Untersuchung zum Risikomanagement in IT-Beschaffungsprozessen als Aufgabe der Corporate Governance

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Grundlagen der Corporate Governance
2.1 Begriffsdefinition und Verständnis der Corporate Governance
2.2 Unternehmensinterne Regelungen
2.3 Deutscher Corporate Governance Kodex
2.4 Compliance als Teil der Corporate Governance

3 Grundlagen des Risikomanagements
3.1 Risiko und Risikomanagement
3.2 Ziele und Aufgaben des Risikomanagements
3.3 Ablauf des Risikomanagementprozesses

4 Der IT-Beschaffungsprozess als Untersuchungsgegenstand
4.1 Begriff und Ziele der IT-Beschaffung
4.2 Die IT-Beschaffung als Prozess
4.3 Optimierungsansätze im IT-Beschaffungsprozess

5 Untersuchung zum Risikomanagement in IT-Beschaffungsprozessen
5.1 Risikoidentifikation im IT-Beschaffungsprozess
5.2 Analyse und Bewertung des Korruptionsrisikos im IT-Beschaffungsprozess
5.2.2 Entstehung von Korruption
5.2.3 Negative Folgen der Korruption
5.2.4 Risikoanalyse und -bewertung
5.3 Steuerung des Korruptionsrisikos im IT-Beschaffungsprozess
5.4 Überwachung des Korruptionsrisikos im IT-Beschaffungsprozess
5.5 Korruptionsprävention im IT-Beschaffungsprozess

6 Zusammenfassung und Ausblick

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Ziele und Aufgaben des Risikomanagements

Abbildung 2: Der Risikomanagementprozess

Abbildung 3: Das Korruptionsrisiko im IT-Beschaffungsprozess

Abbildung 4: Risiko-Matrix mit drei Risikokategorien

Abbildung 5: Ist-Analyse eines beispielhaften Beschaffungsprozesses

Abbildung 6: Idealmodell des Beschaffungsprozesses

Abbildung 7: IT-Beschaffungsprozess als Empfehlung

Tabellenverzeichnis

Tabelle 1: Checkliste zum Korruptionsrisiko im IT-Beschaffungsprozess

Abkürzungsverzeichni

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Es ist seit längerem bekannt, dass Corporate Governance in Unternehmen zunehmend an Bedeutung gewonnen hat. Die eigentliche Aufgabe der Corporate Governance liegt in der Überwachungsver- antwortung für alle Funktionen rund um ein Unternehmen, wobei die Praxis ständig auf den Prüf- stand gestellt wird. Dabei muss die Unternehmensführung sowohl gesetzliche als auch unterneh- mensspezifische allgemeine Standards und Verfahrensweisen berücksichtigen. Corporate Gover- nance stellt somit die Basis für den Erfolg eines guten Unternehmens dar. Wenn gesetzliche und unternehmensinterne Richtlinien nicht eingehalten werden, droht Kapitalverlust und schlimmsten- falls sogar der Bankrott eines Unternehmens. Unter eine der tragenden gesetzlichen Richtlinien fällt das Risikomanagement. Im Rahmen des Risikomanagements soll sichergestellt werden, dass mögli- che Risiken im Unternehmen rechtzeitig erkannt und bewältigt werden. Das Risikomanagement erstreckt sich dabei auf das gesamte Unternehmen und damit auch auf die Beschaffung von Infor- mation Technology (IT).

Heute ist jedes Unternehmen von Risiken im Bereich der IT-Beschaffung betroffen. Angesichts vielfältiger ökonomischer, technischer und wirtschaftlicher Einflüsse in der modernen Wirtschaft muss ein Unternehmen stets seine Leistungen bezüglich technologischer Innovationen überprüfen. Bei der IT-Beschaffung entstehen erhebliche finanzielle Aufwendungen, die eine Gefahrenquelle für dolose Handlungen darstellen. Korruptionsbezogene Handlungen, insbesondere Bestechung und Bestechlichkeit, treten zunächst oft nur in geringerem Umfang und an wenigen Stellen auf und blei- ben dabei häufig unerkannt, schädigen aber langfristig ethische und berufliche Wertvorstellungen in der Arbeitswelt. [DIIR11, S. 105] Deshalb werden die Gefahrenpotenziale oft zu spät erkannt, weil die Risiken erst adressiert werden, wenn sie sich bereits zu einem Großen materialisiert haben. Dies bringt negative Konsequenzen in Form von wirtschaftlichen Einbußen oder einer Gefährdung der Reputation mit sich. [GrWa11, S. 764] Dementsprechend liegt dieser Arbeit das Ziel zu Grunde, den IT-Beschaffungsprozess noch kritischer zu durchleuchten und gegebenenfalls dahingehend zu verändern, dass Vorteilsnahme, Amtsmissbrauch oder Korruption im eigenen Unternehmen besei- tigt werden können. Die Prozessanalyse zielt darauf ab, den IT-Beschaffungsprozess systematisch zu strukturieren und permanent zu kontrollieren. [KrSc10, S. 94] Vor diesem Hintergrund wird in dieser Arbeit auch aufgezeigt, wie dem Korruptionsrisiko mit Hilfe entsprechender Risikomanage- mentinstrumente begegnet werden kann.

