Leseprobe GRC aktuell | Linde Verlag

Page 1

GRC aktuell

Governance – Risiko – Compliance – Management

Fachzeitschrift für nachhaltige Unternehmensführung

Governance

Nachhaltigkeit und Interne Revision

Risiko

ChatGPT und Co

Cyber-Vorfall: Konsequenzen und Prävention

Die Kunst der effektiven Risikobewertung

Compliance

ESG als Haftungsthema für Leitungsorgane

Welt- und Compliance-Bilder

Management

ESG in M&A-Transaktionen

Case Study

F&E-Controlling Service

Nachlese zur sechsten GRC Jahrestagung

GRC-Update – Überblick für die Praxis

KISS MEE

Die Besten

Markus Fally | Markus Hölzl | Eva Maria Schrittwieser | Dieter Stangl-Krieger
6. Jahrgang / Juni 2023 / Nr. 2

Gesunde Gespräche

Mit Leitfäden und Checklisten zur direkten Umsetzung

Steuern. Wirtschaft. Recht. Am Punkt.

Methoden zur Förderung von Leistung und Gesundheit

Gesund führen GRATZ | RÖTHEL | SATTLER-ZISSER

2. Aufl. 2023 224 Seiten, kart. 978-3-7093-0702-1

€ 29,90

Als E-Book erhältlich

Online bestellen & Versandkosten sparen

lindeverlag.at

Inhaltsverzeichnis

IMPRESSUM

Herausgeber:

Dr. Markus Fally, CRMA, Dipl. IR; Mag. Markus Hölzl, CFE, CIA; Mag. (FH) Eva Maria Schrittwieser, MBA. Dieter Stangl-Krieger, CIA, CFE, CFSA, CISA

Medieninhaber und Medienunternehmen:

Linde Verlag Ges.m.b.H., 1210 Wien, Scheydgasse 24.

Telefon: 01/24 630 Serie.

E-Mail: office@lindeverlag.at.

Internet: http://www.lindeverlag.at.

DVR 0002356; Rechtsform der Gesellschaft: Ges.m.b.H.; Sitz: Wien.

Firmenbuchnummer: 102235x.

Firmenbuchgericht: Handelsgericht Wien. ARA-Lizenz-Nr. 3991; ATU 14910701. Gesellschafter: Anna Jentzsch (35 %) und Jentzsch Holding GmbH (65 %).

Geschäftsführung: Mag. Klaus Kornherr und Benjamin Jentzsch.

Erscheinungsweise und Bezugspreise:

Periodisches Medienwerk:

GRC aktuell – Governance – Risiko –Compliance – Management.

Grundlegende Richtung: Fachinformationen rund um Governance, Risiko, Compliance und Management.

Erscheint viermal jährlich.

Jahresabonnement (Print) 2023 EUR 215,70 (Print inkl. Online) 2023 EUR 230,80 jeweils inkl. MwSt. zzgl. Versandspesen. Abbestellungen sind nur zum Ende eines Jahrgangs möglich und müssen bis spätestens 30. November schriftlich erfolgen. Unterbleibt die Abbestellung, so läuft das Abonnement automatisch ein Jahr und zu den jeweils gültigen Konditionen weiter. Preisänderungen und Irrtum vorbehalten.

Nachdruck – auch auszugsweise – ist nur mit ausdrücklicher Bewilligung des Verlags gestattet. Es wird darauf verwiesen, dass alle Angaben in dieser Fachzeitschrift trotz sorgfältiger Bearbeitung ohne Gewähr erfolgen und eine Haftung des Verlages, der Redaktion oder der Autoren ausgeschlossen ist.

Für Publikationen in den Fachzeitschriften des Linde Verlags gelten die AGB für Autorinnen und Autoren (abrufbar unter https://www.lindeverlag.at/agb) sowie die Datenschutzerklärung (abrufbar unter https://www.lindeverlag.at/datenschutz).

Entwicklung eines Dokumentationsinstruments am Beispiel eines Herstellers

Herausgeberbeirat:

Robert Ebel, Zürich.

Dr. Klaus Gressenbauer, Wien.

Dr. Matthias Kopetzky, CIA, CFE, CPA, Wien.

Dr. Rita Niedermayr, Wien.

Mag. Andrea Rockenbauer, CRMA, Dipl. IR, Linz. Dipl.-Kfm. Frank Romeike, M.A., Brannenburg. Betrw., Dipl.-Verww. Michael Schulze Heuling, Bückeburg. Dr. Christian Weißensteiner, Graz

Anzeigenverkauf und -beratung:

Gabriele Hladik, Tel.: 01/24 630-719; E-Mail: gabriele.hladik@lindeverlag.at Sonja Grobauer, Tel.: 0664/78733376; E-Mail: sonja.grobauer@lindeverlag.at

ISSN: 2616-4582

Hersteller:

Druckerei Hans Jentzsch & Co. Gesellschaft m.b.H., 1210 Wien, Scheydgasse 31. Telefon: 01/278 42 16-0. E-Mail: office@jentzsch.at. Internet: www.jentzsch.at.

37
2/2023
Inhaltsverzeichnis KISS MEE Die Besten Maria Pruckner................................................................................................................. 38 Governance Nachhaltigkeit und die Rolle der Internen Revision – Gegenwart und Zukunft Cathrin Küsters................................................................................................................ 42 Service/GRC-Update I Überblick für die Praxis – Studien Josef Baumüller................................................................................................................ 45 Risiko ChatGPT und Co Christoph Mayer/ Hernán Villamizar / Vinzenz Halhammer................................................................. 46 Mögliche Konsequenzen sowie Prävention eines Cyber-Vorfalls Christopher Drolz.............................................................................................................. 49 Service/GRC-Update II Überblick für die Praxis – Buchneuerscheinungen I Josef Baumüller................................................................................................................ 52 Risiko Die Kunst der effektiven Risikobewertung Manuel Lechner................................................................................................................. 53 Service/GRC-Update III Überblick für die Praxis – Verlautbarungen Josef Baumüller................................................................................................................ 56 Compliance ESG als Haftungsthema für Leitungsorgane von Kapitalgesellschaften Christoph Harringer............................................................................................................ 57 Welt- und Compliance-Bilder Thomas Schneider............................................................................................................... 61 Service/GRC-Update IV Überblick für die Praxis – Buchneuerscheinungen II Josef Baumüller................................................................................................................ 63 Service Nachlese zur sechsten GRC Jahrestagung Sarah Blaimschein.............................................................................................................. 64 Case Study F&E-Controlling:
von elektronischen
und
Urs Engelbogen / Rudolf Grünbichler............................................................................................ 67 Management ESG in M&A-Transaktionen Ulrich Weinstich / Kaleb Kitzmüller............................................................................................ 72
Bauteilen
Komponenten in der Steiermark

Die Besten

„Ja, das mit der Komplexität … Ich finde das ja sehr wichtig. Aber meine Leute …, man darf sie nicht mit zu wissenschaftlichen Inhalten überfordern...“ So in etwa lauten die Argumente vieler Topmanager, die lieber auf pseudosystemischen Humbug zurückgreifen, der für Laien zwar gut klingt, aber für die hoch komplex-dynamische Praxis nicht geeignet ist. Aber sind es tatsächlich ihre Mitarbeiter, die mit systemadäquaten, komplexitätsgerechten Managementkonzepten überfordert sind?

Maria Pruckner befasst sich in ihrer Kolumne KISS MEE mit den Problemzusammenhängen von Komplexität, Intelligenz, System Sciences, Management, Effektivität und Effizienz. Die Entwicklerin, Beraterin, Trainerin, Autorin sowie Filmemacherin gehört zu den internationalen Pionieren auf diesem Gebiet und hat ihren Unternehmenssitz in Wien.

Diesen Artikel widme ich einer Gruppe von Straßenbahnfahrern in einer europäischen Großstadt, mit der ich vor einigen Jahren mit viel Spaß in kürzester Zeit viel Erfolg mit angewandter Kybernetik hatte und einer Gruppe von Abteilungsleitern in einem internationalen Logistikunternehmen, die ich nur noch mit den Inhalten auf High-End-Niveau ein gutes Stück weiterbringen konnte, weil sie aufgrund ihres eigenen Wissens und Denkens längst sauber angewandte Kybernetik betrieben haben, ohne es zu wissen.

Wenn man in den Medien beobachtet, wie Menschen in den Weltraum geschickt werden, überrascht es so gut wie niemanden, wie akribisch sie für die besonderen Umstände einer Weltraummission ausgebildet und trainiert werden. Schließlich ist im Weltraum nichts so wie auf der Erde. Aber wenn es um Manager geht, die in Komplexen Systemen als Unternehmen und Institutionen für Produktivität, Innovation und Nachhaltigkeit sorgen sollen, gehen noch immer viel zu häufig die Scheuklappen hoch, sobald es um deren Ausbildung und Training auf der Basis valider systemwissenschaftlicher Konzepte geht. Dabei unterscheiden sich die Umstände in Komplexen Systemen genauso radikal von Einfachen Systemen wie die im Weltraum von der Erde.

So wie man für den Weltraum eine bestimmte Vorstellung von diesem braucht, um eine Mission erfolgreich zu erfüllen, braucht man eine solche auch für das erfolgreiche Management in Komplexen Systemen. In unserer Gesellschaft, auch in unseren Schulen ist sie noch lange nicht und für Studierende an Universitäten noch nicht ausreichend etabliert. Das hat im Wesentlichen drei verschiedene Gründe:

▶ Valides, praktisch hilfreiches Wissen über die besonderen Eigenschaften und Funktionsweisen Einfacher und Komplexer Systeme steht der Menschheit erst seit rund 70Jahren zur Verfügung.

▶ Aus historischen Gründen gibt es bis heute keine Literatur, in der alle verlässlichen systemwissenschaftlichen Aussagen gesammelt und in möglichst eindeutigen Worten dargestellt sind, und alle nicht verlässlichen Aussagen mit entsprechender Begründung kritisiert.

▶ Dafür aber gibt es besonders im Kontext von Management die unterschiedlichsten Ansätze aus zweiter, dritter und weiß-Gott-wievielter-Hand, die unter dem Titel „syste-

misch“ allerlei Konzepte, Methoden und Tools liefern, die mit validem systemwissenschaftlichem Wissen so gut wie nichts mehr zu tun haben.

Wer also bestens gerüstet ein möglichst professionelles Management in Komplexen Systemen (be)treiben möchte, muss sich nach wie vor auf eine mühsame Suche begeben, die der nach Diamanten gleicht. Denn die Meister und Lehrer dieser Materie trommeln nicht laut auf dem Markt. Sie agieren aus guten Gründen so gut wie immer leise im Verborgenen.

Die Profis in der Wissenschaft

Mitte der 1990er-Jahre, das war die Zeit, in der ich mein Beratungsunternehmen gegründet habe, fand man selbst unter den Wissenschaftlern nur ein überschaubares Ausmaß an Exzellenz, die die bedeutsamen Errungenschaften der System Sciences bereits verinnerlicht hatte. Diese Herren und Damen sind längst emeritiert, die meisten von ihnen hochbetagt, wenn nicht leider schon verstorben und nur noch wenige in ihrem Fach aktiv. Bei ihren Schülern und Nachfolgern sieht es bereits ganz anders aus. Die spezielle Natur Komplexer Systeme in ihrer tatsächlichen Beschaffenheit ist heute unter soliden Wissenschaftlern so gut wie in allen Fachgebieten praktisch selbstverständlich.

Das Einzige, was sich geändert hat, ist die Semantik. Man verwendet heute vielfach andere Begriffe als in der Primärliteratur. Damit will ich nicht gesagt haben, dass man davon ausgehen kann, dass jeder zeitgenössische Wissenschaftler das gesamte notwendige Wissen und Können für einen professionellen Umgang mit Komplexen Systemen mitbringt. Aber so gut wie jeder bringt eine realistische Vorstellung von den Funktions- und Reaktionsweisen Komplexer Systeme mit.

Die großen Meister erkennt man daran, dass sie mit ihren systemwissenschaftlichen Grund-

KISS MEE 2/2023 38 Die Besten

lagen bereits wertvolle wissenschaftliche Erkenntnisse gewonnen bzw große komplexe Probleme erfolgreich gelöst haben. Denn die Kunst des Meisterns von Komplexität ist nicht das geeignete Wissen über Komplexe Systeme, sondern sein korrektes Anwenden.

Die Profis in der Praxis

Valide systemwissenschaftliche Aussagen erlauben es, realistisch vorherzusehen, welche Vorgänge und Entwicklungen in der Praxis zu guten Lösungen oder zu weiteren und größeren Problemen führen werden. Es sollte daher nicht überraschen, und dass man die meisten Profis für das Management in Komplexen Systemen nicht in den oberen Führungsetagen findet, sondern in den untersten und an der Basis. Dort nämlich, wo sich das Funktionieren der Dinge eindeutig zeigt, weil allfällige Mängel und Fehler weder übersehbar sind noch geleugnet, umgedeutet oder wegdiskutiert werden können. Auf diesen Ebenen stehen die Menschen und ihre Ergebnisse im engsten Kontakt mit dem Markt und den Kunden, oder anders gesagt, im engsten Kontakt mit höchster realer Komplexität und Dynamik. Auf diesen Ebenen wirken sich Fehler am stärksten aus. Menschen, die hier arbeiten, müssen und wollen sie tunlichst vermeiden.

Während man auf höheren Führungsebenen mit immer höheren Abstraktionsgraden agiert, die sich vielfach in aufwändigen, aber von Natur aus immer unzureichenden Beschreibungen, Abbildungen oder dichten Zahlenwerken darstellen, die unendlich viele Realitätskonstruktionen und Interpretationsmöglichkeiten zulassen, zeigt sich an der Basis eindeutig, ob die Produktion effektiv und effizient genug läuft, der Mitbewerb die besseren Angebote hat, ob Teams auf die nötigen Ressourcen zugreifen können, die notwendige Kommunikation funktioniert, die erforderliche Orientierung allseits gegeben ist und zu jeder Sekunde die passenden Maßnahmen und Entscheidungen getroffen und professionell umgesetzt werden.

Es sollte daher niemanden überraschen, dass ich in meiner jahrzehntelangen Praxis mehr „kleine“ Abteilungsleiter und deren Mitarbeiter mit einem vollkommen realistischen Verständnis von Komplexen Systemen getroffen habe als auf höheren Führungsebenen. Das nämlich sind die Menschen, denen die typischen Probleme durch Komplexe Systemen oft im wahrsten Sinn des Wortes um die Ohren fliegen. Sei es etwa in Form einzelner Teile gebrochener Maschinen, in Form heftig vorgetragener Konflikte oder in Form zu schlechter Produkte oder gescheiterter, weil undurchdachter oder schlecht gemanagter Projekte.

Viele Menschen, die täglich den Widerspruch zwischen den Vorstellungen ihres Topmanagements und den tatsächlichen Umständen ihrer Praxis erleben, gehen ihrer Lage früher

oder später so tief auf den Grund, bis sie hilfreiche Antworten gefunden haben. Sie tun das, um nicht krank, um nicht verrückt zu werden. Die Antworten, die sie als „erlösend“ erleben, finden sie in solider systemwissenschaftlicher Literatur, die sich direkt oder indirekt auf das Management bezieht.

Die Wissenschaft von der Praxis

Es ist ein verlässliches Charakteristikum jeder guten Theorie, dass sie die Praxis so beschreibt, wie sie tatsächlich zu erleben ist, sei es in den Fragen des Gelingens oder auch in jenen des Misslingens. Das gilt für alle Fachgebiete.

Der Unterschied zwischen Fachwissen und validem systemwissenschaftlichem Wissen liegt vor allem darin, worauf es sich bezieht. Fachwissen bezieht sich auf konkrete und bestimmte Aufgaben und Probleme in einem bestimmten Bereich, zB in der Technik, in einem Handwerk, in der Medizin oder Betriebswirtschaft. Systemwissenschaftliches Wissen bezieht sich auf bestimmte Arten von Systemen, zB auf alle Einfachen oder Komplexen Systeme, auf technische, soziale, biologische oder ökologische Systeme. Es beschreibt ihre besonderen Eigenschaften und Funktionsweisen, die von Natur aus angelegt sind und daher vom Menschen nicht geändert werden können.

Für das Management ist die Kybernetik die entscheidende Systemwissenschaft, weil in ihrem Rahmen die besonderen Eigenschaften und die Funktionsweise von Komplexen Systemen erforscht wurde, die Zwecke und Ziele verfolgen. Es sind die verlässlichsten Grundlagen des Gelingens und Misslingens für das Management, die bislang zur Verfügung stehen. Der Brite William Ross Ashby, einer der maßgeblichsten Mitbegründer der Kybernetik und seines Zeichens Psychiater, hat die Kybernetik daher absolut treffend als die „Wissenschaft von der Praxis“ bezeichnet. Man kann davon ausgehen, dass jene Menschen, die die jeweilige Praxis hautnah erleben, täglich intensiv genug reflektieren und gestalten, die wenigsten Probleme damit haben, die Aussagen der Kybernetik richtig zu verstehen und als der Praxis entsprechend zu erachten.

Meinen jahrzehntelangen Beobachtungen und Erfahrungen zufolge, trifft man hier einerseits die meisten Menschen an, die aufgrund ihrer eigenen Beobachtungen und Erfahrungen viele wichtige Aussagen der Kybernetik selbst erkannt haben, ohne zuvor jemals von ihr gehört zu haben. Andererseits trifft man hier die meisten Menschen an, die sich sowohl mit systemwissenschaftlicher als auch mit trivialer systemischer Literatur beschäftigt haben und sehr gut zwischen validen und fragwürdigen Aussagen unterscheiden können, weil sie sehr viel Erfahrung damit haben, was unter welchen Umständen klappt oder nicht.

39 2/2023 KISS MEE Die Besten

Wissenschaftler in der Praxis

Es gibt eine dritte Gruppe von Profis im Umgang mit hoher Komplexität und Dynamik. Das sind Menschen, die mit einer soliden wissenschaftlichen Basis praktische Berufe und Funktionen ausüben, insbesondere im Management. Diese Menschen wissen einerseits, wie man die nötige wissenschaftliche Literatur sucht, interpretiert, nutzt und bewertet und haben andererseits einen hohen Drang, bislang ungelöste komplexe Probleme nachhaltig in den Griff zu bekommen. Sie profitieren von validen systemwissenschaftlichen Grundlagen am allermeisten, weil sie die wenigsten Probleme damit haben, die Originalliteratur schnell und korrekt zu interpretieren und weil sie die Praxis nicht nur im relativ engen Kontext eines Forschungsprojekts beobachten, sondern im großen Rahmen jahrelanger beruflicher Tätigkeit in all ihren realen Konstanten und Variablen von Individuen, spontanen Ereignissen und Zuständen sowie inhaltlichen, mentalen, technischen und sozialen Beziehungen. In der Regel verarbeiten sie ihre Einblicke früher oder später auf einer wissenschaftlichen Laufbahn in Doktorarbeiten und Habilitationen, werden also zu Praktikern in der Wissenschaft.

Von wegen Überforderung

Wer Sorge hat, seine Mitarbeiter damit zu überfordern, wenn man sie für ihre Managementaufgaben mit validen systemwissenschaftlichen Grundlagen, Methoden und Werkzeugen ausrüstet, sollte daher drei wichtige Punkte bedenken:

▶ Komplexe Systeme überfordern an sich jeden Menschen aufgrund ihrer speziellen Eigenschaften und Funktionsweisen, und zwar so lange, solange man ihnen nicht mit geeigneten Vorstellungen, Grundlagen, Methoden und Tools begegnet.

▶ Solange man Menschen ihre Praxis und die Umstände jedes Gelingens und Misslingens in deren Kontext so beschreibt, wie sie diese erleben, fühlen sie sich nicht überfordert, sondern verstanden und bestätigt. Vermeidbarer Stress und Widerstand entstehen nur durch Ansätze und Theorien, die der realen Praxis nicht gewachsen sind. Kluge Mitarbeiter akzeptieren weitaus eher anspruchsvolle Theorien als solche, die an der realen Praxis scheitern.

▶ Viele Mitarbeiter an der Basis scheitern nicht an der Komplexität und Dynamik ihrer Aufgaben und Probleme, sondern an ihren Chefs. Ein bemerkenswerter Teil von Mitarbeitern weiß aufgrund seiner Beobachtungen und Erfahrungen wie die Dinge am besten laufen, wie sie schlecht oder gar nicht funktionieren, wie sie zu kostspielig oder ökonomisch ablaufen. Und viele haben sich auch ausreichend gebildet, um zu ver-

stehen, warum dies so ist. Sie durchschauen, welche Führungskräfte ein unzureichendes Verständnis von Komplexen Systemen haben oder ihr Wissen über sie nicht konsequent anwenden. Für solche Führungskräfte hat sich mittlerweile ein Schlagwort etabliert, mit dem auf deren komplexitätsbezogene Inkompetenz hingewiesen wird: „unterkomplex“.

Monsieur Jourdains

Unter den Vätern der Kybernetik gab es eine Art Geheimcode für Menschen, die zumindest die deutlichsten kybernetischen Phänomene selbst entdeckt und verstanden haben. Solche Menschen waren für sie höchst begehrte Dialogpartner, weil diese ihnen belastbare, tiefe Einblicke in die verschiedensten Praxisbereiche bieten konnten. Sie nannten Praktiker mit einem intuitiven kybernetischen Blick „Monsieur Jourdains“

Monsieur Jourdain ist der Protagonist in Molieres Komödie „Der Bürger als Edelmann“. Jourdain, ein reicher, aber nicht allzu hellköpfiger Kaufmann hat die Nase von seiner niedrigen Herkunft voll, er will in den Adelsstand aufsteigen. Da er nichts vorzuweisen hat, womit er sich eines Adelstitels verdient gemacht hätte, beschloss er, seinen Aufstieg durch eine Heirat zu bewerkstelligen. Er engagiert eine Reihe von Beratern, Lehrern und Experten, um sich zu einem gebührlichen Edelmann trainieren zu lassen. Als seine Auserwählte hat er eine vornehme Marquise im Auge, die er reichlich beschenkt und der er sich mit einem Liebesbrief weiter annähern möchte. Weil er selbst einen solchen nicht standesgemäß verfassen kann, beauftragt er seinen engagierten Philosophen damit. Dieser ist gerne bereit, sich als Ghostwriter für Jourdain zu betätigen und fragt ihn sogleich, ob er Jourdains Liebesbrief in Prosa oder Lyrik verfassen solle. Jourdain kann mit den Begriffen Prosa und Lyrik nichts anfangen, sein Philosoph muss ihm daher die beiden unterschiedlichen Textformen erklären. Lyrik würde bedeuten, Texte in Reimen zu verfassen. Prosa sei die Sprache, die Jourdain täglich spreche. Jourdain ist daraufhin völlig davon begeistert, dass er Prosa spricht: „Was? Ich spreche Prosa?“, ruft er sinngemäß aus, „Ich spreche Prosa! Ich wusste gar nicht, dass ich Prosa sprechen kann!“

Valides systemwissenschaftliches Wissen ist empirisches Wissen. Es entsteht viel eher und besser durch praktische Erfahrung als durch theoretische Bildung. So wie jeder seine Muttersprache durch Erfahrungswissen lernt und nicht durch grammatikalische Regeln und Vokabelstudium, und so wie die Schwerkraft so gut wie jeder aus eigener Erfahrung längst kannte, bevor Newton ihre Gesetzmäßigkeiten beschrieben hat, kennt praktisch jeder Mensch die wichtigsten kybernetischen Phänomene aus eigener Erfahrung.

KISS MEE 2/2023 40 Die Besten

Die Ergebnisse

Praktisch umfassend erfahrene Menschen haben eine ausgeprägte Mustererkennung für kybernetische Phänomene oder anders gesagt, eine gut fundierte Intuition. Nur die anspruchsvolleren Erkenntnisse der Kybernetik entdecken Laien nicht selbst. Diese muss man von guten Lehrern lernen und intensiv üben.

Nur mit validen kybernetischen Werkzeugen bekommt man die komplex-dynamischen Situationen im Management nachhaltig in den Griff. Diese Werkzeuge, allen voran handelt es sich hier um realitätsgerechte Modelle der (Selbst)Steuerung und (Selbst)Regulierung von Systemen, haben beim Problemlösen und Managen vom Prinzip her dieselbe Bedeutung wie Stricknadeln beim Stricken. Ohne sie kommt nie das heraus, was mit ihnen herauskommen kann.

KISS MEE

Wie reagieren also Manager unterer Führungsebenen und ihre Mitarbeiter auf valide systemwissenschaftliche Inhalte und Modelle? Sie sehen sich in ihrem Wahrnehmen und Denken bestätigt. Sie freuen sich über ihre Intelligenz. Sie wissen danach, welche ihrer rein intuitiven Gedanken und Aktionen welche Bedeutung und Wirkkraft für das effektive Funktionieren Komplexer Systeme und für ein effizientes Arbeiten haben. Sie gewinnen an Selbstsicherheit und Selbstvertrauen, weil sie dann wissenschaftliche Erklärungen für ihre Intuition und Selbstwirksamkeit haben. Sie wissen, worauf sie besonderen Wert legen müssen und warum. Sie wissen, wofür sich Anstrengung lohnt und wofür nicht. Sie werden mit besten Argumenten zunehmend effektiver und effizienter, solange man sie nicht mit „unterkomplexen“ Vorgaben daran hindert.

Während die Autorin in ihren früheren Beiträgen unter den Akronym KISS ME auf selbstreferenzielle Phänomene eingegangen ist, zeigt sie hier ihre Definitionen der Begriffe unter dem neuen Akronym KISSMEE auf, um die korrekte Interpretation ihrer Texte zu erleichtern.

