Die externe Risikoberichterstattung der Unternehmen und Konzerne E-Book

DER AUTOR

Dr. Klaus Möckelmann

Nach dem Vordiplom in Maschinenbau an der TH Karlsruhe und dem Hauptdiplom im Wirtschaftsingenieurwesen an der TU Berlin promovierte er dort in Wirtschaftswissenschaften.

Beruflich war er in leitenden Positionen der Konzerne MCA Records, Deutsche Unilever GmbH, Grand Metropolitan PLC, Seton Leather GmbH sowie in der Verlagsgruppe C.H. Beck OHG in München tätig. Dazu kamen Aufgaben in Aufsichtsräten, Beiräten und Branchenverbänden.

Als im Jahr 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) beschlossen wurde, beriet er den Leiter des Fachausschusses im Institut der Wirtschaftsprüfer bei der Gestaltung des IDW PS 340 zur Prüfung des Risikofrüherkennungssystems. Anschließend wurde er von der Wirtschaftsprüfungsgesellschaft PKF-Fasselt, Duisburg, zum Prüfungsleiter Risikomanagement bestellt. In Form einer begleitenden Prüfung war er maßgeblich an der Einführung des Risikomanagementsystems im METRO-Konzern beteiligt. Danach koordinierte er für den Konzernabschlussprüfer die Arbeit aller den METRO-Konzern prüfenden WP-Gesellschaften.Derzeit arbeitet der Autor mit Veröffentlichungen, als Dozent und im Rahmen der RMA Risk Management & Rating Association e.V. an der Weiterentwicklung des Risikomanagementsystems.

EINFÜHRUNG

Das Buch über die externe Risikoberichterstattung soll den Verantwortlichen im Unternehmen als Anleitung für die Abfassung des Risikoberichts im Geschäftsbericht dienen.

Es beginnt mit der Empfehlung, die Anforderungen des Deutschen Rechnungslegungs Standards Nr. 20 (DRS 20) zum Lagebericht zu erfüllen. Damit ist die Basis für den Risikobericht gelegt. Anhand der „Self-Audit-Checklist“ kann man dann feststellen, ob man alle gesetzlich vorgeschriebenen Angaben gemacht hat und evtl. noch weitere empfohlene Informationen gibt.

Zur Beurteilung, inwieweit man die Interessen der Adressaten und die eigenen Erfordernisse berücksichtigen soll, werden die Gesetze, Vorschriften und Standards zum Risikomanagement erläutert.

Als Vorbild wurden Unternehmen aus dem DAX und dem M-DAX gewählt, deren Risikoberichterstattung der Autor als gut beurteilt. Unternehmen, die zwar einen teilweise guten Geschäftsbericht abgeben, die Gesetze aber nicht einhalten, wurden nicht als Maßstab genommen. Erwähnt werden sie, wenn zu zeigen ist, welche der gesetzlichen Anforderungen sie nicht erfüllen, was am Risikomanagementsystem fehlt und welche Auswirkungen das hat.

Anmerkung

Die im Deutschen Rechnungslegungs Standard Nr. 20 (DRS 20) enthaltenen Empfehlungen sind Grundlage für eine ordnungsmäßige Risikoberichterstattung. Da es sich nicht um Gesetze handelt, fallen diese unter das Urheberrecht. Das Deutsche Rechnungslegungs Standards Committee e.V. (DRSC) erstellt sie.

Bezugsquelle: https://www.drsc.de/verlautbarungen/drs-20/

INHALTSVERZEICHNIS

DER AUTOR

Einführung

FORMEN DER EXTERNEN RISIKOBERICHTERSTATTUNG

1.1 Begriff der externen Risikoberichterstattung

1.2 Arten der externen Risikoberichterstattung

1.2.1 Freiwillige externe Risikoberichterstattung

1.2.1.2 Externe Risikoberichterstattung zu Kommunikationszwecken

1.2.2 Obligatorische externe Risikoberichterstattung

1.2.2.2 Berichterstattung nach der Aktionärsrechterichtlinie ARUG II

1.2.2.3 Indirekte externe Risikoberichterstattung

1.2.2.4 Indirekte externe Risikoberichterstattung mit Verschwiegenheitspflicht und Geheimhaltung

1.2.2.5 Anforderungen der externen an die interne Risikoberichterstattung

DIE RISIKOBERICHTERSTATTUNG IM LAGEBERICHT

2.1 Verpflichtung zur externen Risikoberichterstattung

2.2 Gesetzliche Grundlagen

2.2.1 Gesetzliche Vorschriften zur Risikoberichterstattung

2.2.2 Gesetzliche Anforderungen an die Risikoberichterstattung im Überblick

2.2.3 Corporate Governance und Risikoberichterstattung

2.2.3.1 Aufgaben eines Kodex mit Grundsätzen zur Unternehmensführung und Berichterstattung (Corporate Governance Kodex)

2.2.3.2 Der Deutsche Corporate Governance Kodex

2.2.3.3 Mängel des Deutschen Corporate Governance Kodex. Auswirkungen und notwendige Maßnahmen

2.2.4 Der Public Corporate Governance Kodex des Bundes

2.2.5 Compliance

2.2.6 Europäische und deutsche Gesetze mit Bezug zum Risikomanagement

2.2.6.1 EU-Richtlinie über Einlagensicherungssysteme, 2014

2.2.6.2 Bilanzrechtsreformgesetz (BilReG), 2004

2.2.6.3 Transparenzrichtlinie-Umsetzungsgesetz (TUG), 2007

2.2.6.4 Gesetz zur Modernisierung des Bilanzrechts (BilMoG), 2009

2.2.6.5 Gesetz zur weiteren Umsetzung der Transparenzrichtlinie-Änderungsrichtlinie im Hinblick auf ein einheitliches elektronisches Format für Jahresfinanzberichte, 12. August 2020

2.2.6.6 Gesetz zur Reduzierung von Risiken und zur Stärkung der Proportionalität im Bankensektor (Risikoreduzierungsgesetz – RiG), 5. Nov. 2020

2.2.6.7 Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (Unternehmensstabilisierungs- und -restrukturierungsgesetz –StaRUG) vom 22. Dezember 2020

2.2.6.8 Gesetz zur Umsetzung der Richtlinie (EU) 2019/2034 – Richtlinie über die Beaufsichtigung von Wertpapierinstituten vom 12. Mai 2021

