Content

2.3 Anforderungen seitens der Abschlussprüfer in:

Marc Diederichs

Risikomanagement und Risikocontrolling, page 55 - 67

3. Edition 2012, ISBN print: 978-3-8006-4222-9, ISBN online: 978-3-8006-4223-6, https://doi.org/10.15358/9783800642236_55

Series: Finance Competence

Bibliographic information
2.3 Anforderungen seitens der Abschlussprüfer 35 2.3 Anforderungen seitens der Abschlussprüfer Im Rahmen der Jahresabschlussprüfung sind nach § 317 HGB unter anderem das Risikofrüherkennungs- und -überwachungssystem sowie der risikoorientierte Lagebericht durch den Jahresabschlussprüfer zu prüfen (vgl. Abb. 2-20). In den folgenden Ausführungen werden sowohl die gesetzlichen Grundlagen als auch die Anforderungen seitens des Instituts der Wirtschaftsprüfer (IDW) und des Deutschen Standardisierungsrats (DSR) dargestellt. Prüfung desRisikofrüherkennungs- und -überwachungssystems nach § 317 Abs. 4 HGB i.V.m. IDW PS 340 Prüfung der risikoorientierten Lageberichterstattung nach § 317 Abs. 2 HGB i.V.m. IDW PS 350 und DRS 15 (sowieDRS 5, 5-10 und 5-20) Bestandteileder Jahresabschlussprüfung Abb. 2-20: Bestandteile der Jahresabschlussprüfung 2.3.1 Prüfung des Risikofrüherkennungs- und -überwachungssystems 2.3.1.1 Rechtliche Grundlagen der Prüfung Ein Bestandteil der Prüfung ist nach § 317 Abs. 4 HGB die Prüfung des nach § 91 Abs. 2 AktG einzurichtenden Risikofrüherkennungs- und -überwachungssystems. Die Vorschrift ist auf börsennotierte Aktiengesellschaften beschränkt.71 Die Beschränkung wird dadurch begründet, dass bei dieser Unternehmensform aufgrund der großen Zahl von Anlegern und potentiellen Investoren Maßnahmen zur Verbesserung des Shareholder Values von besonderer Bedeutung sind.72 Bei Gesellschaften, bei denen § 317 Abs. 4 HGB nicht anzuwenden ist, kann die Prüfung Gegenstand einer vertraglichen Erweiterung des Prüfungsantrags sein. Eine Besonderheit stellt die Prüfung nach § 53 HGrG dar. Diese Prüfungsvorschrift gilt für Unternehmen in einer Rechtsform des privaten Rechts, bei denen einer Gebietskörperschaft die Mehrheit der Anteile oder wenigstens 25 Prozent der Anteile und ihr zusammen mit anderen Gebietskörperschaften die Mehrheit der Anteile gehören. Bei der Prüfung wird u.a. die Ordnungsmäßigkeit der Geschäftsführung geprüft. Da die Einrichtung eines Risikofrüherkennungs- und -überwachungssystems zu den Sorgfaltspflichten eines ordentlichen und gewissenhaften Geschäftsführers zu zählen ist, ist es implizit Bestandteil der Prüfung.73 Bei der Abschlussprüfung hat der Prüfer nach § 317 Abs. 4 HGB zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfül- 71 Vgl. zur Börsennotierung § 3 Abs. 2 AktG. 72 Vgl. Ernst (1999), S. 344. 73 Vgl. Gelhausen (2000b), S. 1383. 2. Grundlagen und Begrifflichkeiten36 len kann, also insbesondere zur Aufdeckung wesentlicher Risiken fähig ist. Dabei handelt es sich nicht um eine Geschäftsführungsprüfung, sondern um eine Systemprüfung. Es wird geprüft, ob das System vorhanden, geeignet und funktionsfähig ist. Es soll festgestellt werden, ob alle erforderlichen Maßnahmen − gemeint sind die durch die Pflicht zur Einrichtung eines Risikofrüherkennungs- und -überwachungssystems obliegenden Maßnahmen − zweckdienlich sind und in dem zu prüfenden Zeitraum eingehalten wurden. Das bedeutet nach berufsständischer Rechtsauslegung, dass nicht das gesamte Risikomanagement Prüfungsgegenstand im Sinne von § 317 Abs. 4 HGB ist.74 Die Prüfung erstreckt sich ausschließlich auf das nach § 91 Abs. 2 AktG geforderte Risikofrüherkennungs- und Risiko- überwachungssystem, welches sich aus der Risikoidentifikation, -analyse, -kommunikation und -überwachung zusammensetzt.75 Reaktionen, das heißt eingeleitete oder durchgeführte Handlungen zur Risikobewältigung, bleiben unberücksichtigt (vgl. Abb. 2-21).76 Die Qualität der Risikobewältigung und damit die Qualität der Entscheidungen des Managements sind nicht Gegenstand der Prüfungs- und Berichterstattungspflicht. Hier sei angemerkt, dass es sich in der Unternehmenspraxis meist nicht vermeiden lässt, bei der Prüfung Bestandteile einer Geschäftsführungsprüfung aufzugreifen.77 Risikofrüherkennungssystem Risikoüberwachungssystem Risikobewältigung (kein Prüfungsgegenstand) Risikoidentifikation Risikoanalyse Risikokommunikation Kontrollen InterneRevision Risikomanagementsystem Abb. 2-21: Prüfungsgegenstand nach § 317 Abs. 4 HGB78 Es ist festzuhalten, dass der Abschlussprüfer gesetzlich aufgefordert ist, das Risikofrüherkennungs- und -überwachungssystem und den Lagebericht zu prüfen. Näher konkretisiert der Gesetzgeber den Prüfungsgegenstand im Gesetz und in den entsprechenden Gesetzesbegründungen nicht. Welcher Kriterienkatalog bei der Gestaltung der Prüfung zur Anwendung kommen muss, lässt er offen. 74 Vgl. IDW (2000), S. 2 f., Tz. 3 ff.; Eggemann/Konradt (2000), S. 504. 75 Vgl. BT-Drs. 13/9712, S. 27; Oechsle/Wirth (1999), S. 576. 76 Vgl. IDW (1999), S. 658, Tz. 6; Oechsle/Wirth (1999), S. 577; Böcking/ Orth (2000), S. 250 f. 77 Vgl. Böcking/Orth (1998c), S. 360; IDW (1999), S. 660, Tz. 19. 78 Entnommen aus Eggemann/Konradt (2000), S. 506. 