Risikomanagement in Industrieunternehmen

Diplomarbeit von Marcus Böhm

Problemstellung:

Im Kontext moderner Corporate Governance entwickelten sich Risikomanagement- Systeme zu einem unverzichtbaren Instrument der Unternehmensführung. Ausgangspunkt dieses Prozesses bildete das 1998 verabschiedete KonTraG, in dessen Folge unternehmensweite Überwachungssysteme kein best practise-Standard mehr waren, sondern bindende gesetzliche Vorgabe. In der Folgezeit wurden weitere Regelungen erlassen, welche diese Anforderungen konkretisierten und ihren vorläufigen Abschluss im BilMoG finden. Die Implementierung und Durchführung des Risikomanagements richtet sich heute an alle Organe einer Kapitalgesellschaft, sie muss vom Abschlussprüfer verifiziert sowie für externe Adressaten publiziert werden. Mit den komplexer werdenden rechtlichen Normen ging gleichzeitig eine Weiterentwicklung der Risikomanagementstandards zu vielschichtigen, unternehmensweiten und aus mehreren Elementen bestehenden Systemen einher. Die anfängliche Schwäche, lediglich Indikatoren-basiert Vergangenheitsdaten auszuwerten, wurde mit der Integration von Risikofrüherkennungssystemen beseitigt. Auch das eher ‘bürokratische Sammeln’ und Bewerten von Risiken wich im Zeitablauf der aktiven Suche nach Chancen sowie deren Inbezugsetzung zu verbundenen Risiken.

Letztlich soll modernes Risikomanagement nicht die Gefahren, denen ein Unternehmen ausgesetzt ist, auf Null reduzieren, sondern durch den bewussten Umgang Risiken aufzeigen, diese steuern und in ein sinnvolles Verhältnis zu den unternehmerischen Chancen setzen. Es wurde schon früh erkannt, dass ‘das größte Risiko für ein Unternehmen [darin] besteht.., keine Risiken einzugehen’!

Gang der Untersuchung:

Die Ziele der Arbeit können in zwei übergeordneten Bereichen angesiedelt werden. Zum Ersten soll im theoretischen Teil ein umfassender Überblick gegeben werden, was Risikomanagement (RiMa) ist. Bei der Auswahl der Themen wurde deren Relevanz zur praktischen Umsetzung eines Risikomanagementsystems zugrunde gelegt, wobei ersichtlich wurde, dass insbesondere deutschen KMU’s die Tragweite der juristischen Sphäre bislang nicht bekannt zu sein scheint. Bei der sich anschließenden Beschreibung des Risikomanagementsystems wird ein in sich geschlossener und umsetzungsfähiger Ansatz entwickelt, welcher in dieser Form in weiten Teilen der Literatur zu vermissen ist. Das vordergründige Anliegen der Arbeit wird in Kapitel 7 beschrieben: die Entwicklung und Implementierung eines Risikomanagementsystems in einem mittelständigen, weltweit tätigen Industrieunternehmen. Ziel dieser Maßnahmen ist es, Rechtssicherheit für die Unternehmensleitung zu gewährleisten, die Corporate Governance weiterzuentwickeln und damit nicht zuletzt den Unternehmenswert zu steigern.

Zu diesem Zwecke gliedert sich die vorliegende Arbeit in zwei große Themenkomplexe. Den Beginn bildet ein theoretischer Teil, welcher einen umfassenden Überblick zu den verschiedenen Fassetten des Themas Risikomanagement geben soll. Die betrachteten Bereiche wurden mit Blick auf eine vollständige Erfassung des Themas und stets vor dem Hintergrund des praktischen Nutzens für eine Unternehmung ausgewählt. Die Arbeit beginnt in Kapitel 2 mit einer Darstellung der notwendigen Elemente eines Risikomanagementsystems, wie diese funktionieren und in welcher Beziehung sie zueinander stehen. In Kapitel 3 wird die rechtliche Situation des Risikomanagements in Unternehmen erläutert. Die Darstellung erfolgt in der Systematik, dass Anforderungen an verschiedene Rechtsformen, besonders in Abhängigkeit von Umfang und Komplexität der Geschäftstätigkeit untersucht werden. Im vierten Kapitel schließen sich Folgerungen zum praxisbezogenen Nutzen eines RiMa Systems an, welche besonders im Kontext von Basel II und Fremdfinanzierungskosten von hohem Interesse sein sollten. Die theoretischen Grundlagen werden abschließend in Kapitel 5 zu den quantitativen Methoden der Risikomessung erläutert. Dies geschieht vor dem Hintergrund des Kapitel 6, welches den Praxisteil der Arbeit darstellt. In diesen ist die Umsetzung des eingangs beschriebenen Modells unter Verwendung der genannten Methoden bei der ‘BEISPIEL GmbH’ dargestellt.

