Content

1.2 Grundlagen des Risikomanagements im Konzern in:

Peter Kajüter

Risikomanagement im Konzern, page 34 - 67

Eine empirische Analyse börsennotierter Aktienkonzerne

1. Edition 2011, ISBN print: 978-3-8006-3440-8, ISBN online: 978-3-8006-4868-9, https://doi.org/10.15358/9783800648689_34

Bibliographic information
8 1  Grundlegung 1.2 Grundlagen des Risikomanagements im Konzern 1.2.1 Begriffliche Grundlagen In der vorliegenden Arbeit werden drei zentrale Begriffe verwendet – Konzern, Risiko und Risikomanagement. Da diese Begriffe nicht einheitlich definiert sind, werden sie nachfolgend zunächst inhaltlich abgegrenzt, wobei auch die unterschiedlichen Arten von Konzernen und Risiken betrachtet werden. Daran anschließend rücken die ökonomischen und rechtlichen Grundlagen des Risikomanagements in den Mittelpunkt. 1.2.1.1 Begriff und Arten des Konzerns Konzerne sind gleichermaßen Gegenstand wissenschaftlicher Betrachtung in den Rechtswissenschaften und der Betriebswirtschaftslehre. Da das Recht den Rahmen für wirtschaftliches Handeln setzt, werden im Folgenden der Begriff und die Gestaltungsalternativen des Konzerns sowohl aus juristischer als auch aus betriebswirtschaftlicher Sicht dargelegt. 1.2.1.1.1 Rechtlicher Konzernbegriff Konzerne stellen rechtlich eine besondere Form der Unternehmensverbindung dar. Sie werden sowohl im Aktiengesetz als auch im Handelsgesetzbuch definiert. Von besonderer Bedeutung ist die Legaldefinition des Aktiengesetzes, da hieran zahlreiche andere gesetzliche Regelungen anknüpfen, die primär dem Schutz der Minderheitsgesellschafter und Gläubiger dienen. Nach § 18 AktG liegt ein Konzern dann vor, wenn rechtlich selbstständige Unternehmen unter einheitlicher Leitung zusammengeschlossen sind. Für die Existenz eines Konzerns müssen demnach mindestens zwei rechtlich selbstständige Unternehmen unter einheitlicher Leitung stehen. Diese Unternehmen sind dann Konzernunternehmen. Während die rechtliche Selbstständigkeit durch die Rechtsform der Unternehmen eindeutig bestimmt ist, handelt es sich bei der „einheitlichen Leitung“ um einen unbestimmten und daher auslegungsbedürftigen Rechtsbegriff. Nach h.M. liegt dieses konstitutive Merkmal des Konzerns bereits dann vor, wenn die Geschäftspolitik oder grundlegende Fragen der Geschäftsführung koordiniert werden.1 I.d.R. konkretisiert sich die einheitliche Leitung in der Übernahme originärer Führungsaufgaben, wie z.B. die Festlegung der Unternehmensziele, die Bestimmung der Finanz- und Investitionspolitik oder die personelle Besetzung von Führungspositionen. Anhand welcher Mittel die einheitliche Leitung ausge- übt wird, ist für das Vorliegen eines Konzerns unerheblich. Entscheidend ist jedoch, dass die einheitliche Leitung tatsächlich ausgeübt wird.2 Dies wird wider- 1 Vgl. Schruff (1993), Sp. 2274; Theisen (2000), S. 34ff.; Lutter (2004), S. 23f.; Scheffler (2005), S. 5ff.; Emmerich/Habersack (2008), S. 57ff. Im Gegensatz zu diesem weiten Konzernverständnis wird auch eine engere Auffassung vertreten, wonach die einheitliche Leitung erst dann vorliegt, wenn für die wesentlichen Bereiche eine einheitliche Planung aufgestellt und in den Konzernunternehmen durchgesetzt wird. 2 Vgl. Schruff (1993), Sp. 2275. 1.2  Grundlagen des Risikomanagements im Konzern 9 legbar vermutet, wenn ein (herrschendes) Unternehmen die Mehrheit der Anteile oder Stimmrechte an einem anderen (abhängigen) Unternehmen hält (§ 18 Abs. 1 S. 3 AktG).1 Unwiderlegbar vermutet wird die einheitliche Leitung bei Abschluss eines Beherrschungsvertrages (§ 291 AktG) und bei Eingliederung (§ 319 AktG). In diesen beiden Fällen liegt stets ein Konzern vor. Neben der aktienrechtlichen Konzerndefinition findet sich der Begriff des Konzerns auch im Handelsrecht. Er dient dort dazu, den Kreis der in einen Konzernabschluss einzubeziehenden Unternehmen abzugrenzen. Nach § 290 HGB bilden die im Rahmen eines Mutter-Tochter-Verhältnisses verbundenen Unternehmen einen Konzern. Diese Unternehmen sind nach den Vorschriften der Vollkonsolidierung in den Konzernabschluss einzubeziehen (§§ 300–307 HGB). Das Mutter-Tochter-Verhältnis wird dabei seit dem In-Kraft-Treten des BilMoG nur noch durch das Kriterium des beherrschenden Einflusses begründet.2 Es liegt danach bereits vor, wenn die Möglichkeit zur Beherrschung gegeben ist, z.B. durch die Mehrheit der Stimmrechte oder das Recht, die Mehrheit der Mitglieder in Leitungs- oder Aufsichtsorganen eines anderen Unternehmens zu bestellen. 1.2.1.1.2 Rechtliche Gestaltungsalternativen des Konzerns Nach der Art des Machtgefüges unterscheidet das Aktiengesetz zwischen dem Unterordnungskonzern und dem Gleichordnungskonzern (vgl. Abb. 1.2–1). Der Unterordnungskonzern (§ 18 Abs. 1 AktG) ist dadurch gekennzeichnet, dass ein herrschendes Unternehmen die einheitliche Leitung gegenüber einem oder mehreren abhängigen Unternehmen ausübt. Die Leitungsmacht kann dabei auf einer Eingliederung, auf einem Vertrag oder auf faktischen Abhängigkeiten beruhen. Dementsprechend können der Eingliederungs- (§§ 319–327 AktG), der Vertrags- (§§ 291–310 AktG) und der faktische Konzern (§§ 311–318 AktG) als spezielle Gestaltungsformen des Unterordnungskonzerns differenziert werden.3 1 Die gesetzliche Vermutung kann z.B. durch einen Entherrschungsvertrag widerlegt werden. Vgl. Scheffler (2005), S. 4. 2 Vgl. Baetge et al. (2011), S. 86ff. Abb. 1.2–1: Konzernformen 3 Vgl. Scheffler (2005), S. 6ff. Konzernformen Unterordnungskonzern Gleichordnungskonzern Eingliederungskonzern Vertragskonzern faktischer Konzern Vertragskonzern faktischer Konzern 10 1  Grundlegung Beim Gleichordnungskonzern (§ 18 Abs. 2 AktG) stehen rechtlich selbstständige Unternehmen unter einheitlicher Leitung, ohne dass ein Unternehmen von dem anderen abhängig ist. In diesem Fall beruht die Leitungsmacht entweder auf vertraglicher Basis durch ein Gemeinschaftsorgan oder auf faktischen Gegebenheiten, wie z.B. personellen Verflechtungen der Leitungsorgane der beteiligten Unternehmen.1 Im Unterordnungskonzern werden die rechtlichen Möglichkeiten und Grenzen der Beherrschung abhängiger Unternehmen neben deren Rechtsform maßgeblich durch die Grundlagen der Leitungsmacht bestimmt. Die umfassendsten Einflussmöglichkeiten bietet die Eingliederung. Sie stellt die stärkste Form der Konzernverbindung dar und kommt im Ergebnis einer Fusion sehr nahe, denn die eingegliederte Gesellschaft ist im Innenverhältnis einer unselbstständigen Betriebsabteilung gleichgestellt. Im Gegensatz zur Fusion bleibt jedoch ihre rechtliche Selbstständigkeit im Außenverhältnis erhalten. Die Eingliederung ist nur möglich, wenn erstens das herrschende und das abhängige Unternehmen Aktiengesellschaften mit Sitz im Inland sind und zweitens das herrschende Unternehmen mindestens 95% der Aktien der abhängigen Gesellschaft besitzt. Bei Eingliederung verfügt der Vorstand der Konzernobergesellschaft über weitreichende Weisungsbefugnisse gegenüber dem Vorstand des eingegliederten Unternehmens. Die Weisungen sind stets verbindlich, auch wenn sie Nachteile für die abhängige Gesellschaft mit sich bringen oder ihre Existenz gefährden.2 Mit der Eingliederung übernimmt das herrschende Unternehmen indes auch Pflichten, wie z.B. die Verpflichtung zur Verlustübernahme, die gesamtschuldnerische Haftung für Verbindlichkeiten der eingegliederten Gesellschaft oder die Pflicht zur Sicherheitsleistung. Einflussmöglichkeiten können ferner durch Unternehmensverträge begründet werden. Vorrangige Bedeutung kommt dabei dem Beherrschungsvertrag zu (§ 291 Abs. 1 AktG), mit dem eine Gesellschaft ihre Leitung einem anderen Unternehmen unterstellt.3 Im dadurch entstehenden Vertragskonzern hat das herrschende Unternehmen das Recht, dem Vorstand des abhängigen Unternehmens Weisungen zu erteilen (§ 308 AktG). Sofern diese Weisungen dem Konzerninteresse dienen und der Satzung des abhängigen Unternehmens oder geltenden Gesetzen nicht widersprechen, müssen auch für das abhängige Unternehmen nachteilige Weisungen befolgt werden. Zum Schutz gegen einen Missbrauch dieses Weisungsrechts ist das herrschende Unternehmen aber zum Verlustausgleich verpflichtet (§ 302 AktG). Einflussmöglichkeiten können auch ohne vertragliche Grundlage existieren. Dies ist bei faktischen Abhängigkeitsverhältnissen (z.B. bei einer Mehrheitsbe- 1 Vgl. Scheffler (2005), S. 6. 2 Vgl. Kleindiek (2003), S. 574. 3 Aus steuerlichen Gründen wird der Abschluss eines Beherrschungsvertrages oft mit dem Abschluss eines Gewinnabführungsvertrages kombiniert, um eine körperschaftssteuerliche Organschaft nach § 14 KStG herzustellen. Allein durch den Abschluss eines Gewinnabführungsvertrages entsteht indes nach h.M. kein Vertragskonzern (vgl. Thei‐ sen (2000), S. 47). 1.2  Grundlagen des Risikomanagements im Konzern 11 teiligung) regelmäßig der Fall. Durch die Ausübung der einheitlichen Leitung entsteht dann ein faktischer Konzern. Hierbei verfügt das herrschende Unternehmen im Gegensatz zum Vertragskonzern grundsätzlich nicht über das Recht, nachteilige Weisungen zu erteilen, auch wenn sie im Konzerninteresse stehen. Gleichwohl werden derartige Weisungen vom Aktiengesetz geduldet, sofern die entstehenden Nachteile ausgeglichen werden. Nach § 311 AktG muss der Nachteilsausgleich bis zum Ende des Geschäftsjahres erfolgen. Zudem hat der Vorstand des abhängigen Unternehmens einen Abhängigkeitsbericht zu erstellen (§ 312 AktG), der vom Abschlussprüfer und Aufsichtsrat zu prüfen ist (§§ 313, 314 AktG). Aufgrund des eingeschränkten Weisungsrechts des herrschenden Unternehmens ist dieses grundsätzlich nicht zum Verlustausgleich verpflichtet. Eine solche Pflicht kann jedoch entstehen, wenn sich die Einflussnahme des herrschenden Unternehmens nicht auf einzelne nachteilige Maßnahmen beschränkt (sog. einfacher faktischer Konzern), sondern dauerhaft in einem solchen Umfang ausgeübt wird, dass die Weisungen nicht mehr in ihren Wirkungen isoliert werden können (sog. qualifiziert faktischer Konzern).1 Die vorstehenden Ausführungen zeigen, dass das deutsche Aktienrecht insgesamt ein breites Spektrum unterschiedlicher Gestaltungsformen für den Konzern eröffnet. Eine lose Zusammenarbeit in Form eines Gleichordnungskonzerns ist ebenso möglich wie eine umfassende Beherrschung des abhängigen Unternehmens im Eingliederungskonzern. Empirische Befunde zu börsennotierten deutschen Konzernen dokumentieren, dass reine Kapitalbeteiligungen und die Kombination von Kapitalbeteiligungen mit Unternehmensverträgen die wichtigsten Konzernierungsgrundlagen darstellen.2 Unternehmensverträge ohne Kapitalbeteiligung sind dagegen vergleichsweise selten, was insofern verständlich ist, als der Vertragsabschluss in diesem Fall schwer durchzusetzen ist. Die Möglichkeit, einen Konzern auf vertraglicher (Vertragskonzern) und faktischer Grundlage (faktischer Konzern) zu bilden, besteht ebenso bei grenzüberschreitender Geschäftstätigkeit.3 Allerdings ist das Konzernrecht nur in wenigen Staaten wie in Deutschland gesetzlich kodifiziert.4 Es wird vielmehr meistens durch Rechtsprechung entwickelt und weist international große Unterschiede auf.5 Selbst innerhalb der Europäischen Union existiert bislang kein einheitliches Konzernrecht. Aus deutscher Sicht sind das im Aktiengesetz kodifizierte Konzernrecht und damit auch die Schutzvorschriften für Minderheitsgesellschafter und Gläubiger nur für solche abhängigen Gesellschaften maßgeblich, die ihren Sitz im Inland haben. Auf ausländische Tochterunternehmen findet es dagegen keine Anwendung, auch wenn die Konzernmutter in Deutschland ansässig ist.6 1 Vgl. Lutter (1990); Scheffler (1990); Schruff (1993), Sp. 2276; Emmerich/Habersack (2008), S. 454ff. Zum GmbH-Konzernrecht vgl. Emmerich/Habersack (2008), S. 465ff. 2 Vgl. Mellewigt (1995), S. 208f. 3 Vgl. Theisen (2000), S. 73ff. 4 Vgl. Hoffmann (1993), S. 55ff.; Schruff (1993), Sp. 2278. 5 Für einen Überblick zum Konzernrecht im Ausland vgl. Mestmäcker/Behrens (1991) und Lutter (1994). 6 Vgl. Theisen (2000), S. 74; Emmerich/Habersack (2008), S. 169. 12 1  Grundlegung 1.2.1.1.3 Betriebswirtschaftlicher Konzernbegriff Obgleich im betriebswirtschaftlichen Schrifttum zahlreiche Definitionen des Konzernbegriffs existieren, besteht Einigkeit darüber, dass ein betriebswirtschaftliches Konzernverständnis die formalen rechtlichen Merkmale berücksichtigen und diese um materielle ökonomische Merkmale ergänzen muss.1 Dementsprechend ist ein Konzern aus betriebswirtschaftlicher Sicht nicht nur durch den Zusammenschluss rechtlich selbstständiger Unternehmen unter einheitlicher Leitung gekennzeichnet, sondern auch dadurch, dass er • eine wirtschaftliche Entscheidungs- und Handlungseinheit bildet, • ein eigenständiges Konzernziel(system) verfolgt und • die unternehmerische Entscheidungsfreiheit der einzelnen Konzernunternehmen einschränkt.2 Mit diesen Merkmalen wird der Konzern als eine wirtschaftlich autonome Einheit beschrieben. Dies schließt nicht aus, dass die einzelnen Konzernunternehmen als eigenständige Marktpartner agieren. Insofern lässt sich der Konzern ökonomisch als eine Zwischenform zwischen einem Einheitsunternehmen und einem Markt charakterisieren.3 Der Konzern weist zum einen Eigenschaften hierarchischer Koordination auf, indem z.B. durch die Konzernleitung Weisungen erteilt werden. Zum anderen finden sich auch Eigenschaften, die typisch für marktliche Beziehungen sind, z.B. die Koordination durch Preise bei konzerninternen Lieferungen und Leistungen. Dieses Konzernverständnis trägt den vielen verschiedenen Erscheinungsformen der Konzernrealität Rechnung. Je nachdem, ob hierarchische oder marktliche Elemente überwiegen, gleicht ein Konzern eher einem Einheitsunternehmen oder einer Gruppe unverbundener Unternehmen, also einem Markt.4 Zusammenfassend lässt sich ein Konzern definieren als eine Mehrheit rechtlich selbstständiger Unternehmen, die eine wirtschaftliche Einheit bildet und als solche unter einheitlicher Leitung ein gemeinsames Ziel(system) verfolgt.5 Dieses Zielsystem umfasst neben allgemeinen Unternehmenszielen auch spezifische (reine) Konzernziele.6 Letztere sind dadurch gekennzeichnet, dass sie nur mit der Organisationsform des Konzerns erreicht werden können (z.B. Ausnutzung von Synergien, Haftungsseparation). 