Interne Revision: Wesen, Aufgaben und rechtliche Verankerung

Jörg Berwanger | Stefan Kullmann Interne Revision

Jörg Berwanger | Stefan Kullmann

Interne Revision Wesen, Aufgaben und rechtliche Verankerung

Bibliografische Information Der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.

1. Auflage 2008 Alle Rechte vorbehalten © Betriebswirtschaftlicher Verlag Dr. Th. Gabler | GWV Fachverlage GmbH, Wiesbaden 2008 Lektorat: RA Andreas Funk Der Gabler Verlag ist ein Unternehmen von Springer Science+Business Media. www.gabler.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung: KünkelLopka Medienentwicklung, Heidelberg Druck und buchbinderische Verarbeitung: Wilhelm & Adam, Heusenstamm Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Printed in Germany ISBN 978-3-8349-0439-3

Vorwort Die Interne Revision in deutschen Wirtschaftsunternehmen ist ein wichtiger, man darf sogar sagen regelmäßig unverzichtbarer Bestandteil eines effizienten unternehmensinternen Überwachungssystems. Die Richtigkeit dieser Aussage ergibt sich trotz wenig ergiebiger rechtlicher Grundlagen. Sie wird mindestens getragen von Best Practice Überlegungen zu moderner Unternehmensführung. Die Interne Revision erbringt im Auftrag der Unternehmensleitung unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, was sie von anderen unternehmensinternen Kontrollstellen, etwa dem Controlling, unterscheidet. Ihre Tätigkeit ist darauf ausgerichtet, Mehrwerte zu schaffen und Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie systematisch und zielgerichtet die Effektivität des Risikomanagements, der Kontrollen in einem Unternehmen und die Führungs- und Überwachungsprozesse bewertet und verbessern hilft. Ihre Prüfungsfelder erfassen alle Bereiche des Unternehmens und beziehen sich auf kaufmännische, technische und juristische Aufgaben und betreffen auch Organisationsthemen. Sie kommt bei ihrer Arbeit in Berührung mit im öffentlichen Diskurs erörterten Problemen, etwa zu sozialen Werten und Maßstäben in der Wirtschaftswelt, und gestaltet hier die Meinungsbildungsprozesse mit. Wegen der stetigen Veränderungen, denen sich die Wirtschaft ausgesetzt sieht, beispielsweise aufgrund der zunehmenden internationalen Verflechtung, ist auch die Interne Revision einem permanenten Wandel unterworfen. Ihre Veränderungsbereitschaft betrifft ein Lernen und Sich-Einarbeiten in neue Aufgaben und Probleme ihrer Prüfobjekte ebenso, wie die damit in Wechselwirkung stehenden Anpassungsbedürfnisse bei ihren internen Grundsätzen, etwa denen zur Berufsethik. Die Verfasser wollen mit dem vorliegenden Werk ein Grundkompendium zur Revision bieten. Sie verfolgen den Anspruch, in erster Linie Angehörige der Internen Revision relativ kompakt für vorstehend erläuterte Thematiken zu sensibilisieren. Von dem Buch profitieren sollen auch Angehörige der sog. Externen Revision, also z.B. Mitarbeiter von Wirtschaftsprüfungsgesellschaften. Es soll ein Leitfaden rund um alle Kernfragen zur Internen Revision gegeben werden. Zudem wird ab und an ein Blick über den revisorischen Tellerrand hinaus gewagt. Dem Anliegen der schnellen Versorgung mit Fakten folgt die Idee, im Werk ein gut sortiertes Glossar mit Definitionen, Fachbegriffen, Eigennamen und gängigen Abkürzungen zur Internen Revision zu bieten. Schließlich wendet sich das Buch auch an die Revisionskundschaft, also an die Leitung und letztlich an alle anderen Mitarbeiter des Unternehmens. Sie sollen ihre Interne Revision und ihren Wert fürs Unternehmen richtig einordnen und (ein-) schätzen können. Diesem Aspekt fühlt sich das Buch besonders verpflichtet, denn die Interne Revision hat gar nicht so selten mit Akzeptanzproblemen zu kämpfen. Diese sind psychologisch leicht zu erklären, denn Fremdbeobachtung wirkt störend. Jeder, dem ein anderer beim Schreiben über die Schulter geschaut hat, weiß das. Das aber ist der Job der Internen Revision. Bei der Konzeption des Werks und der Themenauswahl musste aus Kapazitätsgründen Mut zur Lücke aufgebracht werden. Zuweilen werden aber auch Themen bewusst breiter aufbereitet. Das gilt neben „soziologischen Ausflügen“ vor allem für die rechtlichen Ausführungen, die sich dadurch stellenweise einem Lehrbuch oder einem Rechtskommentar annähern. So soll Mitarbeitern der Internen Revision, die regelmäßig keine juristische Ausbildung aufweisen, eine Vermittlung einschlägiger rechtlicher Grundkenntnisse geboten werden. Außerdem stellen die Verfasser die 5

Forderung auf, dass sich Revisionsabteilungen, weitgehend „juristische Diaspora“, tunlichst mit juristischem Personal verstärken sollten, um den auf diesem Feld bestehenden blinden Fleck zu beseitigen. Im Übrigen werden zu einzelnen Fragen differenzierte Standpunkte und provokante Antworten geboten, die vom Mainstream anderer Beschreibungen über die Interne Revision abweichen. Wegen ihrer Bedeutung für die Interne Revision und für ihre Arbeit wird relativ ausgedehnt auf Merkwürdigkeiten und Verwerfungen in Unternehmen eingegangen – sehr oft ein schwieriges Terrain, auf dem sich die Interne Revision da bewegt. Auch scheinbar klare Positionen zur Internen Revision selbst werden kritisch hinterfragt. Vorstehende Themen werden mittels einer zuweilen recht pointierten und zugespitzten Darstellungsweise erörtert. Und auch wenn, wie früher in der Revisionsliteratur festgestellt wurde, die Suche nach heiteren Aspekten der Internen Revision schnell an natürliche Grenzen stößt und angeblich nur Unbetroffene ungestraft Witze über die Interne Revision machen dürfen – die Verfasser nehmen diese Herausforderungen an. Daher möchten auch mal Schilderungen von Anekdoten und Schnurren aus der Wirklichkeit und ein bewusst gewählter locker-lässiger Schreibstil zum Schmunzeln einladen. Das soll dazu dienen, die schwierigen Sachthemen und die zuweilen bestehenden Probleme möglichst leicht bekömmlich zu servieren, um so ihre gedankliche Aufnahme und Verarbeitung zu erleichtern. Der Humorfaktor soll auch durch Eigenironie bedient werden. Sich selbst mal auf die Schippe nehmen, sich den Spiegel vorhalten und sich und seinen Berufsstand nicht zu wichtig zu nehmen, kann vieles leichter machen. Dieser Appell mag so manchen Kollegen ansprechen, der bei seinen „field activities“ bei der geprüften Stelle mit entsprechender Attitüde und einem Blick wie dem von DschingisKhan unterwegs ist. Das hilft niemanden – am wenigsten dem Ansehen der Internen Revision im Unternehmen. Für Anregungen und Kritik sind wir dankbar. Wir danken unseren Ehefrauen – wegen etlicher nicht stattgefundener Wochenenden. Neunkirchen/Gelsenkirchen, im Oktober 2007 Dr. Dr. Berwanger Dr. Kullmann

6

Inhaltsübersicht Vorwort Inhaltsübersicht Abkürzungsverzeichnis Literaturverzeichnis Autorenverzeichnis §1 Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen A. Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs I. Globalisierung als Initial-Stichwort II. Verschiebung von Werten in der Gesellschaft 1. Die soziologische Systemtheorie 2. Ziele und Werte in Unternehmen – Anspruch und Wirklichkeit III. Auswirkungen auf die Interne Revision B. Die Organisation des Berufsstands I. The Institute of Internal Auditors (IIA) II. Das Institut für Interne Revision e.V. (IIR) III. The ECIIA – die europäische Interessenvertretung IV. Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. und andere C. Die Position der Internen Revision im Unternehmen I. Glossar 1. Termini/Definitionen – Notwendigkeit eines Begriffsformalismus 2. Fachbegriffe in alphabetischer Reihenfolge II. Aufgaben, Rechte, Pflichten, organisatorische Eingliederung 1. Kurzabriss zur Historie der Revision 2. Die Interne Revision als Bestandteil des Internen Kontrollsystems 3. Interne Revision und Risikomanagement 4. Die Interne Revision als Bestandteil der Corporate Governance 5. Zusammenarbeit zwischen der Internen Revision und dem Abschlussprüfer 6. Zusammenarbeit der Internen Revision mit dem Aufsichtsrat 7. Revisionsfelder 8. Abgrenzung der Internen Revision zum Controlling 9. Interne Revision und Compliance 10. IT-Revision und Datenschutz 11. Interne Revision: zentral oder dezentral? 12. Outsourcing von Revisionsleistungen §2 Rechtsgrundlagen zur Internen Revision A. Überblick – das KonTraG und andere Rechtsquellen B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG I. Vorgeschichte und Motive zum KonTraG II. Auslegung und Anwendung von § 91 Abs. 2 AktG 1. Systematische Einordnung der Vorschrift

5 7 11 15 17 19 19 19 22 22 23 28 32 32 35 37 38 39 39 39 40 53 53 54 62 64 67 68 71 78 80 82 86 87 89 89 92 92 93 93 7

Inhaltsübersicht

§3

8

2. Meinungsstand zum Inhalt der Vorschrift 3. Hier vertretene Auffassung 4. Speziell zur Rechtspflicht der Schaffung einer Internen Revision III. Die Ausstrahlungswirkung von § 91 Abs. 2 AktG 1. Zur Rechtsfigur und Abgrenzung zur Analogie 2. Eigene Rechtsauffassung C. Innenrecht I. Bedeutung für die Interne Revision II. Betriebswirtschaftliche und soziologische Grundlagen 1. Organisation 2. Koordinationsinstrumente III. Institutsnormen für die Interne Revision 1. Revisionsrichtlinie 2. Revisionshandbuch IV. Sonstige Normen D. Deutscher Corporate Governance Kodex I. Grundlagen 1. Regelungsgegenstand, Zweck und Hintergrund 2. Basistheorien zur Corporate Governance 3. Regelungsarten und abstrakte Umschreibung der Inhalte II. Kritik am DCGK III. DCGK und § 161 AktG – Rechtliche Folgerungen E. Internationale Rechtsregelungen I. SOX 1. Allgemeines 2. Section 302 SOX 3. Section 404 SOX II. 8. EU-Richtlinie 1. Überblick 2. Audit Committee und Internes Kontrollsystem F. Zusammenfassung zum Rechtsteil Prüfungsprozess A. Allgemeine Ausführungen zum Prüfungsprozess B. Prüfungsplanung I. Planungsebenen II. Risikoorientierte Prüfungsplanung 1. Audit Universe als Planungsgrundlage 2. Kriterien für die Risikobewertung III. Mitarbeitereinsatzplanung C. Prüfungsvorbereitung I. Prüfungsauftrag und -ankündigung II. Prüfungsprogramm, Prüfungsdisposition und die Einholung relevanter Informationen

93 95 100 101 101 102 103 103 104 104 105 106 106 108 108 109 109 109 110 111 113 115 121 121 121 123 123 124 124 125 126 128 128 129 130 131 131 132 135 137 137 138

Inhaltsübersicht D. Prüfungsdurchführung I. Kick-off II. Prüfungsumfang (Notwendigkeit und Wesentlichkeit) III. Prüfungsverhalten und Prüfungshandlungen IV. Technische und methodische Hilfsmittel V. Arbeitspapiere VI. Abschluss der „Field Activities“ E. Prüfungsbericht I. Berichtsgrundsätze II. Berichtsaufbau und Berichtsempfänger F. Maßnahmenmonitoring und Follow-up I. Grundlagen des Nachhalteprozesses II. Maßnahmenmonitoring III. Follow-up-Prüfungen G. Qualitätssicherung des Revisionsprozesses I. Grundlagen der Qualitätssicherung II. Die Anforderungen der Revisionsstandards 1. Der IIA-Standard 1300 2. IIR Revisionsstandard Nr. 3 „Qualitätsmanagement“ III. Revisionshandbuch IV. Der Einsatz von Audit-Management-Systemen §4 Ausgesuchte besondere Aspekte der Revisionsarbeit A. Regel und Ausnahme, Verantwortung und Kontrolle B. Voraussetzungen für den wirksamen Einsatz der Internen Revision C. Der Revisor als Change Agent? D. Der Revisor als „Übermensch“? I. Das Berufsbild des Revisors II. Das Anforderungsprofil an einen Revisor III. Der Revisor mit Spezialausbildung: Das CIA-Examen IV. Die Wirklichkeit E. Korruption I. Definition und wissenschaftliche Ansätze II. Zahlen, Daten und Fakten III. Ursachen – insbesondere: (Top-)Management-Fraud IV. Bekämpfung 1. Prävention 2. Rolle der Internen Revision §5 Zusammenfassung von Kernfragen Stichwortverzeichnis

141 141 142 143 146 148 150 150 151 153 154 155 155 156 156 156 158 158 160 163 164 167 167 171 175 178 178 179 180 181 184 184 186 187 194 194 194 197 199

9

Abkürzungsverzeichnis a.a.O. abzgl. a.F. Abs. AG AGG AktG AO Aufl.

am anderen Ort abzüglich alte Fassung Absatz Aktiengesellschaft Allgemeines Gleichbehandlungsgesetz Aktiengesetz Abgabenordnung Auflage

BaFin BB BGBl. BGH BT-Drucks. BVerfG BVerfGE bzw.

Bundesanstalt für Finanzdienstleistungsaufsicht Betriebsberater Bundesgesetzblatt Bundesgerichtshof Bundestagsdrucksache Bundesverfassungsgericht Bundesverfassungsgericht Entscheidung Band beziehungsweise

CFE CGAP CIA CISA CMA CPA

Certified Fraud Examiner Certified Government Auditing Professional Certified Internal Auditor Certified Informaton Systems Auditor Certified Management Accountant Certified Public Accountant

DB DCGK d.h.

Der Betrieb Deutscher Corporate Governance Kodex das heißt

ECIIA EG ERP ESt EStG etc. ETF EU EUR EuGH

European Confederation of Institutes of Internal Auditors Europäische Gemeinschaft Enterprise Resource Planning Einkommensteuer Einkommensteuergesetz et cetera Exchange Traded Fonds Europäische Union Euro europäischer Gerichtshof 11

Abkürzungsverzeichnis EURIBOR EWG

European Interbank Offered Rate Europäische Wirtschaftsgemeinschaft

f. ff. FA FG

folgende fortfolgende Finanzamt Finanzgericht

gem. GenG GG ggf. GmbH GmbHG

gemäß Genossenschaftsgesetz Grundgesetz gegebenenfalls Gesellschaft mit beschränkter Haftung Gesetz betreffend die Gesellschaften mit beschränkter Haftung

HGB Hrsg.

Handelsgesetzbuch Herausgeber

i.d.F. i.d.R. IDW IFRS IIA IIR IKS i.S.d. i.ü. i.V.m. InvG

in der Fassung in der Regel Institut der Wirtschaftsprüfer e.V. International Financial Reporting Standards The Institute of Internal Auditors Inc. Deutsches Institut für Interne Revision e.V. Internes Kontrollsystem im Sinne des im Übrigen in Verbindung mit Investmentgesetz

JZ

Juristenzeitung

Komm. KonTraG KWG KZfSS

Kommentar Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Kreditwesengesetz Kölner Zeitschrift für Soziologie und Sozialpsychologie

Mio. m.w.N.

Millionen mit weiteren Nachweisen

Nr. NJW

Nummer Neue Juristische Wochenschrift

12

Abkürzungsverzeichnis o.ä. OECD

oder ähnlich Organization for Economic Cooperation and Development

PCAOB

Public Company Accounting Oversight Board

RL Rn.

Richtlinie Randnummer

S. SAP SEC sog. SOX StGB

Seite Systemanalyse und Programmentwicklung Securities and Exchange Commission so genannte Sarbanes-Oxley-Act Strafgesetzbuch

u.a. u.E. USGAAP usw. u.U.

unter anderem unseres Erachtens U.S. Generally Accepted Accounting Principles und so weiter unter Umständen

v.a. VersR VorstOG VG vgl.

vor allem Zeitschrift für Versicherungsrecht Vorstandsvergütungs-Offenlegungsgesetz Verwaltungsgericht vergleiche

WPg

Die Wirtschaftsprüfung (Zeitschrift)

z.B. z.T. ZGR ZIR ZRFG zzgl.

zum Beispiel zum Teil Zeitschrift für Unternehmens- und Gesellschaftsrecht Zeitschrift Interne Revision Zeitschrift für Risk, Fraud & Governance zuzüglich

13

Literaturverzeichnis Bahrdt, H. P.: Schlüsselbegriffe der Soziologie, 7. Aufl. München 1997; Beck, U.: Schöne neue Arbeitswelt, 2. Aufl., Frankfurt/Main und New York 1999; Beck, U., Brater, M., Daheim, H.: Soziologie der Arbeit und der Berufe, Reinbek b. Hamburg 1980; Bourdieu, P.: Gegenfeuer. Wortmeldungen im Dienste des Widerstands gegen die neoliberale Invasion, Konstanz 1998; Buchanan, J. M.: Die Grenzen der Freiheit. Zwischen Anarchie und Leviathan, Tübingen 1984; Busch, R.: (Hrsg.): Shareholder value – Neue Unternehmensmoral?, Berlin 1998; Coenenberg, A. G., Wysocki, K. v. (Hrsg.): Handwörterbuch der Revision, 2. Aufl., Stuttgart 1992 Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Integrated Framework, Executive Summary, Jersey City (NJ) 2004; Dölling, D. (Hrsg.): Handbuch der Korruptionsprävention für Wirtschaftsunternehmen und öffentliche Verwaltung, München 2007; Drucker, P. F.: Die Kunst des Managements, München 2000; Endruweit, G.: Organisationssoziologie, Berlin/New York 1981; Förster, A., Kreuz, P.: Alles, außer gewöhnlich, Berlin 2007; Füss, R.: Die Interne Revision, Berlin 2005; Gladwell, M.: The Tipping Point, New York/Boston 2002; Glotz, P.: Die beschleunigte Gesellschaft, Reinbek b. Hamburg 1999; Hamel, G.: Leading the Revolution, New York 2002; Hofmann, R.: Prüfungshandbuch, 4. Aufl., Berlin 2002; Hofstede, G., Hofstede, G. J.; Culture and Organizations, New York 2005; Horváth, P.: Controlling, 10. Aufl., München 2006; Hüffer, U.: AktG-Kommentar, 7. Aufl., München 2006; Hunecke, J.: Interne Beratung durch die Interne Revision, Sternenfels 2001; Kaehlbrandt, R.: Deutsch für Eliten, München 2001; Kagermann, H., Küting, K., Weber, C.-P.: Handbuch der Revision, Management mit der SAPRevisions-Roadmap, Stuttgart 2006; Kracauer, S.: Die Angestellten. Aus dem neuesten Deutschland, Frankfurter Zeitung 1929, als Buchausgabe erstmals 1930; Frankfurt am Main 1971; Kurbjuweit, D.: Unser effizientes Leben, Reinbek bei Hamburg 2003; Leif, T.: beraten und verkauft, München 2006; 15

Literaturverzeichnis Lehnartz, S.: Global Players – Warum wir nicht erwachsen werden, Frankfurt a.M. 2005; Lück, W. (Hrsg.): Lexikon der Rechnungslegung und Abschlussprüfung, 4. Aufl., München/Wien 1998; Lück, W. (Hrsg.): Zentrale Tätigkeitsbereiche der Internen Revision, Berlin 2006; Luhmann, N.: Die Wirtschaft der Gesellschaft, Frankfurt a.M. 1988; Luhmann, N.: Funktionen und Folgen formaler Organisation, Berlin 1964; Luhmann, N.: Die Gesellschaft der Gesellschaft, 2 Bde., Frankfurt a.M. 1997; MacIntyre, A.: Der Verlust der Tugend, Zur moralischen Krise der Gegenwart, Frankfurt/New York 1987; Mayntz, R.: Soziologie der Organisation, Reinbek 1963; Neuberger, O.: Zur Verkommenheit der Manager – Pathologien der Individualisierung, in: Scholz (Hrsg.), Individualisierung als Paradigma, Festschrift für Hans Jürgen Drumm, Stuttgart etc. 1997; Pinchot, C.: Intrapreneuring. Why you don’t have to leave the corporation to become an Entrepreneur, New York etc. 1985; Robbins, S.: Organizational Behavior, Upper Saddle River, New Jersey 2005; Romeike, F., Finke, R. (Hrsg.): Erfolgsfaktor Risikomanagement: Chance für Industrie und Handel, Wiesbaden 2003; Schneider, W.: Deutsch für Profis, Hamburg 1984; Schneider, W.: Deutsch!, 3. Aufl., Reinbek bei Hamburg 2006; Scholz, C.: Personalmanagement, 5. Aufl., München 2000; Schrott, R.: Handbuch der Wolkenputzerei, München, Wien 2005; Schumpeter, J.: Kapitalismus, Sozialismus und Demokratie, 2. Aufl., Bern 1950; Simon, F. B.: Gemeinsam sind wir blöd, 2. Aufl., Heidelberg 2005; Sprenger, R. K.: Aufstand des Individuums, Frankfurt a.M./New York 2000; Sprenger, R. K.: Vertrauen führt, Frankfurt a.M./New York 2005; Steppan, R.: Versager in Dreiteilern, Frankfurt 2003; Tröndle H./Fischer T.: Strafgesetzbuch-Kommentar, 51. Aufl., München 2003; Vahs, D.: Organisation, Einführung in die Organisationstheorie und -praxis, 3. Aufl., Stuttgart 2001; Watzlawick, P.: Anleitung zum Unglücklichsein, München 1983; Wells, J. T.: 2004 Report to the Nation on Occupational Fraud and Abuse, Austin, Texas 2004; Wöhe, G.: Einführung in die allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000; Zimmer, D. E.: Die Wortlupe, Hamburg 2006. 16

Autorenverzeichnis Dr. iur. Dr. phil. Jörg Berwanger, Neunkirchen/Saar, Jahrgang 1959, Assessorexamen 1989, Promotionen 2000 und 2004, war von 1989 bis 1995 Geschäftsführer und Prozessbevollmächtigter beim Arbeitgeberverband des Saarländischen Handwerks. Seit 1995 war er im Saarbergwerke AG Konzern, später bei RAG Saarberg AG (beide Saarbrücken), als Justitiar tätig. Von 2002 bis 2004 war der Autor Leiter Umweltschutz und leitender Justitiar bei der Saar Energie GmbH. Seit Ende 2004 war Dr. Dr. Berwanger in Führungsfunktionen in Sachen Revision/Datenschutz tätig, zunächst bei der Saar Energie AG, ab April 2005 als Leiter des Regionalbüros Saar der neu formierten RAG Konzernrevision GmbH. Seit Mai 2007 ist er wieder im juristischen Bereich des neu aufgestellten RAG Konzerns, im Herbst 2007 mit dem neuen Namen Evonik Industries AG, tätig. Der Autor setzt seine fachlichen Akzente im Wirtschaftsrecht und Unternehmensrecht. Es gibt zahlreiche Veröffentlichungen, u.a. ist er Mitautor eines Steuerberaterbranchenhandbuchs und eines Kommentars zum SchwarzArbG. Er ist auch als Lehrbeauftragter an der FH Trier (Umweltcampus Birkenfeld) tätig. Dr. rer. pol. Stefan Kullmann, Gelsenkirchen, Jahrgang 1963, Diplom-Kaufmann 1990, Promotion 1997, war von 1990 bis 1999 in verschiedenen Positionen beim Gesamtverband des deutschen Steinkohlenbergbaus (Essen) tätig. Nach einer einjährigen Stabstätigkeit bei der Deutschen Steinkohle AG (Herne) übernahm der Autor seit 2000 Führungsaufgaben im Bereich Revision/Datenschutz der RAG Aktiengesellschaft (Essen), zunächst als stellvertretender Leiter des Zentralbereichs der Konzernrevision. Ab April 2005 verantwortete er die Leitung des Competence Centers Energie der neu formierten RAG Konzernrevision GmbH. Gleichzeitig übernahm der Autor die Aufgaben des Datenschutzbeauftragten für eine Reihe von Konzerngesellschaften. Seit 2007 ist er Leiter des Bereichs Kaufmännische Revision II der neu errichteten RAG Service GmbH, im Herbst 2007 mit dem neuen Namen Evonik Services GmbH. Der Autor hat bereits an zahlreichen Veröffentlichungen insbesondere zum Thema Risikomanagement mitgewirkt.

17

1

§ 1 Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen A.

Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs

I.

Globalisierung als Initial-Stichwort

1

Der in Deutschland erstmals Anfang der siebziger Jahre verwandte Begriff wurde spätestens im Jahr 1983 weltweit durch den Artikel „Globalization of Markets“ (von Theodore Levitt) verbreitet. Er bezeichnet einen Entwicklungsprozess, über dessen Beginn in der Literatur unterschiedliche Angaben gemacht werden. Mitunter wird zurückgegangen bis in die Antike, wo auch immer schon nach neuen Handelsmärkten und –wegen gesucht wurde. Weitere zeitliche Meilensteine sind 1492 (Kolumbus in Amerika), 1499 (Rückkehr von Vasco da Gama aus Indien) und das 19. Jahrhundert mit den Anfängen der Industrialisierung. Andere plazieren die zeitliche Verortung ihres Beginns wesentlich später, nämlich in die 70/80 er Jahre des letzten Jahrhunderts, indem auf die Einführung der „floatenden“ Wechselkurse (1971/1973) oder auf die Ölkrisen (1973 und 1980) hingewiesen wird. In Deutschland werden besonders die Jahre 1989 (die Wende in Europa) und 1993/1994 (Nachkriegsrezession) markiert. Vielen Ansätzen gemein ist die Aussage, dass es sich um einen stetig voranschreitenden Prozess handelt. Definitionen und Beschreibungen haben sich im Laufe der Zeit von ihrem Bedeutungsinhalt her nicht groß verändert, lediglich die Wortwahl changiert. Nach einer Definition der OECD handelt es sich bei Globalisierung um einen „Prozess, durch den Märkte und Produktion in verschiedenen Ländern immer mehr voneinander abhängig werden – dank der Dynamik des Handels mit Gütern und Dienstleistungen und durch die Bewegungen von Kapital und Technologie.“1 Globalisierung als die so umschriebene Verdichtung von Raum und Zeit, hervorgerufen durch sinkende Transport- und Informationskosten und durch fallende Grenzen, wurde bereits im 19. Jahrhundert ähnlich gedeutet. Solche frühere Vorlagen hatten sicherlich auch Beispielfunktion für spätere Ansätze: „Wenn Dampfkraft erst perfektioniert ist, wenn sie zusammen mit Telegraphie und Eisenbahn die Distanzen schwinden läßt, werden nicht nur Güter reisen. Auch Ideen werden Flügel haben. Wenn Steuer- und Handelshemmnisse zwischen den Staaten gefallen und die Völker einander immer näher rücken, wie wollen wir dann die alte Trennung wiederbeleben?“ (Chateaubriand, 1841). Man kann Globalisierung und ihre Überwindung von Grenzen im großen Stil in fünf Teilaspekte, die internationale Handelsverflechtung, ausländische Direktinvestitionen, die Operationen transnationaler Unternehmen, die verbesserten Kommunikationsmöglichkeiten und in die in-

1

OECD, zitiert bei Bernard von Plate, Grundelemente der Globalisierung, in: Informationen zur politischen Bildung, Heft 263 (2. Quartal 1999), Bundeszentrale zur politischen Bildung (Hrsg.).

19

1

2

1

§1

1

3

4

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

ternationalen Finanzmärkte zerlegen.2 Neben kulturellen und gesellschaftlichen Entwicklungen3 geht es – auch im Fokus dieses Buches – vorrangig um ein ökonomisches Phänomen in Form der Entstehung weltweiter Märkte für Produkte, Kapital und Dienstleistungen durch Zunahme und Verdichtung von grenzüberschreitenden Aktivitäten. Haupttreiber und Betroffene dieser Internationalisierung sind die Unternehmen als die Produzenten von Gütern und/oder Dienstleistungen, die auf diesen Märkten gehandelt werden. Sie müssen sich neuen Herausforderungen stellen, etwa in Form einer zunehmenden Vereinheitlichung von Rechnungslegungsgrundsätzen (Stichworte: IFRS und US-GAAP) oder durch das Festgelegtwerden auf internationale Standards bei interner Unternehmenskontrolle (SOX und 8. EU-Richtlinie). Über Globalisierung ist schon sehr viel geredet und geschrieben worden. Insbesondere wird sie – gemeinsam mit gleichzeitig eingeführten, zum Teil anglizistisch geprägten „neuen revolutionären Rätselwörtern aus der Gesellschaftsretorte des Managements“ (Ulrich Beck), wie z.B. Neoliberalismus bzw. -konservatismus, Intrapreneurship oder Shareholder Value – vielfach auch kritisch diskutiert. Das kann alle Jahre wieder anschaulich und eindrucksvoll, etwa anlässlich von Konferenzen, so etwa beim G 8 Gipfel in Heiligendamm im Juni 2007, besichtigt werden. Oft wird in Diskussionen das Verhältnis zwischen Wirtschaft und Politik angesprochen und erörtert, wer hier wen dominiert. Bourdieu bezeichnete Globalisierung als die „entscheidendste Waffe der Kämpfe gegen die Errungenschaften des welfare state“.4 Polemisch gewendet kommt das wie folgt daher: „Globalisierung ist, wenn du deinen Job verlierst, damit dein Unternehmen mehr Gewinn macht.“ (Gewerkschafter). Mit der Attac hat sich eine weltweit operierende Gegenbewegung gebildet. Sie vertritt u.a. soziale Interessen der Beschäftigten. Der Globalisierung werden vielfache zwanghafte Wirkungen auf deutsche Unternehmen zugeschrieben: Ein verschärfter Preiswettbewerb auf den Absatzmärkten mit hohem Aufwand für die Sicherung der Kundenanforderungen mit etlichen Begleitumständen (u.a. ggf. mit der Aufbringung der Flexibilität zur Produktionsverlagerung zum ausländischen Kunden hin und höchste Anforderungen an die Termintreue) führe zu einem Diktat der Dauerbewegung. Der „digitale Kapitalismus“ erbringe eine „Nanosekunden-Kultur“, d.h., die davon Betroffenen müssten schnell, mobil, flexibel und ubiquitär sein.5 In der Literatur wird insoweit ein Fetisch des Wandels kritisiert: „Unternehmen tun so, als würden sie sich immer wieder neu erfinden. Sie machen den Übergang zum Dauerzustand: „Wir tun was!“ Das Unternehmen wird zum Chamäleon, um bloß nicht als Verlierer dazustehen.“6 Selbst wenn in der einen oder anderen Facette objektiv nichts dahinter sein mag und kein Handlungsbedarf besteht, lassen sich viele Unternehmen doch davon beeindrucken und zu Aktionismus verleiten. Das wiederum fordert andere Unternehmen, dies nachzuahmen und in den Wettkampf dieses „Beschleunigungsrennens“ einzutreten – „selbst,

2

3

4 5 6

20

Friedhelm Hengsbach, „Globalisierung“ – eine wirtschaftsethische Reflexion, in: Aus Politik und Zeitgeschichte, Beilage zur Wochenzeitung Das Parlament, 11. Aug. 2000, S. 10, 12. Er beschränkt sich allerdings auf vier Schwerpunkte und hält den Kommunikationsaspekt und die von anderen ebenfalls noch genannte Arbeitsmigration für nicht so prägend. So z.B. werden nach soziologischer Theorie in modernen Industriegesellschaften alte nachbarschaftliche Institutionen des wechselseitigen Helfens und des Dankes zunehmend obsolet, weil die Versorgung des einzelnen in generalisierten und differenzierten Versorgungssystemen über Rechtsansprüche und Kaufchancen sichergestellt würden, vgl. Niklas Luhmann, Funktionen und Folgen formaler Organisation, Berlin 1964, S. 335 (FN 5). Pierre Bourdieu, Gegenfeuer. Wortmeldungen im Dienste des Widerstands gegen die neoliberale Invasion, Konstanz 1998, S. 43. Peter Glotz, Die beschleunigte Gesellschaft, Reinbek 1999, S. 125. Judith Mair, zitiert von Horst W. Opaschowski, Neue Welt der Arbeit, Studie über eine Repräsentativbefragung aus dem Jahr 2003, B.A.T. Freizeit-Forschungsinstitut, Hamburg 2003, S. 2 f.

A.

1

Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs

wenn man erkennt, dass es im Abgrund enden wird.“7 Die Situation erinnert an die scheinbare Verlockung, die von verbotenen Liebesaffären ausgehen kann8 und entspricht ganz dem Bild Schumpeters9 vom Wettbewerb im Kapitalismus, den er als „Prozess der schöpferischen Zerstörung“ beschreibt: „In der kapitalistischen Wirklichkeit (wirkt)... die Konkurrenz der vorhandenen Ware,... des neuen Organisationstyps... nicht nur..., wenn sie tatsächlich vorhanden ist, sondern auch, wenn sie nur eine allgegenwärtige Drohung ist. Sie nimmt in Zucht, bevor sie angreift.“ Wenn es denn glücklicherweise nicht im Abgrund endete, wird dann eben Jahre später die Umsetzung scheinbar großer (Ent-)Würfe u.U. unter Inkaufnahme von Milliardenverlusten wieder revidiert. Dazu können auch Scheidungen gehören. Das zeigt das Beispiel der Daimler-Chrysler Fusion („Welt-AG“), denn schließlich handelte es sich dabei um eine „Ehe, wie sie im Himmel geschlossen wird.“ (Jürgen Schrempp im Mai 199810 ). Ob der eine Partner nicht vielleicht doch noch im Abgrund enden wird, wird die Zukunft zeigen. Immerhin wurde Chrysler im Jahr 2007 an den Finanzinvestor Cerberus abgegeben, nach der griechischen Mythologie der mehrköpfige Hund, der den Hölleneingang bewacht. Wenngleich oft arg strapaziert und überbewertet ist „Globalisierung“ jedenfalls ein Schlüsselwort in unserer Zeit. Als in erster Linie wirtschaftliches Phänomen fungiert es daher als eine Art Initial-Stichwort, als thematischer Impulsgeber für das gesamte Untersuchungsprogramm auch dieses Buches. Viele der hier besprochenen Themen zur Internen Revision sind nämlich zumindest mittelbar darauf zurückzuführen. Denn es ist – wie skizziert – die Globalisierung, die zurzeit den nachhaltigsten Eindruck auf deutsche Unternehmen ausübt. Das betrifft insbesondere größere Unternehmen und Konzerne, die oft international agieren. Auch verfügen sie regelmäßig über eine Interne Revision.11 Für eine Diskussion der verschiedenen mit dem Globalisierungsbegriff verbundenen, sehr interessanten Implikationen und Auswirkungen auf andere Gebiete (soziale, politische, kulturelle und mediale) ist das vorliegende Buch allerdings nicht die richtige Plattform. Die weitere Ausbreitung und auch nur das Anreißen aller Themen würde seinen Rahmen sprengen. Die Verfasser müssen sich daher im Wesentlichen auf eine holzschnittartige Darstellung der Auswirkungen auf die Unternehmen beschränken, soweit diese für die Beschreibung der Auswirkungen für die Interne Revision von Bedeutung sind. Diesem Ansatz folgt der gedankliche Duktus des gesamten Buches. Vor allem ökonomische und rechtliche Umstände bilden daher die roten Fäden, entlang derer Fragen rund um die Interne Revision aufgeworfen und beantwortet werden sollen. Von den skizzierten Entwicklungen sind natürlich alle Mitarbeiter in diesen Unternehmen betroffen. Davon besonders stark berührt werden aber ihre Revisionsabteilungen, weil es der Arbeit der Internen Revision, ähnlich wie der des Controlling,12 inhärent ist, alle anderen Unternehmensteile im Fokus zu haben. Dazu gehören auch sozio-kulturelle Auswirkungen auf die Unternehmen, weil sich deren Leitungen im Druck sehen, Kulturen und Wertmaßstäbe diesen Entwicklungen anzupassen. Daraus ergeben sich dann regelmäßig auch Aufgabenfelder für die Interne Revision, etwa 7 Klaus Backhaus, Im Geschwindigkeitsrausch, Aus Politik und Zeitgeschichte, Beilage zur Wochenzeitung Das Parlament, 1999, B-31/99, S. 18, 24. 8 „Wer keine hat glaubt er verpasse etwas Wunderbares, wer eine hat fühlt sich die meiste Zeit elend.“, so ein namentlich nicht genannter Personalmanager zu Zielvereinbarungen. 9 Joseph Schumpeter, Kapitalismus, Sozialismus und Demokratie, 2. Aufl., Bern 1950, S. 134, 140. 10 ... der sich als gescheiterter Ehestifter im Jahr 2007 wegen des Kursanstiegs der Daimler-Chrysler-Aktie aufgrund der Trennungsnachricht über Zusatz-Einnahmen von 5,9 Mio. Euro freuen durfte. 11 Laut PWC-Gutachten „Wirtschaftskriminalität 2005“ von Nestler/Salvenmoser/Bussmann, Frankfurt am Main und Halle, November 2005, S. 37, verfügen weltweit 82 % der Unternehmen über eine Interne Revision. 12 Daher gilt wohl auch: „Controller und Revisionsmanager sind gleichermaßen tief von ihrer Unentbehrlichkeit überzeugt.“, so Sebastian Hakelmacher, ZIR 2001, S. 1, 3.

21

1

5

6

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

wenn ein Verhaltenskodex überprüft werden soll. Dass die Aufgaben gerade in diesem Bereich für die Interne Revision zuweilen schier unlösbar erscheinen und die Revision in das Dilemma einer Zwickmühle gebracht wird – etwa, wenn sich das Top-Management selbst nicht an die von ihm ausgegebenen Werte hält und vielleicht in manchen Fällen (etwa bei Korruption) sogar gegen Gesetze verstößt und die Revision dies erkennt – auch darauf wird in diesem Buch einzugehen sein.

1

7

8

II.

Verschiebung von Werten in der Gesellschaft

1.

Die soziologische Systemtheorie

Wertet man das Wirken und Werken der Unternehmen in makro-soziologischen Kategorien, betreiben sie als Teile des gesellschaftlichen Subsystems „Wirtschaft“ Daseinsvorsorge für das gesamtgesellschaftliche System. Nach der soziologischen Systemtheorie hat die moderne Gesellschaft für die Erfüllung ihrer wesentlichen Funktionen und Aufgaben eigene Subsysteme ausdifferenziert, um das Ganze am Laufen zu halten: Neben der Wirtschaft (zuständig für die zukunftsstabile Vorsorge) sind das die Politik (zur Herstellung allgemeinverbindlicher Entscheidungen), das Recht (Sicherung von Erwartungen), die Familie (Reproduktion), die Religion (Sinn- und Jenseitsfragen) und die Wissenschaft (Wahrheit). Obwohl sie alle aufeinander angewiesen sind, sind sie nach der Theorie in ihren Regeln und ihrem Verhalten zum großen Teil voneinander unabhängig. Sie formulieren jeweils ihre eigenen Universalitätsansprüche an die Behandlung aller Themen und folgen dabei ihren eigenen Regeln. Nach der Theorie sie sind füreinander blind, sie befolgen relativ „stur“ nur ihre eigenen Parameter und Regeln und sollen sich so allein aus eigener Kraft (weiter-) entwickeln.13 Im Laufe der Geschichte haben sich diese unterschiedlichen Universalitätsansprüche gegeneinander verschoben, mal hatte das eine Teilsystem die Oberhand, mal ein anderes. So stand im 16. Jahrhundert in Zentraleuropa die Religion im Vordergrund, sie wurde im 17. Jahrhundert von der Macht abgelöst, die im 18. Jahrhundert dem Recht weichen musste. Dieses wiederum wurde im 19. Jahrhundert von der Wirtschaft abgelöst, dem im 20. Jahrhundert die Fokussierung auf das Individuum folgte. Im Moment – Globalisierung! – sieht es so aus, dass für das 21. Jahrhundert ein comeback der Wirtschaft zu konstatieren sein wird.14 Des Öfteren zu beobachtende „grenzüberschreitende Konflikte“ bieten praktische Anhaltspunkte dafür, dass diese Ansicht der Systemtheorie zumindest in Teilaussagen zutrifft. Besonders augenscheinlich wird ein solcher Konflikt zwischen den Teilsystemen Wirtschaft und Recht bei der ökonomischen Theorie des „effizienten Vertragsbruchs“, die Vertreter der sog. Konstitutionellen Politischen Ökonomie bemühen: Warum nicht einen Vertrag brechen, wenn es hierfür gute ökonomische Gründe gibt, es sich – auch nach Abzug aller Pönalen, Schadensersatzansprüche und sonstiger Kosten (z.B. für den Anwalt) – noch rechnet?!15 Das nicht kompatible Werteverständnis zwischen der Wirtschaft und dem Recht kommt auch in der Äußerung „Deutschland ist das einzige Land, wo diejenigen, die erfolgreich sind und Werte schaffen, deswegen vor Gericht stehen.“ 13 Niklas Luhmann, Die Wirtschaft der Gesellschaft, Frankfurt a.M. 1988, S. 64. Speziell zur Rolle des Rechts im Kontext der Systemtheorie vgl. auch Luhmann, Recht als soziales System, Zeitschrift für Rechtssoziologie 1999, S. 1 ff. Für den schnellen Leser – Luhmann kann ganz schön anstrengend und damit zeitintensiv sein – vgl. die Zusammenfassung von Gerd Roellecke, Zur Unterscheidung und Koppelung von Recht und Wirtschaft, Rechtstheorie 31 (2000), S. 1, 6 f. 14 Vgl. dazu Roellecke, ebd. S. 9. Er meint i.ü., diesen Rückblick könne man frühestens in 150 Jahren halten. Obwohl wir erst am Anfang des neuen Jahrhunderts stehen, wagen die Verfasser diese Aussage schon jetzt und haben im Übrigen für den von Roellecke markierten Zeitpunkt bereits fest eine weitere Neuauflage des Buches in der Planung. 15 James M. Buchanan, Die Grenzen der Freiheit. Zwischen Anarchie und Leviathan, Tübingen 1984, S. 109.

22

A.

1

Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs

(Josef Ackermann zum Thema Mannesmann) zum Ausdruck. Das letzte hier anzuführende Beispiel betrifft den Fall, dass viele den Kopf schütteln, wenn die katholische Kirche oder ihr Oberhaupt gegen Empfängnisverhütung in Entwicklungsländern plädiert. Manche glauben dann, sie verstehen die Welt nicht mehr, vergessen aber dabei, dass der andere – sprichwörtlich – in seiner eigenen Welt (Systemtheorie!) lebt, und ausschließlich dort geltende Maßstäbe zur Lösung des Problems definiert hat und auch anwendet. Vielleicht sind aber diese Divergenzen bei den Sichtund Herangehensweisen an dasselbe Thema so schlecht auch wieder nicht – kann sich doch ein streitig ausgetragener Diskurs auch belebend und produktiv auf die gesellschaftliche Fortentwicklung auswirken, meinen die Verfasser.

2.

1

Ziele und Werte in Unternehmen – Anspruch und Wirklichkeit

Das Leben in einer eigenen Welt gibt auch das Stichwort für eine Hinwendung des Blicks auf die Unternehmen selbst. Diese sind im Sinne der Organisationssoziologie Organisationen. Die Organisationssoziologie sieht sie als sog. soziale Subjekte mit jeweils eigener Kultur und eigenem Wertesystem. Die daraus hergeleitete soziale Handlungsfähigkeit des Unternehmens wird maßgeblich von seinen Zielsetzungen beeinflusst, was auch in einer weiteren allgemeinen Definition der Organisation als „einem sozialen System mit überdurchschnittlich spezifizierter Zielbestimmung und überdurchschnittlich spezifizierter Struktur“16 zum Ausdruck kommt. Solche Sozialsysteme bilden Geflechte sozialer Positionen, die den Beitrag und die Rolle des einzelnen Akteurs zur Erreichung von Systemzielen definieren. Werte sind allgemein zu beschreiben als übergreifende „Orientierungsleitlinien zentralen Charakters, welche Realitätssicht, Einstellungen, Bedürfnisse und Handlungen einer Person steuern.“ Ziele sind „Aussagen oder Vorstellungen über zukünftig gewünschte Zustände, die durch Entscheidungen und entsprechende Handlungen realisiert werden sollen.“17 Die Systemtheorie sieht Organisationen – und damit auch Betriebe und Unternehmen – als relativ geschlossene Systeme an, die intern mit unabhängigen Organisationsvariablen (Ziele, Instrumente, Bedingungen, diese jeweils untereinander verbunden) und mit abhängigen Organisationsvariablen (Strukturen, Funktionen, Verhalten, jeweils untereinander verbunden) ausgestattet sind. Zwischen beiden Variablen bestehen regelmäßig keine gegenseitigen Beziehungen, sondern es existiert vielmehr eine einseitige Abhängigkeit. Jede Organisationsanalyse hat in den Zielen ihren wichtigsten Ansatzpunkt, die Wichtigkeit von Zielen ist damit für das praktische Funktionieren der Organisation gewissermaßen immanent. Das gilt auch für Unternehmen und Betriebe, denn „oberste Aufgabe der Betriebsführung ist die Formulierung von Zielfunktionen des Betriebes.“18 In der Soziologie wird allerdings zu Recht auch darauf hingewiesen, dass aus diesem Ansatz nicht zwangsläufig wirklich weiter Führendes resultieren muss, denn „ebenso wie edle Ziele, können die wahnwitzigsten Ideen mit konsequenter Zweckmäßigkeit durch eine Organisation verwirklicht werden. Die interne Rationalität der Organisation vermag dabei ihre Mitglieder sogar über die Irrationalität eines Zweckes zu täuschen“, die interne Rationalität der Organisation sagt also nichts über die Vernunft und die moralische Qualität ihrer Ziele aus.19 Oft versuchen hier Wunschvor16 Vgl. hierzu und zum Folgenden Günter Endruweit, Organisationssoziologie, Berlin/New York 1981, S. 17 f. , 51 f., 57, 60. 17 Vgl. zu beiden Begriffen (m.w.N.): Stephan Wuttke, Verantwortung und Controlling, Berlin etc. 2000 (Diss.), S. 13. 18 Vgl. Günter Wöhe, Einführung in die allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 118. 19 Renate Mayntz , Soziologie der Organisation, Reinbek 1963, S. 25.

23

9

10

1

§1

1 11

12

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

stellungen des Managements die reale Welt zu dominieren. Wenn aber die reale Welt nicht so ist, wie sie sein soll, gilt ein Wort Hegels: „Umso schlimmer für die Tatsachen.“ Dieses Dilemma offenbart sich oft bei Wertediskussionen in Unternehmen. Zu den Zielen gehören neben Vorgaben zu den strategischen und operativen Ausrichtungen des Unternehmens nämlich auch das Anhalten der Mitarbeiter, zum Voranbringen des Unternehmens, u.a. durch Unterlassung von Korruption, bestimmte Werte zu pflegen. Befördert wird dies durch eine wahre Industrie von Unternehmensberatern, die wohlfeile Konzepte liefern und ein offensichtliches Eigeninteresse an immer neuen Veränderungen haben.20 Die Vermittlung von Werten und „Business Ethics“ an angehende Manager haben sich auch Lehrstühle an Hochschulen (manche nennen sich „Business School“) auf die Fahnen geschrieben. Mancher Manager mag sich vielleicht besser das von ihm bezahlte Lehrgeld wieder zurückzahlen lassen.21 Werte als „Leuchttürme in stürmischer See“ (so eine Veröffentlichung zur Unternehmensethik) sollen Unternehmenskulturen schaffen, in denen über Fragen der Unternehmensethik offen und ohne Berührungsängste diskutiert werden soll. Wenn die Mitarbeiter diese Philosophie des Unternehmensleitbildes verinnerlichen und vorleben, zeigen sie nach der Theorie Führungskompetenz. Die von den Unternehmen propagierten Leitbilder erinnern inhaltlich an Tugendvorstellungen, wie sie schon von Platon und Aristoteles in der Antike entwickelt wurden. Insbesondere die vier sog. Kardinaltugenden Gerechtigkeit, Weisheit, Tapferkeit (= Mut) und Besonnenheit müssen als Paten herhalten und werden im Neusprech in Losungen verwendet wie etwa: „Wir wollen wachsen durch – vollen Einsatz, Mut zum Neuen, verantwortliches Handeln“. Bei so hohen Ansprüchen bleibt es nicht aus, dass diese Idee oft von der Wirklichkeit blamiert wird. Dabei reicht es oft nicht einmal zu einem Reißen der Meßlatte, weil sie mit deutlichem Abstand untersprungen wird. Trotz den in Firmenzeitschriften und Wertefibeln suggerierten Bildern einer heilen Welt mit „hehren Organisationszielen“ mit dem Aufbau einer Corporate Identity trifft man nämlich in der Realität mancher Unternehmen auf Führungskräfte ohne Charisma und ein von Darwinismus und Opportunismus geprägtes Betriebsklima. Die Sprüche von der Einmaligkeit, der Hierarchiefreiheit, Fairness und Partnerschaft entsprechen in vielen Fällen nicht der Realität.22 Wie von Hobbes beschrieben geht es munter kreuz und quer und jeder ge20 ... und die daher – wenn schon nicht von den sie beauftragenden Unternehmen – von objektiveren Beobachtern wesentlich kritischer gesehen werden: „Anyone who tells you it is easy to change the way groups of people do things is either a liar, a management consultant or both.“ Zitat aus dem Economist, siehe bei Dietmar Vahs, Organisation, 3. Aufl., Stuttgart 2001, S. 228. Sehr pointiert – und wohl mit einer Anleihe bei Ludwig Thoma – auch Sebastian Hakelmacher, ZIR 2001, S. 1, 7: „Was für pensionierte oder unausgefüllte Topmanager das Aufsichtsratsmandat ist, ist für Manager, die versagt haben, und für Hochschulabsolventen mit Prädikatsexamen und auch sonst mäßigem Verstand die Beratertätigkeit.“ 21 So der von früher hergebrachte Satz, wenn die Ausbildung nichts getaugt hat. Vgl. auch Bernd Schünemann, Brennpunkte des Strafrechts in der entwickelten Industriegesellschaft, in: Roland Hefendehl (Hrsg.), Kriminologische und dogmatische Fundamente, kriminalpolitischer Impetus, 2005, S. 349, 361: „... Natürlich kann...die Aufnahme von Vorlesungen zur Wirtschaftsethik in den betriebswirtschaftlichen Studienplan nicht den totalen Verfall gesinnungsethischer Norminternalisierung ungeschehen machen, der Wirtschaft und Gesellschaft in den letzten Jahrzehnten in Deutschland heimgesucht hat, schon in den 70er Jahren des vorigen Jahrhunderts in der zunehmenden Verbreitung der Kick-Back-Praxis greifbar war und in den Wirtschaftsskandalen der letzten Zeit einen für die Selbstbedienungsmentalität der die deutschen Großunternehmen im Management oder Betriebsrat führenden Klasse exemplarischen Ausdruck gefunden hat.“ 22 Vgl. Christian Scholz, Personalmanagement, 5. Aufl., München 2000, S. 775; ders., in: Wirtschaftswoche v. 5.10.2000, S. 200. Reaktion eines Mitarbeiters zum Thema „offene Diskussionskultur“ anlässlich eines Unternehmensworkshops über Werte: „Wenn ich hier wirklich ehrlich meine Meinung sagen würde, und zwar konstruktiv und ohne Obstruktionsabsicht, dann bekäme ich eins vor die Fresse. Also halt’ ich sie lieber.“ Hingegen gilt für Josef Ackermann die Losung „Don’t shoot the messenger – sagt ganz offen, was ihr denkt“, so in seinem Interview, in: Zeit magazin Leben, Nr. 22, v. 25.5.2007, S. 44, 46. Ob das wirklich ein durchgängiges Prinzip bei der Deutschen Bank sein soll? – schwer zu glauben, meinen die Verfasser.

24

A.

1

Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs

gen jeden: Neben den „klassischen Fallgruppen“ Mitarbeiter gegen Management und umgekehrt finden sich auch die Konstellationen des „peer-to-peer-pressure“: Management untereinander und Mitarbeiter untereinander. Schütz23 hat das Abteilungsdenken in deutschen Unternehmen erforscht. Er hat dabei herausgefunden bzw. folgert aus den Befragungsergebnissen: „... Aus diesem Fundus habe ich ein Portfolio von Fallbeispielen ausgewählt, die vor allem einen zentralen Aspekt verdeutlichen: Wer in seinem Unternehmen laufend Grabenkriege erlebt, der steht nicht alleine da. Denn das Abteilungsdenken grassiert auf breiter Front. Dabei tauchen immer wieder dieselben skurrilen Symptome auf. Sollten Sie also bei der Lektüre eine gewisse Ähnlichkeit mit Ihrem Unternehmen entdeckt haben, so ist das natürlich zufällig. Gleichzeitig ist es jedoch hoch wahrscheinlich...“ (Schütz, ebd., S. 223). Manager erscheinen in diesem Zusammenhang als „Mythopoeten“24, deren Arbeit in einem wichtigen Teil in der Erzeugung schönen Scheins besteht, der verbreitet wird durch „ubiquitäres Visionsgeraune“ (Reinhard Sprenger). „Eindrucksmanagement“, „Ranküne“ oder „Schaulaufen“ als sog. leistungsferne Strategien, und Mißgunst und Neid25 sind weitere Stichworte, die die Situation in Unternehmen charakterisieren. Speziell zum Anspruch auf Expertentum etwa, erhoben von Managern, spricht MacIntyre26 von einer „metaphysischen Überzeugung vom Expertentum der Manager“. Die werde in Unternehmen institutionalisiert und als „Scharade“ vorgeführt: „Es ist der theatralische Erfolg, der in unserer Zivilisation Macht und Autorität verschafft. Der effektivste Bürokrat ist der beste Schauspieler... Die theatralischen Begabungen der Spieler in unbedeutenden Statistenrollen sind für das bürokratische Schauspiel ebenso notwendig wie die Beiträge der großen Charakterdarsteller aus der Chefetage.“ Beispielgebend für diese Realmisere ist ein schon inflationär gebrauchter Begriff, der bei kaum einer Diskussion in modernen Unternehmen fehlen darf. Es geht um das Team (das ist die Unterwerfung der Begabten unter die Mittelmäßigen, so Reinhard Sprenger). Eine – auch aus Sicht der Verfasser – zutreffende Einschätzung zur Bedeutung des Teamgedankens, wie er in der Realität (leider!) oft gelebt und verstanden wird, und die man besser kaum formulieren kann, vertritt Sprenger27: „Team ist in der Welt des Managements ein nahezu sakrosanter Begriff mit immunisierender Aura: positiv, populär, produktiv. Er trägt eine Vorentscheidung für etwas Angenehmes und moralisch Hochstehendes in sich... Wir erleben geradezu eine Team-Inflation: Chefs, die oft gerade nicht „teamfähig“ in dem von ihnen proklamierten Sinn sind, nennen ihre Mitarbeiter „mein Team“ (heißt etwa: „Seid fleissig und zankt euch nicht!“)... Teamwork ist... unter Wettbewerbsbedingungen schwierig, und wirklich erfolgreiche Teams sind äußerst selten. Am seltensten an der Unternehmensspitze. Da sitzen im Regelfall Menschen, die ihre Karriere ihrer Teamfähigkeit gerade nicht (Hervorhebung auch bei Sprenger) verdanken – aber andere zur Teamarbeit auffordern.“ Die Aussage Sprengers, dargeboten in populär-sprachlicher Verpackung, wird von wissenschaftlicher Seite geteilt. Beck/Brater/Daheim meinen, wegen der Rivalität um den Aufstieg könnten Manager kaum im Team arbeiten, ohne ein wesentliches Mittel in der Rivalität um 23 Peter Schütz, Grabenkämpfe im Management, Frankfurt a.M. 2003. Er stützt sich auf von ihm durchgeführte 240 schriftliche Befragungen und 100 persönliche Interviews in etlichen deutschen Unternehmen (allerdings ohne nähere Angaben zum Auswahlverfahren etc.). 24 Oswald Neuberger, Zur Verkommenheit der Manager – Pathologien der Individualisierung, in: Scholz (Hrsg.), Individualisierung als Paradigma, FS für Hans Jürgen Drumm, Stuttgart etc. 1997, S. 149. 25 Belegt durch Aussagen (von Managern und Mitarbeitern) wie: „Unter kompetitiven Bedingungen ist das einzige, was mich an meinem Teampartner wirklich interessiert, sein Versagen.“ oder „Es reicht mir nicht, erfolgreich zu sein. Ich benötige für meinen Erfolg den Mißerfolg meines Konkurrenten.“ 26 Alasdair MacIntyre, Der Verlust der Tugend, Zur moralischen Krise der Gegenwart, Frankfurt/New York 1987, S. 148. 27 Reinhard Sprenger, Aufstand des Individuums, Frankfurt a.M./New York 2000, S. 127 f. u. S. 131.

25

1

13

14

1

§1

1

15

16

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

den Aufstieg aus der Hand zu geben. Spannungen aus der erforderlichen Arbeit im Team führten dazu, dass der Manager trotz der individualistischen Konkurrenz Entscheidungen kollegial erarbeiten müsse. Dies falle ihm der Statuskonkurrenz wegen aber schwer. Damit seien Klagen verbunden, dass harte Arbeit nicht einmal genüge, vielmehr müsse man sich dann auch noch als „netter Kerl“ zeigen.28 Trotz des ernsten und bedenklich stimmenden Hintergrunds vergnüglich zu lesen sind die nach wie vor aktuellen Geschichten über einen verfehlten Führungsstil aus der Weimarer Zeit29, in der sich ein „Wirtschaftsführer“ in seinem Büro ganz abschottet von den Mitarbeitern: Kein Lärm dringt in die „mönchische Abgeschiedenheit“ seines Zimmers, der Schreibtisch ist mit wenigen Papieren bedeckt, er thront ganz weit oben in einer Wipfelruhe30, die „überall in den oberen Sphären zu herrschen scheine.“ Ähnlich auch der Kriegsminister, der angesichts der vorgefertigen Aufmarschpläne ebenfalls friedlich und unbeschäftigt in seinem Arbeitsraum saß, während draußen die Truppen marschierten – „Der Krieg selbst ging dann freilich verloren...“. Soweit ersichtlich, gibt es zum mangelnden Teamverhalten von Managern keine belastbaren empirischen Untersuchungen, denn welcher Manager wird eine vorhandene Egomanie bei seiner Befragung schon eingestehen. Zumal, wenn er möglicherweise nicht in der Lage ist, diese sich selbst einzugestehen. Dennoch darf das Vorhandensein dieser Probleme hier unterstellt werden. Auch im Bereich der gewöhnlichen Mitarbeiter untereinander kann es „sportlich“ zugehen, was neben persönlichen Eigenheiten der Protagonisten auch den von der Leitung geschaffenen Strukturen zuzuschreiben ist. Voß/Pongratz31 gehen mit Bezug auf Gruppenprozesse im Arbeitsbereich (am Beispiel der sog. lean production) davon aus, dass bei der Lösung der kollektiven Aufgaben der Gruppendruck dem Druck des Vorgesetzten oft in nichts nachstehe. Speziell zum Team auch Opaschowski32: „Teamarbeit wird oft beschworen, aber nur selten gelebt. Meist spielt dieser Begriff im Arbeitsalltag nur eine taktische Rolle: Er suggeriert Modernität und überdeckt Interessengegensätze zwischen Mitarbeitern. Teams erzeugen mitunter einen größeren Druck auf den Einzelnen als eine starre Hierarchie. So kann das Team schnell zu einem Instrument sozialer Kontrolle umfunktioniert werden.“ Moderne oder als modern erachtete Managementkonzepte verstärken denn auch eher das Gegeneinander als das Miteinander. So z.B. das sog. Intrapreneurship, ein partizipatives Managementprinzip, das auf den Amerikaner Pinchot zurückgeht. Er hat zu seinen „Intrapreneur’s Ten Commandments“ u.a. folgendes formuliert: „Circumvent any orders aimed at stopping your dream“; „Do any job needed to make your project work, regardless of your job description“; „Follow your intuition about the people you choose, and work only with the best“; Work underground as long as you can – publicity triggers the corporate immune mechanism“; „Remember it is easier to ask for forgiveness than for permission“; „Never bet on a race unless you are running in it“.33 28 Ulrich Beck/Michael Brater/Hansjürgen Daheim, Soziologie der Arbeit und der Berufe, Reinbek 1980, S. 153, 166, zum Teil speziell bezogen auf amerikanische empirische Untersuchungen (von Whyte). 29 Siegfried Kracauer, Die Angestellten. Aus dem neuesten Deutschland, Frankfurter Zeitung 1929, als Buchausgabe erstmals 1930; Frankfurt am Main 1971, S. 26. 30 Dazu paßt die launige Feststellung von Sebastian Hakelmacher zum „gestandenen Revisionsmanager“, der „mehr übersieht als der Revisor. Je mehr er über den Banalitäten der realen Revisionsaufgaben schwebt, um so mehr wird aus der verlorenen Übersicht die weitsichtige Aufsicht über die Wiederdurchsicht.“, in: Der Revisionsmanager, ZIR 2001, S. 1. 31 Günter G.Voß/Hans J. Pongratz, Der Arbeitskraftunternehmer, KZfSS 1998, S. 131, 135. 32 Horst W. Opaschowski, Neue Welt der Arbeit, Studie über eine Repräsentativbefragung aus dem Jahr 2003, B.A.T. Freizeit-Forschungsinstitut, Hamburg 2003, S. 9 (m.w.N.). 33 Clifford Pinchot, Intrapreneuring. Why you don’t have to leave the corporation to become an Entrepreneur, New York etc. 1985, S. 22.

26

A.

1

Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs

Wohl als verlorenes Rennen, auf das er nicht wetten würde, sieht Neuberger die Bemühungen um den Aufbau einer sog. Corporate Identity. Er meint, zur Rolle der Manager als „Mythopoeten“ gehöre die Produktion von „Management-Kitsch“, die Corporate Identity gehöre hier dazu.34 Wolf verweist darauf, dass der Aufbau einer Corporate Identity einer von etlichen Bausteinen sei, mit denen in Unternehmen Rationalisierung betrieben werden soll. Dies führe nämlich zu einer „Moralisierung des betrieblichen Sozialzusammenhangs“, Werte und Normen sollen so bewusst zu Medien des Rationalisierungshandelns gemacht werden.35 Oft als Mythen entpuppen sich z.B. auch Losungen wie: Leistung lohnt sich; der Beste setzt sich durch; es geht fair zu; man muss der Sache dienen, und zwar gemeinsam und begeistert! Ähnlich kritisch auch der amerikanische Schriftsteller Douglas Coupland:36 Die moderne Arbeitswelt stecke zwar in der Krise, jedoch sei „die damit einhergehende zynische Unternehmenskultur...voll intakt: junge, naive Mitarbeiter an Schreibtische zu ketten und mit Süßigkeiten, Tischtennis und „Spaß“ ruhig zu stellen.“ In der Literatur wird im Übrigen aber auch darauf hingewiesen, dass sich aus der unvermeidlichen Spannung zwischen Entscheidung, Kommunikation und Handlung manchmal sogar eine gewisse Notwendigkeit zur Heuchelei und Scheinheiligkeit in Organisationen ergebe.37 Getroffene Entscheidungen müssen im Nachhinein oft gerechtfertigt werden, was dann – notgedrungen – oft so geschieht, dass die nicht zum Zug gekommenen Alternativen minimiert oder schlecht gemacht werden müssen. In der Psychologie wird das als postdezisionale Dissonanz-Reduktion bezeichnet. „Zu Fehlern zu stehen und nüchtern zu handeln, ist allerdings schwierig, wenn eine Gesellschaft – im Spiegel ihrer Medien – nur noch in Kriterien von Sieg oder Niederlage zu urteilen vermag“. So äußert auch Vontobel38 ein gewisses Verständnis für die Situation und die Befindlichkeiten von Managern. Der Grat vom „Heilsbringer zum Sündenbock“39 ist schmal. Manager werden anfangs gehätschelt als „Great Man“, wenn es schief geht, werden sie oft gefeuert. Die „wahren“ Gründe einer Angelegenheit können daher vom Management in Unternehmen oft nicht kommuniziert werden, es würden dann stattdessen vernünftige und sozial akzeptierte genannt. „Scheinheiligkeit“ sei daher nicht zufällig, sondern im Ergebnis mitunter sogar überlebensnotwendig für das System (Neuberger).40 Es gebe daher, so Neuberger weiter, in Organisationen ein latentes Wissen, das viele oder gar alle haben, das aber nicht thematisiert werden dürfe, weil ansonsten Abwehrmaßnahmen in Gang gesetzt werden müßten, die eine systemzerstörerische Wirkung haben könnten. Es geht dabei also um Regeln einer Organisation als Konventionen, die wirksam sind und trotzdem oder gerade deshalb nicht öffentlich diskutiert werden könnten.41 Das erinnert an den Fatalismus, der bei den Rolling Stones zum Ausdruck kommt, wenn sie den Teufel sagen lassen: „And what’s puzzling you is just the nature of my game.“42 Eine Begleiterscheinung 34 Oswald Neuberger, Zur Verkommenheit der Manager – Pathologien der Individualisierung, in: Scholz (Hrsg.), Individualisierung als Paradigma, FS für Hans Jürgen Drumm, Stuttgart etc. 1997, S. 149. 35 Harald Wolf, Rationalisierung und Partizipation, Leviathan 1994, S. 243, 249. 36 Zitiert von Horst W. Opaschowski (siehe FN soeben), S. 2. 37 Oswald Neuberger (siehe FN soeben), S. 152. 38 Hans-Dieter Vontobel, „Shareholder-Value“ – ein trügerischer Reiz? Ein Plädoyer wider die Darwinisierung der Sitten, in: Busch (Hrsg.), Shareholder value – Neue Unternehmensmoral?, Berlin 1998, S. 115, 119. 39 Vgl. den Artikel von Arne Storn mit diesem Titel, in: Die Zeit, vom 24.5.2007, Wirtschaft S. 29. 40 Oswald Neuberger (siehe FN soeben), S. 153. 41 Vgl. Peter Glotz, Die beschleunigte Gesellschaft, Reinbek 1999, S. 115, in anderem Zusammenhang: „Laßt uns um Gottes willen die Leute nicht durch die Prognose kritischer Entwicklungen verunsichern“ und ders. S. 152: „Das Unternehmerlager muss „ins Gelingen verliebt sein“; Suggestion und Selbstsuggestion sind Vehikel des Erfolgs... Eine realistische Nebenbemerkung in der Aufsichtsratspause über die Bohnensuppe hinweg – in Ordnung. Aber keine öffentlichen Bekenntnisse.“ 42 Gerhard Westermayer, „Sympathy for the devil“ oder: Warum es sich bei Shareholder value und Salutogenic management tatsächlich um unversöhnliche Gegensätze handelt, in: Busch (Hrsg.), Shareholder Value – neue Unternehmermoral?, Berlin 1998, S. 121, 130 f.

27

17

18

1

1

§1

1

19

20

davon sei, dass nicht konsequent gegen die Verletzung von Vorschriften, gegen Blaumachen, gegen Mobbing etc. vorgegangen werde. Keine solchen Rechtfertigungen verdient indes der von Gesterkamp43 erwähnte Fall: Putzfrauen in einem Unternehmen waren angewiesen, bei den Spitzenmanagern abends auf keinen Fall das Licht zu löschen – auch wenn die längst gegangen sind. Andere sollten glauben, dass die noch fleißig sind, denn: Karrieren werden angeblich nach 17 Uhr entschieden. Zum Abschluss dieser Überlegungen zur vielfach anzutreffenden Unternehmenswirklichkeit noch eine Metapher in Form einer kleinen Geschichte. Mit ihr soll die stetige Verfälschung, Brechung, Veränderung, oder eben „Organisation“ von Wahrheit illustriert werden: „Als Gott und der Teufel einst spazieren gingen, sah Gott plötzlich vor sich ein helles, leuchtendes Licht. Er bückte sich, betrachtete es, und hob es auf. „Sieh her“, sagte er zum Teufel „das ist die Wahrheit.“ Der Teufel betrachtete das Licht kurz, nahm es und antwortete: „Sehr schön, ich behalte es und verwalte es für Dich.“44 Selbstverständlich liegt es den Verfassern fern, Manager mit Teufeln, auch nicht mit „armen Teufeln“, zu vergleichen. Dass sich diese innere Zerrissenheit der Unternehmen auch in ihrem Umgang und ihrer Präsentation nach außen spiegeln kann, wird später unter dem Stichwort „Korruption“ zu behandeln sein.

III. 21

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Auswirkungen auf die Interne Revision

Vorstehend dargestelltes Gedankengebäude mag manchen Leser irritieren und ihm schief erscheinen. Sicherlich ist es nur zum Teil der Globalisierung zuzuschreiben, es ist aber doch oft real. Es wurde deshalb relativ ausführlich beschrieben und zur Untermauerung mit etlichen Zitaten und Fundstellen unterlegt, weil die besondere Herausforderung für die Interne Revision herausgestellt werden soll. Denn die Interne Revision ist diesen Widrigkeiten im besonderen Maße ausgesetzt. Die Situation erbringt nämlich für ihre Mitarbeiter eine weitere Erschwerung ihrer Arbeit. Zwar besteht ihre Tätigkeit – zumindest nach der unternehmensoffiziellen Lesart von ihrer Aufgabe – u.a. gerade darin, die Wahrheit über heikle „Nicht-Themen“ aussprechen zu müssen oder doch zumindest „zu sollen“. Ihre Mitarbeiter sollen als eine Art „hauptberuflicher Whistleblower“ Handlungsempfehlungen vorschlagen, über die niemand anderes im Unternehmen sprechen und die keiner anpacken will. Die Realität ist aber oft eine andere. Wenn es auch nicht so sein mag, dass „Topmanager vom Revisionsmanager einen kurzweiligen Vortrag über amüsante Ergebnisse der Revision“ erwarten45, werden kritische Anmerkungen und Überlegungen der Internen Revision eben nur zu gerne verdrängt. So etwa kann schon der eigentlich als harmlos einzustufende Vorschlag, vor dem Hintergrund einschlägiger Erfahrungen in einem deutschen Unternehmen (Stichworte: „VW“ und „Brasilien“) auch einmal – ohne besondere Verdachtsmomente – das Geschäfts- und Abrechnungsgebaren des eigenen Betriebsrats einer Revisionsprüfung zu hinterziehen, Abwehrmechanismen des Vorstands („Da lassen Sie mal besser die Finger davon!“) auslösen.46 Dazu bleibt nur festzustellen: „Ein Schelm, der sich Böses dabei denkt!“ – oder, frei nach Nikolaj Gogol, zu seinem literarischen Werk „Der Revisor“: „Der kleinste Schein von Wahrheit –

43 Thomas Gesterkamp, Arbeitszeit und Lebensstil, in: Wieland/Scherrer (Hrsg.), Arbeitswelten von Morgen, 1. Aufl., Wiesbaden 2000, S. 97. 44 Erzählt von Gerhard Westermayer, (siehe FN soeben), S. 130. 45 So in der Glosse von Hakelmacher, ZIR 2001, S. 1, 6. 46 Schilderung befreundeter Revisionskollegen aus einem anderen deutschen Konzern gegenüber den Verfassern.

28

A.

1

Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs

und man steht gegen dich auf, und nicht nur ein einzelner Mensch, sondern ganze gesellschaftliche Gruppen.“ Dabei ist schon die gewöhnliche Arbeit, etwa die Überprüfung von Arbeitsprozessen im Einklang mit bestehenden Handlungsanweisungen, vor dem Hintergrund der Aufgabe und der Rolle der Revision nicht einfach. Sie hat bei den geprüften Stellen im Unternehmen oft gegen das Image des „Besserwissers, der ja eigentlich gar keine Ahnung hat“47 anzukämpfen. Weiter zugeschriebene Attribute wie das des „Wadenbeissers“ oder des „Schienbeintreters des Vorstands“48 kommen dazu. Da ist es für den Revisionsmitarbeiter besonders misslich und undankbar, wenn es an der nötigen Rückendeckung des Vorstands für „seine“ Revision fehlt und ihr Standing im Unternehmen entsprechend schwach ausgebildet ist. Das soll auch vorkommen. Dennoch darf die Interne Revision nicht müde werden, den Widrigkeiten unter Aufwendung aller zur Verfügung stehenden Überzeugungskräfte und vor allem durch Erbringung von professioneller und handwerklich guter Arbeit entgegenzutreten.49 Jeder Mitarbeiter der Revision muss dieses grundlegende Identitätsproblem bei seinen Diskussionen mit der geprüften Stelle und mit „seinem“ Vorstand verinnerlichen. Im Umgang mit der geprüften Stelle muss er ebenso sensibel wie ggf. nachhaltig und verbindlich – gewissermaßen unter dem Motto „Hart, aber liebreich ist meine Hand“ – Überzeugungsarbeit im Interesse der Revision, und damit des Unternehmens leisten. Und er muss den geprüften Kollegen den Dienstleistungsgedanken plausibel und ihnen begreiflich machen, dass man die Unterstützung der Arbeit der Revision tunlichst als das begreifen sollte was es ist, nämlich als sinnvolle Investition. Das ist also die große Stunde des Revisors als ein in seiner charakterlichfachlichen Integrität unantastbarer „Übermensch“, als der er von der organisierten Revisionslobby gerne verklärt wird. Ob er das wirklich ist, ist im weiteren Verlauf des Buches zu erörtern. Die oben skizzierten Veränderungsprozesse, die an anderen Stellen im Buch zum Teil vertieft dargestellt werden, wirken sowohl extern als auch innerhalb der Unternehmen. Von außen ergeben sich eine Fülle von (neuen) Einflüssen in Form von nationalen (z.B. KonTraG) und internationalen Rechtsvorschriften (etwa zur Rechnungslegung), sonstigen Rahmenbedingungen und Kontakten mit Vertragspartnern in aller Welt. Neue Dinge müssen erlernt werden, vieles wird komplexer und bereitet mehr Aufwände. Unternehmen müssen ihre Organisation, ihre Abläufe und Prozesse (z.B. Kommunikation) stetig anpassen. Da es die Aufgabe der Internen Revision ist, den Vorstand und die übrigen Unternehmensteile hierbei als Ratgeber zu begleiten, erfordern diese Entwicklungen auch Anpassungen bei der Internen Revision selbst. Sie hat dem durch ein Bündel von Maßnahmen Rechnung zu tragen, die hier ohne Anspruch auf Vollständigkeit nur angerissen50 werden: Dazu gehört eine internationale Ausrichtung mit entsprechender Ertüchtigung ihrer Mitarbeiter ebenso (vielleicht durch Erwerb des CIA, siehe dazu eingehender im hinteren Teil des Buches), wie die Anpassung der Prüfungsplanung an neue nationale und internationale Standards. Auch die Berücksichtigung neuerer Entwicklungen im Bereich des Compliance-Instrumentariums (Risiko-Management, Internes Kontrollsystem) mit Einrichtung neuer Institutionen und Funktionen (Compliance-Officer, Audit-Committee) gehört dazu. Generell ist eine 47 Kritisch zur IIA-Definition von Interner Revision („... Mehrwerte schaffen und Geschäftsprozesse verbessern...“) Ottokar R. Schreiber: „... ein gehöriges Maß an eigener Anmaßung und Unterstellung von Nichtvermögen bei den Fachbereichen...“), in: Revision, Ausgabe IV 2003, S. 9. 48 Sebastian Hakelmacher, ZIR 2001, S. 1, 3 dazu: „Wachbataillion des Topmanagements, dessen Nützlichkeit alle loben, die nicht von ihm heimgesucht werden... und das einem Truppenteil gleicht, der während der Schlacht hinter dem Hügel verborgen bleibt, um danach die Gefallenen zu zählen.“ 49 Vgl. auch Rolf Hofmann, Prüfungshandbuch, 3. Aufl., Berlin 2000, S. 142: „Das Image des Berufsstands steht... in einem interdependenten Zusammenhang mit der Fachqualifikation.“ 50 Insofern wird auf andere Darstellungen zur Revision verwiesen, vgl. etwa bei Henning Kagermann/Karlheinz Küting/ Claus-Peter Weber, Handbuch der Revision, Stuttgart 2006, S. 16 ff.

29

1 22

23

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

verstärkte Hinwendung auf die Erledigung von Beratungs- und Servicediensten angezeigt. Das vor gar nicht so langer Zeit noch vorherrschende Bild und Selbstverständnis der Internen Revision als einer Stelle mit rein retrospektiver Prüftätigkeit als bloßer „Wiederdurchseher“ (Sebastian Hakelmacher) ist Vergangenheit.

1

24

! Praxishinweis: Einen speziellen Aspekt zur Aus- und Weiterbildung innerhalb der Internen Revision wollen die Verfasser nachfolgend etwas ausführlicher beleuchten. Es geht um die weitgehend nicht vorhandene juristische Expertise, mit der Revisionsabteilungen für gewöhnlich aufwarten. Zwar gibt es, soweit ersichtlich, dazu keine empirischen Untersuchungen. Lediglich zur Frage, ob und inwieweit Juristen als Revisionsleiter tätig waren, existiert empirisches Material, auch insoweit sind Juristen die absolute Ausnahme.51 Aufgrund des Kenntnisstands der Verfasser von der deutschen Revisionslandschaft darf die Behauptung aufgestellt werden, dass in den Revisionen überwiegend kaufmännische und technische Expertise anzutreffen ist. Juristisches Know-how ist in deutschen Revisionsabteilungen, auch speziell bezogen auf den Kreis der Prüfer, eher Mangelware.

25

Das ist ein ebenso erstaunlicher wie bedenklich stimmender Befund, dem auch in der Revisionsliteratur weiter keine Beachtung geschenkt wird. Zwar werden in der Öffentlichkeit vielfach Klagen über eine Verrechtlichung der Gesellschaft erhoben, vieles sei dadurch komplizierter und schwerer durchschaubar geworden. Speziell im Unternehmensbereich spielt eine zunehmende rechtliche Durchdringung, gerade vor dem Hintergrund der Internationalisierung, eine sehr bedeutende Rolle. Alle einschlägigen Bücher und Abhandlungen, auch solche zur Internen Revision, betonen diesen Aspekt. Die Revisionsliteratur verweist auf die Aufgabe der Internen Revision, als Berater des Vorstands oder der geprüften Stelle auch rechtliche Themen abzudecken. Die Revisionsabteilungen in den Unternehmen lassen sich jedoch von all dem nicht sonderlich beeindrucken und verlegen sich auf die Annahme, das in der Internen Revision vorhandene weitgehend kaufmännisch und technisch ausgebildete Personal könne juristische Fragestellungen quasi nebenbei mit erledigen. In schwierigeren (Spezial-)Fällen könne man die Rechtsabteilung des Unternehmens hinzuziehen oder auf externen Rechtsrat über Beauftragung eines fremden Rechtsanwalts zurückgreifen. Dem ist entgegenzutreten. Zunächst ist festzustellen, dass der gezeigte Ausdruck revisorischer Indolenz gegenüber dem juristischen Nachrüstungsbedarf nicht relativiert wird durch die juristische Ausschussarbeit in Verbänden, wie etwa im IIR. Sie kann im Grundsatz sicherlich eine wertvolle Unterstützung für die Arbeit der Internen Revisionen in den Unternehmen sein. Es müsste dort allerdings jemand sein, der den verdienstvollen Output der Verbandsarbeit effektiv verwerten kann – was aber eben nicht der Fall ist. Die Ausschussarbeit kann jedenfalls in den Unternehmen zu implementierendes juristisches Know-how nicht ersetzen. Natürlich bleibt es dabei, dass Revisionstätigkeit zu einem Großteil eine kaufmännische Angelegenheit ist, die durch technische Sachverhalte und durch IT – Themen komplettiert wird. Der springende Punkt ist aber eben der, dass die meisten Vorgänge und Prüfangelegenheiten der Internen Revision auch einen rechtlichen Einschlag aufweisen – und das mit zunehmender Tendenz. Ein Kaufmann oder ein Techniker als Revisor ist ohne fundierte juristische (Zusatz-)Ausbildung nicht in der Lage, schon mittelschwere juristische Probleme bzw. Fragestellungen auch nur zu erkennen, geschweige sie zu lösen. Das zeigt die vielfache Erfahrung der Verfasser aus der täglichen Praxis. Die offenbart nämlich, dass ein Revisor anlässlich einer Prüfung oft Verträge und sonstige juristische Sachverhalte vorgelegt bekommt, die er dann mit kenntnisfreien Blick würdigen soll. Als Rechtsunkundiger wird er aber

26

51 Zu Befragungen in Revisionsabteilungen zur Profession des Revisionsleiters vgl. Roland Füss, Die Interne Revision, Berlin 2005, S. 337: Nur 4,6 % der Revisionsleiter waren Juristen.

30

A.

1

Kulturfragen – deutsche Unternehmen auf Suchpfaden unterwegs

alle wesentlichen rechtlichen Implikationen, die Basis für ein fundiertes Prüfungsergebnis sind, in den wenigsten Fällen durchschauen. Das wird er vielleicht öfter auch realisieren. Nach der offiziellen Lesart der Revisionsabteilungen müsste er dann zumindest bei der Prüfung von bedeutsameren Themen oder Fragen die Rechtsabteilung damit befassen, wie es für eine wirklich sorgfältige Revisionsprüfung geboten wäre. Das kommt aber in der Praxis nach Kenntnis der Verfasser eher selten vor, ist die Ausnahme. Das Risiko, nicht alles Juristische verstanden zu haben, nimmt der Revisor oftmals in Kauf. Eine missliche Folge davon kann z.B. sein, dass es anhand des vorliegenden Entwurfs des Revisionsberichts zu schwierigen Diskussionen mit der geprüften Stelle kommen kann. Keine Seltenheit dürfte eine andere gegenläufige, aber nicht minder problematische Fallgruppe darstellen. Hier geht es um den Fall, bei dem der Revisor – vielleicht auch in einem Anflug eigener Selbstüberschätzung – einen von ihm gelesenen Vertrag zu verstanden haben glaubt, in Wahrheit mit seiner juristischen Würdigung aber haarscharf daneben liegt. Er wird dann noch nicht einmal auf die Idee kommen, die Rechtsabteilung einzuschalten, um sich hier Rechtsrat einzuholen. Die Hemmschwelle, eine fremde Abteilung anzusprechen (die vielleicht zudem geprüfte Stelle ist oder dieser nahe steht), kann schließlich ein weiterer Grund für den Revisor sein, von der Einholung des Rechtsrats Abstand zu nehmen. Den Problemen, die sich aus diesen Fallgruppen ergeben können, kann und muss man bei der Internen Revision begegnen. Wer dies als Revisionsleiter negiert, muss sich an den ehernen Berufsgrundsatz der Rechtschaffenheit, aufgestellt durch das IIR, erinnern lassen. Als Verhaltensregel besagt der, dass allgemein das Vertrauen in die Arbeit der Internen Revision begründet werden soll. Das sei eine fundamentale Voraussetzung für die Zuverlässigkeit der Internen Revision im Unternehmen. Revisoren müssen in dem Zusammenhang u.a. ihre Aufgaben korrekt, sorgfältig und verantwortungsbewusst wahrnehmen. Dies kann und muss hier u.E. umgesetzt werden durch die vermehrte Einstellung von juristisch ausgebildetem Personal als Revisoren. Doppelt ausgebildete Prüfer – es müssen keine Volljuristen sein, Diplomwirtschaftsjuristen (künftig: Bachelor of Laws und Master) von der FH können von der gebotenen Querschnitts-Ausbildung her einen idealen Mix bieten und sind Volljuristen sogar grundsätzlich vorzuziehen – würden eine ideale Ergänzung der vorhandenen Mannschaft bilden. Auch die Einrichtung einer revisionsinternen juristischen Stabsstelle als juristisches „back-office“ kann ein pragmatischer Lösungsansatz sein. Der juristische Mitverfasser dieses Buches weist im Übrigen in diesem Zusammenhang einen möglichen Verdacht des Lesers auf „Berufsimperialismus“ von sich. Beck/Brater/Daheim52 meinen, dass Juristen (das gelte im Übrigen auch für Techniker und Psychologen) zu einem „Imperialismus“ ihres Berufsstandes neigen. Sie tendierten dazu, alle wesentlichen Probleme ausschließlich juristisch zu sehen. Das könne zu Kommunikationsschwierigkeiten und auch zu einer weiteren Abschottung von Spezialisten untereinander durch deren gegenseitige „Immunisierung“ führen. Diese Immunisierung des Spezialisten führe im Übrigen zuweilen auch zum Vertreten von Patent- und Trivialdeutungen durch ihn selbst. Dies könne sogar in Fällen geschehen, wo solche Lösungen eigentlich nicht angebracht seien. Das wiederum eröffne die Gefahr von Eigenversuchen durch Laien, weil die fremde Spezialkompetenz des Juristen nicht so ganz handgreiflich nachgewiesen werden konnte. Diese soziologische Sicht mag einzelfallabhängig zutreffen. Fakt ist aber, dass zum Umgang mit Gesetzen Kompetenz zu dieser Interpretations- und Subsumtionsarbeit (judgemental work) notwendig ist53 – und das eben auch und gerade in der Internen Revision. Es geht daher darum, dass sich die Interne Revision personell auf diesem Gebiet ebenso verhält, 52 Ulrich Beck/Michael Brater/Hansjürgen Daheim, Soziologie der Arbeit und der Berufe, Reinbek 1980, S. 259 f. 53 So wörtlich Martin Morlok/Ralf Kölbel/Agnes Launhardt, Recht als soziale Praxis, Eine soziologische Perspektive in der Methodenlehre, in: Rechtstheorie 31 (2000), S. 15, 31.

31

1

27

28

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

wie sie es mit Bezug auf andere Charakteristika ihrer Prüfobjekte auch tut. Eine gut aufgestellte Interne Revision beschäftigt nämlich ausgesuchte Spezialisten, wie es sich an den Beispielen des ITFachmanns, des SAP-Versierten oder des Personalexperten zeigt. Dem ist auf juristischem Gebiet gleichzutun, damit die Revision auf diesem Feld auf gleicher Augenhöhe mit der geprüften Stelle diskutieren kann. Im Übrigen geht es auch nicht darum, im Unternehmen in unzulässiger Weise eine Konkurrenzorganisation zur Rechtsabteilung aufzubauen. Das Argument des „Da könnte ja jeder kommen“, da sich wegen der Verrechtlichung im Prinzip auch jede andere Abteilung (z.B. Einkauf oder Personalabteilung) eigene Juristen zulegen könnte, ist nicht stichhaltig. Wegen der Besonderheit der Aufgaben der Revision ist diese nicht mit anderen Abteilungen vergleichbar. Und obwohl die Verfasser von diesem Wort im Zusammenhang mit der Internen Revision eher einen sparsamen Gebrauch machen wollen – diese Besonderheit der Aufgabe wird z.B. deutlich an dem „hoheitlichen Charakter“, weil die Revision im direkten und unmittelbaren Auftrag des Vorstands ihre sensiblen und heiklen Missionen im strategischen Funktionsbereich des Unternehmens erfüllt. Das macht den Unterschied zu den ressourcenorientierten operativen Funktionsbereichen, wie etwa den des Einkaufs oder der Personalabteilung, die vom strategischen Funktionsbereich – zu dem auch die Interne Revision gehört – gesteuert werden.

1

29

B.

Die Organisation des Berufsstands

I.

The Institute of Internal Auditors (IIA)

Das Erreichen einer hohen Qualität des Berufsstandes, seines Ansehens und seiner Leistungen soll u.a. durch ein Netzwerk gewährleistet werden. Institute, Verbände und Arbeitsgemeinschaften halten ein großes Angebot an Möglichkeiten für Angehörige der Internen Revision vor, damit diese sich in den Arbeitsgebieten aktiv einbringen und fortbilden können. Dazu gehören Veranstaltungen wie Seminare, Tagungen oder Diskussionsforen, die einen gegenseitigen Erfahrungsaustausch mit großen Lerneffekten erbringen sollen. Eine besondere Rolle hierbei spielt das IIA, es ist als weltweiter Standardsetter im Bereich der Internen Revision tätig. ■

30

Allgemeines Das IIA Inc. stellt die größte organisierte Vereinigung des Berufsstands der Internen Revision dar. Es hat seinen Sitz in Altamonte Springs, Florida (www.theiia.org). Dem IIA Inc. gehört als Mitglied auch das Deutsche Institut für Interne Revision e.V. (IIR) an. Das IIA wurde 1941 gegründet und umfasste eigenen Angaben zufolge im April 2007 mehr als 130.000 Mitglieder aus mehr als 100 Ländern. Davon entfallen ein Drittel auf Länder außerhalb den USA und Kanada. Das Institut dient weltweit als Quelle und Hüter des Berufsstands bei der Klärung wichtiger Fragen zur Prüfung. Als sein Publikationsorgan dient die Zeitschrift „The Internal Auditor“. ■

31

Aufgaben und Ziele Die Mission und der Anspruch des IIA bestehen darin, die wichtigste internationale Berufsvereinigung zu sein, die sich der Unterstützung und Entwicklung der Praxis der Internen Revision widmet. Das IIA arbeitet nach dem Leitspruch „Progress Through Sharing“. Es versorgt Interne Revisoren, Manager, Boardmitglieder und Audit Committees mit Grundsätzen und Informationen zur Best Practice der Internen Revision. Im April 2007 ergab sich laut der Angaben auf der Website des IIA Inc. als 32

B.

1

Die Organisation des Berufsstands

Mission: The mission of The Institute of Internal Auditors is to provide dynamic leadership for the global profession of internal auditing. Activities in support of this mission will include, but will not be limited to: ■ Advocating and promoting the value that internal audit professionals add to their organizations; ■ Providing comprehensive professional educational and development opportunities; standards and other professional practice guidance; and certification programs; ■ Researching, disseminating, and promoting to practitioners and stakeholders knowledge concerning internal auditing and its appropriate role in control, risk management, and governance; ■ Educating practitioners and other relevant audiences on best practices in internal auditing; and ■ Bringing together internal auditors from all countries to share information and experiences.

32

Folgende konkreten Ziele waren ausgegeben: 2005–2007 IIA Objectives ■ To be the recognized voice for the internal audit profession; ■ To develop and sustain the internal audit profession globally through appropriate infrastructure, coordination, support and communication; ■ To provide exceptional service to IIA members.

