A Inhaltsverzeichnis

1. Einleitung

1.1 Ausgangssituation, Problemstellung und Zielsetzung …………………………...-8-1.2 Gang der Untersuchung………………………………………………………….-10- 2. Regulatorisches Umfeld

2.1 Vertrauensverlust in die Kapitalmärkte durch Finanzskandale.…………………-11-2.2 Internationale Anforderungen 2.2.1 Sarbanes Oxley Act………………………………………………………..-15-2.2.2 COSO I als internationaler Standard………………………………………-18-2.2.3 COSO II Enterprise Risk Management……………………………………-20-2.3 Nationale Anforderungen.…………………….…………………………………-21- 3. Grundlagen und Terminologie des Risikomanagements und Risikocontrollings 3.1. Risikobegriff

3.1.1 Allgemein ……..……………………………………..……………………-23-3.1.2 Am Beispiel Kreditrisiko auf dem Subprime-Markt .…………………….-26-3.2 Begriff und Ziele des Risikomanagements...……….………....…………………-28-3.3 Risikomanagement und Risikocontrolling ……….……………………………-31- 4. Das interne Kontrollsystem

4.1 Die Bedeutung des IKS ..……………….……….………….………………….-34-4.2 Definition des internen Kontrollsystems (IKS) 4.2.1 Grundlegende Definition….….…………….………………………………-35-4.2.2 Abgrenzung der internen Kontrolle ...…….……………………………….-36-4.2.3 Ziele interner Kontrollsysteme ..........…….……………………………….-38-4.2.4 Kontrollarten in einem IKS........…….…….………………………………..-39- 5. COSO II als Rahmenwerk für das interne Kontrollsystem 5.1 COSO II

5.1.1 Zweck, Ziele und Auftrag von COSO II .....….……………………………-41-5.1.2 Definition vom Enterprise Risk Management...........………………………-43-5.2 Das ERM-Rahmenwerk (COSO II) 5.2.1 Vorstellung..…………………………………..……………………………-46-

- 2 -

5.2.2 Zielbereiche von ERM....…………….……………………………………-47-5.2.3 Komponenten von ERM

5.2.4 Entity von ERM....………………………………………………………….-68-5.3 Gemeinsamkeiten und Unterschiede von COSOI und COSOI.….………………-70- 6. Optimierung der Wirtschaftlichkeit und Wirksamkeit des IKS mit COSOII 6.1 Unterschied zwischen IKS und COSOII.………………………….……………..-74-6.2 Implementierung eines effektiven ERM Programms 6.2.1 Einleitung.…………………………………………………….…….………-76-6.2.2 Rollen und Verantwortungsverteilung

6.2.3 Fazit ..…………………………………….…………………………………-93-

6.3 Analyse der Wirtschaftlichkeit und Wirksamkeit des IKS im ERM Rahmenwerk 6.3.1 Einleitung.…………..……………………………………………………….-94-

6.3.2 Möglichkeiten und Grenzen der Steigerung der Wirtschaftlichkeit durch COSOII..……………………..…………………………………………….. -95- 7. Zusammenfassung und Ausblick…………………………………….……………-101-8. Quellenverzeichnis.……………………..………………………………………….-105-

- 3 -

B  Abbildungsverzeichnis  

Abbildung  1: Entwicklung beim Umgang mit Risiken -24-  

Abbildung  2: Einflussfaktoren des Ausfallsrisikos. -27-  

Abbildung  3: Risikomanagementprozess -31-  

Abbildung  4: Zusammenhang zwischen Risikomanagement und Risikocontrolling -33-  

Abbildung  5: COSO II Würfel -46-  

Abbildung  6: Risikosteuerungsmöglichkeiten -118-  

Abbildung  7: Komponenten von ERM -66-  

Abbildung  8: COSO I Würfel -119-  

Abbildung  9: Verantwortungsverteilung im ER-MProzess -77-  

Abbildung  10: Organisationsdiagramm. -83-  

Abbildung  11: Bewertungsschema des internen Kontrollsystems. -119-  

- 4 -

C Tabellenverzeichnis

Tabelle 1: Übersicht der 11 Abschnitte vom SOA………………………………………-16-Tabelle 2: Abgrenzung zwischen Prüfung und Kontrolle ..……………………..………-37-Tabelle 3: Abgrenzung zwischen IKS und ERM………………..………………………-75-Tabelle 4: Event Identification…………………………………………………………-117-

- 5 -

D Abkürzungsverzeichnis

AAA - American Accounting Association

ABS - Asset Backed Securities, forderungsbesichertes Wertpapier AG - Aktiengesellschaft

AICPA - American Institute of Certified Public Accountants BASF - Badische Anilin- & Soda-Fabrik BilReG - Bilanzrechtsreformgesetz CEO - Chief Executive Officer CFO - Chief Financial Officer CRO - Chief Risk Officer

COSO - Committee of Sponsoring Organizations of the Treadway Commission COSO-Report - Internal Control - Integrated Framework COSOII - Enterprise Risk Management - Integrated Framework ERM - Enterprise Risk Management - Integrated Framework FED - Federal Reserve System

FEI - Financial Executives International IKS - Internes Kontrollsystem F&E - Forschung und Entwicklung GuV - Gewinn und Verlustrechnung IDW - Institut der Wirtschaftsprüfer in Deutschland e.V. IFRS - International Financial Reporting Standards IIA - The Institute of Internal Auditors IKB - IKB Deutsche Industriebank IMA - Institute of Management Accountants ISA - International Standard on Auditing (ISA) KfW - KfW Bankengruppe

KonTraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KPMG - Wirtschaftsprüfungsunternehmen „Klynveld, Peat, Marwick und Goerdeler

- 6 -

NYSE - New York Stock Exchange NYSE PCAOB - Public Company Accounting Oversight Board PS - Prüfungsstandards PWC - PricewaterhouseCoopers

SEC - United States Securities and Exchange Commission SOA - Sarbanes-Oxley Act SOX - Sarbanes-Oxley Act TAN-Liste - Transaktionsnummer-Liste TransPuG - Transparenz- und Publizitätsgesetz USA - United States of America

US GAAP - United States Generally Accepted Accounting Principles

- 7 -

1. Einleitung

1.1 Ausgangssituation, Problemstellung und Zielsetzung

Die Wirtschaft befindet sich im fortlaufenden Wandel und ist immer neuen Herausforderungen ausgesetzt. Das Management von Unternehmen muss diesen immer schneller veränderten Bedingungen des Marktes mit geeigneten Instrumenten gegenüber stehen. Verstärkt wird dies durch die Forderung nach einer Shareholder getriebenen Ausrichtung und die zunehmende Globalisierung der Märkte.

