Was hat sich seit Einführung des KonTraG getan?
Die Insolvenzen und Skandale der 90-er Jahre haben den deutschen Gesetzgeber dazu veranlasst, 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (kurz KonTraG) zu verabschieden. Mit dem KonTraG wurde der Grundstein für ein systematisches Risikomanagement in Deutschland gelegt. Natürlich wurden Risiken auch schon vorher erfasst und bewertet, doch die Einführung von umfassenden Risikomanagement-Systemen hat seitdem eine ganz neue Bedeutung bekommen.
Obwohl ursprünglich nur für größere, börsennotierte Aktiengesellschaften gedacht, hatte das KonTraG schnell eine Ausstrahlungswirkung auf andere Rechtsformen und damit auch auf mittelständische Unternehmen. Mittlerweile kommt kaum ein Unternehmen mehr an einer systematischen Erfassung, Bewertung und Berichterstattung der Unternehmensrisiken vorbei. Diese Entwicklung dauert jetzt seit über 20 Jahren an und wurde durch weitere Gesetze und Empfehlungen verstärkt.
Ergänzt wird das KonTraG insbesondere durch Gesetze, die zwar primär den Finanzsektor betreffen, die aber aufgrund ihrer Anforderungen zur Kreditvergabe u.ä. ebenfalls Auswirkungen auf die deutsche Unternehmenslandschaft und deren Umgang mit unternehmensspezifischen Risiken haben: die Rede ist von Basel I bis III, den MaRisk für Banken und Investmentgesellschaften sowie Solvency II.
Gesetzliche Vorschriften und Empfehlungen zum Thema Risikomanagement
Bereits 1988 wird mit Basel I eine weltweit einheitliche Regelung der Eigenkapitalquote von Banken verabschiedet. Demnach ist die Kreditvergabe einer Bank abhängig von deren Eigenkapitalquote. Ziel war es, eine angemessene Eigenkapitalausstattung bei den Banken zu erreichen und international vergleichbarer Wettbewerbsbedingungen zur Kreditvergabe zu schaffen. Die Regelungen von Basel II, die in der EU seit 2007 gelten, verknüpfen diese regulatorischen Eigenkapitalanforderungen noch stärker mit den tatsächlichen Risiken, die die Bank eingeht und berücksichtigen zudem weitere Risikoarten. Seit Januar 2019 wurden mit Basel III die Bestimmungen zur Eigenkapitalbasis von Banken und die für diesen Bereich geltenden Liquiditätsvorschriften deutlich verschärft und durch weitere Regelungen ergänzt.
Seit 2016 gelten für die Versicherungsbranche mit Solvency II ähnliche Vorschriften. Das auf drei Säulen basierende Modell legt die Anforderungen hinsichtlich Eigenmittelausstattung, Risikobetrachtung und Berichterstattung fest. Für 2020 ist eine Überarbeitung vorgesehen.
Solvency II löst auch die Bestimmungen der MaRisk (VA) für die Versicherungsunternehmen ab, die seit 2009 für diese Branche maßgeblich waren.
Konkretisiert werden die Anforderungen von Basel I bis III sowie von Solvency II durch die “Mindestanforderungen an das Risikomanagement (MaRisk)” für Banken (BA). Erstmalig in 2005 verabschiedet, gilt mittlerweile für Banken die überarbeitete Version der MaRisk (BA) aus 2013 mit den Umsetzungsanleitungen aus 2017.
Es handelt sich hierbei um Verwaltungsanweisungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Ausgestaltung des Risikomanagements in den jeweiligen Instituten bzw. Gesellschaften, deren Einhaltung zudem im Rahmen der Jahresabschlussprüfungen geprüft wird.
Im Kern ähnlich zur MaRisk (BA) regelt die InvMaRisk das Risikomanagement von Investmentgesellschaften mit ihren spezifischen Geschäfts-Aktivitäten.
2009 überführt das Bilanzrechtsmodernisierungsgesetz (BilMoG) die Anforderungen der 8. EU-Richtlinie in nationales Recht. Durch die Richtlinie soll europaweit das Vertrauen der Öffentlichkeit in die Arbeit des Jahresabschlussprüfers gestärkt werden. Explizit wird darin auch eine Überwachung der Wirksamkeit des internen Risikomanagementsystems, des internen Kontrollsystems und der internen Revision festgelegt.
