Verknüpfung von Risikomanagement und Compliance im mittelständischen Konzernunternehmen

INHALTSVERZEICHNIS

Abkürzungsverzeichnis

Tabellenverzeichnis

Abbildungsverzeichnis

Verzeichnis der Anhänge

1 Einführung
1.1 Problemstellung und Zielsetzung
1.2 Gang der Untersuchung

2 Begriffsbestimmungen und rechtliche Rahmenbedingungen
2.1 Risiko(management) und Compliance
2.1.1 Risiko
2.1.2 Risikomanagement
2.1.3 Compliance
2.1.4 Compliance und Verhältnis zum Risikomanagement
2.2 Gesetzliche und quasi-gesetzliche Rahmenbedingungen zur Einführung eines Risikomanagementsystems
2.2.1 KonTraG
2.2.2 Bilanzrechtsmodernisierungsgesetz
2.2.3 Sarbanes-Oxley Act
2.2.4 Deutscher Corporate Governance Kodex
2.3 Gesetzliche und quasi-gesetzliche Rahmenbedingungen zur Einführung eines Compliancesystems
2.4 Zwischenfazit

3 Aufbau eines Risikomanagement- und Compliancesystems
3.1 Risikostrategie
3.2 Risikoidentifikation und -bewertung
3.2.1 Erwartungswertmethode
3.2.2 Modifizierung der Erwartungswertmethode
3.3 Risikobewältigung
3.3.1 Risikovermeidung
3.3.2 Risikoverminderung
3.3.3 Risikoübertragung
3.3.4 Risikoübernahme

4 Übersicht zum Stand des Risikomanagements in KMU

5 Anwendung
5.1 Das Unternehmen X GmbH
5.2 Implementierung eines Risikomanagement-Modells
5.2.1 Methode
5.2.2 Compliancerelevante Risikofelder der X GmbH

6 Ergebnisse der Risikoevaluation
6.1 Verträge (Risikofeld 01)
6.1.1 Kaufverträge (Einzelrisiko 001)
6.1.2 Mietverträge (Einzelrisiko 002)
6.1.3 Geheimhaltungsvereinbarungen (Einzelrisiko 003)
6.2 Finanzen (Risikofeld 02)
6.2.1 Forderungsausfall und Insolvenz (Einzelrisiko 001)
6.2.2 Lieferung ohne Anzahlung (Einzelrisiko 002)
6.3 Kunden (Risikofeld 03) Exportkontrolle (Einzelrisiko 001)
6.4 Personal (Risikofeld 04)
6.4.1 AGG (Einzelrisiko 001)
6.4.2 Nachwuchs und Generationswechsel Personalbeschaffung (Einzelrisiko 002)
6.5 IT (Risikofeld 05)
6.5.1 Systemstabilität und Dokumentation (Einzelrisiko 001)
6.5.2 Safety (Einzelrisiko 002)
6.5.3 Datenschutzbeauftragter und Datenschutz (Einzelrisiko 003)

7 Gesamtergebnis und Handlungsempfehlungen
7.1 Zusammenfassung der Ergebnisse anhand eines Radar- diagrammes
7.2 Handlungsempfehlungen zur Bewältigung von Einzelrisiken
7.3 Stand des RMS in der X GmbH und Handlungsempfehlungen für ein Risikomanagement- und Compliancesystem

8 Fazit und Ausblick

Literaturverzeichnis

Anhänge

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Tabellenverzeichnis

Tabelle 1: Synopse zur Einführung eines Risikomanagementsystems nach HGB und AktG

Tabelle 2: RMS-relevante Regeln des DCGK

Abbildungsverzeichnis

Abbildung 1: Risikomix eines Unternehmens

Abbildung 2: Risikomix und Rechtsgebiete der Compliance

Abbildung 3: Hierarchie compliancerelevanter Regularien

Abbildung 4: Kernfelder des Risikomanagementmodells

Abbildung 5: Risiko- und Chancenbewertung

Abbildung 6: Schritte zur Risikobewältigung

Abbildung 7: Kumulierte Risikofelder der X GmbH

Abbildung 8: Aufbauorganisationen eines Risikomanagement- systems

Abbildung 9: Aufbauorganisation eines Risikomanagementsystems bei der X GmbH

Verzeichnis der Anhänge

1. Risikoevaluierungsbogen – Vorlage und Erläuterung

2. Risikoevaluierungsbogen Verträge (Risikofeld 01) Kaufverträge (Einzelrisiko 001)

3. Risikoevaluierungsbogen Verträge (Risikofeld 01) Mietverträge (Einzelrisiko 002)

4. Risikoevaluierungsbogen Verträge (Risikofeld 01) NDAs (Einzelrisiko 003)

5. Risikoevaluierungsbogen Finanzen (Risikofeld 02) Forderungsausfall und Insolvenz (Einzelrisiko 001)

6. Risikoevaluierungsbogen Finanzen (Risikofeld 02) Forderungsausfall (Einzelrisiko 001) (2)

7. Risikoevaluierungsbogen Finanzen (Risikofeld 02) Lieferung ohne Anzahlung (Einzelrisiko 002)

8. Risikoevaluierungsbogen Kunden (Risikofeld 03) Exportkontrolle (Einzelrisiko 001)

9. Risikoevaluierungsbogen Personal (Risikofeld 04) AGG (Einzelrisiko 001)

10. Risikoevaluierungsbogen Personal (Risikofeld 04) Nachwuchs- und Generationswechsel Personalbeschaffung (Einzelrisiko 002)