Komplexität: Die Fähigkeit von Systemen, eine unmöglich fassbare Anzahl unterschiedlicher Zustände und Ereignisse hervorzubringen.

Intelligenz: „Intelligenz ist das, was wir benutzen, wenn wir nicht wissen, was wir tun sollen“. In Anbetracht der vielen divergierenden Definitionen in der Wissenschaft halte ich diese Definition am tauglichsten für den praktischen Alltag.

System Sciences: Die Systemwissenschaft ist ein disziplinübergreifendes Gebiet, das die Eigenschaften, Funktionsweisen, Organisiertheit, Gesetzmäßigkeiten und Eigendynamiken von Systemen an sich sowie von bestimmen Systemarten erforscht, um verlässliche Vorhersagen über sie zu treffen, sinnvolle Sollwerte und Designprinzipien zu empfehlen, die in den verschiedensten Fachgebieten für das Lösen von Problemen und Entwickeln von Systemen Anwendung finden können.

Management: Das Gestalten, Steuern und Regulieren von Komplexen Systemen in Form von Unternehmen, Institutionen oder Projekten, mit dem Zweck, hohe Produktivität, Effektivität, Effizienz sowie Langlebigkeit hervorzubringen und dabei unnötigen Stress zu vermeiden.

Effektivität: Die Wirksamkeit eingesetzter Maßnahmen, um ein beabsichtigtes Ergebnis zu erreichen. Sie ist verbunden mit der Frage, ob man das Passende getan hat und steht für ein Maß der Zielerreichung.

Effizienz: Ein Maß der Wirtschaftlichkeit, das sich darauf bezieht, ob man das Passende mit einer Vorgehensweise und Mitteln umgesetzt hat, die in einem sinnvollen Kosten-Nutzen-Verhältnis stehen.

Nie wieder Neuerscheinungen verpassen!

Unsere Newsletter informieren Sie wöchentlich über unsere neuesten Produkte.

Jetzt anmelden: lindeverlag.at/newsletter

41 2/2023 KISS MEE Die Besten
PODCASTS DIGITALE SERVICES SEMINARE ZEITSCHRIFTEN FACHBÜCHER

Nachhaltigkeit und die Rolle der Internen Revision – Gegenwart und Zukunft

Ein Interview mit dem Leiter der Konzernrevision der Österreichischen PostAG, Marc-Oliver Ludwig, zur aktuellen Positionierung und zukünftigen Entwicklungen

Bereits 1981 hat der Wissenschaftler Elmer B Staats prognostiziert, dass bis zum Jahr 2000 gesellschaftliche und umweltbezogene Prüfungen Teil der Prüflandkarte der Internen Revision sein werden. Doch was wurde aus der Prognose von 1981? Welche Rolle hat die Interne Revision bezüglich ökologischer und sozialer Fragestellungen eingenommen? Welchen Herausforderungen sieht sich die Interne Revision in diesem Zusammenhang gegenüber? Antworten dazu soll das Interview mit der Österreichischen Post AG liefern.

Cathrin Küsters,

Senior

des Executive Education Masters „Sustainability & Responsible Management“ an der FH des bfiWien beschäftigt sie sich vor allem mit Fragestellungen rund um Nachhaltigkeit und Interne Revision.

Waren es in der Vergangenheit rund 90 große österreichische Unternehmen, welche eine nichtfinanzielle Berichterstattung, einen sogenannten Nachhaltigkeitsbericht, verfassen und veröffentlichen mussten, sind es in Zukunft in Österreich ca 2.000 Unternehmen. Grund hierfür ist die EURichtlinie zur Nachhaltigkeitsberichterstattung „Corporate Sustainability Reporting Directive (CSRD)“, welche im Jänner 2023 in Kraft getreten ist.1 Aber nicht nur die neue EU-Richtlinie übt Druck auf Unternehmen aus, sich mit den ESG-Kriterien (Environment, Social, Governance) auseinanderzusetzen, auch Investor:innen tun dies. Das zeigt die Umfrage der Management Consulting GmbH EY mit dem Titel „Wie wird die ESG-Performance Ihre Zukunft gestalten?“. 2

Die Umfrage von 298 institutionellen Anleger:innen hat ergeben, dass für 91Prozent der Investor:innen die nichtfinanzielle Performance und die Einhaltung von ESG-Kriterien für die Investitionsentscheidungen eine wesentliche Rolle gespielt haben. Und auch die Ergebnisse aus dem „Global Risks Report 2022” vom World Economic Forum bestärken, dass Unternehmen dem Thema Nachhaltigkeit möglichst rasch mehr Zeit und Aufmerksamkeit widmen sollten. Für die nächsten fünf Jahre schätzen die für den Report befragten Personen gesellschaftliche und ökologische Risiken am höchsten ein. Umweltrisiken werden als die fünf häufigsten wahrgenommen. Unter den Top3 finden sich „Klimaschutzversagen“, „Extremwetter“ und „Verlust der Biodiversität“.3

Der Druck, der sich daraus für die Unternehmen ergibt, um die Einhaltung der gesetzlichen Vorgaben zu gewährleisten, um die eventuell mit dem Klimawandel im Zusammenhang stehenden Risiken und Chancen zu bedienen, aber auch die Attraktivität des Unternehmens für Investor:innen aufrechtzuerhalten, wächst ungemein.

1.Was bedeutet dies für die Interne Revision?

Die Interne Revision hat eine zentrale Positionierung innerhalb des Corporate Governance Systems eines Unternehmens. Sie besteht aus Mitarbeiter:innen, welche unabhängig vom Management sind und kann deshalb Prüfungssicherheit und Einblicke zur Angemessenheit und Wirksamkeit der Governance und des Risikomanagements (inklusive der internen Kontrollen) an Leitungsorgane und Management liefern.4 Durch die Bewertung der Effektivität des Risikomanagements, der internen Kontrollen und sämtlicher Führungs- und Überwachungsprozesse des Unternehmens unterstützt die Interne Revision die Organisation, ihre Ziele zu erreichen.5

Dies betrifft auch die Themenschwerpunkte Umwelt und Soziales. Die Interne Revision kann hinsichtlich Nachhaltigkeit und den Themenschwerpunkten Umwelt und Soziales einerseits die Rolle der klassischen Prüffunktion und andererseits die Rolle als Beratungsfunktion einnehmen. Welche möglichen Ausprägungen es hier geben kann, sollen die folgenden beiden Abbildungen erläutern.

1 Siehe EU stellt Berichte zur Nachhaltigkeit auf neue Beine, unter https://www.wienerzeitung.at/nachrichten/wirtschaft/ oesterreich/2133045-EU-stellt-Berichte-zur-Nachhaltigkeit-auf-neue-Beine.html (Zugriff zuletzt am 20.3.2023).

2 Rogl/Gehmayr, Wie wird die ESG-Performance Ihre Zukunft gestalten? unter https://www.ey.com/de_at/assurance/ wie-wird-die-esg-performance-ihre-zukunft-gestalten (2020) (Zugriff zuletzt am 20.3.2023).

3 World Economic Forum, The Global Risk Report17 (2022) 7ff.

4 The Institute of Internal Auditors, The IIA´S Three Lines Model. An update of the Three Lines of Defense (2020) 1.

5 IIA Austria, Internationale Standards für die berufliche Praxis der Internen Revision2017. Mission, Grundprinzipien, Definition, Ethikkodex, Standards, Implementierungsleitlinien (2017) 4f.

Governance 2/2023 42 Nachhaltigkeit und die Rolle der Internen Revision
Nachhaltigkeit und die Rolle der Internen Revision
MA, MSc ist Consultant bei EY Österreich, Business Consulting Enterprise Risk. Seit dem Abschluss

Abb2:

Das Thema Nachhaltigkeit und Interne Revision ist zudem nicht ganz neu, denn in der Vergangenheit hat es bereits einige Studien in diesem Zusammenhang gegeben. Bereits im Jahr 2010 wurde die sogenannte CBOK-Studie durchgeführt, bei der 13.582Revisor:innen zu Themen rund um Corporate Social Responsibility und Ethik befragt wurden.8 In 2020 wurde in Irland und UK eine Studie vom Chartered Institute of Internal Auditors in Kooperation mit Climate Group zur Erhebung der Rolle der Internen Revision in Bezug auf den Klimawandel und all seine Folgen durchgeführt.9 Und auch in Deutschland wurde im Jahr 2021 vom Institut für Interne Revision (DIIR) eine Studie durchgeführt, um den Reifegrad der Internen Revision hinsichtlich Nachhaltigkeit in deutschen Unternehmen zu beleuchten.10 Das Fazit aus diesen Studien lässt sich wie folgt zusammenfassen: Obwohl die Themen „Nachhaltigkeit“, „Corporate Social Responsibility“ und „Klimawandel“ in der Arbeit der Internen Revision bereits längst Einklang finden sollten, findet dies bis jetzt noch nicht im notwendigen Ausmaß statt.

2.Aber wie sieht es nun derzeit in österreichischen Unternehmen aus?

Um diese Frage anhand eines konkreten Beispiels zu beantworten, wurde ein Interview mit MarcOliver Ludwig geführt. Er leitet seit 2010 die Interne Revision der Österreichischen Post AG.

6 Niewlands, Sustainability and Internal Auditing. Florida: The Institute of Internal Auditors Research Foundation (IIARF) (2006) 53ff; Institut für Interne Revision Österreich (IIA Austria) (2010), Prüfung von Corporate Social Responsibility. Bewertung und Prüfung von Programmen zur Gesellschaftlichen Verantwortung und zur Nachhaltigen Entwicklung von Unternehmen1 (2010) 3ff.

7 Bonrath/Lopez Kasper/Eulerich, Interne Revision und Nachhaltigkeit. Erste Ergebnisse für die deutsche Praxis zum Mehrwert von Prüfung und Beratung, Zeitschrift Interne Revision1/22, 26ff (29ff).

8 Gerritsen/Kamp, Corporate Social Responsibility als Bestandteil der Revisionsprüfung. Eine Analyse der Bedeutung aus verschiedenen Perspektiven, Zeitschrift Interne Revision, 4/14, 174ff.

9 Chartered Institute of Internal Auditors, Organisations’ preparedness for climate change. An internal audit perspective, unter https://www.iia.org.uk/media/1 691442/organisations-preparedness-for-climate-change-final-report.pdf (2020) (Zugriff zuletzt am 17.3.2023).

10 Bonrath/Lopez Kasper/Eulerich, Interne Revision und Nachhaltigkeit, Zeitschrift Interne Revision1/22, 26ff.

43 2/2023 Governance Nachhaltigkeit und die Rolle der Internen Revision
Abb1: Interne Revision als klassische Prüffunktion6 Interne Revision als Beratungsfunktion7

Die Österreichische Post AG verfolgt seit 2009 diverse Nachhaltigkeitsziele und hat dies auch in ihrer Strategie, der integrierten Unternehmens- und Nachhaltigkeitsstrategie, verankert.

Abb3: Integrierte Unternehmens- und Nachhaltigkeitsstrategie der Österreichischen Post AG11

Drei Dimensionen der Nachhaltigkeit werden hiermit verfolgt:

1.Wirtschaft & Kund*:in: Wirtschaftlicher Erfolg durch nachhaltige und kund*:innenorientierte Leistungen.

2.Umwelt & Klima: Dekarbonisierung der Logistik durch Ökoeffizienz entlang der Wertschöpfungskette.

3.Mensch & Soziales: Toparbeitgeberin durch ein sicheres und wertschätzendes Arbeitsumfeld mit gesellschaftlicher Verantwortung12

Seit der Einführung eines Nachhaltigkeitsmanagements wurden bereits einige Ziele erreicht, ua:

▶ 3.000 E-Fahrzeuge in der Zustellflotte, Ziel ist es bis 2030 100% CO2-neutral zuzustellen.

▶ Weiterentwicklung der Produkte und Dienstleistungen nach ökologischen und sozialen Aspekten.

▶ 37% der wesentlichen Lieferant:innen verfügen im Jahr2022 über ein anerkanntes Zertifikat hinsichtlich ihrer Nachhaltigkeitsleistung.

▶ Nachhaltigkeitsziele sind seit 2021 im Vergütungssystem des Managements verankert.13

Nachdem Nachhaltigkeit ein wichtiger Teil der Unternehmensstrategie ist und eine hohe Bedeutung für das Unternehmen hat, gewinnen die Aspekte Umwelt und Soziales auch für die Interne Revision zunehmend an Bedeutung. Ludwig sieht es als wesentlich, dass die Unternehmensstrategie seitens der Internen Revision geprüft wird und somit auch die Nachhaltigkeitsstrategie und deren Ziele. So wurde auch für das Jahr 2023 das Thema „Nachhaltigkeit“ ausdrücklich in die risikoorientierte Prüfplanung aufgenommen, und eine Prüfung in diesem Jahr ist noch geplant. Aber auch davor hat es Prüfungen zu ökologischen und sozialen Fragestellungen gegeben, wie zB im Kontext „Lieferkette“, „Arbeitssicherheit“ oder „Fuhrparkmanagement“.

Fachliche Aus- und Weiterbildungen zum Thema Umwelt und Soziales für Interne Revisor:innen sind unumgänglich, erklärt Marc-Oliver Ludwig. So sind die Mitarbeiter:innen der Internen Revision bestrebt, sich facheinschlägig weiterzuentwickeln und nehmen daher das Bildungsangebot des Instituts der Internen Revision Österreich regelmäßig wahr. So haben diese beispielsweise bei der jährlichen CIATagung2022 mit dem Schwerpunkthema „Environmental, Social und Governance – die Interne Revision als Zaungast oder aktiver Mitspieler?“ teilgenommen. Die Tatsache, dass Interne Revisor:innen immer am aktuellen Wissenstand bleiben sollten, vor allem bezüglich der gesetzlichen Anforderungen, ist eine der größten Herausforderungen für den Leiter der Internen Revision und sein Team.

Dass Nachhaltigkeit mit den Themenschwerpunkten „Umwelt“ und „Soziales“ zunehmend für eine Interne Revision wichtiger wird, steht außer Frage. Auch Marc-Oliver Ludwig bestätigt diesen Trend für seine Organisation, die Österreichische Post AG: „Eine Entwicklung des Themas für die Interne Revision könnte eine ähnliche Richtung einschlagen wie etwa die Themen IT- und Cyber-Security oder Datenschutz. Denn mittlerweile werden in jeder Prüfung, in welcher IT- oder datenverarbeitende Systeme geprüft werden, eventuelle Risiken und Kontrolllücken zu IT- und Cyber-Security oder Datenschutz mit abgeprüft. In dieser Form könnte vielleicht auch das Thema Nachhaltigkeit künftig als Querschnittsthema Berücksichtigung finden. Es wäre anzudenken, es – soweit anwendbar – standardmäßig bei jeder Prüfung mit zu betrachten.“

11 Geschäftsbericht Österreichische Post AG 2022, unter https://www.post.at/ir/c/geschaeftsberichte, (2022) (Zugriff zuletzt am 11.4.2022).

12 Nachhaltigkeitsbericht Österreichische Post AG, unter: https://www.post.at/ir/c/nachhaltigkeitsberichte, (2022) (Zugriff zuletzt am 11.4.2022)

13 Nachhaltigkeitsbericht Österreichische Post AG, unter https://www.post.at/ir/c/nachhaltigkeitsberichte, (2022) (Zugriff zuletzt am 11.4.2022)

Governance 2/2023 44 Nachhaltigkeit und die Rolle der Internen Revision

Durch die Einbindung der Internen Revision in die Nachhaltigkeits-Themen sieht Ludwig vor allem einen Mehrwert für die Assurance der Stakeholder:innen. Aber auch, dass durch die Einbindung eine Sensibilisierung des Themas im Unternehmen geschaffen werden kann, wird als Vorteil gesehen.

3.Welche Handlungsempfehlungen können nun allgemein für Unternehmen und deren Interne Revision abgeleitet werden?

Wichtig ist, dass sich jedes Unternehmen zu Beginn auf Basis der grundlegenden Definition des Begriffs Nachhaltigkeit sein eigenes Nachhaltigkeitsprofil ausarbeitet und definiert, welche Nachhaltigkeits-Risiken wesentlich sind und welche Risiken deshalb besonders überwacht und gemonitort werden müssen. Darauf aufbauend kann eine strategische Positionierung der Internen Revision erfolgen. Im ersten Schritt sollten unternehmensintern folgende Fragen geklärt werden:

▶ Hat das Unternehmen die Herausforderungen in Bezug auf Nachhaltigkeit im Griff?

▶ Werden die wesentlichen Themen angemessen gesteuert und überwacht? Gibt es Handlungsbedarf?

Darauf aufbauend sollten sich Geschäftsführung und Management zur Definition der strategischen Positionierung der Internen Revision bezüglich Nachhaltigkeit die folgenden Fragen beantworten:

▶ Welche Themenfelder soll die Interne Revision in Zukunft abdecken?

▶ Welchen Beitrag soll die Interne Revision bei der Nachhaltigkeitsberichterstattung leisten (inhaltlicher Beitrag oder die Prüfung der Inhalte)?

▶ Wie viele personelle Ressourcen sollen in der Internen Revision hierfür zur Verfügung gestellt werden?

▶ Wie können die Internen Revisor:innen fachspezifisch aus- und weitergebildet werden?

▶ Wie können die Internen Revisor:innen die notwendigen Erfahrungen sammeln?

▶ Wie wird sichergestellt, dass die Interne Revision immer am aktuellen Wissensstand (sowohl bezüglich gesetzlicher Regelungen, Marktentwicklungen, aber auch bezüglich interner Entwicklungen/Veränderungen) ist?

Schlussendlich muss jedes Unternehmen für sich entscheiden wie hoch der Einbindungsgrad der Internen Revision sein soll und welcher Mehrwert dadurch erreicht werden soll.

GRC-Update I

Überblick für die Praxis

Josef Baumüller

Im Serviceteil von GRC aktuell präsentieren wir Ihnen die wichtigsten aktuellen Neuerungen des letzten Quartals zu GRC-Belange. Im Fokus stehen dabei einschlägige Normen, fachliche Stellungnahmen und sonstige Veröffentlichungen von besonderem Interesse rund um das Themenfeld.

Studien

Eine gemeinsame Studie von Controller Institut, Schulmeister Consulting und WirtschaftsuniversitätWien zeigt zur Befunde zu Unternehmensbindung und New Way of Work in Zeiten der multiplen Krisen (https://tinyurl.com/OECI-Krise).

Der Deloitte Cyber Security Report 2023 zeigt auf, dass Cyber-Attacken immer professioneller durchgeführt werden (https://tinyurl.com/Deloitte-CSR2023).

Die Studie „Nachhaltigkeit und Klima in Österreichs Unternehmen“ von EY Österreich befasst sich ua mit dem Umfang mit den Risiken des Klimawandels für die Geschäftsmodelle von Unternehmen. (https://tinyurl.com/EY-Klima).

Die Initiative „Investors4Diversity“ veröffentlichte ihre Studie „Der Einfluss institutioneller Investoren auf die Diversität in Deutschen Aufsichtsräten und Vorständen – Trendanalyse 2020-2022“ (https://tinyurl.com/I4D-Studie).

Inverto veröffentlichte seine „Risikomanagement Studie 2022“, die sich auf das Risikomanagement im Einkauf fokussiert (https://tinyurl.com/Inverto-RMEK).

KPMG Deutschland veröffentlichte ihre Studie „Non-Financial Risk 2022“ (https://tinyurl.com/KPMG-NFR2022).

Eine weitere Studie von KPMG Deutschland behandelt den ESG-Reifegrad in der Unternehmenssteuerung ausgewählter Branchen (https://tinyurl.com/KPMG-ESGR).

KPMG Österreich trug demgegenüber zum Wissenszuwachs mit der Studie „Cybersecurity in Österreich“ bei (https://tinyurl.com/KPMG-OECS).

Die „2023 Third-Party Risk Management Study: How Are Organizations Avoiding TPRM Turbulence?“ von Prevalent bietet Einblicke in die Praxis des TPRM (https://tinyurl.com/Prevalent-TPRM2023).

Eine Studie von Union Investment untersucht die Corporate Governance von Unternehmen im DAX und MDAX (https://tinyurl.com/UI-CGD).

an der TU Wien im Fachbereich für Finanzwirtschaft und Controlling.

45 2/2023 Service GRC-Update
Dr. Josef Baumüller lehrt und forscht

ChatGPT und Co

Wie Unternehmen innovative KI-Tools sicher und nachhaltig implementieren können

Christoph Mayer/ Hernán Villamizar / Vinzenz Halhammer

Seit dem Bekanntwerden von ChatGPT sind KI-Tools in aller Munde. Doch es gehört viel dazu, um KI-Systeme erfolgreich im Unternehmen zu integrieren. Von der Planung über die richtige Governance bis zum Aufbau einer nachhaltigen KI-Umgebung sind einige Schritte notwendig. Im folgenden Artikel wird der Einsatz einer KI-Strategie und daraus abgeleiteten Frameworks als Mittel zur erfolgreichen Integration von KI im Unternehmen beschrieben.

Immer mehr Führungskräfte erkennen die Vorteile von Künstlicher Intelligenz (KI) als eine wertvolle Technologie, um Geschäftsentscheidungen zu treffen und Prozesse zu automatisieren und zu optimieren. Das zeigt sich auch daran, dass 62 Prozent der österreichischen Unternehmen planen, in Technologien wie Cloud, KI oder Data Analytics zu investieren.1

1.ChatGPT und andere KI-Technologien – eine Einordnung

Die Abgrenzung zwischen herkömmlicher Software und Künstlicher Intelligenz wird in Fachkreisen weiterhin intensiv diskutiert. In diesem Artikel verstehen wir unter KI-Systemen Software-Systeme, die in der Lage sind, menschenähnliche Denkprozesse wie Objekterkennung und Sprachverständnis zu replizieren. Im Unternehmenskontext wird Künstliche Intelligenz in Kernprozesse vor allem für die Automatisierung von manuellen Aufgaben verwendet, die Optimierung der Wertschöpfungskette und die Erkennung von Zusammenhängen in großen Datenmengen.

ChatGPT kombiniert modernste Techniken in den Bereichen Natural Language Processing, Reinforcement Learning und Deep Neural Networks

Abb1: Kombination modernster Technik in ChatGPT

ChatGPT, der online Chatbot von OpenAI, der in den letzten Monaten so viel Aufmerksamkeit erregt hat, gehört zu einer Klasse von KI namens Generative Artificial Intelligence (GAI), die in der Lage ist, anhand von einer Anfrage in natürlicher Sprache (Prompt) Texte, Bilder und Audio zu generieren. Beispielweise können Organisationen damit interne Dokumente effizienter abfragen, veraltete Programmcodes kommentieren und migrieren lassen und Kundenanfragen schneller weiterleiten und bearbeiten. Aber wie können Organisationen eine erfolgreiche, sichere und nachhaltige Umsetzung von KILösungen gewährleisten?

2.Warum ist das Implementieren von KI so herausfordernd?

Zwei wichtige Eigenschaften von KI-Systemen unterscheiden sie von herkömmlicher Software und bestimmen ihre Planung und Umsetzung:

▶ Erstens sind sie in der Lage, durch Lernen auf Basis neuer Daten ihre Leistung zu verbessern und ein definiertes Erfolgskriterium – zum Beispiel die Präzision – mit zunehmender Wahrscheinlichkeit zu erreichen.

▶ Zweitens ist ihr Output in der Regel nicht deterministisch. Es kann also nicht genau vorhergesagt werden, welches Ergebnis ein System aufgrund der Eingabedaten produzieren wird. Ebenso ist es möglich, dass bei zwei Vorgängen mit identischen Inputs unterschiedliche Ergebnisse erzielt werden.

1 Siehe „Anwendung von KI, Cloud Computing und Data Analytics steigt“, https://www.ey.com/de_at/news/2023/03/eystudie-digitaler-wandel-im-oesterreichischen-unternehmen-2023 (Zugriff zuletzt am 8.5.2023).

Risiko 2/2023 46 ChatGPT und Co
Christoph Mayer ist Partner bei EYÖsterreich und leitet den Bereich Cloud Transformation. Hernán Villamizar ist Manager bei EYÖsterreich und leitet den Bereich Künstliche Intelligenz. Vinzenz Halhammer ist Data Scientist bei EY Österreich.

Die „Lerneigenschaft“ ist einer der großen Stärken von KI. Systeme können dadurch immer besser werden und komplexere und breitere Aufgaben übernehmen. Dies bedeutet allerdings auch, dass sich grundlegende Funktionalitäten und deren Performance über die Zeit ändern können. Organisationen müssen hier Maßnahmen treffen, um über die gesamte Lebensdauer der Lösung deren korrekte Funktion zu garantieren. So kann es passieren, dass die Lösung anders genutzt wird als ursprünglich geplant, was Compliance-Überlegungen nach sich ziehen könnte. Ebenso kann es passieren, dass sich die Trainingsdaten mit der Zeit verändern und dadurch die Performance des Tools beeinträchtigt wird.

Die zweite Eigenschaft, Nicht-Determinismus, liegt in der Regel in der Komplexität der Algorithmen selbst, die die Aufgabe erledigen, sowie die Architektur des Systems. Manche Algorithmen nutzen beispielsweise Zufallsgeneratoren, um Parameter zu definieren und interne Prozesse anzustoßen. Erschwerend kommt hinzu, dass es in der Regel nicht möglich ist, alle möglichen Inputs und Outputs festzulegen. Dies kann es schwierig machen, KI-Entwicklung nachvollziehbar und reproduzierbar zu machen. Das technische Set an Practices, Tools, und Prozessen, die eine Governance um diese Herausforderungen schafft, nennt man Machine Learning Operations (MLOps). Dieses sollte von einer KI-Strategie und der Data Governance getragen werden. Und wie sieht es mit der KI-Strategie aus?

