Prüfung der Wirksamkeit von Risikomanagement- und Internen Kontrollsystemen: eine Herausforderung

Risikomanagementsysteme: Hohe Anforderungen durch Gesetzgeber

Der Gesetzgeber stellt zunehmend hohe Anforderungen an die Risikomanagementsysteme von Unternehmen. Auch wenn diese die Zukunft betreffen und daher stets unsicher sein müssen, werden doch, etwa mit § 91 Abs. 2 AktG, Früherkennungssysteme gefordert, die bestandsgefährdende Risiken rechtzeitig anzeigen sollen. Nach § 1 StaRUG wird im Ergebnis für alle haftungsbeschränkten Unternehmen ein Risikomanagement gefordert. Nach § 107 Abs. 3 AktG kann der Aufsichtsrat insbesondere einen Prüfungsausschuss bestellen, der sich u. a. mit der Überwachung des Rechnungslegungsprozesses und der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems zu befassen hat. Wird kein Prüfungsausschuss gebildet (dieser ist nur für kapitalmarktorientierte Unternehmen verpflichtend), muss das gesamte Gremium sich damit befassen. Nach der Legaldefinition des § 264d HGB sind dies Gesellschaften, die einen organisierten Markt i. S. d. § 2 Abs. 11 WpHG durch von ihnen ausgegebene Wertpapiere gem. § 2 Abs. 1 Satz 1 WpHG (Aktien oder vergleichbare Anlagewerte bzw. Zertifikate, die Aktien vertreten, Schuldtitel, etwa Inhaber- oder Orderschuldverschreibungen, Genuss- und Optionsscheine oder Zertifikate, die Schuldtitel vertreten) in Anspruch nehmen oder die Zulassung zum Handel an einem organisierten Markt beantragt haben.

Risikomanagementsystem: Bericht im Lagebericht kapitalmarktorientierter Unternehmen

Allerdings haben nur kapitalmarktorientierte Unternehmen im Lagebericht in einem Risikomanagement-Bericht nach § 289 Abs. 4 HGB die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben. Gemeint ist das Interne Überwachungssystem (IÜS) bzw. Internal Control System nach COSO in Bezug auf den Rechnungslegungsprozess. Hierunter fallen nach Paetzmann (Haufe HGB Bilanz Kommentar, 16. Aufl. 2025, § 289 HGB Rz. 109)

• Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Rechnungslegung, zur Sicherung der Ordnungsmäßigkeit der Rechnungslegung sowie zur Sicherung der Einhaltung der maßgeblichen Rechtsvorschriften (organisatorische Sicherungsmaßnahmen und das Controlling, sofern rechnungslegungsrelevant),
• das interne Revisionssystem, soweit es auf den Rechnungslegungsprozess ausgerichtet ist,
• das Risikomanagementsystem im Hinblick auf den Risikomanagementprozess, was dann Bedeutung erlangt, wenn die Gesellschaft Risikoabsicherungen betreibt, die handelsbilanziell abgebildet werden.

Im Deutschen Corporate Governance Kodex wird dies jedoch mit Empfehlung A5 erweitert, indem im Lagebericht die wesentlichen Merkmale des gesamten internen Kontrollsystems und des Risikomanagementsystems beschrieben werden sollen und zur Angemessenheit und Wirksamkeit dieser Systeme Stellung genommen werden soll.

Unternehmen lassen häufig neben dem Risikobericht auch die Systeme durch den Wirtschaftsprüfer prüfen

Diese zunächst alle sehr logisch wirkenden Forderungen stellen die Vorstands- und Aufsichtsratsmitglieder regelmäßig vor enorme Herausforderungen, da sich die Unwirksamkeit im Zeitverlauf mit Eintritt eines (unerwarteten) Risikos herausstellen kann und damit die zuvor erfolgten Maßnahmen zur Sicherstellung der Wirksamkeit als nicht ausreichend offenbar werden. Daher verwundert es wenig, wenn zur weiteren Absicherung die im Unternehmen eingesetzten Systeme einer weiteren Überprüfung durch einen Wirtschaftsprüfer unterzogen werden. Hierbei müsste eigentlich klar getrennt werden von der Prüfung der Lageberichterstattung im Rahmen der pflichtigen Abschlussprüfung und der Prüfung der Systeme, wobei dies in der Praxis nur wenig trennscharf gelingt.

Prüfung des Risikoberichts und Prüfung der Systeme oft wenig trennscharf – IDW bemüht sich um klare Abgrenzung in den Standards

Daher bemüht sich das IDW in den Prüfungsstandards eine klare Abgrenzung hinzubekommen. So finden sich Hinweise zur Pflichtprüfung der Lageberichtsaussagen im IDW PS 350 n. F. Prüfung des Lageberichts im Rahmen der Abschlussprüfung, wobei dort jedoch kein Bezug auf die DCGK-Empfehlung A5 genommen wird. Darüber hinaus gibt es mit IDW PS 981 Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen, IDW PS 982 Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems des internen und externen Berichtswesens und IDW PS 983 Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen Standards zur Prüfung der Systeme.

Neufassung des IDW PS 983 Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen

Zu Letzterem ist nun eine aktualisierte Neufassung mit IDW PS 983 n. F. (12.2025) veröffentlicht worden. Notwendig wurde die Überarbeitung durch den vom Institute of Internal Auditors (IIA) neuen Global Internal Audit Standards (GIAS). Die Anpassung des IDW PS 983 erfolgte in Zusammenarbeit mit dem Deutschen Institut für Interne Revision e. V. (DIIR) durch die innerhalb der Geschäftsstelle eingerichtete Arbeitsgruppe. Die Arbeitsgruppe hat die erforderliche Anpassung an die neuen GIAS zum Anlass genommen, weitere Anpassungen in IDW PS 983 an zwischenzeitlich verabschiedete und in Kraft getretene nationale Gesetze sowie aktualisierte praxisorientierte Anwendungshinweise zur EU-Verordnung zur Abschlussprüfung (EU-APrVO) aus dem IDW Positionspapier zu Nichtprüfungsleistungen des Abschlussprüfers vorzunehmen. Auf eine grundsätzliche Überarbeitung des IDW PS 983, vor allem auf eine Anpassung an IDW PS 980 n. F. (09.2022), wurde verzichtet.

IDW PS 983 n.F. (12.2025) ist erstmals anzuwenden bei freiwilligen Prüfungen von IRS, die nach dem 6.1.2026 beauftragt werden. Eine vorzeitige Anwendung ist zulässig.

Die IDW Verlautbarung ist in der IDW Life 1/2026 abgedruckt.