KonTraG – Auswirkungen

1. Überblick

Durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurde die Pflicht der Vorstände börsennotierter Aktiengesellschaften, ein Risikomanagement zu installieren, rechtlich verankert. Damit sollen die Interessen der Anteilseigner an einer kontinuierlichen Erfolgs- und Wertentwicklung des Unternehmens gewahrt werden. Insgesamt wurden durch das KonTraG, das mit Wirkung vom 1. Mai 1998 in Kraft getreten ist, zehn Gesetze bzw. Verordnungen geändert, die schwerpunktmäßig das Aktiengesetz (AktG) und das Handelsgesetzbuch (HGB) betreffen.

Auslöser und Hintergrund waren verschiedene spektakuläre Unternehmenskrisen in der jüngeren Vergangenheit, die nach Auffassung des Gesetzgebers durch fehlendes Risikobewusstsein und nicht ausreichende Kontroll- und Informationsmechanismen verursacht wurden.

2. Inhalt und Konsequenzen

Eine wesentliche Neuerung des KonTraG ist die Notwendigkeit, ein Risikomanagementsystems (RMS) einzuführen. Im neuen § 91 Abs. 2 AktG heißt es hierzu:

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

Sowohl der Wortlaut des Gesetzes als auch dessen Begründung geben keinen Aufschluss darüber, wie das geforderte Risikomanagement (Risk Management, Frühwarnsystem) im Detail auszusehen hat. Daher muss sich der Vorstand bei der praktischen Umsetzung an betriebswirtschaftlich gebotenen Gesichtspunkten orientieren, und zwar mit der in § 93 Abs. 1 S. 1 AktG gebotenen Sorgfalt eines ordentlichen und gewissenhaften Geschäftsführers. Die Einführung eines Risikomanagements gehört jetzt zur Pflicht des Vorstands.

Im Schadensfall kann eine Verletzung dieser Organisationspflicht gemäß § 93 Abs. 2 AktG zu einer deutlich verschärften Haftungssituation führen. Für den Fall, dass kein ausreichendes Überwachungssystem etabliert wurde, kann der Vorstand haftbar gemacht werden. Hierbei ist zu berücksichtigen, dass durch die in § 93 Abs. 2 AktG kodifizierte Beweislastumkehr die Vorstände nachweisen müssen, dass sie ihren Pflichten in einem ausreichenden Maße nachgekommen sind.

Schadenersatzpflichten kommen danach insbesondere dann in Betracht, wenn die Grenzen, in denen sich ein am Unternehmenswohl orientiertes Handeln bewegen muss, deutlich überschritten wurden oder die Bereitschaft, unternehmerische Risiken einzugehen, in unverantwortlicher Weise überspannt worden ist.

Anmerkung:

Bei der Auslegung des Gesetzes ist zu berücksichtigen, dass letztlich mit jeder unternehmerischen Entscheidung gewisse Risiken verbunden sind. Risiken werden in der Regel jedoch nur eingegangen, wenn die hiermit verbundene Geschäftstätigkeit realistischerweise zu einem entsprechenden Mehrwert führt bzw. führen kann. Risikobehaftete Geschäfte sind daher allenfalls in Grenzfällen als pflichtwidrig anzusehen. Für die Beurteilung der Sorgfaltspflicht ist vor allem wichtig, wie die Entscheidung, ein risikobehaftetes Geschäft einzugehen, vorbereitet wurde.

Die Einrichtung eines Risikomanagementsystems ist unmittelbar nur für Aktiengesellschaften gesetzlich vorgeschrieben. Ausgehend von der Begründung zum KonTraG ist jedoch davon auszugehen, dass das Gesetz auch Ausstrahlungswirkungen auf andere Gesellschaftsformen hat, sodass je nach Größe, Komplexität und Struktur eines Unternehmens insbesondere die Geschäftsführer von GmbHs von diesen Regelungen betroffen sind. Hinzu kommt, dass Vorstände von Konzernen, Beteiligungsgesellschaften etc. nach den Überlegungen des Gesetzgebers ihrer Verpflichtung zum Risikomanagement konzernweit nachkommen müssen. Da auch von Tochterunternehmen bestandsgefährdende Risiken ausgehen können, spielt deren Rechtsform insoweit keine Rolle.

