4 Internes Kontrollsystem und Risikomanagement

Bei der Diskussion um die konkrete Ausgestaltung der Corporate Governance im Unternehmen ist festzustellen, dass das ‚interne Kontrollsystem’ sowie ‚Risikomanagement’ als unternehmensinterne Konzepte zur Erreichung der Ziele der Corporate Governance eingesetzt werden. Die unterschiedlichen Rechtsvorschriften der USA, Deutschlands aber auch anderer Länder, die Regelungen zur Corporate Governance erlassen haben, greifen diese Begriffe immer wieder auf, wobei diese jedoch oftmals in unklarem Zusammenhang verwendet werden. Es existiert bisher auch noch keine allgemein anerkannte terminologische Abgrenzung zwischen dem internen Kontrollsystem und Risikomanagement.[163] Wegen der besonderen Relevanz für die beschriebenen Regulierungen, v.a. für Sec. 404 SOA und das KonTraG, ist es notwendig, diese Konzepte zu erläutern und auf deren praktische Umsetzung in den Unternehmen einzugehen. Dazu ist es ebenfalls erforderlich, die Anwendung von Rahmenwerken zu erläutern.

4.1 Begriffsabgrenzungen

4.1.1 Internes Kontrollsystem (IKS)

In den Ausführungen zu den Anforderungen des Sarbanes-Oxley Act (vgl. Kapitel 2.3.1.3.5) wurde bereits deutlich, dass der Gesetzgeber der Wirksamkeit des internen Kontrollsystems (IKS) große Bedeutung beimisst. Im SOA selbst sind jedoch keine näheren Erläuterungen zum IKS zu finden.[164] Eine allgemeingültige Definition liefert das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW).[165] Es beschreibt das IKS in dem Prüfungsstandard ‚IDW PS 260’ als „die von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) […], die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung.“[166] Dabei dient das IKS der Erreichung folgender Ziele:

 Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (u.a. Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen),

 Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie

 Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.[167]

Der Prüfungsstandard des IDW gibt weiterhin Aufschluss über die Aufgaben des IKS, die sich auf verschiedene Regelungsbereiche erstrecken. Danach unterteilt sich das IKS in das interne Steuerungssystem (Regelungen zur Steuerung der Unternehmensaktivitäten) und das interne Überwachungssystem, das die Funktion des Steuerungssystems sichert (Regelungen zur Überwachung der Einhaltung der Steuerungsregelungen). Das interne Überwachungssystem beinhaltet sowohl Überwachungsmaßnahmen, die in die Unternehmensprozesse integriert sind als auch prozessunabhängige Maßnahmen, die v.a. der Internen Revision zugeordnet werden. Die folgende Abbildung soll diese Struktur noch einmal verdeutlichen:

Abb. 1: Regelungsbereiche des internen Kontrollsystems

 (In Anlehnung an:  IDW (2001), S. 822)

Die Bedeutung eines wirksamen IKS wird auch von der EU-Kommission unterstrichen: „Durch ein wirksames internes Kontrollsystem werden finanzielle und betriebliche Risiken sowie das Risiko von Gesetzesverstößen auf ein Mindestmaß beschränkt und die Qualität der Rechnungslegung verbessert“.[168] Die Einrichtung, der Betrieb und die Sicherstellung der Wirksamkeit des IKS werden seitens der EU-Kommission – im Gegensatz zum SOA[169] – in der kollektiven Verantwortung der Unternehmensleitung gesehen.[170]

4.1.2 Risikomanagement und Risikocontrolling

In der Diskussion um Corporate Governance und deren Regulierung ist auch das Konzept des Risikomanagements zunehmend in den Blickpunkt sowohl der Unternehmen als auch der wissenschaftlichen Literatur gerückt. Auslöser war die Forderung des deutschen KonTraG (vgl. Kapitel 2.3.3) an den Vorstand von Aktiengesellschaften nach Einrichtung eines „Überwachungssystem[s] […], damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.[171]

