Einbindung des Risikomanagements in die Corporate Governance Transparenz der Berichterstattung zum Risikomanagementsystem Ismail Ergün und Stefan Müller Dipl.-Betriebsw., Ismail Ergün, M.A. ist Wissenschaftlicher Mitarbeiter der Professur für Allgemeine Betriebswirtschaftslehre an der Helmut-Schmidt-Universität/Universität der Bundeswehr Hamburg. E-Mail: erguen@hsu-hh.de Prof. Dr. Stefan Müller ist Inhaber der Professur für Allgemeine Betriebswirtschaftslehre an der Helmut- Schmidt-Universität/ Universität der Bundeswehr Hamburg. E-Mail: smueller@hsu-hh.de Stichwörter  Corporate Governance  Interne Revision  Lagebericht  Reporting (externes)  Risikomanagement Auf Basis der Darstellung des rechtlichen Rahmens des Risikomanagements wird mittels einer empirischen Analyse die Risikoberichterstattung im Konzernlagebericht daraufhin untersucht, inwieweit die Adressaten auf Grundlage der veröffentlichten Informationen Einblicke über das Risikomanagementsystem gewinnen können und ob Diskrepanzen zwischen dem Ziel einer transparenten Berichterstattung und den praktischen Umsetzungen bestehen. ........................................................ 1. Problemstellung ........................................................ Seit der konkreten Forderung zur Einrichtung eines Überwachungssystems an die Vorstände von Aktiengesellschaften durch das KonTraG haben sich die expliziten und impliziten gesetzlichen Erfordernisse im Zusammenhang mit dem Risikomanagementsystem stetig weiter verschärft. So ist es nicht mehr nur die Sache des Vorstands, dieses System im Rahmen seiner Sorgfaltspflicht nach § 93 AktG ständig zu verbessern und bei seiner Entscheidungsfindung einzubeziehen, sondern die weiteren Akteure der Unternehmensüberwachung – von Aufsichtsrat über Abschlussprüfer bis hin zur Internen Revision und zum Controlling – haben sich mit dem Risikomanagementsystem auseinanderzusetzen, was wiederum Rückwirkungen auf den Vorstand hat. Im vorliegenden Beitrag wird zunächst der gesellschaftsrechtliche Rahmen des Risikomanagements dargestellt und aufgezeigt, welche Pflichten Geschäftsführung sowie Aufsichtsrat und Abschlussprüfer aktuell wahrzunehmen haben und welche Informationen der Öffentlichkeit im Lagebericht bereitzustellen sind. Danach werden die Risikoberichte aus den Konzernlageberichten der DAX- Unternehmen mittels einer Inhaltsanalyse daraufhin untersucht, inwieweit die Adressaten auf Grundlage der veröffentlichten Informationen Einblicke über das unternehmensinterne Risikomanagementsystem gewinnen können und ob Diskrepanzen zwischen dem Ziel einer transparenten Berichterstattung und den praktischen Umsetzungen bestehen. ........................................................ 2. Rechtlicher Rahmen des Risikomanagements ........................................................ Die konkretisierende gesetzliche Reglung zum Risikomanagement (RM) bildet § 91 Abs. 2 AktG. Danach hat der Vorstand „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Nach der Gesetzesbegründung hat § 91 Abs. 2 AktG einen klarstellenden Charakter, denn der Gesetzgeber hebt hiermit eine bereits bestehende Leitungsaufgabe aus § 76 Abs. 1 AktG und die Sorgfaltspflicht aus § 93 Abs. 1 AktG besonders hervor (vgl. BT-Drs. 13/9712, S. 15). Des Weiteren hat § 91 Abs. 2 AktG eine Ausstrahlungswirkung auf die gesetzlichen und berufsständischen Normen des Abschlussprüfers (AP) und Aufsichtsrats (AR), welche die Pflicht des Vorstands zur Einrichtung des Risikomanagementsystems (RMS) konkretisieren (vgl. Kajüter, 2009, S. 113 f.). Aufbauend auf § 91 Abs. 2 AktG verlangen § 317 Abs. 4 HGB und § 111 Abs. 1 AktG, dass das RMS bei börsennotierten AG vom AP und AR auf eine angemessene Funktionsfähigkeit zu prüfen ist. Dabei hat der AP die Ergebnisse der Prüfung des RMS dem AR nach § 321 Abs. 4 HGB in einem besonderen Teil seines Prüfungsberichts bereitzustellen. Insbesondere ist hierbei auf Mängel im RMS sowie auf Korrekturmaßnahmen einzugehen. Zudem hat auch der AR über § 107 Abs. 3 AktG die Pflicht, den Rechnungslegungsprozess zu überwa- 18 CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG chen und sich mit