Dr. Matthias Heiden, Dr. Christian F. Bosse
Rn. 107
Stand: EL 42 – ET: 05/2024
Im Anschluss an die ausführliche Risikoinventur sind die erhobenen Informationen aufzubereiten und nach erfolgter Bewertung ggf. dem Vorstand zuzuleiten. Dabei beinhaltet die Risikoanalyse die Ursachenforschung, die Ermittlung von Interdependenzen sowie die Festlegung von Abgrenzungskriterien, um Risikoklassifizierungen und Bewertungen vornehmen zu können. So können etwa einzelne Risikofelder intensiver analysiert und Risikosimulationen durchgeführt werden. Weiterführend können in dieser Phase Risikobeeinflussungsmaßnahmen beurteilt und (potenzielle) Veränderungen in der Risikolandschaft des UN analysiert werden (vgl. Haas (2000), S. 610ff.; Kromschröder/Lück, DB 1998, S. 1573 (1574); Martin/Bär (2002), S. 96).
Rn. 108
Stand: EL 42 – ET: 05/2024
Grundlegende Risikobewertungsbestandteile sind die Wahrscheinlichkeit und die potenzielle Höhe eines möglichen Schadens. Aus dem Produkt dieser beiden Größen kann der Schadenserwartungswert ermittelt werden. Für die ausführliche Darstellung einzelne Risiken quantifizierender Risikobewertungsmethoden wird an dieser Stelle auf die Literatur verwiesen (vgl. grundlegend Wall (2001), Rn. 165ff.; weiterführend Baetge/Jerschensky, Controlling 1999, S. 171 (172ff.); Bartram (2000); Fröhling (2000), S. 70ff.; Füser/Rödel, FLF 2002, S. 202 (205ff.); Götze/Mikus (2001); Ossé, ST 2002, S. 827ff.; Wilkens/Völker (2001)). Mit Blick auf das Risikoverständnis des KonTraG sind auch qualitative Ansätze nicht zu vernachlässigen, um Ursache-Wirkungsbeziehungen sowie Interdependenzen in regelmäßigen Abständen neu zu hinterfragen, damit Veränderungen dieser Zusammenhänge frühzeitig erkannt werden können.
Rn. 108a
Stand: EL 42 – ET: 05/2024
Das geforderte frühzeitige Erkennen einer bestandsbedrohenden Entwicklung setzt somit ihre Definition, Messung und Bewertung voraus. Um den Gesamtrisikoumfang zu messen, bedarf es einer in IDW PS 340 (2022) geforderten Risikoaggregation, da ohne sie Kombinationseffekte aus Interdependenzen zwischen Einzelrisiken und somit eine mögliche Bestandsbedrohung nicht oder nicht rechtzeitig erkannt werden (vgl. Gleissner, WPg 2017, S. 158). Trotz der Präzisierungen des IDW PS 340 (2022) erachtet Gleissner (ZfRM 2022, S. 120) den im Jahre 2022 verabschiedeten Risikomanagement-Standard des Deutschen Instituts für Interne Revision (DIIR), den DIIR RS 2.1, als geeignetere Leitlinie, da dieser auch die Anforderungen aus § 93 AktG und § 1 StaRUG berücksichtigt (vgl. zudem Ernst/Wehrspohn, ZfRM 2022, S. 150 (157)).
Rn. 108b
Stand: EL 42 – ET: 05/2024
Sofern Bewertungskomponenten im Bewertungszeitpunkt noch nicht hinreichend quantifizierbar sind, kann auf qualitative Kriterien in ordinalen Bewertungskategorien (niedrig/mittel/hoch) zurückgegriffen werden (vgl. AK "Finanzierungsrechnung" der SG, ZfbF-Sonderheft 46/2001, S. 1 (153); Bitz (2000), S. 45; Martin/Bär (2002), S. 97ff.), um eine vorläufige Bewertung vorzunehmen und eine Einordnung in nachstehende Risikomatrix zu ermöglichen (vgl. Deloach (2000), S. 136f.; Glaum (2002), S. 467; Hochrein (1999), S. 28; Spannagl/Hässler, DStR 1999, S. 1826 (1830f.)), durch die eine Verdichtung der gewonnenen Informationen aus der unternehmerischen Risikolandschaft erfolgt. Besonderes Augenmerk ist dabei auf Risiken mit einem vergleichsweise hohen Schadenspotenzial zu richten (vgl. HdR-E, AktG § 91, Rn. 93), wobei von den in unmittelbar nachstehender Übersicht als wesentliche Geschäftsrisiken gekennzeichneten eine akutere Bestandsgefährdung ausgeht als von denen, denen ein hohes Schadenspotenzial innewohnt, deren Eintrittswahrscheinlichkeit aber (noch) als gering eingestuft wurde. Sollte auf gewisse Risiken bereits reagiert worden sein und kann insbesondere eine durch sie bedingte Bestandsgefährdung ausgeschlossen werden, ist zu prüfen, ob weiterer Maßnahmen- oder Kommunikationsbedarf besteht (vgl. IDW PS 340 (2022), Rn. 17, A14ff.). Dem verantwortlichen Organ obliegt es auch – etwa im Falle der weniger wahrscheinlichen Risiken mit hohem Schadenspotenzial – risikoanalytisch festzulegen, wann es über noch nicht als i. S. d. KonTraG wesentlich einzustufende Risiken zu informieren ist.
Rn. 108c
Stand: EL 42 – ET: 05/2024
Eine Beschränkung auf die bilanziellen Kriterien des IAS 37 ist abzulehnen (vgl. Haaker, PiR 2016, S. 320f.).
Übersicht: Visualisierung von Risikoanalyse und -bewertung in einer Risikomatrix