Der Deutsche Corporate Governance Kodex betrachtet es als Aufgabe des Vorstandes „für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen“[172] zu sorgen, wobei sich auch der Aufsichtsrat bzw. der Prüfungsausschuss mit Fragen des Risikomanagements befassen soll.[173] Auch die EU-Richtlinien nennen konkrete Vorschriften zur Überwachung, Prüfung und Berichterstattung über das Risikomanagement in Unternehmen.[174] Auch wenn in den deutschen und europäischen Regulierungen dem Risikomanagement bereits eine tragende Rolle zuerkannt wird, findet sich jedoch in keiner der genannten Vorschriften ein Hinweis darauf, was unter den Begriff Risikomanagement zu subsumieren ist.[175] Um für die – durch den Erlass des KonTraG – veränderten Prüfungserfordernisse Abhilfe zu schaffen, entwickelte der IDW den Prüfungsstandard ‚IDW PS 340’, der Risikomanagement als „die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“ bezeichnet.[176]

Baetge und Jerschensky definieren als Ziel des Risikomanagement, „die bereits bestehenden und die künftig entstehenden Risiken eines Unternehmens so zu steuern und zu regeln, dass der Wert eines Unternehmens durch die Verringerung von Risiken bei weiter bestehenden Ertragschancen gesteigert wird […]“.[177] Risiko- und Ertragsmanagement werden dabei als wesentliche Bestandteile einer wertorientierten Unternehmensführung angesehen.[178]

Braun betrachtet als Zielsetzung des Risikomanagement die Unterstützung der Unternehmensführung bei der nachhaltigen Existenzsicherung des Unternehmens, die durch die Bewältigung der betrieblichen Risiken erreicht wird. Darunter soll jedoch nicht die Beseitigung aller betrieblichen Risiken verstanden werden, sondern die Reduzierung der Summe aller Einzelrisiken, bis die bestehende Verlustgefahr für das Unternehmen keine Existenzgefährdung mehr darstellt.[179]

Während Risikomanagement also relativ einheitlich definiert wird, gibt es zum Risikobegriff in der Betriebswirtschaftslehre unterschiedliche Auffassungen: Die neutrale Auslegung fasst jede Abweichung vom Ziel- oder Planwert als Risiko auf, womit explizit auch Chancen berücksichtigt werden.[180] Dem gegenüber existiert die Auffassung, dass Risiko lediglich als Schadens- oder Verlustgefahr zu verstehen ist, die aus einer Fehlentscheidung resultieren kann.[181] In Bezug auf die Corporate Governance, die sich u.a. mit dem Schutz der Kapitaleigner vor Vermögensschädigungen und dem Ziel der Unternehmenswertsteigerung befasst, wird meist der engen Auslegung von Risiko als negative Zielverfehlung gefolgt.[182] Dennoch bestehen Bestrebungen, das derzeit in den Unternehmen praktizierte Risikomanagement in ein Risiko- und Chancenmanagement zu verwandeln, wobei argumentiert wird, dass nicht genügend wahrgenommene Chancen langfristig ebenfalls zu Risiken für das Unternehmen führen können.[183]

Die Teilaufgaben des Risikomanagement werden gewöhnlich in einem Phasenschema beschrieben. Diese Phasen und deren Maßnahmen sind in Tab. 9 dargestellt:.

Tab. 9: Phasen im Risikomanagement-Prozess

 (Eigene Darstellung in Anlehnung an: HORNUNG, K. / REICHMANN, T. / DIEDERICHS, M. (1999), S. 320 ff.)

Dieser Prozess stellt dabei keinen einmaligen Vorgang dar. Vielmehr werden die Phasen 1 bis 4 in einem Kreislauf kontinuierlich wiederholt, während die Prozessüberwachung auf übergeordneter Ebene den gesamten Prozess des Risikomanagements kontrolliert und steuert.

Im Zusammenhang mit dem Risikomanagement ist auch der Begriff Risikocontrolling häufig anzutreffen. Obwohl bisher noch keine klar ausgeprägte theoretische Abgrenzung für Risikocontrolling existiert,[184] scheint weitgehende Übereinstimmung in Bezug auf die Wahrnehmung einer Unterstützungsfunktion im Rahmen des Risikomanagement zu herrschen: „Aufgabe des Risiko-Controlling ist es, Informationen für Entscheidungen des Risikomanagements bereitzustellen.“[185] Das Risikocontrolling wird überwiegend als Teil des Risikomanagement angesehen, wobei das Risikomanagement die Entscheidungen über die risikopolitischen Strategien und Maßnahmen zu treffen hat und insoweit über das Risikocontrolling hinausgeht.[186] Dessen Aufgaben werden überwiegend in der Identifikation, Analyse und Quantifizierung von Risiken sowie der Bereitstellung von Methoden dafür gesehen. Des Weiteren übernimmt das Risikocontrolling die...