33 34

Für die Mitglieder des IIA bestehen folgende verbindliche Vorschriften: ■ Statement of Responsibilities for Internal Auditors (Verlautbarung zu den Aufgaben), ■ Code of Ethics (Grundsätze der Berufsethik), ■ Standards for the Professional Practice of Internal Auditing (Grundsätze für die Praxis), ■ Statements on Internal Auditing Standards (Verlautbarungen zu den Grundsätzen), ■ Professional Standards Practice Release (Veröffentlichung zum berufsspezifischen Einsatz der Standards).

35

Die Ausrichtung der Arbeit des IIA für die nächsten Jahre umfasste im Jahr 2007 folgende Punkte: ■ Professionalisierung: Das IIA will dafür arbeiten, dass die Aufgabenstellung, der Code of Ethics und die Standards international zunehmend Beachtung finden. ■ Technologie: Forschung, Unterstützung und Weiterbildung sollen die Prüfer in die Lage versetzen, mit der neuesten Technologie zu arbeiten. ■ Global Voice: Das IIA will die Bedeutung und Integration des Berufes weiter steigern. ■ Prozess: Das IIA will die Mitglieder durch seine Leistungen unterstützen, um diese ständigen neuen Herausforderungen bewältigen zu können.

36

Da im Verlaufe dieses Buches immer wieder Bezug genommen wird auf die Berufsstandards, die durch das Institute of Internal Auditors gesetzt wurden und permanent aktuell gehalten werden, sei auf diesen Referenzrahmen für die Revisionsarbeit hier in Kürze eingegangen.

37

33

1

1 38

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Die IIA-Standards, die 1978 erstmals veröffentlicht wurden, bilden das Herzstück des Regelwerks für die berufliche Praxis der Internen Revision. Das Professional Practices Framework (PPF) besteht darüber hinausgehend aus dem Ethikkodex sowie den Praktischen Ratschlägen (Practice Advisories). Abbildung 1-1 zeigt das PPF im Überblick.

Professional Practices Framework

• Fachkompetenz • Beachten der Standards

• Ausführungsstandards • Steuern der Revisionsfunktion • Risikomanagement und Führung bewerten • Aufträge planen • Daten testen und analysieren • Informationen bewerten • Ergebnisse kommunizieren

Hilfsmittel – Praktische Ratschläge

Definition Interne Revision

Standards

Prüfungsleistungen

• Objektivität und Unabhängigkeit

Beratungsleistungen

• Attributstandards

Umsetzungsstandards

Ethikkodex

Definition Interne Revision

1

§1

Hilfsmittel – Andere Abbildung aus Hahn, U., Aktualisierung der Grundlagen der Internen Revision, in: ZIR Zeitschrift Interne Revision, 3/2005, S. 123–127.

39

40

41

Abbildung 1-1: Professional Practices Framework Das IIA-Board of Directors genehmigte im Juni 1999 eine umfassende Überarbeitung der Standards. Diese traten dann zum 1. Januar 2002 in Kraft. Verbindlich sind die Standards grundsätzlich für alle Mitglieder nationaler Revisionsverbände, die Mitglied sind im IIA. D.h., durch die Mitgliedschaft im Institut für Interne Revision, das Mitglied ist im IIA, werden die Standards zur verbindlichen Arbeitsgrundlage. Des Weiteren sind die Standards für alle Certified Internal Auditors (CIA) maßgeblich. Die IIA-Standards gliedern sich in die so genannten Attribute Standards und in die Performance Standards. Mit den Attribute Standards werden im Wesentlichen Eigenschaften beschrieben, die die Interne Revision aufweisen sollte. Die Performance bzw. Ausführungsstandards hingegen zeigen auf, wie bestimmte Aufgaben und Tätigkeiten ausgeführt werden sollen, um die entsprechenden Soll-Eigenschaften realisieren zu können. Sowohl Attribute als auch Performance Standards werden durch Umsetzungsstandards ergänzt, die die jeweiligen Standards hinsichtlich Prüfung (Zusatz A für Audit) oder hinsichtlich Beratung (Zusatz C für Consulting) präzisieren. Außerdem umfassen die Standards noch die so genannten Practices Advisories. Diese sind zwar unverbindlich, werden aber zur Anwendung empfohlen. Das Rahmenwerk wird durch nationale Standards abgerundet. In Deutschland sind durch das Institut für Interne Revision bisher drei zusätzliche Standards veröffentlichen worden. Diese beziehen sich auf die Zusammenarbeit mit dem Abschlussprüfer, die Prüfung des Risikomanagements und auf das Qualitätsmanagement. Auf diese drei Normen werden wir im Verlaufe der Ausführungen zurückkommen. 34

B.

II.

1

Die Organisation des Berufsstands

Das Institut für Interne Revision e.V. (IIR)

1

Das Deutsche Institut für Interne Revision e.V. (IIR) wurde im Jahr 1958 mit Sitz in Frankfurt a.M. gegründet. Das IIR ist ein gemeinnütziger Verein zur wissenschaftlichen und praktischen Förderung der Internen Revision. Im April 2007 hatte es nach Angabe auf seiner Website (www. iir-ev.de) über 1.700 Mitglieder aus allen Bereichen der Wirtschaft, Wissenschaft und Verwaltung. Davon waren 40 % Fördermitglieder (Unternehmen, Wirtschaftsverbände und betriebswirtschaftliche Institute bzw. Vereine) und 60 % ordentliche Mitglieder (natürliche Personen). Ordentliche Mitglieder können insbesondere Leiter und Mitarbeiter von Revisionsabteilungen und andere Stellen werden, denen die Durchführung der Internen Revision im Unternehmen übertragen ist. Ferner werden Personen aufgenommen, von denen aufgrund ihrer Ausbildung oder beruflichen Tätigkeit eine Ziel fördernde Mitarbeit erwartet werden kann. Fördernde Mitglieder sind Unternehmen und Wirtschaftsverbände sowie betriebswirtschaftliche Institute und Vereine. Das IIR unterstützt die für Prüfungs- und Beratungsaufgaben zuständigen Fach- und Führungskräfte in ihrer praktischen Arbeit. Mit getragen wird die Arbeit des IIR durch fachkundige Personen aus Praxis und Wissenschaft.

42

■

Aufgaben und Ziele Das IIR vertritt in Deutschland den Berufsstand der Internen Revision. Eine der wesentlichen Aufgaben des IIR ist es, die internationalen Standards in die deutsche Berufsauffassung zu adaptieren und diese Standards in der Praxis zu verbreiten. Das Institut versteht sich als Mittler zwischen Wissenschaft und Praxis, als Ansprechpartner und als Koordinator der Aktivitäten zur Förderung und Weiterentwicklung von Praxis und Ausbildung. Insofern stellt das Institut die zentrale Kapazität für die Interne Revision in Deutschland dar. In der Satzung (Fassung vom 26.9.2000) wird die umfangreiche Aufgabenstellung näher dargelegt (siehe auf der Website). Es geht nach der Satzung maßgeblich um die ■ Bereitstellung von Informationen über die Interne Revision. ■ Wissenschaftliche Forschung im Tätigkeitsbereich der Internen Revision. ■ Entwicklung von Revisionsgrundsätzen und Revisionsmethoden und deren laufende Anpassung an die betriebswirtschaftlichen, organisatorischen und technischen Gegebenheiten. ■ Wissenschaftliche und praktische Weiterbildung von Mitarbeitern und Mitarbeiterinnen der Internen Revision. ■ Vorbereitung und Durchführung des Certified Internal Auditor-Examens. ■ Pflege von Beziehungen zur Praxis und Wissenschaft im In- und Ausland. ■ Pflege von Kontakten zu Institutionen der Wirtschaftsprüfung.

43

44

■

Organe Die Organe des IIR sind die Mitgliederversammlung, der Verwaltungsrat, der Vorstand und die Geschäftsführung. Neben diesen satzungsmäßigen Organen besteht ein wissenschaftlicher Beirat, welchem Hochschullehrer aus dem Bereich Prüfungswesen angehören.

35

45

1

§1 ■

1 46

47

48

49

50

51

52

36

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Schwerpunkte der Institutsarbeit ■ Programmausschuss Die Grundsatzarbeit sowie die konzeptionelle Gestaltung des Gesamtarbeitsprogramms des IIR werden vom Programmausschuss geleistet. Darin vertreten sind erfahrene Führungskräfte der Internen Revision aus Industrie, Kreditinstituten, Versicherungen sowie Versorgungs- und Dienstleistungsunternehmen. ■ Arbeitskreise Schwerpunkt der Institutsarbeit bilden die Arbeitskreise innerhalb des Instituts. Im April 2007 waren 24 Arbeitskreise installiert. Leiter und Mitarbeiter von Internen Revisionen beschäftigen sich dort mit der systematischen Durchdringung aller wesentlichen Prüfungsund Beratungsgebiete. Sie legen ihre Arbeitsergebnisse in Form von Artikeln, Checklisten und anderen Ausarbeitungen vor, die vom Institut in Fachzeitschriften veröffentlicht werden. Die Ergebnisse der IIR-Arbeitskreise sollen innovativen, richtungsweisenden Charakter haben. So haben sich Arbeitskreise für die Industrie (z.B. Revision des Vertriebs), für Kreditinstitute (z.B. Internen Revision in Bausparkassen) sowie für andere Branchen (z.B. Interne Revision im Handel) gebildet. ■ Erfahrungsaustausch Im Institut werden von engagierten Mitgliedern und Fachleuten in regelmäßigen Abständen Erfahrungsaustauschtage durchgeführt. In diesen Veranstaltungen werden aktuelle Fragen und Probleme aus der Praxis der Internen Revision für die Bereiche Handel, Industrie, Krankenhäuser, Kreditinstitute, Energie und Verkehr, Öffentliche Verwaltung und Technische Revision diskutiert. ■ Akademie Alle die vom IIR angebotenen überbetrieblichen Aus- und Weiterbildungsmaßnahmen wurden 1992 in der IIR-Akademie zusammengefasst. Dies ist ein Weiterbildungsprogramm für Führungskräfte und Mitarbeiter der Internen Revision. Es basiert auf dem Grundsatz: „Aus der Praxis – für die Praxis“ und steht allen Interessierten offen. Die Veranstaltungen werden von Wissenschaftlern und Fachleuten geleitet und lassen sich unterscheiden in allgemeine und spezielle Seminare und Sonderveranstaltungen. ■ Kongresse und Jahrestagungen Es werden in einem zweijährigen Turnus Kongresse und Jahrestagungen durchgeführt. Diese informieren Führungs- und Fachkräfte über aktuelle Entwicklungen im relevanten Umfeld der Internen Revision. ■ Forschungsvorhaben Vom IIR wird ebenfalls Forschungs- und Entwicklungsarbeit geleistet. So wurden die Grundlagenwerke „Grundsätze der Internen Revision“, „Muster-Revisionshandbuch“ und „Mitarbeiterentwicklung in der Internen Revision“ im Institut erarbeitet und veröffentlicht. Außerdem werden in regelmäßigen Abständen Umfragen durchgeführt, die über den Stand und die Entwicklung der Internen Revision in Deutschland berichten. ■ Internationale Zusammenarbeit Neben der internen Arbeit unterhält das IIR seit vielen Jahren einen intensiven Gedankenund Erfahrungsaustausch mit verwandten in- und ausländischen Institutionen. Hierzu zählen unter anderem das Institut für Interne Revision Austria (IIR Austria) in Österreich

B.

■

III.

1

Die Organisation des Berufsstands

sowie der Schweizerische Verband für Interne Revision (SVIR). Aufgrund der Mitgliedschaften im „Institute of Internal Auditors Inc. (IIA)“ und der „European Confederation of Institutes of Internal Auditing (ECIIA)“ bestehen auch zu diesen Institutionen enge Kontakte. Veröffentlichungen Seit 1966 wird die Zeitschrift Interne Revision (ZIR) veröffentlicht, welche sich vorwiegend mit den Arbeitsergebnissen des IIR befaßt, sowie Fragen bezüglich der Weiterbildung klärt. Diese bildet eine gute Informationsquelle für aktuelle Entwicklungen innerhalb des Berufsstandes, welche für jedermann zugänglich ist.

1

53

The ECIIA – die europäische Interessenvertretung

Auch auf europäischer Ebene hat sich die Interne Revision organisiert. In der European Confederation of Institutes of Internal Auditing, ECIIA (www.eciia.org), werden insbesondere grenzüberschreitende Fragestellungen erörtert und Probleme in internationaler Zusammenarbeit gelöst. Das ECIIA ist ein Zusammenschluss nationaler Revisionsinstitute, die in den Ländern des Großraums Europa beheimatet sind. Es wurde 1982 gegründet und hat seinen Sitz in Brüssel. 2007 hatte das ECIIA vierzig Institutionen in 30 Ländern als Mitglieder. Das IIR schloss sich schon früh der ECIIA an. Einzelpersonen können nicht Mitglied werden, sondern nur Institute.

54

■

Aufgaben Die Mission des ECIIA besteht darin, die einhellige Stimme für den Berufsstand Interne Revision in einem umfassenden Europa, durch Zusammenarbeit mit dem Europäischen Parlament, den Kommissionen und anderen Institutionen mit Einfluss, zu sein. Dazu werden Untersuchungen zu Themen der Internen Revision wie IKS, Risikomanagementsysteme und Corporate Governance durchgeführt. Daneben werden Grundsatzpapiere und Berichte veröffentlicht und Unterstützung der Mitglieder zu Fragen der Internen Revision angeboten. Auf seiner Website hat ECIIA dies im April 2007 wie folgt vertont: Mission ■ To be the consolidated voice for the profession of internal auditing in a widely defined Europe by dealing with the European Union, its Parliament and Commission and any other European or global institutions of influence. ■ To represent and develop the internal auditing profession throughout the wider geographic area of Europe and the Mediterranean basin. ■ To represent the European internal auditing profession on the global stage in tandem – and in consultation – with IIA Inc. ■ To promote the profession in economically emerging countries, as appropriate, within the wider geographic area of Europe and the Mediterranean basin. Die ECIIA will demnach den Beruf Interne Revision in Europa (re-)präsentieren und entwickeln. Dies geschieht auf globaler Basis in enger Zusammenarbeit mit dem IIA. Auch in noch jungen Mitgliedsstaaten der Europäischen Union sollen zukünftig die Grundsätze verbreitet werden. Die Strategien des ECIIA für die nächsten Jahre sehen eine stärkere Koordination der Aktivitäten und Interessen vor, die Verbreitung der „best practice“, die Weiterentwicklung des Berufs, die Ver37

55

56 57

58

59

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

besserung der Akzeptanz der Standards, die Entwicklung von Weiterbildungsprogrammen sowie die Einrichtung eines Forums zum Gedankenaustausch über anstehende Probleme.

1

IV. 60

61

62

63 64

Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. und andere

Wie ihr Name schon sagt, bietet die Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. ein Forum für Themengebiete aus der gesamten Betriebswirtschaft. Auf ihrer Website (www. schmalenbach.org) bezeichnet sie sich als „die einzige übergreifende betriebswirtschaftliche Vereinigung in der Bundesrepublik Deutschland.“ Auch bei ihr befassen sich Arbeitskreise mit Thematiken der Internen Revision. Das betrifft insbesondere den Arbeitskreis „Externe und Interne Überwachung der Unternehmung“.54 Die Gesellschaft nimmt, im Gegensatz zu den Instituten IIR, IIA und ECIIA, nicht für sich in Anspruch, auf Angehörige der Internen Revision einen weisenden Charakter auszuüben. Durch ihren eher allgemeinen Ansatz ergeben sich durch die Arbeit der Gesellschaft besondere Möglichkeiten, die Schnittstellen zwischen Interner Revision und Abschlussprüfer näher zu beleuchten. ■ Gründung, Mitglieder, Organe Die Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. entstand durch den Zusammenschluss der Schmalenbach-Gesellschaft zur Förderung betriebswirtschaftlicher Forschung und Praxis, Köln (gegr. 1932) und der Deutschen Gesellschaft für Betriebswirtschaft, Berlin (gegr. 1936). In Form eines gemeinnützigen Vereins ist sie unabhängig und arbeitet nicht gewinnorientiert. Der Geschäftssitz befindet sich in Köln. Die Aktivitäten der Gesellschaft werden durch die ehrenamtliche Arbeit ihrer Mitarbeiter ermöglicht. 2007 zählte die Gesellschaft ca. 1.600 persönliche Mitglieder, darunter Führungskräfte aus Unternehmen und Behörden sowie Wissenschaftler. Des Weiteren gab es 2007 ca. 300 Firmenmitgliedschaften. Der Vorstand ist paritätisch mit Wirtschaftswissenschaftlern und Praktikern ausgestattet. Der Beirat setzt sich zusammen aus den Leitern der Arbeitskreise, den Herausgebern der Zeitschrift für betriebswirtschaftliche Forschung (zfbf) sowie weiteren Personen aus der Wissenschaft und Praxis. ■

65

66

Arbeit Hauptziel der Gesellschaft ist, den Dialog zwischen betriebswirtschaftlicher Forschung, Lehre und Praxis zu fördern. Unter ihrem Dach arbeiteten 2007 26 Arbeitskreise, in denen nahezu 600 Fachleute aus Wissenschaft und Praxis tätig waren. Die Arbeitskreise bilden die Grundlage der Arbeit der Gesellschaft. Die Arbeitskreise werden für die Bearbeitung konkret umrissener Themenstellungen vom Vorstand der Schmalenbach-Gesellschaft eingerichtet und jeweils von einem Hochschullehrer und einem Wirtschaftspraktiker gemeinsam geleitet. Die Arbeitsergebnisse werden als Berichte herausgegeben und in Zeitschriften (insbesondere der zfbf) veröffentlicht. Weitere für den Berufsstand der Internen Revision relevante Institute sowie Vereinigungen sind die Wirtschaftsprüferkammer als Körperschaft des öffentlichen Rechts (Sitz in Berlin) und das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW). Diese Vereinigungen befassen sich vor54 Vgl. z.B. dessen Thesenpapier „Best Practice für die Interne Revision“, in: DB 2006, S. 225.

38

C.

1

Die Position der Internen Revision im Unternehmen

wiegend mit dem Berufsstand der Wirtschaftsprüfer, natürlich werden hier auch Schnittstellenthematiken und Standards für die Interne Revision – aus Sicht der Wirtschaftsprüfung – beleuchtet.

C.

Die Position der Internen Revision im Unternehmen

I.

Glossar

1.

Termini/Definitionen – Notwendigkeit eines Begriffsformalismus

Die Interne Revision ist ein Teil des Unternehmens, das sich als betriebswirtschaftlich organisierte Einheit einem breiten Spektrum von Rechtsvorschriften aus nahezu allen rechtlichen Bereichen gegenüber sieht. Diese Ausgangssituation bringt es mit sich, dass ein nicht unerheblicher Teil der Themen rund um das Unternehmen – und damit auch zur Internen Revision – betriebswissenschaftlich und rechtswissenschaftlich erörtert und zuweilen auch streitig diskutiert werden. Insbesondere dort, wo Themen und Begriffe rechtlich in Gesetzen und sonstigen Vorschriften gefasst sind, ergeben sich nicht zuletzt wegen deren weiten Abstraktionsgrads nicht selten Unklarheiten. Handwerkliche Unzulänglichkeiten bei der Abfassung von Gesetzen können weiter gehende Belastungen erbringen (siehe zum Beispiel zu § 91 Abs. 2 AktG die Ausführungen im Rechtsteil). Wie bei vielen anderen wissenschaftlichen Diskussionen taucht vor diesem Hintergrund auch mit Bezug auf die Interne Revision die Streitfrage auf, ob ein gewisser Begriffsformalismus notwendig ist oder ob er überflüssig oder vielleicht sogar schädlich ist. Das Postulat der Notwendigkeit der Schaffung von festen Begriffsbestimmungen und Definitionen, um eine ergebnisorientierte Diskussion über eine Sache führen zu können, streitet dabei mit der konträren Idee, bewusst eine Begriffsdynamik zuzulassen, um dadurch eine Erweiterung des wissenschaftlichen Erkenntnisstands zu erreichen. Welche Vorgehensweise bei einer konkreten Diskussion im einzelnen zu treffen ist, muss dem Einzelfall überlassen bleiben. Derartige Strategien haben indes in einem Buch für Praktiker regelmäßig keinen Platz. Mitarbeitern der Internen Revision und Abschlussprüfern kann nicht daran gelegen sein und es ist ihnen auch nicht zuzumuten, sich mit Problemen der wissenschaftlichen Legitimität dialektischer Denkfiguren oder mit Feinheiten von definitionstheoretischen Fragen befassen zu müssen. Immerhin können diese sehr reizvoll und geeignet sein, den Intellekt des Mitarbeiters der Internen Revision zu schulen. So etwa vermag das definitionstheoretische Beispiel zum Schimmel: „Ein Schimmel kann mit gleichem Recht als „weißes Pferd“ und als „pferdeartiges Weißes“ definiert werden.“55 durchaus zu interessanten Gedankengängen über den revisorischen Tellerrand hinaus verleiten. Einmal abgesehen davon, dass die Verfasser den Lesern ihres Buches nichts vom Pferd erzählen wollen, haben aber derlei abstrakte Erörterungen – natürlich geht es um Vergleichbare mit Bezug auf die Interne Revision – in einem Buch für Praktiker grundsätzlich nichts verloren. Sie müssen in anderen Foren ausgebreitet und der wissenschaftlichen Diskussion und Disputation dort überlassen werden. Deren verdienstvoller Output ist anschließend dem Praktiker als Handreichung zur Verfügung zu stellen. Natürlich sollte der gestandene Revisionsmann in Zeiten, in 55 Vgl. Bahrdt, Schlüsselbegriffe der Soziologie, 7. Aufl. München 1997, S. 16.

39

1

67

68

69

1

§1

1 70

71

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

denen in der Berufswelt das Credo des „lebenslangen Lernens“ ausgegeben ist56, auch die Muße und die Kraft aufbringen, wissenschaftliche Abhandlungen über seinen Beruf zu verarbeiten. Die praktische Auseinandersetzung mit wissenschaftlich diskutierten Problemen und Themen, insbesondere die Ertüchtigung des Praktikers zu deren Bewältigung, erfordert die Bereitstellung eines verlässlichen und möglichst einfach zu bedienenden Handwerkszeugs in Form möglichst leicht verständlicher Termini mit Definitionen. Darauf muss sich der Praktiker verlassen können. Dabei wird nicht verkannt, dass mancher Ansatz in Definitionen interpretationswürdig und manchmal sogar fragwürdig sein kann. So stellt sich etwa die Frage, was genau unter „objektiver Prüfungs- und Beratungsdienstleistung“ (in der Definition von Interner Revision) zu verstehen ist.57 Die Auseinandersetzung damit muss aber grundsätzlich der weitergehenden Diskussion überlassen bleiben. Ausschließlich dem Anliegen, dem Praktiker ein möglichst fertiges begriffliches Instrumentarium an die Hand zu geben und ohne ihn mit Theorienstreit und theoretischer Herleitung zu befassen, folgt dieses Werk. Nur in Ausnahmefällen, etwa mit Bezug auf bestimmte in Gesetzen verwendete wichtige Begriffe und Ausdrücke, erfolgt im Rechtsteil bewusst eine breiter angelegte wissenschaftliche Auseinandersetzung. Die übrigen Standardbegriffe aus dem tagtäglichen fachlichen Sprachgebrauch des Revisors, so etwa der Terminus der „Prüfung“ oder Überlegungen der allgemeinen Frage, wie sich „Interne Revision“ oder „Internes Kontrollsystem“ überhaupt definiert, werden daher nachfolgend – mit möglichst kurzer Erläuterung und ohne (kritisches) Hinterfragen – wiedergegeben. Diese Begriffe stellen den Grundstock des revisorischen Handwerkszeugs dar und werden zum großen Teil an anderer Stelle im Buch eingehender behandelt. Im Einzelfall werden Definitionen als deutsche Übersetzung und zusätzlich im Ursprungstext in Englisch geboten, um ihre Authentizität, die durch die Übersetzung zuweilen leidet, zu erhalten. Das gilt vor allem für Ansätze, die das IIA geprägt hat. Angereichert wird das nachfolgende Glossar durch weitere in der fachlichen Diskussion immer wieder auftauchende sonstige Begriffe, Eigennamen und Abkürzungen. Diese werden zum Teil etwas ausführlicher erläutert. Dazu gehören auch einige in der Wirtschaftswelt universell verwandte Begriffe (z.B. Outsourcing), die mit ihrem spezifischen Bezug zur Internen Revision skizziert werden. Mit dem Glossar soll insbesondere den Lesern, die nicht aus den Kreisen der Internen Revision stammen und an die sich das Buch auch wendet (siehe im Vorwort), ein schneller Einstieg in die Themen ermöglicht werden.

2.

Fachbegriffe in alphabetischer Reihenfolge

■

72

Abschlussprüfung Durch die Aktiennovelle von 1931 eingeführte Pflichtprüfung des Jahresabschlusses von bestimmten Wirtschaftsgesellschaften, wobei gleichzeitig der Berufsstand der Wirtschaftsprüfer eingeführt wurde. Die Prüfung des Jahresabschlusses und des Konzernabschlusses hat sich darauf zu erstrecken, ob die gesetzlichen Vorschriften und sie ergänzende Bestimmungen des Gesellschaftsvertrags beachtet worden sind.

56 „Wissen ist ... die wichtigste Ressource des Individuums wie auch der gesamten Gesellschaft. Grundbesitz, Arbeit und Kapital – für einen Ökonomen die traditionellen Produktionsfaktoren – sind zwar nicht verschwunden, aber zweitrangig geworden. Sie können erworben werden, und dies mit Leichtigkeit – solange man über spezialisiertes Wissen verfügt.“ Peter F. Drucker, Die Kunst des Managements, München 2000, S. 163 f. (Hervorhebung auch bei Drucker). Neues Wissen muss alle vier oder fünf Jahre erworben werden, um nicht überflüssig zu werden (Drucker, ebd. S. 165). 57 Sebastian Hakelmacher, ZIR 2001, S. 1, 3, u.a. dazu: „Kritisch ist, wer alles schlimmer darstellt, als es tatsächlich ist. Objektiv ist schließlich derjenige, der anderen sagt, was sie tun sollen, es aber selbst nicht tun darf.“

40

C.

1

Die Position der Internen Revision im Unternehmen

■

Arbeitspapiere Schriftliche Aufzeichnungen und sonstige Materialsammlungen, zunehmend auch elektronischer Art, die der Revisor während einer Revisionsprüfung anfertigt. Ihnen kommt eine wichtige Dokumentationsfunktion zur Unterstützung der Revisionsergebnisse und Schlussfolgerungen zu.

73

■

Audit Charter Englische Bezeichnung für → Revisionsrichtlinie.

74

■

Audit Committee Englisches Wort für „Prüfungsausschuss“. Besonderer Ausschuss des Aufsichtsrats, der sich mit div. Fragen (u.a. zur Rechnungslegung, Erteilung Prüfungsauftrag an Abschlussprüfer, Wirkungsgrad der Internen Revision und Risikomanagement) befasst. Für Aktiengesellschaften ist nach deutschem Recht in § 107 Abs. 3 AktG allgemein geregelt, dass der Aufsichtsrat Ausschüsse bilden kann. Darunter sind auch die Prüfungsausschüsse zu subsumieren. Prüfungsausschüsse werden auch vom DCGK, SOX und von der 8. EU-Richtline angesprochen.

75

■

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, Sitz in Berlin. Die BaFin wurde am 1.5.2002 durch die Zusammenfassung der Bundesaufsichtsämter für das Kreditwesen, für das Versicherungsgewerbe und für den Wertpapierhandel geschaffen. Aufgabe nach dem KWG: Aufsichtsinstitution über die Wirtschaftsunternehmen in den betroffenen Branchen. Wichtige Verlautbarungen erfolgen über sog. Rundschreiben. Für die Interne Revision sind solche Meinungsäußerungen vor allem im Bankenbereich wichtig, wo es u.a. ein Rundschreiben zu Mindestanforderungen an die Ausgestaltung von deren Internen Revision gibt. ■ Basel II Die Gesamtheit der Eigenkapitalvorschriften, die vom Baseler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden, wird unter dem Stichwort Basel II zusammengefasst. Kreditinstitute wie Finanzdienstleister müssen die Regeln gemäß EU-Richtlinien seit dem 1. Januar 2007 in den Mitgliedsstaaten der Europäischen Union anwenden. Mit dem Kreditwesengesetz, den „Mindestanforderungen an das Risikomanagement“ (MaRisk), sowie mit der Solvabilitätsordnung (SolvV) erfolgte die Umsetzung in deutsches Recht. Ziel von Basel II ist die Sicherung einer angemessenen Eigenkapitalausstattung von Banken und Finanzinstituten sowie die Etablierung einheitlicher Wettbewerbsbedingungen für die Kreditvergabe und den Kredithandel. Basel II beruht auf drei sich gegenseitig ergänzenden Säulen: 1.) Mindesteigenkapitalanforderungen, 2.) Bankaufsichtlicher Überprüfungsprozess und 3.) Erweiterte Offenlegung.

76

77

■

Certified Internal Auditor (CIA) Mit dieser Zusatzqualifikation, die von den im internationalen → Institute of Internal Auditors (IIA) organisierten nationalen Verbänden für die Interne Revision angeboten wird, wird der Versuch unternommen, das Berufsbild des Revisors zu standardisieren. Um die Bezeichnung Certified Internal Auditor erwerben zu können, muss der Bewerber zunächst vorgegebene Ausbildungs- und Erfahrungsvoraussetzungen erfüllen. Darüber hinaus müssen positive Referenzen bezüglich seiner persönlichen Zuverlässigkeit vorliegen. Damit ist die Zulassungsvoraussetzung für die Teilnahme eines weltweit angebotenen, vierteiligen Examens erfüllt. Nach bestandenem Examen ist der CIA verpflichtet, sich an einen gemeinsamen Ethikkodex zu halten sowie regelmäßig an Fortbildungsmaßnahmen teilzunehmen. Die Zusatzqualifikation CIA wird heute zunehmend zur Einstellungsvoraussetzung für Revisoren. 41

78

1

1 1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

■

79

CFE Certified Fraud Examiner (CFE) ist eine Zusatzqualifikation, die durch die Association of Certified Fraud Examiners durchgeführt wird. Die ACFE hat weltweit 39.000 Mitglieder und verfolgt das Ziel, global Ausbildungs- und Trainingsmöglichkeiten für die Bekämpfung von → Fraud bereitzustellen. Um ein CFE zu werden, muss neben einer Mitgliedschaft in der ACFE und bestimmten Ausbildungsvoraussetzungen insbesondere gewährleistet sein, dass der Kandidat von hoher moralischer Integrität ist („Be of high moral character“).

■

80

Checkliste Auch als Prüfungsfragebögen bezeichnet, dienen sie bei Routine- und Standardprüfungen einer Rationalisierung des Prüfungsablaufs. Checklisten sollten praktische Hilfestellung leisten und konkrete Prüfungsanweisungen geben. Die Abarbeitung von Checklisten dokumentiert die ordnungsgemäße Durchführung der Prüfung. Allerdings ersparen es auch Checklisten dem Revisor nicht, sich intensiv mit dem Prüfungsobjekt auseinanderzusetzen.

■

81

CISA Abkürzung für Certified Information Systems Auditor (CISA). Seit 1978 angebotenes Berufsexamen der → ISACA für → IT-Revisoren und IT-Sicherheitskräfte. Kann als weltweit führender Standard betrachtet werden.

■

82

COBIT Abkürzung für Control Objectives for Information and related Technology. COBIT ist das international anerkannte Rahmenwerk zur IT-Governance. Das ursprünglich im Jahr 1993 von der → Information Systems Audit and Control Association (ISACA) entwickelte Framework wird seit 2000 durch das IT-Governance Institute fortentwickelt. COBIT lehnt sich stark an → COSO an, um die Integration der IT-Governance in die Gesamtheit der Corporate Governance zu gewährleisten. Für die IT-Revision gewinnt COBIT aufgrund der zunehmenden Verbreitung immer mehr an Bedeutung.

■

83

Code of Conduct Englisches Wort für → Verhaltenskodex

■

84

Compliance Die Gesamtheit sämtlicher Maßnahmen, die zur Einhaltung von Gesetzen und Richtlinien, aber auch freiwilliger unternehmensinterner Verhaltenskodizes durch ein Unternehmen und seine Organisationsmitglieder führt, wird unter dem Begriff Compliance zusammengefasst. Die Sicherstellung der Compliance wird im Regelfall durch entsprechende organisatorische Maßnahmen unterstützt. Dazu zählen insbesondere die Einrichtung einer Compliance-Abteilung und die Etablierung eines Compliance-Officers. Eine funktionierende Compliance Organisation ist als ein bedeutendes Element der Corporate Governance anzusehen.

■

85

Control- and Risk Self-Assessment (CSA) Allgemein eine intern gesteuerte Sammlung und Auswertung von Werten. Bei einem CSA füllen eine oder mehrere befragte Einheiten Fragebögen aus, die dann ausgewertet werden können. Diese Befragung kann den Einheiten helfen, sich ihrer Position, Stärken oder Risiken bewusst zu werden. Im Kontext der Internen Revision dient das CSA der Analyse, Bewertung und Verbesserung des → Internen Kontrollsystems unter der Leitung der Revision mit aktiver Beteiligung der operativen Funktionen des Unternehmens. Durch die Übertragung revisionsspezifischer Prozesse und

42

C.

1

Die Position der Internen Revision im Unternehmen

Know-how auf die Fachbereiche wird die Effizienz der Überwachungsfunktion erhöht. Ein CSA erlaubt es, die Revisionsarbeit effizienter zu gestalten, kann sie aber in keinem Fall ersetzen.

1

■

Controlling Unternehmensabteilung, die die Unternehmensführung systematisch mit den erforderlichen Instrumenten und Informationen zur Planung, Überwachung und Steuerung des laufenden Geschäfts – auch mit Blick auf längerfristige und grundlegende Entscheidungen (strategisches Controlling) – versorgen soll. Das Controlling ist, im Gegensatz zur Internen Revision, in die laufenden Geschäftsprozesse eingebunden.

86

■

Corporate Governance Der Begriff bedeutet ganz allgemein soviel wie Führungsgrundsätze und die Art und Weise, wie diese ihren konkreten rechtlichen und faktischen Niederschlag bei Leitung und Überwachung eines Unternehmens gefunden haben. Der somit neutral zu verstehende Begriff wird oft in dem Sinne einer „guten“ Corporate Governance gebraucht und verstanden. Durch international und national anerkannte Standards soll nämlich eine gute und verantwortungsvolle Unternehmensführung mit einem entsprechenden Qualitätsniveau bei den Unternehmensleitungen und für deren Überwachung herbeigeführt werden. In Deutschland umgesetzt werden soll dies durch den → Deutschen Corporate Governance Kodex (DCGK), einem von einer Wirtschaftskommission im Auftrag der Bundesregierung erstellten Regelwerk, das die Unternehmen zur entsprechenden Selbstverpflichtung anhalten soll.

87

■

COSO Abkürzung für Committee of Sponsoring Organizations of the Treadway Commission. Es handelt sich um eine US-amerikanische Organisation, die auf privater Ebene betrieben wird. Sie hat sich zum Ziel gesetzt, die Qualität der Finanzberichterstattung u.a. durch interne Kontrollen zu erhöhen. Wegweisend ist die Veröffentlichung eines Berichts der COSO aus 1992. Dessen Ziel war es, den Begriff des → Internen Kontrollsystems (IKS) einer einheitlichen Definition zuzuführen und einen einheitlichen Standard für Überwachungssysteme in Unternehmen zu schaffen, also einem Kontrollkonzept für das Management (sog. COSO I –Internal Control Integrated Framework). In Fortentwicklung dessen wurde mittlerweile COSO II – Enterprise Risk Mangement Framework geschaffen, der die Belange eines im Unternehmen abteilungsübergreifenden Risikomanagementsystems betrifft.

88

■

DCGK → siehe Corporate Governance ■

Deutscher Corporate Governance Kodex → siehe Corporate Governance ■

Dolose Handlung In der Fachsprache von Wirtschaftsprüfung und Interner Revision umfasst der Begriff Bilanzmanipulationen, Untreue, Unterschlagung, Diebstahl, Betrug und ähnliche Tatbestände, die zum Schaden des Unternehmens absichtlich durchgeführt werden. Unternehmensleitung und Abschlussprüfer werden heute durch neue oder durch erweiterte Gesetze und Richtlinien zunehmend aufgefordert, verstärkt Maßnahmen zu Aufdeckung und zur Prävention von dolosen Handlungen vorzunehmen. Zu diesen Gesetzen und Regelungen zählen etwa → das KonTraG, das TransPuG, → der DCGK, → der Sarbanes-Oxley Act sowie die Richtlinienwerke SAS 99 „Conside43

89

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

ration of Fraud in a Financial Statement Audit“ vom Oktober 2002, IDW PS 210 „Zur Aufdeckung von Unregelmäßigkeiten im Rahmen der Abschlussprüfung“ vom Mai 2003 und ISA 240 „The Auditor’s Responsibility to Consider Fraud in an Audit of Financial Statements“ vom Februar 2004. Ziel sämtlicher Maßnahmen ist es, das Vorkommen doloser Handlungen zu verringern, indem das Entdeckungsrisiko für den Täter erhöht wird. Vor diesem Hintergrund werden insbesondere in Großunternehmen zunehmend auch so genannte Anti-Fraud-Management-Systeme installiert, die von den Wirtschaftsprüfungsgesellschaften angeboten werden.

1

■

90

91

92

ECIIA Abkürzung für European Confederation of Institutes of Internal Auditing. Das ECIIA ist ein Zusammenschluss nationaler Revisionsinstitute, die in den Ländern des Großraums Europa beheimatet sind. Der europäische Berufsverband der Internen Revision wurde 1982 gegründet und hat seinen Sitz in Brüssel (www.eciia.org). ■ ERP-System Abkürzung für Enterprise Resource Planning. ERP-Systeme sollen alle Geschäftsprozesse im Unternehmen abbilden. Dabei wird auf eine integrative Betrachtung aller Ressourcen gezielt. ■ Externe Revision Bei der externen Revision handelt es sich um ein vom Vorstand oder vom Aufsichtsrat bestelltes externes Prüfungsorgan (Wirtschaftsprüfer, Steuer-/Unternehmensberater, auch Rechtsanwalt), das insbesondere in gesetzlich vorgeschriebenen Fällen (z.B. Jahresabschluss) mit dem Ziel prüft, Aktionärs- und/oder Gläubigerinteressen zu schützen. → siehe auch Abschlussprüfung. ■

93

Financial Audit Der klassischen Unterteilung der → Revisionstypen folgend sind Financial Audits Prüfungen im Rechnungswesen. Die Untersuchung des Rechnungswesens erfolgt insbesondere hinsichtlich der ordnungsgemäßen Anwendung von Rechnungslegungsgrundsätzen, z.B. nach dem Handelsgesetzbuch oder nach steuerlichen Gesetzen. Dementsprechend versteht man unter Financial Audits vergangenheitsorientierte Prüfungen, die die Aussagefähigkeit, Verlässlichkeit und Ordnungsmäßigkeit der Aufzeichnungen und Vorgänge des Finanz- und Rechnungswesens beurteilen und bewerten sollen. Dies umfasst ganz wesentlich auch eine qualifizierte Beurteilung der Funktionsfähigkeit des → Internen Kontrollsystems. ■

94

Follow-up-Prüfung Ist eine mögliche Alternative der Maßnahmenüberwachung im Rahmen des Revisionsprozesses. Entscheidend für die Durchführung von gesonderten Follow-up-Prüfungen ist die Bedeutung der Revisionsergebnisse sowie die potentiellen Risiken einer Nicht-Beachtung von Empfehlungen. Aufwand und Nutzen von Follow-up-Prüfungen müssen in einem akzeptablen Verhältnis stehen. ■

Fraud Action → siehe Dolose Handlung ■

95

Frühwarnsystem Dient sowohl der operativen als auch der strategischen Risikoerkennung. Die Frühaufklärungsansätze werden wie folgt typologisiert: Die operative Frühwarnung basiert auf Kennzahlen, die betriebswirtschaftliche Sachverhalte aufzeigen und Gegenstand der Bilanzanalyse sind (z.B. das Du-Pont-System, das ausgehend vom Return on Investment als Spitzenzahl eine systematische 44

C.

1

Die Position der Internen Revision im Unternehmen

Analyse der Haupteinflussfaktoren des Unternehmensergebnisses erlaubt). Der Frühwarnung schließt sich die zweite Phase – die Früherkennung – an. Der Ifo-Konjunkturtest stellt ein Beispiel für die indikatororientierte Früherkennung dar. Die erfolgspotentialorientierte Frühaufklärung dient dem Krisenmanagement. Mit einem „strategischen Radar“ sollen Informationen, die sich in Form schwacher Signale ankündigen (z.B. Medien, Rechtsprechung), aufgenommen werden. Solche Informationen dienen der Szenarioanalyse und der Ermittlung von Störgrößen. Prinzipiell sollten im Unternehmen alle drei Generationen von Frühaufklärungsansätzen genutzt werden. Die Effizienz von Frühwarnsystemen hängt von der Filterung frühwarnrelevanter Informationen und deren Weiterleitung innerhalb der Unternehmenshierarchie ab.

1

■

Funktionstrennung Eine angemessene (i.S. wirtschaftlich zumutbare) Funktionstrennung (separation/segregation of duties) dient als vorbeugende Kontrolle den Unternehmensinteressen. Ziel ist es, die Anhäufung von Kompetenzen zu vermeiden, welche zusammen eine Gefährdung des jeweils untersuchten Prüfungsgegenstandes bedeuten. In der Funktionstrennung kommt der Grundsatz der unvereinbaren Funktionen und Aufgaben bzw. der Grundsatz der Unterteilung der Arbeitsabläufe zum Ausdruck. Ein und dieselbe Person oder Stellengruppe sollte grundsätzlich nie alle Phasen eines Geschäftsvorfalls alleine durchführen und kontrollieren können, ohne dass eine andere Person in den Geschäftsvorfall eingreift. Der Grundsatz der Funktionstrennung ist die wichtigste Voraussetzung für die Wirksamkeit der organisatorischen Sicherungsmaßnahmen. Wird die Funktionstrennung nicht realisiert, muss ein Äquivalent an ihre Stelle treten (z.B. stichprobenweise nach gelagerte Kontrollen).

96

■

IAS → siehe IFRS

■ IDW Abkürzung für Institut der Wirtschaftsprüfer in Deutschland e.V. Das IDW vereint die Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften Deutschlands auf freiwilliger Basis. Das IDW ist ein eingetragener Verein, dessen Zweck gemäß Satzung nicht auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist. Der Sitz des IDW ist in Düsseldorf. Aufgaben des IDW sind u.a. die Interessenvertretung für den Wirtschaftsprüferberuf auf nationaler und internationaler Ebene, Facharbeit zur Förderung der Tätigkeitsbereiche des Wirtschaftsprüfers und die Ausbildung des beruflichen Nachwuchses und Fortbildung der Wirtschaftsprüfer. Mit Stand vom 1. Juni 2006 hatte das IDW 12.647 ordentliche Mitglieder.

97

■

IFRS Abkürzung für International Financial Reporting Standard(s). Die IFRS sind internationale Rechnungslegungsvorschriften. Sie umfassen die Standards des International Accounting Standards Board (IASB), die International Accounting Standards (IAS) des International Accounting Standards Committee sowie die Interpretationen des International Financial Reporting Interpretations Committee (IFRIC) bzw. des ehemaligen Standing Interpretations Committee (SIC). Abschlüsse nach IFRS dienen primär der Information über die Vermögens-, Finanz- und Ertragslage des Unternehmen. Nach deutschem Recht dient der klassische HGB-Abschluss vorrangig dem Gläubigerschutz. Die IFRS sollen vor allem die Vergleichbarkeit der Abschlüsse kapitalmarktorientierter Unternehmen weltweit erleichtern und den Schutz der Anleger verbessern.

45

98

1 1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

■

99

IIA Abkürzung für Institute of Internal Auditors. Das IIA Inc. (www.theiia.org) stellt die größte organisierte Vereinigung des Berufsstands der Internen Revision dar. Es hat seinen Sitz in Altamonte Springs, Florida und es wurde 1941 gegründet. Das Institut dient weltweit als Quelle und Hüter des Berufsstands bei der Klärung wichtiger Fragen zur Internen Revision.

■

100

IIR Abkürzung für das Deutsche Institut für Interne Revision e.V. (www.iir-ev.de). Es ist der deutsche Berufsverband für die Interne Revision und wurde im Jahr 1958 mit Sitz in Frankfurt a.M. gegründet. Als gemeinnütziger Verein widmet es sich der wissenschaftlichen und praktischen Förderung der Internen Revision.

■

101

IIR Austria Das Institut für Interne Revision – IIA Austria (www.internerevision.at) ist die Interessensvertretung des Berufsstandes der Internen Revisoren in Österreich. Ziel des Verbandes ist die Förderung und Entwicklung der Internen Revision in Österreich durch Aus- und Weiterbildung, Wissenstransfer und Arbeitskreise. Sitz des Instituts ist Wien. ■

IKS → siehe Internes Kontrollsystem

■

102

103 104

105

Interne Revision „Die Interne Revision erbringt unabhängige und objektive Prüfungs („Assurance“-) und Beratungs(„Consulting“-)dienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und verbessern hilft.“ So lautet die Definition der Internen Revision, wie sie das IIR – als Übersetzung der Begriffsbestimmung des IIA – im Revisionsstandard Nr. 1 formuliert. Das Original des IIA lautet: „Internal Auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance process.“ Interne Revision in institutioneller Hinsicht ist demnach eine Abteilung, in der unabhängige, objektive Prüfungs- und Beratungsleistungen erbracht werden, die darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Die Interne Revision unterstützt die Unternehmen bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft. ■

106

Internes Kontrollsystem Das Interne Kontrollsystem wird vom → IDW definiert als „Gesamtheit der von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen…, die auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung“ gerichtet ist. Die Aufgaben des Internen Kontrollsystems umfassen die Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, die Ordnungsmäßigkeit und Verlässlichkeit der internen

46

C.

1

Die Position der Internen Revision im Unternehmen

und externen Rechnungslegung sowie die Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.

1

■

Internes Überwachungssystem Das interne Überwachungssystem ist wesentlicher Bestandteil des → internen Kontrollsystems und beinhaltet prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) und prozessunabhängige Überwachungsmaßnahmen, die vor allem von der Internen Revision durchgeführt werden.

107

■

ISACA Abkürzung für Information Systems Audit and Control Association. ISACA ist ein weltweiter, nicht kommerzieller Berufsverband mit mehr als 65.000 praxisorientierten Information Systems (IS) Fachleuten aus mehr als 140 Ländern, deren berufliches Anliegen die Prüfung, die Überwachung und die Sicherheit von Informationssystemen ist. Dies wird durch Weiterbildung, das Ablegen eines Berufsexamens (→ CISA) und die Vorgabe fachlicher Mindestanforderungen erreicht. Das Anliegen der angeschlossenen, ebenso nicht kommerziellen Stiftung ist die permanente Erweiterung des Fachwissens des Berufstandes durch Forschung. ■ IT Revision Die Revision der Informationstechnologie ist gekennzeichnet durch eine zunehmende Regulierung, organisatorischen Wandel und einen engen Markt für IT-Fachkräfte. Die IT Revision bezieht sich bei ihren Prüfungen u.a. auf die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), die Stellungnahme des Fachausschuss für Informationstechnologie (FAIT) zu den Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (ERS FAIT 1) sowie dazu ergänzend der Prüfungsstandard EPS 330 Abschlussprüfung bei Einsatz von Informationstechnologie des Instituts für Wirtschaftsprüfer (IDW). Daneben sind vor allem die → COBIT zu nennen.

108

109

■

Management Audit Bezeichnet im Personalmanagement ein in der Regel von unternehmensexternen Beratungsfirmen durchgeführtes Verfahren zur Evaluation von Managern und Führungskräften, wird aber klassischerweise auch heute noch als dritter Revisionstyp neben Financial und Operational Audit angesehen.

110

■

Managerial Audit Das Managerial Audit durch die Interne Revision zielt darauf ab, die Zweckmäßigkeit von Entscheidungen der Unternehmensleitung zu prüfen. Mithin stehen im Vordergrund der Prüfung: die Ordnungsmäßigkeit der vorhandenen Organisation, die Eignung der eingesetzten Planungs-, Steuerungs- und Kontrollinstrumente und die Beurteilung der Frage, ob das Management die Instrument professionell eingesetzt hat. D.h., es geht um Systeme und ihre Handhabung.

111

■

MaRisk Abkürzung für Mindestanforderungen für die Ausgestaltung des Risikomanagements der Kreditinstitute. Dieses Regelwerk des BaFin statuiert Standards und Anforderungen für die Aufbau- und Ablauforganisation und die Prüfung des Risikomanagementsystems in der Finanz- und Kreditbranche.

112

■

Maßnahmenmonitoring Neben dem Follow-up die zweite Alternative des revisorischen Nachhalteprozesses. Das Maßnahmenmonitoring wird i.d.R. dann zur Anwendung gelangen, wenn die Prüfungsfeststellungen 47

113

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

in einem Bericht es nicht erforderlich erscheinen lassen, dass durch eine gesonderte Follow-upPrüfung die Umsetzung der Empfehlungen aus dem Maßnahmenkatalog sicherzustellen ist. Dies wird dann der Fall sein, wenn das detektierte Risiko nicht als gravierend angesehen und die Prüfungsfeststellungen von eher untergeordneter Bedeutung sind. Die Revisionsleitung hat den Prozess des Maßnahmenmonitoring zu installieren.

1

■

114

KonTraG Abkürzung für das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, einem sog. Artikelgesetz (vom 27.4.1998). Es erbrachte wesentliche Änderungen, u.a. für das AktG und das HGB, insbesondere führte es zu einer Neuschaffung des § 91 Abs. 2 AktG, der große Auswirkungen für die Interne Revision mit sich bringt. ■

115

116

Korruption Der Begriff wird abgeleitet aus dem lateinischen corrumpere, was soviel wie „verleiten, bestechen, verderben, vernichten“ bedeutet. Sozialwissenschaftlich geht es um Missbrauch von öffentlicher Macht zu privatem Nutzen. In der Ökonomie wird Korruption als den Tausch zwischen dem Vorteilsgeber und dem Vorteilsnehmer unter Verletzung von Gesetzen und Verhaltensregeln verstanden. Rechtlichen Niederschlag findet die Korruption in den §§ 331 bis 336 StGB (Bestechung und Bestechlichkeit im öffentlichen Bereich) und in den §§ 299 f. StGB (Bestechung im geschäftlichen Verkehr). ■ Operational Audit Operational Audits sind prozessorientierte Prüfungen bestimmter Kernprozesse wie Einkauf, Vertrieb, Personal. Ziel ist die Verbesserung der Prozesse durch Verringerung von Kosten oder der Verminderung von Risiken durch dolose Handlungen (Wirtschaftskriminalität). Operational Audits sind im Gegensatz zu Financial Audits gegenwarts- und zukunftsorientiert. ■

117

Outsourcing Outsourcing der Internen Revision, also die Erledigung der Revisionstätigkeit durch Dritte (z.B. Wirtschaftsprüfer), ist ein immer wieder diskutiertes Thema. Rechtlich ist ein solcher Schritt grundsätzlich möglich. Über die betriebswirtschaftliche Sinnhaftigkeit und zum Für und Wider können beide Seiten mit guten Argumenten aufwarten. Pauschale Aussagen, die alle Unternehmen über einen Leisten spannen, lassen sich nicht treffen. Differenzierte, einzelfallbezogene Lösungen sind angesagt. Z.B. kann es in einem bestimmten Unternehmen opportun sein, eine eigene Interne Revision für Kernaufgaben einzusetzen, aber für arbeitsaufwändige oder spezifische Problemstellungen Know-how von außen einzukaufen. ■

118

PCAOB Abkürzung für Public Company Accounting Oversight Board. Es handelt sich um ein Aufsichtsorgan zur Kontrolle der Wirtschaftsprüfungsgesellschaften in den USA, das im Rahmen der Umsetzung des → Sarbanes-Oxley-Acts neu geschaffen wurde. Das PCAOB ist ein fünfköpfiges, privatrechtlich organisiertes Organ, welches selber durch die staatliche US-Wertpapieraufsicht „Securities and Exchange Commission“ → (SEC) überwacht wird. Das Aufgabenspektrum des PCAOB erstreckt sich auf investigative und disziplinarische Befugnisse. Seine Tätigkeiten umfassen den Bereich des sog. „Standard Setting“ (Verabschieden von Ethik-, Unabhängigkeits- und Prüfungsstandards) sowie Qualitätskontrollstandards. Weiterhin ist dem PCAOB das Recht auf Durchführung von Qualitätskontrollen innerhalb der registrierten Prüfungsgesellschaften eingeräumt. Nach einer Registrierung beim PCAOB unterliegen die betroffenen deutschen Wirt48

C.

1

Die Position der Internen Revision im Unternehmen

schaftsprüfungsgesellschaften der direkten Aufsicht des Gremiums und somit sämtlichen Bestimmungen des → SOA.

1

■

Peer Review Peer Review (dt. Begutachtung) ist ein Verfahren zur Beurteilung von wissenschaftlichen Arbeiten im Wissenschaftsbetrieb oder von Projekten in Unternehmen durch unabhängige Gutachter (so genannte „Peers“) mit dem Ziel der Qualitätssicherung. Innerhalb der Internen Revision erfolgt ein Teil der Qualitätssicherung durch die gesetzliche Abschlussprüfung. Für eine nicht durch Gesetze und aufsichtsrechtliche Vorschriften abgedeckte externe Qualitätsprüfung besteht u.a. die Möglichkeit, die Prüfung durch die Revision eines anderen Unternehmens, durch externe Institutionen oder externe Dienstleister durchführen zu lassen. ■ Prüfung Überwachungsvorgang eines Systems, gesteuert von außen; der Begriff ist charakteristischerweise auf die Tätigkeit der Internen Revision bezogen und kennzeichnet – unter Hinzunahme des Beratungselements – das Betätigungsfeld der Internen Revision nach modernem Verständnis. Durch den Blickwinkel der Internen Revision „von außen“ unterscheidet sich diese Tätigkeit insoweit von der Aktivität des Controlling, welches prozessabhängig überwacht. Hinsichtlich der Methodik der im Einzelfall durchzuführenden Prüfung ergeben sich etliche weitere Fachbegriffe, wie etwa formelle/ materielle Prüfung, progressive/retrograde Prüfung oder lückenlose/stichprobenweise Prüfung.58

119

120

■

Prüfungsausschuss → Audit Committee

■

Prüfungsplanung, risikoorientierte Nach dem IIR-Standard Nr. 3 „Qualitätsmanagement“ sind als Grundlagen für die Prüfungsprogrammplanung gesetzliche Anforderungen, systematische Analysen aller Geschäftsprozesse unter besonderer Berücksichtigung von Risiken und Chancen, besondere Anforderungen der Geschäftsleitung sowie Vorschläge von innerhalb und außerhalb der Internen Revision zu berücksichtigen. Die IIA-Standards verlangen vom Leiter der Internen Revision, die Vorlage einer risikoorientierten Prüfungsplanung zur Priorisierung der Aktivitäten seiner Abteilung. Im IIAPerformance Standard 2010 heißt es: „Der Leiter der Revision legt in der Planung die Prioritäten nach Risikokriterien und entsprechend den Unternehmenszielen fest.“ Mit der Prüfungsplanung wird generell das Ziel verfolgt, ausgehend von den zu identifizierenden Prüfungsobjekten unter Berücksichtigung der personellen, zeitlichen und sachlichen Ressourcen ein realisierbares Revisionsprogramm zu entwickeln.

121

■

Revisionsbericht Dient insbesondere der schriftlichen Darstellung der Prüfungsergebnisse und ist damit die „Visitenkarte“ der Revision. Empfänger des Prüfungsberichtes ist immer die Unternehmensleitung, die möglichst zeitnah, kurz und sachlich informiert werden sollte. Bestandteile eines Prüfungsberichtes sollten neben einer zusammenfassenden Bewertung immer der Prüfungsauftrag, die Prüfungsergebnisse im Einzelnen und die Prüfungsempfehlungen sein.

122

■

Revisionsgeschäftsordnung Nicht zwingend gefordert, kann mit ihr der Inhalt der Arbeit der Internen Revision kommuniziert werden. Innerhalb einer Geschäftsordnung sollten die Aufgaben, Kompetenzen und Pflichten be58 Vgl. eingehender mit weiteren Unterbegriffen Horváth, P., Controlling, 10. Aufl., München 2006, S. 760 f.

49

123

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

schrieben werden. Des Weiteren sollte die Stellung der Internen Revision im Unternehmen in der Geschäftsordnung enthalten sein. Die Geschäftsordnung richtet sich an die Mitarbeiter der Internen Revision, an die Geschäftsleitung, an die Mitarbeiter und an das Management zu prüfender Einheiten sowie etwa an die Wirtschaftsprüfer.

1

■

124

125

Revisionshandbuch Im Revisionshandbuch werden Aufbau- und Ablauforganisation der Internen Revision detailliert beschrieben. Die Festlegungen sind für alle Mitarbeiter der Internen Revision verbindlich. Das Revisionshandbuch ist die Voraussetzung für ein einheitliches, standardisiertes Revisionsverständnis. Der Leiter der Internen Revision ist verantwortlich für die Inhalte des Revisionshandbuchs, für dessen Akzeptanz bei den Mitarbeitern und für die Einhaltung der dokumentierten Standards. ■ Revisionskennzahlen Die Frage, die sich besonders in großen Revisionsabteilungen aufdrängt, ist die nach dem Steuerungsmechanismus zur optimalen Gestaltung der Revisionsdienstleistungen. Eine Antwort ist die Einführung von Revisionskennzahlen, etwa durch das Instrument einer Balanced Scorecard (BSC). Mit der Einführung von Revisionskennzahlen wird das Ziel verfolgt, sich regelmäßig wiederholende Prozesse einer externen Beurteilung zugänglich zu machen und eine effiziente Steuerung und Qualitätssicherung in Gang zu setzen. Inwieweit sich der Aufwand für die Revision lohnt, Kennzahlen zu erheben, hängt insbesondere von der Größe der Revisionsabteilung ab. Daneben sind Fragen der Methodik zu klären sowie die Kennzahlen generell zu definieren. Insbesondere letzteres erweist sich bei der Tätigkeit der Internen Revision als schwierig. Beispiele sind Berichte je Prüfer, Arbeitstage je Bericht oder auch Ergebnisse von Kundenbefragungen. Allerdings muss bei Wertungen stets darauf geachtet werden, dass sämtliche Kennzahlen beeinflusst werden durch die besonderen Bedingungen der jeweiligen Prüfungen, die untereinander nicht vergleichbar sind. ■

Revisionsrichtlinie → Revisionsgeschäftsordnung

■

126

Revisionssoftware Vor dem Hintergrund steigender Anforderungen an die Qualität der Revisionsarbeit, komplexer werdenden Abläufen und durch Berufsstandards geforderte Qualitätsaudits, setzen Revisionsabteilungen zunehmend Revisionssoftware ein. Damit wird das Ziel verfolgt, die Prozesse innerhalb der Revision zu standardisieren. Kernstück sämtlicher Produkte ist die Abbildung der unternehmerischen Prozess- und Organisationsstruktur. Auf dieser Basis vollzieht sich die → risikoorientierte Prüfungsplanung. Zu jeder geplanten Prüfung werden alle wesentlichen Informationen bereitgestellt. Die Prüfungsdurchführung wird etwa durch frei definierbare oder standardisierte Fragenkatalogen unterstützt. Z.T. bieten die Softwareprodukte die Möglichkeit einer automatisierten Ergebnisdarstellung. Über die Archivierungsfunktion besteht die Option des Aufbaus von Wissensdatenbanken. ■

127

Revisionsstandards Die IIA-Standards, die 1978 erstmals veröffentlicht wurden, bilden das Herzstück des Regelwerks für die berufliche Praxis der Internen Revision. Das Professional Practices Framework (PPF) besteht darüber hinausgehend aus dem Ethikkodex sowie den Praktischen Ratschlägen (Practice Advisories). Das IIA-Board of Directors genehmigte im Juni 1999 eine umfassende Überarbei50

C.

1

Die Position der Internen Revision im Unternehmen

tung der Standards. Diese traten dann zum 1. Januar 2002 in Kraft. Verbindlich sind die Standards für alle Mitglieder nationaler Revisionsverbände, die Mitglied sind im → IIA. D.h., durch die Mitgliedschaft im Institut für Interne Revision, das Mitglied ist im IIA, werden die Standards zur verbindlichen Arbeitsgrundlage. Des Weiteren sind die Standards für alle → Certified Internal Auditors (CIA) maßgeblich. Neben den internationalen Revisionsstandards hat das Deutsche Institut für Interne Revision selbst drei eigene Revisionsstandards vorgelegt.

1

■

Revisionstypen/Revisionsfelder Umfragen zur Entwicklung der Internen Revision zeigen, dass sich die Tätigkeitsfelder der Internen Revision heute auf zukunftsorientierte Prüfung und Beratung verlagern. Die Standards for the Professional Practice of Internal Auditing legen den Arbeitsumfang im Performance Standard 2100 Nature of work fest. Danach heißt es: „The internal audit activity evaluates and contributes to the improvement of risk management, control and governance systems“. Die Interne Revision führt als Servicefunktion des Managements zur Unternehmensüberwachung in allen Feldern und Funktionen eines Unternehmens Prüfungen auf Ordnungsmäßigkeit, Zweckmäßigkeit, Wirtschaftlichkeit durch. Klassischerweise unterteilt man die Tätigkeiten der Internen Revision in der betrieblichen Praxis in die Bereiche → Financial Audit, → Operational Audit und → Management Audit bzw. → Managerial Audit. ■ Risiko wird in der Betriebswirtschaftslehre nicht einheitlich definiert: Das spekulative Risiko bezieht sich sowohl auf die Verlustgefahr als auch auf die Erwartung von Chancen. Nach einer IIA Definition handelt es sich um „die Ungewissheit, dass ein Ereignis eintritt, das sich auf die Zielerreichung auswirken könnte.“ Es „wird im Hinblick auf seine Auswirkungen und seine Eintrittswahrscheinlichkeit gemessen.“ ■ Risikomanagementsystem Ein Risikomanagementsystem definiert organisatorische, finanzielle, methodische und technische Aspekte für ein wirksames und wirtschaftliches Risikomanagement im Unternehmen. Seit In-Kraft-Treten des → KonTraG wird das Vorhalten eines Risikomanagementsystems als obligatorisch angesehen, obgleich der Begriff im Gesetzestext nicht auftaucht. Das Risikomanagement umfasst die Festlegung der Risikostrategie, die Identifikation der Risiken, die Bewertung und Messung von Risiken, die Festlegung von Bewältigungsmaßnahmen, die Steuerung und das Monitoring von Risiken. Vorteile eines funktionierenden Risikomanagements sind neben einer besseren Fundierung von unternehmerischen Entscheidungen vor allem eine langfristig stabile Balance zwischen Chancen und Risiken. Im praktischen, betrieblichen Risikomanagement ist eines der Hauptprobleme die realistische Bewertung von Risiken, die fast immer auf subjektiven Annahmen beruht, aber auch die Festlegung von sinnvollen Frühwarnindikatoren zur Überwachung von identifizierten Risikopotentialen.

128

129

130

■

Sarbanes-Oxley-Act US-amerikanisches Gesetz vom Juli 2002, das die Stärkung der Corporate Governance Systeme in Unternehmen und in das Vertrauen der Kapitalmärkte in Unternehmen und ihre Wirtschaftsprüfer bewirken soll.

51

131

1 1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

■

132

SEC Abkürzung für Securities and Exchange Commission. Es handelt sich um die Bundesaufsicht im zweistufigen System der Börsen- und Wertpapieraufsicht in den USA. Die Behörde spielt insbesondere bei der Anwendung des Sarbanes-Oxley-Acts eine wichtige Rolle.

■

SOA → siehe Sarbanes-Oxley-Act

■

SOX → siehe Sarbanes-Oxley-Act

■

133

Stichprobe Eine bestimmte Auswahlmethode zur Selektion der Elemente (n) aus der Gesamtheit aller Elemente (N) ergibt n als Stichprobe. Die Stichprobe n wird dann überprüft und aus dem Ergebnis können zulässigerweise Aussagen mit Bezug auf die Situation der Gesamtheit getroffen werden. Beispiel: Aus den Buchungsvorgängen eines Jahres nimmt die Interne Revision eine Reihe von Vorgängen n heraus, die auf ihre Ordnungsmäßigkeit überprüft werden. Eine „Stichprobe“ liegt nur dann vor, wenn n unter Einhaltung ganz bestimmter Regeln gefunden wird. Andernfalls kann nicht von einer Stichprobe gesprochen werden, sondern von einer willkürlichen Auswahl. ■

134

SVIR Abkürzung für den Schweizerischen Verband für Interne Revision, dem eidgenössischen Berufsverband der Internen Revision. Er hat seinen Sitz in Zürich (www.svir.ch). Im SVIR sind angabegemäß die internen Revisionsabteilungen der bedeutendsten privaten, gemischtwirtschaftlichen und öffentlichen Unternehmungen sowie von Verwaltungen mit Sitz in der Schweiz und im Fürstentum Liechtenstein zusammengeschlossen. Der 1980 gegründete Verband steht auch natürlichen Personen offen, die mit internen Revisionsaufgaben betreut sind.

■

135

US-GAAP Abkürzung für U.S. Generally Accepted Accounting Principles. Es handelt sich um Rechnungslegungsgrundsätze in den USA, die im Wesentlichen durch die SEC und das Financial Accounting Standards Board erlassen werden und die verbindlichen Charakter haben.

■

136

Verhaltenskodex Auch → Code of Conduct, ist eine Sammlung von gewünschten Verhaltensweisen, die in unterschiedlichsten Umgebungen und Zusammenhängen abhängig von der jeweiligen Situation angewandt werden sollen. Ein Verhaltenskodex ist eine Abmachung, bestimmten Verhaltensmustern zu folgen oder diese zu unterlassen und dafür Sorge zu tragen, dass sich niemand durch Umgehung dieser Muster einen Vorteil verschafft. In Unternehmen wird die Einhaltung eines Verhaltenskodex als verbindlich angesehen und Verstöße werden entsprechend sanktioniert. Verhaltenskodizes verfolgen regelmäßig das Ziel, Fehlverhalten wie etwa Bestechung vorzubeugen, oder kulturell gewünschtes Verhalten zu regeln. Für den Berufsstand der Revisoren existiert ein von Seiten des → IIA vorgeschriebener Code of Ethics, der für Prüfer mit → CIA-Examen verbindlich ist und das Verhalten des Revisors regelt.

■

Wirtschaftsprüfer → Abschlussprüfung

52

C.

1

Die Position der Internen Revision im Unternehmen

II.

Aufgaben, Rechte, Pflichten, organisatorische Eingliederung

1.

Kurzabriss zur Historie der Revision

1

Wie schon eingangs des Buchs anhand der aktuellen wirtschaftspolitischen Entwicklung dargestellt, erbringen Veränderungen der gesamtwirtschaftlichen Situation auch Anpassungsbedürfnisse für die Unternehmen. Damit einher gehen auch Veränderungen für Unternehmensteile, so auch für die Interne Revision und für deren Arbeit. Auch historisch gesehen sind es stets wirtschaftliche Veränderungen gewesen, die entsprechende Beeinflussungen für die Entwicklung der Internen Revision erbracht haben. Im Laufe der Geschichte war es im Übrigen stets die Entwicklung des staatlichen Revisionswesens, die als ein Impulsgeber für die Entwicklung der Internen Revision in der privaten Wirtschaft fungierte. Erste Spuren von Revisionstätigkeit finden sich bereits in der Antike.59 Im alten Rom zeigten sich Adaptionen des römischen Rechnungswesens an die Fortentwicklung des römischen Handels. Auch im alten Babylon und in Ägypten sind auf vielen Buchhaltungsdokumenten Zeichen in Form von Kreisen, Punkten und Strichen zu finden, die von Geschichtsforschern als Revisionsvermerke gedeutet werden. Manche kryptische Anmerkung der Internen Revision, die in ihren heutigen Berichten auftaucht und die keiner so recht versteht, mag von späterer Geschichtsforschung ebenfalls als ein entsprechender Beleg und vielleicht als konsequente Fortsetzung dieser antiken Anfänge gedeutet werden. Insbesondere die Erweiterung der Wirkungskreise von Handel und Industrie im Mittelalter mit einhergehendem Wachstum der Organisationsstrukturen und zunehmender Dezentralisierung waren im weiteren Verlauf der Geschichte Schrittmacher für die Entwicklung der Internen Revision. Denn dadurch und durch die Trennung von Kapitalgebern und den Ausführenden entstand das Bedürfnis nach organisationsinterner Kontrolle fast zwangsläufig. Vor allem die Institutionalisierung von Rechnungshöfen im Mittelalter fungierte als ein Impulsgeber für die Entwicklung der Internen Revision in der privaten Wirtschaft. So etwa bildeten sich im ausgehenden Mittelalter in oberitalienischen Städten wie Genua und Mailand zuerst Rechnungshöfe als Kontrollorgane der Finanzverwaltung. Mit Einführung der doppelten Buchführung im 14./15. Jahrhundert zog die Privatwirtschaft nach, denn es zeigte sich, dass eine Prüfung der Bücher von entsprechend persönlich und fachlich qualifizierten Personen durchgeführt werden musste. In Genua etwa setzte man im Jahr 1330 zur Buchprüfung sog. Visitatores ein. Im Jahr 1581 wurde in Venedig ein Berufsverband für Revisoren gegründet. Bereits im Jahr 1494 hatte Luca Pacioli in seinem Werk „Summa de Arithmetica“ das Prinzip der doppelten Buchhaltung beschrieben. Vor diesem Gesamthintergrund wird Italien daher als das Geburtsland des Revisionswesens angesehen. Nachdem so im Mittelalter und in der Neuzeit ein erster Durchbruch geschafft worden war, wurden sodann weitere Quantensprünge für die Interne und die Externe Revision vollzogen. Insbesondere der weltweite Aufschwung der Handelshäuser (z.B. das der Fugger) mit der Eröffnung auswärtiger Stützpunkte brachte eine weitere räumliche Trennung, die auch dort eine Kontrolle der Geschäftsabläufe notwendig machte. Dies um so mehr, weil verstärkt externe Geldgeber (besonders Banken) eine Rolle spielten und so auch die Trennung von Kapital und Leitung innerhalb der Unternehmen eine neue Bedeutung erhielt. Das beförderte insbesondere die Entwicklung der 59 Vgl. dazu und zu dem Folgenden: Herbert Brönner, Geschichte der Revision, Sp. 663 ff., in: Adolf G. Coenenberg/ Klaus v. Wysocki (Hrsg.), Handwörterbuch der Revision, 2. Aufl., Stuttgart 1992.

53

137

138

139

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

externen Revision. Es läßt sich vor allem in England die Schaffung unabhängiger Institutionen zur Überprüfung der Rechnungslegung bis ins 17. Jahrhundert zurückverfolgen. So etwa waren im Directory of Edinburgh aus 1773 die Namen von sieben Bücherrevisoren verzeichnet. Im ersten separaten Verzeichnis der Bücherrevisoren von Edinburgh in 1805 waren 17 Buchprüfer gelistet. 1854 wurde ebenfalls in Edinburgh der erste Berufsverband der „Society of Accountants“ gegründet. In Deutschland entwickelte sich das Revisionswesen seit Beginn der Neuzeit etwas langsamer. Man nahm sich England zum Vorbild, 1886 etwa wurde der Verband der „Berliner Bücher-Revisoren“ gegründet. Ein ganz wichtiger Meilenstein für das deutsche Revisionswesen war die Aktiengesetzgebung vom 11.6.1870. Hier wurde zum ersten mal die Verpflichtung des Aufsichtsrats festgelegt, Bilanz, Jahresrechnung und die Gewinnverteilung zu prüfen und darüber der Generalversammlung Bericht zu erstatten. Eine weitere Aktienrechtsnovelle (vom 14.8.1884) führte das Institut einer Gründungspflichtprüfung, auszuführen durch besondere Revisoren, ein. Nikolaj Gogol, der dem Berufsstand ein literarisches Denkmal gesetzt hat, erläutert in seinen zeitgenössischen Anmerkungen zu „Der Revisor“ die Situation in Rußland. Wegen der Dezentralisierung der Finanz- und Verwaltungsaufgaben zur Zeit Peters des Großen wuchs im Zarenreich das Kontrollproblem bzgl. der Einnahmen und Ausgaben staatlicher Mittel, seit 1722 war ein Revisor im Rang eines Senators in den Gouvernements unterwegs. Ein Gesetz vom 6.12.1799 regelte dazu: „Der Revisor hat zu überprüfen, ob die Behörden effektiv arbeiten, ob genug, aber auch nicht zu viele Beamte angestellt sind, ob Korruption oder andere Missbräuche herrschen und ob die Steuern eingezogen und alle Anordnungen ausgeführt werden.“

1

2. 140

141

142

Die Interne Revision als Bestandteil des Internen Kontrollsystems

Spätestens mit den Regelungen des Sarbanes-Oxley Acts (SOA) müssen mindestens auch die an der New Yorker Börse gelisteten deutschen Großkonzerne ihr Augenmerk auf die Effektivität des Internen Kontrollsystems richten. Im Nachgang zu den skandalträchtigen Ereignissen um Enron und WorldCom hatte sich die U.S.-Regierung entschlossen, vor allem die gesetzlichen Anforderungen an die Finanzberichterstattung deutlich auszuweiten. U.a. ist danach sicherzustellen, dass die offenlegungspflichtigen Informationen ordnungsgemäß sind. Dazu wird im Regelfall ein funktionsfähiges Internes Kontrollsystem erforderlich sein. CEO, CFO und Abschlussprüfer haben gemäß Section 404 SOA zu bestätigen, dass das Interne Kontrollsystem für die Finanzberichterstattung effektiv arbeitet. Neben den Entwicklungen in den USA ist es auch in Europa und in Deutschland zu zahlreichen gesetzlichen Initiativen gekommen, die Auswirkungen auf das Interne Kontrollsystem und dessen Bewertung haben. Genannt seien an dieser Stelle das KontraG, das TransPuG sowie der Deutsche Corporate Governance Kodex. Selbst wenn man die rechtlichen Rahmenbedingungen und Entwicklungen beiseite lässt, so verbleibt für die Unternehmen dennoch das Erfordernis, sich dem Internen Kontrollsystem in einem weitaus stärkeren Ausmaß zu widmen als in früheren Jahren. Dieses Erfordernis resultiert im Wesentlichen aus der Globalisierung, dem beschleunigten Wettbewerb und dem Drang nach schlanken Organisationen mit optimierten Prozessabläufen. Diese Entwicklungen haben zur Folge, dass sich die Komplexität von Abläufen und Strukturen, mit der Unternehmen umgehen müssen, erhöht und dass die benötigte interne Transparenz schwerer zu erzielen oder gar nicht vorhanden 54

C.

1

Die Position der Internen Revision im Unternehmen

ist. Dies wiederum erschwert die Steuerung sämtlicher Einheiten und Prozesse. Um diese Herausforderungen meistern zu können, bedarf es unzweifelhaft verbesserter Interner Kontrollsysteme. Unbestreitbar haben gegenwärtig Ausführungen zum Internen Kontrollsystem Konjunktur. Allenthalben sind Ausführungen zu diesem Begriff in der Fachliteratur zu finden. Bei der Lektüre wird deutlich, dass es je nach Autor unterschiedliche Definitionen und Festlegungen gibt, mit der Folge einer entsprechenden Begriffsverwirrung. So wird mitunter das übergeordnete Interne Kontrollsystem als Risikomanagementsystem bezeichnet.60 Andere Autoren bezeichnen das übergeordnete Interne Kontrollsystem als Internes Überwachungssystem.61 Für die jeweiligen Sichtweisen gibt es sicher gute Begründungen. Die Verfasser halten gleichwohl an der eher klassischen, durch die Wirtschaftsprüfung geprägten, weit gefassten Begriffsdefinition des Internen Kontrollsystems fest. Diese wird entsprechend nachfolgend ausgeführt.62 Im Prüfungsstandard 260 des Instituts der deutschen Wirtschaftsprüfer (IDW) heißt es: „Das interne Kontrollsystem besteht aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem). Das interne Überwachungssystem beinhaltet prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) und prozessunabhängige Überwachungsmaßnahmen, die vor allem von der Internen Revision durchgeführt werden.“63 Das Interne Kontrollsystem wird vom IDW letztlich definiert als „Gesamtheit der von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen…, die auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung“64 gerichtet ist. Die Aufgaben des Internen Kontrollsystems umfassen die folgenden Kategorien: ■ Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, einschließlich Schutz des Vermögens sowie Verhinderung und Aufdeckung von Vermögensschädigungen (Operations) ■ Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung (Financial Reporting) ■ Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften (Compliance) Der Prüfungsstandard der Wirtschaftsprüfer knüpft damit an das so genannte COSO-Framework an, das nachfolgend noch näher betrachtet wird. Dem folgend, ist die Interne Revision integraler Bestandteil des Internen Kontrollsystems und vor allem verantwortlich für die prozessunabhängige Überwachung.

60 Etwa bei Freidank/Paetzmann, Bedeutung des Controlling im Rahmen der Reformbestrebungen zur Verbesserung der Corporate Governance, in: Corporate Governance und Controlling, C.-Chr. Freidank (Hrsg.), Heidelberg 2004, S. 1–23. Ähnlich bei Romeike, F.: Gesetzliche Grundlagen, Einordnung und Trends, in: Romeike, F.; Finke, R.; (Hrsg.): Erfolgsfaktor Risikomanagement: Chance für Industrie und Handel, Wiesbaden 2003. 61 Vgl. Lück, W., Lexikon der Rechnungslegung und Abschlussprüfung, 4. Aufl., München/Wien 1998, Stichwort: Internes Überwachungssystem (IÜS), S. 405–408. 62 Eine Darlegung unterschiedlicher Definitionen findet sich bei Horváth, P., Anforderungen an ein modernes Internes Kontrollsystem, in: WPg-Sonderheft 2003, S. 211–218. 63 Institut der deutschen Wirtschaftsprüfer e.V., IDW-Prüfungsstandard „Das interne Kontrollsystem im Rahmen der Abschlussprüfung“ (IDW PS 260), S. 2; IDW PS 260 wurde zwischenzeitlich ersetzt durch IDW PS 261 („Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken“). 64 Ebenda.

55

1 143

144

145

146

147 148

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Regelungsbereiche des Internen Kontrollsystems

1

Internes Kontrollsystem

Internes Steuerungssystem

Internes Überwachungssystem

Prozessunabhängige Überwachung

Frühwarnsystem

Controlling

Revision

Prozessintegrierte Überwachung

Organisatorische Sicherungen Kontrollen

Abbildung in Anlehnung an: Institut der Wirtschaftsprüfer e.V., IDW-Prüfungsstandard „Das interne Kontrollsystem im Rahmen der Abschlußprüfung (IDW PS 260)“

149

150

151

152

153

Abbildung 1-2: Regelungsbereiche des Internen Kontrollsystems Folgerichtig ist die Interne Revision auch für die Prüfung der prozessintegrierten Elemente des Internen Überwachungssystems verantwortlich sowie für die Prüfung des Internen Steuerungssystems, das aus Frühwarnsystem (Risikomanagement) und Controlling besteht. Alle Elemente des Internen Kontrollsystems sind mithin Prüfobjekte der Internen Revision. Die Leistungsfähigkeit und die Effektivität der Internen Revision selbst wiederum wird im Rahmen einer externen Revision durch die Abschlussprüfer bewertet oder durch Peer Reviews im Rahmen von Quality Assurance Reviews. Strittig ist in diesem Zusammenhang aus Sicht der Verfasser die Annahme, die Interne Revision sei eine unabhängige Institution. Sie sollte sich sicher durch eine professionelle Distanz auszeichnen und ist dazu in den meisten Fällen auch in der Lage. Doch spätestens gegenüber dem Vorstand oder der Geschäftsführung als Arbeitgeber der Internen Revision ist es mit der Unabhängigkeit wohl nicht mehr allzu günstig bestellt. Ohne Anspruch darauf, dass hier letzte Weisheiten verkündet werden, sei dennoch darüber hinausgehend auch in Frage gestellt, inwieweit die o.a. Definitionen und Festlegungen „einen wichtigen Schritt in Richtung eines echten Management Audits“ darstellen, wie es von Vertretern des Instituts für Interne Revision angenommen wird.65 (siehe hierzu unten zu den „Revisionsfeldern“) Ein Rahmenwerk für die Implementierung eines Internen Kontrollsystems gibt das „Internal Control – Integrated Framework“ des Committee of Sponsoring Organizations of the Treadway Commission (COSO) vor. Der IDW PS 260 orientiert sich daran. Im September 1992 veröffentlichte das COSO die Studie „Internal Control – Integrated Framework“ (COSO-Report). Dieser erste COSO-Report war die Reaktion auf den sog. „Fraud-Report“ aus dem Jahr 1987. Zwei Jahre lang hatte die Treadway-Commission damals Untersuchungen angestellt mit dem Ziel, Ursachen für wirtschaftskriminelle Handlungen zu identifizieren und Gegenmaßnahmen zu entwickeln. Der Bericht befasste sich in erster Linie mit betrügerischer Finanzberichterstattung. Mit dem COSO-Report des Jahres 1992 erfolgte eine Erweiterung des 65 Schartmann, B., Lindner, M., Prüfung des Internen Kontrollsystems (IKS) durch die Interne Revision (IR), in: Lück, W. (Hrsg.), Zentrale Tätigkeitsbereiche der Internen Revision, Berlin 2006, S. 33–60.

56

C.

1

Die Position der Internen Revision im Unternehmen

Blickwinkels auf die operativen Prozesse im Unternehmen und die Einhaltung interner wie externer Vorschriften. Die Aufgabe des COSO-Reports war es, einen allgemein akzeptierten Begriff „Internal Control“ zu definieren, in dem die verschiedenen existierenden Internal Control-Begriffe vereinheitlicht wurden. Zusätzlich sollten Normen zur Beurteilung der Wirksamkeit von Internal Control Systemen geschaffen werden. COSO bildet somit ein Rahmenkonzept für die Ausgestaltung des Internen Kontrollsystems. Im Jahr 2004 ist das COSO-Framework erweitert worden. Mit der Vorlage des Enterprise Risk Management Framework (COSO ERM) wurden Risikomanagement und Internes Kontrollsystem integriert betrachtet. Zunächst zum COSO-Framework: Innerhalb des COSO-Modells wird Internal Control (und damit nach dem Verständnis der Verfasser hier auch das Interne Kontrollsystem) als ein vom Management initiierter Prozess definiert. Dieser Prozess soll angemessene Sicherheit gewährleisten bei der Erreichung der Ziele einer Organisation. Das COSO-Modell basiert auf einer mehrdimensionalen Betrachtung, wobei drei gleichwertige Ebenen einander durchziehen: Die Ziele der Organisation, die Organisationseinheiten sowie die Kontrollelemente.

1

154

155

156

■

Ziele der Organisation Wie bereits oben bezüglich der Aufgaben des Internen Kontrollsystems angesprochen, können drei grundsätzliche Ziele für Organisationen festgehalten werden: ■ Ergebnisorientierung und Wirtschaftlichkeit (operations) ■ Zuverlässigkeit der Finanzberichterstattung (financial reporting) ■ Einhalten externer und interner Vorschriften (Compliance) Diese Ziele der Organisation werden heruntergebrochen auf die Ebene der Organisationseinheiten und Aktivitäten und sollen durch die Kontrollelemente abgesichert werden. Abbildung 1-3 gibt diesbezüglich einen Überblick.

COSO-Framework Monitoring •

• • •

Control Activities

Assessment of a control system’s performance over time Combination of ongoing and separate evaluation Management and supervisory activities Internal audit activities

Policies/procedures that ensure management directives are carried out • Range of activities including approvals, authorizations, verifications, recommendations, performance reviews, asset security and segregation of duties

•

Information & Communication •

•

•

Pertinent information identified, captured and communicated in a timely manner Access to internally and externally generated information Flow of information that allows for successful control actions from instructions on responsibilities to summary of findings for management action

Abbildung 1-3: COSO-Framework

Risk Assessment Control Environment • •

•

Sets tone of organization, influencing control consciousness of its people Factors include integrity, ethical values, competence, authority, responsibility, organization structure, HR policies and IT control environment Foundation for all other components of control

•

Risk assessment is the identification and analysis of relevant risks to achieving the entity’s objectives – forming the basis for determining control activities

57

157

158

1 1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

■

159

Organisationseinheiten Die Ebene der Organisationseinheiten innerhalb des COSO-Würfels umfasst die Unternehmenseinheiten und deren Aktivitäten und Prozesse. Damit wird festgelegt, welche Bereiche in das Interne Kontrollsystem einzubeziehen sind.

■

160

161

162

163

164

165

Kontrollkategorien Das Internal Control System umfasst fünf Kontrollbestandteile, die zur Erreichung der Zielvorgaben erfüllt sein müssen. Sie haben für die Funktionstüchtigkeit und für die Bewertung des Internen Kontrollsystem eine besondere Bedeutung. (1) Control Environment: Mit Kontrollumfeld ist das Überwachungsbewusstsein der Unternehmensmitglieder gemeint. Es umfasst u.a. Integrität, ethisches Bewusstsein, Managementphilosophie und Führungsstil, aber auch die fachliche Kompetenz des Managements. Letztlich meint Control Environment den Tone at the Top, also das, was gerade durch die Unternehmensleitung vorgelebt wird. Ein mangelhaftes Kontrollumfeld kann im Unternehmen illegale Handlungen befördern. Mit dem Kontrollumfeld wird die Internal Control-Struktur determiniert. Damit ist das Kontrollumfeld die Basis der weiteren vier Komponenten des Internal Control Systems. (2) Risk Assessment: Ausgehend von den Zielen auf Unternehmensebene werden für die Organisationseinheiten und Aktivitäten Ziele festgelegt. Die internen Kontrollen müssen so angelegt sein, dass Risiken, die eine Erreichung der definierten Ziele behindern, rechtzeitig erkannt werden. Zur Bestimmung der Risiken müssen diese identifiziert, analysiert und nach Eintrittswahrscheinlichkeit und Schadenshöhe bewertet werden. Daran anschließend sind entsprechende Maßnahmen für den Umgang mit dem Risiko zu entwickeln. Die Aufgabe des Internen Kontrollsystem ist es, dass Ziele definiert und damit verbundene Risiken erkannt werden. Der Umgang mit den Risiken gehört nicht dazu. (3) Control Activities: Zur Absicherung der erkannten Risiken und zur Erreichung der Unternehmensziele ist die Einrichtung von Grundsätzen und Verfahren zur Einhaltung der Unternehmensentscheidungen erforderlich, also die Festlegung von konkreten Kontroll- und Überwachungsaktivitäten auf allen Hierarchiestufen. Während durch Grundsätze die Funktion von speziellen Kontrollen beschrieben wird, dienen Verfahren der genauen Beschreibung der Durchführung von Kontrollen. Die Kontrollaktivitäten können nach unterschiedlichen Kategorien systematisiert sein. So lassen sich beispielsweise vor- und nachgelagerte Kontrollen oder manuelle und automatische Kontrollaktivitäten unterscheiden. (4) Information and Communication: Dieses Kontrollelement ist die Grundlage für die Entscheidungen des Managements und zielt auf eine effektive Kommunikation der Informationen durch die gesamte Organisation. Das Interne Kontrollsystem muss so aufgestellt sein, dass es Informationen identifiziert, erfasst, rechtzeitig verarbeitet und an die relevanten Ebenen im Unternehmen weitergibt. Die Voraussetzung dafür sind funktionierende Informations- und Kommunikationswege im Unternehmen. Die Kategorie Information und Kommunikation beschränkt sich nicht auf die interne und externe Berichterstattung, sondern bezieht explizit auch externe Ereignisse ein. Mitarbeiter, Kunden, Lieferanten, Aktionäre und sonstige denkbare Stakeholder des Unternehmens müssen bei Information und Kommunikation Berücksichtigung finden. 58

C.

1

Die Position der Internen Revision im Unternehmen

(5) Monitoring: Die laufende Überwachung des Internen Kontrollsystems soll dessen Funktionalität und Qualität dauerhaft sicherstellen. Bedingt durch wechselnde Umwelt- und Rahmenbedingungen können Kontrollen unwirksam werden oder es stellt sich die Notwendigkeit einer Überarbeitung der Kontrollen ein. Das Monitoring des Internen Kontrollsystems erfolgt ganz maßgeblich durch prozessintegrierte Maßnahmen. Prozessübergreifende Monitoringmaßnahmen sind etwa die Prüfungen durch die Interne Revision. Die Interne Revision ist dabei selbst Bestandteil des Systems, das sie prüft. Die nachfolgende Abbildung gibt die COSO-Komponenten noch einmal wieder und verknüpft sie mit beispielhaft genannten konkreten Umsetzungen.

166

167

168

COSO Komponenten und Beispiele Überwachung des IKS

Interne und externe Revision Überwachung durch das Management Überwachung durch den Aufsichtsrat

Information und Kommunikation

Interne Managementberichte Kommunikation von Grundsätzen und Verfahren Training / Weiterbildung

Kontrollaktivitäten

Trennung von Aufgabenbereichen Arbeitsanweisungen Überprüfung und Abstimmung

Risikobeurteilung

Bewertung und Angleichen der Geschäftsziele Identifikation und Analyse von Risiken Change- und Growth-Management

Kontrollumfeld

Code of Ethics Leistungsvorgaben und Vergütungsstruktur Delegation von Kompetenzen und Verantwortlichkeiten

Tabelle entnommen aus: Menzies, C. (Hrsg.), Sarbanes-Oxley Act – Professionelles Management interner Kontrollen; Stuttgart 2004, S. 80.