2.3 Anforderungen seitens der Abschlussprüfer 37 Die allgemein gehaltene, gesetzliche Vorschrift wurde vom IDW aufgegriffen, interpretiert und anhand eines allgemeinen, branchenunabhängigen Prüfungsstandards konkretisiert.79 In diesem Standard – gemeint ist der IDW PS 340 − werden Charakteristika definiert, wie ein Risikofrüherkennungs- und -überwachungssystem aus Jahresabschlussprüfersicht in den Grundzügen zu gestalten und zu prüfen ist. 2.3.1.2 Anforderungen seitens des IDW Das IDW hat mit dem PS 340 einen Kriterienkatalog aufgestellt, anhand dessen die Prüfung des Risikofrüherkennungs- und -überwachungssystems erfolgt.80 Damit wird geprüft, ob die Geschäftsführung die nach § 91 Abs. 2 AktG geforderten Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann. Zwar hat der Standard wegen seiner fehlenden parlamentarischen Legitimation des IDW aus juristischer Sicht keinen Gesetzescharakter und ist in strittigen Fällen seitens der Judikative auf Gesetzeskonformität und Anwendbarkeit zu überprüfen. Dennoch gibt er der Unternehmenspraxis Anhaltspunkte, welche Aspekte beim Aufbau eines unternehmensweiten Risikomanagements zu berücksichtigen sind.81 Die in Abb. 2-22 zusammengefassten Bestandteile der Prüfung nach IDW PS 340 werden im Folgenden näher beschriebenen. Festlegung der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können Anforderungenseitens des IDW an ein Risikofrüherkennungs-und -überwachungssystem nach § 91Abs. 2 AktG (nach IDW PS 340) Risikoerkennung &Risikoanalyse Risikokommunikation Zuordnung von Verantwortlichkeiten und Aufgaben Einrichtung eines Überwachungssystems Dokumentation der getroffenen Maßnahmen Abb. 2-22: Bestandteile der Prüfung nach IDW PS 340 2.3.1.2.1 Bestandsgefährdende Risikofelder Da Risiken grundsätzlich in allen Unternehmensbereichen auftreten können, sollten sich die nach § 91 Abs. 2 AktG zu etablierenden Maßnahmen auf das gesamte Unternehmen erstrecken.82 Es sind sämtliche Funktionsbereiche und Stabsfunktionen einschließlich aller betrieblichen Prozesse hierarchieübergreifend zu untersuchen. Dabei gelten für jedes Unternehmen individuelle Rahmenbedingungen, so dass sich jedes Unternehmen in einer von anderen Unternehmen unterscheidenden Risikosituation befindet und infolgedessen andere 79 Vgl. zur Position des IDW Hommelhoff/Mattheus (2000), S. 32 ff.; Böcking/Orth (2000), S. 248. 80 Vgl. IDW PS 340 (2000), S. 1-11. 81 Vgl. Vogler/Engelhard/Gundert (2000), S. 1426. 82 Vgl. hierzu und ff. IDW PS 340 (2000), S. 3, Tz. 7 und 8. 2. Grundlagen und Begrifflichkeiten38 Risikofelder relevant sind. Diese Risikofelder gilt es, zu identifizieren und voneinander abzugrenzen. Es ist kontinuierlich zu untersuchen, ob aus ihnen Risiken hervorgehen, die − nach Art oder Umfang, isoliert, kumuliert oder interdependent − den Bestand des Unternehmens gefährden können. Eine Bestandsgefährdung liegt vor, wenn der Eintritt eines Risikos zur Zahlungsunfähigkeit oder Überschuldung des Unternehmens führt. Neben den beschriebenen internen Risikofeldern müssen auch externe Risiken betrachtet werden. Damit sind Risiken aus dem Unternehmensumfeld gemeint, die von außen auf das Unternehmen einwirken. 2.3.1.2.2 Risikoerkennung und -analyse Die Risikoerkennung erfordert, dass sowohl Risiken bekannter Risikofelder, als auch – soweit möglich – Auffälligkeiten oder Risiken, die keinem vorab definierten Risikofeld ähneln, identifiziert werden können.83 Der Erfolg ist dabei in besonderem Maße vom Risikobewusstsein der Mitarbeiter abhängig. Damit ist die Schaffung und Fortentwicklung eines Risikobewusstseins vor allem in den Unternehmensteilen und -funktionen von Bedeutung, die als besonders risikoanfällig einzuschätzen sind. Bewusstseinsschaffende und -fördernde Maßnahmen sind entsprechend der Unternehmenssituation und Ausprägung der Risiken aufzusetzen. Neben der Identifikation der Risiken wird deren Analyse gefordert. So hat eine Beurteilung der Tragweite der erkannten Risiken hinsichtlich Eintrittswahrscheinlichkeit und Ergebniseffekt zu erfolgen. Der Ergebniseffekt kann dabei zum Beispiel anhand des möglichen Vermögensverlustes oder der potentiellen Beeinträchtigung der Finanz- und Ertragslage bei Risikoeintritt beurteilt werden. Zudem ist einzuschätzen, ob Einzelrisiken, die isoliert betrachtet von nachrangiger Relevanz sind, im Zusammenwirken oder kumuliert mit anderen Risiken im Zeitablauf zu einem bestandsgefährdenden Risiko anwachsen können. 2.3.1.2.3 Risikokommunikation Eine zentrale Stellung innerhalb des nach § 91 Abs. 2 AktG einzurichtenden Systems nimmt die Risikokommunikation ein.84 Risikorelevante Informationen und Tatbestände sind an die jeweiligen Entscheidungsträger weiterzuleiten. Insbesondere Informationen über unbewältigte Risiken sollten durch eine Risikoberichterstattung in nachweisbarer Form für die entsprechenden Entscheidungsträger bereitgestellt werden. Dies setzt eine Kommunikationsbereitschaft der verantwortlichen Stellen voraus, die gegebenenfalls durch entsprechende Schulungsmaßnahmen zu fördern ist. Um sicherzustellen, dass sich isoliert betrachtete Risiken von nachrangiger Relevanz nicht im Zusammenwirken mit anderen Risiken zu einem bestandsgefährdenden Risiko entwickeln, sind auf jeder Hierarchiestufe geeignete Schwellenwerte festzulegen, deren Überschreiten eine Berichtspflicht auslöst. Die Kommunikation ist zudem flexibel zu gestalten. Neu aufgetretene, wesentliche Risiken sind durch eine Ad-hoc-Berichterstattung, also ohne mehrere Hierarchieebenen durchlaufen zu müssen, den jeweiligen Entscheidungsträgern und gegebenenfalls der Unternehmensleitung zu übermitteln. 