Kontakt

Vertrauen ist gut, Kontrolle ist besser

Blog -

Eine lange, unentdeckte beziehungsweise unbeachtete Manipulation von Bilanzen in großem Stil, sowie eine fehlende interne als auch externe Überwachung führt derzeit zu einem der größten deutschen Bilanzskandale in den letzten Jahren.

Was ist passiert? Seit mindestens fünf Jahren stand der DAX-Konzern Wirecard bereits im Verdacht, Bilanzen manipuliert zu haben, Luftbuchungen durchzuführen und somit einen Milliardenbetrug zu begehen. Nach einigen Berichterstattungen der „Financial Times“ und diversen behördlichen Untersuchungen, muss Wirecard Mitte Juni nach mehrfachen Verzögerungen des Geschäftsberichts für 2019 einräumen, dass die rund 1,9 Milliarden Euro mit großer Wahrscheinlichkeit nie existierten. Der Ex-Chef des Finanzdienstleisters wurde festgenommen, gegen Wirecard wird unter anderem wegen Bilanzmanipulation ermittelt, das Unternehmen hat Insolvenz eingereicht und auch die Wirtschaftsprüfer von Ernst & Young und die Finanzaufsicht BaFin stehen in der Kritik.

Solche Skandale stärken den Glauben an die Verlässlichkeit von Jahresabschlüssen und interner/externen Überwachungsinstanzen natürlich nicht gerade. Auf Basis des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie des Sarbanes-Oxley Act (SOX) und des Bilanzrechtsmodernisierungsgesetzes (BilMoG), ist es unter anderem aber gerade die Verpflichtung des Aufsichtsrats, die Wirksamkeit des Internen Kontrollsystems (IKS) zu beurteilen und die originäre Aufgabe der Unternehmensleitung, ein angemessenes IKS einzurichten und zu dokumentieren. Dieses sollte dabei aus systematisch gestalteten, technischen und organisatorischen Regeln und Kontrollen bestehen, die dem Einhalten von Richtlinien und der Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden, dienen. Verstöße durch Einzelne, die mit krimineller Energie vorsätzlich handeln, können natürlich selbst durch ein wirksames System nicht durchgängig verhindert werden. Dies wird jedoch oftmals durch intransparente Prozessaktivitäten, manuelle und zeitintensive Tätigkeiten, undurchsichtigem Zugang zu Systemen und einer unklaren beziehungsweise fehlenden Aufgabenteilung erleichtert, beziehungsweise eben nicht erschwert.

Dabei kann ein ganzheitliches IKS wertsteigernd sein und einen sinnvollen Beitrag leisten sowie Potentiale entfalten – unabhängig von der Unternehmensgröße. Eine effiziente und konsistente Durchführung von Prozessen und Abläufen, die Sicherstellung von verlässlichen Zahlen im Finanz- und Rechnungswesen, sowie die Einhaltung bestehender Sorgfalts- und Überwachungspflichten können hierbei Vorteile für das gesamte Unternehmen bringen. Weiterhin ermöglicht ein wirksames IKS eine Ergebnisverbesserung und Reduzierung von Audit-Kosten und ebenfalls die (zeitnahe) Umsetzung regulatorischer Anforderungen und Vorgaben.

Vermutlich hätte der Wirecard-Skandal früher entdeckt oder sogar in Teilen verhindert werden können, wenn ein effektives und wirksames IKS etabliert gewesen wäre, wenn also die Ordnungsmäßigkeit und Sicherheit der buchführungs- und aufzeichnungspflichtigen Daten und Unterlagen zum Beispiel durch Zugangs- und Zugriffsberechtigungskontrollen, Funktionstrennungskontrollen, Erfassungs- und Verarbeitungskontrollen und Schutzmaßnahmen gegen Geldwäsche und Betrugs sichergestellt worden wäre. Somit hätte das IKS die Basis für eine verlässliche interne und externe Berichterstattung sein können, welche die Glaubwürdigkeit der Zahlen und das Vertrauen von Shareholdern und Stakeholdern steigert und darüber hinaus zur Erfüllung der Überwachungspflichten des Aufsichtsrates und der Unternehmensleitung dienen kann.

Die Einführung eines wirksamen IKS ist jedoch keine einmalige Tätigkeit, sondern erfordert wiederkehrende Aktivitäten und eine regelmäßige Überwachung, um die dauerhafte Funktionsfähigkeit des IKS sicherzustellen. Dafür müssen die definierten Kontrollen hinsichtlich ihrer Gestaltung (Test of Design) und der sachgemäßen Durchführung und Dokumentation (Test of Effectiveness) durch das Unternehmen selbst oder durch externe Dienstleister geprüft werden, was insbesondere im Rahmen eines SOX-Testings zwingend notwendig ist. Ansonsten werden Kontrollen erfahrungsgemäß nicht gewissenhaft oder dauerhaft durchgeführt und können somit auch mögliche finanzielle, als auch Reputationsschäden nicht verhindern.

Ihre

Pia Raabe