Einbindung des Risikomanagements
in die Corporate Governance
Transparenz der Berichterstattung zum
Risikomanagementsystem
Ismail Ergün und Stefan Müller
Dipl.-Betriebsw., Ismail
Ergün, M.A. ist Wissenschaftlicher Mitarbeiter
der Professur für Allgemeine Betriebswirtschaftslehre an der Helmut-Schmidt-Universität/Universität der Bundeswehr Hamburg.
E-Mail:
erguen@hsu-hh.de
Prof. Dr. Stefan Müller
ist Inhaber der Professur für Allgemeine
Betriebswirtschaftslehre an der Helmut-
Schmidt-Universität/
Universität der Bundeswehr Hamburg. E-Mail:
smueller@hsu-hh.de
Stichwörter
Corporate Governance
Interne Revision
Lagebericht
Reporting (externes)
Risikomanagement
Auf Basis der Darstellung des rechtlichen Rahmens des Risikomanagements wird mittels einer empirischen Analyse die Risikoberichterstattung
im Konzernlagebericht daraufhin untersucht, inwieweit die Adressaten auf
Grundlage der veröffentlichten Informationen Einblicke über das Risikomanagementsystem gewinnen können und ob Diskrepanzen zwischen
dem Ziel einer transparenten Berichterstattung und den praktischen Umsetzungen bestehen.
........................................................
1. Problemstellung
........................................................
Seit der konkreten Forderung zur Einrichtung eines Überwachungssystems an die
Vorstände von Aktiengesellschaften durch
das KonTraG haben sich die expliziten
und impliziten gesetzlichen Erfordernisse
im Zusammenhang mit dem Risikomanagementsystem stetig weiter verschärft.
So ist es nicht mehr nur die Sache des Vorstands, dieses System im Rahmen seiner
Sorgfaltspflicht nach § 93 AktG ständig zu
verbessern und bei seiner Entscheidungsfindung einzubeziehen, sondern die weiteren Akteure der Unternehmensüberwachung – von Aufsichtsrat über Abschlussprüfer bis hin zur Internen Revision und
zum Controlling – haben sich mit dem
Risikomanagementsystem auseinanderzusetzen, was wiederum Rückwirkungen auf
den Vorstand hat. Im vorliegenden Beitrag
wird zunächst der gesellschaftsrechtliche
Rahmen des Risikomanagements dargestellt und aufgezeigt, welche Pflichten Geschäftsführung sowie Aufsichtsrat und
Abschlussprüfer aktuell wahrzunehmen
haben und welche Informationen der Öffentlichkeit im Lagebericht bereitzustellen
sind. Danach werden die Risikoberichte
aus den Konzernlageberichten der DAX-
Unternehmen mittels einer Inhaltsanalyse
daraufhin untersucht, inwieweit die Adressaten auf Grundlage der veröffentlichten Informationen Einblicke über das unternehmensinterne Risikomanagementsystem gewinnen können und ob Diskrepanzen zwischen dem Ziel einer transparenten Berichterstattung und den praktischen Umsetzungen bestehen.
........................................................
2. Rechtlicher Rahmen des
Risikomanagements
........................................................
Die konkretisierende gesetzliche Reglung
zum Risikomanagement (RM) bildet
§ 91 Abs. 2 AktG. Danach hat der Vorstand „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
Nach der Gesetzesbegründung hat § 91
Abs. 2 AktG einen klarstellenden Charakter, denn der Gesetzgeber hebt hiermit
eine bereits bestehende Leitungsaufgabe
aus § 76 Abs. 1 AktG und die Sorgfaltspflicht aus § 93 Abs. 1 AktG besonders
hervor (vgl. BT-Drs. 13/9712, S. 15). Des
Weiteren hat § 91 Abs. 2 AktG eine Ausstrahlungswirkung auf die gesetzlichen
und berufsständischen Normen des Abschlussprüfers (AP) und Aufsichtsrats
(AR), welche die Pflicht des Vorstands
zur Einrichtung des Risikomanagementsystems (RMS) konkretisieren (vgl. Kajüter, 2009, S. 113 f.). Aufbauend auf § 91
Abs. 2 AktG verlangen § 317 Abs. 4 HGB
und § 111 Abs. 1 AktG, dass das RMS bei
börsennotierten AG vom AP und AR auf
eine angemessene Funktionsfähigkeit zu
prüfen ist. Dabei hat der AP die Ergebnisse der Prüfung des RMS dem AR nach
§ 321 Abs. 4 HGB in einem besonderen
Teil seines Prüfungsberichts bereitzustellen. Insbesondere ist hierbei auf Mängel
im RMS sowie auf Korrekturmaßnahmen einzugehen. Zudem hat auch der AR
über § 107 Abs. 3 AktG die Pflicht, den
Rechnungslegungsprozess zu überwa-
18 CONTROLLING-SCHWERPUNKT
CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG
chen und sich mit der Wirksamkeit des
internen Kontrollsystem (IKS), des RMS
und des internen Revisionssystems sowie
der Abschlussprüfung zu befassen. Diese
Pflichten obliegen dem Prüfungsausschuss, soweit dieser eingerichtet wurde.
