FISG: das Kontrollsystem ist jetzt Vorstandsrecht.
Das Finanzmarktintegritätsstärkungsgesetz (FISG), 2021 nach dem Zusammenbruch von Wirecard verabschiedet, machte ein angemessenes und wirksames internes Kontroll- und Risikomanagementsystem zur ausdrücklichen gesetzlichen Pflicht des Vorstands börsennotierter Gesellschaften (§ 91 Abs. 3 AktG). Seine praktische Reichweite geht weit über den börsennotierten Sektor hinaus, über Prüfer, Banken und Aufsichtsräte, die heute allen dieselbe Frage stellen: Zeigen Sie mir, dass Ihr IKS funktioniert.
Was das FISG tatsächlich verändert hat.
Drei Punkte wiegen am schwersten. Erstens § 91 Abs. 3 AktG: Vorstände börsennotierter Gesellschaften müssen ein internes Kontrollsystem und Risikomanagementsystem einrichten, das angemessen ist, also passend zum Risikoprofil, und wirksam, also nachweislich funktionierend und kein Ordner im Regal. Zweitens erhielten Prüfungsausschüsse geschärfte Pflichten, genau diese Wirksamkeit zu überwachen. Drittens wurden Prüferaufsicht und Rotation verschärft. Abschlussprüfer winken schwache Kontrollumgebungen seither messbar seltener durch.
Warum es den Mittelstand erreicht.
Eine familiengeführte GmbH bindet § 91 Abs. 3 nicht unmittelbar. Aber ihr Abschlussprüfer legt dieselben gestiegenen Erwartungen an jedes Mandat an. Der Kreditausschuss ihrer Hausbank fragt nach Kontrollen. Ihre Beiräte und Aufsichtsräte sitzen in börsennotierten Gremien und importieren den Maßstab. Dazu wird IDW PS 982, der Prüfungsstandard für die Wirksamkeit des IKS, zur gängigen Referenz. „Angemessen und wirksam" ist damit praktisch die Messlatte für jedes Unternehmen relevanter Größe, börsennotiert oder nicht.
Was „wirksam" heißt, wenn jemand nachsieht.
- Kontrollen sind gegen tatsächliche Risiken definiert, nicht aus einer Vorlage kopiert
- Sie haben nachweislich im gesamten Zeitraum funktioniert, was Betriebsnachweise verlangt und nicht Designdokumente
- Verstöße wurden erkannt, eskaliert und gelöst, mit nachvollziehbarer Spur
- Das System deckt IT- und Prozessänderungen ab, nicht nur Finanzbuchungen
Der zweite Punkt ist die Falle. Eine Kontrollmatrix können die meisten zeigen. Dass die Kontrolle in einer beliebigen Woche des Jahres tatsächlich gegriffen hat, können die wenigsten zeigen. Kontinuierliche Überwachung ist der einzige wirtschaftliche Weg, Betriebsnachweise über einen vollen Zeitraum zu erzeugen, denn eine Stichprobe belegt einen Moment und kein Jahr.
Der pragmatische Weg.
Beginnen Sie bei den Prozessen, in denen tatsächlich Geld abfließt: Zahlungen, Kreditorenstamm, Journalbuchungen. Instrumentieren Sie sie für kontinuierliche Betriebsnachweise. Erweitern Sie dann auf die IT General Controls, allen voran das Change Management, denn IT-Änderungen sind der Ursprung der meisten Kontrollumgehungen. Halten Sie Nachweise in einer Form, die Ihr Prüfer unabhängig verifizieren kann. Diese Reihenfolge liefert die belastbare IKS-Erzählung am schnellsten, unabhängig vom Werkzeug. Es ist übrigens auch die Reihenfolge, in der RiskForge eingeführt wird.
Sehen Sie RiskForge auf Ihren eigenen Prozessen.
30 Minuten am lebenden Produkt: Zahlläufe, Buchungen, Transporte. Keine Folien, das echte System.