Page - 88 - in Austrian Law Journal, Volume 1/2016

ALJ 1/2016 Haftung und Compliance 88 Dem steht aber – noch – die erst geringe Verbreitung des ISO-Standards 19600 entgegen. Eine CMS-Zertifizierung bildet derzeit die Ausnahme und nicht die Regel. Eine faktische Verpflichtung, eine Zertifizierung vorzunehmen, besteht daher aktuell nicht. Auch eine Pflicht, die inhaltlichen Maßstäbe der Zertifizierung zu befolgen, dh in Einklang mit dem ISO-Standard 19600 zu handeln, stößt an Grenzen: Geschäftsleiter haben ein Organisationsermessen; ein CMS ist immer abhängig von der konkreten Unternehmenssituation zu gestalten. Insb für kleine Einheiten erscheint ein derart umfangreiches CMS, wie vom ISO-Standard vorgegeben, als unverhältnismäßig. Eine Bin- dung an den ISO-Standard würde Geschäftsleiter in ihrem Organisationsermessen erheblich ein- schränken. Für große Einheiten scheint eine künftige, faktische Geltung des ISO-Standards 19600 als Verkehrsanschauung hingegen möglich. C. Geltung über Umwege? Die ISO 19600 könnten auch über den Umweg der Abschlussprüfung Bindungswirkung erlangen. Gegenstand der Abschlussprüfung bei Kapitalgesellschaften sind gem § 268 UGB der Jahresab- schluss und der Lagebericht. In den Lagebericht sind gem § 243a Abs 2 UGB grundsätzlich nur die wichtigsten Merkmale des internen Kontrollsystems und des Risikomanagementsystems in Bezug auf die Rechnungslegung aufzunehmen. Aus einer Gesamtbetrachtung des ÖCGK sind börsenno- tierte Unternehmen bzw Unternehmen, die sich einer Selbstverpflichtung unterworfen haben, hingegen zur Etablierung eines Risikomanagementsystems auch in nicht-finanziellen Bereichen angehalten. Gem Regel 83 ÖCGK hat der Abschlussprüfer eine Überprüfung der Funktionsfähig- keit des Risikomanagementsystems vorzunehmen. Beurteilungsgegenstand der Abschlussprü- fung bilden „die im Unternehmen eingesetzten Systeme und Einrichtungen (Risikomanagement- methoden, Sicherungsstrategien etc, Methoden und Systeme zur Identifikation, Erfassung, Analyse, Bewertung, Kontrollen und Kommunikation der Risiken im Unternehmen etc) […]. Zur Definition der Begriffe ‚Risiko‘ und ‚Risikomanagement‘ kann dabei auf internationale Vorbilder und Modelle zurückgegriffen werden.“68 Eine Prüfung durch den Abschlussprüfer setzt voraus, dass eine ent- sprechende Errichtung und interne Dokumentation des Risikomanagement-Systems besteht, andernfalls die Risikoidentifikation und -beschreibung nicht nachvollzogen werden können. Der Prüfungsumfang des Abschlussprüfers wird in den Fachgutachten der Kammer der Wirt- schaftstreuhänder (KWT) konkretisiert. Werden im Zuge der Prüfung „wesentliche Mängel und Schwächen in den nicht auf die Rechnungslegung bezogenen Bereichen des internen Kontrollsys- tems entdeckt“, kann nach Auffassung der KWT die Redepflicht gem § 273 Abs 2 UGB ausgelöst werden. Jedenfalls ist aber die Unternehmensleitung über die aufgedeckten Schwächen zu infor- mieren. Der Abschlussprüfer hat einen Ermessensspielraum, in welcher Form die Berichterstattung über diese Mängel erfolgt.69 Die Fachgutachten der KWT enthalten Leitlinien zu verschiedenen Aspekten der Wirtschaftsprüfung und geben nach hA den aktuellen Standard, der an die Prü- fungstätigkeit gestellt wird, wieder.70 Sie sind grundsätzlich rechtlich unverbindlich. Allerdings 68 Interpretation zu Regel 83 ÖCGK: Hervorhebung durch die Verfasserin. 69 Fachgutachten des Fachsenats für Unternehmensrecht und Revision der KWT über die Durchführung von Ab- schlussprüfungen, KFS/PG 1, 45 http://www.kwt.or.at/de/PortalData/2/Resources/downloads/downloadcenter/KFS- PG1.pdf (abgefragt am 25. 1. 2016); siehe auch Stellungnahme des Fachsenats für Unternehmensrecht und Revi- sion der KWT zu Ausgewählten Fragen zur Redepflicht des Abschlussprüfers gem § 173 Abs 2 und 3 UGB, KFS/PE 18 Rz 12 http://www.kwt.or.at/de/PortalData/2/Resources/downloads/downloadcenter/KFS-PE18.pdf (abgefragt am 25. 1. 2016). 70 Reiter, Überprüfung der Prüfer, persaldo 2005/4, 10.