der Wirksamkeit des internen Kontrollsystem (IKS), des RMS und des internen Revisionssystems sowie der Abschlussprüfung zu befassen. Diese Pflichten obliegen dem Prüfungsausschuss, soweit dieser eingerichtet wurde. Ferner ist vom AP im Rahmen der Prüfung des IÜS auch das rechnungslegungsbezogene IKS auf Angemessenheit zu prüfen (vgl. IDW EPS 261 n.F. Rz. 41). Wesentliche entdeckte Schwächen des rechnungslegungsbezogenen IKS sind nach § 171 Abs. 1 Satz 2 AktG dem AR oder dessen Prüfungsausschuss in der Bilanzsitzung zu berichten. Die praktische Anwendung dieser Pflichten wird von den Gerichten regelmäßig in einer vergleichsweise strengen Auslegung überwacht. So gibt es zahlreiche Urteile, bei denen ein fehlendes oder ungenügendes RMS zur Haftung der Geschäftsführer geführt haben (vgl. für einen Überblick Drescher, 2009, Rz. 74). Des Weiteren sind Kapitalgesellschaften dazu verpflichtet, gem. § 289 Abs. 1 HGB im Lagebericht und analog nach § 315 Abs. 1 HGB im Konzernlagebericht (KLB) die wesentlichen Risiken der künftigen Geschäftsentwicklung zu erläutern sowie die zugrunde liegenden Annahmen anzugeben, wobei der Gesetzgeber keine Vorgaben hierzu definiert. Für die Ausgestaltung der Risikoberichterstattung im KLB ist aktuell ergänzend zu DRS 15 als Grundsätze ordnungsmäßiger Risikoberichterstattung DRS 5 zwingend anzuwenden; eine Ausstrahlung auf den Einzelabschluss ist grundsätzlich anzunehmen. Nach DRS 5.28 hat das Unternehmen sein RMS in einem angemessen Umfang zu beschreiben. Die Offenlegung soll die Adressaten in die Lage versetzen, die Risikosituation des Konzerns zutreffender einschätzen zu können. Hierbei ist auf die Strategie, die Prozesse und Organisation des RMS einzugehen (DRS 5.29). Allerdings weist das DRSC in der Zusammenfassung von DRS 5 darauf hin, dass die Reglungen in DRS 5 bewusst abstrakt formuliert sind, um hierdurch die individuellen Rahmenbedingungen der Anwender zu berücksichtigen. Der pflichtmäßig ab dem Geschäftsjahr 2013 zu beachtende DRS 20 ersetzt zukünftig DRS 5 und 15. Nach DRS 20.135 sind weiterhin Angaben zum RMS zu machen. Die externe Risikoberichterstattung ist nach § 317 Abs. 2 HGB vom AP darauf zu prüfen, ob die Risikosituation zutreffend dargestellt wird. Im Zuge der Formulierung des § 91 Abs. 2 AktG hat der Gesetzgeber für die Gestaltung des RMS bewusst auf eine Konkretisierung der inhaltlichen Maßnahmen verzichtet und weist in der Begründung darauf hin, dass die Einrichtung des RMS unternehmensindividuell von den internen und externen Rahmenbedingungen abhängig ist. Verbindlich vorgeschrieben sind lediglich die Basiselemente, aus denen es zu bestehen hat (vgl. BT-Drs. 13/9712, S. 15). Hierzu besteht weitestgehend die Auffassung, dass sich das RMS aus einem Früherkennungssystem (FÜS), einem internen Überwachungssystem (IÜS) einschließlich der Internen Revision und dem Controlling zusammensetzt (vgl. stellvertretend Lück, 1998, S. 8). Aufbauend auf § 91 Abs. 2 AktG wiederholt der DCGK im Abs. 4.1.4. diese Forderungen unter explizitem Einbezug des Risikocontrollings. Für die Aufbauorganisation des RMS ist es naheliegend, dass der Vorstand aufgrund der Nähe zum RMS die mit dem IÜS verbundenen Aufgaben auf die Interne Revision und die mit dem FÜS verbundenen auf das Controlling delegiert. Zwar hat der Vorstand trotzt Delegierung die angemessene Funktionsfähigkeit des RMS weiterhin zu verantworten, jedoch kann er durch die Einbindung beider Funktionsträger ihre Kompetenzen Nutzen stiftend für das RMS einbringen (vgl. Kajüter, 2009, S. 115 f.). Die Ablauforganisation des RMS setzt sich aufeinander aufbauend zusammen aus den Teilprozessen Identifikation, Bewertung, Kommunikation, Dokumentation, Aggregation, Steuerung und Überwachung von Risiken (vgl. Lachnit/Müller, 2012, S. 225 ff.). Hierbei empfiehlt es sich, für die wesentlichen Kernaufgaben in den Teilprozessen ebenfalls auf die Unterstützung des Controllings zurückzugreifen, denn sein originäres Aufgabenspektrum weist bereits eine unmittelbare inhaltliche Nähe zum RM auf (vgl. Horva´th/ Gleich, 2000, S. 102; Kajüter, 2009, S. 115 f.). Im Rahmen der nachfolgenden empirischen Analyse wird die externen Risikoberichterstattung der DAX-Unternehmen daraufhin untersucht, inwieweit die Berichtspraxis es den Adressaten ermöglicht, Rückschlüsse zur Umsetzung der Pflichten von Vorstand, AR und AP hinsichtlich des unternehmerischen RM zu ziehen. ........................................................ 