Corporate Governance Inside

Audit & Assurance

Auswirkungen des FISG auf die Überwachung des RMS

Mit dem am 20. Mai 2021 vom Bundestag beschlossenen FISG wird u.a. eine explizite gesetzliche Pflicht für Vorstände börsennotierter Aktiengesellschaften zur Errichtung eines angemessenen und wirksamen Risikomanagementsystems (RMS) eingeführt. Für den Aufsichtsrat bedeutet dies künftig, dass er im Rahmen seiner Überwachungsaufgabe die ordnungsgemäße Umsetzung dieser Vorstandspflicht zu überprüfen hat.

Gesetzliche Pflicht zur Errichtung eines RMS

Nach bisheriger Rechtslage müssen zwar kapitalmarktorientierte Kapitalgesellschaften in ihrem Lagebericht die wesentlichen Merkmale des RMS im Hinblick auf den Rechnungslegungsprozess beschreiben (§ 289 Abs. 4 HGB). Es besteht aber – abgesehen von branchenspezifischen Sonderregelungen (z.B. § 25a Abs. 1 KWG oder § 26 Abs. 1 VAG) – keine explizite gesetzliche Verpflichtung zur Errichtung eines RMS. Auch Grundsatz 4 DCGK statuiert eine solche Pflicht nicht. Vielmehr steht es im pflichtgemäßen Ermessen des Vorstands, ein RMS nach den vorhandenen Bedürfnissen unter Berücksichtigung der Unternehmensstrategie, des Geschäftsumfangs und anderer wichtiger Wirtschaftlichkeits- und Effizienzgesichtspunkte einzurichten.

Im Zuge des FISG verpflichtet der neue § 91 Abs. 3 AktG die Vorstände börsennotierter Gesellschaften nunmehr ausdrücklich, „darüber hinaus ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten“. Mit der Formulierung „darüber hinaus“ wird auf § 91 Abs. 2 AktG und die dort enthaltene Pflicht zur Implementierung eines Risikofrüherkennungssystems (IDW PS 340 n.F.) Bezug genommen. Hieraus sowie aus der Bezugnahme der Regierungsbegründung auf § 107 Abs. 3 S. 2 AktG und auf den DCGK wird klar, dass § 91 Abs. 3 AktG zur Implementierung eines umfassenden RMS im betriebswirtschaftlichen Sinne verpflichtet.

Konkret bedeutet dies für Vorstände börsennotierter Gesellschaften: Nach Inkrafttreten des § 91 Abs. 3 AktG (also ab dem 1. Juli 2021) besteht nunmehr ausdrücklich die Pflicht, ein angemessenes und wirksames RMS zu errichten, ohne dass ihnen hinsichtlich des „Ob“ ein Beurteilungsspielraum zusteht. Nur noch hinsichtlich des „Wie“, d.h. der konkreten Ausgestaltung des RMS steht ihnen ein haftungsfreier Ermessensspielraum nach den Grundsätzen der Business Judgement Rule zu.

Überwachung des RMS durch den Aufsichtsrat

Im Rahmen ihrer Kontrollfunktion haben Aufsichtsräte börsennotierter Gesellschaften künftig auch die Implementierung eines angemessenen und wirksamen RMS durch den Vorstand zu überwachen.

Da der neue § 107 Abs. 4 S. 1 AktG für Aufsichtsräte von Gesellschaften, die Unternehmen von öffentlichem Interesse sind, die gesetzliche Verpflichtung zur Bildung eines Prüfungsausschusses vorsieht, wird jedenfalls bei diesen Gesellschaften die Überwachung durch den Prüfungsausschuss vorgenommen.

Die pflichtgemäße Überwachung der Angemessenheit und Wirksamkeit des RMS – ob nun durch den Aufsichtsrat oder den Prüfungsausschuss – setzt voraus, dass die Betreffenden zumindest mit den Grundzügen des RMS vertraut sind. Ein – auch in der juristischen Fachliteratur allgemein anerkanntes – Framework zur Implementierung eines umfassenden RMS enthält der IDW PS 981. Nachstehend soll Aufsichtsräten daher ein kompakter Überblick zu den Grundzügen eines RMS nach IDW PS 981 gegeben werden.

Grundzüge des RMS nach dem IDW PS 981

Der IDW PS 981 beschreibt das Prüfungsvorgehen von Wirtschaftsprüfern bei der Prüfung und dient u.a. Aufsichtsgremien als Instrument zur Überwachung der Angemessenheit und Wirksamkeit von RMS. Er definiert für Zwecke der Prüfung die Grundelemente eines RMS und lehnt sich dabei an allgemein anerkannte Standards zur Einrichtung von RMS an. Jenseits von Prüfungszwecken nutzen zahlreiche Unternehmen in der Praxis die Grundelemente des IDW PS 981 als Referenzstruktur für die Einrichtung und Weiterentwicklung von RMS. Der Ausgestaltungsgrad der nachfolgend dargestellten Grundelemente variiert in der Praxis je nach Unternehmensgröße und -komplexität.

Risikokultur

Die Risikokultur als Teil der Unternehmenskultur umfasst die grundsätzliche Einstellung sowie die Verhaltensweisen beim Umgang mit Risikosituationen und gilt als kritischer Erfolgsfaktor für ein wirksames RMS. Zur Förderung des Risikobewusstseins und zur Schaffung einer zielführenden Risikokultur dienen in der Praxis insbesondere ein regelmäßig zum Ausdruck gebrachter „tone from the top“ zur Bedeutung des RMS sowie regelmäßige Schulungs- und Informationsmaßnahmen der Mitarbeiterschaft.

