Jahresabschlussprüfung und Risikomanagement: Die Überwachung des Risikomanagements

zuletzt aktualisiert am 30. April 2020 | Lesedauer: ca. 3 Minuten

Die Jahresabschlussprüfung und das Risikomanagementsystem eines Unternehmens sind auf den ersten Blick getrennte Dinge. Allerdings sind beide als Teil eines über­greifenden Überwachungssystems eines Unternehmens zu sehen.

• Three-Lines-Defense-Modell »

• Abschlussprüfung: Risikoorientierte Prüfung der Rechnungslegung »

Three-Lines-Defense-Modell

Die verschiedenen Rollen des Managements und die Maßnahmen des Risikomanagements, der Steuerung und Überwachung können sehr anschaulich mit Hilfe des Three-Lines-Defense-Modell dargestellt werden. Das Modell wurde im Januar 2013 im Positionspapier „The three lines of defense in effective risk management and control“ ^[1] des Institute of Internal Auditors (IIA) publiziert. In dem im Juni 2019 begonnenen Exposure Projekts ^[2] erarbeitet das IIA Vorschläge zur Erweiterung und Verbesserung des Modells.



Das Modell beschreibt die jeweiligen Rollen der Geschäftsleitung und des operativen Managements, der Risiko- und Compliance-Funktionen sowie der internen Revision. Es unterstützt Unternehmen, Zuständigkeiten zu bestimmen und Überschneidungen zu vermeiden, wenn sie Verantwortlichkeiten für Risikomanagement- und Kontrollaktivitäten zuweisen. Es wird auch der Einfluss des Abschlussprüfers und der Aufsichtsbehörden hervorgehoben.

Die Verantwortung liegt zunächst bei den Mitarbeitern in der 1. Verteidigungslinie, die neben dem Aufbau operativer Kontrollen auch eigene Kontrollen durchführen und Steuerungsmechanismen etablieren müssen.

Mit zunehmender Unternehmensgröße richtet die Unternehmensleitung ein Controlling, ein Risikomanagement und eine Compliance-Abteilung ein.

Die interne Revision ist Kern der 3. Verteidigungs­linie und sollte Risiken aufdecken, wenn die vorge­lagerten Systeme sie nicht verhindern konnten. Dabei erfolgt die Überwachung durch organisatorisch unab­hängige Mitarbeiter des Unternehmens; die interne Revision ist prozessunabhängig, aber trotzdem durch das geprüfte Unter­nehmen zu gewährleisten.

Der Abschlussprüfer ist nicht Bestandteil des internen Kontrollsystems. Trotzdem spielt er eine wichtige Rolle in der Governance des Unternehmens, da er nicht nur aufgrund seiner ihm vom Gesetzgeber verliehenen Rolle, in der er die Ordnungsmäßigkeit der Rechnungslegung mit gewährleistet, sondern auch außerhalb der Ab­schluss­­prüfung Aufgaben zur Überwachung und Weiterentwicklung des gesamten internen Kontrollsystems wahrnimmt.

Abschlussprüfung: Risikoorientierte Prüfung der Rechnungslegung

Abschlussprüfung erfolgt risikoorientiert. D.h. Prüfungshandlungen im Rahmen der Abschlussprüfung werden auf der Grundlage der Kenntnisse über die Geschäftstätigkeit sowie das wirtschaftliche und rechtliche Umfeld, der Erwartungen über mögliche Fehler sowie der Beurteilung der Wirksamkeit des rechnungs­legungs­bezogenen internen Kontrollsystems vorgenommen. Auf der Grundlage muss der Abschlussprüfer Risiken wesentlicher falscher Aussagen in der Rechnungslegung (Fehlerrisiken) feststellen und beurteilen sowie in angemessener Weise auf die zu beurteilenden Risiken reagieren. Die Durchführung der Abschlussprüfung schränkt die Verantwortlichkeit der gesetzlichen Vertreter für die gesamte Rechnungslegung allerdings nicht ein.

Bei der Prüfung hat sich der Abschlussprüfer ein ausreichendes Verständnis vom rechnungslegungsbezogenen internen Kontrollsystem zu verschaffen. Dabei ist die Prüfung des internen Kontrollsystems kein Selbstzweck; sie ist vielmehr darauf auszurichten, dass die Prüfungsaussagen mit hinreichender Sicherheit getroffen werden können. Damit sind Art und Umfang der Prüfungshandlungen in dem Bereich zielgerichtet zu bestimmen.