2.2.6.9 Gesetz zur Stärkung der Finanzmarktintegrität vom 20. Mai 2021

2.2.7 Angaben zur voraussichtlichen Entwicklung der Gesellschaft bzw. des Konzerns

2.2.8 Angaben zu Risiken aus der Verwendung von Finanzinstrumenten

2.3 Vorschriften zur Risikoberichterstattung an den Aufsichtsrat

2.3.1 Informationen durch den Vorstand und die interne Risikoberichterstattung

2.3.2 Informationen im Rahmen der externen Risikoberichterstattung

2.4 Vorschriften zur Risikoberichterstattung an die Hauptversammlung

2.5 Anforderungen des Deutschen Rechnungslegungs Standard DRS Nr. 20 an die externe Risikoberichterstattung

2.6 Anforderungen der Wirtschaftsprüfer an die externe Risikoberichterstattung

2.6.1 Fachliche Hinweise des IDW zur Rechnungslegung und Prüfung in der Corona-Pandemie

2.6.2 Prüfungsstandards zum Risikomanagement und zur Risikoberichterstattung

ADRESSATEN UND INTERESSENTEN DES RISIKOBERICHTS

3.1 Gruppierung der Adressaten nach Interessen

3.2 Adressaten mit der Pflicht zur Prüfung des Risiko- und Chancenberichtes

3.2.1 Der Aufsichtsrat

3.2.2 Der Wirtschaftsprüfer

3.2.3 Deutsche Prüfstelle für Rechnungslegung (DPR)

3.3 Adressaten mit einem bevorzugten Interesse am Risiko- und Chancenbericht

3.4 Adressaten mit einem speziellen Interesse am Risiko- und Chancenbericht

3.5 Adressaten mit einem allgemeinem Interesse am Risiko- und Chancenbericht

AUFBAU UND INHALT DES RISIKOBERICHTS

4.1 Grundsätzliche Anforderungen an die Risikoberichterstattung

4.2 Form der Risikoberichterstattung

4.3 Angaben zum Risikomanagementsystem und seinen Merkmalen

4.4 Angaben zu den Risiken

4.4.1 Form der Darstellung und Gruppierung der Einzelrisiken

4.4.2 Informationen zu den einzelnen Risiken

4.4.3 Risikobeurteilung, Risikobewertung und Risikoquantifizierung

4.4.4 Risikoaggregation

4.4.5 Zusammenfassende Darstellung der Risikolage

BESONDERE KOMPONENTEN DES RISIKOBERICHTS

5.1 Internes Kontroll- und Risikomanagementsystem im Hinblick auf den Rechnungslegungsprozess

5.1.1 Grundlagen

5.1.2 Allgemeine, sowohl für das interne Kontroll- als auch für das Risikomanagementsystem geltende Vorschriften

5.1.3 Spezielle Berichtsvorschriften zur Kontrolle des Konzernrechnungslegungssystems durch das interne Kontrollsystem

5.1.4 Spezielle Berichtsvorschriften zur Kontrolle des Konzernrechnungslegungssystems durch das Risikomanagementsystem

5.2 Risikoberichterstattung bezogen auf Finanzinstrumente

5.3 Risikoberichterstattung im Rahmen der nichtfinanziellen Konzernerklärung

5.3.1 Gesellschaftliche Entwicklung und Gesetzgebung zur Corporate Social Responsibility (CSR)

5.3.2 Die nichtfinanzielle Erklärung

5.4 Nachhaltigkeitsbericht

5.5 Nachtragsbericht

5.6 Entsprechenserklärung zum Deutschen Corporate Governance Kodex

5.7 Erklärung zur Unternehmensführung

RISIKOBERICHTERSTATTUNG IN ZWISCHENBERICHTEN UND AD-HOC-MITTEILUNGEN

6.1 Risikoberichterstattung in Zwischenberichten

6.2 Ad-hoc-Mitteilungen

PRÜFUNG DER RISIKOBERICHTERSTATTUNG

7.1 Prüfung des Lageberichts durch den Abschlussprüfer

7.1.1 Die Pflichten der Wirtschaftsprüfer und die Qualität der Risikoberichterstattung deutscher Konzerne

7.1.2 Gesetze und sonstige Vorgaben für die Prüfung der Wirtschaftsprüfer

7.2 Prüfung des Lageberichts durch den Aufsichtsrat

7.3 Prüfung durch die Deutsche Rechnungsprüfungsstelle (DPR)

7.4 Prüfung durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)

7.5 Das System der deutschen Unternehmensaufsicht und seine Mängel

WEITERE GESETZLICHE AKTIVITIÄTEN MIT AUSWIRKUNG AUF DIE RISIKOBERICHTERSTATTUNG

8.1 Gesetzentwurf für ein Verbandssanktionengesetz

8.2 Chancen und Risiken für die Risikoberichterstattung der Unternehmen und Konzerne

Anlagen

Literaturverzeichnis

Sachverzeichnis

1. FORMEN DER EXTERNEN RISIKOBERICHTERSTATTUNG

1.1 Begriff der externen Risikoberichterstattung

Wenn wir von Risikoberichterstattung sprechen, verwenden wir im Folgenden die umfassendere Definition des Deutschen Rechnungslegungs Standards Nr. 20 (DRS 20), wonach unter dem Begriff Risikoberichterstattung nicht nur die Berichterstattung über Risiken, sondern auch die über Chancen subsummiert ist.

Risiko umfasst sowohl die negativen als auch die positiven Abweichungen vom Erwartungswert.

Risikomanagementsystem ist die

„Gesamtheit aller Regelungen, die einen strukturierten Umgang mit Chancen und Risiken im Unternehmen bzw. Konzern sicherstellen“

(DRS 20, S. 17).

Risikoberichterstattung ist die Information über Chancen und Risiken.

Bei der externen Risikoberichterstattung handelt es sich im Unterschied zur internen Risikoberichterstattung um Informationen über die Risiken eines Wirtschaftsunternehmens, einer staatlichen Institution oder einer anderen Organisation an solche Berichtsempfänger, die nicht Mitglieder dieser Organisation sind. Es sind externe Interessenten.

Die externe Risikoberichterstattung gewinnt eine immer größere Bedeutung. Es gibt nahezu keine Institution und größere Organisation, die sich nicht mit diesem Thema zu befassen hätte. Das ist nicht verwunderlich, da sich weltweit die Erkenntnis durchgesetzt hat, dass das Risikomanagement eines der wichtigsten Steuerungsinstrumente zum Erreichen von Erfolg ist.

Den größten Raum nimmt die Risikoberichterstattung der Wirtschaftsunternehmen im Lagebericht des jährlichen Geschäftsberichts ein. Der gesetzlich vorgeschriebene Chancen- und Risikobericht von Aktiengesellschaften und anderen großen Gesellschaften ist die wichtigste Informationsquelle für alle, die sich für das Unternehmen interessieren. Das sind die Aktionäre, die Geschäftspartner und die Öffentlichkeit ganz allgemein.

1.2 Arten der externen Risikoberichterstattung

Von den verschiedenen Arten der externen Risikoberichterstattung kommt in der Praxis der Risikoberichterstattung im Lagebericht die größte Bedeutung zu. Wir werden uns daher in erster Linie mit ihr befassen. Man sollte aber auch wissen, welche andere Formen der externen Risikoberichterstattung es gibt, seien es obligatorische Berichte oder solche auf freiwilliger Basis.

1.2.1 Freiwillige externe Risikoberichterstattung

1.2.1.1 Externe Risikoberichterstattung als Geschäftszweck

Es gibt Institutionen oder Firmen, die sich darauf spezialisiert haben, in ihren Analysen bestimmte Geschäftsfelder im Hinblick auf die künftige Entwicklung und die Risiken hin zu beurteilen. Solche Informationen sind wichtig, denn die Unternehmen benötigen aktuelle Informationen über mögliche Risiken, die sich auf das Umfeld ihrer Geschäftstätigkeit beziehen. Dabei handelt es sich um Risikokategorien, zu deren Beurteilung das vorhandene Wissen der eigenen Mitarbeiter nicht ausreicht. So ist man bei besonderen Risikokategorien auf die Beurteilung externer Experten angewiesen.

Dabei handelt es sich um Institutionen, die sich zum Beispiel um Länderrisiken oder Risiken bestimmter Branchen befassen. Zu nennen sind:

FERI Deutschland.

https://www.feri.de/investment-research

und die Ratingagenturen

Standard & Poor‘s.

https://www.standardandpoors.com/en_US/web/guest/home

Moody‘s.

https://www.moodysanalytics.com/regions/europe/germany

Fitch Ratings.

https://www.fitchratings.com/region/germany

1.2.1.2 Externe Risikoberichterstattung zu Kommunikationszwecken

Zur externen Berichterstattung über Chancen und Risiken gehören auch die Vorträge oder Präsentationen der Vorstände von Aktiengesellschaften, speziell im Zusammenhang mit der Veröffentlichung des Jahres- oder Quartalsergebnisses für die Presse.

Bei Aktiengesellschaften spielt der Kapitalmarkt mit seiner Öffentlichkeitswirkung eine wichtige Rolle. Gelegentlich hat man den Eindruck, dass die Vorstände mit bestimmten Informationen, u. a. denen der externen Berichterstattung, Werbung für das Unternehmen betreiben und sie zur Beeinflussung von Aktionärsgruppen sowie anderen Kapitalgebern nutzen. Es gibt auch immer wieder Fälle, in denen Vorstände auf diese Weise rechtswidrig den Börsenkurs zu beeinflussen suchen. Das geschieht gern im Rahmen von Akquisitionen oder Firmenumwandlungen. Die Berichterstattung von Anlageberatern, Börsenanalysten usw. über ein börsennotiertes Unternehmen hat mit der Beurteilung von dessen Risikosituation in der globalisierten Wirtschaft mit weltweiter Investitionstätigkeit ebenfalls eine große Bedeutung.