Abbildung 1-4: COSO-Komponenten und Beispiele Mit dem COSO-Report und dem daraus folgendem COSO-Framework sind erstmals neben der Finanzberichterstattung auch operative Betriebsabläufe in den Fokus des Internen Kontrollsystems geraten. Damit beinhaltet Internal Control in diesem Sinne nicht mehr lediglich eine statisch-rückwärts gewandte Perspektive, sondern auch und immer mehr eine zukunftsgerichtete Unternehmenssteuerung inklusive einer strategischen Überwachungskomponente. Die Veränderung des Internal Control-Ansatzes durch den COSO-Report besteht mithin im Wandel des Internen Kontrollsystems von einem eher statischen System hin zu einem von Management und Mitarbeitern initiierten Prozess. Es wird ein bereichs- und abteilungsübergreifendes Kommunikations- und Informationssystem gefordert und die Verantwortung für Internal Control wird den Führungskräften übertragen. Internal Control gemäß COSO ist keine neu einzurichtende Abteilung, sondern eine umfassende Unternehmensphilosophie, die von allen Mitarbeitern durchgeführt wird. Mit dem COSO-Framework ist dem Management nicht nur ein systematischer Ansatz an die Hand gegeben worden, um Organisationen effektiv zu steuern. Vielmehr wurde mit COSO auch ein normierter, ganzeinheitlicher Rahmen geschaffen, um interne wie externe Prüfungen des Internen Kontrollsystems durchführen zu können. 59

169

170

171

1

1 1

§1 172

173

174

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Das Committee of Sponsoring Organizations of the Treadway Commission hat im Jahr 2004 aktuellen Entwicklungen Rechnung getragen und als Ergänzung und Weiterentwicklung des Internal Control – Integrated Framework das Enterprise Risk Management-Integrated Framework (COSOERM) veröffentlicht. Das COSO-ERM baut auf dem ursprünglichen COSO-Framework auf und ergänzt diesen um den Fokus auf das Enterprise Risk Management. Das COSO-ERM verdeutlicht die gestiegene Bedeutung des Risikomanagements im Unternehmen und es betont die ganzheitliche Perspektive, womit es sich gegenüber den klassischen Risikomanagementansätzen unterscheidet, die eher auf finanzielle und versicherbare Risiken ausgerichtet waren. Dementsprechend definiert COSOERM Risikomanagement wie folgt: „Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.“66 Das COSO-ERM basiert auf den identischen Prinzipien wie das ursprüngliche Internal ControlFramwork, erweitert dieses aber um risikobezogene Aspekte. Im Vergleich zum Internal ControlFramework berücksichtigt das COSO-ERM im Rahmen der Ziele der Organisation auch die Strategie und dehnt die Berichterstattungsziele auf die Verlässlichkeit jeglicher Art von Berichterstattung im Unternehmen aus.

COSO Enterprise Risk Management – Integrated Framework

Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Integrated Framework, Executive Summary, Jersey City (NJ) 2004, S. 5.

175

Abbildung 1-5: Enterprise Risk Management – Integrated Framework Das COSO–ERM umfasst acht Komponenten, die einander gegenseitig beeinflussen. Durch das Interne Umfeld werden die Grundlagen für das Risikomanagement im Unternehmen geschaffen. Die Zielsetzung ist erforderlich, um letztlich die Ereignisse identifizieren zu können, die die Zielereichung beeinträchtigen oder fördern können. Darauf aufbauend können die Risiken bewertet und erforderliche Steuerungsmaßnahmen ausgearbeitet werden. Mittels Steuerungs- und 66 Zit. n. Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Integrated Framework, Executive Summary, Jersey City (NJ) 2004, S. 2.

60

C.

1

Die Position der Internen Revision im Unternehmen

Kontrollaktivitäten soll die erforderliche Maßnahmenumsetzung gewährleistet werden. Bedeutsam für den Gesamtprozess ist die Dokumentation und die entsprechende Information aller im Unternehmen vom Risikomanagement betroffenen Bereiche und Organisationseinheiten. Die Qualitätssicherung des Enterprise Risk Management erfolgt durch laufende Kontroll- und Überwachungsmaßnahmen. Zurückkommend auf die Aufgaben der Internen Revision innerhalb des Internen Kontrollsystems muss nochmals klar gestellt werden, dass die Interne Revision keine Steuerungs- und Kontrollfunktion darstellt, sondern eine Prüfungsfunktion im Unternehmen ist. Der Standard 2120 des Institute of Internal Auditors (IIA) legt fest, dass die Interne Revision das Unternehmen bei der Aufrechterhaltung wirksamer Steuerung und Kontrolle unterstützt, indem es deren Wirksamkeit und Effizienz beurteilt sowie kontinuierliche Verbesserungen fördert. Die Gestaltung und Durchführung von Steuerungs- und Kontrollaktivitäten liegt somit außerhalb des Aufgabengebiets der Internen Revision. Die Interne Revision ist ein Instrument der Überwachung des Internen Kontrollsystems. Im Vordergrund eines modernen Internen Kontrollsystems steht die Integration von Strukturen und Prozessen des Unternehmens in das Interne Kontrollsystem, die ganzheitliche Zieldefinition sowie die Integration der verschiedenen Steuerungs- und Kontrollfunktionen. Dieser Ansatz stellt sich auch als ein geeigneter Ausgangspunkt für eine zukunftsweisende Tätigkeit der Internen Revision dar. Die Interne Revision verfügt über umfassendes Wissen und umfassende Kenntnisse des Internen Kontrollsystems sowie der Menschen, Prozesse und Strukturen im Unternehmen. Die Interne Revision sollte auch mit der Unternehmenskultur vertraut sein und gleichzeitig die erforderliche Objektivität aufweisen. Damit kann die Interne Revision wie keine andere Stelle im Unternehmen ein Promotor für das Interne Kontrollsystem sein. Neben der Internen Revision sind auch das Controlling und das Risikomanagement Institutionen des Internen Kontrollsystems. D.h., dass die Interne Revision diese Prozessverantwortlichen nicht nur prüft, sondern mit ihnen im Rahmen der Überwachungs-, Steuerungs- und Kontrollaktivitäten auch in einer engen Beziehung steht. Eine entsprechende Zusammenarbeit dieser betrieblichen Funktionsbereiche ist für ein modernes und funktionsfähiges Internes Kontrollsystem unerlässlich. Mit dem erweiterten Kontrollverständnis durch die Etablierung des COSO-Frameworks muss sich die Interne Revision über ihre klassischen Kontrolltätigkeiten hinaus mit allen risikorelevanten Geschäftsprozessen im Unternehmen vertraut machen. Die Interne Revision muss über die Geschäftsprozesse und die Organisationseinheiten hinweg ein vollständiges und konsistentes Audit Universe abbilden. Durch das erweiterte Internal Control–Verständnis hat sich also auch der Aufgabenbereich der Internen Revision deutlich erweitert. Sie wird im Rahmen ihrer prozessualen Unabhängigkeit nicht nur die organisatorischen Sicherungsmaßnahmen und Kontrollen prüfen, sondern innerhalb eines engmaschigen Beziehungsgeflechtes auch mit Controlling und Risikomanagement zusammenarbeiten und diese als Prüfungsobjekte ansehen müssen. Die Frage des Umgangs mit dem Internen Kontrollsystem hat durch den in den USA verabschiedeten „Sarbanes-Oxley Act“ von 2002 eine neue Qualität erhalten hat. Gerade Unternehmen, die in Deutschland vom SOX betroffen sind, berichten von einem enormen Aufwand bei der Einhaltung von formalen Anforderungen. Section 404 SOX verlangt für in den USA börsennotierte Unternehmen einen Bericht über das Interne Kontrollsystem, in dem insbesondere die Wirk-

61

1

176

177

178

179

180

181

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

samkeit der internen Kontrollen beurteilt und bestätigt wird. Mit dem SOX und dessen Ausstrahlungswirkung auch auf nicht in den USA gelisteten Unternehmen ergibt sich für die Interne Revision die Chance, an der Entwicklung geeigneter Konzepte für das Interne Kontrollsystem mitzuwirken, ohne den als unnötig empfundenen formalen Ballast mitzuführen.

1

3. 182

183

184

185

186

187

Interne Revision und Risikomanagement

Das Thema Interne Revision und Risikomanagement wird in Deutschland spätestens seit der Verabschiedung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) am 21. April 1998 lebhaft erörtert. Der Vorstand einer Aktiengesellschaft ist seither verpflichtet, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Neben der Diskussion, inwieweit sich aus dieser Vorschrift und den dazugehörigen Begründungen die rechtliche Verpflichtung zur Einrichtung und Unterhaltung einer Internen Revision ergibt, wurde vor allem auch lebhaft darüber diskutiert, ob und inwieweit die Interne Revision Prüfungen des Risikomanagements neben den Abschlussprüfern durchführen sollte. Unabhängig von solchen Diskussionen erwarten die Anteilseigner von Unternehmen, dass die sich aus fortschreitender Globalisierung, neuen Technologien, Deregulierung, zunehmender Regelungsdichte und anderen Veränderungen ergebenden Chancen und Risiken in einer Weise gesteuert werden, die eine Optimierung des Unternehmenswertes ermöglicht. Dabei reicht es nicht, Schadensfälle oder negative Ereignisse zu vermeiden oder deren Auswirkung zu begrenzen. Das Spannungsverhältnis zwischen Ertrag und Risiko muss darüber hinaus so gesteuert werden, dass die Ausnutzung der Chancen optimiert wird. Der Einsatz von geeigneten Absicherungstechniken sollte sicherstellen, dass geplante Ergebnisse nicht über eine gewisse Bandbreite hinaus schwanken. Vor diesem Hintergrund kann die Interne Revision aufgrund ihrer Erfahrung und Spezialisierung wesentliche Beiträge zum Risikomanagement leisten: ■ eine systematische Erfassung und Bewertung kritischer Risiken ■ eine Analyse und Beurteilung des vorhandenen Überwachungssystems ■ die Bereitstellung von Methoden und Hilfsmitteln zum Risikomanagement. Wie der Risikomanagementprozess innerhalb eines Unternehmens ablaufen sollte, zeigt Abbildung 1-6 im Überblick. Dieser Prozess findet sich auch analog im Enterprise Risk Management–Integrated Framework wieder, das bereits behandelt wurde.

62

C.

1

Die Position der Internen Revision im Unternehmen

Risikomanagementprozess

1

Unternehmens- und Risikomanagementziele

Risikoidentifikation

Risikoüberwachung

Risikokommunikation

Risikoanalyse und -bewertung

Risikosteuerung bzw. -bewältigung

Abbildung 1-6: Risikomanagementprozess Die Institutionen innerhalb eines Unternehmens, die für die Funktionsfähigkeit und Effizienz des Risikomanagements Sorge tragen, sind insbesondere das Controlling und die Interne Revision. Schwerpunkt der Tätigkeiten der Internen Revision in diesem Zusammenhang ist ganz sicher die Prüfung des Risikomanagements. Die Interne Revision wird sich bei der Prüfung des Risikomanagements am IIR-Revisionsstandard Nr. 2 „Prüfung des Risikomanagements durch die Interne Revision“ orientieren müssen. Ziel des Revisionsstandards Nr. 2 des Instituts für Interne Revision ist die Festlegung von Grundsätzen für die Prüfung des Risikomanagementsystems durch die Interne Revision. Dabei definiert der Standard zunächst das zugrunde liegende Verständnis von Risikomanagement und Interner Revision und erläutert kurz die gesetzlichen Grundlagen. Der Standard führt weiterhin aus, dass der Internen Revision aufgrund ihrer Unabhängigkeit die Überwachung der Funktionsfähigkeit des Risikomanagements zu übertragen sei, sie auch bei der Konzeption und Einführung des Risikomanagementsystem mitwirken könne, ihr aber nicht die Verantwortung für die Durchführung des Risikomanagements übergeben werden dürfe. Bezüglich der eigentlichen Prüfungshandlungen wird im Revisionsstandard Nr. 2 die Risikostrategie als Ausgangspunkt einer entsprechenden Prüfung postuliert. Die Interne Revision habe festzustellen, ob eine entsprechende Dokumentation des Risikomanagements vorliege. Darüber hinaus habe sie zu beurteilen, wie die Risikoidentifikation, die Risikobewertung und die Zweckmäßigkeit der Maßnahmen inhaltlich ausgestaltet sind. Sowohl ■ für die Prüfung der vollständigen Erfassung und der Identifikation aller Risiken, ■ für die Beurteilung der Risikoanalyse und der Risikobewertung, ■ für die Prüfung der Realisierung und Zweckmäßigkeit der Maßnahmen zur Risikosteuerung und der Einhaltung der integrierten Kontrollen als auch ■ für die Prüfung der Kommunikation von Risiken 63

188

189

190

191

192

1

§1

1 193

194

195

196

werden im Standard inhaltliche Erläuterungen gegeben und Checklisten mit Prüfungsfragen zur Verfügung gestellt. Die Prüfung des Risikomanagements ist nicht nur eine Obliegenheit der Internen Revision. Der Abschlussprüfer hat nach § 317 Abs. 4 HGB bei einer Aktiengesellschaft, die Aktien mit einer amtlichen Notierung ausgegeben hat, im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 AktG obliegenden Pflichten und Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann. Gemäß § 321 Abs. 4 HGB muss der Abschlussprüfer das Ergebnis seiner Prüfung nach § 317 Abs. 4 HGB in einem besonderen Teil des Prüfungsberichts darstellen. Es ist darauf einzugehen, ob Maßnahmen erforderlich sind, um das Interne Kontrollsystem zu verbessern. Nicht Prüfungsgegenstand der Abschlussprüfer ist, ob die Unternehmensleitung Risiken effektiv und effizient entgegen getreten ist. Im IDW (Institut der Wirtschaftsprüfer)-Prüfungsstandard PS 340 „Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB“ heißt es in Randziffer 6: „Die Reaktion des Vorstands auf erfasste und kommunizierte Risiken selbst sind nicht Gegenstand der Maßnahmen i.S.d. § 91 Abs. 2 AktG und damit auch nicht Gegenstand der Prüfung nach § 317 Abs. 4 HGB. Ebenso gehört die Beurteilung, ob die von nachgeordneten Entscheidungsträgern eingeleiteten oder durchgeführten Handlungen zur Risikobewältigung bzw. der Verzicht auf solche sachgerecht oder wirtschaftlich sinnvoll sind, nicht zur Prüfung des Risikofrüherkennungssystems.“ Gerade die Prüfung der Maßnahmen zur Risikobewältigung und -steuerung gehört jedoch auch zum Prüfungsumfang nach dem Verständnis des o.g. IIR-Prüfungsstandards Nr. 2. Die bei der Risikoidentifikation und Risikoanalyse ermittelten Risikopositionen sollen im Rahmen der Risikobewältigung aktiv beeinflusst werden. Die entsprechenden Maßnahmen des Managements sollen auf die Verringerung der Eintrittswahrscheinlichkeit eines Risikos zielen oder auf die Begrenzung der Risikoauswirkungen. Durch die Prüfung der Internen Revision soll festgestellt werden, ob die vorgegebenen Maßnahmen auch tatsächlich kontinuierlich umgesetzt werden und zweckmäßig sind. Insofern werden die Systemprüfungen durch den Abschlussprüfer durch die weitergehenden Prüfungen der Internen Revision ergänzt. Die Prüfung der Maßnahmen zur Risikobewältigung stellt sich in der Praxis für die Revision als der schwierigste und bedeutendste Teil der Prüfung des Risikomanagements dar. Denn letztlich wird bei einer Prüfung der Qualität von Maßnahmen zur Risikobewältigung durch die Unternehmensleitung auch die Managementqualität beurteilt. Die Risikosteuerung durch die Unternehmensleitung muss im Einklang mit den Unternehmenszielen und den daraus abgeleiteten Risikomanagementzielen stehen. Voraussetzung für eine effektive Risikobewältigung ist die sofortige Einleitung von Sicherungsmaßnahmen und die zeitnahe, sachgerechte Information der Entscheidungsträger durch ein entsprechendes Berichtswesen. Grundsätzlich gilt es, bei der Auswahl einer adäquaten Risikostrategie eine Optimierung des Chancen-Risiko-Profils anzustreben.

4. 197

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Die Interne Revision als Bestandteil der Corporate Governance

Auch in Deutschland hat der Begriff der Corporate Governance als Bezeichnung für ein System der guten Unternehmensführung in den letzten Jahren Konjunktur. Die entsprechenden Systemelemente wie Aufsichtsrat, Wirtschaftsprüfer oder auch die Interne Revision haben dynamische 64

C.

1

Die Position der Internen Revision im Unternehmen

Entwicklungen genommen. Doch während das gesetzliche Regelwerk für die Elemente der externen Unternehmensüberwachung und -kontrolle wie Abschlussprüfer, Aufsichtsrat und auch Behörden immer dichter wird und zunehmend Verantwortlichkeiten auf Externe übertragen werden, besteht nach wie vor in Deutschlands Industrieunternehmen keine Verpflichtung zum Aufbau einer Internen Revision, geschweige denn, dass es Aussagen zu deren optimalen Aufbau und Funktionsweise gäbe. Gleichwohl darf man heute wohl sagen, dass das Nichtvorhandensein einer Internen Revision als eine materielle Schwäche des Internen Kontrollsystems angesehen wird oder – positiv gewendet – die Interne Revision wird heute als unverzichtbares Element der Corporate Governanvce angesehen. Gründe für die wachsende Bedeutung der Internen Revision im Gefüge der Corporate Governance sind die bereits vielfach beschriebenen Trends und Entwicklungen: Zunehmender Wettbewerb, die allgemeine Globalisierung der Geschäfte, die steigende Bedeutung der Kapitalmärkte. Unternehmen, die an sich den Anspruch an eine gute Unternehmensführung stellen, begegnen der mit diesen Trends verbundenen wachsenden Komplexität und den entsprechenden Risiken mit Steuerungs- und Kontrollmaßnahmen und -institutionen, unter anderem mit einer Internen Revision. Hinzu tritt die heute immer stärker werdende Bedeutung ethisch einwandfreien Handelns. Die Unternehmensskandale, sei es Enron oder Worldcom in Amerika oder sei es Siemens und VW in Deutschland, zeigen: Unternehmen stehen im Fokus des öffentlichen Interesses. Von Imageschäden bis hin zu einer Abstrafung durch die Kapitalmärkte ist als Reaktion auf entsprechende Vorfälle alles denkbar. Wer dies, wenn schon nicht verhindern, so mindestens weniger wahrscheinlich machen will, der setzt im Rahmen der Corporate Governance auch auf die Interne Revision. Wobei an dieser Stelle auf eine Geschichte verwiesen sei, die Paul Watzlawick im Zusammenhang der „Vermeidung eines Problems zum Zwecke seiner Verewigung“ erzählte: „… die Geschichte vom Manne, der alle zehn Sekunden in die Hände klatschte. Nach dem Grunde für dieses merkwürdige Verhalten befragt, erklärte er: Um die Elefanten zu verscheuchen.“ „Elefanten? Aber es sind doch hier gar keine Elefanten!“ Darauf er: „Na, also! Sehen Sie!“67 Damit sei nur gesagt, dass es durchaus mehr bedarf für eine gute Unternehmensführung als des Händeklatschens in Form der Einrichtung einer Internen Revision. Vor der Einordnung der Internen Revision in die Corporate Governance noch einige Anmerkungen zum Begriff an sich. Corporate Governance ist nach Werder der rechtliche und faktische Ordnungsrahmen für die Leitung eines Unternehmens.68 Der Begriff weist zwar Überschneidungen mit der „Unternehmensverfassung“ auf, geht aber insofern darüber hinaus, als die Corporate Governance neben der inneren Ordnung des Unternehmens auch dessen rechtliche und faktische Einbindung in sein Umfeld, insbesondere in den Kapitalmarkt umfasst. Gemäß des IIA-Standards 2130 „Governance“ trägt die Interne Revision zum Führungs- und Überwachungsprozess des Unternehmens bei, indem sie den Prozess bewertet und verbessert, durch den (1) Werte und Ziele vorgegeben und kommuniziert werden, (2) die Zielerreichung überwacht wird, (3) die Verantwortung sichergestellt ist und (4) Werte erhalten werden. 67 Zit. n.: Watzlawick, P., Anleitung zum Unglücklichsein, München 1983, S. 51. 68 Vgl. Werder, Axel v., Der German Code of Corporate Governance im Kontext der internationalen GovernanceDebatte, in: German Code of Corporate Governance, Werder, Axel v. (Hrsg.), 2. Aufl., Stuttgart 2001, S. 1–33.

65

1

198

199

200

201

202

1 1

§1 203

204

205

206

207

208

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Die Interne Revisoren soll nach dem Standard die Geschäftsprozesse und Programme überprüfen, um die Übereinstimmung mit den Werten des Unternehmens sicherzustellen. Die Ziele eines Beratungsauftrags für die Interne Revision sollten mit den Wert- und Zielvorstellungen des Unternehmens übereinstimmen. Ein wichtiger Governance-Aspekt ist die Unternehmenskultur sowie die ethische Grundhaltung innerhalb der Organisation. Diese beeinflussen maßgeblich die Ziele sowie die Werte und das Verhalten aller am Unternehmen beteiligten Parteien. Indem die Interne Revision die Unternehmensführung, das Management und die Mitarbeiter auf die vorhandenen Normen und Verhaltensrichtlinien aufmerksam macht, kann sie eine starke und aktive Rolle innerhalb der Etablierung einer ethisch einwandfreien Unternehmenskultur spielen. Die Interne Revision ist eine der wenigen Funktionen innerhalb von Unternehmen, die diese Kompetenzen und vor allem auch die Möglichkeiten besitzt. Auf diesem Wege kann die Interne Revision, wie bereits dargelegt, auch einen bedeutenden Beitrag zur Struktur und Überwachung der Unternehmensorganisation leisten. Das Kontrollumfeld bildet auch im COSO-Framework eine Plattform für einen umfassenden Überwachungs- und Kontrollprozess eines Unternehmens. Daneben sollen die Elemente Risikobeurteilung, Kontrollaktivitäten, Monitoring sowie die Kommunikation die Überwachungsaufgaben unterstützen. Des Weiteren soll die Interne Revision die Zielerreichung überwachen und mögliche Fehlentwicklungen erkennen. Aufgrund der Tätigkeiten im Bereich der Kontrolle und Überwachung sowie im Risk Management hat die Interne Revision die Möglichkeit, an die notwendigen Informationen zu gelangen. Dadurch können einerseits Unternehmensprobleme erkannt und andererseits Vermögenswerte gesichert und neue Chancen für die Organisation aufgezeigt werden. Die zunehmende Komplexität der unternehmerischen Strukturen verlangt eine veränderte und engere Zusammenarbeit der Internen Revision mit dem Aufsichtsrat bzw. mit dem Audit Committee. Der Aufsichtsrat wird zukünftig auch vermehrt die Interne Revision für eigene Überwachungsaufgaben einsetzen wollen, denn die Aufgaben, Kontrollfunktionen sowie Verantwortlichkeiten des Aufsichtrates nehmen an Umfang deutlich zu. An dieser Stelle wird die Interne Revision mindestens im gesellschaftsrechtlichen Rahmen in Deutschland auf Probleme stoßen. Denn einer Beauftragung durch den Aufsichtsrat oder das Audit Committee wird sich die Interne Revision kaum entziehen können. Andererseits ist nicht der Aufsichtsrat der Arbeitsgeber der Revisoren, sondern der Vorstand entscheidet über die Beschäftigung. Dieser Konflikt wird für die Interne Revision auf absehbare Zeit kaum lösbar sein. Corporate Governance soll die Unternehmensüberwachung und -kontrolle verbessern und zu einer Steigerung des Unternehmenswerts beitragen. Diese Zielsetzung verlangt von der Unternehmensleitung eine Abwägung der Interessen der Shareholder mit denen der Stakeholder. Oftmals ist die Unternehmensführung aber nicht in der Lage, alle notwendigen Kontroll- und Überwachungsaufgaben selbst wahrzunehmen, deshalb muss sie sich auf ein zuverlässiges Überwachungssystem abstützen können. Die Interne Revision leistet einen Beitrag zur Corporate Governance, indem sie den Vorstand bei seinen Aufgaben betreffend der Überwachungs- und Kontrollaufgaben unterstützt. Die Interne Revision kann darüber hinaus auch zusätzliche Aufgaben übernehmen, wie beispielsweise beratende Dienstleistungen oder weitere Spezialprojekte. Aufgrund der fundierten Unternehmenskenntnisse und der Vertrautheit mit dem Umfeld des Unternehmens ist die Interne Revision dafür geeignet.

66

C.

1

Die Position der Internen Revision im Unternehmen

Durch eine pflichtbewusste Aufgabenerfüllung durch die Interne Revision sowie einer permanenten und offenen Kommunikationspolitik zwischen den betroffenen Parteien kann die Interne Revision sicher einen bedeutenden Beitrag zur Corporate Governance leisten. Neben der bereits angesprochenen Zuarbeit für den Vorstand materialisiert sich der Beitrag der Internen Revision zur Corporate Governance insbesondere auch in der Zusammenarbeit mit dem Abschlussprüfer und mit dem Aufsichtsrat.

5.

209

210

Zusammenarbeit zwischen der Internen Revision und dem Abschlussprüfer

Die Interne Revision selbst hat ihr Verhältnis zu den Abschlussprüfern im Rahmen eines nationalen Standards definiert bzw. dargelegt.69 Ausgehend von den Entwicklungen der Internen Revision in den letzten Jahren und ihren diesbezüglich ihr zugewachsenen Aufgaben stellt der Standard zunächst fest, dass sich die Interne Revision im Bereich Finanz- und Rechnungswesen weitgehend mit dem gleichen Gegenstand wie die Abschlussprüfung durch Wirtschaftsprüfer beschäftigt. Ebenso verhält es sich bei Prüfungen des Internen Kontrollsystems durch die Interne Revision und durch den Abschlussprüfer. Beide sind im Wesentlichen durch vergleichbare Prüfungshandlungen gekennzeichnet. Daraus wird gefolgert, dass eine „Zusammenarbeit der beiden Überwachungsorgane mit einem ständigen Informationsaustausch notwendig“70 sei. Insbesondere wird die Interne Revision dazu beitragen können, die Prüfungshandlungen der Abschlussprüfer zu verringern. Aufgabe der Abschlussprüfer ist auch die Prüfung des Internen Überwachungssystems. Hier wird der Umfang der Prüfungshandlungen im Wesentlichen durch die Einschätzung des Überwachungsrisikos (Control Risk) determiniert. Durch die Arbeit der Internen Revision kann das Überwachungsrisiko gemindert werden und damit auch der Aufwand, den die Abschlussprüfer in diesem Feld zu bewältigen haben. Mithin ergeben sich zwischen den Tätigkeitsgebieten der Internen Revision und der Abschlussprüfung Schnittstellen im Bereich des Financial Auditing. Zwar kann diese durch die Interne Revision geleistete Arbeit für den Abschlussprüfer hilfreich sein. Allerdings betont das Fachgutachten HFA 1/1988 des IDW71: „Die Ergebnisse von Prüfungseinrichtungen des Unternehmens oder des Konzerns (IR) soll der Abschlussprüfer zur Kenntnis nehmen; er kann sie bei der Bemessung des Prüfungsumfangs berücksichtigen. Sie können seine eigenen Prüfungsfeststellungen nicht ersetzen.“ Der o.a. IIR-Standard stellt für die Zusammenarbeit der beiden Institutionen Interne Revision und Abschlussprüfer bestimmte Anforderungen. Diese beziehen sich bei den Abschlussprüfern auf die Einhaltung seiner beruflichen Standespflichten, die insbesondere auch die fachliche Kompetenz u.ä. Aspekte umfassen. Darüber hinaus fordert der Standard die Unterrichtung der Internen Revision über alle relevanten Feststellungen. Zur letztgenannten Anforderung sei lediglich angemerkt, dass dies in der betrieblichen Praxis durch die Interne Revision gegenüber dem Abschlussprüfer nicht eingefordert werden kann. Dieser hat grundsätzlich seinen Auftraggeber – also z.B. den Aufsichtsrat – zu informieren. Nichts69 Deutsches Institut für Interne Revision (IIR), Fachliche Mitteilung des IIR: IIR Revisionsstandard Nr. 1: Zusammenarbeit von Interner Revision und Abschlussprüfer, in: Zeitschrift Interne Revision, 1/2001, S. 34–38. 70 Ebenda, S. 34. 71 Institut der Wirtschaftsprüfer/HFA, Fachgutachten 1/1988: Grundsätze ordnungsgemäßer Durchführung von Abschlussprüfungen, in: Wirtschaftsprüfung, Jg. 42, 1989, S. 9–19:

67

211

212

213

214

215

216

1

1

§1

1

217

218

219

220

221

destotrotz wird die Interne Revision durch die permanente Pflege guter Beziehungen zum Abschlussprüfer die relevanten Informationen erhalten. Außerdem sollte es in jedem Unternehmen zu den Selbstverständlichkeiten zählen, dass die Interne Revision über relevanten Prüfungsfeststellungen informiert wird – sei es durch den Vorstand oder etwa auch durch das Rechnungswesen. So können die im Rahmen von Abschlussprüfungen erstellten Management Letter für die Interne Revision eine bedeutsame Informationsquelle für die risikoorientierte Prüfungsplanung sein. Für die Zusammenarbeit zwischen Interner Revision und Abschlussprüfer erscheint die Eignung der Internen Revision selbst aber von entscheidender Bedeutung. Wenn ein Unternehmen bei der Zusammenarbeit der beiden Prüfungseinrichtungen Wirtschaftlichkeitserwägungen zum Zuge kommen lassen will, dann muss die Interne Revision bestimmte Anforderungen erfüllen. Die Beurteilung der Internen Revision bezieht sich dabei insbesondere auf die Einhaltung der beruflichen Standards, ihre Unabhängigkeit sowie der Unbefangenheit und Eignung der eingesetzten Revisoren. Auch die Interne Revision ist aufgefordert, ihre Erkenntnisse und Prüfungsfeststellungen an die Abschlussprüfer zu kommunizieren. Hier wird in der betrieblichen Praxis abzuwägen sein, inwieweit die Interne Revision diesem durch einen Berufsstandard aufgestelltem Diktum wird folgen können. Bei allem Bemühen um Transparenz, um eine Minimierung des Überwachungsrisikos und um eine gedeihliche Zusammenarbeit mit dem Abschlussprüfer, wird es Dinge zwischen Vorstand und Revisionsleitung geben, die sich – vorsichtig ausgedrückt – für eine Weitergabe an den Abschlussprüfer nicht zwingend eignen. Trotz dieser Einschränkung lassen sich durch eine geeignete Zusammenarbeit zwischen Interner Revision und Abschlussprüfer insbesondere ineffiziente Doppelarbeiten vermeiden. Die beiden Prüfungseinrichtungen sollten sich deshalb über ihre Prüfungspläne abstimmen, Berichte und Meinungen austauschen und ggf. auch gemeinsame Prüfungen durchführen. So kann der Abschlussprüfer etwa auf Ergebnisse aus Risikomanagementprüfungen durch die Interne Revision zurückgreifen. Die Interne Revision wird sich im Regelfall über die Verhältnisse im Unternehmen besser informiert zeigen als der Abschlussprüfer und sie wird ihm deshalb gerade zu diesen abschlussrelevanten Sachverhalten fundiert Auskunft geben können. Letztlich führen die immer wieder aufgeführten Entwicklungen innerhalb des Systems „Wirtschaft“ dazu, dass die beiden Prüfungseinrichtungen zukünftig vermehrt interagieren müssen. Der Zwang zur Kostensenkung und zum wirtschaftlichen Einsatz der Ressourcen, die zunehmende Internationalisierung oder auch der steigende Einsatz der Informationstechnologie in allen Unternehmensbereichen seien nochmals genannt. Um den daraus resultierenden Anforderungen gerecht werden zu können, wird die Interne Revision nicht umhin kommen, sich weiter zu qualifizieren und fortzuentwickeln.

6. 222

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Zusammenarbeit der Internen Revision mit dem Aufsichtsrat

Der Aufsichtsrat ist nach deutschem Recht ein Pflichtorgan für Aktiengesellschaften. Nach § 95 AktG besteht ein Aufsichtsrat aus mindestens drei Personen. § 111 AktG legt die Aufgaben und Rechte des Aufsichtsrats fest. Danach hat der Aufsichtsrat insbesondere die Geschäftsführung zu

68

C.

1

Die Position der Internen Revision im Unternehmen

überwachen und festzulegen, dass bestimmte Arten von Geschäften nur mit seiner Zustimmung vorgenommen werden dürfen. Diese Aufgaben nimmt der Aufsichtsrat im Wesentlichen anhand der ihm durch den Vorstand nach § 90 AktG zur Verfügung zu stellenden Berichterstattung wahr. Das AktG sieht vor, dass der Vorstand dem Aufsichtsrat berichtet über ■ die beabsichtigte Geschäftspolitik und andere grundsätzliche Fragen der Unternehmensplanung (insbesondere die Finanz-, Investitions- und Personalplanung), wobei auf Abweichungen der tatsächlichen Entwicklung von früher berichteten Zielen unter Angabe von Gründen einzugehen ist; ■ die Rentabilität der Gesellschaft, insbesondere die Rentabilität des Eigenkapitals; ■ den Gang der Geschäfte, insbesondere den Umsatz, und die Lage der Gesellschaft; ■ Geschäfte, die für die Rentabilität oder Liquidität der Gesellschaft von erheblicher Bedeutung sein können. Außerdem sieht das AktG eine Berichterstattung an den Vorsitzenden des Aufsichtsrats aus sonstigen wichtigen Anlässen vor. Dabei handelt es sich auch um einen dem Vorstand bekannt gewordenen geschäftlichen Vorgang bei einem verbundenen Unternehmen, der auf die Lage der Gesellschaft von erheblichem Einfluss sein kann. Mit den aufgeführten Berichtspflichten des Vorstands an den Aufsichtsrat sind Mindestanforderungen definiert. Durch Satzung oder durch den Aufsichtsrat selbst können die Berichtspflichten – in einem für die Erfüllung der Überwachungsaufgaben sinnvollen Rahmen – erweitert werden. Problematisch bleibt aber immer, dass hier die Informationen von denjenigen zur Verfügung gestellt werden, die überwacht werden sollen. Zum Umgang des Aufsichtsrats mit der Internen Revision sieht das deutsche Recht keine expliziten Regelungen vor. Indirekt könnten sich aus Prüfungsfeststellungen von besonderer Schwere durch die Internen Revision Berichtspflichten aus „sonstigen wichtigen Anlässen“ an den Aufsichtsratsvorsitzenden ergeben. § 111 Abs. 2 AktG gestattet es dem Aufsichtsrat als Organ, sich selbst einen Einblick in Bücher und Sachverhalte zu verschaffen. Dieses Recht bezieht sich eindeutig auf Sachverhalte, die zur Überwachung des Vorstands erforderlich sind. In anderen Angelegenheiten kann der Aufsichtsrat lediglich über den Vorstand um Aufklärung des Sachverhaltes bitten und dazu einen Bericht anfordern. Selbst prüfen kann der Aufsichtsrat dann nicht. Daraus lässt sich auch ableiten, dass nach der gegenwärtigen Gesetzeslage ein unmittelbarer Kontakt des Aufsichtsrats zur Internen Revision, aber auch zu anderen Mitarbeitern eines Unternehmens, nicht vorgesehen ist. Allerdings wird sich etwa der Leiter einer Internen Revisionsabteilung vermutlich einer Anfrage des Aufsichtsrates nach direktem Kontakt kaum verschließen wollen. Um es nochmals zu betonen: Die Interne Revision ist in Deutschland dem Vorstand direkt unterstellt. Damit entfällt eine direkte Zuordnung der Internen Revision zum Aufsichtsrat oder auch zum Prüfungsausschuss. Mit den Empfehlungen des Deutschen Corporate Governance Kodex aus dem Jahr 2002 ist in deutschen Aktiengesellschaften die Etablierung von Prüfungsausschüssen en vogue. Anders als etwa in den USA, wo das Audit Committee als unabhängige Kontrollinstanz, bestehend aus nicht-geschäftsführenden Verwaltungsratmitgliedern, das Board of Directors überwacht, wird im deutschen Rechtssystem mit den getrennten Organen Vorstand und Aufsichtsrat ein Prüfungsausschuss gebildet, der nur Aufgaben und Kompetenzen des Aufsichtsrats ausübt. 69

1 223

224

225

226

227

228

229

1 1

§1 230

231

232

233

234

235

236

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Allerdings ist es durch die Initiativen auf der Ebene der Europäischen Union zu einer deutlichen Aufwertung des Prüfungsausschusses und auch seiner Stellung innerhalb der Corporate Governance gekommen, die auf eine regelrechte Eigenständigkeit hinausläuft. In der Prüferrichtlinie vom 17. Mai 2006 (8. EU-Richtlinie) heißt es: „Jedes Unternehmen von öffentlichem Interesse hat einen Prüfungsausschuss.“72 Bei Unternehmen von öffentlichem Interesse handelt es sich um börsennotierte Gesellschaften, Banken und Versicherungen. Die Aufgaben des Prüfungsausschusses legt Artikel 41 Abs. 2 der Richtlinie fest. Sie bestehen unter anderem darin, ■ den Rechnungslegungsprozess zu überwachen; ■ die Wirksamkeit des internen Kontrollsystems, gegebenenfalls des internen Revisionssystems, und des Risikomanagementsystems des Unternehmens zu überwachen; ■ die Abschlussprüfung des Jahres- und des konsolidierten Abschlusses zu überwachen; ■ die Unabhängigkeit des Abschlussprüfers oder der Prüfungsgesellschaft, insbesondere die von diesen für das geprüfte Unternehmen erbrachten zusätzlichen Leistungen, zu überprüfen und zu überwachen. Anders etwa als der Deutsche Corporate Governance Kodex, der in Ziffer 5.3.2 „Fragen der Rechnungslegung und des Risikomanagements“ die Aufgaben des Prüfungsausschusses definiert, wird in der sog. Prüferrichtlinie der EU die Interne Revision explizit genannt. Für die betriebliche Praxis darf aber wohl festgehalten werden, dass es in deutschen Unternehmen seit geraumer Zeit zu einer starken Zunahme der Zusammenarbeit von Aufsichtsrat bzw. Prüfungsausschuss und Interner Revision gekommen ist. Die Zusammenarbeit konkretisiert sich dabei insbesondere in der Teilnahme der Revisionsleiters bei Prüfungsausschusssitzungen. Dort wird der Revisionsleiter im Regelfall den Prüfungsplan präsentieren, summarisch über Prüfungen berichten oder einzelne Prüfungsberichte von besonderer Bedeutung en detail vorstellen. Umstritten ist bei der Zusammenarbeit von Aufsichtsrat und Interner Revision naturgemäß die Erteilung von Prüfungsaufträgen durch den Aufsichtsrat an die Interne Revision. Wie bereits angeführt, sind die Mitarbeiter der Internen Revision als Angestellte des Unternehmens direkt dem Vorstand unterstellt. Da es anzunehmen ist, dass eine Beauftragung durch den Aufsichtsrat bzw. durch den Prüfungsausschuss nur in gravierenden Fällen erfolgen wird, ist auch zu vermuten, dass in solchen Fällen die gesetzes- und ordnungsgemäße Geschäftsführung durch den Vorstand zumindest in Teilen betroffen sein wird. Aus dieser Konstellation erwächst für den Revisionsleiter und seine Mitarbeiter eine Konfliktsituation. Denn gerade in diesen Situationen zeigt sich, dass die Unabhängigkeit der Internen Revision wegen ihres Verhältnisses zum Vorstand an ihre Grenzen stößt. Dieses Dilemma kann für die Interne Revision nur durch eine direkte Beauftragung durch den Vorstand gelöst werden. D.h., keine Prüfung ohne Zustimmung des Vorstands. In der betrieblichen Praxis wird sich nach Auffassung der Verfasser kein Vorstand dem begründeten Wunsch des Aufsichtsrats oder des Prüfungsausschusses nach einer Untersuchung eines Sachverhalts durch die Interne Revision verweigern können. Bei allen rechtlichen und formalen Betrachtungen, die zur Zusammenarbeit von Aufsichtsrat, Vorstand und Interner Revision angestellt wurden, wird zumeist vergessen, dass es sich gerade 72 Vgl. Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinien 78/660/EWG und 83/349/ EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates.

70

C.

1

Die Position der Internen Revision im Unternehmen

auch in diesem Beziehungsgeflecht um ein typisches Beispiel von „People’s Business“ handelt. Für eine gute und harmonierende Zusammenarbeit zwischen dem Aufsichtrat, als das den Vorstand überwachende Organ, dem Vorstand als Inhaber der Leitungsmacht des Unternehmens, und der Internen Revision als Überwachungsinstrument des Vorstands, bedarf es des gegenseitigen Vertrauens in die Fähigkeiten und die sozialen Kompetenzen des/der jeweils anderen. Dann könnte die Interne Revision den Aufsichtsrat bzw. den Prüfungsausschuss insbesondere bei Fragen des Internen Kontrollsystems, des Risikomanagements und der Aufdeckung doloser Handlungen entsprechend unterstützen.73

7.

1

Revisionsfelder

Durch die schnellen Veränderungen in der Geschäftswelt wird auch die Interne Revision stark beeinflusst und damit auch die Anforderungen, Aufgaben und Zielsetzungen, die an die Arbeit der Internen Revision gestellt werden. Umfragen zur Entwicklung der Internen Revision zeigen, dass sich die Tätigkeitsfelder der Internen Revision heute auf zukunftsorientierte Prüfung und Beratung verlagern. Darüber hinaus verstärkt sich gegenwärtig der Umfang der Zusammenarbeit zwischen Aufsichtsrat bzw. Audit Committee sowie mit den externen Abschlussprüfern. Die „Standards for the Professional Practice of Internal Auditing“ legen den Arbeitsumfang im Performance Standard 2100 Nature of work fest. Danach heißt es: „The internal audit activity evaluates and contributes to the improvement of risk management, control and governance systems.“ Das heißt, dass die Interne Revision als Servicefunktion des Managements zur Unternehmensüberwachung in allen Feldern und Funktionen eines Unternehmens Prüfungen auf Ordnungsmäßigkeit, Zweckmäßigkeit, Wirtschaftlichkeit durchführt. Dabei kommen alle Prüfungstechniken zum Soll-/Ist-Vergleich wie Einzelfallprüfungen, Systemprüfungen, Auswahlprüfungen sowie Kosten-Nutzenanalysen, Wertanalysen und mehr zur Anwendung. Klassischerweise unterteilt man die Tätigkeiten der Internen Revision in der betrieblichen Praxis in die Bereiche ■ Financial Audit, ■ Operational Audit und ■ Management/Managerial Audit. Darüber hinaus sind Revisionsabteilungen heute in weitere Tätigkeitsgebiete maßgeblich eingebunden. Dazu zählen ■ Compliance Audits, ■ Internal Consulting, ■ Risk Management sowie ■ Due Diligence und Post Merger Integration Support. Ein weiteres bedeutsames Revisionsfeld ist die Mitwirkung der Internen Revision bei der Prävention und Aufklärung von dolosen Handlungen im Rahmen von Unterschlagungsprüfungen.

73 Siehe dazu Warncke, M., Zusammenarbeit von Interner Revision und Prüfungsausschuss, in: Zeitschrift Interne Revision, 5/2005, S. 182–187.

71

237

238

239

240

241

1 1

§1 ■

242

243

244

245

246

247

248

249

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Financial Audit Das Financial Auditing fußt auf der Erkenntnis, dass sich vom Grundsatz her sämtliche Entscheidungen und Handlungen eines Unternehmens in den Zahlen und Daten des Finanz- und Rechnungswesens wieder finden müssen, da dieses ein Abbild aller betrieblichen Vorgänge darstellt. Dementsprechend versteht man unter Financial Audits vergangenheitsorientierte Prüfungen, die die Aussagefähigkeit, Verlässlichkeit und Ordnungsmäßigkeit der Aufzeichnungen und Vorgänge des Finanz- und Rechnungswesens beurteilen und bewerten sollen. Dies umfasst ganz wesentlich auch eine qualifizierte Beurteilung der Funktionsfähigkeit des Internen Kontrollsystems. Dieses „klassische“ Aufgabengebiet der Internen Revision mit seinen eher formellen und materiellen Prüfungshandlungen weist große Schnittstellen mit den Tätigkeiten der Abschlussprüfer auf. Dabei werden von der Internen Revision heute im Wesentlichen Abschlussarbeiten lediglich für nicht prüfungspflichtige Gesellschaften innerhalb eines Konzerns durchgeführt oder die Interne Revision unterstützt den Abschlussprüfer. Die Prüfungsobjekte des Financial Audits sind in erster Linie ■ die Finanzbuchhaltung einschließlich Debitoren (mit Mahnwesen) und Kreditoren (mit Rechnungsprüfung) sowie die von ihr erstellten Abschlüsse; ■ die Anlagen- und Lagerbuchhaltung mit der Bestandsverwaltung und dem Kostenrechnungssystem zur Ermittlung und Zuordnung von Herstellungskosten (einschließlich interner Kostenverrechnung und Gemeinkostenanalyse) sowie ■ die Abrechnungssysteme in den Bereichen Einkauf (u.a. Bestellobligo, Lizenzen, Frachten), Verkauf (u.a. Liefer- und Projektabrechnungen, Provisionen, Boni), Personal (u.a. Lohn- und Gehalts-, Spesenabrechnungen), Treasury (u.a. Cash-Management, Zins- und Devisenterminsicherungen). Die Untersuchung der Prüfungsobjekte erfolgt mit dem Ziel, den Nachweis der Gesetzeskonformität des Rechnungswesens zu erbringen. Darüber hinaus ist beabsichtigt, auf die Einhaltung der innerbetrieblichen Anforderungen hinzuwirken. Es werden also die Fragen beantwortet, ■ ob die gesetzlichen Erfordernisse eingehalten werden, ■ ob das Vermögen geschützt wird, ■ ob die aus den Buchhaltungs- und Abrechnungssystemen abgeleiteten Entscheidungsgrundlagen verlässlich sind. Während in der Vergangenheit Financial Audits im Wesentlichen vollständige Einzelfallprüfungen umfassten, d.h. die vollständige Aufnahme eines Prüfungsobjektes, versuchen moderne Revisionen heute auch hier risikoorientiert vorzugehen. Dieser Ansatz ist verbunden mit dem Ziel, die begrenzten personellen Ressourcen für materielle Schwachstellen innerhalb des Rechnungswesens einzusetzen. Die vollständige Aufnahme von Prüfungsobjekten im Rahmen von Einzelfallprüfungen kommt heute regelmäßig nur noch dann vor, wenn ein Verdacht auf doloses Handeln besteht. Vor dem Hintergrund der Einsparungsorgien in vielen Unternehmen, die mit dem Verzicht auf Stellen und Stäbe mit Kontroll- und Überwachungsfunktionen verbunden sind, erscheint es nicht unwahrscheinlich, dass in Zukunft die Interne Revision wieder gefordert sein wird, vergangenheitsorientierte Ordnungsmäßigkeitsprüfungen durchführen zu müssen. Abschließend sei auch noch erwähnt, dass mit dem Begriff des „Financial Auditing“ heute häufig noch ein Revisionskonzept verbunden wird, das auf gezielte Nachschau und detektivische Fehler72

C.

1

Die Position der Internen Revision im Unternehmen

suche ausgerichtet ist. Ein solches Revisionskonzept ist verbunden mit dem Vorwurf, die Revision sei der innerbetriebliche Polizeiapparat und der Ansatz des Financial Auditing sei „old fashioned“. Wie auch immer: In Zeiten von SOX und einem zumindest gemessenen Anstieg der Wirtschaftskriminalität läuft vieles auf den traditionellen Revisionsansatz zu – ob man will oder nicht.

1

■

Operational Audit Das Operational Audit basiert auf dem Financial Audit. Während aber das zuvor erläuterte Financial Audit feststellt, ob die internen Kontrollen in den Abrechnungssystemen des Unternehmens vorhanden und funktionsfähig sind, werden die Systeme im Rahmen von Operational Audits dahingehend untersucht, ob sie wirtschaftlich arbeiten. Die Prüfungen im Rahmen von Operational Audits haben also das Ziel, die Prozesse und Strukturen innerhalb eines Unternehmens zu untersuchen, zu bewerten und zu verbessern. Damit sind Operational Audits im Gegensatz zu Financial Audits gegenwarts- und zukunftsorientiert. Es geht bei Operational Audits mithin nicht vordringlich um die Aufdeckung von Fehlern der Vergangenheit, sondern um einen zukunftsorientierten Beitrag zur Optimierung von Organisationsstrukturen und –abläufen. So werden Operational Audits zu einem Führungsinstrument. Die internen Kontrollsysteme und die ihnen zugrunde liegenden Geschäftsprozesse müssen den gestiegenen Anforderungen an Effektivität und Wirtschaftlichkeit genügen. D.h. aber auch, dass die Interne Revision im Rahmen von Operational Audits insbesondere die Prozesse der Beschaffung, der Auftragsabwicklung, der Logistik und Fertigung sowie des Vertriebs und Marketing untersucht. Aber auch weitere Bereiche, wie beispielsweise Forschung & Entwicklung, Personalmanagement oder Investitionscontrolling können im Fokus von Operational Audits stehen. Die wesentliche Aufgabe der Internen Revision bei der Prüfung der vorgenannten Prozesse besteht dann darin, Fehler, Lücken, Schwachstellen und Versäumnisse im Kontrollgefüge des untersuchten Prozesses aufzudecken. Dann müssen Empfehlungen gegeben werden, wie die Schwächen abgestellt und die Prozesspotentiale ausgeschöpft werden können. Neben der Sicherheit des Prozesses stehen Effektivität und Effizienz im Mittelpunkt. Das Operational Auditing umfasst also Prüfungen von Organisationsstrukturen, Arbeitsabläufen und Verfahren in allen Unternehmensbereichen. Prüfungsansätze wären etwa Kosten-Nutzenanalysen, Wertanalysen u.ä.m.

250

251

252

253

254

■

Management Audit/Managerial Audit Das Management Audit stellt nach Financial und Operational Audit das vorläufige Ende der historischen Entwicklung von Prüfkonzeptionen dar74 und rundet die Aufgabenbereiche der Internen Revision klassischerweise ab. Dabei sind dieser Themenkomplex und die Zuständigkeit der Internen Revision durchaus umstritten. Dies rührt vor allem auch daher, dass der Begriff in der betrieblichen Praxis anders besetzt ist, als dies von Seiten der Internen Revision interpretiert wird und auch überhaupt leistbar ist. So wird unter einem Management Audit im Regelfall ein von einer unternehmensexternen Consultingfirma durchgeführtes Verfahren zur Bewertung von Managern und Führungskräften verstanden. Das Management Audit umfasst verschiedene Analyse- und Beratungsmethoden aus den Bereichen der Eignungsdiagnostik, der Organisationsentwicklung, u.ä.m. Demnach ist das Management Audit im Bereich des Personalmanagements und der Führungskräfteentwicklung anzusiedeln. 74 Vgl. etwa Hein, G., Management Auditing, in: Lexikon der Internen Revision, Lück, W. (Hrsg.), München, Wien 2001, S. 190.

73

255

256

1 1

§1 257

258

259

260

261

262

263

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Gleichwohl sind die Aspekte, die sich aus Sicht der Internen Revision hinter einem Management Audit verbergen, von enormer Bedeutung für jedes Unternehmen. Um deshalb Begriffsverwirrungen zu vermeiden, plädieren die Verfasser für die Verwendung des Begriffs „Managerial Audit“, wenn im Sinne der Internen Revision das Führen von Geschäften unter betriebswirtschaftlichen Aspekten zu beurteilen ist. Die Verwendung dieses Begriffs und eine entsprechende Vorgehensweise verhindern auch den typischen Abwehrreflex bei der Unternehmensleitung, wenn es darum geht, die Zweckmäßigkeit und Wirtschaftlichkeit von Arbeitsabläufen und Kontrollsystemen für konkrete wirtschaftliche Wahlentscheidungen, etwa über Standorte, Investitionen, Personalstände, Lagerhaltungen oder das Marketing-Mix zu untersuchen. Denn eigentlich bedeutet das traditionell als „Management Audit“ bezeichnete Vorgehen nichts anderes. Die Interne Revision kommt (unabhängig vom verwandten Begriff) häufig in die Situation, auch die Grundlagen von Unternehmensentscheidungen (Planungsinstrumente, Management-Informationssysteme) und die Plausibilität der zu Grunde liegenden Entscheidungsprämissen kritisch zu hinterfragen. D.h., der Internen Revision geht es bei ihrer Prüfung im Rahmen von Managerial Audits nicht um die Erstellung eines Stärke-/Schwäche-Profils von Führungskräften. Dies ist Aufgabe der Personaler und ihrer externen Gehilfen. Das „Managerial Audit“ zielt darauf ab, die Zweckmäßigkeit von Entscheidungen der Unternehmensleitung zu prüfen. Mithin stehen im Vordergrund der Prüfung: die Ordnungsmäßigkeit der vorhandenen Organisation, die Eignung der eingesetzten Planungs-, Steuerungs- und Kontrollinstrumente und die Beurteilung der Frage, ob das Management die Instrumente professionell eingesetzt hat. D.h., es geht um Systeme und ihre Handhabung. Bei aller Wortklauberei sei noch eines in Erinnerung gerufen: Bei jeder Prüfung, egal ob aus dem Bereich Financial, Operational oder Managerial – es geht immer auch um die Bewertung der Leistung des zuständigen Managements und damit um dessen Kompetenz. ! Praxishinweis Ein nützliches Tool zur Durchführung von Managerial Audits kann der „Fragenkatalog zur Prüfung nach § 53 Haushaltsgrundsätzegesetz“ sein. Der Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW PS 720) ist nach Art einer Checkliste aufgebaut und ist nicht nur für Unternehmen im Geltungsbereich von § 53 HGrG geeignet, sondern lässt sich entsprechend angepasst auch auf Prüfungen von Unternehmen in anderen Rechtssphären anwenden. ■ Compliance Audit Unter dem schillernden Stichwort „Compliance“ wird die Einhaltung aller Ge- und Verbotsvorschriften zusammengefasst, die bei der täglichen Arbeit zu beachten sind. Dabei kommen diese Regelungen aus so unterschiedlichen Bereichen wie dem Kapitalmarktrecht, dem Wirtschaftsstrafrecht und dem Kartellrecht. Die Bedeutung sowohl externer als auch interner ComplianceAnforderungen hat in den letzten Jahren stetig zugenommen. Das AGG, regulatorische Anforderungen wie der Sarbanes-Oxley Act oder Basel II, aber auch die Umstellung auf internationale Rechnungslegungsstandards (IFRS) oder der Deutsche Corporate Governance Kodex (dort wurde der Begriff der „Compliance“ durch Beschluss der Kommission vom 14.6.2007 explizit in einige Regelungen eingeführt) stellen hier nur einige Schlagworte dar. Allen Regelungen gemeinsam ist, dass bei Nichtbeachtung die betroffenen Mitarbeiter, aber häufig auch die Unternehmensleitung, mit empfindlichen Bußgeldern und teilweise sogar strafrechtlichen Sanktionen bedroht werden. Darüber hinaus drohen gravierende Imageschäden. Die Einführung von Geschäftspro-

74

C.

1

Die Position der Internen Revision im Unternehmen

zesskontrollen und internen Steuerungs- und Überwachungssystemen stellt sicher, dass alle Anforderungen eingehalten werden (Compliance). Insbesondere für alle kapitalmarktorientierten, aber ebenso für alle größeren Unternehmen ist es von Bedeutung, organisatorische Strukturen zu schaffen, um dem Vorwurf zu begegnen, bereits allein durch mangelnde Organisation Rechtsvorschriften verletzt zu haben. Der Aufbau entsprechender Systeme ist Aufgabe der Unternehmensleitung. Die Aufgabe der Internen Revision im Rahmen von Compliance Audits ist es, die Angemessenheit und die Funktionsfähigkeit der eingeführten Systeme und die Einhaltung der entsprechenden internen wie externen Anforderungen der jeweiligen Prüfungsobjekte zu untersuchen. D.h., bei Compliance Audits werden die Systeme geprüft, die die Einhaltung von Gesetzen, Verordnungen, Verträgen und Richtlinien sicherstellen sollen.

1 264

265

■

Internal Consulting Die Frage, inwieweit die Interne Revision nicht nur als Überwachungs- und Kontrollorgan der Unternehmensleitung, sondern auch als interner Berater auftreten sollte, ist nach wie vor umstritten. Das Meinungsspektrum reicht von einer völligen Ablehnung der Beraterleistungen durch die Interne Revision bis hin zu der Auffassung, dass die Interne Revision nur dann Wert steigernd für ein Unternehmen wirken kann, wenn sie auch in der Lage ist, beratend tätig zu sein. Selbst die Erstellung einer Dissertation zum Thema hat den Streit darüber nicht auflösen können.75 Das beschriebene Spannungsfeld gibt es seit jeher. Kann die Interne Revision die Bereiche, die sie beraten hat, im Nachgang noch unbefangen und unabhängig prüfen? Andererseits ist die Interne Revision aufgrund der mannigfachen Prüfungen in allen Bereichen und Funktionen der Know-how-Träger im Unternehmen schlechthin. Ob bei der Einführung eines geeigneten Internen Kontrollsystems, beim sicheren Customizing eines SAP-Systems oder bei Fragen des optimalen Prozessdesigns kann die Interne Revision im Sinne des Best Practice-Sharing ihr Wissen in die Organisation tragen. Es darf auch nicht vergessen werden, dass die Interne Revision quasi standardmäßig Beratungsleistungen erbringt. Es ist eine Selbstverständlichkeit, im Anschluss an eine Prüfung einen Bericht vorzulegen, dessen wesentlicher Bestandteil ein Maßnahmenkatalog ist. Das Treffen von Feststellungen und damit verbundener Empfehlungen ist Bestandteil der tagtäglichen Arbeit der Internen Revision. Die Frage, ob man einen auditierten Bereich, der Empfehlungen der Internen Revision umgesetzt hat, nochmals prüfen kann oder sollte, hat noch niemand gestellt. Insofern ist die Diskussion um die Bereitstellung von Beraterleistungen durch die Interne Revision auch ein wenig akademisch. Zumal dann, wenn durch die Unternehmensleitung erwartet wird, dass das in der Internen Revision vorhandene Wissen um die Bereiche, Strukturen und Prozesse im Unternehmen in der Art verfügbar gemacht, indem das Unternehmen insgesamt davon profitiert. Letztlich entscheidet die Unternehmensleitung, wie im Spannungsfeld zwischen Prüfung und Beratung zu entscheiden ist. Nach Auffassung der Autoren wird eine Interne Revision immer dann von der Unternehmensleitung in Beraterfunktionen gebeten, wenn sie durch gute Leistungen die Akzeptanz der Unternehmensführung erworben hat. Dann wird sie sich den Bitten aber auch nicht entziehen können – unabhängig davon wie der oben angeführte akademische Streit ausgehen wird.

75 Hunecke, J., Interne Beratung durch die Interne Revision, Sternenfels 2001.

75

266

267

268

269

1 1

§1 270

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Von Bedeutung ist in diesem Zusammenhang auch noch die Frage nach der angemessenen personellen Kapazität der Internen Revision. Wird sie zunehmend für Beraterdienste eingesetzt, könnte die eigentliche Prüfungsaufgabe zu kurz kommen. Auch hier wird das interne Standing entscheidend dafür sein, ob die Unternehmensleitung zusätzliche Kapazitäten bereitstellt oder eben nicht. ■

271

272

273

274

275

276

277

Risk Management Spätestens seit dem KonTraG ist die Interne Revision ein wesentliches Element des Risikomanagements eines Unternehmens. Die Interne Revision bringt an dieser Stelle, ähnlich wie beim Internal Consulting, vor allem ihr umfangreiches Erfahrungswissen aus den Prüfungen mit ein. Die Interne Revision kann insbesondere ergänzend zu den Risk Ownern zur Risikoidentifikation und zur Risikobewertung eingesetzt werden. Darüber hinaus wird ihr Know-how nutzbar sein, um das Thema Risikomanagement im Unternehmen zu propagieren und den Nutzen dieses Management-Tools zu verdeutlichen. Selbstverständlich gehören heute auch Prüfungen des Risikomanagements zu den Aufgaben der Internen Revision. Neben so genannten Systemprüfungen, die in erster Linie darauf ausgerichtet sind, die ordnungsgemäße Umsetzung unternehmensinterner Leitlinien zum Risikomanagement zu prüfen sowie die Eignung, die Effizienz und die Effektivität des betrieblichen Risikomanagementsystems zu bewerten, treten heute vermehrt auch Prüfungen hinzu, die sich mit der Vollständigkeit der erfassten Risiken je Risikofeld beschäftigen sowie mit der angemessenen Bewertung der Risiken hinsichtlich Schadenhöhe und Eintrittswahrscheinlichkeit. Gerade der letztgenannte Aspekt der Prüfung des Risikomanagements bedeutet die Verpflichtung zu einer hohen Expertise des Prüfers, die es ihm ermöglicht, die erforderlichen Analysen durchzuführen und seine Ergebnisse mit den geprüften Bereichen kritisch zu besprechen. Gelingt dies, so kann die Interne Revision für jedes Unternehmen äußerst wertvoll sein. ■ Due Diligence und Post-Merger-Integration Support Im Bereich der Due Diligence kann die Interne Revision eine Vielzahl von Aufgaben übernehmen. Allgemein versteht man unter Due Diligence die sorgfältige Analyse, Prüfung und Bewertung eines Objektes bei einer beabsichtigten Unternehmenstransaktion. Die Due Diligence dient dabei insbesondere zur Beschaffung und Aufarbeitung von Informationen über das Kaufobjekt. Entsprechende Prüfungen werden vor allem im Vorfeld von Börseneinführungen und Unternehmensakquisitionen durchgeführt. Ziel dabei ist es, Chancen und Risiken beim Zielunternehmen zu ermitteln und natürlich den Wert des Unternehmens aufgrund detaillierter Informationen möglichst genau zu bestimmen. Die Interne Revision kann maßgebliche Unterstützungsleistungen im Bereich der Financial Due Diligence geben. Dabei geht es in erster Linie darum, die Bilanzierung, also die Vermögens- und die Schuldenlage des Unternehmens, zu prüfen. Analysiert werden außerdem die wirtschaftliche „Vergangenheit“ des Unternehmens sowie dessen Wettbewerbssituation. Des Weiteren umfasst die Financial Due Diligence ein Business Plan Review. Die entsprechenden Ergebnisse bilden die Grundlage zur Bewertung des Unternehmens. Je nach Know-how, Erfahrung und Qualifikation, über die die Interne Revision verfügt, kann sie auch über die Financial Due Diligence hinaus beim Unternehmenserwerb mitwirken, indem sie Fachkräfte für die Bereiche Recht, Steuern, IT oder Umwelt bereitstellt, die ähnlichen Prozessen unterworfen werden wie der Finanzbereich.

76

C.

1

Die Position der Internen Revision im Unternehmen

■

Unterschlagungsprüfungen Das Thema Wirtschaftskriminalität in allen seinen Ausformungen und Schattierungen wird auch im Rahmen dieses Buches noch seine gebührliche Beachtung finden. An dieser Stelle soll aber schon einmal deutlich gemacht werden, dass Unterschlagungsprüfungen zwischenzeitlich wieder weit mehr an Bedeutung gewonnen haben, als dies den Unternehmen lieb sein kann. Dolose Handlungen haben sich in den letzten Jahren wieder zu einem wesentlichen Geschäftsrisiko entwickelt, wie die Studien und Veröffentlichungen sowohl hinsichtlich Anzahl als auch hinsichtlich der hohen Schadenssummen belegen. Insbesondere in den USA hat der Gesetzgeber auf diese Entwicklung mit strengeren Gesetzen reagiert. In Europa sind solche oder ähnliche Normen zukünftig nicht unwahrscheinlich. Für die Unternehmen und ihre Interne Revision hat dies zur Folge, dass sie sich zunehmend mit der Thematik Wirtschaftskriminalität auseinanderzusetzen haben. Maßnahmen zur Prävention, Aufdeckung und Aufklärung sind zu entwickeln und durchzuführen. Ohne hier bereits zu sehr ins Detail zu gehen, darf der Hinweis nicht fehlen, dass aktuell ein weit verbreiteter Trend besteht, der die Interne Revision aufgrund der Entwicklungen im Bereich der Wirtschaftskriminalität wieder in Richtung „Unternehmenspolizei“ drängt – mit all seinen positiven wie negativen Auswirkungen. Abschließend zeigt die nachfolgende Abbildung noch einmal die Tätigkeitsgebiete der Internen Revision, verbunden mit einer kurzen Definition des jeweiligen Revisionsfeldes in der Übersicht:

Revisionsfelder Operational Audit Financial Audit

Prüfung und Bewertung von betrieblichen Strukturen und Prozessen, vor allem hinsichtlich Effektivität und Effizienz

Prüfung und Bewertung des Finanzund Rechnungswesens auf Aussagefähigkeit, Zuverlässigkeit und Ordnungsmäßigkeit

Beurteilung betrieblicher Führungsaufgaben mit dem Ziel der Verbesserung der Organisationseffizienz

Compliance Audit

Internal Consulting „ex ante“ – Prüfungen mit dem Ziel des „Best Practice Sharing“

Interne Revision

Prüfung der Unternehmensprozesse auf Einhaltung der gesetzlichen Vorschriften und der unternehmensinternen Regelungen

Due Diligence Post Merger

Risk Management Gestaltung und Mitwirkung beim Risikomanagement

Managerial Audit

Unterschlagungsprüfung

Unterstützung bei Unternehmensaquisitionen sowie bei der Integration erworbener Organisationen

Prävention und Aufdeckung doloser Handlungen

Abbildung 1-7: Revisionsfelder

77

278

279 280

281

1

1

§1

8.

1 282

283

284

285

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Abgrenzung der Internen Revision zum Controlling

Als Controller ist man geneigt, sich vom Revisor zu distanzieren, mindestens aber mit ihm nicht verwechselt zu werden – was aber umgekehrt wohl auch gilt. Roland Kaehlbrandt hat zudem verdeutlicht, was Laien für Controller halten und dass der Controller eigentlich nichts anderes ist als ein Buchhalter: „Ähnlich wie die Raumpflegerin die diskriminierende Berufsbezeichnung Putzfrau im Zuge sozialliberaler Emanzipationsbestrebungen abgelöst hat, ist der dynamische Controller an die Stelle des mit Ärmelschonern versehenen Buchhalters gerückt.“76 Gleichwohl der Revisor die Neigung verspüren mag, sich einer solchen Beschreibung und Begrifflichkeit anzuschließen, legt es die Redlichkeit doch nahe, nicht diesem Bonmot zu folgen, sondern den Definitionen und Festlegungen der Betriebswirtschaft. Danach soll Controlling „als integriertes Führungs- und Informationssystem, das die Koordination von Planung, Informationsversorgung, Steuerung und Kontrolle umfasst, verstanden werden.“77 Ohne der Vielfalt weiterer Definitionen zum Begriff des Controlling und ihrer Unterschiede nachspüren zu wollen, können anhand der vorliegenden Begriffsbestimmung zumindest die Aufgabenfelder des Controlling bestimmt werden. Aus diesen Aufgabenfeldern heraus werden dann auch die Unterschiede zur Internen Revision deutlich. Zu den Aufgaben des Controlling zählen ■

Informationsaufgaben Im Rahmen seiner Informationsaufgaben wird das Controlling in idealtypischer Weise den Informationsbedarf der Unternehmensführung ermitteln, die zu erfassenden Information definieren und ein entsprechendes Informationssystem entwickeln und implementieren. Die bedeutendste Komponente dieses Systems ist die Kommunikation der gewonnenen Erkenntnisse an die Unternehmensführung.

■

Planungsaufgaben Die Planungsaufgaben des Controlling sind so umfangreich wie heterogen. Neben der Ausgestaltung der Planungssystematik ist das Controlling auch in den Planungsprozess integriert. Informationssuche, Bewertung von Entscheidungsalternativen, Analysen von Planungsentwürfen und Abstimmung von Teilplänen sind als Planungsaufgaben zu nennen. Neben der Einbindung des Controlling in die operative Planung, sollte auch eine Beteiligung an der strategischen Planung erfolgen. Hier erkennt die Wissenschaft jedoch „erhebliche Gestaltungsdefizite“.78

■

Steuerungs- und Koordinationsaufgaben Die Steuerungs- und Koordinationsaufgaben des Controlling sind unmittelbare Folge der zuvor beschriebenen Aufgabenfelder Informationsversorgung und Planung sowie der nachfolgend zu beschreibenden Kontrollaufgaben. So ergeben sich Koordinationsaufgaben aus der Koordination der Pläne, Steuerungsaufgaben etwa aus der Festlegung von Reporting-Vorgaben. Daneben werden solche Aufgaben auch durch übergeordnete Projekte, wie etwa der Einführung eines Risikomanagements oder durch Post-Merger-Integration-Prozesse generiert, die üblicherweise in die Verantwortung des Controlling gestellt werden.

76 Zit. n. Kaehlbrandt, R., Deutsch für Eliten, München 2001, S. 30. 77 Zit. n. Lück, W., Jahns, C., Controlling, in: Lexikon der Internen Revision, Lück, W. (Hrsg.), München, Wien, 2001, S. 58. 78 Siehe Weber, J., Controlling, in: Wirtschaftslexikon – Das Wissen der Betriebswirtschaftslehre, Band 3, Stuttgart 2006, S. 1127.

78

C.

1

Die Position der Internen Revision im Unternehmen

■

Kontrollaufgaben Die Kontrollaufgaben stehen sicherlich im Zentrum des Betätigungsfelds des Controlling, auch wenn in der Diskussion um den Controlling-Begriff stets betont wird, dass Controlling über das deutsche Wort Kontrollieren hinausreicht. Das englische Wort „to control“ bedeutet: „to exercise restraining or directing influence over“79. Also etwa: Zwang ausüben, Einfluss steuern. Im Deutschen hingegen bedeutet Kontrolle aber Nachprüfung, Überprüfung.80 Insofern bliebe ein „Kontrolling“ inhaltlich hinter dem Controlling zurück, da es sich dabei um Fehlernachweise und Überwachung handeln würde. Die Aufgaben des Controlling hinsichtlich der Kontrolle beziehen sich im Wesentlichen auf die Ergebnisüberwachung und die damit verbundene Abweichungsanalyse. Dabei ist es das Ziel der Kontrollaufgaben, anhand der entsprechenden Ergebnisse Maßnahmen zu Gegensteuerung zu entwickeln, Ziele zu hinterfragen und Planungsprämissen kritisch zu bewerten. Das Tätigkeitsfeld des Controlling ist mithin weit aufgefächert, weiter als das Tätigkeitsfeld der Internen Revision. Während nämlich das Controlling die Bereiche Information, Planung, Steuerung und Kontrolle bedient, umfasst die Interne Revision lediglich den Kontrollbereich. Doch selbst in diesem Aufgabenbereich unterscheiden sich beide betriebliche Funktionen voneinander. Während die Interne Revision sich als unabhängiges Prüfungs- und Überwachungsinstrument der Unternehmensführung versteht, das in sämtlichen Unternehmensbereichen und Prozessen Analysen hinsichtlich Ordnungsmäßigkeit, Effizienz, Sicherheit und Effektivität durchführt, erfolgen die Kontrollaufgaben des Controlling laufend, zukunftsgerichtet und im Zusammenhang mit seinen Informations-, Planungs- und Koordinationsaufgaben. Die Unterschiede zwischen Controlling und Interner Revision haben Horváth/Gleich anschaulich in einer Tabelle zusammengefasst:81 Controller/Controlling

Interne Revision

■

ständig, kontinuierliche Informationen auswertend, ökonomische Begleitung für die laufenden Steuerungshandlungen u.U. zielbildend, indirekt Weisungen gebend und weisungsgebunden wertet erhaltende Unterlagen und Informationen aus ist unmittelbar auf Unternehmensziel ausgerichtet setzt managementorientiertes Rechnungswesen voraus zukunftsgerichtet

■

situationsbedingt, schwerpunktwechselnd, fall- und turnusweise tätige Überwachungseinrichtung

■

neutral und unabhängig, nicht weisungsbefugt

■

ist am Geschehensort eingesetzt

■

geht von Datenrichtigkeit aus veranlasst und prüft Informationen auf Steuerungseignung und -unterstützung

■

mittelbar dem Unternehmensziel durch Risikominderung verhaftet verwendet prüfungstechnische Instrumente in allen Unternehmensbereichen Sachverhalte aufnehmend, dokumentationsorientiert und präventiv zukunftsgerichtet prüft Daten auf Richtigkeit prüft vor allem Ordnungsmäßigkeit, daneben Zweckmäßigkeit und Wirtschaftlichkeit im betrieblichen Leistungsvollzug

■ ■ ■ ■ ■ ■ ■

■ ■

■

79 The Merriam-Webster Dictionary, Springfield 1997, S. 176. 80 Siehe: Das Bedeutungswörterbuch, Mannheim-Wien-Zürich 1970, S. 386 81 Horváth, P., Gleich, R., Controlling als Teil des Risikomanagements, Stuttgart 2000, S. 122.

79

1

286

287

288

1 1

§1 289

290

291

292

Ob es heute noch tatsächlich zutrifft, dass die Interne Revision sich vor allem mit der Ordnungsmäßigkeit im betrieblichen Leistungsvollzug befasst, sei dahingestellt und an dieser Stelle nicht weiter diskutiert. Fest steht, dass sich Controlling und Interne Revision in ihren Aufgabenbereichen weniger überschneiden als ergänzen. Schnittstellen gibt es allenfalls dort, wo Prüfungsergebnisse systematisch zu Verbesserung von Strukturen und Prozessen eingesetzt werden und die Interne Revision ähnlich wie das Controlling Beratungsfunktionen wahrnimmt. Doch selbst in diesem Bereich unterscheidet sich die Art der Herangehensweise an die Consulting-Funktion durch die beiden betrieblichen Funktionen. Letztlich sollte nicht vergessen werden, dass durch eine gute Zusammenarbeit zwischen Controlling und Interner Revision für das Unternehmen auch Optimierungspotentiale zu heben sind. Dies zeigt sich etwa, wenn im Falle von wesentlichen Soll-Ist-Abweichungen durch das Controlling veranlasste Spezialprüfungen durch die Interne Revision durchgeführt werden. Das Controlling identifiziert in solchen Fällen das Risiko, das dann durch die Interne Revision aufgenommen und entsprechend bearbeitet wird. Abschließend darf natürlich der Hinweis nicht fehlen, dass zu den Aufgaben der Internen Revision auch die Prüfung des Controlling gehört.

9. 293

294

295

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Interne Revision und Compliance

Der Begriff Compliance hat im Zuge der Diskussion um eine verbesserte Corporate Governvance an Bedeutung gewonnen, obwohl es doch als Selbstverständlichkeit anzusehen sein sollte, dass sich ein Unternehmen an Recht und Gesetz hält. Denn Compliance heißt ja in deutscher Übersetzung nichts anderes als Befolgung, Einhaltung. Man kann wohl getrost davon ausgehen, dass Unternehmen nicht nur bestrebt, sondern auch verpflichtet sind, Compliance gegenüber Gesetzen, Regelungen und Standards zu demonstrieren. Einschränkend muss jedoch ein enormer Anstieg der Regelungsdichte konzediert werden, insbesondere für international agierende Gesellschaften. Man ist gar geneigt, von einer Regelungswut zu sprechen. Das Erfordernis nach der Beherrschung dieses Dickichts von Gesetzen, Verordnungen und Regelungen führte im Zusammenhang mit den Diskussionen um die Corporate Governance zu der Frage, wie dies zu leisten sei. Die Lösung stellte die Compliance-Organisation oder das Compliance-Management dar. Dabei versteht man unter Compliance ein ganzheitliches Organisationsmodell mit Prozessen und Systemen, das die Einhaltung von gesetzlichen Bestimmungen, interner Standards sowie die Erfüllung wesentlicher Ansprüche der Stakeholder sicherstellt (vgl. auch die Ausführungen oben zu „Revisionsfelder“). Die mit Compliance verbundenen Ziele sind in erster Linie die Minimierung von Risiken in drei Bereichen: ■ die Minimierung des Reputation Risk (Risiko, durch Verstoß gegen relevante Regelungen an Reputation auf den Kapitalmärkten und in der Öffentlichkeit zu verlieren) ■ die Minimierung des Compliance Risk (Risiko, durch Verstoß oder Nichtbeachtung von gesetzlichen Normen straf- oder haftungsrechtlich belangt zu werden) ■ die Minimierung des Regulatory Risk (Risiko, durch die Nichterfüllung von Normen und Standards organisatorische Missstände mit entsprechenden Ergebnisbelastungen hinnehmen zu müssen).

80

C.

1

Die Position der Internen Revision im Unternehmen

Selbstverständlich ist aus Perspektive der Unternehmen Compliance zunächst mit erheblichem Zusatzaufwand verbunden. Dennoch kann in der betrieblichen Praxis – etwa am Beispiel der Umsetzung des Sarbanes-Oxley Acts – studiert werden, dass die betroffenen Gesellschaften bestrebt sind, den neuen Anforderungen gerecht zu werden. Zudem wächst die Erkenntnis, dass mit dem SOA auch objektive Verbesserungen des Internen Kontrollsystems erzielt werden können, also aus der Compliance auch ein Nutzen erwachsen kann. Problematisch ist und bleibt es natürlich, dass es fortlaufend im nationalen wie im internationalen Bereich zu immer komplexeren Anforderungen kommt, denen sich die Unternehmen gegenüber sehen.

296

Compliance Anforderungen KonTraG, Arbeitssicherheit, BAFIN, FCPA, Umweltschutz, 8. EU – Richtlinie etc.

Bilanzierungsrichtlinie, Transferpreis – Richtlinie, Auditor Independence, IFRS, HGB, IKS etc.

Gesetze und Textfeld Regularien Finanzrelevante Standards & Anweisungen

Operationale Standards & Anweisungen

Anti – Korruption, Geldwäsche, Risikomanagement, Ausführgenehmigungen, Produktsicherheit, ISO Standards

Anforderungsquellen

Code of Conduct, Compliance – Programm, Grundwerte und Leitlinien Insider – Richtlinie, Betriebliche Sozialleistungen etc.

Freiwillige Standards & Best Practices

Business Conduct Standards Verträge und Verpflichtungen

Corporate Identity, Corporate Social Responsibility, Globale Qualitätsstandards, UN Global Compact

Geschäfte mit Regierungen, Vertriebsprovisionen, Vertriebspartner – Management, Rahmenverträge, Betriebsvereinbarungen etc.

Abbildung 1-8: Compliance-Anforderungen In der aktuellen Diskussion um Compliance ist diese häufig verknüpft mit Corporate Governance und Internem Kontrollsystem. Durch die Finanz- und Korruptionsskandale der Vergangenheit sind die Kapitalmärkte sensibilisiert und reagieren auf negative Meldungen mit „Liebesentzug“. Eine geeignete Compliance-Organisation kann also für Anlageentscheidungen prägend sein und die Stellung einer Gesellschaft am Kapitalmarkt stärken. Darüber hinaus liegt es im Interesse von Vorstand und Aufsichtsrat, das Risiko einer persönlichen Haftung zu minimieren. Beide Organe sollten bemüht sein, wirksame Maßnahmen zur Compliance im Unternehmen zu etablieren. Um dies zu erreichen, werden im Regelfall detaillierte Informationen auf allen Ebenen des Unternehmens zu erheben sein. Dazu zählen beispielsweise ■ Geschäftsprozessbeschreibungen ■ Übersicht zu IT-Systemen und -Prozessen ■ Performance-Indikatoren u.ä.

81

297

298

1

1 1

§1 299 300

301

302

303

304

Mit den gewonnenen Erkenntnissen und der damit verbundenen Transparenz können Compliance-Anforderungen identifiziert und erfüllt werden. In diesem Prozess kann die Interne Revision eine wichtige Rolle spielen. Mit ihrem Wissen um die Strukturen und Prozesse im Unternehmen kann sie zunächst an der Implementierung eines effektiven Compliance-Managements mitwirken. Es zählt traditionell zum Aufgabenumfang der Internen Revision, die Ordnungsmäßigkeit und Sicherheit des Unternehmensgeschehens zu prüfen. Im Rahmen des Compliance-Managements nun kann die Interne Revision ihr Wissen bei der Einführung entsprechender Strukturen einbringen. Des Weiteren wird sie die Funktionsweise des Compliance-Managements regelmäßig prüfen und Optimierungsmaßnahmen empfehlen können. Sie wird aber als unabhängige Prüfungsinstanz für die Compliance nicht verantwortlich sein dürfen. Daraus folgt auch, dass die Bereiche Interne Revision und Compliance organisatorisch strikt voneinander zu trennen sind. Andererseits wird man schon aus Gründen des großen Überschneidungsbereiches beider Funktionen um einen möglichst breiten Informationsaustausch bemüht sein. Schlagworte sind hier Synergie und Effizienz. Die Interne Revision wird dennoch innerhalb von Prüfungen des Compliance-Managements nicht darum herumkommen, etwa die persönliche und die fachliche Qualifikation der Compliance-Verantwortlichen, die Dokumentation und Umsetzung von Compliance-Maßnahmen oder ähnliches zu prüfen. Insbesondere wird die Interne Revision sich auch mit den Compliance-Prozessen beschäftigen müssen, also etwa mit der Frage, wie die Unterrichtung über Änderungen der Gesetzeslage erfolgt oder wie eine Anpassung der Compliance-Regelungen für den Fall erfolgt, dass beispielsweise neue Produkte eingeführt werden. In vielen Organisationen ist zwischenzeitlich die Position des Compliance-Officers eingeführt worden, der sich nicht nur mit der Einhaltung von Gesetzen, Verordnungen und Regelungen zu beschäftigen hat, sondern ganz wesentlich auch mit der Einhaltung unternehmensinterner Richtlinien und besonders mit der Einhaltung von Verhaltens- oder Ethikkodizes. Gerade bei dieser Tätigkeit kommt eine schlanke Compliance-Organisation ohne die Unterstützung der Internen Revision nicht aus. Abschließend sei noch ein kurzer Kommentar erlaubt: Es klingt natürlich gut, wenn ein Unternehmen zeigt, dass es sich um Compliance bemüht und den Kampf gegen Korruption ernst nimmt. Allerdings bedeutet die Installation einer Compliance-Organisation oder die Ernennung eines Compliance-Officers gar nichts, wenn ethisch korrektes Verhalten nicht Teil der Unternehmenskultur ist. Gerade der Führung muss bewusst sein, dass sie durch ihr Vorbild im Unternehmen wirkt. Das heißt aber auch, dass gegen Unregelmäßigkeiten im Unternehmen ohne Ansehen von Personen vorgegangen wird und dass sich die Führung selbst korrekt verhält – also anständig im besten Sinne.

10. 305

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

IT-Revision und Datenschutz

Die Revision der Informationstechnologie stellt für die Interne Revision eine besondere Herausforderung dar. Drei Problembereiche verdeutlichen dies: 1. Regulierung Die zunehmenden externen Regulierungen wie etwa der Sarbanes-Oxley-Act, die 8. EU-Richtlinie und ähnliche Vorhaben werden den Druck auf die IT-Revision hinsichtlich der IT-Compli82

C.

1

Die Position der Internen Revision im Unternehmen

ance und der Anforderungen an IT-Controls deutlich erhöhen. Es besteht insbesondere die Gefahr des Imageschadens bei Versagen von automatisierten Kontrollen.

1

2. Organisatorischer Wandel Durch die Schnelligkeit des organisatorischen Wandels, der dauerhaften Veränderung von Geschäftsmodellen und insbesondere durch den immer rapideren technologischen Fortschritt im IT-Bereich werden die Herausforderungen an die IT-Revision immer größer. Kürzere Lebensdauerzyklen der IT-Technologien, eine hohe Komplexität der IT-Themen wie etwa Downsizing oder Netzwerke sowie die Integration neuer Systeme und Anwendungen in Situationen permanenten Wandels sorgen für wachsende Risiken im IT-Bereich des Unternehmens und erfordern damit eine verstärkte Überwachung und Kontrolle. 3. Ressourcen Der Bedarf an hoch qualifizierten IT-Revisoren wächst und gleichzeitig wird der Markt für solche Spezialisten eng. Der gewöhnliche Revisor bringt in der Regel nicht die Fähigkeiten und das Wissen mit, um die komplexen Fragestellungen der modernen Informationstechnologie bewältigen zu können. Hier sind Fachspezialisten gefragt. Diese müssen jedoch – wenn sie für die Revision gewonnen werden konnten – mit den Besonderheiten des Revisionsgeschäfts vertraut gemacht werden. Heute ist die Informationstechnologie zweifellos das wichtigste Hilfsmittel innerhalb von Unternehmen zur Erreichung seiner Ziele. Damit die Unternehmensziele erreicht werden können, müssen die von der IT bereit gestellten Informationen verlässlich sein und bestimmten Kriterien genügen. Eine Quelle für solche Kriterien können beispielhaft zunächst die so genannten Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sein. Diese wurden von der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. und vom Bundesministerium für Finanzen 1985 veröffentlicht. Sie legen in knappen Worten fest, wie die Anwendung der Grundsätze ordnungsgemäßer Buchführung auf Datenverarbeitungssysteme zu erfolgen hat. Eine zusätzliche Quelle maßgeblicher Kriterien für die Qualität der Informationstechnologie ist die Stellungnahme des Fachausschuss für Informationstechnologie (FAIT) zu den „Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“ (ERS FAIT 1) sowie dazu ergänzend der Prüfungsstandard EPS 330 „Abschlussprüfung bei Einsatz von Informationstechnologie“ des Instituts für Wirtschaftsprüfer (IDW). Neben diesen Quellen für die IT-Revision sind vor allem die COBIT zu nennen. COBIT ist die Abkürzung für „Control Objectives for Information and Related Technology“. Die COBIT wurden von der Information Systems Audit and Control Association (www.isaca.org), einer internationalen Berufsvereinigung der IT-Revisoren, entwickelt und 1998 als offener Standard zur Verfügung gestellt. Sie definieren als High Level IT- Revision die Arbeitsabläufe und Prozesse, die erforderlich sind, die IT auf die Erreichung der Unternehmensziele abzustimmen. Dabei beschäftigen sich die COBIT nicht mit Detailprüfungshandlungen zu den IT-Ressourcen. Zur Bearbeitung dieser Fragen sei auf das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) verwiesen. Ausgehend von den sieben Qualitätskriterien für Informationen und Informationssysteme (Effektivität, Effizienz, Vertraulichkeit, Integrität, Verfügbarkeit, Konformität und Zuverlässigkeit) und den Ressourcen (Personal, Anwendungen, Technologie, Einrichtungen und Daten) werden insgesamt 34 Kern-Prozesse definiert in den vier Bereichen: ■ Planung und Organisation, ■ Beschaffung und Entwicklung, 83

306

307

308

309

310

1

§1 ■

1 311

312

313

314

315

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

Betrieb und Unterstützung sowie ■ Überwachung. Die einzelnen COBIT-Prozesse orientieren sich an allgemeingültigen Anforderungen, wie sie in jedem Unternehmen an die Informatik zu stellen sind. Ausgehend von diesen Anforderungen werden für jeden der Prozesse konkrete Kontrollziele und die darin einzubeziehenden Überlegungen definiert. Der Vorteil der Anwendung von COBIT im Rahmen von IT-Prüfungen ist die Möglickeit einer klaren Strukturierung und einer zielgerichteten Prüfungsdurchführung. Jedem Prüfungsbeteiligten sind die einzelnen zu untersuchenden Prozesse und Kontrollziele bekannt. Als Schwäche von COBIT wird immer wieder genannt, dass mit Hilfe dieser Systematik zwar eine Offenlegung von IT-Problemen und Schwachstellen ermöglicht wird, eine Beschreibung von Optimierungsmaßnahmen jedoch nicht erfolgt. In der betrieblichen Praxis werden sich IT-Revisionen im Regelfall zunächst auf den Aspekt der Ordnungsmäßigkeit beziehen. Dabei wird im Wesentlichen untersucht, ob IT-Organisationspläne, Programmdokumentationen, Daten- und Netzwerksicherungsmaßnahmen, Zugriffsschutzsysteme (Benutzerberechtigungen, Passwortsysteme), Kontrollen im IT-Betrieb und Notfallpläne bei Systemabsturz für einzelne Anwendungen und Systeme vorliegen. Neben diesen Aspekten wird sich die IT-Revision auch mit Fragen nach der Wirtschaftlichkeit von IT-Applikationen und Systemen beschäftigen müssen. Es zählt zu den Erfahrungen mit Technikern, dass diese eine Neigung haben, Systeme überzudimensionieren. Eine weitere Frage, die im Zusammenhang mit der IT-Revision zu beantworten ist, ist die nach der Vereinbarkeit von Revision und Datenschutz. In vielen Unternehmen wird der Datenschutz als lästiges gesetzliches Erfordernis gesehen, das der Realisierung von „tollen“ IT-Projekten im Wege steht. Die Aufgabe wird häufig auf die Revision übertragen, getreu dem Motte: „Die haben eh keine Freunde, dann können sie den Datenschutz gleich mit machen.“ Dass dies eine Fehleinschätzung ist und den Anforderungen des Datenschutzes keineswegs gerecht wird, muss nicht weiter erörtert werden. Insbesondere dann, wenn Menschen persönlich mit Verletzungen ihrer Persönlichkeitsrechte konfrontiert werden, wächst die Sensibilität für das Thema Datenschutz. Aber auch die nachfolgende Übersicht zu den Aufgaben des betrieblichen Datenschutzbeauftragten mag verdeutlichen, wie umfangreich dieses Thema ist.

84

C.

