„Bei wichtigen Themen wird zu wenig, bei Randthemen zu viel diskutiert“
Rechtsanwalt und Compliance-Experte Dr. Robert Eichler im Gespräch über die Kontrolltätigkeit des Aufsichtsrats, dessen Informationsbeschaffung und die Herausforderungen durch die Nachhaltigkeitsberichterstattung. Und: Wie geht man mit wirtschaftlichen, strategischen und politischen Risiken um?
Kommenda: Der Aufsichtsrat kann seine wichtigste Aufgabe, die Unternehmensführung begleitend zu kontrollieren, nur wahrnehmen, wenn er über die Vorgänge im Unternehmen Bescheid weiß. Wie kann er sicherstellen, zu wissen, was im Unternehmen los ist?
Eichler: Um Vorgänge im Unternehmen zu verstehen, muss der Aufsichtsrat die Quartalsberichterstattung und die Informationen, die er durch Gespräche mit dem Vorstand erhält, verknüpfen. Dabei kommt dem Aufsichtsratsvorsitzenden eine entscheidende Rolle zu. Er muss sich regelmäßig mit dem Vorstandsvorsitzenden austauschen, die Informationen aber auch an den restlichen Aufsichtsrat weitergeben. Der Corporate Governance Kodex sieht explizit eine offene Diskussion zwischen Vorstand und Aufsichtsrat vor.
Das ist nicht sehr konkret.
Noch deutlicher ist der deutsche Corporate Governance Kodex, der empfiehlt, dass der Aufsichtsratsvorsitzende zwischen den Sitzungen mit dem Vorstand regelmäßig Kontakt hält und Fragen der Strategie, der Geschäftsentwicklung, des Risikomanagements und der Compliance berät. Erst dadurch ergibt sich für den Aufsichtsrat ein umfassendes Bild. Schriftliche Berichte sind in der Regel auf die notwendigen Punkte fokussiert und kontroversielle Themen werden meist nicht besonders betont. Eine offene Diskussion setzt allerdings Vertrauen und Verschwiegenheit im Unternehmen voraus. Der Austausch hängt daher stark von den Persönlichkeiten, deren Fachwissen sowie von der wirtschaftlichen Lage des Unternehmens ab. Solange die stabil ist, ist das Interesse, kritische Fragen zu stellen meistens gering. Das rächt sich aber bei Themen, deren Auswirkungen erst langfristig hervorkommen.
Wie kann der Aufsichtsratsvorsitzende auf gute Beratungen hinwirken?
Die Qualität der Überprüfung der Vorstandstätigkeit beginnt schon bei der Gestaltung der Tagesordnung. Es ist essenziell, dass der Aufsichtsratsvorsitzende für die wichtigen Punkte genügend Zeit für Fragestellung und Diskussion einräumt. Die Erfahrung zeigt, dass sich Aufsichtsräte mit Wortmeldungen zurückhalten, wenn die Zeit knapp wird. In so einem Fall sollten unwesentliche Punkte vertagt werden, um den kritischen Themen genügend Raum zu geben. Auch sollte in diesen Fällen der Aufsichtsratsvorsitzende eine ausführliche Protokollierung der Diskussion veranlassen, um die Qualität seiner Entscheidung zu dokumentieren.
Der Vorstand steuert die Information des Aufsichtsrats, auf deren Basis er selbst kontrolliert werden soll. Wie kann das funktionieren?
Diese Frage bringt das Dilemma auf den Punkt. Der Vorstand hat das Informationsmonopol, kein Vorstand stellt gerne Informationen bereit, die Zweifel an seiner Performance aufkommen lassen. Der Aufsichtsrat muss daher entsprechend qualifiziert sein, um hinter choreografierte Präsentationen blicken zu können. Keine einfache Aufgabe bei komplexen Themen wie zum Beispiel Bewertungsfragen. Die Folge ist, dass bei wesentlichen Themen zu wenig und bei Randthemen zu viel diskutiert wird. Der Aufsichtsrat hat aber mehrere Möglichkeiten, sich weitere Informationen zu beschaffen, ohne dabei gleich die Vertrauensbasis mit dem Vorstand in Frage zu stellen. Durch die Mitbestimmung des Betriebsrates im Aufsichtsrat können die Kapitalvertreter Informationen direkt aus dem Unternehmen erhalten, ohne dass diese durch den Vorstand gefiltert wurden. Weitere Informationsquellen sind der Leiter der Internen Revision und der Wirtschaftsprüfer.
Von diesen Ausnahmen abgesehen kann sich der Aufsichtsrat keine Informationen am Vorstand vorbei verschaffen?
