Dr. Matthias Heiden, Dr. Christian F. Bosse
Rn. 170
Stand: EL 42 – ET: 05/2024
Das AktG enthält keine weitere Konkretisierung des Begriffs "Risikomanagementsystem"; auch die Gesetzesbegründung bietet – anders als beim IKS – keine weiteren Anhaltspunkte. Es besteht insofern Einigkeit, dass deswegen auf die allg. betriebswirtschaftlichen Begrifflichkeiten abzustellen ist (vgl. MünchKomm. AktG (2023), § 91, Rn. 112; Hüffer-AktG (2024), § 91, Rn. 32). Die im Banken- und Versicherungsbereich anzutreffenden Regelungen (vgl. §§ 25a KWG, 26 VAG) sind aufgrund ihres industriespezifischen Fokus nicht ohne Weiteres auf alle AG übertragbar. Einzurichten ist ein System, dies erfordert ein Mindestmaß an Strukturen, Dokumentation und eine klare Zuweisung von Aufgaben und Verantwortlichkeiten. Nicht ausreichend sind somit punktuelle Einzelmaßnahmen (vgl. auch Fischer/Schuck, NZG 2021, S. 534 (538)).
Rn. 171
Stand: EL 42 – ET: 05/2024
Zur Frage der Risikoindentifikation kann auf die Ausführungen zu § 91 Abs. 2 unter HdR-E, AktG § 91, Rn. 103ff., verwiesen werden, bei der Risikoanalyse und Risikobewertung auf die Ausführungen unter HdR-E, AktG § 91, Rn. 107ff. Auch bei der Einrichtung des Risikomanagementsystems kann man sich an den zuvor dargestellten Grundsätzen für die Einrichtung eines Überwachungssystems orientieren. Die Prüfungsstandards des IDW können ebenfalls nur Hinweise geben, dürfen aber (mangels Normcharakter) nicht unbesehen übernommen werden (vgl. Fischer/Schuck, NZG 2021, S. 534 (539f.); Hüffer-AktG (2024), § 91, Rn. 32).
Rn. 172
Stand: EL 42 – ET: 05/2024
Die Umschreibung eines Risikomanagementsystems als Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Identifikation von Risiken, deren Bewertung und Steuerung sowie die Kommunikation von Risiken einschließlich der Überwachung des Systems erscheint als zielführende Zusammenfassung (vgl. Hüffer-AktG (2024), § 91, Rn. 32; Fischer/Schuck, NZG 2021, S. 534 (537)). Zu den zu identifizierenden Risiken zählen in- und externe Umstände und Sachverhalte. Dabei ist es – in Abgrenzung zu Abs. 2 – nicht erforderlich, dass diese Risken existenzbedrohend sind. Umgekehrt müssen sämtliche existenzbedrohenden Risiken erfasst sein. Es gilt insofern ein weiter Risikobegriff, der auch rechtliche Risiken umfasst, aber den Schwerpunkt bei wirtschaftlichen Risiken hat. An dieser Stelle erfolgt die Abgrenzung zum CMS, welches die Einhaltung von rechtlichen Vorgaben einschließlich Reputationsrisiken im Fokus hat. Bei den erforderlichen Elementen eines wirksamen Risikomanagementsystems kann auf bereits veröffentlichte Übersichten zurückgegriffen werden (vgl. hierzu Dreher/Hoffmann, ZGR 2016, S. 445 (485f.)). Notwendig ist insoweit eine Risikoerfassung und anschließende Bewertung der Risiken. Diese erfolgt durch eine Zusammenführung des Risikos des Eintritts und einer Quantifizierung des möglichen Schadens, falls das Risiko eintritt. Insoweit kann auf die vorstehenden Ausführungen zu § 91 Abs. 2 AktG bezüglich der Risikokultur und Risikostrategie (vgl. HdR-E, AktG § 91, Rn. 102), Risikoidentifikation (vgl. HdR-E, AktG § 91, Rn. 103ff.), Risikoanalyse und Risikobewertung (vgl. HdR-E, AktG § 91, Rn. 107) verwiesen werden. Hier gilt letztlich der Grundsatz, dass keine verbindlichen Vorgaben existieren, nach denen ein Risikomanagementsystem ausgestaltet sein muss, das auf alle UN zutrifft. Zu jedem System gehört auch eine Kontrolle der Wirksamkeit.