I

Inhaltsverzeichnis

Inhaltsverzeichnis.   I

Abk  ürzungsve rzeichnis  II

Abbildungsverzeichnis   III

Tabellenverzeichnis III   

1  Einleitung  1

2  Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)  2

2.1  Allgemeine Zielsetzung des KonTraG  2

2.2  Risikomanagement nach dem KonTraG.  5

2.2.1  Anforderungen an einzelne Unternehmensgremien der Aktiengesellschaft  5

2.2.1.1  Vorstand  5

2.2.1.2  Aufsichtsrat  8

2.2.2  Anforderungen an externe und interne Prüfgremien der Aktiengesellschaft  10

2.2.2.1  Abschlussprüfer  10

2.2.2.2  Interne Revision.  11

2.2.3  Ausstrahlungswirkung auf andere Rechtsformen.  13

3  Die optimale Gestaltung eines Risikomanagement-Systems.  16

3.1  Die Grundlagen des Risikomanagement-Prozesses.  16

3.1.1  Risikoidentifikation  16

3.1.2  Risikoanalyse  19

3.1.3  Risikobewertung  20

3.1.4  Risikosteuerung  24

3.2  Bestandteile eines Risikomanagement-Systems  27

3.2.1  Risikohandbuch  27

3.2.2  Risikobeauftragter.  30

3.3  Die organisatorische Gestaltung eines Risikomanagement-Systems  33

4  Schlussbetrachtung.  39

Abstract.   V

Literaturverzeichnis   VI

Anhang   XI

Abs. = Absatz AG = Aktiengesellschaft AktG = Aktiengesetz Aufl. = Auflage BT-Drucks. = Bundestags-Drucksache EBIT = Earnings before Interest and Tax eG = eingetragene Genossenschaft etc. = et cetera f. = folgende ff. = fortfolgende GenG = Genossenscha ftsgesetz GmbH = Gesellschaft mit beschränkter Haftung GmbHG = Gesetz betreffend die Gesellschaften mit beschränkter Haftung HGB = Handelsgesetzbuch Hrsg. = Herausgeber Jg. = Jahrgang KonTraG = Gesetz zur Kontrolle und Transparenz im Unternehmensbereich krp = Kostenrechnungspraxis (Zeitschrift) MitbestG = Mitbestimmungsgesetz MS-Excel = Microsoft Excel o. g. = oben genannt o. O. = ohne Ortsangabe o. S. = ohne Seitenangabe S. = Seite s.o. = siehe oben TransPub = Transparenz- und Publizitätsgesetz ZIP = Zeitschrift für Wirtschaftsrecht (Zeitschrift)

III

Abbildungsverzeichnis   

Abbildung  1: Systematik des Risikobegriffs  

Abbildung  2: Die Risikofelder.  

Abbildung  3: Die Risikomatrix.  

Abbildung  4: Risikoaggregation in der Risikomatrix  

Abbildung  5: Möglichkeiten der Risikosteuerung  

Abbildung  6: Informations - und Entscheidungskreislauf  

Abbildung  7: Der Risikobeauftragte als Stabsstelle in der Organisation  

Abbildung  8: Der Risikobeauftragte im funktional organisierten Controlling  

Tabellenverzeichnis   

Tabelle 1:  Einteilung in Risikokategorien.  

