Im Spannungsfeld zwischen Haftung und Effizienz – Corporate Governance in Deutschland

Porträt Klaus-Michael Thielemann

Siemens hat es getan, die Deutsche Telekom und Daimler haben es ebenfalls getan: nämlich einen eigenen Vorstandsposten mit direkter Verantwortung für den Bereich Compliance einzurichten. Nun ist bei diesen drei Konzernen ein solcher Schritt sicher nicht gerade überraschend, haben sie doch aufgrund ihrer Präsenz am US-Kapitalmarkt aufgrund von Compliance-Verstößen schon wiederholt unliebsamen Kontakt mit der US-Börsenaufsicht SEC gehabt.

Wer nun aber glaubt, dass diese Maßnahmen auf global agierende, börsennotierte Großunternehmen beschränkt sind, der irrt. So haben sich in den vergangenen Jahren die Rahmenbedingungen und damit auch die Haftungsumgebungen für Aufsichtsräte, Vorstände und Geschäftsführer im Bereich der Corporate Governance in Deutschland signifikant verändert. Eine führende Rolle nimmt dabei bereits seit längerer Zeit  die EU-Kommission ein, die insbesondere die aktuelle Finanzkrise zum Anlass nimmt,  weiter kräftig ‚aufzurüsten‘. Das unlängst vorgestellte Grünbuch zur Corporate Governance im Finanzdienstleistungsbereich bietet hierzu einigen Zündstoff (so u.a. mit dem Vorschlag zur Aufwertung der hierarchischen Stellung des Risikomanagers durch „einen dem Finanzvorstand mindestens ebenbürtigen Status“) und enthält interessanterweise zusätzlich einen Hinweis, das Thema "Corporate Governance" generell auch für den Nicht-Banken-Sektor in absehbarer Zeit weiterzuentwickeln.

Als ein Beispiel für die aktuelle Situation sei an dieser Stelle das Bilanzrechtsmodernisierungsgesetz (BilMoG) aus dem Jahre 2009 ein wenig detaillierter beschrieben, mit dessen Hilfe der Gesetzgeber u.a. auch die Anforderungen an Aufsichtsräte weiter konkretisiert hat. Die hier beschriebenen Regelungen gelten dabei für alle Aufsichtsräte, und zwar unabhängig davon, ob sie z.B. eine börsennotierte Aktiengesellschaft oder eine kommunale GmbH zu überwachen haben. Die Anforderungen kennen auch keine Befreiungen aufgrund geringer Unternehmensgröße. Umso wichtiger ist es für die Organe, durch pragmatische Lösungen mögliche persönliche Haftungsrisiken auszuschließen.

 

Geschäftsführungs- und Aufsichtsratshaftung

Bei der Haftung ist zwar zwischen Geschäftsführungs- und Aufsichtsratshaftung zu unterscheiden; jedoch haftet der Aufsichtsrat grundsätzlich in der gleichen Weise wie der Vorstand, wenn er die ihm obliegenden Pflichten verletzt. Hierbei gelten die Regeln des allgemeinen Schadensersatzrechts, sodass ein Aufsichtsrat bei einer Sorgfaltspflichtverletzung schuldhaft handelt, da die Pflichtverletzung das Verschulden zumeist indiziert. Um eine solche Pflichtverletzung zu vermeiden, muß sich ein Aufsichtsrat zumindest mit den notwendigen Informationen durch die Geschäftsführungsorgane versorgen lassen. Nach dem BilMoG hat der Aufsichtsrat insbesondere

  • den Rechnungslegungsprozess,
  • die Wirksamkeit des Internen Kontrollsystems, des Risikomanagementsystems und des Internen Revisionssystems sowie
  • die Prüfer des Jahresabschlusses (insbesondere im Hinblick auf deren Unabhängigkeit und die von ihnen zusätzlich erbrachten Leistungen) zu überwachen.

Da die Regelungen bereits seit Inkrafttreten des BilMoG im Mai 2009 gelten, sollten sich Aufsichtsräte spätestens jetzt mit den Fragen zur Transparenz und Wirksamkeit der Internen Kontroll- und Risikomanagementsysteme beschäftigen. Die neuen Anforderungen stellen den Aufsichtsrat und die Geschäftsleitung vor bislang unbekannte Herausforderungen:

  • Was muss der Aufsichtsrat tun, um seiner Überwachungsaufgabe angemessen nachkommen zu können?
  • Welche Anforderungen muss der Aufsichtsrat an die Geschäftsleitung stellen, um die Wirksamkeit des Internen Kontrollsystems und des Risikomanagementsystems angemessen nachweisen zu können?
  • Wie müssen Struktur, Umfang und Organisation der o.g. Systeme ausgestaltet und dokumentiert sein, um den Nachweis ihrer Wirksamkeit dauerhaft und effizient führen zu können?

Der Gesetzgeber hat dabei bewusst keine direkten Vorgaben an die konkrete Ausgestaltung dieser Systeme formuliert, sondern überlässt richtigerweise das Design einer angemessenen sowie an die strategischen und operativen Bedürfnissen des Unternehmens ausgerichteten Systemumgebung der Geschäftsleitung.

 

Systeme nicht neu erfinden

Der Gesetzgeber erwartet dabei keine Neuerfindung der Internen Systeme, da die Unternehmen hierüber bereits regelmäßig in unterschiedlicher Ausprägung verfügen. Die durch das BilMoG konkretisierte Aufgabenstellung sollten Aufsichtsräte jedoch zum Anlass nehmen, einen für ihre jeweilige Unternehmensumgebung anzustrebenden Soll-Zustand eines angemessenen und übergreifenden Risikomanagement-, Kontroll- und Compliance-Frameworks zum Gegenstand der Diskussion zu machen. Denn die betreffenden Systemumgebungen wurden in der Vergangenheit häufig unabhängig voneinander entwickelt und operieren insoweit oft silo-artig neben- und nicht miteinander.

Die Soll-Definition eines solchen sinnvoll integrierten Risiko-, Kontroll- und Compliance-Frameworks dagegen kann helfen,

  • die Fragen nach dem notwendigem Umfang, der Schwerpunktsetzung sowie der zeitlichen Verteilung der damit verbundenen Investitionen zu beantworten,
  • etwaige Inkonsistenzen bei wesentlichen Geschäftsprozessen zu identifizieren,
  • die Weiterentwicklung vereinheitlichter und damit effizienterer Prozesse zu unterstützen,
  • damit zu einer verbesserten Standardisierung von Kernprozessen und -kontrollen im Unternehmensverbund beizutragen,
  • das Knowledge Sharing im Unternehmen über wesentliche Prozesse und -kontrollen zu verbessern und
  • somit das Management bei der Erreichung der strategischen und operativen Geschäftsziele zu unterstützen sowie zu einer nachhaltigeren Performance beizutragen.

Zugleich bietet ein solches Framework die Möglichkeit einer kontinuierlichen Evaluierung, Optimierung und Überwachung des sich im Unternehmen ständig verändernden Risikoprofils.

 

Ineffizienz vermeiden

Das Interne Kontrollsystem sollte grundsätzlich risikoorientiert ausgestaltet sein. Der Umfang der Kontrollmaßnahmen bestimmt sich also immer nach der Risikoexposition. Oder anders formuliert: Wo kein nachhaltiges Risiko existiert, gibt es keinen Grund, in teure Kontrollen zu investieren.

Ein Internes Kontrollsystem sollte nicht dokumentiert werden, bevor eine aktualisierte Übersicht über die Risikosituation im Unternehmen existiert (Risikoinventar). Die Beschreibung der hierdurch als risikorelevant erkannten Kontrollen und Prozesse, bspw. in Richtlinien, Arbeitsanweisungen, ggf. auch durch Prozess-Flow-Charts, stellt erst den zweiten Schritt dar. Ansonsten besteht die Gefahr, Kontrollen zu dokumentieren, die weniger relevant sind, und andere Risikobereiche werden womöglich ganz übersehen. Nur durch eine sinnvolle Risikozuordnung können Ineffizienzen vermieden werden.

 

Alle Wege nutzen

Der Aufsichtsrat hat die Wirksamkeit des Internen Kontroll- und Risikomanagementsystems zu überwachen. Aufgrund der aktienrechtlichen Situation in Deutschland wird er sich hierbei zuallererst auf Informationen stützen, die ihm vonseiten der Geschäftsleitung zur Verfügung gestellt werden. Diese wiederum kann und wird dabei in aller Regel auf Untersuchungen der Internen Revision, die Selbstbeurteilung des Managements (bspw. durch Self-Assessment-Methoden) oder auch externe Gutachter (z.B. den Abschlussprüfer oder externe Berater) zurückgreifen.

Eine direkte Kommunikation zwischen Aufsichtsrat und Fachabteilungen (z.B. Risikomanagement oder Interne Revision) wird dagegen nur in begründeten Fällen bzw. nach vorheriger Abstimmung mit der Geschäftsleitung infrage kommen, kann aber als zusätzliche Maßnahme sehr sinnvoll sein.

 

Fazit

Die Regulierungswut im Bereich der Corporate Governance scheint weiter ungebrochen, und dies nicht nur vonseiten des Gesetzgebers. So hat auch der letzte Vorstoß der Regierungskommission Deutscher Corporate-Governance-Kodex in Sachen Vielfalt (Diversity) den Bogen für manchen überspannt, da allgemeinpolitische Anliegen wie die Förderung von Frauen und Ausländern an der Unternehmensspitze weit über das hinausgingen, was mit dem ursprünglichem Gedanken der Schaffung eines selbstverpflichtenden Rahmens für ein gute und verantwortungsvolle Unternehmensführung verbunden worden sei. Jürgen Weber, Aufsichtsratschef der Deutschen Lufthansa, hat dies im Rahmen einer Rede vor einigen Monaten bei der Schmalenbach-Gesellschaft so formuliert: „Und wir erleben es, dass der Kodex allmählich von der Politik als eine Art Versandhauskatalog für gesellschaftspolitische „Issues“ ausgewertet wird. Nach folgendem Muster: Aus Anregungen des Kodex werden über Jahr und Tag Empfehlungen. Worauf diese Empfehlungen bei der themensuchenden Politik Aha-Effekte auslösen mit der Folge: Es dauert nicht lange, und der Gesetzgeber wird tätig….“.

Und da nicht nur der Gesetzgeber, sondern auch die laufende Rechtsprechung dazu neigt, die Aufgabenstellung für Aufsichtsräte weiter im Detail zu konkretisieren, kann man der deutschen Financial Times nur beipflichten, die vor kurzem in ähnlichem Zusammenhang titelte:

„Die Zeit der Kaffee- und Abnick-Runden ist vorbei“.

Seien Sie also vorbereitet…..

Ein Beitag von Klaus-Michael Thelemann