Die immer schneller verändernde Situation für die Unternehmen eröffnet neue Chancen aber auch höhere Risiken. Positive Beispiele mit weltweit stark wachsenden Unternehmen werden täglich kommuniziert aber auch skandalöse Unternehmenspleiten gehören zum täglichen Alltag einer Volkswirtschaft. Die Anzahl und das Ausmaß der einzelnen Skandale sind in den Phasen des Konjunkturabschwungs höher als im Aufschwung. Getrieben durch hohe Zielvorgaben und komplexe Abhängigkeiten unter den Unternehmen wird das Risiko in Phasen des Aufschwungs falsch eingeschätzt und teilweise das Vertrauen der Shareholder durch Angaben falscher Zahlen missbraucht. Besonders prägend waren die betrügerischen Finanzskandale in Milliardenhöhe bei den amerikanischen Unternehmen Enron und Worldcom im Jahr 2001. Der Gesetzgeber reagierte in den USA 2002 mit der Einführung des Sarbanes-Oxley Acts (SOX), welcher weitreichende Auswirkung auf die Unternehmen in den USA und darüber hinaus erreichte. Andere Länder reagierten ebenfalls mit neuen Gesetzesinitiativen, mit jedoch geringerem Ausmaß auf die Unternehmen. Die Schlüsselschwachstelle, die diese Skandale hervorgerufen hatten, waren die unwirksamen internen Kontrollsysteme und die damit im Zusammenhang stehenden fehlerhaften Berichterstattungen. Der Schwerpunkt von SOX liegt daher in den Sektionen 302 und 404, welche klare Vorschriften von dem Unternehmen fordern im Bezug auf die IKS Einrichtung und Dokumentation. ¹ Die Unternehmensleitung ist demnach verpflichtet, die Überprüfung der Wirksamkeit des internen Kontrollsystems nach einem geeigneten Rahmenwerk durchzuführen. Als ein mögliches Rahmenwerk wird hierzu der so genannte COSO Report

¹ Vgl. Menzies Christof (2004), Sarbanes-Oxley Act, S. 2

- 8 -

„Internal Control - Integrated Framework“ von 1992 empfohlen, welcher ein ganzeinheitliches IKS darstellt. 2

Das „Committee of Sponsoring Organizations of the Treadway Commission“ (COSO) erweiterte 2004 das Rahmenwerk um ein unternehmensweites Risikomanagement, Enterprise Risk Management (ERM) oder auch COSO2 genannt. ³ Damit kam COSO der neuen Fokussierung der Risikobetrachtung nach, indem ein einheitliches allgemeingültiges unternehmensweites Risikorahmenwerk mit dem Zweck der besseren

Unternehmenszielerreichung entwickelt wurde. 4

Ziel dieser Arbeit ist es, die Wirtschaftlichkeit und Anwendbarkeit dieses neuen Rahmenwerks (ERM) theoretisch zu untersuchen. Die Aufgabenstellung lautet: „Wirtschaftlichkeit und Wirksamkeit von Internen Kontrollsystemen auf Basis von COSO II“

Die Bedeutung von internen Kontrollsystemen und Risikomanagement ist zunehmend hoch und geprägt durch die regulatorischen Bestimmungen als auch die Notwendigkeit für die Unternehmen zur Erreichung der Ziele. In der Literatur befinden sich im Vergleich zur der Bedeutung erstaunlich wenig Interpretationen zu diesem speziellen Thema. Die Bestimmungen und Auswirkungen durch SOX werden zwar ausführlich in der Wissenschaft diskutiert, jedoch im genannten Schwerpunkt der Sektion 303 und 404 wird häufig nur das COSO Rahmenwerk unkritisch empfohlen.

Die Sichtweise und Beurteilung des Rahmenwerks wird in dieser Arbeit von der betriebswirtschaftlichen Sicht beleuchtet und nicht wie vielfach üblich, im Schrifttum auf Basis der Wirtschaftsprüfung. Die Interpretation bezieht sich daher nicht auf die Frage „wie es möglich ist, die Wirksamkeit und Wirtschaftlichkeit des IKS im Rahmen von COSO2 zu überprüfen“ sondern vielmehr, „ob das Rahmenwerk geeignet ist, die Wirksamkeit und Wirtschaftlichkeit des IKS zu gewährleisten“.

² Vgl. Glaum Martin; Thomaschewski Dieter; Weber Silke, Auswirkungen des Sarbanes-Oxley Acts auf deutsche

Unternehmen: Kosten, Nutzen Folgen für US-Börsennotierungen, S. 45

³ Vgl. Moeller Robert, COSO Enterprise Risk Management, S. 3

⁴ Vgl. Chapmann Robert, Simple Tools and Techniques for Enterprise Risk Management, S. 9