3.Eine KI-Strategie definieren

An erster Stelle soll eine ganzheitliche Betrachtung geschaffen werden, wie KI die allgemeinen strategischen Ziele des Unternehmens unterstützen soll. Hilfreich sind hier bereits identifizierte Use Cases anhand deren die weiteren Anforderungen erhoben werden können. Im Vordergrund soll die Schaffung von Mehrwert für die Organisation stehen. Sei es durch Mehrwert für Kundinnen und Kunden, Erleichterungen für die Mitarbeiter:innen, oder gewonnenen Einsichten in Unternehmensprozesse.

Als nächstes gilt es, bestehende Prozesse und Strukturen zu evaluieren, um Verantwortungen und Arbeitsweisen zu definieren. Diese müssen zwar unter Umständen angepasst werden, um die schnelle und sehr dynamische Entwicklung von KI-Tools gerecht zu werden, aber sie sollen als Basis dienen, um eine möglichst reibungslose Einführung zu ermöglichen. An dieser Stelle soll Klarheit darüber herrschen, wer für was zuständig ist und wie die Zusammenarbeit funktioniert.

Im nächsten Schritt sollen mögliche Risiken und Abhilfemaßnahmen diskutiert werden. Eine gute Basis hier bildet das Trusted AI Framework von EY. Darin werden die wichtigsten Kriterien für eine vertrauensvolle KI und Prüfmaßnahmen aufgelistet.

4.Warum Sie ein Framework für vertrauensvolle KI umsetzen sollten EYs Trusted AI Framework ist ein Bewertungsleitfaden für KI-Systeme mit dem Ziel, das Vertrauen von Nutzern in die Anwendungen zu erhöhen und Risiken zu minimieren. Es baut auf fünf Dimensionen auf, die Grundlage für eine verantwortungsbewusste KI-Anwendung sind. Die Dimensionen haben das Ziel, ein unverzerrtes, resilientes, erklärbares, transparentes und performantes Ergebnis zu ermöglichen. Das Framework ermöglicht es, KI-Systeme innerhalb eines definierten Rahmens zu entwickeln, der die wesentlichen Eckpfeiler einer KI-Entwicklung berücksichtigt und somit nachhaltige und robuste KI-Systeme entwickelt werden können, die eine End-to-End-Steuerung und Monitoring ermöglichen.

Abb2: Fünf Dimensionen für KI-Systeme

In Hinblick auf die Chancen und Risiken von KI, die sich über technische, ethische und soziale Bereiche erstrecken, bildet das Framework Leitlinien zur Identifizierung und Messung von Reaktion auf Risiken von KI. Dieser Rahmen muss auf dem soliden Fundament bestehender Governance- und

47 2/2023 Risiko ChatGPT und Co

Kontrollstrukturen aufbauen. Zusätzlich adressiert das Framework bereits regulatorische Maßnahmen, die in Zukunft zu erwarten sind. Aus diesem Grund wird im nächsten Abschnitt ein Überblick zur erwarteten EU KI-Verordnung gegeben.

5.Welche regulatorischen Maßnahmen sind zu erwarten?

Bereits 2018 startete die Europäische Union eine Initiative zur Erstellung eines EU-weiten einheitlichen und harmonisierten Gesetzesrahmen für Künstliche Intelligenz. Der weltweit erste Rechtsrahmen für KI soll einerseits die Sicherheit und Grundrechte der Bürger:innen gewährleisten. Zudem soll das Gesetz Rechtssicherheit bieten, damit die KI-Verbreitung gefördert, sowie Innovationen im KI-Bereich gestärkt werden können. Aus aktueller Sicht ist damit zu rechnen, dass der EUAIAct Ende 2023 verabschiedet wird. Im Fokus des Vorhabens stehen KI-Systeme, die in der EU entwickelt oder veröffentlicht oder von Nutzer:innen in der EU verwendet werden – unabhängig vom Sitz des Unternehmens. Als KI-System definiert die EU Anwendungen, die mit einer der folgenden Techniken entwickelt wurde: Maschinelles Lernen, Logik- und wissensbasierte Ansätze, statistische Ansätze.

Die KI-Systeme werden im Rahmen des Gesetzes in eine von vier Risiko-Kategorien eingeordnet: KI-Systeme mit geringem Risiko, mit minimalem Risiko, mit hohem Risiko und mit unannehmbarem Risiko. Die vierstufige Einteilung kann im Rahmen eines KI-Assessments durchgeführt werden. Insbesondere die beiden letztgenannten Kategorien wirken sich dabei erheblich auf die entwickelten Modelle aus. Während KI-Anwendungen mit einem unannehmbaren Risiko (zB Social Scoring) gesamthaft verboten werden, werden für Systeme mit einem hohen Risiko strenge Vorgaben erstellt. Die dazugehörigen Maßnahmen sollen das Einhalten des Rechtsrahmens gewährleisten und das Risiko der KI-Anwendung reduzieren. Aus den geschäftlichen, organisatorischen und Risiko-Überlegungen ergeben sich letztlich die Rahmenbedingungen für die Definition der MLOps, die die Umsetzung der Unternehmensstrategie ermöglichen. Der letzte Baustein einer initialen KI-Strategie.

6.Die Grundlagen der Machine Learning Operations – MLOps

Im Gegensatz zu konventionellen Softwareprodukten haben KI-Lösungen spezielle Anforderungen, die ein neues Konzept erfordern. MLOps liefert genau dieses Framework und setzt sich, wie der Name schon sagt, aus den Komponenten Machine Learning und Operations zusammen. Mit Machine Learning ist die Entwicklung von Machine Learning oder KI-Modellen gemeint und mit Operations der Prozess der Bereitstellung und Überwachung der Modelle.

Bei konventionellen Softwarelösungen ist der Programmcode das zentrale Stück und nur Änderungen an diesem Code führen zu Änderungen im finalen Produkt. Bei KI-Systemen spielt eine zweite Komponente eine wichtige Rolle – die Daten. Jede Änderung in den Daten führt zu einer Veränderung im Output des Modells und muss daher überwacht werden. Mit MLOps kann ein permanentes Monitoring gewährleistet werden und damit auch die Sicherheit, dass ein Modell zuverlässig und im gewünschten Bereich arbeitet. Es werden laufend neue Modelle trainiert, aber diese Modelle werden erst produktiv geschalten, wenn alle automatischen Tests korrekt durchlaufen wurden.

Den zweiten, vorhin erwähnten Punkt – die nicht deterministische Art von üblichen KIModellen – können Unternehmen auch mit Hilfe eines guten MLOps-Frameworks in den Griff bekommen. Auch hier können Tests sicherstellen, dass der Output des Modells sich immer in einem bestimmten Rahmenbereich bewegt. Dadurch ist das Modell zwar immer noch nicht deterministisch, das Risiko, einen fehlerhaften Output zu generieren, wird aber stark eingeschränkt. Es gehört zu einer guten KI-Strategie, diese Rahmenbedingungen abzustecken.

Abb3: Darstellung des Konzeptes des MLOps

Auf den Punkt gebracht

Heutige KI-Modelle können für Unternehmen sehr wertvoll sein. Spätestens seit ChatGPT ist klar, dass KI Einzug in viele Bereiche eines Unternehmens haben wird. Umso wichtiger ist es, mit der richtigen KI-Strategie und den richtigen Werkzeugen wie MLOps und Trusted AI sicherzustellen, dass KI-Modelle keinen Schaden anrichten können und auch immer einen Mehrwert für das Unternehmen und die Mitarbeiter liefern. Nur so kann ein sicheres und erfolgreiches Arbeiten zusammen mit KI garantiert werden.

Risiko 2/2023 48 ChatGPT und Co

Mögliche Konsequenzen sowie Prävention eines Cyber-Vorfalls

Exemplarische Darstellung der mit einem Cyber-Vorfall verbundenen Folgen sowie Übersicht über eine Auswahl gängiger Vorsorgemaßnahmen

In Zeiten zunehmender Cyber-Kriminalität und hybrider Kriegsführung wird es immer wichtiger, über mögliche Konsequenzen von Cyber-Vorfällen Bescheid zu wissen. Erst so wird es möglich, drohenden negativen Auswirkungen möglichst Einhalt zu gebieten. In diesem Beitrag wird deshalb insbesondere auf exemplarische faktische und datenschutzrechtliche Konsequenzen eines Cyber-Vorfalls sowie auf mögliche Präventionsmaßnahmen eingegangen.

1.Voranschreitende Digitalisierung und Datennutzung als Risiko der Gegenwart

Der mittlerweile niederschwellige Zugang zu künstlicher Intelligenz, großen Datenmengen und der voranschreitende Grad an Digitalisierung ermöglichen zwar ungeahnte Produktivitätsschübe, doch führt diese Entwicklung gleichermaßen in eine gewisse Abhängigkeit mit der damit verbundenen erhöhten Risikoexposition gegenüber „Cyber-Vorfällen“. Besonders deutlich wird dies im Falle von „Cyber-Angriffen“, deren Zahl in diesen Tagen – insbesondere aufgrund politischer Unruhen – neue Ausmaße erreicht hat. Im Rahmen dieses Beitrags sollen deshalb neben der aktuellen Cyber-Bedrohungslage, begrifflichen Unterschieden und möglichen Konsequenzen eines „Cyber-Vorfalls“ auch beispielhafte Vorsorgemaßnahmen aufgezeigt werden.

2.Die aktuelle Cyber-Bedrohungslage

Die Cyber-Bedrohungslage lässt sich mit einer simplen Zahl veranschaulichen: 60.195 – so viele angezeigte Cybercrime-Straftaten gab es in Österreich im Jahr2022 bei einer Aufklärungsquote von 33,9%.1 Die Werte sind allerdings mit Vorsicht zu genießen, da von einer signifikanten Dunkelziffer auszugehen ist!

Herausforderungen bezüglich Cyber-Sicherheit bestehen jedoch nicht nur hinsichtlich krimineller oder beabsichtigter destruktiver Handlungen, sondern auch im Zusammenhang mit sonstigen möglicherweise eintretenden „Cyber-Vorfällen“, welche ebenfalls rechtliche sowie faktische Konsequenzen haben können. Aus diesem Grund ist es unabdingbar, sich einleitend mit begrifflichen Unterschieden zu beschäftigen, kursieren doch im Hinblick auf Cyber-Ereignisse unterschiedlichste Bezeichnungen.

3.Wichtige Begriffsunterscheidungen

Betrachtet man die Medien, so finden sich darin regelmäßig Schlagzeilen zu „Cyber-Angriffen“ und „Cybercrime“. In Zeiten massenhafter Nutzung von (personenbezogenen) Daten und eines hohen Digitalisierungsgrads spielen jedoch auch anderweitige „Cyber-Vorfälle“, denen nicht zwingend kriminelle Energie zugrunde liegt, eine – wie im Zuge dieses Beitrags zu zeigen sein wird – nicht unwesentliche Rolle. Zu diesen kann mE etwa bereits eine unplanmäßige und signifikante Nichtverfügbarkeit wesentlicher Server gezählt werden. An dieser Stelle soll daher ein Bewusstsein für eine begriffliche Unterscheidung zwischen „Cyber-Angriffen“ und den mE weiter zu verstehenden „CyberVorfällen“ geschaffen werden.

4.Faktische und rechtliche Konsequenzen eines Cyber-Vorfalls

4.1.Faktische Perspektive

Kommt es zu einem Cyber-Vorfall, so begrenzen sich die Folgen nicht immer nur auf den virtuellen Raum. Man denke etwa an einen CyberAngriff, der in einem Identitätsdiebstahl mündet oder sogar dazu führt, dass eine Kraftwerksturbine versagt. Selbst Brände oder Explosionen sind nicht realitätsfern. Das ist nicht nur kostspielig, sondern kann auch Menschenleben gefährden.

Auch sonstige Cyber-Vorfälle bergen das Potenzial faktischer Auswirkungen. So kann beispielsweise auch eine unabsichtliche Löschung wichtiger Daten zu Betriebsunterbrechungen oder ein irrtümlicher Versand sensibler Daten zu deren unbeabsichtigten Offenlegung führen. Die Möglichkeiten faktischer Konsequenzen sind äußerst vielfältig; umso wichtiger ist es, sich durch adäquate Präventionsmaßnahmen möglichst weitreichend davor zu schützen.

4.2.Datenschutzrechtliche Aspekte Neben den faktisch möglichen und mehr oder minder „greifbaren“ Auswirkungen kommen

Christopher Drolz, LL.M. (WU), CIPP/E ist Rechtsanwaltsanwärter bei der Stadler Völkel Rechtsanwälte GmbH in Wien. Davor war er unter anderem als IT-Security-Consultant und Netzwerktechniker tätig. Zu seinen Spezialgebieten gehören neben der IT-Sicherheit aus rechtlicher, technischer und organisatorischer Perspektive auch das Datenschutz-, IP- und IT-Recht. Zudem ist er Vortragender an namhaften Universitäten und Autor diverser Publikationen an der Schnittstelle von Technik und Recht.

49 2/2023 Risiko Mögliche Konsequenzen sowie Prävention eines Cyber-Vorfalls
Mögliche Konsequenzen sowie Prävention eines Cyber-Vorfalls
1 BMI, Cybercrime Report 2022 (2023) 22f.

oftmals auch rechtliche Konsequenzen infrage. Sofern etwa der Anwendungsbereich der EUDatenschutz-Grundverordnung („DSGVO“)

eröffnet ist, personenbezogene Daten vorliegen und diese Gegenstand eines Cyber-Vorfalls sind, kommt nämlich der „Verletzung des Schutzes personenbezogener Daten“ besondere Bedeutung zu.2

Unter einer solchen wird gemäß der Legaldefinition in Art4 Z12 DSGVO „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ verstanden.3 Bei Zugrundelegung dieses zugegebenermaßen weiten Begriffsverständnisses sind üblicherweise nicht nur ein Großteil der klassischen „Cyber-Angriffe“, sondern auch ein wesentlicher Teil von „Cyber-Vorfällen“ im zuvor erläuterten Sinn von der Definition erfasst. Zu denken wäre hier etwa an einen Verlust eines USB-Sticks mit darauf gespeicherten Kundendaten oder an einen umfangreichen Cyber-Angriff auf die gesamte IT-Infrastruktur. Selbst das bereits angesprochene Beispiel einer temporären, ungeplanten Nichtverfügbarkeit von Servern könnte unter Umständen unter die genannte Definition subsumiert werden.

Tritt ein derartig erfasster Cyber-Vorfall ein, so treffen die vom weiten Anwendungsbereich der DSGVO erfassten Unternehmen umfassende Pflichten (siehe sogleich). Verstößt ein Unternehmen gegen diese zwingend vorgesehenen Maßnahmen, so drohen behördliche Sanktionen sowie Klagen datenschutzrechtlich Betroffener. Selbst bei ordnungsgemäßem Verhalten könnten auf eine allfällige Mitteilung an die Datenschutzbehörde ein amtswegiges datenschutzrechtliches Prüfverfahren sowie Rechtsstreitigkeiten mit Betroffenen drohen – umso wichtiger sind deshalb auch hier präventive Maßnahmen und umfangreiche rechtliche Compliance.

4.2.1.Exkurs: Das Data-Breach-Prozedere gem Art33f DSGVO im Überblick

Da Cyber-Vorfälle das zuvor dargelegte Potenzial haben, datenschutzrechtliche Rechtsfolgen auszulösen, soll an dieser Stelle im Wege eines kurzen Exkurses auf die für solche Fälle bedeutende datenschutzrechtliche Meldeverpflichtung eingegangen werden.

Kommt es zu einem Cyber-Vorfall iSd zuvor behandelten Art4 Z12 DSGVO („Data Breach“), so sehen die Art33f DSGVO umfangreiche Pflichten vor. Demnach muss etwa der datenschutzrechtlich Verantwortliche gem Art33 Abs1 DSGVO grds eine unverzügliche – spätestens binnen 72Stunden – erfolgende Meldung

an die zuständige Aufsichtsbehörde veranlassen. Eine Ausnahme besteht, wenn der Vorfall voraussichtlich zu keinem „Risiko für die Rechte und Freiheiten natürlicher Personen führt“.4 Jedenfalls hat der Verantwortliche einen solchen, „einschließlich aller im Zusammenhang […] stehende[r] Fakten, […] Auswirkungen und [ergriffenen] Abhilfemaßnahmen“ zu dokumentieren, damit „der Aufsichtsbehörde eine Überprüfung der Einhaltung der Bestimmungen“ ermöglicht wird.5 Sollte das Ergebnis einer durchzuführenden Risikoabschätzung ein „hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ erkennen lassen, so ist der Verantwortliche darüber hinaus grds dazu verpflichtet, unverzüglich auch betroffene Personen über den Vorfall zu informieren.6 Besondere Vorgaben dazu finden sich in Art34 DSGVO, in dem auch Ausnahmen von dieser Meldepflicht statuiert sind.

Flankiert werden die Vorgaben durch die bereits zuvor kurz angesprochenen Strafbestimmungen: Verstößt der Verantwortliche gegen seine diesbezüglichen Verpflichtungen, drohen behördliche Sanktionen bis zu 10 Mio Euro „oder im Fall eines Unternehmens bis zu 2 %“ des weltweit erzielten Gesamtjahresumsatzes „des vorangegangenen Geschäftsjahres […] je nachdem, welcher der Beträge höher ist“.7

4.3.Hinweise zu weiteren rechtlichen Implikationen

An dieser Stelle darf darauf hingewiesen werden, dass insbesondere aufgrund des derzeit noch aktuellen Netz- und Informationssystemsicherheitsgesetzes („NISG“) – die österreichische Umsetzung der Nachfolge-Richtlinie „NIS2“ ist derzeit noch ausständig – sowie etwaiger weiterer Normen und Rechtsakte, auch auf europarechtlicher Grundlage, weitere Pflichten vorgesehen sein können, auf die hier nicht näher eingegangen wird. Entsprechend wichtig ist es daher, sich als Unternehmen über die relevante Rechtslage und Richtlinien im Klaren zu sein und – neben technischen – auch rechtliche Aspekte im Cyber-Risikomanagement zu berücksichtigen.

5.Risiken für Cyber-Vorfälle sowie deren Prävention – eine Auswahl

Die Konsequenzen eines Cyber-Vorfalls sind –wie aufgezeigt – weitreichend und beschränken sich nicht auf faktische Schäden, sondern können auch rechtliche Folgen nach sich ziehen. Umso wichtiger ist es für Unternehmen, wesentliche Risiken für den Eintritt solcher Vorfälle zu (er)kennen und diese bestmöglich zu reduzieren. An dieser Stelle sei jedoch darauf hingewiesen, dass ein Restrisiko – insbesondere

Risiko 2/2023 50 Mögliche Konsequenzen sowie Prävention eines Cyber-Vorfalls
2 Art4 Z12 DSGVO. 3 Art4 Z12 DSGVO. 4 Art33 Abs 1 DSGVO. 5 Art33 Abs5 DSGVO. 6 Art 34 Abs 1 DSGVO. 7 Art 83 Abs 4 DSGVO.

aufgrund der vielfältigen Angriffsvektoren und aufgrund steten technologischen Fortschritts –(leider) bestehen bleiben wird. Nichtsdestotrotz soll an dieser Stelle auf eine Auswahl wesentlicher und oftmals vermeidbarer Risiken samt möglichen Präventionsmaßnahmen eingegangen werden.

5.1.Mangelhafte Perimeter-Sicherheit

Die „Grenze“ zwischen der eigenen IT-Infrastruktur und der „Außenwelt“ (auch als „Perimeter“ bekannt) wird üblicherweise insbesondere durch Firewalls geschützt. Ist eine solche jedoch aufgrund unzureichender Konfiguration, etwa durch offene Ports ohne dahingehende Notwendigkeit oder sonstige unzureichende Firewall-Regeln, „löchrig“ oder entsprechen die Sicherheitsvorkehrungen nicht mehr dem aktuellen Stand – sei es aufgrund von Veränderungen in der IT-Infrastruktur oder etwa aufgrund fehlender regelmäßiger Wartung –stellt dies einen besonders kritischen Angriffsvektor iSe Eintrittsmöglichkeit für Cyber-Kriminelle dar. So zeigt die Praxis beispielsweise, dass unerwünschte Administrativzugriffe auf Netzwerkkomponenten und Server aus dem Internet leider immer noch vorkommen.

Im Lichte der mittlerweile sogar eigens verfügbaren Suchmaschinen zur Identifikation solch verwundbarer Systeme stellen nicht adäquat konfigurierte Firewalls ein nicht zu unterschätzendes, wenngleich oftmals vermeidbares Risiko dar. Dementsprechend empfiehlt es sich, regelmäßige Überprüfungen der Konfigurationen von Firewalls durchzuführen.

Eine ideale Ergänzung hierbei sind externe Penetration-Tests („Pen-Tests“), in denen ein „Cyber-Angriff“ – durch eine sogenannte „Permission-to-Attack“ (= Einwilligung) genehmigt –beauftragt wird. Die dadurch erkannten Schwachstellen können in weiterer Folge behoben und damit etwaige Angriffsvektoren reduziert werden. Hier muss jedoch das Bewusstsein vorliegen, dass ein solcher Pen-Test üblicherweise nur bestimmte Komponenten, Angriffsszenarien und -vektoren abdeckt und eine Momentaufnahme darstellt. Nichtsdestotrotz ist die Durchführung eines Pen-Tests samt Behebung der gefundenen Schwachstellen eine gute Möglichkeit, die Cyber-Sicherheit zu erhöhen und auch tatsächlich unabhängig zu challengen.

5.2.Faktor Mensch

Die ausgefeiltesten technischen & organisatorischen Sicherheitsmaßnahmen sind zahnlos, wenn der Faktor Mensch versagt. Die Manipulation und das Ausnützen von Menschen wird unter dem Begriff „Social Engineering“ im Schrifttum ausführlich beschrieben und stellt ein in der Praxis signifikantes und nicht zu unterschätzendes Risiko – auch für das Cyber-Umfeld – dar. Lassen sich nämlich Menschen täuschen und für kriminelles oder schädliches Verhalten instru-

mentalisieren, so ist es damit auch für CyberKriminelle ein Leichtes, technische Angriffe erfolgreich durchzuführen.

Neben den vielfach bereits bekannten Phishing-Attacken, bei denen etwa Zugangsdaten mittels gefälschter Nachrichten oder Webseiten erlangt werden, soll an dieser Stelle auch eine besonders perfide und relativ neue Angriffsstrategie vorgestellt werden: „Deepfakes“. Dabei handelt es sich um mittels technischer Methoden äußerst authentisch simulierte Wiedergaben beliebiger Inhalte, beispielsweise durch eine bekannte Person. Ein Angreifer initiiert dazu etwa ein (Video-)Telefonat, indem sich dieser als Geschäftsführer bzw Vorstand des anzugreifenden Unternehmens ausgibt und Instruktionen erteilt, Überweisungen an für kriminelle Zwecke verwendete Krypto-Wallets zu tätigen oder etwa Cyber-Sicherheitsmaßnahmen zu umgehen. Dank der Nutzung von fortschrittlichen Technologien können das Aussehen, die Mimik, die Gestik und/oder die Stimme der vorgetäuschten Person imitiert werden. Die Täuschungen sind mittlerweile so ausgereift, dass solche einem Großteil der Belegschaft des angegriffenen Unternehmens wohl nicht sofort auffallen würden.

Dementsprechend wichtig ist es, diese auf die Möglichkeit solcher Angriffe vorzubereiten und nachweislich zu schulen. Nur wenn neuartige Angriffe bekannt sind, können diese erkannt und verhindert werden. Besonders wichtig ist es in diesem Zusammenhang, suspekte und unplausibel wirkende Anweisungen kritisch zu hinterfragen – es könnte sich um ein Deepfake handeln. Manchmal können visuelle Deepfakes auch relativ einfach erkannt werden: Man bittet etwa das zu testende Gegenüber mit der Hand vor dem Gesicht zu winken. Die Chance, dass es hierbei zu merkwürdigen visuellen Abbildungen, Verzerrungen bzw Grafikfehlern („Glitches“) kommt, steigt bei der Nutzung von Deepfakes und kann dazu beitragen, diese zu erkennen.

6. Zusammenfassung

Spätestens in Zeiten wie diesen, in denen eine große Anzahl von Cyber-Vorfällen, fortgeschrittene Digitalisierung sowie eine Vielzahl flankierender rechtlicher Vorgaben existieren, ist es an der Zeit, für Unternehmen jeglicher Größe, auf Cyber-Sicherheit aufmerksam zu werden. Adäquate technisch-organisatorische sowie rechtliche Vorbereitung ist mittlerweile zu einem Must geworden. Entsprechende Nachlässigkeit kann nicht nur teuer und zu einem Haftungsthema werden, sondern sogar lebensbedrohliche Auswirkungen haben.8 Dementsprechend wichtig ist es, besonderes Augenmerk auf die genannten Aspekte zu legen. Die Perimeter-Sicherheit sowie der Faktor Mensch

8 Man denke etwa an einen Cyber-Vorfall in einem Kraftwerk, der zu Bränden oder Explosionen führen könnte.

51 2/2023 Risiko Mögliche Konsequenzen sowie Prävention eines Cyber-Vorfalls

spielen in diesem Kontext eine nicht unwesentliche Rolle bei der Risikoreduktion.

Auf den Punkt gebracht

Neben faktischen Konsequenzen wie etwa Betriebsunterbrechungen, Bränden und Explosionen drohen auch rechtliche Folgen nach Cyber-

GRC-Update II

Überblick für die Praxis

Josef Baumüller

Buchneuerscheinungen I

Vorfällen. Im Lichte der allgemeinen prekären Cyber-Sicherheitssituation ist es spätestens jetzt unabdingbar, sich mit Cyber-Sicherheit und entsprechender Compliance zu beschäftigen. Wesentliche Maßnahmen zur Verbesserung der eigenen Cyber-Sicherheit sind hierbei eine Stärkung der Perimeter-Sicherheit und eine adäquate Schulung der Belegschaft.