Zu Beginn dieser Arbeit (Kapitel 2 und 3) wird auf begriffliche und konzeptionelle Grundlagen der Corporate Governance und des Risikomanagements eingegangen. Danach werden unternehmensin- terne Regelungen sowie der Deutsche Corporate Governance Kodex näher betrachtet. Anschließend wird Compliance als ein Aspekt der Corporate Governance erörtert. In Bezug auf das Risikomanagement werden zunächst Ziele und Aufgaben dargelegt. Anschließend wird der Risikomanagementprozess grafisch dargestellt und in seinen einzelnen Schritten beschrieben. Im darauf folgenden Kapitel 4 wird ein Überblick über den Untersuchungsgegenstand des ITBeschaffungsprozesses gegeben. Zunächst werden Ziele und Aufgaben der IT-Beschaffung fokussiert. Anschließend wird die IT-Beschaffung als Prozess beschrieben. Danach wird auf die Optimierungsansätze im IT-Beschaffungsprozess eingegangen.

In Kapitel 5 wird der Frage nachgegangen, wie Risikomanagement in der IT-Beschaffung ange- wendet werden kann. Nach der Identifikation der möglichen Risiken wird das Verfahren des Risi- komanagementprozesses im weiteren Gang dieser Arbeit exemplarisch am Beispiel eines bedeuten- den wirtschaftlichen Risikos, des Korruptionsrisikos, vorgeführt. Zunächst wird ein Überblick über den Begriff und die Erscheinungsformen der Korruption gegeben. Es wird dargestellt, wie dieses Risiko analysiert und bewertet werden kann. Anschließend werden im Rahmen der einer Betrach- tung der Risikosteuerung Maßnahmen zur Beherrschung des Korruptionsrisikos aufgeführt. Zusätz- lich wird eine Empfehlung für einen IT-Beschaffungsprozess erarbeitet und mit Hilfe einer eigenen Darstellung visualisiert. Die Empfehlung soll dazu beitragen, das Korruptionsrisiko besser beherr- schen und überwachen zu können. Schließlich wird noch eine Checkliste erstellt, die dazu beitragen kann, den Risikomanagementprozess in der IT-Beschaffung speziell in Bezug auf das Korruptions- risiko zu unterstützen.

Abschließend wird in Kapitel 6 neben einer Zusammenfassung der wichtigsten Ergebnisse ein kurzer Ausblick gegeben.

2 Grundlagen der Corporate Governance

Bevor auf die Einbeziehung des Risikomanagements in den IT-Beschaffungsprozess als Aufgabe der Corporate Governance unmittelbar eingegangen wird, sollen zunächst alle für das Verständnis der Arbeit erforderlichen Grundlagen vermittelt und die im weiteren Verlauf der Arbeit verwendeten Begrifflichkeiten geklärt werden. In den folgenden Abschnitten werden zunächst die wesentlichen Grundlagen der Corporate Governance vorgestellt.

2.1 Begriffsdefinition und Verständnis der Corporate Governance

Für den aus dem englischen Sprachgebrauch stammenden Begriff gibt es bislang keine offizielle deutsche Übertragung. Die Übersetzung gestaltet sich nicht zuletzt deshalb so schwierig, weil unter diesem Begriff eine Vielzahl von Themenstellungen diskutiert wird. [Zöll12, S. 8] Ein Rückblick auf die Geschichte und Entstehung des Begriffs soll an dieser Stelle ein wenig Licht ins Dunkel bringen. Einerseits beinhaltet der Terminus Corporate Governance etymologisch das lateinische Wort corpus für Körper bzw. corporatio für Körperschaft, andererseits das aus dem Griechischen stammende Wort kybernetes, was für Steuermann steht, und im Englischen mit governor übersetzt wird. Daraus ist der englische Begriff Governance entstanden, der das Steue- rungssystem einer politischen, gesellschaftlichen oder wirtschaftlichen Einheit bezeichnet. Corpora- te Governance bedeutet frei übersetzt also etwa Körperschaftliche Steuerung oder Leitung einer Körperschaft bzw. Gesellschaft oder, anders ausgedrückt, Unternehmensführung und -kontrolle. [Müll08, S. 1] Deshalb wird Corporate Governance in der wissenschaftlichen Literatur meist mit den Begriffen Unternehmensführung, Unternehmensleitung oder Unternehmenskontrolle übersetzt bzw. gleichgesetzt. [Zöll12, S. 8] Andere Literaturdarstellungen verweisen in diesem Zusammenhang auf den Begriff der Unternehmensverfassung, was allerdings lediglich eine Facette der Corporate Governance darstellt. [Mett10, S. 7]