- 9 -

1.2 Gang der Untersuchung

Die Aufgabenstellung dieser Arbeit ist komplex aufgrund der Betrachtung des ausführlichen ganzeinheitlichen Rahmenwerks ERM. Das interne Kontrollsystem isoliert betrachtet, benötigt alleine schon eine umfangreiche Darstellung. Das IKS, erweitert um ein Risikomanagementsystem, erhöht die Schwierigkeit, dieses ausreichend innerhalb des maximalen vorgegeben Umfanges zu untersuchen. Mit einem umfangreichen Grundverständnis muss der Leser daher an die Kernthematik herangeführt werden. Hierfür wird im Kapitel 2 zunächst das regulatorische Umfeld und damit die große Bedeutung des Rahmenwerks vermittelt. Das 3. Kapitel soll dem Leser das nötige Risikoverständnis vermitteln, das sich im Enterprise Risk Management widerspiegelt. Im 4. Kapitel wird das interne Kontrollsystem mit dem grundlegenden Fachwissen dargestellt, ohne bereits den Bezug auf das COSO Rahmenwerk zu nehmen. Hier liegt die Betrachtungsweise auf das herkömmliche IKS mit der eher formalgeprägten Sicht im Vordergrund. Im Kapitel 5 wird das Enterprise Risk Management - Integrated Framework vorgestellt. Besonderer Schwerpunkt sind die einzelnen Komponenten, die den Kern des Rahmenwerks darstellen. Nach dieser Vorstellung des Rahmenwerks von COSO wird im 6. Kapitel auf die Implementierung eingegangen, die verschiedenen Verantwortlichen des Prozesses betrachtet und der Unterschied zwischen IKS und ERM dargestellt. Das 6. Kapitel untersucht diese Implementierung als auch den Aufbau des Rahmenwerks (5.Kapitel) unter den Möglichkeiten und Grenzen der Wirksamkeit und Wirtschaftlichkeit des IKS durch ERM. Eine Zusammenfassung der Ergebnisse befindet sich im Kapitel 6.3.2.

- 10 -

2. Regulatorisches Umfeld

2.1 Vertrauensverluste in die Kapitalmärkte durch Finanzskandale

Das Vertrauen eines Investors in ein Unternehmen ist eine der Grundvoraussetzung für eine gemeinsame erfolgreiche Zusammenarbeit. Letztlich hat jeder Shareholder eine gewisse Renditeerwartung mit seinem Investment, und hierzu benötigt er bereits für die Investitionsentscheidung(z.B. Finanzbeteiligung) verlässliche Informationen, um das Risiko/Chancen Verhältnis zu ermitteln und eine geeignete Bewertung zu erstellen. Die Vorstände der Unternehmen sind sich i.d.R. diesem Renditeziel der Investoren ausgesetzt aufgrund vorher kommunizierten Umsätzen und Gewinnerwartungen. Letztlich wird ein Unternehmenswert nur durch Wachstum bzw. positivem Cash-Flow geschaffen, und dieser ist in vielen Fällen durch Wirtschaftszyklen unterbrochen und kann nicht fortlaufend erreicht werden.

Durch die häufig hochgesteckten Ziele im Kapitalmarkt während eines Wirtschaftsaufschwungs sind die Unternehmen häufig risikobereiter. „Daher haben Informationen über die Existenz von und den Umgang mit existenzgefährdenden - oder zumindest wesentlich unternehmensbeeinflussenden - Risiken eine hohe Bedeutung.“ ⁵ Eine Investor Relations mit schlechter Berichtserstattung in diesem Bereich schwächt das Interesse derzeitiger oder potentieller Investoren, die in diesem Fall ggf. ihr finanzielles Engagement anderweitig ausüben.

Das stark gewachsene Interesse an wirksamen Kontrollsystemen mit risikoorientierter Ausrichtung des Managements seitens der Öffentlichkeit liegt begründet in den seit Jahren spektakulären Unternehmenskrisen und Skandalen. Die derzeitige Kreditkrise auf dem Immobilienmarkt in den USA, welche sich bereits seit Jahren abgezeichnete, hat in seiner Dimension viele Experten überrascht.

Beim Bekanntwerden der ersten Zahlungsausfälle der Kredite an besonders bonitätsschwache Kreditnehmer und den damit beginnenden Preisverfall der Immobilien rechneten viele Marktteilnehmer mit hohen Verlusten bzw. Kreditausfällen bei den betreffenden Hypothekenbanken.

⁵ Marc Dietrich (2004), Risikomanagement und Risikocontrolling, S.1

- 11 -

Im Verlauf der Krise wurden jedoch immer mehr beteiligte Banken der Öffentlichkeit bekannt, welche ebenfalls auf dem renditestarken Subprime-Markt involviert waren. Deutsche Banken, wie die Sachsen LB und IKB Deutsche Industriebank, meldeten plötzlich ebenfalls ein hohes Engagement in diesem hoch riskanten Markt und überraschten die Investoren negativ.

Bei der IKB Deutsche Industriebank, die bekannt ist für langfristige Finanzierungen mittelständiger Unternehmen, hat sich dieses dramatisch ausgewirkt. Die IKB hat sich hohen Risiken mit neuen Geschäftsfeldern ausgesetzt, wie im folgendem PricewaterhouseCoopers(PwC) Bericht ersichtlich ist und muss im Geschäftsjahr 2007/08 mit mehr als 6 Mrd. € Verlust rechnen. “Ein zentraler Kritikpunkt des PwC-Berichts sind die Schwachstellen bei der Risikoanalyse, Risikosteuerung und dem Berichtswesen bei bestimmten Portfolio Investments.“ 6

Diese Investments hatten stark an Bedeutung zugenommen, da sie einen wesentlichen Beitrag zur Realisierung der ambitionierten Wachstumsziele der Bank leisteten. Das Management der Portfolio Investments wurde weitestgehend der IKB CAM einer Tochtergesellschaft übertragen. Die Rolle und Bedeutung, die dadurch der IKB CAM zukam, ging weit über eine reine Berater-Funktion für die IKB hinaus. Die für die IKB CAM geltenden Kontrollstrukturen waren im Vergleich zu dem großen Handlungsspielraum und damit dem Einfluss der IKB CAM auf die Risikoposition der Bank inadäquat. Entscheidungen über umfangreiche Investitionen im amerikanischen Subprime-Segment konnten so ohne angemessene Kontrolle getätigt werden. 7

Die internen Kontrollsysteme und die Überwachungssysteme für externe Kontrollen der Unternehmen zeigen rückblickend erhebliche Fehlerquellen auf. Daher liegt die Vermutung nahe, dass noch ein erhebliches Verbesserungspotential in diesem Bereich möglich ist. Die operativen Risiken, die offensichtlich von der IKB unterschätzt wurden, deuten zunächst auf eine interne Fehlfunktion im Unternehmensbereich hin. Aber auch die externe Kontrolle, die letztlich die internen Kontrollsysteme unter anderem zu prüfen hat, steht hier in der Kritik.

