Lade Inhalt...

Anforderungen an die Gestaltung der Internen Revision und des Internen Kontrollsystems (IKS) in einer Unternehmung zur Erfüllung der Corporate Governance Erfordernisse

Masterarbeit 2014 70 Seiten

BWL - Controlling

Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Einführung und Thematik
1.2 Aufbau und Ziel der Arbeit

2 Interne Revision und Internes Kontrollsystem (IKS)
2.1 Definition und Ziele der Internen Revision
2.2 Aufgaben und Prozesse der Internen Revision
2.2.1 Aufgaben der Internen Revision
2.2.2 Prüfungsprozess der Internen Revision
2.3 Regulatorische Rahmenbedingungen der Internen Revision
2.3.1 Grundlagen der regulatorischen Rahmenbedingungen
2.3.2 Nationale gesetzliche Regelungen
2.3.3 Berufsständische Standards des IIA und des DIIR
2.4 Organisatorische Einbindung der Revision
2.4.1 Grundlagen der organisatorischen Einbindung
2.4.2 Business-Judgement-Rule und Neubürger-Urteil
2.5 Internes Kontrollsystem (IKS)
2.5.1 Sarbanes-Oxley Act und COSO-Kontrollrahmen
2.5.2 Grundlagen eines Internen Kontrollsystems
2.6 Fazit: Interne Revision und Internes Kontrollsystem (IKS)

3 Corporate Governance
3.1 Definition und Ziele der Corporate Governance
3.2 Regulatorische Rahmenbedingungen
3.2.1 Grundlagen regulatorischer Rahmenbedingungen
3.2.2 Nationale gesetzliche Regelungen
3.2.3 Deutscher Corporate Governance Kodex (DCGK) und Corporate Governance Grundsätze der OECD
3.3 Fazit: Corporate Governance

4 Einbindung der Revisionsfunktion in ein Corporate-Governance-System
4.1 Problemstellung – Einbeziehung der Internen Revision in ein CG-System
4.2 Corporate Governance System
4.2.1 Das Verwaltungssystem der deutschen Aktiengesellschaft
4.2.2 Kritik und Konflikte in Bezug auf die Revisionsfunktion
4.3 Modelle zur Einbindung der Internen Revision in ein Corporate Governance System
4.3.1 Enterprise Risk Management (ERM)-Ansatz
4.3.2 Zusammenarbeitsmodell und Three-Lines-of-Defense-Modell
4.3.3 Ergänzende Gedankenansätze des COSO-Diskussionspapiers
4.3.4 Fazit: Einbindung der Revisionsfunktion in ein Corporate-Governance-System

5 Zusammenfassung und Ausblick

Literaturverzeichnis

Anhang - Tabellen

Abbildungsverzeichnis

Abb. 1 – Prüfungsprozess der Internen Revision

Abb. 2 – Gesetzliche Regelungen und berufsständische Standards

Abb. 3 – COSO I - Die drei Dimensionen eines IKS nach COSO

Abb. 4 – Regelungsbereiche eines Internen Kontrollsystems

Abb. 5 – Einflussfaktoren und Beteiligte des Corporate-Governance-Managements

Abb. 6 – Dualistisches Verwaltungssystem der deutschen AG

Abb. 7 – COSO II – Enterprise Risk Management (ERM) Framework

Abb. 8 – Mitwirkungsmodell: Interne Revision im COSO Enterprise-Risk-Management-Ansatz

Abb. 9 – Three-Lines-of-Defense-Modell

Abb. 10 – Beziehung von ERM und Internal Control zum Business-Model

Abb. 11 – Zuordnung der Komponenten zum Business-Model

Tabellenverzeichnis

Tab. 1 – Aufgaben der Internen Revision

Tab. 2 – Komponenten des internen Kontrollsystems

Tab. 3 – Corporate Governance Normen (national/international)

Tab. 4 – Komponenten des unternehmensweiten Risikomanagements

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten.

1 Einleitung

1.1 Einführung und Thematik

„Corporate Governance“ ist ein in der jüngsten Zeit immer noch viel diskutiertes Thema. Bekannt wurde der Begriff nicht zuletzt durch Fälle internationaler und nationaler Wirtschaftskriminalität mit großen, teilweise die Unternehmensexistenz gefährdenden Ausmaßen. Die Auswirkungen von Corporate-Governance-Verstößen können eine Vielzahl von externen und internen Unternehmensbeteiligten wie Anleger, Arbeitnehmer sowie Unternehmensführungen und Aufsichtsräte treffen.[1]

Corporate-Governance-Verstöße können, neben Auswirkungen auf die allgemeine wirtschaftliche Situation und den Wert des jeweiligen Unternehmens, ebenfalls Einfluss auf Branchen oder Entwicklungen an den Weltbörsen nehmen.

Verstärkt wird die Gefahr von Corporate-Governance-Verstößen durch die zunehmende Komplexität von Produkten, die Verkürzung von Produktlebenszyklen sowie durch die Verflechtung und Internationalisierung von Märkten und die Globalisierung, welche die Konkurrenzsituation für die Unternehmen auf nationalen und internationalen Märkten erhöht. Hinzu treten die Verkürzung von Reaktionszeiten sowie die hieraus resultierende Notwendigkeit zu einer vorausschauenden Planung und Risikoabschätzung, welche eine entsprechende Governance-Organisation unter Mitwirkung der Internen Revision immer bedeutender machen und in den nächsten Jahren noch verstärkter machen werden: Sicherungs- und Kontrollinstanzen bedürfen demensprechend der Implementierung und ständigen Weiterentwickelung, um Verstöße zu vermeiden oder zumindest zeitnah aufzudecken. Grundlage für ein derartiges Governance-/Überwachungssystem bilden einerseits gesetzliche Vorgaben, wie auf internationaler Ebene der Sarbanes-Oxley Act (SOX) aus dem Jahre 2002, welcher zum Ziel hatte, die Verlässlichkeit der Finanzberichterstattung zu erhöhen und die Corporate Governance von Unternehmen, die an der Securities and Exchange Comission (SEC) registrierungspflichtig und somit an den US-Börsen gelistet waren, zu verbessern.[2] Darüber hinaus wurden auf europäischer und nationaler Ebene in den letzten Jahren diverse Gesetzesvorlagen umgesetzt und verabschiedet, um das rechtliche Rahmenwerk der Corporate Governance in Hinblick auf Anlegerschutz, die Vermeidung der Veruntreuung von Unternehmenswerten und zur Positionierung der im Unternehmen angesiedelten Kontrollinstanzen zu stärken. Die in der deutschen Aktiengesellschaft von diesen Änderungen betroffenen und profitierenden Instanzen sind neben der Geschäftsleitung (dem Vorstand) deren Kontrollinstanz (dem Aufsichtsrat) sowie die Interne Revision als ein vom Vorstand eingesetztes Kontrollinstrument.[3] Nicht zuletzt wurde der Bedarf von Interner Revision und Compliance-Funktionen im Unternehmen auch durch das neuerliche „Neubürger-Urteil“ des LG München I[4] gestärkt, auf Basis dessen ein ehemaliges Siemens-Vorstandsmitglied wegen nicht sachgerecht eingerichteter Compliance-Strukturen zu einem Schadenersatz in Millionenhöhe verurteilt wurde. Demnach sollte der Vorstand alleine deshalb ein Interesse an der Einrichtung eines funktionsfähigen Governance Systems und einer sachgerechten Arbeit der Internen Revision haben, um privatrechtliche Haftungskonsequenzen und Schadensersatzforderungen zu vermeiden.

Neben den gesetzlichen Vorgaben existieren weitere berufsständische und institutionelle Vorgaben, wie beispielsweise jene des Institutes of Internal Auditors, des Deutschen Instituts für Interne Revision oder des Instituts der Wirtschaftsprüfer. Darüber hinaus bestehen diverse inländische Kodizes (beispielsweise der Deutsche Corporate Governance Kodex) und Grundsätze multinationaler Verbände. Diese haben teils empfehlenden Charakter, es bedarf also der Entscheidung der jeweiligen Unternehmensleitung inwieweit diese für das Unternehmen anwendbar sind oder sind bereits, wie der Deutsche Corporate Governance Kodex, in die deutsche Gesetzgebung implementiert worden.

Dementsprechend stellt sich in dem genannten dynamischen Umfeld für die Unternehmen die schwierige Aufgabe, ein auf das jeweilige Geschäftsmodell und die jeweiligen Strukturen passendes Corporate-Governance-System und Compliance-System zu entwickeln, welches einerseits die genannten gesetzlichen, berufsständischen, institutionellen und sonstigen Vorgaben beachtet und andererseits das größtmögliche Maß an Risikovermeidung oder zumindest Risikominimierung bietet.

Die Frage, die sich hieraus für die Unternehmensleitung ergibt, ist wie sie die Ressource der Internen Revision zur Implementierung und laufenden Prüfung eines derartigen Systems bestmöglich einsetzen kann, ohne dass diese hierbei in Interessenskonflikte gerät, welche durch die Zusammenarbeit von Vorstand, Aufsichtsrat und Interner Revision entstehen könnten.

Nicht zuletzt stellt sich für die Unternehmensleitung auch die Frage, inwieweit die Interne Revision durch ihre Tätigkeit einen Mehrwert für die Leistungsfähigkeit des Gesamtunternehmens erbringen kann.

1.2 Aufbau und Ziel der Arbeit

Die vorliegende Arbeit betrachtet primär die Gesellschaftsform der deutschen Aktiengesellschaft mit ihrer Führungsstruktur von Vorstand und Aufsichtsrat und die für diese Gesellschaftsform maßgeblichen Regularien, insbesondere das deutsche Aktiengesetz (AktG)[5].