Hierfür gibt es den Begriff der Roadshow. Dort werden Präsentationen im Vorfeld von Emissionen veranstaltet.

Eine besondere Roadshow, jedoch mit anderen Zielen, ist z. B. die österreichische „Börsianer Roadshow“, die seit 2010 die führende Plattform zur Meinungsbildung auf dem österreichischen Kapitalmarkt darstellt.

Renommierte Finanzhäuser präsentieren dort den Top-Entscheidern der Finanz-Community ihre Investmentchancen für das nächste Quartal.

https://boersianer-investors.com

1.2.2 Obligatorische externe Risikoberichterstattung

1.2.2.1 Externe Risikoberichterstattung im Rahmen des Geschäftsberichts

Die Risikoberichterstattung im Rahmen des Lageberichts der Geschäftsberichterstattung stellt den Schwerpunkt der externen Risikoberichterstattung dar (siehe Kapitel 2).

1.2.2.2 Berichterstattung nach der Aktionärsrechterichtlinie ARUG II

Am 19.12.2019 wurde das Gesetz zur Umsetzung der zweiten Aktionärsrechterichtlinie im Bundesgesetzblatt, BGBl I 2019, S. 2637, veröffentlicht.

Es wurden durch die Richtlinie 15 Gesetze geändert, wobei die substantiellen Änderungen vor allem im Aktiengesetz vorgenommen wurden.

Im Handelsgesetzbuch wurden die Paragrafen § 285, § 286, § 289a, § 289f, § 291, § 292, § 314, § 315a, § 324, § 325, § 325a, § 329, § 340i, § 341j, § 341s geändert.

Die wesentlichen Vorschriften finden sich in 12 neuen oder ergänzten Paragrafen des Aktiengesetzes.

Neuregelungen im Aktiengesetz durch ARUG II

§ 67a AktG

Übermittlung von Informationen über Unternehmensereignisse; Begriffsbestimmungen

§ 67b AktG

Übermittlung von Informationen durch Intermediäre an die Aktionäre

§ 67c AktG

Übermittlung von Informationen durch Intermediäre an die Gesellschaft; Nachweis des Anteilsbesitzes

§ 67d AktG

Informationsanspruch der Gesellschaft gegenüber Intermediären

§ 67e AktG

Verarbeitung und Berichtigung personenbezogener Daten der Aktionäre

§ 87 Abs. 4 AktG

Herabsetzung der Maximalvergütung durch die Hauptversammlung

§ 87a AktG

Vergütungssystem börsennotierter Gesellschaften

§ 113 Abs. 3 AktG

Beschluss über die Vergütung der Aufsichtsratsmitglieder

§ 120a AktG

Votum zum Vergütungssystem und zum Vergütungsbericht § 134a AktG: Begriffsbestimmungen; Anwendungsbereich

§ 134b AktG

Mitwirkungspolitik, Mitwirkungsbericht, Abstimmungsverhalten

§ 134c AktG

Offenlegungspflichten von institutionellen Anlegern und Vermögensverwaltern

§ 134d AktG

Offenlegungspflichten der Stimmrechtsberater

§ 162 AktG

Vergütungsbericht

Abbildung 1: Neuregelungen im Aktiengesetz durch ARUG II

Das ab dem Geschäftsjahr 2021 geltende ARUG II sieht eine Stärkung der Mitwirkungsrechte der Aktionäre von Publikumsgesellschaften vor. Dazu zählen Regelungen zur Verbesserung der Information an solche Aktionäre, die ihre Anteile nicht direkt persönlich halten, sondern über einen Intermediär.

„Intermediär ist eine Person, die Dienstleistungen der Verwahrung oder der Verwaltung von Wertpapieren oder der Führung von Depotkonten für Aktionäre oder andere Personen erbringt, wenn die Dienstleistungen im Zusammenhang mit Aktien von Gesellschaften stehen, die ihren Sitz in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum haben.”

https://www.gesetze-im-internet.de/aktg/__67a.html

https://www.gesetze-im-internet.de/aktg/__67a.html

Die neu eingeführten Bestimmungen zur Identifizierung von Aktionären und zur Informationsübermittlung zwischen Intermediären und der Publikumsgesellschaft sollen gewährleisten, dass die Aktionäre stets über Unternehmensereignisse gemäß Art. 1 Nummer 3 der Durchführungsverordnung (EU) 2018/1212 informiert werden und dadurch ihre Mitwirkungsrechte besser ausüben können.

Dort heißt es, dass ein „Unternehmensereignis“ eine vom Emittenten oder einem Dritten initiierte Maßnahme ist, die die Ausübung der mit den Aktien verbundenen Rechte beinhaltet und die zugrunde liegende Aktie beeinflussen kann, zum Beispiel die Gewinnausschüttung oder eine Hauptversammlung.

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32018R1212

1.2.2.3 Indirekte externe Risikoberichterstattung

Mit indirekter oder sekundärer externer Berichterstattung kann man die Berichterstattung externer Dritter über das Unternehmen bezeichnen. Sieht man sich in der Gesetzgebung nach Vorschriften für diese Art der externen Risikoberichterstattung um, findet man zum Beispiel Vorschriften für die Wirtschaftsprüfer, die bestimmen, was und in welcher Form an wen über das geprüfte Unternehmen zu berichten ist.

Beispiel 1

Die Verordnung über die Berichterstattung von Versicherungsunternehmen gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) (Versicherungsberichterstattungsverordnung – BerVersV).

Dem Abschlussprüfer, der nach KWG, § 29 den Zwischenabschluss und den Jahresabschluss prüft, sind durch die Verordnung zusätzliche Prüfungsaufgaben vorgeschrieben, die auch das Risikomanagement des Unternehmens betreffen. Hierüber hat er einen Prüfungsbericht anzufertigen und an die BaFin sowie an die Bundesbank zu übermitteln.

Eine andere Form der indirekten Berichterstattung findet man im Zusammenhang mit dem Risikomanagement in einem Gesetz, das im Januar 2021 in Kraft getreten ist.

Beispiel 2

Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (Unternehmensstabilisierungs- und -restrukturierungsgesetz –StaRUG)

a) § 1 Krisenfrüherkennung und Krisenmanagement bei haftungsbeschränkten Unternehmensträgern

b) § 96 Sanierungsmoderation

http://www.gesetze-im-internet.de/starug/

http://www.gesetze-im-internet.de/starug/StaRUG.pdf

1.2.2.4 Indirekte externe Risikoberichterstattung mit Verschwiegenheitspflicht und Geheimhaltung

Die börsennotierten Unternehmen unterliegen einer Unternehmenskontrolle durch die Deutsche Prüfstelle für Rechnungslegung DPR e. V. (DPR). Näheres dazu wird in Kapitel 7.3, Prüfung durch die Deutsche Prüfstelle für das Rechnungswesen, ausgeführt.

Anmerkung

Infolge des Gesetzes zur Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz-FISG) vom 20. Mai 2021 endet am 1. Januar 2022 die Tätigkeit der Deutschen Rechnungsprüfungsstelle (DPR). Der private Verein wird aufgelöst. Ihre Aufgaben und Angestellten werden von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) übernommen.

https://www.frep.info/

Für die bei der Prüfstelle Beschäftigten gilt nach § 342 c HGB die Verschwiegenheitspflicht. Diese bezieht sich auf die Verpflichtung der DPR-Mitarbeiter zur vertraulichen Handhabung der gewonnenen Informationen über die geprüften Unternehmen.

Dazu kommt noch die Geheimhaltungspflicht für die einzelnen Aktionen der DPR.

Die DPR gibt nicht bekannt, welche Unternehmen sie prüft.

Die Ergebnisse der Prüfungen werden nicht veröffentlicht.