⁶ http://www.ikb.de/content/de/presse/pressemitteilungen/2007/071016_PwC_Gutachten.jsp

⁷ Vgl. http://www.ikb.de/content/de/presse/pressemitteilungen/2007/071016_PwC_Gutachten.jsp

- 12 -

Nach einem Skandal ist die Fragestellung immer die gleiche: Wie konnte es dazu kommen, und wie kann ein solcher Skandal in Zukunft vermieden werden? Letztlich zeigt die Vergangenheit, dass durch Unternehmensskandale ganze Branchen in Mitleidenschaft gezogen wurden und teilweise die Kapitalmärkte weltweit negativ beeinflusst wurden.

Nach einem internen Papier aus dem Ministerium wird die Rolle und Funktion der Aufsichtsstrukturen in Banken allgemein kritisch hinterfragt, gerade die Aufsichtsstrukturen der KfW (Staatliche Bank), Hauptsaktionär der IKB, wird als nicht mehr zeitgemäß beurteilt, und müsse deutlich gestrafft werden. 8

„Wenngleich der Aufsichtsrat verpflichtet ist, den Vorstand zur Wahrung seiner Pflichten anzuhalten und ihn ggf. abzurufen, so gilt dieser jedoch nicht als ein dem Vorstand übergeordnetes Leitungsorgan.“ 9

„Die Kontrolle vom Aufsichtsrat nach §111 AktG hat mit anderen Worten sowohl eine operativ-vergangenheitsbezogene als auch eine strategische bzw. zukunftsgerichtete Komponente.“ ¹⁰ Die Umsetzung, der Pflichten des Aufsichtsrats wurden in der Vergangenheit häufig nicht ausreichend realisiert. Dies liegt teilweise an der falsch ausgerichteten Zusammensetzung des Aufsichtsrats, und der häufig zeitlichen eingeschränkten Kontrollmöglichkeit.

Der Wirtschaftsprüfer, der den Jahresabschluss und den Lagebericht nach § 316 Abs. 1 durch sein Bestätigungsvermerk als glaubwürdig betitelt, hat in der Vergangenheit trotz seiner Berufsgrundsätze, wie die strenge Neutralität und Unbefangenheit, für Aufsehen gesorgt. Besonders in großen Unternehmen, mit durchgehender Anwesenheit der Wirtschaftsprüfer, die eine ständige Analyse des Unternehmens und deren Umfeld durchführen, wirkt ein plötzlicher Gewinneinbruch für Außenstehende wie ein Hohn.

Bis zu den 90er Jahren wurden die bis dato bekannten Finanzskandale den Vorständen und Mitarbeitern ein Fehlverhalten in den betroffenen Unternehmen zugeordnet. Die beiden größten Skandale in jüngster Vergangenheit, die folgend beschrieben werden, stehen jedoch mit den Wirtschaftprüfern im Zusammenhang.

⁸ Vgl. http://boerse.ard.de/content.jsp?key=dokument_264510&go=Hypotheken-Krise

⁹ Boujong Karlheinz, Vorstandskontrolle, 1995, S. 204

10 Schäfer Joachim Das Überwachungssystem nach § 91 Abs. 2 AktG unter Berücksichtigung der besonderen Pflichten des Vorstands, S.220

- 13 -

Das US-Unternehmen Enron, welches 1996 mit 50 Mrd. US Dollar an der Börse bewertet wurde, konnte in 20 Quartalen nacheinander den Gewinn steigern. Das Unternehmen hatte tausende Offshore-Partnerschaften. Zu diesen Partnerschaften bestanden Verbindlichkeiten von mehr als 1 Mrd. US Dollar, die in der eigenen Konzernbilanz nicht ausgewiesen wurden. Einige Bereiche des Mischkonzerns verliefen durchgehend zufriedenstellend, während andere mit der Profitablität kämpften. Die vergangenen Quartale konnten durch einen Bilanzierungsfehler weiterhin mit postivien Gewinnsteigerungen glänzen, bis plötzlich im 3. Quartal ein Verlust von 618 Mio US Dollar ausgewiesen werden musste. „Arthur Andersen LLP zählte zum damaligen Zeitpunkt zu den „Big Five“ der Wirtschaftsprüfungsgesellschaften in den USA und erbrachte über 16 Jahre lang unter anderem Prüfungsleistungen für Enron.“ 11

Nach der Aufdeckung des Skandals folgte das Zusammenbrechen des Aktienkurses von Enron, woraufhin sich die Banken weigerten, weitere Kredite zu vergeben. Dies führte letztlich zur Insolvenz von einem der größten US Unternehmen. „Arthur Andersen attestierte bis zur Aufdeckung des Skandals die Finanzberichtserstattung und ließ die Öffentlichkeit bezüglich der finanziellen Situation Enrons im Unklaren.“ ¹² Das Gerichtsverfahren wegen Bilanzfälschung wurde durch die Vernichtung von Beweismitteln durch den angeklagten Wirtschaftsprüfer zusätzlich überschattet.

In einem zweiten großen Wirtschaftsskandal des Unternehmens Worldcom stand die Prüfungsgesellschaft Arthur Andersen wieder in der Kritik. Der Börsenwert vom US-Telekommunikationsunternehmen Worldcom sank von 150Mrd. auf 150 Mio. US Dollar. Im Jahr 2001 betrugen die ausgewiesenen Umsätze 39,2 Mrd. US$. ¹³ Die getätigten Investitionen mit dem anschließenden geplanten Cash-Flow konnten nicht erfüllt werden. Die daraus folgenden Verluste wurden durch fehlerhafte Buchung über 1 Jahr gedeckt. Aufwendungen in Höhe von 3,8Mrd. US Dollar wurden als Anlagevermögen gebucht und Rückstellungen

¹¹ Menzies Christof (2004), Sarbanes-Oxley Act, S. 8

¹² Menzies Christof (2004), Sarbanes-Oxley Act, S. 9

¹³ Vgl. CRS Report, The Accounting Scandal, S. 2

- 14 -

fehlerhaft als zusätzlicher Gewinn. Das Anlagevermögen musste im Jahr 2002 um 50,6 Mrd US Dollar abgeschrieben werden, was damit einer Halbierung des Buchwerts entspricht. ¹⁴ Um in der Zukunft ähnlich geartete Vorfälle wie die beiden letzten beschriebenen Beispiele zu vermeiden, wurden viele neue Vorschriften und Gesetze erlassen. Die Unternehmenskontrolle und -überwachung soll an den bekannten Schwachstellen verbessert werden und beeinflusst damit die Grundsätze der Corporate Governance.

