2. Die Interne Revision im Kontext der Corporate Governance

Vgl. DCGK (2001): 3. Ausdrücklich wird neben der Zielsetzung der Regierungskommission „Corporate Governance – Unternehmensführung – Unternehmenskontrolle – Modernisierung des Aktienrechts“ der „Fall Holzmann“ als mit auslösend für die Aufgaben der Kommission genannt. Explizit soll sich die Kommission auf Grundlage der „Erkenntnisse aus dem Fall Holzmann mit möglichen Defiziten des deutschen Systems der Unternehmensführung und –kontrolle befassen“.

Vgl. KonTraG (1998b): 787.

Vgl. Ernst/Naumann (2009): 408. Angesprochen wird hiermit die Begründung des Regierungsentwurfs zum späteren Bilanzrechtsmodernisierungsgesetz – BilMoG, bei der der Gesetzgeber ausdrücklich ex post verdeutlichte, dass das KonTraG originär lediglich für börsennotierte Aktiengesellschaften vorgesehen war.

Vgl. § 91 Abs. 2 AktG. „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.

Vgl. o. V. (2003), o. V. (2004), o. V. (2008), o. V. (2010a), o. V. (2010b), o. V. (2015a), o. V. (2019b).

Vgl. Finanzmarktförderungsgesetz (1990): 266–282, Finanzmarktförderungsgesetz (1994): 1749–1785, Finanzmarktförderungsgesetz (1998): 529–579, Finanzmarktförderungsgesetz (2002): 2010–2072. Bei den Finanzmarktförderungsgesetzen handelte es sich überwiegend um Artikelgesetze, die parallel unterschiedliche Gesetzestexte weiterentwickelten – so bspw. das Aktiengesetz, das Wertpapierhandelsgesetz, das Gesetz über Kapitalanlagegesellschaften, das Börsengesetz sowie diverse mehr.

Vgl. KonTraG (1998a): 11 f.

Vgl. KonTraG (1998a): 1.

So wird nunmehr auch durch das FISG aus dem Jahre 2021 im § 91 Abs. 3 AktG das vorherige „Früherkennungssystem“ für Risiken ergänzt bzw. betreffend börsennotierte Aktiengesellschaften erweitert mit einem „Risikomanagementsystem“.

Vgl. Gleißner/Sassen/Behrmann (2019): 15 f.

Vgl. KonTraG (1998a): 11, 15, 27, 29.

Vgl. IDW PS 340 n.F. (2020). Der Standard definiert eine weiterentwickelte Basis für die Prüfung von Risikomanagementsystemen.

Vgl. o. V. (2007).

Vgl. Menzies (2006): 78 f.

Vgl. Menzies (2006): 80–81.

Vgl. SOX (2002): Sec. 906.

Hiernach beläuft sich die Bestrafung wegen Verstößen gegen den Sarbanes Oxley Act auf bis zu MUSD 5 bzw. bis zu 20 Jahren Freiheitsstrafe: „§ 1350 Failure of corporate officers to certify financial report, Abschnitt c:

CRIMINAL PENALTIES. Whoever

‘‘(1) certifies any statement as set forth in subsections (a) and (b) of this section knowing that the periodic report accompanying the statement does not comport with all the requirements set forth in this section shall be fined not more than $1,000,000 or imprisoned not more than 10 years, or both; or

‘‘(2) willfully certifies any statement as set forth in sub- sections (a) and (b) of this section knowing that the periodic report accompanying the statement does not comport with all the requirements set forth in this section shall be fined not more than $5,000,000, or imprisoned not more than 20 years, or both.’’.

Vgl. o. V. (2003).

Vgl. Legifrance (2003): Artikel 117 und 120. Das Loi de Sécurité Financiere hat seine Schwerpunkte im Bereich der Internen Kontrollen, der Vermeidung von Interessenkonflikten und der Verantwortlichkeit des Managements für die internen Kontrollsysteme.

Vgl. The Japan Times News (2006).

Vgl. Bungartz (2015): 76–79.

Vgl. Bungartz (2015): 79–82.

Vgl. Menzies (2006): 86 f.

Vgl. IDW PS 261 n.F. (2012): 243–250 Z. 19–60.

Vgl. IDW PS 980 (2011): 206 f. Z. 23. Beschrieben werden hier Struktur und Abgrenzung eines Compliance Management Systems.

Vgl. Laue/Kunz (2014): 1–4.

Vgl. o. V. (2008).

Vgl. Gnändiger (2014): 56 f.

Vgl. Gnändiger (2014): 51–53.

Vgl. Gnändiger (2014): 56 f. Zu den Compliance-Risiken zählen insbesondere solche, die eine Verletzung gesetzlicher oder regulatorischer Vorgaben begründen, reputationsschädigend für das verantwortliche Unternehmen sein können oder Bußgelder oder sonstige finanzielle Strafen nach sich ziehen. Exemplarisch können angeführt werden: Korruptionsrisiken, Kartellverstöße, Verstöße gegen das Arbeitnehmerüberlassungsgesetz und viele andere wie auch bspw. Verstöße gegen Datenschutzregelungen, exemplarisch die EU-DSGVO (EU-Verordnung 2016/679 [Datenschutz-Grundverordnung]).

