Regelungen des KonTraG zum Risikomanagement und ihre Interpretation

Inhaltsverzeichnis

Abkürzungsverzeichnis

1. Einleitung

2. Darstellung einzelner KonTraG-Regelungen

3. Umsetzung in die betriebliche Praxis
3.1. Definition des Risikobegriffs
3.2. Der Prozeß des Risikomanagements
3.2.1. Festlegung einer Risikostrategie
3.2.2. Identifikation der Risiken (Risikoinventur)
3.2.3. Bewertung und Analyse der identifizierten Risiken
3.2.4. Darstellung der Risikosituation des Unternehmens
3.2.5. Handhabung der Risiken
3.2.6. Risikocontrolling
3.2.7. Dokumentation

4. Prüfung des Risikomanagement-Systems
4.1. Prüfung durch die interne Revision
4.2. Prüfung durch den Abschlußprüfer

5. Schlußbemerkung

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

In der jüngeren Vergangenheit kam es immer wieder zu aufsehenerregenden Unternehmenskrisen und -zusammenbrüchen. Als Beispiele seien hier die Insolvenz der Bremer Vulkan Verbund AG, die Liquiditätskrise der Metallgesellschaft AG, der Konkurs des Schneider-Imperiums und jüngst der Zusammenbruch der Holzmann AG genannt. Häufig wurden die sich anbahnenden Unternehmensschieflagen wegen mangelhafter Kontrolle zu spät erkannt. Diese Erfahrungen ließen Zweifel an der Wirksamkeit des im AktG definierten dualistischen Systems, bestehend aus Vorstand und Aufsichtsrat, aufkommen.¹ Um derartigen Vorfällen in Zukunft vorzubeugen, aber auch um das deutsche Wirtschaftsrecht zu modernisieren und zu internationalisieren, hat der deutsche Gesetzgeber am 5. März 1998 das KonTraG verabschiedet, das am 1. Mai 1998 in Kraft getreten ist.² Es handelt sich hierbei um ein Rahmengesetz, das zahlreiche Änderungen bereits bestehender Gesetze und Verordnungen enthält und sich u.a. auf das Risikomanagement auswirkt.³ Auch auf internationaler Ebene gibt es Bestrebungen, das Risikomanagement in den Unternehmen zu verbessern. Bedeutsam sind in diesem Zusammenhang vor allem die Arbeiten des COSO in den USA.⁴ Welche Aufgaben sich aus den Neuregelungen im Rahmen des KonTraG für die Unternehmen im Hinblick auf das Risikomanagement ergeben, wie diese umgesetzt werden können und welche Rolle dabei das Controlling, die interne Revision und der Wirtschaftsprüfer spielen, soll in dieser Arbeit dargestellt werden.

2. Darstellung einzelner KonTraG-Regelungen

Die im Zusammenhang mit dem Risikomanagement relevanten gesetzlichen Regelungen des KonTraG finden sich sowohl im AktG als auch im HGB.

Gemäß § 91 Abs. 2 AktG hat der Vorstand einer AG,,geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden."

Diese Vorschrift bildet die gesetzliche Grundlage für die Verpflichtung des Vorstands einer AG, ein Risikomanagement, eine interne Revision, ein Controlling und ein Frühwarnsystem vorzuhalten.⁵ Dies ergibt sich auch aus der allgemeinen Gesetzesbegründung⁶ sowie der Begründung zu § 91 Abs. 2 AktG⁷. Auf eine äquivalente Regelung im GmbHG hat der Gesetzgeber bewußt verzichtet, da zu erwarten ist, daß die aktienrechtlichen Regelungen Ausstrahlungswirkung auf GmbHs und sonstige publizitätspflichtige Unternehmen haben werden.

Das KonTraG hat mit der jetzt explizit im Gesetz aufgenommenen Verpflichtung, für ein funktionierendes Risikomanagement zu sorgen, keine grundlegend neue Verpflichtung für die Unternehmen in Bezug auf das Risikomanagement hervorgebracht. Die Norm des § 91 Abs. 2 AktG konkretisiert lediglich die allgemeine Leitungsaufgabe des Vorstands gemäß § 76 AktG.⁸ Insofern handelt es sich lediglich um eine Hervorhebung bereits bestehender und nicht etwa zusätzlicher Aufgaben des Vorstands.⁹