Alston/Perkins, Strategic Environmental Performance (2023).

Angliss/Harpum (Hrsg), Strategic Portfolio Management (2022).

Arellano-Gault/Castillo, The Promises and Perils of Compliance (2023).

Baumöl/Hoffjan/Hiebl/Möller/Pedell (Hrsg), Managing Risks (2023).

BFuP (Hrsg), Schwerpunktthema: Risikomanagement (2022).

Bornholdt/Paul, Praxisleitfaden Geldwäscheprävention2 (2023).

Bowley, Activist Shareholders in Corporate Governance (2023).

Brühwiler, Der Weiße Schwan: 13 Erfolgsfaktoren und Erfahrungen im Risikomanagement (2022).

Buhr, Climate Risks (2023).

Bungartz/Kahle, Compliance in der öffentlichen Wirtschaft (2023).

Cheema/Munir/Su, Corporate Governance and Whistleblowing (2023).

Clarke, Corporate Governance (2023).

Coombs/Holladay, The Handbook of Crisis Communication2 (2022).

Curry, Climate Uncertainty and Risk (2023).

Diederichs, Risikomanagement und Risikocontrolling5 (2023).

Engelhoven, Richtiges Verhalten in der Compliance-Krise (2023). Eschenfelder, Wirtschaftsprüferhaftung (2023).

Espinosa, Sustainable Self-Governance in Businesses and Society (2022).

Fischer, Hinweisgebersysteme im Lichte der EU-Richtlinie 2019-1937 unter besonderer Betrachtung der Vertraulichkeitszusicherung (2023).

Funke/Rohlfs, Risikomanagement im Versicherungsunternehmen3 (2023).

Gammelin, Non-Financial Risk Management (2023).

Garvey, Analytical Methods for Risk Management (2023).

Göpfert/Giese, Beratungen im Wirtschaftsausschuss (2023).

Heinze/Henschel/Hirt, Risky Stories – Storytelling strategisch im Risiko-, Krisen- und Fehlermanagement anwenden (2023).

Hilgendorf/Roth-Isigkeit (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023).

Hughes, The Crisis of Governance (2023).

Hull, Risk Management and Financial Institutions6 (2023).

Hunziker, Risikomanagement im Unternehmen (2022).

Jahnel, Datenschutzrecht Jahrbuch 2022 (2023).

Jüttner, Die Kunst erfolgreicher Compliance (2023).

Kaiser/Mervelskemper, Effektives Management von ESG-Risiken in Finanzinstituten (2022).

Klösel/Klötzer-Assion/Mahnhold (Hrsg), Contractor Compliance2 (2023).

Koller/Lovrek/Spitzer (Hrsg), IO – Insolvenzordnung2 (2023).

Kreiterling, IT-Sicherheit bei Kreditinstituten in Deutschland (2022).

Krieger/Schneider (Hrsg), Handbuch Managerhaftung (2023).

Ladler, Soft Law und Sorgfaltspflichten Strukturprinzipien im Unternehmens- und Wirtschaftsrecht (2023).

Lelley, Compliance im Arbeitsrecht2 (2022).

Lin/Chen, The Theory and Application of Multinational Corporate Governance (2022).

Service 2/2023 52 GRC-Update
Service GRC-Update

Die Kunst der effektiven Risikobewertung

Sicherung des Erfolgs durch proaktive Maßnahmen

Die Risikobewertung spielt eine zentrale Rolle im Bereich des Risikomanagements, da sie den Grundstein für fundierte Entscheidungen und proaktive Maßnahmen bildet. Durch die Identifizierung, Bewertung und Priorisierung potenzieller Risiken können Unternehmen ihre Widerstandsfähigkeit stärken, die betriebliche Effizienz verbessern und ihren langfristigen Erfolg sichern. Dieser Artikel befasst sich mit der Kunst der effektiven Risikobewertung und hebt die wichtigsten Prinzipien und Strategien hervor, die es Unternehmen ermöglichen, mit Unsicherheiten umzugehen und solide Risikomanagemententscheidungen zu treffen.

1.Definition der Risikobewertung

Risikobewertung ist der systematische Prozess der Identifizierung, Analyse und Bewertung potenzieller Risiken, die die Ziele einer Organisation negativ beeinträchtigen können. Sie beinhaltet eine umfassende Untersuchung interner und externer Faktoren, die Bedrohungen oder Chancen darstellen könnten, und ermöglicht es Organisationen, fundierte Entscheidungen zur Risikominderung und zur Zuweisung von Ressourcen zu treffen. Die Risikobewertung ist ein Bestandteil des Risikomanagementprozesses, der in der international anerkannten ISO31000 beschrieben wird. Zudem wird sie in vielen anderen Normen und Gesetzen, wie zB in der ISO27001, ÖNORM S2420, ÖNORM S2413, ASchG, DSGVO, BaselII/III, NIS1&NIS2 etc, behandelt. Anwendungsbereiche der Risikobewertung sind zB produzierende Unternehmen (Automotive, Luft- & Raumfahrt etc), Lebensmittelindustrie, Rechenzentren, Energieversorger sowie generell KMU. Die Versicherung darf an dieser Stelle nicht vergessen werden, da sie generell Risiken versichern und daher diese auch entsprechend bewerten (müssen).

2.Die Bedeutung der Risikobewertung

Die Risikobewertung bildet die Grundlage für ein wirksames Risikomanagement. Sie ermöglicht:

a.Risiken identifizieren:

Eine gründliche Risikobewertung verschafft Organisationen Einblicke in verschiedene Risiken, darunter betriebliche, finanzielle, rechtliche, strategische und Reputationsrisiken. Dies hilft dabei, Art und Ausmaß potenzieller Bedrohungen zu verstehen. Risiken begleiten uns ein Leben lang, tagtäglich, allerdings müssen wir diese identifizieren und analysieren, um von ihnen nicht überrascht und aus der Bahn geworfen zu werden.

b.Risiken priorisieren:

Die Risikobewertung verhilft Unternehmen, Risiken auf der Grundlage ihrer Wahrscheinlichkeit und ihrer potenziellen Auswirkungen nach Prioritäten zu ordnen. Diese Priorisierung ermöglicht eine effizi-

ente Ressourcenzuweisung, wobei der Schwerpunkt auf der Minderung von Risiken mit hoher Priorität liegt, die eine erhebliche Bedrohung darstellen. An dieser Stelle sollte erwähnt werden, dass bei einigen Risiken die Bewertung der Wahrscheinlichkeit nicht immer leicht ist. Es gibt auch eine andere Herangehensweise, auf die ich später eingehen werde.

c.Verbesserung der Entscheidungsfindung: Am Ende des Tages spielen die Kosten immer eine große Rolle. Eine gut durchgeführte Risikobewertung liefert den Entscheidungsträgern wertvolle Informationen, um die potenziellen Ergebnisse verschiedener Handlungsoptionen zu bewerten. Sie ermöglicht eine fundierte Entscheidungsfindung, bei der Risiko und Nutzen abgewogen werden. Somit können die weiteren Schritte besser bestimmt werden.

d.Optimierung der Ressourcenzuweisung: Durch die Identifizierung von Risiken und ihren potenziellen Auswirkungen können Unternehmen ihre Ressourcen strategisch einsetzen, um diese Risiken zu mindern oder zu bewältigen und so die Wahrscheinlichkeit von finanziellen Verlusten oder Betriebsunterbrechungen zu verringern. Dies ist das Ziel der Risikobewertung. Zudem bringt sie Unternehmen viele Vorteile, um das Kerngeschäft zu schützen.

3.Grundprinzipien einer wirksamen Risikobewertung

Um einen soliden Risikobewertungsprozess zu gewährleisten, sollten folgende Grundsätze befolgt werden:

a.Umfassender Ansatz:

Eine erfolgreiche Risikobewertung erfordert eine ganzheitliche Untersuchung aller potenziellen Risiken unter Berücksichtigung sowohl interner als auch externer Faktoren. Sie umfasst Risiken in Bezug auf Menschen, Prozesse, Technologie, Gesetze, Umwelt und das externe Umfeld. Hierfür würde sich das Stichwort „PESTEL“ besonders eignen,

53 2/2023 Risiko Die Kunst der effektiven Risikobewertung
Risiko
Ing. Manuel Lechner BSc. ist Risk Engineer/Consultant, Cyber-Security Consultant und Qualitätsbeauftragter bei Risk Experts Risiko Engineering GmbH in Wien.

welches folgende Themenbereiche abdeckt: politisch (political), wirtschaftlich (economic), sozio-kulturell (social), technologisch (technlogical), ökologisch-geografische (environmental) sowie rechtlich (legal).

b.Einbeziehung von Interessengruppen: Die Einbeziehung von Stakeholdern aus verschiedenen Organisationsebenen und Abteilungen fördert ein breiteres Verständnis von Risiken und deren möglichen Auswirkungen. Diese Einbeziehung fördert die gemeinsame Verantwortung für das Risikomanagement. Dabei kann ich empfehlen, dass die Fachkräfte, oder in anderen Worten die ProzesseignerInnen, in der Identifikation sowie Bewertung miteinbezogen werden sollten. Somit werden Fachexpertise und wertvolle Erkenntnisse für das Risikomanagement eingebracht. An dieser Stelle passt das bekannte Prinzip: „Respekt vor Expertise“, wo die Hierarchie nachgereiht wird. Gerade ExpertInnen können viele Risiken aufzeigen, die in höheren Ebenen nicht beachtet werden.

c.Strenge Datenanalyse:

Die Risikobewertung stützt sich auf genaue und zuverlässige Daten. Organisationen sollten geeignete Methoden zur Datenerfassung anwenden, historische Daten nutzen und sich auf das Urteil von ExpertInnen stützen, um eine umfassende Analyse der Risiken zu gewährleisten. Einige Analysen benötigen eine große Menge an Daten wie beispielsweise die Monte-Carlo-Simulation. Ein allgemeingültiger Tipp ist: „weniger ist gleich mehr“. Oft verliert man den Überblick vor großen Datenmengen. Daher sollte man sich auf die wesentlichen bzw kritischen Geschäftsbereiche fokussieren und dort die Datenanalyse betreiben.

d.Quantifizierung von Risiken:

Die qualitative und quantitative Bewertung von Risiken ermöglicht ein tieferes Verständnis ihrer möglichen Auswirkungen. Organisationen sollten sich bemühen, Risiken in finanzieller, betrieblicher oder reputationsbezogener Hinsicht zu quantifizieren, um eine bessere Risikopriorisierung und Ressourcenzuweisung zu ermöglichen. Nicht immer sind die Auswirkungen von Risiken einfach zu verstehen und daher werden sie meist mit Geldsummen beziffert. Zahlen kann man besser „fassen“ und daher versucht man, die Auswirkungen bzw Schäden mit Geldbeträgen zu bewerten. Auch die Versicherungen wollen am Ende des Tages wissen, wie teuer dieses oder jenes Risiko kommen kann, wenn das Szenario eintritt.

In der Versicherungssprache wird meist vom sogenannten PML und EML gesprochen. PML steht für „Probable Maximum Loss“ und bedeutet „den wahrscheinlichen maximalen Schaden, mit dem bei einem

Schadenfall unter Berücksichtigung sämtlicher ungünstigen (aber nicht extremsten) Risikoumstände gerechnet werden muss.“1 Hier ist der größtmögliche Schaden wie zB bei einem Feuer, einer Explosion, einem Maschinenbruch oder Cyberangriff zu beziffern. Ähnliches gilt beim EML (Estimated Maximum Loss), wo der „wahrscheinliche maximale Schaden, mit dem bei einem Schadenfall mit normalen Risikoumständen und unter Berücksichtigung von funktionierenden Schadenminderungsmaßnahmen gerechnet“2 wird. Auch Vorstände bei der Genehmigung von Budget für die geplanten Maßnahmen wollen meist lieber Zahlen hören, um die Risiken besser zu verstehen. Somit ist es oft notwendig, Risiken quantitativ zu bewerten oder zumindest semi-quantitativ.

e.Kontinuierliche Überwachung und Überprüfung:

Die Risikobewertung ist ein fortlaufender Prozess. Unternehmen benötigen Mechanismen zur kontinuierlichen Überwachung und Überprüfung von Risiken und passen ihre Risikomanagement-Strategien an die sich verändernde Geschäftslage an. Hierbei kann ein Internes Kontrollsystem (IKS) dem Unternehmen helfen, kritische Prozesse mit gezielten Kontrollen zu überwachen und zu überprüfen. Betriebe besitzen bereits Daten von den vorhandenen Prozessen und Abläufen. Dort sind meist Indikatoren vorhanden, die die Prozesse überwachen (KPI=Key Performance Indicators). Diese können für das Risikomanagement hergenommen werden, indem die Schwellwerte angepasst werden, bei denen sich negative Auswirkungen anbahnen (KRI=Key Risk Indicators). Mit diesen Werten kann das IKS im Unternehmen gefüttert werden, wo alle vorhandenen Kontrollen samt Prüfmethode, -intervall, und -verantwortung gesammelt werden (Kontroll-Matrix).

4.Effektive Risikobewertungstechniken

Um die Wirksamkeit der Risikobewertung zu erhöhen, können verschiedene Techniken eingesetzt werden. Hierzu möchte ich einige bekannte Methoden anführen, die in der Praxis weitverbreitet sind.

a.Szenario-Analyse:

Bei dieser Technik werden mehrere plausible Zukunftsszenarien entwickelt und analysiert, um potenzielle Risiken zu ermitteln und ihre Auswirkungen zu bewerten. Sie

1 Siehe VersicherungsWiki (Hrsg), PML – Probable Maximum Loss, abrufbar unter https://www.versicherungs wiki.at/pml/ (Zugriff zuletzt am 15.5.2023).

2 Siehe VersicherungsWiki (Hrsg), EML – Estimated Maximum Loss, abrufbar unter https://www.versicherungs wiki.at/eml-estimated-maximum-loss/ (Zugriff zuletzt am: 15.5.2023).

Risiko 2/2023 54 Die Kunst der effektiven Risikobewertung

hilft Organisationen dabei, eine Reihe möglicher Ergebnisse vorherzusehen und zu planen. Sie wird dafür eingesetzt, um eine Reihe von plausiblen Zukunftsszenarien und deren potenzielle Auswirkungen auf ein Unternehmen zu untersuchen und zu bewerten. Sie beinhaltet die Entwicklung und Analyse mehrerer Erzählungen oder „Was-wärewenn-Szenarien“, die verschiedene mögliche Ergebnisse auf Grundlage verschiedener Faktoren darstellen. Dazu zählt man interne und externe Variablen, Marktbedingungen, regulatorische Veränderungen, technologische Fortschritte und andere relevante Faktoren.

b.Fehlermöglichkeits- und Einflussanalyse (FMEA):

Bei der FMEA werden die potenziellen Fehlermöglichkeiten von Prozessen, Produkten oder Systemen sowie deren Auswirkungen bewertet. Durch die Identifizierung von Fehlerpunkten und deren Folgen können Unternehmen Prioritäten bei der Risikominderung setzen. Sie ist eine semi-quantitative Methode, wo die Bedeutung (B), die Wahrscheinlichkeit (A) sowie die Entdeckbarkeit (E) des Risikos jeweils von 1 bis 10 bewertet werden.

Die Multiplikation dieser drei Parameter kann zu einem Ergebnis von 1 bis 1000 führen und wird Risikoprioritätskennzahl (RPZ) genannt. Damit wird jene Dringlichkeit dargestellt, wo Maßnahmen zu setzen sind. In der Automobilindustrie wurde die RPZ mittlerweile mit der Aufgabenprioritätskennzahl (AP) ersetzt, da die starre Logik RPZ=BxAxE die Wichtigkeit verzerrt (10x2x1 ≠ 1x2x10). Somit wird bei der AP eine vordefinierte Logik verwendet, welche die Priorisierung sinnvoller macht.

c.Expertenmeinungen und Delphi-Technik:

Die Delphi-Methode ist eine strukturierte, iterative Technik, die dazu dient, ExpertInnenmeinungen zu einem bestimmten Thema oder Problem zu sammeln und zu destillieren. Dabei wird ein Gremium von ExpertInnen eingesetzt, die ihren Beitrag anonym über eine Reihe von Fragebögen oder Umfragen leisten. Die Antworten werden dann von einem/r ModeratorIn zusammengestellt, analysiert und zusammengefasst, der die kollektiven Ergebnisse mit den ExpertInnen teilt.

Dieser Prozess wird in mehreren Runden fortgesetzt, so dass die ExpertInnen ihre Meinungen auf der Grundlage des Feedbacks der Gruppe revidieren können. Die Delphi-Methode zielt darauf ab, einen Konsens oder eine Konvergenz der Meinungen zu erreichen, um durch die Nutzung der kollektiven Weisheit der TeilnehmerInnen einen zuverlässigeren und fundierteren Entscheidungsprozess zu fördern.

d.HACCP-Analyse:

Die HACCP-Analyse (Hazard Analysis and Critical Control Points) ist ein systematischer und wissenschaftlich fundierter Ansatz zur Ermittlung, Bewertung und Beherrschung potenzieller Gefahren bei der Herstellung und Verarbeitung. Üblicherweise wird sie in der Lebensmittelindustrie verwendet, jedoch kann sie auch für produzierende Unternehmen empfohlen werden. Sie soll Sicherheit gewährleisten, indem Gefahren verhindert, verringert oder beseitigt werden. Diese Analyse umfasst sieben Grundprinzipien: die Durchführung einer Gefahrenanalyse, die Ermittlung kritischer Kontrollpunkte (CCPs), die Festlegung kritischer Grenzwerte, die Einführung von Überwachungsverfahren, die Durchführung von Korrekturmaßnahmen, die Überprüfung der Wirksamkeit des Systems sowie die Erstellung von Unterlagen und Aufzeichnungen. Durch die Umsetzung des HACCP-Konzepts können Unternehmen proaktiv Risiken erkennen und mindern, die Einhaltung von Vorschriften gewährleisten und das Vertrauen der KundInnen sowie PartnerInnen in die Sicherheit stärken. e.Bewertung des vorhandenen Schutzes: Bei dieser Risikobewertungsmethode werden nicht die Risiken bewertet, sondern der Schutz. Diese Methode lässt sich ebenfalls überall anwenden, da die Wahrscheinlichkeit für das Eintreten eines Risikos nicht bewertet werden muss. Es werden ausschließlich die vorhandenen Schutzmaßnahmen bewertet.

Die klassische Risikobewertung erfolgt mit Bewertung der Auswirkung bzw Folgen sowie der Wahrscheinlichkeit des Risikoeintritts. Risiko ist gleich Auswirkung mal Eintrittswahrscheinlichkeit. Bei der Schutzbewertungsmethode wird der mögliche Schaden des Risikos bewertet und die vorhandenen implementierten Schutzmaßnahmen. Beispiele hierfür sind: Sprinkler, Kameraüberwachung, Notfallpläne, Schulungen, Firewalls, Backups, Brandschutzwände, Dokumentationen, Überprüfungen uvm. Die Schutzmaßnahmen können in die folgenden Kategorien unterteilt werden: bauliche, technische, organisatorische und personelle Schutzmaßnahmen. Somit kann das Risiko wie folgt dargestellt werden: Risiko ist gleich Auswirkung mal Gesamtschutz. Je besser der Schutz des Unternehmens, desto weniger wahrscheinlich können Risiken eintreten – sofern sinnvoll gesetzt.

Vorab können die einzelnen Schutzmaßnahmen gewichtet werden, um hier gewünschte Schutzbarrieren besser zu werten. Diese Methode ist in der Versicherungsbranche im Bereich Risk Engineering weitgehend anerkannt sowie bei der Bewertung des Cyber Schutzes mit dem Cyber Risk Engineering.

55 2/2023 Risiko Die Kunst der effektiven Risikobewertung

Auf den Punkt gebracht

Eine wirksame Risikobewertung ist für Unternehmen von entscheidender Bedeutung, um Unwägbarkeiten zu bewältigen und den langfristigen Erfolg zu sichern. In diesem Artikel werden die wichtigsten Grundsätze und Strategien für eine erfolgreiche Risikobewertung hervorgehoben, darunter eine umfassende Analyse, die Einbeziehung von Interessengruppen, eine rigorose Datenauswertung, die Quantifizierung von Risiken und eine kontinuierliche Überwachung. Er unterstreicht die Bedeutung von Techniken wie Szenarioanalyse, FMEA, KRIs und ExpertInnenmeinungen mittels der Delphi-Methode.

Indem Sie sich die Kunst der Risikobewertung zu eigen machen, können Organisationen Risiken proaktiv managen, die Entscheidungsfindung verbessern, die Ressourcenzuweisung optimieren und die Widerstandsfähigkeit fördern. Die Risikobewertung bildet die

GRC-Update III

Überblick für die Praxis Service

Josef Baumüller

Verlautbarungen

Grundlage für ein fundiertes Risikomanagement und ermöglicht es Unternehmen, potenzielle Bedrohungen zu erkennen, zu priorisieren und wirksam zu mindern. Wenn Unternehmen die Kunst der Risikobewertung beherrschen, können sie mit Unsicherheiten souverän umgehen und einen nachhaltigen Erfolg in einem dynamischen Geschäftsumfeld sicherstellen.

Selbstverständlich ist die Risikobewertung und -behandlung kein einmaliger Prozess, sondern sollte regelmäßig auf Aktualität und Plausibilität geprüft werden. Ich empfehle Ihnen, sich laufend mit neuen Trends, wie Künstliche Intelligenz, technische Entwicklungen sowie Umweltthemen, auseinanderzusetzen und Ihre Risikoanalyse darauf anzupassen bzw zu erweitern. Grundsätzlich kann es auch nie schaden, wenn externe FachexpertInnen miteinbezogen werden, um die Gefahr der „Betriebsblindheit“ entgegenzuwirken.

Das Committee of Sponsoring Organizations of the Treadway Commission (COSO) veröffentlichte

▶ eine „Achieving Effective Internal Control Over Sustainability Reporting” (ICSR) Supplemental Guidance (https://tinyurl.com/COSO-ESGG),

▶ die Neuauflage des Fraud Risk Management Guide (https://tinyurl.com/COSO-Fraudguide).

Das Institut der Wirtschaftsprüfer in Deutschland (IDW) veröffentlichte mehrere relevante Publikationen:

▶ Einen Prüfungsstandard zu den Auswirkungen des Deutschen Corporate Governance Kodex auf die Abschlussprüfung (https://tinyurl.com/IDW-AuswirkungenCG).

▶ Einen IDW Prüfungsstandard für KI-Systeme (https://tinyurl.com/IDW-KIntel).

▶ Einen IDW Praxishinweis gegen Greenwashing bei Finanzprodukten (https://tinyurl.com/ IDW-GreenW).

Die International Federation of Accountants (IFAC) veröffentlichte „Key Questions for Audit Committees Overseeing Sustainability-Related Disclosure“ (https://tinyurl.com/IFAC-KQ).

Die ISO veröffentlichte ISO 14002-2:2023: „Environmental management systems – Guidelines for using ISO 14001 to address environmental aspects and conditions within an environmental topic area — Part 2: Water“ (https://tinyurl.com/ISO-Water).

Service 2/2023 56 GRC-Update

ESG als Haftungsthema für Leitungsorgane von Kapitalgesellschaften

Christoph Harringer

ESG und Nachhaltigkeit sind aus der modernen Welt nicht mehr wegzudenken. Die gesetzliche Regelungsdichte in diesem Zusammenhang steigt immer rascher. Doch was bedeuten neue Regelungen mit ESG-Bezug für Vorstand und Geschäftsführung? In welchem Umfang sind Nachhaltigkeitsaspekte auch im Rahmen unternehmerischer Entscheidungen zu beachten? Knüpfen daran wesentliche Haftungsfolgen für Leitungsorgane an? Folgender Beitrag soll Antworten auf diese brennenden Fragen liefern.

1.Nachhaltigkeit als Haftungsmaßstab

Die EU hat sich mit dem Green Deal einer Transformation hin zu einer nachhaltigen Wirtschaft verschrieben. ESG und Nachhaltigkeit sind daher für alle Marktteilnehmer relevant. Schon seit dem letzten Jahrhundert existieren (vorwiegend öffentlich-rechtliche) Rechtsrahmen zur Berücksichtigung von Umweltbelangen im Rahmen der unternehmerischen Tätigkeit (zB das Forst- oder Wasserrecht). Neuere Rechtsvorhaben wirken sich jedoch verstärkt auf zivi l- bzw gesellschaftsrechtliche Angelegenheiten aus.

In diesem Zusammenhang relevante Rechtsakte wurden in der jüngeren Vergangenheit vor allem auf EU-Ebene erlassen. Zahlreiche Gesetzesvorhaben sind allerdings noch in Vorbereitung beziehungsweise noch nicht vollinhaltlich in Kraft getreten. Während ESG- (bzw CSR)Kriterien in der Vergangenheit vorwiegend als Soft Law galten, ergeben sich für Unternehmer und insbesondere deren Leitungsorgane aus den neueren ESG-Regulierungen oftmals konkrete Verhaltenspflichten.

Wie sich bereits bestehende Rechtsnormen sowie (künftig) neu geschaffene Rechtsvorschriften auf die Haftung von Geschäftsführung und Vorstand auswirken (können), und ob bei bestehenden Haftungsregimen auch auf Nachhaltigkeitsaspekte Rücksicht zu nehmen ist, soll nachstehend dargestellt werden.