2.2 Internationale Anforderungen

2.2.1 Sarbanes Oxley Act

Aufgrund der, im vorherigen Kapitel beschriebenen Finanzskandale und deren weitereichen Folgen musste eine schnelle Gegenreaktion vom Gesetzgeber erfolgen. Am 30. Juli 2002 trat das nach seinen Verfassern, dem Senator Paul S. Sarbanes und dem Abgeordneten Michael G. Oxley, benannte US-Kapitalmarktgesetz, der Sarbanes-Oxley Act, mit Unterzeichnung des US-Präsidenten George W. Bush in Kraft. ¹⁵ „Der Sarbanes-Oxley Act stellt ein Artikelgesetz dar, welches die bedeutendsten Ergänzungen und Änderungen seit dem Erlass des Securities Act of 1993 und dem Securities and Exchange Act of 1934 umfasst.“ ¹⁶ „Der Sarbanes-Oxley Act gilt zunächst für alle nationalen (amerikanischen) Gesellschaften, die ihren Firmensitz in den USA haben und ihre Aktien an einer US-amerikanischen Börse notieren oder ihre Wertpapiere öffentlich anbieten und somit der amerikanischen Börsenaufsicht, der Securities and Exchange Commission(SEC), unterliegen.“ ¹⁷ „Die Regelungen des Sarbanes-Oxley Act sind vom Gesetzgeber für ausländische Unternehmen, so genannte Foreign Private Issuer, nicht eingeschränkt worden.“ ¹⁸ Als Foreign Private Issuer gelten alle bei der SEC registierungspflichtige Unternehmen, die ihren Stammsitz außerhalb der USA haben. 19

¹⁴ Vgl. CRS Report, The Accounting Scandal, S. 5

¹⁵ Vgl. Dutzi Andreas, Reform der marktorientierten Corporate Governance in den USA durch Sarbanes-Oxley Act, S.49

¹⁶ Volkwein Ellen, Die Umsetzung des Sarbanes Oxley Act 2002 in Deutschland, S. 11

¹⁷ Carl, Peter Steffen, Sarbanes-Oxley Act - US-amerikanische Vorgaben und Umsetzungszwang für deutsche

Gesellschaften, S. 371

¹⁸ Menzies Christof (2004), Sarbanes-Oxley Act, S. 13

¹⁹ Sünner, Eckart, Auswirkungen des Sarbanes-Oxley Act im Ausland, S. 270

- 15 -

Des Weiteren sind auch im Ausland ansässige Tochterunternehmen von den Bestimmungen des SOX betroffen, wenn sie Teil eines SEC-registierten Unternehmens sind. Die folgende Tabelle zeigt eine Übersicht der 11 Abschnitte (sog. Title) des SOA, teilweise werden die Bestimmungen durch konkrete Durchführungsverordnungen sog. Final Rule durch die SEC umgesetzt.

Tabelle 1(Quelle: In Anlehnung an Abb. 1 aus Moritz/Geese, Die Auswirkungen des Sarbanes-Oxley Act auf

deutsche Unternehmen, S. 32)

- 16 -

Die einzelnen Inhalte der Bestimmungen soll in dieser Arbeit unberücksichtigt bleiben. Lediglich die Abschnitte I und IV sollten für das Grundverständnis der folgenden Kapitel kurz erläutert werden.

Der erste Abschnitt befasst sich mit der Einrichtung eines Überwachungsgremiums über die Rechnungslegung, dem Public Company Accounting Oversight Board (PCAOB). Bei dem PCAOB muss sich jede Wirtschaftsprüfungsgesellschaft registrieren lassen, die in den USA notierte Unternehmen oder deren Tochterunternehmen im Rahmen des Jahresabschlusses prüft. ²⁰ Die SEC verfügt über ein Aufsichtsrecht und über Durchsetzungsbefugnisse gegenüber dem PCAOB. ²¹ Diese extraterritoriale Auswirkung auf ausländische Abschlußprüfer, erzeugt zum Beispiel für die deutsche Wirtschaftsprüfungsgesellschaften die Pflicht, dass sie sich damit neben der Überwachung durch die deutsche Wirtschaftprüferkammer auch regelmäßigen Kontrollen der amerikanischen Berufsaufsicht, dem PCAOB, verpflichten. 22

Der Fokus der Öffentlichkeit im Hinblick auf SOX liegt insbesondere auf dem IV. Abschnitt, der Section 404. Diese Section schreibt den Unternehmen vor, ihr internes Kontrollsystem der Finanzberichterstattung detailliert zu dokumentieren und dessen Funktionsfähigkeit intern zu prüfen. Auf Basis dieser Prüfung ist dem Jahresbericht ein Bericht des Managements über das interne Kontrollsystem der Finanzberichterstattung beizufügen. ²³ Die Funktionsfähigkeit des internen Kontrollsystems der Finanzberichterstattung ist durch den Abschlussprüfer zu testieren.

