhand der unternehmensspezifischen Anforderungen ausgestaltet. Alle entsprechenden Rahmenwerke stellen klar, dass auch angemessen und funktionsfhig eingerichtete Systeme keine absolute Sicherheit zur Identifikation und Steuerung der Risiken gewhren knnen. Da beim Abschlussadressaten dieses Verstndnis nicht unterstellt werden kann, sollte hierauf zur Vermeidung einer Erwartungslcke hingewiesen werden.

Beschreibung von IKS und RMS im Lagebericht November/2009

Zielsetzungen Zum Verstndnis der Struktur und Prozesse des RMS und IKS ist es notwendig, die Zielsetzung der zu beschreibenden Systeme anzugeben. In Bezug auf die (Konzern-)Rechnungslegungsprozesse sind dies nach E-DRS 5 in Hinblick auf das RMS:

Identifizierung und Bewertung von Risiken, die dem Ziel der

Regelungskonformitt des (Konzern-)Abschlusses entgegenstehen knnten

Begrenzung erkannter Risiken, z.B. durch Hinzuziehung von externen

Spezialisten

berprfung erkannter Risiken hinsichtlich ihres Einflusses auf den

Konzernabschluss und die entsprechende Abbildung dieser Risiken. Die Zielsetzung des IKS des Rechnungslegungsprozesses ist es, durch die Implementierung von Kontrollen hinreichende Sicherheit zu gewhrleisten, dass trotz der identifizierten Risiken ein regelungskonformer (Konzern-)Abschluss erstellt wird. Sofern die Beschreibung der wesentlichen Merkmale des RMS / IKS in einem zusammengefassten Risikobericht erfolgt, ist auch auf die Zielsetzung der Systeme in Hinblick auf andere Risiken (betriebliche Ablufe, Compliance, interne Berichterstattung) einzugehen. Organisatorischer Aufbau Die Regierungsbegrndung verlangt zur Beschreibung der wesentlichen Merkmale des RMS / IKS der Rechnungslegungsprozesse eine Beschreibung der Strukturen und Prozesse. Hierzu gehrt auch eine Beschreibung des organisatorischen Aufbaus. Abhngig von den Gegebenheiten im Unternehmen kann die Darstellung der Organisationsstruktur fr das RMS / IKS einheitlich oder nach einzelnen Bereichen (Rechnungslegungsprozess, betriebliche Ablufe, Compliance) getrennt erfolgen. Im Einzelnen werden Angaben zu folgenden Themen zu erwarten sein:

Darstellung des grundstzlichen Aufbaus

Einheitliche, zentrale Ausrichtung aller Systeme oder dezentrale Organisation, ausgerichtet an Tochterunternehmen Angaben zu Konzernrechnungslegungseinheiten Soweit einzelne Konzerneinheiten nicht in das System eingebunden sind, oder eigene Systeme haben, muss dies klar dargestellt werden (z.B. im Falle von Neu-Akquisitionen) Finanzvorstand Interne Revision Risiko-Komitees

Nennung von Zustndigkeiten z.B. :

-

Angaben zu den wesentlichen Unternehmensrichtlinien (allgemeine

Beschreibung, keine detaillierte Wiedergabe) Code of Ethics Compliance Richtlinien Betriebsorganisation-Handbcher Bilanzierungs- und Konsolidierungshandbcher Gegebenenfalls Verweis auf Entsprechenserklrung Gegebenenfalls Verweis auf Erklrung zur Unternehmensfhrung

Beschreibung von IKS und RMS im Lagebericht November/2009

In Bezug auf die Prozesse des RMS wird allgemein eine Beschreibung der Prozesse zur Risikoidentifizierung, -bewertung und Entscheidung ber die Risikoakzeptanz des Unternehmens, bzw. zur Risikophilosophie des Unternehmens zu erwarten sein. In Bezug auf die Rechnungslegungsprozesse kann z.B. eine Beschreibung der Prozesse zur Identifizierung von Rechnungslegungsrisiken sowie zur Beurteilung der Wesentlichkeit von potentiellen Fehlaussagen im Jahresabschluss erfolgen. Aus E-DRS 5 sind verschiedene Angaben zu den Prozessen des IKS der Rechnungslegung ableitbar:

Bilanzierungsrichtlinien (z.B. zur Vorratsbewertung, zur Darstellung von

Steuersachverhalten, Kontierungsanweisungen)

Organisation und Kontrolle der Buchhaltung, Ablauf der

(Konzern-)Abschlusserstellung

Grundzge der Funktionstrennung zwischen den Abteilungen Zuordnung der Aufgaben bei der Erstellung der Abschlsse (z.B. Abstimmung
von Forderungen und Verbindlichkeiten durch Saldenbesttigungen)

Mitwirkung externer Dienstleister am (Konzern-)Abschlusserstellungsprozess Zugriffsregelungen im EDV-System (Schreib-, Leseberechtigung) Aufgaben im Zusammenhang mit der (Konzern-)Rechnungslegung, die vom
Bereich Interne Revision wahrgenommen werden

Konzerninterne Richtlinien zur Abstimmung konzerninterner Liefer- und

Leistungsbeziehungen, beispielsweise fr Zwecke der Eliminierungen

Zuordnung der Aufgaben bei der Erstellung der Konzernabschlsse (z.B.

