INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

Transkript

1 INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

2 AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was ist ein internes Kontrollsystem (IKS)? III. Wer ist verantwortlich im Unternehmen? B. Regulativer Hintergrund I. Gesetzgebung 1. Vorstand/Geschäftsführung 2. Aufsichtsrat/Beirat II. Corporate Governance Kodex (DCGK) III. Rechtsprechung C. Aufgaben eines Risikomanagementsystems D. Der Risikomanagementprozess Darstellung anhand von Beispielen aus der Unternehmenspraxis I. Übersicht II. Rollen und Verantwortlichkeiten Beispiel III. RM-Aktivitäten Beispiele Zusammenfassung 2

3 VORBEMERKUNGEN Auslöser: Die Finanzmarkt- und Wirtschaftskrise Forderung: Erhöhte Pflichten für Geschäftsführung und Aufsichtsgremium in der Krise KonTraG 1998: Folge von Bilanzskandalen und spektakulären Firmenzusammenbrüchen Mitte der 90er KonTraG 1998: Errichtung eines Risikomanagement- bzw. Frühwarnsystems für AG Ziel: Schutz der Gläubiger und weiterer Interessengruppen/Stakeholder 3

4 VORBEMERKUNGEN Aber: Ausstrahlungswirkung auf andere Gesellschaften Mittelstand: RM ebenfalls erforderlich als Bestandteil der Unternehmensführung, strategisch und operativ Ziel: Risiken frühzeitig erkennen und zeitnah geeignete Mittel zur Abwehr zur Verfügung stellen 4

5 A. GRUNDLAGEN

6 A. GRUNDLAGEN I. WAS IST EIN RISIKOMANAGEMENTSYSTEM (RMS)? Tatsache: Jede unternehmerische Betätigung bringt Chancen und Risiken Definition RMS: Systematische Erfassung und Bewertung von Risiken und deren Steuerung Ziel: Erfassung, Analyse, Bewertung, Minimierung und Kontrolle von Unternehmensrisiken als strukturierter Prozess Problem: Sich selbst erfüllende Prophezeiung bei Fokussierung auf Risiken Deshalb: Risiken und Chancen 6

7 A. GRUNDLAGEN II. WAS IST EIN INTERNES KONTROLLSYSTEM (IKS)? Abgrenzung: IKS ist Bestandteil des RMS Definition IKS: Organisatorische Sicherungsmaßnahmen zur Einhaltung eingeführter Regelungen, z. B. Funktionstrennung, Zugriffsbeschränkungen im IT-Bereich oder Zahlungsrichtlinien Ziel: Schutz vor Vermögensschädigungen, Verlässlichkeit der internen und externen Rechnungslegung Deshalb: IKS betrifft eher Kernprozesse, RMS betrifft eher Managementprozesse 7

8 A. GRUNDLAGEN III. WER IST VERANTWORTLICH IM UNTERNEHMEN? Ein- und Durchführung: Vorstand/Geschäftsführung Überwachung: Aufsichtsrat/Beirat bzw. Gesellschafter (rechtsformabhängig) 8

9 B. REGULATIVER HINTERGRUND

10 B. REGULATIVER HINTERGRUND I. GESETZGEBUNG 1. Vorstand/Geschäftsführung 91 Abs. 2 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. (KonTraG 1998) Unmittelbare Anwendung: AG Lagebericht: Nennung von Risikomanagementzielen und -methoden 10

11 B. REGULATIVER HINTERGRUND I. GESETZGEBUNG 2. Aufsichtsrat/Beirat 111 Abs. 1 AktG: Überwachung der Geschäftsführung 111 Abs. 4 Satz 2 AktG: Festlegung zustimmungspflichtiger Geschäfte der Geschäftsführung 90 Abs. 1 Nr. 1 AktG: regelmäßige Berichterstattung der Geschäftsführung 107 Abs. 3 Satz 2 AktG: Betonung der Pflicht des Aufsichtsrats zur Kontrolle des IKS, RMS u.a. (Erweiterung durch BilMoG 2009) 11

