Da die Interne Revision ein wichtiges Element des Risikomanagementsystems eines Unternehmens darstellt, sollen hier zunächst die Grundlagen des Risikomanagements erläutert werden. Anschließend wird auf den Zusammenhang zwischen Interner Revision und dem Risikomanagementsystem eingegangen. Zuletzt werden die Ziele, Aufgabenbereiche sowie Prinzipien der Internen Revision beleuchtet. Dadurch kann sichergestellt werden, dass eine sinnvolle und verständliche Theoriegrundlage der Internen Revision im Rahmen dieser Arbeit geschaffen wird.
Das Risikomanagement wird durch das Deutsche Institut für Interne Revision wie folgendermaßen definiert:
„Risikomanagement ist ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes Regelungssystem, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation, Analyse, Bewertung, Dokumentation und Kommunikation sowie die Überwachung dieser Aktivitäten. Risikomanagement ist integraler Bestandteil der Geschäftsprozesse sowie der Planungs- und Kontrollprozesse.“[16]
Es gibt Regelungen in deutschen Gesetzbüchern, die die rechtlichen Grundlagen für Risikomanagement in deutschen Wirtschaftsunternehmen bilden. Dazu gehört das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (im Folgenden als KonTraG abgekürzt). Das KonTraG wurde im Jahr 1998 verabschiedet und ist ein sogenanntes Artikelgesetz. Das bedeutet, dass das KonTraG selbst kein eigenständiges Gesetz ist. Vielmehr ist es laut Keitsch als ein Konstrukt zu verstehen, das sich aus zahlreichen Änderungen und Ergänzungen in anderen Gesetzen, vornehmlich im Aktiengesetz und im Handelsgesetzbuch, ergibt.[17] Die Zielsetzung des KonTraG besteht darin, Gläubiger und Investoren von unvorhergesehenen Insolvenzen deutlich zu schützen, sowie eine stärkere Anpassung von deutschen Rechnungslegungsvorschriften an die Anforderungen an internationale Finanzmärkte vorzunehmen.[18] Eine der wichtigsten Änderungen, die durch die Einführung des KonTraG in Kraft getreten ist, stellt § 91 Abs. 2 AktG dar.
§91 Abs. 2 AktG
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit der Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
DIIR interpretiert diese Vorschrift wie folgt: „Nach der Regierungsbegründung sollen durch diese Vorschrift die Verpflichtung des Vorstands, für ein angemessenes Risikomanagement und eine angemessene Interne Revision zu sorgen, verdeutlicht werden.“[19] Außerdem gilt diese Vorschrift nicht nur für die Vorstände der Aktiengesellschaften. Nach der sog. Ausstrahlungswirkung ist zugleich für die Geschäftsleitungen von Unternehmen in anderen Rechtformen gültig.[20]
Weiterhin existieren im Rahmen des KonTraG folgende wichtige Neuerungen (§ 317 Abs. 4 HGB sowie § 321 Abs. 4 HGB) im Handelsgesetzbuch für die börsennotieren Aktiengesellschaften. Sie verpflichten den Abschlussprüfer dazu, die Ordnungsmäßigkeit der getroffenen Maßnahmen gemäß des § 91 Abs. 2 AktG bei einer börsennotieren Aktiengesellschaft im Rahmen seiner Abschlussprüfung zu beurteilen.
§317 Abs. 4 HGB
„Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.“
§321 Abs. 4 HGB
„Ist im Rahmen der Prüfung eine Beurteilung nach § 317 Abs. 4 abgegeben worden, so ist deren Ergebnis in einem besonderen Teil des Prüfungsberichts darzustellen. Es ist darauf einzugehen, ob Maßnahmen erforderlich sind, um das interne Überwachungssystem zu verbessern.“
Darüber hinaus ist der Deutsche Corporate Governance Kodex (im Folgenden als DCGK abgekürzt) zu erwähnen. Laut Kullmann ist Der Deutsche Corporate Governance Kodex (DCGK) „ein 16-seitiges Regelwerk, das sich hauptsächlich an die Unternehmensleitungen börsennotierter deutscher Gesellschaften wendet. Nicht an der Börse notierten Gesellschaften wird seine Beachtung empfohlen.“[21] Der DCGK stellt wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierten Gesellschaften dar. Er enthält Empfehlungen und Anregungen zur guten und verantwortungsvollen Unternehmensführung für die Vorstände und Aufsichtsräte. Er strebt an, „das Vertrauen der internationalen und nationalen Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Leitung und Überwachung börsennotierter deutscher Gesellschaften zu fördern“.[22]
Der DCGK stellt keine Rechtsnorm dar. Das bedeutet, dass es den deutschen Unternehmen im eigentlichen Sinne frei steht, die Empfehlungen und Anregungen des DCGK einzuhalten. Allerdings sind der Vorstand und der Aufsichtsrat gemäß §161 AktG verpflichtet, jährlich zu erklären, ob allen im DCGK bekannt gemachten Empfehlungen entsprochen wurde. Sollte es nicht der Fall sein, muss noch zusätzlich erklärt werden, welchen Empfehlungen nicht gefolgt wurden bzw. wird und warum nicht.
Es gibt einige Verhaltensempfehlungen aus dem DCGK, die die wesentlichen Regelungen hinsichtlich der Einrichtung eines effizienten Risikomanagementsystems für Vorstände und Aufsichtsräte darstellen.
Beispielweise empfiehlt die Ziffer 4.1.4 des DCGK dem Vorstand, für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen zu sorgen. Dem Aufsichtsrat wird in der Ziffer 5.3.2 empfohlen, dass er einen Prüfungsausschuss einrichten soll, der sich insbesondere mit der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems sowie der Compliance auseinandersetzt.[23]
Zuletzt sind auch noch Empfehlungen im DCGK zu finden, wie der Vorstand mit dem Aufsichtsrat hinsichtlich des Risikomanagements zusammenarbeiten soll. Die Ziffer 3.4 des DCGK verpflichtet den Vorstand, den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen des Risikomanagements zu informieren. Der Aufsichtsratsvorsitzende soll gemäß der Ziffer 5.2 des DCGK regelmäßigen Kontakt mit dem Vorstand halten und mit ihm Fragen des Risikomanagements und der Compliance des Unternehmens beraten.[24]
Die oben genannten Vorschriften umfassen die rechtliche Grundlage für Risikomanagement in deutschen Unternehmen. Die Pflicht zur Einrichtung des Risikomanagementsystems bzw. die Pflicht zur Prüfung des Risikomanagementsystems durch den Abschlussprüfer werden durch KonTraG verdeutlicht. In Anlehnung an §161 AktG weist der DCGK den Vorständen und Aufsichtsräten deutscher Unternehmen darauf hin, die von ihm empfohlenen Maßnahmen in Bezug auf Risikomanagement in ihre Unternehmensführungspraxis umzusetzen. Im folgenden Absatz werden der Aufbau bzw. die Elemente des Risikomanagements näher beleuchtet.
Das Risikomanagement setzt sich aus folgenden drei Kernelementen zusammen:
dem Frühwarnsystem
dem Controlling und
dem Überwachungssystem.[25]
„Das Frühwarnsystem stellt ein Informationssystem dar, das die bestandsgefährdenden Risiken einer Unternehmung möglichst früh aufdeckt.“[26] Heutzutage verändern sich die Bedingungen in wirtschaftlicher, politscher sowie technologischer Hinsicht für Unternehmen immer schneller. Daher reichen reine Bilanz- und Finanzkennzahlen für ein Frühwarnsystem nicht mehr, um die potenziellen Risiken zeitnah zu identifizieren.[27] Vielmehr sollte sich das Frühwarnsystem mit den sogenannten Frühwarnindikatoren auseinandersetzen. Die Frühwarnindikatoren stellen nach der Definition von Keitsch die Kennzahlen dar, „die Aufschluss über mögliche Tendenzen und Unternehmensentwicklungen geben“[28], anstatt nur Auskunft über momentane Umsatz- und Kapitalrenditen.
Die Funktion des Controllings innerhalb des Risikomanagements stellt grundsätzlich die Informationssammlung und –aufbereitung zur Planung und Steuerung im Frühwarnsystem dar.[29] In Bezug auf die Frühwarnindikatoren hat das Controlling die Aufgabe, für das Frühwarnsystem passende Frühwarnindikatoren zu entwickeln und sie regelmäßig zur Risikoanalyse zu sammeln...