Content

2.2 Der Umgang mit Risiken als gesetzliche Pflicht in:

Marc Diederichs

Risikomanagement und Risikocontrolling, page 42 - 55

3. Edition 2012, ISBN print: 978-3-8006-4222-9, ISBN online: 978-3-8006-4223-6, https://doi.org/10.15358/9783800642236_42

Series: Finance Competence

Bibliographic information
2. Grundlagen und Begrifflichkeiten22 2.2 Der Umgang mit Risiken als gesetzliche Pflicht Obwohl der Umgang mit Risiken ein unternehmerisches Muss darstellt, ist bei einigen Unternehmen noch immer eine mangelnde Einsicht und Bereitschaft festzustellen, sich intensiv mit ihren Risiken zu beschäftigen. Dies zeigt sich eindrucksvoll in der Anzahl an Unternehmensinsolvenzen der vergangenen Jahre (vgl. Abb. 2-12). Vor allem aufsehenerregende Schieflagen großer Publikumsgesellschaften in den neunziger Jahren machen deutlich, dass ein konsequenter Umgang mit Risiken von zentraler Bedeutung ist.42 37.579 32.278 28.235 26.476 27.828 27.474 25.530 22.344 18.837 15.148 10.916 8.837 8.730 9.590 10.562 12.098 13.500 13.625 12.018 11.845 11.916 8.494 6.315 0 10.000 20.000 30.000 40.000 Jahr Anzahl 39.2302003 2001 1999 1997 1995 1993 1991 1989 1987 1985 1983 1981 2011 2009 2007 2005 39.213 36.843 34.137 29.160 29.291 32.687 31.998 30.000 (Prognose) Abb. 2-12: Unternehmensinsolvenzen 1980-201143 Der bundesdeutsche Gesetzgeber hat auf diese Entwicklungen mit gesetzlichen Eingriffen reagiert (vgl. Abb. 2-13). Er verpflichtet Geschäftsleiter von Unternehmen bestimmter Rechtsformen, ein Risikofrüherkennungs- und -überwachungssystem einzurichten. Zudem muss ein bestimmter Unternehmenskreis die voraussichtliche Entwicklung der Gesellschaft mit ihren wesentlichen Chancen und Risiken unter Angabe der Annahmen im Risikobericht 42 Z.B. Schneider AG, metallgesellschaft AG (1993), Klöckner-Humboldt-Deutz Konzern, Balsam (1994), Südmilch/Sachsenmilch (1994); vgl. Neumann (1998a), S. 482. 43 Vgl. Rödl (2002), S. 204 und Bundesverband Deutscher Inkasso-Unternehmen e.V. (2011). 2.2 Der Umgang mit Risiken als gesetzliche Pflicht 23 des Lageberichts darstellen und beurteilen. Die damit vom Gesetzgeber verfolgten Ziele lassen sich wie folgt zusammenfassen:44 • Verbesserung von Führungs-, Überwachungs- und Kontrollsystemen sowie des Risikobewusstseins von Entscheidungsträgern, • Intensivierung der Kommunikation mit Marktteilnehmern über Unternehmenspolitik und -entwicklung sowie mehr Transparenz und Publizität, • Angleichung an internationale Rechnungslegungs- und Prüfungsstandards, • Stärkung des Finanzplatzes Deutschland für den internationalen Wettbewerb, • Stärkere Ausrichtung an den Interessen von Anteilseignern und Gläubigern. Fort folgend werden die gesetzlichen Anforderungen an ein Risikofrüherkennungs- und -überwachungssystem sowie die risikoorientierte Lageberichterstattung aufgezeigt. Zudem wird skizziert, für welche Rechtsformen diese Vorschriften gelten. Auf eine detaillierte Beschreibung der Rechtshistorie wird verzichtet (siehe hierzu Abb. 2-13).45 Es wird ausschließlich das geltende Recht dargestellt. 2.2.1 Risikofrüherkennungs- und -überwachungssystem Die gesetzliche Pflicht, ein Risikofrüherkennungs- und -überwachungssystem einzurichten, ist im Aktiengesetz kodifiziert. § 91 Abs. 2 AktG DerVorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand derGesellschaft gefährdende Entwicklungen früh erkannt werden. Zu den Entwicklungen, die den Fortbestand der Gesellschaft gefährden können, zählen laut Gesetzesbegründung insbesondere • risikobehaftete Geschäfte, • Unrichtigkeiten der Rechnungslegung und • Verstöße gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanz- und Ertragslage des Unternehmens wesentlich auswirken. Auch eine schleichende Bestandsgefährdung ist dazu zu zählen. Damit begreift das Gesetz ein Risiko als potentielle Verlustmöglichkeit.46 44 Vgl. BT-Drs. 13/9712. 45 Vgl. zu den Auswirkungen für die Aufsichtsratspraxis Diederichs/Kißler (2008), S. 46. 46 Vgl. BT-Drs. 13/9712, S. 15; Vgl. § 252 Abs. 1 Nr. 4 HGB; Bitz (2000b), S. 15. 2. Grundlagen und Begrifflichkeiten24 AG, u.a.Ausstrahlungswirkung auf GmbH Einrichtung eines Systems nach § 91 II AktG durch VS mittelgroße und große Kapitalgesellschaften, Konzerne Implementierung eines Risikofrüherkennungs- und Überwachungssystems börsennotierte AG, Konkretisierung der Organpflicht für nichtbörsennotierte Gesellschaften Konkretisierung gesetzlicher Verpflichtungen sowie zusätzliche Empfehlungen und Anregungen Verweis auf anerkannte Standards guter und verantwortungsvoller Unternehmensführung Entsprechenserklärung gemäß § 161 AktG zumCorporate Governance Kodex Verpflichtung desAR auf die beratende Kontrolle Informationsversorgung desAR als Aufgabe von VS und AR Implementierung eines angemessenen Risikomanagements und Risikocontrollings Erweiterung des Lageberichtes um Risikoberichterstattung, Plausibilitätsprüfung durchWP nach IDWPS 350 AGmit amtlicher Notierung Prüfung desÜberwachungssystems nach § 317 IV HGB Prüfung des Systems durchWP nach IDWPS 340, Bericht an AR börsennotierte AG Ausweitung der Prüfung auf börsennotierteAktiengesellschaften Prüfung desÜberwachungssystems nach § 317 IV HGB Aufstellung eines Lageberichts mit Risikoberichterstattung nach §§ 289/ 315 HGB, Prüfung nach § 317 II HGB relevant für Inhalt Bedeutung für die Praxis K on Tr aG (1 99 8) Ta ns Pu G /D C G K (2 00 