1.2.1.1.4 Konzernorganisationsformen Die Konzernorganisation dient wie die Organisation des Einheitsunternehmens dazu, eine effektive und effiziente Erreichung der verfolgten Ziele sicherzustellen. Im Gegensatz zum Einheitsunternehmen sind im Rahmen der Konzernorganisation die Aufgaben und Kompetenzen auf rechtlich selbstständige Kon- 1 Vgl. Hoffmann (1993), S. 8. 2 Vgl. Hoffmann (1993), S. 8; Theisen (2000), S. 15; Scheffler (2005), S. 1. 3 Vgl. Ordelheide (1986), S. 293. 4 Vgl. Schmidt (1993a), S. 32. 5 Vgl. zu ähnlichen Definitionen Schmidbauer (1998), S. 30; Theisen (2001), S. 31. 6 Vgl. Schmidt (1993b), S. 93ff.; Mellewigt (1995), S. 160ff.; Wenger (1999), S. 172ff. 1.2  Grundlagen des Risikomanagements im Konzern 13 zernunternehmen zu verteilen. Dabei gliedert sich die Aufbaustruktur eines Konzerns gemäß dem oben dargelegten rechtlichen und betriebswirtschaftlichen Konzernbegriff in mindestens zwei Ebenen:1 • Die Spitzeneinheit (Konzernobergesellschaft, Muttergesellschaft) ist in erster Linie für die Konzernführung zuständig. Weiterhin übernimmt sie koordinierende und unterstützende Aufgaben für den Gesamtkonzern (z.B. strategische Planung, Investor Relations). Daneben kann die Spitzeneinheit auch ausführende Aufgaben erfüllen. • Die Grundeinheiten (Tochtergesellschaften) sind für die Sachaufgaben der Leistungserstellung und -verwertung verantwortlich. Diese beiden konstitutiven Konzernebenen können um weitere Ebenen ergänzt werden, indem mehrere Grundeinheiten zu einer Zwischeneinheit zusammengefasst und unter deren einheitliche Leitung gestellt werden. In internationalen Konzernen geschieht dies häufig nach geografischen Gesichtspunkten in Form von Landesholdings. Möglich ist aber ebenso eine Zusammenfassung nach produktorientierten Kriterien. In beiden Fällen bilden Grundeinheiten und Zwischeneinheit einen Teilkonzern. Die unterschiedlichen Möglichkeiten der Aufgaben- und Kompetenzverteilung zwischen den Grund-, Zwischen- und Spitzeneinheiten lassen sich in drei idealtypischen Konzernorganisationsformen umschreiben.2 Sie werden meist als Stammhauskonzern, Managementholding und Finanzholding bezeichnet.3 Von einem Stammhauskonzern (operative Holding) wird dann gesprochen, wenn die Spitzeneinheit selbst ein operatives Geschäft betreibt und damit am externen Markt auftritt.4 Im Vergleich zu den operativen Aufgaben kommt der Konzernführung und dem Halten von Beteiligungen eine untergeordnete Bedeutung zu.5 Charakteristisch für den Stammhauskonzern ist ferner, dass die Grundeinheiten wesentlich kleiner sind als die Spitzeneinheit und für deren Geschäft oftmals nur eine unterstützende und ergänzende Funktion haben. Die Grundeinheiten sind i.d.R. im Kerngeschäft der Konzernspitze tätig und durch einen geringen Diversifikationsgrad gekennzeichnet. Da die Interessen des Stammhauses dominieren, werden meist auch große Teile der operativen Führung von diesem zentral übernommen. Der Stammhauskonzern weist folglich eine ausgeprägte Entscheidungszentralisation und eine intensive Integration der Konzernunternehmen auf.6 Eine Managementholding (strategische Holding, Führungsholding, geschäftsleitende Holding) zeichnet sich dadurch aus, dass die konzernleitende Spitzenein- 1 Vgl. Bleicher (1979), S. 243ff.; Hoffmann (1993), S. 12ff. 2 Vgl. Theisen (2000), S. 160ff. Bei Hoffmann (1993) findet sich dagegen eine Klassifizierung in vier Konzerntypen. 3 In der Literatur werden auch andere Begriffe für diese Konzerntypen verwendet. Vgl. Hoffmann (1993). 4 Vgl. Hoffmann (1992), S. 554; Theopold (1993); Theisen (2000), S. 169. 5 Vgl. Everling (1981), S. 2549; Scheffler (2005), S. 59f. 6 Vgl. Hoffmann (1992), S. 554. 14 1  Grundlegung heit selbst kein operatives Geschäft betreibt.1 Die Leistungserstellung und -verwertung erfolgt ausschließlich in den Grundeinheiten, während die Spitzeneinheit strategische Führungs- und Koordinationsaufgaben wahrnimmt. Dazu gehören z.B. die Entwicklung der Konzernstrategie, die Allokation von Finanzmitteln, der Kauf und Verkauf von Beteiligungen sowie die Planung des Führungskräfteeinsatzes im Konzern. Sämtliche Entscheidungskompetenzen im operativen Bereich und häufig auch solche im Bereich der Geschäftsstrategien sind an die Grundeinheiten delegiert. In einer Managementholding herrscht somit i.d.R. eine größere Entscheidungsdezentralisation vor als im Stammhauskonzern.2 Bei der Finanzholding beschränkt sich die Spitzeneinheit auf die Finanzierung und Verwaltung der Beteiligungen.3 Alle anderen Funktionen und damit verbundenen Entscheidungen sind an die Grundeinheiten delegiert. Die Spitzeneinheit verzichtet somit sowohl auf operative als auch auf strategische Eingriffe bei den Konzernunternehmen und führt diese allein über Finanzziele. Die Konzernstrategie wird nur mittelbar über die Vorgabe von finanziellen Zielen und die Allokation von Kapital beeinflusst. Im Vergleich zur strategischen Holding sind die Entscheidungskompetenzen bei der Finanzholding noch stärker dezentralisiert. Synergien werden im Konzernverbund nur im finanzwirtschaftlichen, nicht aber im leistungswirtschaftlichen Bereich angestrebt, da die Grundeinheiten hier autonom agieren. Die drei idealtypischen Konzernorganisationsformen zeichnen sich in der dargestellten Reihenfolge somit einerseits durch eine zunehmende Delegation von Aufgaben und Entscheidungskompetenzen und damit eine steigende Autonomie der Grundeinheiten sowie andererseits durch abnehmende Standardisierung und Synergiepotenziale aus. Stammhauskonzern, Managementholding und Finanzholding bilden folglich unterschiedliche Gestaltungsalternativen auf dem oben beschriebenen Kontinuum zwischen Einheitsunternehmen und Markt. Innerhalb eines mehrstufigen Konzernverbundes mit Zwischeneinheiten können sie auch kombiniert auftreten.4 So besteht z.B. die Möglichkeit, dass die Spitzeneinheit als Managementholding organisiert ist, während die Zwischeneinheit mit den Grundeinheiten einen Stammhauskonzern bildet (vgl. Abb. 1.2–2). Kennzeichnend für die Struktur des Gesamtkonzerns ist in diesen Fällen indes die Organisation der Konzernspitze. Empirische Untersuchungen, die Anfang der 1990er Jahre durchgeführt wurden, zeigen, dass der Stammhauskonzern die dominante Konzernorganisationsform darstellt.5 Rund 70% der deutschen börsennotierten Konzerne sind in dieser 1 Vgl. Bühner (1987), (1990), (1993a), (1993b) und (1993c); Keller (1990), S. 50ff.; Hoffmann (1992), S. 554; Naumann (1993); Theisen (2000), S. 181ff.; Lutter (2004), S. 11ff.; Scheffler (2005), S. 62f. 2 Vgl. Hoffmann (1992), S. 554; Schreyögg et al. (2004), S. 721. 3 Vgl. Hoffmann (1992), S. 554; Werdich (1993); Theisen (2000), S. 177ff.; Lutter (2004), S. 14f.; Scheffler (2005), S. 60ff. 4 Vgl. Hoffmann (1993), S. 17. 5 Vgl. Hoffmann (1993), S. 77; Mellewigt (1995), S. 159. Neuere empirische Befunde liegen bislang nicht vor, so dass offen ist, inwieweit Holdingstrukturen weitere Verbreitung in der Praxis gefunden haben. 1.2  Grundlagen des Risikomanagements im Konzern 15 Form organisiert.1 Bei den übrigen 30%, die als Holdingkonzerne zu klassifizieren sind, handelt es sich ganz überwiegend um Managementholdings. Dagegen weisen Finanzholdings nur eine geringe Verbreitung auf. Die empirischen Befunde dokumentieren aber auch, dass die Grenzen zwischen den idealtypischen Konzernorganisationsformen in der Praxis fließend sind. Dementsprechend entwickelte Mellewigt eine Realtypologie mit sechs Konzernorganisationsformen, die vom zentralisierten nationalen Stammhauskonzern bis zum konglomeraten Holdingkonzern reichen.2 1.2.1.1.5 Zwischenfazit: Konzerne im Spannungsfeld von rechtlicher Vielfalt und  wirtschaftlicher Einheit Die vorstehenden Ausführungen haben deutlich gemacht, dass Konzerne nicht nur die übliche Organisationsform großer und mittelgroßer Unternehmen in der Praxis darstellen, sondern dass diese auch sehr unterschiedliche Erscheinungsformen aufweisen können. Das Konzernrecht eröffnet hierzu ein breites Spektrum an Gestaltungsalternativen und betont damit die Vielfalt. In betriebswirtschaftlicher Sicht steht jedoch der Konzern als wirtschaftliche Einheit im Mittelpunkt des Interesses. Als solche autonome wirtschaftliche Einheit ist der Konzern zahlreichen Risiken ausgesetzt und kann deshalb auch Gegenstand des Risikomanagements sein. Angesichts der vielfältigen rechtlichen und organisatorischen Konzernformen wird bereits an dieser Stelle deutlich, dass bei der Ausgestaltung von Risikomanagementsystemen in Konzernen eine Vielzahl unterschiedlicher Rahmenbedingungen zu berücksichtigen sind. Bevor im Folgenden der Begriff und die Arten des Risikos betrachtet werden, fasst Tab. 1.2–1 die verschiedenen Konzernarten im Überblick zusammen. Festzuhalten bleibt zudem, dass die weiteren Ausführungen von der Struktur eines Unterordnungskonzerns ausgehen. 1 Vgl. Mellewigt (1995), S. 159. Abb. 1.2–2: Mehrstufige Konzernorganisation (in Anlehnung an: Hoffmann (1993), S. 17) 2 Vgl. Mellewigt (1995), S. 242ff. Spitzeneinheit Grundeinheit Zwischeneinheit Grundeinheit GrundeinheitGrundeinheit Oberste Konzernführungsebene Nachgeordnete Konzernführungsebene (Teilkonzern) 16 1  Grundlegung 1.2.1.2 Begriff und Arten des Risikos 1.2.1.2.1 Risikobegriff In der betriebswirtschaftlichen Literatur existieren zahlreiche unterschiedliche Definitionen des Risikobegriffs. Dies liegt im Wesentlichen darin begründet, dass sich die verschiedenen betriebswirtschaftlichen Teildisziplinen aus unterschiedlichen Blickwinkeln mit dem Risikophänomen beschäftigen und jeweils andere Aspekte in den Vordergrund stellen.1 Die konkrete Problemstellung und der Zweck der Untersuchung bestimmen dabei die Risikodefinition, was eine „schillernde Vielseitigkeit“2 dieses Begriffs zur Folge hat. Im Allgemeinen ist der Ausdruck „Risiko“ negativ belegt. Umgangssprachlich wird er meist im Sinne von „Gefahr“ oder „Wagnis“ verwendet. Damit wird auf das subjektive Gefühl, künftige Entwicklungen nicht voll beherrschen zu können, abgestellt. Dieses Risikoverständnis spiegelt sich auch im Schrifttum wider, wenn Risiko als Schadens- oder Verlustgefahr bezeichnet wird.3 Bei einer detaillierteren Betrachtung der in der Literatur verwendeten Risikobegriffe können zwei sich ergänzende Sichtweisen differenziert werden, denen auch in dieser Arbeit gefolgt wird. Die erste, ursachenbezogene Risikodefinition stellt auf die unvollkommende Information bei unternehmerischen Entscheidungen ab.4 Danach können die Wirkungen zukunftsgerichteter Entscheidun- Kriterium Konzernarten Stellung der Unternehmen Unterordnungskonzern, Gleichordnungskonzern Mittel der Beherrschung Eingliederungskonzern, Vertragskonzern, faktischer Konzern Organisationsform Stammhauskonzern, Holdingkonzern (Managementholding, Finanzholding) Anzahl der Konzernstufen Einstufiger Konzern, mehrstufiger Konzern Leistungsprogramm Horizontaler Konzern, vertikaler Konzern, heterogener Konzern Umfang der Auslandsaktivitäten Nationaler Konzern, internationaler (multinationaler) Konzern Person der Anteilseigner Privatkonzern, Staatskonzern Tab. 1.2–1: Systematik von Konzernarten (in Anlehnung an: Küting (1980), S. 8) 1 Beispielsweise werden in der Entscheidungstheorie, Kapitalmarkttheorie und im Prüfungswesen unterschiedliche Risikobegriffe verwendet. Unterschiede bei der Definition von Risiko bestehen aber nicht nur innerhalb der Betriebswirtschaftslehre, sondern auch zwischen verschiedenen Wissenschaften. 2 Oberparleiter (1930), S. 9. 3 Vgl. Leitner (1915), S. 14; Sandig (1939), Sp. 1465; Bussmann (1955), S. 12; Kupsch (1973), S. 26. 4 Dabei wird auch vom formalen Risikobegriff gesprochen (vgl. Kupsch (1975), S. 153). 1.2  Grundlagen des Risikomanagements im Konzern 17 gen ex-ante nicht sicher bestimmt werden. Es besteht vielmehr Unsicherheit über den Eintritt künftiger Entwicklungen und Ereignisse, die zu unterschiedlichen Umweltzuständen führen können. Sind für die möglichen Umweltzustände objektive1 Wahrscheinlichkeiten bekannt, so wird in der traditionellen Entscheidungstheorie von Risiko gesprochen.2 Diese auf Knight (1921) zurückgehende Definition hat sich zwar in der Entscheidungstheorie durchgesetzt, ist aber aufgrund ihrer hohen Anforderung an das Vorliegen objektiver Wahrscheinlichkeiten, die bei unternehmerischen Entscheidungen meist fehlen, auch kritisiert worden.3 Deshalb wird unter Risiko auch ein Informationszustand verstanden, bei dem Wahrscheinlichkeiten für den Eintritt künftiger Entwicklungen und Ereignisse geschätzt werden können und somit eine Wahrscheinlichkeitsverteilung vorliegt.4 Allerdings begründet die unvollständige Information allein noch kein Risiko. Dieses entsteht erst durch die Existenz von Zielen, deren Erreichung durch künftige Entwicklungen und Ereignisse beeinträchtigt werden kann. Risiko ist also immer mit subjektiven Zielsetzungen oder, sofern diese nicht ausdrücklich formuliert wurden, unbewussten Erwartungen verbunden.5 In diesem Sinne definiert Helten Risiko als „das Informationsdefizit über die finale Bestimmtheit, d.h. die Ungewißheit über das Erreichen der gesteckten (geplanten) Ziele“6. Nach diesem Risikoverständnis verursacht z.B. ein möglicher Konjunkturrückgang in den USA (künftige Entwicklung, deren Eintritt unsicher ist) erst dann ein Risiko, wenn dadurch die Erreichung der Absatzziele in diesem Markt gefährdet ist. Für ein Unternehmen, das in diesem Markt nicht agiert, ist die Konjunkturentwicklung zwar auch unsicher, stellt aber kein Risiko dar. Risiko ist daher stets als ein subjektbezogener Begriff zu interpretieren.7 Weiterhin werden in einer ursachenbezogenen Sichtweise auch die künftigen Entwicklungen und Ereignisse, welche die Zielerreichung gefährden und vom Unternehmen nicht oder nur eingeschränkt beeinflusst werden können, als Risiken aufgefasst. Dies wird daran deutlich, dass Risiken häufig anhand der sie auslösenden Faktoren benannt werden (z.B. Konjunkturrisiko).8 In diesem Fall wird der Begriff Risiko im Sinne von Risikofaktor verwendet: „Als Risiken lassen sich alle Ereignisse und möglichen Entwicklungen innerhalb und außerhalb eines Unternehmens definieren, die sich negativ auf die Erreichung der Unter- 1 Objektive Wahrscheinlichkeiten beruhen auf logischen Zusammenhängen (z.B. die Gleichwahrscheinlichkeit der Ergebnisse beim Würfeln) oder empirischen Beobachtungen, wobei hierbei zur Ableitung von Häufigkeitsverteilungen eine große Anzahl gleicher oder ähnlicher Fälle erforderlich sind. 2 Vgl. Knight (1921) sowie im deutschsprachigen Schrifttum Albach (1959), Gutenberg (1962), Bamberg/Coenenberg (2002). Sofern nur subjektive oder gar keine Wahrscheinlichkeiten bestimmbar sind, liegt eine Situation bei Unsicherheit (synonym: Ungewissheit) vor. 3 Vgl. Wittmann (1959), S. 54; Karten (1972), S. 158f. 4 Vgl. Karten (1972); Schmidt (1978), S. 87. 