Das dargestellte RiMa System wurde in der in Kapitel 6 beschriebenen Form tatsächlich in einem deutschen Industrieunternehmen eingeführt. Aus diesem Grunde mussten in der Arbeit einige, zumeist sehr unwesentliche, Veränderungen zur Wahrung der Vertraulichkeitsvereinbarungen vorgenommen werden. Auf die Abbildung einiger Anhänge wird vollständig verzichtet. Das Verständnis der vorliegenden Arbeit sowie ihr Nutzen als Grundlage für Praxisprojekte im Bereich Risikomanagement wird von den vorgenommenen Änderungen zur Originalversion jedoch nicht berührt!

Inhaltsverzeichnis:

Textprobe:

Kapitel 3.3, Anforderungen der verschiedenen Rechtsformen:

In diesem Abschnitt sollen die zuvor dargestellten gesetzlichen Vorschriften zu einem umfassenden System der Anforderungen an Unternehmen verschiedener Rechtsformen und Größen zusammengefasst werden. Ziel der Unternehmensführung ist es, alle Regelungsfelder und -pflichten in Zusammenhang mit der Implementierung und Überwachung eines RiMa aufzuzeigen (Vgl. Tab. 6).

3.3.1, Die Aktiengesellschaft:

An die AG werden die weitest reichenden Risikomanagement Anforderungen gestellt welche wiederum in Abhängigkeit der Größe der AG variieren. Nach § 267 HGB wird zwischen Kleinen, Mittelgroßen und Großen Kapitalgesellschaften unterschieden. In der Systematik der Betrachtung erscheint es nahe liegend, mit der Beschreibung der umfassenden Anforderungen – an die börsennotierte, Große Aktiengesellschaft – zu beginnen und in weiteren Punkten lediglich die Erleichterungen betreffend die Mittelgroßen und Kleinen Gesellschaften zu nennen.

3.3.1.1, Größenklasseneinteilung der AG:

Die Einteilung nach § 267 HGB wurde durch das BilMoG in der Form verändert, dass alle Euro-Beträge um 20 Prozent nach oben angepasst wurden. Für Kleine Kapitalgesellschaften gilt, das sie zwei von drei Größenkriterien nicht überschreiten dürfen, diese sind: Bilanzsumme < 4.840.000 Euro, Umsatzerlöse < 9.680.000 Euro und im Jahresdurchschnitt maximal 50 Arbeitnehmer. Für Mittelgroße Kapitalgesellschaften gilt, dass sie mindestens zwei dieser drei genannten Kriterien überschreiten müssen und mindestens zwei der drei folgenden nicht überschreiten dürfen: Bilanzsumme < 19.250.000 Euro, Umsatzerlöse < 38.500.000 Euro und im Jahresdurchschnitt maximal 250 Arbeitnehmer. Große Kapitalgesellschaften charakterisiert das Überschreiten von mindestens zwei der drei Höchstkriterien der Mittelgroßen Kapitalgesellschaft. Einen Sonderfall bilden die kapitalmarkt-orientierten Kapitalgesellschaften nach § 264d HGB-E mit der Konsequenz, dass selbige nach § 267 Abs. 3 Satz 2 HGB-E generell als Große Kapitalgesellschaften gelten. Die hier genannten Größenklasseneinteilungen gelten auch für alle anderen Kapitalgesellschaften.

3.3.1.2, Die börsennotierte Große AG:

Differenziert nach den betreffenden Organen stellen sich die Anforderungen wie folgt dar: Die Aufgaben des Vorstandes, abgeleitet aus den Aktiengesetz, bestehen in Hinblick auf das Risikomanagement vor allem in der Einrichtung sowie dem Treffen von Maßnahmen in Rahmen seiner Leitungsaufgabe, um für die Gesellschaft schädliche Ereignisse abzuwenden. Zentrale Norm ist § 91 Abs. 2 AktG, wonach der Vorstand grundsätzlich in jeder AG das Überwachungssystem einzurichten hat, was konkretisiert in 4.1.4 DCGK ein angemessenes Risikomanagement beinhaltet. Diese Pflicht ließe sich theoretisch auch aus den ‘GoB’ in § 252 Nr. 4 HGB ableiten. Nicht festgelegt wurde, in welcher Form diese Überwachungssysteme auszugestalten sind. Die häufig unterstellte Ausstrahlungswirkung des § 25a KWG wurde indes auch gerichtlich bestätigt, wonach dessen Kriterien für Banken und Versicherungen auch Unternehmen anderer Branchen als Orientierung dienen können. Die Pflichten des Vorstandes wurden durch das UMAG in § 93 Abs. 1 Satz 2 AktG noch verschärft. Das Nichteinrichten und sogar das Nichtbeachten von Informationen aus dem Risikomanagement stellen eine Verletzung der Sorgfaltspflicht dar. Des Weiteren ist der Vorstand für die Aufstellung des Jahresabschlusses (§ 242 HGB) einschließlich Anhang und Lagebericht (§ 264 HGB) verantwortlich. Die damit verbundene Beachtung zahlreicher Vorschriften zum Risikomanagement im Handelsgesetzbuch fällt somit in den Aufgabenbereich des Vorstandes. Die Ausgestaltung des Lageberichts ist in § 289 HGB beschrieben. In § 289 Abs. 1 HGB wird eine Beurteilung und Erläuterung der wesentlichen Chancen und Risiken gefordert, unter deren Beachtung ein den tatsächlichen Verhältnissen entsprechendes Bild des Unternehmens vermittelt werden soll. In § 289 Abs. 2 Nr. 2a und 2b HGB wird die Beschreibung der RiMa-Ziele, Methoden sowie finanzieller Risiken gefordert, wobei diese lediglich Sollinhalte darstellen, also nicht verpflichtend sind. Eine verbindliche Erweiterung erfahren die Inhalte des Lageberichts in § 289 Abs. 5 HGB-E, welcher eine Beschreibung der wesentlichen Merkmale des IKS und des Risikomanagementsystems fordert. In der Begründung zum BilMoG wird die Möglichkeit eingeräumt, einen Risikobericht auszufertigen, der als eigenständiger Teil des Lageberichts alle vorher genannten Regelungsfelder aggregiert darstellt. Zusätzlich können auch die im Anhang nach § 285 Abs. 1 Nr. 23 HGB-E geforderten Angaben zu Bewertungseinheiten, welche dem Zweck der Risikoabsicherung dienen, in dem Risikobericht mit aufgenommen werden. Eine zusätzliche Nennung im Anhang ist dann nicht mehr notwendig.