2) AG, u.a.Ausstrahlungswirkung auf GmbH Einführung der Business Judgement Rule (§ 93 IAktG) Entscheidungen sind auf Grundlage angemessener Informationen zu treffen Konkretisierung der Sorgfaltspflichten weitere Bedeutungszunahme einer angemessenen Informationsversorgung derOrgane alle Unternehmen, vor allem Mittelstand intensivierte Kommunikation mit den Kreditinstituten zunehmende Bedeutung einer angemessenen Führungs- und Kommunikationsstruktur Aufbau/Weiterentwicklung leistungsfähiger Planungs- & Steuerungssysteme transparente Darstellung der Risikosituation sowie Maßnahmen zur Steuerung mittelgroße und große Kapitalgesellschaften, Konzerne Aufstellung des Lageberichts mit geänderter Prognoseberichterstattung nach §§ 289/315 HGB Erweiterung der Prüfungspflicht des WPnach § 317 II HGB Verpflichtende Darstellung von Risiken und Chancen im Lagebericht Darstellung der zugrunde liegenden Annahmen Konzerne Anwendung des DRS 15 für die Lageberichterstattung und DRS 5 für die allgemeine Risikoberichterstattung gemäß § 342 II HGB Konkretisierung derAngaben zur Lageberichterstattung und Risikoberichterstattung im Lagebericht B ilR eG (2 00 4) D R S (2 00 5) U M A G (2 00 5) B as el II (2 00 7) AG Konkretisierung der Überwachungspflichten des AR nach § 107 AktG B ilM oG (2 00 9) Prüfung des internen Kontroll- und Risikomanagement-Systems bezogen auf den Rechnungslegungsprozess Vorhalten einer angemessenen System- Dokumentation Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des IKS, des Risikomanagement-Systems und des internen Revisionssystems Konkretisierung der Prüfungspflichten desWPnach § 171 AktG VS:Vorstand AR:Aufsichtsrat WP:Wirtschaftsprüfer Abb. 2-13: Rechtshistorie 2.2 Der Umgang mit Risiken als gesetzliche Pflicht 25 Der § 91 Abs. 2 AktG konkretisiert die in § 76 Abs. 1 AktG kodifizierte allgemeine Leitungsaufgabe von Vorständen, die Gesellschaft unter eigener Verantwortung zu leiten. Dabei haben Vorstände die nach § 93 Abs. 1 AktG geforderte Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Die Pflicht, ein Risikofrüherkennungsund -überwachungssystem zu unterhalten, ist damit immanenter Teil der Leitungsaufgabe und Sorgfaltspflicht. Es ist als Organpflicht eine ständige Verantwortung des Gesamtvorstands, wobei die einzelnen Vorstandsmitglieder zur gegenseitigen Kontrolle verpflichtet sind. Die Pflicht zur Einrichtung eines Risikofrüherkennungs- und -überwachungssystems nach § 91 Abs. 2 AktG beschränkt sich auf den ersten Blick nur auf die Gesellschaftsform der Aktiengesellschaft und Kommanditgesellschaft auf Aktien, ungeachtet ihrer Einteilung nach Größenklassen gemäß § 267 HGB (§§ 283 Nr. 3 und 278 Abs. 3 AktG in Verbindung mit §§ 93 Abs. 1 und 91 Abs. 2 AktG). Während für Personengesellschaften mit Ausnahme der in § 264a HGB angesprochenen Rechtsformen (wie die GmbH & Co. KG) grundsätzlich keine gesetzlichen Grundlagen zur Einrichtung eines solchen Systems ableitbar sind, lässt sich aus den Vorschriften des § 93 Abs. 1 AktG i.V.m. § 43 Abs. 1 GmbHG für die GmbH eine implizite Anwendung des § 91 Abs. 2 AktG schlussfolgern.47 Im Gegensatz zur expliziten Regelung für Aktiengesellschaften ist zwar im GmbHG keine entsprechende Regelung aufgenommen worden. Allerdings unterscheiden sich die Pflichten des Geschäftsführers einer GmbH bezüglich der Sorgfalt eines ordentlichen Geschäftsmannes nicht von denen des Vorstands einer Aktiengesellschaft.48 Daher hat das Gesetz eine Ausstrahlungswirkung auf den Pflichtenrahmen eines ordentlichen Geschäftsmannes einer GmbH.49 Die Ausführungen zur GmbH gelten analog für die Sorgfaltspflichten des Vorstands einer eingetragenen Genossenschaft (§ 34 Abs. 1 GenG i.V.m. §§ 93 Abs. 1, 91 Abs. 2 AktG). Auch für Wirtschaftsbetriebe der öffentlichen Hand gemäß § 53 HgrG ist eine Ausstrahlungswirkung anzunehmen. Hierbei handelt es sich um Unternehmen in einer Rechtsform des privaten Rechts, bei denen einer Gebietskörperschaft die Mehrheit der Anteile oder wenigstens 25 Prozent der Anteile und ihr zusammen mit anderen Gebietskörperschaften die Mehrheit der Anteile gehören. Deren Geschäftsführer sind im besonderen Maße zum sorgfältigen Umgang mit den ihnen anvertrauten Mitteln und zur Aufrechterhaltung der Funktionsfähigkeit des Unternehmens verpflichtet.50 Ebenfalls Kredit- und Finanzdienstleistungsinstitute sind gemäß § 25a Abs.1 Nr.1 KWG i.V.m. § 91 Abs. 2 AktG dazu verpflichtet, über Regelungen zur Steuerung, Überwachung und Kontrollen von Risiken zu verfügen. Die Regelung gilt rechtsformunabhängig für alle Kredit- und Finanzdienstleistungsinstitute.51 47 Vgl. Altmeppen (1999), S. 300 f.; Gelhausen (2000b), S. 1372. 48 Vgl. zu den Sorgfaltspflichten des Geschäftsführers einer GmbH Scharpf (1997), S. 737 ff. 49 So auch die Begründung zu § 91 Abs. 2 AktG (BT-Drs. 13/9712, S. 15): „In das GmbHG soll keine entsprechende Regelung aufgenommen werden. Es ist davon auszugehen, dass für Gesellschaften mit beschränkter Haftung […] nichts anderes gilt […]. Vgl. auch Scharpf (1997), S. 737 ff.; Dücker (1998), S. 3595; Saitz (1999), S. 73; Altmeppen (1999), S. 300 f. 50 Vgl. Kämpfer (2000), S. 907, 923. 51 Da es sich um eine branchenspezifische Spezialvorschrift handelt, wird diese nicht weiter behandelt. Vgl. Gelhausen (2000b), S. 1372. 