Zeitschrift für Risikomanagement (ZfRM) - Leseprobe by Erich Schmidt Verlag

ZfRM

Zeitschrift für Risikomanagement (ZfRM)

04 21

Leseprobe, mehr zum Beitrag unter https://doi.org/10.37307/j.2701-7605.2021.04.05

2. Jahrgang August 2021 S. 85–112

Zeitschrift für

RISIKOMANAGEMENT Praxiswissen risikobasierte Unternehmensführung

www.ZfRMdigital.de

Risikoaggregation und Früherkennung von Risiken

Fachbeirat: Dr. Oliver Bungartz, RSM Risk Consulting Germany GmbH & Co. KG, Leiter „Risk Advisory“ Prof. Dr. Peter Fissenewert, Buse Heberer Fromm, Partner Prof. Dr. Werner Gleißner, FutureValue Group AG, Vorstand, Technische Universität Dresden Prof. Dr. Ute Vanini, Fachhochschule Kiel Andreas Wermelt, Deloitte GmbH, Partner

32370

Zeitschrift für Risikomanagement (ZfRM) Leseprobe, mehr zum Beitrag unter https://doi.org/10.37307/j.2701-7605.2021.04.05

Editorial Erhöhte Anforderungen ans Risikomanagement

Inhalt 04 21

Risk Management 85

Wolfhart Fabarius

Cyber-Risiken – Analyse der Geschäftsberichte 2020 von DAX-30-Unternehmen

Dr. Carola Rinker

Risk Governance

Früherkennung von Risiken – Welche Anforderungen stellt das StaRUG? Interview mit René Scheffler und Dr. Nima Ghassemi-Tabar

Risikoaggregation, Insolvenzrisiko und Unternehmenswert – Ein Fallbeispiel 88

Prof. Dr. Werner Gleißner / Endre Kamarás

Gesetz zur Stärkung der Finanzmarktintegrität – Herausforderungen für das Risikomanagement

108

Dr. Carola Rinker / Dr. Marc Liebscher

News Law Report

86 112

Zeitschrift für Risikomanagement (ZfRM) Leseprobe, mehr zum Beitrag unter https://doi.org/10.37307/j.2701-7605.2021.04.05

Editorial

Erhöhte Anforderungen ans Risikomanagement Liebe Leserinnen und Leser, aus dem Gesetz zur Stärkung der Finanzmarktintegrität (FISG) sind am 1.7.2021 wesentliche Teile in Kraft getreten. Die insgesamt 27 Artikel mit vielen maßgeblichen Gesetzen bedeuten für Unternehmen weitreichende Änderungen, allen voran für ihr Risikomanagement.

Nach dem neuen § 91 Abs. 3 AktG hat der Vorstand einer börsennotierten Gesellschaft ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames Internes Kontrollsystem (IKS) und Risikomanagementsystem (RMS) einzurichten. Viele Unternehmen werden nun zunächst einmal bewerten müssen, ob ein den neuen Anforderungen entsprechendes IKS und RMS existiert oder wo noch Lücken bestehen. Für die Aktiengesellschaften, die der Neuregelung nicht unterliegen, wird die Rechtslage nicht geändert oder abgeschwächt (Seite 108). Im Gegensatz zum FISG lässt das geplante Verbandssanktionengesetz weiter auf sich warten. Es schien nur noch eine Frage von Wochen, bis es vom Gesetzgeber durchgewunken wird. Inmitten des Bundestagswahlkampfs heißt es nun seitens der Union, die Differenzen zu einzelnen Regelungen insbesondere zum Umgang mit Berichten aufgrund interner Untersuchungen seien zu groß, um noch in dieser Legislatur zu einem Abschluss zu kommen. Kontrovers diskutiert wurde die im Gesetzentwurf ebenfalls vorgesehene Trennung von Unternehmensverteidigung und internen Untersuchungen. Sie sei systemfremd und diene der Aushöhlung des Beschlagnahmeschutzes, lautete die Kritik. Ergebnisse aus internen Untersuchungen hätte die Staatsanwaltschaft beschlagnahmen können, weil sich das Unternehmen nicht auf das Verteidigerprivileg hätte berufen können. Zu erwarten ist, dass die nächste Bundesregierung ein vergleichbares Gesetzesvorhaben anstoßen wird. Das zum Jahresbeginn in Kraft getretene Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (StaRUG) hat die Anforderungen an ein Krisen- und Risikofrüherken-

