Vorschriften zum Risikomanagement

Frühwarnindikatoren können dabei aus der Anwendung der verschiedenen Bewertungsmethoden zur detaillierten Betrachtung von Risiken gewonnen werden, wobei insbesondere Indikator-Ansätze und Kausal-Methoden zu deren Identifikation geeignet sind.

Im Rahmen der Risikosteuerung kann das Risikoinventar um die durchgeführten Aktionen erweitert werden. So kann je identifiziertem und bewertetem Risiko bzw. Risi-kogruppe zusätzlich angegeben werden, welche Maßnahmen er-griffen wurden, um das Risiko zu reduzieren (Erdenberger 2001, 15;

Geiger, Piaz 2001, 797; Gleißner 2001, 113; Thomson 2005, 133).

Potentiell veränderte Verantwort-lichkeiten, die sich beispielsweise aus einer Eskalation des Risikos ergeben, sind ebenfalls zu ver-merken. Zudem können die Effek-te der Steuerungsmaßnahmen, soweit dies im Rahmen dieser Phase möglich ist, angegeben werden. Ausgehend vom Bruttorisiko, das das Schadensausmaß bezeichnet, das sich bei Eintritt des Schadens ohne Einleitung von Steuerungsmaßnahmen ergeben würde, kann das Nettorisiko als poten-tiell verbleibender Restschaden bei Einleitung der Steuerungsmaßnahmen, angegeben werden. Zusätz-lich können Maßnahmen angegeben werden, die im zukünftigen Umgang mit dem Risiko bzw. der Risikogruppe erforderlich sind (Erdenberger 2001, 15). Diese Erweiterungen des Risikoinventars sind in Tab. 4 visualisiert.

3.6.1 KonTraG

Das 1998 verabschiedete KonTraG hebt explizit die Sorgfaltspflicht börsennotierter Aktiengesell-schaften in Bezug auf Risiko hervor (1998), um die Interessen der Anteilseigner zu wahren (Lück 1998, 8ff). Das KonTraG selbst ist nicht als ein eigenständiges Gesetz zu betrachten, sondern als ein Konstrukt aus zahlreichen Änderungen und Ergänzungen im Aktiengesetz (AktG) und Handelsge-setzbuch (HGB) (Keitsch 2000, 14).

Das KonTraG wird in der Literatur vielfach auf RM reduziert, obwohl die Intention des Gesetzgebers weiter gefasst ist. So sind im KonTraG die Verbesserung der Transparenz für die Anteilseigner, die Stärkung der Kontrolle durch die Hauptversammlung und somit insgesamt eine Verbesserung der Corporate Governance vordergründig (Bitz 2000, 4; Picot 2001, 8; von Hohnhorst 2002, 93; Wallmül-ler 2004, 3). Hinsichtlich RM besteht der Kern des Gesetzes darin, dass die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfer erweitert wird und die Unternehmensleitung ein unternehmenswei-tes Früherkennungssystem für Risiken einzurichten hat sowie Risiken, Risikostruktur und deren Ent-wicklung im Lagebericht (§ 289 HGB) des Jahresabschlusses¹⁰³ zu veröffentlichen sind. So wird in

§ 91 AktG der Vorstand der Aktiengesellschaft verpflichtet, für ein angemessenes RM zu sorgen so-wie dazu „geeignete Maßnahmen zu treffen, insbesondere ein internes Überwachungssystem¹⁰⁴ einzu-richten“. Das Gesetz gibt allerdings keinen Aufschluss darüber, wie das RM im Detail auszugestalten ist, sondern verweist nur darauf, dass sich der Vorstand bei der Ausgestaltung an der gebotenen Sorg-falt eines ordentlichen und gewissenhaften Geschäftsführers zu orientieren hat (§ 93 AktG).

Das KonTraG mit seinem ausdrücklichen Gebot eines Risikoüberwachungssystems betrifft nur Akti-engesellschaften und Kommanditgesellschaften auf Aktien (KGaA). Jedoch spricht der Gesetzgeber die Erwartung aus, dass das Gesetz eine Ausstrahlungswirkung auf andere Rechtsformen, insbesonde-re die GmbH hat (§ 43 GmbHG), obwohl im GmbHG keine eigenständigen Regelungen getroffen sind.

Das KonTraG fokussiert Risiken, die mit einer Bestands- bzw. Existenzgefährdung verbunden sind.

Der Begriff ist unscharf und kann unterschiedlich weit ausgelegt werden. Wambach empfiehlt eine derartige weite Auslegung und fasst darunter alle Risiken, die sich direkt oder indirekt auf die Vermö-gens-, Ertrags-, und Finanzlage des Unternehmens auswirken und dessen Existenz gefährden (Wambach 2002, 216). Eine Erweiterung der Betrachtung auf nicht bestandsgefährdende Risiken ist zudem sinnvoll, da einerseits Risiken in ihrer Aggregation eine Bestandsgefährdung auslösen können und andererseits eine Bestandsgefährdung oftmals nicht oder nur schwer erkennbar ist.

103 Im Falle von Konzernen erfolgt die Angabe im Konzernlagebericht des Konzernabschlusses § 315 I HGB.

104 Zur Überwachung im Unternehmen bestehen verschiedene Möglichkeiten, wie Überwachung durch ein internes Über-wachungssystem, Überwachung durch den Abschlussprüfer, Überwachung durch den Aufsichtsrat sowie Überwachung im Rahmen der Konzernüberwachung (Rockel 2002, 7ff).

Bei der Abschlussprüfung wird durch den Wirtschaftsprüfer beurteilt, ob (gem. § 317 IV HGB) der Vorstand den entsprechenden Pflichten nachgekommen ist. Demzufolge besteht seitens der Wirt-schaftsprüfung in der Form eines spezifischen Prüfstandards (IDW PS 340) eine über den Gesetzes-text hinausgehende Konkretisierung der Ausgestaltung eines KonTraG-konformen RM nach § 91 II AktG. Demnach sind durch die Unternehmensleitung auf der Basis definierter Risikofelder Risiken zu erfassen (IDW 1999, Tz 7-8). Diese Risiken sind im Hinblick auf Eintrittswahrscheinlichkeit und Schadensausmaß zu bewerten sowie zu einer Gesamtrisikoposition zu aggregieren. Zudem soll Risi-kobewusstsein bei den Mitarbeitern geschaffen werden (IDW 1999, Tz 9-10). Darüber hinaus ist eine umfassende Risikokommunikation im Unternehmen zu implementieren, die neben einer Schulung der Kommunikationsbereitschaft auch Schwellenwerte für entsprechende Berichtspflichten, definierte Überwachungszyklen und eine nachweisbare Berichterstattung über nicht bewältigte Risiken umfasst (IDW 1999, Tz 11-12). Zudem sind organisatorische Verantwortlichkeiten verschiedener Manage-mentebenen sowie entsprechende Eskalationsprozesse bei Nichtbewältigung der Risiken nachweisbar zu implementieren (IDW 1999, Tz 13-14). Ferner ist ein Überwachungssystem einzurichten, mittels dessen die Wirksamkeit der ergriffenen Maßnahmen und der Kommunikation kontrolliert wird. Dies kann auch Gegenstand der internen Revision sein (IDW 1999, Tz 15-16). Das Überwachungssystem hat dabei eine Präventiv- und eine Korrekturfunktion. Erstere dient zur Reduktion der bestehenden bzw. potentiellen Risiken, während mittels Korrekturfunktion die Wirksamkeit der Maßnahmen über-prüft wird und gegebenenfalls Anpassungen vorgenommen werden (Lück et al. 2002, 231). Zudem sind im Rahmen der Risikodokumentation Nachweise im Hinblick auf die im RM ergriffenen Aktivi-täten zu erbringen und ein Risikohandbuch zu erstellen (IDW 1999, Tz 17-18). Die aus dem KonTraG erwachsenden Pflichten im Hinblick auf die Implementierung eines leistungsfähigen RM sind somit entsprechend konkretisierbar und stellen bei Kapitalgesellschaften einen Prüfgegenstand im Rahmen der Abschlussprüfung dar.

3.6.2 Basel II

Hohe Insolvenzraten, Kreditausfälle und volatile Märkte haben zur Folge, dass Unternehmen der Fi-nanzwirtschaft umfassend von aufsichtsrechtlichen Regulierungen betroffen sind. Demnach müssen Kreditinstitute ihre Bankgeschäfte mit Eigenkapital hinterlegen, was zum einen der Stabilität der Fi-nanzwirtschaft und zum anderen dem Schutz der Gläubiger dient (Locher et al. 2004, 15ff). Mit dem Ziel, die Eigenkapitalvorschriften international zu vereinheitlichen, wurde 1974 der Baseler Aus-schuss für Bankenaufsicht von den G-10 Staaten mit Sitz in Basel gegründet¹⁰⁵. Nach der Veröffentli-chung 1988 trat 1992 der Baseler Eigenkapitalakkord (Basel I), nach dem Kreditgeschäfte mit Eigen-kapital zu unterlegen sind, in Kraft. Bedingt durch die Ausweitung der Derivat- und Handelsgeschäfte

105 Der Baseler Ausschuss arbeitet unter dem Dach der Bank für internationalen Zahlungsausgleich (BIZ) in Basel.

der Banken erfolgte 1996 eine Erweiterung auf Marktrisiken, die es von nun an ebenfalls mit einem ermittelten Prozentsatz an Eigenkapital zu hinterlegen galt. Dieser Teil des Eigenkapitals wird auch als regulatorisches Eigenkapital bezeichnet. Seit Einführung der ersten Eigenkapitalvereinbarung 1992 erfolgte eine Umsetzung in einem Großteil der Länder, in denen internationale Banken tätig sind, was auf den hohen Stellenwert hinweist (Locher et al. 2004, 19f; Hofmann 2006, 93).

Bedingt durch die Weiterentwicklung der Bewertungsmethoden der Risiken sowie das Auftreten von Krisen bzw. Zusammenbrüche verschiedener Banken (z.B. Barings Bank¹⁰⁶) wurde 1999 in der Form eines Konsultationspapiers, dem in den folgenden Jahren zwei weitere folgten, mit der Entwicklung des neuen Baseler Eigenkapitalakkords (Basel II) begonnen, der nunmehr neben einer Überarbeitung von Basel I auch operationelle Risiken in die Risikobetrachtungen bzw. in die Eigenkapitalhinterle-gung einbeziehen sollte (Hofmann 2006, 94). Seit 1. Januar 2007 sind die Regelungen nach Basel II verbindlich in den Mitgliedsstaaten der Europäischen Union nach der EU-Richtlinie 2006/49/EG an-zuwenden, wobei eine einjährige Übergangsfrist besteht. Die Umsetzung dieser Mindesteigenkapital-anforderungen erfolgt im deutschen Recht mittels der Solvabilitätsverordnung (SolvV).

Um die Höhe des regulatorischen Eigenkapitals zu bestimmen, werden im Rahmen von Basel II drei verschiedene Verfahren zur Bewertung operationeller Risiken zur Auswahl gestellt (Basel 2004, 157ff). Der Basisindikatoransatz bezieht sich auf einen einzelnen Indikator (15%), der mit dem Dreijahresdurchschnitt des Bruttoertrages multipliziert das zu unterlegende Eigenkapital bestimmt (siehe auch § 270 SolvV). Im Rahmen des Standardansatzes werden die jeweiligen Bruttoerträgen der acht verschiedenen Geschäftsfelder einer Bank mit einem festen -Faktor¹⁰⁷ multipliziert und dann zu einem so genannten Teilanrechnungsbetrag aufsummiert. Diese Beträge werden für die letzten drei Jahre ermittelt, wobei sich die Eigenkapitalunterlegung aus deren Mittelwert ergibt (siehe auch

§ 272ff SolvV).

Als dritte Möglichkeit können fortgeschrittene Messansätze zur Ermittlung des zu hinterlegenden Ei-genkapitals herangezogen werden, wobei für diese im Gegensatz zu den beiden zuvor genannten Ver-fahren keine festen Vorgaben zur Ermittlung bestehen. Zur Ermittlung der Eigenkapitalhinterlegung können beispielsweise ein interner Bemessungs-, ein Verlustverteilungs- oder ein Scorcard-Ansatz herangezogen werden, sofern Verlustdaten der letzten fünf Jahre vorliegen. Für die Anwendung fort-geschrittener Messansätze müssen allerdings eine Reihe von Anforderungen (§§ 279-292 SolvV) voll-ständig erfüllt sein. Je nach Wahl des Bewertungsansatzes sind unterschiedliche qualitative Anforde-rungen zu erfüllen, die sowohl in der Solvabilitätsverordnung als auch in den so genannten Sound Practices geregelt sind, wobei die Anforderungen bei der Verwendung des Basisindikatoransatzes geringer sind und insbesondere bei fortgeschrittenen Messansätzen deren Erfüllung unerlässlich ist

106 Die Barings Bank erlitt 1995 durch nicht autorisierte Zins- und Währungsspekulationen eines Wertpapierhändlers in Asien einen Verlust von 1,4 Milliarden US-Dollar, was zur Insolvenz der Barings Plc. führte.

107 Diese sind in § 272 IV SolvV bestimmt und liegen zwischen 12 und 18 %.

(Hauri, Lecomte 2007, 171). In den Sound Practices, in denen Angaben zu Rahmenbedingungen, Kernaufgaben, Rolle der Bankaufsicht und Offenlegung gemacht werden, erfährt das RM eine weitere Konkretisierung¹⁰⁸.

3.6.3 Sarbanes-Oxley Act

2002 trat als Reaktion auf verschiedene Finanzskandale von U.S. Unternehmen (z.B. Enron) der Sar-banes-Oxley-Act (SOX) in Kraft, der wie auch das KonTraG ein Artikelgesetz darstellt. Gegenstand dieses Gesetzes sind die Einhaltung der Corporate Governance von an U.S. Börsen notierten Unter-nehmen sowie Regulierungsmaßnahmen für die amerikanischen Wirtschaftsprüfer. Dabei hat das Ge-setz auch Auswirkungen auf das RM im Unternehmen. Der SOX ist auch für deutsche Unternehmen gültig, wenn deren Anteile an der U.S. Börse gelistet sind oder die Wertpapiere auf anderen Wegen öffentlich in den USA anbieten (Locher 2004, 21; Menzies 2004, 13). Das zentrale Ziel des SOX ist, das Vertrauen der Anleger durch die Verbesserung der Transparenz von Unternehmensprozessen und die gezielte Information der Adressaten der Finanzberichterstattung sicherzustellen.

Der Sarbanes-Oxley Act ist in elf Sektionen gegliedert, die sich beispielsweise mit der Unabhängig-keit der Wirtschaftsprüfer (Sektion 2), den VerantwortlichUnabhängig-keiten im Unternehmen (Sektion 3) oder der Veröffentlichung von Finanzdaten (Sektion 4) befassen, wobei der Kern des Gesetzes die Verpflich-tung zur Richtigkeit der Finanzzahlen darstellt. Dazu wird im Falle der Aktiengesellschaft durch den Vorstandsvorsitzenden und den Finanzvorstand jährlich und öffentlich an Eides statt erklärt, dass die Finanzzahlen des Unternehmens auf wahren Tatsachen beruhen und die wirtschaftliche Lage wider-spiegeln. Voraussetzung der Erklärung dieser Zahlen ist die Einrichtung eines internen Kontrollsys-tems. Falschangaben werden mit hohen persönlichen Strafen geahndet, wie Geldstrafen bis zu 5 Mio.

$ und Freiheitsstrafen bis zu 20 Jahren (Lanfermann, Maul 2002, 1730; Locher 2004, 21; Brown, Na-suti 2005, 16).

Hinsichtlich RM ist dabei insbesondere das interne Kontrollsystem relevant, wobei die Sektionen 302 und 404 neben dem reinen Betrieb des Kontrollsystems auch eine Überprüfung dessen Wirksamkeit erfolgen muss, die auch vom Abschlussprüfer bestätigt werden muss. So ist die Veröffentlichung der Geschäftsberichte durch entsprechende Kontrollen zu flankieren, die regeln, welche rechnungsle-gungsrelevanten Informationen dem Management zugänglich gemacht werden sollen, wobei Kontrol-len die Zuverlässigkeit der eingesetzten Systeme sicherstelKontrol-len solKontrol-len. Im Rahmen von Sektion 404 ist nachzuweisen, dass Kontrollen zur Rechnungslegung implementiert wurden und über Unregelmäßig-keiten oder Schwachstellen Bericht erstattet wurde. Dabei ist die Überprüfung der Berichte des Mana-gements zur Qualität der Kontrollen auch Prüfgegenstand.

108 Siehe hierzu (Basel 2003).