Ferner ist vom AP im Rahmen der Prüfung des IÜS auch das rechnungslegungsbezogene IKS auf Angemessenheit
zu prüfen (vgl. IDW EPS 261 n.F. Rz. 41).
Wesentliche entdeckte Schwächen des
rechnungslegungsbezogenen IKS sind
nach § 171 Abs. 1 Satz 2 AktG dem AR
oder dessen Prüfungsausschuss in der Bilanzsitzung zu berichten.
Die praktische Anwendung dieser Pflichten wird von den Gerichten regelmäßig
in einer vergleichsweise strengen Auslegung überwacht. So gibt es zahlreiche Urteile, bei denen ein fehlendes oder ungenügendes RMS zur Haftung der Geschäftsführer geführt haben (vgl. für
einen Überblick Drescher, 2009, Rz. 74).
Des Weiteren sind Kapitalgesellschaften
dazu verpflichtet, gem. § 289 Abs. 1 HGB
im Lagebericht und analog nach § 315
Abs. 1 HGB im Konzernlagebericht
(KLB) die wesentlichen Risiken der künftigen Geschäftsentwicklung zu erläutern
sowie die zugrunde liegenden Annahmen
anzugeben, wobei der Gesetzgeber keine
Vorgaben hierzu definiert. Für die Ausgestaltung der Risikoberichterstattung im
KLB ist aktuell ergänzend zu DRS 15 als
Grundsätze ordnungsmäßiger Risikoberichterstattung DRS 5 zwingend anzuwenden; eine Ausstrahlung auf den Einzelabschluss ist grundsätzlich anzunehmen. Nach DRS 5.28 hat das Unternehmen sein RMS in einem angemessen
Umfang zu beschreiben. Die Offenlegung
soll die Adressaten in die Lage versetzen,
die Risikosituation des Konzerns zutreffender einschätzen zu können. Hierbei ist
auf die Strategie, die Prozesse und Organisation des RMS einzugehen (DRS
5.29). Allerdings weist das DRSC in der
Zusammenfassung von DRS 5 darauf
hin, dass die Reglungen in DRS 5 bewusst
abstrakt formuliert sind, um hierdurch
die individuellen Rahmenbedingungen
der Anwender zu berücksichtigen. Der
pflichtmäßig ab dem Geschäftsjahr 2013
zu beachtende DRS 20 ersetzt zukünftig
DRS 5 und 15. Nach DRS 20.135 sind
weiterhin Angaben zum RMS zu machen.
Die externe Risikoberichterstattung ist
nach § 317 Abs. 2 HGB vom AP darauf
zu prüfen, ob die Risikosituation zutreffend dargestellt wird.
Im Zuge der Formulierung des § 91
Abs. 2 AktG hat der Gesetzgeber für die
Gestaltung des RMS bewusst auf eine
Konkretisierung der inhaltlichen Maßnahmen verzichtet und weist in der Begründung darauf hin, dass die Einrichtung des RMS unternehmensindividuell
von den internen und externen Rahmenbedingungen abhängig ist. Verbindlich
vorgeschrieben sind lediglich die Basiselemente, aus denen es zu bestehen hat
(vgl. BT-Drs. 13/9712, S. 15). Hierzu besteht weitestgehend die Auffassung, dass
sich das RMS aus einem Früherkennungssystem (FÜS), einem internen
Überwachungssystem (IÜS) einschließlich der Internen Revision und dem Controlling zusammensetzt (vgl. stellvertretend Lück, 1998, S. 8). Aufbauend auf
§ 91 Abs. 2 AktG wiederholt der DCGK
im Abs. 4.1.4. diese Forderungen unter
explizitem Einbezug des Risikocontrollings.
Für die Aufbauorganisation des RMS ist
es naheliegend, dass der Vorstand aufgrund der Nähe zum RMS die mit dem
IÜS verbundenen Aufgaben auf die Interne Revision und die mit dem FÜS verbundenen auf das Controlling delegiert.
Zwar hat der Vorstand trotzt Delegierung
die angemessene Funktionsfähigkeit des
RMS weiterhin zu verantworten, jedoch
kann er durch die Einbindung beider
Funktionsträger ihre Kompetenzen Nutzen stiftend für das RMS einbringen (vgl.
Kajüter, 2009, S. 115 f.). Die Ablauforganisation des RMS setzt sich aufeinander
aufbauend zusammen aus den Teilprozessen Identifikation, Bewertung, Kommunikation, Dokumentation, Aggregation, Steuerung und Überwachung von Risiken (vgl. Lachnit/Müller, 2012,
S. 225 ff.). Hierbei empfiehlt es sich, für
die wesentlichen Kernaufgaben in den
Teilprozessen ebenfalls auf die Unterstützung des Controllings zurückzugreifen,
denn sein originäres Aufgabenspektrum
weist bereits eine unmittelbare inhaltliche Nähe zum RM auf (vgl. Horva´th/
Gleich, 2000, S. 102; Kajüter, 2009,
S. 115 f.).
Im Rahmen der nachfolgenden empirischen Analyse wird die externen Risikoberichterstattung der DAX-Unternehmen
daraufhin untersucht, inwieweit die Berichtspraxis es den Adressaten ermöglicht, Rückschlüsse zur Umsetzung der
Pflichten von Vorstand, AR und AP hinsichtlich des unternehmerischen RM zu
ziehen.