3. Empirische Analyse ........................................................ Untersuchungssample Den Gegenstand der Untersuchung bildet eine Inhaltsanalyse der Risikoberichterstattung aus den KLB der zum 1.3.2012 im DAX gelisteten Nicht-Finanzunternehmen. Kredit- und Finanzdienstleistungsinstitute sowie Versicherungen sind somit von der Untersuchung ausgeschlossen, da diese Unternehmen speziellen Offenlegungsanforderungen aus DRS 5–10 und DRS 5–20 sowie speziellen Reglungen zum RM wie den MaRisk nachkommen müssen und dies ggf. eine Verzerrung der Untersuchungsergebnisse zur Folge hat. Somit beträgt die Grundgesamtheit insgesamt 25 Unternehmen. Im Zentrum der Untersuchung steht die Offenlegungsanforderung zum RMS aus DRS 5.28-29. Auf Grundlage dieser Berichterstattung wird geprüft, welche Informationen hinsichtlich der Umsetzung zum RMS der Öffentlichkeit im KLB bereitgestellt werden und ob daraus Rückschlüsse zur Umsetzung der Pflichten von Vorstand, AR und AP hinsichtlich des unternehmerischen RM gewonnen werden können. Ziel ist dabei festzustellen, ob Diskrepanzen zwischen dem Ziel einer transparenten Berichterstattung und der praktischen Umsetzung bestehen. Zur Untersuchungsmethode ist anzumerken, dass solche Inhaltsanalysen stets mit subjektiven Elementen behaftet sind. Daher wurde zur Auswertung eine weitere Person hinzugezogen, welche die Ergebnisse stichprobenartig auf Objektivität prüfte (vgl. zu einer ähnlichen Systematik Eisenschmidt, 2011, S. 206). Im Rahmen der nachfolgend diskutierten Ergebnisse bilden die Schwerpunkte die Berichterstattung über die Ziele des Risikomanagements, die Aufbau- und Ablauforganisation des RMS, das interne Risikoberichtswesen sowie die Überwachung des RMS. Ziele des Risikomanagements Die Berichterstattung über die Sicherungsziele, welche mit dem RMS verfolgt werden, ist für den Bilanzadressaten von Bedeutung, da erst auf dessen Grundlage Einblicke darüber gewonnen werden, welche Prioritäten das Management mit dem RMS verfolgt. Am häufigsten mit 72 % wird von den Unternehmen als Zielsetzung die Wahrnehmung von Chancen verfolgt. Demgegenüber verfolgen weniger als die Hälfte (48 %) das Ziel Einbindung des Risikomanagements in die Corporate Governance 19 25. Jahrgang 2013, Heft 1 Ziele des Risikomanagementsystem N = 25 Häufigkeit In % Chancen wahrnehmen 18 72% Steuerung/Beherrschung von Chancen und Risiken 16 64% Beherrschung von Risiken bzw. deren frühzeitige Erkennung 14 56% Sicherung/Steigerung UW/Shareholder Value 12 48% Bestandsicherung/Verhinderung bestandsgefährdender Risiken 8 32% Sicherung unternehmerischer Erfolg/Wachstumspotenziale 6 24% Erreichung finanzieller und strategischer Unternehmensziele 5 20% nachhaltig und profitabel wachsen 3 12% Sonstige 3 12% Gesamt 85 Aufbauorganisation des Risikomanagements N = 25 Häufigkeit In % Interne Revision 23 92% Zentrales Risikomanagement/Risikoboard/Risikomanagementausschuss 22 88% oberste Führungsebene/Leitungsebene der einzelnen Teilbereiche/ Gesellschaften 19 76% Controlling 13 52% dezentral Risikomanager/Risikobeauftragte/Risikomanagement der Unternehmensbereiche 11 44% Regionalverantwortliche 9 36% operative Manager 6 24% Compliance Abteilung 4 16% Chief Compliance Officer 1 4% Abb. 1: Ziele des Risikomanagementsystems (Mehrfachnennungen berücksichtigt) Abb. 2: Risikoverantwortliche neben dem Vorstand der Unternehmenswertsteigerung (vgl. Abb. 1). Korrespondierend zum Ziel der Chancenrealisierung berichten diese 72 %, dass im RMS neben den Risiken auch Chancen berücksichtigt werden bzw. es wird von einem integrierten Risiko- und Chancenmanagementsystem berichtet. Somit kann diesen Unternehmen das Anstreben einer Chancen-Risiko-Relation im Rahmen von unternehmerischen Entscheidungen attestiert werden (vgl. Lange/Müller, 2009, S. 285). Im Zusammenhang mit den