Solche Regelungen haben zwei wesentliche Nachteile:

1. Die Geheimhaltung des Namens der börsennotierten Unternehmen, die die rechtlichen Vorschriften nicht einhalten, vor der Öffentlichkeit ist einer der Gründe, warum die geprüften Unternehmen die Mängel ihrer Berichterstattung nicht immer beseitigen.

2. Das Fehlen von Sanktionen im Bilanzkontrollgesetz zum Erzwingen (Enforcement) einer gesetzeskonformen Rechnungslegung hat zusammen mit bestimmten Sonderregelungen im Deutschen Corporate Governance Kodex dazu geführt, dass u. a. die Lageberichterstattung einiger namhafter börsennotierter Konzerne, die für Unternehmensskandale bekannt sind, weiterhin in rechtswidriger Form erfolgt.

Wenn ein Börsenkonzern von der DPR erfolglos zur Korrektur seiner Rechnungslegung aufgefordert wurde, greift nach dem Bilanzkontrollgesetz als zweite Stufe des Unternehmensaufsichtsprozesses die BaFin ein (siehe Kapitel 7.4.). Auch hier erfolgt eine indirekte externe Berichterstattung mit Verschwiegenheitspflicht.

„Die BaFin beaufsichtigt und kontrolliert als Finanzmarktaufsichtsbehörde im Rahmen der Finanzdienstleistungsaufsicht alle Bereiche des Finanzwesens in Deutschland.“

https://de.wikipedia.org/wiki/Bundesanstalt_f%C3%BCr_Finanzdienstleis-tungsaufsicht#cite_note-2)

Die BaFin ist ausgestattet mit hoheitlichen Befugnissen und kann das ordnungsmäßige Handeln der Unternehmensführung erzwingen. Da auch bei der BaFin die geprüften Unternehmen und der Grund der Prüfung der Geheimhaltung unterliegen, ist sie ebenso wie die DPR der Kontrolle des Parlaments und der Öffentlichkeit entzogen. Dazu kommt, dass die BaFin lediglich über die ca. 430 Unternehmen, die an der Frankfurter Börse besonders notiert sind, sowie über die Unternehmen der Finanz- und Versicherungsbranche Aufsicht führt.

Für die überwiegende Mehrheit der deutschen Unternehmen gibt es neben den Wirtschaftsprüfern keine staatliche Unternehmensaufsicht.

Die Verschwiegenheitspflicht bei der DPR laut § 342 c des Handelsgesetzbuches bezieht sich auf die Verpflichtung der DPR-Mitarbeiter zur vertraulichen Handhabung der gewonnenen Informationen über die Unternehmen.

Die Tatsache, dass die DPR nicht bekanntgibt, welche Unternehmen sie prüft, und keine Ergebnisse von Einzelprüfungen veröffentlicht, bezeichnet man als Geheimhaltungspflicht. Aus den Jahresberichten der DPR kann man entnehmen, welche Gebiete der Rechnungslegung geprüft worden sind und wo besondere Schwächen festgestellt wurden. Als Schwachpunkt in der Berichterstattung der Unternehmen wird seit Jahren die Lageberichterstattung angeführt.

Die Geheimhaltung des Namens von börsennotierten Unternehmen vor der Öffentlichkeit, die rechtliche Vorschriften nicht einhalten, und das Fehlen von Sanktionen zum Erzwingen (Enforcement) einer regelkonformen Lageberichterstattung sind ein Mangel der staatlichen Unternehmensprüfung.

Der von der DPR international verwendete Name „Financial Reporting Enforcement Panel (FREP)“ und die Bezeichnung „Bilanzpolizei“ trifft auf diese „oberste“ Prüfungsinstitution Deutschlands nicht zu.

Sowohl die Mitgliederstruktur als auch die Finanzierung der DPR zeigen, dass es sich um einen von den zu prüfenden Unternehmen abhängigen Verein handelt. Die Finanzierung erfolgt auf Grundlage einer Umlage, die nur von den zu prüfenden Mitgliedern zu zahlen ist. Sie bemisst sich an den Börsenumsätzen des jeweiligen Umlagepflichtigen im Verhältnis zu allen Umlagepflichtigen. Umlagepflichtig sind die Unternehmen, die in Deutschland börsennotiert sind und deren Wertpapiere am deutschen Markt gehandelt werden.

Die DPR ist aufgrund ihrer Struktur und was die Durchsetzungsfähigkeit betrifft, nicht vergleichbar mit ihrer englischen Schwesterorganisation oder gar der Börsenaufsicht in den USA, der SEC. So kann es sein, dass auch nach Prüfung eines Unternehmens –wenn dessen Unternehmensführung nicht will - sich nichts bessert. Die Risikoberichterstattung entsprich dann weiterhin nicht den gesetzlichen Vorschriften und den Grundsätzen ordnungsmäßiger Berichterstattung.

Dieser Mangel hat beim weltweiten größten Betrugs- und Umweltskandal eines deutschen Unternehmens, dem „Diesel-Skandal“ des Volkswagen-Konzerns, dazu geführt, dass das US-Justizministerium es für notwendig erachtete, für drei Jahre einen Kontrolleur, genannt Monitor, nach Deutschland in die Hauptverwaltung des VW-Konzerns nach Wolfsburg zu entsenden. Dieser hatte die Aufgabe, darauf zu achten, dass der Konzern keine weiteren Gesetzesverstöße vornimmt.

Auch wenn die DPR dort geprüft haben sollte –was nicht bekannt ist –fehlt noch vieles, was eine ordnungsmäßige Risikoberichterstattung ausmacht.

Betrachtet man die Struktur der staatlichen Unternehmenskontrolle in Deutschland, hat die Bundesregierung über mehrere Legislaturperioden nichts dafür getan, dass die deutschen und europäischen gesetzlichen Vorschriften von allen Unternehmen eingehalten werden. Im Jahr 2001 begab man sich in die Hände einer Wirtschafts-Lobby, bestehend aus dem Privatunternehmen Deutsche Börse AG in Frankfurt und der bei ihr notierten Index-Konzerne. Einer sogenannten „Regierungskommission“ gestattete man –ohne dass man sich ein Mitsprache- oder Einwilligungsrecht vorbehielt –sich eigene Regeln zu schaffen, den sogenannten „Deutschen Corporate Governance Kodex“. Dieser entfernte sich von Jahr zu Jahr weiter vom geltenden Recht. Das durfte dem Parlament und der Öffentlichkeit nicht bekannt werden und wurde geheim gehalten.

Ein Verdacht kam erst auf, als der Bundesfinanzminister zur Begründung, warum er bestimmte Fragen nicht beantworten wolle, vor dem Wirecard Untersuchungsausschuss des Bundestages genauso wie zuvor vor dem Finanzausschuss des Bundestages etwas von „Staatsgeheimnis“ erwähnte.

Entsprechend dem Laisséz Faire mit dem Kodex und ohne erkennbare Strategie ist auch die Struktur der Unternehmenskontrollinstitutionen der Bundesrepublik organisiert. Im Rahmen der betriebswirtschaftlich und sozial fortschreitenden Entwicklung in den großen Unternehmen fand auch eine ständige Anpassung der Gesetze in der Europäischen Union durch zeitgemäße Vorschriften statt. Lediglich die Bundesregierung war im Bereich der börsennotierten Konzerne an der Umsetzung gehindert. Es entstand in den Jahren 2005 bis 2015 ein Sammelsurium von nicht funktionierenden oder von den zu prüfenden Unternehmen abhängigen Institutionen, die auf drei verschiedene Bundesministerien verteilt sind.

Die Abschlussprüferaufsichtsstelle, APAS

, eine Institution, die seit 2015 die Arbeit der Wirtschaftsprüfer kontrollieren soll. Sie untersteht dem Bundesamt für Wirtschaft und Ausfuhrkontrolle und damit dem Bundeswirtschaftsminister.

Die Deutsche Prüfstelle für Rechnungslegung, DPR.

