Die Sicherstellung der Beachtung des geltenden Rechts für Unternehmen ist aufgrund der hohen gesetzlichen Anforderungen an Unternehmen sehr herausfordernd. Daher hat sich das IDW des Themas angenommen und unter dem Titel „Compliance-Kultur in deutschen Unternehmen verbessern – zur Empfehlung A.5 DCGK 2022“ ein Positionspapier verfasst.
Die gesetzlichen Anforderungen an Unternehmen steigen trotz eines angekündigten Bürokratieabbaus aktuell stark. Auch die Gesetzgebung erscheint wenig abgestimmt. Aktuelle Beispiele sind die zum Jahreswechsel noch nicht einmal als Referentenentwurf vorliegende Umsetzung der Nachhaltigkeitsberichterstattungsrichtlinie der EU, die ab dem 1.1.2024 anzuwenden ist, die angekündigte, aber ebenfalls bislang nicht einmal als Gesetzesentwurf vorliegende rückwirkende Erhöhung der monetären Schwellenwerte ggf. sogar noch für das Geschäftsjahr 2023, sowie das nicht rechtzeitig verabschiedete Wachstumschancengesetz.
Die Sicherstellung der Beachtung des geltenden Rechts für Unternehmen ist daher sehr herausfordernd. Gleichzeitig steigen die Anforderungen, diese Sorgfaltspflicht der Geschäftsführung im Organisationsprozess sicher zu verankern.
IDW Positionspapier „Compliance-Kultur in deutschen Unternehmen verbessern – zur Empfehlung A.5 DCGK 2022“
Das IDW hat sich daher des Themas angenommen und unter dem Titel „Compliance-Kultur in deutschen Unternehmen verbessern – zur Empfehlung A.5 DCGK 2022“ ein Positionspapier verfasst. Ausgangpunkt sind die gesetzlichen Forderungen. Aus der Leitungspflicht des Vorstands nach § 76 AktG ergeben sich zahlreiche Organisations- und Sorgfaltspflichten, zu denen die Einhaltung der gesetzlichen Vorschriften gehört. Einige dieser Pflichten sind in § 91 AktG explizit genannt, konkret die Pflicht zur Buchführung (Abs. 1) und zur Einrichtung eines Risikofrüherkennungssystems (Abs. 2) sowie für börsennotierte Gesellschaften die Pflicht zur Einrichtung eines im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenen und wirksamen internen Kontrollsystems (IKS) und Risikomanagementsystems (RMS) (Abs. 3). Allerdings wird in der Regierungsbegründung vor dem Hintergrund der sich aus § 93 Abs. 1 Satz 1 AktG ergebenden Sorgfaltspflicht der Vorstandsmitglieder bereits nach vorheriger Rechtslage davon ausgegangen, dass Vorstände von Aktiengesellschaften, insbesondere von kapitalmarktorientierten Gesellschaften, Kontroll- und Risikomanagementsysteme einzurichten haben.
Deutscher Corporate Governance Kodex (DCGK) 2022
Diese eher klarstellende Haltung hat auch die Kodexkommission bei der letzten Überarbeitung des Deutschen Corporate Governance Kodex (DCGK) 2022 eingenommen. So wird in Grundsatz 5 die gesetzlichen Anforderungen wiedergegeben mit: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der internen Richtlinien zu sorgen und wirkt auf deren Beachtung im Unternehmen hin (Compliance). Das interne Kontrollsystem und das Risikomanagementsystem umfassen auch ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System.“ Dies wurde ergänzt um die Empfehlung A.5, nach der im Lagebericht die wesentlichen Merkmale des gesamten internen Kontrollsystems und des Risikomanagementsystems beschrieben werden sollen und dabei auch auf die Angemessenheit und Wirksamkeit dieser Systeme eingegangen werden soll. Der DCGK ist zwar nur von börsennotierten AG im Rahmen einer Entsprechenserklärung nach § 161 AktG zu beachten und somit kann Empfehlungen begründet nicht gefolgt werden, doch gibt es erhebliche Ausstrahlungswirkungen auf alle anderen Unternehmen, die aktuell auch bereits über entsprechende Rechtsprechung im Zusammenhang mit den Sorgfaltspflichten bei der Beantragung von Fördermitteln (Urteil noch nicht veröffentlicht) deutlich werden.
Die Notwendigkeit zur Einrichtung von CMS kommt dabei auch aus der Ecke der Nachhaltigkeitsberichterstattung und der Sorgfaltspflichtenregulierung. Diese setzen voraus, dass in Unternehmen entsprechende Systeme vorhanden sind, über die dann zu berichten ist bzw. über die die Einhaltung der Regeln (insb. der Menschenrechte) überwacht und sichergestellt werden kann.
Konkrete Umsetzung
Zur konkreten Umsetzung gibt es einige Regelwerke, wie etwa das „Unternehmensweite Risikomanagement – Übergreifendes Rahmenwerk (COSO II)“ oder die OECD-Leitsätze für multinationale Unternehmen. Wie dargestellt werden verschiedenste Regulierungen und zunehmend auch die Rechtsprechung auf das Vorhandensein derartiger Systeme abstellen und diese mehr oder weniger konkret einfordern. Das IDW hat in seinem Positionspapier die Diskussion weiter befeuert und kommt zu dem Ergebnis, dass während die Unternehmensorgane selbst die Verantwortung haben, entsprechende Systeme einzurichten bzw. diese zu überwachen, Wirtschaftsprüfer den Aufsichtsrat bei der Ausübung seiner Prüfungs- und Überwachungsaufgaben unterstützen können. Hierfür stehen derzeit vor allem die Instrumente der Systemprüfungen nach der IDW PS 980er-Reihe zur Verfügung.
Weitere Informationen sind hier abrufbar.