nungssytem präzisiert und erweitert. Für das Risikomanagement ergibt sich bei der Ausgestaltung erheblicher Interpretationsbedarf. Wie weit muss die Überwachung von Risiken gehen? Wo liegen insbesondere für kleinere Unternehmen die Grenzen der Ausgestaltung? Über diese und weitere Fragen sprach ich mit René Scheffler und Nima Ghassemi-Tabar von Deloitte (Seite 88).

Wolfhart Fabarius ist Chefredakteur der Zeitschrift für Risikomanagement

Eine Insolvenzwelle bei Unternehmen ist nach Einschätzung des Berufsverbands der Insolvenzverwalter zwar nicht in Sicht (Seite 86). Dennoch muss das Risikomanagement bei der Unternehmensbewertung und wertorientierten Unternehmenssteuerung stets die Möglichkeit einer Insolvenz berücksichtigen. Ohne eine Analyse der Chancen und Gefahren sind weder eine Krisenfrüherkennung noch eine sachgerechte Bewertung des Unternehmens und wichtiger Investitionsprojekte möglich. Darauf gehen Prof. Dr. Werner Gleißner und Endre Kamarás in ihrem Beitrag über Risikoaggregation, Insolvenzrisiko und Unternehmenswert ein (Seite 97). Der digitale Wandel und die Vorteile unternehmensübergreifender Vernetzung haben die Gefahren von Hackerangriffen und vergleichbaren Bedrohungen stark erhöht. Das Thema Cyber-Risiken ist allgegenwärtig und gewinnt weiter an Bedeutung. Das zeigte zuletzt der Hackerangriff auf die US-Firma Kaseya, durch den weltweit vorübergehend Tausende Firmen lahmgelegt wurden. Wie gehen die DAX-Konzerne mit Cyber-Risiken um und wie berichten sie darüber? Dr. Claudia Rinker nennt Best-Practice-Beispiele, weist aber auch darauf hin, dass bislang nur wenige Unternehmen über konkrete Maßnahmen zur Gegensteuerung berichten (Seite 93). Ich wünsche Ihnen eine anregende Lektüre. Genießen Sie den Sommer und bleiben Sie stark. Ihr

Wolfhart Fabarius

04.21

Zeitschrift für Risikomanagement (ZfRM)

Zeitschrift für Risikomanagement (ZfRM) Leseprobe, mehr zum Beitrag unter https://doi.org/10.37307/j.2701-7605.2021.04.05

Risk Management

FISG

Gesetz zur Stärkung der Finanzmarktintegrität Herausforderungen für das Risikomanagement D R . C AROLA R INKER · D R . M ARC L IEBSCHER Das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) ist am 1.7.2021 in Kraft getreten. Eine wesentliche Änderung zur vorherigen Rechtslage: Für den Vorstand wird die Einrichtung eines Internen Kontroll- und Risikomanagementsystems gesetzlich vorgeschrieben.

Verpflichtende Einrichtung eines Internen Kontrollsystems Dr. Carola Rinker ist Diplom-Volkswirtin, Sachverständige im Finanzausschuss des Dt. Bundestags zum FISG, Sachverständige im Parlamentarischen Untersuchungsausschuss des Dt. Bundestags zum Wirecard-Skandal. Kontakt über https://www.carola rinker.de/.