5 Vgl. Haller (1978), S. 7. 6 Helten (1994), S. 21. 7 Vgl. Streitferdt (1973), S. 7f. 8 Vgl. Oberparleiter (1958), Sp. 4695; Miller (1992), S. 311. 18 1  Grundlegung nehmensziele auswirken können“1. Als eine spezielle Ursache von Risiko wird dabei in der Literatur menschliches Versagen hervorgehoben.2 Im Gegensatz zu diesen auf die Risikoursachen abzielenden Definitionen stehen bei der wirkungsbezogenen Sicht die mit einem Risiko verbundenen Konsequenzen im Vordergrund.3 So wird unter Risiko die Möglichkeit des Misslingens von Plänen4, die Gefahr einer Fehlentscheidung5 oder die schon erwähnte Schadens- oder Verlustgefahr6 verstanden. Allgemeiner wird Risiko häufig auch als Möglichkeit der Zielverfehlung7 definiert, wodurch der Zielinhalt nicht wie bei der Verlustgefahr auf das Gewinnziel beschränkt bleibt, sondern auch andere Ziele einschließt. Das wirkungsbezogene Risikoverständnis setzt somit wie die ursachenbezogenen Risikobegriffe die Existenz von Zielen bzw. Erwartungen voraus. Zielverfehlungen können grundsätzlich sowohl in positiver als auch in negativer Hinsicht auftreten. Im ersten Fall werden die Ziele übererfüllt, die ursprünglichen Erwartungen werden übertroffen. Im zweiten Fall werden die Ziele dagegen nicht erreicht. Je nachdem, welche Art der Zielabweichung betrachtet wird, lassen sich ein weiter und ein enger Risikobegriff unterscheiden.8 Bei dem weiten Risikobegriff werden unter Risiko positive wie negative Zielabweichungen subsumiert. Demgegenüber fokussiert der enge Risikobegriff nur auf negative Zielverfehlungen. Er ist damit konform mit dem allgemeinen Sprachgebrauch, bei dem Risiko mit etwas Negativem assoziiert wird. Positive Zielabweichungen werden in diesem Fall als Chance bezeichnet. Die Gegenüberstellung der ursachen- und wirkungsbezogenen Sichtweise des Risikos zeigt, dass sich beide Risikoverständnisse nicht gegenseitig ausschlie- ßen.9 Vielmehr werden jeweils einzelne Aspekte des Risikophänomens in den Mittelpunkt gestellt. Abb. 1.2–3 zeigt die verschiedenen Fassetten des Risikobegriffs und somit seine „Vielschichtigkeit“ nochmals auf. Auf der Grundlage der vorstehenden Ausführungen ist eine für die Problemstellung der vorliegenden Arbeit zweckmäßige Risikodefinition zu wählen. Da die im Rahmen des KonTraG eingeführten gesetzlichen Vorschriften zum Risikomanagement ausschließlich auf negative Zielverfehlungen abstellen und dieses Begriffsverständnis auch in der Praxis dominiert, wird im Weiteren dem engen Risikobegriff gefolgt. Zugleich wird unter Risiko eine Kombination der ursachenund wirkungsorientierten Sichtweise verstanden. Demnach lassen sich Risiken 1 Jeetun (2003), S. 529. Vgl. ebenso Graf (2002), S. 147. 2 Vgl. Philipp (1967), S. 16ff. 3 Es wird daher auch vom materiellen Risikobegriff gesprochen (vgl. Kupsch (1975), S. 153f.). 4 Vgl. Wittmann (1959), S. 36; Wächli (1975), S. 40. 5 Vgl. Wittmann (1959), S. 189; Philipp (1967), S. 13; Mag (1981), S. 480. 6 Vgl. Sandig (1939), Sp. 1465; Bussmann (1955), S. 12. 7 Vgl. Nicklisch (1912), S. 166; Oberparleiter (1930), S. 95; Kremers (2002a), S. 39. 8 Vgl. Gleißner/Wolfrum (2001), S. 150f.; Kremers (2002a), S. 38. 9 Vgl. Tümpen (1987), S. 9; Kremers (2002a), S. 39; Wall (2002), S. 383. 1.2  Grundlagen des Risikomanagements im Konzern 19 als künftige Entwicklungen und Ereignisse definieren, die aufgrund unvollkommener Information die Erreichung der Unternehmensziele negativ beeinträchtigen können. 1.2.1.2.2 Arten von Risiken Unternehmen und Konzerne sind einer Vielzahl unterschiedlicher Risiken ausgesetzt. Um einen Überblick über diese Risiken zu gewinnen, ist es sinnvoll, die verschiedenen Risiken anhand bestimmter Kriterien systematisch zu ordnen. In Tab. 1.2–2 sind exemplarisch einige Möglichkeiten für eine solche Risikokategorisierung dargestellt.1 Von diesen sollen an dieser Stelle zwei Abgrenzungen näher erläutert werden. Grundlegend ist zum einen die Differenzierung in Einzel- und Gesamtrisiko.2 Ersteres ist mit jeder einzelnen unternehmerischen Entscheidung verbunden; es stellt die eigentliche Ursache für die Zielverfehlung dar.3 Bei Letzterem handelt es sich dagegen um das Aggregat der vielfältigen Einzelrisiken. Dieses ergibt sich jedoch nicht einfach als Summe der Einzelrisiken, da zwischen diesen kompensatorische Effekte auftreten können. In einem Risikoverbund findet folglich i.d.R. ein gewisser Risikoausgleich statt. Für die Risikolage einer Wirtschaftseinheit ist indes das Gesamtrisiko entscheidend. Da dieses aber für konkrete Maßnahmen des Risikomanagements eine zu globale, wenig operationale Größe darstellt, stehen im Rahmen des Risikomanagements bedeutsame Einzelrisiken im Vordergrund. Zum anderen ist die Unterscheidung nach der Art der möglichen Zielabweichung bedeutsam. Diesbezüglich lassen sich symmetrische (spekulative) und Abb. 1.2–3: Ursachen‐ und wirkungsbezogene Sichtweise des Risikobegriffs 1 Für ähnliche Systematisierungsversuche vgl. Liswosky (1947); Mikus (2001), S. 7ff.; Rogler (2002), S. 9ff.; Kremers (2002a), S. 47ff.; vgl. ferner die Literaturübersicht bei Gros (2002), S. 110. 2 Vgl. Farny (1979), S. 19f. 3 Vgl. Hölscher (2000b), S. 300. Risikoisi (Negative)Zielverfehlung Künftige Entwicklungen und Ereignisse Unvollkommene Information Unsicherheit Ziele Risikoursachen Risikowirkung 20 1  Grundlegung asymmetrische (reine) Risiken differenzieren.1 Symmetrische Risiken können zu positiven wie auch zu negativen Zielverfehlungen führen (z.B. Konjunkturschwankungen). Asymmetrische Risiken verursachen dagegen nur negative Wirkungen (z.B. Feuer, Einbruch). Da wie vorstehend dargelegt in dieser Arbeit dem engen Risikobegriff in Sinne von negativen Zielabweichungen gefolgt wird, werden beide Arten von Risiken betrachtet, wobei bei den symmetrischen Risiken jedoch nur die negativen Wirkungen analysiert werden. 1.2.1.3 Begriff des Risikomanagements Unter Risikomanagement kann allgemein der Umgang mit Risiken in einem Unternehmen oder Konzern verstanden werden. Dementsprechend lässt sich Risikomanagement auch als ein System von organisatorischen Regeln und Maßnahmen zum strukturierten Umgang mit Risiken definieren.2 Die Gesamtheit aller dieser Regeln und Maßnahmen bildet das Risikomanagementsystem des Unter- 1 Vgl. Farny (1979), S. 20f.; Kless (1998), S. 93; Weber et al. (1999a), S. 15. Kriterium Risikoarten Aggregationsgrad Einzelrisiko, Gesamtrisiko Tragweite Bestandsgefährdende, wesentliche und unwesentliche Risiken Ursprung Interne und externe Risiken Funktionsbereich F&E-, Beschaffungs-, Produktions-, Absatz-, Logistikrisiken Bereich Leistungswirtschaftliche und finanzwirtschaftliche Risiken Zielgrößen Erfolgspotenzial-, Erfolgs- und Liquiditätsrisiken Zeitbezug Langfristige und kurzfristige Risiken Messbarkeit Messbare und nicht messbare Risiken Wechselwirkungen Abhängige (kompensierende oder kumulierende) und unabhängige Risiken Wirkungseintritt Schleichende und schlagende Risiken Beeinflussbarkeit Beeinflussbare und nicht beeinflussbare Risiken Art der möglichen Zielabweichung Symmetrische (spekulative) und asymmetrische (reine) Risiken Versicherbarkeit Versicherbare und nicht versicherbare Risiken Kapitalmarktrelevanz Systematisches und unsystematisches Risiko Tab. 1.2–2: Systematik von Risikoarten 2 Vgl. Braun (1984), S. 17ff.; Mensch (1991), S. 94ff.; Schichold (2001a), S. 575; Neubeck (2003), S. 43ff.; Diederichs et al. (2004), S. 189; Schorcht (2004), S. 65f. 1.2  Grundlagen des Risikomanagements im Konzern 21 nehmens oder Konzerns.1 Dieses kann in weitere Subsysteme differenziert werden. In der Literatur besteht hierzu keine einheitliche Terminologie und Abgrenzung. Im Rahmen dieser Arbeit wird das Risikomanagementsystem in drei Subsysteme unterteilt: • das Risikofrüherkennungssystem, • das Risikobewältigungssystem und • das (interne) Überwachungssystem.2 Eine weitere Spezifizierung dieser Subsysteme und der zwischen ihnen bestehenden Beziehungen erfolgt im Zusammenhang mit der Analyse der rechtlichen Anforderungen an das Risikomanagement in Abschnitt 1.2.3.1.2. sowie im weiteren Verlauf der Arbeit. In einer anderen Betrachtungsweise kann Risikomanagement auch als ein Bündel von Aufgaben interpretiert werden, welche die Entscheidungsträger im Konzern zum Umgang mit Risiken wahrnehmen. Diese Aktivitäten lassen sich in eine sachlogische Reihenfolge gliedern, aus der sich ein idealtypischer Risiko‐ managementprozess ergibt. Im Schrifttum werden auch die Teilschritte dieses Prozesses unterschiedlich abgegrenzt und bezeichnet.3 Hier wird einer Differenzierung in einen Kernprozess und mehrere Unterstützungsprozesse gefolgt. Der Kernprozess des Risikomanagements umfasst die Analyse (Identifikation, Bewertung), Steuerung und Kontrolle von Risiken. Diese Aufgaben werden durch die Dokumentation und Kommunikation von Risiken sowie die Überwachung des Risikomanagementprozesses begleitet und unterstützt. Die Dokumentation und Kommunikation von Risiken und die Prozessüberwachung bilden daher Unterstützungsprozesse des Risikomanagements. Wird Risikomanagement als Prozess aufgefasst, so liegt eine funktionale Sicht zu Grunde. Im Gegensatz dazu kann der Begriff Risikomanagement auch insti‐ tutional verwendet werden.4 Risikomanagement bezeichnet in diesem Fall eine organisatorische Einheit (Stelle, Abteilung), die sich ausschließlich oder überwiegend mit Aufgaben des Risikomanagements befasst. Eine solche Organisationseinheit nimmt jedoch i.d.R. nicht alle Aufgaben des Risikomanagements selbst wahr, sondern hat vor allem eine Koordinationsfunktion. Auf der Grundlage dieser begrifflichen Abgrenzungen sind nunmehr Überlegungen zur ökonomischen Fundierung und zu den rechtlichen Anforderungen an das Risikomanagement möglich. Diesen Aspekten wenden sich die folgenden Abschnitte zu. 1 Vgl. zum Systemansatz auch Abschnitt 1.4.4.1. 2 Vgl. zu einer ähnlichen Differenzierung Eggemann/Konradt (2000), S. 506; Schichold (2001a), S. 575f.; Kajüter (2003a), S. 54; Franz/Kajüter (2011), S. 485f. 3 Zu unterschiedlichen Definitionen des Risikomanagementprozesses vgl. z.B. Mugler (1979), S. 78ff.; Härterich (1987), S. 38ff.; Sauerwein/Thurner (1998), S. 32ff.; Mikus (1999), S. 86ff.; Bitz (2000a), S. 25ff.; Bolsenkötter (2001), S. 31; Brühwiler (2001), S. 79f.; Gebhardt/ Mansch (2001), S. 151ff.; Burger/Buchhart (2002a), S. 31; Gampenrieder/Greiner (2002), S. 284f.; Kremers (2002a), S. 76ff.; Baumeister/Freisleben (2003), S. 38; Reichmann (2006), S. 626f. 4 Vgl. Burger/Buchhart (2002a), S. 266ff.; Kremers (2002a), S. 98ff. 22 1  Grundlegung 1.2.2 Ökonomische Fundierung des Risikomanagements Während sich eine Fülle an Beiträgen mit konzeptionellen Fragen des Risikomanagements beschäftigt, wird der ökonomischen Begründung des Risikomanagements nur wenig Beachtung geschenkt. Zumeist wird implizit unterstellt, dass die Steuerung von Risiken in Unternehmen bzw. Konzernen1 vorteilhaft ist oder allgemein auf die wertsteigernde Wirkung des Risikomanagements hingewiesen.2 Nachfolgend werden dagegen auf der Grundlage der Kapitalmarkttheorie sowie der Neuen Institutionenökonomie verschiedene theoretische Erklärungsansätze für ein betriebliches Risikomanagement aufgezeigt. Aus theoretischer Sicht besteht für Unternehmen ein Anreiz zum Risikomanagement, wenn dies zu einer besseren Erreichung der Unternehmensziele beiträgt. Wird das Ziel der Steigerung des Unternehmenswertes verfolgt, ist ein betriebliches Risikomanagement somit zweckmäßig, wenn es den risikoadjustierten Kapitalkostensatz verringert oder die Einzahlungsüberschüsse erhöht. In einer neoklassischen Modellwelt ist dies indes nicht möglich, da die Investoren auf einem vollkommenen Kapitalmarkt Risiken durch Diversifikation ihrer Portefeuilles oder durch Abschluss spezieller Sicherungsgeschäfte zu gleichen Konditionen selbst steuern können.3 Die Kapitalmarkttheorie differenziert das Gesamtrisiko dabei in zwei Komponenten, das unsystematische und das systematische Risiko. Ersteres ist unternehmensspezifisch und kann durch Diversifikation eliminiert werden. Aus diesem Grunde hat es keinen Einfluss auf die Renditeerwartung der Investoren bzw. die Kapitalkosten des Unternehmens. Letzterem sind dagegen alle Unternehmen am Markt ausgesetzt. Investoren fordern deshalb für die Übernahme des systematischen Risikos eine Prämie, deren Höhe die Kapitalkosten beeinflusst. Risikopolitische Maßnahmen könnten dieses Risiko zwar reduzieren, auf einem vollkommenen Kapitalmarkt würde der Unternehmenswert dadurch jedoch nicht erhöht, da lediglich eine Bewegung entlang der Wertpapiermarktlinie bewirkt würde.4 Risikomanagement auf Unternehmensebene wäre folglich irrelevant und würde durch seine Kosten sogar Wert vernichten. Diese Schlussfolgerung beruht indes auf den restriktiven Annahmen der neoklassischen Kapitalmarkttheorie, wie z.B. rationales Verhalten der Akteure, symmetrische Information und fehlende Transaktionskosten.5 Werden diese Prämissen modifiziert und – wie bei der Neuen Institutionenökonomie – Marktunvollkommenheiten unterstellt, so kann ein betriebliches Risikomanagement komparative Vorteile gegenüber der Risikosteuerung durch die Investoren aufweisen. Dies ist zum einen dann der Fall, wenn die Portfolios der Investoren nur 1 Die Ausführungen in diesem Abschnitt gelten gleichermaßen für ein Einzelunternehmen und einen Konzern. Daher wird an dieser Stelle diesbezüglich nicht weiter differenziert. 2 Vgl. z.B. Burger/Buchhart (2002c), S. 152ff.; Schierenbeck/Lister (2002a), S. 311ff. 3 Vgl. Pritsch/Hommel (1997), S. 673ff.; Glaum (2002), S. 460f.; Hoitsch/Winter (2004a), S. 121. 4 Vgl. Pritsch/Hommel (1997), S. 674; Hoitsch/Winter (2004a), S. 121. 