Leseprobe
Inhaltsverzeichnis
Abbildungsverzeichnis
Abkürzungsverzeichnis
1 Einleitung
1.1 Ausgangslage und Problemstellung
1.2 Ziel und Gang der Untersuchung
1.3 Aufbau der Arbeit
2 Internes Kontrollsystem
2.1 Ursprung und Entwicklung des IKS und RMS in Österreich
2.2 IKS, RMS und Compliance
3 Compliance-Organisation
3.1 Compliance als Teil der Corporate Governance
3.2 Auf- und Ablauforganisation
3.3 Compliance-Management-System im Mittelstand
3.3.1 Methodisches Vorgehensmodell
3.3.2 Risikoidentifikation
3.3.3 Risikoanalyse und -bewertung
3.3.4 Ergebniskonsolidierung und Reporting
3.3.5 Anknüpfungspunkt zum IKS
3.3.6 Nutzen & Kosten
3.4 Non-Compliance und ihre Folgen
4 Schlussbemerkung
Literaturverzeichnis
Anhang
Abbildungsverzeichnis
Abbildung 1: Bestandteile der Unternehmensüberwachung
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1 Einleitung
1.1 Ausgangslage und Problemstellung
Bussmann und Salvenmoser[1] kommen in eine im Oktober letzten Jahres durch PwC Österreich GmbH Wirtschaftsprüfungsgesellschaft und der Martin-Luther-Universität Halle-Wittenberg herausgegebenen Studie zum Ergebnis, dass in Österreich ähnlich wie in Deutschland 47 % der Unternehmen innerhalb der letzten zwei Jahre mindestens einmal Opfer von Wirtschaftskriminalität geworden sind. Laut deren Erhebungen ist diese Erscheinung vor allem auf die steigende Aufdeckungsrate zurückführen, die wiederum positiv von der höheren Sensibilität der Unternehmen beeinflusst wird. Im Vergleich dazu liegt die Anzahl der Verdachtsfälle von Unternehmen bei mehr als 10 % über dem besagten Wert, wobei von einer wesentlich höheren Dunkelziffer ausgegangen werden muss.
Auch Weiss et al.[2] bestätigen im Rahmen ihrer Befragung das sogenannte Kontrollparadoxon, bei dem durch verbesserte Kontrollsysteme gleichzeitig ein Anstieg der von Wirtschaftskriminalität betroffenen Unternehmen zu verzeichnen ist. In deren Studie geben jedoch nur 37 % der befragten Unternehmen an, in den letzten drei Jahren von Wirtschaftskriminalität betroffen gewesen zu sein, also deutlich unter dem Wert von Bussmann und Salvenmoser.
Der Unterschied ist plausibel, da im Rahmen der Erhebung von Bussmann und Salvenmoser überwiegend größere Unternehmen ab einer Mitarbeiterzahl von mindestens 500 Personen in die Umfrage einbezogen wurden. Weiss et al. grenzen den Mittelstand von den Großunternehmern auf der Basis von Umsatz und der Eigentümer- und Führungsstruktur ab. Das Risiko, von wirtschaftskriminellen Handlungen betroffen zu sein, steigt parallel zur Unternehmensgröße.[3] Doch die potenzielle Gefahr wird insbesondere in mittelständischen Unternehmen unterschätzt, da diese primär auf den Faktor Vertrauen setzen und daher auf den Ernstfall weniger gut vorbereitet sind als Großunternehmen.[4]
In Deutschland sehen Nestler, Salvenmoser und Bussmann[5] den Grund für den Ausbau von Kontroll- und Präventionsmaßnahmen bei direkt betroffenen Unternehmen nicht primär in den gesetzlichen Bestimmungen (43 %) oder auf Druck medialer Berichterstattung (41 %) sondern in Hinblick auf Empfehlungen durch externe Berater (55 %). Weltweit gesehen geben im Vergleich dazu 8 % mehr Unternehmen an, die Maßnahmen aufgrund der nationalen Rechtslage, 5 % weniger aufgrund von Empfehlungen sowie 8 % weniger als Reaktion auf den indirekten Mediendruck einzuführen.