Künftig muss der Vorstand einer börsennotierten Gesellschaft sowohl ein Internes Kontrollsystem als auch ein Risikomanagementsystem einrichten. So heißt es in dem neu eingefügten Absatz in § 91 Abs. 3 AktG n. F.: „(3) Der Vorstand einer börsennotierten Gesellschaft hat darüber hinaus ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames

internes Kontrollsystem und Risikomanagementsystem einzurichten.“

Deutscher Corporate Governance Kodex Auch der Deutsche Corporate Governance Kodex umfasst einige Grundsätze zur Einrichtung eines Internen Kontrollsystems und eines Risikomanagementsystems. Die Grundsätze und Empfehlungen, die den Vorstand, Aufsichtsrat und den Abschlussprüfer betreffen, werden in Abbildung 1 veranschaulicht.

Aufsichtsrat

Dr. Marc Liebscher, LL.M., Rechtsanwalt, Spezialisiert auf Kapitalmarkt-, Insolvenz- und Gesellschaftsrecht, Sachverständiger im Bundesfinanzministerium zum FISG, Sprecher Arbeitskreis Bank- und Kapitalmarktrecht des Berliner Anwaltvereins. Kontakt über www.dr-spaeth.com.

„Der Aufsichtsrat soll einen Prüfungsausschuss einrichten, der sich – soweit kein anderer Ausschuss oder das Plenum damit betraut sind – insbesondere mit der Prüfung der Rechnungslegung, der Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems …. befasst.“ (Empfehlungen D3)

überwacht „Für einen verantwortungsvollen Umgang mit den Risiken der GeschäŌstäƟŐkeit bedarf es eines geeigneten und wirksamen internen Kontroll- und Risikomanagementsystems.“ (Empfehlung A.1, Grundsatz 4)

„Der Abschlussprüfer unterstützt den Aufsichtsrat bzw. den Prüfungsausschuss bei der Überwachung der GeschäŌsführung, insbesondere bei der Prüfung der Rechnungslegung und der Überwachung der rechnungslegungsbezogenen Kontroll- und Risikomanagementsysteme.“ (Grundsatz 17)

Vorstand

Abschlussprüfer

Abbildung 1: Darstellung der Grundsätze und Empfehlungen im Deutschen Corporate Governance Kodex1

108

Zeitschrift für Risikomanagement (ZfRM)

04.21

Zeitschrift für Risikomanagement (ZfRM) Leseprobe, mehr zum Beitrag unter https://doi.org/10.37307/j.2701-7605.2021.04.05

Risk Management

FISG Neue gesetzliche Vorschriften Durch die Ergänzung des Gesetzestextes kommt es nicht nur zu einer gesetzlichen Klarstellung, sondern auch zu einem Anstieg der Relevanz des Internen Kontroll- und Risikomanagementsystems. Diese Ausweitung der gesetzlichen Regelung verpflichtet den Vorstand einer börsennotierten Gesellschaft nunmehr gesetzlich, hinsichtlich des Umfangs der Geschäftstätigkeit sowie der Risikolage des Unternehmens angemessenes und wirksames Internes Kontrollsystems und Risikomanagementsystems einzurichten (Abbildung 2). Das Interne Kontrollsystem umfasst die folgenden Inhalte: Grundsätze, Verfahren und Maßnahmen zur Sicherung

(1) der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, (2) der Ordnungsmäßigkeit der Rechnungslegung, (3) der Einhaltung der maßgeblichen rechtlichen Vorschriften. Bisher gab es lediglich die Pflicht für kapitalmarktorientierte Kapitalgesellschaften, im Lagebericht die wesentlichen Merkmale des Internen Kontrollund Risikosystems hinsichtlich des Rechnungslegungsprozesses zu beschreiben (vgl. § 289 Abs. 4 HGB). Sofern das System wesentliche Schwächen aufwies, musste der Abschlussprüfer dem Aufsichtsrat darüber berichten (vgl. § 171 Abs. 1 S. 2 AktG). Eine explizite gesetzliche Verpflichtung zur Einrichtung der entsprechenden Systeme durch den Vorstand gab es bisher allerdings nicht. In dieser Hinsicht ist die gesetzliche Klarstellung durch das Gesetz zur Stärkung der Finanzmarktintegrität aus Sicht des Risikomanagements begrüßenswert, da diese nun die entsprechende gesetzliche Verankerung schafft.