Im Hinblick auf die Herausbildung einer spezifisch deutschen Corporate Governance wird in der hiesigen Praxis und Lehre unter Corporate Governance der rechtliche und faktische Ordnungsrah- mens für die Leitung und Überwachung eines Unternehmens verstanden. [Keßl12, S. 9] Eine weite- re Definition versteht unter Corporate Governance auch eine verantwortungsbewusste und auf die langfristige Wertgenerierung fokussierte Überwachung und Führung von Unternehmen. [Eibe11, S. 7] Somit beinhaltet Corporate Governance Mechanismen zur Regelung von Kompetenzen, zur Schaffung von Anreizen, zur Installierung von Überwachungsprozessen und zur Koordinierung von Außenbeziehungen des Unternehmens, [Paet12, S. 12] aber auch alle selbst gesetzten oder extern vorgegebenen (ethischen) Werte, Grundsätze, Verfahren und Maßnahmen für eine gute und verant- wortungsvolle Unternehmensführung. [BeTi13, S. 613] Corporate Governance kann außerdem als ein Prozess der Steuerung einer Organisation gesehen werden, der mittels transparenter Regeln und Kontrollmechanismen einen Interessenausgleich zwischen den Anspruchsgruppen und dem Fortbe- stand des Unternehmens sicherstellt. Festzuhalten ist, dass Corporate Governance als ein im Unter- nehmen verankerter Prozess mit zahlreichen einzelnen Maßnahmen zu verstehen ist. [Falk12, S. 32] Da es für den Anglizismus Corporate Governance in der deutschen Sprache an einer geeigneten Übersetzung mangelt, aber auch auf internationaler Ebene keine allgemeingültige Definition exis- tiert, [Zöll12, S. 8] wird im Folgenden der englische Begriff benutzt, da er sich fachsprachlich im wissenschaftlichen Diskurs etabliert hat.

Um eine verantwortliche, qualifizierte, transparente und auf den langfristigen Erfolg ausgerichtete Unternehmensführung zu gewährleisten, sollte Corporate Governance folgende Elemente umfassen:

Erfolgsbasierte Unternehmensführung

Kooperation von Unternehmensleitung und Unternehmensüberwachung Transparent kommunizierter Umgang mit den Risiken Blick des Managements auf nachhaltige Wertschöpfung Dies meint eine Unternehmensführung, die nicht nur den rechtlichen Ansprüchen genügt, sondern auch für die Leitung und Überwachung des Unternehmens hohe Maßstäbe anlegt. Dabei bleibt das Ziel, die Wettbewerbsfähigkeit des Unternehmens zu erhalten und den Wert des Unternehmens stetig zu steigern. [FrGl07, S. 41]

Richtet sich das Unternehmen nach den Corporate Governance-Grundsätzen (CGG) der deutschen Wirtschaft, dann bedeutet das, dass das Unternehmen transparent, verantwortlich und seinen Wert steigernd zu führen und zu kontrollieren. Dabei sind sowohl der Aufsichtsrat und der Vorstand wie auch alle Führungskräfte und Mitarbeiter des Unternehmens verpflichtet, dieser Zielsetzung zu fol- gen. Die CGG sind somit für alle Mitarbeiter von Bedeutung. Sie definieren die grundsätzlichen Verhaltensweisen der Mitarbeiter bezüglich ihrer Arbeit. Das Unternehmen verpflichtet sich darin allen Interessensgruppen gegenüber zu einem ethisch hochstehenden Verhalten. Das Vertrauen der Anleger und der Öffentlichkeit in die Seriosität der Leitung des Unternehmens soll gesteigert wer- den. In den CGG werden die rechtlichen Vorgaben berücksichtigt, ergänzt durch marktübliche Wohlverhaltensregeln. Diese Verhaltensleitlinien sind jedoch keinesfalls festgeschrieben, sondern einem fortlaufenden Prozess der Anpassung an neue Gesetze sowie internationale Standards unter- worfen. [Büsc13, S. 11]

2.2 Unternehmensinterne Regelungen

Da die CGG nur allgemein formulierte Verhaltensgrundsätze darstellen können, sollten die Erwar- tungen an die eigenen Mitarbeiter unmissverständlich kommuniziert werden. Von den Mitarbeitern im Einkauf wird erwartet, dass sie nach ethischen Prinzipien handeln, denn jede stabile Lieferan- tenbeziehung basiert auf Vertrauen. Es bildet das Fundament und fördert die Attraktivität. Das ei- gene Unternehmen wird attraktiv für die Kunden durch ethisch hochstehende und jederzeit legale Arbeit. Somit werden von einem Einkäufer bzw. einer Einkäuferin folgende Verhaltensweisen er- wartet:

ehrlich zu handeln, Fehler des Lieferanten nicht auszunutzen, Probleme in Ruhe zu klären, dem Lieferanten die Spielregeln des eigenen Unternehmens klar zu machen, dem Lieferanten die Erwartungen an Preis und Leistung zu verdeutlichen, sodass dieser Gelegenheit zur Anpassung erhält, den Preis eines Lieferanten seinen Wettbewerbern gegenüber vertraulich zu behandeln, es sei denn, der Lieferant ist damit einverstanden