12 B. REGULATIVER HINTERGRUND II. CORPORATE GOVERNANCE KODEX (DCGK) DCGK, Ziff : Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling DCGK, Ziff. 5.2: Der Aufsichtsratsvorsitzende soll mit dem Vorstand die Strategie, die Geschäftsentwicklung und das Risikomanagement beraten DCGK, Ziff : Der Aufsichtsrat soll einen Prüfungsausschuss einrichten, der sich mit Fragen des Risikomanagements befasst 12

13 B. REGULATIVER HINTERGRUND III. RECHTSPRECHUNG Rechtsprechung: Hält generell Schritt mit der Ausweitung der Pflichten von Geschäftsführung und Aufsichtsrat BGH-Urteil v : Verpflichtet den Aufsichtsrat zur laufenden Beratung mit dem Vorstand Ahndung: Anfechtbarkeit bzw. Vernichtung von Entlastungsbeschlüssen der HV Generell gilt: Außenhaftung nur in deliktischen Fällen Aber: Ausweitung Haftung im Innenverhältnis 13

14 C. AUFGABEN EINES RISIKOMANAGEMENTSYSTEMS

15 C. AUFGABEN EINES RISIKOMANAGEMENTSYSTEMS Existenzsicherung Früherkennung von Chancen und Risiken Vorbereitung, Fundierung und Unterstützung unternehmerischer Entscheidungen Unterstützung der Unternehmensziele, insbesondere o o o o Umsetzung der Strategie Steigerung der Effizienz operativer Abläufe Steigerung der Zuverlässigkeit der externen und internen Berichterstattung Erfüllung gesetzlicher und regulativer Vorgaben (Compliance) 15

16 C. AUFGABEN EINES RISIKOMANAGEMENTSYSTEMS Aufdeckung von Verbesserungspotenzialen Konzentration auf das Wesentliche 16

17 D. DER RISIKOMANAGEMENT- PROZESS Darstellung anhand von Beispielen aus der Unternehmenspraxis

18 D. DER RISIKOMANAGEMENTPROZESS I. ÜBERBLICK 1 Ziele definieren 2 Risiken identifizieren 3 Dokumentation Risiken bewerten 8 Monitoring Risikomanagement Prozess 4 Maßnahmen ergreifen 7 Information 6 Risiko Controlling 5 18

19 D. DER RISIKOMANAGEMENTPROZESS II. ROLLEN UND VERANTWORTLICHKEITEN - BEISPIEL Verantwortlicher Vorstand Controlling Risiko Verantwortliche Interne Revision Aufsichtsrat ERM - Aktivität Internes Umfeld X X Ziele definieren X X X Risiken identifizieren X X X Risken bewerten X X X Maßnahmen ergreifen X X X Risiko Controlling X X X Information & Kommunikation X X X Monitoring X X Dokumentation X X X X 19

20 D. DER RISIKOMANAGEMENTPROZESS 1 ZIELE DEFINIEREN Unternehmensplanung nutzen 1 Dokumentation Ziele definieren 2 Risiken identifizieren 3 Risiken bewerten Risikoappetit festlegen Strategie festlegen Zielsetzungen operationalisieren 8 Monitoring 7 Risikomanagement Prozess Information 6 Risiko Controlling 4 Maßnahmen ergreifen 5 20

21 Auswirkung D. DER RISIKOMANAGEMENTPROZESS 1 ZIELE DEFINIEREN Risikoappetit festlegen niedrig mittel hoch Strategie A Übersteigender Risikoappetit Strategie C Innerhalb des Riskoappetits Strategie B niedrig mittel hoch [Source: Enterprise Risk Management Integrated Framework] 21

22 D. DER RISIKOMANAGEMENTPROZESS RISIKEN IDENTIFIZIEREN 22 2 Risiken identifizieren Maßnahmen ergreifen Risiko Controlling Risiken bewerten Information Monitoring Dokumentation Ziele Ziele definieren definieren Risikomanagement Prozess Risiken identifizieren Maßnahmen ergreifen Risiko Controlling Risiken bewerten Information Monitoring Dokumentation Ziele Ziele definieren definieren Risikomanagement Prozess