........................................................
3. Empirische Analyse
........................................................
Untersuchungssample
Den Gegenstand der Untersuchung bildet
eine Inhaltsanalyse der Risikoberichterstattung aus den KLB der zum 1.3.2012
im DAX gelisteten Nicht-Finanzunternehmen. Kredit- und Finanzdienstleistungsinstitute sowie Versicherungen sind
somit von der Untersuchung ausgeschlossen, da diese Unternehmen speziellen Offenlegungsanforderungen aus DRS 5–10
und DRS 5–20 sowie speziellen Reglungen zum RM wie den MaRisk nachkommen müssen und dies ggf. eine Verzerrung der Untersuchungsergebnisse zur
Folge hat. Somit beträgt die Grundgesamtheit insgesamt 25 Unternehmen. Im
Zentrum der Untersuchung steht die Offenlegungsanforderung zum RMS aus
DRS 5.28-29. Auf Grundlage dieser Berichterstattung wird geprüft, welche Informationen hinsichtlich der Umsetzung
zum RMS der Öffentlichkeit im KLB bereitgestellt werden und ob daraus Rückschlüsse zur Umsetzung der Pflichten von
Vorstand, AR und AP hinsichtlich des unternehmerischen RM gewonnen werden
können. Ziel ist dabei festzustellen, ob
Diskrepanzen zwischen dem Ziel einer
transparenten Berichterstattung und der
praktischen Umsetzung bestehen. Zur
Untersuchungsmethode ist anzumerken,
dass solche Inhaltsanalysen stets mit subjektiven Elementen behaftet sind. Daher
wurde zur Auswertung eine weitere Person hinzugezogen, welche die Ergebnisse
stichprobenartig auf Objektivität prüfte
(vgl. zu einer ähnlichen Systematik Eisenschmidt, 2011, S. 206). Im Rahmen der
nachfolgend diskutierten Ergebnisse bilden die Schwerpunkte die Berichterstattung über die Ziele des Risikomanagements, die Aufbau- und Ablauforganisation des RMS, das interne Risikoberichtswesen sowie die Überwachung des RMS.
Ziele des Risikomanagements
Die Berichterstattung über die Sicherungsziele, welche mit dem RMS verfolgt
werden, ist für den Bilanzadressaten von
Bedeutung, da erst auf dessen Grundlage
Einblicke darüber gewonnen werden,
welche Prioritäten das Management mit
dem RMS verfolgt. Am häufigsten mit
72 % wird von den Unternehmen als
Zielsetzung die Wahrnehmung von
Chancen verfolgt. Demgegenüber verfolgen weniger als die Hälfte (48 %) das Ziel
Einbindung des Risikomanagements in die Corporate Governance 19
25. Jahrgang 2013, Heft 1
Ziele des Risikomanagementsystem
N = 25
Häufigkeit In %
Chancen wahrnehmen 18 72%
Steuerung/Beherrschung von Chancen und Risiken 16 64%
Beherrschung von Risiken bzw. deren frühzeitige Erkennung 14 56%
Sicherung/Steigerung UW/Shareholder Value 12 48%
Bestandsicherung/Verhinderung bestandsgefährdender Risiken 8 32%
Sicherung unternehmerischer Erfolg/Wachstumspotenziale 6 24%
Erreichung finanzieller und strategischer Unternehmensziele 5 20%
nachhaltig und profitabel wachsen 3 12%
Sonstige 3 12%
Gesamt 85
Aufbauorganisation des Risikomanagements
N = 25
Häufigkeit In %
Interne Revision 23 92%
Zentrales Risikomanagement/Risikoboard/Risikomanagementausschuss 22 88%
oberste Führungsebene/Leitungsebene der einzelnen Teilbereiche/
Gesellschaften 19 76%
Controlling 13 52%
dezentral Risikomanager/Risikobeauftragte/Risikomanagement der
Unternehmensbereiche 11 44%
Regionalverantwortliche 9 36%
operative Manager 6 24%
Compliance Abteilung 4 16%
Chief Compliance Officer 1 4%
Abb. 1: Ziele des Risikomanagementsystems (Mehrfachnennungen berücksichtigt)
Abb. 2: Risikoverantwortliche neben dem Vorstand
der Unternehmenswertsteigerung (vgl.
Abb. 1).
Korrespondierend zum Ziel der Chancenrealisierung berichten diese 72 %,
dass im RMS neben den Risiken auch
Chancen berücksichtigt werden bzw. es
wird von einem integrierten Risiko- und
Chancenmanagementsystem berichtet.
Somit kann diesen Unternehmen das Anstreben einer Chancen-Risiko-Relation
im Rahmen von unternehmerischen Entscheidungen attestiert werden (vgl. Lange/Müller, 2009, S. 285).
Im Zusammenhang mit den Zielen und
Strategien des RMS berichten 92 % der
Unternehmen, dass das RMS durch ein
allgemeines Richtlinienwesen geregelt
wird. Fünf Unternehmen (20 %) konkretisieren ihre Ausführung unter der Nennung von Verhaltensrichtlinien. Knapp
weniger als die Hälfte (44 %) heben hierbei den Einsatz von risikopolitischen
Grundsätzen hervor. Der Einsatz von
Richtlinien, insbesondere von risikopolitischen Grundsätzen, ist von zentraler
Bedeutung für das RMS, denn sie bilden
die greifbaren Elemente zur Schaffung
einer sachgerechten und nachhaltig gelebten Risikokultur auf allen Unternehmensebenen. Erst durch die Beteiligung
aller Mitarbeiter kann das RMS zweckmäßig funktionieren (vgl. Diederichs,
2012, S. 12 ff.; Reichmann, 2011, S. 570).