Zielen und Strategien des RMS berichten 92 % der Unternehmen, dass das RMS durch ein allgemeines Richtlinienwesen geregelt wird. Fünf Unternehmen (20 %) konkretisieren ihre Ausführung unter der Nennung von Verhaltensrichtlinien. Knapp weniger als die Hälfte (44 %) heben hierbei den Einsatz von risikopolitischen Grundsätzen hervor. Der Einsatz von Richtlinien, insbesondere von risikopolitischen Grundsätzen, ist von zentraler Bedeutung für das RMS, denn sie bilden die greifbaren Elemente zur Schaffung einer sachgerechten und nachhaltig gelebten Risikokultur auf allen Unternehmensebenen. Erst durch die Beteiligung aller Mitarbeiter kann das RMS zweckmäßig funktionieren (vgl. Diederichs, 2012, S. 12 ff.; Reichmann, 2011, S. 570). Schließlich heben fünf Unternehmen (20 %) in ihren Ausführungen hervor, dass dem RMS ein Rahmenkonzept zugrunde liegt. Hiervon orientieren sich drei Unternehmen am COSO II Konzept (Committee of Sponsoring Organizations of the Treadway Commission). Die Angabe eines derartigen, allgemein anerkannten Rahmenkonzepts als Grundlage für das RMS ist zu begrüßen, denn hierdurch wird den Adressaten das Verständnis für Begrifflichkeiten und Zusammenhänge erleichtert (vgl. Kajüter, 2011, Rz. 186). Aufbauorganisation des Risikomanagements Alle betrachteten Unternehmen gehen im Risikobericht entsprechend DRS 5.29 auf die Aufbauorganisation des RMS ein.Wie Abb. 2 verdeutlicht berichten 92 % der Unternehmen darüber, dass dem RMS ein internes Revisionswesen angebunden ist, welches für die prozessunabhängige Überwachung des RMS zuständig ist. Hieraus kann konstatiert werden, dass die klare Mehrheit der betrachteten DAX-Unternehmen der Internen Revision eine ebenso herausragende Bedeutung als Bestandteil des IÜS beimessen wie der Gesetzgeber und das Schrifttum (vgl. BT-Drs. 13/9712, S. 15; BT-Drs. 16/ 10067, S. 77; Lück, 2007, S. 697). Auf der anderen Seite erstaunt es, dass nur knapp mehr als die Hälfte der Unternehmen (52 %) darüber berichten, dass das Controlling in das RMS eingebunden sei; trotz der prominenten Stellung, welche das Schrifttum dem Controlling im RMS zuspricht (vgl. u. a. Hachmeister, 2004, S. 271 f.; Horva´th/Gleich, 2000, S. 102; Kajüter, 2009, S. 116; Reichmann, 2011, S. 584). Ferner berichtet die klare Mehrheit (88 %) darüber, dass institutionell das RM im Konzern zentral eingerichtet sei, z. B. durch ein Risikoboard oder einen Risikomanagementausschuss. Schließlich unterbreiten weniger als die Hälfte der Unternehmen (44 %) Angaben darüber, dass in den Unternehmenseinheiten/Gesellschaften vor Ort dezentrale Risikomanager oder -beauftragte eingesetzt werden (vgl. Abb. 2). Ablauforganisation des Risikomanagements Im Rahmen der Analyse zu der nach DRS 5.29 geforderten Darstellung der Ablauforganisation des RMS wurden die Ausführungen zu den Prozessschritten Identifikation, Bewertung, Kommunikation, Dokumentation, Aggregation, Steuerung und Überwachung von Risiken hinsichtlich ihrer Qualität untersucht. Die Auswertung erfolgte unter Anwendung eines Scoring-Modells. Dieses Vorgehen wird als zweckadäquat erachtet, da Scoring- Modelle sich dazu eignen, die Informationen aus der Risikoberichterstattung, welche überwiegend verbal formuliert und qualitativer Natur sind, zu bewerten, um hierdurch auch Rückschlüsse auf die Qualität der Offenlegung zu ziehen (ebenso z. B. Eisenschmidt, 2011, S. 205 f.). 20 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG Berichtselement N = 25 Häufigkeit Durchschnitt Standardabweichung > Risikoidentifikation 24 2,1 0,65 In % von N 96% > Risikobewertung 23 2,3 0,63 In % von N 92% > Risikokommunikation 24 2,2 0,64 In % von N 96% > Dokumentation 9 1,8 0,83 In % von N 36% > Risikoaggregation 12 2 0,60 In % von N 48% > Risikosteuerung 25 1,6 0,57 In % von N 100% > Risikoüberwachung 23 2,1 0,51 In % von N 92% Gesamtdurchschnitt: 2,0 0,64 Abb. 3: Auswertung der Berichterstattung zum Risikomanagementprozess Die Bewertung der Ausführungen zu jedem der sieben Prozessschritte wurde wie folgt vorgenommen: Null Punkte für keine Angabe, einen Punkt für eine einfache Nennung, zwei Punkte für eine einfache theoretische/allgemeine