Üblich und zulässig ist, dass Mitarbeiter bestimmter Leitungsfunktionen auch an Sitzungen des Aufsichtsrates oder seiner Ausschüsse teilnehmen. Der Nutzen für den Aufsichtsrat ist allerdings überblickbar, weil die Mitarbeiter ja nur Informationen bringen, die zuerst mit dem Vorstand akkordiert wurden. Was Aufsichtsräte nicht dürfen, ist direkt mit Mitarbeitern im Unternehmen unter vier Augen sprechen. Direkte Gespräche wären Ausdruck eines zerstörten Vertrauensverhältnisses und brächten auch die Mitarbeiter in einen Loyalitätskonflikt. Ausgenommen sind Krisenfälle, bei denen die begründete Vermutung besteht, dass der Vorstand Informationen verschweigt oder falsch darstellt. Eine Ausnahme ist auch der Leiter der Internen Revision. Gemäß internationalen Standards ist eine Berichtslinie an den Aufsichtsrat vorgesehen, in der Praxis sind davon auch Vier-Augen-Gespräche mit Aufsichtsräten umfasst. Keine einfache Aufgabe, wenn sich Aufsichtsrat und Vorstand in einem Konflikt befinden.
Wie kann man sich helfen?
Meine Empfehlung ist, dass der Vorsitzende des Prüfungsausschusses regelmäßig vor jeder Sitzung One-on-one-Meetings mit dem Leiter der Internen Revision ansetzt. In diesem kleinen Rahmen fällt es viel leichter, schwierige Themen anzusprechen, als es im gesamten Prüfungsausschuss oder im Plenum möglich wäre. Durch routinemäßige Meetings wird zudem der Eindruck eines besonderen Anlasses vermieden.
Investoren und Öffentlichkeit erwarten sich vom Aufsichtsratsvorsitzenden oft Informationen. Kann und darf er diesen Erwartungen gerecht werden?
Zunächst muss man vorausschicken, dass die externe und interne Kommunikation Aufgabe des Vorstands ist. Mit der zunehmenden Bedeutung von Governance- und Nachhaltigkeitsthemen, die auch im Aufsichtsrat verankert sind, hat sich aber auch ein Bedürfnis nach einer aktiveren Kommunikation durch den Aufsichtsratsvorsitzenden ergeben. In Deutschland wurde 2017 der Investorendialog durch den Aufsichtsratsvorsitzenden in den Corporate Governance Kodex aufgenommen. Eine externe Kommunikation des Aufsichtsratsvorsitzenden ist legitim, solange es um Themen geht, die im Entscheidungsbereich des Aufsichtsrates liegen. Zu Spannungen zwischen Vorstand und Aufsichtsrat kommt es dann, wenn die externe Kommunikation nicht koordiniert erfolgt. Die Handlungsmöglichkeiten des Vorstands sind in diesem Fall allerdings sehr beschränkt.
Für die Nachhaltigkeitsberichterstattung gibt es eine Fülle neuer Vorgaben, mit denen die „European Sustainability Reporting Standards“ (ESRS) und die Corporate Sustainability Reporting Directive (CSRD) umgesetzt werden. Wie kann der Aufsichtsrat sicherstellen, dass die gesetzlichen Vorgaben erfüllt werden?
Im Unterschied zur Finanzberichterstattung kann bei der Nachhaltigkeitsberichterstattung auf keine etablierten Prozesse zurückgegriffen werden. Für den Aufsichtsrat stellt sich daher die Frage, ob der Vorstand die Nachhaltigkeitsberichterstattung gemessen an den Ergebnissen der Wesentlichkeitsanalyse adäquat eingerichtet hat. Im Vergleich zur Finanzberichterstattung, die auf Buchungsbelegen aufbaut, baut die Nachhaltigkeitsberichterstattung auf sehr inhomogenen Informationen auf. Gleichzeitig werden aber umfassende und detaillierte Angaben verlangt. Beispielsweise Informationen zum Energiemix oder zum Abfallaufkommen. Viele Informationen sind nicht unmittelbar verfügbar. Meine Empfehlung wäre die Nachhaltigkeitsberichterstattung organisatorisch dem Finanzbereich zuzuordnen und möglichst eng an die Finanzberichterstattung anzubinden. Damit kann an etablierte Prozesse und das Reporting-Know-how angeknüpft werden.
Bestehen ähnliche Schwierigkeiten nicht bei allen regulatorischen Maßnahmen?
Ja, und auch für die internen Regelungen stellt sich für den Aufsichtsrat dieselbe Frage, nämlich: Wie kann ich mich davon überzeugen, dass alle Vorgaben tatsächlich umgesetzt wurden? Im Unterschied zu den spezifischen Regelungen wie etwa Datenschutz, EMIR (European Market Infrastructure Regulation, Anm.), REMIT (Regulation on wholesale Energy Market lntegrity and Transparency) und zukünftig auch das Lieferkettengesetz ist die Nachhaltigkeitsberichterstattung aber sehr breit gefächert.