Kapitel 2 stellt die grundlegenden Begriffe zu den Themenbereichen Interne Revision und Internes Kontrollsystem (IKS) dar. Neben den Definitionen und Zielen der Internen Revision (Kapitel 2.1) werden die Aufgaben nach historischer und neuerer Definition und der (Prüf-)Prozess der Internen Revision erläutert. Darüber hinaus wird das regulatorische Umfeld, in welchem sich Interne Revision, Vorstand und Aufsichtsrat bewegen, analysiert (Kapitel 2.3): Neben den gesetzlichen Regelungen, primär des Aktiengesetzes, werden die aktuellen institutionellen Standards des Institute of Internal Auditors und des Deutschen Instituts für Interne Revision diskutiert. Ebenfalls wird die Frage geklärt, welche Arten der möglichen organisatorischen Einbindung es für die Interen Revisionsfunktion gibt. Weiterhin werden die neuen Gedanken zu Business Judgement Rule und dem sogenannten „Neubürger-Urteil“ beleuchtet (Kapitel 2.4). Schlussendlich werden die Grundlagen für ein Internes Kontrollsystem, dessen Entstehung basierend auf dem Sarbanes-Oxley Act und dem COSO-Kontrollrahmen sowie der Standards betreffend eines Internen Kontrollsystems vom Institut der Wirtschaftsprüfer, diskutiert.

Mithin bietet das Kapitel 2 einen Überblick über die grundlegenden Definitionen sowie die aktuellen gesetzlichen und berufsständischen Grundlagen zur Internen Revision und zeigt darüber hinaus, wie ein idealtypisches Internes Kontrollsystem auszugestalten ist (Kapitel 2.5).

Kapitel 3 überträgt die bisher gewonnen Erkenntnisse zu Interner Revision und Internem Kontrollsystem auf den weiteren Begriff der Corporate-Governance-Anforderungen an eine deutsche Aktiengesellschaft. Neben den theoretischen Grundlagen (Kapitel 3.1) werden die einschlägigen regulatorischen Rahmenbedingungen diskutiert (Kapitel 3.2): Dies sind neben den nationalen gesetzlichen Regelungen, welche auch unter europarechtlichem Einfluss in den letzten Jahren starken Änderungen unterlegen waren, auch Kodizes wie der Deutsche Corporate Governance Kodex.

Demnach stellt das Kapitel 3 die Verbindung der theoretischen Fundierung zu Kapitel 2 her und legt die Grundlage zum Verständnis der Ausarbeitungen des folgenden Hauptkapitels.

Kapitel 4 bietet nun, basierend auf den Grundlagen der beiden vorangegangenen Kapitel, einen Ansatz dafür, wie ein idealtypischer Setup der Internen Revision in einer Aktiengesellschaft gestaltet werden kann. Zunächst wird die Problemsituation dargestellt (Kapitel 4.1), welche aufgrund der verschiedenen vorhandenen Regelwerke und der Zunahme der (eventuell konfliktären) Aufgaben der Internen Revision entstanden ist. Darüber hinaus wird analysiert, welche Kritik- und Konfliktsituationen sich speziell, basierend auf dem Verwaltungssystem der deutschen Aktiengesellschaft, im Zusammenspiel der Parteien Vorstand, Aufsichtsrat und Interner Revision ergeben können (Kapitel 4.2). Sodann werden Modelle erläutert und analysiert, welche es erlauben, die Interne Revision in ein Corporate Governance System einzubinden (Kapitel 4.3): Es wird die grundlegende Überlegung angestellt, wie die Interne Revision in einem Enterprise-Risk-Management-System, basierend auf dem COSO-Enterprise-Risk-Management-Rahmenwerk, unter zeitgleicher Beachtung der Standards des Deutschen Instituts für Interne Revision möglichst effizient aufgestellt werden kann. Dabei wird anhand der modellhaften Anwendung des COSO-Risk-Management-Modells aufgezeigt, in welchen Prozessschritten die Interne Revision im Risk-Managementmodell mitwirken kann und sollte. Des Weiteren wird analysiert, welche zusätzliche Sicherheit die Anwendung des Three-Lines-of-Defense-Modells innerhalb eines existenten Risikomanagementsystems liefern kann. Schlussendlich werden, basierend auf einem Anfang des Jahres veröffentlichten COSO-Diskussionspapiers, Gedankenansätze aufgezeigt, welche Möglichkeiten die Interne Revision in einem einfachen Business-Modell haben kann, die operationale Performance zu stärken.

Kapitel 4 bietet demnach einen Ansatz für ein Implementierungsmodell für die Interne Revision in ein Enterprise-Risk-Management-System und zeigt modellhaft die entsprechenden Prozessschritte auf, in denen die Interne Revision involviert ist. Darüber hinaus wird diskutiert, wie die Interne Revision ebenfalls einen operationalen Mehrwert schaffen kann.

Zusammenfassend soll die vorliegende Arbeit demnach aufzeigen, wie die Interne Revision als Funktion im Unternehmen auf der einen Seite und ein Internes Kontrollsystem auf der anderen Seite einen bestmöglichen Beitrag zur Funktionsfähigkeit eines Corporate Governance Systems liefern können. Darüber hinaus soll die Arbeit die grundlegenden Rahmenbedingungen und Möglichkeiten der Einbindung der Internen Revision in ein solches System aufzeigen und Konflikte, die hierbei erwachsen können, beleuchten. Weiterhin soll die Arbeit Anhaltspunkte für die Mitwirkung der Internen Revision in den einzelnen Teilbereichen eines Risikomanagementsystems, erweitert durch die Gedanken des Three-Lines-of-Defense-Modells, bieten. Nicht zuletzt soll die Arbeit aufzeigen, wie hierbei die Interne Revision auch einen operationalen Mehrwert für die gesamte Organisation schaffen kann.

2 Interne Revision und Internes Kontrollsystem (IKS)

2.1 Definition und Ziele der Internen Revision

Zum Verständnis des Internen Revisionsbegriffs kann dieser wie folgt in das betriebliche Gefüge eingeordnet werden: Als Betrieb wird eine „technische, soziale, wirtschaftliche, organisatorische, umweltbezogene […] rechtliche Einheit“ bezeichnet, „die Güter zur Deckung eines Bedarfs erstellt, dazu selbstständige Entscheidungen trifft und Risiken trägt.“ [6] Hat der Betrieb durch seine Güter- oder Dienstleistungserstellung zum Ziel, fremden Bedarf zu decken, so spricht man von einem Unternehmen.[7] Zur Erreichung der Unternehmensziele[8] bedient sich die Unternehmensführung der verschiedenen im Unternehmen angesiedelten Funktionen und Bereiche wie Materialwirtschaft, Produktion, Marketing, Rechnungswesen und Personal[9] sowie auch der Internen Revision. Während frühere Definitionen von „Interner Revision“ in der Arbeit der Internen Revision eine alleinige, eingeschränkte Unterstützungsfunktion für die Unternehmensleitung sahen,[10] gehört nach heutiger Auffassung auch die Unterstützung weiterer Unternehmens- und Aufgabenbereiche zu den Handlungsfeldern der Internen Revision. Diese hat neben der Unternehmensführung weitere interne und externe „Kunden“.[11]

Nach der Definition des Deutschen Instituts für Interne Revision e. V. erbringt die Interne Revision dementsprechend „unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem Sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.“ [12]

Die Mitarbeiter der Internen Revision sind hierbei, bis auf die Ausnahme von potentiell ausgegliederten Teilen der Revisionsfunktion, Mitarbeiter des eigenen Unternehmens.

Zur Wahrung der Unabhängigkeit der Internen Revision ist es wichtig, dass ihre Tätigkeit von den ausführenden, operationalen Tätigkeiten getrennt wird. Um Interessenskollisionen zu vermeiden und die Funktionstrennung zu gewährleisten, darf eine Interne Revision die Kontrollfunktion nicht einnehmen, wenn sie vorher aktiv im operationalen Prozess eingebunden war, da sie sich ansonsten selbst kontrollieren würde. Daher ist eine wichtige Unterscheidung zu treffen zwischen der Internen Revision als überprüfendes Organ und der Kontrollfunktion innerhalb der operationalen Prozesse, welche durch die jeweiligen Mitarbeiter der Fachbereiche im täglichen Arbeitsablauf ausgeführt wird.[13] Die Interne Revision wird in diesem Sachzusammenhang auch als die „Kontrolle der Kontrolle“ gesehen.[14]

Die Ziele der Internen Revision als unternehmensweite Überwachungsinstanz orientieren sich nach den klassischen Ansätzen der Betriebswirtschaftslehre an den übergeordneten Unternehmenszielen. In deren analoger Anwendung lassen sich diese Ziele in Formal- und Sachziele differenzieren. Während Formalziele übergeordnete Ziele darstellen, richten sich die Sachziele an diesen aus und beziehen sich auf das konkrete betriebliche Handeln in den einzelnen Unternehmensfunktionen.[15] Formalzielvorgaben können, angewandt auf die Zielvorgaben einer Internen Revision, beispielsweise die Beteiligung am Unternehmensgewinn, Sachziele die konkret notwendigen Maßnahmen zur Erreichung dieser Ziele sein.[16]

2.2 Aufgaben und Prozesse der Internen Revision

2.2.1 Aufgaben der Internen Revision

Die Hauptaufgaben der Internen Revision bestehen, wie oben beschrieben, in der Prüfung von betrieblichen Prozessen und Strukturen. Die dementsprechend definierten Prüfungsziele der Internen Revision lassen sich unterscheiden in Ordnungsmäßigkeit, Wirtschaftlichkeit und Zweckmäßigkeit.[17]

Ordnungsmäßigkeitsprüfungen decken die Einhaltung von gesetzlichen und unternehmensinternen Regularien sowie vorgegebenen Ordnungsprinzipien durch die Unternehmensbeteiligten ab. Durch die aktuellen Diskussionen zum Thema Compliance hat diese Art der Revisionsaufgaben in der jüngsten Zeit erheblich an Bedeutung hinzugewonnen. Compliance-Verstöße führen in der Regel zur Verhängung von Sanktionen durch die Unternehmensleitung.[18]

Gegenstand von Sicherheitsprüfungen sind primär eine physische Unternehmensgefährdung auszuschließen und die Vermeidung von Verstößen gegen bestehende Auflagen.[19]

Durch Wirtschaftlichkeits- und Zweckmäßigkeitsprüfungen werden hingegen die Parameter Effizienz und Effektivität hinterfragt. Die Ergebnisse derartiger Prüfungen geben Auskunft darüber, inwieweit unternehmensinterne Anweisungen, Regeln und Normen in Konformität zu den Unternehmenszielen stehen und ob Prozesse wirtschaftlich und zweckmäßig gestaltet sind.[20]

In neueren Ansätzen der Klassifizierung von Aufgabenbereichen der Internen Revision werden die Bereiche Ordnungsmäßigkeits-, Sicherheits- und Zweckmäßigkeits- bzw. Wirtschaftlichkeitsprüfung ergänzt um den Bereich Risiko- und Chancenprüfungen. Es ist zu berücksichtigen, dass oftmals auch eine zeitgleiche Vermischung von mehreren Prüfformen stattfindet.[21] Die Risiko- und Chancenprüfung stellt hierbei ein Prüfgebiet dar, welches von einer retrospektiven Betrachtungsweise das Hauptaugenmerk auf zukünftige, potenzielle Chancen und Risiken legt.