Darstellung und drei Punkte für erläuternde Ausführungen mit Bezug zum Unternehmen. Die maximal zu erreichende Punktzahl im Falle einer Berichterstattung zu allen sieben Prozessschritten beträgt somit 21 Punkte. Alle Unternehmen veröffentlichen eine Berichterstattung zum Risikomanagementprozess, jedoch werden mit Ausnahme der Risikosteuerung nicht über alle Prozessschritte berichtet. Knapp weniger als ein Viertel (24 %) berichten die Teilprozesse aus dem RM untergliedert, was für den Adressaten das Lesen dieser Ausführungen erleichtert. Betrachtet auf die einzelnen Prozessschritte des RMS erreicht im Durchschnitt weniger als ein Viertel (21 %) die Maximalpunktzahl. So erreichten z. B. bei der Risikobewertung neun von 23 Unternehmen (39 %), die diesen Prozessschritt beschreiben, die Maximalpunktzahl. Insgesamt kann bereits aus diesem Ergebnis entnommen werden, dass die Kriterien aus dem Scoring-Modell erreichbar sind. Im mittleren Punktsegment bewegt sich im Durchschnitt knapp die Hälfte (49 %) der Unternehmen mit ihrer Berichterstattung. Schließlich schneiden im Durchschnitt weniger als ein Sechstel (15 %) mit ihrer Berichterstattung zu den Prozessschritten des RM mit der Mindestpunktzahl ab. Im Gesamtdurchschnitt wurden für die Berichterstattung zu einem Prozessschritt 2 Punkte erreicht (vgl. Abb. 3). Das Maximum an Punkten, welches von einem Unternehmen im Rahmen einer Gesamtbetrachtung aller sieben Prozessschritte erzielt wurde, beträgt 18 von 21 erreichbaren Punkten (86 %); dies bestätigt ebenfalls, dass die oben gesetzten Anforderungen erreichbar sind. Demgegen- über wurden als niedrigste Punktzahl von einem Unternehmen vier Punkte erreicht, was knapp weniger als ein Fünftel (19 %) der Maximalpunktzahl entspricht. Der Median beträgt 12 Punkte und wurde von zwei Unternehmen getroffen, so dass diese Unternehmen 57 % der Maximalpunktzahl realisierten. Insgesamt zeigen die bisher diskutierten Ergebnisse zum Risikomanagementprozess, dass ein signifikanter Verbesserungsbedarf zu konstatieren ist. Dieser liegt entweder in der Ausgestaltung des RMS oder – was tendenziell eher anzunehmen sein dürfte – in der Ausgestaltung der Berichterstattung. Eine denkbare Erklärung für diese Berichtspraxis könnte darin liegen, dass die Unternehmen aus einer umfassenden Offenlegung über ihr RMS Wettbewerbsnachteile befürchten und daher nur dem Mindestmaß der Offenlegungsanforderungen nachkommen oder ihre Ausführungen allgemein gehalten veröffentlichen. Internes Risikoberichtswesen und Prüfung des Risikomanagementsystems Die Ausführungen zum RMS wurden auch darauf untersucht, inwieweit die Unternehmen auf ihr internes Risikoberichtswesen sowie auf die Prüfung des RMS durch die Interne Revision, den AR und AP eingehen. Dem internen Risikoberichtswesen kommt als Bestandteil des RMS eine zentrale Bedeutung zu. Es bildet das zentrale Bindeglied zwischen den einzelnen Prozessschritten im RM und somit die grundlegende Voraussetzung für ein sachgerechtes RMS (vgl. ausführlich hierzu Diederichs, 2012, S. 163 ff.; Kajüter, 2012, S. 178 ff.). Im Einzelnen wurden im Rahmen der Analyse Fragen nach den Berichtszyklen, ob im Unternehmen eine Ad-hoc-Berichterstattung implementiert ist und nach den Berichtsadressaten untersucht. 22 der 25 betrachteten Unternehmen (88 %) veröffentlichen Ausführungen über das interne Risikoberichtswesen. Davon sind bei vier Unternehmen (18 %) zwei Berichtszyklen im Berichtssystem eingerichtet. Diese teilen sich bei zwei Unternehmen in eine monatliche und quartalsweise Berichterstattung, bei einem in eine quartalsweise und halbjährliche Berichterstattung und schließlich in einem Unternehmen in eine monatliche und halbjährliche Berichterstattung auf. Bei diesen Unternehmen werden den Empfängern die standardisierten Risikoberichte mit den kürzeren Berichtszyklen übermittelt, während aggregierte Risikoinformationen mit einem höheren Berichtszyklus berichtet werden. Aus einer Gesamtbetrachtung der 22 Unternehmen ist aus den Ausführungen zum internen Risikoberichtswesen zu entnehmen, dass bei 73 % die interne Risikoberichterstattung vierteljährlich erfolgt. Knapp