Bitte melden Sie sich zu dieser Veranstaltung über ILIAS an. Für die Anmeldung ist ein Kennwort nötig, welches in der ersten Vorlesung bekannt gegeben wird. Durch Ihre Anmeldung in ILIAS bekommen Sie u.a. Zugriff auf Vorlesungsmaterialien, Benachrichtigungen bei Raum- oder Terminänderungen und Hinweise zur Klausur. Wichtige Nachrichten werden via E-Mail an die jeweilige ILIAS Gruppe verschickt. Please sign up for this course in ILIAS. There is a need for a password to enter, which will be handed out in the first lecture. You get access with registration on ILIAS to coursematerials, messages regarding date or room changes and further details for exams. Important messages will be send via e-mail to ILIAS group members. Please check your e-mails on ILIAS. Herzlich Willkommen, Prof. Dr. Jörg-Andreas Lohr WP/StB LOHR +COMPANY GmbH Wirtschaftsprüfungsgesellschaft Rochusstraße 47 40479 Düsseldorf • Keine Gewähr für Vollständigkeit und Richtigkeit 3 Vorlesungsgliederung 20. April 2015 Einführung in die Problemstellung und gesetzliche Regelungen für Risikomanagementsysteme und 27. April 2015 Aufbau und Durchführung eines Risikofrüherkennungssystems gem. § 91 Abs. 2 AktG 4. Mai 2015 Aufbau eines Risikomanagementsystems 11. Mai 2015 Fallbeispiel: Risikomanagement bei einer Wirtschaftsprüfungsgesellschaft 18. Mai 2015 Compliance 1. Juni 2015 Deutscher Corporate Governance Kodex 8. Juni 2015 Prüfung des Risikomanagementsystems durch die Interne Revision 15. Juni 2015 Prüfung des Risikomanagementsystems durch den Abschlussprüfer 4 Vorlesungsgliederung 22. Juni 2015 Risikoberichterstattung 29. Juni 2015 Fallbeispiel: Risikomanagement bei Kreditinstituten 6. Juli 2015 Fraud 6. Juli 2015 Aktuelle Fallstudie: Bilanzskandal 13. Juli 2015 Aktuelle Fallstudie: Risikomanagement im Bereich der Vermögensverwaltung Übungsklausur und Musterlösung werden durch den Lehrstuhl Controlling über ILIAS hochgeladen. 5 Einführung in die Problemstellung und gesetzliche Regelungen für Risikomanagementsysteme 1. Einführung in die Problemstellung 1.1. Grundlagen und wichtige Begriffe 1.2. Definition des Risikos 1.3. Risikobegriff 1.4. Risikoarten 1.5. Risikomanagement / Risikomanagementsysteme (RMS) 2. Einordnung des Risikomanagements in das System der unternehmerischen Überwachung 3. Gesetzliche Regelungen für Risikomanagementsysteme 3.1. Handelsrechtliche Vorschriften 6 Einführung in die Problemstellung und gesetzliche Regelungen für Risikomanagementsysteme 3.2. Deutscher Corporate Governance Kodex (DCGK) 3.3. Sarbanes-Oxley-Act (SOA) 3.4. Bankenaufsichtsrecht 4. Risikomanagement in DAX 30 Unternehmen 4.1. Zuordnung des Risikomanagements 4.2. Personelle Ausstattung 7 1. Einführung in die Problemstellung 1.1. Grundlagen und wichtige Begriffe • Die Betriebswirtschaftslehre befasst sich schon seit langer Zeit damit, wie mit Risiken umgegangen werden soll, insbesondere in der Entscheidungstheorie. • Größere Aufmerksamkeit in Praxis und Gesetzgebung hat das Thema jedoch erst seit den spektakulären Unternehmenspleiten (z.B. Bremer Vulkan, Flowtex, Enron, Worldcom, Lehman Brothers etc.) erhalten. • Gesetzliche Regelungen in den verschiedenen Industriestaaten führten zu keinem einheitlichen Verfahren im Umgang mit Risiko. Seit Ende 2009 gibt es mit dem ISO Standard 31000 für Risikomanagement einen weltweit gültigen (aber unverbindlichen) Standard für Risikomanagement. 8 1.1. Grundlagen und wichtige Begriffe • Ziel der Gesetzgebung zum Risikomanagement ist die Überwachung und Offenlegung von Risiken in Unternehmen, um − drohende Insolvenzen frühzeitig zu erkennen und − ein unternehmensgefährdendes Fehlverhalten von Top-Managern zu vermeiden, indem die Unternehmenseigentümer durch entsprechende Information unterstützt werden. 