Um den genannten Prüfungszielen gerecht zu werden, werden durch die Revision Prüfungsaufgaben in unterschiedlichen Gestaltungsweisen durchgeführt. Historisch gewachsen wurden hierbei die Inhalte der Prüfung in die folgenden Kategorien unterschieden: Financial Auditing, Operational Auditing und Management Auditing.

Das Financial Auditing bezieht sich hierbei auf die Prüfung der formellen und materiellen Voraussetzungen des Rechnungswesens mit dem Ziel, die Ordnungsmäßigkeit und Zuverlässigkeit des Rechungswesens im Unternehmen zu beurteilen und zu bestätigen.[22] Beim Financial Auditing handelt es sich um eine vergangenheitsbezogene Prüfungshandlung von finanziellen Beständen, welche die Unternehmenssicherung gewährleisten soll.[23] Demnach ist das Financial Auditing ein klassischer Aufgabenbereich der Internen Revision.

Insbesondere jedoch in den letzten dreißig Jahren erfuhren, wie bereits erwähnt, die Aufgabenbereiche der Internen Revision zunehmend und stetig eine Erweiterung. Niederschlag findet diese Entwicklung im Prinzip des Operational Auditing. Hierbei handelt es sich um eine Organisationsprüfung mit dem Ziel der Verbesserung der Wirtschaftlichkeit und zur Erhöhung der organisationalen Wirkungsgrade von Strukturen und Prozessen.[24] Die wesentliche Unterscheidung zum Financial Auditing liegt in der Zukunftsorientierung des Operational Auditing.[25] Die Revision trägt somit durch diese Art der Prüfungshandlungen zur Vermeidung von künftigen Unternehmensrisiken bei.

Das Management Audit ist darüber hinaus eine Weiterentwicklung des Operational Auditing. Durch eine verstärkte Prüfung von Planungsaufgaben, welche im Bereich des (höheren) Managements liegen, wurde auch die Prüfung der Geschäftsführung zum Bestandteil der Revisionsaufgaben. Hierbei sind Prüfungsgegenstand im Wesentlichen die Führungsinstitution als solche und darüber hinaus das Führungsverhalten.[26] Da sich die Reaktionszeiten in den Unternehmen immer mehr verkürzen, muss die Interne Revision Prüfungen auch in den Bereichen initiieren, welche auf die zukünftige Wettbewerbssituation entscheidenden Einfluss haben können. Als Beispiele in diesem Kontext sind die Unternehmensplanung, die Investitionsplanung sowie die Festlegung von geeigneten Unternehmensstrategien zu nennen.[27]

Durch den neuen Standard des IIA – The Institute of Internal Auditors (in der deutschen Version herausgegeben vom DIIR – Deutsches Institut für Interne Revision e. V.)[28], in der letzten Version von 2013, haben die historischen Ansätze zu Financial Auditing, Operational Auditing und Management Auditing eine weitere Klarstellung erfahren. Zwar sind nach wie vor das Interne Kontrollsystem auf der einen Seite und das Risikomanagementsystem auf der anderen Seite die Stützpfeiler der Revisionsarbeit, diese werden aber nun stärker untergliedert und voneinander getrennt: Die aus Tabelle 1[29] hervorgehenden drei wesentlichen Aufgabenschwerpunkte sind demnach:

1) Bewertung und Verbesserung des Risikomanagementsystems
2) Aufrechterhaltung und Wirksamkeitsprüfung des Internen Kontrollsystems
3) Überprüfung des Führungs- und Überwachungssystem (Governance): Planung, Organisation und Disposition (Compliance Prozesse[30] )

Die drei wesentlichen Aufgabenbereiche der Internen Revision sind hierbei nicht überschneidungsfrei, sondern weisen Parallelen auf. Die nicht klare Trennbarkeit der einzelnen Teilbereiche und die Einbeziehung der Internen Revision in allen drei Teilbereichen können dazu führen, dass hieraus Interessenskonflikte für die Interne Revision entstehen.[31]

2.2.2 Prüfungsprozess der Internen Revision

Basierend auf der Ausrichtung an den Prüfzielen der Internen Revision (Ordnungsmäßigkeit, Wirtschaftlichkeit und Zweckmäßigkeit) und den hieraus resultierenden Prüfungsaufgaben Financial Auditing, Operational Auditing und Management Auditing, hat die Revisionsleitung für jegliche Art von durchgeführten Prüfungshandlungen einen formalistischen Revisionsprozess zu etablieren. Die Prüftätigkeit hat hierbei sowohl eine präventive als auch eine gestalterische Komponente, es sollen bestehende Fehler und Abweichungen im betrieblichen Ablauf aufgedeckt werden.[32]

Abb. 1 – Prüfungsprozess der Internen Revision

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Bergwanger, J., Kullmann S. (Interne Revision 2012), S. 184.

Der Revisionsprozess folgt einer formalistischen, immer gleich aufgebauten Struktur, bestehend aus Planung, Vorbereitung, Durchführung, Bericht und Nachschau. Wie bereits oben erwähnt, ist der Prüfprozess hierbei im Hinblick auf die jeweiligen Inhalte der Prüfung (Prüfung des Risikomanagementsystems, Prüfung des Kontrollsystems und Prüfung der Überwachungssysteme/Governance) anzupassen und inhaltlich aufzustellen.

2.3 Regulatorische Rahmenbedingungen der Internen Revision

2.3.1 Grundlagen der regulatorischen Rahmenbedingungen

Die Anforderungen und Rahmenbedingungen an die Interne Revision lassen sich aus unterschiedlichen Quellen herleiten. Hierbei sind zum einen die nationalen gesetzlichen Regelungen zu nennen: Dies sind für die Gesellschaftsform der Aktiengesellschaft insbesondere Regelungen des Aktiengesetzes. Branchenspezifische Regelungen betreffend der Anforderungen an die Interne Revision sind in Deutschland insbesondere für Kredit- und Finanzdienstleistungsunternehmen mit dem KWG[33] sowie für Versicherungsunternehmen mit dem VAG[34] vorzufinden.[35] Die Regelungen des Aktiengesetzes zur Internen Revision sind jeweils im Zusammenhang zu sehen mit den Verpflichtungen, welche die Geschäftsleitung (den Vorstand) sowie deren Kontrollgremium (den Aufsichtsrat) betreffen. Zum anderen bestehen neben den gesetzlichen Regularien institutionelle Grundsätze, welche insbesondere durch das Institute of Internal Auditors (IIA) und das Deutsche Institut für Interne Revision (DIIR) geprägt sind. Die folgende Abbildung zeigt die wesentlichen Inhalte und Zusammenhänge:

Abb. 2 – Gesetzliche Regelungen und berufsständische Standards

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung

Berufsspezifische Standards des Institutes für Wirtschaftsprüfer (IDW) ergänzen darüber hinaus die in der Abbildung genannten Standards des IIA/DIIR.

2.3.2 Nationale gesetzliche Regelungen

Die Existenz einer Revisionsfunktion wird in der deutschen Gesetzgebung im Wesentlichen durch das Aktiengesetz geregelt: Gemäß § 76 Abs. 1 AktG hat der Vorstand die Aufgabe, die Gesellschaft unter eigener Verantwortung zu leiten. Hierbei darf der Vorstand Kernaufgaben, die in seiner Führungsverantwortung liegen, generell nicht an Dritte übertragen.[36] Nach § 91 Abs. 2 AktG hat der Vorstand : „ […] geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Die Verpflichtung des § 91 Abs. 2 AktG unterteilt sich hierbei prinzipiell in zwei Stufen: Zum einen die Schaffung von Maßnahmen die eine Früherkennung ermöglichen, zum anderen die Überprüfung, ob diese Maßnahmen auch eingehalten wurden.[37] Zur Wahrnehmung dieser Aufgaben bedient sich der Vorstand der Hilfe der Internen Revision, welche er mit der diesbezüglichen Überwachungsfunktion beauftragt.[38] Nach der Gesetzesbegründung ergibt sich hieraus auch der bereits beschriebene Bedarf der Einrichtung eines Risikomanagementsystems, innerhalb dessen die Interne Revision Aufgaben übernehmen kann.[39] Der Regierungsentwurf legt zudem fest, dass zwar das GmbH-Gesetz (GmbHG)[40] keine derartige Regelung enthalten soll, dass für GmbHs jedoch „je nach ihrer Größe, Komplexität und ihrer Struktur nichts anderes gilt und die Neuregelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaftsformen hat.“ [41]

Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG)[42] wurde der § 107 Abs. 3 AktG (innere Ordnung des Aufsichtsrats) neu gefasst. Der Aufsichtsrat kann nach Satz 2 in seiner Funktion als Überwachungsorgan einen „Prüfungsausschuss bestellen, der sich mit der Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des Internen Revisionssystems […] befasst“. Durch die explizite Nennung im Gesetzeswortlaut sollen die Aufsichtsräte dahingehend sensibilisiert werden, dass der Gesetzgeber die Erwartung hat, dass in einem Unternehmen eine Interne Revision existent ist.[43] Die Organisationsautonomie und somit die Entscheidung ob der Aufsichtsrat dieser Empfehlung folgt, belässt der Gesetzgeber bewusst beim Aufsichtsrat selbst.[44] Zumindest börsennotierte Gesellschaften verfügen jedoch in der Regel über einen Prüfungsausschuss. Die Überwachungsfunktion des Aufsichtsrates erfordert hierbei sowohl ein Verständnis des Internen Kontrollsystems als auch der Monitoring- Funktionen innerhalb dieses Systems.[45]

Die Interne Revision wird allerdings ausschließlich als ein Instrument der Geschäftsführung gesehen und befindet sich nicht im direkten Zugriffsbereich des Aufsichtsrats, denn aus den §§ 91 Abs. 2 AktG und 107 Abs. 3 AktG ergibt sich lediglich die Verpflichtung der funktionalen Einrichtung der Internen Revision.[46] Die institutionelle Einrichtung hingegen kann hieraus nicht abgeleitet werden.[47]

2.3.3 Berufsständische Standards des IIA und des DIIR

Ergänzend zu den gesetzlichen Grundlagen, regeln die Standards des Institute of Internal Auditors und des Deutschen Instituts für Interne Revision die folgenden Themenbereiche in Bezug auf die Interne Revision[48]:

„1. Darstellung der verbindlichen Grundprinzipien der Internen Revision

2. Schaffung von Rahmenbedingungen für die Durchführung und Forderung vielfältiger wertschöpfender Dienstleistungen der Internen Revision

3. Aufstellung von Bewertungskriterien für die Leistung der Internen Revision

4. Förderung verbesserter organisatorischer Geschäftsprozesse und Arbeitsvorgänge“

Die Standards sind verbindliche und prinzipienbasierte Anforderungen. Zu unterscheiden sind sie in die grundlegenden Anforderungen an die Berufsausübung der Internen Revision und in Erläuterungen, Begriffe sowie Konzepte. Die Verbindlichkeit der Standards wird unterschieden in „unbedingte Anforderungen“ („muss“) und in „bedingte Vorgaben“, sofern keine besonderen Umstände ein Abweichen sachgerecht erscheinen lassen. Verpflichtend anzuwenden sind die Standards von den Mitgliedern des IIA sowie des DIIR und von den Certified Internal Auditors (CIAs), die Aufgaben im Bereich der Internen Revision erbringen.[49]

Die aktuellen Standards des DIIR[50] sind die folgenden:

- DIIR Revisionsstandard Nr. 1, Zusammenarbeit von Interner Revision und Abschlussprüfer[51]
- DIIR Revisionsstandard Nr. 2, Prüfung des Risikomanagements durch die Interne Revision[52]
- DIIR Revisionsstandard Nr. 3, Qualitätsmanagement in der Internen Revision[53]
- DIIR Revisionsstandard Nr. 4, Standard zur Prüfung von Projekten[54]
- DIIR Revisionsstandard Nr. 5, Standard zur Prüfung des Anti-Fraud-Management-Systems durch die Interne Revision[55]

Die Internationalen Standards für die berufliche Praxis der Internen Revision 2013[56] regeln darüber hinaus, unterteilt in die Attribute Standards und die Performance Standards, die allgemeinen Anforderungen und Voraussetzung an die Interne Revision und deren Gestaltung im jeweiligen Unternehmensumfeld:

1) Attribute Standards: Unabhängigkeit und Objektivität (Standard 1100), benötigte Kenntnisse und Kompetenzen (Standard 1200), Qualitätssicherung und Qualitätsverbesserung (Standard 1300).

2) Performance Standards: Leitungsfunktionen der Internen Revision (Standard 2000), Arbeitsumfang (Standard 2100), Planung und Durchführung der Prüfung (Standards 2200, 2300), Ergebniskommunikation, kontinuierliche Überwachung und Risikoübernahmen durch das Management (Standards 2400, 2500, 2600).

2.4 Organisatorische Einbindung der Revision

2.4.1 Grundlagen der organisatorischen Einbindung

Prinzipiell gibt es unterschiedliche Möglichkeiten der Eingliederung der Internen Revision in eine Organisation. Vorgabe bei der Eingliederung sollte es sein, dass die Revision unabhängig agieren kann und den notwendigen Support des Managements bei der Durchsetzung von korrektiven Maßnahmen erhält.[57] Teilweise ist die organisationale Einbindung der Internen Revision gesetzlich geregelt, beispielsweise für das Kreditgewerbe in den MaRisk (Mindestanforderungen an das Risikomanagement)[58].

In der Gestaltung der Internen Revision als Stabstelle der Unternehmensleitung sind die folgenden Konstellationen möglich (am Beispiel der Aktiengesellschaft)[59]:

- Vorsitzender des Vorstandes: Diese Option bietet für die Revision das höchste Maß an Unabhängigkeit. Der Vorsitzende des Vorstandes ist über sämtliche Tätigkeiten der Revision informiert und erteilt selbst die Prüfaufträge. Diese Konstellation stellt sicher, dass die Revision auch für die Prüfung von kritischen Themen die notwendige Unterstützung erhält. In Deutschland ist bei etwa drei Vierteln der DAX-Unternehmen die Revision unmittelbar an den Vorstandvorsitzenden angegliedert.[60]
- Ressortvorstand: Oftmals berichtet die Revision auch an den Leiter des Finanzbereichs (Chief Financial Officer). Für andere Unternehmensbereiche ist der Revision hierbei zumindest ein eingeschränktes Prüfrecht einzuräumen.[61]
- Gesamtvorstand: Zuordnung an alle Ressorts gleichermaßen. Als kritisch kann angemerkt werden, dass es zwischen den einzelnen Ressorts unterschiedliche Auffassungen zu Ergebnissen von Prüfungen geben kann. Des Weiteren können Abstimmungsschwierigkeiten zwischen den einzelnen Ressorts auftreten.[62]
- Prüfungsausschuss („Audit Committee“) als Aufsichtsratsgremium: Die 8. EU-Richtlinie (Abschlussprüferrichtlinie)[63] legt die Notwendigkeit der Etablierung eines Prüfungsausschusses und somit eines Audit Committees bei Unternehmen von öffentlichem Interesse fest. Die Umsetzung in Deutschland erfolgte durch das Bilanzrechtmodernisierungsgesetz. Die oftmals auch wegen ihrer Anforderungen an die Prüfung als „Euro-SOX“ oder „SOX-Light“ bezeichnete Richtlinie[64] wirft in der neuerlichen Diskussion die Frage auf, in welcher Form die Interne Revision im Zusammenhang mit dem Prüfungsausschuss in die Unternehmung einzubinden ist. In den USA wird bereits heute die Revision oftmals dem Audit Committee unterstellt, welches dann sämtliche Tätigkeiten der externen und der internen Revision koordiniert und überwacht.[65]

In Bezug auf das organisatorische Setup der Internen Revision stellt sich darüber hinaus die Frage, ob die Interne Revisions-Funktion zentral oder dezentral aufgestellt werden sollte. Für größere Unternehmen und somit auch für den hier vornehmlich behandelten Fall der deutschen Aktiengesellschaft ist eine zumindest in Teilen dezentrale Revision anzustreben. Hierdurch finden auch die kulturellen und lokalgesetzlichen Aspekte wie auch große inhaltliche Unterschiede in den einzelnen (inländischen) Geschäftsfeldern Berücksichtigung in der Revisionsarbeit. Gerade bei diversifizierten, sehr komplexen Konzernstrukturen, wie beispielsweise in der Automobilindustrie, kann eine Dezentralisierung dementsprechend sinnvoll sein. Ebenfalls bietet sich hierdurch die Möglichkeit flexibel auf sich schnell ändernde Geschäftsfelder und einhergehende Risiken zu reagieren. Die dezentrale Revision erfüllt in derartigen Konstellationen auch die Voraussetzung der Eigenverantwortlichkeit des Managements im Sinne des § 91 Abs. 2 AktG.[66] Damit ein einheitlicher Revisionsstandard gewährleistet werden kann ist es jedoch wichtig, dass zentrale Richtlinien und Standards von der Leitung der Konzernrevision vorgegeben werden.[67]

Des Weiteren stellt sich die Frage, ob Teile der Revisionsaufgaben extern vergeben werden sollten im Rahmen des sogenannten „Outsourcing“: In der Regel bietet sich ein Outsourcing der Internen Revision für ausgewählte Spezialthemen an, auch wenn prinzipiell eine Interne Revision im eigenen Unternehmen vorhanden ist, beispielsweise bei speziellen Betrugsprüfungshandlungen. Auch kann ein Outsourcing für die Prüfung der Unternehmensteile/-bereiche sinnvoll sein, denen die Interne Revision unmittelbar unterstellt ist.[68] Insbesondere in Fällen, in denen die Interne Revision in einen Interessenkonflikt kommen könnte, bietet die Vergabe eines externen Prüfauftrages die notwendige Neutralität und Unabhängigkeit. Derartige ausgegliederte Revisionsleistungen werden in der Regel von Wirtschaftsprüfungsgesellschaften und speziellen Beratungsunternehmen erbracht.