5 Vgl. Picot/Schuller (2001), S. 244; Winter (2007), S. 103ff.; Kajüter (2009b), S. 110f. 1.2  Grundlagen des Risikomanagements im Konzern 23 unzureichend diversifiziert sind und durch das betriebliche Risikomanagement das unternehmensspezifische, unsystematische Risiko und damit die Kapitalkosten gesenkt werden können. Zum anderen kann Risikomanagement auf Unternehmensebene aber auch zu höheren Einzahlungsüberschüssen führen, sofern die Kosten des Risikomanagements geringer sind als die dadurch erzielten Einsparungen. Solche Einsparungen lassen sich mithilfe der Agency- und Transaktionskostentheorie begründen.1 Dies soll anhand von zwei Beispielen illustriert werden.2 Zum einen kann Risikomanagement aus agency-theoretischer Sicht dazu beitragen, mögliche Agency-Konflikte und daraus resultierende Agency-Kosten zu vermeiden.3 Solche Konflikte entstehen z.B. dann, wenn risikoaverse Manager (Agenten) im Gegensatz zu den Investoren (Prinzipalen) das unsystematische Risiko nicht durch Diversifikation eliminieren können und dieses daher zusammen mit dem systematischen Risiko bei Investitionsentscheidungen berücksichtigen. In diesem Fall werden aus Anteilseignersicht an sich wertsteigernde Projekte möglicherweise abgelehnt, wodurch aus der Prinzipal-Agenten-Beziehung für die Anteilseigner Opportunitätskosten resultieren. Mit Hilfe von Risikomanagementsystemen können Manager diese Risiken indes identifizieren und anderweitig reduzieren, sodass sie die Investitionsentscheidungen nicht negativ beeinflussen. Zum anderen können meist auch Kunden und Lieferanten das unsystematische Risiko, dem sie in ihren Geschäftsbeziehungen zu dem Unternehmen ausgesetzt sind, nicht oder nur unvollständig durch Diversifikation eliminieren. Ursächlich dafür sind u.a. die Transaktionskosten, die beim Aufbau von Geschäftsbeziehungen anfallen. Kunden und Lieferanten haben daher ein Interesse an der finanziellen Stabilität ihrer Geschäftspartner, insbesondere dann, wenn sie spezifische Investitionen im Zusammenhang mit der Geschäftsbeziehung tätigen. Ein systematisches Risikomanagement trägt in dieser Situation dazu bei, die Attraktivität des Unternehmens als Geschäftspartner zu steigern, da die Wahrscheinlichkeit, dass es Pflichten aus der Geschäftsbeziehung (z.B. zur Gewährleistung oder Abnahme von Leistungen) nicht erfüllen kann, reduziert wird.4 Risikomanagement leistet insofern einen Beitrag zur Stärkung der Wettbewerbsfähigkeit eines Unternehmens. 1 Vgl. Smith/Stulz (1985), S. 391ff.; MacMinn (1987), S. 667ff.; Stulz (1996), S. 12ff.; Pritsch/ Hommel (1997), S. 674ff.; Bühlmann (1998), S. 49ff.; Tufano (1998), S. 68f.; Doherty (2000), S. 193ff.; Hoitsch/Winter (2004a), S. 122ff.; Kaen (2005), S. 426ff.; Winter (2007), S. 103ff.; Ka‐ jüter (2009b), S. 111. 2 Als weitere Argumente für das Risikomanagement werden in der Literatur z.B. Einsparungen bei den Steuerzahlungen aufgrund einer geringeren Volatilität der Vorsteuerergebnisse und geringere Transaktionskosten aufgrund einer reduzierten Insolvenzwahrscheinlichkeit genannt (vgl. Hoitsch/Winter (2004a), S. 129ff.). 3 Vgl. Pritsch/Hommel (1997), S. 676f. 4 Vgl. in diesem Sinne Kaen (2005), S. 429: „risk management actions that reduce the likelihood of a firm failing will increase the willingness of suppliers to enter into long-term contracts and make investments in equipment and product development that benefit the buying firm“. 24 1  Grundlegung Diese theoretischen Überlegungen für die Vorteilhaftigkeit eines betrieblichen Risikomanagements werden durch empirische Befunde gestützt. Diese signalisieren, dass durch die Reduzierung unternehmensspezifischer Risiken die operative Effizienz verbessert und dadurch der Cashflow des Unternehmens erhöht werden kann.1 Auf diese Weise fördert Risikomanagement die Steigerung des Unternehmenswertes und ist grundsätzlich zielkonform mit den Interessen der Anteilseigner. 1.2.3 Rechtliche Anforderungen an das Risikomanagement Obgleich Unternehmen und Konzerne, wie vorstehend dargelegt, grundsätzlich ein Eigeninteresse haben, Risikomanagement zu betreiben, existieren dazu auch rechtliche Anforderungen. Diese lassen sich auf der Grundlage der normativen Regulierungstheorie mit dem Hinweis auf gesamtwirtschaftliche Wohlfahrtsverluste, Marktversagen und die Notwendigkeit, bestimmte Akteure zu schützen, begründen.2 Nachfolgend werden die rechtlichen Normen zum Risikomanagement in Deutschland aufgezeigt.3 Da internationale Konzerne ebenso von den in anderen Ländern geltenden Vorschriften zum Risikomanagement betroffen sein können, werden auch diese im Überblick dargestellt. 1.2.3.1 Regulierung des Risikomanagements in Deutschland 1.2.3.1.1 Überblick über rechtliche Normen zum Risikomanagement Die Verpflichtung des Vorstands nach § 91 Abs. 2 AktG zur Einrichtung eines Risikofrüherkennungs- und Überwachungssystems ist eingebettet in eine Reihe weiterer gesetzlicher und berufsständischer Normen. Gemeinsames Ziel dieser Regelungen ist es, eine ordnungsmäßige Unternehmensführung und -überwachung sicherzustellen sowie die Transparenz gegenüber dem Kapitalmarkt zu erhöhen. Da die verschiedenen Vorschriften einander ergänzen, können die aus § 91 Abs. 2 AktG resultierenden Anforderungen nicht losgelöst von dem allgemeinen Rechtsrahmen, der auch die Pflichten des Aufsichtsrats und des Abschlussprüfers normiert, analysiert werden (vgl. Abb. 1.2–4).4 Mit § 91 Abs. 2 AktG wird ein Teilaspekt der in § 76 AktG kodifizierten Leitungspflicht des Vorstands hervorgehoben und seine Sorgfaltspflicht nach § 93 Abs. 1 AktG konkretisiert.5 Der Deutsche Corporate Governance Kodex unterstreicht 1 Vgl. Amit/Wernerfelt (1990), S. 529f.; vgl. ferner Seifert (1986), S. 112ff. 2 Vgl. dazu ausführlich Kajüter (2004a), S. 41; zur Regulierung aus ökonomischer Sicht vgl. Fülbier (1999). 3 Die Ausführungen beschränken sich dabei auf branchenübergreifend geltende Normen. Branchenspezifische Regelungen, wie sie z.B. für Banken nach § 25a Abs. 1 KWG oder für öffentliche Unternehmen nach § 53 HGrG gelten, werden im Weiteren nicht gesondert erwähnt (vgl. dazu Endres (1999), S. 452, und Poddig/Kunze (2003) bzw. Bolsenkötter (2001), Rn. 23ff.). 4 Vgl. Weiss/Heiden (2003), Rn. 67ff. 5 Vgl. Zimmer/Sonneborn (2001), S. 43. 1.2  Grundlagen des Risikomanagements im Konzern 25 diese Vorstandspflicht nochmals (DCGK, Rn. 4.1.4).1 Zudem verlangt er, dass der „Vorstand … den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen … der Risikolage, des Risikomanagements und der Compliance“ (DCGK, Rn. 3.4) informiert. Grundlage dafür bieten die Vorstandsberichte an den Aufsichtsrat gemäß § 90 AktG. Bei der nach § 91 Abs. 2 AktG erforderlichen internen Überwachung des Risikofrüherkennungssystems kann der Vorstand durch die interne Revision unterstützt werden. Dazu sind im IIR Revisionsstandard Nr. 2 entsprechende Grundsätze definiert. Bei börsennotierten Aktiengesellschaften ist das vom Vorstand zu unterhaltende Risikofrüherkennungs- und Überwachungssystem vom Abschlussprüfer im Hinblick auf seine Existenz, Eignung und Funktionsfähigkeit zu prüfen (§ 317 Abs. 4 HGB). Hierbei handelt es sich um eine Systemprüfung, deren Inhalte und Ablauf durch IDW PS 340 im Detail geregelt werden. Auf das Ergebnis seiner Prüfung muss der Abschlussprüfer in einem besonderen Teil des Prüfungsberichts eingehen (§ 321 Abs. 4 HGB). Dabei hat er – sofern erforderlich – auch auf notwendige Verbesserungen hinzuweisen. Zu konkreten Vorschlägen ist der Prüfer indes nicht verpflichtet.2 Solche kann und sollte er aber z.B. in den Management Letter aufnehmen. Der Bestätigungsvermerk enthält schließlich keine Information über das Prüfungsergebnis, da sich dieser nur auf die Ordnungsmä- ßigkeit der Rechnungslegung bezieht, nicht aber auf die Organisationspflichten des Vorstands. Dies ist insofern kritisch zu sehen, als externe Adressaten auf 1 Vgl. hierzu auch Preußner (2004). Abb. 1.2–4: Einordnung des § 91 Abs. 2 AktG in den Rechtsrahmen des Risikomanagements  (in Anlehnung an: Weiss/Heiden (2003), S. 21) 2 Vgl. Jacob (1998), S. 1047; Böcking/Orth (2000), S. 253; Dobler (2001), S. 2090; Lachnit/Müller (2001), S. 387. Aufsichts‐ rat Abschluss‐ prüfer Vorstand § 91 Abs. 2 AktG Investoren und  andere Stakeholder Erteilung des Prüfungsauftrages (§ 111 Abs. 2 S. 3 AktG) Prüfungsbericht (§ 321 HGB) Risikofrüherkennungssystem Überwachungssystem Vorstandsbericht (§ 90 AktG, DCGK) Prüfung (§ 317 Abs. 4 HGB, IDW PS 340) Prüfung (§ 317 Abs. 2 HGB) Bestätigungsvermerk (§ 322 HGB) Bericht an HV (§ 171 Abs. 2 AktG) Prüfung (§ 171 Abs. 1 AktG) Überwachung (§ 111 AktG, DCGK, § 107 Abs. 3 AktG) Chancen-/Risikoberichterstattung (§§ 289 und 315 HGB, DRS 5/15) Entsprechenserklärung (§ 161 AktG) Bilanzeid (WpHG) 26 1  Grundlegung diese Weise nicht über die Prüfung des Risikofrüherkennungs- und Überwachungssystems informiert werden.1 Die Prüfungsergebnisse des Abschlussprüfers bilden eine wichtige Grundlage für die Überwachungstätigkeit des Aufsichtsrats gemäß § 111 Abs. 1 AktG. Da die nach § 91 Abs. 2 AktG zu ergreifenden Maßnahmen zur Leitungsaufgabe des Vorstands gehören, unterliegen sie unmittelbar der Überwachungspflicht durch den Aufsichtsrat.2 Obgleich dieser seine Überwachungstätigkeit an den Prüfungsergebnissen ausrichten und über die Erteilung des Prüfungsauftrages (§ 111 Abs. 2 AktG) auch besondere Prüfungsschwerpunkte mit dem Abschlussprüfer vereinbaren kann, entbindet dessen Prüfung den Aufsichtsrat nicht von einer eigenständigen Überwachung. Diese wurde u.a. im Hinblick auf die Wirksamkeit des Risikomanagementsystems durch das BilMoG nochmals hervorgehoben, wobei die Überwachung auch über einen Prüfungsausschuss erfolgen kann (§ 107 Abs. 3 Satz 2 AktG).3 Die Überwachung schließt über die Prüfungsinhalte des Abschlussprüfers hinausgehend auch die Wirtschaftlichkeit des eingerichteten Risikofrüherkennungs- und Überwachungssystems sowie die vom Vorstand ergriffenen Maßnahmen zur Risikosteuerung ein. Zudem kann der Aufsichtsrat das Eingehen besonders riskanter Geschäfte unter seinen Zustimmungsvorbehalt stellen (§ 111 Abs. 4 AktG). Durch den Deutschen Corporate Governance Kodex werden die gesetzlichen Aufgaben des Aufsichtsrats u.a. dahingehend präzisiert, dass der Aufsichtsratsvorsitzende mit dem Vorstand das Risikomanagement beraten (DCGK, Rn. 5.2) und der Aufsichtsrat ein Audit Committee (Prüfungsausschuss) einrichten soll (DCGK, Rn. 5.3.2), das sich u.a. mit Fragen des Risikomanagements auseinander setzt. Diese Empfehlungen des Deutschen Corporate Governance Kodex erhalten insoweit Nachdruck, als der Vorstand und der Aufsichtsrat börsennotierter Aktiengesellschaften nach § 161 AktG jährlich eine Entsprechenserklärung veröffentlichen müssen, in der die Umsetzung der Empfehlungen bestätigt und die nicht befolgten Empfehlungen genannt und erläutert werden müssen („comply or explain“).4 Neben dieser Entsprechenserklärung zielt vor allem die in §§ 289 Abs. 1 und 315 Abs. 1 HGB kodifizierte Chancen- und Risikoberichterstattung auf die Verbesserung der Transparenz über die Risikolage der Unternehmen und Konzerne ab.5 1 Vgl. Böcking/Orth (2000), S. 253ff.; Förschle/Ameling (2010), Rn. 89. 2 Vgl. Claussen/Korth (2000), S. 328ff.; Salzberger (2000), S. 757; Gernoth (2001), S. 301; Kind‐ ler/Pahlke (2001), S. 60ff.; Schichold (2001b), S. 398; Pahlke (2002), S. 1680ff.; Lentfer (2003); Lenz (2004). 3 Vgl. Lanfermann/Röhricht (2009), S. 887ff.; AKEU/AKEIÜ (2009), S. 1279ff.; Zieske/Zenkic (2011), S. 13ff. 4 Vgl. Kirchner (2002), S. 110; Ulmer (2002), S. 172. 5 Die durch das KonTraG eingeführte Risikoberichterstattung ist seit 2005 aufgrund der Gesetzesänderung durch das BilReG um eine Chancenberichterstattung zu ergänzen (vgl. dazu Kajüter (2004b); Kajüter/Esser (2007)). Mit dem BilMoG wurden 2009 zudem kapitalmarktorientierte Unternehmen verpflichtet, im (Konzern-)Lagebericht die wesentlichen Merkmale ihres internen Kontroll- und ihres Risikomanagementsystems im Hinblick auf den (Konzern-)Rechnungslegungsprozess zu beschreiben (vgl. Bischof/Selch (2008); Strieder (2009); Wenk/Jagosch (2009); Withus (2009a), (2009b) und (2009c)). 1.2  Grundlagen des Risikomanagements im Konzern 27 Die im Gesetz nur abstrakt formulierte Vorgabe, im Lage- bzw. Konzernlagebericht die mit der voraussichtlichen Entwicklung verbundenen Chancen und Risiken darzustellen und zu beurteilen, wird durch DRS 5 und 15 formal und inhaltlich konkretisiert.1 Bei kapitalmarktorientierten Unternehmen, die zur Jahres- bzw. Halbjahresfinanzberichterstattung gemäß WpHG verpflichtet sind, muss der Vorstand im sog. Bilanzeid versichern, dass die wesentlichen Chancen und Risiken im (Konzern-)Lagebericht beschrieben sind.2 Dem Abschlussprüfer obliegt es sodann nach § 317 Abs. 2 HGB im Rahmen der Prüfung des (Konzern-) Lageberichts zu prüfen, ob die Chancen und Risiken zutreffend dargestellt sind.3 Im Bestätigungsvermerk muss er auf Risiken, die den Fortbestand des Unternehmens gefährden, gesondert eingehen, und die zutreffende Darstellung der Chancen und Risiken im (Konzern-)Lagebericht bestätigen (§ 322 Abs. 2 und 3 HGB). Letztere kann ggf. zweifelhaft sein, wenn der Prüfer im Rahmen seiner Prüfung Mängel beim Risikofrüherkennungs- und Überwachungssystem feststellt. Obgleich diese selbst, wie oben erwähnt, im Bestätigungsvermerk nicht genannt werden, können sie über eine nicht ordnungsgemäße Risikoberichterstattung auf das Testat rückwirken und ggf. dessen Einschränkung erforderlich machen.4 Im Rahmen seiner Überwachungspflicht hat der Aufsichtsrat auch den Jahresbzw. Konzernabschluss sowie den Lage- bzw. Konzernlagebericht und damit auch die darin enthaltene Chancen- und Risikoberichterstattung zu prüfen und der Hauptversammlung schriftlich über das Ergebnis seiner Prüfung zu berichten (§ 171 Abs. 1 und 2 AktG). Dem Aufsichtsrat stehen dabei zum einen der Prüfungsbericht des Abschlussprüfers und zum anderen die Berichte des Vorstands nach § 90 AktG sowie seine Eindrücke aus der laufenden Überwachungstätigkeit zur Verfügung. Obgleich die Prüfung des Aufsichtsrats grundsätzlich eine eigenständige Prüfung darstellt, weist sie eine geringere Tiefe auf als diejenige des Abschlussprüfers. Ihre Intensität und ihr Umfang werden wesentlich von dessen Aussagen im Prüfungsbericht beeinflusst.5 1.2.3.1.2 Umfang der Vorstandspflichten nach § 91 Abs. 2 AktG Nach § 91 Abs. 2 AktG hat der Vorstand „geeignete Maßnahmen zu treffen, insbesondere ein §Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Während 1 DRS 5 ist für die Risikoberichterstattung im Konzernlagebericht verbindlich, für jene im Lagebericht eine Empfehlung. Vgl. DRS 5.8; Kajüter (2001a), S. 110, und (2001b); Dörner/ Bischof (2003), S. 621. DRS 5 und DRS 15 werden vom DSR in zwei Schritten überarbeitet. Der erste Schritt wurde Anfang 2010 durch DRÄS 5 vollzogen; der zweite Schritt einer grundlegenden Überarbeitung der DRS zur Lageberichterstattung erfolgt in 2010/11. Vgl. hierzu Kajüter et al. (2010); Withus (2010). Für empirische Befunde zur Risikoberichterstattung vgl. z.B. Kajüter (2001a), Kajüter/Winkler (2003) und (2004); Kajüter/Esser (2007). 