83 Vgl. hierzu und ff. IDW PS 340 (2000), S. 3 f., Tz. 9 und 10. 84 Vgl. hierzu und ff. IDW PS 340 (2000), S. 4, Tz. 11 und 12. 2.3 Anforderungen seitens der Abschlussprüfer 39 2.3.1.2.4 Zuordnung von Verantwortlichkeiten und Aufgaben Die Bereiche und Funktionen im Unternehmen tragen die Verantwortung dafür, dass dort auftretende Risiken erfasst und bewältigt werden.85 Im Falle der Nichtbewältigung sind entsprechende Informationen an festgelegte Berichtsempfänger weiterzuleiten. Zudem ist ein interdisziplinärer Austausch sicherzustellen. Ein übergreifender Informationsaustausch zwischen den Unternehmensbereichen ermöglicht, dass eine Aggregation, wechselseitige Verstärkung oder Kompensation von Risiken erkannt, kontrolliert und koordiniert werden kann. Das IDW erachtet es als zweckmäßig, die Verantwortung für den Informationsaustausch den jeweils für die Unternehmensbereiche zuständigen Berichtsempfängern zu übertragen. 2.3.1.2.5 Einrichtung eines Überwachungssystems Die Einhaltung der nach § 91 Abs. 2 AktG einzurichtenden Maßnahmen zur Erfassung und Kommunikation bestandsgefährdender Risiken und deren Entwicklung im Zeitablauf ist mit Hilfe eines Überwachungssystems zu gewährleisten.86 Die Überwachung hat durch in die Prozesse integrierte Kontrollen zu erfolgen. Sie sollen unter anderem die Einhaltung von Meldegrenzen und Terminen überwachen sowie die Risikoberichterstattung sicherstellen. Das System ist zudem durch die interne Revision zu überwachen. Als prozessunabhängige Instanz prüft sie, ob die Maßnahmen eingehalten werden. Laut IDW soll die Revision die vollständige Erfassung aller Risikofelder, die kontinuierliche Anwendung und Angemessenheit der eingerichteten Maßnahmen zur Risikoerfassung und Risikokommunikation sowie die Einhaltung der integrierten Kontrollen untersuchen. 2.3.1.2.6 Dokumentation der getroffenen Maßnahmen Zur Unterstützung und Sicherstellung der personenunabhängigen Funktionsfähigkeit der Maßnahmen und zum Nachweis der Pflichterfüllung der Unternehmensleitung wird seitens des IDW gefordert, die etablierten Maßnahmen einschließlich des Überwachungssystems in ausreichender Art und Weise zu dokumentieren.87 Es wird die Erstellung eines Risikohandbuchs vorgeschlagen, das die organisatorischen Regeln und Maßnahmen enthalten sollte. Das IDW merkt an, dass eine unvollständige oder fehlende Dokumentation in der Regel zu Zweifeln an der dauerhaften Funktionsfähigkeit der etablierten Maßnahmen führt. Die laufenden Unterlagen sollten zum Nachweis der kontinuierlichen Anwendung der etablierten Maßnahmen über einen angemessen langen Zeitraum archiviert werden. An dieser Stelle ist auf das Gesetz zu verweisen: Gemäß § 257 Abs. 1 Nr. 1 und Abs. 4 HGB ist die Systemdokumentation zehn Jahre aufzubewahren. Die laufenden Unterlagen (Risikomeldungen, Risikoberichte oder ähnliches) sollten mindestens sechs Jahre aufbewahrt werden, da sie dem Nachweis der kontinuierlichen Anwendung des Systems und dem Nachweis der Sorgfaltspflicht der Geschäftsleitung dienen. 85 Vgl. hierzu und ff. IDW PS 340 (2000), S. 4 f., Tz. 13 und 14. 86 Vgl. hierzu und ff. IDW PS 340 (2000), S. 5, Tz. 15 und 16. 87 Vgl. hierzu und ff. IDW PS 340 (2000), S. 6, Tz. 17 und 18. 2. Grundlagen und Begrifflichkeiten40 2.3.2 Prüfung der risikoorientierten Lageberichterstattung 2.3.2.1 Rechtliche Grundlagen der Prüfung Neben dem Risikofrüherkennungs- und -überwachungssystem ist die Prüfung des Lageberichts ein Bestandteil der Abschlussprüfung. Es ist nach § 317 Abs. 2 HGB zu prüfen, ob der Lagebericht mit dem Jahresabschluss und mit den bei der Prüfung gewonnenen Erkenntnissen im Einklang steht. Außerdem ist zu beurteilen, ob der Lagebericht insgesamt ein zutreffendes Bild von der Lage des Unternehmens vermittelt. Darüber hinaus prüft der Abschlussprüfer, ob die Chancen und Risiken der künftigen Entwicklung zutreffend – das heißt richtig und vollständig – dargestellt sind. Für den Konzernlagebericht enthält § 317 Abs. 2 HGB eine äquivalente Vorschrift. Näher konkretisiert der Gesetzgeber den Prüfungsgegenstand nicht. Welcher Kriterienkatalog bei der Prüfung zur Anwendung kommen muss, lässt er offen. Bei der Prüfung der risikoorientierten Lageberichterstattung orientiert sich der Abschlussprüfer an dem Prüfungsstandard 350 des IDW (IDW PS 350). Der Standard legt vor allem den Prüfungsgegenstand, -umfang und -ablauf sowie die Prüfungshandlungen fest. Wie eine risikoorientierte Lageberichterstattung auszusehen hat, führt das IDW allerdings nicht aus. Hinsichtlich der Gestaltung der Risikoberichterstattung verweist der PS 350 auf die Ausführungen vom Deutschen Standardisierungsrat (DSR). Der Jahresabschlussprüfer vermutet die Beachtung der die Konzernrechnungslegung betreffenden Grundsätze ordnungsmäßiger Buchführung, soweit die Rechnungslegungsstandards des DSR seitens des zu prüfenden Unternehmens beachtet werden.88 In den folgenden Ausführungen werden die relevanten Standards näher vorgestellt. 