Im Fall der Feststellung einer significant deficiency oder material weakness ist dies sowohl dem Management als auch dem Audit Committe schriftlich zu melden. ²⁴ Eine significant deficiency bzw. Material Weakness ist laut PCAOB dann gegeben, wenn eine gewisse Wahrscheinlichkeit besteht, dass die Kontrollschwäche zu einem falsch gemeldeten Betrag in

²⁰ Vgl. Sarbanes-Oxley Act (2002), S. 102

²¹ Vgl. Sarbanes-Oxley Act (2002), S. 107

²² Vgl. Lanfermann, Georg/Maul, Silja (2003): SEC-Ausführungsregelungen zum Sarbanes-Oxley Act, S.1725

²³ Vgl. Sarbanes-Oxley Act (2002), S. 121

²⁴ Vgl. Menzies Christof (2004), Sarbanes-Oxley Act, S. 105-106

- 17 -

der Finanzberichterstattung führen kann, der nicht als belanglos einzustufen bzw. in eine wesentliche Falschmeldung münden kann. 25

Diese Section 404 beinhaltet den höchsten Implemtierungsaufwand für die meisten Unternehmen und ist damit der bedeutendste Abschnitt des Gesetzes. Die SEC und PCAOB weisen darauf hin, dass sich die Unternehmensleitung bei der Überprüfung der Wirksamkeit des internen Kontrollsystems an einem geeigneten Rahmenkonzept orientieren muss, jedoch ohne Pflicht eines bestimmten Rahmenkonzeptes. Als ein mögliches Rahmenkonzept zur Überprüfung der Wirksamkeit der internen Überwachungsmaßnahmen für das Finanzberichtswesen wird das sogenannte COSO-Framework empfohlen, also die Verlautbarung „Internal Control - Integrated Framework“ des US-amerikanischen „Committee of Sponsoring Organizations of the Treadway Commission“ (COSO) aus dem Jahr 1992. 26

2.2.2 COSO I als internationaler Standard

Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freie privatwirtschaftliche Organisation in den USA, die helfen soll,

Finanzberichterstattungen durch moralisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern.

COSO wurde 1985 als Plattform für die “National Commission on Fraudulent Financial Reporting“ (Treadway Commission) gegründet und wird durch die fünf bedeutendsten US-Organisationen für Kontrolle im Finanz- und Rechnungswesen unterstützt: IIA, AICPA, FEI, IMA und AAA. 27

Das COSO hat eine Studie über betrügerische Finanzberichtserstattungen und deren Ursachen in den USA durchgeführt. Die sich damals über drei Jahre erstreckenden Untersuchungen, an denen Hunderte von Fachleuten mitarbeiteten, endeten 1992 mit dem COSO-Report, der als Ursachenfaktor unwirksame interne Kontrollsysteme identifizierte. 28

²⁵ Vgl. PCAOB (2004), S. 20-21

²⁶ Vgl. Lück, W. / Markowski, A. (1996), Internal Control COSO Report, S.159

²⁷ Vgl. http://www.project-consult.net/Files/S204_Update2007_20070116.pdf, S. 79

²⁸ Vgl. Menzies Christof (2004), Sarbanes-Oxley Act, S. 76

- 18 -

Dieser „Report“, welcher aus vier Teilen besteht, hatte nicht nur das Ziel, Auskunft über die Ergebnisse (Teil eins) der Untersuchungen zu vermitteln, sondern Lösungen aufzuzeigen. Im zweiten Teil des COSO-Reports wurde eine einheitliche Definition eines internen Kontrollsystems entwickelt.

„Der Dritte Teil gibt den Unternehmen Hinweise zur externen Berichtserstattungen (Reporting to External Parties) und im abschließenden vierten Teil werden Werkzeuge dargelegt, die eine Bewertung des internen Kontrollsystems ermöglichen sollen.“ ²⁹ Durch dieses entwickelte in seiner Form und Umfang einmalige Rahmenwerk für Kontrollsysteme und der Unterstützung durch die SEC hatte der COSO-Bericht bereits 1992 eine Vorbildfunktion erlangt. ³⁰ COSO definiert Grundlagen eines effektiven Kontrollsystems für eine verbesserte Unternehmensführung („Corporate Governance“) und berücksichtigt als erste und umfassende Methode auch eine Risikofrüherkennung und -überwachung im Unternehmen. 31

Das Rahmenwerk bzw. das COSO-Modell wurde nach der Veröffentlichung vom IFAC, dem globalen Berufsverband der Wirtschaftsprüfer, in die Prüfungsstandards (ISA) aufgenommen. 32

Das deutsche Institut der Wirtschaftsprüfer (IdW), welches eng an die Internationalen Prüfungsstandards (ISA) angelehnt ist, hat das COSO-Modell ebenfalls als Grundlage in die Prüfungsstandards aufgenommen. 33

²⁹ Pampel Katrin (2005), Anforderungen an ein betriebswirtschaftliches Risikomanagement unter Berücksichtigung

nationaler und internationaler Prüfungsstandards, S. 65

³⁰ Vgl. Pampel Katrin (2005), Anforderungen an ein betriebswirtschaftliches Risikomanagement unter Berücksichtigung

nationaler und internationaler Prüfungsstandards, S. 63 Vgl. Menzies Christof (2004), Sarbanes-Oxley Act, S. 75

³¹ Vgl. Romeike, F./ Finke, R.B (2003), Erfolgsfaktor Risiko-Management, S. 66

³² Vgl. Mertin, D./Schmidt, S. (2001), internationale Harmonisierung der Anforderungen and die Abschlussprüfung auf der

Grundlage der Verlautbarungen der IFAC, S. 326

³³ Vgl. IDW (2003), Prüfungsstandards, PS 260

- 19 -

Das Rahmenwerk, welches bereits 1992 veröffentlicht wurde, kam der Forderung nach einer stärkeren Risikoausrichtung und -orientierung, gerade nach den Finanzskandalen 2002, mit dem „Enterprise Risk Management“ 2004 nach.

2.2.3 COSO II Enterprise Risk Management

Die wesentliche Veränderung von COSO I zu COSO II beinhalte ein ganzheitliches Risikomanagement, welches in der Vergangenheit in vielen Fällen in den Finanzskandalen als einer der Hauptfehlerquellen erkannt wurde. Es bestand die Notwendigkeit detaillierter auf den Umgang mit Risiken einzugehen, obwohl COSO I bereits Teile von Risikofrüherkennung und -überwachung beinhaltet.

