Während sich die Diskussionen um das BilMoG in den vergangenen Monaten im Wesentlichen auf die geänderten Bilanzierungsvorschriften bezogen haben, blieben die Regelungen zur Stärkung der Corporate Governance teilweise außer acht. Mit dem BilMoG wurden jedoch auch weitere Berichtspflichten in Bezug auf interne Kontroll- und Risikomanagementsysteme eingeführt. Risikomanagementsysteme sollten allerdings nicht nur der Erfüllung von gesetzlichen Vorgaben dienen, sondern Unternehmen dabei unterstützen, Chancen zu optimieren und Risiken zu reduzieren. Der vorliegende Artikel beschreibt kurz die gesetzlichen Berichtspflichten sowie die Funktionsweise eines Risikomanagementsystems .
Im Zuge des BilMoG wurden in Bezug auf Risikomanagementsysteme Änderungen im HGB sowie AktG vorgenommen. § 289 Abs. 5 HGB sieht nunmehr vor, dass „Kapitalgesellschaften (...) im Lagebericht die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben“ haben. In § 107 Abs. 3 AktG wird es dem Prüfungsausschuss des Aufsichtsrates in die Hände gelegt, die Wirksamkeit ebenfalls des internen Kontroll- und Risikomanagementsystem zu beurteilen. Das Risikomanagement-system der Gesellschaft wird in Zukunft folglich gleich durch zwei Instanzen begutachtet. Zum einen erfolgt eine Beurteilung durch den Aufsichtsrat als Vertreter der Aktionäre, zum Anderen durch die Aktionäre unmittelbar. Vor diesem Hintergrund empfiehlt es sich, die Aktualität seines eigenen Risikomanagementsystems zu überprüfen.
1 Aus Vereinfachungs-gründen wird im Folgenden von Risiken bzw. Risikomanagementsystemen gesprochen. Dies umfasst jedoch auch Chancen und das Chancenmanagementsystem.
Bei einem Risikomanagementsystem handelt es sich nicht um ein statisches System. Risikomanagement ist vielmehr ein rollierender Prozess, welcher im Unternehmen unter Zusammenarbeit verschiedenster Abteilungen etabliert werden muss.
Abbildung 1: Risikomanagement-Regelkreis (In Anlehnung an Romeike, 2004: Erfolgsfaktor Risikomanagement)
Risikoidentifikation: Zu Beginn wird zunächst ein Risikokatalog erstellt. In Interviews mit
unterschiedlichen Bereichsverantwortlichen werden die Risiken identifiziert und dokumentiert.
Dies kann in Form von Checklisten oder Brainstorming erfolgen. Typische Risiken sind z.B. Fremdwährungsschwankungen, Patentrechtsverletzungen, Kreditrisiken, aber auch stark
operativ bezogene Risiken wie Datenverlust oder Brandgefahr.
Risikobewertung: Im 2. Schritt erfolgt die Bewertung der einzelnen Risiken. Diese werden nach Eintrittswahrschein- lichkeit und möglichem Schadenausmaß gegliedert. Im Anschluss wird das Ergebnis in einem Risiko-Statusbericht erfasst. Einzelne Risken werden innerhalb eines Diagramms mit der Eintrittswahrscheinlichkeit auf der einen und dem Schadenausmaß auf der anderen Achse eingetragen. Ergebnis ist der Risiko-Statusbericht:
Abbildung 2: Risiko-Statusbericht (In Anlehnung an Romeike, 2004: Erfolgsfaktor Risikomanagement)
Risikosteuerung: Im Anschluss an die Risikobewertung erfolgt die Steuerung der Risiken, die Ergreifung von Gegenmaßnamen. Es gibt im Wesentlichen vier Strategien. Die theoretischste davon ist die Risikovermeidung. Hier kann z.B. auf Verkauf von Produkten auf dem amerikanischen Markt verzichtet werden um entsprechende Haftungsrisiken zu vermeiden. Eine konsequente Fortführung dieser „Strategie" führt freilich zur Einstellung sämtlicher unternehmerischer Handlung. Eine abgeschwächte Form der Risikovermeidung ist die Risikominderungsstrategie. Hier bleibt ein gewisses Risiko noch bestehen, das Volumen oder die Wahrscheinlichkeit des Risikos werden jedoch gemindert. Als Beispiele können die (teilweise) Absicherung des Zinsrisikos über Swaps oder ein Projekt zur Erhöhung der Stabilität des IT-Systems dienen. Mittels Risikotransfer als weiterer Strategie werden Risiken auf andere Parteien übertragen. Typische Beispiele sind Forderungsverkäufe, Versicherung oder Hedging von Fremdwährungsgeschäften. Es wird hier demnach die Eintrittswahrscheinlichkeit des Risikos reduziert. Bei der Strategie der Risiko-streuung werden effektiv Risiken minimiert, in dem diese auf mehrere Parteien verteilt werden. Z.B. werden Aufträge an mehrere Lieferanten vergeben um Abhängigkeit zu reduzieren, die Erstellung eines Produkts wird auf mehrere Werke verteilt um bei Produktionsausfällen in einem Werk weiterhin liefern zu können. Die Risikostreuung reduziert also das Schadenausmaß des Risikos.
Risikokontrolle: Der Regelkreis endet mit einer Effektivitätsprüfung der eingeleiteten Maßnahmen. Die identifizierten Risiken werden neu bewertet und das mögliche Schadenausmaß in einem Update des Risikoberichts festgehalten. Dabei ist zu beurteilen, inwiefern sich die Einzelrisiken nunmehr innerhalb eines Akzeptanzbereichs befinden oder ob weitere Aktionen erforderlich sind.
Fazit:
In Zukunft werden Aufsichtsrat und Aktionären zusätzliche Informationen über das Risikomanagementsystem des Unternehmens offengelegt. Diese werden anhand der neuen Datenlage Unternehmen wie Management selbst gleichermaßen beurteilen. Der Aufbau eines funktionierenden Risikomanagementsystems ist jedoch kein Mammutprojekt, sondern kann bei sachkundiger Ausführung auch mit limitiertem Aufwand in das Reporting eines Unternehmens implementiert werden. Unternehmer sollten die Gesetzesänderung des BilMoG zum Anlass nehmen, hier ein Review des bestehenden Prozesses vorzunehmen. Ein gutes Risikomanagementsystem schafft Vertrauen bei sämtlichen Interessengruppen und steigert so letztlich den Unternehmenswert.
Zu den Autoren:
Ingo Weber, Mitglied des Vorstands, leitet den Bereich Industry der FAS AG, Stuttgart. Nils Klamar ist Manager im Bereich Valuation Services der FAS AG, Stuttgart.
Die FAS AG ist eine auf Corporate Performance Management sowie Bewertungsfragen spezialisierte Unternehmensberatung. Die Berater der FAS AG sind weltweit tätig und unterstützen ihre Kunden insbesondere bei der Implementierung von Reporting Sytemen, sowie bei Unternehmenserwerb und -verkauf.