Wirecard AG: Risikomanagement war erforderlicher Teil der Prüfungsplanung

Die grundsätzliche Problemstellung, dass die Wirecard AG sowohl ein FinTech-Unternehmen als auch eine Bank war, war bekannt gewesen, so der Präsident des Bundesrechnungshofes, Kay Scheller, zum „Spiegel“ (Manager Magazin vom 16.07.2020, Schreierei an der Firmenspitze).

Die Einhaltung der MaRisk (Mindestanforderungen an das Risikomanagement) und der BAIT (bankaufsichtsrechtliche Anforderungen an die IT) musste vom Management mit vertretbarem Aufwand beachtet und vom Abschlussprüfer im Rahmen der Jahresabschlussprüfung bei Wirecard AG praxisgerecht beurteilt werden.

Die MaRisk und die BAIT waren erforderliche Teile der Prüfungsplanung und -handlungen des Prüfers der Jahresabschlüsse nach den einschlägigen IDW-Standards bei der Wirecard AG gewesen.

Die bankaufsichtlichen Anforderungen an die IT (BAIT – BaFin-Rundschreiben 10/2017) konkretisierten die MaRisk um das Informationsrisikomanagement (hierfür hatte das Unternehmen angemessene Überwachungs- und Steuerungssysteme einzurichten (vgl. AT 7.2, Tz. 4 MaRisk)), um das Informationssicherheitsmanagement (das Informationssicherheitsmanagement macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung (vgl. AT 7.2, Tz. 2 MaRisk)), und weitere Module.

Die kompakten Anforderungen der MaRisk waren und sind von allen Instituten im Sinne von § 1 Abs. 1b KWG beziehungsweise im Sinne von § 53 Abs. 1 KWG zu beachten.

Durch die MaRisk wird über § 80 Abs. 1 WpHG (alt: § 33 Abs. 1 WpHG) in Verbindung mit § 25a Abs. 1 KWG Art. 13 der Richtlinie 2004/39/EG (Finanzmarktrichtlinie – MiFID) umgesetzt, soweit dieser auf Kreditinstitute und Finanzdienstleistungsinstitute gleichermaßen Anwendung findet. Dies betrifft die allgemeinen organisatorischen Anforderungen gemäß Art. 5, die Anforderungen an das Risikomanagement und die Interne Revision gemäß Art. 7 und 8, die Anforderungen zur Geschäftsleiterverantwortung gemäß Art. 9 sowie an Auslagerungen gemäß Art. 13 und 14 der Richtlinie 2006/73/EG (Durchführungsrichtlinie zur Finanzmarktrichtlinie).

Gegenstände der Bewertung im Einzelnen bei der Prüfung der Jahresabschlüsse mussten die Wirkungen des Internen Kontrollsystems (IKS), des Risikomanagementsystems (RMS), des Internen Revisionssystems (IRS) und des Compliance-Management- Systems (CMS) sein. Die gesetzlichen Vertreter trugen die primäre Verantwortung für die Errichtung für das IKS, das IRS und das RMS. Gleiches galt für das Informationsrisikomanagement und das Informationssicherheitsmanagement nach den BAIT.

Zu den zu prüfenden Mechanismen gehörten die Anforderungen an das Risikomanagement, das Verrechnungssystem zur verursachungsgerechten Verrechnung, die Risikotragfähigkeit des Unternehmens, die Planungen zur Vermeidung von Risiken, die Nachhaltigkeit der Geschäftsstrategie, das Interne Kontrollsystem,  die Interne Revision, die Risikosteuerungs- und -controllingsprozesse, die außerbilanziellen Konstruktionen bei Stresstests, das Risikocontrolling, die Compliance-Funktionen und der Compliance-Prüfplan, wie nachfolgend beschrieben.