9 1.1. Grundlagen und wichtige Begriffe - Risiko • Unterschiedliche Definitionen des Begriffs Risiko. • Die betriebliche Entscheidungstheorie spricht bspw. nur dann von einer Situation des Risikos, wenn Wahrscheinlichkeiten für den Eintritt verschiedener Umweltzustände angegeben werden können. • Ansonsten liegt eine Situation der Ungewissheit vor. • Risiko und Ungewissheit werden unter dem Begriff der Unsicherheit zusammengefasst. • Im Handelsrecht ist die Bezifferung der Wahrscheinlichkeit des Risikos nicht relevant. Der Risikobegriff umfasst hier sowohl das Risiko als auch die Ungewissheit (d.h. die Unsicherheit). 10 1.1. Grundlagen und wichtige Begriffe - Risiko • Spektrum des Risikobegriffs lässt sich durch folgende Graphik veranschaulichen: Risikobegriff Reines Risiko (Schadensgefahr) Kann durch den Abschluss von Versicherungen teilweise beherrscht werden Spekulatives Risiko (Risiko aus unternehmerischem Handeln) Negative Abweichung (Verlust) Risiko i.w.S. Positive Abweichung (Chance) Risiko i.e.S. 11 1.1. Grundlagen und wichtige Begriffe - Risiko • Reines Risiko: Gefahren, die das Vermögen eines Unternehmens direkt negativ beeinflussen, z.B. der Ausbruch eines Feuers oder Orkans. Das finanzielle Risiko hieraus kann teilweise gegen Prämienzahlung auf Dritte, z.B. Versicherungen, übertragen werden. • Spekulatives Risiko / Risiko i.w.S.: Entstehung durch unternehmerisches Handeln, das zu positiven oder negativen Abweichungen des unternehmerischen Ziels führen kann. Ursachen können bspw. fehlende Informationen von Entscheidungsträgern oder die falsche Prognose der wirtschaftlichen Rahmenentwicklungen (z.B. Nachfrage, Personalfluktuation, Wettbewerbsstrategie) sein. 12 1.2. Definition des Risikos • Die engste Begriffsauffassung vertritt der Gesetzgeber. Laut § 91 Abs. 2 AktG geht es nur um Entwicklungen, die den Fortbestand einer Gesellschaft gefährden. • Das IDW (= Institut der Wirtschaftsprüfer) versteht unter einem Risiko generell die Möglichkeit ungünstiger zukünftiger Entwicklungen. 13 1.3. Risikobegriff • Ein Risiko ist die Möglichkeit einer positiven Abweichung (Chance) oder negativen Abweichung (Risiko i.e.S.) von den geplanten Unternehmenszielen aufgrund eines Ereignisses oder einer Entscheidung des Managements. • Unternehmensziele sind finanzielle Ergebnisziele, z.B. der Jahresüberschuss, das Betriebsergebnis oder der Cashflow, und nicht-finanzielle Ziele, z.B. das Unternehmensimage. Es kann sich um kurzfristige operative oder langfristige strategische Ziele handeln. 14 1.4. Risikoarten Kriterium Symmetrie des Risikoprofils gefährdetes Unternehmensziel Zeithorizont/Relevanz Messbarkeit Quelle Geschädigter Systematisierung symmetrische Risiken Erfolgsrisiken Liquiditätsrisiken asymmetrische Risiken Wertrisiken Sachzielrisiken strategische Risiken operative Risiken quantifizierbare Risiken nicht-quantifizierbare Risiken externe Risiken leistungswirtschaftliche Risiken Sachrisiken finanzwirtschaftliche Risiken Risiken aus Management & Organisation Personenrisiken 15 1.5. Risikomanagement / Risikomanagementsysteme (RMS) • Der Begriff des Risikomanagements wird ebenfalls in einer engen und einer weiten Auffassung verwendet. • Risikomanagement i.e.S. bedeutet die Identifikation der Risiken, also die Verlust- und Schadensmöglichkeiten in unsicheren Situationen. • Risikomanagement i.w.S. ist demgegenüber als „risikobewusste Unternehmensführung“ zu verstehen. Diese weite Auffassung ist heutzutage vorherrschend. • Weltweit wurden seit den 90iger Jahren des vorherigen Jahrhunderts vermehrt systemorientierte Regelwerke und Standards zum Risikomanagement entwickelt, die allgemein anwendbare Prinzipien zur Einrichtung und Anwendung von Risikomanagementstandards vorgeben. 