FISG verpflichtet börsennotierte Gesellschaften zu internem Kontrollsystem (IKS)

In verkürzter Frist hat der Bundesrat bereits am 28. Mai 2021 dem Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz – FISG) zugestimmt. Der Bundestag hatte das Gesetz nur eine Woche zuvor am 20. Mai 2021 verabschiedet.

Somit tritt das Gesetz, wie geplant, im Wesentlichen zum 1. Juli 2021 in Kraft. Wir berichteten >>

Das FISG ist innerhalb eines sehr kurzen Zeitraums als Reaktion auf den „Wirecard-Skandal“ entstanden. Laut Regierungsentwurf zielt das Gesetz „auf die Umsetzung der vordringlichen Maßnahmen zur Wiederherstellung und dauerhaften Stärkung des Vertrauens in den deutschen Finanzmarkt“.

Neue gesetzliche Pflichten für Vorstände

Eine dieser „vordringlichen Maßnahmen“ besteht in der Einführung einer gesetzlichen Pflicht des Vorstands einer börsennotierten Gesellschaft zur Einrichtung eines angemessenen und wirksamen internen Kontrollsystems. Durch Artikel 15 Nummer 1 FISG wird dem § 91 AktG folgender Absatz 3 angefügt:

„(3) Der Vorstand einer börsennotierten Gesellschaft hat darüber hinaus ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten.“

In der Begründung zum Gesetzentwurf der Bundesregierung wird hierzu ergänzend ausgeführt: „Auch wenn es sich also um eine neue gesetzliche Pflicht handelt, ist – vor dem Hintergrund der sich aus § 93 Absatz 1 Satz 1 AktG ergebenden Organisationspflichten der Vorstandsmitglieder – bereits nach geltendem Recht davon auszugehen, dass diese Pflichten insbesondere bei kapitalmarktorientierten Gesellschaften im Regelfall die Einrichtung von Kontroll- und Risikomanagementsystemen verlangen. (...) Die gesetzliche Festlegung der Pflicht zur Einrichtung der beiden Systeme soll deren Bedeutung insbesondere für die hier erfassten Unternehmen unterstreichen. Dennoch wird hierdurch die Rechtslage für diejenigen Aktiengesellschaften nicht geändert oder abgeschwächt, die der Neuregelung nicht unterfallen. Für die Vorstandsmitglieder nicht-börsennotierter Unternehmen kann die Pflicht zur Einrichtung entsprechender Systeme weiterhin aus der sie treffenden Sorgfaltspflicht nach § 93 Absatz 1 AktG folgen. Die Entscheidung, Risikomanagement- oder interne Kontrollsysteme einzuführen, steht bei diesen Unternehmen also weiterhin im Leitungsermessen des Vorstands. Dieses Leitungsermessen wird für börsennotierte Unternehmen insoweit eingeschränkt, dass hier im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessene und wirksame interne Kontrollsysteme und Risikomanagementsysteme verpflichtend werden sollen; einzig die Frage der konkreten Ausgestaltung angemessener und wirksamer interner Kontrollsysteme und Risikomanagementsysteme im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens steht im Leitungsermessen des Vorstands börsennotierter Unternehmen. (…) Das interne Kontrollsystem umfasst die Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Sicherung der Ordnungsmäßigkeit der Rechnungslegung und zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften (…)“ (Hervorhebungen fett ergänzt)

Internes Kontrollsystem gehört zu Sorgfaltspflichten von Vorstandsmitgliedern/Geschäftsführern