Schließlich heben fünf Unternehmen
(20 %) in ihren Ausführungen hervor,
dass dem RMS ein Rahmenkonzept zugrunde liegt. Hiervon orientieren sich
drei Unternehmen am COSO II Konzept
(Committee of Sponsoring Organizations of the Treadway Commission). Die
Angabe eines derartigen, allgemein anerkannten Rahmenkonzepts als Grundlage
für das RMS ist zu begrüßen, denn hierdurch wird den Adressaten das Verständnis für Begrifflichkeiten und Zusammenhänge erleichtert (vgl. Kajüter, 2011, Rz.
186).
Aufbauorganisation des
Risikomanagements
Alle betrachteten Unternehmen gehen im
Risikobericht entsprechend DRS 5.29 auf
die Aufbauorganisation des RMS ein.Wie
Abb. 2 verdeutlicht berichten 92 % der
Unternehmen darüber, dass dem RMS
ein internes Revisionswesen angebunden
ist, welches für die prozessunabhängige
Überwachung des RMS zuständig ist.
Hieraus kann konstatiert werden, dass
die klare Mehrheit der betrachteten
DAX-Unternehmen der Internen Revision eine ebenso herausragende Bedeutung als Bestandteil des IÜS beimessen
wie der Gesetzgeber und das Schrifttum
(vgl. BT-Drs. 13/9712, S. 15; BT-Drs. 16/
10067, S. 77; Lück, 2007, S. 697). Auf der
anderen Seite erstaunt es, dass nur knapp
mehr als die Hälfte der Unternehmen
(52 %) darüber berichten, dass das Controlling in das RMS eingebunden sei;
trotz der prominenten Stellung, welche
das Schrifttum dem Controlling im RMS
zuspricht (vgl. u. a. Hachmeister, 2004,
S. 271 f.; Horva´th/Gleich, 2000, S. 102;
Kajüter, 2009, S. 116; Reichmann, 2011,
S. 584). Ferner berichtet die klare Mehrheit (88 %) darüber, dass institutionell
das RM im Konzern zentral eingerichtet
sei, z. B. durch ein Risikoboard oder
einen Risikomanagementausschuss.
Schließlich unterbreiten weniger als die
Hälfte der Unternehmen (44 %) Angaben darüber, dass in den Unternehmenseinheiten/Gesellschaften vor Ort dezentrale Risikomanager oder -beauftragte
eingesetzt werden (vgl. Abb. 2).
Ablauforganisation des
Risikomanagements
Im Rahmen der Analyse zu der nach DRS
5.29 geforderten Darstellung der Ablauforganisation des RMS wurden die Ausführungen zu den Prozessschritten Identifikation, Bewertung, Kommunikation,
Dokumentation, Aggregation, Steuerung
und Überwachung von Risiken hinsichtlich ihrer Qualität untersucht. Die Auswertung erfolgte unter Anwendung eines
Scoring-Modells. Dieses Vorgehen wird
als zweckadäquat erachtet, da Scoring-
Modelle sich dazu eignen, die Informationen aus der Risikoberichterstattung,
welche überwiegend verbal formuliert
und qualitativer Natur sind, zu bewerten,
um hierdurch auch Rückschlüsse auf die
Qualität der Offenlegung zu ziehen
(ebenso z. B. Eisenschmidt, 2011, S. 205 f.).
20 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT
CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG
Berichtselement
N = 25
Häufigkeit Durchschnitt Standardabweichung
> Risikoidentifikation 24 2,1 0,65
In % von N 96%
> Risikobewertung 23 2,3 0,63
In % von N 92%
> Risikokommunikation 24 2,2 0,64
In % von N 96%
> Dokumentation 9 1,8 0,83
In % von N 36%
> Risikoaggregation 12 2 0,60
In % von N 48%
> Risikosteuerung 25 1,6 0,57
In % von N 100%
> Risikoüberwachung 23 2,1 0,51
In % von N 92%
Gesamtdurchschnitt: 2,0 0,64
Abb. 3: Auswertung der Berichterstattung zum Risikomanagementprozess
Die Bewertung der Ausführungen zu jedem der sieben Prozessschritte wurde wie
folgt vorgenommen: Null Punkte für keine Angabe, einen Punkt für eine einfache
Nennung, zwei Punkte für eine einfache
theoretische/allgemeine Darstellung und
drei Punkte für erläuternde Ausführungen mit Bezug zum Unternehmen. Die
maximal zu erreichende Punktzahl im
Falle einer Berichterstattung zu allen
sieben Prozessschritten beträgt somit
21 Punkte.
Alle Unternehmen veröffentlichen eine
Berichterstattung zum Risikomanagementprozess, jedoch werden mit Ausnahme der Risikosteuerung nicht über alle
Prozessschritte berichtet. Knapp weniger
als ein Viertel (24 %) berichten die Teilprozesse aus dem RM untergliedert, was
für den Adressaten das Lesen dieser Ausführungen erleichtert. Betrachtet auf die
einzelnen Prozessschritte des RMS erreicht im Durchschnitt weniger als ein
Viertel (21 %) die Maximalpunktzahl. So
erreichten z. B. bei der Risikobewertung
neun von 23 Unternehmen (39 %), die
diesen Prozessschritt beschreiben, die
Maximalpunktzahl. Insgesamt kann bereits aus diesem Ergebnis entnommen
werden, dass die Kriterien aus dem Scoring-Modell erreichbar sind. Im mittleren
Punktsegment bewegt sich im Durchschnitt knapp die Hälfte (49 %) der Unternehmen mit ihrer Berichterstattung.
