5. Rechnungslegungsbezogenes internes Kontroll- und Risikomanagementsystem
Gemäß § 289 Abs. 4 und § 315 Abs. 4 HGB ist die United Internet AG verpflichtet, im Lagebericht die wesentlichen Merkmale ihres rechnungslegungsbezogenen internen Kontroll- und Risikomanagementsystems zu beschreiben.
Die United Internet AG betrachtet das Risikomanagement als Teil des internen Kontrollsystems (IKS). Dabei wird das IKS als fortlaufender Prozess verstanden, der Organisations-, Kontroll- und Überwachungsstrukturen umfasst, um die Einhaltung der gesetzlichen und unternehmerischen Vorgaben jederzeit zu gewährleisten.
Der Vorstand der United Internet AG ist verantwortlich für den Umfang und die Ausgestaltung des IKS und berücksichtigt hierbei die unternehmensspezifischen Anforderungen. Die Überwachung der Wirksamkeit des IKS gehört zu den Aufgaben des Aufsichtsrates der United Internet AG, der sich vom Vorstand regelmäßig über den Zustand des IKS und die Ergebnisse des internen Revisionssystems berichten lässt. Die Abteilung Corporate Audit (Interne Revision) überprüft unabhängig die Angemessenheit, Wirksamkeit und Funktionsfähigkeit des IKS im United Internet Konzern und verfügt zur Wahrnehmung ihrer Aufgaben über umfassende Informations-, Prüf- und Eintrittsrechte. Ihre Prüfungshandlungen basieren auf einem risikoorientierten Prüfungsplan, der regelmäßig auch Prüfungen bei Tochtergesellschaften vorsieht. Darüber hinaus prüft die Abteilung Corporate Audit grundsätzlich die Ordnungsmäßigkeit wesentlicher Anlage- und Vorratsinventuren. Der Abschlussprüfer prüft darüber hinaus die für die Finanzberichterstattung relevanten Teile des IKS im Rahmen seines risikoorientierten Prüfungsansatzes auf Wirksamkeit.
Das rechnungslegungsbezogene IKS umfasst Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit, Wirtschaftlichkeit und Ordnungsmäßigkeit der Rechnungslegung sowie zur Sicherung der Einhaltung der maßgeblichen Gesetze und Normen und wird kontinuierlich weiterentwickelt. Bei der Aufstellung des Konzernabschlusses dient das IKS insbesondere dazu, die Anwendung der International Financial Reporting Standards (IFRS), wie sie in der Europäischen Union anzuwenden sind, und die Anwendung der nach § 315e HGB ergänzend anzuwendenden handelsrechtlichen Vorschriften sicherzustellen. Das IKS trägt bei der Aufstellung des Jahresabschlusses und des Lageberichts zusätzlich dazu bei, dass die handelsrechtlichen Vorschriften eingehalten werden.
Bei jedem IKS muss grundsätzlich berücksichtigt werden, dass es, unabhängig von seiner Ausgestaltung, keine absolute Sicherheit dafür bieten kann, dass wesentliche Fehlaussagen in der Rechnungslegung vermieden oder aufgedeckt werden. Ursache dafür könnten beispielsweise fehlerhafte Ermessensentscheidungen, unzureichende Kontrollen oder kriminelle Handlungen sein.
Die folgenden Aussagen beziehen sich nur auf die im Konzernabschluss der United Internet AG vollkonsolidierten Tochterunternehmen, bei denen die United Internet AG mittelbar oder unmittelbar über die Möglichkeit verfügt, deren Finanz- und Geldpolitik zu bestimmen, um aus der Tätigkeit dieser Unternehmen Nutzen zu ziehen.
Die Aufgabe des Risikomanagements der United Internet AG ist unter anderem die Festlegung von Maßnahmen, um Risiken zu erkennen, zu bewerten, auf ein vertretbares Maß abzumildern und um die erkannten Risiken zu überwachen. Ein Risikomanagement verlangt organisiertes Handeln, um mit Unsicherheit und Bedrohung angemessen umgehen zu können und hält Mitarbeiter dazu an, Vorschriften und Instrumente einzusetzen, um die Einhaltung der Grundsätze für das Risikomanagement zu gewährleisten. Es umfasst neben dem operativen Risikomanagement auch die systematische Risikofrüherkennung, -steuerung und -überwachung. Das rechnungslegungsbezogene Risikomanagement ist dabei auf das Risiko einer Falschaussage in der Buchführung sowie in der externen Berichterstattung ausgerichtet.
Spezifische rechnungslegungsbezogene Risiken können z. B. aus dem Abschluss ungewöhnlicher oder komplexer Geschäfte auftreten. Weiterhin sind Geschäftsvorfälle, die nicht routinemäßig verarbeitet werden, mit einem latenten Risiko behaftet. Einem begrenzten Personenkreis sind notwendigerweise Ermessensspielräume bei Ansatz und Bewertung von Vermögensgegenständen und Schulden eingeräumt, woraus weitere rechnungslegungsbezogene Risiken resultieren können.
Das rechnungslegungsbezogene IKS umfasst anhand von Risikoaspekten definierte interne Kontrollen der für die Rechnungslegung relevanten Prozesse sowie der Prozesse, die die IT-Systeme unterstützen. Hierbei sind die IT-Sicherheit, das Veränderungsmanagement und die operativen IT-Vorgänge von besonderer Bedeutung. Dabei werden organisatorische, präventive und aufdeckende Kontrollen angewendet, die sowohl IT-gestützt als auch manuell erfolgen können. Für die Wirksamkeit und Effizienz des rechnungslegungsbezogenen IKS ist für die United Internet Gruppe die hohe Qualifikation der Mitarbeiter, deren regelmäßige Schulung, das Vier-Augen-Prinzip und die Funktionstrennung von Verwaltungs-, Ausführungs- und Genehmigungsprozessen unverzichtbar. Die Steuerung der Prozesse zur Rechnungslegung erfolgt durch den Bereich Konzernrechnungslegung und weitere zuständige Rechnungslegungsabteilungen. Gesetze, Rechnungslegungsstandards und andere Verlautbarungen werden fortlaufend bezüglich der Relevanz und Auswirkungen auf die Rechnungslegung analysiert. Die Konzerngesellschaften sind für die Einhaltung des ordnungsgemäßen und zeitgerechten Ablaufs ihrer rechnungslegungsbezogenen Prozesse und Systeme verantwortlich und werden dabei von den Rechnungslegungsabteilungen unterstützt.
Bei festgestellten wesentlichen Kontrollschwächen oder Verbesserungsmöglichkeiten werden diese bewertet und mit den verantwortlichen Personen Gegenmaßnahmen ausgearbeitet, um die Wirksamkeit des IKS weiter zu verbessern. Die Umsetzung der Maßnahmen wird durch die Abteilung Corporate Audit überwacht und kann Gegenstand von Folgeprüfungen sein. Zur Sicherstellung der hohen Qualität des rechnungslegungsbezogenen IKS ist Corporate Audit über alle Stufen hinweg eng mit einbezogen.