2.4.2 Business-Judgement-Rule und Neubürger-Urteil

Die generelle Notwendigkeit zur Einrichtung und organisatorischen Einbettung einer Revisions- und Compliance-Funktion in einem Unternehmen kann abgeleitet werden aus der sogenannten Business-Judgement-Rule des § 93 AktG, eingeführt durch das Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts (UMAG)[69]. Diese basiert im Wesentlichen auf den Gedanken ähnlicher US-amerikanischer Regelungen und war in Deutschland auch vor der gesetzlichen Normierung bereits durch das sogenannte ARAG-Garmenbeck-Urteil[70] existent. Nach dem deutschen Aktienrecht haftet ein Vorstandmitglied nach § 93 Abs. 1 S. 2 AktG dann nicht für eine getroffene Entscheidung, wenn eine Pflichtverletzung nicht vorliegt. Dies ist dann der Fall, „wenn das Vorstandmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf Grundlage einer angemessenen Information zum Wohle der Gesellschaft zu handeln.“ Die Beweislast liegt hierbei nach § 93 Abs. 2 S. 2 AktG beim jeweiligen Vorstandsmitglied. Hauptfunktion der Regelung ist es klarzustellen, dass bloße Misserfolge, in denen sich eine positive Prognose der Geschäftsleitung nicht bestätigt hat (allgemeines unternehmerisches Risiko), abzugrenzen sind von jenen Entscheidungen, bei welchen eine haftungsrelevante Sorgfaltspflichtverletzung vorliegt.[71]

Durch das sogenannte „Neubürger-Urteil“[72] des LG München I wurde kürzlich ein wegweisendes, gerichtliches Urteil zur Notwendigkeit der organisatorischen Einbindung einer Compliance-/Revisionsfunktion gefällt. Das Urteil legt die Business-Judgement-Rule, basierend auf dem folgenden Fall, weiter aus und spezifiziert diese: Bei der Siemens AG hatten sich über die Jahre „schwarze Kassen“ etabliert, welche durch Scheinberaterverträge abgelöst wurden, um systematisch Korruptionszahlungen zu verschleiern. Obwohl die Vorstandmitglieder wiederholt auf Bestechungsfälle im Ausland und organisatorische Mängel im Compliance-System der AG hingewiesen wurden, kam der Vorstand der Verpflichtung zur Behebung dieser Mängel nicht nach. Das Gericht verurteilte daraufhin ein Vorstandmitglied, welches mit der Siemens AG keinen Vergleich schließen wollte, zu einer Schadenersatzzahlung in Höhe von 15 Mio. Euro. Dabei wies das Gericht in seiner Urteilsbegründung darauf hin, dass eine Sorgfaltspflichtverletzung dem Vorstand auch zuzurechnen ist, wenn im Unternehmen keine ausreichende auf „Schadensprävention und Risikokontrolle angelegte Compliance-Organisation eingerichtet“ ist. Demnach ist ein direkter Verstoß eines Vorstandmitgliedes nicht notwendig, es ist auch die Zurechnung über die Nichteinrichtung einer angemessenen Organisationsstruktur ausreichend. Der Vorstand ist also je nach Größe des Unternehmens verpflichtet eine Compliance-Funktion einzurichten, da er anders seinen Organisationspflichten und der allgemeinen Leitungspflicht nach § 76 AktG nicht nachkommen kann.[73] Hieraus ergibt sich die Notwendigkeit zur Einrichtung einer vertikalen Organisationstruktur, welche diesbezügliche Aufgaben im Unternehmen übernimmt, und der Implementierung einer korrespondierenden Reporting- und Kommunikationsstruktur. Denn eine weitere sich aus dem Urteil ergebende Verpflichtung für den Vorstand ist, dass dieser sich detaillierten Informationen in Bezug auf bekannt gewordene Fälle von Compliance-Verstößen verschafft.[74]

Demnach ergibt sich aus den Klarstellungen zur Auslegung der Business-Judgement-Rule durch das „Neubürger-Urteil“, dass nach den Kriterien „Art“, „Größe“ und „Organisation“ der jeweiligen Gesellschaft eine Verpflichtung zur organisatorischen Einrichtung einer Compliance-Funktion und einhergehend auch einer Revisionsfunktion besteht. Der Vorstand kann und sollte, wenn er auch die finale Gesamtverantwortung trägt, die Pflichten des § 93 AktG an die Revision und die Compliance-Abteilung delegieren.[75] Wichtig ist eine Abstimmung über die Arbeitsfelder und Reportingstrukturen zwischen dem Vorstand und allen weiteren Beteiligten. Kommt der Vorstand seiner Verpflichtung zur sachgerechten Einrichtung einer Compliance- und Revisionsfunktion nicht nach, so hat das „Neubürger-Urteil“ gezeigt, dass neben straf- und ordnungspolitischen Maßnahmen auch eine zivilrechtliche Inanspruchnahme von Vorständen möglich ist.[76] Dementsprechend sollte jedes Vorstandmitglied die organisationale Einrichtung der Internen Revision in doppelter Hinsicht als wichtig erachten.

Nicht zuletzt kann auch die Beauftragung einer Wirtschaftsprüfungsgesellschaft im Lichte des Prüfungsstandards IDW PS 980[77] zur Prüfung von Compliance-Management-Systemen künftig neben der Einrichtung der unternehmensinternen Organisation dabei helfen, dass die Leitungsorgane nachweisen können, den ihnen obliegenden Verpflichtungen ermessensfehlerfrei nachgekommen zu sein.[78]

2.5 Internes Kontrollsystem (IKS)

2.5.1 Sarbanes-Oxley Act und COSO-Kontrollrahmen

Wie bereits erläutert, ist eine der drei wesentlichen Aufgaben der Internen Revision die Unterstützung der Organisation bei der Implementierung und Aufrechterhaltung von wirksamen Kontrollen sowie darüber hinaus die Prüfung der Angemessenheit und Wirksamkeit dieser Kontrollen.[79]

Die ursprüngliche Entstehung von Internen Kontrollsystemen geht auf die betriebliche Notwendigkeit zurück, die Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit im Allgemeinen sowie die der Finanzberichterstattung im Besonderen zu gewährleisten und zu überprüfen.[80] Wesentliche Anforderungen hierzu sind in den USA entstanden und haben, mit einigem zeitlichen Verzug, auch auf die europarechtlichen und deutschen Regelungen Einfluss genommen.[81] Die bekannteste diesbezügliche Vorschrift, welche die gesetzliche Notwendigkeit zur Einrichtung, Dokumentation und Kontrolle eines Internen Kontrollsystems enthält, ist der am 30. Juli 2002 in Kraft getretene Sarbanes-Oxley Act.[82] Nach zahlreichen (Bilanz-)Skandalen sollte durch diesen Akt das Vertrauen der Investoren zurückgewonnen werden. Die Implementierung der SOX-Standards in deutschen Unternehmen, deren Mutterunternehmen an der US-amerikanischen Börse gelistet waren, führte insbesondere zu Diskussionen, inwieweit die zu implementierenden Kontrollmechanismen in einem Kosten-Nutzen-Verhältnis für das Unternehmen stehen.[83] Anfängliche Auslegungen der Standards führten zu einem massiven Arbeitsaufwand bei Design und Testing der Kontrollen, insbesondere im Dokumentationsbereich.[84] Prinzipiell kann jedoch in der Einführung von SOX eine Stärkung der Internen Revisionsfunktion als solche gesehen werden.[85] Wesentliches Ziel des SOX ist die Vermeidung von Fehlinformationen in der Finanzberichterstattung aufgrund mangelnder Interner Kontrollen innerhalb des Unternehmens. Da der SOX selbst kein Internes-Kontroll-Rahmenwerk vorgibt, wird als Referenzrahmen für Dokumentation und Reporting auf das sogenannte COSO-Reporting zurückgegriffen: Beim „Internal Control – Integrated Framework“ des Committee of Sponsoring Organizations of the Tradeway Commission (1992), kurz COSO,[86] handelt es sich um ein strukturiertes Rahmenwerk, welches eine im Unternehmen implementierbare Architektur für ein Internes Kontrollsystem enthält.[87]

Abb. 3 – COSO I - Die drei Dimensionen eines IKS nach COSO

Abbildung in dieser Leseprobe nicht enthalten

Quelle: COSO, (Hrsg.), Internal Control - Integrated Framework, Framework September 1992, S. 15.

Das Modell kann hierbei in die folgenden drei Dimensionen unterteilt werden: Die drei Zielkategorien der ersten Dimension (Betrieblich, Berichterstattung und Regeleinhaltung) stehen in unmittelbarem Verhältnis zu den fünf Komponenten der zweiten Dimension (jede Komponente bezieht sich auf alle Zielkategorien). Die Bestandteile eines Internen Kontrollsystems[88] sind nach der zweiten Dimension das Kontrollumfeld, die Risikobeurteilung, die Kontrollaktivitäten, die Information und Kommunikation sowie die Überwachung.[89] Relevanz hat das IKS für alle Unternehmensteile, sowohl für den Konzern/das Gesamtunternehmen als auch für einzelne Einheiten oder Abteilungen.[90] Einen detaillierten Überblick mit inhaltlichen Erklärungen zu den Komponenten der zweiten Dimension bietet Tabelle 2 im Anhang.

Die Anforderungen des Sarbanes-Oxley Act und die Vorzüge des Internen Kontrollsystems nach COSO können insgesamt wie folgt zusammengefasst werden: globale Akzeptanz und Verbreitung, Vollständigkeit aller Elemente eines IKS, Sicherstellung quantitativer und qualitativer Bewertung, Vergleichbarkeit des Reportings.[91] Durch europarechtliche Vorgaben ist damit zu rechnen, dass zukünftig ähnliche Regelungsinhalte noch stärker Einzug in die deutsche Gesetzgebung finden werden.[92]

Für die Gestaltung eines sachgerechten Internen Kontrollsystems im Bereich der IT (IT-Control-Framework) bestehen darüber hinaus weitere Anforderungskataloge und Standards wie[93] ITIL (IT Infrastructure Library), E ISO/IEC 17799: 2000 (Code of Practice for Information Security Management) und E COBIT (Control Objective for Information and related Technology).[94]

2.5.2 Grundlagen eines Internen Kontrollsystems

Die Grundgedanken des Sarbanes-Oxley Act sowie des COSO als Rahmenwerk für ein Internes Kontrollsystem wurden in Deutschland durch das Institut für Wirtschaftsprüfer in einem Standard niedergelegt und regeln somit die Grundprinzipien der Struktur und des Inhalts eines solchen Systems: Unter einem Internen Kontrollsystem werden nach dem Prüfungsstandard IDW PS 261[95] die vom Management eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die auf die organisatorische Umsetzung der Entscheidungen des Managements gerichtet sind. Das Interne Kontrollsystem verfolgt somit das Ziel, das Vermögen des Unternehmens zu sichern, die betriebliche Effizienz zu steigern, die Zuverlässigkeit des Rechnungs- und Berichtswesens sicherzustellen und die Einhaltung der gesetzlichen Vorgaben und internen Regularien zu gewährleisten.[96] Wichtig ist hierbei, dass ein IKS alle wesentlichen Geschäftsprozesse mit einbezieht und sich die Prüfung nicht nur auf Bereiche wie das Rechnungswesen beschränkt. Insbesondere sollten hierbei auch wichtige Entscheidungsfelder des Unternehmens mit einbezogen werden.[97]