Wie die Umsetzung dieser Anforderungen im Detail erfolgt, hängt von der Größe, Branche, Struktur, dem Kapitalmarktzugang usw. der Unternehmung ab.¹⁰ Einerseits wird vorgeschlagen, eine Arbeitsgruppe, bestehend aus Vertretern der Rechtsabteilung, des Controlling, der internen Revision und des Finanzwesens einzurichten, die, eventuell mit Unterstützung eines Wirtschaftsprüfers, die Implementierung des Risikomanagementsystems übernimmt.¹¹ Denkbar ist aber auch, allein der internen Revision die Entwicklung der Verfahren und Methoden sowie die Einführung des Risikomanagementsystems anzuvertrauen.¹²

Bei Vorliegen eines Konzerns hat die Muttergesellschaft ein konzernweites Risikomanagement einzurichten, das auch die Risiken, die von den Tochtergesellschaften ausgehen, einbezieht.¹³

Für Aktiengesellschaften, die Aktien mit amtlicher Notierung ausgegeben haben, erstreckt sich der Prüfungsgegenstand im Rahmen der Jahresabschlußprüfung laut § 317 Abs. 4 HGB auch auf das im § 91 Abs. 2 AktG geforderte Überwachungssystem.

Die Ergebnisse seiner Prüfung hat der Jahresabschlußprüfer gemäß § 321 Abs. 4 HGB in einem besonderen Teil des Prüfungsberichts festzuhalten.

Zu Einzelheiten, die die Prüfung des Risikomanagementsystems betreffen, siehe Kapitel 4.

3. Umsetzung in die betriebliche Praxis

3.1. Definition des Risikobegriffs

Objekt des Risikomanagements ist das Risiko. Da der Begriff ,,Risiko" nicht eindeutig definiert ist, liegt es nahe, zunächst eine geeignete Definition dieses Begriffs zu finden, die im Zusammenhang mit dem KonTraG angemessen ist. Zunächst wird grob unterschieden zwischen dem ,,reinen Risiko" und dem ,,spekulativen Risiko". Ersteres läßt sich als bloßes Schadensrisiko charakterisieren, während letzteres das Risiko aus unternehmerischer Betätigung darstellt und sowohl Chancen als auch Risiken beinhaltet. Dieses läßt sich weiter in ,,Risiko im engeren" und ,,Risiko im weiteren Sinne" untergliedern.¹⁴ Ausgehend von letzterer Definition wird unter Risiko Variabilität, also die Streuung einer Größe verstanden. Diese kann sowohl in Form einer positiven als auch einer negativen Abweichung von einer Zielvorgabe oder einem erwarteten Ergebnis auftreten.¹⁵ Als Beispiel sei hier das Wechselkursrisiko einer Forderung in ausländischer Währung angeführt, das sowohl Chancen (bei steigendem Wechselkurs) als auch Risiken (bei Kursverfall) beinhaltet. Dagegen stellt das ,,Risiko im engeren Sinne" die Gefahr dar, einen Schaden oder Verlust zu erleiden. Es wird also lediglich die negative Abweichung in die Betrachtung einbezogen.

Da im § 91 Abs. 2 AktG von ,,den Fortbestand der Gesellschaft gefährdenden Entwicklungen" die Rede ist, ist davon auszugehen, daß im Zusammenhang mit dem KonTraG das ,,Risiko im engeren Sinne" gemeint ist.¹⁶

3.2. Der Prozeß des Risikomanagements

Es läßt sich bereits an dieser Stelle erahnen, daß es kein Patentrezept zur Umsetzung der gesetzlichen Anforderungen in die betriebliche Praxis gibt. Lediglich die einzelnen Schritte im Rahmen des Risikomanagement-Prozesses, der sich als Regelkreis auffassen läßt, werden - u.U. mit leichten Modifikationen - in jedem Betrieb anzutreffen sein. Welche Schritte in einem KonTraG-konformen Risikomanagementsystem zu durchlaufen sind und wie dieser Regelkreis abläuft, wird nachfolgend dargestellt.

3.2.1. Festlegung einer Risikostrategie

Die Notwendigkeit eines Risikomanagements ergibt sich aus mehreren Tatsachen. Einerseits tätigen Unternehmen i.d.R. Geschäfte, um Gewinne zu erzielen. Andererseits sind diese Geschäfte meist auch mit Risiken behaftet, die zu Verlusten führen können. Es besteht somit ein klassischer Trade-Off zwischen Gewinnchance und Verlustrisiko. Geht man davon aus, daß die Mehrheit der Unternehmen risikoavers ist, so ist das Motiv des Risikomanagements ein Sicherheitsstreben, mit dem Ziel, das Verhältnis von Chance zu Risiko positiv zu beeinflussen.¹⁷ Dieses Ziel allein ist jedoch noch zu vage, um daraus eine Risikostrategie ableiten zu können. Vielmehr ist es notwendig, daß die Unternehmensleitung die Ziele und Werttreiber des Unternehmens, die dessen Strategie bilden, kommuniziert.¹⁸ Derartige Ziele können die Erreichung eines bestimmten Marktanteils, Bekanntheitsgrades, umfassende Kostenführerschaft usw. sein. Anschließend ist als Teil der Unternehmensstrategie eine mit dieser im Einklang stehende Risikostrategie zu entwickeln.¹⁹