Nach § 289a HGB-E ist ein weiterer eigenständiger Bericht, die ‘Erklärung zur Unternehmensführung’ in den Lagebericht aufzunehmen. Diese beinhaltet die Erklärung zum DCGK nach § 161 AktG sowie Angaben zu Praktiken der Unternehmensführung und Arbeitsweisen des Vorstandes und des Aufsichtsrates, was auch Angaben zum Risikomanagement einschließen kann.

Ist nach § 290 HGB ein Konzernabschluss aufzustellen, gelten systematisch identische Lageberichtsregelungen. Diese sind im § 315 HGB kodifiziert und entsprechen in Wortlaut denen des § 289 HGB. Die Aufgaben des Vorstandes umfassen nach § 90 Abs. 1 Nr. 1 AktG auch die Information des Aufsichtsrates über grundsätzliche Fragen der Geschäftspolitik, was in 3.4 DCGK konkretisiert wird und wo Belange des Risikomanagements explizit Erwähnung finden.

Als weiteres Organ der AG ist der Aufsichtsrat zur allgemeinen Überwachung des Vorstandes nach § 111 AktG verpflichtet, was die Umsetzung der Pflichten nach § 91 Abs. 2 AktG beinhaltet. Die regelmäßige Beratung des RiMa zwischen beiden Organen wird in 5.2 DCGK angesprochen sowie in 5.3.2. DCGK die Möglichkeit der Einrichtung eines Prüfungsausschusses eingeräumt, der sich ausschließlich mit Fragen der Wirksamkeit des IKS und RiMa beschäftigen soll. Gesetzliche Grundlage dieser Konkretisierung bildet § 107 Abs. 3 Satz 2 AktG. Die § 171 Abs. 1 AktG und § 321 Abs. 5 HGB bestimmen als Hauptaufgabe des Aufsichtsrates die Prüfung der vom AP und Vorstand erstellten Berichte, welche ihm folglich vorzulegen sind. Letztlich bleibt festzustellen, dass dem Aufsichtsrat nach § 116 AktG die gleichen Sorgfaltspflichten wie die des Vorstandes obliegen. Insbesondere die Aneignung fundierter Kenntnisse zu RiMa-Systemen wird damit zur Pflicht seiner Mitglieder. Unzureichende Prüfung oder Überwachung des Risikomanagements können folglich auch beim Aufsichtsrat zu persönlich unbeschränkter Schadenshaftung führen.

Als dritter externer Adressat spezifischer RiMa-Vorschriften ist der Abschlussprüfer zu betrachten. Seine neutrale Stellung soll Qualität und Rechtmäßigkeit der Unternehmensberichte gewährleisten. Die Prüfpflicht ist in § 316 Abs. 1 HGB und der Prüfumfang in § 317 HGB kodifiziert. Besonders auf die Darstellung von Chancen und Risiken sowie auf die Erfüllung der Vorschriften des § 91 Abs. 2 AktG ist nach § 317 Abs. 4 HGB ausführlich einzugehen. Im Zuge seiner Tätigkeit im Unternehmen ist der Abschlussprüfer zur Vorlage zweier Niederschriften verpflichtet: Der Prüfbericht nach § 321 HGB beinhaltet die Beurteilung und Verbesserungsvorschläge des IKS sowie eine Stellungnahme bezüglich Lage und Fortbestandsaussichten des Unternehmens. Der Betätigungsvermerk nach § 322 HGB soll gesondert auf mögliche Risiken, die den Fortbestand des Unternehmens gefährden könnten, eingehen und eine Beurteilung der zutreffenden Darstellung von Chancen und Risiken im Lagebericht geben.