Wirecard: Unsicherheit, Misstrauen, Haftung – Unternehmen müssen Corporate Governance prüfen

veröffentlicht am 14. Juli 2020 | Lesedauer ca. 3 Minuten

Wirecard ist der aktuellste Dominostein in einer Kette, die von Flowtex über Enron und MCI Worldcom, den Windkrafthersteller Prokon oder den Schiffscontainervermieter P&R reicht. Die Brisanz: Es handelt sich um die erste Insolvenz eines deutschen DAX 30–Unternehmens und wird somit gravierende Folgen für Kapitalmarkt, Unternehmenslenker und Wirtschaftsprüfer mit sich bringen. Ein triftiger Grund für kapitalmarktorientierte Unternehmen, voraus zu denken und ihr Governance, Risk Management & Compliance- (GRC) Managementsystem auf den Prüfstand zu stellen.

Im Kontext des Wirecard-Skandals wird einmal mehr deutlich, von welch überragender Bedeutung ein funktionierendes Governance, Risk Management & Compliance-Managementsystem für die Vorstände von kapitalmarktorientierten Gesellschaften ist. Sind die Vorgänge bei Wirecard tatsächlich bei anderen Unternehmen undenkbar? Unabhängig davon, wer für den konkreten Sachverhalt und Schadensfall verantwortlich ist, zumindest für das Organisationsversagen wird der Vorstand einstehen müssen.

Der Wirecard-Fall ist das „deutsche Enron” und allein die sehr schnelle Kündigung des Vertrags mit der Deutschen Prüfstelle für Rechnungslegung (DPR) durch die Bundesregierung sowie Klagen von Investoren gegen die Bundesregierung und den Abschlussprüfer von Wirecard zeigen die Dimension des GRC-Versagens auf. Die ersten Rufe nach Schadenersatzklagen gegen Vorstand und Aufsichtsrat werden ebenfalls laut. Aber auch Cyberattacken und digitale Betrugsmaschen greifen zunehmend auf die Finanzabteilungen über und stellen ein enormes Risiko für das gesamte Unternehmen dar. Dabei muss die oberste Führungsriege für alle Eventualitäten gewappnet sein. Die Compliance-Verantwortung der Leitungsorgane der Konzernmutter erstreckt sich aber zudem auch auf dessen in- und ausländische Tochter- und Enkelgesellschaften. Zu den Kernpflichten des Vorstands gehört es nicht nur, sich gesetzestreu zu verhalten, sondern der Vorstand hat auch die Sorgfaltspflicht, ein unternehmensweites GRC-Managementsystem aufzustellen, aufrecht zu erhalten, auf den Prüfstand zu stellen und stetig an Veränderungen des Unternehmens sowie des regulatorischen Umfelds anzupassen.

Wesentliche Bestandteile guter Governance-Strukturen sind das Risiko- und das Compliance-Management sowie das interne Kontrollsystem (IKS). Die entsprechenden Instrumente verbessern die Führungs- und Überwachungsstrukturen im Unternehmen und zielen auf die Sicherstellung einer nachhaltigen Unternehmensentwicklung ab. Das Gesamtsystem kann wie folgt dargestellt werden:

Verantwortung des Vorstands für GRC-Systeme

Unternehmen stehen vor der großen Herausforderung, ihr Geschäft in Einklang mit den bestehenden und künftigen Regularien zu bringen. Der Vorstand ist in Bezug auf die Qualität und Effizienz der Aufbau- und Ablauforganisation und somit der Ausgestaltung der GRC-Systeme steigenden Anforderungen ausgesetzt. Die Governance-, Compliance- und Risikomanagement-Landschaft unterliegt einem stetigen Wandel durch Digitalisierung und Globalisierung. Die Digitalisierung, der Wettbewerbsdruck oder die Forderung nach immer mehr Transparenz der Unternehmen sind nur einige Beispiele hierfür. Neue Gesetze und Richtlinien fordern von Unternehmen Transparenz und Sparsamkeit im Umgang mit Daten sowie die Trennung, Überwachung und Dokumentation von Geschäftsprozessen. Bei der Fortentwicklung eines Unternehmensstrafrechts sei beispielhaft auf den Gesetzentwurf zum Verbandssanktionsgesetz („Gesetz zur Stärkung der Integrität in der Wirtschaft”) hingewiesen. Für Aktiengesellschaften ist die Einführung des Risiko- und Compliance-Managements gesetzlich vorgeschrieben, für mittelständische Unternehmen besteht die Verpflichtung, sich wie ein gewissenhafter Geschäftsleiter, Kaufmann o.ä. zu verhalten. Die Aufgaben und Ziele des ganzheitlichen Risiko- und Compliance-Managements umfassen die transparente Darstellung von Risiken im Unternehmen, die Erfassung und Erfüllung von Rechten und Pflichten (Compliance) ohne Ausnahmen und die Einbeziehung der laufenden Ergebnisse in den unternehmerischen Entscheidungsprozess. Die Aufbau- und Ablauforganisation des Risiko- und Compliance-Managements ist dabei soweit wie möglich in das interne Kontrollsystem einzubeziehen und zu verknüpfen.

Die Frage, ob das GRC-Managementsystem eines Unternehmens den aktuellen und im Zuge der zu antizipierenden regulatorischen Verschärfungen künftigen Anforderungen angemessen ausgestaltet und wirksam ist, muss jedes Leitungsorgan be- und verantworten können.

Die Überprüfung der GRC-Strukturen stellt die Grundlage für die notwendige eigene Beurteilung der Wirksamkeit der Governance-Elemente durch den Vorstand dar. Die Einhaltung gesetzlicher Bestimmungen kann sichergestellt und Strafen oder gar die persönliche Haftung von Organmitgliedern können gemindert oder gänzlich vermieden werden.

Eine Überprüfung des gegebenen GRC-Managementsystems kann wie folgt ablaufen:

Die aktuellen Geschehnisse deuten auf eine künftige Verschärfung der Regulatorik im Kapitalmarktumfeld hin. Die Überprüfung, Stärkung und Nachhaltung von GRC-Managementsystemen steht an und Berichts- und Prüfungspflichten werden betroffen sein. Die Bundesregierung will die Bilanzprüfung reformieren, um einen funktionsfähigen und transparenten Kapitalmarkt zu gewährleisten. Betroffene Unternehmen können, Unternehmenslenker sollten, bereits jetzt die Weichen stellen und zukunftsgerichtete GRC-Strukturen schaffen. Eine vorausschauende Unternehmensführung muss sich sogar zwingend den neuen Gegebenheiten anpassen. Denn der Kapitalmarkt und seine Akteure sowie deren dynamisches und höchst risikoanfälliges Umfeld lassen hier nur wenig Ermessen zu. Insbesondere schnell wachsende Unternehmen müssen dafür Sorge tragen, dass das Corporate Governance-System mit der Komplexität der Geschäftstätigkeit Schritt hält. Eine Konzentration nur auf die Ausweitung der Geschäftsentwicklung des Unternehmens ohne die adäquate Fortentwicklung der GRC-Managementsysteme birgt für die Unternehmensleitungen und die Aufsichtsorgane der Unternehmen hohe persönliche Risiken. Auch für Investoren ist ein wirksames GRC-Managementsystem eines Unternehmens ein entscheidungserheblicher Faktor.