Anforderungen an das Risikomanagement

Die MaRisk AT 4.1 beschreibt den internen Prozess zur Sicherstellung der Risikotragfähigkeit zur Fortführung des Unternehmens im Interesse des Gläubigerschutzes. Auf der Grundlage eines nachhaltigen Gefährdungsprofils war sicherzustellen, dass die wesentlichen Unsicherheiten des Unternehmens durch das Risikodeckungspotenzial, unter Berücksichtigung von Gefährdungszentrierungen, laufend abgedeckt waren und damit die Verlusttragfähigkeit gegeben war. Die Angemessenheit der Methoden und Abläufe war zumindest jährlich durch die fachlich zuständigen Mitarbeiter zu bewerten.

Verrechnungssystem zur verursachungsgerechten Verrechnung

Das Unternehmen hatte ein geeignetes Verrechnungssystem zur verursachungsgerechten internen Verrechnung der jeweiligen Liquiditätskosten und -nutzen einzurichten, MaRisk BTR 3 Liquiditätsrisiken, dort MaRisk BTR 3.1 Ziffer 5. Damit war zu gewährleisten, dass die jeweiligen Erträge den Kostenstellen zugerechnet werden konnten und somit kein Schneeballsystem entstehen würde.

Risikotragfähigkeit des Unternehmens

Hierzu mussten intern geeignete Controllingprogramme geschaffen werden. Wesentliche Gefährdungen, die nicht in das Verlusttragungsfähigkeitskonzept einbezogen werden sollten, hätten festgelegt werden müssen. Die Nichtberücksichtigung musste nachvollziehbar begründet werden. Die Organisation und Methoden der Risikoqualifizierung sollten ebenfalls einmal jährlich getestet worden sein.

Planungen zur Vermeidung von Risiken

Sich anbahnende Verluste ließen sich durch eine regelmäßige Einschätzung des Liquiditätsdeckungsgrades kontrollieren. Der Aufbau und die Unterhaltung einer Liquiditätsreserve waren so hoch wie nötig und so gering wie möglich anzusetzen. Operationelle Gefährdungen mussten durch das Interne Kontrollsystem wie auch durch regelmäßige, möglichst dreimonatige Compliance-Prüfungen gemindert werden. Personalrisiken konnten durch eine Vertrauensschadenversicherung begrenzt werden. Rechtlichen Unwägbarkeiten war durch eine Vermögensschadenhaftpflichtversicherung und eine Rechtsschutzversicherung zu begegnen.

Eine Erfolg versprechende Planung zur Vermeidung von Verlusten bestand in regelmäßiger Weiterentwicklung des Versicherungsmanagements.

Nachhaltige Geschäftsstrategie

Die Geschäftsleitung hatte eine nachhaltige Geschäftsstrategie festzulegen, in der die Ziele für jede wesentliche Geschäftsaktivität sowie die Maßnahmen zur Erreichung dieser Ziele darzustellen waren, MaRisk AT 4.2 Strategien. Die Risikostrategie musste auf der Geschäftsstrategie aufgebaut werden. Die Risikostrategie hatte, gegebenenfalls unterteilt in Teilplanungen, die Ziele der wesentlichen Geschäftsaktivitäten sowie die Maßnahmen zur Erreichung dieser Ziele zu umfassen, MaRisk AT 4.2 Strategien.

Die Verantwortlichkeit für diese Planung konnte die Geschäftsleitung nicht delegieren. Die einzelnen Mechanismen erfassten die Planung, Umsetzung, Beurteilung und Anpassung der Planung. Die Überprüfung der Ziele war zu gewährleisten. Es bestand eine Berichtspflicht gegenüber den Aufsichtsorganen des Unternehmens mit einer Erörterungs- und Analysepflicht, MaRisk AT 4.2 Ziffer 5.

Das Interne Kontrollsystem

Die Organisation der Internen Kontrolle ergibt sich aus der Delegierten Verordnung (EU) VO 217/565 Art. 21, KWG 25a, § 7 Geldwäschegesetz und MaRisk AT 4.4.3. Erforderlich waren hiernach Regelungen zur Aufbauorganisation und zur Ablauforganisation. Auch hier waren Risikosteuerungsabläufe einzurichten. Ebenfalls war eine Risikocontrolling-Funktion und eine Compliance-Funktion zu implementieren (VO 2017/565 Art. 21 Abs. 1 lit. d, MaRisk 4.3 Abs. 1). Auszuschließen waren hier Interessenskonflikte, MaRisk 4.3.1 Abs. 1. Die Mechanismen sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege waren klar zu definieren und aufeinander abzustimmen (Ma-Risk AT 4.3 Internes Kontrollsystem).