Sie ist ein privater Verein der börsennotierten Aktiengesellschaften. Sie war im Jahr 2005 auf Veranlassung der Bundesregierung gegründet worden, weil die Rechnungslegung einiger Konzerne zu wünschen übrig ließ und dies von einigen großen Wirtschaftsprüfungsgesellschaften, die gut honorierte Aufträge für ihre Unternehmensberatungsgesellschaften nicht verlieren wollten, in zunehmendem Maße nicht beanstandet wurde.

Sie hatte ihre Aufgabe vom Bundesminister für Justiz im Jahr 2005 aufgrund eines Anerkennungsvertrages erhalten. Im Zuge der Überprüfung der Institutionen, beschleunigt durch den Wirecard-Skandal, wurde der zu Endes des Jahres 2021 gekündigt.

Die BaFin ist dem Bundesfinanzminister unterstellt.

Im Rahmen der am 20.Mai 2021 verabschiedeten Reformgesetze zur Finanzmarktintegritätsstärkung (FISG) wird die staatliche Unternehmenskontrolle ab dem 1. Januar 2022 in einem einstufigen Verfahren stattfinden und bei der BaFin konzentriert (siehe Kapitel 7.4 ).

Ein weitere Ursache für die mangelhafte Risikoberichterstattung der Börsenkonzerne ist im Bundesverkehrsministerium zu suchen. Der Bundesverkehrsminister ist der mächtigste Lobbyist der Automobilindustrie. Er und seine Vorgänger sind mitverantwortlich für den im Jahr 2015 in den USA aufgedeckten größten weltweiten Umwelt- und Betrugsskandal durch die Automobilhersteller, der im Jahr 2007 bei der Audi AG des Volkswagen-Konzerns seinen Ausgang genommen hatte.

Zum einen hat das dem Verkehrsminister unterstehende Bundesamt für Kraftfahrzeugwesen gesetzwidrige Motoren nicht verboten.

Zum anderen hat der Verkehrsminister persönlich verhindert, dass die Bundesregierung die EU-V. 715-2007 zur Bestrafung von Automobilunternehmen, die Motoren mit manipulierter Motorensteuerung herstellen, in deutsches Recht umgesetzt hat. An sich sind EU-Verordnungen sofort in Deutschland geltendes Recht. Maßnahmen zur Umsetzung in nationales Recht mussten hier trotzdem erfolgen, weil die EU-Verordnung eine Bestrafung von Unternehmen fordert.

Das rein personenbezogene deutsche Strafrecht kennt keine Möglichkeit, Unternehmen wegen Täuschung oder Betrugs zu verurteilen. Deshalb war die BRD verpflichtet, hierfür ein Gesetz zu schaffen, um die Automobilunternehmen, die Millionen von Motoren zur Umgehung der Umweltgesetze manipulierten, mit den von der EU vorgesehenen Zahlungen von hohen Milliardenbeträgen bestrafen zu können. Das war durch die Gerichte in den USA nach amerikanischem Recht für die dortigen Rechtsverstöße von VW geschehen.

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32007R0715

Der Deutsche Bundestag beschloss wegen des Verhaltens der Regierung damals, ein Rechtsgutachten in Auftrag zu geben. Das Ergebnis war, dass der Tatbestand des Rechtsbruches durch den Bundesverkehrsminister und der Bundesregierung festgestellt wurde:

„Nicht umgesetzt ist hingegen die Verpflichtung der Bundesrepublik Deutschland zur Normierung von wirksamen, verhältnismäßigen und abschreckenden Sanktionen bei Verstößen gegen die Richtlinie 2007/46/EG bzw. der Verordnung (EG) Nr. 715/2007.“

„Neben der insoweit defizitären gesetzlichen Umsetzung von Sanktionsnormen im deutschen Recht ist auch die bisher praktizierte Umsetzung der zu untersuchenden Vorschriften in die Verwaltungspraxis rechtswidrig. Dies betrifft insbesondere die durch das Bundesministerium für Verkehr und digitale Infrastruktur im Untersuchungsbericht Volkswagen gewertete Zulässigkeit der Verwendung von Abschalteinrichtungen durch sogenannte Thermofenster. Die dazu im Untersuchungsbericht Volkswagen zur Rechtfertigung dieser Praxis durch das Bundesministerium herangezogenen rechtlichen Argumente sind in gleich mehrfacher Hinsicht unzutreffend. In Anbetracht der Vielzahl der dem Untersuchungsbericht unterlaufenden Rechtsanwendungsfehler drängt sich der Verdacht auf, dass der Ergebniswunsch des Bundesministeriums einer objektiven Befassung im Weg stand.“

Siehe VERORDNUNG (EG) Nr. 715/2007 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 20. Juni 2007

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32007R0715

Siehe Beschlussempfehlung und Bericht des 5. Untersuchungsausschusses 2.6.2017.

http://dip21.bundestag.de/dip21/btd/18/129/1812900.pdf

1.2.2.5 Anforderungen der externen an die interne Risikoberichterstattung

Um die gesetzlichen Anforderungen an die externe Risikoberichterstattung erfüllen zu können, werden umfangreiche Informationen aus der internen Risikoberichterstattung benötigt. Das setzt das Vorhandensein eines vollständigen Risikomanagementsystems und das Funktionieren der internen Risikoberichterstattung konzernweit über alle Hierarchieebenen voraus. Dafür ist es notwendig, dass jeder Mitarbeiter des Unternehmens als Risikoverantwortlicher in das Risikomanagementsystem einbezogen ist. Um sicher zu sein, dass alle Hierarchieebenen sich nach den zentralen Vorschriften, die im Konzern-Risikomanagementhandbuch enthalten sind, richten, empfiehlt sich das folgendes Verfahren.

Praxisbeispiel –Empfehlung 1 für den Vorstand

Schriftliche Erklärung des Risikoverantwortlichen

Um sicher zu sein, dass alle Risikoverantwortlichen im Unternehmen ihren Pflichten im Rahmen des Risikomanagements nachkommen, hat sich die Methode mit einer schriftlichen Bestätigung bewährt.

Zur Vorbereitung der Prüfung des Risikomanagementsystems lässt sich der Abschlussprüfer von der Geschäftsführung eines jeden Konzernunternehmens bei der Abgabe des Risiko-Inventars und der Self-Audit-Checklist zusätzlich eine Erklärung unterschreiben. In dieser wird versichert, dass alle Vorschriften zum Risikomanagement eingehalten wurden und man sich von jedem direkt unterstellten Mitarbeiter auch eine derartige Bestätigung hat geben lassen.

Mit diesem Verfahren stellt der Abschlussprüfer sicher, dass von allen Mitarbeitern eine schriftliche Bestätigung vorliegt, dass sie ihrer persönlichen Verpflichtung als Risikoverantwortliche ihres Arbeitsbereichs nachgekommen sind.

Für den Fall, dass ein Risiko eintritt, stellt man fest, in welchen Verantwortungsbereich es fällt und kann dort Näheres dazu herausfinden,

ob das Risiko erkannt war,

wie es bewertet wurde,

welche Maßnahmen zur Vermeidung getroffen wurden,

was getan worden war, um es in Grenzen zu halten.

Im Falle, dass man das Risiko erkannt hatte, war es seinen üblichen Weg über die jährliche Risikoinventur über mehrere Stufen ins Konzern-Risiko-inventar eingegangen.

Im Falle einer „ ad-hoc-Meldung“ war es direkt an die dafür vorgegebene zentrale Stelle (z. B. Leiter der Konzernrevision) gemeldet und von dort ins Risikoinventar gelangt.

Mit diesem Verfahren ist sichergestellt, dass sämtliche von den Risikoverantwortlichen erfassten Risiken – z. B. auch interne Projektrisiken oder Kommunikationsrisiken – beim zentralen Risikomanagement und dem Vorstand vorliegen und dort der vollständige Überblick über Chancen und Risiken des Unternehmens vorhanden ist.

Praxisbeispiel Volkswagen-Konzern –keine ordnungsmäßige Risikoberichterstattung

Beim Volkswagen-Konzern gab es auch im Geschäftsbericht des Jahres 2019 keine ordnungsmäßige Risikoberichterstattung. Das Konzernrisikomanagementsystem ist offensichtlich immer noch nicht voll funktionsfähig. Trotzdem erteilte die seit Jahrzehnten ununterbrochen prüfende Wirtschaftsprüfungsgesellschaft PWC ein uneingeschränktes Testat. Man fragt sich, warum.

