Die spektakulären Unternehmenspleiten der neunziger Jahre führten dazu, das unternehmerische Risikomanagement gesetzlichen Regelungen zu unterwerfen.
Weltweit wurden Gesetze zur Einforderung eines systematischen Risikomanagements erlassen. Der folgende Beitrag soll daher die gesetzlichen Vorschriften aus Deutschland, Österreich, der Schweiz und den USA kurz mit ihren wichtigsten Zielen vorstellen.
Gesetzliche Regelungen in Deutschland
Als Reaktion auf die geänderten Rahmenbedingungen für unternehmerisches Handeln und die zahlreichen Unternehmenskrisen in der Vergangenheit trat in Deutschland am 1. Mai 1998 das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)“ in Kraft.
Das KonTraG ist im eigentlichen Sinne kein eigenständiges Gesetz, sondern ergibt sich aus vielen Änderungen an und Ergänzungen zu anderen Gesetzen. Insgesamt sind zehn Gesetze beziehungsweise Verordnungen betroffen, die hauptsächlich im Aktiengesetz (AktG) sowie im Handelsgesetzbuch (HGB), aber auch im Publizitätsgesetz (PublG) und im Genossenschaftsgesetz (GenG) zu finden sind.
Obwohl die Einrichtung eines Risikomanagementsystems unmittelbar nur für Aktiengesellschaften gesetzlich vorgeschrieben ist, wird in der Begründung des KonTraG deutlich, dass das Gesetz Ausstrahlungswirkung auf andere Gesellschaftsformen hat.
Mit der Einführung dieses Gesetzes wurden verschiedene Ziele verfolgt:
- Unternehmen sollen ihre Risikosituation systematisch beobachten und mithin Fehlentwicklungen in den Geschäftsprozessen frühzeitig erkennen und bewältigen.
- Die Zusammenarbeit zwischen Aufsichtsrat, Vorstand und Wirtschaftsprüfern soll verbessert werden.
- Die Qualität der Abschlussprüfung sowie die Transparenz im Unternehmen werden erhöht und damit die Kontrolle durch die Hauptversammlung ausgebaut.
- Insgesamt werden damit die Anteilseigner besser geschützt und ihr Vertrauen in das Unternehmen gestärkt.
- Der Rahmen der Jahresabschlussprüfung soll näher definiert werden.
Zu den wichtigsten Änderungen durch das KonTraG gehört dabei die Einführung des §91, Abs.2 AktG. 
Es wird hier gesetzlich verpflichtend festgelegt, dass der Vorstand einer Aktiengesellschaft für ein angemessenes Risikomanagement und eine angemessene Interne Revision im Unternehmen sorgen muss. Damit werden auch interne Ablaufprozesse und Organisationsstrukturen angesprochen, die auf vorhandene Risiken hin zu überprüfen sind. Dabei deckt ein “angemessenes” Risikomanagementsystem alle Unternehmensbereiche ab und bedient sich des Internen Überwachungssystems, des Controllings und eines Frühwarnsystems.
Im KonTraG wird das Augenmerk auf bestandsgefährdende Risiken gelegt, das heißt Risiken, die zu Illiquidität oder Überschuldung des Unternehmens führen können.
Zusätzlich zu der Ergänzung des AktG wurden auch verschiedene Stellen des HGB angepasst. Hierbei regeln die §§ 289, 315, 317, 321 und 322 HGB den Inhalt des Konzernlageberichts sowie Gegenstand und Umfang der Prüfung, den Prüfungsbericht und den Bestätigungsvermerk. Gemäß § 289 und § 315 HGB ist im Lagebericht auch auf Risiken der künftigen Entwicklung einzugehen. Es muss zur voraussichtlichen Entwicklung des Unternehmens Stellung genommen werden, zudem ist ein gesonderter Ausweis der F&E-Risiken sowie der Risiken von Tochtergesellschaften ebenfalls erforderlich. Alle bestandsgefährdenden Risiken sind explizit darzustellen. Falls keine bestandsgefährdenden Risiken existieren, so ist darauf ausdrücklich in einem „Fehlbericht“ hinzuweisen.
Die zutreffende Darstellung der Risiken im Lagebericht ist gemäß § 317 Abs. 2 Satz 2 HGB durch den Abschlussprüfer zu prüfen. Im Schadensfall trägt die Unternehmensleitung die Beweislast für die Erfüllung ihrer Sorgfaltspflicht, insbesondere auch für die Einrichtung eines Risikomanagementsystems (§93 Abs. 2 AktG). Um diesen Nachweis erbringen zu können, ist eine umfassende Dokumentation des Risikomanagementsystems und seiner tatsächlichen Abläufe in Form eines Risikomanagementhandbuchs zu erstellen. Dieses unternehmensspezifische Risikomanagementhandbuch ist gleichzeitig die Voraussetzung für die Sicherstellung der permanenten Funktionsfähigkeit des Risikomanagementsystems und dessen Prüfung.