11. Risikoevaluierungsbogen IT (Risikofeld 05) Systemstabilität und Dokumentation (Einzelrisiko 001)

12. Risikoevaluierungsbogen IT (Risikofeld 05) Safety (Einzelrisiko 002)

13. Risikoevaluierungsbogen IT (Risikofeld 05) Datenschutzbeauftragter (Einzelrisiko 003)

14. Kumulierte Risikofelder - Berechnung

1 Einführung

1.1 Problemstellung und Zielsetzung

Die Themenstellung „Risikomanagement und Compliance“ erfreut sich einer anhaltenden Aktualität in Lehre und Praxis. Noch im Jahre 2008 werteten global aufgestellte Unternehmen das Problem „Regulierung und Compliance“ als erstrangiges Top-Risiko und im Jahre 2009 wurde es nur durch den „Credit Crunch“ auf Patz 2 verdrängt^[1]. Der Problemkreis belegt zugleich ein vergleichswei­se junges Gebiet der Betriebswirtschaftslehre, unter dessen Auspiz Wege zum Umgang mit volatilen bis krisengeschüttelten Märkten aufgezeigt werden können. Konzeptionell stellt sich dabei weniger die Frage, „ob“ man Risiken eingeht, sondern vielmehr „wie“ man mit ihnen umgeht.

Die stetig anwachsende Zahl von rechtlichen und selbst auferlegten Regularien zur Kontrolle von Risiken führt auch bei mittelständischen Unternehmen zu Intransparenz und Unsicherheit. Selbst wenn die zur Bewältigung notwendigen Informationen grundsätzlich zugänglich sind, ist die Suche und das Filtern der relevanten Bestandteile mit einem nicht unerheblichen Zeitaufwand verbunden^[2]. Wenn sich in dieser Situation ein Risiko realisiert, ist es für diejenigen Mitarbeiter, die es bereits ex-ante „besser wussten“, unverständlich, warum nicht schon im Vorfeld gehandelt wurde. Den unfreiwilligen Verursachern hingegen ist dieser Vorwurf unangenehm - sie haben stets versucht sorgfältig zu handeln, konnten das „ob“ oder „wie“ des Risikos aber aufgrund eines Informationsdefizites nicht vorhersehen. Für die Folgen steht wiederum die Geschäftsleitung in der Verantwortung, während der Kunde verärgert ist. Quintessenz eines derartigen, praxisrelevanten Szenarios ist, dass alle Parteien Nachteile davontragen, die durch ein organisiertes Risikomanagement- und Compliancesystem hätten verringert oder ganz verhindert werden können.

Entgegen dieser Erkenntnis sind ganzheitliche Risikomanagement- und Compliancesysteme in mittelständischen Konzernunternehmen bislang selten oder nur im Ansatz etabliert. Die Situation ist dem Umstand geschuldet, dass

- die Konzepte oft als Schlagworte benutzt, ihre Inhalte aber kaum transportiert werden,
- die Abgrenzung zwischen Risikomanagement und Compliance unklar ist,
- die Methoden sich angeblich nur für Konzerne eignen,
- unklar ist, ob eine rechtliche Pflicht zur Einführung besteht,
- Unternehmensrisiken nicht systematisch identifiziert, bewertet und bewältigt und damit unterschätzt werden und dass
- der Nutzen im Verhältnis zu den Kosten unterbewertet wird.

Ziel dieser Arbeit ist es, diese Fragen zu beantworten und ein ganzheitliches Konzept zu entwickeln, welches in einem realen, mittelständischen Konzernunternehmen implementiert wird.

1.2 Gang der Untersuchung

Der erste Teil der Arbeit erläutert Begrifflichkeiten und untersucht die Frage, ob und aus welchen gesetzlichen Vorschriften sich eine Pflicht zur Implementierung eines Risikomanagement- bzw. Compliancesystems ergibt. Sodann wird die in der Literatur herrschende Meinung zum Aufbau der einzelnen Komponenten dargestellt.

Im zweiten Teil der Arbeit unternimmt der Verfasser den Versuch, die dargestellten Konzepte in einem existierenden, international aufgestellten Unternehmen aus der Branche des [gekürzt] zu implementieren.

Angesichts des Umstandes, dass ein Projekt zur Einführung eines Risikomanagementsystems in der Praxis üblicherweise von einem Expertenteam während eines Zeitraumes von bis zu einem Jahr durchgeführt wird^[3], beschränkt sich die Ausbaustufe im praktischen Teil auf eine qualitative Risikoidentifikation,
-bewertung und - bewältigung innerhalb der kritischen Unternehmensbereiche. Zu diesem Zweck wurde ein eigener und neuartiger Risikoevaluationsbogen entwickelt, der Kernaspekte des Risikomanagements und der Compliance zusammenführt. Auf dieser Grundlage wurden unternehmensinterne Befragungen in den Bereichen Verträge, Finanzen, Kunden, Personal und IT geführt und ausgewertet. Die Arbeit schließt mit einer Zusammenfassung und der Formulierung von Handlungsempfehlungen zur Einführung eines Risikomanagementsystems.

2 Begriffsbestimmungen und rechtliche Rahmenbedingungen

2.1 Risiko(management) und Compliance

2.1.1 Risiko

Naturgemäß liegen sowohl über zukünftige, alltägliche Lebenssachverhalte als auch über wirtschaftliche Vorgänge unzureichende Informationen vor, sodass für das Eintreten von relevanten Umweltzuständen mehrwertige Erwartungen entstehen^[4]. Aus diesen Erwartungen ergibt sich die Notwendigkeit, zwischen mehreren Handlungsalternativen zu wählen. „Risiko“^[5] im engeren Sinne bezeichnet dabei die Möglichkeit eines Schadens oder Verlustes als Konsequenz eines bestimmten (aktiven) Verhaltens^[6]. Die betriebswirtschaftliche Literatur ist von diesem Risikoverständnis geprägt^[7]. Auch das im April 1998 in Kraft getretene KonTraG erkennt nur die Möglichkeit einer negativen Zielerreichung – Chancen als positive Abweichungen sind nicht erfasst^[8]. Dagegen erweitert der sog. spekulative Risikobegriff diese Definition, indem er auch verpasste Gewinnchancen^[9] im Falle eines (passiven) Verhaltens hinzunimmt. Damit wird ein unternehmerischer Ansatz verfolgt, der den Gewinn als „Belohnung“ für ein in Kauf genommenes Risiko anerkennt.