2.3.2.2 Anforderungen seitens des DSR Der DSR hat mit dem DRS 15 einen Standard definiert, der die Lageberichterstattung für Mutterunternehmen regelt, die einen Konzernlagebericht gemäß § 315 HGB aufstellen.89 Die Regeln des DRS 15 sind bewusst so formuliert, dass sie den individuellen Erfordernissen der Lageberichterstattung verschiedener Unternehmen und Branchen gerecht werden. Mit Bekanntmachung durch das BMJ hat der Standard für Konzernunternehmen den Status von Grundsätzen ordnungsmäßiger Buchführung und ist nach § 342 HGB verbindlich. Daneben empfiehlt das DSR auch eine Anwendung auf den Lagebericht gemäß § 289 HGB. Hier stellt der Standard aufgrund des beschränkten Aufgabengebietes des DSR im Sinne des § 342 HGB nur eine allgemeine Orientierungshilfe dar. Nach dem DSR hat der Konzernlagebericht entscheidungsrelevante und verlässliche Informationen zu enthalten, die den Adressaten ein zutreffendes Bild vom Geschäftsverlauf und der Lage des Konzerns vermitteln. Er hat über die wesentlichen Chancen und Risiken zu informieren, die zukünftig die Geschäftstätigkeit voraussichtlich bestimmen werden. So fordert der DRS 15, folgende Elemente bei der Erstellung zu berücksichtigen: 88 Vgl. IDW PS 350 (2009), S. 1. 89 Vgl. DRS 15 (2010), S. 2. Die folgenden Ausführungen sind dem DRS 15 entnommen oder an diesen Standard angelehnt. 2.3 Anforderungen seitens der Abschlussprüfer 41 • Geschäft und Rahmenbedingungen, • Vermögens-, Finanz- und Ertrags-, • Nachtragsbericht, • Chancen- und Risikobericht, • Risikoberichterstattung über die Verwendung von Finanzinstrumenten, • IKS und Risikomanagementsystem bezogen auf den Konzernrechnungslegungsprozess, • Übernahmerelevante Angaben und • Erklärung gemäß § 289a HGB und Versicherung der gesetzlichen Vertreter. Daneben enthält der DRS 15 in der Anlage Empfehlungen für die Lageberichterstattung. Für die Risikoberichterstattung gelten mit • DRS 5 (allgemeine Grundsätze zur Risikoberichterstattung), • DRS 5-10 (Risikoberichterstattung von Kredit- und Finanzdienstleistungsinstituten) und • DRS 5-20 (Risikoberichterstattung von Versicherungsunternehmen) weitere Standards, die Regeln zur Gestaltung des Lageberichts beinhalten. Fortfolgend werden nur die Elemente erläutert, die die risikoorientierte Lageberichterstattung betreffen (vgl. Abb. 2-23). Auf die Spezialvorschriften der DRS 5-10 und 5-20 wird nicht eingegangen. Chancen-&Risikobericht nach DRS 15 und DRS 5 RisikoorientierteLageberichterstattung nach demDSR Risikoberichterstattung in Bezugauf die Verwendung von Finanzinstrumenten nach DRS 15 Internes Kontrollsystem und Risikomanagementsystem bezogen auf den Konzernrechnungslegungsprozess nach DRS 15 Abb. 2-23: Bestandteile der risikoorientierten Lageberichterstattung nach dem DSR 2.3.2.2.1 Chancen- und Risikobericht nach DRS 15 und DRS 5 Nach DRS 15 hat die Geschäftsführung im Chancen- und Risikobericht ihre Erwartungen über die voraussichtliche Entwicklung des Konzerns mit ihren wesentlichen Chancen und Risiken zu erläutern und zu einer Gesamtaussage zu verdichten. Risiken dürfen dabei nicht mit Chancen verrechnet werden. Die Darstellung der Erwartungen hat sich auf die wirtschaftlichen Rahmenbedingungen, die Branchenaussichten sowie mögliche Entwicklungstrends einschließlich der wesentlichen 2. Grundlagen und Begrifflichkeiten42 Einflussfaktoren zu beziehen.90 Hierbei sind auch Aussagen über Änderungen der Geschäftspolitik, die Erschließung neuer Absatzmärkte, die Verwendung neuer Verfahren (wie z.B. in der Produktion) und das Angebot neuer Produkte oder Dienstleitungen darzustellen. Die damit verbundenen voraussichtlichen Investitionsvolumina sind zu erläutern. Zudem sind die Erwartungen der Geschäftsführungen zur Entwicklung von Finanz- und Ertragslage einschließlich einer Trendaussage anzugeben. Sollte der Konzernabschluss eine Segmentberichterstattung umfassen, sind nach DRS 15 auf die Segmente entsprechend gesondert einzugehen. Sollte die zukünftige Entwicklung der gesamtwirtschaftlichen Rahmenbedingungen nur mit einer großen Unsicherheit eingeschätzt werden können, kann nach DRS 15 von konkreten Aussagen zur voraussichtlichen wirtschaftlichen Entwicklung des Konzerns abgesehen werden. Ein vollständiger Verzicht auf diese Angaben ist jedoch unzulässig. Die Risikoberichterstattung bezieht sich auf die Lage des Konzerns zum Zeitpunkt der Aufstellung des Konzernlageberichts. Es ist über Risiken zu berichten, die (finanzielle) Entscheidungen von Berichtsadressaten beeinflussen können. Das ist in der Regel bei den Risiken der Fall, die die Gefahr einer deutlichen Verschlechterung der wirtschaftlichen Lage bergen oder zu einer Bestandsgefährdung führen können. Bestandsgefährdende Risiken sind als solche zu kennzeichnen. Berichtspflichtig sind zudem insbesondere Risikokonzentrationen, wie zum Beispiel Konzentrationen auf einzelne Kunden, Lieferanten, Produkte, Patente und Länder. Soweit es für die Beurteilung erforderlich ist, sind wesentliche Veränderungen gegenüber dem Vorjahr zu beschreiben. Risiken sind mit ihrer Bedeutung für den Konzern und ihren potentiellen Konsequenzen anhand von anerkannten und verlässlichen Methoden zu quantifizieren und verständlich zu erläutern. So kann die Risikobeurteilung zum Beispiel anhand der betragsmäßigen