23 Eintrittswahrscheinlichkeit D. DER RISIKOMANAGEMENTPROZESS 3 RISIKEN BEWERTEN 1 Ziele definieren 2 Risiken identifizieren 3 Dokumentation Risiken bewerten gering mittel hoch 8 Monitoring 7 Risikomanagement Prozess Information 6 Risiko Controlling 4 Maßnahmen ergreifen 5 gering mittel Schadenhöhe hoch 23

24 Eintrittswahrscheinlichkeit D. DER RISIKOMANAGEMENTPROZESS 3 RISIKEN BEWERTEN Aktuelle Top-Risiken (Beispiele) 1 Dokumentation Ziele definieren 2 Risiken identifizieren 3 Risiken bewerten gering mittel hoch? Auftragslage Liquiditätsrisiken Planungsrisiken 8 Monitoring 7 Risikomanagement Prozess Information 6 Risiko Controlling 4 Maßnahmen ergreifen 5 gering mittel Schadenhöhe hoch 24

25 D. DER RISIKOMANAGEMENTPROZESS 4 MASSNAHMEN ERGREIFEN Kosten/Nutzen Analyse 1 Dokumentation Ziele definieren 2 Risiken identifizieren 3 Risiken bewerten Maßnahmenpläne 8 Monitoring Risikomanagement Prozess 4 Maßnahmen ergreifen 7 Information 6 Risiko Controlling 5 25

26 D. DER RISIKOMANAGEMENTPROZESS 5 RISIKOCONTROLLING Prozessintegrierte Kontrollen 1 Dokumentation Ziele definieren 2 Risiken identifizieren 3 Risiken bewerten Risikoappetit festlegen Strategie formulieren Zielsetzungen operationalisieren 8 Monitoring 7 Risikomanagement Prozess Information 6 Risiko Controlling 4 Maßnahmen ergreifen 5 26

27 D. DER RISIKOMANAGEMENTPROZESS 6 INFORMATION Ad-Hoc-Berichterstattung 1 Dokumentation Ziele definieren 2 Risiken identifizieren 3 Risiken bewerten Haftungsaspekte Hotline? (Whistle Blower Hotline) 8 Monitoring 7 Risikomanagement Prozess Information 6 Risiko Controlling 4 Maßnahmen ergreifen 5 27

28 D. DER RISIKOMANAGEMENTPROZESS 7 MONITORING Die Rolle des Aufsichtsrats/Beirats 1 Dokumentation Ziele definieren 2 Risiken identifizieren 3 Risiken bewerten Die Rolle der internen Revision Die Rolle des Gesellschafters 8 Monitoring 7 Risikomanagement Prozess Information 6 Risiko Controlling 4 Maßnahmen ergreifen 5 28

29 D. DER RISIKOMANAGEMENTPROZESS 8 DOKUMENTATION Anforderungen 1 Dokumentation Ziele definieren 2 Risiken identifizieren 3 Risiken bewerten Elektronische Datenräume Vertraulichkeit Autorisierung 8 Monitoring 7 Risikomanagement Prozess Information 6 Risiko Controlling 4 Maßnahmen ergreifen 5 29

30 D. DER RISIKOMANAGEMENTPROZESS 8 DOKUMENTATION - BEISPIEL Flow Chart Beschreibung Risko & Kontroll- Matrix Input Input Ref. A Kontroll- Control Aktivität Activity 1 Output Ref. A Beschreibung des Risikos Ref. A Kontrolle 1 Wer? Wie? Was? Ref. B Wann? Aktivität Activity Wo? Warum? 30

31 D. DER RISIKOMANAGEMENTPROZESS RISIKOMANAGEMENT-STANDARDS (COSO II) 31

32 ZUSAMMENFASSUNG 32

33 REFERENTEN Dr. Bernd Schichold Vorstand Financial Experts Association e.v. +49 (0) Hamburg WP/Stb Egbert Vissing Partner Jantzen Emde Tjarks +49 (0) Bremen 33