2. Grundlagen und Begrifflichkeiten26 Es ist festzuhalten, dass auch andere Rechtsformen als die von § 91 Abs. 2 AktG direkt betroffenen Unternehmen über die Ausstrahlungswirkung zur Einrichtung eines Risikofrüherkennungs- und -überwachungssystems verpflichtet sind (vgl. Abb. 2-14). Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden Verpflichtung zur Einrichtung eines Risikofrüherkennungs- & -überwachungssystems durch den Vorstand Anwendungsbereich: Alle zur Sorgfalt, Ordnung und Gewissenhaftigkeit verpflichteten Geschäftsführer Abb. 2-14: Ausstrahlungswirkung des § 91 Abs. 2 AktG Aus § 91 Abs. 2 AktG und der Gesetzesbegründung lässt sich ableiten, dass der Gesetzgeber unter „geeigneten Maßnahmen" die Einrichtung eines Risikofrüherkennungs- und -überwachungssystems versteht. Hierzu zählen • ein Risikofrüherkennungssystem, • ein Risikoüberwachungssystem (welches auch als internes Überwachungssystem bezeichnet wird)52 und • ein das System unterstützendes Risikocontrolling (vgl. Abb. 2-15).53 Risikofrüherkennungs-& -überwachungssystem Risikofrüherkennungssystem Risikoüberwachungssystem/ internes Überwachungssystem Risikocontrolling Risikoidentifikation Risikoanalyse Risiko- Kommunikation Abb. 2-15: Bestandteile des Systems nach § 91 Abs. 2 AktG Da das interne Überwachungssystem sowohl ein Element eines Risikomanagement-Systems als auch eines Internen Kontrollsystems ist (vgl. Abb. 2-17), sind die beiden Corporate 52 Vgl. Lück (1998b), S. 9. 53 Vgl. Lück (1998a), S. 1925; Lück (1998b), S. 9; Neumann (1998b), S. 723 ff.; Pfitzer (1999), S. 171; Hakelmacher (1999), S. 135; Lange (2003b), S. 676 f. 2.2 Der Umgang mit Risiken als gesetzliche Pflicht 27 Governance-Elemente nicht überschneidungsfrei. Auf eine Diskussion zur Abgrenzung der Begriffe wird hier verzichtet. Es wird die Begriffsabgrenzung nach § 107 Abs. 3 AktG zugrunde gelegt, die ein Nebeneinander der beiden Systeme vorsieht. Vollständigkeitshalber werden im folgenden Exkurs die Ziele, Aufgaben und Bestandteile eines Internen Kontrollsystems in den Grundzügen erläutert. Exkurs zum Internen Kontrollsystem (IKS) Das bekannteste Rahmenwerk zum IKS hat das Committee of Sponsoring Organizations of the Treadway Commission (COSO) im Jahr 1992 publiziert. Das COSO ist eine freiwillige privatwirtschaftliche Organisation in den USA, die helfen soll, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern. Das COSO wurde 1985 als Plattform für die “National Commission on Fraudulent Financial Reporting“ (Treadway Commission) gegründet und wird durch die fünf bedeutendsten US-Organisationen für Kontrolle im Finanz- und Rechnungswesen unterstützt: Institute of Internal Auditors (IIA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), Institute of Management Accountants (IMA) und American Accounting Association (AAA). Das veröffentlichte COSO I-Rahmenwerk (Internal Control – Integrated Framework) ist ein von der SEC anerkannter Standard zur Dokumentation, Analyse und Gestaltung eines IKS. Zwar sind die Empfehlungen de jure nicht verbindlich, haben sich aber de facto auf breiter Front etabliert und sind international anerkannt. So lehnt sich zum Beispiel der PS 261 des IDW an die Ausführungen des COSO an und nimmt die Konzeption auf: Sowohl die Zielkategorien als auch die Komponenten des IKS entsprechen der COSO-Konzeption. Auf den IDW PS 261 wird später näher eingegangen.54 Nach COSO I wird das IKS als Prozess definiert, für dessen Umsetzung sowohl das Management und der Aufsichtsrat als auch die Mitarbeiter eines Unternehmens verantwortlich sind. Dieser Prozess soll zur Sicherheit im Hinblick auf die Zielerreichung in den drei folgenden Kategorien (Kernziele) beitragen: • Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (Operations), • Ordnungsmäßigkeit und Verlässlichkeit der Finanzberichterstattung (Financial Reporting) und • Einhaltung von Gesetzen und Vorschriften (Compliance). Das COSO I besteht aus fünf Komponenten (auch Kontrollelemente genannt), die zueinander in wechselseitiger Beziehung stehen und gemeinsam das Erreichen der oben genannten Kernziele sicherstellen sollen (vgl. Abb. 2-16). 54 Im Jahr 2004 hat das COSO mit dem Enterprise Risk Management – Integrated Framework (COSO II) das ursprüngliche Rahmenwerk konkretisiert und ergänzt. So führt es − neben Operations, Financial Reporting und Compliance − Strategic als neue Kategorie ein. Daneben wird die Komponente Control Environment in Internal Environment und Objective Setting aufgeteilt. Die Komponente Risikobeurteilung wird um die Aspekte Event Identification und Risk Response ergänzt. Da die Ausführungen zum IKS davon unberührt sind, wird hier nicht näher darauf eingegangen. 