In Österreich sind Kapitalgesellschaften seit dem IRÄG 1997[6] nach § 22 Abs 1 GmbHG und § 82 AktG dazu verpflichtet, ein angemessenes IKS einzurichten. Als Folge zahlreicher Wirtschaftsskandale stellt sich in diesem Zusammenhang die Frage, ob die gesetzlichen Anforderungen an ein IKS und RMS[7] zur Prävention von wirtschaftskriminellen Handlungen[8] einen ausreichenden Schutz für Share- und Stakeholder bieten oder ob es zusätzlicher Maßnahmen im Unternehmen bedarf.
1.2 Ziel und Gang der Untersuchung
In Anbetracht der Ausgangslage befasst sich die vorliegende Studienarbeit mit folgenden Fragestellungen:
- Besteht für Unternehmen in Österreich eine gesetzliche Verpflichtung zu CM?
- Inwieweit kann CM als Ergänzung zur ordnungsgemäßen Unternehmensführung beitragen?
- Kann der Einsatz eines CMS im Unternehmen dazu beitragen, Compliance-Risiken frühzeitig zu erkennen und bei Kursabweichungen entgegen zu steuern?
1.3 Aufbau der Arbeit
In vier Kapiteln versucht die vorliegende Studienarbeit zu erörtern, was generell unter dem Begriff Compliance zu verstehen ist und welche Rolle sie in der Unternehmensführung einnimmt.
Um den Auslöser für diesen Modebegriff verstehen zu können, befasst sich Kapitel 2 zunächst mit dem Ursprung und der laufenden Entwicklung des IKS und RMS über den Zeitraum von rund einundeinhalb Jahrzehnten in Österreich. Zu diesem Zweck werden neben Compliance auch die Begriffe IKS, RMS aus unterschiedlichen Sichtweisen beleuchtet.
Kapitel 3 geht zunehmend auf die Integration von Compliance in die Unternehmensführung ein. Zudem werden auch die Zusammenhänge zwischen den Überwachungssystemen erläutert und einzelne Schritte zur Implementierung eines CMS im Mittelstand beschrieben.
Im letzten Teil dieser Studienarbeit werden nochmals die wesentlichen Erkenntnisse aufgegriffen und die Forschungsfragen beantwortet sowie ein abschließender Ausblick gegeben.
2 Internes Kontrollsystem
2.1 Ursprung und Entwicklung des IKS und RMS in Österreich
Der Begriff des IKS hatte seinen Ursprung in den USA, als dieser infolge von Betrugs- und Unterschlagungsfällen aus dem Grundbegriff „Internal Control“ entwickelt wurde.[9] Die große Anzahl der Insolvenzen in den 90er Jahren war in Österreich der Auslöser für die Einführung eines verpflichtenden IKS, welches durch das IRÄG 1997 umgesetzt wurde.[10] Das IRÄG 1997 stellte eine Verdeutlichung der gesetzlichen Aufgaben der vertretenden Organe dar und diente nicht als Erweiterung der Sorgfaltspflicht nach § 84 AktG.[11]
International rückte das IKS erneut in den Mittelpunkt der Diskussion, als in den USA 2002 infolge von Unternehmenszusammenbrüchen und Bilanzskandalen (Enron und WorldCom)[12] der SOX[13] 2002 vom US-amerikanischen Kongress erlassen wurde.[14]
Das Gesetz gilt für alle Unternehmen und deren Tochtergesellschaften unabhängig ihrer Herkunft, die Wertpapiere zum Handel an einer US-amerikanischen Börse emittieren und infolge zur Registrierung bei der SEC[15] verpflichtet sind.[16] Durch dem SOX sollen vor allem den Shareholdern durch eine genauere und verlässlichere Finanzberichterstattung Schutz gewährt werden. Gemäß Section 404 (a) des SOX ist ein Unternehmen dazu verpflichtet, den Jahresabschluss um einen internen Kontrollbericht zu erweitern, bei dem das Management eine Einschätzung und Beurteilung über die Leistungsfähigkeit der Kontrollmaßnahmen für die Rechnungslegung vornimmt.