Schließlich schneiden im Durchschnitt
weniger als ein Sechstel (15 %) mit ihrer
Berichterstattung zu den Prozessschritten
des RM mit der Mindestpunktzahl ab. Im
Gesamtdurchschnitt wurden für die Berichterstattung zu einem Prozessschritt 2
Punkte erreicht (vgl. Abb. 3).
Das Maximum an Punkten, welches von
einem Unternehmen im Rahmen einer
Gesamtbetrachtung aller sieben Prozessschritte erzielt wurde, beträgt 18 von 21
erreichbaren Punkten (86 %); dies bestätigt ebenfalls, dass die oben gesetzten Anforderungen erreichbar sind. Demgegen-
über wurden als niedrigste Punktzahl von
einem Unternehmen vier Punkte erreicht, was knapp weniger als ein Fünftel
(19 %) der Maximalpunktzahl entspricht. Der Median beträgt 12 Punkte
und wurde von zwei Unternehmen getroffen, so dass diese Unternehmen 57 %
der Maximalpunktzahl realisierten.
Insgesamt zeigen die bisher diskutierten
Ergebnisse zum Risikomanagementprozess, dass ein signifikanter Verbesserungsbedarf zu konstatieren ist. Dieser liegt entweder in der Ausgestaltung des RMS oder
– was tendenziell eher anzunehmen sein
dürfte – in der Ausgestaltung der Berichterstattung. Eine denkbare Erklärung für
diese Berichtspraxis könnte darin liegen,
dass die Unternehmen aus einer umfassenden Offenlegung über ihr RMS Wettbewerbsnachteile befürchten und daher nur
dem Mindestmaß der Offenlegungsanforderungen nachkommen oder ihre Ausführungen allgemein gehalten veröffentlichen.
Internes Risikoberichtswesen und Prüfung
des Risikomanagementsystems
Die Ausführungen zum RMS wurden
auch darauf untersucht, inwieweit die
Unternehmen auf ihr internes Risikoberichtswesen sowie auf die Prüfung des
RMS durch die Interne Revision, den AR
und AP eingehen. Dem internen Risikoberichtswesen kommt als Bestandteil des
RMS eine zentrale Bedeutung zu. Es bildet das zentrale Bindeglied zwischen den
einzelnen Prozessschritten im RM und
somit die grundlegende Voraussetzung
für ein sachgerechtes RMS (vgl. ausführlich hierzu Diederichs, 2012, S. 163 ff.;
Kajüter, 2012, S. 178 ff.). Im Einzelnen
wurden im Rahmen der Analyse Fragen
nach den Berichtszyklen, ob im Unternehmen eine Ad-hoc-Berichterstattung
implementiert ist und nach den Berichtsadressaten untersucht.
22 der 25 betrachteten Unternehmen
(88 %) veröffentlichen Ausführungen
über das interne Risikoberichtswesen.
Davon sind bei vier Unternehmen (18 %)
zwei Berichtszyklen im Berichtssystem
eingerichtet. Diese teilen sich bei zwei
Unternehmen in eine monatliche und
quartalsweise Berichterstattung, bei
einem in eine quartalsweise und halbjährliche Berichterstattung und schließlich in einem Unternehmen in eine monatliche und halbjährliche Berichterstattung auf. Bei diesen Unternehmen werden den Empfängern die standardisierten
Risikoberichte mit den kürzeren Berichtszyklen übermittelt, während aggregierte Risikoinformationen mit einem
höheren Berichtszyklus berichtet werden.
Aus einer Gesamtbetrachtung der 22 Unternehmen ist aus den Ausführungen
zum internen Risikoberichtswesen zu
entnehmen, dass bei 73 % die interne Risikoberichterstattung vierteljährlich erfolgt. Knapp weniger als ein Viertel
(23 %) berichten halbjährlich, wobei
zwei Unternehmen davon wie oben aufgeführt mit dem halbjährlichen Risikobericht die standardisierte Berichterstattung ergänzen. Eine jährliche Risikoberichterstattung erfolgt bei einem Unternehmen (vgl. Abb. 4).