Interne Revision

Die Rechtsquellen für die Internen Revision ergeben sich aus der Del. VO (EU) 2017/565 Art. 24, § 25 a KWG, MaRisk. Das Unternehmen musste über eine funktionsfähige Interne Revision verfügen. Die Interne Revision war ein Instrument der Geschäftsleitung und auch ihr gegenüber berichtspflichtig. Die Interne Revision hatte weisungsunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des Internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Verfahren zu beurteilen und zu würdigen, MaRisk AT 4.4.3 Interne Revision.

Risikosteuerungs- und -controllingprozesse

Diese Mechanismen mussten gewährleisten, dass die wesentlichen Gefahren frühzeitig erkannt, vollständig dokumentiert und in angemessener Weise dargestellt werden konnten. Dazu gehörten auch ausgelagerte Aktivitäten. Hierzu hatte das Unternehmen geeignete Indikatoren für die frühzeitige Identifizierung von drohenden Schäden sowie von systemübergreifenden Effekten abzuleiten, MaRisk AT 4.3.2 Risiko- und -controllingprozesse.

Stresstests erfassen auch außerbilanzielle Geschäftskonstruktionen

Stresstests waren regelmäßig als auch anlassbezogen für die wesentlichen Gefahren durchzuführen. Die wesentlichen Faktoren waren hierfür zu identifizieren. Risiken aus außerbilanziellen Geschäftskonstruktionen waren im Rahmen des Stresstests zu berücksichtigen, MaRisk AT 4.3.3 Ziffer 1. Damit waren diejenigen Unternehmen zu berücksichtigen, die im Rahmen einer Konzernbilanz nicht erfasst wurden. In dem Stresstest waren sie aber zu benennen.

Risikocontrolling

Die Überwachung und Kommunikation der Risiken ist in der MaRisk AT 4.4.1 Abs. 1–2 geregelt.

Das Unternehmen musste über eine unabhängige Risikocontrolling- Funktion verfügen, die für die Überwachung und Kommunikation der Risiken zuständig war. Die Durchführung der Risikoinventur und Erstellung des Gesamtrisikoprofils gehörte zu den Aufgaben der Risikocontrolling-Funktion. Sie war zuständig für die Einrichtung und Weiterentwicklung eines Systems von Risikokennzahlen und eines Risikofrüherkennungsverfahrens. Sie hatte regelmäßige Risikoberichte für die Geschäftsleitung zu erstellen. Sie war verantwortlich für das Prozedere zur unverzüglichen Weitergabe von unter Risikogesichtspunkten wesentlichen Auskünften an die Geschäftsleitung, die jeweiligen Verantwortlichen und gegebenenfalls an die Interne Revision. Sie hatte also die Risikosituation zu überwachen, ferner die Risikotragfähigkeit und die Risikogrenzen. Ebenfalls musste sie vierteljährlich Risikoberichte für die Geschäftsleitung formulieren.

Die Compliance-Funktion

Die Rechtsquellen für die Compliance-Funktion ergeben sich aus der Del. VO 2017/565 Art. 22, § 25 a KWG, der MaComp und der MaRisk AT 4.4.2 Abs. 7. Die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Unternehmens führen konnte, musste unter Berücksichtigung von Risikogesichtspunkten in regelmäßigen Abständen durch die Compliance-Funktion erfolgen, MaRisk AT 4.4.2 Ziffer 2.

Der Compliance-Prüfplan

Rechtsquellen für den Compliance-Prüfplan sind die Del. VO 2017/565 Art. 22 und die MaComp BT 1.3.2.1. Der Compliance-Prüfplan wird in der MaComp als Überwachungsplan bezeichnet. Überwachungshandlungen hatten nicht nur anlassbezogen, sondern auch auf der Grundlage eines schriftlichen Überwachungsplans und regelmäßig (wiederkehrend oder fortlaufend) zu erfolgen, MaComp BT 1.3.2.1 Überwachungsplan.