In diesem Zusammenhang kommt auch dem Aufsichtsrat eine höhere Bedeutung zu und erweitert dessen Aufgaben. Das im Juli 2002 in Kraft getretene Transparenz- und Publizitätsgesetz (TransPuK) regelt, das auch „Abweichungen der tatsächlichen Entwicklung von früher berichteten Zielen und der Angabe von Gründen“ (§ 90 Abs. 1 Nr. 1 AktG) darzulegen sind. Nach dieser Regelung muss der Vorstand den Aufsichtsrat nun so über die Geschäftspolitik und Unternehmensführung informieren, dass dieser die Möglichkeit hat, eine ex-ante-orientierte Überwachung durchzuführen.
Eine weitere Änderung findet sich im §11 Abs. 2 S. 3 AktG. Demnach ist fortan der Aufsichtsrat für die Erteilung des Prüfungsauftrags verantwortlich und nicht, wie bisher, der Vorstand.
Die zweite wichtige Regelung in Deutschland ist das Bilanzrechtsmodernisierungsgesetz (BilMoG), das am 29. Mai 2009 in Kraft getreten ist und die Anforderungen der 8. (auch der 4. und 7.) EU-Richtlinie in deutsches Recht überführt. Ziel der umgangssprachlich auch Euro-SOX genannten Richtlinie ist es, dass Investoren und andere interessierte Kreise sich voll und ganz auf die Korrektheit der geprüften Unternehmensabschlüsse verlassen können. Insbesondere die Pflichten der Abschlussprüfer und deren Unparteilichkeit und Unabhängigkeit werden hier präzisiert.
In Bezug auf das unternehmensweite Risikomanagement ist besonders die Ergänzung des § 289 HGB durch Absatz 5 von Bedeutung. Die Beschreibung der „wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems“ soll neben allgemeinen Aussagen und Zielsetzung sowie dem organisatorischen Aufbau vor allem die wesentlichen Risiken und die damit verbundenen Kontrollen darstellen. Des Weiteren müssen die Maßnahmen zur Sicherstellung der Wirksamkeit des IKS und Risikomanagementsystems explizit ausgewiesen werden.
Mit § 107 Abs. 3 AktG wurde zudem ergänzt, dass der Aufsichtsrat einen Prüfungsausschuss zur Überwachung des Risikomanagementsystems bestellen kann. §171 Abs. 1 Satz 2 AktG regelt die Berichterstattung der Wirtschaftsprüfer, die fortan über „wesentliche Schwächen des internen Kontroll- und des Risikomanagementsystems bezogen auf den Rechnungslegungsprozess“ zu berichten haben.
Insgesamt kann man festhalten, dass durch das BilMoG die Ausführungen des KonTraG weiter ergänzt wurden im Hinblick auf
- die Beschreibung der wesentlichen Merkmale des RMS im Lagebericht
- der Befassung des Aufsichtsrats mit der Wirksamkeit des RMS
- der Berichterstattung des Abschlussprüfers über wesentliche Schwächen des RMS
Gesetzliche Regelungen in Österreich
Auch in Österreich ergibt sich aus dem Zusammenwirken von mehreren Gesetzen die Verpflichtung der Unternehmen, ein systematisches, unternehmensweites Risikomanagement einzuführen.
Dabei bilden die grundlegenden Aussagen der Paragraphen § 81 und 82 des Aktiengesetzes (AktG) sowie § 22 und 28 des GmbH-Gesetzes (GmbHG) die Basis für die Berichterstattung der Geschäftsführung an die Kontrollgremien im Hinblick auf die wirtschaftliche Weiterentwicklung des Unternehmens und unterstützen die Einführung eines RMS. Konkrete Anforderungen an ein solches System werden jedoch nicht genannt.
Mit dem Rechnungslegungsänderungsgesetz (ReLÄG) 2004 wird die Pflicht zur Risikoberichterstattung im Lagebericht des Geschäftsberichtes festgeschrieben.
Das Insolvenzänderungsgesetzes (IRÄG) und das Unternehmensreorganisationsgesetz (URG) enthalten Regelungen bzgl. der Haftung von Geschäftsführern und Aufsichtsratsmitgliedern und schreiben die Einführung eines Internen Kontrollsystems vor. Aber auch hier fehlt es an konkreten Vorgaben für ein Risikomanagementsystem.
Maßgeblichen Einfluss auf die Ausgestaltung eines RMS hat die Überführung der 8. EU-Richtlinie in nationales Rechts im Rahmen des Unternehmensrechtsänderungsgesetz 2008 (URÄG). Die Auswirkung des URÄG finden sich sowohl im AktG und GmbHG als auch im Unternehmensgesetzbuch (UGB) wieder.
