Dr. Matthias Heiden, Dr. Christian F. Bosse
1. Begriff und Einordnung
Rn. 170
Stand: EL 42 – ET: 05/2024
Das AktG enthält keine weitere Konkretisierung des Begriffs "Risikomanagementsystem"; auch die Gesetzesbegründung bietet – anders als beim IKS – keine weiteren Anhaltspunkte. Es besteht insofern Einigkeit, dass deswegen auf die allg. betriebswirtschaftlichen Begrifflichkeiten abzustellen ist (vgl. MünchKomm. AktG (2023), § 91, Rn. 112; Hüffer-AktG (2024), § 91, Rn. 32). Die im Banken- und Versicherungsbereich anzutreffenden Regelungen (vgl. §§ 25a KWG, 26 VAG) sind aufgrund ihres industriespezifischen Fokus nicht ohne Weiteres auf alle AG übertragbar. Einzurichten ist ein System, dies erfordert ein Mindestmaß an Strukturen, Dokumentation und eine klare Zuweisung von Aufgaben und Verantwortlichkeiten. Nicht ausreichend sind somit punktuelle Einzelmaßnahmen (vgl. auch Fischer/Schuck, NZG 2021, S. 534 (538)).
Rn. 171
Stand: EL 42 – ET: 05/2024
Zur Frage der Risikoindentifikation kann auf die Ausführungen zu § 91 Abs. 2 unter HdR-E, AktG § 91, Rn. 103ff., verwiesen werden, bei der Risikoanalyse und Risikobewertung auf die Ausführungen unter HdR-E, AktG § 91, Rn. 107ff. Auch bei der Einrichtung des Risikomanagementsystems kann man sich an den zuvor dargestellten Grundsätzen für die Einrichtung eines Überwachungssystems orientieren. Die Prüfungsstandards des IDW können ebenfalls nur Hinweise geben, dürfen aber (mangels Normcharakter) nicht unbesehen übernommen werden (vgl. Fischer/Schuck, NZG 2021, S. 534 (539f.); Hüffer-AktG (2024), § 91, Rn. 32).
Rn. 172
Stand: EL 42 – ET: 05/2024
Die Umschreibung eines Risikomanagementsystems als Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Identifikation von Risiken, deren Bewertung und Steuerung sowie die Kommunikation von Risiken einschließlich der Überwachung des Systems erscheint als zielführende Zusammenfassung (vgl. Hüffer-AktG (2024), § 91, Rn. 32; Fischer/Schuck, NZG 2021, S. 534 (537)). Zu den zu identifizierenden Risiken zählen in- und externe Umstände und Sachverhalte. Dabei ist es – in Abgrenzung zu Abs. 2 – nicht erforderlich, dass diese Risken existenzbedrohend sind. Umgekehrt müssen sämtliche existenzbedrohenden Risiken erfasst sein. Es gilt insofern ein weiter Risikobegriff, der auch rechtliche Risiken umfasst, aber den Schwerpunkt bei wirtschaftlichen Risiken hat. An dieser Stelle erfolgt die Abgrenzung zum CMS, welches die Einhaltung von rechtlichen Vorgaben einschließlich Reputationsrisiken im Fokus hat. Bei den erforderlichen Elementen eines wirksamen Risikomanagementsystems kann auf bereits veröffentlichte Übersichten zurückgegriffen werden (vgl. hierzu Dreher/Hoffmann, ZGR 2016, S. 445 (485f.)). Notwendig ist insoweit eine Risikoerfassung und anschließende Bewertung der Risiken. Diese erfolgt durch eine Zusammenführung des Risikos des Eintritts und einer Quantifizierung des möglichen Schadens, falls das Risiko eintritt. Insoweit kann auf die vorstehenden Ausführungen zu § 91 Abs. 2 AktG bezüglich der Risikokultur und Risikostrategie (vgl. HdR-E, AktG § 91, Rn. 102), Risikoidentifikation (vgl. HdR-E, AktG § 91, Rn. 103ff.), Risikoanalyse und Risikobewertung (vgl. HdR-E, AktG § 91, Rn. 107) verwiesen werden. Hier gilt letztlich der Grundsatz, dass keine verbindlichen Vorgaben existieren, nach denen ein Risikomanagementsystem ausgestaltet sein muss, das auf alle UN zutrifft. Zu jedem System gehört auch eine Kontrolle der Wirksamkeit.
2. Angemessenheit und Wirksamkeit
Rn. 173
Stand: EL 42 – ET: 05/2024
Das Risikomanagementsystem muss nach dem Wortlaut von § 91 Abs. 3 AktG im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des UN "angemessen" und "wirksam" sein. Es handelt sich um verbindliche Vorgaben für den Vorstand bezüglich der Ausgestaltung des Systems, die letztlich eine Beschränkung des Ermessens darstellen. Mit dem Kriterium der Angemessenheit ist auch der Kosten/Nutzen des Systems angesprochen. Aufgrund der Vorgaben des Gesetzgebers spielt hier der Umfang der Geschäftstätigkeit eine wesentliche Rolle. Unter Geschäftstätigkeit sind dabei nicht nur der Umsatz des UN, sondern auch internationale Aktivitäten, die Risikolage in der jeweiligen UN-Branche und die jeweiligen Produkte zu verstehen (vgl. MünchKomm. AktG (2023), § 91, Rn. 114). Dabei ergeben sich für UN infolge neuer regulatorischer Vorgaben, wie etwa dem Lieferkettensorgfaltspflichtengesetz (LkSG), zusätzliche Herausforderungen, die bei der Ausgestaltung eines Risikomanagementsystems zu beachten sind. Auch hier können die einschlägigen Rahmenwerke, wie die IDW PS 980 (2022), 981 (2017), 982 (2017) und 983 (2017), herangezogen werden (vgl. MünchKomm. AktG (2023), § 91, Rn. 114). Letztlich ist unter dem Blickwinkel der Angemessenheit indes zu berücksichtigen, dass kein allumfassendes System für jedes erdenkliche Risiko gefordert ist. Diesbezüglich ist zu beachten, dass sich der Vorstand für die Frage der Wirksamkeit und Zuverlässigkeit des Risikomanagementsystems auf UN-interne Reportings stützen kann, und die Revisionsberichte hier eine besonders ausgeprägte Rol...