weniger als ein Viertel (23 %) berichten halbjährlich, wobei zwei Unternehmen davon wie oben aufgeführt mit dem halbjährlichen Risikobericht die standardisierte Berichterstattung ergänzen. Eine jährliche Risikoberichterstattung erfolgt bei einem Unternehmen (vgl. Abb. 4). Bei jenen Unternehmen, die in ihrem standardisierten Risikoberichtswesen einen jährlichen oder halbjährlichen Be- Einbindung des Risikomanagements in die Corporate Governance 21 25. Jahrgang 2013, Heft 1 Berichtszyklen N = 22 Häufigkeit In % Vierteljährlich 16 73% Monatlich 5 23% Halbjährlich 4 18% Jährlich 1 5% Internes Risikoreporting - Adressaten N = 22 Häufigkeit In % Vorstand 21 95% Aufsichtsrat 16 73% Zentrales Risikomanagement/Risikoboard/Risikomanagementausschuss 14 64% Ausschuss des Aufsichtsrats 11 50% Management Konzerngesellschaften 7 32% Konzerncontrolling 4 18% Konzernrevision 1 5% Führungskräfte operativer Gesellschaften 1 5% Prüfung RMS N = 23 Häufigkeit In % Interne Revision 23 100% Abschlussprüfer 16 70% Prüfungsausschuss 8 35% Aufsichtsrat 4 17% Abb. 4: Berichtszyklen im internen Risikoberichtswesen Abb. 5: Adressaten im internen Risikoberichtswesen Abb. 6: Prüfung des Risikomanagementsystems richtszyklus festgelegt haben, stellt sich die Frage, ob diese Berichtsfrequenz ausreicht, um den Anforderungen einer dynamischen Unternehmensumwelt und entsprechend einer sich schnell und häufig verändernden Risikosituation nachzukommen (vgl. Diederichs, 2012, S. 170). So erfordern z. B. Währungsrisiken aufgrund ihrer hohen Veränderungsdynamik kürzere Berichtsintervalle als Wettbewerbsrisiken, welche vergleichsweise eine eher niedrigere Veränderungsdynamik aufweisen (vgl. Kajüter, 2009, S. 125). Schließlich geben 18 der betrachteten 25 Unternehmen (72 %) an, dass im Berichtssystem eine Ad-hoc-Berichterstattung implementiert ist. Analog zu den Berichtszyklen gehen 22 der befragten 25 Unternehmen (88 %) auf die Adressaten im internen Risikoberichtswesen ein. Als Maximum nennt ein Unternehmen sechs Adressaten, während demgegenüber im Minimum zwei Unternehmen lediglich einen Adressaten nennen. Am häufigsten (95 %) wird der Vorstand als Adressat aufgeführt. Nur 16 Unternehmen (73 %) geben den AR als Adressat an. Die Koordination des internen Risikoberichtswesens erfolgt bei mehr als der Hälfte (64 %) über das zentrale RM. Auch hier erstaunt es, dass knapp weniger als ein Fünftel (18 %) auf die Einbindung des Controllings in das interne Risikoberichtswesen eingehen, obwohl dem Controlling eine federführende Schlüsselposition im internen Risikoberichtswesen zugesprochen wird (vgl. u. a. Kajüter, 2009, S. 116; Hachmeister, 2004, S. 271 f.; Reichmann, 2011, S. 584). Einen zusammenfassenden Überblick über die Häufigkeit der genannten Adressaten im internen Risikoberichtswesen gibt Abb. 5. 23 der 25 Unternehmen (92 %) gehen in ihrer Risikoberichterstattung auf die Prüfung des RMS ein. Bei allen erfolgt – wie bereits oben angesprochen – eine interne prozessunabhängige Prüfung durch die Interne Revision. Angaben zur gesetzlichen Prüfung des RMS durch den AP (§ 317 Abs. 4 HGB) finden sich bei 70 % der Unternehmen. Hinweise auf die Überwachung des RMS durch den AR finden sich lediglich bei weniger als einem Fünftel (17 %) der Unternehmen, wohingegen aus 35 % der Offenlegungen eine Prüfung des RMS durch die Ausschüsse des AR zu entnehmen ist (vgl. Abb. 6). Vor dem gesetzlichen Hintergrund, dass der AR nach § 111 Abs. 1 AktG den Vorstand zu überwachen hat, erstaunt es, dass im nicht unbeachtlichen Maße keine Ausführungen über die Prüfung des RMS durch denAR sowie dessen Einbindung im internen Risikoberichtswesen vorzufinden sind.Vor allem bestehtmit Blick auf das interne Risikoberichtswesen weitestgehend die Auffassung, dass sich aus der allgemeinen Berichtspflicht nach § 90 AktG eine Risikoberichterstattungspflicht des Vorstands gegenüber den AR herleitet (vgl. mit weiteren Nachweisen Kajüter, 2012, S. 185). So wiederholt der DCGK in Abs. 3.4. die Forderung aus § 90 AktG unter expliziter Betonung der Risikolage, des Risikomanagements und der Compliance. In diesem Kontext ist auch der fehlende Anteil an Angaben