Dazu sind von der Unternehmensleitung zunächst kritische Beobachtungsbereiche sowohl im Unternehmen als auch in dessen Umwelt festzulegen. Ferner sind von allen Unternehmensbereichen anzuwendende Meßkriterien zu bestimmen, die das Risikoausmaß operationalisieren. Im nächsten Schritt legt die Unternehmensleitung Zielvorgaben im Sinne von Eskalationskriterien fest, die das maximal tolerierbare Ausmaß eines Einzelrisikos definieren, und bei dessen Überschreitung Gegenmaßnahmen zu treffen sind.²⁰ Dabei ist zwischen existenzgefährdenden und Bagatellrisiken zu differenzieren, wobei gemäß § 91 Abs. 2 das Hauptaugenmerk allein schon aus Wirtschaftlichkeitsgründen auf erstere zu richten ist.²¹ Dazu hat die Unternehmensleitung bei der Formulierung der Risikostrategie festzulegen, ab welcher Grenze einzelne oder akkumulierte Risiken bestandsgefährdend sind.²² Hierin liegt in zweifacher Hinsicht eine besondere Schwierigkeit. Einerseits ist die Bewertung der Risiken, auf die unter 3.2.3. eingegangen wird, nicht immer einfach. Andererseits stellt sich in diesem Zusammenhang die Frage, welche Größe zur Beurteilung der Bestandsgefährdung herangezogen wird. So weisen Füser, Gleißner und Meier darauf hin, daß sich Risiken in der Praxis oft dann als bestandsgefährdend erwiesen, wenn sie dazu führten, daß mehr als die Hälfte des Grundkapitals aufgezehrt worden sei.²³ Da das bilanzielle Grundkapital jedoch eine Nominalgröße mit sehr begrenztem Aussagegehalt ist und das Handelsrecht zudem diverse Ansatz-, Ausweis- und Bewertungswahlrechte bereitstellt, sollte nach Ansicht von Saitz bei der Festlegung der Bestandsgefährdung auf bilanzielle Größen verzichtet und statt dessen auf zuverlässigere Bezugsgrößen, beispielsweise den Cash-Flow, zurückgegriffen werden.²⁴

3.2.2. Identifikation der Risiken (Risikoinventur)

In dieser Phase des Risikomanagement-Prozesses werden zunächst die Unternehmensbereiche abgegrenzt, die ein den Fortbestand des Unternehmens gefährdendes Risikopotential in sich bergen²⁵. Methodisch wird hierzu eine top-down gerichtete Vorgehensweise empfohlen, d.h. der Vorstand selbst ermittelt die betrieblichen Bereiche, die ein Gefährdungspotential beinhalten.²⁶ Auf operativer Ebene werden alsdann die bereichsspezifischen Risiken, zu denen Prozeß- und Betriebsrisiken zählen, systematisch, möglichst vollständig und in regelmäßigen Zeitabständen identifiziert.²⁷ Dies hat einerseits den Vorteil, daß die jeweils betroffenen Abteilungen (Process-Owner) meist über Spezialkenntnisse ,,ihrer" Risiken verfügen.²⁸ Andererseits kristallisieren sich auf diese Weise Risk-Owner heraus, die später die Bewältigung ,,ihrer" Risiken übernehmen können.²⁹ So leuchtet es ein, daß beispielsweise der Absatzbereich eines Unternehmens am besten über bestehende und erst recht über potentielle Risiken im Absatzbereich informiert ist. Allerdings gilt es auch zu beachten, daß gewisse Risiken, z.B. Personal- und rechtliche Risiken, bereichsübergreifender Natur und dementsprechend ggf. von der nächsthöheren Unternehmensebene (Kompetenz- oder Service- Center) zu erfassen sind.³⁰

Es ist zu betonen, daß die Risikoidentifikation ein äußerst wichtiger Teilschritt ist, bei dem es neben möglichst vollständiger vor allem auf rechtzeitige Erfassung der Risiken ankommt.³¹ Denn wenn ein Risiko erst erkannt wird, wenn es sich bereits zahlenmäßig niedergeschlagen hat, ist es für Gegenmaßnahmen i.d.R. zu spät.