1

Die Position der Internen Revision im Unternehmen

Aufgaben des Datenschutzbeauftragten Schulung und Zusammenarbeit

Beratung und Mitwirkung

Überwachungsaufgaben

Mitwirkung bei der Erstellung der Verfahrensverzeichnisse

Überprüfen von automatisierten Verarbeitungen vor Inbetriebnahme

Schulung der Mitarbeiter in datenschutzrechtlichen Fragen

Mitwirkung bei der Entwicklung / Weiterentwicklung des Datenschutzkonzeptes

Überwachung der Datenschutz- und Datensicherungsmaßnahmen sowie der ordnungsgemäßen Anwendung

Bericht an den Vorstand / die GF über den Stand des Datenschutzes im Unternehmen

Mitwirkung bei der Weiterentwicklung aller datenschutzrelevanten Richtlinien und Anweisungen

von Datenverarbeitungsprogrammen

Zusammenarbeit und Kontaktpflege in Bezug auf Datenschutz und

Mitwirkung bei der Einführung technischer Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten

vorschriften stehen, sowie Teilnahme an der Überprüfung von Datenschutzverletzungen

Mitwirkung bei datenschutzgerechten Formular- und Vertragsgestaltung Mitwirkung bei der Gestaltung von Verfahren zur Sicherstellung der Betroffenenrechte

Bearbeitung von Beschwerden, die in Beziehung zu Datenschutz-

Datensicherheit mit unternehmens-internen und externen Stellen Kontaktpflege zur zuständigen Datenschutzaufsichtsbehörde

Überwachung der Einhaltung von Verpflichtungserklärungen nach § 5

mitwirkende und eigenverantwortliche Vertretung des

BDSG

Unternehmens in Datenschutzangelegenheiten gegenüber der

Überwachung von Meldepflichten an die jeweils zuständige Aufsichts-

1

zuständigen Aufsichtsbehörde

behörden für Datenschutz

Mitwirkung bei der Auftragsvergabe zur Verarbeitung personenbezogener Daten durch Externe

Abbildung 1-9: Aufgaben des Datenschutzbeauftragten In der betrieblichen Praxis geschieht es häufig, dass der Leiter der Internen Revision nebenamtlich mit der Aufgabe des betrieblichen Datenschutzbeauftragten beauftragt wird. Die eigentliche operative Tätigkeit wird nicht selten an die IT-Revision delegiert. Nach Auffassung der Verfasser wird dieses Vorgehen den Ansprüchen an einen funktionsfähigen und effizienten Datenschutz nicht gerecht. Wie von Simitis dargestellt, wird bei einer Bestellung des Leiters einer Internen Revisionsabteilung zum Datenschutzbeauftragten die gesetzlich geforderte Zuverlässigkeit durch einen doppelten Interessenkonflikt infrage gestellt.82 Während sich die Revision im Rahmen ihrer Tätigkeiten an Wirtschaftlichkeitserwägungen ausrichtet, orientiert sich das Wirken des Datenschutzbeauftragten ausschließlich an einer datenschutzkonformen Datenverarbeitung. Zudem kann die Revision den Datenschutz prüfen, genauso wie der Datenschutzbeauftragte Kontrollen bei der Revision durchführen kann. Mithin würde sich der Leiter einer Revisionsabteilung zweimal selbst prüfen. Dies steht einer konsequenten Einlösung der Anforderungen an den betrieblichen Datenschutz entgegen. Mithin sollten IT-Revision und Datenschutz getrennten Führungsverantwortlichkeiten unterliegen. Dies bedeutet keineswegs, dass zwischen beiden Bereichen keine Zusammenarbeit stattfinden sollte – im Gegenteil. Jedoch ist die Ausrichtung des Datenschutzes eine gänzlich andere als die der Revision. Um der steigenden Bedeutung des Datenschutzes auch vor dem Hintergrund der Einhaltung von Compliance – Anforderungen gerecht zu werden, empfiehlt es sich, dem Datenschutz

82 Simitis, S. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5., völlig neu bearb. Auflage, Baden-Baden 2003, S. 472.

85

316

317

318

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

innerbetrieblich die notwendige Beachtung in Form einer entsprechenden organisatorischen Stellung einzuräumen.

1

11. 319

320

321

322

323

324

Interne Revision: zentral oder dezentral?

Die Frage nach zentraler oder dezentraler Organisation der Internen Revision wird immer wieder heftig diskutiert. Bei Diskussionen in Fachkreisen lässt sich dabei im Grunde feststellen, dass die Beantwortung dieser Frage ähnlich wie die Konjunktur Zyklen unterlegen ist, wobei die Zyklen nicht selten durch die Beraterbranche befeuert sind. Um es gleich vorweg zu sagen: Es gibt keine endgültige Wahrheit bei der Beantwortung dieser Frage. Jedes Unternehmen muss für sich die Vor- und Nachteile der Organisationsform abwägen und dann entscheiden. Dabei müssen die jeweils individuellen Rahmenbedingungen des Unternehmens genauso in Rechnung gestellt werden wie die Ziele, die die Unternehmensführung mit der Funktion der Internen Revision verfolgt. Grundsätzlich wird man zwar davon ausgehen müssen, dass das Organisationsprinzip für die Interne Revision dem Organisationsprinzip des Unternehmens insgesamt entspricht. Doch kann es durchaus der Fall sein, dass ein Unternehmen, das prinzipiell stark dezentralisiert organisiert ist, aus übergeordneten Gründen eine zentrale Interne Revision vorhält. Die Vorteile einer zentralen Internen Revision ergeben sich aus der Bündelung sämtlicher Prüfungsfunktionen. Durch die Möglichkeiten der rationalen Verwaltung und des optimalen Einsatzes der vorhandenen personellen Kapazitäten kann eine zentrale Interne Revision kostengünstiger agieren als mehrere dezentrale Einheiten. Durch die guten Koordinationsmöglichkeiten kann darüber hinaus sichergestellt werden, dass es nicht zu Arbeitsüberschneidungen zwischen dezentral organisierten Bereichen kommt. Die Zuständigkeiten für sämtliche Prüfungsfunktionen im Unternehmen sind eindeutig geklärt, Kompetenzgerangel ist nicht zu vermuten. Durch die Zentralisation der Internen Revision ist es möglich, unternehmensweit identische Standards für die risikoorientierte Prüfungsplanung, den Prüfungsablauf und die Berichterstattung zu etablieren. Gegenüber der Unternehmensleitung kann die Interne Revision dann mit einem einheitlichen Erscheinungsbild auftreten. Eine zentrale Interne Revision bietet zudem die Möglichkeit der Rekrutierung von Spezialisten für besonders komplexe Prüfungsthemen. Gerade die Entwicklung im Bereich der Informationstechnologie, aber auch im Bereich Finanzen verlangen von der Internen Revision heute das Vorhalten von absoluten Fachleuten, die auf Augenhöhe mit den Mitarbeitern und Führungskräften der jeweiligen Fachbereiche diskutieren und argumentieren können. Zentral organisierte Revisionsabteilungen haben sicherlich eher die Möglichkeit, solche Spezialisten zu entwickeln oder anzuwerben, als kleinere, dezentrale Einheiten. Im Endeffekt kommt es dann mit dem Einsatz qualifizierteren Personals tendenziell zu besseren Prüfungsergebnissen und damit zu einer Leistungssteigerung der Internen Revision. Die größten Vorteile eines zentral ausgerichteten Organisationsprinzips für die Interne Revision bietet jedoch die größere Unabhängigkeit einer zentralen Internen Revision gegenüber den zu prüfenden Einheiten im Vergleich mit einer dezentralen Internen Revision. Die zentrale Interne Revision wird aufgrund geringerer Verbindungen zu den dezentralen Prüfungseinheiten eine größere Autorität und Unabhängigkeit realisieren können. Das ist jedoch auch gleichbedeutend mit einer größeren Entfernung zum eigentlichen Geschäft. Hier setzt auch die Kritik an einer zentralen Internen Revision an. 86

C.

1

Die Position der Internen Revision im Unternehmen

Die dezentrale Interne Revision, die räumlich in der Nähe der zu prüfenden Einheit angesiedelt ist, ist mit dem Geschäft und den Besonderheiten vor Ort vertraut. Durch diese Nähe ist zwar die Unabhängigkeit der Internen Revision nicht in dem Maße gegeben, wie dies bei einer zentralen Internen Revision der Fall ist. Jedoch wird sich bei dieser Konstellation viel eher ein Vertrauensverhältnis herausbilden zwischen Interner Revision und zu prüfender Einheit. Die Folge dieses Vertrauens kann sein, dass sich die zu prüfenden Einheiten mit Problemen und Schwierigkeiten an die Interne Revision wenden. In jedem Fall sind dezentrale Interne Revisionen über die Risiken vor Ort besser und umfassender informiert als eine zentrale Interne Revision. Die Betriebsnähe ist mithin das entscheidende Argument für eine dezentrale Interne Revision. Ein solches Organisationsprinzip wird darüber hinaus zu kürzeren Prüfungszyklen und einer höheren Prüfungsintensität führen. Entscheidend ist jedoch, wie von der Unternehmensleitung die Gewichtung zwischen Unabhängigkeit und Betriebsnähe gesehen wird. In der betrieblichen Praxis finden sich beide Modellarten sowie Mischungen beider Systeme. So hat etwa ein deutsches DAX-Unternehmen die strategische und operative Revisionsfunktion getrennt und eine eigenständige Servicefunktion mit Kompetenzzentren geschaffen. D.h., dass sich die Funktion Corporate Audit auf strategische Aufgaben wie etwa Grundsatzaufgaben, strategische bedeutsame Prüfungen oder etwa auf die Bearbeitung von Projekten fokussiert. Währenddessen erfüllt eine Service-Einheit, die in einer separaten Gesellschaft organisiert ist, die operativen Revisionsaufgaben. Diese Gesellschaft ist intern nach Kompetenzzentren für die Bereiche Kaufmännische Revision, IT-Revision, Technische Revision und SOX gegliedert. Die Funktion Corporate Audit überwacht die operative Revisionseinheit und hat Richtlinienkompetenz. Mithin lässt sich sagen: Anything goes! Der Auffassung aber, dass mit der Zentralisierung eine Leistungssteigerung der Internen Revision zwingend folgt, schließen sich die Autoren – auch durch Erfahrung klüger geworden – nicht an.

12.

325

326

327

328

Outsourcing von Revisionsleistungen

Macht es Sinn, DIE Überwachungsfunktion im Unternehmen, DAS Instrument der Unternehmenskontrolle, aus der Hand zu geben? Macht es Sinn, dass einem Dritten intime Einblicke in ein Unternehmen gewährt werden? Die Fragestellungen mögen bereits verdeutlichen, dass dies für die Verfasser nur schwer vorstellbar ist. Der Trend zum Outsourcing und speziell zum Outsourcing von IT-Leistungen ist in Zeiten schwacher Konjunktur besonders ausgeprägt. Unternehmen meinen, sich auf ihre Kernkompetenzen besinnen zu müssen und versuchen, durch die Auslagerung von Bereichen, die sie als Nebentätigkeiten ansehen, Kostenersparnisse zu erzielen. Aber wie immer im Leben, bietet Outsourcing nicht nur Chancen. Insbesondere das Outsourcing der Internen Revision ist aus Sicht der Verfasser kritisch zu bewerten. Aktuell geht der Trend im Outsourcing der Internen Revision in zwei Richtungen. Zum einen werden einzelne Projekte an externe Beratungsgesellschaften vergeben, zum anderen bedienen sich Interne Revisionen des speziellen Know-hows von Beratungsgesellschaften in einzelnen Bereichen wie etwa IT oder Finanzen.

329

330

331

■

Projekte Das Angebot der Beratungsgesellschaften zielt bei der Wahrnehmung einzelner Projekte darauf, die Interne Revision eines Unternehmens bei Kapazitätsengpässen zu unterstützen. Die Bera87

332

1

1

§1

Die Interne Revision in deutschen Wirtschaftsunternehmen – Grundlagen

tungsfirmen stellen – meist auch sehr kurzfristig, so dies vom Kunden gewünscht wird – Teams zusammen. Diese Teams sind in der Regel in der Lage, ein spezifisches Prüfungsprojekt selbständig durchzuführen oder ein laufendes Prüfungsprojekt zu begleiten. Solche Einsätze werden relativ eigenständig durch die Beraterfirmen wahrgenommen. Es erfolgt lediglich eine Steuerung des externen Teams durch die Revisionsleitung.

1

■

333

334

Co-Sourcing Die wohl häufigste Art der Zusammenarbeit zwischen Interner Revision und Beratungsfirmen ist das so genannte Co-Sourcing. Das Unternehmen, das auf eine solche Variante der Zusammenarbeit zurückgreift, verfügt über eine eigene Revisionsabteilung. Zur Unterstützung bei personellen oder fachlichen Engpässen greift man jedoch auf externe Fachleute zurück. Mit dem Co-Sourcing sichert sich das Unternehmen den Zugang zu qualifizierten Revisoren und Beratern mit Spezialwissen (z.B. IT, Treasury und Unterschlagungsprävention) sowie eventuell erforderlicher branchenspezifischer Erfahrung. Daneben besteht die Möglichkeit, Revisoren zu kontrahieren, die besondere Kenntnisse über ausländische Kulturen und Sprachen mitbringen. Dies ist etwa bei Prüfungen in China aufgrund der Sprache unerlässlich. Das Co-Sourcing versetzt die Interne Revision in die Lage, flexibel und angemessen auf neue Herausforderungen reagieren zu können. Sowohl bei einzelnen Projekten als auch beim Co-Sourcing besteht für die Interne Revisionsabteilung die Möglichkeit, aufgrund der Zusammenarbeit mit den Beratern Zugang zu neuen Prüfungsmethoden, moderner Technologie und aktuellem Wissen zu erhalten. ■

335

336

Outsourcing Weitaus kritischer als die vorgenannten Arten der Zusammenarbeit ist das komplette Outsourcing der Internen Revision zu bewerten. Dabei übernehmen Beratungsgesellschaften die Aufgaben der Internen Revision vollständig. Die Argumentation der Berater lautet: Fixkosten werden zu variablen Kosten durch den Einkauf einer modernen Dienstleistung. Die Berater werben damit, anhand risiko- und prozessorientierter Methoden einen Revisionsplan zu erstellen, den sie mit erfahrenen Beratern abarbeiten. Sie vergessen dabei zu erwähnen, dass durch den Aufbau einer eigenen Internen Revision im Unternehmen selbst die Erfahrungen aufgebaut und genutzt werden können, die ansonsten den Beratern zufallen. Darüber hinaus wird eine eigene Revision stets einen Vorteil in der Zusammenarbeit mit den Mitarbeitern des Unternehmens haben. Die Interne Revision verfügt in der Regel über ein Detailwissen, das dem Branchenwissen der Berater weit überlegen ist. Wichtiger jedoch ist, dass sich ein Unternehmen, das seine Interne Revision in die Hände Dritter gibt, genau in diesen Händen befindet. Ein Externer würde mit Fragestellungen konfrontiert, die höchste Sensibilität und Vertraulichkeit bedingen. Aus Sicht der Verfasser garantiert das Vorhalten einer eigenen Revisionsabteilung, dass Risikoabdeckung, Effizienzsteigerung und das Schaffen von Mehrwert im Unternehmen optimal gesteuert werden.

88

2

§ 2 Rechtsgrundlagen zur Internen Revision 2

A.

Überblick – das KonTraG und andere Rechtsquellen

Es gibt eine Reihe von Regelungen mit rechtlichem Charakter, die als Grundlagen für die Interne Revision in deutschen Wirtschaftsunternehmen herangezogen werden können. Manche können sogar als eine Art Beleg für die „Existenzberechtigung“ der Internen Revision angeführt werden. Dazu gehört vor allem § 91 Abs. 2 AktG, der die Verpflichtung zur Implementierung eines Überwachungssystems zur Früherkennung existenzgefährdender Entwicklungen in Unternehmen regelt. § 91 Abs. 2 AktG lautet: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Um aber eine wesentliche Aussage gleich an den Anfang des Rechtsteils zu stellen: Abgesehen von Ausnahmen (im Bankenbereich) ist festzustellen, dass es keine Rechtsnorm gibt, die deutsche Wirtschaftsunternehmen zur Schaffung und Unterhaltung einer Internen Revision als Institution, etwa als Bestandteil eines solchen Überwachungssystems, verpflichtet. Auch § 91 Abs. 2 AktG kann so nicht interpretiert werden, zumal diese Vorschrift sehr vage geraten ist (siehe dazu ausführlich unten). In der Prüfungspraxis und im betriebswirtschaftlichen Schrifttum wird zum Teil die Ansicht vertreten, § 91 Abs. 2 AktG enthalte die Pflicht zur Schaffung eines umfassenden Risikomanagementsystems. Dabei wird mitunter der Eindruck erweckt, es sei auch formalrechtlich die Einrichtung einer Revisionsabteilung notwendig. Auch von staatlicher Seite wird die Vorschrift zuweilen mindestens missgedeutet: „Die Notwendigkeit einer Internen Revision ergibt sich zum Teil ausdrücklich aus spezifischen gesetzlichen Regelungen wie beispielsweise § 91 Abs. 2 AktG.“ (vgl. Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin, Rundschreiben 1/2000 vom 17.1.2000 – I 4–42–5/97, Nr. 2 Rn. 7, Satz 1). Soweit die Prüfungspraxis dies vertritt, ist das in vielen Fällen als Versuch eines Marketings in eigener Sache zu bewerten. Auch kann die in der Internen Revision eher seltener anzutreffende juristische Expertise zu einer solchen Ansicht beitragen. Ungeachtet dessen ist § 91 Abs. 2 AktG die Norm, die den herausragenden Aufhänger für eine rechtliche Betrachtung zur Internen Revision bildet und die daher auch den Schwerpunkt der nachfolgenden Betrachtungen des rechtlichen Abschnitts in diesem Buch darstellt. Die Vorschrift ist am 1.5.1998 als wesentlicher Bestandteil des „Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich“ in Kraft getreten (BGBl. I 1998, 786). Bei diesem „KonTraG“ (diese Abkürzung für das Gesetz war schon im Gesetzgebungsverfahren verwendet worden und wird auch heute in der Literatur gängig verwendet) handelte es sich um ein sog. Artikelgesetz. Das ist ein Gesetz, mit dem der Gesetzgeber verschiedene bestehende Fachgesetze ändert. Thematisch untergliedert wird dies in verschiedene Kapitel, die als „Artikel“ bezeichnet werden. Dazu gehörte im Falle des KonTraG vor allem das AktG (Artikel 1) und hier auch dessen so geschaffener § 91 Abs. 2, der eine Neuregelung darstellte. Ebenfalls durch das KonTraG eingeführt wurden einige Änderungen bei Vorschriften des HGB. Wegen ihres Sachzusammenhangs mit § 91 Abs. 2 AktG sind sie für dessen Verständnis von Bedeutung. Dazu gehörte die Neuerung bei amtlich notierten Aktiengesellschaften, dass der Ab89

1

2 3

4

5

2

§2

2

6

7

8

Rechtsgrundlagen zur Internen Revision

schlussprüfer bei ihnen die Ordnungsmäßigkeit der getroffenen Maßnahmen und des Überwachungssystems zu beurteilen hat (§ 317 Abs. 4 HGB) und darüber in einem besonderen Berichtsteil zu berichten hat (§ 321 Abs. 4 HGB). Ferner obliegt dem Abschlussprüfer auch bei nicht amtlich notierten Aktiengesellschaften die Prüfung, ob im Lagebericht der Gesellschaft die Risiken zukünftiger Entwicklung zutreffend dargestellt sind (§ 317 Abs. 2 Satz 2 HGB), worüber ebenfalls eine Aussage im Prüfungsbericht getroffen werden muss (§ 321 Abs. 1 HGB). Das Institut für Wirtschaftsprüfer hat am 25.6.1999 einen Prüfungsstandard „Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB“ (IDW PS 340) verabschiedet. Er bildet nach wie vor die Grundlage für die Arbeit der Abschlussprüfer in diesem Bereich. Um sich das Wesen der Internen Revision und die Grundlagen ihrer Betätigungsfelder in rechtlicher Hinsicht erschließen zu können, sind neben dem KonTraG von 1998 weitere Normen in dessen Folge von Bedeutung. Denn diese dem KonTraG nachfolgenden Vorschriften haben die Rolle des Risikomanagements zumindest noch einmal erwähnt bzw. setzen darauf auf, wenngleich eine nähere Konkretisierung der Inhalte eines solchen Systems auch hier nicht vorgenommen wurde. Dazu gehören zunächst Vorschriften des „Gesetzes zur weiteren Reform des Aktienund Bilanzrechts, zu Transparenz und Publizität“ (vom 25.7.2002, BGBl. I 2002, 2681, abgekürzt: „TransPuG“). Mit diesem Gesetz, ebenfalls ein Artikelgesetz, wurde u.a. ein neuer § 161 ins AktG aufgenommen. Er verpflichtet Vorstände und Aufsichtsräte von börsennotierten Gesellschaften jährlich zu erklären, ob ihre Gesellschaft die Empfehlungen des DCGK (siehe dazu weiter unten) eingehalten hat bzw. welchen nicht entsprochen wurde (griffig, wenngleich rechtlich unscharf: „comply or explain“). Obwohl für die unmittelbaren Belange der Internen Revision nur peripher von Bedeutung, soll ein weiteres Artikelgesetz, das „Gesetz zur Einführung internationaler Rechnungslegungsstandards und zur Sicherung der Qualität der Abschlussprüfung“ (Bilanzrechtsreformgesetz vom 4.12.2004, BGBl. I 2004, 3166), hier nicht unerwähnt bleiben. In Fortentwicklung von Aussagen aus dem TransPuG befasste es sich u.a. mit der Stärkung der Unabhängigkeit der Abschlussprüfer und diente zugleich der Fortentwicklung und Internationalisierung des deutschen Bilanzrechts. Dazu gehörte z.B. eine Erweiterung der Lageberichterstattung mit Eingehen auf Risikomanagementvorgänge (§ 289 HGB). Weiter ist der „Deutsche Corporate Governance Kodex“ (vom 26.2.2002, veröffentlicht im Internet unter www.corporate-governance-code.de sowie im amtlichen Teil des elektronischen Bundesanzeigers, abgekürzt: „DCGK“) zu nennen. Die Regeln des Kodex sind keine Rechtsnormen. Denn sie stellen keine staatliche Rechtsetzung dar, sondern es geht um Selbstverpflichtungen der Wirtschaft. Nicht zuletzt wegen ihrer gesetzlichen Inbezugnahme durch § 161 AktG erlangen sie jedoch wichtige Bedeutung für die Wirtschaftsunternehmen und sind daher auch für die Arbeit der Internen Revision von Belang. Besondere Vorgaben existieren im Bereich der Kreditinstitute. Mit § 25 a Abs. 1 Satz 3 Nr. 2 KWG findet sich hier eine gesetzliche Vorschrift, die die formale Schaffung einer prozessunabhängig tätigen Internen Revision als Teil einer ordnungsgemäßen Geschäftsorganisation bei Banken grundsätzlich vorschreibt. Für Aktienbanken kann § 25 a Abs. 1 Satz 3 Nr. 2 KWG als Konkretisierung des § 91 Abs. 2 AktG herangezogen werden. Der Gesetzgeber hat die BaFin ermächtigt, hierzu konkretisierende Regelungen zu schaffen (§ 25 a Abs. 1 Satz 4 KWG). Diese können auch in Ausnahmeregelungen bestehen. Das hat die BaFin im oben genannten Rundschreiben 1/2000 (dort Nr. 7 Rn. 39) für kleine Institute getan, weil bei ihnen die Einrichtung einer eigenen Revisionsabteilung übertrieben erscheint. Hier können daher die Revisionsaufgaben ausnahmsweise vom Geschäftsleiter des Instituts wahrgenommen werden oder ganz bzw. teilweise auf externe Stellen ausgelagert werden. Weiter von Bedeutung für die Interne Revision im Bankenbereich 90

A.

2

Überblick – das KonTraG und andere Rechtsquellen

sind die Regelungen, die in den letzten Jahren vom Baseler Ausschuss für Bankenaufsicht, „Basel II“, vorgeschlagen wurden. Sie befassen sich mit Fragen zur angemessenen Eigenkapitalausstattung von Banken und regeln in ihrer sog. zweiten Säule auch den bankenaufsichtlichen Überprüfungsprozess, bei dem auch die Interne Revision eine Rolle spielt. Die Weiterentwicklung der „Mindestanforderungen an das Risikomanagement“ in Deutschland (MaRisk; Rundschreiben 11/2001 vom 6.12.2001 der BaFin) war im Jahr 2007 in der Diskussion (vgl. die sog. Konsultation 1/2007 der BaFin zu den überarbeiteten Outsourcing-Regelungen). Die USA haben den Beginn der schrittweisen Einführung der Regelungen von Basel II, die dort ursprünglich zum 1.1.2007 vorgesehen war, mindestens verschoben. Es war sogar unklar, ob in den USA die Einführung überhaupt erfolgen wird. Wenn ja, wird dies frühestens zum 1.1.2009 erfolgen. Die zunehmende Internationalisierung des Geschäfts erbringt deutschen Unternehmen auch Berührungspunkte zu ausländischen und übernationalen Rechtsvorschriften. Für die Interne Revision bedeutsam sind hier vor allem der sog. Sarbanes-Oxley Act (oft abgekürzt mit „SOX“ oder „SOA“) und die 8. EU-Richtlinie. SOX ist ein amerikanisches Gesetz, das am 30.7.2002 in Kraft gesetzt wurde. Es gilt auch für ausländische Unternehmen, sofern sie an US-Börsen notiert sind. Section 404 von SOX verlangt für diese Unternehmen die Einrichtung eines funktionsfähigen Internen Kontrollsystems (IKS). Dem nachfolgend soll Ähnliches auch in den Mitgliedsstaaten der EU eingeführt werden, so das Gebot der sog. 8. EU-RL (Richtlinie 2006/43/EG vom 17.5.2006), die u.a. die Pflicht zur Errichtung eines sog. Audit Committees für Unternehmen von öffentlichem Interesse vorsieht. Obwohl auch diese beiden Regelwerke keine explizite Verpflichtung zur institutionellen Schaffung einer Internen Revision beinhalten, sind sie für die Interne Revision in deutschen Unternehmen doch von großem Belang. Neben den soeben aufgeführten Rechtsquellen, die auf die Unternehmen „von außen“ einwirken, sind für die Arbeit der Internen Revision auch vielfältige interne Unternehmensvorschriften von großer Wichtigkeit. Dazu gehören Dienstanweisungen und Richtlinien, mit denen Unternehmen Handlungsanweisungen in Form von Geboten und Verboten setzen. Das sind u.a. Revisionsrichtlinien, die die Aufgaben und Befugnisse der Internen Revision gegenüber den geprüften Stellen definieren. Sie alle werden hier unter dem Sammelbegriff „Innenrecht“ erörtert. Was die Rechtsquellen anbelangt, die für das Wesen der Internen Revision und für das Verständnis von deren Arbeit herangezogen werden können, ergibt sich folgender Überblick: ■ KonTraG (insbesondere: § 91 Abs. 2 AktG und § 317 Abs. 4 HGB) ■ „Innenrecht“: Richtlinien und Dienstanweisungen, z.B. Revisionsrichtlinie ■ TransPuG (insbesondere mit § 161 AktG) in Verbindung mit dem DCGK ■ SOX (insbes. Section 404), Einrichtung eines IKS ■ Richtlinie 2006/43/EG vom 17.5.2006, (8. EU RL), Audit Committee ■ Kreditinstitute: § 25 a Abs. 1 Satz 3 Nr. 2 KWG und Regelungen der BaFin. In die Reihenfolge dieser Aufzählung gliedern sich im Wesentlichen die folgenden Ausführungen. Wegen seiner großen Bedeutung für die Interne Revision wird dabei im Schwerpunkt auf § 91 Abs. 2 AktG eingegangen. Des Weiteren erfolgen Darstellungen zum „Innenrecht“, zum DCGK (i.V.m. § 161 AktG) und zu internationalen Rechtsregelungen (SOX und 8. EU-RL). Die besondere Erörterung zum „Innenrecht“ ist wegen der großen praktischen Bedeutung unternehmensinterner Regelungen für die Interne Revision unumgänglich, da interne Unternehmensvorschriften die Interne Revision institutionell (Revisionsrichtlinie als formale Legitimationsbasis) betreffen können. Daneben liefern Richtlinien und Handlungsanweisungen im Unternehmen als Soll-Vor91

2

9

10

11

12

2

§2

Rechtsgrundlagen zur Internen Revision

gaben das Handwerkszeug für die operative Revisionsarbeit. Vor diesem Hintergrund findet sich auch für die Empfehlungen des DCGK eine rechtliche Heimat. Das besondere Eingehen auf SOX und die 8. EU RL ist wegen der zunehmenden internationalen Verflechtungen geboten. Nicht mehr besonders eingegangen wird auf die rechtliche Situation im Bankenbereich. Insoweit soll es mit der eingangs gebrachten Zusammenfassung der rechtlichen Situation sein Bewenden haben. Wegen weiter gehender Fragen wird auf bestehende Spezialliteratur verwiesen.1

2

13

14

15

B.

§ 91 Abs. 2 AktG als „Herzstück“ des KonTraG

I.

Vorgeschichte und Motive zum KonTraG

Mitunter wird darauf hingewiesen, das KonTraG sei die Reaktion des deutschen Gesetzgebers auf spektakuläre Unternehmenskrisen gewesen. Richtig daran ist, dass in der Tat in einer zeitlichen Nähe zu dessen Inkrafttreten Aufsehen erregende Pleiten und Krisen die Öffentlichkeit beschäftigt haben. Verwiesen sei dabei beispielhaft auf die Fälle Balsam, Bremer Vulkan, Klöckner & Co, Metallgesellschaft und Schneider. Indes ist es zu kurz gegriffen, das KonTraG wesentlich darauf zurückzuführen. Zwar ist in der Regierungsbegründung auch einmal von „Verhaltensfehlsteuerungen“ die Rede (BT-Drs. 13/9712, S. 11), es fehlt aber ein ausdrücklicher Hinweis, aufgrund dessen sich diese Annahme rechtfertigen ließe. Es wird vielmehr darauf hingewiesen, dass das Gesetz den vorläufigen Abschluss eines bereits seit dem Jahr 1995 begonnenen umfassenden Reformvorhabens zur Weiterentwicklung des deutschen Aktien- und Kapitalmarktrechts und die Anpassung an internationale Standards bilden sollte (vgl. BT-Drs. 13/9712, S. 1, 11). Angestrebt waren u.a. Verbesserungen im Rahmen der Arbeit des Aufsichtsrats, die Erhöhung von Transparenz und die Verbesserung der Qualität der Abschlussprüfung. Speziell zu den Themen „Kontrollsystem“ und „Risikomanagement“ heißt es in der Allgemeinen Begründung zum Gesetz und in der Begründung speziell zu § 91 Abs. 2 AktG wörtlich (vgl. BTDrs. 13/9712, S. 11, 15): ... Das deutsche Aktienrecht hat ein vielschichtiges Kontrollsystem. Überwachung findet auf mehreren Ebenen statt. Entscheidend ist zunächst die Einrichtung einer unternehmensinternen Kontrolle durch den Vorstand (Interne Revision, Controlling). Die nächste Überwachungsebene ist der Aufsichtsrat, der vom Abschlussprüfer unterstützt wird. Sodann übt die Hauptversammlung im Rahmen ihrer gesetzlich definierten Befugnisse Kontrolle über die Verwaltung aus... Dieses System ist ausgewogen und hat sich insgesamt bewährt... Die Verpflichtung des Vorstands, für ein angemessenes Risikomanagement und für eine angemessene interne Revision zu sorgen, soll verdeutlicht werden. Es handelt sich um eine gesetzliche Hervorhebung der allgemeinen Leitungsaufgabe des Vorstands gemäß § 76 AktG, zu der auch die Organisation gehört... Die konkrete Ausformung der Pflicht ist von der Größe, Branche, Struktur, dem Kapitalmarktzugang usw. des jeweiligen Unternehmens abhängig. Dies bedarf keiner ausdrücklichen Erwähnung im Gesetz...

1

92

Vgl. etwa die Kommentierung zum KWG, von Reischauer/Kleinhaus, Berlin (Loseblatt).

2

B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG

II.

Auslegung und Anwendung von § 91 Abs. 2 AktG

1.

Systematische Einordnung der Vorschrift

2

Der Vorstand einer Aktiengesellschaft ist ihr maßgebliches Leitungsorgan. Er regelt ihre Interna und vertritt sie nach außen. Dies umreißt das AktG in seinen §§ 76–78. Danach hat der Vorstand die Gesellschaft unter eigener Verantwortung zu leiten und ist zu ihrer Geschäftsführung und Vertretung berechtigt und verpflichtet. Diese Rechte und Pflichten werden vom Gesetz konkreter in den §§ 83, 90–93 AktG benannt. Nach § 83 AktG hat der Vorstand die Pflicht, Maßnahmen, die unter die Zuständigkeit der Hauptversammlung fallen, auf deren Verlangen vorzubereiten und ihre Beschlüsse auszuführen. § 90 AktG regelt Einzelheiten des zwischen Vorstand und Aufsichtsrat bestehenden Berichtssystems und zum Zusammenwirken dieser beiden Organe. Nach § 91 Abs. 1 AktG trägt der Vorstand die sog. Buchführungsverantwortung, das heißt, er hat dafür Sorge zutragen, dass die Gesellschaft die Handelsbücher führt. Die beiden Absätze von § 92 AktG regeln Handlungspflichten für den Fall, dass die Gesellschaft finanziell in schweres Fahrwasser gerät bzw. für den Krisenfall (Pflicht zur Einberufung der Hauptversammlung wenn mehr als die Hälfte des Grundkapitals verloren ist bzw. Insolvenzbeantragungspflicht). § 93 AktG schließlich regelt weitere Gebote in Form eines allgemeinen Handlungsstandards (Absatz 1), zur Vertraulichkeit (Absatz 2) und fasst schließlich noch einmal eine Reihe von Pflichten zusammen, die im AktG an anderen Stellen geregelt sind (siehe in Absatz 3). § 91 Abs. 2 AktG als spezielle Pflichtennorm für den Vorstand ist demnach von seiner Plazierung im Gesetz her eingebettet in ein Gesamtsystem von Organpflichten. Vorstandsmitglieder trifft im Hinblick auf die Überwachungspflicht eine Gesamtverantwortung (in der Regierungsbegründung zu § 91 Abs. 2 besonders herausgestellt, vgl. BT-Drs. 13/9712, S. 15). Diese gilt auch für Stellvertreter (vgl. § 94 AktG) und bleibt auch bei ressortmäßiger Aufgabenteilung übergreifend für alle Mitglieder als Überwachungsaufgabe erhalten. Dieses Gesamtsystem dient dem Schutz der Gesellschaft, seiner Eigentümer und den Gläubigern der Gesellschaft.

2.

16

17

Meinungsstand zum Inhalt der Vorschrift

Der Inhalt von § 91 Abs. 2 AktG lässt sich nicht leicht erschließen. Es ist daher auch nicht überraschend, dass in der Lehre (zu den hier in Frage stehenden Problemen weiter führende Rechtsprechung liegt – soweit ersichtlich – nicht vor) unterschiedliche Auffassungen zum sachlichen Inhalt und zur Reichweite der Vorschrift existieren. Ebenfalls nimmt es nicht Wunder, dass es manche kritischen Stimmen zur Vorschrift gibt (z.B. die Bezeichnung als „Normvakuum“), von der man alles in allem sagen darf, dass sie keinen brillanten Gesetzgeber gefunden hat. Bei der Diskussion nicht immer einheitlich verwandte Begriffe (Früherkennungssystem, Überwachungssystem, Risikomanagementsystem im engeren und im weiteren Sinne etc.) tragen ein Übriges zur Verwirrung bei. Dem Vorschub geleistet hat der Gesetzgeber selbst. Wenngleich im Gesetzestext selbst nicht verwandt, werden in der Regierungsbegründung dazu (s.o.) die Begriffe des „angemessenen Risikomanagements“ und der „angemessenen internen Revision“ gebraucht. Neben dem vagen Gesetzeswortlaut ergibt sich daraus eine weitere Unzulänglichkeit, weil die Begriffe „angemessen“ und „geeignet“ unterschiedlich weit reichende Anforderungen umschreiben. „Angemessen“ bedeutet nämlich gegenüber der bloßen Geeignetheit ein Mehr. Die unterschiedlichen Begriffe wur93

18

19

2

§2

2 20

21

22

Rechtsgrundlagen zur Internen Revision

den in der Literatur übernommen, wobei sich zahlreiche Adaptionen und Ausformungen finden lassen. „Maßnahmen“ wurden in Neudeutsch zu „Management“, „Entwicklungen“ werden synonym mit „Risiko“ gleichgesetzt. Durch die Verquickung der Tätigkeit mit ihrer Überwachung werden die beiden Aktivitäten oft als Einheit innerhalb dieses „Managements“ erläutert. Auch der Unterschied der Wortbedeutungen von „geeignet“ und „angemessen“ spielt eine Rolle. Zur Aufhellung des Sinngehalts von § 91 Abs. 2 AktG hat das alles nicht beigetragen. Die zu § 91 Abs. 2 AktG vertretenen Interpretationen sehen im Wesentlichen wie folgt aus: Eine Auffassung interpretiert die Vorschrift sehr weit gehend, wonach aus ihr eine Pflicht zur Schaffung und Unterhaltung eines umfassenden Risikomanagementsystems abgeleitet wird. Das von der Vorschrift erwähnte Überwachungssystem sei demnach eine Vorkehrung, die Risiken überwachen soll und zu dessen Einrichtung der Vorstand der Gesellschaft verpflichtet sei. Das System habe die Aufgabe, alle Unternehmensbereiche und ihre Geschäftsvorfälle auf Risiken hin zu untersuchen. Bestandteile eines solchen Systems seien alle möglichen Maßnahmen, die zur Bewältigung von Risiken dienlich sind: Identifikation, Bewertung, Melde- und Berichtswesen und Kontrolle. Wie umfassend ein solches System konzipiert werden sollte, wird von Vertretern dieser weiten Auffassung unterschiedlich beantwortet, je nach Reichweite des jeweils vertretenen betriebswirtschaftlichen Modells. Die Vertreter dieser Auffassung rekrutieren sich weitgehend aus Kreisen der Betriebswirtschaftslehre und der Prüfungspraxis. Wesentlich anders – im Ergebnis enger – fällt das Auslegungsergebnis aus, das sich aus den Interpretationen ergibt, die in der rechtswissenschaftlichen Literatur zu finden sind. Diese Ansicht sieht für den Unternehmensvorstand aus § 91 Abs. 2 AktG eine zwei gestufte Pflicht: Zunächst bestehe die Pflicht zum Ergreifen von Maßnahmen, die in die Lage versetzen (sollen), den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkennen zu können. Welche Einrichtungen und Maßnahmen hierfür geeignet sind, das sei von § 91 Abs. 2 AktG nicht vorgegeben. Die Eignung dieser Maßnahmen sei zu bejahen, wenn erfahrungsgemäß zu erwarten sei, dass der Vorstand die erforderlichen Informationen rechtzeitig erhält. Der Vorstand habe bei der Ausgestaltung dieses Systems im Übrigen ein Leitungsermessen, dessen Ausübung beeinflusst werde durch die konkret in Frage stehenden nachteiligen Entwicklungen und durch die Eigenheiten des betroffenen Unternehmens. Sodann ergebe sich für den Vorstand aus § 91 Abs. 2 AktG auf einer zweiten Stufe die Pflicht zur Einrichtung eines Überwachungssystems. Durch es sei die Effizienz der auf der ersten Stufe ergriffenen Früherkennungsmaßnahmen fortlaufend zu überwachen. Dieses Überwachungssystem soll aber nicht die risikoträchtigen Entwicklungen selbst überwachen, auch nicht hieraus resultierende konkrete Risikozustände im Unternehmen. Die Zurückhaltung dieser Meinung erstreckt sich auch auf Detailfragen zu dieser Überwachung selbst: § 91 Abs. 2 AktG gebe nicht vor, wie Organisation, Struktur und die Methodik im Einzelnen auszusehen habe. Auch das sei vielmehr einzelfallabhängig von Unternehmen zu Unternehmen unterschiedlich, nur dem „angemessen“ müssten diese Detailfragen schon ausgestaltet sein. Es gibt schließlich noch eine dritte Meinung zum Verständnis von § 91 Abs. 2 AktG, die zwischen den beiden Ersten hin und her pendelt und damit eine Art Kompromisslösung anbietet. Auch sie leitet aus § 91 Abs. 2 AktG keine Pflicht des Vorstands zur Schaffung eines umfassenden Risikomanagementsystems ab, entspricht damit insoweit der engen Auffassung. Da es aber immerhin um die Abwehr existenzgefährdender Entwicklungen gehe, komme der Vorstand letzten Endes nicht umhin, sich doch mit einer systematisch angelegten Risikofrüherkennung (u.a. mit Differenzierung „bestandsgefährdend/nicht bestandsgefährdend“ und mit der Definition von Kommunikationswegen) zu befassen. Rechtstechnisch hergeleitet wird dies aus dem Ergebnis einer spezifischen Auslegung des Wortes „geeignet“ in § 91 Abs. 2 AktG. In diesem Punkt ähnelt diese 94

2

B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG Meinung der weiten Auffassung. Allerdings erteilt sie deren Annahme, der Vorstand werde durch § 91 Abs. 2 AktG auch zur Schaffung ganz bestimmter organisatorischer Maßnahmen verpflichtet, eine Absage. Angelehnt an den Zweistufenansatz der engeren Meinung fordert sie daneben ein weiteres Überwachungssystem, welches das Erste zu kontrollieren hat. Beide Systeme zusammen bildeten ein „Risikomanagementsystem“. Zusammengefasst geht es beim Streit um die Reichweite der Vorschrift um folgende Sachfragen: Es ist umstritten, was geeignete Maßnahmen im Sinne des § 91 Abs. 2 AktG sind bzw. sie sein können und ob das vom Gesetz „insbesondere“ geforderte Überwachungssystem einen Teil der geforderten Maßnahmen darstellt oder ob das System nur der Überwachung der Einhaltung dieser Maßnahmen dienen soll.

3.

2 23

Hier vertretene Auffassung

Hier wird eine enge Auffassung vertreten. Es geht um zwei unterschiedliche Systeme: Das eigentliche Früherkennungssystem und das zu dessen Überwachung installierte besondere System. Beide sind grundsätzlich einzurichten. „Grundsätzlich“ bedeutet aber, dass es schon bei dieser Frage nach dem „Ob“ Ausnahmen geben kann. Es kann davon abgesehen werden, wenn es aufgrund der besonderen Verhältnisse der Gesellschaft doch nicht notwendig ist. Dies einzuschätzen, unterliegt – entgegen zum Teil explizit in der Literatur vertretener Auffassung – dem Ermessen des Vorstands. Sind Systeme einzurichten, ist deren konkrete Ausgestaltung (das „Wie“) ebenfalls Entscheidungsspielräumen des Vorstands zugänglich. Bezüglich der Ausgestaltung keines der beiden Systeme existieren nämlich konkrete Vorgaben des Gesetzes. Das Früherkennungssystem muss durch die von ihm veranlassten Maßnahmen gewährleisten, dass existenzgefährdende Entwicklungen entsprechend gesehen und – vor allem – rechtzeitig an den Vorstand kommuniziert werden. Die Maßnahmen des Früherkennungssystems müssen nur „geeignet“ sein, so die Vorgabe des Gesetzes. Der Vorstand ist damit bei der konkreten Ausgestaltung relativ frei und hat Spielräume, welches Modell er wählt. Seine Spielräume sind lediglich insoweit beschränkt, als ihm die konkreten Umstände des Einzelfalles (z.B. Unternehmensgröße) bestimmte Maßnahmen nahe legen. Als zusätzliche Sicherung dient die Verpflichtung, eine Überwachungsinstanz einzurichten, die regelmäßig die Einhaltung und die Tauglichkeit der vom Früherkennungssystem vorgesehenen Maßnahmen ihrerseits überwacht. Bezüglich der konkreten Konzeption des Überwachungssystems existieren ebenfalls Gestaltungsspielräume.

24

Zur Herleitung dieses Ergebnisses im Einzelnen: Die Juristerei kennt im Wesentlichen vier verschiedene Auslegungsarten, wie man sich den Sinn von Gesetzen erschließen kann, ihn erforschen kann. Es handelt sich dabei um die wörtliche, die systematische, die historische und um die sog. teleologische Auslegung. Die wörtliche Auslegung untersucht den Sinngehalt der im Gesetz verwandten Worte und deren grammatikalischen Zusammenhänge im Abgleich mit dem sonstigen Sprachgebrauch. Da das Wort auch hier am Anfang steht, ist sie automatisch der Ausgangspunkt jeder Untersuchung und damit die zuerst anzuwendende Auslegungsmethode. Ihre Ergebnisse spielen daher auch bei der anschließenden Anwendung der anderen Methoden eine Rolle. Die systematische Auslegungsart versucht, aus der Stellung der Norm im Gesetz auf ihren Inhalt zu schließen, insoweit wird ihr Bedeutungszusammenhang herausgestellt. Die historische Auslegung ermittelt anhand des Studiums begleitender Verlautbarungen zur Entstehungsgeschichte. Insbesondere aus Aussagen der am Gesetzgebungs-

26

95

25

2

§2

2

27

28

29

30

Rechtsgrundlagen zur Internen Revision

verfahren Beteiligten zieht sie ihre Schlüsse, wobei ihr insoweit eine Hilfsfunktion zur Ermittlung des Gesetzeszwecks, der teleologischen Auslegung als vierter Auslegungsart, zukommt. Diese teleologische Auslegung will den Sinn und Zweck, der sich mutmaßlich hinter einer Norm verbirgt, zum Vorschein bringen. Mitbestimmt von allgemeinen Zweckmäßigkeits- und Gerechtigkeitserwägungen wird ermittelt, welche Zwecke die Norm verfolgt. Dem Ergebnis dieser Auslegungsart wird grundsätzlich ausschlaggebender Charakter beigemessen, das heißt, bei evtl. unterschiedlichen Ergebnissen der verschiedenen Auslegungsarten geht ihr Ergebnis vor. Keine der zum Inhalt des § 91 Abs. 2 AktG vertretenen Meinungen, also auch nicht die hier vertretene, erschließt sich unmittelbar aus dem Gesetz. Zu konturlos, zu lapidar und teilweise fast schon nichtssagend präsentiert sich der Wortlaut der Vorschrift. Durch die gedankliche Verbindung der Früherkennungsmaßnahmen mit dem Überwachungssystem, herbeigeführt durch die Verwendung des Worts „insbesondere“, führt der Wortlaut sogar in die Irre. Dadurch wird nämlich der Eindruck erweckt, beim Überwachungssystem handele es sich um einen beispielhaft genannten Unterfall der „geeigneten Maßnahmen“, gewissermaßen als hervorgehobenes Beispiel. Dem ist jedoch nicht so (siehe dazu im Folgenden). Die Anwendung der wörtlichen Auslegungsart lässt damit keine belastbare Aussage zur Inhaltsbestimmung zu. Auch die systematische Auslegung hilft nicht, weil aus der Stellung von § 91 Abs. 2 im Gesetz nichts herzuleiten ist. Weiterführend ist aber die Auslegung nach Sinn und Zweck der Vorschrift (teleologische Auslegung). Deren Ergebnis wird mit getragen durch die Analyse von konkreten Aussagen in der Regierungsbegründung, also unter Anwendung der historischen Auslegung als Hilfsfunktion. Methodischer Ausgangspunkt der Anwendung der teleologischen Auslegung ist die Sinnerforschung der verschiedenen „Wortelemente“ der Vorschrift, die nachfolgend aus praktischen Zwecken schon etwas modifiziert dargestellt werden: Es geht um die Vorstandspflicht („Der Vorstand hat...“) zum ■ Treffen von geeigneten Maßnahmen zur ■ Früherkennung von ■ den Fortbestand der Gesellschaft gefährdenden ■ Entwicklungen ■ insbesondere durch ■ Einrichtung eines Überwachungssystems. Vor Eingehen auf die einzelnen Punkte ist, sozusagen vor die Klammer gezogen zu sagen, dass es bei § 91 Abs. 2 AktG um Fragen der „Organisation“ einer Gesellschaft geht (so auch die amtliche Überschrift, die durch das KonTraG geändert wurde). Der Gesetzgeber will durch § 91 Abs. 2 AktG seine Vorstellungen zu Organisationszielen und -anforderungen in Sachen Früherkennung existenziell gefährdender Entwicklungen äußern. Es geht also um die aus Sicht des Gesetzgebers „richtige“ Organisation, um diese Entwicklungen zu erkennen. Diese Vorstandspflicht war vor dem KonTraG der allgemeinen Vorschrift des § 76 AktG (allgemeine Leitungsverantwortung) zu entnehmen. Mit § 91 Abs. 2 AktG sollte dies konkreter gefasst werden unter besonderer Herausstellung der entsprechenden Verpflichtung für den Vorstand. Die Pflicht kann auch als „Bestandssicherungsverpflichtung“ oder als „Sorge für die Rechtmäßigkeit der Organisation“ umschrieben werden. Es geht aber bei § 91 Abs. 2 AktG nur um die Pflicht zur Bereitstellung eines Instrumentariums. Hingegen umfasst die Norm nicht die Pflicht des Vorstands, auf über die Anwendung dieses Instrumentariums erkannte Risiken auch angemessen zu reagieren. Diese Handlungspflicht

96

2

B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG und die Folgen aus etwaiger Verletzung ergeben sich allein aus den §§ 76, 93 AktG und nicht aus § 91 Abs. 2 AktG. Dieser Punkt ist weitgehend unstreitig in der Literatur. Beim Begriff „Entwicklungen“ geht es allgemein um Veränderungen und Prozesse, die auf ein Unternehmen einwirken. Die Ursachen dieser Veränderungen sind für die Anwendung des Begriffs unerheblich. Sie können sich aus eigenem Verhalten des Unternehmens ergeben, sie können aber auch gänzlich in äußeren Einflüssen liegen. Ungeachtet der besonderen Ausprägung als „bestandsgefährdend“ (siehe dazu sogleich) geht es allgemein um nachteilige Entwicklungen. Dazu können z.B. zählen: Die Aufnahme risikobehafteter Geschäfte, Unrichtigkeiten bei der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanzund Ertragslage des Unternehmens auswirken (vgl. BT-Drs. 13/9712, S. 15). Als Beispiel für eine von Außen getriebene Veränderung kann ein bestimmtes Ereignis auf dem Markt (Erfindung eines Wettbewerbers) genannt werden. Der Begriff der Entwicklung ist abzugrenzen vom Risikobegriff. Beide sind in ihren Bedeutungen nicht deckungsgleich, wenngleich die von ihnen umschriebenen Inhalte (Prozesse und „Aggregatszustände“ des Unternehmens) miteinander einhergehen können. „Risiko“ bezeichnet Entscheidungssituationen mit fehlender oder nur unvollkommener Informationsbasis. Unternehmerisches Tätigwerden am Markt ist regelmäßig risikobehaftet, weil die Informationsbasis nur selten ganz vollständig ist. Dieses alltägliche Vorliegen von Risikozuständen birgt im Fall des sog. reinen Risikos eine Schadensgefahr, beim sog. spekulativen Risiko tritt neben die Schadensgefahr auch die Erwartung von Chancen (Risiko als Ausdruck einer Mehrwertigkeit von Zukunftserwartungen). Entwicklungen im Sinne § 91 Abs. 2 AktG als Prozesse und Veränderungen sind somit nicht Risikozustände in diesem Sinne. Es handelt sich bei ihnen um Größen, die Risikozustände beeinflussen, indem diese geschaffen bzw. weiter nachteilig verändert werden. Nicht jegliche nachteilige Entwicklung muss frühzeitig erkannt werden (durch die getroffenen geeigneten Maßnahmen), sondern nach dem insoweit ausdrücklichen Gesetzeswortlaut nur solche, die den Fortbestand gefährden. Eine solche Situation ist anzunehmen, wenn die soeben beispielhaft aufgezählten nachteiligen Entwicklungen so gravierend sind, dass sie ein Insolvenzrisiko erheblich steigern oder hervorrufen (Zahlungsunfähigkeit und Überschuldung, vgl. § 92 Abs. 2 AktG). Vorgänge, die unterhalb dieser Schwelle liegen, werden nicht erfasst. Früherkennung bedeutet in diesem Zusammenhang, dass der Vorstand so früh wie möglich die bestandsgefährdenden Entwicklungen erkennen muss. Das bedeutet, dass er noch in der Lage sein muss, Gegenmaßnahmen einleiten zu können. Der nachteiligen Entwicklung muss so rechtzeitig entgegen gewirkt werden können, dass bestandsgefährdende Ausmaße nicht erreicht werden. Das Tatbestandsmerkmal der geeigneten Maßnahmen ist vor dem Hintergrund des schon dargestellten allgemeinen Ansatzes der Vorschrift zu verstehen. Es geht um Organisationsfragen und speziell um die Einrichtung eines Früherkennungssystems zum Erkennen bestandsgefährdender Entwicklungen durch den Vorstand. Vor allem entsprechend taugliche organisatorische Maßnahmen sind gemeint. Dazu gehört die Ausstattung dieser Strukturen mit einer angemessenen personellen Besetzung. Die Eignungsfähigkeit eines Mittels beurteilt sich nach dem von ihm verfolgten Zweck. Dazu, wie dieser im Einzelfall konkret erreicht werden kann bzw. muss, schweigt das Gesetz. Es wird in der Regierungsbegründung (s.o.) relativ deutlich zum Ausdruck gebracht, dass nicht alle Unternehmen über einen pauschalen Leisten geschlagen werden können. Das ist nach dem Willen des Gesetzgebers vielmehr abhängig von deren konkreten Eigenheiten (Größe, Branche, Struktur, Kapitalmarktzugang etc.). Es liegt auf der Hand, dass beispielsweise eine kleine „Ein-Mann-AG“ 97

2

2

2

§2

Rechtsgrundlagen zur Internen Revision

ohne Mitarbeiter anderen Bedingungen unterliegt, als ein breit aufgestelltes Unternehmen mit mehreren tausend Mitarbeitern. Im Zweifel benötigt diese „Ein-Mann-AG“ überhaupt kein Früherkennungssystem (und im Übrigen auch kein Überwachungssystem, siehe dazu sogleich). An beide Unternehmen von Gesetzes wegen über § 91 Abs. 2 AktG gleiche Anforderungen für die Schaffung und Ausgestaltung des Früherkennungssystems zu richten, wäre unzweckmäßig und überdies auch unverhältnismäßig. Es kann nicht Sinn und Zweck der Vorschrift sein, zu etwas verpflichten, was objektiv niemand (weder die Gesellschaft und auch nicht zu schützende Dritte) braucht. Dies würde gegen Art. 14 GG (Organisationsfreiheit als Ausfluss des Eigentumsgrundrechts) verstoßen. Es entspricht daher allgemeinen Zweckmäßigkeits- und Gerechtigkeitserwägungen, wenn § 91 Abs. 2 AktG dem Vorstand sinnvoller Weise ein Leitungsermessen einräumt, ja von Rechts wegen sogar einräumen muss, um – abgestimmt auf die speziellen Bedürfnisse seiner AG – agieren zu können. Dieser Pflicht genügt er, wenn die von ihm in Ausübung dieses Ermessens konkret ergriffenen Maßnahmen erfahrungsgemäß ausreichen, dass er die erforderlichen Informationen rechtzeitig erhält. Dies kann, wie bereits gesagt, einzelfallabhängig sogar ohne Ergreifung von irgendwelchen Maßnahmen möglich sein und legaler Weise, weil eben durch § 91 Abs. 2 AktG unbeanstandet, durch Nichtstun erreicht werden. Vor diesem Hintergrund kann es eine aus § 91 Abs. 2 AktG ableitbare rechtliche Pflicht zur Einrichtung eines (umfassenden) Risikomanagementsystems oder gar auf die Anwendung eines bestimmten betriebswirtschaftlichen Modells nicht geben. Aus diesem Grund muss auch der Kompromissmeinung (s.o.) eine Absage erteilt werden. Es ist nicht möglich, die handwerkliche Unzulänglichkeit einer Rechtsvorschrift durch ihre unsachgemäße, weil regelwidrige Auslegung zu überspielen. Natürlich wäre es – auch unter Beachtung der grundsätzlichen Notwendigkeit einer Ermessenseinräumung – aus Gründen der Rechtssicherheit sehr wünschenswert gewesen, wenn sich der Gesetzgeber bereit gefunden hätte, im Hinblick auf die Ausgestaltung des Früherkennungssystems den Pflichtenstandard etwas konkreter zu fassen. Wenigstens um eine Art von Leitplanken zu setzen. Zwar können Interpretationslücken durch betriebswirtschaftliche Modelle und durch die Vorgaben von Standesorganisationen und von Verbänden ausgefüllt werden. Wiewohl einschränkend festzustellen ist, dass einheitliche und unumstrittene Lösungen nicht an der Tagesordnung sind, können sie über Kategorienbildungen Richtschnüre schaffen, welches Maß und welche Differenzierungen ein Risikomanagementsystem eines Unternehmens in Abhängigkeit von seinen bestimmten Eigenheiten aufweisen muss. Für die konkrete Ausgestaltung von Risikomanagementsystemen können sich daraus bestimmte Verkehrsübungen zur Sorgfaltspflicht eines Vorstands herausbilden. Solche Festlegungen sind als Kriterien tauglich, ob und inwieweit der Tatbestand des § 93 Abs. 1 Satz 1 AktG (Sorgfaltspflichten eines ordentlichen und gewissenhaften Geschäftsleiters) im Einzelfall eingehalten wurde oder nicht. Aber: Auf § 91 Abs. 2 AktG kann das alles keine unmittelbare Auswirkung erzielen, weil diese Vorschrift keinen Halt hierfür bietet und die Regierungsbegründung über das Eröffnen von Ermessensspielraum sogar in die andere Richtung tendiert. Es ist daher im Ergebnis nicht möglich, eine von der Betriebswirtschaft entwickelte Clusterbildung o.ä. von vornherein als Konkretisierung für das Wort „geeignet“ herauszulesen, die dann irgendwie rechtlich wirken soll. Eine solche Art von Nachholung der vom Gesetzgeber versäumten Typisierung ist nicht möglich. Diesen Effekt wird man allenfalls über eine Rechtsfortbildung durch die Rechtsprechung (zu beiden Vorschriften) erzielen können. Dafür ist aber notwendig, dass Rechtsprechung, die nicht allzu einzelfallgeprägt sein darf, hierzu überhaupt vorliegt. Das ist bis jetzt – soweit ersichtlich – noch nicht der Fall. Es ergibt sich so der Nachteil, dass Vorstände anhand § 91 Abs. 2 AktG nur schwerlich das Maß des Pflichtenstandards einschätzen können. Sie können Gefahr laufen, dass ihr Ver98

2

B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG halten (im Nachhinein) als ermessensfehlerhaft und damit als Pflichtverletzung qualifiziert wird. Um dem zu entgehen, sehen sich Unternehmen gezwungen, vorsichtshalber des „Guten zuviel“ (incl. Aufwendung unnötiger Organisationskosten) bei sich einzurichten, um sich auf die sichere Seite zu begeben. Befördert wird dies durch Vorstöße in der Literatur, mitunter wird hier die wegen dieser Unklarheiten verständliche Unsicherheit zur „Umsichtigkeit“ umdeklariert, um das gewünschte Untersuchungsergebnis zu rechtfertigen.2 Neben der Pflicht zur Schaffung eines Früherkennungssystems verlangt § 91 Abs. 2 AktG, zusätzlich ein besonderes Überwachungssystem einzurichten (so auch IDW PS 340). Das Überwachungssystem soll dazu dienen, die Einhaltung und das Funktionieren der Maßnahmen der Früherkennung zu gewährleisten. Trotz manchem in der Diskussion zum Überwachungssystem aufgebauten Popanz reduziert sich das Ganze neben der Kontrolle letztlich darauf, ob ein rechtzeitiger Informationsfluss an den Vorstand gewährleistet ist (schon lediglich aus Beweisgründen mit der dazugehörigen Dokumentation in Form einer Berichterstattung). Wie bereits festgestellt, kann ein solches Nebeneinander von zwei Systemen nicht aus dem Wortlaut des Gesetzes hergeleitet werden. Dieser kann wegen der Verwendung von „insbesondere“ sogar für die gegenteilige Annahme sprechen. Es ist in diesem Zusammenhang im Übrigen der Gegenmeinung auch zuzugestehen, dass die Unterscheidung von zwei Systemen wegen der in der Praxis vielfach anzutreffenden Verhältnisse durchaus etwas gekünstelt wirkt. Im betrieblichen Ablauf gehen nämlich „geeignete Maßnahmen“ zur Früherkennung und die Tätigkeit einer informationsvermittelnden Organisation zu deren Überwachung oft ineinander über. An dem hier angenommenen Trennungsprinzip ist jedoch trotzdem festzuhalten, weil nur diese Sicht vor dem Hintergrund der Gesetzgebungsgeschichte einen richtigen Ansatz zum Verständnis der Vorschrift bietet. Ohne weiteren Blick in die Gesetzesmaterialien kommt man hierfür nicht aus. In der Fassung des der amtlichen Regierungsbegründung vorangehenden Referentenentwurfs hieß es in einem besonderen Satz (§ 93 Abs. 1 Satz 3 RefE): „Dazu gehört auch die Einrichtung eines Überwachungssystems mit der Aufgabe, die Einhaltung der nach Satz 2 zu treffenden Maßnahmen zu überwachen.“ Dies macht deutlich, dass an zwei unterschiedliche Systeme gedacht wurde. Die im späteren Gesetz demgegenüber vorgenommene textliche Veränderung in Form der Weglassung dieses Satzes diente lediglich sprachlicher Vereinfachung. Auch aus der Begründung des Gesetzes (vgl. BT-Drs. 13/9712, S. 15) lässt sich der vorgesehene Dualismus von zwei Systemen noch ablesen, wenn es dort heißt: „... Die Verpflichtung des Vorstands, für ein angemessenes Risikomanagement und für eine angemessene interne Revision zu sorgen, soll verdeutlicht werden...“ (Unterstreichung durch die Verfasser). Auch hier muss im Übrigen – trotz des Wortlauts von § 91 Abs. 2 AktG, der die Einrichtung eines Überwachungssystems explizit fordert – das Gleiche gelten wie für das Früherkennungssystem. Es steht im Leitungsermessen des Vorstands, ob er dieses Überwachungssystem schafft und ggf. wie er es konkret ausgestaltet. Er ist in der Ermessensausübung allerdings beschränkt, wenn ihm die konkreten Umstände des Einzelfalles (z.B. Unternehmensgröße) die Ergreifung von Maßnahmen gebieten. In der Literatur wird von einer einfachen Organisationsanforderung gesprochen, der durch Begründung unmissverständlicher Zuständigkeiten, eines engmaschigen Berichtswesens und einer Dokumentation Rechnung getragen werden könne. 2

Vgl. etwa Manuel Lorenz, Rechtliche Grundlagen des Risikomanagements, in: ZRFG 1/06, S. 1, 8. Er untersucht die „Ausstrahlungswirkung“ u.a. des DCGK auf § 91 Abs. 2 AktG. Trotz Betonung, dass die Anforderungen an ein Risikomanagementsystem grundsätzlich unternehmensspezifisch (u.a. Größe und Zahl der Risiken) sind, kommt er so letztlich zur Annahme einer Rechtspflicht zur Einrichtung eines umfassenden Risikomanagementsystems.

99

2 31

32

33

34

2

§2

4. 2 35

36

Rechtsgrundlagen zur Internen Revision

Speziell zur Rechtspflicht der Schaffung einer Internen Revision

Die Richtigkeit der Annahme, dass die formale Schaffung einer Revisionsabteilung nicht obligatorisch ist, ergibt sich zunächst schon aus einem Vergleich mit der rechtlichen Situation im Bankenbereich. Während in § 91 Abs. 2 AktG nichts dergleichen geregelt ist, hat sich der Gesetzgeber in § 25 a Abs. 1 Satz 3 Nr. 2 KWG wegen der besonderen Situation des Metiers in der Pflicht gesehen, die Schaffung einer Internen Revision als Teil einer ordnungsgemäßen Geschäftsorganisation grundsätzlich vorzuschreiben. Hier wird für Banken auch Wert auf die Koexistenz eines prozessabhängigen Kontrollsystems und einer prozessunabhängigen Internen Revision gelegt. Hätte der Gesetzgeber das allgemein so haben wollen, ist zu unterstellen, dass er es auch in § 91 Abs. 2 AktG so geregelt hätte bzw. hätte regeln müssen. Seine Enthaltsamkeit in § 91 Abs. 2 AktG ist daher als sog. beredtes Schweigen anzusehen.3 Die von der BaFin zu § 25 a Abs. 1 Satz 3 Nr. 2 KWG mit Billigung des Gesetzgebers geschaffenen Ausnahmeregelungen bestätigen die hier vertretene Auffassung nachgerade. Auch aus den Materialien zu § 91 Abs. 2 AktG kann dieses Ergebnis hergeleitet werden. Trotz der Formulierung in der Gesetzesbegründung (... und eine angemessene interne Revision...) kann nicht geschlossen werden, es bestünde aus § 91 Abs. 2 AktG die Rechtspflicht zur Einrichtung einer eigenen Revisionsabteilung. Die Annahme einer solchen Rechtspflicht wäre nicht mit der Wertung des Grundrechts aus Art. 14 GG (Schutz des Eigentums) zu vereinbaren. „Interne Revision“ ist hier lediglich funktional als „Überwachung“ gemeint. Es geht um die grundsätzliche Pflicht zur Schaffung einer solchen Überwachungsinstanz, wenn die konkreten Eigenheiten des Unternehmens (Größe etc.) es gebieten, eine solche Sicherung einzurichten. Das mag z.B. bei kleinen Unternehmen nicht einmal notwendig sein, hier erledigt der Chef selbst die Überwachung.4 Auch dann wenn die Strukturen komplexer sind und die Pflicht zur Einrichtung einer dem Management zuarbeitenden besonderen Überwachungsstelle besteht, bietet sich für das Unternehmen insoweit eine über Art. 14 GG geschützte Organisationsfreiheit. Rein rechtlich gesehen ist der Vorstand auch in diesem Fall relativ frei, wie er das organisiert. Er kann eine eigene Revisionsabteilung als Prüf-Überwachung einrichten. Obwohl dies wegen der Prozessabhängigkeit des Controlling betriebswirtschaftlich sehr fragwürdig sein mag (zur Wahrung der Unabhängigkeit darf die Revisionsberichterstattung und -wertung der Prüfungsergebnisse keinen Weisungen unterworfen sein), kann er aber auch Überwachungsaufgaben des § 91 Abs. 2 AktG der Kontrolle des Controlling unterstellen oder – quasi als eine Art Mischform – einen vorhandenen Revisionsmitarbeiter an den Controllingabteilungsleiter berichten lassen. Auch der umgekehrte Weg der Betrauung einer internen Revisionsabteilung mit klassischen Controllingaufgaben ist rechtlich im Übrigen denkbar. Schließlich – das allgegenwärtige Make-or-buy-Prinzip gilt auch hier – kann sich der Vorstand zu einem Outsourcing entschließen, indem er die Revisionstätigkeit fremd vergibt, etwa an einen Wirtschaftsprüfer oder an sonstige externe Berater (etwa einen Rechtsanwalt). Natürlich können sich im Einzelfall vom Vorstand getroffene Maßnahmen im Nachhinein als untauglich herausstellen (Beispiele: Controllingabteilung ist mit Revisionsaufgaben überfordert; 3 4

100

Nicht akzeptabel ist daher die Rechtsprechung des VG Frankfurt, Urteil vom 8.7.2004, VersR 2005, S. 57, bei der mit Bezug auf ein Versicherungsunternehmen § 25 a Abs. 1 KWG zur Auslegung von § 91 Abs. 2 AktG herangezogen wird, weil sich beide Normen „in ihrer rechtlichen Bedeutung entsprechen“ und das vom Gesetzgeber so gewollt sei. Ähnlich auch der Arbeitskreis „Externe und Interne Überwachung“ der Schmalenbach-Gesellschaft in seiner These 1 zur „Angemessenheit der Internen Revision“, vgl. DB 2006, S. 225 – allerdings mit dem weiteren Hinweis, dass bei kapitalmarktorientierten Unternehmen in jedem Fall eine Interne Revision eingerichtet sein sollte.

2

B. § 91 Abs. 2 AktG als „Herzstück“ des KonTraG Wahl eines ungeeigneten Dienstleisters). Das kann u.U. zu einer Schadensersatzpflicht (gem. § 93 Abs. 2 Satz 1 AktG) führen und Grund zu Abberufung des Vorstands und wichtiger Grund einer fristlosen Kündigung sein. Trotzdem gilt, dass sich aus § 91 Abs. 2 AktG von vornherein kein grundsätzliches Gebot zur Einrichtung einer Revisionsabteilung ergibt.

III.

Die Ausstrahlungswirkung von § 91 Abs. 2 AktG

1.

Zur Rechtsfigur und Abgrenzung zur Analogie

Von praktischer Bedeutung für die Reichweite des Anwendungsbereichs von § 91 Abs. 2 AktG ist die Frage, für welche Gesellschaftsformen diese Norm Rechtswirkungen entfaltet. Das AktG gilt nur für Aktiengesellschaften und für Kommanditgesellschaften auf Aktien (vgl. §§ 1, 278 AktG). Es stellt sich der Aspekt, ob die Vorschrift auch für andere, zum Teil wesentlich häufiger in der Geschäftswelt vorkommende Rechtsformen dergestalt Anwendung findet, dass auch die Leitungsorgane jener Gesellschaften entsprechende Verpflichtungen trifft. Es geht hier insbesondere um GmbH’s und um Genossenschaften. Die Texte der einschlägigen Gesetze (AktG, GmbHG, GenG) schweigen hierzu. Es findet sich jedoch in der Regierungsbegründung zu § 91 Abs. 2 AktG (vgl. BT-Drs. 13/9712, S. 15) eine Aussage: „In das GmbHG soll keine entsprechende Regelung aufgenommen werden. Es ist davon auszugehen, dass für Gesellschaften mit beschränkter Haftung je nach ihrer Größe, Komplexität ihrer Struktur usw. nichts anderes gilt und die Neuregelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaftsformen hat.“ Ausgelöst durch diese Äußerung gibt es in der Literatur die ganze Bandbreite von möglichen Meinungen zu den Auswirkungen von § 91 Abs. 2 AktG. Von einer mehr oder weniger unreflektierten Bejahung der Anwendung der Vorschrift auf andere Rechtsformen über die Ablehnung dieser Möglichkeit bis hin zu differenzierten Ansätzen (Anwendung bzw. Nichtanwendung in Abhängigkeit an die Größen-Kriterien des § 267 HGB) findet sich alles im Angebot. „ Ausstrahlung“ meint eine in der Rechtswissenschaft eher seltener diskutierte und angewandte methodische Figur. Die schiere Existenz einer neu eingeführten Norm (hier: § 91 Abs. 2 AktG) zu einem bestimmten Regelungskomplex (Früherkennungs- und Überwachungssysteme bei der AG und KG aA) beeinflusst und drängt zumindest mittelbar auf die gleichförmige Beantwortung vergleichbarer Fragen bei anderen vergleichbaren Regelungskomplexen (hier: Notwendigkeit der Etablierung von Systemen bei anderen Gesellschaftsformen). Diese Ausstrahlungswirkung ist ähnlich, wenngleich sehr viel schwächer, wie sie sich aufgrund der sog. Analogiebildung ergibt. Bei der Analogie handelt es sich ebenfalls um eine methodische Figur der Rechtswissenschaft. Dabei wird eine Vorschrift analog (oder „entsprechend“) auf andere vergleichbare Sachverhalte regelrecht angewendet, wenn dort eine solche Vorschrift fehlt. Dieses Fehlen einer Vorschrift muss aber unbeabsichtigt sein, so z.B., wenn es vom Gesetzgeber schlichtweg übersehen oder vergessen wurde. Zur Ausfüllung der dann bestehenden „planwidrigen Lücke“ (so wird sie dann deswegen bezeichnet) wird bei der Analogie die vorhandene Norm des anderen Komplexes genommen und angewandt, obwohl sie dafür rechtssystematisch eigentlich gar nicht vorgesehen ist. Beiden methodischen Figuren, der Analogie wie der Ausstrahlung, liegt eine Forderung nach systematischer Geschlossenheit des Rechts zugrunde. Getragen wird diese Forderung von der 101

2

37

38

39

40

41

42

2

§2

Rechtsgrundlagen zur Internen Revision

Annahme, dass sich andernfalls Wertungswidersprüche ergeben könnten. So wird beispielhaft der Fall des Rechtsformwechsels angeführt: Soll es etwa möglich sein, dass bei einem Wechsel von AG zu GmbH (z.B. per Umwandlung) die vorher noch nach § 91 Abs. 2 AktG verpflichteten Vorstände als GmbH-Geschäftsführer plötzlich nicht mehr verpflichtet sein sollen, nur weil es im GmbHG keine Norm gibt? Also quasi diese Pflichten „an der Garderobe abgeben können?“, lauten die rhetorischen Fragen.

2

2. 43

44

45

46

Eigene Rechtsauffassung

Auf der Basis der – allerdings – nur schmalen Anwendungsebene dieser Figur wird eine Ausstrahlungswirkung von § 91 Abs. 2 AktG auf die Situation von anderen Gesellschaften auch von den Verfassern bejaht. Das entspricht der zitierten Annahme in der Regierungsbegründung. Die Vorschrift ist ins AktG aufgenommen worden, sie gilt daher nur für die von diesem Gesetz betroffenen Gesellschaften. Wenn der Gesetzgeber ihre generelle Geltung „rechtlich verbindlich“ gewollt hätte, hätte er diese auch ausdrücklich in die jeweiligen Fachgesetze (hier insbesondere GmbHG und GenG) aufnehmen können und letztlich auch müssen. Das hat er aber ganz offensichtlich bewusst nicht getan. Der Effekt einer Ausstrahlung kann daher nur eintreten, wenn sich zu § 91 Abs. 2 AktG zusätzlich eine „grenzüberschreitende Rechtsprechung“ zu anderen Gesellschaftsformen herausbildet. Dann, aber auch nur dann, kann sich in der Praxis eine solche Auswirkung des Gedankenguts von § 91 Abs. 2 AktG auf GmbH’s und Genossenschaften ergeben. Der positiv-rechtliche Aufhänger, über den diese Ausstrahlung wirken könnte, wäre nicht in § 91 Abs. 2 AktG selbst zu suchen. Vielmehr wären die zu diesen Gesellschaften bestehenden Gesetze anzuwenden, sofern sie durch die Rechtsprechung entsprechend konkretisiert wurden. Das ist für die GmbH § 43 Abs. 1 GmbHG (Geschäftsführung hat die „Sorgfalt eines ordentlichen Geschäftsmanns“ aufzuwenden) und für die Genossenschaft § 34 GenG (Vorstandspflicht zur Aufbringung der „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“). § 91 Abs. 2 AktG kann daher keinen Verpflichtungstatbestand für andere Gesellschaften abgeben. Dies anzunehmen hieße, die Möglichkeit einer Analogiebildung zu bejahen. Die aber war offensichtlich vom Gesetzgeber nicht gewollt. Es fehlt daher an einer „planwidrigen Lücke“, die Voraussetzung ist. Daran ist auch die Rechtsprechung gebunden. Dieses Ergebnis muss um so mehr gelten, weil – wie gezeigt – die Vorschrift sogar im Hinblick auf ihre Anwendung in ihrem angestammten Terrain (bei AG’s) alles andere als einfach zu handhaben ist. Weitere Unterschiede zwischen AG einerseits und GmbH bzw. Genossenschaft andererseits (etwa sind die Befugnisse der Leitungsorgane dieser Gesellschaftsformen unterschiedlich weit reichend ausgestaltet) sprechen ebenfalls gegen eine unbesehene Übernahme von § 91 Abs. 2 AktG auf die Situation anderer Gesellschaften.

102

C.

C.

Innenrecht

I.

Bedeutung für die Interne Revision

2

Für das Unternehmen gelten eine Fülle von Regelungen, die ihren Ursprung in Akten staatlicher Institutionen (als Gesetze, richterliche Entscheidungen oder behördliche Anordnungen) haben. Dazu kommen Normen, die sonstige Dritte (z.B. Kunden, Tarifpartner oder der Betriebsrat) gemeinsam mit dem Unternehmen geschaffen haben, so etwa bei einem Vertrag. Ferner können Vorgaben in einem Konzernverbund (etwa eine Konzernrichtlinie oder Kautelen eines Beherrschungsvertrages) allgemein gelten. All diesen Normen ist gemein, dass sie – weitgehend ohne Zutun des Unternehmens – „von außen“ auf das Unternehmen verpflichtend einwirken. Aufgrund seiner vielfach gegebenen eigenen Rechtspersönlichkeit richten sie sich regelmäßig an das Unternehmen selbst. Sie müssen durch das Unternehmen verarbeitet werden. Zur Umsetzung sind seine Organe und Mitarbeiter aufgerufen, die hierfür besonders berechtigt und/oder verpflichtet werden müssen. Das Unternehmen muss sich zu diesem Zweck Regeln und Strukturen geben, es muss sich eine Organisation zulegen. Auch dies kann „von außen“, z.B. über den Gesellschaftsvertrag, eine Geschäftsordnung oder über eine Weisung des Aufsichtsrates erfolgen. Regelmäßig aber geschieht die Ausstrukturierung der Organisation des Unternehmens durch eine eigene und eigenständige Rechtsschöpfung des Unternehmens selbst. Als Regeln (Gebote und Verbote) werden sie also „innen“ geschaffen und wirken auch ausschließlich hier. Unternehmensintern wirken sie ähnlich verbindlich wie von außen gesetzte Rechtsnormen. Daher werden sie hier als „Innenrecht“ bezeichnet. Viele Typen dieser internen Regelungen sind speziell an die Mitarbeiter adressiert, etwa eine allgemeingültige Handlungsanweisung zu einem bestimmten Prozess (z.B. Einkaufsrichtlinie) oder als allgemeine Verhaltensanweisung (z.B. sog. Ethikrichtlinie oder Geschenkerichtlinie). Solche Regelungen können aber auch die Organe des Unternehmens (Vorstand, Geschäftsführung) berechtigen und verpflichten. Alle Normen, das gilt gerade auch für die „innenrechtlichen“, setzen für die Arbeit einer Internen Revision Maßstäbe. Das ist besonders bei Vorliegen einer Revisionsrichtlinie (zuweilen auch Audit Charter oder Geschäftsordnung genannt) der Fall, die als formale Legitimationsbasis der Internen Revision im Unternehmen dient.5 Auch die Regelungen in einem Revisionshandbuch sind hier zu nennen. In ihm werden für die Interne Revision operative Abläufe verbindlich fixiert, etwa zu Art und Weise von Prüfungsabläufen und zur Berichterstattung. Zuweilen wird das als die „Kernprozesse“ der Internen Revision bezeichnet.6 Es kann in der Praxis vorkommen, dass beide Regelwerke – Revisionsrichtlinie und Revisionshandbuch – in einem einheitlichen Katalog dokumentiert sind. Auch sonst ist Innenrecht für die operative Prüfarbeit der Internen Revision von Bedeutung. So ergeben sich aus Richtlinien, Handlungsanweisungen, Kodexen etc. regelmäßig Definitionen mit Soll-Vorgaben, die die geprüften Stellen zu beachten haben. Insbesondere sind solche Richtlinien 5

6

2

Innenrecht

Vgl. – auszugsweise – die These 5 „Geschäftsordnung der Internen Revision“ des Arbeitskreises „Externe und Interne Überwachung“ der Schmalenbach-Gesellschaft, in: DB 2006, S. 225, 226: Die organisatorische Ausgestaltung der Internen Revision soll in einer Geschäftsordnung festgelegt werden. Die Geschäftsordnung der Internen Revision ist die Grundlage für die Zusammenarbeit zwischen Unternehmensleitung, Interner Revision und anderen Einheiten des Unternehmens. Sie wird von der Unternehmensleitung erlassen und dem Überwachungsgremium zur Kenntnis gebracht. Vgl. hierzu These 9 „Handbuch der Internen Revision“ des Arbeitskreises „Externe und Interne Überwachung“ der Schmalenbach-Gesellschaft, in: DB 2006, S. 225, 227.

103

47

48

49

50

2

§2

Rechtsgrundlagen zur Internen Revision

und Handbücher integrale Bestandteile eines Internen Kontrollsystems (IKS). Die Interne Revision wendet diese demzufolge bei ihrer Prüfung an und – mehr noch – „Das IKS auf Zweck, Funktion, Wirksamkeit und Vollständigkeit zu überprüfen, ist eine zentrale Aufgabe der Revision.“7

2

51

52

53

54

II.

Betriebswirtschaftliche und soziologische Grundlagen

1.

Organisation

Die Notwendigkeit zur Schaffung innenrechtlicher Regelungen folgt aus allgemeinen Strukturüberlegungen, die Gegenstand verschiedener organisationstheoretischer Ansätze sind. Damit befasst sind u.a. soziologische und betriebswirtschaftliche Forschungsrichtungen, deren Felder sich teilweise überlappen. Es geht um das Erkennen und die Lösung eines generellen Dualproblems jeder Organisation: Das Problem der Arbeitsteilung (organisatorische Differenzierung) und das Problem der Arbeitsvereinigung in Form der Wiederzusammenführung der aufgrund Arbeitsteilung getrennt gefundenen Teilergebnisse zu einer geschlossenen Leistungseinheit. „Ziel und Funktion einer jeden Organisation, ob im geschäftlichen oder im privaten Bereich, ist die Integration spezialisierten Wissens in eine gemeinsame Aufgabe.8 Vor diesem Hintergrund ist die Organisation des Unternehmens – und nachfolgende Ausführungen gelten sinngemäß auch für die Situation eines Konzernverbunds – von funktionalen Gesichtspunkten her aufgebaut. Die Gliederung in seine verschiedenen Abteilungen (Einkauf, Entwicklung, Personal etc.) beruht auf dem Prinzip der Arbeitsteilung und dient dem Systemziel der (langfristigen) Gewinnerzielung. Sowohl das Unternehmen als Gesamtsystem als auch seine Abteilungen als Subsysteme weisen jeweils ihre internen Funktionalitäten auf und verfügen außerdem auch auf über funktional gewordene „Außenweltbeziehungen“. Es gibt also gewissermaßen kreuz und quer und horizontal und vertikal Interaktionen. Diese Prozesse gilt es zu steuern und – im Sinne der Systemverantwortlichen – in geordnete Bahnen zu lenken. Dadurch soll die effiziente Erledigung der Teilaufgaben bewirkt werden und auch die sich anschließende organisatorische Integration in Form Zusammenführung der Ergebnisse zur geschlossenen Leistungseinheit. Wiewohl die Betrachtung informeller Aspekte auch durch sie nicht ganz vernachlässigt wird, fokussieren sich betriebswirtschaftliche Organisationslehren auf die Schaffung und Unterhaltung formaler Normen zur Unternehmenssteuerung. Sie befassen sich u.a. mit der Festlegung von dauerhaften Kommunikations- und Weisungsbeziehungen zwischen den über- und untergeordneten, sowie zwischen den gleichgeordneten Stellen. Dies dient der Sicherung eines koordinierten Handelns der einzelnen Organisationseinheiten im Hinblick auf die Unternehmensziele. Das so entstehende Leitungssystem umfaßt als Leitungs- und Führungsorganisation idealerweise die Struktur aller Leitungsbeziehungen in einem Unternehmen. In der Praxis finden sich insoweit als Organisationstypen verschiedenen Gestaltungsalternativen (Einlinien-, Mehrlinien-, Stablinienoder Matrixsysteme).9 Betriebswirtschaftliche Modelle verfolgen dabei im Wesentlichen technokratische Ansätze. Das heisst, es wird versucht, dem Sachzwang zur Herstellung einer optimalen Funktions- und Leis7 8 9

104

So wörtlich Boris Wicher, Die Rolle der Internen Revision bei Prävention und Aufdeckung von dolosen Handlungen, in: ZIR 2/2007, S. 58, 60. Peter F. Drucker, Die Kunst des Managements, München 2000, S. 164. Eingehend hierzu Vahs S. 104 ff.

C.

2

Innenrecht

tungsfähigkeit alles andere unterzuordnen, möglichst ohne weitere Diskussion über weiter gehende Sinnfragen oder über soziale (Folge- und Begleit-) Probleme. Soziologische Forschungsrichtungen (Organisations-, Betriebs- und Industriesoziologie) greifen die aus diesen Ansätzen entstehenden Effekte auf die sozialen Strukturen und Prozesse in (Industrie-) Betrieben auf. Durch sie soll eine Auseinandersetzung und ein Ausgleich zwischen der von Effizienz- und Wirtschaftlichkeitsgesichtspunkten dominierten betriebswirtschaftlichen Sicht und den dadurch verursachten sozialen Konsequenzen erreicht werden. Die Organisationssoziologie begreift eine Unternehmensorganisation als soziales Gebilde und auch als sog. soziale Assoziation, das heißt, als einen Zusammenschluss von Menschen zur Erreichung gemeinsamer Ziele. Gleichsam einem biologischen Lebewesen agiert das Unternehmen als „produktives soziales System“. Eine sehr wichtige Grundorientierung insbesondere der Organisationssoziologie ist die Erkenntnis, dass sich Organisationen nicht nur in planmäßigen Abläufen erschöpfen, sondern immer auch ungeplante und unvorhergesehene Prozesse ablaufen und sich informelle Gruppen und Beziehungen herausbilden können. Ihre Untersuchungsgegenstände betreffen u.a. Autoritäts-, Kommunikations- und Informationsstrukturen, das Zusammenspiel formaler und informaler Normen, Statusfragen, Rollenverhalten u.a.m.

2.

2

Koordinationsinstrumente

Wie bereits eben umrissen, kann es eine Vielzahl von Normen unterschiedlichen Ursprungs geben, die von außen und von innen auf ein Unternehmen und seine Mitarbeiter einwirken. Soweit es dabei speziell um Themen der internen Steuerung und der Koordination arbeitsteiliger Aktivitäten geht, werden in der betriebswirtschaftlichen Organisationslehre allgemein als Instrumente die ■ Koordination durch Selbstabstimmung ■ Koordination durch persönliche Weisung ■ Koordination durch Standardisierung unterschieden. Die Koordinierung durch Selbstabstimmung beruht auf unmittelbarer persönlicher Kommunikation zwischen den Organisationsmitgliedern, wobei der Kommunikationsfluss horizontal verläuft. Abstimmungen erfolgen hier ohne weitere Aufforderung und ohne Einschaltung von Vorgesetzten als auf Koordinationsaufgaben spezialisierte Mitarbeiter. Die beiden anderen Koordinationsformen (persönliche Weisung und Standardisierung) sind gekennzeichnet durch einen vertikalen (hierarchischen) Kommunikationsfluss (mündlich oder schriftlich). Sämtliche Verlautbarungen in diesem Bereich können Soll-Vorgaben für Prozesse abgeben. Voraussetzung hierfür ist das Vorhandensein formaler Über- und Unterordnungsbeziehungen zwischen Organisationseinheiten bzw. zwischen Personen. Soweit es in diesen Fällen um das Verhältnis zwischen Personen geht, äußert sich die Über-/Unterordnungsbeziehung regelmäßig in der Ausübung arbeitgeberseitiger Rechte. Der Arbeitgeber, im Falle einer juristischen Person der sog. abstrakte Prinzipal, agiert arbeitsrechtlich oft über Ausübung des sog. Direktionsrechts. Der dienstliche bzw. fachliche Vorgesetzte des Mitarbeiters artikuliert als sog. konkreter Prinzipal die persönlichen Weisungen. Standardisierte Koordinationsmaßnahmen spielen vor allem bei komplexen Organisationsstrukturen eine große praktische Rolle. Der Koordinationsaufwand durch persönliche Weisungen und durch die Koordination durch Selbstabstimmung (die ohnehin Gefahren der Fehlsteuerung beinhaltet) kann so reduziert werden. Standardisierte Koordinationsmaßnahmen beruhen weitgehend nicht auf der persönlichen Ansprache von (vorgesetzten) Personen, sondern auf Verhaltens105

55

56

57

2

§2

Rechtsgrundlagen zur Internen Revision

vorschriften, die abstrakt-generell (also einzelfallunabhängig und an eine unbestimmte Vielzahl von Adressaten gerichtet) wirken. In der Terminologie werden insoweit Programme (Verfahrensrichtlinien und Handbücher) und Pläne (verbindliche Zielvorgaben und Umsetzungsschritte für eine bestimmte Periode).10

2

58

59

60

III.

Institutsnormen für die Interne Revision

1.

Revisionsrichtlinie

Vor dem Hintergrund, dass gesetzliche Vorschriften eine nur unvollkommene Legitimationsbasis für die Interne Revision bieten, kommt einschlägigen innenrechtlichen Regelungen insoweit eine besondere Bedeutung zu. Sie schaffen eine grundsätzliche formale Basis für die Interne Revision und stellen so quasi deren Magna Charta im Unternehmen bzw. im Konzern dar. Niedergelegt werden können diese wesentlichen Grundsätze in Richtlinien bzw. in Geschäftsordnungen. Beide Begriffe werden mitunter synonym verwandt. Verlässliche statistische Zahlen darüber, wie viele Unternehmen in Deutschland von dieser Möglichkeit einer institutionellen Verankerung ihrer Internen Revision Gebrauch gemachten haben, liegen – soweit ersichtlich – nicht vor. Man darf jedoch davon ausgehen, dass zumindest größere Unternehmen, die über eine eigene Interne Revision verfügen, über derartige Regelwerke verfügen. Nachfolgend wird – grob auszugsweise – eine Richtlinie abgedruckt. Sie wird in dieser oder ähnlicher Form in der Praxis verwandt. Ihre Regelungen sind selbsterklärend und veranschaulichen deutlich, wie wichtig das Vorhandensein solcher allgemeingültiger Regelungen im Unternehmen für dessen Interne Revision ist. Die Richtlinie folgt einem allgemeinen Muster und sollte die Aufgabenstellung, Befugnisse und die Verantwortlichkeiten der Internen Revision fixieren. Dabei sollten Aussagen getroffen werden zu ihrer Stellung innerhalb des Unternehmens, zum Zugang zu den Aufzeichnungen, zu den Mitarbeitern und zu den Vermögensgegenständen des Unternehmens, soweit und sofern dies für die Erledigung von Prüfungs- und Beratungsaufträgen relevant und notwendig ist. ! Praxishinweis: Revisionsrichtlinie für den A-Konzern Gegenstand dieser Richtlinie ist die Festlegung konkreter Schritte und Instrumente zur Umsetzung der Aufgaben, die die Interne Revision im A-Konzern zu erledigen hat. Im A-Konzern besteht in Erfüllung der gesetzlichen Verpflichtungen ein Risiko-Managementsystem und ein darin integriertes Internes Kontrollsystem. Die Systeme sollen dazu beitragen, den Fortbestand des Konzerns gefährdende Entwicklungen möglichst früh zu erkennen. Insbesondere soll hierdurch das Konzernvermögen geschützt werden. Um diese Aufgaben als Teil des internen Kontrollsystems optimal zu erledigen, wurden die Revisionseinheiten im A-Konzern bei der „A-Konzernrevision“ zentral gebündelt. Vor diesem Hintergrund ist Zielsetzung dieser Richtlinie ■ die zentrale Steuerung der Revisionstätigkeit im A-Konzern durch die A-Konzernrevision, ■ Optimierung des Einsatzes von Revisionsressourcen

10 Näher Vahs S. 112 ff.

106

C. ■ ■

2

Innenrecht

die Vereinheitlichung von Revisionsmethoden, -Systemen und -Prozessen im A-Konzern mit Etablierung eines einheitlichen Revisionsverständnisses, die Transparenz sämtlicher bedeutungsvoller Prüfungsergebnisse für den Vorstand der A-Konzern-Obergesellschaft und der Vorstände der Teilkonzernobergesellschaften

2

zur ■ ■

Erledigung von Kontroll- und Überwachungsaufgaben Verbesserung von Sicherheit und Effizienz von organisatorischen Strukturen.