2. Grundlagen und Begrifflichkeiten28 Organisationsziele K on tr ol le le m en te Monitoring Information &Communication ControlActivities Risk Assessment ControlEnvironment U ni tA U ni tB A ct iv ity A A ct iv ity B Steuerungs- & Kontrollaktivitäten • Grundsätze und Vorgehensweisen, die sicherstellen, dass Management-Anweisungen umgesetzt werden • Aktivitäten beinhalten Genehmigungen, Autorisierungen, Verifizierungen, Empfehlungen, Überprüfung der Leistung, Vermögenssicherung und Verteilung von Aufgaben Überwachung (Monitoring) • Bewertung der Leistung eines Kontrollsystems über die Zeit • Kombination aus permanenter und Einzelfall-Bewertung • Management-und übergreifende Aktivitäten • Tätigkeiten der internen Revision Steuerungs- und Kontrollumfeld • gibt die Grundeinstellung des Unternehmens vor • beeinflusst dasKontrollbewusstsein der Mitarbeiter • Faktoren sind Integrität, ethischeWerte, Kompetenz, Autorität und Verantwortung • Grundlage für alle Kontrollkomponenten Information& Kommunikation • relevante Informationen werden identifiziert, erfasst und zeitnah kommuniziert • Zugangzu intern und extern erhobenen Informationen • Informationsfluss, derdie Ausführungder Kontrollaktivitäten unterstützt (von der Festlegung von Verantwortungen bis zur Zusammenfassungen der Ergebnisse als Basis für Management Aktivitäten) Risikobeurteilung • Risikobeurteilung bezeichnet die Identifikation und Analyse relevanterRisiken für dasErreichen der Unternehmensziele • liefert die Basis für die Festlegung von Kontrollaktivitäten Abb. 2-16: Elemente eines IKS nach COSO I (1992) Die Komponenten beschreiben • das Steuerungs- und Kontrollumfeld (Control Environment), • die Risikobeurteilung (Risk Assessment), • die Steuerungs- und Kontrollaktivitäten (Control Activities), • die Informationen und Kommunikation (Information & Communication) und • die Überwachung (Monitoring). Das Steuerungs- und Kontrollumfeld ist bestimmt durch die Unternehmensziele, den Führungsstil und die Führungsphilosophie, die Organisationsstruktur, die ethischen Grundsätze, die Intensität der Wahrnehmung der Aufsichtsfunktion durch den Aufsichtsrat sowie die personellen Gegebenheiten, insbesondere das Maß an Integrität, die ethischen Wertvorstellungen sowie das Wissen, die fachliche Kompetenz und die Fähigkeiten der Mitarbeiter. Es beeinflusst die Unternehmenskultur, das Betriebsklima, die Struktur der operativen Tätigkeit sowie den Umgang mit Risiken. Damit kommt beim Aufbau von Verantwortungs- und Kontrollbewusstsein der Mitarbeiter diesem Kontrollelement eine herausragende Bedeutung zu. Es stellt das Fundament für die anderen vier Komponenten dar. Die zweite Komponente sieht eine Risikobeurteilung (Risk Assessment) vor. Es sind die externen und internen Risiken anhand der Unternehmensziele zu identifizieren und analysieren. Die Kenntnis bildet die Basis für die Entscheidung der Unternehmensleitung in Bezug auf den Umgang mit diesen Risiken. Damit soll eine Gefährdung der Unternehmensziele und letztlich des Unternehmens vermieden werden. 2.2 Der Umgang mit Risiken als gesetzliche Pflicht 29 Steuerungs- & Kontrollaktivitäten (Control Activities) sind alle Anweisungen und Prozesse, die dazu beitragen, die vom Management vorgegebenen Unternehmensziele umzusetzen. Um die Erreichung der Organisations- und Prozessziele sicherzustellen, sind die vom Management zur Erkennung von und zum Umgang mit Risiken angeordneten Maßnahmen zu verstehen und umzusetzen. Der Steuerungsaspekt wird durch lenkende und präventive Maßnahmen abgedeckt. Lenkende Maßnahmen sollen ein erwünschtes Verhalten hervorrufen, wohingegen präventive Maßnahmen ein unerwünschtes Verhalten verhindern sollen. Der Kontrollaspekt wird durch aufdeckende Maßnahmen abgedeckt, die der Feststellung vorhandener Fehler und der Einleitung entsprechender korrektiver Maßnahmen dienen. Um die Wirksamkeit der Steuerungs- und Kontrollmaßnahmen zu gewährleisten, müssen die für das Unternehmen relevanten Informationen identifiziert, aufbereitet und so kommuniziert werden, dass sie für die Mitarbeiter und Entscheider schnell, aktuell und zuverlässig zur Verfügung stehen (Information & Communication). Voraussetzung ist ein vertrauensvoller Umgang mit Informationen sowie zwischen Mitarbeitern und Management (sowie zwischen Mitarbeitern selbst). Die Kommunikation hat ohne hierarchische Schranken im gesamten Unternehmen sowie mit externen Adressaten zu erfolgen. Aufgrund stetiger Veränderungen im Unternehmen und im Umfeld des Unternehmens besteht die Notwendigkeit, das IKS regelmäßig zu überwachen und zu beurteilen (Monitoring). Eventuelle Mängel sind der Unternehmensführung mitzuteilen und durch sie zu beheben. Nur so lässt sich die Qualität im Zeitablauf sicherstellen. Nach COSO müssen alle fünf Komponenten vorhanden sein, damit ein Kontrollsystem wirksam ist. Wie anfangs erwähnt hat sich auch das IDW an den COSO I angelehnt und in ihrem Prüfungsstandard 261 entsprechende Hinweise zur Gestaltung eines IKS aufgenommen. So werden die in Abb. 2-16 abgebildeten Komponenten übernommen und auch das Verständnis über Begriff und Aufgaben eines IKS ist entsprechend dem COSO I-Rahmenwerk: Gemäß IDW PS 261 werden unter einem IKS die vom Management eingeführten Grundsätze, Verfahren, Regelungen und Maßnahmen verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements, • zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen), • zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung (Buchführung, Abschluss und Lagebericht) sowie • zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.55 Nach IDW PS 261 besteht das IKS sowohl aus dem internen Steuerungssystem, also aus Regelungen zur Steuerung und Gestaltung der Unternehmensaktivitäten, als auch aus dem 55 Vgl. IDW (2006), S. 7; hierzu und ff. Diederichs/Imhof (2011), S. 107 ff.; weiterführend auch COSO 1994 und 2002 sowie die Ausführungen der SEC. 2. Grundlagen und Begrifflichkeiten30 internen Überwachungssystem, also aus Regelungen zur Überwachung der Einhaltung der Vorschriften und Maßnahmen. Das Interne Überwachungssystem beinhaltet