2 Vgl. hierzu Hönsch (2006). 3 Vgl. dazu Kajüter (2002), S. 243ff. 4 Vgl. Böcking/Orth (2000), S. 255ff.; Eggemann/Konradt (2000), S. 509. 5 Vgl. Adler/Düring/Schmaltz (1997), Rn. 26 28 1  Grundlegung es sich hierbei unstrittig um einen Teil der allgemeinen Leitungsaufgabe des Vorstands nach § 76 Abs. 1 AktG handelt, hat die abstrakte Formulierung des Gesetzes und die Verwendung nicht eindeutig definierter Begriffe in der Gesetzesbegründung eine intensive Diskussion über Art und Umfang der gesetzlichen Anforderungen entfacht. Sowohl in der rechts- als auch in der betriebswirtschaftlichen Literatur ist dabei eine verwirrende Vielfalt an Begriffen zur Kennzeichnung der vom Vorstand zu ergreifenden Maßnahmen entstanden. Dies äußert sich nicht zuletzt darin, dass Begriffe, wie z.B. Risikomanagementsystem, Risikofrüherkennungssystem, Früherkennungssystem, Frühwarnsystem, Überwachungssystem, internes Überwachungssystem, internes Kontrollsystem, Risikoüberwachungssystem, Risikosystemüberwachung sowie Risikomanagement, Risikocontrolling, Controlling und interne Revision, teilweise synonym verwendet, teilweise aber auch unterschiedlich definiert und abgegrenzt werden.1 Letzteres liegt auch darin begründet, dass bislang keine Einigkeit über den Umfang und den Inhalt der Vorstandspflicht nach § 91 Abs. 2 AktG besteht. Vor dem Hintergrund der Entstehungsgeschichte2 der Gesetzesnorm geht die h.M. von einer zweistufigen Verpflichtung aus:3 • Zum einen hat der Vorstand geeignete Maßnahmen zur frühzeitigen Erkennung bestandsgefährdender Entwicklungen zu treffen (Risikofrüherkennungssystem). • Zum anderen muss er die Einhaltung dieser Maßnahmen überwachen (internes Überwachungssystem). Unterschiedliche Auffassungen werden indes darüber vertreten, wie umfassend die Maßnahmen zur Risikofrüherkennung sein müssen. In der betriebswirtschaftlichen Literatur und in der Prüfungspraxis dominiert die Ansicht, dass sich die Ausgestaltung der Risikofrüherkennung mangels konkreter gesetzlicher Vorgaben nach betriebswirtschaftlichen Erkenntnissen richten müsse.4 Danach verpflichte § 91 Abs. 2 AktG zu einer systematischen Identifikation, Bewertung und Kommunikation wesentlicher Einzelrisiken. Eine Beschränkung auf bestandsgefährdende Risiken wird als nicht hinreichend angesehen, da sich einzelne Risiken kumuliert oder in Wechselwirkung mit anderen Risiken existenzgefährdend auswirken können.5 Zudem dürfte es praktisch kaum möglich sein, 1 Beispielsweise wird der Ausdruck Überwachungssystem zum einen als Oberbegriff für die nach § 91 Abs. 2 AktG geforderten Maßnahmen verwendet (vgl. z.B. Schäfer (2001)), zum anderen aber auch als Bezeichnung für ein Subsystem, welches dazu dient, die Maßnahmen zur Risikofrüherkennung zu überwachen (vgl. z.B. Eggemann/Konradt (2000), S. 506). Selbst der Gesetzgeber spricht in § 91 Abs. 2 AktG und § 317 Abs. 4 HGB vom „Überwachungssystem“, in § 321 HGB dagegen vom „internen Überwachungssystem“. 2 Vgl. dazu Seibert (2000); Zimmer/Sonneborn (2001), S. 38ff. 3 Vgl. Drygala/Drygala (2000), S. 299; Salzberger (2000), S. 758; Zimmer/Sonneborn (2001), S. 50; Preußner/Becker (2002), S. 847; Neubeck (2003), S. 42; Hefermehl/Spindler (2004), Rn. 14ff; Hüffer (2010), S. 475f. 4 Vgl. Brebeck/Herrmann (1997), S. 383; Lück (1998a), S. 8f.; Eggemann/Konradt (2000), S. 509. 5 Vgl. Brebeck/Herrmann (1997), S. 384; Eggemann/Konradt (2000), S. 504; Adler/Düring/ Schmaltz (2001), Rn. 10; Bolsenkötter (2001), Rn. 30; Weiss/Heiden (2003), Rn. 105. 1.2  Grundlagen des Risikomanagements im Konzern 29 ein Risikofrüherkennungssystem gezielt nur auf bestandsgefährdende Risiken auszurichten.1 In der rechtswissenschaftlichen Literatur wird diese weite Auslegung überwiegend abgelehnt.2 Dies wird zunächst mit dem Wortlaut von § 91 Abs. 2 AktG begründet, der im Gegensatz zu §§ 289 und 315 HGB nicht den Begriff „Risiko“ verwendet, sondern von „Entwicklungen“ spricht.3 Darunter sind allgemein Veränderungen eines bestehenden Zustands zu verstehen, die das Gesetz dahingehend eingrenzt, dass sie den Fortbestand der Gesellschaft gefährden.4 Hierzu zählen die drohende Insolvenz wegen Überschuldung oder Illiquidität, daneben aber auch Entwicklungen, welche die Rentabilität der Gesellschaft dauerhaft gefährden.5 Um derartige negative Entwicklungen zu erkennen, bedarf es nach der im rechtswissenschaftlichen Schrifttum vertretenen Ansicht keiner regelmäßigen Erfassung sämtlicher Einzelrisiken.6 Vielmehr sei es ausreichend, „wenn der Vorstand jederzeit in der Lage ist, die tatsächliche Gesamtsituation des Unternehmens zu beurteilen und nachteilige Entwicklungen von wesentlicher Bedeutung für die Vermögens-, Finanz- oder Ertragslage zu erkennen“7. Diese enge Auslegung der Vorstandspflichten stützt sich weiterhin auf die Entstehungsgeschichte des § 91 Abs. 2 AktG, die trotz der Verwendung des Begriffs „Risikomanagement“ in der Gesetzesbegründung keine Anhaltspunkte für eine gesetzliche Pflicht zur Einrichtung eines umfassenden Risikomanagementsystems bietet.8 Von Teilen der Rechtswissenschaft wird jedoch auch eine dritte, vermittelnde Position vertreten.9 Sie folgt der engen Auslegung insoweit, als nach dem Gesetzeswortlaut nur existenzbedrohende Risiken unter die Pflicht zur Früherkennung nach § 91 Abs. 2 AktG fallen. Aus dem Gesetzeszweck, einen Beitrag zur Insolvenzprophylaxe zu leisten, resultiert indes die Notwendigkeit einer systematischen Erfassung, Bewertung und Kommunikation von Risiken, wie sie im betriebswirtschaftlichen Schrifttum aus § 91 Abs. 2 AktG abgeleitet wird. Die 1 Vgl. Bolsenkötter (2001), Rn. 30. 2 Vgl. Hüffer (1998), S. 98ff.; Zimmer/Sonneborn (2001), S. 49ff.; Pahlke (2002), S. 1680ff.; Hefermehl/Spindler (2004), Rn. 23; Hüffer (2010), S. 476. 3 Vgl. Hüffer (1998), S. 98ff.; Zimmer/Sonneborn (2001), S. 51; Pahlke (2002), S. 1681f. 4 Exemplarisch werden dazu in der Gesetzesbegründung risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften als Auslöser für bestandsgefährdende Entwicklungen genannt. Vgl. BT-Drucks. 13/9712, S. 15. 5 Vgl. Hüffer (1998), S. 100; Zimmer/Sonneborn (2001), S. 53; a.A. Hefermehl/Spindler (2004), Rn. 17. 6 Vgl. Zimmer/Sonneborn (2001), S. 51; Pahlke (2002), S. 1682. 7 Pahlke (2002), S. 1682. 8 Vgl. Seibert (2000), S. 438. Die unglückliche Verwendung des betriebswirtschaftlich besetzten Begriffs Risikomanagement für ein weniger umfassendes Maßnahmenbündel zur Früherkennung bestandsgefährdender Entwicklungen dürfte ein Hauptgrund für die differierenden Gesetzesinterpretationen sein. 9 Vgl. Drygala/Drygala (2000), S. 299; Preußner/Becker (2002), S. 847ff. 30 1  Grundlegung von Vertretern dieser weiten Auffassung geforderten Detailmaßnahmen stellen indes keine Rechtspflichten dar.1 Unterstützt wird diese Ansicht durch die Rechtsprechung zu den Pflichten des Vorstands nach § 91 Abs. 2 AktG.2 So orientierte sich das Landgericht Berlin bei der Frage, ob das Risikomanagementsystem in dem betreffenden Kreditinstitut den gesetzlichen Anforderungen entsprechend eingerichtet war, an den Feststellungen des Abschlussprüfers.3 Folgen die Gerichte auch künftig im Wesentlichen den Ergebnissen der Abschlussprüfer, dürfte sich die dritte, eher betriebswirtschaftlich orientierte Gesetzesinterpretation, auf der auch IDW PS 340 beruht, als h.M. weiter etablieren. Für diese Auslegung spricht auch, dass sie in Einklang mit §§ 76 Abs. 1 und 93 Abs. 1 AktG steht. Danach gehört es zu den kaufmännischen Sorgfaltspflichten, bedeutsame Risiken zu erfassen und ggf. gegensteuernde Maßnahmen zu ergreifen.4 Insofern gehen diese allgemeinen, bereits vor dem In-Kraft-Treten des KonTraG geltenden Vorschriften über § 91 Abs. 2 AktG hinaus. Schließlich ergibt sich mittelbar aus der Pflicht zur Risikoberichterstattung nach §§ 289 und 315 HGB die Notwendigkeit, wesentliche Einzelrisiken systematisch zu erfassen.5 Eine zweite gesetzlich geforderte Maßnahme stellt die Einrichtung eines Über‐ wachungssystems dar. Mit diesem sollen nicht die Risiken überwacht, sondern – wie die Entstehungsgeschichte der Gesetzesnorm zeigt – die Einhaltung der vom Vorstand ergriffenen Maßnahmen zur Risikofrüherkennung sichergestellt werden.6 Konkrete Anforderungen an das Überwachungssystem sind weder dem Gesetz noch seiner Begründung zu entnehmen. Die Überwachung kann daher sowohl durch laufende, in die betrieblichen Abläufe integrierte, prozessabhängige Kontrollen (z.B. zur Einhaltung von Meldegrenzen und Terminen) als auch durch prozessunabhängige Prüfungen erfolgen.7 Letztere können z.B. durch eine interne Revision wahrgenommen werden. Auf die Notwendigkeit einer angemessenen internen Revision wird in der Gesetzesbegründung hingewiesen.8 Daraus folgt jedoch keine gesetzliche Verpflichtung, eine eigenständige Revisionsabteilung einzurichten.9 Vielmehr steht es im Ermessen des Vorstands zu entscheiden, wie die Überwachung der Risikofrüherkennung erfolgt. Nicht zu den Pflichten nach § 91 Abs. 2 AktG gehört es, Maßnahmen zur Bewäl‐ tigung der erkannten Risiken zu ergreifen.10 Das Eingehen von Risiken und das Ergreifen risikosteuernder Maßnahmen stehen vielmehr im Ermessen des Vorstands nach § 76 Abs. 1 AktG. Die Grenze dieses Ermessens wird durch die 1 Vgl. Drygala/Drygala (2000), S. 299. 2 Vgl. Preußner/Zimmermann (2002), S. 657ff., sowie Bihr/Kalinowsky (2008), S. 622f. 3 Vgl. LG Berlin, Urteil vom 3.7. 2002 – 2 O 358/01. 4 Vgl. Pahlke (2002), S. 1683; Hefermehl/Spindler (2004), Rn. 18. 5 Dies gilt analog für die Erfassung von einzelnen Chancen. 6 Vgl. Zimmer/Sonneborn (2001), S. 55; Weiss/Heiden (2003), Rn. 111; Hüffer (2010), S. 476. 7 Vgl. Brebeck (2002), Sp. 2078. 8 Vgl. BT-Drucks. 13/9712, S. 15. 9 Vgl. Schäfer (2001), S. 87; Weiss/Heiden (2003), Rn. 113. 10 Vgl. Bitz (2000b); Zimmer/Sonneborn (2001), S. 50; Hefermehl/Spindler (2004), Rn. 20. 1.2  Grundlagen des Risikomanagements im Konzern 31 Sorgfaltspflichten gemäß § 93 Abs. 1 AktG gezogen.1 Danach ist allgemein anerkannt, dass es unzulässig ist, unangemessene oder den Bestand des Unternehmens gefährdende Risiken einzugehen.2 Insofern kann sich aus § 93 Abs. 1 AktG durchaus die Pflicht zu risikosteuernden Maßnahmen ergeben. Bei einem Verstoß gegen die aus § 91 Abs. 2 AktG resultierenden Pflichten, also z.B. bei unzureichendem oder gar fehlendem Risikofrüherkennungs- und Überwachungssystem, haften die Vorstandsmitglieder der AG als Gesamtschuldner gemäß § 93 Abs. 2 AktG.3 Die Haftung besteht im Innenverhältnis und setzt schuldhaftes Verhalten und das Vorliegen eines Schadens voraus.4 Ersatzansprüche gegenüber dem Vorstand sind nach § 112 AktG vom Aufsichtsrat geltend zu machen.5 Dabei obliegt dem Vorstand die Beweislast, die Pflichten aus § 91 Abs. 2 AktG mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters erfüllt zu haben. Um dies nachweisen zu können, kommt der Dokumentation des Risikofrüherkennungs- und Überwachungssystems eine zentrale Bedeutung zu.6 Zusammenfassend ist festzuhalten, dass § 91 Abs. 2 AktG den Vorstand nicht zur Einrichtung eines umfassenden Risikomanagementsystems im betriebswirtschaftlichen Sinn verpflichtet, sondern nur ein Risikofrüherkennungs- und Überwachungssystem fordert. Diese Bestandteile sind in Abb. 1.2–5 fett hervorgehoben. Die konkrete Ausgestaltung dieser beiden Systemelemente liegt ebenso im Ermessen des Vorstands wie die Maßnahmen zur Risikobewältigung. Mit § 91 Abs. 2 AktG wird folglich nur ein Mindeststandard für den Umgang mit Risiken im Unternehmen festgelegt.7 1 Durch die mit dem UMAG nach angloamerikanischen Vorbild eingeführte sog. Business Judgement Rule wird der Verlauf der Ermessengrenze in § 93 AktG dahingehend konkretisiert, dass eine Erfolgshaftung der Organmitglieder gegenüber der Gesellschaft ausgeschlossen wird. Es liegt demnach keine Pflichtverletzung vor, „wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln“ (§ 93 Abs. 1 S. 2 AktG n.F.). Diese Gesetzesänderung folgt der Rechtsprechung des BGH im Fall ARAG/Garmenbeck (vgl. BGH Urteil vom 21.4. 1997). Dort wurden die Sorgfaltspflichten des Vorstands als verletzt angesehen, wenn „die Bereitschaft, unternehmerische Risiken einzugehen, in unverantwortlicher Weise überspannt worden“ ist. Ermessensspielräume des Vorstands können ferner auch durch die Satzung, Geschäftsordnung und Beschlüsse der Hauptversammlung eingeschränkt werden. Vgl. Heermann (1998), S. 762f. 2 Vgl. Heermann (1998), S. 763; Pahlke (2002), S. 1683; Graumann et al. (2009). 3 Vgl. Schäfer (2001), S. 95ff.; Neubeck (2003), S. 117ff.; Weiss/Heiden (2003), Rn. 135ff.; Hefer‐ mehl/Spindler (2004), Rn. 28f.; Bihr/Kalinowsky (2008), S. 624ff. 4 Unter bestimmten Bedingungen kann sich auch eine direkte Haftung gegenüber Dritten nach § 823 Abs. 1 BGB ergeben. Vgl. Schäfer (2001), S. 103ff. 5 Mit den durch das UMAG eingeführten §§ 148f. AktG n.F. werden künftig zudem Haftungsklagen durch Aktionärsminderheiten erleichtert. 6 Vgl. Kromschröder/Lück (1998), S. 1576; Bolsenkötter (2001), Rn. 124ff.; Brebeck (2002), Sp. 2075. Vgl. zur Dokumentationspflicht auch LG München I, Urteil vom 5.4. 2007 – 5 HK O 15964/06. 7 Vgl. Pahlke (2002), S. 1683. 