Weil die Wirtschaftsprüfer dies auf Empfehlung des Deutschen Corporate Governance Kodex getan haben?

Weil die Deutsche Prüfungsstelle für Rechnungslegung e.V. (DPR) vielleicht unter Geheimhaltungsverpflichtung zwar dort geprüft, etwas festgestellt, jedoch nichts bewirkt hat?

Weil die BaFin, die von alleine nichts unternehmen darf, nicht von der DPR beauftragt wurde, den Volkswagen-Konzern zu einer gesetzmäßigen Rechnungslegung zu veranlassen?

Weil der Konzern sich weigert und eventuell deswegen schon Bußgelder hat zahlen müssen?

Weil die eventuell gezahlten Bußgelder niedriger waren als die ca. EURO 1.100,- die der Volkswagen-Konzern und seine Tochtergesellschaften als Reingewinn für jeden verkauften Dieselmotor durch die Motorenmanipulation erzielt haben?

Was der Volkswagen-Konzern u. U. für Hinweise von der DPR oder gar der BaFin bekommen hat, um über eine ordnungsmäßige externe Unternehmensberichterstattung zu verfügen, bleibt der Öffentlichkeit verborgen. Das wird sich vielleicht erst ändern, wenn die Ergebnisse der Unternehmenskontrolle ab Anfang 2022 nicht mehr der Geheimhaltung unterliegen. Aber zum einen werden im neuen Gesetz die Prüfungsergebnisse nicht veröffentlicht, sofern dem Unternehmen dadurch Schaden entstehen könnte. Und zum anderen ist mit keinem Eingreifen der BaFin zu rechnen, solange die Bundesregierung am Deutschen Corporate Governance Kodex mit Ausnahmen für die in Frankfurt börsennotierten Unternehmen festhält und er nicht verboten ist.

2. DIE RISIKOBERICHTERSTATTUNG IM LAGEBERICHT

2.1 Verpflichtung zur externen Risikoberichterstattung

Die Risikoberichterstattung findet vorwiegend im Lagebericht statt. Dieser ist neben dem Jahresabschluss der wichtigste Bestandteil des jährlichen Geschäftsberichts als zentrale, umfang- und inhaltsreichste Berichterstattung des Unternehmens.

Die Mehrzahl aller Wirtschaftsunternehmen und viele andere Organisationen sind gesetzlich zur Veröffentlichung des Geschäftsberichtes verpflichtet. Jedes Unternehmen hat eine große Anzahl von Interessenten, für deren wirtschaftliche Entscheidungen der Risikobericht von großer Bedeutung ist.

Grundsätzlich sind alle Unternehmen zur Risikoberichterstattung verpflichtet. Dabei wird jede Organisation, die wirtschaftlich tätig ist, als Unternehmen bezeichnet. Der entsprechende BGH-Beschluss vom 18. Oktober 2011 lautet:

„Grundsätzlich ist jede Person und jeder Verband, der sich im geschäftlichen Verkehr, d. h. wirtschaftlich betätigt, als Unternehmen anzusehen.“

Um auf die jeweilige Art der Risikoberichterstattung eingehen zu können, sind die Unternehmensformen und die für sie geltenden Vorschriften zu betrachten.

Privatrechtliche Unternehmen deutschen Rechts

Kapitalgesellschaften europäischen Rechts, die Europäische Gesellschaft

Öffentliche Unternehmen, Staatsunternehmen

Eine Risikoberichterstattungspflicht besteht grundsätzlich auch für öffentliche Unternehmen, von denen es zwei Formen gibt:

1. Privatrechtlich organisierte Unternehmen

2. Öffentlich-rechtliche Unternehmen

Die Verpflichtung zur Lageberichterstattung ergibt sich aus § 264 HGB.

Gesetzestext (Ausschnitt) § 264 HGB, Pflicht zur Aufstellung

Abs. 1 Satz 1: Die gesetzlichen Vertreter einer Kapitalgesellschaft haben den Jahresabschluss (§ 242) um einen Anhang zu erweitern, der mit der Bilanz und der Gewinn- und Verlustrechnung eine Einheit bildet, sowie einen Lagebericht aufzustellen.

Abs. 1 Satz 3: Jahresabschluss und Lagebericht sind grundsätzlich innerhalb von drei Monaten nach Geschäftsjahresende aufzustellen.

Abs. 1 Satz 4: Kleine Kapitalgesellschaften (§ 267 Abs. 1) brauchen den Lagebericht nicht aufzustellen.

Kredit- und Finanzdienstleistungsinstitute sind unabhängig von ihrer Rechtsform und Größe zur Aufstellung eines Lageberichts nach den Vorschriften für große Kapitalgesellschaften verpflichtet (§ 340a Abs. 1 HGB).

Gesetzestext § 340a HGB, Anzuwendende Vorschriften

1) Kreditinstitute, auch wenn sie nicht in der Rechtsform einer Kapitalgesellschaft betrieben werden, haben auf ihren Jahresabschluss die für große Kapitalgesellschaften geltenden Vorschriften des Ersten Unterabschnitts des Zweiten Abschnitts anzuwenden, soweit in den Vorschriften dieses Unterabschnitts nichts anderes bestimmt ist. Kreditinstitute haben außerdem einen Lagebericht nach den für große Kapitalgesellschaften geltenden Bestimmungen aufzustellen.

Eine entsprechende Sonderregelung gibt es auch für Versicherungsunternehmen. Sie haben unabhängig von ihrer Größe und Rechtsform einen Lagebericht nach den für große Kapitalgesellschaften geltenden Vorschriften aufzustellen (§ 341a HGB, § 341i HGB).

Gesetzestext § 341a HGB, Anzuwendende Vorschriften

(1) Versicherungsunternehmen haben einen Jahresabschluss und einen Lagebericht nach den für große Kapitalgesellschaften geltenden Vorschriften des Ersten Unterabschnitts des zweiten Abschnitts in den ersten vier Monaten des Geschäftsjahres für das vergangene Geschäftsjahr aufzustellen und dem Abschlussprüfer zur Durchführung der Prüfung vorzulegen.

Im Rahmen der Lageberichterstattung sind nach § 289 Abs. 1 Satz 4 HGB auch die wesentlichen Chancen und Risiken der künftigen Entwicklung zu beurteilen und zu erläutern. Dies geschieht im Prognose-, dem Risiko- und dem Chancenbericht. Es gab früher Meinungsverschiedenheiten darüber, was genau unter Chance zu verstehen ist. Bei der im Jahr 2017 erfolgten Änderung des DRS 20 und seiner Anpassung an neue Gesetze wurde für Klarheit gesorgt. Es wurden für die Unternehmensberichterstattung einheitliche Begriffe festgelegt:

Der DRS 20 bezeichnet

Chancen

als mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unternehmen positiven Prognosebzw. Zielabweichung führen können.

Entsprechend werden

Risiken

als mögliche künftige Entwicklungen oder Ereignisse definiert, die zu einer für das Unternehmen negativen Prognose bzw. Zielabweichung führen können.

Damit nimmt der DRS 20 Bezug auf das Begriffsverständnis des Gesetzgebers, betont die Parallelität der Begriffe Risiko und Chance und stellt zudem den Zusammenhang mit dem Prognosebericht her.