2.Das Haftungsregime von Leitungsorganen von GmbH und AG

2.1.Unternehmensleitung unter Einbeziehung von Nachhaltigkeitsaspekten

Die Geschäfte der GmbH führen die Geschäftsführer, während diese Aufgabe in der AG vom Vorstand übernommen wird. Beide trifft insoweit ganz allgemein eine Leitungspflicht. Sie haben sämtliche Maßnahmen und Vorkehrungen –egal welcher Art – zu treffen, die erforderlich sind, den Gesellschaftszweck zu erfüllen. Im Rahmen dieser Leitungspflicht trifft die Geschäftsführer und Vorstände allgemein eine zivilrechtli-

che Haftung gegenüber der Gesellschaft selbst.1 Sofern die Geschäftsleiter rechtswidrig handeln, kann die Gesellschaft sohin einen allgemeinen Schadenersatzanspruch gegenüber diesen geltend machen. Es gelten dieselben Anforderungen wie für andere Schadenersatzansprüche auch. Es muss sohin ein Schaden der Gesellschaft vorliegen, der kausal durch ein rechtswidrig verschuldetes Verhalten eines Geschäftsleiters verursacht wurde.2

Ein rechtswidriges Verhalten eines Geschäftsführers oder Vorstandes liegt insbesondere dann vor, wenn dieser gegen eine allgemeine Rechtsvorschrift – insbesondere die allgemeine Sorgfaltspflicht – verstößt oder der Geschäftsführer bzw Vorstand eine Bestimmung der Satzung, des Anstellungs-/Dienstvertrages bzw von internen Leitlinien (zB eine Geschäftsordnung für die Geschäftsführung, die auch eine sogenannte ESG-Klausel, die die Geschäftsführung zur Beachtung von nachhaltigen Faktoren verpflichtet, beinhalten kann) missachtet (Legalitätspflicht).3 Geschäftsführer und Vorstände haben gemäß §25 GmbHG bzw §84 AktG bei der Geschäftsführung die

1 Hörlsberger in FAH (Hrsg), GmbHG (2017) §25 Rz1; Koppensteiner in Koppensteiner/Rüffler (Hrsg), GmbHG3 (2007) §25 Rz5, 10; Nowotny in Kalss/Nowotny/Schauer, Österreichisches Gesellschaftsrecht2 (Stand 1.6.2017, rdb.at) Rz4/229; Reich-Rohrwig in Straube/Ratka/Rauter, WKGmbHG §25 (Stand 1.9.2022, rdb.at) Rz278; Kalss in Kalss/Nowotny/Schauer , Österreichisches Gesellschaftsrecht2 (Stand 1.6.2017, rdb.at) Rz3/530, Adensamer in Napokoj/Foglar-Deinhardstein/Pelinka (Hrsg), AktG (2019) §84 Rz1; Reich-Rohrwig/Grossmayer/Grossmayer/Zimmermann in Artmann/Karollus (Hrsg), AktG6 (2018) §84 Rz9.

2 Hörlsberger, GmbHG §25 Rz6; Nowotny, Österreichisches Gesellschaftsrecht2 Rz4/229; Kraus/Torggler in Torggler (Hrsg), GmbHG (Stand 1.8.2014,rdb.at) §25 Rz 4ff; Reich-Rohrwig, WK GmbHG Rz278, 287ff.

3 Hörlsberger, GmbHG §25 Rz9; Nowotny, Österreichisches Gesellschaftsrecht 2 Rz 4/231; Reich-Rohrwig , WKGmbHG Rz290ff; Kalss/Deutsch, Nachhaltigkeit –Aufgabe und Chancen des Gesellschaftsrechts, RWZ2022, 355 (357f); Schopper/Reheis, Aspekte der Nachhaltigkeit im Gesellschaftsrecht, NZ2022, 530 (532); Kalss, Nachhaltigkeit: Die präziser werdenden Pflichten von Vorstand und Aufsichtsrat, GesRZ2022, 49 (50); Kalss, Österreichisches Gesellschaftsrecht2 Rz3/536; Adensamer, AktG §84 Rz20; Reich-Rohrwig/Grossmayer/Grossmayer/Zimmermann, AktG6 §84 Rz210.

57 2/2023 Compliance ESG und Nachhaltigkeit – Haftung
Compliance ESG und Nachhaltigkeit Haftung
Christoph Harringer, LL.M. (WU) B.Sc. (WU) ist Rechtsanwalt bei Haslinger / Nagele Rechtsanwälte in Linz.

Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden (Sorgfaltspflicht). Die Rechtswidrigkeit kann sich daher aus der sorgfaltswidrigen Nicht- oder Schlechterfüllung der Leitungsaufgabe ergeben.4 Ein Verstoß gegen zwingende ESG-Gesetze, wie beispielsweise dass im Laufe des Jahres 2023 etappenweise in Kraft tretende HinweisgeberInnenschutzgesetz (HSchG), stellt sohin auch einen Verstoß gegen die Sorgfalt eines ordentlichen Geschäftsmannes dar,5 der – freilich bei Vorliegen der weiteren Voraussetzungen eines Schadenersatzanspruches – eine Haftung der Geschäftsleiter gegenüber der Gesellschaft begründet.

Geschäftsführer und Vorstände sind insbesondere auch zur Abwehr von Schäden für die Gesellschaft verpflichtet,6 die entweder aus einem rechtswidrigen Verhalten von Mitarbeitern7 oder aus allfälligen Geldstrafen, Schadenersatzansprüchen, Reputationsverlusten oder Kursverlusten resultieren können. Gerade Verstöße gegen anwendbare ESG-Gesetze oder geltende ESG-Standards gehen oftmals mit negativen Auswirkungen auf den Unternehmensruf oder Aktienkurs einher.8 Zur Vermeidung solcher Reputations- und Kursverluste und der sich daraus potenziell ergebenden persönlichen Haftung ist die Geschäftsführung daher angehalten, entsprechende Rahmenbedingungen (zB durch Führung eines funktionierenden Kontrollsystems) zu schaffen.

Aber nicht bloß aufgrund eines Zuwiderhandelns entgegen zwingenden Rechtsnormen kann eine Haftung begründet werden, sondern kann sich die Verpflichtung zur Beachtung von Nachhaltigkeitsaspekten auch ganz allgemein aus dem Gesellschaftsvertrag bzw der Satzung der Gesellschaft selbst ergeben. Dies nach Schopper/Reheis „auch dann, wenn der Zweck der Gesellschaft auf Gewinnerzielung gerichtet ist.“9 Eben weil die Gesellschaft auf Gewinn gerichtet ist, wird es künftig geradezu erforderlich werden, dass sich diese auch im Unternehmenszweck in einem gewissen Umfang der Beachtung von Nachhaltigkeitszielen verschreibt, anderenfalls empfindliche Wettbewerbsnachteile drohen, welche gegen eine Zweckrichtung auf (maximale) Gewinnerzielung sprechen.10 Ein Verstoß gegen diese gesellschaftsvertragliche Vorgabe würde folglich ein haftungsbegründendes Verhalten des Ge-

4 Hörlsberger, GmbHG §25 Rz9; Kraus/Torggler, GmbHG §25 Rz8.

5 Schopper/Reheis, NZ 2022, 530 (532); Kalss/Deutsch, RWZ 2022, 355 (356); Reich-Rohrwig/Grossmayer/Grossmayer/Zimmermann, AktG6 §84 Rz213.

6 Schopper/Reheis, NZ 2022, 530 (532).

7 Kalss/Deutsch, RWZ 2022, 355 (357); Kalss, GesRZ 2022, 49 (50).

8 Schopper/Reheis, NZ 2022, 530 (532).

9 Schopper/Reheis, NZ 2022, 530 (532).

10 Vgl dazu auch Kalss/Deutsch, RWZ2022, 355 (358): „Natürlich darf nicht vernachlässigt werden, dass sich eine völlig unvertretbare Nichtberücksichtigung von Nachhaltigkeitsaspekten bei Gesellschaften regelmäßig auf die Marktwahrnehmung und damit auf das ökonomische Wohl des Unternehmens auswirkt.“

schäftsleiters darstellen. Daneben können in den Gesellschaftsvertrag bzw die Satzung gesonderte Ziele, wie zB die Beachtung von Klimaschutzzielen oder die Vermeidung von umweltschädlichen Substanzen/Stoffen, aufgenommen werden, deren Missachtung wiederum eine Haftung begründen würde.11

2.2.Das Unternehmenswohl in der AG und die Rolle des Österreichischen Corporate Governance Kodex

Der Vorstand einer AG hat sich gemäß §70 AktG stets am Unternehmenswohl zu orientieren. Zu berücksichtigen sind insoweit die Interessen der Aktionäre und der Arbeitnehmer sowie das öffentliche Interesse. Ob der Vorstand jedoch Nachhaltigkeitsaspekte im Zusammenhang mit dem öffentlichen Interesse beachten muss, ist in der juristischen Literatur nicht restlos geklärt.12 Die Orientierung am Unternehmenswohl bedeutet allerdings, dass einerseits Nachhaltigkeitsaspekte, die sich auf den langfristigen Bestand der Gesellschaft auswirken können, zwingend zu berücksichtigen sind13 sowie andererseits aufgrund der Abwägung mit öffentlichen Interessen auch ESG-Aspekte vom Vorstand zu beachten sein könnten.14 Nimmt er nicht ausreichend Bedacht auf Nachhaltigkeitsaspekte droht auch insoweit eine Haftung aufgrund Verstoß gegen die allgemeine Sorgfaltspflicht.

Im Rahmen der Leitungsaufgabe kann auch der Österreichische Coperate Governance Kodex (ÖCGK) – der einen nicht verbindlichen, aber international üblichen, Standard für gute Unternehmensführung normiert – für den Vorstand beachtlich sein. Dieser nimmt seit einer Anfang 2023 erfolgten Novellierung verstärkt auf Nachhaltigkeitsaspekte Bezug. Gemäß C-Regel 16a hat der Vorstand bei der Entwicklung und Umsetzung der Unternehmensstrategie Aspekte der Nachhaltigkeit und damit verbundene Chancen und Risiken in Bezug auf Umwelt, soziale Belange und Corporate Governance miteinzubeziehen. Verpflichtend ist die Berücksichtigung des ÖCGK für Vorstände ös-

11 Schopper/Reheis, NZ 2022, 530 (532).

12 Schopper/Reheis, NZ 2022, 530 (532); vgl Kalss/Deutsch, RWZ2022, 355 (359): „Öffentliches Interesse kann und muss daher fortgedacht und unter gegenwärtigem Verständnis interpretiert werden, Anknüpfungspunkte sind die Beiträge des Unternehmens an der Verschlechterung der Umwelt, an der Klimaveränderung und an der sozialen Ungleichheit. Die entscheidende Frage liegt darin, ob und wann sich diese Aspekte zu einer Berücksichtigungspflicht verdichten.“; vgl auch Feltl, Die Zielvorgaben des §70 Abs1 AktG, ecolex2011, 533 (536), der keine allgemeine Verpflichtung der Gesellschaft sieht, besonders umweltschonend zu agieren; Khol/Tagwerker/ Hekele in Binder Grösswang (Hrsg), Sustainability Law (2022) 183.

13 Kalss/Deutsch, RWZ2022, 355 (359); Schranz, Die neue Richtlinie zur Nachhaltigke itsberichterstattung von Unternehmen und die Rolle von Vorstand und Aufsichtsrat, ZFR 2023, 4 (7).

14 Reich-Rohrwig in Artmann/Karollus, AktG II6 §70 (Stand 1.10.2018,rdb.at) Rz105; Kalss/Deutsch, RWZ 2022, 355 (358); Schranz, ZFR 2023, 4 (7).

Compliance 2/2023 58 ESG und Nachhaltigkeit – Haftung

terreichischer Gesellschaften die dem Prime Market der Wiener Börse angehören.15 Doch auch wenn sich die Gesellschaft auf freiwilliger Basis der Einhaltung des ÖCGK verschrieben hat, bildet C-Regel 16a die Basis für die Berücksichtigung von Nachhaltigkeitsaspekten im Zusammenhang mit unternehmerischen Ermessensentscheidungen. Ein Verstoß gegen den ÖCGK würde insoweit einen Verstoß gegen anwendbare Leitlinien bedeuten und mit einer Haftung des Vorstandes einhergehen.

2.3.Verpflichtung zur Einrichtung eines internen Kontrollsystems

Nach §22GmbHG bzw § 82 AktG haben die Geschäftsführer/Vorstände dafür zu sorgen, dass ein Rechnungswesen und internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht. Diese Pflicht gehört zu den unübertragbaren Geschäftsführer-/Vorstandspflichten, weshalb eine Übertragung an einzelne Mitglieder nicht zulässig ist.16 Die Ausgestaltung des internen Kontrollsystems liegt im Ermessen des Vorstandes, jedoch erfordert die notwendige nichtfinanzielle Berichterstattung die Einführung bzw Weiterentwicklung des internen Kontrollsystems, damit Risiken identifiziert und in der Folge auch bewertet werden können.17 Auch die Neuerungen im Zusammenhang mit der Nachhaltigkeitsberichterstattung durch die Corporate Sustainabilty Reporting Directive (CSRD)18 wird die Geschäftsleitung verpflichten, das interne Kontrollsystem auf zu berichtende Aspekte auszuweiten.19 Verletzungen der Verpflichtung zur Führung eines entsprechenden internen Kontrollsystems – das künftige wohl auch Nachhaltigkeitsaspekte erfassen muss –können Schadenersatzansprüche nach sich ziehen.

2.4.ESG im Rahmen der BusinessJudgement-Rule

Für unternehmerische Ermessensentscheidungen, dh das Handeln von Geschäftsführung bzw Vorstand ist nicht ohnehin durch Gesetz oder sonstige Vorschriften abschließend vorgege-

15 Adensamer/Wöss in Ruhmannseder/Wess (Hrsg), Handbuch Corporate Compliance (2022) Rz16.34; siehe ausführlich in Kittel in Althuber/Schopper (Hrsg), Handbuch Unternehmenskauf und Due Diligence 2 (2014) Corporate Governance 9ff sowie 94ff; auch eine breite Mehrheit des Standard Market hat sich inzwischen dem ÖCGK unterworfen.

16 Kalss, Österreichisches Gesellschaftsrecht2 Rz3/469; Napokoj/Pukel in Napokoj/Foglar-Deinhardstein/ Pelinka (Hrsg), AktG (2019) §82 Rz3f; Reich-Rohrwig/ Zimmermann in Artmann/Karollus (Hrsg), AktGII6 §82 (Stand 1.10.2018, rdb.at) Rz11.

17 Schranz, ZFR 2023, 4 (7).

18 Richtlinie (EU) 2022/2464 des Europäischen Parlaments und des Rates vom 14.12.2022 zur Änderung der Verordnung (EU) Nr537/2014 und der Richtlinien 2004/109/EG, 2006/43/EG und 2013/34/EU hinsichtlich der Nachhaltigkeitsberichterstattung von Unternehmen.

19 Schranz, ZFR 2023, 4 (7).

ben,20 gilt allerdings die in §25 Abs 1a GmbHG bzw §84 Abs1a AktG festgeschriebene „Business-Judgement-Rule“, welche eine Haftungsfreistellung zugunsten der Geschäftsführer bzw Vorstände darstellt.21 Demnach handelt ein Geschäftsführer bzw Vorstandsmitglied jedenfalls im Einklang mit der Sorgfalt eines ordentlichen Geschäftsmannes, wenn er sich bei einer unternehmerischen Entscheidung nicht von sachfremden Interessen leiten lässt und auf der Grundlage angemessener Information annehmen darf, zum Wohle der Gesellschaft zu handeln. Dies beinhaltet allerdings auch, dass Nachhaltigkeitsaspekte zu berücksichtigen sind, sofern sich deren Beachtung auf das langfristige Unternehmenswohl auswirkt.22

Aufgrund der Business-Judgement-Rule kann sich aber auch eine Ermächtigung der Geschäftsführung bzw des Vorstandes zur Berücksichtigung von Nachhaltigkeitsaspekten manifestieren. Grundsätzlich liegt es in deren weitem Ermessenspielraum, ob eine ökologisch oder sozial nachhaltigere Alternative, die jedoch für die Gesellschaft mit höheren Kosten verbunden ist, tatsächlich langfristig vorteilhafter ist.23 Schopper/Reheis24 erlauben – unter Berufung auf Reich-Rohrwig25 – beispielsweise auch den Verzicht auf eine günstigere Produktion im Ausland, wenn dort unter geringeren Arbeitnehmerschutzstandards produziert wird. Dies selbst, wenn die höheren Kosten auch nicht anderweitig (zB durch höhere Profitabilität/Reputation) kompensiert werden können. Dem zustimmend auch Khol/Tagwerker/Hekele26 , die ebenfalls vertreten, dass Nachhaltigkeit „kosten“ darf Wirtschaftliche Nachteile von nachhaltigeren Alternativen (zB aufgrund höherer Kosten) kann die Gesellschaft daher in Kauf nehmen, sofern diese Entscheidung langfristig positive Auswirkungen auf die Gesellschaft (zB aufgrund neuer Geschäftschancen oder gesteigerter Reputation) hat, die zu einem gesteigerten Marktwert beiträgt 27 Generell kann sohin festgehalten werden, dass aufgrund sorgfältiger Abwägung der

20 Feltl/Told in Gruber/Harrer (Hrsg), GmbHG2 (2018) §25 Rz31; Khol/Tagwerker/Hekele, Sustainability Law 187; siehe auch Schopper/Reheis, NZ 2022, 530 (532): „Die Business Judgement Rule (§ 84 Abs 1a AktG, § 25 Abs 1a GmbH) [gilt] nicht bei Verstößen gegen zwingende öffentlich-rechtliche ESG- bzw CSR-Regelungen.“

21 Hörlsberger, GmbHG §25 Rz27; Nowotny, Österreichisches Gesellschaftsrecht 2 Rz4/235a; Reich-Rohrwig , WKGmbHG Rz73.

22 Kalss/Deutsch, RWZ 2022, 355 (359); Berghuber/Habich, Nachhaltigkeit: Wie weiche Kriterien harte Pflichten werden, DiePresse 2023/11/02.

23 Kalss/Deutsch, RWZ 2022, 355 (358); Reich-Rohrwig, AktG II6 Rz105; Feltl, ecolex2011, 533 (536).

24 Schopper/Reheis, NZ2022, 530 (532).

25 Reich-Rohrwig, AktG II6 Rz105.

26 Khol/Tagwerker/Hekele, Sustainability Law 183, 189.

27 Khol/Tagwerker/Hekele, Sustainability Law 183; vgl auch Kalss/Deutsch, RWZ2022, 355 (359): „Die Berücksichtigung liegt im weiten unternehmerischen Ermessen des Leitungsorgans, soweit durch die Beachtung von Gemeinwohlbelangen nicht der Bestandunddie dauerhafte Rentabilität der Gesellschaft gefährdet werden.“.

59 2/2023 Compliance ESG und Nachhaltigkeit – Haftung

Vor- und Nachteile auch eine wirtschaftlich nachteilige, aber nachhaltigere Entscheidung im Einzelfall durchaus mit dem Unternehmenswohl und damit einhergehend mit dem Sorgfaltsmaßstab eines ordentlichen und gewissenhaften Geschäftsleiters in Einklang gebracht werden kann.

2.4.Haftungsbefreiungen aufgrund von Ressortverteilung?

Eine Haftungsbefreiung kann sich ggf durch eine von den Gesellschaftern vorgenommenen bzw gebilligte Ressortverteilung ergeben. Dies insbesondere dann, wenn ein Mitglied der Geschäftsleitung explizit für Nachhaltigkeitsbelange zuständig ist. Sofern dies nicht dem Kernbereich der Geschäftsleitung28 zuzählen ist, trifft die übrigen – unzuständigen – Geschäftsführer bzw Vorstände insoweit lediglich eine Überwachungspflicht. Es ist daher denkbar, dass eine Zurechnung der Pflichtwidrigkeit eines für Nachhaltigkeitsangelegenheiten zuständigen Geschäftsleiters sohin für unzuständige Mitglieder der Geschäftsleitung ausscheidet.29 In diesem Zusammenhang ist jedoch zu bedenken, dass ESG-Kriterien in sämtlichen Geschäftsbereichen eine Rolle spielen bzw spielen werden. Daher ist hier oftmals eine isolierte Betrachtung durch Verlagerung der „Nachhaltigkeitsagenden“ in die Zuständigkeit eines Geschäftsführers nicht zielführend, um Haftungen für die weiteren Geschäftsführer zu vermeiden. Vielmehr wird etwa ein für Marketing zuständiger Geschäftsführer auch für die Einhaltung der (bisher nur im Entwurf vorliegenden) Green Claims Directive30 Sorge zu tragen haben und diesen bei Nichteinhaltung – allenfalls auch neben dem für Nachhaltigkeitsagenden zuständigen Geschäftsführer – eine potenzielle Haftung treffen.

3.Zusammenfassung

Nachhaltigkeitsaspekte und -ziele haben in den letzten Jahren vermehrt Eingang in Rechtsakte

28 Nowotny, Österreichisches Gesellschaftsrecht2 Rz 4/232: „Zu diesen „Kardinalpflichten“ werden die Einrichtung des Rechnungswesen und eines IKS, die Erfüllung von Berichts- und Einberufungspflichten, die Beantragung der Eröffnung eines Insolvenzverfahrens und die Ermittlung der Voraussetzungen für eine AR-Pflicht gezählt.“

29 Nowotny, Österreichisches Gesellschaftsrecht2 Rz 4/ 232f; Reich-Rohrwig, WKGmbHG Rz304, 307; Kalss, Österreichisches Gesellschaftsrecht2 Rz3/460ff, 3/550; Adensamer, AktG §84 Rz 30f; Nowotny in Doralt/Nowotny/Kalss , AktG 3 §70 (Stand 1.6.2021, rdb.at) Rz24, §84 (Stand 1.6.2021, rdb.at) Rz22; Reich-Rohrwig/Grossmayer/Grossmayer/Zimmermann , AktG 6 Rz364ff.

30 Europäische Kommission, Proposal for a Directive of the European Parliament and of the Council on substantiation and communication of explicit environmental claims (Green Claims Directive), vom 22.3.2023, COM(2023) 166final.

der Europäischen Union und/oder in österreichische Gesetzgebungsverfahren gefunden. Erste Maßnahmen wie beispielsweise Berichtspflichten großer, börsennotierter Unternehmen wurden bereits eingeführt, jedoch ist davon auszugehen, dass in den kommenden Jahren laufend neue Gesetze hinzukommen werden, die von den Leitungsorganen von Kapitalgesellschaften zu beachten sind. Dies birgt auch ein immenses Haftungsrisiko für Geschäftsleiter in sich. Grundsätzlich sind diese ohnehin verpflichtet, sämtliche anwendbaren Gesetze oder internen Vorgaben (zB in der Satzung) zu beachten und die Gesellschaft mit der Sorgfalt eines ordnungsgemäßen Geschäftsmannes zu führen. Diese Pflicht erstreckt sich freilich auch auf zwingende ESG-Gesetze. Daneben ist von der Geschäftsleitung ein internes Kontrollsystem zu führen, damit künftig angemessene Daten für die Erfüllung der Verpflichtungen im Zusammenhang mit der Nachhaltigkeitsberichterstattung zur Verfügung stehen. Wird gegen diese Pflichten verstoßen, besteht eine Haftung des Geschäftsführers bzw des Vorstandes gegenüber der Gesellschaft.

Doch auch neben der Legalitätspflicht manifestiert sich aufgrund der Orientierung am Unternehmenswohl eine Pflicht zur Berücksichtigung von Nachhaltigkeitsaspekten im Rahmen unternehmerischer Entscheidungen, sofern sich dies langfristig positiv auf das Unternehmen auswirkt. Wägt der Vorstand bzw Geschäftsführer die Vor- und Nachteile von nachhaltigen Alternativen nicht ordnungsgemäß ab, droht eine Haftung aufgrund Verstoß gegen den anwendbaren Sorgfaltsmaßstab. Es bedarf sohin stets einer sorgfältigen Herangehensweise, um nicht in die „Haftungsfalle Nachhaltigkeit“ zu tappen.

Auf den Punkt gebracht

Die Legalitätspflicht verpflichtet Leitungsorgane von Kapitalgesellschaften ohnehin zur Einhaltung zwingender Rechtsnormen. Jüngst geschaffene Nachhaltigkeitsgesetze und die beabsichtigten ESG-Gesetzesinitiativen werden künftig den Haftungsrahmen von Vorstand und Geschäftsführung weiter präzisieren. Aufgrund der Ausrichtung am Unternehmenswohl ist das Management auch bereits heute (zumindest) berechtigt, teils sogar verpflichtet, Nachhaltigkeitsaspekte in unternehmerische Entscheidungen einfließen zu lassen. Nachhaltigkeit stellt daher keine leere Floskel für Vorstände und Geschäftsführer dar, sondern kann bei Missachtung empfindliche Haftungsfolgen nach sich ziehen. ESG-Aspekte sollten daher jedenfalls berücksichtigt werden und Eingang in den unternehmerischen Entscheidungsprozess finden.

Compliance 2/2023 60 ESG und Nachhaltigkeit – Haftung

Welt- und Compliance-Bilder

Der Soziologe Hartmut Rosa zeigt mittels einer Kreuztabelle auf, wie das Weltbild des Einzelnen sein Denken und Handel prägt. Der Autor dieses Textes hat in der angefügten Tabelle „Welt“ durch „Compliance“ ersetzt. Diese Perspektive ermöglicht es, den Compliance-Verantwortlichen eine erweitere Sichtweise einzunehmen, aus der Alltagsarbeit zurückzutreten und die Compliance des Unternehmens mit dem Compliance-Bild der Ansprechpartner abzugleichen; wo notwendig Diskussionen anzustoßen und Veränderung zu initiieren.