Eine Entscheidung, ausschließlich in Richtung einer Risikovermeidung zu handeln, führte zur Risikoaversion und wäre unternehmerisch nicht tragbar. Im Folgenden wird bei der Konzeption des Risikomanagements daher der weite, spekulative Risikobegriff zu Grunde gelegt.

Gefahren und Wagnisse, die Risiken verursachen, sind als sog. Risikofaktoren zu bezeichnen. Personen, Gruppen und Objekte, die Gefahren oder Wagnissen ausgesetzt sind, stellen sog. Risikoträger dar^[10]. Zusammengenommen gilt also, dass Risikofaktoren auf Risikoträger einwirken und sich ein Risiko realisiert.

2.1.2 Risikomanagement

Die Wortschöpfung „Risikomanagement“ bezieht die Lehre der Gestaltung und Lenkung der Vorgänge innerhalb eines Unternehmens (Management) auf die zu vermeidende Möglichkeit, durch aktives oder passives Verhalten eine negative Abweichung vom geplanten Wert herbeizuführen. Ziel des Entscheidungsträgers ist daher die Sicherung des Fortbestandes des Unternehmens durch Schadensabwehr bei gleichzeitiger Steigerung des Unternehmenswertes. Er wird seine Organisation so ausrichten, dass künftige Folgen seines heutigen Handelns bewertet, Gefahren minimiert und Chancen maximiert werden können^[11]. Risikomanagement ist daher als Messung und Steuerung aller unternehmensweiten Risiken zu verstehen^[12]. Diese Leitungsaufgabe befasst sich nicht nur mit Einzelrisiken, sondern mit der Risikogesamtsituation respektive dem Risikomix^[13] eines Unternehmens.

Abbildung 1: Risikomix eines Unternehmens^[14]

Abbildung in dieser Leseprobe nicht enthalten

Das Gesamtrisiko wird durch vier verschiedene Risikoarten begründet.

Strategische Risiken betreffen dabei^[15]:

- Die Unternehmensstrategie und Rechtsform, den Standort, Planungsprämissen z.B. bezüglich zukünftiger Absatzentwicklung und
- die Bedrohung der Erfolgsfaktoren, wie z.B. Kernkompetenzen.

Zu den organisatorischen Risiken zählen:

- Unklare Aufgaben- und Kompetenzverteilung,
- Betriebsklima und Führungsstil sowie
- Risikokultur und –kommunikation.

Weiterhin können Risiken hinsichtlich einer leistungs- und einer finanzwirtschaftlichen Komponente kategorisiert werden. Erstere steht im Zusammenhang mit dem Leistungsprozess eines Unternehmens und betrifft im weiteren Sinne u.a.

- Beschaffung, Produktion, Vertrieb, IT (Sachrisiken),
- die Personalstruktur und –fluktuation, Lieferanten- und Kundenauswahl, Sanktionslisten der Exportkontrolle (Personenrisiken),
- die zu bearbeitenden (Absatz)märkte und Sicherung von Wettbewerbsvorteilen, Absatzmarkt- und Preisschwankungen, Marktattraktivität, Wettbewerbskräfte und Reputation (Marktrisiken)^[16] sowie
- Umweltverschmutzung, mangelnder Brandschutz etc. (Gesundheits- und Umweltrisiken).

Finanzrisiken können gegliedert werden in

- Forderungs- und Bonitätsausfall des Vertragspartners (Ausfallrisiken),
- Finanzielle Stabilität und Liquidität bei Verzögerung von Liquiditätszuflüssen / unerwartete Liquiditätsabflüsse, Verschlechterung der eigenen Bonität / Rating, Aktienkurschwankungen (Liquiditätsrisiken) und
- Änderungen von Fremdkapitalzinsen, Währungsschwankungen (Zinsen / Währungsrisiken) und
- Wertschwankungen / Verlustübernahme bei Beteiligungen im Konzernunternehmen oder Fehleinschätzung in der Due Diligence bei Unternehmensübernahme (Beteiligungsrisiken).

Finanzwirtschaftliche Risiken wie Aktienkursschwankungen sind dabei nur in kapitalmarktorientierten Großunternehmen zu finden. Ebenso sind z.B. Währungsrisiken grundsätzlich nur dort relevant, wo Transaktionen über das Gebiet der europäischen Währungsunion hinaus stattfinden. In Einzelfällen werden Fremdwährungsforderungen und –verbindlichkeiten allerdings auch zwischen in der EU ansässigen Unternehmen vereinbart^[17]. Das Problem des Forderungsausfalles bei zahlungsunfähigen- oder unwilligen Debitoren ist hingegen rechtsformunabhängig bekannt.

Weiterhin ist jedes Risiko auf seine Erfolgs- und Liquiditätswirkung hin zu untersuchen^[18]: Ein Risikoeintritt zieht Veränderungen der Zahlungsströme nach sich (Liquiditätswirkung) und kann die Zahlungsmittel bei einer Vernachlässigung des Risikomanagements bis hin zur Zahlungsunfähigkeit gem. § 17 InsO verringern. Die Erfolgswirkung kann sich in einer negativen Ausprägung bis zur bilanziellen Überschuldung nach § 19 InsO steigern. Schließlich sind alle Risikoarten von einem Geflecht rechtlicher und quasi-rechtlicher Regularien durchzogen, die unter dem Oberbegriff „Compliance“ zu betrachten sind (Rechtswirkungen).