16 1.5. Risikomanagement / Risikomanagementsysteme (RMS) • Derzeit existieren über 80 solcher Frameworks und Normen, bspw. das COSO II ERM Enterprise Risk Management Framework (USA 2004), der insbesondere einen Rahmen zur Gestaltung eines risikoorientierten internen Kontrollsystems bildet. • Ein internationaler ISO Standard (ISO 31000 Risk Management – Principles and Guidelines on Implementation) wurde im November 2009 veröffentlicht. Er schafft Richtlinien für die Grundsätze und die angemessene Umsetzung des Risikomanagements und kann für eine Vielzahl von Tätigkeiten und Organisationen angewendet werden. 17 1.5. Risikomanagement / Risikomanagementsysteme (RMS) • In funktionaler Hinsicht beinhaltet ein Risikomanagementsystem (RMS) von Unternehmen alle führungsunterstützenden Prozesse, die auf eine wiederholte Identifikation, Bewertung, Steuerung, Kontrolle und Kommunikation unternehmerischer Risiken abzielen und eine aktive Gestaltung der Risikolage ermöglichen. • Wesentliche RMS-Bausteine bei prozessorientierter Gliederung der Risikohandhabung: 18 1.5. Risikomanagement / Risikomanagementsysteme (RMS) → Risikoidentifikation: Ziel ist die rechtzeitige, regelmäßige, schnelle, vollständige und wirtschaftliche Erfassung aller Gefahrenquellen und Einzelrisiken, die Einfluss auf die Erreichung von Unternehmenszielen haben (können). → Risikobewertung / Aggregation: kontinuierliche Analyse und Einstufung der Bedeutung von unternehmensinternen und -externen Einzelrisiken für die Erreichung der Unternehmensziele unter Berücksichtigung von Risikoursachen und unter Einsatz objektiver, vergleichbarer und nachvollziehbarer qualitativer und quantitativer Methoden. Sofern die Risiken den Bestand des Unternehmens gefährden, soll das RMS kurzfristig entsprechende Maßnahmen zur Beherrschung solcher Risiken anstoßen. Verbleibende Einzelrisiken, die nicht bestandsgefährdend sind, werden zu Portfolio-Risiken aggregiert. 19 1.5. Risikomanagement / Risikomanagementsysteme (RMS) → Kontrolle von Risiken: Soll-Ist-Vergleiche zwischen den in der Risikostrategie vorgesehenen Zielen und der tatsächlichen Risikolage des Unternehmens. Gleichzeitige Überprüfung der Funktionsfähigkeit des Risikomanagements inklusive seiner Maßnahmen und Instrumente (Werden alle Risiken erfasst? Werden sie angemessen bewertet? Wird im Hinblick auf die Schadenshöhe und Eintrittswahrscheinlichkeit entsprechend gegengesteuert?). → Risikosteuerung: aktive Beeinflussung der bewerteten Risiken unter Berücksichtigung der Ziele, die im Rahmen der Unternehmens- bzw. Risikostrategie festgelegt wurden. Verbesserung der Risikostruktur des Unternehmens durch Reduzierung der Schadenshöhe und der Eintrittswahrscheinlichkeit. Ziel der passiven Risikosteuerung ist hingegen die Verbesserung der Risikotragfähigkeit des Unternehmens, ohne dass vorhandene Risikostrukturen verändert werden. 20 1.5. Risikomanagement / Risikomanagementsysteme (RMS) → Risikoberichterstattung / Kommunikation: Dokumentation der Einzel- und Portfolio-Risikopositionen der Teilbereiche und der Gesamtrisikolage des Unternehmens. Weiterleitung dieser Information an unternehmensinterne Adressaten (bspw. Vorstand / Geschäftsführung, Aufsichtsrat / Beirat) und unternehmensexterne Adressaten (Kapitalgeber, Wirtschaftsprüfer, Analysten). • Ziel von Risikomanagementsystemen: − Früherkennung von Entwicklungen, die den Unternehmensbestand gefährden (gesetzliches Ziel bei Aktiengesellschaften). − Sicherung der geplanten Unternehmenszielen (durch bessere Information). 21 1.5. Risikomanagement / Risikomanagementsysteme (RMS) − Eröffnen von Handlungsspielräumen zur langfristigen Unternehmenssicherung, indem mögliche Zukunftsentwicklungen analysiert und ihre Auswirkungen ermittelt werden. − Die Kosten für Eigen- und Fremdkapital werden gesenkt (da Investoren eher in transparente als in intransparente Unternehmen investieren). 