Daher ist die Risikofrüherkennung anhand schwacher Signale sehr ernst zu nehmen. Dieses Konzept beruht auf der Erfahrung, daß sich viele Unternehmensentwicklungen häufig bereits durch unstrukturierte und unscharfe Informationen ankündigen.³² Schließlich geht auch aus dem Gesetzestext eindeutig hervor, daß eine frühzeitige Erkennung der Risiken gewährleistet sein muß.

3.2.3. Bewertung und Analyse der identifizierten Risiken

Die identifizierten Risiken müssen anhand der von der Unternehmensleitung festgelegten Operationalisierungskriterien bewertet werden. Die Bewertung dient der Klassifikation in bestandsgefährdende und vernachlässigbare Risiken.³³ Um Vergleichbarkeit und Aggregierbarkeit herzustellen, ist es wichtig, daß sich alle Unternehmensbereiche an die festgelegten Bewertungsmethoden halten. Je nach Art der Risiken kommen quantitative oder qualitative Methoden bzw. kardinale oder ordinale Bewertungskonzepte in Betracht.

Im Idealfall ist eine quantitative Bewertung der Risiken in monetären Größen, was einem kardinalen Konzept entspricht, möglich. Die Voraussetzung hierfür ist, daß einerseits eine Schadenshöhe und andererseits eine Eintrittswahrscheinlichkeit bestimmbar sind, deren Produkt den Erwartungswert des Schadens angibt.³⁴ Praktisch könnte die Ermittlung der Schadenshöhe und der Eintrittswahrscheinlichkeit anhand empirisch beobachteter Fälle, beispielsweise unter Rückgriff auf eigene Erfahrungen mit Reklamationen und Krankenstatistiken oder Schadensstatistiken von Versicherungen erfolgen. Aus diesen Datenquellen lassen sich Ausmaße und Häufigkeiten von bekannten Schadenssituationen entnehmen, die Rückschlüsse auf künftige Schadenshöhen und Eintrittswahrscheinlichkeiten ähnlich gearteter Fälle zulassen.³⁵ Wenn jedoch völlig neuartige Risiken identifiziert werden, ist man bei der Bewertung auf subjektive Schätzungen der Schadenshöhe und Eintrittswahrscheinlichkeit angewiesen.³⁶

Während die Quantifizierung von Risiken insbesondere im Finanzbereich recht unproblematisch ist, wird es in anderen Unternehmensbereichen Schwierigkeiten bereiten, Risiken in Währungseinheiten auszudrücken.³⁷ Daher wird vorgeschlagen, in diesen Fällen die Risiken anhand qualitativer Größen i.V.m. ordinalen Konzepten darzustellen. So könnte man Risiken in diesen Fällen auf einer Skala von niedrig bis existenzbedrohend einordnen.³⁸ Schwierig wird dann allerdings die Festlegung von Eskalationskriterien und die Beurteilung, ob diese eingehalten werden sowie die Einschätzung von Risiken im Hinblick auf deren Bestandsgefährdungspotential, worauf aber gerade im Rahmen des § 91 Abs. 2 AktG ein besonderes Gewicht zu legen ist.³⁹ Als Ausweg wird vorgeschlagen, auch schwer quantifizierbare Risiken zunächst in Währungseinheiten darzustellen, um formal dem KonTraG zu genügen, diesen Beträgen aber bei der Handhabung der Risiken nicht allzuviel Bedeutung beizumessen, um ,,Scheingenauigkeit" zu vermeiden.⁴⁰

Die Analyse der Risiken ist eng mit der Bewertung verknüpft und befaßt sich neben der Klassifizierung von Risiken mit deren Ursachen.⁴¹ Ferner sind im Rahmen der Risikoanalyse Wechselwirkungen zwischen identifizierten Risiken aufzudecken und Mehrfacherfassungen zu eliminieren.⁴² Auf diese Weise wird eine unzulässige Addition von Einzelrisiken vermieden und statt dessen eine Konsolidierung unter Berücksichtigung von kompensatorischen oder verstärkenden Effekten gewährleistet.⁴³ Schließlich liefert die Risikoanalyse Informationen über die Art des Risikos (versicherbar/nichtversicherbar, Absatz-/Beschaffungsrisiko usw.) und gibt erste Aufschlüsse über die in Frage kommenden Maßnahmen zu dessen Handhabung.⁴⁴