2.1.3 Compliance

Angesichts der zunehmenden Aufmerksamkeit, welche der „Compliance“ in Literatur und Praxis seit nunmehr 10 Jahren zuteil wird, ist eine Sondierung der damit verbundenen Bedeutungsvielfalt unerlässlich. Die Komplianz, engl. Compliance, steht im etymologischen Sinne für die Einhaltung, Übereinstimmung und Befolgung von bestimmten Geboten^[19] und entstammt der anglo-amerikanischen Rechtssprache. Dabei erschöpft sich der Bedeutungsgehalt des Begriffs nicht in der bloßen Aufforderung, dass ohnehin in Art. 20 Abs. 3 des Grundgesetzes verankerte Rechtstaatsprinzip in der Ausprägung der Normbefolgungspflicht zu beachten. Auch die Behauptung, die Einhaltung gesetzlicher Vorschriften werde „neuerdings Compliance genannt“, zeigt auf, dass in der Praxis noch erhebliche Einordnungsschwierigkeiten vorherrschen^[20]. Vielmehr ist im betriebswirtschaftlichen^[21] Sinne „compliant“, wer eine Gesamtheit organisatorischer Maßnahmen ergreift, um sicherzustellen, dass unternehmerisches Handeln mit Gesetzen^[22], Standards^[23], selbstbindenden Kodizes^[24] sowie ethisch-moralischen Grundsätzen^[25] übereinstimmt^[26]. Der Pflichtenkreis erstreckt sich also auf Regularien, die sowohl durch externe als auch durch interne Autoritäten gesetzt werden. Die Compliance-Theorie geht begreift Non-Compliance als Verstöße von Mitarbeitern und Organen gegen die genannten Regularien^[27]. Die daraus entstehenden Folgen für die Haftung des Managements^[28] stellen Risiken dar, denen ein Unternehmen durch präventive Organisation entgegentreten kann. Dies ist ein erklärtes Ziel der Compliance-Organisation^[29]. Zugleich wird der Ansatz verfolgt, compliancerelevante Unternehmensbereiche für Leitung und Controlling transparent und in einer Gesamtschau abzubilden.

2.1.4 Compliance und Verhältnis zum Risikomanagement

Das Zusammenspiel zwischen Compliance und Risikomanagement kann durch die nachfolgende Erweiterung der obigen Abbildung 1 dargestellt werden.

Abbildung 2 : Risikomix und Rechtsgebiete der Compliance ^[30]

Abbildung in dieser Leseprobe nicht enthalten

Transaktionen in betrieblichen Leistungs- und Finanzprozessen haben demnach Rechtswirkungen im weiteren Sinne, die auf rechtliche Vorgaben und quasi-gesetzliche Regularien wie Kodizes und Grundsätze zurückzuführen sind. Von einem Rechtszwang kann dabei nur in Bezug auf Gesetze gesprochen werden; bei den übrigen Quellen nimmt die Verbindlichkeit insofern ab, als bei Nichtbefolgung nur mittelbar rechtliche Konsequenzen eintreten, wie z.B. der Wegfall von Erleichterungen^[31], Bonitätseinbußen (Basel II), Entzug einer Zertifizierung oder Reputationsverlust. Dabei steht das Management für die Vielzahl compliancerelevanter Vorgaben in der Verantwortung. Die in Betracht kommenden Regularien können hierarchisch wie folgt gegliedert werden:

Abbildung 3: Hierarchie compliancerelevanter Regularien

Abbildung in dieser Leseprobe nicht enthalten

Vereinfacht formuliert bezieht sich Compliance folglich auf rechtliche und regelbezogene Risiken im weiteren Sinne und Risikomanagement auf sonstige Unternehmensrisiken. Zwischen beiden Risikokategorien bestehen dabei keine prinzipiellen Unterschiede^[32], sie greifen ineinander über: Sowohl eine Risikoprävention als auch die Wahrnehmung von Geschäftschancen erfolgt unter Berücksichtigung von Compliance-Risiken^[33]. Umgekehrt können Compliance-Risiken mit den Methoden des RMs identifiziert, bewertet und bewältigt werden^[34]. Compliance ist damit zwar grundsätzlich Bestandteil des Risikomanagements^[35], aber nach Auffassungen im Schrifttum nicht in dessen Organisationseinheit eingebunden, damit die Compliance-Organisation ihre Unabhängigkeit wahren und den rechtskonformen Ablauf des Risikomanagements überwachen kann^[36]. Zudem besteht auch ein Konflikt zwischen dem Ziel des RMS, möglichst auf Grundlage von Kennzahlen einen abstrahierten Überblick über problematische Unternehmensbereiche zu geben, und dem der Compliance, regelkonformes Verhalten sicherzustellen. Denn leistungswirtschaftliche Risiken sind typischerweise durch Zahlen definierbar und einer Risikoinventur und -bewertung systemimmanent zugänglich. Rechtliche Risiken erfordern dagegen einzelfallbezogene Wertungen und weisen oftmals eine höhere Komplexität auf. Die Verbindung zwischen RMS und Compliance präsentiert sich daher als eine Herausforderung an der Schnittstelle zwischen Betriebswirtschaftslehre und Rechtswissenschaft.

In einem weiteren Zusammenhang ist die interne Revision zu nennen, deren Aufgaben zum Teil mit denen der Compliance übereinstimmen. Beide Instanzen kontrollieren rechtliche oder freiwillige Vorgaben und stehen auf diesen Feldern in einem Informationsaustausch.