Als Bestandteil sinnvoller Einkaufsvorschriften kann die folgende Aufzählung angesehen werden, die für alle Mitarbeiter eines Unternehmens gelten sollte, unabhängig davon, ob sie in der Beschaffung tätig sind oder nicht:

Es ist nicht erlaubt, Geschenke anzunehmen, die als Voraussetzung für das Zustandekommen von Geschäften anzusehen sind, ebenso wenig wie Geschenke von Lieferanten (man sollte ihnen erklären, dass die Firmengrundsätze dies nicht zulassen). Ausgenommen sind so genannte Streuartikel mit einem geringen Warenwert, zumeist unter zehn Euro. Einladungen zu Sport-, Theater- und ähnlichen Veranstaltungen sollen nicht angenommen werden. Ein Lieferant als Besucher des eigenen Unternehmens kann zum Essen eingeladen werden. Gleiches gilt, wenn der Einkäufer beim Lieferanten zu Besuch ist und zum Essen eingeladen wird. Diese Essen sollten dem Anlass angemessen sein.

Für Reise- oder Übernachtungskosten von Einkäufern oder anderen Mitarbeitern des eigenen Unternehmens sollte ein Lieferant nicht aufkommen.

Alle Situationen sind zu vermeiden, die auf einen Interessenkonflikt hinauslaufen können. Jeder, der Einkaufsentscheidungen mit Lieferanten trifft, die Freunde, Verwandte oder Mitarbeiter von Firmen mit Geschäftsbeteiligungen sind, sollte dies mit der Geschäftsleitung abklären. [Büsc13, S. 11f.]

2.3 Deutscher Corporate Governance Kodex

Der Deutsche Corporate Governance Kodex (DCGK) wurde 2001 von der gleichnamigen Regie- rungskommission unter der Leitung von Dr. Gerhard Cromme entworfen. Er wurde am 26. Februar 2002 verabschiedet und sechs Monate später im elektronischen Bundesanzeiger durch das Bundes- ministerium für Justiz veröffentlicht. [WeEu12, S. 50] Im DCGK werden wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher Unternehmensführung dargestellt. Der DCGK beinhaltet sowohl national als auch international anerkannte Standards einer guten und ver- antwortungsvollen Unternehmensführung. Sein Ziel ist ein transparentes und nachvollziehbares Corporate Governance System zu etablieren. [Pelt04, S. 1] Seit der Gründung wird der Inhalt des DCGK jährlich überprüft und aktualisiert im Hinblick darauf, ob und inwieweit aktuelle Entwick- lungen, Anpassungen und Aktualisierungen erforderlich sind, um seine Funktion zur Verbesserung des deutschen Systems der Unternehmensverfassung zu gewährleisten. [Stig10, S. 109] Die letzte Aktualisierung des DCGK erfolgte am 13. Mai 2013. [Regi13, S. 1] Im Großen und Ganzen bein- haltet der DCGK sogenannte Muss-Bestimmungen (auf Grundlage geltender Gesetze) sowie Soll- Bestimmungen bzw. Empfehlungen und Anregungen, wobei Abweichungen hiervon von den Un- ternehmen benannt werden müssen. [Glei11, S.37f.]