In der Übersicht der Definitionen des DRS findet man unter Risikomanagementsystem die folgende Formulierung:

„

Gesamtheit aller Regelungen, die einen strukturierten Umgang mit Risiken oder mit Chancen und Risiken im Unternehmen bzw. Konzern sicherstellen.“

Gesetzestext § 289 HGB, Inhalt des Lageberichts

1) Im Lagebericht sind der Geschäftsverlauf einschließlich des Geschäftsergebnisses und die Lage der Kapitalgesellschaft so darzustellen, dass ein den tatsächlichen Verhältnissen entsprechendes Bild vermittelt wird. Er hat eine ausgewogene und umfassende, dem Umfang und der Komplexität der Geschäftstätigkeit entsprechende Analyse des Geschäftsverlaufs und der Lage der Gesellschaft zu enthalten. In die Analyse sind die für die Geschäftstätigkeit bedeutsamsten finanziellen Leistungsindikatoren einzubeziehen und unter Bezugnahme auf die im Jahresabschluss ausgewiesenen Beträge und Angaben zu erläutern. Ferner ist im Lagebericht die voraussichtliche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu erläutern; zugrunde liegende Annahmen sind anzugeben. Die Mitglieder des vertretungsberechtigten Organs einer Kapitalgesellschaft im Sinne des § 264 Abs. 2 Satz 3 haben zu versichern, dass nach bestem Wissen im Lagebericht der Geschäftsverlauf einschließlich des Geschäftsergebnisses und die Lage der Kapitalgesellschaft so dargestellt sind, dass ein den tatsächlichen Verhältnissen entsprechendes Bild vermittelt wird, und dass die wesentlichen Chancen und Risiken im Sinne des Satzes 4 beschrieben sind.

(2) Im Lagebericht ist auch einzugehen auf:

(3) Bei einer großen Kapitalgesellschaft (§ 267 Abs. 3) gilt Abs. 1 Satz 3 entsprechend für nichtfinanzielle Leistungsindikatoren, wie Informationen über Umwelt- und Arbeitnehmerbelange, soweit sie für das Verständnis des Geschäftsverlaufs oder der Lage von Bedeutung sind.

(4) Kapitalgesellschaften im Sinn des § 264d haben im Lagebericht die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben.

2.2 Gesetzliche Grundlagen

2.2.1 Gesetzliche Vorschriften zur Risikoberichterstattung

Risikorelevante Paragrafen

Web-Link

Aktiengesetz (AktG))

§ 67a

Informationen über Unternehmensereignisse an Aktionäre

https://www.gesetze-im-internet.de/aktg/__67a.html

§ 67b

Intermediäre, Übermittlung von Informationen an Aktionäre

https://www.gesetze-im-internet.de/aktg/__67b.html

§ 87 Abs. 4

Herabsetzung der Maximalvergütung durch Hauptversammlung

http://www.gesetze-im-internet.de/aktg/__87.html

§ 87a Abs. 2

Vergütungssystem des Vorstands von der HV zu billigen

http://www.gesetze-im-internet.de/aktg/__87.html

§ 91 Abs. 2

Risikofrüherkennungs- und Überwachungssystem

http://www.gesetze-im-internet.de/aktg/__91.html

§ 93 Abs. 1

Sorgfaltspflicht der Vorstandsmitglieder

https://www.gesetze-im-internet.de/aktg/__93.html

§ 107 Abs. 3

AR-Ausschüsse. Überwachung des Risikomanagementsystems

https://www.gesetze-im-internet.de/aktg/__107.html

§ 116

Sorgfaltspflicht der Aufsichtsratsmitglieder

https://www.gesetze-im-internet.de/aktg/__116.html

§ 134c Abs. 4 1.

Offenlegungspflicht Vermögensverwalter. Bericht über Risiken

https://www.gesetze-im-internet.de/aktg/__134.html

§ 161

Erklärung zum Corporate Governance Kodex

http://www.gesetze-im-internet.de/aktg/__161.html

§ 162

Vergütungsbericht des Vorstands und Aufsichtsrats

https://www.gesetze-im-internet.de/aktg/__162.html

§ 171 Abs. 1

Berichtspflicht des Abschlussprüfers an den Aufsichtsrat

http://www.gesetze-im-internet.de/aktg/__171.html

Handelsgesetzbuch (HGB)

§ 252 Abs. 1, Nr. 2

Going-Concern-Prämisse

https://www.gesetze-im-internet.de/hgb/__252.html

§ 264

Pflicht zur Aufstellung eines Lageberichts

https://www.gesetze-im-internet.de/hgb/__264.html

§ 286

Unterlassen von Angaben

https://www.gesetze-im-internet.de/hgb/__286.html

§ 289 Abs. 1

Chancen und Risiken im Lagebericht. Bilanzeid

https://www.gesetze-im-internet.de/hgb/__289.html

§ 289 Abs. 4

Beschreibung wesentlicher Merkmale des Risikomanagementsystems im Lagebericht durch kapitalmarktorientierte Kapitalgesellschaften

https://www.gesetze-im-internet.de/hgb/__289.html

§ 289b Abs. 1

Pflicht zur nichtfinanziellen Erklärung

https://www.gesetze-im-internet.de/hgb/__289.html

§ 297 Abs. 2, Satz 4 neu

Dem Konzernabschluss beizufügende schriftlichen Erklärung

http://www.gesetze-im-internet.de/hgb/__297.html

§ 297 Abs. 1 Satz 5 neu

Inhalt der Konzernberichterstattung Schriftliche Erklärung, dass die wesentlichen Chancen und Risiken im Sinne des Satzes 4 beschrieben sind.

http://www.gesetze-im-internet.de/hgb/__297.html

§ 315b Abs. 1

Pflicht zur nichtfinanziellen Konzernerklärung

http://www.gesetze-im-internet.de/hgb/__315.html

§ 316 Abs. 3 neu

Pflicht zur Prüfung des Jahresabschlusses, des Lageberichts, des Konzernabschlusses und des Konzernlageberichts

http://www.gesetze-im-internet.de/hgb/__316.html

§ 317 Abs. 2

Gegenstand und Umfang der Prüfung Beurteilung der Darstellung der Chancen und Risiken im Lagebericht

http://www.gesetze-im-internet.de/hgb/__317.html

§ 317 Abs. 3b neu

Beurteilung des Lageberichts durch den Abschlussprüfer

http://www.gesetze-im-internet.de/hgb/__317.html

§ 317 Abs. 4

Prüfung des Überwachungssystems bei börsennotierten AGs durch den Abschlussprüfer

http://www.gesetze-im-internet.de/hgb/__317.html

§ 320, Abs 1 neuer Satz, Abs. 3 neuer Satz

Vorlage Jahresabschluss und Konzernabschluss an Abschlussprüfer

http://www.gesetze-im-internet.de/hgb/__320.html

§ 321 Abs. 1

Stellungnahme des Abschlussprüfers, ins- besondere hinsichtlich Fortbestand und künftiger Entwicklung

https://www.gesetze-im-internet.de/hgb/__321.html

§ 322 Abs. 2

Bestätigungsvermerk Berücksichtigung von bestandsgefährdenden Entwicklungen im Bestätigungsvermerk

http://www.gesetze-im-internet.de/hgb/__322.html

§ 322 Abs. 1 Satz 4 neu

„Über das Ergebnis der Prüfung nach § 317 Absatz 3b ist in einem besonderen Abschnitt zu berichten.“

http://www.gesetze-im-internet.de/hgb/__322.html

§ 325 neu

Offenlegung

http://www.gesetze-im-internet.de/hgb/__325.html

§ 328 neu

Form, Format und Inhalt der Unterlagen bei der Offenlegung, Veröffentlichung und Vervielfältigung

http://www.gesetze-im-internet.de/hgb/__328.html

§ 334 neu

Bußgeldvorschriften

http://www.gesetze-im-internet.de/hgb/__334.html

§ 340 i neu

Pflicht zur Aufstellung

http://www.gesetze-im-internet.de/hgb/__340.html

§ 342 b neu Abs. 2, Satz 1

Prüfstelle für Rechnungslegung Die Prüfstelle prüft, ob die Abschlüsse und Berichte einschließlich der zu-grundeliegenden Buchführung, eines Unternehmens im Sinne des Satzes 2 den gesetzlichen Vorschriften einschließlich der Grundsätze ordnungsmäßiger Buchführung oder den sonstigen durch Gesetz zugelassenen Rechnungslegungsstandards entsprechen.

http://www.gesetze-im-internet.de/hgb/__342.html

GmbH-Gesetz (GmbHG)