Grundsätze Die A-Konzernrevision handelt als aktives Führungs- und Steuerungsinstrument des Vorstands der A-Konzern-Obergesellschaft11 und der Vorstände der Teilkonzernobergesellschaften. Sie übernimmt Überwachungs- und Kontrollaufgaben (Prüfungsleistungen), sowie erledigt Beratungsleistungen als Dienstleistungsaufgaben. Prüfungsleistungen und Beratungsdienstleistungen sind voneinander abzugrenzen. Alle im A-Konzern anfallenden Revisionsaufgaben werden ausschließlich durch die A-Konzernrevision erledigt, diese ist dazu gegenüber den Konzerngesellschaften berechtigt und verpflichtet. Die Interne Revision erfüllt ihre Aufgaben objektiv. Das bedeutet, dass die Interne Revision bei der Prüfungsplanung, bei der Durchführung der Prüfung und bei der Abfassung ihres Prüfberichts keinen Beeinflussungen oder Einschränkungen ausgesetzt sein darf. ...

61

Prüfungsplanung und Beauftragung der A-Konzernrevision Der Jahresprüfungsplan für konzernrelevante und –weite Themen (Konzernprüfungen) wird von der A-Konzernrevision jährlich für jeweils das folgende Kalenderjahr erstellt. Dies soll im letzten Quartal des Jahres erfolgen. Basis für die Prüfungsplanung ist eine Zusammenstellung aller maßgeblichen Prüffelder, die alle Prozesse, Einheiten (z.B. business units und Gesellschaften) und wesentliche Projekte abbildet. Hierbei ist den Grundsätzen einer sog. risikoorientierten Prüfungsplanung wie folgt Rechnung zu tragen: ...

63

Neben der Erledigung der sich aufgrund des Jahresprüfplans ergebenden Prüfungen besteht das jährliche Prüfprogramm der A-Konzernrevision auch aus Einzelprüfungen, die sich aus besonderen Situationen ergeben und die aufgrund besonderer Beauftragung der A-Konzernrevision resultieren...

64

Informationsbeschaffung/Rechte der Revisionsmitarbeiter Die A-Konzernrevision hat im Rahmen von Prüfungen ein uneingeschränktes aktives und passives Informationsrecht. Das beinhaltet das Recht der Prüfer, alle Informationen eigenhändig einzuholen, der freie und ungehinderte Zugang zu unternehmensinternen Daten, Aufzeichnungen und betrieblichen Einrichtungen und das Führen von Gesprächen mit allen Mitarbeitern ist ihnen zu ermöglichen. Auch und insbesondere ist den Prüfern Zugang zu den IT-Systemen zu ermöglichen. ...

65

11 Zu welchem Vorstand der Revisionsleiter zugeordnet ist, vgl. die launigen Ausführungen von Sebastian Hakelmacher, ZIR 2001, S. 1 f.: „Häufig ist er disziplinarisch dem Finanzvorstand zugeordnet, weil der angeblich als einziges Vorstandsmitglied weiß, wie man „Revision“ schreibt. Reputierlicher ist allerdings die Zuordnung zum Vorstandsvorsitzenden. Die höhere Aufhängung ermöglicht dem Revisionsmanager, die ihm obliegende Aufsicht über die Revision mit unverbindlichen Unternehmensstrategien und ähnlich abstrakten Überlegungen bedeutungsschwer aufzuwerten.“

107

62

2

§2 66

Rechtsgrundlagen zur Internen Revision

Prüfungsdurchführung Die Revisionstätigkeit der A-Konzernrevision richtet sich nach einem einheitlichen, risikoorientierten Prüfungsansatz. Das bedeutet, dass die bei der Jahresplanung ermittelten Risiken berücksichtigt werden und Risikomanagement- und Interne Kontrollsysteme maßgeblich in die Prüftätigkeit einbezogen werden. Risikomanagementsysteme umfassen alle Bemühungen zur Risikoerkennung, -analyse und -bewertung, wobei diese durch den Einsatz geeigneter Instrumente so zu beherrschen sind, dass die Unternehmensziele erreicht werden. Die Internen Kontrollsysteme sind Bestandteil der so definierten Risikomanagementsysteme. Sie sollen die Zuverlässigkeit betrieblicher Prozesse gewährleisten. Sie bestehen u.a. aus organisatorischen Sicherungsmaßnahmen, wie Richtlinien und Arbeitsanweisungen, internen Kontrollen/Prüfungen und Informationssystemen.

2 67 68

69

Bei der Beurteilung Interner Kontrollsysteme durch die A-Konzernrevision sind folgende Faktoren zu berücksichtigen: ■ Zuverlässigkeit und Integrität von Daten und betrieblichen Informationen, ■ Effektivität und Effizienz von Geschäftsprozessen, ■ Sicherung des Betriebsvermögens und ■ Einhaltung von internen Vorschriften.

70

Berichterstattung Die Ergebnisse der durch die A-Konzernrevision durchgeführten Prüfungen sind in geeigneter Form, das heißt, insbesondere unter Beachtung einer angemessenen Berichtssystematik, zu kommunizieren...

2. 71

Ähnlich wichtige Bedeutung für die Interne Revision können Regelungen aufweisen, die in einem Revisionshandbuch fixiert sind. Auch dessen Regelungen formulieren Handlungsanweisungen für die operative Revisionsarbeit, sie sind meistens konkreter und richten sich ausschließlich an die Mitarbeiter der Internen Revision selbst. Wegen weiterer Einzelheiten zum Revisionshandbuch wird auf die Ausführungen an anderer Stelle im Buch verwiesen.

IV. 72

73

Revisionshandbuch

Sonstige Normen

Im Übrigen existieren insbesondere in größeren Unternehmen zu den Tätigkeitsfeldern vieler Bereiche Richtlinien etc., die den betroffenen Mitarbeitern Soll-Vorgaben für die Erledigung der täglichen Arbeit machen. Beispielhaft seien hier Personalabteilung, Rechtsabteilung, Controlling, Einkauf, Vertrieb, Marketing, Konzernrechnungswesen und die Kreditoren- und Debitorenbuchhaltung genannt. So kann beispielsweise der Mitarbeiter im Einkauf eines Unternehmens von einer Einkaufsrichtlinie betroffen sein, die ihm im einzelnen vorgibt, wie bestimmte Vorgänge (etwa die Ausschreibung bei großvolumigen Einkäufen) zu bearbeiten sind. Andere Richtlinien können Thematiken betreffen, die von der eigentlichen operativen Arbeit losgelöst sind und eher allgemeine Handlungsstandards formulieren. Dazu gehören z.B. sog. Ethikrichtlinien, mit denen Mitarbeiter zu einem verantwortungsbewussten Verhalten angehalten werden sollen. Diese sind rechtlich nicht immer unproblematisch und können zudem auch mit-

108

D.

2

Deutscher Corporate Governance Kodex

bestimmungspflichtig sein, wie sich etwa an der umstrittenen Wal-Mart Ethikrichtlinie gezeigt hat.12 Vom Abdruck solcher Richtlinien muss aus Kapazitätsgründen hier abgesehen worden. Insoweit wird auf die einschlägige Spezialliteratur verwiesen.

D.

Deutscher Corporate Governance Kodex

I.

Grundlagen

1.

Regelungsgegenstand, Zweck und Hintergrund

Der Deutsche Corporate Governance Kodex (DCGK) ist ein 14-Seitiges Regelwerk, das sich hauptsächlich an die Unternehmensleitungen deutscher börsennotierter Gesellschaften wendet. Nicht an der Börse notierten Gesellschaften wird seine Beachtung empfohlen. Er ist von einer Kommission (sog. Cromme-Kommission; benannt nach ihrem Vorsitzenden, dem Aufsichtsratsvorsitzenden von Thyssen-Krupp und des Siemens-Konzerns, Gerhard Cromme) im Auftrag der Bundesregierung erarbeitet worden und am 26.2.2002 der Bundesministerin der Justiz übergeben worden. Der Begriff der „Corporate Governance“ bedeutet ganz allgemein soviel wie Führungsgrundsätze. Es geht es um international und national anerkannte Standards „guter und verantwortungsvoller Unternehmensführung“ (vgl. Nr. 1, Präambel, DCGK). Der DCGK will nach eigenem Anspruch ein bestimmtes Qualitätslevel bei den Unternehmensleitungen und für deren Überwachung erreichen. Hierzu strebt der Kodex an, „das deutsche Corporate Governance System transparent und nachvollziehbar machen. Er will das Vertrauen der internationalen und nationalen Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Leitung und Überwachung deutscher börsennotierter Aktiengesellschaften fördern.“ (vgl. Nr. 1, Präambel, DCGK). Infolge seiner gesetzlichen Inbezugnahme durch § 161 AktG (siehe dazu unten eingehender) erlangen die Empfehlungen des DCGK, die über den gesamten Kodextext verstreut sind, eine Bedeutung, die sie in eine gewisse Nähe von Rechtsnormen rückt. Dieser Eindruck wird durch den Abdruck des Kodex im amtlichen Teil des elektronischen Bundesanzeigers zusätzlich verstärkt. Die Empfehlungen erhalten dadurch jedenfalls einen „offiziösen Charakter“, wie das in der Literatur bezeichnet wurde. Der DCGK verfolgt nach seinen Grundsätzen u.a. das Ziel, den Standort Deutschland für Investoren anziehender zu machen. Gerade auch ausländische Geldgeber sollen angelockt werden. Es geht um Transparenz und um Vertrauen. Insoweit gilt es, Investoren erst einmal über die einschlägigen rechtlichen Umstände vor Ort zu informieren und diese transparent machen. Das regeln die sog. Muss-Vorschriften des Kodex, mit denen zwingende gesetzliche Regelungen verkürzt und zusammengefasst wiedergegeben werden. DCGK will dadurch verdeutlichen, welche Grundstrukturen deutsche börsennotierte Gesellschaften aufweisen. Vor dem Hintergrund einiger Unterschiede zu anderen Ländern (beispielhafte Stichworte sind: Two-Tier-Modell vs. One-Tier-Modell oder die spezifische deutsche Unternehmensmitbestimmung) ist dies angezeigt, weil ausländische Investoren die deutschen Eigenheiten nicht ohne weiteres kennen. Auch sind einschlägige Vorschriften in Deutschland über mehrere Gesetze verstreut. Der DCGK soll daher auch das Bedürfnis nach möglichst kompakter Information befriedigen. Des Weiteren sollen Investoren dazu gebracht 12 Vgl. dazu LAG Düsseldorf, DB 2006, S. 162.

109

74

2

75

76

2

§2

2

77

werden, Vertrauen in den Wirtschaftsstandort Deutschland zu entwickeln. Dem dienen die sog. optionalen Vorschriften des Kodex, die bezüglich „guter Unternehmensführung“ (bzw. dem, das dafür gehalten wird) Soll-Empfehlungen oder Kann-Anregungen aussprechen. Insgesamt gibt es rund 60 Soll-Empfehlungen und 17 Kann-Anregungen. Wenn sich deutsche Unternehmen möglichst umfänglich an alle diese Dinge halten, dann stärkt dies allgemein das Vertrauen in die deutsche Wirtschaft und ist auch in der Lage, potentielle Investoren zu überzeugen – so die zugrunde liegende Annahme. Das Postulat einer „guten Unternehmensführung“ blickt auf eine Geschichte zurück. Vor dem Hintergrund von Aufsehen erregenden Firmenschieflagen und -pleiten war es schon seit längerem vor allem im anglo-amerikanischen Raum zu Diskussionen gekommen, wie man dem besser entgegen wirken könne. Die Ideen kreisten im Wesentlichen um Verbesserungsvorschläge im Hinblick auf die Unternehmensführung. Speziell die Leitung und Überwachung börsennotierter Gesellschaften stand dabei im Fokus. Auch die Wirkungen der Globalisierung der Kapitalmärkte hatten Einfluss auf diese Diskussionen. U.a. das weltumspannende Agieren einflußreicher Investoren und Analysten und das in den Augen dieser Akteure bestehende Bedürfnis nach der Schaffung effizienter Formen trieb die Entwicklung voran. In etlichen Ländern bildeten sich so entsprechende Regelwerke in Form von Guidelines, Codes, Principles u.a.m. In Deutschland kam man insoweit erst relativ spät in die Gänge. Im Jahr 2000 wurden schließlich auch hier erste Entwürfe (Frankfurter Grundsätze zu Corporate Governance) vorgelegt. Auf deren Basis hat die Kommission am 6.9.2001 ihre Arbeit aufgenommen, die sie dann 2002 unter Vorlage des Kodex abschloss. Die Diskussion wird permanent weiter geführt. Auch die Regelungen des DCGK werden daher kontinuierlich, in der Regel einmal jährlich, überprüft und anhand eventueller nationaler und internationaler Entwicklungen angepasst.

2. 78

79

Rechtsgrundlagen zur Internen Revision

Basistheorien zur Corporate Governance

„Corporate Governance“ bedeutet, wie bereits gesagt, ganz allgemein soviel wie Führungsgrundsätze. In einer mehr juristisch geprägten Lesart umschreibt der Begriff den rechtlichen und faktischen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens. Im Mittelpunkt steht die rechtliche und tatsächliche Verteilung der Aufgaben zwischen den verschiedenen Organen des Unternehmens auch im Verhältnis zu den Eigentümern (Aufsichtsrat, Vorstand und Gesellschafter). Die eher betriebswirtschaftliche Sicht beleuchtet die an dem Unternehmenswert ausgerichtete Führung und Kontrolle, sowie das Verhältnis zwischen dem Unternehmen, den Kapitalgebern und ggf. anderen Interessengruppen. Beide Perspektiven zeigen auf, dass in der Trennung von Eigentum und Unternehmensführung ein Kernproblem für das Gelingen eines „guten Wirtschaftens“ gesehen wird. Dessen Lösung widmen sich verschiedene Organisationstheorien. Diese Ansätze haben allgemein den Zweck und die Aufgabe, Organisationen zu erklären und zu verstehen. Dazu gehören u.a. die sog. Agenturtheorie (weil aus den USA kommend auch Principal-Agent-Theory) und der Property-Rights-Ansatz (verfügungsrechtlicher Ansatz). Bei beiden handelt es sich bei um ökonomisch geprägte Organisationstheorien. Ökonomische Ansätze unterstellen den Individuen als Akteuren der sozialen und wirtschaftlichen Welt das Ziel, weitgehend nur ihren jeweiligen eigenen Nutzen maximieren zu wollen (sog. individuelle Nutzenmaximierung). Dabei werde von den Akteuren die mögliche Schädigung anderer in Kauf genommen. Die Theorien setzen weiter voraus, dass die Akteure nur begrenzt rational handeln. Im Übrigen seien ihr Wissen, ihre Informationsverarbeitungskapazitäten und ihre Moral nur eingeschränkt ausgeprägt. Der verfügungsrecht110

D.

liche Ansatz will das durch diese Grundkonstellation hervorgerufene Problem durch geordnete und wohlüberlegte Zuordnung und Verteilung von Eigentums-, Verfügungs-, Handlungs- und Nutzungsrechten lösen. Dadurch soll das Optimum an „guter Betriebsführung“ erreicht werden. Die Agenturtheorie untersucht den Nutzen der Aufgabendelegation und die mit ihr verbundenen potentiellen Nachteile (Kosten). Als „hidden information“ wird von ihr beim Agenten (z.B. Vorstand, Geschäftsführer) gegenüber dem Prinzipal (z.B. Aktionäre, Gesellschafter) ein Informationsvorsprung unterstellt. Der Agent nutze diesen Vorsprung aus, indem er sich oft nicht wie vom Prinzipal gewünscht einsetze („hidden action“). Die Agenturtheorie will das verhindern und die Abhängigkeit des Prinzipals möglichst minimieren. Das soll bei der sog. einstufigen Agenturtheorie durch eine Interessenpoolung zwischen beiden Lagern herbeigeführt werden. Als solche Maßnahme zur Poolung können z.B. leistungsabhängige Vergütungssysteme (z.B. Zielvereinbarungen) dienen. Sie können begleitet werden durch ausgeklügelte interne Kennzahlensysteme (zu nennen ist z.B. der sog. Fair Value-Ansatz bei der internen Rechnungslegung). Auf die Gestaltung und die Handhabung dieser Instrumente erhält das Management beschränkten Einfluss, wodurch es auf Linie gebracht werden soll. Die zweistufige Agenturtheorie bringt mit dem Supervisor (Aufsichtsrat) zusätzlich eine dritte Funktion in die Betrachtungen ein. Der Eigentümer bedient sich dieser Stelle zur Überwachung des Agenten. Das ist freilich mit einem weiteren Nachteil verbunden. Denn auch der Aufsichtsrat wird als Agent in diesem Sinne angesehen, dem ebenfalls Opportunismus unterstellt wird. Also gilt es für die Aktionäre, auch dessen Eigenbestrebungen in Schach zu halten. Das soll ebenfalls durch Maßnahmen der Corporate Governance erreicht werden (vgl. z.B. im DCGK die Ziff. 5.5 über „Interessenkonflikte“ beim Aufsichtsrat). Diese Gemengelage an Interessenkonflikten zwischen Prinzipal, Agenten und Supervisor und der den beiden letzteren hierbei unterstellte Opportunismus verursacht sog. Residualkosten, die der Unternehmung einen Wohlfahrtsverlust einbringen. Zu ihrer Minimierung muss der Prinzipal mit entsprechendem Kostenaufwand Monitoring (Überwachung und Kontrolle) der Agenten betreiben. Es wird davon ausgegangen, dass der Prinzipal seine Kostenfunktion optimieren kann, wenn es ihm gelingt, die Residualkosten und die Monitoringkosten in ein „gesundes Verhältnis“ zu bringen. Es zeigt sich, dass die skizzierten Ansätze letztlich auch als theoretische Grundlagen für IKS, Prüfungen, Kontrollen etc., wie es als Gedankengut u.a. auch § 91 Abs. 2 AktG zugrunde liegt, dienen. Sie entsprechen so auch dem viel strapazierten Satz „Vertrauen ist gut, Kontrolle ist besser.“ (frei nach einer Lenin’schen Äußerung) und postulieren auch die Anforderungen an den Erfahrungsschatz des gestandenen Revisionsmanns: „Revisionserfahren ist derjenige, der an das Gute im Menschen glaubt, aber sich auf das Schlechte verläßt...“.13 Nicht zuletzt geben sie auch für das Bedürfnis der Schaffung einer Internen Revision einen theoretischen Hintergrund ab.

3.

2

Deutscher Corporate Governance Kodex

2

80

81

Regelungsarten und abstrakte Umschreibung der Inhalte

Es können grob zwei Klassen an Vorschriften, die Muss-Vorschriften und die optionalen Vorschriften, unterschieden werden. Die Muss-Vorschriften spiegeln, was gesetzlich niedergelegt ist und von daher von den Unternehmen im Falle ihrer Einschlägigkeit (ohnehin schon) zu beachten ist. Die optionalen Vorschriften des Kodex in Form der Soll-Empfehlungen und der KannAnregungen (bloße Anregungen werden mitunter auch durch „sollte“ zum Ausdruck gebracht)

13 Sebastian Hakelmacher, Der Revisionsmanager, ZIR 2001, S. 1,3.

111

82

2

§2

83

2

Rechtsgrundlagen zur Internen Revision

enthalten Handreichungen der Kommission, die in dieser Form in gesetzlichen Vorschriften nicht zu finden sind. Sie gehen damit über die Vorgaben des Gesetzes hinaus. Der Kodex besteht aus sieben Abschnitten. Der erste Abschnitt dient als Präambel. In diesem Vorspann wird die allgemeine Zwecksetzung des Kodex und der Geltungsbereich seiner Bestimmungen mit Erläuterung der Differenzierung in Soll-Empfehlungen oder Kann-Anregungen vorgenommen. Auch das nach deutschem Aktienrecht gesetzlich vorgegebene duale Führungssystem (Neudeutsch: Two-Tier-Modell) wird hier zusammengefasst. Der zweite Abschnitt beschreibt anhand der Wiedergabe von Aussagen in gesetzlichen Vorschriften die Rechte der Anteilseigner (Aktionäre), die diese insbesondere über die Hauptversammlung wahrnehmen. Auch Empfehlungen werden hier ausgesprochen. Der dritte Abschnitt befasst sich mit dem Verhältnis von Vorstand und Aufsichtsrat, die – ungeachtet ihrer originären Rollen als Leitungs- bzw. Überwachungsorgan – zum Wohle des Unternehmens möglichst konstruktiv und einvernehmlich zusammenarbeiten sollen. Abschnitt Nr. 4 widmet sich grundlegenden Themen rund um den Vorstand. Z.B. wird in 4.1.4 die von der Kodex-Kommission entwickelte Interpretation zum Grundgedanken von § 91 Abs. 2 AktG wiedergegeben: „Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen.“ Weitere Regelungen betreffen Fragen zur Vorstandszusammensetzung, zu dessen Vergütung und zum Problem der Interessenkonflikte. Zu den hier geregelten monetären Themen gehört z.B. die Offenlegung der Vorstandsgehälter als SollVorschrift (4.2.5). Diese stand wegen der Weigerung einiger Gesellschaften immer mal wieder in der öffentlichen Diskussion. Das Thema war von Kritikern auch als Anzeichen für die generelle Untauglichkeit des DCGK angeführt worden. Schließlich hat sich der Gesetzgeber veranlaßt gesehen, die Sache in die Hand zu nehmen. 14 Der fünfte Abschnitt regelt vergleichbare Themen für den Aufsichtsrat. Die besondere Bedeutung für eine gute Governance, die der Arbeit von dessen Vorsitzenden beigemessen wird, spiegelt sich im Vorhandensein einer besonderen Vorschrift zu dessen Aufgaben und Befugnissen. Weiter verdient bzgl. des Aufsichtsrats die Nr. 5.3.2 besondere Erwähnung. Als Soll-Vorschrift wird hier die Einrichtung eines Prüfungsausschusses (Audit Committee) als einem besonderen Ausschuss des Aufsichtsrats empfohlen. Er soll sich vor allem mit Fragen der Rechnungslegung und des Risikomanagements, der erforderlichen Unabhängigkeit des Abschlussprüfers, der Erteilung des Prüfungsauftrages an den Abschlussprüfer, der Bestimmung von Prüfungsschwerpunkten und der Honorarvereinbarung befassen. Durch Beschluss der Kommission vom 14.6.2007 wurde als zusätzlicher Untersuchungsgegenstand für den Aufsichtsrat bzw. für den Ausschuss das Thema „Compliance“ in Nr. 5.3.2 (und in andere Regelungen) eingefügt. Abschnitt Nr. 6 regelt Fragen zur „Transparenz“, so etwa das Gebot für den Vorstand, Insiderinformationen unverzüglich zu veröffentlichen, sofern er nicht im Einzelfall von der Veröffentlichungspflicht befreit ist (Ziff. 6.1). Der letzte Abschnitt Nr. 7 will grundlegende Fragen zur „Rechnungslegung und Abschlussprüfung“ einer geordneten Handhabung durch die Unternehmen zuführen. Ebenso wie schon der sechste Abschnitt legt er Standards zu einer guten und verantwortungsbewussten Unternehmenskommunikation fest. So existiert z.B. die Empfehlung zur unterjährigen Veröffentlichung von Zwischenberichten (Ziff. 7.1.1 Satz 2).

14 Am 8.11.2005 ist Vorstandsvergütungs-Offenlegungsgesetz – VorstOG – in Kraft getreten. Beginnend für Geschäftsjahre ab dem 1.1.2006 (also seit im Frühjahr 2007 veröffentlichten Abschlüssen) ist die Offenlegung der Bezüge für jedes einzelne Vorstandsmitglied vorgeschrieben. Die Aktionäre können allerdings darauf verzichten, vgl. näher im VorstOG (vom 3.8.2005, BGBl. I v. 10.8.2005, S. 2267).

112

D.

II.

2

Deutscher Corporate Governance Kodex

Kritik am DCGK

Die öffentliche Meinung über die Managermoral ist nicht die Beste. Als unangemessen hoch empfundene Gehälter und Abfindungen (vgl. etwa das Stichwort „Mannesmann“) werden dabei als Grundlage für die Unterstellung herangezogen, bei der Wirtschaft seien Selbstreinigungskräfte nur in höchst unzureichendem Maß vorhanden. In der öffentlichen Diskussion mit diesen Themen zuweilen in Verbindung gebracht wird ein behauptetes Missverhältnis zwischen Einkommen und Leistung („Nieten in Nadelstreifen“, so der Titel einer in Buchform existierenden Phillipika), das die Verkommenheit und die Selbstbedienungsmentalität von Managern unterstreichen soll. Dass ikonische Verdichtungen, die sich Manager zuweilen selbst zulegen oder die ihnen von der sie umgebenden Entourage mit ihrer Billigung zugeschrieben werden, in Wahrheit oft löchrig sein können wie ein Schweizer Käse, wurde bereits eingangs des Buches beschrieben. Vor dem Hintergrund mancher Negativbeispiele darf die gegen Manager im Allgemeinen und auch gegen einzelne Vertreter erhobene Kritik auch nach Meinung der Verfasser nicht vorschnell als unqualifiziertes und von Neid getriebenes „Manager-Bashing“ abgetan werden. Dementsprechend sind auch die Meinungen über den DCGK geteilt. Sein Wert, vor allem aber die Aufrichtigkeit seiner Verfasser, eine gute Corporate Governance auch unter Preisgabe von liebgewonnenen Positionen wirklich herbeiführen zu wollen, ist umstritten. Teilweise finden sich positive Äußerungen, nach deren Tenor dem DCGK eine wichtige Schrittmacherfunktion bei der Hinführung der Unternehmen zu guter Corporate Governance zukomme.15 Hingegen sehen andere Vertreter der Fachöffentlichkeit den DCGK als wenig sachdienlich und weiterführend an. Die Regelungen seien „wachsweich und unverbindlich“.16 In den Augen der Kritiker einen besonderen Akzent von Unglaubwürdigkeit setzte ausgerechnet Gerhard Cromme selbst, in dessen Thyssen-Krupp Konzern Anfang 2007 der Krupp-Stiftung gegenüber den übrigen Aktionären Sonderrechte bei der Besetzung des Aufsichtsrats eingeräumt wurden. Gerhard Cromme sanktioniere hier als Aufsichtsrat, was nicht den Grundsätzen guter Unternehmensführung entspreche und was er als Kommissionschef daher verwerfen müsste, so der Vorwurf (vgl. Handelsblatt v. 19.–21.1.2007, S. 1). In Sachen „Taktik“ werden ihm im Übrigen beste Haltungsnoten attestiert: „Als Chef einer Regierungskommission zwingt Cromme Deutschlands Unternehmen, ihre Führungsprinzipien zu überarbeiten, zugleich aber schirmt der gut verdrahtete Aufseher sie vor weiter reichenden Forderungen aus Politik oder Medien ab. Cromme treibt das Neue voran und ist doch stets dem Alten verhaftet ... Soviel wie nötig, so wenig wie möglich, das könnte Crommes Maxime sein ... Für die deutsche Wirtschaft ist der Taktiker Cromme am Ende somit der ideale Mann auf diesem Posten – für die Sache der Corporate Governance nur bedingt.“17 Dazu ist von Seiten der Verfasser zu bemerken, dass jeder seine Rolle nur so (gut) spielt bzw. spielen kann, wie andere – das ist hier insbesondere die ohnmächtige und offenbar überforderte Politik – das zulassen. Ein weiteres Beispiel zum DCGK rundet dieses fragwürdige Bild ab. Nach wie vor ist z.B. geübte Praxis, dass der Vorstandsvorsitzende direkt nach Ablauf seiner Amtszeit den Aufsichtsratsvorsitz des von ihm zuvor geleiteten Unternehmens übernimmt. Er kann sich dann selbst prüfen. Das ist mit einer „guten“ Corporate Governance schwerlich in Einklang zu bringen. Im DCGK findet sich zu dem Thema „Wechsel vom Vorstand in den Aufsichtsratsvorsitz“ nur die weitge15 Vgl. z.B. Christian Schlitt, Die strafrechtliche Relevanz des Corporate Governance Kodexes, in: DB 2007, S. 326 oder Volker Peemöller/Markus Warncke, Prüfungsausschüsse deutscher Aktiengesellschaften, in: DB 2003, S. 401. 16 Vgl. z.B. den Artikel „Die Macht ist ungezähmt“ von Udo Perina, in: Die Zeit, Nr. 12 vom 15.3.2007 (Geld spezial, S. 33). Hier wird ein Fondsmanager zitiert, der die Regeln des DCGK wie folgt bewertet: „Die sind nicht mehr wert als ein Arschwisch“. 17 Vgl. Arne Storn, Der Taktiker, in: Die Zeit vom 3.5.2007, Wirtschaft S. 28, zum Fall Siemens.

113

84

85

86

2

2

§2

2

87

88

Rechtsgrundlagen zur Internen Revision

hend untaugliche Empfehlung, dass ein solcher Wechsel „nicht die Regel sein“ soll (Ziff. 5.4.4 Satz 1 DCGK). Natürlich wird nicht verkannt, dass in einem solchen Regelwerk grundsätzlich ein gewisses Bedürfnis für die Verwendung unbestimmter Begriffe besteht, so der Hinweis des Roundtable des Berlin Center of Corporate Governance (BCGK).18 Speziell mit Bezug auf den hier erörterten Fall könnte aber der Hinweis, sollte er darauf bezogen sein, allenfalls als untauglicher Versuch einer unternehmerpolitisch motivierten Verschleierung gesehen werden. Verstärkt wird dieser Eindruck durch verschiedene Thesen des BCGK. Diese beschreiben mit zum Teil bedeutungsschwangeren Worten (Kostprobe: „Interessenabhängigkeiten aufgrund kasuistischer Integritätsprobleme...“, These 3.11) die möglichen Probleme, denen Aufsichtsratsmitglieder ausgesetzt sein können.19 Auch These 3.8 („Vorstandsabhängigkeiten sollten vermieden werden.“) mahnt dringlich davor, weil sie in „hohem Maße problematisch“ seien, „da für Dritte letztlich kaum ersichtlich ist, von welchen (sachdienlichen oder sachfremden) Überlegungen sich das Aufsichtsratsmitglied im jeweiligen Einzelfall leiten läßt.“ Zu allem Überfluss verweist These 3.8 zu ihrer argumentativen Untermauerung auch noch auf Ziff. 5.4.4 DCGK, „der in die richtige Richtung weise“.20 Wirklich ein sehr schwieriges Terrain, auf dem sich der Aufsichtsrat da bewegt! Immerhin – und hier sei den Verfassern eine Spitze gestattet – wird es für Dritte offen ersichtlich sein, von welchen Überlegungen sich das Aufsichtsratsmitglied wird leiten lassen, wenn es seine eigene Vorstandsarbeit überprüft. Mitunter gibt es dann auch noch ausgerechnet in solchen Fällen des unmittelbaren Wechsels vom Vorstand in den Aufsichtsratsvorsitz Aufsehen erregende Skandale. So etwa beim SiemensKorruptionsfall, der 2006 und 2007 negative Schlagzeilen machte und der im April 2007 zum Rücktritt Heinrich von Pierers vom Aufsichtsratsvorsitz bei Siemens führte. Auch der Vorstandsvorsitzende Kleinfeld musste das Feld räumen. Bis zum Redaktionsschluss dieses Buches war ungeklärt, ob die Herren von den illegalen Praktiken in ihrem Konzern gewusst haben oder sogar in sie verstrickt waren. Der Fall Siemens veranlaßte die Große Koalition, dann doch mal über die Einführung einer gesetzlichen Regelung nachzudenken, wonach der Vorstandsvorsitzende nicht sofort in das Amt des Aufsichtsratsvorsitzenden wechseln darf. Das wurde von der Wirtschaft abgelehnt (vgl. Bericht Handelsblatt vom 21.12.2006, S. 3). Hierzu wird die weitere Entwicklung ebenfalls zu beobachten sein. Mit einiger Wahrscheinlichkeit ergibt sich aus solchen Themen auch ein Grund, dass manche Unternehmensumfragen dem DCGK und seiner Befolgung eine nur eingeschränkte Bedeutung für das Verhalten des Marktes attestieren. Damit wird zugleich die Geschäftsgrundlage für den DCGK generell in Frage gestellt: „Die Antwort auf die in der Überschrift gestellte Frage (scil.: Wer den Kodex nicht einhält, den bestraft der Kapitalmarkt?) lautet daher: „Wer den Kodex überdurchschnittlich gut befolgt, wird dafür vom Kapitalmarkt nicht belohnt, ebenso wie derjenige keine Bestrafung erfährt, der den Kodex nur unterdurchschnittlich befolgt!“ Ergo ist die Befolgung der Kodex-Empfehlungen für den Börsenkurs irrelevant. Auch eine Ad-hoc-Pflicht der Entsprechenserklärung ist damit zu verneinen.“21 Mögliche Schlüsse daraus: Die Wirtschaft selbst hält nicht viel von ihren eigenen Maßnahmen. Oder – gravierender – sie geht davon aus, dass es 18 Vgl. Axel v. Werder/Bernd J. Wieczorek, Anforderungen an Aufsichtsratsmitglieder und ihre Nominierung, in: DB 2007, S. 297 (Hinweis: beide Verfasser des Aufsatzes sind Roundtablemitglieder). 19 v. Werder/Wieczorek, ebd., S. 301. 20 v. Werder/Wieczorek, ebd., S. 301. 21 Vgl. Nowak/Rott/Mahr, ZGR 2005, 252, 279, die 317 deutsche Unternehmen befragt haben. Vgl. dazu auch Hefendehl, JZ 2006, 119, 123 f. mit Hinweisen auf eine weitere Studie, die ebenfalls eine nur schwache empirische Evidenz für den unterstellten Zusammenhang zwischen den Erfüllungsgraden des DCGK und dem Unternehmenserfolg ermittelt hat. Hefendehl (a.a.O., S. 123) weist allerdings auch auf eine andere deutsche Erhebung aus dem Jahr 2004 hin, aus der hervorging, dass Unternehmen mit guter Corporate Governance eine um 10 % höhere Aktienrendite erzielten.

114

D.

2

Deutscher Corporate Governance Kodex

sich beim DCGK nur um ein Placebo handelt – und auch nur handeln soll. In diesem Sinne auch Schünemann22: „Mittlerweile hat eine sehr starke Ernüchterung über die Wirksamkeit von Compliance-Programmen stattgefunden, weil man festgestellt hat, dass sie in vielen Fällen nur zur äußerlichen Verbrämung dienen, aber zu keiner wirklichen Änderung der Unternehmenskultur führen, die nach wie vor auf Profitmaximierung angelegt ist – weshalb dann häufig genug äußerlich eindrucksvolle Compliance-Programme durch das Augenzwinkern (blinking) der Führungsorgane praktisch wirkungslos gemacht wurden.“ Darauf, dass dies zutreffen könnte und noch mehr Beobachtern aufgefallen ist, könnten auch die 2007 vorgestellten Ergebnisse aus einer empirischen Untersuchung zur Frage: „Wie verhält sich die Entsprechenserklärung zur Erklärungsentsprechung?“ hindeuten. Sie fand auch keine zufrieden stellenden Antworten, sondern präsentiert als Ergebnis eine rhetorische Frage: „ ...Soll der so Angesprochene aber nur glauben, was erklärt wird und nichts überprüfen können, und wie verhält sich insgesamt die Entsprechenserklärung zum Erklärungsversprechen? Aus Sicht der Forscher ein paradoxes Ergebnis: Dieser Praxistest wirft mehr Forschungsfragen auf, als er eigentlich beantworten sollte. Fazit: Eine erklärte bessere Corporate Governance muss noch keine gute sein.“23

III.

2

DCGK und § 161 AktG – Rechtliche Folgerungen

Trotz dieser Probleme rund um den DCGK entfaltet dieser gewisse rechtliche Implikationen. Rechtlich eine besondere Bedeutung erlangen die Soll-Empfehlungen des Kodex, weil aufgrund des TransPuG mit § 161 AktG eine gesetzliche Vorschrift bereitsteht, die ihnen einen gewissen Nachdruck verleiht. Die Vorschrift lautet: „Vorstand und Aufsichtsrat der börsennotierten Gesellschaft erklären jährlich, dass den vom Bundesministerium der Justiz im amtlichen Teil des elektronischen Bundesanzeigers bekannt gemachten Empfehlungen der „Regierungskommission Deutscher Corporate Governance Kodex“ entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden oder werden. Die Erklärung ist den Aktionären dauerhaft zugänglich zu machen.“ Gegen die Empfehlungen werden verfassungsrechtliche Bedenken erhoben. Des Weiteren werden auf der Ebene des einfachen Rechts Fragen der Nicht- oder Schlechtbefolgung der Pflichten aus § 161 AktG und daraus resultierende Haftungsfolgen zum Teil kontrovers diskutiert. Zu strittigen Einzelfragen hat sich – soweit ersichtlich – in der Juristerei noch keine herrschende Meinung herausgebildet. Die Einzelprobleme können aus Platzgründen hier nicht alle ausgebreitet werden. Insoweit wird auf die einschlägige Kommentarliteratur verwiesen. Es ergeben sich aus der Norm und den Empfehlungen nach hier vertretener Auffassung nachfolgend skizzierte Rechtswirkungen: Während die Kann-Anregungen und die Muss-Vorschriften nicht erfasst werden, verpflichtet § 161 Satz 1 AktG Vorstände und Aufsichtsräte von börsennotierten Gesellschaften zur Abgabe von jährlichen Erklärungen, ob und inwieweit den Soll-Empfehlungen des Kodex entsprochen wurde oder nicht. Auch darüber, wie man dies zukünftig im einzelnen zu halten gedenkt, ist zu erklären (Entsprechenserklärungen). Es besteht bei (beabsichtigten) Abweichungen aber keine Rechtfertigungs- bzw. Erläuterungspflicht in der Sache, wenngleich es aus kaufmännischen 22 Bernd Schünemann, Brennpunkte des Strafrechts in der entwickelten Industriegesellschaft, in: Roland Hefendehl (Hrsg.), Kriminologische und dogmatische Fundamente, kriminalpolitischer Impetus, 2005, S. 349, 361 f. 23 Manuel Réné Theisen/Mario Raßhofer, Wie gut ist „Gute Corporate Governance“? – Ein aktueller Praxistest, in: DB 2007, S. 1317, 1321.

115

89

90

91

92 93

2

2

§2

94

95

96

97

Rechtsgrundlagen zur Internen Revision

Erwägungen sinnvoll sein kann, dem Kapitalmarkt die Gründe hierfür anzugeben.24 Das gilt trotz u.U. nur relativ marginal vorhandenen Markteinflüssen des DCGK (vgl. dazu die Ausführungen soeben). Die Verlautbarungen sind gegenüber den Aktionären zu kommunizieren. Das kann auf der WebSite der Gesellschaft oder in ihren Gesellschaftsblättern (Wirtschaftszeitungen etc.) geschehen. Vorstand und Aufsichtsrat werden von § 161 AktG getrennt angesprochen. Als Kollegialorgane artikulieren sie ihre Willensbildung jeweils über Beschlussfassung. Jedes Organ trifft im Zweifel die Entscheidung über die Abgabe, Nichtabgabe oder die nur eingeschränkte Abgabe der Erklärung für seinen Zuständigkeitsbereich alleine. In der Praxis wird es sich jedoch oft um gemeinsame oder jedenfalls auf einander abgestimmte Erklärungen der beiden Organe handeln. „Jährlich“ ist bezogen auf das Geschäftsjahr. Unterjährige Änderungen des DCGK selbst lösen keine erneute Erklärungspflicht aus. Bei den Entsprechenserklärungen handelt sich nach ihrem abstrakten Erklärungsinhalt um vergangenheitsbezogene Wissenserklärungen und um in die Zukunft gerichtete Absichtserklärungen. Bei der Wissenserklärung erklären sich die Organe über ihr jeweils eigenes Wissen, wie es in der Vergangenheit gelaufen ist. Die Grundlagen hierfür müssen sie sich ggf. durch Ermittlung im Unternehmen beschaffen. Wegen möglicher Haftungsfolgen (vgl. dazu etwas weiter unten) ist eine besondere Sorgfalt angeraten. In rechtlicher Hinsicht weniger gravierend erscheinen auf den ersten Blick die Absichtserklärungen. Eine hierdurch herbeigeführte Bindungswirkung ist rechtlich grundsätzlich nicht ersichtlich. Jedes Organ kann daher im Prinzip von seinen erklärten Absichten später wieder abrücken, und zwar ebenfalls ohne besondere Rechtfertigung. Ungeachtet dessen können sich in Ausnahmefällen auch hier Haftungsfragen ergeben. Jedenfalls muss ein solcher Meinungswechsel, sofern er unterjährig und unter Abweichung von einer vorher abgegebenen Erklärung erfolgt, nach § 161 Satz 2 AktG gegenüber den Aktionären bekannt gemacht werden. Ein solcher Meinungswechsel kann in der Praxis vor allem nach Neubesetzungen der Gremien in Betracht kommen. Teilweise wird in der Literatur mit Hinweis auf den Wortlaut der Vorschrift vertreten, § 161 Satz 1 AktG gebiete zumindest doch mittelbar, dass den Empfehlungen entsprochen werden soll. Sie seien im Ergebnis als „Verhaltensregeln gesetzesgleichen Inhalts“ oder als jedenfalls als „mittelbare Rechtsquellen“ anzusehen. Es lägen daher verfassungsrechtliche Bedenken wegen eines möglichen Verstoßes gegen den Gesetzesvorbehalt (Herleitung aus Art. 20 Abs. 3 GG) und auch gegen das Demokratiegebot (Art. 20 Abs. 2 Satz 2 GG) auf der Hand. Konkret bezogen wird sich dabei auf die sog. Wesentlichkeitstheorie des Bundesverfassungsgerichts als Konkretisierung der genannten verfassungsrechtlichen Postulate. Danach sei es geboten, dass es in grundlegenden Bereichen keine Normen geben darf, die nicht vom Gesetzgeber selbst getroffen wurden. Enthalte sich dieser und überlässt sie statt dessen untergesetzlichen oder nichtstaatlichen Instanzen, werde dies als verfassungswidrig erachtet.25 Nach hier vertretener Auffassung bestehen keine durchgreifenden verfassungsrechtlichen Bedenken gegen die Empfehlungen (in Verbindung mit den Rechtswirkungen des § 161 Satz 1 AktG). Insbesondere sind die zur Wesentlichkeitstheorie entwickelten Postulate nicht verletzt. Dieses 24 Die am 5.9.2006 in Kraft getretene EU-RL 2006/46/EG (Abl. L 224 vom 16.8.2006, S. 1–17) zur Abänderung der 4. und 7. EU-RL, sog. Abänderungs-RL, sieht für kapitalmarktorientierte Unternehmen ein sog. Corporate Governance Statement (CGS) vor. Dieses Statement geht inhaltlich weit über die Entsprechungserklärung des § 161 AktG hinaus. Vgl. dazu näher Lentfer/Weber, Das Corporate Governance Statement als neues Publizitätsinstrument, DB 2006, S. 2357. Die Abänderungs-RL ist bis zum 5.9.2008 in nationales Recht umzusetzen. 25 Vgl. z.B. Hüffer, AktG-Komm., § 161 Rn. 3 f.

116

D.

2

Deutscher Corporate Governance Kodex

Ergebnis ergibt sich aus einer Analyse der rechtlichen Qualität der Empfehlungen und aus der Auslegung des § 161 AktG nach dessen Sinn und Zweck. Die vom BVerfG entwickelte Wesentlichkeitstheorie greift bei wirklich weitreichenden Auswirkungen auf die Bürger und auf deren allgemeine Lebensverhältnisse. Der Gesetzgeber ist – losgelöst vom Merkmal eines „Eingriffs“ – in grundlegenden normativen Bereichen aufgefordert, alle wesentlichen Entscheidungen selbst zu treffen. Das gilt vor allem im Bereich der Grundrechtsausübung. Das BVerfG hat weiter festgestellt, dass sich nur einzelfallabhängig und mit Blick auf den jeweiligen Sachbereich und die Intensität der geplanten oder getroffenen Regelung ermitteln lässt, in welchen Bereichen der Gesetzgeber selbst über die Schaffung eines förmlichen Gesetzes handeln muss. So wurde das z.B. zur Frage der Regelung der rechtlichen Zulässigkeit von friedlicher Nutzung der Kernenergie in Deutschland bejaht (BVerfGE 49, 89, 126 f. – Kalkar). Zunächst ist festzustellen, dass es sich nur um Empfehlungen handelt, was durch das Hilfsverb „soll“ kenntlich gemacht wird. Obwohl die Unternehmen deren Befolgung erklärter maßen beachten sollen, kann das „soll“ nicht als „muss“, ähnlich wie das zuweilen etwa in verwaltungsrechtlichen Vorschriften zu Lasten von Behörden anzuwenden ist, gesehen werden. Unternehmen sind keine Behörden. Die Möglichkeit der Nichtbeachtung der Empfehlungen wird zudem im Kodex ausdrücklich angesprochen. Die Kommission selbst ist nicht als öffentliche Stelle anzusehen, die ein solches „Muss“ mit hoheitlicher Autorität anordnen könnte. Ihre Beauftragung durch die Bundesregierung und der Umstand, dass diese die Empfehlungen mit trägt, kann einen solchen Effekt ebenfalls nicht erzeugen. Mangels eines insoweit notwendigen Gesetzes erledigt sich der Gedanke, den Empfehlungen den Charakter einer Rechtsverordnung (Art. 80 Abs. 1 GG) beimessen zu können. Der Kommission fehlt die Kompetenz als staatlicher Gesetzgeber. Trotz ihrer Aufmachung und trotz Vorhandenseins von in die Gegenrichtung deutenden Umständen (Bundesanzeiger, Involvierung der Bundesregierung, gesetzliche Inbezugnahme durch § 161 AktG) stellen die Empfehlungen kein staatliches gesetztes Recht dar. Sie können Rechtswirkungen, vergleichbar mit denen von staatlich gesetztem Recht, nicht herbeiführen. Daneben wird man ihren Inhalten eine Wesentlichkeit im geforderten Sinne absprechen müssen. Die von der Wesentlichkeitstheorie geforderte entsprechend hervorragende Qualität weisen die Themenkomplexe des Kodex nicht auf. Das gilt auch unter Berücksichtigung der Wertung des Eigentumsgrundrechts (Art. 14 GG), dessen Schutz Unternehmen beanspruchen können. Wiewohl manches Thema durchaus von einer gewissen unternehmenspolitischen Brisanz ist, geht es bei den Empfehlungen insgesamt mehr um profane Fragen der Gestaltung des unternehmerischen Alltags.26 Man kann aber vor allem wegen der spezifischen Inbezugnahme der Empfehlungen durch § 161 AktG keinen Rechtsverstoß annehmen. Vorweg schickend ist zu bemerken, dass die Empfehlungen alleine, ohne Existenz des § 161 AktG, nach dem schon eben Gesagten rechtlich letztlich bedeutungslos wären, gewissermaßen ein (verfassungs-) rechtliches Nullum. Ein solches Nullum kann im Kontext der Wesentlichkeitstheorie bei einem Fehlen jeglichen Bezugs zum Gesetzgeber kein tauglicher Gegenstand einer verfassungsrechtlichen Überprüfung sein. Es fehlt ihm die Qualität dazu. Nur im Verband mit einer Rechtsvorschrift als einer die Empfehlungen billigenden Verlautbarung, die dem Gesetzgeber zuzurechnen ist, können diese rechtlich entsprechend aufgewertet werden und erhalten so die erforderliche rechtliche Dignität. Im Falle einer Rechtswidrigkeit

26 Das kann man mit Bezug auf die individualisierte Offenlegung von Vorstandsgehältern u.U. anders sehen. Das Problem hat sich jedoch durch die Tätigkeit des Gesetzgebers durch Schaffung des VorstOG erledigt.

117

98

2

99

100

101

2

§2

102

2

103

Rechtsgrundlagen zur Internen Revision

von § 161 AktG wären beide Normen bzw. Normkomplexe, § 161 AktG und die Empfehlungen des Kodex, als Einheit verfassungswidrig.27 Eine rechtlich durchgreifend wirkende „Verklammerung“ oder auch nur der rechtlich zu beanstandende Anschein einer solchen kann aber nicht bejaht werden. Das gilt trotz des Wortlauts „... dass... entsprochen wurde...“ in § 161 Satz 1 AktG. Die Gesetzesauslegung hat unter Berücksichtigung von allgemeinen Zweckmäßigkeits- und Gerechtigkeitserwägungen, gerade auch von solchen mit verfassungsrechtlichem Hintergrund, zu erfolgen. Zwar ist einzuräumen, dass durch die Art der Befassung des Gesetzgebers mit der Materie ein besonderer Erwartungsdruck der Kapitalmärkte auf Einhaltung der Empfehlungen erzeugt wird. Auch wollte der Gesetzgeber ihnen durchaus zu einer grundsätzlichen Beachtung verhelfen (vgl. Regierungsbegr. zu § 161 AktG, BTDrs. 14/8769, S. 21). Zudem besteht vor Abdruck eine Rechtskontrolle der Bundesjustizministers über die Empfehlungen, wonach verfassungs- oder rechtswidrigen Inhalten die Bekanntmachung verwehrt werden soll (vgl. Ausschussbericht zu § 161 AktG, BT-Drs. 14/9079, S. 18). Im Ergebnis ist das alles jedoch unerheblich. Es geht bei § 161 AktG hauptsächlich um die Herstellung von Publizität. Angaben über die Befolgung oder Nichtbefolgung der Empfehlungen soll den Kapitalmarktteilnehmern über die Einführung einer Erklärungsverpflichtung zugänglich gemacht werden (vgl. BT-Drs. 14/8769, S. 21 f.). Die durch die Regierung ausgeübte Sicherungsfunktion ist nur mehr als eine Vorsichtsmaßnahme zugunsten des Marktes anzusehen, gewissermaßen eine Serviceleistung der Verwaltung. Es kann und darf daher den Äußerungen aus den Materialien und der Vorschrift selbst nicht entnommen werden, dass sich der Gesetzgeber die einzelnen Empfehlungen auch im „gesetzestechnischen Sinn“ zu eigen machen wollte. Das wäre dann in der Tat verfassungsrechtlich sehr bedenklich, weil § 161 AktG dann wahrscheinlich gegen Grundprinzipien der Gesetzesklarheit (Bestimmtheitsgebot als Ausfluss des Rechtsstaatsgebots, Art. 20 Abs. 2 Satz 2, 28 Abs. 1 Satz 1 GG) verstoßen würde. § 161 Satz 1 AktG und seine ihm zugrunde liegenden Äußerungen, die während des Gesetzgebungsverfahrens gemacht wurden, dürfen nicht so ausgelegt werden, dass der Vorschrift eine Pflicht zur sachlichen Befolgung der Empfehlungen entnommen werden kann (Anwendung einer sog. verfassungskonformen Auslegung). In § 161 AktG kann es daher nur um die Erklärungspflicht zu den Empfehlungen gehen. Das hier vertretene Ergebnis muss um so mehr gelten, weil die Empfehlungen ihre Nichtanwendungsmöglichkeit selbst eröffnen und der Wortlaut des § 161 Satz 1 AktG dies selbst ebenfalls ausdrückt. Gegenteiligen Rechtsmeinungen in der Literatur, die teilweise sogar eine strafrechtliche Relevanz aus der Nichtbefolgung der Empfehlungen des DCGK konstruieren wollen, sind daher abzulehnen. Danach sollen sich aus der Nichtbefolgung der im Kodex beinhalteten Empfehlungen „strafrechtliche Risiken“ ergeben, weil dieser Sachverhalt zur Ausfüllung von Rechtsbegriffen, etwa für den Treubruchtatbestand des § 266 StGB (Untreue), herangezogen werden könnte. Der Kodex konkretisiere nämlich die Anforderungen an die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ i.S. §§ 93 Abs. 1, 116 Abs. 1 AktG ebenso, wie sich aus ihm Anknüpfungspunkte für die Bestimmung der Pflichtwidrigkeit bei dem Untreuetatbestand des § 266 StGB herleiten

27 Dies wird in der Literatur z.T. übersehen, wo nur auf die Verfassungswidrigkeit der Empfehlungen abgestellt wird, vgl. z.B. Hüffer, AktG-Komm., § 161 Rn. 3 f. Infolge der Bejahung der Möglichkeit einer Verletzung der Erklärungspflicht des § 161 AktG werden die hieraus resultierenden Haftungsfolgen in Beziehung gesetzt zum angenommenen Verfassungsverstoß der Empfehlungen. Die Annahme, der Verstoß durch die Empfehlungen wäre zu verneinen, wenn (nur) eine Verletzung der Erklärungspflicht folgenlos bliebe, zeigt den Charakter eines Zirkelschlusses. Zudem ist festzustellen, dass ein Verstoß gegen eine nichtige Vorschrift grundsätzlich keine Haftungsfolgen auslösen kann.

118

D.

2

Deutscher Corporate Governance Kodex

lassen.28 Eine solche Ansicht setzt sich massiven verfassungsrechtlichen Bedenken aus, weil der sehr weit gefasste Treubruchtatbestand wegen „verdächtiger Nähe“ zu Art. 103 Abs. 2 GG („Eine Tat kann nur bestraft werden, wenn die Strafbarkeit bestimmt war, bevor die Tat begangen wurde.“) verfassungsrechtlich ohnehin nicht unproblematisch ist. Diese Strafvorschrift dann auch noch rechtlich „aufpäppeln“ zu wollen durch Empfehlungen einer privaten Kommission, die zudem selbst die Möglichkeit der Abweichung davon eröffnet (!), und dann auf dieser Basis zu bestrafen, ist nicht vertretbar. Wenn man sich zu der Annahme der Möglichkeit entschließt, den Empfehlungen überhaupt eine das Gesetz ausfüllende Wirkung zuschreiben zu können, muss man richtiger Weise wegen des bloßen Soll-Charakters der Empfehlungen zum gegenteiligen Ergebnis kommen. Es ist dann der Tatbestand von § 266 StGB mangels Pflichtwidrigkeit auszuschließen. Denn eine Pflicht besteht ja gerade nicht, wie die Kodex-Kommission selbst erklärt. Aus diesen grundsätzlichen Erwägungen heraus bestehen auch große Vorbehalte, Regelungen des DCGK als „Lückenfüller“ im privatrechtlichen Bereich anzuwenden. Das gilt insbesondere bei Regelungen mit Haftungsfragen und -folgen, deren Tragweite durchaus mit der von Strafvorschriften vergleichbar sind.29 ! Praxishinweis: Bei Haftungsfragen ist im Übrigen zu differenzieren zwischen der Innen- und der Außenhaftung.

2

104

■ Innenhaftung Bei ihr geht es darum, ob Mitglieder des Vorstands und/oder des Aufsichtsrats (gem. § 93 Abs. 2 bzw. § 116 AktG) gegenüber der Gesellschaft haften. Als mögliche Auslöser einer solchen Haftung können die formwidrige, eine gänzlich unterlassene oder die nicht dauerhaft zugänglich gemachte Entsprechenserklärung in Betracht kommen. Auch die unrichtige vergangenheitsbezogene Wissenserklärung kann dazugehören, etwa bei wahrheitswidriger Angabe, bestimmte Empfehlungen seien eingehalten worden. In allen Fällen können von den Organen zu vertretende Pflichtverletzungen gesehen werden. Um eine Haftung zu bejahen, müssen hierdurch Schäden der Gesellschaft verursacht worden sein. Diese können z.B. in einer unterlassenen oder revidierten Investitionsentscheidung bestehen, wenn sich ein Geldgeber von solchen Unregelmäßigkeiten bei der Entsprechenserklärung nachweisbar (daran wird der Anspruch in der Praxis oft scheitern) von einem Engagement bei der Gesellschaft abhalten ließ bzw. dieses wieder rückgängig gemacht hat. Die Lösung von Innenhaftungsproblemen, wie sie mit Bezug auf die sachliche Nichtbeachtung der Soll-Empfehlungen auftreten können, werden in einer zweiten Fallgruppe diskutiert. Wegen der Verquickung der hier auftretenden Themen mit der Erklärungspflicht ist hier Manches umstritten. Zwei Erscheinungsformen sind zu unterscheiden. Die erste Variante betrifft die offen zu Tage tretende Erklärung der Organe, dass diese sich (ganz oder teilweise) nicht an die SollEmpfehlungen des Kodex halten wollen. Die zweite Variante betrifft Sachverhalte, dass von den Organen Entsprechenserklärungen zwar abgegeben werden, jedoch diese sich gleichwohl daran nicht halten. Bei der ersten Variante kann sich zu Lasten der Organe keine Schadensersatzpflicht ergeben. Sofern sich nicht ausnahmsweise aus anderen Normen vergleichbare Tatbestände wie in der betroffenen Soll-Empfehlung ergeben (neben der Satzung und Geschäftsordnungen können insoweit auch 28 So Christian Schlitt, Die strafrechtliche Relevanz des Corporate Governance Kodexes, in: DB 2007, S. 326, 327. Im Übrigen, so Schlitt, begründeten die Kodex-Empehlungen die Vermutung, Bestandteil einer ordnungsgemäßen Geschäftsführung zu sein, ihre Nichtbefolgung lasse sich daher als Indiz für eine nicht ordnungsgemäße Geschäftsführung werten. 29 Vgl. dazu ebenfalls Schlitt, ebd.

119

105

106

107

2

§2

2

108

Rechtsgrundlagen zur Internen Revision

Anstellungsverträge in Betracht kommen), fehlt es an einer pflichtwidrigen Sorgfaltspflichtverletzung. Es ist noch einmal zu betonen, dass kein rechtlicher Zwang besteht, den Empfehlungen auch in der Sache zu folgen. Vorstand und Aufsichtsrat müssen nur Willensbildungen herbeiführen, ob den Empfehlungen ganz oder teilweise gefolgt werden soll. Insoweit besteht Ermessen sowohl zur Frage der Anwendung einzelner Empfehlungen als auch zur Anwendung bzw. Verwerfung des Kodex in seiner Gesamtheit. Es geht bei § 161 AktG lediglich um die Verpflichtung zur Erklärung, wie man sich zu den Empfehlungen im einzelnen verhält. Folglich ist § 161 AktG insoweit auch nicht in der Lage, die notwendigen Konkretisierungen für die Haftungstatbestände der noch die §§ 93 Abs. 2, 116 AktG zu liefern. Anders kann es bei der zweiten Sachverhaltsvariante liegen. Soweit es sich dabei um eine vergangenheitsbezogene Wissenserklärung handelt, wurde dieser Fall bereits oben angesprochen. Hier kann eine Haftung in Betracht kommen, denn es widerspricht offenbar den Sorgfaltspflichten eines ordentlichen und gewissenhaften Geschäftsleiters. Dies wird man auch im Hinblick auf abgegebene zukunftsgewandte Absichtserklärungen annehmen können, wenn diese von vornherein mit der Absicht abgegeben werden, sie nicht einzuhalten. Dann liegt nicht mehr nur ein Fall der Ausübung von Ermessens der Organe vor. Vielmehr handelt es sich um eine absichtliche Täuschungshandlung, die eine Anwendung der Haftungstatbestände nach sich ziehen muss. Freilich wird sich hier das Problem der Nachweisbarkeit regelmäßig stellen. ■

Außenhaftung Sie betrifft die Frage, ob Außenstehende die Aktiengesellschaft und/oder Organmitglieder im Zusammenhang mit Themen des § 161 AktG in Anspruch nehmen können. Als mögliche Gläubiger kommen bei beiden Varianten vor allem enttäuschte Aktionäre der Gesellschaft in Betracht, sofern bei ihnen durch eine Verletzung der Erklärungspflicht adäquat kausal Vermögensschäden verursacht wurden. Diese können in Kursverlusten oder in entgangenen Kursgewinnen bestehen. Weil sich spezielle aktienrechtliche Ansprüche tatbestandlich nicht ergeben – dies gilt insbesondere für §§ 93 Abs. 2, 116 AktG, die nur das Innenverhältnis betreffen – kommen als Anspruchsgrundlagen im Verhältnis zur Aktiengesellschaft mit den §§ 823 Abs. 1, 826 BGB nur sog. deliktische Ansprüche in Betracht. § 823 Abs. 1 BGB (Unerlaubte Handlung) wird aber im Ergebnis regelmäßig ausscheiden. Grund: Die Nichtbefolgung einzelner DCGK-Empfehlungen und eine damit zusammenhängende Unrichtigkeit der Entsprechenserklärung kann keinen haftungsbegründenden Eingriff in das Mitgliedschaftsrecht des einzelnen Aktionärs (als sog. sonstiges Recht im Sinne der Vorschrift) auslösen, weil das Fehlverhalten nicht individuell darauf bezogen werden kann. Die Einschlägigkeit von § 826 BGB (sittenwidrige vorsätzliche Schädigung) ist grundsätzlich denkbar. Jedoch wird sich in der Praxis auch hier das Nachweisproblem ergeben, ob zwischen der nicht eingehaltenen Empfehlung und dem Schaden ein kausaler Zusammenhang besteht. Weiter wird das zur Bejahung des Anspruchs notwendige Erfordernis einer vorsätzlichen Schädigung schwer herzuleiten sein. Da § 161 AktG zudem speziell die beiden Organe als Verpflichtete der Vorschrift angibt (und nicht die Gesellschaft), ist schließlich problematisch, ob im Falle ihres Fehlverhaltens dies der Gesellschaft angelastet werden kann. § 31 BGB (Haftung des Vereins für Organe) als allgemeine Zurechnungsnorm will dann nämlich unter Umständen nicht so recht passen.30 Vorstandsmitglieder und Aufsichtsratsmitglieder haften ggf. persönlich gegenüber außen stehenden Gläubigern, wenn eine Deliktshaftung nach § 826 BGB oder eine sog. Vertrauenshaftung aus sog. rechtsgeschäftsähnlichem Schuldverhältnis (§§ 280 Abs. 1, 311 Abs. 3 BGB) bejaht werden 30 In diesem Sinne Hüffer, AktG-Komm., 7. Aufl., München 2006, § 161 Rn. 29.

120

E.

2

Internationale Rechtsregelungen

kann. Bei der Haftung nach § 826 BGB bestehen aber die gleichen Unwägbarkeiten und Probleme wie eben dargestellt (Kausalität und Nachweis des spezifischen Vorsatzes). Nach § 311 Abs. 3 BGB kann ein Schuldverhältnis mit den Pflichten des § 241 Abs. 2 BGB (sonstige Rücksichtnahmepflicht mit Bezug auf Rechte und Rechtsgüter des anderen Vertragsteils) auch zu Personen entstehen, die nicht selbst Vertragspartei werden sollen. Dies kann der Fall sein, wenn diese Personen (Vorstände und Aufsichtsräte) besonderes Vertrauen in Anspruch nehmen und dadurch das Verhalten des Partners (Aktionär) wesentlich beeinflusst wird. Das könnte auf Organmitglieder grundsätzlich zutreffen. Der letztendlichen Durchsetzung eines Vertrauenshaftungsanspruchs gegen diese kann aber entgegen stehen, dass zum Fall des § 161 AktG eine spezifische Schutzpflicht der Organmitglieder gegenüber den Aktionären bzw. Anlegern nur schwerlich konstruiert werden kann. Dafür gibt § 161 AktG nämlich keinen Halt. Unter dem Strich bleiben Pflichtverletzungen nach § 161 AktG insoweit rechtlich weitgehend folgenlos. Dem enttäuschten Aktionär bleibt letzten Endes nur die Möglichkeit zu versuchen, über die Ausübung seines Mitgliedschaftsrechts Konsequenzen herbeizuführen. Die Erreichung der Ablösung von Organmitgliedern wird dem Einzelnen aber ebenfalls nicht leicht fallen.

E.

Internationale Rechtsregelungen

I.

SOX

1.

Allgemeines

SOX wird als die bekannteste, internationale Konkretisierung der Corporate Governance bezeichnet.31 Das Gesetz wurde am 25.7.2002 vom amerikanischen Kongress verabschiedet und am 30.7.2002 vom US-Präsidenten George W. Bush unterzeichnet und in Kraft gesetzt. Es gilt als eines der weitreichendsten US-Kapitalmarktgesetze seit dem Securities Act und dem Securities Exchange Act (aus den Jahren 1933 und 1934).32 Benannt wurde es nach seinen beiden Verfassern, dem Abgeordneten Michael Oxley (Republikaner) und dem Senator Paul S. Sarbanes (Demokrat). Das Gesetz stellte eine Reaktion auf die Unternehmensskandale um Enron, Worldcom etc. dar, in die auch Wirtschaftsprüfer involviert waren. Sein Anlass bestand demnach hauptsächlich in Form von zwei durch diese Skandale zum Vorschein getretenen Kritikpunkten: Die bisherige Selbstregulierung des US-Prüferberufs und die Corporate Governance der an US-Börsen gelisteten Unternehmen wurden als regelungsbedürftig angesehen und sollten durch SOX reglementiert werden. Abhilfe schaffen will das 66 Seiten lange und in elf Abschnitte (diese wiederum sind in Sections untergliedert) aufgeteilte Gesetz durch die Einführung einer neuen, mit weit reichenden Kompetenzen ausgestatteten Berufsaufsicht für Prüfer, dem Public Company Accounting Oversight Board, „PCAOB“. Bei ihm handelt es sich um ein fünfköpfiges, privatrechtlich organisiertes Aufsichtsorgan, das gegenüber Prüfgesellschaften weit reichende Befugnisse innehat. Nähere Einzelheiten sind in Section 103 SOX („Auditing, quality control and independence standards and rules“) festgelegt. U.a. ist es möglich, dass das PCAOB Qualitätskontrollen bei den registrierten 31 Horváth S. 790. 32 „... most far-reaching reform of American business practices since the time of Franklin Delano Roosevelt.“ (George W. Bush), vgl. Lenz, BB 2002, S. 2270.

121

2

109

110

2

§2

2 111

112

113

Rechtsgrundlagen zur Internen Revision

Prüfern und Prüfungsgesellschaften durchführt. Das PCAOB seinerseits wird durch die staatliche Wertpapieraufsichtsbehörde der USA, die Securities and Exchange Commission („SEC“), überwacht. Der SEC obliegt es u.a., die im SOX mitunter nur relativ grob umrissenen Themen konkreteren Detailregelungen („Final Rules“) zuzuführen. Weiter sah SOX die Einführung von einschneidenden Corporate Governance Regelungen vor. Damit sollen eine Verbesserung der Transparenz von Unternehmensprozessen und die Herstellung von Vertrauen in die Richtigkeit der Finanzberichterstattung erreicht werden. SOX nimmt die Unternehmensleitungen verstärkt für die Vollständigkeit und für die Richtigkeit der Angaben bei der Berichterstattung in die Pflicht – und ggf. in die Haftung. Abschnitt IX. (White Collar Crime Penalty Enhancement) bedroht CEO’s und CFO’s im Falle von gegenüber SEC fahrlässig unzutreffend abgegebenen Erklärungen zur Richtigkeit des Zahlenwerks und zum Vorhandensein und der Wirksamkeit interner Kontrollen mit Geldstrafen von bis zu einer Mio. Dollar oder mit Gefängnisstrafen von max. 20 Jahren. Zusätzlich wurden neue Anforderungen postuliert, indem die Unternehmensleitungen fortlaufend über die Funktionsfähigkeit der Internen Kontrollsystems zu berichten haben. Eines der zentralen Themen des SOX ist die Errichtung eines Audit Committees (nach Section 301 SOX allerdings nicht zwingend vorgeschrieben, bei Fehlen werden dessen Aufgaben auf das gesamte Board of Directors übertragen, vgl. Section 205 SOX), das für die Überwachung der Ordnungsmäßigkeit der Rechnungslegung sowie der Abschlussprüfung im Unternehmen verantwortlich ist. Zwar regelt Section 301 SOX nichts zum Verhältnis des Audit Committees zur Internen Revision. Im Zusammenhang mit der Vorschrift wird jedoch diese Frage häufig in dem Sinne beantwortet, dass das Audit Committee die gleichen Verantwortlichkeiten und Rechte, wie sie gegenüber den externen Abschlussprüfern bestehen, auch über die Interne Revision erhalten sollte. In US-amerikanischen Unternehmen ist es daher gängige Praxis. Alle hier skizzierten Vorschriften von SOX sollen dem Schutz der Anleger dienen, deren Vertrauen durch die Einhaltung genauerer und verlässlicherer Angaben (wieder-)gewonnen werden sollte. Durch die explizite Einbeziehung sog. Foreign Private Issuers werden auch ausländische zweitgelistete Unternehmen, die bei der SEC registrierungspflichtig sind, erfasst. Zum einen betrifft das SOX insoweit direkt die Unternehmen, welche ein sog. Dual Listing in den USA vorgenommen haben. Außerdem müssen auch deutsche Tochterunternehmen US-amerikanischer börsennotierter Unternehmen ihre Berichterstattung an den Vorgaben des SOX ausrichten. Auch die für diese Unternehmen zuständigen ausländischen Prüfgesellschaften werden daher von SOX erfasst (Sec. 102 SOX). 2007 waren 18 deutsche Unternehmen in den USA geleistet und von SOX betroffen. Umfragen unter diesen zu Kosten- und Nutzen-Relationen der Anwendung von SOX haben teilweise kritische Stimmen hervorgebracht. Manche meinten, das angestrebte Ziel der Verbesserung der Finanzberichterstattung und des Internen Kontrollsystems werde konterkariert durch zusätzliche Bürokratisierung der betroffenen Unternehmen. Die hierdurch entstehenden Kosten würden nicht durch einen Zusatznutzen kompensiert. Mögliche Vorteile aus der Befolgung von SOX werden daher teilweise als eher gering eingeschätzt. Einige deutsche Unternehmen haben aus diesem Grund auch schon laut über einen möglichen Rückzug ihrer amerikanischen Listung nachgedacht (so z.B. strebte BASF im Sommer 2007 das freiwillige Delisting ihrer Aktien und die Deregistrierung an der NYSE an). 33 Dem standen bisher die relativ strikten Vorschriften der 33 Vgl. zu den Ergebnissen von Befragungen Stadtmann/Wißmann, ZRFG 2006, S. 16, 18 (m.w.N.): Etwa ein Drittel der befragten 18 deutschen Unternehmen hatte für die Erstentsprechung mit SOX 5 Mio. Euro aufgewandt bzw. erwartete noch anfallende Kosten von mehr als 5 Mio. Euro; im Durchschnitt werden die Gesamtkosten auf 7,1 Mio. Euro pro Unternehmen geschätzt.

122

E.

Deregistrierung (diese ist möglich, wenn weniger als 300 Personen mit einem Wohnsitz in den USA Aktien des betroffenen deutschen Unternehmens halten) entgegen. Auch in den USA hat ein Prozess des Umdenkens stattgefunden: „Has the shift in intensity gone too far?“, diese Frage stellte eine von der US Regierung einberufenen Kommission (Committee on Capital Markets Regulations) mit Bezug auf SOX. Ein erster Zwischenbericht dieser Kommission aus dem November 2006 wartete auf mit herber Kritik am amerikanischen Rechtssystem im Allgemeinen und speziell an SOX. Speziell zu Sec. 404 SOX wurden vom Zwischenbericht Lockerungen vorgeschlagen, so u.a. eine Neudefinition des Begriffes von Material Weakness in Sec. 404 SOX.34 Von den angesprochenen Corporate Governance Regelungen von SOX sind im vorliegenden Rahmen für die Interne Revision zwei bestimmte Sections des SOX von hervorgehobener Bedeutung. Es handelt sich um 302 und 404. Section 302 befasst sich mit der Richtigkeitsbestätigung durch den Vorstand bzgl. des Zahlenwerks, Section 404 bezieht sich auf die Bestätigung über das Vorhandensein und die Wirksamkeit der erforderlichen internen Kontrollen.

2.

2

114

Section 302 SOX

Section 302 regelt die „Corporate responsibility for financial reports“. Er verlangt u.a. die Einrichtung, Pflege, und Bewertung von Kontrollmechanismen, die eine vollständige und den tatsächlichen Verhältnissen des Unternehmens entsprechende effektive Berichterstattung sicher stellen sollen. Insbesondere muss die Unternehmensleitung (das betrifft besonders den CEO und den CFO) in Zusammenhang mit dem Quartals- bzw. dem Jahresbericht bestätigen, dass die Angaben der Berichterstattung vollständig sind und den tatsächlichen wirtschaftlichen Verhältnissen des Unternehmens entsprechen. Außerdem sind beide verpflichtet, die Wirksamkeit der Kontrollen und Verfahren schriftlich eidesstattlich zu bestätigen, sowie jeden Betrugsfall, der das Management oder andere am internen Kontrollsystem mitwirkende maßgebliche Mitarbeiter betrifft, gegenüber dem Jahresabschlussprüfer und ggf. gegenüber dem Audit Committee bekanntzugeben.

3.

2

Internationale Rechtsregelungen

115

Section 404 SOX

Diese Vorschrift befasst sich mit „Management assessment of internal controls“. Konkretisiert durch die von der SEC erlassenen Final Rule verlangt sie eine Berichterstattung über die im Unternehmen eingerichteten internen Kontrollen bzgl. der Finanzberichterstattung. Hier ist auf Themen wie die Einrichtung und Unterhaltung sowie auf eine Dokumentation und Bewertung der Wirksamkeit von internen Kontrollen einzugehen. Im Jahresabschluss müssen Aussagen enthalten sein, wonach das Management die Verantwortung für Einrichtung und Pflege eines angemessenen internen Kontrollsystems der Finanzberichterstattung übernimmt. Ferner muss das Rahmenwerk, das als Grundlage für die Bewertung der Effektivität der internen Kontrolle verwendet wurde, erläutert werden. Weiter sind Aussagen über die Vorgehensweise und ermittelten Ergebnisse zur Bewertung des IKS zu machen. Insbesondere ist hierzu eine Gesamtaussage zu treffen, ob das System wirksam ist. Die Bewertung muss die Offenlegung von sog. Material Weaknesses bzw. Significant Deficiencies umfassen. Diese Fälle sind laut PCAOB dann gegeben, wenn eine bestimmte Wahrscheinlichkeit dafür besteht, dass die Kontrollschwäche einen falsch gemeldeten Betrag bei der Finanzberichterstattung verursachen kann, sofern dieser nicht als belanglos ein34 Vgl. Interim Report of the Committee on Capital Markets Regulation (http.//www.capmktsreg.org./index.html). Einen guten Einstieg ins Thema bietet Isabella Arndorfer mit ihrem Aufsatz „Ist Sarbanes-Oxley zu weit gegangen?“, in: ZIR 2/2007, S. 70.

123

116

2

§2

Rechtsgrundlagen zur Internen Revision

zustufen ist bzw. jedenfalls in eine wesentliche Falschmeldung einmünden könnte.35 Der Bericht des Managements über die Funktionsfähigkeit des internen Kontrollsystems der Finanzberichterstattung und die Wirksamkeit der Kontrollen ist durch den Abschlussprüfer zu testieren, er ist jährlich bei der SEC einzureichen.

2

117

118

119

II.

8. EU-Richtlinie

1.

Überblick

Die durch SOX in den USA entwickelten Ansätze zu guter Corporate Governance sind auch den zuständigen Stellen in Europa nicht verborgen geblieben. Die EU konnte und wollte im Rahmen des weltweiten Systemwettbewerbs um das Setzen von Benchmarks in diesem Bereich nicht zurückstehen. Mit der sog. 8. EU-Richtlinie (Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates, vom 17.5.2006, Amtsblatt der EU L 157/87) legte die Kommission einen Regelungsrahmen für die in der EU durchzuführenden Abschlussprüfungen fest. Die so modernisierte 8. EU-Richtlinie löste die am 10. April 1984 beschlossene 8. EG-Richtlinie 84/253/EWG ab. Die Umsetzung in nationales Recht der Mitgliedsstaaten soll bis zum 29. Juni 2008 erfolgen. Die 8. EU-Richtlinie ist für jeden Mitgliedsstaat in der Zielvorgabe verbindlich, sie überlässt jedoch diesen die Wahl der Form und Mittel, wie im einzelnen ■ die Schaffung einer Regelung zur weltweiten Anerkennung der EU-Unternehmensabschlüsse ■ die Anwendung internationaler Prüfungsgrundsätze bei allen gesetzlichen Abschlussprüfungen in der EU ■ die Harmonisierung eines europäischen Marktes für das Prüfwesen ■ die Forderung nach Rotation bei Prüfungen von Unternehmen des öffentlichen Interesses ■ das Etablieren einer öffentlichen Aufsicht über den Berufsstand in Form eines Aufsichtsgremiums (public oversight) als Ziele angesteuert werden können. Mit der Neufassung der 8. EU-Richtlinie wird die unmittelbare Anwendung der anglo-amerikanisch geprägten International Standards on Auditing (ISA) für die Durchführung der gesetzlichen Abschlussprüfungen kapitalmarktorientierter Unternehmen in der EU verbindlich vorgeschrieben. Die Richtlinie enthält außerdem ausführliche Vorschriften über die Durchführung gesetzlicher Abschlussprüfungen sowie über die Anforderungen an den damit beauftragten Abschlussprüfer und beinhaltet damit ähnliche Vorschriften wie SOX. Die modernisierte Richtlinie fordert die Umsetzung folgender Vorgaben, die weitgehend mit den SOX-Vorgaben übereinstimmen: ■ Einrichtung unabhängiger Branchenaufsichtsbehörden nach dem Vorbild der PCAOB ■ Registrierung der zugelassenen Auditoren ■ Pflicht zur Offenlegung der Informationen ■ Interne Qualitätspolitik ■ Externe Qualitätskontrollpolitik

35 Das PCAOB legte in seinem Prüfungsstandard Nr. 2 (vom 9.3.2004) u.a. Regeln für die Internal-Control-Strukturen und für die Prozesse fest.

124

E. ■ ■ ■ ■ ■ ■ ■

2.

2

Internationale Rechtsregelungen

Verbindliche Übernahme der internationalen Standesregelungen (ISA) der International Federation of Accountants (IFAC) Einrichtung eines Prüfungsausschusses Überwachung des Rechnungslegungsprozesses Überprüfung der Wirksamkeit des Internen Kontrollsystems (IKS), der Internen Revision sowie des Risikomanagementsystems Beaufsichtigung der Abschlussprüfung Überprüfung und Überwachung der Unabhängigkeit des Prüfers Vorauswahl eines Abschlussprüfers oder einer Prüfungsgesellschaft, bevor das Verwaltungsoder Aufsichtsorgan der Gesellschafterversammlung einen Prüfer vorschlägt.

2

Audit Committee und Internes Kontrollsystem

Bei Unternehmen des öffentlichen Interesses ist nach Art. 41 grundsätzlich ein sog. Prüfungsausschuss (ebenfalls „ Audit Committee“ genannt) einzurichten, um die Wirksamkeit der internen Kontrollen des Unternehmens, der Internen Revision und des Risikomanagementsystems und der Abschlussprüfung (incl. der Unabhängigkeit des Prüfers) zu überwachen. Unternehmen von öffentlichem Interesse sind neben Kreditinstituten und Versicherungen auch solche Unternehmen, deren Wertpapiere auf einem Markt eines Mitgliedsstaats zum Handel zugelassen sind. Es obliegt im Weiteren der Regelungsbefugnis der Mitgliedsstaaten, wie sich der Prüfungsausschuss personell zusammensetzt. Art. 41 Abs. 1 Satz 2 der RL regelt hierzu: „Der Mitgliedsstaat legt fest, ob Prüfungsausschüsse sich aus nicht an der Geschäftsführung beteiligten unabhängigen Mitgliedern des Verwaltungsorgans und/oder des Aufsichtsorgans des geprüften Unternehmens und/ oder Mitgliedern zusammensetzen sollen, die durch Mehrheitsentscheidung von der Gesellschafterversammlung des geprüften Unternehmens bestellt werden. Mindestens ein Mitglied des Prüfungsausschusses muss unabhängig sein und über Sachverstand in Rechnungslegung und/oder Abschlussprüfung verfügen. Insbesondere können die Mitgliedsstaaten festlegen, dass „... die dem Prüfungsausschuss zugewiesenen Funktionen durch den Verwaltungs- oder Aufsichtsrat als Ganzes ausgeübt werden können.“ (vgl. Grund 24 Satz 3 zur 8. EU Richtlinie). Um die Qualität der Finanzberichterstattung zu verbessern, muss im Übrigen zwischen dem Abschlussprüfer und dem Audit Committee eine enge Beziehung bestehen. Der Abschlussprüfer oder die Prüfungsgesellschaft muss das Audit Committee über wesentliche Sachverhalte in Kenntnis setzen, die sich aus der Abschlussprüfung ergeben haben, insbesondere über wesentliche Schwachpunkte des internen Kontrollsystems einschließlich der Finanzberichterstattung (vgl. Art. 41 Abs. 4 der RL). Speziell bezogen auf die Interne Revision heißt es in der RL: „... besteht die Aufgabe des Prüfungsausschusses unter anderem darin,...die Wirksamkeit des internen Kontrollsystems, gegebenenfalls des internen Revisionssystems, und des Risikomanagementsystems des Unternehmens zu überwachen...“ (Art. 41 Abs. 2 lit b).

125

120

121

122

2

§2

F. 2

123

124

125

126

Rechtsgrundlagen zur Internen Revision

Zusammenfassung zum Rechtsteil

Keine der näher vorgestellten Rechtsnormen verpflichtet zur Einrichtung einer Internen Revision als formaler Institution in einem Unternehmen. Es wird lediglich klargestellt, dass die Unternehmen grundsätzlich über funktionsfähige interne Kontrollsysteme verfügen müssen, wobei deren Ausgestaltung im Einzelnen in das Ermessen der Unternehmensleitungen gestellt wird. Das aber muss – rechtlich gesehen – nicht unbedingt zur Etablierung einer Revisionsabteilung im Unternehmen führen. Unterstrichen wird diese Aussage durch die bis dato jüngste einschlägige gesetzgeberische Verlautbarung in Art. 41 Abs. 2 lit. b) 8. EU RL, wo davon die Rede ist, dass sich die Überwachungsaufgabe des Prüfungsausschusses „gegebenenfalls“ auf ein internes Revisionssystem erstreckt. Auch Section 404 SOX verpflichtet nicht zur Einrichtung einer Internen Revision. Speziell zu § 91 Abs. 2 AktG wurde näher aufgezeigt, dass der Hinweis in der Gesetzesbegründung (... und eine angemessene interne Revision...) nur funktional als „Überwachung“ gemeint ist. Die Norm regelt die grundsätzliche Pflicht zur Schaffung einer Überwachungsinstanz, wenn es die konkreten Eigenheiten des Unternehmens gebieten. Selbst wenn die Unternehmensstrukturen komplexer sind und die Pflicht zur Einrichtung besteht, hat das Unternehmen im Rahmen seiner grundrechtlich geschützten Organisationsfreiheit Spielräume. Rein rechtlich gesehen ist das Management frei, wie es das Unternehmen im einzelnen organisiert. Er kann eine eigene Revisionsabteilung als Überwachungsstelle einrichten, muss es aber rechtlich nicht. Indes muss eine Unternehmensführung mit diesem vom Recht gebotenen Spielraum sorgfältig umgehen, da ansonsten eine Haftung droht. Sätze wie „Ich bin bereit, auf die Kontrolle eines anderen zu verzichten, weil ich erwarte, dass er kompetent, integer und wohlwollend ist. Dabei nehme ich in Kauf, manchmal enttäuscht zu werden.“36 sind wohlfeil, aber zu theorielastig. Die Praxis zeigt, dass es ohne Kontrollen nicht geht. Eine solche Einlassung im Haftungsprozess hätte daher wahrscheinlich nachteilige Konsequenzen. Dass eine Unternehmensleitung betriebswirtschaftlich oder im Sinne von Überlegungen zu Best Practice-Gedankengut gut beraten sein kann und sich daraus sogar handfeste Gründe ergeben können eine Interne Revision einzurichten, steht daher auf einem anderen Blatt. Sätze wie etwa „Ein Unternehmen soll grundsätzlich eine angemessene Interne Revision haben. Darauf kann nur dann ausnahmsweise verzichtet werden, wenn die Unternehmensleitung die Überwachung des Unternehmens selbst wahrnimmt. Bei kapitalmarktorientierten Unternehmen soll in jeden Fall eine Interne Revision eingerichtet sein...Eine maßgebliche Unterstützungs- und Entlastungsfunktion kommt bei größeren und komplexeren Unternehmen der Internen Revision zu. Ein Verzicht auf die Einrichtung einer Internen Revision bedeutet den Verzicht auf eine wesentliche Überwachungsfunktion, die nur schwerlich durch andere Maßnahmen ersetzt werden kann.“37 sind daher jedenfalls vor einem rein betriebswirtschaftlichen Hintergrund zu sehen. Es kann betriebswirtschaftlich sinnvoll und insoweit sogar notwendig sein, eine Interne Revision einzurichten. Immerhin haftet die Unternehmensleitung aufgrund der Sorgfaltspflicht (§ 93 AktG) für Verschulden im Bereich der Kontrolle, der Auswahl und Einweisung von Mitarbeitern und der Organisation. Die Interne Revision trägt durch ihre Arbeit zur zivil- und strafrechtlichen Absicherung von Aufsichtsräten, Vorständen und Geschäftsführern bei.

36 Sprenger, zitiert bei Horváth, WPg-Sonderheft 2003 (vom 19.12.2003), S. 211. 37 Arbeitskreis „Externe und Interne Überwachung“ der Schmalenbach-Gesellschaft in seiner These 1 als „Best-PracticeEmpfehlungen“ zur Angemessenheit der Internen Revision, vgl. DB 2006, S. 225.

126

F.

2

Zusammenfassung zum Rechtsteil

Sogar so ähnlich wie staatlich gesetzte Vorschriften wirken innerhalb des Unternehmens Revisionsrichtlinien. Solche sind innerhalb des Unternehmens von dessen Mitarbeitern als verbindliche Vorgaben (Gebote, Verbote) zu beachten und sind in der Lage, eine Revisionsabteilung auch institutionell im Unternehmen zu verankern und mit Rechten und Pflichten auszustatten. Diese wurden daher als „innenrechtliche Vorschriften“ bezeichnet. Sonstige Richtlinien im Unternehmen sind wichtig für die operative Prüfarbeit der Internen Revision. Das gilt insbesondere auch für Corporate Governance Regelungen, die durch die Anwendung des DCGK in einem Unternehmen gesetzt wurden. Trotz dessen unübersehbarer grundlegender Schwächen können auch sie für die Arbeit der Internen Revision von sehr großer Bedeutung sein. Denn die Normen des DCGK beeinflussen die Arbeit des Unternehmens und die Tätigkeit der Mitarbeiter und Organe. Auch wenn sie für sich gesehen nur eine eingeschränkte rechtliche Wirkung haben, können sich zudem im Zusammenhang mit der praktischen Handhabung des § 161 AktG („Comply or explain“) etliche Fehlerquellen auftun, die dann letztlich doch zu weit reichenden – auch außerrechtlichen – Konsequenzen für das Unternehmen führen können. Im Übrigen zeigen sich Ansätze, dass manche vom DCGK nur halbherzig angepackte Themen später weitergehenden Regelungen zugeführt werden, indem sich der Gesetzgeber schließlich – man möchte sagen: „dann doch endlich“ – ihrer annimmt. Die gesetzliche Verpflichtung, Vorstandsgehälter offen zu legen, ist ein Beispiel dafür. Die Vorhersage, dass andere Themen folgen werden, bedarf keiner prophetischen Gabe. Der Koordinationsbedarf insbesondere in den größeren Unternehmen wird daher stetig ansteigen, was durch eine weiter gehende Internationalisierung und durch entsprechende Entwicklungen bei den Kapitalmärkten zusätzlich befördert wird. Damit erlangen auch die dargestellten internationalen Vorschriften eine besondere Bedeutung für die Arbeit der Internen Revision. Zwar ergibt sich, wie bereits gesagt, weder aus Sec. 404 SOX noch aus der 8. EU Richtlinie eine Verpflichtung zu Einrichtung einer Internen Revision. Aus diesen Vorschriften ergeben sich indes Auswirkungen auf die Unternehmensabläufe. Das zeigt sich z.B. beim Internen Kontrollsystem (IKS). An dieses werden in Zukunft höhere Maßstäbe angelegt als dies bisher der Fall war. Durch ein wirksames Internes Kontrollsystem sollen finanzielle und betriebliche Risiken sowie das Risiko von Gesetzesverstößen auf ein Mindestmaß beschränkt und die Qualität der Rechnungslegung verbessert werden. Das IKS soll sicherstellen, dass Prozesse und Kontrollen im Unternehmen so gelebt und dokumentiert werden, damit alle Geschäftsvorfälle mit der größtmöglichen Sicherheit korrekt abgewickelt werden. Das Management muss die Verantwortung für die Einrichtung und Aufrechterhaltung des IKS übernehmen, es dokumentieren und die Effektivität des IKS beurteilen. Schließlich ist ein Bericht über das IKS zu erstellen. Die Unternehmensleitungen benötigen dafür eine schlagkräftige Unterstützung. Diese kann die Interne Revision liefern, indem sie – prozessunabhängig – externe wie interne Regelungen stetig auf ihre Sinnhaftigkeit und Praktikabilität überprüft und deren Umsetzung und Einhaltung im Unternehmen überwachen hilft.

127

127

2 128

129

3

§ 3 Prüfungsprozess 1

3

2

Der Prüfungsprozess (Revisionsprozess, Revisionsmanagementprozess) ist das Kernelement der revisorischen Arbeit. In ihm bildet sich das tagtägliche Tun der Internen Revision ab. Der Prüfungsprozess beginnt mit der Planung als strategischer Komponente. Der Planung folgt die Realisation der Prüfung mit den Prozessschritten Vorbereitung, Durchführung, Berichterstattung und der Nachschau (Follow-up, Maßnahmenmonitoring) als abschließendem Prozessschritt. Der gesamte Prüfungsprozess unterliegt einer permanenten Überwachung und Kontrolle, die der Einhaltung von externen wie internen Standards sowie von Zeit- und Budgetvorgaben dient. Der Erfolg eines Prozesses bemisst sich an seiner Effektivität, d.h. an seiner Wirksamkeit und an seiner Leistungsfähigkeit. Aus Sicht der Internen Revision ist es mithin unerlässlich, sich als strategische Ressource im Unternehmen zu positionieren und mit dem Aufbau von nicht imitierbaren Kernkompetenzen an der langfristigen Wertsteigerung des Unternehmens mitzuwirken.1 Wie diese abstrakte Zielsetzung erreicht werden kann, mögen die nachfolgenden Ausführungen zu den einzelnen Prozessschritten im Detail verdeutlichen.

