Transparenz schaffen – das neue Finanzmarktintegritätsstärkungsgesetz (FISG)

Transparenz schaffen – das neue Finanzmarktintegritätsstärkungsgesetz (FISG)

Erinnern Sie sich noch an Wirecard? Als Reaktion auf die Affäre im Jahr 2021 aber auch als Meilenstein für die Bildung einer stärkeren Kapitalmarktunion in der EU hat der Bundestag noch im selben Jahr das Finanzmarktintegritätsstärkungsgesetz (FISG) verabschiedet.

Das FISG fordert erstmals wirksame und angemessene Interne Kontrollsysteme (IKS) und Risikomanagementsysteme (RMS). Die Neuerungen betreffen auch die Bilanzkontrolle und im Allgemeinen die Corporate Governance eines Unternehmens – also den rechtlichen und faktischen Ordnungsrahmen für die Leitung und Überwachung. Zudem haben nun Vorsitzende des Prüfungsausschusses ein direktes Auskunftsrecht bei den Zuständigen für Interne Revision, IKS und RMS. Dies stellt die Verantwortlichen der Compliance vor neue Herausforderungen und Verantwortungen. Übergeordnetes Ziel des FISG ist es, das teilweise angeschlagene Vertrauen in das Finanzwesen nachhaltig wiederherzustellen.

Weitere Neuerungen auf Gesetzesebene sind die in Brüssel verabschiedete Corporate Sustainability Reporting Directive (CSRD) und das vom deutschen Gesetzgeber erlassene Hinweisgeberschutzgesetz, auf das wir zu einem späteren Zeitpunkt in einem separaten Blogbeitrag konkreter informieren werden.

Doch was haben diese Normen mit Transparenz und erfolgreicher Unternehmensführung zu tun?

Vertrauen, vor allem in börsengehandelten Unternehmen, ist für erfolgreiche Unternehmensführung ein Muss. Um den Vorgaben nach EU-Standard gerecht zu werden, hat der deutsche Gesetzgeber 18 Monate Zeit, die deutsche Unternehmensführung nach zu justieren und so für mehr Wirksamkeit im Kontrollwesen, sowie in der Berichterstattung zu sorgen.

Um Manipulation in den Bereichen Bilanzen und Berichterstattung zu vermeiden, aber auch Betrug,
Veruntreuung und Frauds (Vermögensschädigungen) unmittelbar zu ermitteln, gibt es bereits Ansätze gemäß EU-Vorgaben. Das FISG sieht beispielsweise vor, dass börsennotierte Unternehmen IKS und RMS gemäß der Unternehmensgröße implementieren. Die Berichterstattung erfolgt ebenfalls nach EU-Maßgabe. Hier gilt es ein besonders hohes Maß an Sicherheitsstandards zu wahren und gemäß des Hinweisgeberschutzgesetzes vom 16.12.2022 die Konsequenzen von Verstößen in der Berichterstattung zu berücksichtigen.

Rahmenbedingungen werden bereits durch die EU-Richtlinien vorgegeben.

Technisch ist die Nachverfolgung relevanter Hinweise beispielsweise mit KI’s denkbar. Der Grundsatz des European Sustainability Reporting Standards (ESRS) sieht vor, dass ein Abschlussprüfer dieser Aufgabe nachgeht, was eine externe Kontrolle unumgänglich macht. Am 28.04.2022 trat die Neufassung des Deutschen Corporate Governance Kodex (DCGK) in Kraft, der Vorstände damit verpflichtete, in den Berichterstattungen ausführliche Stellungnahmen über implementierte IKS und RMS zu verfassen und die Systematik sowie das Vorgehen und die Kontrolle der Abläufe darzulegen. Hier ist besonders die interne Revision involviert. Die Formalia und Gestaltung der Stellungnahme müssen jedoch noch kodifiziert werden, wofür es – Stand heute – noch keine einheitliche Darstellung gibt. Derzeit sind sowohl positive als auch bestätigende Statements zulässig, die die Aufstellung und Wirksamkeit der Kontrollsysteme spiegeln. Je nach Adressaten variiert die Formulierung in der Berichterstattung, die den Standard der Systeme aufgreift. Hier ist das Erproben entsprechender Präsentationen in Anlehnung an die Mindeststandards strategisch gesehen am klügsten, um die Stakeholder angemessen über die Relevanten Erkenntnisse zu informieren.