Vgl. IDW PS 980 (2011): 203–231.

Vgl. DCGK (2022): 12. Grundsatz 16.

Vgl. § 107 Abs. 3 S. 2 AktG.

Vgl. GmbHG (2021): § 52 Abs. 1. Dies umfasst unter anderem auch die Vorgaben des § 107 Abs. 3 S. 2 AktG und die Vorgaben zur Sorgfaltspflicht nach § 93 Abs. 1 und 2 Satz 1 und 2 AktG.

Vgl. § 107 Abs. 4 AktG.

Vgl. Jonen/Schönbohm (2011): 125.

Vgl. Lück/Unmuth (2006): 14 f.

Vgl. Chambers/Odar (2015): 41–44.

Vgl. Mihret/Grant (2017): 700.

Vgl. IIA/DIIR (2018): 13.

Vgl. Trotman/Duncan (2018): 242–245.

Vgl. Eulerich (2020b): 214 f., Lenz/Sarens (2012): 543–545.

Vgl. Eulerich (2012a): 56 f.

Vgl. sinnbildlich § 130 (3) OWiG: „(1) Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.

(2) Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.“

Aus der Sicht des Autors repräsentiert dieser Paragraph wie kaum kein anderer gesetzlicher Passus die wichtigsten Anforderungen für eine ordnungsmäßige Unternehmensüberwachung. Dabei ist zu beachten, dass zu den hier kodifizierten Pflichten neben der Überwachung vor allem die nicht explizit erwähnte „Anweisung“ gehört, also die Formulierung von Vorgaben (für die nachgelagerten Ebenen). Vorgaben dienen in diesem Sinne auch als Maßstab für das Handeln bzw. die Beurteilung der Einhaltung oder Nichtbeachtung von Vorgaben. Fehlt es an diesen Maßstäben, so fehlt auch die notwendige Beurteilungsgrundlage. Hier kann sich häufig die Durchsetzung möglicher Sanktionsmaßnahmen wegen Verfehlungen entscheiden. Mangelt es nämlich am vorgegebenen „Verfehlungsmaßstab“ (bspw. Beschreibung von Verfehlungen), so kann ggf. eine Sorgfaltspflichtverletzung angenommen werden. Hat die Unternehmensleitung nicht für klare Regeln gesorgt, so ist ein Fehlverhalten gegen nicht bestehende Regelungen nicht vollständig nachzuweisen und die Unternehmensleitung muss sich ggf. ein Versäumnis zurechnen lassen.

Vgl. Eulerich (2012a): 56.

Vgl. IIA (2013): 6.

Vgl. Ernst/Naumann (2009): 408.

Vgl. EU DSGVO (2016).

Vgl. Eulerich (2020b): 210.

Vgl. IIA (2013): 6.

Vgl. IIA (2013): 6.

Vgl. Roese/Vohs (2012): 411.

Vgl. IIA/DIIR (2018): 24 f.

Vgl. IIA/DIIR (2018): 27 Standard 1130, BaFin (2021): 17 mit Einzelheiten in AT 4.4.3 Z. 4.

Vgl. BaFin (2021): 17 mit Einzelheiten in AT 4.4.3 Z. 3.

Vgl. Martinov-Bennie/Soh/Tweedi (2015): 731.

Vgl. Bungartz (2015): 76 f.

Vgl. Bungartz (2015): 77 f.

Vgl. Menzies (2006): 5–8.

Vgl. Bungartz (2015): 78 f.

Vgl. Bungartz (2015): 80 f.

Vgl. Bungartz (2015): 81.

Vgl. Bungartz (2015): 82.

Vgl. Eulerich (2020): 210.

Vgl. Eulerich (2012a): 56.

Vgl. Goh (2009): 549 f.

Vgl. Lary/Taylor (2012): 350f, Krishnan (2005): 671 f. Nach Krishnan steht die Unabhängigkeit des Prüfungsausschusses und die Anzahl von Prüfungsausschussmitgliedern mit Finanzkompetenzen in negativem Zusammenhang mit dem Auftreten von Schwachstellen bei internen Kontrollen.

Vgl. Zain/Subramaniam/Stewart (2006): 13–15.

Vgl. Schartmann/Lindner (2006): 54–59.

Vgl. Eulerich (2012a): 55 f.

Vgl. Eulerich (2012a): 56 f.

Vgl. Lück/Unmuth (2006): 19–23, Peemöller/Kregel (2014): 191–210. In diesem Zusammenhang erscheint es zielgerichtet, bestimmten Risikokategorien eine besondere Aufmerksamkeit zu schenken.

