Das materielle Regelwerk für Unternehmen, deren Aktien zum Handel an einem organisierten bzw. geregelten Markt zugelassen sind (auch börsennotierte oder kapitalmarktorientierte Gesellschaften oder Unternehmen von öffentlichem Interesse genannt), hat sich in Bezug auf deren internen Kontrollsysteme (IKS) und Risikomanagementsysteme (RMS) in den vergangenen Jahren zunehmend „verdichtet“. Einschlägige Rechtsmaterien sind das Handelsgesetzbuch (HGB), das Aktiengesetz (AktG), der Deutsche Rechnungslegung Standard 20 (DRS 20) und der Deutsche Corporate Governance Kodex (DCGK).

Die gesetzliche Regelung zur Einrichtung eines IKS und eines RMS durch die genannten Unternehmen findet sich seit dem Jahre 2021 in § 91 Abs. 3 AktG. „Standort“ für entsprechende Offenlegungspflichten ist der Lagebericht der Unternehmen innerhalb des jährlich zu veröffentlichenden Geschäftsberichts. Nach Maßgabe des HGB sind in den Lagebericht insoweit insbesondere die wesentlichen Merkmale des IKS und des RMS im Hinblick auf den Rechnungslegungsprozess zu beschreiben (vgl. § 289 Abs. 4 HGB). Daneben soll auch auf die Risikomanagementziele und -methoden eingegangen werden. Ergänzende Hinweise zur Risikoberichterstattung im Rahmen eines sog. Risikoberichts liefert der DRS 20, wobei es gelebte Praxis in den Unternehmen sein dürfte, im Risikobericht über die Beschreibung des RMS hinaus auch auf das unternehmensspezifische IKS und das Compliance-Management-Systems einzugehen.

Zusätzliche Anforderungen des Corporate Governance Kodex
Weitere Anforderungen in diesem Zusammenhang ergeben sich aus dem im vergangenen Jahr neu gefassten DCGK, der für börsennotierte Gesellschaften gilt und zahlreiche unternehmensbezogene Empfehlungen normiert. Halten Unternehmen die Empfehlungen des Kodex nicht ein bzw. weichen davon ab, ist hiervon im Rahmen einer jährlich zu veröffentlichenden Entsprechenserklärung zu berichten bzw. die Abweichung zu begründen („comply or explain“).

In Bezug auf das IKS und das RMS der Unternehmen stellt der Kodex zunächst klar, dass beide Systeme auch ein an die Risikolage des Unternehmens ausgerichtetes Compliance-Management-System umfassen (Grundsatz 5 DCGK). Weiterhin sieht der Kodex vor, dass im Lagebericht die wesentlichen Merkmale des „gesamten“ IKS und des RKS beschrieben werden sollen und zudem eine Stellungnahme zur Angemessenheit und Wirksamkeit dieser Systeme abzugeben ist (Empfehlung A.5 DCGK). Beide Punkte des Kodex – also die Beschreibung der Systeme und die abzugebende Stellungnahme – gehen mithin deutlich über die gesetzlichen Offenlegungsanforderungen nach Maßgabe des HGB hinaus. Dies bedeutet im Ergebnis, dass Unternehmen, die die genannte Kodexempfehlung A.5 ganz oder teilweise nicht einhalten, dies in die Entsprechenserklärung aufzunehmen und dort zu erläutern haben. Wird der genannten Empfehlung nicht nachgekommen – was bei Billigung bzw. Feststellung des Jahresabschlusses ohne entsprechende Ausführungen im Lagebericht stattfände –, müsste dies ggf. auch im Wege der Veröffentlichung eines „unterjährigen“ Hinweises bzw. einer Neufassung der Entsprechenserklärung transparent gemacht werden. – Wird die genannte Empfehlung hingegen eingehalten bzw. nicht hiervon abgewichen, so ist im Hinblick auf die entsprechende Abfassung des ergänzten Lageberichts mit dem Abschlussprüfer abzustimmen, ob die betreffenden Ausführungen ggf. in einem gesonderten Abschnitt des Lageberichts – also „abgegrenzt“ von den Lageberichtsangaben nach HGB und DRS 20 – aufgenommen werden sollen und ob eine formale Prüfung dieses Abschnitts vorzunehmen ist.

Praxistipp
Bislang erscheint die über die gesetzlichen Offenlegungspflichten an ein IKS und ein RMS hinausgehende Kodexempfehlung noch wenig „griffig“. So dürfte sich wohl auch eine Best-Practice-Lösung – insbesondere hinsichtlich der eigenen Stellungnahme des Unternehmens zur Angemessenheit und Wirksamkeit der Systeme – erst nach einer gewissen Zeit am Markt „etablieren“. Dies könnte ggf. zum Anlass genommen werden, den bisherigen Risikobericht innerhalb des Lageberichts beizubehalten und hinsichtlich der weitergehenden Anforderungen des Kodex unter Verweis auf die noch unsicheren Anforderungen und Erwartungen einstweilen eine entsprechende Abweichung vom Kodex zu erklären. – Will man andererseits den neuen Anforderungen des Kodex sogleich nachkommen, wird die Beschreibung der in Rede stehenden Systeme materiell über das hinaus zu gehen haben, was § 289 Abs. 4 HGB anordnet und sich lediglich auf eine Beschreibung der Systeme „im Hinblick auf den Rechnungslegungsprozess“ bezieht. Hinsichtlich der eigenen Stellungnahme zur Angemessenheit und Wirksamkeit der Systeme dürfte es zudem maßgeblich auf eine Beschreibung der internen Überwachung und externen Prüfung der Systeme ankommen. Im Kern geht es dabei vor allem um den Nachweis eines qualitativ hochwertigen Überwachungsregimes mit klar geregelten Verantwortungsbereichen (Vorstand) und fachlichen Zuständigkeiten (Interne Revision), die dem Informationsinteresse der Share- und Stakeholder sowie der Finanzmarktaufsichtsbehörden entspricht.