Sollten sich Mängel oder Defizite hinsichtlich des Berichtes, der IKS und RMS durch Prüfung des Abschlussprüfers ergeben, muss dieser einen Kommentar hinterlassen. Neben der Vertrauenswürdigkeit, die für den Finanzplatz Deutschland und an der Börse gegenüber der hiesigen Gesellschaft beabsichtigt wird, sollen Kapitalgeber:innen und Finanzaufseher:innen ebenfalls die Möglichkeit durch die Beauftragung eines unabhängigen Gutachtens durch einen Wirtschaftsprüfer erhalten. Dem wird durch die Neuerung des IDW-PS 980 (auch IDW-Prüfungsstandards) stattgegeben, was die eigenständige Prüfungspflicht durch den Aufsichtsrat abdeckt.
Der Abbau bestehender Verschwiegenheitspflichten nimmt ebenfalls eine zentrale Aufgabe ein, sofern die entsprechenden Interessen zur Wahrung geschäftlicher und personenbezogener Daten angemessen erfolgt.

Eine weitere Veränderung umfasst die Einstellung der Kontrolle der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) durch das Bundesministerium für Finanzangelegenheiten. Inwieweit verfassungsrechtlich parlamentarische Interessen gewahrt werden können und ggf. Erweiterungen bisheriger Rechenschaftsansprüche bestehen, wird derzeit überprüft. Simultan werden etwaige Investitionen für eine fortschreitende Digitalisierung des BaFin vorangetrieben, die zeitnah erfolgen, um ein Qualitätsmanagement entsprechend der EU-Standards umzusetzen. Um strafrechtlich unmittelbar und umfassend ermitteln zu können, sollen Vergehen wie Geldwäsche, Delikte in Verbindung mit Kryptowährung oder Cyber-Security an die Generalbundesanwaltschaft für schnellere Anzeigenerstattung übermittelt werden.

Hier einige konkrete Fragen und Lösungsansätze, um sich frühzeitig auf die anstehenden Neuerungen vorzubereiten:

  • Erfüllen Sie die Mindestanforderungen an Dokumentation für IKS und RMS?
  • Gibt es feste Reportingstrukturen? Muss die Governance-Risk&Compliance (GRC) ggf. weiterentwickelt oder angepasst werden? Gibt es entsprechende Auswertungen / Analysen?
  • Wann wurde der ist-Zustand Ihrer internen Kontroll- und Risikomanagementsysteme zuletzt geprüft?
  • Sind Ihre aktuellen Governance-Systeme nachvollziehbar herleitbar in Hinblick auf Wirksamkeit und Angemessenheit?

Falls Sie es noch nicht wussten: Wir sind Spezialisten auf dem Gebiet der GRC. Alles zum Thema Informationssicherheit und zu unseren Dienstleistungen rund um IKS und RMS finden Sie hier: Informationssicherheit – adverit

Sollten Sie unsere Expertise und Unterstützung bei der Vorbereitung auf die Gesetzesänderungen in Anspruch nehmen wollen, freuen wir uns über Ihre Anfrage via Kontakt – adverit

Essenz:

  • Das FISG fordert erstmals wirksame und angemessene Interne Kontrollsysteme (IKS) und Risikomanagementsysteme (RMS)
  • Ziel des FISG ist die Wiederherstellung des teilweise angeschlagene Vertrauen in das Finanzwesen
  • Am 28.04.2022 trat die Neufassung des Deutschen Corporate Governance Kodex (DCGK) in Kraft
  • Vorstände geben entsprechend ausführliche Stellungnahmen über implementierte IKS und RMS
  • Dem deutschen Gesetzgeber werden 18 Monate für die angemessene Umsetzung der EU-Richtlinien gegeben