Ein Internes Kontrollsystem besteht demnach im Wesentlichen aus zwei Teilbereichen:

1) Regelung zur Steuerung der Unternehmensaktivität (Internes Steuerungssystem)
2) Regelungen zur Überwachung der Einhaltung dieser Regelungen (Internes Überwachungssystem)

Abb. 4 – Regelungsbereiche eines Internen Kontrollsystems

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung, basierend auf IDW PS 261[98], Tz. 20

Das Interne Überwachungssystem gliedert sich hierbei in die prozessintegrierten und die prozessunabhängigen Überwachungsmaßnahmen auf: Im Rahmen der prozessintegrierten Überwachungsmaßnahmen sollen die organisatorischen Sicherungsmaßnahmen durch laufende automatische Einrichtungen sicherstellen, dass Fehler verhindert werden. Dies bezieht sich sowohl auf die Aufbau- als auch auf die Ablauforganisation des Unternehmens. Ziel ist es, durch Grundprinzipien, wie beispielsweise Funktionstrennung und Zugriffskontrollen, ein Mindestmaß an Sicherheit zu erlangen. Die Kontrollen werden ebenfalls in den Arbeitsablauf integriert und erfolgen in der Regel durch den Überwachungsträger. Die Kontrollen sollen Fehler in Arbeitsabläufen möglichst verhindern oder aufgetretene Fehler zumindest aufdecken.

Bei den prozessunabhängigen Kontrollen wird unterschieden zwischen „Interner Revision“ und „sonstigen Maßnahmen“. Die „Interne Revision“ ist hierbei in ihrer Funktion als unabhängige, die Strukturen und Aktivitäten überprüfende Institution zu verstehen. Unter den „sonstigen Kontrollen“ sind unter anderem solche Kontrollen zu verstehen, welche das Management auf den obersten Ebenen ausführt (so genannte High Level/Entity-Level-Controls).[99]

2.6 Fazit: Interne Revision und Internes Kontrollsystem (IKS)

Die vorstehenden Ausführungen haben gezeigt, dass sich die Stellung der Revisionsfunktion im Unternehmen in den letzten Jahren von einer reinen Unterstützerfunktion der Unternehmensleitung hin zum Erbringer von unabhängigen Prüfungsleistungen, aber auch Beratungsleistungen in den Bereichen des internen Kontrollsystems, des Risikomanagementsystems wie auch der Überwachung der Führungs- und Überwachungsprozesse verändert hat.

Die Interne Revision bedient sich hierbei im Rahmen ihrer Aufgaben der folgenden unterschiedlichen Prüfungsprozesse: Ordnungsmäßigkeits-, Sicherheits-, Zweckmäßigkeits- und Wirtschaftlichkeitsprüfungen, wie aber auch Chancen- und Risikoprüfungen mit einer zukunftsbezogenen Prüfungskomponente. Das Prüfungsvorgehen erfolgt nach einem formalistischen Prüfungsprozess.

Der regulatorische Rahmen für die Interne Revision wird zum einen von nationaler Gesetzgebung, für die Aktiengesellschaft insbesondere aus § 76 Abs.1 und § 91 Abs. 2 des Aktiengesetzes, abgeleitet sowie durch institutionelle Standards, primär des Institute of Internal Auditors und des Deutschen Instituts für Interne Revision, geprägt. Nach dem Aktiengesetz hat der Vorstand ein Überwachungssystem einzurichten, das den Fortbestand der Gesellschaft sicherstellt und darüber hinaus Risiken frühzeitig identifiziert. Das System selbst muss zudem einer ständigen Überprüfung unterliegen. Zur Durchführung dieser Aufgaben bedient sich der Vorstand der Internen Revision. Der Aufsichtsrat als Überwachungsorgan des Vorstandes kann zudem einen Prüfungsausschuss einrichten, um die Wirksamkeit des Internen Kontrollsystems und des Risikomanagementsystems zu überwachen. Aus dieser Konstellation können potenziell Interessens- und Unabhängigkeitskonflikte entstehen. Die Revisionsstandards des DIIR und die Internationalen Standards 2013 regeln darüber hinaus insbesondere Anforderungen und Voraussetzungen an die Interne Revision und nehmen Stellung zu bestimmten Einzelthemen.

Die Notwendigkeit zur organisatorischen Einbindung der Internen Revision begründet sich unter anderem auch durch die so genannten Business-Judgement-Rule und wurde durch das neuerliche „Neubürger-Urteil“ des LG München I nochmals gestärkt. In der Regel wird die Organisation der Internen Revisionsfunktion bei einer Aktiengesellschaft dementsprechend dezentral erfolgen, und bestimmte Spezialprüfungen werden darüber hinaus extern vergeben.

Schlussendlich ist nach den SOX ein Internes Kontrollsystem zu etablieren. Ansätze zur Gestaltung eines IKS bieten der COSO Kontrollrahmen wie auch der Prüfungsstandard IDW PS 261 des Instituts der Wirtschaftsprüfer.

3 Corporate Governance

3.1 Definition und Ziele der Corporate Governance

Der Begriff der Corporate Governance wurde durch diverse Bilanzskandale, insbesondere in den letzten beiden Jahrzehnten geprägt, für die Unternehmen immer wichtiger. Im US-amerikanischen Raum entstanden, weitete sich die Corporate-Governance-Diskussion auch auf den europäischen Raum aus. Die Aufgaben der beteiligten Personen sowie das Verständnis über die Ausgestaltung im jeweiligen Unternehmen variieren jedoch bis heute.[100] Maßgeblich begründet werden kann dies dadurch, dass verschiedenste wissenschaftliche Bereiche Einfluss auf die Prägung der Begrifflichkeit der Corporate Governance genommen haben.[101]

Prinzipiell bezeichnet der Begriff der Corporate Governance sowohl den rechtlichen als auch den ordnungstechnischen Rahmen zu Führung, Leitung und Überwachung einer Unternehmung sowie den Rahmen der Führungsorganisation.[102] Grundlagen hierfür bilden die gesetzlichen Vorgaben und Kodizes sowie interne Leitbilder, Ziele und Richtlinien, welche durch die Unternehmensbeteiligten geprägt werden. Grundzüge der Corporate Governance bilden die Transparenz und die Verantwortung der Geschäftsleitung und Überwachungsorgane gegenüber den unterschiedlichen Interessensgruppen wie Aktionären und Stakeholdern.[103] Die Corporate-Governance-Regelungen haben zum Ziel, Interessenskollisionen zwischen diesen verschiedenen Beteiligungsgruppen zu vermeiden und die Konformität des Unternehmens in Bezug auf Gesetze sowie weitere interne und externe Vorgaben zu gewährleisten.

Corporate-Governance-Erfordernisse in Deutschland beziehen sich, wie bereits beschrieben, am detailliertesten auf Aktiengesellschaften (sowie branchenspezifisch auf Banken und Versicherungen). Die Unternehmensleitung wird in einer Aktiengesellschaft durch den Vorstand ausgeübt, Kontroll- und Überwachungsgremium einer AG bildet der Aufsichtsrat. Das bei der deutschen Aktiengesellschaft in diese beiden Funktionen unterteilte System wird als dualistische Verwaltungsstruktur bezeichnet. Nach dieser deutschen Betrachtungsweise wird Corporate Governance generell in die Bereiche Führung, Kontrolle und Überwachung unterteilt. Die Struktur eines deutschen Corporate-Governance-Systems wird aus der folgenden Abbildung 5 ersichtlich.

Abb. 5 – Einflussfaktoren und Beteiligte des Corporate-Governance-Managements

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung

Wie bereits erwähnt, haben die aktienrechtlich normierten Grundlagen auch Ausstrahlungswirkungen auf andere Gesellschaftsformen, wie auf die Gesellschaften mit beschränkter Haftung.

Zusammenfassend beinhaltet das Corporate-Governance-Management in einem Unternehmen demnach die folgenden, wesentlichen Grundlagen[104] und Zielsetzungen:

- Zielsetzung der Gesellschaft
- Strukturen, Prozesse und benötigte Personen zur Zielerreichung
- Evaluation des Führungsverhaltens, um dieses ständig zu verbessern
- Unternehmenskommunikation

Diese Kriterien bilden die Grundlage für ein insgesamt funktionsfähiges Corporate-Governance-System.