Aktives Compliance-Verhältnis (Können die Compliance verändern)

Passives Compliance-Verhältnis (Können die Compliance nur aushalten)

Compliance-Bejahung (positives Compliance-Bild)

Compliance-Verneinung (negatives Compliance-Bild)

Abb1: Compliance-Bild

Compliance-Anpassung

Compliance-Beherrschung

1.Ausprägungen der Compliance

Die verschiedenen Formen der ComplianceAusprägung lassen sich wie folgt charakterisieren:

▶ Anpassung. Dass Compliance-Officer sich persönlich und ihr Unternehmen hier verorten, zumindest verorten wollen, bedarf nicht der weiteren Ausführung. Interessanter ist vielmehr die Frage, wie diese Einschätzung gewonnen wird. Der unmittelbare Kontakt erfolgt meistens über Compliance-Schulungen. Dabei steht allerdings die Darstellung, was richtig und was falsch ist, im Mittelpunkt. Bei Schulungen am Bildschirm geht es darum, so lange die Antworten anzuklicken, bis die richtige gefunden ist, zumindest aus Sicht der Compliance.

Wie wäre es alternativ, darauf hinzuweisen, dass ein persönlicher Kontakt möglich sei, wenn SchulungsteilnehmerInnen andere Ansichten vertreten? Wie wäre es, Antworten nicht in Kategorien „richtig“ und „falsch“ einzuteilen, sondern stattdessen auffällige Abweichungen festzustellen und diese in folgenden Schulungen aufzugreifen, vielleicht das persönliche Gespräch zu suchen?

▶ Beherrschung. Betroffene können Gegebenheiten ändern, auch die Compliance. Irgendwie wird die Compliance schon so modifiziert, angepasst, dass sie zumindest nicht mehr stört. Vorgeschrieben ist sie nun einmal, was nicht zu ändern ist. Die in der Anfangsphase nicht unübliche Funktion des „Feigenblatts“ wird damit fortgeschrieben. Ob unmerkliches Kopfschütteln oder Augenzwinkern, diejenigen, die für die Umsetzung verantwortlich sind, kommen der Aufgabe formell nach, negieren sie jedoch infor-

Compliance-Betrachtung

Compliance-Flucht

mell sofort. Nur unter diesen Umständen können sich Kartellabsprachen über Jahrzehnte halten oder technische Manipulationen scheinbar unbemerkt etablieren.

▶ Betrachtung. Compliance ist bereits zu lange relevant, als dass die Hoffnung verfangen könnte, dass diese als „Modewelle“ wieder verschwinden könnte. Wer dennoch hiervon überzeugt ist, lässt das ganze Instrumentarium passiv über sich ergehen. Auf dem Weg des geringsten Widerstandes wird die offene Konfrontation vermieden, mehr jedoch nicht. Werden Verstöße anderer bemerkt, besteht die Reaktion im beflissentlichen Wegsehen.

▶ Flucht. Compliance nervt, schränkt ein, behindert, verunmöglicht. Da dies offensichtlich nicht zu ändern ist, bleibt bei konsequenter Ablehnung nur die Flucht. Die Funktion oder das Unternehmen werden verlassen. Vielleicht findet sich noch die Insel der Seligen, auf der die Compliance noch nicht aufgetreten ist, so die Hoffnung. Sehen Betroffene keine Alternativen außerhalb des Unternehmens, bleibt die innere Kündigung, das resignierende Absitzen der verbliebenden Berufsjahre die einzige Reaktion.

2.Anpassung des ComplianceVerhältnisses

Theoretisch ist alles klar. Compliance ist sinnvoll und notwendig, nützt Gesellschaft und Unternehmen. Unternehmen betonen in ihren Leitbildern wieder und wieder diese Sichtweise, die Unternehmensleitung gibt persönliche Stellungsnahmen ab, zunehmend werden leistungsabhängige Entgeltbestandteile mit der Erreichung von Compliance-Zielen verbunden. Längst scheinen die Zeiten überwunden, in den

61 2/2023 Compliance Welt- und Compliance-Bilder
Dipl.-Kfm. Thomas Schneider verantwortet die Compliance eines mittelständischen Handelsunternehmens in Essen.

Compliance-Vorgaben als lästiges Übel wahrgenommen wurden.

Merkwürdig nur, warum diese exklusiv für Compliance-Vorgaben gilt. Warum kann nicht der Einzelne sagen, dass er gewisse Vorgaben für falsch, zumindest unangemessen hält. Um ein Bild aus dem Straßenverkehr aufzugreifen: Wer hat sich als AutofahrerIn nicht schon einmal über Geschwindigkeitsbegrenzungen echauffiert, die aus seiner/ihrer Sicht an einer bestimmten Stelle keinen Sinn machen? Dass man diese dennoch einhalten muss, eine Überschreitung sanktioniert wird, bleibt davon unbenommen.

Wenn alle MitarbeiterInnen die konkrete Compliance-Ausprägung des eigenen Unternehmens gut finden, zumindest kommentarlos akzeptierten, stimmt etwas nicht. Wer von sogenannten Wahlergebnissen mit Zustimmungsraten oberhalb 90% hört, kennt das Gefühl, was einen beschleichen sollte, wenn die scheinbare Compliance-Wahrnehmung bei einer vergleichbaren Quote liegt. Warum befragt die Compliance nicht die MitarbeiterInenn bzgl ihres Compliance-Bildes? Anonymisierte Abfragen sind heute einfach und preisgünstig durchzuführen, wo praktisch jeder/jede MitarbeiterIn per E-Mail erreicht werden kann.

Nur wenn die Compliance im Allgemeinen um ein negatives Compliance-Bild weiß, kann sie im Speziellen darauf eingehen. Um die bekannte Aussage von Theodor Adorno aufzugreifen: „Es kann nicht das gute Leben im Schlechten geben.“

Entsprechend kann und soll um die Umsetzung im Unternehmen diskutiert, ja gerungen werden. Nicht alles, was am grünen Tisch der Compliance ausgedacht wird, ist praktikabel. Oft sind es kleine Änderungen, die einen großen Unterschied ausmachen. Sowohl in der arbeitstäglichen Umsetzung der Vorgaben, vor allem aber in der Wertschätzung der operativ Verantwortlichen. Auf dieser Basis werden, können nicht alle Ansprechpartner erreicht, ja überzeugt werden, dennoch kann das ComplianceVerhältnis so aktiver gestaltet werden. Dabei stellen Gesetze den Mindeststandard unternehmensinterner Vorgaben dar. Selbstverständlich kann und soll man über Sinn und Unsinn einzelner Gesetze streiten. Jedoch kann kein Unternehmen, dass sich nicht als kriminelle Vereinigung versteht, dahinter zurücktreten. Wer eine andere Ansicht vertritt, sollte ein Unternehmen verlassen, freiwillig oder unfreiwillig. Gesetzgeber und Gerichte geben der Compliance einen geringeren Freiheitsgrad als anderen Unternehmensfunktionen. Auch dies gilt es einzuräumen.

3.Anpassung des Compliance-Bildes

Warum überhaupt soll die Compliance ein positives Bild ihrer Funktion bemühen? Andere Unternehmensfunktionen tun dies auch nicht. Sicherlich wird im internen Wettstreit um Ressourcen die Notwendigkeit der eigenen Aufgaben betont, aber ob begeisterte Zustimmung oder zähneknirschende Ablehnung herrscht, er-

scheint zweitrangig. Schlussendlich verfügt die Compliance über notwendige Sanktionsinstrumente, hat die Unternehmensleitung auf ihrer Seite, der die Gefahr der persönlichen Haftung bewusst ist. Es gibt ausreichend Druck von Aufsichtsgremien, PrüferInnen, staatlichen Stellen und der Öffentlichkeit, als dass mehr Argumente zur Durchsetzung notwendig seien.

Verständnis, Zustimmung macht die Tätigkeit effizienter, schlussendlich erhöht es die Zufriedenheit, die Freude, was auch für Compliance-Officer nicht unwesentlich ist.

„Wer Compliance nicht will, sollte Non-Compliance versuchen“ ist die bekannte Argumentationslinie. Allerdings bedarf diese Aussage einer breiteren Ausrichtung, weg von der unternehmensinternen Perspektive, hin zur Wahrnehmung aus Wirtschaft, ja Gesellschaft. Wie sieht das Leben in einer korrupten Gesellschaft konkret aus? Möchte der einzelne/die einzelne MitarbeiterIn wirklich im Krankenhaus zahlen, um Medikamente zu erhalten? Können deren Kinder nur eine Ausbildungsstelle erhalten, wenn Schmiergeld gezahlt wird? Beruht Erfolg auf Leistung oder auf Beziehungen? Wie lebt es sich in korrupten Gesellschaften, wie ist es mit der Zufriedenheit der Menschen bestellt? Korruption ist letztlich Umverteilung von unten nach oben, alles wird ein wenig teurer, ein wenig ineffektiver. Wenn Unternehmen über MitarbeiterInnen verfügen, die aus Ländern mit hoher Korruption stammen, sollten diese in ComplianceSchulungen ihre persönlichen Erfahrungen schildern, ganz konkret aus dem Alltagsleben. Darauf aufbauend, wird der Beitrag der Compliance eine vergleichbare Situation in Österreich nicht entstehen zu lassen, von der abstrakten auf die praktische Ebene überführt.

Weil sich die Perspektive in den Unternehmen verändert, zumindest erweitert. Weg von der ausschließlich unternehmensexternen Betrachtung, die staatliche Vorgaben erfüllt, hin zur unternehmensinternen Betrachtung, die MitarbeiterInnen nicht bevormundet und infantilisiert, sondern als PartnerInnen der Ausrichtung an das Unternehmen bindet. Der Versuch „unternehmerisches“ Handeln einzufordern und gleichzeitig kleinteilige Überwachung vorzunehmen, ist zum Scheitern verurteilt. Gesetze und unternehmensinterne Regelungen sind wichtig, aber unzureichend bei der Abwehr von Compliance-Verstößen. Wie bei anderen gesetzeswidrigen Handlungen, wird der, der nach Wegen sucht, diese finden. Der Versuch über immer kleinteiligere Vorgaben dies zu verhindern, ist zum Scheitern verurteilt; führt zu Unternehmen, die zunehmend handlungsunfähig werden, mit der Umsetzung ihrer Vorgaben noch beschäftigt sind, wenn die Konkurrenz bereits vorbeigezogen ist. MitarbeiterInnen mit einem positiven Compliance-Bild halten nicht passiv Vorgaben ein, sondern reagieren aktiv auf Compliance-Verstöße. Nicht erst wenn eine einzelne Vorgabe verletzt wird, sondern wenn Korruption im umfassenden Verständnis droht.

Compliance 2/2023 62 Welt- und Compliance-Bilder

Die Regelungsdichte, die Regelungswut des Gesetzgebers wird erhalten bleiben, beispielsweise wird das deutsche Lieferkettensorgfaltsgesetz auch in Österreich eine Entsprechung finden. Damit ist eine Zunahme der Compliance-Vorgaben unausweichlich, umso wichtiger bleibt das Ziel der Beschränkung bzw Flexibilisierung, welche auf einem positiven Compliance-Bild aufbaut.

Ein positives Compliance-Bild ist kein kuscheliges Compliance-Bild. Es wird keinen/ keine MitarbeiterIn geben, der/die jede Lösung gut findet. Eine Reglung geht zu weit, eine andere nicht weit genug. Mancher will das Unternehmen an der Spitze einer Bewegung sehen, über gesetzliche Vorgaben hinausgehen, man-

GRC-Update IV

Überblick für die Praxis

Service

Josef Baumüller

Buchneuerscheinungen II

Lucas, Beyond Agile Auditing (2023).

cher allenfalls passiv die Vorgaben so weit umsetzen, dass keine Gesetzesverstöße erfolgen. Allerdings gilt es, deutlich zu unterscheiden: Meinungsvielfalt im Unternehmen ist konstituierender Faktor, Meinungsvielfalt des Unternehmens Kakophonie.

Schlussendlich gilt es, Grenzen zu akzeptieren, einzuräumen, dass die Compliance eine negative Perspektive verfolgt- aufzeigt, was nicht geht, weniger was geht. Diesen Sachverhalt thematisierte der Autor bereits in seinem Beitrag: „Nein! Die negative Perspektive der Compliance“ in der GRC aktuell.1

1 Schneider, Nein! Die negative Perspektive der Compliance, GRC aktuell 3/22, 111f.

Machado/Davim (Hrsg), Corporate Governance for Climate Transition (2023).

Mahanti, Data Governance Success (2022).

Mengel, Compliance und Arbeitsrecht2 (2022).

Müller, Handbuch Unternehmenssicherheit4 (2022).

Naucke/Corell¸ Der neue Compliance-Prüfungsstandard IDW PS 980 (2023).

Niering/Hillebrand, Wege durch die Unternehmenskrise (2022).

Olmos Giupponi, International Environmental Law Compliance in Context (2023).

Peck, Cryptocurrency Risk Management (2022).

Pelz/Krais, Lieferketten in der Unternehmenspraxis (2022).

Perois, Threats in Context (2022).

Pozza/Dennerley (Hrsg), Risk Management in Outer Space Activities (2022).

Principale, Fostering Sustainability in Corporate Governance (2023).

Reiner, Gesellschafterdarlehen in der Krise (2023).

Reufels/Soltysiak, Das neue Whistleblowing-Recht (2023).

Ringe, Investor-Led Sustainability in Corporate Governance (2022).

RMA Risk Management & Rating Association e.V. (Hrsg), Resilienz und ganzheitliches Krisenmanagement: Jahrbuch Risikomanagement 2022/23 (2023).

Rocchi, Cybersecurity and Privacy Law Handbook (2022).

Rogers, Environmental Compliance and Sustainability (2023).

Rubens, Strategic Risk and Crisis Management (2023).

Rudkowski, Aufklärung von Compliance-Verstößen3 (2022).

Schmidt/Thelen/Jeremias, Praxishandbuch Generalversammlung (2023).

Schmidt-Trenz, Institutionenökonomik (2023).

Schneider, Tools of Effective Compliance (2023).

Schnuch, Compliance-Verantwortung des Staates für gemischtwirtschaftliche Unternehmen (2023).

Schömig, Gefahren und Risiken im Strafrecht (2023).

Schreiber/Pommerening/Schoel, Das neue Recht der Daten-Governance (2022).

Schröder/Schulz, Praxisleitfaden Supply Chain Compliance (2022).

Schwieters, Corporate Governance (2023).

Sogner/Colli (Hrsg), The Emergence of Corporate Governance (2023).

Swanson, The Security Risk Handbook (2023).

Tanski, Compliance-Management (2023).

Tiemeyer, Enterprise IT-Governance (2022).

Wimmer, Bankkalkulation und Risikomanagement4 (2022).

Winner/Barth/Schnitzer (Hrsg), Risk in Sports and Challenges for Sports Organizations (2023).

63 2/2023 Service GRC-Update

Nachlese zur sechsten GRC Jahrestagung

Drahtseilakt ohne Sicherung?

Service

Sarah

Bereits zum sechsten Mal fand am 25.April die GRCJahrestagung statt. Das Controller Institut lud die Risikomanagement-Community zur Tagung in das Palais Hansen Kempinski in Wien ein. Rund 130 Risikomanager:innen folgten der Einladung und diskutierten einen Tag lang darüber, welche Antworten das Risikomanagement in Zeiten multipler Krisen bieten kann.

Nie zuvor waren die Zeiten so aufregend für das Risikomanagement wie in den vergangenen drei Jahren. Die Unternehmen stolpern derzeit von einer globalen Krise zur nächsten. Damit wird die Rolle der Risikomanager:innen zunehmend wichtiger und neue Instrumente des Risikomanagements müssen etabliert werden. Gleichzeitig fordert die EU-Taxonomie Ressourcen, die oftmals im GRC-Bereich zu finden sind.

Grob zusammengefasst: Ist Risikomanagement unter den derzeitigen Bedingungen ein Drahtseilakt ohne Sicherung? Um das herauszufinden, kam die GRC-Community zusammen. Karin Exner, fachliche Leiterin der GRC Jahrestagung, freute sich bei der Eröffnung über die zahlreichen Gäste.

Im Anschluss an die Begrüßung sprach Michael Längle, CFO der RAG Austria AG, über die Herausforderungen für das Risikomanagement im Multikrisen-Umfeld. Die RAG Austria AG ist die Nummer vier der Gasspeicher in Europa und war im vergangenen Jahr ganz besonders von der Ukraine-Krise und der darauffolgenden Energiekrise betroffen. Gleichzeitig sieht sie sich auch als Partner der Energiewende, da gerade die Energiespeicherung der volatilen Stromerzeugung notwendig sein wird, um die Energiewende zu bewältigen und saisonale Schwankungen auszugleichen. Längle sprach darüber, dass es eine fehlende Eindeutigkeit des Krisenbegriffs gibt und was die Besonderheit von Multikrisen ist.

Gerade den Energiesektor haben die vergangenen Krisen getroffen. Die hohen Gaspreise waren laut Längle langfristig eher nicht absehbar, kurzfristig jedoch eines von mehreren möglichen Szenarien. Insbesondere problematisch sieht er, dass der Handel an den Energiebörsen, anders als bei Aktien, nicht gänzlich ausgesetzt wurde. Auf die Frage, ob Multikrisen neue Anforderungen an das Risk-Management stellen, sagt Michael Längle, eigentlich nicht, denn es gibt kein Allheilmittel für Krisen- und Risikomanagement. Wichtig sind eine ausgewogene Risikopolitik und ein resilientes Geschäftsmodell.

Schwarze Elefanten, graue Schwäne und Drachenkönige

Schwarze Schwäne sind als Krisen im Risikomanagement weithin bekannt, doch nicht jedes Ereignis, das sehr selten vorkommt, ist auch ein schwarzer Schwan. Die zweite Keynote, von Ute Vanini (Fachhochschule Kiel), versuchte Licht in den Krisendschungel zu bringen. Sie sprach zunächst über den Status quo im Risikomanagement, ehe sie den Zoo der Krisenszenarien vorstellte: neben dem schwarzen Schwan gibt es etwa den grauen Schwan (ein statistisch modellierbares. extrem seltenes Ereignis), ein graues Nashorn bzw einen schwarzen Elefanten (wahrscheinliche, folgenreiche und dennoch vernachlässigte Bedrohung), den Drachenkönig (Risiko, das sowohl sehr große Auswirkungen als auch einen spezifischen Ursprung hat) oder den Perfect Storm (Risiko aus einem seltenen Zusammenspiel bekannter Risikofaktoren).

Service 2/2023 64 Nachlese zur sechsten GRC Jahrestagung

Vanini sagte, dass die COVID-19-Pandemie am ehesten ein grauer Schwan war. Die Frage für die Zukunft im Risikomanagement lautet: Wie können Risiken integriert werden? Denn oftmals sind die Faktoren grundsätzlich bekannt, werden aber ignoriert: es handelt sich also um eine Risikoignoranz. Ebenso ist eine Integration von Risiken ins Risikomanagement oftmals schwierig. Vanini brachte eine treffende Metapher: Derzeit wird Risikomanagement für ein Dorf gemacht, wo doch eigentlich Risikomanagement für den Dschungel nötig wäre.

Im Anschluss an die beiden Vorträge bat Karin Exner neben Michael Längle und Ute Vanini noch Patrizia Pekarek (BRZGmbH) zur gemeinsamen Diskussion auf die Bühne. Sie diskutierten über die Fragestellung, wie die Risikomanager:innen ihre Instrumentarien anpassen müssen, welche Geschwindigkeit notwendig ist und wie sich die Rolle des Risikomanagements verändert.

Impact von Risiken

Im Anschluss an einen ersten CoffeeBreak konnten die Teilnehmer:innen der GRC Jahrestagung in zwei unterschiedliche Breakout-Sesssions gehen. Die erste Session unter der Moderation von Markus Hölzl (EY Österreich) drehte sich um das Thema Impact von Klimarisiken auf das Enterprise Risk Management.

Den ersten Vortrag in diesem Plenum hielt Roman Rohatschek (OePR und Institut für Unternehmensrechnung und Wirtschaftsprüfung): Prüfung klimabezogener Risikoinformationen im Lagebericht und deren Berücksichtigung in der Finanzberichterstattung – Erfahrungen aus dem Enforcement. Er sprach über die Auswirkung der Umweltrisiken auf Impairment, Übereinstimmung der Umweltberichterstattung zwischen finanzieller und nichtfinanzieller Berichterstattung sowie Umweltberichterstattung und Taxonomie.

Der zweite Vortrag war von Robert Buchleitner (Lenzing AG) zum Thema ESG Risk & Opportunity Management: Der Schlüssel zum Aufbau langfristiger Resilienz von Unternehmen. Er berichtete über die Integration von ESG-Risiken in das Enterprise Risk Management der Lenzing AG, die geplanten nächsten Schritte im ESG-Risikomanagement und die Einbettung der ESG-Risiken in die Governance und das Beteiligungsmanagement der B&C-Gruppe als Mehrheitsaktionärin der LenzingAG.

Danach gab es eine spannende Plenumsdiskussion mit Roman Rohatschek und Robert Buchleitner unter der Moderation von Markus Hölzl

Im zweiten Plenum unter der Moderation von Drazen Lukac (EY Österreich) unter dem Motto Impact geopolitischer Risiken auf IT-Risikomanagement und Business Continuity Management gab es weitere spannende Unternehmensbeispiele. Der erste Beitrag zum Thema Kehrseite der Digitalisierung – Erfahrungsbericht einer IT Risk Management Funktion im Zeitalter geopolitischer Spannungen stammt aus der Raiffeisen Bank International AG. Stefan Jaschky sprach über das klare Ziel, das von Beginn an essenziell ist. Laut Jaschky war es kein einfacher Weg für die IT Risk Management Funktion.

Er gab auch einen Ausblick auf neue Herausforderungen. Im Anschluss sprach Andreas Frohner (EY Österreich) über Trade Compliance als (das) Instrument im Sanktionsdschungel. Auch hier gab es im Anschluss eine spannende Podiumsdiskussion.

Lunch & Talk als interaktives Mittagessen

Ein interaktives Mittags-Talk-Format war auch heuer wieder der Höhepunkte auf der GRC Jahrestagung. Die Teilnehmer:innen wurden eingeladen, zum moderierten Erfahrungsaustausch an neun Thementischen zu ausgewählten Fragestellungen der aktuellen GRC-Agenda Platz zu nehmen. Dieses innovative Format bot den Teilnehmer:innen die Gelegenheit, sich noch fokussierter zu „ihren“ Themen mit Expert:innen und Peers auszutauschen.

Klimarisiken und ERM-Methoden und -Instrumente

Am Nachmittag fanden abermals zwei Vortrags-Slots parallel statt: In Forumeins wurde noch weiter über das Thema Klimarisiken diskutiert. Margit Kapfer (denkstatt GmbH) erzählte vom Managen von Klimawandel-Risiken in der Praxis. Sie sprach über die Identifikation von Klimarisiken am Beispiel der Infrastruktur, wie etwa Straße, Schiene, Energieversorgung (zB Hochwässer). Unternehmen sind gefordert, Klimarisikomanagement für die Supply Chain strategisch zu entwickeln. Um das Klimarisikomanagement operativ umsetzen, braucht es Wesentlichkeit, Daten, Trade-Off und Systeme.

Melanie Kornfeld (ÖBB-Infrastruktur AG) und Matthias Themeßl (GeoSphere Austria) sprachen über ein spannendes und sehr langfristiges Projekt bei den ÖBB: Klimarisiko- & Vulnerabilitätsanalyse: Ein Erfahrungsbericht der ÖBB-Infrastruktur AG in Zusammenarbeit mit GeoSphere Austria. Sie präsentierten den Fahrplan vom Konzept bis zur praktischen Durchführung der Klimarisiko- und Vulnerabilitätsanalyse. Im Anschluss bat Markus Hölzl um Fragen aus dem Plenum.

65 2/2023 Service Nachlese zur sechsten GRC Jahrestagung

Ein drittes Plenumsthema war ERM-Methoden und -Instrumente. Die Moderation übernahm hier Karin Exner. Zunächst wurde ein Best-Practice-Beispiel aus der AGRANA zum Thema Risikotragfähigkeit auf Basis von Liquiditätsreserven präsentiert. Johann Hörmansdorfer und Joachim Reimann (beide AGRANA Beteiligungs-AG) sprachen über Kreditlinien zur Überbrückung von Krisensituationen, risikobasierte Stresstests der Financial Covenants und eine Orientierung am IDW PS 340 nF.

Im zweiten Vortrag Risikoidentifikation mit ChatGPT – Hype oder „Next Big Thing“? präsentierten Andreas Stöckl (FH OÖ Campus Hagenberg) und Günther Angerbauer (CALPANA business consulting GmbH) ihre Überlegungen rund um den Einsatz moderner Sprachmodelle für die Risikoidentifikation.

Wie viel Bälle halten Sie in der Luft?

Den Abschluss des Tages bot Clemens Nachbauer (Controller Institut) mit seinem Vortrag Leadership in Motion – Wie Sie als Führungskraft in dynamische Balance kommen. Das Überraschungshighlight: Mario Filzi zeigte den Teilnehmer:innen wie schnell sie es schaffen, mehrere Bälle gleichzeitig jonglieren zu können. Im wahrsten Sinne des Wortes.

Karin Exner schloss die sechste GRC Jahrestagung mit einer Ankündigung für das nächste Jahr. Wir freuen uns daher, Sie bei der siebten GRC Jahrestagung begrüßen zu dürfen. Stay tuned unter: www.grc-jahrestagung.at.

