Warum Interne Audits für das Risikomanagement erforderlich sind

Nach § 91 Abs. 2 AktG hat der  Vorstand eines Unternehmens „geeignete Maßnahmen zu treffen damit den Fortbestand gefährdende Entwicklungen früherkannt werden“. Sämtliche Vorstandsmitglieder müssen die konkreten Kenntnisse und Fähigkeiten besitzen, die zur Erfüllung ihrer Aufgaben notwendig sind. Einwände, beispielsweise fehlende Fachkompetenz, Arbeitsüberlastung oder Zeitmangel, entlasten die Vorstandsmitglieder nicht. Ausdrücklich fordert der Gesetzgeber ein Überwachungssystem, das die Risiken für ein Unternehmen transparent macht.

Unterschieden wird zwischen finanziellen und betrieblichen Risiken. Die finanziellen Risiken ermittelt regelmäßig die interne Revision. Die betriebliche Risiken erfassen die Organisationseinheiten „Legal Compliance“ und „Interne Audits“. Gegenstand dieser Abhandlung ist das Beherrschen der betrieblichen Risiken.

Gerichtsfeste Organisation

Nach ständiger Rechtsprechung ist „der Betriebsinhaber verpflichtet, seinen Betrieb entsprechend den Erfahrungen der Technik so einzurichten, dass voraussehbare Schädigungen Dritter im Rahmen des Möglichen und Zumutbaren ausgeschlossen sind.“

Gerichtsfest ist eine Organisation, wenn sie vor Gericht Bestand hat. Eine Garantie für „Gerichtsfestigkeit“ ist nicht möglich. Dennoch ist das Ziel jeder Organisation die Gerichtsfestigkeit. Wesentlicher Bestandteil ist die ordnungsgemäße Delegation. Gemäß Rechtsprechung tragen die Geschäftsführung bzw. Vorstand und die Führungskräfte die Verantwortung für die ordnungsgemäße Delegation (Organisationshaftung). Zur ordnungsgemäßen Delegation gehören

  • Erstellen eines Anforderungsprofils,
  • Auswählen des geeigneten Mitarbeiters,
  • Überwachen des Mitarbeiters sowie
  • Zur Verfügung stellen der erforderlichen Ressourcen.

Im Schadensfall ist jede Führungskraft im Fokus der  Staatsanwaltschaft: Ohne starre Regeln.  Beispiele hierfür sind:

  • Haftung des Vorstandes wegen In-Verkehr-bringens gesundheitsschädlicher Produkte (Fall „Erdal-Rex“)
  • Haftung des Prokuristen/Produktionsleiters für fehlerhafte Auswahl eines Vorarbeiters  („tödlicher Unfall beim Abbau einer Druckmaschine“) oder
  • Ermittlungsverfahren wegen „Fahrlässiger Brandstiftung“ aufgrund ungenügender Reinigung einer Maschine.

Die Führungskraft entgeht dem Vorwurf des „Organisationsverschuldens“ durch den Nachweis, „alles Mögliche und Zumutbare“ zur Schadensvermeidung getan zu haben. Die Organisation ist dann gerichtsfest.

Zweigleisiges Überwachungssystem für betriebliche Risiken

Für betriebliche Risiken besteht das Überwachungssystem typischerweise aus den zwei Instrumenten (Legal) Compliance Audits und Interne Audits. 

  1. (Legal) Compliance Audits als Kontrollsystem „end-of-pipe“

Zentrale Funktion der Legal Compliance Audits ist die Prüfung der Einhaltung von Rechtsvorschriften. Sie schaffen damit Rechtssicherheit (Legal Compliance). Ziel der Auditoren im Compliance Audit ist, der Geschäftsführung Informationen über den Status der Einhaltung der einschlägigen Rechtsvorschriften zur Verfügung zu stellen.

Die Compliance- Prüfung macht Rechtsverstöße jedoch erst „end-of-pipe“ sichtbar, wenn der Rechtsverstoß bereits eingetreten ist. Dann ist der Rechtsverstoß unumkehrbar  und für eine Korrektur zu spät. Zudem bleiben den Auditoren im Compliance Audit häufig Haftungsrisiken verborgen, da ihre Ursachen in der Organisation im Frühstadium gelegt sind(siehe unten).

Konkrete Rechtsvorschriften zur ordnungsgemäßen Delegation sind nicht vorhanden. Die Überprüfung der Gerichtsfestigkeit ist daher im Compliance Audit nur schwer möglich.

  1. Interne Audits als internes Frühwarnsystem (Selbstkontrolle)

Das Interne Audit ist ein Instrument der Selbstkontrolle. Es macht Fehlentwicklungen unter aktiver Mitwirkung der auditierten Mitarbeiter transparent. Das Auditteam im Internen Audit ermittelt die haftungsrechtlichen Risiken, bevor es zu einem Verstoß von (Rechts)-Vorschriften kommt. Damit kann die Geschäftsleitung vor Gericht nachweisen, dass sie alles „Mögliche und Zumutbare“ getan hat, um Schädigungen Dritter vorzubeugen.

Damit wirken Interne Audits anders als Compliance Audits präventiv. Sie zeigen als System der Selbstkontrolle nach dem Prinzip „front-of-pipe“ Risiken im Vorfeld auf und haben damit vorbeugenden Charakter.

  1. Nutzen von Compliance und Internen Audits

3.1      Nutzen von Compliance Audits

Die Auditoren im Compliance Audit überprüfen die Einhaltung der (Rechts) Vorschriften. Dies ist ihr Auftrag. Das Compliance Audit gibt der Geschäftsführung Rechtssicherheit.

