Konzernlagebericht: Inhalt und Ausgestaltung / 3.7 Bericht über das interne Kontroll- und Risikomanagementsystem im Hinblick auf den Konzernrechnungslegungsprozess

Rz. 106

Die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Konzernrechnungslegungsprozess sind in den Konzernlagebericht nach § 315 Abs. 4 HGB aufzunehmen, sofern das Mutterunternehmen oder ein in den Konzernabschluss einbezogenes Tochterunternehmen ein kapitalmarktorientiertes Unternehmen i. S. d. § 264d HGB ist.^[1] Die Position des Berichts im Konzernlagebericht ist gesetzlich nicht geregelt. Es ist daher zulässig, diese Angaben in den Risikobericht nach § 315 Abs. 1 Satz 4 HGB zu integrieren. Dies darf jedoch gemäß DRS 20.K169 die Klarheit und Übersichtlichkeit des Konzernlageberichts nicht beeinträchtigen. Risiken, welche die Ordnungsmäßigkeit und Gesetzeskonformität der Rechnungslegung des Konzerns beeinträchtigen können, fallen nicht unter die Berichtspflicht aus § 315 Abs. 4 HGB, denn diese sind bereits Gegenstand von § 315 Abs. 1 Satz 4 HGB, sofern derartige Risiken für die künftige Geschäftsentwicklung des Konzerns wesentlich sind.^[2]

Rz. 107

Inhaltlich gefordert sind Angaben über die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Konzernrechnungslegungsprozess. Die Beschränkung auf wesentliche Merkmale deutet auf eine gewollt begrenzte Darstellung des internen Kontroll- und Risikomanagementsystems hin.^[3] Die Berichterstattung nach § 315 Abs. 4 HGB beschränkt sich zudem auf jenen Teil des internen Kontroll- und Risikomanagementsystems, der sich auf den Konzernrechnungslegungsprozess bezieht. Die Beschränkung erfolgt, da berechtigte schutzwürdige Interessen möglicherweise durch Angaben zu dem nicht rechnungslegungsbezogenen Teil gefährdet würden.^[4] Die zu machenden Ausführungen zu diesem System müssen sich auf den Rechnungslegungsprozess des gesamten Konzerns beziehen.^[5] Dies erfordert zunächst Ausführungen zu den für die Aufstellung des Konzernabschlusses wesentlichen Merkmalen der Konsolidierungsprozesse. Darüber hinaus ist auf die wesentlichen Merkmale der für den Konzernabschluss und Konzernlagebericht relevanten Rechnungslegungsprozesse aller einbezogenen Unternehmen einzugehen.^[6] Eine Beschränkung der Ausführungen nur auf das interne Kontroll- und Risikomanagementsystem der kapitalmarktorientierten Unternehmen des Konzerns ist unzulässig.

Rz. 107a

Die Berichtspflicht nach § 315 Abs. 4 HGB erfordert eine Systembeschreibung, d. h. über die Strukturen und Prozesse des vorhandenen internen Kontroll- und Risikomanagementsystems ist zu berichten.^[7] Dies erfordert zwar, die relevanten Kontroll-, Organisations- und Überwachungsmaßnahmen dieser Systeme zu beschreiben. Eine eigenständige Würdigung ist jedoch entbehrlich. Das Geschäftsführungsorgan muss an die Rechnungslegungsadressaten somit keine Einschätzung über die Funktionsfähigkeit des Risikomanagementsystems vermitteln. Insbesondere sind keine Angaben zur Effektivität und zur Effizienz des Systems erforderlich.^[8] Jedoch geht der Gesetzgeber davon aus, dass bereits die Beschreibung des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess die gesetzlichen Vertreter des Mutterunternehmens dazu zwingt, sich mit dem System und der Frage nach seiner Effektivität auseinander zu setzen.^[9]

Rz. 108

Umfang und Detailtiefe der Erläuterung hängen von den individuellen Gegebenheiten der Gesellschaft ab. Insgesamt müssen die Ausführungen den Rechnungslegungsadressaten jedoch eine Einschätzung des internen Kontroll- und Risikomanagementsystems ermöglichen, soweit es sich auf die mit dem Konzernrechnungslegungsprozess verbundenen Risiken erstreckt.^[10] Liegt dem System ein allgemein anerkanntes Rahmenkonzept wie das Internal Control – Integrated Framework von COSO zugrunde, ist dies nach DRS 20.172 im Konzernlagebericht anzugeben.^[11] Die Ausführungen zum internen Kontroll- und Risikomanagementsystem erfordern nach der Gesetzesbegründung Aussagen zu:

• den Grundsätzen, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und – sofern vorhanden – zur Sicherstellung der Wirtschaftlichkeit der Kontrollen im Konzernrechnungslegungsprozess. (Die Wirksamkeit der Kontrollen bezieht sich dabei auf die Sicherung der Ordnungsmäßigkeit der Rechnungslegung sowie der Einhaltung der maßgeblichen Rechtsvorschriften; insbesondere durch rechnungslegungsrelevante organisatorische Sicherungsmaßnahmen und das Controlling.),
• dem internen Revisionssystem, soweit es auf den Rechnungslegungsprozess ausgerichtet ist,
• dem internen Risikomanagementsystem im Hinblick auf den Rechnungslegungsprozess vornehmlich soweit, wie mit diesem die in der Rechnungslegung abzubildenden Bewertungseinheiten überwacht und gesteuert werden.^[12]

Rz. 109

Über das interne Kontrollsystem und interne Risikomanagementsystem ist grundsätzlich getrennt zu berichten. Wo es sinnvoll ist, können gemäß DRS 20.K171 die Ausführungen jedoch zusammengefasst erfolgen. Dabei sind die Ausführungen auf die für einen externen Adressaten relevanten Informationen zu beschränken. Hinsichtlich der Kontr...