Service 2/2023 66
Nachlese zur sechsten GRC Jahrestagung

F&E-Controlling: Entwicklung eines Dokumentationsinstruments am Beispiel

eines Herstellers von elektronischen Bauteilen und Komponenten in der Steiermark

Case Study

Staatliche Förderungen für Forschungsprojekte sollen das Wachstum eines Landes fördern und den Wohlstand mehren. Fördergeber geben dazu Zweck, Förderhöhe sowie Förderbedingungen vor. Fördernehmer müssen die Kosten dokumentieren und spätestens bei der Endabrechnung offenlegen. In diesem Beitrag wird gezeigt, wie bei der Entwicklung eines unternehmensindividuellen fördergerechten Dokumentationsinstruments vorgegangen werden kann, um sämtliche Förderbedingungen zu erfüllen.

1.Fördervolumen, Förderformen und Rechtsgrundlagen Forschungsförderung beschreibt die staatlichen oder wirtschaftlichen Bemühungen, die Weiterentwicklung von Wissenschaft und Technik mit finanziellen und organisatorischen Ressourcen zu unterstützen. Ziel ist die Steigerung von Wohlstand und Wachstum durch gezielte Förderungen von Forschung und Entwicklung in Unternehmen und Institutionen.1 In Österreich betrugen die Bruttoinlandsausgaben für Forschung und experimentelle Entwicklung im Jahr 2022 knapp 14,1Mrd€. Davon kamen etwa 51% vom Unternehmenssektor (inkl Forschungsprämie), knapp 33% von staatlicher Seite (Bund und Länder) und etwa 16% aus dem Ausland.2

Die staatliche Unterstützung von F&E-Aktivitäten kann durch zwei verschiedene Formen der Förderung erfolgen: die indirekte und die direkte Förderung. Die indirekte Förderung beschreibt die Reduzierung der Steuerlast auf Basis aller F&E-Tätigkeiten. Als Basis werden die Kosten herangezogen. Durch indirekte Förderungen werden alle Unternehmen und Projekte gleichermaßen unterstützt, solange sie die Voraussetzungen für F&E-Tätigkeiten erfüllen. Eine staatliche Reduzierung der Steuerlast kann durch einen Steuerfreibetrag, eine Steuerbefreiung, einen Steuerabzug oder eine Steuergutschrift erfolgen.3 Freibeträge, Befreiungen oder Abzüge reduzieren die effektive Bemessungsgrundlage auf deren Basis die Steuerschuld berechnet wird, bevor diese entsteht. Eine Steuergutschrift wird nach Berechnung der Steuerschuld abgezogen.

Direkte Förderungen werden eingesetzt, um gezielt Grundlagenforschung, themenorientierte und nicht-themenorientierte Projekte zu fördern. Diese Projekte werden von staatlichen Institutionen ausgeschrieben und genehmigt. Die direkte Förderung erfolgt durch Zuschüsse, Darlehen oder Kredithaftungen. Diese direkte Begünstigung von Projekten ist mit den jeweiligen politischen Zielen des Fördergebers verknüpft.4 Tabelle1 zeigt eine Gegenüberstellung der direkten und indirekten Förderung anhand ausgewählter Aspekte.5

Direkte Förderung Indirekte Förderung

Projektinhalte Klar definiert (themen- und nichtthemenorientiert) Offen

Zutrittsschwelle Projekt-Ausschreibungen Qualifizierte F&E-Tätigkeiten

Administrativer Aufwand Eher höher (Ausschreibungsprozess) Eher geringer (Gestaltungsfreiheiten)

Zielgruppe

Unternehmen, welche die ausgeschriebenen Anforderungen erfüllen Alle Unternehmen gleichermaßen

Tab1: Gegenüberstellung der direkten und indirekten Förderung, Quelle: in Anlehnung an Falk/Neppl-Oswald et al, Kohärenz des Instrumentenmix (2009) 7.

1 Vgl Laincz, R&D subsidies in a model of growth with dynamic market structure, in J Evol Econ19 (2009) 643ff, 670.

2 Vgl Statistik Austria, abrufbar unter https://www.statistik.at/fileadmin/announcement/2022/05/20220422Forschungsquote2022.pdf, (Zugriff zuletzt am 26.5.2023).

3 Vgl OECD, Frascati-Handbuch 2015: Leitlinien für die Erhebung und Meldung von Daten über Forschung und experimentelle Entwicklung, Messung von wissenschaftlichen, technologischen und Innovationstätigkeiten (2018) 409.

4 Vgl Bergström, Capital Subsidies and the Performance of Firms, in Small Business Economics 14 (2000) 183ff, 184.

5 Falk/Neppl-Oswald et al, Kohärenz des Instrumentenmix: Zusammenspiel der direkten und indirekten Forschungsförderung, in Aiginger/Falk (Hrsg), Systemevaluierung der österreichischen Forschungsförderung und –finanzierung1 (2009) 7.

Urs Engelbogen, M.A. ist als Controller für ein internationales Industrieunternehmen tätig und Absolvent der FH CAMPUS 02 in Graz, Studienrichtung Rechnungswesen und Controlling.

67 2/2023 Case Study F&E-Controlling
Rudolf Grünbichler lehrt und forscht am Institut für Betriebswirtschaftslehre und Betriebssoziologie an der Technischen Universität Graz.

Im Beispielunternehmen sind die relevantesten Förderungen für F&E-Projekte direkte Förderungen von der FFG und SFG sowie die Forschungsprämie als indirekt in Anspruch genommene Förderung. Die Anforderungen zum Erhalt der Steuergutschrift mittels Forschungsprämie sind in §108c Einkommensteuergesetz sowie der zugehörigen Forschungsprämienverordnung und der Einkommensteuerrichtlinie 2000 geregelt. Die Anforderungen für FFG- bzw SFG-Projekte sind im FFG-Kostenleitfaden definiert. Alle Förderungsformen beziehen sich im weitesten Sinne auf das Frascati-Handbuch der OECD. Diese Vorgaben sind für die Entwicklung eines Dokumentationsinstruments essentiell.

2.Entwicklung eines Dokumentationsinstruments

Damit die Förderungen voll ausgeschöpft und Nachzahlungen vermieden werden, ist auf eine ausreichende Dokumentation der Kosten für die F&E-Aktivitäten zu achten. Es empfiehlt sich hierbei die Entwicklung eines individuell an die Fördervorgaben angepassten Dokumentationsinstruments, welches sämtliche Rahmenbedingungen der Fördergeber erfüllt. Zu den Rahmenbedingungen zählen die jeweils geltenden Gesetzesgrundlagen (zB EStG, Forschungsprämienverordnung), spezifische Vorgaben des Fördergebers (zB FFG-Kostenleitfaden) und die individuellen Förderungsverträge bzw -vereinbarungen.

Im Unternehmen wird das Instrument mit den intern vorhandenen Daten, welchen gegebenenfalls aufbereitet werden müssen, befüllt. Dazu zählen beispielsweise buchhalterische Daten (zB Informationen aus den Buchhaltungskonten oder dem Anlagenverzeichnis) oder die Zeiterfassung von MitarbeiterInnen.

Input Fördergeberseite Gesetzesgrundlage Kostenlei aden

Individuelle Förderverträge bzw -vereinbarungen

Input Unternehmensseite Buchhalterische Daten Zeiterfassungen

Dokumenta onsinstrument zur Erfassung der F&E-Projektkosten

Unterstützung bei Projekt-Endabrechnung Transparente Kosten-Aufschlüsselung Checkliste

Abb1: Input- und Outputparameter eines Dokumentationsinstruments

In Abbildung1 sind die Input- und Outputparameter für die Entwicklung eines DokumentationsInstrumentes dargestellt. Die Inputparameter der Fördergeber stellen die Anforderungen dar, welche für die Förderung der F&E-Aktivitäten erfüllt werden müssen. Diese Informationen definieren das Gerüst des Instruments. Für die Befüllung werden zudem die Inputparameter des Unternehmens benötigt. Diese Daten werden während des Projektabwicklungszeitraums laufend erfasst. Das Dokumentationsinstrument kann beispielsweise in MSExcel erstellt werden. Der Output des Instruments stellt die fertige Dokumentation des Forschungsprojektes dar, welches unterstützend für die Endabrechnungen verwendet wird.

Bei der Entwicklung des Dokumentationsinstrumentes ist auf die Vorgaben der verschiedenen Fördergeber einzugehen. Um die Anforderungen der Fördergeber optimal zu erfüllen, müssen individuelle Varianten des Excel-Tools erstellt werden. Ein wesentlicher Unterschied zwischen den Förderungen in Österreich liegt darin, dass die Voraussetzungen für die direkte Förderung im FFGKostenleitfaden und für die indirekte Förderung in §108c EStG definiert sind. Ein weiterer wesentlicher Unterschied der F&E-Förderungen ist der unterschiedliche Abrechnungszeitraum. Dies erschwert eine gemeinsame, übersichtliche Darstellung aller relevanten Kosten. F&E-Projekte, welche von der FFG/SFG gefördert werden, betrachten den genehmigten Projektzeitraum. Bei F&E-Tätigkeiten, welche für die Forschungsprämie begünstigt sind, wird als Abrechnungszeitraum das gesamte Wirtschaftsjahr betrachtet.

Case Study 2/2023 68 F&E-Controlling

Bei der Entwicklung eines Dokumentationsinstruments sollte der erste Schritt darin liegen, eine Checkliste auf Basis der Fördervorgaben zu entwickeln. In dieser werden sämtliche Anforderungen aufgelistet und dokumentiert, ob eine Umsetzung im Dokumentationsinstrument erforderlich sind. In Abbildung 2 findet sich eine beispielhafte Darstellung für eine Checkliste, welche auf Basis des FFG-Kostenleitfadens erstellt wurde.

Checkliste zu den Anforderungen an die Kostendokumentation

Anforderungen gemäß FFG-Kostenleitfaden V2.2 (2022)

Zurück zum Deckbla Zurück zur Übersicht

Im Tool umgesetzt? Wo? (JA/NEIN)(Tabellenblatt/Zellen)Wenn nicht: Begründung:

1)Förderbar sind alle Kosten, -die direkt, -tatsächlich und -zusätzlich (zum herkömmlichen) Betriebsaufwand, während des Förderungszeitraums (laut Förderungsvertrag) entstanden sind.JAÜbersicht/D8:G8

2.) Personalkosten

2.1)Stundensatzberechung Personalkosten:

Auf Basis der Bruttogehälter und -löhne zzgl. darauf bezogener AbgabenJAPersonalkosten/Q17:Q26 Sonstige Zahlungen oder geldwerte Leistungen können annerkannt werden.JAPersonalkosten/Q17:Q26

2.2)Für am Projekt mitarbeitenden -GesellschafterInnen, -EinzelunternehmerInnen, -EigentümerInnen, -Vereinsfunktionäre lt. Vereinsregister, -MitarbeiterInnen ausländischer Förderungsnehmer. kann im Rahmen der förderbaren Kosten ein Pauschalstundensatz:

Personengruppen Aufgezählte NEIN werden angesetzt Stunde pro - 45 € maximal vontätig Unternehmen m nicht sind NEIN ekte Pro geförderten le a für Jahr pro Preson pro - 400 77 jedoch maximal -

2.3)Jahresstundenteiler bei Vollzeitbeschäftigung beträgt pauschal 1.720 Stunden. (auch bei Überstundenpauschalen bzw. All-In-Vertägen) Bei ProjektmitarbeiterInnen auf Teilzeitbasis muss der Jahrestundenteiler analog zum Beschäftigungsausmaß reduziert werden.

2.4)Forschungseinrichtungen laut EU-Definition können als Jahresstundenteiler pauschal 1.290 Stunden bei Vollzeitbeschäftigung ansetzen.

Voraussetzung: Die Differenz zu den 1.720, muss für Agenden zur Unterstützung der Forschungstätigkeiten der Forschunseinrichtung verwendet werden.

JAPersonalkosten/J17:J26

JAPersonalkosten/J17:J26

NEIN

Abb2: Auszug aus der Checkliste zur Erfüllung der Vorgaben

Nicht relevant für das Unternehmen, da es sich um keine Forschungseinrichtung handelt.

Diese Checkliste verknüpft die Vorgaben des Fördergebers mit dem Dokumentationsinstrument und dient der Kontrolle, ob alle Vorgaben erfüllt wurden. Falls eine Anforderung nicht erfüllt wird oder für das Unternehmen nicht relevant ist, kann ein Feld für eine Begründung eingegeben werden. Mit dieser transparenten Darstellung ist es auch Dritten möglich, sich in kurzer Zeit einen Überblick zu verschaffen.

Zusätzlich wird in der Checkliste dargestellt, auf welchen Rahmenbedingungen sie basiert, um bei Bedarf weitere Informationen einzuholen. Für eine rasche Navigation innerhalb des Instruments eignen sich Buttons mit Links auf die unterschiedlichen Anforderungs-Bereiche. Zudem empfiehlt es sich, Erfahrungen aus bereits abgewickelten Forschungsprojekten in das Excel-Instrument einzuarbeiten.

3.Beispiel für ein fördervorgabenkonformes Dokumentationsinstrument

Anhand der Checkliste wird ein Dokumentationsinstrument entwickelt, welches sämtliche Vorgaben der Fördergeber enthält. Das Instrument kann beispielsweise in MSExcel erstellt werden. Das so erstellte Instrument stellt ein leeres Gerüst dar, welches mit Unternehmensdaten, speziell den F&E-Kostenaufzeichnungen, befüllt wird.

3.1.Aufbau des Excel-Dokumentationsinstruments

Ein möglicher Aufbau einer Kosten-Dokumentation in einem MSExcel-Dokument kann zum Beispiel folgende Tabellenblätter umfassen:

▶ Deckblatt: Dieses enthält allgemeine Informationen zum Aufbau und zur Verwendung des Instruments.

▶ Übersichtsblatt: Im Übersichtsblatt werden die allgemein relevanten Daten des F&E-Projekts eingetragen. Dazu zählen ua der Titel des F&E-Projekts und der Förderungszeitraum. Auf diesem Tabellenblatt befindet sich zudem eine Übersicht über die angefallenen Kosten, gegliedert gemäß den jeweilig geltenden Vorgaben der Fördergeber.

▶ Eingabeblätter: Die Eingabeblätter umfassen jene Kostenkategorien, welche durch den Fördergeber begünstigt sind. Je Kostenkategorie gibt es ein Eingabeblatt, in dem die angefallenen Kosten konform zu den Anforderungen eingetragen werden.

▶ Checklisten-Tabellenblätter: In diesem werden die Vorgaben des Fördergebers aufgezählt und erfasst, inwieweit diese erfüllt werden. Zu jeder Anforderung wird dargestellt, wo diese im Instrument zu finden ist. Vorgaben, die nicht erfüllt werden oder für das Unternehmen nicht relevant sind, sind zu begründen.

Für die unterschiedlichen Kategorien von Tabellenblättern können verschiedene Farben verwendet werden, damit sich AnwenderInnen rascher zurechtfinden. Für eine rasche Navigation können Buttons in den Tabellenblättern eingefügt werden.

69 2/2023 Case Study F&E-Controlling

3.2.Kostendokumentation gemäß FFG-Kostenleitfaden am Beispiel der Personalkosten

Die Dokumentation der angefallenen Kosten für FFG-geförderte Projekte erfolgt nach den Vorgaben des FFG-Kostenleitfadens. In diesem werden die förderbaren Kosten detailliert beschrieben und in Kategorien unterteilt.

Bei der Kostendokumentation für FFG-Projekte muss eine Aufteilung der Plan- und Ist-Kosten erfolgen. Im genehmigten Antrag zur Förderung müssen die Plan-Kosten des Projektes dargestellt werden. An diesen wird die maximale Höhe der Förderung berechnet. Die Formel lautet: Geplante Kosten * %-Satz der Förderung = max Förderhöhe. Anhand der tatsächlich angefallenen Kosten wird die Höhe der Förderung berechnet, welche mit der maximalen Förderhöhe beschränkt ist. Die maximale Höhe der F&E-Förderung wird dann erreicht, wenn die geplanten Kosten erreicht werden. Übersteigen die tatsächlichen Kosten die geplanten Kosten, erfolgt eine Förderabgeltung nur bis zur maximal genehmigten Förderung. Bei Unterschreitung der geplanten Kosten, wird die Förderungshöhe aliquot reduziert.

Die Personalkosten sollen dem F&E-Projekt nachvollziehbar zugeordnet werden. Daher müssen am Projekt beschäftigte Personen ein Stundenprotokoll ihrer täglich durchgeführten Tätigkeiten führen. Da die in F&E-beschäftigten Mitarbeiter/innen meist nicht nur an einem Projekt tätig sind, können mittels Stundenaufzeichnungen die Personalkosten den einzelnen Projekten zugeordnet werden. Die Zeitaufzeichnung muss stundenweise erfolgen und eine aussagekräftige Tätigkeitsbeschreibung beinhalten, um die Förderbarkeit der Personalkosten zu gewährleisten.

Personalkosten Dokumentation

Förderbare Personalkosten sind lt. FFG-Kostenleitfaden:

FFG Kostenleitfaden: Kapitel 2.1: Personalkosten

Bruttogehälter und -löhne (gesetzlich, kollektivvertraglich, in Betriebsvereinbarung oder dienstvertraglich rechtsverbindlich vorgesehen)

+sonstige Zahlungen oder geldwerte Leistungen (z.B.: Schmutzzulagen, Entgelte für Überstunden, Sachbezüge)

+Gesetzliche/Tarifliche Personalnebenkosten

-Freiweilliger Sozialaufwand (z.B.: Kantine), Reisekostenerstattung

=förderbare Personalkosten

Es muss eine Stundenweise und auf Tagesbasis geführte Tätigkeitsbeschreibung, zum Nachweis der projektbezogenen Stunden, erfolg en. Jahresstd Bruttogehalt

Falls ein/e ProjektmitarbeiterIn in mehreren Arbeitspaketen tätig ist, muss pro AP eine Zeile verwendet werden.

Der Jahresstundenteiler beträgt pauschal 1.720 Personalstunden für Vollzeitbeschäfti gung lt. FFG Kostenleitfaden (Kap. 2.1, S.4) (auch bei Überstundenpauschalen bzw. All-in Verträgen)

Abb3: Auszug aus dem Tabellenblatt Personalkosten Dokumentation

In Abbildung 3 ist der beispielhafte Aufbau eines Tabellenblattes zur Dokumentation der Personalkosten eines F&E-Projektes dargestellt. Die Eingabefelder sind farblich markiert, wobei zu befüllende Felder blau und Dropdown-Auswahlfelder hellblau hinterlegt sind.

Im oberen Teil des Tabellenblatts wird beschrieben, welche Kostenbestandteile als Personalkosten förderbar sind und welche nicht förderbaren Bestandteile abgezogen werden müssen. Zusätzlich wird auf die Anforderung an eine Tätigkeitsbeschreibung hingewiesen. Es sollte zudem ein Verweis auf das relevante Kapitel im FFG-Kostenleitfaden gesetzt werden, um bei Fragen nachsehen zu können.

Im mittleren Teil werden die nötigen Daten für die Dokumentation eingegeben. Die linken äußeren Eingabefelder dienen zur eindeutigen Identifikation der am Projekt beteiligten MitarbeiterInnen. Daher wird für jeden Beteiligten der Vor- und Nachname sowie ein internes Kurzzeichen eingetragen. Im Beispielunternehmen besitzt jede beschäftigte Person ein eigenes Kurzzeichen, für eine klare Identifikation im ERP-System. Zusätzlich ist jede beschäftigte Person einem Funktionsbereich bzw. einer Kostenstelle zugeteilt. Die Funktion und das zugeteilte Arbeitspaket (AP) der Projektteammitglieder kennzeichnet, wie sich die MitarbeiterInnen in das Projekt einbringen. Grundsätzlich sollte pro Beschäftigten eine Zeile verwendet werden. Sollte der Fall eintreten, dass eine Person in mehreren Arbeitspaketen tätig ist, ist je Arbeitspaket eine weitere Zeile in der Tabelle auszufüllen. Folgend werden anhand des Bruttogehaltes und des Jahresstundenteilers der Plan-Stundensatz berechnet. Um die geplanten Personalkosten zu berechnen, müssen zusätzlich die geplanten Projektstunden des Personals eingetragen werden. Die tatsächlichen Personalkosten werden mithilfe des Jahreslohnkontos des letzten abgeschlossenen Wirtschaftsjahres und den tatsächlich im Projekt aufgewendeten Stunden laut Zeitaufzeichnung berechnet. Vom Jahreslohnkonto müssen nicht förderbare Bestandteile abgezogen werden.

Abschließend befinden sich im unteren Teil des Tabellenblattes Hinweise für die Eingabe der Daten. Mithilfe der Buttons rechts oben und rechts unten lässt ich zwischen den Tabellenblättern navigieren. Bei der Dokumentation der Personalkosten sollte darauf geachtet werden, dass es sich um sensible Mitarbeiterdaten handelt. Daher sollte das Kosten-Dokumentationsinstrument nicht

Case Study 2/2023 70 F&E-Controlling
laufende Jahreslohn DifferenzKommentar Nr.Vorname NachnameKurzzeichenKSt. FunktionAP lt. Vertrag-teilerPLANISTPLANISTPLANIST-konto Abweichung 1.001 1.002 1.003 1.004 1.005 1.006 1.007 1.008 1.009 1.010 Summe 00€ 0,00€ 0,00€ 0,00 Wichtige Hinweise
Dateneingabe:
zur
Personalkosten Projektstunden Stundensatz ekt-Daten Pro MitarbeiterIn-Daten Zurück zur Übersicht Weiter zuden Kosten
für Anlagennutzung

für jede Person im Unternehmen zugänglich sein. Die Entwicklung und Anwendung eines solchen Dokumentationsinstruments erhöht die Transparenz der angefallenen Kosten und dient unterstützend bei der Endabrechnung des Forschungsprojektes.

Auf den Punkt gebracht

F&E-Förderungen sind ein wichtiger Bestandteil der Finanzierung von Forschungstätigkeiten in Unternehmen. Um etwaige Beanstandungen bei der Endabrechnung zu vermeiden, welche zu Förderkürzungen führen können, sollten bereits laufend alle Fördervorgaben bestmöglich erfüllt und dokumentiert werden. Dabei kann ein Dokumentationsinstrument, welches beispielsweise in MSExcel erstellt wird, unterstützen. Dazu sollten zunächst die Fördervorgaben in einer Checkliste aufbereitet werden. Anhand dieser Checkliste wird ein Dokumentationsinstrument entwickelt, welches speziell an die Fördervorgaben angepasst ist. Der praktische Nutzen dieses Instruments liegt in der Unterstützung bei der Endabrechnung des Forschungsprojektes, indem bereits laufend sämtliche Anforderungen erfüllt und nachvollziehbar dokumentiert werden.

71 2/2023 Case Study F&E-Controlling

ESG in M&A-Transaktionen

Vom Investmentfaktor zum Pflichtprogramm?

Angesichts der Bandbreite an Themengebieten, die sich hinter dem Begriff „ESG“ verbergen, ist es nicht verwunderlich, dass dieses Thema inzwischen auch inmitten der M&A-Praxis angekommen ist und sowohl auf Seiten der Käufer und Investoren als auch auf Seiten der Verkäufer und Unternehmensführer eine immer größer werdende Rolle spielt. Von der Transaktionsentscheidung, der Durchführung einer (Legal) Due Diligence bis hin zur Post-M&A-Integration: ESG gewinnt in sämtlichen Phasen einer M&A-Transaktion an Bedeutung.

1.Einleitung

Seit Anfang 2023 haben österreichische Zulieferer deutscher Unternehmen dank dem Inkrafttreten des deutschen Lieferkettengesetzes1 einen Vorgeschmack auf künftige Prüfpflichten in Hinblick auf (nachhaltige) Geschäftsbeziehungen bekommen, welche weit über gewohnte finanzielle Kriterien hinausgehen. Es ist dabei naheliegend, dass sich die Bedeutung von nichtfinanziellen Nachhaltigkeits-Kriterien für die Entscheidung über Geschäftsabschlüsse auch auf Unternehmenskäufe und Zusammenschlüsse (M&A-Transaktionen) ausweitet. Immerhin ist ein Unternehmen stets die Summe seiner Teile, also der einzelnen Geschäftsbeziehungen, Assets und des Humankapitals.

Angesichts der zunehmenden Bedeutung von ESG-Regulierungen ist es insofern nicht verwunderlich, wenn sich Überlegungen zu ESG-Themen immer öfter auch in sämtlichen Phasen und Ebenen von M&A-Transaktionen wiederfinden; von der Transaktionsentscheidung über die Transaktionsstruktur (zB Herauslösung von Stranded Assets), die Durchführung der (Legal) Due Diligence, die Gestaltung der Verträge bis hin zur Post-M&A-Integration. Wie groß die Auswirkungen von ESG auf M&A bereits sind, soll in weiterer Folge aufgezeigt werden.

2.Marktlage zeigt ESG-Trend

Unternehmen, die das Thema ESG aktiv forcieren, werden am Markt positiv wahrgenommen. Laut einer im November 2022 erschienen Studie von KPMG2 geben 82% aller Befragten (Strategie- und Finanzinvestoren aus Europa, dem Nahen Osten und Afrika) an, dass sie das Thema ESG im Rahmen ihrer M&A-Strategie bereits berücksichtigen. 68% der Investoren wären sogar bereit, mehr für ein Zielunternehmen zu

1 Lieferkettensorgfaltspflichtengesetz vom 16.7.2021 (BGBlI 2959).

2 KPMG, EMA ESG Due Diligence Study, How leading M&A teams are managing ESG DD, 2022, https://as sets.kpmg.com/content/dam/kpmg/xx/pdf/2022/11/ ema-esg-due-diligence-report.pdf (Zugriff zuletzt am 22.5.2023).

zahlen, das bestimmte ESG-Kriterien erfüllt. Unterstrichen werden diese Ergebnisse durch eine weitere im November2022 durch EY veröffentlichte Studie, wonach 73% der deutschen Unternehmen konkrete Portfolio- bzw M&AAktivitäten mit dem Ziel planen, die Nachhaltigkeitsperformance zu verbessern.3

Ohne Zweifel lässt sich daraus ableiten, dass das Thema ESG wirtschaftlich inmitten des M&A-Marktes angekommen ist und nicht nur Einfluss auf den Wert eines Unternehmens nimmt, sondern auch darauf, ob eine Transaktion überhaupt stattfindet. Zahlreiche Unternehmen können es sich angesichts der damit verbundenen potenziellen Reputationsschäden inzwischen einfach nicht mehr leisten, Betriebe in ihr Portfolio aufzunehmen, die im Bereich ESG unterdurchschnittlich performen. Anzunehmen ist, dass sich dieser Trend bei zunehmender ESG-Regulierung weiter verstärken wird.