Bei jenen Unternehmen, die in ihrem
standardisierten Risikoberichtswesen
einen jährlichen oder halbjährlichen Be-
Einbindung des Risikomanagements in die Corporate Governance 21
25. Jahrgang 2013, Heft 1
Berichtszyklen
N = 22
Häufigkeit In %
Vierteljährlich 16 73%
Monatlich 5 23%
Halbjährlich 4 18%
Jährlich 1 5%
Internes Risikoreporting - Adressaten
N = 22
Häufigkeit In %
Vorstand 21 95%
Aufsichtsrat 16 73%
Zentrales Risikomanagement/Risikoboard/Risikomanagementausschuss 14 64%
Ausschuss des Aufsichtsrats 11 50%
Management Konzerngesellschaften 7 32%
Konzerncontrolling 4 18%
Konzernrevision 1 5%
Führungskräfte operativer Gesellschaften 1 5%
Prüfung RMS
N = 23
Häufigkeit In %
Interne Revision 23 100%
Abschlussprüfer 16 70%
Prüfungsausschuss 8 35%
Aufsichtsrat 4 17%
Abb. 4: Berichtszyklen im internen Risikoberichtswesen
Abb. 5: Adressaten im internen Risikoberichtswesen
Abb. 6: Prüfung des Risikomanagementsystems
richtszyklus festgelegt haben, stellt sich
die Frage, ob diese Berichtsfrequenz ausreicht, um den Anforderungen einer dynamischen Unternehmensumwelt und
entsprechend einer sich schnell und häufig verändernden Risikosituation nachzukommen (vgl. Diederichs, 2012, S. 170).
So erfordern z. B. Währungsrisiken aufgrund ihrer hohen Veränderungsdynamik kürzere Berichtsintervalle als Wettbewerbsrisiken, welche vergleichsweise
eine eher niedrigere Veränderungsdynamik aufweisen (vgl. Kajüter, 2009,
S. 125). Schließlich geben 18 der betrachteten 25 Unternehmen (72 %) an, dass
im Berichtssystem eine Ad-hoc-Berichterstattung implementiert ist.
Analog zu den Berichtszyklen gehen 22
der befragten 25 Unternehmen (88 %)
auf die Adressaten im internen Risikoberichtswesen ein. Als Maximum nennt ein
Unternehmen sechs Adressaten, während
demgegenüber im Minimum zwei Unternehmen lediglich einen Adressaten nennen. Am häufigsten (95 %) wird der Vorstand als Adressat aufgeführt. Nur 16 Unternehmen (73 %) geben den AR als Adressat an. Die Koordination des internen
Risikoberichtswesens erfolgt bei mehr als
der Hälfte (64 %) über das zentrale RM.
Auch hier erstaunt es, dass knapp weniger als ein Fünftel (18 %) auf die Einbindung des Controllings in das interne Risikoberichtswesen eingehen, obwohl dem
Controlling eine federführende Schlüsselposition im internen Risikoberichtswesen zugesprochen wird (vgl. u. a. Kajüter, 2009, S. 116; Hachmeister, 2004,
S. 271 f.; Reichmann, 2011, S. 584). Einen
zusammenfassenden Überblick über die
Häufigkeit der genannten Adressaten im
internen Risikoberichtswesen gibt Abb. 5.
23 der 25 Unternehmen (92 %) gehen in
ihrer Risikoberichterstattung auf die Prüfung des RMS ein. Bei allen erfolgt – wie
bereits oben angesprochen – eine interne
prozessunabhängige Prüfung durch die
Interne Revision. Angaben zur gesetzlichen Prüfung des RMS durch den AP
(§ 317 Abs. 4 HGB) finden sich bei 70 %
der Unternehmen. Hinweise auf die
Überwachung des RMS durch den AR
finden sich lediglich bei weniger als einem
Fünftel (17 %) der Unternehmen, wohingegen aus 35 % der Offenlegungen eine
Prüfung des RMS durch die Ausschüsse
des AR zu entnehmen ist (vgl. Abb. 6).
Vor dem gesetzlichen Hintergrund, dass
der AR nach § 111 Abs. 1 AktG den Vorstand zu überwachen hat, erstaunt es, dass
im nicht unbeachtlichen Maße keine Ausführungen über die Prüfung des RMS
durch denAR sowie dessen Einbindung im
internen Risikoberichtswesen vorzufinden
sind.Vor allem bestehtmit Blick auf das interne Risikoberichtswesen weitestgehend
die Auffassung, dass sich aus der allgemeinen Berichtspflicht nach § 90 AktG eine
Risikoberichterstattungspflicht des Vorstands gegenüber den AR herleitet (vgl.
mit weiteren Nachweisen Kajüter, 2012,
S. 185). So wiederholt der DCGK in
Abs. 3.4. die Forderung aus § 90 AktG unter expliziter Betonung der Risikolage, des
Risikomanagements und der Compliance.
In diesem Kontext ist auch der fehlende
Anteil an Angaben über die Einrichtung
einer Ad-hoc-Berichterstattung hervorzuheben, weil sich aus § 90 Abs. 1.AktG auch
eine Ad-hoc-Berichtspflicht des Vorstands
gegenüber den AR herleitet. Schließlich
verwundert es, dass bei rund einem Drittel
der Risikoberichte keine Angaben zur Prüfung des RMS durch den AP vorzufinden
sind. Insgesamt ist auch zur Offenlegung
über das interne Risikoberichtswesen und
die Überwachung des RMS ein deutlicher
Verbesserungsbedarf zu konstatieren,
denn dem Bilanzleser fehlen an dieser Stelle mit Blick auf die Ausgestaltung der Corporate Governance i. d. R. nähereAngaben
zur Kommunikation zwischen dem Vorstand und AR sowie zur Überwachung des
Vorstands durch den AR und AP (vgl. Lange/Müller, 2009, S. 288).