Es scheint nicht nur ständig neue Informationspflichten zu geben, sondern die bestehenden werden auch immer wieder verändert: Stichwort NIS2 über die Sicherheit von Netz- und Informationssystemen.
Mit NIS2 wird der Anwendungsbereich der Cybersicherheits-Richtlinie auf einen weit größeren Teil der Wirtschaft ausgeweitet. Die Richtlinie muss bis 17. Oktober 2024 umgesetzt werden. Betroffene Unternehmen sind verpflichtet, umfassende Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu ergreifen, zudem gibt es Meldepflichten bei Sicherheitsvorfällen. Auch in anderen Bereichen kommt es ständig zu Erweiterungen. Beispielsweise werden ab April 2024 die Berichtspflichten für Derivate nach der EMIR-Verordnung erweitert, zukünftig sind bis zu 203 statt 129 Felder pro Transaktion zu berichten. Die Energiegroßhandelsmärkte müssen sich mit der geplanten Änderung der REMIT-Verordnung ebenfalls auf Neuerungen einstellen. Bei vielen dieser regulatorischen Themen zeigt sich, dass zwar seit Jahren Daten berichtet werden, aber wegen fehlender Datenqualität und wegen der Komplexität keine brauchbaren Schlussfolgerungen gezogen werden können. Die ursprünglich mit der Regelung verfolgten Ziele werden daher oft gar nicht erreicht.
Die vergangenen Jahre haben eindrucksvoll gezeigt, welch überraschende Risiken plötzlich virulent werden können: erst Corona, dann noch der russische Überfall auf die Ukraine. Wie kann der Aufsichtsrat beurteilen, ob für potenzielle neue Risiken gut genug vorgesorgt ist?
Die Frage ist, ob mitigierende Maßnahmen für das Geschäftsmodell des Unternehmens bzw im Risikomanagement abgebildet sind. Sinnvoll ist es, zwei Kategorien von Risiken zu unterscheiden. Jene Risiken, die mit Sicherheit verwirklicht werden, bei denen es jedoch unklar ist, wann und in welchem Umfang. Dazu gehören vor allem geänderte Rohstoffpreise, Wechselkurse, Zinsen und Margen. In die andere Kategorie fallen strategische und politische Risiken wie Kriege, Naturkatastrophen und Pandemien.
Was folgt aus der Unterscheidung?
Bei der ersten Kategorie sollten Aufsichtsräte darauf achten, ob realistische Alternativszenarien gerechnet wurden und ob die Hedging-Basis korrekt ist. In der zweiten Kategorie muss Aufsichtsräten bewusst sein, dass sie sich auch trotz schlüssiger Einschätzungen und Risikosimulationen nicht in falscher Sicherheit wiegen können. Schließlich sind die Auswirkungen dieser Ereignisse nicht im vollen Umfang vorhersehbar. Wesentlich ist, dass die in Frage kommenden Risiken vollständig erfasst werden und bei realistischer Einschätzung von Eintrittswahrscheinlichkeit und finanziellem Impact ausreichend Liquidität vorhanden ist.
Wo muss welche Branche zurzeit besonders genau hinschauen?
Alle Branchen, deren Geschäftsmodell von den gestiegenen Zinsen besonders betroffen ist, das sind insbesondere Immobilien, Bauwesen und Banken.
Kann der Aufsichtsrat die Risiken überhaupt gut genug abschätzen, oder ist er da nicht erst recht auf die Information durch den Vorstand angewiesen?
Der Aufsichtsrat muss sich zunächst die Risiken vom Vorstand berichten lassen. Hier zeigt sich auch, wie gut die Vertrauensbasis ist – werden alle Risiken berichtet? Im nächsten Schritt geht es darum, die Annahmen für die Worst- und Best-Case-Szenarien zu hinterfragen. Die Branchenkenntnis des Aufsichtsrates spielt dabei eine große Rolle. Am Ende müssen der realistische finanzielle Impact von Risiken, Investitionen und zukünftige Liquidität stimmig sein.
Wie kann der Aufsichtsrat reagieren?
Ist der Aufsichtsrat der Meinung, über Risiken nicht ausreichend informiert worden zu sein, muss er weitere Informationen vom Vorstand einfordern. Kann er Risiken selbst nicht gut genug einschätzen, muss er einen Sachverständigen beiziehen.
In der Signa-Pleite scheinen ja selbst offenkundige Risiken völlig negiert worden zu sein. Wie kann so etwas passieren?