Tabelle 2:  Mindestinhalte eines Risikohandbuchs  

1 Einleitung

Über mehrere Jahre hinweg waren die Kontrollmechanismen zur Überwachung der Aktiengesellschaften Gegenstand der rechtspolitischen Diskussion in Deutschland, sind dessen ungeachtet dennoch in den Hintergrund geraten. Erst zu Beginn der 90er Jahre rückte die Thematik durch eine Reihe spektakulärer Unterne hmenskrisen und -zusammenbrüche wieder in das Bewusstsein einer breiteren Öffentlichkeit und führte zu einer Kritik an der Unternehmensführung sowie der Aufsichtsräte. ¹ „Von Seiten der Aktionäre wurde insbesondere eine effektivere Überwachung der Unternehmensleitung durch den Aufsichtsrat gefordert...“ ² Aus diesem Grund stand der Gesetzgeber enorm unter Druck, präventive Regelungen zur Abwehr solcher Zusammenbrüche zu schaffen und reagierte auf diese Entwicklung mit dem „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG). Bereits am 11.11.1996 wurde ein Referentenentwurf des KonTraG vorgelegt, der aber erst am 06.11.1997 in leicht abgeänderter Form vom Bundeskabinett verabschiedet und dem Bundesrat zur Stellungnahme zugewiesen wurde. Schließlich wurde das Gesetz am 05.03.1998 vom Deutschen Bundestag verabschiedet und trat am 01.05.1998 in Kraft. Nach dem KonTraG traten im Jahre 2002 weitere Reformen des Wirtschaftsrechts in Kraft. Für den deutschen Raum wurde das Transparenz- und Publizitätsgesetz (TransPub), und für den internationalen Raum und speziell für den amerikanischen Raum der Sarbanes Oxley Act erlassen. Beide Gesetzestexte bleiben in dieser Arbeit jedoch außer Betracht, um den Rahmen zu begrenzen. Unterstützt wird diese Entsche idung dadurch, dass der Schwerpunkt der Arbeit auf den Anforderungen für mittelständische Gesellschaften mit beschränkter Haftung (GmbH) liegt, für die die 2002 erlassenen Gesetze stexte hier keine Anwendung finden. Zudem ist ein internationales Unternehmen der Elektrobranche mit einer Firmengröße von ca. 11.000 Mitarbeitern Grundlage dieser Arbeit.

Dem Kern der Arbeit - eine optimale Gestaltung eines Risikomanagement-Systems aufzuze igen - gehen die Zielsetzung des KonTraG sowie die Bestimmung des Risikobegriffs, die in den nachfolgenden Kapiteln von Bedeutung sein werden, voraus. Im Anschluss folgen die Gesetzesänderungen des KonTraG, wobei die grundlegenden Anforderungen an die Unter-

¹ vgl.Ernst, Ch. (1999), S. 3

² vgl. Picot, G. (2001), S. 7

nehmensgremien vor dem Hintergrund einer Ausstrahlungswirkung auf die GmbH betrachtet werden. Das dritte Kapitel behandelt im Hinblick auf die optimale Gestaltung des Risikomanagement-Systems zunächst das detaillierte Vorgehen innerhalb des Risikomanagement-Prozesses. Ferner werden die Funktionen des Risikohandbuchs und des Risikobeauftragten als notwendige Bestandteile des Risikomanagement-Systems erläutert. Das dritte Kapitel schließt mit einer kritischen Betrachtung der organisatorischen Gestaltung des Risikomanagement-Systems ab. Es werden alternative Vorschläge für die Eingliederung des Risikobeauftragten, unter Angaben der Vor- und Nachteile beleuchtet. Einige Aspekte dieser Arbeit orientieren sich im dritten Kapitel stark an den praktischen Erfahrungen der Autorin, die aus Gesprächen und Interviews mit internationalen Unternehmen resultieren, die jedoch ausdrücklich nicht namentlich genannt werden wollen. Zum Abschluss wird das Thema einer kritischen Würdigung innerhalb der Schlussbetrachtung unterzogen und ein Ausblick auf zukünftige Entwicklungen gegeben.

2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

(KonTraG)

2.1 Allgemeine Zielsetzung des KonTraG

Mit dem KonTraG werden zwei grundlegende Regelungsziele verfolgt. Zum einen sollen Schwächen und Verhaltensfehlsteuerungen im Kontrollsystem des deutschen Aktienrechts korrigiert werden. Zum anderen soll der zunehmenden Öffnung und Neuausrichtung der deutschen Publikumsgesellschaften auf die internationalen Kapitalmärkte und deren Informationsbedürfnissen Rechnung getragen werden. ¹ Das KonTraG zieht sich auf diese Weise mit seinen Neuregelungen quer durch das Aktiengesetz (AktG) sowie Teile des Handelsgesetzb uches (HGB) und tangiert dort die Themenbereiche Vorstand, Aufsichtsrat, Hauptversammlung sowie die Abschlussprüfung. ² Vom Gesetzgeber wird das KonTraG als Teil einer einheitlichen kapitalmarktrechtlichen Strategie verstanden, die das deutsche Aktienrecht modernisieren, internationalisieren und stärker auf die Wertsteigerungen für die Anteilseigner orientieren soll. ³ „Vor allem aber geht es im KonTraG nicht um die Kontrolle und Transparenz im