........................................................
4. Fazit
........................................................
Die empirische Analyse zeigt, dass die
klare Mehrheit der betrachteten Unternehmen mit dem Risikomanagementsystem über das Ziel der Bestandssicherung
hinaus insbesondere als Zielsetzung die
Wahrnehmung von Chancen verfolgt.
Dies attestiert ebenso der hohe Anteil der
Offenlegungen darüber, dass im Risikomanagementsystem neben Risiken auch
Chancen ihre Berücksichtigung finden.
Zur praktischen Umsetzung der auf
§ 315 Abs. 1 HGB aufbauenden Offenlegungsanforderung nach DRS 5.28–29 ist
ein geteiltes Bild festzustellen. Zunächst
ist zu begrüßen, dass die absolute Mehrheit der Unternehmen über die Einbindung der Internen Revision im Risikomanagementsystem berichtet. Dagegen
verwundert es, dass nicht im gleichen
Maße von den Unternehmen über die
Stellung des Controllings im Risikomanagementsystem berichtet wird. Des Weiteren beschreiben die Unternehmen die
Teilprozesse im Rahmen des Risikomanagementprozesses oftmals nicht präzise.
22 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT
CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG
Dies verdeutlicht vor allem der nicht unbeachtliche Anteil an Unternehmen, welche die Mindestpunktzahl erreichen und
jener, die sich mit ihren Ausführungen
im mittleren Punktsegment bewegen.
Auch die Ergebnisse zum internen Risikoberichtswesen und zur Überwachung
des Risikomanagementsystems offenbaren Verbesserungsbedarf. Dies äußert
sich vor allem darin, dass ein signifikanter Anteil an Offenlegungen Ausführungen über die Einbindung des Aufsichtsrats im internen Risikoberichtswesen sowie über die Implementierung einer Adhoc-Berichterstattung im Berichtssystem
vermissen lässt. Ebenso verwundert es in
diesem Kontext, dass nur ein geringer
Anteil der Unternehmen auf die Einbindung des Controllings im internen Risikoberichtswesen eingeht. Ferner ist zu
kritisieren, dass bezüglich der Überwachung des Risikomanagementsystems
durch den Aufsichtsrat sowie bezüglich
der Prüfung durch den Abschlussprüfer
ein sehr geringer Anteil an konkreten
Aussagen vorzufindenden ist.
Ob die hier betrachtete Berichtspraxis ein
Problem bei der Ausgestaltung der Risikomanagementsysteme darstellt, kann aus
externer Sicht nicht geklärt werden. Eher
dürfte anzunehmen sein, dass das Problem in der Ausgestaltung der externen
Risikoberichterstattung liegt. Eine denkbare Erklärung könnte sich vor allem daraus begründen, dass die Unternehmen
aus einer umfassenden Offenlegung über
ihr Risikomanagementsystem Nachteile
bei den externen Stakeholdern, insbesondere Wettbewerbsnachteile, befürchten
und daher einer Offenlegung mit einfachen Angaben oder allgemein gehaltenen
Ausführungen nachkommen. Ursächlich
für diese Berichtsqualitäten sind auch der
Verzicht des Gesetzgebers auf konkrete
Vorgaben zur Offenlegung nach § 315
Abs. 1 HGB sowie einer klärenden Gesetzesdefinition und vor allem die abstrakt
formulierten Mindestanforderungen aus
DRS 5 aufzuführen. Denn infolgedessen
räumt der normative Rahmen der externen Risikoberichterstattung den Unternehmen die Möglichkeit ein, nach eigenem Ermessen darüber zu entscheiden,
welche Informationen zur Beschreibung
des Risikomanagementsystems veröffentlicht werden. Für eine externe Einschätzung des Risikomanagementsystems und
zum Gewinnen von Einblicken hinsichtlich der Umsetzung der Pflichten von Vorstand, Aufsichtsrat und Abschlussprüfer
im Rahmen des unternehmerischen Risikomanagements ist zu konstatieren, dass
diese Berichtspraxis nicht ausreichend ist.
Insgesamt ist aus den Ergebnissen zu resümieren, dass dem Lageberichtsleser in
Bezug auf die Berichterstattung zum Risikomanagementsystem oftmals nähere
Informationen zur Ausgestaltung und
Umsetzung der Corporate Governance
fehlen, so dass in diesem Sinne noch ein
klarer Verbesserungsbedarf besteht. Denn
mit einer detaillierten Berichterstattung
zum Risikomanagementsystem kann das
Unternehmen den Lageberichtsadressaten die Qualität seines Führungssystems
und die Ausgestaltung seiner Corporate
Governance signalisieren. Es besteht somit für Unternehmen der Anreiz zu einer
wahrheitsgemäßen und ausführlichen
Berichterstattung über das Risikomanagementsystem, was folglich auch zu
einer Verbesserung der Lageberichtsqualität führt, denn als zweite Säule der
Rechnungslegung stellt der Lagebericht
neben der Bilanz auch eine Visitenkarte
des Unternehmens dar.