Die regelbasierten Überwachungsprogramme mussten im Rahmen des Kontrollumfeldes darauf ausgerichtet sein sicherzustellen, dass Compliance-Lücken umfassend identifiziert wurden. Sie mussten die Schwerpunkte für die Überwachungshandlungen nach Maßgabe der Gefahrenanalyse ausweisen.

Der Umfang, die Reichweite und der Turnus der im Überwachungsplan zu bestimmenden Festlegungen sowie die Auswahl der hierfür angemessenen Instrumente und Methoden hätten durch die Compliance-Funktion auf Basis der Gefährdungsanalyse bestimmt werden müssen. Die Compliance-Funktion hatte sicherzustellen, dass ihre Überwachungshandlungen nicht nur akten- oder computerbasiert, sondern auch durch Vor-Ort-Sichtungen erfolgen.

Schulden wuchsen schneller als die Gewinne

Bei der Wirecard AG wuchsen die Schulden schneller als die Gewinne. Dieses war erkennbar anhand der veröffentlichten Konzernbilanzen auf Bundesanzeiger.de. Die Risikoaggregation stellte sich wie folgt dar.

 

2015

Gewinn: 227,315 Millionen Euro

Schuldenzuwachs: 756,000 Millionen Euro

2016

Gewinn: 307,363 Millionen Euro

Schuldenzuwachs: 352,111 Millionen Euro

2017

Gewinn: 412,613 Millionen Euro

Schuldenzuwachs: 885,239 Millionen Euro

2018

Gewinn: 560,500 Millionen Euro

Schuldenzuwachs: 1,040 Milliarden Euro

 

Damit bestand das Extremrisiko, dass die Scheinerträge durch manipulierte Geschäfte von Tochterunternehmen produziert wurden. Allerdings von solchen „Tochterunternehmen“, die nicht in der Konzernbilanz auftauchten. Wären alle Buchungen der nicht in den Konsolidierungskreis einbezogenen abhängigen Gesellschaften in den Konzernbilanzen erfasst worden, hätten sich die Scheinerträge durch den Aufwand neutralisiert und es wäre kein Scheingewinn produziert worden.

Die (nicht am Markt) erzielten Erträge waren fast ausnahmslos gesteuert, also nicht marktgerecht, und führten zu automatisiert wiederkehrenden Gewinnaggregationen, basierend auf Verträgen mit verbundenen Gesellschaften aufgrund interner unrichtiger Verrechnungspreise. Ein Bewertungsmaßstab der Bilanz war einfach und primitiv: Die Steigerung bei den Finanzanlagen und Forderungen gegen verbundene Unternehmen im Verhältnis zum Vorjahr werden in die Summe des Jahreserlöses transformiert.

Falsche Saldenbestätigungen

Der Abschlussprüfer verweigerte für die Wirecard AG das Abschlusstestat für 2019, weil er keine Nachweise für die Existenz von Guthaben in Höhe von 1,9 Milliarden Euro bei asiatischen Partnerbanken gefunden hatte. Es sollen falsche Saldenbestätigungen zu Täuschungszwecken vorgelegt worden sein.

In der BGH-Entscheidung vom 12.03.2020 – VII ZR 236/19 – war einem Anleger Schadenersatz aufgrund eines uneingeschränkten Bestätigungsvermerkes in einem Prospekt aus den Gründen des § 826 BGB zugesprochen worden. Diese BGH-Entscheidung dürfte das kritische Bewusstsein der Prüfer bei der Wirecard AG geschärft haben. Dafür spricht der zeitliche Zusammenhang zwischen Urteilsveröffentlichung und Testatsverweigerung.

Damit stellt sich auch die Frage des Prüfungsumfanges, der Prüfungstiefe und eines Ermessens des Prüfers bei der Einholung und Beurteilung von Saldenbestätigungen durch Dritte bei früheren Prüfungen. Der insofern einschlägige IDW Prüfungsstandard 302 war aufgrund bislang lückenhafter Kontrollen zum 10. Juli 2014 verschärft worden.