Laut §243 UGB ist demnach die Lage des Unternehmens realitätsgenau darzustellen sowie „die wesentlichen Risiken und Ungewissheiten, denen das Unternehmen ausgesetzt ist, zu beschreiben.“
Risiken und Vorgänge, auf die explizit einzugehen ist, werden in §243 Abs. 3 UGB genannt: Der Lagebericht hat auch einzugehen auf die voraussichtliche Entwicklung des Unternehmens; den Bereich Forschung und Entwicklung, den Bestand an eigenen Anteilen und bestehende Zweigniederlassungen der Gesellschaft. Zudem muss die Verwendung von Finanzinstrumenten, sofern diese für die Beurteilung der Vermögens-, Finanz- und Ertragslage von Bedeutung sind, erläutert werden. Dabei sind anzugeben die Risikomanagementziele und –methoden sowie bestehende Preisänderungs-, Ausfall-, Liquiditäts- und Cashflow-Risiken.
§ 243a und § 243b UGB legen zudem fest, dass die Aufgaben des Vorstands u.a. die Beschreibung der „wichtigsten Merkmale von IKS und RMS im Hinblick auf den Rechnungslegungsprozess“ im Lagebericht für börsennotierte Gesellschaften sowie die Erstellung eines Corporate Governance Bericht beinhalten.
Gesetzliche Regelungen in der Schweiz
Für in der Schweiz ansässige Unternehmen ergibt sich die gesetzliche Regelung zur Einführung eines unternehmensweiten RMS aus dem Schweizerischen Obligationenrecht (OR).
Art. 663b Ziffer 12 OR führt aus, dass der Anhang „Angaben über die Durchführung einer Risikobeurteilung“ enthält. In Art. 728a Ziffer 3 OR wird festgelegt, dass „die Revisionsstelle prüft, (…) ob ein internes Kontrollsystem existiert. Die Revisionsstelle berücksichtigt bei der Durchführung und bei der Festlegung des Umfangs der Prüfung das interne Kontrollsystem. (…)“.
Demnach müssen Unternehmen, die einen Anhang zur Jahresrechnung erstellen, Angaben über eine Risikobeurteilung veröffentlichen. Somit ist ein angemessenes RMS zu entwickeln, auf dessen Grundlage dann über die offenzulegenden Risiken im Rahmen der Finanzberichterstattung an die verschiedenen Anspruchsgruppen berichtet wird.
Die Risikobeurteilung muss dabei die Beschreibung derjenigen Risiken erfassen, die einen wesentlichen Einfluss auf die Beurteilung der Jahresrechnung haben können.
Weder im Obligationenrecht noch in der diesbezüglichen Erläuterung des Bundesrates werden konkrete Hinweise darauf gegeben, welche Risiken, in welcher Form veröffentlicht werden müssen bzw. in welchem Detaillierungsgrad die Risikobeurteilung erfolgen muss.
Gesetzliche Regelungen in den USA
Seit 2002 gilt in den USA der Sarbanes Oxley Act (SOX). Erlassen durch die Wertpapieraufsichtsbehörde Securities and Exchange Commission (SEC), richtet sich SOX an alle US-amerikanischen Unternehmen und deren Tochtergesellschaften sowie an ausländische Unternehmen, die an einer US-Börse notiert sind. Auch hier ist es das erklärte Ziel nach den Skandalen der neunziger Jahre, das Vertrauen interessierter Kreise in die öffentliche Berichterstattung der Unternehmen wiederherzustellen.
Das Gesetz enthält Bestimmungen, welche die Corporate Governance, die Finanzberichterstattung und die Kapitalmärkte stärken sollen und ist aufgrund der o.g. Berichtspflicht ausländischer Unternehmen von internationaler Bedeutung.
Fazit
Allen gesetzlichen Vorschriften gemeinsam ist, dass sie insgesamt wenig konkrete Anhaltspunkte zur Ausgestaltung eines unternehmensweiten Risikomanagementsystems bieten. Vielmehr werden meist nur allgemeine Anforderungen insbesondere auch an die Überprüfung des Risikomanagements bspw. durch Wirtschaftsprüfer festgeschrieben. Ergänzt werden die allgemeinen gesetzlichen Anforderungen noch durch branchenspezifische Regularien wie Basel I-III, die MaRisk, Solvency II, etc.. Doch auch in diesen Dokumenten findet man nur wenig konkrete Hinweise.
Es obliegt daher den Unternehmen, sich die jeweils für sie relevanten Punkte herauszusuchen und in die eigene Unternehmenskultur zu überführen. Unterstützen können hierbei die existierenden Normen und Standards, die als praxisnahe Orientierungshilfe dienen.
Doch für alle gilt: gesetzliche Bestimmungen, Normen und Standards hin oder her – nur wer Risikomanagement seiner Kultur und seinen Prozessen entsprechend adaptiert, kann auf ein gelebtes und mithin funktionierendes Risikomanagement zurückgreifen.