Wie Erfolge gehören auch Verfehlungen zur Realität im Unternehmensalltag. Wenn Verstösse gegen Werte, Gesetze und interne Weisungen ans Licht kommen, stellt sich unmittelbar die Frage, ob ein Kontrollversagen vorliegt: Genügt die Governance der Aufsicht und Kontrolle im Unternehmen, um zuverlässig Verfehlungen auszuschliessen bzw. rechtzeitig zu entdecken und zu bewältigen? Und: Hat der Verwaltungsrat die Aufsicht und Kontrolle im Unternehmen mit aller Sorgfalt wahrgenommen?
Verwaltungsrat und IKS
Der Verwaltungsrat sollte ein IKS (internes Kontrollsystem) nach allgemein anerkanntem Standard verwirklichen und aufrechterhalten. Eine anerkannte Definition existierte bis vor Kurzem nicht. Seit September 2021 hält der erste internationale Governance-Standard, ISO 37000, fest, dass das IKS ein Risiko-Management-System, ein Compliance-Management-System und ein System der Finanzkontrolle umfasst. Der Verwaltungsrat sollte zudem den Aktionären jährlich Bericht zur Wirksamkeit des IKS erstatten. Bei der Aufsicht und Kontrolle durch die oberste Leitung («Governing Body») spielt das IKS bei den Gesellschaften, die der ordentlichen Revision unterliegen, eine wesentliche Rolle. Dessen Zweck ist es, die Risiken einer Unternehmung angemessen zu eruieren, womit ein wichtiger Beitrag zum zukünftigen Erfolg der Unternehmung geleistet wird. Solch ein System soll durch verschiedene Kontroll- und Steuerungselemente Risiken vorbeugen und verhindern, um Schäden, meist finanzieller Art, zu vermeiden. Es ist damit ein zentrales Instrument, welches zur Erreichung der Unternehmensziele beiträgt. Ein IKS umfasst die Verlässlichkeit der finanziellen Berichterstattung, die Wirksamkeit und Effizienz der Tätigkeiten sowie die Gesetzes- und Normenkonformität der Tätigkeiten des Unternehmens.
Gesetzliche Regelung
Seit der Revision des Obligationenrechts (OR) per 1. Januar 2008 ist das interne Kontrollsystem im Gesetz explizit erwähnt. Es enthält jedoch keine Regelung der Governance des IKS und keine Festlegung von Inhalt, Aufgabe und Leistung. Nach OR erstattet die Revisionsstelle dem Verwaltungsrat nach Abschluss der Prüfung einen «umfassenden Bericht mit Feststellungen» über das IKS der Gesellschaft. Somit fordert der Gesetzgeber von der Revisionsstelle, dass sie die Existenz eines Systems prüft, das es als definiertes, transparentes und auditierbares Institut nach dem Gesetz gar nicht gibt. Er verlässt sich also stillschweigend darauf, dass internationale Standards und Leitlinien (sog. Soft Law) die Lücke schliessen bzw. die Regelung ergänzen.
Mit der blossen Existenzprüfung des IKS ist die gesetzliche Umschreibung des Prüfungsauftrages der Revisionsstelle in maximaler Kürze ausgefallen. Zentrale Aspekte bleiben bis heute unbeantwortet. Gleichzeitig muss jedoch die Revisionsstelle dem Verwaltungsrat umfassenden Bericht erstatten, was implizit eine detaillierte und autoritative Regelung des IKS im Soft Law voraussetzt. Das OR enthält keine Bestimmung, die den Verwaltungsrat, das Oberleitungsorgan, direkt verpflichtet, ein IKS zu errichten. Laut der Botschaft zur Revisionspflicht ergibt sich diese Pflicht aber aus Art. 716a Abs. 1 Ziff. 3 i.V.m. Art. 662a27 und Art. 957 ff. OR. Das Rechnungswesen der Gesellschaft ist so auszugestalten, dass die Grundsätze der ordnungsgemässen Buchführung und Rechnungslegung eingehalten werden. Hinzu kommt Art. 716a Abs. 1 Ziff. 5 OR, der dem Verwaltungsrat die Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen, zuordnet. Mit der Verantwortung für die Compliance muss der Verwaltungsrat de facto ebenso ein IKS implementieren.
Anregung an den Gesetzgeber
Das OR enthält keine Governance-Regelung und keine Definition des IKS und nennt keine Mindestanforderungen an dasselbe. Es weist die Revisionsstelle jedoch an, die Existenz des IKS zu prüfen und dem Verwaltungsrat umfassenden Bericht mit Feststellungen zum IKS zu erstatten. Das Gesetz bzw. der Gesetzgeber verlangt also von der Revisionsstelle, die Existenz von etwas begrifflich Unbestimmtem zu prüfen und dazu auch umfassend Bericht mit konkreten Feststellungen zu erstatten. Damit überlässt es das Gesetz bzw. der Gesetzgeber dem Soft Law, die Gesetzeslücke zu schliessen und zu definieren, was nach den Regeln der Kunst ein wirksames IKS ist. Diese Gesetzeslücke wurde in den letzten zehn Jahren graduell und mit unterschiedlichen Ansätzen durch Berufs- und Fachverbände sowie durch die Internationale Organisation für Normung (ISO) geschlossen.