Im Zuge des KonTraG wurde ferner der Prüfungsumfang der handelsrechtlichen Jahresabschlussprüfung erweitert. Hierzu heißt es im neu eingeführten § 317 Abs. 4 Handelsgesetzbuch (HGB) :

„Bei einer Aktiengesellschaft, die Aktien mit amtlicher Notierung ausgegeben hat, ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.“

Demzufolge ist der Abschlussprüfer verpflichtet, im Rahmen der Jahresabschlussprüfung auch das Risikomanagementsystem zu prüfen (Jahresabschluss). Das Ergebnis seiner Beurteilung hat er nach dem ebenfalls durch das KonTraG eingeführten § 321 Abs. 4 HGB in einem besonderen Teil des Prüfungsberichts darzustellen und gegebenenfalls Vorschläge zur Verbesserung zu unterbreiten. Zur praktischen Umsetzung dieser Vorschrift hat der Hauptfachausschuss (HFA) des Instituts der Wirtschaftsprüfer (IDW) am 25. Juni 1999 einen Prüfungsstandard „Die Prüfung des Risiko-Früherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340)“ verabschiedet. Wirtschaftsprüfer dürfen bei ihren Prüfungen nur bei Vorliegen wichtiger Gründe von diesen Grundsätzen abweichen.

Anmerkung:

Der Abschlussprüfer war allerdings auch schon vor dem KonTraG dazu angehalten, sich mit den wirtschaftlichen und rechtlichen Rahmenbedingungen des Unternehmens zu befassen, im Rahmen eines risikoorientierten Prüfungsansatzes eine Risikoanalyse durchzuführen und das interne Kontrollsystem zu überprüfen. Nach Einführung des § 91 Abs. 2 AktG sind Maßnahmen dieser Art aber wesentlich umfassender geworden.

Die Prüfung des Abschlussprüfers wird im Allgemeinen beim Risikohandbuch ansetzen, in dem alle Maßnahmen dokumentiert sind, die das Risikomanagementsystem betreffen. Sofern eine ausreichende Dokumentation nicht vorliegt, ist dem Unternehmen Gelegenheit zu geben, eine solche anzufertigen. Art und Umfang dieser Dokumentation sind dabei abhängig von der Größe, der Branchenzugehörigkeit und den besonderen Bedingungen des Unternehmens.

Die Prüfung selbst wird als Systemprüfung durchgeführt und umfasst mehrere Schritte. Basierend auf der Dokumentation werden zunächst die durchgeführten Maßnahmen festgestellt. Liegt keine Dokumentation vor, sieht das IDW PS 340 vor, dass der Abschlussprüfer gegebenenfalls selbst die einzelnen Maßnahmen aufnimmt. Über eine fehlende Dokumentation wird allerdings nach § 321 Abs. 4 HGB berichtet.

Im folgenden Schritt stellt der Prüfer fest, ob alle potenziell bestandsgefährdenden Risiken so rechtzeitig erfasst werden, dass die Unternehmensleitung in geeigneter Weise reagieren kann. Im letzten Schritt überprüft der Abschlussprüfer – in der Regel stichprobenartig – die Einhaltung der vorgesehenen Maßnahmen.

3. Gestaltungselemente des Risikomanagementsystems

Der Erfolg oder Misserfolg eines Unternehmens wird von zahlreichen Einflussfaktoren bestimmt, die einem raschen Wandel unterliegen und deren weitere Entwicklung nur schwer prognostiziert werden kann. Auf Grund der individuellen Risikosituation eines Unternehmens sind die Anforderungen an ein Risikomanagementsystem seitens des KonTraG notwendigerweise lediglich als grobe Zielsetzung vorgegeben. Die Ausgestaltung des Risikomanagementsystems orientiert sich daher zunächst an den jeweiligen betriebswirtschaftlichen Rahmenbedingungen. Die wesentliche Zielsetzung besteht darin, sowohl die Risiken als auch die Chancen der betrieblichen Geschäftstätigkeit zu identifizieren, die möglichen positiven und negativen Konsequenzen der Risikoübernahme zu kennen und die potenziell erfolgsgefährdenden Risiken zu minimieren.

3.1 Risikoerkennung

Im Rahmen eines Risikomanagementsystems kommt der Risikoerkennung naturgemäß eine überragende Bedeutung zu, da sich nicht erkannte Risiken einer Risikobewältigung entziehen und somit die Verwirklichung der Ziele des Risikomanagements verhindern. Die besondere Problematik liegt vor allem in der frühzeitigen Erkenntnis, ob sich potenzielle Risiken tatsächlich zu einer realen Bedrohung entwickeln. Ferner ist zu berücksichtigen, dass einmal erkannte Risiken weder konstant bleiben müssen noch sich zwingend kontinuierlich entwickeln. Um zukünftige risikobehaftete Entwicklungen frühestmöglich zu erkennen, bedarf es daher

  • einer fortlaufenden Überwachung und

  • geeigneter Frühindikatoren, die sich mit zeitlichem Vorlauf zu den Risikoeinflussfaktoren verändern und somit Risikoeintrittsgefahren frühzeitig signalisieren.