22 2. Einordnung des Risikomanagements in das System der unternehmerischen Überwachung 23 3. Gesetzliche Regelungen für RMS 3.1. Handelsrechtliche Vorschriften • Beeinflussung des Risikomanagements in Deutschland durch eine Vielzahl von Rechtsvorschriften. • Die gesetzlichen Regelungen dienen dazu, die • − Transparenz der Rechnungslegung zu erhöhen, − Einführung eines Risikofrüherkennungssystems zwingend für bestimmte Unternehmen vorzuschreiben, − Unabhängigkeit des Abschlussprüfers zu stärken, und − die Haftungsinanspruchnahme des Vorstands und Aufsichtsrats zu erleichtern. Am 1. Mai 1998 trat das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) in Kraft. Daneben sind Regelungen vor allem im HGB und im AktG von Bedeutung. 24 3.1. Handelsrechtliche Vorschriften - AktG • § 91 Abs. 2 AktG bestimmt für Aktiengesellschaften: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand des Unternehmens gefährdende Entwicklungen früh erkannt werden.“ • Keine entsprechende Regelung im GmbH- oder Personengesellschaftsrecht, aber „Ausstrahlungswirkung“ auf andere Gesellschaftsformen. • Unter „bestandsgefährdenden Entwicklungen“ versteht der Gesetzgeber insbesondere risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft / des Konzerns wesentlich auswirken. • Wie der Vorstand mit erkannten bestandsgefährdenden Risiken oder Entwicklungen umzugehen hat, wird in § 91 Abs. 2 AktG nicht geregelt. 25 3.1. Handelsrechtliche Vorschriften - AktG • § 93 Abs. 2 AktG betrifft: Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder im Hinblick auf Maßnahmen zur Risikofrüherkennung und –abwehr. Gesamtschuldnerische Verpflichtung zum Schadensersatz bei Pflichtverletzung. • Daraus ergibt sich, dass ein Vorstand nicht tatenlos bleiben kann, wenn ihm durch das Frühwarnsystem bestandsgefährdende Entwicklungen gemeldet werden. • Er muss sich die Frage stellen, wie man mit diesen Risiken umgeht. → Dafür bietet sich die Einrichtung eines umfassenden Risikomanagementsystems an. 26 3.1. Handelsrechtliche Vorschriften - HGB • Für die Prüfung des Überwachungssystems bestimmt § 317 Abs. 4 HGB: „Bei börsennotierten Unternehmen ist im Rahmen der Abschlussprüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das Überwachungssystem seine Aufgaben erfüllen kann.“ • Umsetzung durch eigenen Prüfungsstandard des IDW (IDW PS 340), der für Wirtschaftsprüfer verbindlich ist. • Aus dem Inhalt des Prüfungsstandards lassen sich auch Rückschlüsse auf die Ausgestaltung des Früherkennungssystems ziehen. • Insbesondere ist zur Erkennung bestandsgefährdender Risiken ein Risikofrüherkennungssystem einzurichten. 27 3.1. Handelsrechtliche Vorschriften - HGB • Im Rahmen der Abschlussprüfung sollen gem. § 317 Abs. 2 HGB die Chancen und Risiken der zukünftigen Entwicklung des Unternehmens im Lagebericht zutreffend dargestellt werden. • Im Prüfungsbericht ist gem. § 321 HGB gesondert auf das Risikomanagement einzugehen. • Nach § 322 HGB soll im Prüfungsbericht auf Risiken, die den Fortbestand des Unternehmens gefährden, besonders eingegangen werden. • Für den Inhalt des Lageberichts verlangt § 289 Abs. 1 Satz 4 HGB: „Beurteilung und Erläuterung der voraussichtlichen Entwicklungen mit ihren wesentlichen Chancen und Risiken.“ (§ 315 Abs. 2 HGB enthält dieselben Vorgaben für den Konzernlagebericht) 28 3.1. Handelsrechtliche Vorschriften - HGB • Noch detaillierter werden durch § 289 Abs. 2 Nr. 2 HGB Angaben zu Risikomanagementzielen und -methoden bezüglich der Verwendung von Finanzinstrumenten gefordert. (§ 315 Abs. 2 HGB enthält dieselben Vorgaben für den Konzernlagebericht.) • Im Rahmen der Gesetzgebung zur Modernisierung des Bilanzrechts (BilMoG) wurden die Vorschriften zur Lageberichterstattung um § 289 Abs. 5 HGB erweitert. Danach haben kapitalmarktorientierte Unternehmen (§ 264d HGB) im Lagebericht die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess darzustellen. (siehe auch hier entsprechend § 315 Abs. 2 HGB für den Konzernlagebericht.) 