Die COSO Organisation begann das neue COSO II Rahmenwerk auf eine ähnliche Art und Weise zu entwickeln, wie ihr internal control framework. Das neue Rahmenwerk mit dem Namen „Enterprise Risk Management - Integrated Framework“ wurde unter der Leitung von PWC und mit vielen Experten aus Wirtschaft und Forschung entwickelt. Ein Entwurf des Jahres 2003, der der Öffentlichkeit für Ergänzungsvorschläge vorlag, wurde im September 2004 endgültig verabschiedet. ³⁴ Das Ziel des neuen Rahmenwerks bestand nicht nur in der Erweiterung des COSO Modells um zusätzliche Risikokomponenten, sondern ebenso wichtig war die Schaffung eines Standards für ein Risikomanagementsystem.

Das ERM ist nicht als Ersatz für das COSO I vorgesehen und geeignet, sondern baut auf dieses Rahmenwerk auf. Unternehmen können das ERM nutzen, um ihre Internen Kontrollsysteme zu gestalten und sie hin zu einem umfassenden Risikomanagementsystem zu entwickeln. 35

Im COSO II Report gehen die Autoren auf die Chancen und Risiken ein, die das Unternehmen in der Wertschöpfungskette beeinflussen und definiert das Rahmenwerk folgendermaßen:

“Enterprise risk management is a process, effected by an entity‘s board of directors, management and other personnel, applied in strategy setting and across the enterprise,

³⁴ Vgl. Moeller R. Robert (2007), COSO Enterprise Risk Management, S. 49

³⁵ Vgl. COSO - The Committee of Sponsoring Organizations of the Treadway Commission (2004): Unternehmensweites

Risikomanagement - Übergreifendes Rahmenwerk, Zusammenfassung, S. 4

- 20 -

designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” ³⁶ Das Kapitel 5 geht auf die genaue Bedeutung der einzelnen Komponeten des Modells und die Unterschiede zwischen COSO I und COSO II ein.

Es ist davon auszugehen, dass COSO II die gleiche hohe Akzeptanz international erreichen wird wie die von COSO I, aufgrund der zusätzlichen allgemeinen gefassten Orientierungsrahmen eines Risikomanagements.

2.3 Nationale Anforderungen

In Deutschland reagierte der Gesetzgeber auf die zahlreichen Unternehmensskandale und die damit zunehmende Kritik zahlreicher Institutionen an Vorständen, Aufsichtsräten und Abschlussprüfer mit der Verabschiedung des Gesetztes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) 1998, welches das System der Unternehmenskontrolle und -überwachung an ihren Schwachstellen verbessern soll und die Grundsätze der Corporate Governance maßgeblich beeinflusst.“ ³⁷ Dabei handelt es sich beim KonTraG nicht um ein einheitliches komplettes Gesetz, sondern um ein Artikelgesetz, bei dem vornehmlich bereits bestehende gesetzliche Verpflichtungen, insbesondere des AktG und des HGB, erweitert und aktualisiert wurden. 38

Nach § 91 Abs. 2 AktG hat der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden (Risikofrüherkennungssystem)“ ³⁹ Obwohl das Aktiengesetz eine Pflicht zur Einrichtung eines Risikomanagements nicht erwähnt, wird es überwiegend für erforderlich erachtet, den Vorstand für die Einrichtung eines angemessen Risikomanagements und Risikocontrollings verantwortlich zu machen. 40

³⁶ COSO (2004), Enterprise Risk Management - Integrated Framework, S. 4

³⁷ Vgl. Marc Dietrich (2004), Risikomanagement und Risikocontrolling, S.2

³⁸ Vgl. Picot (2001), Überblick über die Kontrollmechanismen im Unternehmen nach KonTraG, S. 5

Vgl. Krystek Ulrich; Müller Michael (1999), Frühaufklärungssysteme: Spezielle Informationssysteme zur Erfüllung der

Risikokontrollpflicht nach KonTraG, S. 145

39 Vgl. § 91 Abs. 2 AktG (KonTraG)

40 Vgl. http://www.corporate-governance-code.de/ger/download/D_Kodex%202007_final.pdf, Pkt. 4.1.4.

- 21 -

Welche konkreten Maßnahmen jedoch § 91 II AktG erfordert, ist strittig. Einerseits wird Risikomanagement lediglich als „Controlling“ verstanden, ohne dieses zu präzisieren, so dass ungeklärt ist, was hierunter im Einzelnen zu verstehen ist und welche der bisherigen Vorkehrungen bereits genügen. ⁴¹ Anderseits wird die Auffassung vertreten, der Vorstand habe für eine Unternehmensinfrastruktur zu sorgen, was sich auf die Einrichtung und Weiterentwicklung eines zweckmäßigen Planungs- und Kontrollsystem sowie eines Risikomanagement bezieht. ⁴² Die konkrete Ausgestaltung von Maßnahmen gemäß §91 II AktG ist nach herrschender Meinung im Schrifttum nicht geklärt und lässt daher den Rückschluss zu, dass dem Leitungsorgan keine neuen Verpflichtungen auferlegt wurden, ⁴³ denn die Leitung eines Unternehmens ist als Risikomanagement zu begreifen. ⁴⁴ Des Weiteren wurde der Pflichtrahmen der Abschlussprüfer auch auf die Prüfung der Risikoberichtserstattung und des Risikofrüherkennungssystems erweitert, um das Vertrauen der Anleger weiter zu stärken und die Zahl der Unternehmenskrisen zu verringern. 45

Der Begriff des Prüfungsgegenstands „Risikomanagement“ könnte aus Sicht des Unternehmens zu der Gefahr führen, dass die gesamte Geschäftsführung und dem Aspekt der Risikostrategie als Prüfungsgegenstand wird. Die Kontrolle dieser Maßnahme obliegt aber grundsätzlich dem Aufsichtsrat, nicht dem Abschlussprüfer. ⁴⁶ Die Beurteilung des „Risikomanagements“ durch den Abschlussprüfer muss daher zwar unternehmensindividuell erfolgen, ist jedoch auf Prozess- und Plausibilitätsprüfung zu beschränken. ⁴⁷ Das IDW hat die Erweiterung des § 92 Abs. 2 AktG in dem Prüfungsstandard

