Gesetz zur Stärkung der Finanzmarktintegrität (FISG)

Der Wirecard Skandal und die darauffolgende Insolvenz des Unternehmens im Jahr 2020 hat die deutsche Wirtschaft schwer erschüttert. Das FISG ist nun die Reaktion des Gesetzgebers – es soll den deutschen Finanzmarkt reformieren und sieht diverse Änderungen und Verschärfungen in den Bereichen Compliance und Corporate Governance vor. Die vom Bundestag verabschiedete Fassung enthält nur wenige Änderungen gegenüber dem Regierungsentwurf und trat – mit Ausnahme vereinzelter Regelungen, die erst zum 1. Januar 2022 (siehe Art. 27) in Kraft treten – am 1. Juli 2021 in Kraft.

Weitreichende Auswirkungen auf die Anforderungen an das IKS und RMS

Die Rechtslage in Deutschland sah bisher keine explizite gesetzliche Verpflichtung zur Errichtung eines IKS oder RMS vor, sondern war vielmehr aus den Organisationspflichten des Vorstandes basierend auf der Größe und Komplexität des Unternehmens individuell ableitbar. Das FISG enthält nun die explizite gesetzliche Einrichtungspflicht eines angemessenen und wirksamen IKS sowie RMS.

Die Frage ist nun also nicht mehr, ob ein Risikomanagementsystem und ein internes Kontrollsystem eingerichtet werden muss, sondern nur mehr, wie es auszusehen hat. Seit Inkrafttreten ist es also dringend angeraten, ein RMS und IKS nicht nur zu implementieren, sondern (auch bzgl. der Haftungsentlastung) einen handfesten Nachweis dafür erbringen zu können. Um ein angemessenes und wirksames RMS und IKS nachweisen zu können, kann man sich an den Prüfstandards des IDW (Institut der Wirtschaftsprüfer) orientieren. Diese sind IDW PS 981 (RMS) bzw. IDW PS 982 (IKS) sowie IDW PS 340 n.F. (Risikofrüherkennung). Für die Implementierung geben die international anerkannten Frameworks COSO Internal Control – Integrated Framework bzw. COSO Enterprise Risk Management eine Orientierungshilfe.

Anforderungen an Aufsichtsrat und Prüfungsausschuss

Auch für Aufsichtsrat und Prüfungsausschuss sieht das FISG weitreichende Änderungen vor. Bei sogenannten PIEs („Public Interest Entity“ – Unternehmen von öffentlichem Interesse) ergibt sich durch das FISG die Verpflichtung, einen Prüfungsausschuss einzurichten. Ebenfalls müssen zwei unterschiedliche Mitglieder des Aufsichtsrates jeweils Sachkenntnis in den Bereichen Rechnungslegung beziehungsweise Abschlussprüfung vorweisen.

Bei den Abschlussprüfungen muss sich der Prüfungsausschuss künftig im Rahmen der Überwachung nicht nur mehr mit Auswahl und Unabhängigkeit des Abschlussprüfers befassen, sondern hat sich auch mit der „Qualität der Abschlussprüfung“ auseinanderzusetzen. Dadurch soll sichergestellt werden, dass die Überwachung den gesamten Prüfungsprozess umfasst – das heißt von der Auswahl des Prüfers bis zur Beendigung des Auftrags.

Durch das FISG wird auch das Auskunftsrecht der Mitglieder des Prüfungsausschusses weiter konkretisiert und geschärft. Diese Auskünfte stehen nun jedem Mitglied des Prüfungsausschusses zu, müssen jedoch (soweit Vorstand und Ausichtrat keine anderweitigen Regelungen getroffen haben) über den Vorsitzenden des Prüfungsausschusses eingeholt werden. Insbesondere sollen als Adressaten eines Auskunftsverlangens die Leitung des Risikomanagements oder der Internen Revision in Betracht gezogen werden. Die vom Ausschussvorsitzenden eingeholten Auskünfte sind allen Mitgliedern des Prüfungsausschusses zur Kenntnis zu bringen.

Potentielle Auswirkungen auf die europäische Gesetzgebung

Zum jetzigen Zeitpunkt ist das FISG ein deutsches Gesetz, das für in Deutschland an einer Börse notierte Unternehmen gilt. Damit betrifft es jedenfalls auch Unternehmen aus anderen Ländern, die eine Zweitnotiz in Deutschland haben, zahlreiche davon mit Erstnotierung in Österreich.

Dass in Zukunft auf EU-Ebene eine dem FISG ähnliche oder noch rigidere Verordnung oder Richtlinie umgesetzt wird, ist sehr wahrscheinlich.

Wie bereitet man sich also als österreichisches Unternehmen auf etwaige Veränderungen vor?

Die zuvor erwähnten Prüfstandards (340 n.F., 981, 982) und COSO Frameworks sind jedenfalls eine sehr gute Orientierungshilfe, auch für Unternehmen außerhalb Deutschlands. Zudem erschien heuer die ÖNORM 4900, die die Implementierung eines Risikomanagementsystems und die damit verbundenen Anforderungen sehr gut und detailliert formuliert (basierend auf der internationalen Richtlinie ISO 31000). Auch wenn bisher noch kein vergleichbar striktes Regulativ auf EU-Ebene oder in Österreich angekündigt wurde, sprechen das deutsche Vorgehen und die Vorteile, die aus einem ordentlich aufgesetzten RMS inkl. IKS hervorgehen, jedenfalls für sich.