Die EU hat 2006 ebenfalls als Reaktion auf Bilanzskandale wie zB Parmalat[17] mit der Abschlussprüferrichtlinie[18] gleichermaßen umfassende Auflagen zur Risikovorkehrung und –überwachung erlassen, welche in Österreich 2008 im Rahmen des URÄG 2008[19] in nationales Recht umgesetzt wurden.[20]
Nach Inkrafttreten des URÄG 2008 waren Unternehmen nach § 243a Abs 2 sowie § 267 Abs 3b UGB, deren Aktien oder Wertpapiere über eine Handelszulassung auf einem geregelten Markt gemäß § 1 Abs 2 BörseG verfügen, dazu verpflichtet, im Lagebericht bzw. Konzernlagebericht „… die wichtigsten Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben.“[21] Die Aufstellung eines Corporate Governance-Berichts nach § 243b Abs 2 UGB war ebenso Bestandteil dieser Novelle.
2.2 IKS, RMS und Compliance
In einer Stellungnahme zur Lageberichterstattung ist das AFRAC[22] der Auffassung, dass unter dem IKS Prozesse zu verstehen sind, die von der Geschäftsleitung entworfen, überwacht und kontrolliert werden. Im Mittelpunkt steht dabei rationales Handeln zur Wahrung des Betriebsvermögens vor Verlusten infolge von Schäden oder Misswirtschaft, eine redliche Berichterstattung sowie die Einhaltung von gesetzlichen Vorschriften.
Ein RMS ist ein Bündel von Prozessen, welches zur Identifikation, Analyse und Bewertung von Risiken[23] dient und entsprechende Gegensteuerungsmaßnahmen zur Wahrung der Unternehmensziele enthält. Das IKS wird vom AFRAC als integraler Bestandteil des unternehmensweiten RMS in Anlehnung an das COSO-Rahmenwerk[24] gesehen. Nachdem Risiken identifiziert und analysiert wurden, können darauf aufbauend interne Kontrollen im Unternehmen errichtet werden, um „… ein den Anforderungen eines Unternehmens angemessenen internen Kontrollsystems..“ zu entsprechen.[25]
Als Folge der Unternehmensskandale hat der Begriff Compliance[26] sowohl national als auch international immer mehr an Bedeutung gewonnen und gilt als „… bedeutendes Element einer ordnungsgemäßen Unternehmensführung ..“[27] Der Begriff kann mit dem deutschen Begriff „Regelüberwachung“[28] übersetzt werden.
Eine gesetzliche Grundlage für Compliance besteht jedoch nicht.[29] Aus den Bestimmungen des AktG und GmbHG kann aber eine gewisse Verpflichtung abgeleitet werden.[30] In Österreich schreibt der ÖCGK[31] für börsennotierte Unternehmen mit der ECV 2007 verpflichtende Compliance-Maßnahmen im Umgang mit Insider-Informationen vor. Mit Regel 15 hat der Vorstand Vorkehrungen für die „… Einhaltung der für das Unternehmen relevanten Gesetze“[32] zu treffen.
In der Literatur werden unter dem Begriff ähnliche Auffassungen vertreten. Schoberth[33] definiert Compliance ieS als das Handeln unter Einhaltung von Vorschriften und iwS als das unternehmerische Handeln unter Einhaltung von gesetzlichen Bestimmungen und Richtlinien sowie freiwilligen Verpflichtungen[34].