Die Regierungsbegründung macht deutlich, dass auch aus Sicht des Gesetzgebers die Einrichtung eines angemessenen und wirksamen internen Kontrollsystems zu den Sorgfaltspflichten der Vorstandsmitglieder nach § 93 Abs. 1 S. 1 AktG („Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“) zählen. Nichts anderes kann unseres Erachtens für die Geschäftsführer einer GmbH gelten, die analog nach § 43 Abs. 1 GmbHG in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden haben. Über die Regierungsbegründung wird die gesetzliche Neuregelung des § 91 Abs. 3 AktG Ausstrahlungswirkung auch auf nicht-börsennotierte Aktiengesellschaften sowie Unternehmen anderer Rechtsformen haben. Die konkrete Ausgestaltung eines angemessenen und wirksamen internen Kontrollsystems ist dabei jedoch unternehmensindividuell festzulegen und abhängig von Faktoren wie z.B. Unternehmensgröße und -komplexität, Art und Umfang der Geschäftstätigkeit, Branche und Betätigungsfelder des Unternehmens, nationale oder internationale Ausrichtung der Geschäftstätigkeit, Organisationsstruktur des Unternehmens, Kundenkreis des Unternehmens, Grad der Delegation von Aufgaben auf Unternehmensexterne oder Grad der arbeitsteiligen Bearbeitung und der unternehmensinternen Aufgabendelegation.

Eine Verletzung bzw. Nichterfüllung der Sorgfaltspflichten kann entsprechende persönliche Haftungsfolgen auslösen; dies gilt insbesondere bei kodifizierten Sorgfaltspflichten.

Parallelen zum Sarbanes-Oxley Act

Insgesamt weist das FISG deutliche Parallelen zum US-amerikanischen Sarbanes-Oxley Act von 2002 auf. Dieses – unverändert gültige – US-Bundesgesetz war ebenfalls als Reaktion auf diverse Finanzskandale (insb. Enron und Worldcom) innerhalb kürzester Zeit entstanden und richtet sich an alle Gesellschaften, deren Aktien an amerikanischen Börsen gelistet sind. Auch gemäß Sarbanes-Oxley-Act ist das Management der Unternehmen aufgefordert, die Wirksamkeit des internen Kontrollsystems sicherzustellen. Ergänzend muss das Management eine verbindliche Erklärung über die Wirksamkeit des internen Kontrollsystems gegenüber der Öffentlichkeit abgeben und die Wirksamkeit des IKS ist zusätzlich vom Abschlussprüfer zu prüfen und zu bestätigen.

Die Verabschiedung des FISG ist somit kein „deutsches Phänomen“, sondern Element einer Kette von Maßnahmen, die international ergriffen wurden und werden, um das Vertrauen in die Finanzmärkte und insbesondere die Kapitalmarktinformationen sowie Unternehmensüberwachung zu stärken.

Auch der deutsche Gesetzgeber hat nun mit Verabschiedung des FISG der Tatsache Rechnung getragen, dass ein angemessenes und wirksames internes Kontrollsystem unabdingbare Voraussetzung für eine korrekte und zeitgerechte Bereitstellung von Unternehmensinformationen und insbesondere die Finanzberichterstattung ist.

Der Aufbau eines angemessenen und wirksamen internen Kontrollsystems ist eine Investition in die Zukunft und dies nicht nur für börsennotierte Unternehmen. Die Folgen eines fehlenden oder unzureichenden internen Kontrollsystems haben sich in zahlreichen größeren und kleineren Unternehmenszusammenbrüchen manifestiert. Der Nutzen eines angemessenen und wirksamen IKS überwiegt bei Weitem die Implementierungskosten, sodass nicht nur aufgrund gesetzlicher Verpflichtung, sondern insbesondere aus wirtschaftlich rationalem Handeln die Implementierung eines effizienten und effektiven IKS angezeigt ist.

Entsprechend sollten sich Unternehmen die Frage stellen, wie ein angemessenes und wirksames internes Kontrollsystem unter Berücksichtigung des Umfangs der Geschäftstätigkeit und der spezifischen Risikolage konkret ausgestaltet werden sollte und welche wesentlichen Schritte die anschließende Implementierung umfassen sollte. Sofern ein Unternehmen bereits über ein IKS verfügt, sollte dieses vor dem Hintergrund des FISG noch einmal auf den Prüfstand gestellt werden – z. B. im Rahmen einer sog. Angemessenheitsprüfung oder Wirksamkeitsprüfung eines internen Kontrollsystems gemäß IDW PS 982 (IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems des internen und externen Berichtswesens).