2.2 Gesetzliche und quasi-gesetzliche Rahmenbeding-ungen zur Einführung eines Risikomanagementsys-tems

2.2.1 KonTraG

Mit dem Inkrafttreten des KonTraG im April 1998 wurde u.a. das Aktiengesetz reformiert. Seither ist in § 91 Abs. 2 AktG die Verpflichtung festgeschrieben, „(…) insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Der Vorstand (§ 76 Abs. 1 AktG) hat sich also objektiv und subjektiv pflichtgemäß zu verhalten und Maßnahmen zur Früherkennung und Abwehr von bestandsgefährdenden Risiken zu ergreifen^[37]. In Wissenschaft und Praxis wird dieser Tatbestand als eine Verpflichtung zur Einrichtung eines internen Kontrollsystems verstanden^[38]. Dieses soll eine der im Zusammenhang mit dem KonTraG häufig genannten drei Säulen des Risikomanagements sein^[39]:

- Ein internes Überwachungssystem sichert darin die internen Unternehmensabläufe und -prozesse und stellt diesbezügliche Informationen zur Verfügung. Dies kann durch ein internes Kontrollsystem sichergestellt werden, was einer internen Qualitätskontrolle entspricht. Darüber hinaus werden die Prozesse in regelmäßigen Abständen – meist im Rahmen der internen Revision – überprüft.
- Controlling als Unterstützung der Unternehmensführung stellt den Teilfunktionen des Managements (Planung, Steuerung, Umsetzung, Kontrolle) entscheidungsrelevante Informationen zur Verfügung und integriert die operativen Unternehmensbereiche. Im Zusammenhang mit dem Risikomanagement sind hier Informationen zur Identifikation, Steuerung und Kontrolle der betrieblichen Risiken zu sammeln (z.B. durch ein Risikoreporting).
- Die dritte Säule bildet ein Frühwarnsystem, welches Parameter registriert, die sich innerhalb oder außerhalb des Unternehmens verändern und die Geschäftsentwicklung beeinflussen können.

Aus diesen Vorgaben ergibt sich für Kapitalgesellschaften die Pflicht, einen Risikobericht zu erstellen und in ihrem Lagebericht zu veröffentlichen. Hervorzuheben ist aber, dass das KonTraG selbst keine detaillierten Vorgaben macht. In der Praxis werden die idealtypischen Elemente daher oft mit dem Rechnungswesen verknüpft und individuell implementiert^[40]. Für EDV-basierte Buchführungssysteme geben die GoBS detaillierte Vorgaben zum IKS^[41].

Für die hier betrachtete Fragestellung, ob auch bei mittelständischen Unternehmen eine grundsätzliche Verpflichtung zur Einführung eines Risikomanagementsystems besteht, gibt der Regierungsentwurf zum KonTraG ausdrücklich Antwort^[42]. Danach hat § 91 Abs. 2 AktG eine Ausstrahlungswirkung auf die Pflichten des GmbH-Geschäftsführers gem. § 43 Abs. 2 GmbHG, die sich – abhängig von Größe, Komplexität und Struktur - auch auf andere Gesellschaftsformen erstreckt^[43]. Die Reichweite der Ausstrahlungswirkung bleibt damit ausweislich der Gesetzesbegründung zwar unklar, denn der Gesetzgeber wollte diese Frage der Rechtsprechung und Literatur zur Weiterentwicklung überlassen. Dennoch besteht für Entscheidungsträger ein erhöhter Rechtfertigungsdruck, wenn er die genannten Systeme nicht einführt^[44]. Demnach gelten die Ausführungen in diesem Abschnitt für typische Rechtsformen mittelständischer Unternehmen entsprechend.

2.2.2 Bilanzrechtsmodernisierungsgesetz

Während § 91 Abs. 2 AktG noch vage von einem „Überwachungssystem“ spricht, wurde durch das Bilanzrechtsmodernisierungsgesetz vom 25.05.2009 ausdrücklich das Merkmal „Risikomanagementsystem“ im HGB und AktG kodifiziert, wie ein Vergleich der alten und neuen Gesetzesfassungen zeigt:

Tabelle 1: Synopse zur Einführung eines Risikomanagementsystems nach HGB und AktG

Abbildung in dieser Leseprobe nicht enthalten

Die Verweise in § 289 Abs. 5 HGB n.F. und § 315 II Nr. 5 n.F. HGB auf
§ 264d HGB^[45] zeigen allerdings, dass ausdrücklich nur kapitalmarktorientierte Kapitalgesellschaften adressiert sind. Mittelständische Unternehmen als nicht am organisierten Markt im Sinne des Wertpapierhandelsgesetzes agierende Gesellschaften sind nach dieser Norm nicht dazu verpflichtet, ein Risikomanagementsystem einzuführen (argumentum e contrario). Dagegen müssen nach § 289 Abs. 1 Nr. 2 a HGB alle Kapitalgesellschaften, die einen Lagebericht zu erstellen haben, auf Risikomanagementziele und –methoden in Bezug auf die Bilanzierung von Sicherungsgeschäften eingehen. Zumindest für diesen Teilbereich existierte daher – bereits vor Inkrafttreten des BilMoG - eine Pflicht zur Einführung eines Risikomanagementsystems für mittelgroße und große Kapitalgesellschaften nach § 267 Abs. 2 und 3 HGB^[46]. Die Normen des Aktiengesetzes betreffen die Pflichten des Aufsichtsrates, als Organ der AG die Wirksamkeit des IKS und des RMS zu prüfen. Diese Aufgabe ist durch zumindest ein Aufsichtsratsmitglied mit Sachverstand im Bereich Rechnungslegung und Abschlussprüfung zu übernehmen, welches durch den Vorstand dokumentierte Informationen über Reichweite und Wirksamkeit der risikobehafteten Geschäftsprozesse und dem IKS untersucht und bewertet. Daher hat der Vorstand darauf hinzuwirken, RMS und IKS zu systematisieren und möglichst schriftlich festzuhalten. Inwiefern hier ebenfalls eine Ausstrahlungswirkung auf die GmbH angenommen werden kann, bleibt fraglich. Der Umstand, dass die Rchtsform einer GmbH oder KG gerade keinen Aufsichtsrat als Kontrollorgan kennt, spricht jedoch als überzeugendes Argument gegen eine Systematisierung und Dokumentationspflicht eines RMS.Abschließend ist herauszustellen, dass nach der Wortlautauslegung der in der obigen Tabelle 1 aufgeführten Normen zwischen einem internen Kontroll- und einem Risikomanagementsystem unterschieden wird. Die bisherige, auf § 91 Abs. 2 AktG basierende Annahme, dass ein „Überwachungssystem“ respektive IKS als untergeordnete Säule eines Risikomanagementsystem anzusehen ist, ist hiernach nicht mehr haltbar: Beide Systeme sind ausweislich des Wortlautes der neuen Fassungen eigenständig zu betrachten.