KPMG[35] oder auch Ernst & Young[36] weisen dem Begriff eine ähnliche Bedeutung zu, so wie Schoberth sie in der engeren Auffassung vertritt. KPMG sieht darin zusätzlich eine grenzüberschreitende Maßnahme, die sowohl alle Bereiche und Prozesse eines Unternehmens als auch die unterschiedlichen Rechtsformen- und -ordnungen im Konzern durchkämmt und über alle Positionen hinweg Einfluss nimmt. Dieser breit gefasste Gedanke findet sich im COSO-Rahmenwerk[37] wieder, bei dem Compliance als Teil eines funktionierenden RM und IKS für die Niederlassungen, Geschäftseinheiten, Geschäftsbereiche eines Unternehmens sowie Gesamtorganisation gesehen wird. Nach Essl[38] dient sie nicht nur als Risikovorbeugung gegen Ersatzansprüche von Dritten, sondern auch als Mittel zur Krisenbewältigung im Falle eines Schadens.
[...]
[1] Vgl. Bussmann und Salvenmoser S. (2011), S. 1.
[2] Vgl. Weiss et al. (2010), S. 7f.
[3] Vgl. Nestler et al. (2007), S. 10.
[4] Vgl. Weiss et al. (2010), S. 7f.
[5] Vgl. Nestler et al. (2007), S. 40.
[6] BGBl. I Nr. 114/1997.
[7] Siehe Kapitel 2.1.
[8] iSv Non-Compliance, siehe Kapitel 3.4.
[9] Vgl. Steiner (1991), S. 318.
[10] Vgl. Schmalhardt (2010), S. 146f.
[11] Vgl. Lutz J. (2004), S. 124.
[12] Enron war ein US-Energiekonzern, welcher aus der Verschmelzung von zwei Gasunternehmen zum Handel mit Rohstoffen gegründet wurde (Vgl. Hillenbrand T. (2002), o.S.). Worldcom war nach AT&T das zweitgrößte Telefonunternehmen in den USA (Vgl. Oberhuber N. (2008), o.S.).
[13] SOX of 2002 – An Act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes. H.R. 3763, 107th Cong.
[14] Vgl. Steßl (2012), S. 121.
[15] US-amerikanische Wertpapier- und Börsenaufsichtsbehörde.
[16] Vgl. Nayer und Strauss (2011), S. 570; Fahrion und Rust (2009), S. 157.
[17] Parmalat wurde 1961 als kleine Milchfabrik in Collecchio bei Parma gegründet und wuchs zu einem der größten Milch-Konzerne der Welt heran und zerbrach infolge von undurchsichtigen Bilanztransaktionen (Vgl. Frentzen (2003), o.S.).
[18] Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates, Abl. L 157 vom 9.6.2006, S. 87.
[19] BGBl. I Nr. 70/2008.
[20] Vgl. Nayer und Strauss (2011), S. 570.
[21] § 243a Abs 2 sowie § 267 Abs 3b UGB.
[22] Vgl. AFRAC (2009), Rn. 76.
[23] Risiko wird hier iS einer negative Auswirkung eines Ereignisses verstanden, welches das Erreichen der Unternehmensziele beeinträchtigen kann (Vgl. COSO (2006), S. 2.)
[24] Zu Einzelheiten vgl. COSO (2006), S. 2.
[25] Vgl. AFRAC (2009), Rn. 77ff.
[26] Compliance iSv befolgen, einhalten.
[27] Schoberth (2009), S. 301; Quentmeier (2012), S. 13.
[28] Quentmeier (2012), S. 13
[29] Vgl. Engels und Schröder (2009), S. 320; Quentmeier (2012), S. 13; Essl (2011), S. 596; Vetter (2009), S. 34.
[30] Vgl. Essl (2011), S. 596.
[31] Vgl. Österreichischer Arbeitskreis für Corporate Governance (2009), S. 21.
[32] Vgl. Österreichischer Arbeitskreis für Corporate Governance (2009), S. 19.
[33] Vgl. Schoberth (2009), S. 301.
[34] iSv unternehmensinternen Kodizes.
[35] Vgl. KPMG Austria GmbH Wirtschaftsprüfungs- und Steuerberatungsgesellschaft (2011), S. 4.
[36] Vgl. Ernst & Young Wirtschaftsprüfungsgesellschaft m.b.H. (2012), S. 4.
[37] Vgl. COSO (2006), S. 2f.
[38] Vgl. Essl (2011), S. 595.