Überwachungssysteme, in: bdp aktuell 56 | Oktober 2009

Geschärfter Blick

Überwachungssysteme können Haftungsrisiken von Unternehmensleitungen wegen unzureichendem Risikomanagement verringern

Katzenaugen

Bereits mit der Einführung des Gesetzes zu mehr Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 wurde der Vorstand einer Aktiengesellschaft dazu verpflichtet, geeignete Maßnahmen zu treffen, demnach ein Überwachungssystem einzurichten, damit gefährdende Entwicklungen, die den Fortbestand der Gesellschaft bedrohen, früh erkannt werden. Mittlerweile ist es herrschende Meinung in Literatur und auch Rechtsprechung, dass diese Verpflichtung auch Geschäftsführer und mittelbar sogar Aufsichtsorgane trifft. Man spricht in diesem Zusammenhang von einer sogenannten Ausstrahlungswirkung auch für die GmbH und Personengesellschaften.

Begründet wird diese Ausstrahlungswirkung mit der allgemeinen Sorgfaltspflicht des ordentlichen Geschäftsleiters gemäß § 93 Abs. 1 Satz 1 Aktiengesetz bzw. § 43 Abs. 1 GmbHG. So konnte bspw. 2007 der Entlastungsbeschluss für einen Vorstand, der keine entsprechende Dokumentation eines Risikomanagementsystems vornahm, zu Recht angefochten werden, weil er gegen die erforderlichen Sorgfaltspflichten verstoßen hatte. Eine Entlastung seiner Tätigkeit wurde zu Recht nicht erteilt, weil in der fehlenden Dokumentation des Risikomanagementsystems ein schwerwiegender Verstoß gesehen wird, vgl. LG München, Az 5 HK 0 15964/06. Das Gericht betonte einmal mehr die Verantwortung des Vorstands für das Risikomanagementsystem. Dieses gilt umso mehr in der wirtschaftlichen Krise eines Unternehmens, in der die Überwachungspflichten und die Intensität der Berichtspflicht steigen.

Andreas Schacht

Andreas Schacht
ist Wirtschaftsprüfer und Steuerberater bei bdp Hamburg.

Weitere gesetzliche Verschärfungen sind der Sarbanes-Oxley Act (SOA) für US-börsennotierte Unternehmen, das Bilanzrechts-Reform-Gesetz, die 8. EU-Richtlinie sowie das in diesem Jahr verabschiedete Bilanzrechtsmodernisierungsgesetz (BilMoG) und die Aktualisierung des Deutscher Corporate-Governance-Kodexes in der Fassung vom 18. Juli/5. August 2009. Gegenwärtig konzentriert sich die Fachwelt darüber hinaus auf den zukünftigen weltweit anerkannten Standard ISO 31000, der Risikomanagement als Führungsaufgabe sieht und die Grundsätze sowie die allgemeinen Anforderungen an den Risikomanagementprozess regelt. Ergänzende Pflichten für Organmitglieder sind im Zuge der Finanzkrise zu erwarten.

Während der Begriff „Überwachungssystem“ als Überbegriff für die Begriffe Internes Kontrollsystem, Risikomanagementsystem und Compliance verwendet wird, ist zwischen diesen Begriffen jedoch zu unterscheiden. Das Interne Kontrollsystem (IKS) besteht aus organisatorischen Maßnahmen und Kontrollen im Unternehmen. Diese sind systematisch gestaltet und dienen der Einhaltung von Richtlinien und zur Vermeidung von Vermögensschäden, die durch eigenes Personal oder Dritte verursacht werden können.

Ralf Kurtkowiak

Ralf Kurtkowiak
ist Wirtschaftsprüfer und Steuerberater, Geschäftsführer der bdp Revision und Treuhand GmbH und seit 2007 Partner bei bdp Hamburg.

Das Risikomanagementsystem basiert auf planmäßigem Vorgehen zur Identifikation, Analyse und Bewertung von Risiken und Risikofaktoren. Es ist Aufgabe der Unternehmensleitung dieses Risikomanagementsystem zu konzeptionieren und einzuführen sowie zu dokumentieren. Im Laufe der Zeit ist das Risikomanagementsystem an geänderte Rahmenbedingungen anzupassen und zu optimieren.

Compliance soll verstanden werden als die Einhaltung sämtlicher für das jeweilige Unternehmen relevanten, gesetzlichen Pflichten, Vorschriften und Richtlinien. Diese verantwortungsvolle Unternehmenssteuerung (Governance) umfasst neben der Beachtung von Gesetzen und Standards eine transparente Organisation und die Konzeptionierung sowie Einführung eines Risikomanagementsystems. Das Anti-Fraud-Management-System bezeichnet ein unternehmensweites System zur Prävention, Identifikation und der entsprechenden Reaktion auf betrügerische Handlungen (Untreue, Diebstahl, Unterschlagung, sonstige dolose Handlungen). Aufgabe des Anti-Fraud-Management-Systems ist die Begegnung von dolosen Handlungen und umfasst drei Prozesse: Prävention, Aufdeckung und Aufarbeitung.