3.2.4. Darstellung der Risikosituation des Unternehmens

Die identifizierten, bewerteten und analysierten Risiken müssen in angemessener Form kommuniziert werden, damit die Entscheidungsträger der Unternehmung noch rechtzeitig Gegenmaßnahmen ergreifen können.⁴⁵ Dieses Reporting geschieht stufenweise, d.h. daß auf niedrigeren Hierarchieebenen niedrigere Meldegrenzen existieren als auf höheren. Schrittweise erfolgt dann auf den nächsthöheren Hierarchieebenen eine Aggregation, so daß sich nach und nach eine globale Sicht der Risiken ergibt, die berücksichtigt, daß viele kleine Risiken kumuliert bedeutsam werden können.⁴⁶ Dieser bottom-up Vorgehensweise kommt dabei eine Filterfunktion zu, die auf höchster Ebene nur noch die wesentlichen Risiken herauskristallisiert.⁴⁷

Formal kann die Darstellung der Risikosituation mit Hilfe von Risk-Maps oder Statusberichten erfolgen.⁴⁸ Zur Verdeutlichung des Ausmaßes der Bedrohung durch einzelne Risiken und deren Größenrelationen bieten sich darüber hinaus Risikoportfolios und - ranglisten als Darstellungsform an, welche bei der Erarbeitung von Maßnahmen zur Risikohandhabung als Entscheidungsgrundlage nützlich sind.⁴⁹

Bei der Berichterstattung stellt sich die Frage, ob die Risiken vor (brutto) oder nach (netto) der Einleitung von Gegenmaßnahmen dargestellt werden. Vorteil der ersten Darstellungsform ist, daß das gesamte Gefährdungspotential ersichtlich wird, während letztere für mehr Übersichtlichkeit sorgt.⁵⁰

Es bietet sich an, im Rahmen der Risikokommunikation auf die bereits im Unternehmen etablierten Informationswege zurückzugreifen. Dabei kommt in erster Linie das i.d.R. dem Controlling obliegende Berichtswesen in Betracht. Ob der Risikreport in die bestehenden Berichte eingebunden oder separat erstellt wird, ist vom jeweiligen Unternehmen fallweise zu entscheiden.⁵¹

3.2.5. Handhabung der Risiken

Auch wenn die Handhabung der Risiken nicht explizit im Gesetz gefordert wird, so leuchtet es doch ein, daß ein Risikomanagement-System nur dann sinnvoll ist, wenn es die identifizierten Risiken auch bewältigt.⁵² Darüber hinaus lassen sich realistische Aussagen zur Risikosituation eines Unternehmens ohnehin nur unter Berücksichtigung von Gegenmaßnahmen treffen.⁵³ Zur Handhabung von Risiken stehen Maßnahmen der Risikovermeidung, Risikoverminderung, Risikokompensation, Risikoübertragung und Risikotragung zur Verfügung.⁵⁴ Welche Maßnahme im Einzelfall geeignet ist, hängt von den im Rahmen der Risikobewertung und -analyse gewonnenen Erkenntnissen bezüglich Ausmaß und Art des Risikos ab.

Risikovermeidungbedeutet, risikobehaftete Geschäfte von vornherein zu unterlassen. Allerdings entgehen dem Unternehmen dann auch die mit einem Projekt verbundenen Chancen. Im übrigen ist die unternehmerische Betätigung an sich schon mit Risiken behaftet, so daß Risikovermeidung nur in wenigen Einzelfällen als geeignete Maßnahme anzusehen ist.⁵⁵

Risikoverminderungzielt darauf ab, den Erwartungswert eines Schadens zu vermindern. Da sich dieser Erwartungswert aus zwei Komponenten, nämlich dem geschätzten Verlust und dessen Eintrittswahrscheinlichkeit zusammensetzt, besteht auch die Möglichkeit, entweder das Ausmaß oder die Eintrittswahrscheinlichkeit zu senken.⁵⁶

Risikokompensation nutzt die Tatsache, daß Risiken nicht vollständig oder im Idealfall sogar negativ korreliert sind.⁵⁷ Insbesondere im Finanzbereich eines Unternehmens ist diese Maßnahme sehr wirkungsvoll, um z.B. Wechselkurs- oder Zinsrisiken durch Derivate abzusichern (Hedging). Aber auch im Beschaffungs-, Produktions-, und Absatzbereich sind Anwendungsbereiche dieser Maßnahme, die meist mit Diversifizierung einhergeht, anzutreffen.