32 1  Grundlegung 1.2.3.1.3 Gesellschaftsrechtlicher Anwendungsbereich des § 91 Abs. 2 AktG Von § 91 Abs. 2 AktG sind unmittelbar nur Aktiengesellschaften betroffen. Auf die Einführung analoger Vorschriften in anderen Gesetzen hat der Gesetzgeber bewusst verzichtet.1 Gleichzeitig hat er aber in der Gesetzesbegründung zum KonTraG klargestellt, dass „für Gesellschaften mit beschränkter Haftung je nach ihrer Größe, Komplexität ihrer Struktur usw. nichts anderes gilt und die Neuregelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer anderer Gesellschaftsformen hat“2. Damit wird implizit auf § 43 Abs. 1 GmbHG Bezug genommen, der die Sorgfaltspflichten eines GmbH-Geschäftsführers in Anlehnung an § 93 Abs. 1 AktG regelt.3 In der rechtswissenschaftlichen Literatur existieren indes unterschiedliche Auffassungen darüber, ob und inwieweit eine Übertragung des § 91 Abs. 2 AktG auf Unternehmen anderer Rechtsform zulässig ist. Während für Kommanditgesellschaften auf Aktien (KGaA) allgemein von einer analogen Anwendung ausgegangen wird4, reicht das Meinungsspektrum bei GmbHs von der uneingeschränkten analogen Anwendung der Vorschrift5 bis zu ihrer selektiven Übertragung6. Letzteres entspricht der h.M., denn die in der Gesetzesbegründung erwähnte Ausstrahlungswirkung des § 91 Abs. 2 AktG bezeichnet in der Rechtswissenschaft keine Analogiebildung, sondern nur eine sinngemäße Anwendung einer Norm.7 Risikomanagementsystem Risikofrüherkennungssystem Risikobewältigungssystem Überwachungs‐ system Risikoidentifikation Risikobewertung Risikokommunikation Risikosteuerung Risikokontrolle Systemkontrolle Dokumentation Systemprüfung Abb. 1.2–5: Teilbereiche des Risikomanagementsystems 1 Vgl. BT-Drucks. 13/9712, S. 15; Seibert (2000), S. 438; Daum (2001), S. 426. 2 BT-Drucks. 13/9712, S. 15. 3 Dies gilt weiterhin für Unternehmen in der Rechtform einer eingetragenen Genossenschaft oder Personenhandelsgesellschaft. Vgl. Weiss/Heiden (2003), Rn. 76ff. 4 Vgl. Adler/Düring/Schmaltz (2001), Rn. 2. Begründet wird die Übertragung des § 91 Abs. 2 AktG auf KGaA mit der Entstehungsgeschichte sowie dem Sinn und Zweck des KonTraG. Danach versäumte es der Gesetzgeber, in § 283 AktG einen Verweis auf § 91 Abs. 2 AktG aufzunehmen. 5 Vgl. Scharpf (1997), S. 737ff.; Altmeppen (1999), S. 301f. 6 Vgl. Claussen/Korth (2000), S. 337ff.; Drygala/Drygala (2000); Hommelhoff (2000); Hommel‐ hoff/Mattheus (2000b), S. 26ff.; Daum (2001); Zimmer/Sonneborn (2001), S. 47ff.; Weiss/Hei‐ den (2003), Rn. 75ff. 7 Vgl. Drygala/Drygala (2000), S. 300. Sofern eine analoge Anwendung beabsichtigt worden wäre, hätte auch ohne Weiteres eine analoge Norm in das GmbHG aufgenommen werden können. 1.2  Grundlagen des Risikomanagements im Konzern 33 Um die Reichweite der Ausstrahlungswirkung abzugrenzen, haben sich in der Literatur bislang keine allgemein anerkannten Kriterien herausgebildet. Vielmehr ist z.B. eine Beschränkung auf GmbHs, die als groß i.S.v. § 267 HGB einzuordnen sind, auf GmbHs, die mehr als 2000 Arbeitnehmer haben und daher dem MitBestG unterliegen, auf GmbHs, die über die Emission von Schuldverschreibungen, Genussscheinen oder anderen Wertpapieren den Kapitalmarkt in Anspruch nehmen, sowie auf solche, die als Mutterunternehmen an der Spitze eines Konzerns stehen, vorgeschlagen worden.1 Dabei erscheinen vor allem die beiden letztgenannten Kriterien sinnvoll, weil in diesen Fällen der Schutz von Anlegern oder Minderheitsgesellschaftern im Konzern Bedeutung erlangt.2 Eine Festlegung verbindlicher Abgrenzungskriterien verbleibt jedoch letztlich Aufgabe der Rechtsprechung. 1.2.3.1.4 Pflicht zur konzernweiten Risikofrüherkennung und Überwachung Obgleich der Wortlaut von § 91 Abs. 2 AktG keine Vorgabe zur konzernweiten Einrichtung des Risikofrüherkennungs- und Überwachungssystems enthält, weist die Gesetzesbegründung ausdrücklich darauf hin, dass Mutterunternehmen i.S.v. § 290 HGB zu einer solchen im Rahmen ihrer gesellschaftsrechtlichen Möglichkeiten verpflichtet sind, sofern von Tochtergesellschaften bestandsgefährdende Entwicklungen für das Mutterunternehmen ausgehen können.3 Eine solche Verpflichtung zur konzernweiten Risikofrüherkennung und Überwachung ergibt sich zudem aus der Konzernleitungspflicht des Vorstands.4 Durch diese Pflicht erweitert sich das Aufgabenspektrum des Muttervorstands: Neben dem eigenen Unternehmen muss er auch den Konzern führen und die aus dessen Geschäftstätigkeit resultierenden Risiken erfassen.5 Insofern hat § 91 Abs. 2 AktG für den Konzern wie für das Einzelunternehmen deklaratorische Bedeutung. Der Vorstand des Mutterunternehmens hat mithin Maßnahmen zu ergreifen, mit denen die Identifikation, Bewertung und Kommunikation von Risiken im Konzernverbund sichergestellt werden.6 Dies umfasst Risiken des eigenen Unternehmens, Risiken der einzelnen Tochtergesellschaften sowie solche, die sich aus dem Verbund der verschiedenen Tochterunternehmen ergeben (z.B. Haftungsrisiken).7 Hierbei gilt im Hinblick auf die Art der zu erfassenden Risiken analog zu den obigen Überlegungen, dass § 91 Abs. 2 AktG grundsätzlich nur auf bestandsgefährdende Entwicklungen abzielt. Um diese früh zu erkennen, sind jedoch wesentliche Einzelrisiken systematisch zu erfassen und deren mögliche Wechselwirkungen im Konzernverbund zu analysieren. Darüber hinaus 1 Vgl. Claussen/Korth (2000), S. 340f.; Drygala/Drygala (2000), S. 302ff.; Hommelhoff (2000), S. 378f. 2 Vgl. ähnlich zustimmend Daum (2001), S. 49; Löbbe (2003), S. 189; Weiss/Heiden (2003), Rn. 85f. 3 Vgl. BT-Drucks. 13/9712, S. 15. 4 Vgl. Hommelhoff/Mattheus (2000a), S. 222ff.; a.A. Hefermehl/Spindler (2004), Rn. 27. 5 Vgl. grundlegend Hommelhoff (1982); zum Meinungsstreit über die Konzernleitungspflicht vgl. Götz (1998), S. 525ff.; Reuter (1999), S. 2250f. 6 Vgl. IDW PS 340, Rn. 35. 7 Vgl. Hommelhoff/Mattheus (2000a), S. 224. 34 1  Grundlegung hat der Vorstand des Mutterunternehmens die Einhaltung der Maßnahmen zur konzernweiten Risikofrüherkennung ebenso konzernweit zu überwachen. Ein wesentliches Element eines solchen Überwachungssystems bildet die Konzernrevision. Damit das Mutterunternehmen die zur Risikofrüherkennung und Überwachung notwendigen Informationen erhält, sind alle Informations- und Gestaltungsrechte auszuschöpfen, wie sie sich z.B. durch die Gesellschafterstellung, Organmitgliedschaften und sonstige vertragliche Rechte ergeben.1 Eine einheitliche Vorgehensweise bei der Risikofrüherkennung und Überwachung im Konzern kann dabei durch entsprechende Konzernrichtlinien unterstützt werden. Bei der Einrichtung eines konzernweiten Risikofrüherkennungs- und Überwachungssystems sind indes die juristischen Grenzen der Konzernleitungsmacht zu beachten.2 Diese ergeben sich aus der rechtlichen Selbstständigkeit der Tochterunternehmen und der damit begründeten Leitungsautonomie der Tochtergeschäftsführung. So kann das herrschende Mutterunternehmen konkrete organisatorische Vorgaben zur Risikofrüherkennung nur im Vertragskonzern, bei Eingliederung oder gegenüber einer abhängigen GmbH per Gesellschafterbeschluss anordnen. Im faktischen Konzern hat sie dagegen kein Weisungsrecht und ist deshalb auf die existierenden Einflussmöglichkeiten und Informationsrechte angewiesen. Dies gilt gleichermaßen für die Maßnahmen zur Einrichtung eines konzernweiten Überwachungssystems. Hierbei werden z.B. die Möglichkeiten, die Risikofrüherkennungssysteme in den Tochterunternehmen durch die Konzernrevision prüfen zu lassen, durch die rechtliche Grundlage der Leitungsmacht, die Rechtsform der abhängigen Unternehmen sowie die Beteiligungsquoten beeinflusst.3 Aus diesem Grunde grenzt die Gesetzesbegründung die Pflichten des Mutterunternehmens zur konzernweiten Risikofrüherkennung und Überwachung auch auf deren gesellschaftsrechtliche Möglichkeiten ein. Bei der Einrichtung eines konzernweiten Risikofrüherkennungs- und Überwachungssystems stellt sich nicht nur die Frage, wie die Vorgaben der Konzernmutter durchgesetzt werden können, sondern auch, welche Konzernunterneh‐ men überhaupt in das System einzubeziehen sind. Unstrittig ist, dass Tochtergesellschaften zu integrieren sind, sofern von diesen bestandsgefährdende Entwicklungen für das Mutterunternehmen ausgehen können.4 Durch diese in der Gesetzesbegründung formulierte Einschränkung besteht grundsätzlich keine Pflicht, alle Tochterunternehmen in das konzernweite Risikofrüherkennungs- und Überwachungssystem einzubeziehen. Allerdings stellt sich auch hier das Problem, eindeutig zu bestimmen, wann von einem Tochterunterneh- 1 Vgl. IDW PS 340, Rn. 35; Hommelhoff/Mattheus (2000a), S. 224. 2 Vgl. Hommelhoff/Mattheus (2000a), S. 224ff.; Preußner/Becker (2002), S. 847; Löbbe (2003), S. 217f. 3 Vgl. Schoppel (1998), S. 203f.; Löbbe (2003), S. 208ff. 4 Vgl. dazu die Gesetzesbegründung, BT-Drucks. 13/9712, S. 15; Emmerich (1999), S. 178; Eggemann/Konradt  (2000), S. 504. Die Einbeziehungspflicht betrifft in einem mehrstufigen Konzern in gleicher Weise die Enkelgesellschaften. Im Folgenden wird vereinfachend nur von Tochterunternehmen gesprochen. 1.2  Grundlagen des Risikomanagements im Konzern 35 men bestandsgefährdende Entwicklungen ausgehen können und wann nicht. Einzelrisiken eines Tochterunternehmens können zwar für sich gesehen nicht existenzgefährdend sein, wohl aber in Wechselwirkung mit denen anderer Unternehmen des Konzernverbundes. Aufgrund dieser praktischen Probleme ist de facto davon auszugehen, dass grundsätzlich alle Tochtergesellschaften in das konzernweite Risikofrüherkennungs- und Überwachungssystem einzubeziehen sind. Diese Pflicht besteht zudem unabhängig von der Abgrenzung des Konsolidierungskreises für den Konzernabschluss. Sie erfasst zudem seit dem In-Kraft- Treten des BilMoG auch Zweckgesellschaften. Fraglich ist, ob auch Gemeinschaftsunternehmen, assoziierte Unternehmen und andere Beteiligungen in das konzernweite Risikofrüherkennungs- und Überwachungssystem einzubeziehen sind.1 Eine unmittelbare gesetzliche Verpflichtung besteht dazu zwar nicht, da weder der Wortlaut noch die Gesetzesbegründung zu § 91 Abs. 2 AktG diese Unternehmen erwähnt.2 Gleichwohl lässt sich zumindest für Gemeinschaftsunternehmen mittelbar eine derartige Verpflichtung ableiten, da § 90 Abs. 1 AktG bei Mutterunternehmen verlangt, im Rahmen der Vorstandsberichte an den Aufsichtsrat auch auf Tochter- und Gemeinschaftsunternehmen einzugehen.3 Dabei wird durch den DCGK, wie oben erwähnt, klargestellt, dass der Vorstand den Aufsichtsrat u.a. auch umfassend über die Risikolage und das Risikomanagement zu informieren hat (DCGK, Rn. 3.4). Dies erscheint indes nur möglich, wenn die Risiken in diesen Unternehmen systematisch erfasst und an die beteiligte(n) Konzernobergesellschaft(en) kommuniziert werden. Assoziierte Unternehmen und andere Beteiligungen werden von der Berichtspflicht nach § 90 Abs. 1 AktG nicht erfasst. Dennoch kann auch ihre Einbeziehung in das konzernweite Risikofrüherkennungs- und Überwachungssystem im Einzelfall geboten sein, sofern von ihnen wesentliche Risiken für das Mutterunternehmen ausgehen können und eine langfristige Beteiligungsabsicht besteht.4 In IDW PS 340 wird diesbezüglich auf die Rolle des Beteiligungscontrollings bei der Risikoerfassung und -kommunikation im Konzernverbund verwiesen.5 Ein durch die Konzernmutter konzernweit eingerichtetes Risikofrüherkennungs- und Überwachungssystem entbindet die Unternehmensleitung der einzelnen Konzerngesellschaften nicht von der ggf. bestehenden Pflicht, für ihr Unternehmen ein eigenes Risikofrüherkennungs- und Überwachungssystem einzurichten.6 Ebenso wird der Aufsichtsrat eines in das konzernweite Risikofrüherkennungs- und Überwachungssystem einbezogenen Tochterunternehmens nicht von seiner Überwachungspflicht befreit, da er weiterhin für die ord- 1 Vgl. Kajüter (2003a), S. 50; Weiss/Heiden (2003), Rn. 133. 2 Vgl. Kajüter (2004c), S. 264. 3 Diese konzernspezifische Ergänzung der Berichtspflicht wurde im Jahr 2002 durch das TransPuG in das Aktiengesetz eingeführt. Vgl. dazu auch Theisen (2003), S. 1429. 4 Vgl. Wolf (2002a), S. 799ff.; IDW (2006), Rn. P20. 5 Vgl. IDW PS 340, Rn. 36. 6 Dies gilt zumindest im faktischen Konzern, vgl. Hommelhoff/Mattheus (2000a), S. 225ff. Vgl. ferner Brebeck (2002), Sp. 2074; Kohlenbach (2003), S. 239; IDW (2006), Rn. P21. 36 1  Grundlegung nungsgemäße Überwachung der Tochtergeschäftsführung verantwortlich ist.1 Im Falle einer börsennotierten Tochteraktiengesellschaft besteht zudem die Prüfungspflicht durch den Abschlussprüfer nach § 317 Abs. 4 HGB. 1.2.3.2 Regulierung des Risikomanagements in anderen Ländern Auch außerhalb Deutschlands haben nationale Gesetzgeber und Regulierungsorgane Anforderungen an das Risikomanagement definiert. Diese finden sich in Gesetzen, Verordnungen von Börsenaufsichtsbehörden sowie in Corporate Governance Kodizes. Während die Normensetzung in den ersten beiden Fällen durch hoheitlich legitimierte Instanzen erfolgt, werden die Regelungen in Corporate Governance Kodizes meistens durch private Fachgremien erarbeitet. Sie haben empfehlenden Charakter und werden daher auch als „weiches Recht“ („soft law“) bezeichnet.2 Von ihrer Nichtbefolgung gehen jedoch i.d.R. negative Signale aus, die vom Markt, z.B. in Form von Reputationsverlust oder höheren Finanzierungskosten, sanktioniert werden. Darüber hinaus existieren international rechtlich unverbindliche Standards und Empfehlungen zum Risikomanagement, die Orientierungshilfe bei der Umsetzung von an anderer Stelle nur grundsätzlich formulierten Anforderungen geben.3 Abb. 1.2–6 gibt einen Überblick über die Regulierung des Risikomanagements in ausgewählten Industrieländern. Welche Art der Regulierung in einem Land dominiert, wird vor allem durch dessen Rechtstradition beeinflusst. So existiert z.B. in den USA im Gegensatz zu Deutschland keine einheitliche Regelung zum Risikomanagement im Gesellschaftsrecht, da dieses in den USA in der Hoheit der einzelnen Bundesstaaten liegt. Stattdessen haben – wie auch in anderen angelsächsischen Ländern – die Regulierung im Kapitalmarktrecht und rechtlich unverbindliche Empfehlungen für Risikomanagementsysteme zentrale Bedeutung. Die Regelungen zum Risikomanagement stehen dabei im angelsächsischen Raum oftmals im Zusammenhang mit den Anforderungen an die Einrichtung interner Kontrollsysteme („Internal Control Systems“). Es würde den Rahmen dieser Arbeit sprengen, sämtliche in Abb. 1.2–6 genannte Vorschriften im Detail darzustellen.4 Daher werden im Folgenden nur die USamerikanischen Normen näher betrachtet, weil diese die Regulierung in anderen Ländern in besonderem Maße beeinflussen. Anschließend werden wesentliche inhaltliche Unterschiede der Regulierung des Risikomanagements in Deutschland, Großbritannien, den USA, Australien und Japan skizziert. In den USA ist die Regulierung im Kapitalmarktrecht im Juli 2002 angesichts der spektakulären Bilanzskandale von Enron, Worldcom und anderen Unternehmen durch den Sarbanes‐Oxley Act (SOA) erheblich verschärft worden. Der SOA umfasst zahlreiche Maßnahmen im Bereich der Abschlussprüfung, 1 Vgl. Salzberger (2000), S. 764. 2 Vgl. Hommelhoff/Mattheus (2000b), S. 34f.; Kirchner (2002), S. 101. 3 Vgl. im Überblick auch Winter (2007), S. 135ff.; Gleißner (2011), S. 41ff. 4 Vgl. dazu Kajüter (2004c) und Kajüter et al. (2008). 1.2  Grundlagen des Risikomanagements im Konzern 37 Deutsch‐ land Groß‐ britannien USA Australien Japan Gesetze § 91 Abs. 2 AktG (1998) – §§ 302 und 404 Sarbanes- Oxley Act (2002) – § 21–7 Special Exceptions Law zum Handelsgesetz; § 193 Enforcement Regulation zum Handelsgesetz (2003) Verordnungen von Börsenaufsichtsbehörden – – SEC-Release No. 33-8124 und No. 33- 8238 – – Corporate Governance Kodizes Deutscher Corporate Governance Kodex (2010) The UK Corporate Governance Code (revised 2010) Final NYSE Corporate Governance Rules (2003) Principles of Good Corporate Governance and Best Practice Recommendations (2010) Revised Corporate Governance Principles (2001) Principles of Corporate Governance for Listed Companies (2004) Standards und Empfehlungen – Internal Control: Revised Guidance on the Combined Code (Turnbull Guidance 2005) COSO: Internal Control – Integrated Framework (1992) COSO: Enterprise Risk Management – Integrated Framework (2004) AS/NZS 4360: 2004 Risk Management (2004) Group of 100: Guide to Compliance with ASX Principle 7 (2008) ASX CG Council: Guidance in relation to the interpretation of Principle 7 (2003) JIS Q 2001: Guidelines for development and implementation of risk management system (2001) METI Study Group: Guidelines for Internal Control that Functions Together with Risk Management (2003) Abb. 1.2–6: Regulierung des Risikomanagements im internationalen Vergleich 38 1  Grundlegung Publizität und Corporate Governance, die darauf abzielen, die Richtigkeit und Verlässlichkeit der von den Unternehmen bei der SEC einzureichenden Berichte sicherzustellen und auf diese Weise die Investoren am Kapitalmarkt besser zu schützen. Verstöße gegen die Regeln des SOA sind mit hohen zivil- und strafrechtlichen Sanktionen verbunden. Da vom SOA alle Unternehmen betroffen sind, deren Wertpapiere an einer US-amerikanischen Börse notiert sind, hat das Gesetz auch Auswirkungen auf in den USA gelistete deutsche Unternehmen.1 Der SOA fordert nicht direkt die Einrichtung eines Risikomanagementsystems. Dennoch verpflichtet das Gesetz den Chief Executive Officer (CEO) und Chief Financial Officer (CFO) dazu, die Funktionsfähigkeit des Publizitätskontrollsystems (Disclosure Controls and Procedures) zu prüfen und dessen Wirksamkeit der SEC mit jedem einzureichenden Bericht schriftlich zu bestätigen (Sec. 302 SOA). Da auch Informationen über Risiken zu den veröffentlichungspflichtigen Informationen gehören, ergibt sich indirekt die Notwendigkeit, Risiken systematisch zu erfassen und an den CEO und CFO zu berichten. Diese Organisationspflicht erstreckt sich im Konzern auf das Mutterunternehmen und alle konsolidierten Tochtergesellschaften. Obgleich unstrittig ist, dass das Publizitätskontrollsystem kontextabhängig auszugestalten ist, ist der Umfang der Anforderungen nicht klar geregelt und daher auslegungsbedürftig.2 Weiterhin verlangt der SOA, wie zuvor bereits § 13 (b) (2) des Securities Exchange Act, die Einrichtung eines internen Kontrollsystems für das Rechnungswesen (Sec. 404 SOA). Nunmehr muss die Unternehmensleitung jedoch die Funktionsfähigkeit des internen Finanzkontrollsystems (Internal Control Over Financial Reporting) zum Ende eines Geschäftsjahres anhand von anerkannten Beurteilungskriterien überprüfen und der SEC zusammen mit dem Jahresbericht einen vom Abschlussprüfer testierten Internal Control Report einreichen.3 Verbindliche Anforderungen an das Risikomanagement werden in den USA ferner in den Corporate Governance Rules der New York Stock Exchange definiert. Sie betreffen allerdings nur das Audit Committee, das Richtlinien für das Risikomanagement im Unternehmen zu erlassen hat. Umfassender sind demgegen- über die beiden vom Committee of Sponsoring Organizations of the Treadway 1 Vgl. Lanfermann/Maul (2002), (2003); Hütten/Stromann (2003); Regelin/Fisher (2003); Men‐ zies (2004). 2 Vgl. Ballwieser/Dobler (2003), S. 461f. 3 In dem Bericht muss die Unternehmensleitung nach den im August 2003 von der SEC erlassenen Ausführungsbestimmungen Erklärungen zu ihrer Verantwortlichkeit für die rechnungslegungsbezogenen internen Kontrollen, zu dem der Effektivitätsbeurteilung dieser Kontrollen zugrunde liegenden theoretischen Rahmenkonzept sowie zum Ergebnis der eigenen Effektivitätsbeurteilung und deren Prüfung durch den Abschlussprüfer abgeben (vgl. SEC Final Rule, Release Nos. 33-8238; 34-47986). Grundlage für die Effektivitätsbeurteilung kann das COSO Internal Control Framework sein. Andere geeignete Rahmenkonzepte, wie z.B. der britische Turnbull Report, werden indes ebenso als zulässig angesehen. Vgl. zur Reaktion der EU und Deutschlands auf die US-amerikanischen Berichtspflichten Withus (2009a). 1.2  Grundlagen des Risikomanagements im Konzern 39 Commission (COSO)1 entwickelten Rahmenkonzepte, die aber lediglich Empfehlungen darstellen. Der erste COSO Report wurde 1992 mit dem Titel „Internal Control – Integrated Framework“ veröffentlicht.2 Damit sollten ein einheitliches Verständnis von Internal Control gefördert und Leitlinien zur Aufstellung und Beurteilung von internen Kontrollsystemen geschaffen werden.3 Gemäß dem COSO Report ist Internal Control ein Prozess, der von der Unternehmensleitung mit dem Ziel initiiert wird, die Effektivität und Effizienz der betrieblichen Abläufe, die Verlässlichkeit der externen Finanzberichterstattung und die Einhaltung von Gesetzen und anderen Vorschriften sicherzustellen. Dazu soll ein Internal Control System fünf aufeinander abgestimmte Elemente umfassen: (1) das Kontrollumfeld (control environment), (2) die Risikobeurteilung (risk assessment), (3) Kontrollaktivitäten (control activities), (4) Information und Kommunikation (information and communication) und (5) die Überwachung (monitoring). Sofern diese fünf Elemente eingerichtet sind und wirksam funktionieren, kann die Unternehmensleitung gemäß dem COSO Report davon ausgehen, die drei angestrebten Ziele mit hinreichender Gewissheit („reasonable assurance“) zu erreichen.4 Die Risikofrüherkennung und deren Überwachung bilden folglich Bestandteile des Internal Control Frameworks. Dieses wird in den USA von 63% der börsennotierten Unternehmen als Referenzkonzept genutzt5 und hat auch international die Entwicklung von ähnlichen Verlautbarungen in anderen Ländern geprägt.6 Gleichwohl gibt es nur begrenzt Orientierungshilfe für die Ausgestaltung von Risikomanagementsystemen.7 Mit dem zweiten COSO Report, der im September 2004 veröffentlicht wurde, rückt das Risikomanagement dagegen stärker in den Mittelpunkt.8 Durch das „Enterprise Risk Management – Integrated Frame‐ work“ soll ein Standard für Risikomanagementsysteme geschaffen und die Terminologie in diesem Bereich vereinheitlicht werden. Dabei wird Enterprise Risk 1 Die Treadway Commission wurde 1985 von fünf amerikanischen Berufsverbänden aus dem Bereich des Rechnungswesens mit dem Ziel gegründet, Ursachen von und Maßnahmen gegen betrügerische Finanzberichterstattung zu erarbeiten. Zu den fünf Verbänden gehörten das American Institute of Certified Public Accountants (AICPA), die American Accounting Association (AAA), The Institute of Internal Auditors (IIA), das Institute of Management Accountants (IMA) und das Financial Executive Institute (FEI). 2 Vgl. COSO (1994); Root (1998). Im November 2010 kündigte COSO an, das Internal Control Framework zu aktualisieren und 2012 eine überarbeitete Fassung des Rahmenkonzepts zu veröffentlichen. 3 Vgl. Steinberg/Tanki (1992), S. 29; Holzer/Kölbinger (1993), S. 313; Lück/Makowski (1996), S. 157. 4 Vgl. COSO (1994), S. 15. Zur praktischen Umsetzung enthält der COSO Report umfangreiche Formblätter und Checklisten. 5 Vgl. Menzies (2004), S. 81. 6 Dies gilt z.B. für IDW PS 260 in Deutschland oder den Turnbull Report in Großbritannien. 7 Vgl. kritisch auch Root (1998), S. 125ff. 8 Vgl. COSO (2003) und (2004); Chapman (2003); Eichler/Bungartz (2004); zur Kritik am Entwurf der Verlautbarung vgl. IDW (2003), S. 1399ff.; zur Anwendung des ERM Frameworks vgl. Eckert et al. (2004). 40 1  Grundlegung Management (ERM) definiert als „a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives“1. Das ERM Framework ist konzeptionell eng an das Internal Control Framework angelehnt, soll dieses aber nicht ablösen, sondern integrieren.2 Beide Rahmenkonzepte richten sich an alle Unternehmen, unabhängig von deren Größe, Rechtsform oder Kapitalmarktorientierung. Für Konzerne weist das ERM Framework auch auf die Notwendigkeit hin, Tochtergesellschaften in das Risikomanagementsystem einzubeziehen. Insgesamt hat das ERM Framework nicht nur in den USA, sondern auch international Beachtung gefunden. Wie in Abb. 1.2–6 im Überblick dargestellt, existieren nicht nur in Deutschland und den USA, sondern auch in Großbritannien3, Australien4 und Japan5 Verlautbarungen, die Anforderungen an das betriebliche Risikomanagement definieren. Bedingt durch die unterschiedliche Art der Regulierung differieren jedoch international zum einen der Verbindlichkeitsgrad der Normen und zum anderen der Kreis der davon betroffenen Unternehmen. Dieser Kreis ist in den USA, Großbritannien und Australien auf börsennotierte Unternehmen beschränkt. Demgegenüber gelten die gesetzlichen Vorschriften in Deutschland und Japan unabhängig von der Börsennotierung.6 Für die rechtlich unverbindlichen Standards und Empfehlungen ist der Adressatenkreis meist nicht eingeschränkt. Der Geltungsbereich der gesetzlichen Vorschriften, Kodizes und sonstigen Verlautbarungen zum Risikomanagement erstreckt sich in allen fünf Ländern i.d.R. konzernweit. Allerdings bleibt teilweise offen, ob und inwieweit dabei neben Tochtergesellschaften auch Gemeinschaftsunternehmen und assoziierte Unternehmen in das konzernweite Risikomanagementsystem zu integrieren sind.7 Lediglich der britische Turnbull Report und die australischen Corporate Governance Principles verlangen ausdrücklich den Einbezug dieser Unternehmen, sofern sie für den Konzern wesentlich sind. Ein inhaltlicher Vergleich der verschiedenen nationalen Regelungen offenbart weiterhin, dass die rechtlichen Anforderungen auf die Risikofrüherkennung und die interne Überwachung beschränkt sind. Die Risikosteuerung liegt dagegen in allen Ländern im unternehmerischen Ermessen, wobei die rechtlich unverbindlichen Standards und Empfehlungen hierzu häufig Orientierungshilfen bieten, indem sie grundsätzlich mögliche Maßnahmen aufzeigen. Eine Notwen- 1 COSO (2004), S. 2. 2 Vgl. COSO (2003), S. 17. 3 Vgl. Financial Reporting Council (2003); ICAEW (1999); Blackburn (1999). 4 Vgl. Standards Association of Australia (2004); Weidemann (2001); ASX Corporate Governance Council (2003) und (2010); Group of 100 (2008). 5 Vgl. Japanese Standards Association (2001); Japan Corporate Governance Forum (2001); METI Study Group (2003); Tokyo Stock Exhange (2004). 6 Die Corporate Governance Kodizes dieser beiden Länder richten sich aber primär an börsennotierte Unternehmen. 7 Vgl. Kajüter (2004c), S. 51. 1.3  Wissenschaftstheoretische Einordnung der Arbeit 41 digkeit zur Risikosteuerung kann sich jedoch – ähnlich wie in Deutschland – auch in anderen Ländern aus den Sorgfaltspflichten der Unternehmensleitung ergeben.1 Eine exakte Abgrenzung der in den nationalen Normen geforderten Risikofrüherkennungs- und Überwachungssysteme wird durch begriffliche Unterschiede und die Verwendung unbestimmter Rechtsvorschriften erschwert. Dieses Abgrenzungsproblem wird am Beispiel von Sec. 302 SOA und § 91 Abs. 2 AktG besonders deutlich. So stellt sich für deutsche Aktiengesellschaften, die unter der Aufsicht der SEC stehen, die Frage, ob die Anforderungen aus Sec. 302 SOA über § 91 Abs. 2 AktG hinausgehen oder nicht. Da auch im Schrifttum je nach Auslegung der gesetzlichen Normen diesbezüglich unterschiedliche Auffassungen vertreten werden, herrscht für die betroffenen Konzerne in diesem Bereich Rechtsunsicherheit.2 Zusammenfassend ist zu konstatieren, dass auch in anderen Ländern durch staatlich oder privat gesetzte Normen Mindeststandards zum Umgang mit Risiken im Rahmen der Unternehmensführung und -überwachung existieren. Allerdings bestehen international Unterschiede im Hinblick auf den Verbindlichkeitsgrad und den Umfang der erlassenen Regelungen zum Risikomanagement sowie die davon betroffenen Unternehmen. Für international agierende deutsche Konzerne ist dies insofern von Bedeutung, als sich vor allem bei der Inanspruchnahme ausländischer Kapitalmärkte besondere Anforderungen an das Risikomanagement ergeben können. Dies gilt sowohl für das Mutterunternehmen als auch für börsennotierte Tochtergesellschaften. Schließlich können in anderen Ländern geltende Normen zum Risikomanagement auch über einen internationalen Harmonisierungsprozess die Weiterentwicklung der rechtlichen Anforderungen zum Risikomanagement in Deutschland beeinflussen. 1.3 Wissenschaftstheoretische Einordnung der Arbeit Die Wissenschaftstheorie (Methodologie) beschäftigt sich mit den Zielen, dem Aufbau von Aussagen und Aussagensystemen sowie mit den grundlegenden Methoden der Einzelwissenschaften.3 Sie stellt insofern eine Metadisziplin dar, die im Rahmen einer wissenschaftlichen Arbeit zwei Funktionen erfüllt: Zum einen dient die Wissenschaftstheorie als Beurteilungsgrundlage für die Analyse des Forschungsstandes (vgl. Abschnitt 1.4), da sie allgemeine Regeln für die Gewinnung wissenschaftlicher Erkenntnisse definiert. Zum anderen bietet sie ein methodisches Fundament für die Erreichung der angestrebten Forschungsziele. Angesichts unterschiedlicher wissenschaftstheoretischer Programme und Me- 1 Vgl. von Werder/Feld (1996); Kessler (1998), S. 613f.; Schäfer (2001), S. 57ff. 2 Vgl. hierzu Lanfermann/Maul (2002), S. 1729; Brandt/Hütten (2003), S. 714; Gruson/Kubicek (2003), S. 395; Ballwieser/Dobler (2003), S. 461; Kajüter (2004c), S. 51f.; AK „Externe und In‐ terne Überwachung der Unternehmung“ (2004), S. 2399ff. 3 Vgl. Albert (1976), Sp. 4674; Raffée/Abel (1979), S. 1; Schreyögg/Steinmann (1980), Sp. 2394f.