Vgl. Alazzabi/Mustafa/Karage (2020): 11. Die Autoren weisen auf den positiven Beitrag der Internen Revision zum Risikomanagement bezüglich der besseren Aufdeckung doloser Handlungen unter der Voraussetzung einer angemessenen personellen Ausstattung (und deren Sicherstellung durch das verantwortliche Management) hin.

Vgl. § 91 Abs. 2 AktG und Ernst/Naumann (2009): 408.

Vgl. Gleißner/Sassen/Behrmann (2019): 9–13.

Vgl. Seidel (2011): 32–49.

Vgl. zu 1.-3. insbesondere Romeike (2017): 183–189.

Vgl. Lück (1998a): 9.

Vgl. Lück (1998a): 9.

Vgl. Lück (1998b): 1926 f.

Vgl. Lück (1998b): 1929.

Vgl. KonTraG (1998a): 11, 15, 27 und 29. Die Formulierungen lauten „Interne Revision“ bzw. „Verpflichtung des Vorstands, für eine angemessene Interne Revision zu sorgen“.

Vgl. Romeike (2017): 175–178.

Vgl. Kajüter (2008): 117 f., Berwanger/Kullmann (2012): 66–70.

Vgl. Abidin (2017): 364–366.

Vgl. Ege (2015): 519, Eulerich/Bonrath (2021): 239 f.

Vgl. Laue/Kunz (2014): 3 f.

Vgl. Rieder (2017): 28–30. Der Autor stellt hierbei auch unter Bezug auf verschiedene Urteile Compliance als Leitungsaufgabe dar.

Vgl. Steßl (2014): 13 f.

Vgl. Gnändiger (2014): 56 f.

Vgl. § 93 Abs. 1 S. 2 AktG.

Vgl. Gnändiger (2014): 59–63.

Vgl. Ekkenga/Kramer (2011): 129–132.

Vgl. Inderst/Steiner (2017): 104.

Vgl. Rieder (2017): 33.

Vgl. BaFin (2021): 17 mit Einzelheiten in AT 4.4.3 Z. 2.

Vgl. OWIG (2021): § 130.

Vgl. OWiG (2021): § 30 Abs. 2.

Letztlich sind Compliance-Risiken und deren potentielle Auswirkungen nur bedingt abzugrenzen. Vielfältig wird die Öffentlichkeit regelmäßig über neue „Compliance-Verstöße“ unterschiedlicher Art informiert. Vergleiche exemplarisch o. V. (2016), o. V. (2019a).

Vgl. Hucke/Münzenberg (2015): 16 f.

Vgl. BaFin (2021): 17 mit Einzelheiten in AT 4.4.3 Z. 3.

Vgl. Jonen/Schönbohm (2011): 122 f.

Vgl. DIIR (2020): 8.

Vgl. BaFin (2021): 17. Einzelheiten in AT 4.4.3 Z. 1.

Vgl. BaFin (2021): 17 f. Gesamthaft in AT 4.4.3 Z. 1–6.

Vgl. beispielhaft IDW PS 261 n.F. (2012): 243–246 Z. 26–34. Hier werden exemplarisch aus der Sicht des Abschlussprüfers die wichtigsten Komponenten eines internen Kontrollsystems beschrieben.

Vgl. Hucke/Münzenberg (2015): 16–19.

Vgl. Berwanger/Kullmann (2012): 172 f.

Vgl. IIA/DIIR (2018): 24. Dies betrifft Standard 1100. Unterschieden wird dabei zwischen der organisatorischen Unabhängigkeit und der Unabhängigkeit der einzelnen Mitarbeitenden der Internen Revision.

Vgl. IIA/DIIR (2018): 24 f. Dies betrifft Standard 1110.

Vgl. IIA/DIIR (2018): 26 f. Dies betrifft Standard 1130. Uneingeschränkte Zugriffsrechte werden hier anderweitig beschrieben: bei eingeschränktem Zugang zu Informationen sind die zuständigen Stellen (bspw. Geschäftsleitung oder Überwachungsorgan) über die bestehenden Sachverhalte zu informieren.

Vgl. IIA/DIIR (2018): 9 f.

Vgl. Eulerich (2012a): 57 f.

Vgl. NYSE (2022): Section 303a.07 (E). Zudem soll sich das Audit Committee separat mit der Internen Revision treffen.

Vgl. BaFin (2021): 17 mit Einzelheiten in AT 4.4.3 Z. 1.

Vgl. VAG (2021): § 30 S. 1.

Vgl. Bogtstra/Garretsen/Renes (2020): 93–97.

Vgl. Bogtstra/Garretsen/Renes (2020): 93, Sarens et al. (2011): 59 f. Die Autoren finden gleichwohl einen positiven Zusammenhang zwischen Alter und Größe der Internen Revision.

Vgl. IIA/DIIR (2018): 22 f. Dies betrifft Standard 1000.

Vgl. Eulerich (2012b): 292 f.