§ 43 (1)

Sorgfaltspflicht der Geschäftsführer

https://www.gesetze-im-internet.de/gmbhg/__43.html

Unternehmensstabilisierungs- und -restrukturierungsgesetz –StaRUG

§ 1

Krisenfrüherkennung und Krisenmanagement bei haftungsbeschränkten Unternehmensträgern

https://www.gesetze-im-internet.de/starug/__1.html

§ 101

Informationen zu Frühwarnsystemen

http://www.gesetze-im-internet.de/starug/__101.html

§ 102

Hinweis- und Warnpflichten

http://www.gesetze-im-internet.de/starug/__102.html

Abbildung 2: Gesetzliche Vorschriften zur Risikoberichterstattung

2.2.2 Gesetzliche Anforderungen an die Risikoberichterstattung im Überblick

In diesem Kapitel über die Risikoberichterstattung im Lagebericht wird auf die Gesetzgebung zum Risikomanagement insoweit eingegangen, als es für das Verständnis sowie für die praktische Anfertigung des Risikoberichtes notwendig erscheint. Auch wenn man allein durch Befolgung der Vorschriften des DRS 20 einen informationsstarken und gesetzeskonformen Risikobericht erstellen kann, braucht es zum richtigen Verständnis doch, dass man die wichtigsten Vorschriften mit ihren durch die europäische Gesetzgebung in den letzten Jahren immer mehr erweiterten Anforderungen kennt.

Der Ursprung der heute bestehenden Vorschriften zur Risikoberichterstattung geht zurück auf das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das 1998 in Kraft trat.

Die Ziele des KonTraG waren:

Verbesserung der Kontrolle und der Transparenz im Unternehmen durch ein Risikofrüherkennungssystem,

stärkere Problem- und Risikoorientierung der Abschlussprüfung sowie

Verbesserung der Zusammenarbeit zwischen Aufsichtsrat und Abschlussprüfer.

Mit dem KonTraG sollten Schwächen bei der Unternehmensführung in deutschen Unternehmen – international Corporate Governance genannt – beseitigt werden. Anlass waren die vorangegangenen großen Unternehmenskrisen wie z. B. die der Philipp Holzmann AG, der Balsam AG und der Schneider Elektronik AG.

Durch die Vorschrift des § 91 Abs. 2 AktG, dass der Vorstand ein System zur frühzeitigen Erkennung geschäftsgefährdender Risiken –ein Risikofrüherkennungssystem –einzurichten hat, wurden die großen Unternehmen durch Gesetz verpflichtet, das fortschrittlichste betriebswirtschaftliche Instrument zur Unternehmenssteuerung, das Risikomanagementsystem, einzuführen.

Gesetzestext § 91 Abs. 2 AktG

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

Das KonTraG, ein Artikelgesetz, führte zu einer erheblichen Erweiterung des Aktiengesetzes und Handelsgesetzes. Es bildete die Basis für den anschließend erweiterten Ordnungsrahmen, mit dem eine professionelle Leitung und Überwachung des Unternehmens sichergestellt werden sollte.

In den Jahren nach der Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmen (KonTraG) gab es eine umfangreiche europäische Gesetzgebung zur Unternehmensberichterstattung, die in deutsches Recht umzusetzen war (siehe Kapitel 2.2.6).

Es folgte eine Periode, in der die Bundesregierung sich mit der Umsetzung von Richtlinien der EU sehr viel Zeit ließ oder sie überhaupt nicht vornahm. Das geschah unter anderem, um bestimmte Wirtschaftszweige wie die Automobilindustrie oder die chemische Industrie zu protegieren. Auf der anderen Seite erlaubte man den an der Frankfurter Börse notierten DAX-Konzernen über den von ihnen geschaffenen Deutschen Corporate Governance Kodex, bestehende Gesetze nicht einhalten zu müssen.

In der Legislaturperiode ab 2019 gab es mehrere Ministerien, die sich an die von der Bundesregierung vernachlässigten Gesetzesreformen machten. Einige Reformen mussten wegen des Widerstandes der starken Industrie-Lobby und der durch sie beeinflussten Parlamentsabgeordneten immer wieder verschoben werden. Sie konnten erst zu Ende der derzeitigen Legislaturperiode, als die Unternehmensskandale der Börsenkonzerne bereits überhandgenommen hatten und durch den Wirecard Untersuchungsausschuss eine Menge Fehlhandlungen der Minister und staatlicher Institutionen aufgedeckt wurden, dem Parlament mit Erfolgsaussicht vorgelegt werden.

So lag Ende Dezember 2020 der Gesetzentwurf zur Stärkung der Finanzmarktintegrität (FISG) –die größte Reform der deutschen Wirtschaftsgesetze seit 1998 –dem Bundestag zur Beschlussfassung vor.

Der Finanzausschuss des Bundestages vollbrachte die Leistung, den teilweise nicht schlüssigen Gesetzesvorschlag und die große Anzahl von Änderungsanträgen der Bundestagsparteien zu beurteilen und dann selbst Regelungen mit Blick auf die vom Gesetz zu erreichenden Ziele und die Durchsetzbarkeit vorzuschlagen. Die Synopse des Gesetzesvorschlags der Regierung mit den Vorschlägen des Finanzausschusses befindet sich im Protokoll der Video-Bundestagssitzung vom 20. Mai 2021.

Es gelang, das Gesetz in 2. und 3. Lesung an diesem Abend zu behandeln.

Anschließend lehnte die Mehrheit des Deutschen Bundestags alle Änderungsanträge ab und beschloss das Finanzstabilitätsstärkungsgesetz (FISG) in der vom Finanzausschuss vorgeschlagenen Fassung.

Einige andere die Unternehmensberichterstattung betreffenden Gesetze sind noch nicht vom Bundestag beschlossen worden. Auch der Deutsche Corporate Governance Kodex mit seinen Risiken für die Wirtschaft existiert noch. Das bedeutet, alte Regelungen stehen in Konflikt zu widersprechenden neuen Gesetzen

Das ist bedauerlich, da dies die vollständige und wirksame Einführung des Risikomanagementsystems per Gesetz bei einigen Konzernen über Jahre verhindern kann. So wird es noch einige Zeit dauern, bis die Unternehmensführungen einiger bekannter Börsenkonzerne solche Risiko- und Chancenberichte veröffentlichen, die den Grundsätzen ordnungsmäßiger Berichterstattung und auch der Wahrheit entsprechen (siehe Kapitel 8).

2.2.3 Corporate Governance und Risikoberichterstattung

Regeln für eine gute Unternehmensführung waren bis zur Einführung des Gesetzes zur Transparenz und Kontrolle im Unternehmen eine individuelle Angelegenheit der Unternehmen. Man studierte dazu die betriebswirtschaftliche Literatur. Dort gibt es verschiedenste Methoden. Eine weit verbreitete Methode war damals das Harzburger Modell: „Die Führung im Mitarbeiterverhältnis“. Die Manager lernten es in Seminaren kennen und viele Unternehmen führten es ein. Der Gesetzgeber beschränkte sich weitgehend darauf, das festzulegen, was im Unternehmen nicht zulässig ist.

Die erste große Ausnahme war das Betriebsverfassungsgesetz von 1952, das im Rahmen der sozialen Marktwirtschaft das Miteinander von Arbeitgebern und Arbeitnehmern zum Wohl des Unternehmens regelt. Es beschränkt die Macht der Kapitaleigner, räumt den Mitarbeitern gewisse Mitbestimmungsrechte ein und dient vor allem dem sozialen Schutz der Arbeitnehmer.

Ein Risikomanagement hatten damals nur wenige Unternehmen freiwillig eingerichtet. Es waren solche, die durch nicht vorhersehbare Ereignisse besonders gefährdet waren, wie die Atomkraftwerke, Versicherungen oder Krankenhäuser. Eine Pflicht zur externen Risikoberichterstattung gab es noch nicht.

2.2.3.1 Aufgaben eines Kodex mit Grundsätzen zur Unternehmensführung und Berichterstattung (Corporate Governance Kodex)