3.Vom „Nice-to-have“ zum „Must-have“ bei Transaktionen?

Während die Einbeziehung von ESG-Kriterien unter anderem auf Grund der Taxonomie-VO4 bereits längst in der Entscheidungsfindung der Finanzwirtschaft Niederschlag gefunden hat, dringt deren Bedeutung stetig immer weiter in andere Branchen vor. Die Verlagerung vom „Nice-to-have“ zum „Must-have“ wird dabei in Österreich etwa durch die Aufnahme von Regel16a in die C-Regeln (Comply or Explain) des ÖCGK5 verdeutlicht. Demnach hat der Vorstand bei der Entwicklung und Umsetzung der Unternehmensstrategie Aspekte der Nachhaltigkeit und damit verbundene Chancen und Risiken in Bezug auf Umwelt, soziale Belange und Corporate Governance miteinzubeziehen.

3 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft, EY-Studie: Sustainability Portfolio Review, November 2022.

4 Verordnung (EU) 2020/852 des Europäischen Parlaments und des Rates vom 18.6.2020 über die Einrichtung eines Rahmens zur Erleichterung nachhaltiger Investitionen und zur Änderung der Verordnung (EU) 2019/2088.

5 Österreichischer Corporate Governance Kodex, idF Jänner 2023.

Management 2/2023 72 ESG in M&A-Transaktionen
Management ESG in M&A-Transaktionen
Mag. Ulrich Weinstich, LL.M. (UCLA) ist Rechtsanwalt bei der DORDA Rechtsanwälte GmbH in Wien. Mag. Kaleb Kitzmüller, LL.M. (Amsterdam) ist Rechtsanwalt bei der Haslinger / Nagele Rechtsanwälte GmbH in Wien.

Eine Verpflichtung, Transaktionen auch aus diesem Blickwinkel zu betrachten und sich entsprechend zu erklären, besteht damit freilich für Vorstände österreichischer Gesellschaften, die dem Prime Market der Wiener Börse angehören.6 Da sich darüber hinaus jedoch viele außerbörsliche Gesellschaften dem ÖCGK (freiwillig) unterworfen haben, ist zu erwarten, dass die Beachtung von ESG-Risiken auch aus diesem Grund bei Transaktionen einen weiteren Anwendungsraum finden wird.

Darüber hinaus lassen auch die auf Basis der CSRD7 im November 2022 veröffentlichten Entwürfe der ESR8 erkennen, dass im Rahmen der Nachhaltigkeitsberichterstattung die Beurteilung von Transaktionen aus ESG-Sicht wesentlich wird. Unsere Empfehlung: Was am Ende des Geschäftsjahres berichtet werden muss, sollte auch schon unterjährig mitbedacht werden. Einerseits können die geänderten Regelungen der (nichtfinanziellen) Nachhaltigkeitsberichterstattung Auswirkungen in Hinblick auf die Transaktionsstrategie haben (zB Veräußerungen wegen der Neuausrichtung von Geschäftsmodellen), andererseits kann die Durchführung von Transaktionen auch in der Nachhaltigkeitsberichterstattung selbst zu berücksichtigen sein.

Auch aus der Perspektive einer potenziellen Geschäftsleiterhaftung empfiehlt es sich, ESGAspekte/Risiken in Zukunft bei M&A-Transaktionen verstärkt in den Fokus zu nehmen. So kann sich sowohl aus konkreten gesetzlichen Bestimmungen, Gesellschaftsverträgen, als auch im Umfang der Anwendung der Business-Judgement-Rule eine Notwendigkeit zur Berücksichtigung von ESG-Aspekten/Risiken ergeben.9

4.ESG in der Transaktionsanbahnung –und Entscheidung

In der Phase der Geschäftsanbahnung ist zu beachten, dass bereits ab der ersten Kontaktaufnahme Aufklärungs- und Sorgfaltspflichten entstehen, bei deren Missachtung eine vorvertragliche Haftung ausgelöst werden kann (culpa in contrahendo). Jedenfalls ist über Umstände aufzuklären, die eine Kaufentscheidung wesentlich beeinflussen und über die nach den Grundsätzen des redlichen Verkehrs eine Aufklärung erwartet werden darf.10 Durch die steigende Be-

6 Adensamer/Wöss in Ruhmannseder/Wess (Hrsg), Handbuch Corporate Compliance (2022) 16.34; siehe ausführlich in Kittel in Althuber/Schopper (Hrsg), Handbuch Unternehmenskauf und Due Diligence 2 (2014) Corporate Governance 9ff sowie 94ff; auch eine breite Mehrheit des Standard Market hat sich inzwischen dem ÖCGK unterworfen.

7 Richtlinie (EU) 2022/2464.

8 European Sustainability Reporting Standards.

9 Harringer, ESG als Haftungsthema für Leitungsorgane von Kapitalgesellschaften, GRC aktuell 2/2023, 57 ff.

10 Siehe ausführlich dazu Dorda/Wolf in Althuber/Schopper (Hrsg), Handbuch Unternehmenskauf und Due Diligence2 (2014) Culpa in contrahendo, List und Irrtum bei Unternehmenskauf und Due Diligence 22f.

deutung von ESG-Risiken bei Kaufentscheidungen (siehe oben) sollten auch diese Kriterien in Überlegungen zur Offenlegung von Sachverhalten einbezogen werden. Es bleibt abzuwarten, wie sich die Übung des redlichen Verkehrs bezüglich der Aufklärung über potenzielle ESGRisiken entwickelt.

Nachdem ein bestimmtes Zielunternehmen für den Käufer näher in Frage kommt, und sich Verkäufer und Käufer über die wesentlichen Rahmenbedingungen einer Transaktion im Klaren sind, wird häufig ein Term Sheet abgeschlossen. Darin werden in allererster Linie die essentialia negotii (Zielunternehmen, Kaufpreis, Bewertung), die Themen Vertraulichkeit und Exklusivität sowie der weitere Verlauf der Transaktion festgehalten. Auch wenn in diesem frühen Stadium der Transaktion oftmals noch kein Bindungswille der Parteien besteht, können Term Sheets mitunter doch bereits sehr detaillierte Regelungen enthalten, die weit über die essentialia negotii hinausgehen.

Es ist daher naheliegend, dass auch bereits zu diesem frühen Zeitpunkt ESG-relevante Themen, die für die Transaktion einen hohen Stellenwert besitzen, im Term Sheet explizit erwähnt und näher geregelt werden. Denkbar wäre etwa ein Investment Fonds, der auf nachhaltige Projekte spezialisiert ist und daher vom Verkäufer bereits im Term Sheet die Zusage verlangt, dass das Zielunternehmen bestimmte ESG-Kriterien erfüllt, widrigenfalls es zum Abbruch der Transaktion samt Kostenersatz berechtigt ist. Auch wenn derartige Klauseln derzeit eher nur in Spezialfällen in Term Sheets aufgenommen werden, so ist nicht auszuschließen, dass sich dies mit zunehmender Bedeutung der ESG-Kriterien zu einer gängigen Praxis entwickelt.

5.Erweiterung der (Legal) Due Diligence

In der Due-Diligence-Phase der Transaktion, in der das Zielunternehmen auf Herz und Nieren geprüft werden soll, gilt es in weiterer Folge zu beurteilen, ob die Erwartungen, die die Käufer/ Investoren an das Unternehmen stellen, auch den tatsächlichen Gegebenheiten entsprechen. Potenzielle ESG-Risiken sollen dabei sowohl aus technischer, wirtschaftlicher als auch aus rechtlicher Sicht identifiziert werden.

Auch die rechtliche Due Diligence fokussiert sich in letzter Zeit immer mehr auf ESG-Risiken. Es verwundert daher nicht, dass bereits erste ESG-spezifische Due-Diligence-Anforderungslisten bestehen, mit denen explizit nach Unterlagen mit ESG-Konnex gefragt wird. Im Rahmen dieser – zum Teil extensiven Listen – wird das Zielunternehmen einerseits nach dem Bestehen von etwaigen ESG-Policies gefragt, andererseits wird um die Offenlegung von zusätzlichen Dokumenten (zB ESG-Ratings bzw Nachhaltigkeitsberichten und Supplier Codes of Conduct) zur Bewertung von ESG-Risiken ersucht.

73 2/2023 Management ESG in M&A-Transaktionen

Dabei ist die „ESG-Due Diligence“ nicht abgekoppelt von der „normalen“ Legal Due Diligence, sondern als integrierter Bestandteil derselben zu betrachten. Sicherlich ist den Bereichen Lieferkettensorgfaltspflicht, Green Washing und Hinweisgeberschutz besondere Beachtung zu schenken, doch darf dabei nicht übersehen werden, dass es inzwischen in zahlreichen weiteren Rechtsgebieten Neuerungen gibt, die dem breiten Themenfeld ESG zugerechnet werden können und entsprechend zu prüfen sind.

Zusätzlich wird auch in Management-Interviews, die im Rahmen der Due Diligence regelmäßig geführt werden, immer öfter explizit auf das Thema ESG eingegangen, um ein besseres Bild von der Gesamtlage des Unternehmens zu erhalten.

Die bereitgestellten Informationen münden schließlich in Due Diligence Berichten, die folgerichtig immer häufiger eigene Abschnitte zum Thema ESG aufweisen. Dies gilt nicht zuletzt auch für Berichte, die im Rahmen einer verkäuferseitig beauftragten Due Diligence Überprüfung (Vendor Due Diligence) erstellt werden. Letzteres belegt, dass die Informationen zum Thema ESG eine wesentliche Entscheidungsgrundlage für potenzielle Investoren und Käufer darstellen, die man potenziellen Interessenten so früh als möglich zur Verfügung stellen will (wodurch auch das Risiko aus culpa in contrahendo im Zusammenhang mit ESG-Sachverhalten vermindert werden kann).

6.ESG-Regelungen in der Vertragsdokumentation

Sofern die im Rahmen der Due-Diligence-Prüfung zutage geförderten Ergebnisse nicht zum Abbruch der Transaktion führen, haben sich Verkäufer und Käufer bzw Investor auf eine allseits akzeptable Risikoverteilung zu einigen. Dabei ist der eindeutige Trend erkennbar, dass mehr und mehr ESG-spezifische Regelungen im Rahmen der Vertragsverhandlungen Einzug in den entsprechenden Kaufvertrag halten. Ein Anstieg von ESG-spezifischen Bestimmungen in Kaufverträgen kann dabei inzwischen in einer Vielzahl von Regelungsfeldern beobachtet werden:

▶ Haftungsansprüche

Am augenscheinlichsten ist wohl die Aufnahme eigener Abschnitte in den Gewährleistungs- bzw Garantiekatalogen von Kaufverträgen, die sich spezifisch dem Thema ESG bzw den damit verbundenen potenziellen Risiken widmen. Auch wenn Themen wie Kontaminationen, öffentliche Genehmigungen, Arbeitnehmerschutz oä bereits in der Vergangenheit regelmäßig in den Zusicherungen enthalten waren, ist erkennbar, dass diese Punkte nunmehr häufiger unter dem Stichwort ESG zusammengefasst und teilweise wesentlich detaillierter geregelt werden.

Ähnlich verhält es sich mit Bestimmungen zur Haftungsfreistellung bzw Schadloshaltung des Käufers bzw Investors. Da ESG-Risiken in der Due Diligence nunmehr häufiger Beachtung finden, werden in diesem Zusammenhang naturgemäß auch häufiger kritische Probleme aufseiten der Zielunternehmen entdeckt. Für den Fall, dass der Käufer nicht bereit ist, diese zum Teil erheblichen Risiken zu tragen, können hierfür eigene Freistellungen gebildet werden, aufgrund derer der Verkäufer den Käufer schad- und klaglos zu halten hat, wenn aus den entdeckten Problemen in weiterer Folge tatsächlich ein Schaden resultiert.

▶ Haftungsfolgen

In der Praxis bislang weniger oft zu finden –aber dennoch denkbar – sind individuelle Rechtsfolgen für Verletzungen von ESGspezifischen Gewährleistungen bzw Garantiezusagen. In Frage kommen hier etwa individuelle betragliche Haftungsbeschränkungen (zB eine höhere Haftungsobergrenze) oder längere Fristen für die Geltendmachung von derartigen Vertragsverletzungen. Je nach Branche des Zielunternehmens und angesichts des potenziell hohen Schadens, der sich aus einer Verletzung einer Gewährleistungs- bzw Garantiezusage aus dem Bereich ESG ergeben kann (zB Nichtvorhandensein umweltrechtlicher Genehmigungen, Kontamination oä), wird so mancher Käufer möglicherweise auch geneigt sein, im Kaufvertrag einen Haftrücklass (Holdback Amount) zu verlangen. Durch das Zurückhalten eines Teils des Kaufpreises kann der Käufer immerhin sicherstellen, dass bei einer etwaigen Haftung des Verkäufers die Ansprüche des Käufers auch tatsächlich (zumindest bis zur Höhe des Haftrücklasses) bedient werden können.

Problematisch erweist sich in der Praxis jedoch oft die Bewertung von Schäden, die sich aus der Verletzung von „ESG-Zusicherungen“ ergeben. In einzelnen kann ein finanzieller Schaden zwar durchaus bestimmbar sein – so sind etwa bei Verstößen gegen Lieferkettensorgfaltspflichten zumindest in Deutschland bereits Verwaltungsstrafen als deutlich messbarer Schaden auszumachen –, im Regelfall werden sich Verletzungen von „ESG-Zusicherungen“ jedoch in Schäden an einem Gut manifestieren, dass finanziell kaum zu messen ist: der Unternehmensreputation. Es bleibt abzuwarten, welche Marktstandards sich in diesem Zusammenhang entwickeln werden. Denkbar sind etwa pauschalierte Vertragsstrafen oder Vertragsstrafen, welche sich an Kursverlusten bzw Verlusten des Unternehmenswerts orientieren.

▶ Kaufpreis / Finanzierung

Nicht zuletzt können sich ESG-Risiken, die im Rahmen der Due Diligence entdeckt wer-

Management 2/2023 74 ESG in M&A-Transaktionen

den, auch auf den Unternehmenskaufpreis auswirken. Zu einer Abweichung von einem zu Beginn der Transaktion (etwa im Rahmen des Term Sheets) vereinbarten Kaufpreis wird es im Regelfall aber wohl nur dann kommen, wenn es sich hierbei um gravierende Missstände handelt.

Denkbar wäre außerdem ein variabler Kaufpreisanteil (Earn-Out), dessen Zahlung von der Erreichung bestimmter ESG-spezifischer Ziele abhängt, etwa der Erlangung einer bestimmten Genehmigung, dem positiven Ausgang von ESG-relevanten Ermittlungen oder dem Obsiegen in einem laufenden (Verwaltungs-)Verfahren.

Bei der (teilweisen) Fremdfinanzierung des Kaufpreises darf außerdem nicht außer Acht gelassen werden, dass auch Banken mehr und mehr angehalten sind, bei der Vergabe von Krediten auf Nachhaltigkeitskriterien Rücksicht zu nehmen. Der Kauf eines Unternehmens, das in Übereinstimmung mit den ESG-Kriterien geführt wird, hat daher wohl auch höhere Erfolgsaussichten bei der Inanspruchnahme einer Fremdfinanzierung.

▶ Aufschiebende Bedingungen

Je nach Relevanz einzelner ESG-Themen für das Zielunternehmen kann sich auch die Notwendigkeit zur Aufnahme von aufschiebenden Bedingungen (Closing Conditions), gepaart mit entsprechenden Verpflichtungen des Verkäufers bzw Zielunternehmen (Covenants), ergeben. Typische Anwendungsfälle hierfür wären etwa Bedingungen, wonach der Kaufvertrag erst dann wirksam wird, wenn das (junge) Unternehmen eine bestimmte Nachhaltigkeits-Zertifizierung oder gesetzliche Genehmigung (sei es für eine bestimmte Tätigkeit, Region oder Dauer) erlangt, wenn ESG-Policies implementiert werden oder wenn ein ESG-typischer Missstand bereinigt wird. Derartigen Bedingungen bzw Verpflichtungen sollten in der Praxis stets auch mit einem Rücktrittsrecht des Käufers gepaart werden, welches es diesem erlaubt vom Vertrag zurückzutreten, wenn die Bedingung nicht bis zu einem gewissen Zeitpunkt erfüllt wird (Long Stop Date).

▶ Material Adverse Change (MAC) Bestimmungen

MAC-Bestimmungen räumen dem Käufer Gestaltungsrechte (üblicherweise Rücktrittsrecht, Garantieanspruch) ein, wenn es zwischen der Unterfertigung des Kaufvertrages (Signing) und dem Vollzug (Closing) zu einer erheblichen (negativen) Veränderung des Vertragsgegenstandes kommt. Was eine erhebliche negative Veränderung darstellt, hängt dabei ganz von der Definition im Vertrag ab. Während vor der COVID-19-Krise noch häufig allgemeine Formulierungen, die sich etwa auf die Gesamtwirtschaftslage, Erdbeben oder Krieg beziehen, dominiert

haben, sind seither individuelle Bestimmungen, die etwa auch auf Umsatzeinbußen oä des Zielunternehmens Bezug nehmen, immer häufiger zu beobachten. Es zeichnet sich ab, dass dieser Trend der Individualisierung von MAC-Klauseln nunmehr fortgesetzt wird und diese Bestimmungen auch im Hinblick auf wesentliche ESG-Sachverhalte erweitert werden könnten.

In Frage kommt hier beispielsweise der Wegfall einer wesentlichen Genehmigung des Zielunternehmens, die Verwirklichung eines bestimmten ESG-Risikos, oder die Verursachung von erheblichen Umweltschäden. Konkret könnte außerdem vorgesehen werden, dass sich nach Unterfertigung des Kaufvertrages bestimmte Vermögenswerte nicht (durch staatliche Regulierung) zu „Stranded Assets“ – also entwerteten und nicht bzw nur schwer veräußerbaren Vermögenswerten – entwickeln dürfen. Letztere Konstellation ist beispielsweise aktuell bei Kohle- und Kernkraftwerken in Deutschland zu beobachten.

▶ Gerichtsstand / Schiedsgerichtsbarkeit

Bei internationalen Transaktionen können ESG-Themen schließlich auch bei der Wahl des Gerichtsstandes bzw der Schiedsgerichtsbarkeit eine Rolle spielen. Immerhin kann es einen erheblichen Unterschied machen, ob ein Anspruch, der sich aus einer Umweltverschmutzung ergibt, vor den Gerichten eines Landes geltend gemacht werden muss, in welchem dem Umweltschutz ein geringer Stellenwert eingeräumt wird, oder in einem Land, wo der Wert der Umwelt höher geschätzt wird11 bzw vor einem neutralen Schiedsgericht. Zudem kann es von (gemeinsamem) Interesse der Parteien sein, dass zB Streitigkeiten betreffend die Nutzung von Konfliktmaterialien, Menschenrechtsverletzung in der Lieferkette oder „Me Too“-Vorfällen nicht in (öffentlichen) staatlichen Gerichtsverfahren ausgebreitet, sondern in vertraulichen Schiedsverfahren verhandelt werden.

▶ Warranty & Indemnity Versicherungen

In weiten Teilen ist noch unklar, wie M&AVersicherer mit ESG-Risiken umgehen werden. Während Polizzen im Bereich Environmental bereits längst in das Produktportfolio von manchen Versicherern aufgenommen wurden, befinden sich spezielle Versicherungen für Risiken in den Bereichen Social und Governance noch in der Entwicklung. Entscheiden sich Versicherer für die Übernahme von ESG-Risiken ist jedenfalls zu erwarten, dass diese für die Risikoeinschätzung detaillierte Prüfungen von ESG-relevanten Sachverhalten beauftragen werden und dem Thema in der Due Diligence daher noch mehr Bedeutung zukommen wird.

11 Vergleiche etwa die Verfassung Ecuadors, die in Artikel 10 die Rechtsfähigkeit der Natur vorsieht.

75 2/2023 Management ESG in M&A-Transaktionen

7.Post-M&A-Integration

Klar ist, dass die Bedeutung von ESG-Themen mit dem Abschluss der Transaktion nicht abrupt abreißt. Ganz im Gegenteil gilt es vor allem bei strategischen Erwerbern im Rahmen der Post-Merger (M&A) Integration darauf zu achten, dass ESG-Policies des Zielunternehmens mit jenen des Käufers abgestimmt werden und ein einheitlicher Standard im Konzern geschaffen wird. Daneben sind – wie auch sonst üblich – etwaige ESG-Missstände, die im Rahmen der Due Diligence aufgedeckt wurden, im Anschluss an die Transaktion aufzuarbeiten.

Ob die Einführung neuer ESG-Regularien und die damit verbundenen Klauseln in den Kaufverträgen auch dazu führen werden, dass es in diesem Kontext künftig mehr M&AStreitigkeiten geben wird, lässt sich derzeit noch nicht beurteilen. Die Vergangenheit hat jedoch gezeigt, dass die stärkere Regulierung eines Rechtsbereichs aufgrund der anfänglichen Rechtsunsicherheit zu Beginn durchaus auch zu mehr Gerichtsverfahren führen kann. Man denke hier etwa an die Einführung der DSGVO in Europa und dem damit verbundenen sprunghaften Anstieg an Rechtsstreitigkeiten, die sich auch im M&A-Kontext bemerkbar gemacht haben.

Auf den Punkt gebracht

Obwohl das Thema ESG in seiner derzeitigen Ausprägung noch verhältnismäßig neu und bis zu einem gewissen Grad unbestimmt ist, sind die dahintersteckenden Themen dieser Tage allgegenwärtig. Es verwundert daher nicht, dass das Thema auch bereits den M&A-Markt bis zu einem gewissen Grad (mit-)prägt. Dies beginnt damit, dass jene Unternehmen, die im Bereich ESG gut dastehen, am Markt besser aufgenommen werden und als die attraktiveren Zielunternehmen gelten. Zudem wird das Thema im Rahmen der Due Diligence inzwischen regelmäßig aus wirtschaftlicher, technischer und rechtlicher Sicht geprüft und werden die damit verbundenen Risiken in den Kaufverträgen im Rahmen unterschiedlichster Bestimmungen berücksichtigt.

Selbst nach Abschluss der Transaktion kann das Thema nicht ad acta gelegt werden, da es im Stadium der Post-Merger (M&A) Integration gilt, das Zielunternehmen mitunter ESG-fit zu machen. Angesichts der allgegenwärtigen Klimakrise ist außerdem davon auszugehen, dass die Regulierungen in diesen Bereichen eher zuals abnehmen werden. Vor diesem Hintergrund wird das Thema ESG auch für den M&A-Markt stetig an Bedeutung gewinnen.

Linde Podcast

Kennen Sie eigentlich schon unsere juristische PodcastReihe Am Punkt? Namhafte Expert*innen bringen aktuelle Rechtsthemen auf den Punkt.

Zu hören auf lindemedia.at und allen gängigen Podcast-Plattformen.

Steuern. Wirtschaft. Recht.

Zum Hören.

tische Podcastn aktuelle

Management 2/2023 76 ESG in M&A-Transaktionen
Linde Fachwissen gibt’s auch zum Hören.
lindemedia at/podcast

Linde Podcast

Kennen Sie eigentlich schon unsere juristische Podcast-Reihe Am Punkt? Namhafte Expert*innen bringen aktuelle Rechtsthemen auf den Punkt.

Am Punkt #129 dreht sich um SAFE, das „simple agreement for future equity“. Welche Investmentstruktur dahintersteckt und welche Vorteile diese gegenüber herkömmlichen Finanzierungsformen hat – diese und weitere Fragen werden von Frau Mag. Angelika Kurz, Rechtsanwaltsanwärterin bei Herbst Kinsky, beantwortet.

Steuern. Wirtschaft. Recht.

Zum Hören.

Zu hören auf lindemedia.at und allen gängigen PodcastPlattformen.

Steuerkontrollsystem (SKS)

Qualitätssteigerung durch die erfolgreiche Implementierung eines Tax Compliance Management-Systems

• Compliance-Systeme: Modelle in der Zusammenarbeit Unternehmen –Finanzverwaltung

• Motive und Beweggründe für die Implementierung

• Finanzstrafrechtliches Schutzschild

• SKS und Nachhaltigkeitsberichterstattung (ESG-Reporting)

• „Minimumstandard“ eines SKS laut SKS-Prüfverordnung

• Anforderungen der Finanzverwaltung, alternativer Prüfungsansatz

• Best Practice: Implementierung eines SKS in der Praxis

• Digitale Umsetzung eines SKS

• Die projektbegleitende Begutachtung – Sinn & Nutzen

Moderation & fachliche Leitung

Andreas Helnwein | Norbert Schrottmeyer

Vortragende

Rainer Brandl | Claudia Czap | Mario Felice | Andreas Helnwein | Simon Hofstätter |

Gerhard Wandl | Peter Wohlgemuth | Michael Zeppelzauer

Praxisforum
Kirstin Krippner | Mario Liebentritt | Roland Macho | Norbert Schrottmeyer |
Wien lindecampus.at 9:00–16:45 20.9.2023

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.