¹ vgl. BT -Drucks. 13/9712 (1998), S. 11

² vgl. Krystek, U. (1999), S. 145

³ vgl. Picot, G. (2001), S. 12

Unternehmensbereich, sondern ganz maßgeblich um die Kontrolle und Transparenz in den Aktiengesellschaften.“ ¹ Dies lässt sich nicht nur am quantitativen Umfang der Änderungen, sondern auch an den stark aktienrechtlichen Schwerpunkten belegen, die für Gesellschaften anderer Rechtsformen ohne oder nur von mittelbarer Bedeutung sind. Beispielhaft seien hier der Erwerb eigener Aktien (§71 Abs. 1 Nr. 8 AktG) sowie die Zulassung von Stock-Options-Programmen (§192 Abs. 2 Nr. 3 AktG) genannt. Neuerungen ohne aktienrechtlichen Schwerpunkt wie z. B. die erweiterten Pflichten der Unternehmensleitung von Kapitalgesellschaften im Bereich des Risikomanagement-Systems sowie der Berichtspflicht zur künftigen Entwicklung des Unternehmens, die Erweiterung der Offenlegungspflichten und die Verstärkung der Aufsichtsratspflichten werden im Anschluss an den Risikobegriff näher erläutert.

Da Unternehmen durch ihr Auftreten am Markt vielfältigen Risiken ausgesetzt sind, ist die Überlegung, was eigentlich Risiko besagt, unerlässlich. Das Wort „Risiko“ leitet sich ursprünglich vom frühitalienischen „rischiare“ her, was „wagen, Gefahr laufen“ ² bedeutet. In der wirtschaftswissenschaftlichen Literatur gibt es dagegen über den Begriff und die Definition des Risikos verschiedenartige Auffassungen. Die Erklärungen reichen von 'Gefahr einer Fehlabweichung' bis hin zur mathematischen Definition 'Risiko = Wahrscheinlichkeit x Ausmaß'. Eine weitreichende Auffassung ³ unterscheidet, wie unten abgebildet, zwischen reinen Risiken, die Schadensgefahren beinhalten, d. h. bei denen ein Ereignis eintritt, das das Vermögen des Unternehmens unmittelbar mindert und dem spekulativen Risiko, das Risiken aus unternehmerischem Handeln in Gegenüberstellung zu Chancen erfasst. Die spekulativen Ris iken können sich dabei vermögensmindernd (Risiko im engeren Sinne) oder vermögensmehrend (Risiko im weiteren Sinne) auswirken.

¹ Drygala, T., Drygala, A. (2000), S. 297

² o.V. (2000) o. S.

³ vgl. Lück, W. (1999), S. 143; Hopp, K.U. (2001), S. 21

Abbildung 1: Systematik des Risikobegriffs 1

Unabhängig von der theoretischen Betrachtung des Risikos stellt Kirchner ² fest, dass in der Praxis das Wort Risiko nicht selten synonym mit den beiden Begriffen Schadensgefahr und Verlustgefahr (spekulatives Risiko) verwendet wird. Daran lässt sich erkennen, dass auch in der Praxis der Risikobegriff nicht einheitlich definiert ist. Im KonTraG findet sich ebenfalls keine explizite Definition des Risikobegriffs, sondern ausschließlich der Hinweis auf be-standsgefährdende Entwicklungen. Zu diesen Entwicklungen, die den Fortbestand der Gesellschaft gefährden können, nennt der Gesetzgeber ausdrücklich risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften. ³ Nach seiner Auffassung ist Bestandsgefährdung dann gegeben, wenn sich diese Entwicklungen auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft oder des Konzerns negativ auswirken. ⁴ Eine einzige engere Interpretation des Risikobegriffs als Gefahr offenbart die Bedeutung und die Verwendung des Wortes im HGB. ⁵ Denn gemäß §252 Abs. 1 Nr. 4 HGB müssen alle vorhersehbaren Risiken und Verluste, die bis zum Abschlussstichtag entstanden sind, im Jahresabschluss berücksichtigt werden. „Hierbei ist unter Risiko das Eintreten einer negativen Entwicklung einer Unternehmensaktivität zu verstehen.“ ⁶ Dies entspricht dem Vorsichtsprinzip und der allgemeinen Gläubigerschutzfunktion der deutschen Rechnungslegung. Demzufolge

¹ vgl. Lück, W. (1999), S. 143; Hopp, K.U. (2001), S. 21

² vgl. Kirchner, M. (2002), S. 16 f.