Das interne Kontrollsystem kann wie folgt systematisiert werden:


Für die Abschlussprüfung sind folgende Teile eines umfassenden internen Kontrollsystems relevant:

• auf die Sicherung der Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung gerichtete Teile des internen Kontrollsystems, also für Buchführung, Abschluss und Lagebericht
• auf die Einhaltung sonstiger gesetzlicher Vorschriften gerichteter Teil des internen Kontrollsystems nur insoweit, als sich daraus üblicherweise Rückwirkungen auf den geprüften Abschluss und Lagebericht ergeben können – also Regelungen zum Steuer-, Sozialversicherungs-, Arbeitsrecht, GWB, Verbraucher-, Umweltschutzrecht etc. das Risikofrüherkennungssystem als Prüfungsgegenstand; das geht nach § 317 Abs. 4 HGB über das rechnungslegungsbezogene interne Kontrollsystem hinaus
  

Das eingerichtete Controlling ist als Objekt der handelsrechtlichen Abschlussprüfung ebenfalls relevant, da Verbindungen zwischen der Lageberichterstattung und dem Risikomanagement einerseits und dem Controlling andererseits, die Rückwirkung auf den Gegenstand der Prüfung haben, bestehen. Die Überwachung der Vor­stands­pflichten in Bezug auf das Controlling fällt in den Aufgabenbereich des Aufsichtsrats. Eine Kompe­tenz­verschiebung ist aus Gründen des Gleichgewichts der Corporate Governance und wegen der Not­wendigkeit, ein Soll-Objekt für die Prüfung heranzuziehen, abzulehnen.

Im Fokus der Jahresabschlussprüfung stehen der Jahresabschluss (Bilanz, Gewinn- und Verlustrechnung) sowie der Lagebericht, falls gesetzlich verpflichtend oder freiwillig erstellt. Bei Konzernabschlüssen kommt neben den Bestandteilen noch die Konzern­kapital­fluss­rechnung, die Eigenkapitalveränderungsrechnung und, bei entsprechender Ausübung des Wahlrechts, die Segmentberichterstattung dazu.

Weiterer Prüfungsgegenstand ist die Buchführung, zu der neben der Finanzbuchhaltung auch die Lohn-, Gehalts- und Lagerbuchhaltung sowie das Inventar gehören. Darüber hinaus sind Kostenrechnung und Betriebsabrechnung, soweit sie Informationen für die Bewertung der Erzeugnisse oder aktivierten Eigenleis­tungen liefern, sowie das interne Kontrollsystem und, falls erforderlich, das eingerichtete Risikofrüher­kennungssystem (§ 91 Abs. 2 AktG) Gegenstand der Tätigkeiten des Abschlussprüfers.

Bei der Abschlussprüfung unterliegen zwar wesentliche Teile des internen Kontrollsystems und damit des Risikomanagementsystems, die den Bereich der Finanzberichterstattung betreffen, einer jährlichen Prüfung. Jedoch umfasst der Prüfungsauftrag gem. § 317 HGB grundsätzlich nicht diejenigen Teile des Risikomanage­ments, die sich mit der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sowie mit strategischen und Compliance-Risiken befassen. Die Überwachungsaufgabe obliegt zuvorderst dem Aufsichtsrat.

Auch wenn die Überwachungsfunktion höchstpersönlich von den Mitgliedern des Aufsichtsrats wahrzunehmen ist und nicht an Dritte delegiert werden kann, kann es für den Aufsichtsrat von Interesse sein, einen Wirt­schaftsprüfer mit der Prüfung einzelner oder mehrerer Corporate Governance-Systeme als Grundlage für die eigene Beurteilung zu beauftragen. Auch der Vorstand kann ein Interesse daran haben, einen Wirtschaftsprüfer mit der Prüfung eines oder mehrerer der Systeme zu beauftragen. Die Prüfung der Wirksamkeit dieser Systeme durch einen unabhängigen Wirtschaftsprüfer kann dem objektivierten Nachweis der ermessensfehlerfreien Ausübung der Organisations- und Sorgfaltspflichten des Vorstands und des Aufsichtsrats dienen (IDW PS 981, Rn. 6).

Im Prüfungsstandard IDW PS 981 zeigt das Institut der Wirtschaftsprüfer (IDW) den möglichen Inhalt der Prüfung von Risikomanagementsystemen auf und bietet damit für die Planung und Durchführung derartiger Aufträge den entsprechenden berufsrechtlichen Rahmen für Wirtschaftsprüfer.