Risikoübertragungerfolgt durch Abschluß von Verträgen. Bei versicherbaren Risiken übernimmt eine Versicherung gegen Entgelt die Risiken, denkbar ist aber auch die vertragliche Festsetzung von Konventionalstrafen, beispielsweise im Beschaffungsbereich.⁵⁸Risikotragungbedeutet, daß Risiken hingenommen werden, weil sie durch andere Maßnahmen nicht oder nicht wirtschaftlich gehandhabt werden können. Hierzu zählen z.B. Konjunkturrisiken, politische Risiken, Umweltrisiken usw., denen beispielsweise durch Bildung von Rücklagen begegnet werden kann.⁵⁹

3.2.6. Risikocontrolling

Das Controlling fungiert als Bindeglied zwischen den operativen Einheiten und der Unternehmensleitung.⁶⁰ Es übernimmt die Koordination von Planung, Informationsversorgung, Kontrolle und Steuerung im Rahmen des Risikomanagement- Prozesses (sog. Aktivitäten-Viereck).⁶¹ Die Koordination erfolgt, indem die Schritte und Elemente des Risikomanagements in zeitlicher und sachlicher Hinsicht aufeinander abgestimmt werden, wodurch ein konsistenter, permanenter Überwachungsprozeß sowie die systematische Zusammenfassung der Einzelrisiken gewährleistet wird.⁶² Das Controlling unterstützt die jeweiligen Unternehmensbereiche bei der Identifikation, Bewertung und Analyse der Risiken und liefert dem Management in entsprechend aufbereiteter Form entscheidungsrelevante Informationen über bestehende und potentielle Risiken.⁶³ Diese Unterstützungsfunktion umfaßt ferner die Mitwirkung bei der Erarbeitung und Überarbeitung der Risikostrategie durch die Unternehmensleitung.⁶⁴ Darüber hinaus übernimmt das Controlling die prozeßbegleitende Kontrolle der Teilschritte des Risikomanagement- Prozesses u.a. im Hinblick auf die Einhaltung und Angemessenheit von Grenzwerten.⁶⁵

3.2.7. Dokumentation

Zwar wird die Dokumentation des Risikomanagement-Systems nicht explizit vom Gesetzgeber gefordert, so ist dennoch davon auszugehen, daß ein nicht dokumentiertes Risikomanagement nicht den Anforderungen des § 91 Abs. 2 genügt.⁶⁶ Die Notwendigkeit einer Dokumentation ergibt sich außerdem, weil ihr eine Rechenschaftsfunktion, Sicherungsfunktion und Prüfbarkeitsfunktion zukommt.⁶⁷

Das bedeutet, daß die Unternehmensleitung im Falle einer Krise ihr pflichtgemäßes Verhalten nachweisen kann (Rechenschaftsfunktion)⁶⁸. Ferner gewährleistet die Dokumentation die dauerhafte Einhaltung der festgelegten Maßnahmen, was insbesondere bei einem Mitarbeiterwechsel von Bedeutung ist (Sicherungsfunktion).⁶⁹ Schließlich schafft eine gewissenhafte Dokumentation die Grundlage für die Prüfung des Risikomanagements durch den Abschlußprüfer (Prüfbarkeitsfunktion).⁷⁰

Formal kann die Dokumentation mittels eines Risikohandbuchs geschehen, das beispielsweise Beobachtungsbereiche, Meldegrenzen, Berichtswege, Methoden zur Risikobewertung etc. definiert.⁷¹ Bei z.B. nach ISO zertifizierten Unternehmen dürften sich hierbei Synergieeffekte dergestalt ergeben, daß auf bestehende Dokumentationen z.T. zurückgegriffen werden kann.⁷²

4. Prüfung des Risikomanagement-Systems

4.1. Prüfung durch die interne Revision

Das Risikomanagement kann nur dann funktionieren, wenn sichergestellt ist, daß dessen Maßnahmen sowohl geeignet sind als auch eingehalten werden. Emmerich weist darauf hin, daß die in der Einleitung genannten Unternehmenskrisen oftmals nicht auf das gänzliche Fehlen eines Risikomanagements zurückzuführen waren, sondern darauf, daß Risiken nicht beachtet, nicht oder unsachgemäß gehandhabt wurden oder das Risikomanagement sogar außer Funktion gesetzt wurde.⁷³

Die Aufgabe der internen Revision als prozeßunabhängige Instanz ist die Prüfung der Eignung und Überwachung der Einhaltung der im Rahmen des Risikomanagements vorgesehenen Maßnahmen.⁷⁴ Damit wird der Forderung des § 91 Abs. 2 AktG, ,,insbesondere ein Überwachungssystem einzurichten" Rechnung getragen.⁷⁵ Entgegen der expliziten Forderung in der Gesetzesbegründung zu § 91 Abs. 2 AktG, für eine interne Revision zu sorgen, vertritt Emmerich die Ansicht, daß diese Überwachungsfunktion nicht zwangsläufig durch die interne Revision wahrgenommen werden muß, sondern auch durch externe Dienstleister mit entsprechendem Fachwissen ausgeübt werden kann.⁷⁶