Keywords
Corporate governance
External reporting
Internal/administrative audit
Management report
Risk management
Summary
Based on the presentation of the legal
framework concerning risk management, research is done by way of empirical analysis of management reports
included in consolidated financial
statements regarding the questions to
what extent recipients can gain insights about the risk management system based on published information
and whether discrepancies between
the need for transparent reporting and
its practical execution occur.
Literatur
BT-Drs. 13/9712 vom 28.01.1998, Gesetzentwurf der Bundesregierung Entwurf eines
Gesetzes zur Kontrolle und Transparenz im
Unternehmensbereich (KonTraG).
BT-Drs. 16/10067 vom 30.07.2008, Gesetzentwurf der Bundesregierung Entwurf eines
Gesetzes zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz –
BilMoG).
Diederichs, M., Risikomanagement und Risikocontrolling, 3. Aufl., München 2012.
Drescher, I., Die Haftung des GmbH-Geschäftsführers, 6. Aufl., Köln 2009.
Eisenschmidt, K., Die Risikoberichterstattung
deutscher Konzerne – eine empirische Analyse der Unternehmen des HDAX und SDAX,
in: Zeitschrift für internationale und kapitalmarktorientierte Rechnungslegung , 11. Jg.
(2011), H. 4, S. 203–213.
Hachmeister, D., Controlling als Objekt der
handelsrechtlichen Abschlussprüfung, in:
Freidank, C.-C. (Hrsg.), Corporate Governance und Controlling, Heidelberg 2004,
S. 267–286.
Horva´th, P./Gleich, R., Controlling als Teil
des Risikomanagements, in: Dörner, D./Horva´th, P./Kagermann, H. (Hrsg.), Praxis des
Risikomanagements. Grundlagen, Kategorien, branchenspezifische und strukturelle
Aspekte, Stuttgart 2000, S. 99–126.
IDW EPS 261 n.F., Entwurf einer Neufassung
des IDW Prüfungsstandards: Feststellung
und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW EPS 261 n.F.)
(Stand 10.06.2011).
Kajüter, P., §§ 289, 289a HGB, in: Küting, K./
Pfitzer, N./Weber, C.-P. (Hrsg.), Handbuch
der Rechnungslegung – Einzelabschluss,
5. Aufl., Bd. 3, Stuttgart 2002 ff., Ergänzungslieferung April 2011.
Kajüter, P., Risikomanagement als Controllingaufgabe im Rahmen der Corporate Governance, in: Wagenhofer, A. (Hrsg.), Controlling und Corporate Governance-Anforderungen, Berlin 2009, S. 109–130.
Kajüter, P., Risikomanagement im Konzern.
Eine empirische Analyse börsennotierter
Aktienkonzerne, München 2012.
Lachnit, L./Müller, S., Unternehmenscontrolling. Managementunterstützung bei Erfolgs-,
Finanz-, Risiko- und Erfolgspotenzialsteuerung, 2. Aufl., Wiesbaden 2012.
Lange, T./Müller, S., Die Lageberichterstattung als Teil der Corporate Governance
deutscher Unternehmen. Empirische Analyse
der Risikoberichterstattung nach IFRS – Teil
II: Risikoberichterstattung und empirische
Analyse, in: Zeitschrift für Corporate Governance, 4. Jg. (2009), H. 6, S. 281–288.
Lück, W., Elemente eines Risikomanagement-
Systems, in: Der Betrieb, 51. Jg. (1998), H. 1/
2, S. 8–14.
Lück, W., Interne Revision, in: Freidank,
C.-C./Lachnit, L./Tesch, J. (Hrsg.), Vahlens
Großes Auditing Lexikon, München 2007,
S. 697–698.
Reichmann, T., Controlling mit Kennzahlen
und Management-Tools. Die systemgestützte
Controlling-Konzeption, 8. Aufl., München
2011.
Einbindung des Risikomanagements in die Corporate Governance 23
25. Jahrgang 2013, Heft 1
Zusammenfassung
Auf Basis der Darstellung des rechtlichen Rahmens des Risikomanagements wird im Rahmen einer empirischen Analyse die Risikoberichterstattung im Konzernlagebericht daraufhin untersucht, inwieweit die Adressaten auf Grundlage der veröffentlichten Informationen Einblicke über das Risikomanagementsystem gewinnen können und ob Diskrepanzen zwischen dem Ziel einer transparenten Berichterstattung und den praktischen Umsetzungen bestehen.
References
Abstract
Month by month, Controlling - Zeitschrift für erfolgsorientierte Unternehmenssteuerung publishes peer-reviewed, applied research contributions for business management, accounting and reporting. Key elements of succesful corporate controlling are presented in an analytic, well-structured manner.
Language: German.
For more information for authors and subscribers, see www.zeitschrift-controlling.de.
Zusammenfassung
Die Controlling - Zeitschrift für erfolgsorientierte Unternehmenssteuerung liefert Monat für Monat fundierte und anwendungsorientierte Fachbeiträge für das Management sowie das Finanz- und Rechnungswesen in Unternehmen. Klar gegliedert und strukturiert werden für alle Controlling-Bereiche die Faktoren für eine erfolgreiche Unternehmenssteuerung aufgezeigt.
Weitere Informationen für Autoren und Abonnenten finden Sie unter www.zeitschrift-controlling.de.