3.2 Regulatorische Rahmenbedingungen

3.2.1 Grundlagen regulatorischer Rahmenbedingungen

Die Regularien, die Einfluss auf die Corporate Governance genommen haben, waren seit Beginn dieses Jahrtausends stetigen Neuerungen unterlegen. Neben den Änderungen durch deutsche Gesetzesvorhaben hat auch die Umsetzung europäischer Vorgaben in deutsches Recht maßgeblichen Einfluss auf die Rahmenbedingungen genommen. Hinzu kommen wichtige Kodizes, welche empfehlende Ergänzungen der gesetzlichen Vorschriften aussprechen, wie auf deutscher Ebene der Corporate-Governance-Kodex[105] und auf internationaler Ebene die Grundsätze der Organisation for Economic Cooperation and Development (OECD).[106] Neben der Komplexität, welche durch die verschiedenartigen regulatorischen Rahmenbedingungen begründet wird, bestehen darüber hinaus auch nicht geklärte Wechselseitigkeiten zwischen diesen unterschiedlichen Quellen. Zum besseren Verständnis des Gesamtkontextes finden sich die wichtigsten dieser Grundsätze, Kodizes und gesetzlichen Regelungen, aufgeführt in zeitlicher Reihenfolge, in Tabelle 3 wieder.[107]

3.2.2 gesetzliche Regelungen

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) [108]

Wesentliche Bestandteile des KonTraG, normiert im § 91 Abs. 2 AktG, waren die Regelungen zur Organisationpflicht des Vorstandes, der Einrichtung einer Internen Revision und der Implementierung des Früherkennungssystems sowie eines geeignetes Risikomanagementsystems.[109] Potenzielle Unternehmensgefährdungen sollten somit frühzeitig erkannt und aufdeckt werden. Das KonTraG konkretisiert dementsprechend die Vorstandspflichten, verbessert die Transparenz und Effizienz der Tätigkeiten der Aufsichtsräte und bildet die Grundlage für die Zusammenarbeit von Abschlussprüfern und dem Aufsichtsrat.[110]

Weiterer Bestandteil des KonTraG ist es, dass die Unternehmen in ihrem Lagebericht auf potenzielle Risiken hinzuweisen haben. Abhängig ist diese Hinweisverpflichtung jedoch maßgeblich von der Größe der jeweiligen Kapitalgesellschaft im Sinne der Größenklassifizierungen nach § 264 Abs.1 HGB i.V.m. § 267 Abs. 2 und 3 HGB.[111]

Darüber hinaus wird in Bezug auf den Aufsichtsrat Folgendes normiert:

- Nach § 91 AktG überprüft der Aufsichtsrat, dass der Vorstand die notwendigen Überwachungsmaßnahmen und -systeme eingerichtet hat.
- Nach § 110 Abs. 3 AktG ergibt sich die Notwendigkeit von mindestens vier Aufsichtsratssitzungen pro Jahr.
- Nach § 111 Abs. 2 AktG ist der Abschlussprüfer durch den Aufsichtsrat und somit nicht durch den Vorstand zu bestellen.
- Nach § 147 Abs. 3 AktG wurde eine Verschärfung der Haftung durch Organklage begründet.

Transparenz- und Publizitätsgesetz (TransPuG)

Das am 26.07.2002 in Kraft getretene Transparenz- und Publizitätsgesetz (TransPuG)[112] entwickelte erneut die gesetzlichen Bestimmungen zur Unternehmensleitung weiter. Gestärkt wurden zum einen die Informationsrechte des Aufsichtsrates in Bezug auf seine Zusammenarbeit mit dem Vorstand. Andererseits wurde die feste Implementierung des Deutschen Corporate Governance Kodex in das Aktiengesetz vorgenommen. Nach § 161 AktG sind die Vorstände und Aufsichtsräte der deutschen Aktiengesellschaften demnach verpflichtet, einmal jährlich den Corporate Governance Kodex in der jeweiligen gültigen Version zu erklären.

Weitere wichtige Regelungen für die Aufsichtsräte sind darüber hinaus:

- § 90 Abs. 1 Ziff. 1 AktG: Rechtzeitige Information des Aufsichtsrates bei Abweichungen zur geplanten Geschäftsentwicklung durch den Vorstand.
- § 90 Abs. 3 S. 2 AktG: Recht zur Anforderung zusätzlicher Berichte.
- § 111 Abs. 4 S. 2 AktG: Bestimmte zustimmungsbedürftige Geschäfte dürfen nur mit Einverständnis des Aufsichtsrates ausgeführt werden.
- § 116 Abs. 2 AktG: Verstärkung der Geheimhaltungspflicht des Aufsichtsrates.

[...]


[1] Vgl. Knapp, E., (Interne Revision und Corporate Governance 2009), S. 63.

[2] Vgl. Menzies, C., (Hrsg.), (Sarbanes-Oxley Act 2004), S. 13.

[3] Vgl. Welge, K./Eulerich, M., (Corporate-Governance-Management 2012), S. 24 ff.

[4] Vgl. LG München I, (Neubürger-Urteil 2013).

[5] Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch Artikel 26 des Gesetzes vom 23. Juli 2013 (BGBl. I S. 2586) geändert worden ist.

[6] Vgl. Schneck, O., (Lexikon der BWL 2003), S. 123.

[7] Vgl. Schneck, O., (Lexikon der BWL 2003), S. 126.

[8] Vgl. Thommen, J.-P./Achleitner A.-K., (Allgemeine BWL 2003), S.99.

[9] Vgl. Thommen, J.-P./Achleitner A.-K., (Allgemeine BWL 2003), S.787.

[10] Vgl. Füss, R., (Die Interne Revision 2007), S. 34.

[11] Vgl. Eulerich, M., (Die Interne Revision zwischen internen und externen Stakeholdern 2013), S. 321 ff.

[12] Vgl. DIIR (Hrsg.), (Internationale Standards 2013), Vorwort. So auch bereits im gleichen Wortlaut in der Vorversion aus dem Jahre 2011: Vgl. DIIR (Hrsg.) (Internationale Standards 2011).

[13] Vgl. Kapitel 2.5 zum Internen Kontrollsystem.

[14] Klinger, A./Klinger, O. (ABC der Gestaltung 1998), S. 24.

[15] Vgl. Thommen, J.-P./Achleitner A.-K., (Allgemeine BWL 2003), S.100.

[16] Vgl. Knapp, E., (Interne Revision und Corporate Governance 2009), S. 39.

[17] Vgl. Peemöller, V./Kregel, J., (Hrsg.), (Grundlagen der Internen Revision 2014), S. 20.

[18] Vgl. Peemöller, V./Kregel, J., (Hrsg.), (Grundlagen der Internen Revision 2014), S. 20; sowie auch die Ausführungen zur Business Judgement Rule und dem Neubürger-Urteil in Kapitel 2.4.2.

[19] Vgl. Füss, R., (Die Interne Revision 2007), S. 67.

[20] Vgl. Knapp, E., (Interne Revision und Corporate Governance 2009), S. 40.

[21] Vgl. Lück, W., (Die Zukunft der Internen Revision 2009), S. 20.

[22] Vgl. Peemöller, V./Kregel, J., (Hrsg.), (Grundlagen der Internen Revision 2014), S. 21.

[23] Vgl. Hofmann, R., (Unternehmensüberwachung 1993), S. 137.

[24] Vgl. Hofmann, R., (Unternehmensüberwachung 1993), S. 144.

[25] Vgl. Knapp, E., (Interne Revision und Corporate Governance 2009), S. 47.

[26] Zur kontroversen Diskussion und einem evtl. Interessenskonflikt, vgl. Rossow, H., (Entwicklung und Entwicklungsmöglichkeiten), Berlin 1994.

[27] Vgl. Peemöller, V./Kregel, J., (Hrsg.), (Grundlagen der Internen Revision 2014), S. 22.

[28] Vgl. DIIR (Hrsg.), (Internationale Standards 2013).

[29] Vgl. Tabelle 1 im Anhang.

[30] Vgl. Schartmann, B./Büchner, F., (Interne Revision heute – ein Eckpfeiler für mehr Compliance 2011), S. 68-69.

[31] Vgl. Kapitel 4.2.2 zu möglichen Konflikten bei Wahrnehmung der unterschiedlichen Aufgaben.

[32] Vgl. Knapp, E., (Interne Revision und Corporate Governance 2009), S. 43.

[33] Kreditwesengesetz in der Fassung der Bekanntmachung vom 9. September 1998 (BGBl. I S. 2776), das zuletzt durch Artikel 1 u. 8 des Gesetzes vom 28. August 2013 (BGBl. I S. 3395) geändert worden ist.

[34] Versicherungsaufsichtsgesetz in der Fassung der Bekanntmachung vom 17. Dezember 1992 (BGBl. 1993 I S. 2), das zuletzt durch Artikel 6 Absatz 13 des Gesetzes vom 28. August 2013 (BGBl. I S. 3395) geändert worden ist.

[35] Zu den Anforderungen der Internen Revision in Kreditinstituten vgl. Hölscher, R./Altenhain, T., (Hrsg.) (Handbuch Verwaltungsräte in Kreditinstituten), S. 54 ff; Zu den Regelungen des § 64a VAG, insbesondere auch im Verhältnis zu den Regelungen des § 25a KWG: vgl. Korte, T./Romeike, F. (MaRisk VA erfolgreich umsetzen 2010) S. 27 ff.

[36] Vgl. Weber, M., (Aktiengesetz – Kommentar), § 46, Rn 12.

[37] Vgl. Müller-Michaels, O., (Aktiengesetz – Kommentar), § 91, Rn 4 ff.

[38] Zum Outsourcing der Tätigkeiten, insbesondere bei kleinen und mittelständischen Unternehmen, für die die Regelungen des AktG über das GmbHG analog Anwendung finden vgl. Peemöller, V./Kregel, J., (Hrsg.), (Grundlagen der Internen Revision 2014), S. 10.

[39] Vgl. Kapitel 2.2.1 – Aufgaben der Internen Revision.

[40] GmbH Gesetz vom 20. April 1892 (RGBl S. 477), das zuletzt durch Artikel 7 des Gesetzes vom 21. März 2013 (BGBl. I S. 556) geändert worden ist.

[41] BT Drucksache 13/9712, (Begr RegE KonTraG 1998), S. 15.

[42] BGBl 2009, Teil I Nr. 27, (BilMoG 2009).

[43] Vgl. Amling, T./Bantleon, U., (Hrsg.), (Grundlagen und Corporate Governance), S. 17.

[44] Vgl. Hambloch-Gesinn, S./Gesinn, F.-J., (Aktiengesetz – Kommentar), § 107 Rn 105.

[45] Vgl. Hambloch-Gesinn, S./Gesinn, F.-J., (Aktiengesetz – Kommentar),§ 107 Rn 105b.

[46] Zum dualistischen Ansatz (Two-Board-System), welches insbesondere in Zentraleuropa vorherrschend ist und die Trennung zwischen der Geschäftsleitung auf der einen Seite und der Überwachungsinstanz auf der anderen Seite regelt vgl.: Amling, T./Bantleon U. (Hrsg.), (Grundlagen der Internen Revision), S.30 ff.; Amling, T./Bantleon, U., (Hrsg.), (Grundlagen und Corporate Governance), S. 17 ff.