Gemäß dem Jahresabschluss der Signa Prime Selection AG vom 31.12.2022 verfügt die Gesellschaft über ein Risikomanagement, das auch strategische Risiken, Planungsrisiken und Zinsrisiken umfasst. Es gab zudem eine jährliche Überprüfung der Risikomanagement- und Compliance-Prozesse samt Erörterung im Aufsichtsrat. Hier wäre einzuhaken und zu hinterfragen: Was wurde zu den Zinsrisiken berichtet? Wie hat der Aufsichtsrat reagiert? Möglicherweise gilt das eingangs Gesagte, dass wesentliche Themen zu wenig diskutiert wurden.
Wenn etwas passiert ist und es darum geht, Verantwortlichkeiten zu klären: Wie nimmt hier der Aufsichtsrat seine Aufgabe am besten wahr?
Stehen substantiierte Vorwürfe im Raum, muss der Aufsichtsrat eine interne Untersuchung durchführen. Als weniger invasive Maßnahme kommt zunächst auch ein Anforderungsbericht nach § 95 Abs 2 AktG in Frage.
Fehlverhalten des Vorstands können zumindest vordergründig den Interessen des Unternehmens gedient haben, etwa verbotene Preisabsprachen oder Korruption. Wie soll der Aufsichtsrat so ein Verhalten beurteilen?
Preisabsprachen und Korruption sind nie im Unternehmensinteresse. Eine andere Frage ist, wie die Aufarbeitung erfolgt. Ein bestehender Schaden darf nicht vergrößert werden. Zunächst ist erforderlich, dass der Aufsichtsratsvorsitzende und der CEO die fallspezifischen Interessen des Unternehmens und die mit der Untersuchung verbundenen Risiken herausarbeiten. Danach richten sich Untersuchungshandlungen und Intensität der Untersuchung. In Fällen, bei denen ein Manager bzw ein Vorstand eine kriminelle Handlung zum Vorteil des Unternehmens begeht, ist die Interessenslage deutlich komplexer und bedarf einer Abwägung. Der Grund dafür ist, dass sowohl eine strafrechtliche und zivilrechtliche Haftung des Managers als auch eine separate Haftung des Unternehmens möglich ist. Damit steht die Unternehmensverteidigung samt Abwehr von zivilrechtlichen Ansprüchen mit der individuellen Verteidigung des Managers in einem Spannungsverhältnis. Das gilt auch für die gesellschaftsrechtlich und arbeitsrechtlich notwendige interne Aufklärung und die umfassende externe Sachverhaltsaufklärung durch Behörden. Fehlen klare Festlegungen und Rollenverteilungen, wird sich bei Druck durch Behörden und Medien das Bild einer orientierungslosen und fehlerhaften Untersuchung ergeben.
Was tun, wenn der Aufsichtsrat kein Fehlverhalten ortet, die behördlichen Untersuchungen dann aber sehr wohl ein solches ergeben?
Es kommt darauf an, ob beide Untersuchungen auf Basis desselben Sachverhalts erfolgt sind oder ob der Behörde weitere Informationen zur Verfügung gestanden sind. Das ist möglich, weil eine Behörde Zeugen vorladen kann und auch bei anderen Unternehmen Dokumente anfordern oder Hausdurchsuchungen durchführen kann. Divergierende Ergebnisse müssen daher nicht zwingend bedeuten, dass bei der internen Untersuchung gepfuscht wurde. Oft ist auch der Blickwinkel unterschiedlich. Der Aufsichtsratsvorsitzende muss rasch auf Basis der aktuell vorhandenen Informationen beurteilen, ob ein Vorstandsmitglied seine Funktion weiter ausüben kann. Er kann nicht drei Jahre warten, bis eine behördliche Untersuchung abgeschlossen ist. Sofern die interne Untersuchung Ansatzpunkte für ein entsprechendes Fehlverhalten ergibt, fehlt die Basis für eine vertrauensvolle Zusammenarbeit. Der Aufsichtsrat muss dann Konsequenzen ziehen.
Kann es einen Informationsaustausch zwischen internen und externen Untersuchungen geben?
Ein freiwilliger Informationsaustausch ist dann sinnvoll, wenn das Interesse der Behörde und des Unternehmens dasselbe ist. Das ist dann der Fall, wenn eine kriminelle Handlung zum Nachteil des Unternehmens erfolgt ist, etwa eine Kick-back-Zahlung oder ein Diebstahl. In diesem Fall ist eine Kooperation mit Behörden zielführend, weil Behörden weitergehende Möglichkeiten zur Ermittlung haben und eine umfassende Aufklärung im beiderseitigen Interesse liegt.
* Mag. Benedikt Kommenda ist Chef vom Dienst und Leiter des Rechtspanoramas in der „Presse“.
Comments