wiederum prozessintegrierte sowie prozessunabhängige Überwachungsmaßnahmen (vgl. Abb. 2-17).56 Zu den prozessintegrierten Überwachungsmaßnahmen zählen einerseits die organisatorischen Sicherungsmaßnahmen, die durch laufende, automatische oder manuelle Einrichtungen und Prozesse wahrgenommen werden. Diese in die Aufbau- als auch Ablauforganisation integrierten fehlerverhindernden Maßnahmen gewährleisten ein vorgegebenes Sicherheitsniveau. Als Beispiele lassen sich Berechtigungskonzepte, Zugriffsbeschränkungen, Funktionstrennungen, Zugangsbeschränkungen und das innerbetriebliche Belegwesen nennen. Andererseits zählen Kontrollen als fester Bestandteil des Arbeitsablaufes zu den prozessintegrierten Überwachungsmaßnahmen, die die Wahrscheinlichkeit für das Auftreten von Fehlern vermindern oder aufgetretene Fehler aufdecken sollen. Als Beispiele lassen sich automatisierte Plausibilitätsprüfungen, manuelle Soll/Ist-Vergleiche, Vollständigkeitsprüfungen und Richtigkeitsprüfungen, das Vier-Augen-Prinzip, Rechnungskontrollen, Qualitätskontrollen und die Überwachung von Limits anführen. Als neutrale, prozessunabhängige Institution prüft die interne Revision die Strukturen und Aktivitäten. Daneben können sonstige prozessunabhängige Überwachungsmaßnahmen festgelegt sein, die im besonderen Auftrag der gesetzlichen Vertreter oder durch diese selbst vorgenommen werden. Internes Kontrollsystem (IKS) Internes Steuerungssystem Internes Überwachungssystem Prozessintegrierte Überwachungsmaßnahmen Prozessunabhängige Überwachungsmaßnahmen Prüfung durch die interne Revision sonstige Organisatorische Sicherungsmaßnahmen Kontrollen Abb. 2-17: Regelungsbereiche des internen Kontrollsystems nach IDW PS 261 Ende des Exkurses zum Internen Kontrollsystem 56 Im deutschsprachigen Raum wurde der Begriff Internes Kontrollsystem aus dem angelsächsischen Term Internal Control System übersetzt. Da es unzureichend ist, den Begriff Control nur als Kontrolle zu verstehen, also mit Maßnahmen zur Aufdeckung unerwünschter Vorgänge gleichzusetzen, wird im IDW PS 261 auch der Steuerungsaspekt berücksichtigt. 2.2 Der Umgang mit Risiken als gesetzliche Pflicht 31 Es ist festzuhalten, dass das nach § 91 Abs. 2 AktG einzurichtende System nicht als real existierendes Gebilde zu verstehen ist, sondern als Ergebnis verschiedener, interdisziplinärer Tätigkeiten im Unternehmen. Wie das System im Detail zu gestalten ist, lässt der Gesetzgeber offen. Er gibt mit der Sicherung des Erfolgs und Fortbestands des Unternehmens nur eine grobe Zielrichtung vor. Es muss in der Lage sein, bestandsgefährdende Entwicklungen frühzeitig zu erkennen, womit ein Zeitpunkt gemeint ist, zu dem noch Maßnahmen zur Steuerung und Bewältigung ergriffen werden können.57 Außerdem wird darauf hingewiesen, dass die Umsetzung der Organisationspflicht in Abhängigkeit von Kriterien wie Größe, Branche, Struktur und Kapitalmarktzugang des jeweiligen Unternehmens zu erfolgen hat.58 Der Gesetzgeber vermeidet damit einen Eingriff in die unternehmerische Freiheit der Leitungsorgane und eine Regulierung des Unternehmensrechts. Infolgedessen ist die Organisationspflicht rechtsformunabhängig unter Beachtung betriebswirtschaftlicher und unternehmensindividueller Erfordernisse umzusetzen. Die aus § 91 Abs. 2 AktG resultierende Pflicht ist bei Mutterunternehmen im Sinne von § 290 HGB konzernweit zu verstehen. Eine Konzernmutter muss im Rahmen ihrer gesellschaftsrechtlichen Möglichkeiten auch diejenigen Tochtergesellschaften in das System einbeziehen, von denen bestandsgefährdende Entwicklungen ausgehen können.59 Bei einer strategischen Holding als Aktiengesellschaft mit operativen Tochtergesellschaften liegt damit ein typischer Fall für die konzernweite Anwendung von § 91 Abs. 2 AktG vor.60 Auch der Deutsche Corporate Governance Kodex (DCGK) verpflichtet Vorstände, sich im Rahmen ihrer Organpflicht mit Risiken zu befassen. So hat der Vorstand nach Tz. 4.1.4 des DCGK für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen zu sorgen. Da der DCGK keine Normqualität hat und nur geltendes Recht in praxisorientierter Form darstellt, soll an dieser Stelle nicht weiter darauf eingegangen werden.61 2.2.2 Risikoorientierte Lageberichterstattung Die Lageberichterstattung gewinnt vor dem Hintergrund der zunehmenden Kapitalmarktorientierung von Unternehmen und dem Interesse der Shareholder an zukunftsorientierten Informationen über die Unternehmenslage an Bedeutung. Der Lagebericht, dessen Aufstellung und Inhalt im Verantwortungsbereich der gesetzlichen Vertreter eines Unternehmens liegen, soll als eigenständiger Bestandteil der Rechnungslegung Adressaten zusätzliche, nicht aus dem Jahresabschluss ableitbare Informationen bereitstellen. Die Aufgabe liegt darin, die wirtschaftliche Situation des Unternehmens, die Beziehungen zu den bestehenden Märkten und die relevanten Faktoren aus dem Unternehmensumfeld zu verdeutlichen.62 Die kombinierte Betrachtung von Jahresabschluss und Lagebericht soll es ermöglichen, ein 57 Vgl. Scharpf (1999), S. 180 f. 58 Vgl. BT-Drs. 13/9712, S. 15; Lück (1999b), S. 142; Scharpf (1999), S. 180; Ertl (2000), S. 4. 59 Vgl. Brebeck/Herrmann (1997), S. 386; Scharpf (1999), S. 181. 60 Vgl. Saitz (1999), S. 74. 61 Zu Details und zur Rechtsnatur des DCGK vgl. Diederichs/Kißler (2008), S. 72 ff. 62 Vgl. Dörner/Schwegler (1997), S. 285;Meyding/Mörsdorf (1999), S. 6. 