bisher Einrichtung eines Risikofrüherkennungs- und Überwachungssystem für bestandsgefährdende Risiken (§ 91 Abs. 2 AktG)

Auswirkungen auf das Risikomanagementsystem Zusammenarbeit mit dem Vorstand Die nunmehr ausdrückliche Normierung der Pflicht zur Einrichtung der beiden Systeme unterstreicht deren Bedeutung insbesondere für die erfassten Unternehmen. Trotzdem wird hierdurch die Rechtslage für diejenigen Aktiengesellschaften nicht geändert oder abgeschwächt, die der Neuregelung nicht unterfallen. Für die Vorstandsmitglieder nichtbörsennotierter Unternehmen kann die Pflicht zur Einrichtung entsprechender Systeme nämlich weiterhin aus der sie treffenden Sorgfaltspflicht nach § 93 Abs. 1 AktG folgen. Dieser verlangt vom Vorstand, dafür zu sorgen, dass ordentlich Handelsbücher geführt werden. Trotz der gesetzlichen Verankerung der Einrichtung der beiden Systeme bleibt die Entscheidung daher weiterhin im Ermessen des Vorstands, ob ein Risikomanagement- und Internes Kontrollsystem eingeführt werden. Allerdings wird dieses Leitungsermessen des Vorstands für börsennotierte Unternehmen insoweit eingeschränkt, dass nunmehr aufgrund des Gesetzes zur Stärkung der Finanzmarktintegrität die Einrichtung eines an den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angepasstes, angemessenes und wirksames Internes Kontroll- und Risikomanagementsystem verpflichtend eingerichtet werden soll. Die Frage der konkreten Ausgestaltung eines angemessenen und wirksamen Internen Kontrollsystems und Risikomanagementsystems liegt folglich weiterhin im Ermessen des Vorstands. Für das Risikomanagement besteht somit die Herausforderung, darauf hinzuwirken, dass der Vorstand dies entsprechend umsetzt. Allerdings gibt es keine gesetzlichen Vorgaben diesbezüglich. Es ist zunächst unmöglich, sämtliche Risiken zu bewältigen im Sinne von allen Risken auf null zu redu-

Neu eingefügt Einrichtung eines angemessenen und wirksamen internen Kontrollsystems und Risikomanagementsystems (§ 91 Abs. 3 AktG n.F.)

VorschriŌen für den Vorstand nach dem FISG

Abbildung 2: Inhalte der neuen Vorschriften zum Internen Kontrollsystem und Risikomanagementsystem2 04.21

Zeitschrift für Risikomanagement (ZfRM)

109

Zeitschrift für Risikomanagement (ZfRM) Leseprobe, mehr zum Beitrag unter https://doi.org/10.37307/j.2701-7605.2021.04.05

Risk Management

FISG

zieren. Unternehmertum ist immer mit Risiken verbunden und durch die Informationen des Risikomanagements kann sogar aufgezeigt werden, dass mehr Risiken sinnvoll sind – wenn diesen höheren Erträgen gegenüberstehen. Außerdem ist das Interne Kontrollsystem eben nur für spezifische Risiken zuständig, speziell operationelle Risiken, die durch Menschen verursacht werden. Identifikation, Quantifizierung und Aggregation von anderen Risiken ist eher Aufgabe des Risikomanagement nts ts, s, nic icht ht des Int nter ter erne nen ne n Ko Kont ntro tro roll llsy ll syyst stem tem emss. s. Die ie Untersch ters te hei eid idu dung dung g wir ird auch ird h im Th Thre reee-Li re Line Li ness-M ne Mode Mod Mo dell dell bzw. bzw bz w. im Th Thre reee Li re Line ness off Def ne efen fen ense se Mod del ell ll de deut utli tlich ch: h: da das das Intter In erne ne Kon ontr trol tr olls ol lsys ls y te ys tem m (I ( KS KS)) is istt au auff de derr er erst sten st en Eben Eb ben enee, e, das Ris isik isik ikom oman om anag an ag gem emen entt au en auff de der zwei der eite ite ten n Eben Eb ben enee. e. Aus Sic icht ich ht des Ris isik isik ikom oman om anag an agem ag emen em ents en ts ist das Intern te rnee Ko Kont ntro roll llsy ll syst stem em ein in Hil ilffs fsmi mitt ittell zur Ident dentif ifik if ikaaik tion ti on bes esti timm mmte terr Ri Risi sike ken n un und d zu zurr Be Bewä wält ltig igun ung g eb eben en besti timmter t Risik iken (op perati tionell ller Risik iken)). Dem Internen Kontrollsystem würde man aber z. B. die Verantwortung für volkswirtschaftliche Risiken oder Finanzrisiken eher nicht zuordnen. Der Ermessensspielraum des Vorstandes ist allerr dings sehr eingeschränkt. Schon bisher ist nach § 91 AktG und nun auch gemäß § 1 StaRUG geforr dert, dass „bestandsgefährdende Entwicklungen“ früh zu erkennen sind. In dieser Anforderung gibt es keinen Ermessensspielraum. Bestandsgefährr dende Entwicklungen ergeben sich aus dem Eintritt von Einzelrisiken oder deren Kombinationseff