Ziele des RMS

Die Risikostrategie eines Unternehmens leitet sich aus der übergeordneten Unternehmensstrategie ab und setzt Leitplanken für ein systematisches RMS. In der Risikostrategie wird festgelegt, in welchem Ausmaß unter Berücksichtigung der Risikotragfähigkeit des Unternehmens Risiken eingegangen werden sollen (Risikoappetit), ergänzt durch unternehmerische Vorgaben zum erwünschten Umgang mit Risiken in Form einer Risikopolitik. In der Unternehmenspraxis beschäftigen sich momentan zahlreiche Industrieunternehmen mit der Einführung eines Risikotragfähigkeitskonzepts, welches jenseits des IDW PS 981 durch die Neufassung des IDW PS 340 als Grundlage für die Prüfung von Risikofrüherkennungssystemen bei börsennotierten Unternehmen explizit gefordert wird.

Organisation des RMS

Eine eindeutige Aufbau- und Ablauforganisation ist Grundvoraussetzung für ein wirksames RMS: Verantwortungsbereiche und Rollen sind klar geregelt, abgegrenzt, kommuniziert und dokumentiert. Die Aufgabenträger erfüllen erforderliche persönliche und fachliche Voraussetzungen. Wesentliche Regelungen zur Organisation des RMS sind dokumentiert und verbindlich vorgegeben. Es stehen ausreichende Ressourcen für Risikomanagementmaßnahmen zur Verfügung (insb. Personen, Technologie, Hilfsmittel).

Neue Generationen von Risikomanagement-Software bieten den Unternehmen inzwischen erweiterte Hilfestellungen bei der technischen Umsetzung von Risikotragfähigkeitskonzepten und Methoden der Risikoaggregation sowie der Unterstützung eines Maßnahmenmanagements im Kontext der Risikosteuerung.

Risikoidentifikation

Die Risikoidentifikation umfasst die regelmäßige, systematische Analyse von internen und externen Entwicklungen und Ereignissen, die zu negativen oder positiven Abweichungen von den festgelegten Zielen des Unternehmens führen können. Vor dem Hintergrund steigender Komplexität des Risikoumfelds und verschärfter Anforderungen an ein ganzheitliches Gesamtrisikoinventar als Grundlage regelmäßiger Risikoaktualisierungen überprüfen zahlreiche Unternehmen momentan ihr Risikoportfolio und bauen die Schnittstellen zu weiteren Governance-Systemen wie bspw. dem Compliance-Management-System aus.

Risikobewertung

Risiken werden hinsichtlich ihrer Ursache-Wirkungs-Zusammenhänge systematisch untersucht und im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Schadensausmaße beurteilt. Bewertungsverfahren und -kriterien sind auch für nicht quantifizierbare Risiken eindeutig definiert. Die Einschätzung von Bedeutung und Wirkungsgrad von Risikosteuerungsmaßnahmen ist in der Bewertungssystematik zu berücksichtigen. Die einzelnen Risikobewertungen werden systematisch unter Berücksichtigung von Risikointerdependenzen aggregiert. Als Methoden zur Risikoaggregation und Ermittlung einer Gesamtrisikoposition befinden sich Simulationsverfahren und zielführende Szenario-Analysen in der Praxis momentan auf dem Vormarsch.

Risikosteuerung

Basierend auf den identifizierten und bewerteten Risiken trifft die Unternehmensleitung in Abstimmung mit den Fachbereichen Entscheidungen über adäquate Maßnahmen zur Risikosteuerung (Risikovermeidung, Risikoreduktion, Risikoteilung bzw. -transfer sowie Risikoakzeptanz). Ein effizientes Maßnahmenmonitoring sowie eine zielführende Berichterstattung zu Maßnahmen der Risikosteuerung an die Unternehmensorgane als Teil des RMS beschäftigen aktuell viele Unternehmen im Rahmen der Weiterentwicklung ihrer RMS.

Risikokommunikation

Die Risikokommunikation stellt einen angemessenen Informationsfluss im RMS sicher. Auf Basis konkreter Zuständigkeiten, Berichtsfrequenzen, Schwellenwerte und Berichtsformate ist ein standardisierter Prozess eingerichtet. Für eilbedürftige Risikomeldungen ist ein separater Berichtsprozess etabliert, der eine zeitnahe Übermittlung relevanter Informationen sicherstellt. Die Risikoberichterstattung basiert auf aktualisierten Risikoinformationen aus Risikoidentifikation, -bewertung und -steuerung. Vor dem Hintergrund konkretisierter Anforderungen des IDW PS 340 n.F. erweitern relevante Unternehmen momentan ihre Risikoberichterstattung vermehrt um Aussagen zur Risikotragfähigkeit des Unternehmens und eine konkretisierte Darstellung der Gesamtrisikosituation.

Überwachung und Verbesserung des RMS

Angemessenheit und Wirksamkeit des RMS werden durch prozessintegrierte und prozessunabhängige Kontrollen überwacht. Die Ergebnisse der Überwachungsmaßnahmen (insb. festgestellte Mängel im RMS) werden in geeigneter Form berichtet und ausgewertet, damit die erforderlichen Maßnahmen zur Verbesserung des Systems und zur Beseitigung von Mängeln ergriffen werden können. Neben prozessintegrierten Kontrollen in der 1st und 2nd Line of Defense zählen Revisionsprüfungen und externe Prüfungen – z.B. auf Basis des IDW PS 981 – zu gängigen prozessunabhängigen Instrumenten der Überwachung des RMS.

René Scheffler

Director | Audit and Assurance, Deloitte Deutschland

Tobias Flath

Director | Audit & Assurance, Deloitte Deutschland

Dr. Nima Ghassemi-Tabar

Rechtsanwalt | Audit & Assurance, Deloitte Deutschland

Teilen Sie diesen Artikel: