Beispiel 1. Einleitung Eine risikoorientierte Unternehmensüberwachung wird vor dem Hintergrund der steigenden Komplexität in der Unternehmensumwelt immer wichtiger. Der Gesetzgeber hat mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) auf diese Entwicklung reagiert. Er konkretisiert mit diesem Gesetz die Verpflichtung des Vorstand/die Geschäftsführung einer Gesellschaft, "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit Entwicklungen, die den Fortbestand der Gesellschaft gefährden können, früh erkannt werden". Mit dieser Konzernanweisung folgt der Vorstand/die Geschäftsführung der gesetzlichen Forderung und richtet ein Risikomanagementsystem ein. Nähere Erläuterungen zu den Auflagen des Gesetzes, der Funktionen des Controllings und der Revision sowie eine Liste der für die (GESELLSCHAFT) relevanten Risikogruppen sind unter der Anlage 1 zusammengefasst. Die Dokumentation, mit der zum 30.04.2008 der Ist-Zustand bei der (GESELLSCHAFT) zu belegen ist, geht in die zu schaffende Dokumentation des Risikomanagementsystems ein. 2. Risikosteuerung Für die Steuerung des Risikos sind folgende Strategiealternativen möglich: Akzeptieren von Risiken, hierfür ist kontinuierliche Beobachtung unerlässlich, um es nicht bestandsgefährdend werden zu lassen. Vermindern von Risiken, z.b. bei Auftragsannahme, Ausstieg aus Projekten, Schließung von Geschäftseinheiten, usw. Übertragung von Risiken, vertragliche Abwälzung auf Kunden, Subunternehmer, usw. Vermeidung von Risiken, z.b. Qualitätskontrolle, Ausführungskontrolle, Leistungskontrolle, usw. Absicherung der monetären Auswirkungen von Risiken, z.b. Versicherungsdeckung. Seite 1
3. Risikopolitische Grundsätze Für das Risikomanagementsystem hat der Vorstand/die Geschäftsführung folgende risikopolitischen Grundsätze formuliert: Bei allen Mitarbeitern ist das Bewusstsein für Risiken zu schärfen. Risiken sind durch geeignete Maßnahmen in ihren möglichen Folgewirkungen zu begrenzen. Für die Früherkennung, Bewertung und Steuerung von Risiken ist in jeder Gesellschaft ein Risikomanagementsystem einzurichten. Für bestandsgefährdende Risiken besteht Informationspflicht unmittelbar gegenüber dem Vorstand/der Geschäftsführung. Für die Einstufung eines Risikos als bestandsgefährdend und für seine Weitergabe an den Vorstand/die Geschäftsführung sind im Rahmen des Controllings geeignete Beurteilungskriterien (Wesentlichkeitgrenze) zu definieren und laufend zu aktualisieren. Das Risikomanagement ist zu dokumentieren (die Dokumentation ist einer jährlichen Revision und Aktualisierung zu unterziehen). Die permanente Funktion des Risikomanagements ist durch Nachweise zu belegen. 4. Organisation die (GESELLSCHAFT) organisiert ihre Abläufe und Informationsflüsse so, dass sie Risiken rechtzeitig erkennen, bewerten und steuern kann. 4.1 Informationsfluss Für Risiken, deren Folgewirkungen die für die Gesellschaft bestandsgefährdend sein können, besteht die Pflicht zur Weitergabe entsprechender Informationen an den Vorstand/die Geschäftsführung. Im Rahmen des monatlichen Reportings oder der sonstigen vereinbarten Informationszyklen zu vorgegebenen strategischen und operativen Themen melden sie jene Risiken an ihren Abteilungsleiter, die anhand der Beurteilungskriterien als bestandsgefährdend und damit zur Information verpflichtend beurteilt wurden. Seite 2
4.2 Flexibilität der Organisation Der Informationsfluss darf sich nicht nur auf "Regel"-Risiken beschränken. Vielmehr ist er bezogen auf Priorität, Zeitpunkt, Laufweg und Verteiler so zu vereinbaren, dass er von allen Beteiligten/Betroffenen flexibel nicht vorhersehbaren Umständen angepasst werden kann (Sofort-Berichterstattung). 4.3 Einbindung des Vorstands/der Geschäftsführung und des Controllings Die Einbindung des Vorstands/die Geschäftsführung und des (GESELLSCHAFT) - Controllings zur Information und Steuerung von Risiken unterliegt ebenfalls festgelegten Informationsprozeduren. Vorstand/die Geschäftsführung und Controlling legen die Kriterien für wesentliche (bestandsgefährdende, zur Information verpflichtende) Risiken bzw. Risikogruppen fest. 5. Risikomanagementbeauftragter Zur Pflege des Risikomanagementsystems hat der Vorstand/die Geschäftsführung die Funktion eines Risikomanagementbeauftragten* geschaffen. Aufgabe des Risikomanagementbeauftragten ist die regelmäßige Überarbeitung der mit dieser Konzernanweisung verbundenen Regelungen. Ferner prüft er periodisch die zur laufenden Überwachung des Systems festgelegten Nachweise. Er ist berechtigt, die Unternehmensbereiche zur Vorlage der entsprechenden Nachweise aufzufordern. *) Auch als externe Funktion möglich. Der Risikomanagementbeauftragte ist nicht mit dem Risikobeauftragten zu verwechseln, der mit der Bearbeitung konkreter Risiken betraut ist. Seite 3
6. Aufgaben der Gesellschaft 6.1 Einrichtung eines Risikomanagementsystem Die Gesellschaft richtet auf Grundlage der risikopolitischen Grundsätze der (GESELLSCHAFT) eigene Risikomanagementsysteme für sämtliche Abteilungen ein. Die Systeme sind zu dokumentieren. 6.2 Risikomanagementbeauftragter Zur Pflege des Risikomanagementsystems beruft der Vorstand/die Geschäftsführung einen Risikomanagementbeauftragten. Seine Aufgabe ist die regelmäßige Überarbeitung der Richtlinien des Systems der Gesellschaft. Ferner prüft er periodisch die zur laufenden Überwachung des Systems bestimmten Nachweise. Er ist berechtigt, die zum Nachweis ihrer Tätigkeit verpflichteten Stellen zur Vorlage der entsprechenden Unterlagen aufzufordern. Er hält den Kontakt zu den Wirtschaftsprüfern. 7. System-Überwachung Für den Nachweis der regelmäßigen Funktion des Risikomanagementsystems sind in der Gesellschaft folgende Verfahren zu veranlassen: Laufende Aktualisierung der Risikomanagementsystem-Dokumentation. Festlegen von Frühwarn- und Steuerungsgremien / Besprechungen, deren Tätigkeit systematisch zu dokumentieren ist. Für die so bestimmten Gremien/Besprechungen sind: - deren Besprechungen mit Terminen, Themen und Teilnehmern in einer Jahresterminplanung (Besprechungskalender) festzulegen - die Einladungen mit Tagesordnungspunkten und die Besprechungsprotokolle mit Verteilern aufzubewahren. Mit Hilfe dieser Unterlagen muss die ordnungsgemäße Funktion des Systems gegenüber den gesetzlichen vorgesehenen Behörden (Registergericht) und den Wirtschaftsprüfern nachgewiesen werden. Der Anstoß entsprechender Aktivitäten und deren formale Überwachung gehört zu den Aufgaben der Risikomanagementbeauftragten. Seite 4
8. Dokumentation Die Risikomanagementsystem-Beschreibung der Gesellschaft wird für die (GESELLSCHAFT) in einer Dokumentation zusammengefasst. Der Aufbau dieser Dokumentation ist aus der Gliederung gemäß Anlage 3 zu ersehen. Die Dokumentationen der einzelnen Abteilungen beinhalten zum einen die organisatorischen Maßnahmen, die zur Einrichtung und zum laufenden Betrieb erforderlich sind. Zum anderen sind die Funktionen des Systems so zu belegen, dass sie der gesetzlich geforderten jährlichen Begutachtung durch die Wirtschaftsprüfer gerecht werden. Dazu sind die Elemente zur Früherkennung, zur Bewertung und zur Steuerung je Risikogruppe darzustellen. Ferner ist das Instrumentarium zu bezeichnen und den Risikogruppen zuzuordnen, das dem Risikomanagement in den Gesellschaften zur Verfügung steht. Der Risikomanagementbeauftragte arbeitet in Absprache mit den Beauftragten der Abteilungen Empfehlungen zur Gestaltung, zum Inhalt und zu allgemeinen Verfahrensfragen der Dokumentation aus. Dabei sind die Vorstellungen der Wirtschaftsprüfer zu berücksichtigen. Jede Abteilung aktualisiert einmal im Jahr, spätestens jedoch zum Jahresende, ihre Dokumentation und leitet ein Exemplar dem Risikomanagementbeauftragten zu. Die Zeitpunkte benennt der Risikomanagementbeauftragte des Konzerns. Anlagen 1. Gesetzliche Auflagen und Risikogruppen 2. Schema des (GESELLSCHAFT) -Risikomanagementsystem 3. Gliederung der Dokumentation Seite 5
Anlage 1 zur Anweisung Nr... Auflagen aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und Liste der Risikogruppen 1. Gesetzliche Forderungen Im Frühsommer 1998 hat der Gesetzgeber zahlreiche Forderungen aufgestellt, die die Aufsichtsgremien von Gesellschaften in die Lage versetzen sollen, möglichen bestandsgefährdenden Risiken rechtzeitig und umfassend begegnen zu können. Die wesentlichen Mittel dazu sind frühe Erkenntnis, richtige Einstufung möglicher Auswirkungen und ein sachdienlicher Informationsfluss. 1.1 Einrichtung des Risikomanagementsystems Eine der wesentlichen Forderungen ist die Einrichtung von Überwachungssystemen, mit deren Hilfe Risiken frühzeitig erkannt, nach ihren möglichen Folgen beurteilt und entsprechend gesteuert werden können. Der Gesetzgeber hat zur Auflage gemacht, dass ein solches Risikomanagementsystem laufend zu überwachen und jährlich im Rahmen der Wirtschaftsprüfung zu testieren ist. 1.2 Definition der Risiken Das Gesetz definiert weder konkrete Risiken, die vom Überwachungssystem zu erfassen wären, noch formuliert es Bewertungskriterien, z. B. Größenordnungen. Für die Kriterien, die von jedem Unternehmen selbst näher zu definieren sind, existiert nur eine Vorgabe: All die Risiken sind einzubeziehen, die das Unternehmen in seinem Bestand gefährden können. Dabei ist zu beachten, dass nicht nur einzelne Risiken, sondern auch die Folgewirkungen aus einer Kumulation mehrerer Risiken zu berücksichtigen sind. Seite 6
Als bestandsgefährdend werde Risiken betrachtet, die wesentliche Auswirkungen auf die Vermögens-, Finanz- und Ertragslage des Unternehmens haben. Neben der Einstufung eines Risikos als bestandsgefährdend ist zu bestimmen, ob es an die nächst höhere (Entscheidungs-)Ebene zu berichten ist. Im Normalfall sollte die Einstufung bestandsgefährdend identisch sein mit der Verpflichtung zur Information. 