Mann und Frau reden

Gesetz zur Stärkung der Finanzmarktintegrität

  • Jens C. Laue, Partner |

Keyfacts

  • Ende Oktober wurde der Referentenentwurf des FISG veröffentlicht.

  • Die geplanten Regelungen betreffen die interne wie externe Corporate Governance.

  • Die Einrichtung angemessener und wirksamer Risikomanagement- und Interner Kontrollsysteme wird nun gesetzlich vorgeschrieben

  • Auch ein Prüfungsausschuss wird künftig zur Pflicht.

Das Bundesministerium der Finanzen und das Bundesministerium der Justiz und für Verbraucherschutz haben am 26. Oktober 2020 den gemeinsamen Referentenentwurf eines Gesetzes zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz  - FISG) veröffentlicht. Insbesondere als Antwort auf die Vorgänge rund um die Insolvenz von Wirecard werden umfassende Gesetzesänderungen vorgelegt.

Aus dem Entwurf lassen sich Maßnahmen herauslesen, die einerseits die externe Corporate Governance (im Wesentlichen Bilanzkontrollverfahren und Abschlussprüfung) und andererseits die interne Corporate Governance (Risikomanagement und interne Kontrollsysteme, Prüfungsausschuss) betreffen. Im Folgenden sollen die vorgeschlagenen Änderungen der internen Corporate Governance näher beleuchtet werden.

Erweiterung der Governance-Einrichtungspflichten

Nach herrschender Meinung ist bereits heute aus dem Aktienrecht (insb. § 107 Abs. 3 AktG i.V.m. § 93 AktG) sowie für börsennotierte Unternehmen auch im Zusammenspiel mit § 161 AktG und dem Deutschen Corporate Governance Kodex die Pflicht zur Einrichtung eines Risikomanagements sowie eines internen Kontrollsystems zu entnehmen. Nach dem Willen der Bundesministerien soll diese Einrichtungspflicht zur Absicherung der Implementierung nunmehr in § 93 AktG Abs. 1a auch ausdrücklich so kodifiziert werden, dass börsennotierte Gesellschaften im Rahmen ihrer Sorgfaltspflicht ein angemessenes und wirksames internes Kontrollsystem sowie Risikomanagementsystem einrichten müssen.

Bedeutung des Compliance-Management-Systems

Hierbei stellt sich allerdings die Frage, warum gerade das Compliance-Management-System (CMS), das sich mittlerweile in der Praxis als wichtige weitere Säule der Governance in den Unternehmen etabliert hat, nur untergeordnet erwähnt wird. Statt einer eigenen Kodifizierung analog zum internen Kontrollsystem bzw. Risikomanagementsystem wird die Notwendigkeit eines CMS in den Erläuterungen zum Gesetzentwurf explizit weiter nur aus der Legalitätskontrollpflicht des Vorstands abgeleitet und nicht gesondert berücksichtigt. Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) hatte in einem Positionspapier nicht nur die Einrichtung eines CMS, sondern auch dessen Prüfung durch den Abschlussprüfer gefordert.

Die nicht vorgenommene Kodifizierung ist zwar im Einklang mit der fehlenden Nennung insbesondere in § 107 Abs. 3 AktG, entspricht aber nicht mehr der Unternehmenspraxis bzw. den Anforderungen des Deutschen Corporate Governance Kodex. In diesem wird vom Vorstand gefordert, ein Compliance-Management-System einzurichten. Es wäre meines Erachtens anzuraten gewesen, dies im Zuge der aktuellen Gesetzesänderungen zu harmonisieren. 

Nachweis von Angemessenheit und Wirksamkeit

Als Anforderungen an die einzurichtenden Risikomanagement- und Kontrollsysteme werden im Gesetzestext die Begriffe „angemessen“ und „wirksam“ verwendet. Diese leiten sich aus der Beurteilung von Governance-Systemen ab, wie sie zum Beispiel in den Prüfungsstandards (PS) des IDW zur Prüfung von entsprechenden Systemen (insb. PS 980, 981, 982 und 983) verwendet werden. Als „angemessen“ werden hier Systeme bezeichnet, die geeignet sind, mit hinreichender Sicherheit die wesentlichen Risiken rechtzeitig zu identifizieren, zu bewerten und zu steuern.  Ein System ist zusätzlich „wirksam“, wenn es so, wie es konzipiert ist, auch tatsächlich gelebt wird. 

Es ist noch unklar, ob aus der Wortwahl des Gesetzgebers eine direkte (interne oder externe) Prüfungspflicht hervorgeht. Eindeutig ist aber, dass die Feststellung der reinen Existenz  - also der bloßen Einrichtung eines Risikomanagementsystems bzw. internen Kontrollsystems  - in Zukunft nicht mehr ausreichen wird.

Um eine Aussage zur Angemessenheit und Wirksamkeit treffen zu können, ist der Vorstand gezwungen, sich mit der Eignung und der Funktionsfähigkeit der Systeme auseinanderzusetzen. Ob er dies selbst, durch Hinzuziehen der internen Revision oder mit Hilfe eines externen Prüfers tut, ist dabei unerheblich. Unstrittig ist jedoch, dass eine Nachweisführung und entsprechende Dokumentation der Einschätzung im Zweifelsfall erbracht werden müssen.

Einrichtung eines Prüfungsausschusses

Der Entwurf für das FISG sieht vor, in § 107 AktG die bloße Möglichkeit zur Einrichtung eines Prüfungsausschusses durch eine Pflicht zu ersetzen. In Absatz 4 wird zukünftig der Aufsichtsrat zur Bildung eines solchen Komitees verpflichtet. Bereits im Deutschen Corporate Governance Kodex ist die Forderung nach einem Prüfungsausschuss verbindlich festgehalten  - dieser Pflicht können sich Unternehmen bisher jedoch im Rahmen der Entsprechenserklärung unter Verwendung des „comply or explain“-Ansatzes entziehen und das Fehlen eines solchen Ausschusses offenlegen. Dies ist zu begrüßen, denn in einer stetig komplexer werdenden Unternehmensumwelt sowie steigenden regulatorischen Anforderungen ist die intensive Beschäftigung mit den Prüfungsherausforderungen und Überwachungspflichten eminent wichtig. Interessant im Entwurf ist weiterhin der Hinweis, dass sich der Prüfungssauschuss direkt Informationen von den Leitern der internen Revision, des internen Kontrollsystems sowie des Risikomanagements, ohne Einschaltung (sondern nur bei Information) des Vorstands, einholen kann.