Nach dem 2014 aktualisierten Prüfungsstandard gilt für alle Saldenbestätigungen der Grundsatz, dass der Abschlussprüfer die Kontrolle sowohl über den Versand als auch über den Empfang der Bestätigungen zu kontrollieren hat.

Das Ziel des Abschlussprüfers bei der Anwendung dieses IDW-Prüfungsstandards besteht darin, die Einholung von Bestätigungen Dritter so zu planen und durchzuführen, dass relevante und verlässliche Prüfungsnachweise erlangt werden, IDW PS 302, Tz. 5.

Die Bestätigung Dritter als Saldenbestätigung ist ein Prüfungsnachweis, den der Abschlussprüfer unmittelbar als schriftliche Antwort eines Dritten in Papierform oder mittels eines elektronischen oder anderen Mediums erlangt, IDW PS 302, Tz. 6. Bei der Entscheidung, ob der Abschlussprüfer im Rahmen von aussagebezogenen Prüfungshandlungen Bestätigungen Dritter einholt, soll er seine Beurteilung der Fehlerrisiken für die Rechnungslegung insgesamt und für einzelne Aussagen in der Rechnungslegung berücksichtigen, die er auf der Grundlage seines Verständnisses vom Unternehmen und dessen rechtlichem und wirtschaftlichem Umfeld sowie seiner Beurteilung des rechnungslegungsbezogenen internen Kontrollsystems trifft, IDW PS 302, Tz. 7–10.

ISA (DE) 240 betreffend die Verantwortlichkeiten des Abschlussprüfers bei dolosen Handlungen

Der nachfolgend beschriebene ISA (DE) 240 gibt eine Hilfestellung für den Wirtschaftsprüfer zur zukünftigen Erfassung von Missständen.

Der „International Standard on Auditing“ ISA (DE) 240 betreffend die Verantwortlichkeiten des Abschlussprüfers bei dolosen Handlungen gilt erstmals für die Prüfung von Abschlüssen nach dem 15. Dezember 2020. Eine freiwillige vorzeitige Anwendung ist möglich. Die Prüfung gilt für Bilanzen, die nach dem 15.12.2009 beginnen, ISA (DE) 240, Rdnr. 10.

Der Standard ISA 240 ist im Hinblick auf Risiken wesentlicher falscher Darstellungen aufgrund von dolosen Handlungen anzuwenden  (ISA (DE) 240, Anwendungsbereich, 1.1).

Der Prüfungsstandard ISA (DE) 240 ist geeignet, zukünftige Normabweichungen in den Rechnungslegungsprozessen frühzeitig zu identifizieren.

Die Ziele des Prüfers bestehen darin, die Risiken wesentlicher falscher Darstellungen im Abschluss aufgrund doloser Handlungen zu detektieren und zu beurteilen, ferner, durch die Planung und Umsetzung angemessener Reaktionen ausreichende geeignete Prüfungsnachweise für den Nachweis doloser Handlungen zu erlangen, ISA (DE) 240, Rdnr. 11).

Zu den Anforderungen an den Prüfer gehört eine kritische Grundhaltung, ISA (DE) 240, Rdnr. 14. Wenn Antworten des Managements oder des Verantwortlichen inkonsistent sind, so sind die Inkonsistenzen zu untersuchen, ISA (DE) 240, Rdnr. 15. Wenn eine Aufklärung nicht möglich ist, muss der uneingeschränkte Bestätigungsvermerk mit den gefundenen Einschränkungen versehen oder versagt werden. Festgelegt ist wegen der Schweigepflicht des Prüfers ebenfalls der Umgang mit Meldepflichten.

Autor: Rechtsanwalt W. Segelken aus der Sozietät, Robert Rechtsanwälte GbR, Bremen

Mehr spannende Themen gibt es im experten Report 11/20

 

 

Bilder: (1) © pressmaster – stock.adobe.com (2) © experten-netzwerk GmbH

Themen: