Gesetzliche Anforderungen an ein modernes Risikomanagement: Was müssen mittelständische Familienunternehmen beachten?

PrintMailRate-it

zuletzt aktualisiert am 10. Januar 2018

 

Zwar sind nur bestimmte Unternehmen in Deutschland gesetzlich verpflichtet, ein Risikofrüh­erken­nungssystem zu unterhalten und über die eingerichteten Maßnahmen des Risikomanagement­systems im jährlichen Lagebericht offenzulegen, dennoch gebieten die allgemeinen gesetzlichen Sorgfaltspflichten eines ordentlichen Geschäftsführers, dem Unternehmen angemessene Gover­nance, Risk & Compliance Management Systeme zu unterhalten. Art und Umfang der einzu­rich­tenden Maßnahmen hängt von der individuellen Risikosituation des jeweiligen Unternehmens ab und steht im Organisationsermessen von Vorstand bzw. Geschäftsführung.

 


 

Risikomanagementsystem nur für kapitalmarktorientierte Unternehmen und Aktiengesellschaften gesetzlich gefordert

Aktiengesellschaften, Gesellschaften mit beschränkter Haftung (GmbHs) und Kommanditgesellschaften auf Aktien (KGaAs) sowie ihnen gleichgestellte Gesellschaftsformen wie GmbH & Co. KGs sind gesetzlich verpflichtet, ein Risikofrüherkennungssystem einzuführen. Börsennotierte Aktiengesellschaften müssen das Früherkennungssystem auch durch einen Abschlussprüfer prüfen lassen (§ 317 Abs. 4 HGB). Mit der hier geregelten „Früherkennung” sind Risiken gemeint, die das Bestands- und Insolvenzrisiko für eine Gesell­schaft erheblich steigern oder hervorrufen können. Rein operative Geschäftsrisiken unterhalb der Schwelle der Bestandsgefährdung sind dagegen nicht einbezogen. 
 

Alle kapitalmarktorientierten Gesellschaften sind darüber hinaus verpflichtet, die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess im Lagebericht zu beschreiben (§ 289 HGB). Diese Verpflichtung setzt über das reine Früherkennungssystem hinaus die Einrichtung und Überwachung eines Risikomanagementsystems voraus, das einerseits nicht nur die bestandsgefährdenden – sondern alle (bedeutsamen) Risiken – und andererseits die systematische Risikoanalyse, -bewertung und -steuerung umfasst.
 
Auch im Bereich der Compliance wurden die gesetzlichen Regelungen in den vergangenen Jahren auf nationaler wie internationaler Ebene stetig verschärft. Vorreiter sind dabei wie so häufig die anglo-amerikanischen Staaten. Vorläufiger Höhepunkt war das Inkrafttreten des britischen UK Bribery Act im Sommer 2011. Es handelt sich um eines der schärfsten Anti-Korruptionsgesetze weltweit und betrifft unter bestimmten Voraussetzungen auch deutsche Unternehmen. Aufsichtsbehörden und Justiz in aller Welt verfolgen verstärkt Rechtsverstöße wie Korruption oder Steuerdelikte, zumal die Ermittlungsmöglichkeiten und die internationale Zusammenarbeit von Justiz und Verwaltung sich ständig verbessern. Schließlich nehmen auch private Schadenersatzklagen im Fall von Rechtsverstößen zu, und zwar sowohl gegen Unternehmen, gegen die Geschäftsführung als auch gegen die schädigende Person persönlich.
 
Für die Überwachung der Wirksamkeit der Governance, Risk und Compliance Management Systeme: Internes Kontrollsystem, Internes Revisionssystem, Risikomanagementsystem und Compliance Management System ist regelmäßig der Aufsichtsrat oder ein vergleichbares Überwachungsorgan verpflichtet. Das bedingt eine erhebliche Ausweitung des Haftungsrisikos für Aufsichtsräte. Darüber hinaus haben kapital­marktorientierte Unternehmen einen Prüfungsausschuss einzurichten, der sich mit der Einrichtung und Kontrolle des Internen Kontrollsystems, des Internen Revisionssystems sowie des Risikomanagementsystems befassen muss.

 

Keine gesetzliche Regelung zur Ausgestaltung des Risikomanagementsystems

Auf eine ausdrückliche Regelung, wie das Risikomanagementsystem auszugestalten ist, hat der Gesetz­geber bewusst verzichtet. Allerdings ergibt sich aufgrund der allgemeinen Sorgfaltspflichten einer „ordentlichen Geschäftsführung” eine faktische Verpflichtung, Maßnahmen des Risikomanagements im Unternehmen einzurichten. Art und Umfang der einzurichtenden Maßnahmen hängt von der individuellen Risikosituation des jeweiligen Unternehmens oder der Unternehmensgruppe ab und steht im Organisationsermessen von Vorstand bzw. Geschäftsführung.
 

Mittelständische Familienunternehmen sollten ihre Risikomanagementmaßnahmen systematisieren

Viele mittelständische Unternehmen sind von den oben beschriebenen Vorschriften zum Risikomanagement aufgrund ihrer Rechtsform nicht direkt betroffen. Ferner nehmen sie bisher i.d.R. keine Leistungen des Kapitalmarktes in Anspruch und werden deshalb auch nicht als kapitalmarktorientierte Gesellschaft qualifiziert. Oftmals verfügen sie auch über keinen, auch nicht freiwillig eingerichteten Aufsichtsrat oder Beirat. Maßnahmen der Governance, Risk und Compliance unterliegen daher bei mittelständischen Unternehmen keiner gesetzlichen Normierung oder Überwachungspflicht durch Aufsichtsrat oder Beirat.
 
Dennoch gebieten die allgemeinen gesetzlichen Sorgfaltspflichten eines ordentlichen Geschäftsführers, die auch auf den Pflichtenrahmen von Geschäftsführern anderer Rechtsformen zu übertragen sind, ein dem Unternehmen bzw. der Unternehmensgruppe angemessenes und wirtschaftlich vertretbares Führungs-, Überwachungs-, Risiko- und Compliance-Managementsystem einzuführen und zu unterhalten.
 
Im Rahmen der Finanzierung trägt die Systematisierung der Maßnahmen des Risikomanagements und dessen Prüfung durch den Abschlussprüfer dazu bei, das Kreditrating zu verbessern und damit die Kosten der Finanzierung zu senken. Denn eine funktionierende Steuerung von Risiken schafft Vertrauen, bei Kreditgebern ebenso wie bei Gesellschaftern und Inverstoren. Die freiwillige Prüfung des Compliance Management Systems, des Risikomanagementsystems, des Internen Kontrollsystems und des Internen Revisionssystems unterstützt die Leitungs- und Aufsichtsorgane bei der Erfüllung der allgemeinen Sorgfaltspflichten; die Einhaltung gesetzlicher Bestimmungen kann so sichergestellt und Strafen oder gar die persönliche Haftung von Organmitgliedern können vermieden werden. Die Prüfung der Corporate Governance Management Systeme ist kein unnötiger Bürokratismus, sondern eine geeignete Hilfestellung für eine nachhaltige Unternehmensführung.

 

Im März 2017 wurden die IDW Prüfungsstandards PS 981, PS 982 und PS 983 durch das IDW verab­schiedet. Die Standards folgen dem IDW PS 980 aus dem Jahr 2011 und ergänzen bzw. vervollständigen die Reihe der Standards, die sich mit der Prüfung der Governance, Risk und Compliance Management Systeme befassen. Da alle Standards in ihren Anwendungshinweisen Erläuterungen zu den Anforderungen, mithin zu den Sollkonzepten der Prüfungsgegenstände enthalten, bilden sie eine hervorragende Grundlage für die Ausgestaltung der Governance, Risk und Compliance Management Systeme, ihrer Grundelemente sowie der Mindestanforderungen an die einzurichtenden Maßnahmen, der Dokumentation ihrer Durchführung, der Berichterstattung und ihrer Überwachung. 

Kontakt

Contact Person Picture

Prof. Dr. Peter Bömelburg

Diplom-Kaufmann, Wirtschaftsprüfer, Steuerberater

Geschäftsführender Partner

+49 911 9193 2100

Anfrage senden

Profil

Contact Person Picture

Steffen Freytag

Wirtschaftsprüfer, Steuerberater

Partner

+49 911 9193 2220

Anfrage senden

Deutschland Weltweit Search Menu