2.2.3 Sarbanes-Oxley Act

Anlässlich aufsehenerregender Bilanzskandale wurde in den USA am 30.07.2002 der Sarbanes-Oxley Act (SOX) zur Verschärfung der Rechnungslegungsvorschriften erlassen. Das Gesetz findet auf US-Amerikanische und ausländische Unternehmen Anwendung, die an den Börsen in den USA gelistet sind. Andere Länder, wie z.B. Japan, haben SOX in der Folge modifiziert übernommen. In Europa wird die Abschlussprüferrichtlinie kritisch als sog. Euro-SOX bezeichnet^[47]. Die praktische Bedeutung für mittelständische Unternehmen ist zwar gering; dennoch kann auch eine deutsche GmbH als Tochterunternehmen im Innenverhältnis gegenüber einem in den USA oder anderen Ländern börsennotierten Unternehmen dazu verpflichtet sein, den Nachweis über die Befolgung von SOX zu erbringen. Inhaltlich sehen die Sections 302 und 404 vor, dass die verpflichteten Unternehmen ein detailliertes internes Kontrollsystem einführen und befolgen^[48].

2.2.4 Deutscher Corporate Governance Kodex

Der Deutsche Corporate Governance Kodex beruht auf der Idee einer freiwilligen Selbstverpflichtung und ist als quasi-gesetzliches Regelwerk anzusehen. Darin wurden von der Regierungskommission „Deutscher Corporate Governance Kodex“ Handlungsempfehlungen zur Unternehmensüberwachung formuliert. Über § 161 AktG wurde der DCGK in der Weise inkorporiert, dass sich Vorstand und Aufsichtsrat einer börsennotierten Gesellschaft jährlich darüber erklären müssen, welchen Empfehlungen entsprochen und – mit Begründung – welchen nicht entsprochen wurde. Die Empfehlung muss dabei nicht zwingend eingehalten werden. Unabhängig davon bestehen die gesetzlichen, satzungsmäßigen und vertraglichen Pflichten der Organe uneingeschränkt fort^[49].

Der DCGK enthält für das Risikomanagement relevante Regelungen, die aber lediglich das KonTraG präzisieren. In Ermangelung von Gesetzeskraft^[50] und rechtlichen Konsequenzen im Falle der Nichtbefolgung ist dem DCGK daher nur eine mittlere Verbindlichkeit im Sinne der Abbildung 3 zu attestieren.

Tabelle 2: RMS-relevante Regeln des DCGK

Abbildung in dieser Leseprobe nicht enthalten

Für nicht an der Börse notierte Gesellschaften gilt der DCGK nicht. Dennoch spricht die Präambel des Werkes die Empfehlung aus, dass auch sonstige (mittelständische) Kapital- und Personenhandelsgesellschaften die Vorgaben beachten sollten^[51]. GmbH-Geschäftsführer finden hier also (fakultative) Vorgaben für die Eingliederung eines Risikomanagements in die Unternehmensverfassung.

2.3 Gesetzliche und quasi-gesetzliche Rahmenbedingungen zur Einführung eines Compliance-systems

Die Abgrenzung zwischen den Rechtsrahmen des RMS und der haftungsvermeidenden Compliance wird in der Literatur nicht stringent durchgehalten. Dies kann mit (wenigen) Überschneidungen innerhalb der Rechtsgrundlagen sowie mit der Situation erklärt werden, dass die Thematik facettenreich und als interdisziplinäre Verknüpfung zwischen juristischer und betriebswirtschaftlicher Praxis zu entwickeln ist. Anders als bei dem KonTraG, das eine Pflicht zur Erstellung eines Risikomanagementsystems in Grundzügen vorsieht, ist umstritten, ob eine derartige rechtliche Pflicht auch für ein Compliancesystem existiert.

Für das Bestehen dieser Verpflichtung wird in der Literatur ins Feld geführt, dass gem. § 130 OWiG die Verletzung der Aufsichtspflicht in Betrieben und Unternehmen als Ordnungswidrigkeit geahndet wird und Vorstandsmitglieder einer AG nach § 9 OWiG in der Verantwortung stehen^[52]. Im Zusammenhang mit weiteren Spezialvorschriften wird sogar der Aufbau einer mehrstufigen Compliance-Organisation gefordert^[53]. Unterstützend können auch die Ziffern 3.4 und 5.3.2. DCGK hinzugezogen werden, die ausdrücklich von „Compliance“ sprechen.

Dieser Ansicht stehen aber gewichtige Argumente entgegen. Denn spezialgesetzliche Normen sind nicht zu einer Gesamtpflicht zu verallgemeinern. Weiterhin ist Hauschka zuzustimmen, nach dem es allein Sache der Leitungsorgane ist, zu entscheiden, ob sie sich selbst für hinreichend informiert und kompetent halten, um die Rechtstreue des Unternehmens zu gewährleisten, oder ob sie hierzu eine Organisation schaffen wollen. Rechtspolitisch und unternehmenspraktisch wäre eine Rechtspflicht zur Einführung eines Compliancesystems unrealistisch, denn Richter besäßen in der Frage, wie man ein Unternehmen organisiert, kein besseres Wissen als Unternehmer^[54]. Schlussendlich besteht also nur eine organschaftliche Legalitätspflicht und Legalitätskontrolle, wonach die Unternehmensleitung organisatorische Maßnahmen zu ergreifen hat, um das gesetzestreue Verhalten der Mitarbeiter sicherzustellen. Diese Pflicht steht stets unter dem Vorbehalt der Erforderlichkeit und Zumutbarkeit^[55] und liegt im Rahmen unternehmerischen Ermessens^[56].