Auswirkung und der Eintrittswahrscheinlichkeit der Risiken erfolgen. Die Darstellung von Risikointerdependenzen ist dann erforderlich, wenn die Risiken nur auf diese Weise zutreffend beurteilt werden können. Nach dem DSR ist bei der Risikoeinschätzung von einem dem jeweiligen Risiko adäquaten Prognosezeitraum auszugehen. Für bestandsgefährdende Risiken sollte grundsätzlich ein Zeitraum von einem Jahr zugrunde gelegt werden. Für qualitative Informationen, für die eine Prognose abzugeben ist, hat sich der Zeitraum auf mindestens zwei Jahre zu erstrecken. Bei Unternehmen mit längeren Marktzyklen oder bei komplexen Großprojekten kann auch ein längerer Betrachtungszeitraum sinnvoll sein. Der Zeitraum, auf den sich die dargestellten Erwartungen beziehen, ist anzugeben. Für das kommende Geschäftsjahr wird eine Quantifizierung der Erwartungen empfohlen. Generell müssen die Ausführungen erkennen lassen, dass es sich um Prognosen handelt. Die wesentlichen Annahmen und Unsicherheiten bei der Beurteilung der voraussichtlichen Entwicklung sind darzustellen. Im Bericht ist grundsätzlich das Restrisiko anzugeben. Wird ein Risiko durch die eingesetzten Maßnahmen kompensiert (wie zum Beispiel durch Termingeschäfte oder Versicherungen), ist nur das verbleibende Risiko darzustellen und zu erläutern. Über Risiken, für die im 90 Vgl. hierzu und ff. DRS 15 (2010), S. 17 f. Tz. 83-92 und DRS 5 (2010). 2.3 Anforderungen seitens der Abschlussprüfer 43 Jahresabschluss finanzielle Vorsorge zum Beispiel durch Abschreibungen oder Rückstellungen getroffen wurde, ist nur zu berichten, wenn dies zur Gesamteinschätzung der Risikosituation erforderlich ist. Die Risiken sind zu den Kategorien zusammenzufassen, die auch im Rahmen des Risikomanagements intern angewendet werden. Als Beispiel nennt das DSR • Umfeldrisiken und Branchenrisiken, • strategische Risiken, • leistungswirtschaftliche Risiken, • Personalrisiken, • informationstechnische Risiken, • finanzwirtschaftliche Risiken und • sonstige Risiken. Die Darstellung der Chancen der voraussichtlichen Entwicklungen darf nach DRS 15 von der Risikoberichterstattung getrennt erfolgen. Die Darstellungsform sollte sich laut DSR danach richten, wie die zu machenden Angaben besser zum Ausdruck kommen. Die einmal gewählte Darstellungsform ist im Sinne des Stetigkeitsprinzips kontinuierlich anzuwenden. Neben den Risiken ist auch auf das Risikomanagement-System einzugehen. Die Darstellung soll in einem angemessenen Umfang den Adressaten ein Bild über die Strategie, die Organisation und die Prozesse vermitteln. 2.3.2.2.2 Risikoberichterstattung in Bezug auf die Verwendung von Finanzinstrumenten nach DRS 15 Sollte es für die Beurteilung der Lage oder der voraussichtlichen Entwicklung wesentlich sein, fordert der DRS 15, im Konzernlagebericht auf folgende Punkte hinsichtlich der Verwendung von Finanzinstrumenten einzugehen: • Risikoarten (wie zum Beispiel Marktpreis-, Ausfall- und Liquiditätsrisiken), denen der Konzern aufgrund der Verwendung von Finanzinstrumenten ausgesetzt ist, • Risikomanagement-Ziele für die entsprechenden Risikoarten und • Risikomanagement-Methoden zur Begegnung dieser Risiken.91 Es sind Art und Ausmaß der Risiken anzugeben. Die Beschreibung kann nach DSR zum Beispiel anhand von Sensitivitätsanalysen wie dem Value-at-Risk erfolgen. Die Angabe zum Risikoausmaß ist allerdings nur bei offenen Risikopositionen verpflichtend. Es gilt nicht für Marktpreis-, Ausfall- und Liquiditätsrisiken, die durch Sicherungsgeschäfte gedeckt sind. Hinsichtlich der Risikomanagement-Ziele ist zu beschreiben, ob die Risiken grundsätzlich vermieden werden oder ob und in welchem Umfang der Konzern bereit oder gezwungen ist, 91 Vgl. hierzu und ff. DRS 15 (2010), S. 19 f. Tz. 93-99. 2. Grundlagen und Begrifflichkeiten44 sie einzugehen. Es ist die Art und Weise darzulegen, mit der vermiedene von eingegangenen Risiken abgegrenzt werden. Daneben ist zu erläutern, wie die Risiken, die sich aus der Verwendung von Finanzinstrumenten ergeben, gesteuert, das heißt minimiert, reduziert, versichert bzw. überwälzt werden. Hierbei ist auf die Systematik sowie die Art und Kategorien der eingegangenen Sicherungsgeschäfte einzugehen. Wenn es für das Verständnis erforderlich ist, sind die absichernden Finanzinstrumente den jeweiligen Risiken zuzuordnen. Bei der Darstellung ist nach DRS 15 damit auf folgende Punkte einzugehen: • Art der Grundgeschäfte, • Art der verwendeten Sicherungsinstrumente, • Art der gesicherten Risiken, • Maßnahmen zur Sicherung der angestrebten Effektivität der Absicherungen92, • Art der Sicherungsbeziehung (Mikro-, Makro-, Portfolio-Hedge) und antizipative Sicherungsbeziehungen. Umfang und Detaillierungsgrad der Ausführungen im Konzernlagebericht haben sich nach dem DRS 15 am Ausmaß der Risiken, am risikoverursachenden Geschäft oder an der Bedeutung der Finanzinstrumente bezüglich der Vermögens-, Finanz- und Ertragslage zu orientieren. Die Pflicht, über die Finanzinstrumente zu berichten, besteht unabhängig davon, ob sie bilanziert worden sind. Die Risikoberichterstattung in Bezug auf die Verwendung von Finanzinstrumenten kann im Chancen- und Risikobericht erfolgen, wenn dies die Klarheit des Berichts nicht beeinträchtigt. Die durch den DRS 15 geforderten Informationen können auch im Konzernanhang dargestellt werden. Es ist sodann im Konzernlagebericht auf die Stelle zu verweisen. 