fekten. Im fachlichen und wissenschaftlichen Schrifttum zum Thema und in den Standards – DIIR RS Nr. 2 und IDW PS 340 (2020) – wird entsprechend erläutert, was ein Risikofrüherkennungssystem an Eigenschaften aufweisen muss, um diese gesetzlichen Anforderungen zu erfüllen. Es ist auch z. B. klar, dass die Früherkennung bestandsgefährdender Entwicklungen neben der Auswertung von Kombinationseffekten von Einzelrisiken die möglichen Liquiditätsauswirkungen von vo n Riisi sike ken er erffa fass ssen en mus usss, s, wei eil dr droh ohen end de Ill de lliiq iqui uiditä di tätt eb tä eben ben ein ine be ine best stan tan and dsge dsge ds g fä fäh hrde hrd hr dend nde de En Entw Ent twic twi ickl ickl klun ung un g bzw. bzw bz w. sog gar Insol olve lve venz nz aus uslö löse lö sen se n ka kann kann nn.. De Der Vo Der Vors Vors rstta tand d hatt ei ha eige g nt ge ntli lich li ch nur ein inen en grö röße ßere ße ren re n Er Erme mess me ssen ss enss en sspi ss p el pi el-raum ra um im Hiinb nbli blick k auff die ie or orga g ni ga nisa sato sa tori to risc ri sch sc he Aus he usge g ge stal altu ltu tung ng des Ris isik isik ikom oman om anag an agem ag emen em ents en ts,, niich ts cht ht im im Hin in inbliick bl ick au auff di diee Funk kti tion ionsf sfäh fäh ähiigk igkei keit. it Es ist not otwe wend ndi dig, ig dass da ss „be best stan ands dsge gefä fähr hrde dend ndee En Entw twic ickl klun unge gen n „frü früh h erk kanntt werden, d was – wie i er wäh ähntt – Risik ikoanalyse und Risikoaggregation erfordert.

Einrichtung eines Risikofrüherkennungssystems Durch die Ausweitung der gesetzlichen Vorschriff ten sind Unternehmen künftig nicht nur zur Einrichtung eines Risikofrüherkennungs- und Überr wachungssystems verpflichtet. Dieses Überwachungssystem deckt nämlich lediglich einen Teil des Umfangs eines umfassenden Risikomanagements ab (vgl. Abbildung 3). Unklar bleibt

Jetzt gratis testen

2 Ausgaben inkl. 4 Wochen Testzugang zum eJournal

Gratis testen Einrichtung eines angemessenen und wirksamen internen Kontrollsystems und Risikomanagementsystems (§ 91 Abs. 3 AktG n.F.)

Einrichtung eines Risikofrüherkennungs- und Überwachungssystem für bestandsgefährdende Risiken (§ 91 Abs. 2 AktG)

Abbildung 3: Zusammenhang zwischen Risikofrüherkennungssystem und Risikomanagementsystem3

110

Zeitschrift für Risikomanagement (ZfRM)

04.21