1.3 Quantifizierbare Bewertung Sowohl für die Einstufung als bestandsgefährdend, als auch für die Pflicht zur Information sollten für jede Berichtsebene, wenn möglich, quantifizierbare Schwellwerte als "Wesentlichkeitsgrenzen" definiert werden. Das kann z.b. - die absolute Größe des Risikos, - die relative Größe im Vergleich zu einer Bezugsgröße, - die mögliche Entwicklung im Zeitablauf sein. In der Praxis werden solche Kriterien wohl kombiniert werden müssen. Bei der Einstufung ist weiter zu beachten, dass sie auf jeder Ebene anders ausfallen kann. Ein Risiko, das eine Tochtergesellschaft bedrohlich belasten könnte, mag für die Unternehmung insgesamt einen völlig anderen Stellenwert haben. 1.4 Nicht quantifizierbare Bewertung Sind die Folgewirkungen eines Risikos nicht oder im ersten Schritt noch nicht quantifizierbar, so sind andere Beurteilungen heranzuziehen. Für eine erste Einstufung können folgende Kriterien näher betrachtet werden: - Mit welcher Eintrittswahrscheinlichkeit ist zu rechnen? - Welche Intensität der Auswirkung ist anzunehmen? Beide Kriterien werden jeweils getrennt mit den Attributen hoch, mittel oder gering bewertet. 1.5 Festlegung der Bewertungskriterien Der Vorstand/die Geschäftsführung sollte zum einen im Rahmen des Controllings mögliche Wesentlichkeitsgrenzen und deren Bezugsgrößen, z.b. Jahresüberschuss, Bilanzsumme, gebundenes Kapital usw. festlegen und der Entwicklung des Unternehmens anpassen. Zum anderen sollte er die Kriterien für eine nicht quantifizierbare Beurteilung laufend auf ihre Tauglichkeit prüfen und dem Bedarf anpassen. Seite 7
2. Pflege des Risikobewusstseins Bei einer starren Regelung zur Risikobehandlung und bei enger Definition möglicher Risiken ist nicht auszuschließen, dass auf unerwartete Situationen nicht ausreichend flexibel reagiert wird. Daher stellt der Gesetzgeber die Forderung besonders heraus, im Unternehmen ein besonderes Risikobewusstsein zu schaffen. 3. Aufgabe des Controllings Der Gesetzgeber verweist ausdrücklich darauf, dass das Controlling eine wichtige Funktion im Risikomanagementsystem wahrnimmt. Mit der strategischen Planung, der operativen Planung, dem Berichtswesen und der Prognose, dem Instrumentarium des Controllings, werden Ziele, Strategien und Maßnahmen systematisch und koordiniert bearbeitet. Abweichende Entwicklungen können frühzeitig erkannt und risikoorientiert bewertet werden, so dass ein zeitgerechtes Gegensteuern gewährleistet wird. Dazu zählt z.b. auch die Definition und ständige Aktualisierung der Bewertungsgrenzen wie z.b. der "Wesentlichkeitsgrenzen" (s. Abschnitt 1.3 bis 1.5). 4. Aufgabe der Revision Im Gesetz wird auf die Pflicht verwiesen, das Risikomanagementsystem durch die Interne- Revision überwachen zu lassen. 5. Risikogruppen Die möglichen Risiken für die Gesellschaft, die für sich gesehen oder kumuliert bestandsgefährdende Folgewirkungen haben können, sind nachfolgend zu sechs Risikogruppen zusammengefasst. Dadurch lässt sich die Beurteilung der Risiken vereinfachen, wenn im ersten Schritt die Gruppe als Ganzes betrachtet wird und die Einzelbeurteilung erst zum Tragen kommt, wenn die Umstände auf eine entsprechende Bedeutung hinweisen. 5.1 Liste der Risikogruppen In der Liste auf den folgenden Seiten ist je Gruppe eine Einstufung ergänzt, die auf nicht quantifizierbaren Kriterien fußt. Diese Einträge geben die Einstufung wieder, die in der Risikomanagement-Dokumentation 2008 von der (GESELLSCHAFT) gewählt wurde. Diese Einschätzung wurde von den Umständen zum Zeitpunkt der Erfassung bestimmt und sollte daher nicht als bindende Vorgabe oder als sicherer Maßstab für die Qualität eines Risikos verstanden und ohne neue Analyse übernommen werden. Seite 8