41 Vgl. Deilmann Barbara (2000), Die Stellung des Aufsichtsrates der Aktiengesellschaft nach Inkrafttreten des KonTraG, S.169

⁴² Vgl. Berliner Initiativkreis German Code of Corporate Governance (2000), S. 1576

⁴³ Vgl. Wall Friederike (2003), Kompatibilität des betriebswirtschaftlichen Risikomanagements mit den gesetzlichen

Anforderungen?, S. 460

Vgl. Theisen Manuel Rene, Risikomanagement als Herausforderung für die Corporate Govermance, S. 1427

⁴⁴ Vgl. Horn (1997), Die Haftung des Vorstands der AG nach § 93 AktG und die Pflichten des Aufsichtsrates, S.1130

⁴⁵ Vgl. Pampel Katrin (2005), Anforderungen an ein betriebswirtschaftliches Risikomanagement unter Berücksichtigung

nationaler und internationaler Prüfungsstandards, S. 36

⁴⁶ Vgl. Marc Toebe (2006), Risikofrüherkennungssystem als Bestandteil des Risikomanagements und Gegenstand der

gesetzlichen Jahresabschlussprüfung, S. 83

⁴⁷ Vgl. Hommelhoff Peter (1999), Die neue Position des Abschlußprüfers im Kraftfeld der aktienrechtlichen

Organisationsverfassung, S. 139-140

- 22 -

340 mit aufgenommen und rechnet mit einer Ausstrahlungswirkung der aktienrechtlichen Regelung auch für den Pflichtrahmen der Geschäftsführer von Gesellschaften anderer Rechtsform je nach Größe und Komplexität der Unternehmensstruktur. ⁴⁸ Durch das Transparenz- und Publizitätsgesetz (TransPuG) 2002 und dem Bilanzrechtsreformgesetz (BilReG) 2004 soll das Vertrauen der Anleger und der Öffentlichkeit in die Leitung und Überwachung deutscher börsennotierter Aktiengesellschaften weiter gefördert und damit die Zielsetzung des KonTraG verfolgt werden.

Vergleicht man Sarbanes-Oxley Act mit den Prüfungsanforderungen des IDW wird deutlich, dass SOX spezifischere und im Detail weiterreichende Forderungen haben. ⁴⁹ „Die explizite Verpflichtung zur Überprüfung und Dokumentation des internen Kontrollsystems verbunden mit der strengen Aufsicht durch SEC und PCAOB bilden die wesentlichen Unterschiede zu den gegenwärtigen rechtlichen Anforderungen in Deutschland.“ 50

3. Grundlagen und Terminologie des Risikomanagement und Risikocontrolling

3.1. Risikobegriff

3.1.1 Allgemein

Der unternehmerische Erfolg hängt aufgrund der gesteigerten Dynamik der unternehmerischen Umwelt (externe Faktoren) sowie der internen Faktoren weitgehend davon ab, inwieweit es dem Unternehmen gelingt, sich auf diesen Wandel vorzubereiten. ⁵¹ Häufig wurden Risiken nicht rechtzeitig erkannt oder die Frühwarnindikatoren ignoriert. Daraus erschließt sich ein unzureichendes Controlling sowie mangelhafte Frühwarnsysteme

⁴⁸ Vgl. IDW (2003), Prüfungsstandards, PS 340

⁴⁹ Vgl. Glaum, M./Thomaschewski, D./Weber, S.: Auswirkungen des Sarbanes-Oxley Acts auf deutsche Unternehmen:

Kosten, Nutzen, Folgen für US-Börsennotierungen, S. 49

⁵⁰ Glaum, M./Thomaschewski, D./Weber, S.: Auswirkungen des Sarbanes-Oxley Acts auf deutsche Unternehmen: Kosten,

Nutzen, Folgen für US-Börsennotierungen, S. 49

⁵¹ Vgl. Wartensleben Herbert (1978), Risikomanagement, S. 323

- 23 -

oder Revisionsprozesse in vielen Unternehmen. ⁵² Die mangelhafte Risikoberichtserstattung bei deutschen Unternehmen wird in einer Studie ⁵³ von Herrn Bungartz und Herrn Lück deutlich und zeigt den Unterschied zwischen Wirklichkeit und Anspruch. Von den 117 befragten Unternehmen sind zum Beispiel fast 90% davon überzeugt, dass sie in ihrem Geschäftsberichten eine Risikokategorisierung vornehmen (größtenteils nach dem management approach), während eine Risikokategorisierung in nur 45% der Fälle erkennbar ist. 54

Ein einheitliches Risikoverständnis findet sich in der betriebswirtschaftlichen Risikotheorie nicht, vielmehr findet eine Zusammenfassung verschiedener Ansätze in der Literatur statt. ⁵⁵ Die bis jetzt einseitige Darstellung der Risiken darf nicht zu der Ansicht führen, dass Risikomanagement darin besteht, sämtliche Risiken zu vermeiden. Die folgende Grafik zeigt die Entwicklung vom Umgang mit Risiken im Unternehmen.

Abbildung 1: Entwicklung beim Umgang mit Risiken (Quelle: In Anlehnung an Romeike Frank (2003) S. 67)

⁵² Vgl. Romeike Frank (2003), Finke R.B, Erfolgsfaktor Risiko-Management, S. 66

⁵³ Studie von 2001: 117 Unternehmen wurden befragt; 16 Dax, 26 MDax und 9 NeMax Unternehmen haben geantwortet,

erschien in: Bungartz Oliver (2004), Risk Reporting, S. 76

⁵⁴ Vgl. Bungartz Oliver (2004), Risk Reporting, S. 76

⁵⁵ Vgl. Toebe Marc (2006), Risikofrüherkennungssystem als Bestandteil des Risikomanagements und Gegenstand der

gesetzlichen Jahresabschlussprüfung, S. 35

- 24 -