über die Einrichtung einer Ad-hoc-Berichterstattung hervorzuheben, weil sich aus § 90 Abs. 1.AktG auch eine Ad-hoc-Berichtspflicht des Vorstands gegenüber den AR herleitet. Schließlich verwundert es, dass bei rund einem Drittel der Risikoberichte keine Angaben zur Prüfung des RMS durch den AP vorzufinden sind. Insgesamt ist auch zur Offenlegung über das interne Risikoberichtswesen und die Überwachung des RMS ein deutlicher Verbesserungsbedarf zu konstatieren, denn dem Bilanzleser fehlen an dieser Stelle mit Blick auf die Ausgestaltung der Corporate Governance i. d. R. nähereAngaben zur Kommunikation zwischen dem Vorstand und AR sowie zur Überwachung des Vorstands durch den AR und AP (vgl. Lange/Müller, 2009, S. 288). ........................................................ 4. Fazit ........................................................ Die empirische Analyse zeigt, dass die klare Mehrheit der betrachteten Unternehmen mit dem Risikomanagementsystem über das Ziel der Bestandssicherung hinaus insbesondere als Zielsetzung die Wahrnehmung von Chancen verfolgt. Dies attestiert ebenso der hohe Anteil der Offenlegungen darüber, dass im Risikomanagementsystem neben Risiken auch Chancen ihre Berücksichtigung finden. Zur praktischen Umsetzung der auf § 315 Abs. 1 HGB aufbauenden Offenlegungsanforderung nach DRS 5.28–29 ist ein geteiltes Bild festzustellen. Zunächst ist zu begrüßen, dass die absolute Mehrheit der Unternehmen über die Einbindung der Internen Revision im Risikomanagementsystem berichtet. Dagegen verwundert es, dass nicht im gleichen Maße von den Unternehmen über die Stellung des Controllings im Risikomanagementsystem berichtet wird. Des Weiteren beschreiben die Unternehmen die Teilprozesse im Rahmen des Risikomanagementprozesses oftmals nicht präzise. 22 RISIKOMANAGEMENT CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG Dies verdeutlicht vor allem der nicht unbeachtliche Anteil an Unternehmen, welche die Mindestpunktzahl erreichen und jener, die sich mit ihren Ausführungen im mittleren Punktsegment bewegen. Auch die Ergebnisse zum internen Risikoberichtswesen und zur Überwachung des Risikomanagementsystems offenbaren Verbesserungsbedarf. Dies äußert sich vor allem darin, dass ein signifikanter Anteil an Offenlegungen Ausführungen über die Einbindung des Aufsichtsrats im internen Risikoberichtswesen sowie über die Implementierung einer Adhoc-Berichterstattung im Berichtssystem vermissen lässt. Ebenso verwundert es in diesem Kontext, dass nur ein geringer Anteil der Unternehmen auf die Einbindung des Controllings im internen Risikoberichtswesen eingeht. Ferner ist zu kritisieren, dass bezüglich der Überwachung des Risikomanagementsystems durch den Aufsichtsrat sowie bezüglich der Prüfung durch den Abschlussprüfer ein sehr geringer Anteil an konkreten Aussagen vorzufindenden ist. Ob die hier betrachtete Berichtspraxis ein Problem bei der Ausgestaltung der Risikomanagementsysteme darstellt, kann aus externer Sicht nicht geklärt werden. Eher dürfte anzunehmen sein, dass das Problem in der Ausgestaltung der externen Risikoberichterstattung liegt. Eine denkbare Erklärung könnte sich vor allem daraus begründen, dass die Unternehmen aus einer umfassenden Offenlegung über ihr Risikomanagementsystem Nachteile bei den externen Stakeholdern, insbesondere Wettbewerbsnachteile, befürchten und daher einer Offenlegung mit einfachen Angaben oder allgemein gehaltenen Ausführungen nachkommen. Ursächlich für diese Berichtsqualitäten sind auch der Verzicht des Gesetzgebers auf konkrete Vorgaben zur Offenlegung nach § 315 Abs. 1 HGB sowie einer klärenden Gesetzesdefinition und vor allem die abstrakt formulierten Mindestanforderungen aus DRS 5 aufzuführen. Denn infolgedessen räumt der normative Rahmen der externen Risikoberichterstattung den Unternehmen die Möglichkeit ein, nach eigenem Ermessen darüber zu entscheiden, welche Informationen zur Beschreibung des Risikomanagementsystems veröffentlicht werden. Für eine externe Einschätzung des Risikomanagementsystems und zum Gewinnen von Einblicken hinsichtlich der Umsetzung der Pflichten von Vorstand, Aufsichtsrat und