[47] Vgl. Amling, T./Bantleon U. (Hrsg.), (Grundlagen der Internen Revision), S.32.

[48] Vgl. DIIR (Hrsg.), (Internationale Standards 2013), S. 20.

[49] Vgl. Peemöller, V./Kregel, J., (Hrsg.), (Grundlagen der Internen Revision 2014), S. 42

[50] Zu den vom DIIR herausgegebenen Standards gibt es weitere Standards, welche die Abweichungen zu den Standards des IIA darstellen.

[51] DIIR (Hrsg.), (IIR Revisionsstandard Nr. 1).

[52] DIIR (Hrsg.), (IIR Revisionsstandard Nr. 2).

[53] DIIR (Hrsg.), (IIR Revisionsstandard Nr. 3).

[54] DIIR (Hrsg.), (IIR Revisionsstandard Nr. 4).

[55] DIIR (Hrsg.), (IIR Revisionsstandard Nr. 5).

[56] Vgl. DIIR (Hrsg.), (Internationale Standards 2013).

[57] Vgl. Knapp, E., (Interne Revision und Corporate Governance 2009), S. 57.

[58] Vgl. BaFin, (Hrsg.), (MaRisk Novelle 2012).

[59] Vgl. Hofmann, R., (Unternehmensüberwachung 1993), S. 71.

[60] Vgl. Budendorfer, K./Krumm, M., (Stellung der Internen Revision 2007), S. 51.

[61] Vgl. Knapp, E., (Interne Revision und Corporate Governance 2009), S. 58.

[62] Vgl. Hofmann, R., (Unternehmensüberwachung 1993), S. 74.

[63] Vgl. Richtlinie 2008/30/EG des Europäischen Parlaments und des Rates vom 11. März 2008 (8. EU- Richtlinie („Abschlussprüfer-Richtlinie“)).

[64] Vgl. DIIR, (Hrsg.), (BilMoG und Interne Revision), S. 25.

[65] Vgl. Knapp, E., (Interne Revision und Corporate Governance 2009), S. 58. Zur Diskussion über die Zuordnung der Internen Revision an den Aufsichtsrat und dem Konflikt der Prüfung der operative Tätigkeit vgl. auch Budendorfer, K./Krumm, M., (Stellung der Internen Revision 2007), S. 52.

[66] Vgl. Amling, T./Bantleon U. (Hrsg.), (Grundlagen der Internen Revision), S.199; siehe auch die Ausführungen zum § 91 Abs. 2 AktG in Kapitel 2.3.2.

[67] Vgl. Budendorfer, K./Krumm, M., (Stellung der Internen Revision 2007), S. 53. Zu den Vor- und Nachteilen einer zentralen und dezentralen Internen Revision vgl. auch Amling, T./Bantleon U. (Hrsg.), (Grundlagen der Internen Revision), S. 200; Lühn, M. (Zentralisierung oder Dezentralisierung der Internen Revision), S. 211 ff.

[68] Zur kontroversen Debatte bezüglich des Outsourcings der Funktion der Internen Revision siehe auch die Ausführungen von Amling, T./Bantleon U. (Hrsg.), (Grundlagen der Internen Revision), S.202.

[69] Vgl. BGBl 2005, Teil I Nr. 60, (UMAG 2005).

[70] Vgl. BGH, (ARAG-Garmenbeck 1997).

[71] Vgl. Dauner-Lieb, B., (§ 93 AktG – Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder), Rn. 18.

[72] Vgl. LG München, (Neubürger-Urteil 2013).

[73] Vgl. Oppenheim, R., (Pflicht des Vorstand zur Compliance Einrichtung 2014), Rn. 1064.

[74] Vgl. Fleischer, H., (Aktienrechtliche Compliance Pflichten im Praxistest – Das Siemens/Neubürger Urteil 2014), Rn. 324.

[75] Vgl. Fleischer, H., (Aktienrechtliche Compliance Pflichten im Praxistest – Das Siemens/Neubürger-Urteil 2014), Rn. 324.

[76] Vgl. Süße, Sascha, (Das Neubürger-Urteil aus Sicht der Compliance Abteilung 2014), Vorwort.

[77] Vgl. IDW, (IDW PS 980 vom 11.03.2011).

[78] Vgl. Fleischer, H., (Aktienrechtliche Compliance Pflichten im Praxistest – Das Siemens/Neubürger-Urteil 2014), Rn. 325.

[79] Vgl. Kapitel 2.2.1 – Aufgaben der Internen Revision.

[80] Vgl. Menzies, C., (Hrsg.), (Sarbanes-Oxley Act 2004), S. 78; Lück, W., (Hrsg.), (Zentrale Tätigkeitsbereiche der IR), S. 74.

[81] Vgl. Kapitel 2.5.2 – Grundlagen eines Internen Kontrollsystems.

[82] Vgl. Kongress der Vereinigten Staaten von Amerika, (Hrsg.), (SOX 2002).

[83] Vgl. Andorfer, I., (Ist SOX zu weit gegangen?), S. 70-71.

[84] Vgl. DIIR, (Hrsg.), (BilMoG und Interne Revision), S. 25.

[85] Vgl. Hofmann, G. (Die Stärkung der Funktion der Internen Revision 2004), S. 174 ff.

[86] Zu den wesentlichen Bestandteilen eines Internen Kontrollsystems nach COSO vgl. COSO, (Internal Control Integrated Framework).

[87] Vgl. Lück, W., (Hrsg.), (Zentrale Tätigkeitsbereiche der IR), S. 39.

[88] Vgl. Tabelle 2 im Anhang mit ergänzenden Erklärungen.

[89] Vgl. Menzies, C., (Hrsg.), (Sarbanes-Oxley Act 2004), S. 78; Lück, W., (Hrsg.), (Zentrale Tätigkeitsbereiche der IR), S. 42.

[90] Vgl. Bungartz, O., (Handbuch IKS 2011), S. 49.

[91] Vgl. Lück, W., (Hrsg.), (Zentrale Tätigkeitsbereiche der IR), S. 39.

[92] Vgl. Bungartz, O., (Handbuch IKS 2011), S. 26.

[93] Vgl. Lück, W., (Hrsg.), (Zentrale Tätigkeitsbereiche der IR), S. 69.

[94] Zum Aufbau, den unterschiedlichen Reifegraden, der Implementierung einer Prozess- und Prüfungslandkarte im Rahmen des CoBiT vgl. insbesondere die Ausführungen von Tönissen, (Revision der IT-Governance mit CoBiT 2011), S. 28 ff.

[95] Vgl. IDW, (IDW PS 261), S. 1433.

[96] Vgl. Bungartz, O., (Handbuch IKS 2011), S. 21; Klinger, A./Klinger, O. (ABC der Gestaltung 1998), S. 12.

[97] Vgl. hierzu auch die Ausführungen zu den einzelnen Auditformen Financial Auditing, Operational Auditing und Management Auditing in Kapitel 2.2.1.

[98] Vgl. IDW, (IDW PS 261).

[99] Vgl. Bungartz, O., (Handbuch IKS 2011), S. 23; Zur spezifischen Anwendbarkeit und Ausgestaltung von Entity Level Controls vgl. Bungartz, O., (Handbuch IKS 2011), S. 60.

[100] Vgl. auch die Ansicht von Welge, K./Eulerich, M., (Corporate-Governance-Management 2012), Einleitung.

[101] Zur Unterscheidung der Betrachtungsweisen und Theorien wie: Neue Institutionenökonomik (Property- Rights-Theorie, Transaktionskostentheorie, Principal Agent Theorie) und Stewardship-Theorie vgl. Welge, K./Eulerich, M., (Corporate-Governance-Management 2012), S. 7-20; sowie den folgenden Artikel: Eulerich, M./Velte, P., (Theoretische Fundierung der Internen Revision 2013), S. 146 ff.

[102] Vgl. von Werder, A., (Grundlagen der Corporate Governance 2008), S.1.

[103] Vgl. Warncke, M. (Prüfungsausschuss und CG 2010), S. 25.

[104] Vgl. Knapp, E., (Interne Revision und Corporate Governance 2009), S. 66.

[105] Regierungskommission, (Deutscher Corporate Governance Kodex 2013).

[106] OECD, (Hrsg), (OECD-Grundsätze der Corporate Governance 2004); Vgl. Freidank, C.-C./Sassen, R. (Regulierungstheoretische Ansatz 2012), S. 172 ff.

[107] Siehe Tabelle 3 im Anhang: Im Weiteren Verlauf dieses Kapitels werden inhaltlich diejenigen Gesetze/Normen aus der tabellarische Darstellung näher erläutert, welche zum Grundlagenverständnis für die folgenden Kapitel benötigt werden.

[108] BGBl 1998, Teil I, S. 786, (KonTraG 1998).

[109] Vgl. Ausführungen zu gesetzlichen Grundlagen der Internen Revision in Kapitel 2.3.2.

[110] Vgl. Welge, K./Eulerich, M., (Corporate-Governance-Management 2012), S. 25.

[111] Weitere Ausführungen bezüglich der Größenklassen und den relevanten Angabepflichten vgl., Merkt, H., (§ 289 HGB – Lagebericht), Rn 1-5.

[112] BGBl 2002, Teil I, S. 2681, (TransPuG 2002).

Details

Seiten
70
Jahr
2014
ISBN (eBook)
9783656824428
ISBN (Buch)
9783656824435
Dateigröße
1.2 MB
Sprache
Deutsch
Katalognummer
v283176
Institution / Hochschule
Private Fachhochschule Göttingen
Note
1,0
Schlagworte
Corporate Governance Internes Kontrollsystem IKS Interne Revision Revision Sarbanes Oxley Act Neubürger Urteil Business Judgement Rule

Autor

Teilen

Zurück

Titel: Anforderungen an die Gestaltung der Internen Revision und des Internen Kontrollsystems (IKS) in einer Unternehmung zur Erfüllung der Corporate Governance Erfordernisse