2.3.2.2.3 Internes Kontroll- und Risikomanagementsystem bezogen auf den Konzernrechnungslegungsprozess nach DRS 15 Der Konzernlagebericht hat nach DRS 15 die wesentlichen Merkmale des internen Kontrollund Risikomanagementsystems im Hinblick auf den Konzernrechnungslegungsprozess darzustellen, wenn das Mutterunternehmen oder eines der in den Konzernabschluss einbezogenen Tochterunternehmen kapitalmarktorientiert ist.93 Die Ausführungen haben sich auf die wesentlichen Merkmale der für den Konzernabschluss maßgeblichen Rechnungslegungsprozesse der einbezogenen Unternehmen und die für den Konzernabschluss wesentlichen Merkmale der Konsolidierungsprozesse zu beziehen. Die Berichtspflicht hat sich also auf die Teile zu erstrecken, die den Konzernabschluss maßgeblich beeinflussen. Die Angaben zum System haben nach DRS 15 Strukturen, Prozesse und Kontrollen zur Erstellung des Konzernabschlusses zu umfassen. Eine Aussage zur Effektivität des Systems 92 Darunter versteht das DSR zum Beispiel die Beobachtung von Risikolimits oder etwaige Anpassungen des Sicherungsumfangs. 93 Vgl. hierzu und ff. DRS 15 (2010), S. 3 und S. 20 f. Tz. 100-106. 2.3 Anforderungen seitens der Abschlussprüfer 45 ist nicht verpflichtend. Durch die Angaben sollen Berichtsadressaten in die Lage versetzt werden, das interne Kontrollsystem und Risikomanagementsystem bezogen auf den Konzernrechnungslegungsprozess beurteilen zu können. Wenn kein System eingerichtet ist, ist dies anzugeben. Die Ausführungen zum internen Kontrollsystem im Hinblick auf den Konzernrechnungslegungsprozess haben die Grundsätze und Verfahren zur Sicherung der Wirksamkeit der Kontrollen zu umfassen. Unter Wirksamkeit als Kontrollziel versteht der DSR die Sicherstellung der Regelungskonformität des Konzernabschlusses und des Konzernlageberichts. Sollte der Konzern zudem Verfahren einsetzen, die die Wirtschaftlichkeit der Kontrollen sicherstellen und hinsichtlich des Kontrollziels wesentlich sind, sind diese auch zu beschreiben. Zudem ist nach dem DSR auf das interne Revisionssystem einzugehen, wenn es Maßnahmen bezüglich des Kontrollziels trifft. Die Ausführungen zum Risikomanagementsystem im Hinblick auf den Konzernrechnungslegungsprozess haben nach DRS 15 folgende Punkte zu umfassen: • Maßnahmen zur Erkennung und Bewertung der Risiken, die dem Ziel der Regelungskonformität des Konzernabschlusses maßgeblich entgegenstehen können, • Maßnahmen zur Begrenzung erkannter Risiken, sofern diese wesentlich sind, • Maßnahmen zur Überprüfung der identifizierten Risiken bezüglich ihres Einflusses auf den Konzernabschluss und ihre Abbildung, sollten sie wesentlich sein. Die Ausführungen zum internen Kontrollsystem im Hinblick auf den Konzernrechnungslegungsprozess können mit den Ausführungen zum Risikomanagementsystem im Hinblick auf den Konzernrechnungslegungsprozess zusammengefasst werden. Diese zusammengeführten Angaben können wiederum mit den Ausführungen zum allgemeinen Risikomanagement gemäß DRS 5 im (Chancen- und) Risikobericht zusammengefasst werden, sofern dies die Klarheit der Berichterstattung nicht beeinträchtigt. 2.3.2.3 Grenzen der risikoorientierten Lageberichterstattung Im Gegensatz zum handelsrechtlichen Jahresabschluss kommt dem Lagebericht eine Rechenschafts- und Informationsfunktion zu. Die Adressaten sollen ausgewogen, umfangreich und inhaltlich vollständig informiert und besser auf Chancen und Risiken aufmerksam gemacht werden. Mittels aussagekräftiger Lageberichte soll die Transparenz über die Lage der Unternehmen erhöht, eine Kommunikation zwischen den Marktteilnehmern forciert und die Erwartungen der interessierten Öffentlichkeit erfüllt werden.94 Da der Gesetzgeber keine Vorschriften zur Gestaltung des Lageberichts − das heißt zur Form sowie zum Aufbau und Umfang – festschreibt, verbleibt für die aufstellenden Unternehmen ein weitreichender Ermessensspielraum. Auch die DRS 5 und 15 sind abstrakt formuliert, um der Individualität von Unternehmen und Branchen gerecht zu werden. Zudem schränken die Grundsätze ordnungsmäßiger Lageberichterstattung die Gestaltungsfreiheit auch nur 94 Vgl. Zitzelsberger (1998), S. 132; Böcking/Orth (2000), S. 246. 2. Grundlagen und Begrifflichkeiten46 bedingt ein.95 So besteht letztlich die Gefahr, dass die Unternehmen die Spielräume nutzen und die Informationen über die Risiken im Lagebericht stark verwässern. Es ist auch zu berücksichtigen, dass es sich bei den Darstellungen zur zukünftigen Lage und den damit einhergehenden Risiken weitestgehend um Prognosen handelt. Um hierüber zu einer Aussage zu kommen, sind in der Unternehmenspraxis Meinungen und Einschätzungen von Mitarbeitern aus der Organisation und der Geschäftsführung einzuholen. Der subjektive Charakter der Informationen kann also nicht ausgeschlossen werden. Darüber hinaus werden Prognosen ungenauer, je länger der Zeitraum gewählt wird. Zudem wird es schwierig sein, die den Prognosen zugrunde liegenden Annahmen, die Wirkungszusammenhänge und die Art der Schätzung abschließend darzustellen.96 Daneben ist anzumerken, dass bei einer