4.2. Prüfung durch den Abschlußprüfer

Gemäß § 317 Abs. 4 HGB hat der Abschlußprüfer bei Aktiengesellschaften, die Aktien mit amtlicher Notierung ausgegeben haben, zu beurteilen,,,ob der Vorstand die ihm nach § 91 Abs. 2 des AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungsystem seine Aufgaben erfüllen kann."Aus dieser Formulierung geht hervor, daß sich die Prüfung lediglich auf das Vorhandensein, die Zweckentsprechung und die Einhaltung des Frühwarn- und Überwachungssystems, nicht aber auf die Maßnahmen zur Handhabung der Risiken erstreckt.⁷⁷ Somit handelt es sich bei der Prüfung des Risikomanagement-Systems um eine sog. Systemprüfung, nicht etwa um eine Geschäftsführungsprüfung.⁷⁸ Im Gegensatz zur traditionellen Jahresabschlußprüfung, für die als Prüfungsmaßstab gesetzlich fixierte Rechnungslegungsnormen existieren, gibt es diesen klassischen Soll/Ist-Vergleich bei der Prüfung des Risikomanagements nicht, da allgemein anerkannte Standards für die Beschaffenheit von Risikomanagement-Systemen fehlen.⁷⁹ Die Ergebnisse seiner Prüfung hält der Abschlußprüfer gem. § 321 Abs. 4 HGB in einem besonderen Teil des Prüfungsberichts fest. Darin hat er ggf. auch darauf einzugehen,,,ob Maßnahmen erforderlich sind, um das interne Überwachungssystem zu verbessern". Nach herrschender Auffassung ist diese Regelung eng auszulegen, d.h. es ist im Prüfungsbericht lediglich darauf einzugehen, ob Maßnahmen zur Verbesserung erforderlich sind, nicht welche.⁸⁰

5. Schlußbemerkung

Ob die gesteckten Ziele des Gesetzgebers, insbesondere die in der Einleitung erwähnten Unternehmenskrisen in Zukunft zu verhindern, erreicht wurden, läßt sich zu diesem Zeitpunkt noch nicht sagen, da das KonTraG erst seit kurzem in Kraft ist. Eine gewisse Skepsis scheint geboten, wenn man berücksichtigt, daß sich die Kernanforderungen an die Unternehmen im Hinblick auf das Risikomanagement nicht wesentlich geändert haben und insofern alles beim Alten bleiben könnte. Diesem Szenario könnten jedoch die verbesserte interne Überwachung durch die explizit geforderte interne Revision sowie eine qualitativ verbesserte und nun risikoorientierte Abschlußprüfung durch den Wirtschaftsprüfer entgegenwirken.

Entscheidend beeinflußt wird der Erfolg des KonTraG durch die Grundeinstellung der Unternehmen gegenüber den Regelungen zum Risikomanagement. Fassen die betroffenen Unternehmen die Regelungen als Chance auf, dürften die Bemühungen des Gesetzgebers wohl auch von Erfolg gekrönt werden.

Literaturverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

[...]

---

¹ Vgl. Pollanz (1999), S. 393.

² Vgl. Seidel (1998), S. 363.

³ Vgl. Meyding/Mörsdorf (1999), S. 5.

⁴ Vgl. Brebeck/Herrmann (1997), S. 381.

⁵ Vgl. Lück (1998b), S. 1925.

⁶ Vgl. Deutscher Bundestag (1998), S. 11.

⁷ Vgl. Deutscher Bundestag (1998), S. 15.

⁸ Vgl. Hommelhoff/Mattheus (1998), S. 251.

⁹ Vgl. Kuhl/Nickel (1999), S. 133.

¹⁰ Vgl. Deutscher Bundestag (1998), S. 15.

¹¹ Vgl. Kuhl/Nickel (1999), S. 133; Pollanz (1999), S. 397.

¹² Vgl. Saitz (1999), S. 86.

¹³ Vgl. Brebeck/Herrmann (1997), S. 386.

¹⁴ Vgl. Kless (1998), S. 93.

¹⁵ Vgl. Kromschröder/Lück (1998), S. 238 f.

¹⁶ Vgl. Kromschröder/Lück (1998), S. 238 f.

¹⁷ Vgl. Karten (1993), Sp. 3828.