2. Grundlagen und Begrifflichkeiten32 umfassendes Bild und einen realistischen Eindruck über die wirtschaftliche Lage des Unternehmens zu gewinnen. Der Lagebericht erfüllt damit eine Komplementärfunktion. Rechtsgrundlage für die Aufstellung und den Inhalt des Lageberichts im handelsrechtlichen Einzelabschluss bilden die §§ 264 und 289 HGB, für den Konzernlagebericht die §§ 290 und 315 HGB. Soweit ein Unternehmen nicht gesetzlich zur Aufstellung eines Lageberichts oder Konzernlageberichts verpflichtet ist, kann es diesen freiwillig aufstellen. Die gesetzliche Verpflichtung zur Aufstellung eines Lageberichts gilt gemäß §§ 264 Abs. 1 i.V.m. 267 HGB für alle mittelgroßen und großen Kapitalgesellschaften. Kleinen Kapitalgesellschaften im Sinne des § 267 Abs. 1 HGB räumt § 264 Abs. 1 HGB ein Wahlrecht zur Lageberichterstattung ein. Entsprechendes gilt gemäß §§ 290 i.V.m. 293 HGB auch für den Konzernlagebericht. Ferner haben die gesetzlichen Vertreter der nach § 1 PublG rechnungslegungspflichtigen Unternehmen nach § 5 PublG einen Lagebericht aufzustellen. In diesem Fall gelten die Vorschriften für Kapitalgesellschaften sinngemäß (§ 5 Abs. 2 S. 2 PublG i.V.m. § 289 HGB). Eine Ausnahme gilt für Unternehmen, die in der Rechtsform einer Personenhandelsgesellschaft oder des Einzelkaufmanns geführt werden. Sie sind durch die §§ 5 Abs. 2 und 13 Abs. 1 PublG von der Pflicht zur Aufstellung eines Lageberichts befreit.63 Anzuwenden sind die Vorschriften nach §§ 264a i.V.m. 264 Abs. 1 S. 1 HGB auch auf Personenhandelsgesellschaften, bei denen nicht wenigstens ein persönlich haftender Gesellschafter eine natürliche Person oder offene Handelsgesellschaft, Kommanditgesellschaft oder andere Personengesellschaft mit einer natürlichen Person als persönlich haftendem Gesellschafter ist oder sich die Verbindung von Gesellschaftern in dieser Art fortsetzt (wie die GmbH & Co. KG). Damit sind auch die Größenklassen und die sich daraus ergebenden Rechtsfolgen auf die Kapitalgesellschaft & Co. anzuwenden. Auch der Vorstand einer mittelgroßen und großen eingetragenen Genossenschaft hat zusätzlich zum Jahresabschluss gemäß § 336 Abs. 1 HGB einen Lagebericht aufzustellen. Kleine eingetragene Genossenschaften sind entsprechend der Größeneinteilung des § 267 HGB nach § 264 Abs. 1 HGB von dieser Pflicht befreit. Da Wirtschaftsbetriebe der öffentlichen Hand unabhängig ihrer tatsächlichen Größe den relevanten Bestimmungen einer großen Kapitalgesellschaft unterliegen, haben sie ebenfalls einen Lagebericht aufzustellen.64 Auch Kredit- und Finanzdienstleistungsinstitute sowie Versicherungsunternehmen sind unabhängig von ihrer Größe und Rechtsform nach §§ 340a Abs. 1 HGB bzw. 341a Abs. 1 HGB zur Aufstellung eines Lageberichts verpflichtet. Der Gesetzgeber fordert sowohl eine vergangenheits- als auch eine zukunftsorientierte Berichterstattung. Im Lagebericht sind gemäß §§ 289 und 315 HGB der Geschäftsverlauf einschließlich des Geschäftsergebnisses und die Lage der Kapitalgesellschaft so darzustellen, dass ein den tatsächlichen Verhältnissen entsprechendes Bild vermittelt wird. Außerdem 63 Vgl. zur Aufstellungspflicht des Lageberichts Dörner/Bischof (1999a), S. 375 f. 64 Vgl. Kämpfer (2000), S. 912. 2.2 Der Umgang mit Risiken als gesetzliche Pflicht 33 ist die voraussichtliche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu erläutern.65 Bei der Darstellung muss eine auf den Abschlussstichtag beruhende, zukunftsbezogene Einschätzung erfolgen. Die zugrunde liegenden Annahmen sind anzugeben. Der Lagebericht soll zudem auf folgende Punkte eingehen: • Risikomanagementziele und -methoden einschließlich ihrer Methoden zur Absicherung aller wichtigen Arten von Transaktionen, die im Rahmen der Bilanzierung von Sicherungsgeschäften erfasst werden und • Preisänderungs-, Ausfall- und Liquiditätsrisiken sowie die Risiken aus Zahlungsstromschwankungen, denen die Gesellschaft ausgesetzt ist, jeweils in Bezug auf die Verwendung von Finanzinstrumenten durch die Gesellschaft und sofern es für die Beurteilung der Lage oder der voraussichtlichen Entwicklung von Belang ist. Darüber hinaus fordert der Gesetzgeber von Kapitalgesellschaften im Sinne des § 264d und von Mutterunternehmen, sofern eines der in den Konzernabschluss einbezogenen Tochterunternehmen oder das Mutterunternehmen kapitalmarktorientiert im Sinne des § 264d ist, dass im Lagebericht bzw. Konzernlagebericht auf die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Konzernrechnungslegungsprozess einzugehen ist. Neben den erwähnten Punkten sind nach §§ 289 und 315 HGB weitere Aspekte in den Lagebericht bzw. Konzernlagebericht aufzunehmen. Da sie mit dem Thema Risikomanagement nicht im unmittelbaren Zusammenhang stehen, werden sie hier nicht weiter verfolgt. Der Gesetzeswortlaut der §§ 289 und 315 HGB eröffnet hinsichtlich Informationsinhalt und -umfang einen materiellen und formellen Gestaltungsspielraum. Dementsprechend besteht für die Gestaltung des Lageberichts von gesetzlicher Seite her ein Normvakuum. Damit sind – aufbauend auf dem Zweck des Lageberichts – allgemeingültige Kriterien zur inhaltlichen Konkretisierung heranzuziehen, anhand derer die einzubeziehenden Informationen hergeleitet werden können.66 Hierzu können die Grundsätze ordnungsmäßiger Lageberichterstattung (GoL) herangezogen werden (vgl. Abb. 2-18). Daneben konkretisiert der Deutsche Rechnungslegungs Standard Nr. 5 (DRS 15) und sich daran anschließende Standards des Deutschen Standardisierungsrats (DSR) die gesetzlichen Regelungen. Die relevanten Standards werden in den Ausführungen zu den Anforderungen an die Lageberichterstattung seitens der Abschlussprüfer erläutert.67 65 Vgl. Dörner/Bischof (1999a), S. 392. 