A. 3

4

Allgemeine Ausführungen zum Prüfungsprozess

Wie bereits angeführt, lässt sich die Tätigkeit der Internen Revision als Prozess beschreiben. Dabei wird ein Prozess definiert als „eine zeitlich und räumlich spezifisch strukturierte Menge von Aktivitäten mit einem Anfang und einem Ende sowie klar definierten Inputs und Outputs.“2 Vor dem Hintergrund dieser Definition und der formalen und inhaltlichen Aufgaben einer Internen Revision kann der Revisions- bzw. Prüfungsprozess nun mehr wie folgt visualisiert werden:

Revisionsprozess Audit Universe Risikokriterien Genehmigung Mitarbeitereinsatz

Kick-off Prüfungsumfang und -handlungen Hilfsmittel Arbeitspapiere

1 Planung

2

3

Vorbereitung

Durchführung

Prüfungsankündigung Prüfungsprogramm (Disposition)

Maßnahmenmonitoring Follow-upPrüfungen

4

5

Bericht

Nachschau

Berichtsgrundsätze Aufbau Adressaten Qualitätssicherung

Qualitätssicherung

Abbildung 3-1: Revisionsprozess 1 2

128

Vgl. Gaitanides, M., Prozessorganisation, in Wirtschaftslexikon, Band 9, Stuttgart 2006, Sp. 4837. Definition nach ebenda, Sp. 4836.

B.

Jeder Prozessschritt stellt einen notwendigen, in sich abgeschlossenen Abschnitt dar, der wiederum in sich individuell gegliedert ist. Die Einhaltung der einheitlichen Grundstruktur des Revisionsprozesses gewährleistet, dass sämtliche Prüfungen – unabhängig von Ort und Zeitpunkt – an identischen Rahmenbedingungen und Kriterien ausgerichtet sind. Damit besteht die Möglichkeit des einheitlichen Auftritts gegenüber den geprüften Stellen sowie einer verbesserten Qualitätssicherung. Aspekte der Qualitätssicherung sind in sämtlichen Prozessphasen relevant. Bei der Qualitätssicherung handelt es sich aus prozesstheoretischer Sicht um einen Unterstützungsprozess für die Kernprozesse. Die Fragen der Qualitätssicherung des Revisionsprozesses werden für sämtliche Phasen zum Abschluss dieses Kapitels gemeinsam behandelt. Dabei wird es auch darum gehen, welche Anforderungen diesbezüglich durch berufsständische Organisationen und durch die Wirtschaftsprüfer an die Interne Revision herangetragen werden.

B.

3

Prüfungsplanung 5 6

3 7

Prüfungsplanung

Um ihre Funktion dauerhaft wirksam ausüben zu können, muss die Interne Revision konzeptionell sicherstellen, dass das gesamte Unternehmensgeschehen sowie dessen Veränderungen systematisch erfasst werden. Als Instrument nutzt die Interne Revision dazu die Prüfungsplanung, die in ihrer Ausgestaltung stark abhängig ist von Art und Umfang der Geschäftstätigkeiten, der Größe des Unternehmens und zunehmend auch von dessen Internationalisierungsgrad. Nach dem IIR-Standard Nr. 3 „Qualitätsmanagement“ sind als Grundlagen für die Prüfungsprogrammplanung (Ein- und/oder Mehrjahresplanung) die folgenden Aspekte zu beachten: ■ Gesetzliche Anforderungen, ■ Systematische Analysen aller Geschäftsprozesse unter besonderer Berücksichtigung von Risiken und Chancen, ■ Besondere Anforderungen der Geschäftsleitung, ■ Vorschläge von innerhalb und außerhalb der Internen Revision. Darüber hinaus verlangen die IIA-Standards vom Leiter der Internen Revision, die Vorlage einer risikoorientierten Prüfungsplanung zur Priorisierung der Aktivitäten seiner Abteilung. Im IIAPerformance Standard 2010 heißt es: „Der Leiter der Revision legt in der Planung die Prioritäten nach Risikokriterien und entsprechend den Unternehmenszielen fest.“ Die Notwendigkeit eines solchen Vorgehens und die Beachtung der o.g. Aspekte folgt aber nicht nur aus den formalen Anforderungen der Berufsstandards. Sie ergibt sich auch und vielleicht viel dringlicher aus den beschränkten Ressourcen, die der Internen Revision in der Regel zur Verfügung stehen. Zudem verfolgt auch die Interne Revision das Ziel, wertschöpfend für das Unternehmen wirken zu können. Es bedarf mithin einer sorgfältigen Planung, damit die bereitstehenden Mittel unter sachlichen und zeitlichen Aspekten so effektiv und effizient wie möglich zum Einsatz gelangen können. Wenn hier von Ressourcen und Mitteln die Rede ist, dann sind selbstverständlich in erster Linie die Mitarbeiter der Internen Revision gemeint, die Prüfer mit ihren Fähigkeiten, Kenntnissen und ihrem Fachwissen.

129

8

9

10

11 12

3

§3 13

Mit der Prüfungsplanung wird also generell das Ziel verfolgt, ausgehend von den zu identifizierenden Prüfungsobjekten unter Berücksichtigung der personellen, zeitlichen und sachlichen Ressourcen ein realisierbares Revisionsprogramm zu entwickeln.

I.

3 14

Prüfungsprozess

Planungsebenen

Da die Revisionsplanung Ausgangspunkt und Basis des Revisionsprozesses ist, gewinnt die gesamte Planungsphase zunehmend an Bedeutung. Grundsätzlich sollten die vier nachfolgend aufgeführten Ebenen innerhalb der Revisionsplanung unterschieden werden:

Planungsebenen Gesamtprüfungsplanung

Mehrjahresprüfungsplanung

Jahresprüfplanung

Einzelprüfungsplanung

Abbildung 3-2: Planungsebenen 1. Gesamtprüfungsplan3 Der Gesamtprüfungsplan, der heute auch als „Audit Universe“ bezeichnet wird, enthält alle Prüfungsobjekte des Unternehmens. Die Erfassung und Gliederung eines solchen „Prüfungsuniversums“ sollte insbesondere bei Großkonzernen nach solchen Kriterien erfolgen, die es den Beteiligten noch ermöglicht, die erforderliche Übersichtlichkeit zu gewährleisten. Maßnahmen zur Komplexitätsreduktion sind bei der Erstellung des Gesamtprüfungsplans unerlässlich. Die Kriterien, die bei der Aufstellung eines Gesamtprüfungsplans i.d.R. zur Anwendung kommen, sind Funktionen, Prozesse und Institutionen (Beteiligungen, Tochterunternehmen u.ä.). Eine gute Quelle für den Beginn der Aufstellung und Aktualisierung eines Gesamtprüfungsplans dürfte regelmäßig das Beteiligungsverzeichnis sein. (Zur Aufstellung eines Gesamtprüfungsplans siehe insbesondere die weiter hinter folgenden Ausführungen zum „Audit Universe als Planungsgrundlage“). 2. Mehrjahresprüfungsplan Auf der zweiten Ebene der Revisionsplanung ist eine Mehrjahresplanung zu erstellen. Neben einer mittelfristig angelegten Übersicht zu den einzelnen Prüfungsvorhaben bietet die Mehrjahresplanung die Möglichkeit zur vorausschauenden Abschätzung des zukünftigen Personalbedarfs in der Internen Revision in quantitativer wie qualitativer Hinsicht. Die Bildung von 3

130

Siehe Füss, Roland: Die Interne Revision, Berlin 2005, S. 167.

B.

3

Prüfungsplanung

Prüfungsschwerpunkten in der Zukunft ist unabdingbar an die Erstellung einer Mehrjahresplanung geknüpft, da mit dieser Planungsebene die Möglichkeit geschaffen wird, die für die Bearbeitung solcher Prüfungsschwerpunkte erforderlichen personellen und sachlichen Kapazitäten bereitzuhalten. Als ein Beispiel mag die Prüfung des Emissionszertifikatehandels dienen. Mit Aufkommen dieses Themas galt es für die Interne Revision betroffener Unternehmen, dieses neue Prüfungsobjekt in der Planung zu berücksichtigen und entsprechende Kapazitäten mit dem erforderlichen Know-how aufzubauen. Ohne eine Mehrjahresplanung besteht die Gefahr, solche neuen Themen nicht abdecken zu können aufgrund von mangelndem Personal oder fehlendem Know-how. 3. Jahresprüfungsplan Mit dem Jahresprüfungsplan werden die konkreten Prüfungen des jeweils kommenden Jahres konkretisiert und festgelegt. Der Umfang des Jahresprüfungsplans orientiert sich an den zur Verfügung stehenden Kapazitäten der Internen Revision. Inhaltlich sollte sich der Jahresprüfungsplan an dem Ergebnis einer Risikobewertung ausrichten. Die Risikoorientierung der Prüfungsplanung ist ein Ansatz für eine effiziente Allokation der limitierten Ressourcen der Revision sowie eine Basis für die Steuerung des optimalen Einsatzes des Revisionspersonals. 4. Einzelne Prüfung Für jede einzelne Prüfung hat eine sachliche, personelle und zeitliche Konkretisierung zu erfolgen. Insbesondere müssen die Prüfungsziele im Rahmen einer schriftlich fixierten Prüfungsdisposition festgehalten werden. Die Prüfungsdisposition sollte Art, Umfang und Methodik der Prüfung umfassen, um bereits im Vorfeld der Prüfung möglichst sicherzustellen, dass die Prüfungsergebnisse einen verlässlichen Aufschluss über das Prüfungsgebiet geben.

II.

Risikoorientierte Prüfungsplanung

Gemäß IIA-Standard 2010.A1 erfolgt die Prüfungsplanung der Internen Revision auf Basis einer Risikobeurteilung, die mindestens einmal pro Jahr durchzuführen ist. Im dazugehörigen Practice Advisory 2010-2 wird darüber hinaus ausgeführt, dass der Prüfungsplan der Internen Revision auf Grundlage einer Beurteilung der Risiken und Risikopotenziale, die sich auf das Unternehmen auswirken könnten, zu erstellen ist. Dies bedeutet nichts anderes, als dass die Revisionsplanung risikoorientiert zu erfolgen hat. Eine risikoorientierte Prüfungsplanung muss die risikoträchtigen Objekte des Unternehmens identifizieren (Audit Universe) und bewerten.

1.

3

15

Audit Universe als Planungsgrundlage

Mit der Aufstellung des Audit Universe (Gesamtprüfungsplan) wird das Tätigkeitsfeld der Internen Revision umfassend abgesteckt. Das Audit Universe bildet das gesamte Unternehmen ab und dient dann als Basis für die Risikobewertung der einzelnen Elemente nach zuvor definierten Kriterien. D.h., die zentrale Frage zu Beginn der Aufstellung eines Audit Universe ist, welche Abläufe, Funktionen, Systeme und Einheiten existieren im Unternehmen und wie sind diese zu strukturieren. In großen Konzernen bietet es sich grundsätzlich an, zunächst vom Beteiligungsverzeichnis auszugehen, um die Gesellschaften des Konzerns zu erfassen. In kleineren Unternehmen wird man ebenfalls mit einer Erhebung der relevanten organisatorischen Einheiten beginnen. Die Gesamtstruktur des Audit Universe sollte dann eine Kombination von Unternehmenseinheiten, Funk131

16

17

3

§3

18

Prüfungsprozess

tionen und Prozessen sein, also die Organisationsform und die Wertschöpfung des Unternehmens umfassen und sinnvoll verbinden. Denkbare Elemente für die Strukturierung eines Audit Universe zeigt die nachstehende Abbildung.

Prüfungsfelder/Prüfungsobjekte

3

19

Organisatorische Einheiten

Beteiligungen Unternehmenseinheiten Fachabteilungen

2.

Unternehmensfunktionen

Finanzierung Beschaffung Informationstechnik PersonalInvestitionen/Desinvestitionen Risikomanagement u.ä.

3.

Steuerungsinstrumente

Planungsinstrumente Steuerungsinstrumente Kontrollinstrumente

4.

Sonderprojekte

aktuelle Projekte im Unternehmen Sonderprüfungen

Abbildung 3-3: Prüfungsfelder und Prüfungsobjekte Aufgrund der organisatorischen Komplexität und der permanenten Veränderungen insbesondere moderner Großunternehmen gestaltet sich die Aufstellung des Audit Universe häufig schwierig.

2. 20

1.

Kriterien für die Risikobewertung

Um entscheiden zu können, welche Prüffelder in den zu erstellenden Jahresplan aufgenommen werden sollten, müssen diese an geeigneten Beurteilungsmassstäben gemessen werden können.4 Demnach sind so genannte Risikokriterien festzulegen, anhand derer zu beurteilen ist, welche Prüffelder des Gesamtprüfungsplans zweckmäßigerweise geprüft werden sollten. Die Ableitung der geeigneten Risikokriterien folgt aus der Zielsetzung, die auch für jede Prüfung maßgeblich ist: nämlich der Aufdeckung und Vermeidung von Fehlern! Durch eine Risikobewertung auf Basis der Risikokriterien ist die Wahrscheinlichkeit zu ermitteln, mit der in einem Prüffeld Fehler vorhanden sind.

4

132

Vgl. hierzu und zum Folgenden: Schiffer, Thomas; Risikoorientierte Prüfungsplanung in deutschen Banken, in: Der Schweizer Treuhänder, 11/2000, S. 1227 ff.

B.

3

Prüfungsplanung

Mögliche Risikokriterien sind in der Darstellung aufgeführt.

21

Mögliche Risikokriterien Zeit

das Fehlerrisiko steigt mit zunehmendem Zeitabstand zur letzten Prüfung!

Verfahrensumstellungen/ Änderungen im Management

bei Veränderungen steigt das Fehlerrisiko (u.a. Unerfahrenheit, mangelnder Vertrautheit)

Ergebnisse der letzten Prüfung

eine Vielzahl von Fehlern in der letzten Prüfung führt zur Annahme eines erhöhten Fehlerrisikos des betreffenden Prüffeldes

Soll/Ist - Abweichungen

starke Budget/V-Ist - Abweichungen legen eine erhöhte Fehlerwahrscheinlichkeit nahe

Hinweise/Beschwerden

begründete Hinweise auf Schwachstellen oder Beschwerden erhöhen die Prüfdringlichkeit

Schadenpotential/Bedeutung für das Unternehmen/Marktrisiken

Informationen aus der Planung, der Controllingund Risikoberichterstattung geben Hinweise auf das Schadenpotential eines Prüffeldes

3

Abbildung 3-4: Mögliche Kriterien für das Risk Assessment Hinsichtlich der Eignung der Risikokriterien ist bei deren Auswahl vor allem zu bedenken, ob zu den geplanten Messgrößen in sämtlichen Prüfungsfeldern Aussagen getroffen werden können. Ein Kriterium, das für die Mehrzahl der vorgesehenen Prüfungsfelder nicht erhoben werden kann, ist ungeeignet. Dies sollte bereits bei der Entwicklung der Struktur für den Gesamtprüfungsplan (Audit Universe) berücksichtigt werden. Des Weiteren muss gewährleistet sein, dass die in Betracht kommenden Risikokriterien weitgehend unabhängig voneinander sind. Liegen die Kriterien sachlich oder inhaltlich zu nahe beieinander, so besteht die Gefahr, dass der durch diese Kriterien abgedeckte Aspekt die Risikobewertung dominiert. Grundsätzlich sollten qualitative und quantitative Risikokriterien in einem angemessenen Verhältnis zueinander stehen. Durch qualitative Risikokriterien wird sichergestellt, dass das „Bauchgefühl“ des Revisors im Rahmen der Jahresplanung nicht ausgeblendet wird. Ein weiterer wichtiger Gesichtspunkt für die Qualität des für alle Prüffelder durchzuführenden Risk Assessment ist die Gewinnung und Auswertung von Informationen bezüglich der einzelnen Risikokriterien. D.h., die Einbindung in die Informationsflüsse des Unternehmens ist für die Interne Revision zur Erfüllung ihrer Aufgaben unerlässlich. Die genaue Kenntnis sowie die intensive kontinuierliche Beobachtung der Prüffelder insbesondere hinsichtlich der gewählten Risikokriterien hat insoweit eine große Bedeutung. Für die ausgewählten Risikokriterien ist eine Bewertungsskala festzulegen. Bei der Definition der einzelnen Bewertungsstufen innerhalb des Bewertungssystems bzw. bei der Konzeption der Bewertungsskala generell, sollte zunächst eine gleiche Anzahl von Bewertungsstufen je Risikokriterium vorgegeben werden. Ein anderes Vorgehen würde vorab zu einer Verzerrung innerhalb des Risk Assessment führen, da Kriterien mit einer größeren Anzahl von Bewertungsstufen auch grö133

22

23

24

25

26

3

§3

27

3 28

Prüfungsprozess

ßere Bedeutung innerhalb des Bewertungsverfahrens erhalten. Die einzelnen Bewertungsstufen der einzelnen Risikokriterien sind jeweils exakt festzulegen. Da nicht alle Risikokriterien gleichbedeutend sind, sondern in ihrer Auswirkung auf das Unternehmen unterschiedlich, muss auch für die Risikokriterien untereinander eine Gewichtung vorgenommen werden. Mit der Gewichtung der Risikokriterien wird deren Bedeutung unabhängig von ihrer Ausprägung bestimmt. Die nachfolgende Abbildung fasst die Bewertungssystematik anhand eines Beispiels zusammen.

Bewertungsverfahren Risikoziffern

Gewich tung

Gewichtung 1

Gewichtung 2

Gewichtung 3

Gewichtung 4

Zeitabstand zur letzten Prüfung

1

mehr als 1 Jahr

mehr als 2 Jahre

mehr als 3 Jahre

mehr als 4 Jahre

Management-/ Verfahrensänderungen

2

keine Änderung

geringe Veränderungen

erhebliche Veränderungen

grundsätzliche Änderung

Ergebnis der letzten Prüfung

3

keinerlei Beanstandungen

keine wesentlichen Beanstandungen

wesentliche Beanstandungen Nachprüfung erforderlich

grobe Beanstandungen, dringender Handlungsbedarf

Budgetabweichungen

4

unter 5%

unter 15%

über 15%

über 30%

ManagementLetter,Hinweise, Beschwerden

5

unbedeutend

geringe Bedeutung

große Bedeutung

erhebliche Bedeutung mit Außenwirkung

Schadenspotential bzw. Bedeutung für das Unternehmen

6

gering

durchschnittlich

hoch

sehr hoch

Wert

Summe:__________

29

30

Abbildung 3-5: Beispiel für ein Verfahren der Risikobewertung Das hier dargestellte System ist vergleichsweise transparent und leicht nachvollziehbar. Andere Ansätze, die heute zur Erstellung der risikoorientierten Prüfungsplanung eingesetzt werden, richten sich häufig an anerkannten Modellen und Standards wie dem „Internal Control-Integrated Framework“ der COSO aus 5. Unabhängig von der zugrunde gelegten Konzeption ist die erstmalige Erstellung eines risikoorientierten Prüfungsplans mit einem enormen Aufwand verbunden. Denn neben der konzeptionellen Arbeit, die hier skizziert wurde, müssen vor allem die Informationen beschafft und eingepflegt werden. Insofern ist es auch wichtig, dass die gewählte Konzeption stabil und der Aktualisierungsaufwand nicht zu hoch ist. ! Praxishinweis Abschließend sei noch auf ein Problem bei der risikoorientierten Prüfungsplanung hingewiesen: Es handelt sich dabei um ein System, das Abläufe formal vorgibt. Abläufe in institutionalisierten Systemen führen häufig dazu, dass sie als selbstverständlich angesehen, nicht hinterfragt und formal abgearbeitet werden. Die Umwelt der Unternehmen verändert sich jedoch immer schneller und die Unternehmen selbst passen ihre Strukturen und Prozesse an. Das bedeutet für die Interne Revision, dass sie ihre Vorgehensweisen, Konzeptionen und Systeme à jour halten und den sich ändernden Risikosituationen entsprechend anpassen muss. Eine herausfordernde Aufgabe, deren zeitlicher Aufwand keineswegs unterschätzt werden darf.

5

134

COSO = Committee of Sponsoring Organizations of the Treadway Commission.

B.

III.

Mitarbeitereinsatzplanung

Fasst man die Prüfungen der Internen Revision als je einzelne Projekte auf, so sind klare und eindeutige Aufstellungen und Gliederungen der verfügbaren zeitlichen, sachlichen und fachlichen Kapazitäten erforderlich. Diese zu koordinieren, ist Aufgabe einer umfassenden Mitarbeitereinsatzplanung. Ausgehend von der Gesamtprüfungsplanung und der Mehrjahresplanung ergeben sich für die Interne Revision sowohl ein bestimmter Bedarf an Mitarbeitern sowie entsprechende fachliche Anforderungen an diese. Während sich die Anzahl der Mitarbeiter in der Internen Revision an der Größe des Unternehmens, der Anzahl der Prüfungsobjekte und des Industriezweigs bemisst, folgen die fachlichen Anforderungen aus der Art der Prüfungsobjekte. Heute wird gerade vor dem Hintergrund der wieder zunehmenden Bedeutung der Internen Revision hinsichtlich der Diskussionen um eine verbesserte Corporate Governance vielfach angenommen, dass sich die erforderliche Größe einer Revisionsabteilung an objektiven und messbaren Größen ausrichtet. Relationszahlen oder Benchmarks sollen für die Abteilungsgröße relevant sein. Im Rahmen einer Erhebung der Revisionsinstitute in Deutschland, Österreich und der Schweiz vom Oktober 20036 werden folgende Faktoren für die Bemessung der Anzahl von Revisionsmitarbeitern genannt: ■ Erfahrungswerte ■ Relationszahlen (Prüfer je Beschäftigten, Bilanzsumme, Geschäftsentwicklung, letzte IIR-Umfrage, Kundenzahl, branchenspezifische Kennzahlen) ■ Festlegung des Prüffeldes mit entsprechender Risikobewertung ■ Verfügbares Budget bzw. vorgegebener Stellenplan ■ Benchmarking

6

3

Prüfungsplanung

Die Interne Revision in Deutschland, in Österreich und in der Schweiz 2004; hrsg. vom Institut für Interne Revision e.V., Institut für Interne Revision Österreich, Schweizerischer Verband für Interne Revision, verfasst von Roland Füss, Frankfurt, Wien, Zürich 2004.

135

31

3 32

33

3

§3 34

Prüfungsprozess

Die nachfolgende Abbildung verdeutlicht die Verteilung im Rahmen der Erhebung:

Personalbemessung Erfahrungswerte

3

Relationszahlen

Risikoorientierung

Verfügbares Budget

Benchmarking

0

100

200

300

400

500

Quelle: Die Interne Revision in Deutschland, in Österreich und in der Schweiz 2004

35

36 37

38

Abbildung 3-6: Ansatzpunkte für eine angemessene Personalausstattung der Internen Revisionsabteilung Danach gilt für die Unternehmen, die an der Befragung teilgenommen haben, dass die Macht des Faktischen die Größe der Abteilung bestimmt, nicht aber solche Kriterien, die aus der Aufgabe der Revision, ihrer Stellung im Unternehmen oder aus dem Vergleich mit Wettbewerbern resultieren. Insofern bleibt mit Blick auf die Mitarbeitereinsatzplanung festzuhalten, dass der Revisionsleiter weniger planen als hinnehmen muss. Wie erwähnt, muss die Mitarbeitereinsatzplanung unabhängig von ihrem zeitlichen Horizont (Mehrjahresplanung, Jahresplanung) das Qualifikationsprofil der Mitarbeiter berücksichtigen. Zwar hat es mit der Einführung der Berufsexamina für Revisoren (CIA, CISA, CFE u.ä.) eine Professionalisierung des Berufsstands gegeben und die Unternehmen begreifen die Revision aufgrund ihres Einsatzes in allen relevanten Bereichen auch zunehmend als Ausbildungsstätte und Rekrutierungspool für Führungskräfte. Doch unabhängig von diesen generellen Entwicklungen ist bei der Mitarbeitereinsatzplanung darauf zu achten, dass die Revisoren entsprechend ihrer Eignung eingesetzt werden. D.h. zunächst, dass Stellenbeschreibungen der Internen Revision vorliegen müssen und diese müssen zu den Anforderungen passen, die aus den Planungen resultieren. Des Weiteren sind Mitarbeiterprofile vorzuhalten, so genannte Skill Sets.7 Die Mitarbeiterprofile sollten sich aus Sicht des Planenden nicht auf die unmittelbare „technische“ Eignung des Prüfers beschränken. Zwar ist es für eine Prüfung im Ausland erheblich, dass der Prüfer mindestens die englische Sprache beherrscht. Darüber hinaus wären aber insbesondere Fähigkeiten der interkulturellen Zusammenarbeit wünschenswert. Mit anderen Worten: Neben revisionsspezifischen Kenntnissen (ggf. erworben durch ein Berufsexamen) und Wissen über den zu prüfenden Bereich (z.B. Finanzen) sollte das Mitarbeiterprofil Aussagen enthalten zur sozialen Kompetenz, zur 7

136

Dass das Vorhalten solcher Mitarbeiterprofile (insbesondere in elektronischer Form) datenschutzrechtlichen Regelungen unterliegt und zudem mit Betriebsräten abzustimmen ist, sei hier nicht weiter ausgeführt, aber ausdrücklich erwähnt.

C.

Kooperationsfähigkeit, zur Kommunikationsfähigkeit und zur Fähigkeit, sich mit fremden Kulturen auseinanderzusetzen. Die Mitarbeiterprofile sind dann die Basis für die konkrete Einsatzplanung, die in modernen Revisionsabteilungen heute mit elektronischen Hilfsmitteln erfolgt, die bereits automatisch Sperrzeiten (Feiertage, Urlaub) anzeigen, Überschneidungen verdeutlichen und bei der Auswahl freier Kapazitäten unterstützen. Eine strukturierte Mitarbeitereinsatzplanung, verbunden mit einer geeigneten Zeiterfassung, ermöglicht vor allem die Erstellung eines zuverlässigen Prüfungsprogramms für die einzelnen Revisoren. Darüber hinaus wird neben der ganzheitlichen Steuerung der Revisionsabteilung die Option für eine Analyse von Leistungskennzahlen bestehen. Auf Basis von Erfahrungen aus den Vorjahren kann die Einsatzplanung stetig verfeinert werden, indem Standardwerte zum Zeitbedarf bei regelmäßig wiederkehrenden Prüfungen ermittelt werden. Letztlich muss die Mitarbeitereinsatzplanung eine an der Kapazität der Abteilung und den Fähigkeiten, Erfahrungs- und Wissengraden der einzelnen Revisoren orientierte Vorgehensweise ermöglichen. Eine besondere Problematik innerhalb der Mitarbeitereinsatzplanung stellen so genannte Ad hocPrüfungen dar, die regelmäßig in Fällen dolosen Handelns auftreten. Solche Prüfungen lassen sich weder inhaltlich noch zeitlich hinsichtlich Auftreten und Dauer prognostizieren. Es ist eher eine Glaubensfrage als gesichertes Wissen, wie solche Prüfungsfälle in der Jahresplanung und der Mitarbeitereinsatzplanung berücksichtigt werden. Wer eine Vollauslastung seiner Kapazitäten plant, geht das Risiko ein, den risikoorientierten Prüfungsplan des Jahres nicht abarbeiten zu können. Andererseits besteht das Problem, dass bei Vorhalten eines Puffers für Ad hoc-Prüfungen Kapazitäten im Falle des Nicht-Auftretens von Sonderfällen ungenutzt bleiben.

C.

3 40

41

42

43

44

45

Prüfungsauftrag und -ankündigung

Die risikoorientierte Prüfungsplanung umfasst auch die Priorisierung der einzelnen Prüfungen. Um dann letztlich die Prüfung gemäß der von der Unternehmensführung genehmigten Planung durchführen zu können, erfolgt im Regelfall die Ausformulierung eines konkreten Prüfungsauftrags und die entsprechende Ankündigung der Prüfung bei der betroffenen Stelle bzw. Einheit. 8

39

Prüfungsvorbereitung

Die Phase der Prüfungsvorbereitung ist für den Erfolg der eigentlichen Prüfungsarbeit von maßgeblicher Bedeutung. Die Intensität der Vorbereitung hängt selbstverständlich auch vom eigenen Qualitätsanspruch ab, aber daneben auch von Ziel, Art und Umfang der Prüfung sowie von der Bedeutung des Prüfungsobjektes.8 Neben der Ausformulierung des Prüfungsauftrags und der entsprechenden Prüfungsankündigung ist die Prozessphase der Prüfungsvorbereitung vor allem geprägt durch die Erstellung einer dezidierten Prüfungsdisposition sowie durch die Einholung von entsprechenden diesbezüglichen Informationen. Es gilt, dass eine sorgfältige und zielgerichtete Prüfungsvorbereitung ganz wesentlich dazu beiträgt, die Prüfungsqualität zu verbessern und die Dauer von Prüfungen vor Ort zu minimieren.

I.

3

Prüfungsvorbereitung

Füss, R.: Die Interne Revision, S. 179.

137

46

3

§3

47

3

48

49

50

51

52

53

D.h., dass der Leiter der Internen Revision vor jeder Prüfung eine Prüfungsankündigung an den zu prüfenden Bereich zu versenden hat, die den Prüfungsauftrag durch die Unternehmensleitung bestätigt. In welchem Zeitraum vor Prüfungsbeginn dies geschieht, ist unternehmensweit einheitlich zu regeln. Ggf. wird auf eine Prüfungsanmeldung verzichtet, wenn im Rahmen der Prüfung dolose Handlungen untersucht werden müssen. Hier wird in der Regel eine Ad hoc-Prüfung durchgeführt. Eine Benachrichtigung bzw. eine formale Ankündigung der Prüfungshandlung im Sinne einer Legitimation durch die Unternehmensleitung wird hier in jeweils geeigneter Weise erfolgen müssen. Prüfungsankündigungen im Rahmen von Regelprüfungen sollten in jedem Fall den Auftraggeber der Prüfungshandlungen beinhalten, um die Frage nach der Legitimation nicht aufkommen zu lassen. Die nachfolgenden Informationen sollten der Prüfungsankündigung immer zu entnehmen sein: ■ geplanter Prüfungsbeginn und Prüfungszeitraum ■ Prüfungsinhalt und –umfang ■ Mitglieder des Prüfungsteams. Darüber hinaus bietet es sich an, dass die Prüfungsankündigung auf das vorab bilateral vereinbarte Kick-off-Meeting verweist und dass der geprüfte Bereich gebeten wird, notwendige Daten und Dokumentationen mit Bezug zum Prüfungsinhalt bereit zu halten. Der in der Prüfungsankündigung festgelegte Prüfungszeitraum sollte durch den zu prüfenden Bereich bestätigt werden. Die Interne Revision sollte für sich grundsätzlich regeln, wie mit etwaigen Prüfungsverschiebungen umzugehen ist. D.h. insbesondere, dass Eskalationsstufen definiert sein müssen, damit eine Prüfung nicht dauerhaft aufgeschoben wird. Die mit der Prüfungsankündigung verbundenen Risiken einer Verschleierung oder der Einleitung von Korrektur- und Abwehrmaßnahmen durch den zu prüfenden Bereich sind eher unbedeutend. Einerseits werden die Empfänger der Prüfungsankündigung, nämlich in der Regel Führungsgremien, ein eigenes Interesse an der objektiven Analyse des zu prüfenden Bereichs haben. Andererseits hat der Revisor es selbst in der Hand, welche Stichprobe eines Prüffeldes er zieht oder welche Periode er anschaut. Umfangreiche Manipulationen lassen sich insofern im Vorfeld einer Prüfung kaum verschleiern.9 Für die Formulierung des Prüfungsanschreibens sollte grundsätzlich gelten, dass dieses flexibel und offen zu gestalten ist. Auf diese Weise kann sichergestellt werden, dass während der Prüfung auftauchender Anpassungsbedarf aufgrund von Prüfungsfeststellungen problemlos unter den Prüfungsauftrag subsumiert werden kann.

II. 54

Prüfungsprozess

Prüfungsprogramm, Prüfungsdisposition und die Einholung relevanter Informationen

Ein wichtiges internes Steuerungsinstrument für die Leitung der Internen Revision ist die Festlegung des Prüfungsprogramms bzw. der Prüfungsdisposition. Auch um den Anforderungen an ein effizientes und effektives Qualitätsmanagement für die Interne Revision gerecht zu werden, ist die Aufstellung eines konkreten Arbeitsprogramms vor Prüfungsbeginn erforderlich. 9

138

Vgl. auch Hofmann, Rolf: Prüfungshandbuch, 4. völlig überarbeitete und erweiterte Auflage, Berlin 2002, S. 276 f.

C.

3

Prüfungsvorbereitung

Das Prüfungsprogramm sollte mindestens die nachfolgenden Inhalte abdecken: ■ Prüfungsmeldung mit Prüfungstitel, laufende Prüfungsnummer, Prüfungsbeginn und -ende, zu prüfender Zeitraum, Prüfer ■ Prüfungsziele ■ Prüfungsumfang ■ erforderliche Prüfungsunterlagen ■ beabsichtigte Prüfungshandlungen. Mit der Erstellung des Arbeitsprogramms sollten revisionsintern zwischen Prüfer und Prüfungsleiter auch Meilensteine für das Prüfungsprojekt vereinbart werden, die dann letztlich die Prüfungsdauer definieren. Wie bereits ausgeführt, muss das Prüfungsprogramm insbesondere die relevanten Prüfungsziele umfassen. Für eine Prüfung im Funktionsbereich Einkauf könnten die entsprechenden Prüfungsziele beispielsweise wie folgt aussehen:

55

3 56

57

Beispiel für Prüfungsziele Im Rahmen der Prüfung des Einkaufs soll festgestellt werden, dass •

Gegenstände und Dienstleistungen preisgünstig beschafft und in Übereinstimmung mit den Qualitätsspezifikationen der Gesellschaft eingekauft werden.

•

der Einkaufsprozess mit Hilfe eines DV-Systems in effizienter Weise organisiert und überwacht wird.

•

die internen Kontrollen funktionsfähig und effizient sind.

•

die Richtlinien und Vorgaben des Managements beachtet werden.

•

Bedarfsanforderungen, Angebote, Bestellungen, Wareneingänge oder Leistungsnachweise und Lieferantenrechnungen ordnungsgemäß dokumentiert sind und vollständig, richtig und zeitnah erfasst werden.

•

die Rechnungsprüfung sicherstellt, dass nur erhaltene Güter und Dienstleistungen zu den vereinbarten Preisen und Konditionen bezahlt werden.

•

nur Beschaffungsvorgänge initiiert werden, die betrieblich notwendig und wirtschaftlich sinnvoll sind.

Abbildung 3-7: Beispiel für Ziele einer Einkaufsprüfung Mit Bezug auf den Prüfungsumfang gilt es, Tiefe und Detaillierungsgrad der Untersuchung zwischen Revisor und Prüfungsleitung zu vereinbaren. Dabei gilt es zunächst festzulegen, welchen Untersuchungszeitraum die Prüfung zu umfassen hat. Neben der zeitlichen Komponente umfasst der Prüfungsumfang des Weiteren eine sachliche Dimension. Zwischen Prüfer und Prüfungsleitung gilt es demnach im Rahmen der internen Prüfungsdisposition auch zu vereinbaren, ob ggf. eine Vollprüfung des zu untersuchenden Bereichs geplant ist oder ob nur in Stichproben geprüft wird. Bei Stichprobenprüfungen ist dann die Art und Weise zu klären, wie die Stichprobe gezogen wird. Mit der Festlegung des Prüfungsumfangs in zeitlicher wie sachlicher Hinsicht ist jedoch nicht intendiert, dass in keinem Fall weitergehend geprüft werden darf. Es muss zwischen Prüfer und Prüfungsleitung immer klar sein, dass im Falle des Auftretens von Fehlern, Unkorrektheiten oder von Verdachtsmomenten tiefer gehende Analysen nicht nur erlaubt, sondern verlangt sind. 139

58

3

§3 59

60

3

Prüfungsprozess

Prüfungsumfang und die vorgesehenen Prüfungshandlungen bedingen sich gegenseitig. Dabei beschreiben die Prüfungshandlungen das Vorgehen innerhalb der Prüfung. Die Auswahl der entsprechenden Methoden und Techniken sollte zwischen Prüfer und Prüfungsleitung abgesprochen sein, wobei dem Prüfer vor Ort stets die Freiheit eigenständigen Handelns einzuräumen ist. Die nachfolgende Abbildung führt die Prüfungstechniken der Internen Revision stichpunktartig auf.10 Näheres zu einzelnen Prüfungstechniken findet sich in den weiter hinten folgenden Ausführungen zum Prüfungsumfang.

Prüfungstechniken formell informell

Form lückenlos

Umfang

stichprobenartig progressiv

Richtung Inhalt Gegenstand

retrograd einfach komplex Einzelgegenstand System

Methode

direkt indirekt

Vorgehensweise konventionell automatisiert

61

62

Abbildung 3-8: Prüfungstechniken Abschließend wird im Prüfungsprogramm aufgeführt, welche Unterlagen vorab von der zu prüfenden Stelle einzufordern sind. Dazu sollten standardmäßig zählen: ■ möglicherweise aus früheren Prüfungen vorhandene Berichte, auch solche anderer Prüfungseinrichtungen als der Internen Revision ■ Berichte der Jahresabschlussprüfer sowie ggf. vorhandene Management Letter ■ Organisationshandbücher, Richtlinien und Dienstanweisungen ■ Management Reporting. Darüber hinaus muss zu Prüfungsbeginn geklärt sein, welches ERP-System in der zu prüfenden Einheit zum Einsatz kommt. Daten und Fakten aus den Informationssystemen können bereits im Vorfeld der eigentlichen Prüfungsdurchführung vor Ort abgefragt werden. Dabei ist es selbstverständlich, dass sämtliche Informationen, die im Prüfungsprogramm aufgeführt und abgefragt werden sollen, im Kontext mit dem Prüfungsthema stehen müssen. Im Prüfungsprogramm sollte zwischen Prüfungsleiter und Revisor auch der Einsatz von Prüfungsfragebögen, Checklisten oder elektronischen Tools konkretisiert werden. Darüber hinaus besteht die Möglichkeit, Fachliteratur über das zu prüfende Fachgebiet entsprechend aufzunehmen. 10 Abbildung in Anlehnung an Füss, R., Die Interne Revision, S. 170.

140

3

D. Prüfungsdurchführung Das Prüfungsprogramm ist ein internes Arbeitspapier für die Interne Revision und sollte als solches innerhalb der Abteilung verbleiben. Es dient insbesondere der Vereinbarung zwischen Prüfungsleitung und Prüfer in Bezug auf das Prüfungsobjekt und ist als ein wesentliches Werkzeug der internen Steuerung und Qualitätssicherung anzuwenden.

D.

3

Prüfungsdurchführung

Grundsätzlich hat ein Prüfer im Rahmen der Durchführung seiner Tätigkeit ein deutlich höheres Maß an Freiraum als andere Stellen im Unternehmen. Dies ist aber gleichbedeutend verbunden mit einer hohen Eigeninitiative und Verantwortung des Prüfers. Im Verlaufe einer Prüfung können Situationen entstehen, die von dem Prüfer eigenverantwortlich und fachgerecht beurteilt werden müssen. Die „Kunden“ der Internen Revision erwarten heute den qualifizierten Prüfer, der in der Lage sein muss, die gesamte Wertschöpfungskette des Unternehmens abdecken zu können. Weitere Erwartungen, die heute an die Durchführung von Revisionsprüfungen gestellt werden, sind ■ kurze Prüfungen, ■ ggf. multidisziplinäre Audits, ■ Co-Sourcing, wo erforderlich, ■ sorgfältige Planung der Prüfungsgespräche und ■ ein Abschlussgespräch, in dem die wesentlichen Ergebnisse professionell präsentiert werden. Vor diesem Hintergrund kann eine standardisierte Prüfungsdurchführung den Prüfer in seiner Arbeit nur unterstützen. Zudem verlangt der IIA–Standard 2340, dass „die Durchführung der Aufträge… in geeigneter Weise zu beaufsichtigen“ ist, „um sicherzustellen, dass die Ziele erreicht, die Qualität gesichert und die Weiterentwicklung des Personals gefördert wird.“ Der entsprechende Praktische Ratschlag 2340–1 verdeutlicht, dass sich die Aufsicht des Prüfungsleiters über den gesamten Prozess der Prüfungsdurchführung erstreckt.

I.

63

64

65 66

67

Kick-off

Zu Beginn der eigentlichen Prüfung vor Ort („Field Activities“) empfiehlt es sich, ein Kick-offMeeting durchzuführen. Durch die Zusammenkunft der Prüfungsbeteiligten zum Start der Prüfung soll die Prüfung zu einem gemeinsamen Vorhaben werden. Eine gute Planung des Treffens und eine hochkarätige Besetzung von Unternehmensseite sollen dazu beitragen, den Anwesenden die Bedeutung der Prüfung zu verdeutlichen. Das Treffen bietet die Möglichkeit, den Auftrag der Internen Revision und ihr Selbstverständnis den geprüften Stellen im Unternehmen bekannt zu machen. Das Kick-off-Meeting soll entsprechende Dynamik in den Prüfungsstart bringen. Es ist für alle Beteiligten eine gute Gelegenheit, sich zum Prüfungsbeginn zu begegnen und Ideen, Erwartungen und Fachwissen auszutauschen. Das Meeting sollte dazu genutzt werden, ■ Interesse an der Prüfung zu wecken, ■ Ziele, Strategien und Maßnahmen zu präsentieren, ■ die Aufgaben und Rollen aller Beteiligten transparent zu machen, 141

68

69

3

§3

Prüfungsprozess

■

70

3

Erfahrungen auszutauschen, ■ die geprüfte Stelle als Kooperationspartner zu gewinnen. Neben diesen übergeordneten Zielsetzungen eines Kick-off-Meetings sollte das Treffen dem Prüferteam dazu dienen, ■ die Inhalte der Prüfung vorzustellen und ggf. zu diskutieren, ■ etwaige Prüfungswünsche des geprüften Bereichs aufzunehmen, ■ die eigene Vorgehensweise zu erläutern, ■ den zeitlichen Ablauf der Prüfung abzustimmen, ■ prüfungsrelevante Unterlagen zu erhalten oder anzufordern. Insbesondere bietet es sich an, erste Gesprächstermine festzulegen und einen verbindlichen Termin für die Abschlusspräsentation zu vereinbaren. Ein Kick-off-Meeting obligatorisch als Prüfungsbeginn vorzuschreiben, erscheint auf den ersten Blick zwingend. Jedoch sollte dieses Vorgehen insbesondere dann überdacht werden, wenn es sich um Standardprüfungen handelt, bei denen sich die handelnden Personen kennen und auch inhaltlich eine Klärung überflüssig ist. Eine Entscheidung bezüglich der Durchführung eines Kick-off-Meetings obliegt dem Revisionsleiter.

II. 71

72

73

74

Prüfungsumfang (Notwendigkeit und Wesentlichkeit)

Für die erfolgreiche Prüfung und damit auch für die Akzeptanz der Internen Revision im Unternehmen sind neben der fachlichen Expertise des Prüfers und dessen sozialer Kompetenz auch entscheidend, dass die geprüften Bereiche die Notwendigkeit einer Prüfung nachvollziehen können und die Prüfung einen angemessenen Umfang hat. Da die Interne Revision auf flächendeckende Wirkung zielt, sind alle Unternehmensbereiche und Sachgebiete mögliche Themen für Revisionsaufträge. Diese Vielfalt birgt das Risiko in sich, dass Themengebiete bearbeitet werden, die zwar vordergründig aus Revisionssicht interessant erscheinen, aber jeglichen Bezug zum Gesamtunternehmen vermissen lassen. Eine solche Beschäftigung auf „Nebenkriegsschauplätzen“, die auch noch die zeitlichen Ressourcen der geprüften Stelle beanspruchen, sorgt zwar für eine kontinuierliche Auslastung der Revisoren; es wird aber bereits bei der Prüfungsankündigung zu Unmut bei den Geprüften kommen. Mit anderen Worten: Die Revision muss auf Basis der risikoorientierten Prüfungsplanung den Bereichen verdeutlichen können, warum geprüft wird. Neben der Verdeutlichung der grundsätzlichen Notwendigkeit einer Prüfung ist deren Erfolg häufig auch von ihrem Umfang abhängig. Dabei ist insbesondere zu klären, ob eine objektivierte Urteilsfindung nur durch eine Vollprüfung erreichbar ist oder ob eine wie auch immer geartete Teilprüfung ausreicht. Vollprüfungen sind grundsätzlich nur dann sinnvoll durchführbar, wenn der zu untersuchende Bereich begrenzt und überschaubar ist. Notwendig können sie sein, wenn bezüglich eines Sachgebietes vollständig Klarheit über sämtliche Geschäftsvorfälle geschaffen werden muss. Dies wird für gewöhnlich nur in Fällen von Unterschlagung, Korruption u.ä. erforderlich sein. Ansonsten sind Vollprüfungen weder aus Zeit- und Kostengründen vertret- und durchführbar, noch zur fundierten Urteilsfindung notwendig.

142

3

D. Prüfungsdurchführung Insofern ist es sinnvoll, sich durch Stichprobenprüfungen zu behelfen. Bei Stichprobenprüfungen werden Teilbereiche einer Prüfungsgesamtheit ausgewählt und untersucht. Die Auswahl der zu untersuchenden Teilbereiche muss so ausgerichtet sein, dass aufgrund der Untersuchung des Teilbereichs mit hinreichender Sicherheit auf die Beurteilung der Gesamtheit geschlossen werden kann. Stichprobenprüfungen können in Hinblick auf ihre Auswahlkriterien unterschieden werden.11 So lassen sich ■ die bewusste Auswahl und ■ die Zufallsauswahl unterscheiden. Bei der bewussten Auswahl einer Stichprobe wird gezielt festgelegt, welche Elemente Bestandteil der Stichprobe werden sollen. So kann die Auswahl etwa nach dem Fehlerrisiko eines Elements erfolgen, nach der Bedeutung innerhalb der Grundgesamtheit oder danach, ob bestimmte Elemente für die Grundgesamtheit typisch sind. Die Kriterien, die einer bewussten Auswahl im Rahmen einer Stichprobenprüfung zugrunde liegen, sind zwischen Prüfer und Prüfungsleitung abzusprechen. Neben der bewussten Auswahl können Stichprobenprüfungen auch auf einer Zufallsauswahl beruhen. Bei der Zufallswahl werden anders als bei der bewussten Auswahl keine subjektiven Kriterien für die Auswahl der zu untersuchenden Elemente der Grundgesamtheit vorgegeben, sondern die zu prüfenden Elemente werden mit Hilfe mathematisch-statistischer Methoden festgelegt. Die vorstehenden Aussagen zum Prüfungsumfang gehen implizit von so genannten Einzelprüfungen aus, deren Gegenstand einzelne Ergebnisse von Informationsverarbeitungsvorgängen sind. Schwerpunktmäßig finden solche Einzelprüfungen im Finanz- und Rechnungswesen statt und betreffen Arbeitsgebiete wie die Geschäftsbuchhaltung, den Zahlungsverkehr, Inventuren oder die Rechnungsprüfung u.ä.m.12 Ergänzend zu Einzelprüfungen finden heute im Anschluss an ein moderneres Revisionsverständnis zunehmend Systemprüfungen statt. Die stets ansteigende Komplexität der Unternehmen bedingt einen Bedarf nach Prüfungen, die über die Belegprüfungen und Ausschnittsbetrachtungen im Finanz- und Rechnungswesen hinausgehend die Funktionsfähigkeit von Strukturen und Prozessen in Systemen auf den Prüfstand stellen. Systemprüfungen verfolgen das Ziel, alle wesentlichen Bereiche des Unternehmens abzudecken, Verfahren und Strukturen zu erfassen und letztlich durch geeignete Empfehlungen und Maßnahmen die geprüften Systeme zu verbessern. Gebiete für Systemprüfungen sind beispielsweise Materialwirtschaft, Vertrieb, Fertigung oder auch Tochter- und Beteiligungsgesellschaften. Neben Aspekten der Effektivität und Effizienz der geprüften Bereiche bezieht die Systemprüfung immer auch die Ordnungsmäßigkeit der Abläufe sowie die Überprüfung des Internen Kontrollsystems und der Steuerungsmechanismen mit ein.

III.

75

3

76

77

78

79

80

81

Prüfungsverhalten und Prüfungshandlungen

Das Verhalten der Prüfer hat sich an den allgemeinen Berufsgrundsätzen zu orientieren. Diese sind niedergelegt im Kodex der Berufsethik (Code of Ethics) des IIA. 11 Vgl. hierzu Hofmann, R.: Prüfungshandbuch, Berlin 2002, S. 280 ff. 12 Vgl. Horváth, P., Controlling, S. 759.

143

82

3

§3 83

3 84

85

86

87

Prüfungsprozess

Mit dem Code of Ethics verfolgt die Standesvertretung der Revisoren das Ziel, eine von ethischen Grundsätzen geprägte Kultur für den Berufsstand der Revisoren zu fördern. Die im Code of Ethics niedergelegten Regeln beschreiben, wie sich Interne Revisoren verhalten sollen. Diese Regeln müssen insbesondere von Mitgliedern des Instituts für Interne Revision e.V. bzw. Mitgliedern des IIA und Inhabern von oder Kandidaten/Kandidatinnen für CIA-Bestätigungen eingehalten werden. Verstöße gegen die Berufsethik werden entsprechend der Satzung des Instituts und den Verwaltungsvorschriften beurteilt und behandelt. Im Code of Ethics werden die folgenden Erwartungen an das Verhalten Interner Revisoren formuliert: ■ Rechtschaffenheit ■ Objektivität ■ Vertraulichkeit ■ Fachkompetenz. Zu den einzelnen Bereichen sind Verhaltensregeln formuliert worden, die die Erwartungen an den Internen Revisor spezifizieren. So heißt es etwa zur „Rechtschaffenheit“, dass die Revisoren ihre Aufgabe korrekt, sorgfältig und verantwortungsbewusst wahrnehmen und die Gesetze beachten und rechtliche sowie berufliche Offenlegungspflichten erfüllen müssen. Des Weiteren dürfen sie nicht wissentlich in illegale Aktivitäten involviert sein oder bei Handlungen mitwirken, die den Berufsstand der Internen Revision oder ihr Unternehmen in Misskredit bringen. Auf der Basis dieser eher allgemein gehaltenen Verhaltensregeln sind die Prüfungshandlungen der Internen Revision auszurichten. Dass man sich diesem Grundgerüst des Handelns für die Interne Revision auch kritisch annähern kann, wird im weiteren Verlauf der Ausführungen noch zu sehen sein. Die Vorgehensweise bei Prüfungen wird im Regelfall wie nachfolgend dargestellt aussehen:

Prüfungshandlungen 1

2

3

4

Familiarization

Verification

Evaluation and Recommendation

Reporting

Der Prüfer muss sich mit dem zu prüfenden Bereich vertraut machen. Er muss Zielsetzungen kennen lernen und erfahren, wie diese erreicht werden. Die beste Orientierung bieten Organisationspläne und Richtlinien.

Der Prüfer muss die ihm aus Gesprächen und Unterlagen bekannt gewordenen Sachverhalte der Realität gegenüberstellen. Z.B. muss er feststellen, ob die in den Richtlinien festgelegten Abläufe tatsächlich in der vorgeschrieben Art und Weise vor sich gehen.

Quelle: in Anlehnung an Horváth, P., Controlling, S. 763

Abbildung 3-9: Prüfungshandlungen

144

Der vorgefundene IstZustand wird vom Prüfer mit den vorgegebenen Zielen verglichen und das Ziel kritisch geprüft. Die Bewertung sollte mit Empfehlungen zur Verbesserung verbunden sein.

Die Arbeitsergebnisse der Prüfung sind der Unternehmensleitung in geeigneter Form zu präsentieren.

3

D. Prüfungsdurchführung Zunächst wird sich der Prüfer bzw. das Prüfungsteam mit den Gegebenheiten des Prüfungsobjektes vertraut machen müssen. In dieser Phase ist es bedeutsam, das Vertrauen der geprüften Stelle zu erlangen und sich als kompetenter Partner zu etablieren. Die im Rahmen der ersten Phase der Prüfungshandlungen erlangten Informationen müssen sodann verifiziert werden. D.h., dass z.B. die in Prozessabläufen und Richtlinien dokumentierten Strukturen und Abläufe mit der Realität abgeglichen werden müssen. Aus dem Abgleich von Soll- und Ist-Objekt ergeben sich anschließend entsprechende Bewertungen und Empfehlungen. Dabei geht es nicht ausschließlich um die Feststellung von Normabweichungen. Wichtiger sind letztlich solche Feststellungen und Empfehlungen, die zu Verbesserungen der Strukturen und Abläufe innerhalb des geprüften Bereichs führen. Die Anerkennung der Internen Revision innerhalb eines Unternehmens bemisst sich heutzutage wesentlich daran, wie und im welchem Maße es ihr gelingt, Strukturen und Prozesse durch geeignete Maßnahmenvorschläge zu verbessern. Die Prüfungshandlungen finden ihren Abschluss durch die Berichterstattung an einen geeigneten Empfängerkreis. Die konkret durchzuführenden Prüfungshandlungen müssen sich am Grundsatz der Wesentlichkeit und der Notwendigkeit orientieren. D.h., dass aus der Vielzahl von Datenquellen und Handlungsoptionen diejenigen ausgewählt werden müssen, die am ehesten dazu geeignet sind, das im Prüfungsprogramm spezifizierte Prüfungsziel zu erreichen. Die Auswahl der konkreten Prüfungshandlungen ist stets im Gesamtzusammenhang von Prüfungsobjekt und Prüfungsziel vorzunehmen. Mit Hilfe der ausgewählten Prüfungshandlungen muss eine belastbare Aussage über den Zustand des Prüfobjektes gewährleistet sein. Gegebenenfalls sind die vor Beginn der Prüfung festgelegten Prüfungshandlungen aufgrund von Erkenntnissen während der Prüfung vor Ort zu erweitern. Im Einzelnen umfassen Prüfungshandlungen das Sammeln, Analysieren und Bewerten von prüfungsrelevanten Beweisen.13 Folgende Arten von Prüfungshandlungen sind im Wesentlichen relevant:14 ■ Bestätigung von Sachverhalten durch externe Parteien ■ Analyse von Dokumenten ■ Stichprobenprüfungen ■ Analytische Prüfungshandlungen ■ Exemplarischer Prozessdurchlauf ■ Direkte Beobachtung ■ Testen der internen Kontrollen ■ Interviews. Mit der richtigen Auswahl der Prüfungshandlungen wird der Erfolg einer Prüfung vorbestimmt. Insofern gilt es, dass sich Revisionsleiter, Prüfungsleiter und Prüfer im Vorfeld eines Prüfungsprojektes genau über die beabsichtigten Prüfungsziele verständigen und dementsprechend ihre Handlungen ausrichten.

13 Definition gem. Kagermann, H., Küting, K., Weber, C.-P.; Handbuch der Revision, Management mit der SAPRevisions-Roadmap, Stuttgart 2006, S. 241. 14 Ebenda, S. 242.

145

88

3

89

90

91

3

§3

IV. 92

3

93

94

95

96

97

Prüfungsprozess

Technische und methodische Hilfsmittel

Die Basis jeder Prüfung ist die Aufnahme des Ist-Zustandes des Prüfungsobjektes. Um ein realistisches Bild von der Situation vor Ort zu erhalten, muss der Prüfer die angemessenen Erhebungsinstrumente auswählen und anwenden. Die grundlegenden Erhebungsinstrumente sind wie folgt: ■ Sichtung und Auswertung von Anweisungen, Richtlinien, Systembeschreibungen, DV-Programmen, Geschäftsvorfällen und statistischen Aufzeichnungen ■ Interviews ■ Fragebögen ■ Systematische Beobachtung ■ Analyse vorhandener Reportings und anderer Dokumente ■ Erhebung eigener Daten. Ein nach wie vor bedeutsames Hilfsmittel für die Arbeit der Internen Revision sind die bereits erwähnten Fragebögen oder Checklisten. Mitunter sind Checklisten als methodisches Hilfsmittel etwas in Verruf geraten. Schließlich war man bemüht, unternehmensintern mehr als Berater wahrgenommen zu werden und nicht so sehr als „Hakenmacher“. Aber dennoch bleibt wohl festzuhalten, dass sich gerade in der Phase der Prüfungsvorbereitung Checklisten nach wie vor als hilfreich erweisen. Nicht immer kann der Revisor auf allen Fachgebieten Expertise en detail vorhalten. Checklisten können dabei helfen, eventuell vorhandene Wissenslücken zu schließen. Gute Checklisten bieten darüber hinaus die Gewähr, ein Prüfungsfeld vollständig erfasst zu haben. Ein immer wichtiger werdendes Hilfsmittel im Rahmen von Prüfungen sind Software-Anwendungen zur Datenanalyse. Sämtliches Unternehmensgeschehen bildet sich heute in den elektronischen Systemen der Gesellschaften ab. In der Regel finden sich heutzutage in den Unternehmen ERP (Enterprise Resource Planning) – Systeme von SAP, Navision, Microsoft oder anderen Anbietern. Darüber hinaus werden Daten in den Anwendungen wie Excel, Access u.a. verarbeitet. Insbesondere bei großen Datenmengen besteht dann das Problem, die „richtigen Daten“ für ein Prüfungsfeld zu erfassen. Nur mit Gespür, der Erfahrung und den EDV-technischen Kenntnissen des Prüfers wird man dem Datenwust heutzutage nicht mehr Herr. Um die in den Unternehmenssystemen enthaltenen Informationen auswerten zu können, bedient sich die Interne Revision vermehrt spezieller digitaler Datenanalyseprogramme wie etwa ACL oder IDEA. Diese Softwaretools sind dazu geeignet, Massendaten auszuwerten. Der Einsatz von computer-gestützten Prüfungswerkzeugen gilt allgemein als Best Practice. So sieht der IIA-Standard 1220 vor, dass der Interne Revisor im Rahmen seiner beruflichen Sorgfaltspflicht den Einsatz computergestützter Methoden und weitere Datenanalysetechniken zu berücksichtigen hat. Das bedeutet auch, dass sich bei einem Quality Review der Internen Revision die Nutzung von EDV-Tools in der Bewertung niederschlagen wird. Die Vorteile der Datenanalyseprogramme mögen durch die nachfolgende Aufzählung dargestellt sein: ■ erweiterter Prüfungsrahmen durch Zeitersparnis ■ Geringere Fehlerquote, da eine Vielzahl von Geschäftsfällen zu 100 % überprüft werden kann ■ Verwendung tatsächlich signifikanter Stichproben und nicht einer zufälligen Auswahl ■ Zusätzliche Analysemöglichkeiten und ABC-Schichtungen 146

3

D. Prüfungsdurchführung ■

Benford- und Chi2- Analysen zur Erkennung von Unregelmäßigkeiten ■ Möglichkeit, auf IT-Spezialisten zu verzichten ■ Keine Einschränkung von Systemfunktionen, Leistung und Datenintegrität. Das Institute of Internal Auditors hat ermittelt, dass sich Revisoren für die Analyse von Massendaten heute noch mehrheitlich auf das Kalkulationsprogramm Excel von Microsoft (49 %) stützen. Excel bietet jedoch nur die Möglichkeit, Tabellen mit maximal 65.536 Zeilen mit maximal 256 Spalten (= 65.535 Datensätze) in einer Datei zu verarbeiten. Der Import größerer Datenmengen – beispielsweise aus SAP – ist deshalb nicht möglich. Hingegen bieten Produkte, wie ACL oder IDEA, die speziell für die Datenanalyse geschaffen worden sind, nach Angabe ihrer Hersteller die Möglichkeit einer Verarbeitung von bis zu 2,1 Milliarden Datensätzen. Die Datensätze können dabei aus fast allen Programmen und Datenbanken importiert und im Datenanalyseprogramm verarbeitet werden. Darüber hinaus erlauben diese Programme, vorgefertigte Analysen vorzunehmen, wie etwa Gültigkeitsprüfungen (Sonderfalltests, Stichproben und Mehrfachbelegung). Solche Tests können zur Auffindung von Ausnahmen und Sonderfällen eingesetzt werden, um unübliche oder auffällige Positionen zu ermitteln. Dies können ungewöhnlich große Werte sein oder Datensätze, bei denen die Werte zweier Positionen nicht zusammenpassen. Zur Auffindung von Ausnahmen und Sonderfällen wenden die Datenanalyseprogramme u.a. Benford’s Law und die Chi2-Methode an. Benford’s Law beschreibt die Gesetzmäßigkeit der Verteilung von Ziffernstrukturen der Zahlen in Datensätzen So gilt für die Anfangsziffern in Zahlen des Zehnersystems, dass Zahlen mit der Anfangsziffer „1“ etwa 6,5-mal häufiger sind als solche mit der Anfangsziffer „9“. Mit anderen Worten: Eine Abweichung von der Häufigkeitsverteilung von Ziffern gemäß Benford’s Law im Rahmen einer Datenanalyse kann ein Hinweis auf eine Manipulation des Zahlenwerkes sein. Wenn es etwa einem Mitarbeiter erlaubt ist, Bestellungen bis zu 1.000 € ohne weitere Genehmigung durch einen Vorgesetzten zur Genehmigung freizugeben, kann das System bei einer Umgehung dieser Anordnung einen Hinweis auf eine eventuelle Manipulation liefern. So etwa, wenn er bei höheren Bestellwerten die Bestellung auf mehrere Positionen aufteilt, denn dann würde bei einer Datenanalyse auf Basis von Benford´s Law die Anfangsziffer „1“ weniger häufig als erwartet erscheinen. Weitere Prüfungen können mit Hilfe des sog. Chi-Quadrat-Test durchgeführt werden. Beim Chi2-Test steht die letzte Vorkommastelle (oder auch die erste Nachkommastelle) im Fokus. Wie bei Benford werden Abweichungen von der „Sollverteilung“ angezeigt. Bei einer größeren Anzahl fingierter Buchungen, Kassenbucheinträge oder manipulierten Kilometerabrechnungen sind somit systematische Abweichungen zu erwarten. Der Chi2-Test liefert mit dem Chi-Wert ein empfindliches Maß für eine Abweichung der Vorkommastelle von der erwarteten Gleichverteilung. Je höher der ermittelte Chi-Wert ist, desto höher ist die Wahrscheinlichkeit, dass es sich um manipulierte Zahlen handelt. Neben diesen statistischen Auswertungsansätzen werden mit den Datenanalyseprogrammen darüber hinaus die Vollständigkeit von Datensätzen mit Hilfe von Lückenanalysen oder Mehrfachbelegungen getestet oder Zeitreihenanalysen durchgeführt. So können beispielsweise fehlende Rechnungsnummern oder doppelte Rechnungen ermittelt sowie Altersstrukturanalysen von Forderungen vorgenommen werden.

147

98

3

99

100 101

102

103

3

3

§3

Prüfungsprozess

104

Mit Hilfe der speziellen Datenanalyseprogramme sollte es zudem leichter möglich sein, die Manipulation von Zahlungsinformationen zu erkennen. Insbesondere in den Bereichen Einkauf sowie Lohn- und Gehalt bieten die Programme Analyse- und Auswertungsmöglichkeiten, die das Aufspüren von möglichen Unregelmäßigkeiten erleichtern.

105

! Praxishinweis Es muss an dieser Stelle betont werden, dass sich die betriebliche Praxis häufig anders darstellt, als es an dieser Stelle den Anschein erweckt. So sind in vielen Unternehmen Lizenzen für ACL oder WinIdea vorhanden, doch außer ein paar Spezialisten werden die Möglichkeiten dieser Auditing Tools nicht wirklich genutzt. An diese Problematik sowie an der Tatsache, dass sich insbesondere die Extraktion von Massendaten aus operativen (SAP-)Systemen als schwierig erweist und ein hinreichendes betriebswirtschaftliches Prozessverständnis häufig nicht gegeben ist, knüpft ein aktuelles Projekt der Bayer AG, der Fachhochschule Deggendorf und dem Unternehmen dab: Daten-Analyse & Beratung GmbH an. 15 Ziele dieses Projektes mit Namen STAAN (Standard Audit Analysis) sind u.a.: ■ Prüfung von Grundgesamtheiten anstelle von Stichproben ■ Standardisierung der Analysen ■ Möglichkeit, Massendatenprüfung durch alle Revisoren durchführen lassen zu können.

106

Mit der Verwirklichung dieses Projektes wären für die Interne Revision enorme Vorteile verbunden, die weit über die reine Nutzung im Zusammenhang konkreter Prüfungsvorhaben hinausgingen. So ließe sich ein solches Tool auch im Rahmen der risikoorientierten Prüfungsplanung einsetzen oder durch Fachabteilungen, die eigene Prozessschwächen erkennen und bearbeiten wollen.

V. 107

108

109

Arbeitspapiere

Das Führen der Arbeitspapiere ist in der revisorischen Praxis eines der schwierigsten Themen innerhalb des Revisionsmanagements. Die Prüfer argumentieren nur allzu häufig, dass das aufwendige Führen von Arbeitspapieren äußerst zeitraubend sei, lediglich formalen Anforderungen nachhänge und somit von der eigentlichen prüferischen Tätigkeit abhalte. Nichtsdestotrotz müssen die Arbeitspapiere die bei einer Prüfung erhaltenen Informationen, Analysen und daraus gezogenen Schlussfolgerungen umfassen. Der Hinweis auf die hohe zeitliche Belastung für das Führen der Arbeitspapiere darf keinesfalls zu einer nicht ordnungsgemäßen Behandlung dieser Aufgabe führen. Grundsätzlich sollte gelten, dass die Arbeitspapiere durch das Prüfungsteam zur Informationssammlung sowie zur Dokumentation des Prüfungsverlaufes und der Prüfungsfeststellungen gewissenhaft zu erstellen sind. Die Arbeitspapiere dienen zum Nachweis der gemachten Feststellungen und dies sowohl gegenüber der geprüften Stelle als auch gegenüber etwaigen Dritten (z.B. bei Peer Reviews). Arbeitspapiere in Form von Notizen, elektronischen Dateien oder sonstige Unterlagen dokumentieren das Prüfungsvorgehen, die Prüfungshandlungen und Ergebnisse. Ordnungsgemäß geführt, geben sie Aufschluss über die verwendeten Informationen und die geführten Gespräche und haben damit auch eine Beweisfunktion. Sie sind im Idealfall so anzulegen, dass auch ein nicht mit der Prüfung befasster Revisionsmitarbeiter die vorgenommenen Prüfungshandlungen und -fest15 Vgl. dazu Bönner, A., Herde, G., Riedl, M., Wenig, S., STAAN: Standard Audit Analysis, in: Zeitschrift Interne Revision, 6/2006, S. 256–260.

148

3

D. Prüfungsdurchführung stellungen erkennen und nachvollziehen sowie danach erforderlichenfalls die begonnene Prüfung fortführen kann. Als Grundsatz für das Führen von Arbeitspapieren muss demnach gelten: Arbeitspapiere müssen dem Prinzip des ordnungsgemäßen Nachweises von Prüfungsdurchführungen Rechnung tragen. Dies bedeutet im Einzelnen: ■ Systematische Ablage ■ Verständlichkeit ■ Dokumentation der Prüfungshandlungen ■ Nachvollziehbarkeit der getroffenen Feststellungen. Um den Anforderungen an die ordnungsgemäße Führung von Arbeitspapieren gerecht werden zu können, bietet sich die Methodik der Referenzierung an. Bei der Referenzierung wird jede Prüfungshandlung bzw. Prüfungsfeststellung mit einem Verweis auf die entsprechende Dokumentation in den Arbeitspapieren versehen. Auf diese Weise wird ein schneller Zugriff auf die jeweiligen Dokumente sichergestellt und einem Dritten fällt eine eventuell erforderliche Nachschau leicht. Abschließend sei noch darauf hingewiesen, dass auch die Internationalen Standards für die berufliche Praxis der Internen Revision die Erstellung und Handhabung von Arbeitspapieren beinhalten und regeln. Der IIA-Standard 2330 „Aufzeichnung von Informationen“ in Zusammenhang mit den entsprechenden „Practice Advisories“ verlangt vor allem, dass ■ die Arbeitspapiere die berichteten Feststellungen untermauern müssen, ■ die Prüfung vollständig aus den Arbeitspapieren heraus nachvollzogen werden können muss, ■ es eine verbindliche Vorgabe des Leiters der Internen Revision für die Dokumentation der Arbeitspapiere geben muss. Die Realität in deutschen Revisionsabteilungen dürfte nach unseren Erfahrungen in vielen Fällen deutlich von diesen Anforderungen abweichen. Vor dem Hintergrund, dass die Erstellung, Verwaltung und Archivierung der Arbeitspapiere sehr zeitintensiv ist und gleichzeitig die Standards sehr hohe Anforderungen stellen, ist zu empfehlen, dass sich jede Revisionsabteilung bemüht, ein Verfahren für die Behandlung der Arbeitspapiere zu entwickeln, das Kosten-Nutzen-Überlegungen mit einbezieht. Solche „Good Practices“ für den Umgang mit Arbeitspapieren haben Westhausen/Hahn vorgelegt.16 Folgt man ihren Vorschlägen, dann sind vier wesentliche Aspekte für den vernünftigen Umgang mit den Arbeitspapieren von Bedeutung: 1. Schriftform 2. Aktenordnung und Sicherheit 3. Referenzierung 4. Aufbewahrungsfrist. Bei allem Bemühen, die Berufsstandards insbesondere im Vorfeld von Quality Assessments umsetzen zu wollen, sei darauf hingewiesen, dass ausufernde Dokumentationspflichten nicht nur zeit- und kostenintensiv sind, sondern vor allem der Revision und dem Unternehmen nur geringen Nutzen stiften.

16 Siehe dazu Westhausen, H.-U., Hahn, U.; Haben wir unsere Arbeitspapiere im Griff?, in: Zeitschrift Interne Revision, 2/2007, S. 72–74.

149

110

3

111

112

113

114

115

3

§3

VI. 116

3

117

118

119

120

121

123

Abschluss der „Field Activities“

Die Prüfung vor Ort muss formal einen geordneten Abschluss finden. Dazu bietet es sich an, dass die Prüfungsergebnisse mit dem Management des geprüften Bereichs im Rahmen eines Abschlussgesprächs oder einer Abschlusspräsentation unmittelbar mit Beendigung der „Field Activities“ erörtert und abgesichert werden. Das Abschlussgespräch bzw. eine entsprechende Präsentation der Prüfungsergebnisse verfolgt in erster Linie den Zweck der Ergebnisabsicherung. Mit dieser Kommunikationsmaßnahme wird der geprüften Einheit nochmals die Möglichkeit zur Stellungnahme und Richtigstellung von Sachverhalten eingeräumt. Insofern ist die Abschlusspräsentation als eine Maßnahme der Qualitätssicherung im Revisionsgesamtprozess von erheblicher Bedeutung. Die Abschlusspräsentation bzw. die Abschlussbesprechung ist rechtzeitig während der laufenden Prüfung zu terminieren, um gewährleisten zu können, dass die maßgeblichen Personen teilnehmen können. Denn es ist Wert darauf zu legen, dass die geprüfte Einheit durch alle fachlich zuständigen Personen vertreten ist, damit während der Präsentation bzw. des Gesprächs Unklarheiten oder Missverständnisse ausgeräumt werden können. Bei umfassenden und bedeutenden Prüfungsthemen sollte das verantwortliche Top-Management entsprechend vertreten sein. Die Interne Revision wird im Abschlussgespräch in der Regel durch den Prüfer oder das Prüfungsteam sowie durch den Prüfungsleiter vertreten. Die Interne Revision sollte am Ende der Präsentation bzw. des Gesprächs die Ergebnisse zusammenfassen und das weitere Vorgehen erläutern. Während des Abschlussgesprächs sollte Einigkeit über die wesentlichen Inhalte der Revisionsprüfung erzielt werden. Insbesondere sind unterschiedliche Interpretationen von Geschäftsvorgängen und -ereignissen auszuräumen sowie strittige Punkte zu klären. Das Abschlussgespräch bzw. die Abschlusspräsentation als formaler Abschluss der Prüfungshandlungen vor Ort dient nicht dazu, Berichtsformulierungen im Detail zu besprechen. Solche Abstimmungen werden erst mit der Vorlage des Berichtsentwurfs sinnvoll möglich sein. Prinzipiell sollte auf die Durchführung von Schlussbesprechungen des Berichtsentwurfs verzichtet werden können, da gravierende Meinungsverschiedenheiten zumeist bereits während des Abschlusses der Prüfung vor Ort ausgeräumt werden können. Selbstverständlich entbindet das Führen eines Abschlussgesprächs bzw. die Durchführung einer Abschlusspräsentation den Prüfer nicht davon, auch während der Prüfung verbale Zwischenberichte an die Beteiligten zu geben.

E. 122

Prüfungsprozess

Prüfungsbericht

Es wird immer wieder gesagt und es ist auch unvermeidlich, es an dieser Stelle zu wiederholen: Der Prüfungsbericht ist die Visitenkarte der Internen Revision. Dem eigentlichen Produkt der Revisionstätigkeit, mit dem die Abteilung nach Außen wahrnehmbar auftritt, ist entsprechend hohe Aufmerksamkeit zu widmen. Erscheinungsbild (Umfang, Form, Struktur) und Inhalt des Revisionsberichts müssen den hohen Erwartungen entsprechen, die die Interne Revision selbst an Systeme und Prozesse im Unternehmen stellt. Insbesondere aber muss sich der Revisionsbericht zur Übermittlung und Kommunikation der Prüfungsergebnisse sowohl an die Unternehmensführung als auch an die geprüfte Stelle eignen. 150

E.

Aus Sicht der modernen Systemtheorie, die soziale Systeme wie etwa Unternehmen als Kommunikationssysteme versteht, kann die Anforderung an die Berichterstattung der Internen Revision zusammenfassend mit folgendem Zitat formuliert werden: „Was nicht in die Aufmerksamkeit der Kommunikationsteilnehmer kommt, wird in der Organisation nicht beobachtet, und was nicht beobachtet wird, hat keine soziale Realität. Es bewirkt nichts, es provoziert nichts, nicht einmal Widerspruch.“17 Dieses Zitat sollte sich die Leitung einer Internen Revision als Merksatz für die Berichterstattung konsequent vor Augen halten. Leider werden solche Ansprüche nur dann erfüllbar, wenn sie mit der Qualität der Prüfer in Einklang stehen. Hingegen lehrt die betriebliche Erfahrung anderes. Die am häufigsten anzutreffende Methodik der Berichtserstellung ist nach Einführung der Textverarbeitung die des „copy & paste“. Nach dem Motto „Wenn dir selber scheint kein Licht, dann schaue in den Vorbericht!“ kopiert man sich gegenseitig, in der Hoffnung, nicht weiter aufzufallen. Tatsächlich hilft ein solches Vorgehen nur den wirklich Miserablen, so dass sie wenigstens mittelmäßig werden. Was in Teilen als Rohentwurf eines Berichtes auf die Schreibtische der Revisionsleiter und ihrer Führungskräfte gelangt, ist einerseits Spiegelbild des gesellschaftlichen Umgangs mit Sprache, andererseits so nicht hinnehmbar. Im Übrigen kontrastiert dies deutlich mit dem Anforderungsprofil, das das Institut für Interne Revision von einem Revisor zeichnet.

I.

3

Prüfungsbericht 124

3 125

Berichtsgrundsätze

Der IIA-Standard 2410-1 besagt: „Die Berichterstattung enthält Ziele und Umfang sowie anwendbare Schlussfolgerungen, Empfehlungen und Aktionspläne.“

126

Die Prüfungsberichte der Internen Revision müssen demnach Aussagen enthalten zu: ■ Prüfungsziel und -umfang Das Prüfungsziel ergibt sich aus der Jahresplanung oder im Falle von Ad-hoc-Prüfungen aus dem konkret vorliegenden Sachverhalt. Der Prüfungsumfang sollte die geprüften Sachverhalte umfassen und ggf. verdeutlichen, welche Bereiche nicht geprüft wurden, so dies inhaltlich erforderlich ist. ■ Prüfungsergebnisse Die Prüfungsergebnisse umfassen selbstverständlich jegliche Prüfungsfeststellung sowie die daraus resultierenden Empfehlungen und Maßnahmen. Ggf. werden auch Stellungnahmen der geprüften Einheiten zu einzelnen Prüfungsfeststellungen im Bericht zu dokumentieren sein. Der IIA-Standard 2420 – Qualität der Berichterstattung verlangt von Revisionsberichten, dass diese richtig, objektiv, klar, prägnant, konstruktiv und vollständig sein und zeitnah erstellt werden müssen. Die entsprechenden Practice Advisories erläutern die entsprechenden Qualitätsmerkmale von Revisionsberichten. Neben diesen – fast ist man geneigt zu sagen „selbstverständlichen“ – Anforderungen an einen Revisionsbericht haben sich in der betrieblichen Praxis Kriterien herauskristallisiert, die vor allem von den Unternehmensführungen ausgehen. Diese Kriterien sind geprägt von der Tatsache, dass sich Vorstände und Geschäftsführer heute zunehmend unter zeitlichem Druck sehen und demnach auch von ihren Revisionsabteilungen verlangen, „Berichtsabstimmungsorgien“ und all-

127

17 Zit. n. Simon, F. B., Gemeinsam sind wir blöd!? Die Intelligenz von Unternehmen, Managern und Märkten, 2. Aufl., Heidelberg 2006, S. 13.

151

128

129

3

§3

3

130

Prüfungsprozess

zu ausufernde „epische Ergüsse“ zu vermeiden. Demnach werden aus Sicht der Unternehmensleitung folgende Anforderungen an einen Revisionsbericht gestellt: ■ Schnelle Berichtsabstimmung: Die Prüfer müssen im Rahmen von Abstimmungsgesprächen zum Ende der Prüfung ihre Feststellungen mit den Geprüften diskutieren und abstimmen, damit nach Möglichkeit nicht erst in der Phase der eigentlichen Berichtsschreibung differierende Auffassungen zu langatmigen Auseinandersetzungen führen. Ein Prüfungsbericht sollte möglichst zeitnah nach der Prüfung veröffentlicht werden. ■ Kurze Berichte: Berichte müssen kurz sein, um den verantwortlichen Empfänger anzusprechen. Die Unternehmensführung verfügt im Regelfall nur über begrenzte zeitliche Ressourcen. Mithin ist es erforderlich, dass auch Revisionsberichte dies berücksichtigen und die bedeutsamen Fakten einer Prüfung so aufbereitet, dass es dem Leser möglich ist, in kurzer Zeit den Sachzusammenhang zu erfassen. ■ Visualisierte Executive Summary: Mit einem sog. One Pager, auf dem die Ergebnisse einer Prüfung prägnant und mit Hilfe optischer Darstellungsmethoden wie etwa einer Ampel visualisiert werden, kann den verantwortlichen Stellen signalisiert werden, dass der vorliegende Bericht zwingend zur Lektüre empfohlen wird oder eben auch nicht. Ein solches Berichtsmittel sollte heute Standard sein. ■ Einheitliche Sprache und Struktur: Die Erkennbarkeit eines Revisionsberichts ist ein wichtiges Marketinginstrument. Deshalb sollte sich die Revision um eine weitgehende Einheitlichkeit von Struktur und Sprache ihrer Berichte bemühen. Der Bericht muss mithin so verfasst werden, dass die Adressaten sich angesprochen fühlen. ■ Umsetzungsorientierte Aktionsplanung mit Zeitvorgabe und Verantwortlichkeiten: Ohne einen Maßnahmenkatalog mit exakten, abgestimmten zeitlichen Rahmenbedingen und einer genauen Zuordnung von Verantwortlichkeiten verliert jeder Revisionsbericht an Wirksamkeit. Die Unternehmensführung will wissen, was zur Verbesserung einer Situation zu tun ist, sie will Handlungsoptionen und sie will wissen, wer für deren Umsetzung Verantwortung trägt. ■ Klare Priorisierung der Aktionen: Im Maßnahmenkatalog muss klar erkennbar sein, welche Handlungen die höchste Bedeutung für den geprüften Bereich besitzen. Es muss klar erkennbar sein, welche Maßnahmen die Risikosituation des Bereichs und des Unternehmens insgesamt am ehesten verbessern. Diese sechs Kriterien stehen heute aus Sicht der Unternehmensleitung bei Berichten der Internen Revision im Vordergrund. Die Leitung der Internen Revision als für die Berichterstattung verantwortliche Stelle muss letztlich dafür Sorge tragen, dass „empfängerorientiert“ berichtet wird. Nur mit einer strengen Ausrichtung der Berichte an den Bedürfnissen der maßgeblichen Berichtsempfänger – und dies kann stets nur die Unternehmensleitung sein – kann sichergestellt werden, dass die im Rahmen von Prüfungen gewonnenen Informationen im erforderlichen Maße gewürdigt werden und damit auch die Leistung der Revision angemessen beurteilt wird.

152

E.

II.

3

Prüfungsbericht

Berichtsaufbau und Berichtsempfänger

Ein Revisionsbericht sollte sowohl einer inneren wie einer äußeren Ordnung folgend aufgebaut sein. Die innere Ordnung eines Berichts ergibt sich aus seiner Struktur. In den allermeisten Revisionsabteilungen dürften diesbezüglich einheitliche Vorgaben existieren. Diese Vorschriften sind dann entsprechend verbindlich und von allen Revisoren einzuhalten. Ein Beispiel für eine solche Struktur zeigt die nachfolgende Abbildung:

131 132

3

Struktur eines Prüfungsberichts 1. Deckblatt 2. Kurzübersicht 3. Inhaltsverzeichnis 4. Zusammenfassung • • • • •

Prüfungsauftrag und Zielsetzung Hintergrundinformation/Ausgangssituation Prüfungsdurchführung Prüfungsfeststellungen/Empfehlungen Schlussbemerkung mit Unterschrift

5. Maßnahmenkatalog 6. Anhang

Abbildung 3-10: Struktur eines Prüfungsberichts Grundsätzlich sollte angestrebt werden, dass „die Struktur des Prüfungsberichts den Prüfungsverlauf und die Prüfungsergebnisse angemessen widerspiegelt.“18 Neben der inneren Ordnung eines Textes bedarf ein Bericht, der das Interesse der Empfänger wecken soll, auch einer äußeren Ordnung. D.h., der Bericht muss in seiner äußerlichen Erscheinung attraktiv erscheinen. Dies erreicht man durch ein klares Inhaltsverzeichnis, durch eine klare Gliederung mit Hilfe von Überschriften und Absätzen, durch Hervorhebungen und attraktive Textformatierungen, durch eine Management Summary und eine Konzentration auf das Wesentliche.19 Neben diesen eher äußerlichen Aspekten der Berichtserstellung müssen Berichte im Grunde genommen kurz, einfach und interessant sein. Diese Forderung soll hier nicht weiter ausgewalzt werden, denn dazu existiert eine Fülle an Literatur. Die Gestaltung von Texten und die richtige Handhabung der Sprache wird von den entsprechenden Autoren mit sehr viel mehr Expertise dargestellt, als dies hier von den Autoren zu leisten wäre. Nach dem Motto „Schuster, bleib’ bei deinen Leisten!“ dürfen wir an dieser Stelle beispielsweise auf die Bücher von Dieter E. Zimmer und Wolf Schneider verweisen.20 Diese sollten Pflichtlektüre für Revisoren werden, denn sie helfen, Berichte kurz, einfach und interessant zu gestalten. 18 Zit. n. Wesel, P., Jackmuth, H.-W., Berichterstattung der Internen Revision, in: Lück, W. (Hrsg.), Zentrale Tätigkeitsbereiche der Internen Revision, Berlin 2006, S. 84. 19 Ebenda, S. 86. 20 siehe etwa Zimmer, D. E., Die Wortlupe, Hamburg 2006; Schneider, W., Deutsch für Profis, Hamburg 1984; Schneider, W.; Deutsch!, 3. Aufl., Reinbek bei Hamburg 2006.

153

133 134

135

3

§3 136

3

Prüfungsprozess

Die angesprochenen Fragen nach innerer und äußerer Ordnung der Revisionsberichte sind ganz wesentlich von der Grundsatzentscheidung abhängig, in welcher Form berichtet werden soll. Die betriebliche Praxis zeigt, dass mindestens vier bedeutsame Berichtsformate unterschieden werden können. Die nachfolgende Tabelle beschreibt diese Berichtsformate und unternimmt den Versuch einer Bewertung. Berichtsformat

Beschreibung

Bewertung

Fließtext

Darstellung der Prüfungsergebnisse in einem zusammenhängenden Fließtext, i.d.R. gegliedert in Zusammenfassung und Darstellung der Einzelfeststellungen. Darstellung der Einzelfeststellungen in tabellarischer Form, i.d.R. mit vorangestellter Zusammenfassung als Fließtext. Darstellung der Einzelfeststellungen auf je einem Chart; i.d.R. vorangestelltes Chart mit Zusammenfassung. Komprimierte Zusammenfassung der Prüfungsergebnisse; i.d.R. durch eine Ampelsystematik oder andere Form der Visualisierung unterstützt.

Weite Praxisverbreitung; hoher Informationsgehalt; Gefahr der inhaltlichen Überfrachtung → empfehlenswertes Format

Tabellarischer Aufbau Präsentation

One-Pager

137

138

139

Geringerer Informationsgehalt; gut geeignet für Abschlussgespräch → eher ergänzend nutzen! Hoher Informationsverlust durch Komprimierung; für Top Management – Information geeignet → nur für Top Management zu empfehlen

Tabelle 3-1: Beschreibung und Bewertung von Berichtsformaten Das Berichtsformat richtet sich demnach also durchaus nach dem Berichtsempfänger, wobei zu beachten ist, dass die Anforderungen von Top Management und geprüfter Stelle häufig auseinander laufen. Aus Revisionssicht ist das Ziel der Berichtsverteilung eine durchgängige Weitergabe der gewonnenen Informationen. Die Zusammenstellung eines adäquaten Berichtsverteilers ist in der betrieblichen Praxis ein meist größeres Problem, als dies auf den ersten Blick erscheint. Die unterschiedlichen Anspruchsgruppen artikulieren ihre Ansprüche gegenüber der Revision und diese unterscheiden sich zumeist deutlich voneinander. Da jedoch nicht je Zielgruppe ein spezieller Bericht gefertigt werden kann, muss sich die Berichterstattung an den Maßgaben orientieren, die von der Unternehmensleitung vorgegeben werden. Denn die Unternehmensleitung ist der Auftraggeber der Internen Revision. Der Berichtsverteiler muss neben der Unternehmensleitung selbstverständlich auch die unmittelbar von der Prüfung Betroffenen einbinden. Sollten Berichte auch an externe Stellen wie Abschlussprüfer, Aufsichtsbehörden o.ä. gehen, dann sollte im besonderen Maße Wert auf die ordnungsgemäße Einhaltung von Gesetzen und Verordnungen gelegt werden.

F. 140

Ähnlich wie Fließtext; Vorteil der stärkeren optischen Gliederung → Favorit

Maßnahmenmonitoring und Follow-up

Mit der Erfüllung ihrer Aufgaben und Pflichten kann die Interne Revision in einem Unternehmen Werte schaffen, sei es durch die Verbesserung von Prozessen und Strukturen oder durch die präventive Schutzwirkung ihres Handelns. Dies geschieht jedoch nur dann, wenn die Erkenntnisse aus den Prüfungen zeitnah und effektiv an die Unternehmensführung berichtet werden. Die Unternehmensführung ist dann dafür verantwortlich, dass auf die geprüften Stellen der erforderliche 154

F.

3

Maßnahmenmonitoring und Follow-up

Druck zur Umsetzung der empfohlenen Maßnahmen ausgeübt wird. Denn ohne diesen Druck durch die Unternehmensleitung wird die Interne Revision nicht die Wirkung entfalten können, die sich jede Unternehmensleitung wünschen sollte. Die Unternehmensführung muss die Revision nachhaltig unterstützen, damit sie zu einem wirksamen Instrument wird, mit dem aktiv agiert werden kann. Sie muss das Umfeld schaffen, damit Revision wirksam wird. Erst in diesem Umfeld können Maßnahmenmonitoring und Follow-up nachhaltig wirken.

I.

Grundlagen des Nachhalteprozesses

Jeder Prüfungsbericht muss einen Maßnahmenkatalog enthalten. Ausgehend von den Bewertungen und Empfehlungen der im Prüfungsbericht verzeichneten Feststellungen wird der Maßnahmenkatalog unter Benennung der entsprechenden Verantwortlichkeiten in Abstimmung mit der geprüften Stelle vereinbart. Die Interne Revision überwacht die Einhaltung der für die Realisierung vereinbarten Fristen. Die Kontrollfunktion nimmt die Interne Revision entweder auf dem Wege des Maßnahmenmonitorings oder durch Follow-up-Prüfungen wahr. Die festzulegende Art der Maßnahmenüberwachung richtet sich in erster Linie nach der Risikoeinschätzung bezüglich des geprüften Bereichs. Darüber hinaus spielen auch die Anzahl der umzusetzenden Maßnahmen und die Komplexität der geprüften Stelle bei der Einschätzung eine besondere Rolle. Erst mit der Beendigung der Kontrolle der Maßnahmenumsetzung findet der Revisionsprozess formal seinen Abschluss. Dabei werden Angemessenheit, Effizienz und Rechtzeitigkeit der durchgeführten Maßnahmen überprüft. Eine hochwertige Kontrollpraxis beruht im Regelfall auf einem (EDV-)System, das hilft, die Ausführung von Empfehlungen aus den Revisionsberichten zu überwachen.

II.