detaillierten Berichterstattung über die Risiken der künftigen Entwicklungen die Gefahr besteht, dass sensible Informationen an die Öffentlichkeit gelangen. Hieraus können sich für das publizierende Unternehmen Wettbewerbsnachteile ergeben.97 Außerdem sehen sich Unternehmen dem Dilemma gegenüber, dass die Risikoberichterstattung zu einer sich selbst erfüllenden Prophezeiung führen kann (self-fulfilling prophecy).98 Aufgrund von Anpassungsreaktionen der Berichtsadressaten können die Risiken eintreten und so der Bestand des Unternehmens gefährdet werden.99 Unternehmen haben also zwischen dem Interesse, den Fortbestand zu sichern, und dem Interesse einer detaillierten Berichterstattung, abzuwägen. Im Zweifel ist die Schutzwürdigkeit der Adressaten höher zu bewerten als die des Unternehmens. Die Abwägung des Schutzinteresses des Unternehmens gegen die Informationsinteressen der Lageberichtsadressaten hat daher zugunsten der Adressaten zu erfolgen.100 Sollten allerdings Angaben zu den Risiken die Gefahr bergen, dass dadurch erhebliche Nachteile seitens des Unternehmens hingenommen werden müssen, ist nach herrschender Meinung eine Verallgemeinerung der Risikodarstellung zulässig, jedoch keinesfalls ein vollständiger Verzicht.101 Ein Unterlassen der Berichterstattung über Risiken mit Berufung auf die Selbstschutzklausel gemäß § 286 HGB ist abzulehnen. Abschließend stellt sich die Frage, ob Risiken im Lagebericht darzustellen sind, wenn hierfür im Jahresabschluss Vorsorge durch Wertberichtigungen oder Rückstellungen getroffen wurde. Während Kajüter die Frage mit der Begründung bejaht, dass die Angaben zu den Bilanzpositionen im Anhang häufig wenig aussagekräftig sind, vertreten Adler, Düring und Schmaltz eine differenzierte Meinung.102 Danach erübrigt sich eine Darstellung im Lagebericht, wenn das Risiko durch die Rückstellungsbildung umfassend und abschließend berück- 95 Vgl. Baetge/Schulze (1998), S. 938; Kajüter (2002), S. 243. 96 Vgl. Dörner/Bischof (1999a), S. 396. 97 Vgl. Meyding/Mörsdorf (1999), S. 6 f. 98 Vgl. Gehlhausen (1997), S. 74; Baetge/Schulze (1998), S. 943; Bitz (2000b), S. 8. 99 Vgl. Moxter (1997), S. 723; Dörner/Bischof (1999a), S. 382 f.; Küting/Hütten (1997), S. 255. 100 Vgl. Küting/Hütten (1997), S. 255; Baetge/Schulze (1998), S. 943; Kajüter (2001a), S. 106. 101 Vgl. Baetge/Schulze (1998), S. 943; Rodewald (2001), S. 2160; Kajüter (2002), S. 245. 102 Vgl. Kajüter (2001a), S. 106; Adler/Düring/Schmaltz (2001), S. 150. 2.4 Zwischenbetrachtung 47 sichtigt wurde. Eine Berichterstattung im Risikobericht halten sie allerdings dann für erforderlich, wenn trotz einer bestehenden Rückstellung zusätzliche Belastungen aus dem Sachverhalt, der der Rückstellungsbildung zugrunde liegt, nicht ausgeschlossen werden können. Da es ein typisches Merkmal von Rückstellungen ist, dass der ihnen zugrunde liegende Sachverhalt nicht umfassend und abschließend geregelt ist, ist davon auszugehen, dass auch derartige Risiken im Lagebericht darzustellen sind. Der DRS 5 drückt sich hierzu in etwa so aus: Über Risiken, für die im Jahresabschluss zum Beispiel durch Rückstellungen finanzielle Vorsorge getroffen wurde, ist nur zu berichten, wenn dies zur Gesamteinschätzung der Risikosituation von Bedeutung ist.103 2.4 Zwischenbetrachtung Die Erreichung von Zielen, die Umsetzung definierter Strategien und der damit einhergehende unternehmerische Erfolg hängen davon ab, inwieweit es gelingt, sich auf Risiken vorzubereiten und damit umzugehen. Nur wenn ein Unternehmen seine Risiken kennt, analysiert, bewältigt und kontinuierlich überwacht, wird es seine Marktposition festigen und Wettbewerbsvorteile ausbauen können. Somit sind Risikomanagement und Risikocontrolling eine betriebswirtschaftliche Notwendigkeit. Durch die Etablierung geeigneter Strukturen, Systeme und Maßnahmen sowie durch eine sichtbare Positionierung im Unternehmen ist diesem Aspekt Rechnung zu tragen. Dabei sind der gesetzliche Pflichtenrahmen und die Anforderungen seitens der Wirtschaftsprüfer zu erfüllen. Aus diesen Anforderungen, die in Abb. 2-24 zusammengefasst sind, lassen sich weitere Aspekte ableiten, die bei der Gestaltung eines ganzheitlichen Risikomanagements zu berücksichtigen sind. Sie lassen sich wie folgt zusammenfassen:104 • Ausrichtung: Das Risikomanagement hat sich an den unternehmerischen Zielen und Strategien zu orientieren. Daran ist die Risikostrategie festzumachen. • Integration: Das Risikomanagement ist in die betrieblichen Abläufe zu integrieren. Dies fördert das Risikobewusstsein in der Organisation und gewährleistet die frühzeitige Identifikation, Beurteilung und Steuerung von Risiken. • Flexibilität: Das Risikomanagement-System ist flexibel zu gestalten. Es muss sich leicht an sich ändernde Rahmenbedingungen und Risikosituationen anpassen lassen. • Kontinuität und Systematik: Risikomanagement darf nicht als einmalige Aktion verstanden werden oder sporadisch erfolgen. Es muss sich in einem kontinuierlichen und systematischen Prozess auf allen hierarchischen Ebenen vollziehen. Anderenfalls besteht die Gefahr, Risiken nur lückenhaft, gar nicht oder nicht rechtzeitig zu erkennen. 103 Vgl. DRS 5 (2010), S. 5 Tz. 22. 104 Vgl. Haller (1986a), S. 12; Schuy (1989), S. 33 f.