Chapter Preview

References

Zusammenfassung

"Wer sich für Risikomanagement im Konzern interessiert, kommt an [diesem Buch] nicht vorbei. Kajüter hat eine Lücke besetzt in einem wichtigen und sehr praxisrelevanten Fragenbereich". Die Wirtschaftsprüfung 23/2012

Die empirische Studie zum Risikomanagement.

Dieses neue Werk stellt die Ergebnisse einer umfangreichen Studie zu Risikomanagementsystemen börsennotierter Aktienkonzerne vor und entwickelt anhand der empirischen Daten eine Typologie von Risikomanagementsystemen in Konzernen. Darauf aufbauend werden aus der Vielfalt an Gestaltungsmöglichkeiten fünf Typen konzernweiter Risikomanagementsysteme herausgearbeitet.

Der Nutzen

Die konkrete Analyse offenbart Unterschiede in der Wirksamkeit der Risikomanagementsystemtypen und zeigt dadurch differenzierte Gestaltungsempfehlungen für die Implementierung von Risikomanagementsystemen in Konzernen auf.

Pressestimmen

"Die vorliegende Ausarbeitung ist eine überaus empfehlenswerte, mitunter spannende Lektüre, die sich an ein breites Fachpublikum richtet. So hat es der Autor verstanden, Praktiker mit Entscheidungshilfen und unternehmensspezifischen Empfehlungen zu versorgen, ohne den wissenschaftlichen Tiefgang vermissen zu lassen. Eine herausragende Arbeit, der man möglichst viele Leser wünscht." Der Betriebswirt 1/2013