Der DCGK besteht aus sieben Abschnitten. Nach der Präambel finden sich sechs weitere Kapitel: „Aktionäre und Hauptversammlung“, „Zusammenwirken von Vorstand und Aufsichtsrat“, „Vor- stand“, „Aufsichtsrat“, „Transparenz“ sowie „Rechnungslegung und Abschlussprüfung“. [Regi13, S. 3ff.] In der Präambel der aktuellen Fassung heißt es, dass der Kodex das deutsche Corporate Governance System transparent und nachvollziehbar machen soll. Dabei besteht seine Aufgabe da- rin, das Vertrauen der internationalen und nationalen Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Leitung und Überwachung deutscher börsennotierter Gesellschaften zu för- dern. Im ersten Kapitel geht es um Regelungen bezüglich der Rechte der Aktionäre, des Ablaufs der Hauptversammlung, der Einladung zur Hauptversammlung und der Bestellung der Stimmrechtsver- treter. Das zweite Kapitel befasst sich mit der Zusammenarbeit und der gegenseitigen Information und Abstimmung der Gremien „Vorstand“ und „Aufsichtsrat“. Hier werden deren Verhaltensregeln bei Übernahmeangeboten, deren Sorgfaltspflichten sowie Regelungen im Falle von Kreditgewäh- rung an deren Mitglieder beschrieben. Das dritte Kapitel beschäftigt sich sowohl mit den Aufgaben und Zuständigkeiten des Vorstands, seiner Zusammensetzung und Vergütung als auch mit Vorga- ben zur Vermeidung von Interessenskonflikten. Das vierte Kapitel regelt die Aufgaben und Zustän- digkeiten des Aufsichtsrates, die Aufgaben und Befugnisse des Aufsichtsratsvorsitzenden, die Bil- dung von Ausschüssen und die Zusammensetzung des Aufsichtsrates und seine Vergütung. Weitere Regelungen betreffen die Verhinderung bzw. Offenlegung von Interessenskonflikten und eine Ver- pflichtung des Aufsichtsrates zur regelmäßigen Prüfung der Effizienz seiner Tätigkeit. Im fünften Kapitel werden Veröffentlichungs- und Informationspflichten geregelt. Im sechsten und letzten Ka- pitel werden Regelungen zur Rechnungslegung und Abschlussprüfung dargestellt. [Hirt13, S. 38f.] Der DCGK geht abschließend davon aus, dass die Empfehlungen zur Corporate Governance die Effizienz eines Unternehmens nur dann nachhaltig steigern, wenn sie den Vorgaben der Unterneh- mensleitung entsprechen. [Werd00, S. 12] Ziel des DCGK ist somit, das deutsche Corporate- Governance-System transparent zu machen durch Regeln, welche die Rechte und Pflichten der Ak- tionäre, des Aufsichtsrats und des Vorstands für das Risikomanagement angemessen zu sorgen. Das macht deutlich, dass das Risikomanagement einen wesentlichen Bestandteil der Unternehmensfüh- rung darstellt. [Gaba11, S. 18]

2.4 Compliance als Teil der Corporate Governance

Eine grundsätzliche Verantwortung der Unternehmensführung betrifft die Orientierung an den Vor- gaben der Gesetze und deren Einhaltung. [BrSt09, S. 16] Somit steht der Begriff Compliance in einer engen Verbindung zu dem Corporate Governance. Aber erst bei der Aufnahme der Compli- ance in den DCGK an verschiedenen Stellen lässt sich diese Verbindung der Compliance mit der Corporate Governance feststellen. [Falk12, S. 33f.] Der DCGK definiert Compliance an folgenden Stellen:

„ Der Vorstand informiert den Aufsichtsrat regelm äß ig, zeitnah und umfassendüber alle für das Unternehmen relevanten Fragen der Strategie, der Planung, der Geschäftsentwicklung, der Ri- sikolage, des Risikomanagements und der Compliance. “ (Ziffer 3.4, Absatz 2) „ Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensin- ternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). “ (Ziffer 4.1.3)

„ Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen. “ (Ziffer 4.1.4)

Der Aufsichtsrat soll einen Prüfungsausschuss (Audit Committee) einrichten, der sich insbe- sondere mit derÜberwachung des Rechnungslegungsprozesses, der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems, der Ab- schlussprüfung, hier insbesondere der Unabhängigkeit des Abschlussprüfers, der vom Ab- schlussprüfer zusätzlich erbrachten Leistungen, der Erteilung des Prüfungsauftrags an den Ab- schlussprüfer, der Bestimmung von Prüfungsschwerpunkten und der Honorarvereinbarung so- wie - falls kein anderer Ausschuss damit betraut ist - der Compliance, befasst. (Ziffer 5.3.2) [Regi13, S. 4ff.]

Somit wird Compliance durch die Aufnahme in den DCGK nicht nur als Element verantwortungsvoller Unternehmensorganisation anerkannt, sondern auch einer organisatorischen Verantwortlichkeit zugeordnet. [BrSt09, S. 17]

Der Begriff Compliance stammt von dem englischen Verb to comply with. Der Ausdruck wird in der deutschen Sprache als „etwas einhalten“, „etwas entsprechen“, „etwas nachkommen“ oder „sich vorschriftsmäßig verhalten“ übersetzt. [Behr13, S. 34] Allgemein bedeutet Compliance die Einhal- tung von Gesetzen, Richtlinien oder auch freiwilligen Verpflichtungen in Unternehmen. [FrSt06, S. 10] Die Compliance-Maßnahmen sind für die Gestaltung effektiver und sicherer Geschäftsprozesse sowie für die Reduzierung von Risiken in Unternehmen maßgebend. Hierdurch ergeben sich für jedes Unternehmen Möglichkeiten über die Einhaltung von Vorgaben eindeutige, verlässliche und nachprüfbare Aussagen zu treffen, die transparent und messbar sind. [BrSt09, S. 17] Somit ist Compliance ein Bestandteil des in Ziffer 4.1.4 des DCGK genannten Risikomanagements und führt zu dessen Umsetzung. Dementsprechend wird der Vorstand einer Aktiengesellschaft nach § 91 Abs.

2 Aktiengesetz verpflichtet, zur Begegnung von existenzgefährdenden Risiken Compliance einzurichten. Die Risikoanalyse der Unternehmensleitung richtet sich besonders auf die Unternehmenssituation aus. Dabei hat das Unternehmen mannigfache Rechtsregeln zu beachten, die von seiner Rechtsform, seiner Organisation, seiner Größe, seiner Komplexität und seinem spezifischen Wirtschaftszweig bestimmt werden. [WeOh13, S. 4ff.]

Bei vielen Fällen von Korruption und bei Verstößen gegen das Wettbewerbsrecht oder das Kartell- recht geht es um Compliance, also darum, ob alle verpflichtenden und freiwilligen Bestimmungen eingehalten wurden. Gemäß ihrer Verantwortung trifft die Unternehmensführung Vorkehrungen, die das Unternehmen absichern und die Mitarbeiter kontrollieren sollen. Zumeist sind diese Maß- nahmen zur Sicherung von großer Komplexität vorgesehen, sodass es sinnvoll ist (und oft gesetz- lich gefordert wird), innerhalb der Unternehmensführung Verantwortungen klar zu trennen. Dazu werden in Unternehmen im Hinblick auf Compliance verschiedene Abteilungen mit unterschiedli- chen Aufgaben betraut:

Der Vorstand verabschiedet Compliance- und Corporate Governance-Richtlinien, sorgt für die Einhaltung dieser Richtlinien und achtet darauf, dass das Unternehmen ein compliance- konformes Geschäftsgebaren praktiziert in stetiger Kommunikation mit anderen Unterneh- mensinstanzen.

Der Aufsichtsrat hat die Aufgabe, die Arbeit des Vorstands auch in Fragen der Compliance zu überwachen und diesen gegebenenfalls zu beraten. Er ist weiterhin verantwortlich für die Einrichtung eines Prüfungsausschusses. Bei Entscheidungen, die für das Unternehmen von grundsätzlicher Bedeutung sind, hat der Vorstand den Aufsichtsrat zu beteiligen. Der Chief Compliance Officer (CCO), der die Compliance-Abteilung leitet, hat die Aufgabe sicherzustellen, dass die internen und externen Compliance-Richtlinien im Unternehmen eingehalten werden bei einer unabhängigen Kommunikation darüber mit der Unternehmensleitung. Die Abteilung ist meist verantwortlich für übergeordnete Steuerungsprozesse sowie die Definition von Richtlinien. [BrSt09, S. 17f.]

Die Einrichtung eines Risikomanagementsystems stellt folglich einen notwendigen Bestandteil ei- ner guten Unternehmensführung und damit einen wesentlichen Baustein der Corporate Governance dar, zu deren Umsetzung ein organisationales Compliance-Verständnis erforderlich ist. Aufbauend auf diesen einführenden Erläuterungen wird nun vertiefend auf das Risikomanagement eingegan- gen.

3 Grundlagen des Risikomanagement

Seitdem das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) am 1. Mai 1998 in Kraft getreten ist, wird die Notwendigkeit eines Risikomanagements zunehmend akzeptiert. Das Gesetz spricht diesbezüglich von einem „Überwachungssystem“, welches „den Fortbestand der Gesellschaft gefährdende Entwicklungen“ frühzeitig aufdecken soll. Ein solches Überwachungssys- tem ist eigentlich eine Aufgabe der Leitung des Vorstands. [Meie10, S. 25] In diesem Kapitel wird zunächst auf die Begriffe Risiko und Risikomanagement eingegangen. Danach werden Ziele und Aufgaben des Risikomanagements erörtert und es wird ein Risikomanagementprozess in Form ei- nes Regelkreises grafisch dargestellt.

3.1 Risiko und Risikomanagement

Eine Definition von Risikomanagement erfordert zunächst eine Klärung des Begriffs Risiko. Hierzu findet sich in der Literatur jedoch keine allgemeingültige Definition. Wie diese bezogen auf das Thema Risikomanagement letztendlich ausfällt, hängt von der Betrachtung und den Rahmenbedin- gungen des Risikomanagements ab. [AhMa08, S. 8] Dabei ist der kleinste gemeinsame Nenner in Bezug auf den Begriff „Risiko“, dass durch ein Ereignis mit einer bestimmten Wahrscheinlichkeit Verluste eintreten können. [Seib06, S. 7f.] Die Anzahl der Risikodefinitionen ist sehr umfangreich. Definitionen von Risiko konzentrieren sich primär auf die Abweichung von einem erwarteten Zielzustand. [Prok08, S. 7] Diese Abweichung kann positiv oder negativ sein, d.h. es können unerwartete, als positiv bewertete Ereignisse (Chancen) oder unerwünschte Ereignisse (Verluste) eintreten oder erwünschte Ereignisse nicht eintreten (verpasste Chancen). [Seib06, S. 8]

Der Risikobegriff lässt sich zum einen aus der Perspektive der Wirtschaft und zum anderen aus der Perspektive der Informationstechnologie betrachten. In der Wirtschaft wird sich fast ausschließlich auf monetäre und geschäftliche Aspekte bezogen. Dort versteht man unter Risiko die bei unterneh- merischen Entscheidungen mögliche Abweichung des tatsächlichen Ertrages vom erwarteten. [AhMa08, S. 8f.]

Im Bereich der Informationstechnologie gibt es ebenfalls eine Vielzahl von Definitionen. Beispiel- haft sei an dieser Stelle der von Goebels und Schnorrenberg definierte Risikobegriff aufgegriffen:

„Ein Risiko ist ein Ereignis, von dem nicht sicher bekannt ist, ob es eintreten und/oder in welcher genauen Höhe es einen Schaden verursachen wird. Es lässt sich aber eine Wahrscheinlichkeit für den Eintritt dieses Ereignisses (Risikowahrschein- lichkeit) und/oder für die Höhe des Schadens (Schadenswahrscheinlichkeit) ange- ben.“ [GoSc97, S. 6]

Alle Definitionen weisen zwei gemeinsame Charakteristika auf: Die Unsicherheit und der Verlust, bzw. der Schaden. Folgende Beispiele sollen dies belegen: [Wall04, S. 6] Risiko drückt aus, dass jemand oder etwas einer Gefahr oder bestimmten Gefahren ausge- setzt ist.

Risiko ist die Wahrscheinlichkeit für das Eintreten eines unerwünschten Ereignisses samt seiner negativen Konsequenzen.

Risiko ist die Möglichkeit durch ein wahrscheinlich eintretendes Ereignis Verluste, Beschädigungen, Nachteile oder Zerstörungen zu erleiden.

Ein Risiko ist also ein mögliches Ereignis, von dem nicht sicher ist, ob es eintreten wird oder nicht. Genau hier liegt die Bedeutsamkeit des Risikomanagements.

Das Risikomanagement bietet die Möglichkeit, dem Eintritt eines Schadens durch Aktion, statt Re- aktion, präventiv entgegenzuwirken. [AhMa08, S. 10] Genauer ist darunter eine systematische Vor- gehensweise zu verstehen, potenzielle Risiken zu identifizieren, zu analysieren und, wenn möglich, zu quantifizieren oder zu qualifizieren (in der Praxis oft der einfachere Weg) mit dem Ziel, entspre- chende Maßnahmen zur Risikobehandlung, Auflösung und Kontrolle zu generieren. [Wall04, S. 9] Erfolgreiches Risikomanagement ist im Kern unternehmerischen Handelns verankert und eng mit den planenden und entscheidenden Tätigkeiten verbunden. [Paet12, S. 41ff.] Dabei ist es sinnvoll, möglichst früh mit der Risikoerkennung zu beginnen. Unter Risikoerkennung wird die Erstellung einer Risikoliste und die Bereitstellung darauf abgestimmter Risikobehandlungsmaßnahmen ver- standen. [Wall04, S. 9] In diesem Zusammenhang sei auf § 91 Abs. 2 AktG hingewiesen, mit dem der Gesetzgeber auf eine Legaldefinition verzichtet. Er fordert allerdings ein Überwachungssystem, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt werden. [BeKu12, S. 105] Das Institut der Wirtschaftsprüfer in Deutschland (IDW) konkretisiert den Begriff des Überwachungssystems in seinem Prüfungsstandard PS 340 Nr. 2 (4) als „Gesamtheit aller orga- nisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit Risiken unternehmerischer Betätigung“. [WoRu09, S. 250]

Einigkeit besteht zwischen den Autoren über folgende Merkmale des Risikomanagements: [BuBu02, S. 10], [Wolf04, S. 212], [Died10, S. 15], [Vani12, S. 19ff.]

Risikomanagement ist Teil der Unternehmensführung und damit Managementaufgabe. Es umfasst die Planung, die Realisierung eines geplanten Risikos, eine Entscheidung, bestimm- te Risiken einzugehen (oder auch nicht) sowie die Zielkontrolle. Nicht zuletzt muss das Management den Mitarbeitern ein entsprechendes Verhalten abverlangen. Risikomanagement ist ein unternehmensweiter Prozess, um frühzeitig Risiken im Unter- nehmen identifizieren, bewerten, steuern, überwachen und über sie Bericht erstatten zu können.

Zum Risikomanagement gehören alle organisatorischen Regelungen und Maßnahmen, um den Risikomanagementprozess umzusetzen.

Zur Umsetzung werden spezielle Instrumente und Methoden benötigt, um die Risiken identifizieren, bewerten, steuern und überwachen zu können.

Außerdem wird zwischen operativem und strategischem Risikomanagement unterschieden, wobei sich Ersteres aus den Komponenten Identifizieren (und Klassifizieren), Beurteilen (Analysieren und Bewerten), Steuern (Maßnahmen festlegen und durchführen) und Überwachen von Risiken zusam- mensetzt. Letzteres beinhaltet Grundsätze zur Behandlung von Risiken, die Risikokultur sowie die Methodik. [Seib06, S. 11] Im Risikomanagement sind somit alle organisatorischen Maßnahmen zusammengefasst, um den Risikomanagementprozess systematisch und unternehmensweit umzu- setzen. Es unterstützt mit geeigneten Mitteln die Unternehmensziele langfristige Existenzsicherung, Erweiterung der Handlungsspielräume und Senkung der Risikokosten. Das Erreichen dieser Ziele ist Aufgabe der Unternehmensführung. [Vani12, S. 19f.]

3.2 Ziele und Aufgaben des Risikomanagement

Risikomanagementziele stellen die Grundlage und die Ursache für den Aufbau von Risikomanage- mentsystemen dar. Hierbei dürfen Risikomanagementziele nicht isoliert vom allgemeinen Zielsys- tem eines Unternehmens betrachtet werden. Die unternehmerischen Ziele können sich grundsätzlich harmonisch, neutral oder konkurrierend zueinander verhalten. So stehen oft gerade zwei wesentli- che Aspekte in einem Zielkonflikt: zum einen die Gewinnerzielung durch Ausnutzung von Chancen und zum anderen die Sicherung durch Risikosteuerung. Die Lösung eines solchen Zielkonflikts erfordert dann einen Zielkompromiss. Da aber andere Ziele nur durch eine dauerhafte Sicherung des Unternehmens gewährleistet werden können, ist Risikomanagement als Instrument zur Führungsun- terstützung anzusehen. Die Ziele des Risikomanagements bestehen wie oben erläutert darin, zu- künftige risikobehaftete Entwicklungen frühestmöglich zu identifizieren, zu beurteilen, zu steuern und fortlaufend zu überwachen, um die kontinuierliche Anpassung des Unternehmens an sich ver- ändernde Umweltbedingungen und somit die unternehmerische Existenz sicherzustellen. Risikoma- nagement umfasst schließlich systematisch alle Unternehmensziele und richtet sich gegen diesbe- züglicher existenzbedrohende Abweichungen. [Died10, S. 12] Die wichtigsten Risikomanagement- ziele sind:

- Langfristige und nachhaltige Existenzsicherung des Unternehmens.

Dies bedeutet, dass grundsätzlich nur tragbare Risiken eingegangen werden dürfen.

Bei langfristiger und nachhaltiger Existenzsicherung wird im Übrigen auch vom Meta-Ziel des Risikomanagements gesprochen. [RoHa13, S. 96]

- Eröffnung von Handlungsspielräumen zur langfristigen Unternehmenssicherung.

Dies geschieht durch die Analyse möglicher Zukunftsentwicklungen und ihrer Auswirkungen auf die Unternehmensziele.

- Sicherung der geplanten Unternehmensziele.

Dabei sollen Risiken nicht vollständig vermieden, sondern bewusst, entsprechend ihres Chan- cenpotenzials und der Risikotragfähigkeit des Unternehmens, eingegangen werden. [Vani12, S. 19f.]

- Senkung der Risiko- und Kapitalkosten.

Denn risikoreiche Unternehmen müssen bei der Mittelbeschaffung am Kapitalmarkt eine höhere Risikoprämie und damit höhere Kapitalkosten aufbringen und dies gilt es zu vermeiden.

[RoHa13, S. 96]

In engem Zusammenhang mit den Risikomanagementzielen stehen die Risikomanagementaufga- ben, worunter eine Sollleistung zu verstehen ist, die der Erfüllung der Risikomanagementziele dient. Sollleistungen dieser Art konzentrieren sich zumeist auf Maßnahmen zur Existenzsicherung des Unternehmens. Die dem Risikomanagement zugeordneten Aufgabenbereiche sind hinsichtlich der Existenzsicherung des Unternehmens durchaus elementar. [Died10, S. 13] Die wesentlichen Risikomanagementaufgaben zur Erreichung der oben genannten Ziele sind: [Vani12, S. 20]

Eine unternehmensweite Risikokultur wird geschaffen zur Stärkung des Risikobewusstseins der Mitarbeiter und ihrer Motivation zu einem risikoadäquaten Verhalten. Eine Risikostrategie in Form einer konkret formulierten Leitlinie für alle Tätigkeiten im Unternehmen wird umgesetzt.

Ein operativer Risikomanagementprozess wird eingerichtet, um mit Risiken systematisch und kontinuierlich umgehen zu können. Dazu gehört es, die Risiken zu identifizieren, zu bewerten, zu steuern und zu überwachen.

Eine Risikomanagement-Organisation mit klar definierten Zuständigkeiten wird aufge- baut.

Maßnahmen zur Steuerung und Bewältigung von Risiken werden durchgeführt unter Berücksichtigung der aktuellen Risikolage und der Risikotragfähigkeit.

Das gesamte System des Risikomanagements wird dokumentiert und weiterentwickelt.

Die folgende Abbildung 1 illustriert den Gesamtzusammenhang der Ziele und Aufgaben des Risikomanagements.

[...]