66 Vgl. Baetge/Schulze (1998), S. 938. 67 Vgl. Dörner/Bischof (1999a), S. 378 ff.; hierzu ausführlich Stute (2010), S. 37 ff. 2. Grundlagen und Begrifflichkeiten34 Zweck des Lageberichts: Informationsvermittlung Ergänzung der Jahresabschlussinformationen Interessenregelung: Interessenausgleich zwischen Lageberichtsadressaten und berichterstattendem Unternehmen Verdichtung der Jahresabschlussinformationen Grundsätze ordnungsmäßiger Lageberichterstattung (GoL) • Grundsatz der Richtigkeit • Grundsatz der Vollständigkeit • Grundsatz der Vergleichbarkeit • Grundsatz der Vorsicht • Grundsatz derWesentlichkeit • Grundsatz der Informationsabstufung • Grundsatz derKlarheit Abb. 2-18: Grundsätze ordnungsmäßiger Lageberichterstattung (GoL)68 Wie bereits erwähnt müssen im Lagebericht und Konzernlagebericht die wesentlichen Risiken der künftigen Entwicklung mit den zugrunde liegenden Annahmen angegeben werden. Die Methodik, mit der Risiken zu ermitteln sind, wird vom Gesetzgeber nicht definiert. Eine geeignete Darstellung der Risiken mit ihren mittel- bis langfristigen Auswirkungen für das Unternehmen wird üblicherweise nur dann möglich sein, wenn im Vorfeld eine systematische Identifikation, Analyse sowie Bewertung der unternehmerischen Risikosituation stattfindet, also ein Risikofrüherkennungs- und -überwachungssystem eingerichtet ist.69 Ohne ein zumindest in den Grundzügen vorhandenes System erscheint die Erstellung eines vollständigen, risikoorientierten Lageberichts nahezu unmöglich. Daraus folgt, dass die Einrichtung eines derartigen Systems eine wichtige Voraussetzung, wenn nicht sogar eine notwendige Bedingung, für die ordnungsgemäße Berichterstattung über Risiken der zukünftigen Entwicklungen im Lagebericht darstellt.70 Der Kreis der Unternehmen, der ein System nach § 91 Abs. 2 AktG einzuführen hat, weitet sich über die Pflicht zur risikoorientierten Lageberichterstattung mittelbar aus (vgl. Abb. 2-19). Abbildung der Risiken nur möglich, wenn eine systematische Erkennung Analyse und Bewertung von Risiken im Vorfeld stattfindet Abbildung und Prüfung der Risiken künftiger Entwicklungen im Lagebericht (§ 289 HGB) Anwendungsbereich des § 91 Abs. 2 AktG: alle zur Aufstellung eines risikoorientierten Lageberichts verpflichteten Unternehmen Abb. 2-19: Ausstrahlungswirkung des § 289 HGB i.V.m. § 91 Abs. 2 AktG 68 Angelehnt an Baetge/Schulze (1998), S. 938. 69 Vgl. Baetge/Linßen (1999), S. 370; Saitz (1999), S. 74. 70 Vgl. Gelhausen (2000b), S. 1386; Böcking/Orth (2000), S. 255; Kajüter (2002), S. 245. 2.3 Anforderungen seitens der Abschlussprüfer 35 2.3 Anforderungen seitens der Abschlussprüfer Im Rahmen der Jahresabschlussprüfung sind nach § 317 HGB unter anderem das Risikofrüherkennungs- und -überwachungssystem sowie der risikoorientierte Lagebericht durch den Jahresabschlussprüfer zu prüfen (vgl. Abb. 2-20). In den folgenden Ausführungen werden sowohl die gesetzlichen Grundlagen als auch die Anforderungen seitens des Instituts der Wirtschaftsprüfer (IDW) und des Deutschen Standardisierungsrats (DSR) dargestellt. Prüfung desRisikofrüherkennungs- und -überwachungssystems nach § 317 Abs. 4 HGB i.V.m. IDW PS 340 Prüfung der risikoorientierten Lageberichterstattung nach § 317 Abs. 2 HGB i.V.m. IDW PS 350 und DRS 15 (sowieDRS 5, 5-10 und 5-20) Bestandteileder Jahresabschlussprüfung Abb. 2-20: Bestandteile der Jahresabschlussprüfung 2.3.1 Prüfung des Risikofrüherkennungs- und -überwachungssystems 2.3.1.1 Rechtliche Grundlagen der Prüfung Ein Bestandteil der Prüfung ist nach § 317 Abs. 4 HGB die Prüfung des nach § 91 Abs. 2 AktG einzurichtenden Risikofrüherkennungs- und -überwachungssystems. Die Vorschrift ist auf börsennotierte Aktiengesellschaften beschränkt.71 Die Beschränkung wird dadurch begründet, dass bei dieser Unternehmensform aufgrund der großen Zahl von Anlegern und potentiellen Investoren Maßnahmen zur Verbesserung des Shareholder Values von besonderer Bedeutung sind.72 Bei Gesellschaften, bei denen § 317 Abs. 4 HGB nicht anzuwenden ist, kann die Prüfung Gegenstand einer vertraglichen Erweiterung des Prüfungsantrags sein. Eine Besonderheit stellt die Prüfung nach § 53 HGrG dar. Diese Prüfungsvorschrift gilt für Unternehmen in einer Rechtsform des privaten Rechts, bei denen einer Gebietskörperschaft die Mehrheit der Anteile oder wenigstens 25 Prozent der Anteile und ihr zusammen mit anderen Gebietskörperschaften die Mehrheit der Anteile gehören. Bei der Prüfung wird u.a. die Ordnungsmäßigkeit der Geschäftsführung geprüft. Da die Einrichtung eines Risikofrüherkennungs- und -überwachungssystems zu den Sorgfaltspflichten eines ordentlichen und gewissenhaften Geschäftsführers zu zählen ist, ist es implizit Bestandteil der Prüfung.73 Bei der Abschlussprüfung hat der Prüfer nach § 317 Abs. 4 HGB zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfül- 71 Vgl. zur Börsennotierung § 3 Abs. 2 AktG. 72 Vgl. Ernst (1999), S. 344. 73 Vgl. Gelhausen (2000b), S. 1383.