Zum Erreichen dieses Ziels bietet es sich an, die verschiedenen Risiken zunächst zu kategorisieren. Nach welchen Kriterien Risikokategorien und Risikoarten gebildet werden sollten, kann allerdings nur unternehmensindividuell beantwortet werden. Ohne eine derartige Kategorisierung besteht indes die Gefahr einer unvollständigen oder mehrdeutigen Risikoidentifikation.

3.2 Risikoanalyse und Risikobewertung

Die Risikoanalyse und Risikobewertung knüpfen unmittelbar an die Risikoerkennung an. Ziel dieser Teilfunktion des Risikomanagements ist es, den Entscheidungsträgern aufzuzeigen, wo konkreter Handlungsbedarf besteht.

Die Bewertung von Risiken stößt in der betrieblichen Praxis jedoch auf nicht unerhebliche Probleme, da beispielsweise für Markt-, Vertriebs- oder Umweltrisiken keine allgemein anerkannten Modelle und Bewertungsrichtlinien zur Verfügung stehen. Dennoch sollte ein Unternehmen den Versuch unternehmen, seine Risiken in Geldeinheiten zu beziffern, da ansonsten nicht erkennbar wird, ob es sich um bestandsgefährdende Risiken handelt.

Zur sachgerechten Beurteilung eines Risikos ist zum einen eine Aussage über die Wahrscheinlichkeit des Eintretens und zum anderen eine Angabe über die mögliche Ergebniswirkung für den Fall des Risikoeintritts erforderlich. Da die untersuchte Risikosituation sich infolge wechselnder Rahmenbedingungen fast immer durch eine gewisse Einmaligkeit auszeichnet, muss in Kauf genommen werden, dass das Ergebnis der Risikobewertung auch durch subjektive Auffassungen beeinflusst wird.

Die Ergebnisse der Risikoanalyse und Risikobewertung sind abschließend in Gestalt einer Risk Map oder eines Statusberichtes zu dokumentieren und den Berichtsempfängern zu übergeben.

4. Implementierung eines Risikomanagementsystems

Der Gesetzgeber hat keine konkrete Ausgestaltung des Risikomanagementsystems vorgegeben. Aus dem Wortlaut des § 91 Abs. 2 AktG und der allgemeinen Begründung zum KonTraG-Entwurf wird jedoch geschlossen, dass sich ein RMS aus internem Überwachungssystem, Controlling, Interner Revision (Interne Revision) und Frühwarnsystem zusammensetzt bzw. zusammensetzen kann.

Die Gesamtverantwortung für das Risikomanagement liegt bei der Geschäftsführung. Von der Unternehmensleitung sind Richtlinien festzulegen, wie mit Risiken umzugehen ist. Ferner ist das oberste Management für die Identifikation und Bewertung strategischer Risiken verantwortlich.

Bei der Organisation des Risikomanagementsystems kommt dem Controlling eine bedeutende Rolle zu. Zum Aufgabengebiet des Controllers gehört die gesamte Entwicklung bzw. Weiterentwicklung von entsprechenden Planungs-, Kontroll- und Informationsinstrumenten. Die Kompetenzen für die Wahrnehmung der anfallenden Aufgaben sind beim Controller-Dienst vorhanden, da mit dem Berichtswesen bereits dezentral verantwortete Daten zusammengeführt und auf unterschiedlichen Aggregationsstufen verschiedenen Empfängern zur Verfügung gestellt werden. Dementsprechend entwickelt das Controlling auch die Anforderungen an ein Risikoberichtswesen und stellt dieses den verschiedenen Unternehmensbereichen zur Verfügung. Hierzu gehört auch, dass Risikoaspekte unternehmenszielkonform in die Zielvereinbarungen der Mitarbeiter integriert werden, da sich nur so ein Anreiz zum risikobewussten Verhalten erzeugen lässt.

Die eigentliche Verantwortung für die Beherrschung und Optimierung der verschiedenen Risikopositionen liegt jedoch in den Händen der dezentralen Einheiten. In Zusammenarbeit mit internen und gegebenenfalls auch externen Experten müssen die Risk-Owner die von der Unternehmensleitung erarbeiteten Risikoleitlinien operationalisieren und umsetzen. Nach Identifikation und Bewertung der Risiken ihres Einflussbereiches sind die Risk-Owner für die Überwachung dieser Risikoquellen mithilfe des ihnen vom Controlling zur Verfügung gestellten Risikoberichtswesens verantwortlich.

Die Prüfung, ob das Risikomanagementsystem den gestellten Anforderungen genügt, fällt in der Regel in den Aufgabenbereich der internen Revision (Interne Revision). Hierzu gehört vor allem die Kontrolle, ob die vom Controlling erarbeiteten Standards eingehalten werden, die Risikoquellen richtig definiert wurden und die Risikolimits beachtet werden.

So geht’s

Gesetz zur Kontrolle und Transparenz im Wortlaut

Zurück
Nach oben