3

141

142

143

Maßnahmenmonitoring

Das Maßnahmenmonitoring wird i.d.R. dann zur Anwendung gelangen, wenn die Prüfungsfeststellungen in einem Bericht es nicht erforderlich erscheinen lassen, dass durch eine gesonderte Follow-up-Prüfung die Umsetzung der Empfehlungen aus dem Maßnahmenkatalog sicherzustellen ist. Dies wird dann der Fall sein, wenn das detektierte Risiko nicht als gravierend angesehen und die Prüfungsfeststellungen von eher untergeordneter Bedeutung sind. Die organisatorische Durchführung des Maßnahmenmonitorings beginnt mit der Erfassung der im Maßnahmenkatalog zwischen Revision und geprüfter Stelle vereinbarten Empfehlungen. Sämtliche Maßnahmen, die durchzuführen sind, sollten mit Fristen, Terminen und Verantwortlichkeiten EDV-technisch erfasst werden. Die geprüften Stellen sind anzuhalten, die Umsetzungsvorgaben einzuhalten und die entsprechende Realisierung der Maßnahmen an die Revision zu melden. Die Interne Revision überwacht die Einhaltung der jeweiligen Terminvorgaben. Sollten die Umsetzungsmeldungen nicht erfolgen, dann muss die Revision die verantwortliche Stelle erinnern, ggf. mahnen. Für eine angemessene Beurteilung der Maßnahmenumsetzung müssen die geprüften Stellen aussagefähige Unterlagen und Dokumente zur Verfügung stellen. Die Unternehmensleitung ist über die Einhaltung der Umsetzung des Maßnahmenkatalogs zu informieren. Sollten aufgrund nicht umgesetzter Maßnahmen Schwachstellen und Risiken weiterhin bestehen bleiben, wird die Berichterstattung an die Unternehmensleitung umso dringlicher. Die Interne Revision wird sich insbesondere in solchen Situationen nur dann durchsetzen können, wenn sie aufgrund ihrer Expertise und Erfolge über ein hohes Ansehen bei der Unterneh155

144

145

146

3

§3

Prüfungsprozess

mensleitung verfügt. Andernfalls würde das Wirken ihres Handelns spätestens an dieser Stelle vollständig verpuffen.

III. 3

147

148

149 150

Was über das Maßnahmenmonitoring gesagt wurde, gilt auch für Prüfungen, für die ein Followup vorgesehen ist. Sämtliche während der Erstprüfung empfohlenen Maßnahmen sind mit Fristen, Terminen und Verantwortlichkeiten in der Datenbank zu erfassen. Entscheidend für die Durchführung von gesonderten Follow-up-Prüfungen sind mehrere Kriterien: ■ Die berichteten Feststellungen und Empfehlungen des ursprünglichen Berichts sind so schwerwiegend, dass eine Follow-up-Prüfung zwingend erforderlich ist. ■ Die Auswirkungen, die sich im Falle einer Nicht-Umsetzung der Maßnahmen ergeben, sind so gravierend, dass eine Follow-up-Prüfung zwingend erforderlich ist. ■ Die berichteten Feststellungen und Empfehlungen waren zwischen geprüfter Stelle und Interner Revision (als Repräsentant der Unternehmensführung) umstritten, so dass mit einem Follow-up die Umsetzung sichergestellt werden soll. Selbstverständlich muss, wie bei allen Prozessen und Handlungen in einem Unternehmen, auch bei der Initiierung und Durchführung von Follow-up-Prüfungen eine Abwägung von Aufwand und Ertrag erfolgen. Die Revisionsleitung ist gefordert, den erforderlichen Arbeitsaufwand hinsichtlich Zeit und Kosten zu kalkulieren und gegen die „Erträge“ der Prüfung zu stellen. Am Ende der Follow-up-Prüfung ist wie bei Standardprüfungen auch ein Bericht zu erstellen, der den Stand der Realisierung der Empfehlungen sowie verbliebene Schwachstellen dokumentiert. Für den Fall, dass eine geprüfte Stelle bestimmte Empfehlungen nicht oder nicht termingerecht umgesetzt hat, muss das verantwortliche Management dies gegenüber der Unternehmensleitung rechtfertigen. Aus Sicht der Revision sollte jedenfalls nicht in Erwägung gezogen werden, Fälligkeitstermine zu verschieben. Dies würde sowohl für das Maßnahmenmonitoring als auch für Follow-up-Prüfungen zu Lasten der Revision gehen müssen.

G. 151

Qualitätssicherung des Revisionsprozesses

Nichts kann den Menschen mehr stärken, als das Vertrauen, das man ihm entgegenbringt. Nur lehrt die betriebliche Praxis, dass Vertrauen allein nicht genügt, um anspruchsvollen Zielen gerecht werden zu können. Es ist vielmehr erforderlich, die Strukturen und Prozesse zur Erreichung von Zielen abzusichern. Dies geschieht durch Maßnahmen der Qualitätssicherung, denen sich auch die Interne Revision zu unterwerfen hat.

I. 152

Follow-up-Prüfungen

Grundlagen der Qualitätssicherung

Die Interne Revision wird innerbetrieblich zunehmend als interne Dienstleistungsfunktion angesehen und nicht ausschließlich als Überwachungsorgan. Von daher muss sie sich stets mit der Frage auseinandersetzen, ob die von ihr erbrachten Leistungen den Anforderungen der Leitungsorgane des Unternehmens als unmittelbare Auftraggeber entsprechen. Neben der Frage nach der Effektivität der Internen Revision muss auch die Frage nach dem Verhältnis des Aufwands zu den 156

G.

3

Qualitätssicherung des Revisionsprozesses

erbrachten Leistungen beantwortet werden, also die Frage nach der Effizienz der Internen Revision. Die vordergründig auf der Hand liegenden Messgrößen für die Effektivität und die Effizienz der durch die Interne Revision erbrachten Leistungen sind beispielsweise die Erfüllung gesetzlicher Anforderungen, die Zahl der Revisionsberichte oder die Einhaltung von Budgets und Terminen. Weit wichtiger und für das Ansehen der Internen Revision innerhalb eines Unternehmen von größerer Bedeutung ist aber die Sicht derjenigen, die unmittelbar mit der Internen Revision zu tun haben. D.h., die Interne Revision muss dafür Sorge tragen, dass der subjektiv wahrgenommene Nutzen der Revisionsarbeit aus der Sicht der Betroffenen maximiert wird. Das Ansehen der Revision und die Qualität ihrer Arbeit bemessen sich daher nicht ausschließlich an den o.g. Messkriterien, sondern werden maßgeblich durch weit schwerer quantifizierbare Größen bestimmt. Dazu zählen etwa ■ die Akzeptanz der Prüfungsfeststellungen, ■ die Bereitschaft zur Umsetzung von Empfehlungen, ■ der Verzicht des Vorstands oder des Aufsichtsrats auf den Einsatz externer Prüfer oder von Abschlussprüfern mit eigenen Prüfungshandlungen in den von der Internen Revision durchleuchteten Bereichen. Um diese Zielgrößen zu erreichen, bedient sich die Interne Revision gemäß internationaler und nationaler Standards einer systematischen Qualitätskontrolle. Die Qualitätskontrolle ist eine gezielte Überwachung aller qualitätsbeeinflussenden Faktoren im Prüfungsprozess. Wie in der Qualitätskontrolle von Fertigungsbetrieben geht es darum, Ausschuss und Nacharbeitungserfordernisse zu vermindern und das Image beim Kunden zu festigen. Die Qualität richtet sich dabei auf die Einhaltung von Qualitätsstandards. Die Qualitätsstandards wiederum setzt sich die Interne Revision eines Unternehmens selbst, verhandelt sie mit ihren Kunden oder sie sind überbetrieblich vereinbart. Gerade dieser Aspekt der Qualitätssicherung muss nach wie vor kritisch betrachtet werden. Die vorliegenden Konzepte und Instrumente der Qualitätssicherung in der Internen Revision sind von Praktikern und Unternehmensberatern entwickelt worden. Sie orientieren sich an den Beiträgen, die sie zu einem weit gefassten – um nicht zu sagen, weitgehend unspezifizierten – Qualitätsziel leisten können. Eine wissenschaftliche Fundierung der Qualitätsstandards, insbesondere eine systematische Entwicklung von Hypothesen über spezifische Wirkungszusammenhänge, steht bisher weitgehend aus. Gleichwohl haben die überwiegend auf Plausibilitätsüberlegungen fußenden Ansätze und Qualitätsstandards in der betrieblichen Praxis der Internen Revision eine weite Verbreitung gefunden. Dies deutet darauf hin, dass die Idee der Qualitätssicherung in der betrieblichen Praxis der Internen Revision als ein wesentliches Instrument zur Sicherstellung von Qualitätserfordernissen angesehen wird. Gleichwohl muss vor dem schlichten Kopieren, vor Me-too-Strategien gewarnt werden. Hinter Best Practice-Überlegungen und Benchmarking versteckt sich häufig nichts anderes als der Versuch, die eigene Ideenlosigkeit zu verstecken. So kann aus Qualitätsmanagement sehr schnell Karaoke werden.21

21 Siehe auch Förster, A., Kreuz, P., Alles, außer gewöhnlich, Berlin 2007, S. 47.

157

153

3

154

155

156

157

3

§3

II. 158

3

159

161

162

Die Anforderungen der Revisionsstandards

Qualitätsstandards definieren bestimmte Ausprägungen von Qualität, denen eine vereinheitlichte Auffassung zu Grunde liegt. Somit spiegeln solche Standards ein objektiviertes Qualitätsverständnis wider.22 Die seit 1998 auch in deutscher Sprache vorliegenden Standards for the Professional Practice of Internal Auditing (Standards für die berufliche Praxis der Internen Revision) des Institute of Internal Auditors (IIA) umfassen auch einen gesonderten Abschnitt zur Qualitätssicherung. Das Deutsche Institut für Interne Revision (IIR) hat diese Standards übernommen. Damit sind sie für alle Mitglieder und insbesondere für die Certified Internal Auditors (CIA) bindend.

1. 160

Prüfungsprozess

Der IIA-Standard 1300

Die IIA-Standards verlangen seit 2002 die Durchführung eines Programms zur Qualitätssicherung und -verbesserung. Im IIA-Standard 1300 heißt es: „Der Leiter der Revision entwickelt und pflegt ein Programm zur Qualitätssicherung und -verbesserung“. Abbildung 3-11 verdeutlicht den Aufbau des IIA-Standards 1300 ff. Die Überwachung der Einhaltung des Qualitätsprogramms sowie die Beurteilung von dessen Effektivität erfolgt gemäß des IIA-Standards zweidimensional: Es sollen sowohl eine interne wie eine externe Beurteilung vorgenommen werden. Durch die Standards und Practice Advisories des IIA sind Quality Reviews verpflichtend. Dabei sollen die internen Beurteilungen gem. IIA-Standard 1311 laufende Reviews umfassen, mit denen die Aufgabenerfüllung der Internen Revision kontinuierlich beurteilt wird. Die interne Beurteilung wird ergänzt durch periodisch durchzuführende Self Assessments oder durch Beurteilung von Personen innerhalb des Unternehmens, die die erforderlichen Kenntnisse zur Bewertung der Arbeit der Internen Revision mitbringen. Gemäß IIA-Standard 1312 sind externe Quality Reviews mindestens alle fünf Jahre durch qualifizierte und unabhängige Prüfer durchzuführen.

22 Vgl. Lindgens, Ursula: Qualitätsstandards, in: Lück, Wolfgang; Lexikon der Internen Revision, München 2001, S. 257.

158

G.

3

Qualitätssicherung des Revisionsprozesses

IIA-Standards 1300 ff. 1300 Programm zur Qualitätssicherung und -verbesserung

3 1310 Beurteilung des Qualitätsprogramms 1311 Interne Beurteilung

1312 Externe Beurteilung

1320 Berichterstattung zum Qualitätsprogramm

1330 Gebrauch der Formulierung „In Übereinstimmung mit den Standards durchgeführt“

1340 Offenlegung von Fällen des Nichteinhaltens

Abbildung 3-11: IIA-Standards 1300 ff. Bedeutsam für externe Quality Reviews ist natürlich die Qualifikation des externen Prüfers. Die Durchführung solcher Reviews, verbunden mit Empfehlungen zur Verbesserung der Revisionsarbeit und damit zur Steigerung ihrer Effizienz, wird heute zunehmend von den führenden Wirtschaftsprüfungsgesellschaften vorgenommen. Allerdings sollten Abschlussprüfer und Prüfungsgesellschaften, die mit der Pflichtprüfung beauftragt sind, nicht mit einem Quality Review betraut werden. Dies könnte zu Interessenkonflikten führen sowie die erforderliche Neutralität und Objektivität negativ beeinflussen.23 Möglich ist es hingegen, dass sich eine Revisionsabteilung durch die Revision eines anderen Unternehmens einem sog. Peer Review unterzieht. Dabei sollte jedoch vermieden werden, dass sich die Revisionsabteilungen gegenseitig prüfen und möglicherweise sich gegenseitig ein unangemessen gutes Zeugnis ausstellen. Die Auswahl eines Qualitätsprüfers erfolgt auf Basis der fachlichen Eignung. Voraussetzung für die Durchführung eines externen Quality Reviews ist die persönliche Qualifikation des Prüfers, die dieser z.B. durch ein CIA-Examen nachweisen kann. Des Weiteren sind ein ausreichender Praxisnachweis (mindestens 3 Jahre Berufserfahrung in der Internen Revision) und der Ausweis von Führungskompetenz erforderlich. Selbstverständlich muss der Prüfer, wie bereits erwähnt, unabhängig von der zu prüfenden Organisation sein. Die Anerkennung des Quality Reviews durch das IIR bzw. das IIA erfordert es darüber hinaus, dass der Prüfer an einer vom IIR durchgeführten Trainingsveranstaltung mit abschließender Registrierung erfolgreich teilgenommen hat. Weiter hinten wird insbesondere zu weiteren Titelvergabe (QA-Assessor) noch einiges kritisch anzumerken sein. Die Beauftragung eines externen Quality Reviews kann sowohl durch die Revisionsleitung, den Vorstand bzw. die Geschäftsführung, den Prüfungsausschuss des Aufsichtsrats oder durch den Abschlussprüfer erfolgen.

23 Vgl. Füss, R. Die Interne Revision, Berlin 2005, S. 233.

159

163

164

165

3

§3

2. 166

3 167

168

169

170 171

172

173

Prüfungsprozess

IIR Revisionsstandard Nr. 3 „Qualitätsmanagement“

Das Deutsche Institut für Interne Revision e.V. hat mit dem Revisionsstandard Nr. 3 zum Qualitätsmanagement in der Internen Revision vom 12. August 2002 seine Vorstellung für die Anforderungen an eine hochwertige Revision formuliert. Mit Datum zum 1. Juli 2005 stellte das Institut einen Leitfaden zur Durchführung von Quality Assessments bereit, der in Ergänzung zum IIR–Standard Nr. 3 die Interne Revision bei dem nach IIA-Standards mindestens alle fünf Jahre durchzuführenden Quality Assessment unterstützen soll. Grundsätzlich stellt der IIR Revisionsstandard Nr. 3 „Qualitätsmanagement in der Internen Revision“ ein Programm dar, das die Qualität der Revisionsarbeit absichern und verbessern und zur kontinuierlichen Überwachung der Revisionsarbeit herangezogen werden soll. Der Standard gliedert sich in drei Kapitel: 1. Bestandteile des Qualitätsmanagements 2. Einführung eines Qualitätsmanagements 3. Grundlagen für die qualitätssichernde Arbeit der Internen Revision. Während die beiden ersten Kapitel definitorischen Charakter haben bzw. Vorgaben für die Implementierung eines Qualitätsmanagementsystems machen, wird in Kapitel 3 das Soll für die revisorische Tätigkeit und deren organisatorische Einbindung im Unternehmen dargelegt. Im Einzelnen werden Aussagen über Zielsetzung, Tätigkeitsfelder, Organisation, Budget, die eigentliche revisorische Facharbeit, Berichterstattung und Mitarbeiter getroffen. Der Standard wird um zwei Anlagen ergänzt. Dabei werden in Anlage 1 ausgewählte Qualitätskriterien mit konkreten Ausprägungen an die Anforderungen an eine qualitativ hochwertige Interne Revision vorgestellt. Die in der Anlage 1 aufgeführten Qualitätskriterien sollen die Basis für eine Beurteilung der Internen Revision sein, wobei die Beurteilung sowohl durch den Leiter der Revisionseinheit, durch ein Internal Review oder durch Dritte erfolgen kann. In der Anlage 2 zum IIR Revisionsstandard Nr. 3 finden sich ausgewählte Inhalte zu Kundenbefragungen. Ziel von Kundenbefragungen ist es regelmäßig, die Erfahrungen und Wünsche der Kunden in das eigene Tun zu integrieren und die Arbeit zukünftig stärker an den Ergebnissen der Kundenbefragungen auszurichten. Insofern bieten Kundenbefragungen die Möglichkeit, einen Beitrag zu einem kontinuierlichen Verbesserungsprozess zu leisten. Es muss jedoch kritisch angemerkt werden, dass das Verhältnis zwischen Revision und geprüfter Stelle nicht als klassisches Dienstleister/Kunden-Verhältnis beschrieben werden kann. Im Regelfall kommt die Interne Revision ungefragt im Auftrag des Vorstands oder der Geschäftsführung zu der zu prüfenden Einheit und bedient einen Wunsch, der dort zweifellos nur selten vorhanden ist. Insofern sind Kundenbefragungen durch die Interne Revision schon vorbelastet, es sei denn die Interne Revision wird als interner Berater gerufen. Zudem kann es passieren, dass Prüfungsergebnisse – zumeist wohl negative – Auswirkungen auf die Ergebnisse der Kundenbefragung haben. Dies gilt es im Hinterkopf zu behalten, wenn Ergebnisse von Kundenbefragungen interpretiert werden. Ganz grundsätzlich können aber durch Kundenbefragungen Hinweise auf Verbesserungspotentiale gewonnen werden, die für die weitere Tätigkeit der Internen Revision im Unternehmen wertvoll sind.

160

G.

3

Qualitätssicherung des Revisionsprozesses

Ergänzend zum IIR Revisionsstandard 3 liegt seit dem 1. Juli 2005 ein Leitfaden zur Durchführung eines Quality Assessments (QA) vor.24 Dieser Leitfaden beschreibt den Prozess und die Anforderungen für die Durchführung einer Qualitätsbeurteilung durch Dritte. Insbesondere werden in dem Leitfaden die Qualifikationsanforderungen an den das QA durchführenden Prüfer beschrieben sowie das Vorgehen innerhalb des Assessments-Prozesses. Der QA-Prüfer muss neben einem Ausweis an persönlicher Qualifikation, etwa durch ein CIAExamen, an Führungskompetenz und ausreichender Praxiserfahrung vor allem unabhängig sein von der zu prüfenden Organisation. Er sollte in der Lage sein, die erfolgreiche Teilnahme an einer vom IIR durchgeführten Trainingsveranstaltung mit anschließender Registrierung nachzuweisen. Inhaltlich umfasst das QA elf Betrachtungsfelder mit insgesamt 86 zu bewertenden Fragen. Die Fragen handeln ähnliche Qualitätskriterien ab, wie sie bereits in der Anlage 2 zum IIR Revisionsstandard Nr. 3 aufgeführt sind. Insbesondere werden Fragen formuliert zur Organisation, zum Budget, zur Planung, zur Prüfungsvorbereitung, zur Prüfungsdurchführung, zur Berichterstattung, zur Prüfungsnacharbeit, zum Follow-up, zur Mitarbeiterauswahl und zur Mitarbeitentwicklung sowie zur Führung der Interne Revision. Je Frage sind zwischen 0 und 3 Punkte erreichbar, wobei es insgesamt fünf „K.O.-Fragen“ gibt, Mindeststandards mithin, deren Einhaltung als wesentlich angesehen wird. Werden diese Fragen mit Null bewertet, fällt die Gesamtbewertung negativ mit der Note „Unzureichend“ aus.

Mindeststandards


Das Vorhandsein einer offiziellen schriftlichen „Regelung“




Die Interne Revision muss weisungs- und prozessunabhängig sein und das uneingeschränkte Informationsrecht haben




Der Prüfungsplan der Internen Revision wird auf Grundlage eines risikoorientierten und standardisierten Planungsprozesses erstellt




Art und Umfang der Prüfungshandlungen und – ergebnisse werden einheitlich, sachgerecht und ordnungsgemäß dokumentiert




Mittels eines etablierten Follow-up Prozesses wird die Umsetzung der im Bericht dokumentierten Maßnahmen von der Internen Revision überwacht.

Abbildung 3-12: Qualitätsmindeststandards

24 Siehe www.iir-ev/deutsch/intern/mitglieder/IIR_QA_Leitfaden_8–2005.pdf.

161

174

175

176

177

3

3

§3 178

3

179 180

181

182 183

Prüfungsprozess

Die Bewertung erfolgt grundsätzlich je Betrachtungsfeld, wobei in Abhängigkeit der erreichbaren Punkte folgende Bewertungsskala (hier am Beispiel Organisation dargestellt) gilt: Zielerreichung

Punkte

Bewertung

> 90 % 75–90 % 50–74 % < 50 %

30–28 23–27 15–22 < 15

Angemessen/erfüllt Leichte Verbesserungspotentiale Deutliche Verbesserungspotentiale Unzureichend

Tabelle 3-2: Bewertungsskala für das Betrachtungsfeld Organisation Wie im Rahmen einer Prüfung des Qualitätsmanagements in der Internen Revision vorgegangen wird, lässt sich am anschaulichsten anhand eines Beispiels illustrieren. So sind etwa für das Betrachtungsfeld „Planung“ und hier für die Frage, ob ein standardisierter, risikoorientierter Prüfungsprozess vorhanden ist, folgende Unterlagen anzufordern: ■ Revisionshandbuch ■ Risikomodell ■ Jahresplanung und entsprechende Dokumentation. Es sind Gespräche zu führen mit der Revisionsleitung und dem Abschlussprüfer, ggf. auch mit dem Qualitätsmanager, soweit es diesen in der entsprechenden Organisation gibt. Zu prüfen ist der Zuschnitt des Planungsprozesses, die Abstimmung und die Dokumentation der Planung und letztlich vor allem die entsprechende Umsetzung. Im Prüfungsprozess sind vor allem nachfolgende Punkte zu beachten: ■ Unternehmensstruktur ■ Risikomanagement und Risikomanagementberichte ■ Prüfungsobjekte (Prozessorientierung, Funktionsorientierung, Gesellschaften, Business Units) ■ Wesentlichkeitsmerkmale im Risikomodell. Da sämtliche Unternehmen unterschiedlichste Randbedingungen zu beachten haben, ist auch beim QA auf solche Besonderheiten bei der Bewertung zu achten. Wie die Bewertung der Qualität einer Internen Revision nach dem Leitfaden zur Durchführung eines Quality Assessments aussehen könnte, demonstriert die Abbildung.

162

G.

3

Qualitätssicherung des Revisionsprozesses

Beispiel für ein QA unzureichend

Deutliche Verbesserungspotentiale

Leichte Verbesserungspotentiale

Angemessen/ erfüllt

Organisation

3

Budget Planung Vorbereitung Prüfung Berichterstattung Prüfungsnacharbeit Follow-up Mitarbeiterauswahl Mitarbeiterentwicklung Führung 0

5

10 15 20 25 30 35 40 45 50 55 60 65 70 75 80 85 90 95 100

Abbildung 3-13: Beispiel für das Ergebnis eines Quality Assurance Reviews Über die Ergebnisse des Quality Assessments muss ein schriftlicher Bericht erstellt werden, der die Prüfungsresultate erläutert und darstellt, wie der Prüfer zu seiner Einschätzung gelangt ist. Der Bericht sollte vernünftigerweise mit der Revisionsleitung besprochen werden, um ein einheitliches Verständnis bezüglich der Prüfungsergebnisse zu erlangen und um ggf. erforderliche Verbesserungsmaßnahmen abzustimmen. Um den Handlungsdruck bei der geprüften Internen Revisionsabteilung zu erhöhen, sollte für einen späteren Zeitpunkt ein Follow-up vereinbart werden.

III.

184

Revisionshandbuch

Um eine gleich bleibend hohe Qualität der Geschäftsprozesse sicherzustellen, werden diese zumindest in größeren Unternehmenseinheiten häufig schriftlich oder elektronisch via Firmenintranet abrufbar dokumentiert. Dieses Erfordernis sollte auch und insbesondere für die Interne Revision und ihren Prozess gelten. Demnach empfiehlt es sich, die Einzelheiten des Vorgehens innerhalb des Revisionsprozesses in einem Revisionshandbuch zusammenzufassen und in geeigneter Weise zu dokumentieren. Das Revisionshandbuch stellt dann die Richtschnur für die Arbeit der Revisionsabteilung dar und sollte im Idealfall die Effektivität und die Effizienz der Revisionsarbeit optimieren. Letztlich ist ein Revisionshandbuch nichts anderes als die vollständige und systematische Aufnahme des Revisionsprozesses, definierter Teilschritte, der Vorgaben für Arbeitsergebnisse und der zu verwendenden Hilfsmittel und Methoden. Es wird dadurch zu einem zentralen Element der Qualitätsplanung und Grundlage für die Qualitätssicherung. Zugleich ist das Revisionshandbuch bedeutsam als Führungs- und Leitungsinstrument.

163

185

186

3

§3

Prüfungsprozess

Revisionshandbuch istt ein WWas as is ein Revisionshandbuch? R evis ions handbuc h?

Revisionshandbuchwerden werdenAufbau Aufbau - und ImImRevisionshandbuch undAblauforganisation Ablauforganisation derInternen InternenRevision Revisiondetailliert detailliertbeschrieben beschrieben. der

wird ein WWarum arum wird Revisionshandbuch R evis ions handbuc h benötigt? benötigt?

Um die revisorischenSysteme Systemeund undProzesse Prozesseeffektiv effektivund und revisorischen effizient gestalten, werden diese Revisionshandbuch effizient zu zu gestalten, werden diese imim Revisionshandbuch festgehalten und beschrieben. Festlegungen sind festgehalten und beschrieben. DieDie Festlegungen sind fürfür allealle Mitarbeiter der Internen Revision verbindlich. Das Mitarbeiter der Internen Revision verbindlich. Das Revisionshandbuch ist die Voraussetzung einheitliches, Revisionshandbuch ist die Voraussetzung für für einein einheitliches, standardisiertes Revisionsverständnis. standardisiertes Revisionsverständnis

Werisist für das das W er t für Revisionshandbuch ions handbuc h R evis verantwortlich? verantwortlic h?

Der Leiter der Internen Revision verantwortlich die Inhaltelte Der Leiter der Internen Revision istist verantwortlich fürfür die Inha des Revisionshandbuchs, dessen Akzeptanz den des Revisionshandbuchs, fürfür dessen Akzeptanz beibei den Mitarbeiternund undfür fürdie dieEinhaltung Einhaltungder derdokumentierten dokumentierten Mitarbeitern Standards. Standards

3

187

188

189

190

Abbildung 3-14: Was ist ein Revisionshandbuch? Das Revisionshandbuch muss deutlich unterschieden werden von anderen revisionsspezifischen Äußerungen wie etwa einem Mission Statement, einer Geschäftsordnung oder einer Revisionsrichtlinie. (Vgl. dazu im Rechtsteil zum „Innenrecht“) Der Leiter der Internen Revision hat letztlich sicherzustellen, dass das Revisionshandbuch als Führungsinstrument genutzt wird, d.h. die Inhalte des Revisionshandbuchs sollen angemessen an die Mitarbeiter und ggf. an externe Dritte kommuniziert und die Arbeit konform zu diesen Inhalten durchgeführt werden. Da ein Revisionshandbuch alle Informationen über den Prozess innerhalb der Internen Revisionsabteilung enthält, kann es zur Schulung der Prüfer sowie zur Einarbeitung neuer Mitarbeiter genutzt werden. Des Weiteren bietet es die Grundlage für interne, aber auch für externe Quality Assurance Reviews, da mit dem Revisionshandbuch das Soll-Objekt für solcherlei Untersuchungen definiert ist. Selbstverständlich kann sich als Ergebnis eines Reviews auch ergeben, dass das Revisionshandbuch selbst, da es ebenfalls ein Gegenstand der Beurteilung ist, erweitert, ergänzt oder korrigiert werden muss.

IV. 191

Der Einsatz von Audit-Management-Systemen

Ein zunehmend an Bedeutung gewinnendes Hilfsmittel zur Sicherung einer auf hohem Niveau gleich bleibenden Qualität der Revisionsarbeit sind sog. Audit-Management-Systeme (Revisionssoftware). Darunter sind nicht spezielle Tools zur Datenanalyse o.ä. zu verstehen, wie sie bereits beschrieben wurden. Vielmehr bilden solche Systeme den Revisionsprozess von der Planung über die Prüfungsdurchführung bis hin zur Berichterstattung und Archivierung EDV-technisch ab. Einige Systeme halten darüber hinaus Funktionalitäten für ein revisionsspezifisches Wissensmanagement bereit. 164

G.

3

Qualitätssicherung des Revisionsprozesses

Neben dem Aspekt der Qualitätssicherung bieten Audit-Management-Systeme auch die Option, durch die Festlegung standardisierter Abläufe den Zeit- und Personalaufwand für die formalen Tätigkeiten innerhalb des Revisionsprozesses zu reduzieren. Wie bereits angesprochen, werden etwa durch die permanent erforderliche Aktualisierung des Audit Universe, durch den Zwang zur Dokumentation des prüferischen Handelns oder durch verwaltende Tätigkeiten der Zeitrahmen, der für das eigentliche Prüfen bereitsteht, vermindert. Ziel des Einsatzes von Audit-ManagementSystemen ist es, dieser Entwicklung entgegenzutreten. Eine Untersuchung der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) verdeutlicht, dass in den revisorischen Kernprozessen Planung, Dokumentation, Prüfungsaufsicht (Review) und Berichterstellung 56 % der Arbeitszeit von Revisoren gebunden wird. 25 Durch die Einführung eines geeigneten Audit-Management-Systems ist gerade in den vorgenannten Bereichen ein signifikanter Anstieg der Produktivität zu erwarten. Die bereits angesprochene Umfrage der PwC kommt zu dem Ergebnis, dass die Nutzer IT-gestützter Systeme eine Effizienzsteigerung von 20 % bis 25 % erwarten können.

192

3 193

Aufteilung der Revisionsarbeit 28% Auditing

Prüfungsaufsicht 10%

Berichtserstellung 6% 7%

4%

Dokumentation

33%

Planung Reisen & Meetings

9%

3%

Zeitplanung und Überwachung

sonstiges Quelle: Internet; Homepage PwC

Abbildung 3-15: Arbeitsverteilung innerhalb des Prüfprozesses Die Effizienzsteigerungen ergeben sich in erster Linie durch die Verknüpfung und Standardisierung der Prozessschritte Risikobewertung, risikoorientierte Planung, Mitarbeitereinsatzplanung, Prüfungsdurchführung, Berichterstellung und Maßnahmenverfolgung.

25 Vgl. Schwager, E.; Kerner, M., Röttger, S., Stauß, U.: Effiziente Prüfungsdurchführung, in: Zeitschrift Interne Revision, 1/2005, S. 8.

165

194

3

§3 195

3

196

197

Prüfungsprozess

Die heute wohl bedeutendsten Software-Tools zum Audit Management seien nachfolgend kurz aufgeführt: Softwareprodukt

Bemerkung

ManPlan REVIS RESY-Plan REDIS R2C_internal audit AuditMaster TeamMate

Schweizer Software, speziell für Finanzkontrolleure Speziell für Banken entwickelte Revisionssoftware Banken-orientierte Revisionssoftware der Consulting-Firma Agens Produkt der Firma IIT-GmbH Anbieter Schleupen, die auch Risikomanagement-Tool R2C anbieten Entwickelt in Zusammenarbeit von Telekom und Deutschen Bahn Entwickelt von PwC

Tabelle 3–3: Softwareprodukte für das Audit Management Bei der Auswahl einer IT-Lösung für die Prozessabläufe der Internen Revision sollte darauf geachtet werde, dass die Software in der Lage ist, sämtliche Prozessschritte integriert abzubilden. Idealtypischerweise sollte eine solche Software die folgenden Komponenten umfassen: ■ Risk Assessment ■ Risikoorientierte Prüfungsplanung ■ Mitarbeiterverwaltung und Mitarbeitereinsatzplanung ■ Elektronische Ablage für Arbeitspapiere mit Referenzierung ■ Knowledge-Datenbank, insbesondere zur Prüfungsvorbereitung ■ Berichtserstellungskomponente ■ Auswertungs- und Analysetools ■ Maßnahmennachverfolgung. Neben dem unmittelbaren operativen Nutzen, den ein Audit-Management-System bringt, kann durch dessen Einführung und Nutzung ein ganz wesentlicher Beitrag zur Qualitätssicherung geleistet werden. Insbesondere wird durch die eindeutigen Vorgaben die Einhaltung der Anforderungen der Standards for the Professional Practice of Internal Auditing des IIA sichergestellt.

166

4

§ 4 Ausgesuchte besondere Aspekte der Revisionsarbeit Nachdem in Kapitel 2 eine rechtliche Verortung der Revision und in Kapitel 3 eine Darstellung der operativen Revisionsarbeit vorgenommen wurde, sollen nun in Kapitel 4 ausgesuchte Einzelaspekte der Revisionsarbeit dar- und zur Diskussion gestellt werden. Dies geschieht – wie es im Vorwort bereits angeklungen ist – durchaus mit der Absicht, diese einzelnen Themen und Aspekte der Revisionsarbeit sozusagen gegen die herrschende Meinung zu kommentieren, die herrschende Meinung quasi einmal ins Abseitige zu führen. Dabei verfolgen die Verfasser selbstverständlich das Ziel, zu provozieren – nämlich Debatten, Streitgespräche und Auseinandersetzungen innerhalb des Berufsstandes der Internen Revision. Die Themenauswahl erfolgt in loser Schüttung. Ausgehend von eher grundsätzlichen Erörterungen zum Spannungsfeld zwischen Überwachung und Führung werden anschließend die Voraussetzungen für den effizienten Einsatz der Internen Revision diskutiert. Die weiteren Ausführungen beschäftigen sich mit dem Bild, das der Interne Revisor, vielleicht aber auch nur dessen berufsständischen Vertreter in der Öffentlichkeit proklamieren. Der Revisor als Change Agent einerseits sowie als Übermensch, der allen ethischen und fachlichen Anforderungen, die an ihn gestellt werden, locker gerecht wird. U.a. mit einer eigenen Gattungsordnung, dem CIA, soll all dem nachgekommen werden. Kapitel 4 wird mit einigen grundsätzlichen Ausführungen zum Thema Wirtschaftskriminalität abgeschlossen.

A.

4

Regel und Ausnahme, Verantwortung und Kontrolle

Die Interne Revision ist der Gralshüter der Regelkonformität, der Ordnungsmäßigkeit und der Sicherheit im Unternehmen. Und damit fangen die Probleme und Spannungen auch gleich an. Denn es gibt ganz offensichtlich einen Widerspruch. Auf der einen Seite die Regelungswut vor dem Hintergrund von Bilanzskandalen, Managementfehlverhalten sowie allen Arten von Korruption im Unternehmen. Auf der anderen Seite das Credo der modernen Management- und Führungsliteratur, welches einhellig fordert, Innovation nicht durch Kontrollen zu hemmen, den Mitarbeitern und Führungskräften zu vertrauen und keine Kontrollbürokratie zu etablieren, die Schaffenskraft und Kreativität blockiert. Das, was für Präsident George W. Bush und die Amerikaner der 11. September 2001 war mit samt seinen Folgen und Auswirkungen, war für die Profession der Kontrollorgane und ihre Apologeten im Unternehmen der Fall Enron. Mit den in diesem Fall aufgetretenen Bilanz- und Geschäftsmanipulationen setzte eine Überwachungs- und Kontrollwelle ein, die bis heute nicht abgeebbt ist und die auch Europa zwischenzeitlich erreicht hat. Eine der Folgen des Falls Enron und weiterer Unternehmensskandale war der so genannte Sarbanes-Oxley-Act: Ein Bürokratiemonster! Aber auch der Beweis für eine These Luhmanns: „An den Tag auf Tag und Tat auf Tat folgenden Mitteilungen der Massenmedien kristallisiert sich das, was in der gesellschaftlichen Kommunikation als >>Wissen<< behandelt werden kann“.1 Mit Enron war plötzlich klar, dass sämtliche Manager korrupt und alle Unternehmen des Teufels sind. Diese massenmedial erzeugte Tatsache wurde in der weiteren Kommunikation als sol-

1

1

Nach Luhmann, Niklas: Die Gesellschaft der Gesellschaft, Band 2, S. 1106, Frankfurt a.M. 1997.

167

2

3

4

4

§4

5

4

6

7

8

9

10

Ausgesuchte besondere Aspekte der Revisionsarbeit

che behandelt,2 mit der unmittelbaren Folge eines rapiden Ansteigens der Kontrollen und deren Dokumentation in den Unternehmen. Zudem ist eine Business Ethics Industry von Beratern, Anwälten, Akademikern und jeder Art von Experten entstanden, die möglicherweise ganz eigene Ziele verfolgt. Wer heute durch den Blätterwald stapft, der wird kaum an entsprechenden Veröffentlichungen zu den Themen Wirtschaftskriminalität, Compliance und Kontrolle vorbeikommen. Mit dem Anstieg der Kontrollwut eng verbunden war und ist bis heute ein Bedeutungsanstieg der Internen Revision – mindestens wird dieser Bedeutungsanstieg von der Internen Revision selbst so vermutet. In der Vor-Enron-Ära war die Interne Revision das verstaubte Stiefkind im Unternehmen, verzweifelt auf der Suche nach einer neuen Identität, um vom Management doch geliebt zu werden. Mit dem Etikett Interner Berater versehen, schienen erste Lösungsansätze gefunden. Aber während in Seminaren und auf Kongressen das neue Selbstverständnis gerade noch etabliert wurde, fand in den (gar nicht so fernen) USA bereits die nächste Umwälzung statt. Diese Umwälzung war die Antwort auf Bilanzskandale und Fehlverhalten von Managern und saß dem Mythos der Regelbarkeit auf. Dieser Mythos geht davon aus, dass durch geeignete Kontrollsysteme Individuen daran gehindert werden, Schlechtigkeiten zu begehen. Seltsam: Eigentlich ist der Kommunismus ja tot, der Kapitalismus gilt als großer Sieger, selbst wenn das Verhältnis zwischen Wirtschaft und Bürgern zerrüttet ist. Geblieben vom Kommunismus ist jedoch jenes Lenin zugeschriebene Dogma, wonach Vertrauen zwar gut, Kontrolle aber besser sei. Der Mythos der Regelbarkeit manifestiert sich in einigen Glaubenssätzen:3 ■ Wenn Systeme nicht funktionieren, müssen zusätzliche Regeln aufgestellt werden! ■ Perfektion ist möglich! ■ Die Natur des Menschen ist irrelevant! ■ Verantwortung muss bürokratisch geregelt und auf möglichst viele Stellen verteilt werden! Befolgt man diese Glaubensätze, dann kann man einigermaßen sicher sein, ein Monstrum zu schaffen, in dem Regelungsfanatiker erfolgreich wirken können: Komplexe Systeme werden zu komplizierten Systemen werden, Innovation wird durch Kontrolle substituiert werden, menschliche Urteilskraft wird durch Bürokratie eliminiert werden. Aus dem Vergehen einzelner wird vielfach die Schlussfolgerung gezogen, das System sei marode und Regularien und Kontrollen seien zu verschärfen. Betrügt ein Mitarbeiter bei der Spesenabrechnung, wird die Anzahl der Kontrollschritte bei der Spesenabrechnung erhöht. Das Fehlverhalten einzelner ist das Fehlverhalten des Systems und alle sind in Haftung zu nehmen. Die Interne Revision findet sich inmitten dieser Überwachungswut wieder. In manchen Fällen ist sie gar Betreiber der Regelungswut, wohl auch bedingt dadurch, dass sie selbst ihre Unentbehrlichkeit und ihre Unersetzbarkeit unterstreichen will. Dem Kontrollfanatismus steht auf der anderen Seite die moderne Management- und Führungsliteratur gegenüber, die im Grunde das genaue Gegenteil vom dem fordert, was sich insbesondere im Sarbanes-Oxley-Act manifestiert hat. So proklamiert zum Beispiel Reinhard K. Sprenger „Vertrauen führt!“4 und meint, Vertrauen sei Kontrolle. 5 Er unterstreicht seine Auffassung mit einem 2 3 4 5

168

Ebenda. Siehe Weinberger, David: Verantwortung lässt sich nicht verordnen, in Harvard Business Manager, Februar 2007, S. 26–27. Sprenger, R. K.; Vertrauen führt, Frankfurt/New York 2005. Ebenda, S. 105.

A.

Montaigne-Zitat: „Wem ich auf Reise die Kassenführung anvertraue, dem überlasse ich sie ganz ohne Kontrolle. Er könnte mich beim Abrechnen sowieso leicht betrügen. Und wenn er nicht der Teufel ist, zwinge ich ihn zur Ehrlichkeit durch ein so hingegebenes Vertrauen.“6 Mit Luhmann ergänzt Sprenger: „Wie durch Geschenke, kann man durch Vertrauensbeweise fesseln.“7 Auch Anja Förster und Peter Kreuz warnen vor „ein(em) bürokratische(n) Monster, eine(r) riesige(n) Durchsetzungsmaschinerie, die peinlich genau überwacht, dass alle Regeln befolgt werden und am Schluss jedes Talent erstickt.“8 Die Warnung wird durch den Hinweis ergänzt, dass es auch anders geht. So werden etwa bei einer amerikanischen Großbank Mitarbeiter prämiert, die überflüssige Regelungen finden und dazu beitragen, dass diese getilgt werden. Motto der Initiative: Kill a Stupid Rule!9 Autoren wie Förster/Kreuz oder auch Gary Hamel fordern geradezu dazu auf, sich gegen die Regelungs- und Kontrollwut in den Unternehmen zu wehren. Förster/Kreuz beschwören den „GuerillaKämpfer“10, Hamel fordert auf, der „Corporate Rebel“ zu sein. Er führt aus: „Alignment is fine – if the world isn’t changing. But perfect alignment destroys any chance of innovation, because it brooks no dissent and allows no alternatives.“11 Die Balance zwischen notwendigen Kontrollen und unabdingbarem Vertrauen zu halten, ist die eigentliche Herausforderung und dies auch für die Interne Revision in ihrer Funktion als Kontrollinstrument. Ein Übermaß an Kontrolle und Überwachung kann das zerstören, worauf es für ein Unternehmen existentiell ankommt, nämlich Innovation und Engagement. Es ist eine Erfahrung jeden Revisors, dass allzu straffe Kontrollen in den seltensten Fällen effektiv sind. Andererseits ist Kontrolle ein notwendiger Bestandteil von Führung. Legt man aber etwa die Anforderungen des SOX zugrunde, so werden hier Manager zu einer Vertiefung in Details genötigt, die eine effiziente Nutzung ihrer wertvollen Ressourcen unmöglich macht. Die Vertreter der Internen Revision müssen aus Sicht der Verfasser über ein Bewusstsein darüber verfügen, wie mit Reglungen und Kontrollen im Unternehmen sinnvoll umgegangen wird. Wird nämlich Kontrollsystemen auf allen erdenklichen Stufen ein weiteres Kontrollsystem übergestülpt, dann befindet sich ein Unternehmen auf dem Weg zum Bürokratiegigantismus, verbunden mit entsprechenden Kostenexplosionen. Ergebnis wird ein Vertrauensverlust der Mitarbeiter sein, ein Verlust von Gestaltungsbereitschaft unter Risiko und das Ausufern von Sicherheitsdenken. Um Missverständnissen vorzubeugen: Es geht nicht um die Legalisierung illegalen Verhaltens oder auch nur um dessen Tolerierung. Es geht um „brauchbare Illegalität“.12 Wer als Regelwächter im Unternehmen agiert, der muss sich darüber klar sein, dass in jeder Organisation eine Grenze zwischen dem Regelkonformen und dem Regelwidrigen besteht. Der intuitiven Einsicht, wonach Unternehmen umso besser funktionieren, je regelkonformer innerhalb der Organisation gehandelt wird, muss die Erfahrung des betrieblichen Alltags gegenüber gestellt werden. Danach werden Regeln permanent nicht eingehalten, andauernd werden Grenzen überschritten. Und wenn dies in einem Unternehmen nicht geschehen würde, dann könnte es nicht funktionieren. Es wäre leblos. 6 7 8 9 10 11 12

4

Regel und Ausnahme, Verantwortung und Kontrolle

Ebenda S. 103. Ebenda S. 103. Förster, A., Kreuz, P., Alles, außer gewöhnlich, Berlin 2007, S. 194. Ebenda, S. 83. Ebenda, S. 225 ff. Hamel, G., Leading the Revolution, New York 2002, S. 154. Der Begriff geht zurück auf Luhmann, N., Funktionen und Folgen formaler Organisation, 4. Aufl., Berlin 1994, S. 304: „Illegal wollen wir ein Verhalten nennen, das formale Erwartungen verletzt. Ein solches Handeln kann gleichwohl brauchbar sein.“

169

11

4 12

13

14

15 16

4

§4 17

18

4

19

20

21

Ausgesuchte besondere Aspekte der Revisionsarbeit

Natürlich stellt sich gerade für die Interne Revision im Kontext ihrer Aufgaben die Frage, wann Regelbrüche erfolgreich, wenigstens aber hinnehmbar sind, und ab wann sie für ein Unternehmen nicht mehr tolerable oder gar gefährlich sind. Diesen Balanceakt zu bewältigen, stellt eine enorme Herausforderung für Revisoren und für das Revisionsmanagement dar. Nicht hilfreich wäre es, dieses Problem durch neue Regeln zu lösen oder es einfach zu ignorieren. Es bleibt zu bedenken, dass Regelwerke in Organisationen immer temporärer Natur sind. Mit Bezug auf Luhmann kann man sagen, dass auch Regeln ähnlich wie Werte „nichts anderes als hochmobile Gesichtspunktmengen sind. Sie gleichen nicht, wie einst die Ideen, den Fixsternen, sondern eher Ballons, deren Hüllen man aufbewahrt, um sie bei Gelegenheit aufzublasen, besonders bei Festlichkeiten.“13 Als Revisor sollte man Nachfolgendes nie außer Acht lassen: Was eine Regel bedeutet, hängt stets von den Bedingungen ihrer Anwendung ab, so wie sie mit dem Kontext des Handelns gegeben sind. Wie schwierig die Bewertung von Regelbrüchen ist, mag dass nachfolgende Beispiel der „Broken Window Theory“ beleuchten.14 Die These der beiden Kriminologen Wilson und Kelling besagt, dass Kriminalität die unausweichliche Folge von Unordnung sei. („Crime is the inevitable result of disorder“). Wenn ein eingeschlagenes Fenster in einer Gegend nicht repariert wird, dann meinen Passanten, niemand würde sich um die Gegend kümmern. Schon bald würden weitere Scheiben zertrümmert, möglicherweise geschehen gar schlimmere Vergehen. Diese Theorie meint also, dass bereits kleinere Regelbrüche zu einer Erosion des gesamten Systems führen könnten. In New York reagierte man auf diesen sich selbst verstärkenden Prozess mit der Strategie der „Zero Tolerance“. Jedes noch so kleine Fehlverhalten wurde konsequent geahndet. Die Ambivalenz ist offensichtlich: Einerseits verhindert die Null-Toleranz-Strategie Kreativität und Innovation – man denke an strikte Regeln im Unternehmen, die Fehler und abweichendes Mitarbeiterverhalten streng sanktionieren. Andererseits bewahrt sie vor einer Aushöhlung von Regelwerken, die Prozesse und Strukturen sichern. Für die Interne Revision bleibt letztlich ein Dilemma. Denn einerseits ist die Überwachung der Einhaltung von Regelwerken ihre Aufgabe. Andererseits muss sie wissen: Wenn alle das tun, was die anderen tun, dann wird im Unternehmen nichts Neues mehr passieren. Einen Ausweg aus diesem Dilemma gibt es wohl nicht. Nur Anforderungen, die an den Revisor und das Revisionsmanagement zu stellen sind. So sollte die Interne Revision bedenken, dass Führung und Kontrolle aufeinander abzustimmen sind. Es gibt Branchen, die weniger Regelung und Kontrollen benötigen als andere. Größe und Komplexität eines Unternehmens sind zu beachten, genauso wie die Beziehung zum Kapitalmarkt. Sollen Kontrollen effektiv sein, so sind die konkreten Verhältnisse vor Ort zu beachten. Darüber hinaus sollte der Interne Revisor stets eines bedenken: Führung geschieht vor Kontrolle. Bei der Beurteilung von Prüfungssachverhalten sollte der Revisor stets seine eigene Lebenserfahrung berücksichtigen und bedenken, dass für erfolgreiches unternehmerisches Handeln Einsatz, Glück, Risikobereitschaft, Sozialkompetenz, Entscheidungsfreude und gelegentlich auch Mut zu Neuem gehören. Nicht immer trifft zudem auf die Menschen im Unternehmen zu, was eine Romanfigur des Carlos Ruiz Zafón in dessen Roman Der Schatten des Windes behauptet: „Als guter Affe ist der Mensch ein soziales Wesen, und als wesentliche Norm ethischen Verhaltens zeichnen ihn Vetternwirtschaft, Nepotismus, Schwindel und Klatsch aus. Reine Biologie.“15 13 Zit. n. Luhmann, N., Die Gesellschaft der Gesellschaft, Band 1, Frankfurt a.M. 1997, S. 342. 14 Siehe dazu auch Gladwell, M., The Tipping Point, New York/Boston 2002, S. 141 ff. 15 Zit. n. Carlos Ruiz Zafón, Der Schatten des Windes, Frankfurt a.M. 2005, S. 118.

170

4

B. Voraussetzungen für den wirksamen Einsatz der Internen Revision

B.

Voraussetzungen für den wirksamen Einsatz der Internen Revision

Wie bereits ausgeführt, soll die Interne Revision Bestandteil des internen Überwachungssystems eines Unternehmens und der Unternehmensführung Prüfungs-, Analyse- und Bewertungsinstrument sein. Dazu soll die Interne Revision Innovationstreiber sein und Change Agent, der Veränderungsprozesse im Unternehmen aktiv betreibt und fördert. Wohl wissend, dass auch bei der Internen Revision der Schall nicht schneller vorankommt als das Licht, müssen im Unternehmen bestimmte Prämissen erfüllt sein, damit die Interne Revision überhaupt in die Reichweite der so formulierten Ansprüche gelangt.16 Im Kern besteht die Revisionsaufgabe – und vielleicht vor dem Hintergrund der aktuellen Ereignisse in deutschen Großkonzernen tatsächlich im viel stärkeren Maße – vor allem in der Verpflichtung zur Aufdeckung von Fehlern und Schwachstellen. Die Revision untersucht Prozesse und Strukturen in Organisationen mit dem Ziel, die Wirtschaftlichkeit zu verbessern und das Vermögen der jeweiligen Organisation zu schützen. Die Analysen und Bewertungen durch die Revision sollen die Ordnungsmäßigkeit gewährleisten. Diese Pflichten entfalten auch eine Präventivwirkung und damit einen ersten Schutz vor dolosen Handlungen. Dies aber auch nur, wenn die Erkenntnisse aus den Prüfungen zeitnah und effektiv nicht nur an die geprüfte Stelle berichtet werden, sondern gezielt an die Unternehmensführung. Die Unternehmensführung ist für den erforderlichen Druck verantwortlich, dass die in den Maßnahmenkatalogen der Revisionsberichte niedergeschriebenen Empfehlungen zur Beseitigung der identifizierten Schwachstellen von den geprüften Stellen auch umgesetzt werden. Denn ohne diesen Druck und lediglich mit der Ankündigung einer Follow-up-Prüfung durch die Revision selbst ist diese wirkungslos. Die Unternehmensführung muss die Revision nachhaltig unterstützen, damit sie zu einem wirksamen Instrument wird, mit dem aktiv agiert werden kann. Sie muss das Umfeld schaffen, damit Revision wirksam wird. Die Unterstützung durch die Unternehmensleitung manifestiert sich in einigen wenigen Kernpunkten, die letztlich die nachhaltige Wirkung der Revisionsfunktion im Unternehmen sichern – Kleinigkeiten eigentlich, die aber von Bedeutung sind.

22

4 23

24

■

Umfassendes Prüfungsrecht Das wohl wesentlichste Recht der Revision muss es sein, überall umfassend prüfen zu dürfen. Es darf keine Bereiche im Unternehmen geben, die aus welchen Gründen auch immer, nicht geprüft werden dürfen oder können. In der betrieblichen Praxis erlebt man es allzu häufig, dass die Revision gerade nicht willkommen ist. Es gibt in den zu prüfenden Bereichen immer gerade etwas zu tun, was unaufschiebbar ist und eine zusätzliche Belastung durch die Revisionsprüfung nicht zulässt. Damit kann man als Prüfer genauso leben wie auch als Revisionsleiter. Es ist im Regelfall genügend Erfahrung in der Revisionsabteilung vorhanden, um einschätzen zu können, ob hier mit einem Vorwand gearbeitet wird oder ob es sich tatsächlich um einen ungünstigen Prüfungszeitpunkt handelt. Darauf kann man entsprechend reagieren, also die Prüfung eben gerade doch gegen Widerstand durchführen oder aber einer Verschiebung zustimmen, auch wenn die Einsatzplanung mal wieder überarbeitet werden muss. 16 Dies in Analogie zu Jean Paul: „Im Reich des Wissens kommt – anders als im physischen – der Schall immer früher an als das Licht.“

171

25

26

4

§4 27

4

28

29

Nicht akzeptabel ist es hingegen, wenn es systematisch blinde Flecken im Unternehmen gibt – Bereiche also, die von Revisionsprüfungen ausgeschlossen werden sollen. Solche blinden Flecken können sich schnell in schwarze Löcher verwandeln, die alles aufsaugen und die Existenz von Unternehmen in ihrer Gänze gefährden. Es sollte niemand sagen, so etwas gäbe es nicht. Immer wieder wird versucht, zu marginalisieren, zu bagatellisieren, die Dinge klein zu reden. Kritische Bereiche werden dem Einblick der Revision entzogen – Begründungen gibt es zuhauf und die Erfahrung zeigt: Immer dort, wo Intransparenz herrscht, wo geschlossene Netzwerke (um nicht zu sagen Seilschaften) aktiv sind, dort, wo Reservate und Naturschutzgebiete bestehen, die die Revision nicht betreten darf, treten Missstände (Wildwuchs) deutlich häufiger und eher auf, als dort, wo alles offen zutage liegt. Die in der aktuellen Presse veröffentlichten Meldungen über Betrugsund Korruptionsaffären bei renommierten Unternehmen belegen dies. Bestimmte Bereiche mit Budgetverantwortung unterliegen letztlich keinen Kontrollen und man wundert sich, dass die Dinge möglich sein sollen, die den Betroffenen vorgeworfen werden. Es ist die Verpflichtung der Unternehmensführung, einem umfassenden und vollständigen Prüfungsrecht der Revision Geltung zu verschaffen – auch und insbesondere durch das offizielle Propagieren dieses Rechts im Unternehmen. In besonders sensiblen Fällen kann auch der Einsatz einer externen Prüfungsgesellschaft erwogen werden, die jedoch dann strikt den Anweisungen des Leiters der Revisionsabteilung zu folgen hat. Wenn also gilt, dass es keine Bereiche geben darf, die im Unternehmen nicht geprüft werden dürfen und können, so heißt dies eben auch, dass neben dem Recht zur Prüfung auch die Fähigkeit dazu da sein muss. Die Revisionsabteilung muss personell derart ausgestattet sein, dass sie alle Bereiche des Unternehmens professionell untersuchen kann. Das aber heißt nichts anderes, als dass der Revisor absoluter Fachmann sein muss und dass die Abteilung insgesamt das funktionale Spektrum des Unternehmens abdecken muss. Darüber hinaus werden an den Revisor auch persönliche Herausforderungen gestellt – kaum erfüllbare übrigens, wie die Verfasser meinen und dies weiter unten noch ausführen. ■

30

31

Ausgesuchte besondere Aspekte der Revisionsarbeit

Aktives und passives Informationsrecht Neben dem umfassenden Prüfungsrecht ist für eine effiziente Revisionsarbeit die Einräumung eines umfassenden aktiven und passiven Informationsrechts unentbehrlich. Die Unternehmensführung sollte die Revision bzw. den Leiter der Revision in sämtliche Informationsflüsse einbinden, die für das Unternehmen von Relevanz sind. Das bedeutet: Alle Berichtswege, insbesondere aber solche aus den Abteilungen Rechnungswesen, Controlling, Finanzen und Steuern, kreuzen die Bahnen der Revision. Die Kooperation mit der Rechtsabteilung ist eng und selbstverständlich. Der Revisionsleiter ist Mitglied aller wesentlichen Gremien, wird umfassend vom Vorstand informiert und tauscht sich auf allen Ebenen mit den Entscheidungsträgern aus – das bedeutet: Was es zu wissen gilt, weiß die Revision! Leider verhält es sich in der Realität häufig nicht so. Die Informationen, der Lebensnerv der Revision, müssen erkämpft werden: Jeder Bericht ist jedes Mal neu anzufordern, die Teilnahme an Sitzungen wird boykottiert – dort wo sie erstritten wurde, werden einfach neue Gremien erfunden, von deren Existenz die Revision niemals etwas erfahren wird. Niemand verspürt den Drang, sich gegenüber der Revision zu offenbaren – also drängt man die Revision aus dem Geschäft. Dies wird umso eklatanter deutlich, wenn die Revision nicht zentrale Abteilung ist, sondern „outgesourcte“ Gesellschaft innerhalb eines Konzerns. Mit Verweis auf die Eigenständigkeit der Revisionsgesellschaft, mit Hinweisen auf Gesetze und Richtlinien, verweigert man die Integration ins

172

4

B. Voraussetzungen für den wirksamen Einsatz der Internen Revision Berichtswesen oder die Teilnahme an Planungsgesprächen, Zieldialogen oder Jahresabschlussgesprächen. Wenn der Unternehmensführung an einer effizienten und wirkungsvollen Revision gelegen ist, dann muss sie auch und gerade in diesem Punkt zeigen, dass ihr die Revision viel bedeutet. Auf dem Wege von Richtlinien und Anweisungen muss die Unternehmensführung für die Einbindung der Revision in sämtliche relevante Informationsflüsse sorgen. Dies ist schon deshalb von so enormer Bedeutung, weil ohne diese Informationen die Revisionsplanung keinesfalls risikoorientiert erfolgen kann. Gleichgültig, welcher Systematik man sich im Rahmen der Revisionsplanung unterwirft, für jede risikoorientierte Prüfungsplanung bedarf es der Information, des Wissens über die Geschehnisse im Unternehmen, denn andernfalls wäre jede Planung ohne Substanz. Zielsicher würden jene Bereiche im Unternehmen geprüft, die eh allenthalben untersucht werden – jene Unternehmensbereiche aber, die die tatsächlichen Risikoträger sind, blieben unbehelligt. Neben dem passiven Informationsrecht muss die Revision auch ein aktives Informationsrecht besitzen und dieses Recht auch nutzen. Dies ist die Stunde des Revisionsleiters. Dieser darf ruhig auch mal Impression Management betreiben.17 Der Revisionsleiter und seine engsten Führungskräfte müssen kraft ihrer Persönlichkeit und ihres Auftretens eine Stellung im Unternehmen innehaben, die gewährleistet, dass sie in den „Flurfunk“ integriert sind, dass sie Teil des informellen Netzwerkes sind, dass sie um die Masse des Eisbergs, die unter Wasser liegt, wissen. Um auch nur zu ahnen, wie es um das Unternehmen tatsächlich bestellt ist, muss vor allem der Revisionsleiter Teil des Ganzen sein, er muss auf die verantwortlichen Bereichsleiter zugehen können und ihnen das Gefühl vermitteln, dass alles, was er erfährt, bei ihm gut aufgehoben ist. Vertrauen ist ein teures Gut und will hart erarbeitet sein. Vertrauen ist aber auch die Voraussetzung für die Möglichkeit, ein eingeräumtes aktives Informationsrecht überhaupt wahrnehmen zu können. Was nützt ein festgeschriebenes Recht auf Information, wenn dem Revisionsleiter nur Info-Placebos verabreicht werden und die auch noch homöopathischen Dosen. Das vorher Gesagte darf keinesfalls verwechselt werden mit Kumpanei und mit Servilität. Ansonsten gelangten die zu prüfenden Stellen sehr schnell zu dem Urteil, das der Dichter, Essayist und Übersetzer Raoul Schrott über seine österreichischen Landsleute fällte. Er bezeichnete diese nämlich als Hofnarren, mit Zügen der widerlichsten Servilität und er zieh sie eines Hoflakaientums, dessen morbider Charakter sich in den Kaffeehäusern offenbare, in der hohen Kunst des Nörgelns, die nur eine interessante Form des Selbstgesprächs sei.18 Die Revision muss selbstverständlich unabhängig sein und objektiv. Das ist schwer genug und deshalb auch durch organisatorische Maßnahmen zu unterstützen, die helfen, die Unabhängigkeit und Objektivität zu erreichen.

32

4

33

34

35

■

Entscheidungsrechte für die Prüfungsplanung und die Durchführung von Prüfungen Die Berufstandards für die Revision verlangen vom Leiter der Abteilung, dass dieser neben dem Kostenbudget und der Personalplanung vor allem einen Revisionsplan vorlegt. Selbstverständlich ist es heute, dass die Revisionsplanung risikoorientiert zu erfolgen hat. Was sich hinter diesem Begriff verbirgt, ist bereits ausführlich dargelegt worden Die Erstellung einer risikoorientierten Prüfungsplanung erweist sich in der Praxis als schwieriges Unterfangen. Denn allein die Gewähr für die Vollständigkeit des Audit Universe möchte schon niemand übernehmen. Auch scheitert die risikoorientierte Bewertung häufig an mangelnden Informationen. Die Auswahl und Gewichtung der Risikokriterien sind immer subjektiv, wenn nicht 17 Nach Goffman, E., The Presentation of Self in Everyday Life, S. 203 ff. 18 Vgl. Schrott, R., Kontrafaktur, in: ders., Handbuch der Wolkenputzerei, München, Wien 2005, S. 41.

173

36

37

4

§4

38

4 39

willkürlich, und das Zutrauen in eine mathematisch nach streng logischen Regeln ermittelten Prüfungsplanung ist mindestens in Industrieunternehmen nicht ausgeprägt; sie wird häufig durch das „Bauchgefühl“ des letztlich verantwortlichen Revisionsleiters ersetzt. Da muss man hoffen, dass der Bauch des Chefs auch etwas taugt. Aber abgesehen von diesen Problemen bei der jährlichen Revisionsplanung darf es nicht zu Restriktionen kommen. Wie bereits oben gesagt: Die Revision muss überall prüfen dürfen und somit muss sie auch bei der Erstellung ihres Revisionsplans frei sein, alle Bereiche und Funktionen aufzunehmen – selbst wenn lediglich der Bauch des Revisionsleiters Basis für die Aufnahme in den Prüfplan ist. Was für die Prüfungsplanung gilt, ist auch selbstverständlich für die Prüfungsdurchführung. Einflussnahmen auf die Prüfer dürfen nur durch deren disziplinarische und fachliche Vorgesetzte erfolgen, niemand sonst ist das Recht einzuräumen, die Prüfer in ihrer Arbeit zu beeinflussen. Der Prüfungsprozess ist in vernünftig strukturierten Revisionsabteilungen so organisiert, dass die Prüfer wissen, wie sie sich vom Kick-off Meeting bis zur endgültigen Vorlage des Berichts zu verhalten haben. Aufgabenstellung, Befugnisse und Verantwortlichkeit der Internen Revision sind in einer Richtlinie schriftlich festgelegt. Ein Handbuch beschreibt für den Revisor detailliert, wie der Revisionsprozess abzulaufen hat. Die Richtlinie ist von der Unternehmensführung genehmigt und im Unternehmen bekannt gemacht worden. Der Leiter der Revision muss regelmäßig die Angemessenheit dieser Arbeitsrichtlinien beurteilen und das Ergebnis der Unternehmensführung mitteilen. Selbstverständlichkeiten – sollte man meinen. ■

40

41

42

Ausgesuchte besondere Aspekte der Revisionsarbeit

Organisatorischer Status der Internen Revision Aus dem vorher Gesagten folgen unmittelbar Anforderungen an den organisatorischen Status der Internen Revision: Sie muss – ob als Abteilung oder als eigenständige Gesellschaft innerhalb eines Konzerns – direkt einer Person unterstellt sein, die die Revision als modernes unternehmerisches Führungsinstrument begreift und nutzt, die Revision entsprechend einsetzt, die Prüfungsberichte beachtet, die Kraft hat, der Umsetzung der Prüfungsempfehlungen Vorschub zu leisten und die Unabhängigkeit der Internen Revision stärkt. Dies ist im Regelfall der Vorstandsvorsitzende oder der Vorsitzende der Geschäftsführung. Der Leiter der Revision muss für die Erfüllung seiner Aufgaben einen „guten Draht“ zu dieser Person haben. Das heißt vor allem, dass der Revisionsleiter das Vertrauen der Unternehmensführung genießt. Formal muss er eingebunden sein in den Informationsaustausch im Unternehmen und Teilnehmer sein an wichtigen Sitzungen der Unternehmensführung. Es wäre zudem für die Gewährleistung der Unabhängigkeit des Revisionsleiters zu diskutieren, ob es zur Ernennung und Entlassung des Leiters der Internen Revision formal nicht der Zustimmung der Aufsichtsgremien bedürfen sollte. Letztlich aber sind Objektivität und Unabhängigkeit geistige Haltungen, die sich nicht verordnen lassen, sondern sich in der Persönlichkeit des Leiters der Revision manifestieren und durch ihn auf seine Mitarbeiter ausstrahlen. Es darf keine faulen Kompromisse geben hinsichtlich der Beurteilung von Sachverhalten und der Qualität der Revisionsarbeit. Die Unternehmensführung muss der Revision den Rücken freihalten. Nur dann wird die Revision der Unternehmensführung Prüfungs-, Analyse- und Bewertungsinstrument innerhalb des internen Überwachungssystems sein – und dieses Instrument benötigt die Unternehmensführung, insbesondere in einer Welt, von der Graucho Marx sagt: „The key to success in business is honesty and fair dealing. If you can fake that, you’ve got it made.“ 174

C.

C.

4

Der Revisor als Change Agent?

Der Revisor als Change Agent?

Der Internen Revision werden in der revisorischen Selbstbespiegelung zunehmend und auch von prominenter Stelle Beraterleistungen als Aufgabenfeld zugedacht, das neben den klassischen Überwachungsfunktion wahrzunehmen sei.19 Daraus wird gefolgert, der Interne Revisor könne auch Change Agent des Unternehmens sein.20 Früher war die Welt noch in Ordnung: Der Revisor war auf der Pirsch, er schaute rückwärts, kehrte die Ecken aus, fand die Schwachstellen und Mängel, schrieb seinen Bericht und zog wieder davon, auf zur nächsten Prüfung. Ganz klassisch geprägt war das Bild der Revision im Unternehmen: Es wurde ermittelt, analysiert, untersucht und der Unternehmensleitung die Ergebnisse in Form eines Berichtes präsentiert. Heute greifen in diese heile Welt der Revisoren zunehmend Professoren, Standardsetzer, Institute oder gar die Unternehmensleitungen ein und konfrontieren die Revision mit verrückten Gedanken: Die Revision möge sich doch bitte – entgegen ihres richtungweisenden Namens – nicht immer nur nach hinten orientieren, sondern auch nach vorn, so wie das die geschätzten Kollegen der Beraterbranche tun. Dass der eine oder andere bei Beratern von Versagern im Dreiteiler spricht, sich beraten und verkauft fühlt und „unser effizientes Leben“ anprangert, sollte dabei aber nicht etwa stören oder belasten.21 Beratung durch die Interne Revision? War den Revisoren nicht stets gelehrt worden, dass sie prozessunabhängig sein müssten, um im Fall der Fälle neutral beurteilen zu können, was da im Rahmen von Strukturen und Prozessen im Unternehmen ab- und falsch läuft? Quasi als die erste Stunde des Ausbildungsgangs zum Revisor!? Und überhaupt: Wenn etwas schief geht bei der Beratung, wer schützt die Interne Revision dann vor dem unweigerlichen Imageverlust – also vor den Folgen ihrer Fehler? Ach, am besten sagt man als verantwortlicher Revisionsleiter gleich, dass der Revision im Rahmen von Beratungsprojekten Informationen zufallen, die zum Aufbau eines unkalkulierbaren Machtpotentials führen. Oder man beschrei(b)t andere grausame Szenarien. Auf diese Weise könnten sich die Interne Revision diese ganzen neuen Anforderungen am besten vom Halse halten. Aber BERATUNG, was heißt das eigentlich im Zusammenhang mit Interner Revision? Wie könnte eine Innovationsfunktion durch die Interne Revision wahrgenommen werden? Was ist eigentlich Change Management? Eignet sich der Revisor zum Change Agent? Und: Darf man das eigentlich alles miteinander vermengen? Beratung: Die Interne Revision kann durch einen ganzheitlichen Blick auf Strukturen und Prozesse im Unternehmen und durch eine verstärkte Fokussierung auf Fragen der Wirtschaftlichkeit, der Effizienz und Optimierung zu prüfungsnahen Beratertätigkeiten quasi zwangsläufig gelangen. Die traditionell den Prüfungsberichten anhängenden Maßnahmenkataloge sind de facto nichts anderes als Beratungsleistungen – nur leider werden diese von den Betroffenen allzu häufig eher als Maßregelungen denn als Verbesserungsvorschläge wahrgenommen. Zudem sind von der Revision im Rahmen ihrer landläufigen Prüfungstätigkeit gemachte Verbesserungsvorschläge nicht mit Weisungsrechten oder Verantwortlichkeiten verbunden. Kon19 Vgl. etwa Arthur Andersen, Prüfung auf dem Prüfstand, Studie 2002, S. 7. 20 Zur wissenschaftlichen Auseinandersetzung mit dieser Thematik siehe Kundinger, P., Die Interne Revision als Change Agent, in: ZIR 5/2006, S. 198–208. 21 Vgl. Steppan, R., Versager in Dreiteilern, Frankfurt 2003; Leif, T., beraten und verkauft, München 2006; Kurbjuweit, D., Unser effizientes Leben, Reinbek bei Hamburg 2003.

175

43

44

4

45

46

47

48

49

4

§4

50

4

51

52

53

54

55

56

Ausgesuchte besondere Aspekte der Revisionsarbeit

krete Umsetzungsschritte sind von den geprüften Stellen zu gehen. Gleichwohl könnte die Interne Revision durch die Nutzung ihres intern erworbenen Wissens dazu beitragen, dass Fehler bereits im Vorfeld vermieden werden, und Prozesse und Strukturen Anforderungen zukünftiger Prüfungen oder womöglich unternehmenseigenen Ansprüchen bereits im Ausgang entsprechen, damit durch all dies ein positiver Beitrag zur Wertschöpfung des Unternehmens durch die Interne Revision geleistet wird. Beschreitet die Revisionsabteilung diesen Weg, so besteht die Chance, das Image der Revision zu verbessern und womöglich am Ende gar die Arbeitszufriedenheit der Prüfer zu erhöhen. Reine Prüftätigkeit, die auf das Feststellen von Fehlern ausgerichtet ist, führt nicht zwangsläufig zur Vermeidung von Fehlern in der Zukunft. Das aber müsste das Ziel der Arbeit einer Internen Revision sein. Entsprechend einer Erkenntnis Sören Kierkegaards, wonach das Leben nur in der Schau nach rückwärts verstanden werden kann, aber nur in der Schau nach vorwärts gelebt. Folgt aus alldem, dass die Interne Revision sich auch mit Beraterleistungen auseinandersetzen muss, so bleibt aber die Frage, ob der Prüfer tatsächlich so etwas wie ein Change Agent im Unternehmen sein kann. Zunächst: Was ist eigentlich Change Management? Nach einer gängigen Definition ein bewusster Steuerungsprozess, der die Veränderungen in einer Organisation auf formaler Ebene (Aufbauorganisation) und auf der Prozessebene initiiert und steuert. Insbesondere in der heutigen Zeit sind gut gemanagte Veränderungsprozesse der Stellhebel für den Erfolg von Unternehmen. Ob es Krisen sind, die bewältigt werden müssen, Fusionen bei denen verschiedene Kulturen zusammenwachsen müssen oder Veränderungen der Strukturen und Abläufe. Die Organisationen und somit auch das Management und die Mitarbeiter sehen sich ständig einem veränderten Umfeld gegenüber. Nur wer es schafft, diese Veränderungen professionell zu managen und den laufenden Betrieb so wenig wie möglich zu belasten, wird in Zukunft erfolgreich sein. Gegenwärtig sieht die Wirklichkeit in deutschen Unternehmen doch eher so aus: Die Dauerrede von und über Veränderungen dient als Ersatzhandlung. Was eigentlich zu tun wäre, wird erstickt im planwirtschaftlichen Korsett und im konfektionierten Managementalltag deutscher Unternehmen. Der konsenssozialisierte Mitarbeiter atmet durch: Es ist noch immer gut gegangen und die Chefs erliegen am Ende doch der Versuchung des Unkonkreten. Auch wenn inzwischen ein deutlicher Erfahrungszuwachs aus der Praxis heraus die Kompetenz zum Change Management gefördert hat, scheitern Studien zufolge bis zu 70% aller Changeprojekte. Und dann der Revisor als Change Agent? Google findet unter dem Stichwort Change Agent mehr als 100.000 Einträge. Stephen P. Robbins bezeichnet Change Agents als „Persons who act as catalyst and assume the responsibility for managing change activities“.22 Der Change Agent ist Antreiber des Wandels, Lösungsgeber, Prozesshelfer und Ressourcenkoordinator. Ein Mann für alle Fälle. Sind das die Revisoren, die wir kennen? Oder erinnern diese nicht mehr an den Alten aus Asterix’ gallischem Dorf, der meinte: „Ich habe nichts gegen Fremde. Einige Fremde sind meine besten Freunde. Aber diese Fremden sind nicht von hier.“23 Ein Change Agent aber muss Erneuerer sein und den Wandel betreiben. Die Veränderungen im Unternehmen, seien sie organisatorischer, technischer oder persönlicher Natur, werden vom 22 Zit. n. Robbins, S., Organizational Behavior, Upper Saddle River, New Jersey 2005, S. 551. 23 Zit. n. Hofstede, G., Hofstede, G. J.; Culture and Organizations, New York 2005, Seite XI.: „In Asterix, a famous French cartoon, the oldest villager expresses his dislike of visiting foreigners as follows: I don’t have anything against foreigners. Some of my best friends are foreigners. But these foreigners are not from here!“

176

C.

4

Der Revisor als Change Agent?

Change Agent bewirkt, begleitet und umgesetzt. Maßnahmen werden durch den Change Agent nicht nur empfohlen, er sichert auch die Nachhaltigkeit von Entscheidungen und deren Umsetzung ab. Darüber hinaus liegt ein Schwerpunkt des Wirkens eines Change Agents auf der psychosozialen Ebene. Das heißt, dass der Change Agent die von Veränderungsprozessen betroffenen Mitarbeiter „mitnimmt“. Die Widerstände gegen Veränderungen werden durch den Change Agent mit dem Ziel bearbeitet, Identifikation zu bewirken, den Mitarbeitern Zuversicht in ihre eigenen Fähigkeiten zu geben und sie zum Teil des Veränderungsprozesses zu machen. Der Change Agent kommt in den für das Change Management relevanten Bereichen, wie Konfliktmanagement, Projektmanagement, Coaching oder Kommunikationstechniken zum Einsatz, ist dafür geschult und ist ausschließlich für Veränderungsvorhaben zuständig. Es fällt den Verfassern tatsächlich schwer, die ihnen bekannten Revisoren in diesen Beschreibungen wieder zu erkennen – und es scheint ihnen auch nicht die Aufgabe der Revision zu sein, so zu agieren. Für Innovationen und Einführungsstrategien in einem Unternehmen ist die Interne Revision nicht zuständig. Sie beschreibt sicherlich Verbesserungsbedarfe, gegebenenfalls werden Vorschläge gemacht, um die anvisierten Verbesserungen auch erreichen zu können; und ähnlich wie der Change Agent ist der Revisor nicht Bestandteil des Sozialen Systems, das er untersucht. Aber ganz sicher beeinflusst der Revisor nicht die Diffusion einer Innovation im Unternehmen. Mit anderen Worten: Es gibt tatsächlich Berührungspunkte zwischen Revisoren und Change Agents, mehr jedoch nicht. Die Annahme, der Revisor sei Change Agent im Unternehmen oder sollte als ein solcher etabliert werden, entspringt vermutlich dem Wunschdenken mancher Revisionsleiter und -theoretiker, die sich nicht mit dem Gedanken anfreunden können, dass es die Hauptaufgabe der Revision ist, die Geschehnisse im Unternehmen zu überwachen und das Vermögen zu sichern. Die Interne Revision ist Bestandteil des Überwachungssystems im Unternehmen, Beraterleistungen sind aber eher ein Nebenprodukt ihrer Arbeiten – fast ist man geneigt von Selbstverständlichkeiten zu reden, die nunmehr in neue Kleider gepackt werden sollen. Dazu wiederum lässt sich mit Seneca festhalten, dass „schon viele hätten zur Weisheit gelangen können, hätten sie nicht geglaubt, sie wären schon am Ziel, hätten sie nicht manches vor sich selbst verheimlicht, wären sie nicht über manches mit offenen Augen hinweggegangen. Wir gehen nämlich weniger durch fremde Schmeichelei zugrunde als durch unsere eigene.“24 Was wirkliches Change Management ist und wie ein wirklicher Change Agent agiert, lässt sich übrigens sehr genau beobachten in dem Dokumentarfilm „Rhythm is it“ der beiden Regisseure Thomas Grube und Enrique Sánchez Lansch. 250 Berliner Kinder und Jugendliche aus 25 Nationen tanzen Strawinskys Le Sacre du Printemps, choreographiert von Royston Maldoom und begleitet von den Berliner Philharmonikern: Das erste große Education-Projekt des Orchesters mit seinem Chefdirigenten Sir Simon Rattl, dessen Wahlspruch lautet: „Wohin auch immer dein Weg führt, versprich mir, dass du nie ankommst“. Die Kinder und Jugendlichen kommen zum Teil aus schwierigen sozialen Verhältnissen und sie fit zu machen für den großen Auftritt, ist eine riesige Herausforderung, ein echtes Change-Projekt. Aber am Ende steht der Erfolg der Aufführung. Was im Rahmen dieses Projekts passiert, kann man mit einem Kommentar Royston Maldooms über die überraschende Stärke der Kids in einem Moment des Erstaunen zusammenfassen: „It’s fucking unbelievable“ Recht hat er!

24 Seneca, Handbuch des glücklichen Lebens, übersetzt von Heinz Berthold, Köln 2005, S. 173.

177

4 57

58

59

60

4

§4

61

4

62

Ausgesuchte besondere Aspekte der Revisionsarbeit

D.

Der Revisor als „Übermensch“?

I.

Das Berufsbild des Revisors

Unter einem Berufsbild versteht man die systematische Übersicht und Darstellung aller spezifischen Merkmale eines bestimmten Berufs. Insbesondere sein Aufgabenfeld, das Ausbildungswesen, die individuellen Anforderungen an den einzelnen „Berufsträger“ und seine Position werden charakterisiert. Auch die Stellung des Berufsstandes insgesamt und sein Ansehen im sozialen Gesamtgefüge werden maßgeblich durch das Berufsbild mitbestimmt. Für den Internen Revisor in Deutschland gibt es kein offiziell anerkanntes Berufsbild. Das wird, so scheint es zuweilen, innerhalb der organisierten Revision als Manko empfunden. Man wagt den vielleicht manchmal etwas eifersüchtigen Blick über den Zaun zum Nachbarn: Wie läuft es bei den anderen, beim Controlling oder bei den Externen, wie z.B. den Wirtschaftsprüfern und den vereidigten Buchprüfern? Und um möglicherweise vorhandene Minderwertigkeitskomplexe abzubauen, werden eifrige Kompensationsbemühungen unternommen. Diese reichen von dem Versuch einer manchmal etwas gekünstelt wirkenden Verwissenschaftlichung der Arbeit der Internen Revision bis hin zur Schaffung von Standesrichtlinien. Denn jeder Berufsstand, der etwas auf sich hält, gibt sich Standesrichtlinien und allgemeine Grundsätze. Niemand ist prädestinierter dafür als die Berufsverbände, denn dafür sind sie ja da. In berufssoziologischer Sicht dient das u.a. der Herausbildung eines Zusammengehörigkeitsgefühls der einzelnen Berufsträger dieser Gattung. Beruf soll kollektiv als „Berufung“ verstanden und gelebt werden. Für den einzelnen Berufsträger ist in der modernen Leistungsgesellschaft die Berufsposition zum zentralen Bestimmungsgrund seiner sozialen Schichtzugehörigkeit und seiner Lebenschancen geworden.25 Auch im Bereich der Internen Revision ist man daher um die Ausbildung eines solchen kollektiven Berufsgefühls bemüht – gerade auch deswegen, weil es kein „offizielles“ Berufsbild gibt. Und das ist grundsätzlich gut so – meinen auch die Verfasser. Was da so alles unternommen wird, hat aber auch seine Schattenseiten. Neben einigen u.E. überspannten Anforderungen an die Adresse der Mitarbeiter (siehe dazu weiter unten) ist eine Folge davon ein wahrer Titel-Popanz. Gegenwärtig werden wir in Deutschland im Bereich der Internen Revision nach dem Funktionsprinzip eines schier unermüdlich tätigen deus ex machina mit einer wahren Flut von Titeln mit dranhängenden Zusatzqualifikationen überschwemmt. CIA, CISA, CFA, CPA, CFE, CGAP etc. sind Titel, die größtenteils in Amerika erfunden werden und als Exportschlager den deutschen Markt erobern. Neuerdings wurde auch noch der „QA-Assessor“ geschaffen. Dahinter verbirgt sich die Bezeichnung für die Zusatzqualifikation zur Durchführung einer externen Qualitätsüberwachung, eines sog. Quality Assessments („QA“). Es handelt sich um eine Art von Institutionalisierung des sog. peer-to-peer Reviews, die von der Projektgruppe Quality Assessment des IIR angeboten wird.26 Die Seminare dazu fanden erstmals im November 2005 statt. Nach erfolgreicher Seminarteilnahme hat man die Möglichkeit, sich als QA-Assessor beim IIR registrieren zu lassen. Zur Aufrechterhaltung der Registrierung ist die Teilnahme an einem jährlichen Erfahrungsaustausch mit anderen Assessoren Pflicht.27 Interessierte Unternehmen, die 25 Karl-Heinz Hillmann, Wörterbuch der Soziologie, 4. Aufl., Stuttgart 1994, S. 85 unter dem Stichwort „Beruf “. 26 Vgl. dazu näher Lutz Cauers/Max Häge, Die Interne Revision auf dem Prüfstand durch ein Quality Assessment, in: DB 2007, S. 1477. 27 Also ein bis zwei Tage weiteren Tagungstourismus (ohne die Vor- und Nachbereitung), die die teilnehmenden Revisoren ihren Unternehmen für die Erledigung der eigentlichen Arbeit fehlen.

178

D.

4

Der Revisor als „Übermensch“?

ein QA planen, können das Verzeichnis der QA-Assessoren einsehen. Die Zukunft wird zeigen, ob sich diese Neuerung durchsetzen wird und welche neuen Titel noch erfunden werden.

II.

Das Anforderungsprofil an einen Revisor

Zum Anforderungsprofil an einen Revisor präsentiert das IIR Grundsätze zur Berufsethik, die nachfolgend auszugsweise wiedergegeben werden:28

63

Kodex der Berufsethik (nachstehend Berufsethik genannt) Zweck dieser Berufsethik ist die Förderung einer von ethischen Grundsätzen geprägten Kultur im Berufsstand der Internen Revision. Eine Berufsethik ist notwendig und zweckmäßig für den Berufsstand der Internen Revision, damit das Vertrauen in ihre objektive Prüfung des Risikomanagements, der Kontrollen sowie der Unternehmensführung und -überwachung begründet werden kann. Die Berufsethik geht mit zwei wesentlichen Bestandteilen über die Definition der Internen Revision hinaus: 1. Grundsätze, die den Berufsstand und die Prüfungspraxis der Internen Revision betreffen. 2. Regeln, die beschreiben, wie sich Interne Revisoren verhalten sollen. Diese Regeln sollen helfen, die Grundsätze in die Praxis umzusetzen und sind dazu bestimmt, für die Internen Revisoren ein Wegweiser für ethisches Verhalten zu sein. Die Berufsethik in Verbindung mit den Standards für die berufliche Praxis und anderen entsprechenden Verlautbarungen des Instituts dienen als Anleitung für die Internen Revisoren bei ihrer Tätigkeit für Andere. Als „Interne Revisoren“ gelten die Mitglieder des Instituts, die Inhaber von oder Kandidaten/Kandidatinnen für CIA-Zertifikate und Andere, die Dienstleistungen entsprechend der Definition der Internen Revision erbringen. ... Bei Mitgliedern des Instituts und Inhabern von oder Kandidaten/Kandidatinnen für CIA-Bestätigungen werden Verstöße gegen die Berufsethik entsprechend den Satzungen des Instituts und den Verwaltungsvorschriften beurteilt und behandelt. Die Tatsache, dass ein spezielles Verhalten in den Verhaltensregeln nicht erwähnt wird, ist kein Hinderungsgrund, dieses trotzdem als nicht akzeptabel oder standeswidrig zu betrachten. Gegen den genannten Personenkreis kann deshalb dennoch ein Disziplinarverfahren eingeleitet werden.

64

Grundsätze Von Internen Revisoren wird erwartet, dass sie folgende Grundsätze anwenden und aufrechterhalten Rechtschaffenheit: Die Rechtschaffenheit von Internen Revisoren begründet Vertrauen und schafft damit die Grundlage für die Zuverlässigkeit ihres Urteils. Objektivität: Interne Revisoren zeigen ein Höchstmaß an sachverständiger Objektivität beim Zusammenführen, Bewerten und Weitergeben von Informationen über geprüfte Aktivitäten oder Geschäftsprozesse. Interne Revisoren beurteilen alle relevanten Umstände mit Ausgewogenheit und lassen sich in ihrem Urteil nicht durch eigene Interessen oder durch Andere beeinflussen. Vertraulichkeit: Interne Revisoren beachten den Wert und das Eigentum der erhaltenen Informationen und legen diese ohne entsprechende Befugnis nicht offen, es sei denn, es bestehen dazu rechtliche oder berufliche Verpflichtungen. 28 Siehe ausführlicher bei www.iir-ev.de.

179

65

66

4

4

§4

Ausgesuchte besondere Aspekte der Revisionsarbeit

Fachkompetenz: Interne Revisoren setzen das für die Durchführung ihrer Arbeit erforderliche Wissen und Können sowie entsprechende Erfahrung ein. Verhaltensregeln 1. Rechtschaffenheit Interne Revisoren: 1.1 Müssen ihre Aufgabe korrekt, sorgfältig und verantwortungsbewusst wahrnehmen. 1.2 Müssen die Gesetze beachten und rechtliche sowie berufliche Offenlegungspflichten erfüllen. 1.3 Dürfen nicht wissentlich in illegale Aktivitäten involviert sein oder bei Handlungen mitwirken, die den Berufsstand der Internen Revision oder ihr Unternehmen in Misskredit bringen. 1.4 Müssen die legitimen und ethischen Ziele des Unternehmens beachten und fördern. 2. Objektivität Interne Revisoren: 2.1 Dürfen nicht an Aktivitäten beteiligt sein oder Beziehungen unterhalten, die ihr unparteiisches Urteil beeinträchtigen könnten, wobei jeder Anschein zu vermeiden ist. Dies schließt auch Aktivitäten oder Beziehungen ein, die im Widerspruch zu den Interessen des Unternehmens stehen könnten. 2.2 Dürfen nichts annehmen, was ihr fachliches Urteil beeinträchtigen könnte, wobei jeder Anschein zu vermeiden ist. 2.3 Müssen alle ihnen bekannten wesentlichen Fakten offenlegen, die – falls nicht mitgeteilt – die Berichterstattung über die geprüften Aktivitäten verfälschen könnten. 3. Vertraulichkeit Interne Revisoren: 3.1. Müssen umsichtig und Interesse wahrend mit den im Verlauf ihrer Tätigkeit erhaltenen Informationen umgehen. 3.2. Dürfen Informationen nicht zu ihrem persönlichen Vorteil oder in einer Weise verwenden, die ungesetzlich ist bzw. den legitimen und ethischen Zielen des Unternehmens schadet. 4. Fachkompetenz Interne Revisoren: 4.1. Dürfen nur solche Aufgaben übernehmen, für die sie das erforderliche Wissen, Können und die entsprechende Erfahrung haben. 4.2. Müssen die Revisionsarbeit in Übereinstimmung mit den Standards für die berufliche Praxis der Internen Revision durchführen. 4.3. Müssen ständig ihre Fachkenntnisse sowie die Effektivität und Qualität ihrer Arbeit verbessern.

4

III. 67

Der Revisor mit Spezialausbildung: Das CIA-Examen

Seit geraumer Zeit (1998) ist es auch in Deutschland möglich, durch Teilnahme an einer entsprechenden Prüfung den Titel eines Certified Internal Auditors (CIA) zu erwerben. Speziell diese Ausbildung und der Erwerb dieses Titels wird vom Berufsverband IIR besonders propagiert. Im Rahmen der beruflichen Weiterbildung soll diese Ausbildung weltweit als Qualitätsmerkmal für den Berufsstand gelten. Es wird davon ausgegangen, dass zumindest auf der fachlichen Seite des Anforderungsprofils an den Internen Revisor der CIA ein maßgeblicher Schrittmacher sei, der das Berufsbild auch in Deutschland maßgeblich mitbestimmt und in Zukunft verstärkt mitbestimmen

180

D.

wird. Verlautbarungen des IIR zufolge gab es 2006 in Deutschland 742 CIAs.29 Der CIA stammt aus den USA, er wurde vom IIA kreiert und dort 1974 eingeführt. Teilnahmebedingungen sind ein Studium oder eine vergleichbare Ausbildung sowie Berufserfahrung. Die Prüfungsvorbereitung kann über die Teilnahme an entsprechenden Vorbereitungskursen oder im Selbststudium in verschiedenen Sprachen (incl. der Möglichkeit der Durchführung eines computergestützten Trainings) erfolgen. Die Anmeldung zur Prüfung erfolgt unter Mitwirkung einer Referenzperson und durch Verwendung eines Formulars, das beim IIR erhältlich ist. Es werden anspruchsvolle Zulassungsvoraussetzungen statuiert: „Erfolgreiche Absolventen stellen neben branchenspezifischen Kenntnissen, Erfahrungen und Engagement auch ihre professionelle Berufsauffassung und ihre charakterliche Eignung für die Tätigkeit als Interner Revisor unter Beweis“.30 Die Zulassungsvoraussetzungen postulieren auch entsprechende Anforderungen im privaten Bereich, was im Übrigen auch schon für den „normalen“ Revisor gilt.31 Die Prüfung wird weltweit zweimal im Jahr vom IIA und den angeschlossenen nationalen Verbänden, in Deutschland dem IIR abgenommen. Das Examen wird in vier Teilen absolviert, die Prüfungsfragen in englischer Sprache werden im Multiple-Choice-Verfahren abgehandelt. Um sich nach dem bestandenen Examen den Titel zu erhalten, werden die CIAs zur Anerkennung und Einhaltung der IIA/IIR-Standards und zur Befolgung des IIA Code of Ethics sowie zur kontinuierlichen Weiterbildung verpflichtet – „Würde bringt Bürde!“ (Hans-Ulrich Pfyffer). Die Meldung der geleisteten Weiterbildung ist im Rahmen des Continuous Education Programme (CPE) mit besonderem Meldeformular im zweijährigen Turnus zu melden. Eine verspätete Abgabe hat zur Folge, dass der Titel als CIA nicht mehr geführt werden darf, bis die Meldung erfolgt ist.32 Mit Erwerb des CIA-Titels sind die Inhaber auch berechtigt, den „Red Ribbon“ zu tragen.33 Der ist nicht zu verwechseln mit dem „Blue Ribbon“, einer Biermarke, die bekanntlich ebenfalls aus Nordamerika zu uns gekommen ist. Da der CIA weltweit als Qualitätsmerkmal für den Berufsstand gelten soll, symbolisiert diese Ausbildung gleichsam – um im Bild zu bleiben – ein Premium-Pils mit Qualitätsstandard à la USA. Offenbar ist der deutsche Revisions-Michel gerne und zunehmend bereit, darüber die Vorzüge des deutschen Reinheitsgebots zu vergessen. Ob man sich da wirklich beherzt zuprosten kann, soll im nächsten Kapitel etwas näher beleuchtet werden.