Chapter Preview

References

Zusammenfassung

Risikomanagement und Risikocontrolling

Dieses Standardwerk beschäftigt sich mit Herausforderungen und Lösungsmöglichkeiten bei der Einrichtung und Weiterentwicklung von Risikomanagement- und Risikocontrolling-Systemen. Es bietet sowohl für den lösungssuchenden Praktiker als auch für den Wissenschaftler einen großen Fundus an wertvollem Wissen und liefert zahlreiche Anregungen und Hilfestellungen sowie in der Unternehmenspraxis erprobte Lösungen und Instrumente.

Aus dem Inhalt:

- Grundlagen des Risikomanagements und Risikocontrollings

- Anforderungskatalog an das Risikomanagement und die risikoorientierte Lageberichterstattung seitens des Gesetzgebers und des Wirtschaftsprüfers

- Internes Kontrollsystem (IKS), COSO und Internes Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess

- Prozessschritte des Risikomanagements und Vorstellung praxiserprobter Instrumente zu deren Unterstützung

- Gestaltung einer Risikomanagement-Organisation, Abgrenzung von Risikomanagement und Interner Revision sowie Anforderungen an den Risikomanager

- Empfehlungen zum Aufbau einer chancen- und risikoorientierten Berichterstattung (Balanced Chance und Risk Card)

- Risikomanagement im DAX30

Der Autor:

Dr. Marc Diederichs leitet das Konzernrisikomanagement der Aurubis AG, Hamburg. Davor war er verantwortlich für das Corporate Risk & Insurance Management der Beiersdorf AG, Hamburg. Neben seiner beruflichen Laufbahn veröffentlicht der Autor Beiträge in Fachzeitschriften und Fachbüchern, leitet Seminare und hält Vorträge zu den Themen Risikomanagement und Risikocontrolling.

"Dr. Diederichs gelingt es auf konstruktive und anschauliche Weise, die Herausforderungen und Lösungsmöglichkeiten des Risikomanagements sowie des Risikocontrollings herauszustellen. Er bietet damit Praktikern und Wissenschaftlern ein Standardwerk, welches durch seine anschauliche Struktur sowie seine unkomplizierte Ausdrucksweise besticht. Mit zahlreichen Abbildungen und präzisen Begriffserklärungen ist es eine verständliche Lektüre, die einen breiten Überblick über das Themenfeld liefert."

Antonia Köhler, ZfCM - Zeitschrift Controlling & Management, 6/2012, S.450

"Diederichs Ansatz des Risikomanagements und des Risikocontrollings, vor allem die hier vorgeschlagenen Aufgaben und Instrumente, können in verschiedenen Branchen angewandt werden. Selbstverständlich müssen Aufgaben und Instrumente hier entsprechend konkretisiert und angepasst werden, aber auch hierzu gibt das Buch Hinweise... Das Buch kann daher jedem empfohlen werden, der sich in Theorie und Praxis mit Risikomanagement und Risikocontrolling beschäftigt."

Peter Bömelburg, Zeitschrift Die Wirtschaftsprüfung, 15-2011, zur Vorauflage