³ vgl. BT -Drucks. 13/9712 (1998), S. 15

⁴ vgl. ebenda

⁵ vgl. Lange, K.W. (2001), S. 136

⁶ vgl. ebenda

stellt das Risiko also auf die Gefahren ab und nicht auf mögliche Chancen einer unternehmerischen Handlung.

2.2 Risikomanagement nach dem KonTraG

2.2.1 Anforderungen an einzelne Unternehmensgremien der Aktiengesellschaft

2.2.1.1 Vorstand

Nach dem Inkrafttreten des KonTraG ist es zu einigen Änderungen bzw. Neuregelungen gekommen, die die Pflichten des Vorstands der Aktiengesellschaft (AG) bedeutend erweitern. Neben den Pflichten des Vorstands, dafür zu sorgen, dass die erforderlichen Handelsbücher geführt werden (§91 Abs. 1 AktG), hat der neue §91 Abs. 2 AktG große Aufmerksamkeit gefunden. Entsprechend dieser Neuregelung hat der Vorstand „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Ent wicklungen früh erkannt werden.“ ¹ Welche Entwicklungen den Fort-bestand der Gesellschaft gefährden können, wurde bei der Behandlung des Risikobegriffs erlä utert.

Über den sachlichen Inhalt von §91 Abs. 2 AktG gehen die Meinungen stark auseinander. Einige Autoren unterstellen der Neuregelung die Forderung an den Vorstand ein Risikomanagement-System, insbesondere ein Frühwarnsystem, einzurichten, um eine angemessene Ris i-kovorsorge zu treffen. ² Andere Autoren sehen in der Vorschrift lediglich die Konkretisierung der bestehenden Rechtslage mit klarstellender Funktion. So ging nach Picot der Gesetzgeber bei der Schaffung des §91 Abs. 2 AktG nicht davon aus, für den Vorstand eine neue Pflicht zur Einrichtung eines Überwachungssystems zu statuieren, sondern vielmehr macht die Begründung zum Gesetzesentwurf deutlich, dass sich diese Verpflichtungen nach Ansicht des Gesetzgebers auch schon vorher aus der Leitungsaufgabe des Vorstands gemäß §76 AktG ergeben hat. ³ Durch §91 Abs. 2 AktG wird demzufolge einerseits die umfassende Leitungs-verantwortung des Vorstands hinsichtlich einzelner Tatbestände ausgearbeitet, andererseits

¹ vgl. BT -Drucks. 13/9712 (1998), S. 15

² vgl. Drygala, T., Drygala, A. (2000), S. 298

³ vgl. Picot, G. (2001), S. 12

jedes seiner Mitglieder für die künftig mit besonderer Sorgfalt zu erfüllende Leitungsaufgabe sensibilisiert. ¹ Weiterhin heißt es in der Begründung zum Gesetzentwurf, dass die Verletzung der Organisationspflicht zu einer Schadensersatzpflicht als Gesamtschuldner nach §93 Abs. 2 AktG führen kann, wobei die Ausformung der Pflicht von der Größe, Branche, Struktur, dem Kapitalmarktzugang usw. des jeweiligen Unternehmens abhängt. ² Ist streitig, ob die Vor-standsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters ange-wandt haben, so trifft sie selbst die Beweislast (§93 Abs. 2 Satz 1 AktG). Die Beweislastumkehr bewirkt, dass die beha upteten Pflichtwidrigkeiten eines das Unternehmen schädigenden Verhaltens sowie das Verschulden des Vorstands vermutet werden, bis sich dieser entlastet. ³ Dies gilt auch bei einer Geschäftsverteilung, d. h. alle Vorstandsmitglieder bleiben für die zweckmäßige Organisation des gesamten Unternehmens verantwortlich, so dass sich grundsätzlich jedes Vorstandsmitglied dahingehend vergewissern muss, dass auch die anderen Re s-sorts zweckmäßig organisiert und ordnungsgemäß geleitet werden. 4