Abstimmung konzerninterner Salden, Kapitalkonsolidierung, berwachung der Berichtsfristen und der Berichtsqualitt in Bezug auf die Daten der einbezogenen Unternehmen)

Nutzung von externen Sachverstndigen bei der (Konzern-)Abschlusserstellung Zugriffsvorschriften im Konsolidierungs-EDV-System (Schreib-,
Leseberechtigungen auf Ebene von einbezogenen Unternehmen oder auf Ebene des Konzerns oder Teilkonzernen/Segmenten)

Kontrollprozesse hinsichtlich der (Konzern-)Rechnungslegung (z.B. Vier-AugenPrinzip) Eine Berichterstattungspflicht ber die Risiken der (Konzern-)Rechnungslegung besteht nur insoweit, als es sich um Risiken der zuknftigen Entwicklung handelt, ber die entsprechend nach 289 Abs. 1, bzw. 315 Abs. 1 HBG zu berichten ist. Eine darber hinausgehende Beschreibung der (Konzern-)Rechnungslegungsrisiken im Zusammenhang mit der Beschreibung der IKS-Prozesse kann das Verstndnis des Abschlussadressaten fr die Beschreibung des rechnungslegungsbezogenen IKS erhhen. Im Rahmen der Risikoberichterstattung nach 289 Abs. 1, 315 Abs. 1 HGB sind die zu berichtenden Risiken der zuknftigen Entwicklung umgekehrt auch im Zusammenhang mit den jeweils ergriffenen Manahmen zu beschreiben (DRS 5.21).

kpmg.de

Manahmen zur Sicherstellung der Wirksamkeit des RMS / IKS Aussagen zur Wirksamkeit des RMS bzw. IKS sind weder im Hinblick auf die (Konzern-)Rechnungslegungsprozesse noch im Hinblick auf die brigen RMS / IKS Bereiche gesetzlich gefordert. Hiervon unabhngig stellt die Sicherstellung der Wirksamkeit der implementierten Systeme einen integralen und wesentlichen Bestandteil der Systeme (Monitoring) dar. RMS und IKS knnen keine statischen Systeme sein, sondern mssen fortlaufend an genderte Anforderungen und Rahmenbedingungen angepasst werden. Zur Identifizierung dieser nderungsnotwendigkeiten ist die laufende berwachung der gesamten Systeme auf Wirksamkeit notwendig. Die vom Vorstand im Rahmen der Sorgfaltspflicht ergriffen Manahmen zur nachhaltigen Wirksamkeit der Systeme stellen damit ein wesentliches Merkmal dar und sollten ebenfalls beschrieben werden. Die Beschreibung sollte dabei so ausgestaltet sein, dass der Leser des Lageberichts hierin nicht eine, wenn auch nur implizite Aussage zur tatschlichen Wirksamkeit der Systeme zu verstehen meint. Im Einzelnen knnen sich Aussagen zu folgenden Sachverhalten anbieten:

Fortlaufende berwachung der Wirksamkeit

Regelmige Selbstbeurteilungen der mit den Kontrollen beauftragten Personen Kennzahlenberprfungen zur Verprobung von Transaktionsergebnissen in Bezug auf Hinweise, die auf Kontrollschwchen schlieen lassen Informations- und Kommunikationswege, zur zeitnahen und vollstndigen Vermittlung von Informationen ber die Notwendigkeit von Vernderungen an den Kontrollen Fortgesetzte Manahmen, um neu auftretende Risiken und Notwendigkeit zur Neu-Implementierung von Kontrollen zu erkennen Stichprobenweise Prfung der Wirksamkeit durch die Interne Revision Umfangreiche Wirksamkeitstest durch Interne Revision / spezielle Teams, z.B.: Konzernweit Fr bestimmte Bereiche des RMS / IKS Fr bestimmte Unternehmen Beurteilungen durch externe Prfer Gegebenenfalls: Feststellungen aus solchen Prfungen Regelmige Berichterstattung des Vorstands an AR / PA, z.B.: Welche Bereiche des RMS / IKS Art der Berichterstattung Turnus der Berichterstattung Gesonderte berwachungsmanahmen durch AR, z.B.: Gesonderte Beauftragung der IR auf Veranlassung des AR Gesonderte Beauftragung externer Dritter (z.B. als Schwerpunkt im Rahmen der JA-Prfung)

Separate berprfungen der Wirksamkeit

Berichterstattung an den Aufsichtsrat (AR)/Prfungsausschuss (PA)

-

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemhen, zuverlssige und aktuelle Informationen zu liefern, knnen wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und grndliche Analyse der betreffenden Situation.

2009 KPMG AG Wirtschaftsprfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhngiger Mitgliedsfirmen, die KPMG International, einer Genossenschaft schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.