¹⁸ Vgl. Saitz (1999), S. 81.

¹⁹ Vgl. Füser/Gleißner/Meier (1999), S. 753.

²⁰ Vgl. Saitz (1999), S. 82.

²¹ Vgl. Kless (1998), S. 94.

²² Vgl. Saitz (1999), S. 83.

²³ Vgl. Füser/Gleißner/Meier (1999), S. 753.

²⁴ Vgl. Saitz (1999), S. 84.

²⁵ Vgl. IDW HFA (1999), S. 659.

²⁶ Vgl. Füser/Gleißner/Meier (1999), S. 754.

²⁷ Vgl. Emmerich (1999), S. 1080.

²⁸ Vgl. Saitz (1999), S. 75.

²⁹ Vgl. Füser/Gleißner/Meier (1999), S. 754.

³⁰ Vgl. Füser/Gleißner/Meier (1999), S. 754.

³¹ Vgl. Emmerich (1999), S. 1079.

³² Vgl. Lück (1998b), S. 1927.

³³ Vgl. Kromschröder/Lück (1998), S. 1574.

³⁴ Vgl. Emmerich (1999), S. 1082.

³⁵ Vgl. Emmerich (1999), S. 1083.

³⁶ Vgl. Emmerich (1999), S. 1083.

³⁷ Vgl. Saitz (1999), S. 82.

³⁸ Vgl. Saitz (1999), S. 83.

³⁹ Vgl. Emmerich (1999), S. 1083.

⁴⁰ Vgl. Saitz (1999), S. 83.

⁴¹ Vgl. Kless (1998), S. 95.

⁴² Vgl. Füser/Gleißner/Meier (1999), S. 754.

⁴³ Vgl. Emmerich (1999), S. 1083.

⁴⁴ Vgl. Lück (1998b), S. 1927.

⁴⁵ Vgl. Emmerich (1999), S. 1084.

⁴⁶ Vgl. IDW HFA (1999), S. 659.

⁴⁷ Vgl. Emmerich (1999), S. 1084.

⁴⁸ Vgl. Emmerich (1999), S. 1083.

⁴⁹ Vgl. Emmerich (1999), S. 1083.

⁵⁰ Vgl. Saitz (1999), S. 93.

⁵¹ Vgl. Saitz (1999), S. 93.

⁵² Vgl. Lück (1998a), S. 13.

⁵³ Vgl. Emmerich (1999), S. 1084 f.

⁵⁴ Vgl. Karten (1993), Sp. 3832.

⁵⁵ Vgl. Kless (1998), S. 96.

⁵⁶ Vgl. Karten (1993), Sp. 3832 f.

⁵⁷ Vgl. Karten (1993), Sp. 3833.

⁵⁸ Vgl. Karten (1993), Sp. 3833 f.

⁵⁹ Vgl. Kless (1998), S. 96.

⁶⁰ Vgl. Saitz (1999), S. 95.

⁶¹ Vgl. Lück (1998a), S. 10 f.

⁶² Vgl. Kromschröder/Lück (1998), S. 243.

⁶³ Vgl. Lück (1998b), S. 1929.

⁶⁴ Vgl. Füser/Gleißner/Meier (1999), S. 757.

⁶⁵ Vgl. Saitz (1999), S. 95; Lück (1998a), S. 10 f.

⁶⁶ Vgl. Giese (1998), S. 453.

⁶⁷ Vgl. Lück (1998b), S. 1930.

⁶⁸ Vgl. Kless (1998), S. 94.

⁶⁹ Vgl. Jacob (1998), S. 1946.

⁷⁰ Vgl. Brebeck/Förschle (1999), S. 183; Pollanz (1999), S. 399.

⁷¹ Vgl. Meyding/Mörsdorf (1999), S. 9; Kless (1998), S. 94.

⁷² Vgl. Kuhl/Nickel (1999), S. 135.

⁷³ Vgl. Emmerich (1999), S. 1086.

⁷⁴ Vgl. Saitz (1999), S. 76.

⁷⁵ Vgl. Lück (1998b), S. 1928; Deutscher Bundestag (1998), S. 15.

⁷⁶ Vgl. Emmerich (1999), S. 1086.

⁷⁷ Vgl. Jacob (1998), S. 1045/1047; IDW HFA (1999), S. 659.

⁷⁸ Vgl. IDW HFA (1999), S. 660.

⁷⁹ Vgl. Brebeck/Herrmann (1997), S. 390.

⁸⁰ Vgl. z.B. Schindler/Rabenhorst (1998), S. 1941.