2.4 Zwischenfazit

Die Frage, ob rechtliche Rahmenbedingungen die Einführung eines RM- und Compliancesystems zwingend erfordern, lässt sich nicht mit der nach betriebswirtschaftlicher Lesart gewünschten Klarheit beantworten. Es gibt kein Gesetz, dessen Tatbestand ein dezidiertes System vorschreibt, welches sich wie ein „Management-Tool“ adaptieren lässt und sorgloses unternehmerisches Handeln garantiert. Es konnte aber gezeigt werden, dass eine rechtlich umrissene Mindestpflicht für die Einführung eines RMS auch für die GmbH existiert. Mit einer hohen Wahrscheinlichkeit ist daher davon auszugehen, dass der Nachweis eines kohärenten RM- und Compliancesystems erfolgreich zu einer Rechtfertigung gegenüber oder Überzeugung von Richtern, Behörden, Wirtschaftsprüfern und Stakeholdern beiträgt.

[...]

^[1] Vgl. The Ernst & Young business risk report 2009 – the top 10 risks for global business, S. 5, 14 f.

^[2] So liegen ca. 80% der unternehmenskritischen Informationen heute in unstrukturierten Texten vor, während die Suche nach strukturierten Informationen pro Arbeitsplatz zwischen 10% und 30% der Arbeitszeit in Anspruch nimmt, vgl. m.w.N. Schlaghecke (2007), in Hauschka (Hrsg.), Corporate Compliance (2007), S. 298.

^[3] Vgl. Denk, Exner-Merkelt und Ruthner (2008), Corporate Risk Management, S. 259.

^[4] So bereits Hahn (1987), Risiko-Management – Stand und Entwicklungstendenzen; vgl. zuletzt auch Kromschröder (2001), zitiert in Goworek (2009).

^[5] *griech. Riza, *ital. Rischio, span. Risco = Klippe, als derivative Begriffsprägung durch das Versicherungswesen in der Seefahrt.

^[6] Goworek (2009), Risikomanagement: Grundlage eines nachhaltigen Unternehmenserfolges S. 6.

^[7] Statt vieler vgl. nur Goschau und Lenz (2008), Konzeption und organisatorische Ausgestaltung des Risikomanagements in deutschen Konzernen, S. 179; Poggensee (2009), Investitionsrechnung, S. 295, definiert ein Risiko als die mögliche negative Abweichung eines realen Wertes von einem geplanten Wert, wobei die Abweichung subjektiv beurteilt wird. Ist sie positiv, bestehe eine Chance. Je nach Risikopolitik könne zwischen Risikofreude, -neutralität und -aversion unterschieden werden.

^[8] Vgl. Kap. 2.2.1.

^[9] Substituierbar mit anderen Zielgrößen wie Marktanteil, Umsatz, Rentabilität, Expansionsmöglichkeiten etc.

^[10] Vgl. Helten, Bittl, Liebwein (2000), Versicherung von Risiken, S. 161.

^[11] Vgl. Brühwiler (2007), S. 34; zum Begriff des Risikomanagers bzw. Risikoeigners siehe unten 7.2.

^[12] In Anlehnung an Wolke (2008), Risikomanagement, S. 1.

^[13] Vgl. Denk, Exner-Merkelt, Ruthner (2008), Corporate Risk Management, S. 29.

^[14] Eigene Darstellung in Anlehnung an Hölscher (2002), in Hölscher, R. und Elfgen, R. (2002), Herausforderung Risikomanagement, S. 7; ausschließlich politischer Risiken und höherer Gewalt.

^[15] Vgl. auch Gleißner, Identifikation, Messung und Aggregation von Risiken, S. 115 ff.

^[16] Vgl. auch Pampel und Glage (2007), in Hauschka (Hrsg.), Corporate Compliance (2007), S. 84.

^[17] So z.B. durch Konzernvorgaben von Handelspartnern mit weltweitem Lieferantennetz.

^[18] Vgl. a.a.O.

^[19] Hauschka (Hrsg.), Corporate Compliance (2007), S. 2.; vgl. auch Vetter (2008), in Wecker und van Laak (Hrsg.), S. 29; Bergmoser, Theusinger und Gushurst (2008), Corporate Compliance - Grundlagen und Umsetzung, S. 2.

^[20] So in irreführender Weise formuliert in Risikomanagement, VDMA-Nachrichten (2009), S. 27.

^[21] In der Humanmedizin adressiert die Compliance Patienten, Ärzte und pharmazeutische Unternehmen zwecks Einhaltung von Vorgaben in Therapie, Indikation und Gesundheitsschutz. Die Landwirtschaft kennt die sog. Cross-Compliance, nach der EU-Subventionen nur gewährt werden, soweit u.a. Anforderungen an Tierschutz, Tiergesundheit und Futtermittelsicherheit erfüllt sind, vgl. VO (EG) Nr. 1782/2003.

^[22] Nationales und internationales Außenrecht, aber auch Innenrecht wie z.B. Geschäftsordnungen, Satzungen, Umsetzung von Gesellschafterbeschlüssen.

^[23] z.B. TQM, ISO.

^[24] z.B. DCGK.

^[25] z.B. CSR.

^[26] Vgl. statt vieler Grundei, J. und Talaulicar, T. (2009), Corporate Compliance, S. 73.

^[27] Vgl. Hauschka (Hrsg.), Corporate Compliance (2007), S. 3.

^[28] Der Begriff „Management“ steht hier untechnisch für Leitungsverantwortliche wie Vorstand, Aufsichtsrat und Geschäftsführer.

^[29] Hauschka (Hrsg.), Corporate Compliance (2007), S. 9.

^[30] Eigene Darstellung.

^[31] vgl. unten 6.3 Exportkontrolle.

^[32] Hauschka (Hrsg.), Corporate Compliance (2007), S. 3.