Chapter Preview

References

Zusammenfassung

Risikomanagement und Risikocontrolling

Dieses Standardwerk beschäftigt sich mit Herausforderungen und Lösungsmöglichkeiten bei der Einrichtung und Weiterentwicklung von Risikomanagement- und Risikocontrolling-Systemen. Es bietet sowohl für den lösungssuchenden Praktiker als auch für den Wissenschaftler einen großen Fundus an wertvollem Wissen und liefert zahlreiche Anregungen und Hilfestellungen sowie in der Unternehmenspraxis erprobte Lösungen und Instrumente.

Aus dem Inhalt:

- Grundlagen des Risikomanagements und Risikocontrollings

- Anforderungskatalog an das Risikomanagement und die risikoorientierte Lageberichterstattung seitens des Gesetzgebers und des Wirtschaftsprüfers

- Internes Kontrollsystem (IKS), COSO und Internes Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess

- Prozessschritte des Risikomanagements und Vorstellung praxiserprobter Instrumente zu deren Unterstützung

- Gestaltung einer Risikomanagement-Organisation, Abgrenzung von Risikomanagement und Interner Revision sowie Anforderungen an den Risikomanager

- Empfehlungen zum Aufbau einer chancen- und risikoorientierten Berichterstattung (Balanced Chance und Risk Card)

- Risikomanagement im DAX30

Der Autor:

Dr. Marc Diederichs leitet das Konzernrisikomanagement der Aurubis AG, Hamburg. Davor war er verantwortlich für das Corporate Risk & Insurance Management der Beiersdorf AG, Hamburg. Neben seiner beruflichen Laufbahn veröffentlicht der Autor Beiträge in Fachzeitschriften und Fachbüchern, leitet Seminare und hält Vorträge zu den Themen Risikomanagement und Risikocontrolling.

"Dr. Diederichs gelingt es auf konstruktive und anschauliche Weise, die Herausforderungen und Lösungsmöglichkeiten des Risikomanagements sowie des Risikocontrollings herauszustellen. Er bietet damit Praktikern und Wissenschaftlern ein Standardwerk, welches durch seine anschauliche Struktur sowie seine unkomplizierte Ausdrucksweise besticht. Mit zahlreichen Abbildungen und präzisen Begriffserklärungen ist es eine verständliche Lektüre, die einen breiten Überblick über das Themenfeld liefert."

Antonia Köhler, ZfCM - Zeitschrift Controlling & Management, 6/2012, S.450

"Diederichs Ansatz des Risikomanagements und des Risikocontrollings, vor allem die hier vorgeschlagenen Aufgaben und Instrumente, können in verschiedenen Branchen angewandt werden. Selbstverständlich müssen Aufgaben und Instrumente hier entsprechend konkretisiert und angepasst werden, aber auch hierzu gibt das Buch Hinweise... Das Buch kann daher jedem empfohlen werden, der sich in Theorie und Praxis mit Risikomanagement und Risikocontrolling beschäftigt."

Peter Bömelburg, Zeitschrift Die Wirtschaftsprüfung, 15-2011, zur Vorauflage