29 3.2. Deutscher Corporate Governance Kodex (DCGK) • Neben den handelsrechtlichen Vorschriften beinhaltet der Deutsche Corporate Governance Kodex (DCGK) eine Reihe von Regelungen, die sich mit dem Risikomanagement befassen. • Grundsätzlich enthält der DCGK eine Darstellung wesentlicher gesetzlicher Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften sowie international und national anerkannter Standards guter und verantwortungsvoller Unternehmensführung. • Freiwillige Selbstverpflichtung von Unternehmen (siehe Vorlesung zum DCGK). • Relevante Regelungen für das Risikomanagement: − 3.4 DCGK: regelmäßige, zeitnahe und umfassende Information des Aufsichtsrats über alle für das Unternehmen relevanten Fragen der Planung, der Geschäftsentwicklung, der Risikolage und des Risikomanagements durch den Vorstand. 30 3.2. Deutscher Corporate Governance Kodex (DCGK) − 4.1.4 DCGK: Verpflichtung des Vorstands zu einem angemessenen Risikomanagement und Risikocontrolling im Unternehmen. − 5.2 DCGK: Beratung zwischen dem Aufsichtsratsvorsitzenden und dem Vorstand (insbesondere mit dem Vorsitzenden bzw. Sprecher des Vorstands) über die Strategie, die Geschäftsentwicklung und das Risikomanagement des Unternehmens. − 5.3.2 DCGK: Einrichtung eines Prüfungsausschusses (Audit Committee), der sich insbesondere mit Fragen der Rechnungslegung und des Risikomanagements befasst. 31 3.3. Sarbanes-Oxley-Act (SOA) • Verpflichtung von an US-Börsen gelisteten Unternehmen durch den SarbanesOxley-Act (SOA) zur Einrichtung von risikobegrenzenden Kontrollsystemen und zur Einhaltung verschärfter Rechnungslegungsvorschriften. • Sec 302 SOA: Pflicht zur Einrichtung eines (Publizitäts-)Kontrollsystems (Disclosure Controls and Procedures) und Offenlegung von wesentlichen Risiken und Kommunikation an den CEO / CFO. • Sec 404 SOA: Überprüfung der Funktionsfähigkeit / Effektivität des Finanzkontrollsystems (internal control structure / procedure for financial reporting) durch die Unternehmensleitung hinsichtlich seines Aufbaus und seiner Umsetzung. 32 3.4. Bankaufsichtsrecht • Da der Geschäftsbetrieb von Kreditinstituten und Finanzdienstleistern streng reguliert ist, gelten zusätzliche Vorschriften, insbesondere das Kreditwesengesetz (KWG) und das Wertpapierhandelsgesetz (WpHG). • Ein zentrales Instrument sind bankenaufsichtsrechtlich definierte Organisationspflichten. • § 25a KWG verlangt, dass ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen muss, die die Einhaltung der von den Instituten zu beachtenden gesetzlichen Bestimmungen gewährleistet. • § 25a Abs. 1 Satz 3 KWG bestimmt, dass eine ordnungsgemäße Geschäftsorganisation insbesondere ein angemessenes und wirksames Risikomanagement umfasst. 33 3.4. Bankaufsichtsrecht • Das Risikomanagement gem. § 25a KWG umfasst insbesondere: − Festlegung von Strategie und einer damit konsistenten Risikostrategie. − Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit. − Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision, wobei das interne Kontrollsystem insbesondere a) aufbau- und ablauforganisatorische Regelungen Abgrenzung der Verantwortungsbereiche, mit klarer b) Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken, c) eine Risikocontrolling-Funktion und eine Compliance-Funktion umfasst. 34 3.4. Bankaufsichtsrecht − Angemessene personelle und technischorganisatorische Ausstattung − Festlegung eines angemessenen Notfallkonzepts. − Angemessene, transparente und auf eine nachhaltige Entwicklung des Instituts ausgerichtetes Vergütungssystem. 35 4. Risikomanagement in DAX 30 Unternehmen 4.1. Zuordnung des Risikomanagements • 54 % zum Controlling • 38 % direkt dem Vorstand • 8 % zur Internen Revision 36 4.2. Personelle Ausstattung • > 1 bis 10 Vollzeitmitarbeiter 46 % • > 10 Vollzeitmitarbeiter 36 % • Keine Angaben 18 % 37 Vielen Dank für Ihre Aufmerksamkeit. 38
© Copyright 2024 ExpyDoc