^[33] So ist bspw. bei der Frage, ob zu einem neuen Kunden Geschäftsbeziehungen aufgebaut werden sollen, unter Compliance-Aspekten zu berücksichtigen, ob und welche Risiken dessen Einkaufsbedingungen beinhalten.

^[34] Zu diesen Prozessen siehe unten 3 (Theorie) und 5 (Anwendung).

^[35] Bürkle (2007), in Hauschka (Hrsg.), Corporate Compliance, S. 138; vgl. Klein, Anwendbarkeit und Umsetzung von Risikomanagementsystemen auf Compliance-Risiken in Unternehmen, S. 102.

^[36] Vgl. Bürkle (2007), in Hauschka (Hrsg.), Corporate Compliance, S. 138, wonach Compliance einen eigenständigen Bestandteil des IKS darstellt.

^[37] Keitsch (2007), Risikomanagement, S.9.

^[38] So Hermes und Weiland (2007), Gestaltung von Risikomanagementsystemen im Mittelstand, S. 63; in dem (als bloße Richtlinie zu verstehenden) IDW-Prüfungsstandard PS 340 wird diese Pflicht dahingehend konkretisiert, dass Risikofelder festgelegt werden müssen. Weiterhin sind Risikoerkennung und –analyse, Zuordnung von Verantwortlichkeiten und Dokumentation der Maßnahmen beschrieben, vgl. Bergmoser, U., Theusinger, I. und Gushurst, K. P. (2008), Corporate Compliance - Grundlagen und Umsetzung, S. 3; nach Hauschka, Christoph E. (Hrsg.), Corporate Compliance – Handbuch der Haftungsvermeidung im Unternehmen, München (2007), S. 3, Fn. 2, sei die Verpflichtung zur Einrichtung eines Überwachungssystems bereits lange vor Inkrafttreten des KonTraG durch § 76 AktG festgeschrieben worden.

^[39] Hermes und Weiland (2007), Gestaltung von Risikomanagementsystemen im Mittelstand, S. 64; Keitsch (2007), Risikomanagement, S.19; Denk, Exner-Merkelt, Ruthner (2008), Corporate Risk Management, S. 44.

^[40] Selbst im Konzern steht dem Vorstand bezüglich der Kontrollintensität ein weiter Ermessensspielraum zu, wobei aber eine grobmaschine Fehlerkontrolle nicht ausreicht, vgl. Fleischer, Corporate Compliance im aktienrechtlichen Unternehmensverbund, S. 4.

^[41] Vgl. Zif. 4 GoBS

^[42] Regierungsentwurf vom 28.02.1998, BT-Dr. 13/9712, S. 15.

^[43] A.a.O.: „In das GmbHG soll keine ausdrückliche Regelung aufgenommen werden. Es ist davon auszugehen, dass für Gesellschaften mit beschränkter Haftung, je nach ihrer Größe, Komplexität ihrer Struktur usw. nichts anderes gilt und die Neuregelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaftsformen hat“;

Nunmehr auch für die GmbH & Co. KG anerkannt, Keitsch (2007), Risikomanagement, S. 15.

^[44] Vgl. Wecker und van Laak (Hrsg.), S. 57 m.w.N.

^[45] § 264 d HGB lautet: Eine Kapitalgesellschaft ist kapitalmarktorientiert, wenn sie einen organisierten Markt im Sinn des § 2 Abs. 5 des Wertpapierhandelsgesetzes durch von ihr ausgegebene Wertpapiere im Sinn des § 2 Abs. 1 Satz 1 des Wertpapierhandelsgesetzes in Anspruch

nimmt oder die Zulassung solcher Wertpapiere zum Handel an einem organisierten Markt

beantragt hat.

^[46] Kleine Kapitalgesellschaften (§ 267 Abs. 1 HGB) sind von der Erstellung eines Lageberichts gem. § 264 Abs. 1 S. 4 HGB befreit.

^[47] Vgl. Abschlussprüferrichtlinie 2006/43/EG des EU-Parlaments und des Rates.

^[48] Vgl. Denk, Exner-Merkelt, Ruthner (2008), Corporate Risk Management, S. 53; Keitsch (2007), Risikomanagement, S. 21, wonach CEO und CFO bei einem Reporting in einer zusätzlichen Erklärung bestätigen müssen, dass die Vermögens-, Finanz- und Ertragslage zutreffend dargestellt ist.

^[49] Hauschka, Christoph E. (Hrsg.), Corporate Compliance – Handbuch der Haftungsvermeidung im Unternehmen, München (2007).

^[50] Der DCGK ist weder Gesetz, Rechtsverordnung oder Allgemeinverfügung, Bergmoser, Theusinger und Gushurst (2008), Corporate Compliance - Grundlagen und Umsetzung, S. 5.

^[51] Keitsch (2007), Risikomanagement, S. 18.

^[52] In der Rechtsprechung zum Ordnungswidrigkeiten- und Aktienrechts sind folgende Prinzipen herausgearbeitet worden, deren Verletzung ein Verstoß gegen § 130 OWiG darstellen kann: Einschreiten bei Verdachtsmomenten, organisationspflichten zur Festlegung von Verantwortlichkeiten zur Vermeidung von Regelverstößen, laufende Kontrollen. Unterschieden wird zwischen gesteigerter Überwachungspflicht und mehrstufiger Überwachungspflicht, vgl. Fleischer, Corporate Compliance im aktienrechtlichen Unternehmensverbund, S. 2 m.w.N.

^[53] So Schneider, ZIP 2003, S. 645 ff., abgeleitet in Gesamtanalogie aus § 52 a Abs. 2 BImSchG, § 53 KrW/AbfG, Art. 11 EG-Geldwäsche-Richtlinie und § 14 GeldwäscheG.

^[54] Hauschka (Hrsg.), Corporate Compliance (2007), S. 8.

^[55] Fleischer, Corporate Compliance im aktienrechtlichen Unternehmensverbund, S. 3, m.w.N.

^[56] Zum Aufbau einer Compliance Organisation siehe unten 7.3.