Vor dem Hintergrund anhaltend hoher Wirtschaftskriminalität (z. B. Veruntreuung, Betrug, Diebstahl in Unternehmen) einerseits und gestiegener Erwartungen an die ordentlichen Geschäftsleiter andererseits rückt die Notwendigkeit, Überwachungssysteme im Unternehmen zu optimieren und anzupassen, weiter in den Fokus. Die steigenden gesetzlichen Erwartungen an einen ordentlichen Geschäftsleiter (z. B. Deutscher Corporate Governance Kodex, 4.1.3 und 4.1.4) umfassen insofern auch die wirksame, dem Unternehmen entsprechende, angepasste Konzeptionierung und Einführung bzw. Verbesserung von Überwachungsmaßnahmen zur rechtzeitigen Identifizierung, Bewertung, Beobachtung, Analyse, Steuerung und Berichterstattung von bzw. über Risiken. Das Management sieht sich ebenfalls steigenden Anforderungen gegenüber. So verkürzt sich beispielsweise die Lebensdauer von Trends. Komplexe Finanzmärkte und Finanzinstrumente im Rahmen einer globalen Vernetzung von Märkten sind zu beherrschen. Die Geschäftsleiter sehen sich zunehmend komplexeren Unternehmensstrukturen und höheren sowie fordernden Erwartungen von Stakeholdern gegenüber.

Wir wollen mit diesem Beitrag bei Geschäftsführern, Vorständen und Aufsichtsorganen mehr Bewusstsein dafür schaffen, dass die Notwendigkeit besteht, entsprechende Überwachungsmaßnahmen einzuführen oder bestehende anzupassen bzw. zu optimieren und in einem Organisations- oder Risikohandbuch zu dokumentieren. Dieses kann zumindest die Haftung der Organmitglieder reduzieren, wenn es zu Risiken, Unregelmäßigkeiten oder zu Betrugsfällen im Unternehmen kommt. In diesem Zusammenhang liegt es uns daran zu betonen, dass keineswegs „mit Kanonen auf Spatzen“ geschossen werden soll. Vielmehr ist eine dem Unternehmen nach Rechtsform, Branche und Größe individuell angepasste Konzeption und Einführung von Überwachungssystemen wie z. B. ein Anti-Fraud-Management-System vorzunehmen.

In der Beratungspraxis unterscheiden wir dabei grundsätzlich zwischen Unternehmen, die bereits Opfer von Betrugsfällen wurden und Unternehmen, die noch nicht von Vermögensschädigungen betroffen wurden. So sehen oftmals die Geschäftsleitungen und Aufsichtsorgane, die noch keine Erfahrungen mit Betrugsfällen hatten, meist nicht die Notwendigkeit, derartige Überwachungssysteme (z. B. Anti-Fraud-Management-Systeme) einzuführen. Anders verhält es sich bei Unternehmensleitungen und Aufsichtsorganen, die von Betrug oder Vermögensminderungen, wie beispielsweise Veruntreuung, Diebstahl etc. betroffen waren. Diese Personen sehen in aller Regel die Einführung von  Überwachungssystemen als notwendiger an.

Aktuelle Beispiele wie der Korruptionsskandal bei der Siemens AG oder die Datenaffäre bei der Deutsche Bahn AG führten zu gewaltigen finanziellen Aufwendungen bei diesen Unternehmen für die Aufarbeitung und für die Einführung von entsprechenden Überwachungssystemen. Als Gegenargument für die Einführung von Kontrollsystemen in mittelständischen Unternehmen werden oftmals die Kosten angeführt. Denen kann entgegnet werden: „Wenn Sie der Auffassung sind, die Präventionsmaßnahmen seien zu teuer, dann versuchen Sie es einmal ohne.“

Auch uns ist bewusst, dass in gewachsenen Strukturen von Familienunternehmen viel auf (langjährigem) Vertrauen basiert; eine Einführung von Kontrollen gegenüber verdienten und langjährigen Mitarbeitern führt zunächst zu Skepsis oder dem Vorwurf: „Vertraut man mir nicht mehr?“ Dem kann entgegengehalten werden, dass neue gesetzliche Vorgaben von Unternehmensleitungen die Einführungen von Kontrollen fordern und Überprüfungen mit positivem Ergebnis durchaus als Bestätigung guter oder sehr guter Arbeit dienen.

Im Ergebnis lässt sich festhalten, dass die Organisationsstrukturen, Prozesse und Systeme im Hinblick auf Überwachungssysteme angepasst oder auf Veränderungen hin analysiert werden müssen. Der Nutzen aus der Anpassung ist für die Unternehmen vielfältiger Natur. So kommt es zu einer Erhöhung des Vertrauens in das Überwachungssystem, wie z. B. das Interne Kontrollsystem oder Risikomanagementsystem.

Das Interne Kontrollsystem beispielsweise braucht zukünftig nicht so umfangreich getestet zu werden, wenn es angepasst und klar strukturiert wurde. Das Compliance-Risiko reduziert sich bei effektiven und zielgerichtet installierten Kontrollen. Die Geschäftsleitung kommt ihrer diesbezüglichen Sorgfaltspflicht und Dokumentationspflicht nach. Insofern ist ein mögliches Haftungsrisiko in Bezug auf die Verpflichtung eines Geschäftsleiters, auch gegen Risiken und Fraud-Risiken vorzugehen, reduziert.

Durch klar strukturierte Risikomanagementsysteme und Kontrollen wird Zeit gewonnen, indem nicht umständlich nach Lücken oder Verantwortungen gesucht wird. Letztlich kann das Unternehmen durch optimierte Überwachungssysteme auch Wettbewerbsvorteile generieren.

bdp unterstützt Sie gern bei entsprechenden Maßnahmen und Fragen zu diesem Thema. Einen ersten Überblick über Ihre gegenwärtigen Überwachungssysteme bietet unsere Kurzanalyse. Diese Kurzanalyse umfasst die Bestandsaufnahme bestehender Strukturen, den Abgleich mit gesetzlichen Erfordernissen, die Identifikation von Schwachstellen und Optimierungspotenzial und schließt mit Empfehlungen für eine nachfolgende Umsetzungsphase.

Gegebenenfalls sprechen Sie uns bitte gerne an.