Mit Einführung des BilMoG sind die Wirtschaftsprüfer eines Unternehmens zudem durch §171 Abs. 1 Satz 2 AktG verpflichtet, über „wesentliche Schwächen des internen Kontroll- und des Risikomanagementsystems bezogen auf den Rechnungslegungsprozess“ zu berichten.
Auch der Aufsichtsrat wurde durch das im Juli 2002 in Kraft getreten Transparenz- und Publizitätsgesetz (TransPuK) verstärkt in die Pflicht genommen, sich mit dem Risikomanagement des Unternehmens auseinander zu setzen, desweiteren obliegt ihm mit §11 Abs. 2, Satz 3 AktG jetzt die Aufgabe zur Erteilung des Prüfungsauftrags des Abschlussprüfers.
Normen und Standards im Risikomanagement-Umfeld
Diese Gesetze und Empfehlungen zum Umgang mit unternehmerischen Risiken werden durch eine Vielzahl von Normen und Standards ergänzt. Auch hier hat sich im Ablauf der letzten 2 Jahrzehnte einiges getan.
Mit Ausgabedatum 1. Januar 2014 wurde das komplett überarbeitete Regelwerk der Österreichischen Norm Serie ONR 4900x veröffentlicht. Sie beschreibt in ihrer aktuellen Fassung die Umsetzung des internationalen Standards ISO 31000 in die Praxis, auf deren Basis eine Zertifizierung vorgenommen werden kann.
In ihrer aktuellen Ausgabe von 2018 stellt die ISO 31000 ein Rahmenwerk für das effektive Risikomanagement in allen Organisationen dar, unabhängig von deren Größe, Branche oder Geschäftstätigkeit
Organisationen, die sich an die Vorgaben halten, können ihre Risikomanagement-Praxis mit einem international anerkannten Benchmarking vergleichen und erhalten dadurch Richtlinien für ein effektives Risikomanagementsystem. Eine Zertifizierung anhand der ISO 31000 ist nicht möglich.
Bereits 1992 wurde in den USA mit dem COSO I-Modell ein Standard für die Ausgestaltung eines Internen Kontrollsystems veröffentlicht. Der Fokus der Regelungen liegt sehr stark auf der Finanzbericht-Erstattung. Nur zwei Jahre später wird mit dem “Enterprise Risk Management –Integrated Framework”, kurz COSO ERM oder COSO II, ein weiterer, international anerkannter Standard geschaffen, der das unternehmerische Risikomanagement als laufenden Prozess mit den drei Dimensionen Zielkategorien, Komponenten und Unternehmenseinheiten definiert.
2017 wurde das Rahmenwerk überarbeitet und an die gestiegenen Anforderungen des unternehmensweiten Risikomanagements sowie insbesondere an die Risikoberichterstattung angepasst. Die aktuelle Fassung des weltweit akzeptierten Standardwerks betont erneut die Wichtigkeit, Risikomanagement sowohl in den Strategieprozess der Organisation als auch im täglichen Geschäft fest zu integrieren und zu leben.
Seit November 2018 gilt in Deutschland der DIIR Revisionsstandard Nr. 2. Er fordert von der Unternehmensleitung, dass bei der Vorbereitung wesentlicher unternehmerischer Entscheidungen aufgezeigt wird, welche Auswirkungen eine strategische Entscheidung auf die Risikosituation der Organisation hat. Dabei sind sowohl bestandsgefährdende Entwicklungen aus Einzelrisiken als auch aus der Wechselwirkung mehrerer Risiken explizit zu berücksichtigen.
Die Liste könnte noch um einige Einträge erweitert werden. Auch Prüfungsstandards wie der IDW PS 340 oder die IPW PS 980ff-Reihe sowie Standards zur Konzernlageberichterstattung wie der DRS 20 definieren immer weitere Anforderungen an ein umfassendes und systematisches Risikomanagementsystem und stärken mithin dessen Position in den Unternehmen.
Was bringt die Zukunft?
Mittlerweile geht der Fokus immer mehr von einem reinen Risikomanagementsystem hin zu einer Integration der Anforderungen aus Corporate Governance, Risikomanagement und Compliancesystem. Der gemeinsame Nenner sind hier die Risiken:
• Prozessrisiken aus dem IKS
• Compliancerisiken aus dem Complianceprozess
• Unternehmensrisiken aus dem ERM
Dies bedeutet für die Zukunft eine Weiterentwicklung des Risikomanagements hin zu umfassenden Corporate Governance, Risk und Compliance-Ansatz.
Alle für das Risikomanagement relevanten Gesetze & Empfehlungen, Standards & Normen finden Sie hier.