IV.

4

Der Revisor als „Übermensch“?

4

68

Die Wirklichkeit

Stetige Qualitätsverbesserung ist ein Muss in der heutigen Arbeitswelt. Dies gilt auch für die Interne Revision und für das Rekrutieren ihrer Mitarbeiter. Das Postulieren von Anforderungsprofilen ist daher grundsätzlich notwendig. Dabei zu überziehen kann aber zu einer Zuordnung in die Kategorie „Das Maximale fordern, um das Minimum zu erreichen“ (Minimax-Strategie) führen. Und das geht dann sogar in die Richtung von „Das Unmögliche fordern, um das Mögliche zu erreichen“, was unglaubwürdig ist und sich kontraproduktiv auswirken kann. 29 Vgl. Klaus Haas, Informationen zum CIA-Examen Mai 2006 und der CIA-Tagung 2006, in: ZIR 2006, 221. 30 Vgl. IIR-Broschüre „Interne Revision als Instrument der Unternehmensführung“, von Juilf-Helmer Eckhard et al., 2002, Anlage 2 (Seite 16 der Broschüre). 31 Siehe Rolf Hofmann, Prüfungshandbuch, 3. Aufl., Berlin 2000, S. 143 f.: „Berufsangehörige dürfen keinen, mit der Aufgabenerfüllung unvereinbaren, anderen Tätigkeiten nachgehen. Selbstverständlich ist, dass sie in geordneten privaten und finanziellen Verhältnissen leben.“ 32 Vgl. näher zum Verfahren bei www.iir-ev.de. 33 Dass das Tragen dieses roten Stoffabzeichens vermutlich eher amerikanischen Gepflogenheiten entspricht und bei uns eher zum Schmunzeln anregt, erwähnt Hans-Ulrich Pfyffer in seinem Aufsatz „CIA (Certified Internal Auditor) – der „diplomierte“ Interne Revisior“, in: Der Schweizer Treuhänder 12/99, S. 1173.

181

69

4

§4 70

4

71

Ausgesuchte besondere Aspekte der Revisionsarbeit

Betrachtet man nämlich die dargestellten fachlichen Herausforderungen an einen Revisor und nimmt dazu die persönlichen Anforderungen wie räumliche Mobilität (u.U. mit weltweiter Einsatzfähigkeit), persönliches Engagement, Eigeninitiative, analytische Fähigkeiten, Kooperationsbereitschaft, Teamfähigkeit, Präsentationsgeschick, Durchsetzungsvermögen, allgemein überzeugende Persönlichkeit, Überzeugungskraft, Flexibilität, psychische Stabilität, Toleranz etc. pp.,34 dann kann es sich bei einem Prüfer nur um einen High Potential handeln, einen Top Performer, die omnipräsente Allzweckwaffe – eigentlich für jedes Unternehmen unbezahlbar.35 Und – das sei nicht nur nebenbei bemerkt – es würde sich um jemand handeln, der sofort (und nicht erst später, nach Durchlaufen der „Kaderschmiede Interne Revision“) für wichtigere und höherwertigere Aufgaben als bei der Internen Revision vorgesehen werden sollte. Kurzum – es kann hier nicht besser formuliert werden, wie es in der Literatur bereits festgestellt wurde: Der Revisor muss anhand den von den Verbänden aufgestellten Anforderungsprofilen ein Wesen sein, das „kaum von dieser Welt sein kann.“36 Deshalb ist er auch wohl in der betrieblichen Realität kaum anzutreffen.37 Der Revisor ist aber kein Übermensch – und er wird es auch nicht durch irreale Anforderungsprofile. Was man in der Internen Revision antrifft, entspricht dem üblichen Muster, das man auch in anderen Abteilungen vorfindet. Sascha Lehnartz berichtet in seinem Buch Global Players, dass mindestens die Hälfte der Menschen, die er kenne, eigentlich unterpotent, stur, unbeweglich und träge sei, und die andere knappe Hälfte sich nur bewege, wenn sie unbedingt müsse, zum Beispiel beim Betriebssport oder am Vatertag.38 Warum soll das bei der Internen Revision anders sein? Da gibt es gute Mitarbeiter, Durchschnitt und auch weniger Gute. Natürlich soll und darf man sich damit nicht zufrieden geben. Die aufgelegten Programme haben es aber bisher offenbar nicht vermocht, die weniger Guten, die – Pisa ist überall! – z.B. durch mangelnde Orthographiekenntnisse auffallen (Der Revisionsbericht als Visitenkarte – da hat sich im Übrigen auch schon so mancher CIA nicht mit Ruhm bekleckert.), zu erreichen. Das hat eben dann vielleicht damit zu tun, weil man mit zu hohen Ansprüchen an das Thema herangegangen ist. Also, es gilt das Motto: „Weniger ist Mehr.“ Getoppt wird der überzogene fachliche Ansatz dann noch durch Ansprüche an das Charakterliche, was vor allem beim CIA ins Auge sticht. Neben dieser Abkürzung, über die jeder Witz in Revisionskreisen schon dreimal gemacht worden ist und die Außenstehende eher erschreckt als Vertrauen weckt, muss zunächst sicher gefragt werden, welchen fachlichen Nutzen diese Weiterbildungsmaßnahme dem Revisor und der Revisionsabteilung bzw. dem Unternehmen als Ganzes bringt. Angesichts des damit verbundenen Aufwands sind die Verfasser eher zurückhaltend. Für einen „hoffnungsvollen“ und geeigneten Anfänger als Mitarbeiter der Internen Revision jedenfalls kann sich diese Ausbildung eignen. Hier wird man sie noch am ehesten als sinnvolle Investition in seine berufliche Zukunft (sofern diese nicht schon bald wieder außerhalb der Revision fortgesetzt 34 Vgl. etwa den Tugendkatalog bei Elmar Schwager, Der Interne Revisor, in: DB 2000, S. 2337, 2338 f. 35 Dieses Anforderungsprofil hat eine Projektgruppe des IIR entwickelt, wird also keineswegs als so abwegig empfunden, wie man meinen müsste. Vgl. Konzept zur Gewinnung und Qualifizierung von Mitarbeitern für die Interne Revision, Deutsches Institut für Interne Revision (Hrsg.), Frankfurt 2002. Fast ist man geneigt, auf Jane Austens Stolz und Vorurteil zu verweisen, wo die erfolgreiche Führung des großen Anwesens der Pemberleys nur gelingt, weil für die Ställe, Felder, Gärten, Küchen, Gästezimmer und Unterkünfte ein Dutzend von Experten mit präzisen Aufgabenbeschreibungen bestellt ist. 36 Sebastian Hakelmacher, ZIR 2001, 1, 3. Hakelmacher, ebd., dazu weiter: „Die Grundsätze des Deutschen Instituts für Interne Revision stellen auf... engelgleiche Prüfer ab. Sie fordern, dass diese ‚bei der Ausübung ihres Berufes immer nach einem hohen Niveau an Kompetenz, Moral und Würde streben‘. Wo soll das enden?“ 37 Das meint wohl auch Elmar Schwager, Der Interne Revisor, in: DB 2000, S. 2337, 2339: „... Die persönlichen wie auch die fachlichen Anforderungen an die Angehörigen diesen Berufsstands sind bereits jetzt hoch; dass die Realität in den Revisionsabteilungen zum Teil heute noch anders aussieht, steht dem nicht entgegen.“ 38 Lehnartz, S., Global Players – Warum wir nicht erwachsen werden, Frankfurt am Main 2005, S. 7.

182

D.

4

Der Revisor als „Übermensch“?

werden soll) und zum Nutzen des Unternehmens bewerten können. Er lernt so die Grundlagen der Profession kennen und kann sich eine Basis erarbeiten. Für den erfahreneren Revisionspraktiker allerdings, dessen stetige Bereitschaft zur Fortbildung und zum „up-to-date-halten“ vorausgesetzt, stellt sich ernsthaft die Frage, ob das mit dem CIA für ihn wirklich notwendig ist. Die Verfasser haben da so ihre Zweifel – was soll der dort noch lernen? Wertvoller für die Revision als der Erwerb des CIA ist u.E. in diesem Fall z.B. eine Zusatzausbildung in einem bestimmten Schwerpunktbereich (etwa SAP) oder der befristete Auslandseinsatz, um die dortigen spezifischen Problemlagen kennenzulernen. Im Übrigen dürfte gerade ein gestandener Revisionsmitarbeiter („Silberrücken“) charakterlich so gefestigt sein, dass er sich von einem aus Amerika kommenden Code of Ethics und anderen Bigotterien nicht wird bevormunden und belehren lassen. Und um da beim Leser keine Zweifel an der Haltung der Verfasser zu wecken: Natürlich soll sich ein Revisor mit der gebotenen Sorgfalt und mit „Anständigkeit“ seiner Aufgabe widmen. In der Art und Weise, wie das aber hier – sogar mit Auswirkung auf den privaten Bereich – gefordert wird, ist das zurückzuweisen.39 Wenn der Revisor nicht gerade unter Brücken schläft, hat das den Arbeitgeber nicht zu interessieren. Im Übrigen ist generell nicht beantwortbar, welche Konsequenzen sich bei Nichtbeachtung der Grundsätze ergeben. Es handelt sich dabei u.a. um folgende Fragen, die aus Sicht der Verfasser zum Teil schon für sich gesehen ein gehöriges Potential an Anmaßung beinhalten:40 Wird ein Revisor bei festgestellten und nachgewiesenen Verstößen verwarnt? Wird er in gravierenden Fällen aus dem IIA ausgeschlossen bzw. vom Unternehmen entlassen? Erheben das IIA oder das Unternehmen Zivilklage? Wird bei nachgewiesenen Straftaten ein Strafantrag gestellt? Haben die Berufsgrundsätze philosophische Bedeutung oder lediglich eine Alibifunktion? Schließlich und endlich – und diese ganz wichtige Frage stellt sich für die Verfasser: Wie will man einen konkreten Fall angesichts der schwammig formulierten Verhaltensregeln beurteilen? Zum Abschluss dieser Überlegungen soll noch eine sicherlich nicht repräsentative – aber u.E. doch bemerkenswerte – Einschätzung eines frischgebackenen CIA gegenüber den Verfassern geboten werden: „Es handelt sich meiner Meinung nach um eine Institution, um aus Revision eine closed shop Veranstaltung zu machen. Da wird etwas hochstilisiert, wo eigentlich gar nicht viel dahinter ist. Da soll Konkurrenz verhindert werden. Viel gelernt habe ich durch die Prüfung nicht, eigentlich brauche ich das auch nicht für meine tägliche Arbeit. Die multiple choice Fragen bei der Prüfung sind im Übrigen zum Teil gar nicht oder wenig verständlich, es ist zum Teil Glücksache, sie richtig zu beantworten. Wie auch immer – ich gehöre jetzt zu dem elitären Club dazu und habe dadurch meinen Marktwert gesteigert. Das war auch der Hauptgrund für mich, die Sache zu machen. Auch treffen sich die CIAs einmal im Jahr bei einer Veranstaltung im noblen Rahmen bei Siemens, da kann man sehr gut einen trinken, das ist auf jeden Fall etwas Besonderes.“ Es versteht sich von selbst, dass der Kollege auf die von den Verfassern gestellte Frage, ob man ihn denn namentlich im Buch zitieren kann, strikt abgelehnt hat („Dann überziehe ich Sie mit einer Klage.“). Offenbar war ihm sein Gesinnungsvergehen und die „CIA-Unwürdigkeit“ durchaus bewusst.

39 Ob da für den Revisionsmann noch eine private (Liebes-) Beziehung zu einer Mitarbeiterin (u.U. sogar ehewidrig) drin wäre? Vgl. zu diesem Beispiel des Versuchs eines Aufoktroyierens amerikanischer Wertvorstellungen in deutschen Unternehmen die Wal-Mart Entscheidung des LAG Düsseldorf, DB 2006, S. 162, 165: Privatangelegenheit, die den Arbeitgeber grundsätzlich nicht zu interessieren hat. Die von Wal-Mart eingeführte Ethikrichtlinie hatte u.a. bestimmt, dass Mitarbeiter nicht mit jemanden ausgehen oder eine Liebesbeziehung eingehen dürfen, der Einfluss auf die Arbeitsbedingungen nehmen kann oder deren Arbeitsbedingungen von der anderen Person beeinflusst werden können. 40 Vgl. die Fragenaufzählung bei Rolf Hofmann, Prüfungshandbuch, 3. Aufl., Berlin 2000, S. 149 (FN 94).

183

4

72

4

§4

73

4

74

75

Ausgesuchte besondere Aspekte der Revisionsarbeit

E.

Korruption

I.

Definition und wissenschaftliche Ansätze

Korruption (Bestechung) ist ein Teil der Wirtschaftskriminalität. Unter Wirtschaftskriminalität versteht man als Oberbegriff im allgemeinen Delikte, die im Rahmen tatsächlicher oder vorgetäuschter wirtschaftlicher Betätigungen begangen werden und die über eine Schädigung von Einzelnen hinaus das Wirtschaftsleben beeinträchtigen oder die Allgemeinheit schädigen können und/oder deren Durchführung bzw. Aufklärung besondere kaufmännische Kenntnisse erfordern.41 Darunter werden neben der Korruption die verschiedensten Erscheinungsformen bzw. Delikte subsumiert, so insbesondere Betrug, Wettbewerbsbeschränkende Absprachen bei Ausschreibungen, Subventionsbetrug, Falschbilanzierung, Geldwäsche, Steuerhinterziehung, Verletzung des Dienstgeheimnisses, Industriespionage, Produktpiraterie, Urkundenfälschung, Unterschlagung und Veruntreuung. Korruption als gar nicht so seltenes Phänomen der Wirtschaftskriminalität ist weltweit Gegenstand interdisziplinärer Forschung.42 Begriff und die Auswirkungen von Korruption werden in der Wissenschaft unter verschiedenen Blickwinkeln betrachtet: Korruption im öffentlichen Bereich ist „das Verhalten von Personen mit öffentlichen Aufgaben, die ihre Pflichten verletzen, um ungerechtfertigte Vorteile, gleich welcher Art, zu erhalten (Definition nach dem ital. Bericht für die 19. Europäische Justizministerkonferenz, La Valetta 1994). Sie ist abgeleitet aus dem bis heute allseits akzeptierten allgemeinen Erklärungsansatz des englischen Sozialwissenschaftlers Joseph J. Senturia, der den Begriff als „Missbrauch der öffentlichen Macht zu privatem Nutzen“ umschrieben hat.43 Neben diesem sozialwissenschaftlichen Ansatz findet sich eine ökonomische Sicht, die das Prinzip der Gegenleistung herausstellt. So findet bei Korruption im Allgemeinen unter Verletzung von Gesetzen und Verhaltensregeln ein Tausch („Unrechtsvereinbarung“) zwischen dem Vorteilsgeber und dem Vorteilsnehmer statt. Folglich zieht jede der Parteien einen Nutzen aus diesem korrupten Verhalten.44 Institutionenökonomisch stellt Korruption eine Verletzung des Vertrages zwischen dem Prinzipal und dem Agenten durch den bestechenden Klienten dar, die zu Lasten eines unbeteiligten Dritten bzw. sogar der Allgemeinheit geht.45 Die sozialethische Sicht sieht in dieser Vertragsverletzung einen gravierenden Vertrauensbruch, der gesellschaftlich nicht toleriert werde. Das ist dann auch der Grund, weswegen der Vorgang durch die Protagonisten vor der Öffentlichkeit verheimlicht werden muss. Der Vertrauensbruch wiege besonders schwer, wenn es um Korruption im öffentlichen Bereich geht. Denn ein öffentliches Amt werde gerade mit der Verantwortung für das Gemeinwohl gerechtfertigt und die Bevölkerung habe nur geringe Kontroll- und Abwehrmög41 Definition nach: Bundeskriminalamt (2004), Bundeslagebild Wirtschaftskriminalität, Wiesbaden, 1. Juli 2004. 42 Einen Gesamtüberblick über den internationalen Forschungsstand gibt Johann Graf Lambsdorff, Consequences and Causes of Corruption – What do we know from a Cross-Section of Countries?, Diskussionsbeitrag Nr. V-3405, Universität Passau 2005. Eine „Skizze der deutschen Forschungslandschaft zum Thema Korruption“ zeichnet Transparency International Deutschland in einer pdf-Datei mit diesem Titel, abzurufen über www.transparency. de. Einen relativ umfassenden Überblick für den Praktiker bietet das Handbuch der Korruptionsprävention für Wirtschaftsunternehmen und öffentliche Verwaltung von Dieter Dölling (Hrsg.), München 2007. 43 „... the misuse of public power for private profit.“, vgl. Senturia, Corruption, Political, in: Seligman, E. et al. (Hrsg.): Encyclopedia of the Social Sciences, Bd. 4, New York etc. 1931, S. 448–452. 44 Vgl. Winfried Bernhard, Steuerliche Maßnahmen gegen Korruption und andere illegale Verhaltensweisen im internationalen Vergleich, 1. Aufl., Münster 2004, S. 18. 45 Vgl. dazu und zu dem Folgenden: Rupert F.J. Pritzl, Korruption als ethische Herausforderung, in: Die neue Ordnung, Heft 1 1999, Tugend und Sozialprinzip, S. 1 ff. (Seitenangaben aus Ausdruck Internet).

184

E.

4

Korruption

lichkeiten. Daher werden der öffentlichen Korruption weit gravierendere negative Auswirkungen beigemessen als der privaten Korruption. Es wird davon ausgegangen, dass durch Korruption langfristig eine freiheitliche Gesellschaftsordnung zerstört, die wirtschaftliche und gesellschaftliche Entwicklung behindert und die Ungleichheit von Teilen der Bevölkerung verstärkt wird. Grundlegende gesellschaftliche Werte werden durch Korruption beeinträchtigt, weil z.B. Freiheit, Gleichheit, Sicherheit und Wohlstand in ihrer Integrität verletzt werden. Korruption ist daher asozial und undemokratisch. In allokativer Hinsicht bewirkt Korruption eine Beeinträchtigung des marktlichen Wettbewerbs sowie eine Behinderung von Innovationen und Investitionen. Marktliche Leistung ist infolge von Korruption oft nicht mehr erforderlich, reell kalkulierende Anbieter werden benachteiligt, unproduktive Anbieter können sich im Markt halten und etablieren.46 Das kann zu einer Fehlallokation von volkswirtschaftlichen Ressourcen, zu einer Beeinträchtigung des wirtschaftlichen Wachstums und letzen Endes zu einer Herausbildung einer unproduktiven „Rentiermentalität“ führen.47 Der rechtliche Ansatz zu Korruption greift wesentliche der vorstehend skizzierten Aspekte auf. Während sich der Gesetzgeber beim Steuerrecht eine unverständliche Behandlung des Themas leistet,48 finden sich Reaktionsmechanismen im strafrechtlichen Bereich. Niederschlag im deutschen Strafrecht hat die öffentliche Form von Korruption in den §§ 331 ff. StGB (Amtsdelikte – Bestechung und Bestechlichkeit, Vorteilsnahme) gefunden. Im privatrechtlichen Verkehr, auf den in den nachfolgenden Betrachtungen der Fokus gelegt wird, sind neben § 266 (Untreue) und § 263 StGB (Betrug) vor allem die §§ 299 f. StGB im Blickpunkt. Hier geht es um „Bestechung im geschäftlichen Verkehr“. Unter Strafe gestellt wird u.a. eine „... Vereinbarung einer unlauteren Bevorzugung bei dem Bezug von Waren oder gewerblichen Leistungen als Gegenleistung für den Vorteil für sich oder einen Dritten...“ (§ 299 Abs. 1 StGB). Nach § 299 Abs. 3 StGB gelten seine Absätze 1 und 2 auch für Handlungen im ausländischen Wettbewerb. Rechtsgut der Vorschrift ist der freie Wettbewerb, das heißt, die Freiheit der Marktkonkurrenz von unlauteren, nicht offenbarten Einflüssen, die das Austauschverhältnis von Waren und Leistungen einseitig zugunsten eines Beteiligten verzerren. Dahinter steht als sog. offenes Rechtsgut letztlich die bereits oben angesprochene marktwirtschaftliche Gesellschaftsordnung als Ganzes, für die das Funktionieren des auf dem Leistungsprinzip beruhenden Wettbewerbs und das Bewusstsein der Bevölkerung von der Rationalität und Öffentlichkeit des Marktes konstituierend ist.49 Mittelbar geschützt werden aber auch die Vermögensinteressen des Geschäftsherren und der Wettbewerber, wenngleich es nicht unbedingt zu einem Vermögensnachteil beim Geschäftsherren gekommen sein muss. Die Tat nach § 299 StGB wird in der Juristensprache als ein „abstraktes Gefährdungsdelikt“ bezeichnet. Es basiert auf einem Täuschungselement zu Lasten Dritter, wobei es auf den konkreten Eintritt eines Vermögensvorteils beim Täter nicht ankommt.50 § 299 StGB ist im Übrigen sogar darauf angelegt, Vorteile des Betriebes, für den der Täter handelt, zu erfassen. Der Betrieb als Geschäftsherr kann also auch Dritter im Sinne der Vorschrift sein, auf eine Eigennützigkeit des Täters kommt es also nicht an. Der Mitarbeiter als Täter wird demnach auch mit Strafe bedroht, wenn er es „gut meinte“ mit seinem Unternehmen und ausschließlich ihm den Vorteil verschaffen 46 Darf man nun etwa angesichts des Siemens-Korruptionsskandals sagen, das trifft auch auf den (noch immer) renommierten deutschen Weltkonzern, zumindest mit Bezug auf Teilsparten, zu? Der deutsche „Wirtschaftspatriot“, getragen vom kollektiven „Wir sind wieder wer“, ist irritiert und verunsichert. 47 Rupert F.J. Pritzl, ebd., S. 3. Immerhin wird aus wohlfahrtstheoretischer Sicht darauf hingewiesen, dass Korruption unter bestimmten Bedingungen auch zu effizienteren Allokationen führen kann. 48 Das Steuerrecht enthält insoweit Lücken, die wenig einleuchten. Nur Einkünfte aus Leistungen sind steuerpflichtig. Wer sich also ohne Gegenleistung schmieren läßt, genießt Steuer- und Straffreiheit. 49 So Tröndle/Fischer, Strafgesetzbuch-Komm., 51. Aufl. München 2003, Vorbem. zu § 298 Rn. 6. 50 Tröndle/Fischer, Strafgesetzbuch-Komm., 51. Aufl. München 2003, § 299 Rn. 2, 18.

185

76

77

4

4

§4

Ausgesuchte besondere Aspekte der Revisionsarbeit

wollte.51 Auf diesen Punkt wird im weiteren Verlauf der Betrachtung zurückzukommen sein. Weitere einschlägige Vorschriften, die bei Korruptionsfällen zur Anwendung kommen können, sind die §§ 73 StGB und 30, 130 OWiG. Nach § 73 StGB kann ein Gericht für den Fall, dass jemand aus einer Straftat „etwas erlangt“ hat, dieses Erlangte für verfallen erklären, sodass es an den Staat herauszugeben ist. Das kann dazu führen, dass der Gewinn aus einem „geschmierten Geschäft“ vom Unternehmen abzugeben ist. Nach § 30 OWiG kann auch eine Geldbuße gegen das Unternehmen selbst verhängt werden, wenn die Geschäftsleitung des Unternehmens ihre Aufsichtspflichten i.S. von § 130 OWiG verletzt hat. Zu diesen Pflichten gehört u.a., dass das Unternehmen dem einzelnen Mitarbeiter jederzeit die Information darüber ermöglichen muss, ob das von ihm geplante oder ihm angesonnene Verhalten etwa strafrechtliche Grenzgebiete überschreitet.

4

II. 78

79

Zahlen, Daten und Fakten

Zum Redaktionsschluss dieses Buches relativ aktuell sind die Zahlen, die sich aus der Studie „Wirtschaftskriminalität 2005 – Internationale und deutsche Ergebnisse“ von PriceWaterhouseCoopers (PWC) und dem Economy & Crime Center Universität Halle ergeben. PWC bezeichnet seine Umfrage als die „weltweit umfassendste ihrer Art“. Die Verfasser des Gutachtens geben sich u.a. mit Hinweis auf die positive Wirkung einer von ihnen empfohlenen stärkeren Wertevermittlung in den Unternehmen optimistisch, bei der Bekämpfung von Wirtschaftskriminalität „zunehmend mehr darüber zu wissen, what works and what does not“.52 Zwar darf man im Hinblick auf die Verlässlichkeit einiger Untersuchungsergebnisse Zweifel haben. Wie bei jeder Befragung möglich, können gerade bei diesem sensiblen Thema Aufrichtigkeitsdefizite mancher Befragter vorliegen. Auch mögliche Fehleinschätzungen der Fragesteller lassen Zweifel. So messen sie den von Unternehmen aufgelegten Compliance- und Ethikprogrammen einen hohen Stellenwert bei („Aus unserer Sicht sollte gerade im Bereich der Wertevermittlung stärker agiert werden.“ vgl. PWCStudie S. 37). Die Sinnhaftigkeit dieses Ansatzes wird von den Verfassern ebenfalls grundsätzlich geteilt, weil Mitarbeiter solche Leitlinien benötigen. Allerdings fragt sich, was das Ganze bringen soll, wenn die Unternehmensspitze (incl. Eigentümer) selbst korrupt ist. Diesen Aspekt eines unredlichen Verhaltens der Unternehmensführungen blendet das Gutachten – trotz Darstellung der Zahlen zum Top-Management-Fraud – aus.53 Dennoch vermitteln die Zahlen und Auswertungsergebnisse wertvolle Aufschlüsse zum Thema und sollen im Folgenden wiedergegeben werden. Befragt wurden 3634 Unternehmen in 34 Ländern, bzgl. der Situation in Deutschland wurden gesonderte Erhebungen und Auswertungen der Befragungsergebnisse vorgenommen. PWC kommt zum Ergebnis, dass im Durchschnitt weltweit fast jedes zweite Unternehmen (in Deutschland 46 %, weltweit 45 %) innerhalb der letzten beiden Jahre (also 2004 und 2005) Opfer eines Wirtschaftsdelikts geworden sind. Von den deutschen Unternehmen mit über 5.000 Mitarbeitern waren sogar 62 % betroffen. Im Vergleich zu der PWC Umfrage von 2003 stellten die Forscher eine 51 Tröndle/Fischer, Strafgesetzbuch-Komm., 51. Aufl. München 2003, § 299 Rn. 8. 52 Nestler/Salvenmoser/Bussmann, Frankfurt am Main und Halle, November 2005, S. 3 und S. 37. 53 Roland Hefendehl, Corporate Governance und Business Ethics, in JZ 2006, S. 119, 124 (m.w.N.) dazu: „... Ungeachtet dessen bleibt das Bedenken, über entsprechende Schulungen und Programme nicht diejenigen zu erreichen, die für die regelmäßig gewaltigen Schadenssummen verantwortlich sind. Einmal mehr könnte man sich auf die unteren Chargen konzentrieren, vielleicht im Eingeständnis dessen, dass man die Spitze nicht zu packen bekommt bzw. – schlimmer – dass für diese Spitzen die Grundsätze für Business Ethics gerade nicht gelten sollen, weil sie dem Unternehmenserfolg nicht dienlich sind. Fast ist man geneigt zu sagen: Die Befragungen von KPMG und Price-Waterhouse-Coopers erzeugen einen Schein von sich läuternden Unternehmen, über den Unternehmensspitze nur lächelt. Hier gelten andere Regeln...“ Will Hefendehl damit etwa zum Ausdruck bringen, die Umfrager hätten sich einen Bären aufbinden lassen?

186

E.

Zunahme von sieben Prozentpunkten in Deutschland fest. In Deutschland wurden vermehrt auch die Zunahme von Fällen der Korruption (+ 3 Prozentpunkte) ermittelt. PWC ermittelte daraus einen Schaden von fast 3,4, Mio. Euro, den jedes der betroffenen deutschen Unternehmen seit 2003 erlitten hatte. Insgesamt verloren dadurch die befragten Unternehmen in diesem Zeitraum über 250 Mio. Euro. Nur 43 % der deutschen Unternehmen wurde der Schaden wenigstens partiell ersetzt. Weltweit beklagen ca. 40 % der Unternehmen immaterielle Schäden wie z.B. Reputationsverlust und Beeinträchtigungen bei der Mitarbeitermoral und bei den Geschäftsbeziehungen. Nach Korruptionsfällen litten über zwei Drittel der Unternehmen in Deutschland (68 %) angabegemäß unter derartigen Folgeschäden. Dennoch halten es 55 % der deutschen Unternehmen für unwahrscheinlich, dass sie in den nächsten fünf Jahren zum Opfer eines solchen Delikts werden können. Unternehmen machen lt. PWC „weltweit die bittere Erfahrung“, dass die Hälfte der Wirtschaftsstraftäter aus dem eigenen Unternehmen stammte, davon fast ein Viertel aus dem Top-Management. Der typische Wirtschaftsstraftäter ist zwischen 31 und 50 Jahre alt, männlich und sozial unauffällig, in der Regel nicht vorbestraft, bereits länger im Unternehmen und in der Folge nur schwer zu identifizieren. Als Reaktion der Unternehmen auf aufgedeckte Straftaten erfolgte lt. den befragten Unternehmen eine Kündigung und bei fast 60 % der deutschen Unternehmen erfolgte zudem eine Strafanzeige. Im internationalen Vergleich und in Deutschland zeigte sich, dass Unternehmen Sanktionen gegen Täter aus dem Top-Management seltener verhängten als gegen andere Täter. Als Hauptursachen betrachteten internationale und auch deutsche Unternehmen vor allem bei Tätern aus der Führungsetage mangelndes Unrechtsbewusstsein, leichte Verführbarkeit und einen zu aufwändigen Lebensstil sowie „Management Override“.54 Zur Wirkung von Kontrollmaßnahmen ergab sich das Ergebnis, dass viele Wirtschaftsstraftaten eher zufällig durch interne und externe Hinweise entdeckt wurden. In Deutschland traf das auf zwei Drittel der Fälle zu. 23 % der befragten deutschen Unternehmen verfügten über Hinweisgebersysteme und senkten hierdurch die Quote zufälliger Entdeckungen. Unternehmen mit einem dichteren Kontroll- und Sicherheitssystem deckten nach den Ergebnissen der Befragung nicht nur häufiger Betrugsfälle auf, sondern auch höhere Schäden, in Deutschland durchschnittlich fast 6 Millionen Euro. In dieser Gruppe kamen gravierende immaterielle Schäden seltener vor, da die Vorkommnisse früher entdeckt wurden. Unternehmen mit einem weniger ausgeprägten Kontrollumfeld täuschen sich leichter hinsichtlich des wahren Ausmaßes ihrer unentdeckt gebliebenen Schäden, so der Schluss von PWC. Die Unternehmen sehen daher auch nicht die Notwendigkeit, Maßnahmen zu ergreifen. Laut PWC befinden sich diese Unternehmen in einem „Teufelskreis trügerischer Sicherheit“.

III.

4

Korruption

80

4 81

82

Ursachen – insbesondere: (Top-)Management-Fraud

In der Literatur werden für Korruption für gewöhnlich drei täter- und unternehmensbezogene Faktoren genannt: Anreiz/Gelegenheit/Rechtfertigung. Diese ergeben das sog. Betrugsdreieck nach Joseph T. Wells, dem Gründer der US-amerikanischen Association of Certified Fraud Examiners.55 Demnach führt zu aufwändiger Lebensstil des Täters zu einem entsprechenden Anreiz bzw. zu einem Zwang zur Korruption (Faktor Anreiz: Anteil: 37 %). Eine ungenügende interne 54 Anmerkung der Verfasser: Darunter versteht man die Möglichkeit von Vertretern des (Top-) Managements, im Unternehmen eingerichtete Kontrollmechanismen unter Ausnutzung ihrer Führungs- und Machtposition zielgerichtet und relativ mühelos aushebeln zu können. 55 Joseph T. Wells, 2004 Report to the Nation on Occupational Fraud and Abuse, Austin, Texas 2004.

187

83

4

§4

Ausgesuchte besondere Aspekte der Revisionsarbeit

Kontrolle in seinem Unternehmen bietet dem Täter die Gelegenheit zu korrupten Handeln (Faktor Gelegenheit: 42 %). Dritte Ursache ist das mangelnde Werte- und Unrechtsbewusstsein beim Täter, der sich so seine eigene Rechtfertigung zurecht bastelt (Faktor Rechtfertigung: 66 %). Im Bild sieht das so aus:

Fraud -Triangle 4

Gelegenheit 42%

Motivation 37%

84

Rechtfertigung 66%

Abbildung 4-1: Fraud-Triangle Nicht zuletzt wegen des Ansteigens von Fällen dieser Art wollen die Verfasser nachfolgend dem Aspekt des korrupten Verhaltens von Spitzenmanagern und dem damit oft in Zusammenhang stehenden unredlichen Propagieren von ethischen Grundsätzen eine besondere Aufmerksamkeit zuwenden. Exemplarisch soll dabei etwas näher auf Details zu dem zum Zeitpunkt des Redaktionsschlusses dieses Buches aktuellen Siemens-Korruptionsfall eingegangen werden (soweit aus öffentlich zugänglichen Quellen bekannt). Auch zu seiner Aufarbeitung durch die Verantwortlichen soll etwas gesagt werden. Um das schon hier teilweise vorweg zu tun, es gilt der Grundsatz „Nach der Korruption ist vor der Korruption“. Das will heißen, eine unglaubwürdige Bewältigung aufgedeckter Affären kann sogleich wieder die Ursache für neue Fälle sein.56 Noch etwas soll vorab gesagt werden: Aus der Existenz immer wieder aufkommender Aufsehen erregender Fälle, wie etwa dem jetzt von Siemens, darf und soll keine unzulässige Verallgemeinerung getroffen werden. Also gilt selbstverständlich: Nicht jedes (Groß-)Unternehmen und das es repräsentierende TopManagement, das sich ethische Grundsätze zugelegt hat, hat – selbst wenn es dem Wettbewerbsdruck besonders ausgesetzt ist – den Hang zu korrupten Verhalten. Eine solche Aussage oder auch das unterschwellige Erwecken eines solchen Eindrucks wäre unredlich und nicht zu halten, weil nicht (empirisch) belegbar.57 Das Böse ist also nicht immer und überall! Dennoch ist es auf dem 56 So auch Jörg Rodewald/Ulrike Unger, Kommunikation und Krisenmanagment im Gefüge der Corporate ComplianceOrganisation, in BB 2007, S. 1629, 1635: „Entscheidende Bedeutung kommt… der Krisennachbereitung zu.“ 57 Vgl. Ludwig Wittgenstein, Tractatus logico-philosophicus. Logisch-philosophische Abhandlung, 9. Aufl., Frankfurt am Main 1973, S. 64: „Was sich überhaupt sagen lässt, lässt sich klar sagen; und wovon man nicht reden kann, darüber muss man schweigen.“

188

E.

4

Korruption

Vormarsch und das Dunkelfeld ist ebenfalls nicht zu unterschätzen – das jedenfalls belegen die Umfragen und sonstigen Forschungsergebnisse. Wie bereits oben im Rechtsteil ausgiebig erläutert, liegt die Hauptverantwortung zur Vermeidung bzw. Aufklärung von Korruption beim Management. Es hat ein Internes Kontrollsystem einzurichten. Überwacht wird es dabei durch den Aufsichtsrat bzw. durch einen seiner Ausschüsse (Audit Committee). Was aber, wenn das Top-Management selbst korrupt handelt? Auch in diesem Fall wird für gewöhnlich entsprechend dem Strickmuster des Betrugsdreiecks vorgegangen: „TopManagement-Fraud ist grundsätzlich immer dann zu erwarten, wenn sowohl eine Motivation als auch eine Gelegenheit vorliegt und die beteiligten Personen eine entsprechende innere Grundeinstellung besitzen, die es ihnen ermöglicht, ihr Tun zu rechtfertigen. Als Motivation für die wachsende Bereitschaft von Top-Managern zu Täuschungen im Rahmen der Rechnungslegung kann der erheblich gewachsene Erfolgsdruck des Kapitalmarkts auf das Top-Management im Zusammenhang mit dessen Entlohnungssystemen angesehen werden...“58 Korruptionsfälle, begangen durch das (Top-)Management, lassen sich aus Sicht der Verfasser nicht ohne weiteres mit den Ansätzen des Betrugsdreiecks lösen. Denn Spitzenmanager, zumal wenn es sich um Vorstände oder sogar um geschäftsführende Gesellschafter handelt (vgl. zu letzteren etwa den Flowtex-Fall), verkörpern das Unternehmen nach außen und nach innen. Gerade in Zeiten von anonymen Eigentumsverhältnissen (Stichwort: Hedge-Fonds) fehlt es oft an einer Zuordnung zu einer konkreten Eigentümer-Bezugsperson. Wiewohl die Agenturtheorie und das Gesellschaftsrecht mit ihren Zuordnungen der Spitzenmanager als Agenten bzw. Organe Differenzierungen bereithalten – in der Realität haben diese die Eigentümer-Rolle zu spielen. Sie repräsentieren den Inhaber. Zudem werden „toughe“, entscheidungsfreudige Manager („Risk Seeker“) als Erfolgstypen hochstilisiert, typische Wirtschaftsstraftäter sind empirisch gesehen erfolgreiche Manager.59 Zwar sind Spitzenmanager rechtlich eigentlich nur „Gutsverwalter“, doch werden sie so faktisch doch zu „Gutsherren“.60 Führungspraktisch zeigt sich das z.B. in der Vorbildposition, die sie gegenüber den Mitarbeitern einnehmen. Gerade im Zusammenhang mit dem Thema Korruption spielt diese Vorbildfunktion und die persönliche Integrität der Protagonisten an der Spitze eine hervorgehobene Rolle. Wenn das dort nicht funktioniert, ist das Problem, was landläufig mit dem Slogan „Der Fisch stinkt vom Kopfe her“ umschrieben wird, oft vorprogrammiert. Wie die Ergebnisse der PWC-Umfrage zeigen, hat der Gestank zugenommen – Wirtschaftskriminalität in Unternehmen ist „geradezu ubiquitär“.61 Eine nicht unerhebliche Mit-Ursache daran trägt ein unredliches Umgehen von Unternehmen und ihren führenden Repräsentanten mit den von ihnen selbst ausgegebenen Werten – ein Verhalten, das auf neudeutsch schon als „window dressing“ bezeichnet wurde.62 Welchen Eindruck Führungskräfte abgeben sollen als Vorbild bestimmt sich wesentlich nach den im Unternehmen propagierten Werten, wie sie in ihren Ethikprogrammen definiert sind. Da liegt des Pudels Kern, 58 Wienand Schruff, Zur Aufdeckung von Top-Management-Fraud durch den Wirtschaftsprüfer im Rahmen der Jahresabschlussprüfung, in: Die Wirtschaftsprüfung Nr. 17, 2003, S. 901, 906. 59 Roland Hefendehl, Corporate Governance und Business Ethics, in JZ 2006, S. 119, 124 (m.w.N.). 60 Vgl. das Wortspiel im Aufsatz „Vom Gutsherren zum Gutsverwalter: Wandlungen im Aufsichtsratsrecht unter besonderer Berücksichtigung des Mannesmann-Urteils“, von Franz Jürgen Säcker und Katharina Vera Boesche, in: BB 2006, S. 897. 61 Erich Samson/Marc Langrock, Bekämpfung von Wirtschaftskriminalität im und durch Unternehmen, in: DB 2007, S. 1684. 62 Peter Eigen, der deutsche Gründer von Transparency International, im Interview „Wir sitzen im Glashaus“, in: Die Zeit, vom 24.5.2007, Wirtschaft S. 33: „...Das war für mich eine Riesenenttäuschung. Siemens hat seit Jahren eng mit uns zusammengearbeitet. Viele haben uns gewarnt, das sei alles nur window dressing. Wir haben immer gesagt, man müsse Vertrauen haben. Am Ende wurde unser Vertrauen missbraucht.“

189

85

4

86

87

4

§4

4

88

Ausgesuchte besondere Aspekte der Revisionsarbeit

wenn die Programme nur vorgeschoben werden.63 Oder aber – und das ist selbstverständlich als Fallgruppe auch möglich – sie werden vom Top-Management durchaus aufrichtig gewollt und gelebt64, aber die Manager in der zweiten oder in der dritten Reihe halten sich nicht daran und als Folge davon kann der Apparat ab dieser Ebene „top down“ in Richtung Korruption abdriften. In diesen Fällen gerät mitunter auch das Top-Management in den Verdacht und wird zumindest moralisch mitverantwortlich gemacht, so jedenfalls nach dem Urteil einer „eher unscharf urteilenden Öffentlichkeit.“65 Ethikprogramme stricken die Manager entweder selber, oft beeinflusst durch Ratschläge von Unternehmensberatungen. Oder aber – und jetzt kommt dann doch noch der „diffuse“ Shareholder ins Spiel – diese Werte werden den Managern unmittelbar oder wenigstens mittelbar vorgegeben vom Eigentümer. Und wenn es nicht schon vorher vom Management im vorauseilenden Gehorsam und/oder aus Gründen der eigenen Nutzenmaximierung so eingestellt wurde – spätestens dann diktiert oft der Shareholder Value-Gedanken die wahren Werte, um die es geht. Hier aber hat weitgehend „der Imperativ der Rentabilität den kategorischen Imperativ von Kant ersetzt.“66 Die Aufforderung an Mitarbeiter, erst recht ans Management, lautet sinngemäß: „Macht was ihr wollt, aber seid profitabel!“67 Da man dies getrost noch ergänzen darf: „... und wehe Euch, Ihr seid es nicht!“ webt sich daraus und unter Hinzunahme von wissenschaftlich verbrämten Erklärungsansätzen (etwa der Theorie des effizienten Vertragsbruchs der Konstitutionellen Politischen Ökonomie) der rote Teppich, auf dem mitunter auch einmal beschwingt (im Sinne einer Rechtfertigung, siehe Betrugsdreieck) zur Korruption geschritten wird. Schünemann68 spricht daher von einer „Illusion, wenn man glaube, durch die Beschwörung einer „Wirtschaftsethik“ könne man einen Augiasstall an Korruption ausmisten. Der sei ja gerade darauf zurückzuführen, dass das Leitbild der von Kantianischer Gesinnungsethik durchdrungenen Führungspersönlichkeit durch dasjenige des egoistisch-nutzenmaximierten Individuums ersetzt sei.“ Der sich daraus auch abzuleitende Vorwurf gegen Corporate Governance-Programme und Business Ethics Bemühungen lautet, dass diese oft als rein funktionale Institute daherkommen, die zur Korruptionsbekämpfung keine primären Präventionswirkungen entfalten können: „Man erzieht junge Menschen nicht in einer bestimmten Weise oder sorgt für angemessene Arbeits- und Lebensbedingungen, weil man sie von Straftaten abhalten will, sondern weil damit die präferierte Wertordnung befördert wird; primäre Prävention in Reinkultur ist also lediglich in dem Sinne

63 Roland Hefendehl, Corporate Governance und Business Ethics, in JZ 2006, S. 119, 122, 124 f., verweist darauf, dass – entsprechend dem Vorbild der US-amerikanischen Sentencing Guidelines – die Einrichtung von Normbefolgungsprogrammen nach den Strafzumessungsrichtlinien auch in Deutschland wie ein Schutzschild gegen die Bestrafung des Unternehmens, mindestens aber eine wesentlichen Strafmilderung bewirke. Das sei „ganz nüchtern“ auch ein Grund zur Einführung von Compliance-Programmen. 64 In einigen Bekenntnissen zu seinen Moralvorstellungen durchaus glaubwürdig Josef Ackermann im Interview, in: Zeit magazin Leben, Nr. 22, v. 25.5.2007, S. 44, 47: „... Aber wenn es um Geschäfte geht, bei denen man sich in kriminellen Grauzonen bewegt, gibt es einen ganz hohen moralischen Anspruch. Ich erinnere mich nicht, dass wir je gesagt hätten: ‚Das ist unmoralisch, aber profitabel.‘ Das habe ich noch nie gehört, und es würde auch niemand wagen, das zu sagen.“ 65 Darauf verweisen zu Recht Erich Samson/Mark Langrock, Bekämpfung von Wirtschaftkriminalität im und durch Unternehmen, in: DB 2007, S. 1684, 1686. Dass tatsächlich gerade auch das Top-Management in korrupte Handlungen involviert sein kann, wird in ihrem ansonsten sehr instruktiven Beitrag allerdings vernachlässigt. 66 Denis de Rougement, wiedergegeben von Manfred Moldaschl, Herrschaft durch Autonomie – Dezentralisierung und widersprüchliche Arbeitsanforderungen, in: Burkart Lutz (Hrsg.), Entwicklungsperspektiven von Arbeit, Berlin 2001, S. 132–164 (149). 67 Speziell zur Philosophie von entgeltlichen Zielvereinbarungen vgl. Jörg Berwanger, Einführung variabler Vergütungssysteme, insbesondere in Form entgeltlicher Zielvereinbarungen, in bestehende betriebliche Strukturen – soziologische Betrachtung unter Einschluss arbeitsrechtlicher Fragen, Diss., Saarbrücken 2005, S. 102 (m.w.N.). 68 Bernd Schünemann, Brennpunkte des Strafrechts in der entwickelten Industriegesellschaft, in: Roland Hefendahl (Hrsg.), Kriminologische und dogmatische Fundamente, kriminalpolitischer Impetus, 2005, S. 349, 361.

190

E.

4

Korruption

funktional, dass sie etwas verhindern möchte, nicht aber um bestimmter weiterer Ziele willen.“69 Solche Programme sind also oft von den Unternehmen nicht intrinsisch motiviert gewollt, sondern sie sollen die Haftungsrisiken senken und den wirtschaftlichen Wert des Unternehmens steigern. Hefendehl70 konstatiert: „... Und so stehen wir nahezu vor einem Trümmerhaufen, was die Versuche anbelangt, Wirtschaftsdelinquenz zu verhindern. Doch besser ein Trümmerhaufen als eine Scheinwelt von Business Ethics und Corporate Goverannce, in der angeblich von innen geläuterte Unternehmen und deren Spitzen auf unlautere Praktiken verzichten.“ Dabei ist es vor dem geschilderten Hintergrund weniger der strafbare Eigennutz der in die eigene Tasche wirtschaftenden (TOP-) Manager allein. Denn Korruption kann und soll sich nach deren Willen mindestens kurz- bis mittelfristig für das Unternehmen rentieren. Die Manager wollen nicht unbedingt in die eigene Tasche wirtschaften, sie wollen das für das Unternehmen tun. In der Literatur wird dieses Phänomen als neuer Deliktstypus des „altruistisch motivierten Delikts“ bzw. der „nützlichen Straftat“ diskutiert.71 Dabei wird auch auf die besondere Gefährlichkeit dieses Deliktstypus für das Unternehmen und für die Geschäftsleitung hingewiesen. Es wird betont, dass – in Abhängigkeit von der Tragweite eines Skandals – ein aufgedeckter Fall zu weit reichenden Folgen (incl. Unternehmenskrise und einhergehenden massiven betriebswirtschaftlichen Problemen) führen kann. Indes muss das nicht zwingend sein. In Zeiten von eher kurzfristigen Effekthaschereien – mitunter hechelt man in Unternehmen von Quartal zu Quartal – wird das Risiko des Auftretens mittel- bis langfristiger Probleme von den korrupten Akteuren jedenfalls ausgeblendet. Außerdem will man ja schließlich auch für das Unternehmen handeln! Das wird dann zur Rechtfertigung als notwendig für die Unternehmen erklärt. Schließlich gilt angeblich auch, dass ohne die richtigen „Berater“ in vielen Märkten der Welt kein Geschäft zu machen sei, „und es wird auch so bleiben, dass es ohne Schmieren keinen Erfolg gibt.“72 Dieses „Hier stehe ich und ich kann nicht anders“ ist Ausdruck einer Art von umgekehrtem kategorischen Imperativ: Man darf bzw. man muss Regeln brechen, weil man vermutet/weiß/zu wissen glaubt, dass alle anderen das auch tun. Bei Siemens, das lässt sich schon in der Frühphase des Aufklärungsprozesses im ersten Halbjahr 2007 so sagen, führte das zu einem jahrelangen Fehlverhalten etlicher Führungskräfte.73 Neben einer verdeckten Finanzierung eines gewogenen Betriebsräte-Verbunds wurde bei Siemens angeblich „eine Milliarde Dollar zur Seite gelegt, um überall zu bestechen“.74 Trotz saftiger Strafen (u.a. eine von der EU verhängte Kartellstrafe von 419 Millionen Euro) scheint es sich bis jetzt gerechnet zu haben. In einem der ersten Siemensprozesse im Jahr 2007 zur Aufarbeitung der Affäre wurde ein ehemaliger Siemens-Finanzvorstand vom Landgericht Darmstadt zu zwei Jahren Haft, ausgesetzt zur Bewährung verurteilt, zusätzlich muss er 400.000 Euro bezahlen. (Über die von ihm eingelegte Revision war zum Redaktionsschluss noch nicht entschieden.) Laut Gericht habe er als Finanzvorstand des Bereichs Power Generation die Durchsetzung der Siemenseigenen Compliance-Regeln vorantreiben sollen, er habe seine Mitarbeiter sogar regelmäßig dazu verpflichtet. Zugleich habe er selbst Bestechungszahlungen aus schwarzen Liechtensteiner Kassen an die Adresse von Managern des italienischen Kunden angewiesen, um von deren Firma 69 Roland Hefendehl, Corporate Governance und Business Ethics, in JZ 2006, S. 119, 123. 70 Roland Hefendehl, Corporate Governance und Business Ethics, in JZ 2006, S. 119, 125. 71 Vgl. Erich Samson/Marc Langrock, Bekämpfung von Wirtschaftskriminalität im und durch Unternehmen, in: DB 2007, S. 1684 und Rüdiger Krause, „Nützliche“ Rechtsverstöße im Unternehmen – Verteilung finanzieller Lasten und Sanktionen, in: BB-Special 8/2007, Bestechungen und Kartellverstöße durch Vorstände und Mitarbeiter, S. 2. 72 So ein ehemaliger Siemens-Manager, vgl. dazu den Artikel „Mach es, und lass dich nicht erwischen.“, von Wolfgang Gehrmann, in: Die Zeit, vom 4.4.2007, Wirtschaft S. 27. 73 ...nach dem Siemens-Grundsatz „Mach es, und lass dich nicht erwischen.“, so auch der Titel des Berichts von Wolfgang Gehrmann, in: Die Zeit, vom 4.4.2007, Wirtschaft S. 27. 74 Peter Eigen im Interview, vgl. den Artikel „Wir sitzen im Glashaus“, in: Die Zeit, vom 24.5.2007, Wirtschaft S. 33.

191

89

4

4

§4

90

4

Ausgesuchte besondere Aspekte der Revisionsarbeit

für Siemens Aufträge für Gasturbinen zu erhalten. Gegen Siemens selbst verfügte das Gericht in diesem Fall die Einziehung von 38 Mio. Euro aus dem geschmierten Turbinengeschäft. Immerhin scheint das Unternehmen speziell in diesem Einzelfall unter dem Strich gut weggekommen zu sein und sogar verdient zu haben: „Selbst wenn man das abzieht, bleibt vom ursprünglichen Gewinn von 103 Millionen noch genug. Wo ist da der Schaden?“75 Das Problem setzt sich dann noch nach der Entdeckung und während der Aufarbeitung auf skurrile und auf entlarvende Art fort. Denn die „benachteiligten Unternehmen“, zu deren Schutz die einschlägigen Straftatbestände geschaffen und zu deren Gunsten die konkreten Strafverfolgungsaktionen (auch) angestrengt werden – sie goutieren diese Bemühungen des Staates nicht. Stattdessen werden gefallene Helden mit saftigen Abfindungszahlungen versehen. Der hier angesprochene Siemens-Finanzvorstand hatte 1,7 Mio. Euro Abfindung erhalten und es wurde in der Wirtschaftspresse spekuliert, dass auch finanzielle Unterstützung beim Strafverfahren geleistet wurde.76 Speziell dieser Gesichtspunkt bildet eine besondere Art von vertrauensbildender Maßnahme in manchen Unternehmen, wie die Verfasser – polemisch formuliert – meinen. Quod licet jovi, non licet bovi – Was der Jupiter darf, darf der Ochse noch lange nicht: Die Spitzenmanager werden nach Fehltritten komfortabel abgefunden, der gewöhnliche Mitarbeiter erhält nach seinem Vergehen u.U. eine fristlose Kündigung und muss sich mit der Arbeitsverwaltung herumbalgen wegen der verhängten Sperrzeit beim Bezug des Arbeitslosengelds.77 Auf der anderen Seite hört man zur gleichen Zeit markige Worte des amtierenden Aufsichtsratsvorsitzenden von Siemens, Cromme, der diesen Posten Ende April 2007 übernommen hat. Ob die Aufklärung durch ihn wirklich gelingen wird, bleibt allerdings abzuwarten – trotz Aufbietung bester ManagementFolklore: „Ich glaube an gar nichts mehr, ich will es jetzt wissen.“78 Cromme will offenbar bei der Lösung des Falles Siemens sogar die Erkenntnisgrenzen religiöser Glaubensbekenntnisse überwinden. In Sachen Formulierungskunst toppt er so auf subtile Weise die Äußerung eines anderen politischen Zeitgenossen, der einmal „brutalstmögliche Aufklärung“ versprochen hatte. Ebenso wie die „brutalstmögliche Aufklärung“ ohne Fortune abgeschlossen wurde, dürften auch die Ergebnisse in Sachen Siemens eher mager ausfallen. Dies jedenfalls dann, sofern die unternehmensinternen Untersuchungen bei Siemens mit der gleichen Verve geführt werden, wie etwa einige von Crommes Kommission geschaffene DCGK-Regelungen den Willen der Wirtschaft zur Selbstreinigung offenbaren.79 Immerhin wartete Cromme bereits Anfang Mai 2007 mit der Erklärung auf, dass die internen Prüfer den Prüfungsausschuss zu spät informiert hätten, insbesondere der ehemalige Chef der Anti-Korruptionsabteilung von Siemens wurde von ihm sehr kritisiert und

75 So der Verteidiger des Siemensmanagers, vgl. den Artikel „Strafen zur Bewährung“ von Wolfgang Gehrmann, in: Die Zeit, vom 16.5.2007, Wirtschaft S. 31. Und da muss dann auch die Frage erlaubt sein, woher denn die guten Ergebniszahlen herrühren, die der freigesetzte Vorstandsvorsitzende Kleinfeld zurückgelassen hat. 76 Vgl. den detaillierten Bericht von Wolfgang Gehrmann, in: Die Zeit, vom 16.5.2007, Wirtschaft S. 31. Er meint u.a.: „Die Vermutung, dass Siemens die Verteidigung des Ex-Managers finanziell massiv unterstützt, liegt auf der Hand.“ 77 Roland Hefendehl, Corporate Governance und Business Ethics, in JZ 2006, S. 119, 124 spricht insoweit von einer Zweiklassengesellschaft: „Die unteren Chargen mögen bitte die Werte hochhalten und damit das Bild eines integren Unternehmens befördern, im Vorstand gesucht wird aber nach wie vor der toughe Riskmanager, der bereit ist, etwa in der Automobilbranche bis an die Grenze des Legalen oder auch ein wenig darüber hinaus die Zulieferer unter Druck zu setzen.“ Vgl. auch das NJW-Editorial „Prämien für low performance?“, von Ulrich Zachert, NJW Heft 27/2007, v. 2.7.2007. 78 Zitiert nach Wildhagen/Hennersdorf, Manager-Magazin vom 8.1.2007, S. 61. 79 Über die von Siemens beauftragte New Yorker Kanzlei Debevoise & Plimpton berichtet der Artikel „Diskrete Minensucher“ von Heike Buchter, in: Die Zeit, vom 12.7.2007, Wirtschaft S. 29. Dort kommt auch ein anderer New Yorker Anwalt zu Wort: „Ich habe es noch nie erlebt, dass bei einer solchen internen Untersuchung ein negatives Ergebnis für das Unternehmen herauskam.“ Es handele sich bei solchen Unterfangen um „millionenteure Persilscheine für den Aufsichtsrat.“

192

E.

4

Korruption

seine Entlassung gefordert, was im Sommer 2007 umgesetzt wurde.80 Eine nicht uninteressante Äußerung, weil sie umstrittene grundsätzliche Fragen zur Internen Revision (Darf bzw. muss sie denn überhaupt dem Aufsichtsrat oder einem Audit Committee zuarbeiten?) berührt. Das wurde bereits an anderer Stelle des Buchs erörtert. Aus Sicht der Verfasser wird es in Sachen Siemens vermutlich darauf hinauslaufen, dass es der Strafjustiz überlassen bleiben wird, die sehr anspruchsvollen Rechtsprobleme aus den komplexen Sachverhalten heraus zu filtern und zu lösen. Wie beim Fall Mannesmann (Ackermann & Co) winkt den Managern hier am Schluss möglicherweise ebenfalls die Einstellung von Strafverfahren gegen Geldbuße (§ 153 a StPO). Wie soll man es nun als Wettbewerber angesichts der – vor allem im ausländischen Wettbewerb – vielfach gepflegten Korruption selbst damit halten? Die Verfasser wollen sich nicht um die Antwort zur Gretchenfrage herumdrücken und sie fällt ebenso einfach wie eindeutig aus: Die Finger davon lassen! Auch wenn die Korruption zum Wettbewerb gehört, hinnehmen muss man sie deswegen noch lange nicht. Und erst recht nicht mitmachen. Dabei soll hier zur Begründung keine vertiefte Moraldiskussion geführt werden, indem auf ethische Werte etc. abgestellt wird. Verwiesen wird auf rechtliche Normen, die Korruption schlichtweg verbieten. Und daran muss man sich dann halten, so einfach ist das.81 Auch sog. altruistisch motivierte Wirtschaftskriminalität ist Wirtschaftskriminalität. Die vielfach zur Rechtfertigung gebrachten Einwände („Anders geht es nicht!“) sind zurückzuweisen. Rechtlich im Sinne eines Rechtfertigungsgrunds greifen sie ohnehin nicht. Auch die von den Tätern teilweise vorgeschobenen moralisch verbrämten Notlagensituationen, etwa mit der Argumentationskette („Ich muss da mitmachen, anders mache ich kein Geschäft, der Firma geht’s dreckig – Arbeitsplätze sind in Gefahr“), ziehen da nicht. Zum einen ist die sachliche Richtigkeit des Gedankengangs zu bestreiten, weil die Mehrheit der sauber agierenden Unternehmen beweist, dass es doch ohne geht. Zum andern würde dieser Gedankengang, selbst wenn er sachlich zuträfe, die Wirkung der Rechtsvorschriften nicht aushebeln können. Schließlich und endlich: Es bleibt die Gefahr, dass ein aufgedeckter massiver Korruptionsfall den Anfang einer Kausalkette bilden kann, die zum Unternehmensruin führt. Beschließen möchten die Verfasser dieses Unterkapitel mit einem Zitat von Nikolaj Gogol: „Ich beschloss, alles Schlechte, das ich nur kannte, zusammenzutragen und mit einem Schlag dem Gelächter preiszugeben – das ist die ganze Entstehung des „Revisor“! Es war mein erstes Werk, das ich mit dem Ziel geschrieben habe, einen guten Einfluss auf die Gesellschaft auszuüben, was mir im Übrigen nicht gelungen ist. Man sah in der Komödie die Absicht, die gesetzliche Ordnung der Dinge und die staatlichen Strukturen zu verspotten, während ich nur die eigenmächtige Abweichung einiger Personen von der festgelegten und gesetzlichen Ordnung verspotten wollte.“ Diese Aussagen des Literaten aus dem Jahr 1848 haben auch noch heute Bestand, sie haben an Aktualität nichts verloren. Leider scheint es heute sogar so zu sein, dass man nicht mehr nur vom abweichenden Verhalten „einiger Personen“ reden kann, wenn man sich die Zahlen, Dimensionen und Umstände von Korruption anschaut.

80 Vgl. Bericht „Kontrolleur belastet“, in: Der Spiegel Nr. 21/2007, S. 72 und den Bericht „Löscher entlässt Korruptionsermittler“, in: Handelsblatt vom 30.7.2007, S. 11. Lt. Handelsblatt-Bericht tat sich das Unternehmen schwer: „... Offensichtlich hat sich der Konzern entschieden, sich auf das Risiko eines Arbeitsgerichtsprozesses einzulassen. Anders habe man das Problem nicht lösen können. Im Umfeld des Unternehmens hatte es lange geheißen, Siemens wolle ein arbeitsrechtliches Verfahren mit Schäfer unbedingt vermeiden, um der Gefahr zu entgehen, dass der Jurist dort „auspacken“ werde. Denkbar sei, dass dem 58jährigen Schäfer vom Gericht eine Abfindung zugesprochen werde, die Siemens selbst unmöglich gewähren könne.“ 81 Das ist wohl einhellige Meinung im Schrifttum. Vgl. etwa Rüdiger Krause, „Nützliche“ Rechtsverstöße im Unternehmen – Verteilung finanzieller Lasten und Sanktionen, in: BB-Special 8/2007, Bestechungen und Kartellverstöße durch Vorstände und Mitarbeiter, S. 2 ff.

193

91

92

4

4

§4

93

4

94

IV.

Bekämpfung

1.

Prävention

Korruptionsbekämpfung, insbesondere unter dem Aspekt der Prävention, kann durch ein ganzes Bündel von Maßnahmen betrieben werden. Nach dem COSO Modell sind sechs Module bzw. Felder der Korruptionsprävention im Auge zu behalten und zu bearbeiten: ■ Control Environment (u.a. Ethik- und Verhaltenskodex; Geschenkerichtlinie; Internes Kontrollsystem; Steuerung der Personal- und Lieferantenauswahl; Stringente Strukturierung der Aufsicht durch den Aufsichtsrat oder durch sein Audit Committee; Strafrechtliche Verfolgung) ■ Fraud Risk Assessment (systematische Ermittlung von Schadenspotentialen; Risikomanagement mit Korruptionsindikatoren) ■ Control Activities (u.a. Vier-Augen-Prinzip, Prinzip der Funktionstrennung, Need-to-knowPrinzip, Job-Rotation, vor allem in risikobehafteten Bereichen; Durchführung regelmäßiger Prüfungen und Prüfungen im Nachgang zu Vorkommnissen; Unterhalten einer leistungsfähigen Internen Revision und eines Controllings) ■ Information und Kommunikation (z.B.: Prozesstransparenz; Mitarbeitersensibilisierung; Wahrung der Vertraulichkeit gegenüber Dritten; evtl. die Einführung eines Whistleblowersystems, Ombudsmann; Telefonhotline, E-mail-System, externer Korruptionsanwalt; Vereinfachung von Meldewegen) und ■ Monitoring (permanente Überwachung korruptionsrelevanter Tätigkeitsbereiche durch das Management). Wegen Details zu den aufgeführten Punkten und zu weiteren Einzelheiten wird auf die in der einschlägigen Literatur aufgelegten Maßnahmenkataloge verwiesen.82 Dort finden sich dann auch weitere Aspekte, etwa zur Korruptionsprävention durch Verbände (z.B. Verein gegen das Bestechungsunwesen oder Transparency International) oder zur Funktion des Arbeitsrechts.83

2. 95

Ausgesuchte besondere Aspekte der Revisionsarbeit

Rolle der Internen Revision

Das PWC-Gutachten Wirtschaftskriminalität 200584 geht davon aus, dass weltweit 81 % der Unternehmen über interne Kontrollen zur Aufdeckung von Wirtschaftskriminalität verfügen. Deutsche Unternehmen liegen nach den Erkenntnissen des Gutachtens im Bereich der Kontroll- und Entdeckungsmaßnahmen in etwa auf westeuropäischem Niveau, allerdings werden in Deutschland bestimmte präventive Maßnahmen (z.B. Hinweisgebersysteme, Personalrotation und ethische Richtlinien) seltener eingesetzt. Speziell bei internen Tätern sind Hinweise aus den eigenen Reihen und die Interne Revision mit Abstand die häufigsten Entdeckungswege. Laut PWC zeigte sich, dass durch eine gut funktionierende Interne Revision die Chancen der Entdeckung von Wirtschaftsdelikten um mehr als 10 % steigen. 82 Vgl. z.B. das Handbuch der Korruptionsprävention für Wirtschaftsunternehmen und öffentliche Verwaltung, von Dieter Dölling (Hrsg.), München 2007; auch Jürgen Stierle, Frühwarnsysteme zum Erkennen von Korruptionsrisiken, in: ZIR 2006, S. 109. 83 Vgl. dazu auch Mark Zimmer und Sabine Stetter, Korruption und Arbeitsrecht, in: BB 2006, S. 1445 und Ulrich Fischer, Korruptionsbekämpfung in der Betriebsverfassung, in: BB 2007, S. 997. 84 Nestler/Salvenmoser/Bussmann, Frankfurt am Main und Halle, November 2005, S. 37 f.

194

E.

4

Korruption

Die Funktion der Internen Revision fokussiert sich bei der Korruptionsbekämpfung insbesondere auf folgende Tätigkeiten:85 ■ Aufdecken von Delikten bei der Durchführung von Revisionsprüfungen (incl. der Anfertigung aussagekräftiger Revisionsberichte, u.a. mit Feststellungen zur Schadenhöhe und zur Frage der Verantwortlichkeiten) ■ Beratung des Managements hinsichtlich der Erstattung einer Strafanzeige und zum Ergreifen von arbeitsrechtlichen Maßnahmen ■ Auftritt des Revisors bei den Strafverfolgungsbehörden und bei Gerichten ■ Verringerung von Tatgelegenheiten und Schwachstellen ■ Erhöhung der subjektiv empfundenen Aufdeckungswahrscheinlichkeit bei den Mitarbeitern86 ■ Im Zuge der verstärkten Hinwendung zu einer proaktiven Beratungsfunktion der Internen Revision auch hier verstärkte Aktivitäten: u.a. Beratung der Unternehmensleitung über Optimierungsmöglichkeiten beim IKS; politische, rechtliche etc. Entwicklungen zur Korruption; Entwicklungen bei der Technologie zur Korruptionsbekämpfung (IT-Revision) etc. Vorstehend aufgeführten Punkte verkörpern sozusagen die reine Revisionslehre. Diese kann keine befriedigenden Antworten geben, wenn es um die oben beschriebenen Fälle des (Top-)Management-Fraud geht. Die Rolle, die die Interne Revision hier spielen kann, wird von den Verfassern eher als bescheiden eingestuft. Zunächst einmal ist festzustellen, dass diese Fälle grundsätzlich Chefsache sein sollten, hier ist also der Revisionsleiter gefragt. Aber auch er wird häufig überfordert sein. Schon die praktische Frage, mit wem er über den Verdacht eines Korruptionsfalles beim Vorstand sprechen soll, dürfte ihn vor Probleme stellen. Mit dem Betroffenen selbst, seinem Vorgesetzten, zu sprechen, wird aus verschiedenen Gründen eher nicht in Betracht kommen, da die Ergreifung von Abwehr- und Verschleierungsmechanismen zu befürchten sind. Auch sind massive persönliche Nachteile zu befürchten, und zwar auch und gerade dann, wenn es sich um einen unbegründeten Verdacht gehandelt hat, denn dann dürfte die „Chemie“ zwischen beiden nicht mehr stimmen. Gerade dieser Fall könnte öfter vorliegen, weil es sich regelmäßig um komplexe Sachverhalte handelt und nicht ohne weiteres zu überblicken ist, ob der Vorstand tatsächlich „Dreck am Stecken“ hat. Solange in Deutschland das Verhältnis der Internen Revision zum Aufsichtsrat oder zum Audit Committee noch nicht endgültig geklärt ist, fallen diese Stellen als Ansprechpartner ebenfalls aus. Im Übrigen kann die für gewöhnlich vorhandene persönliche Verbundenheit zwischen Vorstand und den ihn kontrollierenden Aufsichtsrat (old boys network87) für den Revisionsmitarbeiter

85 Vgl. Jürgen Stierle, Frühwarnsysteme zum Erkennen von Korruptionsrisiken, in: ZIR 2006, S. 109 f. 86 Abschreckende Wirkung auf den potentiellen Täter hat insbesondere ein erhöhtes Entdeckungsrisiko, weniger beeindruckend für ihn ist das Potential der ihm drohenden Sanktion. 87 Vgl. den Artikel von Udo Perina „Die Macht ist ungezähmt. Viele Aufsichtsräte vernachlässigen ihren Job. Die Kumpanei mit den Vorständen schadet den Unternehmen und ihren Aktionären.“ in: Die Zeit, Nr. 12 vom 15.3.2007 (Geld spezial, S. 33).

195

96

4

97

98

4

§4

4

99

Ausgesuchte besondere Aspekte der Revisionsarbeit

ein nicht zu unterschätzendes Risiko darstellen.88 Die Vorsprache beim Gesellschafter scheidet ebenfalls aus, weil dieser in Großunternehmen ebenfalls durch das Topmanagement repräsentiert wird. Ebenso die Ansprache gegenüber anderen Externen, etwa bei der Polizei. Letzten Endes wird auch dem Revisionsmann, ebenso wie einem gewöhnlichen Mitarbeiter, in diesen Fällen nicht viel anderes übrig bleiben, als den anonymen Weg zu gehen. Und da muss er dann wegen des Informationsvorsprungs noch gewärtigen, dass man die Meldung zu ihm zurückverfolgt, weil sie ihm zugeordnet werden kann. Das empfohlene Verhalten als Untugend der Feigheit zu bewerten, ist Fehl am Platz. Aus einem falsch verstandenen revisorischen Sendungsbewusstsein hier offensiv die Dinge angehen wäre nämlich nicht minder untugendhaft. Denn dieses Verhalten wäre vor dem Hintergrund der geschilderten Risiken als Tollkühnheit zu bezeichnen, bekanntlich neben der Feigheit die andere zur Tugend der Tapferkeit (= Mut) korrespondierende Untugend. Dass der Revisionsmitarbeiter kein „Übermensch“ ist, wurde im Übrigen bereits oben behandelt. Merkwürdig, vielleicht sogar etwas peinlich, erscheint allerdings der in diesem Zusammenhang zu erwähnende exponierte Auftritt mancher Revisionskollegen aus solchen Unternehmen in der Fachöffentlichkeit. Nach wie vor tingelt der eine oder andere als Dozent von Revisionsseminar zu Revisionsseminar. Wie er das wohl mit seiner „Revisionsehre“, vielleicht gar als CIA, vereinbaren kann? Wenn er nach dem eben Gesagten bei Fällen des Top-Management-Frauds vielleicht auch keinen revisorischen Offenbarungseid ablegen muss (außer, die Dinge in seinem Unternehmen wären ihm über die Jahre verborgen geblieben), sollte ihn das mehr als nachdenklich stimmen. Dieses Verhalten verdient jedenfalls nach Meinung der Verfasser eine Remedur. Fragwürdig sind daher auch manche Beschreibungen in der Fachliteratur, die sich dem IKS und dem toll funktionierenden Revisionswesen in solchen Unternehmen widmen, bei denen dann strukturelle und skandalträchtige Korruptionsstrukturen aufgedeckt werden.

88 Vgl. auch die launigen – und trotzdem treffenden – Überlegungen von Sebastian Hakelmacher, ZIR 2001, S. 2, 6 dazu: „Kritische Bemerkungen, die sich auf das Topmanagement beziehen, sind nur zulässig, wenn alle anderen Möglichkeiten erschöpft sind. Sie können bei den zuhörenden Topmanagern einen Schock auslösen, der zur Amtsunfähigkeit führen kann… Der erfahrene Revisionsmanager weiß, dass solche Friktionen ein Unternehmen stärker erschüttern können, als eine total abgebrannte, unterversicherte Produktionsstätte… Bei Begegnungen mit dem Aufsichtsrat sollte der Revisionsmanager nicht vergessen, dass er immer noch Unternehmensangehöriger und Untergebener des Vorstands ist. Insofern sollte er, wenn er sich nicht pensionsreif fühlt, vor eigenständigen Bekenntnissen sorgfältig studieren, wie der Vorstand mit dem Aufsichtsrat umgeht.“ Insoweit sehr blauäugig Jörg Rodewald/Ulrike Unger, die dem Compliance-Officer in solchen Fällen zunächst die Ansprache gegenüber einem unbetroffenen Geschäftsleitungsmitglied und ggf. danach, als „Eskalationsroutine“, eine Befassung des Aufsichtsrats anraten, in: Kommunikation und Krisenmanagment im Gefüge der Corporate Compliance-Organisation (BB 2007, S. 1629, 1632 f.).

196

5

§ 5 Zusammenfassung von Kernfragen Die Zusammenfassung eines Buches in einige wenige Kernthesen ist schwierig. Man ist genötigt, wegzulassen, zu verdichten, zu vereinfachen. Dennoch wollen die Verfasser hier das Experiment unternehmen, in wenigen Sätzen das wiederzugeben, was über die gesamte Länge des Buches sozusagen „wegweisend“ war. Den Kernthesen sei vorausgeschickt, was der weiland im britischen Exil lebende österreichische Philosoph Karl Popper gesagt hat: „Alle Theorien und Hypothesen, alle können umgestoßen werden. Das Spiel der Wissenschaft hat grundsätzlich kein Ende. Wer eines Tages beschließt, die wissenschaftlichen Sätze nicht weiter zu überprüfen, sondern sie etwa als endgültig verifiziert zu betrachten, der tritt aus dem Spiel aus.“ Die einfache Version: Wir sind fehlbar und wollen nicht aus dem Spiel austreten, sondern es weiter antreiben. Nur mit dem Verstoß gegen Routinen, Standards und Normen können kuschelige Gewohnheiten in Frage gestellt werden. Insofern sollen die zusammenfassenden Thesen dieses Buchs dazu anregen, dass der Berufsstand der Revisoren eigenes Tun und Denken reflektiert. Aber auch diejenigen, die mit der Revision in Berührung kommen, mögen im Nachgang zur Lektüre mehr von der Internen Revision verstehen, insbesondere auch von den Unwägbarkeiten dieses Geschäfts. Gegenwärtig werden auch die Geschäfte der Internen Revision durch die Globalisierung stark beeinflusst. Globalisierung ist nichts anderes, als dass Menschen und Kapital, Ideen und Güter nicht mehr durch Nationalstaaten kontrolliert werden, dass Regierungen ihre Steuerungsinstrumente überdenken müssen und dass Regeln und Gesetze, die für den alten Staat gemacht waren, plötzlich an Wirksamkeit einbüßen. Neben der Globalisierung wird das Leben in den Unternehmen durch häufige Veränderungen des jeweiligen Geschäftsmodells geprägt, als „Change“ verbrämt und durch „Change Management“ unterstützt. Hinzutreten insbesondere auch aus Sicht der Internen Revision aktuelle Diskussionen um gute Corporate Governance und um funktionierende interne Kontrollen. Auch „Werte“ spielen wieder eine Rolle. Besser gesagt: Nach Mannesmann, Hartz, Siemens und etlichen anderen Verhaltensstörungen ist das Verhältnis zwischen Wirtschaft und Bürgern offensichtlich gestört. Nach einer TNS Emnid – Studie halten nur 13 % der Bevölkerung Top-Manager für ordnungsgemäß, 79 % halten sie für unanständig. Eine komplexe Situation. Eine gute Zeit also für eine gute Interne Revision? Eine thesenartige Bestandsaufnahme: 1. Die Nach-Enron-Ära ist gekennzeichnet vom Überwachungs- und Kontrollwahn. Wer aber glaubt, menschliche Schwächen durch Korrekturen an Systemen ausmerzen zu können, der hat die Natur des Menschen so wenig verstanden wie die Funktionsweise von sozialen Systemen. 2. Gleichwohl: Die Interne Revision ist aus den unterschiedlichsten Gründen für erfolgreiche Unternehmen unverzichtbar. Eine rechtliche Verpflichtung zur Einrichtung einer Internen Revision gibt es aber für Industrieunternehmen nicht und kann insbesondere auch aus dem KonTraG nicht abgeleitet werden. 3. Um Mehrwert für das Unternehmen schaffen zu können, muss die Unternehmensleitung das Instrument Interne Revision auch nutzen. Viel zu häufig ist die Interne Revision auch heute noch nichts anderes oder nicht mehr als ein Feigenblatt. 4. Wenn das Wertesystem gerade im Top-Management nicht mehr stimmt, wenn berechnende Egomanen Geldgier, Größenwahn und Machtgier mit Führungsqualität verwechseln, dann 197

1

2

5

3

5

§5

5

4

Zusammenfassung von Kernfragen

wird eine Interne Revision es schwer haben, sich mit ihren Forderungen nach Einhaltung der (Unternehmens-)werte Gehör zu verschaffen. 5. Wie auch die Berufung von so genannten Chief Compliance Officers bewirkt eine Interne Revision nichts, wenn Aufrichtigkeit und ethisch sauberes Verhalten nicht Teil der Unternehmenskultur ist. Und die wird vor allem von der Führung vorgelebt. 6. Selbst wenn dies von der Spitze her gelebt wird: Die viel geforderte Unabhängigkeit der Internen Revision ist eine Schimäre, ein Hirngespinst. Eine gute Interne Revision mag zu objektiv richtigen Ergebnissen im Rahmen ihrer Prüfungen kommen. Wie was im Unternehmen dann kommuniziert wird, bestimmt aber immer noch die Unternehmensleitung. 7. Die Objektivität bedarf der Qualität: Qualität aber ist schwierig und selten. Sie wird häufig mit der Einhaltung formaler Regelwerke verwechselt, die man selbst aufgestellt hat. Die neue Dimension aber hieße Kreativität. 8. Ob Qualität mit Peer Reviews erreicht wird? In Anlehnung an Förster/Kreuz möchte man sagen: Wer sich ständig mit anderen vergleicht, wird vor allem eines: gleicher. Peer Reviews, Benchmarking, Best Practices – alles Copy & Paste! Karaoke im Unternehmen. 9. Die Interne Revision kann Beratungsleistungen erbringen. Selbstverständlich. Nichts anderes passiert jahrein, jahraus. Deshalb wird der Revisor aber nicht gleich zum Change Agent. Schuster, bleib’ bei deinen Leisten! 10. Und das heißt auch: Die Interne Revision sollte nicht den Managern des Unternehmens erklären, wie das Geschäft funktioniert. Das ist peinlich! Denn… 11. … der Revisor ist kein Übermensch. Trotz CIA-Examen und Code of Ethics läuft auch der Revisor nicht über Wasser. 12. Wer als Revisor vor Ort arbeitet, der weiß: Führung kommt vor Kontrolle. Schlüsselwörter guter Führung bleiben: Anstand und Charakter. Auch im Zeitalter der Globalisierung. Wir alle üben noch. Um den Herausforderungen der Zukunft zu begegnen, werden Moral, Verantwortung und Empathie erforderlich sein. Die vielen Aktivitäten in den Unternehmen, nach außen als integer und verlässlich zu erscheinen, werden heute vielfach als bloße Lippenbekenntnisse wahrgenommen. Broschüren und Ehrenerklärungen zielen an der gegenwärtigen Lebenswirklichkeit vorbei. In diesem schwierigen Umfeld ist es auch für die Interne Revision schwer, sich zu behaupten. Denn Revision findet nicht im luftleeren Raum statt.

198

Stichwortverzeichnis fette Zahlen = Paragraph andere Zahlen = Randnummer

A abstrakter Prinzipal 2 56 Agenturtheorie 2 79; 4 86 Aktienbanken 2 8 Analogie 2 41 Arbeitsteilung 2 51 Artikelgesetz 2 4 Attac 1 3 Audit Charter 2 49 Audit Committee 1 23, 207; 2 9, 111, 120; 4 85, 93, 98 Auslegungsarten 2 26 Ausstrahlung 2 41

B BaFin 2 8, 3 Balsam 2 13 Banken 2 35, 3 Bankenbereich 2 13 Basel II 2 8 Baseler Ausschuss für Bankenaufsicht 2 8 BASF 2 113 Begriffsformalismus 1 68 Beherrschungsvertrag 2 47 Berater 1 25 beredtes Schweigen 2 35 Berufsbild 4 61, 67 Berufsstand 1 29; 4 61 Berufsträger 4 61 Berufsverband 1 139 Best Practice-Gedanken 2 125 Bestandssicherungsverpflichtung 2 30 Bestechlichkeit 4 77 Bestechung 4 73 Bestechung im geschäftlichen Verkehr 4 77 Betriebsklima 1 12 Betrugsdreieck 4 83 Bilanzrechtsreformgesetz 2 6 Bremer Vulkan 2 13 Business Ethics 1 11; 4 88

Business School 1 11 BVerfG 2 98

C Cerberus 1 4 Certified Internal Auditor 1 44; 4 67 CFA 4 62 CFE 3 37; 4 62 CGAP 4 62 Chance 2 30 CIA 3 37; 4 62, 67, 71, 99 CISA 3 37; 4 62 Compliance 1 23, 83, 84, 146, 157, 240, 262, 263, 264, 265, 292, 293, 294, 295, 296, 297, 299, 300, 301, 302, 303, 304, 305, 318; 2 88; 4 5, 78, 89; 5 3 Compliance Audit 1 263 Compliance-Officer 1 23 Controller/Controlling 1 283, 288; 2 36 Corporate Governance 1 208; 2 75, 109; 4 88 Corporate Identity 1 12, 17 COSO 1 82, 86, 87, 146, 153, 154, 155, 156, 158, 159, 168, 169, 170, 171, 172, 173, 174, 175, 176, 179, 205; 3 29, 30; 4 93; 5 4 CPA 4 62 Cromme-Kommission 2 75

DDaimler-Chrysler 1 4 DCGK 2 11, 75, 6, 7; 4 90 Definitionen 1 68 Deregistrierung 2 113 Deutsche Bank 1 13 Deutsche Corporate Governance Kodex 1 232; 2 7, 75 Deutsches Institut für Interne Revision e.V. 1 42 Direktionsrecht 2 56 Dual Listing 2 113

199

Stichwortverzeichnis

E ECIIA 1 54 Eigentum 2 36 Eigentumsgrundrecht 2 30, 100 Einkaufsrichtlinie 2 48, 72 E-mail-System 4 93 Empfehlungen 2 75 Enron 1 140, 200; 2 109; 4 3, 4; 5 3 entgeltliche Zielvereinbarungen 4 88 Erklärungspflicht 2 94 Ermessen 2 24 Ermessen der Unternehmensleitungen 2 123 ERP 3 95 Ethik- und Verhaltenskodex 4 93 Ethikrichtlinie 2 48 8. EU-Richtlinie 2 9, 117 European Confederation of Institutes of Internal Auditing 1 54 Expertentum der Manager 1 13 externe Berater 2 36

F Fair Value-Ansatz 2 79 Finanzberichterstattung 2 116 Flowtex-Fall 4 86 Foreign Private Issuers 2 113 Früherkennung 2 30 Früherkennungssystem 2 18 Fugger 1 139 Funktionstrennung – Need-to-know-Prinzip 4 93

G gesamtgesellschaftliches System 1 7 Geschäftsordnung 2 47, 49, 58 Geschenkerichtlinie 2 48; 4 93 Geschichtsforschung 1 137 Gesellschaftsvertrag 2 47 Gesetzesmaterialien 2 33 Globalisierung 1 1, 21; 2 77 Great Man 1 18 Grundrecht 2 36 Gruppenprozesse 1 16

HHaftungsfragen 2 104 Handbücher 2 57 Hartz 5 3 200

Hedge-Fonds 4 86 hidden information 2 79 historische Auslegung 2 26

I IDW 1 66 IDW PS 2 5 IFRS 1 2 IIA 1 29; 4 67 IIR 1 42; 4 67 IKS 2 9, 129 individuelle Nutzenmaximierung 2 79 Innenrecht 2 10, 12, 48 innenrechtliche Vorschriften 2 127 Institut der Wirtschafsprüfer in Deutschland e.V. 1 66 Institutionalisierung 1 137 internationale Handelsverflechtung 1 2 Internationalisierung 1 2, 25; 2 9 Interne Revision 1 288 Internes Kontrollsystem 1 23, 70, 101, 105, 140, 178; 2 60, 119, 129; 4 85, 93 Intrapreneurship 1 3, 16

J Job-Rotation 4 93 judgemental work 1 28 juristische Expertise 1 24

K Kann-Anregungen 2 76 Kapitalismus 1 4 Kardinaltugend 1 11 Klöckner & Co 2 13 Kommunikation 1 23 konkreter Prinzipal 2 56 Konstitutionelle Politische Ökonomie 1 8 KonTraG 1 23; 2 13, 4; 5 3 Konzernrichtlinie 2 47 Korruption 1 6, 11, 20; 4 73 Korruptionsprävention 4 93 Kreditinstitute 2 8 Krisenfall 2 16 KWG 2 8

L lebenslanges Lernen 1 69 Leitungsermessen 2 21, 30

Stichwortverzeichnis

MMake-or-buy-Prinzip 2 36 Management Override 4 81 Manager-Bashing 2 84 Managerial Audit 1 260 Managermoral 2 84 Mannesmann 1 8; 2 84; 4 90; 5 3 MaRisk 2 8 Material Weakness 2 113 Metallgesellschaft 2 13 Mittelalter 1 139 Mobbing 1 18 motivierte Wirtschaftskriminalität 4 91

NNeed-to-know-Prinzip 4 93 Neokonservatismus 1 3 Neoliberalismus 1 3 Normvakuum 2 18

O old boys network 4 98 Ombudsmann 4 93 One-Tier-Modell 2 76 operative Revisionsarbeit 2 71 Organisation 1 9, 18, 23 Organisationsfreiheit 2 30, 36 Organisationssoziologie 1 9 Organisationstypen 2 53 Outsourcing 2 36

P partizipatives Managementprinzip 1 16 PCAOB 2 110 peer-to-peer Reviews 4 62 peer-to-peer-pressure 1 12 planwidrige Lücke 2 41, 45 Polizei 4 98 Principal-Agent-Theory 2 79 Property-Rights-Ansatz 2 79 Prozessabhängigkeit 2 36 Prozesstransparenz 4 93 Prüfungsausschuss 2 1220 public oversight 2 118

Q QA-Assessor 4 62 Quality Assessment 4 62

R Rationalisierung 1 17 Rechnungshöfe 1 138 Rechtsfortbildung 2 30 Red Ribbon 4 68 Revisionsbericht 1 26, 121; 3 123, 128, 129, 131, 136, 143, 153; 4 23, 96 Revisionsbericht als Visitenkarte 4 70 Revisionsehre 4 99 Revisionshandbuch 2 49, 71 Revisionsrichtlinie 2 12, 49, 127 Revisionsseminar 4 99 Richtlinien 2 58 Risiko 2 19, 30 Risiko-Management 1 23; 2 6 Risikomanagementsystem 2 18, 30 Rollenverhalten 2 54

S Sarbanes-Oxley Act 2 9 Schadensersatzpflicht 2 36 Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. 1 60 Schneider 2 13 SEC 2 110 Securities Act 2 109 Securities Exchange Act 2 109 Selbstverpflichtungen der Wirtschaft 2 7 Sentencing Guidelines 4 87 Shareholder Value 1 3; 4 87 Siemens 1 200; 2 75, 87; 4 77, 84, 89; 5 3 Significant Deficiencies 2 116 SOA 2 9 Soll-Empfehlungen 2 76 Sorgfaltspflicht 2 126 SOX 2 109 Sozialsysteme 1 9 Standesrichtlinien 4 61 Statusfragen 2 54 systematische Auslegung 2 26 Systemtheorie 1 7, 10

T Team 1 14 Teamarbeit 1 16 Telefonhotline 4 93 teleologische Auslegung 2 26 201

Stichwortverzeichnis

Theorie des effizienten Vertragsbruchs 1 8; 4 87 Thyssen-Krupp 2 75, 85 Top-Management-Fraud 4 85 Transparency International 4 87, 94 TransPuG 2 6, 89 Treubruchtatbestand 2 103 Two-Tier-Modell 2 76, 83

UÜberschuldung 2 30 Überwachungsaufgabe 2 17 Überwachungssystem 2 18, 20 umfassendes Risikomanagementsystem 2 20 Unternehmensberater 1 11 Unternehmensethik 1 11 Unternehmenskultur 1 11 Untreue 2 103 US-Börsen 2 9 US-GAAP 1 2

V Verfahrensrichtlinien 2 57 verfassungskonforme Auslegung 2 102 Verhaltenskodex 1 6 Verrechtlichung der Gesellschaft 1 25

202

Vier-Augen-Prinzip 4 93 Visitatores 1 138 Vorstand 2 24 Visitenkarte 3 122 VorstOG 2 83 Vorteilsnahme 4 77 VW 1 21, 200

WWal-Mart 2 73 Werte 1 11 Wertediskussionen 1 11 Wesentlichkeitstheorie 2 96 Whistleblower 1 21 Whistleblowersystem 4 93 Wiederdurchseher 1 23 Wirtschaftskriminalität 4 73 Wirtschaftsprüfer 2 36 Wissen 1 69 WorldCom 1 140 Worldcom 1 200; 2 109 wörtliche Auslegung 2 26

Z Zahlungsunfähigkeit 2 30 Zielvereinbarungen 2 79