Abschlussprüfer im Rahmen des unternehmerischen Risikomanagements ist zu konstatieren, dass diese Berichtspraxis nicht ausreichend ist. Insgesamt ist aus den Ergebnissen zu resümieren, dass dem Lageberichtsleser in Bezug auf die Berichterstattung zum Risikomanagementsystem oftmals nähere Informationen zur Ausgestaltung und Umsetzung der Corporate Governance fehlen, so dass in diesem Sinne noch ein klarer Verbesserungsbedarf besteht. Denn mit einer detaillierten Berichterstattung zum Risikomanagementsystem kann das Unternehmen den Lageberichtsadressaten die Qualität seines Führungssystems und die Ausgestaltung seiner Corporate Governance signalisieren. Es besteht somit für Unternehmen der Anreiz zu einer wahrheitsgemäßen und ausführlichen Berichterstattung über das Risikomanagementsystem, was folglich auch zu einer Verbesserung der Lageberichtsqualität führt, denn als zweite Säule der Rechnungslegung stellt der Lagebericht neben der Bilanz auch eine Visitenkarte des Unternehmens dar. Keywords  Corporate governance  External reporting  Internal/administrative audit  Management report  Risk management Summary Based on the presentation of the legal framework concerning risk management, research is done by way of empirical analysis of management reports included in consolidated financial statements regarding the questions to what extent recipients can gain insights about the risk management system based on published information and whether discrepancies between the need for transparent reporting and its practical execution occur. Literatur BT-Drs. 13/9712 vom 28.01.1998, Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). BT-Drs. 16/10067 vom 30.07.2008, Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz – BilMoG). Diederichs, M., Risikomanagement und Risikocontrolling, 3. Aufl., München 2012. Drescher, I., Die Haftung des GmbH-Geschäftsführers, 6. Aufl., Köln 2009. Eisenschmidt, K., Die Risikoberichterstattung deutscher Konzerne – eine empirische Analyse der Unternehmen des HDAX und SDAX, in: Zeitschrift für internationale und kapitalmarktorientierte Rechnungslegung , 11. Jg. (2011), H. 4, S. 203–213. Hachmeister, D., Controlling als Objekt der handelsrechtlichen Abschlussprüfung, in: Freidank, C.-C. (Hrsg.), Corporate Governance und Controlling, Heidelberg 2004, S. 267–286. Horva´th, P./Gleich, R., Controlling als Teil des Risikomanagements, in: Dörner, D./Horva´th, P./Kagermann, H. (Hrsg.), Praxis des Risikomanagements. Grundlagen, Kategorien, branchenspezifische und strukturelle Aspekte, Stuttgart 2000, S. 99–126. IDW EPS 261 n.F., Entwurf einer Neufassung des IDW Prüfungsstandards: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW EPS 261 n.F.) (Stand 10.06.2011). Kajüter, P., §§ 289, 289a HGB, in: Küting, K./ Pfitzer, N./Weber, C.-P. (Hrsg.), Handbuch der Rechnungslegung – Einzelabschluss, 5. Aufl., Bd. 3, Stuttgart 2002 ff., Ergänzungslieferung April 2011. Kajüter, P., Risikomanagement als Controllingaufgabe im Rahmen der Corporate Governance, in: Wagenhofer, A. (Hrsg.), Controlling und Corporate Governance-Anforderungen, Berlin 2009, S. 109–130. Kajüter, P., Risikomanagement im Konzern. Eine empirische Analyse börsennotierter Aktienkonzerne, München 2012. Lachnit, L./Müller, S., Unternehmenscontrolling. Managementunterstützung bei Erfolgs-, Finanz-, Risiko- und Erfolgspotenzialsteuerung, 2. Aufl., Wiesbaden 2012. Lange, T./Müller, S., Die Lageberichterstattung als Teil der Corporate Governance deutscher Unternehmen. Empirische Analyse der Risikoberichterstattung nach IFRS – Teil II: Risikoberichterstattung und empirische Analyse, in: Zeitschrift für Corporate Governance, 4. Jg. (2009), H. 6, S. 281–288. Lück, W., Elemente eines Risikomanagement- Systems, in: Der Betrieb, 51. Jg. (1998), H. 1/ 2, S. 8–14. Lück, W., Interne Revision, in: Freidank, C.-C./Lachnit, L./Tesch, J. (Hrsg.), Vahlens Großes Auditing Lexikon, München 2007, S. 697–698. Reichmann, T., Controlling mit Kennzahlen und Management-Tools. Die systemgestützte Controlling-Konzeption, 8. Aufl., München 2011. Einbindung des Risikomanagements in die Corporate Governance 23 25. Jahrgang 2013, Heft 1