Vorrangiges Ziel der Compliance Audits ist nicht, strukturelle sowie inhaltliche Verbesserungen über das Anforderungsniveau der Rechtsvorschriften hinaus zu ermitteln.

3.2      Nutzen der Internen Audits

Ziel der Internen Audits ist die Suche nach strukturellen und inhaltlichen Verbesserungen im Streben nach Erreichen der Unternehmensziele, u.a. der Sicherstellung von Gerichtsfestigkeit. Dies schließt nicht aus, dass die Mitarbeiter wie beim Compliance Audit vorhandene Rechtsverstöße feststellen.

Der Optimierungssprozess eines Unternehmens ist dynamisch. Dagegen ist das Anforderungsniveau von Rechtsvorschriften für den Zeitraum ihrer Geltung statisch.

Der Nutzen Interner Audits ist daher, den Optimierungsprozess über das Anforderungsniveau von Rechtsvorschriften hinaus aktiv zu fordern und zu fördern. 

  1. Die Mitarbeiter im Compliance Audit und Internen Audit

4.1      Die Mitarbeiter im Compliance Audit

Im Compliance Audit sind die Auditoren Experten der dem Audit zugrundeliegenden Rechtsvorschriften bzw. Norm. Sie stellen aufgrund ihrer Fachkenntnis hinsichtlich einzuhaltender (Rechts-)Vorschriften Abweichungen und Schwachstellen fest. Die Mitarbeiter bleiben passiv. 

4.2.     Die Mitarbeiter im Internen Audit

Im Internen Audit sind die Mitarbeiter die Experten ihrer Prozesse. Sie entscheiden über sinnvolle Verbesserungspotenziale. Im Internen Audits sind sie aktiv. Als Experten der Prozesse tragen die auditierten Mitarbeiter hierfür die Verantwortung. Über Compliance- Niveau hinaus entwickeln sie frühzeitig Konzepte zur Vermeidung von Haftungsrisiken. Gleichzeitig trägt das Interne Audit maßgeblich zur Verbesserung der Prozesse bei.

Folgende Auditsituationen zeigen das Erfordernis der aktiven Beteiligung der Mitarbeiter. Eine fehlende Kommunikation zwischen Entwicklung, Produktion und Vertrieb stellt ein hohes Produkthaftungsrisiko dar. Kennt die Produktion die Forderungen der Kunden nicht, so ist das Produkt nicht vertragsgemäß. Kommuniziert der Vertrieb nicht die vorhandenen Produktfehler, so steigt das Produkthaftungsrisiko. Kommunikation lässt sich nicht erprüfen. Weiteres Beispiel sind Beinah-Unfälle. Erst das aktive Mitwirken der Mitarbeiter im Internen Audit deckt die wahren Ursachen von Beinah-Unfällen auf. Die Mitarbeiter leisten im Internen Audit einen aktiven Beitrag zur Vermeidung von Haftungsrisiken.

Das gleiche gilt für wirtschaftliche Risiken. Fortgeschrittene Auditteams forschen gemeinsam nach Optimierungsspotenzialen bzw. Verschwendung von Ressourcen. Sie streben nach größtmöglicher Professionalität, Effizienz der Prozesse und der optimalen Systembedingungen. 

  1. Die Auditoren im Compliance Audit und Internen Audit

5.1      Die Auditoren im Compliance Audit

Die Auditoren im Compliance Audit bringen vor allem Fachwissen bzgl. der Rechtsvorschriften mit. Darüber hinaus ist Basiswissen in Hinblick auf Gesprächsführungskompetenz erforderlich.

Ihre Stellung als externe Auditoren zu Überprüfung von Vorschriften verschafft ihnen in der Regel die erforderliche Autorität.

5.2      Die Auditoren im Compliance Audit und Internen Audit

Anders als im Compliance Audit erhalten sie ihre Autorität erst als Auditor-Persönlichkeit. Die Anforderungen an die sogenannten „soft facts“ sind hoch. Die Leitung eines Internen Audits erfordert ausgeprägte Eigenschaften und Fähigkeiten als Führungskraft.

Die Internen Auditoren bringen neben der erforderlichen Fachkompetenz die Fähigkeit mit, die auditierten Mitarbeiter durch einfühlendes Verstehen und systematische Fragetechnik zu führen und zu aktivieren. Gemeinsam suchen sie im Auditteam nach Minderung von Haftungsrisiken und Optimierungsspotenzialen.

  1. Das Zertifizierungsaudit nach SO 9001, ISO 14001

Das Zertifizierungsaudit ist ein Compliance Audit. Die Auditoren überprüfen die Forderungen der dem Zertifizierungsverfahren zugrundeliegenden Norm. Es gelten daher dieselben Grundsätze wie für die Compliance Audits. Sie unterstützen u.a. die Forderung nach der Einhaltung von Rechtsvorschriften.

Im Zertifizierungsverfahren ist das Unternehmen nach den gängigen ISO-Normen (ISO 9001, 14001, 18001) vertraglich verpflichtet, Interne Audits durchzuführen.

Fazit

Interne Audits sind wichtiger Bestandteil des Überwachungssystems nach § 91 AktG. Professionell und mit aktiver Beteiligung der Mitarbeiter durchgeführt verringern sie  das Haftungsrisiko für die Unternehmensleitung. Gleichzeitig sind sie für das Streben nach ständiger Verbesserung der Internen Prozesse unverzichtbar.

Sie haben Fragen?

Rufen Sie uns an!

Ihr Team der Martin Mantz GmbH
Telefon +49 (0)6022 20827-0
E-Mail info@martin-mantz.de

Sprechen Sie uns an!

Telefon 06022-20827-0
info@martin-mantz.de

 
Ansprechpartner