60
Wie vorstehend bereits dargestellt, sollten die Ergebnisse des Risikomanagementprozesses und der Risikoüberwachung in die Risikoberichterstattung eingehen, welche die Informationsbasis für die Anpassung oder Fortentwicklung der Unternehmens- und Risikostrategie darstellt. Zusammenfassend zeigt sich somit, dass das RMS ein geschlossener Kreislauf ist, welcher sich kontinuierlich fortentwickelt und auf die Bewältigung von Risiken auf Basis von Informationen und der Risikoneigung des jeweiligen Unternehmens abzielt.[82]
4. Fazit
61
Zusammenfassend kann festgehalten werden, dass das Risikomanagementsystem den Rahmen für die in die Unternehmensorganisation integrierten Prozesse zur Risikoerkennung, Risikobewertung und Risikobewältigung bildet und die Erreichung der definierten Unternehmensziele unterstützen soll.
1. Vorbemerkung und Begriffsbestimmung
62
Beim Risikofrüherkennungssystem handelt es sich aufgrund der Kodifizierung in § 91 Abs. 2 AktG um einen Pflichtbestandteil der Unternehmensorganisation von Aktiengesellschaften. Konkret wird in § 91 Abs. 2 AktG die Pflicht des Vorstands geregelt, geeignete Maßnahmen zu treffen, d.h. insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Basierend auf der allgemein anerkannten Ausstrahlungswirkung ist diese Verpflichtung auch dem Pflichtenkreis der Geschäftsführer von Gesellschaften anderer Rechtsform zuzurechnen.[83]
63
Während – wie in Rn. 31 ff. dargestellt – das Risikomanagementsystem „die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“[84] umfasst, stellt das Risikofrüherkennungssystem auf die Früherkennung bestandsgefährdender Entwicklungen ab und ist somit lediglich ein integrierter Teilaspekt des Risikomanagementsystems.[85]
64
Unter dem Begriff bestandsgefährdende Entwicklungen werden nachteilige Veränderungen von Risiken verstanden, die in der Lage sind, den Fortbestand des Unternehmens zu gefährden. Dabei handelt es sich nicht um statische Risikozustände, sondern um Negativentwicklungen. Demzufolge können als bestandsgefährdende Risiken z.B. risikobehaftete Geschäfte, Unrichtigkeiten in der Rechnungslegung oder Verstöße gegen gesetzliche Vorschriften angesehen werden, die eine wesentliche Auswirkung auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft haben können. Wesentliches Kriterium für die Kategorisierung als bestandsgefährdendes Risiko ist, dass dadurch insbesondere das Insolvenzrisiko der Gesellschaft erheblich gesteigert oder hervorgerufen wird.[86]
65
Wesentliche Aufgabe des Risikofrüherkennungssystems ist es, dem Vorstand bzw. der Geschäftsführung so frühzeitig Kenntnis über bestandsgefährdende Entwicklungen zu verschaffen, dass diese noch rechtzeitig Gegenmaßnahmen ergreifen können, um eine konkrete Bestandsgefährdung zu vermeiden.[87] Folgt man der herrschenden Meinung im juristischen Schrifttum, so ist aus § 91 Abs. 2 AktG keine Pflicht zur Einrichtung eines umfassenden Risikomanagements abzuleiten. Die Pflicht zum umfassenden Risikomanagement kann sich vielmehr aus den allgemeinen Sorgfaltspflichten eines Geschäftsleiters gem. § 93 Abs. 1 AktG und § 43 Abs. 1 GmbHG ergeben.[88] Dennoch sollte ein angemessenes Risikofrüherkennungssystem ein Mindestmaß an Maßnahmen aufweisen. Zu diesen Maßnahmen sind insbesondere die Festlegung der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können, die Risikoerkennung und Risikoanalyse, die Risikokommunikation, die Zuordnung von Verantwortlichkeiten und Aufgaben, die Einrichtung eines Überwachungssystems und die Dokumentation der getroffenen Maßnahmen zu zählen.[89] Die konkrete Ausgestaltung und der Detaillierungsgrad des RFS sollten jedoch individuell nach der Größe, Komplexität und Branchenzugehörigkeit des jeweiligen Unternehmens sowie nach der Frage, ob ein Kapitalmarktzugang besteht, ausgerichtet werden.[90]
a) Hintergrund
66
Gem. § 317 Abs. 4 HGB hat der Abschlussprüfer im Rahmen der Abschlussprüfung börsennotierter Aktiengesellschaften zu beurteilen, ob der Vorstand die nach § 91 Abs. 2 AktG erforderlichen Maßnahmen zur Risikofrüherkennung in einer geeigneten Form getroffen hat und ob das einzurichtende Überwachungssystem seine Aufgaben erfüllen kann. Daher hat das Institut der Wirtschaftsprüfer im IDW PS 340[91] die Grundsätze für die Prüfung eines Risikofrüherkennungssystems geregelt und zudem die Mindestanforderungen an ein RFS dargestellt.
b) Elemente eines Risikofrüherkennungssystems
67
Wie in Rn. 62 ff. bereits aufgezählt, sollte ein angemessenes Risikofrüherkennungssystem als Mindestmaßnahmen die Festlegung der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können, die Risikoerkennung und Risikoanalyse, die Risikokommunikation, die Zuordnung von Verantwortlichkeiten und Aufgaben, die Einrichtung eines Überwachungssystems sowie die Dokumentation der getroffenen Maßnahmen umfassen. Unter der Maßnahme Festlegung der Risikofelder wird die Untersuchung sämtlicher betrieblicher Prozesse und Funktionsbereiche hinsichtlich Risiken, die nach Art und Umfang alleine oder im Zusammenwirken mit anderen Risiken den Bestand des Unternehmens gefährden können, verstanden. Als Ergebnis der Analyse sind die Unternehmensbereiche (betriebliche Funktionen oder Prozesse) abzugrenzen, aus denen bestandsgefährdende Risiken in besonderem Maße resultieren können, sowie eine Definition der bestandsgefährdenden Risiken bzw. Risikoarten vorzunehmen.[92]
68
Die Maßnahmen Risikoerkennung und Risikoanalyse basieren auf der Schaffung und Fortentwicklung eines angemessenen Risikobewusstseins aller Mitarbeiter. Dabei ist im Rahmen der Risikoerkennung die Identifizierung sowohl im Vorhinein definierter Risiken als auch nicht definierter Risiken und Auffälligkeiten erforderlich. Die sich an die Risikoerkennung anschließende Risikoanalyse umfasst die Einschätzung der Risiken hinsichtlich Eintrittswahrscheinlichkeit und quantitativer Auswirkung. Dabei ist die quantitative Auswirkung sowohl für das isolierte Risiko als auch in Zusammenwirkung mit anderen Risiken zu betrachten.[93]
69
Die Risikokommunikation umfasst die Berichterstattung über die nicht bewältigten Risiken. Um eine Fokussierung auf die bedeutenden, bestandsgefährdenden Risiken zu ermöglichen, sollten Schwellenwerte definiert werden, deren Überschreitung eine Berichtspflicht an den Vorstand bzw. die Geschäftsführung auslöst. Für die