Bleibt zu klären, welche Maßnahmen der Gesetzgeber unter einem „Überwachungssystem“ versteht. Aus der ursprünglichen Formulierung des §91 Abs. 2 AktG und aus der Begründung zum Entwurf des KonTraG geht hervor, dass sich ein einzurichtendes Risikomanagement-System aus einem Internen Überwachungssystem, aus einem Controlling und aus einem Frühwarnsystem zusammensetzt. ⁵ Nach heutiger Gesetzgebung bleibt allerdings offen, wie die Maßnahmen für ein Überwachungssystem genau auszusehen haben, da dies unter anderem von Größe, Branche, Struktur und Kapitalmarktzugang abhängt. ⁶ Die gegenwärtige Gesetzesbegründung gibt nur vor, dass die Maßnahmen so einzurichten sind, dass bestandsgefährdende Entwicklungen frühzeitig, also zu einem Zeitpunkt erkannt werden, in dem noch geeignete Maßnahmen zur Sicherung des Fortbestands der Gesellschaft ergriffen werden können. ⁷ Die aktuelle Meinungslage geht in punkto Maßnahmen jedoch von der Einhaltung der organisato-

¹ vgl.Gampenrieder, P., Greiner, M. (2002), S. 285

² vgl. BT -Drucks. 13/9712 (1998), S. 15

³ vgl. Bitz, H. (2000), S. 4

⁴ vgl. ebenda

⁵ vgl. Lück, W. (2001), S. 22

⁶ vgl. Picot, G. (2001), S. 12

⁷ vgl. BT -Drucks. 13/9712 (1998), S. 15

rischen Maßnahmen als Interne Revision ¹ bis hin zur reinen Überwachung von Risiken ² . Eine weite Auffassung, die von Teilen der Betriebswirtschaft und der Prüfungspraxis vertreten wird, versteht das in §91 Abs. 2 AktG erwähnte Überwachungssystem im Sinne einer reinen Überwachung von Risiken. Danach sind die Unternehmen verpflichtet, ein umfassendes Ris ikomanagement-System einzuführen, bei dem Geschäftsvorfälle systematisch auf ihr Risiko hin durchleuchtet werden. Die sich daraus ergebende Risikoposition wird anschließend als Ausgangspunkt für unternehmerische Entscheidungen gesehen. ³ Eine deutliche Gegenposition vertritt Hüffer ⁴ . Er ist der Auffassung, dass diese Norm den Vorstand lediglich dazu verpflichtet, organisatorische Maßnahmen dahin gehend zu treffen, dass die nachteilige Entwicklung bestimmter Risikozustände dem Vorstand rechtzeitig bekannt wird. Das Überwachungssystem dient seiner Ansicht nicht dazu, die Risiken zu überwachen, sondern nur der Einha ltung der organisatorischen Maßnahmen. Daher ist mit dem Überwachungssystem nach Hüffer nichts anderes als die unternehmensinterne Revision gemeint. Hinsichtlich der zuerst genannten Auffassung kann es auf keinen Fall richtig sein, Unternehmen zu einem allumfassenden Risikomanagement zu verpflichten, da im Rahmen des §91 Abs. 2 AktG nur existenzbedrohende Risiken relevant sind. ⁵ Doch auch der von Hüffer genannte Pflichtenstandard des Vor-stands ist weitaus dichter, als von ihm angenommen. Nach Drygala/Drygala genügt es nicht, dass die Risiken erfahrungsgemäß bekannt werden. ⁶ Vielmehr ist eine systematische, in sich schlüssige und unternehmensweite Ris ikoerfassung notwendig, die auf Leitlinien des Vo r-stands zur Risikoerkennung (Welche Rolle spielt die Eintrittswahrscheinlichkeit?) und Ris ikokommunikation (Ab welcher Schadenshöhe bzw. Eintrittswahrscheinlichkeit?) beruht. ⁷ Demzufolge sind in einem Unternehmen neben dem Controlling zwei Maßnahmen erforderlich: Ein Früherkennungssystem, im Sinne eines Maßnahmenbündels zur systematischen Erkennung und Weitermeldung von Risiken sowie eine Interne Revision, die die Einhaltung dieser Maßnahmen auf die Funktions fähigkeit als Überwachungssystem hin überwacht. Zusammen bilden sie das so genannte Risikomanagement, wobei der Vorstand jedoch ma ngels

¹ vgl. Hüffer, U. (2002), S. 439 ff.

² vgl. Drygala, T., Drygala, A. (2000), S. 298

³ vgl. ebenda

⁴ vgl. Hüffer, U. (2002), S. 441

⁵ vgl. Drygala, T., Drygala, A. (2000), S. 299

⁶ vgl. ebenda

⁷ vgl. ebenda